基于大數據的電力移動終端安全接入系統設計研究

周祥峰

（廣東電網有限責任公司中山供電局，廣東中山 528400）

在創建國家智能電網的過程中，將物聯網技術應用到智能電網中，能夠整合電力系統的基礎設備和通信設施等資源，使電網信息化水平得到提高，并且提高了電力系統基礎設備的使用效率，以此促進電網各運行環節的效率與安全性[1]。隨著智能化、無線通信技術設備的不斷發展，在被廣泛使用的同時，也導致了安全保密問題的出現。在無線網絡通信時，無線電力終端利用無線信道傳輸數據，在傳輸過程中出現的盜取、竊聽等危險性得到提高。傳統無線終端的安全接入過程中缺乏復雜且完善的體系結構，并且缺少終端安全防護與完善的安全防護體系。因此，將網絡接入控制和可信計算相互結合，使終端接入可信的問題得到解決。

1 系統結構

文中根據網絡專用、安全分區等防護原則，實現電力移動終端安全接入系統架構的設計。通過三級防護的設計原則，實現接入系統邏輯區的劃分，主要包括訪問區域、終端區域與安全傳輸區域。網絡專用指的是以不同信息傳輸的關系，劃分企業內網邏輯為無線專用網、安全接入網、內部應用網，并且在網絡之間利用訪問控制實現數據交換[2-4]，圖1 為系統的總體邏輯結構。

圖1 系統的總體邏輯結構

2 安全接入系統的總體結構

2.1 安全通信模塊的設計

圖2 為安全通信模塊的結構，保留了電力通信的結構與框架，增設大數據處理中心。

圖2 安全通信模塊的結構

圖3 為模塊的工作流程，其中A/D 轉換模塊能夠轉化數字信號與模擬信號。在電力移動終端通信過程中，通信數據與指令都是通過數字信號方式在計算機系統中傳輸。為了滿足線路、電纜的傳輸需求，要使其轉變成為模擬信號。和A/D 模塊相互連接的協議適配模塊要將數字信號傳輸到A/D 模塊中，并且適配不同的通信協議，使指令和數據轉變為相應的協議模式，便于數據發送[5]。

圖3 模塊的工作流程

為了存儲電力通信網絡數據并對其進行識別，要利用數據分離和處理模塊對數據進行監控，保證數據可靠性。數據存儲模塊在數據分離后應用，方便分析和使用。

電力通信大數據處理中心能夠存儲各種設備的信息、通信指令和協議，利用此數據庫整合電力通信網的資源。為了保證電力通信大數據的可用性與安全性，該文利用雙機熱備模式創建數據庫服務器。此服務器利用虛擬化平臺創建服務器集群，增加容災半徑，并且將單點故障去除。

利用相應加密技術加密數據庫中的數據，避免泄露電網中的敏感信息。為了保證加密過程中不會對數據庫正常使用造成影響，文中利用透明數據加密技術實現加密。另外，使用數據庫數據屏蔽的功能屏蔽敏感數據，從而實現信息分離[6]。

2.2 終端系統的設計

終端采集部分為平臺的主要部分，收集輸配電線路的數據。手持終端、固定點信息采集終端都使用基于擴展模組、核心模組的技術方法，在產業化通信綜合維護終端和互聯網中，使用LTE 移動通信技術、RFID 技術、移動互聯網技術等設計服務智能電網。核心模組使用通信處理器的單芯片解決方案實現通用信息安全、高集成度、接口標準的移動信息采集終端平臺核心模組產業化。利用高度集成化使核心模組結合擴展模組構成行業應用終端，包括平板電腦、信息采集終端等[7]，圖4 為行業應用終端。

圖4 行業應用終端

核心模塊是將手機套片方案作為基礎，使用加密芯片技術，開展通用核心模組產業化，能夠為模組擴展提供豐富的數據總線接口，系統使用Android操作系統。

擴展模組基于普通通信測試儀器儀表和核心模組擴展接口，支持專業芯片擴展模組和驅動產品，比如：

1）低功耗、高便攜、長待機的身份識別模組。

2）通信維護領域的LAN、xDSL、FTTx 模組。

3）實現定位和測繪的GPS、北斗模組。

4）實現電力防外破的擴展模組。

5）實現電力抄表的紅外通信模組等。

2.3 終端安全防護

2.3.1 終端設備自身

終端設備綁定、安裝專用SIM 卡，限制撥打電話、訪問公用網絡；綁定國密專用算法，利用國家認證安全性芯片，從而實現數據傳輸過程中的身份認證與數據加密[8]。

利用關鍵安全代碼控制操作系統，使系統在使用過程中的安全性得到提高，從而增強內核的安全性，主要功能包括防止刷機、可信引導、強制訪問控制等，定期檢查移動終端的操作系統漏洞，并且對其統一更新處理。

實現移動終端的安全加固，統一執行安全加固策略，實現系統功能組件與外設接口應用程序的安裝使用、運行、服務的限制。

2.3.2 終端接入認證

利用開機PIN 碼、生物特征驗證與數字證書的結合，能夠構成多因子鑒別技術，從而鑒別移動終端的用戶身份。

能夠處理登錄失敗的問題，對同個用戶連續登錄失敗的次數限制。在對登錄失敗條件觸發時候，能夠自動的鎖定設備、退出登錄。

利用公司統一簽發的國密算法數字證書和安全接入網關相互結合，以此能夠驗證身份，將數字證書存儲到安全芯片中[9]。圖5 為終端安全防護的構成。

圖5 終端安全防護的構成

2.4 網絡安全防護

在業務系統連接的過程中，利用公司無線APN公網和無線專網實現電力移動作業終端。將安全接入區設置到無線網絡與信息內網邊界，對防火墻進行部署，利用公司安全接入網對終端身份進行驗證，避免非法終端接入問題的出現。利用移動終端與安全接入網關加密傳輸過程中的數據，避免出現數據篡改、竊聽與泄露等情況[10]。以下為網絡安全防護的算法：

2.5 應用安全

應用軟件安全：移動終端應用軟件在開發的過程中，要有效保證所承載安全生產、應急指揮與營銷等移動業務軟件的安全性。移動終端實現相應安全組件為業務應用開發不同的安全服務，包括數據簽名、驗證、加密、應用認證等[11]。

工具軟件安全：移動終端要有效保證自身安全，對安裝的軟件進行判斷，自動檢測移動終端，利用工具軟件實現充分評測。

應用數據保護：通過數據分配定義，使終端能夠設計實現存儲應用數據的安全級別，使移動終端數據劃分成為私有數據、敏感數據與普通數據[12]。以下為應用安全的加密算法：

2.6 電力移動終端的安全接入流程

圖6 為電力移動終端的安全接入系統流程，其步驟為：

圖6 電力移動終端的安全接入系統流程

1）在連接網絡與驗證平臺完整性前要連接客戶端，對組件完整性地收集，并且實現初始化。之后，在和服務端接入時也要初始化完整性驗證組件。

2）請求網絡后在接入網關中發送[13]。

3）在認證服務器中發送網絡訪問決策。有一個認證失敗之后就無法實現其他認證。在電力終端和服務器之間具有用戶認證，在接入服務端與電力終端實現完整性檢查與平臺認證。

4）和客戶端、服務器連接實現平臺驗證。

5）假如接入客戶端、服務端平臺成功驗證，接入的服務端會將連接的請求完整性展現出來，驗證完整性。完整性收集組件通過客戶端的連接，實現交互接口消息的返回[14]。

6）實現服務端和客戶端的連接，從而交換完整性的驗證信息，通過接入網關、認證服務器與電力終端轉發信息，直到滿足電力終端和服務端的完整性接入需求。

7）接入服務端對完整性驗證組件發送組件信息并分析。假如完整性驗證組件包含大量信息，通過完整性的驗證接口在接入服務端中發送信息。如果完整性驗證組件信息判斷結束，通過完整性驗證接口能夠發送到接入服務端中。

8）將服務端信息通過接入客戶端轉發到收集組件中，將完整性的收集組件信息發送到服務端中。

9）在檢查服務端與客戶端以后，接入服務端，實現認證服務器的操作。

10）認證服務器將訪問決策發送到接入網關中，對服務端的接入網絡訪問進行決策，在客戶端中發送決定。接入網關要執行認證服務器的決策，之后結束網絡連接的過程[15-16]。

3 結束語

在智能電網建設不斷推進的過程中，大量不同類型移動終端和電力企業內網相互連接，和內網應用系統實現數據交換。另外，移動應用技術的不斷發展，使電力企業生產、管理等業務擴展到移動終端。電力行業和國家能源安全具有密切關系，也是國民經濟的主要支撐企業，對信息安全具有一定的要求。大量移動終端接入，接入環境比較復雜，對于電力企業信息完整性、機密性的要求不斷提高。以此，該文設計了基于大數據的電力移動終端安全接入系統，通過系統實現過程可知，其能夠滿足實際使用需求，移動終端安全接入系統安全、可靠。