【技術實現步驟摘要】
本專利技術屬于遠程連接,更具體而言,涉及一種基于可信模塊的遠程診斷方法。
技術介紹
1、在設備的運行過程中,不可避免會出現各種各樣的故障,受限于現場環境、人員技能水平,每次出現故障時都將專家請到現場調試不太現實,因此遠程診斷的技術被越來越多使用。遠程診斷,即通過網絡訪問設備,然后進行調試,達到遠程排查設備故障的目的;目前,vpn是一種比較常用的方法,從目前實施的vpn遠程診斷看,雖然vpn本身具備一定的安全性,但是在建立遠程連接及撤銷時,忽視了安全性的考慮,給設備造成安全風險,包括:
2、第一:不能安全的建立vpn連接,引入了竊聽威脅,具有隱患;
3、第二:未限制vpn的使用時機,例如未限制在哪臺設備上啟動、在什么時候啟用,增加了設備的被攻擊面;
4、第三:沒有清除連接的相關信息,隱私數據有被暴露的風險。
技術實現思路
1、本專利技術的主要目的在于提供一種基于可信模塊的遠程診斷方法,旨在可以提高遠程連接的安全性。
2、根據本專利技術的第一方面,提供了一種基于可信模塊的遠程診斷方法,涉及終端設備、服務器和遠程調試主機,所述終端設備具有可信模塊,所述服務器中預設有白名單和vpn組;包括以下步驟:
3、步驟1:所述終端設備發送激活設備請求到所述服務器;
4、步驟2:所述服務器接收到激活設備請求后,驗證所述終端設備是否在白名單中;若是驗證不通過,回復非法請求,無法針對所述終端設備進行遠程診斷;若是驗證通過,將vpn連接
5、步驟3:所述終端設備使用可信模塊加密vpn連接配置信息并存儲,所述終端設備解析vpn連接配置信息并加載在內存里;
6、步驟4:所述服務器發送啟動vpn客戶端命令到所述終端設備,所述終端設備啟動vpn客戶端,vpn客戶端與所述服務器建立安全隧道;
7、步驟5:所述遠程調試主機啟動vpn用戶端并發送連接請求到指定vpn組,vpn用戶端與所述服務器建立安全隧道;通過兩個安全隧道建立虛擬專用網絡,讓遠程調試主機可對終端設備進行遠程診斷。
8、在上述的基于可信模塊的遠程診斷方法中,還包括步驟6:完成遠程診斷后,所述服務器將所述終端設備從白名單中移除;
9、所述服務器關閉所述終端設備的遠程連接功能,所述終端設備刪除vpn連接配置信息。
10、在上述的基于可信模塊的遠程診斷方法中,在步驟6中,所述終端設備刪除臨時文件,使用隨機值填充相關內存區域。
11、在上述的基于可信模塊的遠程診斷方法中,在步驟1之前,需要導入psk到所述終端設備中,通過可信模塊對psk進行加密后持久化存儲,計算用于激活終端設備的激活信息,激活信息包括終端設備的標識信息。
12、在上述的基于可信模塊的遠程診斷方法中,預先將終端設備的標識信息分別錄入到白名單和vpn組中;
13、激活設備請求包括激活信息,所述服務器獲取激活信息,根據激活信息來驗證終端設備是否在白名單中。
14、在上述的基于可信模塊的遠程診斷方法中,在步驟2中,所述服務器驗證通過后,所述服務器會加密連接信息將連接信息發到所述終端設備;
15、所述終端設備解密連接信息,將連接信息中的敏感信息使用可信模塊加密后存儲;所述終端設備加載加密后的敏感信息,再上報設備基本信息到所述服務器;
16、所述服務器發送vpn連接配置信息到所述終端設備。
17、在上述的基于可信模塊的遠程診斷方法中,所述連接信息包括mqtt代理地址、端口號、密碼、設備證書、加密的設備私鑰;
18、所述敏感信息包括設備私鑰、地址和端口號;
19、所述設備基本信息包括設備類型和固件版本;
20、所述vpn連接配置信息包括vpn服務器地址、端口號和密碼套件類型。
21、在上述的基于可信模塊的遠程診斷方法中,所述終端設備和所述服務器之間通過https、mqtt以及tls的方式通信。
22、在上述的基于可信模塊的遠程診斷方法中,所述vpn客戶端與所述服務器基于雙向tls認證后,建立安全隧道。
23、在上述的基于可信模塊的遠程診斷方法中,在步驟5中,所述遠程調試主機采用口令的方式進行身份驗證及登錄vpn用戶端,所述vpn用戶端通過https發送連接請求;所述vpn用戶端與所述服務器基于雙向tls認證后,建立安全隧道。
24、本專利技術上述技術方案中的一個技術方案至少具有如下優點或有益效果之一:
25、在本專利技術中,采用了可信模塊來進行密鑰保護以及身份認證,可以安全建立vpn連接,防止被竊聽;同時,采用了白名單和vpn組進行管理,限制vpn的使用時機和范圍,減少設備的被攻擊面;在每次遠程診斷結束后,將相關內存數據清除,并使用隨機值填充,避免隱私數據暴露;以此提高遠程診斷的安全性。
本文檔來自技高網...【技術保護點】
1.一種基于可信模塊的遠程診斷方法,其特征在于,涉及終端設備、服務器和遠程調試主機,所述終端設備具有可信模塊,所述服務器中預設有白名單和VPN組;包括以下步驟:
2.根據權利要求1所述的基于可信模塊的遠程診斷方法,其特征在于,還包括步驟6:完成遠程診斷后,所述服務器將所述終端設備從白名單中移除;
3.根據權利要求2所述的基于可信模塊的遠程診斷方法,其特征在于,在步驟6中,所述終端設備刪除臨時文件,使用隨機值填充相關內存區域。
4.根據權利要求1所述的基于可信模塊的遠程診斷方法,其特征在于,在步驟1之前,需要導入PSK到所述終端設備中,通過可信模塊對PSK進行加密后持久化存儲,計算用于激活終端設備的激活信息,激活信息包括終端設備的標識信息。
5.根據權利要求4所述的基于可信模塊的遠程診斷方法,其特征在于,預先將終端設備的標識信息分別錄入到白名單和VPN組中;
6.根據權利要求1所述的基于可信模塊的遠程診斷方法,其特征在于,在步驟2中,所述服務器驗證通過后,所述服務器會加密連接信息將連接信息發到所述終端設備;
7
8.根據權利要求6所述的基于可信模塊的遠程診斷方法,其特征在于,所述終端設備和所述服務器之間通過https、MQTT以及TLS的方式通信。
9.根據權利要求8所述的基于可信模塊的遠程診斷方法,其特征在于,所述VPN客戶端與所述服務器基于雙向TLS認證后,建立安全隧道。
10.根據權利要求1所述的基于可信模塊的遠程診斷方法,其特征在于,在步驟5中,所述遠程調試主機采用口令的方式進行身份驗證及登錄VPN用戶端,所述VPN用戶端通過https發送連接請求;所述VPN用戶端與所述服務器基于雙向TLS認證后,建立安全隧道。
...【技術特征摘要】
1.一種基于可信模塊的遠程診斷方法,其特征在于,涉及終端設備、服務器和遠程調試主機,所述終端設備具有可信模塊,所述服務器中預設有白名單和vpn組;包括以下步驟:
2.根據權利要求1所述的基于可信模塊的遠程診斷方法,其特征在于,還包括步驟6:完成遠程診斷后,所述服務器將所述終端設備從白名單中移除;
3.根據權利要求2所述的基于可信模塊的遠程診斷方法,其特征在于,在步驟6中,所述終端設備刪除臨時文件,使用隨機值填充相關內存區域。
4.根據權利要求1所述的基于可信模塊的遠程診斷方法,其特征在于,在步驟1之前,需要導入psk到所述終端設備中,通過可信模塊對psk進行加密后持久化存儲,計算用于激活終端設備的激活信息,激活信息包括終端設備的標識信息。
5.根據權利要求4所述的基于可信模塊的遠程診斷方法,其特征在于,預先將終端設備的標識信息分別錄入到白名單和vpn組中;
6.根據權利要求...
【專利技術屬性】
技術研發人員:楊猛,陶洋,招嘉煥,
申請(專利權)人:廣州魯邦通物聯網科技股份有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。