一种设备配置安全下发防篡改方法和系统技术方案

本发明专利技术公开了一种设备配置安全下发防篡改方法和系统，配置设备根据预设算法对预设变量进行计算得到本次配置的特征值，并向目标设备发送携带有所述本次配置的特征值的配置报文，目标设备获取下发的配置报文，并根据上一次配置的特征值，计算本次配置的检测特征值，将计算出的本次配置的检测特征值与接收到的配置报文中携带的本次配置的特征值进行比较，如果一致，则判断本次配置合法，接受本次配置。本发明专利技术特征值的计算与上一次配置的特征值以及秘钥有关，并形成特征值链式表，达到设备配置安全下发以及防止被篡改的目的。置安全下发以及防止被篡改的目的。置安全下发以及防止被篡改的目的。

【技术实现步骤摘要】
一种设备配置安全下发防篡改方法和系统


[0001]本专利技术属于设备安全
，尤其涉及一种设备配置安全下发防篡改方法和系统。

技术介绍

[0002]随着国家“互联网+”计划的持续推进，网络化进程迅速覆盖到各行各业。在视频监控领域，基于IP的网络视频监控和方案也正在改变着原有的模拟监控相对封闭的模式，这使得使用者而可以随时随地远程访问并获取所需的视频资料。但是，伴随着网络化的便利，监控设备的安全问题也接踵而来。
[0003]监控设备作为视频监控系统中的重要角色，任何对设备配置的改动都应该确保安全，特别是通过网络修改设备的配置参数问题显得尤为突出。如果设备的配置信息被黑客篡改或者因为设备自身的问题导致配置信息丢失或者修改，都将对整个系统造成严重的影响。
[0004]目前对监控设备进行配置并没有特别有效的解决办法，现有的方案主要是通过点对点进行配置，且在配置参数下发报文中增加认证过程。监控设备也没有有效的防篡改机制，被篡改之后也没有有效的自修复功能。然而，通过点对点的进行配置，造成配置效率低下，虽然有一些批量配置工具，但本质上还是通过点对点的方式进行配置。而且，业务参数等设备配置下发只是简单增加用户校验等简单认证，如果报文被捕获容易被攻击者破解，从而可以肆无忌惮的对设备进行篡改。此外，设备的配置参数被修改或者丢失后，设备无法自动发现和修复，只能是人为手动恢复。
[0005]因此，在对网络中设备进行配置时，如何在配置参数下发过程中的防篡改，以及配置参数被修改或者丢失后，设备如何自动发现和修复，都是需要解决的问题。

技术实现思路

[0006]本专利技术的目的是提供一种设备配置安全下发防篡改方法和系统，解决在配置参数下发过程中的防篡改问题，以及配置参数被修改或者丢失后，设备如何自动发现和修复的问题。
[0007]为了实现上述目的，本申请技术方案如下：
[0008]一种设备配置安全下发防篡改方法，用于对待配置网络中的目标设备进行配置，所述设备配置安全下发防篡改方法，包括：
[0009]配置设备根据预设算法对预设变量进行计算得到本次配置的特征值，并向目标设备发送携带有所述本次配置的特征值的配置报文，其中，所述预设变量包括目标设备上一次配置的特征值；
[0010]目标设备获取下发的配置报文，并根据上一次配置的特征值，计算本次配置的检测特征值；
[0011]目标设备将计算出的本次配置的检测特征值与接收到的配置报文中携带的本次
配置的特征值进行比较，如果一致，则判断本次配置合法，接受本次配置。
[0012]进一步的，所述设备配置安全下发防篡改方法，还包括：
[0013]在计算本次配置的特征值及计算本次配置的检测特征值时，先判断是否存在目标设备上一次配置的特征值，若存在，则获取目标设备上一次配置的特征值进行计算，若不存在，则使用默认的特征值作为上一次配置的特征值进行计算。
[0014]可选的，所述待配置网络中还设置有秘钥管理服务器，所述设备配置安全下发防篡改方法，还包括：
[0015]配置设备生成本次配置的唯一标识，携带所述本次配置的唯一标识向所述秘钥管理服务器请求秘钥，并接收所述秘钥管理服务器返回的根据所述唯一标识生成的秘钥；
[0016]配置设备所述根据预设算法对预设变量进行计算得到本次配置的特征值时，所述预设变量还包括所述唯一标识和秘钥，所述配置报文还携带有所述本次配置的唯一标识；
[0017]所述目标设备根据上一次配置的特征值，计算本次配置的检测特征值，包括：
[0018]获取配置报文中携带的所述本次配置的唯一标识，携带所述本次配置的唯一标识向秘钥管理服务器请求秘钥，从秘钥管理服务器获取所述本次配置的唯一标识对应的秘钥；
[0019]以所述本次配置的唯一标识、秘钥和历史配置信息中上一次配置的特征值为预设变量，通过所述预设算法计算得到本次配置的检测特征值。
[0020]可选的，所述待配置网络中还设置有秘钥管理服务器，所述设备配置安全下发防篡改方法，还包括：
[0021]配置设备生成本次配置的唯一标识，携带所述本次配置的唯一标识向所述秘钥管理服务器请求秘钥，并接收所述秘钥管理服务器返回的根据所述唯一标识生成的秘钥；
[0022]配置设备所述根据预设算法对预设变量进行计算得到本次配置的特征值时，所述预设的变量还包括所述秘钥，所述配置报文还携带有所述本次配置的唯一标识；
[0023]所述目标设备根据上一次配置的特征值，计算本次配置的检测特征值，包括：
[0024]获取配置报文中携带的所述本次配置的唯一标识，携带所述本次配置的唯一标识向秘钥管理服务器请求秘钥，从秘钥管理服务器获取所述本次配置的唯一标识对应的秘钥；
[0025]以所述秘钥和历史配置信息中上一次配置的特征值为预设的变量，通过所述预设算法计算得到本次配置的检测特征值。
[0026]进一步的，所述设备配置安全下发防篡改方法，还包括：
[0027]配置设备根据自身设备标识和时间戳生成临时公私钥对，在携带所述本次配置的唯一标识向所述秘钥管理服务器请求秘钥时，还携带自身生成的临时公钥；
[0028]所述秘钥管理服务器采用接收到的临时公钥对秘钥进行加密传输给配置设备；
[0029]配置设备使用临时私钥进行解密获取秘钥；
[0030]同样的，所述目标设备在接收到配置报文后，也根据自身设备标识和时间戳生成临时公私钥对，在携带所述本次配置的唯一标识向秘钥管理服务器请求秘钥时，还携带自身生成的临时公钥；
[0031]所述秘钥管理服务器采用接收到的临时公钥对秘钥进行加密传输给目标设备；
[0032]目标设备使用临时私钥进行解密获取秘钥。
[0033]进一步的，所述设备配置安全下发防篡改方法，还包括：
[0034]目标设备接收请求设备发送的配置同步请求，所述配置同步请求携带本次请求的唯一标识、本次配置同步的超时时间以及请求设备的信息；
[0035]将配置同步请求中的唯一标识放入执行队列，并标记所述唯一标识对应的请求状态为待处理状态；
[0036]检查自身设备是否有满足请求设备的配置，如果没有，则设置所述唯一标识对应的请求状态为忽略状态，忽略对应的配置同步请求，否则启动所述配置同步请求对应的定时器，将满足请求设备的配置项设置为待处理状态；接收其他设备的通告报文，将通告报文中已经响应成功的配置项设置为已处理状态；
[0037]在定时器时间到达后，判断满足请求设备的配置项的状态是否都不在待处理状态，如果是则设置所述唯一标识对应的请求状态为无需处理状态并忽略对应的配置同步请求，否则将状态为待处理的配置项打包为配置报文下发给请求设备；
[0038]接收请求设备的响应，如果响应成功则将对应的配置项设置为已处理状态，并发送通告报文，通知其他设备该配置项已经响应成功；
[0039]将所述唯一标识对应的请求状态设置为已处理状态。
[0040]本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种设备配置安全下发防篡改方法，用于对待配置网络中的目标设备进行配置，其特征在于，所述设备配置安全下发防篡改方法，包括：配置设备根据预设算法对预设变量进行计算得到本次配置的特征值，并向目标设备发送携带有所述本次配置的特征值的配置报文，其中，所述预设变量包括目标设备上一次配置的特征值；目标设备获取下发的配置报文，并根据上一次配置的特征值，计算本次配置的检测特征值；目标设备将计算出的本次配置的检测特征值与接收到的配置报文中携带的本次配置的特征值进行比较，如果一致，则判断本次配置合法，接受本次配置。2.根据权利要求1所述的设备配置安全下发防篡改方法，其特征在于，所述设备配置安全下发防篡改方法，还包括：在计算本次配置的特征值及计算本次配置的检测特征值时，先判断是否存在目标设备上一次配置的特征值，若存在，则获取目标设备上一次配置的特征值进行计算，若不存在，则使用默认的特征值作为上一次配置的特征值进行计算。3.根据权利要求1所述的设备配置安全下发防篡改方法，其特征在于，所述待配置网络中还设置有秘钥管理服务器，所述设备配置安全下发防篡改方法，还包括：配置设备生成本次配置的唯一标识，携带所述本次配置的唯一标识向所述秘钥管理服务器请求秘钥，并接收所述秘钥管理服务器返回的根据所述唯一标识生成的秘钥；配置设备所述根据预设算法对预设变量进行计算得到本次配置的特征值时，所述预设变量还包括所述唯一标识和秘钥，所述配置报文还携带有所述本次配置的唯一标识；所述目标设备根据上一次配置的特征值，计算本次配置的检测特征值，包括：获取配置报文中携带的所述本次配置的唯一标识，携带所述本次配置的唯一标识向秘钥管理服务器请求秘钥，从秘钥管理服务器获取所述本次配置的唯一标识对应的秘钥；以所述本次配置的唯一标识、秘钥和历史配置信息中上一次配置的特征值为预设变量，通过所述预设算法计算得到本次配置的检测特征值。4.根据权利要求1所述的设备配置安全下发防篡改方法，其特征在于，所述待配置网络中还设置有秘钥管理服务器，所述设备配置安全下发防篡改方法，还包括：配置设备生成本次配置的唯一标识，携带所述本次配置的唯一标识向所述秘钥管理服务器请求秘钥，并接收所述秘钥管理服务器返回的根据所述唯一标识生成的秘钥；配置设备所述根据预设算法对预设变量进行计算得到本次配置的特征值时，所述预设的变量还包括所述秘钥，所述配置报文还携带有所述本次配置的唯一标识；所述目标设备根据上一次配置的特征值，计算本次配置的检测特征值，包括：获取配置报文中携带的所述本次配置的唯一标识，携带所述本次配置的唯一标识向秘钥管理服务器请求秘钥，从秘钥管理服务器获取所述本次配置的唯一标识对应的秘钥；以所述秘钥和历史配置信息中上一次配置的特征值为预设的变量，通过所述预设算法计算得到本次配置的检测特征值。5.根据权利要求3或4所述的设备配置安全下发防篡改方法，其特征在于，所述设备配置安全下发防篡改方法，还包括：配置设备根据自身设备标识和时间戳生成临时公私钥对，在携带所述本次配置的唯一
标识向所述秘钥管理服务器请求秘钥时，还携带自身生成的临时公钥；所述秘钥管理服务器采用接收到的临时公钥对秘钥进行加密传输给配置设备；配置设备使用临时私钥进行解密获取秘钥；同样的，所述目标设备在接收到配置报文后，也根据自身设备标识和时间戳生成临时公私钥对，在携带所述本次配置的唯一标识向秘钥管理服务器请求秘钥时，还携带自身生成的临时...

【专利技术属性】
技术研发人员：祝接金，
申请(专利权)人：浙江宇视科技有限公司，
类型：发明
国别省市：