[发明专利]利用无线公网通讯的安全防护方法

权利要求书

1.一种利用无线公网通讯的安全防护方法，其特征在于：该方法是主站采用串口电力专用协议的方式与公网网络隔离；主站与子站实现调度数字证书认证及传输加密；增设信关软件构成的安全网关；并将无线公网接收到的数据经通讯接口传输给SCADA系统；具体步骤如下: 

步骤一： RTU或综自设备的数据经通讯接口发送到子站安全网关；

步骤二：子站安全网关对接收到的数据进行签名和加密；并判断数据是否签名和加密，若是，转入步骤三；若否，则转入步骤一；

步骤三：子站安全网关向主站安全网关发送连接请求，子站安全网关与主站安全网关通过无线公网进行身份认证，若通过认证，则建立安全隧道通道，转入步骤四；若未通过认证，则转入步骤一；

步骤四：子站安全网关将安全数据通过安全隧道发送到主站安全网关；

步骤五：主站安全网关将接收到的数据进行解签名和解密，判断数据是否解签名和解密，若是，转入步骤六，若否，则转入步骤四的主站安全网关； 

步骤六：主站安全网关将安全数据发送到中心无线信关系统；

步骤七：中心无线信关系统利用通讯接口将数据发送到EMS系统前置机。

2.根据权利要求1所述的利用无线公网通讯的安全防护方法，其特征在于：所述步骤2中子站安全网关对接收到的数据进行签名和加密的作法是：对于送出的数据，将这些数据交给IP层作预处理，判断这个包是否应实施IPSec签名和加密，IPSec基本协议模块将数据包的特征提取出来与IPSec中SPD接口的选择符进行对比，找到相应的处理策略(丢弃、应用IPSec、绕过IPSec)，如果需要进行IPSec处理，在SPD中提取对应的安全连接数据库（SADB）中的信息(SAID)，并将数据交给IPSec基本协议模块接口，IPSec基本协议模块通过SAID找到SADB中对这个数据包的具体处理方法(安全协议、加密/认证算法、密钥等) 对其进行安全处理，对于需要加密或认证的数据则交由加密认证模块处理后交回IPSec基本协议模块，对其添加外部IP头后交给IP的后续模块处理，网络接口层将输出的包传给与外部相连的无线网络通讯模块。

3.根据权利要求1所述利用无线公网通讯的安全防护方法，其特征在于：步骤3中所述身份认证的方法是主站安全网关采用电力调度专用数字证书进行身份认证，对子站安全网关进行身份鉴别，同时向子站安全网关表明自己的身份，通过IKE协议双方提供自己的证书，以验证身份是否正确。

4.根据权利要求1所述利用无线公网通讯的安全防护方法，其特征在于：所述步骤5中主站安全网关将接收到的数据进行解签名和解密的方法是对于进入的数据，链路层将它交给IP协议做进入的预处理(如数据包的重组)，同时查看IP头中下一协议头字段是否为ESP头或AH头，如果是，将其交给IPSec处理模块解签名和解密，当IPSec处理完后将没有出错的包交给 IP协议做后续处理，IP层后续处理根据内部IP头中的目的地址将其交给传输层或将其交给网络接口层再转发给中心无线信关系统。

5.根据权利要求1所述利用无线公网通讯的安全防护方法，其特征在于：所述通讯接口为RS232或RS485或RS422或Ethernet。

6.根据权利要求1所述利用无线公网通讯的安全防护方法，其特征在于：所述无线公网为GPRS或CDMA。

7.根据权利要求1所述利用无线公网通讯的安全防护方法，其特征在于：步骤3、4中所述安全隧道是在主站网关和子站网关间建立的通道，经由这两个网关的数据传送均在这个通道中进行，IPSec报文要进行分段和重组操作，再经过多个安全网关才能到达安全网关后面的中心无线信关系统，所述安全隧道在网关之间是以系列的形式生成。