一种电力系统5G通信网络安全防护方法及装置

技术领域

本说明书实施例涉及网络安全技术领域，特别涉及一种电力系统5G通信网络安全防护方法。

背景技术

随着新型电力系统加快构建，电网调度运行模式逐步向源网荷储协调控制、发输配用多级协同方向转变，新能源场站调控、精准负荷控制等电网控制类业务需求不断涌现，对电力通信覆盖范围、带宽延时、可靠性、安全性提出了更高要求。

传统新能源场站通信网络一般采用光纤传输网。新能源场站一般位于偏僻地区，占地面积大，基础设施薄弱，自然环境恶劣，导致光纤铺设路由长，施工难度大，网络建设周期长，投资大。在日常维护中，光纤路由容易遭受外力破坏，因此维护困难，光纤网络灵活性较差，不便于整个通信网络后期的扩容和调整。此外，由于光纤为有线连接，无法满足无人机巡查、智能机器人等各类新型移动电力应用的通信需求。由此，亟需一种更好的方案。

发明内容

有鉴于此，本说明书实施例提供了一种电力系统5G通信网络安全防护方法。本说明书一个或者多个实施例同时涉及一种电力系统5G通信网络安全防护装置，一种计算设备，一种计算机可读存储介质以及一种计算机程序，以解决现有技术中存在的技术缺陷。

根据本说明书实施例的第一方面，提供了一种电力系统5G通信网络安全防护方法，包括二次鉴权装置、网络安全接入装置和终端设备，方法包括：

二次鉴权装置配置组网服务，确定组网参数和组网证书；

网络安全接入装置进行一次鉴权，确定一次鉴权结果；

在一次鉴权结果为成功的情况下，网络安全接入装置通过组网参数和组网证书进行二次鉴权，确定二次鉴权结果；

在二次鉴权结果为成功的情况下，终端设备向二次鉴权装置发送接入请求，并接收二次鉴权装置针对接入请求的反馈消息，基于反馈消息进行通信。

在一种可能的实现方式中，二次鉴权装置配置组网服务，确定组网参数和组网证书，包括：

二次鉴权装置启动VPN服务和DHCP服务，并响应于MAC地址添加指令，基于MAC地址添加指令在MAC地址白名单中添加目标MAC地址；

基于VPN服务生成组网参数和组网证书。

在一种可能的实现方式中，网络安全接入装置进行一次鉴权，确定一次鉴权结果，包括：

网络安全接入装置通过通信单元进行5G网络注册，确定注册结果；

根据注册结果确定一次鉴权结果。

在一种可能的实现方式中，在确定一次鉴权结果之后，还包括：

网络安全接入装置发起拨号操作，确定拨号结果；

在拨号结果为成功的情况下，获取网络地址。

在一种可能的实现方式中，网络安全接入装置通过组网参数和组网证书进行二次鉴权，确定二次鉴权结果，包括：

网络安全接入装置通过组网参数和组网证书，向二次鉴权装置发送建立VPN请求，并获取二次鉴权装置针对建立VPN请求的反馈结果；

基于反馈结果确定二次鉴权结果。

在一种可能的实现方式中，终端设备向二次鉴权装置发送接入请求之后，还包括：

二次鉴权装置基于接入请求获取终端设备的MAC地址；

基于MAC地址白名单对终端设备的MAC地址进行匹配，确定匹配结果；

基于匹配结果生成反馈消息。

在一种可能的实现方式中，基于匹配结果生成反馈消息，包括：

在匹配结果为MAC地址白名单中存在终端设备的MAC地址的情况下，通过DHCP服务向终端设备分配业务网络地址；

在匹配结果为MAC地址白名单中不存在终端设备的MAC地址的情况下，拒绝向终端设备分配业务网络地址。

根据本说明书实施例的第二方面，提供了一种电力系统5G通信网络安全防护装置，包括：

启动模块，被配置为二次鉴权装置配置组网服务，确定组网参数和组网证书；

一次鉴权模块，被配置为网络安全接入装置进行一次鉴权，确定一次鉴权结果；

二次鉴权模块，被配置为在一次鉴权结果为成功的情况下，网络安全接入装置通过组网参数和组网证书进行二次鉴权，确定二次鉴权结果；

通信模块，被配置为在二次鉴权结果为成功的情况下，终端设备向二次鉴权装置发送接入请求，并接收二次鉴权装置针对接入请求的反馈消息，基于反馈消息进行通信。

根据本说明书实施例的第三方面，提供了一种计算设备，包括：

存储器和处理器；

所述存储器用于存储计算机可执行指令，所述处理器用于执行所述计算机可执行指令，该计算机可执行指令被处理器执行时实现上述一种电力系统5G通信网络安全防护方法的步骤。

根据本说明书实施例的第四方面，提供了一种计算机可读存储介质，其存储有计算机可执行指令，该指令被处理器执行时实现上述一种电力系统5G通信网络安全防护方法的步骤。

根据本说明书实施例的第五方面，提供了一种计算机程序，其中，当所述计算机程序在计算机中执行时，令计算机执行上述一种电力系统5G通信网络安全防护方法的步骤。

本说明书实施例提供一种电力系统5G通信网络安全防护方法及装置，其中包括二次鉴权装置、网络安全接入装置和终端设备，方法包括：二次鉴权装置配置组网服务，确定组网参数和组网证书；网络安全接入装置进行一次鉴权，确定一次鉴权结果；在一次鉴权结果为成功的情况下，网络安全接入装置通过组网参数和组网证书进行二次鉴权，确定二次鉴权结果；在二次鉴权结果为成功的情况下，终端设备向二次鉴权装置发送接入请求，并接收二次鉴权装置针对接入请求的反馈消息，基于反馈消息进行通信。简化了网络建设，提高了网络安全性和网络适应性。

附图说明

图1是本说明书一个实施例提供的一种电力系统5G通信网络安全防护方法的场景示意图；

图2是本说明书一个实施例提供的一种电力系统5G通信网络安全防护方法的流程图；

图3是本说明书一个实施例提供的一种电力系统5G通信网络安全防护装置的结构示意图；

图4是本说明书一个实施例提供的一种计算设备的结构框图。

具体实施方式

在下面的描述中阐述了很多具体细节以便于充分理解本说明书。但是本说明书能够以很多不同于在此描述的其它方式来实施，本领域技术人员可以在不违背本说明书内涵的情况下做类似推广，因此本说明书不受下面公开的具体实施的限制。

在本说明书一个或多个实施例中使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本说明书一个或多个实施例。在本说明书一个或多个实施例和所附权利要求书中所使用的单数形式的“一种”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本说明书一个或多个实施例中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本说明书一个或多个实施例中可能采用术语第一、第二等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本说明书一个或多个实施例范围的情况下，第一也可以被称为第二，类似地，第二也可以被称为第一。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

在本说明书中，提供了一种电力系统5G通信网络安全防护方法，本说明书同时涉及一种电力系统5G通信网络安全防护装置，一种计算设备，以及一种计算机可读存储介质，在下面的实施例中逐一进行详细说明。

参见图1，图1示出了根据本说明书一个实施例提供的一种电力系统5G通信网络安全防护方法的场景示意图。

在图1的应用场景中，通过5G接入的两次鉴权认证实现各类终端的安全接入。主要设备包括二次鉴权装置和5G安全接入装置。

具体的，一次鉴权使用GSMA标准的eSIM芯片与5G核心网实现，二次鉴权使用安装了国网统一密码服务平台签发的数字证书的eSAM芯片与二次鉴权装置实现。两次鉴权通过后，5G安全接入装置与二次鉴权装置建立VPN连接，并由二次鉴权装置为MAC白名单中的逆变器等终端设备分配业务IP，实现5G专网承载新能源场站终端设备的安全接入，保障业务通信的安全。

参见图2，图2示出了根据本说明书一个实施例提供的一种电力系统5G通信网络安全防护方法的流程图，具体包括以下步骤。

步骤201：二次鉴权装置配置组网服务，确定组网参数和组网证书。

在一种可能的实现方式中，二次鉴权装置配置组网服务，确定组网参数和组网证书，包括：二次鉴权装置启动VPN服务和DHCP服务，并响应于MAC地址添加指令，基于MAC地址添加指令在MAC地址白名单中添加目标MAC地址；基于VPN服务生成组网参数和组网证书。

在实际应用中，二次鉴权装置启动。启动VPN服务，启动DHCP服务。向二次鉴权装置的终端设备MAC地址白名单中添加准备接入终端的MAC地址。配置5G安全接入装置的VPN参数，添加二次鉴权装置下发的数字证书。

步骤202：网络安全接入装置进行一次鉴权，确定一次鉴权结果。

在一种可能的实现方式中，网络安全接入装置进行一次鉴权，确定一次鉴权结果，包括：网络安全接入装置通过通信单元进行5G网络注册，确定注册结果；根据注册结果确定一次鉴权结果。

在实际应用中，5G安全接入装置启动。使用eSIM注册5G网络(一次鉴权)。如果注网失败认为一次鉴权失败，后续过程停止。

在一种可能的实现方式中，在确定一次鉴权结果之后，还包括：网络安全接入装置发起拨号操作，确定拨号结果；在拨号结果为成功的情况下，获取网络地址。

在实际应用中，一次鉴权成功后，向网络发起拨号。拨号成功核心网分配5G网络IP地址。

步骤203：在一次鉴权结果为成功的情况下，网络安全接入装置通过组网参数和组网证书进行二次鉴权，确定二次鉴权结果。

在一种可能的实现方式中，网络安全接入装置通过组网参数和组网证书进行二次鉴权，确定二次鉴权结果，包括：网络安全接入装置通过组网参数和组网证书，向二次鉴权装置发送建立VPN请求，并获取二次鉴权装置针对建立VPN请求的反馈结果；基于反馈结果确定二次鉴权结果。

在实际应用中，5G安全接入装置检测到拨号成功，发起二次鉴权。根据预先配置好的VPN参数和数字证书向二次鉴权装置发送建立VPN请求。如果VPN建立成功认为二次鉴权成功，否则后续过程停止。

步骤204：在二次鉴权结果为成功的情况下，终端设备向二次鉴权装置发送接入请求，并接收二次鉴权装置针对接入请求的反馈消息，基于反馈消息进行通信。

在一种可能的实现方式中，终端设备向二次鉴权装置发送接入请求之后，还包括：二次鉴权装置基于接入请求获取终端设备的MAC地址；基于MAC地址白名单对终端设备的MAC地址进行匹配，确定匹配结果；基于匹配结果生成反馈消息。

在实际应用中，当5G安全接入装置通过二次鉴权后，5G安全接入装置及终端设备都接入到VPN网络中。这时当终端设备网络或接入状态发生改变时，终端设备将向VPN的DHCP发送分配业务IP地址请求。

在一种可能的实现方式中，基于匹配结果生成反馈消息，包括：在匹配结果为MAC地址白名单中存在终端设备的MAC地址的情况下，通过DHCP服务向终端设备分配业务网络地址；在匹配结果为MAC地址白名单中不存在终端设备的MAC地址的情况下，拒绝向终端设备分配业务网络地址。

在实际应用中，DHCP根据预制的终端设备MAC地址白名单对DHCP请求设备进行检查。DHCP向MAC地址匹配的终端设备分配业务IP地址，终端设备完成安全接入过程。对于不在MAC地址白名单的设备，拒绝分配业务IP地址。

需要说明的是，二次鉴权装置是具备SM1、SM2、SM3和SM4密码算法运算能力的高性能网络安全接入控制产品，通过数字证书实现终端设备身份识别，综合利用密码运算、访问控制、网络防护等安全技术手段，结合安全访问策略，保障终端的安全接入。

进一步的，二次鉴权装置包括独立的管理接口，通过分级的角色管理、管理IP地址限制等安全措施，最小化操作人员的权限，保障安全网关控制策略管理的安全性。可防范常见的网络攻击，诸如Teardrop、Ping of death、Smurf等攻击方式，也可以抵御传统的DDOS攻击，例如ICMP flood、Syn flood、UDP flood和DNS flood等。

本说明书实施例提供一种电力系统5G通信网络安全防护方法及装置，其中包括二次鉴权装置、网络安全接入装置和终端设备，方法包括：二次鉴权装置配置组网服务，确定组网参数和组网证书；网络安全接入装置进行一次鉴权，确定一次鉴权结果；在一次鉴权结果为成功的情况下，网络安全接入装置通过组网参数和组网证书进行二次鉴权，确定二次鉴权结果；在二次鉴权结果为成功的情况下，终端设备向二次鉴权装置发送接入请求，并接收二次鉴权装置针对接入请求的反馈消息，基于反馈消息进行通信。简化了网络建设，提高了网络安全性和网络适应性。

与上述方法实施例相对应，本说明书还提供了一种电力系统5G通信网络安全防护装置实施例，图3示出了本说明书一个实施例提供的一种电力系统5G通信网络安全防护装置的结构示意图。如图3所示，该装置包括：

启动模块301，被配置为二次鉴权装置配置组网服务，确定组网参数和组网证书；

一次鉴权模块302，被配置为网络安全接入装置进行一次鉴权，确定一次鉴权结果；

二次鉴权模块303，被配置为在一次鉴权结果为成功的情况下，网络安全接入装置通过组网参数和组网证书进行二次鉴权，确定二次鉴权结果；

通信模块304，被配置为在二次鉴权结果为成功的情况下，终端设备向二次鉴权装置发送接入请求，并接收二次鉴权装置针对接入请求的反馈消息，基于反馈消息进行通信。

在一种可能的实现方式中，启动模块301，还被配置为：

二次鉴权装置启动VPN服务和DHCP服务，并响应于MAC地址添加指令，基于MAC地址添加指令在MAC地址白名单中添加目标MAC地址；

基于VPN服务生成组网参数和组网证书。

在一种可能的实现方式中，一次鉴权模块302，还被配置为：

网络安全接入装置通过通信单元进行5G网络注册，确定注册结果；

根据注册结果确定一次鉴权结果。

在一种可能的实现方式中，一次鉴权模块302，还被配置为：

在确定一次鉴权结果之后，还包括：

网络安全接入装置发起拨号操作，确定拨号结果；

在拨号结果为成功的情况下，获取网络地址。

在一种可能的实现方式中，二次鉴权模块303，还被配置为：

网络安全接入装置通过组网参数和组网证书，向二次鉴权装置发送建立VPN请求，并获取二次鉴权装置针对建立VPN请求的反馈结果；

基于反馈结果确定二次鉴权结果。

在一种可能的实现方式中，二次鉴权模块303，还被配置为：

终端设备向二次鉴权装置发送接入请求之后，还包括：

二次鉴权装置基于接入请求获取终端设备的MAC地址；

基于MAC地址白名单对终端设备的MAC地址进行匹配，确定匹配结果；

基于匹配结果生成反馈消息。

在一种可能的实现方式中，通信模块304，还被配置为：

在匹配结果为MAC地址白名单中存在终端设备的MAC地址的情况下，通过DHCP服务向终端设备分配业务网络地址；

在匹配结果为MAC地址白名单中不存在终端设备的MAC地址的情况下，拒绝向终端设备分配业务网络地址。

上述为本实施例的一种电力系统5G通信网络安全防护装置的示意性方案。需要说明的是，该一种电力系统5G通信网络安全防护装置的技术方案与上述的一种电力系统5G通信网络安全防护方法的技术方案属于同一构思，一种电力系统5G通信网络安全防护装置的技术方案未详细描述的细节内容，均可以参见上述一种电力系统5G通信网络安全防护方法的技术方案的描述。

图4示出了根据本说明书一个实施例提供的一种计算设备400的结构框图。该计算设备400的部件包括但不限于存储器410和处理器420。处理器420与存储器410通过总线430相连接，数据库450用于保存数据。

计算设备400还包括接入设备440，接入设备440使得计算设备400能够经由一个或多个网络460通信。这些网络的示例包括公用交换电话网(PSTN，Public SwitchedTelephone Network)、局域网(LAN，Local Area Network)、广域网(WAN，Wide AreaNetwork)、个域网(PAN，Personal Area Network)或诸如因特网的通信网络的组合。接入设备440可以包括有线或无线的任何类型的网络接口(例如，网络接口卡(NIC，networkinterface controller))中的一个或多个，诸如IEEE802.11无线局域网(WLAN，WirelessLocal Area Network)无线接口、全球微波互联接入(Wi-MAX，WorldwideInteroperability for Microwave Access)接口、以太网接口、通用串行总线(USB，Universal Serial Bus)接口、蜂窝网络接口、蓝牙接口、近场通信(NFC，Near FieldCommunication)。

在本说明书的一个实施例中，计算设备400的上述部件以及图4中未示出的其他部件也可以彼此相连接，例如通过总线。应当理解，图4所示的计算设备结构框图仅仅是出于示例的目的，而不是对本说明书范围的限制。本领域技术人员可以根据需要，增添或替换其他部件。

计算设备400可以是任何类型的静止或移动计算设备，包括移动计算机或移动计算设备(例如，平板计算机、个人数字助理、膝上型计算机、笔记本计算机、上网本等)、移动电话(例如，智能手机)、可佩戴的计算设备(例如，智能手表、智能眼镜等)或其他类型的移动设备，或者诸如台式计算机或个人计算机(PC，Personal Computer)的静止计算设备。计算设备400还可以是移动式或静止式的服务器。

其中，处理器420用于执行如下计算机可执行指令，该计算机可执行指令被处理器执行时实现上述一种电力系统5G通信网络安全防护方法的步骤。上述为本实施例的一种计算设备的示意性方案。需要说明的是，该计算设备的技术方案与上述的一种电力系统5G通信网络安全防护方法的技术方案属于同一构思，计算设备的技术方案未详细描述的细节内容，均可以参见上述一种电力系统5G通信网络安全防护方法的技术方案的描述。

本说明书一实施例还提供一种计算机可读存储介质，其存储有计算机可执行指令，该计算机可执行指令被处理器执行时实现上述一种电力系统5G通信网络安全防护方法的步骤。

上述为本实施例的一种计算机可读存储介质的示意性方案。需要说明的是，该存储介质的技术方案与上述的一种电力系统5G通信网络安全防护方法的技术方案属于同一构思，存储介质的技术方案未详细描述的细节内容，均可以参见上述一种电力系统5G通信网络安全防护方法的技术方案的描述。

本说明书一实施例还提供一种计算机程序，其中，当所述计算机程序在计算机中执行时，令计算机执行上述一种电力系统5G通信网络安全防护方法的步骤。

上述为本实施例的一种计算机程序的示意性方案。需要说明的是，该计算机程序的技术方案与上述的一种电力系统5G通信网络安全防护方法的技术方案属于同一构思，计算机程序的技术方案未详细描述的细节内容，均可以参见上述一种电力系统5G通信网络安全防护方法的技术方案的描述。

上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

所述计算机指令包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是，所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减，例如在某些司法管辖区，根据立法和专利实践，计算机可读介质不包括电载波信号和电信信号。

需要说明的是，对于前述的各方法实施例，为了简便描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本说明书实施例并不受所描述的动作顺序的限制，因为依据本说明书实施例，某些步骤可以采用其它顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定都是本说明书实施例所必须的。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其它实施例的相关描述。

以上公开的本说明书优选实施例只是用于帮助阐述本说明书。可选实施例并没有详尽叙述所有的细节，也不限制该发明仅为所述的具体实施方式。显然，根据本说明书实施例的内容，可作很多的修改和变化。本说明书选取并具体描述这些实施例，是为了更好地解释本说明书实施例的原理和实际应用，从而使所属技术领域技术人员能很好地理解和利用本说明书。本说明书仅受权利要求书及其全部范围和等效物的限制。