CN114845298B - 一种基于可信wlan的架空光缆监测传输*** - Google Patents
一种基于可信wlan的架空光缆监测传输*** Download PDFInfo
- Publication number
- CN114845298B CN114845298B CN202210318769.2A CN202210318769A CN114845298B CN 114845298 B CN114845298 B CN 114845298B CN 202210318769 A CN202210318769 A CN 202210318769A CN 114845298 B CN114845298 B CN 114845298B
- Authority
- CN
- China
- Prior art keywords
- optical cable
- monitoring terminal
- information
- digital certificate
- joint box
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000003287 optical effect Effects 0.000 title claims abstract description 213
- 238000012544 monitoring process Methods 0.000 title claims abstract description 109
- 230000005540 biological transmission Effects 0.000 claims abstract description 28
- 238000012795 verification Methods 0.000 claims description 58
- 238000004891 communication Methods 0.000 claims description 13
- 230000002457 bidirectional effect Effects 0.000 claims description 4
- 239000000835 fiber Substances 0.000 claims 1
- 238000000034 method Methods 0.000 description 5
- 230000002265 prevention Effects 0.000 description 5
- 238000001914 filtration Methods 0.000 description 4
- GELKBWJHTRAYNV-UHFFFAOYSA-K lithium iron phosphate Chemical compound [Li+].[Fe+2].[O-]P([O-])([O-])=O GELKBWJHTRAYNV-UHFFFAOYSA-K 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 230000018109 developmental process Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000032683 aging Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000002360 explosive Substances 0.000 description 1
- 239000011152 fibreglass Substances 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000000060 site-specific infrared dichroism spectroscopy Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H02—GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
- H02J—CIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
- H02J13/00—Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network
- H02J13/00002—Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network characterised by monitoring
-
- H—ELECTRICITY
- H02—GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
- H02J—CIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
- H02J13/00—Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network
- H02J13/00006—Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network characterised by information or instructions transport means between the monitoring, controlling or managing units and monitored, controlled or operated power network element or electrical equipment
- H02J13/00016—Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network characterised by information or instructions transport means between the monitoring, controlling or managing units and monitored, controlled or operated power network element or electrical equipment using a wired telecommunication network or a data transmission bus
- H02J13/00017—Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network characterised by information or instructions transport means between the monitoring, controlling or managing units and monitored, controlled or operated power network element or electrical equipment using a wired telecommunication network or a data transmission bus using optical fiber
-
- H—ELECTRICITY
- H02—GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
- H02J—CIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
- H02J13/00—Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network
- H02J13/00006—Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network characterised by information or instructions transport means between the monitoring, controlling or managing units and monitored, controlled or operated power network element or electrical equipment
- H02J13/00022—Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network characterised by information or instructions transport means between the monitoring, controlling or managing units and monitored, controlled or operated power network element or electrical equipment using wireless data transmission
-
- H—ELECTRICITY
- H02—GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
- H02J—CIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
- H02J7/00—Circuit arrangements for charging or depolarising batteries or for supplying loads from batteries
- H02J7/34—Parallel operation in networks using both storage and other dc sources, e.g. providing buffering
- H02J7/35—Parallel operation in networks using both storage and other dc sources, e.g. providing buffering with light sensitive cells
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04Q—SELECTING
- H04Q9/00—Arrangements in telecontrol or telemetry systems for selectively calling a substation from a main station, in which substation desired apparatus is selected for applying a control signal thereto or for obtaining measured values therefrom
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/009—Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04Q—SELECTING
- H04Q2209/00—Arrangements in telecontrol or telemetry systems
- H04Q2209/40—Arrangements in telecontrol or telemetry systems using a wireless architecture
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提出了一种基于可信WLAN的架空光缆监测传输***,包括:光缆接头盒、光缆监测终端、后台服务器,所述光缆接头盒内部设置有可信WLAN无线模块以及加密模块,所述光缆接头盒用于在依次经过第一安全认证、第二安全认证后,接收光缆监测终端的光缆监测信息,并将接收的光缆监测终端的光缆监测信息转发至后台服务器;其中,第一安全认证为光缆接头盒基于内部加密模块的硬件安全启动认证,第二安全认证为光缆接头盒、光缆监测终端、后台服务器之间进行的三元对等双向认证,有效地提高了架空光缆电力监测终端与后台监测中心之间数据传输的安全性。
Description
技术领域
本发明涉及电力行业的架空光缆领域,尤其是涉及一种基于可信WLAN的架空光缆监测传输***。
背景技术
随着国民经济的高速发展,各行各业对电力的需求量越来越大,对供电部门提供电力供应质量(稳定性、不间断性及伴随服务)要求也越来越高,因此远距离高压输电线路的电网运行安全性显得尤为重要。需要监测地质灾害、杆塔倾斜、金具老化、线路覆冰、风偏振动等状态,这些业务总体呈现出大带宽、移动性、大连接的特点,新型能源互联网建设过程中各类终端、传感器数量将呈现爆发式增长,电缆或者光缆等有线通信方式,安装维护工作量大,接线过多方式复杂,造成线路隐患多而且综合度、智能度不高,信号覆盖困难,人工巡检困难,已经不能满足电网的发展要求。
现有技术中,电网设备末端局域网原无线接入方式为基于WPA2-PSK的WiFi二元接入架构,因密码泄露或密码强度不高造成的安全风险具有安全隐患,不利于提高架空光缆电力监测终端与后台监测中心之间数据传输的安全性。
发明内容
本发明为了解决现有技术中存在的问题,创新提出了一种基于可信WLAN的架空光缆监测传输***,有效解决由于现有技术造成架空光缆电力监测终端与后台监测中心之间数据传输的安全性不高的问题,有效地提高了架空光缆电力监测终端与后台监测中心之间数据传输的安全性。
本发明提供了一种基于可信WLAN的架空光缆监测传输***,包括:光缆接头盒、光缆监测终端、后台服务器,所述光缆接头盒内部设置有可信WLAN无线模块以及加密模块,所述光缆接头盒用于通过可信WLAN无线模块分别与光缆监测终端、后台服务器通信连接,在依次经过第一安全认证、第二安全认证后,接收光缆监测终端的光缆监测信息,并将接收的光缆监测终端的光缆监测信息转发至后台服务器;其中,第一安全认证为光缆接头盒基于内部加密模块的硬件安全启动认证,第二安全认证为光缆接头盒、光缆监测终端、后台服务器之间进行的三元对等双向认证。
可选地,光缆接头盒基于内部加密模块的硬件安全启动认证具体包括:
光缆接头盒内部的控制器分别获取光缆接头盒、可信WLAN无线模块的当前设备第一属性信息,并基于光缆接头盒、可信WLAN无线模块的当前设备第一属性信息生成信任根以及数字签名,并将生成的信任根以及数字签名与加密模块预先存储的信任根以及数字签名比对验证,比对验证通过后,光缆接头盒以及可信WLAN无线模块进行安全启动。
进一步地,所述当前设备第一属性信息包括当前设备的ID信息和/或当前设备的产品序列号。
可选地,光缆接头盒、光缆监测终端、后台服务器之间进行的三元对等双向认证具体包括:
光缆接头盒将根据自身设备第二属性信息以及第三属性信息生成的第一数字证书发送至光缆监测终端;
获取光缆监测终端根据自身设备第二属性信息以及第三属性信息生成的第二数字证书,以及光缆接头盒第一数字证书、第二数字证书生成的第一公钥信息,光缆监测终端接入请求时间信息以及光缆监测终端设备第一属性信息生成的第二公钥信息,均发送至后台服务器进行验证;
获取后台服务器对第一数字证书、第二数字证书、第一公钥信息、第二公钥信息的验证结果,并将验证结果发送至光缆监测终端,待验证通过后,进行光缆接头盒、光缆监测终端、后台服务器之间的数据传输。
进一步地,所述设备第二属性信息为设备MAC地址信息,所述设备第三属性信息为设备的IP地址。
可选地,后台服务器对第一数字证书、第二数字证书、第一公钥信息、第二公钥信息的验证具体包括:
后台服务器将获取的第一数字证书、第二数字证书、第一公钥信息、第二公钥信息分别与预先存储的待验证信息进行验证,如果存在至少一项验证未通过,则验证失败,如果所有验证均通过,则验证通过。
进一步地,如果验证失败,向光缆接头盒发送验证失败提示信息,缆接头盒、光缆监测终端、后台服务器之间无法进行数据传输。
可选地,光缆接头盒对于第一数字证书、第二数字证书、第一公钥信息、第二公钥信息进行签名加密,然后将签名加密后的第一数字证书、第二数字证书、第一公钥信息、第二公钥信息发送至后台服务器。
进一步地,后台服务器对于返回至光缆接头盒的验证结果信息进行签名加密。
可选地,光缆接头盒还包括用于光缆接头盒提供电源的电源模块,所述电源模块包括太阳能板以及可充电电池,所述太阳能板的电源输出端与可充电电池的充电端连接,所述可充电电池为光缆接头盒提供电源。
本发明采用的技术方案包括以下技术效果:
1、本发明技术方案光缆接头盒在依次经过第一安全认证、第二安全认证后,接收光缆监测终端的光缆监测信息,并将接收的光缆监测终端的光缆监测信息转发至后台服务器;其中,第一安全认证为光缆接头盒基于内部加密模块的硬件安全启动认证,第二安全认证为光缆接头盒、光缆监测终端、后台服务器之间进行的三元对等双向认证,有效解决由于现有技术造成架空光缆电力监测终端与后台监测中心之间数据传输的安全性不高的问题,有效地提高了架空光缆电力监测终端与后台监测中心之间数据传输的安全性。
2、本发明技术方案光缆接头盒内部的控制器分别获取光缆接头盒、可信WLAN无线模块的当前设备第一属性信息,并基于光缆接头盒、可信WLAN无线模块的当前设备第一属性信息生成信任根以及数字签名,并将生成的信任根以及数字签名与加密模块预先存储的信任根以及数字签名比对验证,比对验证通过后,光缆接头盒以及可信WLAN无线模块进行安全启动,从光缆接头盒本身硬件方面,进一步确保架空光缆电力监测终端与后台监测中心之间数据传输的安全性。
3、本发明技术方案中后台服务器进行验证信息不仅包括第一数字证书、第二数字证书、第一公钥信息,还包括光缆监测终端接入请求时间信息以及光缆监测终端设备第一属性信息生成的第二公钥信息,通过对光缆监测终端与光缆接头盒接入时间的验证,确保了光缆监测终端与光缆接头盒仅在工作时间接入通信,进一步地提高架空光缆电力监测终端与后台监测中心之间数据传输的安全性。
4、本发明技术方案中光缆接头盒还包括用于光缆接头盒提供电源的电源模块,电源模块包括太阳能板以及可充电电池,通过太阳能板与可充电电池配合,将太阳能转化为电能存储在磷酸铁锂电池中,为光缆接头盒进行供电,提高了电源供电的可靠性。
应当理解的是以上的一般描述以及后文的细节描述仅是示例性和解释性的,并不能限制本发明。
附图说明
为了更清楚说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单介绍,显而易见的,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明方案中实施例一***的结构示意图;
图2为本发明方案中实施例一***中光缆接头盒、光缆监测终端、后台服务器之间进行的三元对等双向认证的通信示意图。
具体实施方式
为能清楚说明本方案的技术特点,下面通过具体实施方式,并结合其附图,对本发明进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开,下文中对特定例子的部件和设置进行描述。此外,本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的,其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意,在附图中所图示的部件不一定按比例绘制。本发明省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本发明。
实施例一
如图1所示,本发明提供了一种基于可信WLAN的架空光缆监测传输***,包括:光缆接头盒1、光缆监测终端2、后台服务器3,光缆接头盒1内部设置有可信WLAN无线模块11以及加密模块12,光缆接头盒1用于通过可信WLAN无线模块11分别与光缆监测终端2、后台服务器3通信连接,在依次经过第一安全认证、第二安全认证后,接收光缆监测终端2的光缆监测信息,并将接收的光缆监测终端2的光缆监测信息转发至后台服务器3;其中,第一安全认证为光缆接头盒1基于内部加密模块12的硬件安全启动认证,第二安全认证为光缆接头盒1、光缆监测终端2、后台服务器3之间进行的三元对等双向认证。
其中,第一安全认证中,光缆接头盒基于内部加密模块的硬件安全启动认证具体包括:
光缆接头盒1内部的控制器13分别获取光缆接头盒1、可信WLAN无线模块11的当前设备第一属性信息,并基于光缆接头盒1、可信WLAN无线模块11的当前设备第一属性信息生成信任根以及数字签名,并将生成的信任根以及数字签名与加密模块12预先存储的信任根以及数字签名比对验证,比对验证通过后,光缆接头盒1以及可信WLAN无线模块11进行安全启动。
具体地,当前设备第一属性信息包括当前设备的ID信息和/或当前设备的产品序列号。其中,生成的信任根可以是两个,即基于光缆接头盒1的当前设备第一属性信息对应生成的第一信任根以及基于光缆接头盒1内部可信WLAN无线模块11的当前设备第一属性信息对应生成的第二信任根,然后,控制器13在验证时,分别进行第一信任根以及第二信任根的验证,两者均验证通过后,再进行数字签名的认证;生成的信任根也可以是两个,即基于光缆接头盒1的当前设备第一属性信息以及基于光缆接头盒1内部可信WLAN无线模块11的当前设备第一属性信息对应生成的第三信任根(可以是第一信任根、第二信任根的排列组合,也可以是第一信任根、第二信任根变形(例如颠倒)后的排列组合),然后,控制器13在验证时,进行第三信任根的验证,验证通过后,再进行数字签名的认证。同理,生成的数字签名可以是两个,即基于光缆接头盒1的当前设备第一属性信息对应生成的第一数字签名以及基于光缆接头盒1内部可信WLAN无线模块11的当前设备第一属性信息对应生成的第二数字签名,然后,控制器13在验证时,分别进行第一数字签名以及第二数字签名的验证,两者均验证通过后,认证通过,光缆接头盒1以及可信WLAN无线模块11进行安全启动,通过每一项分别认证,提高了数据传输的安全性;生成的数字签名也可以是两个,即基于光缆接头盒1的当前设备第一属性信息以及基于光缆接头盒1内部可信WLAN无线模块11的当前设备第一属性信息对应生成的第三数字签名(可以是第一数字签名、第二数字签名的排列组合,也可以是第一数字签名、第二信数字签名(例如颠倒)后的排列组合),然后,控制器13在验证时,进行第三数字签名的验证,验证通过后,光缆接头盒1以及可信WLAN无线模块11进行安全启动;通过将光缆接头盒1以及可信WLAN无线模块11构成的第三数字签名或第三数字证书分别认证,不仅提高了数据传输的安全性,而且还提高了认证效率。任意一项验证未通过,则光缆接头盒1以及可信WLAN无线模块11均不进行安全启动。优选地,也可以在光缆监测终端2中设置加密模块,基于光缆监测终端2的当前设备第一属性信息,并基于光缆监测终端2的当前设备第一属性信息生成信任根以及数字签名,并将生成的信任根以及数字签名与加密模块预先存储的信任根以及数字签名比对验证,比对验证通过后,光缆监测终端2进行安全启动。
其中,如图2所示,第二安全认证中,光缆接头盒1、光缆监测终端2、后台服务器3之间进行的三元对等双向认证具体包括:
光缆接头盒1将根据自身设备第二属性信息以及第三属性信息生成的第一数字证书发送至光缆监测终端2;
获取光缆监测终端2根据自身设备第二属性信息以及第三属性信息生成的第二数字证书,以及光缆接头盒1第一数字证书、第二数字证书生成的第一公钥信息,光缆监测终端2接入请求时间信息以及光缆监测终端2设备第一属性信息生成的第二公钥信息,均发送至后台服务器3进行验证;
获取后台服务器3对第一数字证书、第二数字证书、第一公钥信息、第二公钥信息的验证结果,并将验证结果发送至光缆监测终端2,待验证通过后,进行光缆接头盒1、光缆监测终端2、后台服务器3之间的数据传输。
具体地,设备第二属性信息为设备MAC地址信息,设备第三属性信息为设备的IP地址。光缆接头盒1作为三元安全架构中的AP(Access Point,无线接入点)设备,信任ASU身份即第一数字证书,第一数字证书(即AP证书)中的公钥信息可以是基于光缆接头盒1的IP地址生成的(例如,包含IP地址以及其他信息),第一数字证书中的私钥信息可以是基于光缆接头盒1的MAC地址信息生成的(例如,包含MAC地址信息以及其他信息);第二数字证书(即STA证书)中的公钥信息可以是基于光缆监测终端2的IP地址生成的(例如,包含IP地址以及其他信息),第二数字证书中的私钥信息可以是基于光缆监测终端2的MAC地址信息生成的(例如,包含MAC地址信息以及其他信息);光缆监测终端2作为STA(每一个连接到无线网络中的终端)终端;后台服务器3(部署在数据中心机房)中运行的证书及鉴别***AS(鉴权服务器),负责WAPI(在计算机宽带无线网络通信领域的安全接入技术标准,是中国无线局域网强制性标准中的安全机制)证书颁发、管理、认证和鉴别。光缆接头盒1第一数字证书、第二数字证书生成的第一公钥信息(ECDH身份,密钥种子,AP设备公钥+STA终端公钥,即第一数字证书中的AP设备公钥+第二数字证书中的STA终端公钥),光缆监测终端2接入请求时间信息以及光缆监测终端2设备第一属性信息生成的第二公钥信息(即临时公钥),第二公钥信息中不仅包括光缆监测终端2接入请求时间信息,还包括光缆监测终端2设备第一属性信息生成的公钥信息,两者共同组成第二公钥信息,以确保光缆监测终端2接入光缆接头盒1处于设定的工作时间段,非工作时间段不予接入。
后台服务器3对第一数字证书、第二数字证书、第一公钥信息、第二公钥信息的验证具体包括:
后台服务器3将获取的第一数字证书、第二数字证书、第一公钥信息、第二公钥信息分别与预先存储的待验证信息进行验证,如果存在至少一项验证未通过,则验证失败,如果所有验证均通过,则验证通过。如果验证失败,向光缆接头盒1发送验证失败提示信息,光缆接头盒1、光缆监测终端2、后台服务器3之间无法进行数据传输。
三元安全架构中的三个物理实体,光缆接头盒1、光缆监测终端2、后台服务器3三者都有独立身份(WAPI证书,证书由公钥和私钥生成),三元对等双向鉴别,有效保证安全。
第一数字证书以及第二数字证书均为V3版本X.509数字证书。
本发明技术方案数据安全措施具体网络侧安全(即AP设备与AS***之间)、空口安全(即AP设备与STA终端之间)及本体安全(光缆接头盒安全启动)。
其中,网络侧安全方面,后台服务器3不仅包括证书及鉴别***(AS):证书***主要包括WAPI证书颁发、管理功能,认证及鉴别功能,可以对证书(第一数字证书、第二数字证书、第一公钥信息、第二公钥信息)的合法性进行鉴别;还包括无线控制器***(AC):无线控制器***实现对WAPIAP(光缆接头盒)和WAPI终端(光缆监测终端)等设备的集中控制和管理,以及实现对终端接入的认证与监控管理。
光缆接头盒1与后台服务器3中的无线控制器***(AC)能配合提供接入控制能力、报文过滤能力、防DOS攻击能力、防端口扫描能力、防止非法报文攻击等能力,并提供本地网络日志。具体地,接入控制可以支持基于MAC地址的接入控制(包括LAN和WLAN),或基于IP地址和IP地址范围的接入控制,也可以支持基于URL的控制,URL的接入控制以黑白名单形式提供,黑名单和白名单不能同时启用,可支持到100条纪录。报文过滤支持IP层协议报文过滤功能,支持应用层报文过。防DOS攻击能够提供一定的防DoS攻击能力,例如,通过设置防火墙能够防止LAND、Ping of Death、SYN Flooding、ICMP Redirection、Smurf、Winnuke等类型的攻击;具有防端口扫描功能。
空口侧安全方面,每个光缆接头盒1均配置不同SSID(服务集标识)以区分网络支持虚拟AP(多SSID)之间的隔离,支持SSID广播开启/关闭功能;支持WAPI安全机制,符合GB15629.11—2003和GB 15629.11—2003/XG1—2006标准,支持国家密码管理主管部门批准的用于无线局域网的算法;支持密钥更新功能,包括单播密钥更新、组播密钥更新和基密钥更新;支持证书私钥数据以受保护方式进行存储,即存储至加密模块12中;支持强制STA终端下线功能,切断非法STA终端的网络连接。
进一步地,光缆接头盒1对于第一数字证书、第二数字证书、第一公钥信息、第二公钥信息进行签名加密,然后将签名加密后的第一数字证书、第二数字证书、第一公钥信息、第二公钥信息发送至后台服务器3。后台服务器3对于返回至光缆接头盒1的验证结果信息进行签名加密。优选地,光缆接头盒1将后台服务器3发送的验证结果信息在返回至光缆监测终端2时,也要进行签名加密,数字签名算法可以为ECDSA-192,杂凑算法为SHA-256。椭圆曲线参数字段利用OID(对象标识符)值1.2.156.11235.1.1.2.1标识国家密码管理局批准的专用于无线局域网的曲线参数,椭圆曲线参数字段+第一数字证书或第二数字证书或第一公钥信息或第二公钥信息,即可生成加密后数字证书或公钥信息。
优选地,光缆接头盒1还包括用于光缆接头盒1提供电源的电源模块14,电源模块14包括太阳能板141以及可充电电池142,太阳能板141的电源输出端与可充电电池142的充电端连接,可充电电池142为光缆接头盒1提供电源。
本发明中光缆接头盒1支持级联网络,支持本地Mesh组网,单设备通信时延小于20ms,可以不断扩展网络架构,任意两个设备均可以保持无线互联,具备动态自组织、自配置、自维护等突出特点;能够实现快速部署、灵活轻便,点对点通信距离可达1公里,距离500米时通信带宽不低于200Mbps。
本发明中可充电电池142可以为磷酸铁锂电池,将太阳能转化为电能存储在磷酸铁锂电池中,为室外光缆接头盒1进行供电;采用三频技术作为无线接入点,在实现信号覆盖的同时,可以实现与其他光缆接头盒1之间的无线通信;光缆接头盒1中的可信WLAN无线模块11使用玻璃钢全向天线作为室外无线通信设备的业务接入天线,保证全角度的信号覆盖;光缆接头盒1中的可信WLAN无线模块11还可以使用高增益定向天线作为室外无线通信设备的AirCable(三频技术)天线,实现三频AP之间的通畅无线通信。
本发明技术方案光缆接头盒在依次经过第一安全认证、第二安全认证后,接收光缆监测终端的光缆监测信息,并将接收的光缆监测终端的光缆监测信息转发至后台服务器;其中,第一安全认证为光缆接头盒基于内部加密模块的硬件安全启动认证,第二安全认证为光缆接头盒、光缆监测终端、后台服务器之间进行的三元对等双向认证,有效解决由于现有技术造成架空光缆电力监测终端与后台监测中心之间数据传输的安全性不高的问题,有效地提高了架空光缆电力监测终端与后台监测中心之间数据传输的安全性。
本发明技术方案光缆接头盒内部的控制器分别获取光缆接头盒、可信WLAN无线模块的当前设备第一属性信息,并基于光缆接头盒、可信WLAN无线模块的当前设备第一属性信息生成信任根以及数字签名,并将生成的信任根以及数字签名与加密模块预先存储的信任根以及数字签名比对验证,比对验证通过后,光缆接头盒以及可信WLAN无线模块进行安全启动,从光缆接头盒本身硬件方面,进一步确保架空光缆电力监测终端与后台监测中心之间数据传输的安全性。
本发明技术方案中后台服务器进行验证信息不仅包括第一数字证书、第二数字证书、第一公钥信息,还包括光缆监测终端接入请求时间信息以及光缆监测终端设备第一属性信息生成的第二公钥信息,通过对光缆监测终端与光缆接头盒接入时间的验证,确保了光缆监测终端与光缆接头盒仅在工作时间接入通信,进一步地提高架空光缆电力监测终端与后台监测中心之间数据传输的安全性。
本发明技术方案中光缆接头盒还包括用于光缆接头盒提供电源的电源模块,电源模块包括太阳能板以及可充电电池,通过太阳能板与可充电电池配合,将太阳能转化为电能存储在磷酸铁锂电池中,为光缆接头盒进行供电,提高了电源供电的可靠性。
上述虽然结合附图对本发明的具体实施方式进行了描述,但并非对本发明保护范围的限制,所属领域技术人员应该明白,在本发明的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。
Claims (8)
1.一种基于可信WLAN的架空光缆监测传输***,其特征是,包括:光缆接头盒、光缆监测终端、后台服务器,所述光缆接头盒内部设置有可信WLAN无线模块以及加密模块,所述光缆接头盒用于通过可信WLAN无线模块分别与光缆监测终端、后台服务器通信连接,在依次经过第一安全认证、第二安全认证后,接收光缆监测终端的光缆监测信息,并将接收的光缆监测终端的光缆监测信息转发至后台服务器;其中,第一安全认证为光缆接头盒基于内部加密模块的硬件安全启动认证,第二安全认证为光缆接头盒、光缆监测终端、后台服务器之间进行的三元对等双向认证;
其中,光缆接头盒基于内部加密模块的硬件安全启动认证具体包括:
光缆接头盒内部的控制器分别获取光缆接头盒、可信WLAN无线模块的当前设备第一属性信息,并基于光缆接头盒、可信WLAN无线模块的当前设备第一属性信息生成信任根以及数字签名,并将生成的信任根以及数字签名与加密模块预先存储的信任根以及数字签名比对验证,比对验证通过后,光缆接头盒以及可信WLAN无线模块进行安全启动;
光缆接头盒、光缆监测终端、后台服务器之间进行的三元对等双向认证具体包括:
光缆接头盒将根据自身设备第二属性信息以及设备第三属性信息生成的第一数字证书发送至光缆监测终端;
获取光缆监测终端根据自身设备第二属性信息以及设备第三属性信息生成的第二数字证书,以及光缆接头盒第一数字证书、第二数字证书生成的第一公钥信息,光缆监测终端接入请求时间信息以及光缆监测终端设备第一属性信息生成的第二公钥信息,均发送至后台服务器进行验证;
获取后台服务器对第一数字证书、第二数字证书、第一公钥信息、第二公钥信息的验证结果,并将验证结果发送至光缆监测终端,待验证通过后,进行光缆接头盒、光缆监测终端、后台服务器之间的数据传输。
2.根据根据权利要求1所述的基于可信WLAN的架空光缆监测传输***,其特征是,所述当前设备第一属性信息包括当前设备的ID信息和/或当前设备的产品序列号。
3.根据权利要求1所述的基于可信WLAN的架空光缆监测传输***,其特征是,所述设备第二属性信息为设备MAC地址信息,所述设备第三属性信息为设备的IP地址。
4.根据权利要求1所述的基于可信WLAN的架空光缆监测传输***,其特征是,后台服务器对第一数字证书、第二数字证书、第一公钥信息、第二公钥信息的验证具体包括:
后台服务器将获取的第一数字证书、第二数字证书、第一公钥信息、第二公钥信息分别与预先存储的待验证信息进行验证,如果存在至少一项验证未通过,则验证失败,如果所有验证均通过,则验证通过。
5.根据权利要求4所述的基于可信WLAN的架空光缆监测传输***,其特征是,如果验证失败,向光缆接头盒发送验证失败提示信息,缆接头盒、光缆监测终端、后台服务器之间无法进行数据传输。
6.根据权利要求1、3-5任意一项所述的基于可信WLAN的架空光缆监测传输***,其特征是,光缆接头盒对于第一数字证书、第二数字证书、第一公钥信息、第二公钥信息进行签名加密,然后将签名加密后的第一数字证书、第二数字证书、第一公钥信息、第二公钥信息发送至后台服务器。
7.根据权利要求6所述的基于可信WLAN的架空光缆监测传输***,其特征是,后台服务器对于返回至光缆接头盒的验证结果信息进行签名加密。
8.根据权利要求1所述的基于可信WLAN的架空光缆监测传输***,其特征是,光缆接头盒还包括用于光缆接头盒提供电源的电源模块,所述电源模块包括太阳能板以及可充电电池,所述太阳能板的电源输出端与可充电电池的充电端连接,所述可充电电池为光缆接头盒提供电源。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210318769.2A CN114845298B (zh) | 2022-03-29 | 2022-03-29 | 一种基于可信wlan的架空光缆监测传输*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210318769.2A CN114845298B (zh) | 2022-03-29 | 2022-03-29 | 一种基于可信wlan的架空光缆监测传输*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114845298A CN114845298A (zh) | 2022-08-02 |
| CN114845298B true CN114845298B (zh) | 2023-11-28 |
Family
ID=82564324
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210318769.2A Active CN114845298B (zh) | 2022-03-29 | 2022-03-29 | 一种基于可信wlan的架空光缆监测传输*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114845298B (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102355467A (zh) * | 2011-10-18 | 2012-02-15 | 国网电力科学研究院 | 基于信任链传递的输变电设备状态监测***安全防护方法 |
| CN105554760A (zh) * | 2016-01-29 | 2016-05-04 | 腾讯科技(深圳)有限公司 | 无线接入点认证方法、装置及*** |
| CN106230784A (zh) * | 2016-07-20 | 2016-12-14 | 杭州华三通信技术有限公司 | 一种设备验证方法及装置 |
| CN107360124A (zh) * | 2016-05-10 | 2017-11-17 | 普天信息技术有限公司 | 接入认证方法及装置、无线接入点和用户终端 |
| CN107438001A (zh) * | 2016-05-26 | 2017-12-05 | 北京博文广成信息安全技术有限公司 | 动态cfl证书认证算法 |
| CN111149334A (zh) * | 2017-11-23 | 2020-05-12 | 阿姆有限公司 | 远程设备控制 |
| CN111372247A (zh) * | 2019-12-23 | 2020-07-03 | 国网天津市电力公司 | 一种基于窄带物联网的终端安全接入方法及终端安全接入*** |
| CN112784278A (zh) * | 2020-12-31 | 2021-05-11 | 科东(广州)软件科技有限公司 | 一种计算机***的可信启动方法、装置及设备 |
| CN113591109A (zh) * | 2021-07-23 | 2021-11-02 | 上海瓶钵信息科技有限公司 | 可信执行环境与云端通信的方法及*** |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7797544B2 (en) * | 2003-12-11 | 2010-09-14 | Microsoft Corporation | Attesting to establish trust between computer entities |
-
2022
- 2022-03-29 CN CN202210318769.2A patent/CN114845298B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102355467A (zh) * | 2011-10-18 | 2012-02-15 | 国网电力科学研究院 | 基于信任链传递的输变电设备状态监测***安全防护方法 |
| CN105554760A (zh) * | 2016-01-29 | 2016-05-04 | 腾讯科技(深圳)有限公司 | 无线接入点认证方法、装置及*** |
| CN107360124A (zh) * | 2016-05-10 | 2017-11-17 | 普天信息技术有限公司 | 接入认证方法及装置、无线接入点和用户终端 |
| CN107438001A (zh) * | 2016-05-26 | 2017-12-05 | 北京博文广成信息安全技术有限公司 | 动态cfl证书认证算法 |
| CN106230784A (zh) * | 2016-07-20 | 2016-12-14 | 杭州华三通信技术有限公司 | 一种设备验证方法及装置 |
| CN111149334A (zh) * | 2017-11-23 | 2020-05-12 | 阿姆有限公司 | 远程设备控制 |
| CN111372247A (zh) * | 2019-12-23 | 2020-07-03 | 国网天津市电力公司 | 一种基于窄带物联网的终端安全接入方法及终端安全接入*** |
| CN112784278A (zh) * | 2020-12-31 | 2021-05-11 | 科东(广州)软件科技有限公司 | 一种计算机***的可信启动方法、装置及设备 |
| CN113591109A (zh) * | 2021-07-23 | 2021-11-02 | 上海瓶钵信息科技有限公司 | 可信执行环境与云端通信的方法及*** |
Non-Patent Citations (3)
| Title |
|---|
| Digital signature scheme based on truncated polynomial over finite fields;Maheswara Rao Valluri;2016 14th Annual Conference on Privacy, Security and Trust (PST);全文 * |
| PKI技术的近年研究综述;林璟锵等;密码学报;全文 * |
| 嵌入式可信平台设计及在信息防泄露中的应用;莫楚栋;梁伯勤;;教育信息技术(第Z2期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114845298A (zh) | 2022-08-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11662760B2 (en) | Wireless communication systems and methods for intelligent electronic devices | |
| Akyol et al. | A survey of wireless communications for the electric power system | |
| CA2744972C (en) | Native wi-fi architecture for 802.11 networks | |
| US7881667B2 (en) | Methods and apparatus for secure, portable, wireless and multi-hop data networking | |
| CN1268093C (zh) | 无线局域网加密密钥的分发方法 | |
| US7349325B2 (en) | Broadband over low voltage power lines communications system and method | |
| US8630275B2 (en) | Apparatus, method, and medium for self-organizing multi-hop wireless access networks | |
| US7606242B2 (en) | Managed roaming for WLANS | |
| US20070081477A1 (en) | Virtual LAN override in a multiple BSSID mode of operation | |
| JP2006524974A (ja) | 無線サービス・ポイント・ネットワーク | |
| CA2674680C (en) | Power distribution system secure access communication system and method | |
| CN101816163A (zh) | 认证方法和架构 | |
| EP2666317A1 (en) | Authentication and authorization of cognitive radio devices | |
| Zhou et al. | Efficient application of GPRS and CDMA networks in SCADA system | |
| CN113068181B (zh) | 多类型智能终端安全入网方法 | |
| US20140181279A1 (en) | Virtual Console-Port Management | |
| CN114845298B (zh) | 一种基于可信wlan的架空光缆监测传输*** | |
| US11411953B2 (en) | Extending network security to locally connected edge devices | |
| US11671830B2 (en) | Connecting access point to wireless multi-hop network based on a network role of the access point | |
| US20220232400A1 (en) | Monitoring secured network using network tap devices | |
| CN110995562B (zh) | 一种分散式风电场无线组网*** | |
| US20240113870A1 (en) | Authentication of smart grid communications using quantum key distribution | |
| US20060253697A1 (en) | System and method for securing communications over low voltage power lines | |
| Zhao et al. | Application analysis of trusted WLAN wireless access technology in new power system | |
| Yu et al. | A Lightweight and Secure Access Method for Power Wifi ad Hoc Networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |