[发明专利]利用无线公网通讯的安全防护方法

说明书

技术领域

本发明涉及一种通讯网络安全防护方法，尤其是在电力系统通信网通讯异常情况下利用无线公网为电网调度自动化实时数据的传输采取的通讯网络安全防护方法。

背景技术

随着国民经济的飞速发展、人民生活水平的不断提高和科学技术的不断进步，电力行业作为国民经济的命脉，其信息化建设、升级、改造越来越紧迫。但是，审视我国目前电力企业的信息化建设状况，很多地方变电站地理分布不平衡，位置比较分散；光纤通讯、有线电缆、电力载波通讯组网无论在技术上，还是在资金投入产出比上都面临极大压力；远动等自动化系统的通讯组网问题一直困扰着很多地方调度自动化的推广和实施。随着无线公网数据通信业务的成熟和稳定，数据通讯方案的提出使一系列问题迎刃而解，科学、有效地解决了系统的通讯组网难题。但使用无线公网通信，子站可通过公网以TCP/IP方式发起连接，与前置机进行网络通信，外网可以直接连接到主站并可通过其访问调度数据网。由于主站与子站之间的数据通信没有进行身份认证及数据加密，不能抵御外部网络对子站的攻击即黑客攻击。目前上下级主站之间临时借用公共网络进行数据通信，仅采用一些简单的安全防护措施，例如入侵检测及访问限制等，还存在着服务商管理不善等安全风险，这些都将使主站系统带来严重的安全隐患。造成电网无法预计的不良后果。

发明内容

本发明的任务是提供一种利用无线公网通讯的安全防护方法，该方法能在电力系统利用无线公网进行数据通信时有效抵御外部网络对子站的攻击，以及服务商管理不善等原因带来的安全风险，避免系统存在的安全隐患和给电网造成的不良后果。为电网调度自动化实时数据的传输提供安全可靠的传输通道。

本发明的安全防护方法是主站采用串口电力专用协议的方式与公网网络隔离；主站与子站实现调度数字证书认证及传输加密；增设信关软件构成的安全网关；并将无线公网接收到的数据经通讯接口传输给SCADA系统。

具体步骤如下:

步骤一： RTU或综自设备的数据经通讯接口发送到子站安全网关；

步骤二：子站安全网关对接收到的数据进行签名和加密；并判断数据是否签名和加密，若是，转入步骤三；若否，则转入步骤一；

步骤三：子站安全网关向主站安全网关发送连接请求，子站安全网关与主站安全网关通过无线公网进行身份认证，若通过认证，则建立安全隧道，转入步骤四；若未通过认证，则转入步骤一；

步骤四：子站安全网关将安全数据通过安全隧道发送到主站安全网关；

步骤五：主站安全网关将接收到的数据进行解签名和解密，判断数据是否解签名和解密，若是，转入步骤六，若否，则转入步骤四的主站安全网关； 

步骤六：主站安全网关将安全数据发送到中心无线信关系统；

步骤七：中心无线信关系统利用通讯接口将数据发送到EMS系统前置机。

本发明的有益效果：本发明可对无线公网通信数据传输过程进行详细的分析，对传输过程中所有安全风险点开展研究，针对各安全风险点采取相应措施，通过数据加密、数字签名、硬件绑定等方式，既满足使用公网通信加密的要求，又可实现系统主站在安全区I的网络隔离，极大地提高了远动系统的安全防护强度，保证数据安全的有效传输。特别是能在电力系统通信网异常的情况下通过多种网络建立应急机密数据通道，为电网调度自动化数据实时传输提供安全可靠的传输通道。从而在无安全隐患的前提下随时随地采用多种方式远程接入，且对现有应用环境与软件无须做出任何改动的情况下确保电力系统的安全运行。具有发明步骤设计合理、安全防护措施得力、工作性能稳定可靠、适合行业进行推广等优点。 

附图说明

图1为本发明工作流程图；

图2为本发明主站功能方框图；

图3为本发明子站功能方框图；

图4为本发明软件结构图；

图5为本发明IPsec协议加密图；

图6为本发明IPsec原理图。

具体实施方式