監控設備認證方法及裝置與流程

文檔序號：12493250閱讀：675來源：國知局

本發明涉及監控設備安全認證技術領域，具體而言，涉及一種監控設備方法及裝置。

背景技術：

在組建監控網絡時為了使監控網絡覆蓋目標監控區域(比如，公園、地下停車庫等)，需要在目標監控區域的不同位置布置監控設備，如此可能會有不法份子(比如，黑客)通過更改或更換監控設備的方式訪問監控網絡，威脅整個監控網絡的安全。為此對監控設備進行安全認證是非常有必要的。現有技術中，一般采用訪問控制和認證協議(比如，802.1x)對接入網絡的監控設備進行安全認證，然而，上述安全認證方法存在著密碼管理復雜、信息容易被泄露的缺點。

技術實現要素：

為了克服現有技術中的上述不足，本發明實施例的目的在于提供一種管理工作簡單且信息泄露風險小的監控設備認證方法及裝置。

就監控設備認證方法而言，本發明較佳的實施例提供一種監控設備認證方法，所述方法應用于監控設備認證系統，所述系統包括相互之間通信連接的監控設備及交換機。所述方法包括：

所述交換機獲取接入的監控設備的物理地址，查找所述交換機中是否存有與所述監控設備的物理地址對應的監控設備的公鑰，當所述交換機中存在與所述監控設備的物理地址對應的監控設備的公鑰時，生成一隨機碼，將所述隨機碼以所述監控設備的公鑰加密得到的第一加密內容發送給所述監控設備；

所述監控設備以所述監控設備的私鑰對所述第一加密內容進行解密得到所述隨機碼；

所述監控設備獲取所述交換機的物理地址，查找所述監控設備中是否存有與所述交換機的物理地址對應的交換機的公鑰，當所述監控設備中存在與所述交換機的物理地址對應的交換機的公鑰時，將所述隨機碼及監控設備的特征信息以所述交換機的公鑰進行加密得到第二加密內容，并將所述第二加密內容發送給所述交換機；

所述交換機以所述交換機的私鑰對所述第二加密內容進行解密得到隨機碼和特征信息，判斷所述隨機碼是否為所述交換機生成的，并根據判斷結果對所述特征信息執行相應的預設操作。

本發明較佳的實施例還提供一種監控設備認證方法，所述方法應用于與監控設備通信連接的交換機。所述方法包括：

獲取接入的監控設備的物理地址，查找交換機中是否存有與所述監控設備的物理地址對應的監控設備的公鑰，當所述交換機中存在與所述監控設備的物理地址對應的監控設備的公鑰時，生成一隨機碼，將所述隨機碼以所述監控設備的公鑰加密得到的第一加密內容發送給所述監控設備；

接收由所述監控設備發送的第二加密內容，所述第二加密內容由所述監控設備通過所述交換機的公鑰對所述監控設備的特征信息和所述第一加密內容后解密得到的所述隨機碼加密得到；

以所述交換機的私鑰對所述第二加密內容進行解密得到隨機碼和特征信息，判斷所述隨機碼是否為所述交換機生成的，并根據判斷結果對所述特征信息執行相應的預設操作。

就監控設備認證裝置而言，本發明較佳的實施例提供一種監控設備認證裝置，所述裝置應用于監控設備通信連接的交換機。所述裝置包括：

第一加密內容發送模塊，用于獲取接入的監控設備的物理地址，查找交換機中是否存有與所述監控設備的物理地址對應的監控設備的公鑰，當所述交換機中存在與所述監控設備的物理地址對應的監控設備的公鑰時，生成一隨機碼，將所述隨機碼以所述監控設備的公鑰加密得到的第一加密內容發送給所述監控設備；

第二加密內容接收模塊，用于接收由所述監控設備發送的第二加密內容，所述第二加密內容由所述監控設備通過所述交換機的公鑰對所述監控設備的特征信息和所述第一加密內容后解密得到的所述隨機碼加密得到；

預設操作執行模塊，用于以所述交換機的私鑰對所述第二加密內容進行解密得到隨機碼和特征信息，判斷所述隨機碼是否為所述交換機生成的，并根據判斷結果對所述特征信息執行相應的預設操作。

相對于現有技術而言，本發明實施例提供的監控設備認證方法及裝置具有以下有益效果：所述監控設備認證方法利用一個設備的公鑰與私鑰是一一對應的，對于采用公鑰進行加密得到的加密文件只有采用與該公鑰對應的私鑰才能進行解密的原理對監控設備進行安全認證。具體的，交換機將以監控設備的公鑰加密的由所述交換機生成的隨機碼發送給所述監控設備，所述監控設備以所述監控設備的私鑰進行解密得到隨機碼，再將監控設備的特征信息和隨機碼以所述交換機的公鑰進行加密后發送給所述交換機，所述交換機以所述交換機的私鑰進行解密得到隨機碼和特征信息。所述交換機通過判斷所述隨機碼是否為所述交換機生成的，完成對所述監控設備的初步認證。所述交換機根據判斷結果對所述特征信息執行相應的預設操作，以完成對所述監控設備的二次認證。所述監控設備認證方法及裝置可以使得監控設備認證的管理工作更為簡單且信息被泄露的風險更小，能夠快速地完成對監控設備的安全認證。

為使本發明的上述目的、特征和優點能更明顯易懂，下文特舉本發明較佳實施例，并配合所附附圖，作詳細說明如下。

附圖說明

為了更清楚地說明本發明實施例的技術方案，下面將對實施例中所需要使用的附圖作簡單地介紹，應當理解，以下附圖僅示出了本發明的某些實施例，因此不應被看作是對范圍的限定，對于本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他相關的附圖。

圖1為本發明較佳的實施例提供的服務器、交換機及至少一監控設備通信的交互示意圖。

圖2為圖1中所示監控設備的方框示意圖。

圖3為圖1中所示交換機的方框示意圖。

圖4為圖1中所示服務器的方框示意圖。

圖5為本發明較佳的實施例提供的監控設備認證方法的一種流程示意圖。

圖6為圖5中步驟S440包括的子步驟的流程示意圖。

圖7為圖6中子步驟S441包括的子步驟的流程示意圖。

圖8為本發明較佳的實施例提供的監控設備認證方法的另一種流程示意圖。

圖9為本發明較佳的實施例提供的監控設備認證方法的其他的流程示意圖。

圖10為本發明較佳的實施例提供的應用于圖3中所示交換機的監控設備認證方法的一種流程示意圖。

圖11為圖9中步驟S530包括的子步驟的流程示意圖。

圖12為圖10中子步驟S531包括的子步驟的流程示意圖。

圖13為本發明較佳的實施例提供的圖3中所示交換機中的監控設備認證裝置的一種功能模塊框圖。

圖14為本發明較佳的實施例提供的圖3中所示交換機中的監控設備認證裝置的另一種功能模塊框圖。

圖標：10-監控設備；20-交換機；30-服務器；11-第一存儲器；12-存儲控制器；13-第一處理器；14-第一通信單元；15-攝像頭；200-監控設備認證裝置；21-第二存儲器；22-第二處理器；23-第二通信單元；31-第三存儲器；32-第三處理器；33-第三通信單元；210-第一加密內容發送模塊；220-第二加密內容接收模塊；230-預設操作執行模塊；231-處理子模塊；232-阻止接入子模塊。

具體實施方式

為使本發明實施例的目的、技術方案和優點更加清楚，下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例是本發明一部分實施例，而不是全部的實施例。通常在此處附圖中描述和示出的本發明實施例的組件可以以各種不同的配置來布置和設計。

因此，以下對在附圖中提供的本發明的實施例的詳細描述并非旨在限制要求保護的本發明的范圍，而是僅僅表示本發明的選定實施例。基于本發明中的實施例，本領域普通技術人員在沒有作出創造性勞動前提下所獲得的所有其他實施例，都屬于本發明保護的范圍。

應注意到：相似的標號和字母在下面的附圖中表示類似項，因此，一旦某一項在一個附圖中被定義，則在隨后的附圖中不需要對其進行進一步定義和解釋。同時，在本發明的描述中，術語“第一”、“第二”等僅用于區分描述，而不能理解為指示或暗示相對重要性。

請參照圖1，是本發明較佳的實施例提供的服務器30、交換機20及至少一監控設備10通信的交互示意圖。所述監控設備10可以通過網絡與交換機20或服務器30進行通信，完成與交換機20或服務器30之間的數據通信或交互，以實現交換機20對所述監控設備10的安全認證。在本發明實施例中，所述監控設備10可以是，但不限于，網絡攝像機(IP Camera，IPC)、全景攝像機(Panoramic Cameras，PC)等，在本發明實施例中，所述監控設備10優選為網絡攝像機。所述交換機20可以是，但不限于，以太網交換機、電話語音交換機、光纖交換機等，在本發明實施例中，所述交換機20優選為以太網交換機。所述服務器30可以是，但不限于，視頻管理型服務器、網頁管理型服務器等，在本發明實施例中，所述服務器30優選為視頻管理型服務器。所述網絡可以是，但不限于，有限網絡或無線網絡。

請參照圖2，是圖1中所示監控設備10的方框示意圖。所述監控設備10包括第一存儲器11、存儲控制器12、第一處理器13、第一通信單元14以及攝像頭15。

所述第一存儲器11、存儲控制器12、第一處理器13、第一通信單元14以及攝像頭15各個元件相互之間直接或間接地電性連接，以實現數據的傳輸或交互。例如，這些元件相互之間可通過一條或多條通訊總線或信號線實現電性連接。所述第一存儲器11可以存儲所述監控設備10的特征信息和交換機20的物理地址及交換機20的公鑰。所述第一處理器13用于執行所述第一存儲器11中存儲的可執行模塊，例如用于將所述監控設備10的加密信息發送給交換機20的軟件功能模塊及計算機程序等。

其中，所述第一存儲器11可以是，但不限于，隨機存取存儲器(Random Access Memory，RAM)，只讀存儲器(Read Only Memory，ROM)，可編程只讀存儲器(Programmable Read-Only Memory，PROM)，可擦除只讀存儲器(Erasable Programmable Read-Only Memory，EPROM)，電可擦除只讀存儲器(Electric Erasable Programmable Read-Only Memory，EEPROM)等。其中，第一存儲器11可用于存儲程序，所述第一處理器13在接收到執行指令后，執行所述程序。所述第一處理器13以及其他可能的組件對第一存儲器11的訪問可在所述存儲控制器12的控制下進行。

所述第一處理器13可能是一種集成電路芯片，具有信號的處理能力。所述第一處理器13可以是通用處理器，包括中央處理器(Central Processing Unit，CPU)、網絡處理器(Network Processor，NP)等；還可以是數字信號處理器(DSP)、專用集成電路(ASIC)、現成可編程門陣列(FPGA)或者其他可編程邏輯器件、分立門或者晶體管邏輯器件、分立硬件組件。可以實現或者執行本發明實施例中的公開的各方法、步驟及邏輯框圖。通用處理器可以是微處理器或者該處理器也可以是任何常規的處理器等。

所述第一通信單元14用于通過網絡建立所述監控設備10與交換機20和服務器30之間的通信連接，并用于通過所述網絡收發數據。

所述攝像頭15用于獲取監控區域內的視頻或圖像信息，所述攝像頭15可以是，但不限于，數字攝像頭、模擬攝像頭、網絡攝像頭等，在本實施例中，所述攝像頭15優選為網絡攝像頭。

請參照圖3，是圖1中所示交換機20的方框示意圖。所述交換機20包括監控設備認證裝置200、第二存儲器21、第二處理器22及第二通信單元23。

所述第二存儲器21、第二處理器22及第二通信單元23各個元件相互之間直接或間接地電性連接，以實現數據的傳輸或交互。例如，這些元件相互之間可通過一條或多條通訊總線或信號線實現電性連接。

其中，第二存儲器21可以存儲用于對所述監控設備10進行安全認證的所述監控設備10的特征信息和監控設備10的物理地址及所述監控設備10的公鑰，第二存儲器21還可用于存儲程序，所述第二處理器22在接收到執行指令后，執行所述程序。所述第二通信單元23可用于通過網絡與所述監控設備10的第一通信單元14建立連接，從而實現建立所述監控設備10與交換機20之間的通信連接。其中，所述第二存儲器21、第二處理器22及第二通信單元23與圖2中的第一存儲器11、第一處理器13及第一通信單元14的硬件配置相同，在此就不再一一介紹。

所述監控設備認證裝置200包括至少一個可以軟件或固件(firmware)的形式存儲于所述第二存儲器21中或固化在所述交換機20的操作系統(operating system，OS)中的軟件功能模塊。所述第二處理器22用于執行所述第二存儲器21中存儲的可執行模塊，例如所述監控設備認證裝置200所包括的軟件功能模塊及計算機程序等。

請參照圖4，是圖1中所示服務器30的方框示意圖。所述服務器30包括第三存儲器31、第三處理器32、第三通信單元33。所述第三存儲器31、第三處理器32及第三通信單元33各個元件相互之間直接或間接地電性連接，以實現數據的傳輸或交互。例如，這些元件相互之間可通過一條或多條通訊總線或信號線實現電性連接。

其中，所述第三存儲器31可以存儲有用于對所述監控設備10進行安全認證的監控設備10的公鑰和監控設備10的物理地址以及交換機20的公鑰和交換機20的物理地址。所述第三存儲器31還可用于存儲程序，所述第三處理器32在接收到執行指令后，執行所述程序。所述第三通信單元33可通過網絡與所述監控設備10的第一通信單元14和/或所述交換機20的第二通信單元23建立連接，從而實現建立所述服務器30與監控設備10和/或交換機20之間的通信連接，保證數據信息的傳輸或交互。其中，所述第三存儲器31、第三處理器32及第三通信單元33與圖2中的第一存儲器11、第一處理器13及第一通信單元14的硬件配置相同，在此就不再一一介紹。

請參照圖5，是本發明較佳的實施例提供的監控設備認證方法的一種流程示意圖。所述方法應用于監控設備認證系統，所述系統包括相互之間通信連接的監控設備10及交換機20。在本實施例中，所述監控設備10中可以存儲有交換機20的物理地址及交換機20的公鑰，所述交換機20中可以存儲有監控設備10的物理地址及監控設備10的公鑰。下面將對圖5所示的具體流程和步驟進行詳細闡述。

在本發明實施例中，所述監控設備認證方法包括以下步驟：

步驟S410，交換機20生成一隨機碼，將所述隨機碼以接入的監控設備10的公鑰加密得到的第一加密內容發送給所述監控設備10。

在本實施例中，交換機20獲取接入的監控設備10的物理地址，查找所述交換機20中是否存有與所述監控設備10的物理地址對應的監控設備10的公鑰，當所述交換機20中存在與所述監控設備10的物理地址對應的監控設備10的公鑰時，生成一隨機碼，將所述隨機碼以所述監控設備10的公鑰加密得到的第一加密內容發送給所述監控設備10。

在本實施例中，所述物理地址為媒體訪問控制(Media Access Control，MAC)地址，它是設備本身具有的固定不變的地址，具有唯一性，可以反映設備本身的身份，可以通過所述物理地址進行數據的傳輸和交互。

在本實施例中，公鑰與物理地址是相互對應的。所述交換機20的第二存儲器21可以存儲有與所述交換機20成功連接過的監控設備10的MAC地址及公鑰。所述交換機20可以通過與所述監控設備10相連接的端口獲取接入的監控設備10的MAC地址，并在所述第二存儲器21中查找是否存在與接入的監控設備10對應的MAC地址。當然可以理解的是所述交換機20獲得所述監控設備10的MAC地址的方式可以不止上述一種。如果存在與所述監控設備10對應的MAC地址，可通過所述MAC地址在所述交換機20的第二存儲器21中查找到與所述MAC地址對應的公鑰，即所述監控設備10的公鑰。

在查找到所述監控設備10的公鑰后，所述交換機20生成一隨機碼，并以接入的所述監控設備10的公鑰對隨機碼進行加密得到第一加密內容，然后通過接入的監控設備10的MAC地址向所述監控設備10發送所述第一加密內容。

步驟S420，所述監控設備10以所述監控設備10的私鑰對所述第一加密內容進行解密得到所述隨機碼。

在本實施例中，一個設備的公鑰與私鑰是一一對應的，對于采用公鑰進行加密得到的加密文件只有采用與該公鑰對應的私鑰才能進行解密。

當所述監控設備10接收到所述第一加密內容時，所述監控設備10以所述監控設備10的私鑰對第一加密內容進行解密，從而從第一加密內容中解密得到隨機碼。

步驟S430，所述監控設備10將所述隨機碼及監控設備10的特征信息以所述交換機20的公鑰進行加密得到第二加密內容，并將所述第二加密內容發送給所述交換機20。

在本實施例中，所述監控設備10獲取所述交換機20的物理地址，查找所述監控設備10中是否存有與所述交換機20的物理地址對應的交換機20的公鑰，當所述監控設備10中存在與所述交換機20的物理地址對應的交換機20的公鑰時，將所述隨機碼及監控設備10的特征信息以所述交換機20的公鑰進行加密得到第二加密內容，并將所述第二加密內容發送給所述交換機20。

在本實施例中，所述監控設備10的第一存儲器11可以存儲有與所述監控設備10成功連接過的交換機20的MAC地址及交換機20的公鑰。當所述監控設備10接收到由所述交換機20發送而來的第一加密內容時，所述監控設備10可通過發送路徑獲得所述交換機20的MAC地址，當然可以理解的是所述監控設備10獲得所述交換機20的MAC地址的方式可以不止上述一種。所述監控設備10在所述第一存儲器11中查找是否存在與所述交換機20對應的MAC地址。如果存在與所述交換機20對應的MAC地址，可通過所述MAC地址在所述監控設備10的第一存儲器11中查找到所述MAC地址對應的公鑰，即所述交換機20的公鑰。

在本實施例中，所述監控設備10的第一存儲器11中還可以存儲有所述監控設備10本身的特征信息，所述特征信息可以包括：設備信息及設備版本信息，其中所述設備信息包括所述監控設備10的生產廠商、設備型號、設備類型或設備序列號等；所述設備版本信息包括設備的軟件版本或設備的硬件版本等。所述監控設備10將對第一加密內容進行解密得到的隨機碼和所述監控設備10本身的特征信息以所述交換機20的公鑰進行加密得到第二加密內容，并將所述第二加密內容發送給所述交換機20。

步驟S440，所述交換機20以所述交換機20的私鑰對所述第二加密內容進行解密得到隨機碼和特征信息，判斷所述隨機碼是否為所述交換機20生成的，并根據判斷結果對所述特征信息執行相應的預設操作。

在本實施例中，所述交換機20的第二存儲器21中存儲有所述交換機20生成的所有隨機碼，同時也存儲有與預設操作對應的程序或信息。所述交換機20通過所述交換機20的私鑰對所述第二加密內容進行解密得到隨機碼和所述監控設備10的特征信息。

其中，所述交換機20通過判斷所述第二加密內容解密得到的隨機碼是否為所述交換機20生成的對所述監控設備10進行初步認證。具體地。將所述第二加密內容解密得到的隨機碼與存儲在所述第二存儲器21中的所有隨機碼進行比對，如此來判斷所述第二加密內容解密得到的隨機碼是否為所述交換機20生成的，并根據判斷的結果對所述監控設備10的特征信息執行相應的預設操作。具體地，所述預設操作可以參見如下描述。

請參照圖6，在本發明實施例中，所述步驟S440可以包括：

子步驟S441，當隨機碼是交換機20生成的，對特征信息進行處理。

在本實施例中，當所述第二加密內容解密得到的隨機碼是交換機20生成的隨機碼時，表明所述監控設備10通過所述交換機20的初步認證，可以進行下一步認證，即對所述監控設備10的特征信息進行認證。

子步驟S442，當隨機碼不是交換機20生成的，忽略特征信息，并阻止監控設備10接入交換機20。

在本實施例中，當所述第二加密內容解密得到的隨機碼不是交換機20生成的隨機碼時，表明所述監控設備10可能出現問題(比如，所述監控設備10被黑客入侵)，所述交換機20可以直接丟棄所述監控設備10的特征信息，并阻止所述監控設備10接入所述交換機20，同時向與所述監控設備10和交換機20通信連接的服務器30發送告警信息。

請參照圖7，在本發明實施例中，所述子步驟S441可以包括：

子步驟S4411，將特征信息與交換機20存儲的特征信息進行比對。

在本實施例中，所述交換機20在與所述監控設備10首次連接成功時，所述交換機20會獲取所述監控設備10的特征信息，并將所述特征信息保存在所述第二存儲器21中，以用于步驟S4411中特征信息的比對。

在本實施例中，所述監控設備10的特征信息與存儲在所述第二存儲器21中的所述監控設備10的MAC地址是對應的。交換機20可通過接入的監控設備10的MAC地址在所述第二存儲器21中查找到所述監控設備10的特征信息。所述交換機20將由所述第二加密內容解密得到的特征信息與對應的存儲在第二存儲器21中的特征信息進行比對。

子步驟S4412，根據比對結果對監控設備10接入的權限進行管理。

在本實施例中，所述對比結果根據特征信息的類型的不同可能也不同。在本實施例中，所述根據比對結果對所述監控設備10接入的權限進行管理的步驟包括：

所述交換機20在所述特征信息中的設備信息與所述交換機20存儲的特征信息中的設備信息不同時，阻止所述監控設備10接入并向所述服務器30發出準入申請，所述服務器30在接收到對所述設備信息變更的確認操作時，所述服務器30向所述交換機20發出允許所述監控設備10接入的指令。

所述交換機20在所述特征信息中的設備版本信息與所述交換機20存儲的特征信息中的設備版本信息不同時，允許所述監控設備10接入所述交換機20，并向所述服務器30發送告警信息。

具體地，當所述特征信息中的設備信息如生產廠商、設備類型、設備型號、設備序列號中任意一項或者組合的對比結果顯示為不同時，表明所述監控設備10已被更換，所述交換機20將阻止所述監控設備10接入所述交換機20，同時向所述服務器30發送對所述監控設備10的準入申請通知。當服務器30接收到確認所述監控設備10屬于正常設備更換的操作時，所述服務器30向所述交換機20發出允許接入通知，所述交換機20允許所述監控設備10接入所述交換機20。當所述服務器30接收到確認所述監控設備10不屬于正常設備更換的操作時，所述服務器30與所述交換機20隔離所述監控設備10，禁止所述監控設備10再進行信息的傳輸。

當所述特征信息中的設備版本信息如設備硬件版本及設備軟件版本中任意一項或組合的對比結果顯示為不同時，所述交換機20允許所述監控設備10接入，但向所述服務器30發送告警通知，以對所述監控設備10的相應版本發生變化進行提醒，便于對所述監控設備10的相應版本的情況進行確認操作。

請參照圖8，是本發明較佳的實施例提供的監控設備認證方法的另一種流程示意圖。所述方法應用于監控設備認證系統，所述系統還包括與監控設備10及交換機20通信連接的服務器30。所述監控設備認證方法還包括：

步驟S406，服務器30對接入的監控設備10進行注冊，所述服務器30保存所述監控設備10的物理地址及公鑰。

在本實施例中，服務器30通過第三通信單元33與所述監控設備10的第一通信單元14進行通信連接，所述監控設備10在接入網絡時，所述服務器30對所述監控設備10進行信息錄入，獲得所述監控設備10的MAC地址及公鑰，并在所述第三存儲器31中分配用于存儲所述MAC地址及公鑰的存儲空間。

步驟S407，交換機20根據所述監控設備10的物理地址從所述服務器30獲得所述監控設備10的公鑰，并將所述監控設備10的物理地址及公鑰進行保存。

在本實施例中，查找交換機20中是否存有與所述監控設備10的物理地址對應的監控設備10的公鑰，當所述交換機20中不存在與所述監控設備10的物理地址對應的監控設備10的公鑰時，所述交換機20根據所述監控設備10的物理地址從所述服務器30獲得所述監控設備10的公鑰，并將所述監控設備10的物理地址及公鑰進行保存。

在本實施例中，所述交換機20與所述監控設備10進行通信連接時，獲取所述監控設備10的MAC地址，在第二存儲器21中查找與所述監控設備10的MAC地址相對應的MAC地址，以獲取與所述監控設備10的MAC地址相對應的監控設備10的公鑰。當所述交換機20中不存在與所述監控設備10對應的MAC地址，即不存在與所述監控設備10的MAC地址相對應的監控設備10的公鑰時，所述交換機20以獲取到的監控設備10的MAC地址為索引向所述服務器30發出請求，以獲得所述監控設備10的公鑰，并將獲取到的所述監控設備10的MAC地址及公鑰進行保存，以便采用所述監控設備10的公鑰進行加密得到第一加密內容。

請參照圖9，是本發明較佳的實施例提供的監控設備認證方法的其他的流程示意圖。所述監控設備認證方法還包括：

步驟S408，服務器30與交換機20通信，所述服務器30保存所述交換機20的物理地址及公鑰。

在本實施例中，服務器30通過第三通信單元33與所述交換機20的第二通信單元23進行通信連接時，所述交換機20會將所述交換機20的MAC地址及公鑰發送給所述服務器30，所述服務器30在所述第三存儲器31中分配用于存儲所述MAC地址及公鑰的存儲空間。

步驟S409，接入的監控設備10根據所述交換機20的物理地址從所述服務器30獲得所述交換機20的公鑰，并將所述交換機20的物理地址及公鑰進行保存。

在本實施例中，查找接入的監控設備10中是否存有與所述交換機20的物理地址對應的交換機20的公鑰，當所述監控設備10中不存在與所述交換機20的物理地址對應的交換機20的公鑰時，所述監控設備10根據所述交換機20的物理地址從所述服務器30獲得所述交換機20的公鑰，并將所述交換機20的物理地址及公鑰進行保存。

在本實施例中，監控設備10在接入交換機20，與所述交換機20進行通信連接時，獲取所述交換機20的MAC地址，在第一存儲器11中查找與所述交換機20的MAC地址相對應的MAC地址，以獲取與所述交換機20的MAC地址相對應的交換機20的公鑰。當所述監控設備10中不存在與所述交換機20對應的MAC地址，即不存在與所述交換機20的MAC地址相對應的交換機20的公鑰時，所述監控設備10以獲取到的交換機20的MAC地址為索引向所述服務器30發出請求，以獲得所述交換機20的公鑰，并將獲取到的所述交換機20的MAC地址及公鑰進行保存，以便采用所述交換機20的公鑰進行加密得到第二加密內容。

請參照圖10，是本發明較佳的實施例提供的應用于圖3中所示交換機20的監控設備認證方法的一種流程示意圖。下面將對圖10所示的具體流程和步驟進行詳細闡述。

在本發明實施例中，所述監控設備認證方法包括以下步驟：

步驟S510，交換機20生成一隨機碼，將所述隨機碼以接入的監控設備10的公鑰加密得到的第一加密內容發送給所述監控設備10。

在本實施例中，交換機20可以通過與所述監控設備10相連接的端口獲取接入的監控設備10的MAC地址，并在所述第二存儲器21中查找是否存在與接入的監控設備10對應的MAC地址。如果存在與所述監控設備10對應的MAC地址，可通過所述MAC地址在所述交換機20的第二存儲器21中查找到所述監控設備10的公鑰。

在查找到所述監控設備10的公鑰后，所述交換機20生成一隨機碼，并以接入的監控設備10的公鑰對隨機碼進行加密得到第一加密內容，然后通過接入的監控設備10的MAC地址向所述監控設備10發送所述第一加密內容。

步驟S520，接收由所述監控設備10發送的第二加密內容。

在本實施例中，所述第二加密內容由所述監控設備10以所述交換機20的公鑰對所述監控設備10的特征信息和所述第一加密內容進行解密后得到的所述隨機碼進行加密得到。

在本實施例中，所述交換機20發送給所述監控設備10的第一加密內容可以由所述監控設備10以所述監控設備10的私鑰進行解密得到隨機碼。

步驟S530，以所述交換機20的私鑰對所述第二加密內容進行解密得到隨機碼和特征信息，并判斷所述隨機碼是否為所述交換機20生成的，并根據判斷結果對所述特征信息執行相應的預設操作。

在本實施例中，交換機20將所述第二加密內容解密得到的隨機碼與存儲在所述第二存儲器21中的所有隨機碼進行比對，從而判斷所述第二加密內容解密得到的隨機碼是否為所述交換機20生成的，并根據判斷的結果對所述監控設備10的特征信息執行相應的預設操作。

請參照圖11，在本發明實施例中，所述步驟S530可以包括：

子步驟S531，當隨機碼是交換機20生成的，對特征信息進行處理。

子步驟S532，當隨機碼不是交換機20生成的，忽略特征信息，并阻止監控設備10接入交換機20。

請參照圖12，在本發明實施例中，所述子步驟S531可以包括：

子步驟S5311，將特征信息與交換機20存儲的特征信息進行比對。

在本實施例中，交換機20可通過接入的監控設備10的MAC地址在所述第二存儲器21中查找到所述監控設備10的特征信息。所述交換機20將由所述第二加密內容解密得到的特征信息與對應的存儲在第二存儲器21中的特征信息進行比對。具體的步驟可以參考上述的子步驟S4411的詳細描述。

子步驟S5312，根據比對結果對監控設備10接入的權限進行管理。

在本實施例中，所述子步驟S5312的詳細描述可以參照上文中對所述子步驟S4412的詳細描述。

請參照圖13，是本發明較佳的實施例提供的圖3中所示交換機20中的監控設備認證裝置200的一種功能模塊框圖。所述監控設備認證裝置200包括：第一加密內容發送模塊210、第二加密內容接收模塊220及預設操作執行模塊230。

所述第一加密內容發送模塊210，用于生成一隨機碼，將所述隨機碼以接入的監控設備10的公鑰加密得到的第一加密內容發送給所述監控設備10。

在本實施例中，所述第一加密內容發送模塊210獲取接入的監控設備10的物理地址，查找所述交換機20中是否存有與所述監控設備10的物理地址對應的監控設備10的公鑰，當所述交換機20中存在與所述監控設備10的物理地址對應的監控設備10的公鑰時，生成一隨機碼，將所述隨機碼以所述監控設備10的公鑰加密得到的第一加密內容發送給所述監控設備10。

在本實施例中，所述第一加密內容發送模塊210可以執行圖10中所示的步驟S510，具體的過程可參照步驟S510。

所述第二加密內容接收模塊220，用于接收由所述監控設備10發送的第二加密內容。

其中，所述第二加密內容由所述監控設備10以所述交換機20的公鑰對所述監控設備10的特征信息和所述第一加密內容進行解密后得到的所述隨機碼進行加密得到。

在本實施例中，所述第二加密內容接收模塊220可以執行圖10中所示的步驟S520，具體的過程可參照步驟S520。

所述預設操作執行模塊230，用于以所述交換機20的私鑰對所述第二加密內容進行解密得到隨機碼和特征信息，并判斷所述隨機碼是否為所述交換機20生成的，并根據判斷結果對所述特征信息執行相應的預設操作。

請參照圖14，是本發明較佳的實施例提供的圖3中所示交換機20中的監控設備認證裝置200的另一種功能模塊框圖。其中，所述預設操作執行模塊230包括：處理子模塊231及阻止接入子模塊232。

所述處理子模塊231，用于當隨機碼是交換機20生成的，對特征信息進行處理。

在本實施例中，所述處理子模塊231當隨機碼是交換機20生成的，對特征信息進行處理的方式包括：

將特征信息與交換機20存儲的特征信息進行比對；

根據比對結果對監控設備10接入的權限進行管理。

在本實施例中，所述處理子模塊231當隨機碼是交換機20生成的，對特征信息進行處理的詳細描述可參照子步驟S441、子步驟S4411及子步驟S4412的描述。

所述阻止接入子模塊232，用于當隨機碼不是交換機20生成的，忽略特征信息，并阻止監控設備10接入交換機20。

在本實施例中，所述阻止接入子模塊232可以執行圖10中所示的步驟S532，具體的執行過程可參照子步驟S532。

綜上所述，本發明實施例提供的監控設備認證方法及裝置。所述監控設備認證方法利用一個設備的公鑰與私鑰是一一對應的，對于采用公鑰進行加密得到的加密文件只有采用與該公鑰對應的私鑰才能進行解密的原理對監控設備進行安全認證。具體的，交換機將以監控設備的公鑰加密的由所述交換機生成的隨機碼發送給所述監控設備，所述監控設備以所述監控設備的私鑰進行解密得到隨機碼，再將監控設備的特征信息和隨機碼以所述交換機的公鑰進行加密后發送給所述交換機，所述交換機以所述交換機的私鑰進行解密得到隨機碼和特征信息。所述交換機通過判斷所述隨機碼是否為所述交換機生成的，完成對所述監控設備的初步認證。所述交換機根據判斷結果對所述特征信息執行相應的預設操作，以完成對所述監控設備的二次認證。所述監控設備認證方法及裝置可以使得監控設備認證的管理工作更為簡單且信息被泄露的風險更小，能夠快速地完成對監控設備的安全認證。

以上所述僅為本發明的優選實施例而已，并不用于限制本發明，對于本領域的技術人員來說，本發明可以有各種更改和變化。凡在本發明的精神和原則之內，所作的任何修改、等同替換、改進等，均應包含在本發明的保護范圍之內。

完整全部詳細技術資料下載

當前第1頁1 2 3