一种基于单包敲门的零配置开局方法、装置、设备及介质与流程

本发明涉及通信保护领域，特别涉及一种基于单包敲门的零配置开局方法、装置、设备及介质。

背景技术：

1、近年来，越来越多的网络设备被应用到端侧，比如物联网终端设备、新能源终端安全设备、物理安防终端设备、配电终端设备等。这些端侧设备的数量巨大、分布较广时，在部署实施时无法对每个设备在现场挨个进行设备配置。这增加了实施成本和实施困难度，影响了设备部署的效率以及设备开局的难度。

2、现有技术中，在设备开局时往往缺少身份认证以及通信保护，终端设备可能会获得伪服务器地址进而通过伪服务器下发恶意配置，且终端设备获得的文件服务器地址可能会被篡改。

技术实现思路

1、有鉴于此，本发明的目的在于提供一种基于单包敲门的零配置开局方法、装置、设备及介质，可以解决终端零配置开局过程中，终端设备与开局服务器之间身份双向认证及通信保护的问题，保障只有真实可信的终端设备才能从真实可信开局服务器获取开局配置参数。其具体方案如下：

2、第一方面，本技术公开了一种基于单包敲门的零配置开局方法，应用于开局服务器，包括：

3、接收终端设备发送的网络发现请求报文，并对所述网络发现请求报文进行验证，以确定所述网络发现请求报文是否通过验证；

4、若所述网络发现请求报文通过验证，则为所述终端设备分配终端地址以及终端地址掩码，并生成包括所述终端地址以及所述终端地址掩码的网络发现响应报文；

5、将所述网络发现响应报文发送至所述终端设备，以便所述终端设备对所述网络发现响应报文进行验证，并在验证通过后发送包含所述终端地址的敲门包；

6、接收所述敲门包，并基于所述终端地址对所述敲门包进行验证，若所述敲门包通过验证，则与所述终端设备建立双向安全传输层协议通道，并通过所述双向安全传输层协议通道向所述终端设备发送开局配置参数信息。

7、可选的，所述接收终端设备发送的网络发现请求报文，并对所述网络发现请求报文进行验证，以确定所述网络发现请求报文是否通过验证，包括：

8、接收终端设备发送的网络发现请求报文，并确定所述网络发现请求报文中的请求载荷；

9、对所述请求载荷进行验证，若所述请求载荷中的所有数据均通过验证，则表征所述网络发现请求报文通过验证；若所述请求载荷中存在任意数据没有通过验证，则表征所述网络发现请求报文未通过验证。

10、可选的，所述对所述请求载荷进行验证，若所述请求载荷中的所有数据均通过验证，则表征所述网络发现请求报文通过验证，包括：

11、对所述请求载荷中的请求时间戳以及请求随机数进行验证，以基于所述请求时间戳以及所述请求随机数确定所述网络发现请求报文是否为重放的请求报文；

12、若所述网络发现请求报文非重放的请求报文，则利用本地的终端公钥对所述请求载荷中的签名字段进行验证；

13、若所述签名字段表征所述网络发现请求报文可信，则利用本地的服务器私钥对所述请求载荷中的加密内容进行解密，以得到所述终端设备的设备序列号；

14、若所述设备序列号已在本地录入，则表征所述网络发现请求报文通过验证。

15、可选的，所述若所述网络发现请求报文通过验证，则为所述终端设备分配终端地址以及终端地址掩码，并生成包括所述终端地址以及所述终端地址掩码的网络发现响应报文，包括：

16、若所述网络发现请求报文通过验证，则为所述终端设备分配终端地址以及终端地址掩码，并从本地的认证密钥组中选择目标认证密钥；

17、生成包含所述终端地址、所述终端地址掩码、所述目标认证密钥以及所述设备序列号的网络发现响应报文。

18、可选的，所述将所述网络发现响应报文发送至所述终端设备，以便所述终端设备对所述网络发现响应报文进行验证，并在验证通过后发送包含所述终端地址的敲门包，包括：

19、将所述网络发现响应报文发送至所述终端设备，以便所述终端设备对所述网络发现响应报文的响应载荷进行验证，若所述响应载荷通过验证，则获取所述响应载荷中包含的挑战码，并生成包含所述挑战码以及所述终端地址的敲门包，并将所述敲门包发送至所述开局服务器。

20、可选的，所述接收所述敲门包，并基于所述终端地址对所述敲门包进行验证，包括：

21、接收所述敲门包，并对所述敲门包中的所述终端地址以及所述挑战码进行验证；

22、若所述敲门包中包含的终端地址与为所述终端设备分配的所述终端地址一致，且所述挑战码可信，则表征所述敲门包通过验证。

23、可选的，所述若所述敲门包通过验证，则与所述终端设备建立双向安全传输层协议通道，并通过所述双向安全传输层协议通道向所述终端设备发送开局配置参数信息，包括：

24、若所述敲门包通过验证，则判断是否接收到所述终端设备发送的证书请求，若接收到所述证书请求，则向所述终端设备发送设备证书，以便所述终端设备基于所述设备证书生成双向安全传输层协议通道建立请求；

25、接收所述终端设备的发送的所述双向安全传输层协议通道建立请求，以与所述终端设备设备建立所述双向安全传输层协议通道；

26、通过所述双向安全传输层协议通道向所述终端设备发送开局配置参数信息。

27、第二方面，本技术公开了一种基于单包敲门的零配置开局装置，应用于开局服务器，包括：

28、报文验证模块，用于接收终端设备发送的网络发现请求报文，并对所述网络发现请求报文进行验证，以确定所述网络发现请求报文是否通过验证；

29、报文生成模块，用于若所述网络发现请求报文通过验证，则为所述终端设备分配终端地址以及终端地址掩码，并生成包括所述终端地址以及所述终端地址掩码的网络发现响应报文；

30、报文发送模块，用于将所述网络发现响应报文发送至所述终端设备，以便所述终端设备对所述网络发现响应报文进行验证，并在验证通过后发送包含所述终端地址的敲门包；

31、参数发送模块，用于接收所述敲门包，并基于所述终端地址对所述敲门包进行验证，若所述敲门包通过验证，则与所述终端设备建立双向安全传输层协议通道，并通过所述双向安全传输层协议通道向所述终端设备发送开局配置参数信息。

32、第三方面，本技术公开了一种电子设备，包括：

33、存储器，用于保存计算机程序；

34、处理器，用于执行所述计算机程序以实现如前述的基于单包敲门的零配置开局方法。

35、第四方面，本技术公开了一种计算机可读存储介质，用于保存计算机程序，所述计算机程序被处理器执行时实现如前述的基于单包敲门的零配置开局方法。

36、本技术中，首先需要接收终端设备发送的网络发现请求报文，并对所述网络发现请求报文进行验证，以确定所述网络发现请求报文是否通过验证，如果网络发现请求报文通过验证，则为所述终端设备分配终端地址以及终端地址掩码，并生成包括所述终端地址以及所述终端地址掩码的网络发现响应报文，然后将所述网络发现响应报文发送至所述终端设备，以便所述终端设备对所述网络发现响应报文进行验证，并在验证通过后发送包含所述终端地址的敲门包，最后接收所述敲门包，并基于所述终端地址对所述敲门包进行验证，若所述敲门包通过验证，则与所述终端设备建立双向安全传输层协议通道，并通过所述双向安全传输层协议通道向所述终端设备发送开局配置参数信息。由此可见，通过本技术的方法，在开局服务器接收到终端设备发送的网络发现请求报文后，需要第一时间对其进行验证，并在网络发现请求报文通过验证后，为终端设备分配终端地址，然后将包含终端地址的反馈报文反馈至终端设备，以便终端设备在接收到反馈报文后，对反馈报文进行验证，并在验证通过后生成包含接收到的终端地址的敲门包，以将生成的敲门包发送到开局服务器，开局服务器在接收到敲门包之后，可以对敲门包进行验证，如果敲门包通过验证，则可以与终端设备建立双向安全传输层协议通道，并通过双向安全传输层协议通道向所述终端设备发送开局配置参数信息。这样一来，可以解决终端零配置开局过程中，终端设备与开局服务器之间身份双向认证及通信保护的问题，保障只有真实可信的终端设备才能从真实可信开局服务器获取开局配置参数。