CN113473470A - 基于5g的充电桩组网通信系统及双向通信方法 - Google Patents
基于5g的充电桩组网通信系统及双向通信方法 Download PDFInfo
- Publication number
- CN113473470A CN113473470A CN202110739077.0A CN202110739077A CN113473470A CN 113473470 A CN113473470 A CN 113473470A CN 202110739077 A CN202110739077 A CN 202110739077A CN 113473470 A CN113473470 A CN 113473470A
- Authority
- CN
- China
- Prior art keywords
- terminal
- gateway
- security
- module
- charging pile
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000006854 communication Effects 0.000 title claims abstract description 57
- 238000004891 communication Methods 0.000 title claims abstract description 56
- 230000006855 networking Effects 0.000 title claims abstract description 24
- 238000000034 method Methods 0.000 title claims abstract description 18
- 230000007175 bidirectional communication Effects 0.000 title claims abstract description 12
- 238000012544 monitoring process Methods 0.000 claims description 32
- 230000011664 signaling Effects 0.000 claims description 30
- 238000002955 isolation Methods 0.000 claims description 29
- 230000005540 biological transmission Effects 0.000 claims description 12
- 238000012545 processing Methods 0.000 claims description 8
- 238000001914 filtration Methods 0.000 claims description 7
- 230000003287 optical effect Effects 0.000 claims description 7
- 238000004458 analytical method Methods 0.000 claims description 4
- 230000006870 function Effects 0.000 description 8
- 238000001514 detection method Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 238000012423 maintenance Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 230000008676 import Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000007711 solidification Methods 0.000 description 1
- 230000008023 solidification Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/088—Access security using filters or firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/256—NAT traversal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于5G的充电桩组网通信系统及双向通信方法,所述系统包括配电管理系统、第一5G安全网关、第一5G安全终端以及与所述第一5G安全终端对应的多个充电桩;所述第一5G安全网关与所述配电管理系统相连;所述第一5G安全网关与第一5G安全终端通过I PSec隧道相连;所述第一5G安全终端与所述多个充电桩相连。采用本发明实施例,保证了配电管理系统与充电桩通信的时效性、连续性与可靠性,让基于充电桩的智慧化综合服务的数据安全得到保障。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种基于5G的充电桩组网通信系统及双向通信方法。
背景技术
充电桩将成为未来汽车物联网的入口,充电服务时间普遍在数十分钟乃至数小时之间,这就给高附加值服务提供了空间,在充电期间,充电站可以提供汽车检测、汽车保养维护等服务,还可以通过开发APP,实现手机预约、网上付费、到站充电兼维修保养的流程,打通厂商、消费者到服务商的整个产业链,打造综合服务生态圈。而安全性的提高,将大大推动充电桩的智慧化综合服务生态圈打造。
但是,目前的充电桩一般通过快速以太网(fast ethernet,FE)或者其他连接方式与充电站网关建立有线连接,充电站网关通过快速以太网与充电桩营运平台所在充电桩营维平台建立连接,通过充电桩营运平台实现对充电桩的管控;另外,充电桩一般通过3G、4G等无线网络直接与充电桩营运平台建立网络连接。然而,有线网连接布网复杂、扩展性差、施工成本高、灵活性差、通信容量低,无线网连接因充电桩各自分离组网,维护困难。而且,无论是有线网还是无线网,充电桩营运平台与充电桩的通信安全性都得不到保障,若不能保证通信的安全性那么基于充电桩的智慧化综合服务更是无从谈起。
发明内容
本发明实施例提供一种5G充电桩组网通信系统及双向通信方法,引入5G安全网关与5G安全终端,保证数据传输时效性,并在5G安全网关与5G安全终端之间建立IPSec VPN安全隧道,保护配电管理系统(充电桩营运平台)与充电桩的通信数据的安全性。
本申请实施例的第一方面提供了一种基于5G的充电桩组网通信系统,包括配电管理系统、第一5G安全网关、第一5G安全终端以及与所述第一5G安全终端对应的多个充电桩;所述第一5G安全网关与所述配电管理系统相连;所述第一5G安全网关与第一5G安全终端通过IPSec隧道相连;所述第一5G安全终端与所述多个充电桩相连;
其中,所述第一5G安全网关包括内端机、隔离硬件和外端机;所述外端机配备防火墙模块和基于网络层的网闸隔离模块,用于实现对外网网络数据的分析和隔离过滤;所述内端机配备网关IPSec VPN虚拟专网模块和PCI密码卡,所述PCI密码卡用于为所述网关IPSec VPN虚拟专网模块提供密码服务,所述网关IPSec VPN虚拟专网模块实现虚拟专网数据的处理;所述隔离硬件配备单向光隔离模块,用于转发合法的终端监测数据包;所述内端机与所述外端机通过所述隔离硬件相连;
所述第一5G安全终端包括终端IPSec VPN虚拟专网模块和加密模块;所述加密模块包括密码芯片与随机源产生芯片,用于为所述终端IPSec VPN虚拟专网模块提供密码服务。
在第一方面的一种可能的实现方式中,所述基于5G的充电桩组网通信系统还包括第二5G安全网关;所述第一5G安全网关与所述第二5G安全网关通过心跳线连接,且所述第一5G安全网关与所述第二5G安全网关共用一个工作IP;所述工作IP配置主安全网关设备上,所述主安全网关设备是指处于主状态的第一5G安全网关或处于主状态的所述第二5G安全网关,第一5G安全网关为默认的主安全网关设备。
在第一方面的一种可能的实现方式中,所述第一5G安全终端还包括闪存模块和内存模块,所述闪存模块用于为所述终端IPSec VPN虚拟专网模块提供运行的空间,所述内存模块用于为所述终端IPSec VPN虚拟专网模块提供存储空间。
在第一方面的一种可能的实现方式中,所述第一5G安全网关配备路由表模块,所述路由表模块用于根据管理员事先设置好的路由列表,对终端监测数据包进行分析,指导所述终端监测数据包行走路径。
在第一方面的一种可能的实现方式中,所述第一5G安全网关配备网关NAT穿越模块,所述网关NAT穿越模块用于使IP数据流能够穿越网络中的NAT设备。
在第一方面的一种可能的实现方式中,所述第一5G安全终端配备终端NAT穿越模块,所述终端NAT穿越模块用于使IP数据流能够穿越网络中的NAT设备。
本申请实施例的第二方面提供了一种双向通信方法,应用于上述基于5G的充电桩组网通信系统,包括:
所述第一5G安全网关与所述第一5G安全终端通过密钥协商建立IPSec VPN安全隧道,所述密钥协商支持对称密码算法、对称密码算法、密码杂凑算法;
所述第一5G安全网关利用PCI密码卡所述对待发送的网关应用数据、网关控制信令进行加密,并且对所述第一5G安全终端传输过来的终端监测数据、终端控制信令进行解密,还原出原始的终端监测数据和终端控制信令;
所述第一5G安全终端利用密码芯片对待发送的终端监测数据、终端控制信令进行加密,并且对所述第一5G安全网关传输过来的网关应用数据、网关控制信令进行解密,还原出原始的网关应用数据和网关控制信令,传输给所述多个充电桩;
所述网关应用数据、网关控制信令、终端监测数据、终端控制信令采用不同的传输密钥加解密,所述传输密钥基于通讯双方动态协商并动态更新。
在第二方面的一种可能的实现方式中,所述所述第一5G安全网关与所述第一5G安全终端通过密钥协商建立IPSec VPN安全隧道,具体包括:
确认工作密钥,建立ISAKMP SA;
根据所述ISAKMP SA建立IPSEC SA,确定所述第一5G安全网关与所述第一5G安全终端之间的IPSEC安全策略和会话密钥。
在第二方面的一种可能的实现方式中,所述双向通信方法还包括:
所述第一5G安全终端向所述第一5G安全网关发送心跳信息,通知第一5G安全网关现时所述第一5G安全终端的状态;
所述第一5G安全网关记录所述第一5G安全终端防护设备的终端设备信息,所述终端设备信息包括第一5G安全终端在线状态、加密状态、策略状态、故障状态、软件版本、终端厂商、终端IP地址和所述多个充电桩工作状态。
相比于现有技术,本发明实施例提供了一种基于5G的充电桩组网通信系统及双向通信方法,将原有充电桩通信方式更换为5G,更换5G安全终端与5G卡保证数据传输的时效性;在充电桩群加装5G安全终端以获取加密防护功能,与配电管理侧的5G安全网关联调,签发数字证书,调试加密IPSEC隧道,保证配电管理系统与充电桩通信的稳定性和安全性,5G安全网关采用加密卡,用加密卡主密钥进行加密,密文保存CF存储卡中,加密卡主密钥保存在密码卡中,由密码卡保护机制进行保存,5G安全终端采用加密芯片,所有加解密、签名算法都由专用硬件实现,无法更改和旁路,稳定、安全、可靠、高效。
此外,与配电管理系统相连的还可以有另一个5G安全网关,两台5G安全网关之间通过心跳、检测、协商等机制,确定新的主从关系。切换后,新的主设备重新与终端加密装置进行密钥协商及加密通信。当主、备装置发生切换时,在短时间内可恢复到正常工作状态,保障配电管理系统与充电桩通信的连续性与可靠性。
附图说明
图1是本发明一实施例提供的一种基于5G的充电桩组网通信系统的结构示意图;
图2是本发明一实施例提供一种基于5G的充电桩组网通信系统中的第一5G安全网关处于主状况的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参照图1,本发明实施例提供了一种基于5G的充电桩组网通信系统,所述系统包括配电管理系统10、第一5G安全网关20、第一5G安全终端30以及与所述第一5G安全终端对应的多个充电桩40;所述第一5G安全网关20与所述配电管理系统10相连;所述第一5G安全网关20与第一5G安全终端30通过IPSec隧道相连;所述第一5G安全终端30与所述多个充电桩40相连。
其中,所述第一5G安全网关20包括内端机、隔离硬件和外端机;所述外端机配备防火墙模块和基于网络层的网闸隔离模块,用于实现对外网网络数据的分析和隔离过滤;所述内端机配备网关IPSec VPN虚拟专网模块和PCI密码卡,所述PCI密码卡用于为所述网关IPSec VPN虚拟专网模块提供密码服务,所述网关IPSec VPN虚拟专网模块实现虚拟专网数据的处理;所述隔离硬件配备单向光隔离模块,用于转发合法的终端监测数据包;所述内端机与所述外端机通过所述隔离硬件相连;
所述第一5G安全终端30包括终端IPSec VPN虚拟专网模块和加密模块;所述加密模块包括密码芯片与随机源产生芯片,用于为所述终端IPSec VPN虚拟专网模块提供密码服务。
需要说明的是,本发明实施例中第一5G安全网关20硬件架构采用“2+1”模型结构设计,即内端机、外端机及与隔离硬件。内端机、外端机均采用专有工控主板设计,性能稳定、质量可靠。外端机配备防火墙模块和基于网络层的网闸隔离模块,实现对外网网络数据的分析和隔离过滤。更具体而言,防火墙模块实现了基于策略的访问控制,实现了基于IP、传输协议、应用端口号等五元组终端监测数据包的过滤。集成了电力通信规约的综合报文过滤,能够根据系统配置策略对电力通信规约101/104实行拦截或透传,可防御ARPAttack、Ping Attack、Ping of Death Attack、DDOS等攻击。网闸隔离模块实现基于网络层的数据包过滤,过滤非法业务数据包,利用单向光隔离模块转发合法的终端监测数据包,通过控制合法终端监测数据包的长度,防御UDP FLOOD、TCP FLOOD等网络攻击。
内端机配备网关IPSec VPN虚拟专网模块和专用PCI密码卡,其中PCI密码卡为网关IPSec VPN虚拟专网模块提供可靠高安全的密码服务,IPSec VPN虚拟专网模块实现虚拟专网数据的处理。在本实施例中,外网网络数据一般是指来自5G终端的监测数据与终端设备数据。
内外主机由隔离硬件相连,隔离硬件可以选择采用高安全的单向隔离光网卡,单向隔离光网卡基于专有的ASIC安全隔离芯片和交换芯片,采用专用的单向发送和单向接受光模块进行数据通信,是内外网主机系统唯一的连接部件,因此内外主机之间不存在任何网络设备连接。其中,ASIC安全隔离芯片通过多线程并行固化处理将数据块转化为自有协议格式的数据包,交换芯片的交换子系统和开关控制子系统实现对数据的临时缓存和安全交换。
在本实施例中,第一5G安全终端30中主要参与工作的硬件模块,分别有CPU、内存、Flash闪存、网卡等硬件模块,外扩两块密码芯片与两个随机源产生芯片,其中密码芯片支持国家密码管理局审批的SM1、SM2、SM3算法,两个随机源产生芯片形成硬件双随机源。
其中,CPU主要负责操作系统的调度、处理虚拟专网请求等工作,外扩的密码芯片与随机源产生芯片构成加密模块,为虚拟专网模块提供高性能、安全的密码服务,内存为虚拟专网模块提供运行的空间,TF存储卡为终端虚拟专网模块提供存储空间,网卡用于接收和发送虚拟专用。第一5G安全终端30启动后,系统会把虚拟专网模块读到内存中,并对模块所用到的部件进行正确性检验(如加密芯片SM1、SM3算法的正确性、随机数质量检验等)。检验通过后,虚拟专网模块会驻留在内存中,等待专网请求。当进行通信时,CPU会进行专网模块的运算和调度,同时调用加密模块的密码服务,完成整个加密通信的处理。
在实际应用中,一般由一个5G安全终端负责将收集到的多个充电桩监测数据的传送,多个充电桩形成一个充电桩群,一个充电桩群对应着一个一个5G安全终端,充电桩群的划分需要根据实际应用场景而制定。
第一5G安全网关20与第一5G安全终端30通过密钥协商建立安全通讯,采用国密标准算法SM1、SM2、SM3等,参照国密《IPSEC VPN技术规范》,进行密钥协商。建立完安全隧道之后(网关IPSec VPN虚拟专网模块与终端IPSec VPN虚拟专网模块之间形成一条虚拟通道),第一5G安全终端30对待发送监测数据、控制信令进行加密,并且对安全防护主站设备5G安全网关传输过来的数据进行解密,还原出原始的网关应用数据和网关控制信令流,传输给第一5G安全终端30对应的多个充电桩。
相比于现有技术,本发明实施例提供的的基于5G的充电桩组网通信系统及双向通信方法,将原有充电桩通信方式更换为5G,更换5G安全终端与5G卡保证数据传输的时效性;在充电桩群加装5G安全终端以获取加密防护功能,与配电管理侧的5G安全网关联调,签发数字证书,调试加密IPSEC隧道,保证配电管理系统与充电桩通信的稳定性和安全性,5G安全网关采用加密卡,用加密卡主密钥进行加密,密文保存CF存储卡中,加密卡主密钥保存在密码卡中,由密码卡保护机制进行保存,5G安全终端采用加密芯片,所有加解密、签名算法都由专用硬件实现,无法更改和旁路,稳定、安全、可靠、高效。
示例性地,参考图2,所述基于5G的充电桩组网通信系统还包括第二5G安全网关21;所述第一5G安全网关20与所述第二5G安全网关21通过心跳线连接,且所述第一5G安全网关20与所述第二5G安全网关21共用一个工作IP;所述工作IP配置主安全网关设备上,所述主安全网关设备是指处于主状态的第一5G安全网关20或处于主状态的所述第二5G安全网关21,第一5G安全网关20为默认的主安全网关设备。
两台加密网关之间(所述第一5G安全网关20与所述第二5G安全网关21)通过心跳、检测、协商等机制,确定新的主从关系。切换后,新的主设备重新与终端加密装置进行密钥协商及加密通信。当主、备装置发生切换时,在短时间内(比如说30秒内)可恢复到正常工作状态,保障配电管理系统与充电桩通信的连续性。两台加密网关形成双机冗余备份,支持5G终端加密装置远程集中管理及状态监控,更能保证收集充电桩工作信息时的稳定性。
当主设备及所在链路出现故障时,能够快速将认证和加密传输处理工作切换至备设备中,保障配电管理系统与充电桩通信的连续性。在配电管理系统和5G安全网关设备的路径上,任何环节,包括设备或链路出现故障,5G安全网关都应该正确识别,配合实现路径切换,同一时刻只有主链路有业务数据通过,备链路无业务数据通过。
主、备加密网关只有一个工作IP,通过主从状态选举,工作IP配置在主设备上,当主、备状态发生切换时,工作IP自动飘移到备设备上,备设备升为主设备,因此对于远端的终端加密装置看来,它们就是一台加密网关。
示例性地,所述第一5G安全终端30还包括闪存模块和内存模块,所述闪存模块用于为所述终端IPSec VPN虚拟专网模块提供运行的空间,所述内存模块用于为所述终端IPSec VPN虚拟专网模块提供存储空间。
通过闪存模块和内存模块对报文数据加速处理:首先,将加密算法缓存到FLASH上,直接读取加密,可大大提升加解密速度;其次,针对技术规范,合理调整密钥交互过程与频率,提升整体数据传输效率;最后,独特的代理功能、重复报文索引缓存技术,有效降低带宽与数据量,也可提升数据传输的速度。
示例性地,所述第一5G安全网关20配备路由表模块,所述路由表模块用于根据管理员事先设置好的路由列表,对终端监测数据包进行分析,指导所述终端监测数据包行走路径。
在实际应用中,管理员可以根据管理员事先设置好的路由列表,对来自第一5G安全终端20的充电桩监测数据包进行分析,将第一5G安全终端30与第一5G安全网关20之间的最佳网络通道告知第一5G安全终端,以便后续所述终端监测数据包(充电桩监测数据包)选择最优路径达到第一5G安全网关20。
示例性地,所述第一5G安全网关配备网关NAT穿越模块,所述网关NAT穿越模块用于使IP数据流能够穿越网络中的NAT设备。所述第一5G安全终端配备终端NAT穿越模块,所述终端NAT穿越模块用于使IP数据流能够穿越网络中的NAT设备。
第一5G安全网关20和第一5G安全终端30都具有NAT设备穿越功能,IPSec穿越NAT特性让IPSec数据流能够穿越网络中的NAT设备。NAT穿越由三个部分组成:首先判断通信的双方是否支持NAT穿越,其次检测双方之间的路径上是否存在NAT,最后决定如何使用UDP封装来处理NAT穿越。
示例性地,5G安全网关后台管理界面还集成了批量导入导出配置的功能,通过Web管理界面,可对设备的安全策略、业务端网络配置等设备配置实行批量导入导出,方便管理员进行管理和更新。除此以外,管理员还可以通过控制台远程控制终端防护设备,更改终端相关的配置信息。
通过后台管理界面日志和审计功能,可以查询到所有的系统事件都有相关的日志记录。日志按照事件种类进行分类存储方便用户查阅,大大降低了系统的维护成本。
本发明一实施例提供了一种双向通信方法,应用于上述基于5G的充电桩组网通信系统,包括:
S10、所述第一5G安全网关与所述第一5G安全终端通过密钥协商建立IPSec VPN安全隧道,所述密钥协商支持对称密码算法、对称密码算法、密码杂凑算法。
S11、所述第一5G安全网关利用PCI密码卡所述对待发送的网关应用数据、网关控制信令进行加密,并且对所述第一5G安全终端传输过来的终端监测数据、终端控制信令进行解密,还原出原始的终端监测数据和终端控制信令。
S12、所述第一5G安全终端利用密码芯片对待发送的终端监测数据、终端控制信令进行加密,并且对所述第一5G安全网关传输过来的网关应用数据、网关控制信令进行解密,还原出原始的网关应用数据和网关控制信令,传输给所述多个充电桩。
所述网关应用数据、网关控制信令、终端监测数据、终端控制信令采用不同的传输密钥加解密,所述传输密钥基于通讯双方动态协商并动态更新。
S10中提及的算法参照下表:
表1 5G安全网关和5G安全终端主要支持算法
第一5G安全网关和第一5G安全终端遵照《GM/T 0022-2014IPSec VPN技术规范》规定的密钥交换协议和安全报文协议进行工作。
(1)密钥交换协议
密钥交换协议分为两个阶段,第一阶段用于保护它们之间的通讯而使用的共享策略和密钥,实现通讯双方的身份认证和密钥协商,得到工作密钥,建立ISAKMP SA,第二阶段是使用第一阶段建立的ISAKMP SA建立IPSEC SA,确定通讯双方的IPSEC安全策略和会话密钥。
(2)安全报文协议
第一5G安全网关支持封装安全载荷(ESP)的安全报文协议检测,ESP提供了机密性、数据源鉴别、无连接的完整性、抗重放攻击服务和有限信息流量保护。
示例兴地,所述双向通信方法还包括:
S13、所述第一5G安全终端向所述第一5G安全网关发送心跳信息,通知第一5G安全网关现时所述第一5G安全终端的状态。
S14、所述第一5G安全网关记录所述第一5G安全终端防护设备的终端设备信息,所述终端设备信息包括第一5G安全终端在线状态、加密状态、策略状态、故障状态、软件版本、终端厂商、终端IP地址和所述多个充电桩工作状态。
第一5G安全网关20可配合第一5G安全终端30形成充电桩监测安全通信平台,当第一5G安全终端30与第一5G安全网关20成功完成密钥交换和建立隧道后,第一5G安全网关20会记录连接过来的第一5G安全终端30的相关信息,包括终端防护设备在线状态、加密状态、策略状态、故障状态、软件版本、终端厂商、终端IP地址以及第一5G安全终端30对应的多个充电桩工作状态,同时在通信过程中,第一5G安全终端30会向第一5G安全网关20发送心跳信息,通知第一5G安全网关20现时第一5G安全终端30的状态,除此以外,管理员还可以通过控制台远程控制第一5G安全终端30,更改第一5G安全终端30相关的配置信息。
在上述实施例的基础上,可以在配电管理系统上建立一个充电运营管理平台,为新能源电动汽车充电桩运营商提供对充电站/桩、新能源汽车车主、合作方的充电运营管理服务,在拥有基础充电业务管理的前提下,可扩展子运营商、促销活动、终端管理、财务结算、数据统计、退款、转账、平台接入商、大数据分析等功能模块,领跑新能源电动汽车设施充电运营管理领域。
充电运营管理平台的运营数据从第一5G安全网关20处分析获得:运营数据是对第一5G安全网关20收到的来自第一安全终端30的充电桩工作数据进行解密分析后获得的,由于配电管理系统与充电桩通信的时效性、连续性与可靠性,可以让充电运营管理平台实时、准确、安全地获取充电桩的工作状态并以此为基准开展基于充电桩的智慧化综合服务。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围。
Claims (10)
1.一种基于5G的充电桩组网通信系统,其特征在于,包括配电管理系统、第一5G安全网关、第一5G安全终端以及与所述第一5G安全终端对应的多个充电桩;所述第一5G安全网关与所述配电管理系统相连;所述第一5G安全网关与第一5G安全终端通过IPSec隧道相连;所述第一5G安全终端与所述多个充电桩相连;
其中,所述第一5G安全网关包括内端机、隔离硬件和外端机;所述外端机配备防火墙模块和基于网络层的网闸隔离模块,用于实现对外网网络数据的分析和隔离过滤;所述内端机配备网关IPSec VPN虚拟专网模块和PCI密码卡,所述PCI密码卡用于为所述网关IPSecVPN虚拟专网模块提供密码服务,所述网关IPSec VPN虚拟专网模块实现虚拟专网数据的处理;所述隔离硬件配备单向光隔离模块,用于转发合法的终端监测数据包;所述内端机与所述外端机通过所述隔离硬件相连;
所述第一5G安全终端包括终端IPSec VPN虚拟专网模块和加密模块;所述加密模块包括密码芯片与随机源产生芯片,用于为所述终端IPSec VPN虚拟专网模块提供密码服务。
2.如权利要求1所述的基于5G的充电桩组网通信系统,其特征在于,还包括第二5G安全网关;所述第一5G安全网关与所述第二5G安全网关通过心跳线连接,且所述第一5G安全网关与所述第二5G安全网关共用一个工作IP;所述工作IP配置主安全网关设备上,所述主安全网关设备是指处于主状态的第一5G安全网关或处于主状态的所述第二5G安全网关,第一5G安全网关为默认的主安全网关设备。
3.如权利要求1所述的基于5G的充电桩组网通信系统,其特征在于,还包括其他多个5G安全终端和其他每个5G安全终端对应的多个充电桩。
4.如权利要求1所述的基于5G的充电桩组网通信系统,其特征在于,所述第一5G安全终端还包括闪存模块和内存模块,所述闪存模块用于为所述终端IPSec VPN虚拟专网模块提供运行的空间,所述内存模块用于为所述终端IPSec VPN虚拟专网模块提供存储空间。
5.如权利要求1所述的基于5G的充电桩组网通信系统,其特征在于,所述第一5G安全网关配备路由表模块,所述路由表模块用于根据管理员事先设置好的路由列表,对终端监测数据包进行分析,指导所述终端监测数据包行走路径。
6.如权利要求1所述的基于5G的充电桩组网通信系统,其特征在于,所述第一5G安全网关配备网关NAT穿越模块,所述网关NAT穿越模块用于使IP数据流能够穿越网络中的NAT设备。
7.如权利要求1所述的基于5G的充电桩组网通信系统,其特征在于,所述第一5G安全终端配备终端NAT穿越模块,所述终端NAT穿越模块用于使IP数据流能够穿越网络中的NAT设备。
8.一种双向通信方法,其特征在于,应用于如权利要求1-7任一项所述的基于5G的充电桩组网通信系统,包括:
所述第一5G安全网关与所述第一5G安全终端通过密钥协商建立IPSec VPN安全隧道,所述密钥协商支持对称密码算法、对称密码算法、密码杂凑算法;
所述第一5G安全网关利用所述PCI密码卡所述对待发送的网关应用数据、网关控制信令进行加密,并且对所述第一5G安全终端传输过来的终端监测数据、终端控制信令进行解密,还原出原始的终端监测数据和终端控制信令;
所述第一5G安全终端利用所述密码芯片对待发送的终端监测数据、终端控制信令进行加密,并且对所述第一5G安全网关传输过来的网关应用数据、网关控制信令进行解密,还原出原始的网关应用数据和网关控制信令,传输给所述多个充电桩;
所述网关应用数据、网关控制信令、终端监测数据、终端控制信令采用不同的传输密钥加解密,所述传输密钥基于通讯双方动态协商并动态更新。
9.如权利要求8所述的双向通信方法,其特征在于,所述所述第一5G安全网关与所述第一5G安全终端通过密钥协商建立IPSec VPN安全隧道,具体包括:
确认工作密钥,建立ISAKMP SA;
根据所述ISAKMP SA建立IPSEC SA,确定所述第一5G安全网关与所述第一5G安全终端之间的IPSEC安全策略和会话密钥。
10.如权利要求8所述的双向通信方法,其特征在于,还包括:
所述第一5G安全终端向所述第一5G安全网关发送心跳信息,通知第一5G安全网关现时所述第一5G安全终端的状态;
所述第一5G安全网关记录所述第一5G安全终端防护设备的终端设备信息,所述终端设备信息包括第一5G安全终端在线状态、加密状态、策略状态、故障状态、软件版本、终端厂商、终端IP地址和所述多个充电桩工作状态。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110739077.0A CN113473470A (zh) | 2021-06-30 | 2021-06-30 | 基于5g的充电桩组网通信系统及双向通信方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110739077.0A CN113473470A (zh) | 2021-06-30 | 2021-06-30 | 基于5g的充电桩组网通信系统及双向通信方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113473470A true CN113473470A (zh) | 2021-10-01 |
Family
ID=77876709
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110739077.0A Pending CN113473470A (zh) | 2021-06-30 | 2021-06-30 | 基于5g的充电桩组网通信系统及双向通信方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113473470A (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20060108987A (ko) * | 2005-04-14 | 2006-10-19 | 주식회사 케이티프리텔 | 신호처리를 간소화시킨 IPsec 통신시스템, 통신방법및 그 기록매체 |
| CN103888334A (zh) * | 2012-12-20 | 2014-06-25 | 兴唐通信科技有限公司 | IP分组网中VoIP多层加密方法及系统 |
| EP3094058A1 (en) * | 2015-05-13 | 2016-11-16 | ADVA Optical Networking SE | Participation of an intermediary network device between a security gateway communication and a base station |
| CN107018134A (zh) * | 2017-04-06 | 2017-08-04 | 北京中电普华信息技术有限公司 | 一种配电终端安全接入平台及其实现方法 |
| CN108881224A (zh) * | 2018-06-19 | 2018-11-23 | 南方电网科学研究院有限责任公司 | 一种配电自动化系统的加密方法及相关装置 |
| CN210554297U (zh) * | 2019-09-09 | 2020-05-19 | 广州启宁信息科技有限公司 | 充电管理系统 |
| CN111526018A (zh) * | 2020-05-06 | 2020-08-11 | 广东纬德信息科技股份有限公司 | 一种基于电力配电的通信加密系统及通信加密方法 |
| CN112097227A (zh) * | 2020-11-05 | 2020-12-18 | 江苏广宇科技产业发展有限公司 | 一种基于5g的智慧灯杆综合智慧系统 |
| CN213028573U (zh) * | 2020-08-17 | 2021-04-20 | 西安诺瓦星云科技股份有限公司 | 网关系统、智慧屏和智慧杆 |
-
2021
- 2021-06-30 CN CN202110739077.0A patent/CN113473470A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20060108987A (ko) * | 2005-04-14 | 2006-10-19 | 주식회사 케이티프리텔 | 신호처리를 간소화시킨 IPsec 통신시스템, 통신방법및 그 기록매체 |
| CN103888334A (zh) * | 2012-12-20 | 2014-06-25 | 兴唐通信科技有限公司 | IP分组网中VoIP多层加密方法及系统 |
| EP3094058A1 (en) * | 2015-05-13 | 2016-11-16 | ADVA Optical Networking SE | Participation of an intermediary network device between a security gateway communication and a base station |
| CN107018134A (zh) * | 2017-04-06 | 2017-08-04 | 北京中电普华信息技术有限公司 | 一种配电终端安全接入平台及其实现方法 |
| CN108881224A (zh) * | 2018-06-19 | 2018-11-23 | 南方电网科学研究院有限责任公司 | 一种配电自动化系统的加密方法及相关装置 |
| CN210554297U (zh) * | 2019-09-09 | 2020-05-19 | 广州启宁信息科技有限公司 | 充电管理系统 |
| CN111526018A (zh) * | 2020-05-06 | 2020-08-11 | 广东纬德信息科技股份有限公司 | 一种基于电力配电的通信加密系统及通信加密方法 |
| CN213028573U (zh) * | 2020-08-17 | 2021-04-20 | 西安诺瓦星云科技股份有限公司 | 网关系统、智慧屏和智慧杆 |
| CN112097227A (zh) * | 2020-11-05 | 2020-12-18 | 江苏广宇科技产业发展有限公司 | 一种基于5g的智慧灯杆综合智慧系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110996318B (zh) | 一种变电站智能巡检机器人安全通信接入系统 | |
| CN107018134B (zh) | 一种配电终端安全接入平台及其实现方法 | |
| CN102882789B (zh) | 一种数据报文处理方法、系统及设备 | |
| US9461975B2 (en) | Method and system for traffic engineering in secured networks | |
| EP3432523B1 (en) | Method and system for connecting a terminal to a virtual private network | |
| CN102347870B (zh) | 一种流量安全检测方法、设备和系统 | |
| US8327129B2 (en) | Method, apparatus and system for internet key exchange negotiation | |
| US7441262B2 (en) | Integrated VPN/firewall system | |
| CN111726366A (zh) | 设备通信方法、装置、系统、介质和电子设备 | |
| EP2241053A1 (en) | Method and apparatus to enable lawful intercept of encrypted traffic | |
| CN110999223A (zh) | 安全加密的心跳协议 | |
| CN114844730A (zh) | 一种基于可信隧道技术构建的网络系统 | |
| CN211352206U (zh) | 基于量子密钥分发的IPSec VPN密码机 | |
| WO2016165277A1 (zh) | 一种实现IPsec分流的方法和装置 | |
| KR101448866B1 (ko) | 웹 보안 프로토콜에 따른 암호화 데이터를 복호화하는 보안 장치 및 그것의 동작 방법 | |
| US20040029562A1 (en) | System and method for securing communications over cellular networks | |
| CN111464550B (zh) | 一种用于报文处理设备的https透明防护方法 | |
| CN111526018B (zh) | 一种基于电力配电的通信加密系统及通信加密方法 | |
| Terruggia et al. | Secure IoT and cloud based infrastructure for the monitoring of power consumption and asset control | |
| Hohendorf et al. | Secure End-to-End Transport Over SCTP. | |
| CN113783868B (zh) | 一种基于商用密码保护闸机物联网安全的方法及系统 | |
| CN113746861B (zh) | 基于国密技术的数据传输加密、解密方法及加解密系统 | |
| CN113473470A (zh) | 基于5g的充电桩组网通信系统及双向通信方法 | |
| CN104618211A (zh) | 一种基于隧道的报文处理方法和总部网关设备 | |
| CN210839642U (zh) | 一种物联网终端数据安全接收、发送的装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |