无线安全路由器、配电网数据传输系统及其工作方法
【专利摘要】本发明提供了一种无线安全路由器、配电网数据传输系统及其工作方法。无线安全路由器包含控制主板、机壳、GPRS/3G无线模块,控制主板上设有CPU、国家商用密码算法芯片、内存芯片。所述无线安全路由器还设有以太网口、串口和/或USB接口。配电网数据传输系包含无线安全路由器、供电局前置机、配电终端。所述无线安全路由器通过以太网口或串口连接配电终端、通过GPRS/3G无线模块接入移动互联网而与供电局前置机无线连接。本发明采用具有国家商用密码算法的安全SOC芯片实现无线GPRS/3G路由器,利用安全S0C芯片的国家商用密码算法协处理器对配电网数据进行数据加解密处理,以较低的成本实现了配电网的数据安全。
【专利说明】无线安全路由器、配电网数据传输系统及其工作方法
【技术领域】
[0001]本发明适用于配电网及工业无线安全领域,涉及无线安全路由器、配电网数据传输系统及其工作方法。
【背景技术】
[0002]配电网主要应用IOKV变电站,直接关系到公民用电安全,主要传输部署在供电局的配电调度监控和数据采集系统和部署在现场的配电终端之间的通信数据,包括数据采集、报警、状态监视、遥控等数据。所述数据均按照IEC60870-5-101或者IEC60870-5-104规约要求进行封装。配电网一般采用工业光纤环网或GPRS/3G无线专网作为数据传输通道。因建设光纤环网周期过长,且受城市地理限制、成本投入太大等因数的影响,供电企业大都选择采用GPRS/3G无线专网作为配电网主要数据传输网络。配电网数据属于关键数据,如果数据被篡改或伪造,将导致城市出现大面积停电事故,严重影响民众生活及经济发展。特别是采用GPRS/3G无线网络传输数据,其数据很容易被劫持、篡改和伪造。
[0003]2011年电监会明确提出配电网需要采用加密技术保护传输数据的安全。国家电网公司明确规定了在供电局前置机安装具有国家商用密码算法的加密卡,在配电终端运行国家商用密码软算法,对101/104规约进行扩展的方法已保护配电网传输数据的安全。
[0004]配电网数据属于实时监控数据,对其数据的实时性有较高要求。配电终端一般采用低计算性能的CPU,国家商用密码算法属于高强度高密度计算,导致配电终端处理供电局前置机下发经加密处理的数据的实时性无法到达其业务本身的要求。同时需要对现场配电终端进行软件升级已满足安全的要求,其升级和维护工作量巨大。
【发明内容】
[0005]为解决上述问题,本发明提供了一种无线安全路由器、配电网数据传输系统及其工作方法。
[0006]无线安全路由器,包含控制主板、机壳,还包含GPRS/3G无线模块,所述控制主板上设有CPU、国家商用密码算法芯片、内存芯片,所述GPRS/3G无线模块、内存芯片、国家商用密码算法芯片与CPU连接,所述无线安全路由器还设有串口和/或USB接口。所述无线安全路由器还设有以太网口。所述CPU连接以太网口、串口和/或USB接口,所述GPRS/3G无线模块连接串口或USB接口。
[0007]配电网数据传输系统,其特征在于,包含上所述的无线安全路由器、供电局前置机、配电终端,所述无线安全路由器通过以太网口或串口连接配电终端、通过GPRS/3G无线模块接入移动互联网而与供电局前置机无线连接。
[0008]上述配电网数据传输系统的工作方法为:
供电局前置机下发下行数据给配电终端的流程如下:
步骤1:供电局前置机对下行数据选择性签名再对称加密后发送到无线安全路由器; 步骤2:无线安全路由器根据下行数据的起始字符16H判断该下行数据是否经过验证签名再对称加密处理;
步骤3:无线安全路由器对起始字符16H的下行数据进行解密后验证签名处理,其它数据不进行;
步骤4:无线安全路由器把下行数据通过以太网口或者串口发送给配电终端。
[0009]配电终端上报上行数据到供电局前置机的流程如下:
步骤1:配电终端上报上行数据到无线安全路由器;
步骤2:无线安全路由器判断配电终端进行数据传输的规约类型;
步骤3:如为104规约,则无线安全路由器把IP数据包进行网络地址转换,如为101规约,则无线安全路由器与供电局前置机建立TCP连接,把上行数据封装为TCP协议载荷;步骤4:如为101规约,无线安全路由器根据上行数据是否为遥信、遥测数据确定是否按照《中低压配电网自动化系统安全防护补充规定》对上行数据进行重新封装;
步骤5:无线安全路由器根据上行数据是否为遥信、遥测数据确定是否进行非对称加密处理;
步骤6:如需要进行非对称加密处理,则进行非对称加密,否则不进行;
步骤7:上行数据通过移动互联专网上传到供电局前置机。
[0010]本发明的突出优点是:CPU与外接国家商用密码算法芯片的方式实现无线GPRS/3G路由器,利用专业的国家商用密码算法芯片提升了配电网数据处理的实时性。免去了配电终端因需要支持商用密码算法需要提升CPU性能或者添加国家商用密码算法芯片而重新开发。
【专利附图】
【附图说明】
[0011]图1为无线安全路由器硬件实现方式及其所在配电系统的示意图。
[0012]图2为采用以太网口与配电终端进行数据传输的无线安全路由器的功能模块示意图。
[0013]图3是采用以串口与配电终端进行数据传输的无线安全路由器的功能模块示意图。
[0014]图4为采用本发明的无线安全路由器,供电局前置机下发下行数据到配电终端的步骤流程图。
[0015]图5为采用本发明的无线安全路由器,配电终端上报上行数据到供电局前置机的步骤流程图。
【具体实施方式】
[0016]下面结合附图对本发明做进一步的详细说明。
[0017]首先对无线安全路由器硬件构造进行说明。
[0018]如图1所示为硬件实现方式示意图。无线安全路由器,包含控制主板、机壳,还包含GPRS/3G无线模块,所述控制主板上设有CPU、国家商用密码算法芯片、内存芯片。所述GPRS/3G无线模块、内存芯片、国家商用密码算法芯片与CPU连接,所述无线安全路由器还设有串口和/或USB接口。所述无线安全路由器还设有以太网口。所述CPU连接以太网口、串口和/或USB接口,所述GPRS/3G无线模块连接串口或USB接口。[0019]上述无线安全路由器可以用于配电网的数据传输过程中,形成一个配电网数据传输系统,如图1所示。该系统包含上述的无线安全路由器、供电局前置机、及分散在各处的配电终端,所述无线安全路由器通过以太网口或串口连接配电终端、通过GPRS/3G无线模块接入移动互联网与供电局前置机进行无线通信。
[0020]具体而言,即所述无线安全路由器通过串口或者以太网链路与后端的配电终端相连,接收配电终端上传数据。通过GPRS/3G无线模块接入移动互联网,接收供电局下发的数据。
[0021]下面对无线安全路由器的功能模块进行说明。
[0022]所述无线安全路由器根据其与配电终端连接方式不同而分为不同的功能模块,如图2、3所示。
[0023]图2是针对采用以太网口与配电终端进行数据传输的无线安全路由器的功能模块不意图。
[0024]3G/GPRS拨号模块负责PPP拨号,使无线安全路由器接入移动互联网。
[0025]NAT地址转换模块负责对配电终端上传的IP报文转换为移动互联网公网地址。
[0026]密码算法引擎模块负责调用国家商用密码算法芯片,为规约数据安全处理模块提供密码算法服务。
[0027]规约数据安全处理模块负责对101/104规约数据进行识别及进行相应的数据加解密及验证签名处理。
[0028]接口路由配置模块用于实现对路由各个接口的相关硬件配置。
[0029]图3是采用以串口与配电终端进行数据传输的无线安全路由器的功能示意图。
[0030]TCP连接服务模块负责与供电局前置机之间建立TCP连接,并把101规约数据进行TCP封装已发送至供电局前置机。
[0031]其余模块的功能与对图2的描述相同。
[0032]下面对上述系统的工作方式进行详细说明。
[0033]使用过程中,本发明的无线安全路由器设在配电终端与无线网络之间。无线安全路由器根据其101/104规约数据的特征数据半段是否需要进行相应的非对称加密或者解密后验签处理,保证在无线网络中传输的数据是安全的101/104规约数据。下面对其具体工作流程做详细介绍。
[0034]采用本发明的无线安全路由器,供电局前置机下发的下行数据发送给配电终端的步骤流程如图4所示。
[0035]S1:供电局前置机对下行数据选择性签名再对称加密后发送到无线安全路由器。
[0036]具体为:供电局前置机下发的下行数据按照《中低压配电网自动化系统安全防护补充规定》要求经过前置机加密模块的签名再对称加密处理后通过无线网络下发给部署在现场的无线安全路由器。
[0037]S2:无线安全路由器根据下行数据的起始字符是否为16H确定该下行数据是否需要进行解密再验证签名处理。
[0038]如需要解密再验证签名处理,则S 3为:
S3:调用规约安全处理模块对下行数据进行解密再验证签名处理,
具体为:规约安全处理模块调用国家商用密码算法芯片进行下行数据的对称算法解密再SM2算法验证签名处理。对称算法可为SMl或者SM4算法。
[0039]如不需要签名处理,则不进行S 3,直接进行S 4。
[0040]S4:把数据下发给后端配电终端。
[0041]此步具体为:
如果无线安全路由器通过以太网口与配电终端相连,无线安全路由器仅对下行数据进行NAT地址转换(网络地址转换)后即可通过以太网发送给配电终端。
[0042]如果无线安全路由器通过串口与配电终端相连,无线安全路由器调用TCP连接模块还原出原有101规约数据,并通过串口发送给后端配电终端。
[0043]采用本发明的无线安全路由器,配电终端上报上行数据到供电局的前置机的步骤流程如图5所不。
[0044]S1:配电终端上报上行数据到无线安全路由器。
[0045]S2:无线安全路由器判断规约类型。
[0046]如果配电终端通过以太网口进行数据传输,则运行104规约协议;如果配电终端通过串口进行数据传输,则运行101规约协议。
[0047]如果配电终端通过以太网口与无线安全路由器连接,则S3?S 5为:
S3:调用NAT地址转换模块进行地址转换。
[0048]S4:根据104规约的数据是否为遥信、遥测数据确定是否进行非对称加密处理。
[0049]S5:需要则调用规约安全处理模块实现对上行数据的加密。
[0050]如果配电终端通过串口与无线安全路由器连接,则S3?S 5为:
S3:无线安全路由器调用TCP连接模块与供电局前置机建立TCP连接,把接收到的数据作为TCP载荷数据。
[0051]S4:根据101规约的数据是否为遥信、遥测数据确定是否按照《中低压配电网自动化系统安全防护补充规定》对上行数据进行重新封装,是否需要进行非对称加密处理。
[0052]S5:需要则对新封装格式的上行数据进行非对称加密处理。
[0053]此步中,是调用国家商用密码算法芯片对上行数据进行SM2算法加密处理。
[0054]S6:上行数据通过无线信道上传到供电局主站。
[0055]具体数据帧格式为:
【权利要求】
1.无线安全路由器,包含控制主板、机壳,其特征在于,还包含GPRS/3G无线模块,所述控制主板上设有CPU、国家商用密码算法芯片、内存芯片,所述GPRS/3G无线模块、内存芯片、国家商用密码算法芯片与CPU连接,所述无线安全路由器还设有串口和/或USB接口。
2.如权利要求1所述的无线安全路由器,其特征在于,所述无线安全路由器还设有以太网口。
3.如权利要求2述的无线安全路由器,其特征在于,所述CPU连接以太网口、串口和/或USB接口,所述GPRS/3G无线模块连接串口或USB接口。
4.配电网数据传输系统,其特征在于,包含如权利要求1或2或3所述的无线安全路由器、供电局前置机、配电终端,所述无线安全路由器通过以太网口或串口连接配电终端、通过GPRS/3G无线模块接入移动互联网而与供电局前置机无线连接。
5.如权利要求4所述配电网数据传输系统的工作方法,其特征在于, 供电局前置机下发下行数据给配电终端的流程如下: 步骤1:供电局前置机通过移动互联专网发送下行数据到无线安全路由器; 步骤2:无线安全路由器根据下行数据的起始字符是否为16H判断该下行数据是否经过签名后对称加密处理; 步骤3:无线安全路由器对起始字符16H的下行数据进行解密后验证签名处理,其它下行数据不进行; 步骤4:下行数据通过以太网口或 者串口发送给配电终端。 配电终端上报上行数据到供电局前置机的流程如下: 步骤1:配电终端上报上行数据到无线安全路由器; 步骤2:无线安全路由器判断配电终端进行数据传输的规约类型; 步骤3:如为104规约,则无线安全路由器把IP数据包进行网络地址转换,如为101规约,则无线安全路由器与供电局前置机建立TCP连接,把上行数据封装为TCP协议载荷;步骤4:如为101规约,无线安全路由器根据上行数据是否为遥信、遥测数据确定是否对上行数据进行重新封装; 步骤5:无线安全路由器根据上行数据是否为遥信、遥测数据确定是否进行非对称加密处理; 步骤6:如需要进行非对称加密处理,则进行非对称加密,否则不进行; 步骤7:上行数据通过移动互联专网上传到供电局前置机。
6.如权利要求5所述配电网数据传输系统的工作方法,其特征在于,供电局前置机下发下行数据给配电终端的流程的步骤4中,下行数据通过以太网口发送给配电终端前,无线安全路由器对下行数据进行网络地址转换;下行数据通过串口发送给配电终端前,无线安全路由器还原出原有101规约数据。
7.如权利要求5所述配电网数据传输系统的工作方法,其特征在于,配电终端上报上行数据到供电局前置机的流程的步骤2中,如果配电终端通过串口进行数据传输,则运行101规约协议;如果配电终端通过以太网口进行数据传输,则运行104规约协议。
8.如权利要求5或6或7所述配电网数据传输系统的工作方法,其特征在于,供电局前置机下发下行数据给配电终端的流程的步骤3中,利用安全SoC芯片的国家商用密码算法协处理器进行下行数据的对称算法解密后SM2算法验证签名处理,对称算法根据需要可为SMl或者SM4算法。
9.如权利要求5或6或7所述配电网数据传输系统的工作方法,其特征在于,配电终端上报上行数据到供电局前置机的流程的步骤6中,调用安全SoC芯片的国家商用密码算法协处理器对上行数据进行SM 2算法加密处理。
【文档编号】H04L29/06GK103441849SQ201310368426
【公开日】2013年12月11日 申请日期:2013年8月22日 优先权日:2013年8月22日
【发明者】傅勇 申请人:成都卫士通信息产业股份有限公司