[发明专利]一种低压电力线载波通信可信接入管理方法及系统

说明书

本发明公开了一种低压电力线载波通信可信接入管理方法及系统，其中，一种低压电力线载波通信可信接入管理方法包括，通过交换模块接收和过滤来自可信接入请求点的分组数据，并将验证协议报文和过滤后的分组数据发送至接入验证协议处理模块进行分析处理；通过验证协议处理模块解析分组数据内容，将符合验证协议的分组数据发送至接入验证模块，并删除不符合验证协议的分组数据；接入验证模块通过调用接口，对符合验证协议的分组数据进行验证判决；端口状态控制模块根据验证判决结果控制交换模块各个端口的连接状态，并对交换模的数据过滤操作进行管理；本发明降低了安全认证的复杂度，能够满足大量终端设备对于安全性和实用性的需求。

技术领域

本发明涉及可信网络接入管理的技术领域，尤其涉及一种低压电力线载波通信可信接入管理方法及系统。

背景技术

网络技术的高速发展给使用者带来高效信息交互的同时,也带来了网络安全和管理上的新问题。

电力线载波通信网络系统面临着蠕虫攻击、分布式拒绝服务(DDoS)和传统电力业务信息网络攻击的风险，攻击者可通过仿冒合法作业终端，违规接入网络。尽管可信网络控制系统从技术层面上将可信计算机制延伸到网络，尽可能在网络入口处阻止非法和不可信计算终端接入，以保护整个网络环境的安全。但是也存在一些问题，现有技术主要存在如下问题：(1)TNC框架中对终端和服务器之间通信的认证性、机密性和完整性没有设计有效的保护措施。(2)802.1x定义了验证机制和架构，但缺乏更详细的接入验证方法，无法满足大规模PLC终端接入需求。(3)现有的身份认证和权限管理设施无法满足大量终端设备对于安全性和实用性的需求。

发明内容

本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本申请的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分、说明书摘要和发明名称的目的模糊，而这种简化或省略不能用于限制本发明的范围。

鉴于上述现有存在的问题，提出了本发明。

因此，本发明提供了一种低压电力线载波通信可信接入管理方法。

为解决上述技术问题，本发明提供如下技术方案：包括，通过交换模块接收和过滤来自可信接入请求点的分组数据，并将验证协议报文和过滤后的分组数据发送至接入验证协议处理模块进行分析处理；通过所述验证协议处理模块解析分组数据内容，将符合验证协议的分组数据发送至接入验证模块，并删除不符合验证协议的分组数据；所述接入验证模块通过调用接口，对符合验证协议的分组数据进行验证判决；端口状态控制模块根据验证判决结果控制交换模块各个端口的连接状态，并对交换模块的数据过滤操作进行管理。

作为本发明所述的低压电力线载波通信可信接入管理方法的一种优选方案，其中：所述过滤包括，可信接入请求点将经过签名后的度量值发送到交换模块；所述交换模块先对接入设备进行身份认证，再通过接入设备的身份标识查询策略执行点上的预期值；若没有查询到该接入设备的预期值，则将获取到的度量值写入预期值列表中，完成预期值的自动采集；否则，则将所述获取到的度量值与接入设备的预期值进行比较；若所述获取到的度量值低于所述接入设备的预期值，则判定所述分组数据不可信，并删除该数据。

作为本发明所述的低压电力线载波通信可信接入管理方法的一种优选方案，其中：还包括，验证协议的类型包括发起帧、应答帧、退出帧、信息帧以及挑战帧。

作为本发明所述的低压电力线载波通信可信接入管理方法的一种优选方案，其中：所述身份标识包括，通过公私密钥对进行身份认证，并利用指纹生成所述身份标识，若身份标识发生变化，则重新生成；其中，公钥为接入设备的指纹，通过对公钥进行解密获得私钥。

作为本发明所述的低压电力线载波通信可信接入管理方法的一种优选方案，其中：所述验证判决包括，创建判决实体类，封装返回响应体；利用Bean对整体数据进行验证判决，若数据异常，创建拦截增强器返回异常数据，并关闭交换模块各个端口；否则，则开启交换模块各个端口。