CN111222121B - 一种嵌入式设备授权管理方法 - Google Patents
一种嵌入式设备授权管理方法 Download PDFInfo
- Publication number
- CN111222121B CN111222121B CN201911378430.6A CN201911378430A CN111222121B CN 111222121 B CN111222121 B CN 111222121B CN 201911378430 A CN201911378430 A CN 201911378430A CN 111222121 B CN111222121 B CN 111222121B
- Authority
- CN
- China
- Prior art keywords
- message
- server
- embedded device
- vsol
- auth
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种嵌入式设备授权管理方法,包括:S1、服务器设置操作人员用户名、密码以及操作权限;S2、操作员输入用户名和密码,登录嵌入式设备;S3、嵌入式设备发送请求报文;S4、服务器判断是否接收到请求报文,是则进行S5,否则返回S4;S5、服务器处理分析报文;S6、服务器判断是否为有效报文,是则进行S7,否则丢弃报文;S7、服务器根据报文信息发送相应报文;S8、嵌入式设备判断是否接受到相应报文,是则进行S9,否则返回S8;S9、嵌入式设备判断是否通过授权确认,是则进行S10,否则返回S2;S10、嵌入式设备接受操作员登录,按授权权限开放操作。本方法便利快速高效,易于部署,可以为现代的嵌入式工业应用提供安全可靠的管理授权服务。
Description
技术领域
本发明涉及数据安全技术领域,具体涉及一种嵌入式设备授权管理方法。
背景技术
随着嵌入式设备应用越来越广泛,从工业现场应用到各类IoT设备,这些设备的操作管理控制越来越引起人们的重视,其安全的管理控制就变得更为重要。工业现场管理设备的操作维护一般支持基于IP的远程管理,对操作人员的身份识别及操作维护缺少有效的监督方法,即使是合法操作人员,其操作权限及操作管理业务范围也难以有效划分,各类IoT设备一般通过蓝牙,WiFi或红外等方式来实现管理控制接入,也缺少对操作人员的身份鉴别及操作权限管理,给未来安全带来极大的隐患。因此,为各类嵌入式设备提供一套通用有效的授权管理方法,解决目前各类设备遇到的安全管理难题,具有重要的现实意义。
本发明提出一种嵌入式设备授权管理方法,可以为操作管理提供操作人员身份检查,操作管理业务范围控制,可以有效解决目前嵌入式设备管理没有操作身份检查,操作管理业务范围不能有效控制等问题,以满足日益增长的安全管理要求。
发明内容
有鉴于此,为了解决现有技术中的上述问题,本发明提出一种嵌入式设备授权管理方法。
本发明通过以下技术手段解决上述问题:
一种嵌入式设备授权管理方法,包括如下步骤:
S1、服务器设置操作人员用户名、密码以及操作权限;
S2、操作员输入用户名和密码,登录嵌入式设备;
S3、嵌入式设备发送请求报文;
S4、服务器判断是否接收到请求报文,是则进行S5,否则返回S4;
S5、服务器处理分析报文;
S6、服务器判断是否为有效报文,是则进行S7,否则丢弃报文;
S7、服务器根据报文信息发送相应报文;
S8、嵌入式设备判断是否接受到相应报文,是则进行S9,否则返回S8;
S9、嵌入式设备判断是否通过授权确认,是则进行S10,否则返回S2;
S10、嵌入式设备接受操作员登录,按授权权限开放操作。
进一步地,报文头格式定义如下:
版本号:标识当前VSOL_AUTH方法的定义版本号,暂定为0x01;
报文类型:标识VSOL_AUTH报文的种类,VSOL_AUTH报文定义下列2种类型;
0x01,嵌入式设备请求授权管理认证报文;
0x02,服务器响应嵌入式设备请求报文;
报文标识:按位标识VSOL_AUTH报文特性,定义如下:
0x01,标识VSOL_AUTH报文主体是加密的;
0x02,标识VSOL_AUTH请求报文主体是加密的;
0x04,标识VSOL_AUTH响应报文主体是加密的;
0x08,标识VSOL_AUTH请求报文密匙是加密的;
0x10,标识VSOL_AUTH报文主体是明文;
其余位暂时保留;
报文序列号:标识嵌入式设备和服务器之间交互报文的顺序编号;报文长度:标识VSOL_AUTH除报文头部以外报文主体部分的字节长度。
进一步地,嵌入式设备请求授权管理认证报文体定义如下:
请求操作类型:根据嵌入式设备业务操作,分为三种操作类型:
Login类型定义为:0x01;
Enable类型定义为:0x02;
Config类型定义为:0x03;
认证方式:认证方式分为明文和密文两种方式:
明文方式定义为:0x01;
密文方式定义为:0x02;
权限级别:权限级别是进入嵌入式设备请求的操作级别,根据系统权限管理,可分为如下级别:
普通用户级别,定义为0x01;
超级用户级别,定义为0x02;
自定义用户级别,定义为0x03~0xff;
状态标识:暂做保留字节操作用户名长度:标记请求用户名长度,为字节数;
用户密匙长度:标记用户名密匙长度,为字节数;
用户名:请求操作的用户名称;
用户密匙:请求操作用户名对应的密匙。
进一步地,服务器响应请求授权管理认证报文体定义如下:
请求操作结果:表示嵌入式设备请求的业务操作经过服务器验证后返回的结果,定义如下:
请求操作认证成功:0x01;
请求操作认证失败:0x02;
状态标识:暂做保留信息;
返回信息长度:服务器返回给请求用户的信息长度,字节数;
返回信息:服务器返回给请求用户的信息。
进一步地,报文体加密方法定义:
采用一种简便的32个随机字符构成的随机字符串作为加密因子,服务器和嵌入式设备采用相同的约定加密因子,对需要加密的报本主体进行异或运算,然后封装在发送报文中,接受方再用相同加密因子对报本主体进行异或运算,就可以获得原始报文;
Packet_body密文=Packet_body xor randomString32
Packet_body=Packet_body密文xor randomString32
加密运用原理是用相同的加密因子经过两次异或运算可以获得原始文本;加密及解密处理时按32字节加密因子的倍数处理,不足部分可以任意填充,处理完毕后按有效报文长度读取有效数据。
进一步地,采用TCP私有端口559,服务器应侦听该端口以接受请求报文,嵌入式设备以559端口作为TCP目的端口发送请求报文。
与现有技术相比,本发明的有益效果至少包括:
本发明嵌入式设备授权管理方法采用集中认证管理模式,各个操作维护管理人员在进入嵌入式设备之前需要经过登录验证,管理授权之后才可以进行相应的操作维护,是一套安全可靠的服务器和嵌入式设备之间认证授权方法。在服务器端可以集中管理操作维护人员认证,授权权限,实时更新认证授权信息,提高操作维护管理的安全性。
本方法具有便利快速高效等优点,易于部署,可以为现代的嵌入式工业应用及IoT设备应用提供安全可靠的管理授权服务。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明授权管理认证方法报文交互示意图;
图2是本发明授权管理认证方法处理流程图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面将结合附图和具体的实施例对本发明的技术方案进行详细说明。需要指出的是,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例
如图1、图2所示,本发明提出了一种嵌入式设备授权管理方法,定义了一种简单便利的交互管理协议,该方法是一种基于TCP的授权管理协议,采用集中授权管理模式,接入嵌入式设备之前先要通过集中授权管理验证、授权之后才可登录、操作维护设备。本发明定义了一种基于TCP的授权管理交互协议,采用服务器和客户端模式,集中授权管理设备就是服务器,嵌入式设备是客户端,操作人员进入嵌入式设备操作维护之前,先要输入用户名和密码,输入的用户名和密码经过嵌入式设备的客户端模块处理后,根据本发现的交互协议发给授权管理服务器,授权管理服务器根据收到的报文,分析处理之后确定该操作用户是否合法及操作维护权限,授权管理服务器将分析结果回送给嵌入式设备,嵌入式设备根据分析回送报文的结果确定是否允许操作人员登录设备及可以操作维护的业务范围,本发明将该授权管理认证方法称为VSOL_AUTH。具体包括如下步骤:
S1、服务器设置操作人员用户名、密码以及操作权限;
S2、操作员输入用户名和密码,登录嵌入式设备;
S3、嵌入式设备发送请求报文;
S4、服务器判断是否接收到请求报文,是则进行S5,否则返回S4;
S5、服务器处理分析报文;
S6、服务器判断是否为有效报文,是则进行S7,否则丢弃报文;
S7、服务器根据报文信息发送相应报文;
S8、嵌入式设备判断是否接受到相应报文,是则进行S9,否则返回S8;
S9、嵌入式设备判断是否通过授权确认,是则进行S10,否则返回S2;
S10、嵌入式设备接受操作员登录,按授权权限开放操作。
1)、基于TCP的授权管理认证VSOL_AUTH报文头格式定义如下:
版本号:标识当前VSOL_AUTH方法的定义版本号,暂定为0x01。
报文类型:标识VSOL_AUTH报文的种类,VSOL_AUTH报文定义下列2种类型。
0x01,嵌入式设备请求授权管理认证报文。
0x02,服务器响应嵌入式设备请求报文。
报文标识:按位标识VSOL_AUTH报文特性,定义如下:
0x01,标识VSOL_AUTH报文主体是加密的。
0x02,标识VSOL_AUTH请求报文主体是加密的。
0x04,标识VSOL_AUTH响应报文主体是加密的。
0x08,标识VSOL_AUTH请求报文密匙是加密的。
0x10,标识VSOL_AUTH报文主体是明文。
其余位暂时保留。
报文序列号:标识嵌入式设备和服务器之间交互报文的顺序编号。
报文长度:标识VSOL_AUTH除报文头部以外报文主体部分的字节长度。
2)、嵌入式设备请求授权管理认证报文体定义如下:
请求操作类型:根据嵌入式设备业务操作,分为三种操作类型:
Login类型定义为:0x01。
Enable类型定义为:0x02。
Config类型定义为:0x03。
认证方式:认证方式分为明文和密文两种方式:
明文方式定义为:0x01。
密文方式定义为:0x02。
权限级别:权限级别是进入嵌入式设备请求的操作级别,根据系统权限管理,
可分为如下级别:
普通用户级别,定义为0x01。
超级用户级别,定义为0x02。
自定义用户级别,定义为0x03~0xff
状态标识:暂做保留字节
操作用户名长度:标记请求用户名长度,为字节数。
用户密匙长度:标记用户名密匙长度,为字节数。
用户名:请求操作的用户名称。
用户密匙:请求操作用户名对应的密匙。
3)、VSOL_AUTH服务器响应请求授权管理认证报文体定义如下:
请求操作结果:表示嵌入式设备请求的业务操作经过服务器验证后返回的结果,定义如下:
请求操作认证成功:0x01。
请求操作认证失败:0x02。
状态标识:暂做保留信息。
返回信息长度:服务器返回给请求用户的信息长度,字节数。
返回信息:服务器返回给请求用户的信息。
4)、报文体加密方法定义
本发明采用一种简便的32个随机字符构成的随机字符串作为加密因子,服务器和嵌入式设备采用相同的约定加密因子,对需要加密的报本主体进行异或运算,然后封装在发送报文中,接受方再用相同加密因子对报本主体进行异或运算,就可以获得原始报文。
Packet_body密文=Packet_body xor randomString32
Packet_body=Packet_body密文xor randomString32
加密运用原理是用相同的加密因子经过两次异或运算可以获得原始文本。加密及解密处理时按32字节加密因子的倍数处理,不足部分可以任意填充,处理完毕后按有效报文长度读取有效数据。
5)、VSOL_AUTH基于TCP的端口定义
本发明采用TCP私有端口559,服务器应侦听该端口以接受请求报文,嵌入式设备以559端口作为TCP目的端口发送请求报文。
本发明嵌入式设备授权管理方法采用集中认证管理模式,各个操作维护管理人员在进入嵌入式设备之前需要经过登录验证,管理授权之后才可以进行相应的操作维护,是一套安全可靠的服务器和嵌入式设备之间认证授权方法。在服务器端可以集中管理操作维护人员认证,授权权限,实时更新认证授权信息,提高操作维护管理的安全性。
本方法具有便利快速高效等优点,易于部署,可以为现代的嵌入式工业应用及IoT设备应用提供安全可靠的管理授权服务。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (4)
1.一种嵌入式设备授权管理方法,其特征在于,包括如下步骤:
S1、服务器设置操作人员用户名、密码以及操作权限;
S2、操作员输入用户名和密码,登录嵌入式设备;
S3、嵌入式设备发送请求报文;
S4、服务器判断是否接收到请求报文,是则进行S5,否则返回S4;
S5、服务器处理分析报文;
S6、服务器判断是否为有效报文,是则进行S7,否则丢弃报文;
S7、服务器根据报文信息发送相应报文;
S8、嵌入式设备判断是否接受到相应报文,是则进行S9,否则返回S8;
S9、嵌入式设备判断是否通过授权确认,是则进行S10,否则返回S2;
S10、嵌入式设备接受操作员登录,按授权权限开放操作;
嵌入式设备请求授权管理认证报文体定义如下:
请求操作类型:根据嵌入式设备业务操作,分为三种操作类型:
Login类型定义为:0x01;
Enable类型定义为:0x02;
Config类型定义为:0x03;
认证方式:认证方式分为明文和密文两种方式:
明文方式定义为:0x01;
密文方式定义为:0x02;
权限级别:权限级别是进入嵌入式设备请求的操作级别,根据系统权限管理,可分为如下级别:
普通用户级别,定义为0x01;
超级用户级别,定义为0x02;
自定义用户级别,定义为0x03~0xff;
状态标识:暂做保留字节;
操作用户名长度:标记请求用户名长度,为字节数;
用户密匙长度:标记用户名密匙长度,为字节数;
用户名:请求操作的用户名称;
用户密匙:请求操作用户名对应的密匙;
报文头格式定义如下:
版本号:标识当前VSOL_AUTH方法的定义版本号,暂定为0x01;
报文类型:标识VSOL_AUTH报文的种类,VSOL_AUTH报文定义下列2种类型;
0x01,嵌入式设备请求授权管理认证报文;
0x02,服务器响应嵌入式设备请求报文;
报文标识:按位标识VSOL_AUTH报文特性,定义如下:
0x01,标识VSOL_AUTH报文主体是加密的;
0x02,标识VSOL_AUTH请求报文主体是加密的;
0x04,标识VSOL_AUTH响应报文主体是加密的;
0x08,标识VSOL_AUTH请求报文密匙是加密的;
0x10,标识VSOL_AUTH报文主体是明文;
其余位暂时保留;
报文序列号:标识嵌入式设备和服务器之间交互报文的顺序编号;
报文长度:标识VSOL_AUTH除报文头部以外报文主体部分的字节长度。
3.根据权利要求1所述的嵌入式设备授权管理方法,其特征在于,报文体加密方法定义:
采用一种简便的32个随机字符构成的随机字符串作为加密因子,服务器和嵌入式设备采用相同的约定加密因子,对需要加密的报本主体进行异或运算,然后封装在发送报文中,接受方再用相同加密因子对报本主体进行异或运算,就可以获得原始报文;
Packet_body密文=Packet_body xor randomString32
Packet_body=Packet_body密文xor randomString32
加密运用原理是用相同的加密因子经过两次异或运算可以获得原始文本;加密及解密处理时按32字节加密因子的倍数处理,不足部分可以任意填充,处理完毕后按有效报文长度读取有效数据。
4.根据权利要求1所述的嵌入式设备授权管理方法,其特征在于,采用TCP私有端口559,服务器应侦听该端口以接受请求报文,嵌入式设备以559端口作为TCP目的端口发送请求报文。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911378430.6A CN111222121B (zh) | 2019-12-27 | 2019-12-27 | 一种嵌入式设备授权管理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911378430.6A CN111222121B (zh) | 2019-12-27 | 2019-12-27 | 一种嵌入式设备授权管理方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111222121A CN111222121A (zh) | 2020-06-02 |
CN111222121B true CN111222121B (zh) | 2022-03-11 |
Family
ID=70829153
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911378430.6A Active CN111222121B (zh) | 2019-12-27 | 2019-12-27 | 一种嵌入式设备授权管理方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111222121B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101150406A (zh) * | 2006-09-18 | 2008-03-26 | 华为技术有限公司 | 基于802.1x协议的网络设备认证方法及系统及中继转发装置 |
CN101917398A (zh) * | 2010-06-28 | 2010-12-15 | 北京星网锐捷网络技术有限公司 | 一种客户端访问权限控制方法及设备 |
CN105024819A (zh) * | 2015-05-29 | 2015-11-04 | 北京中亦安图科技股份有限公司 | 一种基于移动终端的多因子认证方法及系统 |
CN105306211A (zh) * | 2014-08-01 | 2016-02-03 | 成都天钥科技有限公司 | 一种客户端软件的身份认证方法 |
CN106453352A (zh) * | 2016-10-25 | 2017-02-22 | 电子科技大学 | 一种单系统多平台身份验证方法 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106899642A (zh) * | 2015-12-21 | 2017-06-27 | 阿里巴巴集团控股有限公司 | 一种物联网链接管理方法和设备 |
CN106790194B (zh) * | 2016-12-30 | 2020-06-19 | 中国银联股份有限公司 | 一种基于ssl协议的访问控制方法及装置 |
CN108462710B (zh) * | 2018-03-20 | 2021-09-21 | 新华三技术有限公司 | 认证授权方法、装置、认证服务器及机器可读存储介质 |
-
2019
- 2019-12-27 CN CN201911378430.6A patent/CN111222121B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101150406A (zh) * | 2006-09-18 | 2008-03-26 | 华为技术有限公司 | 基于802.1x协议的网络设备认证方法及系统及中继转发装置 |
CN101917398A (zh) * | 2010-06-28 | 2010-12-15 | 北京星网锐捷网络技术有限公司 | 一种客户端访问权限控制方法及设备 |
CN105306211A (zh) * | 2014-08-01 | 2016-02-03 | 成都天钥科技有限公司 | 一种客户端软件的身份认证方法 |
CN105024819A (zh) * | 2015-05-29 | 2015-11-04 | 北京中亦安图科技股份有限公司 | 一种基于移动终端的多因子认证方法及系统 |
CN106453352A (zh) * | 2016-10-25 | 2017-02-22 | 电子科技大学 | 一种单系统多平台身份验证方法 |
Also Published As
Publication number | Publication date |
---|---|
CN111222121A (zh) | 2020-06-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11102226B2 (en) | Dynamic security method and system based on multi-fusion linkage response | |
CN104168267B (zh) | 一种接入sip安防视频监控系统的身份认证方法 | |
CN111435913B (zh) | 一种物联网终端的身份认证方法、装置和存储介质 | |
CN108390851A (zh) | 一种用于工业设备的安全远程控制系统及方法 | |
CN202003425U (zh) | 一种智能锁监控中央管理系统 | |
CN108429730A (zh) | 无反馈安全认证与访问控制方法 | |
CN109474613B (zh) | 一种基于身份认证的高速公路信息发布专网安全加固系统 | |
CN113242238B (zh) | 安全通信方法、装置及系统 | |
CN113872940B (zh) | 基于NC-Link的访问控制方法、装置及设备 | |
CN102271134A (zh) | 网络配置信息的配置方法、系统、客户端及认证服务器 | |
CN104901940A (zh) | 一种基于cpk标识认证的802.1x网络接入方法 | |
CN103916363A (zh) | 加密机的通讯安全管理方法和系统 | |
CN111988328A (zh) | 一种新能源厂站发电单元采集终端数据安全保障方法及系统 | |
CN111756528A (zh) | 一种量子会话密钥分发方法、装置及通信架构 | |
CN104580063A (zh) | 一种网管安全认证方法和装置、网管安全认证系统 | |
CN106789845A (zh) | 一种网络数据安全传输的方法 | |
CN103152326A (zh) | 一种分布式认证方法及认证系统 | |
CN113765927A (zh) | 一种云端上传内容网络版权加密方法及系统 | |
CN111222121B (zh) | 一种嵌入式设备授权管理方法 | |
CN104852902A (zh) | 基于改进Diameter/EAP-TLS协议的民航SWIM用户认证方法 | |
CN113965425A (zh) | 物联网设备的接入方法、装置、设备及计算机可读存储介质 | |
KR20010079161A (ko) | 무선통신환경에서 인증서를 사용한 장치 인증 및 통신암호 키 분배 방법 | |
CN103139201A (zh) | 一种网络策略获取方法及数据中心交换机 | |
CN114928486B (zh) | 一种基于数字证书的工控协议安全摆渡方法、装置、系统和存储介质 | |
CN116170143A (zh) | 一种基于国密算法的智慧社区数据安全传输、存储及融合使用系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |