电网调度移动平台安全保障管控方法,该方法安全从设备接入、通信安全、数据加密三方面进行控制,三个方面的安全管控形成了一个全过程的安全防护体系,能有效的保障在移动端应用及数据的安全。本发明专利技术是针对电网调度应用在智能移动终端实现中面临的安全问题,根据电力二次系统安全防护相关要求,并从智能移动终端接入认证、通信链路、数据等方面的安全技术进行研究,提出了智能移动终端在电网调度中应用的安全保障管控一套方法,形成了一套高标准的安全管控闭环流程,从而提高智能终端移动应用在电网调度管理中的安全性和可靠性。
【技术实现步骤摘要】
本方法涉及电力工程领域。本方法主要是实现了调度员在智能移动终端完成调度 业务操作和查询的安全。
技术介绍
通过智能移动终端技术构建电网移动调度应用平台(以下简称移动调度),实现 电网运行信息在智能移动终端的全景多维展示,能有效克服现有办公方式中的局限性,提 高管理水平和工作效率,帮助各级管理者和运行人员随时随地掌握电网运行状态,实现 多元化办公。 电力调度数据网承担着电网调度自动化系统的数据传输任务。而智能移动终端具 有移动性强,所处网络环境开放性高,应用运行环境复杂等特点,故而在调度移动应用的安 全问题尤为突出。一方面智能移动终端处在复杂的公网领域中,面临来自移动通信网络的 伪装、内容欺骗、恶意软件等手段对电网调度信息系统的威胁,甚至渗入到调度综合数据网 络内部攻击其它系统;另一方面,在智能移动终端与服务器端进行业务数据交互时,业务信 息可能被窃听或篡改;另外,终端设备的丢失或被盗同样可能造成电网调度运行业务信息 的泄露。 电力行业具有特殊性,其信息系统的安全会影响供电的安全,与社会生产生活有 着密切的关系。因此,应用平台的安全性是本平台建设考虑的首要问题。为提高南方电网 电力二次系统安全防护水平,保障电力系统安全稳定运行,在移动应用平台建设时,需按照 《电力二次系统安全防护规定》、《电力二次系统安全防护总体方案》以及《南方电网电力二 次系统安全防护技术规范》的要求来建设。依据二次系统安全防护体系安全分区、网络专 用、横向隔离、纵向认证的总体策略,创建一套符合电网安全防护要求的安全管控体系和 方法。 【
技术实现思路
】 本专利技术是一套保障电网调度移动平台使用安全的方法,其目的是通过设备接入、 通信安全、数据加密三个环节的安全管控设计,确保电网调度数据在移动端使用时的安全。 ,该方法安全从设备接入、通信安全、数据加 密三方面进行控制,三个方面的安全管控形成了一个全过程的安全防护体系,能有效的保 障在移动端应用及数据的安全,其中, [1]设备接入方面,移动应用平台通过安全校验,智能移动终端设备与用户经过授权 后接入移动调度平台;其中,安全校验为入网许可、设备合法性、用户合法性及权限合法性 校验,其方法为:(a)入网许可从设备IMEI、电话号码两方面控制注册入网设备均为合法 设备;(b)设备合法性验证是每一次设备登陆都比对注册的MEI号,并利用短信或动态口 令验证;(c)用户合法性验证用户名及密码,能够分配在移动端的操作权限;(d)权限合法 性是通过为不同用户的设置权限分配,确保移动端用户只能操作与自己职能权限相符的业 务;通过以上四步,能够确保用户在初次注册和日常登陆时的用户验证和账号安全; [2] 通信安全方面,在网络通信稳定的情况下,利用网络、软硬件系统部署一个安全的 网络通信环境,保障了信息在通信传输过程中免受攻击;其中,安全的网络通信环境的部署 采用VPN技术同时结合调度内网的DMZ区、安全III区的方法;VPN技术采用AES、DES、3DES、 RC4、SHA、MD5多种国际标准加密算法,对传输数据进行加密处理;DMZ区与III区分别部署 应用,两个区中间由安全隔离网闸分离; [3] 数据传输加密方面,通过电网调度移动应用严密的PKI体系实现数据在传输过程 中的安全保障;其中,PKI体系采用智能移动终端的SD-Key卡技术和加解密技术来搭建; 通过以上三步形成的安全保障控制方法,能确保在移动应用时,电网调度的信息安全 得到全方位的保障。 本专利技术在数据传输加密方面,加密技术采用非对称加密。 本专利技术在数据传输加密方面,加密技术采用RSA非对称加密技术。 1.环节一:设备接入的安全控制方法 网络通信得到了有效的控制,但智能移动终端只有经过授权的用户才能访问系统,需 在移动调度中建立安全接入控制机制。安全接入控制通过入网许可、设备合法性、用户合 法性及权限合法性四方面进行安全认证,具体认证的时序逻辑如图1所示,包括(1)入网许 可,从设备MEI、电话号码两方面控制注册入网设备均为合法设备,(2)设备合法性验证, 是设备合法性验证是每一次设备登陆都比对注册的頂EI号,并利用短信或动态口令验证, (3)用户合法性验证,是验证用户名及密码一致,从而进一步加强安全,并可以分配在移动 端的操作权限,(4)权限合法性验证,是为不同用户的设置权限分配,确保移动端用户只能 操作与自己职能权限相符的业务。 2.环节二:通信方面的安全控制方法: 电网调度业务在智能移动终端应用时,安全隐患存在的环节是从公网连接到内网。基 于此,可采用VPN技术满足外出移动办公的要求,同时结合调度内网的DMZ区、安全III区, 就可以部署一个安全的网络环境为移动调度的稳定通信和安全运行提供支持。智能移动终 端与调度中心内部网络的通信过程,一方面是利用VPN通道接入电网内网的DMZ区,保证数 据通信过程中的安全;另外一方面是在DMZ区与III区分别部署应用,两个区中间由安全 隔离网闸分离,部署在DMZ区的应用负责响应移动端请求,并与III区交互说明要采集的数 据,III区应用负责响应DMZ区的数据请求,统一到各个应用系统采集数据发往DMZ区。以 上两方面从网络通信全过程有效地提高了入侵防御能力,满足电网移动办公的数据传输需 要。具体部署如图2所示。 3.环节三:数据安全的保障方法一移动调度PKI体系 结合智能移动终端的SD-Key卡技术和加解密应用策略,搭建了移动调度的PKI体系。 如图3所示,一个完整的PKI体系主要由认证中心、证书库、密钥备份与回复系统、证书作废 系统及应用接口等部分构成。能为移动调度网络通信过程中提供数据加密和数字签名等密 码服务及所必需的密钥和证书管理体系。PKI是建立在公钥加密技术之上的,通过数字证书 这个电子文档媒介,实现基于非对称加密算法的数据传输过程中的安全保障。 关键技术 1.接入安全保障 设备的合法性认证包括入网许可认证、设备合法性认证、用户合法性认证和权限合法 性认证。这四个方面可以有效的保障设备初次入网和日常登陆中的安全: 1) 入网许可认证:RadiUS负责对用户所在调度机构、手机号、设备类型、操作系统及版 本、设备MEI等信息进行登记注册,审核通过后,自动完成信息的绑定和数字证书的生成。 在用户登录时首先由Radius对入网信息进行认证,认证通过后由DHCP分配给终端IP地 址,从而实现入网许可; 2) 设备合法性认证:通过数字证书与智能移动终端MEI的绑定,更换设备或克隆MEI 串号均认为是非法设备,通过数字证书和頂EI的校验实现对设备合法性; 3) 用户合法性认证:在用户名和密码的基础上,利用个人通信号码的唯一性,通过用 户的个人通信号码和服务器端的认证信息,在用户每次登录电网调度应用时发送动态口令 到授权用户的通信号码中,实现对用户登录身份的认证; 4) 权限合法性认证:在电网调度中进行智能移动智能终端应用时,对不同的业务模块 分别进行授权和认证,对于核心业务模块可通过动态口令进行控制,通过动态口令认证后 方可访问。 2.通信安全保障 在安全保障管控方法中,第一步的保证通信安全,保障通信安全主要是靠 V本文档来自技高网...
【技术保护点】
电网调度移动平台安全保障管控方法,其特征在于,该方法安全从设备接入、通信安全、数据加密三方面进行控制,三个方面的安全管控形成了一个全过程的安全防护体系,能有效的保障在移动端应用及数据的安全,其中, [1]设备接入方面,移动应用平台通过安全校验,智能移动终端设备与用户经过授权后接入移动调度平台;其中,安全校验为入网许可、设备合法性、用户合法性及权限合法性校验,其方法为:(a)入网许可从设备IMEI、电话号码两方面控制注册入网设备均为合法设备;(b)设备合法性验证是每一次设备登陆都比对注册的IMEI号,并利用短信或动态口令验证;(c)用户合法性验证用户名及密码,能够分配在移动端的操作权限;(d)权限合法性是通过为不同用户的设置权限分配,确保移动端用户只能操作与自己职能权限相符的业务;通过以上四步,能够确保用户在初次注册和日常登陆时的用户验证和账号安全; [2]通信安全方面,在网络通信稳定的情况下,利用网络、软硬件系统部署一个安全的网络通信环境,保障了信息在通信传输过程中免受攻击;其中,安全的网络通信环境的部署采用VPN技术同时结合调度内网的DMZ区、安全III区的方法;VPN技术采用AES、DES、3DES、RC4、SHA、MD5多种国际标准加密算法,对传输数据进行加密处理;DMZ区与III区分别部署应用,两个区中间由安全隔离网闸分离;[3]数据传输加密方面,通过电网调度移动应用严密的PKI体系实现数据在传输过程中的安全保障;其中,PKI体系采用智能移动终端的SD‑Key卡技术和加解密技术来搭建;通过以上三步形成的安全保障控制方法,能确保在移动应用时,电网调度的信息安全得到全方位的保障。...
【技术特征摘要】
1. 电网调度移动平台安全保障管控方法,其特征在于,该方法安全从设备接入、通信安 全、数据加密三方面进行控制,三个方面的安全管控形成了一个全过程的安全防护体系,能 有效的保障在移动端应用及数据的安全,其中, [1] 设备接入方面,移动应用平台通过安全校验,智能移动终端设备与用户经过授权 后接入移动调度平台;其中,安全校验为入网许可、设备合法性、用户合法性及权限合法性 校验,其方法为:(a)入网许可从设备IMEI、电话号码两方面控制注册入网设备均为合法 设备;(b)设备合法性验证是每一次设备登陆都比对注册的MEI号,并利用短信或动态口 令验证;(c)用户合法性验证用户名及密码,能够分配在移动端的操作权限;(d)权限合法 性是通过为不同用户的设置权限分配,确保移动端用户只能操作与自己职能权限相符的业 务;通过以上四步,能够确保用户在初次注册和日常登陆时的用户验证和账号安全; [2] 通信安全方面,在网络通信稳定的情况下,利用网络、软硬件...
【专利技术属性】
技术研发人员:何超林,周志烽,黄文载,孙北宁,赵凌,杨震乾,余琳,
申请(专利权)人:中国南方电网有限责任公司,云南云电同方科技有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。