本發(fā)明涉及通信網(wǎng)絡(luò)管理領(lǐng)域中嵌入式設(shè)備的通信網(wǎng)絡(luò)管理技術(shù)����,特別是一種電力lte無線終端的web網(wǎng)管系統(tǒng)及其終端認(rèn)證方法�。
背景技術(shù):
::根據(jù)智能電網(wǎng)的建設(shè)要求,“十二五”期間我國已大力開展終端通信接入網(wǎng)建設(shè)�,大量采用光纖專網(wǎng)和無線公網(wǎng)方式,輔以電力線載波通信��,實(shí)現(xiàn)了輸電��、變電、配電�、用電等各類電力基本業(yè)務(wù)的全覆蓋。但光纖專網(wǎng)存在光纜建設(shè)難度大����、成本高、覆蓋受限��、移動(dòng)性不足等問題���,無線公網(wǎng)存在通信質(zhì)量不穩(wěn)定���、安全可靠性不高、可管理性不足�、長期租用費(fèi)用高等問題,在一定程度上影響了電力終端通信接入網(wǎng)的智能化水平��。隨著lte無線通信技術(shù)的發(fā)展���,其泛在靈活的接入特點(diǎn)為解決各種電力業(yè)務(wù)的海量接入提供了經(jīng)濟(jì)、安全��、可靠的專用通信網(wǎng)絡(luò)�����。基于td-lte(timedivision-longtermevolution)技術(shù)采用1.8ghz頻段開展電力lte寬帶無線專網(wǎng)建設(shè)���,建成了具有可移動(dòng)����、低成本�、易部署、實(shí)時(shí)�����、安全�����、可靠����、可管理、可擴(kuò)展的無線接入網(wǎng)絡(luò)���,實(shí)現(xiàn)了各類業(yè)務(wù)的綜合接入�����。cpe無線終端作為獨(dú)立的通信接入網(wǎng)關(guān)�����,廣泛應(yīng)用在電力lte寬帶無線專網(wǎng)����,為業(yè)務(wù)終端實(shí)現(xiàn)了通信接入功能,其web網(wǎng)管系統(tǒng)作為人機(jī)交互的界面�����,對(duì)cpe終端的實(shí)用性和可維護(hù)性具有重要影響����。但目前市場(chǎng)上cpe的web網(wǎng)管系統(tǒng)存在以下一些的問題:一方面web網(wǎng)管系統(tǒng)自身的安全性不高;另一方面是可配置功能項(xiàng)少��,缺乏對(duì)于電力系統(tǒng)中信息安全����、業(yè)務(wù)終端等通信需求的定制化開發(fā),從而阻礙了cpe終端在電力lte-1.8ghz無線專網(wǎng)中的推廣應(yīng)用�����。名詞解釋cgi(commongatewayinterface���,通用網(wǎng)關(guān)接口)��,在物理上是一段程序�����,運(yùn)行在服務(wù)器上����,提供同客戶端html頁面的接口���。cgi規(guī)范允許web服務(wù)器執(zhí)行外部程序�����,并將它們的輸出發(fā)送給web瀏覽器����,cgi將web的一組簡單的靜態(tài)超媒體文檔變成一個(gè)完整的新的交互式媒體。ssl(securesocketlayer����,安全套接層協(xié)議),是在傳輸通信協(xié)議(tcp/ip)上實(shí)現(xiàn)的一種安全協(xié)議�,采用公開密鑰技術(shù)。ssl協(xié)議位于tcp/ip協(xié)議與各種應(yīng)用層協(xié)議之間��,為數(shù)據(jù)通訊提供安全支持�����。ssl通過互相認(rèn)證��、使用數(shù)字簽名確保完整性���、使用加密確保機(jī)密性��,以實(shí)現(xiàn)客戶端和服務(wù)器之間的安全通訊�。usim(universalsubscriberidentitymodule)卡就是第三代手機(jī)卡(用戶全球識(shí)別卡)�,全球用戶身份模塊,也叫做升級(jí)sim�����,是在umts3g網(wǎng)絡(luò)的一個(gè)構(gòu)件。imei(internationalmobileequipmentidentity)是國際移動(dòng)設(shè)備識(shí)別碼的縮寫����。imei碼適用于gsm和wcdma制式的移動(dòng)設(shè)備����,imei碼由gsma協(xié)會(huì)統(tǒng)一規(guī)劃,并授權(quán)各地區(qū)組織進(jìn)行分配�。imsi(internationalmobilesubscriberidentificationnumber)國際移動(dòng)用戶識(shí)別碼,是區(qū)別移動(dòng)用戶的標(biāo)志��,儲(chǔ)存在sim卡中����,可用于區(qū)別移動(dòng)用戶的有效信息。(message-digestalgorithm5)����,消息摘要算法第五版,為計(jì)算機(jī)安全領(lǐng)域廣泛使用的一種散列函數(shù)�,用于將數(shù)據(jù)(如漢字)運(yùn)算為另一固定長度值,確保信息傳輸完整一致����,是計(jì)算機(jī)廣泛使用的雜湊算法之一(又譯摘要算法�����、哈希算法)���。技術(shù)實(shí)現(xiàn)要素:本發(fā)明的目的是,利用通用網(wǎng)關(guān)接口(cgi)和安全套接層協(xié)議(ssl)搭建安全的嵌入式web服務(wù)器�����,應(yīng)用于電力lte-1.8ghz無線cpe終端的web網(wǎng)管系統(tǒng)���,提高web網(wǎng)管系統(tǒng)的安全性��,增加可配置功能項(xiàng)�,以適應(yīng)電力系統(tǒng)信息安全要求和業(yè)務(wù)終端通信需求���。本發(fā)明采取的技術(shù)方案具體為:一種電力lte無線終端的web網(wǎng)管系統(tǒng)�,包括web服務(wù)器����;web服務(wù)器包括終端身份認(rèn)證模塊和cgi接口程序模塊;web服務(wù)器通過終端身份認(rèn)證模塊對(duì)cpe終端進(jìn)行終端身份認(rèn)證�,以使得cpe終端可接入電力lte無線專網(wǎng)��;cgi接口程序模塊包括終端信息查詢子模塊和終端參數(shù)配置子模塊�;終端信息查詢子模塊包括wan口狀態(tài)查詢單元���、lan口狀態(tài)查詢單元、數(shù)字證書下載單元����、安全隧道參數(shù)查詢單元、系統(tǒng)信息查詢單元和系統(tǒng)日志下載單元��;終端參數(shù)配置子模塊包括lan口地址參數(shù)配置單元�����、核心網(wǎng)檢測(cè)配置單元�����、數(shù)字證書上傳單元�、安全隧道參數(shù)配置單元、電力通信終端參數(shù)配置單元����、用戶信息修改單元和遠(yuǎn)程重啟cpe終端單元�;web服務(wù)器存儲(chǔ)有由ssl工具生成的私鑰和證書���,用戶通過客戶端web瀏覽器���,利用基于ssl協(xié)議的https方式訪問cpe終端中web服務(wù)器的html靜態(tài)網(wǎng)頁,以發(fā)送數(shù)據(jù)請(qǐng)求�����;web服務(wù)器的html靜態(tài)網(wǎng)頁通過cgi觸發(fā)cgi接口程序模塊執(zhí)行與用戶數(shù)據(jù)請(qǐng)求相應(yīng)的功能單元程序���,并將程序執(zhí)行結(jié)果數(shù)據(jù)通過web瀏覽器返回給用戶���。本發(fā)明中,客戶端web瀏覽器利用基于ssl協(xié)議的https方式訪問cpe終端中web服務(wù)器的html靜態(tài)網(wǎng)頁��,即利用了ssl加密技術(shù)�����,https是一種安全的超文本傳輸協(xié)議�,是將原有的不安全的http數(shù)據(jù)報(bào)文通過ssl協(xié)議進(jìn)行加密,從而實(shí)現(xiàn)安全的數(shù)據(jù)傳輸。本發(fā)明ssl加密技術(shù)的具體實(shí)現(xiàn)為現(xiàn)有技術(shù)��,可參考現(xiàn)有b/s架構(gòu)網(wǎng)站系統(tǒng)中對(duì)于ssl加密技術(shù)的應(yīng)用�。本發(fā)明應(yīng)用時(shí),無線cpe終端可通過無線或有線形式與pc客戶端連接通信����,web瀏覽器運(yùn)行于pc客戶端中。用戶通過web瀏覽器向web網(wǎng)管系統(tǒng)發(fā)出數(shù)據(jù)請(qǐng)求�����,數(shù)據(jù)請(qǐng)求對(duì)應(yīng)cgi接口程序模塊中各功能單元可實(shí)現(xiàn)的查詢及參數(shù)配置功能�。cgi接口程序模塊中的各功能單元的具體軟件實(shí)現(xiàn)可采用現(xiàn)有技術(shù)�。本發(fā)明的cgi接口程序模塊中定制了數(shù)字證書下載單元、數(shù)字證書上傳單元��、安全隧道參數(shù)查詢單元和安全隧道參數(shù)配置單元�。可適應(yīng)電力系統(tǒng)中特有的各類安全網(wǎng)關(guān)和加密裝置通信需求��。優(yōu)選的�,針對(duì)電力lte-1.8ghz無線專網(wǎng),為了配合綜合網(wǎng)管的使用�����,本發(fā)明中,所述電力通信終端參數(shù)配置單元配置的數(shù)據(jù)包括cpe終端的身份標(biāo)識(shí)號(hào)cpe_id�����、cpe終端所屬的業(yè)務(wù)類型以及cpe終端的業(yè)務(wù)優(yōu)先級(jí)����。cpe終端根據(jù)業(yè)務(wù)類型有配電自動(dòng)化終端、用電信息采集終端��、負(fù)荷控制終端���、視頻監(jiān)控終端����、智能巡檢機(jī)器人等��,cpe終端的業(yè)務(wù)優(yōu)先級(jí)即通過該cpe終端所接入的電力業(yè)務(wù)設(shè)備的優(yōu)先級(jí)����,比如某區(qū)域內(nèi)有配電自動(dòng)化業(yè)務(wù)、用電信息采集業(yè)務(wù)�、視頻監(jiān)控業(yè)務(wù)3種業(yè)務(wù)類型,當(dāng)無線信號(hào)資源難以滿足所有業(yè)務(wù)請(qǐng)求時(shí),基站會(huì)優(yōu)先滿足優(yōu)先級(jí)高的業(yè)務(wù)類型進(jìn)行通信���。本發(fā)明中��,用戶可通過網(wǎng)管系統(tǒng)對(duì)cpe終端所屬的業(yè)務(wù)類型以及cpe終端的業(yè)務(wù)優(yōu)先級(jí)進(jìn)行相應(yīng)的設(shè)置�����。優(yōu)選的�,web服務(wù)器的靜態(tài)網(wǎng)頁與終端信息查詢子模塊中的各單元之間采用ajax(asynchronousjavascript)異步交互方式傳遞數(shù)據(jù)請(qǐng)求或程序執(zhí)行結(jié)果��?�?蓽p少數(shù)據(jù)交互量����,提高訪客的瀏覽效率�����。優(yōu)選的��,本發(fā)明web服務(wù)器的html靜態(tài)網(wǎng)頁的主界面采用frame框架�����,包括左側(cè)菜單欄、右側(cè)主信息欄��、上側(cè)標(biāo)題欄和下側(cè)開發(fā)者信息欄���;html靜態(tài)網(wǎng)頁對(duì)外呈現(xiàn)統(tǒng)一的url地址����。即無論用戶點(diǎn)擊菜單欄中的任何鏈接����,相應(yīng)的主頁面顯示任何內(nèi)容,瀏覽器的地址欄中都顯示相同的url����。可避免非法用戶繞過登錄頁面直接訪問服務(wù)器中靜態(tài)html頁面的安全漏洞�。本發(fā)明還公開上述電力lte無線cpe終端的web網(wǎng)管系統(tǒng)中終端身份認(rèn)證模塊對(duì)cpe終端的終端身份認(rèn)證方法,包括初始化綁定和身份認(rèn)證�����;初始化綁定包括步驟:s1�����,獲取要綁定的cpe終端的cpe_id號(hào)、cpe終端中l(wèi)te通信模塊的imei號(hào)和所插入的usim卡的imsi號(hào)��;s2�,用戶通過客戶端web瀏覽器向服務(wù)器發(fā)送綁定imsi的請(qǐng)求后,終端身份認(rèn)證模塊將s1中已獲取的cpe_id�、imei和imsi三個(gè)串號(hào)拼接成一個(gè)長串號(hào),然后通過消息摘要算法生成該cpe終端的數(shù)字指紋��,存入cpe終端的開機(jī)啟動(dòng)項(xiàng)��;s3����,獲取該cpe終端下掛業(yè)務(wù)設(shè)備的ip地址和mac地址;s4����,用戶通過客戶端web瀏覽器向服務(wù)器發(fā)送綁定業(yè)務(wù)設(shè)備請(qǐng)求后�,終端身份認(rèn)證模塊將s3已獲取的業(yè)務(wù)設(shè)備的ip地址和mac地址寫入該cpe終端的開機(jī)啟動(dòng)項(xiàng);身份認(rèn)證包括步驟:s5�,已綁定imsi和業(yè)務(wù)設(shè)備的cpe終端開機(jī)后,終端身份認(rèn)證模塊讀取cpe終端的當(dāng)前cpe_id號(hào)�����、lte通信模塊的imei號(hào)和所插入usim卡的imsi號(hào);s6��,將s5獲取的cpe_id號(hào)�、imei號(hào)和imsi號(hào)三個(gè)串號(hào)拼接成一個(gè)長串號(hào),然后通過消息摘要算法生成待驗(yàn)證的數(shù)字指紋����;s7,將s6得到的待驗(yàn)證的數(shù)字指紋與開機(jī)啟動(dòng)項(xiàng)內(nèi)存儲(chǔ)的數(shù)字指紋是否一致��,若一致���,則繼續(xù)執(zhí)行步驟s8�,否則停止開機(jī)�;s8,獲取cpe終端當(dāng)前下掛業(yè)務(wù)設(shè)備的ip地址和mac地址��,判斷其是否與開機(jī)啟動(dòng)項(xiàng)中已保存的一致��,若一致�,則繼續(xù)執(zhí)行步驟s9,否則停止開機(jī)����;s9���,啟動(dòng)注冊(cè)入網(wǎng)程序,若駐網(wǎng)成功��,則繼續(xù)執(zhí)行步驟s10��,否則返回步驟s5���;s10�����,啟動(dòng)ipsec隧道進(jìn)程��,執(zhí)行ipsec隧道協(xié)商程序�����,若與主站協(xié)商成功���,則cpe終端開機(jī)完成���,開始正常通信工作�����,否則隔設(shè)定時(shí)間再次執(zhí)行s10���,直至cpe終端開機(jī)完成����。以上方法中��,初始化綁定對(duì)應(yīng)某cpe終端的首次使用�,或者解綁后的首次使用,身份認(rèn)證則對(duì)應(yīng)初始化綁定后的cpe終端使用�����。s2和s6中對(duì)于三個(gè)串號(hào)的拼接可僅為簡單拼接�����,且拼接規(guī)則一致���,如按照cpe_id�����、imei��、imsi這樣的順序?qū)?個(gè)字符串簡單拼接起來�。為了進(jìn)一步保證加密的可靠性,本發(fā)明在步驟s2后�����,終端身份認(rèn)證模塊將imei號(hào)和cpe_id號(hào)轉(zhuǎn)換為密文顯示���,并激活web服務(wù)器的html靜態(tài)網(wǎng)頁中的“解綁imsi”按鈕��。若cpe終端內(nèi)部元器件更換或由于其他需要解除imsi的綁定��,則可執(zhí)行解綁操作�,將通過“解綁imsi”按鈕解除綁定��,然后根據(jù)需要重新綁定���。進(jìn)一步的��,cpe終端的操作系統(tǒng)采用linux內(nèi)核時(shí)�����,步驟s4在用戶通過客戶端web瀏覽器向web服務(wù)器發(fā)送綁定業(yè)務(wù)設(shè)備請(qǐng)求后����,終端身份認(rèn)證模塊還將s3已獲取的下掛業(yè)務(wù)設(shè)備的ip地址和mac地址寫入cpe終端操作系統(tǒng)的iptables過濾規(guī)則���。iptables是與最新的3.5版本linux內(nèi)核集成的ip信息包過濾系統(tǒng)�����。如果linux系統(tǒng)連接到網(wǎng)絡(luò)中���,則該系統(tǒng)有利于在linux系統(tǒng)上更好地控制ip信息包過濾和防火墻配置。進(jìn)一步的����,步驟s4后,終端身份認(rèn)證模塊將業(yè)務(wù)設(shè)備的mac地址變?yōu)槊芪娘@示�����,并激活web服務(wù)器的html靜態(tài)網(wǎng)頁中的“解綁業(yè)務(wù)設(shè)備”按鈕。當(dāng)cpe終端下掛的業(yè)務(wù)設(shè)備出現(xiàn)變更���,則通過“解綁業(yè)務(wù)設(shè)備”解除已綁定的業(yè)務(wù)設(shè)備�����,然后根據(jù)需要重新進(jìn)行綁定�����。為了使得用戶能夠更及時(shí)且直觀的獲知驗(yàn)證失敗的原因及結(jié)果����,本發(fā)明s7和s8中���,若判斷結(jié)果為不一致���,停止cpe終端開機(jī)的同時(shí),若用戶通過客戶端登錄web網(wǎng)管系統(tǒng)��,則通過客戶端web瀏覽器界面輸出相應(yīng)的警告提示�。優(yōu)選的,步驟s10中�����,所述設(shè)定時(shí)間為60s。s10中�����,當(dāng)與主站協(xié)商不成功���,若此時(shí)用戶通過pc客戶端登錄web網(wǎng)管系統(tǒng),則通過web界面輸出主站協(xié)商不成功的警告提示��。本發(fā)明的有益效果為:(1)cpe終端的web網(wǎng)管程序各功能相對(duì)獨(dú)立�����,對(duì)系統(tǒng)運(yùn)行影響小��,便于擴(kuò)展����、裁剪、復(fù)用�;(2)cpe終端的web網(wǎng)管服務(wù)器采用了ssl協(xié)議,提高了系統(tǒng)的安全性���;(3)終端認(rèn)證方法使用了cpe_id��、imsi��、imei以及下掛業(yè)務(wù)設(shè)備的綁定機(jī)制�����,增強(qiáng)了cpe終端的通信安全性�;(4)針對(duì)電力業(yè)務(wù)的通信需求,進(jìn)行了定制化的cgi程序功能開發(fā)��,使得電力lte-1.8ghz無線cpe終端對(duì)電力業(yè)務(wù)設(shè)備具有更好的適配性��。附圖說明圖1所示為本發(fā)明電力lte-1.8ghz無線cpe終端web網(wǎng)管系統(tǒng)結(jié)構(gòu)圖圖2所示為web主界面布局示意圖���;圖3所示為本發(fā)明終端初始化綁定流程示意圖�����;圖4所示為本發(fā)明終端身份認(rèn)證流程示意圖���。具體實(shí)施方式以下結(jié)合附圖和具體實(shí)施例進(jìn)一步描述。實(shí)施例1參考圖1��,本發(fā)明的電力lte無線cpe終端的web網(wǎng)管系統(tǒng),包括web服務(wù)器���;web服務(wù)器包括終端身份認(rèn)證模塊和cgi接口程序模塊�����;web服務(wù)器通過終端身份認(rèn)證模塊對(duì)cpe終端進(jìn)行終端身份認(rèn)證�,以使得cpe終端可接入電力lte無線專網(wǎng)��;cgi接口程序模塊包括終端信息查詢子模塊和終端參數(shù)配置子模塊�;終端信息查詢子模塊包括wan口狀態(tài)查詢單元�����、lan口狀態(tài)查詢單元��、數(shù)字證書下載單元�、安全隧道參數(shù)查詢單元、系統(tǒng)信息查詢單元和系統(tǒng)日志下載單元���;終端參數(shù)配置子模塊包括lan口地址參數(shù)配置單元����、核心網(wǎng)檢測(cè)配置單元、數(shù)字證書上傳單元�����、安全隧道參數(shù)配置單元����、電力通信終端參數(shù)配置單元、用戶信息修改單元和遠(yuǎn)程重啟cpe終端單元���;web服務(wù)器存儲(chǔ)有由ssl工具生成的私鑰和證書�,用戶通過客戶端web瀏覽器�,利用基于ssl協(xié)議的https方式訪問cpe終端中web服務(wù)器的html靜態(tài)網(wǎng)頁,以發(fā)送數(shù)據(jù)請(qǐng)求����;web服務(wù)器的html靜態(tài)網(wǎng)頁通過cgi觸發(fā)cgi接口程序模塊執(zhí)行與用戶數(shù)據(jù)請(qǐng)求相應(yīng)的功能單元程序,并將程序執(zhí)行結(jié)果數(shù)據(jù)通過web瀏覽器返回給用戶�����。本發(fā)明中��,客戶端web瀏覽器利用基于ssl協(xié)議的https方式訪問cpe終端中web服務(wù)器的html靜態(tài)網(wǎng)頁���,即利用了ssl加密技術(shù)�����,https是一種安全的超文本傳輸協(xié)議�,是將原有的不安全的http數(shù)據(jù)報(bào)文通過ssl協(xié)議進(jìn)行加密,從而實(shí)現(xiàn)安全的數(shù)據(jù)傳輸��。此方法廣泛應(yīng)用于b/s架構(gòu)的網(wǎng)站系統(tǒng)中���,并不是現(xiàn)有無線cpe終端web網(wǎng)管系統(tǒng)所特有的技術(shù)����。具體實(shí)現(xiàn)時(shí)�����,https握手驗(yàn)證的流程如下:1)客戶端發(fā)起一個(gè)https的請(qǐng)求��,把自身支持的一系列密鑰算法套件(ciphersuite)發(fā)送給服務(wù)端�����;2)服務(wù)端接收到客戶端所有的cipher后與自身支持的對(duì)比����,如果不支持則連接斷開,反之則會(huì)從中選出一種加密算法和hash算法�,以證書的形式返回給客戶端,證書中還包含了公鑰�、頒證機(jī)構(gòu)、網(wǎng)址��、失效日期等�����;3)客戶端收到服務(wù)端響應(yīng)后會(huì)做以下幾件事:3.1)驗(yàn)證證書的合法性頒發(fā)證書的機(jī)構(gòu)是否合法與是否過期�����,證書中包含的網(wǎng)站地址是否與正在訪問的地址一致等����;3.2)生成隨機(jī)密碼如果證書驗(yàn)證通過,或者用戶接受了不授信的證書�,此時(shí)瀏覽器會(huì)生成一串隨機(jī)數(shù),然后用證書中的公鑰加密���;3.3)hash握手信息用最開始約定好的hash方式���,把握手消息取hash值�����,然后用隨機(jī)數(shù)加密“握手消息+握手消息hash值(簽名)”并一起發(fā)送給服務(wù)端�����;3.4)服務(wù)端拿到客戶端傳來的密文��,用自己的私鑰來解密握手消息取出隨機(jī)數(shù)密碼���,再用隨機(jī)數(shù)密碼解密握手消息與hash值,并與傳過來的hash值做對(duì)比確認(rèn)是否一致���。然后用隨機(jī)密碼加密一段握手消息(握手消息+握手消息的hash值)給客戶端�����;3.5)客戶端用隨機(jī)數(shù)解密并計(jì)算握手消息的hash,如果與服務(wù)端發(fā)來的hash一致�,此時(shí)握手過程結(jié)束,之后所有的通信數(shù)據(jù)將由之前瀏覽器生成的隨機(jī)密碼并利用對(duì)稱加密算法進(jìn)行加密��。因?yàn)檫@串密鑰只有客戶端和服務(wù)端知道,所以即使中間請(qǐng)求被攔截也是沒法解密數(shù)據(jù)的�����,以此保證了通信的安全���。本發(fā)明應(yīng)用時(shí)��,無線cpe終端可通過無線或有線形式與pc客戶端連接通信�,web瀏覽器運(yùn)行于pc客戶端中��。用戶通過web瀏覽器向web網(wǎng)管系統(tǒng)發(fā)出數(shù)據(jù)請(qǐng)求�����,數(shù)據(jù)請(qǐng)求對(duì)應(yīng)cgi接口程序模塊中各功能單元可實(shí)現(xiàn)的查詢及參數(shù)配置功能�。cgi接口程序模塊中的各功能單元的具體軟件實(shí)現(xiàn)可采用現(xiàn)有技術(shù)。針對(duì)電力lte-1.8ghz無線專網(wǎng)�,為了配合綜合網(wǎng)管的使用,本發(fā)明中����,所述電力通信終端參數(shù)配置單元配置的數(shù)據(jù)包括cpe終端的身份標(biāo)識(shí)號(hào)cpe_id、cpe終端所屬的業(yè)務(wù)類型以及cpe終端的業(yè)務(wù)優(yōu)先級(jí)。終端信息查詢子模塊中的各單元采用ajax(asynchronousjavascript)異步交互方式執(zhí)行相應(yīng)的數(shù)據(jù)查詢或下載任務(wù)���?��?蓽p少數(shù)據(jù)交互量,提高訪客的瀏覽效率�����。本發(fā)明web服務(wù)器的html靜態(tài)網(wǎng)頁的主界面采用frame框架����,包括左側(cè)菜單欄、右側(cè)主信息欄�����、上側(cè)標(biāo)題欄和下側(cè)開發(fā)者信息欄�����;html靜態(tài)網(wǎng)頁對(duì)外呈現(xiàn)統(tǒng)一的url地址�����?�?杀苊?�、非法用戶繞過登錄頁面直接訪問服務(wù)器中靜態(tài)html頁面的安全漏洞�。本發(fā)明還公開上述電力lte無線終端的web網(wǎng)管系統(tǒng)中終端身份認(rèn)證模塊對(duì)cpe終端的終端身份認(rèn)證方法,其特征是��,包括初始化綁定和身份認(rèn)證��;初始化綁定包括步驟:s1��,獲取要綁定的cpe終端的cpe_id號(hào)��、cpe終端中l(wèi)te通信模塊的imei號(hào)和所插入的usim卡的imsi號(hào)���;s2�,用戶通過客戶端web瀏覽器向服務(wù)器發(fā)送綁定imsi的請(qǐng)求后���,終端身份認(rèn)證模塊將s1中已獲取的cpe_id�、imei和imsi三個(gè)串號(hào)拼接成一個(gè)長串號(hào)����,然后通過消息摘要算法生成該cpe終端的數(shù)字指紋���,存入cpe終端的開機(jī)啟動(dòng)項(xiàng);s3�����,獲取該cpe終端下掛業(yè)務(wù)設(shè)備的ip地址和mac地址���;s4�����,用戶通過客戶端web瀏覽器向服務(wù)器發(fā)送綁定業(yè)務(wù)設(shè)備請(qǐng)求后�����,終端身份認(rèn)證模塊將s3已獲取的業(yè)務(wù)設(shè)備的ip地址和mac地址寫入該cpe終端的開機(jī)啟動(dòng)項(xiàng)�����;身份認(rèn)證包括步驟:s5�,已綁定imsi和業(yè)務(wù)設(shè)備的cpe終端開機(jī)后�����,終端身份認(rèn)證模塊讀取cpe終端的當(dāng)前cpe_id號(hào)、lte通信模塊的imei號(hào)和所插入usim卡的imsi號(hào)�;s6,將s5獲取的cpe_id號(hào)����、imei號(hào)和imsi號(hào)三個(gè)串號(hào)拼接成一個(gè)長串號(hào)�,然后通過消息摘要算法生成待驗(yàn)證的數(shù)字指紋;s7����,將s6得到的待驗(yàn)證的數(shù)字指紋與開機(jī)啟動(dòng)項(xiàng)內(nèi)存儲(chǔ)的數(shù)字指紋是否一致,若一致��,則繼續(xù)執(zhí)行步驟s8����,否則停止開機(jī);s8���,獲取cpe終端當(dāng)前下掛業(yè)務(wù)設(shè)備的ip地址和mac地址�,判斷其是否與開機(jī)啟動(dòng)項(xiàng)中已保存的一致���,若一致��,則繼續(xù)執(zhí)行步驟s9�����,否則停止開機(jī)���;s9�����,啟動(dòng)注冊(cè)入網(wǎng)程序��,若駐網(wǎng)成功�,則繼續(xù)執(zhí)行步驟s10�����,否則返回步驟s5��;s10�����,啟動(dòng)ipsec隧道進(jìn)程�����,執(zhí)行ipsec隧道協(xié)商程序,若與主站協(xié)商成功���,則cpe終端開機(jī)完成�����,開始正常通信工作,否則隔設(shè)定時(shí)間(如60s)再次執(zhí)行s10��,直至cpe終端開機(jī)完成����。以上方法中,初始化綁定對(duì)應(yīng)某cpe終端的首次使用���,或者解綁后的首次使用����,身份認(rèn)證則對(duì)應(yīng)初始化綁定后的cpe終端使用��。為了進(jìn)一步保證加密的可靠性�,本發(fā)明在步驟s2后�,終端身份認(rèn)證模塊將imei號(hào)和cpe_id號(hào)轉(zhuǎn)換為密文顯示���,并激活web服務(wù)器的html靜態(tài)網(wǎng)頁中的“解綁imsi”按鈕���。進(jìn)一步的,cpe終端的操作系統(tǒng)采用linux內(nèi)核時(shí)���,步驟s4在用戶通過客戶端web瀏覽器向web服務(wù)器發(fā)送綁定業(yè)務(wù)設(shè)備請(qǐng)求后�����,終端身份認(rèn)證模塊還將s3已獲取的下掛業(yè)務(wù)設(shè)備的ip地址和mac地址寫入cpe終端操作系統(tǒng)的iptables過濾規(guī)則����。iptables是與最新的3.5版本linux內(nèi)核集成的ip信息包過濾系統(tǒng)��。如果linux系統(tǒng)連接到網(wǎng)絡(luò)中�����,則該系統(tǒng)有利于在linux系統(tǒng)上更好地控制ip信息包過濾和防火墻配置���。進(jìn)一步的���,步驟s4后���,終端身份認(rèn)證模塊將業(yè)務(wù)設(shè)備的mac地址變?yōu)槊芪娘@示,并激活web服務(wù)器的html靜態(tài)網(wǎng)頁中的“解綁業(yè)務(wù)設(shè)備”按鈕��。為了使得用戶能夠更及時(shí)且直觀的獲知驗(yàn)證失敗的原因及結(jié)果����,本發(fā)明s7和s8中,若判斷結(jié)果為不一致�,停止cpe終端開機(jī)的同時(shí),若用戶通過客戶端登錄web網(wǎng)管系統(tǒng)��,則通過客戶端web瀏覽器界面輸出相應(yīng)的警告提示�����。優(yōu)選的��,步驟s10中����,所述設(shè)定時(shí)間為60s�。s10中�,當(dāng)與主站協(xié)商不成功����,若此時(shí)用戶通過pc客戶端登錄web網(wǎng)管系統(tǒng),則通過web界面輸出主站協(xié)商不成功的警告提示��。實(shí)施例2如圖1所示����,本發(fā)明提供的電力lte-1.8ghz無線cpe終端web網(wǎng)管系統(tǒng)包括:帶有ssl安全協(xié)議的嵌入式web服務(wù)器和相應(yīng)的cgi接口程序模塊,cgi接口程序模塊主要分為終端信息查詢和終端參數(shù)配置兩部分��,其中�,信息查詢功能包括:wan口狀態(tài)查詢、lan口狀態(tài)查詢���、安全隧道參數(shù)查詢����、系統(tǒng)信息查詢����、系統(tǒng)日志下載等,參數(shù)配置功能包括:lan口地址參數(shù)配置、核心網(wǎng)檢測(cè)配置��、數(shù)字證書上傳���、安全隧道參數(shù)配置����、電力通信終端參數(shù)配置���、用戶信息修改�,還有遠(yuǎn)程重啟cpe終端等功能�����。本發(fā)明提供的電力lte-1.8ghz無線cpe終端web網(wǎng)管系統(tǒng)在工作時(shí)��,由于安裝時(shí)已將ssl工具生成的私鑰和證書放入web服務(wù)器�����,首先�,用戶通過瀏覽器輸入相應(yīng)ip地址訪問嵌入式cpe終端中的web服務(wù)器�,web客戶端向web服務(wù)器通過https協(xié)議發(fā)出url請(qǐng)求,通過ssl協(xié)議的認(rèn)證加密后(加密傳輸數(shù)據(jù),即使用https的訪問方式�,而不是http方式),web服務(wù)器返回預(yù)先在配置文件中指定的html頁面(登錄首頁)給客戶端瀏覽器����。然后,用戶輸入用戶名和密碼提交登錄請(qǐng)求��,嵌入式web服務(wù)器收到登錄請(qǐng)求后�����,執(zhí)行用戶身份校驗(yàn)的cgi程序�����,判斷用戶名和密碼是否正確����,若正確,則通過cgi程序打印主界面html的腳本返回給web瀏覽器��,主界面使用的是frame框架��,如圖2所示����,由左側(cè)菜單欄����、右側(cè)主信息欄��、上側(cè)標(biāo)題欄和下側(cè)開發(fā)者信息欄組成���。使用frame框架的好處是web服務(wù)器對(duì)外呈現(xiàn)統(tǒng)一的url地址����,且該地址是一個(gè)cgi程序��,只有通過登錄頁面?zhèn)鬟f來的正確的用戶名和密碼才能顯示主頁面���,避免了非法用戶繞過登錄頁面直接訪問服務(wù)器中靜態(tài)html頁面的安全隱患�。首次使用本發(fā)明的網(wǎng)管系統(tǒng)時(shí)����,系統(tǒng)將要求用戶執(zhí)行cpe_id、imei和imsi號(hào)以及下掛業(yè)務(wù)終端的綁定認(rèn)證��,具體步驟如下(如圖3所示):(1)首次使用無線cpe終端時(shí)系統(tǒng)將讀取顯示cpe_id號(hào)����、lte通信模塊的imei號(hào)和插入usim卡的imsi號(hào);(2)點(diǎn)擊“綁定imsi”按鈕����,系統(tǒng)將cpe_id、imei和imsi三個(gè)串號(hào)拼接成一個(gè)長串號(hào)���,并通過消息摘要算法(md5)生成該cpe的數(shù)字指紋�,存入開機(jī)啟動(dòng)項(xiàng)�;(3)將imei和cpe_id變?yōu)槊芪娘@示,激活“解綁imsi”按鈕��;(4)讀取顯示無線cpe終端下掛業(yè)務(wù)設(shè)備的ip地址和mac地址����;(5)點(diǎn)擊“綁定業(yè)務(wù)設(shè)備”按鈕,系統(tǒng)將業(yè)務(wù)設(shè)備的ip地址和mac地址寫入linux系統(tǒng)自帶的iptables過濾規(guī)則����,同時(shí)寫入開機(jī)啟動(dòng)項(xiàng)。(6)將業(yè)務(wù)設(shè)備的mac地址變?yōu)槊芪娘@示��,激活“解綁業(yè)務(wù)設(shè)備”按鈕����;當(dāng)上述初始化配置生效���,再次啟動(dòng)cpe終端設(shè)備時(shí),本發(fā)明的網(wǎng)管系統(tǒng)將做如下身份認(rèn)證(如圖4所示):(7)當(dāng)無線cpe終端開機(jī)后�����,本發(fā)明的網(wǎng)管系統(tǒng)服務(wù)器將讀取當(dāng)前cpe_id號(hào)����、lte通信模塊的imei號(hào)和插入usim卡的imsi號(hào);(8)將cpe_id�����、imei和imsi三個(gè)串號(hào)拼接成一個(gè)長串號(hào)����,并通過消息摘要算法(md5)生成待驗(yàn)證的數(shù)字指紋;(9)對(duì)比該數(shù)字指紋與開機(jī)啟動(dòng)項(xiàng)內(nèi)存儲(chǔ)的數(shù)字指紋是否一致�����,若數(shù)字指紋一致���,則繼續(xù)執(zhí)行步驟(10)���,否則停止后續(xù)開機(jī)啟動(dòng)項(xiàng)的執(zhí)行,并在web界面上彈出警告框提示����;(10)檢查無線cpe終端下掛業(yè)務(wù)設(shè)備的ip地址和mac地址是否與開機(jī)啟動(dòng)項(xiàng)中保存的一致,若一致�����,則繼續(xù)執(zhí)行步驟(11)���,否則停止后續(xù)開機(jī)啟動(dòng)項(xiàng)的執(zhí)行����,并在web界面上彈出警告框提示�����;(11)啟動(dòng)注冊(cè)入網(wǎng)程序��,若駐網(wǎng)成功�����,則繼續(xù)執(zhí)行步驟(12),否則返回步驟(7)��;(12)啟動(dòng)ipsec隧道進(jìn)程����,執(zhí)行ipsec隧道協(xié)商程序,若與主站協(xié)商成功�,則開機(jī)完成,開始正常通信工作���,否則每隔60秒反復(fù)執(zhí)行本步驟����,并在web界面上彈出警告框提示�。若cpe終端內(nèi)部元器件和下掛設(shè)備更換,可執(zhí)行解綁操作�����,將通過“解綁imsi”和“解綁業(yè)務(wù)設(shè)備”按鈕解除以上綁定����,然后根據(jù)需要重新綁定�。在用戶使用終端信息查詢子模塊時(shí)�,用戶通過菜單欄中選擇需要查詢的參數(shù),嵌入式web服務(wù)器觸發(fā)執(zhí)行相應(yīng)的cgi程序�,調(diào)用后臺(tái)linux系統(tǒng)中的shell腳本或at命令,將shell腳本或at命令的執(zhí)行結(jié)果存入相應(yīng)的文本文件中���,cgi程序通過匹配特征字符串的方式,讀取前臺(tái)html頁面需要顯示的數(shù)據(jù)�,完成參數(shù)信息查詢,再通過ajax技術(shù)完成瀏覽器與web服務(wù)器之間的異步數(shù)據(jù)傳輸����,且可根據(jù)用戶設(shè)定的頁面刷新周期,定時(shí)執(zhí)行cgi查詢請(qǐng)求���,在不需要刷新整個(gè)頁面的情況下�����,實(shí)現(xiàn)電力lte-1.8ghz無線cpe終端參數(shù)信息的局部動(dòng)態(tài)刷新效果��。使用這種查詢方法���,在動(dòng)態(tài)刷新時(shí)�����,客戶端只需要從服務(wù)器請(qǐng)求少量的信息�,提高訪客的瀏覽效率�。以下對(duì)終端信息查詢子模塊以及終端參數(shù)配置子模塊中的各功能單元的實(shí)現(xiàn)方式進(jìn)行舉例說明,各功能單元的具體實(shí)現(xiàn)可利用現(xiàn)有技術(shù)�。wan口狀態(tài)查詢:打開web頁面,頁面通過ajax請(qǐng)求傳遞“get01”參數(shù)給后臺(tái)cgi程序�,cgi程序解析出“get01”參數(shù),然后cgi調(diào)用at命令腳本得到查詢內(nèi)容���,截取所需查詢結(jié)果的字符串����,通過ajax返回給web頁面�����,顯示lte狀態(tài)參數(shù)�,包括:imsi卡號(hào)、當(dāng)前網(wǎng)絡(luò)注冊(cè)狀態(tài)��、信號(hào)強(qiáng)度rsrp、信號(hào)強(qiáng)度rssi�、信噪比sinr和wan口ip地址等信息。lan口狀態(tài)查詢:打開web頁面�����,頁面通過ajax請(qǐng)求傳遞“get02”參數(shù)給后臺(tái)cgi程序���,cgi程序解析出“get02”參數(shù)���,然后cgi調(diào)用“ifconfigeth0”命令得到lan口的所有信息��,截取所需查詢結(jié)果的字符串����,通過ajax返回給web頁面,顯示lte-1.8ghz無線cpe終端lan口信息����,包括:網(wǎng)卡設(shè)備名、mac地址����、ip地址、缺省廣播地址、子網(wǎng)掩碼����、最大傳送數(shù)據(jù)包(mtu)等信息。安全隧道參數(shù)查詢:打開web頁面�,頁面通過ajax請(qǐng)求傳遞“get03”參數(shù)給后臺(tái)cgi程序,cgi程序解析出“get03”參數(shù)�,然后cgi調(diào)用讀取文件的shell命令腳本,得到隧道配置的所有信息�����,截取所需查詢結(jié)果的字符串��,通過ajax返回給web頁面���,顯示當(dāng)前ipsce隧道和gre隧道配置的通信參數(shù)���,如“隧道本端地址”、“隧道對(duì)端地址”��、“業(yè)務(wù)本端地址”�����、“業(yè)務(wù)對(duì)端地址”等。系統(tǒng)信息查詢:打開web頁面����,頁面通過ajax請(qǐng)求傳遞“get04”參數(shù)給后臺(tái)cgi程序,cgi程序解析出“get04”參數(shù)����,然后cgi調(diào)用讀取系統(tǒng)信息的shell命令腳本,得到cpe終端系統(tǒng)的軟硬件信息�,截取所需查詢結(jié)果的字符串,通過ajax返回給web頁面��,顯示該cpe無線終端的當(dāng)前系統(tǒng)信息���,包括:cpe_id、系統(tǒng)已運(yùn)行時(shí)長����、當(dāng)前系統(tǒng)時(shí)間、系統(tǒng)總存儲(chǔ)空間���、空閑存儲(chǔ)空間���、系統(tǒng)軟件版本���、lte-4g模塊型號(hào)等。系統(tǒng)日志下載:打開web頁面���,選擇需要下載的日志名稱�,頁面通過ajax請(qǐng)求傳遞“download01”參數(shù)和文件名給后臺(tái)cgi程序���,cgi程序解析出“download01”參數(shù)和文件名�,cgi調(diào)用https協(xié)議下載導(dǎo)出系統(tǒng)運(yùn)行日志�����、通信日志���、異常日志等日志文件����。在用戶使用終端參數(shù)配置子模塊時(shí)���,用戶通過菜單欄中選擇需要配置的參數(shù)頁面�,在表單中填寫相關(guān)參數(shù)�����,在點(diǎn)擊“設(shè)置”按鈕后,用戶瀏覽器向嵌入式web服務(wù)器發(fā)出請(qǐng)求并傳遞參數(shù)���,web服務(wù)器觸發(fā)執(zhí)行相應(yīng)的cgi程序��,通過cgi程序再調(diào)用對(duì)應(yīng)的shell腳本和at命令腳本�,完成電力無線cpe的參數(shù)配置����,最終cgi程序打印并返回執(zhí)行結(jié)果,web服務(wù)器再通過https協(xié)議將執(zhí)行結(jié)果返回客戶端瀏覽器�。lan口地址參數(shù)配置:打開web頁面,根據(jù)現(xiàn)場(chǎng)的網(wǎng)絡(luò)ip規(guī)劃�,修改配置無線cpe終端lan口地址和子網(wǎng)掩碼等參數(shù),即電力業(yè)務(wù)終端設(shè)備對(duì)應(yīng)的網(wǎng)關(guān)地址����,點(diǎn)擊“提交”按鈕后���,web頁面通過post方法將id號(hào)“set01”和所填參數(shù)傳遞給后臺(tái)cgi程序�����,cgi程序解析出“set01”和所填參數(shù)��,調(diào)用ifconfig命令設(shè)置系統(tǒng)lan口地址��,并將該命令添加至開機(jī)啟動(dòng)項(xiàng)��。核心網(wǎng)檢測(cè)配置:打開web頁面���,根據(jù)不同電力業(yè)務(wù)終端的通信需求和所屬vlan����,配置該無線cpe終端所屬的核心網(wǎng)地址����,點(diǎn)擊“提交”按鈕后,web頁面通過post方法將id號(hào)“set02”和所填參數(shù)傳遞給后臺(tái)cgi程序���,cgi程序解析出“set02”和所填參數(shù)����,調(diào)用shell腳本更新系統(tǒng)文件���,以便及時(shí)檢測(cè)終端通信狀態(tài)���。數(shù)字證書上傳:打開web頁面���,選擇本地需要需要上傳的證書文件,點(diǎn)擊“上傳”按鈕后����,web頁面通過post方法將id號(hào)“upload01”和文件名傳遞給后臺(tái)cgi程序,cgi程序解析出“upload01”和文件名�,調(diào)用https協(xié)議上傳安全網(wǎng)關(guān)ipsce隧道所需要的各種數(shù)字證書至無線cpe終端。安全隧道參數(shù)配置:打開web頁面���,根據(jù)現(xiàn)場(chǎng)網(wǎng)絡(luò)規(guī)劃����,修改配置ipsce隧道和gre隧道的通信參數(shù)�,如“隧道本端地址”、“隧道對(duì)端地址”���、“業(yè)務(wù)本端地址”��、“業(yè)務(wù)對(duì)端地址”等�,點(diǎn)擊“提交”按鈕后�����,web頁面通過post方法將id號(hào)“set03”和所填參數(shù)傳遞給后臺(tái)cgi程序���,cgi程序解析出“set03”和所填參數(shù)���,調(diào)用shell腳本更新系統(tǒng)文件。電力通信終端參數(shù)配置:打開web頁面����,根據(jù)該無線cpe終端在現(xiàn)場(chǎng)的實(shí)際使用情況,選擇“所用業(yè)務(wù)類型”和“業(yè)務(wù)優(yōu)先級(jí)”等參數(shù)��、配置綜合網(wǎng)管服務(wù)器地址�����,點(diǎn)擊“提交”按鈕后����,web頁面通過post方法將id號(hào)“set04”和所填參數(shù)傳遞給后臺(tái)cgi程序,cgi程序解析出“set04”和所填參數(shù)�,調(diào)用shell腳本更新系統(tǒng)文件,使得該無線cpe終端能夠被遠(yuǎn)程集中管控。用戶信息修改:修改該無線cpe終端web網(wǎng)管系統(tǒng)的用戶名和密碼����,強(qiáng)制定期更新密碼、密碼復(fù)雜度符合要求�����。遠(yuǎn)程重啟cpe終端:在配置完部分關(guān)鍵參數(shù)后�,通過界面點(diǎn)擊“重啟”按鈕,web頁面通過post方法將id號(hào)“reboot”傳遞給后臺(tái)cgi程序�,cgi調(diào)用“reboot”命令,重新啟動(dòng)無線cpe終端�,使配置生效。本發(fā)明提供的電力lte-1.8ghz無線cpe終端web網(wǎng)管系統(tǒng)針對(duì)電力系統(tǒng)在通信�、安全和業(yè)務(wù)等方面的不同需求特點(diǎn),進(jìn)行了定制化的開發(fā)�,用戶可根據(jù)實(shí)際需求選擇使用相應(yīng)模塊,如:若現(xiàn)場(chǎng)使用了安全網(wǎng)關(guān)則需要配置ipsec參數(shù)�,并上傳合法的數(shù)字證書;若現(xiàn)場(chǎng)部署了綜合網(wǎng)管服務(wù)器��,則需要添加cpe_id����、所用業(yè)務(wù)類型�、業(yè)務(wù)優(yōu)先級(jí)等終端信息�。通過在cpe終端web網(wǎng)管系統(tǒng)上進(jìn)行此類電力領(lǐng)域定制化的開發(fā),使得電力lte-1.8ghz無線cpe終端的使用更加安全��、方便�����,管理更加高效���、全面,能滿足各類電力業(yè)務(wù)部門的使用需求�。以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式,應(yīng)當(dāng)指出����,對(duì)于本
技術(shù)領(lǐng)域:
:的普通技術(shù)人員來說,在不脫離本發(fā)明技術(shù)原理的前提下�����,還可以做出若干改進(jìn)和變形�����,這些改進(jìn)和變形也應(yīng)視為本發(fā)明的保護(hù)范圍。當(dāng)前第1頁12當(dāng)前第1頁12