配电安全通信终端的制作方法

本申请涉及电力系统安全领域，特别是涉及一种配电安全通信终端。

背景技术：

目前对电力系统的安全防护产品，都是遵循“横向隔离，纵向加密”的安全体系结构。配电自动化内部与其他系统的横向边界，采用了不同强度的安全设备进行了隔离。

目前市面上主流的纵向加密认证装置，按照性能可以划分为千兆级、百兆级、十兆级型号。对于配电终端侧业务量相对比较小的使用场景而言，如果使用上述几款设备等高功耗装置，则会存在资源浪费、使用成本高、维护不便等诸多弊端。

因此，目前的配电终端存在着性能与业务场景的业务量不匹配的问题。

技术实现要素：

基于此，有必要针对上述技术问题，提供一种配电安全通信终端，以解决目前的配电终端存在着性能与业务场景的业务量不匹配的问题。

一种配电安全通信终端，包括：

终端通信部件和密码处理部件；所述终端通信部件内置有低功耗芯片；

所述终端通信部件，用于接收报文，并调用所述密码处理部件对所述报文进行加解密处理；

所述密码处理部件，用于将加解密处理后的报文，传输至所述终端通信部件，供所述终端通信部件的低功耗芯片，对加解密处理后的报文进行报文处理。

在一个实施例中，所述终端通信部件上设置有内网口和外网口；

所述终端通信部件，用于通过所述内网口接收内网报文，并将所述内网报文传输至所述密码处理部件；

所述密码处理部件，用于对所述内网报文进行加密，得到加密内网报文，并将所述加密内网报文传输至所述终端通信部件；

所述终端通信部件，还用于通过所述外网口发送所述加密内网报文。

在一个实施例中，所述终端通信部件上设置有内网口和外网口；

所述终端通信部件，用于通过所述外网口接收外网报文，并将所述外网报文传输至所述密码处理部件；

所述密码处理部件，用于对所述外网报文进行解密，得到解密外网报文，并将所述解密外网报文传输至所述终端通信部件；

所述终端通信部件，还用于通过所述内网口发送所述解密外网报文。

在一个实施例中，所述密码处理部件，具体用于：在对所述外网报文进行解密时，对所述外网报文进行数据正确性检验，并当数据正确性检验成功时，将所述解密外网报文向后传递。

在一个实施例中，所述终端通信部件，还用于统计所述报文的数量，得到报文业务量，并根据所述报文业务量调整所述低功耗芯片的芯片工作频率。

在一个实施例中，所述终端通信部件与所述密码处理部件之间通过串行外设接口进行通讯。

在一个实施例中，所述终端通信部件，具体用于通过所述串行外设接口调用所述密码处理部件。

在一个实施例中，所述配电安全通信终端包括协议处理模块和密钥交换模块；

所述协议处理模块，用于从以太网接口截取以太网帧，并从所述以太网帧中，过滤出所述报文，供所述低功耗芯片按照预设的安全报文协议处理所述报文；

所述密钥交换模块，用于进行密钥交换协商，以得到会话密钥。

在一个实施例中，所述配电安全通信终端包括本地配置模块；

所述本地配置模块，用于通过所述串口接收用户输入数据，并根据所述用户输入数据，进行通信参数的配置。

在一个实施例中，所述配电安全通信终端包括远程管理服务器模块和系统监控模块；

所述远程管理服务器模块，用于与远程管理服务器连接，并通过所述远程管理服务器模块进行配置下发和升级处理；

所述系统监控模块，用于监控所述配电安全通信终端的运行状态，并在所述配电安全通信终端的运行状态异常时，将所述配电安全通信终端的运行状态恢复

上述配电安全通信终端，配电安全通信终端分为终端通信部件和密码处理部件两个部件，终端通信部件内置低功耗芯片，终端通信部件用于接收报文，并调用密码处理部件对报文进行加解密处理，而密码处理部件用于将加解密处理后的报文传输至终端通信部件，供终端通信部件的低功耗芯片对加解密处理后的报文进行报文处理，由此，在满足业务量需求的同时，实现了配电安全通信终端的小型化、轻量化和低功耗，适用于业务量较小的配电安全防护场景。

附图说明

图1是一个实施例的一种配电安全通信终端的结构框图；

图2是一个实施例的一种配电安全通信终端的具体结构示意图；

图3a是一个实施例的一种基于内外网口的报文流向示意图之一；

图3b是一个实施例的一种基于内外网口的报文流向示意图之二；

图4是一个实施例的一种配电安全通信终端中的模块关系示意图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

在一个实施例中，如图1所示，提供了一种配电安全通信终端100，配电安全通信终端100可以包括终端通信部件110和密码处理部件120；

终端通信部件110内置有低功耗芯片111；

终端通信部件110，用于接收报文，并调用密码处理部件120对报文进行加解密处理；

密码处理部件120，用于将加解密处理后的报文，传输至终端通信部件110，供终端通信部件110的低功耗芯片111，对加解密处理后的报文进行报文处理。

本申请实施例提供的配电安全通信终端100，可以包括有终端通信部件110和密码处理部件120两个部件。其中，终端通信部件110主要用于接收报文和处理报文。终端通信部件110内置单核的低功耗芯片111，由该低功耗芯片111集中进行报文处理。相应地，报文的加密、解密处理，则由密码处理部件120进行，使得低功耗芯片无须进行报文的加密、解密处理，符合低功耗芯片的功耗特点。

更具体地，当需要对报文进行加密、解密处理时，终端通信部件110将报文传输至密码处理部件120，并调用密码处理部件120进行加密、解密处理，密码处理部件120被调用时，根据需要对报文进行加密、解密处理，并将加密、解密处理后的报文，传输至终端通信部件110，供终端通信部件110的低功耗芯片111，对报文进行报文处理。

由此，针对于业务量较小的应用场景，通过低功耗芯片111进行报文处理，并通过密码处理部件120进行加解密处理，由于配电安全通信终端100的芯片为低功耗芯片，在满足业务量需求的同时，实现了配电安全通信终端的小型化、轻量化和低功耗，适用于业务量较小的业务场景，如配电安全防护场景。

图2是一个实施例的一种配电安全通信终端的具体结构示意图。如图所示，配电安全通信终端包括终端通信部件和密码处理部件，其中，终端通信部件内置有低功耗芯片，密码处理部件内置有算法芯片。低功耗芯片通过spi(spi，serialperipheralinterface)接口通讯。终端通信部件通过flash(一种存储器)闪存和ddr3ram(randomaccessmemory，随机存取存储器)实现存储功能。配电安全通信终端上还设置有串口和usbkey，以进行用户交互。配电安全通信终端上设置有网口1和网口2，以用于报文的收发。

根据本申请实施例提供的配电安全通信终端，配电安全通信终端分为终端通信部件和密码处理部件两个部件，终端通信部件内置低功耗芯片，终端通信部件用于接收报文，并调用密码处理部件对报文进行加解密处理，而密码处理部件用于将加解密处理后的报文传输至终端通信部件，供终端通信部件的低功耗芯片对加解密处理后的报文进行报文处理，由此，在满足业务量需求的同时，实现了配电安全通信终端的小型化、轻量化和低功耗，适用于业务量较小的配电安全防护场景。

在另一个实施例中，终端通信部件110上设置有内网口和外网口；

终端通信部件110，用于通过内网口接收内网报文，并将内网报文传输至密码处理部件120；

密码处理部件120，用于对内网报文进行加密，得到加密内网报文，并将加密内网报文传输至终端通信部件110；

终端通信部件110，还用于通过外网口发送加密内网报文。

图3a是一个实施例的一种基于内外网口的报文流向示意图之一。该图示出了配电安全通信终端100与外部设备进行数据交互的流程。首先，终端通信部件110通过内网口接收内网设备发送的报文，得到内网报文。终端通信部件110将内网报文传输至密码处理部件120，并调用密码处理部件120进行加密处理。密码处理部件120对内网报文进行加密，得到加密内网报文，并将加密内网报文返回至终端通信部件110，终端通信部件110得到加密内网报文之后，通过外网口，将加密内网报文发送至外网设备。

实际应用中，可以首先对内网报文进行cbc(cipher-blockchaining，密码分组链接)加密，一次处理16字节。当进行完4次处理之后，向后级描述符缓冲区，写入启动hmac(hash-basedmessageauthenticationcode，哈希运算消息认证码)处理的命令，sm3(一种密码散列函数标准)收到启动命令后，开始进行hmac处理，所有数据需要的填充则可以在软件部分实现。

在另一个实施例中，终端通信部件110上设置有内网口和外网口；

终端通信部件110，用于通过外网口接收外网报文，并将外网报文传输至密码处理部件120；

密码处理部件120，用于对外网报文进行解密，得到解密外网报文，并将解密外网报文传输至终端通信部件110；

终端通信部件110，还用于通过内网口发送解密外网报文。

图3b是一个实施例的一种基于内外网口的报文流向示意图之二，该图示出了配电安全通信终端100与外部设备进行数据交互的流程。首先，终端通信部件110通过外网口接收外网设备发送的报文，得到外网报文。终端通信部件110将外网报文传输至密码处理部件120，并调用密码处理部件120进行解密处理。密码处理部件120对外网报文进行解密，得到解密外网报文，并将解密外网报文返回至终端通信部件110，终端通信部件110得到解密外网报文之后，通过内网口，将解密外网报文发送至内网设备。

在另一个实施例中，密码处理部件120具体用于：在对外网报文进行解密时，对外网报文进行数据正确性检验，并当数据正确性检验成功时，将解密外网报文向后传递。

具体实现中，密码处理部件120在对外网报文进行解密的同时，可以并行地对外网报文进行数据正确性检验，若数据正确性检验成功时，在解密完成之后，将解密外网报文向后传递，直至传输至终端通信部件110。若数据正确性检验失败，则将外网报文丢弃，不再进行解密。

实际应用中，解密的具体方式可以为cbc解密。数据正确性检验的具体方式可以为hmac处理。

需要说明的是，由于cbc解密并不需要等待hmac处理的结果，因此，可以将外网报文分成两份，一份进行cbc解密，另一份进行hmac处理。通过并行解密的方式，无须等待hmac处理后再进行cbc解密，节省了处理时间，有效降低配电安全通信终端100的功耗。

根据本申请实施例提供的技术方案，密码处理部件在对外网报文进行解密的同时，可以并行地对外网报文进行数据正确性检验，若数据正确性检验成功时，在解密完成之后，将解密外网报文向后传递，从而无须等待校验处理后再进行解密，节省了处理时间，有效降低配电安全通信终端的功耗。

在另一个实施例中，终端通信部件110，还用于统计报文的数量，得到报文业务量，并根据报文业务量调整低功耗芯片111的芯片工作频率。

终端通信部件110可以通过低功耗芯片111统计报文的数量，得到报文业务量，当报文业务量大于预设阈值时，相应升高低功耗芯片111的芯片工作频率，当报文业务量小于预设阈值时，相应降低低功耗芯片111的芯片工作频率。

根据本申请实施例提供的技术方案，配电安全通信终端的终端通信部件可以根据当前的业务量相应调整低功耗芯片的芯片工作频率，避免在业务量较小时仍然采用较高的工作频率、浪费了配电安全通信终端的功耗。

在另一个实施例中，终端通信部件110与密码处理部件120之间通过串行外设接口进行通讯。

参考图2，终端通信部件110与密码处理部件120之间可以通过串行外设接口spi连接，从而可以通过串行外设接口spi进行通讯。

在另一个实施例中，终端通信部件110，具体用于通过串行外设接口调用密码处理部件120。

在调用密码处理部件120时，可以通过串行外设接口发送调用指令，密码处理部件120则作为终端通信部件110的外设设备被调用。

在另一个实施例中，配电安全通信终端100包括协议处理模块和密钥交换模块；

协议处理模块，用于从以太网接口截取以太网帧，并从以太网帧中，过滤出报文，供低功耗芯片按照预设的安全报文协议处理报文；

密钥交换模块，用于进行密钥交换协商，以得到会话密钥。

配电安全通信终端100可以包括有协议处理模块和密钥交换模块。配电安全通信终端100的协议处理模块，可以具体为ipsec(internetprotocolsecurity，网络安全协议)协议处理模块，具体用于从以太网接口截取以太网帧，并从以太网帧中过滤出报文，供低功耗芯片按照预设的安全报文协议(如ipsec协议)处理报文。配电安全通信终端100的密钥交换模块，则可以用于进行同步的密钥交换，完成密钥交换协议的两个阶段，以最终得到会话密钥。

在另一个实施例中，配电安全通信终端100包括本地配置模块；

本地配置模块，可以用于通过串口接收用户输入数据，并根据所述用户输入数据，进行通信参数的配置。

配电安全通信终端100的本地配置模块可以用于用户交互。具体地，本地配置模块可以通过串口接收用户输入数据，并根据用户输入数据，进行通信参数的配置，并显示处理结果。用户可以查看配电安全通信终端100的各项运行信息。

实际应用中，用户在使用配电安全通信终端100前，可以插入usbkey并输入正确的口令，登录进入后方可进行配置操作，从而防止对配电安全通信终端100进行非法的配置操作。

在另一个实施例中，配电安全通信终端100包括远程管理服务器模块和系统监控模块；

远程管理服务器模块，用于与远程管理服务器连接，并通过远程管理服务器模块进行配置下发和升级处理；

系统监控模块，用于监控配电安全通信终端的运行状态，并在配电安全通信终端的运行状态异常时，将配电安全通信终端的运行状态恢复。

配电安全通信终端100的远程管理服务器模块，可以用于连接管理中心的远程管理服务器，供远程管理服务器通过远程管理服务器模块，对配电安全通信终端进行配置下发和升级处理。从而，实现对全网的配电安全通信终端100的统一管理。

配电安全通信终端100的系统监控模块，则负责检测整机软件的完整性，其可以监控本地配置模块、远程管理服务器模块、密钥交换模块等模块，在本地配置模块、远程管理服务器模块、密钥交换模块等模块存在故障(宕机等故障)、导致配电安全通信终端的运行状态异常时，将故障的模块挂起，使得配电安全通信终端的运行状态恢复。

图4是一个实施例的一种配电安全通信终端中的模块关系示意图。如图所示，本地配置模块用于与用户进行交互，远程管理服务器模块用于与管理中心的远程管理服务器交互，密钥交换模块用于与外部设备通信时进行密钥同步交互。系统监控模块则对本地配置模块、远程管理服务器模块、密钥交换模块等模块进行监控。其中，本地配置模块、远程管理服务器模块、密钥交换模块之间也存在内部的数据交互。

实际应用中，在设计应用层时，应用层的程序可以合并，将多核的代码模块，全部移植至单核的低功耗芯片。应用层和密码处理部件120之间的数据传输，可以通过内核的应用层传输模块guard实现，以减少对密码处理部件120的调用时间，降低配电安全通信终端100的功耗。其中，应用层传输模块guard的模块代码也可以进行合并，以完成报文的策略匹配、esp(encapsulatesecuritypayload，封装安全载荷)封装、管理报文转发以及密码处理部件120的算法芯片的调用。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦除可编程rom(eeprom)或闪存。易失性存储器可包括随机存取存储器(ram)或者外部高速缓冲存储器。作为说明而非局限，ram以多种形式可得，诸如静态ram(sram)、动态ram(dram)、同步dram(sdram)、双数据率sdram(ddrsdram)、增强型sdram(esdram)、同步链路(synchlink)dram(sldram)、存储器总线(rambus)直接ram(rdram)、直接存储器总线动态ram(drdram)、以及存储器总线动态ram(rdram)等。

以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。