基于5G的充电桩组网通信系统及双向通信方法与流程

基于5g的充电桩组网通信系统及双向通信方法
技术领域
1.本发明涉及通信技术领域，尤其涉及一种基于5g的充电桩组网通信系统及双向通信方法。


背景技术：

2.充电桩将成为未来汽车物联网的入口，充电服务时间普遍在数十分钟乃至数小时之间，这就给高附加值服务提供了空间，在充电期间，充电站可以提供汽车检测、汽车保养维护等服务，还可以通过开发app，实现手机预约、网上付费、到站充电兼维修保养的流程，打通厂商、消费者到服务商的整个产业链，打造综合服务生态圈。而安全性的提高，将大大推动充电桩的智慧化综合服务生态圈打造。
3.但是，目前的充电桩一般通过快速以太网(fast ethernet，fe)或者其他连接方式与充电站网关建立有线连接，充电站网关通过快速以太网与充电桩营运平台所在充电桩营维平台建立连接，通过充电桩营运平台实现对充电桩的管控；另外，充电桩一般通过3g、4g等无线网络直接与充电桩营运平台建立网络连接。然而，有线网连接布网复杂、扩展性差、施工成本高、灵活性差、通信容量低，无线网连接因充电桩各自分离组网，维护困难。而且，无论是有线网还是无线网，充电桩营运平台与充电桩的通信安全性都得不到保障，若不能保证通信的安全性那么基于充电桩的智慧化综合服务更是无从谈起。


技术实现要素：

4.本发明实施例提供一种5g充电桩组网通信系统及双向通信方法，引入5g安全网关与5g安全终端，保证数据传输时效性，并在5g安全网关与5g安全终端之间建立ipsec vpn安全隧道，保护配电管理系统(充电桩营运平台)与充电桩的通信数据的安全性。
5.本技术实施例的第一方面提供了一种基于5g的充电桩组网通信系统，包括配电管理系统、第一5g安全网关、第一5g安全终端以及与所述第一5g安全终端对应的多个充电桩；所述第一5g安全网关与所述配电管理系统相连；所述第一5g安全网关与第一5g安全终端通过ipsec隧道相连；所述第一5g安全终端与所述多个充电桩相连；
6.其中，所述第一5g安全网关包括内端机、隔离硬件和外端机；所述外端机配备防火墙模块和基于网络层的网闸隔离模块，用于实现对外网网络数据的分析和隔离过滤；所述内端机配备网关ipsec vpn虚拟专网模块和pci密码卡，所述pci密码卡用于为所述网关ipsec vpn虚拟专网模块提供密码服务，所述网关ipsec vpn虚拟专网模块实现虚拟专网数据的处理；所述隔离硬件配备单向光隔离模块，用于转发合法的终端监测数据包；所述内端机与所述外端机通过所述隔离硬件相连；
7.所述第一5g安全终端包括终端ipsec vpn虚拟专网模块和加密模块；所述加密模块包括密码芯片与随机源产生芯片，用于为所述终端ipsec vpn虚拟专网模块提供密码服务。
8.在第一方面的一种可能的实现方式中，所述基于5g的充电桩组网通信系统还包括
第二5g安全网关；所述第一5g安全网关与所述第二5g安全网关通过心跳线连接，且所述第一5g安全网关与所述第二5g安全网关共用一个工作ip；所述工作ip配置主安全网关设备上，所述主安全网关设备是指处于主状态的第一5g安全网关或处于主状态的所述第二5g安全网关，第一5g安全网关为默认的主安全网关设备。
9.在第一方面的一种可能的实现方式中，所述第一5g安全终端还包括闪存模块和内存模块，所述闪存模块用于为所述终端ipsec vpn虚拟专网模块提供运行的空间，所述内存模块用于为所述终端ipsec vpn虚拟专网模块提供存储空间。
10.在第一方面的一种可能的实现方式中，所述第一5g安全网关配备路由表模块，所述路由表模块用于根据管理员事先设置好的路由列表，对终端监测数据包进行分析，指导所述终端监测数据包行走路径。
11.在第一方面的一种可能的实现方式中，所述第一5g安全网关配备网关nat穿越模块，所述网关nat穿越模块用于使ip数据流能够穿越网络中的nat设备。
12.在第一方面的一种可能的实现方式中，所述第一5g安全终端配备终端nat穿越模块，所述终端nat穿越模块用于使ip数据流能够穿越网络中的nat设备。
13.本技术实施例的第二方面提供了一种双向通信方法，应用于上述基于5g的充电桩组网通信系统，包括：
14.所述第一5g安全网关与所述第一5g安全终端通过密钥协商建立ipsec vpn安全隧道，所述密钥协商支持对称密码算法、对称密码算法、密码杂凑算法；
15.所述第一5g安全网关利用pci密码卡所述对待发送的网关应用数据、网关控制信令进行加密，并且对所述第一5g安全终端传输过来的终端监测数据、终端控制信令进行解密，还原出原始的终端监测数据和终端控制信令；
16.所述第一5g安全终端利用密码芯片对待发送的终端监测数据、终端控制信令进行加密，并且对所述第一5g安全网关传输过来的网关应用数据、网关控制信令进行解密，还原出原始的网关应用数据和网关控制信令，传输给所述多个充电桩；
17.所述网关应用数据、网关控制信令、终端监测数据、终端控制信令采用不同的传输密钥加解密，所述传输密钥基于通讯双方动态协商并动态更新。
18.在第二方面的一种可能的实现方式中，所述所述第一5g安全网关与所述第一5g安全终端通过密钥协商建立ipsec vpn安全隧道，具体包括：
19.确认工作密钥，建立isakmp sa；
20.根据所述isakmp sa建立ipsec sa，确定所述第一5g安全网关与所述第一5g安全终端之间的ipsec安全策略和会话密钥。
21.在第二方面的一种可能的实现方式中，所述双向通信方法还包括：
22.所述第一5g安全终端向所述第一5g安全网关发送心跳信息，通知第一5g安全网关现时所述第一5g安全终端的状态；
23.所述第一5g安全网关记录所述第一5g安全终端防护设备的终端设备信息，所述终端设备信息包括第一5g安全终端在线状态、加密状态、策略状态、故障状态、软件版本、终端厂商、终端ip地址和所述多个充电桩工作状态。
24.相比于现有技术，本发明实施例提供了一种基于5g的充电桩组网通信系统及双向通信方法，将原有充电桩通信方式更换为5g，更换5g安全终端与5g卡保证数据传输的时效
性；在充电桩群加装5g安全终端以获取加密防护功能，与配电管理侧的5g安全网关联调，签发数字证书，调试加密ipsec隧道，保证配电管理系统与充电桩通信的稳定性和安全性，5g安全网关采用加密卡，用加密卡主密钥进行加密，密文保存cf存储卡中，加密卡主密钥保存在密码卡中，由密码卡保护机制进行保存，5g安全终端采用加密芯片，所有加解密、签名算法都由专用硬件实现，无法更改和旁路，稳定、安全、可靠、高效。
25.此外，与配电管理系统相连的还可以有另一个5g安全网关，两台5g安全网关之间通过心跳、检测、协商等机制，确定新的主从关系。切换后，新的主设备重新与终端加密装置进行密钥协商及加密通信。当主、备装置发生切换时，在短时间内可恢复到正常工作状态，保障配电管理系统与充电桩通信的连续性与可靠性。
附图说明
26.图1是本发明一实施例提供的一种基于5g的充电桩组网通信系统的结构示意图；
27.图2是本发明一实施例提供一种基于5g的充电桩组网通信系统中的第一5g安全网关处于主状况的示意图。
具体实施方式
28.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
29.请参照图1，本发明实施例提供了一种基于5g的充电桩组网通信系统，所述系统包括配电管理系统10、第一5g安全网关20、第一5g安全终端30以及与所述第一5g安全终端对应的多个充电桩40；所述第一5g安全网关20与所述配电管理系统10相连；所述第一5g安全网关20与第一5g安全终端30通过ipsec隧道相连；所述第一5g安全终端30与所述多个充电桩40相连。
30.其中，所述第一5g安全网关20包括内端机、隔离硬件和外端机；所述外端机配备防火墙模块和基于网络层的网闸隔离模块，用于实现对外网网络数据的分析和隔离过滤；所述内端机配备网关ipsec vpn虚拟专网模块和pci密码卡，所述pci密码卡用于为所述网关ipsec vpn虚拟专网模块提供密码服务，所述网关ipsec vpn虚拟专网模块实现虚拟专网数据的处理；所述隔离硬件配备单向光隔离模块，用于转发合法的终端监测数据包；所述内端机与所述外端机通过所述隔离硬件相连；
31.所述第一5g安全终端30包括终端ipsec vpn虚拟专网模块和加密模块；所述加密模块包括密码芯片与随机源产生芯片，用于为所述终端ipsec vpn虚拟专网模块提供密码服务。
32.需要说明的是，本发明实施例中第一5g安全网关20硬件架构采用“2+1”模型结构设计，即内端机、外端机及与隔离硬件。内端机、外端机均采用专有工控主板设计，性能稳定、质量可靠。外端机配备防火墙模块和基于网络层的网闸隔离模块，实现对外网网络数据的分析和隔离过滤。更具体而言，防火墙模块实现了基于策略的访问控制，实现了基于ip、传输协议、应用端口号等五元组终端监测数据包的过滤。集成了电力通信规约的综合报文
过滤，能够根据系统配置策略对电力通信规约101/104实行拦截或透传，可防御arp attack、ping attack、ping of death attack、ddos等攻击。网闸隔离模块实现基于网络层的数据包过滤，过滤非法业务数据包，利用单向光隔离模块转发合法的终端监测数据包，通过控制合法终端监测数据包的长度，防御udp flood、tcp flood等网络攻击。
33.内端机配备网关ipsec vpn虚拟专网模块和专用pci密码卡，其中pci密码卡为网关ipsec vpn虚拟专网模块提供可靠高安全的密码服务，ipsec vpn虚拟专网模块实现虚拟专网数据的处理。在本实施例中，外网网络数据一般是指来自5g终端的监测数据与终端设备数据。
34.内外主机由隔离硬件相连，隔离硬件可以选择采用高安全的单向隔离光网卡，单向隔离光网卡基于专有的asic安全隔离芯片和交换芯片，采用专用的单向发送和单向接受光模块进行数据通信，是内外网主机系统唯一的连接部件，因此内外主机之间不存在任何网络设备连接。其中，asic安全隔离芯片通过多线程并行固化处理将数据块转化为自有协议格式的数据包，交换芯片的交换子系统和开关控制子系统实现对数据的临时缓存和安全交换。
35.在本实施例中，第一5g安全终端30中主要参与工作的硬件模块，分别有cpu、内存、flash闪存、网卡等硬件模块，外扩两块密码芯片与两个随机源产生芯片，其中密码芯片支持国家密码管理局审批的sm1、sm2、sm3算法，两个随机源产生芯片形成硬件双随机源。
36.其中，cpu主要负责操作系统的调度、处理虚拟专网请求等工作，外扩的密码芯片与随机源产生芯片构成加密模块，为虚拟专网模块提供高性能、安全的密码服务，内存为虚拟专网模块提供运行的空间，tf存储卡为终端虚拟专网模块提供存储空间，网卡用于接收和发送虚拟专用。第一5g安全终端30启动后，系统会把虚拟专网模块读到内存中，并对模块所用到的部件进行正确性检验(如加密芯片sm1、sm3算法的正确性、随机数质量检验等)。检验通过后，虚拟专网模块会驻留在内存中，等待专网请求。当进行通信时，cpu会进行专网模块的运算和调度，同时调用加密模块的密码服务，完成整个加密通信的处理。
37.在实际应用中，一般由一个5g安全终端负责将收集到的多个充电桩监测数据的传送，多个充电桩形成一个充电桩群，一个充电桩群对应着一个一个5g安全终端，充电桩群的划分需要根据实际应用场景而制定。
38.第一5g安全网关20与第一5g安全终端30通过密钥协商建立安全通讯，采用国密标准算法sm1、sm2、sm3等，参照国密《ipsec vpn技术规范》，进行密钥协商。建立完安全隧道之后(网关ipsec vpn虚拟专网模块与终端ipsec vpn虚拟专网模块之间形成一条虚拟通道)，第一5g安全终端30对待发送监测数据、控制信令进行加密，并且对安全防护主站设备5g安全网关传输过来的数据进行解密，还原出原始的网关应用数据和网关控制信令流，传输给第一5g安全终端30对应的多个充电桩。
39.相比于现有技术，本发明实施例提供的的基于5g的充电桩组网通信系统及双向通信方法，将原有充电桩通信方式更换为5g，更换5g安全终端与5g卡保证数据传输的时效性；在充电桩群加装5g安全终端以获取加密防护功能，与配电管理侧的5g安全网关联调，签发数字证书，调试加密ipsec隧道，保证配电管理系统与充电桩通信的稳定性和安全性，5g安全网关采用加密卡，用加密卡主密钥进行加密，密文保存cf存储卡中，加密卡主密钥保存在密码卡中，由密码卡保护机制进行保存，5g安全终端采用加密芯片，所有加解密、签名算法
都由专用硬件实现，无法更改和旁路，稳定、安全、可靠、高效。
40.示例性地，参考图2，所述基于5g的充电桩组网通信系统还包括第二5g安全网关21；所述第一5g安全网关20与所述第二5g安全网关21通过心跳线连接，且所述第一5g安全网关20与所述第二5g安全网关21共用一个工作ip；所述工作ip配置主安全网关设备上，所述主安全网关设备是指处于主状态的第一5g安全网关20或处于主状态的所述第二5g安全网关21，第一5g安全网关20为默认的主安全网关设备。
41.两台加密网关之间(所述第一5g安全网关20与所述第二5g安全网关21)通过心跳、检测、协商等机制，确定新的主从关系。切换后，新的主设备重新与终端加密装置进行密钥协商及加密通信。当主、备装置发生切换时，在短时间内(比如说30秒内)可恢复到正常工作状态，保障配电管理系统与充电桩通信的连续性。两台加密网关形成双机冗余备份，支持5g终端加密装置远程集中管理及状态监控，更能保证收集充电桩工作信息时的稳定性。
42.当主设备及所在链路出现故障时，能够快速将认证和加密传输处理工作切换至备设备中，保障配电管理系统与充电桩通信的连续性。在配电管理系统和5g安全网关设备的路径上，任何环节，包括设备或链路出现故障，5g安全网关都应该正确识别，配合实现路径切换，同一时刻只有主链路有业务数据通过，备链路无业务数据通过。
43.主、备加密网关只有一个工作ip，通过主从状态选举，工作ip配置在主设备上，当主、备状态发生切换时，工作ip自动飘移到备设备上，备设备升为主设备，因此对于远端的终端加密装置看来，它们就是一台加密网关。
44.示例性地，所述第一5g安全终端30还包括闪存模块和内存模块，所述闪存模块用于为所述终端ipsec vpn虚拟专网模块提供运行的空间，所述内存模块用于为所述终端ipsec vpn虚拟专网模块提供存储空间。
45.通过闪存模块和内存模块对报文数据加速处理：首先，将加密算法缓存到flash上，直接读取加密，可大大提升加解密速度；其次，针对技术规范，合理调整密钥交互过程与频率，提升整体数据传输效率；最后，独特的代理功能、重复报文索引缓存技术，有效降低带宽与数据量，也可提升数据传输的速度。
46.示例性地，所述第一5g安全网关20配备路由表模块，所述路由表模块用于根据管理员事先设置好的路由列表，对终端监测数据包进行分析，指导所述终端监测数据包行走路径。
47.在实际应用中，管理员可以根据管理员事先设置好的路由列表，对来自第一5g安全终端20的充电桩监测数据包进行分析，将第一5g安全终端30与第一5g安全网关20之间的最佳网络通道告知第一5g安全终端，以便后续所述终端监测数据包(充电桩监测数据包)选择最优路径达到第一5g安全网关20。
48.示例性地，所述第一5g安全网关配备网关nat穿越模块，所述网关nat穿越模块用于使ip数据流能够穿越网络中的nat设备。所述第一5g安全终端配备终端nat穿越模块，所述终端nat穿越模块用于使ip数据流能够穿越网络中的nat设备。
49.第一5g安全网关20和第一5g安全终端30都具有nat设备穿越功能，ipsec穿越nat特性让ipsec数据流能够穿越网络中的nat设备。nat穿越由三个部分组成：首先判断通信的双方是否支持nat穿越，其次检测双方之间的路径上是否存在nat，最后决定如何使用udp封装来处理nat穿越。
50.示例性地，5g安全网关后台管理界面还集成了批量导入导出配置的功能，通过web管理界面，可对设备的安全策略、业务端网络配置等设备配置实行批量导入导出，方便管理员进行管理和更新。除此以外，管理员还可以通过控制台远程控制终端防护设备，更改终端相关的配置信息。
51.通过后台管理界面日志和审计功能，可以查询到所有的系统事件都有相关的日志记录。日志按照事件种类进行分类存储方便用户查阅，大大降低了系统的维护成本。
52.本发明一实施例提供了一种双向通信方法，应用于上述基于5g的充电桩组网通信系统，包括：
53.s10、所述第一5g安全网关与所述第一5g安全终端通过密钥协商建立ipsec vpn安全隧道，所述密钥协商支持对称密码算法、对称密码算法、密码杂凑算法。
54.s11、所述第一5g安全网关利用pci密码卡所述对待发送的网关应用数据、网关控制信令进行加密，并且对所述第一5g安全终端传输过来的终端监测数据、终端控制信令进行解密，还原出原始的终端监测数据和终端控制信令。
55.s12、所述第一5g安全终端利用密码芯片对待发送的终端监测数据、终端控制信令进行加密，并且对所述第一5g安全网关传输过来的网关应用数据、网关控制信令进行解密，还原出原始的网关应用数据和网关控制信令，传输给所述多个充电桩。
56.所述网关应用数据、网关控制信令、终端监测数据、终端控制信令采用不同的传输密钥加解密，所述传输密钥基于通讯双方动态协商并动态更新。
57.s10中提及的算法参照下表：
58.表1 5g安全网关和5g安全终端主要支持算法
[0059][0060]
第一5g安全网关和第一5g安全终端遵照《gm/t 0022
‑
2014ipsec vpn技术规范》规定的密钥交换协议和安全报文协议进行工作。
[0061]
(1)密钥交换协议
[0062]
密钥交换协议分为两个阶段，第一阶段用于保护它们之间的通讯而使用的共享策略和密钥，实现通讯双方的身份认证和密钥协商，得到工作密钥，建立isakmp sa，第二阶段是使用第一阶段建立的isakmp sa建立ipsec sa，确定通讯双方的ipsec安全策略和会话密钥。
[0063]
(2)安全报文协议
[0064]
第一5g安全网关支持封装安全载荷(esp)的安全报文协议检测，esp提供了机密性、数据源鉴别、无连接的完整性、抗重放攻击服务和有限信息流量保护。
[0065]
示例兴地，所述双向通信方法还包括：
[0066]
s13、所述第一5g安全终端向所述第一5g安全网关发送心跳信息，通知第一5g安全网关现时所述第一5g安全终端的状态。
[0067]
s14、所述第一5g安全网关记录所述第一5g安全终端防护设备的终端设备信息，所述终端设备信息包括第一5g安全终端在线状态、加密状态、策略状态、故障状态、软件版本、终端厂商、终端ip地址和所述多个充电桩工作状态。
[0068]
第一5g安全网关20可配合第一5g安全终端30形成充电桩监测安全通信平台，当第一5g安全终端30与第一5g安全网关20成功完成密钥交换和建立隧道后，第一5g安全网关20会记录连接过来的第一5g安全终端30的相关信息，包括终端防护设备在线状态、加密状态、策略状态、故障状态、软件版本、终端厂商、终端ip地址以及第一5g安全终端30对应的多个充电桩工作状态，同时在通信过程中，第一5g安全终端30会向第一5g安全网关20发送心跳信息，通知第一5g安全网关20现时第一5g安全终端30的状态，除此以外，管理员还可以通过控制台远程控制第一5g安全终端30，更改第一5g安全终端30相关的配置信息。
[0069]
在上述实施例的基础上，可以在配电管理系统上建立一个充电运营管理平台，为新能源电动汽车充电桩运营商提供对充电站/桩、新能源汽车车主、合作方的充电运营管理服务，在拥有基础充电业务管理的前提下，可扩展子运营商、促销活动、终端管理、财务结算、数据统计、退款、转账、平台接入商、大数据分析等功能模块，领跑新能源电动汽车设施充电运营管理领域。
[0070]
充电运营管理平台的运营数据从第一5g安全网关20处分析获得：运营数据是对第一5g安全网关20收到的来自第一安全终端30的充电桩工作数据进行解密分析后获得的，由于配电管理系统与充电桩通信的时效性、连续性与可靠性，可以让充电运营管理平台实时、准确、安全地获取充电桩的工作状态并以此为基准开展基于充电桩的智慧化综合服务。
[0071]
以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也视为本发明的保护范围。