监控设备认证方法及装置与流程

文档序号:12493250阅读:657来源:国知局
监控设备认证方法及装置与流程

本发明涉及监控设备安全认证技术领域,具体而言,涉及一种监控设备方法及装置。



背景技术:

在组建监控网络时为了使监控网络覆盖目标监控区域(比如,公园、地下停车库等),需要在目标监控区域的不同位置布置监控设备,如此可能会有不法份子(比如,黑客)通过更改或更换监控设备的方式访问监控网络,威胁整个监控网络的安全。为此对监控设备进行安全认证是非常有必要的。现有技术中,一般采用访问控制和认证协议(比如,802.1x)对接入网络的监控设备进行安全认证,然而,上述安全认证方法存在着密码管理复杂、信息容易被泄露的缺点。



技术实现要素:

为了克服现有技术中的上述不足,本发明实施例的目的在于提供一种管理工作简单且信息泄露风险小的监控设备认证方法及装置。

就监控设备认证方法而言,本发明较佳的实施例提供一种监控设备认证方法,所述方法应用于监控设备认证系统,所述系统包括相互之间通信连接的监控设备及交换机。所述方法包括:

所述交换机获取接入的监控设备的物理地址,查找所述交换机中是否存有与所述监控设备的物理地址对应的监控设备的公钥,当所述交换机中存在与所述监控设备的物理地址对应的监控设备的公钥时,生成一随机码,将所述随机码以所述监控设备的公钥加密得到的第一加密内容发送给所述监控设备;

所述监控设备以所述监控设备的私钥对所述第一加密内容进行解密得到所述随机码;

所述监控设备获取所述交换机的物理地址,查找所述监控设备中是否存有与所述交换机的物理地址对应的交换机的公钥,当所述监控设备中存在与所述交换机的物理地址对应的交换机的公钥时,将所述随机码及监控设备的特征信息以所述交换机的公钥进行加密得到第二加密内容,并将所述第二加密内容发送给所述交换机;

所述交换机以所述交换机的私钥对所述第二加密内容进行解密得到随机码和特征信息,判断所述随机码是否为所述交换机生成的,并根据判断结果对所述特征信息执行相应的预设操作。

本发明较佳的实施例还提供一种监控设备认证方法,所述方法应用于与监控设备通信连接的交换机。所述方法包括:

获取接入的监控设备的物理地址,查找交换机中是否存有与所述监控设备的物理地址对应的监控设备的公钥,当所述交换机中存在与所述监控设备的物理地址对应的监控设备的公钥时,生成一随机码,将所述随机码以所述监控设备的公钥加密得到的第一加密内容发送给所述监控设备;

接收由所述监控设备发送的第二加密内容,所述第二加密内容由所述监控设备通过所述交换机的公钥对所述监控设备的特征信息和所述第一加密内容后解密得到的所述随机码加密得到;

以所述交换机的私钥对所述第二加密内容进行解密得到随机码和特征信息,判断所述随机码是否为所述交换机生成的,并根据判断结果对所述特征信息执行相应的预设操作。

就监控设备认证装置而言,本发明较佳的实施例提供一种监控设备认证装置,所述装置应用于监控设备通信连接的交换机。所述装置包括:

第一加密内容发送模块,用于获取接入的监控设备的物理地址,查找交换机中是否存有与所述监控设备的物理地址对应的监控设备的公钥,当所述交换机中存在与所述监控设备的物理地址对应的监控设备的公钥时,生成一随机码,将所述随机码以所述监控设备的公钥加密得到的第一加密内容发送给所述监控设备;

第二加密内容接收模块,用于接收由所述监控设备发送的第二加密内容,所述第二加密内容由所述监控设备通过所述交换机的公钥对所述监控设备的特征信息和所述第一加密内容后解密得到的所述随机码加密得到;

预设操作执行模块,用于以所述交换机的私钥对所述第二加密内容进行解密得到随机码和特征信息,判断所述随机码是否为所述交换机生成的,并根据判断结果对所述特征信息执行相应的预设操作。

相对于现有技术而言,本发明实施例提供的监控设备认证方法及装置具有以下有益效果:所述监控设备认证方法利用一个设备的公钥与私钥是一一对应的,对于采用公钥进行加密得到的加密文件只有采用与该公钥对应的私钥才能进行解密的原理对监控设备进行安全认证。具体的,交换机将以监控设备的公钥加密的由所述交换机生成的随机码发送给所述监控设备,所述监控设备以所述监控设备的私钥进行解密得到随机码,再将监控设备的特征信息和随机码以所述交换机的公钥进行加密后发送给所述交换机,所述交换机以所述交换机的私钥进行解密得到随机码和特征信息。所述交换机通过判断所述随机码是否为所述交换机生成的,完成对所述监控设备的初步认证。所述交换机根据判断结果对所述特征信息执行相应的预设操作,以完成对所述监控设备的二次认证。所述监控设备认证方法及装置可以使得监控设备认证的管理工作更为简单且信息被泄露的风险更小,能够快速地完成对监控设备的安全认证。

为使本发明的上述目的、特征和优点能更明显易懂,下文特举本发明较佳实施例,并配合所附附图,作详细说明如下。

附图说明

为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。

图1为本发明较佳的实施例提供的服务器、交换机及至少一监控设备通信的交互示意图。

图2为图1中所示监控设备的方框示意图。

图3为图1中所示交换机的方框示意图。

图4为图1中所示服务器的方框示意图。

图5为本发明较佳的实施例提供的监控设备认证方法的一种流程示意图。

图6为图5中步骤S440包括的子步骤的流程示意图。

图7为图6中子步骤S441包括的子步骤的流程示意图。

图8为本发明较佳的实施例提供的监控设备认证方法的另一种流程示意图。

图9为本发明较佳的实施例提供的监控设备认证方法的其他的流程示意图。

图10为本发明较佳的实施例提供的应用于图3中所示交换机的监控设备认证方法的一种流程示意图。

图11为图9中步骤S530包括的子步骤的流程示意图。

图12为图10中子步骤S531包括的子步骤的流程示意图。

图13为本发明较佳的实施例提供的图3中所示交换机中的监控设备认证装置的一种功能模块框图。

图14为本发明较佳的实施例提供的图3中所示交换机中的监控设备认证装置的另一种功能模块框图。

图标:10-监控设备;20-交换机;30-服务器;11-第一存储器;12-存储控制器;13-第一处理器;14-第一通信单元;15-摄像头;200-监控设备认证装置;21-第二存储器;22-第二处理器;23-第二通信单元;31-第三存储器;32-第三处理器;33-第三通信单元;210-第一加密内容发送模块;220-第二加密内容接收模块;230-预设操作执行模块;231-处理子模块;232-阻止接入子模块。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。

因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。

应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本发明的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。

请参照图1,是本发明较佳的实施例提供的服务器30、交换机20及至少一监控设备10通信的交互示意图。所述监控设备10可以通过网络与交换机20或服务器30进行通信,完成与交换机20或服务器30之间的数据通信或交互,以实现交换机20对所述监控设备10的安全认证。在本发明实施例中,所述监控设备10可以是,但不限于,网络摄像机(IP Camera,IPC)、全景摄像机(Panoramic Cameras,PC)等,在本发明实施例中,所述监控设备10优选为网络摄像机。所述交换机20可以是,但不限于,以太网交换机、电话语音交换机、光纤交换机等,在本发明实施例中,所述交换机20优选为以太网交换机。所述服务器30可以是,但不限于,视频管理型服务器、网页管理型服务器等,在本发明实施例中,所述服务器30优选为视频管理型服务器。所述网络可以是,但不限于,有限网络或无线网络。

请参照图2,是图1中所示监控设备10的方框示意图。所述监控设备10包括第一存储器11、存储控制器12、第一处理器13、第一通信单元14以及摄像头15。

所述第一存储器11、存储控制器12、第一处理器13、第一通信单元14以及摄像头15各个元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。所述第一存储器11可以存储所述监控设备10的特征信息和交换机20的物理地址及交换机20的公钥。所述第一处理器13用于执行所述第一存储器11中存储的可执行模块,例如用于将所述监控设备10的加密信息发送给交换机20的软件功能模块及计算机程序等。

其中,所述第一存储器11可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-Only Memory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。其中,第一存储器11可用于存储程序,所述第一处理器13在接收到执行指令后,执行所述程序。所述第一处理器13以及其他可能的组件对第一存储器11的访问可在所述存储控制器12的控制下进行。

所述第一处理器13可能是一种集成电路芯片,具有信号的处理能力。所述第一处理器13可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

所述第一通信单元14用于通过网络建立所述监控设备10与交换机20和服务器30之间的通信连接,并用于通过所述网络收发数据。

所述摄像头15用于获取监控区域内的视频或图像信息,所述摄像头15可以是,但不限于,数字摄像头、模拟摄像头、网络摄像头等,在本实施例中,所述摄像头15优选为网络摄像头。

请参照图3,是图1中所示交换机20的方框示意图。所述交换机20包括监控设备认证装置200、第二存储器21、第二处理器22及第二通信单元23。

所述第二存储器21、第二处理器22及第二通信单元23各个元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。

其中,第二存储器21可以存储用于对所述监控设备10进行安全认证的所述监控设备10的特征信息和监控设备10的物理地址及所述监控设备10的公钥,第二存储器21还可用于存储程序,所述第二处理器22在接收到执行指令后,执行所述程序。所述第二通信单元23可用于通过网络与所述监控设备10的第一通信单元14建立连接,从而实现建立所述监控设备10与交换机20之间的通信连接。其中,所述第二存储器21、第二处理器22及第二通信单元23与图2中的第一存储器11、第一处理器13及第一通信单元14的硬件配置相同,在此就不再一一介绍。

所述监控设备认证装置200包括至少一个可以软件或固件(firmware)的形式存储于所述第二存储器21中或固化在所述交换机20的操作系统(operating system,OS)中的软件功能模块。所述第二处理器22用于执行所述第二存储器21中存储的可执行模块,例如所述监控设备认证装置200所包括的软件功能模块及计算机程序等。

请参照图4,是图1中所示服务器30的方框示意图。所述服务器30包括第三存储器31、第三处理器32、第三通信单元33。所述第三存储器31、第三处理器32及第三通信单元33各个元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。

其中,所述第三存储器31可以存储有用于对所述监控设备10进行安全认证的监控设备10的公钥和监控设备10的物理地址以及交换机20的公钥和交换机20的物理地址。所述第三存储器31还可用于存储程序,所述第三处理器32在接收到执行指令后,执行所述程序。所述第三通信单元33可通过网络与所述监控设备10的第一通信单元14和/或所述交换机20的第二通信单元23建立连接,从而实现建立所述服务器30与监控设备10和/或交换机20之间的通信连接,保证数据信息的传输或交互。其中,所述第三存储器31、第三处理器32及第三通信单元33与图2中的第一存储器11、第一处理器13及第一通信单元14的硬件配置相同,在此就不再一一介绍。

请参照图5,是本发明较佳的实施例提供的监控设备认证方法的一种流程示意图。所述方法应用于监控设备认证系统,所述系统包括相互之间通信连接的监控设备10及交换机20。在本实施例中,所述监控设备10中可以存储有交换机20的物理地址及交换机20的公钥,所述交换机20中可以存储有监控设备10的物理地址及监控设备10的公钥。下面将对图5所示的具体流程和步骤进行详细阐述。

在本发明实施例中,所述监控设备认证方法包括以下步骤:

步骤S410,交换机20生成一随机码,将所述随机码以接入的监控设备10的公钥加密得到的第一加密内容发送给所述监控设备10。

在本实施例中,交换机20获取接入的监控设备10的物理地址,查找所述交换机20中是否存有与所述监控设备10的物理地址对应的监控设备10的公钥,当所述交换机20中存在与所述监控设备10的物理地址对应的监控设备10的公钥时,生成一随机码,将所述随机码以所述监控设备10的公钥加密得到的第一加密内容发送给所述监控设备10。

在本实施例中,所述物理地址为媒体访问控制(Media Access Control,MAC)地址,它是设备本身具有的固定不变的地址,具有唯一性,可以反映设备本身的身份,可以通过所述物理地址进行数据的传输和交互。

在本实施例中,公钥与物理地址是相互对应的。所述交换机20的第二存储器21可以存储有与所述交换机20成功连接过的监控设备10的MAC地址及公钥。所述交换机20可以通过与所述监控设备10相连接的端口获取接入的监控设备10的MAC地址,并在所述第二存储器21中查找是否存在与接入的监控设备10对应的MAC地址。当然可以理解的是所述交换机20获得所述监控设备10的MAC地址的方式可以不止上述一种。如果存在与所述监控设备10对应的MAC地址,可通过所述MAC地址在所述交换机20的第二存储器21中查找到与所述MAC地址对应的公钥,即所述监控设备10的公钥。

在查找到所述监控设备10的公钥后,所述交换机20生成一随机码,并以接入的所述监控设备10的公钥对随机码进行加密得到第一加密内容,然后通过接入的监控设备10的MAC地址向所述监控设备10发送所述第一加密内容。

步骤S420,所述监控设备10以所述监控设备10的私钥对所述第一加密内容进行解密得到所述随机码。

在本实施例中,一个设备的公钥与私钥是一一对应的,对于采用公钥进行加密得到的加密文件只有采用与该公钥对应的私钥才能进行解密。

当所述监控设备10接收到所述第一加密内容时,所述监控设备10以所述监控设备10的私钥对第一加密内容进行解密,从而从第一加密内容中解密得到随机码。

步骤S430,所述监控设备10将所述随机码及监控设备10的特征信息以所述交换机20的公钥进行加密得到第二加密内容,并将所述第二加密内容发送给所述交换机20。

在本实施例中,所述监控设备10获取所述交换机20的物理地址,查找所述监控设备10中是否存有与所述交换机20的物理地址对应的交换机20的公钥,当所述监控设备10中存在与所述交换机20的物理地址对应的交换机20的公钥时,将所述随机码及监控设备10的特征信息以所述交换机20的公钥进行加密得到第二加密内容,并将所述第二加密内容发送给所述交换机20。

在本实施例中,所述监控设备10的第一存储器11可以存储有与所述监控设备10成功连接过的交换机20的MAC地址及交换机20的公钥。当所述监控设备10接收到由所述交换机20发送而来的第一加密内容时,所述监控设备10可通过发送路径获得所述交换机20的MAC地址,当然可以理解的是所述监控设备10获得所述交换机20的MAC地址的方式可以不止上述一种。所述监控设备10在所述第一存储器11中查找是否存在与所述交换机20对应的MAC地址。如果存在与所述交换机20对应的MAC地址,可通过所述MAC地址在所述监控设备10的第一存储器11中查找到所述MAC地址对应的公钥,即所述交换机20的公钥。

在本实施例中,所述监控设备10的第一存储器11中还可以存储有所述监控设备10本身的特征信息,所述特征信息可以包括:设备信息及设备版本信息,其中所述设备信息包括所述监控设备10的生产厂商、设备型号、设备类型或设备序列号等;所述设备版本信息包括设备的软件版本或设备的硬件版本等。所述监控设备10将对第一加密内容进行解密得到的随机码和所述监控设备10本身的特征信息以所述交换机20的公钥进行加密得到第二加密内容,并将所述第二加密内容发送给所述交换机20。

步骤S440,所述交换机20以所述交换机20的私钥对所述第二加密内容进行解密得到随机码和特征信息,判断所述随机码是否为所述交换机20生成的,并根据判断结果对所述特征信息执行相应的预设操作。

在本实施例中,所述交换机20的第二存储器21中存储有所述交换机20生成的所有随机码,同时也存储有与预设操作对应的程序或信息。所述交换机20通过所述交换机20的私钥对所述第二加密内容进行解密得到随机码和所述监控设备10的特征信息。

其中,所述交换机20通过判断所述第二加密内容解密得到的随机码是否为所述交换机20生成的对所述监控设备10进行初步认证。具体地。将所述第二加密内容解密得到的随机码与存储在所述第二存储器21中的所有随机码进行比对,如此来判断所述第二加密内容解密得到的随机码是否为所述交换机20生成的,并根据判断的结果对所述监控设备10的特征信息执行相应的预设操作。具体地,所述预设操作可以参见如下描述。

请参照图6,在本发明实施例中,所述步骤S440可以包括:

子步骤S441,当随机码是交换机20生成的,对特征信息进行处理。

在本实施例中,当所述第二加密内容解密得到的随机码是交换机20生成的随机码时,表明所述监控设备10通过所述交换机20的初步认证,可以进行下一步认证,即对所述监控设备10的特征信息进行认证。

子步骤S442,当随机码不是交换机20生成的,忽略特征信息,并阻止监控设备10接入交换机20。

在本实施例中,当所述第二加密内容解密得到的随机码不是交换机20生成的随机码时,表明所述监控设备10可能出现问题(比如,所述监控设备10被黑客入侵),所述交换机20可以直接丢弃所述监控设备10的特征信息,并阻止所述监控设备10接入所述交换机20,同时向与所述监控设备10和交换机20通信连接的服务器30发送告警信息。

请参照图7,在本发明实施例中,所述子步骤S441可以包括:

子步骤S4411,将特征信息与交换机20存储的特征信息进行比对。

在本实施例中,所述交换机20在与所述监控设备10首次连接成功时,所述交换机20会获取所述监控设备10的特征信息,并将所述特征信息保存在所述第二存储器21中,以用于步骤S4411中特征信息的比对。

在本实施例中,所述监控设备10的特征信息与存储在所述第二存储器21中的所述监控设备10的MAC地址是对应的。交换机20可通过接入的监控设备10的MAC地址在所述第二存储器21中查找到所述监控设备10的特征信息。所述交换机20将由所述第二加密内容解密得到的特征信息与对应的存储在第二存储器21中的特征信息进行比对。

子步骤S4412,根据比对结果对监控设备10接入的权限进行管理。

在本实施例中,所述对比结果根据特征信息的类型的不同可能也不同。在本实施例中,所述根据比对结果对所述监控设备10接入的权限进行管理的步骤包括:

所述交换机20在所述特征信息中的设备信息与所述交换机20存储的特征信息中的设备信息不同时,阻止所述监控设备10接入并向所述服务器30发出准入申请,所述服务器30在接收到对所述设备信息变更的确认操作时,所述服务器30向所述交换机20发出允许所述监控设备10接入的指令。

所述交换机20在所述特征信息中的设备版本信息与所述交换机20存储的特征信息中的设备版本信息不同时,允许所述监控设备10接入所述交换机20,并向所述服务器30发送告警信息。

具体地,当所述特征信息中的设备信息如生产厂商、设备类型、设备型号、设备序列号中任意一项或者组合的对比结果显示为不同时,表明所述监控设备10已被更换,所述交换机20将阻止所述监控设备10接入所述交换机20,同时向所述服务器30发送对所述监控设备10的准入申请通知。当服务器30接收到确认所述监控设备10属于正常设备更换的操作时,所述服务器30向所述交换机20发出允许接入通知,所述交换机20允许所述监控设备10接入所述交换机20。当所述服务器30接收到确认所述监控设备10不属于正常设备更换的操作时,所述服务器30与所述交换机20隔离所述监控设备10,禁止所述监控设备10再进行信息的传输。

当所述特征信息中的设备版本信息如设备硬件版本及设备软件版本中任意一项或组合的对比结果显示为不同时,所述交换机20允许所述监控设备10接入,但向所述服务器30发送告警通知,以对所述监控设备10的相应版本发生变化进行提醒,便于对所述监控设备10的相应版本的情况进行确认操作。

请参照图8,是本发明较佳的实施例提供的监控设备认证方法的另一种流程示意图。所述方法应用于监控设备认证系统,所述系统还包括与监控设备10及交换机20通信连接的服务器30。所述监控设备认证方法还包括:

步骤S406,服务器30对接入的监控设备10进行注册,所述服务器30保存所述监控设备10的物理地址及公钥。

在本实施例中,服务器30通过第三通信单元33与所述监控设备10的第一通信单元14进行通信连接,所述监控设备10在接入网络时,所述服务器30对所述监控设备10进行信息录入,获得所述监控设备10的MAC地址及公钥,并在所述第三存储器31中分配用于存储所述MAC地址及公钥的存储空间。

步骤S407,交换机20根据所述监控设备10的物理地址从所述服务器30获得所述监控设备10的公钥,并将所述监控设备10的物理地址及公钥进行保存。

在本实施例中,查找交换机20中是否存有与所述监控设备10的物理地址对应的监控设备10的公钥,当所述交换机20中不存在与所述监控设备10的物理地址对应的监控设备10的公钥时,所述交换机20根据所述监控设备10的物理地址从所述服务器30获得所述监控设备10的公钥,并将所述监控设备10的物理地址及公钥进行保存。

在本实施例中,所述交换机20与所述监控设备10进行通信连接时,获取所述监控设备10的MAC地址,在第二存储器21中查找与所述监控设备10的MAC地址相对应的MAC地址,以获取与所述监控设备10的MAC地址相对应的监控设备10的公钥。当所述交换机20中不存在与所述监控设备10对应的MAC地址,即不存在与所述监控设备10的MAC地址相对应的监控设备10的公钥时,所述交换机20以获取到的监控设备10的MAC地址为索引向所述服务器30发出请求,以获得所述监控设备10的公钥,并将获取到的所述监控设备10的MAC地址及公钥进行保存,以便采用所述监控设备10的公钥进行加密得到第一加密内容。

请参照图9,是本发明较佳的实施例提供的监控设备认证方法的其他的流程示意图。所述监控设备认证方法还包括:

步骤S408,服务器30与交换机20通信,所述服务器30保存所述交换机20的物理地址及公钥。

在本实施例中,服务器30通过第三通信单元33与所述交换机20的第二通信单元23进行通信连接时,所述交换机20会将所述交换机20的MAC地址及公钥发送给所述服务器30,所述服务器30在所述第三存储器31中分配用于存储所述MAC地址及公钥的存储空间。

步骤S409,接入的监控设备10根据所述交换机20的物理地址从所述服务器30获得所述交换机20的公钥,并将所述交换机20的物理地址及公钥进行保存。

在本实施例中,查找接入的监控设备10中是否存有与所述交换机20的物理地址对应的交换机20的公钥,当所述监控设备10中不存在与所述交换机20的物理地址对应的交换机20的公钥时,所述监控设备10根据所述交换机20的物理地址从所述服务器30获得所述交换机20的公钥,并将所述交换机20的物理地址及公钥进行保存。

在本实施例中,监控设备10在接入交换机20,与所述交换机20进行通信连接时,获取所述交换机20的MAC地址,在第一存储器11中查找与所述交换机20的MAC地址相对应的MAC地址,以获取与所述交换机20的MAC地址相对应的交换机20的公钥。当所述监控设备10中不存在与所述交换机20对应的MAC地址,即不存在与所述交换机20的MAC地址相对应的交换机20的公钥时,所述监控设备10以获取到的交换机20的MAC地址为索引向所述服务器30发出请求,以获得所述交换机20的公钥,并将获取到的所述交换机20的MAC地址及公钥进行保存,以便采用所述交换机20的公钥进行加密得到第二加密内容。

请参照图10,是本发明较佳的实施例提供的应用于图3中所示交换机20的监控设备认证方法的一种流程示意图。下面将对图10所示的具体流程和步骤进行详细阐述。

在本发明实施例中,所述监控设备认证方法包括以下步骤:

步骤S510,交换机20生成一随机码,将所述随机码以接入的监控设备10的公钥加密得到的第一加密内容发送给所述监控设备10。

在本实施例中,交换机20获取接入的监控设备10的物理地址,查找所述交换机20中是否存有与所述监控设备10的物理地址对应的监控设备10的公钥,当所述交换机20中存在与所述监控设备10的物理地址对应的监控设备10的公钥时,生成一随机码,将所述随机码以所述监控设备10的公钥加密得到的第一加密内容发送给所述监控设备10。

在本实施例中,交换机20可以通过与所述监控设备10相连接的端口获取接入的监控设备10的MAC地址,并在所述第二存储器21中查找是否存在与接入的监控设备10对应的MAC地址。如果存在与所述监控设备10对应的MAC地址,可通过所述MAC地址在所述交换机20的第二存储器21中查找到所述监控设备10的公钥。

在查找到所述监控设备10的公钥后,所述交换机20生成一随机码,并以接入的监控设备10的公钥对随机码进行加密得到第一加密内容,然后通过接入的监控设备10的MAC地址向所述监控设备10发送所述第一加密内容。

步骤S520,接收由所述监控设备10发送的第二加密内容。

在本实施例中,所述第二加密内容由所述监控设备10以所述交换机20的公钥对所述监控设备10的特征信息和所述第一加密内容进行解密后得到的所述随机码进行加密得到。

在本实施例中,所述交换机20发送给所述监控设备10的第一加密内容可以由所述监控设备10以所述监控设备10的私钥进行解密得到随机码。

步骤S530,以所述交换机20的私钥对所述第二加密内容进行解密得到随机码和特征信息,并判断所述随机码是否为所述交换机20生成的,并根据判断结果对所述特征信息执行相应的预设操作。

在本实施例中,交换机20将所述第二加密内容解密得到的随机码与存储在所述第二存储器21中的所有随机码进行比对,从而判断所述第二加密内容解密得到的随机码是否为所述交换机20生成的,并根据判断的结果对所述监控设备10的特征信息执行相应的预设操作。

请参照图11,在本发明实施例中,所述步骤S530可以包括:

子步骤S531,当随机码是交换机20生成的,对特征信息进行处理。

在本实施例中,当所述第二加密内容解密得到的随机码是交换机20生成的随机码时,表明所述监控设备10通过所述交换机20的初步认证,可以进行下一步认证,即对所述监控设备10的特征信息进行认证。

子步骤S532,当随机码不是交换机20生成的,忽略特征信息,并阻止监控设备10接入交换机20。

在本实施例中,当所述第二加密内容解密得到的随机码不是交换机20生成的随机码时,表明所述监控设备10可能出现问题(比如,所述监控设备10被黑客入侵),所述交换机20可以直接丢弃所述监控设备10的特征信息,并阻止所述监控设备10接入所述交换机20,同时向与所述监控设备10和交换机20通信连接的服务器30发送告警信息。

请参照图12,在本发明实施例中,所述子步骤S531可以包括:

子步骤S5311,将特征信息与交换机20存储的特征信息进行比对。

在本实施例中,交换机20可通过接入的监控设备10的MAC地址在所述第二存储器21中查找到所述监控设备10的特征信息。所述交换机20将由所述第二加密内容解密得到的特征信息与对应的存储在第二存储器21中的特征信息进行比对。具体的步骤可以参考上述的子步骤S4411的详细描述。

子步骤S5312,根据比对结果对监控设备10接入的权限进行管理。

在本实施例中,所述子步骤S5312的详细描述可以参照上文中对所述子步骤S4412的详细描述。

请参照图13,是本发明较佳的实施例提供的图3中所示交换机20中的监控设备认证装置200的一种功能模块框图。所述监控设备认证装置200包括:第一加密内容发送模块210、第二加密内容接收模块220及预设操作执行模块230。

所述第一加密内容发送模块210,用于生成一随机码,将所述随机码以接入的监控设备10的公钥加密得到的第一加密内容发送给所述监控设备10。

在本实施例中,所述第一加密内容发送模块210获取接入的监控设备10的物理地址,查找所述交换机20中是否存有与所述监控设备10的物理地址对应的监控设备10的公钥,当所述交换机20中存在与所述监控设备10的物理地址对应的监控设备10的公钥时,生成一随机码,将所述随机码以所述监控设备10的公钥加密得到的第一加密内容发送给所述监控设备10。

在本实施例中,所述第一加密内容发送模块210可以执行图10中所示的步骤S510,具体的过程可参照步骤S510。

所述第二加密内容接收模块220,用于接收由所述监控设备10发送的第二加密内容。

其中,所述第二加密内容由所述监控设备10以所述交换机20的公钥对所述监控设备10的特征信息和所述第一加密内容进行解密后得到的所述随机码进行加密得到。

在本实施例中,所述第二加密内容接收模块220可以执行图10中所示的步骤S520,具体的过程可参照步骤S520。

所述预设操作执行模块230,用于以所述交换机20的私钥对所述第二加密内容进行解密得到随机码和特征信息,并判断所述随机码是否为所述交换机20生成的,并根据判断结果对所述特征信息执行相应的预设操作。

请参照图14,是本发明较佳的实施例提供的图3中所示交换机20中的监控设备认证装置200的另一种功能模块框图。其中,所述预设操作执行模块230包括:处理子模块231及阻止接入子模块232。

所述处理子模块231,用于当随机码是交换机20生成的,对特征信息进行处理。

在本实施例中,所述处理子模块231当随机码是交换机20生成的,对特征信息进行处理的方式包括:

将特征信息与交换机20存储的特征信息进行比对;

根据比对结果对监控设备10接入的权限进行管理。

在本实施例中,所述处理子模块231当随机码是交换机20生成的,对特征信息进行处理的详细描述可参照子步骤S441、子步骤S4411及子步骤S4412的描述。

所述阻止接入子模块232,用于当随机码不是交换机20生成的,忽略特征信息,并阻止监控设备10接入交换机20。

在本实施例中,所述阻止接入子模块232可以执行图10中所示的步骤S532,具体的执行过程可参照子步骤S532。

综上所述,本发明实施例提供的监控设备认证方法及装置。所述监控设备认证方法利用一个设备的公钥与私钥是一一对应的,对于采用公钥进行加密得到的加密文件只有采用与该公钥对应的私钥才能进行解密的原理对监控设备进行安全认证。具体的,交换机将以监控设备的公钥加密的由所述交换机生成的随机码发送给所述监控设备,所述监控设备以所述监控设备的私钥进行解密得到随机码,再将监控设备的特征信息和随机码以所述交换机的公钥进行加密后发送给所述交换机,所述交换机以所述交换机的私钥进行解密得到随机码和特征信息。所述交换机通过判断所述随机码是否为所述交换机生成的,完成对所述监控设备的初步认证。所述交换机根据判断结果对所述特征信息执行相应的预设操作,以完成对所述监控设备的二次认证。所述监控设备认证方法及装置可以使得监控设备认证的管理工作更为简单且信息被泄露的风险更小,能够快速地完成对监控设备的安全认证。

以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

当前第1页1 2 3 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1