核电厂无线网络接入方法、系统管理平台和接入系统与流程

本发明属于核电技术领域，更具体地说，本发明涉及一种核电厂无线网络接入方法和系统。

背景技术：

为满足生产调度指挥和应急响应的需要，核电厂须设有一套无线通信系统，用于呼叫寻人和发布核应急信息，以及提供移动数据传输服务。

基于wifi系统具有传输速率高、技术成熟且应用广泛、组网灵活方便等优点，部分核电厂选用wifi技术方案来建设全厂无线通信系统，该无线通信系统系统一般由系统管理平台、网络控制器、基站和无线终端组成。

但是，与有线网络相比，无线网络面临的安全威胁更加严重，所有常规有线网络中存在的安全威胁和隐患通常都存在于无线网络中，同时无线网络传输的信息更容易被窃取、篡改和插入，无线网络也更容易受到拒绝服务攻击和干扰等。

最早进入wifi标准的加密技术名为wep(有线等效保密)，但由于该技术的加密功能过于脆弱，很快就被2003年和2004年推出的wpa(wifi网络安全存取)和wpa2技术所取代。但即使是较新的wpa2加密技术，由于普通wifi系统未实施双向加密认证，仍然在无线开放环境下存在安全性较弱的问题，无法满足核电厂对信息安全方面的高可靠性要求。

有鉴于此，确有必要提供一种安全性强、可靠性高的核电厂无线网络接入方法和系统。

技术实现要素：

本发明的目的在于：提供一种安全性强、可靠性高的核电厂无线网络接入方法和系统。

为了实现上述发明目的，本发明提供了一种核电厂无线网络接入方法，所述方法包括：

在wifi系统中设置一个身份认证ssid和至少一个业务接入ssid；

用户经身份验证登录无线终端后，所述无线终端向身份认证ssid上报终端mac地址、终端公钥和登录用户的身份信息；

根据终端mac地址、终端公钥和登录用户的身份信息验证所述无线终端身份的合法性，允许身份合法的无线终端接入到身份认证ssid；

根据所述无线终端的类别分配终端id、下一步需接入的业务接入ssid、用户密码库及索引，并使用终端公钥对上述信息加密后返回给所述无线终端；

所述无线终端接收返回的信息，使用接收到的用户密码库及索引接入到业务接入ssid，开展系统许可的各项用户业务。

作为本发明核电厂无线网络接入方法的一种改进，所述身份认证ssid通过对公用参数(如当前日期、时间或系统约定的内容)进行加密算法产生，用于对无线终端进行身份认证；业务接入ssid通过加密算法产生，用于不同类型的用户业务接入。

作为本发明核电厂无线网络接入方法的一种改进，所述身份认证ssid和业务接入ssid均定期更新，且采用隐藏方式。

作为本发明核电厂无线网络接入方法的一种改进，所述用户经身份验证登录无线终端的具体方式为指纹识别或人脸识别。

作为本发明核电厂无线网络接入方法的一种改进，所述方法还包括：对接入到身份认证ssid的无线终端的有效操作行为进行严格控制，确保所述无线终端在接入到身份认证ssid的期间只能进行身份验证相关操作，不得进行与身份验证无关的其他操作行为。

作为本发明核电厂无线网络接入方法的一种改进，所述方法还包括：为每个无线终端保留一个用户密码库，不同无线终端对应的用户密码库是不同的；定期对用户密码库进行更新，更新前与无线终端完成同步。

作为本发明核电厂无线网络接入方法的一种改进，所述方法还包括：所述无线终端连接到业务接入ssid的接入信息和开展各项用户业务时的业务交互信息均进行加密处理。

为了实现上述发明目的，本发明还提供了一种核电厂无线网络的系统管理平台，包括：

设置模块，用于在wifi系统中设置一个身份认证ssid和至少一个业务接入ssid；

判断模块，用于根据无线终端上报的终端mac地址、终端公钥和登录用户的身份信息验证所述无线终端身份的合法性，允许身份合法的无线终端接入到身份认证ssid；

控制模块，用于根据所述无线终端的类别分配终端id、下一步需接入的业务接入ssid、用户密码库及索引，并使用终端公钥对上述信息加密；

平台收发模块，用于接收无线终端向身份认证ssid上报的终端mac地址、终端公钥和登录用户的身份信息，还用于将加密后的终端id、下一步需接入的业务接入ssid、用户密码库及索引返回给无线终端。

作为本发明核电厂无线网络的系统管理平台的一种改进，所述身份认证ssid通过对公用参数(如当前日期、时间或系统约定的内容)进行加密算法产生，用于对无线终端进行身份认证；业务接入ssid通过加密算法产生，用于不同类型的用户业务接入。

作为本发明核电厂无线网络的系统管理平台的一种改进，所述身份认证ssid和业务接入ssid均定期更新，且采用隐藏方式。

作为本发明核电厂无线网络的系统管理平台的一种改进，所述控制模块还用于为每个无线终端保留一个用户密码库，不同无线终端对应的用户密码库是不同的；以及用于对用户密码库进行定期更新，更新前与无线终端完成同步。

作为本发明核电厂无线网络的系统管理平台的一种改进，所述控制模块还用于对接入到身份认证ssid的无线终端的有效操作行为进行严格控制，确保所述无线终端在接入到身份认证ssid的期间只能进行身份验证相关操作，不得进行与身份验证无关的其他操作行为。

为了实现上述发明目的，本发明还提供了一种核电厂无线网络接入系统，包括系统管理平台和无线终端，二者之间通过无线方式进行通信；

所述系统管理平台为前述任一段落中所述的系统管理平台；

所述无线终端包括：

终端收发模块，用于向身份认证ssid上报终端mac地址、终端公钥和登录用户的身份信息，还用于接收所述系统管理平台返回的终端id、下一步需接入的业务接入ssid、用户密码库及索引；

专用app，用于对登录的用户进行身份验证，以及使用接收到的用户密码库及索引接入到业务接入ssid，开展系统许可的各项用户业务。

作为本发明核电厂无线网络接入系统的一种改进，所述专用app还用于对无线终端连接到业务接入ssid的接入信息、以及开展各项用户业务时发送给系统管理平台的业务交互信息进行加密处理；所述系统管理平台的控制模块，还用于对开展各项用户业务时发送给无线终端的业务交互信息进行加密处理。

作为本发明核电厂无线网络接入系统的一种改进，所述专用app还用于以加密方式存储用户数据；所述专用app对登录的用户进行身份验证的具体方式为指纹识别或人脸识别。

与现有技术相比，本发明对普通wifi系统在身份认证和加密方面进行了技术改进，实现了双向认证过程，即终端认证系统、系统也对终端进行认证，显著提高了wifi系统的网络安全水平，提高了wifi系统抵御网络安全风险的能力。

附图说明

下面结合附图和具体实施方式，本发明核电厂无线网络接入方法和系统进行详细说明。

图1为本发明核电厂无线网络接入方法的一个较佳实施方式的流程图。

图2为本发明核电厂无线网络接入系统的一个较佳实施方式的示意图。

具体实施方式

为了使本发明的目的、技术方案及其有益技术效果更加清晰，以下结合附图和具体实施方式，对本发明进行进一步详细说明。应当理解的是，本说明书中描述的具体实施方式仅仅是为了解释本发明，并非为了限定本发明。

wifi，也可称为wi-fi，是由一个名为“无线以太网相容联盟”(weca)组织所发布的业界术语，中文译为“无线相容认证”。它是一种短程无线传输技术，能够在数百米范围内支持互联网接入的无线电信号。

请参阅图1，本发明核电厂无线网络接入方法，包括：

步骤101，在wifi系统中设置一个身份认证ssid(servicesetidentifier，服务集标识，即无线局域网的名称)和至少一个业务接入ssid。

具体地，身份认证ssid可用ssid1表示，业务接入ssid可用ssid2、…ssidn表示。

具体地，身份认证ssid通过对公用参数(如当前日期、时间或系统约定的内容)进行加密算法产生，用于对无线终端进行身份认证；业务接入ssid通过加密算法产生，用于不同类型的用户业务接入。

具体地，所述身份认证ssid和业务接入ssid均定期更新，每天或每小时更新一次。

具体地，所述身份认证ssid和业务接入ssid均采用隐藏方式，不公开显示ssid。

步骤102，用户经身份验证登录无线终端后，所述无线终端向身份认证ssid上报终端mac地址(mediacontroladdress，介质访问控制)、终端公钥和登录用户的身份信息。

具体地，所述无线终端可以是手机、笔记本电脑等无线设备。

具体地，所述用户经身份验证登录无线终端的具体方式为指纹识别或人脸识别，以确定是用户本人在使用所述无线终端。

步骤103，根据终端mac地址、终端公钥和登录用户的身份信息验证无线终端身份的合法性，允许身份合法的无线终端接入到身份认证ssid。

具体地，只有终端mac地址、终端公钥和登录用户的身份信息均符合，无线终端才会被判定为身份合法。

具体地，对于身份不合法的无线终端，拒绝接入；对于身份合法的无线终端，允许接入到身份认证ssid。

具体地，对接入到身份认证ssid的无线终端的有效操作行为进行严格控制，确保所述无线终端在接入到身份认证ssid的期间只能进行身份验证相关操作，不得进行与身份验证无关的其他操作行为。

步骤104，根据所述无线终端的类别分配终端id(身份标识)、下一步需接入的业务接入ssid、用户密码库及索引，并使用终端公钥对上述信息加密后返回给无线终端。

具体地，为每个无线终端保留一个用户密码库，不同无线终端对应的用户密码库是不同的。而且，定期对用户密码库进行更新，更新前与无线终端完成同步。

步骤105，无线终端接收返回的信息，使用接收到的用户密码库及索引接入到业务接入ssid，开展系统许可的各项用户业务。

具体地，无线终端连接到业务接入ssid的接入信息和开展各项用户业务时的业务交互信息均进行加密处理。

本发明对普通wifi系统在身份认证和加密方面进行了技术改进，实现了双向认证过程，即终端认证系统、系统也对终端进行认证，显著提高了wifi系统的网络安全水平，提高了wifi系统抵御网络安全风险的能力。

请参阅图2，本发明核电厂无线网络接入系统包括系统管理平台20和无线终端30，二者之间通过无线方式进行通信。

系统管理平台20包括设置模块201、判断模块203、控制模块205以及平台收发模块207。

设置模块201，用于在wifi系统中设置一个身份认证ssid和至少一个业务接入ssid。

具体地，身份认证ssid可用ssid1表示，业务接入ssid可用ssid2、…ssidn表示。

具体地，身份认证ssid通过对公用参数(如当前日期、时间或系统约定的内容)进行加密算法产生，用于对无线终端进行身份认证；业务接入ssid通过加密算法产生，用于不同类型的用户业务接入。

具体地，所述身份认证ssid和业务接入ssid均定期更新，每天或每小时更新一次。

具体地，所述身份认证ssid和业务接入ssid均采用隐藏方式，不公开显示ssid。

判断模块203，用于根据无线终端上报的终端mac地址、终端公钥和登录用户的身份信息验证无线终端身份的合法性，允许身份合法的无线终端接入到身份认证ssid。

具体地，对于身份不合法的无线终端，拒绝接入；对于身份合法的无线终端，允许接入到身份认证ssid。

控制模块205，用于根据所述无线终端的类别分配终端id、下一步需接入的业务接入ssid、用户密码库及索引，并使用终端公钥对上述信息加密。

具体地，控制模块205还用于为每个无线终端保留一个用户密码库，不同无线终端对应的用户密码库是不同的。而且，控制模块205还用于对用户密码库进行定期更新，更新前与无线终端完成同步。

所述控制模块205还用于对接入到身份认证ssid的无线终端的有效操作行为进行严格控制，确保所述无线终端在接入到身份认证ssid的期间只能进行身份验证相关操作，不得进行与身份验证无关的其他操作行为。

平台收发模块207，用于接收无线终端向身份认证ssid上报的终端mac地址、终端公钥和登录用户的身份信息，还用于将加密后的终端id、下一步需接入的业务接入ssid、用户密码库及索引返回给无线终端。

无线终端30包括终端收发模块301和专用app303。所述无线终端30可以是手机、笔记本电脑等无线设备。

终端收发模块301，用于向身份认证ssid上报终端mac地址、终端公钥和登录用户的身份信息，还用于接收系统管理平台20返回的终端id、下一步需接入的业务接入ssid、用户密码库及索引。

专用app303，用于对登录的用户进行身份验证，以及使用接收到的用户密码库及索引接入到业务接入ssid，开展系统许可的各项用户业务。

具体地，专用app303还用于以加密方式存储用户数据。

专用app对登录的用户进行身份验证的具体方式为指纹识别或人脸识别，以确定是用户本人在使用所述无线终端。

具体地，专用app303，还用于对无线终端连接到业务接入ssid的接入信息、以及开展各项用户业务时发送给系统管理平台的业务交互信息进行加密处理；所述系统管理平台的控制模块，还用于对开展各项用户业务时发送给无线终端的业务交互信息进行加密处理。

结合以上对本发明的详细描述可以看出，本发明对普通wifi系统在身份认证和加密方面进行了技术改进，实现了双向认证过程，即终端认证系统、系统也对终端进行认证，相对于现有技术，显著提高了wifi系统的网络安全水平，提高了wifi系统抵御网络安全风险的能力。

根据上述说明书的揭示和教导，本发明所属领域的技术人员还可以对上述实施方式进行适当的变更和修改。因此，本发明并不局限于上面揭示和描述的具体实施方式，对本发明的一些修改和变更也应当落入本发明的权利要求的保护范围内。此外，尽管本说明书中使用了一些特定的术语，但这些术语只是为了方便说明，并不对本发明构成任何限制。