本实用新型专利技术涉及一种分层部署的电力监控系统安全接入装置,包括接入服务层和应用接口层,接入服务层包括安全接入网关、权限控制系统以及安全数据过滤装置,应用接口层包括与生产控制大区内的系统主站进行通信的应用数据接口;安全接入网关与终端通信连接;权限控制系统和安全数据过滤装置均与安全接入网关通信连接;安全数据过滤装置通过应用数据接口与生产控制大区内的系统主站通信连接。基于本实用新型专利技术的分层部署的电力监控系统安全接入装置,依托电网已有的安全基础设施,可构建分层架构部署模式的安全接入区,适用于公用通信网络(包括有线与无线)和配电通信无线专网,能充分满足电力监控系统的安全防护需求。
【技术实现步骤摘要】
本技术涉及通信领域,特别是涉及一种分层部署的电力监控系统安全接入装置。
技术介绍
国家发改委[2014]第14号令及国能安全[2016]第36号文中规定,“如果生产控制大区内个别业务系统或其功能模块(或子系统)需使用公用通信网络、无线通信网络以及处于非可控状态下的网络设备与终端等进行通信,其安全防护水平低于生产控制大区内其他系统时,应设立安全接入区,典型的业务系统或功能模块包括配电网自动化系统的前置采集模块(终端)、负荷控制管理系统、某些分布式电源控制系统等”,“安全接入区与生产控制大区中其他部分的联接处必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置”。从功能而言,安全接入区是针对分布式能源、配网自动化、智能电网等新技术快速发展应用,以及电力监控系统使用无线网络进行数据通信情况日益普遍的实际而提出,其目标是将不安全但又必须接入的一些通道由安全接入区统一管理,形成统一的安全防护策略,从而满足了相应等级的安全防护要求。图1示出了14号令及36号文中规定的安全接入区的典型安全防护框架结构,然而其并未给出安全接入区的具体架构及对应的物理模块,同时该架构仅适用于公用通信网络(包括有线与无线),难以适用于配电通信无线专网,目前也尚未有用于构建安全接入区的电力监控系统安全接入装置的详细设计。
技术实现思路
基于此,为解决现有技术中的问题,本技术提供一种分层部署的电力监控系统安全接入装置,依托电网已有的安全基础设施,基于统一安全策略和统一安全管理策略,可构建分层架构部署模式的安全接入区,适用于公用通信网络(包括有线与无线)和配电通信无线专网,能充分满足电力监控系统的安全防护需求。为实现上述目的,本技术实施例采用以下技术方案:一种分层部署的电力监控系统安全接入装置,包括接入服务层和应用接口层,所述接入服务层包括安全接入网关、权限控制系统以及安全数据过滤装置,所述应用接口层包括与生产控制大区内的系统主站进行通信的应用数据接口;所述安全接入网关与终端通信连接;所述权限控制系统和所述安全数据过滤装置均与所述安全接入网关通信连接;所述安全数据过滤装置通过所述应用数据接口与所述生产控制大区内的系统主站通信连接。在一种可选的实施方式中,所述安全接入网关包括相互连接的VPN服务器和纵向加密装置,所述VPN服务器通过有线或无线公用通信网络与所述终端通信连接。可选的,所述VPN服务器为IPSec VPN服务器或SSL VPN服务器。在另一种可选的实施方式中,所述安全接入网关包括相互连接的联合身份认证装置和纵向加密装置,所述联合身份认证装置通过配电通信无线专网与所述终端通信连接。可选的,所述联合身份认证装置通过Radius接口与所述配电通信无线专网的核心网设备连接。可选的,所述权限控制系统和所述安全数据过滤装置均通过总线与所述安全接入网关通信连接。可选的,所述生产控制大区内的系统主站包括配电网调度自动化系统主站和负荷管理控制系统主站;所述应用数据接口包括与所述配电网调度自动化系统主站通信的生产接口以及与所述负荷管理控制系统主站通信的营销接口;所述终端包括配电网终端和负荷控制终端。可选的,所述安全数据过滤装置包括正向物理隔离装置以及反向物理隔离装置。本技术提供的分层部署的电力监控系统安全接入装置,依托电网已有的安全基础设施,基于统一安全策略和统一安全管理策略,可构建分层架构部署模式的安全接入区。本技术将安全接入系统分为接入服务层与应用接口层两层,并给出了每层的逻辑功能组件,共同实现终端身份的可靠认证、通信信道的安全防护、数据的安全过滤与交换以及接入权限的有效控制,既适用于公用通信网络(包括有线与无线),又适用于配电通信无线专网,能充分满足电力监控系统的安全防护需求。同时,本技术从配电通信无线专网的安全特性出发,使用特定的防护装置,即联合身份认证装置,来实现接入服务层的逻辑功能,从而在满足安全防护要求的同时降低高强度认证所引起的系统复杂度及传输时延。附图说明图1为国家发改委[2014]第14号令及国能安全[2016]第36号文中规定的安全接入区的典型安全防护框架结构示意图;图2为本技术的分层部署的电力监控系统安全接入装置在一个实施例中的结构示意图;图3为本技术实施例中分层部署的电力监控系统安全接入装置内外通信连接关系示意图;图4是本技术实施例中分层部署的电力监控系统安全接入装置的一种工作流程示意图;图5是当终端通过有线或无线公用通信网络接入时,本技术实施例中分层部署的电力监控系统安全接入装置的结构示意图;图6是当终端通过配电通信无线专网接入时,本技术实施例中分层部署的电力监控系统安全接入装置的结构示意图。具体实施方式下面将结合较佳实施例及附图对本技术的内容作进一步详细描述。显然,下文所描述的实施例仅用于解释本技术,而非对本技术的限定。基于本技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本技术保护的范围。应当说明的是,为了便于描述,附图中仅示出了与本技术相关的部分而非全部内容。图2是本技术的分层部署的电力监控系统安全接入装置在一个实施例中的结构示意图,本实施例中分层部署的电力监控系统安全接入装置包括接入服务层100和应用接口层200。参照图2所示,接入服务层100向下通过公用通信网罗(包括有线与无线)或配电通信无线专网与终端400通信连接,向上与应用接口层200相连。应用接口层200向下与接入服务层100相连,向上与生产控制大区内的系统主站300相连。可选的,参照图2所示,生产控制大区包括调度生产控制大区和营销生产控制大区,相应的,生产控制大区内的系统主站300可包括配电网调度自动化系统主站31和负荷管理控制系统主站32,终端400可包括配电网终端41和负荷控制终端42。其中,接入服务层100包括安全接入网关1、权限控制系统2以及安全数据过滤装置3三大逻辑功能组件,应用接口层200包括与生产控制大区内的系统主站300进行通信的应用数据接口4,应用数据接口4定义了应用数据的双向交互规则,并在传输应用数据时检查该应用数据是否与定义的交互规则相匹配。可选的,参照图2所示,应用数据接口4包括与配电网调度自动化系统主站31通信的生产接口401以及与负荷管理控制系统主站32通信的营销接口402。图3示出了本实施例中分层部署的电力监控系统安全接入装置内部以及与外部的通信连接关系,参照图3所示,安全接入网关1与终端400通信连接,权限控制系统2和安全数据过滤装置3均与安全接入网关1通信连接,安全数据过滤装置3通过应用数据接口4与生产控制大区内的系统主站300通信连接。可选的,权限控制系统2和安全数据过滤装置3均通过总线(如高速信息总线)与安全接入网关1通信连接。在本实施例中,接入服务层100接收公用通信网络(包括有线与无线)或配电通信无线专网承载的终端400的数据,或通过公用通信网络(包括有线与无线)或配电通信无线专网向终端400传输来自于应用接口层200的数据。应用接口层200将接入服务层100接收的终端400的数据传输至生产控制大区内的系统主站300,或将系统主站300的数据传输至接入服务层100。下面对本实施例本文档来自技高网...
【技术保护点】
一种分层部署的电力监控系统安全接入装置,其特征在于,包括接入服务层和应用接口层,所述接入服务层包括安全接入网关、权限控制系统以及安全数据过滤装置,所述应用接口层包括与生产控制大区内的系统主站进行通信的应用数据接口;所述安全接入网关与终端通信连接;所述权限控制系统和所述安全数据过滤装置均与所述安全接入网关通信连接;所述安全数据过滤装置通过所述应用数据接口与所述生产控制大区内的系统主站通信连接。
【技术特征摘要】
1.一种分层部署的电力监控系统安全接入装置,其特征在于,包括接入服务层和应用接口层,所述接入服务层包括安全接入网关、权限控制系统以及安全数据过滤装置,所述应用接口层包括与生产控制大区内的系统主站进行通信的应用数据接口;所述安全接入网关与终端通信连接;所述权限控制系统和所述安全数据过滤装置均与所述安全接入网关通信连接;所述安全数据过滤装置通过所述应用数据接口与所述生产控制大区内的系统主站通信连接。2.根据权利要求1所述的分层部署的电力监控系统安全接入装置,其特征在于,所述安全接入网关包括相互连接的VPN服务器和纵向加密装置,所述VPN服务器通过有线或无线公用通信网络与所述终端通信连接。3.根据权利要求2所述的分层部署的电力监控系统安全接入装置,其特征在于,所述VPN服务器为IPSec VPN服务器或SSL VPN服务器。4.根据权利要求1所述的分层部署的电力监控系统安全接入装置,其特征在于,所述安全接入网关包括相互连接的联合身份认证装置...
【专利技术属性】
技术研发人员:陈立明,董旭柱,吴争荣,刘志文,陈新南,陶文伟,陈宝仁,何锡祺,
申请(专利权)人:中国南方电网有限责任公司电网技术研究中心,南方电网科学研究院有限责任公司,中国南方电网有限责任公司,
类型:新型
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。