(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210396673.8 (22)申请日 2022.04.15 (71)申请人 国网上海能源互联网研究院有限公 司 地址 200131 上海市浦东 新区中国 （上海） 自由贸易试验区李冰路251号、 法拉第 路28号1幢4层、 5层 (72)发明人 李二霞　朱克琪　李玉凌　刘海涛　 杨红磊　张波　孙智涛　王利　 亢超群　许保平　韩子龙　樊勇华　 (74)专利代理 机构 北京工信联合知识产权代理 有限公司 1 1266 专利代理师 夏德政 (51)Int.Cl. H04L 9/40(2022.01)H04L 9/32(2006.01) H04L 9/08(2006.01) H04L 67/01(2022.01) G16Y 10/75(2020.01) G16Y 40/50(2020.01) (54)发明名称 一种基于安全防护的场域网数据交互系统 及方法 (57)摘要 本发明公开了一种基于安全防护的场域网 数据交互系统及方法。 该系统包括汇 集装置以及 末端装置， 末端装置有多个； 汇集装置包括头端 通信模块、 汇集设备 以及边端通信代理模块， 末 端装置包括末端通信模块以及末端设备； 头端通 信模块用于调用边端通信代理模块， 完成与 末端 通信模块的双向身份认证及会话密钥协商； 边端 通信代理模块用于按照预定防护策略对微应用 的负载数据进行加密、 签名以及添加时间戳， 确 定密文数据， 将密文数据发送至头端通信模块； 头端通信模块还用于将密文数据以CoAP协议格 式发送至末端通信模块； 末端通信模块用于对密 文数据进行解密、 验签以及验证时间戳， 还原为 明文数据。 对传输的数据增加了双向身份认证及 加密等安全防护措施。 权利要求书2页 说明书7页 附图3页 CN 114978591 A 2022.08.30 CN 114978591 A 1.一种基于安全防护的场域网数据交互系统， 其特征在于， 所述系统包括汇集装置以 及末端装置， 所述末端装置有 多个； 所述汇集装置包括头端通信模块、 汇集设备以及边端通信代理模块， 所述末端装置包 括末端通信模块以及末端设备； 末端通信模块用于加入以头端通信模块 为中心的网络； 头端通信模块用于调用边端通信代 理模块， 完成与末端通信模块的双向身份认证及会 话密钥协商； 边端通信代理模块用于接收汇集设备内微应用的负载数据， 按照预定防护策略对所述 微应用的负载数据进 行加密、 签名以及添加时间戳， 确定密 文数据， 将密 文数据发送至头端 通信模块； 头端通信模块还用于通过IP寻址方式， 将密文数据以CoAP协议格 式发送至末端通信模 块； 末端通信模块用于接收从所述边端通信代 理模块经头端通信模块发送的密文数据， 对 所述密文数据进行解密、 验签以及 验证时间戳， 还原 为明文数据， 将所述明文 数据转发至末 端设备。 2.根据权利要求1所述的系统， 其特 征在于， 所述末端通信模块还用于接收末端设备的末端负载数据， 按预定防护策略对所述末端 负载数据进行加密、 签名， 确定密文数据， 通过IP寻址方式， 将所述密文数据以CoAP协议格 式发送至 头端通信模块， 头端通信模块再将密文数据发送至边端通信代理模块。 3.根据权利要求2所述的系统， 其特 征在于， 所述边端通信代理模块还用于接收从末端通信模块发送的经头端通信模块转发的密 文数据， 对密 文数据进 行解密、 验签后还原为明文 数据， 将明文 数据转发至汇集装置内的微 应用。 4.根据权利要求1所述的系统， 其特 征在于， 所述头端通信模块用于向汇集装置 内微应用发送末端装置上线信 息， 向边端通信代 理 模块发送末端通信模块入网信息、 末端通信模块逻辑 地址、 IP地址 。 5.根据权利要求1所述的系统， 其特 征在于， 所述汇集装置 内微应用确定末端通信模块组网的白名单信 息， 所述白名单信 息中包含 的末端通信模块被允许加入以头端通信模块 为中心的网络 。 6.一种基于安全防护的场域网数据交 互方法， 其特 征在于， 包括： 末端通信模块加入以头端通信模块 为中心的网络； 头端通信模块调用边端通信代理模块， 完成与末端通信模块的双向身份认证及会话密 钥协商； 边端通信代理模块接收汇集装置微应用的负载数据， 按照预定防护策略对所述微应用 负载数据进 行加密、 签名以及添加时间戳， 确定密文 数据， 并将密 文数据发送给头端通信模 块； 头端通信模块 通过IP寻址方式， 将密文数据以CoAP协议格式发送至末端通信模块； 末端通信模块接收从所述边端通信代理模块经头端通信模块发送的密文数据， 对所述 密文数据进行解密、 验签以及验证时间戳后还原为明文数据， 将所述明文数据转发至末端权　利　要　求　书 1/2 页 2 CN 114978591 A 2设备。 7.根据权利要求1所述的方法， 其特 征在于， 还 包括： 末端通信模块接收末端设备的末端负载数据， 按预定防护策略对所述末端负载数据进 行加密、 签名， 确定密文数据； 通过IP寻址方式， 将所述密文数据以CoAP协议格式发送至头端通信模块， 头端通信模 块再将数据转发至边端通信代理模块。 8.根据权利要求7 所述的方法， 其特 征在于， 还 包括： 边端通信代理模块接收从末端通信模块经头端通信模块发送的密文数据， 对密文数据 进行解密、 验签后还原为明文数据； 将明文数据转发至汇集装置内微应用。 9.根据权利要求6所述的方法， 其特 征在于， 还 包括： 头端通信模块向汇集装置 内微应用发送末端装置上线信 息， 向边端通信代理模块发送 末端通信模块入网信息、 末端通信模块逻辑 地址、 IP地址 。 10.根据权利要求6所述的方法， 其特 征在于， 还 包括： 汇集装置内微应用确定末端通信模块组网的白名单信 息， 所述白名单信 息中包含的末 端通信模块被允许加入以头端通信模块 为中心的网络 。 11.根据权利要求6所述的方法， 其特征在于， 所述汇集装置及末端装置均包括硬件安 全芯片， 根据所述硬件安全芯片， 完成数据交互过程中的双向身份认证、 会话密钥协商、 数 据加解密以及签名验签。权　利　要　求　书 2/2 页 3 CN 114978591 A 3