一种能源站用户数据无线通信系统及实验平台技术方案

本发明专利技术提供一种能源站用户数据无线通信系统及实验平台，包括安全网关硬件端和安全网关软件端：所述安全网关硬件端包括主站端和用户端；所述主站端包括内网模块与外网模块，所述内网模块与所述外网模块之间通过单向通信模块通信；所述内网模块与内网连接，所述外网模块与外网连接；所述内网模块连接有加密模块；所述用户端包括通信连接的通信模块和功能模块；所述通信模块通过外网与所述外网模块交互；所述功能模块执行所述通信模块交互前或交互后的信息处理与存储。本发明专利技术所述的系统，实现了基于国产密码体系的系统，确保用户端与主站端在可信网络中进行交互，用户数据能够得到安全保护。安全保护。安全保护。

【技术实现步骤摘要】
一种能源站用户数据无线通信系统及实验平台


[0001]本专利技术属于信息通信领域，具体涉及一种能源站用户数据无线通信系统及实验平台。

技术介绍

[0002]目前，工业控制自动化技术正向智能化、网络化、集成化方向发展，目前面临的问题是，在传统信息系统中还未解决的信息安全问题，在工业控制系统中也开始出现，并有愈演愈烈的趋势。
[0003]能源站监控系统与用户侧使用无线通信网络进行组网，用户数据在没有安全防护机制的情况下，使用无线通信网络会导致敏感作业信息和控制操作会暴露在互联网当中，可能会导致能源站监控系统处于黑客监控之中。
[0004]能源站监控系统缺乏可靠的安全通信机制和数据保密措施，其网络安全防御能力十分有限，采用完善的通信加密技术是加强其安全防御能力的必要条件，因而，根据能源站监控系统的运行情况研究基于国产密码体系的无线传输安全保护技术、网络隔离技术，实现用户侧、主站侧关键业务数据的安全保护，实现数据在传输过程中防窃取、篡改，保证指令的保密性、完整性和不可抵赖性。

技术实现思路

[0005]为此，本专利技术提供一种能源站用户数据无线通信系统及实验平台。
[0006]本专利技术提供的能源站用户数据无线通信系统，包括：
[0007]包括安全网关硬件端和安全网关软件端：
[0008]所述安全网关硬件端包括主站端和用户端；
[0009]所述主站端包括内网模块与外网模块，所述内网模块与所述外网模块之间通过单向通信模块通信；
[0010]所述内网模块与内网连接，所述外网模块与外网连接；所述内网模块连接有加密模块；
[0011]所述用户端包括通信连接的通信模块和功能模块；所述通信模块通过外网与所述外网模块交互；所述功能模块执行所述通信模块交互前或交互后的信息处理与存储；
[0012]所述安全网关软件端包括IPSec协商模块、VPN封装模块和密码算法模块；
[0013]所述IPSec协商模块在所述主站端与所述用户端交互时，发起IPSec协商；
[0014]所述VPN封装模块在所述主站端与所述用户端交互时，实现交互信息的封装；
[0015]所述密码算法模块提供算法供所述加密模块生成密钥和密码。
[0016]进一步的，所述内网模块与所述外网模块均为计算机，所述计算机的北桥上连接USB接口；所述内网模块与所述外网模块均通过所述USB接口连接单向通信模块。
[0017]进一步的，所述计算机设有PCI
‑
E接口，所述内网模块通过所述PCI
‑
E接口连接加密模块。
[0018]所述功能模块包括中央处理器、存储模块、用户加密模块；
[0019]所述中央处理器与所述通信模块、所述用户加密模块连接，处理交互前或交互后的交互信息。
[0020]所述存储模块与所述中央处理器连接，存储由中央处理器处理后的交互信息。
[0021]进一步的，所述单向通信模块存储有单向通信协议。
[0022]进一步的，所述安全网关软件端还包括日志记录模块，记录每一次发起IPSec协商时的日志数据。
[0023]进一步的，所述安全网关软件端还包括参数配置模块，在所述IPSec协商模块发起IPSec协商时，对所述主站端和所述用户端的参数进行配置。
[0024]进一步的，所述加密模块为密码卡。
[0025]本专利技术还提供一种能源站用户数据无线通信实验平台，包括本专利技术所述的能源站用户数据无线通信系统，还包括：
[0026]测试端，所述测试端与所述内网模块连接；
[0027]模拟端，所述模拟端与所述外网模块连接。
[0028]进一步的，所述模拟端为PLC测试机，所述PLC测试机与模拟测点连接。
[0029]本专利技术的上述技术方案，相比现有技术具有以下优点：
[0030](1)本专利技术所述的系统，基于能源站的网络安全风险分析，用户数据的采集与隔离进行分块与规约转换处理，处理完成后再进行合并传输同步，通过用户数据的单一性阻断拦截非业务数据的端口及服务降低被利用攻击的风险。构建网络隔离风险评估模型，引入时间维度，从用户数据的特征性出发提升数据安全保护。
[0031](2)本专利技术所述的系统，通过为主站端设备与用户端设备采用国家密码管理局的公钥密码SM1算法、对称密码SM2算法、密码杂凑SM3算法和随机数生成算法的研究与开发，保证了用户数据无线传输的机密性、保密性及数据完整性三种重要网络安全要素；另外，安全网关还具备多种抗攻击特性，如网络隔离技术、抗重放攻击，抗DOS攻击等。通过实现上述算法和技术，安全网关硬件端具备了商用VPN网关产品中较高的安全性与可靠性。
附图说明
[0032]图1是本专利技术实施例提供的主站端的示意图；
[0033]图2是本专利技术实施例提供的用户端的示意图；
[0034]图3是本专利技术实施例提供的安全网关软件端的示意图；
[0035]图4是本专利技术实施例提供的能源站用户数据无线通信实验平台的示意图。
具体实施方式
[0036]下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0037]实施例一
[0038]本实施例提供一种能源站用户数据无线通信系统。
[0039]所述能源站用户数据无线通信系统包括安全网关硬件端和安全网关软件端。
[0040]所述主站端包括内网模块与外网模块，所述内网模块与所述外网模块之间通过单向通信模块通信；所述内网模块与内网连接，所述外网模块与外网连接；所述内网模块连接有加密模块；所述用户端包括通信连接的通信模块和功能模块；所述通信模块通过外网与所述外网模块交互；所述功能模块执行所述通信模块交互前或交互后的信息处理与存储。
[0041]具体地，所述内网模块与所述外网模块均为计算机，如图1所示，在计算机的主板上，cpu及内存连接于主板的南桥，串口、网卡、磁盘以及USB连接口连接于主板的北桥，南桥与北桥连接。
[0042]所述内网模块与所述外网模块通过所述USB接口连接单向通信模块。所述单向通信模块上存储单向通信协议，所述内网模块与所述外网模块通过单向通信模块进行传输时，在专用硬件上传输的数据包括网络数据包、私有命令，网络数据包被主程序修改过协议字段，添加上内部通信私有协议头部，只有内/外网主机主程序发出的内容另一端才可识别，可有效防止未识别过的数据包通过专用硬件传输。
[0043]外网模块与公网连接，直接暴露在互联网上，首先抵御一般的网络攻击，如“Ping Of Death”等，其不存放任何证书、密钥等密码相关数据，以保护密钥信息不泄漏到公网之上。
[0044]所述内网模块通过PCI
‑
E连接加本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种能源站用户数据无线通信系统，其特征在于，包括安全网关硬件端和安全网关软件端：所述安全网关硬件端包括主站端和用户端；所述主站端包括内网模块与外网模块，所述内网模块与所述外网模块之间通过单向通信模块通信；所述内网模块与内网连接，所述外网模块与外网连接；所述内网模块连接有加密模块；所述用户端包括通信连接的通信模块和功能模块；所述通信模块通过外网与所述外网模块交互；所述功能模块执行所述通信模块交互前或交互后的信息处理与存储；所述安全网关软件端包括IPSec协商模块、VPN封装模块和密码算法模块；所述IPSec协商模块在所述主站端与所述用户端交互时，发起IPSec协商；所述VPN封装模块在所述主站端与所述用户端交互时，实现交互信息的封装；所述密码算法模块提供算法供所述加密模块生成密钥和密码。2.根据权利要求1所述的能源站用户数据无线通信系统，其特征在于，所述内网模块与所述外网模块均为计算机，所述计算机的北桥上连接USB接口；所述内网模块与所述外网模块均通过所述USB接口连接单向通信模块。3.根据权利要求2所述的能源站用户数据无线通信系统，其特征在于，所述计算机设有PCI
‑
E接口，所述内网模块通过所述PCI
‑
E接口连接加密模块。4.根据权利要求1所述的能...

【专利技术属性】
技术研发人员：曾贺湛，韩宇波，毛世权，王泽冬，肖波，徐志华，
申请(专利权)人：珠海横琴能源发展有限公司，
类型：发明
国别省市：