一种远程监控部署方法、装置、电子设备及存储介质与流程

1.本公开涉及数据安全传输技术领域，具体地，涉及一种远程监控部署方 法、装置、电子设备及存储介质。


背景技术：

2.依据密码设备管理-设备管理技术规范标准(gmt 0050-2016)和密码设 备管理-远程监控与合规性检验接口数据规范(gmt 0053-2016)，密管 vpn(virtual private network，虚拟专用网络)设备如果需要在远程监控端处进 行注册以接受远程监控端的管控，就需要在与远程监控端建立安全通道之前， 人工手动在密管vpn设备与远程监控端处进行签名/加密证书的互导、基本信 息的录入和网络信息的配置。但是此人工参与的过程容易导致证书信息的泄 露以及操作失误等问题。并且，该过程需安排相关的工程人员至用户现场进 行设备的部署工作，人力成本较高。而且，当在不同地区的密管vpn设备都 需接受dmc管控时，工程人员需要分别去每一台密管设备的部署现场进行相 关信息的录入以及配置，不仅效率低下且容易出错。鉴于此，提供一种解决 上述技术问题的方案，已经是本领域技术人员所亟需关注的。


技术实现要素：

3.本公开的目的在于提供一种远程监控部署方法、装置、电子设备及计算 机可读存储介质，以便有效节省人力成本并提高部署效率和信息安全性。
4.为了实现上述目的，本公开提供一种远程监控部署方法，应用于密管vpn 设备，包括：
5.从密码中间件中读取远程监控端预先写入的网络配置信息；
6.基于所述网络配置信息建立与所述远程监控端之间的通信通道；
7.采用所述密码中间件的签名加密机制利用随机数确定会话密钥；
8.将注册信息经所述会话密钥加密后发送至所述远程监控端；
9.在所述远程监控端对解密获取的所述注册信息通过校验后，接收所述远 程监控端签发的证书，以完成所述密管vpn设备的远程监控部署。
10.可选地，所述采用所述密码中间件的签名加密机制利用随机数确定会话 密钥，包括：
11.所述密管vpn设备生成随机数a，将所述随机数a经所述密码中间件的 私钥签名、经所述远程监控端的公钥加密后，发送至所述远程监控端；
12.所述远程监控端通过所述密码中间件的公钥验签、通过所述远程监控端 的私钥解密后获取所述随机数a；
13.所述远程监控端生成随机数b，根据所述随机数a和b计算生成会话密 钥，并将所述随机数a和b经所述远程监控端的私钥签名、经所述密码中间 件的公钥加密后发送至所述密管vpn设备；
14.所述密管vpn设备通过所述远程监控端的公钥解签、通过所述密码中间 件的私钥解密后获取所述随机数b；基于所述随机数a和b计算所述会话密 钥。
15.可选地，所述将注册信息经所述会话密钥加密后发送至所述远程监控端， 包括：
16.将所述密管vpn设备的ip地址、系统版本、设备名称经所述会话密钥加 密后发送至所述远程监控端。
17.可选地，所述远程监控端对解密获取的所述注册信息通过校验，包括：
18.所述远程监控端通过所述会话密钥解密获取所述注册信息；
19.所述远程监控端在预设数据库中对所述注册信息进行匹配查找；
20.若匹配成功，则判定所述注册信息通过校验。
21.可选地，所述接收所述远程监控端签发的证书，以完成所述密管vpn设 备的远程监控部署，包括：
22.所述远程监控端将签发的所述证书和加密私钥经所述会话密钥加密后发 送至所述密管vpn设备；
23.所述密管vpn设备通过所述会话密钥解密后获取所述证书和所述加密私 钥，并向所述远程监控端发送接收成功消息；
24.所述远程监控端启动对所述密管vpn设备的远程监控托管。
25.可选地，所述从密码中间件中读取远程监控端预先写入的网络配置信息， 包括：
26.在监测到密码中间件的插入事件消息后，从插入的所述密码中间件中读 取远程监控端预先写入的网络配置信息。
27.又一方面，本技术公开了一种远程监控部署装置，应用于密管vpn设备， 包括：
28.读取模块，用于从密码中间件中读取远程监控端预先写入的网络配置信 息；
29.通信模块，用于基于所述网络配置信息建立与所述远程监控端之间的通 信通道；
30.确定模块，用于采用所述密码中间件的签名加密机制利用随机数确定会 话密钥；
31.注册模块，用于将注册信息经所述会话密钥加密后发送至所述远程监控 端；在所述远程监控端对解密获取的所述注册信息通过校验后，接收所述远 程监控端签发的证书，以完成所述密管vpn设备的远程监控部署。
32.可选地，所述确定模块在采用所述密码中间件的签名加密机制利用随机 数确定会话密钥时，具体用于：
33.生成随机数a，将所述随机数a经所述密码中间件的私钥签名、经所述 远程监控端的公钥加密后，发送至所述远程监控端；
34.在所述远程监控端通过所述密码中间件的公钥验签、通过所述远程监控 端的私钥解密后获取所述随机数a，生成随机数b，并根据所述随机数a和b 计算生成会话密钥，将所述随机数a和b经所述远程监控端的私钥签名、经 所述密码中间件的公钥加密后发送至所述密管vpn设备后，所述确定模块通 过所述远程监控端的公钥解签、通过所述密码中间件的私钥解密后获取所述 随机数b；并基于所述随机数a和b计算所述会话密钥。
35.可选地，所述读取模块在从密码中间件中读取远程监控端预先写入的网 络配置信息时，具体用于：
36.在监测到密码中间件的插入事件消息后，从插入的所述密码中间件中读 取远程监控端预先写入的网络配置信息。
37.可选地，所述注册模块在将注册信息经所述会话密钥加密后发送至所述 远程监控端时，具体用于：
38.将所述密管vpn设备的ip地址、系统版本、设备名称经所述会话密钥加 密后发送至所述远程监控端。
39.可选地，所述注册模块在接收所述远程监控端签发的证书，以完成所述 密管vpn设备的远程监控部署时，具体用于：
40.在所述远程监控端将签发的所述证书和加密私钥经所述会话密钥加密后 发送至所述密管vpn设备后，通过所述会话密钥解密后获取所述证书和所述 加密私钥，并向所述远程监控端发送接收成功消息；以便所述远程监控端启 动对所述密管vpn设备的远程监控托管。
41.通过上述技术方案可知，本公开通过使用密码中间件安全实现了证书的 在线签发，无需人工录入信息、配置网络及互导证书，不仅有效降低了人力 成本、提高了部署效率，而且有效避免了人工处理过程中敏感信息泄露的问 题，极大保障了端到端之间的通信安全。
42.本公开的其他特征和优点将在随后的具体实施方式部分予以详细说明。
附图说明
43.附图是用来提供对本公开的进一步理解，并且构成说明书的一部分，与 下面的具体实施方式一起用于解释本公开，但并不构成对本公开的限制。在 附图中：
44.图1为本公开实施例提供的一种远程监控部署方法的流程图；
45.图2为本公开实施例提供的一种确定会话密钥的过程示意图；
46.图3为本公开实施例提供的一种用于远程监控部署装置的结构框图；
47.图4为本公开实施例提供的一种电子设备的框图；
48.图5为本公开实施例提供的又一种电子设备的框图。
具体实施方式
49.以下结合附图对本公开的具体实施方式进行详细说明。应当理解的是， 此处所描述的具体实施方式仅用于说明和解释本公开，并不用于限制本公开。
50.依据密码设备管理-设备管理技术规范标准(gmt 0050-2016)和密码设 备管理-远程监控与合规性检验接口数据规范(gmt 0053-2016)，密管 vpn(virtual private network，虚拟专用网络)设备如果需要在远程监控端处进 行注册以接受远程监控端的管控，就需要在与远程监控端建立安全通道之前， 人工手动在密管vpn设备与远程监控端处进行签名/加密证书的互导、基本信 息的录入和网络信息的配置。但是此人工参与的过程容易导致证书信息的泄 露以及操作失误等问题。并且，该过程需安排相关的工程人员至用户现场进 行设备的部署工作，人力成本较高。而且，当在不同地区的密管vpn设备都 需接受dmc管控时，工程人员需要分别去每一台密管设备的部署现场进行相 关信息的录入以及配置，不仅效率低下且容易出错。鉴于此，本公开提供了 一种远程监控部署方案，可有效解决上述问题。
51.参见图1所示，本公开实施例提供了一种远程监控部署方法，应用于密 管vpn设
备，主要包括：
52.s101：从密码中间件中读取远程监控端预先写入的网络配置信息。
53.s102：基于网络配置信息建立与远程监控端之间的通信通道。
54.s103：采用密码中间件的签名加密机制利用随机数确定会话密钥。
55.需要指出的是，本公开实施例所提供的远程监控部署，无需人工手动导 入证书、配置相关的网络参数、预录设备信息等，而是引入了密码中间件， 通过使用密码中间件而建立了密管vpn设备与远程监控端之间的安全通信通 道，从而可以实现对密管vpn设备的在线证书签发，不仅降低了人力成本并 有效提高了部署效率，而且也有效保障了证书签发过程的信息安全性。
56.具体地，远程监控端预先在密码中间件中写入了网络配置信息。当将密 码中间件插入密管vpn设备后，该密管vpn设备便从中读出相关信息，以 便与远程监控端进行网络通信。
57.而为了保障网络通信的信息安全，密管vpn设备和远程监控设备可利用 生成随机数的方法，并采用密码中间件的签名加密机制进行传输，将基于随 机数计算生成的会话密钥安全地进行通信确认。
58.s104：将注册信息经会话密钥加密后发送至远程监控端。
59.s105：在远程监控端对解密获取的注册信息通过校验后，接收远程监控 端签发的证书，以完成密管vpn设备的远程监控部署。
60.在确定了会话密钥之后，密管vpn设备便可以将需要提交的注册信息经 会话密钥进行加密，并发送至远程监控端。远程监控端在接收后，利用会话 密钥解密出注册信息，对该密管vpn设备进行校验。当校验通过后，便可以 为该密管vpn设备签发证书，并以在线的方式，通过前面所建立的安全通信 通道将证书下发给该密管vpn设备。由此，密管vpn设备便完成了在远程 监控端的注册，得到了远程监控端的远程托管。
61.可见，本公开通过使用密码中间件安全实现了证书的在线签发，无需人 工录入信息、配置网络及互导证书，不仅有效降低了人力成本、提高了部署 效率，而且有效避免了人工处理过程中敏感信息泄露的问题，极大保障了端 到端之间的通信安全。
62.作为一种具体实施例，本公开实施例所提供的远程监控部署方法在上述 内容的基础上，从密码中间件中读取远程监控端预先写入的网络配置信息， 包括：
63.在监测到密码中间件的插入事件消息后，从插入的密码中间件中读取远 程监控端预先写入的网络配置信息。
64.具体地，采用本技术所提供的远程监控部署方法，当需要对一台密管vpn 设备进行远程监控端托管时，只需要将相关的密码中间件插入该密管vpn设 备中，该密管vpn设备即可通过上述步骤中的方法完成证书的在线签发，实 现在远程监控端的托管。具体地，可在密管vpn设备处设置由密码中间件的 插入事件消息触发执行上述方法。
65.作为一种具体实施例，本公开实施例所提供的远程监控部署方法在上述 内容的基础上，采用密码中间件的签名加密机制利用随机数确定会话密钥， 包括：
66.s201：密管vpn设备生成随机数a，将随机数a经密码中间件的私钥签 名、经远程监控端的公钥加密后，发送至远程监控端；
67.s202：远程监控端通过密码中间件的公钥验签、通过远程监控端的私钥 解密后获
取随机数a；
68.s203：远程监控端生成随机数b，根据随机数a和b计算生成会话密钥， 并将随机数a和b经远程监控端的私钥签名、经密码中间件的公钥加密后发 送至密管vpn设备；
69.s204：密管vpn设备通过远程监控端的公钥解签、通过密码中间件的私 钥解密后获取随机数b；基于随机数a和b计算会话密钥。
70.具体可参见图2，图2为本公开实施例所提供的一种确定会话密钥的过程 示意图。其中，ss为密码中间件的私钥，sp为密码中间件的公钥；ds为远程 监控端的私钥，dp为远程监控端的公钥；a(ss)(dp)表示随机数a经ss签名、 经dp加密后的结果；表示ab(ds)(sp)表示随机数a和b经ds签名、经sp 加密后的结果。
71.作为一种具体实施例，本公开实施例所提供的远程监控部署方法在上述 内容的基础上，将注册信息经会话密钥加密后发送至远程监控端，包括：
72.将密管vpn设备的ip地址、系统版本、设备名称经会话密钥加密后发送 至远程监控端。当然，注册信息还可以包括其他具体信息，本领域技术人员 可以根据实际需求而自行设置，本技术对此并不进行限定。
73.作为一种具体实施例，本公开实施例所提供的远程监控部署方法在上述 内容的基础上，远程监控端对解密获取的注册信息通过校验，包括：
74.远程监控端通过会话密钥解密获取注册信息；
75.远程监控端在预设数据库中对注册信息进行匹配查找；
76.若匹配成功，则判定注册信息通过校验。
77.具体地，远程监控端维护有数据库，存储有预先设定的可实施远程监管 的设备的相关信息。通过查验数据库，可对密管vpn设备发送来的注册信息 进行校验。
78.作为一种具体实施例，本公开实施例所提供的远程监控部署方法在上述 内容的基础上，接收远程监控端签发的证书，以完成密管vpn设备的远程监 控部署，包括：
79.远程监控端将签发的证书和加密私钥经会话密钥加密后发送至密管vpn 设备；
80.密管vpn设备通过会话密钥解密后获取证书和加密私钥，并向远程监控 端发送接收成功消息；
81.远程监控端启动对密管vpn设备的远程监控托管。
82.具体地，远程监控端在通过对注册信息的校验后，将为该密管vpn设备 签发证书和加密私钥。签发的证书和加密私钥将会经会话密钥加密后发送至 密管vpn设备，再由密管vpn设备通过会话密钥解密后获取。当远程监控 终端接收到密管vpn设备返回的接收成功消息后，便可以启动对密管vpn 设备的远程监控托管。
83.参见图3所示，本公开实施例提供了一种远程监控部署装置300，应用于 密管vpn设备，主要包括：
84.读取模块301，用于从密码中间件中读取远程监控端预先写入的网络配置 信息；
85.通信模块302，用于基于网络配置信息建立与远程监控端之间的通信通 道；
86.确定模块303，用于采用密码中间件的签名加密机制利用随机数确定会话 密钥；
87.注册模块304，用于将注册信息经会话密钥加密后发送至远程监控端；在 远程监控端对解密获取的注册信息通过校验后，接收远程监控端签发的证书， 以完成密管vpn设备的远程监控部署。
88.可见，本公开实施例所公开的远程监控部署装置300，通过使用密码中间 件安全实现了证书的在线签发，无需人工录入信息、配置网络及互导证书， 不仅有效降低了人力成本、提高了部署效率，而且有效避免了人工处理过程 中敏感信息泄露的问题，极大保障了端到端之间的通信安全
89.作为一种具体实施例，本公开实施例所公开的远程监控部署装置300在 上述内容的基础上，确定模块303在采用密码中间件的签名加密机制利用随 机数确定会话密钥时，具体用于：
90.生成随机数a，将随机数a经密码中间件的私钥签名、经远程监控端的 公钥加密后，发送至远程监控端；
91.在远程监控端通过密码中间件的公钥验签、通过远程监控端的私钥解密 后获取随机数a，生成随机数b，并根据随机数a和b计算生成会话密钥， 将随机数a和b经远程监控端的私钥签名、经密码中间件的公钥加密后发送 至密管vpn设备后，确定模块303通过远程监控端的公钥解签、通过密码中 间件的私钥解密后获取随机数b；并基于随机数a和b计算会话密钥。
92.作为一种具体实施例，本公开实施例所公开的远程监控部署装置300在 上述内容的基础上，，读取模块301在从密码中间件中读取远程监控端预先 写入的网络配置信息时，具体用于：
93.在监测到密码中间件的插入事件消息后，从插入的密码中间件中读取远 程监控端预先写入的网络配置信息。
94.作为一种具体实施例，本公开实施例所公开的远程监控部署装置300在 上述内容的基础上，，注册模块304在将注册信息经会话密钥加密后发送至 远程监控端时，具体用于：
95.将密管vpn设备的ip地址、系统版本、设备名称经会话密钥加密后发送 至远程监控端。
96.作为一种具体实施例，本公开实施例所公开的远程监控部署装置300在 上述内容的基础上，，注册模块304在接收远程监控端签发的证书，以完成 密管vpn设备的远程监控部署时，具体用于：
97.在远程监控端将签发的证书和加密私钥经会话密钥加密后发送至密管 vpn设备后，通过会话密钥解密后获取证书和加密私钥，并向远程监控端发 送接收成功消息；以便远程监控端启动对密管vpn设备的远程监控托管。
98.关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有 关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。
99.图4是根据一示例性实施例示出的一种电子设备400的框图。如图4所示， 该电子设备400可以包括：处理器401，存储器402。该电子设备400还可以包 括多媒体组件403，信息输入/信息输出(i/o)接口404，以及通信组件405中 的一者或多者。
100.其中，处理器401用于控制该电子设备400的整体操作，以完成上述的应 用于电子设备中的远程监控部署方法中的全部或部分步骤；存储器402用于存 储各种类型的数据以支持在该电子设备400的操作，这些数据例如可以包括用 于在该电子设备400上操作的任何应用程序或方法的指令，以及应用程序相关 的数据，例如联系人数据、收发的消息、图
片、音频、视频等等。该存储器 402可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，例如 静态随机存取存储器(static randomaccess memory，简称sram)，电可擦 除可编程只读存储器(electrically erasable programmable read-only memory， 简称eeprom)，可擦除可编程只读存储器(erasable programmable read-onlymemory，简称eprom)，可编程只读存储器(programmable read-onlymemory，简称prom)，只读存储器(read-only memory，简称rom)，磁 存储器，快闪存储器，磁盘或光盘。
101.多媒体组件403可以包括屏幕和音频组件。其中屏幕例如可以是触摸屏， 音频组件用于输出和/或输入音频信号。例如，音频组件可以包括一个麦克风， 麦克风用于接收外部音频信号。所接收的音频信号可以被进一步存储在存储 器402或通过通信组件405发送。音频组件还包括至少一个扬声器，用于输出 音频信号。i/o接口404为处理器401和其他接口模块之间提供接口，上述其他 接口模块可以是键盘，鼠标，按钮等。这些按钮可以是虚拟按钮或者实体按 钮。通信组件405用于该电子设备400与其他设备之间进行有线或无线通信。 无线通信，例如wi-fi，蓝牙，近场通信(near field communication，简称nfc)， 2g、3g或4g，或它们中的一种或几种的组合，因此相应的该通信组件405可 以包括：wi-fi模块，蓝牙模块，nfc模块。
102.在一示例性实施例中，电子设备400可以被一个或多个应用专用集成电路 (application specific integrated circuit，简称asic)、数字信号处理器(digitalsignal processor，简称dsp)、数字信号处理设备(digital signal processingdevice，简称dspd)、可编程逻辑器件(programmable logic device，简称 pld)、现场可编程门阵列(field programmable gate array，简称fpga)、 控制器、微控制器、微处理器或其他电子元件实现，用于执行上述远程监控 部署方法。
103.在另一示例性实施例中，还提供了一种包括程序指令的计算机可读存储 介质，该程序指令被处理器执行时用以实现上述远程监控部署方法的步骤。 例如，该计算机可读存储介质可以为上述存储有程序指令的存储器402，上述 程序指令可由电子设备400的处理器401执行以完成上述远程监控部署方法。
104.关于上述电子设备400和计算机可读存储介质的具体内容，可参考前述 关于远程监控部署方法的详细介绍，这里就不再赘述。
105.图5是根据一示例性实施例示出的另一种电子设备500的框图。例如， 电子设备500可以被提供为一服务器。参照图5，电子设备500包括处理器 501，其数量可以为一个或多个，以及存储器502，用于存储可由处理器501 执行的计算机程序。存储器502中存储的计算机程序可以包括一个或一个以 上的每一个对应于一组指令的模块。此外，处理器501可以被配置为执行该 计算机程序，以执行上述的远程监控部署方法。
106.另外，电子设备500还可以包括电源组件503和通信组件504，该电源组 件503可以被配置为执行电子设备500的电源管理，该通信组件504可以被 配置为实现电子设备500的通信，例如，有线或无线通信。此外，该电子设 备500还可以包括输入/输出(i/o)接口505。电子设备500可以操作基于存 储在存储器502的操作系统，例如windows servertm，mac os xtm，unixtm, linuxtm等等。
107.在另一示例性实施例中，还提供了一种包括程序指令的计算机可读存储 介质，该程序指令被处理器执行时实现上述的远程监控部署方法的步骤。例 如，该计算机可读存储
介质可以为上述包括程序指令的存储器502，上述程序 指令可由电子设备500的处理器501执行以完成上述的远程监控部署方法。
108.以上结合附图详细描述了本公开的优选实施方式，但是，本公开并不限 于上述实施方式中的具体细节，在本公开的技术构思范围内，可以对本公开 的技术方案进行多种简单变型，这些简单变型均属于本公开的保护范围。
109.另外需要说明的是，在上述具体实施方式中所描述的各个具体技术特征， 在不矛盾的情况下，可以通过任何合适的方式进行组合。为了避免不必要的 重复，本公开对各种可能的组合方式不再另行说明。
110.此外，本公开的各种不同的实施方式之间也可以进行任意组合，只要其 不违背本公开的思想，其同样应当视为本公开所公开的内容。