CN106941491B - 用电信息采集系统的安全应用数据链路层设备及通信方法 - Google Patents
用电信息采集系统的安全应用数据链路层设备及通信方法 Download PDFInfo
- Publication number
- CN106941491B CN106941491B CN201710197813.8A CN201710197813A CN106941491B CN 106941491 B CN106941491 B CN 106941491B CN 201710197813 A CN201710197813 A CN 201710197813A CN 106941491 B CN106941491 B CN 106941491B
- Authority
- CN
- China
- Prior art keywords
- sal
- data frame
- data
- terminal
- session
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims abstract description 107
- 238000000034 method Methods 0.000 title claims abstract description 40
- 230000005611 electricity Effects 0.000 title description 14
- 230000003993 interaction Effects 0.000 claims abstract description 34
- 238000012545 processing Methods 0.000 claims description 13
- 238000004806 packaging method and process Methods 0.000 claims description 10
- 102100038591 Endothelial cell-selective adhesion molecule Human genes 0.000 claims description 8
- 101000882622 Homo sapiens Endothelial cell-selective adhesion molecule Proteins 0.000 claims description 8
- 238000005538 encapsulation Methods 0.000 claims description 8
- 238000012790 confirmation Methods 0.000 claims description 6
- 230000000977 initiatory effect Effects 0.000 claims description 6
- 230000005540 biological transmission Effects 0.000 description 3
- 238000010276 construction Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000001174 ascending effect Effects 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Abstract
本发明涉及的用电信息采集系统的安全应用数据链路层通信方法包括:终端组织安全应用数据链路层SAL登录、心跳报文以登录通信服务器;终端与采集服务器之间建立会话;采集服务器发起数据交互;终端上报数据;其中,在所述采集服务器发起数据交互过程以及终端上报数据过程中,终端与安全网关之间进行数据交互时利用SSL协议格式封装数据实现数据的加密保护,安全网关与采集服务器之间进行数据交互时利用APP协议格式封装数据实现数据的加密保护。本发明在现有的基于密钥及数字证书管理服务系统的应用层加密协议的基础上,建立了用电信息采集系统链路层加密保护通信方法,增加了用电信息采集系统的安全性。
Description
技术领域
本发明涉及信息安全领域,并且更具体地,涉及一种用电信息系统的安全应用数据链路层设备及通信方法。
背景技术
2009年以来,国家电网公司以“全覆盖、全采集、全费控”为建设目标,按照“统一规划、统一标准、统一实施”的原则推动用电信息采集系统建设。截至目前,已累计安装智能电能表3.84亿只,用电信息采集系统覆盖4亿多电力用户。目前,国家电网公司系统27个省公司的采集系统主站建设已全部完成并投入运行,采集数据在抄表收费、营业稽查、线损分析、业扩报装、故障抢修、有序用电、互动服务、电力交易、配电网运行与电能质量监测等多项业务中得到应用。
当前,用电信息采集系统信息集成度、融合度更高,系统依赖性更强,业务系统之间、业务系统与外界用户之间实时交互更加丰富与频繁,系统接入的终端数量庞大、类型多样,导致其运行环境的日趋复杂。而针对用电信息采集系统的攻击方式和强度也呈现出上升趋势。为了应对用电信息采集系统面临的安全风险和实际应用时会出现的具体情况,国家电网公司建设了统一的密钥及数字证书管理服务系统,研究了用电信息安全防护技术,并设计了电力用户用电信息采集系统的身份认证及加密传输协议,系统的安全性有了一定的提升。
然而,随着用电信息采集系统承担业务量和业务类型的不断增加,互联网中固有的安全漏洞和攻击方式对用电信息采集系统主站的影响日益显著,现有用电信息安全防护技术及相关协议已不能满足当前用电信息采集系统的安全性需求。
发明内容
为了解决上述问题,根据本发明的一个方面,提供了一种用电信息采集系统的安全应用数据链路层通信方法,包括:
终端组织安全应用数据链路层SAL登录、心跳报文以登录通信服务器;
终端与采集服务器之间建立会话;
采集服务器发起数据交互;
终端上报数据;
其中,在所述采集服务器发起数据交互过程以及终端上报数据过程中,终端与安全网关之间进行数据交互时利用SSL协议格式封装数据实现数据的加密保护,安全网关与采集服务器之间进行数据交互时利用APP协议格式封装数据实现数据的加密保护。
优选地,所述终端与采集服务器之间建立会话包括采集服务器主动发起会话以及终端请求发起会话。
优选地,所述终端组织安全应用数据链路层SAL登录、心跳报文登录通信服务器为:
终端组织安全应用数据链路层SAL登录、心跳报文,并将所述SAL登录、心跳报文发送至通信服务器;
通信服务器判断所述SAL登录、心跳报文的完整性及合法性,若所述 SAL登录、心跳报文不完整或不合法,则通信服务器组成否认应答SAL报文并发送至终端;若SAL登录、心跳报文完整且合法,则将所述SAL登录、心跳报文发送至安全网关;
安全网关判断所述SAL登录、心跳报文的完整性及合法性,若所述SAL 登录、心跳报文不完整或不合法,则安全网关组成否认应答SAL报文并发送至终端;若SAL登录、心跳报文完整且合法,则将数据编码标识符C_APP 的值改为1并将所述SAL登录、心跳报文封装为APP协议格式后发送至采集服务器;
采集服务器对所述封装后的SAL登录、心跳报文进行解封处理,然后生成APP协议格式的SAL登录响应报文并发送至安全网关;
安全网关判断所述SAL登录响应报文的完整性和合法性,若所述SAL 登录响应报文完整且合法,则将C_APP的值改为0并将所述APP协议格式的SAL登录响应报文转换为SSL格式,发送至通信服务器;
通信服务器根据所述SAL登录响应报文的目的地址,将所述SAL登录响应报文发送至对应的终端。
优选地,所述采集服务器主动发起会话为:
采集服务器将会话密钥协商数据进行加密形成私有命令并发送至安全网关,以通知安全网关向终端发送建立SAL会话的请求;
安全网关解密所述私有命令,获取会话密钥协商数据,将C_APP的值置为0,组成建立会话请求SAL数据帧并采用SSL协议格式封装后发送给通信服务器;
通信服务器根据所述建立会话请求SAL数据帧的目标地址,将建立会话请求SAL数据帧发送至目的地址对应的终端;
终端对所述建立会话请求SAL数据帧进行数据解析,并验证所述采集服务器身份,产生建立会话确认的数据并利用终端私钥进行加密,以组成建立会话应答SAL数据帧发送给通信服务器;
通信服务器检查所述建立会话应答SAL数据帧的完整性和合法性,若所述建立会话应答SAL数据帧不完整或不合法,则通信服务器组成否认应答SAL报文并发送至终端,若所述建立会话应答SAL数据帧完整且合法,则将所述建立会话应答SAL数据帧发送至安全网关;
安全网关判断所述建立会话应答SAL数据帧的完整性和合法性,若所述建立会话应答SAL数据帧完整且合法,则利用终端公钥解密所述建立会话应答SAL数据帧,将C_APP的值改为1并将得到建立会话确认的数据封装为APP协议格式后发送至采集服务器;
采集服务器接收到所述APP协议格式的建立会话确认的数据,解封并记录终端建立会话的结果。
优选地,所述终端请求发起会话为:
终端获取终端嵌入式安全控制(ESAM)芯片相关信息,组成请求建立会话SAL数据帧并封装为SSL协议格式后,发送给通信服务器;
通信服务器检测所述请求建立会话SAL数据帧的完整性和合法性,若所述请求建立会话SAL数据帧不完整或不合法,则通信服务器组成否认应答SAL报文并发送至终端;若请求建立会话SAL数据帧完整且合法,则将所述请求建立会话SAL数据帧发送至安全网关;
安全网关判断所述请求建立会话SAL数据帧的完整性及合法性,若所述请求建立会话SAL数据帧不完整或不合法,则安全网关组成否认应答SAL 报文并发送至终端;若请求建立会话SAL数据帧完整且合法,则将C_APP 的值改为1并将所述请求建立会话SAL数据帧封装为APP协议格式后发送至采集服务器;
采集服务器对所述封装后的请求建立会话SAL数据帧进行解封处理,组成确认/否认SAL应答帧,发送至安全网关;
安全网关将C_APP的值改为0,将确认/否认SAL应答帧封装为SSL协议格式后发送至通信服务器,通信服务器再将该封装后的确认/否认SAL应答帧发送至终端。
优选地,所述采集服务器发起数据交互为:
采集服务器组成明文1376.1/任务数据(OOP)数据帧并发送至安全网关;
安全网关检测所述明文1376.1/OOP数据帧的完整性及合法性,若所述明文1376.1/OOP数据帧完整且合法,将C_APP的值改为0,并将明文 1376.1/OOP数据帧进行基于终端的公钥进行加密并封装为SSL协议格式的 SAL数据帧,发送至通信服务器;
通信服务器根据SAL数据帧的目标地址,将所述SAL数据帧发送给相应的终端;
终端对SAL数据帧进行解密,得到明文1376.1/OOP数据帧,经过数据处理后组成明文1376.1/OOP应答数据帧,加密后组成SAL应答数据帧密文并发送至通信服务器;
通信服务器检测所述SAL应答数据帧密文的完整性及合法性,若所述 SAL应答数据帧密文完整且合法,则将所述SAL应答数据帧密文转发至安全网关;
安全网关检测所述SAL应答数据帧密文的完整性及合法性,若所述SAL 应答数据帧密文完整且合法,解密得到明文1376.1/OOP应答数据帧,将 C_APP的值改为1并将明文1376.1/OOP应答数据帧封装为APP协议格式的数据发送给采集服务器;
采集服务器接收到封装后的明文1376.1/OOP应答数据帧后,根据明文 1376.1/OOP应答数据帧进行处理。
所述OOP为任务数据,1376.1/OOP数据帧为符合Q/GDW1376.1-2012电力用户用电信息采集系统通信协议中第1部分:主站与采集终端通信协议任务数据帧。
优选地,所述终端上报数据为:
终端生成明文1376.1/OOP数据帧,加密后形成SAL数据帧密文发送至通信服务器;
通信服务器检测SAL数据帧密文的完整性及合法性,若所述SAL数据帧密文不完整或不合法,则通信服务器组成否认应答SAL报文并发送至终端;若SAL数据帧密文完整且合法,则将所述SAL数据帧密文发送至安全网关;
安全网关检测所述SAL数据帧密文的完整性及合法性,若所述SAL数据帧密文不完整或不合法,则安全网关组成否认应答SAL报文并发送至终端;若SAL数据帧密文完整且合法,则将SAL数据帧密文解密为明文 1376.1/OOP数据帧,将C_APP的值改为1并将所述明文1376.1/OOP数据帧封装为APP协议格式后发送至采集服务器;
采集服务器接收到封装后的明文1376.1/OOP数据帧后,根据明文 1376.1/OOP数据帧进行处理,组成明文1376.1/OOP应答数据帧发送至安全网关;
安全网关检测所述明文1376.1/OOP应答数据帧的完整性及合法性,若所述明文1376.1/OOP应答数据帧完整且合法,则将C_APP的值改为0,并将明文1376.1/OOP应答数据帧利用终端公钥进行加密并封装为SSL协议格式的SAL应答数据帧密文,发送至通信服务器;
通信服务器根据SAL应答数据帧密文的目标地址,将所述SAL应答数据帧密文发送给相应的终端;
终端接收SAL应答数据帧密文后进行解密得到明文1376.1/OOP应答数据帧,并根据明文1376.1/OOP应答数据帧内容进行数据处理。
优选地,当C_APP的值为0时,表示当前的数据帧为SSL协议格式封装,当C_APP的值为1时,表示当前的数据帧为APP格式封装。
优选地,所述终端ESAM芯片相关信息为终端序列号、通信协议版本号以及加密算法。
根据本发明的另一方面,提供一种用电信息采集系统的安全应用数据链路层设备,包括:
终端,用于组织心跳报文登录通信服务器、与采集服务器建立会话并进行数据交互以及进行上报数据;
通信服务器,用于检测终端与采集服务器之间进行建立会话和数据交互时产生的数据帧的完整性及合法性;
安全网关,用于检测终端与采集服务器之间进行建立会话和数据交互时产生的数据帧的完整性及合法性、对所述数据帧进行APP协议或SSL协议格式的封装以及加密解密;以及
采集服务器,用于与终端建立会话并进行数据交互以及进行数据处理。
本发明在现有的基于密钥及数字证书管理服务系统的应用层加密协议的基础上,建立了用电信息采集系统链路层加密保护通信方法,增加了用电信息采集系统的安全性。
附图说明
通过参考下面的附图,可以更为完整地理解本发明的示例性实施方式:
图1为根据本发明优选实施例的用电信息采集系统的安全应用数据链路层通信方法的流程图;
图2为根据本发明优选实施例的终端组织安全应用数据链路层SAL登录、心跳报文登录通信服务器的流程示意图;
图3为根据本发明优选实施例的采集服务器主动发起会话的流程示意图;
图4为根据本发明优选实施例的终端请求发起会话的流程示意图;
图5为根据本发明优选实施例的采集服务器发起数据交互的流程示意图;
图6为根据本发明优选实施例的终端上报数据的流程示意图;以及
图7为根据本发明优选实施例的用电信息采集系统的安全应用数据链路层设备结构示意图。
具体实施方式
现在参考附图介绍本发明的示例性实施方式,然而,本发明可以用许多不同的形式来实施,并且不局限于此处描述的实施例,提供这些实施例是为了详尽地且完全地公开本发明,并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中,相同的单元/元件使用相同的附图标记。
除非另有说明,此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外,可以理解的是,以通常使用的词典限定的术语,应当被理解为与其相关领域的语境具有一致的含义,而不应该被理解为理想化的或过于正式的意义。
图1为根据本发明优选实施例的用电信息采集系统的安全应用数据链路层通信方法的流程图。如图1所示,在方法100中,终端首先组织安全应用数据链路层SAL登录、心跳报文以登录通信服务器,然后建立终端与采集服务器之间的会话,随后由采集服务器发起数据交互,由终端上报数据,完成通信。其中,在所述采集服务器发起数据交互过程以及终端上报数据过程中,终端与安全网关之间进行数据交互时利用SSL协议格式封装数据实现数据的加密保护,安全网关与采集服务器之间进行数据交互时利用APP协议格式封装数据实现数据的加密保护。在安全网关与终端之间建立链路传输层的加密保护,保证了数据在终端和安全网关之间传输的安全性。优选地,终端与采集服务器之间建立会话包括采集服务器主动发起会话以及终端请求发起会话两种建立会话的方式。在实际使用中,用电信息采集系统将根据实际情况进行建立会话方式的选择。
图2为根据本发明优选实施例的终端组织安全应用数据链路层SAL登录帧和心跳报文登录通信服务器的流程示意图。如图2所示,终端首先组织安全应用数据链路层SAL登录、心跳报文,并将所述SAL登录、心跳报文发送至通信服务器;通信服务器接收到SAL登录、心跳报文后首先检查 SAL登录、心跳报文的完整性以及合法性,只有当SAL登录、心跳报文完整且合法时,通信服务器才会将SAL登录、心跳报文传输至安全网关,此时数据编码标识符C_APP的值为0,证明当前SAL登录、心跳报文为SSL 格式封装数据;当SAL登录、心跳报文不完整和/或不合法时,通信服务器组成否认应答SAL报文发送至终端,同时本次通信结束;通信服务器判断 SAL登录、心跳报文完整且合法时,将SAL登录、心跳报文发送至安全网关,安全网关接收到SAL登录、心跳报文后同样判断SAL登录、心跳报文的完整性及合法性,若SAL登录、心跳报文不完整和/或不合法,则由安全网关组成否认应答SAL报文并发送至终端;若SAL登录、心跳报文完整且合法,则将C_APP的值改为1并将所述SAL登录、心跳报文封装为APP协议格式后发送至采集服务器;采集服务器接收到封装后的SAL登录、心跳报文后进行解封处理,然后生成APP协议格式的SAL登录响应报文并发送至安全网关;安全网关接收到SAL登录响应报文后判断SAL登录响应报文的完整性和合法性,若SAL登录响应报文完整且合法,则将C_APP的值改为0并将APP协议格式的SAL登录响应报文转换为SSL格式,发送至通信服务器;通信服务器根据SAL登录响应报文的目的地址,将SAL登录响应报文发送至对应的终端,终端组织安全应用数据链路层SAL登录、心跳报文登录通信服务器操作完成。优选地,安全网关以及通信服务器对数据的完整性以及合法性判断的方法相同,均为通过检查数据帧的编码规则判断数据的合法性,通过检查数据长度来判断数据的完整性。
图3为根据本发明优选实施例的采集服务器主动发起会话的流程示意图。终端与采集服务器之间建立会话包括采集服务器主动发起会话以及终端请求发起会话。如图3所示,采集服务器主动发起会话时,首先将会话密钥协商数据进行加密形成私有命令并发送至安全网关,以通知安全网关向终端发送建立SAL会话的请求;安全网关接收到私有命令后,利用采集服务器的公钥解密私有命令,获取会话密钥协商数据,组成建立会话请求 SAL数据帧发送给通信服务器;通信服务器根据接收到的建立会话请求SAL 数据帧的目标地址,将建立会话请求SAL数据帧发送至目的地址对应的终端;终端对接收到的建立会话请求SAL数据帧进行数据解析,并验证采集服务器身份,产生建立会话确认的数据并利用终端ESAM芯片中包含的加密协议进行加密,以组成建立会话应答SAL数据帧发送给通信服务器;通信服务器接收到建立会话应答SAL数据帧后检查建立会话应答SAL数据帧的完整性和合法性,若建立会话应答SAL数据帧不完整或不合法,则通信服务器组成否认应答SAL报文并发送至终端,若建立会话应答SAL数据帧完整且合法,则将建立会话应答SAL数据帧发送至安全网关;安全网关接收到建立会话应答SAL数据帧后同样判断建立会话应答SAL数据帧的完整性和合法性,若建立会话应答SAL数据帧完整且合法,则利用终端ESAM芯片中包含的加密芯片的公钥进行解密建立会话应答SAL数据帧,将得到建立会话确认的数据并封装为APP协议格式后发送至采集服务器;采集服务器接收到所述APP协议格式的建立会话确认的数据,解封后记录终端建立会话的结果。优选地,验证采集服务器身份的方法为通过数字证书签名验签方式实现。
图4为根据本发明优选实施例的终端请求发起会话的流程示意图。图图4所示,终端请求发起会话时,首先获取终端嵌入式安全控制(ESAM) 芯片相关信息,组成请求建立会话SAL数据帧,发送给通信服务器;通信服务器接收到请求建立会话SAL数据帧后检测其完整性和合法性,若请求建立会话SAL数据帧不完整或不合法,则通信服务器组成否认应答SAL报文并发送至终端,终端请求发起会话流程结束;若请求建立会话SAL数据帧完整且合法,则将请求建立会话SAL数据帧发送至安全网关;安全网关接收到请求建立会话SAL数据帧后判断其完整性及合法性,若请求建立会话SAL数据帧不完整或不合法,则安全网关组成否认应答SAL报文并发送至终端,终端请求发起会话流程结束;若请求建立会话SAL数据帧完整且合法,则将C_APP的值改为1并将所述请求建立会话SAL数据帧封装为APP 协议格式后发送至采集服务器;采集服务器对封装后的请求建立会话SAL 数据帧进行解封处理,并根据实际情况组成确认SAL应答帧或者否认SAL 应答帧,发送至安全网关;安全网关接收到确认SAL应答帧或者否认SAL 应答帧后,将C_APP的值改为0,并将确认SAL应答帧或者否认SAL应答帧封装为SSL协议格式后发送至通信服务器,通信服务器再将该封装后的确认SAL应答帧或者否认SAL应答帧发送至终端。优选地,终端ESAM芯片相关信息为终端序列号、通信协议版本号以及加密算法。
图5为根据本发明优选实施例的采集服务器发起数据交互的流程示意图。终端与采集服务器建立会话后,由采集服务器发起数据交互,如图5 所示,采集服务器首先组成明文1376.1/OOP数据帧并发送至安全网关,这里的OOP是指任务数据,1376.1/OOP数据帧为符合Q/GDW1376.1-2012电力用户用电信息采集系统通信协议中第1部分:主站与采集终端通信协议任务数据帧;安全网关检测接收到的明文1376.1/OOP数据帧的完整性及合法性,若明文1376.1/OOP数据帧完整且合法,将C_APP的值改为0,并将明文1376.1/OOP数据帧进行利用终端的公钥进行加密并封装为SSL协议格式的SAL数据帧,发送至通信服务器;通信服务器则根据SAL数据帧的目标地址,将所述SAL数据帧发送给相应的终端;终端对接收到的SAL数据帧通过终端私钥进行解密,得到明文1376.1/OOP数据帧,经过数据处理后组成明文1376.1/OOP应答数据帧,经过终端的私钥加密后组成SAL应答数据帧密文并发送至通信服务器;通信服务器检测接收到的SAL应答数据帧密文的完整性及合法性,当SAL应答数据帧密文完整且合法时,将SAL应答数据帧密文转发至安全网关;安全网关检测接收到的SAL应答数据帧密文的完整性及合法性,若SAL应答数据帧密文完整且合法,则利用终端的公钥对SAL应答数据帧密文进行解密得到明文1376.1/OOP应答数据帧,将 C_APP的值改为1并将明文1376.1/OOP应答数据帧封装为APP协议格式的数据发送给采集服务器;采集服务器接收到封装后的明文1376.1/OOP应答数据帧后,根据明文1376.1/OOP应答数据帧进行处理。
图6为根据本发明优选实施例的终端上报数据的流程示意图。如图6 所示,终端上报数据时,首先生成明文1376.1/OOP数据帧,经过终端私钥加密后形成SAL数据帧密文发送至通信服务器;通信服务器检测接收到的 SAL数据帧密文的完整性及合法性,若SAL数据帧密文不完整或不合法,则通信服务器组成否认应答SAL报文并发送至终端,终端上报数据流程结束;若SAL数据帧密文完整且合法,则将SAL数据帧密文发送至安全网关;安全网关检测接收到的SAL数据帧密文的完整性及合法性,若SAL数据帧密文不完整或不合法,则安全网关组成否认应答SAL报文并发送至终端,终端上报数据流程结束;若SAL数据帧密文完整且合法,则将SAL数据帧密文利用终端公钥解密为明文1376.1/OOP数据帧,将C_APP的值改为1并将明文1376.1/OOP数据帧封装为APP协议格式后发送至采集服务器;采集服务器接收到封装后的明文1376.1/OOP数据帧后,根据明文1376.1/OOP 数据帧进行处理,组成明文1376.1/OOP应答数据帧发送至安全网关;安全网关检测接收到的明文1376.1/OOP应答数据帧的完整性及合法性,若明文 1376.1/OOP应答数据帧完整且合法,则将C_APP的值改为0,并将明文 1376.1/OOP应答数据帧利用终端的公钥进行加密并封装为SSL协议格式的 SAL应答数据帧密文,发送至通信服务器;通信服务器根据SAL应答数据帧密文的目标地址,将SAL应答数据帧密文发送给相应的终端;终端接收 SAL应答数据帧密文后进行解密得到明文1376.1/OOP应答数据帧,并根据明文1376.1/OOP应答数据帧内容进行数据处理。
图7为根据本发明优选实施例的用电信息采集系统的安全应用数据链路层设备结构示意图。如图7所示,用电信息采集系统的安全应用数据链路层设备700包括终端701、通信服务器702、安全网关703以及采集服务器704,其中终端701的个数在不超过采集服务器704的采集限制内可以为多个。优选地,终端701用于组织心跳报文登录通信服务器702、与采集服务器704建立会话并进行数据交互以及进行上报数据。优选地,通信服务器702用于检测终端701与采集服务器703之间进行建立会话和数据交互时产生的数据帧的完整性及合法性。优选地,安全网关703用于检测终端701与采集服务器704之间进行建立会话和数据交互时产生的数据帧的完整性及合法性、对数据帧进行APP协议或SSL协议格式的封装以及加密解密。优选地,采集服务器704用于与终端701建立会话并进行数据交互以及进行数据处理。
已经通过参考少量实施方式描述了本发明。然而,本领域技术人员所公知的,正如附带的专利权利要求所限定的,除了本发明以上公开的其他的实施例等同地落在本发明的范围内。
通常地,在权利要求中使用的所有术语都根据他们在技术领域的通常含义被解释,除非在其中被另外明确地定义。所有的参考“一个/所述/该[装置、组件等]”都被开放地解释为所述装置、组件等中的至少一个实例,除非另外明确地说明。这里公开的任何方法的步骤都没必要以公开的准确的顺序运行,除非明确地说明。
Claims (9)
1.一种用电信息采集系统的安全应用数据链路层通信方法,包括:
终端组织安全应用数据链路层SAL登录、心跳报文以登录通信服务器:
终端组织安全应用数据链路层SAL登录、心跳报文,并将所述SAL登录、心跳报文发送至通信服务器;
通信服务器判断所述SAL登录、心跳报文的完整性及合法性,
若所述SAL登录、心跳报文不完整或不合法,则通信服务器组成否认应答SAL报文并发送至终端;
若所述SAL登录、心跳报文完整且合法,则将所述SAL登录、心跳报文发送至安全网关;
安全网关判断所述SAL登录、心跳报文的完整性及合法性,
若所述SAL登录、心跳报文不完整或不合法,则安全网关组成否认应答SAL报文并发送至终端;
若所述SAL登录、心跳报文完整且合法,则将数据编码标识符C_APP的值改为1,并将所述SAL登录、心跳报文封装为APP协议格式后发送至采集服务器;
采集服务器对所述封装后的SAL登录、心跳报文进行解封处理,然后生成APP协议格式的SAL登录响应报文并发送至安全网关;
安全网关判断所述SAL登录响应报文的完整性和合法性,
若所述SAL登录响应报文完整且合法,则将C_APP的值改为0并将所述APP协议格式的SAL登录响应报文转换为SSL格式,发送至通信服务器;
通信服务器根据所述SAL登录响应报文的目的地址,将所述SAL登录响应报文发送至对应的终端;
终端与采集服务器之间建立会话;
采集服务器发起数据交互;
终端上报数据;
其中,在所述采集服务器发起数据交互过程以及终端上报数据过程中,
终端与安全网关之间进行数据交互时,利用SSL协议格式封装数据实现数据的加密保护,
安全网关与采集服务器之间进行数据交互时,利用APP协议格式封装数据实现数据的加密保护。
2.根据权利要求1所述的方法,其特征在于,所述终端与采集服务器之间建立会话包括:
采集服务器主动发起会话以及终端请求发起会话。
3.根据权利要求2所述的方法,其特征在于,所述采集服务器主动发起会话为:
采集服务器将会话密钥协商数据进行加密,形成私有命令并发送至安全网关,以通知安全网关向终端发送建立SAL会话的请求;
安全网关解密所述私有命令,获取会话密钥协商数据,将C_APP的值置为0,组成建立会话请求SAL数据帧并采用SSL协议格式封装后发送给通信服务器;
通信服务器根据所述建立会话请求SAL数据帧的目标地址,将建立会话请求SAL数据帧发送至目的地址对应的终端;
终端对所述建立会话请求SAL数据帧进行数据解析,并验证所述采集服务器身份,产生建立会话确认的数据并利用终端私钥进行加密,以组成建立会话应答SAL数据帧发送给通信服务器;
通信服务器检查所述建立会话应答SAL数据帧的完整性和合法性,若所述建立会话应答SAL数据帧不完整或不合法,则通信服务器组成否认应答SAL报文并发送至终端,若所述建立会话应答SAL数据帧完整且合法,则将所述建立会话应答SAL数据帧发送至安全网关;
安全网关判断所述建立会话应答SAL数据帧的完整性和合法性,若所述建立会话应答SAL数据帧完整且合法,则利用终端公钥解密所述建立会话应答SAL数据帧,将C_APP的值改为1并将得到建立会话确认的数据封装为APP协议格式后发送至采集服务器;
采集服务器接收到所述APP协议格式的建立会话确认的数据,解封并记录终端建立会话的结果。
4.根据权利要求2所述的方法,其特征在于,所述终端请求发起会话为:
终端获取终端的嵌入式安全控制(ESAM)芯片相关信息,
组成请求建立会话SAL数据帧并封装为SSL协议格式后,发送给通信服务器;
通信服务器检测所述请求建立会话SAL数据帧的完整性和合法性,若所述请求建立会话SAL数据帧不完整或不合法,则通信服务器组成否认应答SAL报文并发送至终端;若请求建立会话SAL数据帧完整且合法,则将所述请求建立会话SAL数据帧发送至安全网关;
安全网关判断所述请求建立会话SAL数据帧的完整性及合法性,若所述请求建立会话SAL数据帧不完整或不合法,则安全网关组成否认应答SAL报文并发送至终端;若请求建立会话SAL数据帧完整且合法,则将C_APP的值改为1并将所述请求建立会话SAL数据帧封装为APP协议格式后发送至采集服务器;
采集服务器对所述封装后的请求建立会话SAL数据帧进行解封处理,组成确认/否认SAL应答帧,发送至安全网关;
安全网关将C_APP的值改为0,将确认/否认SAL应答帧封装为SSL协议格式后发送至通信服务器,通信服务器再将该封装后的确认/否认SAL应答帧发送至终端。
5.根据权利要求1所述的方法,其特征在于,所述采集服务器发起数据交互为:
采集服务器组成明文1376.1/任务数据(OOP)数据帧并发送至安全网关;
安全网关检测所述明文1376.1/OOP数据帧的完整性及合法性,若所述明文1376.1/OOP数据帧完整且合法,将C_APP的值改为0,并将明文1376.1/OOP数据帧进行基于终端的公钥进行加密并封装为SSL协议格式的SAL数据帧,发送至通信服务器;
通信服务器根据SAL数据帧的目标地址,将所述SAL数据帧发送给相应的终端;
终端对SAL数据帧进行解密,得到明文1376.1/OOP数据帧,经过数据处理后组成明文1376.1/OOP应答数据帧,加密后组成SAL应答数据帧密文并发送至通信服务器;
通信服务器检测所述SAL应答数据帧密文的完整性及合法性,若所述SAL应答数据帧密文完整且合法,则将所述SAL应答数据帧密文转发至安全网关;
安全网关检测所述SAL应答数据帧密文的完整性及合法性,若所述SAL应答数据帧密文完整且合法,解密得到明文1376.1/OOP应答数据帧,将C_APP的值改为1并将明文1376.1/OOP应答数据帧封装为APP协议格式的数据发送给采集服务器;
采集服务器接收到封装后的明文1376.1/OOP应答数据帧后,根据明文1376.1/OOP应答数据帧进行处理。
6.根据权利要求1所述的方法,其特征在于,所述终端上报数据为:
终端生成明文1376.1/OOP数据帧,加密后形成SAL数据帧密文发送至通信服务器;
通信服务器检测SAL数据帧密文的完整性及合法性,若所述SAL数据帧密文不完整或不合法,则通信服务器组成否认应答SAL报文并发送至终端;若SAL数据帧密文完整且合法,则将所述SAL数据帧密文发送至安全网关;
安全网关检测所述SAL数据帧密文的完整性及合法性,若所述SAL数据帧密文不完整或不合法,则安全网关组成否认应答SAL报文并发送至终端;若SAL数据帧密文完整且合法,则将SAL数据帧密文解密为明文1376.1/OOP数据帧,将C_APP的值改为1并将所述明文1376.1/OOP数据帧封装为APP协议格式后发送至采集服务器;
采集服务器接收到封装后的明文1376.1/OOP数据帧后,根据明文1376.1/OOP数据帧进行处理,组成明文1376.1/OOP应答数据帧发送至安全网关;
安全网关检测所述明文1376.1/OOP应答数据帧的完整性及合法性,若所述明文1376.1/OOP应答数据帧完整且合法,则将C_APP的值改为0,并将明文1376.1/OOP应答数据帧利用终端公钥进行加密并封装为SSL协议格式的SAL应答数据帧密文,发送至通信服务器;
通信服务器根据SAL应答数据帧密文的目标地址,将所述SAL应答数据帧密文发送给相应的终端;
终端接收SAL应答数据帧密文后进行解密得到明文1376.1/OOP应答数据帧,并根据明文1376.1/OOP应答数据帧内容进行数据处理。
7.根据权利要求1、3、4、5、6中任意一项所述的方法,其特征在于,
当C_APP的值为0时,表示当前的数据帧为SSL协议格式封装,
当C_APP的值为1时,表示当前的数据帧为APP格式封装。
8.根据权利要求4所述的方法,其特征在于,
所述终端的嵌入式安全控制(ESAM)芯片相关信息为终端序列号、通信协议版本号以及加密算法。
9.一种用电信息采集系统的安全应用数据链路层设备,包括:
终端,用于根据权利要求1所述的方法,组织心跳报文登录通信服务器、与采集服务器建立会话并进行数据交互以及进行上报数据;
通信服务器,用于根据权利要求1所述的方法,检测终端与采集服务器之间进行建立会话和数据交互时产生的数据帧的完整性及合法性;
安全网关,用于根据权利要求1所述的方法,检测终端与采集服务器之间进行建立会话和数据交互时产生的数据帧的完整性及合法性、对所述数据帧进行APP协议或SSL协议格式的封装以及加密解密;以及
采集服务器,用于根据权利要求1所述的方法,与终端建立会话并进行数据交互以及进行数据处理。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710197813.8A CN106941491B (zh) | 2017-03-29 | 2017-03-29 | 用电信息采集系统的安全应用数据链路层设备及通信方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710197813.8A CN106941491B (zh) | 2017-03-29 | 2017-03-29 | 用电信息采集系统的安全应用数据链路层设备及通信方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106941491A CN106941491A (zh) | 2017-07-11 |
CN106941491B true CN106941491B (zh) | 2020-08-21 |
Family
ID=59463947
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710197813.8A Active CN106941491B (zh) | 2017-03-29 | 2017-03-29 | 用电信息采集系统的安全应用数据链路层设备及通信方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106941491B (zh) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107634889B (zh) * | 2017-10-17 | 2019-12-03 | 珠海格力电器股份有限公司 | 一种设备智能协同方法及装置 |
CN108769072B (zh) * | 2018-07-03 | 2021-11-09 | 湖北文理学院 | 建立连接的方法、装置以及通信系统 |
CN109309688B (zh) * | 2018-12-04 | 2021-07-27 | 长园深瑞继保自动化有限公司 | 基于云监控及数据加密传输的新能源电站运行控制方法 |
CN109615742B (zh) * | 2018-12-11 | 2020-12-01 | 深圳市万物云科技有限公司 | 一种基于LoRaWAN的无线门禁控制方法及装置 |
CN110111094A (zh) * | 2019-05-17 | 2019-08-09 | 充之鸟(深圳)新能源科技有限公司 | 充电桩运营商与物业之间电费自动结算系统和方法 |
CN110225004B (zh) * | 2019-05-24 | 2021-11-09 | 武汉虹信技术服务有限责任公司 | 一种用于社区安防弱电子系统的数据采集系统及方法 |
CN110278280A (zh) * | 2019-06-27 | 2019-09-24 | 江苏中海昇物联科技有限公司 | 基于物联网的工地数据整合系统及整合方法 |
CN114422256B (zh) * | 2022-01-24 | 2023-11-17 | 南京南瑞信息通信科技有限公司 | 一种基于ssal/ssl协议的高性能安全接入方法及装置 |
CN116074048B (zh) * | 2022-12-20 | 2023-11-14 | 广州辰创科技发展有限公司 | 一种高速物联智能网关设备系统 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102111265A (zh) * | 2011-01-13 | 2011-06-29 | 中国电力科学研究院 | 一种电力系统采集终端的安全芯片加密方法 |
WO2012097489A1 (zh) * | 2011-01-19 | 2012-07-26 | 四川电力科学研究院 | 一种智能电能表集中充值终端及其控制方法 |
CN104123134A (zh) * | 2014-07-07 | 2014-10-29 | 四川中电启明星信息技术有限公司 | 基于ami与j2ee的智能用电数据管理方法及系统 |
CN104243595A (zh) * | 2014-09-24 | 2014-12-24 | 国家电网公司 | 一种基于IPv6的用电信息采集系统及其方法 |
WO2015192174A1 (en) * | 2014-06-20 | 2015-12-23 | Kortek Industries Pty Ltd | Wireless power control, metrics and management |
CN106411907A (zh) * | 2016-10-13 | 2017-02-15 | 广西咪付网络技术有限公司 | 一种数据传输方法和系统 |
-
2017
- 2017-03-29 CN CN201710197813.8A patent/CN106941491B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102111265A (zh) * | 2011-01-13 | 2011-06-29 | 中国电力科学研究院 | 一种电力系统采集终端的安全芯片加密方法 |
WO2012097489A1 (zh) * | 2011-01-19 | 2012-07-26 | 四川电力科学研究院 | 一种智能电能表集中充值终端及其控制方法 |
WO2015192174A1 (en) * | 2014-06-20 | 2015-12-23 | Kortek Industries Pty Ltd | Wireless power control, metrics and management |
CN104123134A (zh) * | 2014-07-07 | 2014-10-29 | 四川中电启明星信息技术有限公司 | 基于ami与j2ee的智能用电数据管理方法及系统 |
CN104243595A (zh) * | 2014-09-24 | 2014-12-24 | 国家电网公司 | 一种基于IPv6的用电信息采集系统及其方法 |
CN106411907A (zh) * | 2016-10-13 | 2017-02-15 | 广西咪付网络技术有限公司 | 一种数据传输方法和系统 |
Non-Patent Citations (1)
Title |
---|
面向用电信息采集系统的双向认证协议;赵兵,高欣,翟峰,陈鹏,王鑫;《电网技术》;20140930;第38卷(第9期);第2328-2335页 * |
Also Published As
Publication number | Publication date |
---|---|
CN106941491A (zh) | 2017-07-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106941491B (zh) | 用电信息采集系统的安全应用数据链路层设备及通信方法 | |
EP2590356B1 (en) | Method, device and system for authenticating gateway, node and server | |
CN109088870B (zh) | 一种新能源厂站发电单元采集终端安全接入平台的方法 | |
CN106789015B (zh) | 一种智能配电网通信安全系统 | |
CN103001771B (zh) | 一种计量自动化系统数据传输安全加密方法 | |
CN110636052B (zh) | 用电数据传输系统 | |
CN103095696A (zh) | 一种适用于用电信息采集系统的身份认证和密钥协商方法 | |
CN109714360B (zh) | 一种智能网关及网关通信处理方法 | |
US9900296B2 (en) | Securing communication within a network endpoint | |
CN103026657A (zh) | 用于防操纵地提供密钥证书的方法和设备 | |
WO2015003512A1 (zh) | 集中器、电表及其消息处理方法 | |
CN112422560A (zh) | 基于安全套接层的轻量级变电站安全通信方法及系统 | |
CN112134849B (zh) | 一种智能变电站的动态可信加密通信方法及系统 | |
CN103647788A (zh) | 一种智能电网中的节点安全认证方法 | |
CN111988328A (zh) | 一种新能源厂站发电单元采集终端数据安全保障方法及系统 | |
CN114866245A (zh) | 一种基于区块链的电力数据采集方法及系统 | |
CN111064752B (zh) | 一种基于公网的预置密钥共享系统及方法 | |
CN104994107A (zh) | 一种基于iec62351的mms报文离线分析方法 | |
CN110278077B (zh) | 一种用于获取电能表数据信息的方法、装置、设备及存储介质 | |
CN110913391A (zh) | 一种多数据源通信加解密系统及方法 | |
CN105187453A (zh) | 一种故障指示器的安全加密通信方法 | |
CN110572352A (zh) | 一种智能配网安全接入平台及其实现方法 | |
CN114157509A (zh) | 基于国密算法具备SSL和IPsec的加密方法及装置 | |
CN102143174A (zh) | 内外网主机之间远程控制的方法及系统 | |
CN103414707A (zh) | 报文接入处理方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |