硬件標(biāo)識(shí)變化的安全接入目的設(shè)備方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001 ]本發(fā)明涉及數(shù)據(jù)通信領(lǐng)域，尤其涉及硬件標(biāo)識(shí)變化的安全接入目的設(shè)備方法及系 統(tǒng)。
【背景技術(shù)】
[0002] 目前監(jiān)控在社會(huì)監(jiān)控上的應(yīng)用日益廣泛，在某些場(chǎng)合，例如工廠必須把監(jiān)控設(shè)備 放置到廠區(qū)邊界，偏僻街道必須設(shè)置IPC。這樣監(jiān)控設(shè)備就遠(yuǎn)離中心區(qū)域，物理上安全無(wú)法 保證。這些IP可能會(huì)被利用遠(yuǎn)程接入中心網(wǎng)絡(luò)，這樣就需要各種手段防止非法接入。
[0003] 現(xiàn)有技術(shù)中，在源設(shè)備與目的設(shè)備通過(guò)MAC地址作為硬件標(biāo)識(shí)，MAC地址通常是不 變的，如果通過(guò)在目的設(shè)備上對(duì)源MAC地址進(jìn)行限制，通過(guò)添加受信任MAC地址的方式來(lái)防 止非法接入，但是目前已經(jīng)可以通過(guò)強(qiáng)制設(shè)置MAC地址的方式偽造設(shè)備的地址，從而使得目 的設(shè)備接收到非法接入的設(shè)備所發(fā)送的報(bào)文與正常接入的設(shè)備相同，非法接入的設(shè)備也能 夠接入，無(wú)法保證接入安全。
[0004] 因此，如何能夠保證源設(shè)備與目的設(shè)備之間的交互安全，是當(dāng)前需要解決的問(wèn)題。

【發(fā)明內(nèi)容】

[0005] 為了解決現(xiàn)有技術(shù)所存在的問(wèn)題，本發(fā)明提供了一種方法，避免其他設(shè)備通過(guò)偽 造報(bào)文中的硬件標(biāo)識(shí)來(lái)接入目的設(shè)備。
[0006] -種硬件標(biāo)識(shí)變化的安全接入目的設(shè)備方法，用于源設(shè)備向目的設(shè)備發(fā)送報(bào)文， 包括：
[0007] 源設(shè)備按報(bào)文的發(fā)送次序得到相應(yīng)的第一序列號(hào)，基于第一序列號(hào)及第一種子及 生成隨機(jī)數(shù)并在相應(yīng)報(bào)文的目的設(shè)備硬件標(biāo)識(shí)中添加生成的隨機(jī)數(shù)；
[0008] 目的設(shè)備在收到報(bào)文后利用報(bào)文的接收次序獲得第二序列號(hào)，并基于第二序列號(hào) 及自身保存的第二種子生成對(duì)應(yīng)的隨機(jī)數(shù)用以還原報(bào)文中的硬件標(biāo)識(shí)，將還原后的硬件標(biāo) 識(shí)與自身硬件標(biāo)識(shí)進(jìn)行對(duì)比，在對(duì)比一致的情況下接收?qǐng)?bào)文，否則丟棄報(bào)文；
[0009] 其中，源設(shè)備中的第一種子及目的設(shè)備中的第二種子均僅自身可見(jiàn)。
[0010] 本發(fā)明隨機(jī)數(shù)的生成方式僅限接收方（目的設(shè)備)和發(fā)送方(源設(shè)備）自身可見(jiàn)，在 產(chǎn)生發(fā)送報(bào)文時(shí)，硬件標(biāo)識(shí)被增加的隨機(jī)數(shù)隱藏，每個(gè)報(bào)文中的隨機(jī)數(shù)均無(wú)法預(yù)測(cè)，從而增 加報(bào)文接收的安全性。隨機(jī)數(shù)可以采用種子和序列號(hào)來(lái)生成，只有發(fā)送方和接收方本身具 有，種子即為生成隨機(jī)數(shù)的一個(gè)初始值，而序列號(hào)則表示隨機(jī)數(shù)在序列中的位置。其中利用 種子和序列號(hào)生成的算法在目的設(shè)備及源設(shè)備中是相同的。當(dāng)種子處于外部設(shè)備不可見(jiàn)的 狀態(tài)時(shí)，即使外部設(shè)備能夠獲知隨機(jī)數(shù)的生成算法，也由于不能知道種子而無(wú)法生成相同 的隨機(jī)數(shù)，其他設(shè)備難以通過(guò)偽造硬件標(biāo)識(shí)來(lái)非法接入，保證了設(shè)備接入的安全性。其中本 發(fā)明所針對(duì)的報(bào)文硬件標(biāo)識(shí)隨機(jī)數(shù)添加不包括組播及廣播等特殊報(bào)文。其中，硬件標(biāo)識(shí)包 括MAC地址以及IP地址，通常情況下，硬件標(biāo)識(shí)為MAC地址。
[0011] 進(jìn)一步而言，所述目的設(shè)備在收到報(bào)文后還原所述硬件標(biāo)識(shí)并與自身硬件標(biāo)識(shí)對(duì) 比的方法包括：
[0012] 根據(jù)收到的報(bào)文順序得到初步確定的第二序列號(hào)，并利用初步確定的第二序列號(hào) 及其后續(xù)的若干位序列號(hào)分別生成對(duì)應(yīng)的隨機(jī)數(shù)；
[0013] 利用各隨機(jī)數(shù)分別進(jìn)行報(bào)文中目的設(shè)備硬件標(biāo)識(shí)還原；
[0014]將還原得到的各個(gè)硬件標(biāo)識(shí)分別與自身硬件標(biāo)識(shí)比較，當(dāng)其中一個(gè)隨機(jī)數(shù)所還原 所得硬件標(biāo)識(shí)為自身的硬件標(biāo)識(shí)時(shí)接收所述報(bào)文，該隨機(jī)數(shù)所對(duì)應(yīng)序列號(hào)為最終確定用于 還原硬件標(biāo)識(shí)的第二序列號(hào)。
[0015] 由于在發(fā)送和接收過(guò)程中，存在一定的概率丟失報(bào)文，因此，收到報(bào)文的順序可能 會(huì)變化，例如，本來(lái)在源設(shè)備發(fā)送的第3個(gè)報(bào)文，由于前面2個(gè)報(bào)文丟失，該第3個(gè)報(bào)文變成了 在目的設(shè)備接收到的第1個(gè)報(bào)文，由于目的設(shè)備通過(guò)報(bào)文收到順序來(lái)確定需要獲取的第二 序列號(hào)，為了將報(bào)文丟失的情況加以考慮，可以通過(guò)生成后續(xù)若干的序列號(hào)，逐一進(jìn)行隨機(jī) 數(shù)的生成以及還原，只要生成的這若干個(gè)隨機(jī)數(shù)的其中一者能夠還原得到與自身相同的硬 件標(biāo)識(shí)，即表明這一報(bào)文是正常的。因此這種方式使得報(bào)文處理存在一定的容錯(cuò)性，收到報(bào) 文所需生成的序列號(hào)個(gè)數(shù)由用戶根據(jù)具體情況確定。
[0016] 進(jìn)一步而言，所述目的設(shè)備在進(jìn)行當(dāng)前報(bào)文的目的設(shè)備硬件標(biāo)識(shí)還原時(shí)，如果所 得的最終確定的第二序列號(hào)與初步確定的第二序列號(hào)不同，則按照最終確定的第二序列號(hào) 更新報(bào)文的接收順序以及當(dāng)前的第二序列號(hào)，用于下一個(gè)報(bào)文的目的設(shè)備硬件標(biāo)識(shí)還原。 [0017]在報(bào)文收發(fā)的過(guò)程中，一旦出現(xiàn)報(bào)文的丟失，就會(huì)導(dǎo)致后續(xù)的序列號(hào)都不同，因 此，在當(dāng)前確定了出現(xiàn)報(bào)文丟失，則將序列號(hào)進(jìn)行修正，從而使目的設(shè)備在后續(xù)收到報(bào)文時(shí) 基于修正后的序列號(hào)進(jìn)行目的設(shè)備硬件標(biāo)識(shí)還原。
[0018] 進(jìn)一步而言，第一序列號(hào)及第二序列號(hào)進(jìn)行定期同步更新，且同一時(shí)間產(chǎn)生的第 一序列號(hào)及第二序列號(hào)始終保持一致。
[0019] 由于隨機(jī)數(shù)是通過(guò)種子和變化的序列號(hào)來(lái)確定的，種子雖然對(duì)外部設(shè)備不可見(jiàn)， 考慮到一些極端情況，例如種子設(shè)置較為簡(jiǎn)單，外部設(shè)備在獲取算法的情況下仍然可以通 過(guò)有限次猜測(cè)獲取種子，如果能夠?qū)⑿蛄刑?hào)在目的設(shè)備和源設(shè)備上進(jìn)行定期同步更新，例 如每隔1秒序列號(hào)為經(jīng)過(guò)的秒數(shù)乘以10000,那么序列號(hào)的本身也是時(shí)刻變化的，這種方法 可以增加隨機(jī)數(shù)的不可預(yù)測(cè)性，從而使非法接入的成本更大，從而進(jìn)一步保證接入的安全 性。
[0020] 進(jìn)一步而言，還包括，所述源設(shè)備在目的設(shè)備硬件標(biāo)識(shí)中增加所述隨機(jī)數(shù)后進(jìn)行 可逆算法加密，對(duì)應(yīng)地，所述目的設(shè)備收到后進(jìn)行解密后再進(jìn)行所述目的設(shè)備硬件標(biāo)識(shí)的 所述還原。
[0021] 通過(guò)加密和解密，防止報(bào)文發(fā)送過(guò)程中第三方截取報(bào)文并進(jìn)行隨機(jī)數(shù)的破解，從 而增加了設(shè)備接入安全性。
[0022] 本發(fā)明還實(shí)現(xiàn)了對(duì)應(yīng)方法的安全接入目的設(shè)備系統(tǒng)，用于解決現(xiàn)有技術(shù)存在的問(wèn) 題。
[0023] -種硬件標(biāo)識(shí)變化的安全接入目的設(shè)備系統(tǒng)，用于源設(shè)備向目的設(shè)備發(fā)送報(bào)文， 包括：
[0024] 設(shè)于源設(shè)備中的源設(shè)備隨機(jī)數(shù)添加單元，用于按報(bào)文的發(fā)送次序得到相應(yīng)的第一 序列號(hào)，基于第一序列號(hào)及第一種子及生成隨機(jī)數(shù)并在相應(yīng)報(bào)文的目的設(shè)備硬件標(biāo)識(shí)中添 加生成的隨機(jī)數(shù)；
[0025] 設(shè)于目的設(shè)備中的目的設(shè)備硬件標(biāo)識(shí)還原單元，用于在收到報(bào)文后利用報(bào)文的接 收次序獲得第二序列號(hào)，并基于第二序列號(hào)及自身保存的第二種子生成對(duì)應(yīng)的隨機(jī)數(shù)用以 還原報(bào)文中的硬件標(biāo)識(shí)，將還原后的硬件標(biāo)識(shí)與自身硬件標(biāo)識(shí)進(jìn)行對(duì)比，在對(duì)比一致的情 況下接收?qǐng)?bào)文，否則丟棄報(bào)文；
[0026] 其中，源設(shè)備隨機(jī)數(shù)添加單元中的第一種子僅源設(shè)備自身可見(jiàn)，且目的設(shè)備硬件 標(biāo)識(shí)還原單元中的第二種子僅目的設(shè)備自身可見(jiàn)。
[0027] 本發(fā)明隨機(jī)數(shù)的生成方式僅限接收方（目的設(shè)備)和發(fā)送方(源設(shè)備）自身可見(jiàn)，在 產(chǎn)生發(fā)送報(bào)文時(shí)，硬件標(biāo)識(shí)被增加的隨機(jī)數(shù)隱藏，每個(gè)報(bào)文中的隨機(jī)數(shù)均無(wú)法預(yù)測(cè)，從而增 加報(bào)文接收的安全性。隨機(jī)數(shù)可以采用種子和序列號(hào)來(lái)生成，只有發(fā)送方和接收方本身具 有其中利用種子和序列號(hào)生成的算法在目的設(shè)備及源設(shè)備中是相同的。當(dāng)種子處于外部設(shè) 備不可見(jiàn)的狀態(tài)時(shí)，即使外部設(shè)備能夠獲知隨機(jī)數(shù)的生成算法，也由于不能知道種子而無(wú) 法生成相同的隨機(jī)數(shù)，其他設(shè)備難以通過(guò)偽造硬件標(biāo)識(shí)來(lái)非法接入，保證了設(shè)備接入的安 全性。其中本發(fā)明所針對(duì)的報(bào)文硬件標(biāo)識(shí)隨機(jī)數(shù)添加不包括組播及廣播等特殊報(bào)文。其中， 硬件標(biāo)識(shí)包括MAC地址以及IP地址，通常情況下，硬件標(biāo)識(shí)為MAC地址。
[0028] 進(jìn)一步而言，所述目的設(shè)備硬件標(biāo)識(shí)還原單元還原所述硬件標(biāo)識(shí)并與自身硬件標(biāo) 識(shí)對(duì)比的方法包括：
[0029]根據(jù)收到的報(bào)文順序得到初步確定的第二序列號(hào)，并利用初步確定的第二序列號(hào) 及其后續(xù)的若干位序列號(hào)分別生成對(duì)應(yīng)的隨機(jī)數(shù)；
[0030]利用各隨機(jī)數(shù)分別進(jìn)行報(bào)文中目的設(shè)備硬件標(biāo)識(shí)還原；
[0031 ]將還原得到的各個(gè)硬件標(biāo)識(shí)分別與自身硬件標(biāo)識(shí)比較，當(dāng)其中一個(gè)隨機(jī)數(shù)所還原 所得硬件標(biāo)識(shí)為自身的硬件標(biāo)識(shí)時(shí)接收所述報(bào)文，該隨機(jī)數(shù)