[发明专利]一种智能网荷互动终端信息安全防护认证加密方法

权利要求书

1.一种智能网荷互动终端信息安全防护认证加密方法，包括系统主站层、远程信道层和采集设备层，分别对应设置系统主站防护模块、采集信道防护模块和采集设备防护模块；

系统主站防护模块需要应对的智能网荷互动终端信息采集系统潜在的安全风险，包含物理层面、网络层面、主机层面、应用层面和数据层面五个方面；

采集信道防护模块包括远程信道防护模块和本地信道防护模块；

采集设备防护模块在管理上加强对采集设备的安全监管，同时从技术手段上保障采集设备的安全，采用身份认证机制与数据加密措施，提高采集设备的安全防护能力。

2.根据权利要求1所述的智能网荷互动终端信息安全防护认证加密方法，其特征在于：系统主站层中，系统主站运行在专用网络上，并做好网络路由防护、网络边界防护、网络设备安全配置。

3.根据权利要求1所述的智能网荷互动终端信息安全防护认证加密方法，其特征在于：远程信道层中，远程采集信道的接入采取防火墙安全措施，当采用公用通信网络时，禁止其直接与系统内网互联，加装专用的公网接入隔离装置，保证网络故障和安全事件限制在局部区域之内；远程信道和本地信道的通信数据釆用认证加密机制，在通信两端加装数据认证加密装置，保证数据的机密性、完整性和可用性。

4.根据权利要求1所述的智能网荷互动终端信息安全防护认证加密方法，其特征在于：采集设备层中，采集设备采用身份认证机制与数据加密措施。

5.根据权利要求1所述的智能网荷互动终端信息安全防护认证加密方法，其特征在于：系统主站防护模块，具体包含主站的安全防护措施和网络边界安全防护，安全防护措施包括主机放置位置，制定统一策略区分用户和信息的访问者，为之分配不同的访问信息以及处理权限，数据库服务器有入侵检测能力和抗病毒能力，采用可靠的安全措施进行隔离；网络边界安全防护包括与营销业务应用系统接口和其它相关系统接口的安全防护，制定相应安全措施，以规范和指导用电信息采集系统与其它系统通过网络进行数据交换的安全要求。

6.根据权利要求1所述的智能网荷互动终端信息安全防护认证加密方法，其特征在于：远程信道防护模块包括GPRS接入网防护和光纤专网防护；GPRS接入网防护具体包含：

步骤一：接入VPN防火墙；

步骤二：配置路由器；

步骤三：配置RADIUS服务器；

步骤四：配置DHCP服务器；

步骤五：配备入侵检测系统；

步骤六：做好安全配置文件的备份。

7.根据权利要求1所述的智能网荷互动终端信息安全防护认证加密方法，其特征在于：本地信道防护模块包括电力信息内网防护和电力线载波防护。

8.根据权利要求7所述的智能网荷互动终端信息安全防护认证加密方法，其特征在于：电力信息内网防护具体包含：

步骤一：配置强逻辑隔离装置：在电力信息内网边界加装强逻辑隔离装置，有效控制和管理接入网与电力信息内网间的数据访问安全；

步骤二：严格按分层分域管理：电力信息内网内部，必须严格按照分层分域要求，划分独立的专用局域网络，通过网络层之间的路由器，保证域间访问安全；

步骤三：配备入侵检测系统：在网络中部署入侵检测系统对经网络传输的数据进行检测，根据网络所传输的终端地址定制入侵检测系统规则，并做好安全策略的相关配置文件的备份，以备恢复之用。

9.根据权利要求7所述的智能网荷互动终端信息安全防护认证加密方法，其特征在于：电力线载波防护则通过规范电力线载波通讯规约，采用先进的电力载波技术解决载波信号跨台变串扰问题，进行数据釆集过程中的安全控制，加强台区管理。

10.根据权利要求1所述的智能网荷互动终端信息安全防护认证加密方法，其特征在于：采集设备防护模块包括身份认证机制和数据加密措施，在采集终端和电能表侧加装采集专用安全认证加密芯片，在系统主站侧配合采集设备加装采集专用安全认证加密模块，通过硬件方式实现采集终端和电能表的安全认证机制，并对访问数据实现透明的加密和解密处理；认证加密模块的工作流程如下：

步骤一：发起端发出身份认证请求，接收端对其进行身份进行验证，验证通过则表明发起端为合法请求者，接收端回复身份认证通过的信息；否则，接收端告知身份认证失败，不接受发起端的数据访问请求；身份认证时通过检查数字证书的合法性来实现；

步骤二：发起端与接收端身份认证通过后，双方建立了互信通道并协商好进行数据访问的工作密钥；

步骤三：发起端与接收端利用协商的工作密钥对访问的重要报文进行加密，双方对收到的加密信息进行的解密和完整性验证，实现对重要信息的安全防护。