基于国网链和国网云一体设备身份接入平台

摘要

本发明公开了基于国网链和国网云一体设备身份接入平台，具体涉及身份接入技术领域，包括信息采集模块，所述信息采集模块用于采集在电网系统中工作的人员信息；信息存储模块，所述信息存储模块的输入端与信息采集模块的输出端相连接，所述信息存储模块用于存储信息采集模块所采集到的信息。本发明通过终端设备IP地址识别单元对外来终端设备进行识别，并利用IP地址比对单元将识别出来的终端设备的IP地址信息与信息采集模块中存储的IP地址信息进行比对，再利用访问权限限制单元限制该设备的访问范围、利用授权认证单元发送验证码确定该终端设备的安全性，以保障电网系统的安全性，保证只有安全的终端设备才能够接入到国网链和国网云中。

说明书

技术领域

本发明涉及身份接入技术领域，更具体地说是基于国网链和国网云一体设备身份接入平台。

背景技术

近年来，国家电网公司能源流、信息流、业务流高度融合发展的能源互联网建设全面升级，打造具备强大公共服务能力的区块链公共服务平台——“国网链”，直接服务于能源互联网建设，对内提质增效，对外融通发展，被称为“信任机器”的“区块链”站在了时代的高光之下。“区块链”是一种新型软件技术，能够实现价值转移。现在，金融、互联网管理、政府工作、医疗、版权管理、物联网、能源等越来越多的行业开始使用区块链。它综合分布式数据存储、点对点传输、共识机制、加密算法等计算机技术。其本质是一个去中心化的数据库，是一串与密码学方法相关联的数据块，每一个数据块中包含了一批次网络交易的信息，用于验证信息的有效性。互联网就像是信息高速公路，而区块链让信息社会更安全、更高效。

此外，国家电网发布的“国网云”包括企业管理云、公共服务云和生产控制云三部分(以下简称“三朵云”)，由一体化“国网云”平台(以下简称“云平台”)及其支撑的各类业务应用组成。企业管理云是覆盖管理大区的资源及服务，支撑企业管理、分析决策、综合管理类业务；公共服务云是覆盖外网区域的资源及服务，支撑电力营销、客户服务、电子商务等业务；生产控制云是覆盖生产大区的资源及服务，支撑调控运行及其管理业务。三朵云所依托的云平台由云基础设施、云平台组件、云服务中心和云安全套件组成，能够实现设施、数据、服务、应用等IT资源的一体化管理，进一步提升信息存储、传输、集成、共享等服务水平，有力促进业务集成融合，缩短应用上线周期，快速响应业务变化，显著提升用户体验，增强系统运行可靠性。

国家电网的安全关系到每个用电的居民、企业、单位等的日常生活，随着国网链和国网云的推广，虽然极大程度上提高了电网行业的工作效率，但是在网络技术不断发展的今天也会有不法分子通过网络的渠道威胁到电网系统的安全，外来的计算机由于业务需要接入电网系统时，如果未对该外来的计算机加以识别，将会造成安全隐患，威胁到电网系统的安全，而且由于不法分子都是通过远程侵入电网系统，在发现电网存在入侵危险时难以第一时间发现入侵者的地理位置。

发明内容

为了克服现有技术的上述缺陷，本发明提供基于国网链和国网云一体设备身份接入平台，通过终端设备IP地址识别单元对登录人员所使用的外来终端设备进行识别，并利用IP地址比对单元将识别出来的终端设备的IP地址信息与信息采集模块中存储的IP地址信息进行比对，再利用访问权限限制单元限制该设备的访问范围、利用授权认证单元发送验证码确定该终端设备的安全性，以保障电网系统的安全性，保证只有安全的终端设备才能够接入到国网链和国网云中，以解决上述背景技术中出现的问题。

为实现上述目的，本发明提供如下技术方案：基于国网链和国网云一体设备身份接入平台，包括：

信息采集模块，所述信息采集模块用于采集在电网系统中工作的人员信息；

信息存储模块，所述信息存储模块的输入端与信息采集模块的输出端相连接，所述信息存储模块用于存储信息采集模块所采集到的信息；

登录认证模块，所述登录认证模块的连接端与信息存储模块的连接端相连接，所述登录认证模块提供电网系统的登录入口并对登录的人员身份信息一级登录人员所使用的终端设备进行安全比对；

终端设备识别模块，所述终端设备识别模块的输入端与登录认证模块的输出端以及信息存储模块输出端相连接，所述终端设备识别模块用于识别登录人员所使用的终端设备的IP地址；

VPN接入模块，所述VPN接入模块的输入端与终端设备识别模块的输出端相连接，所述VPN接入模块用于将识别通过的登录人员所使用的终端设备接入到国网链和国网云中；

隔离观察模块，所述隔离观察模块的输入短语终端设备识别模块的输出端相连接，所述隔离观察模块的输出端与VPN接入模块的输入端相连接，所述隔离观察模块用于验证外来终端设备的安全性；

定位监视模块，所述定位监视模块的输入端与隔离观察模块的输出端相连接，所述定位监视模块用于定位外来终端设备的位置、监视该设备登录用户的操作权限，并且能够断开接入终端。

在一个优选地实施方式中，所述信息采集模块包括身份信息采集单元、生物识别信息录入单元和授权设备信息录入单元，所述身份信息采集单元用于采集电网工作人员的二代身份证信息、电网工作职位信息以及所使用的手机号；

所述生物识别信息录入单元用于采集电网工作人员的面部信息和声纹信息；

所述授权设备信息录入单元用于采集电网工作人员在岗时所使用的终端设备的IP地址信息。

在一个优选地实施方式中，所述身份信息采集单元通过采用二代身份证识别器采集电网职工的身份信息，所述身份信息采集单元通过网络问卷的形式采集电网职工的职位信息以及所使用的手机号；

所述生物识别信息录入单元通过摄像机采集电网职工的面部信息、通过收声器采集电网职工的声纹信息。

在一个优选地实施方式中，所述信息存储模块通过采用云储存的形式备份身份信息采集单元、生物识别信息录入单元和授权设备信息录入单元所收集到的职工信息。

在一个优选地实施方式中，所述登录认证模块包括用户账号输入单元和用户信息比对单元，所述用户账号输入单元用于电网职工输入登录账号和密码登录国网链和国网云提供登录入口；

所述用户信息比对单元用于在信息存储模块内部查找是否存在该账号并输出比对结果。

在一个优选地实施方式中，所述登录账号为电网职工的身份证号，所述密码为电网职工自己设置。

在一个优选地实施方式中，所述终端设备识别模块包括终端设备IP地址识别单元和IP地址比对单元，所述终端设备IP地址识别单元用于获取登录账户所使用的终端设备的IP地址；

所述IP地址比对单元用于将终端设备IP地址识别单元识别出来的IP地址与信息存储模块中存储的IP地址进行比对并输出比对结果。

在一个优选地实施方式中，所述隔离观察模块包括访问权限限制单元和授权认证单元，所述访问权限限制单元用于设定IP地址比对单元输出的比对结果不一致的终端设备的访问权限；

所述授权认证单元用于向登录账号所绑定的手机号中发布验证码以验证IP地址比对单元输出的比对结果不一致的终端设备的安全性。

本发明的技术效果和优点：

1、通过利用信息采集模块采集在电网系统中工作的人员信息，包括在职员工的身份证信息、手机号、工作职位信息、面部信息、声纹信息以及在职时使用的终端设备的IP地址，并将上述信息备份在信息存储模块内部，在人员登录时，用于验证比对登录人员的信息，确保进入国网链和国网云的用户为电网在职员工，以防止外来人员威胁到电网系统的安全；

2、通过终端设备IP地址识别单元对登录人员所使用的外来终端设备进行识别，并利用IP地址比对单元将识别出来的终端设备的IP地址信息与信息采集模块中存储的IP地址信息进行比对，在比对不一致时，利用访问权限限制单元限制该设备的访问范围，以保障电网系统的安全性，再利用授权认证单元发送验证码确定该终端设备的安全性，确认安全后再通过VPN接入模块接入到国网链和国网云中；

3、通过利用定位监视模块实时监控外来接入设备的操作，并利用授权终端定位单元在外来接入设备接入电网系统的第一时间就能够确定该设备的地理位置，从而能够方便及时发现入侵电网系统的不法分子的地理位置，有助于将其抓捕，而且还通过授权终端监视单元在发现该设备用户存在超越权限的行为时，及时断开该设备的接入，从而能够有利于维护电网系统的安全。

附图说明

图1为本发明的模块示意图；

图2为本发明的信息采集模块示意图；

图3为本发明的登录认证模块示意图；

图4为本发明的终端设备识别模块示意图；

图5为本发明的隔离观察模块示意图；

图6为本发明的定位监视模块示意图。

附图标记为：1、信息采集模块；101、身份信息采集单元；102、生物识别信息录入单元；103、授权设备信息录入单元；

2、信息存储模块；

3、登录认证模块；301、用户账号输入单元；302、用户信息比对单元；

4、终端设备识别模块；401、终端设备IP地址识别单元；402、IP地址比对单元；

5、VPN接入模块；

6、隔离观察模块；601、访问权限限制单元；602、授权认证单元；

7、定位监视模块；701、授权终端定位单元；702、授权终端监视单元。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

参照说明书附图1和图2，本发明提供基于国网链和国网云一体设备身份接入平台，包括：信息采集模块1，所述信息采集模块1用于采集在电网系统中工作的人员信息；

其中，所述信息采集模块1包括身份信息采集单元101、生物识别信息录入单元102和授权设备信息录入单元103，所述身份信息采集单元101用于采集电网工作人员的二代身份证信息、电网工作职位信息以及所使用的手机号；所述生物识别信息录入单元102用于采集电网工作人员的面部信息和声纹信息；所述身份信息采集单元101通过采用二代身份证识别器采集电网职工的身份信息，所述身份信息采集单元101通过网络问卷的形式采集电网职工的职位信息以及所使用的手机号；所述生物识别信息录入单元102通过摄像机采集电网职工的面部信息、通过收声器采集电网职工的声纹信息；所述授权设备信息录入单元103用于采集电网工作人员在岗时所使用的终端设备的IP地址信息。

还包括如图1所示的信息存储模块2，所述信息存储模块2的输入端与信息采集模块1的输出端相连接，所述信息存储模块2用于存储信息采集模块1所采集到的信息；所述信息存储模块2通过采用云储存的形式备份身份信息采集单元101、生物识别信息录入单元102和授权设备信息录入单元103所收集到的职工信息；

还包括如图1和图3所示的登录认证模块3，所述登录认证模块3的连接端与信息存储模块2的连接端相连接，所述登录认证模块3提供电网系统的登录入口并对登录的人员身份信息一级登录人员所使用的终端设备进行安全比对；所述登录认证模块3包括用户账号输入单元301和用户信息比对单元302，所述用户账号输入单元301用于电网职工输入登录账号和密码登录国网链和国网云提供登录入口，其中，所述登录账号为电网职工的身份证号，所述密码为电网职工自己设置；所述用户信息比对单元302用于在信息存储模块2内部查找是否存在该账号并输出比对结果。

还包括如图1和图4所示的终端设备识别模块4，所述终端设备识别模块4的输入端与登录认证模块3的输出端以及信息存储模块2输出端相连接，所述终端设备识别模块4用于识别登录人员所使用的终端设备的IP地址；所述终端设备识别模块4包括终端设备IP地址识别单元401和IP地址比对单元402，所述终端设备IP地址识别单元401用于获取登录账户所使用的终端设备的IP地址；所述IP地址比对单元402用于将终端设备IP地址识别单元401识别出来的IP地址与信息存储模块2中存储的IP地址进行比对并输出比对结果。

还包括如图1所示的VPN接入模块5，所述VPN接入模块5的输入端与终端设备识别模块4的输出端相连接，所述VPN接入模块5用于将识别通过的登录人员所使用的终端设备接入到国网链和国网云中；

还包括如图1和图5所示的隔离观察模块6，所述隔离观察模块6的输入短语终端设备识别模块4的输出端相连接，所述隔离观察模块6的输出端与VPN接入模块5的输入端相连接，所述隔离观察模块6用于验证外来终端设备的安全性，所述隔离观察模块6包括访问权限限制单元601和授权认证单元602，所述访问权限限制单元601用于设定IP地址比对单元402输出的比对结果不一致的终端设备的访问权限；所述授权认证单元602用于向登录账号所绑定的手机号中发布验证码以验证IP地址比对单元402输出的比对结果不一致的终端设备的安全性。

还包括如图6所示的定位监视模块7，所述定位监视模块7的输入端与隔离观察模块6的输出端相连接，所述定位监视模块7用于定位外来终端设备的位置、监视该设备登录用户的操作权限，并且能够断开接入终端。

电网系统的在职工作人员进入到电网系统的过程如下所示：

步骤一、通过登录认证模块3中的用户账号输入单元301输入自己的登录账号和密码，然后用户信息比对单元302会根据输入的登录账号和密码核对信息存储模块2中是否保存有关于该账户的信息，如果在信息采集模块1内部存在关于该账户的信息则可以确定该登录人员为电网系统的在职员工，如果不存在关于该登录账号的信息则说明该登录人员非电网系统的在职员工，也就是该登录人员的登录行为存在安全隐患，则拒绝其接入国网链和国网云中，同时，通过该终端设备自带的摄像头还能够采集登录人员的面部信息与信息采集模块1中所存储的信息进行比对，以确定登录人员的身份，如果登录人员的面部信息与信息采集模块1中存储的面部信息对不上，则也拒绝其接入到国网链和国网云中；

步骤二、登录账号认证通过之后再由终端设备识别模块4对登录账号所使用的终端设备记性识别，通过终端设备IP地址识别单元401获得该终端设备的IP地址，然后再通过IP地址比对单元402将获得的IP地址与信息采集模块1中存储的众多IP地址进行比对，如果存在一致的IP地址信息则说明该登录账号所使用的终端设备为电网系统提供的办公设备，是安全的；然后安全的设备就可以通过VPN接入模块5接入到国网链和国网云中或获取相关的资源信息；

步骤三、如果比对之后，发现不存在一致的IP账号，则说明该终端设备不是电网系统提供的办公设备，那么该终端设备就别判定为外来设备，存在安全隐患，则需要通过隔离观察模块6对该终端设备进行安全验证，在安全验证之前，访问权限限制单元601会先对该终端设备设置访问权限，以阻止该设备进入到电网系统中对电网系统造成破坏，从而能够提高电网系统的安全性；

然后，授权认证单元602向登录账号所绑定的手机号中发布验证码，该登录人员接收到验证码后如果能在网页界面上准确填写出该验证码，则说明该终端设备安全，然后就可以通过VPN接入模块5将该终端设备接入到国网链和国网云中；外来终端设备接入到国网链和国网云中的同时VPN接入模块5会启动定位监视模块7，通过定位监视模块7中的授权终端定位单元701标记该终端设备的地理位置，并通过授权终端监视单元702监视登录用户的操作，一旦发现该用户做出超过权限的行为，就自动断开该终端设备的接入，并且向电网系统中发出警报，从而能够有助于及时抓捕到危害电网的不法分子；

反之，无法准确填写验证码的终端设备则存在安全隐患，就拒绝其接入到国网链和国网云中，以保障电网系统的安全性。

最后：以上所述仅为本发明的优选实施例而已，并不用于限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。