CN103051632A - 智能用电通信安全防护方法及系统 - Google Patents
智能用电通信安全防护方法及系统 Download PDFInfo
- Publication number
- CN103051632A CN103051632A CN2012105683994A CN201210568399A CN103051632A CN 103051632 A CN103051632 A CN 103051632A CN 2012105683994 A CN2012105683994 A CN 2012105683994A CN 201210568399 A CN201210568399 A CN 201210568399A CN 103051632 A CN103051632 A CN 103051632A
- Authority
- CN
- China
- Prior art keywords
- user terminal
- intelligent
- terminal
- intelligent power
- power
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Abstract
一种智能用电通信安全防护方法及系统,该方法包括:建立智能用电通信平台架构,该智能用电通信平台架构包括主站节点、用户终端以及用电监控器;对所述智能用电通信平台架构进行通信安全防护,所述通信安全防护包括:采用分级认证方式进行身份安全认证,所述分级认证方式包括:主站节点对用户终端进行身份安全认证,用户终端对接入的智能终端进行身份安全认证,用电监控器对用户终端进行身份安全认证。根据本发明方案,通过提供智能用电通信平台架构,并对该智能用电通信平台架构实行分级的身份安全认证,分别确保了主站节点、用户终端、用电监控器所接收的信息的安全性,实现了安全的智能用电通信体系,确保了智能用电通信的安全。
Description
技术领域
本发明涉及电网安全领域,特别涉及一种智能用电通信安全防护方法、一种智能用电通信安全防护系统。
背景技术
智能电网技术的发展目前已经逐步壮大,目前,中国、北美、欧洲等国家地区已相继开展智能电网技术的研究及试点工作,主要体现在光伏发电技术、电动汽车V2G(Vehicle-to-grid)技术、储能技术、营配一体化、微网技术和需求侧互动技术等方面。这些智能电网技术的描述可以抽象为信息构成的数据采集、数据存储、数据挖掘、数据分析、决策以及信息反馈和互动的集成系统模型;各智能系统运行的基础在于数据,而通信技术是保证数据在智能电网中各环节互连互通的基础,因而智能电网技术的建设和发展离不开通信技术的应用。
智能用电属于智能电网与智能家居/智能楼宇的交叉点,智能家居/智能楼宇侧重从用电设备本身的改造实现智能化,从而带给用户更多的体验;智能用电侧重从配用电一体化与电能提供平台、而不一定需要改造用电设备本身的角度来实现智能化,以带给用户更多的体验,这是智能用电与智能家居的重要区别。
智能用电是智能电网技术在用户需求侧的关键技术,智能用电的通信与电网生产信息系统存在互联互通的通道;而电网生产信息系统的安全性直接影响着电网系统的安全稳定运行,因此智能用电通信的安全防护对于确保电网生产信息系统的安全,进而确保电网的安全稳定运行至关重要,然而,在目前的智能电网技术中,并未涉及到对智能用电的通信架构规范及安全进行防护。
发明内容
基于此,针对上述现有技术中存在的问题,本发明的目的在于提供一种智能用电通信安全防护方法、一种智能用电通信安全防护系统,其可以有效地实现安全的智能用电通信体系,确保智能用电通信的安全性。
为达到上述目的,本发明采用以下技术方案:
一种智能用电通信安全防护方法,包括:
建立智能用电通信平台架构,该智能用电通信平台架构包括主站节点、用户终端以及用电监控器;
对所述智能用电通信平台架构进行通信安全防护,所述通信安全防护包括:采用分级认证方式进行身份安全认证,所述分级认证方式包括:所述主站节点对所述用户终端进行身份安全认证,所述用户终端对接入的智能终端进行身份安全认证,所述用电监控器对所述用户终端进行身份安全认证。
一种智能用电通信安全防护系统,包括智能用电通信平台架构,所述智能用电通信平台架构包括主站节点、用户终端以及用电监控器,所述主站节点对所述用户终端进行身份安全认证,所述用户终端对接入的智能终端进行身份安全认证,所述用电监控器对所述用户终端进行身份安全认证。
根据本发明方案,通过提供智能用电通信平台架构,并对该智能用电通信平台架构实行分级的身份安全认证,分别确保了主站节点、用户终端、用电监控器所接收的信息的安全性,实现了安全的智能用电通信体系,确保了智能用电通信的安全。
附图说明
图1是本发明的智能用电通信安全防护方法实施例的流程示意图;
图2中是一个具体实现方式中的用户终端的结构示意图;
图3是本发明方案中的智能用电通信平台架构的结构示意图;
图4是一个具体示例中电网层面的通信架构的示意图;
图5是一个具体示例中用户层面的其中一种通信架构的示意图;
图6是一个具体示例中用户层面的另一种通信架构的示意图;
图7是一个具体示例中基于前后台无操作系统实现防护的主流程示意图。
具体实施方式
以下结合其中的较佳实施方式对本发明方案进行详细阐述。在下述说明中,先对本发明的智能用电通信安全防护方法的实施例进行说明,再对本发明的智能用电通信安全防护系统的实施例进行说明。
图1中示出了本发明的智能用电通信安全防护方法实施例的流程示意图。如图1所示,本实施例中的智能用电通信安全防护方法包括:
步骤S101:建立智能用电通信平台架构,该智能用电通信平台架构包括主站节点、用户终端以及用电监控器;
步骤S102:对智能用电通信平台架构进行通信安全防护,该通信安全防护包括:采用分级认证方式进行身份安全认证;该分级认证方式包括:主站节点对用户终端进行身份安全认证,用户终端对接入的智能终端进行身份安全认证,用电监控器对用户终端进行身份安全认证。
本实施例中的方案,是通过建立智能用电通信平台架构,使得能够通过用电监控器对用电设备的用电/供电数据进行监控,且获得的用电/供电数据能够通过用户终端传送到主站节点,实现电网层面的智能用电,此外,还对该智能用电通信平台架构实行分级的身份安全认证,分别确保了主站节点、用户终端、用电监控器所接收的信息的安全性,实现了安全的智能用电通信体系,确保了智能用电通信的安全。
考虑到用户终端布设的密集度以及布设数量的多少,例如,对于企业用户而言,由于该企业可能需要重点维护,例如供暖、供热等等,该企业用户对应的用户终端可以直接将采集到的用电/供电数据传输给主站节点。而对于普通的家庭用户来说,由于家庭用户比较密集,从而用户终端的数量会比较多,各家庭用户的用户终端都直接与主站节点通信的话,可能使得主站节点的交互次数过大,因此,上述智能用电通信平台架构,还可以包括有中继站节点,上述用户终端通过该中继站节点与主站节点进行通信。
此时,上述分级认证方式中,在用户终端通过中继站节点与主站节点进行通信的情况下,是主站节点对中继站节点进行身份安全认证,中继站节点对用户终端进行身份安全认证。
另一方面,考虑到用电设备有多有少,某些应用场景下的用电设备会比较多,例如企业的用电设备,在此情况下,在上述建立智能用电通信平台架构时,还可以在该智能用电通信平台架构中创建有一个以上的从用户终端,通过该从用户终端实现用户终端与用电监控器之间的通信,此时,上述用户终端可以称之为主用户终端,或者也可以称之为上述用户终端包括有主用户终端和从用户终端。先通过该从用户终端获取其对应范围内的各用电监控器的用电/供电数据,再将获得的用电/供电数据发送给主用户终端,主用户终端从各个从用户终端获得其相应的用电/供电数据,实现对其对应范围内的各用电设备的监控。
在此情况下,主用户终端对接入的智能终端进行身份安全认证,从用户终端对主用户终端进行身份安全认证,用电监控器对与之连接的从用户终端进行身份安全认证。
除了上述分级认证方式,上述通信安全防护还可以包括:通过两个独立的微处理器分别对与主站节点/中继站节点交互的数据、与智能终端交互的数据进行处理的方式实现上述用户终端,也就是说通过一个微处理器处理与主站节点/中继站节点交互的数据,通过另一个处理器处理与智能终端交互的数据,使用户终端与主站节点/中继站节点交互的数据、用户终端与智能终端交互的数据相分离。
据此,图2中示出了用户终端的其中一种实现方式的示意图。如图2所示,该用户终端包括有:第一微控制器MCU1、第二微控制器MCU2,与第一微控制器连接的第一无线通信模块(图6中的与电网侧互联的无线模块)、第一晶振(晶振1)、第一显示单元(LED/LCD)、GPS定位模块、可信/安全模块以及直流稳压模块(DC-DC)、电表计量模块,与直流稳压模块(DC-DC)连接的整流桥,与第二微控制器MCU2连接的第二晶振(晶振2)、第二无线通信模块、第三无线通信模块,其中,第二微控制器MCU2还与上述直流稳压模块(DC-DC)、上述电表计量模块连接,用户终端通过上述第一无线通信模块与主站节点/中继站节点进行通信,通过第二无线通信模块与智能终端进行通信,通过第三无线通信模块与用电监控器进行通信。上述第二无线通信模块可以是短信通信模块等任何一种能够与智能终端进行通信的方式,上述第三无线通信模块可以是zigbee等任何一种能够与用电监控器进行通信的方式。
图2所示中,该用电终端还可以包括与第一微控制器MCU1连接的第一非易失存储器(EEPROM/Flash)、与第二微控制器MCU2连接的第二非易失存储器(EEPROM/Flash),可以用于实现对相关的日志的存储。
由上述内容可以得知,图2中所示的用户终端,实际上是采用双处理器隔离的方式来实现,采用两个独立的微控制器MCU分别对电网层面和用户层面的数据进行控制和处理,从物理结构上电网层面与用户层面的处理形成了一个整体,而在数据通路上,电网相关的数据止于用户终端的电网侧MCU(即第一微控制器MCU1),实现了数据层面的隔离,避免了用户数据对电网正常运行造成影响,实现了通信的安全。
另一方面,如上所述,用户终端实际上承担了电网层面与用户层面的信息交互的桥梁作用,其既充当电网层面的信息采集节点,又是监控用电设备的中心,如果用户终端一旦出现安全事故,对整个系统的冲击都会比较大,因而可以对用户终端进行重点防护。在进行重点防护时,可以是基于前后台无操作系统实现安全协议的方式进行安全防护,具体可以是在用户终端采用前后台方式开发并实现虚拟专用网络(VPN),从而确保用户终端本体的安全和用户终端网络通信的安全,由于前后台开发的方式可以确保用户终端设备中的软件线程(任务)的单一性、永久性和静态特点,从而可以拒绝任何形式的操作系统漏洞、病毒和恶意代码,而采用VPN隧道,可以实现用户终端的网络层面安全。
根据上述本发明的智能用电通信安全防护方法,本发明还提供一种智能用电通信安全防护系统,本发明的智能用电通信安全防护系统,包括有智能用电通信平台架构,并在该智能用电通信平台架构的基础上,设定相应的安全防护措施。以下先对本发明的智能用电通信平台结构进行说明。
图3中示出了本发明的智能用电通信平台架构的结构示意图。如图3所示,该智能用电通信平台架构包括主站节点、用户终端以及用电监控器。
其中,上述用电监控器,用于采集与该用电监控器互联的用电设备的用电/供电数据,并接收用户终端的控制指令控制用电设备的通电状态;
上述用户终端,用于接收智能终端的控制指令,并将该控制指令转发给用电监控器,接收用电监控器采集的用电/供电数据,并将该用电/供电数据向主站节点发送。
考虑到用户终端布设的密集度以及布设数量的多少,例如,对于企业用户而言,由于该企业可能需要重点维护,例如供暖、供热等等,因而该企业用户对应的用户终端可以直接将采集到的用电/供电数据传输给主站节点。而对于普通的家庭用户来说,由于家庭用户比较密集,从而用户终端的数量会增多,各家庭用户的用户终端都直接与主站节点通信的话,可能使得主站节点的交互次数过大。
据此,图3所示中,本发明的智能用电通信平台架构,还可以包括有中继站节点,上述用户终端通过该中继站节与主站节点进行通信。
如上所述的本发明的智能用电通信平台架构,实际上是包括了两个层面的架构,一个层面是电网层面,另一个层面是用户层面。对电网层面来说,主要涉及的是主站节点、中继站节点以及用户终端之间的信息交互。对用户层面来说,主要涉及的是用户终端、用电监控器以及具体的用电设备之间的信息交互,在某些应用状态下,还涉及用户终端与用户的智能终端(例如智能手机)之间的信息交互。以下针对这两个层面分别进行说明。
对电网层面来说,其主要是指用户计量终端到电网公司层面的通信,在本发明方案中,是指用户终端与中继站节点、主站节点之间的通信。
图4中示出了电网层面的通信架构的示意图。参见图4所示,企业用户的用户终端所接收到的用电/供电数据,可直接传输给主站节点,普通居民用户的用户终端所接收到的用电/供电数据,通过中继站节点传输给主站节点。
图5中示出了用户层面的其中一种通信架构的示意图。用户层面的通信架构,主要涉及用户终端、用电监控器与具体的用电设备之间的通信,这里的用电设备,可以包括电灯、洗衣机、空调、冰箱、太阳能板、电动汽车(EV)、电梯、打印机等设备。
如上所述,用电监控器,主要是用来采集与该用电监控器互联的用电设备的用电/供电数据,并接收用户终端的控制指令控制用电设备的通电状态。为便于说明,在图5所示中,基于所连接的具体的用电设备的不同,对与具体的用电设备连接的用电监控器进行了命名,例如电灯监控器、EV监控器、太阳能监控器、空调监控器、洗衣机监控器等等,这仅仅只是一种示例性的说明,并不用以对本发明方案构成限定。
图5中所示的通信架构,通常可以用于普通的居民用户中,这是因为居民用户的用电环境中,一般物理位置范围小、用电设备少,因而通过一个用户终端并结合多个用电监控器即可实现对相应覆盖范围的用电设备用电/供电数据等用电信息的采集。当然,在通信方式能够覆盖得到的情况下,也可以适用于企业用户。
图6中示出了用户层面的另一通信架构的示意图。考虑到企业用户的物理覆盖范围大(一般多层或者多栋楼宇等等),短距离通信难以覆盖,因而采用主从结构来实现用户终端。即用户终端包括有一个主用户终端以及一个以上的从用户终端。
参见图6所示,图6中所示的通信架构包括有一个主用户终端以及一个以上的从用户终端,通过从用户终端获取对应范围内的各用电监控器的用电/供电数据,再将获得的用电/供电数据发送给主用户终端。主用户终端从各个从用户终端获得其相应的用电/供电数据,实现对其对应范围内的各用电设备的用电/供电信息的采集。各从用户终端可以分别只负责与主用户终端对应范围内的一部分用电设备之间进行通信。其中,上述主用户终端与各从用户终端可以通过总线、有线网络、mesh网络或者ad-hoc等方式进行互联。
图6所示中,仅以一级主从结构进行说明,即每个从用户终端采集到的用电/供电数据都是直接发送给了主用户终端。在用电设备较多的情况下,也可以实现多级的主从结构,即与用电监控器连接的从用户终端采集到用电/供电数据后,可将采集到的用电/供电数据发送给上一级的从用户终端,再由该从用户终端发送给主用户终端,在此不予详加赘述。
图6所示中,以电灯监控器为例,电灯监控器采集与之连接的电灯的用电/供电数据,并将采集到的用电/供电数据发送给与之对应的从用户终端,从用户终端接收后,再将接收到的用电/供电数据发送给主用户终端。一方面,主用户终端可以将该用电/供电数据发送给用户的智能终端,例如智能手机,实现用户层面对用电设备的用电/供电的监控。另一方面,主用户终端还可以将该供电数据通过中继站节点发送给主站节点,实现电网层面对用电设备的用电/供电的监控。
在针对该智能用电通信平台架构设定安全防护措施时,参见图3中所示的智能用电通信平台架构,智能用电通信安全的风险可以抽象为下述四个问题:
其一,主站节点出口边界,与之互连的对象主要有中继站节点、企业用户的用户终端,因而对于主站节点来说,其可以只对中继站节点、以及企业用户的用户终端的数据进行身份安全认证,如图3所示,在某些应用场景下,主站节点还可以与用户智能终端进行交互,例如用户终端向主站节点查询主站节点范围内的用电/供电数据总量或者其他信息数据等等,对于用户智能终端,由于数量规模庞大,主站难以承受众多的并发连接和认证,因而可以由web服务器或电网95598短信平台的边界对用户智能终端进行身份安全认证;
其二、中继站节点对用户终端,由于业务数据的上传,中继站节点主要需要对用户终端进行认证;
其三、用户终端与用户智能终端边界,由于用户智能终端可能对用户终端发送控制指令,故用户终端需要对用户智能终端进行认证、加密以及抗重放攻击等安全措施;
其四、用电监控器与用户终端边界,由于用电监控器可能接收用户终端的控制指令,故用户监控器对用户终端需要进行认证、加密以及抗重放攻击。
据此,在针对该智能用电通信平台架构设定安全防护措施时,其中一个方式,可以是采用分级认证的方式来实现。具体可以为:采用主站节点对用户终端进行身份安全认证,用户终端对接入的智能终端进行身份安全认证,用电监控器对用户终端进行身份安全认证。在具有中继站节点的情况下,主站节点对中继站节点进行身份安全认证,中继站节点对用户终端进行身份安全认证,用户终端对接入的智能终端进行身份安全认证,用电监控器对用户终端进行身份安全认证。即在具有中继站节点的情况下,实际上是实现了四级认证,分别为:
主站节点对中继站节点以及大用户(例如企业用户)的用户终端的身份安全认证;
中继站节点对小用户(例如家庭用户)的用户终端的身份安全认证;
用户终端对用户的智能终端(例如智能手机)的身份安全认证;
用电监控器对用户终端的身份安全认证。
基于这四级安全认证,形成了三条信任链,分别为:“主站节点→用户终端”的信任链,“主站节点→中继站节点→用户终端”的信任链,“用电监控器→用户终端→用户智能终端”的信任链。
在具体认证方式中,主站节点对中继站节点和大用户的用户终端进行身份安全认证时,可以采用二级CA部署,并采用非对称密码算法(例如SM2、RSA等等)作为认证算法;中继站节点对小用户的用户终端进行身份安全认证时,可以采用一级CA部署,并采用非对称密码算法(例如SM2、RSA等等)作为认证算法;用户终端对用户智能终端(例如智能手机)进行身份安全认证时,可以采用发送随机验证短信+手机号码等方式进行身份安全认证;用电监控器对用户终端的认证,可以采用相关安全规范中的认证方式,例如采用802.15.4规范在介质接入控制层定义相应的安全级(例如AES-CCM-128)等等。其中,具体的身份安全认证的方式可以采用目前已有的以及将来可能出现的任何一种身份安全认证方式,在此不予详加赘述。
在用户终端包括有主用户终端以及一个以上的从用户终端的情况下,中继站节点对主用户终端进行身份安全认证,主用户终端对接入的智能终端进行身份安全认证,从用户终端对主用户终端进行身份安全认证,用电监控器对从用户终端进行身份安全认证。
如上所述,本发明方案中的用户终端,负责了与中继站节点/主站节点、用电监控器、用户的智能终端这三个方面的通信,其中:
与中继站节点/主站节点的通信,主要是负责处理与电网相关的业务并进行相应的数据通信,这里的电网相关的业务可以包括有例如抄表、设备运行状态反馈等业务;
与用电监控器的通信,主要是负责对用电监控器的接入进行安全认证,接收用电监控器上传的用电/供电数据,并将接收到的智能终端的控制指令转发给用电监控器;
与用户的智能终端的通信,主要是向用户的智能终端提供室内/屋内/楼宇内的用电设备的状态、耗电等信息,具体可以是上述各用电监控器返回的用电/供电数据等信息,并接收用户的智能终端对某个具体的用电设备的控制指令,并将该控制指令向该用电设备对应的用电监控器转发。
由此可见,该用户终端实际上承担了电网层面与用户层面的信息交互的桥梁作用,其既充当电网层面的信息采集节点,又是用户监控用电设备的中心,因而需要在用户终端对电网侧的数据与用户侧的数据进行有效区分,实现层面分离。
具体实现时,可以是使用户终端通过两个独立的微处理器分别对与主站节点/中继站节点交互的数据、与智能终端交互的数据进行处理,使用户终端与主站节点/中继站节点交互的数据、用户终端与智能终端和用电监控器交互的数据相分离。
据此,图2中示出了一个具体示例中的本发明的用电终端的结构示意图。如图2所示,在该具体示例中,该用户终端包括有:第一微控制器MCU1、第二微控制器MCU2,与第一微控制器连接的第一无线通信模块(图2中的与电网侧互联的无线模块)、第一晶振(晶振1)、第一显示单元(LED/LCD)、GPS定位模块、可信/安全模块以及直流稳压模块(DC-DC)、电表计量模块,与直流稳压模块(DC-DC)连接的整流桥,与第二微控制器MCU2连接的第二晶振(晶振2)、第二无线通信模块、第三无线通信模块,其中,第二微控制器MCU2还与上述直流稳压模块(DC-DC)、上述电表计量模块连接,用户终端通过上述第一无线通信模块与主站节点/中继站节点进行通信,通过第二无线通信模块与智能终端进行通信,通过第三无线通信模块与用电监控器进行通信。上述第二无线通信模块可以是短信通信模块等任何一种能够与智能终端进行通信的方式,上述第三无线通信模块可以是zigbee等任何一种能够与用电监控器进行通信的方式。
图2所示中,该用电终端还可以包括与第一微控制器MCU1连接的第一非易失存储器(EEPROM/Flash)、与第二微控制器MCU2连接的第二非易失存储器(EEPROM/Flash),可以用于实现对相关的日志的存储。
由上述内容可以得知,图2中所示的本发明的用户终端,实际上是采用双处理器隔离的方式来实现,采用两个独立的微控制器MCU分别对电网层面和用户层面的数据进行控制和处理,从物理结构上电网层面与用户层面的处理形成了一个整体,而在数据通路上,电网相关的数据止于用户终端的电网侧MCU(即第一微控制器MCU1),实现了数据层面的隔离,避免了用户数据对电网正常运行造成影响,实现了通信的安全。
本发明的用电监控器,可以是设置、或者集成在用电设备的供电线路上的任意位置,只要能够实现对用电设备的用电/供电数据的采集以及对该用电设备的电力通断进行控制即可,具体可以采用任何可能的方式实现,
通过上述内容可以得知,由于用户终端实际上承担了电网层面与用户层面的信息交互的桥梁作用,其既充当电网层面的信息采集节点,又是用户监控用电设备的中心,如果用户终端一旦出现安全事故,对整个系统的冲击都会比较大,因而可以对用户终端进行重点防护。
针对用户终端的重点防护,其中一种方式,可以是采用传统的安全防护方法,即可以从设备标识和认证、访问控制、安全审计和设备资源控制这四个方面进行防护控制,具体可以是采用目前已有的方式或者将来出现的方式来实现,在此不予详加赘述。
针对用户终端的第二种重点防护方式,可以是采用基于可信接入的主动安全防护方式,即在传统的网络接入认证的基础上,增加平台的身份认证和平台的完整性校验,智能终端只有在两层认证通过且平台完整性校验成功后才能够接入用户终端,具体可以是采用目前已有的方式或者将来出现的方式来实现,在此不予详加赘述。
针对用户终端的第三种重点防护方式,还可以是基于前后台无操作系统实现安全协议的方式进行安全防护,具体可以是在用户终端采用前后台方式开发并实现虚拟专用网络(VPN),从而确保用户终端本体的安全和用户终端网络通信的安全,由于前后台开发的方式可以确保用户终端设备中的软件线程(任务)的单一性、永久性和静态特点,从而可以拒绝任何形式的操作系统漏洞、病毒和恶意代码,而采用VPN隧道,可以实现用户终端的网络层面安全。
在本发明方案中,可以采用上述三种重点防护方式中的任意一种或者任意组合。以下主要针对上述第三种重点防护方式进行详细说明。
在第三种重点防护方式中,采用前后台无操作系统的方式实现用户终端的方式,相比于用操作系统实现的方式来说,是单任务处理方式,任务的时序和处理流程固定并且每行代码都可控,而且对数据的响应和处理效率更高。对于本发明的前后台无操作系统方式实现用户终端的方式,图7中示出了基于前后台无操作系统实现防护的主流程示意图。如图7所示,具体的过程可以是:
在初始化之后,判断事件队列是否为空:
若不为空,则对队列中的首事件,即队列中排在最前的事件,进行处理,并在处理完成后返回继续对事件队列是否为空进行判断;
若不为空,则进入睡眠状态,并在接收到插入事件时,退出睡眠,再对事件队列是否定义为接收数据包事件,具体地包括接收串口数据事件、接收网口数据事件。为空进行判断。
如上所述,在该实施例的主任务流程中,首先初始化系统(包括初始化PLL、定时器、IO、串口、网口、内存、事件队列和看门狗等设备,并执行相应的自检测试程序),然后判断事件列队是否为空,若为空则进行睡眠状态等到激活时再次判断事件列队是否为空,不为空则处理首事件。
在本发明实施中,采用离散事件驱动机制,其事件主要包括接收消息事件。当接收到消息时,将消息缓冲的数据读取出来,存放到SDRAM的指定位置上并置位处理标识,最后激活主流程的睡眠状态并退出中断服务程序。其中,常用的事件可以在事件处理中,主要区分数据的类别、数据的来源、数据的去向,然后进行相应的封包/解包、加密/解密、以及IPsec相关的处理。
基于上述描述可以得知,本发明的智能用电通信安全防护方法及系统,具有以下特征及优点:
采用层面分离,实现智能用电的用户侧与电网侧在逻辑互联而在物理隔离,从而确保了用户层面的信息安全问题不会波及电网层面,保证了电网的安全稳定运行;
采用分级认证,实现三条信任链,从而解决了传统数字证书系统无法实现的大规模并发认证问题,提高了身份认证的效率;
采用重点防护,实现了电网侧至用户侧的关键节点的本体安全和网络接入安全。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种智能用电通信安全防护方法,其特征在于,包括:
建立智能用电通信平台架构,该智能用电通信平台架构包括主站节点、用户终端以及用电监控器;
对所述智能用电通信平台架构进行通信安全防护,所述通信安全防护包括:采用分级认证方式进行身份安全认证,所述分级认证方式包括:所述主站节点对所述用户终端进行身份安全认证,所述用户终端对接入的智能终端进行身份安全认证,所述用电监控器对所述用户终端进行身份安全认证。
2.根据权利要求1所述的智能用电通信安全防护方法,其特征在于,所述通信安全防护还包括:
通过两个独立的微处理器分别对与主站节点/中继站节点交互的数据、与智能终端交互的数据进行处理的方式实现所述用户终端,使得用户终端与主站节点/中继站节点交互的数据、用户终端与智能终端和用电监控器交互的数据相分离;
和/或
采用前后台无操作系统的方式实现所述用户终端。
3.根据权利要求2所述的智能用电通信安全防护方法,其特征在于,所述用电终端包括:第一微控制器、第二微控制器,与第一微控制器连接的第一无线通信模块、第一晶振、第一显示单元、GPS定位模块、可信/安全模块以及直流稳压模块、电表计量模块,与所述直流稳压模块连接的整流桥,与所述第二微控制器连接的第二晶振、第二无线通信模块、第三无线通信模块,所述第二微控制器还与所述直流稳压模块、所述电表计量模块连接,所以用户终端通过所述第一无线通信模块与所述主站节点/中继站节点通信,通过所述第二无线通信模块与智能终端通信,通过所述第三无线通信模块与用电监控器通信。
4.根据权利要求3所述的智能用电通信安全防护方法,其特征在于,所述用电终端还包括与所述第一微控制器连接的第一非易失存储器、与第二微控制器连接的第二非易失存储器。
5.根据权利要求1至4任意一项所述的智能用电通信安全防护方法,其特征在于,所述智能用电通信平台架构还包括中继站节点,所述分级认证方式还包括:所述主站节点对所述中继站节点进行身份安全认证,所述中继站节点对所述用户终端进行身份安全认证。
6.一种智能用电通信安全防护系统,其特征在于,包括智能用电通信平台架构,所述智能用电通信平台架构包括主站节点、用户终端以及用电监控器,所述主站节点对所述用户终端进行身份安全认证,所述用户终端对接入的智能终端进行身份安全认证,所述用电监控器对所述用户终端进行身份安全认证。
7.根据权利要求6所述的智能用电通信安全防护系统,其特征在于:
所述用户终端通过两个独立的微处理器分别对与主站节点/中继站节点交互的数据、与智能终端交互的数据进行处理,使用户终端与主站节点/中继站节点交互的数据、用户终端与智能终端和用电监控器交互的数据相分离;
和/或
所述用户终端采用前后台无操作系统的方式实现。
8.根据权利要求7所述的智能用电通信安全防护系统,其特征在于,所述用电终端包括:第一微控制器、第二微控制器,与第一微控制器连接的第一无线通信模块、第一晶振、第一显示单元、GPS定位模块、可信/安全模块以及直流稳压模块、电表计量模块,与所述直流稳压模块连接的整流桥,与所述第二微控制器连接的第二晶振、第二无线通信模块、第三无线通信模块,所述第二微控制器还与所述直流稳压模块、所述电表计量模块连接,所以用户终端通过所述第一无线通信模块与所述主站节点/中继站节点通信,通过所述第二无线通信模块与智能终端通信,通过所述第三无线通信模块与用电监控器通信。
9.根据权利要求8所述的智能用电通信安全防护系统,其特征在于,所述用电终端还包括与所述第一微控制器连接的第一非易失存储器、与第二微控制器连接的第二非易失存储器。
10.根据权利要求6至9任意一项所述的智能用电通信安全防护系统,其特征在于:
所述智能用电通信平台架构还包括中继站节点,所述主站节点对所述中继站节点进行身份安全认证,所述中继站节点对所述用户终端进行身份安全认证;
和/或
用户终端包括主用户终端以及一个以上的从用户终端,所述主用户终端对接入的智能终端进行身份安全认证,所述从用户终端对主用户终端进行身份安全认证,所述用电监控器对从用户终端进行身份安全认证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210568399.4A CN103051632B (zh) | 2012-12-24 | 2012-12-24 | 智能用电通信安全防护方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210568399.4A CN103051632B (zh) | 2012-12-24 | 2012-12-24 | 智能用电通信安全防护方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103051632A true CN103051632A (zh) | 2013-04-17 |
| CN103051632B CN103051632B (zh) | 2016-02-24 |
Family
ID=48064131
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210568399.4A Active CN103051632B (zh) | 2012-12-24 | 2012-12-24 | 智能用电通信安全防护方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103051632B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106713286A (zh) * | 2016-12-07 | 2017-05-24 | 广东电网有限责任公司电力科学研究院 | 基于多级认证和疑似攻击隔离的电力数据传输系统 |
| CN110035076A (zh) * | 2019-04-04 | 2019-07-19 | 华北电力科学研究院有限责任公司 | 面向能源互联网的可信接入方法、可信客户端及服务器 |
| CN111683136A (zh) * | 2020-06-05 | 2020-09-18 | 国网冀北电力有限公司电力科学研究院 | 配电物联网的节点安全监控方法、装置和配电物联网系统 |
| CN111781891A (zh) * | 2020-06-10 | 2020-10-16 | 杭州凯尔达机器人科技股份有限公司 | 机器人安全逻辑控制系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102306954A (zh) * | 2011-07-13 | 2012-01-04 | 广东电网公司电力科学研究院 | 一种智能用电信息交互管理系统 |
| CN102307161A (zh) * | 2011-08-26 | 2012-01-04 | 广东电网公司珠海供电局 | 配网嵌入式远动通信安全网关 |
| US20120082159A1 (en) * | 2010-10-05 | 2012-04-05 | Cisco Technology, Inc. | System and method for providing smart grid communications and management |
| CN102612035A (zh) * | 2012-04-13 | 2012-07-25 | 北京工业大学 | 多级分簇无线传感器网络中能量高效的身份认证方法 |
| CN102710649A (zh) * | 2012-06-12 | 2012-10-03 | 上海市电力公司 | 一种用于电力信息采集系统的网络安全架构 |
| CN202583819U (zh) * | 2012-01-06 | 2012-12-05 | 北京华鑫志和科技有限公司 | 零距离智能用电管理系统 |
-
2012
- 2012-12-24 CN CN201210568399.4A patent/CN103051632B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120082159A1 (en) * | 2010-10-05 | 2012-04-05 | Cisco Technology, Inc. | System and method for providing smart grid communications and management |
| CN102306954A (zh) * | 2011-07-13 | 2012-01-04 | 广东电网公司电力科学研究院 | 一种智能用电信息交互管理系统 |
| CN102307161A (zh) * | 2011-08-26 | 2012-01-04 | 广东电网公司珠海供电局 | 配网嵌入式远动通信安全网关 |
| CN202583819U (zh) * | 2012-01-06 | 2012-12-05 | 北京华鑫志和科技有限公司 | 零距离智能用电管理系统 |
| CN102612035A (zh) * | 2012-04-13 | 2012-07-25 | 北京工业大学 | 多级分簇无线传感器网络中能量高效的身份认证方法 |
| CN102710649A (zh) * | 2012-06-12 | 2012-10-03 | 上海市电力公司 | 一种用于电力信息采集系统的网络安全架构 |
Non-Patent Citations (2)
| Title |
|---|
| 刘金长等: "面向智能电网的信息安全防护体系建设", 《电力信息化》 * |
| 蒋诚智等: "基于等级保护的智能电网信息安全防护模型研究", 《计算机与现代化》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106713286A (zh) * | 2016-12-07 | 2017-05-24 | 广东电网有限责任公司电力科学研究院 | 基于多级认证和疑似攻击隔离的电力数据传输系统 |
| CN110035076A (zh) * | 2019-04-04 | 2019-07-19 | 华北电力科学研究院有限责任公司 | 面向能源互联网的可信接入方法、可信客户端及服务器 |
| CN110035076B (zh) * | 2019-04-04 | 2021-05-25 | 华北电力科学研究院有限责任公司 | 面向能源互联网的可信接入方法、可信客户端及服务器 |
| CN111683136A (zh) * | 2020-06-05 | 2020-09-18 | 国网冀北电力有限公司电力科学研究院 | 配电物联网的节点安全监控方法、装置和配电物联网系统 |
| CN111683136B (zh) * | 2020-06-05 | 2022-05-27 | 国网冀北电力有限公司电力科学研究院 | 配电物联网的节点安全监控方法、装置和配电物联网系统 |
| CN111781891A (zh) * | 2020-06-10 | 2020-10-16 | 杭州凯尔达机器人科技股份有限公司 | 机器人安全逻辑控制系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103051632B (zh) | 2016-02-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Saleem et al. | Internet of things-aided smart grid: technologies, architectures, applications, prototypes, and future research directions | |
| Namboodiri et al. | Toward a secure wireless-based home area network for metering in smart grids | |
| US8918639B2 (en) | Smarter leveraging of the power grid to substantially improve security of distributed systems via a control plane data communication network over the smart power grid | |
| CN102496199B (zh) | 具有无线自组网功能的智能门禁控制系统及方法 | |
| EP2622357B1 (en) | Utility device management | |
| CN105763542A (zh) | 一种用于配电终端串口通信的加密认证装置及其方法 | |
| CN103488920B (zh) | 一种无线信息安全设备的实现方法及系统 | |
| CN103051632B (zh) | 智能用电通信安全防护方法及系统 | |
| CN111711686A (zh) | 一种基于配电终端的安全防护方法 | |
| CN110365108B (zh) | 物联网动态授权电价计量和智能用电调控的装置及方法 | |
| CN102905255A (zh) | 一种基于嵌入式系统的充电设施数据采集终端 | |
| CN107920089A (zh) | 一种智能网荷互动终端信息安全防护认证加密方法 | |
| Yan et al. | Network security protection technology for a cloud energy storage network controller | |
| You-guo et al. | The reinforcement of communication security of the internet of things in the field of intelligent home through the use of middleware | |
| CN107508842A (zh) | 一种基于ccks的智能电表控制模块和方法 | |
| CN202711343U (zh) | 具有无线自组网功能的智能门禁控制系统 | |
| Vigo et al. | Smart grid security a smart meter-centric perspective | |
| CN100585575C (zh) | 一种确保存储设备安全使用的系统及方法 | |
| CN110633956A (zh) | 一种互动服务式微电网的信息安全防护系统 | |
| CN202713368U (zh) | 一种用于电力信息采集系统的网络安全架构 | |
| Lu et al. | Safety Risk Analysis and Safety Protection Measures of Power Distribution Internet of Things | |
| CN105162253A (zh) | 一种一次设备智能化无线通信系统 | |
| KR102110382B1 (ko) | Ami용 데이터집중장치의 인증 수행 방법 | |
| CN204302980U (zh) | 一种无线信息安全设备系统 | |
| CN214174879U (zh) | 面向电厂物联新安全分区的网络安全架构 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 510080 Dongfeng East Road, Dongfeng, Guangdong, Guangzhou, Zhejiang Province, No. 8 Patentee after: ELECTRIC POWER RESEARCH INSTITUTE, GUANGDONG POWER GRID CO., LTD. Address before: 510080 Dongfeng East Road, Dongfeng, Guangdong, Guangzhou, Zhejiang Province, No. 8 Patentee before: Electrical Power Research Institute of Guangdong Power Grid Corporation |
|
| CP01 | Change in the name or title of a patent holder |