(1国网天津市电力公司东丽供电分公司 天津东丽 300308;2. 国网咸宁供电公司 湖北省咸宁市 437100)
摘要:近年来,随着电网智能化程度的不断提高和城市能源互联网的建设,TD-LTE电力无线专网在电力系统中的应用越来越广泛,满足了电力通信业务不断增加的需求。本文分析了TD-LTE电力无线专网所存在的安全风险,针对安全风险提出了具体的安全防护策略和措施。
关键字:TD-LTE电力无线专网;配电系统业务;安全风险;安全防护
0 引言
在信息通信领域中,无线通信技术作为发展最快的一种通信技术,已在公网通信领域实现了规模化应用。文中结合TD-LTE系统技术体制、安全体系结构及电力相关标准规范,研究基于电力无线专网的配电自动化业务适配及其安全性。
1TD-LTE电力无线专网
无线专网一般为LTE技术单模组网,在覆盖、数据流向、终端等方面具有一定的特殊性。其中,电力无线专网的基站以重点区域覆盖为主,无需大范围无缝覆盖;电力业务终端以数据业务为主,对移动性要求不高、单点业务流量很低、且上行业务数据量大于下行业务数据量。因此,电力TD-LTE电力无线专网一般采用CPE终端或嵌入式模块方式与电力业务终端进行连接。
TD-LTE电力无线专网主要分为终端接入层、系统传输层、业务管理层三部分,其组网架构如图1所示。其中,终端接入层通过无线空中接口与基站互联,基站通过电力系统光纤通信网络连接到业务管理层。具体来讲,通信终端插入全球用户识别卡(USIM),签约数据、用户的号码等信息,其通过以太网口等形式与配用电业务终端连接,负责将来自业务终端的数据经空中接口协议逐层处理后发送往基站、将来自基站发往业务终端的数据经接收处理后提交给业务终端。基站负责控制通信终端在空口的数据传输,给终端分配通信信道资源。业务管理层的核心网负责用户鉴权、终端与核心网间会话的管理、终端移动性管理等功能。
图1TD-LTE电力无线专网架构
2配电自动化业务分析
电力TD-LTE无线专网被广泛应用于生产运行监控环境,文章主要结合配电自动化业务承载展开。
配电自动化业务主要包括:遥信、遥测、遥控,各项业务功能介绍如下:
遥信:远程信号。采集并传送各种保护和开关量信息。遥信功能通常用于测量下列信号:开关位置信号、变压器内部故障综合信号、保护装置的动作信号、通信设备运行状况信号、调压变压器抽头位置信号;自动调节装置的运行状态信号和其它可提供继电器方式输出的信号;事故总信号及装置主电源停电信号等。
遥测:远程测量。采集并传送运行参数,包括各种电气量和负荷潮流等。
遥测功能常用于变压器的有功和无功采集;线路的有功功率采集;母线电压和线路电流采集;温度、压力、流量(流速)等采集;周波频率采集和其它模拟信号采集。
遥控:远程控制。接受并执行遥控命令,主要是分合闸。遥控功能常用于断路器的合、分和电容器以及其它可以采用继电器控制的场合。一般要求遥控正确动作率不小于99.99%,所谓遥控正确动作率是指其不误动的概率(通常不认为拒动为误动)。
3业务安全性分析
3.1安全风险分析
通过以上TD-LTE电力无线专网架构分析可知电力无线专网面临的风险主要包括通信终端风险、空中接口风险、基站风险和核心网风险四个方面[13]。通信终端风险主要表现为非法USIM卡接入和非法终端接入;空中接口风险表现为空中无线电信号被截获、篡改;基站风险表现为通过伪基站诱骗用户接入,从而控制用户行为;核心网风险主要表现为通过访问网管窃取用户信息。
3.2安全风险防护措施
3.2.1双向认证
双向认证是指在终端侧和核心网侧都保存一份与用户标识相关的密钥,通信终端接入网络时,不仅需要核心网侧对终端鉴权来判断是否合法而且需要终端依据核心网侧下发的信令数据的密钥来确认基站是否合法。通过网络对终端用户的认证,可以防止非法终端用户接入网络;通过终端用户对网络的认证,可以避免接入伪基站。
3.2.2加密和完整性保护
针对空中接口的“空中接口数据被截获、篡改”风险及核心网的“非法访问网管窃取信息”风险,TD-LTE系统引入了双层安全机制,即无线接入(AS)层安全和非无线接入(NAS)层安全这两层安全机制,分别对终端与基站之间、终端与核心网之间传送的信令和数据进行加密和完整性保护。接入层(AS)安全:UE与eNB之间的安全,主要执行AS信令的加密和完整性保护,用户面UP的加密性保护。非接入层(NAS)安全:UE与MME之间的安全,主要执行NAS信令的加密和完整性保护。
3.2.3用户身份安全
无线电容易被截获,所以用户身份信息的保密非常关键,所以TD-LTE系统采用了临时身份标识和加密永久身份标识两种机制来保护用户身份不被非法获取和使用。
用户临时身份识别信息是全球唯一临时UE标识。加密永久身份标识是指在空中接口尽可能对传送的身份标识进行加密。
3.2.4电力专网安全政策
为了加强电力监控系统的信息安全管理,国家电力行业监管机构已于2014年发布了《电力监控系统安全防护规定》(国家发展和改革委员会令第14号)。发改委令第14号坚持“安全分区、网络专用、横向隔离、纵向认证”的原则,规定生产控制大区与业务终端的接入通信网络连接过程中,必须通过专用横向安全隔离装置才能交互数据。
电力调度数据网划分为逻辑隔离的实时子网和非实时子网,分别连接控制区和非控制区。子网之间可采用MPLS-VPN技术、安全隧道技术或路由独立技术等来构造子网。
4结束语
TD-LTE电力无线专网作为电力系统通信的重要补充,国网越来越重视无线专网的推广应用,本文在TD-LTE电力无线专网的基础上,研究了配电自动化业务的适配,并分析了TD-LTE电力无线专网所存在的安全风险,针对安全风险提出了具体的安全防护策略和措施,从而保证电力通信网的安全性和可靠性,进一步提高电力系统的稳定性。
参考文献:
[1]董旭柱,夏清,饶宏,等.对南方电网开展智能电网建设的思考[J].南方电网技术,2012,6(3):1-6.
[2]仝杰,马晓明,杨凤忠.TD-LTE构建电力无线宽带专网的探讨与实践[C].中国北京,2012年电力通信管理暨智能电网通信技术论坛.
[3]徐玉.TD-LTE产业发展现状及趋势分析[J].移动通信,2010,34(5):18-21..
[4]陈子健.浅谈配网自动化业务在通信网络的承载模式[J].2014,15:6-8.
[5]电力监控系统安全防护规定[Z].发改委令第14号,2014.
高丽媛(1991—),女,山西吕梁人,助理工程师,从事电力通信运维工作;
孟宝坤(1979—),男,天津人,高级工程师,从事电力通信技术管理工作;
佟晓煦(1989—),男,天津人,助理工程师,从事电力通信运维工作;
曹欣勇(1977—),男,天津人,高级工程师,从事电力系统管理工作。
蒋海明(1983-),男,湖北天门人,高级工程师,从事电力系统通信运行工作。
论文作者:高丽媛1,孟宝坤1,佟晓煦1,曹欣勇1,蒋海明2
论文发表刊物:《电力设备》2017年第27期
论文发表时间:2018/1/14
标签:终端论文; 电力论文; 业务论文; 专网论文; 基站论文; 风险论文; 用户论文; 《电力设备》2017年第27期论文;