[发明专利]一种电力监控系统的云平台安全接入网关

说明书

本发明提供的电力监控系统的云平台安全接入网关，包括：数据通信层、安全协议层和密码防护层；所述数据通信层经所述安全协议层与所述密码防护层连接；其中，所述数据通信层用于实现所述网关与工控终端、云平台主站的数据通信；所述安全协议层用于对所述工控终端的网络报文进行过滤与解析后发送至所述密码防护层，对所述密码防护层的业务报文进行封装后发送至所述数据通信层；密码防护层用于对所述网关与所述工控终端、所述网关与所述云平台主站的业务通信进行安全防护。本发明提供的电力监控系统的云平台安全接入网关，能加强云平台主站与各类工业控制终端间的安全防护，保障云平台主站与工业控制终端间的安全通信。

技术领域

本发明涉及通信安全技术领域，尤其是涉及一种电力监控系统的云平台安全接入网关。

背景技术

在电力行业生产体系业务流程中，云计算平台通常需与各类工业控制终端(如发电设备、配电终端、智能电表等)建立通讯连接，收集各类业务数据并根据业务需要下达各类工业控制指令。

安全接入网关作为连接工业控制端和云计算平台的桥梁，将分散的各类工业控制终端与云计算平台连接在一起，并实现数据和指令的交互。由于工业控制终端与安全接入网关之间通常使用无线公网进行通信，在通讯过程中不免受到来自公共网络的各类攻击和威胁，甚至引发重大的电力生产事故。因此，云计算平台和工控终端间引入了专用的安全接入网关，对工控终端和云计算平台间的通信进行安全防护。

现有技术大多使用VPN等网络传输加密的方式来保障通信安全，防护能力较弱。

发明内容

本发明的目的是提供一种电力监控系统的云平台安全接入网关，以解决云平台主站与工控终端之间安全防护能力较弱的技术问题。

本发明的目的，可以通过如下技术方案实现：

一种电力监控系统的云平台安全接入网关，包括：

数据通信层、安全协议层和密码防护层；所述数据通信层经所述安全协议层与所述密码防护层连接；

其中，所述数据通信层用于实现所述网关与工控终端、云平台主站的数据通信；

所述安全协议层用于对所述工控终端的网络报文进行过滤与解析后发送至所述密码防护层，对所述密码防护层的业务报文进行封装后发送至所述数据通信层；

密码防护层用于对所述网关与所述工控终端、所述云平台主站的业务通信进行安全防护。

可选地，所述数据通信层包括链接管理模块、数据接收模块和数据发送模块；其中，所述链路管理模块用于管理多个所述工控终端与所述网关间的TCP链接，所述数据接收模块用于接收所述工控终端的数据并将所述数据发送至所述安全协议层，所述数据发送模块用于将所述安全协议层封装好的数据发送至所述工控终端。

可选地，所述安全协议层包括安全报文解析模块和安全报文封装模块；其中，所述安全报文解析模块对从所述数据通信层获取的网络报文进行过滤与解析得到加密的业务报文，将所述加密的业务报文发送至所述密码防护层；所述安全报文封装模块对从所述密码防护层获取的加密的业务报文进行封装得到安全报文，将所述安全报文发送至所述数据通信层。

可选地，密码防护层用于对所述网关与所述工控终端的业务通信进行安全防护包括：所述网关与所述工控终端根据专用的安全协议交换密钥素材和消息的签名值，并进行身份认证与密钥协商，使用协商好的密钥和密码算法对从所述密码防护层处获取的加密的业务报文进行解密，然后将解密后的业务报文发送至所述云平台主站。

可选地，密码防护层用于对所述网关与所述云平台主站的业务通信进行安全防护包括：所述网关与所述云平台主站根据专用的安全协议交换密钥素材和消息的签名值，并进行身份认证与密钥协商，使用协商好的密钥和密码算法对云平台主站的业务报文进行加密后封装成安全报文，将所述安全报文发送至所述工控终端。