CN117527276A - 设备入网方法、服务器、终端、介质及电子设备 - Google Patents

设备入网方法、服务器、终端、介质及电子设备 Download PDF

Info

Publication number
CN117527276A
CN117527276A CN202210900888.9A CN202210900888A CN117527276A CN 117527276 A CN117527276 A CN 117527276A CN 202210900888 A CN202210900888 A CN 202210900888A CN 117527276 A CN117527276 A CN 117527276A
Authority
CN
China
Prior art keywords
certificate
server
information
terminal equipment
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210900888.9A
Other languages
English (en)
Inventor
王爱宝
徐勇
高加盟
郭帅旗
王艳伟
王凯平
常青超
聂乐乐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN202210900888.9A priority Critical patent/CN117527276A/zh
Publication of CN117527276A publication Critical patent/CN117527276A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开提供了一种设备入网方法、服务器、终端、介质及电子设备,涉及通信技术领域。该方法应用于服务器,包括:接收第三方对终端设备的注册请求;响应于接收到注册请求,生成终端设备的通信链路信息、终端设备的第一证书颁发机构CA证书和第一私钥以及服务器的第二CA证书和第二私钥;响应于注册完成,向终端设备发送通信链路信息、第一CA证书和第一私钥;接收连接请求;响应于连接请求,基于与设备信息关联的第二CA证书对终端设备执行双向验证;根据双向验证结果,基于第二私钥与终端设备建立加密通道;以及基于加密通道向终端设备发送入网配置信息。本公开提高了设备入网的安全性。

Description

设备入网方法、服务器、终端、介质及电子设备
技术领域
本公开涉及通信技术领域,尤其涉及一种设备入网方法、服务器、终端、计算机可读存储介质及电子设备。
背景技术
随着网络攻击形势的日益严峻,攻击手段多种多样,针对网络层的攻击越来越多。通信设备安全性至关重要,设备接入网络时,通常默认安全,但攻击者往往可以伪造通信设备,非法劫持或篡改流量。
因此,如何从源头控制设备出产及部署过程,保证入网通信设备的身份唯一性,从而避免数据泄露,是本领域技术人员亟须解决的技术问题。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本公开的目的在于提供一种设备入网方法、服务器、终端、介质及电子设备,以至少解决相关技术中由于数据泄露导致设备入网安全性较低的技术问题。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
本公开的技术方案如下:
根据本公开的一个方面,提供一种设备入网方法,该方法应用于服务器,包括:接收第三方对终端设备的注册请求,第三方用于在服务器上注册终端设备,注册请求包括终端设备的设备信息和入网配置信息;响应于接收到注册请求,生成终端设备的通信链路信息、终端设备的第一证书颁发机构CA证书和第一私钥以及服务器的第二CA证书和第二私钥,并将设备信息、入网配置信息以及终端设备的第一CA证书和第一私钥以及服务器的第二CA证书和第二私钥进行关联存储以完成注册;响应于注册完成,向终端设备发送通信链路信息、第一CA证书和第一私钥;接收终端设备基于通信链路信息发送的连接请求,连接请求包括设备信息;响应于连接请求,基于与设备信息关联的第二CA证书对终端设备执行双向验证;根据双向验证结果,基于第二私钥与终端设备建立加密通道;以及基于加密通道向终端设备发送入网配置信息以完成终端设备的网络连接。
在本公开的一些实施例中,响应于连接请求,基于设备信息关联的第二CA证书对终端设备执行双向验证包括:获取终端设备的设备信息;验证设备信息;若设备信息通过验证,则向终端设备发送第二CA证书;接收终端设备响应于第二CA证书通过验证后发送的第一CA证书;以及验证第一CA证书。
在本公开的一些实施例中,其中加密通道还包括对称加密通道,则根据双向验证结果,基于第二私钥与终端设备建立加密通道包括:若双向验证结果为通过,则获取终端设备发送的加密后的对称密钥,加密后的对称密钥是使用第二CA证书中的第二公钥加密的;使用第二私钥对加密后的对称密钥进行解密以获得对称密钥;以及使用对称密钥建立对称加密通道。
在本公开的一些实施例中,根据双向验证结果,基于第二私钥与终端设备建立加密通道之后包括:建立终端设备列表;根据双向验证的结果,将终端设备的设备信息添加到终端设备列表中;向接入网络的其他终端设备发送终端设备列表,以使其他终端设备接收到终端设备数据请求时根据终端设备列表处理数据请求。
根据本公开的又一个方面,提供一种设备入网方法,应用于终端设备,包括:接收服务器响应于第三方对终端设备的注册完成发送的通信链路信息、第一证书颁发机构CA证书和第一私钥;基于通信链路信息向服务器发送连接请求,连接请求包括终端设备的设备信息;基于设备信息和第一CA证书对服务器执行双向验证;根据双向验证结果,基于第一私钥与服务器建立加密通道;以及基于加密通道接收服务器发送的入网配置信息以根据入网配置信息连接网络。
在本公开的一些实施例中,基于设备信息和第一CA证书对服务器执行双向验证包括:接收服务器响应于设备信息通过验证发送的第二CA证书;对第二CA证书进行验证;若第二CA证书通过验证,则向服务器发送第一CA证书以使服务器验证第一CA证书。
在本公开的一些实施例中,对第二CA证书进行验证还可以包括:对第二CA证书中的证书所有者信息、有效期信息进行校验;和/或根据第一CA证书与第二CA证书中的颁发机构CA比对以校验证书是否为合法机构颁发。
在本公开的一些实施例中,加密通道包括对称加密通道,则根据双向验证结果,基于第一私钥与服务器建立加密通道包括:生成对称密钥;使用第二CA证书中的第二公钥对对称密钥进行加密;将加密后的对称密钥发送至服务器以使服务器基于第二私钥解密对称密钥,以基于对称密钥与终端设备建立对称加密通道。
根据本公开的又一个方面,提供一种服务器,该服务器包括:注册请求接收模块,用于接收第三方对终端设备的注册请求,第三方用于在服务器注册终端设备,注册请求包括终端设备的设备信息和入网配置信息;注册模块,用于响应于接收到注册请求,生成终端设备的通信链路信息、终端设备的第一证书颁发机构CA证书和第一私钥以及服务器的第二CA证书和第二私钥,并将设备信息、入网配置信息以及终端设备的第一CA证书和第一私钥以及服务器的第二CA证书和第二私钥进行关联存储以完成注册;注册信息发送模块,用于响应于注册完成,向终端设备发送通信链路信息、第一CA证书和第一私钥;连接请求接收模块,用于接收终端设备基于通信链路信息发送的连接请求,连接请求包括设备信息;第一双向验证模块,用于响应于连接请求,基于与设备信息关联的第二CA证书对终端设备执行双向验证;第一通道建立模块,用于根据双向验证结果,基于第二私钥与终端设备建立加密通道;以及配置信息发送模块,用于基于加密通道向终端设备发送入网配置信息以完成终端设备的网络连接。
根据本公开的又一个方面,提供一种终端设备,该终端设备包括:注册信息接收模块,用于接收服务器响应于第三方对终端设备的注册完成发送的通信链路信息、第一证书颁发机构CA证书和第一私钥;连接请求发送模块,用于基于通信链路信息向服务器发送连接请求,连接请求包括终端设备的设备信息;第二双向验证模块,用于基于设备信息和第一CA证书对服务器执行双向验证;第二通道建立模块,用于根据双向验证结果,基于第一私钥与服务器建立加密通道;配置信息接收模块,用于基于加密通道接收服务器发送的入网配置信息以根据入网配置信息连接网络。
根据本公开的再一个方面,提供一种电子设备,包括:处理器;以及存储器,用于存储所述处理器的可执行指令;其中,所述处理器配置为经由执行所述可执行指令来执行上述的设备入网方法。
根据本公开的又一个方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述的设备入网方法。
本公开的实施例所提供的一种设备入网方法,相比于现有技术在设备注册时,将入网配置信息直接部署到终端设备的方法,本公开通过将入网配置信息存储于认证服务器中,待终端请求入网时再下发给终端进行接入,防止了终端设备在入网前被伪造、篡改,避免社会工程学攻击,从而避免了因为敏感数据下沉给终端设备导致的数据泄露等问题。
并且,本申请在终端设备入网前还校验入网设备合法性的设备入网方法,解决了设备入网时的身份校验问题,保证了网络设备在网络中的安全可控、可信、可追溯。
进一步地,本申请通过双向验证的方法,既校验终端设备的身份信息,又验证执行网络接入的认证服务器的身份,保证了网络接入设备的身份唯一,最大限度的提高了网络的安全性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出本公开实施例中设备入网方法的示例性***结构的示意图。
图2示出本公开实施例中一种由服务器执行的设备入网方法的流程图。
图3示出本公开实施例中一种由服务器执行的设备入网方法中的与终端设备执行双向验证的流程图。
图4示出本公开实施例中一种由服务器执行的设备入网方法中的与终端设备建立对称加密通道的流程图。
图5示出本公开实施例中一种由终端设备执行的设备入网方法的流程图。
图6示出本公开实施例中一种由终端设备执行的设备入网方法中与服务器执行双向验证的流程图。
图7示出本公开实施例中一种由终端设备执行的设备入网方法中的与服务器建立对称加密通道的流程图。
图8A示出本公开实施例中一种设备入网方法的交互示意图。
图8B示出本公开实施例中一种设备入网方法中服务器和终端设备执行双向验证的交互示意图。
图9示出本公开实施例中一种执行设备入网方法的服务器示意图。
图10示出本公开实施例中一种执行设备入网方法的终端设备示意图。和
图11示出本公开实施例中一种执行设备入网方法的计算机设备的结构框图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。
此外,附图仅为本公开的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本公开的描述中,“多个”的含义是至少两个,例如两个、三个等,除非另有明确具体的限定。
针对上述相关技术中存在的技术问题,本公开实施例提供了一种设备入网方法,以用于至少解决上述技术问题中的一个或全部。
图1示出本公开实施例中设备入网方法的示例性***结构的示意图。
如图1所示,***架构100可以包括终端设备120,通讯网络130和服务器140。网络130用以在终端设备120和服务器140之间提供通信链路的介质。网络130可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
可选的,上述的无线网络或有线网络使用标准通信技术和/或协议。网络通常为因特网、但也可以是任何网络,包括但不限于局域网(Local Area Network,LAN)、城域网(Metropolitan Area Network,MAN)、广域网(Wide Area Network,WAN)、移动、有线或者无线网络、专用网络或者虚拟专用网络的任何组合)。在一些实施例中,使用包括超文本标记语言(Hyper Text Mark-up Language,HTML)、可扩展标记语言(ExtensibleMarkupLanguage,XML)等的技术和/或格式来代表通过网络交换的数据。此外还可以使用诸如安全套接字层(Secure Socket Layer,SSL)、传输层安全(Transport Layer Security,TLS)、虚拟专用网络(Virtual Private Network,VPN)、网际协议安全(InternetProtocolSecurity,Ipsec)等常规加密技术来加密所有或者一些链路。在另一些实施例中,还可以使用定制和/或专用数据通信技术取代或者补充上述数据通信技术。
终端120可以是手机、游戏主机、平板电脑、电子书阅读器、智能眼镜、MP4(MovingPicture Experts Group Audio Layer IV,动态影像专家压缩标准音频层面4)播放器、智能家居设备、AR(Augmented Reality,增强现实)设备、VR(Virtual Reality,虚拟现实)设备等移动终端,或者,终端120也可以是个人计算机(Personal Computer,PC),比如膝上型便携计算机和台式计算机等等。
其中,终端120可以执行本申请所述的设备入网方法,终端120还可以是用于将终端120注册在服务器上的第三方设备。
服务器140可以包括若干台服务器,或者是一个虚拟化平台,或者是一个云计算服务中心。服务器140可以是提供各种服务的服务器,其中,可以包括辅助终端120执行设备入网的第三方设备,该第三方设备用于将终端设备的信息注册至认证服务器140;还可以包括用于存储完成注册的终端120的设备信息;还可以包括执行设备入网方法的认证服务器,认证服务器负责对终端120进行身份验证以建立与终端120的网络连接。
应该理解,图1中的终端设备120、网络130和服务器140的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
需要指出的是,本申请实施例中涉及的名词或术语可以相互参考,不再赘述。
下面,将结合附图及实施例对本示例实施方式中的设备入网方法中的各个步骤进行更详细的说明。
图2示出本公开实施例中一种由服务器执行的设备入网方法的流程图。本公开实施例提供的方法可以由执行设备入网的认证服务器执行,例如图1中的服务器140。在下面的举例说明中,以图1中的服务器140为执行网络接入的主体进行示例说明。
如图2所示,方法200可以包括以下步骤:
在步骤S210中,接收第三方对终端设备的注册请求,第三方用于在服务器上注册终端设备,注册请求包括终端设备的设备信息和入网配置信息。
其中,第三方可以是用于注册终端设备的另一个独立的终端设备或者另一个独立的服务器。第三方与终端设备默认是相互连接的。
其中,终端设备的设备信息可以包括但不限于设备ID、产品型号、中央处理单元ID(Central Processing Unit Identity,CPU ID)、第三方设备ID。其中,设备ID为厂商唯一识别号,具有统一格式。
其中,入网配置信息是指设备在接入网络后,完成常规功能所需的***配置及业务策略,例如基于操作***、设备类型、或网络地址生成的访问控制策略。
其中,第三方独立于终端设备的原因是避免入网配置信息在注册提前下沉至终端侧造成的终端设备在入网前被伪造、篡改的问题。
在步骤S220中,响应于接收到注册请求,生成终端设备的通信链路信息、终端设备的第一证书颁发机构(Certificate Authority,CA)证书和第一私钥以及服务器的第二CA证书和第二私钥,并将设备信息、入网配置信息以及终端设备的第一CA证书和第一私钥以及服务器的第二CA证书和第二私钥进行关联存储以完成注册。
其中,通信链路信息包括该认证服务器的代理服务器的网络协议(InternetProtocol,IP)地址及路由信息,该路由信息仅支持访问该代理服务器。
在步骤S230中,响应于注册完成,向终端设备发送通信链路信息、第一CA证书和第一私钥。
其中,认证服务器通过第三方向终端设备发送通信链路信息、第一CA证书和第一私钥。
在步骤S240中,接收终端设备基于通信链路信息发送的连接请求,连接请求包括设备信息。
其中,终端设备根据通信链路信息中的代理服务器IP地址和路由信息连接该代理服务器,并向代理服务器发送网络连接请求。其中,该代理服务器与认证服务器默认是互相连接的。
在步骤S250中,响应于连接请求,基于与设备信息关联的第二CA证书对终端设备执行双向验证。
其中,双向验证包括认证服务器和终端设备的互相认证。认证服务器根据连接请求中的设备信息查询到与设备信息相关联的第二CA证书以用于验证。
在步骤S260中,根据双向验证结果,基于第二私钥与终端设备建立加密通道。
其中,双向验证结果包括通过和不通过;其中,结果通过是指终端设备和认证服务器均验证通过的情况;结果不通过是指终端设备和/或认证服务器验证不通过的情况。
其中,加密通道是终端设备与认证服务器连接实现网络接入所需要的传输加密数据的连接通道。也即是,在网络接入过程中,认证服务器与终端设备之间通过加密通道传输的数据,在传输过程中是以密文的形式传输的,具体地,由认证服务器接收终端设备使用第二CA证书中的公钥进行加密的数据,并使用第二私钥进行解密以获得该数据,保证了网络数据传输的安全性,使网络连接更可靠。
在步骤S270中,基于加密通道向终端设备发送入网配置信息以完成终端设备的网络连接。
其中,认证服务器使用第一CA证书中的公钥加密入网配置信息发送给终端设备,以使终端设备使用第一私钥得到该入网配置信息,并载入该入网配置信息以接入网络。
相比于现有技术在设备注册时,将入网配置信息直接部署到终端设备的方法,本公开通过将入网配置信息存储于认证服务器中,待终端请求入网时再下发给终端进行接入,防止了终端设备在入网前被伪造、篡改,避免社会工程学攻击,从而避免了因为敏感数据下沉给终端设备导致的数据泄露等问题。
并且,本申请在终端设备入网前还校验入网设备合法性的设备入网方法,解决了设备入网时的身份校验问题,保证了网络设备在网络中的安全可控、可信、可追溯。
进一步地,本申请通过双向验证的方法,既校验终端设备的身份信息,又验证执行网络接入的认证服务器的身份,保证了网络接入设备的身份唯一,最大限度的提高了网络的安全性。
图3示出本公开实施例中一种由服务器执行的设备入网方法中的与终端设备执行双向验证的流程图。如图3所示,该方法300包括:
在步骤S310中,获取终端设备的设备信息。
其中,该设备信息从终端设备发送的连接请求中获取。
其中,终端设备的设备信息可以包括但不限于设备ID、产品型号、中央处理单元ID(Central Processing Unit Identity,CPU ID)、第三方设备ID。其中,设备ID为厂商唯一识别号,具有统一格式。其中,上述信息的一种或多种均是用于指示唯一设备的身份信息。
在步骤S320中,验证设备信息。
其中,验证设备信息的方法可以包括查询该终端设备是否进行过注册。具体地,若认证服务器中存在与设备信息关联存储的注册信息,其中该注册信息包括该终端设备的入网配置信息以及认证服务器响应于接收到注册请求生成的第一CA证书和第一私钥以及第二CA证书和第二私钥,则证明该终端设备已经完成注册,验证结果通过;若未查询到相关联的注册信息,则证明该终端设备未完成注册,验证结果不通过。
在步骤S330中,若设备信息通过验证,则向终端设备发送第二CA证书。
其中,若认证服务器判断该终端设备执行过注册,则认证服务器将与设备信息关联的第二CA证书发送至终端设备进行验证;若认证服务器判断该设备信息未执行过注册,则提前结束此次双向认证过程。
在步骤S340中,接收终端设备响应于第二CA证书通过验证后发送的第一CA证书。
在步骤S350中,验证第一CA证书。
其中,认证服务器可以使用根证书验证该第一CA证书,其中,根证书用于指示该第一CA证书是否是由该认证服务器颁发的。若该第一CA证书的颁发机构CA是由该认证服务器颁发的,则认证服务器对该终端设备的验证通过;否则,验证不通过。
本公开实施例相对于现有技术中由终端设备直接发送CA证书到服务器端进行单向验证的方法,通过双向认证的手段提高了设备入网的安全性。
图4示出本公开实施例中一种由服务器执行的设备入网方法中的与终端设备建立对称加密通道的流程图。如图4所示,方法400可以包括以下步骤:
在步骤S410中,若双向验证结果为通过,则获取终端设备发送的加密后的对称密钥,加密后的对称密钥是使用第二CA证书中的第二公钥加密的。
其中,第二CA证书是由服务器在执行双向验证时发送给终端设备的。
其中,对称密钥可以是一个随机数。
在步骤S420中,使用第二私钥对加密后的对称密钥进行解密以获得对称密钥。
在本公开的一些实施例中,认证服务器用第二私钥解密得到该随机数。
在步骤S430中,使用对称密钥建立对称加密通道。
在本公开的一些实施例中,认证服务器用随机数作为对称密钥加密终端设备请求的数据,以使终端设备收到密文后可以使用本地保存的随机数解密得到认证服务器返回的数据。
本公开实施例通过使用非对称加密建立终端设备和认证服务器之间的对称加密通道,从而在保证网络接入可靠性的基础上,大大提高了数据传输的效率。
在本公开的一些实施例中,根据双向验证结果,基于第二私钥与终端设备建立加密通道之后还可以包括:建立终端设备列表;根据双向验证的结果,将终端设备的设备信息添加到终端设备列表中;向接入网络的其他终端设备发送终端设备列表,以使其他终端设备接收到终端设备数据请求时根据终端设备列表处理数据请求。
在本公开的一些实施例中,终端设备列表可以包括白名单。认证服务器将通过双向验证的终端设备信息添加到白名单中,并向接入网络的其他终端设备发送该白名单,以与其他终端设备建立数据连接。
在本公开的一些实施例中,终端设备列表还可以包括黑名单。认证服务器将未通过双向验证的终端设备信息添加到黑名单中,并向接入网络的其他终端设备发送该黑名单,则该终端设备发送的所有数据请求消息均会被自动屏蔽。
通过本公开实施例的方法对入网设备进行识别、管控,实现入网设备的黑白名单的分类管控,可以将验证通过的入网设备设置为白名单,实现入网设备的正常通信;还可以将验证未通过的入网设备设置未黑名单,实现非法设备不能入网,能够有效阻止非法网络设备恶意窃取或篡改流量,保证只有可信的设备接入网络。
图5示出本公开实施例中一种由终端设备执行的设备入网方法的流程图。该方法500与图2中的方法200相对应。如图5所示,该方法500可以包括以下步骤:
在步骤S510中,接收服务器响应于第三方对终端设备的注册完成发送的通信链路信息、第一证书颁发机构CA证书和第一私钥。
其中,服务器为认证服务器,负责对终端设备进行身份验证,建立终端的网络连接。
其中,第三方可以是一个独立的终端设备也可以是一个独立的服务器,用于将终端设备的设备信息注册至认证服务器。其中,第三方与终端设备默认是相互连接的。在本公开的一些实施例中,终端设备通过第三方接收由认证服务器发送的上述通信链路信息、第一CA证书和第一私钥。
其中,通信链路信息包括该认证服务器的代理服务器的IP地址及路由信息,该路由信息仅支持访问该代理服务器。认证服务器和代理服务器默认是连接的。
其中,第一CA证书和第一私钥是由认证服务器响应于终端设备的注册而生成的。
在步骤S520中,基于通信链路信息向服务器发送连接请求,连接请求包括终端设备的设备信息。
其中,终端设备通过代理服务器向认证服务器发送连接请求。
其中,设备信息代表终端设备的唯一性,可以包括但不限于设备ID、产品型号、中央处理单元ID(Central Processing Unit Identity,CPU ID)、第三方设备ID。其中,设备ID为厂商唯一识别号,具有统一格式。
在步骤S530中,基于设备信息和第一CA证书对服务器执行双向验证。
其中,双向验证包括终端设备与认证服务器的互相认证。在本公开的一些实施例中,终端设备分别向代理服务器发送设备信息以及自己的CA证书以用于与认证服务器执行互相认证。
在步骤S540中,根据双向验证结果,基于第一私钥与服务器建立加密通道。
其中,双向验证结果与图2中的步骤S260类似,在此不再赘述。
其中,终端使用第二CA证书中的公钥对数据进行加密,由认证服务器使用第二私钥进行解密以获得该数据,保证了网络数据传输的安全性,使网络连接更可靠。
在步骤S550中,基于加密通道接收服务器发送的入网配置信息以根据入网配置信息连接网络。
其中,终端设备接收认证服务器发送的使用第一CA证书进行加密的入网配置信息,并使用第一私钥进行解密以获得并载入该入网配置信息,从而接入网络。
相比于现有技术由终端设备在执行完设备注册后,根据注册时获得的入网配置信息直接执行入网的方法,本公开方法中的终端设备在入网连接时获得入网配置信息从而进行网络接入,可以有效防止终端设备在入网前被伪造、篡改,避免社会工程学攻击,从而避免了因为敏感数据下沉给终端设备导致的数据泄露等问题。
并且,本申请在终端设备入网前还校验入网设备合法性的设备入网方法,解决了设备入网时的身份校验问题,保证了网络设备在网络中的安全可控、可信、可追溯。
进一步地,本申请通过双向验证的方法,既校验终端设备的身份信息,又验证执行网络接入的认证服务器的身份,保证了网络接入设备的身份唯一,最大限度的提高了网络的安全性。
图6示出本公开实施例中一种由终端设备执行的设备入网方法中与服务器执行双向验证的流程图。该方法600与图3中的方法300相对应。
在步骤S610中,接收服务器响应于设备信息通过验证发送的第二CA证书。
其中,设备信息通过验证的情况可以包括服务器查询到该终端设备执行过注册的信息,即查询到与该设备信息相关联的入网配置信息以及终端设备的第一CA证书和第一私钥以及第二CA证书和第二私钥。
在步骤S620中,对第二CA证书进行验证。
其中,终端设备对第二CA证书进行验证的方法可以包括但不限于对第二CA证书中的证书所有者信息、有效期信息进行校验;和/或根据第一CA证书与第二CA证书中的颁发机构CA比对以校验证书是否为合法机构颁发。
在步骤S630中,若第二CA证书通过验证,则向服务器发送第一CA证书以使服务器验证第一CA证书。
在本公开的一些实施例中,第二CA证书通过验证的情况可以包括但不限于第二CA证书中的证书所有者为该认证服务器;和/或第二CA证书的有效期尚未失效;和/或第二CA证书的颁发机构与第一CA证书的颁发机构一致,则该第二CA证书通过验证;否则,该第二CA证书没有通过验证。在本公开的一些实施例中,若第二CA证书未通过验证,则终端停止双向认证,不再向服务器发送第一CA证书。
本公开实施例相对于现有技术中由终端设备直接发送CA证书到服务器端进行单向验证的方法,通过双向认证的手段提高了设备入网的安全性。
图7示出本公开实施例中一种由终端设备执行的设备入网方法中的与服务器建立对称加密通道的流程图。方法700与图4中的方法400对应,如图7所示,该方法700可以包括以下步骤:
在步骤S710中,生成对称密钥。
在步骤S720中,使用第二CA证书中的第二公钥对对称密钥进行加密。
在步骤S730中,将加密后的对称密钥发送至服务器以使服务器基于第二私钥解密对称密钥,以基于对称密钥与终端设备建立对称加密通道。
在本公开的一些实施例中,终端设备在执行双向验证过程中获取服务器的第二CA证书后,会生成一个随机数作为对称密钥,并用该第二CA证书中的第二公钥加密该随机数,然后发送给认证服务器,从而使认证服务器基于该对称密钥与终端设备交换数据。
本公开实施例通过使用非对称加密建立终端设备和认证服务器之间的对称加密通道,从而在保证网络接入可靠性的基础上,大大提高了数据传输的效率。
图8A示出本公开实施例中一种设备入网方法的交互示意图。如图8A所示,方法800包括:终端设备800a的注册阶段和入网阶段。
其中,注册阶段可以包括以下步骤:
在步骤S802中,由与终端设备800a连接的第三方800b向服务器800c发送注册请求。
在步骤S804中,由服务器800c生成终端设备800a的通信链路信息、终端设备800a的第一CA证书和第一私钥以及服务器800c的第二CA证书和第二私钥,并关联存储。
在步骤S806中,由服务器800c通过第三方800b向终端设备800a发送通信链路信息、第一CA证书和第一私钥。
其中,入网阶段可以包括以下步骤:
在步骤S808中,由终端设备800a基于通信链路信息向服务器800c发送连接请求,其中连接请求包括设备信息。
在步骤S810中,由服务器800c响应于连接请求,基于与设备信息关联的第二CA证书对终端设备800a执行双向验证。
在步骤S812中,根据双向验证结果,基于第二私钥与终端设备800a建立加密通道。
在步骤S814中,由服务器800c基于加密通道向终端设备800a发送入网配置信息以完成终端设备800a的网络连接。
在本公开的一些实施例中,步骤S810还可以如图8B所示的交互过程,以图8B为例,示出了本公开实施例中一种设备入网方法中服务器800c和终端设备800a执行双向验证的交互示意图。
如图8B所示,该方法可以包括以下步骤:
在步骤S8102中,由服务器800c验证终端设备800a发送的设备信息。
在步骤S8104中,若设备信息通过验证,则由服务器800c向终端设备800a发送第二CA证书。
在步骤S8106中,由终端设备800a对第二CA证书进行验证。
在步骤S8108中,若第二CA证书通过验证,则终端设备800a向服务器800c发送第一CA证书。
在步骤S8110中,由服务器800c验证由终端设备800a发送的第一CA证书。
关于上述实施例中的终端设备800a、第三方800b和服务器800c,其中执行各个步骤的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
需要注意的是,上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
图9示出本公开实施例中一种执行设备入网方法的服务器示意图。如图9所示,该服务器900可以包括以下模块:
注册请求接收模块910,用于接收第三方对终端设备的注册请求,第三方用于在服务器注册终端设备,注册请求包括终端设备的设备信息和入网配置信息;
注册模块920,用于响应于接收到注册请求,生成终端设备的通信链路信息、终端设备的第一证书颁发机构CA证书和第一私钥以及服务器的第二CA证书和第二私钥,并将设备信息、入网配置信息以及终端设备的第一CA证书和第一私钥以及服务器的第二CA证书和第二私钥进行关联存储以完成注册;
注册信息发送模块930,用于响应于注册完成,向终端设备发送通信链路信息、第一CA证书和第一私钥;
连接请求接收模块940,用于接收终端设备基于通信链路信息发送的连接请求,连接请求包括设备信息;
第一双向验证模块950,用于响应于连接请求,基于与设备信息关联的第二CA证书对终端设备执行双向验证;
第一通道建立模块960,用于根据双向验证结果,基于第二私钥与终端设备建立加密通道;以及
配置信息发送模块970,用于基于加密通道向终端设备发送入网配置信息以完成终端设备的网络连接。
在本公开的一些实施例中,第一双向验证模块950还可以用于获取终端设备的设备信息;验证设备信息;若设备信息通过验证,则向终端设备发送第二CA证书;接收终端设备响应于第二CA证书通过验证后发送的第一CA证书;以及验证第一CA证书。
在本公开的一些实施例中,加密通道包括对称加密通道,则第一通道建立模块960还可以用于若双向验证结果为通过,则获取终端设备发送的加密后的对称密钥,加密后的对称密钥是使用第二CA证书中的第二公钥加密的;使用第二私钥对加密后的对称密钥进行解密以获得对称密钥;以及使用对称密钥建立对称加密通道。
在本公开的一些实施例中,服务器900还可以包括列表模块,该模块可以用于建立终端设备列表;根据双向验证的结果,将终端设备的设备信息添加到终端设备列表中;向接入网络的其他终端设备发送终端设备列表,以使其他终端设备接收到终端设备数据请求时根据终端设备列表处理数据请求。
图10示出本公开实施例中一种执行设备入网方法的终端设备示意图。如图10所示,该终端设备1000可以包括以下模块:
注册信息接收模块1010,用于接收服务器响应于第三方对终端设备的注册完成发送的通信链路信息、第一证书颁发机构CA证书和第一私钥;
连接请求发送模块1020,用于基于通信链路信息向服务器发送连接请求,连接请求包括终端设备的设备信息;
第二双向验证模块1030,用于基于设备信息和第一CA证书对服务器执行双向验证;
第二通道建立模块1040,用于根据双向验证结果,基于第一私钥与服务器建立加密通道;
配置信息接收模块1050,用于基于加密通道接收服务器发送的入网配置信息以根据入网配置信息连接网络。
在本公开的一些实施例中,第二双向验证模块1030还可以用于接收服务器响应于设备信息通过验证发送的第二CA证书;对第二CA证书进行验证;若第二CA证书通过验证,则向服务器发送第一CA证书以使服务器验证第一CA证书。
在本公开的一些实施例中,对第二CA证书进行验证还可以包括:对第二CA证书中的证书所有者信息、有效期信息进行校验;和/或根据第一CA证书与第二CA证书中的颁发机构CA比对以校验证书是否为合法机构颁发。
在本公开的一些实施例中,加密通道还包括对称加密通道,则第二通道建立模块1040还可以用于生成对称密钥;使用第二CA证书中的第二公钥对对称密钥进行加密;将加密后的对称密钥发送至服务器以使服务器基于第二私钥解密对称密钥,以基于对称密钥与终端设备建立对称加密通道。
关于上述实施例中的服务器和终端设备,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为***、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“***”。
下面参照图11来描述根据本发明的这种实施方式的电子设备1100。图11显示的电子设备1100仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图11所示,电子设备1100以通用计算设备的形式表现。电子设备1100的组件可以包括但不限于:上述至少一个处理单元1110、上述至少一个存储单元1120、连接不同***组件(包括存储单元1120和处理单元1110)的总线1130。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元1110执行,使得所述处理单元1110执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。例如,所述处理单元1110可以执行如图2中所示的S210,接收第三方对终端设备的注册请求,第三方用于在服务器上注册终端设备,注册请求包括终端设备的设备信息和入网配置信息;S220,响应于接收到注册请求,生成终端设备的通信链路信息、终端设备的第一证书颁发机构(Certificate Authority,CA)证书和第一私钥以及服务器的第二CA证书和第二私钥,并将设备信息、入网配置信息以及终端设备的第一CA证书和第一私钥以及服务器的第二CA证书和第二私钥进行关联存储以完成注册;S230,响应于注册完成,向终端设备发送通信链路信息、第一CA证书和第一私钥;S240,接收终端设备基于通信链路信息发送的连接请求,连接请求包括设备信息;S250,响应于连接请求,基于与设备信息关联的第二CA证书对终端设备执行双向验证;S260,根据双向验证结果,基于第二私钥与终端设备建立加密通道;S270,基于加密通道向终端设备发送入网配置信息以完成终端设备的网络连接。
存储单元1120可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)1121和/或高速缓存存储单元1122,还可以进一步包括只读存储单元(ROM)1123。
存储单元1120还可以包括具有一组(至少一个)程序模块1125的程序/实用工具1124,这样的程序模块1125包括但不限于:操作***、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线1130可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、***总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备1100也可以与一个或多个外部设备(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备1100交互的设备通信,和/或与使得该电子设备1100能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口1150进行。并且,电子设备1100还可以通过网络适配器1160与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器1160通过总线1130与电子设备1100的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备1100使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID***、磁带驱动器以及数据备份存储***等。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
根据本发明的实施方式的用于实现上述方法的程序产品,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行***、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由所附的权利要求指出。

Claims (12)

1.一种设备入网方法,应用于服务器,其特征在于,所述方法包括:
接收第三方对终端设备的注册请求,所述第三方用于在所述服务器上注册所述终端设备,所述注册请求包括所述终端设备的设备信息和入网配置信息;
响应于接收到所述注册请求,生成所述终端设备的通信链路信息、所述终端设备的第一证书颁发机构CA证书和第一私钥以及所述服务器的第二CA证书和第二私钥,并将所述设备信息、所述入网配置信息以及所述终端设备的第一CA证书和第一私钥以及所述服务器的第二CA证书和第二私钥进行关联存储以完成注册;
响应于所述注册完成,向所述终端设备发送所述通信链路信息、所述第一CA证书和所述第一私钥;
接收所述终端设备基于所述通信链路信息发送的连接请求,所述连接请求包括所述设备信息;
响应于所述连接请求,基于与所述设备信息关联的所述第二CA证书对所述终端设备执行双向验证;
根据所述双向验证结果,基于所述第二私钥与所述终端设备建立加密通道;以及
基于所述加密通道向所述终端设备发送所述入网配置信息以完成所述终端设备的网络连接。
2.根据权利要求1所述的设备入网方法,其特征在于,响应于所述连接请求,基于所述设备信息关联的所述第二CA证书对所述终端设备执行双向验证包括:
获取所述终端设备的设备信息;
验证所述设备信息;
若所述设备信息通过验证,则向所述终端设备发送所述第二CA证书;
接收所述终端设备响应于所述第二CA证书通过验证后发送的所述第一CA证书;以及
验证所述第一CA证书。
3.根据权利要求2所述的设备入网方法,其特征在于,所述加密通道包括对称加密通道,则根据所述双向验证结果,基于所述第二私钥与所述终端设备建立加密通道包括:
若所述双向验证结果为通过,则获取所述终端设备发送的加密后的对称密钥,所述加密后的对称密钥是使用所述第二CA证书中的第二公钥加密的;
使用所述第二私钥对所述加密后的对称密钥进行解密以获得所述对称密钥;以及
使用所述对称密钥建立所述对称加密通道。
4.根据权利要求2所述的设备入网方法,其特征在于,根据所述双向验证结果,基于所述第二私钥与所述终端设备建立加密通道之后包括:
建立终端设备列表;
根据所述双向验证的结果,将所述终端设备的设备信息添加到所述终端设备列表中;
向接入网络的其他终端设备发送所述终端设备列表,以使所述其他终端设备接收到所述终端设备数据请求时根据所述终端设备列表处理所述数据请求。
5.一种设备入网方法,应用于终端设备,其特征在于,所述方法包括:
接收服务器响应于第三方对所述终端设备的注册完成发送的通信链路信息、第一证书颁发机构CA证书和第一私钥;
基于所述通信链路信息向所述服务器发送连接请求,所述连接请求包括所述终端设备的设备信息;
基于所述设备信息和所述第一CA证书对所述服务器执行双向验证;
根据所述双向验证结果,基于所述第一私钥与所述服务器建立加密通道;以及
基于所述加密通道接收所述服务器发送的入网配置信息以根据所述入网配置信息连接网络。
6.根据权利要求5所述的设备入网方法,其特征在于,基于所述设备信息和所述第一CA证书对所述服务器执行双向验证包括:
接收所述服务器响应于所述设备信息通过验证发送的所述第二CA证书;
对所述第二CA证书进行验证;
若所述第二CA证书通过验证,则向所述服务器发送所述第一CA证书以使所述服务器验证所述第一CA证书。
7.根据权利要求6所述的设备入网方法,其特征在于,对所述第二CA证书进行验证包括:
对所述第二CA证书中的证书所有者信息、有效期信息进行校验;和/或根据所述第一CA证书与所述第二CA证书中的颁发机构CA比对以校验证书是否为合法机构颁发。
8.根据权利要求7所述的设备入网方法,其特征在于,所述加密通道包括对称加密通道,则根据所述双向验证结果,基于所述第一私钥与所述服务器建立加密通道包括:
生成对称密钥;
使用所述第二CA证书中的第二公钥对所述对称密钥进行加密;
将加密后的所述对称密钥发送至所述服务器以使所述服务器基于所述第二私钥解密所述对称密钥,以基于所述对称密钥与所述终端设备建立对称加密通道。
9.一种服务器,其特征在于,包括:
注册请求接收模块,用于接收第三方对终端设备的注册请求,所述第三方用于在所述服务器注册所述终端设备,所述注册请求包括所述终端设备的设备信息和入网配置信息;
注册模块,用于响应于接收到所述注册请求,生成所述终端设备的通信链路信息、所述终端设备的第一证书颁发机构CA证书和第一私钥以及所述服务器的第二CA证书和第二私钥,并将所述设备信息、所述入网配置信息以及所述终端设备的第一CA证书和第一私钥以及所述服务器的第二CA证书和第二私钥进行关联存储以完成注册;
注册信息发送模块,用于响应于所述注册完成,向所述终端设备发送所述通信链路信息、所述第一CA证书和所述第一私钥;
连接请求接收模块,用于接收所述终端设备基于所述通信链路信息发送的连接请求,所述连接请求包括所述设备信息;
第一双向验证模块,用于响应于所述连接请求,基于与所述设备信息关联的所述第二CA证书对所述终端设备执行双向验证;
第一通道建立模块,用于根据所述双向验证结果,基于所述第二私钥与所述终端设备建立加密通道;以及
配置信息发送模块,用于基于所述加密通道向所述终端设备发送所述入网配置信息以完成所述终端设备的网络连接。
10.一种终端设备,其特征在于,包括:
注册信息接收模块,用于接收服务器响应于第三方对所述终端设备的注册完成发送的通信链路信息、第一证书颁发机构CA证书和第一私钥;
连接请求发送模块,用于基于所述通信链路信息向所述服务器发送连接请求,所述连接请求包括所述终端设备的设备信息;
第二双向验证模块,用于基于所述设备信息和所述第一CA证书对所述服务器执行双向验证;
第二通道建立模块,用于根据所述双向验证结果,基于所述第一私钥与所述服务器建立加密通道;
配置信息接收模块,用于基于所述加密通道接收所述服务器发送的入网配置信息以根据所述入网配置信息连接网络。
11.一种电子设备,其特征在于,包括:
处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1~4或执行权利要求5~8中任意一项所述的设备入网方法。
12.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1~4或权利要求5~8中任意一项所述的设备入网方法。
CN202210900888.9A 2022-07-28 2022-07-28 设备入网方法、服务器、终端、介质及电子设备 Pending CN117527276A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210900888.9A CN117527276A (zh) 2022-07-28 2022-07-28 设备入网方法、服务器、终端、介质及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210900888.9A CN117527276A (zh) 2022-07-28 2022-07-28 设备入网方法、服务器、终端、介质及电子设备

Publications (1)

Publication Number Publication Date
CN117527276A true CN117527276A (zh) 2024-02-06

Family

ID=89740579

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210900888.9A Pending CN117527276A (zh) 2022-07-28 2022-07-28 设备入网方法、服务器、终端、介质及电子设备

Country Status (1)

Country Link
CN (1) CN117527276A (zh)

Similar Documents

Publication Publication Date Title
CN112422532B (zh) 业务通信方法、***、装置及电子设备
US20190065406A1 (en) Technology For Establishing Trust During A Transport Layer Security Handshake
CN111314274A (zh) 一种车载终端与中心平台双向认证方法及***
US10270757B2 (en) Managing exchanges of sensitive data
EP3682364B1 (en) Cryptographic services utilizing commodity hardware
US20100228982A1 (en) Fast-reconnection of negotiable authentication network clients
CN106452782A (zh) 为终端设备生成安全通信信道的方法和***
US8291227B2 (en) Method and apparatus for secure communication
CN114125027B (zh) 一种通信建立方法、装置、电子设备及存储介质
US20240127942A1 (en) Systems and methods for sharing healthcare data with healthcare data processors
WO2021170049A1 (zh) 一种访问行为的记录方法、装置
KR101836211B1 (ko) 전자 기기 인증 매니저 장치
CN117155685A (zh) Dcs***关键数据可信采集传输方法、***及存储介质
CN108989302B (zh) 一种基于密钥的opc代理连接***和连接方法
KR20210060282A (ko) 하드웨어 보안 모듈을 이용한 클라우드를 통한 IoT(Internet of Thing) 디바이스 인증 시스템 및 방법
CN114584299B (zh) 数据处理方法、装置、电子设备和存储介质
EP3476094B1 (en) Secure data communications
US9071596B2 (en) Securely establishing a communication channel between a switch and a network-based application using a unique identifier for the network-based application
CN113992734A (zh) 会话连接方法及装置、设备
CN117527276A (zh) 设备入网方法、服务器、终端、介质及电子设备
WO2020119477A1 (zh) 一种基于区块链的身份认证方法及终端设备
CN114915487B (zh) 终端认证方法、***、装置、设备及存储介质
CN115001701B (zh) 用于授权认证的方法及装置、存储介质及电子设备
TWI817162B (zh) 行動裝置免元件簽章系統及其方法
CN114329574B (zh) 基于域管平台的加密分区访问控制方法、***及计算设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination