電力移動(dòng)終端安全接入系統(tǒng)設(shè)計(jì)研究

前言：想要寫(xiě)出一篇引人入勝的文章？我們特意為您整理了電力移動(dòng)終端安全接入系統(tǒng)設(shè)計(jì)研究范文，希望能給你帶來(lái)靈感和參考，敬請(qǐng)閱讀。

摘要：針對(duì)移動(dòng)終端接入電力企業(yè)內(nèi)網(wǎng)的安全性問(wèn)題，將整個(gè)接入過(guò)程分為不同階段進(jìn)行研究，以期通過(guò)對(duì)各階段的安全防護(hù)策略進(jìn)行改進(jìn)設(shè)計(jì)，最終實(shí)現(xiàn)電力移動(dòng)終端安全接入。所提出的系統(tǒng)設(shè)計(jì)方案采用了安全分區(qū)、網(wǎng)絡(luò)專(zhuān)用的系統(tǒng)邏輯架構(gòu)策略，構(gòu)建了分層的安全移動(dòng)終端體系結(jié)構(gòu)，同時(shí)還應(yīng)用了基于角色的檢測(cè)以及基于SSL協(xié)議的安全傳輸?shù)劝踩呗浴?/p>

關(guān)鍵詞：移動(dòng)終端；安全接入；系統(tǒng)設(shè)計(jì)

引言

近年來(lái)，我國(guó)智能電網(wǎng)建設(shè)不斷深化推進(jìn)，各種類(lèi)型的移動(dòng)終端隨之接入電力內(nèi)網(wǎng)應(yīng)用系統(tǒng)中，而電力企業(yè)也需要向移動(dòng)終端拓展諸多業(yè)務(wù)。在此背景下，面對(duì)海量移動(dòng)終端以各種方式接入的問(wèn)題，電力企業(yè)內(nèi)網(wǎng)信息的安全防護(hù)必須進(jìn)行加強(qiáng)，從而保障國(guó)家能源安全以及經(jīng)濟(jì)的穩(wěn)定發(fā)展［1］。作為接入系統(tǒng)的源頭，如何有效加強(qiáng)移動(dòng)終端接入的安全性是具有極為重要意義的研究課題。因此，本文對(duì)該課題展開(kāi)研究探討，提出一種電力移動(dòng)終端安全接入系統(tǒng)的設(shè)計(jì)方案，以期為解決我國(guó)電力企業(yè)信息安全問(wèn)題提供一些幫助。

1安全接入系統(tǒng)總體設(shè)計(jì)

眾所周知，電力是現(xiàn)代社會(huì)不可或缺的重要能源，而電力企業(yè)擔(dān)負(fù)著提供可持續(xù)電力供應(yīng)的重大責(zé)任，這是電力行業(yè)所具有的特殊性。此外，隨著信息技術(shù)的不斷發(fā)展進(jìn)步，我國(guó)電力企業(yè)信息化與智能電網(wǎng)建設(shè)的發(fā)展普及速度也達(dá)到了較高水平，使得當(dāng)前我國(guó)電力企業(yè)內(nèi)網(wǎng)應(yīng)用系統(tǒng)的復(fù)雜度、移動(dòng)終端接入種類(lèi)、數(shù)量、傳輸數(shù)據(jù)量等皆呈現(xiàn)出快速增長(zhǎng)的趨勢(shì)。針對(duì)以上現(xiàn)狀，本文提出了電力移動(dòng)終端安全接入系統(tǒng)的總體架構(gòu)設(shè)計(jì)方案。該方案的核心思路如下：針對(duì)移動(dòng)終端安全接入過(guò)程中的接入前、接入中及接入后這3個(gè)階段［2］，采用三級(jí)安全防護(hù)策略，分別就各個(gè)階段的安全防護(hù)進(jìn)行研究設(shè)計(jì)。

1．1系統(tǒng)總體邏輯架構(gòu)設(shè)計(jì)

系統(tǒng)總體架構(gòu)的核心設(shè)計(jì)思路如下：針對(duì)移動(dòng)終端安全接入過(guò)程中的接入前、接入中及接入后這3個(gè)階段，采用三級(jí)安全防護(hù)策略，分別就各個(gè)階段的安全防護(hù)進(jìn)行研究設(shè)計(jì)。根據(jù)這一思路，本文所設(shè)計(jì)的系統(tǒng)總體邏輯架構(gòu)如圖1所示。從圖1中可以看到，該系統(tǒng)總體邏輯架構(gòu)設(shè)計(jì)方案采用了安全分區(qū)、網(wǎng)絡(luò)專(zhuān)用的策略，一方面將整個(gè)電力移動(dòng)終端安全接入系統(tǒng)邏輯劃分為終端區(qū)、傳輸區(qū)、接入?yún)^(qū)以及訪(fǎng)問(wèn)區(qū)等四個(gè)安全區(qū)，各安全區(qū)之間功能獨(dú)立而又彼此協(xié)調(diào)；另一方面將網(wǎng)絡(luò)劃分為專(zhuān)用網(wǎng)、安全接入網(wǎng)以及內(nèi)部應(yīng)用網(wǎng)等3個(gè)部分，以訪(fǎng)問(wèn)控制來(lái)保障彼此數(shù)據(jù)交換的安全性［3］。

1．2系統(tǒng)物理拓?fù)湓O(shè)計(jì)

根據(jù)系統(tǒng)總體邏輯架構(gòu)設(shè)計(jì)方案，本文進(jìn)一步提出了系統(tǒng)物理拓?fù)湓O(shè)計(jì)方案，如圖2所示。圖2中，本文所提出的電力移動(dòng)終端安全接入系統(tǒng)能夠支持智能手機(jī)等多種當(dāng)前主流移動(dòng)終端設(shè)備進(jìn)行接入，各種移動(dòng)終端向電力企業(yè)內(nèi)網(wǎng)應(yīng)用系統(tǒng)發(fā)送的請(qǐng)求，必須通過(guò)安全接入網(wǎng)關(guān)這個(gè)唯一通信接口的轉(zhuǎn)發(fā)。應(yīng)用前置服務(wù)器負(fù)責(zé)接收來(lái)自移動(dòng)終端的請(qǐng)求信息并進(jìn)行初步處理，然后將其傳輸至電力企業(yè)內(nèi)網(wǎng)應(yīng)用系統(tǒng)。移動(dòng)終端身份驗(yàn)證由安全認(rèn)證系統(tǒng)進(jìn)行，僅允許具有合法身份的移動(dòng)終端進(jìn)行接入［4］。通過(guò)單向數(shù)據(jù)傳輸設(shè)備，使得信息數(shù)據(jù)僅能進(jìn)行單向傳輸而無(wú)法反向傳輸。

2移動(dòng)終端安全設(shè)計(jì)

針對(duì)電力移動(dòng)終端安全接入問(wèn)題，本文結(jié)合采用安全移動(dòng)終端體系結(jié)構(gòu)改造、基于角色的檢測(cè)以及基于SSL協(xié)議的安全傳輸?shù)炔呗裕源吮Ｕ弦苿?dòng)終端與電力企業(yè)內(nèi)網(wǎng)進(jìn)行信息數(shù)據(jù)交互的安全性。

2．1安全移動(dòng)終端體系結(jié)構(gòu)

本文對(duì)安全移動(dòng)終端體系結(jié)構(gòu)的改造策略主要是采用分層的結(jié)構(gòu)設(shè)計(jì)，如圖3所示。從圖3可見(jiàn)，經(jīng)過(guò)改造的安全移動(dòng)終端體系共劃分為硬件層、核心層、系統(tǒng)層以及應(yīng)用層，本文將分別對(duì)各層進(jìn)行闡述。（1）硬件層負(fù)責(zé)提供硬件支持，通過(guò)嵌入加密芯片等方法對(duì)該層進(jìn)行安全改造，能夠有效強(qiáng)化提升安全性；（2）核心層負(fù)責(zé)提供安全策略及規(guī)范，其安全改造措施包括結(jié)合采用認(rèn)證技術(shù)與SIM卡來(lái)進(jìn)行身份驗(yàn)證，以此提高安全可靠性等；（3）系統(tǒng)層由各管理功能模塊構(gòu)成，對(duì)系統(tǒng)層的安全改造主要是通過(guò)添加訪(fǎng)問(wèn)控制管理模塊、狀態(tài)數(shù)據(jù)監(jiān)控模塊等安全管理模塊，以此確保整個(gè)系統(tǒng)的安全性；（4）應(yīng)用層由生產(chǎn)管理系統(tǒng)等電力企業(yè)相關(guān)業(yè)務(wù)應(yīng)用構(gòu)成。

2．2基于角色的檢測(cè)

在前文所述的安全移動(dòng)終端體系結(jié)構(gòu)的分層設(shè)計(jì)方案的基礎(chǔ)上，本文為了加強(qiáng)對(duì)惡意入侵的防御，進(jìn)一步在體系結(jié)構(gòu)中的系統(tǒng)層中加入了移動(dòng)終端安全檢測(cè)模塊。目前常見(jiàn)的基于特征碼的檢測(cè)機(jī)制是通過(guò)預(yù)先構(gòu)建惡意軟件特征值庫(kù)，然后對(duì)軟件的APK進(jìn)行MD5值計(jì)算后，再將兩者進(jìn)行對(duì)比分析，以此來(lái)確定被檢測(cè)軟件是否為惡意軟件［5］。為了確保移動(dòng)終端安全檢測(cè)模塊的有效性，必須對(duì)上述具有局限性的檢測(cè)機(jī)制進(jìn)行改進(jìn)。因此，本文在其基礎(chǔ)上結(jié)合采用了基于角色的靜態(tài)分析方法，通過(guò)對(duì)用戶(hù)所提供的應(yīng)用程序信息進(jìn)行挖掘，以此發(fā)現(xiàn)內(nèi)部可能存在的邏輯矛盾?？紤]到電力移動(dòng)終端自身硬件性能問(wèn)題，本文采用C／S模式來(lái)進(jìn)行基于角色的檢測(cè)架構(gòu)，如圖4所示。從圖4中可以看到，本文所提出的基于角色的入侵檢測(cè)機(jī)制首先需要對(duì)電力移動(dòng)終端上的應(yīng)用程序進(jìn)行分類(lèi)，并分別為不同類(lèi)別的程序配置相應(yīng)的角色，以此使不同分類(lèi)的應(yīng)用程序與相應(yīng)的系統(tǒng)權(quán)限進(jìn)行關(guān)聯(lián)；然后，提取出應(yīng)用程序的權(quán)限信息，并由服務(wù)器的檢測(cè)模型將權(quán)限信息與資源文件進(jìn)行對(duì)比分析，最終完成對(duì)目標(biāo)軟件的檢測(cè)任務(wù)并將檢測(cè)結(jié)果發(fā)送至客戶(hù)端。

2．3基于SSL協(xié)議的安全傳輸

在通信協(xié)議方面，本文對(duì)比分析了目前常見(jiàn)的主流通信協(xié)議，發(fā)現(xiàn)SSL協(xié)議具有顯著的優(yōu)點(diǎn)，不僅具備了優(yōu)秀的擴(kuò)展性，并且在安全性與兼容性方面也表現(xiàn)良好。此外，為了進(jìn)一步強(qiáng)化數(shù)據(jù)傳輸?shù)陌踩裕疚倪€對(duì)涵蓋了加密、數(shù)字簽名等多項(xiàng)技術(shù)的PKI展開(kāi)研究［6］，確定該技術(shù)能夠很好地應(yīng)用于電力移動(dòng)終端接入這種復(fù)雜的網(wǎng)絡(luò)環(huán)境中。綜上所述，本文最終選擇采用了SSL協(xié)議，并且在PKI技術(shù)的基礎(chǔ)上將兩者進(jìn)行了有機(jī)結(jié)合，一方面通過(guò)PKI技術(shù)對(duì)數(shù)據(jù)進(jìn)行加密來(lái)保障了通信的私密性，一方面通過(guò)身份驗(yàn)證及數(shù)字簽名來(lái)保障了數(shù)據(jù)傳輸?shù)目煽啃?。這種基于PKI技術(shù)的SSL協(xié)議確保了應(yīng)用層與TCP／IP間數(shù)據(jù)通信的安全性。SSL協(xié)議主要由握手協(xié)議與記錄協(xié)議兩部分構(gòu)成，前者負(fù)責(zé)會(huì)話(huà)建立，而后者則負(fù)責(zé)數(shù)據(jù)封裝。SSL握手協(xié)議的通信過(guò)程如圖5所示。如前文所述，本文將SSL協(xié)議與PKI技術(shù)進(jìn)行了有機(jī)結(jié)合，因此當(dāng)圖5所示的握手協(xié)議通信過(guò)程結(jié)束后，在由記錄協(xié)議負(fù)責(zé)完成的數(shù)據(jù)封裝過(guò)程中，會(huì)以加密算法以及密匙對(duì)數(shù)據(jù)進(jìn)行加密，進(jìn)一步加強(qiáng)數(shù)據(jù)傳輸?shù)乃矫苄约鞍踩浴?/p>

3系統(tǒng)運(yùn)行測(cè)試

為了驗(yàn)證本文所提出的電力移動(dòng)終端安全接入系統(tǒng)設(shè)計(jì)方案的可行性，首先根據(jù)某電力企業(yè)的實(shí)際需求情況對(duì)該企業(yè)的集控中心系統(tǒng)進(jìn)行了改造，將電力移動(dòng)終端安全接入系統(tǒng)與之進(jìn)行結(jié)合，然后對(duì)其進(jìn)行了整體運(yùn)行測(cè)試。系統(tǒng)運(yùn)行測(cè)試測(cè)試所構(gòu)建的電力移動(dòng)終端安全接入系統(tǒng)拓?fù)浣Y(jié)構(gòu)，如圖6所示。首先，對(duì)待接入的移動(dòng)終端進(jìn)行檢查驗(yàn)證，確定允許該移動(dòng)終端進(jìn)行接入；然后通過(guò)客戶(hù)端的登錄界面輸出正確的用戶(hù)賬號(hào)、密碼，并在該界面勾選數(shù)字證書(shū)驗(yàn)證；最后點(diǎn)擊登錄按鈕進(jìn)行系統(tǒng)登錄操作［7］?？蛻?hù)端登錄界面如圖7所示。成功登錄電力移動(dòng)終端安全接入系統(tǒng)后，操作界面顯示出該系統(tǒng)用戶(hù)權(quán)限所對(duì)應(yīng)的功能操作按鈕。點(diǎn)擊實(shí)時(shí)監(jiān)控按鈕進(jìn)入相應(yīng)界面，實(shí)現(xiàn)對(duì)該電力企業(yè)下屬電廠的生產(chǎn)控制系統(tǒng)的實(shí)時(shí)狀態(tài)監(jiān)控，如圖8所示。從圖8中可以看到，實(shí)時(shí)監(jiān)控界面能夠清晰地顯示出下屬電廠的生產(chǎn)數(shù)據(jù)，并且每間隔若干秒后會(huì)自動(dòng)進(jìn)行數(shù)據(jù)刷新。

4結(jié)語(yǔ)

測(cè)試結(jié)果證明，本文所設(shè)計(jì)的電力移動(dòng)終端安全接入系統(tǒng)能夠很好地支持移動(dòng)終端與電力企業(yè)內(nèi)網(wǎng)的數(shù)據(jù)交互，保證良好的數(shù)據(jù)傳輸質(zhì)量，并且通過(guò)用戶(hù)密碼驗(yàn)證、數(shù)字證書(shū)驗(yàn)證等多種措施，保證了數(shù)據(jù)交互的私密性與安全性。

參考文獻(xiàn)

［1］龔小剛，葉衛(wèi)，王以良，等．基于“點(diǎn)－線(xiàn)－面”的移動(dòng)終端網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管控應(yīng)用［J］．電力信息與通信技術(shù)，2018，16（1）：96－101．

［2］陸忞，周昊．電力終端通信接入網(wǎng)安全防護(hù)體系技術(shù)研究與應(yīng)用［J］．大眾用電，2017（S1）：72－75．

［3］陸忞，周昊．電力終端通信接入網(wǎng)風(fēng)險(xiǎn)分析與安全接入技術(shù)研究［J］．通信技術(shù)，2017，50（9）：2067－2073．

［4］陳姣，周智勛．移動(dòng)安全接入平臺(tái)的安全機(jī)制［J］．中國(guó)新通信，2015（12）．

［5］顏佳，李春，許劭慶，等．電網(wǎng)企業(yè)移動(dòng)終端安全接入研究與應(yīng)用［J］．吉林電力，2014（6）．

［6］許名揚(yáng)．移動(dòng)互聯(lián)網(wǎng)下的信息安全思考［J］．電子技術(shù)與軟件工程，2016（23）．

［7］左賽哲．移動(dòng)終端來(lái)電攔截專(zhuān)利技術(shù)綜述［J］．中國(guó)新通信，2017（5）．

作者：黃勇光 李穎杰 單位：深圳供電局有限公司