安全认证方法、管控平台、网络设备及存储介质与流程

1.本发明涉及设备认证技术领域，尤其涉及一种安全认证方法、管控平台、网络设备及存储介质。


背景技术：

2.为了满足直播终端的安全认证需求，需要点对点的对直播终端对应的边缘硬件设备(例如机顶盒)进行安全认证。目前，主要是通过统一认证分发中心对边缘硬件设备进行集中认证，实际生活中边缘硬件设备的数量是众多的，如果仅通过统一认证分发中心对众多的边缘硬件设备进行认证，则会加大统一认证分发中心的工作压力，降低了直播终端的安全认证需求。


技术实现要素：

3.本发明实施例通过提供一种安全认证方法、管控平台、网络设备及存储介质，旨在解决通过统一认证分发中心对众多的边缘硬件设备进行认证，加大了统一认证分发中心的工作压力的技术问题。
4.本发明实施例提供了一种安全认证方法，应用于管控平台，所述安全认证方法包括：
5.接收边缘设备发送的设备激活请求，根据所述设备激活请求确定所述边缘设备的设备码；
6.当所述设备码通过验证时，将所述边缘设备的设备状态更新为激活状态，并向所述边缘设备发送激活响应反馈；以及，
7.确定所述边缘设备对应的认证服务组件，并向所述认证服务组件发送一级认证反馈，所述认证服务组件采用所述一级认证反馈对所述边缘设备通过验证时，向所述边缘设备发送二级认证反馈。
8.在一实施例中，所述安全认证方法，还包括：
9.根据所述设备码和预设加密算法生成密钥对，所述密钥对包括公钥和私钥；
10.根据所述设备码确定所述边缘设备对应的认证服务组件的服务标识；
11.根据所述服务标识确定所述认证服务组件的地址信息；
12.根据所述设备码、所述公钥以及所述地址信息生成所述激活响应反馈；以及，
13.根据所述设备码、所述私钥以及所述服务标识生成所述一级认证反馈。
14.本发明实施例还提供了一种安全认证方法，应用于认证服务组件，所述安全认证方法包括：
15.在接收到边缘设备发送的注册请求后，确定管控平台发送的一级认证反馈中包含的设备码和私钥；
16.采用所述私钥解密所述注册请求，得到所述注册请求中包含的设备码；
17.在所述一级认证反馈中包含的设备码与所述注册请求中包含的设备码一致时，生
成二级认证反馈；
18.向所述边缘设备发送所述二级认证反馈。
19.在一实施例中，所述采用所述私钥解密所述注册请求，还得到所述注册请求中包含的公钥，所述生成二级认证反馈的步骤包括：
20.生成所述边缘设备的认证通过信息；
21.采用所述私钥和所述公钥加密所述认证通过信息以及当前的时间信息，得到所述二级认证反馈。
22.在一实施例中，所述将所述二级认证反馈发送至所述边缘设备的步骤之后，还包括：
23.在接收到所述边缘设备发送的媒体资源获取请求后，确定所述媒体资源获取请求中包含的二级认证反馈的生成时长；
24.在所述生成时长小于或者等于预设有效时长时，将所述媒体资源获取请求对应的媒体资源发送给所述边缘设备。
25.本发明实施例还提供了一种安全认证方法，应用于边缘设备，所述安全认证方法包括：
26.根据边缘设备的设备码生成设备激活请求，并向管控平台发送所述设备激活请求；
27.在接收到所述管控平台发送的激活响应反馈后，生成注册请求以及向所述边缘设备对应的认证服务组件发送所述注册请求；
28.在接收所述认证服务组件发送的二级认证反馈后，生成携带所述二级认证反馈的媒体资源获取请求；
29.向所述认证服务组件发送媒体资源获取请求，以向所述认证服务组件请求媒体资源。
30.在一实施例中，所述生成注册请求以及向所述边缘设备对应的认证服务组件发送所述注册请求的步骤包括：
31.确定所述激活响应反馈中包含的公钥以及认证服务组件的地址信息；
32.采用所述公钥加密所述设备码生成注册请求；
33.将所述注册请求发送给所述地址信息对应的认证服务组件。
34.此外，为实现上述目的，本发明还提供了一种管控平台，所述管控平台包括：
35.请求接收模块，用于接收边缘设备发送的设备激活请求，根据所述设备激活请求确定所述边缘设备的设备码；
36.第一发送模块，用于当所述设备码通过验证时，将所述边缘设备的设备状态更新为激活状态，并向所述边缘设备发送激活响应反馈；
37.第二发送模块，用于确定所述边缘设备对应的认证服务组件，并向所述认证服务组件发送一级认证反馈，所述认证服务组件采用所述一级认证反馈对所述边缘设备通过验证时，向所述边缘设备发送二级认证反馈。
38.此外，为实现上述目的，本发明还提供了一种网络设备，所述边缘设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的安全认证程序，所述安全认证程序被所述处理器执行时实现上述的安全认证方法的步骤。
volatilexexory)，例如磁盘存储器。如图1所示，作为一种存储介质的存储器1002中可以包括安全认证程序；而处理器1001可以用于调用存储器1002中存储的安全认证程序，并执行以下操作：
55.接收边缘设备发送的设备激活请求，根据所述设备激活请求确定所述边缘设备的设备码；
56.当所述设备码通过验证时，将所述边缘设备的设备状态更新为激活状态，并向所述边缘设备发送激活响应反馈；以及，
57.确定所述边缘设备对应的认证服务组件，并向所述认证服务组件发送一级认证反馈，所述认证服务组件采用所述一级认证反馈对所述边缘设备通过验证时，向所述边缘设备发送二级认证反馈。
58.进一步的，处理器1001可以用于调用存储器1002中存储的安全认证程序，并执行以下操作：
59.根据所述设备码和预设加密算法生成密钥对，所述密钥对包括公钥和私钥；
60.根据所述设备码确定所述边缘设备对应的认证服务组件的服务标识；
61.根据所述服务标识确定所述认证服务组件的地址信息；
62.根据所述设备码、所述公钥以及所述地址信息生成所述激活响应反馈；以及，
63.根据所述设备码、所述私钥以及所述服务标识生成所述一级认证反馈。
64.进一步的，处理器1001可以用于调用存储器1002中存储的安全认证程序，并执行以下操作：
65.在接收到边缘设备发送的注册请求后，确定管控平台发送的一级认证反馈中包含的设备码和私钥；
66.采用所述私钥解密所述注册请求，得到所述注册请求中包含的设备码；
67.在所述一级认证反馈中包含的设备码与所述注册请求中包含的设备码一致时，生成二级认证反馈；
68.向所述边缘设备发送所述二级认证反馈。
69.进一步的，处理器1001可以用于调用存储器1002中存储的安全认证程序，并执行以下操作：
70.生成所述边缘设备的认证通过信息；
71.采用私钥和所述公钥加密所述认证通过信息以及当前的时间信息，得到所述二级认证反馈。
72.进一步的，处理器1001可以用于调用存储器1002中存储的安全认证程序，并执行以下操作：
73.在接收到所述边缘设备发送的媒体资源获取请求后，确定所述媒体资源获取请求中包含的二级认证反馈的生成时长；
74.在所述生成时长小于或者等于预设有效时长时，将所述媒体资源获取请求对应的媒体资源发送给所述边缘设备。
75.进一步的，处理器1001可以用于调用存储器1002中存储的安全认证程序，并执行以下操作：
76.根据边缘设备的设备码生成设备激活请求，并向管控平台发送所述设备激活请
求；
77.在接收到所述管控平台发送的激活响应反馈后，生成注册请求以及向所述边缘设备对应的认证服务组件发送所述注册请求；
78.在接收所述认证服务组件发送的二级认证反馈后，生成携带所述二级认证反馈的媒体资源获取请求；
79.向所述认证服务组件发送媒体资源获取请求，以向所述认证服务组件请求媒体资源。
80.进一步的，处理器1001可以用于调用存储器1002中存储的安全认证程序，并执行以下操作：
81.确定所述激活响应反馈中包含的公钥以及认证服务组件的地址信息；
82.采用所述公钥加密所述设备码生成注册请求；
83.将所述注册请求发送给所述地址信息对应的认证服务组件。
84.本发明实施例提供了安全认证方法的实施例，需要说明的是，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，该安全认证方法应用于边缘设备的安全认证。其中，本技术通过管控平台和认证服务组件对边缘设备进行分级认证，认证服务组件具有多个，管控平台可以是服务器，相对于认证服务组件来说，认证服务组件也可以是服务器，管控平台的等级高于认证服务组件，即管控平台可以理解为一级服务器，认证服务组件可以理解为二级服务器，管控平台、多个认证服务组件以及边缘设备之间互相通信。边缘设备可以是机顶盒，也可以是需要安全认证的其他设备，本技术以下各个实施例以边缘设备为机顶盒为例进行说明。
85.本技术中每个机顶盒具有设备码，设备码是指stb(set top box)编码。管控平台对服务范围内的机顶盒负责首次认证，即对机顶盒进行一级认证，认证服务组件对服务范围内的机顶盒负责二次认证，即在管控平台对机顶盒进行一级认证之后，认证服务组件对同一机顶盒进行二级认证，机顶盒主动向管控平台和认证服务组件发起认证请求。
86.管控平台中预先存储了服务范围内的所有机顶盒的设备码，所有机顶盒的设备码形成了设备编码集合mec，即：
87.mec＝{a1,a2,...,ax,an,b1,b2,...,bx,bn,c1,c2,...,cx,cn}，其中a,b,c等代表机顶盒的所属地区，如cx表示c地区第x个机顶盒的设备码。
88.对于每个机顶盒，管控平台中记录了每个机顶盒的设备状态，设备状态表示机顶盒是否被激活，通过激活码表示每个机顶盒的设备状态，激活码表示为actcode，actcode＝{ax,keypub-ax,keypri-ax,status-ax},其中ax代表a地区x机顶盒编码，keypub-ax代表该机顶盒的公钥，keypri-ax代表该机顶盒的私钥，status-ax代表该机顶盒的设备状态，通常默认未激活，其中公钥和私钥是密钥对，通过设备码和预设算法生成，预设算法例如是rsa算法。
89.对于多个认证服务组件，管控平台中预先存储了各个认证服务组件的服务标识，每个服务标识关联了对应认证服务组件的地址信息，如ip地址。各个认证服务组件的服务标识组成了认证服务组件标识集合s，即：
90.s＝{s1,s2,...,sx,sn}，其中sx代表第x个认证服务组件的服务标识，每个认证服务组件对应有一个机顶盒，即每个认证服务组件与一个机顶盒之间具有对应关系mec2s，
mec2s＝{ax:{s1,sx}}，代表第ax机顶盒，可以向认证服务组件s1和认证服务组件sx发起认证并请求服务，所述请求服务是指机顶盒下认证服务组件请求媒体资源，媒体资源包括直播数据及广播信息。
91.如图2所示，在本发明的第一实施例中，本发明的安全认证方法，应用于管控平台，包括以下步骤：
92.步骤s210：接收边缘设备发送的设备激活请求，根据所述设备激活请求确定所述边缘设备的设备码。
93.本实施例中，机顶盒向认证服务组件请求媒体资源，需在管控平台和认证服务组件均对机顶盒认证通过的前提下进行。机顶盒需要认证时，向管控平台发送设备激活请求，机顶盒发送设备激活请求预示着顶盒需要由管控平台进行认证。管控平台接收到机顶盒发送的设备激活请求之后，解析所述设备激活请求，从而得到发送该设备激活请求的机顶盒的设备码。
94.步骤s220：当所述设备码通过验证时，将所述边缘设备的设备状态更新为激活状态，并向所述边缘设备发送激活响应反馈。
95.管控平台对得到的设备码进行验证，将得到的设备码与设备编码集合mec中的各个设备码进行比对，如果得到的设备码与设备编码集合mec中的一设备码相同，表示得到的设备码存在于设备编码集合mec中，即对设备码验证通过，也表示对该机顶盒验证通过，从而将机顶盒的设备状态更新为激活状态，然后生成激活响应反馈，将激活响应反馈发送给机顶盒。管控平台将激活响应反馈发送给机顶盒表示着管控平台对机顶盒完成了一级认证，即一级认证通过。如果得到的设备码不存在于设备编码集合mec中，表示该机顶盒验证未通过，则终止认证流程。
96.其中，激活响应反馈的生成方式包括：
97.根据设备码和预设加密算法生成密钥对；
98.根据设备码确定边缘设备对应的认证服务组件的服务标识；
99.根据服务标识确定认证服务组件的地址信息；
100.根据设备码、公钥以及地址信息生成激活响应反馈。
101.将设备码作为输入参数，输入到预设加密算法，预设加密算法输出的结果就是密钥对，密钥对包括公钥和私钥，公钥和私钥互相匹配。根据设备码查询认证服务组件与机顶盒之间的对应关系，可以得到机顶盒对应的认证服务组件的服务标识，通过服务标识可以获取到认证服务组件的地址信息，然后根据设备码、公钥以及地址信息生成激活响应反馈，即激活响应反馈中包含了机顶盒的设备码、公钥以及机顶盒对应的认证服务组件的地址信息。
102.步骤s230：确定所述边缘设备对应的认证服务组件，并向所述认证服务组件发送一级认证反馈，所述认证服务组件采用所述一级认证反馈对所述边缘设备通过验证时，向所述边缘设备发送二级认证反馈。
103.管控平台向机顶盒发送激活响应反馈的同时，还向认证服务组件发送一级认证反馈。其中，由于生成激活响应反馈时，已经获取到了设备码、私钥以及服务标识，所述一级认证反馈的生成方式包括：根据设备码、私钥以及服务标识生成一级认证反馈，即一级认证反馈中包含了设备码、私钥以及服务标识。生成一级认证反馈之后，按照服务标识将一级认证
反馈发送给服务标识对应的认证服务组件。例如，一级认证反馈为{ax,keypri-ax,sx}，ax代表机顶盒ax的设备码，keypri-ax代表机顶盒ax对应的私钥，sx表示认证服务组件sx的服务标识，管控平台将一级认证反馈发送给证服务组件sx。
104.机顶盒接收到管控平台发送的激活响应反馈之后，表示机顶盒在管控平台中的设备状态为激活状态，即机顶盒可以知道自身已经被激活，进而向认证服务组件发送注册请求。认证服务组件接收到机顶盒发送的注册请求之后，采用一级认证反馈对发送注册请求的机顶盒进行验证，如果机顶盒通过验证，则向机顶盒发送二级认证反馈，认证服务组件将二级认证反馈发送给机顶盒表示着认证服务组件对机顶盒完成了二级认证，即二级认证通过。进而，机顶盒根据接收到的二级认证反馈向认证服务组件请求媒体资源。
105.本实施例根据上述技术方案，通过管控平台实现了对边缘设备的一级认证，减轻了管控平台的设备认证压力。
106.如图3所示，在本发明的第二实施例中，本发明的安全认证方法，应用于认证服务组件，包括以下步骤：
107.步骤s310：在接收到所述边缘设备发送的注册请求后，确定管控平台发送的一级认证反馈中包含的设备码和私钥。
108.本实施例中，机顶盒接收到管控平台发送的激活响应反馈之后，确定自身已经被激活，进而生成注册请求，并将注册请求发送给认证服务组件。机顶盒将注册请求发送给认证服务组件，表示着认证服务组件需要对机顶盒进行二级认证。认证服务组件接收到机顶盒发送的注册请求之后，对管控平台发送的一级认证反馈进行解析，得到一级认证反馈中包含的设备码和私钥。
109.步骤s320：采用所述私钥解密所述注册请求，得到所述注册请求中包含的设备码。
110.由于注册请求是机顶盒通过公钥加密生成的，公钥与一级认证反馈中包含的私钥是密钥对，二者互相匹配，认证服务组件采用一级认证反馈中包含的私钥对所述注册请求进行解密，得到注册请求中包含的设备码。
111.步骤s330：在所述一级认证反馈中包含的设备码与所述注册请求中包含的设备码一致时，生成二级认证反馈。
112.认证服务组件采用一级认证对机顶盒进行认证，也就是采用一级认证对注册请求中包含的设备码进行验证，即将注册请求中包含的设备码与一级认证反馈中包含的设备码进行比较，如果一级认证反馈中包含的设备码与注册请求中包含的设备码一致，表示注册请求中包含的设备码通过验证，则生成二级认证反馈。
113.其中，采用私钥解密所述注册请求，还得到注册请求中包含的公钥，进一步的生成二级认证反馈包括：生成所述边缘设备的认证通过信息，采用所述私钥和所述公钥加密所述认证通过信息以及当前的时间信息，得到所述二级认证反馈。如果一级认证反馈中包含的设备码与注册请求中包含的设备码一致，表示注册请求中包含的设备码通过验证，则生成机顶盒的认证通过信息，认证通过信息表示着机顶盒已经被认证服务组件认证通过。进而，认证服务组件获取当前的时间信息，将认证通过信息和当前的时间信息一起采用私钥和公钥进行加密，从而得到二级认证反馈。其中，二级认证反馈中携带有时间信息，该时间信息可以理解为时间戳，通过时间戳可以判断机顶盒向认证服务组件请求媒体资源时，向认证服务组件发送的媒体资源获取请求中携带的二级认证反馈是否过期，以及机顶盒是否
可以请求到媒体资源。
114.步骤s340：向所述边缘设备发送所述二级认证反馈。
115.生成二级认证反馈之后，认证服务组件将二级认证反馈发送给机顶盒。认证服务组件将二级认证反馈发送给机顶盒表示着认证服务组件对机顶盒完成了二级认证，即二级认证通过，机顶盒接收认证服务组件发送的二级认证反馈，机顶盒可以根据二级认证反馈向认证服务组件请求媒体资源。
116.本实施例根据上述技术方案，通过认证服务组件实现了对边缘设备进行二级认证，为管控平台分担了设备认证工作，减轻了管控平台的设备认证压力。
117.进一步的，步骤s340之后还包括以下步骤：
118.在接收到所述边缘设备发送的媒体资源获取请求后，确定所述媒体资源获取请求中包含的二级认证反馈的生成时长；
119.在所述生成时长小于或者等于预设有效时长时，将所述媒体资源获取请求对应的媒体资源发送给所述边缘设备。
120.预先设定了机顶盒每间隔一定的预设有效时长需要认证一次，也就是每个机顶盒每次成功认证完成后不是永久的，如果机顶盒认证后的时长超出预设有效时长后，机顶盒就无法向认证服务组件请求媒体资源，也表示机顶盒认证已经过期，需要机顶盒重新发起认证。
121.认证服务组件通过识别机顶盒请求媒体资源时携带的二级认证反馈是否过期，从而判断机顶盒的认证是否过期。由于认证服务组件生成的二级认证反馈中是包含了时间信息的，该时间信息可以理解为时间戳。机顶盒将媒体资源获取请求发送给认证服务组件，认证服务组件获取媒体资源获取请求中的二级认证反馈，然后采用公钥和私钥解密二级认证反馈，得到时间戳，然后根据当前时间和二级认证反馈中的时间戳计算出二级认证反馈的生成时长，如果所述生成时长小于或者等于所述预设有效时长，表示二级认证反馈没有失效，则将与媒体资源获取请求对应的媒体资源获发送给机顶盒，从而有利于保护机顶盒的安全性。如果所述生成时长大于所述预设有效时长，表示二级认证反馈已经过期失效，也表示机顶盒认证已经过期，机顶盒向认证服务组件请求媒体资源失败，机顶盒需要重新向管控平台和认证服务组件请求认证。
122.如图4所示，在本发明的第三实施例中，本发明的安全认证方法，应用于边缘设备，包括以下步骤：
123.步骤s410：根据边缘设备的设备码生成设备激活请求，并向管控平台发送所述设备激活请求。
124.本实施例中，机顶盒需要向管控平台和认证服务组件请求认证时，机顶盒获取自身的设备码，然后根据设备码生成设备激活请求，将设备激活请求发送给管控平台，管控平台根据设备激活请求对机顶盒进行一级认证。
125.步骤s420：在接收到所述管控平台发送的激活响应反馈后，生成注册请求以及向所述边缘设备对应的认证服务组件发送所述注册请求。
126.管控平台对机顶盒认证通过后，将机顶盒的设备状态更新为激活状态，进而将生成的激活响应反馈发送给机顶盒，管控平台将激活响应反馈发送给机顶盒表示着管控平台对机顶盒完成了一级认证。机顶盒接收到管控平台发送的激活响应反馈之后，表示机顶盒
在管控平台中的设备状态为激活状态，即机顶盒可以知道自身已经被激活，且自身已经被管控平台认证通过，需要向认证服务组件请求二级认证。
127.机顶盒接收到激活响应反馈后，生成注册请求以及向机顶盒对应的认证服务组件发送注册请求。其中，生成注册请求以及向所述边缘设备对应的认证服务组件发送所述注册请求包括：
128.确定所述激活响应反馈中包含的公钥以及认证服务组件的地址信息；
129.采用所述公钥加密所述设备码生成注册请求；
130.将所述注册请求发送给所述地址信息对应的认证服务组件。
131.机顶盒对激活响应反馈进行解析，得到激活响应反馈中包含的公钥以及认证服务组件的地址信息，然后采用公钥对自身的设备码和当前的时间信息等一起进行加密生成注册请求，进而按照所述认证服务组件的地址信息将注册请求发送给地址信息对应的认证服务组件。
132.例如，激活响应反馈为{ax,keypub-ax,saddrx}，ax代表机顶盒ax的设备码，keypub-ax代表机顶盒ax对应的公钥，saddrx代表认证服务组件sx的地址信息，机顶盒ax按照saddrx将注册请求发送给认证服务组件sx。
133.步骤s430：在接收所述认证服务组件发送的二级认证反馈后，生成携带所述二级认证反馈的媒体资源获取请求。
134.步骤s440：向所述认证服务组件发送媒体资源获取请求，以向所述认证服务组件请求媒体资源。
135.认证服务组件接收到注册请求后，对发送注册请求的机顶盒进行认证，机顶盒认证通过之后，生成二级认证反馈，将二级认证反馈发送给机顶盒，认证服务组件将二级认证反馈发送给机顶盒表示认证服务组件对机顶盒完成了二级认证，即二级认证通过。
136.机顶盒接收认证服务组件发送的二级认证反馈之后，可以确定自身已经被管控平台和认证服务组件认证通过，自己可以向认证服务组件请求媒体资源。进而，生成携带所述二级认证反馈的媒体资源获取请求，然后根据媒体资源获取请求向认证服务组件请求媒体资源，也就是机顶盒将媒体资源获取请求发送给认证服务组件。认证服务组件验证媒体资源获取请求中的二级认证反馈没有失效后，将媒体资源获取请求对应的媒体资源获发送给机顶盒，机顶盒接收认证服务组件反馈的媒体资源。
137.本实施例根据上述技术方案，通过管控平台和认证服务组件的协作，不仅实现了对边缘设备的多级(分级)认证，还保护了信息传输的安全。
138.如图5所示，以边缘设备为机顶盒ax为例，本发明管控平台、认证服务组以及边缘设备之间的交互具体实施过程如下：
139.机顶盒ax需要向管控平台和认证服务组件sx请求认证时，机顶盒ax获取自身的设备码，然后根据设备码生成设备激活请求，将设备激活请求发送给管控平台。
140.管控平台接收到机顶盒ax发送的设备激活请求之后，解析设备激活请求，从而得到发送机顶盒ax的设备码。管控平台将得到的设备码与设备编码集合mec中的各个设备码进行比对，在确定得到的设备码存在于设备编码集合mec中后，将机顶盒ax的设备状态更新为激活状态，然后根据设备码和预设加密算法生成公钥keypub-ax和私钥keypri-ax，根据设备码查询认证服务组件与机顶盒之间的对应关系，得到机顶盒ax对应的认证服务组件的
服务标识sx，通过服务标识sx获取到认证服务组件sx的地址信息saddrx，然后根据设备码、公钥keypub-ax以及地址信息saddrx生成激活响应反馈，进而将激活响应反馈发送给机顶盒ax，管控平台将激活响应反馈发送给机顶盒ax表示着管控平台对机顶盒ax完成了一级认证，即一级认证通过。
141.管控平台生成激活响应反馈的同时，还根据设备码、私钥keypri-ax以及服务标识sx生成一级认证反馈，以及按照服务标识sx将一级认证反馈发送给认证服务组件sx。
142.机顶盒ax接收到管控平台发送的激活响应反馈之后，对激活响应反馈进行解析，得到激活响应反馈中包含的公钥keypub-ax以及地址信息saddrx，然后采用公钥keypub-ax对自身的设备码和当前的时间信息等一起进行加密生成注册请求，进而按照地址信息saddrx将注册请求发送给认证服务组件sx。
143.认证服务组件sx接收到机顶盒ax发送的注册请求之后，对管控平台发送的一级认证反馈进行解析，得到一级认证反馈中包含的设备码和私钥keypri-ax，然后采用私钥keypri-ax对注册请求进行解密，得到注册请求中包含的设备码和公钥keypub-ax，进而将注册请求中包含的设备码与一级认证反馈中包含的设备码进行比较，如果一级认证反馈中包含的设备码与注册请求中包含的设备码一致，则生成边缘设备的认证通过信息，采用私钥keypri-ax和公钥keypub-ax对认证通过信息以及当前的时间信息一起加密，得到二级认证反馈，将二级认证反馈发送给机顶盒ax。认证服务组件sx将二级认证反馈发送给机顶盒ax表示着认证服务组件sx对机顶盒ax完成了二级认证，即二级认证通过。
144.机顶盒ax接收认证服务组件sx发送的二级认证反馈之后，确定自己可以向认证服务组件sx请求媒体资源，则生成携带二级认证反馈的媒体资源获取请求，并将媒体资源获取请求发送给认证服务组件sx。
145.认证服务组件sx接收到媒体资源获取请求后，获取媒体资源获取请求中的二级认证反馈，然后采用公钥keypub-ax和私钥keypri-ax解密二级认证反馈，得到时间戳，然后根据当前时间和时间戳计算出二级认证反馈的生成时长，如果生成时长小于或者等于预设有效时长，则将与媒体资源获取请求对应的媒体资源获发送给机顶盒ax，机顶盒ax接收认证服务组件sx发送的媒体资源。
146.本发明解决了通过统一认证分发中心对众多的边缘硬件设备进行认证，加大了统一认证分发中心的工作压力的技术问题，实现了对边缘设备的多级(分级)认证，不仅减轻了管控平台的设备认证压力，还保护了边缘设备的身份信息，以及提高了边缘设备进行媒体资源分享的安全性。
147.如图6所示，本发明提供的一种管控平台，所述管控平台包括：
148.请求接收模块210，用于接收边缘设备发送的设备激活请求，根据所述设备激活请求确定所述边缘设备的设备码；
149.第一发送模块220，用于当所述设备码通过验证时，将所述边缘设备的设备状态更新为激活状态，并向所述边缘设备发送激活响应反馈；
150.第二发送模块230，用于确定所述边缘设备对应的认证服务组件，并向所述认证服务组件发送一级认证反馈，所述认证服务组件采用所述一级认证反馈对所述边缘设备通过验证时，向所述边缘设备发送二级认证反馈。
151.进一步的，所述管控平台还包括：
152.第一处理单元，用于根据所述设备码和预设加密算法生成密钥对，所述密钥对包括公钥和私钥；
153.第二处理单元，用于根据所述设备码确定所述边缘设备对应的认证服务组件的服务标识；
154.第三处理单元，用于根据所述服务标识确定所述认证服务组件的地址信息；
155.反馈生成单元，用于根据所述设备码、所述公钥以及所述地址信息生成所述激活响应反馈；以及根据所述设备码、所述私钥以及所述服务标识生成所述一级认证反馈。
156.本发明管控平台具体实施方式与上述第一实施例中的安全认证方法的实施例基本相同，在此不再赘述。
157.如图7所示，本发明提供的一种认证服务组件，所述认证服务组件包括：
158.信息确定模块310，用于在接收到边缘设备发送的注册请求后，确定管控平台发送的一级认证反馈中包含的设备码和私钥；
159.请求解密模块320，用于采用所述私钥解密所述注册请求，得到所述注册请求中包含的设备码；
160.信息验证模块330，用于在所述一级认证反馈中包含的设备码与所述注册请求中包含的设备码一致时，生成二级认证反馈；
161.第三发送模块340，用于向所述边缘设备发送所述二级认证反馈。
162.进一步的，所述信息验证模块330在生成二级认证反馈方面，具体用于生成所述边缘设备的认证通过信息；以及采用所述私钥和所述公钥加密所述认证通过信息以及当前的时间信息，得到所述二级认证反馈。
163.进一步的，所述认证服务组件还包括：
164.时长确定单元，用于在接收到所述边缘设备发送的媒体资源获取请求后，确定所述媒体资源获取请求中包含的二级认证反馈的生成时长；
165.资源提供单元，用于在所述生成时长小于或者等于预设有效时长时，将所述媒体资源获取请求对应的媒体资源发送给所述边缘设备。
166.本发明认证服务组件具体实施方式与上述第二实施例中的安全认证方法的实施例基本相同，在此不再赘述。
167.如图8所示，本发明提供的一种边缘设备，所述边缘设备包括：
168.第四发送模块410，用于根据边缘设备的设备码生成设备激活请求，并向管控平台发送所述设备激活请求；
169.第一接收模块420，用于在接收到所述管控平台发送的激活响应反馈后，生成注册请求以及向所述边缘设备对应的认证服务组件发送所述注册请求；
170.第五发送模块430，用于在接收所述认证服务组件发送的二级认证反馈后，生成携带所述二级认证反馈的媒体资源获取请求；
171.第二接收模块440，用于向所述认证服务组件发送媒体资源获取请求，以向所述认证服务组件请求媒体资源。
172.进一步的，所述第一接收模块420在生成注册请求以及向所述边缘设备对应的认证服务组件发送所述注册请求方面具体包括：
173.第四处理单元，用于确定所述激活响应反馈中包含的公钥以及认证服务组件的地
址信息；
174.第五处理单元，用于采用所述公钥加密所述设备码生成注册请求；
175.第六处理单元，用于将所述注册请求发送给所述地址信息对应的认证服务组件。
176.本发明边缘设备具体实施方式与上述第三实施例中的安全认证方法的实施例基本相同，在此不再赘述。
177.进一步的，本发明还提供了一种网络设备，所述网络设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的安全认证程序，所述安全认证程序被所述处理器执行时实现上述的安全认证方法的步骤。
178.进一步的，本发明还提供了一种存储介质，其上存储有安全认证程序，所述安全认证程序被处理器执行时实现上述的安全认证方法的步骤。
179.本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
180.本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
181.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
182.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
183.应当注意的是，在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的部件或步骤。位于部件之前的单词“一”或“一个”不排除存在多个这样的部件。本发明可以借助于包括有若干不同部件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
184.尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
185.显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精
神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

技术特征：
1.一种安全认证方法，其特征在于，应用于管控平台，所述安全认证方法包括：接收边缘设备发送的设备激活请求，根据所述设备激活请求确定所述边缘设备的设备码；当所述设备码通过验证时，将所述边缘设备的设备状态更新为激活状态，并向所述边缘设备发送激活响应反馈；以及，确定所述边缘设备对应的认证服务组件，并向所述认证服务组件发送一级认证反馈，所述认证服务组件采用所述一级认证反馈对所述边缘设备通过验证时，向所述边缘设备发送二级认证反馈。2.如权利要求1所述的方法，其特征在于，所述安全认证方法，还包括：根据所述设备码和预设加密算法生成密钥对，所述密钥对包括公钥和私钥；根据所述设备码确定所述边缘设备对应的认证服务组件的服务标识；根据所述服务标识确定所述认证服务组件的地址信息；根据所述设备码、所述公钥以及所述地址信息生成所述激活响应反馈；以及，根据所述设备码、所述私钥以及所述服务标识生成所述一级认证反馈。3.一种安全认证方法，其特征在于，应用于认证服务组件，所述安全认证方法包括：在接收到边缘设备发送的注册请求后，确定管控平台发送的一级认证反馈中包含的设备码和私钥；采用所述私钥解密所述注册请求，得到所述注册请求中包含的设备码；在所述一级认证反馈中包含的设备码与所述注册请求中包含的设备码一致时，生成二级认证反馈；向所述边缘设备发送所述二级认证反馈。4.如权利要求3所述的方法，其特征在于，所述采用所述私钥解密所述注册请求，还得到所述注册请求中包含的公钥，所述生成二级认证反馈的步骤包括：生成所述边缘设备的认证通过信息；采用所述私钥和所述公钥加密所述认证通过信息以及当前的时间信息，得到所述二级认证反馈。5.如权利要求3所述的方法，其特征在于，所述将所述二级认证反馈发送至所述边缘设备的步骤之后，还包括：在接收到所述边缘设备发送的媒体资源获取请求后，确定所述媒体资源获取请求中包含的二级认证反馈的生成时长；在所述生成时长小于或者等于预设有效时长时，将所述媒体资源获取请求对应的媒体资源发送给所述边缘设备。6.一种安全认证方法，其特征在于，应用于边缘设备，所述安全认证方法包括：根据边缘设备的设备码生成设备激活请求，并向管控平台发送所述设备激活请求；在接收到所述管控平台发送的激活响应反馈后，生成注册请求以及向所述边缘设备对应的认证服务组件发送所述注册请求；在接收所述认证服务组件发送的二级认证反馈后，生成携带所述二级认证反馈的媒体资源获取请求；向所述认证服务组件发送媒体资源获取请求，以向所述认证服务组件请求媒体资源。
7.如权利要求6所述的方法，其特征在于，所述生成注册请求以及向所述边缘设备对应的认证服务组件发送所述注册请求的步骤包括：确定所述激活响应反馈中包含的公钥以及认证服务组件的地址信息；采用所述公钥加密所述设备码生成注册请求；将所述注册请求发送给所述地址信息对应的认证服务组件。8.一种管控平台，其特征在于，所述管控平台包括：请求接收模块，用于接收边缘设备发送的设备激活请求，根据所述设备激活请求确定所述边缘设备的设备码；第一发送模块，用于当所述设备码通过验证时，将所述边缘设备的设备状态更新为激活状态，并向所述边缘设备发送激活响应反馈；第二发送模块，用于确定所述边缘设备对应的认证服务组件，并向所述认证服务组件发送一级认证反馈，所述认证服务组件采用所述一级认证反馈对所述边缘设备通过验证时，向所述边缘设备发送二级认证反馈。9.一种网络设备，其特征在于，所述管控平台包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的安全认证程序，所述安全认证程序被所述处理器执行时实现如权利要求1-7中任一项所述的安全认证方法的步骤。10.一种存储介质，其特征在于，其上存储有安全认证程序，所述安全认证程序被处理器执行时实现权利要求1-7中任一项所述的安全认证方法的步骤。

技术总结
本发明公开了安全认证方法、管控平台、网络设备及存储介质，该方法包括：边缘设备发送设备激活请求给管控平台，管控平台对边缘设备验证通过后，将边缘设备的设备状态更新为激活状态，向边缘设备发送激活响应反馈，以及将一级认证反馈发送给边缘设备对应的认证服务组件；边缘设备接收到激活响应反馈后，向认证服务组件发送注册请求，认证服务组件对边缘设备验证通过后，向边缘设备发送二级认证反馈，边缘设备生成携带二级认证反馈的媒体资源获取请求，并通过媒体资源获取请求向认证服务组件请求媒体资源。本发明减轻了管控平台的设备认证压力。证压力。证压力。


技术研发人员：余海江 沈斌斌 罗琪 王易风 周雷震 舒继峰 王德夏 徐舟
受保护的技术使用者：中移（杭州）信息技术有限公司 中国移动通信集团有限公司
技术研发日：2022.03.09
技术公布日：2023/9/20