CN115189904A

CN115189904A - 一种基于sdp的电力物联网及组网方法

Info

Publication number: CN115189904A
Application number: CN202210488412.9A
Authority: CN
Inventors: 张先飞; 邓国如; 王红卫; 郭峰; 袁慧; 冯浩; 邱爽; 张�成; 何涛; 余铮; 朱国威; 查志勇; 金波; 童永飞; 张岱; 廖荣涛
Original assignee: State Grid Corp of China SGCC; Information and Telecommunication Branch of State Grid Hubei Electric Power Co Ltd
Current assignee: State Grid Corp of China SGCC; Information and Telecommunication Branch of State Grid Hubei Electric Power Co Ltd
Priority date: 2022-05-06
Filing date: 2022-05-06
Publication date: 2022-10-14

Abstract

本申请涉及一种基于SDP的电力物联网及组网方法，所述基于SDP的电力物联网包括：终端、SDP控制器、云网关、电力业务服务器；终端向SDP控制器发送预授权请求；SDP控制器依据预设策略进行判断，对终端进行动态的身份认证和访问控制，并控制云网关建立终端与电力业务服务器的安全访问隧道；云网关是终端授权访问电力业务服务器的入口，根据SDP控制器认证结果是否进行访问连接的建立；本发明创新性提出在电力物联网内按照权限最小匹配原则，实现由SDP控制器自动分配策略，不受异构性网络边界影响，通过单向数据认证技术实现隐藏网络，达到可信网络的实现。

Description

一种基于SDP的电力物联网及组网方法

技术领域

本申请涉及电力物联网技术领域，尤其涉及一种基于SDP的电力物联网及组网方法。

背景技术

目前：传统的网络边界防护模式对每个端点或前端主机都做安全加固后通过VPN或传统鉴权模式接入存在加固成本高，有些终端(定制化***或哑设备)无法加固，接入不稳定和时延大的问题，在电力物联网的场景下将无法适用，大量的智能充电桩、智能电表、传感器等设备和各类管理平台接入到电力网络环境内，使得传统网络边界逐渐消失，传统中心侧的计算能力部分向端点转移，前端存在或潜在着大量不可控的、具有一定计算能力的端点设备。

由于物联网大量设备接入，很多自身设备没有鉴权功能，接入物联网可能会带来安全隐患，由于现有网络对于外部接入采用了安全接入平台、VPN等方式接入，但是现有技术只能在通过改变现有模式的情况下实现SDP与电力物联网融合。

通过上述分析，现有技术存在的问题及缺陷为：

(1)现有技术无法对接入设备进行可信认证。

(2)现有技术无法在不改变现有接入模式的情况下实现SDP与电力物联网融合。

发明内容

本申请实施例的目的在于提供一种基于SDP的电力物联网及组网方法，创新性提出在电力物联网内按照权限最小匹配原则，实现由SDP控制器自动分配策略，不受异构性网络边界影响，通过单向数据认证技术实现隐藏网络，达到可信网络的实现。

为实现上述目的，本申请提供如下技术方案：

本申请实施例提供一种基于SDP的电力物联网，包括终端、SDP控制器、云网关、电力业务服务器；

所述终端向SDP控制器发送预授权请求，具体包括C/S架构应用、B/S架构应用和客户端；

所述SDP控制器依据预设策略进行判断，对终端进行动态的身份认证和访问控制，并控制云网关建立终端与电力业务服务器的安全访问隧道；

所述云网关是终端授权访问电力业务服务器的入口，根据SDP控制器认证结果是否进行访问连接的建立；

所述电力业务服务器部署了大量电力业务相关的应用；

所述C/S架构应用提供客户端软件开发工具包，客户端软件开发工具包集成SDP的单包授权和精细化权限控制、流量可视化的功能，并建立和云网关的安全通信链路，形成闭环安全访问空间；

所述B/S架构应用通过程序编程接口访问云网关；

所述客户端和云网关建立双向TLS连接，由云网关监听电力业务服务器的服务端口，代理电力业务服务器响应客户端的请求。

所述客户端和云网关建立双向TLS连接具体包括：

云网关响应于客户端的请求，所述客户端将进行TLS连接的连接参数发送给云网关；其中，所述客户端在所述终端待机前已建立与对端的TLS连接；

在发送完所述连接参数后，所述客户端进入休眠状态；

所述云网关根据所述连接参数与对端建立TLS连接；

当所述客户端被唤醒时，所述客户端从所述云网关中获取所述连接参数，并根据所述连接参数恢复与所述对端的TLS连接。

所述连接参数包括TLS参数和TCP参数；

其中，所述TLS参数包括与所述对端协商的密码套件、秘钥信息和与所述对端通信时的报文读写记录；所述TCP参数包括IP地址、端口、报头参数和TCP握手协商结果的结构体。

所述云网关根据所述连接参数与对端建立TLS连接，包括：

根据所述连接参数构建心跳报文；

每隔预设时间段发送所述心跳报文给所述对端；

接收所述对端发送的信息，以建立与所述对端的TLS连接。

所述根据所述连接参数恢复与所述对端的TLS连接，包括：

根据所述TCP参数恢复TCP连接；在恢复TCP连接后，根据所述TLS参数恢复TLS连接。

所述访问隧道的建立并非固定的，随请求变化而随时构建的、动态的访问隧道，它将网络中的各式潜在威胁进行有效屏蔽，构建更加安全的网络边界。

所述SDP控制器采用自动分配策略和权限最小匹配原则接收终端向SDP控制器发送预授权请求，所述SDP控制器采取单向数据认证技术进行访问控制和身份认证。

所述云网关将外网互联网终端和内网资源隔离，过滤非法的访问，具备SDP的SDK或API能力，具有零信任安全能力。

第二方面，本申请实施例提供一种如上所述的基于SDP的电力物联网的组网方法，包括以下具体步骤：

S1：不同的终端向SDP控制器发送预授权请求；

S2：SDP控制器依据预设策略进行判断和身份验证后，若验证通过，则协助云网关建立终端与电力业务服务器之间的安全访问隧道，同时发送确认认证信息给终端；

S3：在确认认证信息无误后，终端实现接入，完成访问连接的建立。

与现有技术相比，本发明的有益效果是：本发明研究电力物联网细粒度访问控制，创新性提出在电力物联网内按照权限最小匹配原则，实现由SDP控制器自动分配策略，不受异构性网络边界影响，通过单向数据认证技术实现隐藏网络，达到可信网络的实现；通过电力物联网细粒度访问控制，按照权限最小匹配原则，实现由SDP控制器自动分配策略，不受异构性网络边界影响，通过单向数据认证技术实现隐藏网络，达到可信网络的实现。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1是本发明实施例提供的基于SDP的电力物联网结构示意图；

图2是本发明实施例提供的基于终端模块结构示意图；

图3是本发明实施例提供的基于SDP的电力物联网组网流程示意图。

图中：1、终端；2、SDP控制器；3、云网关；4、电力业务服务器；5、C/S架构应用；6、B/S架构应用；7、客户端。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

如图1所示，本申请实施例提供一种基于SDP的电力物联网，包括：终端1、SDP控制器2、云网关3、电力业务服务器4；

所述终端1向SDP控制器2发送预授权请求；

所述SDP控制器2依据预设策略进行判断，对终端1进行动态的身份认证和访问控制，并控制云网关3建立终端与电力业务服务器4的安全访问隧道；

所述云网关3是终端授权访问电力业务服务器4的入口，根据SDP控制器2认证结果是否进行访问连接的建立；

所述电力业务服务器4部署了大量电力业务相关的应用。

所述终端1包括C/S架构应用5、B/S架构应用6和客户端7。

所述C/S架构应用4提供客户端软件开发工具包，客户端软件开发工具包集成SDP的单包授权和精细化权限控制、流量可视化的功能，并建立和云网关3的安全通信链路，形成闭环安全访问空间。

所述B/S架构应用6通过程序编程接口访问云网关3。

所述客户端7和云网关3建立双向TLS连接，由云网关监听电力业务服务器4的服务端口，代理电力业务服务器4响应客户端的请求。

所述客户端和云网关建立双向TLS连接具体包括：

在发送完所述连接参数后，所述客户端进入休眠状态；

所述云网关根据所述连接参数与对端建立TLS连接；

所述连接参数包括TLS参数和TCP参数；

所述云网关根据所述连接参数与对端建立TLS连接，包括：

根据所述连接参数构建心跳报文；

每隔预设时间段发送所述心跳报文给所述对端；

接收所述对端发送的信息，以建立与所述对端的TLS连接。

所述根据所述连接参数恢复与所述对端的TLS连接，包括：

所述SDP控制器2采用自动分配策略和权限最小匹配原则接收终端向SDP控制器发送预授权请求，所述SDP控制器采取单向数据认证技术进行访问控制和身份认证。

所述云网关3将外网互联网终端和内网资源隔离，过滤非法的访问，具备SDP的SDK或API能力，具有零信任安全能力。

本发明的另一目的在于提供一种应用所述的基于SDP的电力物联网组网方法，包括如下步骤：

S1：不同的终端向SDP控制器2发送预授权请求；

S2：SDP控制器2依据预设策略进行判断和身份验证后，若验证通过，则协助云网关3建立终端1与电力业务服务器4之间的安全访问隧道，同时发送确认认证信息给终端1；

S3：在确认认证信息无误后，终端1实现接入，完成访问连接的建立。

为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解，下面结合实施例，进一步阐述本发明。

实施例一：

参考图3，本实施例中使用移动通信设备发起访问请求，在基于SDP的电力物联网组网技术中，首先使用移动通信设备向SDP控制器发送预授权请求，SDP控制器依据预设策略进行判断和身份验证后，若验证通过，则协助云网关建立移动通信设备与电力业务服务器之间的安全访问隧道，同时发送确认认证信息给移动通信设备，在确认认证信息无误后，移动通信设备实现接入，完成访问连接的建立。

实施例二：

参考图3，本实施例中使用主机设备发起访问请求，在基于SDP的电力物联网组网技术中，首先使用主机设备向SDP控制器发送预授权请求，SDP控制器依据预设策略进行判断和身份验证后，若验证通过，则协助云网关建立主机设备与电力业务服务器之间的安全访问隧道，同时发送确认认证信息给主机设备，在确认认证信息无误后，主机设备实现接入，完成访问连接的建立。

以上所述仅为本申请的实施例而已，并不用于限制本申请的保护范围，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。

Claims

1.一种基于SDP的电力物联网，其特征在于，包括终端、SDP控制器、云网关、电力业务服务器；

所述电力业务服务器部署了大量电力业务相关的应用；

所述B/S架构应用通过程序编程接口访问云网关；

2.根据权利要求1所述的一种基于SDP的电力物联网，其特征在于，所述客户端和云网关建立双向TLS连接具体包括：

在发送完所述连接参数后，所述客户端进入休眠状态；

所述云网关根据所述连接参数与对端建立TLS连接；

3.根据权利要求2所述的一种基于SDP的电力物联，其特征在于，所述连接参数包括TLS参数和TCP参数；

4.根据权利要求2所述的一种基于SDP的电力物联网，其特征在于，所述云网关根据所述连接参数与对端建立TLS连接，包括：

根据所述连接参数构建心跳报文；

每隔预设时间段发送所述心跳报文给所述对端；

接收所述对端发送的信息，以建立与所述对端的TLS连接。

5.根据权利要求2所述的一种基于SDP的电力物联网，其特征在于，所述根据所述连接参数恢复与所述对端的TLS连接，包括：

6.根据权利要求1所述的一种基于SDP的电力物联网，其特征在于，所述访问隧道的建立并非固定的，随请求变化而随时构建的、动态的访问隧道，它将网络中的各式潜在威胁进行有效屏蔽，构建更加安全的网络边界。

7.根据权利要求1所述的一种基于SDP的电力物联网，其特征在于，所述SDP控制器采用自动分配策略和权限最小匹配原则接收终端向SDP控制器发送预授权请求，所述SDP控制器采取单向数据认证技术进行访问控制和身份认证。

8.根据权利要求1所述的一种基于SDP的电力物联网，其特征在于，所述云网关将外网互联网终端和内网资源隔离，过滤非法的访问，具备SDP的SDK或API能力，具有零信任安全能力。

9.一种如权利要求1～8任一所述的基于SDP的电力物联网的组网方法，其特征在于，包括以下具体步骤：

S1：不同的终端向SDP控制器发送预授权请求；