分层部署的电力监控系统安全接入装置的制作方法

本实用新型涉及通信领域，特别是涉及一种分层部署的电力监控系统安全接入装置。

背景技术：

国家发改委[2014]第14号令及国能安全[2016]第36号文中规定，“如果生产控制大区内个别业务系统或其功能模块(或子系统)需使用公用通信网络、无线通信网络以及处于非可控状态下的网络设备与终端等进行通信，其安全防护水平低于生产控制大区内其他系统时，应设立安全接入区，典型的业务系统或功能模块包括配电网自动化系统的前置采集模块(终端)、负荷控制管理系统、某些分布式电源控制系统等”，“安全接入区与生产控制大区中其他部分的联接处必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置”。

从功能而言，安全接入区是针对分布式能源、配网自动化、智能电网等新技术快速发展应用，以及电力监控系统使用无线网络进行数据通信情况日益普遍的实际而提出，其目标是将不安全但又必须接入的一些通道由安全接入区统一管理，形成统一的安全防护策略，从而满足了相应等级的安全防护要求。

图1示出了14号令及36号文中规定的安全接入区的典型安全防护框架结构，然而其并未给出安全接入区的具体架构及对应的物理模块，同时该架构仅适用于公用通信网络(包括有线与无线)，难以适用于配电通信无线专网，目前也尚未有用于构建安全接入区的电力监控系统安全接入装置的详细设计。

技术实现要素：

基于此，为解决现有技术中的问题，本实用新型提供一种分层部署的电力监控系统安全接入装置，依托电网已有的安全基础设施，基于统一安全策略和统一安全管理策略，可构建分层架构部署模式的安全接入区，适用于公用通信网络(包括有线与无线)和配电通信无线专网，能充分满足电力监控系统的安全防护需求。

为实现上述目的，本实用新型实施例采用以下技术方案：

一种分层部署的电力监控系统安全接入装置，包括接入服务层和应用接口层，所述接入服务层包括安全接入网关、权限控制系统以及安全数据过滤装置，所述应用接口层包括与生产控制大区内的系统主站进行通信的应用数据接口；

所述安全接入网关与终端通信连接；

所述权限控制系统和所述安全数据过滤装置均与所述安全接入网关通信连接；

所述安全数据过滤装置通过所述应用数据接口与所述生产控制大区内的系统主站通信连接。

在一种可选的实施方式中，所述安全接入网关包括相互连接的VPN服务器和纵向加密装置，所述VPN服务器通过有线或无线公用通信网络与所述终端通信连接。

可选的，所述VPN服务器为IPSec VPN服务器或SSL VPN服务器。

在另一种可选的实施方式中，所述安全接入网关包括相互连接的联合身份认证装置和纵向加密装置，所述联合身份认证装置通过配电通信无线专网与所述终端通信连接。

可选的，所述联合身份认证装置通过Radius接口与所述配电通信无线专网的核心网设备连接。

可选的，所述权限控制系统和所述安全数据过滤装置均通过总线与所述安全接入网关通信连接。

可选的，所述生产控制大区内的系统主站包括配电网调度自动化系统主站和负荷管理控制系统主站；所述应用数据接口包括与所述配电网调度自动化系统主站通信的生产接口以及与所述负荷管理控制系统主站通信的营销接口；所述终端包括配电网终端和负荷控制终端。

可选的，所述安全数据过滤装置包括正向物理隔离装置以及反向物理隔离装置。

本实用新型提供的分层部署的电力监控系统安全接入装置，依托电网已有的安全基础设施，基于统一安全策略和统一安全管理策略，可构建分层架构部署模式的安全接入区。本实用新型将安全接入系统分为接入服务层与应用接口层两层，并给出了每层的逻辑功能组件，共同实现终端身份的可靠认证、通信信道的安全防护、数据的安全过滤与交换以及接入权限的有效控制，既适用于公用通信网络(包括有线与无线)，又适用于配电通信无线专网，能充分满足电力监控系统的安全防护需求。同时，本实用新型从配电通信无线专网的安全特性出发，使用特定的防护装置，即联合身份认证装置，来实现接入服务层的逻辑功能，从而在满足安全防护要求的同时降低高强度认证所引起的系统复杂度及传输时延。

附图说明

图1为国家发改委[2014]第14号令及国能安全[2016]第36号文中规定的安全接入区的典型安全防护框架结构示意图；

图2为本实用新型的分层部署的电力监控系统安全接入装置在一个实施例中的结构示意图；

图3为本实用新型实施例中分层部署的电力监控系统安全接入装置内外通信连接关系示意图；

图4是本实用新型实施例中分层部署的电力监控系统安全接入装置的一种工作流程示意图；

图5是当终端通过有线或无线公用通信网络接入时，本实用新型实施例中分层部署的电力监控系统安全接入装置的结构示意图；

图6是当终端通过配电通信无线专网接入时，本实用新型实施例中分层部署的电力监控系统安全接入装置的结构示意图。

具体实施方式

下面将结合较佳实施例及附图对本实用新型的内容作进一步详细描述。显然，下文所描述的实施例仅用于解释本实用新型，而非对本实用新型的限定。基于本实用新型中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本实用新型保护的范围。应当说明的是，为了便于描述，附图中仅示出了与本实用新型相关的部分而非全部内容。

图2是本实用新型的分层部署的电力监控系统安全接入装置在一个实施例中的结构示意图，本实施例中分层部署的电力监控系统安全接入装置包括接入服务层100和应用接口层200。参照图2所示，接入服务层100向下通过公用通信网罗(包括有线与无线)或配电通信无线专网与终端400通信连接，向上与应用接口层200相连。应用接口层200向下与接入服务层100相连，向上与生产控制大区内的系统主站300相连。可选的，参照图2所示，生产控制大区包括调度生产控制大区和营销生产控制大区，相应的，生产控制大区内的系统主站300可包括配电网调度自动化系统主站31和负荷管理控制系统主站32，终端400可包括配电网终端41和负荷控制终端42。

其中，接入服务层100包括安全接入网关1、权限控制系统2以及安全数据过滤装置3三大逻辑功能组件，应用接口层200包括与生产控制大区内的系统主站300进行通信的应用数据接口4，应用数据接口4定义了应用数据的双向交互规则，并在传输应用数据时检查该应用数据是否与定义的交互规则相匹配。可选的，参照图2所示，应用数据接口4包括与配电网调度自动化系统主站31通信的生产接口401以及与负荷管理控制系统主站32通信的营销接口402。

图3示出了本实施例中分层部署的电力监控系统安全接入装置内部以及与外部的通信连接关系，参照图3所示，安全接入网关1与终端400通信连接，权限控制系统2和安全数据过滤装置3均与安全接入网关1通信连接，安全数据过滤装置3通过应用数据接口4与生产控制大区内的系统主站300通信连接。可选的，权限控制系统2和安全数据过滤装置3均通过总线(如高速信息总线)与安全接入网关1通信连接。

在本实施例中，接入服务层100接收公用通信网络(包括有线与无线)或配电通信无线专网承载的终端400的数据，或通过公用通信网络(包括有线与无线)或配电通信无线专网向终端400传输来自于应用接口层200的数据。应用接口层200将接入服务层100接收的终端400的数据传输至生产控制大区内的系统主站300，或将系统主站300的数据传输至接入服务层100。下面对本实施例中分层部署的电力监控系统安全接入装置的工作流程进行说明。

图4是本实施例中分层部署的电力监控系统安全接入装置的一种工作流程示意图。参照图4所示，当终端400向安全接入网关1发起连接请求时，安全接入网关1对终端400进行强身份认证，且在终端400和安全接入网关1之间建立双向加密隧道。权限控制系统2依据安全接入网关1对终端400的认证信息，并基于指定的安全策略，对终端400进行高强度身份认证和接入控制，确认终端400的合法性，并明确接入电力业务系统的控制权限。此后，安全接入网关1向终端400分配地址，终端400依据安全接入网关1分配的地址向安全接入网关1的外部数据接口发送数据，安全接入网关1将数据通过内部数据接口传递至安全数据过滤装置3。安全数据过滤装置3将接收到的来自安全接入网关1的数据包与预先配置的规则进行匹配分析(安全数据过滤装置3的过滤服务器可以预先配置规则)，并将匹配分析后的数据通过应用数据接口4传递至相应的系统主站300。

在一种可选的实施方式中，参照图5所示，对于终端400通过有线或无线公用通信网络接入的场景，安全接入网关1包括相互连接的VPN服务器111及纵向加密装置112，VPN即Virtual Private Network(虚拟专网)，指的是在公用通信网络上建立专用网络的技术。VPN服务器111通过有线或无线公用通信网络与终端400通信连接，VPN服务器111可采用IPSec(Internet Protocol Security，网络安全协议)VPN服务器或SSL(Security Socket Layer，安全套接层)VPN服务器，使用硬件绑定码唯一标识终端400，负责完成对终端400的身份认证、建立传输信令与数据的专用安全通道。纵向加密装置112为电力行业专用设备，负责完成对终端业务数据的端到端加密。此时权限控制系统2可依托VPN服务器111来实现，对通过安全接入网关1加密认证后的终端400进行身份权限匹配，确认终端400的合法性。

参照图5所示，安全数据过滤装置3包含正向物理隔离装置301及反向物理隔离装置302，正向物理隔离装置301可提供正向的千兆外网/内网接口，反向物理隔离装置302可提供反向的千兆外网/内网接口。其中正向内网/外网接口的信号流向为单向，数据由应用接口层200传输至有线或无线公用通信网络，支持基于MAC、IP、传输协议的综合报文过滤；反向内网/外网接口的信号流向为单向，数据由有线或无线公用通信网络传输至内网，支持基于MAC、IP、传输协议的综合报文过滤。正向物理隔离装置301及反向物理隔离装置302提供的上述接口负责终端400和应用数据接口4的数据安全隔离，防止非法链接穿透生产控制大区内部进行访问，确保终端400和应用数据接口4的安全、正确的数据交换。

在另一种可选的实施方式中，参照图6所示，对于终端400通过配电通信无线专网接入的场景，由于配电通信无线专网网络及设备的专有化，其通信信道已被加密且实现专用，因此不需要在此基础之上使用VPN服务器建立虚拟专用通道，而是仅需要对终端400进行身份认证且对业务数据进行加密。因此，如图6所示，此时安全接入网关1包括相互连接的联合身份认证装置121及纵向加密装置122。其中联合身份认证装置121通过配电通信无线专网与终端400通信连接。联合身份认证装置121是一种可对IMEI(International Mobile Equipment Identity，国际移动设备身份码)、IMSI(International Mobile Subscriber Identification Number，国际移动用户识别码)、ICCID(Integrate circuit card identity，集成电路手机序列号)以及终端MAC地址、ID号等身份信息进行联合绑定认证的装置，通过联合身份认证装置121可以确保终端400的身份合法。可选的，联合身份认证装置121可与配电通信无线专网的核心网设备通过RADIUS(Remote Authentication Dial In User Service，远程用户拨号认证服务)接口互连。纵向加密装置122为电力行业专用设备，负责完成对终端业务数据的端到端加密。此时权限控制系统2可依托联合身份认证装置121实现，对通过安全接入网关1加密认证后的终端400进行身份权限匹配，为其分配特定的APN(Access Point Name，接入点名称)，使每个APN对应于不同的应用接口层中的应用数据接口4。

参照图6所示，安全数据过滤装置3包含正向物理隔离装置301及反向物理隔离装置302，正向物理隔离装置301可提供正向的外网/内网接口，反向物理隔离装置302可提供反向的外网/内网接口。其中正向内网/外网接口的信号流向为单向，数据由应用接口层200传输至配电通信无线专网，支持基于MAC、IP、传输协议的综合报文过滤；反向内网/外网接口的信号流向为单向，数据由配电通信无线专网传输至内网，支持基于MAC、IP、传输协议的综合报文过滤。正向物理隔离装置301及反向物理隔离装置302提供的上述接口可保证终端400和应用数据接口4的数据安全隔离，防止非法链接穿透生产控制大区内部进行访问，确保终端400和应用数据接口4的安全、正确的数据交换。

综上所述，本实用新型提供的分层部署的电力监控系统安全接入装置。依托电网已有的安全基础设施，基于统一安全策略和统一安全管理策略，可构建分层架构部署模式的安全接入区。本实用新型提供的分层部署的电力监控系统安全接入装置分为接入服务层与应用接口层两层，并给出了每层的逻辑功能组件，共同实现终端身份的可靠认证、通信信道的安全防护、数据的安全过滤与交换以及接入权限的有效控制。同时从配电通信无线专网的安全特性出发，使用特定的防护装置，即联合身份认证装置，来实现接入服务层的逻辑功能，从而在满足安全防护要求的同时降低高强度认证所引起的系统复杂度及传输时延。

需要说明的是，以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本实用新型的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对实用新型专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本实用新型构思的前提下，还可以做出若干变形和改进，这些都属于本实用新型的保护范围。因此，本实用新型专利的保护范围应以所附权利要求为准。