《工业控制计算机}2011年第24卷第2期 基于G PRS的远程监控系统的安全问题研究 Research on Security of Remote Power Supervisory System Based on GPRS 黄燕青 (厦门大学信息科学与技术学院自动化系,福建厦门361005) 摘要 简单介绍基于GPRS和Internet的电力监控系统的设计结构,着重分析了影响GPRS系统安全的18素以及系统在运 行中所面临的安全威胁,并在此基础上结合GPRS系统的特点,提出了保障系统通信正常及数据传输安全的技术策略。 关键词:GPRS,监控系统,系统安全 Abstract This paper briefly introduces the design structu re of electric power supervisory system based on GPRS and Internet technology It focuses on analyzing the influencing factors of system secu rity and security threat faced of the system in running On this basis,combining character of GPRS system,this paper puts forward the technology strategies to guarantee the normal operation of system communication and the security of data transmission Keywords:GPRS,supervisory system,system security 基于GPRS网络数据传输的安全性问题一直困扰着运营商 和电力用户,如何在保证GPRS网络快速、准确传输电力系统数 据的同时确保传输数据与系统的安全性是一个急待解决的难题。 1 监控系统的组成 基于GPRS技术的远程监控系统由监控中心的主站端计算 机,多台远程监控终端,中继站和GPRS网络构成。 监控中心实时接收每个箱式变电站的主动上发数据,并进 基于GPRS岭控系统的安全性主要面临以下几方面的威胁: 2 1 GPRS网络部分的因素 作为GPRS网的移动数据IP接入网承载在现有的GSM网 上,网络本身存在一些列安全问题,如身份认证问题、信令及数据 加密问题、SlM卡问题和其他安全问题。基于GSM网络的GPRS 网络继承了GSM网络的有效的安全机制,同时比GSM网络有 所提高,表现在用户数据和信令的加密上,降低了明文传输的范 围。但是GPRS网络毕竟是在GSM网络基础上通过增加特定的 网络设备构建起来的,所以必然存在GSM网络在安全方面的一 些缺陷,所以在利用GPRS进行安全通信时,不能只依靠GPRS 系统本身的安全机制,还应在应用层上加强安全保护。 行数据分析,将分析结果显示在监控界面上。同时将不同的数据 分类保存到数据库中,以便监控人员随时查看。如有异常状况就 启动报警,并在监控系统中保留报警记录。监控中心还可以观察 每个箱式变电站的DTU和RTU工作情况。除了监测方面,监控 中心还可以实时控制每个箱式变电站的路灯的开启和关闭。 2 2汁算机系统部分的因素 整个系统的监控软件分别安装在上位工控机上和下位机子 站中,中继系统也安装在中继计算机上,因此计算机系统稳定与 否直接关系到整个监控系统的正常运行,如果计算机系统遭受 网络攻击、断电或出现死机等状况,监控系统将失去作用,同时 要保证系统数据库的安全,防止未授权者对数据的浏览、篡改和 破坏。 中继站是为整个监控系统的通信提供中转功能,它需要接人 到移动内网的固定lP地址。而主站和子站只需要与DTU连接, 就可以与中继站通信。中继站采用Visual C++的Socket编程。 监控终端(子站)负责监视每条电缆的运行情况和每个箱式 变电站的门开启和闭合情况,并通过DTU周期性的将这些监控 数据以及所有回路的电流、电压等信息主动上发至监控中心,当 主站有报文下送时,监控终端分析这些命令,并执行相应动作。 2 3物理设施上的因素 主站与子站之间的数据通信规约采用CDT(循环式远动) 规约,该规约是我国电力部门进行电力调度和电力监控所使用 的规约,用途十分广泛。CDT规约的一帧报文一般分为三个部 分:同步字、控制字、信息字。同步字:3组D7 09H。控制字:有六 例如水、台风、地震等自然灾害,盗窃、破坏和断电等人为事 故,以及电磁幅射和线路非法搭接等技术因素引起的通信设施 的损坏。 2 4人员管理和操作规程上的因素 个字节分为控制字节,帧类别,信息字数n,源站址,日地站址, 校验码。其中控制字节定义和帧类别定义限于篇幅不进行详述; 信息字数为包含信息字的个数;源站址即各个子站的JD号,用 以区别各个子站;目的站址即主站的lD号;CRC校验码采用8 位CRC校验。 由于系统管理、维护、操作人员缺乏训练或不可靠而造成系 统非法操作、设备受损和通信中断等事故。 由于以上这些不安全因素的影响,会导致基于GPRS监控 系统的安全运行受到来自不同层面、不同程度的威胁。 3基于GPRS监控系统的安全策略 2监控系统安全性分析 基于GPRS的远程监控方案由于其高效性和实用性,在越 来越多的远程监控系统中被广泛采用。但是由于GPRS技术的 特点,GPRS网络自身也存在一些安全缺陷。电力监控系统直接 3 1 GPRS模块安全策略 3.1.1访问控制策略 对于暴露在公用网络的GPRS模块和网络系统,访问控制 是系统安全防范和保护的主要策略,它的主要任务是保证系统 控制道路、桥梁等相关的照明和景观亮化设施,能否正常稳定的 运行关系重大,而系统主站和子站间的数据通信是整个系统运 行的根本,因此系统数据传输的安全性是一个至关重要的问题。 资源不被非法使用和非常访问。它也是维护网络系统安全、保护 系统资源的重要手段。GPRS网络对用户的访问控制主要是通 过用户身份认证进行的。GPRS系统的身份认证由移动台、 基于GPRS的远程监控系统的安全问题研究 SGSN和HLR/AUC共同完成,认证是基于移动台和HLR/ AUC之间的共享密钥KI。认证过程如图1所示。具体如下:移动 数据之间保持完全一致的证明手段。检查是最早采用数据完整 性验证的方法,它虽不能保证数据的完整性,只起到基本的验证 台发出接人请求到SGSN;SGSN发送认证数据请求消息到 HLR/AUC,请求用户的认证数据;HLR/AUC首先产生一个随 机数RAND,然后由用户的私钥Ki和随机数RAND,经A3算法 作用,但由于它的实现非常简单(一般都由硬件实现),现在仍广 泛应用于网络数据的传输和保护中。近几年来开始使用公钥系 统的数字签名等算法,可以保证数据的完整性。 3l2系统其它模块的安全策略 由于GPRS系统的骨干网是基于fP的网络,所以IP网络 的所有安全问题在GPRS网络中仍然存在,包括来自内部的安 全攻击和来自与GPRS网络相连的外部数据网络及其他GPRS 网络的威胁。因此除了采取上述GPRS模块的安全措施外,还应 采用针对汁算机操作系统的网络病毒防范、系统授权管理、系统 产生签名响应SRES,经A8算法产生加密密钥GPRS—Kc,然 后将认证向量(RAND,SRES,GPRS—Kc)通过认证数据响应消 息,发送到SGSN;SGSN向移动台发送认证请求消息,认证请 求消息包括从HLR/AUC那里接收到的随机数RAND;移动台 利用SlM卡存储的密钥Ki和接收到的随机数RAND,经A3算 法产生签名响应SRES,经A8算法产生会话密钥GPRS—Kc, 然后将签名响应SRES通过认证响应消息发送到SGSN;SGSN 判断从移动台收 到的SRES是否 自动报警策略、系统安全管理策略等。 3.2.1网络防病毒策略 网络防病毒技术包括预防病毒、检测病毒和消除病毒等3 与从HLR/AUC 数掘请求 数据响应 种技术,网络防病毒技术的具体实现方法包括对网络服务器中 的文件进行频繁地扫描和监测,工作站上采用防病毒芯片和对 网络目录及文件设置访问权限等。在接入GPRS网的每个台式 收到的一致,如果 ~致则认为认证 通过,在接下来的 机~f==要安装台式机的反病毒软件,在各专业应用服务器上要安 装基于服务器的反病毒软件,在防火墙或网关上要安装基于应 用网关的反病毒软件。这些环节彼此相辅相成,通过相互反馈病 通信中移动台和 SGSN将利用各 自的会话密钥 GPRS—Kc进行加 毒入侵检测信息,及时封堵病毒在GPRS网上的传播;同时通过 系统中心控制台,集中管理防毒软件在各环节上的自动分发、配 图1 GPRS系统的认证过程 密和解密。 3.1l2信息加密策略 置和更新并提供最新疫情信息的自动更新。 3_2l2系统授权管理策略 用户的权限控制是针对用户非法操作所提出的一种安全保 护措施。不同的用户和用户组被赋予相应的权限,指定用户对这 通过信息加密的方式来实现对网络传输数据的保护。在 GPRS无线接口部分采用GPRS加密算法来保证MS到SGSN 之间的安全性。GPRS的用户信息加密功能是在LLC层实现 的。GPRS加密算法有三组输入参数:加密密钥(Kc);帧参数输 入(Input);传输方向(Direction)。加密算法的输出参数:Output。 些文件、目录、设备能够执行哪些操作;用户权限一般划分为系统 管理员权限(Supervisor)、读权限(Read)、写权限(Write)、创建 权限(Creat)、删除权限(Delete)、修改权限(Modify)等。通过权限 设置可以对系统访问者进行有限管理,系统安全性得到保证。 3l23系统自动报警策略 用户数据和信令数据加解密的流程如图2所示,发送端通过加 密算法产生密钥流, 密钥流与要发送的明 作为一种远程监控系统,能够在系统运行出现异常时自动 报警是必须具备的功能。基于GPRS的电力远程监控系统的自 文消息逐比特异或产 生密文,完成加密过 动报警主要针对的是电流越线和电缆故障两种异常状况。监控 系统实时监测各条线路的电流数据,并设置电流的上限值和下 输出 密 /—、 程。密文传到接收端 后,由接收端先通过 加密算法产生密钥 >< 卜 流,然后与接收到的 州艾—.叶 一 限值,电流一旦越线则触发报警。同时监控系统可以设置电路通 断的时问,如果在断丌的时间段线路产生电流值或在连接的时 }训义 间段无电流值,也需要自动报警。电缆防盗是监控终端的重中之 重。只要电缆发生任何异常,该终端就会立即向监控中心发送报 密文逐比特异或产生 明文,完成解密过程。 圈2加密和解密流程 警信息。目前,常用的电缆防盗报警方法包括检测方法和信号传 输方法等。 3 2.4系统安全管理策略 有效保证系统安全,不仅涉及到技术上的问题,也与系统安 (UI(Uncon衍med Information)frame,Input=((IOV 。(SX)+LFN+OC) mod2 ̄ (I(Information)frame,Input=((IOVl+LFN+OC)mod3 SX=2 SAPI+2。 全管理息息相关。因此,在采取上述技术措施的同时,加强系统 安全管理对保证系统安全将起到十分重要的作用。系统的安全 其中IOV 。与IOV。是由SGSN产生的32bit随机数;LFN 是LLC帧头中的帧(长度为9bit),其作用是提供密码同步;OC 是一个二进制计数器,独立于收发两边(长度32bit);SAPI (Service Access Point Identifier,4bits)。 管理具体包括:确定安全管理等级和安全管理范围;制订有关系 统操作使用手册;对系统操作人员进行技术培训;制定系统的维 护制度和应急措施等。 4结束语 为了正确传递数据,GPRS服务节点和移动终端中对数据 流的加密和解密过程必须保持同步,这在GPRS网络通过LLC 本文所介绍的电力远程监控系统已在厦门某大桥项目中得 到实际运用,并具有高可靠性和实时性。要保证整个监控系统的 正常稳定运行以及数据传输安全性,需要在GPRS网络模块和 计算机系统等方面采取一系列的安全策略。‘需要强调的是,网络 (下转第28页) 包的序列号以及数据传送方向(只有从终端到网络或从网络到 终端两个方向)来保证。 3.1 3数据完整性验证策略 完整性证明是在数据传输过程中,验证收到的数据和原来 手持编程器核心模块的研发 PC总线,用户在操作键盘时,产生外中断3,将键值数据送到 PC总线,读数据保存到键值缓冲寄存器里供读取,置时钟线为 高,通知从设备开始接受数据位,主机在接收完每一个数据后, 都将产生应答位,最后结束总线。 3l2人机界面模块 运行状态,进入到系统主界面。用户通过按键选择不同的菜单功 能,系统进入消息循环中等待用户操作。当有按键按下或外设收 到某个命令时,其对应的监控扫描任务会向系统发送消息。当消 息收到后,随即调用相关函数处理该消息。处理完该消息后,系 统进入循环等待下一条消息。 3.4 PLC指令编译 主要是编写液晶屏显示器驱动,在240 320的屏幕上显 示字符,汉字和图片信息等,实现过程是要建立ASCIl字库和汉 字库文件,或图像文件,根据要显示的位置以及所显示文字的偏 源程序是设计编译程序的出发点,首先研究源程序的语法 和语义及运行模型,研究PLC主机,设计目标代码的指令系统, 移量显示相应的汉字或字符,然后将所需要的这些功能封装在 函数中,以后只需要调用这些函数,便可实现图片,汉字和字符 的显示。例如字符和汉字显示函数形式为void Display_Infor— 构造编译程序的算法是从研究源程序及目标程序产生的,首先 找到源语言的形式描述,根据这种描述,构造出相应的分析加工 程序。语言分语法,语义和语用。手持编程器的主要功能就是通 过该实验装置完成PLC源程序的编译。 mation(uint X,uint Y,uchar pStr,uint LineColor,uint FillColor, uchar Mod)x,Y表示汉字在屏幕上显示的位置,pStr是一个指 针变量,指向要取的汉字或字符,LineColor表示汉字颜色,Fill— Color表示汉字的背景颜色,Mod则表示显示模式。 3 3系统任务调度 源程序编译模块由PLC源代码程序、语法分析程序、词法分 析程序等三部分组成。PLC源代码程序根据PLC指令格式和规 则,辨识指令的操作码和操作数,分别放入一个结构数组变量中, 再通过词法分析程序和语法分析程序分析程序两次遍历检验语法 各个任务之间都有数据需要交换,我们采用了消息机制进 语义错误,若出现错误则通过液晶屏显示其错误信息,若无错误, 则将源程序转换为目标代码,根据手持编程器实现的编译功能。 3 5 CAN通讯模块 行任务间的通信,多个数据组成消息队列,依次完成数据的传 递。图2是 ̄C/OS一Ⅱ控制下的任务状态转换图。在任一给定 的时刻,任务的状态一定是在这五种状态之一。睡眠态指任务驻 留在程序空间之中,还没有交给#C/OS一Ⅱ管理。通过调用 CAN总线通讯模块主要包括三个部分:系统初始化、数据发 送和数据接收。系统初始化主要包括CAN接口初始化。数据的发 送包括串口发送程序和CAN总线发送程序,数据的接收包括串 El接收程序和CAN总线接收程序。CAN通讯发送子程序将从串 口接收到的8位数据发送到CAN总线上。发送节点报文时,用户 只需将待发送的数据按规定的格式组合成一帧报文,送入发送缓 存区Send—buffer中,然后启动CAN总线发送即可,在往发送缓 存区Send—buffer发送报文之前,先要作一些判断,发送程序分发 送远程帧和数据帧两种,远程帧无数据域,所以只须发送数据帧。 4结束语 OSTaskCreate()函数把任务交给I ̄C/OS一Ⅱ管理,该任务就进 入就绪态准备运行。通过调用OSStart0进入运行态,这个任务 就得到了CPU的控制权,运行态的任务通过中断就进入了中断 服务态(ISR)。响应中断时,正在执行的任务被挂起,中断服务子 程序控制了CPU的使用权。中断服务态任务通过调用OSin— tExit0返回到运行态,运行态任务使用权被剥夺则进入到就绪 态,就绪态任务通过调用OSTaskDel0返回到睡眠态。正在运行 的任务可能需要等待某一个事件发生通过调用OsSemPend() 实现,如果该事件并未发生,调用上述函数的任务进人了等待 态。等待态任务通过调用OsSemPost0进入就绪态或通过调用 本课题研究的足一种新型编程器,对以前单任务系统,单片 机类型的编程器进行了改进。本文的创新点就是基于嵌入式操 作系统实现多任务管理,基于CAN总线技术实现远距离对 PLC主机进行监控和调试,是计算机技术与嵌入式技术进步的 结果,符合PLC技术进一步网络化,便于研发便携式,低功耗, 高性价比,多功能的手持编程器。 参考文献 [1]张嵩,术守喜,丁广乾基于ARM的嵌入式PLC的设计[J]自动化 与仪器仪表,2008(3):9—10 OSTaskDel()回到睡眠态等。这就是任务运行过程。 [2]饶运涛现场总线CAN原理与应用技术[M]北京:北京航空航天大 学出版社,2007:1O2—108 『3]Jean J Labrosse嵌入式实时操作系统 ̄C/OS一Ⅱ[M]邵贝贝, 图2任务状态转换图 等,译北京:北京航天航空大学出版社,2003 『收稿日期:2010 8 23] 编程装置软件系统首先执行最高优先级的任务,系统进入 (上接第26页) 参考文献 [1]文志成.通用无线分组业务:GPRS[M].北京:电子工业出版社,2004 [2]方仁桂,余臻.路灯远程监控系统的报警设计[J]工业控制计算机, 2008,21(8) 安全是一个系统工程,是单一的产品或技术不可以完全解决的, 它涉及到计算机科学、网络技术、通信技术、密码技术、信息安全 技术等多种学科,一个完整的安全体系应该是一个由具有分布 性的多种安全技术或产品构成的复杂系统,既有技术的因素,也 [3]万子扬电力系统GPRS数据传输安全性研究[J]华中电力,2006 (3] 仪表,2004(8) . 包含人为管理的因素。因此在建立系统安全体系时,用户要结合 自己的实际情况和需求来选择相应的技术和产品,制定相关管 理条例。 [4]李芬浅谈基于GPRS的电能计量遥测系统的安全策略[J].电测与 [5]沈学利,张美金.计算机安全技术[M] 沈阳:东北大学出版社,2002 [收稿日期:2010.12.30]
