湯斌 南風(fēng)

摘 要：文章論證了一種利用短信傳輸方式實現(xiàn)遠動數(shù)據(jù)故障診斷的安全技術(shù)路線。

關(guān)鍵詞：遠動；短信；在線監(jiān)測；加密算法

中圖分類號：TM711；TM63 文獻標(biāo)識碼：A 文章編號：1006-8937（2016）17-0071-02

1 遠動通道在線診斷系統(tǒng)結(jié)構(gòu)圖及工作原理

運動通道在線診斷系統(tǒng)結(jié)構(gòu)圖及工作原理，如圖1所示。

為遠程對某個變電站的遠動通道進行全面遠程監(jiān)測，主要采取對遠動通道進行實時在線監(jiān)聽為主的方式。對串行通道采用并聯(lián)監(jiān)聽，串口信號為單向，只是接收、測量電壓頻率和計算誤碼率等；網(wǎng)絡(luò)通道則采用不影響現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)與網(wǎng)絡(luò)通訊的網(wǎng)絡(luò)監(jiān)聽技術(shù)方案，數(shù)據(jù)包也為單向傳輸。

根據(jù)各類通道監(jiān)聽的數(shù)據(jù)進行綜合分析，檢測遠動通道運行狀態(tài)，識別出是遠動通道故障、主站故障還是遠動設(shè)備故障；并將相關(guān)數(shù)據(jù)及運行狀態(tài)以定時短信的經(jīng)濟方式匯總到供電局的服務(wù)器上，作為準(zhǔn)實時數(shù)據(jù)和歷史數(shù)據(jù)保存；可由用戶用指定的帳號進行訪問。

同時故障告警短信也可直接發(fā)到運行維護人員手機，或由運行維護人員短信查詢；系統(tǒng)只響應(yīng)或發(fā)送短信給預(yù)先設(shè)定的認證手機號。

2 分站裝置安全分析

2.1 模擬和數(shù)字通道監(jiān)測安全性

遠動通道在線監(jiān)測裝置在模擬和數(shù)字通道上進行并聯(lián)監(jiān)聽，只是接收、測量電壓頻率和計算誤碼率等，不發(fā)送，不影響系統(tǒng)運行。系統(tǒng)工作原理，如圖2所示。

2.2 分站網(wǎng)絡(luò)通道監(jiān)測安全性分析

網(wǎng)絡(luò)通道監(jiān)測裝置不向網(wǎng)絡(luò)發(fā)送任何數(shù)據(jù)包，不影響系統(tǒng)運行。網(wǎng)絡(luò)通道監(jiān)測裝置從變電站的智能網(wǎng)管交換機上的鏡像端口取得指定端口的網(wǎng)絡(luò)數(shù)據(jù)包，并從網(wǎng)絡(luò)數(shù)據(jù)包分析源IP和目的IP，確定主站的通訊服務(wù)器和變電站的通訊管理機對應(yīng)的IP是否在線，并從數(shù)據(jù)包中的104幀類型分析通訊管理機是否正常工作，并計算數(shù)據(jù)包流量等。

2.3 向主站轉(zhuǎn)發(fā)通道狀態(tài)信息的安全性（外部接口）

本系統(tǒng)與在供電局的管理信息大區(qū)的主站系統(tǒng)通訊方式的是文本方式的短信，不是網(wǎng)絡(luò)連接，不存在網(wǎng)絡(luò)安全問題。

遠動通道在線監(jiān)測裝置向預(yù)先設(shè)定的主站手機號轉(zhuǎn)發(fā)短信，短信內(nèi)容采取TEA分組加密算法進行加密。

TEA算法由劍橋大學(xué)計算機實驗室的David Wheeler和Roger Needham于1994年發(fā)明[3]。它是一種分組密碼算法，其明文密文塊為64比特，密鑰長度為128比特。TEA算法利用不斷增加的Delta（黃金分割率）值作為變化，使得每輪的加密是不同，該加密算法的迭代次數(shù)可以改變，建議的迭代次數(shù)為32輪。

雖然TEA算法比 DES（Data Encryption Standard） 要簡單得多，但有很強的抗差分分析能力，加密速度也比DES快得多，而且對64位數(shù)據(jù)加密的密鑰長達128位，安全性好。

由于本系統(tǒng)在所傳輸?shù)耐ǖ罓顟B(tài)包括變電站名字、通道正?；蛑袛嗟龋?jīng)常會有相同的明文出現(xiàn)，從而出現(xiàn)相同的密文。對此系統(tǒng)在分組通訊碼中插入隨機碼，使相同的明文，得到不同的密文，提高破解難度。系統(tǒng)上述安全性分析，如圖3所示。

按照《電力二次系統(tǒng)安全防護規(guī)定》（電監(jiān)會5號令） 第一章

第五條：電力調(diào)度數(shù)據(jù)網(wǎng)應(yīng)當(dāng)在專用通道上使用獨立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，在物理層面上實現(xiàn)與電力企業(yè)其它數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離。

第八條：安全區(qū)邊界應(yīng)當(dāng)采取必要的安全防護措施，禁止任何穿越生產(chǎn)控制大區(qū)和管理信息大區(qū)之間邊界的通用網(wǎng)絡(luò)服務(wù)。

本系統(tǒng)與在供電局的管理信息大區(qū)的主站系統(tǒng)通訊方式的是文本方式的短信，不是網(wǎng)絡(luò)連接（不需要進行物理隔離），更不存在通用網(wǎng)絡(luò)服務(wù)，不在《電力二次系統(tǒng)安全防護規(guī)定》（電監(jiān)會5號令）的涉及范圍內(nèi)。

3 主站W(wǎng)EB服務(wù)器安全分析

主站的WEB訪問只能在供電局內(nèi)網(wǎng)中，用指定的用戶帳號采用Https安全訪問。HTTPS（全稱：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全為目標(biāo)的HTTP通道，簡單講是HTTP的安全版，提供了身份驗證與加密通訊方法。如圖4所示。

參考文獻：

[1] 電監(jiān)會5號令，電力二次系統(tǒng)安全防護規(guī)定[S].

[2] Q/GDW 596- 2011《國家電網(wǎng)公司信息安全風(fēng)險評估實施細則[S].

[3] 電監(jiān)安全[2006]34號，福建省電力二次系統(tǒng)安全防護總體方案[S].