本发明专利技术属于电力数字化领域,涉及一种电力物联网数据安全防护方法;通过以下步骤实现:S1:任意区域内的边端设备,设备具备有线、无线及文本数据交互;S2:边端设备侧安装部署加密模块集成外置硬件,边端设备通过RJ45线与加密模块集成外置硬件连接;S3:边、端配置信息后与加密模块集成外置硬件通信,边、端向安全接入网关发送SSAL协议报文;S4:安全接入网关经过配置文件中的IP地址与SSAL值校证后,与发起的加密模块集成外置硬件建立加密通道;S5:端边数据发起的报文中,报文头中加入加密报文,该报文只有先抵达安全接入网关才能解密,解密后的报上传到物联管理平台,作为优选加密算法可选用国密SM1/2/3/4系列算法。选用国密SM1/2/3/4系列算法。选用国密SM1/2/3/4系列算法。
【技术实现步骤摘要】
一种电力物联网数据安全防护方法
[0001]本专利技术属于电力数字化领域,涉及一种电力物联网数据安全防护方法。
技术介绍
[0002]电力物联网是物联网在智能电网中的应用,是信息通信技术发展到一定阶段的结果,其将有效整合通信基础设施资源和电力系统基础设施资源,提高电力系统信息化水平,改善电力系统现有基础设施利用效率,为电网发、输、变、配、用电等环节提供重要技术支撑。同时,随着电力系统的数字化转型,物联管理平台的投运,以及各类电力感知端设备的大量投运,针对边端上报数据的安全提出严峻考验;常态下,边端无线上送的各类报文仅能通过各厂家边端加密芯片进行加密或者明文透传至前置机,再由前置机加密上送主站,致使边缘侧数据有可能暴露在非法人员手中,对隐私安全造成一定的隐患。
技术实现思路
[0003]本专利技术克服了现有技术存在的不足,提供了一种电力物联网数据安全防护方法。
[0004]本专利技术在电力物联网的边端管中分别构建相应的安全策略和方法,首先在边端设备中增加加密模块集成外置硬件,然后在安全接入网关中增加SDK(软件开发工具包),该SDK可监听终端上的APP(应用程序),在通过身份验证后,边端设备基于加密模块集成外置硬件加密并传输数据。
[0005]为了解决上述技术问题,本专利技术采用的技术方案为:一种电力物联网数据安全防护方法,通过以下步骤实现:S1:任意区域内的边端设备,设备具备有线、无线及文本数据交互;S2:边端设备侧安装部署加密模块集成外置硬件,边端设备通过RJ45线与加密模块集成外置硬件连接;S3:边、端配置信息后与加密模块集成外置硬件通信,边、端向安全接入网关发送SSAL协议报文;S4:安全接入网关经过配置文件中的IP地址与SSAL值校证后,与发起的加密模块集成外置硬件建立加密通道;S5:端边数据发起的报文中,报文头中加入加密报文,该报文只有先抵达安全接入网关才能解密,解密后的报上传到物联管理平台,作为优选加密算法可选用国密SM1/2/3/4系列算法。
[0006]S3和S4中,所述安全接入网关可提供多个代理模式,分别用于不同的场景模式。
[0007]所述多个代理模式分别为:SDK后台线程模式、端口代理进程模式和透明代理进程模式。
[0008]所述SDK生效使用前需要完成相应的配置,完成上述配置后可基于SDK实现访问应用,其步骤为:S1:建立代理连接,客户端需要访问外网业务时,SDK的监听端口提供身份认证,
SSAL/SSL协议提供了基于PKI体系的身份认证机制,可通用数字证书验证其基础身份;安全接入网关基于CA证书与客户端进行双向身份认证,在客户端与服务端完成协商握手,客户端将自身数字证书信息通过加密隧道发送至安全接入网关,安全接入网关根据客户端证书确定客户端的访问白名单;S2:数据加密,根据SDK的协议对传输数据进行加密,以SSAL协议为例,其遵循国家密码管理局关于PCI密码卡的相关技术规范,支持SM1、SM2、SM3、SM4等国密算法以及RSA、AES、3DES等多种国际标准算法,能够提供多线程、多进程并行处理的高速密码运算服务,满足其对数字签名/验证、非对称/对称加解密、数据完整性校验、真随机数生成、密钥生成和管理等功能的要求,保证敏感数据的机密性、真实性、完整性和抗抵赖性;S3:数据转发,加密后的数据发送至安全接入网关后根据之前判断的访问白名单转发数据。
[0009]本专利技术与现有技术相比具有的有益效果是:1、本专利技术采用在电力物联网的边端管中分别构建相应的安全策略和方法,其在边、端、管等环节使用软硬件结合方式,开展身份验证和数据传输加密,可有效提高电力物联网各数据传输的安全性、可靠性。
[0010]2、本专利技术采用自主设计开发的适应于电力物联网平台的SDK,在安全接入网关中增加SDK,可监听终端上的应用程序,在通过身份验证后,边端设备基于加密模块集成外置硬件加密并传输数据,极大的提高了电力物联网的安全性和可靠性。
附图说明
[0011]下面结合附图对本专利技术做进一步的说明。
[0012]图1为本专利技术数据安全防护的步骤流程图;图2为本专利技术电力物联网系统的构架示意图;图3为本专利技术SDK应用图。
具体实施方式
[0013]为使本专利技术技术方案的实现及优点清楚明白,下面结合附图对本专利技术作详细说明。
[0014]图1是电力物联网构建及数据传输过程,其由“端、边、管、云”构成,其中端、边存在于电力企业局域网外,管则介于外网和电力企业局域网之间,云通常分布于电力企业局域网内。
[0015]数据传输的主要过程为:步骤1:端设备感知数据,通常由低功耗、高可靠性的传感器构成,端设备可通过无线通信和(或)与上级的边缘物联代理网关建立连接;步骤2:边,即边缘物联代理网关,其对端提供的数据进行校验后,统一封装数据并通过SSAL与管建立通信;步骤3:管,指安全接入网关,它是电力企业内网和外网的衔接设备;步骤4:云,即物联管理平台,接受安全接入网关提供的数据,并完成数据存储、分析等应用。
[0016]为了提供电力物联网中数据传输的安全性和可靠性,需要在“端、边、管”中构建一套数据安全防护方法,具体如图2所示,其步骤如下:S1:任意区域内的边端设备,设备具备有线、无线及文本数据交互;S2:边、端设备侧安装部署加密模块集成外置硬件,边端设备通过RJ45线与加密模块集成外置硬件连接;S3:边、端配置信息后与加密模块集成外置硬件通信,边、端向安全接入网关发送SSAL协议报文;S4:安全网关经过配置文件中的IP地址与SSAL值校证后,与发起的加密模块集成外置硬件建立加密通道;S5:端边数据发起的报文中,报文头中加入加密报文,该报文只有先抵达安全接入网关才能解密,解密后的报上传到物联管理平台,作为优选加密算法可选用国密SM1/2/3/4系列算法。
[0017]构建SSAL协议验证身份的过程是数据传输的关键,在安全接入网关终端中开放SSAL的SDK安全接入网关构建安全通道,提供基于TCP协议的代理服务,为业务系统提供安全服务,具体来说,安全接入网关终端SDK用于为终端上的应用程序(APP)提供一套开发接口,SDK基于安全接入网关代理模式客户端的实现原理进行开发。简单来说就是,SDK会在终端本地开一个(或几个,视有多少业务系统需要访问)监听端口;当APP需要访问外网业务系统时,需要连接该监听端口,建立代理连接,由SDK对业务数据进行加密传输。
[0018]需要说明的是,物联安全接入网关提供三种代理模式,分别用于不同场景模式,如图3所示;1、线程代理模式(SDK后台线程):提供易编程的接口,用于终端无法直接独立运行SDK进程系统,如移动终端,终端通过调用编程接口(SDK API),配置SDK代理服务,启动代理线程,通过访问代理线程的服务访问业务系统。
[0019]2、进程代理模式(端口代理进程):用于能够使SDK独立以进程运行的终端上,用户通过配置SDK的配置文件,启动SDK进程即可。如物联代理终端。
[0020]3、透明代理模式(本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种电力物联网数据安全防护方法,其特征在于,通过以下步骤实现:S1:任意区域内的边端设备,设备具备有线、无线及文本数据交互;S2:边端设备侧安装部署加密模块集成外置硬件,边端设备通过RJ45线与加密模块集成外置硬件连接;S3:边、端配置信息后与加密模块集成外置硬件通信,边、端向安全接入网关发送SSAL协议报文;S4:安全接入网关经过配置文件中的IP地址与SSAL值校证后,与发起的加密模块集成外置硬件建立加密通道;S5:端边数据发起的报文中,报文头中加入加密报文,该报文只有先抵达安全接入网关才能解密,解密后的报上传到物联管理平台,作为优选加密算法可选用国密SM1/2/3/4系列算法。2.根据权利要求1所述的一种电力物联网数据安全防护方法,其特征在于,S3和S4中,所述安全接入网关可提供多个代理模式,分别用于不同的场景模式。3.根据权利要求2所述的一种电力物联网数据安全防护方法,其特征在于,所述多个代理模式分别为:SDK后台线程模式、端口代理进程模式和透明代理进程模式。4.根据权利要求3所述的一种电力物联网数据安全防护方法,其特征在于...
【专利技术属性】
技术研发人员:景卫哲,刘泽辉,郭旻,马东娟,李瑞,杨华,雷达,陈丹阳,高乐,龚曼,杜远征,徐凯,杨东海,杨群峰,郝彪,
申请(专利权)人:国网山西省电力公司电力科学研究院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。