本實用新型涉及通信領域，特別是涉及一種分層部署的電力監控系統安全接入裝置。

背景技術：

國家發改委[2014]第14號令及國能安全[2016]第36號文中規定，“如果生產控制大區內個別業務系統或其功能模塊(或子系統)需使用公用通信網絡、無線通信網絡以及處于非可控狀態下的網絡設備與終端等進行通信，其安全防護水平低于生產控制大區內其他系統時，應設立安全接入區，典型的業務系統或功能模塊包括配電網自動化系統的前置采集模塊(終端)、負荷控制管理系統、某些分布式電源控制系統等”，“安全接入區與生產控制大區中其他部分的聯接處必須設置經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置”。

從功能而言，安全接入區是針對分布式能源、配網自動化、智能電網等新技術快速發展應用，以及電力監控系統使用無線網絡進行數據通信情況日益普遍的實際而提出，其目標是將不安全但又必須接入的一些通道由安全接入區統一管理，形成統一的安全防護策略，從而滿足了相應等級的安全防護要求。

圖1示出了14號令及36號文中規定的安全接入區的典型安全防護框架結構，然而其并未給出安全接入區的具體架構及對應的物理模塊，同時該架構僅適用于公用通信網絡(包括有線與無線)，難以適用于配電通信無線專網，目前也尚未有用于構建安全接入區的電力監控系統安全接入裝置的詳細設計。

技術實現要素：

基于此，為解決現有技術中的問題，本實用新型提供一種分層部署的電力監控系統安全接入裝置，依托電網已有的安全基礎設施，基于統一安全策略和統一安全管理策略，可構建分層架構部署模式的安全接入區，適用于公用通信網絡(包括有線與無線)和配電通信無線專網，能充分滿足電力監控系統的安全防護需求。

為實現上述目的，本實用新型實施例采用以下技術方案：

一種分層部署的電力監控系統安全接入裝置，包括接入服務層和應用接口層，所述接入服務層包括安全接入網關、權限控制系統以及安全數據過濾裝置，所述應用接口層包括與生產控制大區內的系統主站進行通信的應用數據接口；

所述安全接入網關與終端通信連接；

所述權限控制系統和所述安全數據過濾裝置均與所述安全接入網關通信連接；

所述安全數據過濾裝置通過所述應用數據接口與所述生產控制大區內的系統主站通信連接。

在一種可選的實施方式中，所述安全接入網關包括相互連接的VPN服務器和縱向加密裝置，所述VPN服務器通過有線或無線公用通信網絡與所述終端通信連接。

可選的，所述VPN服務器為IPSec VPN服務器或SSL VPN服務器。

在另一種可選的實施方式中，所述安全接入網關包括相互連接的聯合身份認證裝置和縱向加密裝置，所述聯合身份認證裝置通過配電通信無線專網與所述終端通信連接。

可選的，所述聯合身份認證裝置通過Radius接口與所述配電通信無線專網的核心網設備連接。

可選的，所述權限控制系統和所述安全數據過濾裝置均通過總線與所述安全接入網關通信連接。

可選的，所述生產控制大區內的系統主站包括配電網調度自動化系統主站和負荷管理控制系統主站；所述應用數據接口包括與所述配電網調度自動化系統主站通信的生產接口以及與所述負荷管理控制系統主站通信的營銷接口；所述終端包括配電網終端和負荷控制終端。

可選的，所述安全數據過濾裝置包括正向物理隔離裝置以及反向物理隔離裝置。

本實用新型提供的分層部署的電力監控系統安全接入裝置，依托電網已有的安全基礎設施，基于統一安全策略和統一安全管理策略，可構建分層架構部署模式的安全接入區。本實用新型將安全接入系統分為接入服務層與應用接口層兩層，并給出了每層的邏輯功能組件，共同實現終端身份的可靠認證、通信信道的安全防護、數據的安全過濾與交換以及接入權限的有效控制，既適用于公用通信網絡(包括有線與無線)，又適用于配電通信無線專網，能充分滿足電力監控系統的安全防護需求。同時，本實用新型從配電通信無線專網的安全特性出發，使用特定的防護裝置，即聯合身份認證裝置，來實現接入服務層的邏輯功能，從而在滿足安全防護要求的同時降低高強度認證所引起的系統復雜度及傳輸時延。

附圖說明

圖1為國家發改委[2014]第14號令及國能安全[2016]第36號文中規定的安全接入區的典型安全防護框架結構示意圖；

圖2為本實用新型的分層部署的電力監控系統安全接入裝置在一個實施例中的結構示意圖；

圖3為本實用新型實施例中分層部署的電力監控系統安全接入裝置內外通信連接關系示意圖；

圖4是本實用新型實施例中分層部署的電力監控系統安全接入裝置的一種工作流程示意圖；

圖5是當終端通過有線或無線公用通信網絡接入時，本實用新型實施例中分層部署的電力監控系統安全接入裝置的結構示意圖；

圖6是當終端通過配電通信無線專網接入時，本實用新型實施例中分層部署的電力監控系統安全接入裝置的結構示意圖。

具體實施方式

下面將結合較佳實施例及附圖對本實用新型的內容作進一步詳細描述。顯然，下文所描述的實施例僅用于解釋本實用新型，而非對本實用新型的限定。基于本實用新型中的實施例，本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例，都屬于本實用新型保護的范圍。應當說明的是，為了便于描述，附圖中僅示出了與本實用新型相關的部分而非全部內容。

圖2是本實用新型的分層部署的電力監控系統安全接入裝置在一個實施例中的結構示意圖，本實施例中分層部署的電力監控系統安全接入裝置包括接入服務層100和應用接口層200。參照圖2所示，接入服務層100向下通過公用通信網羅(包括有線與無線)或配電通信無線專網與終端400通信連接，向上與應用接口層200相連。應用接口層200向下與接入服務層100相連，向上與生產控制大區內的系統主站300相連。可選的，參照圖2所示，生產控制大區包括調度生產控制大區和營銷生產控制大區，相應的，生產控制大區內的系統主站300可包括配電網調度自動化系統主站31和負荷管理控制系統主站32，終端400可包括配電網終端41和負荷控制終端42。

其中，接入服務層100包括安全接入網關1、權限控制系統2以及安全數據過濾裝置3三大邏輯功能組件，應用接口層200包括與生產控制大區內的系統主站300進行通信的應用數據接口4，應用數據接口4定義了應用數據的雙向交互規則，并在傳輸應用數據時檢查該應用數據是否與定義的交互規則相匹配。可選的，參照圖2所示，應用數據接口4包括與配電網調度自動化系統主站31通信的生產接口401以及與負荷管理控制系統主站32通信的營銷接口402。

圖3示出了本實施例中分層部署的電力監控系統安全接入裝置內部以及與外部的通信連接關系，參照圖3所示，安全接入網關1與終端400通信連接，權限控制系統2和安全數據過濾裝置3均與安全接入網關1通信連接，安全數據過濾裝置3通過應用數據接口4與生產控制大區內的系統主站300通信連接。可選的，權限控制系統2和安全數據過濾裝置3均通過總線(如高速信息總線)與安全接入網關1通信連接。

在本實施例中，接入服務層100接收公用通信網絡(包括有線與無線)或配電通信無線專網承載的終端400的數據，或通過公用通信網絡(包括有線與無線)或配電通信無線專網向終端400傳輸來自于應用接口層200的數據。應用接口層200將接入服務層100接收的終端400的數據傳輸至生產控制大區內的系統主站300，或將系統主站300的數據傳輸至接入服務層100。下面對本實施例中分層部署的電力監控系統安全接入裝置的工作流程進行說明。

圖4是本實施例中分層部署的電力監控系統安全接入裝置的一種工作流程示意圖。參照圖4所示，當終端400向安全接入網關1發起連接請求時，安全接入網關1對終端400進行強身份認證，且在終端400和安全接入網關1之間建立雙向加密隧道。權限控制系統2依據安全接入網關1對終端400的認證信息，并基于指定的安全策略，對終端400進行高強度身份認證和接入控制，確認終端400的合法性，并明確接入電力業務系統的控制權限。此后，安全接入網關1向終端400分配地址，終端400依據安全接入網關1分配的地址向安全接入網關1的外部數據接口發送數據，安全接入網關1將數據通過內部數據接口傳遞至安全數據過濾裝置3。安全數據過濾裝置3將接收到的來自安全接入網關1的數據包與預先配置的規則進行匹配分析(安全數據過濾裝置3的過濾服務器可以預先配置規則)，并將匹配分析后的數據通過應用數據接口4傳遞至相應的系統主站300。

在一種可選的實施方式中，參照圖5所示，對于終端400通過有線或無線公用通信網絡接入的場景，安全接入網關1包括相互連接的VPN服務器111及縱向加密裝置112，VPN即Virtual Private Network(虛擬專網)，指的是在公用通信網絡上建立專用網絡的技術。VPN服務器111通過有線或無線公用通信網絡與終端400通信連接，VPN服務器111可采用IPSec(Internet Protocol Security，網絡安全協議)VPN服務器或SSL(Security Socket Layer，安全套接層)VPN服務器，使用硬件綁定碼唯一標識終端400，負責完成對終端400的身份認證、建立傳輸信令與數據的專用安全通道。縱向加密裝置112為電力行業專用設備，負責完成對終端業務數據的端到端加密。此時權限控制系統2可依托VPN服務器111來實現，對通過安全接入網關1加密認證后的終端400進行身份權限匹配，確認終端400的合法性。

參照圖5所示，安全數據過濾裝置3包含正向物理隔離裝置301及反向物理隔離裝置302，正向物理隔離裝置301可提供正向的千兆外網/內網接口，反向物理隔離裝置302可提供反向的千兆外網/內網接口。其中正向內網/外網接口的信號流向為單向，數據由應用接口層200傳輸至有線或無線公用通信網絡，支持基于MAC、IP、傳輸協議的綜合報文過濾；反向內網/外網接口的信號流向為單向，數據由有線或無線公用通信網絡傳輸至內網，支持基于MAC、IP、傳輸協議的綜合報文過濾。正向物理隔離裝置301及反向物理隔離裝置302提供的上述接口負責終端400和應用數據接口4的數據安全隔離，防止非法鏈接穿透生產控制大區內部進行訪問，確保終端400和應用數據接口4的安全、正確的數據交換。

在另一種可選的實施方式中，參照圖6所示，對于終端400通過配電通信無線專網接入的場景，由于配電通信無線專網網絡及設備的專有化，其通信信道已被加密且實現專用，因此不需要在此基礎之上使用VPN服務器建立虛擬專用通道，而是僅需要對終端400進行身份認證且對業務數據進行加密。因此，如圖6所示，此時安全接入網關1包括相互連接的聯合身份認證裝置121及縱向加密裝置122。其中聯合身份認證裝置121通過配電通信無線專網與終端400通信連接。聯合身份認證裝置121是一種可對IMEI(International Mobile Equipment Identity，國際移動設備身份碼)、IMSI(International Mobile Subscriber Identification Number，國際移動用戶識別碼)、ICCID(Integrate circuit card identity，集成電路手機序列號)以及終端MAC地址、ID號等身份信息進行聯合綁定認證的裝置，通過聯合身份認證裝置121可以確保終端400的身份合法。可選的，聯合身份認證裝置121可與配電通信無線專網的核心網設備通過RADIUS(Remote Authentication Dial In User Service，遠程用戶撥號認證服務)接口互連。縱向加密裝置122為電力行業專用設備，負責完成對終端業務數據的端到端加密。此時權限控制系統2可依托聯合身份認證裝置121實現，對通過安全接入網關1加密認證后的終端400進行身份權限匹配，為其分配特定的APN(Access Point Name，接入點名稱)，使每個APN對應于不同的應用接口層中的應用數據接口4。

參照圖6所示，安全數據過濾裝置3包含正向物理隔離裝置301及反向物理隔離裝置302，正向物理隔離裝置301可提供正向的外網/內網接口，反向物理隔離裝置302可提供反向的外網/內網接口。其中正向內網/外網接口的信號流向為單向，數據由應用接口層200傳輸至配電通信無線專網，支持基于MAC、IP、傳輸協議的綜合報文過濾；反向內網/外網接口的信號流向為單向，數據由配電通信無線專網傳輸至內網，支持基于MAC、IP、傳輸協議的綜合報文過濾。正向物理隔離裝置301及反向物理隔離裝置302提供的上述接口可保證終端400和應用數據接口4的數據安全隔離，防止非法鏈接穿透生產控制大區內部進行訪問，確保終端400和應用數據接口4的安全、正確的數據交換。

綜上所述，本實用新型提供的分層部署的電力監控系統安全接入裝置。依托電網已有的安全基礎設施，基于統一安全策略和統一安全管理策略，可構建分層架構部署模式的安全接入區。本實用新型提供的分層部署的電力監控系統安全接入裝置分為接入服務層與應用接口層兩層，并給出了每層的邏輯功能組件，共同實現終端身份的可靠認證、通信信道的安全防護、數據的安全過濾與交換以及接入權限的有效控制。同時從配電通信無線專網的安全特性出發，使用特定的防護裝置，即聯合身份認證裝置，來實現接入服務層的邏輯功能，從而在滿足安全防護要求的同時降低高強度認證所引起的系統復雜度及傳輸時延。

需要說明的是，以上所述實施例的各技術特征可以進行任意的組合，為使描述簡潔，未對上述實施例中的各個技術特征所有可能的組合都進行描述，然而，只要這些技術特征的組合不存在矛盾，都應當認為是本說明書記載的范圍。

以上所述實施例僅表達了本實用新型的幾種實施方式，其描述較為具體和詳細，但并不能因此而理解為對實用新型專利范圍的限制。應當指出的是，對于本領域的普通技術人員來說，在不脫離本實用新型構思的前提下，還可以做出若干變形和改進，這些都屬于本實用新型的保護范圍。因此，本實用新型專利的保護范圍應以所附權利要求為準。