CN106972974A - 一种电力LTE无线终端的Web网管系统及其终端认证方法 - Google Patents
一种电力LTE无线终端的Web网管系统及其终端认证方法 Download PDFInfo
- Publication number
- CN106972974A CN106972974A CN201710253277.9A CN201710253277A CN106972974A CN 106972974 A CN106972974 A CN 106972974A CN 201710253277 A CN201710253277 A CN 201710253277A CN 106972974 A CN106972974 A CN 106972974A
- Authority
- CN
- China
- Prior art keywords
- cpe
- terminal
- web
- terminals
- web server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种电力LTE无线终端的Web网管系统及其终端认证方法,Web网管系统,包括Web服务器,Web服务器包括终端身份认证模块和CGI接口程序模块;Web服务器通过终端身份认证模块对CPE终端进行终端身份认证,以使得CPE终端可接入电力LTE无线专网。Web服务器存储有由SSL工具生成的私钥和证书,用户通过客户端Web浏览器,利用基于SSL协议的HTTPS方式访问Web服务器的HTML静态网页,进而触发CGI接口程序模块执行与相应的功能单元程序。本发明利用通用网关接口(CGI)和安全套接层(SSL)搭建安全的嵌入式Web服务器,在电力LTE‑1.8GHz无线CPE终端上实现了终端信息查询和终端参数配置功能,对电力业务设备具有更好的适配性,应用前景较好。
Description
技术领域
本发明涉及通信网络管理领域中嵌入式设备的通信网络管理技术,特别是一种电力LTE无线终端的Web网管系统及其终端认证方法。
背景技术
根据智能电网的建设要求,“十二五”期间我国已大力开展终端通信接入网建设,大量采用光纤专网和无线公网方式,辅以电力线载波通信,实现了输电、变电、配电、用电等各类电力基本业务的全覆盖。但光纤专网存在光缆建设难度大、成本高、覆盖受限、移动性不足等问题,无线公网存在通信质量不稳定、安全可靠性不高、可管理性不足、长期租用费用高等问题,在一定程度上影响了电力终端通信接入网的智能化水平。
随着LTE无线通信技术的发展,其泛在灵活的接入特点为解决各种电力业务的海量接入提供了经济、安全、可靠的专用通信网络。基于TD-LTE(Time Division-Long TermEvolution) 技术采用1.8GHz频段开展电力LTE宽带无线专网建设,建成了具有可移动、低成本、易部署、实时、安全、可靠、可管理、可扩展的无线接入网络,实现了各类业务的综合接入。CPE无线终端作为独立的通信接入网关,广泛应用在电力LTE宽带无线专网,为业务终端实现了通信接入功能,其Web网管系统作为人机交互的界面,对CPE终端的实用性和可维护性具有重要影响。但目前市场上CPE的Web网管系统存在以下一些的问题:一方面Web网管系统自身的安全性不高;另一方面是可配置功能项少,缺乏对于电力系统中信息安全、业务终端等通信需求的定制化开发,从而阻碍了CPE终端在电力LTE-1.8GHz无线专网中的推广应用。
名词解释
CGI(Common Gateway Interface,通用网关接口),在物理上是一段程序,运行在服务器上,提供同客户端HTML页面的接口。CGI规范允许Web服务器执行外部程序,并将它们的输出发送给Web浏览器,CGI将Web的一组简单的静态超媒体文档变成一个完整的新的交互式媒体。
SSL(Secure Socket Layer,安全套接层协议),是在传输通信协议(TCP/IP)上实现的一种安全协议,采用公开密钥技术。SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL通过互相认证、使用数字签名确保完整性、使用加密确保机密性,以实现客户端和服务器之间的安全通讯。
USIM(Universal Subscriber Identity Module)卡就是第三代手机卡 (用户全球识别卡),全球用户身份模块,也叫做升级SIM,是在UMTS 3G 网络的一个构件。
IMEI(International Mobile Equipment Identity)是国际移动设备识别码的缩写。IMEI码适用于GSM和WCDMA制式的移动设备,IMEI码由GSMA协会统一规划,并授权各地区组织进行分配。
IMSI(International Mobile SubscriberIdentification Number)国际移动用户识别码,是区别移动用户的标志,储存在SIM卡中,可用于区别移动用户的有效信息。
(Message-Digest Algorithm 5),消息摘要算法第五版,为计算机安全领域广泛使用的一种散列函数,用于将数据(如汉字)运算为另一固定长度值,确保信息传输完整一致,是计算机广泛使用的杂凑算法之一(又译摘要算法、哈希算法)。
发明内容
本发明的目的是,利用通用网关接口(CGI)和安全套接层协议(SSL)搭建安全的嵌入式Web服务器,应用于电力LTE-1.8GHz无线CPE终端的Web网管系统,提高Web网管系统的安全性,增加可配置功能项,以适应电力系统信息安全要求和业务终端通信需求。
本发明采取的技术方案具体为:一种电力LTE无线终端的Web网管系统,包括Web服务器;Web服务器包括终端身份认证模块和CGI接口程序模块;
Web服务器通过终端身份认证模块对CPE终端进行终端身份认证,以使得CPE终端可接入电力LTE无线专网;
CGI接口程序模块包括终端信息查询子模块和终端参数配置子模块;终端信息查询子模块包括WAN口状态查询单元、LAN口状态查询单元、数字证书下载单元、安全隧道参数查询单元、系统信息查询单元和系统日志下载单元;终端参数配置子模块包括LAN口地址参数配置单元、核心网检测配置单元、数字证书上传单元、安全隧道参数配置单元、电力通信终端参数配置单元、用户信息修改单元和远程重启CPE终端单元;
Web服务器存储有由SSL工具生成的私钥和证书,用户通过客户端Web浏览器,利用基于SSL协议的HTTPS方式访问CPE终端中Web服务器的HTML静态网页,以发送数据请求;Web服务器的HTML静态网页通过CGI触发CGI接口程序模块执行与用户数据请求相应的功能单元程序,并将程序执行结果数据通过Web浏览器返回给用户。
本发明中,客户端Web浏览器利用基于SSL协议的HTTPS方式访问CPE终端中Web服务器的HTML静态网页,即利用了SSL加密技术,HTTPS是一种安全的超文本传输协议,是将原有的不安全的HTTP数据报文通过SSL协议进行加密,从而实现安全的数据传输。本发明SSL加密技术的具体实现为现有技术,可参考现有B/S架构网站系统中对于SSL加密技术的应用。
本发明应用时,无线CPE终端可通过无线或有线形式与PC客户端连接通信,Web浏览器运行于PC客户端中。用户通过Web浏览器向Web网管系统发出数据请求,数据请求对应CGI接口程序模块中各功能单元可实现的查询及参数配置功能。CGI接口程序模块中的各功能单元的具体软件实现可采用现有技术。
本发明的CGI接口程序模块中定制了数字证书下载单元、数字证书上传单元、安全隧道参数查询单元和安全隧道参数配置单元。可适应电力系统中特有的各类安全网关和加密装置通信需求。
优选的,针对电力LTE-1.8GHz无线专网,为了配合综合网管的使用,本发明中,所述电力通信终端参数配置单元配置的数据包括CPE终端的身份标识号CPE_ID、CPE终端所属的业务类型以及CPE终端的业务优先级。CPE终端根据业务类型有配电自动化终端、用电信息采集终端、负荷控制终端、视频监控终端、智能巡检机器人等,CPE终端的业务优先级即通过该CPE终端所接入的电力业务设备的优先级,比如某区域内有配电自动化业务、用电信息采集业务、视频监控业务3种业务类型,当无线信号资源难以满足所有业务请求时,基站会优先满足优先级高的业务类型进行通信。本发明中,用户可通过网管系统对CPE终端所属的业务类型以及CPE终端的业务优先级进行相应的设置。
优选的,Web服务器的静态网页与终端信息查询子模块中的各单元之间采用Ajax(Asynchronous JavaScript)异步交互方式传递数据请求或程序执行结果。可减少数据交互量,提高访客的浏览效率。
优选的,本发明Web服务器的HTML静态网页的主界面采用Frame框架,包括左侧菜单栏、右侧主信息栏、上侧标题栏和下侧开发者信息栏;HTML静态网页对外呈现统一的URL地址。即无论用户点击菜单栏中的任何链接,相应的主页面显示任何内容,浏览器的地址栏中都显示相同的URL。可避免非法用户绕过登录页面直接访问服务器中静态HTML页面的安全漏洞。
本发明还公开上述电力LTE无线CPE终端的Web网管系统中终端身份认证模块对CPE终端的终端身份认证方法,包括初始化绑定和身份认证;
初始化绑定包括步骤:
S1,获取要绑定的CPE终端的CPE_ID号、CPE终端中LTE通信模块的IMEI号和所插入的USIM卡的IMSI号;
S2,用户通过客户端Web浏览器向服务器发送绑定IMSI的请求后,终端身份认证模块将S1中已获取的CPE_ID、IMEI和IMSI三个串号拼接成一个长串号,然后通过消息摘要算法生成该CPE终端的数字指纹,存入CPE终端的开机启动项;
S3,获取该CPE终端下挂业务设备的IP地址和MAC地址;
S4,用户通过客户端Web浏览器向服务器发送绑定业务设备请求后,终端身份认证模块将S3已获取的业务设备的IP地址和MAC地址写入该CPE终端的开机启动项;
身份认证包括步骤:
S5,已绑定IMSI和业务设备的CPE终端开机后,终端身份认证模块读取CPE终端的当前CPE_ID号、LTE通信模块的IMEI号和所插入USIM卡的IMSI号;
S6,将S5获取的CPE_ID号、IMEI号和IMSI号三个串号拼接成一个长串号,然后通过消息摘要算法生成待验证的数字指纹;
S7,将S6得到的待验证的数字指纹与开机启动项内存储的数字指纹是否一致,若一致,则继续执行步骤S8,否则停止开机;
S8,获取CPE终端当前下挂业务设备的IP地址和MAC地址,判断其是否与开机启动项中已保存的一致,若一致,则继续执行步骤S9,否则停止开机;
S9,启动注册入网程序,若驻网成功,则继续执行步骤S10,否则返回步骤S5;
S10,启动IPSec隧道进程,执行IPSec隧道协商程序,若与主站协商成功,则CPE终端开机完成,开始正常通信工作,否则隔设定时间再次执行S10,直至CPE终端开机完成。
以上方法中,初始化绑定对应某CPE终端的首次使用,或者解绑后的首次使用,身份认证则对应初始化绑定后的CPE终端使用。
S2和S6中对于三个串号的拼接可仅为简单拼接,且拼接规则一致,如按照CPE_ID、IMEI、IMSI这样的顺序将3个字符串简单拼接起来。
为了进一步保证加密的可靠性,本发明在步骤S2后,终端身份认证模块将IMEI号和CPE_ID号转换为密文显示,并激活Web服务器的HTML静态网页中的“解绑IMSI”按钮。若CPE终端内部元器件更换或由于其他需要解除IMSI的绑定,则可执行解绑操作,将通过“解绑IMSI”按钮解除绑定,然后根据需要重新绑定。
进一步的,CPE终端的操作系统采用Linux 内核时,步骤S4在用户通过客户端Web
浏览器向Web服务器发送绑定业务设备请求后,终端身份认证模块还将S3已获取的下挂业
务设备的IP地址和MAC地址写入CPE终端操作系统的iptables过滤规则。iptables是与最新
的3.5版本Linux内核集成的IP信息包过滤系统。如果Linux系统连接到网络中,则该系统有
利于在Linux系统上更好地控制IP信息包过滤和防火墙配置。
进一步的,步骤S4后,终端身份认证模块将业务设备的MAC地址变为密文显示,并激活Web服务器的HTML静态网页中的“解绑业务设备”按钮。当CPE终端下挂的业务设备出现变更,则通过“解绑业务设备”解除已绑定的业务设备,然后根据需要重新进行绑定。
为了使得用户能够更及时且直观的获知验证失败的原因及结果,本发明S7和S8中,若判断结果为不一致,停止CPE终端开机的同时,若用户通过客户端登录Web网管系统,则通过客户端Web浏览器界面输出相应的警告提示。
优选的,步骤S10中,所述设定时间为60s。S10中,当与主站协商不成功,若此时用户通过PC客户端登录Web网管系统,则通过Web界面输出主站协商不成功的警告提示。
本发明的有益效果为:
(1)CPE终端的Web网管程序各功能相对独立,对系统运行影响小,便于扩展、裁剪、复用;
(2)CPE终端的Web网管服务器采用了SSL协议,提高了系统的安全性;
(3)终端认证方法使用了CPE_ID、IMSI、IMEI以及下挂业务设备的绑定机制,增强了CPE终端的通信安全性;
(4)针对电力业务的通信需求,进行了定制化的CGI程序功能开发,使得电力LTE-1.8GHz无线CPE终端对电力业务设备具有更好的适配性。
附图说明
图1所示为本发明电力LTE-1.8GHz无线CPE终端Web网管系统结构图
图2所示为Web主界面布局示意图;
图3所示为本发明终端初始化绑定流程示意图;
图4所示为本发明终端身份认证流程示意图。
具体实施方式
以下结合附图和具体实施例进一步描述。
实施例1
参考图1,本发明的电力LTE无线CPE终端的Web网管系统,包括Web服务器;Web服务器包括终端身份认证模块和CGI接口程序模块;
Web服务器通过终端身份认证模块对CPE终端进行终端身份认证,以使得CPE终端可接入电力LTE无线专网;
CGI接口程序模块包括终端信息查询子模块和终端参数配置子模块;终端信息查询子模块包括WAN口状态查询单元、LAN口状态查询单元、数字证书下载单元、安全隧道参数查询单元、系统信息查询单元和系统日志下载单元;终端参数配置子模块包括LAN口地址参数配置单元、核心网检测配置单元、数字证书上传单元、安全隧道参数配置单元、电力通信终端参数配置单元、用户信息修改单元和远程重启CPE终端单元;
Web服务器存储有由SSL工具生成的私钥和证书,用户通过客户端Web浏览器,利用基于SSL协议的HTTPS方式访问CPE终端中Web服务器的HTML静态网页,以发送数据请求;Web服务器的HTML静态网页通过CGI触发CGI接口程序模块执行与用户数据请求相应的功能单元程序,并将程序执行结果数据通过Web浏览器返回给用户。
本发明中,客户端Web浏览器利用基于SSL协议的HTTPS方式访问CPE终端中Web服务器的HTML静态网页,即利用了SSL加密技术,HTTPS是一种安全的超文本传输协议,是将原有的不安全的HTTP数据报文通过SSL协议进行加密,从而实现安全的数据传输。此方法广泛应用于B/S架构的网站系统中,并不是现有无线CPE终端Web网管系统所特有的技术。具体实现时,HTTPS握手验证的流程如下:
1)客户端发起一个HTTPS的请求,把自身支持的一系列密钥算法套件(Cipher Suite)发送给服务端;
2)服务端接收到客户端所有的Cipher后与自身支持的对比,如果不支持则连接断开,反之则会从中选出一种加密算法和HASH算法,以证书的形式返回给客户端,证书中还包含了公钥、颁证机构、网址、失效日期等;
3)客户端收到服务端响应后会做以下几件事:
3.1)验证证书的合法性
颁发证书的机构是否合法与是否过期,证书中包含的网站地址是否与正在访问的地址一致等;
3.2)生成随机密码
如果证书验证通过,或者用户接受了不授信的证书,此时浏览器会生成一串随机数,然后用证书中的公钥加密;
3.3)HASH握手信息
用最开始约定好的HASH方式,把握手消息取HASH值,然后用随机数加密“握手消息+握手消息HASH值(签名)”并一起发送给服务端;
3.4)服务端拿到客户端传来的密文,用自己的私钥来解密握手消息取出随机数密码,再用随机数密码解密握手消息与HASH值,并与传过来的HASH值做对比确认是否一致。然后用随机密码加密一段握手消息(握手消息+握手消息的HASH值)给客户端;
3.5)客户端用随机数解密并计算握手消息的HASH,如果与服务端发来的HASH一致,此时握手过程结束,之后所有的通信数据将由之前浏览器生成的随机密码并利用对称加密算法进行加密。因为这串密钥只有客户端和服务端知道,所以即使中间请求被拦截也是没法解密数据的,以此保证了通信的安全。
本发明应用时,无线CPE终端可通过无线或有线形式与PC客户端连接通信,Web浏览器运行于PC客户端中。用户通过Web浏览器向Web网管系统发出数据请求,数据请求对应CGI接口程序模块中各功能单元可实现的查询及参数配置功能。CGI接口程序模块中的各功能单元的具体软件实现可采用现有技术。
针对电力LTE-1.8GHz无线专网,为了配合综合网管的使用,本发明中,所述电力通信终端参数配置单元配置的数据包括CPE终端的身份标识号CPE_ID、CPE终端所属的业务类型以及CPE终端的业务优先级。
终端信息查询子模块中的各单元采用Ajax(Asynchronous JavaScript)异步交互方式执行相应的数据查询或下载任务。可减少数据交互量,提高访客的浏览效率。
本发明Web服务器的HTML静态网页的主界面采用Frame框架,包括左侧菜单栏、右侧主信息栏、上侧标题栏和下侧开发者信息栏;HTML静态网页对外呈现统一的URL地址。可避免、非法用户绕过登录页面直接访问服务器中静态HTML页面的安全漏洞。
本发明还公开上述电力LTE无线终端的Web网管系统中终端身份认证模块对CPE终端的终端身份认证方法,其特征是,包括初始化绑定和身份认证;
初始化绑定包括步骤:
S1,获取要绑定的CPE终端的CPE_ID号、CPE终端中LTE通信模块的IMEI号和所插入的USIM卡的IMSI号;
S2,用户通过客户端Web浏览器向服务器发送绑定IMSI的请求后,终端身份认证模块将S1中已获取的CPE_ID、IMEI和IMSI三个串号拼接成一个长串号,然后通过消息摘要算法生成该CPE终端的数字指纹,存入CPE终端的开机启动项;
S3,获取该CPE终端下挂业务设备的IP地址和MAC地址;
S4,用户通过客户端Web浏览器向服务器发送绑定业务设备请求后,终端身份认证模块将S3已获取的业务设备的IP地址和MAC地址写入该CPE终端的开机启动项;
身份认证包括步骤:
S5,已绑定IMSI和业务设备的CPE终端开机后,终端身份认证模块读取CPE终端的当前CPE_ID号、LTE通信模块的IMEI号和所插入USIM卡的IMSI号;
S6,将S5获取的CPE_ID号、IMEI号和IMSI号三个串号拼接成一个长串号,然后通过消息摘要算法生成待验证的数字指纹;
S7,将S6得到的待验证的数字指纹与开机启动项内存储的数字指纹是否一致,若一致,则继续执行步骤S8,否则停止开机;
S8,获取CPE终端当前下挂业务设备的IP地址和MAC地址,判断其是否与开机启动项中已保存的一致,若一致,则继续执行步骤S9,否则停止开机;
S9,启动注册入网程序,若驻网成功,则继续执行步骤S10,否则返回步骤S5;
S10,启动IPSec隧道进程,执行IPSec隧道协商程序,若与主站协商成功,则CPE终端开机完成,开始正常通信工作,否则隔设定时间(如60s)再次执行S10,直至CPE终端开机完成。
以上方法中,初始化绑定对应某CPE终端的首次使用,或者解绑后的首次使用,身份认证则对应初始化绑定后的CPE终端使用。
为了进一步保证加密的可靠性,本发明在步骤S2后,终端身份认证模块将IMEI号和CPE_ID号转换为密文显示,并激活Web服务器的HTML静态网页中的“解绑IMSI”按钮。
进一步的,CPE终端的操作系统采用Linux 内核时,步骤S4在用户通过客户端Web
浏览器向Web服务器发送绑定业务设备请求后,终端身份认证模块还将S3已获取的下挂业
务设备的IP地址和MAC地址写入CPE终端操作系统的iptables过滤规则。iptables是与最新
的3.5版本Linux 内核集成的IP信息包过滤系统。如果Linux系统连接到网络中,则该系统
有利于在Linux系统上更好地控制IP信息包过滤和防火墙配置。
进一步的,步骤S4后,终端身份认证模块将业务设备的MAC地址变为密文显示,并激活Web服务器的HTML静态网页中的“解绑业务设备”按钮。
为了使得用户能够更及时且直观的获知验证失败的原因及结果,本发明S7和S8中,若判断结果为不一致,停止CPE终端开机的同时,若用户通过客户端登录Web网管系统,则通过客户端Web浏览器界面输出相应的警告提示。
优选的,步骤S10中,所述设定时间为60s。S10中,当与主站协商不成功,若此时用户通过PC客户端登录Web网管系统,则通过Web界面输出主站协商不成功的警告提示。
实施例2
如图1所示,本发明提供的电力LTE-1.8GHz无线CPE终端Web网管系统包括:带有SSL安全协议的嵌入式Web服务器和相应的CGI接口程序模块,CGI接口程序模块主要分为终端信息查询和终端参数配置两部分,其中,信息查询功能包括:WAN口状态查询、LAN口状态查询、安全隧道参数查询、系统信息查询、系统日志下载等,参数配置功能包括: LAN口地址参数配置、核心网检测配置、数字证书上传、安全隧道参数配置、电力通信终端参数配置、用户信息修改,还有远程重启CPE终端等功能。
本发明提供的电力LTE-1.8GHz无线CPE终端Web网管系统在工作时,由于安装时已将SSL工具生成的私钥和证书放入Web服务器,首先,用户通过浏览器输入相应IP地址访问嵌入式CPE终端中的Web服务器,Web客户端向Web服务器通过HTTPS协议发出URL请求,通过SSL协议的认证加密后(加密传输数据,即使用HTTPS的访问方式,而不是HTTP方式),Web服务器返回预先在配置文件中指定的HTML页面(登录首页)给客户端浏览器。然后,用户输入用户名和密码提交登录请求,嵌入式Web服务器收到登录请求后,执行用户身份校验的CGI程序,判断用户名和密码是否正确,若正确,则通过CGI程序打印主界面HTML的脚本返回给Web浏览器,主界面使用的是Frame框架,如图2所示,由左侧菜单栏、右侧主信息栏、上侧标题栏和下侧开发者信息栏组成。使用Frame框架的好处是Web服务器对外呈现统一的URL地址,且该地址是一个CGI程序,只有通过登录页面传递来的正确的用户名和密码才能显示主页面,避免了非法用户绕过登录页面直接访问服务器中静态HTML页面的安全隐患。
首次使用本发明的网管系统时,系统将要求用户执行CPE_ID、IMEI和IMSI号以及下挂业务终端的绑定认证,具体步骤如下(如图3所示):
(1)首次使用无线CPE终端时系统将读取显示CPE_ID号、LTE通信模块的IMEI号和插入USIM卡的IMSI号;
(2)点击“绑定IMSI”按钮,系统将CPE_ID、IMEI和IMSI三个串号拼接成一个长串号,并通过消息摘要算法(MD5)生成该CPE的数字指纹,存入开机启动项;
(3)将IMEI和CPE_ID变为密文显示,激活“解绑IMSI”按钮;
(4)读取显示无线CPE终端下挂业务设备的IP地址和MAC地址;
(5)点击“绑定业务设备”按钮,系统将业务设备的IP地址和MAC地址写入Linux系统自
带的iptables过滤规则,同时写入开机启动项。
(6)将业务设备的MAC地址变为密文显示,激活“解绑业务设备”按钮;
当上述初始化配置生效,再次启动CPE终端设备时,本发明的网管系统将做如下身份认证(如图4所示):
(7)当无线CPE终端开机后,本发明的网管系统服务器将读取当前CPE_ID号、LTE通信模块的IMEI号和插入USIM卡的IMSI号;
(8)将CPE_ID、IMEI和IMSI三个串号拼接成一个长串号,并通过消息摘要算法(MD5)生成待验证的数字指纹;
(9)对比该数字指纹与开机启动项内存储的数字指纹是否一致,若数字指纹一致,则继续执行步骤(10),否则停止后续开机启动项的执行,并在Web界面上弹出警告框提示;
(10)检查无线CPE终端下挂业务设备的IP地址和MAC地址是否与开机启动项中保存的一致,若一致,则继续执行步骤(11),否则停止后续开机启动项的执行,并在Web界面上弹出警告框提示;
(11)启动注册入网程序,若驻网成功,则继续执行步骤(12),否则返回步骤(7);
(12)启动IPSec隧道进程,执行IPSec隧道协商程序,若与主站协商成功,则开机完成,开始正常通信工作,否则每隔60秒反复执行本步骤,并在Web界面上弹出警告框提示。
若CPE终端内部元器件和下挂设备更换,可执行解绑操作,将通过“解绑IMSI”和“解绑业务设备”按钮解除以上绑定,然后根据需要重新绑定。
在用户使用终端信息查询子模块时,用户通过菜单栏中选择需要查询的参数,嵌入式Web服务器触发执行相应的CGI程序,调用后台Linux系统中的Shell脚本或AT命令,将Shell脚本或AT命令的执行结果存入相应的文本文件中,CGI程序通过匹配特征字符串的方式,读取前台HTML页面需要显示的数据,完成参数信息查询,再通过Ajax技术完成浏览器与Web 服务器之间的异步数据传输,且可根据用户设定的页面刷新周期,定时执行CGI查询请求,在不需要刷新整个页面的情况下,实现电力LTE-1.8GHz无线CPE终端参数信息的局部动态刷新效果。使用这种查询方法,在动态刷新时,客户端只需要从服务器请求少量的信息,提高访客的浏览效率。
以下对终端信息查询子模块以及终端参数配置子模块中的各功能单元的实现方式进行举例说明,各功能单元的具体实现可利用现有技术。
WAN口状态查询:打开Web页面,页面通过Ajax请求传递“get01”参数给后台CGI程序,CGI程序解析出“get01”参数,然后CGI调用AT命令脚本得到查询内容,截取所需查询结果的字符串,通过Ajax返回给Web页面,显示LTE状态参数,包括:IMSI卡号、当前网络注册状态、信号强度RSRP、信号强度RSSI、信噪比SINR和WAN口IP地址等信息。
LAN口状态查询:打开Web页面,页面通过Ajax请求传递“get02”参数给后台CGI程序,CGI程序解析出“get02”参数,然后CGI调用“ifconfig eth0”命令得到LAN口的所有信息,截取所需查询结果的字符串,通过Ajax返回给Web页面,显示LTE-1.8GHz无线CPE终端LAN口信息,包括:网卡设备名、MAC地址、IP 地址、缺省广播地址、子网掩码、最大传送数据包(MTU)等信息。
安全隧道参数查询:打开Web页面,页面通过Ajax请求传递“get03”参数给后台CGI程序,CGI程序解析出“get03”参数,然后CGI调用读取文件的shell命令脚本,得到隧道配置的所有信息,截取所需查询结果的字符串,通过Ajax返回给Web页面,显示当前IPSce隧道和GRE隧道配置的通信参数,如“隧道本端地址”、“隧道对端地址”、“业务本端地址”、“业务对端地址”等。
系统信息查询:打开Web页面,页面通过Ajax请求传递“get04”参数给后台CGI程序,CGI程序解析出“get04”参数,然后CGI调用读取系统信息的shell命令脚本,得到CPE终端系统的软硬件信息,截取所需查询结果的字符串,通过Ajax返回给Web页面,显示该CPE无线终端的当前系统信息,包括:CPE_ID、系统已运行时长、当前系统时间、系统总存储空间、空闲存储空间、系统软件版本、LTE-4G模块型号等。
系统日志下载:打开Web页面,选择需要下载的日志名称,页面通过Ajax请求传递“download01”参数和文件名给后台CGI程序,CGI程序解析出“download01”参数和文件名,CGI调用HTTPS协议下载导出系统运行日志、通信日志、异常日志等日志文件。
在用户使用终端参数配置子模块时,用户通过菜单栏中选择需要配置的参数页面,在表单中填写相关参数,在点击“设置”按钮后,用户浏览器向嵌入式Web服务器发出请求并传递参数,Web服务器触发执行相应的CGI程序,通过CGI程序再调用对应的shell脚本和AT命令脚本,完成电力无线CPE的参数配置,最终CGI程序打印并返回执行结果,Web服务器再通过HTTPS协议将执行结果返回客户端浏览器。
LAN口地址参数配置:打开Web页面,根据现场的网络IP规划,修改配置无线CPE终端LAN口地址和子网掩码等参数,即电力业务终端设备对应的网关地址,点击“提交”按钮后,Web页面通过POST方法将id号“set01”和所填参数传递给后台CGI程序,CGI程序解析出“set01”和所填参数,调用ifconfig命令设置系统LAN口地址,并将该命令添加至开机启动项。
核心网检测配置:打开Web页面,根据不同电力业务终端的通信需求和所属VLAN,配置该无线CPE终端所属的核心网地址,点击“提交”按钮后,Web页面通过POST方法将id号“set02”和所填参数传递给后台CGI程序,CGI程序解析出“set02”和所填参数,调用shell脚本更新系统文件,以便及时检测终端通信状态。
数字证书上传:打开Web页面,选择本地需要需要上传的证书文件,点击“上传”按钮后,Web页面通过POST方法将id号“upload01”和文件名传递给后台CGI程序, CGI程序解析出“upload01”和文件名,调用https协议上传安全网关IPSce隧道所需要的各种数字证书至无线CPE终端。
安全隧道参数配置:打开Web页面,根据现场网络规划,修改配置IPSce隧道和GRE隧道的通信参数,如“隧道本端地址”、“隧道对端地址”、“业务本端地址”、“业务对端地址”等,点击“提交”按钮后,Web页面通过POST方法将id号“set03”和所填参数传递给后台CGI程序,CGI程序解析出“set03”和所填参数,调用shell脚本更新系统文件。
电力通信终端参数配置:打开Web页面,根据该无线CPE终端在现场的实际使用情况,选择“所用业务类型”和“业务优先级”等参数、配置综合网管服务器地址,点击“提交”按钮后,Web页面通过POST方法将id号“set04”和所填参数传递给后台CGI程序,CGI程序解析出“set04”和所填参数,调用shell脚本更新系统文件,使得该无线CPE终端能够被远程集中管控。
用户信息修改:修改该无线CPE终端Web网管系统的用户名和密码,强制定期更新密码、密码复杂度符合要求。
远程重启CPE终端:在配置完部分关键参数后,通过界面点击“重启”按钮,Web页面通过POST方法将id号“reboot”传递给后台CGI程序,CGI调用“reboot”命令,重新启动无线CPE终端,使配置生效。
本发明提供的电力LTE-1.8GHz无线CPE终端Web网管系统针对电力系统在通信、安全和业务等方面的不同需求特点,进行了定制化的开发,用户可根据实际需求选择使用相应模块,如:若现场使用了安全网关则需要配置IPSec参数,并上传合法的数字证书;若现场部署了综合网管服务器,则需要添加CPE_ID、所用业务类型、业务优先级等终端信息。通过在CPE终端Web网管系统上进行此类电力领域定制化的开发,使得电力LTE-1.8GHz无线CPE终端的使用更加安全、方便,管理更加高效、全面,能满足各类电力业务部门的使用需求。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。
Claims (10)
1.一种电力LTE无线终端的Web网管系统,其特征是,包括Web服务器;Web服务器包括终端身份认证模块和CGI接口程序模块;
Web服务器通过终端身份认证模块对CPE终端进行终端身份认证,以使得CPE终端可接入电力LTE无线专网;
CGI接口程序模块包括终端信息查询子模块和终端参数配置子模块;终端信息查询子模块包括WAN口状态查询单元、LAN口状态查询单元、数字证书下载单元、安全隧道参数查询单元、系统信息查询单元和系统日志下载单元;终端参数配置子模块包括LAN口地址参数配置单元、核心网检测配置单元、数字证书上传单元、安全隧道参数配置单元、电力通信终端参数配置单元、用户信息修改单元和远程重启CPE终端单元;
Web服务器存储有由SSL工具生成的私钥和证书,用户通过客户端Web浏览器,利用基于SSL协议的HTTPS方式访问CPE终端中Web服务器的HTML静态网页,以发送数据请求;Web服务器的HTML静态网页通过CGI触发CGI接口程序模块执行与用户数据请求相应的功能单元程序,并将程序执行结果数据通过Web浏览器返回给用户。
2.根据权利要求1所述的电力LTE无线终端的Web网管系统,其特征是,所述电力通信终端参数配置单元配置的数据包括CPE终端的身份标识号CPE_ID、CPE终端所属的业务类型以及CPE终端的业务优先级。
3.根据权利要求1所述的电力LTE无线终端的Web网管系统,其特征是,Web服务器的静态网页与终端信息查询子模块中的各单元之间采用Ajax异步交互方式传递数据请求或程序执行结果。
4.根据权利要求1所述的电力LTE无线终端的Web网管系统,其特征是,Web服务器的HTML静态网页的主界面采用Frame框架,包括左侧菜单栏、右侧主信息栏、上侧标题栏和下侧开发者信息栏;HTML静态网页对外呈现统一的URL地址。
5.一种权利要求1至4所述的电力LTE无线终端的Web网管系统中终端身份认证模块对CPE终端的终端身份认证方法,其特征是,包括初始化绑定和身份认证;
初始化绑定包括步骤:
S1,获取要绑定的CPE终端的CPE_ID号、CPE终端中LTE通信模块的IMEI号和所插入的USIM卡的IMSI号;
S2,用户通过客户端Web浏览器向服务器发送绑定IMSI的请求后,终端身份认证模块将S1中已获取的CPE_ID、IMEI和IMSI三个串号拼接成一个长串号,然后通过消息摘要算法生成该CPE终端的数字指纹,存入CPE终端的开机启动项;
S3,获取该CPE终端下挂业务设备的IP地址和MAC地址;
S4,用户通过客户端Web浏览器向服务器发送绑定业务设备请求后,终端身份认证模块将S3已获取的业务设备的IP地址和MAC地址写入该CPE终端的开机启动项;
身份认证包括步骤:
S5,已绑定IMSI和业务设备的CPE终端开机后,终端身份认证模块读取CPE终端的当前CPE_ID号、LTE通信模块的IMEI号和所插入USIM卡的IMSI号;
S6,将S5获取的CPE_ID号、IMEI号和IMSI号三个串号拼接成一个长串号,然后通过消息摘要算法生成待验证的数字指纹;
S7,将S6得到的待验证的数字指纹与开机启动项内存储的数字指纹是否一致,若一致,则继续执行步骤S8,否则停止开机;
S8,获取CPE终端当前下挂业务设备的IP地址和MAC地址,判断其是否与开机启动项中已保存的一致,若一致,则继续执行步骤S9,否则停止开机;
S9,启动注册入网程序,若驻网成功,则继续执行步骤S10,否则返回步骤S5;
S10,启动IPSec隧道进程,执行IPSec隧道协商程序,若与主站协商成功,则CPE终端开机完成,开始正常通信工作,否则隔设定时间再次执行S10,直至CPE终端开机完成。
6.根据权利要求5所述的方法,其特征是,步骤S2后,终端身份认证模块将IMEI号和CPE_ID号转换为密文显示,并激活Web服务器的HTML静态网页中的“解绑IMSI”按钮。
7. 根据权利要求5所述的方法,其特征是,CPE终端的操作系统采用Linux 内核时,步骤S4在用户通过客户端Web浏览器向Web服务器发送绑定业务设备请求后,终端身份认证模块还将S3已获取的下挂业务设备的IP地址和MAC地址写入CPE终端操作系统的iptables过滤规则。
8.根据权利要求5所述的方法,其特征是,步骤S4后,终端身份认证模块将业务设备的MAC地址转换为密文显示,并激活Web服务器的HTML静态网页中的“解绑业务设备”按钮。
9.根据权利要求5所述的方法,其特征是,S7和S8中,若判断结果为不一致,停止CPE终端开机的同时,若用户通过客户端登录Web网管系统,则通过客户端Web浏览器界面输出相应的警告提示。
10.根据权利要求5所述的方法,其特征是,步骤S10中,所述设定时间为60s。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710253277.9A CN106972974B (zh) | 2017-04-18 | 2017-04-18 | 一种电力LTE无线终端的Web网管系统及其终端认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710253277.9A CN106972974B (zh) | 2017-04-18 | 2017-04-18 | 一种电力LTE无线终端的Web网管系统及其终端认证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106972974A true CN106972974A (zh) | 2017-07-21 |
CN106972974B CN106972974B (zh) | 2018-09-25 |
Family
ID=59333048
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710253277.9A Active CN106972974B (zh) | 2017-04-18 | 2017-04-18 | 一种电力LTE无线终端的Web网管系统及其终端认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106972974B (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107566526A (zh) * | 2017-10-13 | 2018-01-09 | 北京安控科技股份有限公司 | 一种基于Web配置RTU参数的装置 |
CN107872250A (zh) * | 2017-11-28 | 2018-04-03 | 南京南瑞信息通信科技有限公司 | 一种电力系统公专网通用的通信模块及其通信方法 |
CN108650300A (zh) * | 2018-04-13 | 2018-10-12 | 三维通信股份有限公司 | 基于https嵌入式通信设备的安全性实现方法 |
CN109639703A (zh) * | 2018-12-26 | 2019-04-16 | 西安烽火电子科技有限责任公司 | 一种基于b/s架构的电台遥控方法及系统 |
CN110958209A (zh) * | 2018-09-27 | 2020-04-03 | 广东国盾量子科技有限公司 | 基于共享密钥的双向认证方法及系统、终端 |
CN111148089A (zh) * | 2019-12-26 | 2020-05-12 | 北京华弘集成电路设计有限责任公司 | 一种解绑方法及装置 |
CN112565367A (zh) * | 2020-11-27 | 2021-03-26 | 北京三维天地科技股份有限公司 | 一种基于对称算法的数据交换平台和数据交换方法 |
CN114040458A (zh) * | 2021-10-28 | 2022-02-11 | 西安广和通无线软件有限公司 | 运营商网络切换方法、装置、通信模组、终端和存储介质 |
CN114157509A (zh) * | 2021-12-14 | 2022-03-08 | 成都国泰网信科技有限公司 | 基于国密算法具备SSL和IPsec的加密方法及装置 |
CN114697022A (zh) * | 2022-03-18 | 2022-07-01 | 北京国泰网信科技有限公司 | 应用于配电网系统的加密认证方法 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1561040A (zh) * | 2004-02-24 | 2005-01-05 | 武汉虹信通信技术有限责任公司 | 基于gprs/cdma2000 1x的通用无线透明vpn网桥系统传输方法 |
CN1571408A (zh) * | 2003-07-17 | 2005-01-26 | 华为技术有限公司 | 一种基于媒体网关控制协议的安全认证方法 |
US7483984B1 (en) * | 2001-12-19 | 2009-01-27 | Boingo Wireless, Inc. | Method and apparatus for accessing networks by a mobile device |
CN103634376A (zh) * | 2013-11-13 | 2014-03-12 | 王锦忠 | 基于AJAX与CGI的嵌入式瘦Web服务器系统模型 |
CN103685300A (zh) * | 2013-12-23 | 2014-03-26 | 蓝盾信息安全技术股份有限公司 | 一种嵌入式web服务器 |
CN103795786A (zh) * | 2014-01-20 | 2014-05-14 | 杭州百富电子技术有限公司 | 具有web服务功能的嵌入式集中器系统 |
CN103872780A (zh) * | 2014-03-26 | 2014-06-18 | 中国能源建设集团广东省电力设计研究院 | 电力td-lte的cpe终端监控系统 |
-
2017
- 2017-04-18 CN CN201710253277.9A patent/CN106972974B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7483984B1 (en) * | 2001-12-19 | 2009-01-27 | Boingo Wireless, Inc. | Method and apparatus for accessing networks by a mobile device |
CN1571408A (zh) * | 2003-07-17 | 2005-01-26 | 华为技术有限公司 | 一种基于媒体网关控制协议的安全认证方法 |
CN1561040A (zh) * | 2004-02-24 | 2005-01-05 | 武汉虹信通信技术有限责任公司 | 基于gprs/cdma2000 1x的通用无线透明vpn网桥系统传输方法 |
CN103634376A (zh) * | 2013-11-13 | 2014-03-12 | 王锦忠 | 基于AJAX与CGI的嵌入式瘦Web服务器系统模型 |
CN103685300A (zh) * | 2013-12-23 | 2014-03-26 | 蓝盾信息安全技术股份有限公司 | 一种嵌入式web服务器 |
CN103795786A (zh) * | 2014-01-20 | 2014-05-14 | 杭州百富电子技术有限公司 | 具有web服务功能的嵌入式集中器系统 |
CN103872780A (zh) * | 2014-03-26 | 2014-06-18 | 中国能源建设集团广东省电力设计研究院 | 电力td-lte的cpe终端监控系统 |
Non-Patent Citations (1)
Title |
---|
刘利等: "《基于嵌入式Web的光纤收发器网管系统设计》", 《江苏科技大学学报(自然科学版)》 * |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107566526A (zh) * | 2017-10-13 | 2018-01-09 | 北京安控科技股份有限公司 | 一种基于Web配置RTU参数的装置 |
CN107872250A (zh) * | 2017-11-28 | 2018-04-03 | 南京南瑞信息通信科技有限公司 | 一种电力系统公专网通用的通信模块及其通信方法 |
CN108650300A (zh) * | 2018-04-13 | 2018-10-12 | 三维通信股份有限公司 | 基于https嵌入式通信设备的安全性实现方法 |
CN110958209A (zh) * | 2018-09-27 | 2020-04-03 | 广东国盾量子科技有限公司 | 基于共享密钥的双向认证方法及系统、终端 |
CN110958209B (zh) * | 2018-09-27 | 2022-06-24 | 广东国盾量子科技有限公司 | 基于共享密钥的双向认证方法及系统、终端 |
CN109639703A (zh) * | 2018-12-26 | 2019-04-16 | 西安烽火电子科技有限责任公司 | 一种基于b/s架构的电台遥控方法及系统 |
CN111148089A (zh) * | 2019-12-26 | 2020-05-12 | 北京华弘集成电路设计有限责任公司 | 一种解绑方法及装置 |
CN112565367A (zh) * | 2020-11-27 | 2021-03-26 | 北京三维天地科技股份有限公司 | 一种基于对称算法的数据交换平台和数据交换方法 |
CN114040458A (zh) * | 2021-10-28 | 2022-02-11 | 西安广和通无线软件有限公司 | 运营商网络切换方法、装置、通信模组、终端和存储介质 |
CN114157509A (zh) * | 2021-12-14 | 2022-03-08 | 成都国泰网信科技有限公司 | 基于国密算法具备SSL和IPsec的加密方法及装置 |
CN114157509B (zh) * | 2021-12-14 | 2024-04-09 | 成都国泰网信科技有限公司 | 基于国密算法具备SSL和IPsec的加密方法及装置 |
CN114697022A (zh) * | 2022-03-18 | 2022-07-01 | 北京国泰网信科技有限公司 | 应用于配电网系统的加密认证方法 |
Also Published As
Publication number | Publication date |
---|---|
CN106972974B (zh) | 2018-09-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106972974B (zh) | 一种电力LTE无线终端的Web网管系统及其终端认证方法 | |
US10609549B2 (en) | Apparatus and method for profile installation in communication system | |
CN106789259B (zh) | 一种LoRa核心网系统及实现方法 | |
CN105340306B (zh) | 使用基于软件的订户身份模块提供无线订阅 | |
CN111327583B (zh) | 一种身份认证方法、智能设备及认证服务器 | |
CN106209726B (zh) | 一种移动应用单点登录方法及装置 | |
EP3433994B1 (en) | Methods and apparatus for sim-based authentication of non-sim devices | |
US10277586B1 (en) | Mobile authentication with URL-redirect | |
CN104917775A (zh) | 一种互联网接入方法 | |
CN107864475A (zh) | 基于Portal+动态密码的WiFi快捷认证方法 | |
JP5952973B2 (ja) | 端末とリモートサーバとの間の、サードパーティのポータルを介した相互認証の方法 | |
CN105871796A (zh) | 路由器绑定和控制的方法、装置 | |
EP4068834A1 (en) | Initial security configuration method, security module, and terminal | |
CN109587142B (zh) | 一种面向业务流的数据安全接入模块和设备 | |
CN107888603A (zh) | 一种物联网智能设备注册、认证方法及物联网 | |
CN104936177B (zh) | 一种接入认证方法及接入认证系统 | |
CN110351254A (zh) | 访问操作的执行方法及装置 | |
CN109460646A (zh) | 用户身份识别方法、装置、系统、电子设备及可读介质 | |
CN105409259B (zh) | 通过wifi为非蜂窝设备提供电话服务 | |
CN101527646B (zh) | 一种web网络管理系统和方法 | |
CN111246396B (zh) | 一种基于udp局域网的整机烧录方法及系统 | |
CN104301285B (zh) | 用于web系统的登录方法 | |
CN105578498B (zh) | 一种终端网络管理的方法及设备 | |
CN106851637A (zh) | 一种便捷多密码登录无线网络的方法及系统 | |
CN106954215A (zh) | 一种便捷登录无线网络的方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |