一种网络安全的管理方法及相关设备

本公开涉及通信，尤其涉及一种网络安全的管理方法及相关设备。

背景技术：

1、随着互联网技术的快速发展，信息传输的安全变得尤为重要。目前，信息传输平台通常采用对称加密的方式对信息进行加密传输，以提高信息传输的安全性。

2、然而，当采用上述加密传输方式时，通常会存在以下技术问题：第一，未对信息的来源进行认证，导致可能传输一些不符合条件的信息，降低了信息传输的可靠性；第二，当采用对称加密的方式时，一旦加密密钥泄露，导致加密信息容易被破解，极大地降低信息传输的安全性。

3、目前，微网系统中所采取的安全防护措施一般是在微网系统的企业管理层和外部网络之间部署防火墙。由于防护措施较少，一旦该企业管理层与外部网络之间的防火墙被攻击者攻破，则微网系统的内部网络便很容易被控制，从而使得微网系统中的生产资料等数据被窃取，或者现场设备被恶意操控，影响到正常的工业控制。

4、此外，微网系统部署大量智慧融合终端，通过微网能量控制器对终端进行监视控制，具有传输数据量大、数据获取方式多样、数据交互实时性高等特点，亟需完善微网系统网络安全防护。

5、需要说明的是，在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。

技术实现思路

1、本公开的目的在于提供一种网络安全的管理方法及相关设备，至少在一定程度上克服由于现有技术存在的问题，采用设备唯一标识和数字证书相结合的方式完成身份认证，并在身份认证过程中进行临时会话密钥协商，满足端设备即插即用需求，基于移动设备的属性信息和所述安全等级信息进行处理，生成移动设备的连接优先级。加强网络和系统本身内在的安全性，在通信协议设计中考虑完善安全机制、内嵌基于行为判定的访问控制、以虚拟异构的方式实现系统和网络状态可变、构建安全执行环境等。

2、本公开的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本公开的实践而习得。

3、根据本技术的一个方面，提供一种网络安全的管理方法，包括：获取移动设备发送的数字证书信息、设备唯一标识信息、移动设备随机数、移动设备key-share信息、移动设备的属性信息和安全等级信息；获取目标服务器随机数和目标服务器key-share信息；根据所述移动设备key-share信息和所述目标服务器key-share信息生成预主密钥；根据所述移动设备随机数、所述目标服务器随机数和所述预主密钥生成临时会话密钥；基于预设配对规则对所述数字证书信息和所述设备唯一标识信息进行处理，生成处理结果；若所述处理结果为允许所述目标服务器与所述移动设备进行配对连接，则获取配置信息，所述配置信息包括与所述移动设备完成连接建立过程所需的域名证书和其他目标服务器参数；基于所述临时会话密钥对所述配置信息进行加密处理，生成加密后的配置信息，其中，所述加密后的配置信息用于供所述移动设备与目标服务器完成连接建立过程；对所述移动设备的属性信息和所述安全等级信息进行处理，生成移动设备的连接优先级；基于所述移动设备的连接优先级和所述加密后的配置信息与所述移动设备进行连接。

4、在本技术的一个实施例中，所述获取配置信息，包括：检测本地存储区域中的域名证书是否处于有效状态；若否，则向证书中心发送证书加载请求；对从所述证书中心所获取的新的域名证书对处于失效状态的域名证书进行替换。

5、在本技术的一个实施例中，所述向证书中心发送证书加载请求，包括：向所述证书中心发送证书加载请求，其中，所述证书加载请求包括标识信息，所述标识信息用于标识所述证书加载请求在证书中心的处理优先级：获取所述证书中心返回的域名证书。

6、在本技术的一个实施例中，所述将所述加密后的配置信息发送给所述移动设备以完成连接建立过程之后，还包括：当所述目标服务器完成首次握手请求时，在映射表内存储所述首次握手请求中域名证书支持的所有域名信息、跨域名复用信息以及与所述域名证书相关联的握手复用信息；向所述移动设备发送握手复用信息；当所述移动设备与所述目标服务器进行断开连接后且需要再次进行连接时，基于所述握手复用信息与所述移动设备完成握手请求。

7、在本技术的一个实施例中，所述基于所述握手复用信息与所述移动设备完成握手请求，包括：当所述跨域名复用信息为所述移动设备发送的clienthello消息携带的跨域名复用扩展信息时；获取所述移动设备发送的clienthello消息，所述clienthello消息中包括sessionid信息：根据所述sessionid信息关联的会话信息，确定会话密钥，完成与所述移动设备的握手请求。

8、在本技术的一个实施例中，所述基于所述握手复用信息与移动设备完成握手请求，还包括：当所述跨域名复用信息为所述移动设备发送的newsessionticket消息携带的跨域名复用标志位；获取所述移动设备发送clienthello消息，所述clienthello消息中包括sessionticket信息；向所述移动设备发送校验信息，其中，所述校验信息为对sessionticket信息验证成功后返回的信息；根据所述sessionticket信息关联的会话信息，确定会话密钥，完成与所述移动设备的握手请求。

9、在本技术的一个实施例中，对所述移动设备的属性信息和所述安全等级信息进行处理，生成移动设备的连接优先级，包括：获取目标服务器的实时负载均衡信息和预设周期内的数据连接任务信息；基于所述预设周期内的数据连接任务信息对所述目标服务器进行处理，生成目标服务器的预设连接进度信息；对所述移动设备的属性信息和所述安全等级信息进行处理，生成目标处理进度信息，其中，所述目标处理进度信息包括移动设备的处理时长和连接时长；基于所述目标处理进度信息对所述预设连接进度信息进行处理，生成移动设备的连接优先级。

10、本技术的另一个方面，一种网络安全的管理装置，其特征在于，包括：获取模块，用于获取移动设备发送的数字证书信息、设备唯一标识信息、移动设备随机数、移动设备key-share信息、移动设备的属性信息和安全等级信息；获取目标服务器随机数和目标服务器key-share信息；处理模块，用于根据所述移动设备key-share信息和所述目标服务器key-share信息生成预主密钥；根据所述移动设备随机数、所述目标服务器随机数和所述预主密钥生成临时会话密钥；基于预设配对规则对所述数字证书信息和所述设备唯一标识信息进行处理，生成处理结果；若所述处理结果为允许所述目标服务器与所述移动设备进行配对连接，则获取配置信息，所述配置信息包括与所述移动设备完成连接建立过程所需的域名证书和其他目标服务器参数；基于所述临时会话密钥对所述配置信息进行加密处理，生成加密后的配置信息，其中，所述加密后的配置信息用于供所述移动设备与目标服务器完成连接建立过程；对所述移动设备的属性信息和所述安全等级信息进行处理，生成移动设备的连接优先级；基于所述移动设备的连接优先级和所述加密后的配置信息与所述移动设备进行连接。

11、根据本技术的再一个方面，一种电子设备，其特征在于，包括：第一处理器；以及存储器，用于存储所述第一处理器的可执行指令；其中，所述第一处理器配置为经由执行所述可执行指令来执行实现上述的网络安全的管理方法。

12、根据本技术的又一个方面，提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被第二处理器执行时实现上述的网络安全的管理方法。

13、根据本技术的又一个方面，提供一种计算机程序产品，包括计算机程序，其特征在于，所述计算机程序被第三处理器执行时实现上述的网络安全的管理方法。

14、本技术所提供的一种网络安全的管理方法及相关设备，由目标服务器获取移动设备发送的数字证书信息、设备唯一标识信息、移动设备随机数、移动设备key-share信息、移动设备的属性信息和安全等级信息；获取目标服务器随机数和目标服务器key-share信息；根据移动设备key-share信息和目标服务器key-share信息生成预主密钥；根据移动设备随机数、目标服务器随机数和预主密钥生成临时会话密钥；基于预设配对规则对数字证书信息和设备唯一标识信息进行处理，生成处理结果；若处理结果为允许目标服务器与移动设备进行配对连接，则获取配置信息，配置信息包括与移动设备完成连接建立过程所需的域名证书和其他目标服务器参数；基于临时会话密钥对配置信息进行加密处理，生成加密后的配置信息，其中，加密后的配置信息用于供移动设备与目标服务器完成连接建立过程；对移动设备的属性信息和安全等级信息进行处理，生成移动设备的连接优先，基于移动设备的连接优先级和加密后的配置信息与移动设备进行连接。采用设备唯一标识和数字证书相结合的方式完成身份认证，并在身份认证过程中进行临时会话密钥协商，满足端设备即插即用需求，基于移动设备的属性信息和所述安全等级信息进行处理，生成移动设备的连接优先级。加强网络和系统本身内在的安全性，在通信协议设计中考虑完善安全机制、内嵌基于行为判定的访问控制、以虚拟异构的方式实现系统和网络状态可变、构建安全执行环境等。

15、应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。