[发明专利]一种安全的配电终端及其通讯方法

权利要求书

1.一种安全的配电终端，其特征在于，所述终端包括：终端本体和设置于终端本体上的加密模块以及加密模块上内嵌的安全芯片；

所述配电终端通过网关与主站通讯连接；

所述加密模块用于：分别与网关和主站进行双重双向身份验证；还用于当验证通过后，所述终端与主站在交互业务数据时，基于密码算法对所述业务数据进行分级加解密保护；

所述安全芯片用于：为所述加密模块提供密钥。

2.如权利要求1所述的配电终端，其特征在于，所述加密模块，包括：

认证单元，用于基于设置的数据证书、密钥和报文格式对网关和主站进行身份验证；还用于在身份验证通过后，将所述数据证书设置到网关和主站中；

加解密单元，用于所述终端发送业务数据给主站时，对业务数据按照等级进行安全加密；还用于主站发送业务数据给所述终端时，对所述业务数据进行解密；

时效单元，用于设置报文的帧转发延时时间。

3.如权利要求2所述的配电终端，其特征在于，所述认证单元，包括：

第一认证子单元，用于加密模块对网关基于数字证书和非对称密码算法以及安全芯片提供的非对称密钥，进行身份验证；

第二认证子单元，用于网关对所述加密模块基于数字证书和非对称密码算法以及安全芯片提供的非对称密钥，进行身份认证；

第三认证子单元，用于所述加密模块对主站基于数字证书和摘要算法以及安全芯片提供的非对称密钥，进行身份验证；

第四认证子单元，用于主站对所述加密模块基于数字证书和摘要算法以及安全芯片提供的非对称密钥，进行身份认证。

4.如权利要求2所述的配电终端，其特征在于，所述加解密单元，包括：

一般加解密子单元，用于加密模块采用对称密码算法对终端发送给主站的业务数据进行加密，并对终端接收的业务数据进行解密；

重要加解密子单元，用于加密模块采用非对称密码算法对终端发送给主站的业务数据进行加密，并对终端接收的业务数据进行解密。

5.如权利要求2所述的方法，其特征在于，所述加密模块，还包括：

基于信息系统安全等级保护为加密模块设置通信业务协议和端口控制；

基于终端的基本运维设置运维及和运维功能，设置单线认证功能以及链路中断检测和网络状态同步功能；

基于每个终端的地址，设置所述每个加密模块对应的地址；

基于所述加密模块的运行状态设置监控。

6.如权利要求1所述的配电终端，其特征在于，当所述配电终端为箱式时，按照箱式终端的内部空间为所述加密模块设置硬件结构；

当所述配电终端为罩式时，基于原配电终端无线通信模块加入加密模块构成无线通讯板。

7.如权利要求6所述的配电终端，其特征在于，所述箱式配电终端的加密模块的硬件结构，包括：

基于通讯方式设置硬件串行外设接口；

基于箱式终端内部空间设置加密模块的外观尺寸；

基于所述串行外设接口、外观尺寸、防护等级和网口串口构成硬件结构。

8.一种主站与配电终端安全通讯方法，其特征在于，所述方法包括：

配电终端中的加密模块和安全芯片提供的密钥依次对终端与网关、终端与主站进行双重双向身份验证；

所述双重双向身份验证通过后，所述加密模块基于密码算法对所述终端与主站交互的业务数据进行分级加解密保护。

9.如权利要求8所述的方法，其特征在于，所述加密模块的应用，包括：

基于预先设置的数据证书、密钥和报文格式对网关和主站进行身份验证；

所述身份验证通过后，将所述数据证书设置到网关和主站中，所述加密模块与主站进行通讯；

所述加密模块与主站通讯后，基于所述终端与主站交互的业务数据，采用密码算法对所述业务数据进行分级安全加密，以及对主站发送给终端的业务数据进行解密；

基于身份验证、加解密的报文处理速度设置报文的帧转发延时时间。