一种运维终端的访问控制方法、装置、系统和介质与流程

1.本技术涉及新能源技术领域，特别是涉及一种运维终端的访问控制方法、装置、系统和计算机可读存储介质。


背景技术：

2.新能源产业的发展既是整个能源供应系统的有效补充手段，也是环境治理和生态保护的重要措施。日前可以形成产业的新能源主要包括水能、风能、生物质能、太阳能、地热能等。
3.新能源场站建设速度越来越快，针对新能源就地终端的攻击也越来越频繁、越来越隐蔽，新能源安全越来越重要。新能源就地侧网络的架构图如图1所示，就地侧终端通过环网交换机组成光纤环网，最终通过汇聚交换机接入升压站。就地侧终端可以简称为就地终端。
4.当就地终端故障需要运维时，运维终端需要接入就地侧的环网交换机，通过网络对就地终端进行运维。新能源场站就地终端通过环网交换机接入光纤环网进行通信，整个场站内的就地终端及升压站的站控系统均可网络互通。运维终端接入环网交换机后，通过网络对就地终端进行运维的方式存在以下如下风险：运维终端在访问就地终端的过程中没有经过任何认证，任何运维终端均可以接入环网交换机后访问就地终端，可能会出现非法设备对就地终端进行访问和控制。此外，运维终端连接环网交换机后，便可自动接入整个光纤环网，可以访问甚至攻击新能源场站内任意一台就地终端及升压站的站控系统。当运维终端身份不可信或者运维终端中毒时，则整个新能源网络将处于风险中，可能会给新能源企业带来严重的损失。
5.可见，如何提升运维终端访问的安全性，是本领域技术人员需要解决的问题。


技术实现要素：

6.本技术实施例的目的是提供一种运维终端的访问控制方法、装置、系统和计算机可读存储介质，可以提升运维终端访问的安全性。
7.为解决上述技术问题，本技术实施例提供一种运维终端的访问控制方法，适用于环网交换机，所述方法包括：
8.在检测到指纹读取设备插入的情况下，利用所述指纹读取设备的证书对生成的认证信息进行加密处理以得到密文数据；
9.将所述密文数据传输至所述指纹读取设备，以便于所述指纹读取设备在运维人员的指纹信息通过验证的情况下，利用自身私钥对所述密文数据进行解密处理以得到明文数据，并将所述明文数据反馈至环网交换机；
10.在所述明文数据与所述认证信息一致的情况下，控制所述环网交换机内的中央处理器与运维口之间的电子开关闭合，以便于运维终端通过所述运维口实现与所述环网交换机的连通；
11.获取所述运维终端的地址信息；基于所述运维终端的地址信息以及预先设置的端口信息、协议信息以及就地终端的地址信息，设置访问策略；
12.依据所述访问策略对所述运维终端传输的数据进行处理。
13.可选地，在所述利用所述指纹读取设备的证书对生成的认证信息进行加密处理以得到密文数据之前还包括：
14.获取所述指纹读取设备的设备序列号；
15.判断序列号与证书的对应关系列表中是否存在与所述设备序列号匹配的证书；
16.在所述序列号与证书的对应关系列表中存在与所述设备序列号匹配的证书的情况下，执行所述利用所述指纹读取设备的证书对生成的认证信息进行加密处理以得到密文数据的步骤。
17.可选地，还包括：
18.记录所述序列号与证书的对应关系列表中各证书对应的有效时间；
19.在出现超出有效时间的目标证书的情况下，将所述目标证书及其对应的序列号从所述对应关系列表中删除。
20.可选地，所述认证信息包括设定字节的随机数和时间信息；
21.相应的，在所述控制所述环网交换机内的中央处理器与运维口之间的电子开关闭合之前还包括：
22.在所述明文数据与所述认证信息一致的情况下，判断所述明文数据包含的时间信息与当前时间的偏差是否在预设范围内；
23.在所述明文数据包含的时间信息与当前时间的偏差在预设范围内的情况下，执行所述控制所述环网交换机内的中央处理器与运维口之间的电子开关闭合的步骤。
24.可选地，在所述控制所述环网交换机内的中央处理器与运维口之间的电子开关闭合之后还包括：
25.在检测到所述指纹读取设备拔出的情况下，控制所述环网交换机内的中央处理器与运维口之间的电子开关断开，并删除所述访问策略。
26.可选地，在所述基于所述运维终端的地址信息以及预先设置的端口信息、协议信息以及就地终端的地址信息，设置访问策略之前还包括：
27.判断所述运维终端的地址信息与预先存储的访问地址是否匹配；
28.在所述运维终端的地址信息与预先存储的访问地址匹配的情况下，执行所述基于所述运维终端的地址信息以及预先设置的端口信息、协议信息以及就地终端的地址信息，设置访问策略的步骤。
29.可选地，所述运维终端的地址信息包括运维终端的ip地址和运维终端的mac地址；所述就地终端的地址信息包括就地终端的ip地址和就地终端的mac地址；
30.所述基于所述运维终端的地址信息以及预先设置的端口信息、协议信息以及就地终端的地址信息，设置访问策略包括：
31.将所述运维终端的ip地址和所述运维终端的mac地址作为源地址，将所述就地终端的ip地址和所述就地终端的mac地址作为目的地址；
32.将所述源地址、所述目的地址、所述端口信息包含的源端口和目的端口、所述协议信息作为访问控制的五元组。
33.本技术实施例还提供了一种运维终端的访问控制装置，适用于环网交换机，所述装置包括加密单元、传输单元、闭合单元、获取单元、设置单元和处理单元；
34.所述加密单元，用于在检测到指纹读取设备插入的情况下，利用所述指纹读取设备的证书对生成的认证信息进行加密处理以得到密文数据；
35.所述传输单元，用于将所述密文数据传输至所述指纹读取设备，以便于所述指纹读取设备在运维人员的指纹信息通过验证的情况下，利用自身私钥对所述密文数据进行解密处理以得到明文数据，并将所述明文数据反馈至环网交换机；
36.所述闭合单元，用于在所述明文数据与所述认证信息一致的情况下，控制所述环网交换机内的中央处理器与运维口之间的电子开关闭合，以便于运维终端通过所述运维口实现与所述环网交换机的连通；
37.所述获取单元，用于获取所述运维终端的地址信息；
38.所述设置单元，用于基于所述运维终端的地址信息以及预先设置的端口信息、协议信息以及就地终端的地址信息，设置访问策略；
39.所述处理单元，用于依据所述访问策略对所述运维终端传输的数据进行处理。
40.可选地，还包括序列号获取单元和判断单元；
41.所述序列号获取单元，用于在所述利用所述指纹读取设备的证书对生成的认证信息进行加密处理以得到密文数据之前，获取所述指纹读取设备的设备序列号；
42.所述判断单元，用于判断序列号与证书的对应关系列表中是否存在与所述设备序列号匹配的证书；在所述序列号与证书的对应关系列表中存在与所述设备序列号匹配的证书的情况下，触发所述加密单元执行所述利用所述指纹读取设备的证书对生成的认证信息进行加密处理以得到密文数据的步骤。
43.可选地，还包括记录单元和删除单元；
44.所述记录单元，用于记录所述序列号与证书的对应关系列表中各证书对应的有效时间；
45.所述删除单元，用于在出现超出有效时间的目标证书的情况下，将所述目标证书及其对应的序列号从所述对应关系列表中删除。
46.可选地，所述认证信息包括设定字节的随机数和时间信息；
47.相应的，所述装置还包括时间判断单元；
48.所述时间判断单元，用于在所述明文数据与所述认证信息一致的情况下，判断所述明文数据包含的时间信息与当前时间的偏差是否在预设范围内；在所述明文数据包含的时间信息与当前时间的偏差在预设范围内的情况下，触发所述闭合单元执行所述控制所述环网交换机内的中央处理器与运维口之间的电子开关闭合的步骤。
49.可选地，还包括断开单元和删除单元；
50.所述断开单元，用于在检测到所述指纹读取设备拔出的情况下，控制所述环网交换机内的中央处理器与运维口之间的电子开关断开；
51.所述删除单元，用于删除所述访问策略。
52.可选地，还包括地址判断单元；
53.所述地址判断单元，用于判断所述运维终端的地址信息与预先存储的访问地址是否匹配；在所述运维终端的地址信息与预先存储的访问地址匹配的情况下，触发所述设置
单元执行所述基于所述运维终端的地址信息以及预先设置的端口信息、协议信息以及就地终端的地址信息，设置访问策略的步骤。
54.可选地，所述运维终端的地址信息包括运维终端的ip地址和运维终端的mac地址；所述就地终端的地址信息包括就地终端的ip地址和就地终端的mac地址；
55.所述设置单元用于将所述运维终端的ip地址和所述运维终端的mac地址作为源地址，将所述就地终端的ip地址和所述就地终端的mac地址作为目的地址；将所述源地址、所述目的地址、所述端口信息包含的源端口和目的端口、所述协议信息作为访问控制的五元组。
56.本技术实施例还提供了一种运维终端的访问控制系统，包括环网交换机、指纹读取设备和就地终端；所述环网交换机设置有用于连接所述指纹读取设备的通用串行总线、连接运维终端的运维口；所述环网交换机内的中央处理器通过内网口与所述就地终端连通；所述环网交换机内的中央处理器与所述运维口之间设置有电子开关；
57.所述环网交换机，用于在检测到指纹读取设备插入的情况下，利用所述指纹读取设备的证书对生成的认证信息进行加密处理以得到密文数据；将所述密文数据传输至所述指纹读取设备；接收所述指纹读取设备反馈的明文数据；在所述明文数据与所述认证信息一致的情况下，控制所述电子开关闭合，以便于运维终端通过所述运维口实现与所述环网交换机的连通；获取所述运维终端的地址信息；基于所述运维终端的地址信息以及预先设置的端口信息、协议信息以及就地终端的地址信息，设置访问策略；依据所述访问策略对所述运维终端传输的数据进行处理；
58.所述指纹读取设备，用于在接收所述环网交换机传输的所述密文数据的情况下，提示运维人员输入指纹信息，以便于所述运维人员录入指纹；在所述运维人员的指纹信息通过验证的情况下，利用自身私钥对所述密文数据进行解密处理以得到明文数据，并将所述明文数据反馈至所述环网交换机。
59.本技术实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上述运维终端的访问控制方法的步骤。
60.由上述技术方案可以看出，在检测到指纹读取设备插入的情况下，利用指纹读取设备的证书对生成的认证信息进行加密处理以得到密文数据。指纹读取设备的证书相当于公钥，指纹读取设备自身会保存有私钥，只有当指纹读取设备合法的情况下，指纹读取设备才能够实现对密文数据的解密。因此，环网交换机可以将密文数据传输至指纹读取设备，以便于指纹读取设备在运维人员的指纹信息通过验证的情况下，利用自身私钥对密文数据进行解密处理以得到明文数据，并将明文数据反馈至环网交换机。在明文数据与认证信息一致的情况下，说明指纹读取设备合法、基于指纹读取设备所验证的运维人员的身份合法，此时环网交换机可以控制环网交换机内的中央处理器与运维口之间的电子开关闭合，以便于运维终端通过运维口实现与环网交换机的连通。为了避免运维终端接入到环网交换机之后利用网络非法访问其它就地终端或者非法访问升压站的站控系统，因此可以获取运维终端的地址信息；基于运维终端的地址信息以及预先设置的端口信息、协议信息以及就地终端的地址信息，设置访问策略；依据访问策略对运维终端传输的数据进行处理。通过基于运维终端的地址信息和就地终端的地址信息设置访问策略，使得运维终端只能访问本地的就地
终端，无法访问其它就地终端和站控系统，提升了运维终端访问的安全性。在该技术方案中，将认证技术与物理电子开关结合，对现有的环网交换机进行改造，只有运维人员和运维终端的身份认证通过后，控制电子开关的闭合实现对运维终端的物理准入控制。通过基于地址信息、端口信息和协议信息设置访问策略，仅允许运维终端访问本地的就地终端，防止运维终端非法访问光纤环网内其它就地终端以及升压站的站控系统，即使运维终端被恶意侵入，也不会对光纤环网内的其它就地终端和站控系统造成威胁，提升了网络的安全性。
附图说明
61.为了更清楚地说明本技术实施例，下面将对实施例中所需要使用的附图做简单的介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
62.图1为现有技术提供的一种新能源就地侧网络的架构图；
63.图2为本技术实施例提供的一种运维终端的访问控制方法的流程图；
64.图3为本技术实施例提供的一种就地终端所属网络的结构示意图；
65.图4为本技术实施例提供的一种运维终端的访问控制装置的结构示意图；
66.图5为本技术实施例提供的一种运维终端的访问控制系统的结构示意图。
具体实施方式
67.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下，所获得的所有其他实施例，都属于本技术保护范围。
68.本技术的说明书和权利要求书及上述附图中的术语“包括”和“具有”，以及与“包括”和“具有”相关的任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可包括没有列出的步骤或单元。
69.为了使本技术领域的人员更好地理解本技术方案，下面结合附图和具体实施方式对本技术作进一步的详细说明。
70.接下来，详细介绍本技术实施例所提供的一种运维终端的访问控制方法。图2为本技术实施例提供的一种运维终端的访问控制方法的流程图，适用于环网交换机，该方法包括：
71.s201：在检测到指纹读取设备插入的情况下，利用指纹读取设备的证书对生成的认证信息进行加密处理以得到密文数据。
72.在本技术实施例中，为了提升光纤环网内各设备的安全性，可以对接入到光纤环网的运维终端，以及使用该运维终端的运维人员分别进行安全认证。
73.在实际应用中，可以采用指纹认证的方式实现对运维人员的安全认证。例如，可以采用指纹读取设备获取运维人员的指纹信息，从而实现对运维人员身份的验证。其中，指纹读取设备可以为指纹key。为了便于描述，在后续内容中均以指纹读取设备为指纹key为例展开介绍。
74.环网交换机上可以设置用于连接指纹读取设备的通用串行总线(universal serial bus，usb)、以及用于连接运维终端的运维口。环网交换机内的中央处理器可以通过内网口与就地终端连通。环网交换机内的中央处理器与运维口之间设置有电子开关。
75.在具体实现中，当需要通过运维终端访问光纤环网内的某台就地终端时，可以将指纹读取设备插入到与该就地终端直接连通的环网交换机的usb接口上。环网交换机可以检测到指纹读取设备的插入动作。
76.环网交换机在检测到指纹读取设备插入的情况下，可以获取指纹读取设备的证书，将该证书作为加密公钥对生成的认证信息进行加密处理以得到密文数据。
77.在本技术实施例中，对于认证信息的具体形式不做限定。例如，认证信息可以由环网交换机生成的随机数和当前时间构成。
78.s202：将密文数据传输至指纹读取设备，以便于指纹读取设备在运维人员的指纹信息通过验证的情况下，利用自身私钥对密文数据进行解密处理以得到明文数据，并将明文数据反馈至环网交换机。
79.在本技术实施例中，采用非对称加密的方式，对认证信息进行加密处理。其中，加密所使用的密钥可以为环网交换机存储的指纹读取设备的证书。解密所使用的密钥可以为指纹读取设备自身存储的私钥。
80.考虑到指纹读取设备需要在运维人员的指纹验证通过的情况下才能够正常工作，因此为了实现对运维人员身份的安全认证。环网交换机可以将密文数据传输至指纹读取设备。
81.指纹读取设备想要对密文数据进行解密时，首先需要通过运维人员的身份认证从而开启工作。
82.在实际应用中，指纹读取设备可以在获取到密文数据后，提示运维人员输入指纹信息，当运维人员属于已经预先完成认证的人员时，其输入的指纹信息会和指纹读取设备中存储的指纹信息匹配，此时身份认证成功，指纹读取设备开始正常工作。
83.指纹读取设备开始正常工作之后，可以调用自身存储的私钥对密文数据进行解密处理以得到明文数据，并将明文数据反馈至环网交换机。
84.s203：在明文数据与认证信息一致的情况下，控制环网交换机内的中央处理器与运维口之间的电子开关闭合，以便于运维终端通过运维口实现与环网交换机的连通。
85.正常状况下，当运维人员的身份通过验证后，指纹读取设备开始工作，可以实现对密文数据的解密处理。当指纹读取设备属于安全认证通过的设备时，指纹读取设备解密出的明文数据应该和环网交换机生成的认证信息一致。因此在明文数据与认证信息一致的情况下，说明运维人员的身份已经通过验证，并且指纹读取设备属于安全认证通过的设备，此时环网交换机可以控制其内部的中央处理器与运维口之间的电子开关闭合。
86.运维终端通过运维口实现与环网交换机的连接，而环网交换机内部的中央处理器直接与本地的就地终端连通，因此当闭合中央处理器与运维口之间的电子开关后，运维终端可以实现与就地终端的连通。
87.在本技术实施例中，对于电子开关的形式不做限定，例如，电子开关可以采用继电器电子开关。
88.图3为本技术实施例提供的一种就地终端所属网络的结构示意图，就地终端所属
网络包括有环网交换机和就地终端。其中，环网交换机内部的中央处理器(central processing unit/processor，cpu)通过内网口与就地终端连通。cpu和运维口之间设置有继电器电子开关，正常状态下，该继电器电子开关处于断开状态，当运维终端即运维pc需要对就地终端进行访问时，可以连接运维口。指纹读取设备可以插入环网交换机提供的usb口，以完成运维人员的安全认证。当运维终端和运维人员均通过安全认证时，环网交换机可以将继电器电子开关闭合，此时运维终端可以访问就地终端。
89.s204：获取运维终端的地址信息；基于运维终端的地址信息以及预先设置的端口信息、协议信息以及就地终端的地址信息，设置访问策略。
90.当继电器电子开关闭合后，运维终端可以通过光纤环网访问其它就地终端或者是访问升压站的站控系统，一旦运维终端被非法侵入，会给整个光纤环网内的所有设备造成威胁，因此在本技术实施例中，为了提升网络的安全性，可以对运维终端的访问权限进行限制。
91.在实际应用中，可以设置访问策略，使得运维终端只能访问本地的就地终端，无法实现对其它就地终端或者是升压站的站控系统的访问。
92.访问策略可以设置为五元组的形式，在具体实现中，可以预先设置好就地终端与运维终端进行通信的端口信息和协议信息，以及就地终端的地址信息。其中，地址信息可以包括ip地址(互联网协议地址，internet protocol address)和mac地址(媒体访问控制，media access control)。
93.在具体实现中，可以将运维终端的ip地址和运维终端的mac地址作为源地址，将就地终端的ip地址和就地终端的mac地址作为目的地址；将源地址、目的地址、端口信息包含的源端口和目的端口、协议信息作为访问控制的五元组。
94.s205：依据访问策略对运维终端传输的数据进行处理。
95.基于访问策略，运维终端只能实现与本地的就地终端的交互。当运维终端向要访问其它就地终端时，由于不符合访问策略，运维终端的操作会被拦截，从而有效的保护网络内其它设备的安全性。
96.在本技术实施例中，为了保证接入环网交换机的运维终端的安全性，避免其它设备冒充运维终端接入环网交换机。可以在环网交换机内预先存储允许接入的设备的访问地址。访问地址可以包括允许接入的设备的ip地址和mac地址。
97.环网交换机在检测到运维终端的存在时，可以判断运维终端的地址信息与预先存储的访问地址是否匹配。
98.在运维终端的地址信息与预先存储的访问地址匹配的情况下，说明运维终端是允许接入的设备，此时环网交换机可以执行基于运维终端的地址信息以及预先设置的端口信息、协议信息以及就地终端的地址信息，设置访问策略的步骤。
99.由上述技术方案可以看出，在检测到指纹读取设备插入的情况下，利用指纹读取设备的证书对生成的认证信息进行加密处理以得到密文数据。指纹读取设备的证书相当于公钥，指纹读取设备自身会保存有私钥，只有当指纹读取设备合法的情况下，指纹读取设备才能够实现对密文数据的解密。因此，环网交换机可以将密文数据传输至指纹读取设备，以便于指纹读取设备在运维人员的指纹信息通过验证的情况下，利用自身私钥对密文数据进行解密处理以得到明文数据，并将明文数据反馈至环网交换机。在明文数据与认证信息一
致的情况下，说明指纹读取设备合法、基于指纹读取设备所验证的运维人员的身份合法，此时环网交换机可以控制环网交换机内的中央处理器与运维口之间的电子开关闭合，以便于运维终端通过运维口实现与环网交换机的连通。为了避免运维终端接入到环网交换机之后利用网络非法访问其它就地终端或者非法访问升压站的站控系统，因此可以获取运维终端的地址信息；基于运维终端的地址信息以及预先设置的端口信息、协议信息以及就地终端的地址信息，设置访问策略；依据访问策略对运维终端传输的数据进行处理。通过基于运维终端的地址信息和就地终端的地址信息设置访问策略，使得运维终端只能访问本地的就地终端，无法访问其它就地终端和站控系统，提升了运维终端访问的安全性。在该技术方案中，将认证技术与物理电子开关结合，对现有的环网交换机进行改造，只有运维人员和运维终端的身份认证通过后，控制电子开关的闭合实现对运维终端的物理准入控制。通过基于地址信息、端口信息和协议信息设置访问策略，仅允许运维终端访问本地的就地终端，防止运维终端非法访问光纤环网内其它就地终端以及升压站的站控系统，即使运维终端被恶意侵入，也不会对光纤环网内的其它就地终端和站控系统造成威胁，提升了网络的安全性。
100.在实际应用中，可以在前期准备阶段，完成对指纹读取设备的安全认证。在准备阶段，可以采集运维人员的指纹信息，将指纹key的证书与序列号提前导入到环网交换机内，其中，指纹key的证书和序列号具有一一对应的关系。导入证书时检查证书的有效期，并使用根证书验证证书的有效性，以保证导入信息的准确性。
101.环网交换机在检测到指纹读取设备插入的情况下，在利用指纹读取设备的证书对生成的认证信息进行加密处理以得到密文数据之前，可以先获取指纹读取设备的设备序列号。判断序列号与证书的对应关系列表中是否存在与设备序列号匹配的证书。
102.考虑到实际应用中，可能会存在一些人员非法使用未认证的指纹读取设备来访问环网交换机的情况。当指纹读取设备未认证时，此时环网交换机记录的对应关系列表中不会存在该指纹读取设备的序列号相匹配的证书，因此在序列号与证书的对应关系列表中不存在与设备序列号匹配的证书的情况下，说明指纹读取设备不属于认证通过的设备，可以判定指纹读取设备认证失败。
103.在序列号与证书的对应关系列表中存在与设备序列号匹配的证书的情况下，说明指纹读取设备属于认证通过的设备，此时环网交换机可以执行利用指纹读取设备的证书对生成的认证信息进行加密处理以得到密文数据的步骤。
104.通过提前完成指纹读取设备的序列号和证书的录入。在检测到指纹读取设备插入时，基于预先存储的序列号和证书的对应关系列表，可以实现对指纹读取设备的安全认证，避免未经认证的设备连接访问环网交换机。
105.考虑到指纹读取设备的证书有其对应的有效时间，当超过有效时间时证书会失效，为了保证对应关系列表中记录的信息的有效性。环网交换机可以记录序列号与证书的对应关系列表中各证书对应的有效时间；在出现超出有效时间的目标证书的情况下，将目标证书及其对应的序列号从对应关系列表中删除，从而保证对应关系列表中存储的都是有效的信息。
106.指纹读取设备的密码运算能力在毫秒级，指纹读取设备在获取到密文数据以及得到解密后的明文数据的时间差不会大于1s，因此出现大于1s则可以认为是历史消息重放。
107.因此，在本技术实施例中，环网交换机生成的认证信息可以包括设定字节的随机
数和时间信息。其中，设定字节可以为16字节。
108.相应的，在控制环网交换机内的中央处理器与运维口之间的电子开关闭合之前，在明文数据与认证信息一致的情况下，环网交换机可以判断明文数据包含的时间信息与当前时间的偏差是否在预设范围内。预设范围可以为1s。
109.明文数据包含的时间信息是环网交换机生成认证信息时对应的时间。
110.当前时间可以是环网交换机接收到指纹读取设备反馈的明文数据的时间。
111.在明文数据包含的时间信息与当前时间的偏差在预设范围内的情况下，说明环网交换机接收到的明文数据是与其生成的认证信息相对应的明文数据，并不是历史消息，此时环网交换机可执行控制环网交换机内的中央处理器与运维口之间的电子开关闭合的步骤。
112.在本技术实施例中，可以以指纹读取设备的拔出动作作为电子开关断开的依据。在实际应用中，环网交换机可以在检测到指纹读取设备拔出的情况下，控制环网交换机内的中央处理器与运维口之间的电子开关断开，并删除访问策略。
113.在实际应用中，当运维人员完成对就地终端的操作后，可以将指纹读取设备拔出。为了避免电子开关一直处于闭合，被其它运维终端通过链路访问就地终端，因此在检测到指纹读取设备拔出时，及时断开中央处理器与运维口之间的电子开关，从而确保就地终端的安全性。
114.图4为本技术实施例提供的一种运维终端的访问控制装置的结构示意图，适用于环网交换机，装置包括加密单元41、传输单元42、闭合单元43、获取单元44、设置单元45和处理单元46；
115.加密单元41，用于在检测到指纹读取设备插入的情况下，利用指纹读取设备的证书对生成的认证信息进行加密处理以得到密文数据；
116.传输单元42，用于将密文数据传输至指纹读取设备，以便于指纹读取设备在运维人员的指纹信息通过验证的情况下，利用自身私钥对密文数据进行解密处理以得到明文数据，并将明文数据反馈至环网交换机；
117.闭合单元43，用于在明文数据与认证信息一致的情况下，控制环网交换机内的中央处理器与运维口之间的电子开关闭合，以便于运维终端通过运维口实现与环网交换机的连通；
118.获取单元44，用于获取运维终端的地址信息；
119.设置单元45，用于基于运维终端的地址信息以及预先设置的端口信息、协议信息以及就地终端的地址信息，设置访问策略；
120.处理单元46，用于依据访问策略对运维终端传输的数据进行处理。
121.可选地，还包括序列号获取单元和判断单元；
122.序列号获取单元，用于在利用指纹读取设备的证书对生成的认证信息进行加密处理以得到密文数据之前，获取指纹读取设备的设备序列号；
123.判断单元，用于判断序列号与证书的对应关系列表中是否存在与设备序列号匹配的证书；在序列号与证书的对应关系列表中存在与设备序列号匹配的证书的情况下，触发加密单元执行利用指纹读取设备的证书对生成的认证信息进行加密处理以得到密文数据的步骤。
124.可选地，还包括记录单元和删除单元；
125.记录单元，用于记录序列号与证书的对应关系列表中各证书对应的有效时间；
126.删除单元，用于在出现超出有效时间的目标证书的情况下，将目标证书及其对应的序列号从对应关系列表中删除。
127.可选地，认证信息包括设定字节的随机数和时间信息；
128.相应的，装置还包括时间判断单元；
129.时间判断单元，用于在明文数据与认证信息一致的情况下，判断明文数据包含的时间信息与当前时间的偏差是否在预设范围内；在明文数据包含的时间信息与当前时间的偏差在预设范围内的情况下，触发闭合单元执行控制环网交换机内的中央处理器与运维口之间的电子开关闭合的步骤。
130.可选地，还包括断开单元和删除单元；
131.断开单元，用于在检测到指纹读取设备拔出的情况下，控制环网交换机内的中央处理器与运维口之间的电子开关断开；
132.删除单元，用于删除访问策略。
133.可选地，还包括地址判断单元；
134.地址判断单元，用于判断运维终端的地址信息与预先存储的访问地址是否匹配；在运维终端的地址信息与预先存储的访问地址匹配的情况下，触发设置单元执行基于运维终端的地址信息以及预先设置的端口信息、协议信息以及就地终端的地址信息，设置访问策略的步骤。
135.可选地，运维终端的地址信息包括运维终端的ip地址和运维终端的mac地址；就地终端的地址信息包括就地终端的ip地址和就地终端的mac地址；
136.设置单元用于将运维终端的ip地址和运维终端的mac地址作为源地址，将就地终端的ip地址和就地终端的mac地址作为目的地址；将源地址、目的地址、端口信息包含的源端口和目的端口、协议信息作为访问控制的五元组。
137.图4所对应实施例中特征的说明可以参见图2所对应实施例的相关说明，这里不再一一赘述。
138.由上述技术方案可以看出，在检测到指纹读取设备插入的情况下，利用指纹读取设备的证书对生成的认证信息进行加密处理以得到密文数据。指纹读取设备的证书相当于公钥，指纹读取设备自身会保存有私钥，只有当指纹读取设备合法的情况下，指纹读取设备才能够实现对密文数据的解密。因此，环网交换机可以将密文数据传输至指纹读取设备，以便于指纹读取设备在运维人员的指纹信息通过验证的情况下，利用自身私钥对密文数据进行解密处理以得到明文数据，并将明文数据反馈至环网交换机。在明文数据与认证信息一致的情况下，说明指纹读取设备合法、基于指纹读取设备所验证的运维人员的身份合法，此时环网交换机可以控制环网交换机内的中央处理器与运维口之间的电子开关闭合，以便于运维终端通过运维口实现与环网交换机的连通。为了避免运维终端接入到环网交换机之后利用网络非法访问其它就地终端或者非法访问升压站的站控系统，因此可以获取运维终端的地址信息；基于运维终端的地址信息以及预先设置的端口信息、协议信息以及就地终端的地址信息，设置访问策略；依据访问策略对运维终端传输的数据进行处理。通过基于运维终端的地址信息和就地终端的地址信息设置访问策略，使得运维终端只能访问本地的就地
终端，无法访问其它就地终端和站控系统，提升了运维终端访问的安全性。在该技术方案中，将认证技术与物理电子开关结合，对现有的环网交换机进行改造，只有运维人员和运维终端的身份认证通过后，控制电子开关的闭合实现对运维终端的物理准入控制。通过基于地址信息、端口信息和协议信息设置访问策略，仅允许运维终端访问本地的就地终端，防止运维终端非法访问光纤环网内其它就地终端以及升压站的站控系统，即使运维终端被恶意侵入，也不会对光纤环网内的其它就地终端和站控系统造成威胁，提升了网络的安全性。
139.图5为本技术实施例提供的一种运维终端的访问控制系统的结构示意图，包括环网交换机51、指纹读取设备52和就地终端53；环网交换机51设置有用于连接指纹读取设备52的通用串行总线、连接运维终端54的运维口；环网交换机51内的中央处理器通过内网口与就地终端53连通；环网交换机51内的中央处理器与运维口之间设置有电子开关；
140.环网交换机51，用于在检测到指纹读取设备52插入的情况下，利用指纹读取设备52的证书对生成的认证信息进行加密处理以得到密文数据；将密文数据传输至指纹读取设备52；接收指纹读取设备52反馈的明文数据；在明文数据与认证信息一致的情况下，控制电子开关闭合，以便于运维终端55通过运维口实现与环网交换机51的连通；获取运维终端55的地址信息；基于运维终端55的地址信息以及预先设置的端口信息、协议信息以及就地终端53的地址信息，设置访问策略；依据访问策略对运维终端55传输的数据进行处理；
141.指纹读取设备52，用于在接收环网交换机51传输的密文数据的情况下，提示运维人员输入指纹信息，以便于运维人员录入指纹；在运维人员的指纹信息通过验证的情况下，利用自身私钥对密文数据进行解密处理以得到明文数据，并将明文数据反馈至环网交换机51。
142.图5所对应实施例中特征的说明可以参见图2所对应实施例的相关说明，这里不再一一赘述。
143.由上述技术方案可以看出，运维终端的访问控制包括环网交换机、指纹读取设备和就地终端；环网交换机设置有用于连接指纹读取设备的通用串行总线、连接运维终端的运维口；环网交换机内的中央处理器通过内网口与就地终端连通；环网交换机内的中央处理器与运维口之间设置有电子开关。环网交换机在检测到指纹读取设备插入的情况下，利用指纹读取设备的证书对生成的认证信息进行加密处理以得到密文数据；将密文数据传输至指纹读取设备。指纹读取设备在接收环网交换机传输的密文数据的情况下，提示运维人员输入指纹信息，以便于运维人员录入指纹；在运维人员的指纹信息通过验证的情况下，利用自身私钥对密文数据进行解密处理以得到明文数据，并将明文数据反馈至环网交换机。环网交换机接收指纹读取设备反馈的明文数据；在明文数据与认证信息一致的情况下，控制电子开关闭合，以便于运维终端通过运维口实现与环网交换机的连通。获取运维终端的地址信息；基于运维终端的地址信息以及预先设置的端口信息、协议信息以及就地终端的地址信息，设置访问策略；依据访问策略对运维终端传输的数据进行处理。基于运维终端的地址信息和就地终端的地址信息设置访问策略，使得运维终端只能访问本地的就地终端，无法访问其它就地终端和站控系统，提升了运维终端访问的安全性。在该技术方案中，将认证技术与物理电子开关结合，对现有的环网交换机进行改造，只有运维人员和运维终端的身份认证通过后，控制电子开关的闭合实现对运维终端的物理准入控制。通过基于地址信息、端口信息和协议信息设置访问策略，仅允许运维终端访问本地的就地终端，防止运维终
端非法访问光纤环网内其它就地终端以及升压站的站控系统，即使运维终端被恶意侵入，也不会对光纤环网内的其它就地终端和站控系统造成威胁，提升了网络的安全性。
144.可以理解的是，如果上述实施例中的运维终端的访问控制方法以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，执行本技术各个实施例方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read-only memory，rom)、随机存取存储器(random access memory，ram)、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、磁碟或者光盘等各种可以存储程序代码的介质。
145.基于此，本发明实施例还提供了一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现如上述运维终端的访问控制方法的步骤。
146.以上对本技术实施例所提供的一种运维终端的访问控制方法、装置、系统和计算机可读存储介质进行了详细介绍。说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。
147.专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本技术的范围。
148.以上对本技术所提供的一种运维终端的访问控制方法、装置、系统和计算机可读存储介质进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以对本技术进行若干改进和修饰，这些改进和修饰也落入本技术权利要求的保护范围内。