[发明专利]一种适用于用电信息采集系统的安全隔离网关及其使用方法

权利要求书

1.一种适用于用电信息采集系统的安全隔离网关，其特征在于，所述安全隔离网关包括：

内网处理单元，其用于从隔离交换单元接收经过密码处理单元密码校验及解密处理的纯应用数据并发送至用电信息采集系统采集服务器，以及用于对采集服务器进行身份鉴别和认证，接收来自通过身份鉴别和认证的合法采集服务器的报文，对报文进行格式检查，并将通过格式检查的报文中的纯应用数据进行封装后发送至隔离交换单元；

外网处理单元，其用于对采集终端进行身份鉴别和认证，接收来自通过身份鉴别和认证的合法采集终端的报文，对报文进行格式检查，并将通过格式检查的报文中的纯应用数据进行封装后发送至隔离交换单元，以及从隔离交换单元接收经过密码处理单元密码校验及解密处理的纯应用数据并发送至用电信息采集系统采集终端；

隔离交换单元，其位于内网处理单元和外网处理单元之间，用于接收外网处理单元传输的纯应用数据，并通过密码处理单元对所述纯应用数据完成密码的协议检查、密码检验与解密后发送至内网处理单元，以及接收内网处理单元传输的纯应用数据，并通过密码处理单元对所述纯应用数据完成密码的协议检查、密码检验与解密后发送至外网处理单元，以完成内网处理单元和外网处理单元的纯应用数据的可控交换；以及

密码处理单元，其为隔离交换单元流过式处理的数据完成密码的协议检查以及提供密码检验和解密服务。

2.根据权利要求1所述的安全隔离网关，其特征在于，所述隔离交换单元包括现场可编程门阵列FPGA模块和双端口静态随机存取存储器SRAM模块，其中，FPGA模块提供控制信号以用于控制内网处理单元和外网处理单元分时互斥的访问SRAM模块，即当隔离交换单元与内网处理单元或外网处理单元中的一个处于连接状态时，与另一个的连接完全断开，双端口SRAM模块用于存储内网处理单元和外网处理单元进行交换的纯应用数据。

3.根据权利要求2所述的安全隔离网关，其特征在于，所述安全隔离网关采用红黑隔离架构的隔离交接技术，外网处理单元和内网处理单元分别包括以太网口和内存接口，其中：

外网处理单元的以太网口负责接收通过终端认证的采集终端发送的数据报文和发送隔离交换单元传输的纯应用数据至采集终端，内存接口负责在接收到隔离交换单元发出的控制信号时，将外网处理单元封装的纯应用数据发送给隔离交换单元和接收存储在隔离交换单元的双端口SRAM模块中的纯应用数据；

内网处理单元的内存接口负责在接收到隔离交换单元发出的控制信号时，接收存储在隔离交换单元的双端口SRAM模块中的纯应用数据和发送内网处理单元封装的纯应用数据至隔离交换单元，以太网口负责将内存接口接收的纯应用数据发送至采集服务器以及接收从通过身份鉴别和认证的采集服务器采集的报文。

4.根据权利要求2所述的安全隔离网关，其特征在于，所述安全隔离网关与内网处理单元和外网处理单元分别建立网络连接，通过隔离交换单元的FPGA模块使所述安全隔离开关与采集终端之间的连接终止于外网处理单元，与采集服务器之间的连接终止于内网处理单元。

5.根据权利要求1所述的安全隔离网关，其特征在于，所述安全隔离网关实行采集服务器和采集终端认证接入机制，采用对称算法和非对称算法相结合的双密码体制实现对采集服务器和采集终端的身份认证。

6.根据权利要求1所述的安全隔离网关，其特征在于，当有多个采集终端接入时，所述安全隔离网关以集群方式工作，集群内安全隔离网关间的密钥通过密钥共享服务器实现共享。

7.根据权利要求1所述的安全隔离网关，其特征在于，所述安全隔离网关采用多个密码处理单元并行工作以实现纯应用数据的加密、解密运算和密码校验。