安全接入平台的制作方法

安全接入平台的制作方法
【技术领域】
[0001]本发明涉及电力领域，具体地，涉及一种安全接入平台。
【背景技术】
[0002]电力输电线路状态监测系统由主站系统和各种在线监测子系统构成，子系统监测微气象包括导线温度、覆冰、弧垂、风偏、气温等，及杆塔视频监测。
[0003]在线监测设备使用传感器收集各种监测信息，通过状态信息接入控制器上传至前置系统，前置系统再将数据汇集至主站系统。
[0004]汇集在状态监测数据库中的数据，通过企业业务逻辑处理中间件进行二次加工，实现输电线路状态监测的业务功能需求(如汇总统计、异常信息获取、状态评价信息获取、典型数据分析等)，并可以通过规范的状态监测数据服务经由企业级ESB总线为其它应用系统提供实时/准实时数据服务，满足各类业务应用对状态监测信息的在线处理需要。
[0005]电力输电线路状态监测系统的数据形式主要为状态监测数据和视频监测数据。目前采集终端主要为采集装置和视频装置通过无线APN方式接入。
[0006]现有的电力输电线路状态监测系统如图1所示。该技术存在以下安全风险:
1、系统终端通过无线APN专网接入信息内网未采用网络隔离、安全接入防护等安全防护措施；
2、非法终端通过变电站侵入公司信息内网；
3、非法终端通过无线APN专网侵入公司信息内网；
4、非法终端通过CMA接入公司信息内网。

【发明内容】

[0007]本发明的目的在于，针对上述问题，提出一种安全接入平台，以实现提高电力输电线路状态监测系统安全性的优点。
[0008]为实现上述目的，本发明采用的技术方案是:
一种安全接入平台，连接在输变电设备状态监测系统的前端，用于接收来自CMA装置的信息，安全接入平台包括，身份认证系统、集中监管系统、安全数据交换系统和采集接入网关，所述CMA装置上设置安全模块；
CMA装置通过安全网络与安全接入平台的采集接入网关建立网络连接；
CMA装置发起访问请求给安全接入平台的采集接入网关，CMA装置的安全模块和安全接入平台的身份认证系统实现双向认证鉴别后，身份认证系统对CMA装置发起的访问请求进行安全状态评估后，判断是否给予访问授权与许可，如给予访问授权与许可，CMA装置通过安全数据交换系统与输变电设备状态监测系统进行安全数据交互，集中监管系统对身份认证系统和安全数据交换系统中的数据进行实时监管。
[0009]优选的，所述CMA装置的安全模块内集成有SMl对称密码算法和SM2非对称密码算法。
[0010]本发明的技术方案具有以下有益效果:
本发明的技术方案，通过在电力输电线路状态监测系统中设置安全接入平台，对前端CMA装置进行双向的安全认证，从而提高了电力输电线路状态监测系统安全性。
[0011]下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。
【附图说明】
[0012]图1为现有的电力输电线路状态监测系统的原理框图；
图2本发明实施例所述的接入安全接入平台的电力输电线路状态监测系统的原理框图；
图3为本发明实施例所述的CMA安全接入流程图。
【具体实施方式】
[0013]以下结合附图对本发明的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明。
[0014]如图2所示，一种安全接入平台，连接在输变电设备状态监测系统的前端，用于接收来自CMA装置的信息，安全接入平台包括，身份认证系统、集中监管系统、安全数据交换系统和采集接入网关，CMA装置上设置安全模块；
CMA装置通过安全网络与安全接入平台的采集接入网关建立网络连接；
CMA装置发起访问请求给安全接入平台的采集接入网关，CMA装置的安全模块和安全接入平台的身份认证系统实现双向认证鉴别后，身份认证系统对CMA装置发起的访问请求进行安全状态评估后，判断是否给予访问授权与许可，如给予访问授权与许可，CMA装置通过安全数据交换系统与输变电设备状态监测系统进行安全数据交互，集中监管系统对身份认证系统和安全数据交换系统中的数据进行实时监管。
[0015]其中，CMA装置的安全模块内集成有SM1对称密码算法和SM2非对称密码算法。
[0016]CMA作为输电线路状态在线监测代理，其与输变电设备状态监测系统通信采用无线公网和光纤专线两种通信的方式，相关网络通信方式应进行安全防护设计，具体要求如下:
GPRS、CDMA、3G 接入安全防护，基于无线公网(GSM/GPRS、WCDMA、TD-SCDMA、CDMA2000)的CMA与主站通信的数据传输处于公共网络环境中，面临着监测数据被窃听、被篡改、传输错误等问题。网络通道应采用在无线公网的基础上建立专用的APN通道并指定CMA的IP地址。在主站应使用安全接入平台，对CMA采用包括安全通道、身份认证、安全接入、访问控制、数据交换、集中监管等措施进行安全防护。
[0017]光纤专线防护，对于采用光纤专线通过变电站接人信息内网的CMA，应指定其IP地址，并应在变电站边界处部署安全接入平台的采集接入网关和数据交换系统，对CMA采用包括安全通道、身份认证、安全接入、访问控制、数据交换、集中监管等措施进行安全防护。
[0018]CMA与采集终端通信安全防护，CMA作为输电线路状态监测代理，与采集终端的通信方式采用多种短距离无线通信的方式，应对所有采集终端的数据以标准格式进行分析汇总，相关网络通信方式要进行安全防护设计，具体要求如下: WIFI接入安全防护，对采用WIFI技术的无线接入，应从审计、认证和保密等方面保证接入安全，满足以下安全防护需求:
禁止将路由器的品牌名或型号、姓名、住址、公司名称或项目团队等作为其名字，名字应完全由随机字母和数字或者不会透露路由器型号或身份的其他任何字符串组成；
禁用配置软件提供的远程管理选项，禁用SNMP服务，确保没有人能够通过互联网控制路由器设置；
限制路由器的广播区，确保在非可控区域不能收到路由器的信号；应禁止SSID(服务装置标识)广播；进行MAC地址过滤，使用访问控制列表；禁用DHCP ;实施封闭网络访问控制，只有知道网络名称或SSID的WIFI设备或用户才可连接；
应对WIFI终端进行审计，限制具有欺骗访问行为的WIFI设备随机接入WIFI无线接入；
应使用802.lx认证和密钥管理方式；使用WPA1或WPA2协议加密机制，对WIFI无线接入的数据流进行加密。
[0019]WiMax接入安全防护，对采用WiMax技术的无线接入，应从审计、认证和保密保证接入安全，满足以下安全防护需求:
应对WiMax采集终端进行审计；
应支持PKM协议，采用公钥密码技术实现身份认证、接入授权以及会话密钥的发放和更新；
提供数据加密、信令保护和密钥管理。
[0020]WAPI接入安全防护，对采用WAPI国家标准的无线接入，应从审计、认证和保密保证接入安全，满足以下安全防护需求:
应对WAPI采集终端进行审计；
应使用WAPI的WAI对用户身份进行鉴别认证，采用公开密钥密码体制，利用证书对输变电线路状态监测系统中的WAPI采集终端进行双向认证，进行集中式认证管理；
应使用WAPI的WPI对传输的数据进行加密。
[0021]CMA需要与主站安全接入平台进行双向的认证、加密、隔离通信，整个过程可分为如下几个阶段:如图3所示，
1、CMA通过有线或者无线APN专网方式接入到公司信息内网或者移动运营商设定的
APN ；
2、CMA和安全接入平台的采集接入网关实现双向认证鉴别；
3、安全接入平台对CMA进行安全评估和鉴别，根据评估和鉴别结果，进行准入判别，实现准入或拒绝控制；
4、安全接入平台依据策略管理要求，根据CMA的认证和可信评估的结果进行访问授权；
5、CMA通过数据交换系统实现与主站输变电设备状态监测系统进行安全数据交互。
[0022]为了满足安全防护的要求，CMA应部署安全接入平台的硬件安全模块，CMA终端硬件应满足以下要求:
通信接口:CMA终端应提供一组IS07816接口或一组SPI通信接口，实现与硬件安全模块的通信。CMA终端可以预留USB接口，方便以后的扩展； 电气特性:CMA终端应提供下表I所示的电气特性要求，满足安全接入平台的硬件安全模块部署。
[0023]最后应说明的是:以上所述仅为本发明的优选实施例而已，并不用于限制本发明，尽管参照前述实施例对本发明进行了详细的说明，对于本领域的技术人员来说，其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。
【主权项】
1.一种安全接入平台，连接在输变电设备状态监测系统的前端，用于接收来自CMA装置的信息，其特征在于，安全接入平台包括，身份认证系统、集中监管系统、安全数据交换系统和采集接入网关，所述CMA装置上设置安全模块； CMA装置通过安全网络与安全接入平台的采集接入网关建立网络连接； CMA装置发起访问请求给安全接入平台的采集接入网关，CMA装置的安全模块和安全接入平台的身份认证系统实现双向认证鉴别后，身份认证系统对CMA装置发起的访问请求进行安全状态评估后，判断是否给予访问授权与许可，如给予访问授权与许可，CMA装置通过安全数据交换系统与输变电设备状态监测系统进行安全数据交互，集中监管系统对身份认证系统和安全数据交换系统中的数据进行实时监管。2.根据权利要求1所述的安全接入平台，其特征在于，所述CMA装置的安全模块内集成有SM1对称密码算法和SM2非对称密码算法。
【专利摘要】本发明公开了一种安全接入平台，包括，身份认证系统、集中监管系统、安全数据交换系统和采集接入网关，所述CMA装置上设置安全模块；CMA装置通过安全网络与安全接入平台的采集接入网关建立网络连接；CMA装置发起访问请求给安全接入平台的采集接入网关，CMA装置的安全模块和安全接入平台的身份认证系统实现双向认证鉴别后，身份认证系统对CMA装置发起的访问请求进行安全状态评估后，判断是否给予访问授权与许可，如给予访问授权与许可，CMA装置通过安全数据交换系统与输变电设备状态监测系统进行安全数据交互，集中监管系统对身份认证系统和安全数据交换系统中的数据进行实时监管。提高了电力输电线路状态监测系统安全性。
【IPC分类】H02J13/00, H04L29/06, H04L12/28
【公开号】CN105262653
【申请号】CN201510590981
【发明人】李志茹, 龚波, 康晓华, 张驯, 马之力, 崔阿军, 袁晖
【申请人】国家电网公司, 国网甘肃省电力公司, 国网甘肃省电力公司电力科学研究院
【公开日】2016年1月20日
【申请日】2015年9月16日