CN110086825A - 一种无人机电力巡检数据安全传输系统和方法 - Google Patents

Abstract

本发明公开了一种无人机电力巡检数据安全传输系统，包括文件交换模块、巡检服务器、第一转发服务器、内网服务器、第二转发服务器；内网服务器将巡检任务和查询数据经由第二转发服务器发送至第一转发服务器、以及从第二转发服务器上下载巡检数据；巡检服务器将巡检数据经由第一转发服务器发送至第二转发服务器，以及从第一转发服务器上下载巡检任务和查询数据。本发明解决大量巡检设备接入网络系统的问题，通过白名单系统对设备间的通信进行严格权限控制和数据管理，利用文件安检模块对文件交换过程进行快速的安全检测及管控，保证数据合法性和有效性；配合使用数种动态安全策略进一步提高整个数据传输过程的安全性。

Description

一种无人机电力巡检数据安全传输系统和方法

技术领域

本发明涉及电力巡检数据安全传输技术领域，具体而言涉及一种无人机电力巡检数据安全传输系统和方法。

背景技术

无人驾驶飞行器(Unmanned Aerial Vehicle，UAV)，简称无人机，是利用无线电遥控设备和自备的程序控制装置操纵的非载人飞行器，被广泛应用于警用、城市管理、农业、地质、气象、电力、抢险救灾、视频拍摄等行业。无人机是指携带有照相系统，符合输电线路系统的管理规范，既可以通过人飞手操控，也可通过录入预录制的巡检点来执行软件控制下的自动化巡塔任务的无人机。无人机无需专门的机场跑道，可在野外随处垂直起飞和降落，并且长时间的悬停、高机动性、高可控性使得无人机能够无死角全方位拍摄目标，这些特点减少了工作人员的工作强度和难度，大大提高了电力巡检工作的安全性和效率，很好地弥补人工巡检的不足。

按照国家保密要求，部分关键部门往往采用内、外网形式，其中内部计算机局域网简称为内网，广域网简称为外网；为了保证内网重要信息系统的安全，提出了各种方案，其中最主要的有防火墙技术。但防火墙并不是万能的，没有任何一款网络产品可以说是绝对安全的。因此，为了绝对安全，人们采取了内外网物理上分离的办法。使内网到外网的二网之间严格的物理隔离，有效地防止外网的黑客和病毒通过网络侵入到内网。

电网系统的内网一方面只能通过文件交换与外网实现数据交互，无人机巡检过程的一大问题是内外网的数据安全传输，发送现场自动化巡检所需的数据以及获取巡检结果；另一方面，需要对传输两方和传输数据进行权限管理和安全校验，防止保密数据意外流出和有害数据流入，并做到传输历史的可追踪回溯；另外，考虑到电力巡检作业系统这一具体场景，现场巡检设备数据有限、野外网络可能不稳定，不具有高并发、大流量的特点，因此，简单、稳定、高可维护性是其关注的重点。

发明内容

本发明目的在于提供一种无人机电力巡检数据安全传输系统和方法，通过文件交换模块、第一转发服务器、第二转发服务器，使分别处于内网的内网服务器和处于外网的巡检服务器能够进行数据交互，再通过设置文件安检模块、白名单系统、动态安全策略模块确保整个数据传输过程的安全性。本发明基于文件交换和白名单机制的易扩展的网络拓扑结构解决大量巡检设备接入网络系统的问题，同时通过特殊算法和数据结构实现白名单，对设备间的通信进行严格权限控制和数据管理，利用基于模式匹配的文件安检模块对文件交换过程进行快速的安全检测及管控，保证数据合法性和有效性；实现了在内外网只能通过文件交换的情况下，安全地进行数据传输，并且配合使用数种动态安全策略进一步提高整个数据传输过程的安全性。

为达成上述目的，结合图1，本发明提出一种无人机电力巡检数据安全传输系统和方法，通过文件交换模块、第一转发服务器、第二转发服务器，使分别处于内网的内网服务器和处于外网的巡检服务器能够进行数据交互，再通过设置文件安检模块、白名单系统、动态安全策略模块确保整个数据传输过程的安全性。本发明基于文件交换和白名单机制的易扩展的网络拓扑结构解决大量巡检设备接入网络系统的问题，同时通过特殊算法和数据结构实现白名单，对设备间的通信进行严格权限控制和数据管理，利用基于模式匹配的文件安检模块对文件交换过程进行快速的安全检测及管控，保证数据合法性和有效性；实现了在内外网只能通过文件交换的情况下，安全地进行数据传输，并且配合使用数种动态安全策略进一步提高整个数据传输过程的安全性。

为达成上述目的，结合图1，本发明提出一种无人机电力巡检数据安全传输系统，所述系统包括文件交换模块，处于公网的至少一个巡检服务器、与所述至少一个巡检服务器进行数据通信的第一转发服务器，以及处于内网的至少一个内网服务器、与所述至少一个内网服务器进行数据通信的第二转发服务器。

所述第一转发服务器通过文件交换模块与第二转发服务器进行数据交互。

所述内网服务器将巡检任务和查询数据经由第二转发服务器发送至第一转发服务器、以及从第二转发服务器上下载巡检数据。

所述巡检服务器与至少一个无人机进行数据通信，接收无人机上传的巡检数据，将巡检数据经由第一转发服务器发送至第二转发服务器，以及从第一转发服务器上下载巡检任务和查询数据，将巡检任务解析后分发至对应的无人机。

所述巡检服务器上配置有一个唯一的密钥和唯一与之绑定的随机序列号，所述密钥和随机序列号注册在第一转发服务器上，用以加密传输巡检服务器和第一转发服务器之间的交互数据、以及认证巡检服务器的身份。

所述第一转发服务器和第二转发服务器上分别配置有相匹配的公钥、私钥，用以加密传输第一转发服务器和第二转发服务器之间的交互数据。

所述无人机电力巡检数据安全传输系统还包括文件安检模块，所述文件安检模块用于检测第一转发服务器和第二转发服务器、第二转发服务器和内网服务器之间的交互数据的合法性和有效性。

结合图2，基于前述无人机电力巡检数据安全传输系统，本发明还提及一种电力巡检数据安全传输方法，所述方法包括：

S10：巡检服务器采用自身唯一传输密钥加密原始数据以生成巡检数据，将巡检数据和自身序列号发送至第一转发服务器。

S20：第一转发服务器根据所述巡检数据中的序列号在第一白名单中查找所述巡检服务器对应的密钥，如查到，则执行S30，否则，则执行S110。

S30：所述第一转发服务器采用查找到的所述密钥解密巡检数据获得原始数据，采用公钥对所述原始数据和所述巡检服务器对应的序列号进行加密，转换生成第一文件，将第一文件通过文件交换模块发送至第二转发服务器。

S40：所述第二转发服务器解析所述第一文件，采用私钥解密获得所述原始数据，通过文件安检模块对所述原始数据进行安全验证，以及根据所述原始数据包含的内网地址在第二白名单中查找是否存在对应的内网服务器，如果通过安全验证并且查到存在对应的内网服务器，则执行S50，否则，则执行S110。

S50：所述第二转发服务器发送相应的内网请求给所述内网服务器，所述内网服务器分析所述内网请求并反馈相应的内网数据至所述第二转发服务器。

S60：所述第二转发服务器验证所述内网数据是否在第二白名单上，如在，则执行S70，否则，则执行S110。

S70：所述第二转发服务器进一步验证所述内网数据是否含有敏感及不应流出的内容，如通过，则执行S70，否则，则执行S110。

S80：所述第二转发服务器将所述内网数据通过私钥进行加密转换为内网文件，并将所述内网文件通过所述文件交换模块发送至所述第一转发服务器。

S90：所述第一转发服务器解析所述内网文件，采用公钥对内网文件进行解密获取所述内网数据，再根据所述巡检服务器的序列号找到对应的密钥，用所述密钥对所述内网数据进行加密并发送至对应的巡检服务器。

S100：所述巡检服务器执行所述内网数据对应的巡检任务。

S110：将本次数据交互视为不合法请求和异常事件，记录相应日志，判断异常事件的严重等级，根据预先设定的模式来进行后续处理。

巡检服务器向内网服务器请求的数据包括巡检任务、查询信息(如历史数据、环境参数)等，内网服务器则用于接收巡检服务器发送的巡检数据，包括无人机采集的原始数据等。

本发明提及的无人机电力巡检数据安全传输系统包括三个数据交互过程，针对每个数据交互过程，均设置了数据安全确认机制。

第一个数据交互过程：巡检服务器和第一转发服务器之间的数据交互

为了确保数据传输过程的安全性，每个所述巡检服务器均配置有一个唯一的传输密钥和唯一与之绑定的随机序列号；每个所述巡检服务器的唯一的密钥及其随机序列号均注册在所述第一转发服务器中，巡检服务器和第一转发服务器之间的数据传输通过密钥和随机序列号来加密和进行身份认证。

第二个数据交互过程：第一转发服务器和第二转发服务器之间的数据交互

所述第一转发服务器和所述第二转发服务器具有一对公钥和私钥，所述第二转发服务器内设有所述私钥，所述第一转发服务器内设有所述公钥；所述第一转发服务器与第二转发服务器之间的交互数据分别通过公钥、私钥加密后传输，以确保数据传输的安全性。

第三个数据交互过程：第二转发服务器与内网服务器之间的数据交互

第二转发服务器作为内网服务器和第一转发服务器之间的中间传输部件，不但需要验证内网服务器发送至第一转发服务器的数据，还需要验证第一转发服务器发送至内网服务器的数据；本发明提出，通过在第二转发服务器中设置文件安检模块以对接收到的传输数据进行安全验证。

下面以一次巡检任务为例对前述数据传输过程进行详细阐述，在该例子中，数据传输过程分为四个阶段。

第一个阶段，巡检服务器发送巡检任务请求至内网服务器

巡检服务器采用自身密钥对巡检任务请求加密后，将加密结果和其对应的序列号发送至第一转发服务器，第一转发服务器接收加密结果，根据序列号查找到对应的巡检服务器的密钥，采用密钥解密以获取巡检任务请求，将巡检任务请求采用公钥加密后通过文件交换模块发送至第二转发服务器，第二转发服务器接收第一转发服务器发送的数据并采用私钥解密以得到巡检任务请求，对巡检任务请求进行安全验证，如果验证通过，将巡检任务请求发送至对应的内网服务器。

第二个阶段，内网服务器下发巡检任务至巡检服务器

内网服务器分析巡检任务请求，反馈对应的巡检任务数据至第二转发服务器，第二转发服务器对接收到的巡检任务数据进行安全验证，如果验证通过，将巡检任务数据采用私钥加密后通过文件交换模块发送至第一转发服务器，第一转发服务器采用公钥解密接收到的数据，将解密得到的巡检任务数据采用与巡检服务器对应的密钥再次加密后发送至巡检服务器，巡检服务器采用内部存储的密钥对接收数据进行解密，获取巡检任务数据。

第三个阶段，巡检服务器执行巡检任务

巡检服务器将巡检任务数据解析成若干个巡检任务下发至对应的无人机，无人机执行巡检任务，获取原始采集数据，例如输电杆塔的图像信息等等，无人机在完成执行任务后，将获取的原始采集数据发送至巡检服务器。

第四个阶段，巡检服务器上传巡检数据至内网服务器

巡检服务器对原始采集数据采用内部存储的密钥进行加密，生成巡检数据，将巡检数据和自身序列号一起发送至第一转发服务器，序列号用于第一转发服务器对巡检服务器进行身份验证、以及查找对应的解密密钥以解密巡检数据，从而获取原始采集数据，第一转发服务器再采用公钥对原始采集数据进行加密后通过文件交换模块上传至第二转发服务器，第二转发服务器采用私钥解密接收到的数据以获取原始采集数据，对原始采集数据进行安全验证，如果验证通过，将原始采集数据上传至内网服务器，本次巡检任务完成。

以上本发明的技术方案，与现有相比，其显著的有益效果在于：

1)基于文件交换和白名单机制的易扩展的网络拓扑结构，支持外网多巡检服务器的快速接入、与内网通信，具有简单、易扩展、安全性高、易维护的特性，解决了大量巡检设备接入网络系统的问题。

2)通过特殊算法和数据结构实现白名单，对设备间的通信进行严格权限控制和数据管理。

3)利用基于模式匹配的文件安检模块对文件交换过程进行快速的安全检测及管控，检测文件交换过程中的内容是否合法，保证数据合法性和有效性。

4)白名单系统利用节点结构对众多对象进行管理，需要时根据对象的认证信息定位其对应节点，解析获得其全部身份信息，然后判断所做操作是否合法，并具有管理修改功能，实现了在内外网只能通过文件交换的情况下，同时转发服务具有认证、管理设备的功能。

5)实现了在内外网只能通过文件交换的情况下，安全地进行数据传输，并且配合使用数种动态安全策略进一步提高整个数据传输过程的安全性。

应当理解，前述构思以及在下面更加详细地描述的额外构思的所有组合只要在这样的构思不相互矛盾的情况下都可以被视为本公开的发明主题的一部分。另外，所要求保护的主题的所有组合都被视为本公开的发明主题的一部分。

结合附图从下面的描述中可以更加全面地理解本发明教导的前述和其他方面、实施例和特征。本发明的其他附加方面例如示例性实施方式的特征和/或有益效果将在下面的描述中显见，或通过根据本发明教导的具体实施方式的实践中得知。

附图说明

附图不意在按比例绘制。在附图中，在各个图中示出的每个相同或近似相同的组成部分可以用相同的标号表示。为了清晰起见，在每个图中，并非每个组成部分均被标记。现在，将通过例子并参考附图来描述本发明的各个方面的实施例，其中：

图1是本发明的无人机电力巡检数据安全传输系统的设备网络拓扑结构示意图。

图2是本发明的无人机电力巡检数据安全传输方法的流程图。

图3是本发明的无人机电力巡检数据安全传输系统的白名单机制的验证流程示意图。

图4是本发明的基于白名单系统下的用户角色分类示意图。

图5是本发明的无人机电力巡检数据安全传输系统的双向认证挑战应答流程图。

具体实施方式

为了更了解本发明的技术内容，特举具体实施例并配合所附图式说明如下。

实施例一

结合图1，本发明提及一种无人机电力巡检数据安全传输系统，所述系统包括文件交换模块，处于公网的至少一个巡检服务器、与所述至少一个巡检服务器进行数据通信的第一转发服务器，以及处于内网的至少一个内网服务器、与所述至少一个内网服务器进行数据通信的第二转发服务器。

所述第一转发服务器通过文件交换模块与第二转发服务器进行数据交互。

所述内网服务器将巡检任务和查询数据经由第二转发服务器发送至第一转发服务器、以及从第二转发服务器上下载巡检数据。

所述巡检服务器与至少一个无人机进行数据通信，接收无人机上传的巡检数据，将巡检数据经由第一转发服务器发送至第二转发服务器，以及从第一转发服务器上下载巡检任务和查询数据，将巡检任务解析后分发至对应的无人机。

所述巡检服务器上配置有一个唯一的密钥和唯一与之绑定的随机序列号，所述密钥和随机序列号注册在第一转发服务器上，用以加密传输巡检服务器和第一转发服务器之间的交互数据、以及认证巡检服务器的身份。

所述第一转发服务器和第二转发服务器上分别配置有相匹配的公钥、私钥，用以加密传输第一转发服务器和第二转发服务器之间的交互数据。

所述无人机电力巡检数据安全传输系统还包括文件安检模块，所述文件安检模块用于检测第一转发服务器和第二转发服务器、第二转发服务器和内网服务器之间的交互数据的合法性和有效性。

巡检服务：是指运行于巡检作业车服务器、具有巡检功能的后台服务；转发服务：是指具有将文件、数据来回转换、并对数据做自定义验证的后台服务；内网服务：是指位于内网、具有保密性质、不能与外网直接通信的后台服务。

为了数据的安全传输，本发明还做了以下部署准备：

给每个巡检服务配置一个唯一的密钥和唯一与之绑定的随机序列号，在第一转发服务器的入口白名单上注册这些密钥和序列号；生成一对公私钥，在内网第二转发服务器处放置私钥，在外网第一转发服务器处放置公钥；在内网第一转发服务器的出口白名单上注册所有可以向外传输数据的内网服务的网段、物理地址、用户等信息。

结合图2，本发明还提及一种电力巡检数据安全传输方法，所述方法包括：

S10：巡检服务器采用自身唯一传输密钥加密原始数据以生成巡检数据，将巡检数据和自身序列号发送至第一转发服务器。

S20：第一转发服务器根据所述巡检数据中的序列号在第一白名单中查找所述巡检服务器对应的密钥，如查到，则执行S30，否则，则执行S110。

S30：所述第一转发服务器采用查找到的所述密钥解密巡检数据获得原始数据，采用公钥对所述原始数据和所述巡检服务器对应的序列号进行加密，转换生成第一文件，将第一文件通过文件交换模块发送至第二转发服务器。

S40：所述第二转发服务器解析所述第一文件，采用私钥解密获得所述原始数据，通过文件安检模块对所述原始数据进行安全验证，以及根据所述原始数据包含的内网地址在第二白名单中查找是否存在对应的内网服务器，如果通过安全验证并且查到存在对应的内网服务器，则执行S50，否则，则执行S110。

S50：所述第二转发服务器发送相应的内网请求给所述内网服务器，所述内网服务器分析所述内网请求并反馈相应的内网数据至所述第二转发服务器。

S60：所述第二转发服务器验证所述内网数据是否在第二白名单上，如在，则执行S70，否则，则执行S110。

S70：所述第二转发服务器进一步验证所述内网数据是否含有敏感及不应流出的内容，如通过，则执行S70，否则，则执行S110。

S80：所述第二转发服务器将所述内网数据通过私钥进行加密转换为内网文件，并将所述内网文件通过所述文件交换模块发送至所述第一转发服务器。

S90：所述第一转发服务器解析所述内网文件，采用公钥对内网文件进行解密获取所述内网数据，再根据所述巡检服务器的序列号找到对应的密钥，用所述密钥对所述内网数据进行加密并发送至对应的巡检服务器。

S100：所述巡检服务器执行所述内网数据对应的巡检任务。

S110：将本次数据交互视为不合法请求和异常事件，记录相应日志，判断异常事件的严重等级，根据预先设定的模式来进行后续处理。

在本实施例中，位于外网的巡检设备如巡检车分别载有一台巡检服务器(微型服务器)，巡检服务器上运行负责现场巡检业务的巡检服务。通过4G、5G等无线网络或有线网络将这些巡检服务与同样位于外网的第一转发服务器进行数据传输(包括下载任务、线路杆塔、上传巡检图片和实时位置等)，不直接与内网进行通信。第一转发服务器通过已有的一套文件交换模块与内网的第二转发服务器进行数据传输，第二转发服务器再与内网服务器进行数据传输。对称网络拓扑结构在满足文件交换的前提下，具有简单、易扩展、安全性高、易维护的特性。

所述无人机电力巡检数据安全传输系统还包括文件安检模块、白名单系统、动态安全策略模块。其中，所述文件安检模块用于检测第一转发服务器和第二转发服务器之间的交互数据的合法性和有效性。所述白名单系统用于对请求的用户和传输的数据进行权限控制和安全验证。所述动态安全策略模块用于定期更新加密传输数据使用的密钥、实时监控巡检服务器的工作状态、定期发起内网服务器和巡检服务器之间的安全认证流程。通过前述结构确保整个数据传输的安全性。

本实施例提及一种基于文件交换和白名单机制的易扩展的网络拓扑结构，支持外网多巡检服务器的快速接入、与内网通信，具有简单、易扩展、安全性高、易维护的特性；解决大量巡检设备接入网络系统的问题，同时通过特殊算法和数据结构实现白名单，对设备间的通信进行严格权限控制和数据管理，利用文件安检模块对文件交换过程进行快速的安全检测及管控，检测文件交换过程中的内容是否合法，保证数据合法性和有效性，配合使用数种动态安全策略进一步提高整个数据传输过程的安全性。

实施例二

本发明提及一种无人机电力巡检数据安全传输系统，所述系统包括文件交换模块，处于公网的至少一个巡检服务器、与所述至少一个巡检服务器进行数据通信的第一转发服务器，以及处于内网的至少一个内网服务器、与所述至少一个内网服务器进行数据通信的第二转发服务器。

所述第一转发服务器通过文件交换模块与第二转发服务器进行数据交互。

所述内网服务器将巡检任务和查询数据经由第二转发服务器发送至第一转发服务器、以及从第二转发服务器上下载巡检数据。

所述巡检服务器与至少一个无人机进行数据通信，接收无人机上传的巡检数据，将巡检数据经由第一转发服务器发送至第二转发服务器，以及从第一转发服务器上下载巡检任务和查询数据，将巡检任务解析后分发至对应的无人机。

所述巡检服务器上配置有一个唯一的密钥和唯一与之绑定的随机序列号，所述密钥和随机序列号注册在第一转发服务器上，用以加密传输巡检服务器和第一转发服务器之间的交互数据、以及认证巡检服务器的身份。

所述第一转发服务器和第二转发服务器上分别配置有相匹配的公钥、私钥，用以加密传输第一转发服务器和第二转发服务器之间的交互数据。

所述无人机电力巡检数据安全传输系统还包括文件安检模块，所述文件安检模块用于检测第一转发服务器和第二转发服务器、第二转发服务器和内网服务器之间的交互数据的合法性和有效性。

所述文件安检模块安装在第二转发服务器中。

所述文件安检模块用于根据预设的配置规则生成多个带条件信息的安检模式，多个所述安检模式组合链接为状态机，采用状态机对第一转发服务器和第二转发服务器之间的交互数据进行内容检测。

优选的，所述状态机包含一个入口、多个出口。

所述文件安检模块将第一转发服务器和第二转发服务器之间的交互数据经由状态机入口导入状态机进行内容匹配，交互数据根据匹配结果经由其中一个状态机出口导出，文件安检模块根据交互数据的出口类型和匹配结果判断安检结果。

在一些例子中，所述预设的配置规则包括模式特征、模式的应用范围以及例外规则。

所述模式特征是指包含至少一条特征匹配表达式的数组，每条所述特征匹配表达式定义了匹配一类特定类型数据的方法，所述特定类型数据包括数据格式和关键字。

所述应用范围是指包含至少一条应用匹配表达式的数组，每条所述应用匹配表达式定义了具有任意一种特征或属性的一个或一类对象。

当所述应用范围不足以满足需求或存在临时授权操作时采用所述例外规则，所述例外规则是包含0条或多条属性定义的数组，每条属性精确定义了一种属性的值或类型，用于和待匹配值进行精确比对。

在本实施例中，第二转发服务器包括文件安检模块；其中，文件安检模块根据配置规则生成多个带条件信息的安检模式，多个安检模式组合链接为包含一个入口、多个出口的状态机，利用状态机对第一转发服务器及第二转发服务器之间交换的数据进行内容检测，以确认数据的有效性和合法性。具体的，数据从状态机的入口进入开始匹配过程，从状态机的一出口出来结束匹配过程，根据出口的类型和信息判断给出的匹配结果来决定是否通过安检。

在本实施例中，配置规则包括模式特征、模式的应用范围以及例外规则；模式特征是指包含至少一条特征匹配表达式的数组，每条特征匹配表达式定义了匹配一类特定类型数据的方法，是以数据格式和关键字为主；应用范围是指包含至少一条应用匹配表达式的数组，每条应用匹配表达式定义了具有某种特征或某种属性的一个或一类对象；例外规则是包含0条或多条属性定义的数组，用于特定情况下应用范围不足以满足需求或临时授权操作，每条属性精确定义了一种属性的值或类型，用于和待匹配值进行精确比对。另外，文件安检模块和白名单可以有机地结合使用，实现文件安检系统的动态可配置性。

例如，文件安检模块的配置规则以JSON格式储存于文件或数据库中，主要字段包括模式特征(model)、模式的应用范围(condition)、例外规则(whiteList)。模式特征是至少包含一条匹配表达式的数组，其中每条匹配表达式定义了匹配一类特定类型数据的方法。应用范围是至少包含一条匹配表达式的数组，其中每条匹配表达式定义了具有某种特征或某种属性的一个或一类对象。例外规则是包含0或多条属性定义的数组，该字段用于特定情况下应用范围字段不足以满足需求或临时授权操作，该数组中的每条属性定义精确定义了一种属性的值或类型，用于与待匹配值进行精确比对。以下试举一例简单说明：

上述JSON格式的配置规则定义了模式特征model，其中有一条规定了文件交换的主要数据的格式信息：“dataStructure”定义了一种要匹配的数据格式，“type:object”说明数据格式一个对象，“structure”具体定义了该对象应具有的结构，如“name:"string"”说明“name”字段是字符串，而“"lat":"Reg(^[0-9]{2}.[0-9]{6})$"”说明经度字段应该符合一个正则表达式。“"keyword":["description"]”表示对“description”的内容进行敏感词检查。“condition”是模式匹配的应用范围，其中“checkType”是检查类型，三条分别检查了设备信息、文件大小、发送者，“key”是一系列具体检查条件，“type”则说明所在的一条检查的逻辑条件，“and”表示必须满足的检查，“or”表示满足本条即可，此外还可设置“非”“not”等逻辑符。最后的“whiteList”与“condition”类似。

具体实施例三

本发明提及一种无人机电力巡检数据安全传输系统，所述系统包括文件交换模块，处于公网的至少一个巡检服务器、与所述至少一个巡检服务器进行数据通信的第一转发服务器，以及处于内网的至少一个内网服务器、与所述至少一个内网服务器进行数据通信的第二转发服务器。

所述第一转发服务器通过文件交换模块与第二转发服务器进行数据交互。

所述内网服务器将巡检任务和查询数据经由第二转发服务器发送至第一转发服务器、以及从第二转发服务器上下载巡检数据。

所述巡检服务器与至少一个无人机进行数据通信，接收无人机上传的巡检数据，将巡检数据经由第一转发服务器发送至第二转发服务器，以及从第一转发服务器上下载巡检任务和查询数据，将巡检任务解析后分发至对应的无人机。

所述巡检服务器上配置有一个唯一的密钥和唯一与之绑定的随机序列号，所述密钥和随机序列号注册在第一转发服务器上，用以加密传输巡检服务器和第一转发服务器之间的交互数据、以及认证巡检服务器的身份。

所述第一转发服务器和第二转发服务器上分别配置有相匹配的公钥、私钥，用以加密传输第一转发服务器和第二转发服务器之间的交互数据。

所述无人机电力巡检数据安全传输系统还包括文件安检模块，所述文件安检模块用于检测第一转发服务器和第二转发服务器、第二转发服务器和内网服务器之间的交互数据的合法性和有效性。

结合图3，所述白名单系统包括安装在第一转发服务器中的第一白名单模块，以及安装在第二转发服务器中的第二白名单模块。

所述第一白名单模块存储有第一白名单，第一白名单包括IP地址、有效时间以及用户信息；所述第二白名单模块存储有第二白名单，第二白名单包括所有具有向外传输数据权限的内网服务器的网段、物理地址以及用户信息。

所述第一转发服务器响应于接收到用户请求，将该用户请求中所包含的信息与第一白名单白名单做比对，如果所述IP地址、有效时间和用户信息均比对成功，调取所述用户信息所映射的访问规则表，所述访问规则表包括数据关键词过滤规则、请求控制以及数据访问控制。

进一步的，所述访问规则表采用节点方式对对象进行管理，每个对象对应一个节点以构成树状结构，相互连接的两个节点由上至下被定义成父节点和子节点，通过赋予父节点不超过自身数据访问控制权限的属下的子节点的访问规则表设置权限。

所述父节点具有向子节点发送巡检任务或者数据的权限。

优选的，所述数据关键词过滤规则用于判断用户发送的数据中是否包含第一预设关键字集合和/或不包含第二预设关键字集合。

所述请求控制用于判断用户发来的数据中是否包含请求、是否允许所述请求执行、是否存在超过权限的请求、整组数据是否为非法数据。

所述数据访问控制用于限定用户只可从所述内网获取有权限得到的返回信息。

在本实施例中，第一转发服务器包括第一白名单模块，第二转发服务器还包括第二白名单模块；其中，第一白名单模块和第二白名单模块可快速对请求的用户和传输的数据进行权限控制和安全验证；第一白名单模块存储有第一白名单包括IP地址、有效时间以及用户信息；第二白名单模块存储有第二白名单包括所有可向外传输数据的内网服务的网段、物理地址以及用户信息；第二转发服务器在检查第一白名单时，如果IP地址、有效时间和用户信息检测通过，在系统中找到用户信息所映射的访问规则表。

在本实施例中，访问规则表包括数据关键词过滤规则、请求控制以及数据访问控制。其中，数据关键词过滤规则，是指判断用户发送的数据中是否包含第一预设关键字集合和/或不包含第二预设关键字集合(这里的集合可以为空集)；请求控制，是指根据用户的访问规则表上的定义规定了用户发来的数据中是否包含请求，是否允许请求执行，哪些超过权限的请求会被拒绝或者导致整组数据被视为非法；数据访问控制，是指用户只可从内网获取有权限得到的返回信息。数据访问控制和请求控制共同作用，定义了用户只可以从内网获取那些他有权限得到的返回信息。

结合图4，白名单中用户信息映射的访问规则表采用节点方式进行管理，每个用户看做一个节点形成树状结构，依次为父节点和子节点；其中，父节点可向子节点发送巡检任务或者数据，通过赋予父节点不超过自身数据访问控制权限的属下的子节点的访问规则表设置权限。白名单中用户信息映射的访问规则表采用节点方式管理，每个用户看做一个节点，形成一个树状结构。父节点的用户可通过该架构便捷的向子节点传输任务或者信息。通过赋予上层节点予不超过自身数据访问控制限制的属下子节点访问规则表设置权限。同一父节点下的子节点更可以做方便统一的配置管理。进一步，能通过该结构实现其他关系较远的两个或者多个节点之间的数据访问分离，当跨区域的数据访问需求发生时传递信息到较上层的公共父节点用户进行审批。

白名单包含用户、资源、操作、条件等基本元素，通过对这些元素的组合和解析，实现对数据和访问的控制。用户可为实际用户和物理设备，是操作的发起者。资源是被操作的对象，除实际用户、物理设备外，还可包括其他不同电子数据，它们可根据实际情况具有很不同的接口，如用户具有组结构，文件资源具有目录结构。操作是资源所能做的方法，不同的资源具有不同的操作。条件由一组句子组成，其他每个句子包含操作类型、条件关键字和条件值，对用户、资源、操作做进一步的精细化描述和控制。

这里以一名用户在白名单中的信息定义举例，该名用户可用以下json字段表示：

用户有着自己的唯一id(字符串编号)，同时对应着一个其上层管理用户的id(如果有)，以及若干个用户所管理的下层用户的id，描述着用户之间的拓扑关系。用superNode和subNode字段表示和记录。filter字段定义了用户访问需过滤的数据时所要过滤的信息字段，以该例子作说明，在可访问用户能看到的数据时，所有文件中，用户只能看到有"project"标记的文件中的数据内容，(include:[{pattern:"project",scope:"FILE"}])，这一部分内容中的一些行内容如果有"debug","unavailable",则这些行会被过滤为不可见。(exclude:[{pattern:"debug",scope:"LINE"},{pattern:"unavailable",scope:"LINE"}])白名单定义中支持正则表达和模式匹配，能在过滤文本时将字段自动做掩码和替换(mask:[{pattern:"id＝.*",scope:"WORD",maskAs:"id＝？"])，这一部分内容中的一些行内容如果有数据访问项(data)定义了用户对各个数据的可访问权限，分为受过滤可读(filtered-read)，完全可读(read)，可读写(write),管理者(admin)这几种策略。对于有管理权的数据用户可以将其的访问权限按需设置给其管理的下层用户，给予其一定的访问，操作权。用户如果需要增加对某个数据的访问或者修改权，也可以通过操作发出申请并待拥有权限的上层用户批复。下层用户对其数据的操作权限能力会默认传递给其上一层用户(adminForSubNode:true)如果某个数据的访问权限继承自下层用户，则不用特意在对应的权限集合中额外标明。用户的操作如果更改了白名单的结构，更改的内容会以消息集合的方式作为通知从受影响的用户开始逐层告知其上层用户该改变，系统会提交更改并建立hash映射，保持操作的持久化和可追溯，以及责任划分的清晰。可行操作(availableperation)定义了用户在支持的公共查询语句外被开启的额外能力，例如审批和管理新用户等。

具体实施例四

本发明提及一种无人机电力巡检数据安全传输系统，所述系统包括文件交换模块，处于公网的至少一个巡检服务器、与所述至少一个巡检服务器进行数据通信的第一转发服务器，以及处于内网的至少一个内网服务器、与所述至少一个内网服务器进行数据通信的第二转发服务器。

所述第一转发服务器通过文件交换模块与第二转发服务器进行数据交互。

所述内网服务器将巡检任务和查询数据经由第二转发服务器发送至第一转发服务器、以及从第二转发服务器上下载巡检数据。

所述巡检服务器与至少一个无人机进行数据通信，接收无人机上传的巡检数据，将巡检数据经由第一转发服务器发送至第二转发服务器，以及从第一转发服务器上下载巡检任务和查询数据，将巡检任务解析后分发至对应的无人机。

所述巡检服务器上配置有一个唯一的密钥和唯一与之绑定的随机序列号，所述密钥和随机序列号注册在第一转发服务器上，用以加密传输巡检服务器和第一转发服务器之间的交互数据、以及认证巡检服务器的身份。

所述第一转发服务器和第二转发服务器上分别配置有相匹配的公钥、私钥，用以加密传输第一转发服务器和第二转发服务器之间的交互数据。

所述无人机电力巡检数据安全传输系统还包括文件安检模块，所述文件安检模块用于检测第一转发服务器和第二转发服务器、第二转发服务器和内网服务器之间的交互数据的合法性和有效性。

具体的，每个所述巡检服务器均配置有一个唯一的传输密钥和唯一与之绑定的随机序列号；每个所述巡检服务器的唯一的密钥及其随机序列号均注册在所述第一转发服务器中。

所述巡检服务器采用自身唯一传输密钥加密原始数据以生成巡检数据，将巡检数据和自身序列号发送至第一转发服务器；所述第一转发服务器接收巡检服务器发送的巡检数据，根据序列号查找到对应的巡检服务器的传输密钥，解密巡检数据以获取原始数据。

所述第一转发服务器和所述第二转发服务器具有一对公钥和私钥，所述第二转发服务器内设有所述私钥，所述第一转发服务器内设有所述公钥；所述第一转发服务器与第二转发服务器之间的交互数据分别通过公钥、私钥加密后传输。

进一步的，所述动态安全策略模块包括密钥周期更新单元、实时安全监控单元以及二次挑战应答安全确认单元。

所述密钥周期更新单元用于定期更新加密传输数据使用的密钥，更新的密钥包括巡检服务器和第一转发服务器中存储的每个巡检服务器对应的密钥和随机序列号、第二转发服务器中的私钥、第一转发服务器中的公钥。具体的，密钥周期更新包括：根据一个可配置的时间周期，所述巡检服务器定期在所述第一转发服务器处申请新的密钥和序列号，并更新所述第一转发服务器的第一白名单；所述第二转发服务器定期更新所述私钥，在一定时间内，所述第一转发服务器根据旧的公钥拿到新的公钥。

所述实时安全监控单元用于分析第一转发服务器接收到的巡检服务器发送的数据以监控巡检服务器的工作状态：

如果下述两个条件中的其中一个成立：1)任意一个巡检服务器的密钥是同时存在多地使用；2)任意一个巡检服务器常用网段、常用地突然变化，判断该巡检服务器为异常工作状态，生成警报信号，暂停该巡检服务器向内网传入及获取数据的权限、日志记录异常、发送警告信息至指定客户端。

具体的，实时安全监控包括：所述第一转发服务器根据所述状态机的入口白名单进行监控几种可能的异常，包括：所述巡检服务器的密钥是否同时存在多地使用；所述巡检服务器是否发生常用网段、常用地的突然变化，如果发生异常，则可能发生密钥重复或泄露，此时暂停所述巡检服务器向所述内网传入及获取数据的权限，日志记录异常，发送警告信息做进一步处理；

所述二次挑战应答安全确认单元设置有二次挑战应答安全确认机制，用于定期发起内网服务器和巡检服务器之间的安全认证流程。

结合图5，所述二次挑战应答安全确认机制包括以下步骤：

根据一个可配置的时间周期，所述内网服务器向所述巡检服务器发送包含第一随机数的第一挑战数据，所述第一随机数在设定时间内有效。

所述巡检服务器接收所述第一挑战数据后根据加密算法将所述第一随机数和其序列号进行组合及加密得到第一解答，并生成包含第二随机数的第二挑战数据，将第一解答和第二挑战数据一起发回给所述内网服务器。

所述内网服务器接收第一解答和第二挑战数据，根据加密算法将第一随机数结合内部存储的对应的巡检服务器的序列号组合及加密生成第二解答，将收到的第一解答和生成的第二解答做比对，如果比对一致，则视为所述巡检服务器通过所述内网服务器的认证，否则，判定本次认证失败。

所述内网服务器根据加密算法将第二随机数结合内部存储的对应的巡检服务器的序列号组合及加密生成第三解答，将第三解答返回给所述巡检服务器。

所述巡检服务器根据加密算法将第二随机数结合自身序列号组合及加密生成第四解答，将收到的第三解答和生成的第四解答做比对，如果比对一致，则视为所述内网服务器通过所述巡检服务器的认证，否则，判定本次认证失败。

具体的，二次挑战应答安全确认机制包括：根据一个可配置的时间周期，所述内网服务器主动向所述巡检服务器发送包含一个32位随机数的挑战数据，所述随机数在一定时间内有效，且一旦认证失败或超时就失效，所述巡检服务器生成一个新的随机数；所述巡检服务器收到所述挑战数据后根据加密算法将所述随机数和其序列号进行组合及加密得到解答，并同样生成一个32位随机数作为挑战，将所述解答和挑战一起发回给所述内网服务器；所述内网服务器收到后，根据所述加密算法和巡检服务序列号计算出自己的解答，如果收到的所述解答和自己的解答一致，则视为所述巡检服务器通过所述内网服务器的认证；然后用同样的方式根据来自所述巡检服务器的随机数生成解答，返回给所述巡检服务器；所述巡检服务器按同样的方式检验解答是否正确，正确则视为所述内网服务器通过所述巡检服务器的认证。

定期自动更新密钥和检查使用地址、使用时间的动态策略，使得更新周期小于不法入侵者破解密钥、攻击成功的时间，保护密钥和网络的安全性。

结合挑战应答机制和二次认证机制的双向认证方法：内网服务定期向巡检服务发送包含随机内容的挑战数据，巡检服务收到后按照特定的加密方法处理并返回合理的解答以及自己生成的随机挑战数据。内网服务使用同样的加密方法验证解答是否一致，一致则视为与之通信的巡检服务正常，然后按同样的方式解答巡检服务的挑战发送解答，最后巡检服务验证解答是否通过，通过则视为与之通信的内网服务正常，继续数据传输。整个过程中有一项未通过视为验证失败，日志记录异常，发送警告信息给系统管理员做进一步处理。

在本公开中参照附图来描述本发明的各方面，附图中示出了许多说明的实施例。本公开的实施例不必定义在包括本发明的所有方面。应当理解，上面介绍的多种构思和实施例，以及下面更加详细地描述的那些构思和实施方式可以以很多方式中任意一种来实施，这是因为本发明所公开的构思和实施例并不限于任何实施方式。另外，本发明公开的一些方面可以单独使用，或者与本发明公开的其他方面的任何适当组合来使用。

虽然本发明已以较佳实施例揭露如上，然其并非用以限定本发明。本发明所属技术领域中具有通常知识者，在不脱离本发明的精神和范围内，当可作各种的更动与润饰。因此，本发明的保护范围当视权利要求书所界定者为准。

Claims (10)

1.一种无人机电力巡检数据安全传输系统，其特征在于，所述系统包括文件交换模块，处于公网的至少一个巡检服务器、与所述至少一个巡检服务器进行数据通信的第一转发服务器，以及处于内网的至少一个内网服务器、与所述至少一个内网服务器进行数据通信的第二转发服务器；

所述第一转发服务器通过文件交换模块与第二转发服务器进行数据交互；

所述内网服务器将巡检任务和查询数据经由第二转发服务器发送至第一转发服务器、以及从第二转发服务器上下载巡检数据；

所述巡检服务器与至少一个无人机进行数据通信，接收无人机上传的巡检数据，将巡检数据经由第一转发服务器发送至第二转发服务器，以及从第一转发服务器上下载巡检任务和查询数据，将巡检任务解析后分发至对应的无人机；

所述巡检服务器上配置有一个唯一的密钥和唯一与之绑定的随机序列号，所述密钥和随机序列号注册在第一转发服务器上，用以加密传输巡检服务器和第一转发服务器之间的交互数据、以及认证巡检服务器的身份；

所述第一转发服务器和第二转发服务器上分别配置有相匹配的公钥、私钥，用以加密传输第一转发服务器和第二转发服务器之间的交互数据；

所述无人机电力巡检数据安全传输系统还包括文件安检模块，所述文件安检模块用于检测第一转发服务器和第二转发服务器、第二转发服务器和内网服务器之间的交互数据的合法性和有效性。

2.根据权利要求1所述的无人机电力巡检数据安全传输系统，其特征在于，所述文件安检模块安装在第二转发服务器中；

所述文件安检模块用于根据预设的配置规则生成多个带条件信息的安检模式，多个所述安检模式组合链接为状态机，采用状态机对第一转发服务器和第二转发服务器之间的交互数据进行内容检测。

3.根据权利要求2所述的无人机电力巡检数据安全传输系统，其特征在于，所述状态机包含一个入口、多个出口；

所述文件安检模块将第一转发服务器和第二转发服务器之间的交互数据经由状态机入口导入状态机进行内容匹配，交互数据根据匹配结果经由其中一个状态机出口导出，文件安检模块根据交互数据的出口类型和匹配结果判断安检结果。

4.根据权利要求2所述的无人机电力巡检数据安全传输系统，其特征在于，所述预设的配置规则包括模式特征、模式的应用范围以及例外规则；

所述模式特征是指包含至少一条特征匹配表达式的数组，每条所述特征匹配表达式定义了匹配一类特定类型数据的方法，所述特定类型数据包括数据格式和关键字；

所述应用范围是指包含至少一条应用匹配表达式的数组，每条所述应用匹配表达式定义了具有任意一种特征或属性的一个或一类对象；

当所述应用范围不足以满足需求或存在临时授权操作时采用所述例外规则，所述例外规则是包含0条或多条属性定义的数组，每条属性精确定义了一种属性的值或类型，用于和待匹配值进行精确比对。

5.根据权利要求1所述的电力巡检数据安全传输系统，其特征在于，所述无人机电力巡检数据安全传输系统还包括用于对请求的用户和传输的数据进行权限控制和安全验证的白名单系统；

所述白名单系统包括安装在第一转发服务器中的第一白名单模块，以及安装在第二转发服务器中的第二白名单模块；

所述第一白名单模块存储有第一白名单，第一白名单包括IP地址、有效时间以及用户信息；所述第二白名单模块存储有第二白名单，第二白名单包括所有具有向外传输数据权限的内网服务器的网段、物理地址以及用户信息；

所述第一转发服务器响应于接收到用户请求，将该用户请求中所包含的信息与第一白名单白名单做比对，如果所述IP地址、有效时间和用户信息均比对成功，调取所述用户信息所映射的访问规则表，所述访问规则表包括数据关键词过滤规则、请求控制以及数据访问控制。

6.根据权利要求5所述的电力巡检数据安全传输系统，其特征在于，所述访问规则表采用节点方式对对象进行管理，每个对象对应一个节点以构成树状结构，相互连接的两个节点由上至下被定义成父节点和子节点，通过赋予父节点不超过自身数据访问控制权限的属下的子节点的访问规则表设置权限；

所述父节点具有向子节点发送巡检任务或者数据的权限。

7.根据权利要求5所述的电力巡检数据安全传输系统，其特征在于，所述数据关键词过滤规则用于判断用户发送的数据中是否包含第一预设关键字集合和/或不包含第二预设关键字集合；

所述请求控制用于判断用户发来的数据中是否包含请求、是否允许所述请求执行、是否存在超过权限的请求、整组数据是否为非法数据；

所述数据访问控制用于限定用户只可从所述内网获取有权限得到的返回信息。

8.根据权利要求1所述的电力巡检数据安全传输系统，其特征在于，每个所述巡检服务器均配置有一个唯一的传输密钥和唯一与之绑定的随机序列号；每个所述巡检服务器的唯一的密钥及其随机序列号均注册在所述第一转发服务器中；

所述巡检服务器采用自身唯一传输密钥加密原始数据以生成巡检数据，将巡检数据和自身序列号发送至第一转发服务器；所述第一转发服务器接收巡检服务器发送的巡检数据，根据序列号查找到对应的巡检服务器的传输密钥，解密巡检数据以获取原始数据；

所述第一转发服务器和所述第二转发服务器具有一对公钥和私钥，所述第二转发服务器内设有所述私钥，所述第一转发服务器内设有所述公钥；所述第一转发服务器与第二转发服务器之间的交互数据分别通过公钥、私钥加密后传输。

9.根据权利要求8所述的电力巡检数据安全传输系统，其特征在于，所述无人机电力巡检数据安全传输系统还包括动态安全策略模块，所述动态安全策略模块包括密钥周期更新单元、实时安全监控单元以及二次挑战应答安全确认单元；

所述密钥周期更新单元用于定期更新加密传输数据使用的密钥，更新的密钥包括巡检服务器和第一转发服务器中存储的每个巡检服务器对应的密钥和随机序列号、第二转发服务器中的私钥、第一转发服务器中的公钥；

所述实时安全监控单元用于分析第一转发服务器接收到的巡检服务器发送的数据以监控巡检服务器的工作状态：

如果下述两个条件中的其中一个成立：1)任意一个巡检服务器的密钥是同时存在多地使用；2)任意一个巡检服务器常用网段、常用地突然变化，判断该巡检服务器为异常工作状态，生成警报信号，暂停该巡检服务器向内网传入及获取数据的权限、日志记录异常、发送警告信息至指定客户端；

所述二次挑战应答安全确认单元设置有二次挑战应答安全确认机制，用于定期发起内网服务器和巡检服务器之间的安全认证流程；

所述二次挑战应答安全确认机制包括以下步骤：

根据一个可配置的时间周期，所述内网服务器向所述巡检服务器发送包含第一随机数的第一挑战数据，所述第一随机数在设定时间内有效；

所述巡检服务器接收所述第一挑战数据后根据加密算法将所述第一随机数和其序列号进行组合及加密得到第一解答，并生成包含第二随机数的第二挑战数据，将第一解答和第二挑战数据一起发回给所述内网服务器；

所述内网服务器接收第一解答和第二挑战数据，根据加密算法将第一随机数结合内部存储的对应的巡检服务器的序列号组合及加密生成第二解答，将收到的第一解答和生成的第二解答做比对，如果比对一致，则视为所述巡检服务器通过所述内网服务器的认证，否则，判定本次认证失败；

所述内网服务器根据加密算法将第二随机数结合内部存储的对应的巡检服务器的序列号组合及加密生成第三解答，将第三解答返回给所述巡检服务器；

所述巡检服务器根据加密算法将第二随机数结合自身序列号组合及加密生成第四解答，将收到的第三解答和生成的第四解答做比对，如果比对一致，则视为所述内网服务器通过所述巡检服务器的认证，否则，判定本次认证失败。

10.一种电力巡检数据安全传输方法，其特征在于，所述方法包括：

S10：巡检服务器采用自身唯一传输密钥加密原始数据以生成巡检数据，将巡检数据和自身序列号发送至第一转发服务器；

S20：第一转发服务器根据所述巡检数据中的序列号在第一白名单中查找所述巡检服务器对应的密钥，如查到，则执行S30，否则，则执行S110；

S30：所述第一转发服务器采用查找到的所述密钥解密巡检数据获得原始数据，采用公钥对所述原始数据和所述巡检服务器对应的序列号进行加密，转换生成第一文件，将第一文件通过文件交换模块发送至第二转发服务器；

S40：所述第二转发服务器解析所述第一文件，采用私钥解密获得所述原始数据，通过文件安检模块对所述原始数据进行安全验证，以及根据所述原始数据包含的内网地址在第二白名单中查找是否存在对应的内网服务器，如果通过安全验证并且查到存在对应的内网服务器，则执行S50，否则，则执行S110；

S50：所述第二转发服务器发送相应的内网请求给所述内网服务器，所述内网服务器分析所述内网请求并反馈相应的内网数据至所述第二转发服务器；

S60：所述第二转发服务器验证所述内网数据是否在第二白名单上，如在，则执行S70，否则，则执行S110；

S70：所述第二转发服务器进一步验证所述内网数据是否含有敏感及不应流出的内容，如通过，则执行S70，否则，则执行S110；

S80：所述第二转发服务器将所述内网数据通过私钥进行加密转换为内网文件，并将所述内网文件通过所述文件交换模块发送至所述第一转发服务器；

S90：所述第一转发服务器解析所述内网文件，采用公钥对内网文件进行解密获取所述内网数据，再根据所述巡检服务器的序列号找到对应的密钥，用所述密钥对所述内网数据进行加密并发送至对应的巡检服务器；

S100：所述巡检服务器执行所述内网数据对应的巡检任务；

S110：将本次数据交互视为不合法请求和异常事件，记录相应日志，判断异常事件的严重等级，根据预先设定的模式来进行后续处理。