电力无线应急通信网络的方案及安全性研究

　　图3 电力应急系统的安全体系

　　4.1 回程网络的安全

　　本方案中采用VPN技术保证回程网络的信息传输安全。VPN技术，又叫做虚拟专用网，它通过在网络中建立一个独立稳定的安全链接进行通信数据的传输。

　　VPN架构中采用了多种安全机制，如隧道技术（Tunneling）、加解密技术（Encryption）、密钥管理技术、身份认证技术（Authentication）等，通过上述的各项网络安全技术，在现场应急指挥车和指挥中心之间建立一个独立的通信信道，确保资料在公众网络中传输时不被窃取，而且可以根据传输数据的安全级别设置不同的传输优先级，保证重要的现场数据能够第一时间传送到指挥中心，保证现场救援工作的顺利进行。

　　4.2 McWiLL接入网的安全

　　现场接入网络McWiLL的安全体系可以实现以下3个目标：

　　（1）保护合法用户的身份信息的安全性。

　　（2）保护合法用户的通信信息不被窃取或监听。

　　（3）保护网络资源不被非法终端使用和修改。

　　针对以上目标，McWiLL网络采用了由安全数据管理、接入安全和业务安全组成的多层次安全体系（见表1）。

表1 McWiLL多层次安全体系 

　　安全数据的妥善管理和有效控制是整个接入网安全机制的根本。安全数据包括对各种身份标识的验证、密钥技术和安全算法。通过对终端的用户标识号（User Identifier,UID），用户标识号（User Identifier,UID）和用户安全识别码（Security Identifier,SID）等身份信息进行认证，然后通过随机序列生成算法，开户流程中用户信息的加密算法，UID和SID保护算法，空中接口业务流加密算法和空中接口消息字段加密等算法对数据库的信息进行保护，防止信息被窃取和修改。

　　接入安全技术包括下行波束赋形，接入限制，设备鉴权和用户鉴权等技术。下行波赋形是指基站对每个发送给终端的信号都采用了波束赋形，因此下行链路的信号很难被截获，保证了空中接口的通信安全；接入限制是指，对McWiLL网络的网络标识号（Network Identifier,NID）和用户终端网络标识进行匹配验证，判断该用户是否有接入网络的权限；设备鉴权是McWiLL系统对用户终端设备的身份验证，以防止非法用户终端接入系统；用户鉴权，是对设备鉴权的补充，它包含了对用户标识号（UID）的惟一性检查和采用鉴权算法对用户身份的验证两个过程，这个过程可以防止非法用户接入网络，同时还可以防止多个设备使用同一用户名访问网络的情况发生。

　　业务安全包括业务认证，非法分组过滤，账号绑定和端到端加密。业务认证用于保证用户终端接入网络后，只能享用该用户已经开通了的相关业务；非法分组过滤工作在用户侧可以阻止非法数据包流向网络；账号绑定功能可以限制用户账号在没有经过授权的其他终端上使用；在McWiLL网络中针对一些安全级别比较高的数据或语音业务，常常会采用基于可信第三方的安全解决方案，通过第三方提供加密认证等安全业务保证传输信息的安全性。

　　5 结束语

　　本文提出的采用McWiLL宽带无线通信技术与COFDM无线视频传输技术建设电力应急指挥系统，可以在电网突发事件情况下，提供电力故障抢修应急指挥通信手段，为生产系统、营销系统的业务等业务部门提供快捷的应急通信方式，安全体系能够保证用户的安全接入和数据的安全传输，实现了电力应急指挥信息接入统一的应急指挥平台，决策信息和抢险信息实时化、可视化互传的目标，提高电网应对突发事件能力。