楼宇网关的VPN网络接入方法、装置、设备及存储介质
文献发布时间:2023-06-19 19:18:24
技术领域
本发明属于楼宇网络管理的技术领域,尤其涉及楼宇网关的VPN网络接入方法、装置、设备及存储介质。
背景技术
随着云计算、物联网等技术在楼宇信息化领域的加速融合,为智慧楼宇带来广阔的发展机遇的同时,也导致楼宇系统接入范围不断扩展,楼宇网络构成愈加复杂,增加了系统遭受网络攻击的风险。
为了提升楼宇系统的网络安全,相关技术中提及的网络安全应对方式,主要围绕安全漏洞进行分析与检测,并依据检测结果,另行部署专用网络安全设备(如防火墙等),并完成对应安全策略制定与配置。但其针对楼宇系统会存在以下问题:
1)网络安全链路构建效率低
为保证楼宇现场设备组成的子网与云端中心平台间经由广域网的互访链路的安全,一般会在现场用户站点侧的广域网入口配备具有VPN接入功能的专用防火墙或路由器,以建立用户侧子网与云端中心平台间的安全链路。但现有方案,每次新增用户分支站点,均需按新站点的现场网络环境,手动配置多种参数,导致现场调试及后期维护工作繁杂,安全链路构建效率低。
2)系统部署关键信息的安全性不足
以标准防火墙或路由器进行楼宇系统的VPN构建,其构建参数均在防火墙或路由器进行设置与保存,每次新增VPN分支站点或维护时,需现场进行查询显示、输入与修改等操作,导致VPN密钥和认证凭证等高敏感或机密性参数难以有效管理,存在较严重的本地泄露的可能,也提高了本地非授权用户/设备非法接入VPN平台中心侧的安全性风险。
3)安全管理对工程人员专业性要求高、适应性低
用户侧站点的本地楼宇系统面临的网络威胁,一方面是楼宇系统接入广域网后的来自互联网的攻击,另一方面是楼宇本地内网的非法设备接入或非授信条件下的业务访问,但相关技术中的网络安全设备与楼宇业务缺乏融合,需由专业网络管理员(或IT人员)依据当前网络环境进行评估,操作繁琐且对人员专业水平依赖性较高。
发明内容
本发明提供了楼宇网关的VPN网络接入方法、装置、设备及存储介质,以解决相关技术在应对楼宇系统的网络安全时存在的效率低、安全性不足以及适应性低的问题。
根据本发明的第一方面,提供了一种楼宇网关的VPN网络接入方法,所述方法应用于楼宇网关中,一个所述楼宇网关对应一个或多个楼宇站点,所述楼宇站点包括一个或多个楼宇终端设备以及与各所述楼宇终端设备连接的楼宇控制器,所述楼宇终端设备通过所述楼宇控制器接入至所述楼宇网关中;所述楼宇网关与楼宇管理平台进行通信;所述方法包括:
当需要进行接入验证时,获取所述楼宇网关自身的网关设备信息,并基于所述网关设备信息向所述楼宇管理平台发起加密初始验证请求;
当接收到所述楼宇管理平台基于所述加密初始验证请求返回的加密初始验证通过通知时,从所述加密初始验证通过通知中提取出第一验证信息;
基于所述第一验证信息生成第二验证信息,并基于所述第二验证信息向所述楼宇管理平台发起加密二次验证请求;
当接收到所述楼宇管理平台对所述加密二次验证请求进行验证通过后、返回的加密隧道构建信息时,基于所述加密隧道构建信息建立所述楼宇网关与所述楼宇管理平台之间的VPN网络隧道。
根据本发明的第二方面,提供了一种楼宇网关的VPN网络接入方法,所述方法应用于楼宇管理平台中,所述楼宇管理平台与一个或多个楼宇网关进行通信;一个所述楼宇网关对应一个或多个楼宇站点,所述楼宇站点包括一个或多个楼宇终端设备以及与各所述楼宇终端设备连接的楼宇控制器,所述楼宇终端设备通过所述楼宇控制器接入至所述楼宇网关中;所述方法包括:
当接收到需要进行接入验证的目标楼宇网关发送的加密初始验证请求以后,对所述加密初始验证请求进行解密,获得目标网关设备信息;
对所述目标网关设备信息进行验证,并在对所述目标网关设备信息的验证通过以后,获取第一验证信息;
对所述第一验证信息加密生成加密初始验证通过通知,并将所述加密初始验证通过通知发送至所述目标楼宇网关;
接收所述目标楼宇网关基于所述加密初始验证通过通知发送的加密二次验证请求,对所述加密二次验证请求进行解密获得第二验证信息;
对所述第二验证信息进行验证,当对所述第二验证信息的验证通过以后,获取与所述目标楼宇网关对应的隧道构建信息,并将所述隧道构建信息进行加密后发送至所述目标楼宇网关,以建立与所述目标楼宇网关之间的VPN网络隧道。
根据本发明的第三方面,提供了一种楼宇网关的VPN网络接入装置,所述装置应用于楼宇网关中,一个所述楼宇网关对应一个或多个楼宇站点,所述楼宇站点包括一个或多个楼宇终端设备以及与各所述楼宇终端设备连接的楼宇控制器,所述楼宇终端设备通过所述楼宇控制器接入至所述楼宇网关中;所述楼宇网关与楼宇管理平台进行通信;所述装置包括:
获取模块,用于当需要进行接入验证时,获取所述楼宇网关自身的网关设备信息;
第一发起模块,用于基于所述网关设备信息向所述楼宇管理平台发起加密初始验证请求;
提取模块,用于当接收到所述楼宇管理平台基于所述加密初始验证请求返回的加密初始验证通过通知时,从所述加密初始验证通过通知中提取出第一验证信息;
生成模块,用于基于所述第一验证信息生成第二验证信息;
第二发起模块,用于基于所述第二验证信息向所述楼宇管理平台发起加密二次验证请求;
VPN网络隧道建立模块,用于当接收到所述楼宇管理平台对所述加密二次验证请求进行验证通过后、返回的加密隧道构建信息时,基于所述加密隧道构建信息建立所述楼宇网关与所述楼宇管理平台之间的VPN网络隧道。
根据本发明的第四方面,提供了一种楼宇网关的VPN网络接入装置,所述装置应用于楼宇管理平台中,所述楼宇管理平台与一个或多个楼宇网关进行通信;一个所述楼宇网关对应一个或多个楼宇站点,所述楼宇站点包括一个或多个楼宇终端设备以及与各所述楼宇终端设备连接的楼宇控制器,所述楼宇终端设备通过所述楼宇控制器接入至所述楼宇网关中;所述装置包括:
解密模块,用于当接收到需要进行接入验证的目标楼宇网关发送的加密初始验证请求以后,对所述加密初始验证请求进行解密,获得目标网关设备信息;
第一验证信息获取模块,用于对所述目标网关设备信息进行验证,并在对所述目标网关设备信息的验证通过以后,获取第一验证信息;
加密模块,用于对所述第一验证信息加密生成加密初始验证通过通知;
发送模块,用于将所述加密初始验证通过通知发送至所述目标楼宇网关;
第二验证信息获取模块,用于接收所述目标楼宇网关基于所述加密初始验证通过通知发送的加密二次验证请求,对所述加密二次验证请求进行解密获得第二验证信息;
执行模块,用于对所述第二验证信息进行验证,当对所述第二验证信息的验证通过以后,获取与所述目标楼宇网关对应的隧道构建信息,并将所述隧道构建信息进行加密后发送至所述目标楼宇网关,以建立与所述目标楼宇网关之间的VPN网络隧道。
根据本发明的第五方面,提供了一种电子设备,所述电子设备包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行本发明任一实施例所述的一种楼宇网关的VPN网络接入方法。
根据本发明的第六方面,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现本发明任一实施例所述的一种楼宇网关的VPN网络接入方法。
本发明实施例的技术方案提供了一种应用于楼宇网关的楼宇网关的VPN网络接入方法,一个楼宇网关对应一个或多个楼宇站点,楼宇站点包括一个或多个楼宇终端设备以及与各楼宇终端设备连接的楼宇控制器,楼宇终端设备通过楼宇控制器接入至楼宇网关中,楼宇网关与楼宇管理平台进行通信,当需要进行接入验证时,获取楼宇网关自身的网关设备信息,并基于网关设备信息向楼宇管理平台发起加密初始验证请,以进行第一次验证,当接收到楼宇管理平台基于加密初始验证请求返回的加密初始验证通过通知时,从加密初始验证通过通知中提取出第一验证信息,基于第一验证信息生成第二验证信息,并基于第二验证信息向楼宇管理平台发起加密二次验证请求,以进行第二次验证,当接收到楼宇管理平台对加密二次验证请求进行验证通过后、返回的加密隧道构建信息时,基于加密隧道构建信息建立楼宇网关与楼宇管理平台之间的VPN网络隧道,通过动态二次加密的验证链路,实现楼宇网关安全、自动地与楼宇管理平台完成连接,无需依赖人工操作以及人为管理机密信息,从而提升了多站点构建时VPN分支侧拓展的安全性,同时,也有效简化了楼宇站点的现场部署与调试工作,提高了使用便捷性。
应当理解,本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征,也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例一提供的一种楼宇网关的VPN网络接入方法流程图;
图2是根据本发明实施例一提供的一种楼宇综合管理的安全网络架构图;
图3是根据本发明实施例一提供的一种楼宇网关结构图;
图4是根据本发明实施例二提供的一种楼宇网关的VPN网络接入方法流程图;
图5是根据本发明实施例二提供的一种网关设备信息表示意图;
图6是根据本发明实施例二提供的一种部署信息表示意图;
图7是根据本发明实施例三提供的一种楼宇网关的VPN网络接入装置结构示意图;
图8是根据本发明实施例四提供的一种楼宇网关的VPN网络接入装置结构示意图;
图9是实现本发明实施例的一种楼宇网关的VPN网络接入方法的电子设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例一
图1为本发明实施例一提供的一种楼宇网关的VPN网络接入方法流程图,该方法应用于楼宇网关中,一个楼宇网关对应一个或多个楼宇站点,楼宇站点包括一个或多个楼宇终端设备以及与各楼宇终端设备连接的楼宇控制器,楼宇终端设备通过楼宇控制器接入至楼宇网关中;楼宇网关与楼宇管理平台进行通信。
该方法可以由一种楼宇网关的VPN网络接入装置来执行,该用于楼宇网关的VPN网络接入装置可以采用硬件和/或软件的形式实现。
如图1所示,本实施例可以包括如下步骤:
S110,当需要进行接入验证时,获取楼宇网关自身的网关设备信息,并基于网关设备信息向楼宇管理平台发起加密初始验证请求。
在本实施例中,在楼宇管理平台内,管理着多个楼宇站点,对楼宇管理平台而言,楼宇站点可以看作是用户侧分支站点。每个楼宇网关对应一个或多个楼宇站点,楼宇网关与楼宇管理平台进行通信。楼宇站点中可以有一个或多个楼宇终端设备以及与各楼宇终端设备连接的楼宇控制器,楼宇终端设备可以通过楼宇控制器接入至楼宇网关中。其中,楼宇管理平台可以是云平台。
示例性的,参考图2的一种楼宇综合管理的安全网络架构图,楼宇网关要实现与楼宇管理平台的通信,可以通过接入指定的广域网中实现。
对于一般较大规模楼宇或建筑群的用户本地侧区域性的管理对象,由部署于楼宇本地局域网络的楼宇网关及各类业务子系统构成,涵盖门禁管理、访客管理、照明管理、电能管理、空调管理、梯控管理等业务子系统,每类业务子系统包括对应楼宇控制器和终端设备。示例性的,如图2所示,每个楼宇站点中可以有具有不同功能的楼宇终端设备,例如门禁管理中的门锁、认证终端,能源管理中的电表和水表、环境管理中的温度传感器和湿度传感器等环境传感器,这些楼宇终端设备可以通过楼宇控制器接入至楼宇网关中。
对于楼宇控制器,是楼宇各类业务子系统的现场终端的接入与本地管理设备,一般具备丰富的现场总线及输入/输出接口,可完成各类终端的数据采集、存储与上传、本地化管控。
在一种实施例中,部分楼宇终端设备、管理系统如信息发布系统,以及楼宇站点中所接入的第三方系统等也可以直接接入至楼宇网关中,而无需通过楼宇控制器。
对于楼宇网关的结构,可以参考图3的一种楼宇网关结构图,其中,来自楼宇站点的可以通过内网接口接入楼宇网关,即图2与图3中所示的LAN,而楼宇网关可以通过外网接口与楼宇管理平台进行通信。一般每个楼宇站点内部署一台,可为楼宇站点的一侧提供为基于广域网接入的VPN安全隧道和本地子网访问控制与攻击防护。同时,还可为楼宇本地区域统一管理与多子系统联动等提供完善的边缘端支撑。
触发确定当前需要进行接入验证的操作可以是楼宇网关启动,又或者是VPN重连次数超过限定的次数。
在确定需要进行接入验证时,可以获取楼宇网关对应的网关设备信息,然后可以基于网关设备信息向楼宇管理平台发起加密初始验证请求,以发起第一次验证。
在一种实施例中,网关设备信息包括网关设备标识以及网关身份信息,在步骤S110中获取楼宇网关自身的网关设备信息,包括如下步骤:
基于网关设备标识生成身份信息获取请求;
采用预设密钥对身份信息获取请求进行加密,并将加密的身份信息获取请求发送至楼宇管理平台;
接收楼宇管理平台基于身份信息获取请求返回的加密身份信息存储地址;
采用预设密钥对加密身份信息存储地址解密后,基于获得的身份信息存储地址,从本地存储器中读取对应的经过编码的网关身份信息;
对经过编码的网关身份信息采用预设的编码算法的逆向算法进行解码后,获得网关身份信息。
在一种实现中,网关设备标识可以是本机设备编号。具体的,可以将本机设备编号作为内容生成身份信息获取请求,可以采用默认算法f0和预设密钥M0对身份信息获取请求进行加密,向楼宇管理平台的默认端口发送加密的身份信息获取请求。示例性的,本机设备编号可以由型号和生产序号构成的字符串,其中型号以字母表示、生产序号以数字表示,且生产序号按生产顺序递增进行唯一编号,如“G000012”。
楼宇管理平台收到身份信息获取请求后,会返回加密身份信息的存储地址,楼宇网关接收到加密身份信息存储地址后,可以按加密身份信息存储地址,从本地存储器中读取对应的经过编码的网关身份信息,再以预设的编码算法fd对应逆向算法fdR,将加密网关身份信息转换为网关身份信息,其中,预设的编码算法是经加密的编码算法,加密网关身份信息转换为网关身份信息,得到的网关身份信息是明文的身份信息。
在一种实施例中,网关身份信息包括校时服务地址以及验证码,在基于网关设备信息向楼宇管理平台发起加密初始验证请求之前,还包括如下步骤:
基于校时服务地址以及验证码,向楼宇管理平台的校时服务发起校时请求,以完成与楼宇管理平台的时间同步。
在本实施例中,网关身份信息可以为明文的字符串,该字符串可以是S-D1-Y的形式,用于唯一标识不同楼宇网关的设备身份。楼宇网关可以进一步从字符串S-D1-Y中,提取本机所属楼宇管理平台的关键身份信息,即S-D1-Y中的校时服务地址D1及验证码Y,再以校时服务地址D1及验证码Y,向楼宇管理平台发起校时请求,当校时请求发送成功后,基于关键身份信息可以建立与楼宇管理平台之间的私有网络校时连接,并且,楼宇网关可以按给定周期与楼宇管理平台校时服务进行时间同步。
在一种实施例中,步骤S110中基于网关设备信息向楼宇管理平台发起加密的初始验证请求,包括如下步骤:
获取第一实时时间戳并基于第一实时时间戳生成第一动态密钥;
采用第一动态密钥对网关设备信息进行加密,生成加密初始验证请求;
将加密初始验证请求发送至楼宇管理平台。
在本实施例中,当确定需要进行接入验证时,即当楼宇网关启动或VPN重连次数超限后,在完成设备身份信息的获取以及时间同步后,可以基于网关设备信息向楼宇管理平台发起加密的初始验证请求。
具体的,第一实时时间戳可以是楼宇网关的当前时间,楼宇网关可以使用当前时间为输入参数(如包括年/月/日/时/分),输入预先设定的算法f1,生成第一动态密钥。
网关设备信息可以包含网关设备标识、设备身份信息、本机MAC地址、出厂日期、软件版本等等,可以采用默认算法f0以及第一动态密钥,对网关设备信息进行加密,生成加密初始验证请求。
S120,当接收到楼宇管理平台基于加密初始验证请求返回的加密初始验证通过通知时,从加密初始验证通过通知中提取出第一验证信息。
在接收到楼宇管理平台基于加密初始验证请求返回的加密初始验证通过通知时,可以按照预设的解密方式对加密初始验证通过通知进行解密,还原明文的初始验证通过通知,解密后可以提取出第一验证信息。
在一种实施例中,步骤S120,包括如下步骤:
S120-1,对第一实时时间戳进行更新,并基于更新的第一实时时间戳更新第一动态密钥;
S120-2,采用更新的第一动态密钥对加密初始验证通过通知进行解密,获得第一验证信息。
本实施例中,第一动态密钥基于第一实时时间戳进行更新,即第一动态密钥随着时间的变化进行动态变化,其中,第一实时时间戳的精度为分钟,由于完成一次通信所需的时长必然在1分钟内,可以将第一实时时间戳的精度控制为分钟,以确保与后续根据时间戳生成的动态密钥可以与第一动态密钥保持一致。在对加密初始验证通过通知进行解密时,可以采用更新的第一动态密钥,并采用默认算法f0完成解密。
S130,基于第一验证信息生成第二验证信息,并基于第二验证信息向楼宇管理平台发起加密二次验证请求。
在本实施例中,可以以第一验证信息为回复结果内容生成第二验证信息,然后可以利用默认算法f0及第一动态密钥,形成加密二次验证请求,发送至楼宇管理平台。
在一种实施例中,第一验证信息包括第一随机值以及预设加解密算法库中的第一加解密算法标识;网关设备信息包括网关设备标识;
步骤S130中基于第一验证信息生成第二验证信息,可以包括如下步骤:
根据第一加解密算法标识从预设加解密算法库中读取对应的第一加解密算法;
以网关设备标识为密钥,采用第一加解密算法对第一随机值进行加密,获得第二随机值,作为第二验证信息。
在一种实施例中,加密初始验证通过通知可以包括随机值T和预设加解密算法库中的第一加解密算法标识,示例性的,可以是预设加解密算法库D序号m。
在完成解密后,从加密初始验证通过通知中提取出第一验证信息时,可以将初始验证通过通知中的随机值T转换为第一随机值,那么,第一验证信息可以包括第一随机值以及预设加解密算法库中的第一加解密算法标识。
在确定第一加解密算法标识后,可以从预设加解密算法库中读取对应的第一加解密算法,示例性的,当第一加解密算法标识为预设加解密算法库D序号m,那么可以确定对应的第一加解密算法为预设加解密算法库D的第m号算法fm。
在确定第一加解密算法后,可以以网关设备标识为密钥,采用第一加解密算法对第一随机值进行加密,获得第二随机值,作为第二验证信息。
在一种实施例中,步骤S130中基于第二验证信息向楼宇管理平台发起加密二次验证请求,可以包括如下步骤:
采用基于实时的第一实时时间戳更新的第一动态密钥,对第二随机值进行加密,获得加密二次验证请求;
向楼宇管理平台发送加密二次验证请求。
具体的,在对第二随机值进行加密,获得加密二次验证请求时,采用的第一动态密钥是基于实时的第一实时时间戳更新的,属于实时的动态密钥。
S140,当接收到楼宇管理平台对加密二次验证请求进行验证通过后、返回的加密隧道构建信息时,基于加密隧道构建信息建立楼宇网关与楼宇管理平台之间的VPN网络隧道。
本实施例中,当楼宇管理平台对加密二次验证请求进行验证通过后,会向楼宇网关返回加密隧道构建信息,楼宇网关可以对加密隧道构建信息进行解密,还原明文的隧道构建信息,得到用于建立楼宇网关与楼宇管理平台之间的VPN网络隧道的隧道构建信息。
VPN网络隧道构建成功后,楼宇网关和楼宇管理平台可以实现两者内部之间的资源互访。
在一种实施例中,步骤S140中基于加密隧道构建信息建立楼宇网关与楼宇管理平台之间的VPN网络隧道,包括如下步骤:
基于实时的第一实时时间戳更新第一动态密钥,并将更新的第一动态密钥以及第二随机值作为密钥对加密隧道构建信息进行解密,获得楼宇站点信息、业务部署信息、分支侧VPN子网构建参数以及加密中心侧VPN接入参数,加密中心侧VPN接入参数包括第一加密接入参数、第二加密接入参数、与第一加密接入参数相关的预设加解密算法库中的第二加解密算法标识,与第二加密接入参数相关的预设加解密算法库中的第三加解密算法标识;
采用第二加解密算法标识对应的第二加解密算法,以网关身份信息为密钥,对第一加密接入参数进行解密,获得中心侧VPN公网IP、IPsec认证参数;
采用第三加解密算法标识对应的第三加解密算法,以身份信息存储地址为密钥,对第二加密接入参数进行解密,获得IPsec隧道模式、以及第1阶段和第2阶段的协商参数;
根据楼宇站点信息、业务部署信息、分支侧VPN子网构建参数、中心侧VPN公网IP、IPsec认证参数、IPsec隧道模式、以及第1阶段和第2阶段的协商参数,建立楼宇网关与楼宇管理平台之间的VPN网络隧道。
在本实施例中,可以采用基于实时的第一实时时间戳更新的第一动态密钥,完成第一动态密钥的更新后,可以将第一动态密钥和第二随机值进行结合,作为对加密隧道构建信息进行解密的密钥,得到的楼宇站点信息和业务部署信息用于为后续第2阶段在实现访问安全控制策略自适应的构建时,提供楼宇站点的关键信息基础。具体的,第一动态密钥可以为RES1,第二随机值为T2,那么,通过RES1+T2可以得到对加密隧道构建信息进行解密的密钥。
具体的,中心侧VPN公网IP、IPsec认证参数(含预共享密钥、对端ID),可以认为是第1部分敏感机密信息。可以从隧道构建信息中提取第1部分敏感机密信息对应的加密算法,示例性的,当提取到的第二加解密算法标识为预设加解密算法库D的第s号,则可以利用对应的第二加解密算法,即预设加解密算法库D中的第s号对应的算法fs,对第一加密接入参数进行解密,并以网关身份信息为密钥完成解密。
IPsec隧道模式、以及第1阶段和第2阶段的协商参数,其中包含认证方法、IKE版本及模式、NAT穿越、第1阶段和第2阶段的加密/认证/DH算法及密钥生存周期,可以认为是第2部分敏感机密信息。可以从隧道构建信息中提取第2部分敏感机密信息对应的加密算法,示例性的,当提取到的第三加解密算法标识为预设加解密算法库D的第t号,则可以利用对应的第三加解密算法,即预设加解密算法库D中的第t号对应的算法ft对第二加密接入参数进行解密,并以身份信息存储地址为密钥完成解密。
在一种实施中,在完成对加密隧道构建信息的解密以及第一加密接入参数以及第二加密接入参数的解密后,可以按照以下步骤进行站点部署信息传递(含清零)处理,建立楼宇网关与楼宇管理平台之间的VPN网络隧道:
第一步:将获取的各信息,仅保存于楼宇网关的临时存储器RAM上的随机绝对地址(ADi)存储区内;
第二步:对RAM给定绝对地址AD1存储区上的VPN接入相关参数,该相关参数包括:中心侧VPN公网IP、IPsec认证参数、IPsec隧道模式以及第1阶段和第2阶段的协商参数,仅以内存方式直接传递至IPsecVPN模块程序的运行数据区,即各相关参数在楼宇网关内不以参数文件或配置文件等任何用户或外部程序可明文读取或显示的形式进行存储或传递;
第三步:第二步完成后,楼宇网关立即自动清零临时存储器RAM上随机绝对地址ADi存储区内保存的VPN接入相关参数;
第四步:楼宇网关按IPsecVPN接入参数中的分支侧VPN子网网段,将楼宇网关自身内网LAN接口网络参数调整至对应网段;
第五步:楼宇网关的IPsecVPN模块检测到自身IPsecVPN接入参数的隧道建立与运行参数,该运行参数包括中心侧VPN公网IP、IPsec认证参数、IPsec隧道模式以及第1阶段和第2阶段的协商参数,存在更新后,按新接入参数重启与远端IpsecVPN中心的IPsec隧道建立请求,待其与中心侧间IPsec隧道创建第一阶段(IKE SA)、第二阶段(IPsec SA)各项协商及认证过程步骤均正常通过后,即IPsec隧道已建立完成,本楼宇站点分支与楼宇管理平台中心侧两端子网间IPsecVPN站到站连接已完成,即完成建立楼宇网关与楼宇管理平台之间的VPN网络隧道。
本发明实施例提出一种应用于楼宇网关的楼宇网关的VPN网络接入方法,一个楼宇网关对应一个或多个楼宇站点,楼宇站点包括一个或多个楼宇终端设备以及与各楼宇终端设备连接的楼宇控制器,楼宇终端设备通过楼宇控制器接入至楼宇网关中,楼宇网关与楼宇管理平台进行通信,当需要进行接入验证时,获取楼宇网关的网关设备信息,并基于网关设备信息向楼宇管理平台发起加密初始验证请,以进行第一次验证,当接收到楼宇管理平台基于加密初始验证请求返回的加密初始验证通过通知时,从加密初始验证通过通知中提取出第一验证信息,基于第一验证信息生成第二验证信息,并基于第二验证信息向楼宇管理平台发起加密二次验证请求,以进行第二次验证,当接收到楼宇管理平台对加密二次验证请求进行验证通过后、返回的加密隧道构建信息时,基于加密隧道构建信息建立楼宇网关与楼宇管理平台之间的VPN网络隧道,通过动态二次加密的验证链路,实现楼宇网关安全、自动地与楼宇管理平台完成VPN连接,无需依赖人工操作以及人为管理机密信息,从而提升了多站点构建时VPN分支侧拓展的安全性,同时,也有效简化了楼宇站点的现场部署与调试工作,提高了使用便捷性。
实施例二
图4为本发明实施例二提供的一种楼宇网关的VPN网络接入方法流程图,该方法应用于楼宇管理平台中,楼宇管理平台与一个或多个楼宇网关进行通信;一个楼宇网关对应一个或多个楼宇站点,楼宇站点包括一个或多个楼宇终端设备以及与各楼宇终端设备连接的楼宇控制器,楼宇终端设备通过楼宇控制器接入至楼宇网关中。
楼宇管理平台中包含一种楼宇网关的VPN网络接入装置,该方法可以由一种楼宇网关的VPN网络接入装置来执行,该用于楼宇网关的VPN网络接入装置可以采用硬件和/或软件的形式实现。
如图4所示,本实施例可以包括如下步骤:
S410,当接收到需要进行接入验证的目标楼宇网关发送的加密初始验证请求以后,对加密初始验证请求进行解密,获得目标网关设备信息。
在本实施例中,对于楼宇管理平台,一般部署于公有云,可以包括楼宇网关验证模块、中心侧VPN模块、私有网络校时服务模块及各类业务服务模块,为各楼宇站点提供后台数据存储、监测、管理、集成的平台中心,为各类使用者提供全系统与多站点的管理服务。
楼宇管理平台收到加密初始验证请求后,可以按照加密初始验证请求的加密方式所对应的解密方式,将对加密初始验证请求进行解密,使得加密初始验证请求解密为明文。
在一种实施例中,楼宇管理平台中存储有网关设备信息表,网关设备信息表用于记录一个或多个楼宇网关的网关设备信息;在步骤S410之前,还包括如下步骤:
接收目标楼宇网关发送的加密的身份信息获取请求,并采用预设密钥对加密的身份信息获取请求进行解密,获得目标网关设备标识;
在网关设备信息表中查找目标网关设备标识,以获得对应的身份信息存储地址,并对身份信息存储地址采用预设密钥进行加密后传输至目标楼宇网关,以便于目标楼宇网关基于身份信息存储地址获取对应的网关身份信息。
在一种实现中,参考图5的一种网关设备信息表示意图,在楼宇网关生产完成、或由生产地点运输至用户指定安装使用的现场地点前,可以预先在楼宇管理平台导入网关设备信息表,也就是说,即使某楼宇网关还未正式需要接入楼宇管理平台时,存于楼宇管理平台的网关设备信息表中已经记录了该楼宇网关的相关信息。
楼宇网关在发送加密初始验证请求之前,可以先发送加密的身份信息获取请求,楼宇管理平台接收到加密的身份信息获取请求后,可以采用预设密钥对加密的身份信息获取请求进行解密,获得目标网关设备标识。
在确定目标楼宇网关对应的目标网关设备标识后,可以从网关设备信息表中进行查找,得对应的身份信息存储地址,并以预设密钥对身份信息存储地址进行加密,以加密后的身份信息存储地址为内容,发送至目标楼宇网关,以使楼宇网关可以得到网关身份信息。
具体的,对于身份信息存储地址,楼宇网关可以对身份信息以预设的编码算法fd转换为密文Fid,保存Fid于指定存储器ROMn的随机给定绝对地址ADn内,即每个楼宇网关的身份信息的存储地址均不相同、且任何用户或外部程序不可明文读取或显示,其身份信息存储地址可表示为ROMn_And,其中,预设的编码算法是经加密的编码算法。另外,对于楼宇网关的其余各项参数,可以一般文件格式保存于产品指定存储器ROM1内固定地址,可以由楼宇网关的web管理界面进行查看。
楼宇管理平台可以基于关键身份信息建立与目标楼宇网关之间的私有网络校时连接,并在私有网络校时连接成功后,楼宇网关可以按给定周期与楼宇管理平台的平台校时服务进行时间同步。
在一种实施例中,步骤S410中对加密初始验证请求进行解密,获得目标网关设备信息,包括如下步骤:
获取第二实时时间戳并基于第二实时时间戳生成第二动态密钥,其中,第二实时时间戳的精度为分钟;
采用第二动态密钥对加密初始验证请求进行解密,获得目标网关设备信息。
在本实施例中,楼宇管理平台接收到加密初始验证请求后,可以以第二实时时间戳,即当前时间为输入参数(如包括年/月/日/时/分),输入预先设定的算法f1,生成第二动态密钥。然后,可以采用默认算法f0以及第二动态密钥,将加密初始验证请求解密为明文,为了可以让第二动态密钥和楼宇网关中生成的第一动态密钥保持一致,可以将第二实时时间戳的精度限制为分钟,当精度为分钟时,可以确保第一实时时间戳与第二实时时间戳一致,那么第一动态密钥和第二动态密钥可以保持一致。
S420,对目标网关设备信息进行验证,并在对目标网关设备信息的验证通过以后,获取第一验证信息。
在本实施例中,在对加密初始验证请求进行解密,获取得到目标网关设备信息后,可以对目标网关设备信息进行验证,如果验证成功,则可以获取第一验证信息,若验证失败,则无法继续进行连接操作。其中,第一验证信息可以包括随机值以及预设加解密算法库中的加解密算法标识,以用于后续的交互需要进行的部分加解密操作。
在一种实施例中,目标网关设备信息包括目标网关设备标识;
步骤S420中对目标网关设备信息进行验证,包括如下步骤:
在预先获得的网关设备信息表中查找目标网关设备标识,以获得对应的在先记录网关设备信息;
若在先记录网关设备信息与目标网关设备信息一致,则获取已连接楼宇网关标识集合;
若目标网关设备标识不存在于已连接楼宇网关标识集合中,则判定对目标网关设备信息的验证通过。
在本实施例中,可以在预先获得的网关设备信息表中查找目标网关设备标识,通过目标网关设备标识可以对应确定出网关设备信息,示例性的,在先记录网关设备信息可以参考图5,每个网关设备标识可以对应出该楼宇网关的设备身份信息、设备身份信息存储地址、出厂日期、软件版本以及MAC地址等。当通过查表得到的网关设备信息与接收到的目标网关设备信息是一致的,并且是属于未连接楼宇管理平台的楼宇网关,即目标网关设备标识不存在于已连接楼宇网关标识集合中,确定连入的楼宇网关没有重复,则可以判定对目标网关设备信息的验证通过。
如果不符合上述验证通过的条件,则可以判定为验证不通过,可以断开验证连接。
S430,对第一验证信息加密生成加密初始验证通过通知,并将加密初始验证通过通知发送至目标楼宇网关。
在实现时,楼宇管理平台可以继续采用默认算法f0及第二动态密钥,对第一验证信息加密生成加密初始验证通过通知,向目标楼宇网关发送。
S440,接收目标楼宇网关基于加密初始验证通过通知发送的加密二次验证请求,对加密二次验证请求进行解密获得第二验证信息。
在本实施例中,收到加密二次验证请求后,可以采用默认算法f0及第二动态密钥进行解密,提取回复内容中的第二验证信息。
S450,对第二验证信息进行验证,当对第二验证信息的验证通过以后,获取与目标楼宇网关对应的隧道构建信息,并将隧道构建信息进行加密后发送至目标楼宇网关,以建立与目标楼宇网关之间的VPN网络隧道。
在本实施例中,对获取得到的第二验证信息进行验证,验证通过后可以基于目标网关设备标识,获取隧道构建信息,并将该隧道构建信息进行加密发送到目标楼宇网关中。
在一种实施例中,第一验证信息包括第一随机值以及预设加解密算法库中的第一加解密算法标识;
步骤S450中对第二验证信息进行验证,包括如下步骤:
根据第一加解密算法标识从预设加解密算法库中读取对应的第一加解密算法;
从第二验证信息中提取出目标网关设备标识;
以目标网关设备标识为密钥,采用目标加解密算法对第一随机值进行加密,获得第三验证信息;
若第三验证信息与第二验证信息一致,则判定为对第二验证信息的验证通过。
在本实施例中,第二验证信息基于第一验证信息生成,第一验证信息包括第一随机值以及预设加解密算法库中的第一加解密算法标识,可以根据第一加解密算法标识从预设加解密算法库中读取对应的第一加解密算法,示例性的,当第一加解密算法标识为预设加解密算法库D序号m,那么可以确定对应的第一加解密算法为预设加解密算法库D的第m号算法fm。
在实现时,可以在楼宇管理平台的本地以目标网关设备标识为密钥,采用目标加解密算法对第一随机值进行加密,获得第三验证信息,然后对比第三验证信息和第二验证信息进行匹配,如相同,则确认验证通过,否则,楼宇管理平台断开与楼宇网关间的验证连接。
在一种实施例中,楼宇管理平台中设置有部署信息表,部署信息表用于记录各个楼宇网关的隧道构建信息;
步骤S450中获得与楼宇网关对应的隧道构建信息,包括如下步骤:
在部署信息表中查找目标网关设备标识,以获得与目标楼宇网关对应的隧道构建信息。
在本实施例中,参考图6的一种部署信息表示意图,部署信息表中有各楼宇站点对应的网关设备标识,可以在部署信息表查找到目标网关设备标识,然后可以获取到对应的隧道构建信息。
具体的,部署信息表可以由楼宇管理平台初始创建和维护,随着楼宇分支站点的增加,表内的条目会持续递增,同时,当楼宇网关与楼宇管理平台间的验证请求和确认均通过,楼宇管理平台会将对应的楼宇站点的部署信息条目内容,分发给对应的楼宇网关。
在一种实施例中,隧道构建信息包括楼宇站点信息、业务部署信息、分支侧VPN子网构建参数以及中心侧VPN接入参数,中心侧VPN接入参数包括:中心侧VPN公网IP、IPsec认证参数、IPsec隧道模式、以及第1阶段和第2阶段的协商参数;
步骤S450中将隧道构建信息进行加密后发送至目标楼宇网关,包括如下步骤:
采用预设加解密算法库中的第二加解密算法,以网关身份信息为密钥,对中心侧VPN公网IP以及IPsec认证参数进行加密,获得第一加密接入参数;
采用预设加解密算法库中的第三加解密算法,以身份信息存储地址为密钥,对IPsec隧道模式、以及第1阶段和第2阶段的协商参数进行加密,获得第二加密接入参数;
将楼宇站点信息、业务部署信息、分支侧VPN子网构建参数、第一加密接入参数、第二加密接入参数、第二加解密算法标识以及第三加解密算法标识,采用基于实时的第二实时时间戳更新的第二动态密钥以及第三验证信息进行加密,得到加密隧道构建信息;
将加密隧道构建信息发送至目标楼宇网关。
具体的,可以以中心侧VPN公网IP、IPsec认证参数为第1部分敏感机密信息,可以以预设加解密算法库中的第二加解密算法,示例性的,可以预设加解密算法库D的第s号对应的算法fs,并以网关身份信息为密钥,具体的,目标楼宇网关的网关身份信息可以是明文的字符串,该字符串可以是S-D1-Y的形式,可以该字符串S-D1-Y为密钥进行加密,形成第1部分敏感机密信息的密文,即第一加密接入参数。其中,S为特定唯一字符串、D1为平台校时服务地址,Y为验证码。
另外,可以将IPsec隧道模式、以及第1阶段和第2阶段的协商参数看作是第2部分敏感机密信息,可以以预设加解密算法库中的第三加解密算法,示例性的,可以预设加解密算法库D的第t号对应的算法ft、以对应的身份信息存储地址为密钥进行加密,形成第2部分敏感机密信息的密文,即第二加密接入参数。
在确定了楼宇站点信息、业务部署信息、分支侧VPN子网构建参数、第一加密接入参数以及第二加密接入参数后,可以采用基于实时的第二实时时间戳更新得到第二动态密钥,并将更新得到的第二动态密钥结合第三验证信息进行加密,得到加密隧道构建信息,并将加密隧道构建信息发送至目标楼宇网关,以使目标楼宇网关在得到加密隧道构建信息后,可以完成隧道的构建,以实现与楼宇管理平台的连接。
在构建部署信息表时,每次新增楼宇站点时均需在楼宇管理平台创建其站点信息,例如会在云端平台追加此新增楼宇站点对应的站点部署信息,包括本次新增站点对应的“楼宇站点信息”、“业务部署信息”、“中心侧VPN接入参数”、“分支侧VPN子网构建参数”等。
其中“楼宇站点信息”、“分支侧VPN子网构建参数”的具体内容或值的制定,由楼宇管理平台依据现有已导入分支侧站点的楼宇站点信息,例如楼宇站点代号、分支侧VPN子网构建参数基础上,以追加方式进行分配,以保证唯一性。
对于“中心侧VPN接入参数”,一般情况下,一定数量的用户分支侧的楼宇站点可共用一个中心侧VPN接入入口,楼宇管理平台可依据自身中心侧VPN入口总数量及当前各VPN入口已接入链路数量,以链路分配均衡为原则,为新增VPN接入请求的用户站点分配中心侧VPN入口及对应的Ipsec接入参数。
对于“业务部署信息”,可以依据对应楼宇站点的具备设备信息和业务功能使用需求,在楼宇管理平台创建站点信息时导入,示例性的,可以例如手动录入或由客户订单信息生产等。如图6所示,业务部署信息内容可包括:楼宇网关设备编号,业务类型,开放性协议类型、第三方对接地址等。
本实施例提供了一种应用于楼宇管理平台的楼宇网关的VPN网络接入方法,楼宇管理平台与一个或多个楼宇网关进行通信;一个楼宇网关对应一个或多个楼宇站点,楼宇站点包括一个或多个楼宇终端设备以及与各楼宇终端设备连接的楼宇控制器,楼宇终端设备通过楼宇控制器接入至楼宇网关中,当接收到需要进行接入验证的目标楼宇网关发送的加密初始验证请求以后,对加密初始验证请求进行解密,获得目标网关设备信息,对目标网关设备信息进行验证,并在对目标网关设备信息的验证通过以后,获取第一验证信息以进行第一次验证,第一验证信息加密生成加密初始验证通过通知,并将加密初始验证通过通知发送至目标楼宇网关,接收目标楼宇网关基于加密初始验证通过通知发送的加密二次验证请求,对加密二次验证请求进行解密获得第二验证信息,对第二验证信息进行验证,即进行第二次验证,当对第二验证信息的验证通过以后,获取与目标楼宇网关对应的隧道构建信息,并将隧道构建信息进行加密后发送至目标楼宇网关,以建立与目标楼宇网关之间的VPN网络隧道,通过两次自助交互验证的过程,在无需依赖人工操作的情况下实现楼宇网关的接入,提升连接的安全性和便捷性。
实施例三
图7为本发明实施例三提供的一种楼宇网关的VPN网络接入装置结构示意图,所述装置应用于楼宇网关中,一个所述楼宇网关对应一个或多个楼宇站点,所述楼宇站点包括一个或多个楼宇终端设备以及与各所述楼宇终端设备连接的楼宇控制器,所述楼宇终端设备通过所述楼宇控制器接入至所述楼宇网关中;所述楼宇网关与楼宇管理平台进行通信;如图7所示,所述装置包括:
获取模块710,用于当需要进行接入验证时,获取所述楼宇网关自身的网关设备信息;
第一发起模块720,用于基于所述网关设备信息向所述楼宇管理平台发起加密初始验证请求;
提取模块730,用于当接收到所述楼宇管理平台基于所述加密初始验证请求返回的加密初始验证通过通知时,从所述加密初始验证通过通知中提取出第一验证信息;
生成模块740,用于基于所述第一验证信息生成第二验证信息;
第二发起模块750,用于基于所述第二验证信息向所述楼宇管理平台发起加密二次验证请求;
VPN网络隧道建立模块760,用于当接收到所述楼宇管理平台对所述加密二次验证请求进行验证通过后、返回的加密隧道构建信息时,基于所述加密隧道构建信息建立所述楼宇网关与所述楼宇管理平台之间的VPN网络隧道。
在一种实施例中,所述网关设备信息包括网关设备标识以及网关身份信息,所述获取模块710包括如下子模块:
身份信息获取请求生成子模块,用于基于所述目标网关设备标识生成身份信息获取请求;
身份信息获取请求发送子模块,用于采用预设密钥对所述身份信息获取请求进行加密,并将加密的所述身份信息获取请求发送至所述楼宇管理平台;
加密身份信息存储地址接收子模块,用于接收所述楼宇管理平台基于所述身份信息获取请求返回的加密身份信息存储地址;
网关身份信息读取子模块,用于采用预设密钥对所述加密身份信息存储地址解密后,基于获得的身份信息存储地址,从本地存储器中读取对应的经过编码的网关身份信息;
网关身份信息确定子模块,用于对所述经过编码的网关身份信息采用预设的编码算法的逆向算法进行解码后,获得网关身份信息。
在一种实施例中,所述装置还包括如下模块:
校时请求发起模块,用于基于所述校时服务地址以及所述验证码,向楼宇管理平台的校时服务发起校时请求,以完成与所述楼宇管理平台的时间同步。
在一种实施例中,所述第一发起模块720,包括如下子模块:
第一动态密钥生成子模块,用于获取第一实时时间戳并基于所述第一实时时间戳生成第一动态密钥;
加密初始验证请求生成子模块,用于采用所述第一动态密钥对所述网关设备信息进行加密,生成加密初始验证请求;
加密初始验证请求发送子模块,用于将所述加密初始验证请求发送至所述楼宇管理平台。
在一种实施例中,所述提取模块730,包括如下子模块:
第一动态密钥更新子模块,用于对所述第一实时时间戳进行更新,并基于更新的所述第一实时时间戳更新所述第一动态密钥,其中,所述第一实时时间戳的精度为分钟;
第一验证信息获得子模块,用于采用更新的所述第一动态密钥对所述加密初始验证通过通知进行解密,获得第一验证信息。
在一种实施例中,所述第一验证信息包括第一随机值以及预设加解密算法库中的第一加解密算法标识;所述网关设备信息包括网关设备标识;所述生成模块740,包括如下子模块:
第一加解密算法读取子模块,用于根据所述第一加解密算法标识从所述预设加解密算法库中读取对应的第一加解密算法;
第二验证信息确定子模块,用于以所述网关设备标识为密钥,采用所述第一加解密算法对所述第一随机值进行加密,获得第二随机值,作为第二验证信息。
在一种实施例中,所述第二发起模块750,包括如下子模块:
第二随机值加密子模块,用于采用基于实时的第一实时时间戳更新的第一动态密钥,对所述第二随机值进行加密,获得加密二次验证请求;
加密二次验证请求发送子模块,用于向所述楼宇管理平台发送所述加密二次验证请求。
在一种实施例中,所述VPN网络隧道建立模块760具体用于:
基于实时的第一实时时间戳更新第一动态密钥,并将更新的所述第一动态密钥以及所述第二随机值作为密钥对所述加密隧道构建信息进行解密,获得楼宇站点信息、业务部署信息、分支侧VPN子网构建参数以及加密中心侧VPN接入参数,所述加密中心侧VPN接入参数包括第一加密接入参数、第二加密接入参数、与所述第一加密接入参数相关的预设加解密算法库中的第二加解密算法标识,与所述第二加密接入参数相关的预设加解密算法库中的第三加解密算法标识;
采用所述第二加解密算法标识对应的第二加解密算法,以所述网关身份信息为密钥,对所述第一加密接入参数进行解密,获得中心侧VPN公网IP、IPsec认证参数;
采用所述第三加解密算法标识对应的第三加解密算法,以所述身份信息存储地址为密钥,对所述第二加密接入参数进行解密,获得IPsec隧道模式、以及第1阶段和第2阶段的协商参数;
根据所述楼宇站点信息、业务部署信息、分支侧VPN子网构建参数、中心侧VPN公网IP、IPsec认证参数、IPsec隧道模式、以及第1阶段和第2阶段的协商参数,建立所述楼宇网关与所述楼宇管理平台之间的VPN网络隧道。
本发明实施例所提供的一种楼宇网关的VPN网络接入装置可实现本发明实施例一所提供的一种楼宇网关的VPN网络接入方法,具备执行方法相应的功能模块和有益效果。
实施例四
图8为本发明实施例四提供的一种楼宇网关的VPN网络接入装置结构示意图,所述装置应用于楼宇管理平台中,所述楼宇管理平台与一个或多个楼宇网关进行通信;一个所述楼宇网关对应一个或多个楼宇站点,所述楼宇站点包括一个或多个楼宇终端设备以及与各所述楼宇终端设备连接的楼宇控制器,所述楼宇终端设备通过所述楼宇控制器接入至所述楼宇网关中;如图8所示,所述装置包括:
解密模块810,用于当接收到需要进行接入验证的目标楼宇网关发送的加密初始验证请求以后,对所述加密初始验证请求进行解密,获得目标网关设备信息;
第一验证信息获取模块820,用于对所述目标网关设备信息进行验证,并在对所述目标网关设备信息的验证通过以后,获取第一验证信息;
加密模块830,用于对所述第一验证信息加密生成加密初始验证通过通知;
发送模块840,用于将所述加密初始验证通过通知发送至所述目标楼宇网关;
第二验证信息获取模块850,用于接收所述目标楼宇网关基于所述加密初始验证通过通知发送的加密二次验证请求,对所述加密二次验证请求进行解密获得第二验证信息;
执行模块860,用于对所述第二验证信息进行验证,当对所述第二验证信息的验证通过以后,获取与所述目标楼宇网关对应的隧道构建信息,并将所述隧道构建信息进行加密后发送至所述目标楼宇网关,以建立与所述目标楼宇网关之间的VPN网络隧道。
在一种实施例中,所述楼宇管理平台中存储有网关设备信息表,所述网关设备信息表用于记录一个或多个楼宇网关的网关设备信息;
所述装置还包括如下模块:
目标网关设备标识确定模块,用于接收所述目标楼宇网关发送的加密的身份信息获取请求,并采用预设密钥对所述加密的身份信息获取请求进行解密,获得目标网关设备标识;
身份信息存储地址传输模块,用于在所述网关设备信息表中查找所述目标网关设备标识,以获得对应的身份信息存储地址,并对所述身份信息存储地址采用预设密钥进行加密后传输至所述目标楼宇网关,以便于所述目标楼宇网关基于所述身份信息存储地址获取对应的网关身份信息。
在一种实施例中,所述解密模块810,包括如下子模块:
第二动态密钥生成子模块,用于获取第二实时时间戳并基于所述第二实时时间戳生成第二动态密钥,其中,所述第二实时时间戳的精度为分钟;
目标网关设备信息确定子模块,用于采用所述第二动态密钥对所述加密初始验证请求进行解密,获得目标网关设备信息。
在一种实施例中,所述目标网关设备信息包括目标网关设备标识;
所述第一验证信息获取模块820,用于:
在预先获得的网关设备信息表中查找所述目标网关设备标识,以获得对应的在先记录网关设备信息;
若所述在先记录网关设备信息与所述目标网关设备信息一致,则获取已连接楼宇网关标识集合;
若所述目标网关设备标识不存在于所述已连接楼宇网关标识集合中,则判定对所述目标网关设备信息的验证通过。
在一种实施例中,所述第一验证信息包括第一随机值以及预设加解密算法库中的第一加解密算法标识;
所述执行模块860包括如下子模块:
第一加解密算法读取子模块,用于根据所述第一加解密算法标识从所述预设加解密算法库中读取对应的第一加解密算法;
目标网关设备标识提取子模块,用于从所述第二验证信息中提取出目标网关设备标识;
第三验证信息确定子模块,用于以所述目标网关设备标识为密钥,采用所述目标加解密算法对所述第一随机值进行加密,获得第三验证信息;
判定子模块,用于当所述第三验证信息与所述第二验证信息一致,则判定为对所述第二验证信息的验证通过。
在一种实施例中,所述楼宇管理平台中设置有部署信息表,所述部署信息表用于记录各个楼宇网关的隧道构建信息;所述执行模块860具体用于:
在所述部署信息表中查找所述目标网关设备标识,以获得与所述目标楼宇网关对应的隧道构建信息。
在一种实施例中,所述隧道构建信息包括楼宇站点信息、业务部署信息、分支侧VPN子网构建参数以及中心侧VPN接入参数,所述中心侧VPN接入参数包括:中心侧VPN公网IP、IPsec认证参数、IPsec隧道模式、以及第1阶段和第2阶段的协商参数;
所述执行模块860具体用于:
采用预设加解密算法库中的第二加解密算法,以所述网关身份信息为密钥,对所述中心侧VPN公网IP以及所述IPsec认证参数进行加密,获得第一加密接入参数;
采用预设加解密算法库中的第三加解密算法,以所述身份信息存储地址为密钥,对所述IPsec隧道模式、以及第1阶段和第2阶段的协商参数进行加密,获得第二加密接入参数;
将所述楼宇站点信息、所述业务部署信息、所述分支侧VPN子网构建参数、所述第一加密接入参数、所述第二加密接入参数、第二加解密算法标识以及第三验证信息进行加密,得到加密隧道构建信息;
将所述加密隧道构建信息发送至所述目标楼宇网关。
本发明实施例所提供的一种楼宇网关的VPN网络接入装置可实现本发明实施例二所提供的一种楼宇网关的VPN网络接入方法,具备执行方法相应的功能模块和有益效果。
实施例五
图9示出了可以用来实施本发明的实施例的电子设备10的结构示意图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备(如头盔、眼镜、手表等)和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本发明的实现。
如图9所示,电子设备10包括至少一个处理器11,以及与至少一个处理器11通信连接的存储器,如只读存储器(ROM)12、随机访问存储器(RAM)13等,其中,存储器存储有可被至少一个处理器执行的计算机程序,处理器11可以根据存储在只读存储器(ROM)12中的计算机程序或者从存储单元18加载到随机访问存储器(RAM)13中的计算机程序,来执行各种适当的动作和处理。在RAM13中,还可存储电子设备10操作所需的各种程序和数据。处理器11、ROM12以及RAM13通过总线14彼此相连。输入/输出(I/O)接口15也连接至总线14。
电子设备10中的多个部件连接至I/O接口15,包括:输入单元16,例如键盘、鼠标等;输出单元17,例如各种类型的显示器、扬声器等;存储单元18,例如磁盘、光盘等;以及通信单元19,例如网卡、调制解调器、无线通信收发机等。通信单元19允许电子设备10通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
处理器11可以是各种具有处理和计算能力的通用和/或专用处理组件。处理器11的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的处理器、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。处理器11执行上文所描述的各个方法和处理,例如一种楼宇网关的VPN网络接入方法。
在一些实施例中,一种楼宇网关的VPN网络接入方法可被实现为计算机程序,其被有形地包含于计算机可读存储介质,例如存储单元18。在一些实施例中,计算机程序的部分或者全部可以经由ROM12和/或通信单元19而被载入和/或安装到电子设备10上。当计算机程序加载到RAM13并由处理器11执行时,可以执行上文描述的一种楼宇网关的VPN网络接入方法的一个或多个步骤。备选地,在其他实施例中,处理器11可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行一种楼宇网关的VPN网络接入方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本发明的方法的计算机程序可以采用一个或多个编程语言的任何组合来编写。这些计算机程序可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,使得计算机程序当由处理器执行时使流程图和/或框图中所规定的功能/操作被实施。计算机程序可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本发明的上下文中,计算机可读存储介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的计算机程序。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。备选地,计算机可读存储介质可以是机器可读信号介质。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在电子设备上实施此处描述的系统和技术,该电子设备具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给电子设备。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)、区块链网络和互联网。
计算系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,又称为云计算服务器或云主机,是云计算服务体系中的一项主机产品,以解决了传统物理主机与VPS服务中,存在的管理难度大,业务扩展性弱的缺陷。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发明中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本发明的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。