CN108023858A - 一种视联网网管安全认证方法及其系统 - Google Patents

Abstract

本发明实施例提供了一种视联网网管安全认证方法及其系统，其中应用于视联网中网管客户端的认证的方法包括：验证接收到的网管客户端的客户信息是否合法，若合法生成第一唯一认证ID，并将第一唯一认证ID发送给网管服务器；接收网管服务器发送的第一唯一认证ID和网管认证ID，验证网管认证ID是否合法；若网管认证ID合法，生成第一验证码，并将第一验证码发送给网管服务器；认证接收的第一验证码是否合法，并将认证结果发送给网管服务器。本发明实施例应用视联网的特性，通过认证服务器提供了视联网网管服务器的统一安全认证平台，更加便于统一管理，提高管理效率。

Description

一种视联网网管安全认证方法及其系统

技术领域

本发明涉及视联网技术领域，特别是涉及一种视联网网管安全认证方法和一种视联网网管安全认证系统。

背景技术

随着网络科技的快速发展，视联网应用(如，视频会议、视频教学等)在用户的生活、工作、学习等方面广泛普及。同时为保证视联网正常运行，维护、监视和控制视联网内设备的运行，管理视联网网络结构，视联网运营级网管服务器(以下简称“网管服务器”)应运而生。网管客户端需要认证后才能登陆到网管服务器，接入视联网，从而获取视联网中的相关数据，或对视联网中的设备进行相关操作。

但是现有的网管客户端合法性的认证是通过网管服务器单独认证。网管客户端使用U盾、用户名和密码的方式，向网管服务器发送认证信息。网管服务器根据客户信息进行数据库验证。这种认证方法的缺陷是：1)网管服务器作为互联网和视联网的中间接口，容易遭受来自互联网的攻击。2)网管客户端使用U盾不利于网管客户端的使用，U盾的安全性成为系统安全性的软肋。并且网管服务器下属的网管设备只是使用自身信息向网管服务器进行连接申请，会导致网管服务器认证混乱，多网管服务器的情况下，认证不统一，不便于统一管理。

发明内容

鉴于上述问题，提出了本发明实施例以便提供一种克服上述问题或者至少部分地解决上述问题的一种视联网网管安全认证方法和相应的一种视联网网管安全认证系统。

为了解决上述问题，本发明实施例公开了一种视联网网管安全认证方法，所述方法应用于视联网中网管客户端的认证，所述方法包括：

验证接收到的网管客户端的客户信息是否合法，若合法生成第一唯一认证ID，并将所述第一唯一认证ID发送给网管服务器；所述客户信息包括用户名和用户密码；

接收所述网管服务器发送的所述第一唯一认证ID和网管认证ID，验证所述网管认证ID是否合法；

若所述网管认证ID合法，生成第一验证码，并将所述第一验证码发送给所述网管服务器；

认证接收的所述第一验证码是否合法，并将认证结果发送给所述网管服务器。

优选地，所述视联网网管安全认证方法还包括：

认证接收的网管服务器ID和网管服务器认证密码是否合法；

若所述网管服务器ID和网管服务器认证密码合法，向所述网管服务器发送所述网管认证ID。

优选地，所述接收所述网管服务器发送的所述第一唯一认证ID和网管认证ID，验证所述网管认证ID是否合法的步骤，包括：

认证接收的所述第一唯一认证ID和网管认证ID是否符合视联网协议；

若符合所述视联网协议，认证所述网管认证ID是否合法。

优选地，所述若所述网管认证ID合法，生成第一验证码，并将所述第一验证码发送给所述网管服务器的步骤，包括：

若所述网管认证ID合法，基于所述第一唯一认证ID生成第一验证码。

优选地，所述若所述网管认证ID合法，生成第一验证码，并将所述第一验证码发送给所述网管服务器的步骤之后，还包括：

所述网管服务器将接收的所述第一验证码发送给绑定的移动终端；

所述网管服务器将所述网管客户端发送过来的所述第一验证码发送给认证服务器进行认证；

若所述网管服务器接收到所述第一验证码认证成功的结果，建立与所述网管客户端的通信连接。

本发明实施例还提供了一种视联网网管安全认证方法，所述方法应用于视联网中网管设备的认证，所述方法包括：

将设备ID和设备认证密码发送给认证服务器，获取第二唯一认证ID；

将接收的第二唯一认证ID、所述设备ID以及所述设备认证密码发送给所述认证服务器，获取第二验证码；

将接收的第二验证码、所述第二唯一认证ID、所述设备ID以及所述设备认证密码发送给网管服务器请求建立通信连接。

优选地，所述将接收的第二验证码、所述第二唯一认证ID、所述设备ID以及所述设备认证密码发送给网管服务器请求连接的步骤之后，包括：

所述认证服务器接收所述网管服务器发送的所述第二验证码、所述第二唯一认证ID、所述设备ID以及所述设备认证密码，并生成第三验证码；

所述认证服务器检测所述第三验证码与所述第二验证码是否相同；

若所述第三验证码与所述第二验证码相同，所述认证服务器将认证成功的信息发送给所述网管服务器。

本发明实施例还提供了一种视联网网管安全认证系统，所述方法应用于视联网中，包括：网管客户端、网管服务器以及认证服务器；所述网管客户端连接所述网管服务器，所述网管服务器连接所述认证服务器；

所述认证服务器包括：

第一唯一认证ID生成模块，用于验证接收到的网管客户端的客户信息是否合法，若合法生成第一唯一认证ID，并将所述第一唯一认证ID发送给网管服务器；所述客户信息包括用户名和用户密码；

信息接收模块，用于接收所述网管服务器发送的所述第一唯一认证ID以及网管认证ID；

第一认证模块，用于认证所述网管认证ID是否合法；

第一验证码生成模块，用于若所述网管认证ID合法，生成第一验证码，并将所述第一验证码发送给所述网管服务器；

第二认证模块，用于认证接收的所述第一验证码是否合法，并将认证结果发送给所述网管服务器。

优选地，所述网管服务器包括：

第一验证码发送模块，用于将所述第一验证码发送给绑定的移动终端；

第一验证码认证模块，用于将所述网管客户端发送过来的所述第一验证码发送给认证服务器进行认证；

通信连接建立模块，用于若接收到所述第一验证码认证成功的结果，建立与所述网管客户端的通信连接。

本发明实施例还提供了一种视联网网管安全认证系统，所述方法应用于视联网中，包括：网管设备、网管服务器以及认证服务器；所述网管设备连接所述网管服务器和所述认证服务器，所述网管服务器连接所述认证服务器；

所述网管设备包括：

第二唯一认证ID获取模块，用于将设备ID和设备认证密码发送给认证服务器，获取第二唯一认证ID；

第二验证码获取模块，用于将接收的第二唯一认证ID、所述设备ID以及所述设备认证密码发送给所述认证服务器，获取第二验证码；

请求连接模块，用于将接收的第二验证码、所述第二唯一认证ID、所述设备ID以及所述设备认证密码发送给网管服务器请求建立通信连接。

本发明实施例包括以下优点：

本发明实施例应用视联网的特性，通过认证服务器提供了视联网网管服务器的统一安全认证平台，更加便于统一管理，提高管理效率；

网管客户端或网管设备欲接入网管服务器，需要至少经过两次认证，一次认证服务器对自身信息的认证，二是网管服务器对自身信息的认证，从而有效避免网管客户端或网管设备对视联网的非法访问；

网管服务器向认证服务器认证网管客户端信息合法性的过程中，通过手机验证码的方式进行，可以减少认证材料费用的支出，认证过程更加方便快捷。

附图说明

图1是本发明的一种视联网的组网示意图；

图2是本发明的一种节点服务器的硬件结构示意图；

图3是本发明的一种接入交换机的硬件结构示意图；

图4是本发明的一种以太网协转网关的硬件结构示意图；

图5是本发明的一种视联网网管安全认证方法实施例一的步骤流程图；

图6是本发明的一种视联网网管安全认证方法实施例二的步骤流程图；

图7是本发明的一种视联网网管安全认证系统实施例一的结构框图；

图8是本发明的一种视联网网管安全认证系统实施例一中认证服务器的结构框图；

图9是本发明的一种视联网网管安全认证系统实施例一中网管服务器的结构框图；

图10是本发明的一种视联网网管安全认证系统实施例二的结构框图；

图11是本发明的一种视联网网管安全认证系统实施例二中网管设备的结构框图；

图12是本发明的一种视联网网管安全认证系统实施例二中认证服务器的结构框图。

具体实施方式

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。

视联网是网络发展的重要里程碑，是一个实时网络，能够实现高清视频实时传输，将众多互联网应用推向高清视频化，高清面对面。

视联网采用实时高清视频交换技术，可以在一个网络平台上将所需的服务，如高清视频会议、视频监控、智能化监控分析、应急指挥、数字广播电视、延时电视、网络教学、现场直播、VOD点播、电视邮件、个性录制(PVR)、内网(自办)频道、智能化视频播控、信息发布等数十种视频、语音、图片、文字、通讯、数据等服务全部整合在一个系统平台，通过电视或电脑实现高清品质视频播放。

为使本领域技术人员更好地理解本发明实施例，以下对视联网进行介绍：

视联网所应用的部分技术如下所述：

网络技术(Network Technology)

视联网的网络技术创新改良了传统以太网(Ethernet)，以面对网络上潜在的巨大视频流量。不同于单纯的网络分组包交换(Packet Switching)或网络电路交换(CircuitSwitching)，视联网技术采用Packet Switching满足Streaming需求。视联网技术具备分组交换的灵活、简单和低价，同时具备电路交换的品质和安全保证，实现了全网交换式虚拟电路，以及数据格式的无缝连接。

交换技术(Switching Technology)

视联网采用以太网的异步和包交换两个优点，在全兼容的前提下消除了以太网缺陷，具备全网端到端无缝连接，直通用户终端，直接承载IP数据包。用户数据在全网范围内不需任何格式转换。视联网是以太网的更高级形态，是一个实时交换平台，能够实现目前互联网无法实现的全网大规模高清视频实时传输，将众多网络视频应用推向高清化、统一化。

服务器技术(Server Technology)

视联网和统一视频平台上的服务器技术不同于传统意义上的服务器，它的流媒体传输是建立在面向连接的基础上，其数据处理能力与流量、通讯时间无关，单个网络层就能够包含信令及数据传输。对于语音和视频业务来说，视联网和统一视频平台流媒体处理的复杂度比数据处理简单许多，效率比传统服务器大大提高了百倍以上。

储存器技术(Storage Technology)

统一视频平台的超高速储存器技术为了适应超大容量和超大流量的媒体内容而采用了最先进的实时操作系统，将服务器指令中的节目信息映射到具体的硬盘空间，媒体内容不再经过服务器，瞬间直接送达到用户终端，用户等待一般时间小于0.2秒。最优化的扇区分布大大减少了硬盘磁头寻道的机械运动，资源消耗仅占同等级IP互联网的20％，但产生大于传统硬盘阵列3倍的并发流量，综合效率提升10倍以上。

网络安全技术(Network Security Technology)

视联网的结构性设计通过每次服务单独许可制、设备与用户数据完全隔离等方式从结构上彻底根除了困扰互联网的网络安全问题，一般不需要杀毒程序、防火墙，杜绝了黑客与病毒的攻击，为用户提供结构性的无忧安全网络。

服务创新技术(Service Innovation Technology)

统一视频平台将业务与传输融合在一起，不论是单个用户、私网用户还是一个网络的总合，都不过是一次自动连接。用户终端、机顶盒或PC直接连到统一视频平台，获得丰富多彩的各种形态的多媒体视频服务。统一视频平台采用“菜谱式”配表模式来替代传统的复杂应用编程，可以使用非常少的代码即可实现复杂的应用，实现“无限量”的新业务创新。

视联网的组网如下所述：

视联网是一种集中控制的网络结构，该网络可以是树型网、星型网、环状网等等类型，但在此基础上网络中需要有集中控制节点来控制整个网络。

如图1所示，视联网分为接入网和城域网两部分。

接入网部分的设备主要可以分为3类：节点服务器，接入交换机，终端(包括各种机顶盒、编码板、存储器等)。节点服务器与接入交换机相连，接入交换机可以与多个终端相连，并可以连接以太网。

其中，节点服务器是接入网中起集中控制功能的节点，可控制接入交换机和终端。节点服务器可直接与接入交换机相连，也可以直接与终端相连。

类似的，城域网部分的设备也可以分为3类：城域服务器，节点交换机，节点服务器。城域服务器与节点交换机相连，节点交换机可以与多个节点服务器相连。

其中，节点服务器即为接入网部分的节点服务器，即节点服务器既属于接入网部分，又属于城域网部分。

城域服务器是城域网中起集中控制功能的节点，可控制节点交换机和节点服务器。城域服务器可直接连接节点交换机，也可直接连接节点服务器。

由此可见，整个视联网络是一种分层集中控制的网络结构，而节点服务器和城域服务器下控制的网络可以是树型、星型、环状等各种结构。

形象地称，接入网部分可以组成统一视频平台(虚线圈中部分)，多个统一视频平台可以组成视联网；每个统一视频平台可以通过城域以及广域视联网互联互通。

视联网设备分类

1.1 本发明实施例的视联网中的设备主要可以分为3类：服务器，交换机(包括以太网网关)，终端(包括各种机顶盒，编码板，存储器等)。视联网整体上可以分为城域网(或者国家网、全球网等)和接入网。

1.2 其中接入网部分的设备主要可以分为3类：节点服务器，接入交换机(包括以太网网关)，终端(包括各种机顶盒，编码板，存储器等)。

各接入网设备的具体硬件结构为：

节点服务器：

如图2所示，主要包括网络接口模块201、交换引擎模块202、CPU模块203、磁盘阵列模块204；

其中，网络接口模块201，CPU模块203、磁盘阵列模块204进来的包均进入交换引擎模块202；交换引擎模块202对进来的包进行查地址表205的操作，从而获得包的导向信息；并根据包的导向信息把该包存入对应的包缓存器206的队列；如果包缓存器206的队列接近满，则丢弃；交换引擎模202轮询所有包缓存器队列，如果满足以下条件进行转发：1)该端口发送缓存未满；2)该队列包计数器大于零。磁盘阵列模块204主要实现对硬盘的控制，包括对硬盘的初始化、读写等操作；CPU模块203主要负责与接入交换机、终端(图中未示出)之间的协议处理，对地址表205(包括下行协议包地址表、上行协议包地址表、数据包地址表)的配置，以及，对磁盘阵列模块204的配置。

接入交换机：

如图3所示，主要包括网络接口模块(下行网络接口模块301、上行网络接口模块302)、交换引擎模块303和CPU模块304；

其中，下行网络接口模块301进来的包(上行数据)进入包检测模块305；包检测模块305检测包的目地地址(DA)、源地址(SA)、数据包类型及包长度是否符合要求，如果符合，则分配相应的流标识符(stream-id)，并进入交换引擎模块303，否则丢弃；上行网络接口模块302进来的包(下行数据)进入交换引擎模块303；CPU模块204进来的数据包进入交换引擎模块303；交换引擎模块303对进来的包进行查地址表306的操作，从而获得包的导向信息；如果进入交换引擎模块303的包是下行网络接口往上行网络接口去的，则结合流标识符(stream-id)把该包存入对应的包缓存器307的队列；如果该包缓存器307的队列接近满，则丢弃；如果进入交换引擎模块303的包不是下行网络接口往上行网络接口去的，则根据包的导向信息，把该数据包存入对应的包缓存器307的队列；如果该包缓存器307的队列接近满，则丢弃。

交换引擎模块303轮询所有包缓存器队列，在本发明实施例中分两种情形：

如果该队列是下行网络接口往上行网络接口去的，则满足以下条件进行转发：1)该端口发送缓存未满；2)该队列包计数器大于零；3)获得码率控制模块产生的令牌；

如果该队列不是下行网络接口往上行网络接口去的，则满足以下条件进行转发：1)该端口发送缓存未满；2)该队列包计数器大于零。

码率控制模块208是由CPU模块204来配置的，在可编程的间隔内对所有下行网络接口往上行网络接口去的包缓存器队列产生令牌，用以控制上行转发的码率。

CPU模块304主要负责与节点服务器之间的协议处理，对地址表306的配置，以及，对码率控制模块308的配置。

以太网协转网关：

如图4所示，主要包括网络接口模块(下行网络接口模块401、上行网络接口模块402)、交换引擎模块403、CPU模块404、包检测模块405、码率控制模块408、地址表406、包缓存器407和MAC添加模块409、MAC删除模块410。

其中，下行网络接口模块401进来的数据包进入包检测模块405；包检测模块405检测数据包的以太网MAC DA、以太网MAC SA、以太网length or frame type、视联网目地地址DA、视联网源地址SA、视联网数据包类型及包长度是否符合要求，如果符合则分配相应的流标识符(stream-id)；然后，由MAC删除模块410减去MAC DA、MAC SA、length or frame type(2byte)，并进入相应的接收缓存，否则丢弃；

下行网络接口模块401检测该端口的发送缓存，如果有包则根据包的视联网目地地址DA获知对应的终端的以太网MAC DA，添加终端的以太网MAC DA、以太网协转网关的MACSA、以太网length or frame type，并发送。

以太网协转网关中其他模块的功能与接入交换机类似。

终端：

主要包括网络接口模块、业务处理模块和CPU模块；例如，机顶盒主要包括网络接口模块、视音频编解码引擎模块、CPU模块；编码板主要包括网络接口模块、视音频编码引擎模块、CPU模块；存储器主要包括网络接口模块、CPU模块和磁盘阵列模块。

1.3 城域网部分的设备主要可以分为2类：节点服务器，节点交换机，城域服务器。其中，节点交换机主要包括网络接口模块、交换引擎模块和CPU模块；城域服务器主要包括网络接口模块、交换引擎模块和CPU模块构成。

2、视联网数据包定义

2.1 接入网数据包定义

接入网的数据包主要包括以下几部分：目的地址(DA)、源地址(SA)、保留字节、payload(PDU)、CRC。

如下表所示，接入网的数据包主要包括以下几部分：

DA

SA

Reserved

Payload

CRC

其中：

目的地址(DA)由8个字节(byte)组成，第一个字节表示数据包的类型(例如各种协议包、组播数据包、单播数据包等)，最多有256种可能，第二字节到第六字节为城域网地址，第七、第八字节为接入网地址；

源地址(SA)也是由8个字节(byte)组成，定义与目的地址(DA)相同；

保留字节由2个字节组成；

payload部分根据不同的数据报的类型有不同的长度，如果是各种协议包的话是64个字节，如果是单组播数据包话是32+1024＝1056个字节，当然并不仅仅限于以上2种；

CRC有4个字节组成，其计算方法遵循标准的以太网CRC算法。

2.2 城域网数据包定义

城域网的拓扑是图型，两个设备之间可能有2种、甚至2种以上的连接，即节点交换机和节点服务器、节点交换机和节点交换机、节点交换机和节点服务器之间都可能超过2种连接。但是，城域网设备的城域网地址却是唯一的，为了精确描述城域网设备之间的连接关系，在本发明实施例中引入参数：标签，来唯一描述一个城域网设备。

本说明书中标签的定义和MPLS(Multi-Protocol Label Switch，多协议标签交换)的标签的定义类似，假设设备A和设备B之间有两个连接，那么数据包从设备A到设备B就有2个标签，数据包从设备B到设备A也有2个标签。标签分入标签、出标签，假设数据包进入设备A的标签(入标签)是0x0000，这个数据包离开设备A时的标签(出标签)可能就变成了0x0001。城域网的入网流程是集中控制下的入网过程，也就意味着城域网的地址分配、标签分配都是由城域服务器主导的，节点交换机、节点服务器都是被动的执行而已，这一点与MPLS的标签分配是不同的，MPLS的标签分配是交换机、服务器互相协商的结果。

如下表所示，城域网的数据包主要包括以下几部分：

DA

SA

Reserved

标签

Payload

CRC

即目的地址(DA)、源地址(SA)、保留字节(Reserved)、标签、payload(PDU)、CRC。其中，标签的格式可以参考如下定义：标签是32bit，其中高16bit保留，只用低16bit，它的位置是在数据包的保留字节和payload之间。

基于视联网的上述特性，提出了本发明实施例的核心构思之一，遵循视联网的协议，通过认证服务器对欲接入网管服务器的网管客户端或网管设备进行统一认证。

参照图5，示出了本发明的一种视联网网管安全认证方法实施例一的步骤流程图，该方法应用于视联网中网管客户端的认证，本发明实施例从认证服务器一侧进行说明，所述方法具体可以包括如下步骤：

步骤501，验证接收到的网管客户端的客户信息是否合法，若合法生成第一唯一认证ID，并将所述第一唯一认证ID发送给网管服务器。所述客户信息包括用户名和用户密码。

第一唯一认证ID可以是32位的唯一认证ID。

在本发明实施例中，网管客户端和网管服务器之间基于TCP/IP(TransmissionControl Protocol/Internet Protocol，传输控制协议/因特网互联协议，又名网络通讯协议)进行通信，通讯数据采用AES(Advanced Encryption Standard，高级加密标准)进行加密；网管服务器和认证服务器之间采用视联网协议进行通信，通信数据采用AES进行加密。

在具体实现中，首先需要验证接收到的网管客户端的客户信息是否符合视联网协议；若符合视联网协议，则认证该客户信息是否与存储的客户信息一致，即是否合法。网管服务器会把合法的网管客户端的客户信息发送给认证服务器进行储存，从而用于认证欲接入网管服务器的网管客户端的客户信息的合法性。

步骤502，接收所述网管服务器发送的所述第一唯一认证ID和网管认证ID，验证所述网管认证ID是否合法。

网管认证ID可以为32位的认证ID。

在本发明实施例中，每次网管服务器与认证服务器建立通信连接时，认证服务器会向与其建立通信连接的网管服务器发送网管认证ID，该过程具体的方法包括：

子步骤11，认证接收的网管服务器ID和网管服务器认证密码是否合法。

认证服务器会给每个网管服务器设置不同的网管服务器ID和网管服务器认证密码，网管服务器每次启动的时候，都需要通过网管服务器ID和网管服务器认证密码向认证服务器进行认证。认证服务器将接收到的网管服务器ID和网管服务器认证密码与存储的该网管服务器对应的网管服务器ID和网管服务器认证密码进行对比认证，若相同说明网管服务器ID以及网管服务器认证密码是合法的，即认证成功。

子步骤12，若所述网管服务器ID以及网管服务器认证密码合法，向所述网管服务器发送所述网管认证ID。

网管认证ID是认证服务器随机分配给网管服务器的，在网管服务器与认证服务器未断开之前，网管服务器一直会使用该网管认证ID。

若网管服务器与认证服务器的连接断开，需要重新启动时，即重新建立通信连接时，认证服务器会向网管服务器发送新的网管认证ID。

在本发明实施例的一种优选示例中，步骤502具体可以包括：

子步骤21，认证接收的所述第一唯一认证ID和网管认证ID是否符合视联网协议。

视联网协议属于二层私有协议，是经过AES加密的。网管服务器发送给认证服务器的认证信息(所述第一唯一认证ID和网管认证ID)也必须符合视联网协议的规定，才可以进行进一步的认证。

子步骤22，若符合所述视联网协议，认证所述网管认证ID是否合法。

通过对网管认证ID进行的认证，来对网管服务器进行认证，从而防止非法设备连入视联网中。

步骤503，若所述网管认证ID合法，生成第一验证码，并将所述第一验证码发送给所述网管服务器。

在本发明实施例中，若所述网管认证ID合法，可以基于所述第一唯一认证ID生成6位的第一验证码。

若网管认证ID认证失败，则将认证失败的结果发送给网管服务器，网管服务器则拒绝该网管客户端的访问，即拒绝与该网管客户端建立通信连接。

若网管认证ID被认证合法后，则将认证成功的结果发送给网管服务器。认证成功的结果可以包括网管认证ID、第一唯一认证ID以及生成的第一验证码。网管服务器接收到认证成功的结果后，进行如下操作：

子步骤31，所述网管服务器将接收的所述第一验证码发送给绑定的移动终端。

在具体实现中，可以将第一验证码的有效期设置为1分钟。移动终端可以为手机，所以第一验证码可以通过手机短信的方式发送给网管客户端，网管客户端将该第一验证码发送给网管服务器，从而实现真正的登录。

网管服务器向认证服务器认证网管客户端信息合法性的过程中，通过手机验证码的方式进行，可以减少认证材料费用的支出，认证过程更加方便快捷。

子步骤32，所述网管服务器将所述网管客户端发送过来的所述第一验证码发送给认证服务器进行认证。

步骤504，认证接收的所述第一验证码是否合法，并将认证结果发送给所述网管服务器。

若网管服务器接收到所述第一验证码认证成功的结果，建立与该网管客户端的通信连接，即允许该网管客户端的访问(登录)。

由于，认证服务器处在视联网内部，物理上是与外部互联网隔离开的，外部互联网用户无法直接访问到它。并且，访问认证服务器需要通过视联网协议的认证，视联网协议是二层通信协议，避免了互联网中TCP/IP协议的威胁。所以，可以保证认证服务器的访问安全性。

参照图6，示出了本发明的一种视联网网管安全认证方法实施例二的步骤流程图，该方法可以应用于视联网中网管设备的认证。网管设备为网管服务器下设的辅助设备，例如数据采集服务器、共享文件服务器、分布式数据库服务器等。网管服务器可以利用网管设备管理视联网中的设备。

本发明实施例从网管设备一侧进行说明，所述方法具体可以包括如下步骤：

步骤601，将设备ID和设备认证密码发送给认证服务器，获取第二唯一认证ID。

网管设备与认证服务器之间通过视联网进行通信。获取的第二唯一认证ID可以为32位的验证码。

步骤602，将接收的第二唯一认证ID、所述设备ID以及所述设备认证密码发送给所述认证服务器，获取第二验证码。

再具体实现中，认证服务器首先利用接收的设备ID和设备认证密码认证网管设备身份的合法性；认证成功后，认证服务器可以根据设备ID和第二唯一认证ID生成32位的第二验证码，

步骤603，将接收的第二验证码、所述第二唯一认证ID、所述设备ID以及所述设备认证密码发送给网管服务器请求建立通信连接。

在本发明实施例中，若网管服务器接收到网管设备发送的请求建立通信连接的信息，网管服务器将接收到的认证信息(第二验证码、第二唯一认证ID、设备ID以及设备认证密码)再次发送给认证服务器进行认证，认证服务器的认证过程可以包括：

子步骤41，所述认证服务器接收所述网管服务器发送的所述第二验证码、所述第二唯一认证ID、所述设备ID以及所述设备认证密码，并生成第三验证码。

在具体实现中，认证服务器可以根据设备ID和第二唯一认证ID生成32位的第三验证码。第三验证码的生成规则与第二验证码的生成规则相同。

子步骤42，所述认证服务器检测所述第三验证码与所述第二验证码是否相同。

子步骤43，若所述第三验证码与所述第二验证码相同，所述认证服务器将认证成功的信息发送给所述网管服务器。

若网管服务器接收到所述第二验证码认证成功的信息，则建立与该网管设备的通信连接，即允许该网管设备的访问(登录)。

本发明实施例通过认证服务器提供了视联网网管服务器的统一安全认证平台，将认证数据进行统一的管理。认证服务器可以对多种网管设备进行认证，也便于以后对增加新的网管设备进行认证，提高管理效率。

综上所述，网管客户端或网管设备欲接入网管服务器，需要至少经过两次认证，一次认证服务器对自身信息的认证，二是网管服务器对自身信息的认证，从而有效避免网管客户端或网管设备对视联网的非法访问，保证了视联网环境的安全性。

需要说明的是，对于方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明实施例并不受所描述的动作顺序的限制，因为依据本发明实施例，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作并不一定是本发明实施例所必须的。

参照图7，示出了本发明的一种视联网网管安全认证系统实施例一的结构框图，该系统应用于视联网中，该系统可以包括：网管客户端1、网管服务器2以及认证服务器3；所述网管客户端1通过TCP/IP协议连接所述网管服务器2，所述网管服务器2通过视联网协议连接所述认证服务器3。

如图8所示，所述认证服务器3包括：

第一唯一认证ID生成模块731，用于验证接收到的网管客户端1的客户信息是否合法，若合法生成第一唯一认证ID，并将所述第一唯一认证ID发送给网管服务器2；所述客户信息包括用户名和用户密码。

信息接收模块732，用于接收所述第一唯一认证ID以及网管认证ID。

第一认证模块733，用于认证所述网管认证ID是否合法。

在本发明实施例的一种优选示例中，所述第一认证模块733可以包括：

协议认证单元，用于认证接收的所述第一唯一认证ID以及网管认证ID是否符合视联网协议；

网管认证ID认证单元，用于若符合所述视联网协议，认证所述网管认证ID是否合法。

第一验证码生成模块734，用于若所述网管认证ID合法，生成第一验证码，并将所述第一验证码发送给所述网管服务器2。

在本发明实施例中，所述第一验证码是基于第一唯一认证ID生成的。

第二认证模块735，用于认证接收的所述第一验证码是否合法，并将认证结果发送给所述网管服务器2。

在本发明实施例中，每次网管服务器2与认证服务器3建立通信连接时，认证服务器3会向与其建立通信连接的网管服务器2发送网管认证ID。所以，认证服务器3还包括：

网管服务器认证模块736，用于认证接收的网管服务器ID和网管服务器认证密码是否合法；

网管认证ID生成模块737，用于若所述网管服务器ID以及网管服务器认证密码合法，向所述网管服务器2发送所述网管认证ID。

如图9所示，所述网管服务器2包括：

第一验证码发送模块721，用于将接收的所述第一验证码发送给绑定的移动终端。

在具体实现中，可以将第一验证码的有效期设置为1分钟。移动终端可以为手机，所以第一验证码可以通过手机短信的方式发送给网管客户端1，网管客户端1将该第一验证码发送给网管服务器2，从而实现真正的登录。

第一验证码认证模块722，用于将所述网管客户端1发送过来的所述第一验证码发送给认证服务器3进行认证；

客户端通信连接建立模块723，用于若接收到所述第一验证码认证成功的结果，建立与所述网管客户端1的通信连接。

参照图10，示出了本发明的一种视联网网管安全认证系统实施例二的步骤流程图，该系统应用于视联网中，该系统包括：网管设备4、网管服务器2以及认证服务器3；所述网管设备4通过视联网协议连接所述网管服务器2和所述认证服务器3，所述网管服务器2也通过视联网协议连接所述认证服务器3。

网管设备4为网管服务器2下设的辅助设备，例如数据采集服务器、共享文件服务器、分布式数据库服务器等。网管服务器2可以利用网管设备4管理视联网中的设备。

如图11所示，所述网管设备4包括：

第二唯一认证ID获取模块841，用于将设备ID和设备认证密码发送给认证服务器3，获取第二唯一认证ID；

第二验证码获取模块842，用于将接收的第二唯一认证ID、所述设备ID以及所述设备认证密码发送给所述认证服务器3，获取第二验证码；

请求连接模块843，用于将接收的第二验证码、所述第二唯一认证ID、所述设备ID以及所述设备认证密码发送给网管服务器2请求建立通信连接。

在本发明实施例中，若网管服务器2接收到网管设备4发送的请求建立通信连接的信息，网管服务器2将接收到的认证信息(第二验证码、第二唯一认证ID、设备ID以及设备认证密码)再次发送给认证服务器3进行认证。

如图12所示，所述认证服务器3包括：

第二唯一认证ID生成模块831，用于基于接收的设备ID和设备认证密码，生成第二唯一认证ID。

第二验证码生成模块832，用于基于接收的设备ID和第二唯一认证ID生成32位的第二验证码。

第三验证码生成模块833，用于接收所述网管服务器2发送的所述第二验证码、所述第二唯一认证ID、所述设备ID以及所述设备认证密码，并生成第三验证码。

在具体实现中，认证服务器3可以根据设备ID和第二唯一认证ID生成32位的第三验证码。

第二验证码认证模块834，用于检测所述第三验证码与所述第二验证码是否相同。

认证结果发送模块835，用于若所述第三验证码与所述第二验证码相同，将认证成功的信息发送给所述网管服务器2

所述网管服务器2包括：

网管设备认证信息发送模块，用于将网管设备4发送的认证信息(第二验证码、第二唯一认证ID、设备ID以及设备认证密码)发送给认证服务器3进行认证；

网管设备通信连接建立模块，用于若接收到所述第二验证码认证成功的信息，则建立与该网管设备4的通信连接，即允许该网管设备4的访问(登录)。

对于装置(系统)实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。

本领域内的技术人员应明白，本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此，本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明实施例是参照根据本发明实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上，使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明实施例的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。

以上对本发明所提供的一种视联网网管安全认证方法和一种视联网网管安全认证系统，进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims (10)

1.一种视联网网管安全认证方法，其特征在于，所述方法应用于视联网中网管客户端的认证，所述方法包括：

验证接收到的网管客户端的客户信息是否合法，若合法生成第一唯一认证ID，并将所述第一唯一认证ID发送给网管服务器；所述客户信息包括用户名和用户密码；

接收所述网管服务器发送的所述第一唯一认证ID和网管认证ID，验证所述网管认证ID是否合法；

若所述网管认证ID合法，生成第一验证码，并将所述第一验证码发送给所述网管服务器；

认证接收的所述第一验证码是否合法，并将认证结果发送给所述网管服务器。

2.根据权利要求1所述的方法，其特征在于，还包括：

认证接收的网管服务器ID和网管服务器认证密码是否合法；

若所述网管服务器ID和网管服务器认证密码合法，向所述网管服务器发送所述网管认证ID。

3.根据权利要求1所述的方法，其特征在于，所述接收所述网管服务器发送的所述第一唯一认证ID和网管认证ID，验证所述网管认证ID是否合法的步骤，包括：

认证接收的所述第一唯一认证ID和网管认证ID是否符合视联网协议；

若符合所述视联网协议，认证所述网管认证ID是否合法。

4.根据权利要求1所述的方法，其特征在于，所述若所述网管认证ID合法，生成第一验证码，并将所述第一验证码发送给所述网管服务器的步骤，包括：

若所述网管认证ID合法，基于所述第一唯一认证ID生成第一验证码。

5.根据权利要求1所述的方法，其特征在于，所述若所述网管认证ID合法，生成第一验证码，并将所述第一验证码发送给所述网管服务器的步骤之后，还包括：

所述网管服务器将接收的所述第一验证码发送给绑定的移动终端；

所述网管服务器将所述网管客户端发送过来的所述第一验证码发送给认证服务器进行认证；

若所述网管服务器接收到所述第一验证码认证成功的结果，建立与所述网管客户端的通信连接。

6.一种视联网网管安全认证方法，其特征在于，所述方法应用于视联网中网管设备的认证，所述方法包括：

将设备ID和设备认证密码发送给认证服务器，获取第二唯一认证ID；

将接收的第二唯一认证ID、所述设备ID以及所述设备认证密码发送给所述认证服务器，获取第二验证码；

将接收的第二验证码、所述第二唯一认证ID、所述设备ID以及所述设备认证密码发送给网管服务器请求建立通信连接。

7.根据权利要求6所述的方法，其特征在于，所述将接收的第二验证码、所述第二唯一认证ID、所述设备ID以及所述设备认证密码发送给网管服务器请求连接的步骤之后，包括：

所述认证服务器接收所述网管服务器发送的所述第二验证码、所述第二唯一认证ID、所述设备ID以及所述设备认证密码，并生成第三验证码；

所述认证服务器检测所述第三验证码与所述第二验证码是否相同；

若所述第三验证码与所述第二验证码相同，所述认证服务器将认证成功的信息发送给所述网管服务器。

8.一种视联网网管安全认证系统，其特征在于，所述方法应用于视联网中，包括：网管客户端、网管服务器以及认证服务器；所述网管客户端连接所述网管服务器，所述网管服务器连接所述认证服务器；

所述认证服务器包括：

第一唯一认证ID生成模块，用于验证接收到的网管客户端的客户信息是否合法，若合法生成第一唯一认证ID，并将所述第一唯一认证ID发送给网管服务器；所述客户信息包括用户名和用户密码；

信息接收模块，用于接收所述网管服务器发送的所述第一唯一认证ID以及网管认证ID；

第一认证模块，用于认证所述网管认证ID是否合法；

第一验证码生成模块，用于若所述网管认证ID合法，生成第一验证码，并将所述第一验证码发送给所述网管服务器；

第二认证模块，用于认证接收的所述第一验证码是否合法，并将认证结果发送给所述网管服务器。

9.根据权利要求8所述的系统，其特征在于：

所述网管服务器包括：

第一验证码发送模块，用于将所述第一验证码发送给绑定的移动终端；

第一验证码认证模块，用于将所述网管客户端发送过来的所述第一验证码发送给认证服务器进行认证；

通信连接建立模块，用于若接收到所述第一验证码认证成功的结果，建立与所述网管客户端的通信连接。

10.一种视联网网管安全认证系统，其特征在于，所述方法应用于视联网中，包括：网管设备、网管服务器以及认证服务器；所述网管设备连接所述网管服务器和所述认证服务器，所述网管服务器连接所述认证服务器；

所述网管设备包括：

第二唯一认证ID获取模块，用于将设备ID和设备认证密码发送给认证服务器，获取第二唯一认证ID；

第二验证码获取模块，用于将接收的第二唯一认证ID、所述设备ID以及所述设备认证密码发送给所述认证服务器，获取第二验证码；

请求连接模块，用于将接收的第二验证码、所述第二唯一认证ID、所述设备ID以及所述设备认证密码发送给网管服务器请求建立通信连接。