(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210887845.1 (22)申请日 2022.07.26 (71)申请人 国网湖北省电力有限公司信息通信 公司 地址 430077 湖北省武汉市洪山区徐 东大 街341号 申请人 国家电网有限公司 (72)发明人 郭岳　廖荣涛　董亮　刘芬　 王逸兮　柯旺松　李磊　庄严　 梁源　王敬靖　朱兆宇　罗弦　 袁慧　代荡荡　 (74)专利代理 机构 武汉楚天专利事务所 421 13 专利代理师 胡盛登 (51)Int.Cl. H04L 9/32(2006.01)H04L 9/40(2022.01) G08B 5/38(2006.01) G08B 3/10(2006.01) (54)发明名称 一种基于终端系统访问控制与入侵的监控 防护方法及设备 (57)摘要 本发明属于安全防护技术领域， 公开了一种 基于终端系统访问控制与入侵的监控防护方法 及设备， 该方法具体包括： 用户在客户端通过离 线注册和本地注册完成用户注册； 服务器将用户 客户端访问请求转发至身份验证模块， 进行身份 验证， 若验证通过， 则访问通道打开， 用户可以进 行访问； 网络入侵检测模块对用户发送的相关数 据或文件进行检测； 处理模块接收相关数据或文 件， 并将相关数据或文件发送至存储模块进行存 储， 若检测未通过， 网络入侵检测模块发送警告 信号至处理模块， 处理模块控制访问通道关闭。 本发明实现全 过程数据安全加密防护， 提供数据 从客户端、 传输、 存 储和应用加密服 务。 权利要求书2页 说明书6页 附图2页 CN 115333749 A 2022.11.11 CN 115333749 A 1.一种基于终端系统访问控制与入侵的监控防护方法， 其特征在于， 所述基于终端系 统访问控制与入侵的监控防护方法包括： S1： 用户在客户端通过离线注 册和本地注 册完成用户注 册； S2： 服务器将用户客户端访问请求转发至身份验证模块， 进行身份验证， 若验证通过， 则访问通道打开， 用户进行访问； S3： 网络入侵检测模块对用户发送的相关数据或文件进行检测， 对用户相关数据或文 件中每一个标定集 合用一个数据矩阵近似表示， 数据矩阵边 缘点坐标链表确定了其边界； 检测出来的每一个 变化数据或文件的位置用其连通 集合的中心位置坐标表示； 计算目标位置坐标与集 合数据矩阵的位置关系， 确定是在集 合内还是集 合外； 计算目标位置 到集合边界的最近距离； 根据目标与集合的位置关系以及最近距离， 按照系统预先定义的集合入侵标准， 判定 目标对集 合的侵入状态； 根据集合侵入状态， 判定是否发布报警事 件， 以及发布什么类型的报警事 件； 报警信号之一是声 音报警信号输出， 具体为： 预先根据不同集合类型和集合入侵状态录制不同内容的报 警音频文件， 存储在系统计 算机中， 以备调用； 根据系统发布的报警事件， 播放对应的报 警音频文件， 通过系统计算机的音频接口， 输 出到扬声器喇叭播出； 报警信号之二是光报警信号输出， 具体为： 在系统计算机 显示器上显示视像头 视频用户相关数据或文件； 根据集合自动识别结果， 在用户相关数据或文件上划分并标注各个集 合； 根据系统发布的报 警事件， 用户相关数据或文件上对应集合用报 警事件定义的颜色突 出显示， 并闪烁； 若检测通过， 则加密模块对相关数据或文件进行加密后发送至所述处 理模块； S4： 处理模块接收相关数据或文件， 并将相关数据或文件发送至存储模块进行存储， 若 检测未通过， 网络入侵检测模块发送警告信号至处 理模块， 处 理模块控制访问通道关闭。 2.如权利要求1所述的基于终端系统访问控制与入侵的监控防护方法， 其特征在于， 所 述步骤S1离线注 册具体为： S11、 用户在客户端输入用户名、 口令、 手机号码和共享哈希函数； S12、 客户端将用户名、 口令、 手机号码和共享哈希函数发送至服务器， 服务器转发至身 份验证模块； S13、 身份验证模块接收到后， 建立身份验证模块用户信息表， 利用共享哈希函数对口 令进行运算， 生成第一口令哈希值， 将用户名、 第一口令哈希值、 手机号码和共享哈希函数 保存为身份验证模块用户信息表的表项， 以用户名为索引。 3.如权利要求1所述的基于终端系统访问控制与入侵的监控防护方法， 其特征在于， 所 述步骤S1本地注 册具体为： S14、 客户端发送指纹请求给服 务器， 服务器发送 认证请求给身份验证模块； S15、 身份验证模块接收到认证请求后， 若身份验证模块中已有用户指纹， 则执行步骤 S16， 否则身份验证模块触发指纹传感器提醒用户录入第一指纹信息， 用户录入成功后， 执权　利　要　求　书 1/2 页 2 CN 115333749 A 2行步骤S16； S16、 身份验证模块利用共享哈希函数， 生成第一指纹信息 哈希值， 并保存在身份验证 模块中， 将该第一指纹信息哈希值添加进 身份验证模块用户信息表。 4.如权利要求1所述的基于终端系统访问控制与入侵的监控防护方法， 其特征在于， 所 述步骤S2身份验证模块对用户客户端访问请求进行身份验证具体包括口令验证、 指纹验 证、 动态验证码验证。 5.如权利要求1所述的基于终端系统访问控制与入侵的监控防护方法， 其特征在于， 所 述步骤S2身份验证模块对用户客户端访问请求进行身份验证具体包括： 当身份验证模块收到客户端发送的用户名和口令时， 根据用户名查询身份验证模块用 户信息表， 得到第一口令哈希 值， 并利用共享哈希函数对接收到的口令进 行哈希运算， 得到 第二口令哈希值； 比较第一口令哈希 值和第二口令哈希值是否相等， 若 是， 则将结果置为成 功， 否则， 置为失败； 当身份验证模块收到客户端发送的用户名和指纹信 息时， 根据用户名查询客户端用户 信息表， 得到第一指纹信息哈希值， 并利用共享哈希函数对第一指纹信息进行哈希运算， 得 到第二指纹信息哈希值； 比对第一指纹信息哈希 值和第二指纹信息哈希值是否相等， 若是， 则将结果置为成功， 否则， 置为失败。 6.如权利要求1所述的基于终端系统访问控制与入侵的监控防护方法， 其特征在于， 所 述步骤S3加密模块对相关数据或文件进行加密具体包括： 利用非线性 算法从初始密钥产生多个 轮密钥； 利用数据的地址信 息产生至少一个和轮密钥长度相同的数据， 并利用该数据与轮密钥 做混淆， 得到该地址下混淆轮密钥； 使用所述混淆轮密钥对该地址内数据进行加密操作。 7.如权利要求6所述的基于终端系统访问控制与入侵的监控防护方法， 其特征在于， 所 述地址信息为m比特， 轮密钥为 n比特， 所述对地址信息进行变换包括： 当m>n时， 将m比特地址的高n比特与低n比特进行异或运 算， 得到一个n比特 数据； 当m<n时， 将m比特地址信息左移n ‑m位然后与原m比特地址信息进行异或运算， 得到一 个n比特数据。 8.一种计算机设备， 其特征在于， 所述计算机设备包括存储器和处理器， 所述存储器存 储有计算机程序， 所述计算机程序被所述处理器执行时， 使得所述处理器执行如权利要求 1‑7所述基于终端系统访问控制与入侵的监控防护方法。 9.一种计算机可读存储介质， 存储有计算机程序， 所述计算机程序被处理器执行时， 使 得所述处理器执行如权利要求1 ‑7所述基于终端系统访问控制与入侵的监控防护方法。 10.一种基于终端系统访问控制与入侵的监控防护设备， 其特征在于， 所述基于终端系 统访问控制与入侵的监控防护设备用于实现如权利要求 1‑7所述的基于终端系统访问控制 与入侵的监控防护方法。权　利　要　求　书 2/2 页 3 CN 115333749 A 3