基于数字证书安全认证平台的CORS基站数据通讯和组网

牟昱洁  余定超  任广飞

新疆电力信息通信有限责任公司 新疆乌鲁木齐 830001

摘要：充分考虑基站可靠性、安全性、通信速率、成本、可扩充性等因素,通过对网络运营商提供的数据专线服务的综合分析比较,选择企业专网通信网络,在实现了控制中心各工作站和各基准站之间的高速互联的同时，有效保障了电力企业CORS基站应用安全性。

关键词: GNSS;CORS;固定参考站;数据处理中心;安全认证平台

随着GNSS连续运行基准站系统 CORS 的应用和推广,近年国内 CORS 基准站的建设逐渐兴起。CORS系统的建立和应用,可以获取区域内某类空间的位置、时间信息及其相关的动态变化。通过建设若干永久性连续运行的 GPS 基准站,提供国际通用的基准站站点坐标和GPS 测量数据,以满足各类不同行业用户精确定位,快速和实时定位、导航的需求,满足城市规划、国土测绘、地籍管理、城乡建设、智能电网、环境监测、防灾减灾、交通监控,等多种现代化信息化管理的社会需求，特别在智能电网建设中起到了举足轻重的作用。

为保障电网基础数据质量，企业通常采取建立CORS基站网、统一的测量基准、精确的国家2000坐标体系架构、差分手段等一系列的保障措施，CORS系统是卫星定位技术、计算机网络技术、数字通讯技术等高新科技多方位、深度结晶的产物，电力企业作为关乎国计民生的基础行业，企业内部各业务数据已基本在网络流转，企业在享受着信息系统所带来巨大经济效益的同时，也面临着高风险。一旦出现信息泄密或篡改数据的情况，将为国家造成难以估量的损失。

1.       CORS系统构成

CORS系统包括3个部分：控制中心，固定站和用户部分。

1.1控制中心（Control center）

整个系统的核心。它既是通讯控制中心，也是数据处理中心。用于接收各基准站数据,进行数据处理,形成多基准站差分定位用户数据,组成一定格式的数据文件,分发给用户。数据处理中心是 CORS 的核心单元,也是高精度实时动态定位得以实现的关键所在。中心 24小时连续不断地根据各基准站所采集的实时观测数据在区域内进行整体建模解算,并通过现有的数据通信网络和无线数据播发网,向各类需要测量和导航的用户以国际通用格式提供码相位/载波相位差分改正信息,以便实时解算出流动站的精确点位。通过通讯线（光缆，ISDN，电话线）与所有的固定参考站通讯；通过无线网络（GSM，CDMA，GPRS..）与移动用户通讯。

1.2基准站网

基准站网是由某一范围内均匀分布的固定参考站组成。负责采集GPS 卫星观测数据并输送至数据处理中心,同时提供系统完好性监测服务。

1.3数据通讯部分

CORS 的数据通讯包括固定参考站到控制中心的通讯及控制中心到用户的通讯。参考站到控制中心的通讯网络负责将参考站的数据实时地传输给控制中心;控制中心和用户间的通讯网络负责将网络校正数据送给用户。一般来说,网络 RTK 系统有两种工作方式:单向方式和双向方式。在单向方式下,只是用户从控制中心获得校正数据,而所有用户得到的数据应该是一致的,如主辅站技术MAX;在双向方式下,用户还需将自己的粗略位置(单点定位方式产生)报告给控制中心,由控制中心有针对性地产生校正数据并传给特定的用户,每个用户得到的数据则可能不同,如虚拟参考站VRS技术。

1.4用户部分

包括用户信息接收系统、网络型RTK定位系统、事后和快速精密定位系统以及自主式导航系统和监控定位系统等。

2.CORS数据通讯网络构建

CORS系统的通讯分两个层面,一个是基准站到数据处理中心的通讯,另一个就是数据处理中心到移动站的通讯。

2.1从固定参考站到控制中心通讯专线的建立

基准站到数据处理中心的通讯,因为数据量较大,距离远,而且传输速度和传输的稳定性要求比较高,需要考虑的是可靠性、实时性、通信速率、可扩充性（能按需要扩充基准站)）等要求，一般都是有线方式,最好是专线。由系统建设单位自行敷设通讯线路并组网成本太高周期太长,难以实施。可根据当地的电信运营商提供的不同公网接入方式,由电信运营商采用IP虚拟专网等技术组成专网,采用HDSL、DDN、FR、SDH、数字电路设置专线来实现基站到数据中心的数据传输通讯。根据目前国内的实际情况,各大电信运营商都能提供稳定合格的公用互联网接入和专用数据传输线路及方式。作为 CORS 建设单位可根据CORS系统组网的方式、规模来选择不同的通讯数据传输构建方式。不仅可靠性、安全性高而且成本低。

2.2数据处理中心到移动站通讯的建立

数据中心首先必须接入公用互联网,并且必须取得固定公用互联网IP地址,才能供客户访问并获取改正数据。

目前各移动站设备制造商基本上都是采用移动通讯网络的无线连接方式,也叫分组交换方式通俗地说就是上网, 用户的 GSM 模块开通了GPRS 或者CDMA 的上网功能,在用户端相关通讯设置中按数据处理中心给出固定的一个 IP 地址、Port端口号,用户名和密码,就像登陆网站的一样。用户登录了网站,选择页面,就可以实时的得到改正数据, 而其通讯的协议是国际标准的NTRIP协议。

3.基于数字证书安全认证平台的实现

基于数字证书安全认证平台的实现是主要通过在服务器端搭建安全支撑平台和客户端搭建客户端安全应用平台,企业的各种应用接入安全认证平台后,通过客户端和服务器端的交互认证,来实现企业应用安全的控制。

对于电力企业来说，安全认证平台是构建智能电网信息安全接入体系的核心基础安全防护设施，USAP依托电网原有的防火墙、IDS等物理安全基础设施、PKI/PMI 等信息安全基础设施等，基于统一安全策略和统一安全管理的思想进行系统架构设计，有效、安全地承载各种电力业务应用，对外统一提供“安全通道、身份认证、安全接入、访问控制、数据交换、集中监管”等核心功能。

4. 基于数字证书安全认证平台的CORS基站数据通讯和组网

目前，随着智能电网的构建，公安部、国家保密局、国家密码管理局、电监会等国家有关部门对电网企业信息安全工作要求也不断提高，基于数字证书安全认证平台的CORS基站数据通讯和组网，不仅能满足CORS基站高速、有效运行，更能有效确保企业信息内容的机密性、完整性、可用性。

4.1前置机安全加固

前置机上安装USAP承建商开发的安全接入终端和安全专控软件，终端先将数据发送到安全接入平台交换机，再由内部交换机强制转发给前置机，终端发送出的数据经过安全接入终端软件的商密算法加密，再转发到安全接入平台服务区。

前置机设置防火墙，限制前置机出口IP地址和端口，并且在安全接入平台内部三层交换机上加入特定路由，强制终端访问特定的内网服务器，而不能访问其他内网业务服务器，保证了内网业务服务器的安全；

前置机数据流进入安全接入平台内部三层交换机，通过USAP的安全接入区、接入服务区进行安全认证接入并进行安全服务访问，通过内网业务提供的安全应用接口进行安全数据访问。

4.2用户终端加固

安全终端主要通过终端安全专控软件（终端安全模块、安全连接软件模块、安全加固软件模块等）和安全硬件、系统整体定制等实现安全终端整体防护框架，主要功能包括移动终端完整性检验、基于角色及各种组合方式的强身份认证、终端安全加固、业务应用安全控制、综合访问控制、安全管理、数据安全存储和安全访问等等。

5．结语

经测试，该组网方式可实现CORS安全有效运行，应用实践表明，此组网方式最大程度地保证了基准站到控制中心之间数据通信的速度稳定、可靠性，确保了国家、企业信息内容的机密性、完整性、可用性。