武建华等

【摘 要】 随着公司信息化全面纵深发展和信息系统的集成集中运行，公司各项业务与信息通信网络联系越来越紧密，输电线路状态监测系统也对信息通信网络的规模和覆盖范围提出了新需求。国家电网公司信息安全接入平台是构建坚强智能电网信息安全接入体系的核心安全防护设施，代表了网络接入控制技术的国际先进水平。本文重点介绍了输电线路无线宽带专网是如何接入安全接入平台的。

【关键词】 智能电网 输电线路在线监测系统 无线宽带专网 信息安全 安全接入平台

国家电网公司信息安全接入平台已经进入全面推广的阶段，信息安全接入平台是构建坚强智能电网信息安全接入体系的核心基础安全防护设施，承担智能电网各种复杂网络环境下智能终端安全接入、实时监控、数据安全传输与交换、主动防御预警等重要功能，真正意义上实现了终端、通道和边界的一体化防护，代表了网络接入控制技术的国际先进水平。无线宽带专网通信系统要想达到真正的实用化，必须考虑到信息系统的安全性，也就是说一定要实现安全接入平台的接入。

1 系统设计

1.1 无线专网接入安全接入平台的系统构成

系统组成主要包括加解密芯片、防火墙、加密网关、身份管理认证管理机、动态密钥管理机等设备构成，如图1所示。

1.2 具体实现

无线宽带专网的接入以APN专网通道接入为模板，组网模式不变。加密网关、身份认证管理和动态密钥管理已有，只是接入点由省公司移到了变电站，防火墙为内外网隔离设备，变电站已有，如图2所示。

1.3 工作原理

根据图2所示，无线宽带专网接入安全接入平台系统实现了三层安全防护体制。

1.3.1 第一层无线层防护

在无线通信装置的调制解调器中采用了三川电力设备股份有限公司时扩通信专利技术，不知道时扩码，在接收端不可能解调出正确的数据，同理，没有经过时扩的信号也不可能被无线通信装置解调出正确的数据，只有知道时扩码和时扩原理，才可能与WTX型无线宽带通信装置通信。

通过调制解调器后，通信装置在链路层、网络层采用了三川电力设备股份有限公司的实时网络通信协议的软件防护算法，同样，不知道防护算法和解密码的信息不可能通过链路层或网络层。

1.3.2 第二层识别身份的防火墙

外部网络接入电力内部网时要经过国网公司认证的防火墙，防火墙从身份认证管理机获得允许外部通信装置进入的通信地址（包括链路层地址和IP地址），能够通过防火墙认证身份的外部通信装置是合法的、允许其信息进入，否则，非法的、不允许其信息进入。

宽带无线通信装置属于电力内部通信网络的外部，首先，将装置的链路层地址和IP地址给身份认证管理机，再到防火墙；于是，该装置合法，其发送的信息才能够穿过防火墙，进入电力内部通信网络。

1.3.3 第三层对应用层数据动态加解密

动态密钥管理机管理机在身份认证时，从身份认证管理机上获得通信装置应用层的设备号IMSI，之后，为IMSI自动生成PubKey和PriKey；同理，之前，为加密网关自动生成S-PubKey和S-PriKey。

动态密钥管理机将S-PriKey发给加密网关作为其自己的私钥。当外部通信装置身份认证通过后，动态密钥管理机将通信装置的设备号IMSI和与之对应的公钥PubKey发给加密网关保存，将加密网关的公钥S-PubKey和装置自身的私钥发给无线通信装置中的加解密芯片保存。

外部通信装置每次发送正式报文前将自己的设备号IMSI用加密网关的公钥S-PubKey加密后发到加密网关；加密网关用自己的私钥S-PriKey解密后，获得装置的设备号IMSI，由IMSI找到与之对应的通信装置公钥PubKey，向动态密钥管理机请求随机生成动态密钥Tkey，建立Tkey和IMSI的对应表并保存，将Tkey利用PubKey加密后返回通信装置内的加解密芯片。

通信装置中的加解密芯片用自己的私钥PriKey解密后获得Tkey，并保存密钥Tkey，用Tkey加密应用层数据生成秘密报文，通信装置通过加解密芯片将自身的设备号IMSI号用网关公钥S-PubKey加密、连同秘密报文形成新的应用层数据发到加密网关；加密网关接收到应用层数据后，用己的私钥S-PriKey解密后获得通信装置的设备号IMSI，由IMSI找到其使用的Tkey，并通过Tkey解密后续的秘密报文，复原出应用层数据，将应用层数据传给连接它的计算机——主机。

主机要回传数据到通信装置，首先，主机将数据给加密网关；加密网关将主机发来的应用层数据仍然用Tkey加密形成秘密报文，之后，将秘密报文发给通信装置；通信装置收到秘密报文后，由加解密芯片用Tkey解密，复原出报文给通信装置。

Tkey在生命周期T内可重复使用，一旦生命周期T到期，或者装置重上电，或者装置将Tkey丢失，则需要重复上述生成动态密钥Tkey的步骤。

于是，形成了上下传送的都是秘密报文，不知道私钥和加密网关公钥的外部通信装置，不可能获得动态密钥Tkey，也就不可能解开经Tkey加密的秘密报文，即使能够收到应用层数据；反之，由于没有Tkey，即使能够向上发送应用层数据，要么没有加密，要么加密不对，于是，当加密网关收到后经过Tkey解密后，应用层数据不符合规定。这样，内部网络内的其它计算机也不可能解密上下传送的秘密报文。

由于动态密钥Tkey具有生命周期，只要在生命周期内，外部黑客不能将其破解，则这种防护是安全的。

2 典型应用案例

本系统应用于石家庄安廉II线（上安电厂到廉州变电站的500KV输电线路）输电线路在线监测无线宽带通信系统中，自应用半年以来，系统运行稳定，多次成功拦截非法数据入侵，取得了显著效果。

3 结语

依本文给出的设计思路，实现了输电线路无线宽带专网接入公司安全接入平台，使沿线传输的无线宽带专网实现实用化，达到全面推广的条件，满足用户的现场使用要求，有效解决公司内、外网业务系统的安全接入需求，对保障电力信息系统的安全稳定运行具有重大意义。为开展后期输电线路状态监测、状态检修提供良好的网络基础。

参考文献

[1]Q/GDW 245-2008 《架空输电线路在线监测系统通用技术条件》.

[2]“国家电网公司安全接入平台典型设计技术方案v3.1”.国家电网公司.

[3]“安全接入平台及安全终端介绍”.国家电网公司.