CN114978591B - 一种基于安全防护的场域网数据交互系统及方法 - Google Patents
一种基于安全防护的场域网数据交互系统及方法 Download PDFInfo
- Publication number
- CN114978591B CN114978591B CN202210396673.8A CN202210396673A CN114978591B CN 114978591 B CN114978591 B CN 114978591B CN 202210396673 A CN202210396673 A CN 202210396673A CN 114978591 B CN114978591 B CN 114978591B
- Authority
- CN
- China
- Prior art keywords
- communication module
- data
- end communication
- head
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 49
- 230000003993 interaction Effects 0.000 title claims abstract description 29
- 238000004891 communication Methods 0.000 claims abstract description 247
- 230000002457 bidirectional effect Effects 0.000 claims abstract description 9
- 230000002776 aggregation Effects 0.000 claims abstract description 7
- 238000004220 aggregation Methods 0.000 claims abstract description 7
- 230000008569 process Effects 0.000 claims description 19
- 230000006855 networking Effects 0.000 claims description 13
- 238000012795 verification Methods 0.000 claims description 12
- 238000004364 calculation method Methods 0.000 claims description 6
- 238000005304 joining Methods 0.000 claims description 3
- 230000004931 aggregating effect Effects 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 10
- 238000009826 distribution Methods 0.000 description 10
- 238000004590 computer program Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 238000012423 maintenance Methods 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 238000011161 development Methods 0.000 description 4
- 230000004927 fusion Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000003860 storage Methods 0.000 description 3
- 230000006978 adaptation Effects 0.000 description 2
- 230000005611 electricity Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000008447 perception Effects 0.000 description 2
- 230000003044 adaptive effect Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000004128 high performance liquid chromatography Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y10/00—Economic sectors
- G16Y10/75—Information technology; Communication
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y40/00—IoT characterised by the purpose of the information processing
- G16Y40/50—Safety; Security of things, users, data or systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/26—Special purpose or proprietary protocols or architectures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/121—Timestamp
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/12—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them characterised by data transport means between the monitoring, controlling or managing units and monitored, controlled or operated electrical equipment
- Y04S40/128—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them characterised by data transport means between the monitoring, controlling or managing units and monitored, controlled or operated electrical equipment involving the use of Internet protocol
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Development Economics (AREA)
- Economics (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于安全防护的场域网数据交互系统及方法。该系统包括汇集装置以及末端装置,末端装置有多个;汇集装置包括头端通信模块、汇集设备以及边端通信代理模块,末端装置包括末端通信模块以及末端设备;头端通信模块用于调用边端通信代理模块,完成与末端通信模块的双向身份认证及会话密钥协商;边端通信代理模块用于按照预定防护策略对微应用的负载数据进行加密、签名以及添加时间戳,确定密文数据,将密文数据发送至头端通信模块;头端通信模块还用于将密文数据以CoAP协议格式发送至末端通信模块;末端通信模块用于对密文数据进行解密、验签以及验证时间戳,还原为明文数据。对传输的数据增加了双向身份认证及加密等安全防护措施。
Description
技术领域
本发明涉及通信和信息安全领域,并且更具体地,涉及一种基于安全防护的场域网数据交互系统及方法。
背景技术
电力物联网是传统工业技术与物联网技术深度融合产生的一种新型电力网络形态,通过电网设备间的全面互联、互通、互操作,实现电网的全面感知、数据融合和智能应用,是支撑新型电力系统的重要基础。低压配电台区是电力物联网的重要应用场景,台区网关设备(智能融合终端)与台区智能设备间通过多种通信方式实现电网电气量、设备状态量、环境量等数据量的采集,在此基础上,智能融合终端通过边缘计算得到计算分析结果,向台区智能设备发出指令,实现各类台区智能设备的参数整定、保护和控制。
低压配电台区的业务具有业务场景复杂、技术体制多样、覆盖末端节点面广量大等特征,目前较为成熟的应用场景为用电信息采集系统:台区网关设备(用电信息采集集中器)通过轮询方式问询各末端节点(智能电表)运行数据,交互数据主要为电量类数据,数据实时性要求不高,通常的数据采集周期不低于15分钟。在配电物联网场景下,网关设备与各节点设备间交互的数据类型更为多样,除电量类数据外,还存在着状态量、参数设置、控制指令、告警事件主动上报等类型的数据交互,特别是告警事件主动上报和控制指令对于实时性和安全性要求较高,为了更好的实现低压配电台区运行状态的全面感知,数据采集的频率也更加频繁,关键运行数据需要实现分钟级甚至更高频度的采集。
当前,配电台区的网关设备已经进行了批量化安装运行,现场投运超过百万台设备,末端侧设备正在进行试点运行工作,由于存在本地网通信方式多样、业务交互流程未统一,数据交互安全存在风险等诸多问题,制约了大规模应用。
互联网、物联网等通用技术在电力系统的应用的同时,也将风险漏洞、安全隐患引入了系统,目前方案下,低压台区通信网络是开放式的,无论是载波通信的电力线还是无线通信的空中信道,都可以很方便的进行侦听(获取数据)或耦合(发送数据),数据来源的可靠性,数据的完整性、机密性均没有保障,数据交互过程中没有配套安全防护措施,会造成用户数据泄露,非法的、未知来源的控制、设参指令被执行等恶劣后果,未来的大规模应用面临着较大风险。
发明内容
根据本发明,提供了一种基于安全防护的场域网数据交互系统及方法,以解决目前低压台区通信时所面临的交互流程不明晰、数据接口不规范、信息安全防护措施缺失等问题。
根据本发明的第一个方面,提供了一种基于安全防护的场域网数据交互系统,所述系统包括汇集装置以及末端装置,所述末端装置有多个;
所述汇集装置包括头端通信模块、汇集设备以及边端通信代理模块,所述末端装置包括末端通信模块以及末端设备;
末端通信模块用于加入以头端通信模块为中心的网络;
头端通信模块用于调用边端通信代理模块,完成与末端通信模块的双向身份认证及会话密钥协商;
边端通信代理模块用于接收汇集设备内微应用的负载数据,按照预定防护策略对所述微应用的负载数据进行加密、签名以及添加时间戳,确定密文数据,将密文数据发送至头端通信模块;
头端通信模块还用于通过IP寻址方式,将密文数据以CoAP协议格式发送至末端通信模块;
末端通信模块用于接收从所述边端通信代理模块经头端通信模块发送的密文数据,对所述密文数据进行解密、验签以及验证时间戳,还原为明文数据,将所述明文数据转发至末端设备。
可选地,所述末端通信模块还用于接收末端设备的末端负载数据,按预定防护策略对所述末端负载数据进行加密、签名,确定密文数据,通过IP寻址方式,将所述密文数据以CoAP协议格式发送至头端通信模块,头端通信模块再将密文数据转发至边端通信代理模块。
可选地,所述边端通信代理模块还用于接收从末端通信模块发送的经头端通信模块转发的密文数据,对密文数据进行解密、验签后还原为明文数据,将明文数据转发至汇集装置内的微应用。
可选地,所述头部通信模块用于向汇集装置微应用发送末端装置上线信息,向边端通信代理模块发送末端通信模块入网信息、末端通信模块逻辑地址、IP地址。
可选地,所述汇集装置内微应用确定末端通信模块组网的白名单信息,所述白名单信息中包含的末端通信模块被允许加入以头端通信模块为中心的网络。
根据本发明的另一个方面,还提供了一种基于安全防护的场域网数据交互方法,包括:
末端通信模块加入以头端通信模块为中心的网络;
头端通信模块调用边端通信代理模块,完成与末端通信模块的双向身份认证及会话密钥协商;
边端通信代理模块接收汇集装置微应用的负载数据,按照预定防护策略对所述微应用负载数据进行加密、签名以及添加时间戳,确定密文数据并将密文数据发送给头端通信模块;
头端通信模块通过IP寻址方式,将密文数据以CoAP协议格式发送至末端通信模块;
末端通信模块接收从所述边端通信代理模块经头端通信模块发送的密文数据,对所述密文数据进行解密、验签以及验证时间戳后还原为明文数据,将所述明文数据转发至末端设备。
可选地,还包括:
末端通信模块接收末端设备的末端负载数据,按预定防护策略对所述末端负载数据进行加密、签名,确定密文数据;
通过IP寻址方式,将所述密文数据以CoAP协议格式发送至头端通信模块,头端通信模块再将数据转发至边端通信代理模块。
可选地,还包括:
边端通信代理模块接收从末端通信模块经头端通信模块转发的密文数据,对密文数据进行解密、验签后还原为明文数据;
将明文数据转发至汇集装置内微应用。
可选地,还包括:
头部通信模块向汇集装置微应用发送末端装置上线信息,向边端通信代理模块发送末端通信模块入网信息、末端通信模块逻辑地址、IP地址。
可选地,还包括:
汇集装置内微应用确定末端通信模块组网的白名单信息,所述白名单信息中包含的末端通信模块被允许加入以头端通信模块为中心的网络。
可选地,所述汇集装置及末端装置均包括硬件安全芯片,根据所述硬件安全芯片,完成数据交互过程中的双向身份认证、会话密钥协商、数据加解密以及签名验签。
从而,实现了对传统组网方式下数据传输方式的兼容,数据传输框架支持用户自定义格式的各种类型规约,新增了对于物联网IP化组网方式的适配,使用CoAP协议,遵循物模型规范,实现了末端装置的即插即用,可灵活适配各种场景下的数据通信需求。实现了本地网络组网过程中,各个节点入网的可信接入,并依赖接入过程中的特征因子产生会话密钥,用此会话密钥对后续传输的数据进行加密保护,有效保障了本地网络数据来源合法性、完整性、机密性。充分考虑了用户的使用习惯、使用便捷性、开发工作量等要素,在软件层面对复杂的认证协商流程、加解密、签名验签等流程进行了封装,向用户提供了代理组件、软件库等模块,方便用户集成调用,并支持用户现场运维,同时通过各类模块接口的约定,实现了配电台区本地网络数据通信的标准化,对未来规模化应用,不同厂家设备软硬件的互联互通奠定了基础。
附图说明
通过参考下面的附图,可以更为完整地理解本发明的示例性实施方式:
图1为本实施方式所述的配电台区本地通信系统架构的示意图;
图2为本实施方式所述汇集装置系统组成的示意图;
图3为本实施方式所述的末端装置系统组成的示意图;
图4为本实施方式所述的一种基于安全防护的场域网数据交互方法的流程示意图
图5为本实施方式所述的配电台区本地通信系统流程图——适配物联网IP化组网示意图。
具体实施方式
现在参考附图介绍本发明的示例性实施方式,然而,本发明可以用许多不同的形式来实施,并且不局限于此处描述的实施例,提供这些实施例是为了详尽地且完全地公开本发明,并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中,相同的单元/元件使用相同的附图标记。
除非另有说明,此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外,可以理解的是,以通常使用的词典限定的术语,应当被理解为与其相关领域的语境具有一致的含义,而不应该被理解为理想化的或过于正式的意义。
根据本发明的第一个方面,提供了一种基于安全防护的场域网数据交互系统,所述系统包括汇集装置以及末端装置,所述末端装置有多个;
所述汇集装置包括头端通信模块以及边端通信代理模块,所述末端装置包括末端通信模块以及末端设备;
末端通信模块用于加入以头端通信模块为中心的网络;
头端通信模块用于调用边端通信代理模块,完成与末端通信模块的双向身份认证及会话密钥协商;
边端通信代理模块用于接收汇集设备内微应用的负载数据,按照预定防护策略对所述微应用的负载数据进行加密、签名以及添加时间戳,确定密文数据,将密文数据发送至头端通信模块;
头端通信模块还用于通过IP寻址方式,将密文数据以CoAP协议格式发送至末端通信模块;
末端通信模块用于接收从所述边端通信代理模块经头端通信模块发送的密文数据,对所述密文数据进行解密、验签以及验证时间戳,还原为明文数据,将所述明文数据转发至末端设备。
具体地,参考图1所示,配电台区本地通信系统包括汇集装置、末端装置1、末端装置2、……末端装置N、汇集装置集成的头端通信模块、末端装置集成的末端通信模块以及各节点间的通信网络。通信网络包含宽带载波(HPLC)、微功率无线,可以使用其中的一种或两种的组合实现组网。
所述的系统通信流程为概括为:
①末端通信模块入网并完成身份认证、密钥协商,实现可信接入;
②末端装置模块向汇集装置描述自身属性,汇集装置识别末端装置的类型,完成即插即用过程;
③网络节点间按业务需求进行数据交互,交互过程中的数据内容,使用步骤一中的协商密钥进行加解密操作,实现数据安全交互,参加图5。
汇集装置,硬件包括:汇集装置本体、头端通信模块、安装于头端通信模块的安全芯片;软件包括:边端通信代理组件、MQTT总线组件以及第三方用户开发的各类软件微应用,参考图2所示。
汇集装置侧微应用与边端通信代理间通过MQTT总线进行数据交互,微应用与边端通信代理分别订阅对方发布的消息,MQTT消息的主题格式为:
{消息发送方名称}/{消息接收方名称}/JSON/dataComm。
汇集装置侧的边端通信代理具备本地运维功能,运维人员可通过本地命令行或上位机维护软件访问边端通信代理,获取末端装置组网状态、认证协商状态、头端通信模块运行状态、节点间数据交互内容等信息,向边端通信代理获取运维数据通过MQTT总线进行交互,MQTT消息的主题格式为:
{消息发送方名称}/{消息接收方名称}/JSON/debugComm
所述的末端装置,包括末端装置本体、低压智能设备板卡、末端通信模块、安装于末端通信模块的安全芯片,参考图3所示。
所述的认证、密钥协商、数据加解密、数据签名验签等涉及安全防护的相关功能,是通过通信两端的软件分别调用本侧的硬件安全芯片来实现的,汇集装置侧是由边端通信代理调用头端模块上安装的安全芯片,末端装置侧是由末端通信模块上的通信软件调用末端侧安全芯片,安全芯片负责产生原始素材和安全防护的相关计算过程,两侧的软件负责数据交互流程。为了降低开发过程中的复杂度,简化开发工作量,为两侧安全芯片调用封装了库接口,将若干复杂的芯片交互指令封装为认证协商、加密签名、解密验签三个接口。
从而,实现了对传统组网方式下数据传输方式的兼容,数据传输框架支持用户自定义格式的各种类型规约,新增了对于物联网IP化组网方式的适配,使用CoAP协议,遵循物模型规范,实现了末端装置的即插即用,可灵活适配各种场景下的数据通信需求。实现了本地网络组网过程中,各个节点入网的可信接入,并依赖接入过程中的特征因子产生会话密钥,用此会话密钥对后续传输的数据进行加密保护,有效保障了本地网络数据来源合法性、完整性、机密性。充分考虑了用户的使用习惯、使用便捷性、开发工作量等要素,在软件层面对复杂的认证协商流程、加解密、签名验签等流程进行了封装,向用户提供了代理组件、软件库等模块,方便用户集成调用,并支持用户现场运维,同时通过各类模块接口的约定,实现了配电台区本地网络数据通信的标准化,对未来规模化应用,不同厂家设备软硬件的互联互通奠定了基础。
可选地,所述末端通信模块还用于接收末端设备的末端负载数据,按预定防护策略对所述末端负载数据进行加密、签名,确定密文数据,通过IP寻址方式,将所述密文数据以CoAP协议格式发送至边端通信代理模块。
可选地,所述边端通信代理模块还用于接收从末端通信模块发送的密文数据,对密文数据进行解密、验签后还原为明文数据,将明文数据转发至汇集装置微应用。
可选地,所述头部通信模块用于向汇集装置微应用发送上线信息,向边端通信代理模块发送末端通信模块入网信息、末端通信模块IP地址。
可选地,所述汇集装置微应用用于确定端通信模块组网白名单信息,仅白名单中包含的末端通信模块被允许加入以头端通信模块为中心的网络。
根据本发明的另一个方面,还提供了一种基于安全防护的场域网数据交互方法,参考图4所示,该方法包括:
S401:末端通信模块加入以头端通信模块为中心的网络;
S402:头端通信模块调用边端通信代理模块,完成与末端通信模块的双向身份认证及会话密钥协商;
S403:边端通信代理模块接收汇集装置微应用的负载数据,按照预定防护策略对所述微应用负载数据进行加密、签名以及添加时间戳,确定密文数据,并将密文数据发送给头端通信模块;
S404:头端通信模块通过IP寻址方式,将密文数据以CoAP协议格式发送至末端通信模块;
S405:末端通信模块接收从所述边端通信代理模块经头端通信模块发送的密文数据,对所述密文数据进行解密、验签以及验证时间戳后还原为明文数据,将所述明文数据转发至末端设备。
具体地,适配物联网IP化组网架构的场景下,系统通信流程参考图5所示。
①头端通信模块向微应用发送上线信息;
②边端通信代理设置头端通信模块地址信息、运行模式;
③微应用设置头端通信模块组网白名单信息;
④头端通信模块向边端通信代理报送末端通信模块入网信息、末端通信模块IP地址;
⑤边端通信代理与已入网的末端通信模块依次完成身份认证和密钥协商,此过程包含证书交换、签名验签、密钥计算等若干流程;
⑥⑦⑧末端装置、末端通信模块、边端通信代理及微应用,共同完成即插即用流程,微应用感知到末端装置上线以及末端装置的类型、属性、可以提供的服务;
⑨⑩数据下行——汇集装置向末端装置发送指令,本地通信网络为物联网IP化网络,边端通信代理接收到微应用的数据,按预定防护策略对负载数据进行加密、签名等操作后,通过IP寻址方式,将密文数据以CoAP协议格式直接发送至末端通信模块,末端通信模块采用对应的策略对密文数据进行解密、验签等操作后还原为明文数据,再将明文数据转发至末端装置;
数据上行——末端装置向汇集装置回复数据或末端装置向汇集装置主动上报数据。本地通信网络为物联网IP化网络,末端通信模块接收到末端装置的数据,按预定防护策略对负载数据进行加密、签名等操作后,通过IP寻址方式,将数据以CoAP协议格式直接发送至边端通信代理,边端通信代理采用对应的策略对密文数据进行解密、验签等操作后还原为明文数据,再将明文数据转发至微应用。
可选地,还包括:
末端通信模块接收末端设备的末端负载数据,按预定防护策略对所述末端负载数据进行加密、签名,确定密文数据;
通过IP寻址方式,将所述密文数据以CoAP协议格式发送至边端通信代理模块。
可选地,还包括:
边端通信代理模块接收从末端通信模块发送的密文数据,对密文数据进行解密、验签后还原为明文数据;
将明文数据转发至汇集装置微应用。
可选地,还包括:
头部通信模块向汇集装置内微应用发送末端设备上线信息,向边端通信代理模块发送末端通信模块入网信息、末端通信模块逻辑地址、IP地址。
可选地,还包括:
汇集装置内微应用确定末端通信模块组网的白名单信息,仅白名单中包含的末端通信模块被允许加入以头端通信模块为中心的网络。
本发明的实施例的一种基于安全防护的场域网数据交互系统方法与本发明的另一个实施例的一种基于安全防护的场域网数据交互系统相对应,在此不再赘述。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。本申请实施例中的方案可以采用各种计算机语言实现,例如,面向对象的程序设计语言Java和直译式脚本语言JavaScript等。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (11)
1.一种基于安全防护的场域网数据交互系统,其特征在于,所述系统包括汇集装置以及末端装置,所述末端装置有多个;
所述汇集装置包括头端通信模块、汇集设备以及边端通信代理模块,所述末端装置包括末端通信模块以及末端设备;
末端通信模块用于加入以头端通信模块为中心的网络;
头端通信模块用于调用边端通信代理模块,完成与末端通信模块的双向身份认证及会话密钥协商;
边端通信代理模块用于接收汇集设备内微应用的负载数据,按照预定防护策略对所述微应用的负载数据进行加密、签名以及添加时间戳,确定密文数据,将密文数据发送至头端通信模块;
头端通信模块还用于通过IP寻址方式,将密文数据以CoAP协议格式发送至末端通信模块;
末端通信模块用于接收从所述边端通信代理模块经头端通信模块发送的密文数据,对所述密文数据进行解密、验签以及验证时间戳,还原为明文数据,将所述明文数据转发至末端设备;
头端通信模块向微应用发送上线信息;
边端通信代理设置头端通信模块地址信息、运行模式;
微应用设置头端通信模块组网白名单信息;
头端通信模块向边端通信代理报送末端通信模块入网信息、末端通信模块IP地址;
边端通信代理与已入网的末端通信模块依次完成身份认证和密钥协商,此过程包含证书交换、签名验签、密钥计算;
末端装置、末端通信模块、边端通信代理及微应用,共同完成即插即用流程,微应用感知到末端装置上线以及末端装置的类型、属性、可以提供的服务。
2.根据权利要求1所述的系统,其特征在于,
所述末端通信模块还用于接收末端设备的末端负载数据,按预定防护策略对所述末端负载数据进行加密、签名,确定密文数据,通过IP寻址方式,将所述密文数据以CoAP协议格式发送至头端通信模块,头端通信模块再将密文数据发送至边端通信代理模块。
3.根据权利要求2所述的系统,其特征在于,
所述边端通信代理模块还用于接收从末端通信模块发送的经头端通信模块转发的密文数据,对密文数据进行解密、验签后还原为明文数据,将明文数据转发至汇集装置内的微应用。
4.根据权利要求1所述的系统,其特征在于,
所述头端通信模块用于向汇集装置内微应用发送末端装置上线信息,向边端通信代理模块发送末端通信模块入网信息、末端通信模块逻辑地址、IP地址。
5.根据权利要求1所述的系统,其特征在于,
所述汇集装置内微应用确定末端通信模块组网的白名单信息,所述白名单信息中包含的末端通信模块被允许加入以头端通信模块为中心的网络。
6.一种基于安全防护的场域网数据交互方法,其特征在于,包括:
末端通信模块加入以头端通信模块为中心的网络;
头端通信模块调用边端通信代理模块,完成与末端通信模块的双向身份认证及会话密钥协商;
边端通信代理模块接收汇集装置微应用的负载数据,按照预定防护策略对所述微应用负载数据进行加密、签名以及添加时间戳,确定密文数据,并将密文数据发送给头端通信模块;
头端通信模块通过IP寻址方式,将密文数据以CoAP协议格式发送至末端通信模块;
末端通信模块接收从所述边端通信代理模块经头端通信模块发送的密文数据,对所述密文数据进行解密、验签以及验证时间戳后还原为明文数据,将所述明文数据转发至末端设备;
头端通信模块向微应用发送上线信息;
边端通信代理设置头端通信模块地址信息、运行模式;
微应用设置头端通信模块组网白名单信息;
头端通信模块向边端通信代理报送末端通信模块入网信息、末端通信模块IP地址;
边端通信代理与已入网的末端通信模块依次完成身份认证和密钥协商,此过程包含证书交换、签名验签、密钥计算;
末端装置、末端通信模块、边端通信代理及微应用,共同完成即插即用流程,微应用感知到末端装置上线以及末端装置的类型、属性、可以提供的服务。
7.根据权利要求6所述的方法,其特征在于,还包括:
末端通信模块接收末端设备的末端负载数据,按预定防护策略对所述末端负载数据进行加密、签名,确定密文数据;
通过IP寻址方式,将所述密文数据以CoAP协议格式发送至头端通信模块,头端通信模块再将数据转发至边端通信代理模块。
8.根据权利要求7所述的方法,其特征在于,还包括:
边端通信代理模块接收从末端通信模块经头端通信模块发送的密文数据,对密文数据进行解密、验签后还原为明文数据;
将明文数据转发至汇集装置内微应用。
9.根据权利要求6所述的方法,其特征在于,还包括:
头端通信模块向汇集装置内微应用发送末端装置上线信息,向边端通信代理模块发送末端通信模块入网信息、末端通信模块逻辑地址、IP地址。
10.根据权利要求6所述的方法,其特征在于,还包括:
汇集装置内微应用确定末端通信模块组网的白名单信息,所述白名单信息中包含的末端通信模块被允许加入以头端通信模块为中心的网络。
11.根据权利要求6所述的方法,其特征在于,所述汇集装置及末端装置均包括硬件安全芯片,根据所述硬件安全芯片,完成数据交互过程中的双向身份认证、会话密钥协商、数据加解密以及签名验签。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210396673.8A CN114978591B (zh) | 2022-04-15 | 2022-04-15 | 一种基于安全防护的场域网数据交互系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210396673.8A CN114978591B (zh) | 2022-04-15 | 2022-04-15 | 一种基于安全防护的场域网数据交互系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114978591A CN114978591A (zh) | 2022-08-30 |
| CN114978591B true CN114978591B (zh) | 2024-02-23 |
Family
ID=82976777
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210396673.8A Active CN114978591B (zh) | 2022-04-15 | 2022-04-15 | 一种基于安全防护的场域网数据交互系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114978591B (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017035536A1 (en) * | 2015-08-27 | 2017-03-02 | FogHorn Systems, Inc. | Edge intelligence platform, and internet of things sensor streams system |
| CN112436603A (zh) * | 2020-11-18 | 2021-03-02 | 珠海许继电气有限公司 | 一种基于台区智能融合终端的端设备采集配置方法及装置 |
| CN112512024A (zh) * | 2021-02-05 | 2021-03-16 | 信联科技(南京)有限公司 | 一种面向5g网络的物联网终端安全汇聚接入方法及系统 |
| CN113127914A (zh) * | 2021-05-12 | 2021-07-16 | 国网山西省电力公司电力科学研究院 | 一种电力物联网数据安全防护方法 |
| CN113395166A (zh) * | 2021-06-09 | 2021-09-14 | 浙江大学 | 一种基于边缘计算的电力终端云边端协同安全接入认证方法 |
| CN113556307A (zh) * | 2020-04-03 | 2021-10-26 | 国网上海能源互联网研究院有限公司 | 边缘物联代理、接入网关和物联管理平台及安全防护方法 |
| CN113595890A (zh) * | 2021-08-06 | 2021-11-02 | 江苏方天电力技术有限公司 | 一种电网多业务应用场景下的物联接入网关系统 |
| CN113991875A (zh) * | 2021-12-27 | 2022-01-28 | 江苏驷源电力有限公司 | 一种低压配电网末端设备及其消息交互的方法 |
| CN114095423A (zh) * | 2021-10-11 | 2022-02-25 | 王云森 | 基于mpls的电力通信骨干网数据安全防护方法及系统 |
-
2022
- 2022-04-15 CN CN202210396673.8A patent/CN114978591B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017035536A1 (en) * | 2015-08-27 | 2017-03-02 | FogHorn Systems, Inc. | Edge intelligence platform, and internet of things sensor streams system |
| CN113556307A (zh) * | 2020-04-03 | 2021-10-26 | 国网上海能源互联网研究院有限公司 | 边缘物联代理、接入网关和物联管理平台及安全防护方法 |
| CN112436603A (zh) * | 2020-11-18 | 2021-03-02 | 珠海许继电气有限公司 | 一种基于台区智能融合终端的端设备采集配置方法及装置 |
| CN112512024A (zh) * | 2021-02-05 | 2021-03-16 | 信联科技(南京)有限公司 | 一种面向5g网络的物联网终端安全汇聚接入方法及系统 |
| CN113127914A (zh) * | 2021-05-12 | 2021-07-16 | 国网山西省电力公司电力科学研究院 | 一种电力物联网数据安全防护方法 |
| CN113395166A (zh) * | 2021-06-09 | 2021-09-14 | 浙江大学 | 一种基于边缘计算的电力终端云边端协同安全接入认证方法 |
| CN113595890A (zh) * | 2021-08-06 | 2021-11-02 | 江苏方天电力技术有限公司 | 一种电网多业务应用场景下的物联接入网关系统 |
| CN114095423A (zh) * | 2021-10-11 | 2022-02-25 | 王云森 | 基于mpls的电力通信骨干网数据安全防护方法及系统 |
| CN113991875A (zh) * | 2021-12-27 | 2022-01-28 | 江苏驷源电力有限公司 | 一种低压配电网末端设备及其消息交互的方法 |
Non-Patent Citations (1)
| Title |
|---|
| "基于CoAP与MQTT的配电物联网通信架构设计";金成明、刘雪松、杨睿、崔伟、李涛;《电气自动化》;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114978591A (zh) | 2022-08-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12010251B2 (en) | Electric border gateway device and method for chaining and storage of sensing data based on the same | |
| CN113765713B (zh) | 一种基于物联网设备采集的数据交互方法 | |
| CN104967595B (zh) | 将设备在物联网平台进行注册的方法和装置 | |
| CN106941491B (zh) | 用电信息采集系统的安全应用数据链路层设备及通信方法 | |
| US11218873B2 (en) | Communication system and method | |
| CN111083102A (zh) | 一种物联网数据处理方法、装置及设备 | |
| CN106797335B (zh) | 数据传输方法、数据传输装置、电子设备和计算机程序产品 | |
| CN101299753A (zh) | 基于代理服务器的Web服务安全控制机制 | |
| CN102811422B (zh) | 一种集群调度系统 | |
| EP4228300A1 (en) | Communication method, related apparatus and system | |
| CN113127914A (zh) | 一种电力物联网数据安全防护方法 | |
| CN112422560A (zh) | 基于安全套接层的轻量级变电站安全通信方法及系统 | |
| CN113422768B (zh) | 零信任中的应用接入方法、装置及计算设备 | |
| CN114143068A (zh) | 电力物联网网关设备容器安全防护系统及其方法 | |
| CN110061962A (zh) | 一种视频流数据传输的方法和装置 | |
| WO2021249512A1 (zh) | 安全通信方法、相关装置及系统 | |
| CN112822216A (zh) | 一种用于物联网子设备绑定的认证方法 | |
| CN114978591B (zh) | 一种基于安全防护的场域网数据交互系统及方法 | |
| CN112654038A (zh) | 一种Mesh网络数据解密的方法、装置及系统 | |
| CN117118628A (zh) | 电力物联网轻量级身份认证方法、装置及电子设备 | |
| CN114301967B (zh) | 窄带物联网控制方法、装置及设备 | |
| CN114070606B (zh) | 一种基于国产操作系统的网络安全终端装置及工作方法 | |
| CN112073536B (zh) | 一种实现不能直接互访网络之间安全传递处理数据的方法 | |
| CN110351308B (zh) | 一种虚拟专用网络通信方法和虚拟专用网络设备 | |
| CN102148704A (zh) | 一种加密型交换机通用网管接口的软件实现方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |