無線安全路由器、配電網數據傳輸系統及其工作方法
【專利摘要】本發明提供了一種無線安全路由器、配電網數據傳輸系統及其工作方法。無線安全路由器包含控制主板、機殼，GPRS/3G無線模塊，所述控制主板上設有內存芯片及安全SOC芯片,所述無線安全路由器設有串口、USB接口、以太網口。配電網數據傳輸系包含無線安全路由器、供電局前置機、配電終端。所述無線安全路由器通過以太網口或串口連接配電終端、通過GPRS/3G無線模塊接入移動互聯專網而與供電局前置機無線連接。本發明采用具有國家商用密碼算法的安全SOC芯片實現無線GPRS/3G路由器，利用安全S0C芯片的國家商用密碼算法協處理器對配電網數據進行數據加解密處理，以較低的成本實現了配電網的數據安全。
【專利說明】無線安全路由器、配電網數據傳輸系統及其工作方法
【技術領域】
[0001]本發明適用于配電網及工業無線安全領域，涉及無線安全路由器、配電網數據傳輸系統及其工作方法。
【背景技術】
[0002]配電網主要應用IOKV變電站，直接關系到公民用電安全，主要傳輸部署在供電局的配電調度監控和數據采集系統和部署在現場的配電終端之間的通信數據，包括數據采集、報警、狀態監視、遙控等數據。所述數據均按照IEC60870-5-101或者IEC60870-5-104規約要求進行封裝。配電網一般采用工業光纖環網或GPRS/3G無線專網作為數據傳輸通道。因建設光纖環網周期過長，且受城市地理限制、成本投入太大等因數的影響，供電企業大都選擇采用GPRS/3G無線專網作為配電網主要數據傳輸網絡。配電網數據屬于關鍵數據，如果數據被篡改或偽造，將導致城市出現大面積停電事故，嚴重影響民眾生活及經濟發展。特別是采用GPRS/3G無線網絡傳輸數據，其數據很容易被劫持、篡改和偽造。
[0003]2011年電監會規定中明確提出配電網需要采用加密技術保護傳輸數據的安全。國家電網公司明確規定了在供電局前置機安裝具有國家商用密碼算法的加密卡，在配電終端運行國家商用密碼軟算法，對101/104規約進行擴展的方法已保護配電網傳輸數據的安全。
[0004]配電網數據屬于實時監控數據，對其數據的實時性有較高要求。配電終端一般采用低計算性能的CPU，國家商用密碼算法屬于高強度高密度計算，導致配電終端處理供電局前置機下發經加密處理的數據的實時性無法到達其業務本身的要求。同時需要對現場配電終端進行軟件升級已滿足安全的要求，其升級和維護工作量巨大。

【發明內容】

[0005]為解決上述問題，本發明提供了一種無線安全路由器、配電網數據傳輸系統及其工作方法。
[0006]無線安全路由器，包含控制主板、機殼，還包含GPRS/3G無線模塊，所述控制主板上設有內存芯片及安全SOC芯片，所述安全SOC芯片內部集成了國家商用密碼算法協處理器、32位RISC CPU ;所述GPRS/3G無線模塊及內存芯片與安全SOC芯片連接，所述無線安全路由器還設有串口和/或USB接口。所述無線安全路由器還設有以太網口。所述安全SOC芯片連接以太網口、串口和/或USB接口，所述GPRS/3G無線模塊連接串口或USB接口。
[0007]配電網數據傳輸系統，其特征在于，包含上所述的無線安全路由器、供電局前置機、配電終端，所述無線安全路由器通過以太網口或串口連接配電終端、通過GPRS/3G無線模塊接入移動互聯專網而與供電局前置機無線連接。
[0008]上述配電網數據傳輸系統的工作方法為:
供電局前置機下發下行數據給配電終端的流程如下:
步驟1:供電局前置機對下行數據選擇性簽名再對稱加密后發送到無線安全路由器；步驟2:無線安全路由器根據下行數據的起始字符16H判斷該下行數據是否經過驗證簽名再對稱加密處理；
步驟3:無線安全路由器對起始字符16H的下行數據進行解密后驗證簽名處理，其它數據不進行；
步驟4:無線安全路由器把下行數據通過以太網口或者串口發送給配電終端。
[0009]配電終端上報上行數據到供電局前置機的流程如下:
步驟1:配電終端上報上行數據到無線安全路由器；
步驟2:無線安全路由器判斷配電終端進行數據傳輸的規約類型；
步驟3:如為104規約，則無線安全路由器把IP數據包進行網絡地址轉換，如為101規約，則無線安全路由器與供電局前置機建立TCP連接，把上行數據封裝為TCP協議載荷；步驟4:如為101規約，無線安全路由器根據上行數據是否為遙信、遙測數據確定是否對上行數據進行重新封裝；
步驟5:無線安全路由器根據上行數據是否為遙信、遙測數據確定是否進行非對稱加密處理；
步驟6:如需要進行非對稱加密處理，則進行非對稱加密，否則不進行；
步驟7:上行數據通過移動互聯專網上傳到供電局前置機。
[0010]本發明的突出優點是:采用具有國家商用密碼算法的安全SOC芯片實現無線GPRS/3G路由器，利用安全SOC芯片的國家商用密碼算法協處理器對配電網數據進行符合《中低壓配電網自動化系統安全防護補充規定》的數據加解密處理，實現其數據安全。
【專利附圖】

【附圖說明】
[0011]圖1為無線安全路由器硬件實現方式及其所在配電系統的示意圖。
[0012]圖2為采用以太網口與配電終端進行數據傳輸的無線安全路由器的功能模塊示意圖。
[0013]圖3是采用以串口與配電終端進行數據傳輸的無線安全路由器的功能模塊示意圖。
[0014]圖4為采用本發明的無線安全路由器，供電局前置機下發下行數據到配電終端的步驟流程圖。
[0015]圖5為采用本發明的無線安全路由器，配電終端上報上行數據到供電局前置機的步驟流程圖。
【具體實施方式】
[0016]下面結合附圖對本發明做進一步的詳細說明。
[0017]首先對無線安全路由器硬件構造進行說明。
[0018]如圖1所示為硬件實現方式示意圖。該無線安全路由器，包含控制主板、機殼、GPRS/3G無線模塊，所述控制主板上設有內存芯片及安全SOC芯片，所述安全SOC芯片內部集成了國家商用密碼算法協處理器、32位RISC CPU ;所述GPRS/3G無線模塊及內存芯片與安全SOC芯片連接，所述無線安全路由器還設有串口和/或USB接口。所述無線安全路由器還設有以太網口。所述安全SOC芯片在機殼內部連接以太網口、串口和/或USB接口，所述GPRS/3G無線模塊連接串口或USB接口。
[0019]商用密碼算法的安全SoC芯片實現無線GPRS/3G路由器，國家商用密碼算法協處理器對配電網數據進行符合《中低壓配電網自動化系統安全防護補充規定》的數據加解密處理，實現其數據安全。
[0020]上述無線安全路由器可以用于配電網的數據傳輸過程中，形成一個配電網數據傳輸系統，如圖1所示。該系統包含上述的無線安全路由器、供電局前置機、及分散在各處的配電終端，所述無線安全路由器通過以太網口或串口連接配電終端、通過GPRS/3G無線模塊接入移動互聯專網與供電局前置機進行無線通信。
[0021]具體而言，即所述無線安全路由器通過串口或者以太網鏈路與后端的配電終端相連，接收配電終端上傳數據。通過GPRS/3G無線模塊接入移動互聯專網，接收供電局下發的數據。
[0022]下面對無線安全路由器的功能模塊進行說明。
[0023]所述無線安全路由器根據其與配電終端連接方式不同而分為不同的功能模塊，如圖2、3所示。
[0024]圖2是針對采用以太網口與配電終端進行數據傳輸的無線安全路由器的功能模塊不意圖。
[0025]3G/GPRS撥號模塊負責PPP撥號，使無線安全路由器接入移動互聯專網。
[0026]NAT地址轉換模塊負責對配電終端上傳的IP報文轉換為移動互聯專網的公網地址。
[0027]密碼算法引擎模塊負責調用安全SoC芯片內部的國家商用密碼算法協處理器，為規約數據安全處理模塊提供密碼算法服務。
[0028]規約數據安全處理模塊負責對101/104規約數據進行識別及進行相應的數據加解密及驗證簽名處理。
[0029]接口路由配置模塊用于實現對路由各個接口的相關硬件配置。
[0030]圖3是采用以串口與配電終端進行數據傳輸的無線安全路由器的功能示意圖。
[0031]TCP連接服務模塊負責與供電局前置機之間建立TCP連接，并把101規約數據進行TCP封裝已發送至供電局前置機。
[0032]其余模塊的功能與對圖2的描述相同。
[0033]下面對上述系統的工作方式進行詳細說明。
[0034]使用過程中，本發明的無線安全路由器設在配電終端與無線網絡之間。無線安全路由器根據其101/104規約數據的特征數據半段是否需要進行相應的非對稱加密或者解密后驗簽處理，保證在無線網絡中傳輸的數據是安全的101/104規約數據。下面對其具體工作流程做詳細介紹。。
[0035]采用本發明的無線安全路由器，供電局前置機下發的下行數據發送給配電終端的步驟流程如圖4所示。
[0036]S1:供電局前置機對下行數據選擇性簽名再對稱加密后發送到無線安全路由器。
[0037]具體為:供電局前置機下發的下行數據按照《中低壓配電網自動化系統安全防護補充規定》要求經過前置機加密模塊的簽名再對稱加密處理后通過無線網絡下發給部署在現場的無線安全路由器。[0038]S2:無線安全路由器根據下行數據的起始字符是否為16H確定該下行數據是否需要進行解密再驗證簽名處理。
[0039]如需要解密再驗證簽名處理，則S 3為:
S3:調用規約安全處理模塊對下行數據進行解密再驗證簽名處理，
具體為:規約安全處理模塊調用安全SoC芯片的國家商用密碼算法協處理器進行下行數據的對稱算法解密再SM2算法驗證簽名處理。對稱算法可為SMl或者SM4算法。
[0040]如不需要簽名處理，則不進行S 3，直接進行S 4。
[0041]S4:把數據下發給后端配電終端。
[0042]此步具體為:
如果無線安全路由器通過以太網口與配電終端相連，無線安全路由器僅對下行數據進行NAT地址轉換(網絡地址轉換)后即可通過以太網發送給配電終端。
[0043]如果無線安全路由器通過串口與配電終端相連，無線安全路由器調用TCP連接模塊還原出原有101規約數據，并通過串口發送給后端配電終端。
[0044]采用本發明的無線安全路由器，配電終端上報上行數據到供電局的前置機的步驟流程如圖5所不。
[0045]S1:配電終端上報上行數據到無線安全路由器。
[0046]S2:無線安全路由器判斷規約類型。
[0047]如果配電終端通過以太網口進行數據傳輸，則運行104規約協議；如果配電終端通過串口進行數據傳輸，則運行101規約協議。
[0048]如果配電終端通過以太網口與無線安全路由器連接，則S3?S 5為:
S3:調用NAT地址轉換模塊進行地址轉換。
[0049]S4:根據104規約的數據是否為遙信、遙測數據確定是否進行非對稱加密處理。
[0050]S5:需要則調用規約安全處理模塊實現對上行數據的加密。
[0051]如果配電終端通過串口與無線安全路由器連接，則S3?S 5為:
S3:無線安全路由器調用TCP連接模塊與供電局前置機建立TCP連接，把接收到的數據作為TCP載荷數據。
[0052]S4:根據101規約的數據是否為遙信、遙測數據確定是否按照《中低壓配電網自動化系統安全防護補充規定》對上行數據進行重新封裝，是否需要進行非對稱加密處理。
[0053]S5:需要則對新封裝格式的上行數據進行非對稱加密處理。
[0054]此步中，是調用安全SoC芯片的國家商用密碼算法協處理器對上行數據進行SM2算法加密處理。
[0055]S6:上行數據通過無線信道上傳到供電局主站。
[0056]具體數據幀格式為:
【權利要求】
1.無線安全路由器，包含控制主板、機殼，其特征在于，還包含GPRS/3G無線模塊，所述控制主板上設有內存芯片及安全SOC芯片，所述安全SOC芯片內部集成了國家商用密碼算法協處理器、32位RISC CPU ;所述GPRS/3G無線模塊及內存芯片與安全SOC芯片連接，所述無線安全路由器還設有串口和/或USB接口。
2.如權利要求1所述的無線安全路由器，其特征在于，所述無線安全路由器還設有以太網口。
3.如權利要求2述的無線安全路由器，其特征在于，所述安全SOC芯片連接以太網口、串口和/或USB接口，所述GPRS/3G無線模塊連接串口或USB接口。
4.配電網數據傳輸系統，其特征在于，包含如權利要求1或2或3所述的無線安全路由器、供電局前置機、配電終端，所述無線安全路由器通過以太網口或串口連接配電終端、通過GPRS/3G無線模塊接入移動互聯專網而與供電局前置機無線連接。
5.如權利要求4所述配電網數據傳輸系統的工作方法，其特征在于，供電局前置機下發下行數據給配電終端的流程如下:步驟1:供電局前置機通過移動互聯專網發送下行數據到無線安全路由器；步驟2:無線安全路由器根據下行數據的起始字符16H判斷該下行數據是否經過簽名后對稱加密處理；步驟3:無線安全路由器對起始字符16H的下行數據進行解密后驗證簽名處理，其它下行數據不進行； 步驟4:下行數據通過以太網口或者串口發送給配電終端。配電終端上報上行數據到供電局前置機的流程如下:步驟1:配電終端上報上行數據到無線安全路由器；步驟2:無線安全路由器判斷配電終端進行數據傳輸的規約類型；步驟3:如為104規約，則無線安全路由器把IP數據包進行網絡地址轉換，如為101規約，則無線安全路由器與供電局前置機建立TCP連接，把上行數據封裝為TCP協議載荷；步驟4:如為101規約，無線安全路由器根據上行數據是否為遙信、遙測數據確定是否對上行數據進行重新封裝；步驟5:無線安全路由器根據上行數據是否為遙信、遙測數據確定是否進行非對稱加密處理；步驟6:如需要進行非對稱加密處理，則進行非對稱加密，否則不進行；步驟7:上行數據通過移動互聯專網上傳到供電局前置機。
6.如權利要求5所述配電網數據傳輸系統的工作方法,其特征在于,供電局前置機下發下行數據給配電終端的流程的步驟4中，下行數據通過以太網口發送給配電終端前，無線安全路由器對下行數據進行網絡地址轉換；下行數據通過串口發送給配電終端前，無線安全路由器還原出原有101規約數據。
7.如權利要求5所述配電網數據傳輸系統的工作方法，其特征在于，配電終端上報上行數據到供電局前置機的流程的步驟2中，如果配電終端通過串口進行數據傳輸，則運行101規約協議；如果配電終端通過以太網口進行數據傳輸,則運行104規約協議。
8.如權利要求5或6或7所述配電網數據傳輸系統的工作方法,其特征在于，供電局前置機下發下行數據給配電終端的流程的步驟3中，利用安全SoC芯片國家商用密碼算法協處理器進行下行數據的對稱算法解密后進行SM2算法驗證簽名處理，對稱算法根據可為SMl或者SM4算法。
9.如權利要求5或6或7所述配電網數據傳輸系統的工作方法,其特征在于,配電終端上報上行數據到供電局前置機的流程的步驟6中，調用安全SoC芯片的國家商用密碼算法協處理器對上行數據 進行SM2算法加密處理。
【文檔編號】H04L9/32GK103441850SQ201310368902
【公開日】2013年12月11日 申請日期:2013年8月22日 優先權日:2013年8月22日
【發明者】傅勇 申請人:成都衛士通信息產業股份有限公司