专利名称:一种用于电力信息采集系统的网络安全架构的制作方法
技术领域:
本发明涉及智能电网领域的一种用于电力信息采集系统的网络安全架构。
背景技术:
智能电网是目前国家极力推进的一项重大工程,智能电网的一个重要特性是能够通过电力信息采集系统对用电用户的用电信息进行采集,并同过所述电力信息采集系统对用电用户进行费用结算。所述电力信息采集系统必须通过网络进行完成用电信息的采集,目前网络所采用的通信信道有230MHz专线信道、光纤专线信道和电力载波线专线信道,这些电力专线信道的安全性总体上是有保证的。然而,目前成本更低,更容易推广的是GPRS无线网络信道,但是所述GPRS无线网络属于公网信道,所述电力信息采集系统采用所述GPRS无线网络后,遭受外来黑客攻击的可能性增大,如果不解决上述问题,将对国民经济和国家的安全产生重大的影响。
发明内容
本发明的目的是为了克服现有技术的不足,提供一种用于电力信息采集系统的网络安全架构,岂能杜绝来自公网的黑客攻击,提高电力信息采集系统运行的完全性。实现上述目的的一种技术方案是一种用于电力信息采集系统的网络安全架构,包括客户端和主机端,所述客户端包括网关GPRS支持节点;所述主机端包括网关、数据库服务器,所述网关和所述数据库服务器之间设置电力信息内网;所述网关包括路由器、DHCP服务器和主机,所述路由器和所述DHCP服务器连接所述主机;其特征在于所述网关和所述网关GPRS支持节点通过APN专线连接;所述APN专线的IP地址是由所述DHCP服务器分配的,所述路由器对所述APN专线对应的IP地址进行域名解析。进一步的,所述客户端还包括采集终端、GPRS支持点、GPRS服务支持节点和GPRS骨干网络,所述采集终端、所述GPRS支持点、所述GPRS服务支持节点、所述GPRS骨干网络和所述网关GPRS支持节点通过GPRS无线网络依次连接。再进一步的,所述主机端上的所述网关还包括主防火墙、前置采集机和RADIUS服务器;所述前置采集机和所述RADIUS服务器连接所述主机;所述主防火墙连接所述路由器,所述网关GPRS支持节点连接所述主防火墙。 更进一步的,所述GPRS服务支持节点将所述采集终端采集的用户用电信息压缩成为GPRS分组数据包,所述前置采集机对所述GPRS分组数据包进行解分组包操作。更进一步的,所述RADIUS服务器对访问所述数据库服务器的用户进行身份认证与授权控制。进一步的,所述网关和所述电力信息内网之间有第一防火墙。进一步的,所述数据库服务器通过所述电力信息内网和电力信息外网连接所述采集终端,所述电力信息内网和所述电力信息外网之间有第二防火墙。采用了本发明的一种用于电力信息采集系统的网络安全架构的技术方案,即所述网络安全架构中的主机端和所述客户端通过APN专线连接。其技术效果是由于所述客户端和所述主机端之间建立了 APN专线,所述APN专线的IP地址是由所述DHCP服务器分配的技术方案。其技术效果是可以杜绝来自公网的黑客攻击,提高电力信息采集系统运行的完全性。
图I为本发明的一种用于电力信息采集系统的网络安全架构的结构示意图。
具体实施例方式请参阅图1,为了能更好地对本发明的技术方案进行理解,下面通过具体地实施例,并结合附图进行详细地说明
本实施例中,所述电力信息采集系统采用GPRS网络进行通信,在本发明的一种用于电力信息采集系统的网络安全架构中,所述客户端I包括依次连接的采集终端IUGPRS支持点12、GPRS服务支持节点13、GPRS骨干网络14和网关GPRS支持节点15。所述采集终端11在采集了用户用电信息后,将所述用电信息传递给所述GPRS支持点12 (RSC),再由所述GPRS支持点12传递给所述GPRS服务支持节点13 (Serving GPRSSupport Node, SGSN)。所述GPRS服务支持节点13的功能是将所述用户用电信息进行压缩为GPRS分组数据包,并完成所述GPRS分组数据包路由转发。其它功能还包括对所述客户端I进行会话管理、逻辑链路管理,鉴权加密,同时完成所述客户端I的话单产生和输出等。所述GPRS骨干网络14的作用是完成用电信息在所述GPRS无线网络中的传递。所述网关GPRS支持节点15 (Gateway GPRS Support Node),简称GGSN,其在所述客户端I上主要是起的网关作用。其可以对所述GPRS分组数据包进行协议转换,从而把所述GPRS分组数据包传送到所述主机端2。所述网关GPRS支持节点15还具有网络控制的信息屏蔽功能,可以对所述主机端2和所述客户端I之间的信息交换进行控制,以便保证所述电力信息采集系统的安全。更为重要的是,所述网关GPRS支持节点15还具有动态查找DHCP服务器所分配的IP地址的功能,以及对该IP地址进行翻译和映射功能,所述网关GPRS支持节点15能够进行DNS查找,实现对该IP地址域名的解析;为所述客户端I和所述主机端2之间建立APN专线3提供了条件。所述GPRS服务支持节点13和网关GPRS支持节点15均是通过Gn接口和所述GPRS骨干网14连接的。所述GPRS服务支持节点13和网关GPRS支持节点15均是通过GTP协议,即GPRS隧道协议进行传输与所述GPRS骨干网14进行通信的。所述客户端2包括依次连接的网关21、第一防火墙24、电力信息内网25和数据库服务26。所述网关21包括主防火墙211、路由器212、前置采集机213,DHCP服务器215、RADIUS服务器214和主机216。所述路由器212、所述前置采集机213、所述DHCP服务器215和所述RADIUS服务器214同时与所述主机216连接,所述主防火墙211连接所述路由器212,所述主防火墙211通过APN专线3连接所述客户端I上的网关GPRS支持节点15。所述用电信息采集系统在启用所述GPRS公共外网时,先由所述网关21上的所述主机216向移动运营商提出接通APN专线3的请求,APN是接入点(Access Point Name)的简称。所述网关21上的所述DHCP服务器215根据移动运营商的指令,根据动态工作站设置协议(Dynamic Host Configuration Protocol, DHCP)分配一个 APN 专线 3 的 IP 地址。然后由所述网关21上的所述路由器212对该APN专线3的IP地址进行域名解析,从而找到对应的所述网关GPRS支持节点15。所述网关GPRS支持节点15根据该APN专线3的IP地址,建立从所述网关GPRS支持节点15到所述网关21的VPDN隧道,所述VPDN,就是虚拟专用拨号网(Virtual Private Dial — up Networks)的简称。用户用电信息的分组数据包,首先在GPRS网内通过GTP协议进行传输,最后在所述网关GPRS支持节点15和所述网关21之间的APN专线3上通过GRE隧道协议或L2TP隧道协议进行传输。所述GRE协议是通用路由封装(Generic Routing Encapsulation)协议的简称,所述L2TP协议是第二层隧道(Layer 2 Tunneling Protocol)协议的简称。这样,所述网关GPRS支持节点15与所述网关21之间就构建一条虚拟的、与外界完全隔离的专用GPRS通信通道,供所述电力信息采 集系统使用,从而提高所述电力信息采集系统的安全性。这样所述APN专线3构建了所述客户端I和所述主机端2进行数据交换的一道防护关卡。所述RADIUS服务器214的作用在于通过远程用户拨号认证协议(RemoteAuthentication Dial In User Service,RADIUS),建立基于统一策略的用户身份认证与授权控制机制,以区别不同的用户和信息访问者,并授予他们不同的信息访问和事务处理权限。制定严格的密码管理制度和操作日志的记录。通过所述RADIUS服务器认证的用户,所述RADIUS服务器214可对所述主机端2进行参数设置。所述前置采集机213的作用在于接收所述GPRS分组数据包,并将所述GPRS分组数据包保存在所述前置采集机213的磁盘阵列中,所述前置采集机213对所述用电信息的分组数据包解压缩,转换成为所述数据库服务器26能够识别和读取的用电数据。同时对所述用电数据进行数据加密。待所述APN专线3断开后,所述网关21接通所述电力信息内网25后,所述前置采集机213将用电数据通过所述主机216和所述电力信息内网25传递给所述数据库服务器26,而所述数据库服务器26发出的指令先存储在所述前置采集机213的磁盘阵列中,待所述网关21将所述网关21与所述电力信息内网25的连接断开,同时接通所述网关21与所述客户端21之间的所述APN专线3后,所述前置采集机213向所述采集终端11传递采集指令。所述网关主机216的作用在于对所述网关上的RADIUS服务器214、DHCP服务器215,前置采集机213和路由器212进行管理,同时完成数据在所述网关21内的传递。所述主防火墙211的作用在于防止来自公网的黑客攻击入侵所述电力信息采集系统。本实施例中,所述主防火墙211是VPN防火墙所述第一防火墙24的作用在于防止非法访问的用户攻击所述电力信息内网25和所述数据库服务器26。本实施例中,所述第一防火墙24是VPN防火墙。所述电力信息内网的作用是所述网关21和所述数据库服务器26之间进行通信的通信信道。所述数据库服务器26的作用在于将所述用电数据进行解密,并输入内置于所述数据库服务器26的磁盘阵列中。同时,所述数据库服务器26每天定时将保存在所述磁盘阵列中的用电数据保存在备份服务器(图中未显示)的磁盘阵列中,所述数据库服务器26与所述备份服务器示相连的。这样可以提高所述用电信息采集系统的数据安全性。此外,所述安全架构还连接了电力信息外网22,所述电力信息外网22是所述电力信息内网25与所述采集终端11之间建立的电力专用网络,所述电力信息外网22可以是230MHz电力专网或者光纤专网,也可以是电力载波线专用网络。所述电力信息内网25和所述电力信息外网22之间设置第二防火墙23,所述第二 防火墙23的作用在于所述防止黑客通过电力信息外网攻击所述数据库服务器26。本实施例中,所述第二防火墙23也是VPN防火墙。此外,所述数据库服务器26有入侵检测能力和抗病毒能力,并且能对所述电力信息采集系统的数据库中的数据进行每天自动定时进行数据冗余备份。所述数据库服务器26、所述RADIUS服务器214、所述DHCP服务器215,前置采集机213和所述主机216内置防病毒软件和软件防火墙,所述防病毒软件能及时更新补丁和病毒库,并对软件的安装和使用进行必要的监控,防止安装存在安全隐患的软件。所述数据库服务器26、所述RADIUS服务器214、所述DHCP服务器215,前置采集机213和所述主机216都设置冗余配置,所述冗余配置包括磁盘阵列RAID、集群等。本技术领域中的普通技术人员应当认识到,以上的实施例仅是用来说明本发明,而并非用作为对本发明的限定,只要在本发明的实质精神范围内,对以上所述实施例的变化、变型都将落在本发明的权利要求书范围内。
权利要求
1.一种用于电力信息采集系统的网络安全架构,包括客户端(I)和主机端(2);所述客户端(I)包括网关GPRS支持节点(15);所述主机端(I)包括网关(21)和数据库服务器(26),所述网关(21)和所述数据库服务器(26)通过电力信息内网(25)连接;所述网关(21)包括路由器(212)、DHCP服务器(215)和主机(216),所述路由器(212)和所述DHCP服务器(215)连接所述主机(216);其特征在于所述网关(21)和所述网关GPRS支持节点(15)通过APN专线(3)连接;所述APN专线(3)的IP地址是由所述DHCP服务器(215)分配的,所述路由器(212)对所述APN专线(3)对应的IP地址进行域名解析。
2.根据权利要求I所述的一种用于电力信息采集系统的网络安全架构,其特征在于所述客户端(I)还包括采集终端(11)、GPRS支持点(12),GPRS服务支持节点(13)和GPRS骨干网络(14 ),所述采集终端(11)、所述GPRS支持点(12 )、所述GPRS服务支持节点(13)、所述GPRS骨干网络(14)和所述网关GPRS支持节点(15)依次连接。
3.根据权利要求I或2所述的一种用于电力信息采集系统的网络安全架构,其特征在于所述主机端(2)上的所述网关(21)还包括主防火墙(211)、前置采集机(213)和RADIUS服务器(215);所述前置采集机(213)和所述RADIUS服务器(215)连接所述主机(216);所述主防火墙(211)连接所述路由器(212),所述网关GPRS支持节点(15)连接所述主防火墙(211)。
4.根据权利要求3所述的一种用于电力信息采集系统的网络安全架构,其特征在于;所述GPRS服务支持节点(13)将所述采集终端(11)采集的用户用电信息压缩成为GPRS分组数据包,所述前置采集机(213)对所述GPRS分组数据包解压缩。
5.根据权利要求3所述的一种用于电力信息采集系统的网络安全架构,其特征在于;所述RADIUS服务器(215)对访问所述数据库服务器(26)的用户进行身份认证与授权控制。
6.根据权利要求I或2所述的一种用于电力信息采集系统的网络安全架构,其特征在于所述网关(21)和所述电力信息内网(25)之间有第一防火墙(24)。
7.根据权利要求I或2所述的一种用于电力信息采集系统的网络安全架构,其特征在于所述数据库服务器(26)还通过所述电力信息内网(25)和电力信息外网(22)连接所述采集终端(11),所述电力信息内网(25)和所述电力信息外网(22)之间有第二防火墙(23)。
全文摘要
本发明公开了用于智能电网领域的一种用于电力信息采集系统的网络安全架构,包括客户端和主机端;所述主机端包括网关GPRS支持节点;所述主机端包括网关和数据库服务器,所述网关和所述数据库服务器通过电力信息内网连接;所述网关包括路由器、DHCP服务器和主机,所述路由器和所述DHCP服务器连接所述主机;所述网关和所述网关GPRS支持节点通过APN专线连接;所述APN专线的IP地址是由所述DHCP服务器分配的,所述路由器对所述APN专线对应的IP地址进行域名解析。其技术效果是这样可以杜绝来自公网的黑客攻击,提高电力信息采集系统运行的安全性。
文档编号H04L29/06GK102710649SQ20121019114
公开日2012年10月3日 申请日期2012年6月12日 优先权日2012年6月12日
发明者戴璐平, 王晋 申请人:上海市电力公司