增强差分服务播发安全性的方法与流程

本发明涉及卫星差分数据播发技术领域，特别涉及一种增强差分服务播发安全性的方法。

背景技术：

基于NTRIP协议(通过互联网进行RTCM网络传输的协议，Networked Transport of RTCM via Intemet Protocol)的卫星差分数据播发方案中，终端设备认证基于NTRIP协议定义的差分账号(包括差分用户名和差分密码)。用户购买差分服务后，需要把大量的差分账号一个一个的手工输入到所有终端，操作较为繁琐。

如果预装服务提供商的SDK(软件开发包，Software Development Kit)，可以预先写入差分账号信息，减少了上述操作繁琐的问题，但是对于终端设备的数量很大的情况，需要为每个终端设备写入不同的差分账号，也就需要不同的SDK版本，这样同样非常不方便。

现有的解决大量终端自动分配差分账号的方案：为同一个用户同一个批次的所有终端设备预先写入相同的应用账号(包括应用标识AppKey和应用秘钥AppSecrete)，终端设备接入时根据应用账号进行认证鉴权操作，并为不同的终端设备(由终端设备的物理序列号进行标识)分配不同的设备服务号(用于唯一标识一个终端设备的一个服务(应用)的账号，包括用户名和密码)。

但是现有方案存在以下缺点和安全隐患：

1、应用密钥AppSecrete存储在终端，泄露的风险很高，例如有的客户直接把应用密钥贴到设备标签上，很容易被恶意用户盗用。

2、应用密钥AppSecrete对应到一组(有可能成千上万)的终端设备，一旦泄露，所有的终端设备都面临风险。相比于一个账号对应一个终端设备的方案，泄露后的危害更大。

技术实现要素：

基于上述问题，本发明提出一种增强差分服务播发安全性的方法，能够安全地为大量终端设备写入不同差分账号，解决了差分服务播发过程中泄露风险高的技术问题。

本发明采用的技术方案是：

一种增强差分服务播发安全性的方法，包括以下步骤：

步骤11，用户购买差分账号；

步骤12，差分服务系统生成差分账号池、初始账号和服务账号；

步骤13，判断用户是否想手工在终端设备上输入差分账号；如是，执行步骤14；如否，执行步骤15；

步骤14，告知差分账号池，执行步骤141；

步骤15，告知初始账号，执行步骤151；

步骤141，用户手工为每个终端设备输入差分账号，执行步骤16；

步骤151，用户为所有终端设备输入相同的初始账号，执行步骤16；

步骤16，等待终端设备接入。

进一步地，所述步骤13替换为步骤13a：

步骤13a，判断用户是否想通过OpenAPI方式对所有终端设备进行管理配置；如是，执行步骤14a；如否，执行步骤15a；

步骤14a，告知服务账号；

步骤15a，提供管理控制台方式给用户。

进一步地，所述方法还包括以下步骤：

步骤17，终端设备第一次接入播发系统；

步骤18，根据终端设备上传的初始账号进行鉴权，判断是否鉴权通过；如否，执行步骤19；如是，执行步骤20；

步骤19，鉴权不通过，断开连接；

步骤20，鉴权通过，执行步骤21；

步骤21，为终端设备分配差分账号，并返回给终端设备；

步骤22，终端设备根据分配到的差分账号进行连接，认证和鉴权，判断是否鉴权通过；如否，执行步骤23；如是，执行步骤24；

步骤23，鉴权不通过，断开连接；

步骤24，鉴权通过，根据差分账号相应的服务规格进行播发，执行步骤25；

步骤25，播发差分数据。

进一步地，所述步骤18中，如果用户上传了终端设备序列号，根据终端设备上传的初始账号和终端设备序列号进行鉴权。

进一步地，所述步骤21中，如果用户绑定了差分账号和终端设备序列号，根据预先绑定的关系为终端设备分配差分账号，否则在差分账号池配额允许范围内为终端设备自动分配差分账号。

进一步地，如果为终端设备分配差分账号时超过了差分账号池配额，则不允许终端设备接入播发系统，并触发用户报警，通知用户配额已到，需要增加配额。

进一步地，如果差分服务播发过程中恶意用户获知了初始账号，在合法终端设备接入播发系统前抢占差分账号，则通过提供绑定终端设备序列号的方式解决。

进一步地，如果差分服务播发过程中恶意用户在用户没有设置终端设备序列号之前就已抢占差分账号，则通过提供强制注销绑定关系的方式解决。

进一步地，如果差分服务播发过程中恶意用户不仅获知了初始账号，还知道终端设备序列号，则通过提供用户设置允许接入激活的时间窗口的方式解决，用户设置一个只有自己知道的时间窗口，然后他的终端设备在所述时间窗口内接入激活。

进一步地，如果在所述时间窗口内发现两个及以上终端设备序列号相同的终端设备先后连接服务端，则要求终端设备上传标识所述终端设备的信息，服务端触发报警给用户，并提供用于标识所述终端设备的信息，由用户进行人工选择合法终端设备，所述终端设备的信息包括IP地址和操作系统版本。

本发明的有益效果在于，将应用账号根据功能和应用场景的不同拆分为初始账号和服务账号，提高了差分服务播发过程中的安全性。

附图说明

图1是本发明系统结构图。

图2是用户购买差分账号后的流程图。

图3是用户接入差分账号的流程图。

具体实施方式

下文中，结合附图和实施例对本发明作进一步阐述。

本发明系统架构图如图1所示，包括用户配置界面101、差分用户数据库103、认证和鉴权系统102、计费系统104、播发系统105和n台终端设备106，n至少为1；用户通过用户配置界面101可以创建应用账号和差分账号池，并配置服务规格和计费规格，差分用户数据库103对每一个差分帐号对应的服务规格和计费规格进行存储；认证和鉴权系统102读取差分用户数据库103信息；差分用户数据库103与计费系统104、播发系统105连接；播发系统105将差分数据播发到终端设备106。

较佳地，所述用户配置界面101有两种方式，一种是图形用户界面，另一种是OpenAPI方式，OpenAPI方式开放接口给第三方进行业务逻辑集成。

认证和鉴权系统102：用于对用户进行认证和鉴权的系统。

计费系统104：用于对差分数据服务进行计费的系统。

终端设备106：用于接收差分数据并进行定位计算的设备。

本发明中的一种增强差分服务播发安全性的方法包括用户购买差分账号后的流程和用户接入差分账号的流程。

用户购买差分服务后的流程图如图2所示：

实施例一，包括以下步骤：

步骤11，用户购买差分账号，有可能是为一个终端设备购买一个差分账号，也有可能是为大量终端设备购买大量的差分账号。

步骤12，差分服务系统自动为用户生成差分账号池、初始账号和服务账号；

差分账号池：根据用户购买的差分账号数量自动生成，可选根据用户指定的差分账号检查唯一性后分配；

初始账号：用于为批量终端设备鉴权后自动分配差分账号(一个初始账号包括初始用户名和初始密钥)；

服务账号：用于用户通过OpenAPI方式对所有终端进行管理配置(一个服务账号包括服务用户名和服务密钥)；

较佳地，可选支持用户设置设备白名单，即用户上传他的终端设备序列号(用于唯一标识一个终端设备的物理标识，如手机设备的IMEI号)列表，只允许在该列表中的终端设备接入，避免恶意用户抢占差分账号池绑定关系。

步骤13，判断用户是否想手工在终端设备上输入差分账号；如是，执行步骤14；如否，执行步骤15。

步骤14，告知差分账号池，执行步骤141。

步骤15，告知初始账号，执行步骤151。

步骤141，用户手工为每个终端设备输入差分账号，执行步骤16。

步骤151，用户为所有终端设备输入相同的初始账号用于之后的接入鉴权，执行步骤16。

步骤16，等待终端设备接入。

实施例二，包括以下步骤：

步骤11，用户购买差分账号，有可能是为一个终端设备购买一个差分账号，也有可能是为大量终端设备购买大量的差分账号。

步骤12，差分服务系统自动为用户生成差分账号池、初始账号和服务账号。

步骤13a，判断用户是否想通过OpenAPI方式对所有终端设备进行管理配置；如是，执行步骤14a；如否，执行步骤15a；

步骤14a，告知服务账号，用于OpenAPI访问鉴权。

步骤15a，用户没有OpenAPI开发能力，则提供管理控制台方式给用户。

用户接入差分账号的流程图如图3所示，包括以下步骤：

步骤17，用户终端设备第一次接入播发系统。

步骤18，根据终端设备上传的初始账号进行鉴权，判断是否鉴权通过；如否，执行步骤19；如是，执行步骤20；

较佳地，如果用户上传了终端设备序列号(即用户设置终端设备白名单)，可选同时根据终端设备上传的初始账号和终端设备序列号进行鉴权。

步骤19，鉴权不通过，断开连接。

步骤20，鉴权通过，执行步骤21。

步骤21，为终端设备分配差分账号，并返回给终端设备；

较佳地，如果用户绑定了差分账号和终端设备序列号，可以根据预先绑定的关系为终端设备分配差分账号，否则在差分账号池配额允许范围内为终端设备自动分配差分账号；

如果为终端设备分配差分账号时超过了差分账号池配额，则不允许终端设备接入播发系统，并触发用户报警，通知用户配额已到，需要增加配额；或者已经被恶意用户抢占，需要到管理控制台检查绑定关系，如果有非法终端设备接入，提供注销操作，强制将该非法终端设备下线。

步骤22，终端设备根据分配到的差分账号进行连接，认证和鉴权，判断是否鉴权通过；如否，执行步骤23；如是，执行步骤24。

步骤23，鉴权不通过，断开连接。

步骤24，鉴权通过，根据差分账号相对应的服务规格进行播发，执行步骤25。

步骤25，播发差分数据。

本发明将应用账号根据功能和应用场景的不同拆分为初始账号和服务账号：

初始账号：仅用于一次性自动分配差分账号的接入鉴权，鉴权通过并分配差分账号后就没用其它用途了。初始账号没有其它用途，降低了泄露后的风险。

服务账号：用于用户通过OpenAPI方式对所有终端设备进行管理控制的访问鉴权。服务账号不存储在终端设备，因此泄露的风险较小。

本发明在差分服务播发过程中针对不同的异常情况采取相对应的措施，具体应对措施如下：

如果恶意用户获知了初始账号，在合法终端设备接入播发系统前抢占差分账号：

通过提供绑定终端设备序列号(终端设备白名单)的方式解决；

如果用户没有设置终端设备白名单之前就已被恶意用户抢占差分账号：

通过提供强制注销绑定关系的方式解决；

如果恶意用户不仅获知了初始账号，还知道合法终端设备序列号：

提供用户设置允许接入激活的时间窗口的解决，用户设置某个只有自己知道的特定时间窗口，然后他的终端设备在所述特定时间窗口内接入激活；

如果在所述特定时间窗口内发现两个及以上终端设备序列号相同的终端设备先后连接服务端，则要求终端设备上传尽可能多的标识所述终端设备的信息，如IP地址、操作系统版本等，服务端触发报警给用户，并提供用于标识所述终端设备的信息，由用户进行人工选择合法终端设备。

本发明对于计算机编程语言没有特别要求，优选采用JAVA语言。

本发明虽然已以较佳实施例公开如上，但其并不是用来限定本发明，任何本领域技术人员在不脱离本发明的精神和范围内，都可以利用上述揭示的方法和技术内容对本发明技术方案做出可能的变动和修改，因此，凡是未脱离本发明技术方案的内容，依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化及修饰，均属于本发明技术方案的保护范围。