一种用于能源信息网关的数据请求方法与流程

本发明涉及能源网关信息传递，尤其是涉及一种用于能源信息网关的数据请求方法。

背景技术：

能源信息网关从计量仪表采集数据，然后发送到数据中心。传统的能源信息网关和数据中心有两种数据传输方式：

方案1：能源信息网关作为tcpclient，直接通过tcp方式连接到数据中心，数据中心可以通过该连接请求数据；能源信息网关定时发送数据心跳帧用于维护该连接，该连接一直在线，心跳周期一般为3-5分钟。

方案2：能源信息网关先作为tcpserver，数据中心先连接到能源信息网关，发送数据请求命令，然后能源信息网关再作为tcpclient，连接到数据中心，请求完毕后关闭连接。

对于方案1来说，因为能源信息网关与数据中心的连接一直在线，哪怕是当前没有数据请求。数据中心服务器会消耗掉很多资源来维护该连接；当接入的能源信息网关数量较多时，数据中心的cpu负荷会很高，网络中用于维护心跳的数据包也相当大；当接入的能源信息网关数量达到10000或更高时，必须增加数据中心服务器来维护该连接。为了使连接不掉线，能源信息网关得不断地发送数据心跳帧以表示当前在线，会增加网络的负荷，单接入的数量达到100000时，会严重影响整个网络的负载，甚至导致网络崩溃。

对于方案2来说，虽然解决了方案1中的负荷问题，但是由于一直运行着tcpserver端口监听，容易被端口扫描工具检查到，易于将自己暴露在网络中，容易遭受到网络攻击。

技术实现要素：

本发明主要是解决现有技术所存在的负荷和安全性无法得到平衡兼具的技术问题，提供一种在确保安全性的前提下可以明显降低网络负荷、提高承载量的用于能源信息网关的数据请求方法。

本发明针对上述技术问题主要是通过下述技术方案得以解决的：一种用于能源信息网关的数据请求方法，包括请求处理过程，请求处理过程包括以下步骤：

s001、能源信息网关加载数据中心服务器信息；

s002、加载udp服务器参数；

s003、运行udp服务器；

s004、判断是否收到udp数据包，收到则进入步骤s005，未收到则保持对upd数据包的监测状态；

s005、检验udp数据包的签名，检验通过则进入步骤s006，检验未通过则返回步骤s004；此步骤判断udp数据包的合法性；

s006、检验udp数据包内的id信息是否与本能源网关的id一致，如果一致则进入步骤s007，如果不一致则返回步骤s004；此步骤判断数据包的目标是否为自身；

s007、比较能源信息网关的收到数据包时的时间与udp数据包里的数据包发送时刻的时间差值是否在偏差范围内，如果在偏差范围内则进入步骤s008，如果超过偏差范围则返回步骤s004；如果时间差超出偏差范围，表示数据包的已经失去时效性，不需要进行响应；

s008、在签名、id和时间等都检验通过后，能源网关向数据中心发起tls（transportlayersecurity，安全传输层协议）连接；

s009、判断连接是否成功，如果成功则进入步骤s010，如果连接不成功则返回步骤s004；

s010、能源信息网关接收来自数据中心的请求，接收成功则进入步骤s011，否则返回步骤s004；

s011、能源信息网关处理请求，处理完成后判断与数据中心的连接是否断开，如果断开则返回步骤s004，如果未断开则返回步骤s010；

数据中心在成功建立与能源信息网关的连接之后向能源网关发送请求，发送完毕之后关闭连接。

上述步骤未特别说明则主体都为能源信息网关。本方案采用了udp协议（userdatagramprotocol，用户数据报协议），而非常规的tcp协议，数据中心按需请求数据，在没有数据请求的时候不用保持连接一直在线，也不需要大量用于维护数据的数据包，有效降低了整个网络的负载。同时本方案取消了能源网关作为tcpserver的步骤，也就是说不需要运行tcpserver的端口监听由于udp协议是非面向连接的，对udp端口的探测也就不可能像tcp端口的探测那样依赖于连接建立过程，这也使得udp端口扫描的可靠性不高。所以虽然udp协议较之tcp协议显得简单，但是对udp端口的扫描却是相当困难的，从而受到网络攻击的可能性。

作为优选，用于能源信息网关的数据请求方法还包括对时过程，对时过程包括以下步骤：

s101、能源信息网关从外部时钟读取时间并以读取到的时间初始化系统时间；

s102、加载ntp对时方案；ntp为网络时间协议(networktimeprotocol)；对时方案可以由工作人员进行设定，例如每天某个固定时间点或间隔一定时间进行对时；为均衡网络数据流量，可以设定不同的能源信息网关具有不同的对时时间；

s103、依据ntp对时方案加载ntp服务器连接信息；

s104、依据ntp对时方案判断是否触发对时，如果触发，则进入步骤s005，如果未触发，则保持对触发条件的监测状态；

s105、进行ntp对时；

s106、保存ntp对时结果，并跳转到步骤s004。

对时过程可以让能源网关获得准确的时间信息，作为时间验证步骤的基础。

作为优选，能源信息网关在对时结束之后在网络层屏蔽icmp协议。

屏蔽icmp协议可以进一步提高能源信息网关通信端口被扫描和攻击的可能性。

作为优选，udp数据包采用ecdsa算法进行数据签名验证。

椭圆曲线数字签名算法（ecdsa）是使用椭圆曲线密码（ecc）对数字签名算法（dsa）的模拟。其具有计算参数小，密钥短，运算速度快，签名也短小等优势，因此椭圆曲线密码尤其适用于处理能力、存储空间、带宽及功耗受限的场合。

作为优选，能源信息网关在接收到第一个有效的udp数据包后，会在接下来的t秒内，不响应这段时间内的udp数据包，防止udp数据包洪水，t秒之后继续响应udp数据包；t为无应答时长，t为随机产生，范围为7-10秒。

本发明带来的实质性效果是，1、数据中心按需请求数据，降低了数据中心服务器的负荷，同时也降低了整个网络的负载；2、能源信息网关采用udp协议并屏蔽icmp协议，避免将自己暴露在网络中，使得恶意程序无法检测出能源信息网关是否在该网络里，避免遭受到攻击；3、对数据包进行ecdsa签名验证、时间验证和id验证，即使恶意程序截取网络数据包也无用（数据包里有时间信息），增加安全性。

附图说明

图1是本发明的一种请求处理过程的流程图；

图2是本发明的一种对时过程的流程图。

具体实施方式

下面通过实施例，并结合附图，对本发明的技术方案作进一步具体的说明。

实施例：本实施例的一种用于能源信息网关的数据请求方法，包括请求处理过程和对时过程。如图1所示，请求处理过程包括以下步骤：

s001、能源信息网关加载数据中心服务器信息；

s002、加载udp服务器参数；

s003、运行udp服务器；

s004、判断是否收到udp数据包，收到则进入步骤s005，未收到则保持对upd数据包的监测状态；

s005、检验udp数据包的签名，检验通过则进入步骤s006，检验未通过则返回步骤s004；此步骤判断udp数据包的合法性；

s006、检验udp数据包内的id信息是否与本能源网关的id一致，如果一致则进入步骤s007，如果不一致则返回步骤s004；此步骤判断数据包的目标是否为自身；

s007、比较能源信息网关的收到数据包时的时间与udp数据包里的数据包发送时刻的时间差值是否在偏差范围内，如果在误差范围内则进入步骤s008，如果超过误差范围则返回步骤s004；

s008、能源网关向数据中心发起tls连接；签名、id和时间等都检验通过则发起连接；

s009、判断连接是否成功，如果成功则进入步骤s010，如果连接不成功则返回步骤s004；

s010、能源信息网关接收来自数据中心的请求，接收成功则进入步骤s011，否则返回步骤s004；

s011、能源信息网关处理请求，处理完成后判断与数据中心的连接是否断开，如果断开则返回步骤s004，如果未断开则返回步骤s010；

数据中心在成功建立与能源信息网关的连接之后向能源网关发送请求，发送完毕之后关闭连接。

本方案的各个步骤未特别说明则主体都为能源信息网关。本方案采用了udp协议（userdatagramprotocol，用户数据报协议），而非常规的tcp协议，数据中心按需请求数据，在没有数据请求的时候不用保持连接一直在线，也不需要大量用于维护数据的数据包，有效降低了整个网络的负载。同时本方案取消了能源网关作为tcpserver的步骤，也就是说不需要运行tcpserver的端口监听由于udp协议是非面向连接的，对udp端口的探测也就不可能像tcp端口的探测那样依赖于连接建立过程，这也使得udp端口扫描的可靠性不高。所以虽然udp协议较之tcp协议显得简单，但是对udp端口的扫描却是相当困难的，从而受到网络攻击的可能性。

如图2所示，对时过程包括以下步骤：

s101、能源信息网关从外部时钟读取时间并以读取到的时间初始化系统时间；

s102、加载ntp对时方案；

s103、依据ntp对时方案加载ntp服务器连接信息；

s104、依据ntp对时方案判断是否触发对时，如果触发，则进入步骤s005，如果未触发，则保持对触发条件的监测状态；

s105、进行ntp对时；

s106、保存ntp对时结果，并跳转到步骤s004。

对时过程可以让能源网关获得准确的时间信息，作为时间验证步骤的基础。各个能源信息网关可以采用自身编号对1440（全天分钟数）取余，得到结果为本能源信息网关的对时时间点。例如某个能源信息网关编号为33664，对1440取余得到544，即在全天的第544分钟进行对时，如果起始点设定为零时整，则对时时间为09点04分。

能源信息网关在对时结束之后在网络层屏蔽icmp协议。

屏蔽icmp协议可以进一步提高能源信息网关通信端口被扫描和攻击的可能性。

udp数据包采用ecdsa算法进行数据签名验证。

椭圆曲线数字签名算法（ecdsa）是使用椭圆曲线密码（ecc）对数字签名算法（dsa）的模拟。其具有计算参数小，密钥短，运算速度快，签名也短小等优势，因此椭圆曲线密码尤其适用于处理能力、存储空间、带宽及功耗受限的场合。

能源信息网关在接收到第一个有效的udp数据包后，会在接下来的t秒内，不响应这段时间内的udp数据包，t秒之后继续响应udp数据包；t为随机产生的无应答时长，范围在7-10秒。这样可以防止udp数据包洪水，提高能源信息网关的安全性。

本发明具有以下优势：1、数据中心按需请求数据，降低了数据中心服务器的负荷，同时也降低了整个网络的负载；2、能源信息网关采用udp协议并屏蔽icmp协议，避免将自己暴露在网络中，使得恶意程序无法检测出能源信息网关是否在该网络里，避免遭受到攻击；3、对数据包进行ecdsa签名验证、时间验证和id验证，即使恶意程序截取网络数据包也无用（数据包里有时间信息），增加安全性。

本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代，但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。

尽管本文较多地使用了udp、签名等术语，但并不排除使用其它术语的可能性。使用这些术语仅仅是为了更方便地描述和解释本发明的本质；把它们解释成任何一种附加的限制都是与本发明精神相违背的。