本发明涉及认证和数据传输技术领域,更具体地,涉及一种数据传输的控制方法、装置及安全总线模块。
背景技术:
随着国家对城市节能环保的要求越来越高,能源利用率的要求也越来越高,我国城镇在集中供热发展方面,均已经建成规模宏大且体系完整的城镇供热设施,但是我国的供热系统在运行效率上仅达到65%~70%,低于先进标准近20个百分点。在整个供热事业发展进程中,我国努力学习国外先进技术,同时将物联网技术引入供热系统中。近几年我国大力推广居民热计量,实现实时末端供热的精细化管理,实时将用热信息传递给监控系统。但是信息化的高速发展也带来了信息安全问题。居民用热信息中涉及用热费用,供热的信息,一旦出现信息泄露,将对居民造成财产损失,对集中供热系统造成极大的安全威胁。居民热计量系统对信息安全的管理需求变得更加迫切。
当前国内居民采暖热计量系统中在信息安全方面主要是在上位机信息系统层面上考虑,在网络层上增加防火墙,ids等安全设备。但是对于底层热计量控制设备几乎没有任何信息安全方面的设计,同时由于居民采暖热计量行业本身刚刚起步,行业内还没有人对信息安全问题有较高的认识。普遍采用标准的通信协议,很容易遭受破解。
技术实现要素:
有鉴于此,本发明提供了一种数据传输的控制方法、装置及安全总线模块,在数据传输之前进行设置于用热终端上的安全总线模块与采集器的双向身份认证,并对传输的数据进行加密,提高了数据传输的安全性。
具体技术方案如下:
一种数据传输的控制方法,应用于核心处理器,所述方法包括:
响应于采集器的双向身份认证指令,与所述采集器进行双向身份认证;
当双向认证通过后,对来自用热终端的不符合预设仪表协议的用热数据进行过滤,得到有效用热数据;
根据预设加密算法对所述有效用热数据进行加密,得到加密用热数据,所述预设加密算法为存储在所述安全总线模块中的算法本中的任意一种加密算法;
将所述加密用热数据通过现场总线发送到所述采集器。
优选的,所述与采集器进行双向身份认证,包括:
当接收到来自所述采集器的携带有第一随机数的双向身份认证指令时,根据安全总线模块秘钥对所述第一随机数进行加密,得到第一密文,并将所述第一密文发送到所述采集器;
当所述采集器根据所述第一密文与第二密文判定对所述用热终端的身份认证通过后,接收来自所述采集器的身份认证通过信息,所述第二密文为所述采集器根据采集器密钥对所述第一随机数进行加密得到的,所述安全总线模块秘钥与所述采集器秘钥相同;
生成第二随机数,根据所述安全总线模块秘钥对所述第二随机数进行加密,得到第三密文,并将所述第二随机数发送到所述采集器;
接收所述采集器发送的第四密文,判断所述第三密文与所述第四密文是否相同,若相同,判定对所述采集器的身份认证通过,并向所述采集器发送身份认证通过信息,所述第四密文为所述采集器根据所述采集器秘钥对所述第二随机数进行加密得到的。
优选的,所述方法还包括:
当接收到所述采集器发送的加密数据时,根据所述预设加密算法对所述加密数据进行解密,得到明文数据,并对不符合所述仪表协议的所述明文数据进行过滤,得到有效明文数据。
优选的,所述方法还包括:
当接收到所述采集器的携带有新秘钥的秘钥更新指令时,将所述新秘钥作为所述安全总线模块秘钥。
一种数据传输的控制装置,应用于核心处理器,所述装置包括:
认证单元,用于响应于采集器的双向身份认证指令,与所述采集器进行双向身份认证;
过滤单元,用于当双向认证通过后,对来自用热终端的不符合预设仪表协议的用热数据进行过滤,得到有效用热数据;
加密单元,用于根据预设加密算法对所述有效用热数据进行加密,得到加密用热数据,所述预设加密算法为存储在所述安全总线模块中的算法本中的任意一种加密算法;
发送单元,用于将所述加密用热数据通过现场总线发送到所述采集器。
优选的,所述认证单元包括:
加密子单元,用于当接收到来自所述采集器的携带有第一随机数的双向身份认证指令时,根据安全总线模块秘钥对所述第一随机数进行加密,得到第一密文,并将所述第一密文发送到所述采集器;
接收子单元,用于当所述采集器根据所述第一密文与第二密文判定对所述用热终端的身份认证通过后,接收来自所述采集器的身份认证通过信息,所述第二密文为所述采集器根据采集器密钥对所述第一随机数进行加密得到的,所述安全总线模块秘钥与所述采集器秘钥相同;
生成子单元,用于生成第二随机数,根据所述安全总线模块秘钥对所述第二随机数进行加密,得到第三密文,并将所述第二随机数发送到所述采集器;
判断子单元,用于接收所述采集器发送的第四密文,判断所述第三密文与所述第四密文是否相同,若相同,判定对所述采集器的身份认证通过,并向所述采集器发送身份认证通过信息,所述第四密文为所述采集器根据所述采集器秘钥对所述第二随机数进行加密得到的。
优选的,所述装置还包括更新单元,用于当接收到所述采集器的携带有新秘钥的秘钥更新指令时,将所述新秘钥作为所述安全总线模块秘钥。
一种核心处理器,包括一个或者一个以上的程序,所述程序用于执行包含以下操作的指令:
响应于采集器的双向身份认证指令,与所述采集器进行双向身份认证;
当双向认证通过后,对来自现场总线的不符合预设仪表协议的用热数据进行过滤,得到有效用热数据;
根据预设加密算法对所述有效用热数据进行加密,得到加密用热数据,所述预设加密算法为存储在所述安全总线模块中的算法本中的任意一种加密算法;
将所述加密用热数据发送到所述采集器。
一种安全总线模块,其特征在于,每一个用热终端唯一对应一个所述安全总线模块,所述安全总线模块包括:上述核心处理器、uart接口和电源模块;
所述核心处理器通过所述uart接口与所述用热终端的总线相连。
优选的,所述安全总线模块还包括运行状态指示灯和数据传输状态指示灯。
相对于现有技术,本发明的有益效果如下:
本发明提供的安全总线模块,每一个用热终端唯一对应一个安全总线模块,所述安全总线模块包括核心处理器、uart接口和电源模块,核心处理器通过所述uart接口与用热终端的总线相连,核心处理器用于在数据传输之前,进行安全总线模块与采集器的双向身份认证,保证了数据发送端和接收端的合法性,当双向认证通过后,对来自用热终端的不符合预设仪表协议的用热数据进行过滤,得到有效用热数据;根据预设加密算法对所述有效用热数据进行加密,得到加密用热数据,所述预设加密算法为存储在所述安全总线模块中的算法本中的任意一种加密算法;将所述加密用热数据发送到所述采集器,提高了数据传输的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例一公开的数据传输的控制方法的流程图;
图2为本发明实施例二公开的数据传输的控制方法的流程图;
图3为本发明实施例三公开的数据传输的控制装置的结构示意图;
图4为本发明实施例四公开的数据传输的控制装置的结构示意图;
图5为本发明实施例六公开的安全总线模块的工作原理图;
图6为本发明实施例六公开的安全总线模块的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
请参阅图1,本实施例公开了一种数据传输的控制方法,应用于核心处理器,所述核心处理器为安全总线模块上的核心部件,每一个所述安全总线模块唯一对应一个用热终端,所述数据传输的控制方法包括以下步骤:
s101:响应于采集器的双向身份认证指令,与所述采集器进行双向身份认证;
具体的,在数据传输之前,采集器会向用热终端对应的安全总线模块发送双向身份认证指令,从而验证数据发送端和接收端,即采集器和安全总线模块的合法性,安全总线模块的核心处理器响应于采集器的双向身份认证指令,与采集器进行双向身份认证。
s102:当双向认证通过后,对来自用热终端的不符合预设仪表协议的用热数据进行过滤,得到有效用热数据;
具体的,安全总线模块的核心处理器支持常用仪表协议,包括modbus、cj188等仪表协议,预设仪表协议可以为其中的一种或多种,将不符合预设仪表协议的用热数据进行过滤,得到有效用热数据。
s103:根据预设加密算法对所述有效用热数据进行加密,得到加密用热数据,所述预设加密算法为存储在所述安全总线模块中的算法本中的任意一种加密算法;
具体的,安全总线模块的核心处理器支持sm1和sm4国密算法,以及国际算法aes和ecc等算法,这些加密算法存储在安全总线模块中的算法本中,预设加密算法可以为其中的任意一种加密算法。
s104:将所述加密用热数据通过现场总线发送到所述采集器。
可以理解的是,当核心处理器接收到所述采集器发送的加密数据时,根据所述预设加密算法对所述加密数据进行解密,得到明文数据,并对不符合所述仪表协议的所述明文数据进行过滤,得到有效明文数据。
实施例二
请参阅图2,步骤s101的具体执行过程如下:
s201:当接收到来自所述采集器的携带有第一随机数的双向身份认证指令时,根据安全总线模块秘钥对所述第一随机数进行加密,得到第一密文,并将所述第一密文发送到所述采集器;
s202:当所述采集器根据所述第一密文与第二密文判定对所述用热终端的身份认证通过后,接收来自所述采集器的身份认证通过信息,所述第二密文为所述采集器根据采集器密钥对所述第一随机数进行加密得到的,所述安全总线模块秘钥与所述采集器秘钥相同;
s203:生成第二随机数,根据所述安全总线模块秘钥对所述第二随机数进行加密,得到第三密文,并将所述第二随机数发送到所述采集器;
s204:接收所述采集器发送的第四密文,判断所述第三密文与所述第四密文是否相同,若相同,判定对所述采集器的身份认证通过,并向所述采集器发送身份认证通过信息,所述第四密文为所述采集器根据所述采集器秘钥对所述第二随机数进行加密得到的。
所述方法还包括:
当接收到所述采集器的携带有新秘钥的秘钥更新指令时,将所述新秘钥作为所述安全总线模块秘钥。
本实施例公开的数据传输的控制方法,在数据传输之前,进行安全总线模块与采集器的双向身份认证,保证了数据发送端和接收端的合法性,当双向认证通过后,对传输的数据进行加密,提高了数据传输的安全性。
实施例三
请参阅图3,基于实施例一公开的数据传输的控制方法,本实施例对应公开了一种数据传输的控制装置,应用于核心处理器,所述装置包括:
认证单元101,用于响应于采集器的双向身份认证指令,与所述采集器进行双向身份认证;
过滤单元102,用于当双向认证通过后,对来自用热终端的不符合预设仪表协议的用热数据进行过滤,得到有效用热数据;
加密单元103,用于根据预设加密算法对所述有效用热数据进行加密,得到加密用热数据,所述预设加密算法为存储在所述安全总线模块中的算法本中的任意一种加密算法;
发送单元104,用于将所述加密用热数据通过现场总线发送到所述采集器。
实施例四
基于上述实施例三公开的数据传输的控制装置,请参阅图4,所述装置还包括更新单元105,用于当接收到所述采集器的携带有新秘钥的秘钥更新指令时,将所述新秘钥作为所述安全总线模块秘钥。
所述认证单元101包括:
加密子单元106,用于当接收到来自所述采集器的携带有第一随机数的双向身份认证指令时,根据安全总线模块秘钥对所述第一随机数进行加密,得到第一密文,并将所述第一密文发送到所述采集器;
接收子单元107,用于当所述采集器根据所述第一密文与第二密文判定对所述用热终端的身份认证通过后,接收来自所述采集器的身份认证通过信息,所述第二密文为所述采集器根据采集器密钥对所述第一随机数进行加密得到的,所述安全总线模块秘钥与所述采集器秘钥相同;
生成子单元108,用于生成第二随机数,根据所述安全总线模块秘钥对所述第二随机数进行加密,得到第三密文,并将所述第二随机数发送到所述采集器;
判断子单元109,用于接收所述采集器发送的第四密文,判断所述第三密文与所述第四密文是否相同,若相同,判定对所述采集器的身份认证通过,并向所述采集器发送身份认证通过信息,所述第四密文为所述采集器根据所述采集器秘钥对所述第二随机数进行加密得到的。
实施例五
基于上述实施例,本实施例公开了一种核心处理器,包括一个或者一个以上的程序,所述程序用于执行包含以下操作的指令:
响应于采集器的双向身份认证指令,与所述采集器进行双向身份认证;
当双向认证通过后,对来自现场总线的不符合预设仪表协议的用热数据进行过滤,得到有效用热数据;
根据预设加密算法对所述有效用热数据进行加密,得到加密用热数据,所述预设加密算法为存储在所述安全总线模块中的算法本中的任意一种加密算法;
将所述加密用热数据发送到所述采集器。
核心处理器是安全总线模块的核心部件,采用国家密码检测的国密芯片,采用32位cpu内核,具有10年以上数据保持时间,具有随机数发生器,用于生成随机数,工作温度范围为-40℃~85℃。
实施例六
基于上述实施例公开的核心处理器,本实施例公开了一种安全总线模块,请参阅图5,每一个用热终端唯一对应一个所述安全总线模块,安全总线模块通过现场总线与采集器进行通信连接。
请参阅图6,所述安全总线模块包括:核心处理器201、uart接口202和电源模块203,核心处理器201通过所述uart接口202与用热终端的总线相连,核心处理器201用于在数据传输之前,进行安全总线模块与采集器的双向身份认证,保证了数据发送端和接收端的合法性,当双向认证通过后,对来自用热终端的不符合预设仪表协议的用热数据进行过滤,得到有效用热数据;根据预设加密算法对所述有效用热数据进行加密,得到加密用热数据,将所述加密用热数据发送到所述采集器。所述预设加密算法为存储在所述安全总线模块中的算法本中的任意一种加密算法。
具体的,所述电源模块203采用单电源输入,并采用高端的电源芯片为所述安全总线模块提供最大3a的电流,具有电源短路保护功能,过压保护功能。
所述安全总线模块还包括运行状态指示灯和数据传输状态指示灯。
需要说明的是,所述安全总线模块还设置有软件旁路功能,实现加密传输和透明传输的灵活切换。
本实施例公开的安全总线模块在用热终端进行安全防护,提高了数据传输的安全性。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。