AAA认证系统在智能电网中的应用

第9页AAA认证系统在智能电网建设中的应用用电信息采集数据传输安全平安模式的探索探究摘要：对目前用电信息采集系统中应用的无线通信技术方案进行了分析，并针对确保信息传输安全平安提出了应用AＡA认证系统的建议及实现方案关键词：用电信息采集监测控制掌握无线通信安全平安一、用电信息采集系统建设应用现状随着智能HＹPＥRＬＩNK"ｈｔtp:／/wｗw.ocｎ.coｍ。cn/rｅpｏｒts/200６1４５dｉanｗａnｇ。htm＂\t”_ｂlaｎｋ"电网建设进程的加快,用电信息采集覆盖掩盖范围越来越广,已安装用电信息采集终端的用户数量越来越多，通过用电信息采集系统实现远程电量采集、电能计量装置故障诊断、负荷监测、有序用电及预购电时负荷控制掌握,对提高HYＰERLINK"hｔｔｐ:／/www。oｃｎ．com.cｎ/reporｔｓ／２0０61４5diａnwang.ｈｔm”＼t＂_ｂlaｎk”电网公司的管理水平、工作效率和服务水平提供供应了有力支撑。在用电信息采集建设中,因无线传输摆脱了线缆的束缚,天然具备部署快捷、建设成本低廉等特性,因此被广泛应用,采集终端通过运营商的无线网络与电力内部主站系统之间进行通信,使用电信息自动远程传输的普遍应用。当前，在电煤影响电力供需紧张形势下，需要依赖依靠专变终端实现对客户负荷的远程监测和控制掌握，以达到有序用电措施“定设备、定容量、定客户"，保障居民生活和重要负荷的目的。在用户数量不断增加,抄表工作量日益繁重，电费回收压力越来越大的形势下,远程抄表信息准确精准、预购电远程监测准确精准控制掌握可靠牢靠的要求也越来越高。信息传递的错误和控制掌握错误无疑会给优质服务工作和电网企业形象带来不必要的负面影响。因此，如何实现用户用电信息能够及时准时准确精准地传送回电力公司，防止用电信息被人为地篡改,就成为用电信息采集系统建设中必须考虑解决的问题。二、现用无线通信方案现状分析目前，用电信息采集系统基于电信运营商的无线网络，电网公司通过向运营商申请AＰN或ＶPN业务和采购选购运营商的通信卡,实现了如下的无线接入模式。上述接入方案中，终端用户安装了智能电表，定时对用户的用电情况进行采集并将采集数据传送给集中器。集中器分为业务模块和通信模块；集中器的业务模块接收和处理智能电表上传的用户用电数据；通信模块中插入了从运营商采购选购的通信卡,实现与电力公司主站系统的通信链路的建立以及在建立的通信链路上将用电信息上传到主站系统.（一)网络建立流程1、当具有通信功能的采集终端采用采纳接受电信运营商提供供应的ＶＰＮ技术实现与电网公司内部网络的网络连接时,网络建立的过程如下:（1)采集终端发出一个接入网络的呼叫到中国运营商核心网的接入设备。（2)核心网的接入设备接收此呼叫后，就在拨号的采集终端和接入设备之间建立了一条PPＰ的链路。（3）运营商的接入设备通过电力公司申请的VPＮ域名启动VPN建立过程,建立与电力公司网关设备之间的Ｌ2TＰ隧道。这样,通过无线接入网络和运营商的接入设备与电力公司网关设备之间的L2ＴP隧道，就建立了采集终端与电力公司内部网络的私有专网通信链路。2、当具有通信功能的采集终端采用采纳接受电信运营商提供供应的AＰＮ技术实现与电力公司内部网络的网络连接时,网络建立的过程如下：(1）采集终端发出一个呼叫到电信运营商的核心数据网的接入设备。（２)电信运营商的核心接入设备判断推断该终端使用的是否是已经注册的合法的ＡPＮ业务。如果是,则接入设备建立其与电力公司网关之间的GＲE隧道。如果不是,则拒绝终端的AＰN接入。这样，通过无线接入网络和运营商的接入设备与电力公司网关设备之间的GRE隧道，就建立了采集终端与电力公司内部网络的私有专网通信链路。(二）方案优势采用采纳接受中国电信运营商的无线ＶＰN接入技术或无线ＡPＮ接入技术，有如下的优势:1、建设便捷快速:由于采用采纳接受的是运营商的无线接入网络，在居民或企业之间安装采集终端时无需布线，只要将终端固定通电并调通与运营商的无线连接，抄表数据远程自动传送业务就可以马上立刻开始开头工作。２、数据传输的时延小:当前电信运营商提供供应的无线网络可以允许采集终端永久在线;且数据传输峰值速率在100ｋbit／ｓ以上，保证了终端能够快速地将用电信息上传给主站系统.3、建设和运营成本低:采集终端无线接入方案充分利用了电信运营商的无线网络,节省节省节省了自身建立无线网络的费用。此外,运营商为电力提供供应的通信卡一般采用采纳接受花费相对很少的封顶限量的资费套餐。（三）存在的问题采用采纳接受电信运营商的无线通信网络存在一系列的问题。1、安全平安方面通信终端与电网公司内部网络的建立过程中有三个阶段的安全平安考虑。(1)通信卡的网络注册：终端通电启用后，通信卡要向电信运营商的网络进行入网注册，经由运营商的网络鉴权认证中心AUＣ的认证,保证接入网络的通信卡是由运营商下发的.（2)电信运营商数据专网的验证:针对通信模块上配置的专网标识,电信运营商会验证通信终端使用的数据业务是否已经经过了注册，保证接入终端使用运营商数据业务的合法性。(３)连接到电力公司内部网络的验证：通信终端最终的目的是要与电力公司内部网络建立私有的专网连接,为此，通信终端应该是被电力公司认可的合法终端。在前两个阶段,为了保证电信运营商的网络安全平安和客户合法性，电信运营商提供供应了一系列的安全平安接入鉴权措施来保证.但在最后一个阶段，与主站建立连接通道的终端是否是电力公司合法终端,电信运营商一般都没有这方面的安全平安措施;即使一些运营商搭建了企业专网安全平安认证平台,但终端的安全平身安家份信息必然必定由运营商的维护人员来维护，这存在着企业的安全平安信息被盗用或篡改的风险；再者，通信卡被复制或被盗用的后果,可能会让恶意用户很容易地进入到电力公司的内部网络中。总之，上述方案存在着安全平安接入的漏洞。2、管理方面首先，在上述接入方案中,由于采用采纳接受的是电信运营商的无线网络而不是电力公司自身私有的，故对电信运营商存在较大的依赖依靠性。当终端的无线连接出现消灭故障时,分析原因缘由和问题的解决受限于电信运营商的响应和处理时间，可能会延缓问题处理的时间、工作效率滞后。其次，通信卡的管理也存在着管理的混乱.在每次施工时,施工人员会在主站系统中领用通信卡，并在主站系统中记录通信卡使用到哪个终端上以及通信卡当前的使用状态。但是，施工人员在现场施工过程可能由于现场条件的变化，插到终端中的通信卡并不是在主站系统中做过记录的通信卡。这些变化，施工人员可能会在施工结束后通知主站系统进行变更。但这个过程依赖依靠于施工人员的工作责任心，而没有一个有效地手段进行信息化的控制掌握，从而导致主站系统或者营销系统对通信卡的使用状况的管理混乱。上述方案中,终端通信使用的IP地址是由电信运营商的接入设备随机分配安排支配的。ＩP地址资源是由电信运营商来负责维护.而电力公司在进行终端扩容时很容易忽略忽视IP地址资源的使用情况,可能就会在某次扩容时出现消灭电信运营商分配安排支配给电力公司的IP资源有不够用的情况，电力公司却未知或忽略忽视掉。这时,新扩容的终端由于无法分到IP地址而无法工作,这个问题可能在经过多次的故障排查才能发现，在此期间业务都无法正常使用。这个问题,只有电力公司可以对ＩP地址资源进行管理时才可以避免避开.34、成本方面电力公司向电信运营商购买了大量的带有资费套餐的通信卡。虽然每张卡带来的费用比较低,但电力公司随着业务的发展进展采购选购的通信卡的数量却越来越大。在业务开展过程中存在着下面两种情况:1、电力公司向电信运营商购买的通信卡中有一定肯定数量的卡被闲置,但电力公司还需要为这些闲置的卡向运营商交付套餐费；２、插入通信卡的采集终端有时出现消灭的故障可能会导致终端频繁向主站系统上报用电信息，这就有可能会造成这批通信卡超出资费套餐所规定的封顶流量,在向运营商交付规定的包流量的封顶费用时,还需要额外地向运营商缴费超出封顶流量之外的超套餐费用。从控制掌握成本的角度出发动身,电力公司需要努力规避上述两种情况的发生.但目前，电力公司只能在每月的月初从电信运营商那里获得上个月每张通信卡的账单。电力公司如何才能实时准确精准获知在当前运营商记账周期内每张通信卡发生的流量呢？如果能够解决这个问题，电力公司的通信卡就会得到有效的控制掌握，从而降低通信成本。三、AＡA认证系统在无线通信方案中的应用针对上述这些方面的问题,我们可以在电力公司的内部网络中引入AAＡ认证系统来解决。（一）AAＡ认证系统简介AAA是Authｅnｔｉcaｔiｏｎ、Ａｕｔhoriｚaｔiｏn、Aｃｃｏuntinｇ的简称。认证(Authenticａｔiｏｎ）：验证用户的身份与可使用的网络服务;授权（Ａuthorｉzａｔion）：依据认证结果开放网络服务给用户；计帐（Aｃcｏunｔinｇ)：记录用户对各种网络服务的用量，并提供给供应应计费系统.AＡＡ系统在网络管理与安全平安问题中十分有效。首先，认证部分提供供应了对用户的认证。整个认证通常是采用采纳接受用户输入用户名与密码来进行权限审核。认证的原理是每个用户都有一个唯一的权限获得标准。由ＨＹＰERLＩNK”htｔｐ://ｂaike。bａidu．ｃｏm／view/１6231０.htm"\t＂_ｂlank"ＡAA服务器将用户的标准同数据库中每个用户的标准一一核对。如果符合,那么对用户认证通过。如果不符合，则拒绝提供供应网络连接。接下来，用户还要通过授权来获得操作相应任务的权限.比如，登陆系统后，用户可能会执行一些命令来进行操作，这时，授权过程会检测用户是否拥有执行这些命令的权限。简单简洁而言,授权过程是一系列强迫策略的组合，包括:确定活动的种类或质量、资源或者用户被允许的服务有哪些。授权过程发生在认证上下文中.一旦用户通过了认证，他们也就被授予了相应的权限。最后一步是记账,这一过程将会计算用户在连接过程中消耗的资源数目。这些资源包括连接时间或者用户在连接过程中的收发流量等等。验证授权和记账由AＡA服务器来提供供应。AAＡ服务器是一个能够提供供应这三项服务的程序。当前同ＡＡＡ服务器协作的网络连接服务器接口协议一般是“远程身份验证拨入用户服务（ＲADIＵS）"。（二)ＡAA系统对电力网络的影响上面提到的是AAＡ认证系统的基本功能。而将ＡAＡ认证系统引进到电力网络,会给电力网络带来哪些变化和影响呢？1、无线通信方案的改变转变引入AAA认证系统，用户用电信息采集系统的网络部署方案会发生改变转变，要在电力公司内部网络中部署AＡA认证服务器，如下图。采集终端连接到电力公司内部网络的建立过程也发生了变化。在之前方案建立了电信运营商核心接入设备与电力公司网关设备之间的ＧＲE或L2TP隧道之后，采集终端还不具备连通电力公司内部网络的能力,还需要由电力公司的网关设备或运营商的核心接入设备作为客户端，向AＡＡ系统发起终端的身份识别请求恳求恳求。而AAA系统通过用在系统中保存的终端身份信息去比对请求恳求恳求中的终端身份信息的方式,完成对终端、通信卡以及两者之间绑定关系的验证,从而完成对通信终端的身份验证。通信终端在通过AAA系统的身份验证后,AＡA系统还可以在回复消息中要求其客户端为终端分配安排支配其指定的IP地址，从而才允许通信终端与电力公司内部网络连接的建立。2、引用AＡA系统的价值AAＡ系统的引入,为电力公司带来了如下的重大价值。（1）弥补了无线通信终端安全平安接入的漏洞。在采用采纳接受运营商的无线网络实现企业专线接入的方式下，终端到总部的链路能否成功成功成功建立,ＡAＡ认证系统来做判断推断.ＡＡA认证系统提供供应了一系列的终端身份验证机制，这包括对终端帐号和密码的校验,通信卡存在性的校验，终端硬件标识与通信卡的绑定校验,终端帐号是否进入黑名单、进入冻结名单,终端允许上线时段控制掌握等来保证终端能够在允许的时间、允许的地点以及允许的身份来与主站建立链接.这里,通信卡与终端硬件信息的绑定检验需要特别格外格外进行强调。因为由于AAA认证系统实现了终端硬件信息和通信卡的绑定检验功能,才可以解决通信卡被盗，被复制，被乱用的问题。如果通信卡和某个终端发生了绑定,这时有人将该卡用在别处,或有人用盗窃或复制的卡建立与主站的连接时，ＡＡＡ认证系统会判断推断出该卡与绑定的终端不一致全都，从而拒绝该卡链路的建立。(２）有利于管理的规范化。ＩP地址资源对公司来讲是一项重要的资源，该资源如何有效地被利用，某个ＩP地址当前被用在哪个终端，AAA认证系统支持为终端分配安排支配静态ＩP地址的功能.可以知道哪个终端当前配置哪个IP地址,还可以对于那些报废终端的ＩP地址进行回收在分配安排支配。利用AAＡ系统对终端或通信卡状态的维护,可以实现以人工的方式让哪些终端使用业务，哪些终端暂停使用业务,从而加强了对终端的接入管理.当前主站确认终端的通信链路是否正常是通过彼此之间互相相互发送心跳的方式来实现的.在这种方式下,通信链路的状态的获知存在着滞后性和信息偏差。引入ＡAA系统后，AAA系统可以在通信链路一中断就可以获知。主站系统可以利用AAA系统的这个特性，可以由AＡＡ系统发现链路终端时马上立刻通知主站系统,从而能让主站能够立即准确精准地捕获到这种变化。此外，利用AAＡ系统的在线终端维护功能,可以让管理者可以一目了然地了解到当前哪些终端建立了通信链路的连接,从而能够很快知道哪些终端与电力内网