文獻標識碼: A
DOI:10.16157/j.issn.0258-7998.2018.S1.070
0 引言
伴隨移動技術、通信信息技術的快速發展,通信機房現場運行維護將逐步向以下方面發展:
(1)通信機房現場運行維護深化終端應用。在電力各個行業信息化腳步不斷加快的過程中,現場作業人員在移動作業運行維護方面提出了些許問題及要求,由以前通過人工現場書寫內容并注入相關應用系統,改變為現階段使用移動式終端來完成。近幾年,通過使用移動式作業方式來展開電力業務作業,在電力的用電管理、高壓電纜線路巡檢、遠程監控、物資管理等業務均已具備上述作業相關功能。
(2)電網專用安全防護安全接入平臺的應用。智能電網“信息化、自動化、互動化”的特征,決定電網信息系統與公網(GRPS/CDMA/4G等)的聯動需求會越來越多,且對移動通信數據量和實時要求也將進一步提高。一款開放的基于VPN(無線接入專網)的移動終端作業平臺,如何確保移動通信終端非常可靠地接入電力信息系統的同時不會泄露機密,已成為信息化建設進程中急切之需。
1 技術背景
國網公司信息安全接入平臺是構建堅強智能電網信息安全接入的核心基礎防護設施,包括安全接入系統、安全接入終端和安全傳輸通道。
國網公司安全接入系統部署采取“總部和區域分部、省公司兩級部署”的模式,安全接入系統部署在信息內網邊界防火墻和內網業務前置機之間,主要包括安全通道、身份認證、安全接入、訪問控制、數據交換、集中監管等核心功能。安全接入系統應進行級聯,實現統一信息交互、集中配置管理、統一監控等,確保對各類終端接入的可信、可控。
內網安全接入系統與安全接入終端要通過VPN或光纖建立加密通信聯系,以確保數據傳輸過程安全。VPN建設與信息內網安全接入系統的部署模式保持一致,采用總部和區域分部、省公司兩級建設。
對于內網專用接入條件不具備的信息,通過安全接入系統采集信息,嚴格執行嚴格禁止“內外機混合”的規程,即信息、計算機、網絡和互聯網是嚴格禁止互聯的。須對接入電網公司信息網絡的手持端進行加密,通過終端加密技術及特定的加密卡(TF卡)進行認證,保證其不可能通過安全接入和其他區的互聯網絡,只有通過安全監控路由和審核系統,方可接入國網信息網絡。
安全防護是指利用電力隔離裝置、通用硬件防火墻、路由訪問表、防病毒等先進的通信信息技術,布置移動運行維護的系統后臺管理系統進行縱向防護,并與TMS系統內橫向隔離,同時利用系統內的安全防護。
2 安全與終端綁定加密過程及方法
基于物聯網智能感知技術的電力通信移動運行維護方法,正是將基于聯網和移動互聯網的智能識別、移動數據回傳的技術引入電力企業電力通信網現場運行維護中,在現場通過控制運行方式的數字存儲方法,通過對基礎工作方針的標準規格化管理、數字改造,以數字化智能認識提取、數據本體保存、當地化查詢、離線綜合數據作業、作業書和現場設備數據的橫向分析,實現作業指導書和故障設備的有效關聯[1],開展維護現場運營在多長距離的電力公司電子通信網上,用以運行、長距離支撐、規范管理和政策上具有有效的輔佐。
2.1 加密綁定邏輯拓撲機構展示
本方案在邏輯網絡拓撲結構的基礎上,實現電力系統綜合監控系統的安全性;增加了安全保護、檢測、應急措施,不影響現有業務的運作,避免不必要的安全設計和執行性能,通過一系列的連接、政策、反應和其他方面的脆弱性和不安全感,從而大幅度減少綜合監測和控制系統對其性能、穩定性以及可靠性能的影響。
按照國網相關規定要求進一步完善相關安全支撐,如數字證書、數據加密、VPN接入、地址轉換、安全接入平臺、防火墻。
電力移動運行維護系統安全架構如圖1所示。
2.2 終端綁定現場加密驗證模塊及流程
本系統是基于跨越各種操作系統的軟件框架統的一平臺,采用了一致性資源數據管理模型,利用智能終端綁定、數據加密傳輸、數據解密驗證和回傳,能夠保證在安全、規范的情況下實現業務流程移動展現。
圖2描述了本系統平臺運行維護現場數據加密、解密傳輸驗證流程。
基于移動運行維護軟件支撐體系主要包括以下三大應用模塊:
(1)終端綁定
終端管理綁定是用來對終端設備的加密綁定,通過手持終端的IMEI和IMSI實現在無線中穩定連接,至終端設備的認證,保證通過無線移動公網,利用安全接入平臺,接入電力內網系統。
(2)追加驗證
數據添加技術是利用數據添加技術來加強接收者的現場數據。具體的是該地區的進一步、遠距離調制、遠距離驗證的秘密驗證。因此,在用于控制電力系統安全的整體性的數據檢驗方法。
(3)數據傳輸
數據傳輸是以4G為基礎的VPN無線通信網,以移動終端和遠程驗證為基礎的系統的基礎數據為基礎進行的數據為基礎,在網絡上進行安全、有效的、遠程數據進行通過級聯連接,支持數據追加的驗證。
現場數據的加密校驗過程為:“綁定-采集-加密-傳輸-解密-驗證-加密-回傳-解密”。
終端系統是利用移動系統和國際移動用戶識別(國際移動系統)和國際移動系統(國際移動用戶)和國際移動用戶認識的系統。
采集:利用手持終端自帶的多種收集方式,維持現有的運營條件,實現移動數據的收集。
加密:以可加法(IQ A)計算法為基礎,在終端中采集中以數據為準。
數據傳輸:利用無線網傳送流約終端和遠程系統之間的流傳。
解密數據:加入數據可靠性驗證方法,實現數據解密。
驗證:利用遠程系統平臺驗證的數據,與現場數據比對,正確與否都可以恢復驗證結果。
數據加密:在這一過程中,以原定的秘密數據驗證后,以驗證數據為標準進行證明。
數據回傳:完成驗證后的數據,進一步利用作為基礎的4G VPN無線公網系統,實現終端終點傳輸,實現驗證類數據的準確回傳。
解除數據:最后的數據解密主要進行數據的驗證,決定是否符合現場運營維持是重要的指標。
2.3 終端加密綁定基本步驟
電力通信移動運行維護是電力通信運行維護的重要組成,基于電力網通信運行維護管理系統軟件框架平臺,使用電力網統一資源數據模型,綜合了終端設備綁定、數據采集、數據加密、數據解密、數據雙向傳輸等功能。終端加密綁定的具體步驟如下:
第一步:終端綁定
終端設備以手機為基礎,外添加紅外線、RFID、GIS、壓力測定等軟功能的終端,每臺終端均具備IMEI的唯一性和IMSI的唯一性,所以終端可以保證終端和遠程系統的自動連接,確保通過無線公網連接遠程平臺進行設備管理。
第二步:數據采集
數據采集主要是通過加密傳輸,加密碼驗證結果的重要基礎。具體為:結合GPS、RFID、二維碼掃描技術、iODF、圖像識別等功能用于實現對于移動數據的采集、匯聚,通過對智能數據梳理和采集,在保障湖北電力通信移動工作的時效性的同時,加強湖北電力移動維護作業指導工作的規范。
第三步:數據加密、解密
數據加密是在保證在湖北基于物聯網技術的遠程系統和手持終端通信的基礎上,加強無線公網的傳輸安全性。
加密以IDEA為基礎,在現有算法基礎上加入移動設備IMEI和IMSI數據,后期增加了對手持終端的驗證能力,加強了數據回傳的安全性和可控性[2]。
本部分內容需要參與的模塊有數據加密模塊、數據解密模塊、數據驗證模塊。加密、解密流程如圖3所示。
(1)數據加密模塊
服務名:pm_Encryptionmodel
傳輸前的數據加密是指在終端和遠程平臺之間傳輸之前實現,加密方式采用IDEA算法。利用IDEA的其中30位作為IMEI和IMSI的驗證進行優化,從而加強數據回傳的優化流程。
(2)數據解密模塊
服務名:pm_Decryptionmodel
和加密模塊流程一樣,解密模塊是在終端和遠程平臺接收到數據之后,有針對地對加密數據進行解密。在加密過程中增加了IMEI和IMSI信息,所以需要進行解密、驗證,直至最終程序。
(3)數據驗證模塊
服務名:pm_Datavalidationmodel
比對,終端采集的數據傳輸至平臺驗證,以確定現場是否按要求完成運行維護工作。
第四步:數據傳輸
數據傳輸是將遠程平臺和遠程平臺上的驗證信息連接到終端設備加密驗階段。終端設備結合數據采集、加密后,遠程平臺上呈現出可驗證的遠程設備,并在終端設備IMEI和IMSI后,使用4G傳輸技術,數據回傳、終端轉接數據,終端機將手機的國際位置和國際移動用戶的數據視為遠程平臺,確認到遠程平臺后進行數據回收[3]。
3 結論
通過擴展物聯網及相關技術,工程人員可以實現對非智能化采集設備的通信連接,并結合現有的資源管理系統實現智能管理;將物聯網技術進一步應用在變電站站端資源的維護,并用傳感技術通過采集獲得資源信息,保證變電站站端物理設備資源的快速、有效、準確更新,從而保證站點現場與設備資源系統數據的一致性,通過人員的有序展開資源變更內容給,有利于設備資源上的調度和日常維護與現場作業,確保系統的完整性和準確性,減輕現場維護壓力和強度,提高效率。
構建安全、可靠的支撐智能電網信息安全防護的統一安全接入由此定義的安全體系,主要面向國家電網電力系統開展具體業務系統的驗證和方針環境建設,在此基礎上確保智能電網各業務系統能安全有效納入安全平臺,增強國網智能電網信息安全綜合安防防護能力,是基于終端綁定的移動運行維護現場數據加密傳輸驗證方法軟件支撐體系的首要任務。
參考文獻
[1] Q/GDW 1871.3國家電網通信管理系統技術基礎 第3部分:術語和定義[S]. 2014-09-01.
[2] 吳偉彬,黃元石.IDEA算法的改進及其應用[J]. 福州大學學報,2007,12(32):28-31
[3] 周正,陳家璘,邵波,等. 基于IDEA與RSA算法的終端綁定現場數據驗證方法[J].電氣應用,2015( 增刊): 600-603.
作者信息:
陳家璘1,馮偉東1,詹 鵬1,賀 易1,李 磊1,趙世文2
(1. 國網湖北省電力有限公司信息通信公司,湖北 武漢 430200;
2. 南瑞集團(國網電力科學研究院)有限公司,江蘇 南京 210000)