黎 鹏

（广西电网有限公司南宁供电局，广西 南宁 530000）

0 引 言

由于无线供电通信网络系统的飞速发展，电力监控系统面临的主要威胁来源于数据通信和网络传输过程中的计算机病毒、恶意程序、安全漏洞，影响电力数据的安全[1,2]。为保证系统的通信安全，防止受到病毒、恶意程度和非法访问对系统产生的破坏，保证电力监控系统中的各个设备稳定运行，针对无线供电通信安性问题，文献[3]公开一种考虑业务关联的电力通信检修安全校核方法，通过在西北区域二级骨干通信网中进行继电保护，提高了系统的稳定性，并提出基于关联业务分类的通信检修快速检索算法，增强了继电器保护能力。在电力系统的控制中心部署大量的网络安全监测设备，采集控制区域内服务器、工作站和网络设备检测到的网络通信完全数据。文献[4]通过电力物联网安全通信协议研究提高数据信息计算能力，该协议以设备指纹和SM9算法为基础，将终端唯一识别标记应用到电力物联网终端，以实现数据信息的交互与传递。文献[5]通过论述电力通信信息安全问题，实现安全无线供电通信与信息交互。

1 安全无线供电通信网络系统设计

针对现有技术的不足，设计了通信安全防护体系，主要措施有：（1）在现有的通信安全防护上加装入侵检测系统和防病毒网关，对主机进行加固，通过合理配置硬件设备和系统软件提高系统通信的安全防护水平与抗风险能力；（2）由于系统中的各项数据需要经过各种路由器和交换机等中继数据传输设备，因此提出了基于Manager/Agent的管理节点和代理节点模式，其优点在于集成了远程管理接口，并且在简单网络管理协议（Simple Network Management Protocol，SNMP）下发送命令，提高设备的响应[5]；（3）纵向加密使用NetKeeper-2000装置，可以在100M的带宽网速中将加密通信线路的建设延迟降至0 ms，整个数据的传输量可以达到100 Mb/s，而且为了实现对用户的身份认证，还加入了加密算法以及控制访问技术；（4）设计网络数据隔离装置的单向隔离通道，基于信息检索系统（Information Retrieval System，IRS）加入了校验模块，发送模块中的用户数据包生成校验码，隔离模块加入了判断分类功能，对用户发出的通信报文进行判断和决策，判断是否符合通信的信任要求并进行相应的处理[6,7]。通信安全防护体系架构如图1所示。

图1 通信安全防护体系架构

该防护体系中部署了多个通信网关、防护设备、检测装置以及隔离装置，严格控制接入地址、端口和协议，为通信调度数据网与系统内部网络、外部网络的互联提供安全保障。电力系统的信息管理区与生产控制区之间使用独立的网络设备组网，与其他电力系统实现了物理隔离，同时保证了业务的正常传输。通过正向隔离装置和反向隔离装置将电力系统内网与外网安全隔离，使内外网在物理层面完全断开。使用ASP.NET Chart图形化组件将统计到的通信网络中各设备数量、在线率、告警信息等基本数据展示在界面上，将网络运行指标和网络安全指标的统计结果以统计图的形式返回展示。

该研究在Linux系统下对端口白名单和关键文件进行配置，便于服务器进行安全访问。采集服务器、工作站、网络设备以及防护设备的安全数据和网络安全事件，保证了内部网络数据以及服务器的安全。使用管理信息库（Management Information Base，MIB）进行系统的数据统计，这种信息库可以管理多种协议的信息和用户设备，兼容性和拓展性较好，采用树形结构的存储模式在分布式数据报文网络进行分布式存储。对于通信网络中的代理节点来说，基于MIB树的对象标识符（Object Identifier，OID）节点对象实现通信设备的管理，通过标识符进行数据读取和属性设置。

2 基于FPGA的网络数据隔离装置设计

该研究在通信安全防护体系中采用的是正反隔离的装置，为了实现兼容多种网络协议和数据的实时传输，研究中加入了基于可编程逻辑闸阵列（Field Programmable Gate Array，FPGA）的数据隔离装置，这种装置可以在高工作频率下实现对电力数据的实时监控，并且可以对电力设备的各项数据进行准确的收发，与外界实现单向通信，保证了数据的安全性。隔离装置模块的结构如图2所示。

图2 隔离装置模块

在隔离装置模块中，单项隔离通道用于传输数据的监控和控制，并且可以判断数据是否满足相应要求。若数据满足要求，则系统将数据传输至先进先出（First Input First Output，FIFO）模块中，但有时可能出现数据丢失的现象，为了防止这种问题，在数据传输过程中，储存器对数据信息进行提前缓存，并且对数据可以进行直接的读取和输入操作[8,9]。在校验模块中，为了提高应用范围和检验效果，本文使用了循环冗余校验码（Cyclic Redundancy Check，CRC）。发送数据设为f(x)，进行按位的加减运算，得到的余数为校验码，可表示为

式中：G(x)为生成多项式；r(x)为校验码；Q(x)为商；k为其最高幂值。

校验模块的数据接收接口为发送模块的输出接口，将校验码传输至发送模块[10]。隔离模块在系统中的作用非常明显，可以判断传输数据的风险等级和提前预判，当传输的数据危险系数高，则隔离模块将发送Err_code[7..0]，而后经过校验模块传输至通信装置。

3 基于ATE7053多功能芯片供电通信信息传递方式

为了提高供电通信数据信息的交互能力，分析综合供电通信服务系统的储能量传递和信息平衡，保证多种信号控制线中的供电通信流向一致，并对储能余量进行监测，防止供电通信浪费。供电通信的信息传递方式如图3所示。

图3 供电通信信息传递方式

供电信息传输过程中，为了实现系统的逻辑性，提高系统运行效率，设计加入了逻辑控制单元，可以对储能罐中的供电信息进行统计和量化，通过分析供电信息来判断运输策略。经过逻辑控制单元判断所使用的运输方式；通过数字驱动确定送达位置，并与控制系统完成指令交互。

为了解储能罐的余量，还加入了供电通信计量装置，可以发送测量出的储能罐余量，这个过程能够避免逻辑线路上的运输量过大，提高运输效率。为了提高综合供电通信的数据传输准确率，加快数据的集成，加入了ATE7053多功能芯片，可以实现对云端数据的快速加密传输，为上文中的改进型客户终端设备（Customer Premise Equipment，CPE）通信算法提供硬件支撑。计量芯片内部线路如图4所示。

图4 计量芯片设计

ATE7053多功能芯片的引脚中，总控线连接的是ATE32模块，上位机与储存器相连，MIII接口负责输出显示信号，储存器通过IEC61850协议与无线通信模块连接，电源模块输出的1.2 V和2.5 V电压输入至ATE7053多功能芯片，8.8 V电压输入至ATE32芯片和ADC采样模块。

4 实验与分析

为验证该研究系统安全通信的防护性能，搭建实验环境，在交换机与路由器加密装置的两端口之间建立数据传输，为实验中的网络设备配置一个IP地址，选择eth1和eth2为内网口与外网口，定义网络接口的接口类型为Bridge。

实验中记录了设备编号、设备名称、设备IP、设备类型、告警内容、所属地域、电压等级、站点类型等信息，使用这些信息进行测试，实验数据集如表1所示。

表1 实验数据集

测试时，使用6个客户端同时对隔离装置另一端的客户端发送同样的数据包，设定3号客户端的IP地址为192.168.0.11，信任的IP地址范围为192.168.0.20～192.168.0.30，通过软件抓取到发向另一端计算机的报文，窃取到的信息量如表2所示，总信息量如图5所示。

图5 总信息量

表2 窃取到的信息量

随着实验时间的增加，传输的数据量逐级增多，窃听节点窃取到的信息量也增多。文献[4]系统中窃听节点得到的数据量最高可达到8.75 MB，文献[5]系统中窃听节点的数据量为7.43 MB。在文献[4]系统和文献[5]系统中，数据传输的无线网络安全性能较低，源节点和目标节点的通信过程受到窃听节点窃听。所研究系统在无线网络环境下，窃听节点得到的信息量不足2 MB，窃取到的有效信息量不超过1.4%，利用中继节点转发源节点的传输信息，有效提高了信息传输的安全性。

5 结 论

该研究设计出了安全无线供电通信网络系统，加强了电力监控信息通信的安全水平，部署了多种安全防护设备，提高了系统工作效率，并利用加密设备对不同区域之间的通信信息进行加密，防止系统受到恶意攻击或破坏，影响电力监控功能。应用基于解码转发协议的无线网络通信安全方法，利用无线协作中继节点实现了源节点和目的节点之间通信信息的安全传输，通过优化中继节点的功率权重降低窃听节点的有效功率。在以后的研究中，还需按照电力通信网络监控管理要求对系统的功能层进行升级和维护，对系统中设备的配置进行相应调整。