CN115396129A - 通信方法、相关设备和存储介质 - Google Patents

通信方法、相关设备和存储介质 Download PDF

Info

Publication number
CN115396129A
CN115396129A CN202110546669.0A CN202110546669A CN115396129A CN 115396129 A CN115396129 A CN 115396129A CN 202110546669 A CN202110546669 A CN 202110546669A CN 115396129 A CN115396129 A CN 115396129A
Authority
CN
China
Prior art keywords
application
security certificate
request
cloud
certificate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110546669.0A
Other languages
English (en)
Inventor
吕成钢
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Suzhou Software Technology Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Suzhou Software Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Suzhou Software Technology Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN202110546669.0A priority Critical patent/CN115396129A/zh
Publication of CN115396129A publication Critical patent/CN115396129A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本申请公开了一种通信方法、相关设备及存储介质。其中,方法包括:接收边缘节点发送的第一请求;所述第一请求用于请求为第一应用签发安全证书;在所述第一应用满足第一条件的情况下,响应所述第一请求,确定所述第一应用的安全证书;所述第一条件表征所述第一应用已在云端注册;向所述边缘节点反馈所述第一应用的安全证书;所述安全证书用于供所述第一应用与其他应用通信时使用,通过云端对于边缘节点的应用的统一管理,建立应用间的双向证书验证机制,保障了边缘节点的应用间的通信安全。

Description

通信方法、相关设备和存储介质
技术领域
本申请涉及通信领域,尤其涉及一种通信方法、相关设备和存储介质。
背景技术
边缘计算现已愈发广泛地应用于智慧城市、工业制造、物联网等诸多领域。在更靠近数据源头的边缘节点中部署成熟的应用服务来管理对边缘设备的数据采集、业务处理等操作,可以有效降低云端计算负载、减轻网络压力、提高数据处理效率。而保证边缘应用以及云边应用之间的安全通信,确保通信信道不被攻击、数据不会泄露,已成为日益紧迫和重要的一项需求。
然而,相关技术中,边缘节点管理***中,在边缘节点的应用通信过程中,存在安全风险,即不能做到安全通信。
因此,亟需提供一种针对边缘节点的应用的通信方式,有效地保障边缘节点的应用间的通信安全。
发明内容
为解决相关技术问题,本申请实施例提供一种通信方法、相关设备和存储介质。
本申请实施例的技术方案是这样实现的:
本申请实施例提供一种通信方法,应用于云端,包括:
接收边缘节点发送的第一请求;所述第一请求用于请求为第一应用签发安全证书;
在所述第一应用满足第一条件的情况下,响应所述第一请求,确定所述第一应用的安全证书;所述第一条件表征所述第一应用已在云端注册;
向所述边缘节点反馈所述第一应用的安全证书;所述安全证书用于供所述第一应用与其他应用通信时使用。
上述方案中,所述方法还包括:
接收所述边缘节点发送的第二请求;所述第二请求用于请求在云端注册所述第一应用;所述第二请求至少携带所述第一应用的应用信息;
响应所述第二请求,生成所述第一应用的安全证书;
将所述应用信息与所述第一应用的安全证书进行关联;并将所述应用信息与所述第一应用的安全证书存储至数据库;
所述确定所述第一应用的安全证书,包括:
利用所述第一请求中携带的应用信息在所述数据库中查找对应的安全证书。
上述方案中,确定所述第一应用的安全证书时,所述方法还包括:
确定所述第一应用的安全证书的有效期;
向所述边缘节点反馈所述第一应用的安全证书和对应的有效期信息。
上述方案中,所述方法还包括:
接收所述边缘节点发送的第三请求;所述第三请求用于请求为所述第一应用签发新的安全证书;
在所述第一应用满足第一条件的情况下,响应所述第三请求,生成新的安全证书,并确定新的安全证书的有效期;
向所述边缘节点反馈所述第一应用的新的安全证书和对应的有效期信息。
本申请实施例还提供一种通信方法,应用于边缘节点,包括:
向云端发送第一请求;所述第一请求用于请求为第一应用签发安全证书;
接收所述云端反馈的所述第一应用的安全证书;所述安全证书用于供所述第一应用与其他应用通信时使用。
上述方案中,所述方法还包括:
确定所述第一应用的应用信息;
向所述云端发送第二请求;所述第二请求用于请求在云端注册所述第一应用;所述第二请求至少携带所述第一应用的应用信息;所述应用信息用于确定所述第一应用的安全证书。
上述方案中,接收所述云端反馈的所述第一应用的安全证书时,所述方法还包括:
接收所述第一应用的安全证书的有效期信息;
根据所述有效期信息确定所述第一应用的安全证书已过期时,向所述云端发送第三请求;所述第三请求用于请求为所述第一应用签发新的安全证书;
接收所述云端反馈的所述第一应用的新的安全证书和对应的有效期信息。
本申请实施例还提供一种云端,包括:第一处理器和用于存储能够在处理器上运行的计算机程序的第一存储器,
其中,所述第一处理器用于运行所述计算机程序时,所述计算机程序被处理器执行时实现云端侧的任一方法的步骤。
本申请实施例还提供一种边缘节点,包括:第二处理器和用于存储能够在处理器上运行的计算机程序的第二存储器,
其中,所述第二处理器用于运行所述计算机程序时,所述计算机程序被处理器执行时实现边缘节点侧的任一方法的步骤。
本申请实施例还提供一种存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述云端侧任一方法的步骤,或者实现上述边缘节点侧任一方法的步骤。
本申请实施例提供的通信方法、相关设备及存储介质,边缘节点向云端发送第一请求,所述第一请求用于请求为第一应用签发安全证书;云端接收到边缘节点发送的第一请求后,在所述第一应用满足第一条件的情况下,响应所述第一请求,确定所述第一应用的安全证书;所述第一条件表征所述第一应用已在云端注册;向所述边缘节点反馈所述第一应用的安全证书;所述安全证书用于供所述第一应用与其他应用通信时使用。本申请实施例提供的技术方案,云端接收到边缘节点发送的请求后,基于所述应用在云端的注册情况向所述应用反馈相应的安全证书,使得应用通过安全证书保证应用间通信的安全性,通过云端对边缘节点的应用进行管理,建立应用间的双向证书验证机制,保障了边缘节点的应用间的安全通信。同时,本申请实施例提供的方案,易于实现,效率高,管理和维护成本低,泛化能力更强。
另外,边缘节点接收云端反馈的第一应用的安全证书时,还接收所述第一应用的安全证书的有效期信息;所述边缘节点根据所述有效期信息确定所述第一应用的安全证书已过期时,向所述云端发送第三请求;所述第三请求用于请求为所述第一应用签发新的安全证书。本申请实施例提供的技术方案,安全证书具有有效期,安全证书过期后,应用需要获取新的安全证书,使得安全证书不易被破解,如此,进一步保障了应用间通信的安全性。
附图说明
图1为相关技术中一种边缘节点管理的***框架示意图;
图2为本申请实施例一种通信的方法流程示意图;
图3为本申请实施例第二种通信的方法流程示意图;
图4为本申请实施例第三种通信的方法流程示意图;
图5为本申请应用实施例***架构示意图;
图6为本申请应用实施例中应用注册的流程示意图;
图7为本申请应用实施例中签发安全证书的流程示意图;
图8为本申请应用实施例中应用下载安全证书的流程示意图;
图9为本申请应用实施例中获取新的安全证书的流程示意图;
图10为本申请实施例第一种通信装置结构示意图;
图11为本申请实施例第二种通信装置结构示意图;
图12为本申请实施例云端结构示意图;
图13为本申请实施例边缘节点结构示意图;
图14为本申请实施例通信***结构示意图。
具体实施方式
下面结合附图及实施例对本申请再作进一步详细的描述。
相关技术中,提出了对边缘节点进行管理的***框架,如图1所示,在该***中,通过云端节点(以下的描述中称为云端)统一进行安全证书管理,由云端签发为云端所用的服务端安全证书,以及为所纳管的各边缘节点所用的客户端安全证书;在基于WebSocket或超文本传输协议(HTTP,Hypertext Transfer Protocol)等协议建立云边通信时,云端和边缘节点进行证书双向验证,以保证通信通道的安全性。其中,云端可以称为服务端,边缘节点可以称为客户端。然而,通过云端向服务端和客户端签发安全证书的方式主要作用于节点层面,没有考虑到边缘节点和边缘节点的应用之间的相互通信。这是因为:安全证书是由云端统一签发的,且在云端为边缘节点签发安全证书的过程中,会在边缘节点中设定安全证书双向认证的对象,而所述对象仅为云端和边缘节点,所以仅能在云端和边缘节点之间进行安全通信,因此,不同边缘节点之间无法进行安全证书双向认证,从而无法根据安全证书建立边缘节点间的独立的通信通道,进而使得边缘节点的应用之间并不能做到安全通信。另外,该方案的主要作用对象是边缘节点而不是边缘节点的应用,由于在边缘节点中设定了进行安全证书双向认证的对象仅为云端与边缘节点,那么,如果一个边缘节点中部署了两套应用服务,那这两个应用之间也不能做到安全通信。另一方面,在边缘节点的应用间需要进行加密访问、敏感数据的传输等通信操作时,要确保通信过程中的数据安全,这就需要考虑边缘节点的应用间的安全通信问题。
基于此,为了实现应用之间的安全通信,相关技术中,提出了以下实现方式:
在云端的服务器上设置防火墙的进站和出站过滤规则,比如,开放白名单只保留受信地址(即允许通信的应用的IP地址),来控制边缘节点中应用允许通信的IP地址,从而实现应用通信安全控制。然而,通过设置防火墙进站和出站过滤规则实现安全通信的使用成本太高,对规则进行任何变更都需要专人花费一定的时间去维护,不如安全证书便于实现和易维护;同时这种方案泛化能力太差,如果在***中新部署或移除应用服务,则可能***中的许多边缘节点都要重新配置过滤规则,因此,缺乏适应性。
基于此,在本申请的各种实施例中,在云端部署安全证书管理***,用来统一管理云边集群中所有应用间的安全通信。
本申请实施例提供的方案,通过云端对边缘节点的应用进行管理,建立应用间的双向证书验证机制,保障了边缘节点的应用间的安全通信。同时,本申请实施例提供的方案,易于实现,效率高,管理和维护成本低,泛化能力更强。
本申请实施例提供一种通信方法,应用于云端(也可以称为云端节点),如图2所示,所述方法包括:
步骤201:接收边缘节点发送的第一请求;所述第一请求用于请求为第一应用签发安全证书;
步骤202:在所述第一应用满足第一条件的情况下,响应所述第一请求,确定所述第一应用的安全证书;所述第一条件表征所述第一应用已在云端注册;
步骤203:向所述边缘节点反馈所述第一应用的安全证书;所述安全证书用于供所述第一应用与其他应用通信时使用。
其中,实际应用时,所述云端和边缘节点可以基于WebSocket或HTTP等协议建立云边通信。在云端和边缘节点通信的过程中,云端和边缘节点可以通过基站实现通信;具体地,在步骤201中,基站接收到边缘节点发送的第一请求后,将所述第一请求发送至云端;云端接收基站发送的所述第一请求,以实现与边缘节点的通信。在步骤203中,云端通过基站向边缘节点反馈所述第一应用的安全证书。
实际应用时,当第一应用需要与其他应用进行安全通信时,通过所述边缘节点向云端发送第一请求。示例性地,当所述第一应用需要与其他应用进行加密访问、敏感数据传输的通信时,则会向云端发送请求,以获取安全证书建立应用间的双向证书验证机制,从而保障了边缘节点的应用间的通信安全。也可以是在边缘节点上新部署第一应用时,就通过边缘节点向云端发送第一请求。本申请实施例对边缘节点向云端发送第一请求的时机不作限定。
实际应用时,可以在一个边缘节点上部署多个应用,也可以在一个边缘节点上仅部署一个应用,本申请实施例对边缘节点上部署的应用的数量不作限定。应用之间的通信可以是一个边缘节点的两个应用之间的通信,也可以是不同边缘节点的应用之间的通信。
实际应用时,为了实现云端对应用的统一管理,需要应用在云端注册。基于此,在步骤202中,云端接收到第一请求后,需要先判断第一应用是否在云端进行过注册操作,才能基于判断结果判断是否为所述第一应用签发安全证书;当第一应用已在云端注册时,所述云端再确定第一应用对应的安全证书。当第一应用未在云端注册时,所述云端停止为所述第一应用签发对应的安全证书。
实际应用时,云端所签发的安全证书可以为X509标准格式的安全证书。当然,也可以为其他格式的安全证书,本申请实施例对安全证书的格式不作限定。需要说明的是:本申请实施例的安全证书是不能够被除云端外的其他设备篡改的。
确定第一应用的安全证书后,云端向边缘节点反馈所述安全证书,从而使得第一应用通过边缘节点接收到安全证书后,通过利用安全证书与其他应用进行安全通信。
其中,实际应用时,当所述第一应用与其他应用进行安全通信时,通过向所述其他应用发送携带第一应用的安全证书的HTTP请求消息,所述其他应用接收所述请求消息并对请求消息进行解析,得到所述第一应用的安全证书,以实现对所述第一应用的安全证书的验证;示例性地,在初次建立连接时,所述其他应用会对第一应用通过HTTP请求带过来的安全证书进行校验,比如解析安全证书,对所述安全证书对应的合法性信息进行校验,从而来验证所述安全证书是否可以用于本次通信(即验证安全证书是否合法);相应地,其他应用向所述第一应用发送携带其他应用的安全证书的HTTP请求消息,所述第一应用接收所述请求消息并进行解析,得到所述其他应用的安全证书,以完成对所述其他应用的安全证书的验证。
所述第一应用与所述其他应用的双向安全证书验证通过后,基于安全证书建立第一应用与其他应用间的通信通道,使得应用间可以通过所述通道进行安全通信,减少了通信信息泄露的可能。
本申请实施例提供的通信方法,通过接收第一应用通过边缘节点发送的第一请求,并基于所述第一应用在云端的注册情况为所述第一应用签发安全证书,在应用维度上对云边集群中所有边缘应用进行了统一管理。在这种情况下,无论通信双方是否在同一边缘节点,都可以通过向其他应用发送请求消息,并接收所述其他应用的响应消息,来完成应用间的安全证书的验证。然后,通过安全证书验证的应用间便可以建立起通信通道,以便于应用间基于所述通道进行安全通信,避免信息泄露的风险,从而实现了云边集群中所有边缘应用的无缝、全覆盖地安全通信。
实际应用时,为了实现云端对应用的统一管理,从而实现应用间的安全通信,还需要为所述第一应用在云端进行注册操作,从而使得云端能够为所述第一应用签发安全证书。
基于此,在一实施例中,所述接收边缘节点发送的第一请求之前,该方法还可以包括:
接收所述边缘节点发送的第二请求;所述第二请求用于请求在云端注册所述第一应用;所述第二请求至少携带所述第一应用的应用信息;
响应所述第二请求,生成所述第一应用的安全证书;所述应用信息与所述第一应用的安全证书进行关联;并将所述应用信息与所述第一应用的安全证书存储至数据库;
相应地,在步骤202中,所述确定所述第一应用的安全证书,包括:
利用所述第一请求中携带的应用信息在所述数据库中查找对应的安全证书。
这里,实际应用时,所述应用信息可以包括:所述第一应用名称,应用类型等。所述应用类型可以包括:网络通信、文字处理、图形图像、音视频处理等。
所述第二请求还可以包括第一应用的访问域名信息;
这里,通过将所述第一应用的应用信息添加至第二请求,并发送至云端,使得云端可以根据所述应用信息快速确定所述应用信息对应的应用,从而高效地在数据库中查找到所述应用对应的安全证书。
实际应用时,所述第二请求携带的信息可以称为所述第一应用的权限数据。示例性地,当所述第二请求携带第一应用的访问域名信息和第一应用的应用信息时,所述第一应用的权限数据包括第一应用的访问域名信息和第一应用的应用信息。
将所述应用信息与所述第一应用的安全证书存储至数据库,便于已在云端侧注册过的第一应用需要再次获取安全证书且所述安全证书未过期时,云端可以直接读取所述数据库中存储的第一应用的安全证书,并反馈给所述第一应用,无需对所述第一应用再进行注册和签发操作,从而节省了***资源。
另外,实际应用时,第一应用可以根据与其他应用的数据传输类型判断是否需要建立安全通信通道;当第一应用与其他应用间进行加密访问、敏感数据的传输的情况下,则需要安全证书以建立应用间的安全通信通道;若第一应用与其他应用间进行常规数据传输等通信操作时,无需安全证书便可以与其他应用进行通信。这样,所述第一应用便可以根据通信需求判断是否获取第一应用的安全证书,增加了应用间通信的灵活性。
实际应用时,为了保证应用的安全证书的安全性,避免被黑客破解而导致安全证书的信息泄露的可能性,需要为所述应用的安全证书设置有效期,使得所述安全证书可以不断更新,来减少通信过程中的安全威胁。
基于此,在一实施例中,确定所述第一应用的安全证书时,该方法还可以包括:
确定所述第一应用的安全证书的有效期;
向所述边缘节点反馈所述第一应用的安全证书和对应的有效期信息。
实际应用时,云端为所述第一应用签发安全证书时,同时为安全证书设置了有效时长(可以根据需要设置),并将安全证书和对应的有效时长存储在数据库中。当云端确定所述第一应用的安全证书时,可以根据第一应用的安全证书的有效时长,来确定所述第一应用的安全证书的有效期。
这里,当所述第一应用的安全证书设置有效期时,有效期信息不能够被其他应用所篡改。相应地,在其他应用验证所述第一应用的安全证书是否可以用于本次通信时,需要验证安全证书是否合法以及是否过期。
实际应用时,云端反馈第一应用的安全证书和对应的有效期信息后,由于第一应用的安全证书在有效期过期后需要更新,所以需要边缘节点发送用于请求新的安全证书和对应的有效期信息的消息。
基于此,在一实施例中,该方法还可以包括:
接收所述边缘节点发送的第三请求;所述第三请求用于请求为所述第一应用签发新的安全证书;
在所述第一应用满足第一条件的情况下,响应所述第三请求,生成新的安全证书,并确定新的安全证书的有效期;
向所述边缘节点反馈所述第一应用的新的安全证书和对应的有效期信息。
所述云端接收所述边缘节点发送的签发新的安全证书的请求,在第一应用已在云端注册的情况下,生成新的安全证书,并将所述新的安全证书和对应的有效期发送至所述边缘节点。
其中,实际应用时,云端接收到第三请求后,需要判断第一应用是否在云端进行过注册,才能基于判断结果为所述第一应用签发新的安全证书;当第一应用已在云端注册时,所述云端为第一应用签发新的安全证书和有效期信息;若第一应用未在云端注册过,则云端不会为所述第一应用签发新的安全证书和有效期。
这里,当云端为第一应用生成新的安全证书时,可以通过云端设置新的安全证书的有效期,还可以通过人工操作来设置新的安全证书的有效期;具体地,安全证书的有效期可以根据需要设置,比如设置为一个星期、一个月、一年等。
这里,实际应用时,云端重新生成新的安全证书返回给边缘应用,同时,云端将新的安全证书和对应的有效期存储至数据库中,覆盖原本的已过期的安全证书和对应的有效期。
相应地,本申请实施例还提供了一种通信方法,应用于边缘应用,如图3所示,该方法包括:
步骤301:向云端发送第一请求;所述第一请求用于请求为第一应用签发安全证书;
步骤302:接收所述云端反馈的所述第一应用的安全证书;所述安全证书用于供所述第一应用与其他应用通信时使用。
在一实施例中,向云端发送第一请求之前,即在步骤301之前,所述方法还可以包括:
确定所述第一应用的应用信息;
向所述云端发送第二请求;所述第二请求用于请求在云端注册所述第一应用;所述第二请求至少携带所述第一应用的应用信息;所述应用信息用于确定所述第一应用的安全证书。
需要说明的是,实际应用时,所述第二请求还可以携带所述第一应用的访问域名信息。
在一实施例中,接收所述云端反馈的所述第一应用的安全证书时,所述方法还可以包括:
接收所述第一应用的安全证书的有效期信息;
根据所述有效期信息确定所述第一应用的安全证书已过期时,向所述云端发送第三请求;所述第三请求用于请求为所述第一应用签发新的安全证书;
接收所述云端反馈的所述第一应用的新的安全证书和对应的有效期信息。
通过本申请实施例提供的通信方法,通过对安全证书的可用性校验,持续更新应用的安全证书,使得安全证书不易破解,如此,进一步保障增加了边缘节点的应用间通信的安全性。
本申请实施例还提供了一种通信方法,如图4所示,该方法包括:
步骤401:边缘节点向云端发起第一请求;
其中,所述第一请求用于请求为第一应用签发安全证书;
步骤402:云端接收到边缘节点发送的第一请求后,在第一应用满足第一条件的情况下,响应所述第一请求,确定所述第一应用的安全证书;
其中,所述第一条件表征所述第一应用已在云端注册;
步骤403:云端向边缘节点反馈所述第一应用的安全证书;
其中,所述安全证书用于供所述第一应用与其他应用通信时使用。
步骤404:边缘应用接收所述云端反馈的第一应用的安全证书;
这里,需要说明的是:边缘节点和云端的具体处理过程已在上文详述,这里不再赘述。
本申请实施例提供的通信方法,边缘节点向云端发送第一请求,所述第一请求用于请求为第一应用签发安全证书;云端接收到边缘节点发送的第一请求后,在所述第一应用满足第一条件的情况下,响应所述第一请求,确定所述第一应用的安全证书;所述第一条件表征所述第一应用已在云端注册;向所述边缘节点反馈所述第一应用的安全证书;所述安全证书用于供所述第一应用与其他应用通信时使用。本申请实施例提供的技术方案,云端接收到边缘节点发送的请求后,基于所述应用在云端的注册情况向所述应用反馈相应的安全证书,使得应用通过安全证书保证应用间通信的安全性,通过云端对边缘节点的应用进行管理,建立应用间的双向证书验证机制,保障了边缘节点的应用间的安全通信。同时,本申请实施例提供的方案,易于实现,效率高,管理和维护成本低,泛化能力更强。
下面结合应用实施例对本申请再作进一步详细的描述。
如图5所示,本应用实施例的***架构包括:云端节点、边缘节点和端侧设备。其中,云端节点上设置有安全证书管理***,具体包括:
权限管理模块,负责当边缘应用向安全证书管理***注册成为可以进行安全通信的一员,以实现与集群中其它应用进行安全访问的资格的管理,具体用于为发起权限注册请求的边缘节点的应用进行权限注册操作;
证书签发模块,负责对进行了权限注册后的应用自动签发X509标准格式的安全证书,即用于为注册过的所述应用签发对应的安全证书;
证书下载模块,负责应用在安全证书管理***中注册权限后,下载***自动签发的对应应用的证书到本地,即用于所述应用在云端注册后,且收到下载请求后,向所述边缘节点反馈对应的安全证书。
过期续签模块,用于在应用的安全证书过期后,为应用签发新的安全证书。
边缘节点上设置有边缘应用,且设置有安全管理模块(与每个应用对应,可以理解为某个应用的安全管理模块),用于向所述安全证书管理***发送权限注册请求;还用于向所述安全证书管理***发送证书下载请求,将边缘节点的应用对应的安全证书下载至本地;还用于定时扫描本地应用的安全证书是否过期,若过期,则向所述安全证书管理***发送安全证书续签请求。
端侧设备包括:智慧城市中的设备、工业互联网的设备、虚拟现实的设备、智能驾驶的设备、公共安全的设备等。
实施本应用实施例的方案之前,需要将安全证书管理***代码打包、上传、部署至云端节点;并对安全证书管理***进行域名访问配置,设定***域名为securitymanager.com。
当在边缘节点上部署了一个应用(假设为应用A)时,应用需要获取安全证书。
这里,应用获取安全证书的过程包括以下步骤:
步骤1:在云边集群中某边缘节点上部署应用A,并设定应用访问域名为:A.com;并在部署应用时引入集群中通用的安全管理模块代码,以供后续处理安全通信相关业务;
步骤2:应用A通过云端的安全证书管理***的应用程序接口(API,ApplicationProgramming Interface)发送请求,以调用安全证书管理***的权限管理模块为应用A进行注册;
基于上述***架构,如图6所示,本应用实施例中云端为应用注册的流程包括以下步骤:
步骤601:云端接收边缘节点发送的注册应用A的权限的请求;
这里,权限管理模块接收所述边缘节点发送的请求(具体为安全管理模块发送的请求)时,请求至少携带应用A的应用信息,便于云端基于应用信息来判断所述应用是否在云端已注册。
其中,所述应用信息可以包括:应用A的名称,应用类型等。
所述请求还可以包括应用A的访问域名信息。
实际应用时,所述请求携带的信息可以称为所述应用的权限数据。示例性地,当所述请求携带应用的访问域名信息和应用的应用信息时,所述应用的权限数据包括应用的访问域名信息和应用的应用信息。
示例性地,具体的请求信息如下所示:
请求方式:POST
API接口:http://securitymanager.com/authority
请求体格式:
{
"domain":"A.com"
"name":"A"
}
其中,A.com表示应用A的域名信息;“name”中的“A”表示应用A的名称。
步骤602:云端判断数据库中是否已有应用A的权限数据,如果有,则结束当前处理流程,如果没有,则执行步骤603;
这里,由于所述请求携带所述应用A的应用信息和访问域名信息,权限管理模块可以利用请求携带的信息在数据库中查找是否有应用A的权限数据,即对应用A的权限数据进行核验,以判断应用A是否已注册,如果存在,则向边缘节点反馈应用A已注册的信息,并结束当前流程,即执行步骤604,如果不存在,则执行步骤603。
步骤603:在安全证书管理***中对该应用进行权限注册,并将应用A的应用信息和访问域名信息存储至数据库;
这里,权限管理模块根据请求信息生成权限数据,格式为{A.com,<应用信息>}。
步骤604:结束当前处理流程。
本应用实施例中,边缘节点的应用在云端注册后,云端(具体为证书签发模块)需要为已注册的应用签发安全证书。
具体地,如图7所示,本应用实施例云端为应用签发安全证书的流程包括以下步骤:
步骤701:判断应用A是否已在云端注册,如果已注册,则执行步骤702,如果未注册,则执行步骤704;
这里,证书签发模块通过在数据库中查看数据库中是否已有应用A的权限数据,来判断应用A是否已经注册;具体地,如果存在应用A的权限数据,说明应用A已经在云端注册,如果不存在应用A的权限,则说明应用A未注册。
步骤702:为应用A签发安全证书,之后执行步骤703;
步骤703:将应用A的安全证书存储至数据库;
这里,证书签发模块将应用A的应用信息与对应的安全证书相关联,并存储至数据库,以便于云端根据所述应用信息查找对应的安全证书,将所述安全证书反馈至边缘节点。
步骤704:停止为应用A生成安全证书。
若所述应用未在云端注册,则停止为所述应用生成安全证书;另外,云端还可以将停止生成安全证书的消息发送至边缘节点,以便应用A能够获知。
步骤3:云端为应用A生成安全证书后,若应用A需要与其他边缘应用进行正常的安全通信,还需要将应用A的安全证书下载至本地,便于后续与其他应用通信时使用;
其中,应用通过云端的安全证书管理***的API发送证书下载请求,以调用安全证书管理***的证书下载模块下载应用A的安全证书;
示例性地,具体的API信息如下所示:
请求方式:POST
API接口:http://securitymanager.com/certificate
请求体格式:
{
"domain":"A.com"
"name":"A"
}
具体地,如图8所示,本应用实施例应用下载安全证书的流程,包括以下步骤:
步骤801:应用A通过边缘节点向云端发送证书下载请求;
具体地,安全管理模块向云端发送证书下载请求。
步骤802:云端接收到请求后,判断数据库中是否已有应用A的权限数据,如果有,则执行步骤803,如果没有,则执行步骤805;
这里,证书下载模块接收应用通过边缘节点发送的请求后,可以根据所述请求带的信息在数据库中查找是否有应用A的权限数据,即对应用A的权限数据进行核验,即判断应用A是否已注册;若判断结果为是,则执行步骤803;若判断结果为否,则执行步骤805。
步骤803:判断是否存在应用A的安全证书,如果存在,则执行步骤804,否则,执行步骤805;
这里,由于云端的数据库存储有应用A的应用信息与应用A的安全证书的关联数据,证书下载模块可以利用所述请求中携带的应用信息在所述数据库中查找对应的安全证书。若存在,则执行步骤804;若不存在,则执行步骤805。
步骤804:将应用A对应的安全证书反馈至边缘节点,之后执行步骤806;
这里,证书下载模块还将所述安全证书的有效期信息作为响应数据反馈给边缘节点;
步骤805:确定不能正确下载应用A的安全证书,之后执行步骤806;
这里,当证书下载模块确定不能正确下载应用A的安全证书时,可以将不能正确下载安全证书的消息发送至边缘节点,以通知边缘节点。
步骤806:结束当前处理流程。
在本应用实施例中,边缘节点的应用A接收到应用的安全证书和安全证书的有效期后,为了避免所述应用的安全证书过期,所述边缘节点的安全管理模块会定时扫描所述安全证书的有效期,在所述安全证书过期时及时向云端发起证书续签请求,通过与安全证书管理***的过期续签模块进行交互,来获取应用的新的安全证书和所述安全证书的有效期。也就是说,过期续签模块与边缘应用的安全管理模块相结合,提供应用证书过期后自动续签功能;具体地,当某个边缘应用的安全证书过期后,会向安全证书管理***发送请求,重新续签安全证书;安全证书管理***会判断如果该应用已经注册过权限,则重新签发一份新证书返回给边缘应用,同时覆盖***数据库中该应用已过期的老证书数据。
具体地,如图9所示,本应用实施例中边缘节点的应用获取新的安全证书的流程,包括以下步骤:
步骤901:定时扫描应用A的安全证书的有效期;
这里,边缘节点的安全管理模块可以以固定的时间间隔来扫描应用A的安全证书的使用时间,以检查应用的安全证书是否到期,其中,所述时间间隔可以设置为每天检测一次,也可以设置为每周检测一次,本应用实施例对安全证书的有效期的检测频率不作限定。
步骤902:判断应用A的安全证书是否已过期,如果已过期,执行步骤903,如果未过期,执行步骤906;
这里,安全管理模块根据应用的安全证书的有效期判断所述应用的安全证书是否已过期,如果是,执行步骤903,否则,步骤执行906;
步骤903:向云端发送续签安全证书的请求;
这里,安全管理模块通过所述安全证书管理***的API发送请求,调用过期续签模块为应用A签发新的安全证书。
示例性地,具体请求信息如下:
请求方式:POST
API接口:http://securitymanager.com/refreshCertificate
请求体格式:
{
"domain":"A.com"
"name":"A"
}
步骤904:接收应用A的新的安全证书,之后执行步骤905;
这里,安全管理模块下载新的安全证书的同时,还接收到新的安全证书的有效期。
实际应用时,安全管理模块接收到新的安全证书和有效期信息后,将所述新的安全证书和有效期存储至本地,具体地,将新的安全证书和有效期替换存储在本地相同路径下的已过期的安全证书和有效期。
步骤905:确定应用A拥有安全通信的能力;
若应用存在有效的安全证书,则应用可以基于安全证书与同样具有有效的安全证书的其他应用进行双向的安全证书验证,验证通过后,应用与其他应用间便可以建立安全通信通道,以进行加密访问、敏感数据传输等通信操作。
步骤906:确定应用A无法进行安全通信。
相应地,若应用没有接收到新的安全证书,则应用与其他应用就无法通过安全证书的双向验证,进而无法建立安全通信通道,实现通信安全。
步骤907:结束当前处理流程。
从上面的描述可以看出,本应用实施例中,在云端部署安全证书管理***,用来统一管理云边集群中所有应用间的安全通信,即集群中的应用需要相互访问,首先到安全证书管理***中进行权限注册,以获得安全访问其它应用的权限;接着,安全证书管理***会给注册过访问权限的应用自动签发安全证书,作为应用安全通信的认证工具;然后,应用会从安全证书管理***下载已经签发好的安全证书到本地,并在边缘节点的应用服务中增加安全管理模块,通过安全管理模块来统一处理安全访问相关业务。同时,为了使应用间通信安全性得到持续性保障,提供了证书过期自动续签功能,应用安全管理模块的定时任务一旦发现证书已到期,会立即从安全证书管理***获取新签发的证书。因此,安全管理模块用于处理应用涉及到的安全通信相关内容,实际应用时,可单独拆分为一个模块,与原有的应用业务模块互不冲突,它的主要功能包括:
1)向云端的安全证书管理***发送权限注册请求,使该应用具备在集群中进行安全通信的资格;
2)向云端的安全证书管理***发送证书下载请求,下载应用对应的安全证书到本地,以供和其它应用安全通信使用。
3)提供证书过期检查定时任务,比如每天扫描一次在本地的应用安全证书是否到期。如果已经到期,则向云端的安全证书管理***发送证书续签请求,获取该应用的新证书保存到本地,以保证应用的安全通信能力不受影响。
本申请实施例提供的技术方案,一方面,通过部署在云端节点中的安全证书管理***,可以对云边集群中的所有应用进行统一的安全访问注册管理、证书自动签发、下载,以及证书过期续签。本申请实施例提供的围绕着安全证书管理***的边缘计算场景中的应用安全通信方案,简单高效、架构清晰,可以有效保障云边应用之间进行安全通信。另一方面,边缘应用中的安全管理模块可适用于集群中的所有应用,安全管理模块具备向云端安全证书管理***注册权限、从管理***下载证书到本地、定时扫描本地证书是否过期等功能。应用的安全管理模块和部署在云端的安全证书管理***配合工作,能够充分满足云边集群中应用之间安全通信的场景。
与基于图1所示的技术方案相比,首先,本申请实施例聚焦于在应用维度上对边缘计算集群中安全通信的实现,实际使用需求更强烈。其次,本申请实施例能够完美地解决边缘节点之间的应用安全通信问题,能够有效地保障边缘应用之间的安全通信,真正做到了集群中所有边缘应用的无缝、全覆盖地安全通信。第三,本申请实施例在边缘应用代码中引入通用的安全管理模块,对应用涉及到的安全通信相关内容,如访问权限注册、证书下载、证书过期校验进行统一处理。这种方案易实现、效率高、对应用本身侵入性低,具有广泛地应用空间。
与通过设置防火墙进站和出站过滤规则实现安全通信的技术方案相比,本申请实施例通过部署在云端节点的安全证书管理***对集群中所有应用的安全通信进行统一管理,升级更新方便、可移植性强。同时,本申请实施例在云端节点部署安全证书管理***,统一管理访问权限和签发证书,并在应用间建立通信连接时,自动进行证书可用性校验。使得在初期配置完成后不需要运维人员再去配置各种访问控制规则,管理成本极低、更易维护、泛化能力更强。
为了实现本申请实施例的方案,本申请实施例还提供一种通信装置,设置在云端上,如图10所示,该装置包括:
第一接收单元1001,用于接收边缘节点发送的第一请求;所述第一请求用于请求为第一应用签发安全证书;
第一处理单元1002,用于在所述第一应用满足第一条件的情况下,响应所述第一请求,确定所述第一应用的安全证书;所述第一条件表征所述第一应用已在云端注册;
第一发送单元1003,用于向所述边缘节点反馈所述第一应用的安全证书;所述安全证书用于供所述第一应用与其他应用通信时使用。
这里,第一处理单元1002的向边缘节点反馈第一应用的安全证书的功能相当于应用实施例中证书下载模块的功能。
其中,在一实施例中,所述第一接收单元1001,还用于:
接收所述边缘节点发送的第二请求;所述第二请求用于请求在云端注册所述第一应用;所述第二请求至少携带所述第一应用的应用信息;
第一处理单元1002,还用于:
响应所述第二请求,生成所述第一应用的安全证书;
将所述应用信息与所述第一应用的安全证书进行关联;并将所述应用信息与所述第一应用的安全证书存储至数据库;
利用所述第一请求中携带的应用信息在所述数据库中查找对应的安全证书。
这里,第一处理单元1002的为第一应用在云端注册并生成安全证书的功能相当于应用实施例中注册管理模块和证书签发模块的功能。
在一实施例中,所述第一处理单元1002,还用于确定所述第一应用的安全证书时,确定所述第一应用的安全证书的有效期;
相应地,所述第一发送单元1003,用于向所述边缘节点反馈所述第一应用的安全证书和对应的有效期信息。
在一实施例中,所述第一接收单元1001,还用于:
接收所述边缘节点发送的第三请求;所述第三请求用于请求为所述第一应用签发新的安全证书;
所述第一处理单元1002,还用于:
在所述第一应用满足第一条件的情况下,响应所述第三请求,生成新的安全证书,并确定新的安全证书的有效期;
相应地,所述第一发送单元1003,还用于向所述边缘节点反馈所述第一应用的新的安全证书和对应的有效期信息。
这里,第一处理单元1002的为第一应用生成新的安全证书的功能相当于应用实施例中过期续签模块的功能。
实际应用时,所述第一接收单元1001、第一发送单元1003、可由通信装置中的通信接口实现;第一处理单元1002可由通信装置中的处理器实现。
为了实现本申请实施例边缘节点侧的方法,本申请实施例还提供了一种通信装置,设置在边缘节点上,如图11所示,该装置包括:
第二发送单元1101,用于向云端发送第一请求;所述第一请求用于请求为第一应用签发安全证书;
第二接收单元1102,用于接收所述云端反馈的所述第一应用的安全证书;所述安全证书用于供所述第一应用与其他应用通信时使用。
其中,在一实施例中,该装置还可以包括:
第二处理单元,用于确定所述第一应用的应用信息;
相应地,所述第二发送单元1101,还用于:
向所述云端发送第二请求;所述第二请求用于请求在云端注册所述第一应用;所述第二请求至少携带所述第一应用的应用信息;所述应用信息用于确定所述第一应用的安全证书。
在一实施例中,所述第二接收单元1102,还用于:
接收所述第一应用的安全证书的有效期信息;接收所述云端反馈的所述第一应用的新的安全证书和对应的有效期信息;
所述第二处理单元,还用于:
根据所述有效期信息确定所述第一应用的安全证书已过期;
所述第二发送单元1101,还用于:
向所述云端发送第三请求;所述第三请求用于请求为所述第一应用签发新的安全证书;
所述第二接收单元1102,还用于接收所述云端反馈的所述第一应用的新的安全证书和对应的有效期信息。
这里,通信装置的功能还相当于应用实施例中安全管理模块的功能。
实际应用时,所述第二发送单元1101、第二接收单元1102可由通信装置中的通信接口实现;所述第二处理单元可由通信装置中的处理器实现。
需要说明的是:上述实施例提供的通信装置在进行通信时,仅以上述各程序单元的划分进行举例说明,实际应用中,可以根据需要而将上述处理分配由不同的程序单元完成,即将装置的内部结构划分成不同的程序单元,以完成以上描述的全部或者部分处理。另外,上述实施例提供的通信装置与通信方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
基于上述程序模块的硬件实现,且为了实现本申请实施例云端侧的方法,本申请实施例还提供了一种云端,如图12所示,该云端1200包括:
第一通信接口1201,能够与边缘节点进行信息交互;
第一处理器1202,与所述第一通信接口1201连接,以实现与边缘节点进行信息交互,用于运行计算机程序时,执行上述云端侧一个或多个技术方案提供的方法;所述计算机程序存储在第一存储器1203上。
具体地,所述第一通信接口1201,用于接收边缘节点发送的第一请求;所述第一请求用于请求为第一应用签发安全证书;还用于向所述边缘节点反馈所述第一应用的安全证书;所述安全证书用于供所述第一应用与其他应用通信时使用。
所述第一处理器1202,用于在所述第一应用满足第一条件的情况下,响应所述第一请求,确定所述第一应用的安全证书;所述第一条件表征所述第一应用已在云端注册;
其中,在一实施例中,所述第一通信接口1201,还用于接收所述边缘节点发送的第二请求;所述第二请求用于请求在云端注册所述第一应用;所述第二请求至少携带所述第一应用的应用信息;
所述第一处理器1202,还用于响应所述第二请求,生成所述第一应用的安全证书;还用于将所述应用信息与所述第一应用的安全证书进行关联;并将所述应用信息与所述第一应用的安全证书存储至数据库;利用所述第一请求中携带的应用信息在所述数据库中查找对应的安全证书。
在一实施例中,所述第一通信接口1201,还用于确定所述第一应用的安全证书时,确定所述第一应用的安全证书的有效期;向所述边缘节点反馈所述第一应用的安全证书和对应的有效期信息。
在一实施例中,所述第一通信接口1201,还用于接收所述边缘节点发送的第三请求;所述第三请求用于请求为所述第一应用签发新的安全证书;
所述第一处理器1202,还用于在所述第一应用满足第一条件的情况下,响应所述第三请求,生成新的安全证书,并确定新的安全证书的有效期。
需要说明的是:第一处理器1202及第一通信接口1201的具体处理过程可参照上述方法理解。
当然,实际应用时,云端中的各个组件通过总线***1204耦合在一起。可理解,总线***1204用于实现这些组件之间的连接通信。总线***1204除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图12中将各种总线都标为总线***1204。
本申请实施例中的第一存储器1203用于存储各种类型的数据以支持云端1200的操作。这些数据的示例包括:用于在云端1200上操作的任何计算机程序。
上述本申请实施例揭示的方法可以应用于所述第一处理器1202,或者由所述第一处理器1202实现。所述第一处理器1202可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过所述第一处理器1202中的硬件的集成逻辑电路或者软件形式的指令完成。上述的所述第一处理器1202可以是通用处理器、数字信号处理器(DSP,Digital Signal Processor),或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。所述第一处理器1202可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于第一存储器1203,所述第一处理器1202读取第一存储器1203中的信息,结合其硬件完成前述方法的步骤。
在示例性实施例中,云端1200可以被一个或多个应用专用集成电路(ASIC,Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD,ProgrammableLogic Device)、复杂可编程逻辑器件(CPLD,Complex Programmable Logic Device)、现场可编程门阵列(FPGA,Field-Programmable Gate Array)、通用处理器、控制器、微控制器(MCU,Micro Controller Unit)、微处理器(Microprocessor)、或者其他电子元件实现,用于执行前述方法。
基于上述程序模块的硬件实现,且为了实现本申请实施例边缘节点侧的方法,本申请实施例还提供了一种边缘节点,如图13所示,该边缘节点1300包括:
第二通信接口1301,能够与云端进行信息交互;
第二处理器1302,与所述第二通信接口1301连接,以实现与云端进行信息交互,用于运行计算机程序时,执行上述边缘节点侧一个或多个技术方案提供的方法;所述计算机程序存储在第二存储器1303上。
具体地,所述第二通信接口1301,用于向云端发送第一请求;所述第一请求用于请求为第一应用签发安全证书;还用于接收所述云端反馈的所述第一应用的安全证书;所述安全证书用于供所述第一应用与其他应用通信时使用。
其中,在一实施例中,所述第二处理器1302,用于确定所述第一应用的应用信息;
所述第二通信接口1301,还用于向所述云端发送第二请求;所述第二请求用于请求在云端注册所述第一应用;所述第二请求至少携带所述第一应用的应用信息;所述应用信息用于确定所述第一应用的安全证书。
在一实施例中,所述第二通信接口1301,还用于接收所述第一应用的安全证书的有效期信息;还用于接收所述云端反馈的所述第一应用的新的安全证书和对应的有效期信息;
所述第二处理器1302,还用于向所述云端发送第三请求;所述第三请求用于请求为所述第一应用签发新的安全证书。
需要说明的是:所述第二处理器1302及第二通信接口1301的具体处理过程可参照上述方法理解。
当然,实际应用时,边缘节点中的各个组件通过总线***1304耦合在一起。可理解,总线***1304用于实现这些组件之间的连接通信。总线***1304除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图13中将各种总线都标为总线***1304。
本申请实施例中的第二存储器1303用于存储各种类型的数据以支持边缘节点1300的操作。这些数据的示例包括:用于在边缘节点1300上操作的任何计算机程序。
上述本申请实施例揭示的方法可以应用于所述第二处理器1302中,或者由所述第二处理器1302实现。所述第二处理器1302可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过所述第二处理器1302中的硬件的集成逻辑电路或者软件形式的指令完成。上述的所述第二处理器1302可以是通用处理器、DSP,或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。所述第二处理器1302可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于第二存储器1303,所述第二处理器1302读取第二存储器1303中的信息,结合其硬件完成前述方法的步骤。
在示例性实施例中,边缘节点1300可以被一个或多个ASIC、DSP、PLD、CPLD、FPGA、通用处理器、控制器、MCU、Microprocessor、或其他电子元件实现,用于执行前述方法。
为了实现本申请实施例提供的方法,本申请实施例还提供了一种通信***,如图14所示,该***包括:云端1401和边缘节点1402。
这里,需要说明的是:所述云端1401和边缘节点1402的具体处理过程已在上文详述,这里不再赘述。
在示例性实施例中,本申请实施例还提供了一种存储介质,即计算机存储介质,具体为计算机可读存储介质,例如包括存储计算机程序的第一存储器1203,上述计算机程序可由云端的第一处理器1202执行,以完成前述云端侧方法所述步骤,再比如包括存储计算机程序的第二存储器1303,上述计算机程序可由边缘节点的第二处理器1302执行,以完成前述边缘节点侧方法所述步骤。计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器。
需要说明的是:“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
另外,本申请实施例所记载的技术方案之间,在不冲突的情况下,可以任意组合。
以上所述,仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围,凡在本申请的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本申请的保护范围之内。

Claims (10)

1.一种通信方法,其特征在于,应用于云端,包括:
接收边缘节点发送的第一请求;所述第一请求用于请求为第一应用签发安全证书;
在所述第一应用满足第一条件的情况下,响应所述第一请求,确定所述第一应用的安全证书;所述第一条件表征所述第一应用已在云端注册;
向所述边缘节点反馈所述第一应用的安全证书;所述安全证书用于供所述第一应用与其他应用通信时使用。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收所述边缘节点发送的第二请求;所述第二请求用于请求在云端注册所述第一应用;所述第二请求至少携带所述第一应用的应用信息;
响应所述第二请求,生成所述第一应用的安全证书;
将所述应用信息与所述第一应用的安全证书进行关联;并将所述应用信息与所述第一应用的安全证书存储至数据库;
所述确定所述第一应用的安全证书,包括:
利用所述第一请求中携带的应用信息在所述数据库中查找对应的安全证书。
3.根据权利要求1或2所述的方法,其特征在于,确定所述第一应用的安全证书时,所述方法还包括:
确定所述第一应用的安全证书的有效期;
向所述边缘节点反馈所述第一应用的安全证书和对应的有效期信息。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
接收所述边缘节点发送的第三请求;所述第三请求用于请求为所述第一应用签发新的安全证书;
在所述第一应用满足第一条件的情况下,响应所述第三请求,生成新的安全证书,并确定新的安全证书的有效期;
向所述边缘节点反馈所述第一应用的新的安全证书和对应的有效期信息。
5.一种通信方法,其特征在于,应用于边缘节点,包括:
向云端发送第一请求;所述第一请求用于请求为第一应用签发安全证书;
接收所述云端反馈的所述第一应用的安全证书;所述安全证书用于供所述第一应用与其他应用通信时使用。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
确定所述第一应用的应用信息;
向所述云端发送第二请求;所述第二请求用于请求在云端注册所述第一应用;所述第二请求至少携带所述第一应用的应用信息;所述应用信息用于确定所述第一应用的安全证书。
7.根据权利要求5或6所述的方法,其特征在于,接收所述云端反馈的所述第一应用的安全证书时,所述方法还包括:
接收所述第一应用的安全证书的有效期信息;
根据所述有效期信息确定所述第一应用的安全证书已过期时,向所述云端发送第三请求;所述第三请求用于请求为所述第一应用签发新的安全证书;
接收所述云端反馈的所述第一应用的新的安全证书和对应的有效期信息。
8.一种云端,其特征在于,包括:第一处理器和用于存储能够在处理器上运行的计算机程序的第一存储器,
其中,所述第一处理器用于运行所述计算机程序时,执行权利要求1至4任一项所述方法的步骤。
9.一种边缘节点,其特征在于,包括:第二处理器和用于存储能够在处理器上运行的计算机程序的第二存储器,
其中,所述第二处理器用于运行所述计算机程序时,执行权利要求5至7任一项所述方法的步骤。
10.一种存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至4任一项所述方法的步骤,或者实现权利要求5至7任一项所述方法的步骤。
CN202110546669.0A 2021-05-19 2021-05-19 通信方法、相关设备和存储介质 Pending CN115396129A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110546669.0A CN115396129A (zh) 2021-05-19 2021-05-19 通信方法、相关设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110546669.0A CN115396129A (zh) 2021-05-19 2021-05-19 通信方法、相关设备和存储介质

Publications (1)

Publication Number Publication Date
CN115396129A true CN115396129A (zh) 2022-11-25

Family

ID=84113960

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110546669.0A Pending CN115396129A (zh) 2021-05-19 2021-05-19 通信方法、相关设备和存储介质

Country Status (1)

Country Link
CN (1) CN115396129A (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170257345A1 (en) * 2016-03-01 2017-09-07 Ford Global Technologies, Llc Secure tunneling for connected application security
CN111756549A (zh) * 2020-06-23 2020-10-09 重庆长安汽车股份有限公司 一种数字证书的颁发***及方法
CN112035215A (zh) * 2020-08-31 2020-12-04 腾讯科技(深圳)有限公司 节点集群的节点自治方法、***、装置及电子设备
CN112202567A (zh) * 2020-09-30 2021-01-08 北京百度网讯科技有限公司 一种证书发送方法、证书发送方法、云端以及终端设备

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170257345A1 (en) * 2016-03-01 2017-09-07 Ford Global Technologies, Llc Secure tunneling for connected application security
CN111756549A (zh) * 2020-06-23 2020-10-09 重庆长安汽车股份有限公司 一种数字证书的颁发***及方法
CN112035215A (zh) * 2020-08-31 2020-12-04 腾讯科技(深圳)有限公司 节点集群的节点自治方法、***、装置及电子设备
CN112202567A (zh) * 2020-09-30 2021-01-08 北京百度网讯科技有限公司 一种证书发送方法、证书发送方法、云端以及终端设备

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
李国旗;王峥;张进;岳汝峰;: "电网边缘计算安全防护", 中国科技信息, no. 15, 1 August 2020 (2020-08-01) *
沈海波;陈勇昌;: "联邦物联网中的认证机制研究", 计算机工程, no. 09, 15 September 2016 (2016-09-15) *

Similar Documents

Publication Publication Date Title
CN110266764B (zh) 基于网关的内部服务调用方法、装置及终端设备
CN112866177A (zh) 处理服务调用请求的方法、装置、存储介质及计算机设备
CN111478955B (zh) 微服务注册方法、***、装置和计算机可读存储介质
CN110677383B (zh) 防火墙开墙方法、装置、存储介质及计算机设备
CN111880919B (zh) 数据调度方法、***和计算机设备
CN111240862A (zh) 一种通用接口平台以及数据转换方法
CN113872940A (zh) 基于NC-Link的访问控制方法、装置及设备
CN112862487A (zh) 一种数字证书认证方法、设备及存储介质
CN112702336A (zh) 政务服务的安全控制方法、装置、安全网关及存储介质
CN110780915B (zh) 一种数据处理方法、装置和存储介质
CN102393887B (zh) 基于lsm基制的应用集中管理***及方法
CN111327619A (zh) 一种微服务数据交换方法和装置
CN115396129A (zh) 通信方法、相关设备和存储介质
CN112671844B (zh) 一种设备的注册方法及***
US11140001B2 (en) Method for providing data packets from a CAN bus, control device and system having a CAN bus
CN110266476A (zh) ***验签方法、服务器及计算机可读存储介质
CN112219416A (zh) 用于认证通过蜂窝网络传输的数据的技术
CN111767524B (zh) 权限管理方法、装置、***、服务器及介质
CN114143048B (zh) 一种安全资源管理的方法、装置及存储介质
CN111212062B (zh) 信息补全的方法、装置、存储介质及电子设备
CN115297066A (zh) 一种资源动态协同方法、装置、服务器及介质
US10356581B2 (en) Login processing method and device of machine-to-machine/man communication terminal equipment
CN117082039A (zh) 一种媒体流筛选的方法及相关装置
CN113891303A (zh) 一种ip地址改变信息获取方法及装置
CN116346469A (zh) 数据传输方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination