带微服务授权认证功能的智能配电终端及授权认证方法
技术领域
本发明属于电力行业配电自动化技术领域,特别是涉及一种带微服务授权认证功能的智能配电终端及授权认证方法,适用于智能配网的自动化管理。
背景技术
随着智能配网的快速发展,配网设备也日趋智能化,智能配电终端逐渐应用于配网现场。智能配电终端可以根据需要运行不同功能的微服务,微服务是运行在智能配电终端中的一个或者一组程序,根据应用需求,微服务程序可以在智能配电终端的基础上实现一定的功能。但是目前对智能配电终端中的微服务缺乏有效的授权与认证手段,一方面导致微服务提供者无法管理微服务的使用,微服务可能出现非法使用的情况;另一方面,未经授权的微服务可能存在漏洞,导致智能配电终端在使用中存在风险,危及智能配网的安全运行;此外,当微服务无法授权认证时,在后期管理、后期维护及责任承担等方面都存在严重的风险,因此,需要一种适用于智能配网的具有微服务授权认证功能的智能配电终端的装置和方法,实现对智能配电终端所运行的微服务进行有效管控。
发明内容
针对上述问题,本发明提供了一种适用于智能配网的带微服务授权认证功能的智能配电终端及授权认证方法,旨在解决智能配电终端无法对运行的微服务授权认证、导致微服务管理混乱、存在安全隐患的问题。本发明所采用的技术方案如下:
带微服务授权认证功能的智能配电终端,包括:核心处理模块、数据存储模块、上行通信接口及下行通信接口,核心处理模块通过背板电路板与数据存储模块、上行通信接口及下行通信接口实现物理连接;
所述的核心处理模块采用双核处理器,用于实现微服务的授权文件解析、微服务部署、微服务的管理认证和数据交互,所述的数据存储模块用于实现文件系统、授权文件等数据的存储,所述的上行通信接口用于智能配电终端与上行设备的通讯,所述的下行通信接口用于连接配电网设备。
智能配电终端系统启动后,通过核心处理模块检查智能配电终端内所运行的所有微服务的合法性。微服务可部署在智能配电终端中,微服务可以使用智能配电终端提供的接口,智能配电终端对装置内所部署的微服务进行授权与认证,验证未通过的微服务将无法运行。
优选地,所述的核心处理模块,通过软件实现核心处理模块的业务功能,各软件子模块通过功能可划分为授权文件解析子模块、微服务部署子模块、认证守护进程子模块、数据交互子模块,所述的授权文件解析子模块、微服务部署子模块、认证守护进程子模块、数据交互子模块为运行于核心处理模块上的业务功能独立的软件子模块,授权文件解析子模块、微服务部署子模块、认证守护进程子模块通过数据交互子模块实现数据交互连接。
授权文件解析子模块用于实现从授权文件中读取授权码,获取智能配电终端ID,通过解密算法确定微服务授权的版本信息及文件身份信息,并通过数据交互子模块将微服务授权信息存储至双核处理器内存中;
微服务部署子模块用于接受从主站下发的微服务安装文件,并将微服务安装至智能配电终端文件系统中,并将微服务的安装信息通过数据交互子模块储存至双核处理器内存中;
认证守护进程子模块用于通过对比安装微服务的信息及授权信息,确定微服务的合法性,通过Linux系统接口控制微服务的启停;
数据交互子模块用于实现各子模块之间的数据交互,维护各子模块间的共享信息。
优选地,所述的核心处理模块所采用的双核处理器的主频大于等于1GHz,双核处理器运行嵌入式Linux系统。
优选地、所述的数据存储模块采用内存和闪存芯片实现,内存大于等于512MB,闪存大于等于1GB。
优选地,所述的嵌入式Linux系统基于开源Linux系统,支持微服务的状态监控,实现微服务的安装、卸载、运行控制;同时,Linux系统提供上/下行通信接口的驱动,供微服务实现业务功能使用。
优选地,所述的授权码是智能配电终端所具有的唯一的ID号,ID号通过读取CPU及4G模块IMEI号并经过加密运算获得。
优选地,所述的上行通信接口包括且不限于:串口、移动网络接口、以太网接口、载波接口、WIFI接口;所述的下行通信接口包括且不限于:串口、开关量输入输出接口、交流信号接口、模拟信号接口。
一种应用上述的带微服务授权认证功能的智能配电终端进行微服务授权认证的方法,包括以下步骤:
步骤1、通过微服务配置模块进行微服务的授权码配置、生成授权文件,并下载到智能配电终端中;
步骤2、根据应用场景,微服务部署子模块为智能配电终端部署微服务,将对应功能的微服务安装在智能配电终端中;
步骤3、授权文件解析子模块通过解密算法,将授权文件的信息解析至双核处理器的内存中;
步骤4、在微服务启动时,通过认证守护进程子模块对微服务进行认证管理,检测启动的微服务是否在授权文件中,根据授权文件中的授权信息,控制微服务的运行状态。
优选地,步骤1所述的进行微服务的授权码配置的具体步骤包括:
1.1、输入智能配电终端的ID号;
1.2、获取微服务的身份信息;
1.3、通过加密算法生成智能配电终端的配置协议文件;
1.4、将配置协议文件下载至智能配电终端中。
优选地,步骤4所述的对微服务进行认证管理的具体步骤包括:
4.1、认证守护进程子模块调用步骤3中解析后的存储在双核处理器内存中的信息,获取智能配电终端的ID号;
4.2、智能配电终端进入等待状态;
4.3、判断智能配电终端是否有微服务启动,若否转步骤4.2,若是转下一步;
4.4、获取微服务的身份信息;
4.5、与授权信息进行对比,若二者不一致则对比未通过、转步骤4.2,若二者一致则对比通过、转下一步;
4.6、允许微服务运行。
本发明具有以下有益效果:
1)智能配电终端可实现对所运行的微服务的授权认证情况的统一管理;
2)通过授权认证,避免了未经授权的微服务的运行,增强系统可靠性;
3)具有授权码的配置功能,可以确保授权的微服务不会非法传播;
4)本发明可实现指定的微服务仅能安装在指定的智能配电终端中,确保微服务的可控性,提高智能配电终端的安全性。
附图说明
图1为智能配电终端的整体结构示意图;
图2为智能配电终端的授权码配置示意图;
图3为微服务授权方法的逻辑流程图;
图4为微服务部署的示意图;
图5为微服务认证方法的逻辑流程图;
图6为智能配电终端的系统架构示意图。
具体实施方式
为使本发明的上述目的、特征能够更加明显易懂,下面结合附图和实施例对本发明做进一步的说明。
如图1所示,是智能配电终端的整体结构示意图。带微服务授权认证功能的智能配电终端,包括:核心处理模块、数据存储模块、上行通信接口及下行通信接口,核心处理模块、上行通信接口、下行通信接口、数据存储模块通过背板电路板实现物理连接。
所述的核心处理模块采用双核处理器实现,通过软件实现核心处理模块的业务功能,各软件子模块通过功能可划分为授权文件解析子模块、微服务部署子模块、认证守护进程子模块、数据交互子模块,所述的授权文件解析子模块、微服务部署子模块、认证守护进程子模块、数据交互子模块为运行下核心处理模块上的业务功能独立的软件子模块,授权文件解析子模块、微服务部署子模块、认证守护进程子模块通过数据交互子模块实现数据交互连接。
授权文件解析子模块用于实现从授权文件中读取授权码,获取智能配电终端ID,通过解密算法,确定微服务授权的版本信息及文件身份信息,并通过数据交互子模块,将微服务授权信息存储至双核处理器内存中供其他模块使用。
微服务部署子模块用于接受从主站下发的微服务安装文件,并将微服务安装至智能配电终端文件系统中,并将微服务的安装信息通过数据交互子模块储存至双核处理器内存中供其他模块使用。
认证守护进程子模块用于通过对比安装微服务的信息及授权信息,确定微服务的合法性,通过Linux系统接口控制微服务的启停,确保只有经过授权的微服务才能运行。
数据交互子模块用于实现各子模块之间的数据交互,维护各子模块间的共享信息。
所述的数据存储模块用于实现Linux系统、文件系统、以及授权码、配置文件等的存储。采用内存和闪存芯片实现,与处理器之间通过系统总线相连,内存大于等于512MB,闪存大于等于1GB。
所述的上行通信接口用于智能配电终端与上行设备的通讯,上行设备可以是配网主站、配电网设备等;所述的下行通信接口用于连接配电网设备,包括且不限于塑壳断路器、多功能表、集中器、换相开关、充电桩等。其中,上行通信接口包括且不限于:串口、移动网络接口、以太网接口、载波接口、WIFI接口;下行通信接口包括且不限于:串口、开关量输入输出接口即DI、DO接口、交流信号接口即交采接口、模拟信号接口。
所述的核心处理模块所采用的双核处理器的主频大于等于1GHz,双核处理器运行嵌入式Linux系统。所述的嵌入式Linux系统,基于开源Linux系统,支持微服务的状态监控,实现微服务的安装、卸载、运行控制等;同时,嵌入式Linux系统提供上/下行通信接口的驱动,供微服务实现业务功能使用。系统启动后,自动运行微服务认证守护进程,通过该进程检查智能配电终端内所运行的所有微服务的合法性,每台智能配电终端具有唯一的ID号作为身份标识,ID号通过读取CPU及4G模块IMEI号并经过加密运算获得。微服务可部署在智能配电终端中,微服务可以使用智能配电终端提供的接口,智能配电终端对装置内所部署的微服务进行授权与认证,验证未通过的微服务将无法运行。
另外,本发明还提供了基于上述智能配电终端的微服务授权认证管理方法,包括两部分内容,分别为微服务授权和微服务认证。
智能配电终端的微服务授权认证方法,包括以下步骤:
步骤1、通过微服务配置模块进行智能配电终端微服务的授权码配置、生成授权文件,并下载到智能配电终端中使用。如图2所示,是智能配电终端的授权码配置示意图。授权码配置通过位于主站或微服务检测机构的PC机进行配置,软件输入为智能配电终端ID及微服务身份信息,软件输出为包含授权信息的授权配置文件,该文件具有唯一性;仅可以在特定智能配电终端中使用。
如图3所示,为微服务授权方法的逻辑流程图,具体包括以下步骤:
1.1、输入智能配电终端的ID号;
1.2、获取微服务的身份信息;
1.3、通过加密算法生成智能配电终端的配置协议文件;
1.4、将配置协议文件下载至智能配电终端中。
在这里,智能配电终端ID通过智能配电终端的硬件信息生成,优先采用CPU的序列号和移动通信模块的IMEI号,通过两者进行组合加密获得,该ID号可以唯一确定一台智能配电终端。两者进行组合加密时,通过将CPU序列号、IMEI号组合排列,并将结果进行MD5或者SHA256算法计算,最终获得智能配电终端的ID号。
步骤2、根据应用场景,微服务部署子模块为智能配电终端部署微服务,将对应功能的微服务安装在智能配电终端中。如图4所示,为本发明微服务部署的示意图,一台智能配电终端的内部可通过系统总线方式部署多个微服务。
步骤3、授权文件解析子模块通过解密算法,将授权文件的信息解析至双核处理器的内存中;
步骤4、在微服务启动时,通过认证守护进程子模块对微服务进行认证管理,检测启动的微服务是否在授权文件中,根据授权文件中的授权信息,控制微服务的运行状态。只有经过合法授权的微服务才可运行,否则智能配电终端的认证守护进程将停止微服务的运行。认证守护进程将定时检查智能配电终端的微服务的授权情况。
如图5所示,为微服务认证方法的逻辑流程图,具体包括以下步骤:
4.1、认证守护进程子模块调用步骤3中解析后的存储在双核处理器内存中的信息,获取智能配电终端的ID号;
4.2、智能配电终端进入等待状态;
4.3、判断智能配电终端是否有微服务启动,若否转步骤4.2,若是转下一步;
4.4、获取微服务的身份信息;
4.5、与授权信息进行对比,若二者不一致则对比未通过、转步骤4.2,若二者一致则对比通过、转下一步;
4.6、允许微服务运行。
如图6所示,为本发明的具有微服务授权认证功能的智能配电终端的系统架构示意图,通过Linux内核管理下行设备、为设备提供驱动,并将设备文件映射到文件系统中,在文件系统之上,运行系统的认证守护子进程和微服务,系统的微服务认证守护子进程管理微服务的状态,确保只有经过授权认证的微服务才可以正常运行。