[发明专利]一种电力物联网数据安全防护方法

说明书

本发明属于电力数字化领域，涉及一种电力物联网数据安全防护方法；通过以下步骤实现：S1：任意区域内的边端设备，设备具备有线、无线及文本数据交互；S2：边端设备侧安装部署加密模块集成外置硬件，边端设备通过RJ45线与加密模块集成外置硬件连接；S3：边、端配置信息后与加密模块集成外置硬件通信，边、端向安全接入网关发送SSAL协议报文；S4：安全接入网关经过配置文件中的IP地址与SSAL值校证后,与发起的加密模块集成外置硬件建立加密通道；S5：端边数据发起的报文中，报文头中加入加密报文，该报文只有先抵达安全接入网关才能解密，解密后的报上传到物联管理平台，作为优选加密算法可选用国密SM1/2/3/4系列算法。

技术领域

本发明属于电力数字化领域，涉及一种电力物联网数据安全防护方法。

背景技术

电力物联网是物联网在智能电网中的应用，是信息通信技术发展到一定阶段的结果，其将有效整合通信基础设施资源和电力系统基础设施资源，提高电力系统信息化水平，改善电力系统现有基础设施利用效率，为电网发、输、变、配、用电等环节提供重要技术支撑。同时，随着电力系统的数字化转型，物联管理平台的投运，以及各类电力感知端设备的大量投运，针对边端上报数据的安全提出严峻考验；常态下，边端无线上送的各类报文仅能通过各厂家边端加密芯片进行加密或者明文透传至前置机，再由前置机加密上送主站，致使边缘侧数据有可能暴露在非法人员手中，对隐私安全造成一定的隐患。

发明内容

本发明克服了现有技术存在的不足，提供了一种电力物联网数据安全防护方法。

本发明在电力物联网的边端管中分别构建相应的安全策略和方法，首先在边端设备中增加加密模块集成外置硬件，然后在安全接入网关中增加SDK(软件开发工具包)，该SDK可监听终端上的APP（应用程序），在通过身份验证后，边端设备基于加密模块集成外置硬件加密并传输数据。

为了解决上述技术问题，本发明采用的技术方案为：一种电力物联网数据安全防护方法，通过以下步骤实现：

S1：任意区域内的边端设备，设备具备有线、无线及文本数据交互；

S2：边端设备侧安装部署加密模块集成外置硬件，边端设备通过RJ45线与加密模块集成外置硬件连接；

S3：边、端配置信息后与加密模块集成外置硬件通信，边、端向安全接入网关发送SSAL协议报文；

S4：安全接入网关经过配置文件中的IP地址与SSAL值校证后,与发起的加密模块集成外置硬件建立加密通道；

S5：端边数据发起的报文中，报文头中加入加密报文，该报文只有先抵达安全接入网关才能解密，解密后的报上传到物联管理平台，作为优选加密算法可选用国密SM1/2/3/4系列算法。

S3和S4中，所述安全接入网关可提供多个代理模式，分别用于不同的场景模式。

所述多个代理模式分别为：SDK后台线程模式、端口代理进程模式和透明代理进程模式。

所述SDK生效使用前需要完成相应的配置，完成上述配置后可基于SDK实现访问应用，其步骤为：

S1：建立代理连接，客户端需要访问外网业务时，SDK的监听端口提供身份认证，SSAL/SSL协议提供了基于PKI体系的身份认证机制，可通用数字证书验证其基础身份；

安全接入网关基于CA证书与客户端进行双向身份认证，在客户端与服务端完成协商握手，客户端将自身数字证书信息通过加密隧道发送至安全接入网关，安全接入网关根据客户端证书确定客户端的访问白名单；

S2：数据加密，根据SDK的协议对传输数据进行加密，以SSAL协议为例，其遵循国家密码管理局关于PCI密码卡的相关技术规范，支持SM1、SM2、SM3、SM4等国密算法以及RSA、AES、3DES等多种国际标准算法，能够提供多线程、多进程并行处理的高速密码运算服务，满足其对数字签名/验证、非对称/对称加解密、数据完整性校验、真随机数生成、密钥生成和管理等功能的要求，保证敏感数据的机密性、真实性、完整性和抗抵赖性；