轻量级端到端电力物联网加密系统的制作方法

1.本实用新型属于通信数据加密技术领域，具体涉及一种轻量级端到端电力物联网加密系统。


背景技术：

2.现有的通信数据加密方法主要有基于ipsec vpn的ip层数据加密方法、基于ssl/tls的传输层数据加密方法、以及基于应用层数据的加密方法。
3.其中ipsec vpn和ssl/tls方法只能适用于针对ip网络传输的应用场景，无法为更广泛的物联网应用场景提供通信加密保护。譬如ipsec vpn需要往往部署在网关侧起到site-site或site-peer的数据机密性保护。而ssl/tls是基于socket网络方式提供安全加密机制，对于无法建立socket的场景是无能为力的。
4.在电力系统中存在着诸多混合网络架构的通信场景，比如典型的电力监控系统，往往在信息与物理融合处大量采用工业总线协议，即便目前已经部分应用进行ip化承载，但在电力一次设备处仍然使用工业协议。同时由于物联网设备的信息处理能力较弱对数据实时性要求高等约束，因此，目前现在的通信数据加密方法都无法进行端到端的数据加密。


技术实现要素：

5.本实用新型针对现有的通信数据加密方法无法适用在电力监控系统中的技术问题，目的在于提供一种轻量级端到端电力物联网加密系统。
6.一种轻量级端到端电力物联网加密系统，包括电力监控系统主站侧和若干电力物联网终端侧；
7.所述电力监控系统主站侧具有：
8.一前置机，连接通信网络；
9.一应用加解密模块，对电力物联网应用明文进行加密，或对密文进行解密，连接所述前置机；
10.所述电力物联网终端侧具有：
11.一终端通信单元，连接所述通信网络；
12.一终端加解密模块，对密文进行解密，或对电力物联网应用明文进行加密，连接所述终端通信单元；
13.若干断路器，分别与所述终端加解密模块连接。
14.作为优选方案，所述电力监控系统主站侧还具有：
15.一边界防护设备，连接所述前置机，由所述边界防护设备将所述前置机与所述通信网络隔开。
16.作为优选方案，所述边界防护设备采用防火墙设备。
17.作为优选方案，所述通信网络为采用基于tcp/ip协议的通信网络。
18.作为优选方案，所述应用加解密模块和所述终端加解密模块均包括：
19.一密钥计算模块，计算一次性密钥；
20.一加解密模块，与所述密钥计算模块连接；
21.一接口模块，与所述加解密模块连接。
22.作为优选方案，所述密钥计算模块为采用基于时间戳的一次性密码作为密钥的密钥计算模块。
23.作为优选方案，所述加解密模块为采用sm4或aes256-gcm安全加密算法的加解密模块。
24.作为优选方案，所述应用加解密模块还包括：
25.一随机种子管理模块，存储和管理随机种子，分别与所述密钥计算模块和所述接口模块连接；
26.一随机数生成模块，生成随机种子，与所述随机种子管理模块连接。
27.本实用新型的积极进步效果在于：本实用新型采用轻量级端到端电力物联网加密系统，具有如下优点：
28.1、实现难度低；
29.2、可以实现应用层的端到端加密；
30.3、不仅适用于ip网络传输场景，对于非ip网络传输的物联网场景也适用；
31.4、每一个通信报文的加密密钥不一样，提高安全性。
附图说明
32.图1为本实用新型系统的一种整体连接框图；
33.图2为本实用新型应用加解密模块的一种连接框图；
34.图3为本实用新型的一种方法流程图；
35.图4为本实用新型的一实施例交互流程示意图。
具体实施方式
36.为了使本实用新型实现的技术手段、创作特征、达成目的与功效易于明白了解，下面结合具体图示进一步阐述本实用新型。
37.参照图1和图2，本实用新型提出了一种轻量级端到端电力物联网加密系统，包括电力监控系统主站侧100和若干电力物联网终端侧200。
38.电力监控系统主站侧100具有前置机110和应用加解密模块120，前置机110连接通信网络300。应用加解密模块120对电力物联网应用明文进行加密，或对密文进行解密，应用加解密模块120连接前置机110，前置机110将应用加解密模块120加密后的密文通过通信网络300发送给对应的电力物联网终端侧200。
39.电力物联网终端侧200具有终端通信单元210、终端加解密模块220和若干断路器230。终端通信单元210连接通信网络300。终端加解密模块220对密文进行解密，或对电力物联网应用明文进行加密，终端加解密模块220连接终端通信单元210。终端加解密模块220通过终端通信单元210接收电力监控系统主站侧100发送的密文，或将密文通过终端通信单元210发送给电力监控系统主站侧100。若干断路器230分别与终端加解密模块220连接。终端加解密模块220将电力物联网监控报文发送给各断路器230，断路器230根据电力物联网监
控报文执行相关操作。
40.在一些实施例中，电力监控系统主站侧100还具有边界防护设备130，边界防护设备130连接前置机110，由边界防护设备130将前置机110与通信网络300隔开。边界防护设备130用于防止来自通信网络300(如互联网)的网络攻击。
41.在一些实施例中，边界防护设备130采用防火墙设备。
42.在一些实施例中，通信网络300为采用基于tcp/ip协议的通信网络300。
43.在一些实施例中，应用加解密模块120和终端加解密模块220均包括密钥计算模块、加解密模块和接口模块，参照图4，以应用加解密模块120为例，密钥计算模块121计算一次性密钥，加解密模块122与密钥计算模块121连接，接口模块123与加解密模块122连接。接口模块123用于应用加解密模块120和前置机110交互的接口，以传输密文或明文。
44.终端加解密模块220中的接口模块123用于终端加解密模块220与终端通信单元210交互的接口，以传输密文或明文。
45.在一些实施例中，密钥计算模块121为采用基于时间戳的一次性密码作为密钥的密钥计算模块121。
46.在一些实施例中，加解密模块122为采用sm4或aes256-gcm安全加密算法的加解密模块122。
47.在一些实施例中，应用加解密模块120还包括随机种子管理模块124和随机数生成模块125。随机种子管理模块124存储和管理随机种子，随机种子管理模块124分别与密钥计算模块121和接口模块123连接。随机数生成模块125生成随机种子，随机数生成模块125与随机种子管理模块124连接。
48.在一些实施例中，参照图3，利用本实用新型的系统可以实现一种轻量级端到端电力物联网加密方法，包括如下具体步骤：
49.s1，电力监控系统主站侧与电力物联网终端侧建立网络连接。
50.本实施例涉及电力监控系统主站侧与电力物联网终端侧两部分，电力监控系统主站侧通常为一个，电力物联网终端侧为若干个，若干个电力物联网终端侧分别与电力监控系统主站侧建立网络连接。
51.在一些实施例中，电力监控系统主站侧的前置机通过通信网络与电力物联网终端侧的终端通信单元建立tcp连接。
52.在一些实施例中，为了防止来自通信网络的网络攻击，电力监控系统主站侧的前置机通过边界防护设备和通信网络与电力物联网终端侧的终端通信单元建立tcp连接。
53.即电力监控系统主站侧的前置机经边界防护设备连接通信网络，经通信网络与电力物联网终端侧的终端通信单元建立tcp连接。该边界防护设备用于防止来自通信网络的网络攻击。
54.在一些实施例中，边界防护设备采用防火墙设备。即电力监控系统主站侧的前置机经防火墙设备连接通信网络。
55.在一些实施例中，在步骤s1之前或之后，还包括：
56.电力监控系统主站侧生成多个随机种子，对多个随机种子进行存储和管理。电力监控系统主站侧将随机种子导出至对应的电力物联网终端侧，随机种子作为电力物联网终端侧的随机数。
57.本实施例中的随机种子用于后续的生成一次性密钥使用。随机种子的数量可根据与电力监控系统主站侧建立连接的电力物联网终端侧的数量确定，一个电力物联网终端侧对应具有一个唯一的随机种子。
58.当电力监控系统主站侧还未与电力物联网终端侧建立通信连接时，可以通过手工导出的方式将随机种子从电力监控系统主站侧导出，存储至对应的电力物联网终端侧。
59.当电力监控系统主站侧已经与电力物联网终端侧建立通信连接时，可以直接通过网络通信的方式将随机种子发送至对应的电力物联网终端侧。
60.在电力监控系统主站侧可以通过随机数生成模块为每一个电力物联网终端侧生成一个唯一的随机数作为随机种子。在电力监控系统主站侧可以通过随机种子管理模块将随机种子进行存储和管理，在对随机种子进行存储和管理时，可以以《key,value》对形式实现，其中key为随机种子，value为对应的力物联网终端侧的终端名称。也可以反过来表示。
61.s2，电力监控系统主站侧将电力物联网应用明文进行加密，得到密文，将密文发送至电力物联网终端侧。
62.电力监控系统主站侧可以通过应用加解密模块将电力物联网应用明文进行加密或对密文进行解密，在对电力物联网应用明文进行加密后，可以通过前置机与电力物联网终端侧的终端通信单元建立的tcp连接发送至电力物联网终端侧的终端加解密模块。
63.在一些实施例中，本步骤的电力监控系统主站侧将电力物联网应用明文进行加密，得到密文，具体包括如下步骤：
64.s201，生成一次性密钥。
65.s202，使用一次性密钥对电力物联网应用明文进行加密，得到密文。
66.在一些实施例中，步骤s201中，一次性密钥为基于时间戳的一次性密码，即一次性密钥优选为基于totp算法的一次性密钥。
67.该一次性密钥生成算法为：
68.key＝truncate(hmac-sha-1(rnd,t))
69.其中，key为一次性密钥；
70.参数rnd为电力物联网终端侧对应的随机数，该随机数即为电力监控系统主站侧预先生成、存储、导出并存储在电力物联网终端侧的随机种子。每个电力物联网终端侧对应一个唯一的随机数。当需要对该电力物联网终端侧发送电力物联网应用明文时，电力监控系统主站侧从存储的多个随机种子中提取该电力物联网终端侧对应的随机种子作为参数rnd。
71.参数t＝(当前系统时间-t0)/x，t为由时间戳产生的数字，该当前系统时间为电力监控系统主站侧的当前系统时间，t0为预设的初始时间，x为预设步长。t0优选取值为0或1970年1月1月0时0分。x优选600秒，即10分钟，即x表示时间步长，10分钟产生一个动态密码。
72.hmac-sha-1表示使用sha-1做hmac；
73.truncate是一个函数，用于截取加密后的串，并取加密后串的哪些字段组成一个数字。
74.对hmac-sha-1方式，truncate实现如下：
75.hmac-sha-1加密后的长度得到一个20字节的密串；
76.取上述20字节的密串的最后一个字节，取这字节的低4位，作为截取加密串的下标偏移量；
77.按照下标偏移量开始，获取4个字节，按照大端方式组成一个整数；
78.截取上述整数的后6位或者8位转成字符串返回；
79.上述返回的字符串即为一次性密钥key。
80.本实施例中，可以通过密钥计算模块生成一次性密钥key。
81.在一些实施例中，步骤s202中，使用sm4或aes256-gcm安全加密算法对电力物联网应用明文进行加密，得到密文。
82.本实施例在基于步骤s201得到一次性密钥key后，可通过加解密模块基于一次性密钥对电力物联网应用明文进行加密或解密。
83.在一些实施例中，步骤s2中，电力监控系统主站侧在将密文发送至电力物联网终端侧时，可以通过接口模块将加解密模块和前置机交互的接口建立连接，加解密模块通过接口模块将密文传输给前置机。
84.s3，电力物联网终端侧接收密文，对密文进行解密得到电力物联网应用明文，解析电力物联网应用明文，执行断路器相关操作。
85.电力物联网终端侧可以通过终端通信单元建立的tcp连接接收来自电力监控系统主站侧发送的密文，也可以将数据经终端通信单元发送给电力监控系统主站侧。
86.电力物联网终端侧可以通过终端加解密模块将电力物联网应用明文进行加密或对密文进行解密，在对电力物联网应用明文进行加密后，可以通过终端通信单元建立的tcp连接发送给电力监控系统主站侧。
87.在一些实施例中，步骤s3中，电力物联网终端侧接收密文，对密文进行解密得到电力物联网应用明文，包括：
88.s301，生成一次性密钥；
89.s302，使用一次性密钥对密文进行解密，得到电力物联网应用明文。
90.在一些实施例中，步骤s301中一次性密钥为基于时间戳的一次性密码，即一次性密钥优选为基于totp算法的一次性密钥，采用与步骤s201相同的生成一次性密钥的方式。
91.在一些实施例中，步骤s302中采用与步骤s202相同的安全加密算法对密文进行解密。即使用sm4或aes256-gcm安全加密算法对密文进行解密，得到电力物联网应用明文。
92.在一些实施例中，步骤s2中，电力物联网应用明文包括主站侧当前系统时间和电力物联网监控报文。
93.本实施例中，被加密的明文可以以《timestamp,msg》表示，其中timestamp为主站侧当前系统时间，msg为电力物联网监控报文。
94.步骤s3中，解析电力物联网应用明文，执行断路器相关操作之前，还包括：
95.电力物联网终端侧提取电力物联网应用明文中的主站侧当前系统时间，判断主站侧当前系统时间与电力物联网终端侧本地当前系统时间是否相差预设步长以内；若是，则认为时间匹配一致，则继续解析电力物联网应用明文，执行断路器相关操作步骤；若不是，则认为时间不匹配，电力物联网终端侧向电力监控系统主站侧请求时间同步对时报文，以完成电力物联网终端侧的时间同步。
96.在步骤s3中对密文进行解密后，得到的电力物联网应用明文中包含有主站侧当前
系统时间，本实施例对该主站侧当前系统时间进行提取，与电力物联网终端侧本地当前系统时间进行比较，差值是否在预设步长x以内，如是否在10分钟以内，若超过则需要进行时间同步请求，完成电力物联网终端侧的时间同步工作。
97.本实施例中，在电力物联网终端侧向电力监控系统主站侧请求时间同步对时报文时，通过ntp协议或nts协议进行时间同步。优选采用nts协议进行时间同步，以保证更为安全的通讯，具体同步时，电力物联网终端侧向电力监控系统主站侧的nts时间服务器进行时间同步即可。这种方式，业务的安全依赖于时间同步，所以在设计上不会让时间同步依赖业务，避免形成循环依赖。
98.在一些实施例中，步骤s3中，电力物联网终端侧接收密文，对密文进行解密得到电力物联网应用明文时，若无法对密文解密，则电力物联网终端侧也向电力监控系统主站侧请求时间同步对时报文，以完成电力物联网终端侧的时间同步。
99.由于电力物联网终端侧由于时间不同步的问题无法解析密文或解析后的时间差值未在预设步长x以内情况下，电力物联网终端侧对于向电力监控系统主站侧接收的密文没有回应，则电力监控系统主站侧认为密文丢失，基于应用协议下，电力监控系统主站侧认为是丢包现象，进行重发处理。电力物联网终端侧再次接收的密文，在时间同步下，时间匹配一致，继续解析电力物联网应用明文，执行断路器相关操作步骤。
100.在一些实施例中，参照图4，本实施例的一种端到端电力物联网加密方法如下：
101.电力监控系统主站侧与电力物联网终端侧建立网络连接；
102.电力监控系统主站侧生成随机种子，配置给各电力物联网终端侧；
103.电力监控系统主站侧计算生成一次性密钥key，使用该一次性密钥key对电力物联网应用明文《timestamp,msg》进行加密，得到密文enc_text，发送该密文enc_text至电力物联网终端侧；
104.电力物联网终端侧计算生成一次性密钥key，解密密文enc_text，得到《timestamp,msg》，判断timestamp是否与本地系统时间差值是否在预设步长x以内，不是，则进行时间同步请求；
105.电力监控系统主站侧收到该时间同步请求，发出时间同步响应；
106.电力物联网终端侧执行时间同步。
107.以上显示和描述了本实用新型的基本原理、主要特征和本实用新型的优点。本行业的技术人员应该了解，本实用新型不受上述实施例的限制，上述实施例和说明书中描述的只是说明本实用新型的原理，在不脱离本实用新型精神和范围的前提下，本实用新型还会有各种变化和改进，这些变化和改进都落入要求保护的本实用新型范围内。本实用新型要求保护范围由所附的权利要求书及其等效物界定。