CN113127914A - 一种电力物联网数据安全防护方法 - Google Patents

一种电力物联网数据安全防护方法 Download PDF

Info

Publication number
CN113127914A
CN113127914A CN202110516721.8A CN202110516721A CN113127914A CN 113127914 A CN113127914 A CN 113127914A CN 202110516721 A CN202110516721 A CN 202110516721A CN 113127914 A CN113127914 A CN 113127914A
Authority
CN
China
Prior art keywords
data
access gateway
message
encryption
security access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110516721.8A
Other languages
English (en)
Inventor
景卫哲
刘泽辉
郭旻
马东娟
李�瑞
杨华
雷达
陈丹阳
高乐
龚曼
杜远征
徐凯
杨东海
杨群峰
郝彪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Electric Power Research Institute of State Grid Shanxi Electric Power Co Ltd
Original Assignee
Electric Power Research Institute of State Grid Shanxi Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Electric Power Research Institute of State Grid Shanxi Electric Power Co Ltd filed Critical Electric Power Research Institute of State Grid Shanxi Electric Power Co Ltd
Priority to CN202110516721.8A priority Critical patent/CN113127914A/zh
Publication of CN113127914A publication Critical patent/CN113127914A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y10/00Economic sectors
    • G16Y10/35Utilities, e.g. electricity, gas or water

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • General Business, Economics & Management (AREA)
  • Computing Systems (AREA)
  • Databases & Information Systems (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明属于电力数字化领域,涉及一种电力物联网数据安全防护方法;通过以下步骤实现:S1:任意区域内的边端设备,设备具备有线、无线及文本数据交互;S2:边端设备侧安装部署加密模块集成外置硬件,边端设备通过RJ45线与加密模块集成外置硬件连接;S3:边、端配置信息后与加密模块集成外置硬件通信,边、端向安全接入网关发送SSAL协议报文;S4:安全接入网关经过配置文件中的IP地址与SSAL值校证后,与发起的加密模块集成外置硬件建立加密通道;S5:端边数据发起的报文中,报文头中加入加密报文,该报文只有先抵达安全接入网关才能解密,解密后的报上传到物联管理平台,作为优选加密算法可选用国密SM1/2/3/4系列算法。

Description

一种电力物联网数据安全防护方法
技术领域
本发明属于电力数字化领域,涉及一种电力物联网数据安全防护方法。
背景技术
电力物联网是物联网在智能电网中的应用,是信息通信技术发展到一定阶段的结果,其将有效整合通信基础设施资源和电力***基础设施资源,提高电力***信息化水平,改善电力***现有基础设施利用效率,为电网发、输、变、配、用电等环节提供重要技术支撑。同时,随着电力***的数字化转型,物联管理平台的投运,以及各类电力感知端设备的大量投运,针对边端上报数据的安全提出严峻考验;常态下,边端无线上送的各类报文仅能通过各厂家边端加密芯片进行加密或者明文透传至前置机,再由前置机加密上送主站,致使边缘侧数据有可能暴露在非法人员手中,对隐私安全造成一定的隐患。
发明内容
本发明克服了现有技术存在的不足,提供了一种电力物联网数据安全防护方法。
本发明在电力物联网的边端管中分别构建相应的安全策略和方法,首先在边端设备中增加加密模块集成外置硬件,然后在安全接入网关中增加SDK(软件开发工具包),该SDK可监听终端上的APP(应用程序),在通过身份验证后,边端设备基于加密模块集成外置硬件加密并传输数据。
为了解决上述技术问题,本发明采用的技术方案为:一种电力物联网数据安全防护方法,通过以下步骤实现:
S1:任意区域内的边端设备,设备具备有线、无线及文本数据交互;
S2:边端设备侧安装部署加密模块集成外置硬件,边端设备通过RJ45线与加密模块集成外置硬件连接;
S3:边、端配置信息后与加密模块集成外置硬件通信,边、端向安全接入网关发送SSAL协议报文;
S4:安全接入网关经过配置文件中的IP地址与SSAL值校证后,与发起的加密模块集成外置硬件建立加密通道;
S5:端边数据发起的报文中,报文头中加入加密报文,该报文只有先抵达安全接入网关才能解密,解密后的报上传到物联管理平台,作为优选加密算法可选用国密SM1/2/3/4系列算法。
S3和S4中,所述安全接入网关可提供多个代理模式,分别用于不同的场景模式。
所述多个代理模式分别为:SDK后台线程模式、端口代理进程模式和透明代理进程模式。
所述SDK生效使用前需要完成相应的配置,完成上述配置后可基于SDK实现访问应用,其步骤为:
S1:建立代理连接,客户端需要访问外网业务时,SDK的监听端口提供身份认证,SSAL/SSL协议提供了基于PKI体系的身份认证机制,可通用数字证书验证其基础身份;
安全接入网关基于CA证书与客户端进行双向身份认证,在客户端与服务端完成协商握手,客户端将自身数字证书信息通过加密隧道发送至安全接入网关,安全接入网关根据客户端证书确定客户端的访问白名单;
S2:数据加密,根据SDK的协议对传输数据进行加密,以SSAL协议为例,其遵循国家密码管理局关于PCI密码卡的相关技术规范,支持SM1、SM2、SM3、SM4等国密算法以及RSA、AES、3DES等多种国际标准算法,能够提供多线程、多进程并行处理的高速密码运算服务,满足其对数字签名/验证、非对称/对称加解密、数据完整性校验、真随机数生成、密钥生成和管理等功能的要求,保证敏感数据的机密性、真实性、完整性和抗抵赖性;
S3:数据转发,加密后的数据发送至安全接入网关后根据之前判断的访问白名单转发数据。
本发明与现有技术相比具有的有益效果是:
1、本发明采用在电力物联网的边端管中分别构建相应的安全策略和方法,其在边、端、管等环节使用软硬件结合方式,开展身份验证和数据传输加密,可有效提高电力物联网各数据传输的安全性、可靠性。
2、本发明采用自主设计开发的适应于电力物联网平台的SDK,在安全接入网关中增加SDK,可监听终端上的应用程序,在通过身份验证后,边端设备基于加密模块集成外置硬件加密并传输数据,极大的提高了电力物联网的安全性和可靠性。
附图说明
下面结合附图对本发明做进一步的说明。
图1为本发明数据安全防护的步骤流程图;
图2为本发明电力物联网***的构架示意图;
图3为本发明SDK应用图。
具体实施方式
为使本发明技术方案的实现及优点清楚明白,下面结合附图对本发明作详细说明。
图1是电力物联网构建及数据传输过程,其由“端、边、管、云”构成,其中端、边存在于电力企业局域网外,管则介于外网和电力企业局域网之间,云通常分布于电力企业局域网内。
数据传输的主要过程为:
步骤1:端设备感知数据,通常由低功耗、高可靠性的传感器构成,端设备可通过无线通信和(或)与上级的边缘物联代理网关建立连接;
步骤2:边,即边缘物联代理网关,其对端提供的数据进行校验后,统一封装数据并通过SSAL与管建立通信;
步骤3:管,指安全接入网关,它是电力企业内网和外网的衔接设备;
步骤4:云,即物联管理平台,接受安全接入网关提供的数据,并完成数据存储、分析等应用。
为了提供电力物联网中数据传输的安全性和可靠性,需要在“端、边、管”中构建一套数据安全防护方法,具体如图2所示,其步骤如下:
S1:任意区域内的边端设备,设备具备有线、无线及文本数据交互;
S2:边、端设备侧安装部署加密模块集成外置硬件,边端设备通过RJ45线与加密模块集成外置硬件连接;
S3:边、端配置信息后与加密模块集成外置硬件通信,边、端向安全接入网关发送SSAL协议报文;
S4:安全网关经过配置文件中的IP地址与SSAL值校证后,与发起的加密模块集成外置硬件建立加密通道;
S5:端边数据发起的报文中,报文头中加入加密报文,该报文只有先抵达安全接入网关才能解密,解密后的报上传到物联管理平台,作为优选加密算法可选用国密SM1/2/3/4系列算法。
构建SSAL协议验证身份的过程是数据传输的关键,在安全接入网关终端中开放SSAL的SDK安全接入网关构建安全通道,提供基于TCP协议的代理服务,为业务***提供安全服务,具体来说,安全接入网关终端SDK用于为终端上的应用程序(APP)提供一套开发接口,SDK基于安全接入网关代理模式客户端的实现原理进行开发。简单来说就是,SDK会在终端本地开一个(或几个,视有多少业务***需要访问)监听端口;当APP需要访问外网业务***时,需要连接该监听端口,建立代理连接,由SDK对业务数据进行加密传输。
需要说明的是,物联安全接入网关提供三种代理模式,分别用于不同场景模式,如图3所示;
1、线程代理模式(SDK后台线程):提供易编程的接口,用于终端无法直接独立运行SDK进程***,如移动终端,终端通过调用编程接口(SDK API),配置SDK代理服务,启动代理线程,通过访问代理线程的服务访问业务***。
2、进程代理模式(端口代理进程):用于能够使SDK独立以进程运行的终端上,用户通过配置SDK的配置文件,启动SDK进程即可。如物联代理终端。
3、透明代理模式(透明代理进程):用于支持IP包的透明转发,且能够使SDK独立以进程运行的终端上,相交于线程代理和进程代理,透明代理最大的优势在IP层双向透明,可支持云-端间双向发起通信,支持从业务***(如配电自动化***)发起请求,终端作为服务响应请求。
SDK使用需要生效使用前需要完成相应的配置,配置内容包括:
1、客户端访问配置,支持SSAL/SSL协议下的配置,配置项主要包括客户端需要连接的安全接入网关服务的地址、端口、通过安全接入网关服务的访问控制列表(即:需要通过这个安全接入网关服(ip:port)访问哪些业务)、用于标识一条访问控制规则,简单来说就是通过本地的哪个端口(lport)代理访问安全接入网关后的哪个业务服务。
2、安全接入网关访问配置,在安全接入网关WEB服务上配置业务信息,并给安全接入网关客户端使用的数字证书分配相应的业务访问权限。
完成以上配置后,可基于SDK实现访问应用,其过程为:
S1:建立代理连接,客户端需要访问外网业务时,SDK的监听端口提供身份认证,SSAL/SSL协议提供了基于PKI体系的身份认证机制,可通用数字证书验证其基础身份;
安全接入网关基于CA证书与客户端进行双向身份认证,在客户端与服务端完成协商握手,客户端将自身数字证书信息通过加密隧道发送至安全接入网关,安全接入网关根据客户端证书确定客户端的访问白名单;
S2:数据加密,根据SDK的协议对传输数据进行加密,以SSAL协议为例,其遵循国家密码管理局关于PCI密码卡的相关技术规范,支持SM1、SM2、SM3、SM4等国密算法以及RSA、AES、3DES等多种国际标准算法,能够提供多线程、多进程并行处理的高速密码运算服务,满足其对数字签名/验证、非对称/对称加解密、数据完整性校验、真随机数生成、密钥生成和管理等功能的要求,保证敏感数据的机密性、真实性、完整性和抗抵赖性;
S3:数据转发,加密后的数据发送至安全接入网关后根据之前判断的访问白名单转发数据。
上述实施方式仅示例性说明本发明的原理及其效果,而非用于限制本发明。对于熟悉此技术的人皆可在不违背本发明的精神及范畴下,对上述实施例进行修饰或改进。因此,凡举所述技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变,仍应由本发明的权利要求所涵盖。

Claims (4)

1.一种电力物联网数据安全防护方法,其特征在于,通过以下步骤实现:
S1:任意区域内的边端设备,设备具备有线、无线及文本数据交互;
S2:边端设备侧安装部署加密模块集成外置硬件,边端设备通过RJ45线与加密模块集成外置硬件连接;
S3:边、端配置信息后与加密模块集成外置硬件通信,边、端向安全接入网关发送SSAL协议报文;
S4:安全接入网关经过配置文件中的IP地址与SSAL值校证后,与发起的加密模块集成外置硬件建立加密通道;
S5:端边数据发起的报文中,报文头中加入加密报文,该报文只有先抵达安全接入网关才能解密,解密后的报上传到物联管理平台,作为优选加密算法可选用国密SM1/2/3/4系列算法。
2.根据权利要求1所述的一种电力物联网数据安全防护方法,其特征在于,S3和S4中,所述安全接入网关可提供多个代理模式,分别用于不同的场景模式。
3.根据权利要求2所述的一种电力物联网数据安全防护方法,其特征在于,所述多个代理模式分别为:SDK后台线程模式、端口代理进程模式和透明代理进程模式。
4.根据权利要求3所述的一种电力物联网数据安全防护方法,其特征在于,所述SDK生效使用前需要完成相应的配置,完成上述配置后可基于SDK实现访问应用,其步骤为:
S1:建立代理连接,客户端需要访问外网业务时,SDK的监听端口提供身份认证,SSAL/SSL协议提供了基于PKI体系的身份认证机制,可通用数字证书验证其基础身份;
安全接入网关基于CA证书与客户端进行双向身份认证,在客户端与服务端完成协商握手,客户端将自身数字证书信息通过加密隧道发送至安全接入网关,安全接入网关根据客户端证书确定客户端的访问白名单;
S2:数据加密,根据SDK的协议对传输数据进行加密,以SSAL协议为例,其遵循国家密码管理局关于PCI密码卡的相关技术规范,支持SM1、SM2、SM3和SM4国密算法以及RSA、AES和3DES多种国际标准算法,能够提供多线程、多进程并行处理的高速密码运算服务,满足其对数字签名/验证、非对称/对称加解密、数据完整性校验、真随机数生成、密钥生成和管理等功能的要求,保证敏感数据的机密性、真实性、完整性和抗抵赖性;
S3:数据转发,加密后的数据发送至安全接入网关后根据之前判断的访问白名单转发数据。
CN202110516721.8A 2021-05-12 2021-05-12 一种电力物联网数据安全防护方法 Pending CN113127914A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110516721.8A CN113127914A (zh) 2021-05-12 2021-05-12 一种电力物联网数据安全防护方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110516721.8A CN113127914A (zh) 2021-05-12 2021-05-12 一种电力物联网数据安全防护方法

Publications (1)

Publication Number Publication Date
CN113127914A true CN113127914A (zh) 2021-07-16

Family

ID=76781697

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110516721.8A Pending CN113127914A (zh) 2021-05-12 2021-05-12 一种电力物联网数据安全防护方法

Country Status (1)

Country Link
CN (1) CN113127914A (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113300845A (zh) * 2021-07-20 2021-08-24 国能信控互联技术有限公司 一种智慧热网数据传输安全防护***和方法
CN113612757A (zh) * 2021-07-29 2021-11-05 四川福泰美科技有限公司 一种工业物联网终端安全接入网络的方法和***
CN113810422A (zh) * 2021-09-18 2021-12-17 四川中电启明星信息技术有限公司 一种基于Emqx broker架构的物联平台设备数据安全连接方法
CN113872988A (zh) * 2021-10-18 2021-12-31 珠海许继芝电网自动化有限公司 兼容传统配电终端与物联终端的自适应接入***及方法
CN114697022A (zh) * 2022-03-18 2022-07-01 北京国泰网信科技有限公司 应用于配电网***的加密认证方法
CN114978591A (zh) * 2022-04-15 2022-08-30 国网上海能源互联网研究院有限公司 一种基于安全防护的场域网数据交互***及方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109194656A (zh) * 2018-09-10 2019-01-11 国家电网有限公司 一种配电无线终端安全接入的方法
CN110535653A (zh) * 2019-07-15 2019-12-03 中国电力科学研究院有限公司 一种安全的配电终端及其通讯方法
US20200252833A1 (en) * 2019-02-01 2020-08-06 State Grid Jiangsu Electric Power Co., Ltd Accurate load shedding system and method based on a power-dedicated wireless network
CN111917727A (zh) * 2020-07-01 2020-11-10 国网电力科学研究院有限公司 基于5G和WiFi的电力物联网安全智能图传***及方法
CN211908836U (zh) * 2020-04-30 2020-11-10 江苏九鱼电子科技有限公司 一种基于5g传输到边缘计算网关

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109194656A (zh) * 2018-09-10 2019-01-11 国家电网有限公司 一种配电无线终端安全接入的方法
US20200252833A1 (en) * 2019-02-01 2020-08-06 State Grid Jiangsu Electric Power Co., Ltd Accurate load shedding system and method based on a power-dedicated wireless network
CN110535653A (zh) * 2019-07-15 2019-12-03 中国电力科学研究院有限公司 一种安全的配电终端及其通讯方法
CN211908836U (zh) * 2020-04-30 2020-11-10 江苏九鱼电子科技有限公司 一种基于5g传输到边缘计算网关
CN111917727A (zh) * 2020-07-01 2020-11-10 国网电力科学研究院有限公司 基于5G和WiFi的电力物联网安全智能图传***及方法

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113300845A (zh) * 2021-07-20 2021-08-24 国能信控互联技术有限公司 一种智慧热网数据传输安全防护***和方法
CN113612757A (zh) * 2021-07-29 2021-11-05 四川福泰美科技有限公司 一种工业物联网终端安全接入网络的方法和***
CN113810422A (zh) * 2021-09-18 2021-12-17 四川中电启明星信息技术有限公司 一种基于Emqx broker架构的物联平台设备数据安全连接方法
CN113872988A (zh) * 2021-10-18 2021-12-31 珠海许继芝电网自动化有限公司 兼容传统配电终端与物联终端的自适应接入***及方法
CN114697022A (zh) * 2022-03-18 2022-07-01 北京国泰网信科技有限公司 应用于配电网***的加密认证方法
CN114978591A (zh) * 2022-04-15 2022-08-30 国网上海能源互联网研究院有限公司 一种基于安全防护的场域网数据交互***及方法
CN114978591B (zh) * 2022-04-15 2024-02-23 国网上海能源互联网研究院有限公司 一种基于安全防护的场域网数据交互***及方法

Similar Documents

Publication Publication Date Title
CN113127914A (zh) 一种电力物联网数据安全防护方法
CN108512846B (zh) 一种终端与服务器之间的双向认证方法和装置
CN112073375A (zh) 一种适用于电力物联网客户侧的隔离装置及隔离方法
CN107454079B (zh) 基于物联网平台的轻量级设备认证及共享密钥协商方法
US11303431B2 (en) Method and system for performing SSL handshake
US11736304B2 (en) Secure authentication of remote equipment
WO2019062666A1 (zh) 一种实现安全访问内部网络的***、方法和装置
CN102315945A (zh) 基于私有协议的统一身份认证方法
TW201811087A (zh) 連接建立方法、裝置和設備
CN110636052B (zh) 用电数据传输***
CN102811225B (zh) 一种ssl中间代理访问web资源的方法及交换机
CN112270020B (zh) 一种基于安全芯片的终端设备安全加密装置
CN104243452B (zh) 一种云计算访问控制方法及***
CN202759475U (zh) 数据发送装置、数据接收装置、数据传输***以及服务器
CN111181912A (zh) 浏览器标识的处理方法、装置、电子设备及存储介质
EP4351086A1 (en) Access control method, access control system and related device
CN102594564B (zh) 交通诱导信息安全管理设备
US10972912B1 (en) Dynamic establishment of trust between locally connected devices
CN108966214B (zh) 无线网络的认证方法、无线网络安全通信方法及***
CN110855561A (zh) 一种物联网智能网关
CN108989302B (zh) 一种基于密钥的opc代理连接***和连接方法
CN107172078B (zh) 一种基于应用服务的核心框架平台的安全管控方法和***
CN115604862A (zh) 视频流传输方法及***
CN111049798B (zh) 一种信息处理方法、装置和计算机可读存储介质
CN111641646A (zh) 一种安全增强型通信定位终端

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20210716

RJ01 Rejection of invention patent application after publication