一种适用于用电信息采集系统的安全隔离网关及其使用方法技术方案
Safety isolation gateway suitable for power consumption information collecting system and its using method
The security isolation gateway of the present invention relates to a power information acquisition system and method of using the security isolation gateway includes a network processing unit for receiving the message transmission and acquisition server sends its data to the application package of pure isolation exchange unit and a switching data receiving network processing unit transmission unit from the external network isolation; processing unit for receiving acquisition terminal transmission message and send the data to the application package of pure isolation exchange unit and exchange data receiving network processing unit transmission unit from the isolation; isolation switch unit, which is located between the intranet and extranet processing unit, processing unit, processing unit for storing intranet and extranet processing unit transmission net the application of data, controllable pure application data to complete the network processing unit and network processing unit exchange; As well as the cryptographic processing unit, which performs the protocol checking of cryptographic data for the isolated switching unit, the flow through processing, and provides password checking and decryption services.
【技术实现步骤摘要】
一种适用于用电信息采集系统的安全隔离网关及其使用方法
本专利技术涉及信息安全
,并且更具体地,涉及一种用于用电信息采集系统的安全隔离网关。
技术介绍
用电信息采集系统是居民、企业用电基础设施中的关键业务系统,系统可通过对配电变压器和终端用户的用电数据的采集和分析,实现用电监控、推行阶梯定价、负荷管理、线损分析,最终实现自动抄表、错峰用电、用电检查(防窃电)、负荷预测和节约用电成本等目的。由于采集系统主站汇集了多个用户用电信息,同时还承担着控制用户电表开/合闸、下发电价信息等重要工作,被定级为等级保护三级信息系统,需采取较为严格的边界防护措施。目前采集系统主站根据《电力监控系统安全防护规定》(发改委【2014】14号)要求,为采集终端接入设置了营销安全接入区,在安全接入区中部署了3A认证服务器、防火墙与入侵防御系统(IntrusionPreventionSystem,IPS),具备了初步的边界安全防护能力。但是采集系统主站与终端设备间使用专用协议交互,通用防火墙类设备缺乏对这些专用协议数据进行分析与过滤的能力,根据等级保护三级中网络访问控制要求,采集系统主站边...
【技术保护点】
一种适用于用电信息采集系统的安全隔离网关,其特征在于,所述安全隔离网关包括:内网处理单元,其用于从隔离交换单元接收经过密码处理单元密码校验及解密处理的纯应用数据并发送至用电信息采集系统采集服务器,以及用于对采集服务器进行身份鉴别和认证,接收来自通过身份鉴别和认证的合法采集服务器的报文,对报文进行格式检查,并将通过格式检查的报文中的纯应用数据进行封装后发送至隔离交换单元;外网处理单元,其用于对采集终端进行身份鉴别和认证,接收来自通过身份鉴别和认证的合法采集终端的报文,对报文进行格式检查,并将通过格式检查的报文中的纯应用数据进行封装后发送至隔离交换单元,以及从隔离交换单元接收经...
【技术特征摘要】
1.一种适用于用电信息采集系统的安全隔离网关,其特征在于,所述安全隔离网关包括:内网处理单元,其用于从隔离交换单元接收经过密码处理单元密码校验及解密处理的纯应用数据并发送至用电信息采集系统采集服务器,以及用于对采集服务器进行身份鉴别和认证,接收来自通过身份鉴别和认证的合法采集服务器的报文,对报文进行格式检查,并将通过格式检查的报文中的纯应用数据进行封装后发送至隔离交换单元;外网处理单元,其用于对采集终端进行身份鉴别和认证,接收来自通过身份鉴别和认证的合法采集终端的报文,对报文进行格式检查,并将通过格式检查的报文中的纯应用数据进行封装后发送至隔离交换单元,以及从隔离交换单元接收经过密码处理单元密码校验及解密处理的纯应用数据并发送至用电信息采集系统采集终端;隔离交换单元,其位于内网处理单元和外网处理单元之间,用于接收外网处理单元传输的纯应用数据,并通过密码处理单元对所述纯应用数据完成密码的协议检查、密码检验与解密后发送至内网处理单元,以及接收内网处理单元传输的纯应用数据,并通过密码处理单元对所述纯应用数据完成密码的协议检查、密码检验与解密后发送至外网处理单元,以完成内网处理单元和外网处理单元的纯应用数据的可控交换;以及密码处理单元,其为隔离交换单元流过式处理的数据完成密码的协议检查以及提供密码检验和解密服务。2.根据权利要求1所述的安全隔离网关,其特征在于,所述隔离交换单元包括现场可编程门阵列FPGA模块和双端口静态随机存取存储器SRAM模块,其中,FPGA模块提供控制信号以用于控制内网处理单元和外网处理单元分时互斥的访问SRAM模块,即当隔离交换单元与内网处理单元或外网处理单元中的一个处于连接状态时,与另一个的连接完全断开,双端口SRAM模块用于存储内网处理单元和外网处理单元进行交换的纯应用数据。3.根据权利要求2所述的安全隔离网关,其特征在于,所述安全隔离网关采用红黑隔离架构的隔离交接技术,外网处理单元和内网处理单元分别包括以太网口和内存接口,其中:外网处理单元的以太网口负责接收通过终端认证的采集终端发送的数据报文和发送隔离交换单元传输的纯应用数据至采集终端,内存接口负责在接收到隔离交换单元发出的控制信号时,将外网处理单元封装的纯应用数据发送给隔离交换单元和接收存储在隔离交换单元的双端口SRAM模块中的纯应用数据;内网处理单元的内存接口负责在接收到隔离交换单元发出的控制信号时,接收存储在隔离交换单元的双端口SRAM模块中的纯应用数据和发送内网处理单元封装的纯应用数据至隔离交换单元,以太网口负责将内存接口接收的纯应用数据发送至采集服务器以及接收从通过身份鉴别和认证的采集服务器采集的报文。4.根据权利要求2所述的安全隔离网关,其特征在于,所述安全隔离网关与内网处理单元和外网处理单元分别建立网络连接,通过隔离交换单元的FPGA模块使所述安全隔离开关与采集终端之间的连接终止于外网处理单元,与采集服务器之间的连接终止于内网处理单元。5.根据权利要求1所述的安全隔离网关,其特征在于,所述安全隔离网关实行采集服务器和采集终端认证接入机制,采用对称算法和非对称算法相结合的双密码体制...
【专利技术属性】
技术研发人员:翟峰,梁晓兵,赵兵,付义伦,刘鹰,吕英杰,许斌,岑炜,李保丰,曹永峰,张庚,孔令达,徐萌,冯云,袁泉,冯占成,杨全萍,任博,周琪,徐文静,卢艳,韩文博,李丽丽,
申请(专利权)人:中国电力科学研究院,国家电网公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。