技術領域

本發明涉及信息安全技術領域，并且更具體地，涉及一種用于用電信息采集系統的安全隔離網關。

背景技術

用電信息采集系統是居民、企業用電基礎設施中的關鍵業務系統，系統可通過對配電變壓器和終端用戶的用電數據的采集和分析，實現用電監控、推行階梯定價、負荷管理、線損分析，最終實現自動抄表、錯峰用電、用電檢查(防竊電)、負荷預測和節約用電成本等目的。

由于采集系統主站匯集了多個用戶用電信息，同時還承擔著控制用戶電表開/合閘、下發電價信息等重要工作，被定級為等級保護三級信息系統，需采取較為嚴格的邊界防護措施。目前采集系統主站根據《電力監控系統安全防護規定》(發改委【2014】14號)要求，為采集終端接入設置了營銷安全接入區，在安全接入區中部署了3A認證服務器、防火墻與入侵防御系統(Intrusion Prevention System，IPS)，具備了初步的邊界安全防護能力。但是采集系統主站與終端設備間使用專用協議交互，通用防火墻類設備缺乏對這些專用協議數據進行分析與過濾的能力，根據等級保護三級中網絡訪問控制要求，采集系統主站邊界需有技術手段對上述專用協議數據進行分析與過濾。

對用電信息采集系統而言，影響采集系統主站正常運行與篡改、偽造、重放下行控制指令真實性的兩類安全風險最為嚴重。相關信息安全事件一旦發生，將嚴重影響居民、企業的正常用電。目前，用電信息采集系統已利用密碼機與ESAM芯片對下行控制與參數設置類命令進行應用層加密保護，由于用電信息采集系統主站與終端間多采用無線網絡作為傳輸通道，網絡開放性較強，主站與終端間的通信鏈路缺乏保護措施，存在傳輸數據被截獲、偽造、篡改的風險，亟待在采集系統主站邊界的安全接入區中新增一種專用安全隔離網關，以保障用電采集系統的安全可靠運行。

發明內容

為了解決背景技術存在的問題，本發明提供一種適用于用電信息采集系統的安全隔離網關，所述安全隔離網關包括：

內網處理單元，其用于從隔離交換單元接收經過密碼處理單元密碼校驗及解密處理的純應用數據并發送至用電信息采集系統采集服務器，以及用于對采集服務器進行身份鑒別和認證，接收來自通過身份鑒別和認證的合法采集服務器的報文，對報文進行格式檢查，并將通過格式檢查的報文中的純應用數據進行封裝后發送至隔離交換單元；

外網處理單元，其用于對采集終端進行身份鑒別和認證，接收來自通過身份鑒別和認證的合法采集終端的報文，對報文進行格式檢查，并將通過格式檢查的報文中的純應用數據進行封裝后發送至隔離交換單元，以及從隔離交換單元接收經過密碼處理單元密碼校驗及解密處理的純應用數據并發送至用電信息采集系統采集終端，其中，外網處理單元接收來自采集終端的報文后，按照SAL協議報文格式進行格式檢查；

隔離交換單元，其位于內網處理單元和外網處理單元之間，用于接收外網處理單元傳輸的純應用數據，并通過密碼處理單元對所述純應用數據完成密碼的協議檢查、密碼檢驗與解密后發送至內網處理單元，以及接收內網處理單元傳輸的純應用數據，并通過密碼處理單元對所述純應用數據完成密碼的協議檢查、密碼檢驗與解密后發送至外網處理單元，以完成內網處理單元和外網處理單元的純應用數據的可控交換；以及

密碼處理單元，其為隔離交換單元流過式處理的數據完成密碼的協議檢查以及提供密碼檢驗和解密服務。

進一步地，所述隔離交換單元包括現場可編程門陣列FPGA(Field－Programmable Gate Array)模塊和雙端口靜態隨機存取存儲器SRAM(Static Random Access Memory)模塊，其中，FPGA模塊提供控制信號以用于控制內網處理單元和外網處理單元分時互斥的訪問SRAM模塊，即當隔離交換單元與內網處理單元或外網處理單元中的一個處于連接狀態時，與另一個的連接完全斷開，雙端口SRAM模塊用于存儲內網處理單元和外網處理單元進行交換的純應用數據。

進一步地，所述安全隔離網關采用紅黑隔離架構的隔離交接技術，外網處理單元和內網處理單元分別包括以太網口和內存接口，其中：

外網處理單元的以太網口負責接收通過終端認證的采集終端發送的數據報文和發送隔離交換單元傳輸的純應用數據至采集終端，內存接口負責在接收到隔離交換單元發出的控制信號時，將外網處理單元封裝的純應用數據發送給隔離交換單元和接收存儲在隔離交換單元的雙端口SRAM模塊中的純應用數據；