0  引言

    伴隨移動技術、通信信息技術的快速發(fā)展，通信機房現(xiàn)場運行維護將逐步向以下方面發(fā)展： 

    （1）通信機房現(xiàn)場運行維護深化終端應用。在電力各個行業(yè)信息化腳步不斷加快的過程中，現(xiàn)場作業(yè)人員在移動作業(yè)運行維護方面提出了些許問題及要求，由以前通過人工現(xiàn)場書寫內(nèi)容并注入相關應用系統(tǒng)，改變?yōu)楝F(xiàn)階段使用移動式終端來完成。近幾年，通過使用移動式作業(yè)方式來展開電力業(yè)務作業(yè)，在電力的用電管理、高壓電纜線路巡檢、遠程監(jiān)控、物資管理等業(yè)務均已具備上述作業(yè)相關功能。

    （2）電網(wǎng)專用安全防護安全接入平臺的應用。智能電網(wǎng)“信息化、自動化、互動化”的特征，決定電網(wǎng)信息系統(tǒng)與公網(wǎng)（GRPS/CDMA/4G等）的聯(lián)動需求會越來越多，且對移動通信數(shù)據(jù)量和實時要求也將進一步提高。一款開放的基于VPN（無線接入專網(wǎng)）的移動終端作業(yè)平臺，如何確保移動通信終端非?？煽康亟尤腚娏π畔⑾到y(tǒng)的同時不會泄露機密，已成為信息化建設進程中急切之需。

1  技術背景

    國網(wǎng)公司信息安全接入平臺是構建堅強智能電網(wǎng)信息安全接入的核心基礎防護設施，包括安全接入系統(tǒng)、安全接入終端和安全傳輸通道。

    國網(wǎng)公司安全接入系統(tǒng)部署采取“總部和區(qū)域分部、省公司兩級部署”的模式，安全接入系統(tǒng)部署在信息內(nèi)網(wǎng)邊界防火墻和內(nèi)網(wǎng)業(yè)務前置機之間，主要包括安全通道、身份認證、安全接入、訪問控制、數(shù)據(jù)交換、集中監(jiān)管等核心功能。安全接入系統(tǒng)應進行級聯(lián)，實現(xiàn)統(tǒng)一信息交互、集中配置管理、統(tǒng)一監(jiān)控等，確保對各類終端接入的可信、可控。

    內(nèi)網(wǎng)安全接入系統(tǒng)與安全接入終端要通過VPN或光纖建立加密通信聯(lián)系，以確保數(shù)據(jù)傳輸過程安全。VPN建設與信息內(nèi)網(wǎng)安全接入系統(tǒng)的部署模式保持一致，采用總部和區(qū)域分部、省公司兩級建設。

    對于內(nèi)網(wǎng)專用接入條件不具備的信息，通過安全接入系統(tǒng)采集信息，嚴格執(zhí)行嚴格禁止“內(nèi)外機混合”的規(guī)程，即信息、計算機、網(wǎng)絡和互聯(lián)網(wǎng)是嚴格禁止互聯(lián)的。須對接入電網(wǎng)公司信息網(wǎng)絡的手持端進行加密，通過終端加密技術及特定的加密卡（TF卡）進行認證，保證其不可能通過安全接入和其他區(qū)的互聯(lián)網(wǎng)絡，只有通過安全監(jiān)控路由和審核系統(tǒng)，方可接入國網(wǎng)信息網(wǎng)絡。

    安全防護是指利用電力隔離裝置、通用硬件防火墻、路由訪問表、防病毒等先進的通信信息技術，布置移動運行維護的系統(tǒng)后臺管理系統(tǒng)進行縱向防護，并與TMS系統(tǒng)內(nèi)橫向隔離，同時利用系統(tǒng)內(nèi)的安全防護。

2  安全與終端綁定加密過程及方法

    基于物聯(lián)網(wǎng)智能感知技術的電力通信移動運行維護方法，正是將基于聯(lián)網(wǎng)和移動互聯(lián)網(wǎng)的智能識別、移動數(shù)據(jù)回傳的技術引入電力企業(yè)電力通信網(wǎng)現(xiàn)場運行維護中，在現(xiàn)場通過控制運行方式的數(shù)字存儲方法，通過對基礎工作方針的標準規(guī)格化管理、數(shù)字改造，以數(shù)字化智能認識提取、數(shù)據(jù)本體保存、當?shù)鼗樵?、離線綜合數(shù)據(jù)作業(yè)、作業(yè)書和現(xiàn)場設備數(shù)據(jù)的橫向分析，實現(xiàn)作業(yè)指導書和故障設備的有效關聯(lián)^[1]，開展維護現(xiàn)場運營在多長距離的電力公司電子通信網(wǎng)上，用以運行、長距離支撐、規(guī)范管理和政策上具有有效的輔佐。

2.1  加密綁定邏輯拓撲機構展示

    本方案在邏輯網(wǎng)絡拓撲結構的基礎上，實現(xiàn)電力系統(tǒng)綜合監(jiān)控系統(tǒng)的安全性；增加了安全保護、檢測、應急措施，不影響現(xiàn)有業(yè)務的運作，避免不必要的安全設計和執(zhí)行性能，通過一系列的連接、政策、反應和其他方面的脆弱性和不安全感，從而大幅度減少綜合監(jiān)測和控制系統(tǒng)對其性能、穩(wěn)定性以及可靠性能的影響。

    按照國網(wǎng)相關規(guī)定要求進一步完善相關安全支撐，如數(shù)字證書、數(shù)據(jù)加密、VPN接入、地址轉換、安全接入平臺、防火墻。

    電力移動運行維護系統(tǒng)安全架構如圖1所示。

2.2  終端綁定現(xiàn)場加密驗證模塊及流程

    本系統(tǒng)是基于跨越各種操作系統(tǒng)的軟件框架統(tǒng)的一平臺，采用了一致性資源數(shù)據(jù)管理模型，利用智能終端綁定、數(shù)據(jù)加密傳輸、數(shù)據(jù)解密驗證和回傳，能夠保證在安全、規(guī)范的情況下實現(xiàn)業(yè)務流程移動展現(xiàn)。

    圖2描述了本系統(tǒng)平臺運行維護現(xiàn)場數(shù)據(jù)加密、解密傳輸驗證流程。

    基于移動運行維護軟件支撐體系主要包括以下三大應用模塊：

    （1）終端綁定

    終端管理綁定是用來對終端設備的加密綁定，通過手持終端的IMEI和IMSI實現(xiàn)在無線中穩(wěn)定連接，至終端設備的認證，保證通過無線移動公網(wǎng)，利用安全接入平臺，接入電力內(nèi)網(wǎng)系統(tǒng)。

    （2）追加驗證

    數(shù)據(jù)添加技術是利用數(shù)據(jù)添加技術來加強接收者的現(xiàn)場數(shù)據(jù)。具體的是該地區(qū)的進一步、遠距離調(diào)制、遠距離驗證的秘密驗證。因此，在用于控制電力系統(tǒng)安全的整體性的數(shù)據(jù)檢驗方法。

    （3）數(shù)據(jù)傳輸

    數(shù)據(jù)傳輸是以4G為基礎的VPN無線通信網(wǎng)，以移動終端和遠程驗證為基礎的系統(tǒng)的基礎數(shù)據(jù)為基礎進行的數(shù)據(jù)為基礎，在網(wǎng)絡上進行安全、有效的、遠程數(shù)據(jù)進行通過級聯(lián)連接，支持數(shù)據(jù)追加的驗證。

    現(xiàn)場數(shù)據(jù)的加密校驗過程為：“綁定-采集-加密-傳輸-解密-驗證-加密-回傳-解密”。

    終端系統(tǒng)是利用移動系統(tǒng)和國際移動用戶識別（國際移動系統(tǒng)）和國際移動系統(tǒng)（國際移動用戶）和國際移動用戶認識的系統(tǒng)。

    采集：利用手持終端自帶的多種收集方式，維持現(xiàn)有的運營條件，實現(xiàn)移動數(shù)據(jù)的收集。

    加密：以可加法（IQ A）計算法為基礎，在終端中采集中以數(shù)據(jù)為準。

    數(shù)據(jù)傳輸：利用無線網(wǎng)傳送流約終端和遠程系統(tǒng)之間的流傳。

    解密數(shù)據(jù)：加入數(shù)據(jù)可靠性驗證方法，實現(xiàn)數(shù)據(jù)解密。

    驗證：利用遠程系統(tǒng)平臺驗證的數(shù)據(jù)，與現(xiàn)場數(shù)據(jù)比對，正確與否都可以恢復驗證結果。

    數(shù)據(jù)加密：在這一過程中，以原定的秘密數(shù)據(jù)驗證后，以驗證數(shù)據(jù)為標準進行證明。

    數(shù)據(jù)回傳：完成驗證后的數(shù)據(jù)，進一步利用作為基礎的4G VPN無線公網(wǎng)系統(tǒng)，實現(xiàn)終端終點傳輸，實現(xiàn)驗證類數(shù)據(jù)的準確回傳。

    解除數(shù)據(jù)：最后的數(shù)據(jù)解密主要進行數(shù)據(jù)的驗證，決定是否符合現(xiàn)場運營維持是重要的指標。

2.3  終端加密綁定基本步驟

    電力通信移動運行維護是電力通信運行維護的重要組成，基于電力網(wǎng)通信運行維護管理系統(tǒng)軟件框架平臺，使用電力網(wǎng)統(tǒng)一資源數(shù)據(jù)模型，綜合了終端設備綁定、數(shù)據(jù)采集、數(shù)據(jù)加密、數(shù)據(jù)解密、數(shù)據(jù)雙向傳輸?shù)裙δ?。終端加密綁定的具體步驟如下：

    第一步：終端綁定

    終端設備以手機為基礎，外添加紅外線、RFID、GIS、壓力測定等軟功能的終端，每臺終端均具備IMEI的唯一性和IMSI的唯一性，所以終端可以保證終端和遠程系統(tǒng)的自動連接，確保通過無線公網(wǎng)連接遠程平臺進行設備管理。

    第二步：數(shù)據(jù)采集

    數(shù)據(jù)采集主要是通過加密傳輸，加密碼驗證結果的重要基礎。具體為：結合GPS、RFID、二維碼掃描技術、iODF、圖像識別等功能用于實現(xiàn)對于移動數(shù)據(jù)的采集、匯聚，通過對智能數(shù)據(jù)梳理和采集，在保障湖北電力通信移動工作的時效性的同時，加強湖北電力移動維護作業(yè)指導工作的規(guī)范。

    第三步：數(shù)據(jù)加密、解密

    數(shù)據(jù)加密是在保證在湖北基于物聯(lián)網(wǎng)技術的遠程系統(tǒng)和手持終端通信的基礎上，加強無線公網(wǎng)的傳輸安全性。

    加密以IDEA為基礎，在現(xiàn)有算法基礎上加入移動設備IMEI和IMSI數(shù)據(jù)，后期增加了對手持終端的驗證能力，加強了數(shù)據(jù)回傳的安全性和可控性^[2]。

    本部分內(nèi)容需要參與的模塊有數(shù)據(jù)加密模塊、數(shù)據(jù)解密模塊、數(shù)據(jù)驗證模塊。加密、解密流程如圖3所示。

    （1）數(shù)據(jù)加密模塊

    服務名：pm_Encryptionmodel

    傳輸前的數(shù)據(jù)加密是指在終端和遠程平臺之間傳輸之前實現(xiàn)，加密方式采用IDEA算法。利用IDEA的其中30位作為IMEI和IMSI的驗證進行優(yōu)化，從而加強數(shù)據(jù)回傳的優(yōu)化流程。

    （2）數(shù)據(jù)解密模塊

    服務名：pm_Decryptionmodel

    和加密模塊流程一樣，解密模塊是在終端和遠程平臺接收到數(shù)據(jù)之后，有針對地對加密數(shù)據(jù)進行解密。在加密過程中增加了IMEI和IMSI信息，所以需要進行解密、驗證，直至最終程序。

    （3）數(shù)據(jù)驗證模塊

    服務名：pm_Datavalidationmodel

    比對，終端采集的數(shù)據(jù)傳輸至平臺驗證，以確定現(xiàn)場是否按要求完成運行維護工作。

    第四步：數(shù)據(jù)傳輸

    數(shù)據(jù)傳輸是將遠程平臺和遠程平臺上的驗證信息連接到終端設備加密驗階段。終端設備結合數(shù)據(jù)采集、加密后，遠程平臺上呈現(xiàn)出可驗證的遠程設備，并在終端設備IMEI和IMSI后，使用4G傳輸技術，數(shù)據(jù)回傳、終端轉接數(shù)據(jù)，終端機將手機的國際位置和國際移動用戶的數(shù)據(jù)視為遠程平臺，確認到遠程平臺后進行數(shù)據(jù)回收^[3]。

3  結論

    通過擴展物聯(lián)網(wǎng)及相關技術，工程人員可以實現(xiàn)對非智能化采集設備的通信連接，并結合現(xiàn)有的資源管理系統(tǒng)實現(xiàn)智能管理；將物聯(lián)網(wǎng)技術進一步應用在變電站站端資源的維護，并用傳感技術通過采集獲得資源信息，保證變電站站端物理設備資源的快速、有效、準確更新，從而保證站點現(xiàn)場與設備資源系統(tǒng)數(shù)據(jù)的一致性，通過人員的有序展開資源變更內(nèi)容給，有利于設備資源上的調(diào)度和日常維護與現(xiàn)場作業(yè)，確保系統(tǒng)的完整性和準確性，減輕現(xiàn)場維護壓力和強度，提高效率。

    構建安全、可靠的支撐智能電網(wǎng)信息安全防護的統(tǒng)一安全接入由此定義的安全體系，主要面向國家電網(wǎng)電力系統(tǒng)開展具體業(yè)務系統(tǒng)的驗證和方針環(huán)境建設，在此基礎上確保智能電網(wǎng)各業(yè)務系統(tǒng)能安全有效納入安全平臺，增強國網(wǎng)智能電網(wǎng)信息安全綜合安防防護能力，是基于終端綁定的移動運行維護現(xiàn)場數(shù)據(jù)加密傳輸驗證方法軟件支撐體系的首要任務。

參考文獻

[1] Q／GDW 1871.3國家電網(wǎng)通信管理系統(tǒng)技術基礎 第3部分：術語和定義[S]. 2014-09-01.

[2] 吳偉彬,黃元石.IDEA算法的改進及其應用[J]. 福州大學學報,2007,12(32):28-31

[3] 周正，陳家璘，邵波，等. 基于IDEA與RSA算法的終端綁定現(xiàn)場數(shù)據(jù)驗證方法[J]．電氣應用，2015( 增刊)： 600-603.

作者信息:

陳家璘1，馮偉東1，詹  鵬1，賀  易1，李  磊1，趙世文2

（1. 國網(wǎng)湖北省電力有限公司信息通信公司，湖北 武漢 430200；

2. 南瑞集團（國網(wǎng)電力科學研究院）有限公司，江蘇 南京 210000）