文献标识码:A
DOI:10.16157/j.issn.0258-7998.2018.S1.070
0 引言
伴随移动技术、通信信息技术的快速发展,通信机房现场运行维护将逐步向以下方面发展:
(1)通信机房现场运行维护深化终端应用。在电力各个行业信息化脚步不断加快的过程中,现场作业人员在移动作业运行维护方面提出了些许问题及要求,由以前通过人工现场书写内容并注入相关应用系统,改变为现阶段使用移动式终端来完成。近几年,通过使用移动式作业方式来展开电力业务作业,在电力的用电管理、高压电缆线路巡检、远程监控、物资管理等业务均已具备上述作业相关功能。
(2)电网专用安全防护安全接入平台的应用。智能电网“信息化、自动化、互动化”的特征,决定电网信息系统与公网(GRPS/CDMA/4G等)的联动需求会越来越多,且对移动通信数据量和实时要求也将进一步提高。一款开放的基于VPN(无线接入专网)的移动终端作业平台,如何确保移动通信终端非常可靠地接入电力信息系统的同时不会泄露机密,已成为信息化建设进程中急切之需。
1 技术背景
国网公司信息安全接入平台是构建坚强智能电网信息安全接入的核心基础防护设施,包括安全接入系统、安全接入终端和安全传输通道。
国网公司安全接入系统部署采取“总部和区域分部、省公司两级部署”的模式,安全接入系统部署在信息内网边界防火墙和内网业务前置机之间,主要包括安全通道、身份认证、安全接入、访问控制、数据交换、集中监管等核心功能。安全接入系统应进行级联,实现统一信息交互、集中配置管理、统一监控等,确保对各类终端接入的可信、可控。
内网安全接入系统与安全接入终端要通过VPN或光纤建立加密通信联系,以确保数据传输过程安全。VPN建设与信息内网安全接入系统的部署模式保持一致,采用总部和区域分部、省公司两级建设。
对于内网专用接入条件不具备的信息,通过安全接入系统采集信息,严格执行严格禁止“内外机混合”的规程,即信息、计算机、网络和互联网是严格禁止互联的。须对接入电网公司信息网络的手持端进行加密,通过终端加密技术及特定的加密卡(TF卡)进行认证,保证其不可能通过安全接入和其他区的互联网络,只有通过安全监控路由和审核系统,方可接入国网信息网络。
安全防护是指利用电力隔离装置、通用硬件防火墙、路由访问表、防病毒等先进的通信信息技术,布置移动运行维护的系统后台管理系统进行纵向防护,并与TMS系统内横向隔离,同时利用系统内的安全防护。
2 安全与终端绑定加密过程及方法
基于物联网智能感知技术的电力通信移动运行维护方法,正是将基于联网和移动互联网的智能识别、移动数据回传的技术引入电力企业电力通信网现场运行维护中,在现场通过控制运行方式的数字存储方法,通过对基础工作方针的标准规格化管理、数字改造,以数字化智能认识提取、数据本体保存、当地化查询、离线综合数据作业、作业书和现场设备数据的横向分析,实现作业指导书和故障设备的有效关联[1],开展维护现场运营在多长距离的电力公司电子通信网上,用以运行、长距离支撑、规范管理和政策上具有有效的辅佐。
2.1 加密绑定逻辑拓扑机构展示
本方案在逻辑网络拓扑结构的基础上,实现电力系统综合监控系统的安全性;增加了安全保护、检测、应急措施,不影响现有业务的运作,避免不必要的安全设计和执行性能,通过一系列的连接、政策、反应和其他方面的脆弱性和不安全感,从而大幅度减少综合监测和控制系统对其性能、稳定性以及可靠性能的影响。
按照国网相关规定要求进一步完善相关安全支撑,如数字证书、数据加密、VPN接入、地址转换、安全接入平台、防火墙。
电力移动运行维护系统安全架构如图1所示。
2.2 终端绑定现场加密验证模块及流程
本系统是基于跨越各种操作系统的软件框架统的一平台,采用了一致性资源数据管理模型,利用智能终端绑定、数据加密传输、数据解密验证和回传,能够保证在安全、规范的情况下实现业务流程移动展现。
图2描述了本系统平台运行维护现场数据加密、解密传输验证流程。
基于移动运行维护软件支撑体系主要包括以下三大应用模块:
(1)终端绑定
终端管理绑定是用来对终端设备的加密绑定,通过手持终端的IMEI和IMSI实现在无线中稳定连接,至终端设备的认证,保证通过无线移动公网,利用安全接入平台,接入电力内网系统。
(2)追加验证
数据添加技术是利用数据添加技术来加强接收者的现场数据。具体的是该地区的进一步、远距离调制、远距离验证的秘密验证。因此,在用于控制电力系统安全的整体性的数据检验方法。
(3)数据传输
数据传输是以4G为基础的VPN无线通信网,以移动终端和远程验证为基础的系统的基础数据为基础进行的数据为基础,在网络上进行安全、有效的、远程数据进行通过级联连接,支持数据追加的验证。
现场数据的加密校验过程为:“绑定-采集-加密-传输-解密-验证-加密-回传-解密”。
终端系统是利用移动系统和国际移动用户识别(国际移动系统)和国际移动系统(国际移动用户)和国际移动用户认识的系统。
采集:利用手持终端自带的多种收集方式,维持现有的运营条件,实现移动数据的收集。
加密:以可加法(IQ A)计算法为基础,在终端中采集中以数据为准。
数据传输:利用无线网传送流约终端和远程系统之间的流传。
解密数据:加入数据可靠性验证方法,实现数据解密。
验证:利用远程系统平台验证的数据,与现场数据比对,正确与否都可以恢复验证结果。
数据加密:在这一过程中,以原定的秘密数据验证后,以验证数据为标准进行证明。
数据回传:完成验证后的数据,进一步利用作为基础的4G VPN无线公网系统,实现终端终点传输,实现验证类数据的准确回传。
解除数据:最后的数据解密主要进行数据的验证,决定是否符合现场运营维持是重要的指标。
2.3 终端加密绑定基本步骤
电力通信移动运行维护是电力通信运行维护的重要组成,基于电力网通信运行维护管理系统软件框架平台,使用电力网统一资源数据模型,综合了终端设备绑定、数据采集、数据加密、数据解密、数据双向传输等功能。终端加密绑定的具体步骤如下:
第一步:终端绑定
终端设备以手机为基础,外添加红外线、RFID、GIS、压力测定等软功能的终端,每台终端均具备IMEI的唯一性和IMSI的唯一性,所以终端可以保证终端和远程系统的自动连接,确保通过无线公网连接远程平台进行设备管理。
第二步:数据采集
数据采集主要是通过加密传输,加密码验证结果的重要基础。具体为:结合GPS、RFID、二维码扫描技术、iODF、图像识别等功能用于实现对于移动数据的采集、汇聚,通过对智能数据梳理和采集,在保障湖北电力通信移动工作的时效性的同时,加强湖北电力移动维护作业指导工作的规范。
第三步:数据加密、解密
数据加密是在保证在湖北基于物联网技术的远程系统和手持终端通信的基础上,加强无线公网的传输安全性。
加密以IDEA为基础,在现有算法基础上加入移动设备IMEI和IMSI数据,后期增加了对手持终端的验证能力,加强了数据回传的安全性和可控性[2]。
本部分内容需要参与的模块有数据加密模块、数据解密模块、数据验证模块。加密、解密流程如图3所示。
(1)数据加密模块
服务名:pm_Encryptionmodel
传输前的数据加密是指在终端和远程平台之间传输之前实现,加密方式采用IDEA算法。利用IDEA的其中30位作为IMEI和IMSI的验证进行优化,从而加强数据回传的优化流程。
(2)数据解密模块
服务名:pm_Decryptionmodel
和加密模块流程一样,解密模块是在终端和远程平台接收到数据之后,有针对地对加密数据进行解密。在加密过程中增加了IMEI和IMSI信息,所以需要进行解密、验证,直至最终程序。
(3)数据验证模块
服务名:pm_Datavalidationmodel
比对,终端采集的数据传输至平台验证,以确定现场是否按要求完成运行维护工作。
第四步:数据传输
数据传输是将远程平台和远程平台上的验证信息连接到终端设备加密验阶段。终端设备结合数据采集、加密后,远程平台上呈现出可验证的远程设备,并在终端设备IMEI和IMSI后,使用4G传输技术,数据回传、终端转接数据,终端机将手机的国际位置和国际移动用户的数据视为远程平台,确认到远程平台后进行数据回收[3]。
3 结论
通过扩展物联网及相关技术,工程人员可以实现对非智能化采集设备的通信连接,并结合现有的资源管理系统实现智能管理;将物联网技术进一步应用在变电站站端资源的维护,并用传感技术通过采集获得资源信息,保证变电站站端物理设备资源的快速、有效、准确更新,从而保证站点现场与设备资源系统数据的一致性,通过人员的有序展开资源变更内容给,有利于设备资源上的调度和日常维护与现场作业,确保系统的完整性和准确性,减轻现场维护压力和强度,提高效率。
构建安全、可靠的支撑智能电网信息安全防护的统一安全接入由此定义的安全体系,主要面向国家电网电力系统开展具体业务系统的验证和方针环境建设,在此基础上确保智能电网各业务系统能安全有效纳入安全平台,增强国网智能电网信息安全综合安防防护能力,是基于终端绑定的移动运行维护现场数据加密传输验证方法软件支撑体系的首要任务。
参考文献
[1] Q/GDW 1871.3国家电网通信管理系统技术基础 第3部分:术语和定义[S]. 2014-09-01.
[2] 吴伟彬,黄元石.IDEA算法的改进及其应用[J]. 福州大学学报,2007,12(32):28-31
[3] 周正,陈家璘,邵波,等. 基于IDEA与RSA算法的终端绑定现场数据验证方法[J].电气应用,2015( 增刊): 600-603.
作者信息:
陈家璘1,冯伟东1,詹 鹏1,贺 易1,李 磊1,赵世文2
(1. 国网湖北省电力有限公司信息通信公司,湖北 武汉 430200;
2. 南瑞集团(国网电力科学研究院)有限公司,江苏 南京 210000)