基于數字證書安全認證平臺的CORS基站數據通訊和組網

【摘要】充分考慮基站可靠性、安全性、通信速率、成本、可擴充性等因素，通過對網絡運營商提供的數據專線服務的綜合分析比較，選擇企業專網通信網絡，在實現了控制中心各工作站和各基準站之間的高速互聯的同時，有效保障了電力企業CORS基站應用安全性。

【關鍵詞】GNSS；CORS；固定參考站；數據處理中心；安全認證平臺

【中圖分類號】P228.4 【文獻標識碼】A 【文章編號】1672－5158(2012)09－0421－01

隨著GNSS連續運行基準站系統CORS的應用和推廣，近年國內CORS基準站的建設逐漸興起。CORS系統的建立和應用，可以獲取區域內某類空間的位置、時間信息及其相關的動態變化。通過建設若干永久性連續運行的GPS基準站，提供國際通用的基準站站點坐標和GPS測量數據，以滿足各類不同行業用戶精確定位，快速和實時定位、導航的需求，滿足城市規劃、國土測繪、地籍管理、城鄉建設、智能電網、環境監測、防災減災、交通監控，等多種現代化信息化管理的社會需求，特別在智能電網建設中起到了舉足輕重的作用。

為保障電網基礎數據質量，企業通常采取建立CORS基站網、統一的測量基準、精確的國家2000坐標體系架構、差分手段等一系列的保障措施，CORS系統是衛星定位技術、計算機網絡技術、數字通訊技術等高新科技多方位、深度結晶的產物，電力企業作為關乎國計民生的基礎行業，企業內部各業務數據已基本在網絡流轉，企業在享受著信息系統所帶來巨大經濟效益的同時，也面臨著高風險。一旦出現信息泄密或篡改數據的情況，將為國家造成難以估量的損失。

1、CORS系統構成

CORS系統包括3個部分：控制中心，固定站和用戶部分。

1.1 控制中心(Control center)

整個系統的核心。它既是通訊控制中心，也是數據處理中心。用于接收各基準站數據，進行數據處理，形成多基準站差分定位用戶數據，組成一定格式的數據文件，分發給用戶。數據處理中心是CORS的核心單元，也是高精度實時動態定位得以實現的關鍵所在。中心24小時連續不斷地根據各基準站所采集的實時觀測數據在區域內進行整體建模解算，并通過現有的數據通信網絡和無線數據播發網，向各類需要測量和導航的用戶以國際通用格式提供碼相位／載波相位差分改正信息，以便實時解算出流動站的精確點位。通過通訊線(光纜，ISDN，電話線)與所有的固定參考站通訊；通過無線網絡(GSM，CDMA，GPRS……)與移動用戶通訊。

1.2 基準站網

基準站網是由某一范圍內均勻分布的固定參考站組成。負責采集GPS衛星觀測數據并輸送至數據處理中心，同時提供系統完好性監測服務。

1.3 數據通訊部分

CORS的數據通訊包括固定參考站到控制中心的通訊及控制中心到用戶的通訊。參考站到控制中心的通訊網絡負責將參考站的數據實時地傳輸給控制中心；控制中心和用戶問的通訊網絡負責將網絡校正數據送給用戶。一般來說，網絡RTK系統有兩種工作方式：單向方式和雙向方式。在單向方式下，只是用戶從控制中心獲得校正數據，而所有用戶得到的數據應該是一致的，如主輔站技術MAX；在雙向方式下，用戶還需將自己的粗略位置(單點定位方式產生)報告給控制中心，由控制中心有針對性地產生校正數據并傳給特定的用戶，每個用戶得到的數據則可能不同，如虛擬參考站VRS技術。

1.4 用戶部分

包括用戶信息接收系統、網絡型RTK定位系統、事后和快速精密定位系統以及自主式導航系統和監控定位系統等。

2、GORS數據通訊網絡構建

CORS系統的通訊分兩個層面，一個是基準站到數據處理中心的通訊，另一個就是數據處理中心到移動站的通訊。

2.1 從固定參考站到控制中心通訊專線的建立

基準站到數據處理中心的通訊，因為數據量較大，距離遠，而且傳輸速度和傳輸的穩定性要求比較高，需要考慮的是可靠性、實時性、通信速率、可擴充性(能按需要擴充基準站))等要求，一般都是有線方式，最好是專線。由系統建設單位自行敷設通訊線路并組網成本太高周期太長，難以實施。可根據當地的電信運營商提供的不同公網接入方式，由電信運營商采用IP虛擬專網等技術組成專網，采用HDSL、DDN、FR、SDH、數字電路設置專線來實現基站到數據中心的數據傳輸通訊。根據目前國內的實際情況，各大電信運營商都能提供穩定合格的公用互聯網接入和專用數據傳輸線路及方式。作為CORS建設單位可根據CORS系統組網的方式、規模來選擇不同的通訊數據傳輸構建方式。不僅可靠性、安全性高而且成本低。

2.2 數據處理中心到移動站通訊的建立

數據中心首先必須接入公用互聯網，并且必須取得固定公用互聯網IP地址，才能供客戶訪問并獲取改正數據。

目前各移動站設備制造商基本上都是采用移動通訊網絡的無線連接方式，也叫分組交換方式通俗地說就是上網，用戶的GSM模塊開通了GPRS或者CDMA的上網功能，在用戶端相關通訊設置中按數據處理中心給出固定的一個IP地址、Port端口號，用戶名和密碼，就像登陸網站的一樣。用戶登錄了網站，選擇頁面，就可以實時的得到改正數據，而其通訊的協議是國際標準的NTRIP協議。

3、基于數字證書安全認證平臺的實現

基于數字證書安全認證平臺的實現是主要通過在服務器端搭建安全支撐平臺和客戶端搭建客戶端安全應用平臺，企業的各種應用接入安全認證平臺后，通過客戶端和服務器端的交互認證，來實現企業應用安全的控制。

對于電力企業來說，安全認證平臺是構建智能電網信息安全接入體系的核心基礎安全防護設施，USAP依托電網原有的防火墻、IDS等物理安全基礎設施、PKI／PMI等信息安全基礎設施等，基于統一安全策略和統一安全管理的思想進行系統架構設計，有效、安全地承載各種電力業務應用，對外統一提供“安全通道、身份認證、安全接入、訪問控制、數據交換、集中監管”等核心功能。

4、基于數字證書安全認證平臺的00R$基站數據通訊和組網

目前，隨著智能電網的構建，公安部、國家保密局、國家密碼管理局、電監會等國家有關部門對電網企業信息安全工作要求也不斷提高，基于數字證書安全認證平臺的CORS基站數據通訊和組網，不僅能滿足CORS基站高速、有效運行，更能有效確保企業信息內容的機密性、完整性、可用性。

4.1 前置機安全加固

前置機上安裝USAP承建商開發的安全接入終端和安全專控軟件，終端先將數據發送到安全接入平臺交換機，再由內部交換機強制轉發給前置機，終端發送出的數據經過安全接入終端軟件的商密算法加密，再轉發到安全接入平臺服務區。

前置機設置防火墻，限制前置機出口IP地址和端口，并且在安全接入平臺內部三層交換機上加入特定路由，強制終端訪問特定的內網服務器，而不能訪問其他內網業務服務器，保證了內網業務服務器的安全；

前置機數據流進入安全接入平臺內部三層交換機，通過USAP的安全接入區、接入服務區進行安全認證接入并進行安全服務訪問，通過內網業務提供的安全應用接口進行安全數據訪問。

4.2 用戶終端加固

安全終端主要通過終端安全專控軟件(終端安全模塊、安全連接軟件模塊、安全加固軟件模塊等)和安全硬件、系統整體定制等實現安全終端整體防護框架，主要功能包括移動終端完整性檢驗、基于角色及各種組合方式的強身份認證、終端安全加固、業務應用安全控制、綜合訪問控制、安全管理、數據安全存儲和安全訪問等等。

5、結語

經測試，該組網方式可實現CORS安全有效運行，應用實踐表明，此組網方式最大程度地保證了基準站到控制中心之間數據通信的速度穩定、可靠性，確保了國家、企業信息內容的機密性、完整性、可用性。