基于能源互联网的高效应用式安全专网传输方法与系统与流程

本发明涉及能源网络传输技术领域，特别涉及一种基于能源互联网的高效应用式安全专网传输方法与系统。

背景技术：

变电站是一种需要安全等级非常高的设备，一旦出事，轻则停电事故，重则引起社会动乱。为此传统在变电站网络通讯采用网络专线的方式，但网络专线成本非常高，高昂的专线成本一般企业难以承受。

2015年12月23日乌克兰电力系统遭受攻击事件；2016年10月21日美国dns服务器遭受ddos攻击导致网络瘫痪；2017年根据数据监测机构neustar发布的报告指出，全球第一季度84％组织遭受ddos攻击。2017年5月17日勒索病毒全球大规模爆发等无不为网络安全敲响了警钟的同时，也提出了网络安全尖锐的课题。

而vpn(虚拟专用网络)以其设备成本高、并发量有限、连接不稳定等特点，只能在小范围中运用，大规模运用不经济，成本高，为此不适合在能源互联网中应用。

在国家大力推动科技创新，提高效率降低成本惠及实体经济的大背景下，探索实现低成本、安全等级比较高，运行高效率、可推广复用的高效应用式安全专网方法将为能源互联网的传输提供可能，但目前还没有有效的网络技术可以提供能源互联网的安全可靠的传输。

技术实现要素：

本发明的目的在于提供一种基于能源互联网的高效应用式安全专网传输方法与系统，以解决现有的能源领域中无法利用现有网络进行有效安全传输的问题。

为实现上述目的，本发明提供了一种基于能源互联网的高效应用式安全专网传输方法，应用于能源互联网中，所述能源互联网包括设置于配电终端用于采集电力数据的采集端设备，以及设于监控中心用于接收所述电力数据的服务器，该方法包括：

在能源互联网中传输数据的采集端设备及服务器分别植入网络传输层功能扩展的安全控制模块，在所述安全控制模块内进行至少包括设置：读入配置文件调用内核信息获取并设置服务器端口信息和采集端设备通信端口中信息在内的初始化操作；定义传输层之间数据传输功能的打开/关闭指令操作；定义传输层进行数据传输的发送/接收指令操作；及定义传输层进行数据传输的数据加密/解密指令操作；

当能源互联网的采集端设备有能源数据需要传输时，传输层才打开并进行加解密通信，实现网络链路专网的数据通信，服务器接收到的能源数据按照预先设定的解密指令进行解密操作，传输完成立即关闭传输层。

较佳地，在服务器预先存储有数据传输的白名单，并在服务器动态更新允许数据传输的采集端设备的白名单信息；

服务器在接收到数据后，仅允许接收在白名单内的采集端设备的数据。

较佳地，数据传输过程中，在发送端，发送数据时首先通过网络协议接口层的dev_queue_xmit()函数将数据包发送至网络设备接口层，然后转发给设备驱动功能层的hard_start_xmit()函数启动数据包发送操作，使数据包在网络物理设备中进行传输；

在接收端，接收数据时首先通过中断处理的触发接收操作以获取网络物理设备中传输的数据包，然后由网络设备接口层将接收的数据包转发给网络协议接口层的netif_rx()函数接收数据；

其中，网络设备接口层设置有用于描述网络物理设备属性和操作的结构体net_device，数据包通过所述结构体net_device识别设备驱动功能层的对应的操作。

较佳地，所述安全控制模块的初始化操作进一步包括：

调用probe函数进行设备检测、配置和初始化硬件，然后向系统申请对应的资源；最后填充本机的dev结构，并读入config.xml文件的配置信息，调用内核提供的ether_setup方法来设置：服务器端的ip地址及域名、端口本机通信端口，通信令牌。

较佳地，所述打开指令操作进一步包括：在网络设备被激活时，调用open()函数执行资源申请、硬件激活、注册中断、dma，以及进行设置寄存器、启动设备与发送队列；

所述关闭指令操作进一步包括：在网络设备被关闭时，调用stop()函数执行资源释放、硬件关闭、关闭中断。

较佳地，所述发送指令操作进一步包括：调用驱动程序的hard_start_xmit()函数，将发送的数据放在一个sk_buff结构中，发送成功后，hard_start_xmit()函数释放sk_buff结构；

所述接收指令操作进一步包括：当有数据中断时，在终端处理程序的驱动程序中申请一块sk_buff(skb)从硬件中读取数据位置到申请好的缓冲区里，再调用netif_rx函数将skb的数据交给网络协议接口层。

本发明还提供了一种基于能源互联网的高效应用式安全专网传输系统，包括：

采集端设备，设置于配电终端以采集电力数据；

服务器，设置于监控中心以接收所述电力数据；

安全控制模块，其分别预先加载在所述采集端设备及服务器上，在所述安全控制模块内进行至少包括设置：读入配置文件调用内核信息获取并设置服务器端口信息和采集端设备通信端口中信息在内的初始化操作；定义传输层之中数据传输功能的打开/关闭指令操作；定义传输层进行数据传输的发送/接收指令操作；及定义传输层进行数据传输的数据加密/解密指令操作；

当能源互联网的采集端设备有能源数据需要传输时，传输层才打开并进行加解密通信，实现网络链路专网的数据通信，服务器接收到的能源数据按照预先设定的解密指令进行解密操作，传输完成立即关闭传输层。

本发明还提供了上述系统的传输方法，包括：

当发送端需要传输数据时，发送端通过所述打开指令操作请求打开所述传输层建立网络链路专网，然后由发送端的安全控制模块将待传输的数据执行加密指令操作，并将加密后的数据通过发送指令操作传输至建立的网络链路专网；

当接收端接收数据时，接收端通过所述接收指令操作执行数据的接收，并通过所述解密指令操作对数据进行解密，接收完成后通过所述关闭指令操作请求关闭所述传输层并撤销所述网络链路专网。

本发明还提供了一种基于能源互联网的高效应用式安全专网传输系统，包括：

采集端设备，设置于配电终端以采集电力数据；

服务器，设置于监控中心以接收所述电力数据；

安全控制模块，其分别预先加载在所述采集端设备及服务器上，在所述安全控制模块内进行至少包括设置：读入配置文件调用内核信息获取并设置服务器端口信息和采集端设备通信端口中信息在内的初始化操作；定义传输层直接数据传输功能的打开/关闭指令操作；传输层进行数据传输的发送/接收指令操作；传输层进行数据传输的数据加密/解密指令操作；使得：

当能源互联网的采集端设备有能源数据需要传输时，传输层才打开并进行加解密通信，实现网络链路专网的数据通信，服务器接收到的能源数据按照预先设定的解密指令进行解密操作，传输完成立即关闭传输层。

还包括第三方管理器，执行动态更新发送电力数据的采集端设备的白名单，并将动态更新的白名单发送至所述服务器，以及执行所述采集端设备的时钟同步及打开/关闭传输层。

本发明还提供了上系统的传输方法，包括：

所述第三方管理器进行采集端设备与服务器的时钟同步，

当发送端需要传输数据时，发送端通过所述打开指令操作向所述第三方管理器请求打开所述传输层建立网络链路专网，当第三方管理器打开所述传输层后，由发送端的安全控制模块将待传输的数据执行加密指令操作，并将加密后的数据通过发送指令操作传输至建立的网络链路专网，同时所述第三方管理器将发送端的标识信息发送至所述服务器；

当接收端接收数据时，首先查询所述标识信息是否在白名单内，如是则接收端通过所述接收指令操作执行数据的接收，并通过所述解密指令操作对数据进行解密，接收完成后通过所述关闭指令操作向所述第三方管理器请求关闭所述传输层并撤销所述网络链路专网，由所述第三方管理器关闭所述传输层；如否，则拒绝接受数据。

由于能源互联网通讯特点是采用点对点的上传通讯方式，通讯目标十分明确，并且有系统来统一管理。同时，本发明技术方案中的网络通讯周期实现了可定义的秒级通讯，具体地本发明具有以下有益效果：

1)网络传输层数据包：针对网络黑客手段工具的多样性，通过网络传输层数据包加密，黑客很难发现目标ip，即使黑客锁定了目标ip或域名的前提下，虽然黑客可以通过网络监听、截取信息的手段破解密码，模拟的虚假报文来欺骗，依然有后面两层加以拦截。

2)网络传输层应用式开/闭合：当应用系统有数据需要传输时，传输层才打开，进行加解密通讯，实现网络链路专网，若没有收到加密的报文一概拒绝，这样即使cpu、操作系统、乃至病毒对外失去了联系传播的途径和通道，传输完成立即关闭传输层，这样黑客即使用模拟的虚假报文来欺骗，也不知道网络传输层何时打开，常常连接失败，极大地提高了网络安全性。

纵然黑客可以把模拟的虚假报文通过网络传输层应用式开/闭合规则，依然有应用白名单层加以拦截。

3)应用白名单：由于能源互联网通讯特点是点对点的通讯方式，所以通讯目标是十分明确的，并且有系统来统一管理，为此，可以把通讯目标点加入白名单。要完成依次传输必须具备三个条件：通讯目标是白名单之一；网络传输层开启；数据解密合法。

附图说明

图1为本发明方法流程图；

图2为本发明优选实施例的设备无关层到驱动层的体系结构图；

图3为一优选实施例的系统组成示意图；

图4为另一优选实施例的系统组成示意图。

具体实施方式

以下将结合本发明的附图，对本发明实施例中的技术方案进行清楚、完整的描述和讨论，显然，这里所描述的仅仅是本发明的一部分实例，并不是全部的实例，基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明的保护范围。

为了便于对本发明实施例的理解，下面将结合附图以具体实施例为例作进一步的解释说明，且各个实施例不构成对本发明实施例的限定。

本实施例提供的一种基于能源互联网的高效应用式安全专网传输方法，应用于能源互联网中，所述能源互联网包括设置于配电终端用于采集电力数据的采集端设备，以及设于监控中心用于接收所述电力数据的服务器，如图1所示，该方法包括：

s1：在能源互联网中传输数据的采集端设备及服务器分别植入网络传输层功能扩展的安全控制模块，其中，在所述安全控制模块内进行至少包括设置：读入配置文件调用内核信息获取并设置服务器端口信息和采集端设备通信端口中信息在内的初始化操作；定义传输层之间数据传输功能的打开/关闭指令操作；定义传输层进行数据传输的发送/接收指令操作；及定义传输层进行数据传输的数据加密/解密指令操作；

s2：当能源互联网的采集端设备有能源数据需要传输时，传输层才打开并进行加解密通信，实现网络链路专网的数据通信；

s3：服务器接收到的能源数据按照预先设定的解密指令进行解密操作，传输完成立即关闭传输层。

这里的采集端设备可以根据需要设为与各种电力设备的智能表计、传感器等相连且可以直接获取电力数据的计算机、plc控制器等可以通过互联网与服务器通信以便将采集的电力数据发送给服务器的设备。

优选地，在服务器中预先存储有数据传输的白名单，并在服务器处进行动态更新允许数据传输的采集端设备的白名单信息。其中，白名单内存储有与合法的采集端设备对应的标识信息，如设备编号。则进行数据传输时，服务器在接收到数据后，仅允许接收在白名单内的采集端设备的数据。这样，未在白名单内的采集端设备发送的数据是无法被服务器接收的，提高了服务器所接收的能源数据的安全性。

如图2所示，为设备无关层到驱动层的体系结构，该体系结构包括：网络协议接口层、网络设备接口层、设备驱动功能层及网络设备与媒介层。则对应地，在数据传输过程中，在发送端，发送数据时首先通过网络协议接口层的dev_queue_xmit()函数将数据包发送至网络设备接口层，然后转发给设备驱动功能层的hard_start_xmit()函数启动数据包发送操作，使数据包在网络物理设备中进行传输；而在接收端，接收数据时首先通过中断处理的触发接收操作以获取网络物理设备中传输的数据包，然后由网络设备接口层将接收的数据包转发给网络协议接口层的netif_rx()函数接收数据；其中，网络设备接口层设置有用于描述网络物理设备属性和操作的结构体net_device，数据包通过所述结构体net_device识别设备驱动功能层的对应的操作。

其中，具体地，网络协议接口层向网络层协议提供提供统一的数据包收发接口，不论上层协议为arp还是ip，都通过dev_queue_xmit()函数发送数据，并通过netif_rx()函数接收数据，这一层的存在使得上层协议独立于具体的设备；网络设备接口层向协议接口层提供统一的用于描述具体网络设备属性和操作的结构体net_device，该结构体是设备驱动功能层中各函数的容器，实际上，网络设备接口层从宏观上规划了具体操作硬件的设备驱动功能层的结构；设备驱动功能层各函数是网络设备接口层net_device数据结构的具体成员，是驱使网络设备硬件完成相应动作的程序，他通过hard_start_xmit()函数启动发送操作，并通过网络设备上的中断触发接收操作；网络设备与媒介层是完成数据包发送和接受的物理实体，包括网络适配器和具体的传输媒介，网络适配器被驱动功能层中的函数物理上驱动。对于linux系统而言，网络设备和媒介都可以是虚拟的。

上述的安全控制模块的初始化操作进一步包括：

设备探测工作在init方法中进行，初始化时调用probe函数进行设备检测、配置和初始化硬件，然后向系统申请对应的资源；最后填充本机的dev结构，并读入config.xml文件的配置信息，调用内核提供的ether_setup方法来设置：服务器端的ip地址及域名、端口本机通信端口，通信令牌以及其他一些设置。

而上述的打开指令操作主要是通过open函数完成，具体包括：在网络设备被激活时(即设备状态由down变成up)，通过调用open()函数执行资源申请、硬件激活、注册中断、dma，以及进行设置寄存器、启动设备与发送队列。其中，如果dev->open返回非0，则硬件状态还是down。一般注册中断都在init中做，但在这里的网卡驱动程序中，注册中断大部分都是放在open中注册，因为要经常关闭和重启网卡。

对应地，上述的关闭指令操作采用stop()函数执行与上述的open()函数相反的动作，主要包括：在网络设备被关闭时，调用stop()函数执行资源释放、硬件关闭、关闭中断。以释放某些资源以减少系统负担，同时stop()函数使设备状态由up转为down时被调用。

而上述的发送指令操作进一步包括：系统调用驱动程序的hard_start_xmit()函数，同时将发送的数据放在一个sk_buff结构中。一般的驱动程序传给硬件发出去。也有一些特殊的设备比如说loopback把数据组成一个接收数据在传送给系统或者dummy设备直接丢弃数据。发送成功后，hard_start_xmit()函数释放sk_buff结构；如果设备暂时无法处理，比如硬件忙，则返回1。此时，可通过过滤驱动对数据包进行重定向处理，定义到专有链路中，使得只有发往服务器的合法数据包才能被通过。

对应地，上述的接收指令操作进一步包括：一般设备收到数据后都会产生一个中断，当有数据中断时，在终端处理程序的驱动程序中申请一块sk_buff(skb)从硬件中读取数据位置到申请好的缓冲区里，再调用netif_rx函数将skb的数据交给网络协议接口层。

其中，申请sk_buff(skb)后需要填充sk_buff中的一些信息。而中断有可能是收到数据产生也可能是发送完成产生，中断处理程序要对中断类型进行判断，如果是收到数据中断则开始接收数据，如果是发送完成中断，则处理发送完成后的一些操作，比如说重启发送队列。接收流程可表示如下：

1)分配skb＝dev_alloc_skb(pkt->datalen+2)，

2)从硬件中读取数据到skb，

3)调用netif_rx将数据交给协议栈。

此时，只有和服务器通信的端口过来的合法数据才能被接收。来自其他ip的数据包，都将被直接拒绝。

如图3所示，本实施例还提供了一种基于能源互联网的高效应用式安全专网传输系统，该系统包括：

采集端设备310，这里的采集端设备包括n个，分别为采集端设备1～n，分别设置于n个配电终端以进行采集电力数据，其中，n为正整数；

服务器320，设置于监控中心以接收来自采集端设备的电力数据；

安全控制模块，其分别预先加载在所述采集端设备及服务器上，在安全控制模块内进行至少包括设置：读入配置文件调用内核信息获取并设置服务器端口信息和采集端设备通信端口中信息在内的初始化操作；定义传输层之中数据传输功能的打开/关闭指令操作；定义传输层进行数据传输的发送/接收指令操作；及定义传输层进行数据传输的数据加密/解密指令操作；

当能源互联网的采集端设备有能源数据需要传输时，传输层才打开并进行加解密通信，实现网络链路专网的数据通信，服务器接收到的能源数据按照预先设定的解密指令进行解密操作，传输完成立即关闭传输层。

则通过上述的基于能源互联网的高效应用式安全专网传输系统进行能源数据传输时的传输方法，包括：

当发送端需要传输数据时，发送端通过所述打开指令操作请求打开所述传输层建立网络链路专网，然后由发送端的安全控制模块将待传输的数据执行加密指令操作，并将加密后的数据通过发送指令操作传输至建立的网络链路专网；

当接收端接收数据时，接收端通过所述接收指令操作执行数据的接收，并通过所述解密指令操作对数据进行解密，接收完成后通过所述关闭指令操作请求关闭所述传输层并撤销所述网络链路专网。

在另一优选实施例中，参见图4所示，一种基于能源互联网的高效应用式安全专网传输系统，包括：

采集端设备310，这里的采集端设备同样包括m个，分别为采集端设备1～m，分别设置于m个配电终端以进行采集电力数据，其中，m为正整数；

服务器320，设置于监控中心以接收所述电力数据；

安全控制模块，其分别预先加载在所述采集端设备及服务器上，在所述安全控制模块内进行至少包括设置：读入配置文件调用内核信息获取并设置服务器端口信息和采集端设备通信端口中信息在内的初始化操作；定义传输层直接数据传输功能的打开/关闭指令操作；传输层进行数据传输的发送/接收指令操作；传输层进行数据传输的数据加密/解密指令操作；使得：当能源互联网的采集端设备有能源数据需要传输时，传输层才打开并进行加解密通信，实现网络链路专网的数据通信，服务器接收到的能源数据按照预先设定的解密指令进行解密操作，传输完成立即关闭传输层。

及第三方管理器330，执行动态更新发送电力数据的采集端设备的白名单，并将动态更新的白名单发送至所述服务器，以及执行所述采集端设备的时钟同步及打开/关闭传输层。

其中，每个采集端设备可根据需要将自己发送电力数据的时间周期发送给第三方管理器，则在完成采集端设备与服务器的时钟同步的同时，可由第三方管理器根据上述的时间周期进行打开传输层，从而便于采集端设备的数据传输。这里的时间周期可根据需要更改，不同的采集端设备可以具有不同的时间周期。

则通过上述的基于能源互联网的高效应用式安全专网传输系统进行能源数据传输时的传输方法，包括：

第三方管理器进行采集端设备与服务器的时钟同步，

当发送端需要传输数据时，发送端通过所述打开指令操作向所述第三方管理器请求打开所述传输层建立网络链路专网，当第三方管理器打开所述传输层后，由发送端的安全控制模块将待传输的数据执行加密指令操作，并将加密后的数据通过发送指令操作传输至建立的网络链路专网，同时所述第三方管理器将发送端的标识信息发送至所述服务器；

当接收端接收数据时，首先查询所述标识信息是否在白名单内，如是则接收端通过所述接收指令操作执行数据的接收，并通过所述解密指令操作对数据进行解密，接收完成后通过所述关闭指令操作向所述第三方管理器请求关闭所述传输层并撤销所述网络链路专网，由所述第三方管理器关闭所述传输层；如否，则拒绝接受数据。

在能源互联网推广应用中，一方面，通过安装在变电站的plc服务器等设备读取变电站的各种仪表信息的同时，基于上述的方法及系统也可实现将此信息通过互联网及时传输回后台服务器，便于系统监控以及做出及时的反应。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何本领域的技术人员在本发明揭露的技术范围内，对本发明所做的变形或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述的权利要求的保护范围为准。