電力移動終端安全接入系統(tǒng)設(shè)計研究

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了電力移動終端安全接入系統(tǒng)設(shè)計研究范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：針對移動終端接入電力企業(yè)內(nèi)網(wǎng)的安全性問題，將整個接入過程分為不同階段進(jìn)行研究，以期通過對各階段的安全防護(hù)策略進(jìn)行改進(jìn)設(shè)計，最終實現(xiàn)電力移動終端安全接入。所提出的系統(tǒng)設(shè)計方案采用了安全分區(qū)、網(wǎng)絡(luò)專用的系統(tǒng)邏輯架構(gòu)策略，構(gòu)建了分層的安全移動終端體系結(jié)構(gòu)，同時還應(yīng)用了基于角色的檢測以及基于SSL協(xié)議的安全傳輸?shù)劝踩呗浴?/p>

關(guān)鍵詞：移動終端；安全接入；系統(tǒng)設(shè)計

引言

近年來，我國智能電網(wǎng)建設(shè)不斷深化推進(jìn)，各種類型的移動終端隨之接入電力內(nèi)網(wǎng)應(yīng)用系統(tǒng)中，而電力企業(yè)也需要向移動終端拓展諸多業(yè)務(wù)。在此背景下，面對海量移動終端以各種方式接入的問題，電力企業(yè)內(nèi)網(wǎng)信息的安全防護(hù)必須進(jìn)行加強(qiáng)，從而保障國家能源安全以及經(jīng)濟(jì)的穩(wěn)定發(fā)展［1］。作為接入系統(tǒng)的源頭，如何有效加強(qiáng)移動終端接入的安全性是具有極為重要意義的研究課題。因此，本文對該課題展開研究探討，提出一種電力移動終端安全接入系統(tǒng)的設(shè)計方案，以期為解決我國電力企業(yè)信息安全問題提供一些幫助。

1安全接入系統(tǒng)總體設(shè)計

眾所周知，電力是現(xiàn)代社會不可或缺的重要能源，而電力企業(yè)擔(dān)負(fù)著提供可持續(xù)電力供應(yīng)的重大責(zé)任，這是電力行業(yè)所具有的特殊性。此外，隨著信息技術(shù)的不斷發(fā)展進(jìn)步，我國電力企業(yè)信息化與智能電網(wǎng)建設(shè)的發(fā)展普及速度也達(dá)到了較高水平，使得當(dāng)前我國電力企業(yè)內(nèi)網(wǎng)應(yīng)用系統(tǒng)的復(fù)雜度、移動終端接入種類、數(shù)量、傳輸數(shù)據(jù)量等皆呈現(xiàn)出快速增長的趨勢。針對以上現(xiàn)狀，本文提出了電力移動終端安全接入系統(tǒng)的總體架構(gòu)設(shè)計方案。該方案的核心思路如下：針對移動終端安全接入過程中的接入前、接入中及接入后這3個階段［2］，采用三級安全防護(hù)策略，分別就各個階段的安全防護(hù)進(jìn)行研究設(shè)計。

1．1系統(tǒng)總體邏輯架構(gòu)設(shè)計

系統(tǒng)總體架構(gòu)的核心設(shè)計思路如下：針對移動終端安全接入過程中的接入前、接入中及接入后這3個階段，采用三級安全防護(hù)策略，分別就各個階段的安全防護(hù)進(jìn)行研究設(shè)計。根據(jù)這一思路，本文所設(shè)計的系統(tǒng)總體邏輯架構(gòu)如圖1所示。從圖1中可以看到，該系統(tǒng)總體邏輯架構(gòu)設(shè)計方案采用了安全分區(qū)、網(wǎng)絡(luò)專用的策略，一方面將整個電力移動終端安全接入系統(tǒng)邏輯劃分為終端區(qū)、傳輸區(qū)、接入?yún)^(qū)以及訪問區(qū)等四個安全區(qū)，各安全區(qū)之間功能獨立而又彼此協(xié)調(diào)；另一方面將網(wǎng)絡(luò)劃分為專用網(wǎng)、安全接入網(wǎng)以及內(nèi)部應(yīng)用網(wǎng)等3個部分，以訪問控制來保障彼此數(shù)據(jù)交換的安全性［3］。

1．2系統(tǒng)物理拓?fù)湓O(shè)計

根據(jù)系統(tǒng)總體邏輯架構(gòu)設(shè)計方案，本文進(jìn)一步提出了系統(tǒng)物理拓?fù)湓O(shè)計方案，如圖2所示。圖2中，本文所提出的電力移動終端安全接入系統(tǒng)能夠支持智能手機(jī)等多種當(dāng)前主流移動終端設(shè)備進(jìn)行接入，各種移動終端向電力企業(yè)內(nèi)網(wǎng)應(yīng)用系統(tǒng)發(fā)送的請求，必須通過安全接入網(wǎng)關(guān)這個唯一通信接口的轉(zhuǎn)發(fā)。應(yīng)用前置服務(wù)器負(fù)責(zé)接收來自移動終端的請求信息并進(jìn)行初步處理，然后將其傳輸至電力企業(yè)內(nèi)網(wǎng)應(yīng)用系統(tǒng)。移動終端身份驗證由安全認(rèn)證系統(tǒng)進(jìn)行，僅允許具有合法身份的移動終端進(jìn)行接入［4］。通過單向數(shù)據(jù)傳輸設(shè)備，使得信息數(shù)據(jù)僅能進(jìn)行單向傳輸而無法反向傳輸。

2移動終端安全設(shè)計

針對電力移動終端安全接入問題，本文結(jié)合采用安全移動終端體系結(jié)構(gòu)改造、基于角色的檢測以及基于SSL協(xié)議的安全傳輸?shù)炔呗裕源吮Ｕ弦苿咏K端與電力企業(yè)內(nèi)網(wǎng)進(jìn)行信息數(shù)據(jù)交互的安全性。

2．1安全移動終端體系結(jié)構(gòu)

本文對安全移動終端體系結(jié)構(gòu)的改造策略主要是采用分層的結(jié)構(gòu)設(shè)計，如圖3所示。從圖3可見，經(jīng)過改造的安全移動終端體系共劃分為硬件層、核心層、系統(tǒng)層以及應(yīng)用層，本文將分別對各層進(jìn)行闡述。（1）硬件層負(fù)責(zé)提供硬件支持，通過嵌入加密芯片等方法對該層進(jìn)行安全改造，能夠有效強(qiáng)化提升安全性；（2）核心層負(fù)責(zé)提供安全策略及規(guī)范，其安全改造措施包括結(jié)合采用認(rèn)證技術(shù)與SIM卡來進(jìn)行身份驗證，以此提高安全可靠性等；（3）系統(tǒng)層由各管理功能模塊構(gòu)成，對系統(tǒng)層的安全改造主要是通過添加訪問控制管理模塊、狀態(tài)數(shù)據(jù)監(jiān)控模塊等安全管理模塊，以此確保整個系統(tǒng)的安全性；（4）應(yīng)用層由生產(chǎn)管理系統(tǒng)等電力企業(yè)相關(guān)業(yè)務(wù)應(yīng)用構(gòu)成。

2．2基于角色的檢測

在前文所述的安全移動終端體系結(jié)構(gòu)的分層設(shè)計方案的基礎(chǔ)上，本文為了加強(qiáng)對惡意入侵的防御，進(jìn)一步在體系結(jié)構(gòu)中的系統(tǒng)層中加入了移動終端安全檢測模塊。目前常見的基于特征碼的檢測機(jī)制是通過預(yù)先構(gòu)建惡意軟件特征值庫，然后對軟件的APK進(jìn)行MD5值計算后，再將兩者進(jìn)行對比分析，以此來確定被檢測軟件是否為惡意軟件［5］。為了確保移動終端安全檢測模塊的有效性，必須對上述具有局限性的檢測機(jī)制進(jìn)行改進(jìn)。因此，本文在其基礎(chǔ)上結(jié)合采用了基于角色的靜態(tài)分析方法，通過對用戶所提供的應(yīng)用程序信息進(jìn)行挖掘，以此發(fā)現(xiàn)內(nèi)部可能存在的邏輯矛盾?？紤]到電力移動終端自身硬件性能問題，本文采用C／S模式來進(jìn)行基于角色的檢測架構(gòu)，如圖4所示。從圖4中可以看到，本文所提出的基于角色的入侵檢測機(jī)制首先需要對電力移動終端上的應(yīng)用程序進(jìn)行分類，并分別為不同類別的程序配置相應(yīng)的角色，以此使不同分類的應(yīng)用程序與相應(yīng)的系統(tǒng)權(quán)限進(jìn)行關(guān)聯(lián)；然后，提取出應(yīng)用程序的權(quán)限信息，并由服務(wù)器的檢測模型將權(quán)限信息與資源文件進(jìn)行對比分析，最終完成對目標(biāo)軟件的檢測任務(wù)并將檢測結(jié)果發(fā)送至客戶端。

2．3基于SSL協(xié)議的安全傳輸

在通信協(xié)議方面，本文對比分析了目前常見的主流通信協(xié)議，發(fā)現(xiàn)SSL協(xié)議具有顯著的優(yōu)點，不僅具備了優(yōu)秀的擴(kuò)展性，并且在安全性與兼容性方面也表現(xiàn)良好。此外，為了進(jìn)一步強(qiáng)化數(shù)據(jù)傳輸?shù)陌踩?，本文還對涵蓋了加密、數(shù)字簽名等多項技術(shù)的PKI展開研究［6］，確定該技術(shù)能夠很好地應(yīng)用于電力移動終端接入這種復(fù)雜的網(wǎng)絡(luò)環(huán)境中。綜上所述，本文最終選擇采用了SSL協(xié)議，并且在PKI技術(shù)的基礎(chǔ)上將兩者進(jìn)行了有機(jī)結(jié)合，一方面通過PKI技術(shù)對數(shù)據(jù)進(jìn)行加密來保障了通信的私密性，一方面通過身份驗證及數(shù)字簽名來保障了數(shù)據(jù)傳輸?shù)目煽啃?。這種基于PKI技術(shù)的SSL協(xié)議確保了應(yīng)用層與TCP／IP間數(shù)據(jù)通信的安全性。SSL協(xié)議主要由握手協(xié)議與記錄協(xié)議兩部分構(gòu)成，前者負(fù)責(zé)會話建立，而后者則負(fù)責(zé)數(shù)據(jù)封裝。SSL握手協(xié)議的通信過程如圖5所示。如前文所述，本文將SSL協(xié)議與PKI技術(shù)進(jìn)行了有機(jī)結(jié)合，因此當(dāng)圖5所示的握手協(xié)議通信過程結(jié)束后，在由記錄協(xié)議負(fù)責(zé)完成的數(shù)據(jù)封裝過程中，會以加密算法以及密匙對數(shù)據(jù)進(jìn)行加密，進(jìn)一步加強(qiáng)數(shù)據(jù)傳輸?shù)乃矫苄约鞍踩浴?/p>

3系統(tǒng)運行測試

為了驗證本文所提出的電力移動終端安全接入系統(tǒng)設(shè)計方案的可行性，首先根據(jù)某電力企業(yè)的實際需求情況對該企業(yè)的集控中心系統(tǒng)進(jìn)行了改造，將電力移動終端安全接入系統(tǒng)與之進(jìn)行結(jié)合，然后對其進(jìn)行了整體運行測試。系統(tǒng)運行測試測試所構(gòu)建的電力移動終端安全接入系統(tǒng)拓?fù)浣Y(jié)構(gòu)，如圖6所示。首先，對待接入的移動終端進(jìn)行檢查驗證，確定允許該移動終端進(jìn)行接入；然后通過客戶端的登錄界面輸出正確的用戶賬號、密碼，并在該界面勾選數(shù)字證書驗證；最后點擊登錄按鈕進(jìn)行系統(tǒng)登錄操作［7］?？蛻舳说卿浗缑嫒鐖D7所示。成功登錄電力移動終端安全接入系統(tǒng)后，操作界面顯示出該系統(tǒng)用戶權(quán)限所對應(yīng)的功能操作按鈕。點擊實時監(jiān)控按鈕進(jìn)入相應(yīng)界面，實現(xiàn)對該電力企業(yè)下屬電廠的生產(chǎn)控制系統(tǒng)的實時狀態(tài)監(jiān)控，如圖8所示。從圖8中可以看到，實時監(jiān)控界面能夠清晰地顯示出下屬電廠的生產(chǎn)數(shù)據(jù)，并且每間隔若干秒后會自動進(jìn)行數(shù)據(jù)刷新。

4結(jié)語

測試結(jié)果證明，本文所設(shè)計的電力移動終端安全接入系統(tǒng)能夠很好地支持移動終端與電力企業(yè)內(nèi)網(wǎng)的數(shù)據(jù)交互，保證良好的數(shù)據(jù)傳輸質(zhì)量，并且通過用戶密碼驗證、數(shù)字證書驗證等多種措施，保證了數(shù)據(jù)交互的私密性與安全性。

參考文獻(xiàn)

［1］龔小剛，葉衛(wèi)，王以良，等．基于“點－線－面”的移動終端網(wǎng)絡(luò)安全風(fēng)險管控應(yīng)用［J］．電力信息與通信技術(shù)，2018，16（1）：96－101．

［2］陸忞，周昊．電力終端通信接入網(wǎng)安全防護(hù)體系技術(shù)研究與應(yīng)用［J］．大眾用電，2017（S1）：72－75．

［3］陸忞，周昊．電力終端通信接入網(wǎng)風(fēng)險分析與安全接入技術(shù)研究［J］．通信技術(shù)，2017，50（9）：2067－2073．

［4］陳姣，周智勛．移動安全接入平臺的安全機(jī)制［J］．中國新通信，2015（12）．

［5］顏佳，李春，許劭慶，等．電網(wǎng)企業(yè)移動終端安全接入研究與應(yīng)用［J］．吉林電力，2014（6）．

［6］許名揚(yáng)．移動互聯(lián)網(wǎng)下的信息安全思考［J］．電子技術(shù)與軟件工程，2016（23）．

［7］左賽哲．移動終端來電攔截專利技術(shù)綜述［J］．中國新通信，2017（5）．

作者：黃勇光 李穎杰 單位：深圳供電局有限公司