专利名称:电力专用公网通信安全网关的制作方法
技术领域:
本发明涉及一种电力专用公网通信安全网关。
背景技术:
目前,IPSec-VPN在VPN技术当中占主导地位,但大多数IPSec-VPN产 品都是通过Internet来建立连接,相对电话网而言,Internet上的安全威胁要 大很多,数据、信息的传输也更容易被发现进而遭受攻击。当采用电话拨号 的方式建立连接时,其PPP拨号IP地址的分配是由电信公网来动态分配的, 其每次拨号建立连接所获得的IP地址都不一样,这样的通信就很不方便。更 重要的是所获得的IP地址会暴露在公共Internet上,这就对系统总体安全构 成威胁,为攻击提供了机会。又因为现有的电力通信网都是复合在架空地线 中,当地线断裂时,因为没有应急的数据传输通道,所以导致电力通信通道 中断,严重影响电力系统的运行安全。因此,目前也还没有针对电力系统通 信,而建立的应急数据传输通道的专用设备。故现有技术存在不足通信不 方便,使用不安全,容易遭受攻击,也没有应急数据传输通道的专用设备。
发明内容
本发明所要解决的技术问题是克服现有技术的不足,提供一种通信方便、 使用安全、不易遭受攻击,拥有多条应急数据传输通道专用设备的电力专用 公网通信安全网关。本发明所采用的技术方案是本发明包括至少一个调制解调器、计算机 主板、网卡接口、 USB外接口、电话线接口、电源,所述计算机主板包括内
存条、CPU、 USB接口、串口、网卡、存储卡,所述调制解调器与所述串口 相连接,所述网卡接口与所述网卡相连接,所述USB外接口与所述USB接 口相连接,所述电话线接口与所述调制解调器相连接,所述电源分别与所述 调制解调器和所述计算机主板相连接。
它还包括管理与配置模块装置,用于配置所述通信安全网关,将通信用 户的用户名、密码以及静态IP进行绑定;PPP网络接入模块装置,用于主叫 的通信安全网关通过电话线或通过无线信号传输另一被叫的通信安全网关的 电话号码,并与之被叫的所述通信安全网关建立通讯联接;身份验证模块装 置,用于主叫的所述通信安全网关与被叫的所述通信安全网关之间的相互身 份验证;VPN模块装置,用于所述通信安全网关之间通讯数据的加密;电力 专用通信协议规则审核模块装置,用于对串口方式通信的电力专用通信规约, 可以按数据帧审核其传输方向、控制属性、内容审核及重新共线组帧,提高 电力远动设备受控的安全强度;网络串口转换模块装置,用于将网络中的应 用层数据剥离,以串口方式与内网安全隔离,保证内网不受外网利用网络协 议漏洞攻击;以上所述管理与配置模块装置、所述PPP网络接入模块装置、 所述身份验证模块装置、所述VPN模块装置、所述电力专用通信协议规则审 核模块装置及所述网络串口转换模块装置都装置在所述存储卡中。
它还包括电力调度数字证书认证管理模块装置,用于验证电力调度数字 证书系统的设备证书有效性,从而维护权限统一由电力调度数字证书系统进 行管理,所述电力调度数字证书认证管理模块装置也装置在所述存储卡中。
它还包括外接串口 ,所述外接串口分别与所述串口及所述调制解调器相 连接。
它还包括防火墙模块装置,用于控制访问与内部网相连接的主机,所述防火墙模块装置也装置在所述存储卡中。
它还包括日志与审计模块装置,用于所述通信安全网关中通讯资料的记 录,为日后的査询提供依据,所述日志与审计模块装置也装置在所述存储卡 中。
本发明的有益效果是由于本发明中还包括所述管理与配置模块装置、 所述PPP网络接入模块装置、所述身份验证模块装置、所述VPN模块装置、 所述电力专用通信协议规则审核模块装置和所述网络串口转换模块装置,所 以提供了一种通信方便、使用安全、不易遭受攻击的电力专用公网通信安全
网关,在电力系统通信网异常的情况下也可通过PSTN或GSM或CDMA或GPRS 或卫星电话等多种电话网络建立起应急机密数据通道,为电网调度自动化实 时数据的传输提供安全可靠的传输通道,从而实现随时随地采用多种方式在 保证信息安全的前提下远程接入,并且无需在应用环境或软件上做任何改动。 由于本发明中所述电力调度数字证书认证管理模块装置的设置,所以更 加保证了通信的安全性,也维护了权限的统一管理。由于所述外接串口的设 置,所以扩充了本发明的实用性,可以采用更多的方式来进行通信。由于所 述防火墙模块装置和所述日志与审计模块装置的设置,所以加大了通信的安 全性,也为日后通信情况的查询,提供依据。
图l是本发明装配结构示意图; 图2是本发明的实施例示意图。
具体实施方式
如图1所示,本发明包括两个的调制解调器l、计算机主板2、外接串口 3、网卡接口 4、 USB外接口 5、电话线接口 6、电源7、管理与配置模块装置、 PPP网络接入模块装置、身份验证模块装置、VPN模块装置、电力专用通信 协议规则审核模块装置、网络串口转换模块装置、电力调度数字证书认证管 理模块装置、防火墙模块装置、日志与审计模块装置。所述计算机主板2上 还设置有内存条21、 CPU22、 USB接口23、串口 24、网卡25、存储卡26。 所述调制解调器1中安装有PSTN或GSM或CDMA或GPRS或卫星电话等多种电 话网络拔号用的设备,所述调制解调器1与所述串口 24相连接。所述外接串 口 3分别与所述串口 24及所述调制解调器1相连接,所述网卡接口 4与所述 网卡25相连接,所述USB外接口 5与所述USB接口 23相连接,所述电话 线接口 6与所述调制解调器1相连接,所述电源7分别与所述调制解调器1 和所述计算机主板2相连接。所述管理与配置模块装置,用于配置所述通信 安全网关,将通信用户的用户名、密码以及静态IP进行绑定。所述PPP网 络接入模块装置,用于主叫的通信安全网关通过电话线或通过无线信号传输 另一被叫的通信安全网关的电话号码,并与之被叫的所述通信安全网关建立 通讯联接。所述身份验证模块装置,用于主叫的所述通信安全网关与被叫的 所述通信安全网关之间的相互身份验证。所述VPN模块装置,用于所述通信 安全网关之间通讯数据的加密。所述电力专用通信协议规则审核模块装置, 用于对串口方式通信的电力专用通信规约,可以按数据帧审核其传输方向、
控制属性、内容审核及重新共线组帧,提高电力远动设备受控的安全强度。 所述网络串口转换模块装置,用于将网络中的应用层数据剥离,以串口方式 与内网安全隔离,保证内网不受外网利用网络协议漏洞攻击。所述电力调度 数字证书认证管理模块装置,用于验证电力调度数字证书系统的设备证书有 效性,从而维护权限统一由电力调度数字证书系统进行管理。所述防火墙模 块装置,用于控制访问与内部网相连接的主机。所述日志与审计模块装置, 用于所述通信安全网关中通讯资料的记录,为日后的査询提供依据。以上所述管理与配置模块装置、所述PPP网络接入模块装置、所述身份验证模块装
置、所述VPN模块装置、所述电力专用通信协议规则审核模块装置、所述网 络串口转换模块装置、所述电力调度数字证书认证管理模块装置、所述防火 墙模块装置及所述日志与审计模块装置都装置在所述存储卡26中。
由于主叫电力专用公网通信安全网关通过拨打被叫电力专用公网通信安 全网关的电话号码的PPP网络接入模块装置,PPP网络接入模块装置采用直 接与电话连接拨号方式的PPP拨号连接,由人工静态地分配IP地址,而且IP 地址不会暴露在Internet上,所以使用安全;由于用于配置电力专用公网通信 安全网关参数的管理与配置模块装置对有关参数进行管理,采用的是电话网 拨号连接,在建立PPP拨号连接前,先对本拨号安全网关装置进行配置,此 时分配好服务器和各拨号用户的静态IP,将各拨号用户的用户名、密码以及 静态IP进行绑定,在建立PPP拨号连接时,采用电话直连拨号的方式,通过 拨号用户的用户名和密码的标识在服务器上获得己经分配好的静态IP地址, 用于身份验证的身份验证模块装置和用于提供加密服务和远程客户访问内部 网多台主机的VPN模块装置在建立拨号用的用户名和密码不以明文方式记 录在文件/etc/ppp/pap-secrets或/etc/ppp/chap-secrets中,而是使用操作系统验 证本地用户的方法对拨号用户进行验证,既密码经过shadow编码加密后存 储,并且该拨号用户不能从本地登录系统,只能通过拨号得到网络连接,该 用户所分配的IP地址保存在 /.ppprc下,每个拨号用户都用不同的.ppprc 文件,以分配不同的IP地址,创建拨号用户是通过脚本vpnuser完成,该脚 本读取使用标准命令useradd命令创建一个本地用户,登录shell为 /sbin/nologin,即不能使用shell登录本地,useradd命令并完成用户密码的加 密存储vpnuser脚本在该用户的home目录下创建.ppprc文件,写入要分配给 该用户的PPPIP地址,这样该用户在拨号的过程中,通过输入的用户名和密 码,就可以获得已经分配好的pppIP地址,所以通信方便,使用安全,由于 本发明还提供了网络转串口技术,可以通过串口对一些网络设备进行远程的配置和维护,所以通信方便。总的来说,本发明可以在使用IPSec-VPN技术 进行数据传输与通信的时候更有效的提高其安全性,降低了数据通过Internet 传输时遭受攻击的可能性;解决了 IP地址动态分配的局限性以及IP地址在 Internet上暴露等问题,而且解决了网络转串口即网络设备通过串口的远程配 置与维护问题。
如图2所示,本发明的工作实施例其中实施例中包括内部网30、本发 明中电力专用公网通信安全网关(被叫)31、普通PC机32、待调试或维护 的网络设备33、本发明中电力专用公网通信安全网关(主叫)34、普通PC 机35,通过一台所述普通PC机32对本发明中所述电力专用公网通信安全网 关31进行配置。在配置的过程中,除了对网络接口、路由、防火墙规则等进 行设置外,还预先设定好每个远程客户(即所述本发明中电力专用公网通 信安全网关34)的用户名、密码以及pppIP并将其绑定在一起。主叫的和被 叫的所述电力专用公网通信安全网关在通过双向的身份认证后,在主叫的和 被叫的所述电力专用公网通信安全网关之间就建立了一个安全的VPN隧道 连接,所有数据包都要经过所述防火墙模块装置的检测,符合规则的数据包 将经过所述VPN模块装置的处理后在两者之间传输(在此,传输的方式有 PSTN/GSM/CDMA/GPRS/卫星电话等多种通信传输方式)。在VPN安全隧道 建立好以后,就可以实现局域网内的资源共享,还可以在所述电力专用公网 通信安全网关31与所述待调试或维护的网络设备33之间连接一根串口线, 通过网络转串口技术,实现远动两端的串口数据通信。同理,本发明中所述 电力专用公网通信安全网关34也可通过一台所述普通PC机35来进行配置, 通过所述电力专用公网通信安全网关31的主叫,作为被叫网关来对连接的待 调试或维护的网络设备33来进行调试或维护。
本发明可广泛应用于高安全性、低速率要求的网络通信领域。
9
权利要求
1、一种电力专用公网通信安全网关,包括至少一个调制解调器(1)、计算机主板(2)、网卡接口(4)、USB外接口(5)、电话线接口(6)、电源(7),所述计算机主板(2)包括内存条(21)、CPU(22)、USB接口(23)、串口(24)、网卡(25)、存储卡(26),所述调制解调器(1)与所述串口(24)相连接,所述网卡接口(4)与所述网卡(25)相连接,所述USB外接口(5)与所述USB接口(23)相连接,所述电话线接口(6)与所述调制解调器(1)相连接,所述电源(7)分别与所述调制解调器(1)和所述计算机主板(2)相连接,其特征在于它还包括管理与配置模块装置,用于配置所述通信安全网关,将通信用户的用户名、密码以及静态IP进行绑定;PPP网络接入模块装置,用于主叫的通信安全网关通过电话线或通过无线信号传输另一被叫的通信安全网关的电话号码,并与之被叫的所述通信安全网关建立通讯联接;身份验证模块装置,用于主叫的所述通信安全网关与被叫的所述通信安全网关之间的相互身份验证;VPN模块装置,用于所述通信安全网关之间通讯数据的加密;电力专用通信协议规则审核模块装置,用于对串口方式通信的电力专用通信规约,可以按数据帧审核其传输方向、控制属性、内容审核及重新共线组帧,提高电力远动设备受控的安全强度;网络串口转换模块装置,用于将网络中的应用层数据剥离,以串口方式与内网安全隔离,保证内网不受外网利用网络协议漏洞攻击;以上所述管理与配置模块装置、所述PPP网络接入模块装置、所述身份验证模块装置、所述VPN模块装置、所述电力专用通信协议规则审核模块装置及所述网络串口转换模块装置都装置在所述存储卡(26)中。
2、 根据权利要求l所述的电力专用公网通信安全网关,其特征在于它还包括电力调度数字证书认证管理模块装置,用于验证电力调度数字证书系统的设备证书有效性,从而维护权限统一由电力调度数字证书系统进行管理,所述电力调度数字证书认证管理模块装置也装置在所述存储卡(26)中。
3、 根据权利要求1或2所述的电力专用公网通信安全网关,其特征在于它还包括外接串口 (3),所述外接串口 (3)分别与所述串口 (24)及所述调制解调器(1)相连接。
4、 根据权利要求3所述的电力专用公网通信安全网关,其特征在于它还包括防火墙模块装置,用于控制访问与内部网相连接的主机,所述防火墙模块装置也装置在所述存储卡(26)中。
5、 根据权利要求4所述的电力专用公网通信安全网关,其特征在于它还包括日志与审计模块装置,用于所述通信安全网关中通讯资料的记录,为曰后的查询提供依据,所述日志与审计模块装置也装置在所述存储卡(26)中。
全文摘要
本发明公开了一种电力专用公网通信安全网关,旨在提供一种通信方便、使用安全、不易遭受攻击,拥有多条应急数据传输通道专用设备的电力专用公网通信安全网关。本发明包括至少一个调制解调器(1)、计算机主板(2)、网卡接口(4)、USB外接口(5)、电话线接口(6)、电源(7)、管理与配置模块装置、PPP网络接入模块装置、身份验证模块装置、VPN模块装置、电力专用通信协议规则审核模块装置及网络串口转换模块装置,以上所述模块装置均设置在所述计算机主板(2)中。本发明可广泛应用于高安全性、低速率要求的网络通信领域。
文档编号H04L12/66GK101494624SQ200810218549
公开日2009年7月29日 申请日期2008年10月22日 优先权日2008年10月22日
发明者刘智勇, 鹏 李, 杨晋柏, 荣 胡, 陈良汉 申请人:珠海市鸿瑞信息技术有限公司;中国南方电网有限责任公司