WO2023108396A1 - 一种电网智能量测方法 - Google Patents

Abstract

本发明涉及电网智能量测领域，且公开了一种电网智能量测方法，包括以下步骤：Step1：通过物联管理平台与电网资源业务平台进行设备的接入、管理与控制，负责物联感知终端的实时感知、实时控制、汇聚分发；Step2：通过密钥管理系统，完成密钥生成、分发、更新、撤销和存储；Step3：建立数据库，进行基础信息数据的汇总存贮；Step4：通过采集终端设备对基础数据进行获取采集，加密传输。提升系统内外边界安全防护能力，采集数据进行加密防护，密码服务接口统一，使得各级系统间可统一监管，办公终端可接入认证以及使用权限管控，不同业务可按照安全等级进行区分，能够对数据传输过程中的问题数据进行检测留存，防止数据流出造成损失。

Description

一种电网智能量测方法 技术领域

本发明涉及电网智能量测技术领域，具体为一种电网智能量测方法。

背景技术

配电公司时常面临着窃电监管难、线损高、电费收缴难等挑战，且主要依赖人工抄表，导致运营成本高昂，在能源互联网和电力市场快速发展的背景下，电网需要将向着智能量测、物联传感、大数据智能应用等方向发展。

现有的智能量测方法，其采集终端通过运营商无线APN或者VPN专网、无线专网和光纤专网接入时未设置安全接入区，系统内外边界安全防护能力有待提升，采集数据仅进加固应用层防护措施，传输数据与对应终端网络安全暂未得到有效保护，密码服务接口不统，密码服务管理体系不完善，导致各级子系统间自行独立做一套独立密码服务体系，使得各级系统间难以统一监管，省级、地市级、县级、供电所级内部用户通过内网办公终端接入管理信息大区的采集系统主站对居民用户、专变用户，变电站关口进行电量数据采集、参数下发以及电量统计和线损计算等操作，办公终端缺少接入认证以及使用权限管控，并且量测不同业务未按照安全等级进行区分。

技术问题

针对现有技术所存在的上述缺点，本发明提供了一种电网智能量测方法，能够有效地解决现有技术采集终端接入时未设置安全接入区、采集数据防护效果差、密码服务管理体系不完善、办公终端缺少接入认证以及使用权限管控，并且量测不同业务未按照安全等级进行区分的问题。

技术解决方案

为实现以上目的，本发明通过以下技术方案予以实现。

本发明公开了一种电网智能量测方法，包括以下步骤。

Step1：通过物联管理平台与电网资源业务平台进行设备的接入、管理与控制，负责物联感知终端的实时感知、实时控制、汇聚分发。

Step2：通过密钥管理系统，完成密钥生成、分发、更新、撤销和存储。

Step3：建立数据库，进行基础信息数据的汇总存贮。

Step4：通过采集终端设备对基础数据进行获取采集，加密传输。

Step5：通过边缘计算APP对基础数据进行智能分析，其它感知数据通过边缘物联代理进行汇聚和边缘计算。

Step6：实时监测数据运算。

Step7：数据统一发送至物联管理平台。

Step8：通过采用无线网、有线电力光纤网传输数据，设置安全接入网关，数据经安全接入网关进入公司内网管理信息大区。

Step9：将数据提供至应用开发部，进行各类业务系统的搭建。

更进一步地，所述步骤Step2中的密码管理系统在各级子系统间独立建立密码服务体系，对各级系统进行统一监管。

对使用密码安全服务的业务应用的注册、管理、授权，及密码资源分配和密码应用策略等进行统一的管理，支持对业务应用密码服务请求时进行统一鉴权控制，并对智能量测密码应用服务平台的密码安全业务进行统一管理操作。

采用基于属性的访问控制机制结合密码技术进行对业务数据细粒度的访问控制，基于轻量级密钥管理机制，融合传统标准网络通信密码技术，支持国家商密的SM1、SM2、SM4等多种算法，支持和标准CA系统无缝对接的证书管理机制，基于国密算法SM1/SM2/SM4进行终端模块和智能电表的密钥生命周期管理。

更进一步地，所述步骤Step4中的加密传输的过程中，包括对敏感数据传输加密，同时进行MAC校验，并引入防重放机制和防中间人攻击机制。

更进一步地，所述步骤Step4中的基础数据的采集包括：电气量采集、环境量采集、状态量采集。

其中，对居民用户、专变用户，变电站关口进行电量数据采集、参数下发以及电量统计和线损计算操作。

更进一步地，所述步骤Step8中的无线网涵括范围包括：公网APN和电力专网。

更进一步地，所述步骤Step8中的安全接入网关对接入业务系统的集中器终端进行身份认证，并通过协议阻断、格式检查、协议分析技术防止终端侧非法数据的跨网入侵，安全接入网关与接入终端之间通过密钥协商建立一条加密传输通道，对终端与业务系统之间的业务报文进行传输保护。

更进一步地，所述步骤Step9中的各类业务包括：采集类业务、参数设置类业务、负控费控类业务等，不同业务根据相应的安全等级进行区分。

一种电网智能量测方法部署有实时检测数据运算的方法，其特征在于，包括以下步骤。

S1：检测问题数据，进行定期重复巡查，对数据传输过程进行实时核验，通过人工与软件相结合的方式进行处理。

S2：将问题数据进行留存，保存在存储端。

S3：将问题数据独立提交计算端。

S4：进行后台查验，重新计算分析。

S5：剔除二次异议数据，生成问题报告。

S6：将问题报告提交采集端。

S7：对相关基础数据重新采集。

S8：将数据独立提交计算端，计算分析。

更进一步地，所述数据传输过程检测因素包括：数据接收端检测、数据传输中途链路检测与数据发送端检测。

更进一步地，所述步骤S5中问题报告的生成因素包括：问题数据检出来源、问题数据检出时间、问题数据属性。

有益效果

采用本发明提供的技术方案，与已知的公有技术相比，具有如下有益效果。

1、本发明通过在采集终端通过运营商无线APN或者VPN专网、无线专网和光纤专网接入时设置安全接入区，提升系统内外边界安全防护能力，采集数据进行加密防护，使得传输数据与对应终端网络安全得到有效保护，密码服务接口统一，完善了密码服务管理体系，将各级子系统间自行独立做一套独立密码服务体系，使得各级系统间可统一监管，办公终端可接入认证以及使用权限管控，量测不同业务可按照安全等级进行区分。

2、本发明通过多维度监控分析降低线损，并支持配用电一体化管理，助力电力企业高效运营，能够实现用户侧设备和电力公司之间的双向通行，即智能电表将用户的各种用电耗能信息同时发给本地用户和电力公司，智能电表通过本地实时数据显示告知用户耗能情况，电力公司提供实时电价信息，用户可以根据这些信息合理控制本地负荷的耗电量，达到提升经济效益和节能的双重目的。

本发明能够对数据传输过程中的问题数据进行检测，并将问题数据进行抓取留存，防止数据流出造成损失，可通过人工与软件相结合的方式，对问题数据进行核验，可对无用的问题数据进行剔除，可自动对剔除的问题数据，进行重新采集。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为一种电网智能量测方法的流程示意图。

图2为本发明中实时检测数据运算的方法的流程示意图。

图3为一种电网智能量测方法中智能量测体系架构的结构示意图。

图4为一种电网智能量测方法中采集检测类系统安全框架的结构示意图。

图5为一种电网智能量测方法中应用架构的结构示意图。

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

下面结合实施例对本发明作进一步的描述。

本发明的实施方式

实施例 1。

本实施例的一种电网智能量测方法，如图1所示，包括以下步骤。

Step1：通过物联管理平台与电网资源业务平台进行设备的接入、管理与控制，负责物联感知终端的实时感知、实时控制、汇聚分发。

Step2：通过密钥管理系统，完成密钥生成、分发、更新、撤销和存储。

Step3：建立数据库，进行基础信息数据的汇总存贮。

Step4：通过采集终端设备对基础数据进行获取采集，加密传输。

Step5：通过边缘计算APP对基础数据进行智能分析，其它感知数据通过边缘物联代理进行汇聚和边缘计算。

Step6：实时监测数据运算。

Step7：数据统一发送至物联管理平台。

Step8：通过采用无线网、有线电力光纤网传输数据，设置安全接入网关，数据经安全接入网关进入公司内网管理信息大区。

Step9：将数据提供至应用开发部，进行各类业务系统的搭建。

如图1所示，所述步骤Step2中的密码管理系统在各级子系统间独立建立密码服务体系，对各级系统进行统一监管。

对使用密码安全服务的业务应用的注册、管理、授权，及密码资源分配和密码应用策略等进行统一的管理，支持对业务应用密码服务请求时进行统一鉴权控制，并对智能量测密码应用服务平台的密码安全业务进行统一管理操作。

采用基于属性的访问控制机制结合密码技术进行对业务数据细粒度的访问控制，基于轻量级密钥管理机制，融合传统标准网络通信密码技术，支持国家商密的SM1、SM2、SM4等多种算法，支持和标准CA系统无缝对接的证书管理机制，基于国密算法SM1/SM2/SM4进行终端模块和智能电表的密钥生命周期管理。

如图1所示，所述步骤Step4中的加密传输的过程中，包括对敏感数据传输加密，同时进行MAC校验，并引入防重放机制和防中间人攻击机制。

如图1所示，所述步骤Step4中的基础数据的采集包括：电气量采集、环境量采集、状态量采集。

其中，对居民用户、专变用户，变电站关口进行电量数据采集、参数下发以及电量统计和线损计算操作。

如图1所示，所述步骤Step8中的安全接入网关对接入业务系统的集中器终端进行身份认证，并通过协议阻断、格式检查、协议分析技术防止终端侧非法数据的跨网入侵，安全接入网关与接入终端之间通过密钥协商建立一条加密传输通道，对终端与业务系统之间的业务报文进行传输保护。

如图1所示，所述步骤Step9中的各类业务包括：采集类业务、参数设置类业务、负控费控类业务等，不同业务根据相应的安全等级进行区分。

本实施例在具体实施时，通过运营商无线APN或者VPN专网、无线专网和光纤专网接入时设置安全接入区，提升系统内外边界安全防护能力，采集数据进行加密防护，使得传输数据与对应终端网络安全得到有效保护，密码服务接口统一，完善了密码服务管理体系，将各级子系统间自行独立做一套独立密码服务体系，使得各级系统间可统一监管，办公终端可接入认证以及使用权限管控，对不同业务可按照安全等级进行区分。

实施例 2 。

在其他层面，本实施例还提供一种实时检测数据运算的方法，如图2所示，包括以下步骤。

S1：检测问题数据，进行定期重复巡查，对数据传输过程进行实时核验，通过人工与软件相结合的方式进行处理。

S2：将问题数据进行留存，保存在存储端。

S3：将问题数据独立提交计算端。

S4：进行后台查验，重新计算分析。

S5：剔除二次异议数据，生成问题报告。

S6：将问题报告提交采集端。

S7：对相关基础数据重新采集。

S8：将数据独立提交计算端，计算分析。

本实施例中，所述数据传输过程检测因素包括：数据接收端检测、数据传输中途链路检测与数据发送端检测。所述步骤S5中问题报告的生成因素包括：问题数据检出来源、问题数据检出时间、问题数据属性。

本实施例在具体实施时，能够对数据传输过程中的问题数据进行检测，并将问题数据进行抓取留存，防止数据流出造成损失，可通过人工与软件相结合的方式，对问题数据进行核验，可对无用的问题数据进行剔除，可自动对剔除的问题数据，进行重新采集。

实施例 3 。

如图3所示，本发明在现有系统侧进行安全方案开发，部署密码应用服务平台，在终端侧、电表侧进行安全模块开发，满足现有费控业务和安全加密需求。同时，对于存量设备开发安全通信模块，实现存量设备的升级改造。具体包括系统侧密码服务平台部署、数据安全防护策略实施，在终端、表计内部嵌入安全模块并完成调试，测试密钥、证书等密码数据全生命周期的流转。

实施例 4 。

如图4和5所示，对现有量测体系进行细化分区，梳理出系统间不同层级间关系，基于系统内层级间边界，系统外边界通过提供升边界防护手段，强化边界隔离防护能力，包括部署升级WAF，正、反隔离，协议隔离等系统或装置。

横向和纵向互联的主要设备包括各业务系统的互联交换机、正、反向隔离装置、纵向加密认证装置、防火墙、安全接入区、调度数据网、综合数据网和公用通信网网络。这些设备均可采取冗余备用结构。对正、反向隔离装置，可根据具体业务需求，适当增加配置数量，或组成隔离阵列形式。

互联交换机用于有纵、横向数据通信的业务系统的汇集接入、接入系统之间的访问控制和安全区的横向及纵向互联。

正、反向隔离装置部署在非控制区与管理信息大区的网络边界，用于生产控制大区网络与管理信息大区网络的物理隔离，实现生产控制大区有关业务系统以正向单向方式向管理信息大区相关业务系统发送数据。管理信息大区相关业务系统以反向单向方式向生产控制区相关业务系统导入纯文本数据。

非控制区纵向加密认证网关部署在非控制区与调度数据网非实时VPN之间，用于本地非控制区与远端非控制区相关业务系统或业务模块之间网络数据通信的身份认证、访问控制和传输数据的加密与解密，保障系统连接的合法性和数据传输的机密性及完整性。

分别从端、场、边、管、云出发，在现有应用层基础上，引入国密算法技术应用的边界防护手段，统一不同层级系统间、系统内不同层级间边界身份认证策略，包括IP校验、MAC校验、特殊身份标识校验等，对接入、访问的系统、设备、业务流、通信协议等统一安全度量、校验方法，杜绝非法接入、访问、与传输。

在现有电表-集中器，集中器/配变终端/负变终端-主站间通信前，基于国密应用层签名验签技术、或基于国密的PKI认证体系，或国密标准网络层安全认证方法对通信双方进行身份认证，实现防截获、防假冒和防重用功能，保证表计到端，端到中心系统间，传输过程中鉴别信息的机密性和网络设备实体身份的真实性。

拆解费控系统端-场-边-管-云隔层结构，明晰隔层网络边界，隔层边界使用基于国密算法的完整性校验功能来保证网络边界和系统资源访问控制信息的完整性。如设置访问指令、控制指令，设置控制信令校验码生成规则与校验规则，各层发送端与接收校验边界节点，按照规则封装、校验访问、控制指令等，确保边界安全。

电表-集中器，集中器/配变终端/负变终端-主站间，部署加密模块、终端与机密装置，基于基于国密算法技术，对传输数据、指令进行应用层，网络层安全封装，保障通信过程中数据的完整性。

主站与表计间，通过中心侧部署密码机、与表计侧部署密码芯片或模块的方式，基于国密算法，采用应用层安全认证保护机制，对双向交互应用数据（包括敏感信息、业务采集数据、调度指令等），进行应用层全段机密封装保护与安全认证签名保护，保证通信过程中敏感信息数据字段或整个报文的机密性。

从现有费控密码服务支撑体系，从营销、计量、检测、发行等多个业务口出发，结合现有密码应用、秘钥管理中存在缺陷，提出新的防护升级方案。包括协议安全、算法应用，秘钥管理，密码服务升级要求，并结合各个业务口，相对应地提出在协议上、接口上、系统上的升级改造方案，明确接口、明确协议定义。

此外，从离线、在线秘钥管理，运行用秘钥、测试用秘钥签发，对称秘钥、非对称秘钥签发等多个维度出发，对营销、计量、检测、发行等业务口，结合数研院研发密管系统模块应用，分别提出各自秘钥管理交互方案。

细化营销、计量、检测、发行个间密管系统架构，剥离出给系统对外访问接口差异性以及相似性。针对差异性与相似性，规范密管体系交互方方法。

结合先用密管系统体系，统计各密管系统间管理关系，构建多级认证的统一密管系统，其中包裹对秘钥管理体系的统一，与证书管理系统的兼容涵盖。

各级系统密管、证书调用服务接口进行规范化统一，保障各业务子系统、设备、装置的秘钥、证书统一签发操作，提升系统整体密管能力。

对具备在线交互的场景，基于LADP、OCPS协议，构建在线的证书交互方案，对于业务管控要求，或无法执行在线操作的场景，可基于在证书离线签发的思路规划证书离线签发方案。

研究现有终端安全模块密码资源现状，从不同业务口出发，采用SSL或IPSec等VPN网络安全防护技术，提出一套终端接入身份认证与数据保护方案，实现终端身份防伪、与数据防篡改的目的。

综上所述，本发明通过在采集终端通过运营商无线APN或者VPN专网、无线专网和光纤专网接入时设置安全接入区，提升系统内外边界安全防护能力，采集数据进行加密防护，使得传输数据与对应终端网络安全得到有效保护，密码服务接口统一，完善了密码服务管理体系，将各级子系统间自行独立做一套独立密码服务体系，使得各级系统间可统一监管，办公终端可接入认证以及使用权限管控，量测不同业务可按照安全等级进行区分。

能够对数据传输过程中的问题数据进行检测，并将问题数据进行抓取留存，防止数据流出造成损失，可通过人工与软件相结合的方式，对问题数据进行核验，可对无用的问题数据进行剔除，可自动对剔除的问题数据，进行重新采集。

通过多维度监控分析降低线损，并支持配用电一体化管理，助力电力企业高效运营，能够实现用户侧设备和电力公司之间的双向通行，即智能电表将用户的各种用电耗能信息同时发给本地用户和电力公司，智能电表通过本地实时数据显示告知用户耗能情况，电力公司提供实时电价信息，用户可以根据这些信息合理控制本地负荷的耗电量，达到提升经济效益和节能的双重目的。

以上实施例仅用以说明本发明的技术方案，而非对其限制。尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换。而这些修改或者替换，并不会使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1. 一种电网智能量测方法，其特征在于，包括以下步骤：

   Step1：通过物联管理平台与电网资源业务平台进行设备的接入、管理与控制，负责物联感知终端的实时感知、实时控制、汇聚分发；

   Step2：通过密钥管理系统，完成密钥生成、分发、更新、撤销和存储；

   Step3：建立数据库，进行基础信息数据的汇总存贮；

   Step4：通过采集终端设备对基础数据进行获取采集，加密传输；

   Step5：通过边缘计算APP对基础数据进行智能分析，其它感知数据通过边缘物联代理进行汇聚和边缘计算；

   Step6：实时监测数据运算；

   Step7：数据统一发送至物联管理平台；

   Step8：通过采用无线网、有线电力光纤网传输数据，设置安全接入网关，数据经安全接入网关进入公司内网管理信息大区；

   Step9：将数据提供至应用开发部，进行各类业务系统的搭建。
2. 根据权利要求1所述的一种电网智能量测方法，其特征在于：所述步骤Step2中的密码管理系统在各级子系统间独立建立密码服务体系，对各级系统进行统一监管；

   对使用密码安全服务的业务应用的注册、管理、授权，及密码资源分配和密码应用策略等进行统一的管理，支持对业务应用密码服务请求时进行统一鉴权控制，并对智能量测密码应用服务平台的密码安全业务进行统一管理操作；

   采用基于属性的访问控制机制结合密码技术进行对业务数据细粒度的访问控制，基于轻量级密钥管理机制，融合传统标准网络通信密码技术，支持国家商密的SM1、SM2、SM4等多种算法，支持和标准CA系统无缝对接的证书管理机制，基于国密算法SM1/SM2/SM4进行终端模块和智能电表的密钥生命周期管理。
3. 根据权利要求1所述的一种电网智能量测方法，其特征在于：所述步骤Step4中的加密传输的过程中，包括对敏感数据传输加密，同时进行MAC校验，并引入防重放机制和防中间人攻击机制。
4. 根据权利要求1所述的一种电网智能量测方法，其特征在于：所述步骤Step4中的基础数据的采集包括：电气量采集、环境量采集、状态量采集；

   其中，对居民用户、专变用户，变电站关口进行电量数据采集、参数下发以及电量统计和线损计算操作。
5. 根据权利要求1所述的一种电网智能量测方法，其特征在于：所述步骤Step8中的无线网涵括范围包括：公网APN和电力专网。
6. 根据权利要求1所述的一种电网智能量测方法，其特征在于：所述步骤Step8中的安全接入网关对接入业务系统的集中器终端进行身份认证，并通过协议阻断、格式检查、协议分析技术防止终端侧非法数据的跨网入侵，安全接入网关与接入终端之间通过密钥协商建立一条加密传输通道，对终端与业务系统之间的业务报文进行传输保护。
7. 根据权利要求1所述的一种电网智能量测方法，其特征在于：所述步骤Step9中的各类业务包括：采集类业务、参数设置类业务、负控费控类业务等；不同业务根据相应的安全等级进行区分。
8. 根据权利要求1所述的一种电网智能量测方法部署有实时检测数据运算的方法，其特征在于，包括以下步骤：

   S1：检测问题数据，进行定期重复巡查，对数据传输过程进行实时核验，通过人工与软件相结合的方式进行处理；

   S2：将问题数据进行留存，保存在存储端；

   S3：将问题数据独立提交计算端；

   S4：进行后台查验，重新计算分析；

   S5：剔除二次异议数据，生成问题报告；

   S6：将问题报告提交采集端；

   S7：对相关基础数据重新采集；

   S8：将数据独立提交计算端，计算分析。
9. 根据权利要求8所述的一种实时检测数据运算的方法，其特征在于：所述数据传输过程检测因素包括：数据接收端检测、数据传输中途链路检测与数据发送端检测。
10. 根据权利要求5所述的一种电网智能量测方法，其特征在于：所述步骤S5中问题报告的生成因素包括：问题数据检出来源、问题数据检出时间、问题数据属性。