电力物联网的访问控制方法、装置、设备及存储介质与流程

1.本发明涉及物联网通信技术领域，尤其涉及一种电力物联网的访问控制方法、装置、设备及存储介质。


背景技术：

2.在电力行业领域中，大量智能感知设备普遍应用于发电、输电、变电、配电、用电等电网运行过程。为了保证大量智能感知设备正常工作和信息上报的准确性，所以需要对电力物联网进行安全防护。
3.目前，针对物联网的安全防护主要有基于操作系统和软件密码机的安全防护方法。其中，操作系统通信框架的ipv4仅有包检验，且算法公开，无密钥参与，容易被侦听、解密和篡改。软件密码机需要密钥管理系统介入，特别是首次通信认证和密钥交换都需要符合密码管理规范，适用于有人参与的保密通信，不适用于设备间加密通信。


技术实现要素：

4.本发明提供了一种电力物联网的访问控制方法、装置、设备及存储介质，以解决当前针对电力物联网的安全防护存在安全性不足的技术问题。
5.为了解决上述技术问题，第一方面，本发明提供了一种电力物联网的访问控制方法，应用于计算机设备，计算机设备用于代理电力物联网应用设备，计算机设备设有网卡驱动，方法包括：
6.基于网卡驱动，拦截电力物联网应用设备的通信请求包；
7.基于预设访问控制策略，对通信请求包进行解析，得到通信请求包的信源id；
8.根据信源id，对通信请求包的请求内容进行验证；
9.若请求内容验证通过，则对通信请求包进行明文重组，得到通信明文信息，通信明文信息用于被其他电力物联网应用设备读取。
10.本发明通过在代理电力物联网应用设备(即智能感知设备)的计算机设备安装网卡驱动，并基于网卡驱动，拦截电力物联网应用设备的通信请求包，以对电力物理应用设备网络通信进行访问控制；并基于预设访问控制策略，对通信请求包进行解析，得到通信请求包的信源id，以及根据信源id，对通信请求包的请求内容进行验证，从而网卡驱动层面，实现设备级的网络访问控制和面向应用的透明通信认证，提高电力物联网的安全性；最后若请求内容验证通过，则对通信请求包进行明文重组，得到通信明文信息，从而使通信明文信息在电力物联网内流转，实现贯彻中央服务器和分中心服务器的访问控制策略。
11.作为优选，根据信源id，对通信请求包的请求内容进行验证，包括：
12.访问本地分中心服务器，读取本地分中心服务器的轻型目录访问协议ldap树；
13.若ldap树中存在信源id，则从本地分中心服务器中查询信源id的信源公钥；
14.基于信源公钥，对通信请求包的请求内容进行验证。
15.作为优选，基于信源公钥，对通信请求包的请求内容进行验证，包括：
16.利用信源公钥，对通信请求包进行解密，得到通信请求包的请求内容；
17.对请求内容进行内容验证。
18.作为优选，访问本地分中心服务器，读取本地分中心服务器的轻型目录访问协议ldap树之后，还包括：
19.若ldap树不存在信源id，则访问本地分中心服务器的上级分中心服务器，读取上级分中心服务器中与信源id对应的信源公钥。
20.作为优选，访问本地分中心服务器的上级分中心服务器，读取上级分中心服务器中与信源id对应的信源公钥，包括：
21.访问本地分中心服务器的通信寻址接口，查询上级分中心服务器的通信地址；
22.基于通信地址，访问上级分中心服务器，读取上级分中心服务器中与信源id对应的信源公钥。
23.作为优选，若请求内容验证通过，则对通信请求包进行明文重组，得到通信明文信息之后，还包括：
24.将通信明文信息转发至本地分中心服务器的虚拟网卡，其他电力物联网应用设备从虚拟网卡读取通信明文信息。
25.作为优选，基于预设访问控制策略，对通信请求包进行解析，得到通信请求包的信源id之前，还包括：
26.访问上级分中心服务器，读取上级分中心服务器中的预设访问控制策略；
27.对预设访问控制策略进行本地化存储。
28.第二方面，本发明提供一种电力物联网的访问控制装置，搭载于计算机设备，计算机设备用于代理电力物联网应用设备，计算机设备设有网卡驱动，装置包括：
29.拦截模块，用于基于网卡驱动，拦截电力物联网应用设备的通信请求包；
30.解析模块，用于基于预设访问控制策略，对通信请求包进行解析，得到通信请求包的信源id；
31.验证模块，用于根据信源id，对通信请求包的请求内容进行验证；
32.重组模块，用于若请求内容验证通过，则对通信请求包进行明文重组，得到通信明文信息，通信明文信息用于被其他电力物联网应用设备读取。
33.第三方面，本发明提供一种计算机设备，包括处理器和存储器，存储器用于存储计算机程序，计算机程序被处理器执行时实现如第一方面的电力物联网的访问控制方法。
34.第四方面，本发明提供一种计算机可读存储介质，其存储有计算机程序，计算机程序被处理器执行时实现如第一方面的电力物联网的访问控制方法。
35.需要说明的是，上述第二方面至第四方面的有益效果请参见上述第一方面的相关描述，在此不再赘述。
附图说明
36.图1为本发明实施例示出的电力物联网的访问控制方法的流程示意图；
37.图2为本发明实施例示出的电力物联网的结构示意图；
38.图3为本发明实施例示出的电力物联网的访问控制装置的结构示意图；
39.图4为本发明实施例示出的计算机设备的结构示意图。
具体实施方式
40.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
41.如相关技术记载，针对物联网的安全防护主要有基于操作系统和软件密码机的安全防护方法。其中，操作系统通信框架的ipv4仅有包检验，且算法公开，无密钥参与，容易被侦听、解密和篡改。软件密码机需要密钥管理系统介入，特别是首次通信认证和密钥交换都需要符合密码管理规范，适用于有人参与的保密通信，不适用于设备间加密通信。
42.为此，本发明实施例提供一种电力物联网的访问控制方法，通过在代理电力物联网应用设备的计算机设备安装网卡驱动，并基于网卡驱动，拦截电力物联网应用设备的通信请求包，以对电力物理应用设备网络通信进行访问控制；并基于预设访问控制策略，对通信请求包进行解析，得到通信请求包的信源id，以及根据信源id，对通信请求包的请求内容进行验证，从网卡驱动层面，实现设备级的网络访问控制和面向应用的透明通信认证，提高电力物联网的安全性；最后若请求内容验证通过，则对通信请求包进行明文重组，得到通信明文信息，从而使通信明文信息在电力物联网内流转，实现贯彻中央服务器和分中心服务器的访问控制策略。
43.请参照图1，图1为本发明实施例提供的一种电力物联网的访问控制方法的流程示意图。本发明实施例的电力物联网的访问控制方法可应用于计算机设备，该计算机设备设有网卡驱动，该计算机设备包括但不限于智能手机、笔记本电脑、平板电脑、桌上型计算机、物理服务器和云服务器等设备。图2示出了本发明实施例提供的电力物联网的结构示意图，如图2所示，计算机设备用于代理电力物联网应用设备，计算机设备与本地分中心服务器和上级分中心服务器通信连接。如图1所示，本实施例的电力物联网的访问控制方法包括步骤s101至步骤s104，详述如下：
44.步骤s101，基于所述网卡驱动，拦截电力物联网应用设备的通信请求包。
45.在本步骤中，计算机设备上的网卡驱动在接收到电力物联网应用设备的通信请求后，拦截该通信请求的通信请求包，该通信请求包为数据包。
46.步骤s102，基于预设访问控制策略，对所述通信请求包进行解析，得到所述通信请求包的信源id。
47.在本步骤中，访问控制策略为对网卡驱动拦截到的通信请求包进行数据解析、验证、提取和数据包重组的数据处理逻辑，其可以由上级分中心服务器制定，访问控制策略从上级分中心服务器获得，并进行本地化存储。具体地，访问上级分中心服务器，读取所述上级分中心服务器中的预设访问控制策略；对所述预设访问控制策略进行本地化存储。
48.可选地，访问控制策略建立在网卡驱动拦截的基础上，对通信请求包的五元组进行解析，得到信源id，信源id包括但不限于信源ip地址和信源端口等。
49.步骤s103，根据所述信源id，对所述通信请求包的请求内容进行验证。
50.在本步骤中，验证可以是对请求内容的完整性和合法性等信息进行验证，若请求内容符合完整性和合法性等要求，则判定请求内容验证通过。
51.步骤s104，若所述请求内容验证通过，则对所述通信请求包进行明文重组，得到通
信明文信息，所述通信明文信息用于被其他电力物联网应用设备读取。
52.在本步骤中，通信明文信息能够在电力物联网通过传输，以保证在电力物联网内部的通信流畅。本发明通过基于网卡驱动层面的拦截、信息提取和重组包，实现应用系统无感的透明加解密，提高了电力物联网的通信安全性。
53.在一实施例中，在图1所示实施例的基础上，所述步骤s101，包括：
54.访问本地分中心服务器，读取所述本地分中心服务器的轻型目录访问协议ldap树；
55.若所述ldap树中存在所述信源id，则从所述本地分中心服务器中查询所述信源id的信源公钥；
56.基于所述信源公钥，对所述通信请求包的请求内容进行验证。
57.在本实施例中，可通过管理界面设定的分中心公钥和分中心ip地址，建立与分中心的网络连接，读取分中心的ldap树和通信寻址接口，与分中心建立连接后，可使得本计算机设备的软件代理纳入到整体安全可信网络之中。
58.可选地，基于所述信源公钥，对所述通信请求包的请求内容进行验证，包括：利用所述信源公钥，对所述通信请求包进行解密，得到所述通信请求包的请求内容；对所述请求内容进行内容验证。
59.在本可选实施例中，在通信请求包发送前，利用电力物联网应用设备私钥对通信请求包进行加密，所以需要利用对应公钥进行解密，以提高电力物联网的通信安全性。同时，因为解密操作对性能要求较高，预设访问控制策略的存在可使得整个代理具有较强的防御dos/ddos攻击的能力。
60.在一实施例中，在图1所示实施例的基础上，所述访问所述本地分中心服务器，读取所述本地分中心服务器的轻型目录访问协议ldap树之后，还包括：
61.若所述ldap树不存在所述信源id，则访问所述本地分中心服务器的上级分中心服务器，读取所述上级分中心服务器中与所述信源id对应的信源公钥。
62.在本实施例中，信源公钥预设存储于上级分中心服务器，所以通过向上寻址功能，以查询信源公钥。可选地，访问所述本地分中心服务器的通信寻址接口，查询所述上级分中心服务器的通信地址；基于所述通信地址，访问所述上级分中心服务器，读取所述上级分中心服务器中与所述信源id对应的信源公钥。
63.在一实施例中，在图1所示实施例的基础上，所述步骤s104之后，还包括：
64.将所述通信明文信息转发至本地分中心服务器的虚拟网卡，所述其他电力物联网应用设备从所述虚拟网卡读取所述通信明文信息。
65.在本实施例中，通过将通信明文信息发送至虚拟网卡，以能够对读取通信明文信息的其他电力物联网应用设备按照类似上述步骤s101至s103的通信验证方式进行通信验证，进一步保证电力物联网内部的通信安全性。
66.为了执行上述方法实施例对应的电力物联网的访问控制方法，以实现相应的功能和技术效果。参见图3，图3示出了本发明实施例提供的一种电力物联网的访问控制装置的结构框图。为了便于说明，仅示出了与本实施例相关的部分，本发明实施例提供的电力物联网的访问控制装置搭载于计算机设备，所述计算机设备用于代理电力物联网应用设备，所述计算机设备设有网卡驱动，所述装置包括：
67.拦截模块301，用于基于所述网卡驱动，拦截电力物联网应用设备的通信请求包；
68.解析模块302，用于基于预设访问控制策略，对所述通信请求包进行解析，得到所述通信请求包的信源id；
69.验证模块303，用于根据所述信源id，对所述通信请求包的请求内容进行验证；
70.重组模块304，用于若所述请求内容验证通过，则对所述通信请求包进行明文重组，得到通信明文信息，所述通信明文信息用于被其他电力物联网应用设备读取。
71.在一实施例中，在图3所示实施例的基础上，所述验证模块303，包括：
72.第一访问子模块，用于访问本地分中心服务器，读取所述本地分中心服务器的轻型目录访问协议ldap树；
73.查询子模块，用于若所述ldap树中存在所述信源id，则从所述本地分中心服务器中查询所述信源id的信源公钥；
74.验证子模块，用于基于所述信源公钥，对所述通信请求包的请求内容进行验证。
75.在一实施例中，所述验证子模块，包括：
76.解密单元，用于利用所述信源公钥，对所述通信请求包进行解密，得到所述通信请求包的请求内容；
77.验证单元，用于对所述请求内容进行内容验证。
78.在一实施例中，在图3所示实施例的基础上，所述验证模块303，还包括：
79.第二访问子模块，用于若所述ldap树不存在所述信源id，则访问所述本地分中心服务器的上级分中心服务器，读取所述上级分中心服务器中与所述信源id对应的信源公钥。
80.在一实施例中，所述第二访问子模块，包括：
81.第一访问单元，用于访问所述本地分中心服务器的通信寻址接口，查询所述上级分中心服务器的通信地址；
82.第二访问单元，用于基于所述通信地址，访问所述上级分中心服务器，读取所述上级分中心服务器中与所述信源id对应的信源公钥。
83.在一实施例中，在图3所示实施例的基础上，所述装置，还包括：
84.转发模块，用于将所述通信明文信息转发至虚拟网卡，所述其他电力物联网应用设备从所述虚拟网卡读取所述通信明文信息。
85.在一实施例中，在图3所示实施例的基础上，所述装置，还包括：
86.访问模块，用于访问上级分中心服务器，读取所述上级分中心服务器中的预设访问控制策略；
87.存储模块，用于对所述预设访问控制策略进行本地化存储。
88.上述的电力物联网的访问控制装置可实施上述方法实施例的电力物联网的访问控制方法。上述方法实施例中的可选项也适用于本实施例，这里不再详述。本发明实施例的其余内容可参照上述方法实施例的内容，在本实施例中，不再进行赘述。
89.图4为本发明一实施例提供的计算机设备的结构示意图。如图4所示，该实施例的计算机设备4包括：至少一个处理器40(图4中仅示出一个)处理器、存储器41以及存储在所述存储器41中并可在所述至少一个处理器40上运行的计算机程序42，所述处理器40执行所述计算机程序42时实现上述任意方法实施例中的步骤。
90.所述计算机设备4可以是智能手机、平板电脑、桌上型计算机和云端服务器等计算设备。该计算机设备可包括但不仅限于处理器40、存储器41。本领域技术人员可以理解，图4仅仅是计算机设备4的举例，并不构成对计算机设备4的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件，例如还可以包括输入输出设备、网络接入设备等。
91.所称处理器40可以是中央处理单元(central processing unit，cpu)，该处理器40还可以是其他通用处理器、数字信号处理器(digital signal processor，dsp)、专用集成电路(application specific integrated circuit，asic)、现成可编程门阵列(field－programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
92.所述存储器41在一些实施例中可以是所述计算机设备4的内部存储单元，例如计算机设备4的硬盘或内存。所述存储器41在另一些实施例中也可以是所述计算机设备4的外部存储设备，例如所述计算机设备4上配备的插接式硬盘，智能存储卡(smart media card，smc)，安全数字(secure digital，sd)卡，闪存卡(flash card)等。进一步地，所述存储器41还可以既包括所述计算机设备4的内部存储单元也包括外部存储设备。所述存储器41用于存储操作系统、应用程序、引导装载程序(bootloader)、数据以及其他程序等，例如所述计算机程序的程序代码等。所述存储器41还可以用于暂时地存储已经输出或者将要输出的数据。
93.另外，本发明实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述任意方法实施例中的步骤。
94.本发明实施例提供了一种计算机程序产品，当计算机程序产品在计算机设备上运行时，使得计算机设备执行时实现上述各个方法实施例中的步骤。
95.在本发明所提供的几个实施例中，可以理解的是，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意的是，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。
96.所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read－only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
97.以上所述的具体实施例，对本发明的目的、技术方案和有益效果进行了进一步的详细说明，应当理解，以上所述仅为本技术的具体实施例而已，并不用于限定本技术的保护范围。特别指出，对于本领域技术人员来说，凡在本技术的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。