智能杆的安全配置方法及系统与流程

1.本技术涉及通信安全技术领域，特别是涉及一种智能杆的安全配置方法及系统。


背景技术：

2.随着科技的进步，智慧杆系统可以集成了各种智能设备，通过智能化平台控制、管理智慧杆上的各类智能化设备，同时通过互联网实现固定场景的视频识别，达成环境监测和信息网络共享。然而，现在智能杆正常业务、场景运行之前，需要进行现场智能杆的手动场景配置，程序冗长复杂，且安全性较低。


技术实现要素：

3.有鉴于此，本技术的目的在于提供一种智能杆的安全配置方法及系统，为解决先前技术中需要进行现场智能杆的手动场景配置而造成安全性较低的问题。
4.为达到上述目的，本技术的技术方案是这样实现的：
5.第一方面，本技术提供了一种智能杆的安全配置方法，所述安全配置方法包括：
6.由智能密码钥匙启动安全配置工具；
7.所述安全配置工具通过scsi指令与合法的智能密码钥匙进行随机数认证，产生硬件随机数，根据所述硬件随机数产生sm4共享密钥的因子；
8.所述安全配置工具根据所述sm4共享密钥的因子通过以太网读取智能杆的序列标签数据，将所述序列标签数据发送至所述智能密码钥匙，所述智能密码钥匙对所述序列标签数据进行匹配并授权合法；
9.所述安全配置工具加密具有心跳包的序列标签数据，通过所述scsi指令发送至所述智能密码钥匙；
10.所述智能密码钥匙解密所述具有心跳包的序列标签数据后，判断所述具有心跳包的序列标签数据是否合法，若否，退出并生成日志；
11.当所述具有心跳包的序列标签数据为合法并授权所述智能密码钥匙后，所述智能杆进入正常配置模式，所述安全配置工具产生权限证书并发送至平台端和所述智能杆。
12.在一实施例中，在由智能密码钥匙启动安全配置工具后，所述安全配置方法包括：
13.所述安全配置工具发送所述scsi指令至所述智能密码钥匙；
14.所述安全配置工具接收所述智能密码钥匙发送的scsi指令的返回结果，根据所述scsi指令的返回结果判断所述智能密码钥匙是否合法，若否，退出并生成日志。
15.在一实施例中，在所述安全配置工具通过scsi指令与合法的智能密码钥匙进行随机数认证，产生硬件随机数，根据所述硬件随机数产生sm4共享密钥的因子后，所述安全配置方法包括：
16.所述智能密码钥匙和所述安全配置工具根据所述sm4共享密钥的因子分别产生sm4共享密钥；
17.所述安全配置工具根据所述sm4共享密钥加密协商标志符，通过所述scsi指令将
所述协商标志符发送至所述智能密码钥匙；
18.所述智能密码钥匙对所述协商标志符进行解密后，判断解密后的协商标志符是否合法，若否，退出并生成日志；
19.当所述协商标志符是合法时，根据所述sm4共享密钥通过sm4密码算法建立传输通道。
20.在一实施例中，在判断所述具有心跳包的序列标签数据是否合法后，所述安全配置方法包括：
21.当所述具有心跳包的序列标签数据为合法时，所述安全配置工具开启所述智能杆的正常配置模式。
22.在一实施例中，所述心跳包的时间单位为秒、分或时；所述智能杆包括智能杆边缘计算单元或智能杆网关，所述心跳包的时间单位根据所述智能杆边缘计算单元或所述智能杆网关连线的播放单元的节目内容元数据而动态调整。
23.第二方面，本技术提供了一种智能杆的安全配置系统，所述安全配置系统包括：
24.启动模块，用于控制智能密码钥匙启动安全配置工具；
25.第一产生模块，用于控制所述安全配置工具通过scsi指令与合法的智能密码钥匙进行随机数认证，产生硬件随机数，根据所述硬件随机数产生sm4共享密钥的因子；
26.读取模块，用于控制所述安全配置工具根据所述sm4共享密钥的因子通过以太网读取智能杆的序列标签数据，将所述序列标签数据发送至所述智能密码钥匙，所述智能密码钥匙对所述序列标签数据进行匹配并授权合法；
27.第一发送模块，用于控制所述安全配置工具加密具有心跳包的序列标签数据，通过所述scsi指令发送至所述智能密码钥匙；
28.第一解密模块，用于控制所述智能密码钥匙解密所述具有心跳包的序列标签数据后，判断所述具有心跳包的序列标签数据是否合法，当序列标签数据为不合法时，退出并生成日志；
29.授权模块，用于控制当所述具有心跳包的序列标签数据为合法并授权所述智能密码钥匙后，所述智能杆进入正常配置模式，所述安全配置工具产生权限证书并发送至平台端和所述智能杆。
30.在一实施例中，所述安全配置系统包括：
31.第二发送模块，用于控制所述安全配置工具发送所述scsi指令至所述智能密码钥匙；
32.接收模块，用于控制所述安全配置工具接收所述智能密码钥匙发送的scsi指令的返回结果，根据所述scsi指令的返回结果判断所述智能密码钥匙是否合法，当所述智能密码钥匙为不合法时，退出并生成日志。
33.在一实施例中，所述安全配置系统包括：
34.第二产生模块，用于控制所述智能密码钥匙和所述安全配置工具根据所述sm4共享密钥的因子分别产生sm4共享密钥；
35.加密模块，用于控制所述安全配置工具根据所述sm4共享密钥加密协商标志符，通过所述scsi指令将所述协商标志符发送至所述智能密码钥匙；
36.第二解密模块，用于控制所述智能密码钥匙对所述协商标志符进行解密后，判断
解密后的协商标志符是否合法，当所述协商标志符为不合法时，退出并生成日志；
37.建立模块，用于控制当所述协商标志符是合法时，根据所述sm4共享密钥通过sm4密码算法建立传输通道。
38.在一实施例中，所述安全配置系统包括：
39.开启模块，用于控制当所述具有心跳包的序列标签数据为合法时，所述安全配置工具开启所述智能杆的正常配置模式。
40.在一实施例中，所述心跳包的时间单位为秒、分或时；所述智能杆包括智能杆边缘计算单元或智能杆网关，所述心跳包的时间单位根据所述智能杆边缘计算单元或所述智能杆网关连线的播放单元的节目内容元数据而动态调整。
41.由上述，本发明提供一种智能杆的安全配置方法，包括：启动安全配置工具；通过scsi指令与合法的智能密码钥匙进行随机数认证，产生硬件随机数，根据硬件随机数产生sm4共享密钥的因子；通过以太网读取智能杆的序列标签数据，将序列标签数据发送至智能密码钥匙，对序列标签数据进行匹配并授权合法；加密具有心跳包的序列标签数据，通过所述scsi指令发送至所述智能密码钥匙；解密具有心跳包的序列标签数据后，判断具有心跳包的序列标签数据是否合法；当具有心跳包的序列标签数据为合法并授权智能密码钥匙后，智能杆进入正常配置模式，安全配置工具产生权限证书并发送至平台端和智能杆。本发明提出的安全配置方法，通过安全配置工具使智能杆和智能密码钥匙间的配置更安全。另外，当智能密码钥匙为不合法时生成可记录历史信息的日志，有效使安全配置方法过程中留痕后续具有可追溯，可以有效防止数据泄露并记录不合法的智能密码钥匙，提高了认证安全且兼具便利性。
附图说明
42.为了更清楚地说明本技术实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
43.图1为本技术提供的智能杆的安全配置方法的方法流程图。
44.图2为本技术提供的智能杆的安全配置方法的架构图。
45.图3为本技术提供的智能杆的安全配置系统的方块示意图。
具体实施方式
46.下面将结合附图，对本技术的特定实施例进行详细描述。显然，所描述的实施例仅仅是本技术的一部分实施例，而不是全部的实施例。基于本技术的描述，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
47.在本技术的描述中，除非另有明确的规定和限定，术语“设置”、“安装”、“连接”等应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连。对于本领域的普通技术人员而言，可以具体情况理解上述术语的具体含义。
48.术语“第一”、“第二”、“第三”等仅仅是为了区别属性类似的数值或元件，而不是指
示或暗示相对的重要性或者特定的顺序。
49.术语“包括”、“包含”或者其任何其他变体，意在涵盖非排他性的包含，除了包含所列的那些要素，而且还可包含没有明确列出的其他要素。
50.请同时参阅图1和图2，图1为本技术提供的智能杆的安全配置方法的方法流程图。图2为本技术提供的智能杆的安全配置方法的架构图。
51.本技术提出一种智能杆的安全配置方法，包括：
52.s110、由智能密码钥匙启动安全配置工具。
53.在一实施例中，智能密码钥匙可以称为ukey，例如，ukey作为物联网设备(包括智能杆)的组成部分，物联网设备通过usb2.0接口接入ukey。例如，ukey又被称为usbkey，是一种硬件设备，由内置单片机或者智能卡芯片来实现，usbkey通过usb接口与安全配置工具在usb协议下进行通信。用户或智能杆的私钥及安全证书等信息可存储在ukey的内部存储空间中。其中，ukey内部存储的密钥信息，通过厂商提供的api接口访问，且密钥只能在ukey内部使用，不能从外部读取，所有加解密的运算都在ukey内部进行，保证了加密的数据不被篡改，增加安全性。
54.s111、所述安全配置工具发送所述scsi指令至所述智能密码钥匙。
55.在智能密码钥匙启动安全配置工具后，例如，将usbkey通过usb接口与安全配置工具在usb协议下进行通信，安全配置工具发送scsi指令至智能密码钥匙
56.s113、所述安全配置工具接收所述智能密码钥匙发送的scsi指令的返回结果，根据所述scsi指令的返回结果判断所述智能密码钥匙是否合法，若否，退出并生成日志。
57.安全配置工具发送scsi指令至智能密码钥匙后，安全配置工具接收智能密码钥匙发送的根据scsi指令产生的的返回结果，接着根据返回结果判断智能密码钥匙是否合法，当智能密码钥匙是合法的情况下，进入s120，当智能密码钥匙不是合法的情况下，退出并由智能密码钥匙生成日志，智能密码钥匙的存储单元可以记录何时何地有不合法序列标签数据无法匹配成功，增加安全性。
58.s120、所述安全配置工具通过scsi指令与合法的智能密码钥匙进行随机数认证，产生硬件随机数，根据所述硬件随机数产生sm4共享密钥的因子。
59.在一实施例中，在启动安全配置工具后，通过scsi指令与合法的智能密码钥匙进行随机数认证。例如，scsi(small computer system interface)协议可以应用于小型计算机系统接口，很多电子设备是基于scsi协议的指令来与计算机交互数据的。合法的智能密码钥匙先通过内部封装的随机数生成算法产生硬件随机数，然后通过密钥生成算法对硬件随机数进行运算得到sm4共享密钥的因子。例如，国密sm4算法是一个迭代分组密码算法，采用非平衡feistel结构，分组长度为128比特，密钥长度为128比特。加密算法采用32轮非线性迭代结构，加密算法和解密算法的算法结构相同。若合法的智能密码钥匙的身份识别码通过验证，则智能杆的边缘计算设备将身份识别码分成两部分，分别和时间戳进行运算得到sm4密钥的子密钥和向量，sm4密钥的子密钥和向量即为sm4共享密钥的因子。
60.s121、所述智能密码钥匙和所述安全配置工具根据所述sm4共享密钥的因子分别产生sm4共享密钥。
61.智能密码钥匙和安全配置工具对sm4共享密钥的因子进行协商运算产生对身份信息进行加密的密钥，即sm4共享密钥。
62.s123、所述安全配置工具根据所述sm4共享密钥加密协商标志符，通过所述scsi指令将所述协商标志符发送至所述智能密码钥匙。
63.安全配置工具根据sm4共享密钥对协商标志符进行加密，接着通过scsi指令将加密后的协商标志符发送至智能密码钥匙进行解密。
64.s125、所述智能密码钥匙对所述协商标志符进行解密后，判断解密后的协商标志符是否合法，若否，退出并生成日志。
65.智能密码钥匙接收到安全配置工具发送的协商标志符后，对协商标志符进行解密，当解密后的协商标志符是合法的情况下，进入s127，当解密后的协商标志符不是合法的情况下，智能密码钥匙退出安全配置流程并生成日志，以记录此非法的协商标志符，增加安全性。
66.s127、当所述协商标志符是合法时，根据所述sm4共享密钥通过sm4密码算法建立传输通道。
67.当智能密码钥匙判断解密后的协商标志符是合法的情况下，根据sm4共享密钥通过sm4密码算法与安全配置工具和/或智能杆建立合法有效的传输通道。
68.s130、所述安全配置工具根据所述sm4共享密钥的因子通过以太网读取智能杆的序列标签数据，将所述序列标签数据发送至所述智能密码钥匙，所述智能密码钥匙对所述序列标签数据进行匹配并授权合法。
69.在一实施例中，安全配置工具根据先前获取的sm4共享密钥的因子，接着通过以太网读取智能杆的序列标签数据(sn,serial number)。例如，以太网(ethernet)是采用带碰撞检测的载波侦听多址访问方法进行介质访问控制的一种局域网，以太网主要指数据传输所经过的物理电缆，而wi-fi指无线连接的互联设备的网络，以太网基本上是电缆，是计算机和网际网络之间的连接，是一种有线连接，可通过智能密码钥匙的usb接口连接智能杆的计算机接口，由其将序列标签数据发送至智能密码钥匙。智能密码钥匙根据内建的数据资料对序列标签数据进行匹配并授权合法。
70.s140、所述安全配置工具加密具有心跳包的序列标签数据，通过所述scsi指令发送至所述智能密码钥匙。
71.在一实施例中，在智能密码钥匙根据内建的数据资料对序列标签数据进行匹配并授权合法后，安全配置工具加密具有心跳包的序列标签数据，并通过通过scsi指令将具有心跳包的序列标签数据发送至智能密码钥匙。例如，心跳包的时间单位为秒、分或时，智能杆可以包括智能杆边缘计算单元或智能杆网关，智能杆还可以包括其他具有运算能力的电子装置。心跳包的时间单位根据智能杆边缘计算单元或智能杆网关连线的播放单元的节目内容元数据而动态调整，例如节目内容元数据关于交通事故，心跳包的时间单位可以为秒，例如节目内容元数据关于交通堵车，心跳包的时间单位可以为分，例如节目内容元数据关于天气预告，心跳包的时间单位可以为时，有效增加灵活性和即时性。
72.s150、所述智能密码钥匙解密所述具有心跳包的序列标签数据后，判断所述具有心跳包的序列标签数据是否合法，若否，退出并生成日志；
73.在接收到具有心跳包的序列标签数据后，智能密码钥匙对其进行解密，进一步判断具有心跳包的序列标签数据是否合法，例如由智能密码钥匙的内建数据判断序列标签数据是否合法，当序列标签数据是合法的情况下，进入s160，当序列标签数据不是合法的情况
下，退出安全配置方法并由智能密码钥匙生成日志，例如，智能密码钥匙的存储单元可以记录何时何地有不合法序列标签数据无法匹配成功，增加安全性。
74.s151、当所述具有心跳包的序列标签数据为合法时，所述安全配置工具开启所述智能杆的正常配置模式。
75.当智能密码钥匙解密具有心跳包的序列标签数据并判断其为合法有效的时候，由安全配置工具开启智能杆对智能密码钥匙的正常配置模式。
76.s160、当所述具有心跳包的序列标签数据为合法并授权所述智能密码钥匙后，所述智能杆进入正常配置模式，所述安全配置工具产生权限证书并发送至平台端和所述智能杆。
77.在一实施例中，当智能密码钥匙的存储单元匹配具有心跳包的序列标签数据为合法，接着获取授权后，智能杆的智能杆边缘计算单元和智能杆网关进入正常匹配模式。例如，安全配置工具产生的权限证书是一种数字证书，采用非对称密码体制。是经证书授权中心签发的包含用户身份信息、公钥以及证书授权中心的数字签名的文件。数字证书只在特定的时间段内有效。以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，从而确保传输信息的机密性、完整性和不可抵赖性。安全配置工具通过https(hypertext transfer protocol secure，是以安全为目标的http通道，在http的基础上通过传输加密和身份认证保证了传输过程的安全性)方式将权限证书并发送至平台端，以增加安全性。另外，本发明提出的安全配置方法符合智能杆、平台端、安全配置工具和智能密码钥匙的业务场景，私密数据不需要授权即可在线配置和修改。配置过程中的行为不留痕，后续审计无法追踪。所有的配置信息可以随意修改，增加便利性，让配置更安全，更可信，可观测性更强。
78.请同时参阅图1、图2和图3，图3为本技术提供的智能杆的安全配置系统的方块示意图。
79.一种智能杆的安全配置系统，所述安全配置系统300包括：
80.启动模块310，用于控制智能密码钥匙启动安全配置工具；
81.第一产生模块320，用于控制所述安全配置工具通过scsi指令与合法的智能密码钥匙进行随机数认证，产生硬件随机数，根据所述硬件随机数产生sm4共享密钥的因子；
82.读取模块330，用于控制所述安全配置工具根据所述sm4共享密钥的因子通过以太网读取智能杆的序列标签数据，将所述序列标签数据发送至所述智能密码钥匙，所述智能密码钥匙对所述序列标签数据进行匹配并授权合法；
83.第一发送模块340，用于控制所述安全配置工具加密具有心跳包的序列标签数据，通过所述scsi指令发送至所述智能密码钥匙；
84.第一解密模块350，用于控制所述智能密码钥匙解密所述具有心跳包的序列标签数据后，判断所述具有心跳包的序列标签数据是否合法，当序列标签数据为不合法时，退出并生成日志；
85.授权模块360，用于控制当所述具有心跳包的序列标签数据为合法并授权所述智能密码钥匙后，所述智能杆进入正常配置模式，所述安全配置工具产生权限证书并发送至平台端和所述智能杆。
86.在一实施例中，所述安全配置系统包括：
87.第二发送模块，用于控制所述安全配置工具发送所述scsi指令至所述智能密码钥匙；
88.接收模块，用于控制所述安全配置工具接收所述智能密码钥匙发送的scsi指令的返回结果，根据所述scsi指令的返回结果判断所述智能密码钥匙是否合法，当所述智能密码钥匙为不合法时，退出并生成日志。
89.在一实施例中，所述安全配置系统包括：
90.第二产生模块，用于控制所述智能密码钥匙和所述安全配置工具根据所述sm4共享密钥的因子分别产生sm4共享密钥；
91.加密模块，用于控制所述安全配置工具根据所述sm4共享密钥加密协商标志符，通过所述scsi指令将所述协商标志符发送至所述智能密码钥匙；
92.第二解密模块，用于控制所述智能密码钥匙对所述协商标志符进行解密后，判断解密后的协商标志符是否合法，当所述协商标志符为不合法时，退出并生成日志；
93.建立模块，用于控制当所述协商标志符是合法时，根据所述sm4共享密钥通过sm4密码算法建立传输通道。
94.在一实施例中，所述安全配置系统包括：
95.开启模块，用于控制当所述具有心跳包的序列标签数据为合法时，所述安全配置工具开启所述智能杆的正常配置模式。
96.在一实施例中，所述心跳包的时间单位为秒、分或时；所述智能杆包括智能杆边缘计算单元或智能杆网关，h所述心跳包的时间单位根据所述智能杆边缘计算单元或所述智能杆网关连线的播放单元的节目内容元数据而动态调整。
97.本发明实施例还提供了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述智能杆的安全配置方法。
98.本发明实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有执行上述智能杆的安全配置方法的计算机程序本领域内的技术人员应明白，本发明的实施例可提供为方法、装置、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
99.本发明是参照根据本发明实施例的方法、设备(也可为系统或装置)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
100.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或
多个方框中指定的功能。
101.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
102.以上所述，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应以所附的权利要求为准。