首页 > 科技推动 > 内容

配电网智能终端无线网络接入电力系统安全技术研究

发布于：2024-07-18 编辑：匿名来源：网络

简介　　近年来，贵州电网配电自动化系统逐步建设。

配网智能终端利用无线通信实现配网主站系统的信息交换。

，无线通信为建设配网自动化系统时提供了诸多便利，节省了电网建设的经济投资。

例如：解决恶劣条件下各种电力设备的记录信息采集问题，替代传统光纤通信实现多媒体系统之间的无线交互。

无线通信技术中的无线接入技术解决了电网用户终端与网络之间的数据传输问题。

由此可见，无线通信技术将在电力系统中有着重要的应用，也是构建安全电力通信网络的关键组成部分。

　　与有线通信相比，无线接入技术虽然具有便捷、高效等诸多优势，但其固有的安全问题也不容忽视。

特别是对于电力通信等保密要求较高的系统，接入标准不一致隐藏着许多安全问题和隐患，直接影响接入的安全性和可靠性。

本文主要分析了当前无线网络接入电力系统时存在的各种安全问题，并提出了相应的解决方案。

　　1电力系统无线接入技术　　1.1背景介绍　　配网自动化系统建设过程中，配网智能终端与主站经常采用有线（光纤）通信，但对于贵州电网来说对于配网架和山区地形来说，铺设全网光纤通信需要大量的人力、物力，而且在一些偏远山区铺设光纤相当困难。

另外，配电变压器的TTU采用有线通信并不现实，因此贵州在建设配网自动化过程中，建议电网选择有线与无线相结合的通信方式。

配电终端的无线通信会带来很多网络安全问题。

防护重点是对主站系统发送的控制命令和参数设置命令进行安全识别和数据验证，防止假主站对终端和电气设备进行攻击。

恶意操作造成大面积停电。

　　1.2 无线接入系统的总体结构　　无线接入系统的结构多种多样，根据不同的用途，产生了不同风格的结构。

通常，到达核心网络需要使用接入网络和交换网络与其他网络交互。

无线接入系统位于终端节点和基站之间，传输用户节点数据和服务网络数据。

其整体结构如图1所示。

　　1.3无线接入技术的分类及性能指标　　根据传输距离的不同，无线接入技术分为长距离接入和短距离接入。

长距离无线主要适用于用户数量较多、接入信息量较大的智能移动终端，而短距离接入一般适用于局域网或以太网等节点较少的低速接入网络。

衡量无线接入技术的性能指标主要包括以下几点：　　（1）有效性，主要指传输速率、传输时延、带宽等指标。

　　(2)可靠性，包括丢包率、误报率等。

　　(3)可用性，主要包括业务通道中断率和平均恢复时间。

　　（4）安全性，包括非法用户接入识别率和非法攻击拦截率。

　　2 无线接入技术的特点及安全问题　　与有线接入技术相比，无线接入技术具有技术种类较多、综合性更强、拓扑结构多样等特点，组网能力高，但传输速率有限基于以上特点，无线接入技术可能存在以下安全问题：　　2.1 权限识别次数多，数据保密性差　　无线接入终端连接时，各通道可以分配给随机用户。

其具有临时性的特点，因此任何通信都需要重新识别用户身份和权限，且权限验证次数较多。

而且无线接入技术的安全性和可靠性较差，偶尔会出现丢包、重传的情况。

如何降低数据包丢失或被非法人员截获后的丢包率，避免信息泄露，已成为当今无线接入技术急需解决的问题之一。

　　2.2 抗干扰问题　　无线接入技术包括定向干扰和非定向干扰。

非定向干扰主要指自然和人为干扰，如噪声干扰、多址干扰等。

定向干扰主要用于军事或安全部门。

然而，电网系统中的无线接入干扰通常不是针对的。

干扰信号不会对发射源产生任何影响，但会影响接收源。

这时，如何使接收源正确识别发送源的信号就成为解决抗干扰问题的关键。

　　2.3 冲突和延迟　　由于网络通道数量有限，如果多个发送源同时向同一个通道发送数据，就会造成数据冲突，最终导致通信拥塞，因此检测通道并且必须重新建立链接。

在这个过程中，可能会出现各种冲突、延误和沟通不畅的情况。

　　3 主要安全解决方案　　根据《中国南方电网电力监控系统安全防护技术规范》的网络安全防范要求，针对当前配网自动化系统建设过程中出现的无线接入安全问题，常采用以下三种方案：　　3.1 终端加密　　3.1.1 加密原理　　加密模块可安装在智能终端的通信模块中，两端分别连接，即一端连接通信设备，如作为通用分组无线业务，另一端连接配电终端设备。

配网主站系统首先通过预加载的主站私钥对远程控制命令消息进行签名操作，得到数字签名，然后用对称密钥进行加密。

最后，配网主站对标准遥控报文进行加密，数字签名和时间戳组合后形成复合遥控命令报文，借助探地雷达无线公网和无线专网将报文发送至加密模块。

网络。

加密模块获得消息后，使用预装的对称密钥对其进行破解，然后通过主站的公钥验证数字签名，可以初步推断远程控制命令信息是否是通过主站发送的。

如果不是，则丢弃该命令消息；如果是，则根据时间戳的有效性判断消息传输是否过期。

如果超过，则丢弃；如果不存在，则解析内容并以明文形式传输至配电终端。

终端接收到信息后，进行远程控制。

　　3.1.2 模块硬件组成及功能　　加密模块组成包括：主CPU处理芯片、双数据通道、同步时钟电路、SD卡电路、直流电源模块和sDRAM存储器。

　　CPU可选用CycloneⅢFPGA芯片EP3C10EL44i7。

该类芯片配置灵活性强，内部可内置软核处理器，嵌入已用于加密运算的sM2签名算法库。

双数据通道由主站端和配电端网络接口、备份主站端和配电端网络接口组成。

配电网智能终端无线网络接入电力系统安全技术研究

sDRAM内存主要用于记录程序运行时存储空间中出现的不合理或非法数据。

实时时钟电路提供可用于检测时间戳的时钟信号。

SD卡槽可用于插入用于读取非法数据和记录加密模块相关参数设置的SD卡。

　　3.1.3 非对称加密算法　　加密模块中使用的非对称密钥算法基于ECC的sM2算法计算库。

采用SM2算法是因为它符合配网自动化系统对计算性能和存储空间要求较高的特点。

之所以基于ECC算法，是因为嵌入式系统是国内配电终端最常用的形式，其处理器将计算量作为选择加密算法的首要指标。

此外，带宽和存储空间也是加密算法的重要性能。

ECC下的sM2算法与其他非对称加密算法相比，具有以下优点：　　（1）抗干扰性能强。

相同数量密钥的抗干扰性能明显优于RsA非对称加密算法。

　　(2)所需计算量小，运算速度较快。

　　(3) 由于密钥体积小，系统参数小，只占用很少的存储空间。

对于加密短消息，sM2算法比其他非对称加密算法占用的CPU资源明显更少。

　　3.2 无线网络与办公网络隔离　　参考电力系统整体安全防护规划，对电力系统中的无线网络进行主动分区隔离，要求采用无线网络与办公网络之间的隔离方式。

Internet、DMZ区和1DC区安全边界隔离措施。

具体隔离措施主要包括网络逻辑隔离和网络物理隔离。

严禁无线网络直接接入办公网络，并采用网络逻辑隔离方式接入DMC区域。

访问单位内部应用系统时，必须通过内外网交换平台或移动接入平台进行干预。

　　3.3安全接入区域　　当生产控制区域的某些业务系统或其模块需要使用公共通信网络、无线通信网络或任何非可控网络设备与终端（例如自己的）进行通信时安全防护等级明显低于同区域其他系统，必须建立安全访问区域。

安全出入区域安装用于数据采集的公网数据采集服务器，出入区域与其他区块之间需要安装水平隔离装置。

在安全接入区域内使用公共通信网络或无线通信网络时，应采用加密认证方式，实现主站与业务终端之间的安全隔离和身份认证，如图2所示。

　　3.3.1 具体运营方案安全接入区　　具体运营方案是构建横向和纵向互联互通方案。

横向和纵向互联设备主要包括公网前端交换机、正向和反向隔离装置、公共通信网络和加密认证设置。

以上设备均可采用冗余备份结构。

对于正向和反向隔离装置，必须根据不同的业务需求适当增加或减少配置数量，或者根据需要布置隔离阵列，如图3所示。

　　正向和反向隔离装置的作用起到物理隔离的作用，必须安装在生产控制区和安全出入区的交界处。

正向隔离设备可以将生产控制区域的业务系统数据以正向单向方式发送至安全访问区域的业务系统和设备；反向隔离设备可以将生产控制区域的业务系统数据反向发送单向方式。

区内业务系统导入区内系统和设备安全访问的相关明文数据。

　　加密认证设备用于公网前端机与业务终端数据交互过程中的身份认证和数据加解密。

它可以保证连接的合法性和数据传输的安全性，因此需要安装在公共网络前端机和公共通信网络之间。

　　3.3.2横向和纵向互联方案实施的关键　　（1）前向和反向隔离设备中需要预置外网业务系统的虚拟访问地址和相关安全控制细节。

　　（2）安全接入区域应有专用的公网前端机，不能与生产控制区域共用。

并且机器应安装经国家指定部门认证的安全操作系统，并采取严格的访问控制措施。

　　(3)为了更好地提高安全访问区域的安全系数，应采用非对称加密算法下的认证加密技术，为控制指令和参数设置指令提供安全保护，从而保证控制指令和参数设置指令的完整性。

该消息和站点可以对主站进行正确的身份认证。

对于起重要作用的变电站，可以采用双向加密认证技术，达到双向身份认证的目的，保证报文的机密性和完整性。

　　（4）在使用公共网络或无线网络进行数据传输时，应积极使用网络本身提供的各种安全措施。

　　总之，技术不断进步的同时，也对网络信息安全产生了一定的影响。

因此，应重视电力系统中无线接入技术带来的安全问题，最终将促进智能电网的早日实现。

　　4 结论　　无线通信在配网自动化系统建设中虽然方便、高效，但必须实行终端加密和主站段加密。

无线接入必须建立安全接入区域，实现网络安全防护，保证电力系统的运行。

安全可靠，通过技术手段更好实现电网智能、高效、绿色发展。

站长声明

标签：

上一篇：调试VI的过程

下一篇：极致路由：互联网思维颠覆传统路由

汇美资本再募7亿元

投资界（ID：pedaily）据投资界消息，1月27日，汇美资本宣布完成首轮人民币创投基金募集，首轮募资成交规模7.1亿元人民币。最终交割预计第二季度完成，总规模15亿元。本基金的募集得到了众多新老投资者的大力支持，包括中资母基金、医疗产业链龙头上市公司、综合背景产业集

06-17
“热兴”获数百万元天使轮融资，唯品会投资

投资社区（ID：pedaily）11月22日报道，户外功能服饰品牌“热兴”近日完成数百万元天使轮融资。本轮融资由唯品会战略投资，融资资金将主要用于团队发展、品牌建设和完善供应链体系。热兴成立于2007年，定位为北美围绕“自驾旅行+露营”的运动户外功能服饰品牌。聚焦自驾游

06-18
中国长城：拟分拆控股子公司长城信息并在创业板上市

中国长城宣布拟分拆控股子公司长城信息并在创业板上市。

06-18
WRTnode罗未：开源硬件还没有到渠道为王的时代

距离雷锋网上次采访罗未已经过去一年了。在此期间，创业者的故事在智能硬件圈每天都在重复，但罗未的现状却并不罕见。雷锋网早期关注的这个开源硬件团队是在酝酿还是在沉寂？一年后，雷锋网再次拜访罗未。雷锋网：距离上次发布两款开源开发板已经有一段时间了。到目前为

06-17
相比苹果的AirDrop，谷歌为Android开发了文件传输工具

在今年5月的Google I/O大会上，谷歌透露了搭载Android Q的更多令人兴奋的新功能；同时，关于Android Beam在Android Q中的缺席，官方并没有给出解释。更有趣的是，据外媒报道，谷歌一直在致力于开发一种名为“Fast Share”的传输方式；这也引发了猜测，Android Beam 可能会在

06-18
YouTube Go上线了，离线观看和蓝牙分享缺一不可

昨天，谷歌在新德里发布了一款为印度用户量身定制的全新移动应用软件——YouTube Go。该应用进一步细分和拓宽了视频分享服务，让用户在下载视频时有更多的选择。这样不仅可以为用户节省流量，而且在网络环境较差的情况下也能正常进行下载任务。 YouTube Go中的每个视频都有

06-17
柳传志：收购IBM的PC后，我直接解雇了美国CEO

我当时并不这么认为，所以我付出的比奖金还多。结果有关部门就会拿这个东西来调查你……后来所得税改了。你觉得这明显不合理吧？　　另一个例子是定价。当时有一个物价局。如何给产品定价？只考虑硬件的价格。比如我们做了一个会意汉字系统。定价方法是计算成本——采

06-17
广西投资集团发起设立广西广投产业高质量发展基金，总规模超60亿元

投资界（ID：pedaily）3月6日消息，广西投资集团有限公司主办广投集团（以下简称“广投集团”）作为董事长发起设立的广西广投产业高质量发展基金合伙企业（有限合伙）（以下简称“广投产业优质基金”或“基金”）发起人宣布完成工商注册并取得工商营业执照，该基金正式开始投

06-18
跨境电商运营服务商“SCI电商”完成C+轮融资

据7月2日报道，总部位于新加坡的跨境电商运营服务商“SCI电商”近日完成C+轮融资轮融资，融资规模达千万。新加坡元（约4.4亿元人民币）。本轮融资由新加坡私募股权机构Asia Partners领投，新加坡经济发展局下属投资基金EDBI、美国知名私募股权基金FIC跟投。相关负责人表示

06-17
外呼采集系统工作原理：深度剖析与创新实践

.wp-block-column h3{margin-left:0} 文章摘要：外呼采集系统工作原理首先涉及到数据分析和策略制定。通过对大量借款人数据进行深入分析，包括还款历史、债务情况、个人信用等信息，催收系统可以根据借款人的不同特征将借款人划分为不同的群体，并制定相应的催收策略。。

06-18
优迅医学获1.7亿A轮融资，多方发力肿瘤精准医疗和基因测序

据投资界8月25日消息，肿瘤及优生基因测序服务公司优迅医学，今年7月初完成了1.7亿的A轮融资。融资，投资方为深圳高特佳、先锋齐云、中信国安资本管理有限公司。此前，2019年8月，优迅医疗获得1万元天使轮融资。　　经过前几年无创产前基因检测（NIPT）的成熟应用，国内新

06-18
山石科技完成800万元天使轮融资，投资方为创业工场、常熟国发创投

据投资界（ID：pedaily）5月31日消息，近日，江苏山石智能科技有限公司（以下简称：“山石科技”）》）完成1万元天使轮融资，投资方包括创业工场、常熟国发创投等。据悉，本次融资将用于公司工业级设备的进一步研发及相关产业化实施。山石科技是一家科技创新公司。公司专

06-18