CN106941494A - 一种适用于用电信息采集***的安全隔离网关及其使用方法 - Google Patents
一种适用于用电信息采集***的安全隔离网关及其使用方法 Download PDFInfo
- Publication number
- CN106941494A CN106941494A CN201710202842.9A CN201710202842A CN106941494A CN 106941494 A CN106941494 A CN 106941494A CN 201710202842 A CN201710202842 A CN 201710202842A CN 106941494 A CN106941494 A CN 106941494A
- Authority
- CN
- China
- Prior art keywords
- processing unit
- crosspoint
- application data
- outer net
- isolation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种适用于用电信息采集***的安全隔离网关及其使用方法,所述安全隔离网关包括内网处理单元,其用于接收采集服务器传输的报文并发送其封装的纯应用数据至隔离交换单元以及从隔离交换单元接收外网处理单元传输的数据;外网处理单元,其用于接收采集终端传输的报文并发送其封装的纯应用数据至隔离交换单元以及从隔离交换单元接收内网处理单元传输的数据;隔离交换单元,其位于内网处理单元和外网处理单元之间,用于存储内网处理单元和外网处理单元传输的纯应用数据,以完成内网处理单元和外网处理单元的纯应用数据的可控交换;以及密码处理单元,其为隔离交换单元流过式处理的数据完成密码的协议检查以及提供密码检验和解密服务。
Description
技术领域
本发明涉及信息安全技术领域,并且更具体地,涉及一种用于用电信息采集***的安全隔离网关。
背景技术
用电信息采集***是居民、企业用电基础设施中的关键业务***,***可通过对配电变压器和终端用户的用电数据的采集和分析,实现用电监控、推行阶梯定价、负荷管理、线损分析,最终实现自动抄表、错峰用电、用电检查(防窃电)、负荷预测和节约用电成本等目的。
由于采集***主站汇集了多个用户用电信息,同时还承担着控制用户电表开/合闸、下发电价信息等重要工作,被定级为等级保护三级信息***,需采取较为严格的边界防护措施。目前采集***主站根据《电力监控***安全防护规定》(***【2014】14号)要求,为采集终端接入设置了营销安全接入区,在安全接入区中部署了3A认证服务器、防火墙与入侵防御***(Intrusion Prevention System,IPS),具备了初步的边界安全防护能力。但是采集***主站与终端设备间使用专用协议交互,通用防火墙类设备缺乏对这些专用协议数据进行分析与过滤的能力,根据等级保护三级中网络访问控制要求,采集***主站边界需有技术手段对上述专用协议数据进行分析与过滤。
对用电信息采集***而言,影响采集***主站正常运行与篡改、伪造、重放下行控制指令真实性的两类安全风险最为严重。相关信息安全事件一旦发生,将严重影响居民、企业的正常用电。目前,用电信息采集***已利用密码机与ESAM芯片对下行控制与参数设置类命令进行应用层加密保护,由于用电信息采集***主站与终端间多采用无线网络作为传输通道,网络开放性较强,主站与终端间的通信链路缺乏保护措施,存在传输数据被截获、伪造、篡改的风险,亟待在采集***主站边界的安全接入区中新增一种专用安全隔离网关,以保障用电采集***的安全可靠运行。
发明内容
为了解决背景技术存在的问题,本发明提供一种适用于用电信息采集***的安全隔离网关,所述安全隔离网关包括:
内网处理单元,其用于从隔离交换单元接收经过密码处理单元密码校验及解密处理的纯应用数据并发送至用电信息采集***采集服务器,以及用于对采集服务器进行身份鉴别和认证,接收来自通过身份鉴别和认证的合法采集服务器的报文,对报文进行格式检查,并将通过格式检查的报文中的纯应用数据进行封装后发送至隔离交换单元;
外网处理单元,其用于对采集终端进行身份鉴别和认证,接收来自通过身份鉴别和认证的合法采集终端的报文,对报文进行格式检查,并将通过格式检查的报文中的纯应用数据进行封装后发送至隔离交换单元,以及从隔离交换单元接收经过密码处理单元密码校验及解密处理的纯应用数据并发送至用电信息采集***采集终端,其中,外网处理单元接收来自采集终端的报文后,按照SAL协议报文格式进行格式检查;
隔离交换单元,其位于内网处理单元和外网处理单元之间,用于接收外网处理单元传输的纯应用数据,并通过密码处理单元对所述纯应用数据完成密码的协议检查、密码检验与解密后发送至内网处理单元,以及接收内网处理单元传输的纯应用数据,并通过密码处理单元对所述纯应用数据完成密码的协议检查、密码检验与解密后发送至外网处理单元,以完成内网处理单元和外网处理单元的纯应用数据的可控交换;以及
密码处理单元,其为隔离交换单元流过式处理的数据完成密码的协议检查以及提供密码检验和解密服务。
进一步地,所述隔离交换单元包括现场可编程门阵列FPGA(Field-ProgrammableGate Array)模块和双端口静态随机存取存储器SRAM(Static Random Access Memory)模块,其中,FPGA模块提供控制信号以用于控制内网处理单元和外网处理单元分时互斥的访问SRAM模块,即当隔离交换单元与内网处理单元或外网处理单元中的一个处于连接状态时,与另一个的连接完全断开,双端口SRAM模块用于存储内网处理单元和外网处理单元进行交换的纯应用数据。
进一步地,所述安全隔离网关采用红黑隔离架构的隔离交接技术,外网处理单元和内网处理单元分别包括以太网口和内存接口,其中:
外网处理单元的以太网口负责接收通过终端认证的采集终端发送的数据报文和发送隔离交换单元传输的纯应用数据至采集终端,内存接口负责在接收到隔离交换单元发出的控制信号时,将外网处理单元封装的纯应用数据发送给隔离交换单元和接收存储在隔离交换单元的双端口SRAM模块中的纯应用数据;
内网处理单元的内存接口负责在接收到隔离交换单元发出的控制信号时,接收存储在隔离交换单元的双端口SRAM模块中的纯应用数据和发送内网处理单元封装的纯应用数据至隔离交换单元,以太网口负责将内存接口接收的纯应用数据发送至采集服务器以及接收从通过身份鉴别和认证的采集服务器采集的报文。
进一步地,所述安全隔离网关与内网处理单元和外网处理单元分别建立网络连接,通过隔离交换单元的FPGA模块使所述安全隔离开关与采集终端之间的连接终止于外网处理单元,与采集服务器之间的连接终止于内网处理单元,从而能够有效地防止攻击者通过外网主机***访问内网。外网处理单元和外网处理单元分别属于不同地址空间,实现了内网地址隐藏。
进一步地,所述安全隔离网关实行采集服务器和采集终端认证接入机制,采用对称算法和非对称算法相结合的双密码体制实现对采集服务器和采集终端的身份认证。采集终端接入主站时,利用采集终端内嵌的终端证书和密钥,采用基于数字签名的身份鉴别机制,验证采集终端的合法性,防范非法终端(如复制SIM卡等)得到通信链路后与主站建立业务连接的攻击。认证体制采用预制共享密钥、证书的安全协议,终端收到会话请求报文,验证报文数字签名,验证通过即完成对专用安全隔离网关的身份鉴别。同理安全隔离网关对会话响应报文进行签名验证,完成对终端的身份鉴别。
进一步地,当有多个采集终端接入时,所述安全隔离网关以集群方式工作,集群内安全隔离网关间的密钥通过密钥共享服务器实现共享。当安全隔离网关与采集终端完成会话密钥协商后,会话密钥密文实时上传到密钥共享服务器中,网关集群基于密钥共享服务器实现会话密钥同步,采集终端接入时,按照用电信息采集***既定通信策略,均衡分配至不同网关,当集群中某台网关故障时,该网关所承载的采集终端会均衡分配到集群中的其他网关,承接网关可以通过密钥共享服务器获取新接入终端的会话密钥数据,接替故障网关为该终端提供服务,确保业务数据不中断。
进一步地,所述安全隔离网关采用多个密码处理单元并行工作以实现纯应用数据的加密、解密运算和密码校验。
根据本发明的另一方面,本发明提供一种适用于用电信息采集***的安全隔离网关的使用方法,所述方法包括:
外网处理单元对采集终端进行身份鉴别和认证后,通过以太网口接收来自合法采集终端的报文;
外网处理单元对接收的报文进行格式检查,并对通过格式检查的报文进行TCP/IP网络协议剥离,对剥离出的纯应用数据进行重新封装;
隔离交换单元发出控制信号,使其与外网处理单元连接以接收外网处理单元通过内存接口传输的、经过封装的纯应用数据并存储;
密码处理单元对所述纯应用数据完成密码的协议检查、密码检验与解密;以及
隔离交换单元发出控制信号,使其与内网处理单元连接,内网处理单元通过内存接口接收完成密码的协议检查、密码检验与解密的纯应用数据,并通过以太网口传输至采集服务器。
本发明还提供了一种适用于用电信息采集***的安全隔离网关的使用方法,所述方法包括:
内网处理单元对采集服务器进行身份鉴别和认证后,通过以太网口接收来自合法采集服务器的报文;
内网处理单元对接收的报文进行格式检查,并对通过格式检查的报文进行TCP/IP网络协议剥离,对剥离出的纯应用数据进行重新封装;
隔离交换单元发出控制信号,使其与内网处理单元连接以接收内网处理单元通过内存接口传输的、经过封装的纯应用数据并存储;
密码处理单元对所述纯应用数据完成密码的协议检查、密码检验与解密;以及
隔离交换单元发出控制信号,使其与外网处理单元连接,外网处理单元通过内存接口接收完成密码的协议检查、密码检验与解密的纯应用数据,并通过以太网口传输至采集终端。
进一步地,所述方法中的隔离交换单元通过FPGA模块提供控制信号,内网处理单元和外网处理单元进行交换的纯应用数据存储在隔离交换单元内的双端口SRAM模块中。
进一步地,在所述方法中,安全隔离网关与内网处理单元和外网处理单元分别建立网络连接,通过隔离交换单元的FPGA模块使所述安全隔离开关与采集终端之间的连接终止于外网处理单元,与采集服务器之间的连接终止于内网处理单元。
进一步地,所述方法实行采集服务器和采集终端认证接入机制,采用对称算法和非对称算法相结合的双密码体制实现对采集服务器和采集终端的身份认证。
进一步地,当有多个采集终端接入时,所述方法中安全隔离网关以集群方式工作,集群内安全隔离网关间的密钥通过密钥共享服务器实现共享。
进一步地,所述方法中采用多个密码处理单元并行工作以实现纯应用数据的加密、解密运算和密码校验。
综上所述,本发明所提供的适用于用电信息采集***的安全隔离网关以及其使用方法采用隔离交换技术实现了网络隔离、专用协议处理,采用终端认证技术实现了采集服务器和采集终端的认证,并且具备基于多个专用硬件密码处理单元的高性能数据加密技术,从而保障了用电信息采集***安全可靠地运行。本发明提出的专用加密隔离网关针对用电信息采集***可能遭受的安全风险,综合运用密码和网络安全防护技术,设计了完善有效的安全防护措施。
附图说明
通过参考下面的附图,可以更为完整地理解本发明的示例性实施方式:
图1是本发明具体实施方式的适用于用电信息采集***的安全隔离网关的结构图;
图2是本发明具体实施方式的适用于用电信息采集***的安全隔离网关的使用方法的流程图;以及
图3是本发明具体实施方式的适用于用电信息采集***的安全隔离网关的使用方法的另一个流程图。
具体实施方式
现在参考附图介绍本发明的示例性实施方式,然而,本发明可以用许多不同的形式来实施,并且不局限于此处描述的实施例,提供这些实施例是为了详尽地且完全地公开本发明,并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中,相同的单元/元件使用相同的附图标记。
除非另有说明,此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外,可以理解的是,以通常使用的词典限定的术语,应当被理解为与其相关领域的语境具有一致的含义,而不应该被理解为理想化的或过于正式的意义。
图1是本发明具体实施方式的适用于用电信息采集***的安全隔离网关的结构图。如图1所示,所述安全隔离网关100包括内网处理单元101、外网处理单元102、隔离交换单元103和密码处理单元104,其中,
内网处理单元101,其用于从隔离交换单元103接收经过密码处理单元104密码校验及解密处理的纯应用数据并发送至用电信息采集***采集服务器105,以及用于对采集服务器105进行身份鉴别和认证,接收来自通过身份鉴别和认证的合法采集服务器105的报文,对报文进行格式检查,并将通过格式检查的报文中的纯应用数据进行封装后发送至隔离交换单元103;
外网处理单元102,其用于对采集终端106进行身份鉴别和认证,接收来自通过身份鉴别和认证的合法采集终端106的报文,对报文进行格式检查,并将通过格式检查的报文中的纯应用数据进行封装后发送至隔离交换单元103,以及从隔离交换单元103接收经过密码处理单元104密码校验及解密处理的纯应用数据并发送至采集终端106;
隔离交换单元103,其位于内网处理单元101和外网处理单元102之间,用于接收外网处理单元102传输的纯应用数据,并通过密码处理单元104对所述纯应用数据完成密码的协议检查、密码检验与解密后发送至内网处理单元101,以及接收内网处理单元101传输的纯应用数据,并通过密码处理单元104对所述纯应用数据完成密码的协议检查、密码检验与解密后发送至外网处理单元102,以完成内网处理单元101和外网处理单元102的纯应用数据的可控交换;以及
密码处理单元104,其为隔离交换单元103流过式处理的数据完成密码的协议检查以及提供密码检验和解密服务。
优选地,所述隔离交换单元103包括FPGA模块131和双端口SRAM模块132,其中,FPGA模块131提供控制信号以用于控制内网处理单元101和外网处理单元102分时互斥的访问SRAM模块132,即当隔离交换单元103与内网处理单元101或外网处理单元102中的一个处于连接状态时,与另一个的连接完全断开,双端口SRAM模块132用于存储内网处理单元101和外网处理单元102进行交换的纯应用数据。
优选地,所述安全隔离网关采用红黑隔离架构的隔离交接技术,外网处理单元102和内网处理单元101分别包括以太网口和内存接口,其中:
外网处理单元102的以太网口121负责接收通过终端认证的采集终端106发送的数据报文和发送隔离交换单元103传输的纯应用数据至采集终端106,内存接口122负责在接收到隔离交换单元103发出的控制信号时,将外网处理单元102封装的纯应用数据发送给隔离交换单元103和接收存储在隔离交换单元103的双端口SRAM模块132中的纯应用数据;
内网处理单元101的内存接口112负责在接收到隔离交换单元103发出的控制信号时,接收存储在隔离交换单元103的双端口SRAM模块132中的纯应用数据和发送内网处理单元101封装的纯应用数据至隔离交换单元103,以太网口111负责将内存接口112接收的纯应用数据发送至采集服务器105以及接收从通过身份鉴别和认证的采集服务器105采集的报文。
优选地,所述安全隔离网关与内网处理单元101和外网处理单元102分别建立网络连接,通过隔离交换单元103的FPGA模块131使所述安全隔离开关与采集终端106之间的连接终止于外网处理单元101,与采集服务器105之间的连接终止于内网处理单元101。
优选地,所述安全隔离网关实行采集服务器和采集终端认证接入机制,采用对称算法和非对称算法相结合的双密码体制实现对采集服务器和采集终端的身份认证。
优选地,当有多个采集终端接入时,所述安全隔离网关以集群方式工作,集群内安全隔离网关间的密钥通过密钥共享服务器实现共享。
优选地,所述安全隔离网关采用多个密码处理单元104并行工作以实现纯应用数据的加密、解密运算和密码校验。
图2是本发明具体实施方式的适用于用电信息采集***的安全隔离网关的使用方法的流程图,所述方法是指外网处理单元从采集终端接收数据后传输至采集服务器,如图2所示,所述方法从步骤201开始。
在步骤201,外网处理单元对采集终端进行身份鉴别和认证后,通过以太网口接收来自合法采集终端的报文;
在步骤202,外网处理单元对接收的报文进行格式检查,并对通过格式检查的报文进行TCP/IP网络协议剥离,对剥离出的纯应用数据进行重新封装;
在步骤203,隔离交换单元发出控制信号,使其与外网处理单元连接以接收外网处理单元通过内存接口传输的、经过封装的纯应用数据并存储;
在步骤204,密码处理单元对所述纯应用数据完成密码的协议检查、密码检验与解密;
在步骤205,隔离交换单元发出控制信号,使其与内网处理单元连接,内网处理单元通过内存接口接收完成密码的协议检查、密码检验与解密的纯应用数据,并通过以太网口传输至采集服务器。
图3是本发明具体实施方式的适用于用电信息采集***的安全隔离网关的使用方法的另一个流程图,所述方法是指内网处理单元从采集服务器接收数据传输至采集终端,如图3所示,所述方法从步骤301开始。
在步骤301,内网处理单元对采集服务器进行身份鉴别和认证后,通过以太网口接收来自合法采集服务器的报文;
在步骤302,内网处理单元对接收的报文进行格式检查,并对通过格式检查的报文进行TCP/IP网络协议剥离,对剥离出的纯应用数据进行重新封装;
在步骤303,隔离交换单元发出控制信号,使其与内网处理单元连接以接收内网处理单元通过内存接口传输的、经过封装的纯应用数据并存储;
在步骤304,密码处理单元对所述纯应用数据完成密码的协议检查、密码检验与解密;以及
在步骤305,隔离交换单元发出控制信号,使其与外网处理单元连接,外网处理单元通过内存接口接收完成密码的协议检查、密码检验与解密的纯应用数据,并通过以太网口传输至采集终端。
优选地,所述方法中的隔离交换单元通过FPGA模块提供控制信号,内网处理单元和外网处理单元进行交换的纯应用数据存储在隔离交换单元内的双端口SRAM模块中。
优选地,在所述方法中,安全隔离网关与内网处理单元和外网处理单元分别建立网络连接,通过隔离交换单元的FPGA模块使所述安全隔离开关与采集终端之间的连接终止于外网处理单元,与采集服务器之间的连接终止于内网处理单元。
优选地,所述方法实行采集服务器和采集终端认证接入机制,采用对称算法和非对称算法相结合的双密码体制实现对采集服务器和采集终端的身份认证。
优选地,当有多个采集终端接入时,所述方法中安全隔离网关以集群方式工作,集群内安全隔离网关间的密钥通过密钥共享服务器实现共享。
优选地,所述方法中采用多个密码处理单元并行工作以实现纯应用数据的加密、解密运算和密码校验。
通常地,在权利要求中使用的所有术语都根据他们在技术领域的通常含义被解释,除非在其中被另外明确地定义。所有的参考“一个/所述/该【装置、组件等】”都被开放地解释为所述装置、组件等中的至少一个实例,除非另外明确地说明。这里公开的任何方法的步骤都没必要以公开的准确的顺序运行,除非明确地说明。
Claims (14)
1.一种适用于用电信息采集***的安全隔离网关,其特征在于,所述安全隔离网关包括:
内网处理单元,其用于从隔离交换单元接收经过密码处理单元密码校验及解密处理的纯应用数据并发送至用电信息采集***采集服务器,以及用于对采集服务器进行身份鉴别和认证,接收来自通过身份鉴别和认证的合法采集服务器的报文,对报文进行格式检查,并将通过格式检查的报文中的纯应用数据进行封装后发送至隔离交换单元;
外网处理单元,其用于对采集终端进行身份鉴别和认证,接收来自通过身份鉴别和认证的合法采集终端的报文,对报文进行格式检查,并将通过格式检查的报文中的纯应用数据进行封装后发送至隔离交换单元,以及从隔离交换单元接收经过密码处理单元密码校验及解密处理的纯应用数据并发送至用电信息采集***采集终端;
隔离交换单元,其位于内网处理单元和外网处理单元之间,用于接收外网处理单元传输的纯应用数据,并通过密码处理单元对所述纯应用数据完成密码的协议检查、密码检验与解密后发送至内网处理单元,以及接收内网处理单元传输的纯应用数据,并通过密码处理单元对所述纯应用数据完成密码的协议检查、密码检验与解密后发送至外网处理单元,以完成内网处理单元和外网处理单元的纯应用数据的可控交换;以及
密码处理单元,其为隔离交换单元流过式处理的数据完成密码的协议检查以及提供密码检验和解密服务。
2.根据权利要求1所述的安全隔离网关,其特征在于,所述隔离交换单元包括现场可编程门阵列FPGA模块和双端口静态随机存取存储器SRAM模块,其中,FPGA模块提供控制信号以用于控制内网处理单元和外网处理单元分时互斥的访问SRAM模块,即当隔离交换单元与内网处理单元或外网处理单元中的一个处于连接状态时,与另一个的连接完全断开,双端口SRAM模块用于存储内网处理单元和外网处理单元进行交换的纯应用数据。
3.根据权利要求2所述的安全隔离网关,其特征在于,所述安全隔离网关采用红黑隔离架构的隔离交接技术,外网处理单元和内网处理单元分别包括以太网口和内存接口,其中:
外网处理单元的以太网口负责接收通过终端认证的采集终端发送的数据报文和发送隔离交换单元传输的纯应用数据至采集终端,内存接口负责在接收到隔离交换单元发出的控制信号时,将外网处理单元封装的纯应用数据发送给隔离交换单元和接收存储在隔离交换单元的双端口SRAM模块中的纯应用数据;
内网处理单元的内存接口负责在接收到隔离交换单元发出的控制信号时,接收存储在隔离交换单元的双端口SRAM模块中的纯应用数据和发送内网处理单元封装的纯应用数据至隔离交换单元,以太网口负责将内存接口接收的纯应用数据发送至采集服务器以及接收从通过身份鉴别和认证的采集服务器采集的报文。
4.根据权利要求2所述的安全隔离网关,其特征在于,所述安全隔离网关与内网处理单元和外网处理单元分别建立网络连接,通过隔离交换单元的FPGA模块使所述安全隔离开关与采集终端之间的连接终止于外网处理单元,与采集服务器之间的连接终止于内网处理单元。
5.根据权利要求1所述的安全隔离网关,其特征在于,所述安全隔离网关实行采集服务器和采集终端认证接入机制,采用对称算法和非对称算法相结合的双密码体制实现对采集服务器和采集终端的身份认证。
6.根据权利要求1所述的安全隔离网关,其特征在于,当有多个采集终端接入时,所述安全隔离网关以集群方式工作,集群内安全隔离网关间的密钥通过密钥共享服务器实现共享。
7.根据权利要求1所述的安全隔离网关,其特征在于,所述安全隔离网关采用多个密码处理单元并行工作以实现纯应用数据的加密、解密运算和密码校验。
8.一种适用于用电信息采集***的安全隔离网关的使用方法,其特征在于,所述方法包括:
外网处理单元对采集终端进行身份鉴别和认证后,通过以太网口接收来自合法采集终端的报文;
外网处理单元对接收的报文进行格式检查,并对通过格式检查的报文进行TCP/IP网络协议剥离,对剥离出的纯应用数据进行重新封装;
隔离交换单元发出控制信号,使其与外网处理单元连接以接收外网处理单元通过内存接口传输的、经过封装的纯应用数据并存储;
密码处理单元对所述纯应用数据完成密码的协议检查、密码检验与解密;以及
隔离交换单元发出控制信号,使其与内网处理单元连接,内网处理单元通过内存接口接收完成密码的协议检查、密码检验与解密的纯应用数据,并通过以太网口传输至采集服务器。
9.一种适用于用电信息采集***的安全隔离网关的使用方法,其特征在于,所述方法包括:
内网处理单元对采集服务器进行身份鉴别和认证后,通过以太网口接收来自合法采集服务器的报文;
内网处理单元对接收的报文进行格式检查,并对通过格式检查的报文进行TCP/IP网络协议剥离,对剥离出的纯应用数据进行重新封装;
隔离交换单元发出控制信号,使其与内网处理单元连接以接收内网处理单元通过内存接口传输的、经过封装的纯应用数据并存储;
密码处理单元对所述纯应用数据完成密码的协议检查、密码检验与解密;以及
隔离交换单元发出控制信号,使其与外网处理单元连接,外网处理单元通过内存接口接收完成密码的协议检查、密码检验与解密的纯应用数据,并通过以太网口传输至采集终端。
10.根据权利要求8或者9所述的安全隔离网关的使用方法,其特征在于,所述方法中的隔离交换单元通过FPGA模块提供控制信号,内网处理单元和外网处理单元进行交换的纯应用数据存储在隔离交换单元内的双端口SRAM模块中。
11.根据权利要求8或者9所述的安全隔离网关的使用方法,其特征在于,在所述方法中,安全隔离网关与内网处理单元和外网处理单元分别建立网络连接,通过隔离交换单元的FPGA模块使所述安全隔离开关与采集终端之间的连接终止于外网处理单元,与采集服务器之间的连接终止于内网处理单元。
12.根据权利要求8或9所述的安全隔离网关的使用方法,其特征在于,所述方法实行采集服务器和采集终端认证接入机制,采用对称算法和非对称算法相结合的双密码体制实现对采集服务器和采集终端的身份认证。
13.根据权利要求8或者9所述的安全隔离网关的使用方法,其特征在于,当有多个采集终端接入时,在所述方法中安全隔离网关以集群方式工作,集群内安全隔离网关间的密钥通过密钥共享服务器实现共享。
14.根据权利要求8或者9所述的安全隔离网关的使用方法,其特征在于,所述使用方法中采用多个密码处理单元并行工作以实现纯应用数据的加密、解密运算和密码校验。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710202842.9A CN106941494A (zh) | 2017-03-30 | 2017-03-30 | 一种适用于用电信息采集***的安全隔离网关及其使用方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710202842.9A CN106941494A (zh) | 2017-03-30 | 2017-03-30 | 一种适用于用电信息采集***的安全隔离网关及其使用方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106941494A true CN106941494A (zh) | 2017-07-11 |
Family
ID=59463588
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710202842.9A Pending CN106941494A (zh) | 2017-03-30 | 2017-03-30 | 一种适用于用电信息采集***的安全隔离网关及其使用方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106941494A (zh) |
Cited By (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107733871A (zh) * | 2017-09-15 | 2018-02-23 | 苏州中天赛诺信息技术有限公司 | 网络安全隔离*** |
| CN107968787A (zh) * | 2017-12-07 | 2018-04-27 | 徐珊 | 一种人机结合的异网信号报警*** |
| CN108810023A (zh) * | 2018-07-19 | 2018-11-13 | 北京智芯微电子科技有限公司 | 安全加密方法、密钥共享方法以及安全加密隔离网关 |
| CN108810011A (zh) * | 2018-06-29 | 2018-11-13 | 南京南瑞继保电气有限公司 | 一种适用于电力专网的通用网络安全接入区***及报文处理方法 |
| CN108833395A (zh) * | 2018-06-07 | 2018-11-16 | 北京网迅科技有限公司杭州分公司 | 一种基于硬件接入卡的外网接入认证***及认证方法 |
| CN109213108A (zh) * | 2018-11-08 | 2019-01-15 | 深圳中广核工程设计有限公司 | 一种核电站操纵员运行辅助支持***以及方法 |
| CN109413112A (zh) * | 2018-12-21 | 2019-03-01 | 北京科东电力控制***有限责任公司 | 高并发数据采集方法及装置 |
| CN109510841A (zh) * | 2018-12-26 | 2019-03-22 | 杭州优稳自动化***有限公司 | 一种控制装置及***的安全隔离网关 |
| CN110247924A (zh) * | 2019-06-25 | 2019-09-17 | 深圳市利谱信息技术有限公司 | 基于物理传输的双向传输及控制***和数据传输方法 |
| CN110768982A (zh) * | 2019-10-24 | 2020-02-07 | 山东超越数控电子股份有限公司 | 一种基于国产soc的网络安全互联装置 |
| CN111083168A (zh) * | 2019-12-31 | 2020-04-28 | 广东嘉泰智能技术有限公司 | 可配置的物联网平台网关的数据传输方法、装置和网关 |
| CN111654497A (zh) * | 2020-06-03 | 2020-09-11 | 广东电网有限责任公司电力科学研究院 | 一种增强电力监控***终端接入安全性的方法及装置 |
| CN112073375A (zh) * | 2020-08-07 | 2020-12-11 | 中国电力科学研究院有限公司 | 一种适用于电力物联网客户侧的隔离装置及隔离方法 |
| CN112671719A (zh) * | 2020-12-08 | 2021-04-16 | 山东鲁能软件技术有限公司 | 一种基于数据剥离的网络安全隔离方法、装置及其搭建方法 |
| CN112887267A (zh) * | 2021-01-05 | 2021-06-01 | 天津七所精密机电技术有限公司 | 一种具有报文认证功能的网络隔离***及其方法 |
| CN113329018A (zh) * | 2021-05-28 | 2021-08-31 | 中国电子信息产业集团有限公司第六研究所 | 一种新型安全隔离IPsec VPN处理架构 |
| CN113645610A (zh) * | 2021-07-09 | 2021-11-12 | 厦门市美亚柏科信息股份有限公司 | 一种基于内网***的手机数据并行采集方法和*** |
| CN113722189A (zh) * | 2021-09-16 | 2021-11-30 | 中国船舶重工集团海装风电股份有限公司 | 基于工业互联网的风电多源异构数据采集汇聚*** |
| CN113949523A (zh) * | 2021-08-30 | 2022-01-18 | 国网安徽省电力有限公司电力科学研究院 | 一种单兵使用的跨网传输***及方法 |
| CN114095184A (zh) * | 2020-07-15 | 2022-02-25 | 中国航发上海商用航空发动机制造有限责任公司 | 一种数据传输***及其传输方法 |
| CN114500068A (zh) * | 2022-02-10 | 2022-05-13 | 广州云羲网络科技有限公司 | 一种基于安全隔离网闸的信息数据交换*** |
| CN114513444A (zh) * | 2022-02-15 | 2022-05-17 | 南京鑫蓝优图信息技术有限公司 | 一种具有网闸功能的巡检网关和数据的上传、下发方法 |
| CN114745454A (zh) * | 2022-04-11 | 2022-07-12 | 中国南方电网有限责任公司 | 边界防护装置、***、方法、计算机设备及存储介质 |
| CN114745398A (zh) * | 2021-01-07 | 2022-07-12 | 中国石油天然气股份有限公司 | 数据采集与接入*** |
| CN115001906A (zh) * | 2022-06-02 | 2022-09-02 | 广东电网有限责任公司 | 一种安全网关 |
| CN115001804A (zh) * | 2022-05-30 | 2022-09-02 | 广东电网有限责任公司 | 应用于野外站的旁路访问控制***、方法及存储介质 |
| CN115484091A (zh) * | 2022-09-13 | 2022-12-16 | 国网智能电网研究院有限公司 | 一种虚拟电厂聚合网关装置及内外网数据传输方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007090225A1 (en) * | 2006-02-06 | 2007-08-16 | Uhs Systems Pty Ltd | Versatile utility gateway |
| CN101662359A (zh) * | 2009-08-17 | 2010-03-03 | 珠海市鸿瑞信息技术有限公司 | 电力专用公网通信数据安全防护方法 |
| US8261067B2 (en) * | 2008-08-07 | 2012-09-04 | Asteris, Inc. | Devices, methods, and systems for sending and receiving case study files |
| CN102882850A (zh) * | 2012-09-03 | 2013-01-16 | 广东电网公司电力科学研究院 | 一种采用非网络方式隔离数据的密码装置及其方法 |
| CN202856781U (zh) * | 2012-08-29 | 2013-04-03 | 广东电网公司电力科学研究院 | 一种工业控制***主站安全防护装置 |
| CN104486336A (zh) * | 2014-12-12 | 2015-04-01 | 冶金自动化研究设计院 | 工业控制网络安全隔离交换装置 |
| CN106411562A (zh) * | 2016-06-17 | 2017-02-15 | 全球能源互联网研究院 | 一种电力信息网络安全联动防御方法及*** |
-
2017
- 2017-03-30 CN CN201710202842.9A patent/CN106941494A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007090225A1 (en) * | 2006-02-06 | 2007-08-16 | Uhs Systems Pty Ltd | Versatile utility gateway |
| US8261067B2 (en) * | 2008-08-07 | 2012-09-04 | Asteris, Inc. | Devices, methods, and systems for sending and receiving case study files |
| CN101662359A (zh) * | 2009-08-17 | 2010-03-03 | 珠海市鸿瑞信息技术有限公司 | 电力专用公网通信数据安全防护方法 |
| CN202856781U (zh) * | 2012-08-29 | 2013-04-03 | 广东电网公司电力科学研究院 | 一种工业控制***主站安全防护装置 |
| CN102882850A (zh) * | 2012-09-03 | 2013-01-16 | 广东电网公司电力科学研究院 | 一种采用非网络方式隔离数据的密码装置及其方法 |
| CN104486336A (zh) * | 2014-12-12 | 2015-04-01 | 冶金自动化研究设计院 | 工业控制网络安全隔离交换装置 |
| CN106411562A (zh) * | 2016-06-17 | 2017-02-15 | 全球能源互联网研究院 | 一种电力信息网络安全联动防御方法及*** |
Cited By (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107733871A (zh) * | 2017-09-15 | 2018-02-23 | 苏州中天赛诺信息技术有限公司 | 网络安全隔离*** |
| CN107968787A (zh) * | 2017-12-07 | 2018-04-27 | 徐珊 | 一种人机结合的异网信号报警*** |
| CN108833395A (zh) * | 2018-06-07 | 2018-11-16 | 北京网迅科技有限公司杭州分公司 | 一种基于硬件接入卡的外网接入认证***及认证方法 |
| CN108810011A (zh) * | 2018-06-29 | 2018-11-13 | 南京南瑞继保电气有限公司 | 一种适用于电力专网的通用网络安全接入区***及报文处理方法 |
| CN108810023A (zh) * | 2018-07-19 | 2018-11-13 | 北京智芯微电子科技有限公司 | 安全加密方法、密钥共享方法以及安全加密隔离网关 |
| CN109213108A (zh) * | 2018-11-08 | 2019-01-15 | 深圳中广核工程设计有限公司 | 一种核电站操纵员运行辅助支持***以及方法 |
| CN109413112A (zh) * | 2018-12-21 | 2019-03-01 | 北京科东电力控制***有限责任公司 | 高并发数据采集方法及装置 |
| CN109510841A (zh) * | 2018-12-26 | 2019-03-22 | 杭州优稳自动化***有限公司 | 一种控制装置及***的安全隔离网关 |
| CN109510841B (zh) * | 2018-12-26 | 2022-01-18 | 杭州优稳自动化***有限公司 | 一种控制装置及***的安全隔离网关 |
| CN110247924A (zh) * | 2019-06-25 | 2019-09-17 | 深圳市利谱信息技术有限公司 | 基于物理传输的双向传输及控制***和数据传输方法 |
| CN110768982A (zh) * | 2019-10-24 | 2020-02-07 | 山东超越数控电子股份有限公司 | 一种基于国产soc的网络安全互联装置 |
| CN111083168A (zh) * | 2019-12-31 | 2020-04-28 | 广东嘉泰智能技术有限公司 | 可配置的物联网平台网关的数据传输方法、装置和网关 |
| CN111654497A (zh) * | 2020-06-03 | 2020-09-11 | 广东电网有限责任公司电力科学研究院 | 一种增强电力监控***终端接入安全性的方法及装置 |
| CN114095184A (zh) * | 2020-07-15 | 2022-02-25 | 中国航发上海商用航空发动机制造有限责任公司 | 一种数据传输***及其传输方法 |
| CN112073375A (zh) * | 2020-08-07 | 2020-12-11 | 中国电力科学研究院有限公司 | 一种适用于电力物联网客户侧的隔离装置及隔离方法 |
| CN112073375B (zh) * | 2020-08-07 | 2023-09-26 | 中国电力科学研究院有限公司 | 一种适用于电力物联网客户侧的隔离装置及隔离方法 |
| CN112671719A (zh) * | 2020-12-08 | 2021-04-16 | 山东鲁能软件技术有限公司 | 一种基于数据剥离的网络安全隔离方法、装置及其搭建方法 |
| CN112887267A (zh) * | 2021-01-05 | 2021-06-01 | 天津七所精密机电技术有限公司 | 一种具有报文认证功能的网络隔离***及其方法 |
| CN114745398A (zh) * | 2021-01-07 | 2022-07-12 | 中国石油天然气股份有限公司 | 数据采集与接入*** |
| CN113329018A (zh) * | 2021-05-28 | 2021-08-31 | 中国电子信息产业集团有限公司第六研究所 | 一种新型安全隔离IPsec VPN处理架构 |
| CN113645610B (zh) * | 2021-07-09 | 2024-04-02 | 厦门市美亚柏科信息股份有限公司 | 一种基于内网***的手机数据并行采集方法和*** |
| CN113645610A (zh) * | 2021-07-09 | 2021-11-12 | 厦门市美亚柏科信息股份有限公司 | 一种基于内网***的手机数据并行采集方法和*** |
| CN113949523A (zh) * | 2021-08-30 | 2022-01-18 | 国网安徽省电力有限公司电力科学研究院 | 一种单兵使用的跨网传输***及方法 |
| CN113722189A (zh) * | 2021-09-16 | 2021-11-30 | 中国船舶重工集团海装风电股份有限公司 | 基于工业互联网的风电多源异构数据采集汇聚*** |
| CN114500068A (zh) * | 2022-02-10 | 2022-05-13 | 广州云羲网络科技有限公司 | 一种基于安全隔离网闸的信息数据交换*** |
| CN114500068B (zh) * | 2022-02-10 | 2024-01-09 | 广州云羲网络科技有限公司 | 一种基于安全隔离网闸的信息数据交换*** |
| CN114513444A (zh) * | 2022-02-15 | 2022-05-17 | 南京鑫蓝优图信息技术有限公司 | 一种具有网闸功能的巡检网关和数据的上传、下发方法 |
| CN114513444B (zh) * | 2022-02-15 | 2024-01-23 | 南京鑫蓝优图信息技术有限公司 | 一种具有网闸功能的巡检网关和数据的上传、下发方法 |
| CN114745454A (zh) * | 2022-04-11 | 2022-07-12 | 中国南方电网有限责任公司 | 边界防护装置、***、方法、计算机设备及存储介质 |
| CN115001804A (zh) * | 2022-05-30 | 2022-09-02 | 广东电网有限责任公司 | 应用于野外站的旁路访问控制***、方法及存储介质 |
| CN115001804B (zh) * | 2022-05-30 | 2023-11-10 | 广东电网有限责任公司 | 应用于野外站的旁路访问控制***、方法及存储介质 |
| CN115001906A (zh) * | 2022-06-02 | 2022-09-02 | 广东电网有限责任公司 | 一种安全网关 |
| CN115001906B (zh) * | 2022-06-02 | 2024-03-29 | 广东电网有限责任公司 | 一种安全网关 |
| CN115484091A (zh) * | 2022-09-13 | 2022-12-16 | 国网智能电网研究院有限公司 | 一种虚拟电厂聚合网关装置及内外网数据传输方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106941494A (zh) | 一种适用于用电信息采集***的安全隔离网关及其使用方法 | |
| CN105323302B (zh) | 为车辆诊断数据建立安全的通信 | |
| CN107018134A (zh) | 一种配电终端安全接入平台及其实现方法 | |
| CN103491072B (zh) | 一种基于双单向隔离网闸的边界访问控制方法 | |
| CN112073375A (zh) | 一种适用于电力物联网客户侧的隔离装置及隔离方法 | |
| CN103269332B (zh) | 面向电力二次***的安全防护*** | |
| CN101447907A (zh) | Vpn安全接入方法及*** | |
| CN110267270B (zh) | 一种变电站内传感器终端接入边缘网关身份认证方法 | |
| CN109088870A (zh) | 一种新能源厂站发电单元采集终端安全接入平台的方法 | |
| CN107172020A (zh) | 一种网络数据安全交换方法及*** | |
| CN106992984A (zh) | 一种基于电力采集网的移动终端安全接入信息内网的方法 | |
| CN107612698B (zh) | 一种商用密码检测方法、装置与*** | |
| CN114302402A (zh) | 一种基于5g的电力调控业务安全通信方法 | |
| CN103139058A (zh) | 一种物联网安全接入网关 | |
| CN101778099A (zh) | 可容忍非信任组件的可信网络接入的架构及其接入方法 | |
| CN108810023A (zh) | 安全加密方法、密钥共享方法以及安全加密隔离网关 | |
| CN106302535A (zh) | 电力***的攻击仿真方法、装置及攻击仿真设备 | |
| MX2007013862A (es) | Sistema y metodo para convertir datos seriales en paquetes de datos seguros, configurados para transmision inalambrica en un sistema de energia. | |
| CN106973056A (zh) | 一种面向对象的安全芯片及其加密方法 | |
| CN107070907A (zh) | 内外网数据单向传输方法及*** | |
| CN107295312A (zh) | 一种基于ssl vpn的无线视频安全接入*** | |
| CN107347047A (zh) | 攻击防护方法和装置 | |
| CN107733747A (zh) | 面向多业务承载的公共通信接入*** | |
| CN106941491A (zh) | 用电信息采集***的安全应用数据链路层设备及通信方法 | |
| CN105610837A (zh) | 用于scada***主站与从站间身份认证的方法及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170711 |
|
| RJ01 | Rejection of invention patent application after publication |