接入设备间安全同步方法、装置和计算机可读存储介质
阅读说明:本技术 接入设备间安全同步方法、装置和计算机可读存储介质 (Method, apparatus and computer readable storage medium for secure synchronization between access devices ) 是由 辛军 彭华熹 张艳 于 2020-04-09 设计创作,主要内容包括:本发明实施例提供了一种接入设备间安全同步方法、装置和计算机可读存储介质,所述方法包括:接入设备基于与其他接入设备协商的消息以及自身生成的消息,生成网格标识MeshID和密钥;确定自身为主接入设备时,发送所述网格标识MeshID和密钥到其他接入设备进行验证;或者,接收主接入设备发送的所述网格标识MeshID和密钥进行验证;接收其他接入设备发送的验证成功消息;或者,向主接入设备发送验证成功消息;其中,所述验证成功消息,用于表征同步成功。(The embodiment of the invention provides a method, a device and a computer readable storage medium for safety synchronization among access devices, wherein the method comprises the following steps: the access equipment generates a mesh identifier (MeshID) and a key based on the information negotiated with other access equipment and the information generated by the access equipment; when the self is determined to be the main access equipment, the mesh identification MeshID and the key are sent to other access equipment for verification; or, receiving the mesh identifier MeshID and the key sent by the main access device for verification; receiving verification success messages sent by other access devices; or, sending a verification success message to the main access device; wherein, the verification success message is used for representing the synchronization success.)
技术领域
本发明涉及移动通信技术领域,尤其涉及一种接入设备间安全同步方法、装置和计算机可读存储介质。
背景技术
无线网格网络(WireLess Mesh Networks,WMN)是一种新型动态自组织自配置的无线网络。在WMN中,任何无线设备节点都可以同时作为AP和路由器,网络中的每个节点都可以发送和接收信号,每个节点都可以与一个或者多个对等节点进行直接通信,是一种多点到多点网络拓扑结构。
针对这种需要多个接入设备(比如路由器)组建的自组网新型网络,接入设备的配置参数有特殊要求(比如网络中所有路由器MeshID和key相同是能够组成mesh网络的重要前提),并且需要多个接入设备的某些配置参数保持一致,当一个接入设备的配置参数发生改变时,往往需要将该接入设备更改的配置参数信息同步到网络中的其他接入设备,实现各接入设备数据的同步和共享。
目前,当一个接入设备策略配置参数发生改变时,需要通过人工的方式逐个对其他的接入设备重新配置,这种方式需要投入大量的人力资源,且操作容易出错,导致接入设备间策略配置同步效率低,耗时又费力,用户体验差。
发明内容
有鉴于此,本发明实施例期望提供一种接入设备间安全同步方法、装置和计算机可读存储介质。
为达到上述目的,本发明实施例的技术方案是这样实现的:
本发明实施例提供了一种接入设备间安全同步方法,该方法应用于任一接入设备,包括:
基于与其他接入设备协商的消息以及自身生成的消息,生成网格标识MeshID和密钥;
确定自身为主接入设备时,发送所述网格标识MeshID和密钥到其他接入设备进行验证;或者,接收主接入设备发送的所述网格标识MeshID和密钥进行验证;
接收其他接入设备发送的验证成功消息;或者,向主接入设备发送验证成功消息;其中,所述验证成功消息,用于表征同步成功。
可选的,所述基于与其他接入设备协商的消息以及自身生成的消息,生成网格标识MeshID和密钥之前,该方法还包括:
与其他接入设备两两进行协商,得到与其他接入设备协商的消息。
其中,所述与其他接入设备两两进行协商,得到与其他接入设备协商的消息,包括:
与其他接入设备建立网络连接;
将自身生成的消息经初始密钥加密后发送到其他接入设备;
接收其他接入设备发送的收到所述消息的响应,并接收其他接入设备生成的消息;所述其他接入设备生成的消息在发送前经初始密钥加密;其中,
所述自身生成的消息以及其他接入设备生成的消息的内容包括但不限于以下一种或多种信息:
设备识别号、开机时间、MAC地址、IP地址、外网连接情况。
其中,所述基于与其他接入设备协商的消息以及自身生成的消息,生成网格标识MeshID和密钥,包括:
基于与其他接入设备协商的消息以及自身生成的消息,利用预设的组网配置更新算法生成所述网格标识MeshID;
基于所述网格标识MeshID和初始密钥,利用预设的密钥生成算法生成所述密钥。
其中,所述确定自身为主接入设备,包括:
判断自身以及其他接入设备的网络参数是否满足预设条件;
确定自身的网络参数满足预设条件,则判定自身为主接入设备。
其中,所述预设条件包括但不限于以下情况:
将连接外网的接入设备确定为主接入设备;
将MAC地址最大的接入设备确定为主接入设备;
将IP地址最小的接入设备确定为主接入设备。
其中,所述确定自身为主接入设备时,发送所述网格标识MeshID和密钥到其他接入设备进行验证,接收其他接入设备发送的验证成功消息,包括:
利用所述密钥对所述网格标识MeshID进行加密封装;
将加密数据发送给其他接入设备进行验证;
接收其他接入设备在验证通过后发送的验证成功消息;或者接收其他接入设备在验证失败后发送的验证失败消息。
其中,所述接收主接入设备发送的所述网格标识MeshID和密钥进行验证,向主接入设备发送验证成功消息,包括:
接收主接入设备发送的经所述密钥加密的网格标识MeshID;
基于与主接入设备相同的算法生成网格标识MeshID和密钥;
利用自身生成的所述密钥对接收的所述加密的网格标识MeshID进行解密,确定解密成功且解密所得的网格标识MeshID与自身生成的网格标识MeshID相同,则将初始网格标识和初始密钥更新为所述网格标识MeshID和所述密钥,并向主接入设备发送验证成功消息;
确定解密失败时,则直接将验证失败消息发送到主接入设备。
本发明实施例还提供了一种接入设备间安全同步装置,该装置应用于任一接入设备,包括:
生成模块,用于基于与其他接入设备协商的消息以及自身生成的消息,生成网格标识MeshID和密钥;
收发模块,用于确定自身为主接入设备时,发送所述网格标识MeshID和密钥到其他接入设备进行验证;或者,接收主接入设备发送的所述网格标识MeshID和密钥进行验证;
接收其他接入设备发送的验证成功消息;或者,向主接入设备发送验证成功消息;其中,所述验证成功消息,用于表征同步成功。
本发明实施例还提供了一种接入设备间安全同步装置,该装置包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器,
其中,所述处理器用于运行所述计算机程序时,执行上述方法的步骤。
本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述方法的步骤。
本发明实施例提供的接入设备间安全同步方法、装置和计算机可读存储介质,接入设备基于与其他接入设备协商的消息以及自身生成的消息,生成网格标识MeshID和密钥;确定自身为主接入设备时,发送所述网格标识MeshID和密钥到其他接入设备进行验证;或者,接收主接入设备发送的所述网格标识MeshID和密钥进行验证;接收其他接入设备发送的验证成功消息;或者,向主接入设备发送验证成功消息;其中,所述验证成功消息,用于表征同步成功。本发明实施例的接入设备间安全同步方法无需人工手动配置,省时省力,提高了接入设备间策略同步的效率和准确度。而且,本发明实施例基于各接入设备之间协商的消息生成策略配置参数(网格标识MeshID和密钥),可避免一台设备被攻击导致整个配置参数失效的问题,因此策略配置的生成过程更加安全。
此外,本发明实施例还选择确定出主接入设备,并由其同步接入设备的策略配置参数给其他接入设备进行验证,减少了接入设备之间交互通信的次数,提高了策略配置同步的效率。
附图说明
图1为本发明实施例所述接入设备间安全同步方法流程示意图;
图2为本发明实施例所述接入设备间安全同步装置结构示意图一;
图3为本发明实施例所述接入设备间安全同步装置结构示意图二;
图4为本发明实施例所述N个接入设备间策略安全同步示意图;
图5为本发明实施例所述接入设备间安全同步方法流程示意图二。
具体实施方式
下面结合附图和实施例对本发明进行描述。
本发明实施例提供了一种接入设备间安全同步方法,如图1所示,该方法应用于任一接入设备,包括:
步骤101:基于与其他接入设备协商的消息以及自身生成的消息,生成网格标识MeshID和密钥;
步骤102:确定自身为主接入设备时,发送所述网格标识MeshID和密钥到其他接入设备进行验证;或者,接收主接入设备发送的所述网格标识MeshID和密钥进行验证;
步骤103:接收其他接入设备发送的验证成功消息;或者,向主接入设备发送验证成功消息;其中,所述验证成功消息,用于表征同步成功。
本发明实施例中,接入设备间安全同步方法无需人工手动配置,省时省力,提高了接入设备间策略同步的效率和准确度。而且,本发明实施例基于各接入设备之间协商的消息生成策略配置参数(网格标识MeshID和密钥),可避免一台设备被攻击导致整个配置参数失效的问题,因此策略配置的生成过程更加安全。
本发明实施例还选择确定出主接入设备,并由其同步接入设备的策略配置参数给其他接入设备进行验证,减少了接入设备之间交互通信的次数,提高了策略配置同步的效率。
此外,本发明实施例中,各接入设备出厂前预置相同的初始网格标识和初始密钥。这里的预置不需要人工配置,而是通过在各接入设备中刷入固件实现,可避免人为设置导致的出错率高、效率低的问题。
一个实施例中,所述基于与其他接入设备协商的消息以及自身生成的消息,生成网格标识MeshID和密钥之前,该方法还包括:
与其他接入设备两两进行协商,得到与其他接入设备协商的消息。
本发明实施例中,所述与其他接入设备两两进行协商,得到与其他接入设备协商的消息,包括:
与其他接入设备建立网络连接;
将自身生成的消息经初始密钥加密后发送到其他接入设备;
接收其他接入设备发送的收到所述消息的响应,并接收其他接入设备生成的消息;所述其他接入设备生成的消息在发送前经初始密钥加密;其中,
所述自身生成的消息以及其他接入设备生成的消息的内容包括但不限于以下一种或多种信息:
设备识别号、开机时间、MAC地址、IP地址、外网连接情况。
本发明实施例中,所述接入设备之间进行协商的消息(自身生成的消息、其他接入设备生成的消息)在传输时,均通过初始密钥进行加密,保证消息不会被恶意攻击,保证了消息传输的安全性。
本发明实施例中,所述基于与其他接入设备协商的消息以及自身生成的消息,生成网格标识MeshID和密钥,包括:
基于与其他接入设备协商的消息以及自身生成的消息,利用预设的组网配置更新算法生成所述网格标识MeshID;
基于所述网格标识MeshID和初始密钥,利用预设的密钥生成算法生成所述密钥。
本发明实施例中,所述确定自身为主接入设备,包括:
判断自身以及其他接入设备的网络参数是否满足预设条件;
确定自身的网络参数满足预设条件,则判定自身为主接入设备。
本发明实施例中,所述预设条件包括但不限于以下情况:
将连接外网的接入设备确定为主接入设备;
将MAC地址最大的接入设备确定为主接入设备;
将IP地址最小的接入设备确定为主接入设备。
本发明实施例中,所述确定自身为主接入设备时,发送所述网格标识MeshID和密钥到其他接入设备进行验证,接收其他接入设备发送的验证成功消息,包括:
利用所述密钥对所述网格标识MeshID进行加密封装;
将加密数据发送给其他接入设备进行验证;
接收其他接入设备在验证通过后发送的验证成功消息;或者接收其他接入设备在验证失败后发送的验证失败消息。
本发明实施例中,所述接收主接入设备发送的所述网格标识MeshID和密钥进行验证,向主接入设备发送验证成功消息,包括:
接收主接入设备发送的经所述密钥加密的网格标识MeshID;
基于与主接入设备相同的算法生成网格标识MeshID和密钥;
利用自身生成的所述密钥对接收的所述加密的网格标识MeshID进行解密,确定解密成功且解密所得的网格标识MeshID与自身生成的网格标识MeshID相同,则将初始网格标识和初始密钥更新为所述网格标识MeshID和所述密钥,并向主接入设备发送验证成功消息;
确定解密失败时,则直接将验证失败消息发送到主接入设备。
为了实现上述方法实施例,本发明实施例还提供了一种接入设备间安全同步装置,如图2所示,该装置应用于任一接入设备,包括:
生成模块201,用于基于与其他接入设备协商的消息以及自身生成的消息,生成网格标识MeshID和密钥;
收发模块202,用于确定自身为主接入设备时,发送所述网格标识MeshID和密钥到其他接入设备进行验证;或者,接收主接入设备发送的所述网格标识MeshID和密钥进行验证;
接收其他接入设备发送的验证成功消息;或者,向主接入设备发送验证成功消息;其中,所述验证成功消息,用于表征同步成功。
一个实施例中,如图3所示,该装置还包括:协商模块203;
所述生成模块201基于与其他接入设备协商的消息以及自身生成的消息,生成网格标识MeshID和密钥之前,
所述协商模块203,用于与其他接入设备两两进行协商,得到与其他接入设备协商的消息。
本发明实施例中,所述协商模块203与其他接入设备两两进行协商,得到与其他接入设备协商的消息,包括:
与其他接入设备建立网络连接;
将自身生成的消息经初始密钥加密后发送到其他接入设备;
接收其他接入设备发送的收到所述消息的响应,并接收其他接入设备生成的消息;所述其他接入设备生成的消息在发送前经初始密钥加密;其中,
所述自身生成的消息以及其他接入设备生成的消息的内容包括但不限于以下一种或多种信息:
设备识别号、开机时间、MAC地址、IP地址、外网连接情况。
本发明实施例中,所述接入设备之间进行协商的消息(自身生成的消息、其他接入设备生成的消息)在传输时,均通过初始密钥进行加密,保证消息不会被恶意攻击,保证了消息传输的安全性。
本发明实施例中,所述生成模块201基于与其他接入设备协商的消息以及自身生成的消息,生成网格标识MeshID和密钥,包括:
基于与其他接入设备协商的消息以及自身生成的消息,利用预设的组网配置更新算法生成所述网格标识MeshID;
基于所述网格标识MeshID和初始密钥,利用预设的密钥生成算法生成所述密钥。
本发明实施例中,所述收发模块202确定自身为主接入设备,包括:
判断自身以及其他接入设备的网络参数是否满足预设条件;
确定自身的网络参数满足预设条件,则判定自身为主接入设备。
本发明实施例中,所述预设条件包括但不限于以下情况:
将连接外网的接入设备确定为主接入设备;
将MAC地址最大的接入设备确定为主接入设备;
将IP地址最小的接入设备确定为主接入设备。
本发明实施例中,所述收发模块202确定自身为主接入设备时,发送所述网格标识MeshID和密钥到其他接入设备进行验证,接收其他接入设备发送的验证成功消息,包括:
利用所述密钥对所述网格标识MeshID进行加密封装;
将加密数据发送给其他接入设备进行验证;
接收其他接入设备在验证通过后发送的验证成功消息;或者接收其他接入设备在验证失败后发送的验证失败消息。
本发明实施例中,所述收发模块202接收主接入设备发送的所述网格标识MeshID和密钥进行验证,向主接入设备发送验证成功消息,包括:
接收主接入设备发送的经所述密钥加密的网格标识MeshID;
基于与主接入设备相同的算法生成网格标识MeshID和密钥;
利用自身生成的所述密钥对接收的所述加密的网格标识MeshID进行解密,确定解密成功且解密所得的网格标识MeshID与自身生成的网格标识MeshID相同,则将初始网格标识和初始密钥更新为所述网格标识MeshID和所述密钥,并向主接入设备发送验证成功消息;
确定解密失败时,则直接将验证失败消息发送到主接入设备。
本发明实施例还提供了一种接入设备间安全同步装置,该装置包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器,
其中,所述处理器用于运行所述计算机程序时,执行:
基于与其他接入设备协商的消息以及自身生成的消息,生成网格标识MeshID和密钥;
确定自身为主接入设备时,发送所述网格标识MeshID和密钥到其他接入设备进行验证;或者,接收主接入设备发送的所述网格标识MeshID和密钥进行验证;
接收其他接入设备发送的验证成功消息;或者,向主接入设备发送验证成功消息;其中,所述验证成功消息,用于表征同步成功。
所述基于与其他接入设备协商的消息以及自身生成的消息,生成网格标识MeshID和密钥之前,所述处理器还用于运行所述计算机程序时,执行:
与其他接入设备两两进行协商,得到与其他接入设备协商的消息。
所述与其他接入设备两两进行协商,得到与其他接入设备协商的消息时,所述处理器还用于运行所述计算机程序时,执行:
与其他接入设备建立网络连接;
将自身生成的消息经初始密钥加密后发送到其他接入设备;
接收其他接入设备发送的收到所述消息的响应,并接收其他接入设备生成的消息;所述其他接入设备生成的消息在发送前经初始密钥加密;其中,
所述自身生成的消息以及其他接入设备生成的消息的内容包括但不限于以下一种或多种信息:
设备识别号、开机时间、MAC地址、IP地址、外网连接情况。
所述基于与其他接入设备协商的消息以及自身生成的消息,生成网格标识MeshID和密钥时,所述处理器还用于运行所述计算机程序时,执行:
基于与其他接入设备协商的消息以及自身生成的消息,利用预设的组网配置更新算法生成所述网格标识MeshID;
基于所述网格标识MeshID和初始密钥,利用预设的密钥生成算法生成所述密钥。
所述确定自身为主接入设备时,所述处理器还用于运行所述计算机程序时,执行:
判断自身以及其他接入设备的网络参数是否满足预设条件;
确定自身的网络参数满足预设条件,则判定自身为主接入设备。
其中,所述预设条件包括但不限于以下情况:
将连接外网的接入设备确定为主接入设备;
将MAC地址最大的接入设备确定为主接入设备;
将IP地址最小的接入设备确定为主接入设备。
所述确定自身为主接入设备时,发送所述网格标识MeshID和密钥到其他接入设备进行验证,接收其他接入设备发送的验证成功消息时,所述处理器还用于运行所述计算机程序时,执行:
利用所述密钥对所述网格标识MeshID进行加密封装;
将加密数据发送给其他接入设备进行验证;
接收其他接入设备在验证通过后发送的验证成功消息;或者接收其他接入设备在验证失败后发送的验证失败消息。
所述接收主接入设备发送的所述网格标识MeshID和密钥进行验证,向主接入设备发送验证成功消息时,所述处理器还用于运行所述计算机程序时,执行:
接收主接入设备发送的经所述密钥加密的网格标识MeshID;
基于与主接入设备相同的算法生成网格标识MeshID和密钥;
利用自身生成的所述密钥对接收的所述加密的网格标识MeshID进行解密,确定解密成功且解密所得的网格标识MeshID与自身生成的网格标识MeshID相同,则将初始网格标识和初始密钥更新为所述网格标识MeshID和所述密钥,并向主接入设备发送验证成功消息;
确定解密失败时,则直接将验证失败消息发送到主接入设备。
需要说明的是:上述实施例提供的装置在进行接入设备间安全同步时,仅以上述各程序模块的划分进行举例说明,实际应用中,可以根据需要而将上述处理分配由不同的程序模块完成,即将设备的内部结构划分成不同的程序模块,以完成以上描述的全部或者部分处理。另外,上述实施例提供的装置与相应方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
在示例性实施例中,本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器;也可以是包括上述存储器之一或任意组合的各种设备,如移动电话、计算机、平板设备、个人数字助理等。
本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时,执行:
基于与其他接入设备协商的消息以及自身生成的消息,生成网格标识MeshID和密钥;
确定自身为主接入设备时,发送所述网格标识MeshID和密钥到其他接入设备进行验证;或者,接收主接入设备发送的所述网格标识MeshID和密钥进行验证;
接收其他接入设备发送的验证成功消息;或者,向主接入设备发送验证成功消息;其中,所述验证成功消息,用于表征同步成功。
所述基于与其他接入设备协商的消息以及自身生成的消息,生成网格标识MeshID和密钥之前,所述计算机程序被处理器运行时,还执行:
与其他接入设备两两进行协商,得到与其他接入设备协商的消息。
所述与其他接入设备两两进行协商,得到与其他接入设备协商的消息时,所述计算机程序被处理器运行时,还执行:
与其他接入设备建立网络连接;
将自身生成的消息经初始密钥加密后发送到其他接入设备;
接收其他接入设备发送的收到所述消息的响应,并接收其他接入设备生成的消息;所述其他接入设备生成的消息在发送前经初始密钥加密;其中,
所述自身生成的消息以及其他接入设备生成的消息的内容包括但不限于以下一种或多种信息:
设备识别号、开机时间、MAC地址、IP地址、外网连接情况。
所述基于与其他接入设备协商的消息以及自身生成的消息,生成网格标识MeshID和密钥时,所述计算机程序被处理器运行时,还执行:
基于与其他接入设备协商的消息以及自身生成的消息,利用预设的组网配置更新算法生成所述网格标识MeshID;
基于所述网格标识MeshID和初始密钥,利用预设的密钥生成算法生成所述密钥。
所述确定自身为主接入设备时,所述计算机程序被处理器运行时,还执行:
判断自身以及其他接入设备的网络参数是否满足预设条件;
确定自身的网络参数满足预设条件,则判定自身为主接入设备。
其中,所述预设条件包括但不限于以下情况:
将连接外网的接入设备确定为主接入设备;
将MAC地址最大的接入设备确定为主接入设备;
将IP地址最小的接入设备确定为主接入设备。
所述确定自身为主接入设备时,发送所述网格标识MeshID和密钥到其他接入设备进行验证,接收其他接入设备发送的验证成功消息时,所述计算机程序被处理器运行时,还执行:
利用所述密钥对所述网格标识MeshID进行加密封装;
将加密数据发送给其他接入设备进行验证;
接收其他接入设备在验证通过后发送的验证成功消息;或者接收其他接入设备在验证失败后发送的验证失败消息。
所述接收主接入设备发送的所述网格标识MeshID和密钥进行验证,向主接入设备发送验证成功消息时,所述计算机程序被处理器运行时,还执行:
接收主接入设备发送的经所述密钥加密的网格标识MeshID;
基于与主接入设备相同的算法生成网格标识MeshID和密钥;
利用自身生成的所述密钥对接收的所述加密的网格标识MeshID进行解密,确定解密成功且解密所得的网格标识MeshID与自身生成的网格标识MeshID相同,则将初始网格标识和初始密钥更新为所述网格标识MeshID和所述密钥,并向主接入设备发送验证成功消息;
确定解密失败时,则直接将验证失败消息发送到主接入设备。
下面结合场景实施例对本发明进行描述。
本实施例提供一种接入设备间安全同步的方法,需要在接入设备中预置SDK,其中包含实现策略同步所需的组网配置更新算法。本实施例可实现接入设备开机后自动安全组网,无需用户额外的配置,安全方便。
本实施例针对的是包含多个接入设备组成的无线mesh网络,为了更清楚的表达,下面以三个路由器(接入设备A、B、C)为例来进行方案具体流程的说明。
本实施例中,接入设备在出厂前已经刷入了固件,保证接入设备出厂前预置的MeshID(初始网格标识)和Key(初始密钥)相同,达到组网的条件。为了无线mesh组网的安全性,本实施例还在开机后对出厂前接入设备固件中预置的MeshID和Key进行更新同步,以防止其他接入设备(未预置所述初始网格标识和初始密钥)根据非法获取的所述初始网格标识和初始密钥进行组网,保证组网的安全性。具体步骤如下:
步骤501:接入设备A与接入设备B间建立网络连接(比如TCP连接),网络连接建立成功后,接入设备A发送消息MessageA给接入设备B。
步骤502:接入设备B收到消息MessageA后,响应请求确认收到消息MessageA,并发送消息MessageB给接入设备A。
其中,消息Message的内容包括但不限于:与接入设备对应的设备识别号DeviceID、开机时间Time、MAC地址等。
步骤503:接入设备A收到消息MessageB后,响应请求确认收到消息MessageB。
步骤504:接入设备两两之间都要建立网络连接,进行消息Message的协商和共享,即接入设备A和接入设备C以及接入设备B与接入设备C之间也要重复步骤501~503进行消息Message的协商和共享,另外接入设备之间协商消息Message需用出厂预置key(初始密钥)进行加密传输,保证了策略配置参数传输的安全性。这里,如有N个接入设备,协商场景示意图如图4所示,两两接入设备之间均重复上述步骤。
步骤505:通过接入设备之间协商和共享消息后,每台接入设备都可以基于其他设备共享的消息Message以及自身生成的消息Message,通过共同的算法(预设的组网配置更新算法,比如哈希函数SHA1)计算出新的MeshID_New(即:上文接入设备生成的网格标识MeshID),同时也可以通过多种密钥生成算法,如KDF生成新的密码Key_New(上文接入设备生成的密钥),比如三个接入设备架构的情况下,则
MeshID_New=SHA1(MessageA,MessageB,MessageC);
Key_New=KDF(Key,MeshID_New)。
其中,KDF是密钥生成算法,密钥生成参数由预置Key(初始密钥)和MeshID_New组成。
那么在N(N>=2)个路由器的情况下,新的MeshID和Key的计算方法如下:
MeshID_New=SHA1(Message1,Message2,Message3,…,MessageN);
Key_New=KDF(Key,MeshID_New)。
其中,KDF是密钥生成算法,密钥生成参数由预置Key和MeshID_New组成。
需要说明的是,其他设备可以在此时计算MeshID_New和Key_New,也可以在步骤508中收到主接入设备发送的加密的数据后再计算。
步骤506:确定主接入设备;
这里,各接入设备判断自身以及其他接入设备的网络参数是否满足预设条件,确定自身的网络参数满足预设条件,则判定自身为主接入设备;可通过多种方式选择出主接入设备,可选的方式包括但不限于如下几种:
将连接外网Internet的接入设备确定为主接入设备;
通过比较所有接入设备的MAC地址的大小,MAC地址最大的接入设备为主接入设备;
通过比较所有接入设备的IP地址的大小,IP地址最小的接入设备为主接入设备。
步骤507:主接入设备通过Key_New加密MeshID_New封装成数据,并将加密数据同步给其他所有的接入设备;
步骤508:其他接入设备收到加密后数据后,用同样的算法计算出MeshID_New和Key_New,并用Key_New解密主接入设备的发送的数据,若能够解密成功,并且比较解密出的MeshID_New和自己计算出的MeshID_New是否相同,如果二者是相同的,则将预置MeshID和密码同步更新为MeshID_New和Key_New,并且发送消息响应主接入设备已经同步成功;若解密失败,则不同步更新MeshID_New和Key_New,并且发送消息响应主接入设备同步失败。
步骤509:接入设备间协商消息结束后,网络连接断开。
本发明实施例的基于消息协商的接入设备间安全同步的方法,整个流程无需人工手动配置,省时省力,提高了接入设备间策略同步的效率和准确度。
另外,本实施例中接入设备策略配置参数的生成是基于各接入设备之间消息的协商产生的,可避免一台设备被攻击导致整个配置参数失效的问题,因此策略配置的生成过程更加安全。而且,接入设备间消息交互以及策略配置参数的同步过程是加密的,保证了配置参数传输的安全性。
此外,本发明实施例通过多种方式选择出主接入设备,并由其同步接入设备的策略配置参数给其他接入设备,减少了接入设备之间交互通信的次数,提高了策略配置同步的效率。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
- 上一篇:一种医用注射器针头装配设备
- 下一篇:防阻塞的卫星通信上行链路认证方法、装置及系统