技術領域

本發明涉及一種通訊網絡安全防護方法，尤其是在電力系統通信網通訊異常情況下利用無線公網為電網調度自動化實時數據的傳輸采取的通訊網絡安全防護方法。

背景技術

隨著國民經濟的飛速發展、人民生活水平的不斷提高和科學技術的不斷進步，電力行業作為國民經濟的命脈，其信息化建設、升級、改造越來越緊迫。但是，審視我國目前電力企業的信息化建設狀況，很多地方變電站地理分布不平衡，位置比較分散；光纖通訊、有線電纜、電力載波通訊組網無論在技術上，還是在資金投入產出比上都面臨極大壓力；遠動等自動化系統的通訊組網問題一直困擾著很多地方調度自動化的推廣和實施。隨著無線公網數據通信業務的成熟和穩定，數據通訊方案的提出使一系列問題迎刃而解，科學、有效地解決了系統的通訊組網難題。但使用無線公網通信，子站可通過公網以TCP/IP方式發起連接，與前置機進行網絡通信，外網可以直接連接到主站并可通過其訪問調度數據網。由于主站與子站之間的數據通信沒有進行身份認證及數據加密，不能抵御外部網絡對子站的攻擊即黑客攻擊。目前上下級主站之間臨時借用公共網絡進行數據通信，僅采用一些簡單的安全防護措施，例如入侵檢測及訪問限制等，還存在著服務商管理不善等安全風險，這些都將使主站系統帶來嚴重的安全隱患。造成電網無法預計的不良后果。

發明內容

本發明的任務是提供一種利用無線公網通訊的安全防護方法，該方法能在電力系統利用無線公網進行數據通信時有效抵御外部網絡對子站的攻擊，以及服務商管理不善等原因帶來的安全風險，避免系統存在的安全隱患和給電網造成的不良后果。為電網調度自動化實時數據的傳輸提供安全可靠的傳輸通道。

本發明的安全防護方法是主站采用串口電力專用協議的方式與公網網絡隔離；主站與子站實現調度數字證書認證及傳輸加密；增設信關軟件構成的安全網關；并將無線公網接收到的數據經通訊接口傳輸給SCADA系統。

具體步驟如下:

步驟一：?RTU或綜自設備的數據經通訊接口發送到子站安全網關；

步驟二：子站安全網關對接收到的數據進行簽名和加密；并判斷數據是否簽名和加密，若是，轉入步驟三；若否，則轉入步驟一；

步驟三：子站安全網關向主站安全網關發送連接請求，子站安全網關與主站安全網關通過無線公網進行身份認證，若通過認證，則建立安全隧道，轉入步驟四；若未通過認證，則轉入步驟一；

步驟四：子站安全網關將安全數據通過安全隧道發送到主站安全網關；

步驟五：主站安全網關將接收到的數據進行解簽名和解密，判斷數據是否解簽名和解密，若是，轉入步驟六，若否，則轉入步驟四的主站安全網關；?

步驟六：主站安全網關將安全數據發送到中心無線信關系統；

步驟七：中心無線信關系統利用通訊接口將數據發送到EMS系統前置機。

本發明的有益效果：本發明可對無線公網通信數據傳輸過程進行詳細的分析，對傳輸過程中所有安全風險點開展研究，針對各安全風險點采取相應措施，通過數據加密、數字簽名、硬件綁定等方式，既滿足使用公網通信加密的要求，又可實現系統主站在安全區I的網絡隔離，極大地提高了遠動系統的安全防護強度，保證數據安全的有效傳輸。特別是能在電力系統通信網異常的情況下通過多種網絡建立應急機密數據通道，為電網調度自動化數據實時傳輸提供安全可靠的傳輸通道。從而在無安全隱患的前提下隨時隨地采用多種方式遠程接入，且對現有應用環境與軟件無須做出任何改動的情況下確保電力系統的安全運行。具有發明步驟設計合理、安全防護措施得力、工作性能穩定可靠、適合行業進行推廣等優點。?

附圖說明

圖1為本發明工作流程圖；

圖2為本發明主站功能方框圖；

圖3為本發明子站功能方框圖；

圖4為本發明軟件結構圖；

圖5為本發明IPsec協議加密圖；

圖6為本發明IPsec原理圖。

具體實施方式