CN112291072A - 基于管理面协议的安全视频通信方法、装置、设备及介质 - Google Patents
基于管理面协议的安全视频通信方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN112291072A CN112291072A CN202011574372.7A CN202011574372A CN112291072A CN 112291072 A CN112291072 A CN 112291072A CN 202011574372 A CN202011574372 A CN 202011574372A CN 112291072 A CN112291072 A CN 112291072A
- Authority
- CN
- China
- Prior art keywords
- server
- information
- equipment
- video
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
Abstract
本申请提供了一种基于管理面协议的安全视频通信方法、装置、设备及介质。所述方法包括:在设备查询阶段,获取服务器发送的安全性验证信息,确定安全性验证信息与视联网设备的安全级别相匹配时,至少根据视联网设备的身份信息生成第一参数信息,将第一参数信息反馈给服务器;在设备认证阶段,获取服务器发送的合法性验证信息,根据合法性验证信息验证服务器合法时,根据服务器和视联网设备之间的历史交互信息生成第二参数信息,将第二参数信息反馈给服务器;在设备登录阶段,获取服务器发送的信息完整性标识,根据信息完整性标识验证目标信息为完整信息时,确定成功入网视联网,该方法可避免入网安全隐患,实现视联网设备的安全入网。
Description
技术领域
本申请涉及数据处理技术领域,特别是涉及一种基于管理面协议的安全视频通信方法、装置、设备及介质。
背景技术
在视联网中,设备需要完成入网后才能进行视联网业务。设备在入网时,往往需要与服务器之间进行多次交互,然而在相关技术中,并未对服务器和设备之间的入网交互做任何安全措施,例如设备在向服务器发送入网请求之后,服务器直接为设备分配一个视联网地址并发送给设备,设备接收到视联网地址即表示成功入网,之后利用该视联网地址进行视联网业务。由于双方入网交互过程没有任何安全保障,因此存在非法设备入网、入网信息泄露等诸多安全隐患。因而,如何提升视联网设备入网的安全性,成为亟待解决的问题。
发明内容
鉴于上述问题,本申请提供了一种基于管理面协议的安全视频通信方法、装置、设备及介质,可有效防止入网信息泄露导致的安全隐患,实现视联网设备的安全入网。
本申请第一方面提供了一种基于管理面协议的安全视频通信方法,所述方法应用于视联网设备,所述方法包括:
在设备查询阶段,获取服务器发送的安全性验证信息,确定所述安全性验证信息与所述视联网设备的安全级别相匹配时,至少根据视联网设备的身份信息生成第一参数信息,将所述第一参数信息反馈给所述服务器,以使所述服务器根据所述第一参数信息对所述视联网设备的身份进行验证,其中,所述安全性验证信息包含用于表征所述服务器安全级别的一个或多个参数;
在设备认证阶段,获取所述服务器发送的合法性验证信息,根据所述合法性验证信息验证所述服务器合法时,根据所述服务器和所述视联网设备之间的历史交互信息生成第二参数信息,将所述第二参数信息反馈给所述服务器,以使所述服务器根据所述第二参数信息对所述视联网设备的合法性进行验证,其中,所述合法性验证信息至少包括有效性验证信息及所述服务器和所述视联网设备各自的第一验证信息,所述有效性验证信息用于验证所述合法性验证信息的有效性;
在设备登录阶段,获取所述服务器发送的信息完整性标识,根据所述信息完整性标识验证目标信息为完整信息时,确定成功入网视联网,所述信息完整性标识用于保护所述目标信息的完整性。
本申请第二方面提供了一种基于管理面协议的安全视频通信装置,所述装置应用于视联网设备,所述装置包括:
查询模块,用于在设备查询阶段,获取服务器发送的安全性验证信息,确定所述安全性验证信息与所述视联网设备的安全级别相匹配时,至少根据视联网设备的身份信息生成第一参数信息,将所述第一参数信息反馈给所述服务器,以使所述服务器根据所述第一参数信息对所述视联网设备的身份进行验证,其中,所述安全性验证信息包含用于表征所述服务器安全级别的一个或多个参数;
认证模块,用于在设备认证阶段,获取所述服务器发送的合法性验证信息,根据所述合法性验证信息验证所述服务器合法时,根据所述服务器和所述视联网设备之间的历史交互信息生成第二参数信息,将所述第二参数信息反馈给所述服务器,以使所述服务器根据所述第二参数信息对所述视联网设备的合法性进行验证, 其中,所述合法性验证信息至少包括有效性验证信息及所述服务器和所述视联网设备各自的第一验证信息,所述有效性验证信息用于验证所述合法性验证信息的有效性;
登录模块,用于在设备登录阶段,获取所述服务器发送的信息完整性标识,根据所述信息完整性标识验证目标信息为完整信息时,确定成功入网视联网,所述信息完整性标识用于保护所述目标信息的完整性。
本申请实施例第三方面提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行时实现本申请第一方面所述的基于管理面协议的安全视频通信方法的步骤。
本申请实施例第四方面提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如本申请第一方面所述的基于管理面协议的安全视频通信方法中的步骤。
通过本申请的基于管理面协议的安全视频通信方法,视联网设备依次通过设备查询阶段、设备认证阶段以及设备登录阶段完成入网,具体地,在设备查询阶段,视联网设备获取服务器发送的安全性验证信息,根据安全性验证信息验证视联网设备的安全级别是否与服务器的安全级别相匹配,在相匹配时,视联网设备生成第一参数信息反馈给服务器。服务器根据第一参数信息验证视联网设备的身份准确后,进入设备认证阶段,向视联网设备发送合法性验证信息,视联网设备根据视联网设备验证服务器合法时,生成第二参数信息反馈给服务器。服务器根据第二参数信息验证视联网设备合法后,进入设备登录阶段,向视联网设备发送信息完整性标识,视联网设备根据信息完整性标识验证目标信息的完整,在目标信息为完整信息时,确定成功入网视联网。通过该方法,视联网设备与服务器在入网交互过程的各个阶段不断相互验证对方的身份和合法性,可有效防止入网信息泄露导致的安全隐患,大大提升交互过程的安全性,实现视联网设备的安全入网。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例的描述中所需要使用的附图作简单地介绍。
图1是本申请一实施例示出的一种实施环境示意图;
图2是本申请一实施例示出的一种基于管理面协议的安全入网方法的流程图;
图3是本申请一实施例示出的一种视联网安全管理协议的帧结构的示意图;
图4是本申请一实施例示出的一种基于管理面协议的安全入网方法的交互示意图;
图5是本申请一实施例示出的一种基于管理面协议的安全入网装置的结构框图;
图6是本申请一实施例示出的一种视联网的组网示意图;
图7是本申请一实施例示出的一种节点服务器的硬件结构示意图;
图8是本申请一实施例示出的一种接入交换机的硬件结构示意图;
图9是本申请一实施例示出的一种以太网协转网关的硬件结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
图1是本申请一实施例示出的一种实施环境示意图。在图1中,服务器可与多个视联网设备(包括:视联网设备1-视联网设备N)通信连接,每个视联网设备可通过服务器完成入网过程。每一个视联网设备在成功入网后,可以开展视联网业务。其中,服务器可以是视联网中的网络管服务器、会议管理服务器、自治服务器、核心交换服务器等,视联网设备可以是视联网中的视联网终端、监控接入服务器、监控共享服务器、存储服务器、视联网路由设备等,本实施例对服务器和视联网设备的类型不作具体限制。
本申请提供了一种入网方法,应用于图1中的任意一个视联网设备。图2是本申请一实施例示出的一种基于管理面协议的安全入网方法的流程图。参照图2,本申请的安全入网方法可以包括以下步骤:
步骤S21:在设备查询阶段,获取服务器发送的安全性验证信息,确定安全性验证信息与视联网设备的安全级别相匹配时,至少根据视联网设备的身份信息生成第一参数信息,将第一参数信息反馈给服务器,以使服务器根据第一参数信息对视联网设备的身份进行验证,其中,安全性验证信息包含用于表征服务器安全级别的一个或多个参数。
在本实施例中,视联网设备入网视联网的过程主要包括三个阶段,设备查询阶段、设备认证阶段以及设备登录阶段,三个阶段均验证通过后,视联网设备即成功入网视联网。
在设备查询阶段,服务器首先向未入网的视联网设备发送安全性验证信息,该安全性验证信息主要包括表征服务器安全级别的参数。视联网设备接收到安全性验证信息之后,将其中携带的参数,与自身存储的表征视联网设备的安全级别的相应参数进行比较,以查看视联网设备的安全级别和服务器的安全级别是否相匹配。其中,安全性验证信息中携带的参数可以为一个,也可以为多个,表征服务器安全级别的参数可以具有多种类型,具体可根据实际需求设置,本实施例对此不作具体限制。
示例地,当安全性验证信息中携带有第一类参数和第二类参数时,视联网设备将该安全性验证信息中的第一类参数与视联网设备的第一类参数相比较,将安全性验证信息中的第二类参数与视联网设备的第二类参数相比较,当两者均匹配时,确定视联网设备的安全级别与服务器的安全级别是匹配的。
在确定视联网设备的安全级别与服务器的安全级别匹配后,视联网设备根据自身的身份信息生成第一参数信息,其中,视联网设备自身的身份信息可以采用任意可表征视联网设备的特征的信息,例如视联网设备的地址、设备标识、设备证书等,本实施例对身份对此不作具体限制。
接着,视联网设备将生成的第一参数信息发送给服务器,使得服务器根据第一参数信息对视联网设备的身份进行验证。具体地,服务器验证第一参数信息中的每一项信息是否准确,如果有任意一项验证不通过,表示视联网设备的身份不正确,服务器向其返回验证失败的消息,反之,如果每一项信息都是准确的,表示视联网设备的身份正确,即视联网设备的身份验证通过,接着服务器进入设备认证阶段。
步骤S22:在设备认证阶段,获取服务器发送的合法性验证信息,根据合法性验证信息验证服务器合法时,根据服务器和视联网设备之间的历史交互信息生成第二参数信息,将第二参数信息反馈给服务器,以使服务器根据第二参数信息对视联网设备的合法性进行验证, 其中,合法性验证信息至少包括第一有效性验证信息及服务器和视联网设备各自的第一验证信息,第一有效性验证信息用于验证合法性验证信息的有效性。
在本实施例中,服务器在验证视联网设备的身份通过后,向视联网设备发送合法性验证信息,其中,合法性验证信息中携带有服务器的第一验证信息、视联网设备的第一验证信息以及第一有效性验证信息。
视联网设备接收到合法性验证信息后,首先根据第一有效性验证信息验证合法性验证信息的有效性,如果验证结果为有效,视联网设备继续对服务器的第一验证信息和视联网设备的第一验证信息进行验证,以验证服务器是否合法。其中,服务器的第一验证信息可以采用任意可表征服务器的特征的信息,例如服务器的地址、服务器标识等,视联网设备的第一验证信息可以采用任意可表征视联网设备的特征的信息,例如视联网设备的地址、设备标识、设备证书等,本实施对此不作具体限制。
如果服务器是合法的,视联网设备根据服务器和视联网设备之间的历史交互信息生成第二参数信息。其中,视联网设备可以根据从历史交互信息中提取任意关键信息生成第二参数信息,例如服务器标识、视联网设备的设备标识等,本实施例对此不作具体限制。
接着,视联网设备将第二参数信息发送给服务器,以使服务器根据第二参数信息对视联网设备的合法性进行验证。具体地,服务器验证第二参数信息中的每一项信息是否准确,如果有任意一项验证不通过,表示视联网设备可能是非法设备(例如携带病毒的设备等),服务器向其返回验证失败的消息,反之,如果每一项信息都是准确的,表示视联网设备是合法设备,接着服务器进入设备认证阶段。
步骤S23:在设备登录阶段,获取服务器发送的信息完整性标识,根据信息完整性标识验证目标信息为完整信息时,确定成功入网视联网,信息完整性标识用于保护目标信息的完整性。
在本实施例中,信息完整性标识是按照预设算法对目标信息进行计算得到的一个值,目标信息主要是服务器发送给视联网设备的关键信息。示例地,服务器准备向视联网设备传输一条数据(目标信息),为了保证视联网设备接收到的数据的完整性,服务器可以按照预先与视联网设备协商的计算公式对该条数据进行计算,将计算结果作为信息完整性标识,接着,服务器将该条数据和信息完整性标识封装在一个数据包中,视联网设备接收到该数据包后,按照预先与服务器协商的计算公式对该条数据进行计算,如果计算结果与信息完整性标识相同,表示接收到的该条数据是完整的。
在本实施例中的设备登录阶段,服务器与视联网设备的交互信息中可携带信息完整性标识,从而保证双方每次接收到的信息是完整的。当然,在实际实施时,在设备查询阶段和设备认证阶段,服务器与视联网设备的交互信息中也可携带信息完整性标识,具体可根据实际需求选择性设置,本实施例对此不作具体限制。
在具体实施时,视联网设备接收服务器在设备登录阶段发送的数据包,从数据包中获得目标信息和信息完整性标识,然后根据预先与服务器协商的计算公式对目标信息进行计算,如果计算结果与信息完整性标识相同,表示目标信息是完整的。由于目标信息中包含视联网设备进行视联网业务时需要的信息,至此,视联网设备已经可以根据完整的目标信息进行视联网业务,即视联网设备已成功入网视联网。
在本实施例中,视联网设备依次通过设备查询阶段、设备认证阶段以及设备登录阶段完成入网,具体地,在设备查询阶段,视联网设备获取服务器发送的安全性验证信息,根据安全性验证信息验证视联网设备的安全级别是否与服务器的安全级别相匹配,在相匹配时,视联网设备生成第一参数信息反馈给服务器。服务器根据第一参数信息验证视联网设备的身份准确后,进入设备认证阶段,向视联网设备发送合法性验证信息,视联网设备根据视联网设备验证服务器合法时,生成第二参数信息反馈给服务器。服务器根据第二参数信息验证视联网设备合法后,进入设备登录阶段,向视联网设备发送信息完整性标识,视联网设备根据信息完整性标识验证目标信息的完整,在目标信息为完整信息时,确定成功入网视联网。通过该方法,视联网设备与服务器在入网交互过程中的各个阶段不断地相互验证对方的身份和合法性,且各个阶段验证目的和效果均不同,可有效防止入网信息泄露导致的安全隐患,大大提升交互过程的安全性,实现视联网设备的安全入网。
结合以上实施例,在一种实施方式中,本申请还提供了一种获取服务器发送的安全性验证信息的方法,具体可以包括如下步骤:
接收服务器发送的入网设备查询消息,从入网设备查询消息中提取安全性验证信息;
在此基础上,将第一参数信息反馈给服务器,可以包括:
向服务器发送响应于入网设备查询消息的响应消息,响应消息中携带第一参数信息。
在本实施例中,在设备查询阶段,服务器可以向视联网设备发送入网设备查询消息,该消息中携带安全性验证信息。视联网设备接收到入网设备查询消息后,从入网设备查询消息中提取出安全性验证信息。
在确定安全性验证信息与视联网设备的安全级别相匹配时,视联网设备可以响应入网设备查询消息向服务器发送入网设备查询响应消息,入网设备查询响应消息携带第一参数信息。服务器接收到入网设备查询响应消息后,可以从入网设备查询响应消息中提取出第一参数信息。
结合以上实施例,在一种实施方式中,安全性验证信息至少包括如下任一个或多个参数:安全协议版本号、设备密码能力以及算法套件。在此基础上,本申请还提供了一种验证安全性验证信息是否与视联网设备的安全级别相匹配的方法。具体地,该方法可以包括如下步骤:
根据安全性验证信息中携带的各个参数,验证视联网设备的安全级别与服务器的安全级别是否一致,在一致时,确定安全性验证信息与视联网设备的安全级别相匹配。
在本实施例中,安全协议版本号是指服务器当前采用的视联网协议的版本号,设备密码能力是指服务器的密码能力等级,算法套件是指服务器中对各项验证信息进行验证时采用的算法。
在本实施例中,安全性验证信息中可以携带一个或多个参数,具体可根据实际需求设置。示例地,当安全性验证信息中携带服务器的设备密码能力时,视联网设备将其与自身的设备密码能力进行对比,如果服务器的设备密码能力与视联网设备的密码能力一致,表示服务器的安全级别与视联网设备的安全级别相匹配。
再示例地,当安全性验证信息中携带服务器的安全协议版本号、设备密码能力以及算法套件时,视联网设备将服务器的安全协议版本号与自身的安全协议版本号进行对比,将服务器的设备密码能力与自身的设备密码能力进行对比,将服务器的算法套件与自身的算法套件进行对比,如果对比结果均为一致,表示服务器的安全级别与视联网设备的安全级别相匹配。
其中,对于安全协议版本号,除了一致的情况外,如果服务器的安全协议版本号兼容视联网设备的安全协议版本号,也可表示安全协议版本号验证通过。对于设备密码能力,除了一致的情况外,如果服务器的设备密码能力兼容视联网设备的设备密码能力,也可表示设备密码能力验证通过。
在本实施例中,视联网设备对服务器发送的安全性验证信息进行验证,使得视联网入网过程仅在两者安全级别相匹配的情况下进行,进而保证了入网环境的安全性。
结合以上实施例,在一种实施方式中,本申请还提供了一种根据视联网设备的身份信息生成第一参数信息的方法,具体可以包括如下步骤:
根据安全性验证信息、服务器和所述视联网设备各自的第二验证信息以及第二有效性验证信息,生成第一参数信息;第二有效性验证信息用于验证所述第一参数信息的有效性,第二验证信息是根据服务器和视联网设备在设备查询阶段的交互信息,以及视联网设备预先存储的信息获得的。
在本实施例中,视联网设备可以从与服务器的历史交互信息和预先存储的信息中获得安全性验证信息、服务器的第二验证信息以及视联网设备的第二验证信息。然后按照预设算法,根据安全性验证信息、服务器的第二验证信息以及视联网设备的第二验证信息生成第二有效性验证信息。接着,视联网设备基于安全性验证信息、服务器的第二验证信息、视联网设备的第二验证信息以及第二有效性验证信息,生成第一参数信息。
服务器在接收到第二有效性验证信息之后,可以根据第二有效性验证信息验证第一参数信息的有效性,如果验证结果为有效,再继续执行后续步骤。
其中,服务器的第二验证信息可以采用任意可表征服务器的特征的信息,例如服务器的地址、服务器标识等,视联网设备的第二验证信息可以采用任意可表征视联网设备的特征的信息,例如视联网设备的地址、设备标识、设备证书等,本实施对此不作具体限制。
在一种实施方式中,第二验证信息包括动态验证信息和静态验证信息。在此基础上,根据安全性验证信息、服务器和视联网设备各自的第二验证信息以及第二有效性验证信息,生成第一参数信息,可以包括如下步骤:
获取服务器的随机数作为服务器的动态验证信息;
生成视联网设备的随机数,并将生成的随机数作为视联网设备的动态验证信息;
获取服务器的标识作为服务器的静态验证信息;
获取视联网设备的设备证书作为视联网设备的静态验证信息;
对安全验证信息、服务器和视联网设备各自的随机数、服务器的标识进行加密运算,获得第一数字签名,并将第一数字签名作为第二有效性验证信息;
将安全验证信息、服务器和视联网设备各自的随机数、服务器的标识、第一数字签名以及视联网设备的设备证书计算生成为第一参数信息。
在本实施例中,可以采用随机数作为动态验证信息。视联网设备可以从服务器发送的入网设备查询消息中获得服务器的随机数,并将服务器的随机数作为服务器的动态验证信息。同时,视联网设备在响应入网设备查询消息时也会生成一个随机数,作为视联网设备的动态验证信息。
针对本申请的三个入网阶段的每一个入网阶段,服务器和视联网设备可在每次与对方交互时生成一个随机数。例如,服务器可在向视联网设备发送的入网设备查询消息中携带服务器生成的随机数,视联网设备在响应入网设备查询消息时,可向服务器返回一个入网设备查询响应消息,并在该消息中携带服务器生成的随机数,和视联网设备生成的随机数。在下个阶段,服务器可在向视联网设备发送的消息中携带服务器重新生成的随机数,视联网设备在响应该消息时也重新生成一个视联网设备的随机数,以此类推。即三个阶段中每个阶段服务器和视联网设备生成不同的随机数。其中,本申请的随机数可以作为nonce使用,确保消息不被重放。
在本实施例中,为了使得服务器可以对视联网设备进行较为全面的验证,第一参数信息中还可以携带服务器的静态验证信息和视联网设备的静态验证信息。其中,可以将服务器的标识作为服务器的静态验证信息,可以将视联网设备的设备证书作为视联网设备的静态验证信息。其中,服务器的标识可以从入网设备查询消息中获取,视联网设备的设备证书可以从视联网设备预先存储的信息中获取。
接着,视联网设备对安全验证信息、服务器的随机数、视联网设备的随机数、服务器的标识进行加密运算,获得第一数字签名,并将第一数字签名作为第二有效性验证信息。其中,加密运算方法可以是任意计算数字签名的运算方法,本实施例对此不作具体限制。
最后,视联网设备将安全验证信息、服务器和视联网设备各自的随机数、服务器的标识、第一数字签名以及视联网设备的设备证书计算生成为第一参数信息,并将第一参数信息写入入网设备查询响应消息,将入网设备查询响应消息发送给服务器。
在本实施例中,视联网设备在生成用于服务器验证视联网设备的身份的第一参数信息时,既涉及服务器和视联网设备各自的动态验证信息,也涉及服务器和视联网设备各自的静态验证信息,提升了验证信息的覆盖面,使得服务器可以对视联网设备进行全面验证,保证了入网环境的安全性。
结合以上实施例,在一种实施方式中,获取服务器发送的合法性验证信息,可以包括:
接收服务器发送的入网设备认证消息,从入网设备认证消息中提取合法性验证信息。
在此基础上,将第二参数信息反馈给服务器,包括:
向服务器发送响应于入网设备认证消息的响应消息,该响应消息中携带第二参数信息。
在本实施例中,在设备认证阶段,服务器可以向视联网设备发送入网设备认证消息,该消息中携带合法性验证信息。视联网设备接收到入网设备认证消息后,从入网设备认证消息中提取出合法性验证信息。
在根据合法性验证信息验证服务器合法,视联网设备可以响应入网设备认证消息向服务器发送入网设备认证响应消息,入网设备认证响应消息携带第二参数信息。服务器接收到入网设备认证响应消息后,可以从入网设备认证响应消息中提取出第二参数信息。
结合以上实施例,在一种实施方式中,在设备认证阶段,第一验证信息可以包括动态验证信息和静态验证信息两种类型。在此基础上,本申请还提供了一种根据合法性验证信息验证服务器合法的方法。具体地,该方法可以包括如下步骤:
根据第一有效性验证信息验证合法性验证信息是否有效;
在有效时,验证视联网设备的动态验证信息和静态验证信息,与视联网设备自身存储的相应信息是否一致,在一致时,确定服务器为合法服务器。
在本申请中,设备认证阶段的第一验证信息,和设备查询阶段的第二验证信息均包括动态验证信息和静态验证信息两种类型,但两者包括的具体内容不同。
视联网设备在接收到合法性验证信息之后,首先根据合法性验证信息中的第一有效性验证信息验证合法性验证信息是否有效。在验证结果为有效时,进一步验证视联网设备的动态验证信息静态验证信息,与视联网设备自身存储的相应信息是否一致,如果一致,确定、服务器为合法服务器。
在一种实施方式中,第一有效性验证信息为第二数字签名,服务器的动态验证信息为服务器的随机数,视联网设备的动态验证信息为视联网设备的随机数,视联网设备的静态验证信息包括视联网设备的标识和设备证书。
在此基础上,根据第一有效性验证信息验证合法性验证信息是否有效,可以包括:
对服务器和视联网设备各自的随机数、视联网设备的标识进行加密计算;
若计算结果与第二数字签名相同,确定合法性验证信息有效。
相应地,验证所述视联网设备的动态验证信息和静态验证信息,与视联网设备自身存储的相应信息是否一致,包括:
验证视联网设备的随机数、视联网设备的标识和设备证书与视联网设备自身存储的相应信息是否一致。
在本实施例中,在第一验证信息中,服务器的随机数不同于第一验证信息中服务器的随机数,视联网设备的随机数为视联网设备在入网查询响应消息中携带的随机数。
视联网设备按照预先与服务器协商的计算签名的方法,对服务器和视联网设备各自的随机数、视联网设备的标识进行加密计算,如果计算结果与第二数字签名相同,可确定合法性验证信息有效。
接着,视联网设备验证视联网设备的随机数与入网查询响应消息中携带的视联网设备的随机数是否相同,验证视联网设备的标识与自身的标识是否相同,验证设备证书与自身存储的联网设备的设备证书是否相同,如果三者均验证通过,可确定服务器为合法服务器。
在本实施例中,视联网设备通过对合法性验证信息进行验证以确保服务器的合法性,可避免非法服务器窃取入网信息,提升了入网环境的安全性。
结合以上实施例,在一种实施方式中,根据服务器和视联网设备各自的历史交互信息生成第二参数信息,可以包括:
对服务器和视联网设备各自的随机数、视联网设备的标识以及服务器的标识进行消息认证码计算;将计算结果确定为第二参数信息。
在本实施例中,视联网设备重新生成一个视联网设备的随机数,该随机数不同于入网查询响应消息的中的视联网设备的随机数。接着,视联网设备对合法性验证信息中服务器的随机数、新的视联网设备的随机数、视联网设备的标识以及服务器的标识进行MAC(Message Authentication Code,消息认证码)计算,将计算结果作为第二参数信息。
接着,视联网设备响应于入网设备认证消息向服务器发送入网设备认证响应消息,入网设备认证响应消息中携带第二参数信息、新的视联网设备的随机数、合法性验证信息中服务器的随机数、视联网设备的标识以及服务器的标识。
其中,第二参数信息可以理解为设备认证阶段的信息完整性标识,用于保护合法性验证信息中服务器的随机数、新的视联网设备的随机数、视联网设备的标识以及服务器的标识的完整性。
在本实施例中,视联网设备根据与服务器之间的历史交互信息生成第二参数信息,使得服务器可以根据第二参数信息对视联网设备的合法性进行验证,保证了视联网设备的安全入网。
结合以上实施例,在一种实施方式中,合法性验证信息还携带有连接密钥。在此基础上,方法还包括:
对连接密钥进行密钥分散,获得连接子密钥。
相应地,对服务器和视联网设备各自的随机数、视联网设备的标识以及服务器的标识进行消息认证码计算,包括:
利用连接子密钥对服务器和视联网设备各自的随机数、视联网设备的标识以及服务器的标识进行消息认证码计算。
在本实施例中,服务器通过合法性验证信息向视联网设备下发连接密钥,视联网设备可通过任意密钥分散方式对连接密钥进行密钥分散,获得连接子密钥。接着,视联网设备可根据连接子密钥对服务器和视联网设备各自的随机数、视联网设备的标识以及服务器的标识进行MAC计算,获得第二参数信息。
结合以上实施例,在一种实施方式中,本申请还提供了一种获取服务器发送的信息完整性标识的方法,具体可以包括:
接收服务器发送的入网设备登录消息,从入网设备登录消息中提取信息完整性标识。
在本实施例中,在设备登录阶段,服务器可以向视联网设备发送入网设备登录消息,该消息中携带信息完整性标识。视联网设备接收到入网设备登录消息后,从入网设备登录消息中提取出信息完整性标识。
结合以上实施例,在一种实施方式中,目标信息包括:服务器和视联网设备各自的随机数、服务器和视联网设备各自的标识以及视联网地址,视联网地址是从入网设备登录消息中提取获得的。在此基础上,本申请还提供了一种验证目标信息的完整性的方法。具体地,该方法可以包括:
对服务器和视联网设备各自的随机数、服务器和视联网设备各自的标识以及视联网地址进行消息认证码计算;
在计算结果与信息完整性标识相同时,确定目标信息为完整信息。
在本实施例中,入网设备登录消息中携带有服务器和视联网设备各自的随机数、服务器和视联网设备各自的标识、视联网地址以及信息完整性标识。视联网设备对入网设备登录消息中的服务器和视联网设备各自的随机数、服务器和视联网设备各自的标识以及视联网地址进行消息认证码计算,如果计算结果与信息完整性标识相同,表示视联网设备接收的目标信息为完整信息。
其中,视联网地址是服务器发送给视联网设备在入网后进行视联网业务时使用的。在视联网中,视联网设备在入网后,服务器为其分配一个视联网地址,以供其后续进行视联网业务时使用。
本实施例中对接收的目标信息的完整性进行验证,使得视联网设备可以根据完整的目标信息进行视联网业务。
结合以上实施例,在一种实施方式中,在确定成功入网视联网时,本申请的方法还可以包括:
对服务器和视联网设备各自的随机数、视联网地址以及入网设备登录消息进行消息认证码计算,获得消息认证码;
向服务器反馈响应于入网设备登录消息的响应消息,该响应消息中携带消息认证码,消息认证码用于视联网设备在成功入网后与服务器的交互。
在本实施例中,在确定入网后,视联网设备还可以根据视联网设备新生成的随机数、入网设备登录消息中的服务器的随机数、视联网地址以及入网设备登录消息进行MAC运算,获得消息认证码。接着响应于入网设备登录消息,向服务器反馈入网设备登录响应消息,该消息中携带消息认证码、视联网设备新生成的随机数、入网设备登录消息中的服务器的随机数、视联网地址以及入网设备登录消息。服务器在接收到入网设备登录响应消息后,对其中的消息认证码进行验证,如果验证通过,服务器确定视联网设备获得了正确的视联网地址,已经入网成功,在后续步骤中,服务器可以基于该正确的视联网地址与视联网设备交互。
在一种实施方式中,视联网设备还可以利用在设备认证阶段获得的连接子密钥对服务器和视联网设备各自的随机数、视联网地址以及入网设备登录消息进行消息认证码计算。当然,视联网设备也可以采用预先与服务器协商的其它密钥进行消息认证码计算,本实施例对此不作具体限制。
结合以上实施例,在一种实施方式中,终端设备发送的各种响应消息的帧结构包括:交换协议头、公共消息头、管理消息头以及管理消息载荷,管理消息载荷包括多个信息元素字段,多个信息元素字段至少用于携带身份鉴别信息、密钥管理信息、握手交互信息以及消息鉴别码中的一种或多种。
本申请中各个阶段的服务器与视联网设备之间的交互均可基于视联网安全管理协议进行。换言之,前述各个实施例中的入网设备查询消息、入网设备查询消息的响应消息、入网设备认证消息、入网设备认证消息的响应消息、入网设备登录消息以及入网设备登录消息的响应消息均可以基于视联网安全管理协议传输。下面将对视联网安全管理协议进行详细说明。
图3是本申请一实施例示出的一种视联网安全管理协议的帧结构的示意图。参照图3,视联网安全管理协议的帧结构包括管理面协议头和协议载荷。管理面协议头又具体包括:交换协议头、公共消息头以及管理消息头。交换协议头中进一步包括交换标识字段、目的地址字段、目的子地址字段、源地址字段以及源子地址字段。公共消息头中进一步包含类型标识字段、保留位字段、消息号码字段以及密级标识字段。管理消息头进一步包括包序号字段、事务标识字段以及保留位字段。协议载荷即管理消息载荷,包括多个信息元素字段。
其中,交换协议头主要用于网络寻址和消息转发。交换标识用于表示视联网交换协议包的包类型,不同的包类型决定了目的地址和源地址的地址类型,也决定了协议载荷中视联网传输协议的类型,具体如下表1所示:
| 交换标志(1字节) | 包类型 | 源地址类型 | 目的地址类型 | 传输协议类型 |
| 0x10 | 0类连接包 | 链接地址 | 链接地址 | 连接协议 |
| 0x11 | 1类连接包 | 单播地址 | 单播地址 | 单播协议 |
| 0x12 | 2类连接包 | 组播地址 | 组播地址 | 组播协议 |
| 0xXX | N类连接包 | 链接/单播/组播地址 | 链接/单播/组播地址 | 安全协议 |
表1
其中,安全协议即本申请中的视联网安全管理协议。
公共消息头包括类型标识、保留位、密级标识以及消息号码等字段。类型标识用于标识协议类型,本申请中是视联网安全管理协议。消息号码为安全交互扩展消息号码,其采用特定取值范围表示表示安全交互流程所用的消息类型。其中密级标识用于表示消息来源域、消息内容的秘密程度等级。高密级来源域的数据不允许流入低密级目的域,高密级消息不允许流入低密级目的域,保留位用于填写安全协议版本号。密级标识与消息来源域和消息内容的秘密程度等级之间的关系可如下表2所示:
| 密级标识(1.5字节) | 消息来源域 | 消息目的域 | 消息内容 |
| 0x000 | 不涉密 | 不涉密 | 不涉密 |
| 0x111 | 绝密 | 绝密 | 绝密 |
| 0x222 | 机密 | 机密 | 机密 |
| 0x333 | 秘密 | 秘密 | 秘密 |
表2
管理消息头包括包序号、事务标识以及保留位等字段。包序号和事务标识共同组成了每条消息的唯一标识码,结合消息鉴别码的保护能够实现对消息重放攻击的识别。其中,事务标识相当于消息的一个动态标识符,可以用于关联相关的消息。其使用场景如下:
1、发送端在发送某个命令消息的响应消息时,可以将响应消息中的事务标识设置成和命令消息中的事务标识相同,这样接收端可以根据事务标识来区分此响应消息所对应的命令消息。
2、当消息需要分片时,发送端可以将同一个消息的所有分片的事务标识都设置成同一个数值,这样接收端可以根据事务标识来区分消息分片所对应的消息。
管理消息载荷包括身份鉴别、密钥管理、握手交互、消息鉴别码等字段,身份鉴别用于携带身份类信息,例如服务器的标识、服务器的随机数、视联网设备的标识、视联网设备的随机数等,密钥管理用于携带入网所需要的密钥,例如连接密钥等,握手交互用于携带服务器和视联网设备在握手交互阶段生成的信息,消息鉴别码用于携带消息认证码,消息鉴别码可用于保护信令消息的完整性,保护范围可包含交换协议头和协议载荷。其余的信息元素字段可以用于携带安全性验证信息、数字签名、设备证书、视联网地址以及其它消息内容。
在上述设备查询、设备认证以及设备登录阶段,进行消息认证码计算时考虑了服务器的随机数、视联网设备的随机数、服务器的标识、视联网设备的标识、视联网地址、入网设备登录消息,在实际实施时,进行消息认证码计算时还可以考虑交换协议头中的信息,从而使得消息鉴别码还可以保护交换协议头中的信息,以扩大消息完整性保护范围。
图4是本申请一实施例示出的一种基于管理面协议的安全入网方法的交互示意图。下面将结合图4,以一个具体的实施例对本申请的安全入网方法进行详细说明。
步骤1:服务器首先向其发送入网设备查询消息,该消息中携带安全性验证信息和服务器的随机数,安全性验证信息中包括:安全协议版本号、设备密码能力以及算法套件等,由***管理员根据视联网设备的安全能力进行配置。
步骤2:视联网设备接收到入网设备查询消息后,对安全性验证信息的每一项进行逐个验证,以确定视联网设备的安全级别是否与服务器的安全级别相匹配。如果不匹配,则说明无法保证密码业务的正确性,终止与服务器的会话。
如果匹配,视联网设备生成入网设备查询响应消息,该消息中至少携带安全配置信息、视联网设备生成的随机数(随机数作为nonce使用,确保消息不被重放)、入网设备查询消息中服务器的随机数、服务器唯的标识、对上述所有字段内容的数字签名以及视联网设备的设备证书。
步骤3:服务器接收到入网查询响应消息后,在验证其中的数字签名准确无误后,验证安全配置信息、服务器的随机数、服务器的标识以及视联网设备的设备证书是否与预先存储的相应信息一致以确认视联网设备的身份,如果一致,表示视联网设备的身份无误,任何一项检查失败都会终止会话。
在视联网设备的身份验证无误后,服务器生成入网设备认证消息并发送给视联网设备。入网设备认证消息中携带以视联网设备加密公钥为加密密钥的加密内容、服务器新生成的随机数、入网查询响应消息中视联网设备的随机数和视联网设备的标识、对上述所有字段内容的数字签名及视联网设备的设备证书。其中,加密内容中有连接密钥。
步骤4:视联网设备接收到入网设备认证消息后,在验证其中的数字签名准确无误后,验证视联网设备的随机数、视联网设备的标识以及视联网设备的设备证书是否与预先存储的相应信息一致以确定服务器的合法性,如果一致,表示服务器是合法的,其中任何一项检查失败都会终止会话。
在服务器验证合法时,视联网设备利用加密公钥对加密内容进行解密获得连接密钥,对连接密钥进行密钥分散获得连接子密钥,然后利用连接子密钥对新生成的视联网设备的随机数、入网设备认证消息中服务器的随机数、视联网设备的标识以及服务器的标识进行MAC运算,得到第一消息认证码。接着,视联网设备向服务器发送入网设备认证响应消息,该消息中携带新生成的视联网设备的随机数、入网设备认证消息中服务器的随机数、视联网设备的标识、服务器的标识以及第一消息认证码。其中,第一消息认证码写入入网设备认证响应消息的消息鉴别码字段中。
步骤5:服务器接收到入网设备认证响应消息后,利用连接子密钥对入网设备认证响应消息中的视联网设备的随机数、服务器的随机数、视联网设备的标识、服务器的标识进行MAC运算,如果计算得到的值与入网设备认证响应消息中的消息鉴别码的值相同,表示验证通过。
在验证通过后,服务器利用连接子密钥对新生成的服务器的随机数、入网设备认证响应消息中的视联网设备的随机数、视联网设备的标识、服务器的标识以及为视联网设备分配的视联网地址进行MAC运算,获得第二消息认证码。接着,服务器向视联网设备发送入网设备登录消息,该消息中携带新生成的服务器的随机数、入网设备认证响应消息中的视联网设备的随机数、视联网设备的标识、服务器的标识、视联网地址以及第二消息认证码。其中,第二消息认证码写入入网设备登录消息的消息鉴别码字段中。
步骤6:视联网设备接收到入网设备登录消息后,连用连接子密钥对其中的服务器的随机数、视联网设备的随机数、视联网设备的标识、服务器的标识、视联网地址进行MAC运算,如果计算结果与消息鉴别码相同,表示验证通过,接收的信息是完整的。之后,视联网设备将视联网地址导入本地,以备后续进行视联网业务时使用,至此,视联网设备已成功入网视联网。
接着,视联网设备还可以生成入网设备登录响应消息,该消息中携带视联网设备新生成的随机数、入网设备登录消息中服务器的随机数、视联网地址、入网设备登录消息以及第三消息认证码,其中,第三消息认证码写入入网设备登录响应消息的消息鉴别码字段中,第三消息认证码是利用连接子密钥对视联网设备新生成的随机数、入网设备登录消息中服务器的随机数、视联网地址、入网设备登录消息进行MAC运算得到的。服务器在接收到入网设备登录响应消息后,对其中的第三消息认证码进行验证,如果验证通过,服务器确定视联网设备获得了正确的视联网地址,已经入网成功,在后续步骤中,服务器可以基于该正确的视联网地址与视联网设备交互。
通过该方法,视联网设备与服务器在入网交互过程中不断地相互验证对方的身份和合法性,可有效防止入网信息泄露导致的安全隐患,大大提升交互过程的安全性,实现视联网设备的安全入网。
需要说明的是,对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明实施例并不受所描述的动作顺序的限制,因为依据本发明实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本发明实施例所必须的。
基于同一发明构思,本申请还提供了一种基于管理面协议的安全入网装置500,应用于视联网设备。图5是本申请一实施例示出的一种基于管理面协议的安全入网装置的结构框图。参照图5,本申请的装置500可以包括:
查询模块501,用于在设备查询阶段,获取服务器发送的安全性验证信息,确定安全性验证信息与视联网设备的安全级别相匹配时,至少根据视联网设备的身份信息生成第一参数信息,将第一参数信息反馈给服务器,以使服务器根据第一参数信息对视联网设备的身份进行验证,其中,安全性验证信息包含用于表征服务器安全级别的一个或多个参数;
认证模块502,用于在设备认证阶段,获取服务器发送的合法性验证信息,根据合法性验证信息验证服务器合法时,根据服务器和视联网设备之间的历史交互信息生成第二参数信息,将第二参数信息反馈给服务器,以使服务器根据第二参数信息对视联网设备的合法性进行验证, 其中,合法性验证信息至少包括第一有效性验证信息及服务器和视联网设备各自的第一验证信息,第一有效性验证信息用于验证合法性验证信息的有效性;
登录模块503,用于在设备登录阶段,获取服务器发送的信息完整性标识,根据信息完整性标识验证目标信息为完整信息时,确定成功入网视联网,信息完整性标识用于保护目标信息的完整性。
可选地,查询模块501包括:
第一接收模块,用于接收服务器发送的入网设备查询消息,从入网设备查询消息中提取安全性验证信息;
第一发送模块,用于响应于入网设备查询消息向服务器发送入网设备查询响应消息,入网设备查询响应消息中携带第一参数信息。
可选地,安全性验证信息至少包括如下任一个或多个参数:安全协议版本号、设备密码能力以及算法套件;
查询模块501还包括:第一验证模块,用于根据安全性验证信息中携带的各个参数,验证视联网设备的安全级别与服务器的安全级别是否一致,在一致时,确定安全性验证信息与视联网设备的安全级别相匹配。
可选地,查询模块501还包括:生成模块,用于根据安全性验证信息、服务器和视联网设备各自的第二验证信息以及第二有效性验证信息,生成第一参数信息;第二有效性验证信息用于验证第一参数信息的有效性。
可选地,第二验证信息包括动态验证信息和静态验证信息;生成模块包括:第一计算子模块,用于对安全验证信息、服务器的动态验证信息、视联网设备的动态验证信息以及服务器的静态验证信息进行加密运算,获得第一数字签名,并将第一数字签名作为第二有效性验证信息;
生成子模块,用于根据安全验证信息、服务器的动态验证信息、视联网设备的动态验证信息、服务器的静态验证信息、第一数字签名以及视联网设备的静态验证信息计算生成为第一参数信息;
其中,服务器的动态验证信息为预先获取的服务器的随机数;视联网设备的动态验证信息为视联网设备生成的随机数;服务器的静态验证信息为预先获取的服务器的标识;视联网设备的静态验证信息为预先获取的视联网设备的设备证书。
可选地,认证模块502包括:第二接收模块,用于接收服务器发送的入网设备认证消息,从入网设备认证消息中提取合法性验证信息;
第二发送模块,用于响应于入网设备认证消息向服务器发送入网设备认证响应消息,入网设备认证响应消息中携带第二参数信息。
可选地,第一验证信息包括:动态验证信息和静态验证信息;
认证模块502还包括:第二验证模块,用于根据第一有效性验证信息验证合法性验证信息是否有效;
第三验证模块,用于在有效时,验证视联网设备的动态验证信息和静态验证信息,与视联网设备自身存储的相应信息是否一致,在一致时,确定服务器为合法服务器。
可选地,第一有效性验证信息为第二数字签名,服务器的动态验证信息为服务器的随机数,视联网设备的动态验证信息为视联网设备的随机数,视联网设备的静态验证信息包括视联网设备的标识和设备证书;
第二验证模块包括:第二计算子模块,用于对服务器和视联网设备各自的随机数、视联网设备的标识进行加密计算;
确定子模块,用于若计算结果与第二数字签名相同,确定合法性验证信息有效;
第三验证模块包括:验证子模块,用于验证、视联网设备的随机数、视联网设备的标识和设备证书与视联网设备自身存储的相应信息是否一致。
可选地,认证模块502还包括:第一计算模块,用于对服务器和视联网设备各自的随机数、视联网设备的标识以及服务器的标识进行消息认证码计算;
确定模块,用于将计算结果确定为第二参数信息。
可选地,合法性验证信息还携带连接密钥;装置500还包括:分散模块,用于对连接密钥进行密钥分散,获得连接子密钥;
第一计算模块包括:第三计算子模块,用于利用连接子密钥对服务器和视联网设备各自的随机数、视联网设备的标识以及服务器的标识进行消息认证码计算。
可选地,登录模块503包括:第三接收模块,用于接收服务器发送的入网设备登录消息,从入网设备登录消息中提取信息完整性标识。
可选地,目标信息包括:服务器和视联网设备各自的随机数、服务器和视联网设备各自的标识以及视联网地址,视联网地址是从入网设备登录消息中提取获得的;
登录模块503包括:第四验证模块,用于对服务器和视联网设备各自的随机数、服务器和视联网设备各自的标识以及视联网地址进行消息认证码计算,在计算结果与信息完整性标识相同时,确定目标信息为完整信息。
可选地,装置500还包括:第二计算模块,用于对服务器和视联网设备各自的随机数、视联网地址以及入网设备登录消息进行消息认证码计算,获得消息认证码;
第三发送模块,用于响应于入网设备登录消息,向服务器反馈入网设备登录响应消息,入网设备登录响应消息中携带消息认证码,消息认证码用于视联网设备在成功入网后与服务器的交互。
可选地,入网设备查询消息的帧结构包括:交换协议头、公共消息头、管理消息头以及管理消息载荷;管理消息载荷包括多个信息元素字段,多个信息元素字段至少用于携带身份鉴别信息、密钥管理信息、握手交互信息以及消息鉴别码。
基于同一发明构思,本申请提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行时实现本申请上述任一实施例所述的基于管理面协议的安全入网方法中的步骤。
基于同一发明构思,本申请提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如本申请上述任一实施例所述的基于管理面协议的安全入网方法中的步骤。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
视联网是网络发展的重要里程碑,是一个实时网络,能够实现高清视频实时传输,将众多互联网应用推向高清视频化,高清面对面。
视联网采用实时高清视频交换技术,可以在一个网络平台上将所需的服务,如高清视频会议、视频监控、智能化监控分析、应急指挥、数字广播电视、延时电视、网络教学、现场直播、VOD点播、电视邮件、个性录制(PVR)、内网(自办)频道、智能化视频播控、信息发布等数十种视频、语音、图片、文字、通讯、数据等服务全部整合在一个***平台,通过电视或电脑实现高清品质视频播放。
为使本领域技术人员更好地理解本发明实施例,以下对视联网进行介绍:
视联网所应用的部分技术如下所述:
网络技术(Network Technology)
视联网的网络技术创新改良了传统以太网(Ethernet),以面对网络上潜在的巨大视频流量。不同于单纯的网络分组包交换(Packet Switching)或网络电路交换(CircuitSwitching),视联网技术采用Packet Switching满足Streaming需求。视联网技术具备分组交换的灵活、简单和低价,同时具备电路交换的品质和安全保证,实现了全网交换式虚拟电路,以及数据格式的无缝连接。
交换技术(Switching Technology)
视联网采用以太网的异步和包交换两个优点,在全兼容的前提下消除了以太网缺陷,具备全网端到端无缝连接,直通用户终端,直接承载IP数据包。用户数据在全网范围内不需任何格式转换。视联网是以太网的更高级形态,是一个实时交换平台,能够实现目前互联网无法实现的全网大规模高清视频实时传输,将众多网络视频应用推向高清化、统一化。
服务器技术(Server Technology)
视联网和统一视频平台上的服务器技术不同于传统意义上的服务器,它的流媒体传输是建立在面向连接的基础上,其数据处理能力与流量、通讯时间无关,单个网络层就能够包含信令及数据传输。对于语音和视频业务来说,视联网和统一视频平台流媒体处理的复杂度比数据处理简单许多,效率比传统服务器大大提高了百倍以上。
储存器技术(Storage Technology)
统一视频平台的超高速储存器技术为了适应超大容量和超大流量的媒体内容而采用了最先进的实时操作***,将服务器指令中的节目信息映射到具体的硬盘空间,媒体内容不再经过服务器,瞬间直接送达到用户终端,用户等待一般时间小于0.2秒。最优化的扇区分布大大减少了硬盘磁头寻道的机械运动,资源消耗仅占同等级IP互联网的20%,但产生大于传统硬盘阵列3倍的并发流量,综合效率提升10倍以上。
网络安全技术(Network Security Technology)
视联网的结构性设计通过每次服务单独许可制、设备与用户数据完全隔离等方式从结构上彻底根除了困扰互联网的网络安全问题,一般不需要杀毒程序、防火墙,杜绝了黑客与病毒的攻击,为用户提供结构性的无忧安全网络。
服务创新技术(Service Innovation Technology)
统一视频平台将业务与传输融合在一起,不论是单个用户、私网用户还是一个网络的总合,都不过是一次自动连接。用户终端、机顶盒或PC直接连到统一视频平台,获得丰富多彩的各种形态的多媒体视频服务。统一视频平台采用“菜谱式”配表模式来替代传统的复杂应用编程,可以使用非常少的代码即可实现复杂的应用,实现“无限量”的新业务创新。
视联网的组网如下所述:
视联网是一种集中控制的网络结构,该网络可以是树型网、星型网、环状网等等类型,但在此基础上网络中需要有集中控制节点来控制整个网络。
图6是本申请一实施例示出的一种视联网的组网示意图。如图6所示,视联网分为接入网和城域网两部分。
接入网部分的设备主要可以分为3类:节点服务器,接入交换机,终端(包括各种机顶盒、编码板、存储器等)。节点服务器与接入交换机相连,接入交换机可以与多个终端相连,并可以连接以太网。
其中,节点服务器是接入网中起集中控制功能的节点,可控制接入交换机和终端。节点服务器可直接与接入交换机相连,也可以直接与终端相连。
类似的,城域网部分的设备也可以分为3类:城域服务器,节点交换机,节点服务器。城域服务器与节点交换机相连,节点交换机可以与多个节点服务器相连。
其中,节点服务器即为接入网部分的节点服务器,即节点服务器既属于接入网部分,又属于城域网部分。
城域服务器是城域网中起集中控制功能的节点,可控制节点交换机和节点服务器。城域服务器可直接连接节点交换机,也可直接连接节点服务器。
由此可见,整个视联网络是一种分层集中控制的网络结构,而节点服务器和城域服务器下控制的网络可以是树型、星型、环状等各种结构。
形象地称,接入网部分可以组成统一视频平台(虚线圈中部分),多个统一视频平台可以组成视联网;每个统一视频平台可以通过城域以及广域视联网互联互通。
视联网设备分类
1.1 本发明实施例的视联网中的设备主要可以分为3类:服务器,交换机(包括以太网网关), 终端(包括各种机顶盒,编码板,存储器等)。视联网整体上可以分为城域网(或者国家网、全球网等)和接入网。
1.2 其中接入网部分的设备主要可以分为3类:节点服务器,接入交换机(包括以太网网关), 终端(包括各种机顶盒,编码板,存储器等)。
各接入网设备的具体硬件结构为:
节点服务器:
图7是本申请一实施例示出的一种节点服务器的硬件结构示意图。如图7所示,主要包括网络接口模块701、交换引擎模块702、CPU模块703、磁盘阵列模块704;
其中,网络接口模块701,CPU模块703、磁盘阵列模块704进来的包均进入交换引擎模块702;交换引擎模块702对进来的包进行查地址表705的操作,从而获得包的导向信息;并根据包的导向信息把该包存入对应的包缓存器706的队列;如果包缓存器706的队列接近满,则丢弃;交换引擎模702轮询所有包缓存器队列,如果满足以下条件进行转发:1)该端口发送缓存未满;2)该队列包计数器大于零。磁盘阵列模块704主要实现对硬盘的控制,包括对硬盘的初始化、读写等操作;CPU模块703主要负责与接入交换机、终端(图中未示出)之间的协议处理,对地址表705(包括下行协议包地址表、上行协议包地址表、数据包地址表)的配置,以及,对磁盘阵列模块704的配置。
接入交换机:
图8是本申请一实施例示出的一种接入交换机的硬件结构示意图。如图8所示,主要包括网络接口模块(下行网络接口模块801、上行网络接口模块802)、交换引擎模块803和CPU模块804;
其中,下行网络接口模块801进来的包(上行数据)进入包检测模块805;包检测模块805检测包的目地地址(DA)、源地址(SA)、数据包类型及包长度是否符合要求,如果符合,则分配相应的流标识符(stream-id),并进入交换引擎模块803,否则丢弃;上行网络接口模块802进来的包(下行数据)进入交换引擎模块803;CPU模块804进来的数据包进入交换引擎模块803;交换引擎模块803对进来的包进行查地址表806的操作,从而获得包的导向信息;如果进入交换引擎模块803的包是下行网络接口往上行网络接口去的,则结合流标识符(stream-id)把该包存入对应的包缓存器807的队列;如果该包缓存器807的队列接近满,则丢弃;如果进入交换引擎模块803的包不是下行网络接口往上行网络接口去的,则根据包的导向信息,把该数据包存入对应的包缓存器807的队列;如果该包缓存器807的队列接近满,则丢弃。
交换引擎模块803轮询所有包缓存器队列,在本发明实施例中分两种情形:
如果该队列是下行网络接口往上行网络接口去的,则满足以下条件进行转发:1)该端口发送缓存未满;2)该队列包计数器大于零;3)获得码率控制模块产生的令牌;
如果该队列不是下行网络接口往上行网络接口去的,则满足以下条件进行转发:1)该端口发送缓存未满;2)该队列包计数器大于零。
码率控制模块808是由CPU模块804来配置的,在可编程的间隔内对所有下行网络接口往上行网络接口去的包缓存器队列产生令牌,用以控制上行转发的码率。
CPU模块804主要负责与节点服务器之间的协议处理,对地址表806的配置,以及,对码率控制模块808的配置。
以太网协转网关:
图9是本申请一实施例示出的一种以太网协转网关的硬件结构示意图。如图9所示,主要包括网络接口模块(下行网络接口模块901、上行网络接口模块902)、交换引擎模块903、CPU模块904、包检测模块905、码率控制模块908、地址表906、包缓存器907和MAC添加模块909、MAC删除模块910。
其中,下行网络接口模块901进来的数据包进入包检测模块905;包检测模块905检测数据包的以太网MAC DA、 以太网MAC SA、以太网 length or frame type、视联网目地地址DA、视联网源地址SA、视联网数据包类型及包长度是否符合要求,如果符合则分配相应的流标识符(stream-id);然后,由MAC删除模块910减去MAC DA、 MAC SA、 length or frametype(2byte),并进入相应的接收缓存,否则丢弃;
下行网络接口模块901检测该端口的发送缓存,如果有包则根据包的视联网目地地址DA获知对应的终端的以太网MAC DA,添加终端的以太网MAC DA、 以太网协转网关的MACSA、以太网 length or frame type,并发送。
以太网协转网关中其他模块的功能与接入交换机类似。
终端:
主要包括网络接口模块、业务处理模块和CPU模块;例如,机顶盒主要包括网络接口模块、视音频编解码引擎模块、CPU模块;编码板主要包括网络接口模块、视音频编码引擎模块、CPU模块;存储器主要包括网络接口模块、CPU模块和磁盘阵列模块。
1.3 城域网部分的设备主要可以分为2类:节点服务器,节点交换机,城域服务器。其中,节点交换机主要包括网络接口模块、交换引擎模块和CPU模块;城域服务器主要包括网络接口模块、交换引擎模块和CPU模块构成。
2、视联网数据包定义
2.1接入网数据包定义
接入网的数据包主要包括以下几部分:目的地址(DA)、源地址(SA)、保留字节、payload(PDU)、CRC。
如下表所示,接入网的数据包主要包括以下几部分:
| DA | SA | Reserved | Payload | CRC |
其中:
目的地址(DA)由8个字节(byte)组成,第一个字节表示数据包的类型(例如各种协议包、组播数据包、单播数据包等),最多有256种可能,第二字节到第六字节为城域网地址,第七、第八字节为接入网地址;
源地址(SA)也是由8个字节(byte)组成,定义与目的地址(DA)相同;
保留字节由2个字节组成;
payload部分根据不同的数据报的类型有不同的长度,如果是各种协议包的话是64个字节,如果是单组播数据包话是32 + 1024 = 1056个字节,当然并不仅仅限于以上2种;
CRC有4个字节组成,其计算方法遵循标准的以太网CRC算法。
2.2城域网数据包定义
城域网的拓扑是图型,两个设备之间可能有2种、甚至2种以上的连接,即节点交换机和节点服务器、节点交换机和节点交换机、节点交换机和节点服务器之间都可能超过2种连接。但是,城域网设备的城域网地址却是唯一的,为了精确描述城域网设备之间的连接关系,在本发明实施例中引入参数:标签,来唯一描述一个城域网设备。
本说明书中标签的定义和MPLS(Multi-Protocol Label Switch,多协议标签交换)的标签的定义类似,假设设备A和设备B之间有两个连接,那么数据包从设备A到设备B就有2个标签,数据包从设备B到设备A也有2个标签。标签分入标签、出标签,假设数据包进入设备A的标签(入标签)是0x0000,这个数据包离开设备A时的标签(出标签)可能就变成了0x0001。城域网的入网流程是集中控制下的入网过程,也就意味着城域网的地址分配、标签分配都是由城域服务器主导的,节点交换机、节点服务器都是被动的执行而已,这一点与MPLS的标签分配是不同的,MPLS的标签分配是交换机、服务器互相协商的结果。
如下表所示,城域网的数据包主要包括以下几部分:
| DA | SA | Reserved | 标签 | Payload | CRC |
即目的地址(DA)、源地址(SA)、保留字节(Reserved)、标签、payload(PDU)、CRC。其中,标签的格式可以参考如下定义:标签是32bit,其中高16bit保留,只用低16bit,它的位置是在数据包的保留字节和payload之间。
基于视联网的上述特性,提出了本发明实施例的核心构思之一,遵循视联网的协议,视联网设备依次通过设备查询阶段、设备认证阶段以及设备登录阶段完成入网,具体地,在设备查询阶段,视联网设备获取服务器发送的安全性验证信息,根据安全性验证信息验证视联网设备的安全级别是否与服务器的安全级别相匹配,在相匹配时,视联网设备生成第一参数信息反馈给服务器。服务器根据第一参数信息验证视联网设备的身份准确后,进入设备认证阶段,向视联网设备发送合法性验证信息,视联网设备根据视联网设备验证服务器合法时,生成第二参数信息反馈给服务器。服务器根据第二参数信息验证视联网设备合法后,进入设备登录阶段,向视联网设备发送信息完整性标识,视联网设备根据信息完整性标识验证目标信息的完整,在目标信息为完整信息时,确定成功入网视联网。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此,本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例是参照根据本发明实施例的方法、终端设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
以上对本发明所提供的一种基于管理面协议的安全视频通信方法、装置、设备及介质,进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (12)
1.一种基于管理面协议的安全视频通信方法,其特征在于,所述方法应用于视联网设备,包括:
在设备查询阶段,获取服务器发送的安全性验证信息,确定所述安全性验证信息与所述视联网设备的安全级别相匹配时,至少根据视联网设备的身份信息生成第一参数信息,将所述第一参数信息反馈给所述服务器,以使所述服务器根据所述第一参数信息对所述视联网设备的身份进行验证,其中,所述安全性验证信息包含用于表征所述服务器安全级别的一个或多个参数;
在设备认证阶段,获取所述服务器发送的合法性验证信息,根据所述合法性验证信息验证所述服务器合法时,根据所述服务器和所述视联网设备之间的历史交互信息生成第二参数信息,将所述第二参数信息反馈给所述服务器,以使所述服务器根据所述第二参数信息对所述视联网设备的合法性进行验证, 其中,所述合法性验证信息至少包括有效性验证信息及所述服务器和所述视联网设备各自的第一验证信息,所述有效性验证信息用于验证所述合法性验证信息的有效性;
在设备登录阶段,获取所述服务器发送的信息完整性标识,根据所述信息完整性标识验证目标信息为完整信息时,确定成功入网视联网,所述信息完整性标识用于保护所述目标信息的完整性。
2.根据权利要求1所述的方法,其特征在于,所述获取服务器发送的安全性验证信息,包括:
接收所述服务器发送的入网设备查询消息,从所述入网设备查询消息中提取所述安全性验证信息;
所述将所述第一参数信息反馈给所述服务器,包括:
向所述服务器发送响应于所述入网设备查询消息的响应消息,所述响应消息中携带所述第一参数信息。
3.根据权利要求1或2所述的方法,其特征在于,所述安全性验证信息至少包括如下任一个或多个参数:
安全协议版本号、设备密码能力以及算法套件;
所述确定所述安全性验证信息与所述视联网设备的安全级别相匹配,包括:
根据所述安全性验证信息中携带的各个参数,验证所述视联网设备的安全级别与所述服务器的安全级别是否一致,在一致时,确定所述安全性验证信息与所述视联网设备的安全级别相匹配。
4.根据权利要求1所述的方法,其特征在于,所述获取所述服务器发送的合法性验证信息,包括:
接收所述服务器发送的入网设备认证消息,从所述入网设备认证消息中提取所述合法性验证信息;
所述将所述第二参数信息反馈给所述服务器,包括:
向所述服务器发送响应于所述入网设备认证消息的响应消息,所述响应消息中携带所述第二参数信息。
5.根据权利要求1或4所述的方法,其特征在于,所述第一验证信息包括:动态验证信息和静态验证信息;
所述根据所述合法性验证信息验证所述服务器合法,包括:
根据所述有效性验证信息验证所述合法性验证信息是否有效;
在有效时,验证所述视联网设备的动态验证信息和静态验证信息,与所述视联网设备自身存储的相应信息是否一致,在一致时,确定所述服务器为合法服务器。
6.根据权利要求1所述的方法,其特征在于,所述获取所述服务器发送的信息完整性标识,包括:
接收所述服务器发送的入网设备登录消息,从所述入网设备登录消息中提取所述信息完整性标识。
7.根据权利要求6所述的方法,其特征在于,所述目标信息包括:所述服务器和所述视联网设备各自的随机数、所述服务器和所述视联网设备各自的标识以及视联网地址,所述视联网地址是从所述入网设备登录消息中提取获得的;
所述根据所述信息完整性标识验证目标信息为完整信息,包括:
对所述服务器和所述视联网设备各自的随机数、所述服务器和所述视联网设备各自的标识以及视联网地址进行消息认证码计算,在计算结果与所述信息完整性标识相同时,确定所述目标信息为完整信息。
8.根据权利要求7所述的方法,其特征在于,在确定成功入网视联网时,所述方法还包括:
对所述服务器和所述视联网设备各自的随机数、所述视联网地址以及所述入网设备登录消息进行消息认证码计算,获得消息认证码;
向所述服务器反馈响应于所述入网设备登录消息的响应消息,所述响应消息中携带所述消息认证码,所述消息认证码用于所述视联网设备在成功入网后与所述服务器的交互。
9.根据权利要求2、4或8所述的方法,其特征在于,所述视联网设备向所述服务器发送的响应消息的帧结构包括:交换协议头、公共消息头、管理消息头以及管理消息载荷;所述管理消息载荷包括多个信息元素字段;所述多个信息元素字段至少用于携带身份鉴别信息、密钥管理信息、握手交互信息以及消息认证码中的一种或多种。
10.一种基于管理面协议的安全视频通信装置,其特征在于,所述装置应用于视联网设备,所述装置包括:
查询模块,用于在设备查询阶段,获取服务器发送的安全性验证信息,确定所述安全性验证信息与所述视联网设备的安全级别相匹配时,至少根据视联网设备的身份信息生成第一参数信息,将所述第一参数信息反馈给所述服务器,以使所述服务器根据所述第一参数信息对所述视联网设备的身份进行验证,其中,所述安全性验证信息包含用于表征所述服务器安全级别的一个或多个参数;
认证模块,用于在设备认证阶段,获取所述服务器发送的合法性验证信息,根据所述合法性验证信息验证所述服务器合法时,根据所述服务器和所述视联网设备之间的历史交互信息生成第二参数信息,将所述第二参数信息反馈给所述服务器,以使所述服务器根据所述第二参数信息对所述视联网设备的合法性进行验证, 其中,所述合法性验证信息至少包括有效性验证信息及所述服务器和所述视联网设备各自的第一验证信息,所述有效性验证信息用于验证所述合法性验证信息的有效性;
登录模块,用于在设备登录阶段,获取所述服务器发送的信息完整性标识,根据所述信息完整性标识验证目标信息为完整信息时,确定成功入网视联网,所述信息完整性标识用于保护所述目标信息的完整性。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-9任一项所述的一种基于管理面协议的安全视频通信方法中的步骤。
12.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行时实现如权利要求1-9任一项所述的一种基于管理面协议的安全视频通信方法中的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011574372.7A CN112291072B (zh) | 2020-12-28 | 2020-12-28 | 基于管理面协议的安全视频通信方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011574372.7A CN112291072B (zh) | 2020-12-28 | 2020-12-28 | 基于管理面协议的安全视频通信方法、装置、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112291072A true CN112291072A (zh) | 2021-01-29 |
| CN112291072B CN112291072B (zh) | 2021-03-26 |
Family
ID=74426472
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011574372.7A Active CN112291072B (zh) | 2020-12-28 | 2020-12-28 | 基于管理面协议的安全视频通信方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112291072B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113727059A (zh) * | 2021-08-31 | 2021-11-30 | 成都卫士通信息产业股份有限公司 | 多媒体会议终端入网认证方法、装置、设备及存储介质 |
| CN114553592A (zh) * | 2022-03-23 | 2022-05-27 | 深圳市美科星通信技术有限公司 | 一种设备身份验证的方法、设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140267752A1 (en) * | 2012-03-19 | 2014-09-18 | Jingle Huang | Cloud technology surveillance |
| CN106105139A (zh) * | 2014-03-07 | 2016-11-09 | 微软技术许可有限责任公司 | 由网关进行的认证方法的自动检测 |
| CN110719247A (zh) * | 2018-07-11 | 2020-01-21 | 视联动力信息技术股份有限公司 | 终端入网方法和装置 |
| CN111800378A (zh) * | 2020-05-21 | 2020-10-20 | 视联动力信息技术股份有限公司 | 一种登录认证方法、装置、***和存储介质 |
-
2020
- 2020-12-28 CN CN202011574372.7A patent/CN112291072B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140267752A1 (en) * | 2012-03-19 | 2014-09-18 | Jingle Huang | Cloud technology surveillance |
| CN106105139A (zh) * | 2014-03-07 | 2016-11-09 | 微软技术许可有限责任公司 | 由网关进行的认证方法的自动检测 |
| CN110719247A (zh) * | 2018-07-11 | 2020-01-21 | 视联动力信息技术股份有限公司 | 终端入网方法和装置 |
| CN111800378A (zh) * | 2020-05-21 | 2020-10-20 | 视联动力信息技术股份有限公司 | 一种登录认证方法、装置、***和存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 冯骏涛等: "基于云概念的视联网安全平台设计", 《有线电视技术》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113727059A (zh) * | 2021-08-31 | 2021-11-30 | 成都卫士通信息产业股份有限公司 | 多媒体会议终端入网认证方法、装置、设备及存储介质 |
| CN113727059B (zh) * | 2021-08-31 | 2023-10-24 | 成都卫士通信息产业股份有限公司 | 多媒体会议终端入网认证方法、装置、设备及存储介质 |
| CN114553592A (zh) * | 2022-03-23 | 2022-05-27 | 深圳市美科星通信技术有限公司 | 一种设备身份验证的方法、设备及存储介质 |
| CN114553592B (zh) * | 2022-03-23 | 2024-03-22 | 深圳市美科星通信技术有限公司 | 一种设备身份验证的方法、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112291072B (zh) | 2021-03-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110430043B (zh) | 一种认证方法、***及装置和存储介质 | |
| CN109743170B (zh) | 一种流媒体登录以及数据传输加密的方法和装置 | |
| CN110012322B (zh) | 一种视联网业务发起的方法和*** | |
| CN112291072B (zh) | 基于管理面协议的安全视频通信方法、装置、设备及介质 | |
| CN110661784B (zh) | 一种用户的认证方法、装置和存储介质 | |
| CN111107060B (zh) | 一种登录请求处理方法、服务器、电子设备及存储介质 | |
| CN111786778A (zh) | 一种密钥更新的方法和装置 | |
| CN112203149B (zh) | 一种基于国产密码的视联网软件更新方法和装置 | |
| CN110719247B (zh) | 终端入网方法和装置 | |
| CN112333210B (zh) | 一种视联网数据通信功能实现方法和设备 | |
| CN109151519B (zh) | 一种基于视联网的配置分发方法和*** | |
| CN110535856B (zh) | 一种用户的认证方法、装置和存储介质 | |
| CN111556376B (zh) | 数字证书签发方法、装置及计算机可读存储介质 | |
| CN109376507B (zh) | 一种数据安全管理方法和*** | |
| CN110022353B (zh) | 一种服务共享的方法和视联网*** | |
| CN112291592B (zh) | 基于控制面协议的安全视频通信方法、装置、设备及介质 | |
| CN110392289B (zh) | 一种账号的处理方法和*** | |
| CN108965219B (zh) | 一种基于视联网的数据处理方法及装置 | |
| CN110049007B (zh) | 视联网传输方法和装置 | |
| CN110661783B (zh) | 一种终端的注册方法、装置和存储介质 | |
| CN109587436B (zh) | 视联网会议管理平台登录方法和装置 | |
| CN111654728B (zh) | 一种证书更新的方法和装置 | |
| CN109698966B (zh) | 一种登录流媒体以及数据交互加密的方法和装置 | |
| CN110620936B (zh) | 一种视联网视频的备份方法及装置、电子设备和存储介质 | |
| CN110995646A (zh) | 一种基于视联网的指纹数据获取方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |