基于LTE网络的配用电通信系统及其通信方法.pdf

本发明公开了一种基于LTE网络的配用电通信系统及其通信方法，该方法包括：配用电终端将经会话密钥加密的通信数据发送至网络接入点设备；网络接入点设备利用会话密钥解密出通信数据，并根据L2TP隧道配置协商结果，对解密出的通信数据进行L2TP封装，并将封装生成的L2TP数据包发送至主站服务器；主站服务器根据L2TP隧道配置协商结果，从接收的L2TP数据包中解析出通信数据。其中，会话密钥是由网络接入点设备根据公钥、私钥以及密钥协商参数生成的；L2TP隧道配置协商结果是由网络接入点设备根据分别由配用电终端和主站服务器分别发送的第一和第三隧道配置参数生成的。应用本发明，可提高配用电通信系统的安全可靠性。

权利要求书1.  一种基于LTE网络的配用电通信系统的通信方法，其特征在于，包括：配用电终端向网络接入点设备发送携带有密钥协商参数的会话请求；网络接入点设备接收到所述会话请求后，根据公钥、预先存储的私钥以及所述密钥协商参数，生成会话密钥向所述配用电终端返回；配用电终端接收到所述会话密钥后，向所述网络接入点设备发送携带有经所述会话密钥加密的第一隧道配置参数的第2层隧道协议L2TP隧道建立请求；网络接入点设备接收到所述L2TP隧道建立请求，从中解析、解密出第一隧道配置参数，并从主站服务器获取第二隧道配置参数；根据第一隧道配置参数、以及第二隧道配置参数，生成L2TP隧道配置协商结果向所述主站服务器发送，并向所述配用电终端返回隧道建立成功的响应信息；配用电终端接收到所述隧道建立成功的响应信息后，将经会话密钥加密的通信数据发送至网络接入点设备；网络接入点设备利用所述会话密钥解密出通信数据，并根据所述L2TP隧道配置协商结果，对解密出的通信数据进行L2TP封装后发送至所述主站服务器；主站服务器根据所述L2TP隧道配置协商结果，从接收的L2TP数据包中解析出所述通信数据。2.  如权利要求1所述的方法，其特征在于，所述配用电终端向网络接入点设备发送携带有密钥协商参数的会话请求，具体包括：配用电终端将携带有经公钥加密的密钥协商参数的会话请求发送至网络接入点设备；以及所述网络接入点设备接收到所述会话请求后，根据公钥、预先存储的私钥以及所述密钥协商参数，生成会话密钥，具体包括：网络接入点设备从所述会话请求中解析出经公钥加密的密钥协商参数，并利用预先存储的私钥对所述经公钥加密的密钥协商参数进行解密，得到密钥协商参数；根据所述公钥、所述私钥以及所述密钥协商参数，按照预设的长期演进LTE加密算法，生成会话密钥。3.  如权利要求1所述的方法，其特征在于，所述公钥具体为所述网络接 入点设备的标识信息；以及在所述根据公钥、预先存储的私钥以及所述密钥协商参数，生成会话密钥之前，还包括：网络接入点设备接收到所述会话请求后，将其自身的标识信息发送至私钥生成器；私钥生成器接收网络接入点设备发送的标识信息，并从存储有LTE网络各接入点的标识信息的私钥库中，查找出与接收的标识信息相对应的私钥，并将查找出的私钥发送至网络接入点设备。4.  如权利要求1所述的方法，其特征在于，所述网络接入点设备接收到所述L2TP隧道建立请求，从中解析、解密出第一隧道配置参数，并从主站服务器获取第二隧道配置参数，具体包括：网络接入点设备从所述L2TP隧道建立请求中解析出经所述会话密钥加密的第一隧道配置参数后，利用所述会话密钥解密出第一隧道配置参数，并将解密出的第一隧道配置参数封装于L2TP隧道连接请求中后发送至主站服务器；主站服务器从所述L2TP隧道连接请求中解析出第一隧道配置参数，并向网络接入点设备发送携带有与所述第一隧道配置参数相对应的第二隧道配置参数的L2TP隧道连接响应信息；网络接入点设备从所述L2TP隧道连接响应信息中解析出第二隧道配置参数。5.  如权利要求1所述的方法，其特征在于，所述配用电终端接收到所述会话密钥后，在所述向所述配用电终端返回隧道建立成功的响应信息之前，还包括：配用电终端向所述网络接入点设备发送携带有经所述会话密钥加密的第三隧道配置参数的互联网安全协议IPSec隧道建立请求；网络接入点设备接收到所述IPSec隧道建立请求，从中解析、解密出第三隧道配置参数，并从主站服务器获取第四隧道配置参数；根据第三隧道配置参数、以及第四隧道配置参数，生成IPSec隧道配置协商结果向所述主站服务器发送；并在将所述L2TP隧道配置协商结果、所述IPSec隧道配置协商结果发送至 所述主站服务器后，向所述配用电终端返回隧道建立成功的响应信息；以及所述根据所述L2TP隧道配置协商结果，对解密出的通信数据进行L2TP封装后发送至所述主站服务器，具体包括：网络接入点设备根据所述L2TP隧道配置协商结果、所述IPSec隧道配置协商结果，对解密出的通信数据进行L2TP封装以及IPSec封装，并将封装生成的L2TP/IPSec数据包发送至主站服务器；以及所述主站服务器根据所述L2TP隧道配置协商结果，从接收的L2TP数据包中解析出所述通信数据，具体包括：主站服务器根据所述L2TP隧道配置协商结果和所述IPSec隧道配置协商结果，从接收的L2TP/IPSec数据包中解析出所述通信数据。6.  如权利要求5所述的方法，其特征在于，所述网络接入点设备接收到所述IPSec隧道建立请求，从中解析、解密出第三隧道配置参数，并从主站服务器获取第四隧道配置参数，具体包括：网络接入点设备从所述IPSec隧道建立请求中解析出经所述会话密钥加密的第三隧道配置参数后，利用所述会话密钥解密出第三隧道配置参数，并将解密出的第三隧道配置参数封装于IPSec隧道连接请求中后发送至主站服务器；主站服务器从所述IPSec隧道连接请求中解析出第三隧道配置参数，并向网络接入点设备发送携带有与所述第三隧道配置参数相对应的第四隧道配置参数的IPSec隧道连接响应信息；网络接入点设备从所述IPSec隧道连接响应信息中解析出第四隧道配置参数。7.  一种基于LTE网络的配用电通信系统，其特征在于，包括：配用电终端、网络接入点设备、主站服务器；其中，所述配用电终端用于向所述网络接入点设备发送携带有密钥协商参数的会话请求；从所述网络接入点设备接收到会话密钥后，向所述网络接入点设备发送携带有经所述会话密钥加密的第一隧道配置参数的L2TP隧道建立请求；从所述网络接入点设备接收到隧道建立成功的响应信息后，将经会话密钥加密的通信数据发送至所述网络接入点设备；网络接入点设备用于从所述配用电终端接收到所述会话请求后，根据公 钥、预先存储的私钥以及所述密钥协商参数，生成会话密钥并向所述配用电终端返回；从所述配用电终端接收到所述L2TP隧道建立请求，从中解析、解密出第一隧道配置参数，并从所述主站服务器获取第二隧道配置参数；根据第一隧道配置参数、以及第二隧道配置参数，生成L2TP隧道配置协商结果向所述主站服务器发送，并向所述配用电终端返回隧道建立成功的响应信息；接收到所述配用电终端发送的经会话密钥加密的通信数据后，利用所述会话密钥解密出通信数据，并根据所述L2TP隧道配置协商结果，对解密出的通信数据进行L2TP封装后发送至所述主站服务器；主站服务器用于根据所述L2TP隧道配置协商结果，从接收的L2TP数据包中解析出所述通信数据。8.  如权利要求7所述的系统，其特征在于，所述系统还包括：私钥生成器；以及所述公钥具体为所述网络接入点设备的标识信息；以及所述配用电终端具体用于将携带有经公钥加密的密钥协商参数的会话请求发送至网络接入点设备；以及所述网络接入点设备具体用于在从所述配用电终端接收到所述会话请求后，将其自身的标识信息发送至所述私钥生成器，并从所述私钥生成器接收与所述标识信息相对应的私钥；从所述会话请求中解析出经公钥加密的密钥协商参数，并利用从所述私钥生成器接收与所述标识信息相对应的私钥对所述经公钥加密的密钥协商参数进行解密，得到密钥协商参数；根据所述公钥、所述私钥以及所述密钥协商参数，按照预设的长期演进LTE加密算法，生成会话密钥；以及所述私钥生成器用于在接收到所述网络接入点设备发送的标识信息后，从存储有LTE网络各接入点的标识信息的私钥库中，查找出与接收的标识信息相对应的私钥，并将查找出的私钥发送至所述网络接入点设备。9.  如权利要求7所述的系统，其特征在于，所述网络接入点设备具体用于从所述配用电终端接收到L2TP隧道建立请求后，从所述L2TP隧道建立请求中解析出经所述会话密钥加密的第一隧道配置参数，利用所述会话密钥解密出第一隧道配置参数，并将解密出的第一隧道配置参数封装于L2TP隧道连接请求中后发送至主站服务器；从所述主站服务器接收到L2TP隧道连接响应 信息后，从所述L2TP隧道连接响应信息中解析出第二隧道配置参数；以及所述主站服务器具体用于从所述网络接入点设备接收到L2TP隧道连接请求后，从所述L2TP隧道连接请求中解析出第一隧道配置参数，并向网络接入点设备发送携带有与所述第一隧道配置参数相对应的第二隧道配置参数的L2TP隧道连接响应信息。10.  如权利要求7所述的系统，其特征在于，所述配用电终端还用于向所述网络接入点设备发送携带有经所述会话密钥加密的第三隧道配置参数的IPSec隧道建立请求；以及所述网络接入点设备还用于接收到所述配用电终端发送的所述IPSec隧道建立请求后，从中解析、解密出第三隧道配置参数，并从主站服务器获取第四隧道配置参数；根据第三隧道配置参数、以及第四隧道配置参数，生成IPSec隧道配置协商结果向所述主站服务器发送；并在将所述L2TP隧道配置协商结果、所述IPSec隧道配置协商结果发送至所述主站服务器后，向所述配用电终端返回隧道建立成功的响应信息；利用所述会话密钥对从所述配用电终端接收的经会话密钥加密的通信数据进行解密；根据所述L2TP隧道配置协商结果、所述IPSec隧道配置协商结果，对解密出的通信数据进行L2TP封装以及IPSec封装，并将封装生成的L2TP/IPSec数据包发送至主站服务器；以及主站服务器还用于根据所述L2TP隧道配置协商结果和所述IPSec隧道配置协商结果，从接收的L2TP/IPSec数据包中解析出所述通信数据。

说明书基于LTE网络的配用电通信系统及其通信方法
技术领域
本发明涉及智能电网技术领域，尤其涉及一种基于LTE网络的配用电通信系统及其通信方法。
背景技术
智能电网作为未来电网发展的方向，它是建立在集成的、高速双向通信网络的基础上实现电网的可靠、安全、经济、高效、环境友好和使用安全的目标。实际应用中，智能电网中主要包括配电业务和智能用电服务体系，可以统称为智能电网的配用电业务。其中，配电业务主要涉及电力系统中的主站对电力系统中的变电站、柱上开关、配电变压器等配电终端进行实时监测和控制；而智能用电服务体系的主要业务是电力系统中的主站对电力系统中的位于用户侧的用电终端进行业务数据采集、监测和发布；配电终端与用电终端可统称为配用电终端，配用电终端与主站之间的双向通信，对通信的实时性和可靠安全性具有很高的要求。
现有可以通过在配用电终端与主站之间部署电力系统自有的有线网络形成配用电通信系统，来实现配用电终端与主站之间的双向通信。然而，由于用电终端随低压用电线路走向分布在整个配电网络中，节点数量远大于配电终端节点数，而且还存在节点分散、部分节点难以部署有线网络的情况，导致上述配用电通信系统存在网络建设成本高、网络建设复杂度高的不足。
为了降低网络建设成本和复杂度，现有还提出了一种通过引入非电力系统自有网络的配用电通信系统，其主要包括：配用电终端、无线接入网基站、以及主站；其中，无线接入网基站主要是指2G(the second-generation wireless telephone technology，第二代手机通信技术)、3G(the3rd generation elecommunication，第3代移动通信技术)、LTE(long term evolution，长期演进)等无线接入网的基站。实际应用中，上述配用电通信系统的通信过程主要包括：配用电终端与无线接入网基站建立连接后，通过基站接入无线接入网，并与主站建立连接，进而，可以通过基站、无线接入网实现与主站之间的数据通信。然而，上述通信过程中存在无线接入网的安全问题，例如，2G网络的密钥算法易被破解，导致通信可能被窃听；3G网络由于缺少对基站的认证，可能被伪造的基站欺骗；而LTE虽有双层加密体制，即可以对基站、基 站与主站之间的传输协议进行双层加密，但是，其对非接入层的基站的加密可选，实际中可能不启用，导致配用电终端容易受到入侵、以及无线接入网共同的强制转换攻击威胁。也就是说，现有通过引入非电力系统自有网络的配用电通信系统的安全性面临很多的风险、可靠性低。
综上所述，现有的配用电通信系统存在网络建设成本高、复杂度高、以及安全性低等不足，因此，有必要提供一种能够提高电力系统中的配用电终端与主站之间的双向通信的安全可靠性的配用电通信系统。
发明内容
本发明实施例提供了一种基于LTE网络的配用电通信系统及其通信方法，用以提高配用电通信系统的安全可靠性。
根据本发明的一个方面，提供了一种基于LTE网络的配用电通信系统的通信方法，包括：
配用电终端向网络接入点设备发送携带有密钥协商参数的会话请求；
网络接入点设备接收到所述会话请求后，根据公钥、预先存储的私钥以及所述密钥协商参数，生成会话密钥向所述配用电终端返回；
配用电终端接收到所述会话密钥后，向所述网络接入点设备发送携带有经所述会话密钥加密的第一隧道配置参数的第2层隧道协议L2TP隧道建立请求；
网络接入点设备接收到所述L2TP隧道建立请求，从中解析、解密出第一隧道配置参数，并从主站服务器获取第二隧道配置参数；根据第一隧道配置参数、以及第二隧道配置参数，生成L2TP隧道配置协商结果向所述主站服务器发送，并向所述配用电终端返回隧道建立成功的响应信息；
配用电终端接收到所述隧道建立成功的响应信息后，将经会话密钥加密的通信数据发送至网络接入点设备；
网络接入点设备利用所述会话密钥解密出通信数据，并根据所述L2TP隧道配置协商结果，对解密出的通信数据进行L2TP封装后发送至所述主站服务器；
主站服务器根据所述L2TP隧道配置协商结果，从接收的L2TP数据包中解析出所述通信数据。
较佳地，所述配用电终端向网络接入点设备发送携带有密钥协商参数的会话请求，具体包括：
配用电终端将携带有经公钥加密的密钥协商参数的会话请求发送至网络 接入点设备；以及
所述网络接入点设备接收到所述会话请求后，根据公钥、预先存储的私钥以及所述密钥协商参数，生成会话密钥，具体包括：
网络接入点设备从所述会话请求中解析出经公钥加密的密钥协商参数，并利用预先存储的私钥对所述经公钥加密的密钥协商参数进行解密，得到密钥协商参数；根据所述公钥、所述私钥以及所述密钥协商参数，按照预设的长期演进LTE加密算法，生成会话密钥。
较佳地，所述公钥具体为所述网络接入点设备的标识信息；以及
在所述根据公钥、预先存储的私钥以及所述密钥协商参数，生成会话密钥之前，还包括：
网络接入点设备接收到所述会话请求后，将其自身的标识信息发送至私钥生成器；
私钥生成器接收网络接入点设备发送的标识信息，并从存储有LTE网络各接入点的标识信息的私钥库中，查找出与接收的标识信息相对应的私钥，并将查找出的私钥发送至网络接入点设备。
较佳地，所述网络接入点设备接收到所述L2TP隧道建立请求，从中解析、解密出第一隧道配置参数，并从主站服务器获取第二隧道配置参数，具体包括：
网络接入点设备从所述L2TP隧道建立请求中解析出经所述会话密钥加密的第一隧道配置参数后，利用所述会话密钥解密出第一隧道配置参数，并将解密出的第一隧道配置参数封装于L2TP隧道连接请求中后发送至主站服务器；
主站服务器从所述L2TP隧道连接请求中解析出第一隧道配置参数，并向网络接入点设备发送携带有与所述第一隧道配置参数相对应的第二隧道配置参数的L2TP隧道连接响应信息；
网络接入点设备从所述L2TP隧道连接响应信息中解析出第二隧道配置参数。
较佳地，所述配用电终端接收到所述会话密钥后，在所述向所述配用电终端返回隧道建立成功的响应信息之前，还包括：
配用电终端向所述网络接入点设备发送携带有经所述会话密钥加密的第三隧道配置参数的互联网安全协议IPSec隧道建立请求；
网络接入点设备接收到所述IPSec隧道建立请求，从中解析、解密出第三 隧道配置参数，并从主站服务器获取第四隧道配置参数；根据第三隧道配置参数、以及第四隧道配置参数，生成IPSec隧道配置协商结果向所述主站服务器发送；并
在将所述L2TP隧道配置协商结果、所述IPSec隧道配置协商结果发送至所述主站服务器后，向所述配用电终端返回隧道建立成功的响应信息；以及
所述根据所述L2TP隧道配置协商结果，对解密出的通信数据进行L2TP封装后发送至所述主站服务器，具体包括：
网络接入点设备根据所述L2TP隧道配置协商结果、所述IPSec隧道配置协商结果，对解密出的通信数据进行L2TP封装以及IPSec封装，并将封装生成的L2TP/IPSec数据包发送至主站服务器；以及
所述主站服务器根据所述L2TP隧道配置协商结果，从接收的L2TP数据包中解析出所述通信数据，具体包括：
主站服务器根据所述L2TP隧道配置协商结果和所述IPSec隧道配置协商结果，从接收的L2TP/IPSec数据包中解析出所述通信数据。
较佳地，所述网络接入点设备接收到所述IPSec隧道建立请求，从中解析、解密出第三隧道配置参数，并从主站服务器获取第四隧道配置参数，具体包括：
网络接入点设备从所述IPSec隧道建立请求中解析出经所述会话密钥加密的第三隧道配置参数后，利用所述会话密钥解密出第三隧道配置参数，并将解密出的第三隧道配置参数封装于IPSec隧道连接请求中后发送至主站服务器；
主站服务器从所述IPSec隧道连接请求中解析出第三隧道配置参数，并向网络接入点设备发送携带有与所述第三隧道配置参数相对应的第四隧道配置参数的IPSec隧道连接响应信息；
网络接入点设备从所述IPSec隧道连接响应信息中解析出第四隧道配置参数。
根据本发明的另一个方面，还提供了一种基于LTE网络的配用电通信系统，包括：配用电终端、网络接入点设备、主站服务器；其中，
所述配用电终端用于向所述网络接入点设备发送携带有密钥协商参数的会话请求；从所述网络接入点设备接收到会话密钥后，向所述网络接入点设备发送携带有经所述会话密钥加密的第一隧道配置参数的L2TP隧道建立请求；从所述网络接入点设备接收到隧道建立成功的响应信息后，将经会话密 钥加密的通信数据发送至所述网络接入点设备；
网络接入点设备用于从所述配用电终端接收到所述会话请求后，根据公钥、预先存储的私钥以及所述密钥协商参数，生成会话密钥并向所述配用电终端返回；从所述配用电终端接收到所述L2TP隧道建立请求，从中解析、解密出第一隧道配置参数，并从所述主站服务器获取第二隧道配置参数；根据第一隧道配置参数、以及第二隧道配置参数，生成L2TP隧道配置协商结果向所述主站服务器发送，并向所述配用电终端返回隧道建立成功的响应信息；接收到所述配用电终端发送的经会话密钥加密的通信数据后，利用所述会话密钥解密出通信数据，并根据所述L2TP隧道配置协商结果，对解密出的通信数据进行L2TP封装后发送至所述主站服务器；
主站服务器用于根据所述L2TP隧道配置协商结果，从接收的L2TP数据包中解析出所述通信数据。
较佳地，所述系统还包括：私钥生成器；以及
所述公钥具体为所述网络接入点设备的标识信息；以及
所述配用电终端具体用于将携带有经公钥加密的密钥协商参数的会话请求发送至网络接入点设备；以及
所述网络接入点设备具体用于在从所述配用电终端接收到所述会话请求后，将其自身的标识信息发送至所述私钥生成器，并从所述私钥生成器接收与所述标识信息相对应的私钥；从所述会话请求中解析出经公钥加密的密钥协商参数，并利用从所述私钥生成器接收与所述标识信息相对应的私钥对所述经公钥加密的密钥协商参数进行解密，得到密钥协商参数；根据所述公钥、所述私钥以及所述密钥协商参数，按照预设的长期演进LTE加密算法，生成会话密钥；以及
所述私钥生成器用于在接收到所述网络接入点设备发送的标识信息后，从存储有LTE网络各接入点的标识信息的私钥库中，查找出与接收的标识信息相对应的私钥，并将查找出的私钥发送至所述网络接入点设备。
较佳地，所述网络接入点设备具体用于从所述配用电终端接收到L2TP隧道建立请求后，从所述L2TP隧道建立请求中解析出经所述会话密钥加密的第一隧道配置参数，利用所述会话密钥解密出第一隧道配置参数，并将解密出的第一隧道配置参数封装于L2TP隧道连接请求中后发送至主站服务器；从所述主站服务器接收到L2TP隧道连接响应信息后，从所述L2TP隧道连接响应信息中解析出第二隧道配置参数；以及
所述主站服务器具体用于从所述网络接入点设备接收到L2TP隧道连接请求后，从所述L2TP隧道连接请求中解析出第一隧道配置参数，并向网络接入点设备发送携带有与所述第一隧道配置参数相对应的第二隧道配置参数的L2TP隧道连接响应信息。
较佳地，所述配用电终端还用于向所述网络接入点设备发送携带有经所述会话密钥加密的第三隧道配置参数的IPSec隧道建立请求；以及
所述网络接入点设备还用于接收到所述配用电终端发送的所述IPSec隧道建立请求后，从中解析、解密出第三隧道配置参数，并从主站服务器获取第四隧道配置参数；根据第三隧道配置参数、以及第四隧道配置参数，生成IPSec隧道配置协商结果向所述主站服务器发送；并在将所述L2TP隧道配置协商结果、所述IPSec隧道配置协商结果发送至所述主站服务器后，向所述配用电终端返回隧道建立成功的响应信息；利用所述会话密钥对从所述配用电终端接收的经会话密钥加密的通信数据进行解密；根据所述L2TP隧道配置协商结果、所述IPSec隧道配置协商结果，对解密出的通信数据进行L2TP封装以及IPSec封装，并将封装生成的L2TP/IPSec数据包发送至主站服务器；以及
主站服务器还用于根据所述L2TP隧道配置协商结果和所述IPSec隧道配置协商结果，从接收的L2TP/IPSec数据包中解析出所述通信数据。
本发明实施例的技术方案中，预先在配用电终端与网络接入点设备之间设置共享的会话密钥，保证配用电终端与网络接入点设备之间的通信安全；同时，在网络接入点设备与主站服务器之间设置L2TP隧道和IPSec隧道，对网络接入点设备与主站服务器之间传输的通信数据进行传输方式和内容上的双重加密保护，保证了网络接入点设备与主站服务器之间的通信安全。相比现有的配用电通信系统，本发明提供的通过经会话密钥加密、经L2TP隧道和IPSec隧道保护的通信数据传输通道进行通信的配用电终端系统，具有更高的安全可靠性。
附图说明
图1为本发明实施例的配用电通信系统的结构示意图；
图2为本发明实施例的共享会话密钥的方法流程示意图；
图3为本发明实施例的建立数据传输隧道的方法流程示意图；
图4为本发明实施例的配用电通信系统的通信方法流程示意图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白，以下参照附图并举出优选实施例，对本发明进一步详细说明。然而，需要说明的是，说明书中列出的许多细节仅仅是为了使读者对本发明的一个或多个方面有一个透彻的理解，即便没有这些特定的细节也可以实现本发明的这些方面。
本申请使用的“模块”、“系统”等术语旨在包括与计算机相关的实体，例如但不限于硬件、固件、软硬件组合、软件或者执行中的软件。例如，模块可以是，但并不仅限于：处理器上运行的进程、处理器、对象、可执行程序、执行的线程、程序和/或计算机。举例来说，计算设备上运行的应用程序和此计算设备都可以是模块。一个或多个模块可以位于执行中的一个进程和/或线程内。
本发明的发明人发现，导致现有配用电通信系统的安全可靠性低的主要在于缺少对基站、无线接入网的空中接口的认证和加密。因此，本发明的发明人考虑，可以在配用电终端与主站之间增设LTE网络的接入点基站，通过对接入点基站的认证、对配用电终端与该接入点基站之间的认证传输、以及在接入点基站与主站服务器之间的通过L2TP(Layer2Tunneling Protocol，第2层隧道协议)隧道配置和IPSec(Internet Protocol Security，互联网安全协议)隧道配置对传输的通信数据的传输方式和内容进行双层加密传输，以此提高配用电通信系统中配用电终端与主站之间的通信安全可靠性。
下面结合附图详细说明本发明的技术方案。
本发明实施例提供了一种基于LTE网络的配用电通信系统，如图1所示，具体可以包括：配用电终端101、网络接入点设备102、主站服务器103。
其中，配用电终端101可以向网络接入点设备102发送携带有密钥协商参数的会话请求；网络接入点设备102接收到会话请求后，可以根据公钥、预先存储的私钥以及密钥协商参数，生成会话密钥，并将生成的会话密钥向配用电终端101返回。具体地，配用电终端101可以将携带有经公钥加密的密钥协商参数的会话请求发送至网络接入点设备102。继而，网络接入点设备102可以从会话请求中解析出经公钥加密的密钥协商参数，并利用预先存储的私钥对从配用电终端101接收的经公钥加密的密钥协商参数进行解密，得到密钥协商参数；并根据公钥、私钥以及密钥协商参数，按照预设的LTE加密算法，生成会话密钥并发送至配用电终端101。其中，公钥具体为网络接入点设备102的标识信息；网络接入点设备102中的私钥是预先存储的、与其自身的标识信息相对应的信息。这样，配用电终端101与网络接入点设备102 之间就完成了密钥协商，后续配用电终端101可以通过共享的会话密钥对预上传的通信数据进行加密，保证了配用电终端101与网络接入点设备102之间的数据传输的安全性。而且，配用电终端101与网络接入点设备102之间完成密钥协商的同时，也就完成了配用电终端101与网络接入点设备102之间的认证连接，使得配用电终端101可以通过网络接入点设备102接入LTE网络；继而通过LTE网络将待上传的通信数据发送给主站服务器103。其中，LTE加密算法具体可以从LTE网络系统所允许的多个算法中自行选择。
更优地，本发明实施例的配用电通信系统中还包括：私钥生成器104。
其中，私钥生成器104用于存储LTE网络各接入点的标识信息、以及分别与各标识信息相对应的私钥。具体地，网络接入点设备102在接收到配用电终端101发送的会话请求后，将其自身的标识信息发送至私钥生成器104。这样，私钥生成器104可以在接收到网络接入点设备102发送的标识信息后，从存储有LTE网络各接入点的标识信息的私钥库中，查找出与接收的标识信息相对应的私钥，并将查找出的私钥发送至网络接入点设备102。
进一步地，配用电终端101从网络接入点设备102接收到其返回的会话密钥后，向网络接入点设备102发送携带有经会话密钥加密的第一隧道配置参数的L2TP隧道建立请求。继而，网络接入点设备102可以在接收到L2TP隧道建立请求后，从中解析、解密出第一隧道配置参数，并从主站服务器103获取第二隧道配置参数；根据第一隧道配置参数、以及第二隧道配置参数，生成L2TP隧道配置协商结果向主站服务器103发送，并向配用电终端101返回隧道建立成功的响应信息。具体地，网络接入点设备102在接收到配用电终端101发送的L2TP隧道建立请求后，可以从L2TP隧道建立请求中解析出经所述会话密钥加密的第一隧道配置参数；利用会话密钥解密出第一隧道配置参数，并将解密出的第一隧道配置参数封装于L2TP隧道连接请求中后发送至主站服务器103。主站服务器103接收网络接入点设备102发送的L2TP隧道连接请求后，从中解析出第一隧道配置参数，并根据接收的第一隧道配置参数，向网络接入点设备102发送携带有与第一隧道配置参数相对应的第二隧道配置参数的L2TP隧道连接响应信息。网络接入点设备102接收到主站服务器103发送的L2TP隧道连接响应信息后，可以从中解析出第二隧道配置参数；根据第一隧道配置参数、第二隧道配置参数，生成L2TP隧道配置协商结果；将生成的L2TP隧道配置协商结果发送至主站服务器103后，并向所述配用电终端返回隧道建立成功的响应信息。这样，就完成在LTE网络中建立网 络接入点设备102与主站服务器103之间的L2TP隧道连接。其中，第一和第二隧道配置参数具体用于对传输带宽、传输速率等参数进行限定，使得根据第一和第二隧道配置参数生成的L2TP隧道配置协商结果能够对配用电终端101与网络接入点设备102之间的数据传输方式进行控制。例如，可以将L2TP隧道配置协商结果设定为第一隧道配置参数和第二隧道配置参数中对于同一参数限定值的最小值、或最大值、或平均值。
这样，后续可以通过LTE网络中的L2TP隧道将从配用电终端101接收的通信数据按照L2TP隧道配置协商结果上传至主站服务器103。具体地，配用电通信系统中的配用电终端101从网络接入点设备102接收到其返回的隧道建立成功的响应信息后，可以将经会话密钥加密的通信数据发送至网络接入点设备102。网络接入点设备102可以在接收配用电终端101发送的经会话密钥加密的通信数据后，利用会话密钥对从配用电终端101接收的经会话密钥加密的通信数据进行解密，解密出通信数据；根据L2TP隧道配置协商结果，对解密出的通信数据进行L2TP封装，并将封装生成的L2TP数据包发送至主站服务器103。这样，主站服务器103可以根据L2TP隧道配置协商结果，对接收的L2TP数据包进行解析，从中解析出配用电终端101预上传的通信数据。
基于上述配用电通信系统，可以看出，本发明实施例中的基于LTE网络的配用电通信系统在进行通信之前，需要预先实现配用电终端与网络接入点设备之间共享会话密钥，其具体流程，如图2所示，可以包括如下步骤：
S201：配用电终端向网络接入点设备发送携带有密钥协商参数的会话请求。
具体地，配用电通信系统中的配用电终端101在通过网络接入点设备102接入LTE网络之前，可以将网络接入点设备102的标识信息作为公钥，利用公钥加密密钥协商参数，并将携带有经公钥加密的密钥协商参数的会话请求发送至网络接入点设备102。其中，网络接入点设备102具体为LTE网络的接入点；公钥具体为网络接入点设备102的标识信息。
S202：网络接入点设备接收到会话请求后，将其自身的标识信息发送至私钥生成器。
具体地，配用电通信系统中的网络接入点设备102在接收到由该系统中的配用电终端101发送的携带有经公钥加密的密钥协商参数的会话请求之后，为了解密出会话请求中的密钥协商参数，可以将自身的标识信息发送至私钥生成器104以获取私钥。
S203：私钥生成器接收网络接入点设备发送的标识信息，并从存储有LTE网络各接入点的标识信息的私钥库中，查找出与网络接入点设备的标识信息相对应的私钥并发送至网络接入点设备。
继而，配用电通信系统中的私钥生成器104可以接收网络接入点设备发送的标识信息，并从存储有LTE网络各接入点的标识信息的私钥库中，查找出与从网络接入点设备102接收的标识信息相对应的私钥，并将查找出的私钥发送至网络接入点设备102。具体地，私钥生成器104将接收的标识信息与私钥库中LTE网络各接入点的标识信息进行比较查找，从私钥库中查找出与接收的标识信息相同的标识信息，并将与该标识信息相对应的私钥发送至网络接入点设备102。其中，私钥生成器104预先针对LTE网络中的每个接入点，将该接入点的标识信息作为公钥，并为该公钥设置相应的私钥。而私钥生成器104设置一对相对应的公钥和私钥的具体实现方法，可以采用本领域技术人员所公知的技术手段，在此不再赘述。
事实上，若从私钥库中查找到与接收的标识信息相同的标识信息，则表明与该标识信息对应的网络接入点设备为LTE网络的接入点，也就是说，配用电终端101可以通过该网络接入点设备102接入LTE网络。相应地，若从私钥库中查找不到与接收的标识信息相同的标识信息，则表明网络接入点设备不是LTE网络的接入点，那么，配用电终端101可以选择其他的、属于LTE网络的接入点的网络接入点设备实现LTE网络的接入。
S204：网络接入点设备从会话请求中解析出经公钥加密的密钥协商参数，并利用私钥对经公钥加密的密钥协商参数进行解密，得到密钥协商参数；根据公钥、私钥以及密钥协商参数，生成会话密钥后发送至配用电终端。
具体地，配用电通信系统中的网络接入点设备102可以利用从私钥生成器104接收的私钥，对从配用电终端101接收的经公钥加密的密钥协商参数进行解密，得到密钥协商参数；并根据公钥(即网络接入点设备102的标识信息)、私钥以及密钥协商参数，按照预设的LTE加密算法，生成会话密钥，并将生成的会话密钥发送至从配用电终端101。例如，网络接入点设备102可以利用私钥加密产生的会话密钥，并将加密的会话密钥发送至配用电终端101；继而，配用电终端101可以利用公钥(即网络接入点设备102的标识信息)解密得到会话密钥，实现配用电终端101与网络接入点设备102之间共享会话密钥。这样，后续配用电终端101与网络接入点设备102之间的传输的数据可以利用该会话密钥进行加密解密，保证配用电终端101与网络接入 点设备102之间的通信安全。其中，LTE加密算法具体可以从LTE网络系统所允许的算法中自行选择。
基于上述配用电通信系统，还可以看出，本发明实施例中的基于LTE网络的配用电通信系统在进行通信之前，还需要预先建立网络接入点设备与主站服务器之间的数据传输隧道，其具体流程，如图3所示，可以包括如下步骤：
S301：配用电终端接收到会话密钥后，向网络接入点设备发送携带有经会话密钥加密的第一隧道配置参数的L2TP隧道建立请求。
具体地，为了能够通过网络接入点设备102，建立与主站服务器103之间的安全通信通道，配用电终端101可以对网络接入点设备与主站服务器之间待建立的数据传输隧道进行参数限定。具体地，在确定出与网络接入点设备102之间共享的会话密钥后，配用电终端101可以利用会话密钥对用于对待建立的数据传输隧道进行参数限定的第一隧道配置参数进行加密，并将携带有经会话密钥加密的第一隧道配置参数的L2TP隧道建立请求发送至网络接入点设备102。
S302：网络接入点设备从L2TP隧道建立请求中解析出经会话密钥加密的第一隧道配置参数后，利用会话密钥解密出第一隧道配置参数，并将解密出的第一隧道配置参数封装于L2TP隧道连接请求中后发送至主站服务器。
具体地，网络接入点设备102接收到配用电终端101发送的L2TP隧道建立请求后，从中解析出经会话密钥加密的第一隧道配置参数，并利用共享的会话密钥解密出第一隧道配置参数，将解密出的第一隧道配置参数封装于L2TP隧道连接请求中，并发送至主站服务器103。
S303：主站服务器从L2TP隧道连接请求中解析出第一隧道配置参数，并向网络接入点设备发送携带有与所述第一隧道配置参数相对应的第二隧道配置参数的L2TP隧道连接响应信息。
具体地，主站服务器103接收网络接入点设备102发送的L2TP隧道连接请求，从中解析出第一隧道配置参数；根据第一隧道配置参数，确定出与第一隧道配置参数相对应的第二隧道配置参数，并将确定出的第二隧道配置参数封装于L2TP隧道连接响应信息中后发送至网络接入点设备102。
S304：网络接入点设备从L2TP隧道连接响应信息中解析出第二隧道配置参数，并根据第一隧道配置参数、第二隧道配置参数，生成L2TP隧道配置协商结果后发送至主站服务器，并向配用电终端返回隧道建立成功的响应信息。
具体地，网络接入点设备102接收到主站服务器103发送的L2TP隧道连接响应信息后，根据解密出的第一隧道配置参数、以及从L2TP隧道连接响应信息中解析出的第二隧道配置参数，生成L2TP隧道配置协商结果，并将生成的L2TP隧道配置协商结果发送给主站服务器103。这样，就完成了在LTE网络中建立网络接入点设备102与主站服务器103之间的L2TP隧道连接，继而，配用电终端101可以依序通过网络接入点设备102、LTE网络、主站服务器103访问电力系统的内网。其中，根据第一和第二隧道配置参数建立L2TP隧道的具体实现方法，可以将L2TP隧道配置协商结果设定为第一隧道配置参数和第二隧道配置参数中对于同一参数限定值的最小值、或最大值、或平均值，也可以采用本领域技术人员所公知的技术手段，在此不再详述。这样，可以按照L2TP隧道配置协商结果对经过L2TP隧道传输的通信数据进行加密传输，保证了传输过程的安全可靠性。
实际应用中，在配用电通信系统中的配用电终端101将携带有经会话密钥加密的第一隧道配置参数的L2TP隧道建立请求发送至网络接入点设备102之前，还可以通过网络接入点设备102、LTE网络，将包括配用电终端的用户名和认证密码的用户认证信息发送至设置于电力系统主站的认证服务器。继而，认证服务器对接收的用户认证信息进行认证，若通过认证，则将主站服务器103的服务器地址通过LTE网络，返回至网络接入点设备102。这样，网络接入点设备102可以根据接收的地址，将携带有第一隧道配置参数的L2TP隧道连接请求发送至配用电通信系统中的主站服务器103。继而，主站服务器103对接收的L2TP隧道连接请求进行响应。
本发明的发明人发现，L2TP隧道配置协商结果本质上是一种隧道传输协议，即对网络接入点设备102与主站服务器103之间消息传输方式进行定义控制，但并没有对传输的数据进行加密保护。
因此，作为一种更优的实施方式，本发明的发明人考虑可以通过搭配其他安全协议实现传输数据的加密。例如，网络接入点设备102可以根据由配用电终端101发送的第三隧道配置参数、以及由主站服务器103发送的第四隧道配置参数，生成IPSec隧道配置协商结果，并将生成的IPSec隧道配置协商结果发送至主站服务器103。其中，第三隧道配置参数具体可以包括配用电终端101的用户名和密码、配用电终端101与网络接入点设备102之间共享的会话密钥；第四隧道配置参数具体可以包括主站服务器103的服务器地址、以及主站服务器103根据配用电终端101的用户名和密码为配用电终端101 分配的内网地址等。这样，通过根据第三和第四隧道配置参数所生成的IPSec隧道配置协商结果，可以对IPSec隧道两端的配用电终端101和主站服务器103进行身份验证的同时，还可以对两者之间传输的数据进行加密，保证了传输数据的私有性，大大提高了传输数据的安全性。
具体地，配用电终端101接收到网络接入点设备102返回的会话密钥后，除了向网络接入点设备102发送携带有经会话密钥加密的第一隧道配置参数的L2TP隧道建立请求外，还可以向网络接入点设备102发送携带有经会话密钥加密的第三隧道配置参数的IPSec隧道建立请求；网络接入点设备102接收到配用电终端101发送的IPSec隧道建立请求后，从中解析经会话密钥加密的第三隧道配置参数，并利用会话密钥解密出第三隧道配置参数，将解密出的第三隧道配置参数封装于IPSec隧道连接请求中，并将IPSec隧道连接请求发送至主站服务器103。继而，主站服务器103接收到网络接入点设备102发送的IPSec隧道连接请求后，可以从IPSec隧道连接请求中解析出第三隧道配置参数，确定出与第三隧道配置参数相对应的第四隧道配置参数；并向网络接入点设备102发送携带有第四隧道配置参数的IPSec隧道连接响应信息。这样，网络接入点设备102可以接收主站服务器103发送的IPSec隧道连接响应信息，并从IPSec隧道连接响应信息中解析出第四隧道配置参数；继而，可以根据第三隧道配置参数、以及第四隧道配置参数，生成IPSec隧道配置协商结果向主站服务器103发送。
这样，在将生成的L2TP隧道配置协商结果和IPSec隧道配置协商结果都发送至主站服务器103后，网络接入点设备102可以向配用电终端101返回隧道建立成功的响应信息。继而，配用电终端101接收到隧道建立成功的响应消息后，将经会话密钥加密的通信数据发送至网络接入点设备102。网络接入点设备102利用会话密钥对从配用电终端101接收的经会话密钥加密的通信数据进行解密，解密出通信数据；并根据L2TP隧道配置协商结果、IPSec隧道配置协商结果，对解密出的通信数据进行L2TP封装以及IPSec封装，并将封装生成的L2TP/IPSec数据包发送至主站服务器103。这样，主站服务器103可以根据L2TP隧道配置协商结果和IPSec隧道配置协商结果，从接收的L2TP/IPSec数据包中解析出所述通信数据。这样，通过L2TP隧道配置协商结果和IPSec隧道配置协商结果，可以实现对该通信数据进行加密的同时还控制了通信数据的传输方式，大大增强了网络接入点设备102与主站服务器103之间的通信安全。
基于上述配用电通信系统、预先确定出的会话密钥、L2TP隧道配置协商结果和IPSec隧道配置协商结果，本发明实施例还提供了一种基于LTE网络的配用电通信系统的通信方法，其具体流程，如图4所示，可以包括如下步骤：
S401：配用电终端向网络接入点设备发送携带有密钥协商参数的会话请求。
具体地，配用电终端101可以将携带有经公钥加密的密钥协商参数的会话请求发送至网络接入点设备102。
S402：网络接入点设备接收到会话请求后，根据公钥、预先存储的私钥以及所述密钥协商参数，生成会话密钥向配用电终端返回。
具体地，网络接入点设备102从会话请求中解析出经公钥加密的密钥协商参数，并利用预先存储的私钥对经公钥加密的密钥协商参数进行解密，得到密钥协商参数；根据公钥、私钥以及密钥协商参数，按照预设的长期演进LTE加密算法，生成会话密钥后发送至配用电终端101。关于网络接入点设备102生成会话密钥的具体实现方法，可以参照上述步骤S201-S204。
S403：配用电终端接收到会话密钥后，向网络接入点设备发送携带有经会话密钥加密的第一隧道配置参数的L2TP隧道建立请求。
具体地，配用电终端101接收到网络接入点设备102返回的会话密钥后，向网络接入点设备102发送携带有经会话密钥加密的第一隧道配置参数的L2TP隧道建立请求。
更优地，配用电终端101还可以向网络接入点设备102发送携带有经会话密钥加密的第三隧道配置参数的IPSec隧道建立请求。
S404：网络接入点设备接收到L2TP隧道建立请求，从中解析、解密出第一隧道配置参数，并从主站服务器获取第二隧道配置参数；根据第一隧道配置参数、以及第二隧道配置参数，生成L2TP隧道配置协商结果向主站服务器发送，并向配用电终端返回隧道建立成功的响应信息。
具体地，网络接入点设备102生成L2TP隧道配置协商结果的具体实现方法，可以参照上述步骤S301-S304。
更优地，网络接入点设备102接收到配用电终端101发送的IPSec隧道建立请求，从中解析、解密出第三隧道配置参数，并从主站服务器获取第四隧道配置参数；根据第三隧道配置参数、以及第四隧道配置参数，生成IPSec隧道配置协商结果向主站服务器发送；并在将L2TP隧道配置协商结果、IPSec 隧道配置协商结果发送至主站服务器103后，向配用电终端101返回隧道建立成功的响应信息。关于网络接入点设备生成IPSec隧道配置协商结果的具体实现方法，可以参照上述步骤S301-S304。
S405：配用电终端接收到隧道建立成功的响应信息后，将经会话密钥加密的通信数据发送至网络接入点设备。
具体地，配用电通信系统中的配用电终端101在接收到网络接入点设备102返回的隧道建立成功的响应信息后，可以将经会话密钥加密的通信数据发送至配用电通信系统中的网络接入点设备102。其中，会话密钥是配用电终端101与网络接入点设备102之间共享的会话密钥。
S406：网络接入点设备利用会话密钥解密出通信数据，并根据L2TP隧道配置协商结果，对解密出的通信数据进行L2TP封装后，将封装生成的L2TP数据包发送至主站服务器。
具体地，配用电通信系统中的网络接入点设备102接收由配用电终端101发送的经会话密钥加密的通信数据后，利用会话密钥解密出通信数据，并根据L2TP隧道配置协商结果，对解密出的通信数据进行L2TP封装，生成L2TP数据包，并通过LTE网络将生成的L2TP数据包发送至主站服务器103。
更优地，网络接入点设备102与主站服务器之间除了共享L2TP隧道配置协商结果外，还可以共享IPSec隧道配置协商结果，因此，网络接入点设备102还可以根据L2TP隧道配置协商结果和IPSec隧道配置协商结果，对利用所述会话密钥解密出的通信数据进行L2TP封装以及IPSec封装，生成L2TP/IPSec数据包，并将封装生成的L2TP/IPSec数据包发送至主站服务器103。
S407：主站服务器根据L2TP隧道配置协商结果，从接收的L2TP数据包中解析出通信数据。
具体地，主站服务器103通过LTE网络接收到网络接入点设备102发送的L2TP数据包后，可以根据预先从网络接入点设备102接收的L2TP隧道配置协商结果，对接收的L2TP数据包进行解析，得到配用电终端101预上传的通信数据。
更优地，主站服务器103还可以接收网络接入点设备102发送的L2TP/IPSec数据包，根据L2TP隧道配置协商结果和IPSec隧道配置协商结果，对接收的L2TP/IPSec数据包进行解析，从中解析出配用电终端101上传的通信数据
本发明的技术方案中，可以预先在配用电终端与网络接入点设备之间设置共享的会话密钥，保证配用电终端与网络接入点设备之间的通信安全；继而，在网络接入点设备与主站服务器之间设置L2TP隧道和IPSec隧道，对网络接入点设备与主站服务器之间传输的通信数据进行传输方式和内容上的双重加密保护，保证了网络接入点设备与主站服务器之间的通信安全。这样，本发明提供的通过经会话密钥加密、经L2TP隧道和IPSec隧道保护的通信数据传输通道进行通信的配用电终端系统，相比现有的配用电通信系统，具有更高的安全可靠性。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序可以存储于一计算机可读取存储介质中，如：ROM/RAM、磁碟、光盘等。
以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。