用电信息采集系统的安全应用数据链路层设备及通信方法与流程

本发明涉及信息安全领域，并且更具体地，涉及一种用电信息系统的安全应用数据链路层设备及通信方法。

背景技术：

2009年以来，国家电网公司以“全覆盖、全采集、全费控”为建设目标，按照“统一规划、统一标准、统一实施”的原则推动用电信息采集系统建设。截至目前，已累计安装智能电能表3.84亿只，用电信息采集系统覆盖4亿多电力用户。目前，国家电网公司系统27个省公司的采集系统主站建设已全部完成并投入运行，采集数据在抄表收费、营业稽查、线损分析、业扩报装、故障抢修、有序用电、互动服务、电力交易、配电网运行与电能质量监测等多项业务中得到应用。

当前，用电信息采集系统信息集成度、融合度更高，系统依赖性更强，业务系统之间、业务系统与外界用户之间实时交互更加丰富与频繁，系统接入的终端数量庞大、类型多样，导致其运行环境的日趋复杂。而针对用电信息采集系统的攻击方式和强度也呈现出上升趋势。为了应对用电信息采集系统面临的安全风险和实际应用时会出现的具体情况，国家电网公司建设了统一的密钥及数字证书管理服务系统，研究了用电信息安全防护技术，并设计了电力用户用电信息采集系统的身份认证及加密传输协议，系统的安全性有了一定的提升。

然而，随着用电信息采集系统承担业务量和业务类型的不断增加，互联网中固有的安全漏洞和攻击方式对用电信息采集系统主站的影响日益显著，现有用电信息安全防护技术及相关协议已不能满足当前用电信息采集系统的安全性需求。

技术实现要素：

为了解决上述问题，根据本发明的一个方面，提供了一种用电信息采集系统的安全应用数据链路层通信方法，包括：

终端组织安全应用数据链路层sal登录、心跳报文以登录通信服务器；

终端与采集服务器之间建立会话；

采集服务器发起数据交互；

终端上报数据；

其中，在所述采集服务器发起数据交互过程以及终端上报数据过程中，终端与安全网关之间进行数据交互时利用ssl协议格式封装数据实现数据的加密保护，安全网关与采集服务器之间进行数据交互时利用app协议格式封装数据实现数据的加密保护。

优选地，所述终端与采集服务器之间建立会话包括采集服务器主动发起会话以及终端请求发起会话。

优选地，所述终端组织安全应用数据链路层sal登录、心跳报文登录通信服务器为：

终端组织安全应用数据链路层sal登录、心跳报文，并将所述sal登录、心跳报文发送至通信服务器；

通信服务器判断所述sal登录、心跳报文的完整性及合法性，若所述sal登录、心跳报文不完整或不合法，则通信服务器组成否认应答sal报文并发送至终端；若sal登录、心跳报文完整且合法，则将所述sal登录、心跳报文发送至安全网关；

安全网关判断所述sal登录、心跳报文的完整性及合法性，若所述sal登录、心跳报文不完整或不合法，则安全网关组成否认应答sal报文并发送至终端；若sal登录、心跳报文完整且合法，则将数据编码标识符c_app的值改为1并将所述sal登录、心跳报文封装为app协议格式后发送至采集服务器；

采集服务器对所述封装后的sal登录、心跳报文进行解封处理，然后生成app协议格式的sal登录响应报文并发送至安全网关；

安全网关判断所述sal登录响应报文的完整性和合法性，若所述sal登录响应报文完整且合法，则将c_app的值改为0并将所述app协议格式的sal登录响应报文转换为ssl格式，发送至通信服务器；

通信服务器根据所述sal登录响应报文的目的地址，将所述sal登录响应报文发送至对应的终端。

优选地，所述采集服务器主动发起会话为：

采集服务器将会话密钥协商数据进行加密形成私有命令并发送至安全网关，以通知安全网关向终端发送建立sal会话的请求；

安全网关解密所述私有命令，获取会话密钥协商数据，将c_app的值置为0，组成建立会话请求sal数据帧并采用ssl协议格式封装后发送给通信服务器；

通信服务器根据所述建立会话请求sal数据帧的目标地址，将建立会话请求sal数据帧发送至目的地址对应的终端；

终端对所述建立会话请求sal数据帧进行数据解析，并验证所述采集服务器身份，产生建立会话确认的数据并利用终端私钥进行加密，以组成建立会话应答sal数据帧发送给通信服务器；

通信服务器检查所述建立会话应答sal数据帧的完整性和合法性，若所述建立会话应答sal数据帧不完整或不合法，则通信服务器组成否认应答sal报文并发送至终端，若所述建立会话应答sal数据帧完整且合法，则将所述建立会话应答sal数据帧发送至安全网关；

安全网关判断所述建立会话应答sal数据帧的完整性和合法性，若所述建立会话应答sal数据帧完整且合法，则利用终端公钥解密所述建立会话应答sal数据帧，将c_app的值改为1并将得到建立会话确认的数据封装为app协议格式后发送至采集服务器；

采集服务器接收到所述app协议格式的建立会话确认的数据，解封并记录终端建立会话的结果。

优选地，所述终端请求发起会话为：

终端获取终端嵌入式安全控制(esam)芯片相关信息，组成请求建立会话sal数据帧并封装为ssl协议格式后，发送给通信服务器；

通信服务器检测所述请求建立会话sal数据帧的完整性和合法性，若所述请求建立会话sal数据帧不完整或不合法，则通信服务器组成否认应答sal报文并发送至终端；若请求建立会话sal数据帧完整且合法，则将所述请求建立会话sal数据帧发送至安全网关；

安全网关判断所述请求建立会话sal数据帧的完整性及合法性，若所述请求建立会话sal数据帧不完整或不合法，则安全网关组成否认应答sal报文并发送至终端；若请求建立会话sal数据帧完整且合法，则将c_app的值改为1并将所述请求建立会话sal数据帧封装为app协议格式后发送至采集服务器；

采集服务器对所述封装后的请求建立会话sal数据帧进行解封处理，组成确认/否认sal应答帧，发送至安全网关；

安全网关将c_app的值改为0，将确认/否认sal应答帧封装为ssl协议格式后发送至通信服务器，通信服务器再将该封装后的确认/否认sal应答帧发送至终端。

优选地，所述采集服务器发起数据交互为：

采集服务器组成明文1376.1/任务数据(oop)数据帧并发送至安全网关；

安全网关检测所述明文1376.1/oop数据帧的完整性及合法性，若所述明文1376.1/oop数据帧完整且合法，将c_app的值改为0，并将明文1376.1/oop数据帧进行基于终端的公钥进行加密并封装为ssl协议格式的sal数据帧，发送至通信服务器；

通信服务器根据sal数据帧的目标地址，将所述sal数据帧发送给相应的终端；

终端对sal数据帧进行解密，得到明文1376.1/oop数据帧，经过数据处理后组成明文1376.1/oop应答数据帧，加密后组成sal应答数据帧密文并发送至通信服务器；

通信服务器检测所述sal应答数据帧密文的完整性及合法性，若所述sal应答数据帧密文完整且合法，则将所述sal应答数据帧密文转发至安全网关；

安全网关检测所述sal应答数据帧密文的完整性及合法性，若所述sal应答数据帧密文完整且合法，解密得到明文1376.1/oop应答数据帧，将c_app的值改为1并将明文1376.1/oop应答数据帧封装为app协议格式的数据发送给采集服务器；

采集服务器接收到封装后的明文1376.1/oop应答数据帧后，根据明文1376.1/oop应答数据帧进行处理。

所述oop为任务数据，1376.1/oop数据帧为符合q/gdw1376.1-2012电力用户用电信息采集系统通信协议中第1部分：主站与采集终端通信协议任务数据帧。

优选地，所述终端上报数据为：

终端生成明文1376.1/oop数据帧，加密后形成sal数据帧密文发送至通信服务器；

通信服务器检测sal数据帧密文的完整性及合法性，若所述sal数据帧密文不完整或不合法，则通信服务器组成否认应答sal报文并发送至终端；若sal数据帧密文完整且合法，则将所述sal数据帧密文发送至安全网关；

安全网关检测所述sal数据帧密文的完整性及合法性，若所述sal数据帧密文不完整或不合法，则安全网关组成否认应答sal报文并发送至终端；若sal数据帧密文完整且合法，则将sal数据帧密文解密为明文1376.1/oop数据帧，将c_app的值改为1并将所述明文1376.1/oop数据帧封装为app协议格式后发送至采集服务器；

采集服务器接收到封装后的明文1376.1/oop数据帧后，根据明文1376.1/oop数据帧进行处理，组成明文1376.1/oop应答数据帧发送至安全网关；

安全网关检测所述明文1376.1/oop应答数据帧的完整性及合法性，若所述明文1376.1/oop应答数据帧完整且合法，则将c_app的值改为0，并将明文1376.1/oop应答数据帧利用终端公钥进行加密并封装为ssl协议格式的sal应答数据帧密文，发送至通信服务器；

通信服务器根据sal应答数据帧密文的目标地址，将所述sal应答数据帧密文发送给相应的终端；

终端接收sal应答数据帧密文后进行解密得到明文1376.1/oop应答数据帧，并根据明文1376.1/oop应答数据帧内容进行数据处理。

优选地，当c_app的值为0时，表示当前的数据帧为ssl协议格式封装，当c_app的值为1时，表示当前的数据帧为app格式封装。

优选地，所述终端esam芯片相关信息为终端序列号、通信协议版本号以及加密算法。

根据本发明的另一方面，提供一种用电信息采集系统的安全应用数据链路层设备，包括：

终端，用于组织心跳报文登录通信服务器、与采集服务器建立会话并进行数据交互以及进行上报数据；

通信服务器，用于检测终端与采集服务器之间进行建立会话和数据交互时产生的数据帧的完整性及合法性；

安全网关，用于检测终端与采集服务器之间进行建立会话和数据交互时产生的数据帧的完整性及合法性、对所述数据帧进行app协议或ssl协议格式的封装以及加密解密；以及

采集服务器，用于与终端建立会话并进行数据交互以及进行数据处理。

本发明在现有的基于密钥及数字证书管理服务系统的应用层加密协议的基础上，建立了用电信息采集系统链路层加密保护通信方法，增加了用电信息采集系统的安全性。

附图说明

通过参考下面的附图，可以更为完整地理解本发明的示例性实施方式：

图1为根据本发明优选实施例的用电信息采集系统的安全应用数据链路层通信方法的流程图；

图2为根据本发明优选实施例的终端组织安全应用数据链路层sal登录、心跳报文登录通信服务器的流程示意图；

图3为根据本发明优选实施例的采集服务器主动发起会话的流程示意图；

图4为根据本发明优选实施例的终端请求发起会话的流程示意图；

图5为根据本发明优选实施例的采集服务器发起数据交互的流程示意图；

图6为根据本发明优选实施例的终端上报数据的流程示意图；以及

图7为根据本发明优选实施例的用电信息采集系统的安全应用数据链路层设备结构示意图。

具体实施方式

现在参考附图介绍本发明的示例性实施方式，然而，本发明可以用许多不同的形式来实施，并且不局限于此处描述的实施例，提供这些实施例是为了详尽地且完全地公开本发明，并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中，相同的单元/元件使用相同的附图标记。

除非另有说明，此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外，可以理解的是，以通常使用的词典限定的术语，应当被理解为与其相关领域的语境具有一致的含义，而不应该被理解为理想化的或过于正式的意义。

图1为根据本发明优选实施例的用电信息采集系统的安全应用数据链路层通信方法的流程图。如图1所示，在方法100中，终端首先组织安全应用数据链路层sal登录、心跳报文以登录通信服务器，然后建立终端与采集服务器之间的会话，随后由采集服务器发起数据交互，由终端上报数据，完成通信。其中，在所述采集服务器发起数据交互过程以及终端上报数据过程中，终端与安全网关之间进行数据交互时利用ssl协议格式封装数据实现数据的加密保护，安全网关与采集服务器之间进行数据交互时利用app协议格式封装数据实现数据的加密保护。在安全网关与终端之间建立链路传输层的加密保护，保证了数据在终端和安全网关之间传输的安全性。优选地，终端与采集服务器之间建立会话包括采集服务器主动发起会话以及终端请求发起会话两种建立会话的方式。在实际使用中，用电信息采集系统将根据实际情况进行建立会话方式的选择。

图2为根据本发明优选实施例的终端组织安全应用数据链路层sal登录帧和心跳报文登录通信服务器的流程示意图。如图2所示，终端首先组织安全应用数据链路层sal登录、心跳报文，并将所述sal登录、心跳报文发送至通信服务器；通信服务器接收到sal登录、心跳报文后首先检查sal登录、心跳报文的完整性以及合法性，只有当sal登录、心跳报文完整且合法时，通信服务器才会将sal登录、心跳报文传输至安全网关，此时数据编码标识符c_app的值为0，证明当前sal登录、心跳报文为ssl格式封装数据；当sal登录、心跳报文不完整和/或不合法时，通信服务器组成否认应答sal报文发送至终端，同时本次通信结束；通信服务器判断sal登录、心跳报文完整且合法时，将sal登录、心跳报文发送至安全网关，安全网关接收到sal登录、心跳报文后同样判断sal登录、心跳报文的完整性及合法性，若sal登录、心跳报文不完整和/或不合法，则由安全网关组成否认应答sal报文并发送至终端；若sal登录、心跳报文完整且合法，则将c_app的值改为1并将所述sal登录、心跳报文封装为app协议格式后发送至采集服务器；采集服务器接收到封装后的sal登录、心跳报文后进行解封处理，然后生成app协议格式的sal登录响应报文并发送至安全网关；安全网关接收到sal登录响应报文后判断sal登录响应报文的完整性和合法性，若sal登录响应报文完整且合法，则将c_app的值改为0并将app协议格式的sal登录响应报文转换为ssl格式，发送至通信服务器；通信服务器根据sal登录响应报文的目的地址，将sal登录响应报文发送至对应的终端，终端组织安全应用数据链路层sal登录、心跳报文登录通信服务器操作完成。优选地，安全网关以及通信服务器对数据的完整性以及合法性判断的方法相同，均为通过检查数据帧的编码规则判断数据的合法性，通过检查数据长度来判断数据的完整性。

图3为根据本发明优选实施例的采集服务器主动发起会话的流程示意图。终端与采集服务器之间建立会话包括采集服务器主动发起会话以及终端请求发起会话。如图3所示，采集服务器主动发起会话时，首先将会话密钥协商数据进行加密形成私有命令并发送至安全网关，以通知安全网关向终端发送建立sal会话的请求；安全网关接收到私有命令后，利用采集服务器的公钥解密私有命令，获取会话密钥协商数据，组成建立会话请求sal数据帧发送给通信服务器；通信服务器根据接收到的建立会话请求sal数据帧的目标地址，将建立会话请求sal数据帧发送至目的地址对应的终端；终端对接收到的建立会话请求sal数据帧进行数据解析，并验证采集服务器身份，产生建立会话确认的数据并利用终端esam芯片中包含的加密协议进行加密，以组成建立会话应答sal数据帧发送给通信服务器；通信服务器接收到建立会话应答sal数据帧后检查建立会话应答sal数据帧的完整性和合法性，若建立会话应答sal数据帧不完整或不合法，则通信服务器组成否认应答sal报文并发送至终端，若建立会话应答sal数据帧完整且合法，则将建立会话应答sal数据帧发送至安全网关；安全网关接收到建立会话应答sal数据帧后同样判断建立会话应答sal数据帧的完整性和合法性，若建立会话应答sal数据帧完整且合法，则利用终端esam芯片中包含的加密芯片的公钥进行解密建立会话应答sal数据帧，将得到建立会话确认的数据并封装为app协议格式后发送至采集服务器；采集服务器接收到所述app协议格式的建立会话确认的数据，解封后记录终端建立会话的结果。优选地，验证采集服务器身份的方法为通过数字证书签名验签方式实现。

图4为根据本发明优选实施例的终端请求发起会话的流程示意图。图图4所示，终端请求发起会话时，首先获取终端嵌入式安全控制(esam)芯片相关信息，组成请求建立会话sal数据帧，发送给通信服务器；通信服务器接收到请求建立会话sal数据帧后检测其完整性和合法性，若请求建立会话sal数据帧不完整或不合法，则通信服务器组成否认应答sal报文并发送至终端，终端请求发起会话流程结束；若请求建立会话sal数据帧完整且合法，则将请求建立会话sal数据帧发送至安全网关；安全网关接收到请求建立会话sal数据帧后判断其完整性及合法性，若请求建立会话sal数据帧不完整或不合法，则安全网关组成否认应答sal报文并发送至终端，终端请求发起会话流程结束；若请求建立会话sal数据帧完整且合法，则将c_app的值改为1并将所述请求建立会话sal数据帧封装为app协议格式后发送至采集服务器；采集服务器对封装后的请求建立会话sal数据帧进行解封处理，并根据实际情况组成确认sal应答帧或者否认sal应答帧，发送至安全网关；安全网关接收到确认sal应答帧或者否认sal应答帧后，将c_app的值改为0，并将确认sal应答帧或者否认sal应答帧封装为ssl协议格式后发送至通信服务器，通信服务器再将该封装后的确认sal应答帧或者否认sal应答帧发送至终端。优选地，终端esam芯片相关信息为终端序列号、通信协议版本号以及加密算法。

图5为根据本发明优选实施例的采集服务器发起数据交互的流程示意图。终端与采集服务器建立会话后，由采集服务器发起数据交互，如图5所示，采集服务器首先组成明文1376.1/oop数据帧并发送至安全网关，这里的oop是指任务数据，1376.1/oop数据帧为符合q/gdw1376.1-2012电力用户用电信息采集系统通信协议中第1部分：主站与采集终端通信协议任务数据帧；安全网关检测接收到的明文1376.1/oop数据帧的完整性及合法性，若明文1376.1/oop数据帧完整且合法，将c_app的值改为0，并将明文1376.1/oop数据帧进行利用终端的公钥进行加密并封装为ssl协议格式的sal数据帧，发送至通信服务器；通信服务器则根据sal数据帧的目标地址，将所述sal数据帧发送给相应的终端；终端对接收到的sal数据帧通过终端私钥进行解密，得到明文1376.1/oop数据帧，经过数据处理后组成明文1376.1/oop应答数据帧，经过终端的私钥加密后组成sal应答数据帧密文并发送至通信服务器；通信服务器检测接收到的sal应答数据帧密文的完整性及合法性，当sal应答数据帧密文完整且合法时，将sal应答数据帧密文转发至安全网关；安全网关检测接收到的sal应答数据帧密文的完整性及合法性，若sal应答数据帧密文完整且合法，则利用终端的公钥对sal应答数据帧密文进行解密得到明文1376.1/oop应答数据帧，将c_app的值改为1并将明文1376.1/oop应答数据帧封装为app协议格式的数据发送给采集服务器；采集服务器接收到封装后的明文1376.1/oop应答数据帧后，根据明文1376.1/oop应答数据帧进行处理。

图6为根据本发明优选实施例的终端上报数据的流程示意图。如图6所示，终端上报数据时，首先生成明文1376.1/oop数据帧，经过终端私钥加密后形成sal数据帧密文发送至通信服务器；通信服务器检测接收到的sal数据帧密文的完整性及合法性，若sal数据帧密文不完整或不合法，则通信服务器组成否认应答sal报文并发送至终端，终端上报数据流程结束；若sal数据帧密文完整且合法，则将sal数据帧密文发送至安全网关；安全网关检测接收到的sal数据帧密文的完整性及合法性，若sal数据帧密文不完整或不合法，则安全网关组成否认应答sal报文并发送至终端，终端上报数据流程结束；若sal数据帧密文完整且合法，则将sal数据帧密文利用终端公钥解密为明文1376.1/oop数据帧，将c_app的值改为1并将明文1376.1/oop数据帧封装为app协议格式后发送至采集服务器；采集服务器接收到封装后的明文1376.1/oop数据帧后，根据明文1376.1/oop数据帧进行处理，组成明文1376.1/oop应答数据帧发送至安全网关；安全网关检测接收到的明文1376.1/oop应答数据帧的完整性及合法性，若明文1376.1/oop应答数据帧完整且合法，则将c_app的值改为0，并将明文1376.1/oop应答数据帧利用终端的公钥进行加密并封装为ssl协议格式的sal应答数据帧密文，发送至通信服务器；通信服务器根据sal应答数据帧密文的目标地址，将sal应答数据帧密文发送给相应的终端；终端接收sal应答数据帧密文后进行解密得到明文1376.1/oop应答数据帧，并根据明文1376.1/oop应答数据帧内容进行数据处理。

图7为根据本发明优选实施例的用电信息采集系统的安全应用数据链路层设备结构示意图。如图7所示，用电信息采集系统的安全应用数据链路层设备700包括终端701、通信服务器702、安全网关703以及采集服务器704，其中终端701的个数在不超过采集服务器704的采集限制内可以为多个。优选地，终端701用于组织心跳报文登录通信服务器702、与采集服务器704建立会话并进行数据交互以及进行上报数据。优选地，通信服务器702用于检测终端701与采集服务器703之间进行建立会话和数据交互时产生的数据帧的完整性及合法性。优选地，安全网关703用于检测终端701与采集服务器704之间进行建立会话和数据交互时产生的数据帧的完整性及合法性、对数据帧进行app协议或ssl协议格式的封装以及加密解密。优选地，采集服务器704用于与终端701建立会话并进行数据交互以及进行数据处理。

已经通过参考少量实施方式描述了本发明。然而，本领域技术人员所公知的，正如附带的专利权利要求所限定的，除了本发明以上公开的其他的实施例等同地落在本发明的范围内。

通常地，在权利要求中使用的所有术语都根据他们在技术领域的通常含义被解释，除非在其中被另外明确地定义。所有的参考“一个/所述/该[装置、组件等]”都被开放地解释为所述装置、组件等中的至少一个实例，除非另外明确地说明。这里公开的任何方法的步骤都没必要以公开的准确的顺序运行，除非明确地说明。