一种物联网配电终端免配置接入的方法、设备及存储介质与流程

1.本发明涉及配电设备管理技术领域，尤其是一种物联网配电终端免配置接入的方法、设备及存储介质。


背景技术：

2.随着配电物联网时代的来临，大量的物联网配电终端接入到物联网平台(iot平台)，物联网的安全防护便显得尤为重要。其中安全接入服务 安全接入网关 终端安全代理的防护方案为应用与智能终端之间身份认证、数据传输提供了有效的保护。
3.传统的安全接入服务是配电前置服务的一个功能模块，一般采用以下方法：在配电前置服务上手动为每台智能终端增加接入通道配置和终端配置，配置中维护不限于基础信息以及用于识别终端的特征信息，并指定用于身份认证的数字证书。即基于数据库以及本地配置文件建立终端的台账信息。在身份认证阶段，配电前置服务则根据智能终端上送的特征信息与台账信息进行匹配。这种情况下，为每台智能终端单独增加配置信息，不但加大了运维工作量，而且不利于智能终端的快速接入，效率较低，同时亦不便于安全接入服务的多节点扩展。


技术实现要素：

4.有鉴于此，本发明实施例提供一种物联网配电终端免配置接入的方法、设备及存储介质。
5.本发明的第一方面提供了一种物联网配电终端免配置接入的方法，其特征在于，包括以下步骤：
6.安全接入服务向配电终端发送特征信息请求；
7.配电终端返回第一特征信息；
8.安全接入服务自数据库中调取配电终端的数字证书，提取数字证书内的第二特征信息；
9.比较第一特征信息与第二特征信息；
10.当第一特征信息与第二特征信息不相符时，中止配电终端的接入；
11.当第一特征信息与第二特征信息相符时，调用加密装置与配电终端完成身份认证，将配电终端接入物联网平台。
12.进一步地，所述配电终端的数字证书是在配电终端于物联网平台注册后，由物联网平台颁发得到的；在得到配电终端的数字证书后，安全接入服务会自物联网平台处收集生成的配电终端数字证书并存入数据库中。
13.进一步地，所述特征信息，具体包括：第一特征码、第二特征码和第三特征码；
14.所述第一特征码是由物联网平台生成第一随机字符段后，使用物联网平台的数字证书加密，配电终端的数字证书签名得到；
15.所述第二特征码是由配电终端生成第二随机字符段后，使用配电终端的数字证书
加密，物联网平台的数字证书签名得到；
16.所述第三特征码是由第一特征码和第二特征码经过约定的逻辑运算后得到的；
17.在得到所述第一特征码、第二特征码和第三特征码后，将第一特征码、第二特征码和第三特征码记录于配电终端的数字证书中，作为第二特征信息。
18.进一步地，所述配电终端包括加密模块，所述第一特征码、第二特征码和第三特征码的生成过程由加密模块完成；生成的第一特征码、第二特征码和第三特征码会作为第一特征信息储存至配电终端中。
19.进一步地，所述提取数字证书内的第二特征信息，具体包括以下步骤：
20.通过配电终端的数字证书签名查找到第一特征码；
21.与物联网平台通信得到物联网平台的数字证书；
22.通过物联网平台的数字证书签名查找到第二特征码；
23.对数字证书中所有内容进行逻辑逆运算，将运算结果与第一特征码和第二特征码比较，相同的即为第三特征码；
24.提取第一特征码，第二特征码和第三特征码。
25.进一步地，所述比较第一特征信息与第二特征信息，具体为比较第一特征信息中的第一特征码，第二特征码和第三特征码与第二特征信息中的第一特征码，第二特征码和第三特征码；当第一特征码，第二特征码和第三特征码完全相同时，判定第一特征信息与第二特征信息相符。
26.进一步地，当所述第一特征码，第二特征码和第三特征码中有至少一个特征码相同且有至少一个特征码不同时，通知配电终端重新发送第一特征信息并再次进行比较；若比较结果中第一特征码，第二特征码和第三特征码仍不完全相同，则中止配电终端的接入。
27.进一步地，所述特征信息会通过生成新的随机字符段和采用新的逻辑运算方式定时更新。
28.本发明的第二方面公开了一种电子设备，包括处理器以及存储器；
29.所述存储器用于存储程序；
30.所述处理器执行所述程序实现一种物联网配电终端免配置接入的方法。
31.本发明的第三方面公开了一种计算机可读存储介质，所述存储介质存储有程序，所述程序被处理器执行实现一种物联网配电终端免配置接入的方法。
32.本发明具有如下有益效果：本发明相比于现有技术，在终端的接入阶段省去了终端台账配置步骤，可以快速识别终端；通过校验数字证书中特征信息，能够同时间快速接入多台终端，方便安全接入服务的节点扩展。
33.本发明的附加方面和优点将在下面的描述部分中给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。
附图说明
34.为了更清楚地说明本技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
35.图1是本发明一种物联网配电终端免配置接入的方法、设备及存储介质的数据交互流程图；
36.图2是本发明一种物联网配电终端免配置接入的方法、设备及存储介质的连接关系图。
具体实施方式
37.为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本技术进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本技术，并不用于限定本技术。
38.安全接入服务是配电认证体系中主站侧的一个服务组件，其连接加密认证装置，完成与智能终端的身份认证，数据加解密，数据转发等功能。在智能终端侧与之对应的角色是终端安全代理。
39.免配置接入具体实现技术如下：
40.0、安全接入服务与安全网关建立tcp连接；
41.1、配电终端与安全网关建立tcp连接；
42.步骤0、1建立的tcp连接中，配电终端和安全接入服务作为客户端，安全网关作为服务器端。
43.4、安全接入服务向配电终端发送特征信息请求；
44.5、配电终端返回第一特征信息；
45.6、安全接入服务自数据库中调取配电终端的数字证书，提取数字证书内的第二特征信息；比较第一特征信息与第二特征信息；
46.步骤4、5、6中所使用的特征信息主要是由配电终端和物联网平台协商计算得到的，本实施例中可以通过以下方式生成特征信息：
47.配电终端在物联网平台注册后，由物联网平台向配电终端颁发数字证书certn；同时物联网平台自带的数字证书使用certp表示，数字证书的格式可以为x.509标准或其它格式标准。
48.物联网平台为配电终端生成第一随机字符段r1，通过certp对r1进行加密，由certn完成签名，得到第一特征码；
49.配电终端独自生成第二随机字符段r2，通过certn对r2进行加密，由certp完成签名，得到第二特征码；
50.上述加密过程所使用的算法可以为对称加解密算法、非对称加解密算法、摘要算法或签名验签算法等。
51.生成第一特征码和第二特征码后，配电终端与物联网平台约定逻辑运算符，通过对第一特征码和第二特征码进行约定的逻辑运算得到第三特征码。逻辑运算方式可以为and、or、xor、not等常用运算符及其任意组合。
52.在得到第一特征码、第二特征码和第三特征码后，配电终端会记录第一特征码、第二特征码与第三特征码作为终端的认证标识，即第一特征信息。
53.同时，配电终端将第一特征码、第二特征码和第三特征码记录于配电终端的数字证书certn中，发送给物联网平台，再由物联网平台发送至安全接入服务的数据库中储存。
数据库中可以储存大量的配电终端数字证书cert1、2、3
……
n，在有多个终端同时建立连接时，通过在数据库中检索数字证书cert1、2、3
……
n可以便捷的完成多个配电终端的接入确认。
54.本实施例中，提取数字证书内的第二特征信息，具体包括以下步骤：
55.通过配电终端的数字证书签名查找到第一特征码；
56.与物联网平台通信得到物联网平台的数字证书certn；
57.通过物联网平台的数字证书签名查找到第二特征码；
58.对数字证书中所有内容进行逻辑逆运算，将运算结果与第一特征码和第二特征码比较，相同的即为第三特征码。安全接入服务可以与物联网平台通信得到当初约定的逻辑运算方式，并构建相应的逆运算流程，对数字证书certn中内容遍历后分别进行逆运算，如果逆运算的结果与第一特征码、第二特征码相匹配，则可以准确定位到第三特征码。
59.本实施例中，比较第一特征信息与第二特征信息，具体为比较第一特征信息中的第一特征码，第二特征码和第三特征码与第二特征信息中的第一特征码，第二特征码和第三特征码；当第一特征码，第二特征码和第三特征码完全相同时，判定第一特征信息与第二特征信息相符。
60.7-a、当第一特征信息与第二特征信息不相符时，中止配电终端的接入；
61.7-b、当第一特征信息与第二特征信息相符时，调用加密装置与配电终端完成身份认证，将配电终端接入物联网平台；
62.7-c、当第一特征码，第二特征码和第三特征码中有至少一个特征码相同且有至少一个特征码不同时，通知配电终端重新发送第一特征信息并再次进行比较；若比较结果中第一特征码，第二特征码和第三特征码仍不完全相同，则中止配电终端的接入。
63.本发明实施例还公开了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器可以从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行图1所示的方法。
64.在一些可选择的实施例中，在方框图中提到的功能/操作可以不按照操作示图提到的顺序发生。例如，取决于所涉及的功能/操作，连续示出的两个方框实际上可以被大体上同时地执行或所述方框有时能以相反顺序被执行。此外，在本发明的流程图中所呈现和描述的实施例以示例的方式被提供，目的在于提供对技术更全面的理解。所公开的方法不限于本文所呈现的操作和逻辑流程。可选择的实施例是可预期的，其中各种操作的顺序被改变以及其中被描述为较大操作的一部分的子操作被独立地执行。
65.此外，虽然在功能性模块的背景下描述了本发明，但应当理解的是，除非另有相反说明，所述的功能和/或特征中的一个或多个可以被集成在单个物理装置和/或软件模块中，或者一个或多个功能和/或特征可以在单独的物理装置或软件模块中被实现。还可以理解的是，有关每个模块的实际实现的详细讨论对于理解本发明是不必要的。更确切地说，考虑到在本文中公开的装置中各种功能模块的属性、功能和内部关系的情况下，在工程师的常规技术内将会了解该模块的实际实现。因此，本领域技术人员运用普通技术就能够在无需过度试验的情况下实现在权利要求书中所阐明的本发明。还可以理解的是，所公开的特定概念仅仅是说明性的，并不意在限制本发明的范围，本发明的范围由所附权利要求书及
其等同方案的全部范围来决定。
66.所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-on ly memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
67.在流程图中表示或在此以其他方式描述的逻辑和/或步骤，例如，可以被认为是用于实现逻辑功能的可执行指令的定序列表，可以具体实现在任何计算机可读介质中，以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用，或结合这些指令执行系统、装置或设备而使用。就本说明书而言，“计算机可读介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。
68.应当理解，本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如，如果用硬件来实现，和在另一实施方式中一样，可用本领域公知的下列技术中的任一项或他们的组合来实现：具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列(pga)，现场可编程门阵列(fpga)等。
69.在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
70.尽管已经示出和描述了本发明的实施例，本领域的普通技术人员可以理解：在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由权利要求及其等同物限定。
71.以上是对本发明的较佳实施进行了具体说明，但本发明并不限于所述实施例，熟悉本领域的技术人员在不违背本发明精神的前提下还可做出种种的等同变形或替换，这些等同的变形或替换均包含在本技术权利要求所限定的范围内。