一种分布式高可靠终端设备可认证基础数据的分发方法及系统与流程

文档序号:14993360发布日期:2018-07-20 22:57阅读:169来源:国知局

本发明涉及网络智能化及安全应用技术领域,尤其涉及一种分布式高可靠终端设备可认证基础数据的分发方法及系统,可以将终端设备可认证的基础数据安全可靠地分发到终端设备,解决了终端设备可认证的基础数据的高可靠分发技术问题。



背景技术:

目前,在网络智能化及安全应用技术领域中,主要会涉及以下技术信息:

(1)终端设备基础数据:终端设备为连接在交换机上的设备,而终端设备基础数据则是指终端设备所必要的包括但不限于网络地址、节点位置、通信地址等信息的数据,这些数据可在网络设计阶段确定,在设备实际接入网络之后需要这些数据来确定自身和其他终端设备的地址等信息。

在智能化以太网络中,终端设备需要通过某种途径来获取终端设备基础数据,终端设备从基础数据中获得本地所需的网络地址、位置信息以及其他信息,终端之间的访问就变得很容易,比如某个终端设备a希望访问网络中的某个服务器,终端设备a根据终端设备基础数据可以得知该服务器的网络地址,然后根据该服务器的网络地址就可以访问到这个服务器,因此终端设备基础数据对终端设备来说是非常重要的数据。

(2)管理型交换机基础数据:该管理型交换机基础数据包括但不限于管理型交换机的mac地址、网络管理地址、vlan信息等数据,其中mac地址、端口编号等属于管理型交换机基础数据中的不可变部分数据(固化在交换机里面,交换机设备一旦出厂,通常情况下难以或者不能修改),而网络地址、vlan设置信息等是管理型交换机基础数据中的可变部分数据(在应用交换机过程中可以通过一种或者多种方式进行修改)。

在设计阶段确认管理型交换机基础数据中的可变部分,在实际接入网络之后这些信息可用于管理型交换机的管理和维护。

(3)设计数据:该设计数据是指在设计阶段确认的终端设备基础数据、管理型交换机基础数据中的可变部分数据以及生成可认证数据的密钥或算法等。网络实际运行的时候终端设备基础数据和管理型交换机基础数据需要保持和设计数据一致,以确保网络运行状态符合设计预期。

设计数据中管理型交换机基础数据中的网络地址在整个网络中互不冲突。

(4)可认证数据:该可认证数据是仅由控制服务器根据终端设备基础数据、管理型交换机基础数据以及一定的规则算法生成的数据,终端设备利用可认证数据可验证终端设备基础数据、管理型交换机基础数据是否被篡改,其来源是否符合设计预期。

(5)终端设备可认证的基础数据:该终端设备可认证的基础数据包括终端设备基础数据、管理型交换机基础数据和可认证数据,而可认证数据是仅由控制服务器根据终端设备基础数据、管理型交换机基础数据以及一定的规则算法生成的数据。

基于上述技术信息,现有的技术主要包括人工设定与集中式发布两种方式,其中:

人工设定方式有两种,直接在终端设备上通过命令行、web等方式设置终端设备的基础数据,或者将终端设备基础数据设置在终端设备的配置文件里面。然而,这两种方式都不能避免终端设备的配置意外修改的情况,且无法满足智能化技术需求。

同时,人工设定无法避免人为失误或者其他失误而导致基础数据不可信,以及导致基础数据不符合设计预期等现象发生,使得人工设定方式无法确保终端设备所需的基础数据是安全可靠的。

集中式分发是在网络上配置数据服务器,终端设备向数据服务器发起请求获取终端设备基础数据,由数据服务器向终端设备发送终端设备基础数据。

然而,该方式过于依赖数据服务器与网络,在数据服务器故障的情况下终端设备不能获取到基础数据;如果终端设备与数据服务器之间的骨干网出现故障或者交换机与交换机之间的连接线断开,则终端设备无法获取所必须需要的基础数据。显然,集中式分发终端设备基础数据的方式可靠性差,在应用中可能导致不可预期的问题。



技术实现要素:

为了解决上述问题,本发明提供了一种分布式高可靠终端设备可认证基础数据的分发方法及系统。

上述的一种分布式高可靠终端设备可认证基础数据的分发方法,包括以下步骤:

s1.设置网络中的管理型交换机的基础数据;

s2.检测管理型交换机中的终端设备可认证的基础数据是否发生变化,如果有变化则进入步骤s3,否则循环步骤s2;

s3.控制服务器获取当前管理型交换机中终端设备可认证的基础数据;

s4.验证终端设备可认证的基础数据是否与设计数据一致,如果一致则返回步骤s2,否则进入步骤s5;

s5.控制服务器设置当前管理型交换机的基础数据;

s6.控制服务器生成终端设备可认证的基础数据;

s7.控制服务器发送终端设备可认证的基础数据到管理型交换机;

s8.管理型交换机保存并应用控制服务器发送过来的终端可认证基础数据,并返回步骤s2。

上述方法中,所述步骤s1中的设置管理型交换机的基础数据的方式包括:

如果与设计数据不一致:控制服务器获取管理型交换机中当前保存并应用的基础数据,判断当前数据与设计数据中的管理型交换机基础数据是否一致,如果不一致则设置管理型交换机的基础数据;

无论是否与设计数据一致:控制服务器无需获取管理型交换机中的当前保存并应用的基础数据,直接根据设计数据设置管理型交换机的基础数据;

控制服务器通过远程访问技术将设计数据中的管理型交换机基础数据智能发送到管理型交换机,再由管理型交换机接收、保存并应用该数据,完成管理型交换机的基础数据的设置工作;

控制服务器访问管理型交换机的通讯技术包括基于链路层通讯、网络层通讯、传输层通讯以及应用层通讯。

上述方法中,所述步骤s2中:

终端设备基础数据发生改变,或者管理型交换机基础数据发生改变,或者其他必要的数据发生改变,或者可认证数据发生改变,或者网络实际拓扑发生改变,或者可认证数据验证失败则认定终端设备可认证的基础数据发生了变化;

控制服务器通过接收到管理型交换机或者接入到网络中的终端设备发送过来的终端设备可认证的基础数据发生了变化的信息,认定所对应的管理型交换机中的终端设备可认证的基础数据发生了变化;

控制服务器通过主动检测、轮询技术或者被动接收管理型交换机的信息或者终端设备的反馈信息,判定网络实际拓扑是否发生改变,包括控制服务器上电时检测到管理型交换机、管理型交换机将构成拓扑结构的关键端口的连接状态发送给控制服务器;

控制服务器访问管理型交换机的通讯技术包括基于链路层通讯、网络层通讯、传输层通讯以及应用层通讯;

控制服务器判定终端设备基础数据是否改变、管理型交换机基础数据是否改变、其他必要的数据是否改变、可认证数据是否改变的技术包括:

控制服务器通过主动检测及轮询技术,通过获取管理型交换机中当前保存并应用的终端设备基础数据、管理型交换机基础数据、可认证数据,并将这些数据分别与设计数据进行比对,如果不一致则判定发生了改变;

控制服务器获取管理型交换机中保存并应用的终端设备可认证的基础数据,提取可认证数据和认证规则或算法,可认证数据通过比对之后未发生变化,结合终端设备基础数据、管理型交换机基础数据来验证可认证数据,如果验证失败或者验证不通过,则认定终端设备基础数据或者管理型交换机基础数据或者其他必要的数据发生了改变;

控制服务器通过接收到管理型交换机或者接入到网络中的终端设备发送过来终端设备基础数据、管理型交换机基础数据或者可认证数据发生了变化的信息。

上述方法中,所述步骤s3中:

当前管理型交换机是指终端设备可认证的基础数据发生变化或者导致网络实际拓扑发生变化的管理型交换机;

控制服务器利用管理型交换机的网络地址或者mac地址,通过远程访问方法或通信方法,主动获取管理型交换机中的终端设备可认证的基础数据;或者被动接收管理型交换机中终端设备可认证的基础数据;

控制服务器所获取到的当前管理型交换机中的终端设备可认证的基础数据是当前管理型交换机本地保存并应用的数据;

控制服务器访问管理型交换机的通讯技术包括基于链路层通讯、网络层通讯、传输层通讯以及应用层通讯。

上述方法中,所述步骤s4中,验证终端设备可认证的基础数据包括基础数据比对与可认证数据验证,其中:

所述基础数据比对:将当前管理型交换机中的终端设备可认证的基础数据中的终端设备基础数据、交换机基础数据与控制服务器中设计数据进行比对,如果不同,则认定验证未通过;如果相同,则认定基础数据比对验证通过;基础数据比对的方法包括按字节比较、参数值比较以及数字摘要比较;

所述可认证数据验证:利用可认证数据来验证终端设备基础数据、管理型交换机基础数据;如果认证数据验证不通过则认定该交换机中的终端设备的可认证基础数据与设计数据不一致;

经过所述基础数据比对与所述可认证数据全部验证通过后,则认定验证终端设备可认证的基础数据通过验证,否则认定为验证不通过。

上述方法中,所述步骤s5中:

控制服务器访问管理型交换机的技术包括基于链路层通讯、网络层通讯、传输层通讯以及应用层通讯技术;

如果当前管理型交换机的网络地址与设计数据不一致,则通过远程访问的方式修改管理型交换机的网络地址;

如果当前管理型交换机网络地址与设计数据一致,或者其他可变部分与设计数据不一致,则通过远程访问方法将可变部分数据按照设计要求完成当前管理型交换机的设置。

上述方法中,所述步骤s6中:

如果终端设备基础数据与设计数据不一致,则取用设计数据中的终端设备基础数据;

如果终端设备可认证的基础数据作为一个完整一次性发送的报文,则控制服务器首先生成可认证数据,再生成终端设备可认证的基础数据;

控制服务器根据符合设计预期的终端设备基础数据、管理型交换机基础数据,利用控制服务器获取的可认证数据密钥或算法生成可认证数据;

终端设备可认证的基础数据包括符合设计预期的终端设备基础数据、管理型交换机基础数据和可认证数据。

上述方法中,所述步骤s7中:

控制服务器利用当前管理型交换机的网络地址通过远程访问方法,向管理型交换机发送终端设备可认证的基础数据;或者通过远程登录技术修改管理型交换机的终端设备可认证的基础数据;或者控制服务器利用当前管理型交换机的mac地址,采用链路层通信方式,向当前管理型交换机发送终端设备可认证的基础数据;

控制服务器访问管理型交换机的技术包括基于链路层通讯、网络层通讯、传输层通讯以及应用层通讯技术。

上述方法中,所述步骤s8中:

管理型交换机把收到的终端设备可认证的基础数据保存到本地;

管理型交换机应用本地终端设备可认证基础数据的方式包括主动发送至终端设备和终端设备向交换机请求;

管理型交换机应用本地终端设备可认证基础数据的通讯技术包括基于链路层通讯、网络层通讯、传输层通讯及应用层通讯技术。

上述的一种分布式高可靠终端设备可认证基础数据的分发系统,包括:

至少一个控制服务器,所述控制服务器获取设计数据,并根据终端设备基础数据和管理型交换机基础数据生成可认证数据,以及设置网络中管理型交换机的基础数据;检测管理型交换机中的终端设备可认证的基础数据是否发生变化;从发生变化的管理型交换机中获取终端设备可认证的基础数据,验证是否与设计数据一致,如不一致则更新该管理型交换机中的终端设备可认证的基础数据;

至少一个管理型交换机,所述管理型交换机与所述控制服务器连接并转发网络中的数据,并接收来自控制服务器的终端设备可认证的基础数据,保存并应用终端设备可认证的基础数据,发送终端设备可认证的基础数据给所接入的终端设备;当网络拓扑结构或网络拓扑相关数据变化时,所述管理型交换机发送变化状态信息到控制服务器。

本发明的优点和有益效果在于:本发明提供了一种分布式高可靠终端设备可认证基础数据的分发方法及系统,通过控制服务器将终端设备可认证的基础数据注入到网络中的各个管理型交换机中,由各管理型交换机再分发终端设备可认证的基础数据给终端设备;控制服务器监测整个网络中管理型交换机中的终端设备可认证的基础数据的变化状态,一旦发现管理型交换机的终端设备可认证的基础数据发生变化,控制服务器验证发生变化的管理型交换机中所存放的终端设备可认证的基础数据是否符和设计数据一致,如果不一致则更新管理型交换机中的终端设备可认证的基础数据。通过应用本发明所提及的分发方法及系统,终端设备可认证的基础数据能安全可靠地分发到终端设备,解决了终端设备可认证的基础数据的高可靠分发技术问题,从而具备了以下有益效果:

(1)终端设备可认证的基础数据是可验证的,终端设备可验证终端设备基础数据、管理型交换机基础数据是否被篡改,其来源是否符合设计预期;

(2)终端设备可认证的基础数据是安全的,除了控制服务器之外的设备由于没有生成可认证数据的密钥或算法,其发送的包含终端设备基础数据的信息不能验证通;

(3)本发明的分发方法是高可靠的分布式方法,终端设备并不直接从控制服务器获取基础数据,而是从管理型交换机获取。在控制服务器完成工作之后,即使控制服务器出现故障,暂时不会影响正常的数据分发,终端设备依然能够接收到这些数据。

(4)管理型交换机的基础数据发生变化后,控制服务器能检测到该变化,进行对管理型交换重新配置,使得管理型交换机的基础数据重新和设计数据一致,即网络状态是自恢复的,可避免管理型交换机的设置被意外修改的情况。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。

图1是本发明中分布式高可靠终端设备可认证基础数据分发方法的流程示意图;

图2是本发明中分布式高可靠终端设备可认证基础数据的分发系统的结构框图;

图3是实施例一中分布式高可靠终端设备可认证基础数据分发方法的流程示意图;

图4是实施例一中分布式高可靠终端设备可认证基础数据的分发系统的结构框图。

具体实施方式

下面结合附图和实施例,对本发明的具体实施方式作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。

一、关于本发明所涉及的方法及系统:

1、关于本发明中所涉及的方法

如图1所示,本发明记载了一种分布式高可靠终端设备可认证基础数据的分发方法,具体包含以下步骤:

s1.设置网络中的管理型交换机的基础数据;在本步骤中:

(1)控制服务器通过远程访问技术将设计数据中的管理型交换机基础数据智能发送到管理型交换机,再由管理型交换机接收、保存并应用该数据,完成管理型交换机的基础数据的设置工作;

(2)设置管理型交换机的基础数据包括但不限于网络地址、节点位置、vlan等可变数据;

(3)设置任何一台管理型交换机的基础数据过程中,先必须完成该管理交换机的网络地址设置,然后才能够设置包括vlan等其他可变数据的设置;

(4)设置管理型交换机的基础数据的方式包括:

a、如果与设计数据不一致则设置:

控制服务器获取管理型交换机中当前保存并应用的基础数据,判断当前数据与设计数据中的管理型交换机基础数据是否一致,如果不一致则设置管理型交换机的基础数据;

b、无论是否与设计数据一致均设置:

控制服务器无需获取管理型交换机中的当前保存并应用的基础数据,直接根据设计数据设置管理型交换机的基础数据;

(5)其效果是设置网络中的所有管理型交换机的基础数据和设计数据中的管理型交换机基础数据一致;

(6)控制服务器访问管理型交换机的通讯技术包括但不限于基于链路层通讯、网络层通讯、传输层通讯和应用层通讯等技术。

s2.检测管理型交换机中的终端设备可认证的基础数据是否发生变化,如果有变化则进入步骤s3,否则循环步骤s2;在本步骤中:

(1)终端设备基础数据发生改变,或者管理型交换机基础数据发生改变,或者其他必要的数据发生改变,或者可认证数据发生改变,或者网络实际拓扑发生改变,或者可认证数据验证失败则认定终端设备可认证的基础数据发生了变化。

(2)控制服务器判定终端设备基础数据是否改变、管理型交换机基础数据是否改变、其他必要的数据是否改变、可认证数据是否改变的技术包括:

a、控制服务器通过主动检测及轮询技术,通过获取管理型交换机中当前保存并应用的终端设备基础数据、管理型交换机基础数据、可认证数据,并将这些数据分别与设计数据进行比对,如果不一致则判定发生了改变;

b、控制服务器获取管理型交换机中保存并应用的终端设备可认证的基础数据,提取可认证数据和认证规则或算法,可认证数据通过比对之后未发生变化,结合终端设备基础数据、管理型交换机基础数据来验证可认证数据,如果验证失败或者验证不通过,则认定终端设备基础数据或者管理型交换机基础数据或者其他必要的数据发生了改变;

c、控制服务器通过接收到管理型交换机或者接入到网络中的终端设备发送过来终端设备基础数据、管理型交换机基础数据或者可认证数据发生了变化的信息。

(3)控制服务器通过接收到管理型交换机或者接入到网络中的终端设备发送过来的终端设备可认证的基础数据发生了变化的信息,认定所对应的管理型交换机中的终端设备可认证的基础数据发生了变化;

(4)控制服务器通过主动检测、轮询技术或者被动接收管理型交换机的信息或者终端设备的反馈信息,判定网络实际拓扑是否发生改变,包括但不限于控制服务器上电时检测到管理型交换机、管理型交换机将构成拓扑结构的关键端口的连接状态发送给控制服务器等;

(5)控制服务器访问管理型交换机的通讯技术包括但不限于基于链路层通讯、网络层通讯、传输层通讯和应用层通讯等技术。

s3.控制服务器获取当前管理型交换机中终端设备可认证的基础数据;在本步骤中:

(1)当前管理型交换机是指终端设备可认证的基础数据发生变化或者导致网络实际拓扑发生变化的管理型交换机;

(2)控制服务器利用管理型交换机的网络地址或者mac地址,通过远程访问方法或通信方法,主动获取管理型交换机中的终端设备可认证的基础数据;或者被动接收管理型交换机中终端设备可认证的基础数据;

(3)控制服务器所获取到的当前管理型交换机中的终端设备可认证的基础数据是当前管理型交换机本地保存并应用的数据;

(4)控制服务器访问管理型交换机的通讯技术包括但不限于基于链路层通讯、网络层通讯、传输层通讯和应用层通讯等技术;

s4.验证终端设备可认证的基础数据是否与设计数据一致,如果一致则返回步骤s2,否则进入步骤s5;

在本步骤中:

(1)验证终端设备可认证的基础数据包括但不限于基础数据比对与可认证数据验证;

a、基础数据比对

将当前管理型交换机中的终端设备可认证的基础数据中的终端设备基础数据、交换机基础数据与控制服务器中设计数据进行比对,如果不同,则认定验证未通过;如果相同,则认定基础数据比对验证通过;

基础数据比对的方法包括但不限于按字节比较、参数值比较、数字摘要比较等;比对终端设备基础数据、交换机基础数据不分先后顺序;

b、可认证数据验证

利用可认证数据来验证终端设备基础数据、管理型交换机基础数据;如果认证数据验证不通过则认定该交换机中的终端设备的可认证基础数据与设计数据不一致;

(2)基础数据比对与可认证数据验证等各种验证不分先后顺序;

(3)上述基础数据比对与可认证数据验证等都通过验证之后,则认定验证终端设备可认证的基础数据通过验证;否则认定验证不通过。

s5.控制服务器设置当前管理型交换机的基础数据;

在本步骤中:

(1)如果当前管理型交换机的网络地址与设计数据不一致,则通过远程访问的方式修改管理型交换机的网络地址;

(2)如果当前管理型交换机网络地址与设计数据一致,或者其他可变部分与设计数据不一致,则通过远程访问方法将可变部分数据按照设计要求完成当前管理型交换机的设置;

(3)控制服务器访问管理型交换机的技术包括但不限于基于链路层通讯、网络层通讯、传输层通讯和应用层通讯技术。

s6.控制服务器生成终端设备可认证的基础数据;

在本步骤中:

(1)如果终端设备基础数据与设计数据不一致,则取用设计数据中的终端设备基础数据;

(2)如果终端设备可认证的基础数据作为一个完整一次性发送的报文,则控制服务器首先生成可认证数据,再生成终端设备可认证的基础数据;

(3)控制服务器根据符合设计预期的终端设备基础数据、管理型交换机基础数据,利用控制服务器获取的可认证数据密钥或算法生成可认证数据;

(4)可认证数据可以是一个或者多个可认证数据组成;

(5)终端设备可认证的基础数据包括符合设计预期的终端设备基础数据、管理型交换机基础数据和可认证数据;

(6)终端设备基础数据、管理型交换机基础数据和可认证数据在终端设备可认证的基础数据中的位置不分先后。

s7.控制服务器发送终端设备可认证的基础数据到管理型交换机;

在本步骤中:

(1)控制服务器利用当前管理型交换机的网络地址通过远程访问方法,向管理型交换机发送终端设备可认证的基础数据;或者通过远程登录技术,修改管理型交换机的终端设备可认证的基础数据;或者控制服务器利用当前管理型交换机的mac地址,采用链路层通信方式,向当前管理型交换机发送终端设备可认证的基础数据;

(2)控制服务器发送终端设备可认证的基础数据可以打包一次发送或者分为多个数据包发送;

(3)控制服务器访问管理型交换机的技术包括但不限于基于链路层通讯、网络层通讯、传输层通讯和应用层通讯技术;

(4)通过远程登录技术修改管理型交换机中终端设备可认证的基础数据可以一次性或多次分步修改。

s8.管理型交换机保存并应用控制服务器发送过来的终端可认证基础数据,并返回步骤s2。

在本步骤中:

(1)管理型交换机把收到的终端设备可认证的基础数据保存到本地;

(2)管理型交换机应用本地终端设备可认证基础数据的方式包括但不限于主动发送给终端设备、终端设备向交换机请求等;管理型交换机应用本地终端设备可认证基础数据的通讯技术包括基于链路层通讯、网络层通讯、传输层通讯及应用层通讯技术。

(3)管理型交换机可整体或者分片或者分包发送终端设备可认证的基础数据。

2、关于本发明中所涉及的系统

为了匹配上述分发方法,本发明还涉及了一种分布式高可靠终端设备可认证基础数据的分发系统,其结构如图2所示,该系统主要由控制服务器与至少一台管理型交换机组成;在图2的连接线中,实线代表本系统具有的以太网连接线,虚线代表非本系统具有的以太网连接线,至于箭头线则代表终端设备可认证的基础数据;其中:

控制服务器负责获取设计数据,包括但不限于终端设备基础数据、管理型交换机基础数据等;根据终端设备基础数据、管理型交换机基础数据生成可认证数据;设置网络中管理型交换机的基础数据;检测管理型交换机中的终端设备可认证的基础数据是否发生变化;从发生变化的管理型交换机中获取终端设备可认证的基础数据,验证是否与设计数据一致,如果不一致则更新该管理型交换机中的终端设备可认证的基础数据。

控制服务器是本系统的组成部分,控制服务器的数量可以是1个或者多个,但是只有一个控制服务器为主,其他控制服务器为从,主从控制服务器可以切换。

管理型交换机负责网络中的数据转发;接收从控制服务器发送过来的终端设备可认证的基础数据,保存并应用终端设备可认证的基础数据,发送终端设备可认证的基础数据给所接入的终端设备;网络拓扑结构或网络拓扑相关数据变化时,发送变化状态信息到控制服务器;接受控制服务器对管理型交换机的数据更新或设置;管理型交换机是本系统的组成部分,网络中的管理型交换机的数量至少为1台。

终端设备可从管理型交换机获取终端设备可认证的基础数据,终端设备是本发明所提及的分发方法与系统的服务对象。

管理型交换机之间的连接构成以太网网络,该网络中可以包括非管理型交换机。由管理型交换机构建的网络拓扑结构包括但不限于环网、总线网、星型网、链路汇聚总线网等。

二、实施例一

下面通过具体实施例对本发明所涉及的分发方法和系统进行进一步说明:

1、关于本发明中所涉及的方法

为方便描述本专利所提及分发方法的应用案例,假设网络中有m台管理型交换机,在此假设m取值为4,分别命名为sw1、sw2、sw3和sw4,假设控制服务器为controller1,接入每台交换机的终端设备有媒体屏(假设每台交换机接入1台媒体屏,分别命名为media1、media2、media3和media4)、导乘屏(假设每台交换机接入1台导乘屏,分别名命为guide1、guide2、guide3和guide4)和摄像头(假设每台交换机接入1台摄像头,分别命名为camera1、camera2、camera3和camera4)、pis服务器(假设系统中接入1台pis服务器,命名为pis-server)。

为方便描述,针对应用案例中所涉及到的以下数据分别假设命名:

(1)设计数据中,假设管理型交换机的基础数据为design_data_sw_n,n取值1到4,管理型交换机的基础数据包括网络地址、位置信息;终端设备媒体屏的基础数据为design_data_media_n,n取值1到4;终端设备导乘屏的基础数据为design_data_guide_n,n取值1到4;终端设备摄像头的基础数据为design_data_camera_n,n取值1到4;

设计数据中,终端设备媒体屏、导乘屏、摄像头的基础数据包括但不限于本地应该设置的网络地址、控制服务器通信地址、pis服务器通信地址。

(2)当前应用且有效的终端设备媒体屏的基础数据假设为current_data_media_n,导乘屏的基础数据为current_data_guide_n,摄像头的基础数据为curent_data_camera_n;管理型交换机的基础数据命名为current_data_sw_n;媒体屏的可认证数据命名为authentication_data_media_n,导乘屏的可认证数据命名为authentication_data_guide_n,摄像头的可认证数据命名为authentication_data_camera_n,n均取值为1到4;

(3)假设哈希函数为hash1;

假设采用非对称加密生成可认证数据,私钥命名为private_key,公钥命名为public_key;

基本方法是:控制服务器启动后设置网络中的4台管理型交换机的基础数据;假定所有管理型交换机中的终端设备可认证的基础数据尚未初始化且与设计数据不一致,初始化网络中的4台管理型交换机的终端设备可认证的基础数据;接下来控制服务器持续监测网络中的管理型交换机中的终端设备可认证的基础数据是否发生改变;验证发生改变的管理型交换机中的终端设备可认证基础数据;如果验证不通过则更新该管理型交换机中的终端设备可认证的基础数据。

详细流程如图3所示,其前置条件为:

控制服务器获取并保存设计数据、密钥对(即私钥private_key和公钥public_key,公钥是密钥对中公开的部分,私钥则是非公开的部分。公钥通常用于加密会话密钥、验证数字签名(即只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明),或加密可以用相应的私钥解密的数据。通过这种算法得到的密钥对能保证在世界范围内是唯一的。使用这个密钥对的时候,如果用其中一个密钥加密一段数据,必须用另一个密钥解密。比如用公钥加密数据就必须用私钥解密,如果用私钥加密也必须用公钥解密,否则解密将不会成功),各终端设备包括媒体屏、导乘屏和摄像头本地存放有公钥public_key。

下面结合图3对分发方法具体的流程进行说明:

s1.上电后,控制服务器利用snmp(即简单网络管理协议,是基于tcp/ip协议族的网络管理标准,是一种在ip网络中管理网络节点,如服务器、工作站、路由器、交换机等的标准协议)协议设置4台管理型交换机的基础数据,包括网络地址和位置信息,使网络中的4台管理型交换机的基础数据和设计数据一致。

s2.循环变量i从1开始。

s3.判断循环变量是否不大于4,如不大于则进入步骤4,否则跳至步骤s12。

s4.控制服务器利用snmp协议读取swi(第i台管理型交换机)中的终端设备可认证的基础数据。

s5.判断终端设备可认证的基础数据是否和设计数据一致,如果一致则返回步骤s3,否则进入步骤s6;具体包括:

利用snmp协议从交换机swi中远程获取swi中所存放的终端设备可认证的基础数据,分别为current_data_sw_i、current_data_media_i、current_data_guide_i、current_data_camera_i、authentication_data_media_i、authentication_data_guide_i、authentication_data_camera_i。

如果degisn_data_sw_i的值不等于current_data_sw_i的值,或者design_data_media_i的值不等于current_data_media_i的值,或者design_data_guide_i的值不等于current_data_guide_i的值,或者design_data_camera_i的值不等于current_data_camera_i的值,则跳转至第6步;

利用current_data_sw_i、public_key、current_data_media_i,使用authentication_data_media_i验证是否通过,如果验证不通过,则跳转至第6步;

利用current_data_sw_i、public_key、current_data_guide_i,使用authentication_data_guide_i验证是否通过,如果验证不通过,则跳转至第6步;

利用current_data_sw_i、public_key、current_data_camera_i,使用authentication_data_camera_i验证是否通过,如果验证不通过,则跳转至第6步;

s6.判断swi的网络地址与设计数据是否一致,如是则进入步骤s7,否则返回步骤s1。

s7.如果swi中其他基础数据(例如位置信息)与设计数据不一致,则控制服务器利用snmp协议设置swi其他基础数据(例如位置信息);跳转至第7步。

s8.控制服务器生成终端设备可认证的基础数据,并进入步骤s9;具体包括:

控制服务器从设计数据中提取design_data_media_i、design_data_sw_i,然后根据design_data_media_i、design_data_sw_i利用哈希函数hash1得到数字摘要,然后利用私钥private_key对这个数字摘要进行加密生成数字签名(可认证数据,authentication_data_media_i),把design_data_media_i、design_data_sw_i与authentication_data_media_i封装成一个报文得到媒体屏可认证的基础数据;

控制服务器从设计数据中提取design_data_guide_i、design_data_sw_i,然后根据design_data_guide_i、design_data_sw_i利用哈希函数hash1得到数字摘要,然后利用私钥private_key对这个数字摘要进行加密生成数字签名(可认证数据,authentication_dataguide_i),把design_data_guide_i、design_data_sw_i与authentication_data_guide_i封装成一个报文得到导乘屏可认证的基础数据;

控制服务器从设计数据中提取design_data_camera_i、design_data_sw_i,然后根据design_data_camerai、design_data_sw_i利用哈希函数hash1得到数字摘要,然后利用私钥private_key对这个数字摘要进行加密生成数字签名(可认证数据,authentication_data_camera_i),把design_data_camera_i、design_data_sw_i与authentication_data_camera_i封装成一个报文得到摄像头可认证的基础数据。

s9.控制服务器利用snmp协议把终端设备可认证的基础数据发送到swi,并包括:

如果媒体屏的终端设备可认证的基础数据发生变化,则发送媒体屏的终端设备可认证的基础数据到swi;

如果导乘屏的终端设备可认证的基础数据发生变化,则发送导乘屏的终端设备可认证的基础数据到swi;

如果摄像头的终端设备可认证的基础数据发生变化,则发送摄像头的终端设备可认证的基础数据到swi;

s10.swi接收控制服务器发送过来的终端设备可认证的基础数据,保存并分发给和swi相连的对应的各终端设备;

swi接收到媒体屏的终端设备可认证的基础数据或者导乘屏的终端设备可认证的基础数据或者摄像头的终端设备可认证的基础数据,分别本地保存并应用。

s11.循环变量i增加1,即i=i+1;并返回步骤s3。

s12.判断控制服务器是否接收到snmptrap(即某种入口,到达该入口会使snmp被管设备主动通知snmp管理器,而不是等待snmp管理器的再次轮询)消息或udp反馈消息,如果收到则进入步骤s13,否则循环步骤s12,即继续等待。

snmptrap消息包含swn(n的范围是1-4)中的终端设备可认证的基础数据发生变化的信息,snmptrap消息是管理型交换发送给控制服务器的;

udp反馈消息是终端设备发送给控制服务器的汇报消息,消息内容含有和终端设备相连的管理型交换机swn中的终端设备可认证的基础数据发生变化的状态信息;

如果接收到snmptrap消息或者udp反馈消息,假定该当前发生变化的管理型交换机为swn。

s13.通过控制服务器判断snmptrap或者udp反馈报文的有效性,如果有效则进入步骤s14,否则返回步骤s12。

s14.控制服务器从snmptrap或者udp反馈报文中提取管理型交换机的网络地址,然后通过网络地址利用snmp协议远程获取swn中的终端设备可认证的基础数据,具体包括:

利用snmp协议从交换机swn中远程获取swi中所存放的终端设备可认证的基础数据,分别为current_data_sw_n、current_data_media_n、current_data_guide_n、current_data_camera_n、authentication_data_media_n、authentication_data_guiden、authentication_data_cameran。

s15.判断终端设备可认证的基础数据是否和设计数据一致,如一致则返回步骤s12,否则进入步骤s16,具体包括:

如果degisn_data_sw_n的值不等于current_data_sw_n的值,或者design_data_media_n的值不等于current_data_media_n的值,或者design_data_guide_n的值不等于current_data_guide_n的值,或者design_data_camera_n的值不等于current_data_camera_n的值,则跳转至第16步;

利用current_data_sw_n、public_key、current_data_media_n,使用authentication_data_media_n验证是否通过,如果验证不通过,则跳转至第16步;

利用current_data_sw_n、public_key、current_data_guide_n,使用authentication_data_guide_n验证是否通过,如果验证不通过,则跳转至第16步;

利用current_data_sw_n、public_key、current_data_camera_n,使用authentication_data_camera_n验证是否通过,如果验证不通过,则跳转至第16步。

s16.控制服务器利用snmp协议设置swn的网络地址设置swn的基础数据。

s17.控制服务器生成终端设备可认证的基础数据,具体包括:

控制服务器从设计数据中提取design_data_media_n、design_data_sw_n,然后根据design_data_media_n、design_data_sw_n利用哈希函数hash1得到数字摘要,然后利用私钥private_key对这个数字摘要进行加密生成数字签名(可认证数据,authentication_data_media_n),把design_data_media_n、design_data_sw_n与authentication_data_media_n封装成一个报文得到媒体屏可认证的基础数据;

控制服务器从设计数据中提取design_data_guide_n、design_data_sw_n,然后根据design_data_guide_n、design_data_sw_n利用哈希函数hash1得到数字摘要,然后利用私钥private_key对这个数字摘要进行加密生成数字签名(可认证数据,authentication_dataguide_n),把design_data_guide_n、design_data_sw_n与authentication_dataguide_n封装成一个报文得到导乘屏可认证的基础数据;

控制服务器从设计数据中提取design_data_camera_n、design_data_sw_n,然后根据design_data_camerai、design_data_sw_n利用哈希函数hash1得到数字摘要,然后利用私钥private_key对这个数字摘要进行加密生成数字签名(可认证数据,authentication_data_camera_n),把design_data_camera_n、design_data_sw_n与authentication_datacamera_n封装成一个报文得到摄像头可认证的基础数据。

s18.控制服务器通过snmp方式把终端设备可认证的基础数据发送到swn,具体包括:

如果媒体屏的终端设备可认证的基础数据发生变化,则发送媒体屏的终端设备可认证的基础数据到swn;

如果导乘屏的终端设备可认证的基础数据发生变化,则发送导乘屏的终端设备可认证的基础数据到swn;

如果摄像头的终端设备可认证的基础数据发生变化,则发送摄像头的终端设备可认证的基础数据到swn。

s19.swn接收控制服务器发送过来的终端设备可认证的基础数据,保存并分发给和swn相连的对应终端设备,包括导乘屏、媒体屏和摄像头,并返回步骤s12;

同时,swn接收到媒体屏的终端设备可认证的基础数据或者导乘屏的终端设备可认证的基础数据或者摄像头的终端设备可认证的基础数据,分别本地保存并应用。

2、关于本发明所涉及的系统

本系统的结构如图4所示,图中实线为本系统包含的以太网连接线,而虚线则为非本系统包含的以太网连接线。该系统为总线型结构,由一台控制服务器和4台管理型交换机组成,且每个管理型交换机上接了一个导乘屏、一个媒体屏和一个摄像头,这些媒体屏、导乘屏、摄像头均是本系统的服务对象,即终端设备。其中:

控制服务器controller1负责获取设计数据,包括4个管理型交换机的网络地址和位置信息、上述4个媒体屏的基础数据、上述4个导乘屏的基础数据、上述4个摄像头的基础以及控制服务器的网络地址和端口号;根据终端设备基础数据、管理型交换机基础数据生成可认证数据;设置网络中管理型交换机的网络地址和位置信息;检测管理型交换机中的终端设备可认证的基础数据是否发生变化;从发生变化的管理型交换机中获取终端设备可认证的基础数据,验证是否与设计数据一致,如果不一致则更新该管理型交换机中的终端设备可认证的基础数据。

管理型交换机负责网络中摄像头、媒体屏、导乘屏数据的转发;接收从controller1发送过来的终端设备可认证的基础数据,保存并应用终端设备可认证的基础数据,发送终端设备可认证的基础数据给所接入的终端设备(导乘屏、媒体屏和摄像头);网络拓扑结构或网络拓扑相关数据变化时,通过snmptrap发送变化状态信息到controller1;接受controller1对管理型交换机的网络地址和位置信息的更新或设置。

导乘屏、媒体屏和摄像头这些终端设备可从所相连的管理型交换机获取终端设备可认证的基础数据,是本发明所提及的方法与系统的服务对象。

该系统可用于智能化乘客信息系统,各终端设备高可靠地获取终端设备可认证基础数据。

三、关于技术创新

由于采用了以上技术方案,本发明实现了以下创新技术:

1、关于本发明所涉及的方法

(1)控制服务器智能分发终端设备可认证的基础数据

控制服务器智能设置整个网络中所有管理型交换机的基础数据、终端设备的基础数据及生成可认证数据,智能监测终端设备可认证的基础数据的变化状态,一旦发现变化立即智能调整并使其符合设计预期,确保管理型交换机中终端设备可认证的基础数据100%地符合设计预期,不会出现任何的偏差,即使出现了偏差,也能够通过智能化的方法自动调整为符合设计预期;即使通过人工修改了配置,控制服务器也能够即使修改之并且确保与设计数据保持一致;

(2)分布式分发终端设备可认证的基础数据

系统中的控制服务器将终端设备可认证的基础数据通过远程方法首先分发到相应的管理型交换机中,由管理型交换机进行二次分发到所接入的终端设备中;在控制服务器完成工作之后,即使控制服务器出现故障,暂时不会影响正常的数据分发,终端设备依然能够接收到这些数据。

(3)终端设备可认证的基础数据结构

终端设备可认证的基础数据包括终端设备基础数据、管理型交换机基础数据与可认证数据三个部分,可认证数据可用于验证终端设备基础数据、管理型交换机基础数据的来源合法性与是否被篡改。

2、关于本发明所涉及的系统

本发明所提及的系统用分层结构实现终端设备可认证的基础数据的分发:控制服务器是第一层,管理网络中的管理型交换机,分发终端设备可认证的基础数据到管理型交换机;管理型交换机位于第二层,接收控制服务器发送过来的终端设备可认证的基础数据,保存并应用。

以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

当前第1页1 2 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1