一种多融合网关信息加密发布方法及其装置与流程

1.本技术涉及电力自动化技术领域，为一种智能网关，具体而言，涉及一种多融合网关信息加密发布方法及其装置。


背景技术：

2.智能电网调度技术支持系统实现了以“集约运行、源端维护、分布应用、扁平管理、优化流程”为核心的省地县一体化调度管理体系。由于智能电网调度技术支持系统采用分布式采集方式，该模式需要在远方调度配置工作站，该网络为地调系统主干网络的远端延伸，需要地调主站与各供电局之间通过以太网络长距离纵向联接。
3.根据发改委14号令《电力监控系统安全防护规定》要求：“在生产控制大区与广域网的纵向联接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施。”但对于调控系统现状，文中所指的纵向联结处仅包括调控中心前置服务器至变电站的通讯网关机段，却未包含调控中心主网至各县调调度工作站段，这使得电力监控系统安全防护存在薄弱环节，必须采取相应的措施避免安全隐患。
4.并且随着互联网通信技术的普及，尤其是针对于5g网络的广泛使用，也需要提供一种多网融合的信息传输方法。


技术实现要素：

5.本技术实施例提供一种多融合网关信息加密发布方法及其装置，以通在多网络融合的基础架构下，通过纵向加密技术实现对于数据在智能电网调度过程中的信息的安全性和传输的稳定性。
6.为了达到上述目的，本技术实施例采用的技术方案如下：
7.第一方面，本技术实施例提供了一种多融合网关信息加密发布方法，基于融合组网系统，融合组网系统包括第一网络和第二网络，方法包括：
8.对数据进行封装；
9.构建融合非接入层与融合网关之间的信令承载通道；
10.通过所述信令承载通道对封装数据进行传输；
11.对所述融合非接入层进行认证；
12.当认证通过后，建立与所述融合网关之间的业务承载通道；
13.对接收的数据进行解封装；
14.对解封装后的数据进行二层网络转发；
15.在二层组播组表项中对于数据进行匹配，将匹配后的信息在发送至工作站。
16.进一步的，对融合非接入层进行认证包括以下具体方法：
17.在第二网络组网切片对所述融合非接入层进行验证。
18.进一步的，构建融合非接入层与融合网关之间的信令承载通道包括如下步骤：
19.通过第一获取所述融合网关的ip地址，并通过第一建立与融合网关的ip加密隧
道；通过ip安全隧道将融合非接入层协议传输至融合网关，以使融合网关将融合非接入层协议透传至第二网络融合组网切片，完成融合非接入层与融合网关之间的信令承载通道的建立。
20.进一步的，ip加密隧道的建立包括通过纵向加密设备建立的ip加密隧道。
21.进一步的，在对融合非接入层进行认证之前，还包括：通过信令承载通道及融合网关，对融合非接入层进行注册。
22.进一步的，在对第二网络组网切片对融合非接入层进行验证之前，还包括：通过信令承载通道及融合网关，在第二网络组网切片对融合非接入层进行注册。
23.进一步的，纵向加密设备具备三级密钥管理：主密钥、设备公私钥和工作密钥，通过本地和远方的纵向加密互换双方的密钥，以rsa或sm2算法加密传送实时产生的工作密钥，生成密钥同步的双方首先相互验证身份，当密钥匹配后，隧道建立成功，再配置需求的ip包过滤策略，实现报文的密文通信。
24.进一步的，在对数据进行分装之前，还包括以下具体的方法：
25.为数据报文的封装头打上虚拟网络标识vni标签。
26.进一步的，二层网络转发包括：从本地mac表中查找到与所述vni标签和所述解封装后的数据报文的目的mac地址匹配的mac表项，根据所述解封装后的数据报文目的mac地址为广播mac地址、目的ip地址为广播ip地址，则确定vxlan解封装后的广播数据报文进行二层组播转发，组播和ip报文步骤相同。
27.第二方面，本技术实施例还提供一种多融合网关信息加密发布装置，基于融合组网系统，融合组网系统包括第一网络和第二网络，其中装置包括：封装模块，用于对数据进行封装；信令通道构建模块，用于构建融合非接入层与融合网关之间的信令承载通道；传输模块，用于对封装数据进行传输；认证模块，用于对融合非接入层进行认证；解封装模块，用于对封装数据进行解封装；业务承载通道构建模块，用于构建业务承载通道；转发模块，用于解封装后的数据进行二层网络转发；匹配模块，用于在二层组播组表项中对于数据进行匹配。
28.本技术实施例提供的技术方案中，通过多网融合技术以及纵向加密技术实现了智能电网对于数据传输要求的稳定性和安全性。
附图说明
29.为了更清楚地说明本技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
30.附图中的方法、系统和/或程序将根据示例性实施例进一步描述。这些示例性实施例将参照图纸进行详细描述。这些示例性实施例是非限制的示例性实施例，其中示例数字在附图的各个视图中代表相似的机构。
31.图1是根据本技术的一些实施例所示的多融合网关信息加密发布装置的方框图；
32.图2是根据本技术的一些实施例所示的一种多融合网关信息加密发布方法流程图。
具体实施方式
33.为了更好的理解上述技术方案，下面通过附图以及具体实施例对本技术技术方案做详细的说明，应当理解本技术实施例以及实施例中的具体特征是对本技术技术方案的详细的说明，而不是对本技术技术方案的限定，在不冲突的情况下，本技术实施例以及实施例中的技术特征可以相互组合。
34.在下面的详细描述中，通过实例阐述了许多具体细节，以便提供对相关指导的全面了解。然而，对于本领域的技术人员来说，显然可以在没有这些细节的情况下实施本技术。在其他情况下，公知的方法、程序、系统、组成和/或电路已经在一个相对较高水平上被描述，没有细节，以避免不必要的模糊本技术的方面。
35.本技术中使用流程图说明根据本技术的实施例的系统所执行的执行过程。应当明确理解的是，流程图的执行过程可以不按顺序执行。相反，这些执行过程可以以相反的顺序或同时执行。另外，可以将至少一个其他执行过程添加到流程图。一个或多个执行过程可以从流程图中删除。
36.请参阅图2，是根据本技术的一些实施例所示的一种多融合网关信息加密发布方法的流程图，该方法基于融合组网系统，融合组网系统包括第一网络和第二网络；在其他实施例中，还可以包括第三网络，网络数量的设定可以根据具体的网络架构来实现。
37.本实施例提供的一种方法，具体包括一下几个步骤：
38.数据封装；
39.数据加密；
40.数据传输；
41.解封装；
42.数据传输。
43.针对于以上的五个步骤，具体可以包括以下步骤s1步骤s8的基础上，将对一些可选实施例进行说明，这些实施例应当理解为实例，不应理解为实现本方案所必不可少的技术特征。
44.步骤s1，对数据进行封装。
45.步骤s11，对数据报文的封装头打上虚拟网络表示vni标签。
46.步骤s12，对数据报文进行封装，并确定其ip地址。
47.步骤s2，构建融合非接入层与融合网关之间的信令承载通道。
48.步骤s21，通过第一网络获取融合网关的ip地址，并通过第一网络建立与融合网关，基于纵向加密设备建立的ip加密隧道。
49.在本实施例中，纵向加密设备具备三级密钥管理：主密钥、设备公私钥和工作密钥，通过本地和远方的纵向加密互换双方的密钥，以rsa或sm2算法加密传送实时产生的工作密钥，生成密钥同步的双方首先相互验证身份，当密钥匹配后，隧道建立成功，再配置需求的ip包过滤策略，实现报文的密文通信。
50.步骤s22，通过ip加密隧道将融合非接入层协议传输至融合网关，以使融合网关将融合非接入层协议透传至第二网络融合组网切片，完成融合非接入层与融合网关之间的信令承载通道的建立。
51.在本实施例中，第一网络为wi-fi网络，第二网络为5g网络。
52.所以针对于构建融合非接入层与融合网关之间的信令承载通道的具体方法为：
53.通过wi-fi获取融合网关的ip地址，并通过wi-fi建立与融合网关的ip加密隧道，通过ip加密隧道将融合非接入层协议传输至融合网关，以使融合网关将融合非接入层协议透传至5g网络融合组网切片，完成融合非接入层与融合网关之间的信令承载通道的建立。
54.基于现有技术中，通过将wi-fi网络接入5g核心网实现wi-fi与5g移动网络的融合组网，导致5g核心网的负荷压力过大，影响业务访问的速率；本技术提供了一种业务访问的方法，用于解决上述技术问题；
55.非接入层(non-accessstratum，nas)存在于umts的无线通信协议栈中，作为核心网与用户设备之间的功能层，该层支持在这两者之间的信令和数据传输，这里提到的融合非接入层即为运行非接入层信令协议实例的终端侧，可用于实现wi-fi接入5g融合组网切片；
56.这里提到的融合网关具与数据网连接的数据接口，用于实现wi-fi网络和5g网络与数据网的互连，使得双模终端(wi-fi+5g)能够通过业务承载通道及所述融合网关向数据网发起业务访问；
57.这里提到的信令承载通道用于支持信令的传输，通讯设备之间任何实际应用信息的传送总是伴随着一些控制信息的传递，它们按照既定的通讯协议工作，将应用信息安全、可靠、高效地传送到目的地，这些信息在在电信网中叫做信令，信令允许程控交换、网络数据库、网络中其它“智能”节点交换下列有关信息：呼叫建立、监控、拆除、分布式应用进程所需的信息(进程之间的询问/响应或用户到用户的数据)、网络管理信息。信令是在无线通信系统中，除了传输用户信息之外，为使全网有轶序的工作，用来保证正常通信所需要的控制信号。
58.步骤s3，通过信令承载通道对封装数据进行传输。
59.步骤s4，对融合非接入层进行认证。
60.步骤s41，通过信令承载通道及融合网关，在所述第二网络组网切片对所述融合非接入层进行注册。
61.步骤s42，在第二网络组网切片对融合非接入层进行验证。
62.在本实施例中，第二网络组网切片为5g融合组网切片，具体为将网络资源灵活分配，按需组网，基于5g网络虚拟出多个具有不同特点且互相隔离的逻辑子网，每个端到端网络切片均由无线网、传输网、核心网子切片组合而成，并通过端到端切片管理系统进行统一的管理；本技术通过融合网关与独立的5g融合组网切片对接，实现了与原本的5g业务的隔离。
63.步骤s5，建立与融合网关之间的业务承载通道。
64.本实施例中提到的业务承载通道用于实现终端与融合网关之间的业务数据的传输，业务数据即为业务处理过程中产生的数据，例如在通话过程中的语音数据、在视频过程中的视频数据等，均是终端通过业务承载通道发送至融合网关。
65.基于上述技术方案，本技术实施例在没有5g信号且仅有wi-fi信号时，能够通过wi-fi网络获取融合网关的ip地址，并通过wi-fi接入点建立与融合网关的ip安全隧道；通过ip安全隧道将融合非接入层协议传输至融合网关，以使融合网关将融合非接入层协议透传至5g融合组网切片，完成融合非接入层与融合网关之间wi-fi信令承载通道的建立。
66.步骤s6，对接收的数据进行解封装。
67.步骤s7，对解封装后的数据进行二层网络转发。
68.步骤s71，从本地mac表中查找到与vni标签和解封装后的数据报文的目的mac地址匹配的mac表项。
69.步骤s72，根据解封装后的数据报文目的mac地址为广播mac地址、目的ip地址为广播ip地址。
70.步骤s73，确定解封装后的广播数据报文进行二层组播转发，组播和ip报文步骤相同。
71.步骤s8，在二层组播组表项中对于数据进行匹配，将匹配后的信息在发送至工作站。
72.本实施例还提供一种多融合网关信息加密发布装置，基于融合组网系统，在本实施例中，融合组网系统包括第一网络和第二网络，其中装置包括：
73.封装模块，用于对数据进行封装；
74.信令通道构建模块，用于构建融合非接入层与融合网关之间的信令承载通道；
75.传输模块，用于对封装数据进行传输；
76.认证模块，用于对融合非接入层进行认证；
77.解封装模块，用于对封装数据进行解封装；
78.业务承载通道构建模块，用于构建业务承载通道；
79.转发模块，用于解封装后的数据进行二层网络转发；
80.匹配模块，用于在二层组播组表项中对于数据进行匹配。
81.需要理解的是，针对上述内容没有进行名词解释的技术术语，本领域技术人员可以根据上述所公开的内容进行前后推导毫无疑义地确定其所指代的含义，例如针对一些阈值、系数等术语，本领域技术人员可以根据前后的逻辑关系进行推导和确定，这些数值的取值范围可以根据实际情况进行选取，例如0.1～1，又例如1～10，再例如50～100，在此均不作限定。
82.本领域技术人员可以根据上述已公开的内容毫无疑义对一些预设的、基准的、预定的、设定的以及偏好标签的技术特征/技术术语进行确定，例如阈值、阈值区间、阈值范围等。对于一些未作解释的技术特征术语，本领域技术人员完全能够基于前后文的逻辑关系进行合理地、毫无疑义地推导，从而清楚、完整地实施上述技术方案。未作解释的技术特征术语的前缀，例如“第一”、“第二”、“示例”、“目标”等，可以根据前后文进行毫无疑义地推导和确定。未作解释的技术特征术语的后缀，例如“集合”、“列表”等，也可以根据前后文进行毫无疑义地推导和确定。
83.本技术实施例公开的上述内容对于本领域技术人员而言是清楚完整的。应当理解，本领域技术人员基于上述公开的内容对未作解释的技术术语进行推导和分析的过程是基于本技术所记载的内容进行的，因此上述内容并不是对整体方案的创造性的评判。
84.上文已对基本概念做了描述，显然，对于本领域技术人员来说，上述详细披露仅作为示例，而并不构成对本技术的限定。虽然此处并没有明确说明，本领域技术人员可以对本技术进行各种修改、改进和修正。该类修改、改进和修正在本技术中被建议，所以该类修改、改进、修正仍属于本技术示范实施例的精神和范围。
85.同时，本技术使用了特定术语来描述本技术的实施例。如“一个实施例”、“一实施例”、和/或“一些实施例”意指与本技术至少一个实施例相关的某一特征、结构或特点。因此，应强调并注意的是，本说明书中在不同部分两次或多次提到的“一实施例”或“一个实施例”或“一替代性实施例”并不一定是指同一实施例。此外，本技术的至少一个实施例中的某些特征、结构或特点可以进行适当的组合。
86.另外，本领域普通技术人员可以理解的是，本技术的各个方面可以通过若干具有可专利性的种类或情况进行说明和描述，包括任何新的和有用的工序、机器、产品或物质的组合，或对他们任何新的和有用的改进。相应地，本技术的各个方面可以完全由硬件执行、可以完全由软件(包括固件、常驻软件、微码等)执行、也可以由硬件和软件组合执行。以上硬件或软件均可以被称为“单元”、“组件”或“系统”。此外，本技术的各方面可以表现为位于至少一个计算机可读介质中的计算机产品，所述产品包括计算机可读程序编码。
87.计算机可读信号介质可能包含一个内含有计算机程序编码的传播数据信号，例如在基带上或作为载波的一部分。该传播信号可能有多种表现形式，包括电磁形式、光形式等等、或合适的组合形式。计算机可读信号介质可以是除计算机可读存储介质之外的任何计算机可读介质，该介质可以通过连接至一个指令执行系统、装置或设备以实现通讯、传播或传输供使用的程序。位于计算机可读信号介质上的程序编码可以通过任何合适的介质进行传播，包括无线电、电缆、光纤缆线、rf、或类似介质、或任何上述介质的组合。
88.本技术各方面执行所需的计算机程序码可以用一种或多种程序语言的任意组合编写，包括面向对象程序设计，如java、scala、smalltalk、eiffel、jade、emerald、c++、c#、vb.net，python等，或类似的常规程序编程语言，如"c"编程语言，visual basic，fortran 2003，perl，cobol 2002，php，abap，动态编程语言如python，ruby和groovy或其它编程语言。所述程式设计编码可以完全在用户计算机上执行、或作为独立的软体包在用户计算机上执行、或部分在用户计算机上执行部分在远程计算机执行、或完全在远程计算机或服务器上执行。在后种情况下，远程计算机可以通过任何网络形式与用户计算机连接，比如局域网络(lan)或广域网(wan)，或连接至外部计算机(例如通过因特网)，或在云计算环境中，或作为服务使用如软件即服务(saas)。
89.此外，除非申请专利范围中明确说明，本技术所述处理元件和序列的顺序、数位字母的使用、或其他名称的使用，并非用于限定本技术流程和方法的顺序。尽管上述披露中通过各种示例讨论了一些目前认为有用的发明实施例，但应当理解的是，该类细节仅起到说明的目的，附加的申请专利范围并不仅限于披露的实施例，相反，申请专利范围旨在覆盖所有符合本技术实施例实质和范围的修正和等价组合。例如，虽然以上所描述的系统组件可以通过硬件装置实现，但是也可以只通过软件的解决方案得以实现，如在现有的服务器或行动装置上安装所描述的系统。
90.同样应当理解的是，为了简化本技术揭示的表述，从而帮助对至少一个发明实施例的理解，前文对本技术实施例的描述中，有时会将多种特征归并至一个实施例、附图或对其的描述中。但是，这种披露方法幷不意味着本技术对象所需要的特征比权利要求中提及的特征多。实际上，实施例的特征要少于上述披露的单个实施例的全部特征。