终端设备的安全远程管理系统的制作方法

本发明涉及数据安全的，特别涉及一种终端设备的安全远程管理系统。

背景技术：

1、随着物联网的发展，越来越多的设备需要进行远程管理，目前主要技术方案包括：telnet、ssh、snmp、tr-069、mqtt、以及远程web登录远程管理。

2、目前的远程管理方案中，没有考虑到传输过程中的安全性问题，同时由于终端设备可以处于不同的网络环境中，例如：

3、1、终端设备与远程管理平台在同一个局域网中，终端设备具备ip地址，且作为客户端或服务端角色；

4、2、终端设备与远程管理平台在同一个局域网中，终端设备不具备ip地址，在终端设备上接入了其他具备ip地址的设备；

5、3、终端设备在局域网，远程管理平台在互联网（具备公网ip地址），终端设备具备局域网ip地址，且作为客户端或服务端角色；

6、4、终端设备在局域网，远程管理平台在互联网（具备公网ip地址），终端设备不具备局域网ip地址，在终端设备上接入了其他具备局域网ip地址的设备；

7、5、终端设备在局域网，远程管理平台在互联网（具备公网ip地址），终端设备不具备局域网ip地址，在终端设备上接入了其他具备局域网ip地址的设备时。

8、由于终端设备在不同的网络环境中，容易造成与管理平台无法安全通信，从而造成无法进行安全远程管理。

技术实现思路

1、本发明的主要目的为提供一种终端设备的安全远程管理系统，旨在克服目前没有考虑远程管理的安全性问题，以及在不同的网络环境下无法进行远程管理的缺陷。

2、为实现上述目的，本发明提供了一种终端设备的安全远程管理系统，包括终端设备以及管理平台；所述终端设备包括本地安全管理模块、本地管理服务模块以及第一vpn组件；所述管理平台包括远程安全管理模块、远程管理服务模块以及第二vpn组件；

3、所述本地安全管理模块与所述远程安全管理模块之间建立远程安全管理隧道，所述远程安全管理隧道基于国密ssl以及mqtt协议进行通信；其中，所述本地安全管理模块包括有ip地址以及无ip地址；

4、所述本地管理服务模块与所述远程管理服务模块通过所述远程安全管理隧道建立连接；所述第一vpn组件、第二vpn组件的vpn控制信息以及vpn数据封装均通过所述远程安全管理隧道安全传输；

5、所述远程管理服务模块通过所述远程安全管理隧道对所述终端设备或者所述终端设备的下游设备进行远程管理。

6、进一步地，所述本地安全管理模块与所述远程安全管理模块之间建立远程安全管理隧道，包括：

7、所述本地安全管理模块作为tcp客户端与所述远程安全管理模块的tcp服务端进行tcp连接；

8、所述本地安全管理模块通过国密ssl协议与所述远程安全管理模块协商建立国密ssl隧道；

9、所述本地安全管理模块使用mqtt协议与所述远程安全管理模块建立mqtt消息通道进行通信。

10、进一步地，所述终端设备具备ip地址时，所述本地安全管理模块作为tcp客户端与所述远程安全管理模块的tcp服务端进行tcp连接；所述本地安全管理模块使用终端设备的ip地址，所述远程安全管理模块使用管理平台的ip地址；

11、所述终端设备不具备ip地址时，所述本地安全管理模块作为tcp客户端，利用nginx透明代理技术并使用所述终端设备接入的下游设备ip地址作为tcp客户端的ip地址，与所述远程安全管理模块的tcp服务端建立tcp连接；其中，所述远程安全管理模块使用管理平台的ip地址；所述nginx透明代理技术至少包括基于nginx的tproxy技术。

12、进一步地，所述本地安全管理模块使用mqtt协议与所述远程安全管理模块建立mqtt消息通道进行通信，包括：

13、所述本地安全管理模块上的mqtt客户端与所述远程安全管理模块上的mqtt代理通过所述国密ssl隧道建立基于发布/订阅的消息通道；

14、所述远程安全管理模块上的mqtt客户端与所述远程安全管理模块上的mqtt代理建立基于发布/订阅的消息通道。

15、进一步地，所述终端设备作为客户端角色时，所述本地管理服务模块通过第一vpn组件与所述远程管理服务模块建立连接；所述第一vpn组件的vpn控制信息以及vpn数据封装通过所述本地安全管理模块经所述远程安全管理隧道安全传输至所述管理平台；

16、所述终端设备作为服务端角色时，所述远程管理服务模块通过所述第二vpn组件与所述本地管理服务模块建立连接；所述第二vpn组件的vpn控制信息以及vpn数据封装通过所述远程管理服务模块经所述远程安全管理隧道安全传输至所述终端设备。

17、进一步地，所述第一vpn组件、第二vpn组件均分别包括基于虚拟网卡的vpn数据报文处理模块。

18、进一步地，所述终端设备与管理平台在同一个局域网时，所述终端设备与管理平台通过交换机互联；

19、所述本地管理服务模块使用所述第一vpn组件中的虚拟网卡的ip地址，与所述远程管理服务模块使用所述第二vpn组件中的虚拟网卡的ip地址进行连接。

20、进一步地，所述终端设备与管理平台不在同一个局域网时，所述终端设备通过路由器与所述管理平台互联；

21、所述本地管理服务模块使用所述第一vpn组件中的虚拟网卡的ip地址，与所述远程管理服务模块使用所述第二vpn组件中的虚拟网卡的ip地址进行连接。

22、进一步地，所述终端设备具有下游设备；

23、所述终端设备作为客户端角色时，所述终端设备通过tproxy技术模拟所述下游设备的ip地址，所述下游设备通过所述终端设备的第一vpn组件与所述远程管理服务模块建立连接；所述第一vpn组件的vpn控制信息以及vpn数据封装通过所述远程安全管理隧道安全传输至所述管理平台；所述终端设备使用所述第一vpn组件中的虚拟网卡的ip地址，所述远程管理服务模块使用所述第二vpn组件中的虚拟网卡的ip地址；

24、所述终端设备作为服务端角色时，所述远程管理服务模块通过所述第二vpn组件与所述终端设备建立连接；所述第二vpn组件的vpn控制信息以及vpn数据封装通过所述远程安全管理隧道安全传输至所述终端设备；所述终端设备使用所述第一vpn组件中的虚拟网卡的ip地址，所述远程管理服务模块使用所述第二vpn组件中的虚拟网卡的ip地址。

25、进一步地，所述远程管理服务模块通过所述远程安全管理隧道对所述终端设备或者所述终端设备的下游设备进行远程管理时，生成一个管理码进行管理验证；

26、所述管理码的生成，包括：

27、所述远程管理服务模块获取所述管理平台的第一属性信息，以及获取所述终端设备的第二属性信息；

28、基于所述第一属性信息以及第二属性信息生成一个属性矩阵；其中，所述属性矩阵为三行四列的矩阵，各个矩阵位置上具有字符；

29、获取所述管理平台的ip地址，将所述ip地址中的数字字符依序逐个添加至三行四列的空白矩阵中，生成一个数字矩阵；

30、基于所述数字矩阵对所述属性矩阵进行字符筛选，得到筛选字符；基于所述筛选字符生成所述管理码。

31、本发明提供的终端设备的安全远程管理系统，包括终端设备以及管理平台；所述终端设备包括本地安全管理模块、本地管理服务模块以及第一vpn组件；所述管理平台包括远程安全管理模块、远程管理服务模块以及第二vpn组件；所述本地安全管理模块与所述远程安全管理模块之间建立远程安全管理隧道，所述远程安全管理隧道基于国密ssl以及mqtt协议进行通信；其中，所述本地安全管理模块包括有ip地址以及无ip地址；所述本地管理服务模块与所述远程管理服务模块通过所述远程安全管理隧道建立连接；所述第一vpn组件、第二vpn组件的vpn控制信息以及vpn数据封装均通过所述远程安全管理隧道安全传输；所述远程管理服务模块通过所述远程安全管理隧道对所述终端设备或者所述终端设备的下游设备进行远程管理。在本发明中，通过建立远程安全管理隧道，保障了通信安全性；所述本地管理服务模块与所述远程管理服务模块通过所述远程安全管理隧道建立连接；结合所述第一vpn组件、第二vpn组件的vpn控制信息以及vpn数据封装均通过所述远程安全管理隧道安全传输，使得终端设备处于不同网络环境下也可以进行安全远程管理，同时支持终端设备有ip或无ip地址。