電力移動終端安全接入系統(tǒng)設計研究

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了電力移動終端安全接入系統(tǒng)設計研究范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：針對移動終端接入電力企業(yè)內(nèi)網(wǎng)的安全性問題，將整個接入過程分為不同階段進行研究，以期通過對各階段的安全防護策略進行改進設計，最終實現(xiàn)電力移動終端安全接入。所提出的系統(tǒng)設計方案采用了安全分區(qū)、網(wǎng)絡專用的系統(tǒng)邏輯架構(gòu)策略，構(gòu)建了分層的安全移動終端體系結(jié)構(gòu)，同時還應用了基于角色的檢測以及基于SSL協(xié)議的安全傳輸?shù)劝踩呗浴?/p>

關(guān)鍵詞：移動終端；安全接入；系統(tǒng)設計

引言

近年來，我國智能電網(wǎng)建設不斷深化推進，各種類型的移動終端隨之接入電力內(nèi)網(wǎng)應用系統(tǒng)中，而電力企業(yè)也需要向移動終端拓展諸多業(yè)務。在此背景下，面對海量移動終端以各種方式接入的問題，電力企業(yè)內(nèi)網(wǎng)信息的安全防護必須進行加強，從而保障國家能源安全以及經(jīng)濟的穩(wěn)定發(fā)展［1］。作為接入系統(tǒng)的源頭，如何有效加強移動終端接入的安全性是具有極為重要意義的研究課題。因此，本文對該課題展開研究探討，提出一種電力移動終端安全接入系統(tǒng)的設計方案，以期為解決我國電力企業(yè)信息安全問題提供一些幫助。

1安全接入系統(tǒng)總體設計

眾所周知，電力是現(xiàn)代社會不可或缺的重要能源，而電力企業(yè)擔負著提供可持續(xù)電力供應的重大責任，這是電力行業(yè)所具有的特殊性。此外，隨著信息技術(shù)的不斷發(fā)展進步，我國電力企業(yè)信息化與智能電網(wǎng)建設的發(fā)展普及速度也達到了較高水平，使得當前我國電力企業(yè)內(nèi)網(wǎng)應用系統(tǒng)的復雜度、移動終端接入種類、數(shù)量、傳輸數(shù)據(jù)量等皆呈現(xiàn)出快速增長的趨勢。針對以上現(xiàn)狀，本文提出了電力移動終端安全接入系統(tǒng)的總體架構(gòu)設計方案。該方案的核心思路如下：針對移動終端安全接入過程中的接入前、接入中及接入后這3個階段［2］，采用三級安全防護策略，分別就各個階段的安全防護進行研究設計。

1．1系統(tǒng)總體邏輯架構(gòu)設計

系統(tǒng)總體架構(gòu)的核心設計思路如下：針對移動終端安全接入過程中的接入前、接入中及接入后這3個階段，采用三級安全防護策略，分別就各個階段的安全防護進行研究設計。根據(jù)這一思路，本文所設計的系統(tǒng)總體邏輯架構(gòu)如圖1所示。從圖1中可以看到，該系統(tǒng)總體邏輯架構(gòu)設計方案采用了安全分區(qū)、網(wǎng)絡專用的策略，一方面將整個電力移動終端安全接入系統(tǒng)邏輯劃分為終端區(qū)、傳輸區(qū)、接入?yún)^(qū)以及訪問區(qū)等四個安全區(qū)，各安全區(qū)之間功能獨立而又彼此協(xié)調(diào)；另一方面將網(wǎng)絡劃分為專用網(wǎng)、安全接入網(wǎng)以及內(nèi)部應用網(wǎng)等3個部分，以訪問控制來保障彼此數(shù)據(jù)交換的安全性［3］。

1．2系統(tǒng)物理拓撲設計

根據(jù)系統(tǒng)總體邏輯架構(gòu)設計方案，本文進一步提出了系統(tǒng)物理拓撲設計方案，如圖2所示。圖2中，本文所提出的電力移動終端安全接入系統(tǒng)能夠支持智能手機等多種當前主流移動終端設備進行接入，各種移動終端向電力企業(yè)內(nèi)網(wǎng)應用系統(tǒng)發(fā)送的請求，必須通過安全接入網(wǎng)關(guān)這個唯一通信接口的轉(zhuǎn)發(fā)。應用前置服務器負責接收來自移動終端的請求信息并進行初步處理，然后將其傳輸至電力企業(yè)內(nèi)網(wǎng)應用系統(tǒng)。移動終端身份驗證由安全認證系統(tǒng)進行，僅允許具有合法身份的移動終端進行接入［4］。通過單向數(shù)據(jù)傳輸設備，使得信息數(shù)據(jù)僅能進行單向傳輸而無法反向傳輸。

2移動終端安全設計

針對電力移動終端安全接入問題，本文結(jié)合采用安全移動終端體系結(jié)構(gòu)改造、基于角色的檢測以及基于SSL協(xié)議的安全傳輸?shù)炔呗?，以此保障移動終端與電力企業(yè)內(nèi)網(wǎng)進行信息數(shù)據(jù)交互的安全性。

2．1安全移動終端體系結(jié)構(gòu)

本文對安全移動終端體系結(jié)構(gòu)的改造策略主要是采用分層的結(jié)構(gòu)設計，如圖3所示。從圖3可見，經(jīng)過改造的安全移動終端體系共劃分為硬件層、核心層、系統(tǒng)層以及應用層，本文將分別對各層進行闡述。（1）硬件層負責提供硬件支持，通過嵌入加密芯片等方法對該層進行安全改造，能夠有效強化提升安全性；（2）核心層負責提供安全策略及規(guī)范，其安全改造措施包括結(jié)合采用認證技術(shù)與SIM卡來進行身份驗證，以此提高安全可靠性等；（3）系統(tǒng)層由各管理功能模塊構(gòu)成，對系統(tǒng)層的安全改造主要是通過添加訪問控制管理模塊、狀態(tài)數(shù)據(jù)監(jiān)控模塊等安全管理模塊，以此確保整個系統(tǒng)的安全性；（4）應用層由生產(chǎn)管理系統(tǒng)等電力企業(yè)相關(guān)業(yè)務應用構(gòu)成。

2．2基于角色的檢測

在前文所述的安全移動終端體系結(jié)構(gòu)的分層設計方案的基礎上，本文為了加強對惡意入侵的防御，進一步在體系結(jié)構(gòu)中的系統(tǒng)層中加入了移動終端安全檢測模塊。目前常見的基于特征碼的檢測機制是通過預先構(gòu)建惡意軟件特征值庫，然后對軟件的APK進行MD5值計算后，再將兩者進行對比分析，以此來確定被檢測軟件是否為惡意軟件［5］。為了確保移動終端安全檢測模塊的有效性，必須對上述具有局限性的檢測機制進行改進。因此，本文在其基礎上結(jié)合采用了基于角色的靜態(tài)分析方法，通過對用戶所提供的應用程序信息進行挖掘，以此發(fā)現(xiàn)內(nèi)部可能存在的邏輯矛盾?？紤]到電力移動終端自身硬件性能問題，本文采用C／S模式來進行基于角色的檢測架構(gòu)，如圖4所示。從圖4中可以看到，本文所提出的基于角色的入侵檢測機制首先需要對電力移動終端上的應用程序進行分類，并分別為不同類別的程序配置相應的角色，以此使不同分類的應用程序與相應的系統(tǒng)權(quán)限進行關(guān)聯(lián)；然后，提取出應用程序的權(quán)限信息，并由服務器的檢測模型將權(quán)限信息與資源文件進行對比分析，最終完成對目標軟件的檢測任務并將檢測結(jié)果發(fā)送至客戶端。

2．3基于SSL協(xié)議的安全傳輸

在通信協(xié)議方面，本文對比分析了目前常見的主流通信協(xié)議，發(fā)現(xiàn)SSL協(xié)議具有顯著的優(yōu)點，不僅具備了優(yōu)秀的擴展性，并且在安全性與兼容性方面也表現(xiàn)良好。此外，為了進一步強化數(shù)據(jù)傳輸?shù)陌踩裕疚倪€對涵蓋了加密、數(shù)字簽名等多項技術(shù)的PKI展開研究［6］，確定該技術(shù)能夠很好地應用于電力移動終端接入這種復雜的網(wǎng)絡環(huán)境中。綜上所述，本文最終選擇采用了SSL協(xié)議，并且在PKI技術(shù)的基礎上將兩者進行了有機結(jié)合，一方面通過PKI技術(shù)對數(shù)據(jù)進行加密來保障了通信的私密性，一方面通過身份驗證及數(shù)字簽名來保障了數(shù)據(jù)傳輸?shù)目煽啃?。這種基于PKI技術(shù)的SSL協(xié)議確保了應用層與TCP／IP間數(shù)據(jù)通信的安全性。SSL協(xié)議主要由握手協(xié)議與記錄協(xié)議兩部分構(gòu)成，前者負責會話建立，而后者則負責數(shù)據(jù)封裝。SSL握手協(xié)議的通信過程如圖5所示。如前文所述，本文將SSL協(xié)議與PKI技術(shù)進行了有機結(jié)合，因此當圖5所示的握手協(xié)議通信過程結(jié)束后，在由記錄協(xié)議負責完成的數(shù)據(jù)封裝過程中，會以加密算法以及密匙對數(shù)據(jù)進行加密，進一步加強數(shù)據(jù)傳輸?shù)乃矫苄约鞍踩浴?/p>

3系統(tǒng)運行測試

為了驗證本文所提出的電力移動終端安全接入系統(tǒng)設計方案的可行性，首先根據(jù)某電力企業(yè)的實際需求情況對該企業(yè)的集控中心系統(tǒng)進行了改造，將電力移動終端安全接入系統(tǒng)與之進行結(jié)合，然后對其進行了整體運行測試。系統(tǒng)運行測試測試所構(gòu)建的電力移動終端安全接入系統(tǒng)拓撲結(jié)構(gòu)，如圖6所示。首先，對待接入的移動終端進行檢查驗證，確定允許該移動終端進行接入；然后通過客戶端的登錄界面輸出正確的用戶賬號、密碼，并在該界面勾選數(shù)字證書驗證；最后點擊登錄按鈕進行系統(tǒng)登錄操作［7］。客戶端登錄界面如圖7所示。成功登錄電力移動終端安全接入系統(tǒng)后，操作界面顯示出該系統(tǒng)用戶權(quán)限所對應的功能操作按鈕。點擊實時監(jiān)控按鈕進入相應界面，實現(xiàn)對該電力企業(yè)下屬電廠的生產(chǎn)控制系統(tǒng)的實時狀態(tài)監(jiān)控，如圖8所示。從圖8中可以看到，實時監(jiān)控界面能夠清晰地顯示出下屬電廠的生產(chǎn)數(shù)據(jù)，并且每間隔若干秒后會自動進行數(shù)據(jù)刷新。

4結(jié)語

測試結(jié)果證明，本文所設計的電力移動終端安全接入系統(tǒng)能夠很好地支持移動終端與電力企業(yè)內(nèi)網(wǎng)的數(shù)據(jù)交互，保證良好的數(shù)據(jù)傳輸質(zhì)量，并且通過用戶密碼驗證、數(shù)字證書驗證等多種措施，保證了數(shù)據(jù)交互的私密性與安全性。

參考文獻

［1］龔小剛，葉衛(wèi)，王以良，等．基于“點－線－面”的移動終端網(wǎng)絡安全風險管控應用［J］．電力信息與通信技術(shù)，2018，16（1）：96－101．

［2］陸忞，周昊．電力終端通信接入網(wǎng)安全防護體系技術(shù)研究與應用［J］．大眾用電，2017（S1）：72－75．

［3］陸忞，周昊．電力終端通信接入網(wǎng)風險分析與安全接入技術(shù)研究［J］．通信技術(shù)，2017，50（9）：2067－2073．

［4］陳姣，周智勛．移動安全接入平臺的安全機制［J］．中國新通信，2015（12）．

［5］顏佳，李春，許劭慶，等．電網(wǎng)企業(yè)移動終端安全接入研究與應用［J］．吉林電力，2014（6）．

［6］許名揚．移動互聯(lián)網(wǎng)下的信息安全思考［J］．電子技術(shù)與軟件工程，2016（23）．

［7］左賽哲．移動終端來電攔截專利技術(shù)綜述［J］．中國新通信，2017（5）．

作者：黃勇光 李穎杰 單位：深圳供電局有限公司