0  引言

    伴隨移動(dòng)技術(shù)、通信信息技術(shù)的快速發(fā)展，通信機(jī)房現(xiàn)場運(yùn)行維護(hù)將逐步向以下方面發(fā)展： 

    （1）通信機(jī)房現(xiàn)場運(yùn)行維護(hù)深化終端應(yīng)用。在電力各個(gè)行業(yè)信息化腳步不斷加快的過程中，現(xiàn)場作業(yè)人員在移動(dòng)作業(yè)運(yùn)行維護(hù)方面提出了些許問題及要求，由以前通過人工現(xiàn)場書寫內(nèi)容并注入相關(guān)應(yīng)用系統(tǒng)，改變?yōu)楝F(xiàn)階段使用移動(dòng)式終端來完成。近幾年，通過使用移動(dòng)式作業(yè)方式來展開電力業(yè)務(wù)作業(yè)，在電力的用電管理、高壓電纜線路巡檢、遠(yuǎn)程監(jiān)控、物資管理等業(yè)務(wù)均已具備上述作業(yè)相關(guān)功能。

    （2）電網(wǎng)專用安全防護(hù)安全接入平臺(tái)的應(yīng)用。智能電網(wǎng)“信息化、自動(dòng)化、互動(dòng)化”的特征，決定電網(wǎng)信息系統(tǒng)與公網(wǎng)（GRPS/CDMA/4G等）的聯(lián)動(dòng)需求會(huì)越來越多，且對(duì)移動(dòng)通信數(shù)據(jù)量和實(shí)時(shí)要求也將進(jìn)一步提高。一款開放的基于VPN（無線接入專網(wǎng)）的移動(dòng)終端作業(yè)平臺(tái)，如何確保移動(dòng)通信終端非?？煽康亟尤腚娏π畔⑾到y(tǒng)的同時(shí)不會(huì)泄露機(jī)密，已成為信息化建設(shè)進(jìn)程中急切之需。

1  技術(shù)背景

    國網(wǎng)公司信息安全接入平臺(tái)是構(gòu)建堅(jiān)強(qiáng)智能電網(wǎng)信息安全接入的核心基礎(chǔ)防護(hù)設(shè)施，包括安全接入系統(tǒng)、安全接入終端和安全傳輸通道。

    國網(wǎng)公司安全接入系統(tǒng)部署采取“總部和區(qū)域分部、省公司兩級(jí)部署”的模式，安全接入系統(tǒng)部署在信息內(nèi)網(wǎng)邊界防火墻和內(nèi)網(wǎng)業(yè)務(wù)前置機(jī)之間，主要包括安全通道、身份認(rèn)證、安全接入、訪問控制、數(shù)據(jù)交換、集中監(jiān)管等核心功能。安全接入系統(tǒng)應(yīng)進(jìn)行級(jí)聯(lián)，實(shí)現(xiàn)統(tǒng)一信息交互、集中配置管理、統(tǒng)一監(jiān)控等，確保對(duì)各類終端接入的可信、可控。

    內(nèi)網(wǎng)安全接入系統(tǒng)與安全接入終端要通過VPN或光纖建立加密通信聯(lián)系，以確保數(shù)據(jù)傳輸過程安全。VPN建設(shè)與信息內(nèi)網(wǎng)安全接入系統(tǒng)的部署模式保持一致，采用總部和區(qū)域分部、省公司兩級(jí)建設(shè)。

    對(duì)于內(nèi)網(wǎng)專用接入條件不具備的信息，通過安全接入系統(tǒng)采集信息，嚴(yán)格執(zhí)行嚴(yán)格禁止“內(nèi)外機(jī)混合”的規(guī)程，即信息、計(jì)算機(jī)、網(wǎng)絡(luò)和互聯(lián)網(wǎng)是嚴(yán)格禁止互聯(lián)的。須對(duì)接入電網(wǎng)公司信息網(wǎng)絡(luò)的手持端進(jìn)行加密，通過終端加密技術(shù)及特定的加密卡（TF卡）進(jìn)行認(rèn)證，保證其不可能通過安全接入和其他區(qū)的互聯(lián)網(wǎng)絡(luò)，只有通過安全監(jiān)控路由和審核系統(tǒng)，方可接入國網(wǎng)信息網(wǎng)絡(luò)。

    安全防護(hù)是指利用電力隔離裝置、通用硬件防火墻、路由訪問表、防病毒等先進(jìn)的通信信息技術(shù)，布置移動(dòng)運(yùn)行維護(hù)的系統(tǒng)后臺(tái)管理系統(tǒng)進(jìn)行縱向防護(hù)，并與TMS系統(tǒng)內(nèi)橫向隔離，同時(shí)利用系統(tǒng)內(nèi)的安全防護(hù)。

2  安全與終端綁定加密過程及方法

    基于物聯(lián)網(wǎng)智能感知技術(shù)的電力通信移動(dòng)運(yùn)行維護(hù)方法，正是將基于聯(lián)網(wǎng)和移動(dòng)互聯(lián)網(wǎng)的智能識(shí)別、移動(dòng)數(shù)據(jù)回傳的技術(shù)引入電力企業(yè)電力通信網(wǎng)現(xiàn)場運(yùn)行維護(hù)中，在現(xiàn)場通過控制運(yùn)行方式的數(shù)字存儲(chǔ)方法，通過對(duì)基礎(chǔ)工作方針的標(biāo)準(zhǔn)規(guī)格化管理、數(shù)字改造，以數(shù)字化智能認(rèn)識(shí)提取、數(shù)據(jù)本體保存、當(dāng)?shù)鼗樵儭㈦x線綜合數(shù)據(jù)作業(yè)、作業(yè)書和現(xiàn)場設(shè)備數(shù)據(jù)的橫向分析，實(shí)現(xiàn)作業(yè)指導(dǎo)書和故障設(shè)備的有效關(guān)聯(lián)^[1]，開展維護(hù)現(xiàn)場運(yùn)營在多長距離的電力公司電子通信網(wǎng)上，用以運(yùn)行、長距離支撐、規(guī)范管理和政策上具有有效的輔佐。

2.1  加密綁定邏輯拓?fù)錂C(jī)構(gòu)展示

    本方案在邏輯網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的基礎(chǔ)上，實(shí)現(xiàn)電力系統(tǒng)綜合監(jiān)控系統(tǒng)的安全性；增加了安全保護(hù)、檢測、應(yīng)急措施，不影響現(xiàn)有業(yè)務(wù)的運(yùn)作，避免不必要的安全設(shè)計(jì)和執(zhí)行性能，通過一系列的連接、政策、反應(yīng)和其他方面的脆弱性和不安全感，從而大幅度減少綜合監(jiān)測和控制系統(tǒng)對(duì)其性能、穩(wěn)定性以及可靠性能的影響。

    按照國網(wǎng)相關(guān)規(guī)定要求進(jìn)一步完善相關(guān)安全支撐，如數(shù)字證書、數(shù)據(jù)加密、VPN接入、地址轉(zhuǎn)換、安全接入平臺(tái)、防火墻。

    電力移動(dòng)運(yùn)行維護(hù)系統(tǒng)安全架構(gòu)如圖1所示。

2.2  終端綁定現(xiàn)場加密驗(yàn)證模塊及流程

    本系統(tǒng)是基于跨越各種操作系統(tǒng)的軟件框架統(tǒng)的一平臺(tái)，采用了一致性資源數(shù)據(jù)管理模型，利用智能終端綁定、數(shù)據(jù)加密傳輸、數(shù)據(jù)解密驗(yàn)證和回傳，能夠保證在安全、規(guī)范的情況下實(shí)現(xiàn)業(yè)務(wù)流程移動(dòng)展現(xiàn)。

    圖2描述了本系統(tǒng)平臺(tái)運(yùn)行維護(hù)現(xiàn)場數(shù)據(jù)加密、解密傳輸驗(yàn)證流程。

    基于移動(dòng)運(yùn)行維護(hù)軟件支撐體系主要包括以下三大應(yīng)用模塊：

    （1）終端綁定

    終端管理綁定是用來對(duì)終端設(shè)備的加密綁定，通過手持終端的IMEI和IMSI實(shí)現(xiàn)在無線中穩(wěn)定連接，至終端設(shè)備的認(rèn)證，保證通過無線移動(dòng)公網(wǎng)，利用安全接入平臺(tái)，接入電力內(nèi)網(wǎng)系統(tǒng)。

    （2）追加驗(yàn)證

    數(shù)據(jù)添加技術(shù)是利用數(shù)據(jù)添加技術(shù)來加強(qiáng)接收者的現(xiàn)場數(shù)據(jù)。具體的是該地區(qū)的進(jìn)一步、遠(yuǎn)距離調(diào)制、遠(yuǎn)距離驗(yàn)證的秘密驗(yàn)證。因此，在用于控制電力系統(tǒng)安全的整體性的數(shù)據(jù)檢驗(yàn)方法。

    （3）數(shù)據(jù)傳輸

    數(shù)據(jù)傳輸是以4G為基礎(chǔ)的VPN無線通信網(wǎng)，以移動(dòng)終端和遠(yuǎn)程驗(yàn)證為基礎(chǔ)的系統(tǒng)的基礎(chǔ)數(shù)據(jù)為基礎(chǔ)進(jìn)行的數(shù)據(jù)為基礎(chǔ)，在網(wǎng)絡(luò)上進(jìn)行安全、有效的、遠(yuǎn)程數(shù)據(jù)進(jìn)行通過級(jí)聯(lián)連接，支持?jǐn)?shù)據(jù)追加的驗(yàn)證。

    現(xiàn)場數(shù)據(jù)的加密校驗(yàn)過程為：“綁定-采集-加密-傳輸-解密-驗(yàn)證-加密-回傳-解密”。

    終端系統(tǒng)是利用移動(dòng)系統(tǒng)和國際移動(dòng)用戶識(shí)別（國際移動(dòng)系統(tǒng)）和國際移動(dòng)系統(tǒng)（國際移動(dòng)用戶）和國際移動(dòng)用戶認(rèn)識(shí)的系統(tǒng)。

    采集：利用手持終端自帶的多種收集方式，維持現(xiàn)有的運(yùn)營條件，實(shí)現(xiàn)移動(dòng)數(shù)據(jù)的收集。

    加密：以可加法（IQ A）計(jì)算法為基礎(chǔ)，在終端中采集中以數(shù)據(jù)為準(zhǔn)。

    數(shù)據(jù)傳輸：利用無線網(wǎng)傳送流約終端和遠(yuǎn)程系統(tǒng)之間的流傳。

    解密數(shù)據(jù)：加入數(shù)據(jù)可靠性驗(yàn)證方法，實(shí)現(xiàn)數(shù)據(jù)解密。

    驗(yàn)證：利用遠(yuǎn)程系統(tǒng)平臺(tái)驗(yàn)證的數(shù)據(jù)，與現(xiàn)場數(shù)據(jù)比對(duì)，正確與否都可以恢復(fù)驗(yàn)證結(jié)果。

    數(shù)據(jù)加密：在這一過程中，以原定的秘密數(shù)據(jù)驗(yàn)證后，以驗(yàn)證數(shù)據(jù)為標(biāo)準(zhǔn)進(jìn)行證明。

    數(shù)據(jù)回傳：完成驗(yàn)證后的數(shù)據(jù)，進(jìn)一步利用作為基礎(chǔ)的4G VPN無線公網(wǎng)系統(tǒng)，實(shí)現(xiàn)終端終點(diǎn)傳輸，實(shí)現(xiàn)驗(yàn)證類數(shù)據(jù)的準(zhǔn)確回傳。

    解除數(shù)據(jù)：最后的數(shù)據(jù)解密主要進(jìn)行數(shù)據(jù)的驗(yàn)證，決定是否符合現(xiàn)場運(yùn)營維持是重要的指標(biāo)。

2.3  終端加密綁定基本步驟

    電力通信移動(dòng)運(yùn)行維護(hù)是電力通信運(yùn)行維護(hù)的重要組成，基于電力網(wǎng)通信運(yùn)行維護(hù)管理系統(tǒng)軟件框架平臺(tái)，使用電力網(wǎng)統(tǒng)一資源數(shù)據(jù)模型，綜合了終端設(shè)備綁定、數(shù)據(jù)采集、數(shù)據(jù)加密、數(shù)據(jù)解密、數(shù)據(jù)雙向傳輸?shù)裙δ?。終端加密綁定的具體步驟如下：

    第一步：終端綁定

    終端設(shè)備以手機(jī)為基礎(chǔ)，外添加紅外線、RFID、GIS、壓力測定等軟功能的終端，每臺(tái)終端均具備IMEI的唯一性和IMSI的唯一性，所以終端可以保證終端和遠(yuǎn)程系統(tǒng)的自動(dòng)連接，確保通過無線公網(wǎng)連接遠(yuǎn)程平臺(tái)進(jìn)行設(shè)備管理。

    第二步：數(shù)據(jù)采集

    數(shù)據(jù)采集主要是通過加密傳輸，加密碼驗(yàn)證結(jié)果的重要基礎(chǔ)。具體為：結(jié)合GPS、RFID、二維碼掃描技術(shù)、iODF、圖像識(shí)別等功能用于實(shí)現(xiàn)對(duì)于移動(dòng)數(shù)據(jù)的采集、匯聚，通過對(duì)智能數(shù)據(jù)梳理和采集，在保障湖北電力通信移動(dòng)工作的時(shí)效性的同時(shí)，加強(qiáng)湖北電力移動(dòng)維護(hù)作業(yè)指導(dǎo)工作的規(guī)范。

    第三步：數(shù)據(jù)加密、解密

    數(shù)據(jù)加密是在保證在湖北基于物聯(lián)網(wǎng)技術(shù)的遠(yuǎn)程系統(tǒng)和手持終端通信的基礎(chǔ)上，加強(qiáng)無線公網(wǎng)的傳輸安全性。

    加密以IDEA為基礎(chǔ)，在現(xiàn)有算法基礎(chǔ)上加入移動(dòng)設(shè)備IMEI和IMSI數(shù)據(jù)，后期增加了對(duì)手持終端的驗(yàn)證能力，加強(qiáng)了數(shù)據(jù)回傳的安全性和可控性^[2]。

    本部分內(nèi)容需要參與的模塊有數(shù)據(jù)加密模塊、數(shù)據(jù)解密模塊、數(shù)據(jù)驗(yàn)證模塊。加密、解密流程如圖3所示。

    （1）數(shù)據(jù)加密模塊

    服務(wù)名：pm_Encryptionmodel

    傳輸前的數(shù)據(jù)加密是指在終端和遠(yuǎn)程平臺(tái)之間傳輸之前實(shí)現(xiàn)，加密方式采用IDEA算法。利用IDEA的其中30位作為IMEI和IMSI的驗(yàn)證進(jìn)行優(yōu)化，從而加強(qiáng)數(shù)據(jù)回傳的優(yōu)化流程。

    （2）數(shù)據(jù)解密模塊

    服務(wù)名：pm_Decryptionmodel

    和加密模塊流程一樣，解密模塊是在終端和遠(yuǎn)程平臺(tái)接收到數(shù)據(jù)之后，有針對(duì)地對(duì)加密數(shù)據(jù)進(jìn)行解密。在加密過程中增加了IMEI和IMSI信息，所以需要進(jìn)行解密、驗(yàn)證，直至最終程序。

    （3）數(shù)據(jù)驗(yàn)證模塊

    服務(wù)名：pm_Datavalidationmodel

    比對(duì)，終端采集的數(shù)據(jù)傳輸至平臺(tái)驗(yàn)證，以確定現(xiàn)場是否按要求完成運(yùn)行維護(hù)工作。

    第四步：數(shù)據(jù)傳輸

    數(shù)據(jù)傳輸是將遠(yuǎn)程平臺(tái)和遠(yuǎn)程平臺(tái)上的驗(yàn)證信息連接到終端設(shè)備加密驗(yàn)階段。終端設(shè)備結(jié)合數(shù)據(jù)采集、加密后，遠(yuǎn)程平臺(tái)上呈現(xiàn)出可驗(yàn)證的遠(yuǎn)程設(shè)備，并在終端設(shè)備IMEI和IMSI后，使用4G傳輸技術(shù)，數(shù)據(jù)回傳、終端轉(zhuǎn)接數(shù)據(jù)，終端機(jī)將手機(jī)的國際位置和國際移動(dòng)用戶的數(shù)據(jù)視為遠(yuǎn)程平臺(tái)，確認(rèn)到遠(yuǎn)程平臺(tái)后進(jìn)行數(shù)據(jù)回收^[3]。

3  結(jié)論

    通過擴(kuò)展物聯(lián)網(wǎng)及相關(guān)技術(shù)，工程人員可以實(shí)現(xiàn)對(duì)非智能化采集設(shè)備的通信連接，并結(jié)合現(xiàn)有的資源管理系統(tǒng)實(shí)現(xiàn)智能管理；將物聯(lián)網(wǎng)技術(shù)進(jìn)一步應(yīng)用在變電站站端資源的維護(hù)，并用傳感技術(shù)通過采集獲得資源信息，保證變電站站端物理設(shè)備資源的快速、有效、準(zhǔn)確更新，從而保證站點(diǎn)現(xiàn)場與設(shè)備資源系統(tǒng)數(shù)據(jù)的一致性，通過人員的有序展開資源變更內(nèi)容給，有利于設(shè)備資源上的調(diào)度和日常維護(hù)與現(xiàn)場作業(yè)，確保系統(tǒng)的完整性和準(zhǔn)確性，減輕現(xiàn)場維護(hù)壓力和強(qiáng)度，提高效率。

    構(gòu)建安全、可靠的支撐智能電網(wǎng)信息安全防護(hù)的統(tǒng)一安全接入由此定義的安全體系，主要面向國家電網(wǎng)電力系統(tǒng)開展具體業(yè)務(wù)系統(tǒng)的驗(yàn)證和方針環(huán)境建設(shè)，在此基礎(chǔ)上確保智能電網(wǎng)各業(yè)務(wù)系統(tǒng)能安全有效納入安全平臺(tái)，增強(qiáng)國網(wǎng)智能電網(wǎng)信息安全綜合安防防護(hù)能力，是基于終端綁定的移動(dòng)運(yùn)行維護(hù)現(xiàn)場數(shù)據(jù)加密傳輸驗(yàn)證方法軟件支撐體系的首要任務(wù)。

參考文獻(xiàn)

[1] Q／GDW 1871.3國家電網(wǎng)通信管理系統(tǒng)技術(shù)基礎(chǔ) 第3部分：術(shù)語和定義[S]. 2014-09-01.

[2] 吳偉彬,黃元石.IDEA算法的改進(jìn)及其應(yīng)用[J]. 福州大學(xué)學(xué)報(bào),2007,12(32):28-31

[3] 周正，陳家璘，邵波，等. 基于IDEA與RSA算法的終端綁定現(xiàn)場數(shù)據(jù)驗(yàn)證方法[J]．電氣應(yīng)用，2015( 增刊)： 600-603.

作者信息:

陳家璘1，馮偉東1，詹  鵬1，賀  易1，李  磊1，趙世文2

（1. 國網(wǎng)湖北省電力有限公司信息通信公司，湖北 武漢 430200；

2. 南瑞集團(tuán)（國網(wǎng)電力科學(xué)研究院）有限公司，江蘇 南京 210000）