硬件标识变化的安全接入目的设备方法及系统的制作方法
【技术领域】
[0001 ]本发明涉及数据通信领域,尤其涉及硬件标识变化的安全接入目的设备方法及系 统。
【背景技术】
[0002] 目前监控在社会监控上的应用日益广泛,在某些场合,例如工厂必须把监控设备 放置到厂区边界,偏僻街道必须设置IPC。这样监控设备就远离中心区域,物理上安全无法 保证。这些IP可能会被利用远程接入中心网络,这样就需要各种手段防止非法接入。
[0003] 现有技术中,在源设备与目的设备通过MAC地址作为硬件标识,MAC地址通常是不 变的,如果通过在目的设备上对源MAC地址进行限制,通过添加受信任MAC地址的方式来防 止非法接入,但是目前已经可以通过强制设置MAC地址的方式伪造设备的地址,从而使得目 的设备接收到非法接入的设备所发送的报文与正常接入的设备相同,非法接入的设备也能 够接入,无法保证接入安全。
[0004] 因此,如何能够保证源设备与目的设备之间的交互安全,是当前需要解决的问题。
【发明内容】
[0005] 为了解决现有技术所存在的问题,本发明提供了一种方法,避免其他设备通过伪 造报文中的硬件标识来接入目的设备。
[0006] -种硬件标识变化的安全接入目的设备方法,用于源设备向目的设备发送报文, 包括:
[0007] 源设备按报文的发送次序得到相应的第一序列号,基于第一序列号及第一种子及 生成随机数并在相应报文的目的设备硬件标识中添加生成的随机数;
[0008] 目的设备在收到报文后利用报文的接收次序获得第二序列号,并基于第二序列号 及自身保存的第二种子生成对应的随机数用以还原报文中的硬件标识,将还原后的硬件标 识与自身硬件标识进行对比,在对比一致的情况下接收报文,否则丢弃报文;
[0009] 其中,源设备中的第一种子及目的设备中的第二种子均仅自身可见。
[0010] 本发明随机数的生成方式仅限接收方(目的设备)和发送方(源设备)自身可见,在 产生发送报文时,硬件标识被增加的随机数隐藏,每个报文中的随机数均无法预测,从而增 加报文接收的安全性。随机数可以采用种子和序列号来生成,只有发送方和接收方本身具 有,种子即为生成随机数的一个初始值,而序列号则表示随机数在序列中的位置。其中利用 种子和序列号生成的算法在目的设备及源设备中是相同的。当种子处于外部设备不可见的 状态时,即使外部设备能够获知随机数的生成算法,也由于不能知道种子而无法生成相同 的随机数,其他设备难以通过伪造硬件标识来非法接入,保证了设备接入的安全性。其中本 发明所针对的报文硬件标识随机数添加不包括组播及广播等特殊报文。其中,硬件标识包 括MAC地址以及IP地址,通常情况下,硬件标识为MAC地址。
[0011] 进一步而言,所述目的设备在收到报文后还原所述硬件标识并与自身硬件标识对 比的方法包括:
[0012] 根据收到的报文顺序得到初步确定的第二序列号,并利用初步确定的第二序列号 及其后续的若干位序列号分别生成对应的随机数;
[0013] 利用各随机数分别进行报文中目的设备硬件标识还原;
[0014]将还原得到的各个硬件标识分别与自身硬件标识比较,当其中一个随机数所还原 所得硬件标识为自身的硬件标识时接收所述报文,该随机数所对应序列号为最终确定用于 还原硬件标识的第二序列号。
[0015] 由于在发送和接收过程中,存在一定的概率丢失报文,因此,收到报文的顺序可能 会变化,例如,本来在源设备发送的第3个报文,由于前面2个报文丢失,该第3个报文变成了 在目的设备接收到的第1个报文,由于目的设备通过报文收到顺序来确定需要获取的第二 序列号,为了将报文丢失的情况加以考虑,可以通过生成后续若干的序列号,逐一进行随机 数的生成以及还原,只要生成的这若干个随机数的其中一者能够还原得到与自身相同的硬 件标识,即表明这一报文是正常的。因此这种方式使得报文处理存在一定的容错性,收到报 文所需生成的序列号个数由用户根据具体情况确定。
[0016] 进一步而言,所述目的设备在进行当前报文的目的设备硬件标识还原时,如果所 得的最终确定的第二序列号与初步确定的第二序列号不同,则按照最终确定的第二序列号 更新报文的接收顺序以及当前的第二序列号,用于下一个报文的目的设备硬件标识还原。 [0017]在报文收发的过程中,一旦出现报文的丢失,就会导致后续的序列号都不同,因 此,在当前确定了出现报文丢失,则将序列号进行修正,从而使目的设备在后续收到报文时 基于修正后的序列号进行目的设备硬件标识还原。
[0018] 进一步而言,第一序列号及第二序列号进行定期同步更新,且同一时间产生的第 一序列号及第二序列号始终保持一致。
[0019] 由于随机数是通过种子和变化的序列号来确定的,种子虽然对外部设备不可见, 考虑到一些极端情况,例如种子设置较为简单,外部设备在获取算法的情况下仍然可以通 过有限次猜测获取种子,如果能够将序列号在目的设备和源设备上进行定期同步更新,例 如每隔1秒序列号为经过的秒数乘以10000,那么序列号的本身也是时刻变化的,这种方法 可以增加随机数的不可预测性,从而使非法接入的成本更大,从而进一步保证接入的安全 性。
[0020] 进一步而言,还包括,所述源设备在目的设备硬件标识中增加所述随机数后进行 可逆算法加密,对应地,所述目的设备收到后进行解密后再进行所述目的设备硬件标识的 所述还原。
[0021] 通过加密和解密,防止报文发送过程中第三方截取报文并进行随机数的破解,从 而增加了设备接入安全性。
[0022] 本发明还实现了对应方法的安全接入目的设备系统,用于解决现有技术存在的问 题。
[0023] -种硬件标识变化的安全接入目的设备系统,用于源设备向目的设备发送报文, 包括:
[0024] 设于源设备中的源设备随机数添加单元,用于按报文的发送次序得到相应的第一 序列号,基于第一序列号及第一种子及生成随机数并在相应报文的目的设备硬件标识中添 加生成的随机数;
[0025] 设于目的设备中的目的设备硬件标识还原单元,用于在收到报文后利用报文的接 收次序获得第二序列号,并基于第二序列号及自身保存的第二种子生成对应的随机数用以 还原报文中的硬件标识,将还原后的硬件标识与自身硬件标识进行对比,在对比一致的情 况下接收报文,否则丢弃报文;
[0026] 其中,源设备随机数添加单元中的第一种子仅源设备自身可见,且目的设备硬件 标识还原单元中的第二种子仅目的设备自身可见。
[0027] 本发明随机数的生成方式仅限接收方(目的设备)和发送方(源设备)自身可见,在 产生发送报文时,硬件标识被增加的随机数隐藏,每个报文中的随机数均无法预测,从而增 加报文接收的安全性。随机数可以采用种子和序列号来生成,只有发送方和接收方本身具 有其中利用种子和序列号生成的算法在目的设备及源设备中是相同的。当种子处于外部设 备不可见的状态时,即使外部设备能够获知随机数的生成算法,也由于不能知道种子而无 法生成相同的随机数,其他设备难以通过伪造硬件标识来非法接入,保证了设备接入的安 全性。其中本发明所针对的报文硬件标识随机数添加不包括组播及广播等特殊报文。其中, 硬件标识包括MAC地址以及IP地址,通常情况下,硬件标识为MAC地址。
[0028] 进一步而言,所述目的设备硬件标识还原单元还原所述硬件标识并与自身硬件标 识对比的方法包括:
[0029]根据收到的报文顺序得到初步确定的第二序列号,并利用初步确定的第二序列号 及其后续的若干位序列号分别生成对应的随机数;
[0030]利用各随机数分别进行报文中目的设备硬件标识还原;
[0031 ]将还原得到的各个硬件标识分别与自身硬件标识比较,当其中一个随机数所还原 所得硬件标识为自身的硬件标识时接收所述报文,该随机数