基于IRS的安全無線供電通信網絡系統

黎 鵬

（廣西電網有限公司南寧供電局，廣西 南寧 530000）

0 引 言

由于無線供電通信網絡系統的飛速發展，電力監控系統面臨的主要威脅來源于數據通信和網絡傳輸過程中的計算機病毒、惡意程序、安全漏洞，影響電力數據的安全[1,2]。為保證系統的通信安全，防止受到病毒、惡意程度和非法訪問對系統產生的破壞，保證電力監控系統中的各個設備穩定運行，針對無線供電通信安性問題，文獻[3]公開一種考慮業務關聯的電力通信檢修安全校核方法，通過在西北區域二級骨干通信網中進行繼電保護，提高了系統的穩定性，并提出基于關聯業務分類的通信檢修快速檢索算法，增強了繼電器保護能力。在電力系統的控制中心部署大量的網絡安全監測設備，采集控制區域內服務器、工作站和網絡設備檢測到的網絡通信完全數據。文獻[4]通過電力物聯網安全通信協議研究提高數據信息計算能力，該協議以設備指紋和SM9算法為基礎，將終端唯一識別標記應用到電力物聯網終端，以實現數據信息的交互與傳遞。文獻[5]通過論述電力通信信息安全問題，實現安全無線供電通信與信息交互。

1 安全無線供電通信網絡系統設計

針對現有技術的不足，設計了通信安全防護體系，主要措施有：（1）在現有的通信安全防護上加裝入侵檢測系統和防病毒網關，對主機進行加固，通過合理配置硬件設備和系統軟件提高系統通信的安全防護水平與抗風險能力；（2）由于系統中的各項數據需要經過各種路由器和交換機等中繼數據傳輸設備，因此提出了基于Manager/Agent的管理節點和代理節點模式，其優點在于集成了遠程管理接口，并且在簡單網絡管理協議（Simple Network Management Protocol，SNMP）下發送命令，提高設備的響應[5]；（3）縱向加密使用NetKeeper-2000裝置，可以在100M的帶寬網速中將加密通信線路的建設延遲降至0 ms，整個數據的傳輸量可以達到100 Mb/s，而且為了實現對用戶的身份認證，還加入了加密算法以及控制訪問技術；（4）設計網絡數據隔離裝置的單向隔離通道，基于信息檢索系統（Information Retrieval System，IRS）加入了校驗模塊，發送模塊中的用戶數據包生成校驗碼，隔離模塊加入了判斷分類功能，對用戶發出的通信報文進行判斷和決策，判斷是否符合通信的信任要求并進行相應的處理[6,7]。通信安全防護體系架構如圖1所示。

圖1 通信安全防護體系架構

該防護體系中部署了多個通信網關、防護設備、檢測裝置以及隔離裝置，嚴格控制接入地址、端口和協議，為通信調度數據網與系統內部網絡、外部網絡的互聯提供安全保障。電力系統的信息管理區與生產控制區之間使用獨立的網絡設備組網，與其他電力系統實現了物理隔離，同時保證了業務的正常傳輸。通過正向隔離裝置和反向隔離裝置將電力系統內網與外網安全隔離，使內外網在物理層面完全斷開。使用ASP.NET Chart圖形化組件將統計到的通信網絡中各設備數量、在線率、告警信息等基本數據展示在界面上，將網絡運行指標和網絡安全指標的統計結果以統計圖的形式返回展示。

該研究在Linux系統下對端口白名單和關鍵文件進行配置，便于服務器進行安全訪問。采集服務器、工作站、網絡設備以及防護設備的安全數據和網絡安全事件，保證了內部網絡數據以及服務器的安全。使用管理信息庫（Management Information Base，MIB）進行系統的數據統計，這種信息庫可以管理多種協議的信息和用戶設備，兼容性和拓展性較好，采用樹形結構的存儲模式在分布式數據報文網絡進行分布式存儲。對于通信網絡中的代理節點來說，基于MIB樹的對象標識符（Object Identifier，OID）節點對象實現通信設備的管理，通過標識符進行數據讀取和屬性設置。

2 基于FPGA的網絡數據隔離裝置設計

該研究在通信安全防護體系中采用的是正反隔離的裝置，為了實現兼容多種網絡協議和數據的實時傳輸，研究中加入了基于可編程邏輯閘陣列（Field Programmable Gate Array，FPGA）的數據隔離裝置，這種裝置可以在高工作頻率下實現對電力數據的實時監控，并且可以對電力設備的各項數據進行準確的收發，與外界實現單向通信，保證了數據的安全性。隔離裝置模塊的結構如圖2所示。

圖2 隔離裝置模塊

在隔離裝置模塊中，單項隔離通道用于傳輸數據的監控和控制，并且可以判斷數據是否滿足相應要求。若數據滿足要求，則系統將數據傳輸至先進先出（First Input First Output，FIFO）模塊中，但有時可能出現數據丟失的現象，為了防止這種問題，在數據傳輸過程中，儲存器對數據信息進行提前緩存，并且對數據可以進行直接的讀取和輸入操作[8,9]。在校驗模塊中，為了提高應用范圍和檢驗效果，本文使用了循環冗余校驗碼（Cyclic Redundancy Check，CRC）。發送數據設為f(x)，進行按位的加減運算，得到的余數為校驗碼，可表示為

式中：G(x)為生成多項式；r(x)為校驗碼；Q(x)為商；k為其最高冪值。

校驗模塊的數據接收接口為發送模塊的輸出接口，將校驗碼傳輸至發送模塊[10]。隔離模塊在系統中的作用非常明顯，可以判斷傳輸數據的風險等級和提前預判，當傳輸的數據危險系數高，則隔離模塊將發送Err_code[7..0]，而后經過校驗模塊傳輸至通信裝置。

3 基于ATE7053多功能芯片供電通信信息傳遞方式

為了提高供電通信數據信息的交互能力，分析綜合供電通信服務系統的儲能量傳遞和信息平衡，保證多種信號控制線中的供電通信流向一致，并對儲能余量進行監測，防止供電通信浪費。供電通信的信息傳遞方式如圖3所示。

圖3 供電通信信息傳遞方式

供電信息傳輸過程中，為了實現系統的邏輯性，提高系統運行效率，設計加入了邏輯控制單元，可以對儲能罐中的供電信息進行統計和量化，通過分析供電信息來判斷運輸策略。經過邏輯控制單元判斷所使用的運輸方式；通過數字驅動確定送達位置，并與控制系統完成指令交互。

為了解儲能罐的余量，還加入了供電通信計量裝置，可以發送測量出的儲能罐余量，這個過程能夠避免邏輯線路上的運輸量過大，提高運輸效率。為了提高綜合供電通信的數據傳輸準確率，加快數據的集成，加入了ATE7053多功能芯片，可以實現對云端數據的快速加密傳輸，為上文中的改進型客戶終端設備（Customer Premise Equipment，CPE）通信算法提供硬件支撐。計量芯片內部線路如圖4所示。

圖4 計量芯片設計

ATE7053多功能芯片的引腳中，總控線連接的是ATE32模塊，上位機與儲存器相連，MIII接口負責輸出顯示信號，儲存器通過IEC61850協議與無線通信模塊連接，電源模塊輸出的1.2 V和2.5 V電壓輸入至ATE7053多功能芯片，8.8 V電壓輸入至ATE32芯片和ADC采樣模塊。

4 實驗與分析

為驗證該研究系統安全通信的防護性能，搭建實驗環境，在交換機與路由器加密裝置的兩端口之間建立數據傳輸，為實驗中的網絡設備配置一個IP地址，選擇eth1和eth2為內網口與外網口，定義網絡接口的接口類型為Bridge。

實驗中記錄了設備編號、設備名稱、設備IP、設備類型、告警內容、所屬地域、電壓等級、站點類型等信息，使用這些信息進行測試，實驗數據集如表1所示。

表1 實驗數據集

測試時，使用6個客戶端同時對隔離裝置另一端的客戶端發送同樣的數據包，設定3號客戶端的IP地址為192.168.0.11，信任的IP地址范圍為192.168.0.20～192.168.0.30，通過軟件抓取到發向另一端計算機的報文，竊取到的信息量如表2所示，總信息量如圖5所示。

圖5 總信息量

表2 竊取到的信息量

隨著實驗時間的增加，傳輸的數據量逐級增多，竊聽節點竊取到的信息量也增多。文獻[4]系統中竊聽節點得到的數據量最高可達到8.75 MB，文獻[5]系統中竊聽節點的數據量為7.43 MB。在文獻[4]系統和文獻[5]系統中，數據傳輸的無線網絡安全性能較低，源節點和目標節點的通信過程受到竊聽節點竊聽。所研究系統在無線網絡環境下，竊聽節點得到的信息量不足2 MB，竊取到的有效信息量不超過1.4%，利用中繼節點轉發源節點的傳輸信息，有效提高了信息傳輸的安全性。

5 結 論

該研究設計出了安全無線供電通信網絡系統，加強了電力監控信息通信的安全水平，部署了多種安全防護設備，提高了系統工作效率，并利用加密設備對不同區域之間的通信信息進行加密，防止系統受到惡意攻擊或破壞，影響電力監控功能。應用基于解碼轉發協議的無線網絡通信安全方法，利用無線協作中繼節點實現了源節點和目的節點之間通信信息的安全傳輸，通過優化中繼節點的功率權重降低竊聽節點的有效功率。在以后的研究中，還需按照電力通信網絡監控管理要求對系統的功能層進行升級和維護，對系統中設備的配置進行相應調整。