CN115136634A - 用于在通信网络中进行零配置部署的设备和方法 - Google Patents

用于在通信网络中进行零配置部署的设备和方法 Download PDF

Info

Publication number
CN115136634A
CN115136634A CN202080096286.1A CN202080096286A CN115136634A CN 115136634 A CN115136634 A CN 115136634A CN 202080096286 A CN202080096286 A CN 202080096286A CN 115136634 A CN115136634 A CN 115136634A
Authority
CN
China
Prior art keywords
network device
network
manager
key
device manager
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202080096286.1A
Other languages
English (en)
Inventor
奥列格·波戈尼克
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of CN115136634A publication Critical patent/CN115136634A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/047Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0827Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/35Protecting application or service provisioning, e.g. securing SIM application provisioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明涉及一种用于与通信网络(107)(尤其是无线通信网络(107))中的网络设备管理器(103)建立安全管理连接(110)的网络设备(101)。所述网络设备(101)用于向多个锚定网络设备(105)中的一个锚定网络设备(105)提供所述网络设备(101)的密钥的多个部分中的一个部分。所述多个锚定网络设备(105)已与所述网络设备管理器(103)建立安全管理连接(120)。重构所述网络设备(101)的所述密钥需要所述网络设备(101)的所述密钥的所述多个部分中的至少两个部分。此外,本发明还涉及一种相应的网络设备管理器(103)。本发明使得能够通过所述通信网络(107)中的所述网络设备管理器(103)对所述网络设备(101)进行零配置部署。

Description

用于在通信网络中进行零配置部署的设备和方法
技术领域
本发明大体上涉及电信。更具体地,本发明涉及用于对通信网络(尤其是无线通信网络)中的网络设备进行零配置部署的设备和方法。
背景技术
鉴于网络设备的数量庞大、复杂程度通常较低以及简单易用的特性(例如,“即插即用”),物联网(Internet of Things,IoT)带来了新的挑战,尤其是在网络安全方面。目前,有若干独立的协议可用于处理IoT相关问题,诸如配置部署新的网络设备、确定网络设备的授权和访问控制策略等。
零配置部署(Zero Touch Provisioning,ZTP)旨在支持轻松无误地安装新网络设备并将其连接至管理***。在理想情况下,利用ZTP网络设备,用户只需将网络设备物理地安装到位并通电即可。其余的配置部署步骤将由网络设备本身和支持管理***自动完成。因此,ZTP旨在避免通过任何复杂、耗时且易出错的手动操作来配置部署网络设备。由此,ZTP对于通常需要大规模设备配置部署和重新配置部署的通信网络和领域特别有益,诸如智能家居、智能城市、工业应用等。
然而,传统的ZTP方案在实践中通常包括一些手动操作,因此可能会繁琐、昂贵,并且有时不适用于配置部署IoT,例如,在不可访问的位置配置部署网络设备的情况下。换句话说,用于配置部署网络设备的传统方案不支持其完全零配置部署,因此网络设备运营商或用户仍然必须处理通常较为繁琐的手动操作。
在一些传统的配置部署方案中,拟配置部署的网络设备用于根据服务集标识符(Service Set Identifier,SSID)、域名***(Domain Name System,DNS)、动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)等与可信的管理服务建立初始连接。然而,出于安全原因,在网络设备与管理***之间建立这种初始连接通常需要采取不同的安全措施,以确保网络设备在接受管理***的控制和操作之前可以信任管理***。这是因为安全配置部署程序必须能够在具有若干可用管理***的复杂环境中运行,并能够抵御运行恶意管理***的敌对第三方劫持尚未配置部署的网络设备的企图。用于评估管理***的安全可信度的一些安全措施包括使用数字证书、调整每个网络设备的管理***(例如,模拟SSID)和/或一些手动操作,诸如扫描与拟配置部署的网络设备相关的QR码、在特定时间段内按下网络设备的一个或多个按钮、在分段操作期间预配置网络设备等。
发明内容
本发明提供了用于对通信网络(尤其是无线通信网络)中的网络设备进行零配置部署的设备和方法。
上述和其它目的是通过由独立权利要求请求保护的主题来实现的。其它实现方式在从属权利要求、说明书和附图中显而易见。
通常,本发明实施例使得能够在具有若干合法的(即,非敌对)网络设备管理器的环境中实现网络设备的完全零配置部署(completely zero touch provisioning,CZTP),其中,每个网络设备管理器可以控制大量网络设备中的一个或多个网络设备。如下面将更详细描述的,本发明实施例使得给定但尚未配置部署的网络设备很有可能发现适合和/或应该管理所述给定网络设备的所述网络设备管理器。此外,本发明实施例允许所述尚未配置部署的网络设备在接受所述网络设备管理器的控制之前评估信任度,即给定网络设备管理器的安全可信度。此外,本发明实施例提供了用于网络设备从与错误或恶意网络设备管理器的关联中恢复的方案。
更具体地,根据第一方面,本发明涉及一种用于与通信网络,尤其是无线通信网络中的网络设备管理器建立安全管理连接的网络设备。所述网络设备用于:向多个锚定网络设备中的一个锚定网络设备提供所述网络设备的密钥的多个部分中的一个部分,其中,所述多个锚定网络设备已与所述网络设备管理器建立安全管理连接。重构所述网络设备的所述密钥需要所述网络设备的所述密钥的所述多个部分中的至少两个部分。在所述网络设备管理器可以重构所述网络设备的所述密钥的情况下,所述网络设备自身将与所述网络设备管理器建立安全管理连接,以便由所述网络设备管理器进一步配置部署和管理。因此,有利地,所述网络设备用于与所述网络设备管理器建立安全管理连接,而无需用户进行任何手动操作,即完成零配置部署。这可以节省人工,降低操作和维护的复杂性,并提高安全性和改进可管理性体验。
在所述第一方面的另一种可能的实现方式中,所述网络设备还用于:向所述网络设备管理器提供用于识别所述多个锚定网络设备的信息。这允许所述网络设备高效地识别已与所述通信网络中的所述网络设备管理器建立安全管理连接的所述锚定网络设备。
在所述第一方面的另一种可能的实现方式中,所述网络设备还用于:向所述网络设备管理器提供所述网络设备的所述密钥的所述多个部分中的一个部分。这允许所述网络设备管理器更高效地检索所述网络设备的所述密钥的所述多个部分,从而更快地重构所述网络设备的所述密钥。
在所述第一方面的另一种可能的实现方式中,所述网络设备还用于:通过将所述网络设备的所述密钥分成所述多个部分来确定所述多个部分。在一种实现方式中,所述网络设备可以用于:根据Shamir的密钥共享方案将所述密钥分成所述多个部分。这允许高效地将所述密钥分成所述多个部分。在另一种实现方式中,所述密钥及其部分可以预先配置在所述网络设备中。
在所述第一方面的另一种可能的实现方式中,所述网络设备还用于:根据所述网络设备通过所述通信网络从多个可用网络设备管理器接收的信息,从所述多个可用网络设备管理器中选择所述网络设备管理器。例如,所述网络设备可以实现用于从所述多个可用网络设备管理器中选择所述网络设备管理器的IFTTT逻辑。有利地,这允许所述网络设备高效地选择所述网络设备管理器。
在所述第一方面的另一种可能的实现方式中,所述网络设备从所述多个可用网络设备管理器接收的所述信息包括以下至少一项:可用网络设备管理器的标识符;已与相应可用网络设备管理器建立安全管理连接的锚定网络设备的标识符;可用网络设备管理器的服务区;可由可用网络设备管理器管理的网络设备类型。有利地,这允许所述网络设备根据所述检索的信息选择最合适的网络设备管理器。
在所述第一方面的另一种可能的实现方式中,所述网络设备还用于:从已与所述网络设备管理器建立安全管理连接的多个网络设备中选择所述多个锚定网络设备。这允许所述网络设备高效地选择最合适的锚定网络设备。密钥部分的数量以及因此锚定网络设备的数量可以根据所需安全级别进行设置或调整,其中,锚定网络设备越多,安全级别越高。
在所述第一方面的另一种可能的实现方式中,所述网络设备还用于:使用所述相应锚定网络设备的公钥向所述相应锚定网络设备提供所述部分。这允许提高所述部分的安全性。这是因为拦截相应部分的恶意方无法解密该部分,除非它有权访问所述相应锚定网络设备的私钥。
在所述第一方面的另一种可能的实现方式中,重构所述网络设备的所述密钥需要所述网络设备的所述密钥的所述多个部分中的全部部分。有利地,这提高了安全性。
在所述第一方面的另一种可能的实现方式中,所述网络设备的所述密钥是所述网络设备的一对公钥和私钥中的所述公钥。有利地,这允许在所述网络设备与所述网络设备管理器之间高效地建立所述安全管理连接,因为在所述网络设备管理器重构所述网络设备的所述公钥之后,所述网络设备管理器可以使用所述网络设备的所述公钥与所述网络设备进行安全通信。如应当理解的,在所述网络设备与所述网络设备管理器之间建立所述安全管理连接之后,所述网络设备本身成为潜在的锚定网络设备。
在所述第一方面的另一种可能的实现方式中,所述网络设备还用于:在与所述网络设备管理器建立所述安全管理连接之后,通过所述通信网络广播所述公钥。有利地,这允许所述网络设备充当所述通信网络中另一尚未配置部署的网络设备的锚定网络设备。
在所述第一方面的另一种可能的实现方式中,所述网络设备还用于:在与所述网络设备管理器建立所述安全管理连接之后,广播所述网络设备管理器的标识符。这允许另一尚未配置部署的网络设备高效地识别已与选定的网络设备管理器建立安全管理连接的潜在锚定网络设备。
在所述第一方面的另一种可能的实现方式中,所述网络设备还用于:响应于接收关于手动配置部署的恢复信号,终止与所述网络设备管理器的所述安全管理连接并与另一网络设备管理器建立另一安全管理连接。例如,所述网络设备的用户可以通过手动按下所述网络设备的按钮来生成所述恢复信号。
根据第二方面,本发明涉及一种用于与通信网络,尤其是无线通信网络中的网络设备管理器建立安全管理连接的方法。所述方法包括以下步骤:网络设备向多个锚定网络设备中的一个锚定网络设备提供所述网络设备的密钥的多个部分中的一个部分,其中,所述多个锚定网络设备已与所述网络设备管理器建立安全管理连接。重构所述网络设备的所述密钥需要所述网络设备的所述密钥的所述多个部分中的至少两个部分。
根据本发明第二方面所述的方法可以由根据本发明第一方面所述的网络设备执行。因此,根据本发明第二方面所述的方法的其它特征直接通过根据本发明第一方面所述的网络设备的功能及其上述和下述不同实现方式实现。
根据第三方面,本发明涉及一种用于管理通信网络,尤其是无线通信网络中的多个网络设备的网络设备管理器。所述网络设备管理器用于:从多个锚定网络设备中的一个锚定网络设备获取网络设备的密钥的多个部分中的一个部分,其中,所述多个锚定网络设备已与所述网络设备管理器建立安全管理连接。此外,所述网络设备管理器用于:根据所述网络设备的所述密钥的所述多个部分,重构所述网络设备的所述密钥;与所述网络设备管理器建立安全管理连接。因此,有利地,所述网络设备管理器用于:与所述网络设备建立安全管理连接,而无需所述网络设备用户进行任何手动操作,即完全零配置部署。这可以节省人工,降低操作和维护的复杂性,并提高安全性和改进可管理性体验。
在所述第三方面的另一种可能的实现方式中,所述网络设备管理器还用于:从所述网络设备接收用于识别所述多个锚定网络设备的信息。有利地,这允许所述网络设备管理器高效地识别所述网络设备选择的所述锚定网络设备。
在所述第三方面的另一种可能的实现方式中,所述网络设备的所述密钥是所述网络设备的公钥。有利地,这允许在所述网络设备与所述网络设备管理器之间高效地建立所述安全管理连接,因为在所述网络设备管理器重构所述网络设备的所述公钥之后,所述网络设备管理器可以使用所述网络设备的所述公钥与所述网络设备进行安全通信。
在所述第三方面的另一种可能的实现方式中,所述网络设备管理器还用于:从所述网络设备接收所述密钥的所述多个部分中的一个部分。有利地,这允许所述网络设备管理器高效地重构所述网络设备的所述密钥。
在所述第三方面的另一种可能的实现方式中,所述网络设备还用于:通过所述通信网络广播信息,所述信息包括以下至少一项:所述网络设备管理器的标识符;已与所述网络设备管理器建立安全管理连接(即,由所述网络设备管理器管理)的锚定网络设备的标识符;所述网络设备管理器的服务区;可由所述网络设备管理器管理的网络设备类型。有利地,这允许尚未配置部署的网络设备选择最合适的网络设备管理器。
根据第四方面,本发明涉及一种用于操作网络设备管理器的方法,所述网络设备管理器用于管理通信网络,尤其是无线通信网络中的多个网络设备。所述方法包括以下步骤:从多个锚定网络设备中的一个锚定网络设备获取网络设备的密钥的多个部分中的一个部分,其中,所述多个锚定网络设备已与所述网络设备管理器建立安全管理连接;根据所述密钥的所述多个部分,重构所述网络设备的所述密钥;与所述网络设备建立安全管理连接。
根据本发明第四方面所述的方法可以由根据本发明第三方面所述的网络设备管理器执行。因此,根据本发明第四方面所述的方法的其它特征直接通过根据本发明第三方面所述的网络设备管理器的功能及其上述和下述不同实现方式实现。
根据第五方面,本发明涉及一种计算机程序产品,包括携带程序代码的非瞬时性计算机可读存储介质,所述程序代码在由计算机或处理器执行时,使得所述计算机或所述处理器执行根据第二方面所述的方法或根据第四方面所述的方法。
本发明的不同方面可以通过软件和/或硬件来实现。
一个或多个实施例的细节在附图和说明书中阐述。其它特征、目标和优点将从说明书、附图和权利要求中显而易见。
附图说明
下面结合附图对本发明实施例进行详细描述。
图1示出了示例性通信网络的组件的示意图,所述示例性通信网络包括实施例提供的网络设备和实施例提供的网络设备管理器;
图2示出了另一示例性通信网络的组件的示意图,所述另一示例性通信网络包括实施例提供的网络设备和实施例提供的网络设备管理器;
图3示出了在实施例提供的网络设备与实施例提供的网络设备管理器之间建立安全管理连接的各方面的示意图;
图4示出了在实施例提供的网络设备与实施例提供的网络设备管理器之间建立安全管理连接的各方面的示意图;
图5示出了实施例提供的网络设备与实施例提供的网络设备管理器通信的示意图;
图6示出了在实施例提供的网络设备与实施例提供的网络设备管理器之间建立安全管理连接的各方面的示意图;
图7示出了用于操作实施例提供的网络设备的方法的流程图;
图8示出了用于操作实施例提供的网络设备管理器的方法的流程图。
在下文中,相同的附图标记指相同的或至少功能等同的特征。
具体实施方式
在以下描述中,参考构成本发明的一部分的附图,这些附图通过说明的方式示出本发明实施例的特定方面或可以使用本发明实施例的具体方面。应理解,本发明实施例可以用于其它方面,并且包括在附图中未描绘的结构上或逻辑上的变化。因此,以下详细描述不作为限制意义,并且本发明的范围由所附权利要求限定。
可以理解的是,与所描述的方法有关的公开内容对于与用于执行方法对应的设备或***也同样适用,反之亦然。例如,如果描述了一个或多个特定方法步骤,则对应的设备可以包括一个或多个单元,例如,功能单元,用于执行所描述的一个或多个方法步骤(例如,执行所述一个或多个步骤的一个单元,或各自执行所述多个步骤中的一个或多个步骤的多个单元),即使图中未明确描述或说明此类一个或多个单元。另一方面,例如,如果根据一个或多个单元(例如,功能单元)来描述具体装置,则对应的方法可以包括一个步骤来执行一个或多个单元的功能(例如,一个步骤执行一个或多个单元的功能,或多个步骤各自执行多个单元中的一个或多个单元的功能),即使附图中未明确描述或示出这种一个或多个步骤。此外,应理解,除非另外具体指出,否则本文中描述的各种示例性实施例和/或方面的特征可彼此组合。
图1示出了通过通信网络107进行通信的电子设备的示意图,通信网络107包括实施例提供的网络设备101、实施例提供的网络设备管理器103和锚定网络设备105。在图1所示的实施例中,通信网络107是无线通信网络107,诸如蜂窝或WiFi通信网络。在其它实施例中,通信网络107可以是或包括有线网络,诸如以太网网络。
如下面将更详细描述的,为了在无线通信网络107中实现尚未配置部署的网络设备101,网络设备101用于与网络设备管理器103建立安全管理连接110(如图1中带有虚线的双头箭头所示)。为此,网络设备101用于(例如,经由图1所示的通信信道130)向多个锚定网络设备105(诸如图1所示的示例性锚定网络设备105)提供网络设备101的密钥的多个部分中的相应部分,其中,重构网络设备101的所述密钥需要网络设备101的所述密钥的所述多个部分中的至少两个部分。多个锚定网络设备105(诸如图1所示的示例性锚定网络设备105)已与网络设备管理器103建立相应的安全管理连接120(如图1中带有实线的双头箭头所示)。换句话说,示例性锚定网络设备105已由网络设备管理器103配置部署。
因此,如下面将更详细描述的,网络设备管理器103用于经由无线通信网络107配置部署和管理多个网络设备,包括图1所示的未配置部署的网络设备101。为此,网络设备管理器103用于:从多个锚定网络设备中的相应锚定网络设备(诸如图1所示的锚定网络设备105)获取网络设备101的所述密钥的所述多个部分中的相应部分。如上所述,多个锚定网络设备105已与网络设备管理器103建立安全管理连接120。此外,网络设备管理器103用于:根据从多个锚定网络设备105检索到的网络设备101的所述密钥的所述多个部分,重构网络设备101的所述密钥;根据网络设备101的所述重构密钥,与网络设备101建立安全管理连接110。
如图1所示,网络设备101可以包括:用于处理数据的处理器111;用于存储和检索数据的非瞬时性存储器113;用于通过无线通信网络107与网络设备管理器103和多个锚定网络设备105交换数据的通信接口115。处理器111可以通过硬件和/或软件来实现。所述硬件可以包括数字电路,也可以同时包括模拟电路和数字电路。数字电路可以包括专用集成电路(application-specific integrated circuit,ASIC)、现场可编程阵列(field-programmable array,FPGA)、数字信号处理器(digital signal processor,DSP)或通用处理器等组件。非瞬时性存储器113可以存储可执行程序代码,所述可执行程序代码在由处理器111执行时,使网络设备101执行本文描述的功能和方法。通信接口115可以包括一个或多个通信端口和/或天线,用于通过无线通信网络107交换数据。同样,网络设备管理器103可以包括:用于处理数据的处理器121;用于存储和检索数据的非瞬时性存储器123;用于通过无线通信网络107与网络设备101和锚定网络设备105交换数据的通信接口125。同样,锚定网络设备105可以包括:用于处理数据的处理器131;用于存储和检索数据的非瞬时性存储器133;用于通过无线通信网络107与网络设备101和网络设备管理器103交换数据的通信接口135。
在一个实施例中,网络设备101和锚定网络设备105中的一个或多个可以是类似或相同的设备,唯一的区别是一个或多个锚定网络设备105已与网络设备管理器103建立安全管理连接120,即已由网络设备管理器103配置部署并管理,而网络设备101正在与网络设备管理器103建立安全管理连接110,即正在配置部署。在一个实施例中,无线通信网络107可以包括图1所示的多个网络设备管理器103。在一个实施例中,无线通信网络107可以包括无线路由器(图中未示出)。在一个实施例中,所述无线路由器可以实现为网络设备管理器103的组件或与其相关联。
图2示出了无线通信网络107作为智能家居网络的实现方式的示意图,无线通信网络107包括监视摄像头设备形式的尚未配置部署的网络设备101、用于配置部署和管理监控摄像头设备101的网络设备管理器103以及已由网络设备管理器103配置部署的多个锚定网络设备105。例如,在图2所示的智能家居实现方式中,多个锚定网络设备105包括不同类型的HDTV设备、HVAC设备、LED照明设备、运动传感器设备、温度/湿度/亮度传感器设备以及进一步的监控摄像头设备(为了清楚起见,并非所有这些锚定网络设备在图2中都具有附图标记)。
在一个实施例中,一个或多个网络设备管理器103可以用于通告(即,广播)它们可以管理的网络设备101的类型和/或位置。在一个实施例中,例如,已经配置部署的网络设备105可以广播设备标识符、控制网络设备105的网络设备管理器103的标识符、网络设备105的公钥。例如,在图2所示的场景中,已经配置部署的网络设备105可以广播以下信息:“灯泡11,由Manager_1控制,public_key=1234”等。
根据一个或多个网络设备管理器103和已经配置部署的网络设备105广播的信息,尚未配置部署的网络设备101可以从多个可用网络设备管理器103中选择合适的网络设备管理器103,以及多个锚定网络设备105,即与选定的网络设备管理器103建立安全管理连接的多个网络设备105的子集。例如,在图2所示的场景中,尚未配置部署的监控摄像头设备101可以根据通告的信息检测到无线通信网络中的其它监控摄像头105已经由特定网络设备管理器103控制,因此,可以选择该网络设备管理器103。
在一个实施例中,网络设备101用于使用通告的公钥与选定的锚定网络设备105进行安全通信。如上所述以及下面将更详细描述的,为了防止网络设备管理器103受到欺骗,尚未配置部署的网络设备101用于在将控制权转移到网络设备管理器103之前评估安全可信度,即网络设备管理器103的“信任度”。
如上所述,本发明实施例采用对网络设备管理器103的安全可信度的验证。本发明实施例使用用于共享电子密钥的加密方案来实现对网络设备管理器103的安全可信度的验证。在一个实施例中,尚未配置部署的网络设备101用于生成网络设备管理器103必须重构以证明其安全可信度的密钥公钥或随机数;如果成功重构,则用于在网络设备101与网络设备管理器103之间建立安全管理连接。
如上所述以及下面将更详细描述的,网络设备101不直接向网络设备管理器103发送所述公钥,而是用于将所述公钥分割为所述多个部分,并将所述部分发送到选定的锚定网络设备105。为了保护该通信,网络设备101可以使用相应锚定网络设备105的公钥。在一个实施例中,所述密钥公钥的一个部分可以直接发送到网络设备管理器103。为了获取(即,重构)所述密钥公钥并与网络设备101建立安全管理连接,网络设备管理器103必须检索至少一个子集,优选地,检索网络设备101的所述密钥公钥的全部所述多个部分。网络设备管理器103能够从数量相对较大(能够根据所需的安全级别进行配置)的锚定网络设备105检索部分(检索信息是管理的一部分,并且通常由所述网络设备提供良好保护)的事实被认为是网络设备管理器103安全可信的良好证明。
进一步参考图3,将在网络设备101与网络设备管理器103的第一次关联的上下文中描述本发明的进一步实施例。在图3所示的实施例中,通信网络107可以包括管理通告网络(Management Advertising Network,MAN)组件107,以允许一个或多个网络设备管理器103和一个或多个网络设备101通告信息。如图3所示,在网络设备管理器103已经验证其安全可信度之后,现在配置部署的网络设备101和网络设备管理器103之间的通信可以通过通信网络107的运行网络组件107进行。
通电后,尚未配置部署的网络设备101可以等待预定义的超时时间,以便允许进行手动配置部署。例如,网络设备101可以用于在执行以下步骤之前等待约60秒的超时时间。根据一个实施例,网络设备101可以包括用于生成恢复信号的手动配置部署按钮,并且可以用于在按下所述手动配置部署按钮并且在所述超时时间内接收到所述恢复信号时,执行传统的配置部署程序。在超时时间之后,网络设备101用于连接至通信网络107,尤其是无线通信网络107。
一旦连接至通信网络107的MAN组件,网络设备101便可以开始收集“可管理性通告”,即关于通信网络107中的可用网络设备管理器103的信息。根据一个实施例,网络设备101通过通信网络107收集的信息可以包括关于相应网络设备管理器103和/或已与其相关联的其它网络设备105(即,已与相应设备管理器103建立安全(即,可信)管理连接的其它网络设备105)的能力的信息。
根据通过通信网络107从多个网络设备管理器103收集的信息,网络设备101可以选择合适的网络设备管理器103,例如图3所示的网络设备管理器103。根据一个实施例,该选择可以基于网络设备101中实现的IFTTT逻辑。根据一个实施例,如果IFTTT逻辑失效,并且网络设备101无法决定正确的网络设备管理器103,则网络设备101可以切换到常规配置部署模式并在通信网络107上进行通告。
为了评估网络设备管理器103的安全可信度,网络设备101可以随机选择已与网络设备管理器103相关联的多个网络设备105的子集。已与网络设备管理器103相关联的多个网络设备105的该选定子集的网络设备在本文称为锚定网络设备105。如上所述,网络设备101用于安全地将电子密钥的相应部分(例如,网络设备101的公钥)传输到选定的锚定网络设备105。为了获取(即,重构)所述密钥并与网络设备101建立安全管理连接110,网络设备管理器103必须检索至少一个子集,优选地,检索网络设备101的所述密钥公钥的全部所述多个部分。一旦网络设备管理器103已重构所述密钥并且已与网络设备101建立安全管理连接110,网络设备管理器103便可以开始控制网络设备101。例如,网络设备101可以遵循网络设备管理器103经由安全管理连接110提供的进一步配置部署指令。在一个实施例中,网络设备101可以用于随后将其运行状态更改为“配置部署状态”,以防止不同的潜在恶意网络设备管理器进一步接管,并启用重新配置部署。此后,如上所述,网络设备101可以开始运行,并通过通信网络107定期通告关于其关联和设备细节的信息。
在一个实施例中,网络设备101可以保持与无线通信网络107的MAN组件的“无安全”连接(名称可以进行编码,以反映所有者、位置等,并且可以包含用于选择合适的网络设备管理器的信息,诸如“Light_CONTROL_SEGMENT,Huawei_IOT_CONTROLLER”)。在一个实施例中,可以在网络设备101和/或网络设备管理器103(可能还包括无线路由器)中预先配置无线通信网络107的MAN组件的SSID。
一旦通电,网络设备101便可以搜索一个或多个可用的MAN无线网络107(如果XXX代表任何位置_所有者,SSID过滤器可能为SSID=“MAN_XXX_XXX”)。在检索SSID之后,网络设备101连接至网络设备管理器103(或与其相关联的无线路由器),并开始收集关于可用网络设备管理器103的信息。如上所述,该信息可以包括网络设备101选择合适的网络设备管理器103所必需的细节,诸如网络设备管理器标识符、关于支持的设备类型的信息、关于网络设备管理器供应商的信息、位置、所有者等。例如,网络设备101检索到的关于网络设备管理器103的信息可以是:{监控控制器,VCR;华为,小米;1层;12号公寓33栋J.Smith等+用于安全交换的公钥}。
此外,已经配置部署的网络设备105也可以广播信息,包括网络设备105的标识符、控制网络设备105的网络设备管理器103的标识符、关于网络设备供应商、位置、所有者等的信息。例如,网络设备101检索到的关于网络设备105的信息可以是:{VCR_3F.5A;监控控制器;VCR,流注;华为;12号公寓33栋J.Smith+用于安全交换的公钥}。
进一步参考图4,将更详细地描述用于验证网络设备管理器103的安全可信度的本发明实施例。如前所述,在绑定到网络设备管理器103之前,网络设备101用于验证网络设备管理器103未受欺骗。网络设备管理器103能够控制K–1个锚定网络设备105被认为是非常好的信任证明。如上所述,在运行安全验证之前,尚未配置部署的网络设备101可以收集各种设备通过通信网络107的MAN组件107传输的多个数据包(包括通告)。收集的数据可以以表格形式组织,用于允许随机选择锚定网络设备105。
选定的锚定网络设备的数量及其类型可以由网络设备101动态确定,并且可以根据所需安全级别发生变化。涉及的锚越多,通过本发明实施例实现的验证程序所授予的信任证明越有力。例如,验证程序可以涉及在30至100个已经配置部署的网络设备105中选择3至10个锚定网络设备105。
在一个实施例中,网络设备101用于根据Shamir的密钥共享方案生成其电子密钥的所述多个部分。该方案确保网络设备101以仅当网络设备管理器103获取所需的最小部分时才允许重构的方式分割密钥。由于所述部分归独立持有者(即,锚定网络设备105)所有,因此攻击者必须成功地破坏所有这些设备才能访问所述密钥。
如上所述,网络设备101用于生成所述密钥,诸如公钥、随机数等,并将所述密钥分割为多个部分。此外,网络设备101用于使用相应锚定网络设备105的所述公钥将所述密钥的部分安全地传输到相应锚定网络设备105。
假设大多数锚定网络设备105未遭到破坏,网络设备管理器103通过网络设备101重构所述密钥以便继续配置部署程序的唯一方式是从锚定网络设备105获取所述多个部分。只有真正控制这些锚定网络设备105的网络设备管理器103才能检索所述部分并解锁所述密钥。换句话说,攻击者(例如,恶意网络设备管理器)将无法在不破坏多个锚定网络设备105的情况下重构网络设备101的所述密钥。
在图4所示的实施例中,示出了以下运行阶段。在第[1]阶段中,网络设备101使用Shamir的密钥共享算法生成所述密钥(诸如公钥、随机数等)以及N个部分,其中所述N个部分中的至少K个部分是重构所述密钥所必需的。在第[2]阶段中,网络设备101从已与选定的网络设备管理器103相关联的多个网络设备中随机选择K–1个锚定网络设备105,并将所述密钥部分提供给这些锚定网络设备105。在第[3]阶段中,网络设备101向网络设备管理器103提供最后一个部分(即,第K个部分),以及诸如有关用于重构所述密钥的选定锚定网络设备105的列表等信息。在第[4]阶段中,网络设备管理器103向锚定网络设备105查询所述部分,锚定网络设备105仅向已知可信的网络设备管理器103发布所述部分。在第[5]阶段中,网络设备管理器103使用所述多个部分重构所述密钥。在第[6]阶段中,根据所述重构的密钥,在网络设备101与网络设备管理器103之间建立安全管理连接110。在第[7]阶段中,网络设备管理器103完成网络设备101的配置部署。
如上所述,对网络设备管理器103的安全可信度的验证防止了网络设备101与恶意网络设备管理器103相关联。然而,在具有若干“合法”网络设备管理器103的实施例中,网络设备101仍然可能会与“错误的”网络设备管理器103建立安全管理连接。例如,两个用户可以具有通过同一MAN段广播的独立VCR管理***,以便尚未配置部署的VCR设备可以选择第一合适的网络设备管理器并连接至该管理器。
下面将描述用于缓和网络设备101与错误网络设备管理器103的关联并从中恢复的本发明实施例。在一个实施例中,网络设备101和网络设备管理器103可以实现自动管理器接管程序。在一个实施例中,网络设备管理器103可以用于经由所述网络设备管理器之间的专用接口从另一网络设备管理器103请求重新配置部署特定网络设备101(此处假设合法网络设备管理器103是可信的,并且可以使用证书、强密码、基于云的检查等常规安全工具进行相互认证)。网络设备管理器103可以强制特定网络设备101更新其管理设置并“迁移”到网络设备管理器103。
在一个实施例中,网络设备101的用户可以检测网络设备101与错误网络设备管理器103的关联。例如,网络设备101可能不会出现在“正确的”网络设备管理器103上运行的专用控制应用程序中,网络设备101提供的摄像头数据流等数据也可能不会出现在专用输出设备中。为了处理这些情况,网络设备101可以用于遵循恢复配置部署程序。在一个实施例中,网络设备101可以接收通过按下网络设备101的特定按钮或扫描与网络设备101相关的QR码而生成的恢复信号来触发该恢复程序。
在一个实施例中,网络设备101用于维持由标志位等指示的不同运行状态,以便区分自动配置部署和恢复配置部署。在一个实施例中,所述恢复配置部署可以优先于所述自动配置部署。
图5示出了实施例提供的网络设备101和实施例提供的网络设备管理器103的***架构的示意图。如图5所示,网络设备101和网络设备管理器103都可以分别包括传统管理***511和527。这些传统管理***511和527可以实现以执行传统配置部署程序。此外,网络设备101和网络设备管理器103都可以分别包括ZTP模块501和521。
如上所述,网络设备管理器103的ZTP模块521可以包括广播设备525,广播设备525用于通过无线通信网络107广播关于网络设备管理器103的能力和关联的信息。可以应用常规广播技术和预配置连接设置。此外,网络设备管理器103的ZTP模块521可以包括用于实现上述恢复程序的接管控制器523。
除了广播设备509(具有与网络设备管理器103的广播设备525相似的功能)和接管控制器503(具有与网络设备管理器103的接管控制器523相似的功能)之外,网络设备101的ZTP模块501可以包括广播设备侦听器507和评估引擎505。广播设备侦听器507用于收集关于其它网络设备105和网络设备管理器103的信息,并选择合适的网络设备管理器103(诸如类似IFTTT的规则引擎)。如上文详细描述的,评估引擎505用于选择锚定网络设备105,生成所述密钥的部分,并与所述选定的设备共享所述部分。网络设备101的密钥可以提供给传统管理***511,以用于进一步的管理器认证。
如图5所示,如本发明实施例所提供的,网络设备101可以在配置部署模式下操作,如上所述,该模式是网络设备101用于区分传统(非自动接管)和自动配置部署的配置。图5所示的锚流513可以实现为支持(由对等IoT)设置的部分和由网络设备管理器103进行的检索的常规管理配置检索流的一部分。如上所述,网络设备管理器103进行的所述检索可以经过强认证,并且所述部分可以使用公钥基础设施保护,其中相应网络设备105的所述公钥由广播设备509通过通信网络107进行通告。由网络设备管理器103重构和/或检索的公钥可以存储在注册表529中,该注册表可以是网络设备管理器103的存储器123的一部分。此外,网络设备管理器103使用的任何私钥都可以存储在此处。同样,网络设备101可以将用于与网络设备管理器103和/或锚定网络设备105通信的任何公钥存储在管理设置数据库515中,该数据库可以在网络设备101的存储器113中实现。
图6示出了在实施例提供的网络设备101与实施例提供的网络设备管理器103之间建立安全管理连接的各方面的信令图。在图6所示的实施例中,尚未配置部署的网络设备101可以在两个网络设备管理器103以及K–1个锚定网络设备105之间进行选择。更具体地,图6示出了以下步骤和过程。
601:网络设备101启动(这可以包括连接至无线网络107),并等待超时时间601a。例如,超时时间601a可以是30秒长。如上所述,网络设备101可以等待超时时间601a,以便允许在开始下面描述的自动配置部署程序之前进行手动配置部署操作。
603:网络设备101收集由无线通信网络107中可用的不同网络设备管理器103(诸如在图6所示步骤602a中称为“管理器2”的网络设备管理器103)通告的信息。此外,网络设备101收集由无线通信网络107中已经配置部署的不同网络设备105(诸如在图6所述步骤602b中称为“IoT 3”的已经配置部署的网络设备105)通告的信息。
605:网络设备101根据在步骤603中收集的信息,选择合适的网络设备管理器103。在图6所示的示例性实施例中,网络设备101选择图6中称为“管理器2”的网络设备管理器103,具体如606所示。
607:在选择合适的网络设备管理器103之后,网络设备101生成密钥(诸如公钥),并将所述密钥分割为多个部分。
609:网络设备101从所述多个已经配置部署的网络设备中选择锚定网络设备105,并将所述密钥的相应部分提供给选定的锚定网络设备105。如步骤610中所示,所述部分可以使用相应锚定网络设备105的所述公钥进行加密。
611:网络设备101通过向所述选定的网络设备管理器提供所述密钥的一个部分以及关于选定的锚定网络设备105的信息,请求选定的网络设备管理器103提供其安全可信的证据。
613:响应于网络设备101的请求,选定的网络设备管理器103从网络设备101的请求所识别的多个锚定网络设备105中检索网络设备101的所述密钥的多个部分。
615:如果所有部分均已收集,优选地,则选定的网络设备管理器103可以使用所有这些部分解锁,即重构网络设备101的所述密钥(参见步骤616a)。如果选定的网络设备管理器103不能检索解锁所述密钥所需的所有部分(参见步骤616b),则可以通过向网络设备101发送错误消息来终止所述配置部署过程。
617:在步骤616a中解锁所述密钥后,选定的网络设备管理器103与网络设备101建立了安全管理连接110,并可以完成网络设备101的配置部署。
619:现在网络设备101是配置部署的网络设备本身(类似于选定的锚定网络设备105),并且可以开始通过无线通信网络107分发关于其能力的信息。
图7示出了与无线通信网络107中的网络设备管理器103建立安全管理连接110的方法700的流程图。方法700包括步骤701,即网络设备101向多个锚定网络设备105中的相应锚定网络设备105提供网络设备101的密钥的多个部分中的一个部分。多个锚定网络设备105已与网络设备管理器103建立安全管理连接120。重构网络设备101的所述密钥需要网络设备101的所述密钥的所述多个部分中的至少两个部分。
图8示出了用于操作网络设备管理器103的方法800的流程图,网络设备管理器103用于管理无线通信网络107中的多个网络设备101。方法800包括步骤801,即从多个锚定网络设备105中的相应锚定网络设备105获取网络设备101的密钥的多个部分中的相应部分。多个锚定网络设备105已与网络设备管理器103建立安全管理连接120。此外,方法800包括步骤803,即根据所述密钥的所述多个部分重构网络设备101的所述密钥,以及步骤805,即根据所述重构的密钥与网络设备101建立安全管理连接110。
本领域技术人员将理解,各个附图(方法和装置)中的“块”(“单元”)表示或描述本发明实施例的功能(而不一定是硬件或软件中的单个“单元”),从而描述装置实施例以及方法实施例(单元=步骤)的相同功能或特征。
在本发明提供的几个实施例中,应当理解的是,所公开的***、装置和方法可以通过其它方式实现。例如,所描述的装置实施例仅仅是示例性的。例如,单元分割仅仅是逻辑功能分割,在实际实现方式中可以是其它分割。例如,可以将多个单元或组件组合或集成到另一***中,或可以忽略或不执行一些特征。此外,所显示或讨论的相互耦合或直接耦合或通信连接可以通过一些接口实现。装置或单元之间的直接耦合或通信连接可以通过电子、机械或其它形式实现。
作为单独部分描述的单元可以或者也可以不在物理上分离,作为单元描述的部分可以是或者也可以不是物理单元,可以位于一个位置或者也可以分布在多个网络单元上。可以根据实际需要选择其中的部分或全部单元来实现实施例方案的目的。
另外,本发明实施例中的功能单元可以集成到一个处理单元中,或者每个单元可在物理上单独存在,或者两个或更多单元集成到一个单元中。

Claims (21)

1.一种用于与通信网络(107)中的网络设备管理器(103)建立安全管理连接(110)的网络设备(101),其特征在于,所述网络设备(101)用于:
向多个锚定网络设备(105)中的一个锚定网络设备(105)提供所述网络设备(101)的密钥的多个部分中的一个部分,其中,所述多个锚定网络设备(105)已与所述网络设备管理器(103)建立安全管理连接(120),
其中,重构所述网络设备(101)的所述密钥需要所述网络设备(101)的所述密钥的所述多个部分中的至少两个部分。
2.根据权利要求1所述的网络设备(101),其特征在于,所述网络设备(101)还用于:向所述网络设备管理器(103)提供用于识别所述锚定网络设备(105)的信息。
3.根据权利要求1或2所述的网络设备(101),其特征在于,所述网络设备(101)还用于:向所述网络设备管理器(103)提供所述网络设备(101)的所述密钥的所述多个部分中的一个部分。
4.根据上述权利要求中任一项所述的网络设备(101),其特征在于,所述网络设备(101)还用于:通过将所述网络设备(101)的所述密钥分成所述多个部分来确定所述多个部分。
5.根据上述权利要求中任一项所述的网络设备(101),其特征在于,所述网络设备(101)还用于:根据所述网络设备(101)通过所述通信网络(107)从多个可用网络设备管理器(103)接收的信息,从所述多个可用网络设备管理器(103)中选择所述网络设备管理器(103)。
6.根据权利要求5所述的网络设备(101),其特征在于,所述网络设备(101)从所述多个可用网络设备管理器(103)接收的所述信息包括以下至少一项:可用网络设备管理器(103)的标识符;已与相应可用网络设备管理器(103)建立安全管理连接(120)的锚定网络设备(105)的标识符;可用网络设备管理器(103)的服务区;可由可用网络设备管理器(103)管理的网络设备类型。
7.根据上述权利要求中任一项所述的网络设备(101),其特征在于,所述网络设备(101)还用于:从已与所述网络设备管理器(103)建立安全管理连接(120)的多个网络设备中选择所述锚定网络设备(105)。
8.根据上述权利要求中任一项所述的网络设备(101),其特征在于,所述网络设备(101)还用于:使用所述锚定网络设备(105)的公钥向所述锚定网络设备(105)提供所述部分。
9.根据上述权利要求中任一项所述的网络设备(101),其特征在于,重构所述网络设备(101)的所述密钥需要所述网络设备(101)的所述密钥的所述多个部分中的全部部分。
10.根据上述权利要求中任一项所述的网络设备(101),其特征在于,所述网络设备(101)的所述密钥是所述网络设备(101)的一对公钥和私钥中的所述公钥。
11.根据权利要求10所述的网络设备(101),其特征在于,所述网络设备(101)还用于:在与所述网络设备管理器(103)建立所述安全管理连接(110)之后,通过所述通信网络(107)广播所述公钥。
12.根据上述权利要求中任一项所述的网络设备(101),其特征在于,所述网络设备(101)还用于:在与所述网络设备管理器(103)建立所述安全管理连接(110)之后,广播所述网络设备管理器(103)的标识符。
13.根据上述权利要求中任一项所述的网络设备(101),其特征在于,所述网络设备(101)还用于:响应于接收恢复信号,终止与所述网络设备管理器(103)的所述安全管理连接(110)并与另一网络设备管理器(103)建立另一安全管理连接。
14.一种用于与通信网络(107)中的网络设备管理器(103)建立安全管理连接(110)的方法(700),其特征在于,所述方法(700)包括:
网络设备(101)向多个锚定网络设备(105)中的一个锚定网络设备(105)提供(701)所述网络设备(101)的密钥的多个部分中的一个部分,其中,所述多个锚定网络设备(105)已与所述网络设备管理器(103)建立安全管理连接(120),
其中,重构所述网络设备(101)的所述密钥需要所述网络设备(101)的所述密钥的所述多个部分中的至少两个部分。
15.一种用于管理通信网络(107)中的多个网络设备(101)的网络设备管理器(103),其特征在于,所述网络设备管理器(103)用于:
从多个锚定网络设备(105)中的一个锚定网络设备(105)获取网络设备(101)的密钥的多个部分中的一个部分,其中,所述多个锚定网络设备(105)已与所述网络设备管理器(103)建立安全管理连接(120);
根据所述网络设备(101)的所述密钥的所述多个部分,重构所述网络设备(101)的所述密钥;
与所述网络设备(101)建立安全管理连接(110)。
16.根据权利要求15所述的网络设备管理器(103),其特征在于,所述网络设备管理器(103)还用于:从所述网络设备(101)接收用于识别所述锚定网络设备(105)的信息。
17.根据权利要求15或16所述的网络设备管理器(103),其特征在于,所述网络设备(101)的所述密钥是所述网络设备(101)的公钥。
18.根据权利要求15至17中任一项所述的网络设备管理器(103),其特征在于,所述网络设备管理器(103)还用于:从所述网络设备(101)接收所述密钥的所述多个部分中的一个部分。
19.根据权利要求15至18中任一项所述的网络设备管理器(103),其特征在于,所述网络设备管理器(103)还用于:通过所述通信网络(107)广播信息,所述信息包括以下至少一项:所述网络设备管理器(103)的标识符;已与所述网络设备管理器(103)建立安全管理连接(120)的锚定网络设备(105)的标识符;所述网络设备管理器(103)的服务区;可由所述网络设备管理器(103)管理的网络设备类型。
20.一种用于操作网络设备管理器(103)的方法(800),其特征在于,所述网络设备管理器(103)用于管理通信网络(107)中的多个网络设备(101),所述方法(800)包括:
从多个锚定网络设备(105)中的一个锚定网络设备(105)获取(801)网络设备(101)的密钥的多个部分中的一个部分,其中,所述多个锚定网络设备(105)已与所述网络设备管理器(103)建立安全管理连接(120);
根据所述密钥的所述多个部分,重构(803)所述网络设备(101)的所述密钥;
与所述网络设备(101)建立(805)安全管理连接(110)。
21.一种计算机程序产品,其特征在于,包括程序代码,所述程序代码在由计算机或处理器执行时,使得所述计算机或所述处理器执行根据权利要求14所述的方法(700)或根据权利要求20所述的方法(800)。
CN202080096286.1A 2020-05-29 2020-05-29 用于在通信网络中进行零配置部署的设备和方法 Pending CN115136634A (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2020/064978 WO2021239249A1 (en) 2020-05-29 2020-05-29 Devices and methods for zero touch provisioning in a communication network

Publications (1)

Publication Number Publication Date
CN115136634A true CN115136634A (zh) 2022-09-30

Family

ID=70968950

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202080096286.1A Pending CN115136634A (zh) 2020-05-29 2020-05-29 用于在通信网络中进行零配置部署的设备和方法

Country Status (2)

Country Link
CN (1) CN115136634A (zh)
WO (1) WO2021239249A1 (zh)

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9571464B2 (en) * 2014-08-11 2017-02-14 Intel Corporation Network-enabled device provisioning
EP3286871B1 (en) * 2015-04-24 2020-07-22 PCMS Holdings, Inc. Systems, methods, and devices for device credential protection

Also Published As

Publication number Publication date
WO2021239249A1 (en) 2021-12-02

Similar Documents

Publication Publication Date Title
US20230035336A1 (en) Systems and methods for mitigating and/or preventing distributed denial-of-service attacks
US10009833B2 (en) Managed access point protocol
US8577044B2 (en) Method and apparatus for automatic and secure distribution of an asymmetric key security credential in a utility computing environment
US7953227B2 (en) Method for securely and automatically configuring access points
US11997635B2 (en) Establishing simultaneous mesh node connections
US20060285693A1 (en) Method and apparatus for automatic and secure distribution of a symmetric key security credential in a utility computing environment
EP2408140B1 (en) Method, control point, apparatus and communication system for configuring access right
CN112737902B (zh) 网络配置方法和装置、存储介质及电子设备
US20170324564A1 (en) Systems and methods for enabling trusted communications between entities
US20220400118A1 (en) Connecting internet of thing (iot) devices to a wireless network
WO2015088324A2 (en) System and method for managing a faulty node in a distributed computing system
CN106535089B (zh) 机器对机器虚拟私有网络
CN108599968B (zh) 用于城市物联网的信息广播方法
JP6453351B2 (ja) 通信ネットワークにおけるネットワーク要素の認証
JP3746782B2 (ja) ネットワークシステム
WO2021134562A1 (zh) 配置设备更换方法、装置、设备及存储介质
CN115136634A (zh) 用于在通信网络中进行零配置部署的设备和方法
CN107888383B (zh) 登录认证方法及装置
US11757876B2 (en) Security-enhanced auto-configuration of network communication ports for cloud-managed devices
US12009979B2 (en) Secure and adaptive mechanism to provision zero- touch network devices
AU2018304187B2 (en) Systems and methods for mitigating and/or preventing distributed denial-of-service attacks
CN113347628A (zh) 提供网络接入服务的方法、接入点、终端
CN116458111A (zh) 用于配置网络中多个可操作地互连的节点设备的方法、配置器和***
CN116248360A (zh) 一种基于STG服务器的T-Box传输方法及装置
CN113347629A (zh) 提供网络接入服务的方法、接入点、终端

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination