輸電線路無線寬帶專網接入安全接入平臺的應用

武建華等

【摘 要】 隨著公司信息化全面縱深發展和信息系統的集成集中運行，公司各項業務與信息通信網絡聯系越來越緊密，輸電線路狀態監測系統也對信息通信網絡的規模和覆蓋范圍提出了新需求。國家電網公司信息安全接入平臺是構建堅強智能電網信息安全接入體系的核心安全防護設施，代表了網絡接入控制技術的國際先進水平。本文重點介紹了輸電線路無線寬帶專網是如何接入安全接入平臺的。

【關鍵詞】 智能電網 輸電線路在線監測系統 無線寬帶專網 信息安全 安全接入平臺

國家電網公司信息安全接入平臺已經進入全面推廣的階段，信息安全接入平臺是構建堅強智能電網信息安全接入體系的核心基礎安全防護設施，承擔智能電網各種復雜網絡環境下智能終端安全接入、實時監控、數據安全傳輸與交換、主動防御預警等重要功能，真正意義上實現了終端、通道和邊界的一體化防護，代表了網絡接入控制技術的國際先進水平。無線寬帶專網通信系統要想達到真正的實用化，必須考慮到信息系統的安全性，也就是說一定要實現安全接入平臺的接入。

1 系統設計

1.1 無線專網接入安全接入平臺的系統構成

系統組成主要包括加解密芯片、防火墻、加密網關、身份管理認證管理機、動態密鑰管理機等設備構成，如圖1所示。

1.2 具體實現

無線寬帶專網的接入以APN專網通道接入為模板，組網模式不變。加密網關、身份認證管理和動態密鑰管理已有，只是接入點由省公司移到了變電站，防火墻為內外網隔離設備，變電站已有，如圖2所示。

1.3 工作原理

根據圖2所示，無線寬帶專網接入安全接入平臺系統實現了三層安全防護體制。

1.3.1 第一層無線層防護

在無線通信裝置的調制解調器中采用了三川電力設備股份有限公司時擴通信專利技術，不知道時擴碼，在接收端不可能解調出正確的數據，同理，沒有經過時擴的信號也不可能被無線通信裝置解調出正確的數據，只有知道時擴碼和時擴原理，才可能與WTX型無線寬帶通信裝置通信。

通過調制解調器后，通信裝置在鏈路層、網絡層采用了三川電力設備股份有限公司的實時網絡通信協議的軟件防護算法，同樣，不知道防護算法和解密碼的信息不可能通過鏈路層或網絡層。

1.3.2 第二層識別身份的防火墻

外部網絡接入電力內部網時要經過國網公司認證的防火墻，防火墻從身份認證管理機獲得允許外部通信裝置進入的通信地址（包括鏈路層地址和IP地址），能夠通過防火墻認證身份的外部通信裝置是合法的、允許其信息進入，否則，非法的、不允許其信息進入。

寬帶無線通信裝置屬于電力內部通信網絡的外部，首先，將裝置的鏈路層地址和IP地址給身份認證管理機，再到防火墻；于是，該裝置合法，其發送的信息才能夠穿過防火墻，進入電力內部通信網絡。

1.3.3 第三層對應用層數據動態加解密

動態密鑰管理機管理機在身份認證時，從身份認證管理機上獲得通信裝置應用層的設備號IMSI，之后，為IMSI自動生成PubKey和PriKey；同理，之前，為加密網關自動生成S-PubKey和S-PriKey。

動態密鑰管理機將S-PriKey發給加密網關作為其自己的私鑰。當外部通信裝置身份認證通過后，動態密鑰管理機將通信裝置的設備號IMSI和與之對應的公鑰PubKey發給加密網關保存，將加密網關的公鑰S-PubKey和裝置自身的私鑰發給無線通信裝置中的加解密芯片保存。

外部通信裝置每次發送正式報文前將自己的設備號IMSI用加密網關的公鑰S-PubKey加密后發到加密網關；加密網關用自己的私鑰S-PriKey解密后，獲得裝置的設備號IMSI，由IMSI找到與之對應的通信裝置公鑰PubKey，向動態密鑰管理機請求隨機生成動態密鑰Tkey，建立Tkey和IMSI的對應表并保存，將Tkey利用PubKey加密后返回通信裝置內的加解密芯片。

通信裝置中的加解密芯片用自己的私鑰PriKey解密后獲得Tkey，并保存密鑰Tkey，用Tkey加密應用層數據生成秘密報文，通信裝置通過加解密芯片將自身的設備號IMSI號用網關公鑰S-PubKey加密、連同秘密報文形成新的應用層數據發到加密網關；加密網關接收到應用層數據后，用己的私鑰S-PriKey解密后獲得通信裝置的設備號IMSI，由IMSI找到其使用的Tkey，并通過Tkey解密后續的秘密報文，復原出應用層數據，將應用層數據傳給連接它的計算機——主機。

主機要回傳數據到通信裝置，首先，主機將數據給加密網關；加密網關將主機發來的應用層數據仍然用Tkey加密形成秘密報文，之后，將秘密報文發給通信裝置；通信裝置收到秘密報文后，由加解密芯片用Tkey解密，復原出報文給通信裝置。

Tkey在生命周期T內可重復使用，一旦生命周期T到期，或者裝置重上電，或者裝置將Tkey丟失，則需要重復上述生成動態密鑰Tkey的步驟。

于是，形成了上下傳送的都是秘密報文，不知道私鑰和加密網關公鑰的外部通信裝置，不可能獲得動態密鑰Tkey，也就不可能解開經Tkey加密的秘密報文，即使能夠收到應用層數據；反之，由于沒有Tkey，即使能夠向上發送應用層數據，要么沒有加密，要么加密不對，于是，當加密網關收到后經過Tkey解密后，應用層數據不符合規定。這樣，內部網絡內的其它計算機也不可能解密上下傳送的秘密報文。

由于動態密鑰Tkey具有生命周期，只要在生命周期內，外部黑客不能將其破解，則這種防護是安全的。

2 典型應用案例

本系統應用于石家莊安廉II線（上安電廠到廉州變電站的500KV輸電線路）輸電線路在線監測無線寬帶通信系統中，自應用半年以來，系統運行穩定，多次成功攔截非法數據入侵，取得了顯著效果。

3 結語

依本文給出的設計思路，實現了輸電線路無線寬帶專網接入公司安全接入平臺，使沿線傳輸的無線寬帶專網實現實用化，達到全面推廣的條件，滿足用戶的現場使用要求，有效解決公司內、外網業務系統的安全接入需求，對保障電力信息系統的安全穩定運行具有重大意義。為開展后期輸電線路狀態監測、狀態檢修提供良好的網絡基礎。

參考文獻

[1]Q/GDW 245-2008 《架空輸電線路在線監測系統通用技術條件》.

[2]“國家電網公司安全接入平臺典型設計技術方案v3.1”.國家電網公司.

[3]“安全接入平臺及安全終端介紹”.國家電網公司.