Mesh组网中AP安全接入方法、系统、设备和介质与流程

本申请涉及电力通信，尤其涉及一种mesh组网中ap安全接入方法、系统、设备和介质。

背景技术：

1、随着新型电力系统建设的推进，出现了以机器人巡检、可视化作业、变电状态在线监测为代表的新型业务，这些业务总体呈现出大带宽、移动性、大连接的特点，有线通信方式无法满足，需要本地无线通信技术来解决电力各类业务接入。在电力无线专网建设过程中，一些特殊场景需要采用mesh组网方式，mesh组网是一种无线网络拓扑结构，它可以由多个节点组成，并通过节点之间的转发来扩展网络覆盖范围，为减少施工量，mesh组网大量采用无线ap（access point 访问接入点）方式进行数据传输，即电力终端设备需要经过无线ap“多跳”方式才能接入到电力内网。

2、但是，当前mesh组网方案：1.无线ap接入认证安全性不足：现有的mesh组网技术中，缺乏完善的接入安全认证，这使得网络中的节点可能会遭受到未经授权的访问，以及被黑客攻击的风险。尤其是无线ap很容易被仿冒，这种安全威胁可能会导致信息泄漏，数据篡改或网络中断等问题。2.无线ap侧缺少加密算法：传统的mesh组网技术中，无线ap回传数据缺少必要的加密措施，常常以明文的方式进行，存在极大的安全隐患，也不符合电网信息网络安全防护的要求。

技术实现思路

1、针对现有技术的上述不足，本申请提供一种mesh组网中ap安全接入方法、系统、设备和介质，以解决上述无线ap接入认证安全性不足和无线ap侧缺少加密算法的技术问题。

2、第一方面，本申请提供了一种mesh组网中ap安全接入方法，方法包括：完成无线ap的ap认证证书配置，向接入控制器配置无线ap的mac白名单和发起无线ap的ap认证证书认证；通过接入控制器将mac白名单下发至无线ap关联的有线ap；在有线ap获取到mac白名单后，触发无线ap与mesh组网的建链；触发接入控制器和有线ap进行无线ap的ap认证证书认证和密钥协商机制；通过接入控制器向无线ap和有线ap下发密钥协商机制对应的加密密钥；触发无线ap向接入控制器的隧道协商过程，以完成无线ap向接入控制器的接入过程；在无线ap接入接入控制器后，通过接入控制器获取或更新有线ap和无线ap对应的ap认证证书。

3、进一步地，完成无线ap的ap认证证书配置，具体包括：将ap认证证书导入无线ap，在无线ap获取ap认证证书中的证书认证参数，以完成ap认证证书配置。

4、进一步地，密钥协商机制包括单播密钥协商和组播密钥通告；触发接入控制器和有线ap进行无线ap的ap认证证书认证和密钥协商机制，具体包括：在有线ap接收到无线ap的ap认证证书后，通过证书服务器进行ap认证证书的鉴别；在鉴别通过后，完成无线ap向有线ap的接入；通过有线ap向无线ap发起单播密钥协商请求，以在无线ap响应后，完成单播密钥协商；通过有线ap向无线ap发起组播密钥通告，以在无线ap响应后，完成组播密钥通告。

5、进一步地，密钥协商机制包括sm4国密算法；在通过接入控制器向无线ap和有线ap下发密钥协商机制对应的加密密钥之后，方法还包括：基于加密密钥，无线ap和有线ap之间进行单播和组播流量通信；其中，流量通信的通信数据报文采用128位密钥长度的国密sm4算法进行数据报文加密。

6、第二方面，本申请提供了一种mesh组网中ap安全接入系统，系统包括：配置模块，用于完成无线ap的ap认证证书配置，向接入控制器配置无线ap的mac白名单和发起无线ap的ap认证证书认证；建链模块，用于通过接入控制器将mac白名单下发至无线ap关联的有线ap；在有线ap获取到mac白名单后，触发无线ap与mesh组网的建链；下发模块，用于触发接入控制器和有线ap进行无线ap的ap认证证书认证和密钥协商机制；通过接入控制器向无线ap和有线ap下发密钥协商机制对应的加密密钥；接入模块，用于触发无线ap向接入控制器的隧道协商过程，以完成无线ap向接入控制器的接入过程；在无线ap接入接入控制器后，通过接入控制器获取或更新有线ap和无线ap对应的ap认证证书。

7、进一步地，配置模块包括配置单元，用于将ap认证证书导入无线ap，在无线ap获取ap认证证书中的证书认证参数，以完成ap认证证书配置。

8、进一步地，密钥协商机制包括单播密钥协商和组播密钥通告；下发模块包括密钥配置单元，用于在有线ap接收到无线ap的ap认证证书后，通过证书服务器进行ap认证证书的鉴别；在鉴别通过后，完成无线ap向有线ap的接入；通过有线ap向无线ap发起单播密钥协商请求，以在无线ap响应后，完成单播密钥协商；通过有线ap向无线ap发起组播密钥通告，以在无线ap响应后，完成组播密钥通告。

9、进一步地，密钥协商机制包括sm4国密算法；下发模块包括加密单元，用于基于加密密钥，无线ap和有线ap之间进行单播和组播流量通信；其中，流量通信的通信数据报文采用128位密钥长度的国密sm4算法进行数据报文加密。

10、第三方面，本申请提供了一种mesh组网中ap安全接入设备，设备包括：处理器；以及存储器，其上存储有可执行代码，当可执行代码被执行时，使得处理器执行如上述任一项的一种mesh组网中ap安全接入方法。

11、第四方面，本申请提供了一种非易失性计算机存储介质，其上存储有计算机指令，计算机指令在被执行时实现如上述任一项的一种mesh组网中ap安全接入方法。

12、本领域技术人员能够理解的是，本申请至少具有如下有益效果：

13、（1）身份认证安全，基于ap认证证书（数字证书）的ap身份认证。强制使用ap认证证书作为无线ap和有线ap的身份凭证，ap身份不可仿冒。（2）加密算法安全，使用国密批准的公钥密码体制的椭圆曲线密码算法和对称密码体制的分组密码算法（sm4），安全性高，自主可控。（3）设备角色安全，无线ap和有线ap双方对等身份认证，ap设备不可仿冒。

技术特征：

1.一种mesh组网中ap安全接入方法，其特征在于，所述方法包括：

2.根据权利要求1所述的mesh组网中ap安全接入方法，其特征在于，完成无线ap的ap认证证书配置，具体包括：

3.根据权利要求1所述的mesh组网中ap安全接入方法，其特征在于，密钥协商机制包括单播密钥协商和组播密钥通告；

4.根据权利要求3所述的mesh组网中ap安全接入方法，其特征在于，密钥协商机制包括sm4国密算法；

5.一种mesh组网中ap安全接入系统，其特征在于，所述系统包括：

6.根据权利要求5所述的mesh组网中ap安全接入系统，其特征在于，配置模块包括配置单元，

7.根据权利要求5所述的mesh组网中ap安全接入系统，其特征在于，密钥协商机制包括单播密钥协商和组播密钥通告；

8.根据权利要求5所述的mesh组网中ap安全接入系统，其特征在于，密钥协商机制包括sm4国密算法；

9.一种mesh组网中ap安全接入设备，其特征在于，所述设备包括：

10.一种非易失性计算机存储介质，其特征在于，其上存储有计算机指令，所述计算机指令在被执行时实现如权利要求1-4任一项所述的一种mesh组网中ap安全接入方法。

技术总结
本申请公开了一种Mesh组网中AP安全接入方法、系统、设备和介质，主要涉及AP安全接入技术领域，用以解决现有的无线AP接入认证安全性不足和无线AP侧缺少加密算法的问题。包括：向接入控制器配置无线AP的MAC白名单和发起无线AP的AP认证证书认证；通过接入控制器将MAC白名单下发至无线AP关联的有线AP；触发无线AP与Mesh组网的建链；触发接入控制器和有线AP进行无线AP的AP认证证书认证和密钥协商机制；向无线AP和有线AP下发密钥协商机制对应的加密密钥；完成无线AP向接入控制器的接入过程；在无线AP接入接入控制器后，通过接入控制器获取或更新有线AP和无线AP对应的AP认证证书。

技术研发人员：苑超,管荑,刘磊,梁栋,张浩,李震,赵子齐,张培杰,吕志勇,郑连振,王晨希,姜秀振,刘恒杰
受保护的技术使用者：国网山东省电力公司莱芜供电公司
技术研发日：
技术公布日：2024/1/15