中国专利CN214337932U 一种电力系统移动终端的安全认证系统

专利PDF首页>>中国专利

专利附录

专利说明

权利要求

类似技术

同族专利

引用文献

法律状态

优先权

专利摘要:
本实用新型涉及电力系统技术领域，具体涉及一种电力系统移动终端的安全认证系统，系统架构包括Web平台服务器，其上部署有服务端，Web平台服务器采用网线连接硬件防火墙和电力综合数据网交换机；办公电脑，其上部署有客户端，所述办公电脑采用网线连接硬件防火墙和电力综合数据网交换机；移动终端，通过数据线与所述客户端连接；其中，所述服务端、客户端和移动终端均设有单方认证网关，且彼此之间共同设有双方认证网关和三方认证网关；本实用新型旨在建立一个完全与互联网隔离、满足核心生产领域的移动应用需求的网络服务架构，设计了覆盖服务端、客户端和移动终端的安全认证系统。
公开号:CN214337932U
申请号:CN202022454364.0U
申请日:2020-10-29
公开日:2021-10-01
发明作者:段垿；巫聪云；梁睿；黎铭洪；苏颜；黄远飞；徐开仁；唐毅；吴林恩；梁庆光；江宏彬；张豫鹏；习莉；周小华；覃蕴华；朱明增；黄金
申请人:Nanning Power Supply Bureau of Guangxi Power Grid Co Ltd；
IPC主号:H04L29-06

专利说明:
[n0001] 本实用新型涉及电力系统技术领域，具体涉及一种电力系统移动终端的安全认证系统。
[n0002] 随着电网物联网和移动应用技术的不断发展，移动终端被越来越广泛的应用到了电力系统的通讯、办公、管理、运检等多个领域中。然而在当前网络信息安全日益严峻的形势下，传统的移动终端的设计与使用方法因考虑不周存在许多安全隐患。
[n0003] 其中，电能作为国家重要战略资源，关乎社会经济与民生，其核心的运行信息应当具备更高的网络信息安全防护水平，目前的电力系统移动终端的安全认证方式主要存在以下问题：
[n0004] 1.基于互联网的身份信息认证。早期设计的一些移动终端直接通过公共的互联网或移动通信网络连接，安全认证方式仅限于对用户的账号、密码进行登录验证。首先互联网连接模式已不符合现在电力系统网络信息安全防护要求中“上网不涉密、涉密不上网”的原则，其次账号、密码验证方式过于简单，容易被一些隐藏的非法后台程序盗取，安全风险很高。
[n0005] 2.基于内部拨号网络或光纤、微波等数字数据网专线(Digital Data Network，DDN)的物理限制。在限制互联网后，出现了一种通过内部拨号网络或DDN专线建设物理专用网络，通过限制物理设备的方式来隔离非法用户的侵入。但这种方式的防护范围只能延伸到办公电脑，对移动终端的使用没有防护措施。此外，专线中数据只能以明文传输，一旦物理隔离被打破，重要信息将直接暴露。
[n0006] 3.基于虚拟专用网络(Virtual Private Network，VPN)的隧道加密。VPN本质上是在互联网与企业内网间开辟一条专用隧道，使移动终端可通过互联网访问企业内网。VPN中传输的数据都是经过加密的，即使被截取也无法获得明文内容，是目前移动终端最常用的连接方式。但是，VPN服务一般由专门的运营商提供，大多是需要付费的，建设和维护成本比较高。虽然也有一些免费的VPN服务，但已被发现存在安全漏洞和恶意广告程序。而付费VPN服务也只是相对安全，它采用的端到端加密方式，只能保证VPN服务器之间的加密，而用户服务器到VPN服务器之间仍是明文传输，即数据加密并没有覆盖全路径。
[n0007] 根据电力系统网络信息安全的特殊地位，以及与互联网隔离的防护要求，本专利提出了一种电力系统移动终端的安全认证系统。
[n0008] 解决的技术问题
[n0009] 针对现有技术所存在的上述缺点，本实用新型提供了一种电力系统移动终端的安全认证系统，建立一个完全与互联网隔离、满足核心生产领域的移动应用需求的网络服务架构，设计了覆盖服务端、客户端和移动终端的安全认证系统。
[n0010] 技术方案
[n0011] 为实现以上目的，本实用新型通过以下技术方案予以实现：
[n0012] 一种电力系统移动终端的安全认证系统，系统架构部署在电力综合数据网内，电力综合数据网与外网间设有隔离模块，所述系统架构包括：
[n0013] 电力综合数据网交换机，多个所述电力综合数据网交换机通过光纤进行数据连接，一起组成所述电力综合数据网；
[n0014] Web平台服务器，所述Web平台服务器上部署有用于系统业务的计算的服务端，所述Web平台服务器采用网线连接硬件防火墙和电力综合数据网交换机；
[n0015] 上位机，所述上位机上部署有用于实现人机交互操作的客户端，所述上位机采用网线连接硬件防火墙和电力综合数据网交换机；
[n0016] 移动终端，内置有系统业务功能的app，所述移动终端的数据接口处设有加密芯片，并通过数据线与所述客户端连接，每个客户端仅能与一台所述移动终端进行数据通信；
[n0017] 其中，所述服务端、客户端和移动终端均设有单方认证网关，且彼此之间共同设有双方认证网关和三方认证网关。
[n0018] 更进一步地，所述移动终端设有开机密码设置功能和指纹识别模块。
[n0019] 更进一步地，所述芯片采用的加密数据中包含了可被客户端识别的唯一的芯片序列号，所述序列号存储在服务端的认证信息库中，服务端将自动通过认证信息库对客户端用户信息和移动终端加密芯片序列号信息进行审核。
[n0020] 更进一步地，所述Web平台服务器、上位机和移动终端均设有开机密码认证网关，所述开机密码认证网关用于开机登录时需输入开机密码，其中所述移动终端包括数字密码认证和指纹密码认证两种方式。
[n0021] 更进一步地，所述单方认证网关包括所述账户密码认证网关，所述账户密码认证网关用于管理在登录客户端及服务端时需输入账户和密码。
[n0022] 更进一步地，所述双方认证网关主要包括关联认证网关和数字证书认证网关，所述关联认证网关用于客户端、移动终端中的一方在登录时，需要同时输入另一方的账户和密码；所述数字证书认证网关用于限制使用客户端前必须下载安装服务端提供的数字证书。
[n0023] 更进一步地，数据加密认证网关，用于提供移动终端、客户端和服务端之间数据的加密传输服务；
[n0024] 人员权限管理认证网关，用于对服务端、客户端、移动终端当前登录用户的所有操作都进行人员权限管理认证；
[n0025] 连接认证网关，用于控制移动终端仅能被安装有客户端的上位机识别和建立连接，仅能被已绑定的客户端用户进行登录和管理；所述客户端所有操作请求都需要附带客户端数字证书和移动终端加密芯片序列号，接受服务端审核。
[n0026] 有益效果
[n0027] 采用本实用新型提供的技术方案，与已知的公有技术相比，具有如下有益效果：
[n0028] 1、安全性高；本实用新型通过将系统架构系统整体部署在电力综合数据网内，完全基于电力系统内部网络，与互联网完全隔离，从根源上屏蔽了可能从电力系统外部入侵的网络安全风险；对设备的认证和对电网数据、用户信息的保护覆盖整个业务流程，安防策略十分严密。
[n0029] 2、管控能力强；本实用新型通过通过系统架构下必用的设备包括部署有服务端的Web平台服务器、部署有客户端的办公电脑和移动终端，通过在设备管理、人员使用和设备间的数据传输方面设置多种认证网关，进行多个方面的安全认证，能够帮助移动终端用户实现全方位的网络信息安全管控。本方法的应用有助于移动终端用户主动发现并提前消除网络信息安全隐患。
[n0030] 3、适用范围广；本实用新型为电力系统所有领域提供了一种安全、合规使用和管理移动终端的方式，有利于移动终端在传统电力行业内得到更大的发展空间，促进更多的便携式移动应用的开发，提高工作效率。
[n0031] 为了更清楚地说明本实用新型实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。显而易见地，下面描述中的附图仅仅是本实用新型的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[n0032] 图1为本实用新型的系统架构应用示意图；
[n0033] 图2为本实用新型的移动终端、客户端和服务端认证网关设置示意图；
[n0034] 图3为本实用新型的客户端安全认证步骤示意图；
[n0035] 图4为本实用新型的移动终端安全认证步骤示意图；
[n0036] 为使本实用新型实施例的目的、技术方案和优点更加清楚，下面将结合本实用新型实施例中的附图，对本实用新型实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例是本实用新型一部分实施例，而不是全部的实施例。基于本实用新型中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本实用新型保护的范围。
[n0037] 下面结合实施例对本实用新型作进一步的描述。
[n0038] 实施例
[n0039] 本实施例公开的一种电力系统移动终端的安全认证系统，系统架构部署在电力综合数据网内，电力综合数据网与外网间设有隔离模块，隔离模块包括正向隔离装置和反向隔离装置；系统架构包括电力综合数据网交换机，多个独立设置的电力综合数据网交换机通过光纤进行数据连接，一起组成电力综合数据网。
[n0040] 以及Web平台服务器，其上部署有用于系统业务的计算、数据库、系统设置、客户端管理和信息库维护的服务端，Web平台服务器采用网线连接硬件防火墙和电力综合数据网交换机。以及上位机，其上部署有用于实现人机交互操作、移动终端连接和管理和数据管理的本地服务的客户端，上位机采用网线连接硬件防火墙和电力综合数据网交换机。
[n0041] 以及移动终端，移动终端内置有系统业务功能的app，用于提供系统主要业务的便携式应用，包括离线数据下载和查询、现场数据采集和上传、表单填写等。移动终端的数据接口处设有加密芯片，并通过数据线与客户端连接，每个客户端仅能与一台移动终端进行数据通信。
[n0042] 其中，服务端、客户端和移动终端均设有单方认证网关，且彼此之间共同设有双方认证网关和三方认证网关。
[n0043] 参照图1，本实施例中将系统架构具体应用在供电局的电力系统中，通过将Web平台服务器设置供电局通信机房内，经过网线、硬件防火墙A和电力综合数据网交换机A接入电力综合数据网，将供电局各科室人员使用的办公电脑A作为上位机设置于科室办公室内，经过网线、硬件防火墙B和电力综合数据网交换机B接入电力综合数据网。修试所各班组人员使用的办公电脑N作为上位机设置于班组办公室内，经过网线、硬件防火墙N和电力综合数据网交换机N接入电力综合数据网。供电局的各科室人员使用的移动终端A，经过数据线与办公电脑A连接，以及修试所的各班组人员使用的移动终端N，经过数据线与办公电脑N连接。
[n0044] 通过将系统架构系统整体部署在电力综合数据网内，完全基于电力系统内部网络，与互联网完全隔离，从根源上屏蔽了可能从电力系统外部入侵的网络安全风险。
[n0045] 本实施例优选地，移动终端设有开机密码设置功能和指纹识别模块，但不设置网卡功能，仅通过专用数据线与客户端进行数据通信。使得移动终端在开机登录认证和方式上拥有数字密码和指纹密码两种方式，可以很好地提高使用时的便捷性。其中，设置与移动终端的数据接口处设有加密芯片采用的加密数据中包含了可被客户端识别的唯一的芯片序列号，序列号存储在服务端的认证信息库中，服务端将自动通过认证信息库对客户端用户信息和移动终端加密芯片序列号信息进行审核。
[n0046] 参照图2，服务端、客户端和移动终端均设有单方认证网关，且彼此之间共同设有双方认证网关和三方认证网关，实现三方安全认证，其中三方安全认证分别在服务端、客户端和移动终端中的具体认证步骤如下：
[n0047] 移动终端：
[n0048] 1.单方认证网关，开机密码/指纹认证网关：使用人员可在移动终端中设置开机密码或录入指纹用于解锁移动终端，避免移动终端遗失造成信息泄露。
[n0049] 2.双方认证网关，App账户(关联客户端)密码认证网关：使用人员登录移动终端app时需输入与该移动终端绑定的客户端用户的账户和密码，避免移动终端遗失造成信息泄露。
[n0050] 3.三方认证网关，a.客户端连接认证网关：移动终端只能被安装有客户端的电脑识别和建立连接，只能被已绑定的客户端用户进行登录和管理。客户端任何操作请求都将附带客户端数字证书和移动终端加密芯片序列号，接受服务端审核。b.数据加密认证网关：移动终端、客户端和服务端都采用同一套数据加密算法，三者间传输的任何数据都是被加密的，避免数据被截获或读取。
[n0051] 客户端：
[n0052] 1.单方认证网关，开机密码认证网关：使用人员可在办公电脑中设置开机密码用于登录操作系统，避免其他人员登录造成信息泄露。
[n0053] 2.双方认证网关，a.客户端(关联移动终端)账户密码认证网关：使用人员登录客户端时需输入账户和密码，移动终端和服务端都将对用户信息进行认证，避免其他人员登录造成信息泄露。b.服务端数字证书认证网关：使用客户端前必须下载安装服务端提供的数字证书，只有具备配对证书的服务端才是可信任的。
[n0054] 3.三方认证网关，a.移动终端连接认证网关：客户端只能识别和连接合法移动终端设备，只能登录和管理已绑定的移动终端。客户端任何操作请求都将附带客户端数字证书和移动终端加密芯片序列号，接受服务端审核。b.数据加密认证网关：移动终端、客户端和服务端都采用同一套数据加密算法，三者间传输的任何数据都是被加密的，避免数据被截获或读取。
[n0055] 服务端：
[n0056] 1.单方认证网关，a.开机密码认证网关：系统管理员可在服务器中设置开机密码用于登录系统进行设置，避免其他人员登录造成信息泄露。b.服务端账户密码认证网关：系统管理员登录服务端时需输入账户和密码，避免其他人员登录造成系统破坏和信息泄露。
[n0057] 2.三方认证网关，a.通信机房工作票认证网关：只有开具了工作票才能进入机房操作Web平台服务器，一般只有指定的系统管理员具备此项权限。b.人员权限管理认证网关：服务端会对服务端、客户端、移动终端当前登录用户的所有操作都进行人员权限管理认证，对用户权限外的信息和操作按钮将被屏蔽，避免专项信息泄露。c.客户端数字证书认证网关：使用客户端前必须下载安装服务端提供的数字证书，只有具备配对证书的客户端才是可信任的；客户端任何操作请求都将附带客户端数字证书和移动终端加密芯片序列号，接受服务端审核。d.移动终端信息库认证网关：客户端任何操作请求都将附带客户端数字证书和移动终端加密芯片序列号，接受服务端审核；只有加密芯片序列号在信息库中的，才是合法的移动终端设备。非法的移动终端设备不能完成客户端绑定，也不能进行任何操作。e.数据加密认证网关：移动终端、客户端和服务端都采用同一套数据加密算法，三者间传输的任何数据都是被加密的，避免数据被截获或读取。
[n0058] 在系统的运行过程中，通过移动终端、客户端和服务端三方相互的安全认证来规避任意一方的程序错误或操作不当造成的网络信息安全风险，保障本实用新型提出的电力系统移动终端的安全认证方法的可靠实施。
[n0059] 本系统在执行前，需要进行客户端安全认证和移动终端安全认证，其具体为：
[n0060] 参照图3：客户端安全认证步骤如下：
[n0061] 1、申请使用客户端的人员通过离线方式向所在部门管理人员递交包含：姓名、手机号码、所属部门、职位等人员身份信息的申报材料。2、部门管理人员对申请人员的申报材料进行审核，审核通过后由部门管理人员递交给系统管理员。3、系统管理员在Web平台服务器上登录服务端，在人员管理功能页面中统一完成注册，用户账号默认为手机号。4、注册成功后，系统为每个用户随机生成密码，系统管理员将随机密码通过短信或电话的方式告知该申请人员。5、申请人员通过办公电脑浏览器访问Web页面上的客户端。6、根据客户端提示下载数字证书并完成证书安装，后续若更换办公电脑需重新下载和安装证书。7、申请人员使用手机号码账户和随机生成密码登陆客户端。8、申请人员在客户端内完成个人密码修改。9、个人密码修改成功即代表已完成客户端注册，正式成为系统用户。
[n0062] 参照图4：移动终端安全认证步骤如下：
[n0063] 1、移动终端由单位统一发放，各部门管理人员向设备管理部门申领。2、使用人员将移动终端通过专用数据线插入办公电脑。3、使用人员在办公电脑上登录客户端，执行此步骤前需先完成2.3.1客户端安全认证步骤。4、客户端自动识别插入的移动终端加密芯片序列号，对没有安装加密芯片的移动终端，客户端将无法识别，显示“未找到移动终端设备”。5、客户端在识别移动终端加密芯片序列号后，显示“成功连接移动终端”。6、使用人员可在客户端设置中提交绑定当前移动终端的申请。7、服务端将自动通过认证信息库对客户端用户信息和移动终端加密芯片序列号信息进行审核，每个客户端用户只能绑定一台移动终端，若双方已有绑定对象则不能通过审核，需先进行解绑操作。解绑申请需经过系统管理员审核通过后方可完成解绑，解绑成功后可再次进行绑定申请。8、服务端认证信息库审核通过后，客户端与移动终端绑定成功。9、完成以上步骤即代表完成移动终端授权。
[n0064] 本系统在功能模块结构的设计、网络架构的设计、设备的授权认证与使用管理、人员的身份认证与权限管理、数据加密等方面对电力系统移动终端的应用进行全方位的安全管控。服务端和客户端采用了基于电力综合数据网的Web服务平台架构，既满足互联网隔离要求，又便于电力系统用户使用。移动终端则采用统一授权、芯片加密、专用数据线连接、客户端一对一管理、三方联合认证的使用模式，保障移动终端兼顾安全性与便携性需求。
[n0065] 以上实施例仅用以说明本实用新型的技术方案，而非对其限制；尽管参照前述实施例对本实用新型进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不会使相应技术方案的本质脱离本实用新型各实施例技术方案的精神和范围。精神和范围。

权利要求:
Claims (7)
[0001] 1.一种电力系统移动终端的安全认证系统，其特征在于，系统架构部署在电力综合数据网内，所述电力综合数据网与外网之间设有隔离模块，所述系统架构包括：
电力综合数据网交换机，多个所述电力综合数据网交换机通过光纤进行数据连接，共同组成所述电力综合数据网；
Web平台服务器，所述Web平台服务器上部署有用于系统业务的计算的服务端，所述Web平台服务器采用网线连接硬件防火墙和电力综合数据网交换机；
上位机，所述上位机上部署有用于实现人机交互操作的客户端，所述上位机采用网线连接硬件防火墙和电力综合数据网交换机；
移动终端，内置有系统业务功能的app，所述移动终端的数据接口处设有加密芯片，并通过数据线与所述客户端连接，每个客户端仅能与一台所述移动终端进行数据通信；
其中，所述服务端、客户端和移动终端均设有单方认证网关，且彼此之间共同设有双方认证网关和三方认证网关。
[0002] 2.根据权利要求1所述的一种电力系统移动终端的安全认证系统，其特征在于，所述移动终端设有开机密码设置功能和指纹识别模块。
[0003] 3.根据权利要求1所述的一种电力系统移动终端的安全认证系统，其特征在于，所述芯片采用的加密数据中包含了可被客户端识别的唯一的芯片序列号，所述序列号存储在服务端的认证信息库中。
[0004] 4.根据权利要求1所述的一种电力系统移动终端的安全认证系统，其特征在于，所述Web平台服务器、上位机和移动终端均设有开机密码认证网关，所述开机密码认证网关用于开机登录时需输入开机密码，其中所述移动终端包括数字密码认证和指纹密码认证两种方式。
[0005] 5.根据权利要求4所述的一种电力系统移动终端的安全认证系统，其特征在于，所述单方认证网关包括账户密码认证网关，所述账户密码认证网关用于管理在登录客户端及服务端时需输入账户和密码。
[0006] 6.根据权利要求1所述的一种电力系统移动终端的安全认证系统，其特征在于，所述双方认证网关主要包括关联认证网关和数字证书认证网关，所述关联认证网关用于客户端、移动终端中的一方在登录时，需要同时输入另一方的账户和密码；所述数字证书认证网关用于限制使用客户端前必须下载安装服务端提供的数字证书。
[0007] 7.根据权利要求1所述的一种电力系统移动终端的安全认证系统，其特征在于，所述三方认证网关主要包括：
数据加密认证网关，用于提供移动终端、客户端和服务端之间数据的加密传输服务；
人员权限管理认证网关，用于对服务端、客户端、移动终端当前登录用户的所有操作都进行人员权限管理认证；
连接认证网关，用于控制移动终端仅能被安装有客户端的上位机识别和建立连接，仅能被已绑定的客户端用户进行登录和管理；所述客户端所有操作请求都需要附带客户端数字证书和移动终端加密芯片序列号，接受服务端审核。

类似技术:

公开号 | 公开日 | 专利标题

CN101582769B|2012-07-04|用户接入网络的权限设置方法和设备

CN105187362A|2015-12-23|一种桌面云客户端和服务端之间连接认证的方法及装置

CN104283886B|2017-12-29|一种基于智能终端本地认证的web安全访问的实现方法

CN104753887B|2018-02-23|安全管控实现方法、系统及云桌面系统

CN101841525A|2010-09-22|安全接入方法、系统及客户端

CN103152179A|2013-06-12|一种适用于多应用系统的统一身份认证方法

CN102457509B|2015-09-16|云计算资源安全访问方法、装置及系统

CN103780397A|2014-05-07|一种多屏多因子便捷web身份认证方法

CN109981561A|2019-07-05|单体架构系统迁移到微服务架构的用户认证方法

CN103312744A|2013-09-18|一种基于云桌面的业务办理方法、平台及系统

CN103455763A|2013-12-18|一种保护用户个人隐私的上网日志记录系统及方法

CN103581184A|2014-02-12|移动终端访问企业内网服务器的方法和系统

CN101986598B|2013-03-13|认证方法、服务器及系统

CN105262774A|2016-01-20|一种远程登录方法

CN106657032A|2017-05-10|基于安全介质保密短信实现身份鉴别及数据认证的系统及方法

CN108833363A|2018-11-16|一种区块链权限管理方法及系统

CN101964800A|2011-02-02|一种在ssl vpn中对数字证书用户认证的方法

CN104038481A|2014-09-10|一种电力资产管理主站系统与rfid终端之间的通讯方法

CN105119716A|2015-12-02|一种基于sd卡的密钥协商方法

CN104125230A|2014-10-29|一种短信认证服务系统以及认证方法

CN102404112A|2012-04-04|一种可信终端接入认证方法

CN104767621A|2015-07-08|一种移动应用访问企业数据的单点安全认证方法

CN110535851A|2019-12-03|一种基于oauth2协议的用户认证系统

CN1481109A|2004-03-10|基于无线传输平台的动态密码身份认证系统

CN214337932U|2021-10-01|一种电力系统移动终端的安全认证系统

同族专利:

公开号 | 公开日

引用文献:

公开号 | 申请日 | 公开日 | 申请人 | 专利标题

法律状态:
2021-10-01| GR01| Patent grant|

2021-10-01| GR01| Patent grant|

优先权:

申请号 | 申请日 | 专利标题

CN202022454364.0U|CN214337932U|2020-10-29|2020-10-29|一种电力系统移动终端的安全认证系统|CN202022454364.0U| CN214337932U|2020-10-29|2020-10-29|一种电力系统移动终端的安全认证系统|

[返回顶部]