黎 鵬

（廣西電網(wǎng)有限公司南寧供電局，廣西 南寧 530000）

0 引 言

由于無線供電通信網(wǎng)絡(luò)系統(tǒng)的飛速發(fā)展，電力監(jiān)控系統(tǒng)面臨的主要威脅來源于數(shù)據(jù)通信和網(wǎng)絡(luò)傳輸過程中的計算機病毒、惡意程序、安全漏洞，影響電力數(shù)據(jù)的安全[1,2]。為保證系統(tǒng)的通信安全，防止受到病毒、惡意程度和非法訪問對系統(tǒng)產(chǎn)生的破壞，保證電力監(jiān)控系統(tǒng)中的各個設(shè)備穩(wěn)定運行，針對無線供電通信安性問題，文獻[3]公開一種考慮業(yè)務(wù)關(guān)聯(lián)的電力通信檢修安全校核方法，通過在西北區(qū)域二級骨干通信網(wǎng)中進行繼電保護，提高了系統(tǒng)的穩(wěn)定性，并提出基于關(guān)聯(lián)業(yè)務(wù)分類的通信檢修快速檢索算法，增強了繼電器保護能力。在電力系統(tǒng)的控制中心部署大量的網(wǎng)絡(luò)安全監(jiān)測設(shè)備，采集控制區(qū)域內(nèi)服務(wù)器、工作站和網(wǎng)絡(luò)設(shè)備檢測到的網(wǎng)絡(luò)通信完全數(shù)據(jù)。文獻[4]通過電力物聯(lián)網(wǎng)安全通信協(xié)議研究提高數(shù)據(jù)信息計算能力，該協(xié)議以設(shè)備指紋和SM9算法為基礎(chǔ)，將終端唯一識別標記應(yīng)用到電力物聯(lián)網(wǎng)終端，以實現(xiàn)數(shù)據(jù)信息的交互與傳遞。文獻[5]通過論述電力通信信息安全問題，實現(xiàn)安全無線供電通信與信息交互。

1 安全無線供電通信網(wǎng)絡(luò)系統(tǒng)設(shè)計

針對現(xiàn)有技術(shù)的不足，設(shè)計了通信安全防護體系，主要措施有：（1）在現(xiàn)有的通信安全防護上加裝入侵檢測系統(tǒng)和防病毒網(wǎng)關(guān)，對主機進行加固，通過合理配置硬件設(shè)備和系統(tǒng)軟件提高系統(tǒng)通信的安全防護水平與抗風險能力；（2）由于系統(tǒng)中的各項數(shù)據(jù)需要經(jīng)過各種路由器和交換機等中繼數(shù)據(jù)傳輸設(shè)備，因此提出了基于Manager/Agent的管理節(jié)點和代理節(jié)點模式，其優(yōu)點在于集成了遠程管理接口，并且在簡單網(wǎng)絡(luò)管理協(xié)議（Simple Network Management Protocol，SNMP）下發(fā)送命令，提高設(shè)備的響應(yīng)[5]；（3）縱向加密使用NetKeeper-2000裝置，可以在100M的帶寬網(wǎng)速中將加密通信線路的建設(shè)延遲降至0 ms，整個數(shù)據(jù)的傳輸量可以達到100 Mb/s，而且為了實現(xiàn)對用戶的身份認證，還加入了加密算法以及控制訪問技術(shù)；（4）設(shè)計網(wǎng)絡(luò)數(shù)據(jù)隔離裝置的單向隔離通道，基于信息檢索系統(tǒng)（Information Retrieval System，IRS）加入了校驗?zāi)K，發(fā)送模塊中的用戶數(shù)據(jù)包生成校驗碼，隔離模塊加入了判斷分類功能，對用戶發(fā)出的通信報文進行判斷和決策，判斷是否符合通信的信任要求并進行相應(yīng)的處理[6,7]。通信安全防護體系架構(gòu)如圖1所示。

圖1 通信安全防護體系架構(gòu)

該防護體系中部署了多個通信網(wǎng)關(guān)、防護設(shè)備、檢測裝置以及隔離裝置，嚴格控制接入地址、端口和協(xié)議，為通信調(diào)度數(shù)據(jù)網(wǎng)與系統(tǒng)內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)的互聯(lián)提供安全保障。電力系統(tǒng)的信息管理區(qū)與生產(chǎn)控制區(qū)之間使用獨立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，與其他電力系統(tǒng)實現(xiàn)了物理隔離，同時保證了業(yè)務(wù)的正常傳輸。通過正向隔離裝置和反向隔離裝置將電力系統(tǒng)內(nèi)網(wǎng)與外網(wǎng)安全隔離，使內(nèi)外網(wǎng)在物理層面完全斷開。使用ASP.NET Chart圖形化組件將統(tǒng)計到的通信網(wǎng)絡(luò)中各設(shè)備數(shù)量、在線率、告警信息等基本數(shù)據(jù)展示在界面上，將網(wǎng)絡(luò)運行指標和網(wǎng)絡(luò)安全指標的統(tǒng)計結(jié)果以統(tǒng)計圖的形式返回展示。

該研究在Linux系統(tǒng)下對端口白名單和關(guān)鍵文件進行配置，便于服務(wù)器進行安全訪問。采集服務(wù)器、工作站、網(wǎng)絡(luò)設(shè)備以及防護設(shè)備的安全數(shù)據(jù)和網(wǎng)絡(luò)安全事件，保證了內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)以及服務(wù)器的安全。使用管理信息庫（Management Information Base，MIB）進行系統(tǒng)的數(shù)據(jù)統(tǒng)計，這種信息庫可以管理多種協(xié)議的信息和用戶設(shè)備，兼容性和拓展性較好，采用樹形結(jié)構(gòu)的存儲模式在分布式數(shù)據(jù)報文網(wǎng)絡(luò)進行分布式存儲。對于通信網(wǎng)絡(luò)中的代理節(jié)點來說，基于MIB樹的對象標識符（Object Identifier，OID）節(jié)點對象實現(xiàn)通信設(shè)備的管理，通過標識符進行數(shù)據(jù)讀取和屬性設(shè)置。

2 基于FPGA的網(wǎng)絡(luò)數(shù)據(jù)隔離裝置設(shè)計

該研究在通信安全防護體系中采用的是正反隔離的裝置，為了實現(xiàn)兼容多種網(wǎng)絡(luò)協(xié)議和數(shù)據(jù)的實時傳輸，研究中加入了基于可編程邏輯閘陣列（Field Programmable Gate Array，F(xiàn)PGA）的數(shù)據(jù)隔離裝置，這種裝置可以在高工作頻率下實現(xiàn)對電力數(shù)據(jù)的實時監(jiān)控，并且可以對電力設(shè)備的各項數(shù)據(jù)進行準確的收發(fā)，與外界實現(xiàn)單向通信，保證了數(shù)據(jù)的安全性。隔離裝置模塊的結(jié)構(gòu)如圖2所示。

圖2 隔離裝置模塊

在隔離裝置模塊中，單項隔離通道用于傳輸數(shù)據(jù)的監(jiān)控和控制，并且可以判斷數(shù)據(jù)是否滿足相應(yīng)要求。若數(shù)據(jù)滿足要求，則系統(tǒng)將數(shù)據(jù)傳輸至先進先出（First Input First Output，F(xiàn)IFO）模塊中，但有時可能出現(xiàn)數(shù)據(jù)丟失的現(xiàn)象，為了防止這種問題，在數(shù)據(jù)傳輸過程中，儲存器對數(shù)據(jù)信息進行提前緩存，并且對數(shù)據(jù)可以進行直接的讀取和輸入操作[8,9]。在校驗?zāi)K中，為了提高應(yīng)用范圍和檢驗效果，本文使用了循環(huán)冗余校驗碼（Cyclic Redundancy Check，CRC）。發(fā)送數(shù)據(jù)設(shè)為f(x)，進行按位的加減運算，得到的余數(shù)為校驗碼，可表示為

式中：G(x)為生成多項式；r(x)為校驗碼；Q(x)為商；k為其最高冪值。

校驗?zāi)K的數(shù)據(jù)接收接口為發(fā)送模塊的輸出接口，將校驗碼傳輸至發(fā)送模塊[10]。隔離模塊在系統(tǒng)中的作用非常明顯，可以判斷傳輸數(shù)據(jù)的風險等級和提前預(yù)判，當傳輸?shù)臄?shù)據(jù)危險系數(shù)高，則隔離模塊將發(fā)送Err_code[7..0]，而后經(jīng)過校驗?zāi)K傳輸至通信裝置。

3 基于ATE7053多功能芯片供電通信信息傳遞方式

為了提高供電通信數(shù)據(jù)信息的交互能力，分析綜合供電通信服務(wù)系統(tǒng)的儲能量傳遞和信息平衡，保證多種信號控制線中的供電通信流向一致，并對儲能余量進行監(jiān)測，防止供電通信浪費。供電通信的信息傳遞方式如圖3所示。

圖3 供電通信信息傳遞方式

供電信息傳輸過程中，為了實現(xiàn)系統(tǒng)的邏輯性，提高系統(tǒng)運行效率，設(shè)計加入了邏輯控制單元，可以對儲能罐中的供電信息進行統(tǒng)計和量化，通過分析供電信息來判斷運輸策略。經(jīng)過邏輯控制單元判斷所使用的運輸方式；通過數(shù)字驅(qū)動確定送達位置，并與控制系統(tǒng)完成指令交互。

為了解儲能罐的余量，還加入了供電通信計量裝置，可以發(fā)送測量出的儲能罐余量，這個過程能夠避免邏輯線路上的運輸量過大，提高運輸效率。為了提高綜合供電通信的數(shù)據(jù)傳輸準確率，加快數(shù)據(jù)的集成，加入了ATE7053多功能芯片，可以實現(xiàn)對云端數(shù)據(jù)的快速加密傳輸，為上文中的改進型客戶終端設(shè)備（Customer Premise Equipment，CPE）通信算法提供硬件支撐。計量芯片內(nèi)部線路如圖4所示。

圖4 計量芯片設(shè)計

ATE7053多功能芯片的引腳中，總控線連接的是ATE32模塊，上位機與儲存器相連，MIII接口負責輸出顯示信號，儲存器通過IEC61850協(xié)議與無線通信模塊連接，電源模塊輸出的1.2 V和2.5 V電壓輸入至ATE7053多功能芯片，8.8 V電壓輸入至ATE32芯片和ADC采樣模塊。

4 實驗與分析

為驗證該研究系統(tǒng)安全通信的防護性能，搭建實驗環(huán)境，在交換機與路由器加密裝置的兩端口之間建立數(shù)據(jù)傳輸，為實驗中的網(wǎng)絡(luò)設(shè)備配置一個IP地址，選擇eth1和eth2為內(nèi)網(wǎng)口與外網(wǎng)口，定義網(wǎng)絡(luò)接口的接口類型為Bridge。

實驗中記錄了設(shè)備編號、設(shè)備名稱、設(shè)備IP、設(shè)備類型、告警內(nèi)容、所屬地域、電壓等級、站點類型等信息，使用這些信息進行測試，實驗數(shù)據(jù)集如表1所示。

表1 實驗數(shù)據(jù)集

測試時，使用6個客戶端同時對隔離裝置另一端的客戶端發(fā)送同樣的數(shù)據(jù)包，設(shè)定3號客戶端的IP地址為192.168.0.11，信任的IP地址范圍為192.168.0.20～192.168.0.30，通過軟件抓取到發(fā)向另一端計算機的報文，竊取到的信息量如表2所示，總信息量如圖5所示。

圖5 總信息量

表2 竊取到的信息量

隨著實驗時間的增加，傳輸?shù)臄?shù)據(jù)量逐級增多，竊聽節(jié)點竊取到的信息量也增多。文獻[4]系統(tǒng)中竊聽節(jié)點得到的數(shù)據(jù)量最高可達到8.75 MB，文獻[5]系統(tǒng)中竊聽節(jié)點的數(shù)據(jù)量為7.43 MB。在文獻[4]系統(tǒng)和文獻[5]系統(tǒng)中，數(shù)據(jù)傳輸?shù)臒o線網(wǎng)絡(luò)安全性能較低，源節(jié)點和目標節(jié)點的通信過程受到竊聽節(jié)點竊聽。所研究系統(tǒng)在無線網(wǎng)絡(luò)環(huán)境下，竊聽節(jié)點得到的信息量不足2 MB，竊取到的有效信息量不超過1.4%，利用中繼節(jié)點轉(zhuǎn)發(fā)源節(jié)點的傳輸信息，有效提高了信息傳輸?shù)陌踩浴?/p>

5 結(jié) 論

該研究設(shè)計出了安全無線供電通信網(wǎng)絡(luò)系統(tǒng)，加強了電力監(jiān)控信息通信的安全水平，部署了多種安全防護設(shè)備，提高了系統(tǒng)工作效率，并利用加密設(shè)備對不同區(qū)域之間的通信信息進行加密，防止系統(tǒng)受到惡意攻擊或破壞，影響電力監(jiān)控功能。應(yīng)用基于解碼轉(zhuǎn)發(fā)協(xié)議的無線網(wǎng)絡(luò)通信安全方法，利用無線協(xié)作中繼節(jié)點實現(xiàn)了源節(jié)點和目的節(jié)點之間通信信息的安全傳輸，通過優(yōu)化中繼節(jié)點的功率權(quán)重降低竊聽節(jié)點的有效功率。在以后的研究中，還需按照電力通信網(wǎng)絡(luò)監(jiān)控管理要求對系統(tǒng)的功能層進行升級和維護，對系統(tǒng)中設(shè)備的配置進行相應(yīng)調(diào)整。