一种基于虚拟电厂的终端安全接入和数据保护方法与流程

1.本发明涉及虚拟电厂技术领域，尤其是涉及一种基于虚拟电厂的终端安全接入和数据保护方法。


背景技术：

2.虚拟电厂是将分布式发电机组、可控负荷和分布式储能设施等能源形式有机结合，通过配套的调控技术、通信技术实现对各类分布式能源进行整合调控的载体，可以作为一个特殊电厂参与电网运行。虚拟电厂作为一种先进的区域性能量集中管理模式成为电力领域的最新发展趋势。虚拟电厂的分布式发电机组、可控负荷和分布式储能设施分布区域较为分散，分布式发电机组、可控负荷和分布式储能设施与虚拟电厂能源管理平台之间无法通过专线网络进行通信，只能通过非专网，即公共网络进行通信，考虑到公共网络通信安全性较低，因此如何保证终端在接入虚拟电厂过程中的安全性以及在公共网络中的通信安全成为本领域亟待解决的技术问题。
3.在中国专利文献上公开的“一种虚拟电厂能源管理平台”，其公开号为cn111049720a，公开日期为2020-04-21，包括控制中心和被控设备群，通过在控制中心部署vpn服务器，并分别为控制中心的控制服务器和被控设备群的分布式能源设备客户端设置相应的vpn网关，从而使得分布式能源设备能够利用分布式能源设备客户端通过相应的vpn网关、vpn服务器以及控制服务对应的vpn网关与控制服务进行通信，利用vpn技术在公共网络上建立专用网络进行加密通信的特性，保证控制服务器与分布式能源设备客户端之间通信的安全性。但是该技术中对每一个分布式能源设备都需要设置vpn网关建立vpn链路，在分布式能源设备数量不多时成本并不明显，但是当范围拓展到一个城市或多个城市群时，不仅仅分布式能源设备，其他的可控符合、分布式储能设备等都需要接入虚拟电厂当中，此时全部通过搭建的专网通道进行连接通信会极大地提高运行成本，且因为信息交流的频繁容易造成信息拥堵。


技术实现要素：

4.本发明是为了克服现有技术中虚拟电厂对各类分布式能源进行整合调控时通过公共网络通信具有安全隐患以及大面积使用虚拟专网通道进行通信花费成本较大的问题，提供了一种基于虚拟电厂的终端安全接入和数据保护方法，以虚拟电厂总站和若干个虚拟电厂子站作为主干，互相通过虚拟装网通道连接，每个虚拟电厂子站负责所在子区域内的各个终端接入，通过数据加密后在公共网络通信，在确保安全性的基础上降低了成本。
5.为了达到上述目的，本发明采用了以下技术方案：一种基于虚拟电厂的终端安全接入和数据保护方法，包括：s1、根据虚拟电厂聚合的终端的分布情况设置若干个虚拟电厂子站；s2、虚拟电厂中虚拟电厂总站与所有虚拟电厂子站之间通过加密通信；s3、终端接入时同时向虚拟电厂总站和虚拟电厂子站发出申请，在两者都通过申
请后接入虚拟电网；s4、终端传输数据时，经过分割加密后的数据部分直接传输到虚拟电厂总站，另一部分通过虚拟电厂子站传输到虚拟电厂总站。
6.本发明中将虚拟电厂总站和若干个虚拟电厂子站加密通信连接后组成虚拟电厂进行资源聚合和协调优化的控制主干，虚拟电厂聚合的所有终端则作为不同的分支与虚拟电厂子站和虚拟电厂总站通信连接，使得每个终端与虚拟电厂总站的通信都存在至少两条不同的途径。在这种情况下终端与虚拟电厂之间的信息交流可以存在一主一辅两条途径，在必要时可以对比通过两条途径传输的信息来确定信息传输过程中的安全性和完整性。也可以将信息拆分成两部分分别传输，即使其中一部分信息被破解后，另一部分仍然在没被破解的情况下仍然能保证数据信息的安全。
7.作为优选，所述s1中按照终端的数量划分若干个子区域，每个子区域中的终端数量差值小于设定值，每个子区域中设置有一个虚拟电厂子站。
8.本发明中每个子区域的终端数量差值小于设定值可以保证划分区域后的每个子区域内的终端数量基本一致，从而保证每个虚拟电厂子站处理的数据信息数量差小，不会存在部分虚拟电厂子站工作繁忙而其他虚拟电厂子站处在空闲状态的情况。
9.作为优选，所述虚拟电厂子站与外界通信网络之间设置有子站前端处理区；所述虚拟电厂总站与外界通信网络之间设置有总站前端处理区；所述总站前端处理区或子站前端处理区用于处理公开的数据信息或非敏感的业务。
10.本发明中设置的子站前端处理区和总站前端处理区统称为前端处理区，其功能相同，都是将虚拟电厂的子站或总站与外界通信网络进行隔离，通过前端处理区的筛选分析后再决定是否将外界通信网络的数据信息传入虚拟电厂的子站或总站。这里的外界通信网络是公共网络，虚拟电厂主站和虚拟电厂子站之间的通信可以根据实际情况选择直接连通或通过前端处理区连通。
11.作为优选，所述总站前端处理区或子站前端处理区对通信进行分类，终端的通信数据经过身份认证后与前端处理区连接通信；当终端的通信传输涉及虚拟电厂内的数据信息修改时，需要在前端处理区经过身份认证和前端安全验证后进行连接通信。
12.本发明中终端在于虚拟电厂进行通信交流时首先都与前端处理区进行连接，每个终端都用其固定的终端地址和接入id，终端在经过身份认证后能和前端处理区进行数据信息交流。在前端处理区中可以处理公开的数据信息和非敏感业务。而在涉及到对虚拟电厂内补数据信息进行改动时，还需要前端处理区对终端进一步进行安全验证通过后才能将终端接入虚拟电厂。
13.作为优选，虚拟电厂总站与虚拟电厂子站之间以及任意两个虚拟电厂子站之间都建立虚拟专用网络进行加密通信。本发明中虚拟电厂的主干之间两两通过虚拟专用网络加密通讯，保证了主干间通信的安全性。另外接入虚拟电厂的终端除了固定位置的终端之外还存在可移动的终端。
14.作为优选，所述s3中包括以下步骤：s31、终端分别向虚拟电厂总站和所在子区域的虚拟电厂子站发出接入申请；s32、虚拟电厂子站审核接入申请，并将审核结果传输给虚拟电厂总站；s33、虚拟电厂总站审核接入申请，并接收虚拟电厂子站的审核结果；
s34、当虚拟电厂总站和虚拟电厂子站都审核通过时，将终端接入虚拟电厂。
15.本发明中终端想要接入虚拟电网时，需要虚拟电厂总站和虚拟电厂子站同时审核通过才能进行接入，通过双重验证进行终端的接入可以保证虚拟电厂接入的安全性。此外当两个审核情况为一个通过一个不通过时，可以将审核过程及判断理由同时传送到虚拟电厂总站，由工作人员进行人工审核，避免因审核失误造成的终端无法接入虚拟电厂的问题。同时虚拟电厂子站或虚拟电厂总站能对已完成接入的终端进行定期再审核，来判断终端接入的安全性。
16.作为优选，所述s4中包括以下步骤：s41、将终端传输数据分割成第一分数据和第二分数据；s42、第一分数据通过一号加密方式得到第一加密数据，第二分数据通过二号加密方式得到第二加密数据；s43、第一加密数据和二号加密方式组成第一数据包，第二加密数据和一号加密方式组成第二数据包；s44、第一数据包和第二数据包通过不同的传输路径传输到虚拟电厂总站；s45、虚拟电厂总站对数据包解密重新组合成终端传输数据。
17.本发明中在终端处将需要传送的终端数据拆分成两组不同的数据，对每组数据使用不同的加密方式进行加密，得到的两组加密数据分别通过终端-虚拟电厂总站以及终端-虚拟电厂子站-虚拟电厂总站进行传输，并在虚拟电厂总站中分别解密并重新组合后得到原始的数据。因为数据加密方式的不同，即使其中一条传输途径被破解后也只能得到一组加密数据，而且一组加密数据的原始数据是经过拆分的，因为其完整性缺陷而无法获得有效信息，加大了从加密数据中获取原有的终端数据的难度。
18.作为优选，所述虚拟电厂总站中储存有所有终端的数据信息，所述虚拟电厂子站中储存有所在子区域的所有终端的数据信息备份。
19.本发明中虚拟电厂总站储存有所有终端的数据信息，其和所有终端都可以进行通信；虚拟电厂子站则储存有所在子区域的终端的数据信息备份，其和所在子区域的终端都能进行通信。这种情况下，当某个虚拟电厂子站出现问题时，可以直接通过虚拟电厂总站对终端进行协调控制，也可以通过与该虚拟电厂子站相邻的其他虚拟电厂子站来进行协调控制。
20.本发明具有如下有益效果：以虚拟电厂总站和若干个虚拟电厂子站作为主干，互相通过虚拟装网通道连接，每个虚拟电厂子站负责所在子区域内的各个终端接入，通过数据加密后在公共网络通信，在确保安全性的基础上降低了成本；对于终端的介入需要通过双重审核验证，同时对已接入的终端进行定期再审核，从而保证了终端接入虚拟电厂的安全性；在终端数据传输过程中对终端数据进行拆分并用不同加密方式进行加密，从两个途径分别传输到虚拟电厂总站中，即使其中一部分数据被破解也无法得到具体数据内容，极大地保证了数据信息的安全性；虚拟电厂总站和虚拟电厂子站中都储存有各自进行通信的终端的数据信息，且虚拟电厂总站和虚拟电厂子站之间互相通信连接，因此当某个子站或总站出现问题时，整个虚拟电厂仍然能进行协调控制工作，保证虚拟电厂工作的稳定性。
附图说明
21.图1是本发明终端安全接入和数据保护方法的示意图；图2是本发明终端安全接入虚拟电厂的流程图；图3时本发明终端与虚拟电厂通信连接的示意图。
具体实施方式
22.下面结合附图与具体实施方式对本发明做进一步的描述。
23.一种基于虚拟电厂的终端安全接入和数据保护方法，如图1所示，包括：s1、根据虚拟电厂聚合的终端的分布情况设置若干个虚拟电厂子站；将虚拟电厂聚合的终端覆盖范围划分成若干个子区域，任意两个子区域之间的终端数量的差值小于设定值，在每个子区域中都设置有一个虚拟电厂子站，虚拟电厂子站能和子区域内的终端相互通信。
24.s2、虚拟电厂中虚拟电厂总站与所有虚拟电厂子站之间通过加密通信；虚拟电厂总站与虚拟电厂子站之间以及任意两个虚拟电厂子站之间都建立虚拟专用网络进行加密通信，使得数据信息可以在虚拟电厂中安全通信。
25.s3、终端接入时同时向虚拟电厂总站和虚拟电厂子站发出申请，在两者都通过申请后接入虚拟电网；如图2所示，s3中包括以下步骤：s31、终端分别向虚拟电厂总站和所在子区域的虚拟电厂子站发出接入申请；s32、虚拟电厂子站审核接入申请，并将审核结果传输给虚拟电厂总站；s33、虚拟电厂总站审核接入申请，并接收虚拟电厂子站的审核结果；s34、当虚拟电厂总站和虚拟电厂子站都审核通过时，将终端接入虚拟电厂。
26.s4、终端传输数据时，经过分割加密后的数据部分直接传输到虚拟电厂总站，另一部分通过虚拟电厂子站传输到虚拟电厂总站；s4中包括以下步骤：s41、将终端传输数据分割成第一分数据和第二分数据；s42、第一分数据通过一号加密方式得到第一加密数据，第二分数据通过二号加密方式得到第二加密数据；s43、第一加密数据和二号加密方式组成第一数据包，第二加密数据和一号加密方式组成第二数据包；s44、第一数据包和第二数据包通过不同的传输路径传输到虚拟电厂总站；s45、虚拟电厂总站对数据包解密重新组合成终端传输数据。
27.虚拟电厂子站与终端之间设置有子站前端处理区，子站前端处理区与终端通过公共网络连接；虚拟电厂总站与终端之间设置有总站前端处理区，总站前端处理区与终端通过公共网络连接；总站前端处理区或子站前端处理区用于处理公开的数据信息或非敏感的业务，具体如图3所示，总站前端处理区或子站前端处理区对通信进行分类，终端的通信数据经过身份认证后与前端处理区连接通信；当终端的通信传输涉及虚拟电厂内的数据信息修改时，需要在前端处理区经过身份认证和前端安全验证后才能与虚拟电厂进行连接通信。
28.虚拟电厂总站中储存有所有终端的数据信息，虚拟电厂子站中储存有所在子区域的所有终端的数据信息备份。虚拟电厂子站会定时从虚拟电厂总站储存的所有终端数据信息中，将其所在子区域的所有终端的数据信息进行备份储存。
29.本发明中将虚拟电厂总站和若干个虚拟电厂子站加密通信连接后组成虚拟电厂进行资源聚合和协调优化的控制主干，虚拟电厂聚合的所有终端则作为不同的分支与虚拟电厂子站和虚拟电厂总站通信连接，使得每个终端与虚拟电厂总站的通信都存在至少两条不同的途径。在这种情况下终端与虚拟电厂之间的信息交流可以存在一主一辅两条途径，在必要时可以对比通过两条途径传输的信息来确定信息传输过程中的安全性和完整性。也可以将信息拆分成两部分分别传输，即使其中一部分信息被破解后，另一部分仍然在没被破解的情况下仍然能保证数据信息的安全。
30.本发明中每个子区域的终端数量差值小于设定值可以保证划分区域后的每个子区域内的终端数量基本一致，从而保证每个虚拟电厂子站处理的数据信息数量差小，不会存在部分虚拟电厂子站工作繁忙而其他虚拟电厂子站处在空闲状态的情况。这个设定值可以按照子区域中总的终端数量的百分比来确定，如百分之五。此外当子区域中增加、减少或修改终端时，其信息都有该子区域中的虚拟电厂子站负责处理。
31.本发明中设置的子站前端处理区和总站前端处理区统称为前端处理区，其功能相同，都是将虚拟电厂的子站或总站与外界通信网络进行隔离，通过前端处理区的筛选分析后再决定是否将外界通信网络的数据信息传入虚拟电厂的子站或总站。这里的外界通信网络是公共网络，虚拟电厂主站和虚拟电厂子站之间的通信可以根据实际情况选择直接连通或通过前端处理区连通。
32.本发明中终端在于虚拟电厂进行通信交流时首先都与前端处理区进行连接，每个终端都用其固定的终端地址和接入id，终端在经过身份认证后能和前端处理区进行数据信息交流。在前端处理区中可以处理公开的数据信息和非敏感业务，比如虚拟电厂工作报告的发布，终端维修检测的申请安排等不需要对虚拟电厂内部数据信息进行改动的工作。而在涉及到对虚拟电厂内补数据信息进行改动时，还需要前端处理区对终端进一步进行安全验证通过后才能将终端接入虚拟电厂。
33.本发明中虚拟电厂的主干之间两两通过虚拟专用网络加密通讯，保证了主干间通信的安全性。另外接入虚拟电厂的终端除了固定位置的终端之外还存在可移动的终端。对于固定位置的终端需要变动位置从一个子区域转移到另一个子区域时，涉及到的两个子区域中的虚拟电厂子站需要进行数据信息传送完成终端信息的转移和确认。对于可移动的终端，由于其处在移动中，因此其移动经过的子区域的虚拟电厂子站都需要进行通信来确认可移动终端数据信息的安全性和正确性。
34.本发明中终端想要接入虚拟电网时，需要虚拟电厂总站和虚拟电厂子站同时审核通过才能进行接入，通过双重验证进行终端的接入可以保证虚拟电厂接入的安全性。此外当两个审核情况为一个通过一个不通过时，可以将审核过程及判断理由同时传送到虚拟电厂总站，由工作人员进行人工审核，避免因审核失误造成的终端无法接入虚拟电厂的问题。同时虚拟电厂子站或虚拟电厂总站能对已完成接入的终端进行定期再审核，来判断终端接入的安全性。
35.本发明中在终端处将需要传送的终端数据拆分成两组不同的数据，对每组数据使
用不同的加密方式进行加密，得到的两组加密数据分别通过终端-虚拟电厂总站以及终端-虚拟电厂子站-虚拟电厂总站进行传输，并在虚拟电厂总站中分别解密并重新组合后得到原始的数据。因为数据加密方式的不同，即使其中一条传输途径被破解后也只能得到一组加密数据，而且一组加密数据的原始数据是经过拆分的，因为其完整性缺陷而无法获得有效信息，加大了从加密数据中获取原有的终端数据的难度。
36.本发明中虚拟电厂总站储存有所有终端的数据信息，其和所有终端都可以进行通信；虚拟电厂子站则储存有所在子区域的终端的数据信息备份，其和所在子区域的终端都能进行通信。这种情况下，当某个虚拟电厂子站出现问题时，可以直接通过虚拟电厂总站对终端进行协调控制，也可以通过与该虚拟电厂子站相邻的其他虚拟电厂子站来进行协调控制。而当虚拟电厂总站出现问题时，可以将原有的覆盖区域看作若干个独立的子区域的集合，每个子区域由虚拟电厂子站协调控制，从而保证了虚拟电厂工作的稳定性和安全性。
37.本发明的实施例中，虚拟电厂的虚拟电厂总站作为中心协调控制部分，虚拟电厂子站作为子区域的协调控制部分，在进行设置时每个虚拟电厂子站都有其进行通信的终端地址范围，所有终端地址范围不重合且组合后即是整个虚拟电厂协调控制的终端地址范围。在由新的终端接入时，根据接入终端的实际位置首先分配一个终端地址，每个终端地址对应有且仅有一个终端。之后针对接入终端的类型分配接入id，接入id包括前半部分的字母和后半部分的数字组合，以不同的字母来表示接入终端的是分布式能源、储能系统或者是负荷，更进一步还能表示分布式能源的种类、储能系统的容量、负荷的类型等等；以数字来作为流水号表示终端的数量，从而使得每个终端都有唯一的接入id。接入id和终端地址是识别认证终端必须提供的信息。新的终端的接入id、终端地址和具体文字和数据信息包括注册终端时的注册人信息，都会成立一个单独的文档分别储存在虚拟电厂总站的数据库和虚拟电厂子站的备份数据库中。
38.当终端获得接入id和终端地址后需要接入虚拟电厂，首先根据终端地址将终端与对应的虚拟电厂子站连接，终端向虚拟电厂子站发出接入申请，然后向虚拟电厂总站发出同样的接入申请。虚拟电厂子站审核验证终端的接入id、终端地址、注册人信息以及判断当前情况下子区域中能否再接入新的终端，然后给出审核结果并发送给虚拟电厂总站。虚拟电厂总站审核验证终端的接入id、终端地址、注册人信息以及判断当前情况下虚拟电厂中能否再接入新的终端，并给出审核结果。当两者都审核通过时可以接入新的终端；当两者的审核结果为一个通过一个不通过时，需要通知工作人员人工审核验证是否可以接入终端。由于接入终端时涉及到对虚拟电厂内的数据信息的改动，因此需要注册人进行终端接入操作，在进行前端安全验证时需要对注册人进行人脸识别、语音识别、指纹识别、密钥输入等的一种或多种进行验证，以保证终端接入的安全性和规范性。相应的取消终端的接入、改变终端的实际位置、更换更新终端的文字和数据信息时，也需要注册人进行前端安全验证后才能执行操作，对于注册人可以存在一个或多个。
39.在虚拟电厂总站设置有总站前端处理区，在虚拟电厂子站设置有子站前端处理区，总站前端处理区和子站前端处理区统称为前端处理器，其功能和作用相同，都是为了隔离虚拟电厂子站或总站与公共通信网络。下面以虚拟电厂子站和子站前端处理区为例进行说明。当接入虚拟电厂的终端向虚拟电厂子站发送数据信息时，数据信息首先到达子站前端处理区，子站前端处理区先对数据信息进行处理。判断终端的请求数据信息是否涉及到
对虚拟电厂内数据信息的改动或涉及的敏感信息的查询，敏感信息可以由终端注册用户自行设置、虚拟电厂自行划定或相关工作人员输入设置。当不涉及时，子站前端处理区就拥有自行处理和相应的功能，直接将对应的信息传输到终端，如终端设备需要维修或检查时，可以从终端向虚拟电厂子站发出检修申请信息，子站前端处理区接收申请信息后自动匹配相关维修人员给终端，完成申请的审核和处理工作。而当涉及到敏感信息或对虚拟电厂内数据信息的改动时，子站前端处理区需要先对终端进行身份认证，认证其终端地址和接入id无误后继续要求进行前端安全验证，即必须要有该终端的注册人进行终端操作验证注册人信息后才能将终端与虚拟电厂子站通信连接。虚拟电厂子站在接收到终端传输来的数据信息后会再自动发送验证消息到注册人的移动端设备中，注册人在移动端设备上进行验证确认后才能进行后续的查询或修改信息的操作。
40.对于重要的终端数据信息的传输，在终端进行传输前先将该终端数据进行拆分，如将终端数据按照m行n列进行排列，取n列中的奇数列数据作为第一分数据，取n列中的偶数列数据作为第二分数据，由于在正常阅读和排列时终端数据的内容是按每行一次阅读的，因此对数据列抽取后的第一分数据和第二分数据都不能显示和包含原有终端数据的内容。对第一分数据通过一号加密方式加密形成第一加密数据，对第二分数据通过二号加密方式加密形成第二加密数据，在终端进行加密时可以通过随机选择的方式选择不同的加密方式，包括但不限于任何现有的加密技术。然后在终端处将第一加密数据与二号加密方式组成第一数据包后以注册人在注册时提前设置的加密密码对第一数据包加密，将第二加密数据与一号加密方式组成第二数据包后以注册人在注册时提前设置的加密密码对第二数据包加密。终端的数据传输到虚拟电厂总站有两条途径，分别是终端-虚拟电厂总站、终端-虚拟电厂子站-虚拟电厂总站。第一数据包随机选择其中一条途径进行传输，第二数据包则选择另一条途径进行传输。在到达虚拟电厂总站后，首先通过数据库内储存的加密密码对第一数据包和第二数据包解密，根据解密得到的一号加密方式和二号加密方式在分别对第一加密数据和第二加密数据解密，并重新按列组合后得到终端数据。
41.在虚拟电厂中接入的终端除了固定位置的终端以外，还存在移动的终端，如电动汽车、移动发电设备、移动用电设备等，由于这些移动终端位置不固定会在不同的子区域间移动，因此其在进行接入注册是除了分配有接入id以外，还会分配有动态终端地址，动态终端地址包括前部分的固定终端地址和后部分的动态码，这里的固定终端地址是指移动终端在最开始接入虚拟电网时的实际位置所对应的终端地址，形式与固定终端的终端地址相同。而移动终端的数据信息则储存在虚拟电厂总站和其固定终端地址对应的虚拟电厂子站中。动态码则代表移动终端移动过程中所在子区域的编码，对应了当前情况下移动终端所在的子区域，在这种情况下移动终端进行数据信息交流时，数据信息传输存在的三个途径分别是：移动终端-虚拟电厂总站；移动终端-当前所在子区域虚拟电厂子站-初始接入子区域虚拟电厂子站-虚拟电厂总站；移动终端-当前所在子区域虚拟电厂子站-虚拟电厂总站。
42.上述实施例是对本发明的进一步阐述和说明，以便于理解，并不是对本发明的任何限制，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。