CN108900540B - 一种基于双重加密的配电终端的业务数据处理方法 - Google Patents
一种基于双重加密的配电终端的业务数据处理方法 Download PDFInfo
- Publication number
- CN108900540B CN108900540B CN201810908372.2A CN201810908372A CN108900540B CN 108900540 B CN108900540 B CN 108900540B CN 201810908372 A CN201810908372 A CN 201810908372A CN 108900540 B CN108900540 B CN 108900540B
- Authority
- CN
- China
- Prior art keywords
- ipsec
- protocol
- data
- ciphertext
- processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0478—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying multiple layers of encryption, e.g. nested tunnels or encrypting the content with a first key and then with at least a second key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Abstract
本申请公开了一种基于双重加密的配电终端的业务数据处理方法,通过对接收到的报文进行IPSec协议的认证和解密处理,再在应用层进行身份认证操作和数据解密操作,保持数据不被泄露,避免配电系统网络不被恶意侵入,使配电终端所接收到的报文是安全的设备所发送的报文,避免出现伪装设备与配电终端进行数据通信等恶意攻击的情况。对配电终端的业务数据处理过程中实现了在网络层和应用层的双重防护,提高了配电终端的安全防护性能,避免了出现被恶意攻击的情况。本申请还公开了一种配电终端的数据加密方法、业务数据处理系统、数据加密系统、配电终端以及计算机可读存储介质,具有上述有益效果。
Description
技术领域
本申请涉及配电自动化技术领域,特别涉及一种基于双重加密的配电终端的业务数据处理方法、配电终端的数据加密方法、业务数据处理系统、数据加密系统、配电终端以及计算机可读存储介质。
背景技术
随着电力技术的不断发展,出现了配电网的自动化系统,提高了电网使用时的配电效率。配电自动化系统基于配电主站和配电终端,在配电网中配电主站和配电终端之间通过专用通信光纤进行连接,以保证配电主站与配电终端之间的通信安全。
在不能铺设专用通讯光纤的地区,只能采用无线公网的方式进行数据传输。但通过公网传输电网信息以及控制指令,会使配电系统面临来自公共网络攻击的风险。恶意的攻击者可以通过攻击公用通信网络,窃取电力敏感数据以分析网架薄弱环节,甚至通过子站终端入侵主站,控制前置机以伪造遥控指令,最终造成大面积停电事故,进而造成严重的破坏性事件。一般的,现有技术对公网数据提供的加密方法是基于特定的加密硬件对数据实现加密,但是现有技术提供的加密方法只在一个层次中对数据进行加密,加密效果不佳,容易被恶意破解。
同时,即使是通过专用的光纤网络连接配电系统中的配电主站和配电终端,但是如果数据在传输过程中未进行加密或执行的加密处理效果不佳,所传输的数据也很容易被获取,从而对配电系统进行大规模的入侵,造成大范围的安全威胁。
因此,如何提高配电系统中的数据传输安全是本领域技术人员所关注的重点问题。
发明内容
本申请的目的是提供一种基于双重加密的配电终端的业务数据处理方法、配电终端的数据加密方法、业务数据处理系统、数据加密系统、配电终端以及计算机可读存储介质,通过在网络层和应用层进行双重加密解密认证,实现了对传输数据的双重加密,提高了终端的安全防护等级,避免了恶意入侵的问题。
为解决上述技术问题,本申请提供一种基于双重加密的配电终端的业务数据处理方法,包括:
安全芯片通过协议栈对接收到的IPSec隧道报文进行规约解析处理得到IPSec加密报文,根据IPSec协议和所述IPSec加密报文进行IPSec身份认证处理;
当所述IPSec身份认证处理通过时,根据IPSec协议对所述IPSec加密报文进行解密得到传输层数据,并通过所述协议栈对传输层数据进行规约解析处理,得到应用层101/104规约安全密文;
将所述应用层101/104规约安全密文发送至主控芯片,以使所述主控芯片对所述应用层101/104规约安全密文进行解封装得到业务数据密文,将所述业务数据密文发送至所述安全芯片;
根据所述业务数据密文进行应用层身份认证处理;
当所述应用层身份认证处理通过时,根据预设保护密钥对所述业务数据密文进行解密得到业务数据明文;
将所述业务数据明文发送至所述主控芯片,以使所述主控芯片根据所述业务数据明文进行业务处理。
可选的,安全芯片通过协议栈对接收到的IPSec隧道报文进行规约解析处理得到IPSec加密报文,根据IPSec协议和所述IPSec加密报文进行IPSec身份认证处理,包括:
所述安全芯片接收到通信装置发送的IPSec隧道报文;
根据所述协议栈对所述IPSec隧道报文进行规约解析处理,得到IPSec加密报文;
根据所述IPSec协议对所述IPSec加密报文进行IPSec身份认证处理。
可选的,当所述IPSec身份认证通过时,根据IPSec协议对所述IPSec加密报文进行解密得到传输层数据,并通过所述协议栈对传输层数据进行规约解析处理,得到应用层101/104规约安全密文,包括:
根据IPSec协议栈对所述业务数据密文进行规约处理,得到传输层数据;
当所述IPSec身份认证通过时,根据IPSec协议生成会话密钥;
根据所述会话密钥对所述IPSec加密报文进行解密得到传输层数据,通过所述协议栈对所述传输层数据进行规约解析处理,得到应用层101/104规约安全密文。
本申请还提供一种配电终端的数据加密方法,包括:
安全芯片根据预设保护密钥将主控芯片发送的业务数据明文进行加密,得到加密密文;
将所述加密密文发送至主控芯片,以使所述主控芯片对所述加密密文进行业务数据密文封装,将封装得到的业务数据密文发送至所述安全芯片;
根据IPSec协议和协议栈对所述业务数据密文进行规约解析处理和加密封装处理,得到IPSec隧道报文;
将所述IPSec隧道报文发送至通信装置。
可选的,根据IPSec协议和协议栈对所述业务数据密文进行规约解析处理和加密封装处理,得到IPSec隧道报文,包括:
根据IPSec协议生成会话密钥;
根据所述会话密钥对所述业务数据密文进行加密得到加密业务数据密文;
根据所述协议栈对所述加密业务数据密文进行封装得到所述IPSec隧道报文。
本申请还提供一种业务数据处理系统,包括:
IPSec身份认证模块,用于根通过协议栈对接收到的IPSec隧道报文进行规约解析处理得到IPSec加密报文,根据IPSec协议和所述IPSec加密报文进行IPSec身份认证处理;
IPSec解密模块,用于当所述IPSec身份认证通过时,根据IPSec协议对所述IPSec加密报文进行解密得到传输层数据,并通过所述协议栈对传输层数据进行规约解析处理,得到应用层101/104规约安全密文;
解密密文解析模块,用于将所述应用层101/104规约安全密文发送至主控芯片,以使所述主控芯片对所述应用层101/104规约安全密文进行解封装得到业务数据密文,将所述业务数据密文发送至所述安全芯片;
应用层身份认证模块,用于根据所述业务数据密文进行应用层身份认证处理;
应用层解密模块,用于当所述应用层身份认证处理通过时,根据预设保护密钥对所述业务数据密文进行解密得到业务数据明文;
明文发送模块,用于将所述业务数据明文发送至所述主控芯片,以使所述主控芯片根据所述业务数据明文进行业务处理。
可选的,所述IPSec身份认证模块,包括:
报文接收单元,用于接收到通信装置发送的IPSec隧道报文;
报文解析单元,用于根据所述协议栈对所述IPSec隧道报文进行规约解析处理,得到IPSec加密报文;
IPSec身份认证单元,用于根据所述IPSec协议对所述IPSec加密报文进行IPSec身份认证处理。
本申请还提供一种数据加密系统,包括:
明文数据加密模块,用于根据预设保护密钥将主控芯片发送的业务数据明文进行加密,得到加密密文。
数据封装模块,用于将所述加密密文发送至主控芯片,以使所述主控芯片对所述加密密文进行业务数据密文封装,将封装得到的业务数据密文发送至所述安全芯片;
IPSec数据加密模块,用于根据IPSec协议和协议栈对所述业务数据密文进行规约解析处理和加密封装处理,得到IPSec隧道报文;
报文发送模块,用于将所述IPSec隧道报文发送至通信装置。
本申请还提供一种配电终端,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上所述的业务数据处理方法的步骤和/或如上所述的数据加密方法的步骤。
本申请还提供一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的业务数据处理方法的步骤和/或如上所述的数据加密方法的步骤。
本申请所提供的一种基于双重加密的配电终端的业务数据处理方法,包括:安全芯片通过协议栈对接收到的IPSec隧道报文进行规约解析处理得到IPSec加密报文,根据IPSec协议和所述IPSec加密报文进行IPSec身份认证处理;当所述IPSec身份认证处理通过时,根据IPSec协议对所述IPSec加密报文进行解密得到传输层数据,并通过所述协议栈对传输层数据进行规约解析处理,得到应用层101/104规约安全密文;将所述应用层101/104规约安全密文发送至主控芯片,以使所述主控芯片对所述应用层101/104规约安全密文进行解封装得到业务数据密文,将所述业务数据密文发送至所述安全芯片;根据所述业务数据密文进行应用层身份认证处理;当所述应用层身份认证处理通过时,根据预设保护密钥对所述业务数据密文进行解密得到业务数据明文;将所述业务数据明文发送至所述主控芯片,以使所述主控芯片根据所述业务数据明文进行业务处理。
通过对接收到的报文进行IPSec协议的认证和解密处理,再在应用层进行身份认证操作和数据解密操作,保持数据不被泄露,避免配电系统网络不被恶意侵入,使配电终端所接收到的报文是安全的设备所发送的报文,避免出现伪装设备与配电终端进行数据通信等恶意攻击的情况。对配电终端的业务数据处理过程实现了在网络层和应用层的双重防护,提高了配电终端的安全防护性能,避免了出现被恶意攻击的情况。
本申请还提供一种配电终端的数据加密方法、业务数据处理系统、数据加密系统、配电终端以及计算机可读存储介质,具有上述有益效果,在此不做赘述。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例所提供的一种基于双重加密的配电终端的业务数据处理方法的流程图;
图2为本申请实施例所提供的一种配电终端的数据加密方法的流程图;
图3为本申请实施例所提供的一种业务数据处理系统的结构示意图;
图4为本申请实施例所提供的一种数据加密系统的结构示意图。
具体实施方式
本申请的核心是提供一种基于双重加密的配电终端的业务数据处理方法、配电终端的数据加密方法、业务数据处理系统、数据加密系统、配电终端以及计算机可读存储介质,通过在网络层和应用层进行双重加密解密认证,实现了对终端的双重加密,提高了终端的安全防护等级,避免了恶意入侵的问题。
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
现有技术中,在终端进行业务数据处理过程中,一般由于只在网络层或应用层进行安全防护操作,也就是单重的认证和加密,安全等级不高,当出现恶意攻击时,容易出现配电系统被恶意破解的情况。
因此,本实施例提供一种基于双重加密的配电终端的业务数据处理方法,通过对接收到的报文进行IPSec协议的认证和解密处理,再在应用层进行身份认证操作和数据解密操作,保持数据不被泄露,避免配电系统网络不被恶意侵入,使配电终端所接收到的报文是安全设备所发送的报文,避免出现伪装设备与配电终端进行数据通信等恶意攻击的情况。对配电终端的业务数据处理过程中实现了在网络层和应用层的双重防护,提高了配电终端的安全防护性能,避免了出现被恶意攻击的情况。
具体的,请参考图1,图1为本申请实施例所提供的一种基于双重加密的配电终端的业务数据处理方法的流程图。
该方法可以包括:
S101,安全芯片通过协议栈对接收到的IPSec隧道报文进行规约解析处理得到IPSec加密报文,根据IPSec协议和IPSec加密报文进行IPSec身份认证处理;
本步骤旨在当接收到IPSec隧道报文时,安全芯片先对IPSec隧道报文进行剥离,也即规约解析处理,再根据IPSec协议和报文进行IPSec身份认证处理,也就是在网络层基于IPSec协议进行网络层的身份认证操作。其中,IPSec隧道报文就是正常接收到的在IPSec隧道中的报文数据,相对应的该报文数据的发送方也是根据IPSec协议向该配电终端发送相应的加密消息。
其中,本步骤获取到的IPSec加密报文是网络层的报文。根据该网络层的报文进行身份认证处理,保持在网络层进行通信时不被恶意设备入侵,防止恶意设备在网络层向配电终端发送恶意消息。
其中,协议栈是将对数据进行剥离、封装的协议进行堆放的堆栈。本步骤中是通过TCP/IP协议对IPSec隧道报文进行剥离,得到IP层数据,也就是IPSec加密报文。
其中,本步骤所进行的IPSec身份认证处理可以采用现有技术提供的任意一种IPSec身份认证的方法,在此不做具体限定。
可选的,本步骤可以包括:
步骤一、安全芯片接收到通信装置发送的IPSec隧道报文;
步骤二、根据协议栈对IPSec隧道报文进行规约解析处理,得到IPSec加密报文;
步骤三、根据IPSec协议对IPSec加密报文进行IPSec身份认证处理。
S102,当IPSec身份认证处理通过时,根据IPSec协议对IPSec加密报文进行解密得到传输层数据,并通过协议栈对传输层数据进行规约解析处理,得到应用层101/104规约安全密文;
在步骤S101的基础上,本步骤旨在当IPSec身份认证处理通过时,根据IPSec协议对IPSec加密报文进行解密得到传输层数据,并通过协议栈对传输层数据进行规约解析处理,得到应用层101/104规约安全密文。通过本步骤将网络层的加密数据进行解密,对解密后的数据再根据协议栈进行剥离得到应用层的加密数据,也就是本步骤得到的应用层101/104规约安全密文。
本实施例中根据IPSec协议对IPSec加密报文进行解密,其中的解密方法可以采用现有技术中提供的任意一种IPSec协议的解密方法,也可以采用以下提供的一种解密方法:
步骤一、当IPSec身份认证通过时,根据IPSec协议生成会话密钥;
步骤二、根据会话密钥对IPSec加密报文进行解密得到传输层数据,通过协议栈对传输层数据进行规约解析处理,得到应用层101/104规约安全密文。
本可选的方案中,先根据IPSec协议生成会话密钥,再根据会话密钥对IPSec加密报文进行解密,得到应用层101/104规约安全密文。其中,会话密钥是当其他设备与配电终端根据IPSec协议进行隧道连接时得到的密钥,主要用于对在网络层进行传输的数据进行加密。
由于IPSec协议的认证加密解密处理的是网络层的数据,而应用层认证加密解密处理的是应用层的数据,因此需要通过协议栈将数据规约解析处理或封装,得到所需的数据,才能进行相应的加密认证处理。
通过本步骤不仅实现了IPSec的解密,还实现了在同一设备中网络层、传输层和应用层不同层级数据的互相转换,为数据在应用层同时也能进行加解密提供基础。
S103,将应用层101/104规约安全密文发送至主控芯片,以使主控芯片对应用层101/104规约安全密文进行解封装得到业务数据密文,将业务数据密文发送至安全芯片;
在步骤S102的基础上,本步骤旨在将规约解析处理得到的应用层101/104规约安全密文发送至主控芯片,使主控芯片对应用层101/104规约安全密文进行解封装得到业务数据密文,再将业务数据密文发送至安全芯片进行身份认证和解密处理。
S104,根据业务数据密文进行应用层身份认证处理;
在步骤S103的基础上,也就是获得应用层的数据即业务数据密文的基础上,根据该业务数据密文进行应用层身份认证处理。
其中,应用层身份认证处理是针对获取的应用层数据进行的身份认证处理,具体的,可以采用现有技术提供的任意一种应用层身份认证方法,具体的在此不做限定。
S105,当应用层身份认证处理通过时,根据预设保护密钥对业务数据密文进行解密得到业务数据明文;
在步骤S104的基础上,本步骤旨在应用层身份认证处理通过时,根据预设保护密钥对业务数据密文进行解密得到业务数据明文。
S106,将业务数据明文发送至主控芯片,以使主控芯片根据业务数据明文进行业务处理。
在步骤S105的基础上,本步骤旨在将得到的业务数据明文发送至主控芯片,以使主控芯片对业务数据明文进行业务处理。
具体的,本实施例中安全芯片所使用的加密算法可以是国产商用密码算法SM1、SM2、SM3、SM4,其中所进行的认证处理可以采用基于数字证书技术与公网安全防护装置的双向身份认证处理。其中,在应用层实现的身份认证同样可以采用基于国产非对称密码算法(SM2、SM3)的双向身份鉴别处理,在应用层实现的数据加密与解密可以采用基于国产对称密码算法(SM1、SM4)的加密解密措施。
综上,本实施例通过对接收到的报文进行IPSec协议的认证和解密处理,再在应用层进行身份认证操作和数据解密操作,保持数据不被泄露,避免配电系统网络不被恶意侵入,使配电终端所接收到的报文是安全设备所发送的报文,避免出现伪装设备与配电终端进行数据通信等恶意攻击的情况。对配电终端的业务数据处理过程中实现了在网络层和应用层的双重防护,提高了配电终端的安全防护性能,避免了出现被恶意攻击的情况。
基于上一实施例的业务数据处理方法,本实施例相对于接收业务数据进行处理的角度,基于同一技术思路对配电终端向外发送加密数据的过程,提供一个实施例,该实施例描述了一种对网络层和应用层同时进行加密的方法。
具体的,请参考图2,图2为本申请实施例所提供的一种配电终端的数据加密方法的流程图。
该方法可以包括:
S201,安全芯片根据预设保护密钥将主控芯片发送的业务数据明文进行加密,得到加密密文;
本步骤中,安全芯片旨在根据预设保护密钥将主控芯片发送的业务数据明文进行加密,得到加密密文。
其中,预设保护密钥是配电终端与配电主站系统在应用层交互时约定的密钥,用于在应用层对数据进行加密。其中,约定的密钥,也就是保护密钥可以是约定的随机数,也可以是获取的终端中预存的数字序列号,还可以是管理人员预先保存的密钥数据,在此不做具体限定。
其中,业务数据明文就是主控芯片对业务数据进行处理后得到的结果数据,一般以明文的形式获得。因此,本步骤中就是根据约定的预设保护密钥对业务数据明文进行加密。
S202,将加密密文发送至主控芯片,以使主控芯片对加密密文进行业务数据密文封装,将封装得到的业务数据密文发送至安全芯片;
在步骤S201的基础上,本步骤旨在将加密密文发送至主控芯片,以使主控芯片根据101/104扩展协议对加密密文进行封装得到101/104规约安全密文,并将其发送至安全芯片。由于上一步骤得到的加密密文只是对应用层业务数据进行加密,为了将该加密数据按照101/104报文格式进行传输,就需要通过本步骤对其进行封装,也就是业务数据密文封装处理。
S203,根据IPSec协议和协议栈对业务数据密文进行规约解析处理和加密封装处理,得到IPSec隧道报文;
在步骤S202的基础上,本步骤旨在根据IPSec协议栈将应用层数据封装成网络层数据,根据IPSec协议对得到的业务数据密文在网络层进行加密封装处理,得到IPSec隧道报文。其中,ESP为IPSec协议中的报文协议,叫做Encapsulating Security Payload(封装安全载荷)协议。
其中,本步骤所执行的加密封装处理方法可以采用现有技术提供的任意一种机密封装处理方法,也可以采用以下提供的一种加密封装处理方法:
步骤一、根据IPSec协议栈对所述业务数据密文进行规约解析处理,得到传输层数据;
步骤二、根据IPSec协议生成会话密钥;
本步骤旨在根据IPSec协议生成会话密钥。其中,会话密钥是配电终端和其他设备根据IPSec协议在网络层进行相互通信时相互约定生成的会话密钥。具体的,本步骤中的生成会话密钥的方法可以采用现有技术提供的任意一种生成方法,在此不做具体限定。
步骤三、根据会话密钥对传输层数据进行加密得到IPSec加密报文;
本本步骤旨在根据会话密钥对业务数据密文进行加密,得到加密业务数据密文。也就是对所要发送的数据在网络层再进行一次加密处理,提高数据传输的安全性。
步骤四、根据协议栈对IPSec加密报文进行封装得到IPSec隧道报文。
本步骤旨在根据协议栈将加密业务数据密文封装为IPSec隧道报文。其中,IPSec隧道报文就是在网络层可以进行安全发送的协议报文。进一步提高数据传输的安全性。
S204,将IPSec隧道报文发送至通信装置。
综上,本实施例通过预设保护密钥在应用层对业务数据明文进行加密操作,在对加密密文进行封装,实现了对网络层和应用层同时进行安全防护操作,并且对接收到的报文进行IPSec协议的加密处理,保持数据不被泄露,避免配电系统网络不被恶意侵入,避免出现伪装设备与配电终端进行数据通信等恶意攻击的情况。对配电终端实现了在网络层和应用层的双重防护,提高了配电终端的安全防护性能,避免了出现被恶意攻击的情况。
下面对本申请实施例提供的一种业务数据处理系统进行介绍,下文描述的一种业务数据处理系统与上文描述的一种基于双重加密的配电终端的业务数据处理方法可相互对应参照。
请参考图3,图3为本申请实施例所提供的一种业务数据处理系统的结构示意图。
该系统可以包括:
IPSec身份认证模块110,用于根通过协议栈对接收到的IPSec隧道报文进行规约解析处理得到IPSec加密报文,根据IPSec协议和IPSec加密报文进行IPSec身份认证处理;
IPSec解密模块120,用于当IPSec身份认证通过时,根据IPSec协议对IPSec加密报文进行解密得到传输层数据,并通过协议栈对传输层数据进行规约解析处理,得到应用层101/104规约安全密文;
解密密文解析模块130,用于将应用层101/104规约安全密文发送至主控芯片,以使主控芯片对应用层101/104规约安全密文进行解封装得到业务数据密文,将业务数据密文发送至安全芯片;
应用层身份认证模块140,用于根据业务数据密文进行应用层身份认证处理;
应用层解密模块150,用于当应用层身份认证处理通过时,根据预设保护密钥对业务数据密文进行解密得到业务数据明文;
明文发送模块160,用于将业务数据明文发送至主控芯片,以使主控芯片根据业务数据明文进行业务处理。
可选的,该IPSec身份认证模块110,可以包括:
报文接收单元,用于接收到通信装置发送的IPSec隧道报文;
报文解析单元,用于根据协议栈对IPSec隧道报文进行规约解析处理,得到IPSec加密报文;
IPSec身份认证单元,用于根据IPSec协议对IPSec加密报文进行IPSec身份认证处理。
下面对本申请实施例提供的一种数据加密系统进行介绍,下文描述的一种数据加密系统与上文描述的一种配电终端的数据加密方法可相互对应参照。
请参考图4,图4为本申请实施例所提供的一种数据加密系统的结构示意图。
该系统可以包括:
明文数据加密模块210,用于根据预设保护密钥将主控芯片发送的业务数据明文进行加密,得到加密密文。
数据封装模块220,用于将加密密文发送至主控芯片,以使主控芯片对加密密文进行业务数据密文封装,将封装得到的业务数据密文发送至安全芯片;
IPSec数据加密模块230,用于根据IPSec协议和协议栈对业务数据密文进行规约解析处理和加密封装处理,得到IPSec隧道报文;
报文发送模块240,用于将IPSec隧道报文发送至通信装置。
本申请实施例还提供一种配电终端,包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现如以上实施例所述的业务数据处理方法的步骤和/或如以上实施例所述的数据加密方法的步骤。
本申请实施例还提供一种计算机可读存储介质,其特征在于,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如以上实施例所述的业务数据处理方法的步骤和/或如以上实施例所述的数据加密方法的步骤。
该计算机可读存储介质可以包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本申请所提供的一种基于双重加密的配电终端的业务数据处理方法、配电终端的数据加密方法、业务数据处理系统、数据加密系统、配电终端以及计算机可读存储介质进行了详细介绍。本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
Claims (10)
1.一种基于双重加密的配电终端的业务数据处理方法,其特征在于,包括:
安全芯片通过协议栈对接收到的IPSec隧道报文进行规约解析处理得到IPSec加密报文,根据IPSec协议和所述IPSec加密报文进行IPSec身份认证处理;
当所述IPSec身份认证处理通过时,根据IPSec协议对所述IPSec加密报文进行解密得到传输层数据,并通过所述协议栈对传输层数据进行规约解析处理,得到应用层101/104规约安全密文;
将所述应用层101/104规约安全密文发送至主控芯片,以使所述主控芯片对所述应用层101/104规约安全密文进行解封装得到业务数据密文,将所述业务数据密文发送至所述安全芯片,实现数据在应用层同时进行加解密;
根据所述业务数据密文进行应用层身份认证处理;其中,所述安全芯片使用的加密算法是SM1、SM2、SM3、SM4,应用层身份认证处理采用基于数字证书技术与公网安全防护装置的双向身份认证处理;
当所述应用层身份认证处理通过时,根据预设保护密钥对所述业务数据密文进行解密得到业务数据明文;
将所述业务数据明文发送至所述主控芯片,以使所述主控芯片根据所述业务数据明文进行业务处理。
2.根据权利要求1所述的业务数据处理方法,其特征在于,安全芯片通过协议栈对接收到的IPSec隧道报文进行规约解析处理得到IPSec加密报文,根据IPSec协议和所述IPSec加密报文进行IPSec身份认证处理,包括:
所述安全芯片接收到通信装置发送的IPSec隧道报文;
根据所述协议栈对所述IPSec隧道报文进行规约解析处理,得到IPSec加密报文;
根据所述IPSec协议对所述IPSec加密报文进行IPSec身份认证处理。
3.根据权利要求1所述的业务数据处理方法,其特征在于,当所述IPSec身份认证通过时,根据IPSec协议对所述IPSec加密报文进行解密得到传输层数据,并通过所述协议栈对传输层数据进行规约解析处理,得到应用层101/104规约安全密文,包括:
当所述IPSec身份认证通过时,根据IPSec协议生成会话密钥;
根据所述会话密钥对所述IPSec加密报文进行解密得到传输层数据,通过所述协议栈对所述传输层数据进行规约解析处理,得到应用层101/104规约安全密文。
4.一种配电终端的数据加密方法,其特征在于,包括:
安全芯片根据预设保护密钥将主控芯片发送的业务数据明文进行加密,得到加密密文;
将所述加密密文发送至主控芯片,以使所述主控芯片对所述加密密文进行业务数据密文封装,将封装得到的业务数据密文发送至所述安全芯片,实现数据在应用层同时进行加解密;其中,所述安全芯片使用的加密算法是SM1、SM2、SM3、SM4,所述安全芯片的应用层身份认证处理采用基于数字证书技术与公网安全防护装置的双向身份认证处理;
根据IPSec协议和协议栈对所述业务数据密文进行规约解析处理和加密封装处理,得到IPSec隧道报文;
将所述IPSec隧道报文发送至通信装置。
5.根据权利要求4所述的数据加密方法,其特征在于,根据IPSec协议和协议栈对所述业务数据密文进行规约解析处理和加密封装处理,得到IPSec隧道报文,包括:
根据IPSec协议栈对所述业务数据密文进行规约解析处理,得到传输层数据;
根据IPSec协议生成会话密钥;
根据所述会话密钥对所述传输层数据进行加密得到IPSec加密报文;
根据所述协议栈对所述IPSec加密报文进行封装得到所述IPSec隧道报文。
6.一种业务数据处理系统,其特征在于,包括:
IPSec身份认证模块,用于通过协议栈对接收到的IPSec隧道报文进行规约解析处理得到IPSec加密报文,根据IPSec协议和所述IPSec加密报文进行IPSec身份认证处理;
IPSec解密模块,用于当所述IPSec身份认证通过时,根据IPSec协议对所述IPSec加密报文进行解密得到传输层数据,并通过所述协议栈对传输层数据进行规约解析处理,得到应用层101/104规约安全密文;
解密密文解析模块,用于将所述应用层101/104规约安全密文发送至主控芯片,以使所述主控芯片对所述应用层101/104规约安全密文进行解封装得到业务数据密文,将所述业务数据密文发送至安全芯片,实现数据在应用层同时进行加解密;
应用层身份认证模块,用于根据所述业务数据密文进行应用层身份认证处理;其中,所述安全芯片使用的加密算法是SM1、SM2、SM3、SM4,应用层身份认证处理采用基于数字证书技术与公网安全防护装置的双向身份认证处理;
应用层解密模块,用于当所述应用层身份认证处理通过时,根据预设保护密钥对所述业务数据密文进行解密得到业务数据明文;
明文发送模块,用于将所述业务数据明文发送至所述主控芯片,以使所述主控芯片根据所述业务数据明文进行业务处理。
7.根据权利要求6所述的业务数据处理系统,其特征在于,所述IPSec身份认证模块,包括:
报文接收单元,用于接收到通信装置发送的IPSec隧道报文;
报文解析单元,用于根据所述协议栈对所述IPSec隧道报文进行规约解析处理,得到IPSec加密报文;
IPSec身份认证单元,用于根据所述IPSec协议对所述IPSec加密报文进行IPSec身份认证处理。
8.一种数据加密系统,其特征在于,包括:
明文数据加密模块,用于根据预设保护密钥将主控芯片发送的业务数据明文进行加密,得到加密密文;
数据封装模块,用于将所述加密密文发送至主控芯片,以使所述主控芯片对所述加密密文进行业务数据密文封装,将封装得到的业务数据密文发送至安全芯片,实现数据在应用层同时进行加解密;其中,所述安全芯片使用的加密算法是SM1、SM2、SM3、SM4,所述安全芯片的应用层身份认证处理采用基于数字证书技术与公网安全防护装置的双向身份认证处理;
IPSec数据加密模块,用于根据IPSec协议和协议栈对所述业务数据密文进行规约解析处理和加密封装处理,得到IPSec隧道报文;
报文发送模块,用于将所述IPSec隧道报文发送至通信装置。
9.一种配电终端,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至3任一项所述的业务数据处理方法的步骤和/或如权利要求4或5所述的数据加密方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至3任一项所述的业务数据处理方法的步骤和/或如权利要求4或5所述的数据加密方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810908372.2A CN108900540B (zh) | 2018-08-10 | 2018-08-10 | 一种基于双重加密的配电终端的业务数据处理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810908372.2A CN108900540B (zh) | 2018-08-10 | 2018-08-10 | 一种基于双重加密的配电终端的业务数据处理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108900540A CN108900540A (zh) | 2018-11-27 |
| CN108900540B true CN108900540B (zh) | 2021-09-03 |
Family
ID=64354976
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810908372.2A Active CN108900540B (zh) | 2018-08-10 | 2018-08-10 | 一种基于双重加密的配电终端的业务数据处理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108900540B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110311921B (zh) * | 2019-07-11 | 2022-02-25 | 南方电网科学研究院有限责任公司 | 一种配电终端加解密方法、系统、设备及计算机存储介质 |
| CN110535653A (zh) * | 2019-07-15 | 2019-12-03 | 中国电力科学研究院有限公司 | 一种安全的配电终端及其通讯方法 |
| CN110662218B (zh) * | 2019-09-25 | 2021-06-08 | 北京风信科技有限公司 | 数据摆渡装置及其方法 |
| CN112104604B (zh) * | 2020-08-07 | 2024-03-29 | 国电南瑞科技股份有限公司 | 基于电力物联管理平台的安全接入服务实现系统及方法 |
| CN112784303B (zh) * | 2021-01-26 | 2022-11-22 | 政采云有限公司 | 一种文件加密方法、装置、系统及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103475478A (zh) * | 2013-09-03 | 2013-12-25 | 广东电网公司电力科学研究院 | 终端安全防护方法和设备 |
| CN104038931A (zh) * | 2014-05-23 | 2014-09-10 | 国家电网公司 | 基于lte网络的配用电通信系统及其通信方法 |
| CN105871873A (zh) * | 2016-04-29 | 2016-08-17 | 国家电网公司 | 一种用于配电终端通信的安全加密认证模块及其方法 |
| CN206226450U (zh) * | 2016-11-17 | 2017-06-06 | 国网上海市电力公司 | 一种配网微型加密终端 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8397288B2 (en) * | 2010-08-25 | 2013-03-12 | Itron, Inc. | System and method for operation of open connections for secure network communications |
-
2018
- 2018-08-10 CN CN201810908372.2A patent/CN108900540B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103475478A (zh) * | 2013-09-03 | 2013-12-25 | 广东电网公司电力科学研究院 | 终端安全防护方法和设备 |
| CN104038931A (zh) * | 2014-05-23 | 2014-09-10 | 国家电网公司 | 基于lte网络的配用电通信系统及其通信方法 |
| CN105871873A (zh) * | 2016-04-29 | 2016-08-17 | 国家电网公司 | 一种用于配电终端通信的安全加密认证模块及其方法 |
| CN206226450U (zh) * | 2016-11-17 | 2017-06-06 | 国网上海市电力公司 | 一种配网微型加密终端 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108900540A (zh) | 2018-11-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108900540B (zh) | 一种基于双重加密的配电终端的业务数据处理方法 | |
| CN111245862A (zh) | 一种物联网终端数据安全接收、发送的系统 | |
| CN105281909A (zh) | 一种加解密机制及采用该加解密机制的物联网锁系统 | |
| CN110636052B (zh) | 用电数据传输系统 | |
| CN103428221A (zh) | 对移动应用的安全登录方法、系统和装置 | |
| CN105610847B (zh) | 一种支持多交换节点电子公文安全传输交换的方法 | |
| CN112073115B (zh) | 基于Lora的低轨卫星物联网注册安全验证方法、物联网终端、网络服务器和用户服务器 | |
| CN110166489B (zh) | 一种物联网中数据传输方法、系统、设备及计算机介质 | |
| WO2015003512A1 (zh) | 集中器、电表及其消息处理方法 | |
| CN103441983A (zh) | 基于链路层发现协议的信息保护方法和装置 | |
| CN111756627A (zh) | 一种电力监控系统的云平台安全接入网关 | |
| CN112672342B (zh) | 数据传输方法、装置、设备、系统和存储介质 | |
| CN104901803A (zh) | 一种基于cpk标识认证技术的数据交互安全保护方法 | |
| CN106788960A (zh) | 一种密钥协商的方法及装置 | |
| CN107249002B (zh) | 一种提高智能电能表安全性的方法、系统及装置 | |
| CN110049045B (zh) | 一种电力载波的安全认证系统 | |
| CN102281303A (zh) | 一种数据交换方法 | |
| CN102045343A (zh) | 基于数字证书的通讯加密安全控制方法、服务器及系统 | |
| CN108111515B (zh) | 一种适用于卫星通信的端到端安全通信加密方法 | |
| CN115996120A (zh) | 一种基于移动存储设备的计算机数据加解密方法及系统 | |
| CN115834210A (zh) | 一种量子安全网络数据的发送、接收方法及通信系统 | |
| CN105187453A (zh) | 一种故障指示器的安全加密通信方法 | |
| CN210839642U (zh) | 一种物联网终端数据安全接收、发送的装置 | |
| CN114826748A (zh) | 基于rtp、udp及ip协议的音视频流数据加密方法和装置 | |
| CN111555875A (zh) | 一种集中抄表系统的密钥同步方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |