一种基于安全接入区的配电自动化数据采集装置及方法与流程

本发明属于配电网自动化系统中远动信息采集技术领域，具体涉及一种基于安全接入区的配电自动化数据采集装置及方法。

背景技术：

随着中低压配电网快速发展，有些不具备光纤通信条件的中低压配电网采用了公网(gprs/cdma/td-scdma/230mhz等)方式通信，并且部分光纤通信通道经过了外部管控的区域，致使配电自动化系统面临来自公网或专网的网络攻击风险，影响电力系统对用户的安全可靠供电；同时，由于当前国际安全形势出现了新的变化，攻击者存在通过子站终端误报故障信息等方式迂回攻击主站，进而造成更大范围的安全威胁。为了保障电网安全稳定运行，将生产控制大区的配电主站与现场的配电终端隔离，设置安全接入区，保护主站的安全稳定运行。以往，在跨安全接入区传输时未能解决好跨区数据采集的问题，导致配电终端工况的异常投退。

技术实现要素：

针对上述问题，本发明提出一种基于安全接入区的配电自动化数据采集装置及方法，能够防止攻击者通过子站或配电终端迂回攻击配电自动化主站系统，保护主站的安全稳定运行。

实现上述技术目的，达到上述技术效果，本发明通过以下技术方案实现：

一种基于安全接入区的配电自动化数据采集装置，包括设于生产控制区的第一前置采集服务器、第二前置采集服务器、正向物理隔离装置、反向物理隔离装置，还包括设于安全接入区的第一通信服务器、第二通信服务器及远程的第一配电终端和第二配电终端；

所述第一配电终端的数据传输端与第一通信服务器的数据传输端相连；所述第一通信服务器的输出端与反向物理隔离装置的输入端相连，所述反向物理隔离装置的输出端与第一前置采集服务器的输入端相连，以完成数据上行；

所述第二前置采集服务器的输出端与正向物理隔离装置的输入端相连，所述正向物理隔离装置的输出端与第二通信服务器的输入端相连；所述第二配电终端的数据传输端与第二通信服务器的数据传输端相连，以完成数据下行；

所述第一前置采集服务器的数据传输端还与第二前置采集服务器的数据传输端相连；所述第一通信服务器的数据传输端还与第二通信服务器的数据传输端相连。

进一步地，所述第一通信服务器将接收的第一配电终端数据以e文件的格式写入文本文件中，并对文件进行加锁，经反向物理隔离装置传送到第一前置采集服务器中。

进一步地，所述第二前置服务器发出配电主站的下行报文，经正向物理隔离装置传送到第二通信服务器，由第二通信服务器下发给现场的第二配电终端，且第一前置服务器和第二前置服务器还用于配置第一配电终端和第二配电终端的各种参数配置项，通过正向隔离装置自动同步到安全接入区的第一通信服务器和第二通信服务器。

进一步地，所述第一通信服务器和第二通信服务器互为热备，定时交换状态信息，其中一台通信服务器出现故障时，另外一台通信服务器接管全部的通道。

进一步地，所述第一通信服务器和第二通信服务器负责建立与配电终端的通信链路，支持tcp客户模式、tcp服务模式、udp通信方式。

一种基于安全接入区的配电自动化数据采集方法，包括以下步骤：

(1)搭建基于安全接入区的配电自动化数据采集装置，包括设于生产控制区的第一前置采集服务器、第二前置采集服务器、正向物理隔离装置、反向物理隔离装置，还包括设于安全接入区的第一通信服务器、第二通信服务器、第一配电终端和第二配电终端；

(2)第一配电终端与第一通信服务器通信；第一通信服务器将接收到的第一配电终端数据以e文件的格式写入文本文件中，并对文件进行加锁，经反向物理隔离装置传送到第一前置采集服务器中，实现数据上行；

(3)第二前置服务器发出配电主站的下行报文，经正向物理隔离装置传送到第二通信服务器，由第二通信服务器下发给现场的第二配电终端，实现数据下行。

进一步地，所述第一配电终端的数据传输端与第一通信服务器的数据传输端相连；所述第一通信服务器的输出端与反向物理隔离装置的输入端相连，所述反向物理隔离装置的输出端与第一前置采集服务器的输入端相连；所述第二前置采集服务器的输出端与正向物理隔离装置的输入端相连，所述正向物理隔离装置的输出端与第二通信服务器的输入端相连；所述第二配电终端的数据传输端与第二通信服务器的数据传输端相连；所述第一前置采集服务器的数据传输端还与第二前置采集服务器的数据传输端相连；所述第一通信服务器的数据传输端还与第二通信服务器的数据传输端相连。

进一步地，所述第一前置服务器和第二前置服务器用于配置第一配电终端和第二配电终端的各种通道参数，然后通过正向隔离装置自动同步到安全接入区的第一通信服务器和第二通信服务器。

进一步地，所述第一通信服务器和第二通信服务器互为热备，定时交换状态信息，其中一台通信服务器出现故障时，另外一台通信服务器接管全部的通道。

进一步地，所述第一通信服务器和第二通信服务器负责建立与配电终端的通信链路，支持tcp客户模式、tcp服务模式、udp通信方式。

本发明的有益效果：

本发明提供的一种基于安全接入区的配电自动化数据采集装置及方法，将生产控制大区的配电主站与现场的配电终端隔离，设置安全接入区，防止攻击者通过子站或配电终端迂回攻击配电自动化主站系统，保护主站的安全稳定运行；采取特有的跨安全区数据传输方法，保证数据采集的实时性和稳定性。

附图说明

图1为本发明基于安全接入区数据采集方法的结构示意图；

图2为本发明基于安全接入区数据采集方法的下行数据流图

图3为本发明基于安全接入区数据采集方法的上行数据流图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

下面结合附图对本发明的应用原理作详细的描述。

实施例1

如图1所示，一种基于安全接入区的配电自动化数据采集装置，包括设于生产控制区的第一前置采集服务器(前置采集服务器b)、第二前置采集服务器(前置采集服务器a)、正向物理隔离装置、反向物理隔离装置，还包括设于安全接入区的第一通信服务器(通信服务器b)、第二通信服务器(通信服务器a)及远程的第一配电终端和第二配电终端；

所述第一配电终端的数据传输端与第一通信服务器的数据传输端相连；所述第一通信服务器的输出端与反向物理隔离装置的输入端相连，所述反向物理隔离装置的输出端与第一前置采集服务器的输入端相连，以完成数据上行；具体工作时：所述第一通信服务器将接收的第一配电终端数据以e文件的格式写入文本文件中，为了防止第一通信服务器与反向隔离装置之间的文件访问冲突，在本发明实施例中需要对文件进行加锁，优选对传输内容采用基于rsa密钥对的数字签名和采用电力专用加密算法进行数字加密；经反向物理隔离装置传送到第一前置采集服务器中，实现数据上行；

所述第二前置采集服务器的输出端与正向物理隔离装置的输入端相连，所述正向物理隔离装置的输出端与第二通信服务器的输入端相连；所述第二配电终端的数据传输端与第二通信服务器的数据传输端相连，以完成数据下行；具体工作时：所述第二前置服务器生成配电主站的下行报文后，直接写入文本文件中，由配电主站系统平台的跨区文件传输程序将前述文本文件经正向物理隔离装置传送到第二通信服务器，由第二通信服务器下发给现场的第二配电终端，实现数据下行；

所述第一前置采集服务器和第二前置采集服务器还用于配置第一配电终端和第二配电终端的各种接入参数，这些配置信息由配电主站系统平台的跨区文件传输程序通过正向隔离装置同步到安全接入区的第一通信服务器和第二通信服务器，能够实现所述第一配电终端和第二配电终端的配置信息及时同步到安全接入区，同步方式分为全信息同步和变化信息同步两种；具体的同步操作由配电自动化主站系统(采集是配电自动化主站系统的一部分)平台的跨区文件传输进程实现，所述接入配电终端所需的配置信息包括终端的通道类型、网络类型、ip地址、通信端口等参数，所述第一通信服务器和第二通信服务器的数据传输端相连，二者互为热备(即二者之间具备双机热备功能)，定时交换状态信息，其中一台通信服务器出现故障时，另外一台通信服务器接管全部的通道；在本发明的一种具体实施例中，正常情况下，根据负载均衡策略第一通信服务器和第二通信服务器各负担50％的接入任务，异常情况下能够迅速的进行任务交接，由一台通信服务器接管全部的数据采集任务。

本发明实施例中的正向隔离装置用于防止穿透性tcp连接，禁止内网、外网两个应用网关之间直接建立tcp连接，保证从低安全区到高安全区的tcp应答禁止携带应用数据，防止病毒和黑客非法访问，提供正向数据通信api函数接口，方便用户进行二次系统安全物理隔离的改造，其可以采用现有技术来实现，本发明中不做过多赘述。所述反向隔离设备提供基于rsa密钥对的数字签名和采用电力专用加密算法进行数字加密的功能，提供配套的文件传输程序，对文本文件形式的数据，通过编码转换技术实现半角字符转换为全角字符，保证进入ⅰ/ⅱ区的数据为纯文本数据，满足传输内容纯文本e语言格式强过滤的要求，其可以采用现有技术来实现，本发明中不做过多赘述。

另外，在本发明实施例中，所述第一通信服务器和第二通信服务器负责建立与第一配电终端和第二配电终端的通信链路，支持tcp客户模式、tcp服务模式、udp通信方式。

实施例2

本实施例中的一种基于安全接入区的配电自动化数据采集方法，包括以下步骤：

(1)搭建基于安全接入区的配电自动化数据采集装置；

所述基于安全接入区的配电自动化数据采集装置包括设于生产控制区的第一前置采集服务器、第二前置采集服务器、正向物理隔离装置、反向物理隔离装置，还包括设于安全接入区的第一通信服务器、第二通信服务器及远程的第一配电终端和第二配电终端；

所述第一配电终端的数据传输端与第一通信服务器的数据传输端相连；所述第一通信服务器的输出端与反向物理隔离装置的输入端相连，所述反向物理隔离装置的输出端与第一前置采集服务器的输入端相连，以完成数据上行；所述第二前置采集服务器的输出端与正向物理隔离装置的输入端相连，所述正向物理隔离装置的输出端与第二通信服务器的输入端相连；所述第二配电终端的数据传输端与第二通信服务器的数据传输端相连，以完成数据下行；且所述第一前置采集服务器和第二前置采集服务器的数据传输端相连；所述第一通信服务器和第二通信服务器的数据传输端相连。

(2)利用第一前置采集服务器和第二前置采集服务器配置第一配电终端和第二配电终端的各种接入参数，这些配置信息由配电主站系统平台的跨区文件传输程序通过正向隔离装置同步到安全接入区的通信服务器，能够实现所述第一配电终端和第二配电终端接入的相关配置信息及时同步到安全接入区，同步方式分为全信息同步和变化信息同步两种；具体的同步操作由配电自动化主站系统(采集是配电自动化主站系统的一部分)平台的跨区文件传输进程实现所述接入配电终端所需的配置信息包括终端的通道类型、网络类型、ip地址、通信端口等参数。

(3)由于远程配电终端不能直接与生产控制大区的前置服务器通信，无论是无线通信通信方式还是光纤通信方式的配电终端，因此，首先与安全接入区的通信服务器通信；

在本发明实施例中，当要实现数据上行时，如图3所示，所述第一配电终端与第一通信服务器通信，第一通信服务器将接收到的第一配电终端数据以e文件的格式写入文本文件中，经反向物理隔离装置传送到第一前置采集服务器中，实现数据上行；具体地：安全接入区的第一通信服务器的通信进程收到第一配电终端发送的报文后正常写入报文缓冲区中，增加生成文本文件的进程，该进程负责将上行报文缓冲区中的数据写入临时的文本文件中；反向隔离装置自动将文本文件传到生产控制区指定的路径下，生产控制区中的第一前置采集服务器增加文件解析进程，解析上行报文的临时文件，将报文信息存放到指定的报文缓冲区中；进一步地，前述过程中安全接入区的第一通信服务器的应用程序生成文本文件，反向物理隔离装置负责读取和传输文件，两个工作进程要同时对一个文件进行读写操作时，如果不对该文件进行加锁就可能导致读写冲突，文件内容还没有写完就会被隔离装置读取传输到生产控制大区，为了解决这个问题，使用文件锁来对文件进行保护，该方法简单易行，具体方法是：使用flock函数进行加锁：flock函数的参数lock_ex是对文件描述符fd进行加锁，如果成功，返回0，表示该文件还没有被加锁，可以对其进行写操作；如果失败，返回-1，表示该文件已经被加锁，正在被使用，故要等到其解锁后才能使用。flock函数的参数lock_nb表示非阻塞。加锁后通信服务器对该文件进行具体写操作：在文件处理完后，对文件进行解锁；解锁后，反向隔离传输软件(这个软件安装在安全接入区的通信服务器上)就可以对该文件进行访问了。

在本发明实施例中，当要实现数据下行时，第二前置服务器发出配电主站的下行报文，经正向物理隔离装置传送到第二通信服务器，由第二通信服务器下发给现场的第二配电终端，实现数据下行。如图3所示为配电终端下行报文处理流程，前置采集服务器上的规约程序将规约报文仍然写入下行报文缓冲区中；下行报文发送程序从报文缓冲区读取数据，通过正向隔离装置发出。安全接入区第二通信服务器的下行报文接收进程，负责接收生产控制大区下发的规约报文，并写入对应通道的报文缓冲区中。

综上：与传统的配电自动化数据采集方法相比，基于安全接入区的数据采集要求生产控制大区的前置服务器直接解析本地的数据文件，无需创建与配电终端的通信链路，与配电终端的通信任务完全由安全接入区的通信服务器负责。

本发明实施例中，在所述基于安全接入区的配电自动化数据采集方法实施过程中，安全接入区的第一通信服务器和第二通信服务器之间具备双机热备功能，两台通信服务器具有等价的地位，都可以单独对外提供服务而无须其他服务器的辅助；两台服务器定时交换各自的状态信息，正常情况下，各完成50％的数据采集任务，其中一台出现故障时，另外一台能够及时接管故障服务器的采集任务。

综上所述：

本发明公开了一种基于安全接入区的配电自动化数据采集装置及方法，在安全接入区部署通信服务器；配电主站的下行数据，通过正向隔离装置到达通信服务器，通信服务器器通过与tcp链接将信息发送给配电终端；配电终端的上行报文，经通信服务器接收处理后转换成文本文件，通过反向物理隔离装置发送给生产控制区的前置服务器，并采取了特定的文件处理措施，保证文件在通过反向物理隔离装置情况下的实时性要求，最终实现配电自动化数据的跨安全区数据采集。本发明提供的基于安全接入区的配电数据采集技术，可以预防攻击者通过配电终端迂回攻击生产控制大区的配电主站系统，保障电网安全稳定运行。

以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。