一种公共安全视频监控数字化资产密钥托管方法及系统

摘要

本发明涉及一种公共安全视频监控数字化资产密钥托管方法及系统，该方法包括：接收用户输入的托管设备的数字资产信息；基于托管设备的初始用户名及初始密码，采用基于主动扫描的网络指纹识别技术对该托管设备进行扫描，发送数据包获取该托管设备的应答数据，根据应答数据中的特征字段与设备指纹库中存储的该托管设备的指纹的匹配结果来进行托管设备识别；针对不同类型、厂商和型号的托管设备分别建立密钥管理能力池；根据用户预设的规则产生随机密码，在密钥管理能力池适配相应的密钥托管接口将该托管设备的密码修改为随机密码；在接收到用户的密钥查询指令时提供随机密码给用户；可以按照用户自定义规则完成密钥的集中托管。

说明书

技术领域

本发明涉及公共安全视频监控领域，尤其涉及一种公共安全视频监控数字化资产密钥托管方法及系统。

背景技术

接入系统的视频监控、电子警察、人脸卡口、存储、交换机、路由器及防火墙等共同构建了一个数字化资产体系。如此数量庞大、种类繁多的设备密钥管理给各级管理机构及管理人员提出了严峻的挑战。

现在的密钥管理均是各自为阵，各厂商、各设备、各系统自行管理密码，管理人员为了方便易记，往往趋向于统一设置单一密码，所有人共用此密码对设备进行配置运维，该方式会让其耗费重金打造的网络安全防御系统变得形同虚设，前端设备的配置信息可随意更改，且无法进行日志追踪，一系列的网络安全事件的元凶皆为弱口令。近年来，海康、大华、宇视等主流安全厂商均加强了对前端设备的密码安全管理，忘记密码时只能去前端设备处在同一个VLAN的网络内采集硬件串码，然后致电厂商客服获取临时密码解决，这给日常运维工作增加了工作量，导致人力、财力、物力的巨大浪费。

发明内容

本发明针对现有技术中存在的技术问题，提供一种公共安全视频监控数字化资产密钥托管方法及系统，以设备识别技术为基础，在精确识别设备信息的基础上集成各类设备的国际规范、国内标准、以及各厂商私有协议建立密钥托管能力池，对外提供统一的接口完成设备密码的正确性校验及更改，按照用户自定义规则完成密钥的集中托管。

根据本发明的第一方面，提供了一种公共安全视频监控数字化资产密钥托管方法，包括：步骤1，接收用户输入的托管设备的数字资产信息，所述数字资产信息包括托管设备的初始用户名及初始密码；

步骤2，基于所述托管设备的初始用户名及初始密码，采用基于主动扫描的网络指纹识别技术对该托管设备进行扫描，发送数据包获取该托管设备的应答数据，根据所述应答数据中的特征字段与设备指纹库中存储的该托管设备的指纹的匹配结果来进行托管设备识别；

步骤3，针对不同类型、厂商和型号的托管设备分别建立密钥管理能力池；根据用户预设的规则产生随机密码，在所述密钥管理能力池适配相应的密钥托管接口将该托管设备的密码修改为所述随机密码；

步骤4，在接收到用户的密钥查询指令时提供所述随机密码给用户。

在上述技术方案的基础上，本发明还可以作出如下改进。

可选的，所述步骤1中接收用户输入的托管设备的数字资产信息包括对各个托管设备的数字资产信息进行增加、删除、修改、查询、单条/多条导入；

所述数字资产信息还包括托管设备的厂商、类型、型号、IP、初始用户名、建设单位以及维护单位。

可选的，所述步骤1还包括：接收到任一托管设备的数字资产信息后，对该托管设备进行网络在线检测，对于已上线托管设备，调用相关的接口函数对所述初始密码进行正确性鉴定。

可选的，不同类型、厂商和型号的托管设备的所述密钥管理能力池分别设有适配相应的密钥托管接口；

所述密钥管理能力池对外提供统一的调用接口，支持融合第三方设备自行建立；各种所述密钥管理能力池对所述托管设备的密码的正确性鉴定和修改的方法包括：

调用操作系统通用接口或通过模拟SSH登陆的方式；

通过ONVIF鉴权机制，同时集成各厂商SDK的方式；

以及通过SNMP、NETCONF或各厂商提供的Restful API的方式。

可选的，所述步骤2中，

所述采用基于主动扫描的网络指纹识别技术对该托管设备进行扫描的过程中：通过主动探测的手段对所述托管设备进行扫描，辅以通过SNMP采集所述托管设备的ARP表和MAC表，获取目标托管设备的端口开放情况、使用应用层协议和服务组件信息、操作系统信息以及托管设备的产品信息；

所述发送数据包获取该托管设备的应答数据的过程中：根据不同的应用层协议或者服务组件，发送不同的数据包来获取目标托管设备的应答数据。

可选的，所述步骤3中根据用户预设的规则产生随机密码的过程中，用户预设的内容包括：更改密码时间周期、密钥长度以及密钥复杂度。

可选的，所述步骤4还包括对用户的查询行为进行日志记录和审计。

根据本发明的第二方面，提供一种公共安全视频监控数字化资产密钥托管系统，包括：设备指纹库、密钥管理能力池和控制单元；

所述控制单元接收用户输入的托管设备的数字资产信息，所述数字资产信息包括托管设备的初始用户名及初始密码；

所述设备指纹库存储有存储的各种托管设备的指纹，用于基于所述托管设备的初始用户名及初始密码，采用基于主动扫描的网络指纹识别技术对该托管设备进行扫描，发送数据包获取该托管设备的应答数据，根据所述应答数据中的特征字段与所述设备指纹库中存储的该托管设备的指纹的匹配结果来进行托管设备识别；

所述密钥管理能力池针对不同类型、厂商和型号的托管设备分别建立，用于根据用户预设的规则产生随机密码，在所述密钥管理能力池适配相应的密钥托管接口将该托管设备的密码修改为所述随机密码；

所述控制单元在接收到用户的密钥查询指令时通过所述密钥管理能力池提供所述随机密码给用户。

根据本发明的第三方面，提供了一种电子设备，包括存储器、处理器，所述处理器用于执行存储器中存储的计算机管理类程序时实现公共安全视频监控数字化资产密钥托管方法的步骤。

根据本发明的第四方面，提供了一种计算机可读存储介质，其上存储有计算机管理类程序，所述计算机管理类程序被处理器执行时实现公共安全视频监控数字化资产密钥托管方法的步骤。

本发明实施例提供的一种公共安全视频监控数字化资产密钥托管方法、系统及存储介质，1)杜绝弱口令隐患。系统根据用户自定义密码复杂度随机生成密码、设置密码。2)减低忘记密钥风险。传统密码管理方式密钥正确性无法实时校验，忘记密码后成本高，本系统通过实时校验、集中托管消除忘记密码带来的风险。3)让密码管理更为安全。密码查询简易，日志审计严格，出于便捷性考虑，系统提供手持设备端微信小程序供用户随时查阅。同时将系统对用户的查询行为进行详尽的日志记录和严格的行为审计。4) 让资产信息更清晰。密钥托管系统托管终端设备密钥后，可在用户授权许可的情况下，更为详尽地识别终端设备身份信息，更为精准地对终端设备进行分析画像，进一步方便资产运维管理。提供远程免密软重启功能。系统还可对绝大多数终端设备提供了统一的软重启接口，便于日常运维工作中对设备进行远程免密重启。

附图说明

图1为本发明提供的一种公共安全视频监控数字化资产密钥托管方法流程图；

图2为本发明提供的一种可能的电子设备的硬件结构示意图；

图3为本发明提供的一种可能的计算机可读存储介质的硬件结构示意图。

具体实施方式

以下结合附图对本发明的原理和特征进行描述，所举实例只用于解释本发明，并非用于限定本发明的范围。

如图1所示为本发明提供的一种公共安全视频监控数字化资产密钥托管方法流程图，结合图1可知，该方法包括：

步骤1，接收用户输入的托管设备的数字资产信息，数字资产信息包括托管设备的初始用户名及初始密码。

步骤2，基于托管设备的初始用户名及初始密码，采用基于主动扫描的网络指纹识别技术对该托管设备进行扫描，发送数据包获取该托管设备的应答数据，根据应答数据中的特征字段与设备指纹库中存储的该托管设备的指纹的匹配结果来进行托管设备识别。

步骤3，针对不同类型、厂商和型号的托管设备分别建立密钥管理能力池；根据用户预设的规则产生随机密码，在密钥管理能力池适配相应的密钥托管接口将该托管设备的密码修改为随机密码。

步骤4，在接收到用户的密钥查询指令时提供随机密码给用户。

在运维工作中，如果需对终端托管设备进行设备维修、更新配置等工作，可通过密钥查询接口进行实时查询，系统将返回托管设备的当前密码。

本发明提供一种针对公共安全领域数字化资产的密钥托管方法，以设备识别技术为基础，在精确识别设备信息的基础上集成各类设备的国际规范、国内标准、以及各厂商私有协议建立密钥托管能力池，对外提供统一的接口完成设备密码的正确性校验及更改，按照用户自定义规则完成密钥的集中托管。

实施例1

本发明提供的实施例1为本发明提供的一种公共安全视频监控数字化资产密钥托管的实施例，通过设备指纹库识别设备类型，然后调用密钥管理能力池中相应的接口进行随机密钥的派发及修改。对外提供密码托管、日志审计、资产画像、免密重启等功能。下面就功能实现及涉及的技术要点进行阐述。结合图1可知，该实施例包括：

步骤1，接收用户输入的托管设备的数字资产信息，数字资产信息包括托管设备的初始用户名及初始密码。

在一种可能的实施例方式中，接收用户输入的托管设备的数字资产信息包括对各个托管设备的数字资产信息进行增加、删除、修改、查询、单条/ 多条导入；

数字资产信息还包括托管设备的厂商、类型、型号、IP、初始用户名、建设单位以及维护单位等，支持添加用户自定义字段。

在一种可能的实施例方式中，步骤1还包括：接收到任一托管设备的数字资产信息后，对该托管设备进行网络在线检测，对于已上线托管设备，调用相关的接口函数对初始密码进行正确性鉴定。

步骤2，基于托管设备的初始用户名及初始密码，采用基于主动扫描的网络指纹识别技术对该托管设备进行扫描，发送数据包获取该托管设备的应答数据，根据应答数据中的特征字段与设备指纹库中存储的该托管设备的指纹的匹配结果来进行托管设备识别。

在一种可能的实施例方式中，采用基于主动扫描的网络指纹识别技术对该托管设备进行扫描的过程中：通过主动探测的手段对托管设备进行扫描，辅以通过SNMP采集托管设备的ARP表和MAC表，获取目标托管设备的端口开放情况、使用应用层协议和服务组件信息、操作系统信息以及托管设备的产品信息等；扫描得到的数据将存储在平台的后端数据中心。

发送数据包获取该托管设备的应答数据的过程中：根据不同的应用层协议或者服务组件，发送不同的数据包来获取目标托管设备的应答数据。

可以理解的是，例如探测操作系统时，会利用TCP/IP协议栈指纹技术，通过发送一系列特殊的网络探测包来获取目标操作系统的TCP/IP协议栈特征，之后将其特征与操作系统指纹库中的指纹相匹配并得出结果。目前本发明提供的设备识别系统已支持56种主流设备的国际规范、国内标准、及设备厂商应用层协议，如ONVIF、NTCIP(NationalTransportation Communications for ITS Protocol，美国针对智能运输系统的电子设备间数据传输所制定的标准通讯协议)、海大宇等厂商的设备识别协议等。能识别多达1000余种类型的终端设备。随着产品部署场景逐渐增多，该设备指纹库也将不断地被扩充，设备识别的种类和精度也将会同步增加，目前甚至集成了一部分工控设备指纹库。

步骤3，针对不同类型、厂商和型号的托管设备分别建立密钥管理能力池；根据用户预设的规则产生随机密码，在密钥管理能力池适配相应的密钥托管接口将该托管设备的密码修改为随机密码。

在一种可能的实施例方式中，不同类型、厂商和型号的托管设备的密钥管理能力池分别设有适配相应的密钥托管接口。

密钥管理能力池对外提供统一的调用接口，支持融合第三方设备自行建立；各种密钥管理能力池对托管设备的密码(包括初始密码和随机密码)的正确性鉴定和修改的方法的实施例包括：

例如针对普通的云主机，调用主流操作系统通用接口或通过模拟SSH (SecureShell，安全外壳协议)登陆等方式实现密码的正确性鉴定及修改；针对海康、大华、宇视等设备厂商的摄像头、卡口、电子警察、存储等设备，通过ONVIF(Open Network VideoInterface Forum，开放式网络视频接口论坛)鉴权机制、同时集成各厂商SDK(SoftwareDevelopment Kit，软件开发工具包)实现密码的鉴定及修改；针对交换机、路由器、防火墙、网闸等数通设备，通过SNMP(SimpleNetworkManagementProtocol，简单网络管理协议)、NETCONF(TheNetworkConfiguration Protocol，网络配置协议) 以及各厂商提供的Restful API(Representational State Transfer Application ProgrammingInterface，表征状态转移型应用程序接口)实现密码的鉴定及修改。

密钥管理能力池的建设直接关系到系统能够提供托托管设备的种类多少，本发明通过集成海量设备协议，既包括相关行业的国家标准和国际规范，也集成了大量设备厂商的私有协议，在此基础上建成了一个密钥管理能力池，涵盖了目前公共安全视频监控系统中绝大多数设备品牌及型号。对外提供统一的调用接口，支持融合第三方设备自行建立密钥管理能力池。

在一种可能的实施例方式中，根据用户预设的规则产生随机密码的过程中，用户预设的内容包括：更改密码时间周期(如按月、或者按星期)、密钥长度以及密钥复杂度(如大小写字母组合、大小写字母数字混合、特殊字符组合)等。

具体实施中，产品提供统一的密码修改接口。传入参数包括设备IP，端口。第一次纳入托管的托管设备还需录入设备初始用户名及初始密码。运行过程中，按照用户自定义的复杂度随机为托管设备派发随机密码，按照用户指定的时间频率对随机密码进行统一修改，进而实现密码的统一托管。

步骤4，在接收到用户的密钥查询指令时提供随机密码给用户。

在一种可能的实施例方式中，步骤4还包括对用户的查询行为进行日志记录和审计，出于合规性考虑，系统支持用户自定义工作流可供用户定制审批流程，出于便捷性考虑，系统提供手持设备端微信小程序供用户随时查阅。

具体实施中，密钥托管系统成功管理终端设备密钥后，可在用户授权许可的情况下，更为详细的识别终端设备的更多身份信息，如设备的mac、序列号、软硬件版本、及软硬件配置等相关信息，可对设备进行更为精准的画像，进一步方便客户对设备进行维护管理，系统还提供了用户自定义字段供用户对设备做特殊标注。同时系统对绝大多数终端设备提供了统一的软重启接口，便于日常运维工作中对设备进行远程重启。

本发明提供的一种公共安全视频监控数字化资产密钥托管方法及系统，部署于某市市公安局交通管理局(以下简称市交管局)，负责对市交管局三万多台件外场交通电子设施及四千多台件的内场服务器及网络设备进行密码托管。外场交通电子设施主要包括海康、大华、宇视、科达、天地伟业、海信、西门子、三思等厂商的电子警察、交通卡口、违停监控、信号机、诱导屏等设备。内场主要包括windows服务器、Linux服务器以及华为、华三、迪普、思科等厂商的网络设备、安全设备等。由于市交管局设备种类繁多、设备数量庞大，系统上线之前密码管理一直是难点和隐患，弱口令及密码遗忘问题导致运维成本上升。本发明提供的一种密钥托管系统上线后，彻底杜绝弱口令隐患，上级单位的多次抽检密码合格率均为100％。项目备案时对密钥进行实时校验、集中纳入托管，极大成程度上减低忘记密钥风险。同时该系统密码查询简易，日志审计严格，让密码管理更为安全。密码托管后通过资产信息的深层提取让资产管理更清晰，免密软重启功能也为日常运维工作中提供了便捷，本发明提供的一种密钥托管系统紧已在市交管局持续稳定运行一年多，紧贴实战，安全可靠，得到了各级领导的一直好评。

实施例2

本发明提供的实施例2为本发明提供的一种公共安全视频监控数字化资产密钥托管系统的实施例，该实施例包括：设备指纹库、密钥管理能力池和控制单元。

控制单元接收用户输入的托管设备的数字资产信息，数字资产信息包括托管设备的初始用户名及初始密码。

设备指纹库存储有存储的各种托管设备的指纹，用于基于托管设备的初始用户名及初始密码，采用基于主动扫描的网络指纹识别技术对该托管设备进行扫描，发送数据包获取该托管设备的应答数据，根据应答数据中的特征字段与设备指纹库中存储的该托管设备的指纹的匹配结果来进行托管设备识别。

密钥管理能力池针对不同类型、厂商和型号的托管设备分别建立，用于根据用户预设的规则产生随机密码，在密钥管理能力池适配相应的密钥托管接口将该托管设备的密码修改为随机密码。

控制单元在接收到用户的密钥查询指令时通过密钥管理能力池提供随机密码给用户。

可以理解的是，本发明提供的一种公共安全视频监控数字化资产密钥托管系统与前述各实施例提供的公共安全视频监控数字化资产密钥托管方法相对应，公共安全视频监控数字化资产密钥托管系统的相关技术特征可参考公共安全视频监控数字化资产密钥托管方法的相关技术特征，在此不再赘述。

请参阅图2，图2为本发明实施例提供的电子设备的实施例示意图。如图2所示，本发明实施例提了一种电子设备，包括存储器1310、处理器1320 及存储在存储器1310上并可在处理器1320上运行的计算机程序1311，处理器1320执行计算机程序1311时实现以下步骤：接收用户输入的托管设备的数字资产信息，数字资产信息包括托管设备的初始用户名及初始密码；基于托管设备的初始用户名及初始密码，采用基于主动扫描的网络指纹识别技术对该托管设备进行扫描，发送数据包获取该托管设备的应答数据，根据应答数据中的特征字段与设备指纹库中存储的该托管设备的指纹的匹配结果来进行托管设备识别；针对不同类型、厂商和型号的托管设备分别建立密钥管理能力池；根据用户预设的规则产生随机密码，在密钥管理能力池适配相应的密钥托管接口将该托管设备的密码修改为随机密码；在接收到用户的密钥查询指令时提供随机密码给用户。

请参阅图3，图3为本发明提供的一种计算机可读存储介质的实施例示意图。如图3所示，本实施例提供了一种计算机可读存储介质1400，其上存储有计算机程序1411，该计算机程序1411被处理器执行时实现如下步骤：接收用户输入的托管设备的数字资产信息，数字资产信息包括托管设备的初始用户名及初始密码；基于托管设备的初始用户名及初始密码，采用基于主动扫描的网络指纹识别技术对该托管设备进行扫描，发送数据包获取该托管设备的应答数据，根据应答数据中的特征字段与设备指纹库中存储的该托管设备的指纹的匹配结果来进行托管设备识别；针对不同类型、厂商和型号的托管设备分别建立密钥管理能力池；根据用户预设的规则产生随机密码，在密钥管理能力池适配相应的密钥托管接口将该托管设备的密码修改为随机密码；在接收到用户的密钥查询指令时提供随机密码给用户。

本发明实施例提供的一种公共安全视频监控数字化资产密钥托管方法、系统及存储介质，1)杜绝弱口令隐患。系统根据用户自定义密码复杂度随机生成密码、设置密码。2)减低忘记密钥风险。传统密码管理方式密钥正确性无法实时校验，忘记密码后成本高，本系统通过实时校验、集中托管消除忘记密码带来的风险。3)让密码管理更为安全。密码查询简易，日志审计严格，出于便捷性考虑，系统提供手持设备端微信小程序供用户随时查阅。同时将系统对用户的查询行为进行详尽的日志记录和严格的行为审计。4) 让资产信息更清晰。密钥托管系统托管终端设备密钥后，可在用户授权许可的情况下，更为详尽地识别终端设备身份信息，更为精准地对终端设备进行分析画像，进一步方便资产运维管理。提供远程免密软重启功能。系统还可对绝大多数终端设备提供了统一的软重启接口，便于日常运维工作中对设备进行远程免密重启。

需要说明的是，在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详细描述的部分，可以参见其它实施例的相关描述。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述。应理解可由计算机程序指令实现流程图和 /或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式计算机或者其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包括这些改动和变型在内。