CN106464654B - 配置文件的获取方法、装置和系统 - Google Patents
配置文件的获取方法、装置和系统 Download PDFInfo
- Publication number
- CN106464654B CN106464654B CN201480011379.4A CN201480011379A CN106464654B CN 106464654 B CN106464654 B CN 106464654B CN 201480011379 A CN201480011379 A CN 201480011379A CN 106464654 B CN106464654 B CN 106464654B
- Authority
- CN
- China
- Prior art keywords
- configuration file
- tftp
- cmts
- address
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种配置文件获取方法,包括:CMTS接收DHCP服务器发送给CM的DHCP响应消息,所述DHCP响应消息携带有标识CM的配置文件的配置文件名、分配给CM的IP地址以及存储配置文件的TFTP服务器的地址信息;将DHCP响应消息中的地址信息替换成CMTS的地址信息后发送给所述CM;向TFTP服务器请求下发配置文件;接收来自CM的TFTP请求消息,所述TFTP请求消息携带有配置文件名以及CM的设备证书;利用CM的设备证书对CM的合法性进行验证;以及验证通过后将配置文件发送给所述CM。
Description
技术领域
本发明涉及通信领域,尤其涉及配置文件的获取方法、装置和系统。
背景技术
图1是DOCSIS(Data Over Cable Service Interface Specification,有线数据传输业务接口规范)的系统架构示意图。其中,业务发放系统包括DHCP(Dynamic HostConfiguration Protocol,动态主机配置协议)服务器、TFTP(Trivial File TransferProtocol,简单文件传输协议)服务器等服务器。按照DOCSIS协议的规定,CM(Cable Modem,电缆调制解调器)的配置文件部署到TFTP服务器上,CM要想上线需要先通过DHCP协议从DHCP服务器上获取IP(Internet Protocol,因特网协议)地址、TFTP服务器的地址以及配置文件的文件名等信息,然后采用TFTP协议从TFTP服务器的地址对应的TFTP服务器上获取文件名对应的配置文件,并利用获取的配置文件进行配置。
在CM从TFTP服务器获取配置文件的过程中,TFTP服务器需要对CM的合法性进行验证。DOCSIS协议支持几种验证方式:
1、由TFTP服务器对CM进行验证,具体是由CM在向TFTP服务器发送TFTP请求消息时携带CM的IP地址或者MAC(Media Access Control,媒体访问控制)地址,TFTP服务器利用TFTP请求消息中的IP地址或者MAC地址对CM进行验证。
2、由CMTS对CM进行验证,具体是由CMTS(Cable Modem Termination System,线缆调制解调器终端系统)在收到CM的TFTP请求消息时,利用TFTP请求消息中的IP地址或者MAC地址对CM的合法性进行验证。
然而现在的几种验证方式,不管是由TFTP服务器来对CM进行验证还是由CMTS来对CM进行验证,获取配置文件的过程都存在很大的安全隐患,主要是因为CM的IP地址和MAC地址比较容易伪造,非法的CM可以伪造合法CM的IP地址和MAC地址,利用伪造的IP地址或者MAC地址向TFTP服务器获取到合法CM的配置文件。
虽然当前有相对安全的传输协议,如SFTP(Secure File Transfer Protocol,安全文件传输协议)等,但是如果在现有的DOCSIS系统中直接部署SFTP服务器,需要修改其他的服务器,如DHCP服务器等,还需要更改CMTS的配置,会影响现有DOCSIS系统的兼容性,对现有DOCSIS系统改动较大。
因此,如何在不影响现有DOCSIS系统的前提下保证合法CM的配置文件不被非法CM窃用、提高网络安全就显得尤为重要了。
发明内容
本发明一个实施例提供一种DOCSIS系统中的配置文件获取方法,包括:
CMTS接收DHCP服务器发送给CM的DHCP响应消息,所述DHCP响应消息携带有标识所述CM的配置文件的配置文件名、分配给所述CM的IP地址以及存储所述配置文件的TFTP服务器的地址信息;
所述CMTS将所述DHCP响应消息中的所述TFTP服务器的地址信息替换成所述CMTS的地址信息后发送给所述CM;
所述CMTS向所述TFTP服务器请求下发所述配置文件;
所述CMTS接收来自所述CM的TFTP请求消息,所述TFTP请求消息携带有所述配置文件名以及所述CM的设备证书;
所述CMTS利用所述CM的设备证书对所述CM的合法性进行验证;以及验证通过后将所述配置文件发送给所述CM。
本发明一个实施例提供一种DOCSIS系统中的配置文件获取方法,包括:
CM向DHCP服务器请求IP地址,接收所述DHCP服务器的DHCP响应消息,所述DHCP响应消息携带有标识配置文件的配置文件名、分配的IP地址以及标识TFTP服务器的地址信息;
所述CM向所述TFTP服务器发送TFTP请求消息,所述TFTP请求消息携带有所述配置文件名以及所述CM的设备证书,其中,所述CM的设备证书用于所述TFTP服务器对所述CM的合法性进行验证;以及
所述CM接收来自所述TFTP服务器的TFTP响应消息,所述TFTP响应消息携带有所述配置文件。
本发明一个实施例提供一种CMTS,包括:
网络侧接口,用于接收DHCP服务器发送给CM的DHCP响应消息,所述DHCP响应消息携带有标识所述CM的配置文件的配置文件名、分配给所述CM的IP地址以及标识TFTP服务器的地址信息;以及根据所述地址信息向所述TFTP服务器请求下发所述配置文件;
第一处理单元,用于将所述DHCP响应消息中的所述TFTP服务器的地址信息替换成所述CMTS的地址信息后通过用户侧接口发送给所述CM;
所述用户侧接口,用于接收来自所述CM的TFTP请求消息,所述TFTP请求消息携带有所述配置文件名以及所述CM的设备证书;
第二处理单元,用于利用所述CM的设备证书对所述CM的合法性进行验证;以及验证通过后通过所述用户侧接口将所述配置文件发送给所述CM。
本发明一个实施例提供一种CM,包括:
第一网络侧接口,用于接收来自网络侧的DHCP响应消息,所述DHCP响应消息携带有标识所述CM的配置文件的配置文件名、分配给所述CM的IP地址以及标识存储所述配置文件的网络设备的地址信息;
处理单元,用于生成TFTP请求消息,所述TFTP请求消息以所述地址信息作为目的地址,携带有所述配置文件名以及所述CM的设备证书;
第二网络侧接口,用于将所述TFTP请求消息发送给所述网络设备,其中,所述CM的设备证书用于所述网络设备对所述CM的合法性进行验证。
本发明一个实施例提供一种DOCSIS系统,包括TFTP服务器、CMTS以及CM,其中所述CM通过所述CMTS连接到所述TFTP服务器;
所述CMTS,用于接收DHCP服务器发送给所述CM的DHCP响应消息,所述DHCP响应消息携带有标识所述CM的配置文件的配置文件名、分配给所述CM的IP地址以及所述TFTP服务器的地址信息;将所述DHCP响应消息中的所述TFTP服务器的地址信息替换成所述CMTS的地址信息后发送给所述CM;向所述TFTP服务器请求下发所述配置文件;接收来自所述CM的TFTP请求消息,所述TFTP请求消息携带有所述配置文件名以及所述CM的设备证书;利用所述CM的设备证书对所述CM的合法性进行验证;以及验证通过后将所述配置文件发送给所述CM。
本发明提供的方法、装置和系统,CM在TFTP请求消息中携带自己的设备证书,由于每个CM出厂时会携带有唯一的设备证书,使用设备证书对CM的合法性进行验证,可以保证合法的CM获取到配置文件。
附图说明
为了更清楚地说明本发明的实施例或现有技术中的技术方案,下面将对描述背景技术和实施例时所使用的附图作简单的介绍。显而易见地,下面附图中描述的仅仅是本发明的一部分实施例,对于本领域普通技术人员来讲,还可以根据这些附图和描述得到其他的附图或实施例,而本发明旨在涵盖所有这些衍生的附图或实施例。
图1为现有的DOCSIS系统架构示意图;
图2为本发明实施例提供的DOCSIS系统架构示意图;
图3为本发明实施例提供的配置文件获取方法的流程图;
图4为本发明实施例提供的设备证书与密匙选项协商过程的流程图;
图5为本发明实施例CMTS的结构的示意图;
图6为本发明实施例的CM的结构的示意图。
具体实施方式
下面将结合附图,对本发明实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
本发明一个实施例提供一种DOCSIS系统,如图2所示,包括CMTS10、CM12、以及业务发放系统等,其中业务发放系统包括DHCP服务器16以及TFTP服务器18等;CM12可以连接一个或多个用户设备14,用户设备14可以是PC、语音终端等。
在图2中,CM12上线后需要向DHCP服务器16请求分配IP地址,CM12会向DHCP服务器16发送的DHCP请求消息(DHCP Request Message),所发送的DHCP请求消息携带有CM12的MAC(Media Access Control,媒体访问控制)地址。
CMTS10接收到DHCP请求消息后,会将DHCP请求消息发送给对应的DHCP服务器16,DHCP服务器16会给CM12分配一个IP地址,分配的规则可以是预先部署的CM的MAC地址与IP地址的对应关系,也可以是从对应的IP地址池中给CM12分配一个IP地址等。在分配了IP地址后,DHCP服务器16会将分配的IP地址、CM12所需的配置文件名以及存储配置文件的TFTP服务器的地址信息携带在DHCP响应消息(DHCP Response Message)中发送给CM12。其中,TFTP服务器的地址信息可以是TFTP服务器的IP地址。
CMTS10接收到DHCP服务器16的DHCP响应消息后,可以采取2种方式来使得CM12获取配置文件:
1)CMTS10将DHCP响应消息中的TFTP服务器的地址信息修改成自己的地址,将修改后的DHCP响应消息发送给CM12。
在这种方式下,由于DHCP响应消息中的TFTP服务器的地址信息为CMTS10的地址,则CM12收到DHCP响应消息后会向CMTS10发送TFTP请求消息,该TFTP请求消息中携带有DHCP响应消息中的配置文件名,请求CMTS10下发相应的配置文件,在本实施例中,CMTS10发送的TFTP请求消息可以是TFTP Request Message,也可以是其他具备类似功能的TFTP协议消息等。在这种方式下,CMTS10会作为CM12的代理向TFTP服务器18发送TFTP请求消息,请求下发CM12的配置文件。CMTS10向TFTP服务器18请求下发CM12的配置文件的过程可以是在收到CM12的TFTP请求消息之前,也可以是在收到CM12的TFTP请求消息之后,具体顺序本实施例不作限定。CMTS10在收到CM12的TFTP请求消息后,会对CM12的合法性进行验证,验证通过后会将配置文件下发给CM12。
CMTS10向TFTP服务器18请求下发CM12的配置文件的过程可以是由CMTS10向TFTP服务器18发送TFTP请求消息,所发送的TFTP请求消息中携带有CM12的配置文件名,其中,向哪个TFTP服务器发送TFTP请求消息可以是由收到的DHCP响应消息中的TFTP服务器的地址信息来确定。
CMTS10可以采用多种方式对CM12的合法性进行验证。
在本发明实施例中,CM12发送的TFTP请求消息携带有CM12的设备证书以及配置文件名,还可以携带CM12的MAC地址、IP地址等,所发送的TFTP请求消息可以是TFTP RequestMessage,也可以是其他具备类似功能的TFTP协议消息等。由于设备证书可以唯一标识一个CM,因此,作为一种验证方式,CMTS10上可以保存一个设备证书列表,用于表征合法的CM,CMTS10在收到CM12的TFTP请求消息后,判断该消息中的设备证书是否存在于该列表中,如果存在则表明CM12是合法的,否则为非法的。
作为另外一种验证方式,CMTS10上还可以保存CM12的MAC地址与设备证书的对应关系,其中,CM12的MAC地址可以是从CM12向DHCP服务器16请求分配IP地址的过程中获取,比如从CM12发送给DHCP服务器16的DHCP请求消息中获取、或者从DHCP服务器16发送给CM12的DHCP响应消息中获取等。有了CM12的MAC地址与设备证书的对应关系后,在收到CM12的TFTP请求消息时,可以从TFTP请求消息中提取MAC地址与设备证书,将两者比较,若一致则表明CM12是合法的,否则为非法的。
如果设备证书本身携带有MAC地址,则CMTS10对CM12的合法性进行验证还可以是将设备证书中的MAC地址与DHCP响应消息中的MAC地址进行比较、或者和TFTP请求消息中的MAC地址进行比较,如果一致则表明所述CM是合法的,否则为非法的。
当然了,CMTS10也可以直接利用预部署的根证书和CA(Certificate Authority,证书颁发中心)证书对TFTP请求消息中的设备证书进行认证。根证书和CA证书可以是部署在CMTS10上,也可以独立于CMTS10。
CMTS10在对CM12的合法性进行验证后,如果通过则将对应的配置文件下发给CM12。
2)CMTS10将DHCP响应消息转发给CM12。
在这种方式下,CM12会按照DHCP响应消息中的TFTP服务器的地址信息和对应的TFTP服务器进行交互,从而获取配置文件。
在本发明实施例中,CM12向TFTP服务器18发送的TFTP请求消息携带有配置文件名以及CM12的设备证书,还可以携带CM12的MAC地址和IP地址等。TFTP服务器18会对CM12的合法性进行认证,认证通过后会将对应的配置文件发送给CM12。TFTP服务器18对CM12的合法性进行认证的过程和CMTS10类似,只是执行主体不一样,在此不再阐述。
经过上述对CM的合法性进行验证后,能保障合法的CM获取到配置文件,避免被非法CM盗用。而为了进一步加强安全性,本发明实施例还可以在配置文件传输的过程中对配置文件进行加密,由CM进行解密,从而提高配置文件传输过程的安全性。
加密解密的方式可以有多种,比如在TFTP服务器/CMTS和CM之间设定加密/解密算法,由TFTP服务器/CMTS采用设定的加密算法对CM的MAC地址和/或IP地址进行计算,得到加密密匙,利用加密密匙对配置文件进行加密,CM收到TFTP响应消息后,利用设定的解密算法对配置文件进行解密,从而得到配置文件。
也可以在TFTP服务器/CMTS和CM之间设定密码,TFTP服务器/CMTS基于设定的密匙生成算法将密码、CM的MAC地址和/或IP地址进行计算得到加密密匙,利用加密密匙对配置文件进行加密,由CM采用设定密码和解密算法对配置文件进行解密,从而得到配置文件。
还可以在TFTP服务器/CMTS和CM之间设置一对密匙对,由TFTP服务器/CMTS和CM在传输配置文件之前进行一次密匙交换,TFTP服务器/CMTS基于设定的密匙交换算法(如DH密匙交换算法)生成共享的加密密匙,TFTP服务器/CMTS利用加密密匙对配置文件进行加密,CM利用加密密匙对配置文件进行解密。
上述加密方式还可以用在CM传输设备证书进行认证的过程中,由CMTS/TFTP服务器解密后提取CM的设备证书,对CM的合法性进行验证。
本发明实施例所提供的系统,CM在TFTP请求消息中携带自己的设备证书,由于每个CM出厂时会携带有唯一的设备证书,使用设备证书对CM的合法性进行验证,可以保证合法的CM获取到配置文件。而在配置文件的传输过程中对配置文件进行加密,由CM解密,可以进一步提高配置文件传输的安全性。
本发明一个实施例提供一种DOCSIS系统中的配置文件获取方法,在该方法中,由CMTS作为代理从TFTP服务器下载CM的配置文件,在收到CM的TFTP请求消息后对CM的合法性进行验证,验证通过后将配置文件下发给CM,如图3所示,具体包括:
步骤S300、CMTS转发DHCP服务器的DHCP响应消息给CM。
CM上电后会通过CMTS向DHCP服务器发送DHCP请求消息,请求DHCP服务器分配IP地址,DHCP请求消息中会携带有CM的MAC地址,DHCP服务器会按照预先的规划将MAC地址对应的IP地址分配给CM,将分配的IP地址携带在DHCP响应消息中发送给CM,同时在DHCP响应消息中还携带有CM的配置文件的配置文件名以及存储该配置文件的TFTP服务器的地址信息等。
CMTS收到DHCP响应消息后,可以保存DHCP响应消息中的内容,将DHCP响应消息转发给CM。CMTS保存的内容可以是配置文件名、TFTP服务器的地址信息和CM的MAC地址和/或IP地址等。
步骤S302、CMTS向TFTP服务器发送TFTP请求消息,请求下发CM的配置文件。
在本实施例中,CMTS代理CM向TFTP服务器发送TFTP请求消息,请求TFTP服务器下发CM的配置文件。
CMTS发送的TFTP请求消息携带有DHCP响应消息中的配置文件名,TFTP服务器收到TFTP请求消息后,会将对应的配置文件发送给CMTS。
步骤S304、CMTS接收CM的TFTP请求消息,对CM的合法性进行验证。
在本实施例中,CM发送的TFTP请求消息携带有配置文件名以及CM的设备证书,CMTS可以利用CM的设备证书对CM进行验证,具体如何验证前面实施例已经描述,在此不在阐述。
需要注明的是,本实施例中的步骤S302和S304没有先后顺序的限定。
步骤S306、验证通过,CMTS将配置文件发送给CM。
CMTS可以将配置文件通过TFTP响应消息发送给CM,在传输配置文件时,可以对配置文件进行加密,由CM对配置文件进行解密,具体的加密解密过程在系统实施例中已经描述。
本实施例中CM的TFTP请求消息还可以采用TFTP协议规定的一系列报文来实现,如RRQ(Read Request,读请求)、OACK(Option Acknowledge,选项应答)、Data、ACK(Acknowledge,应答)、以及ERROR等。CM可以通过这些报文与CMTS协商认证方式,如果是通过TFTP协议规定的一系列报文来实现,则需要对这些报文进行扩展,从而携带CM的设备证书。如果需要对配置文件进行加密,还需要对这部分报文进一步扩展来携带密匙选项,以下将以携带CM的设备证书与密匙选项作为举例,具体如图4所示,包括:
步骤S400、CMTS接收CM的RRQ。
CM的RRQ中携带有配置文件名,在RRQ中增加证书认证和加密两种选项,携带有证书认证和加密选项的RRQ可以如表1所示:
表1
其中,opt1...optN为选项名称,value1...valueN表示对应的选项值。Cert、Encrypt为新增选项的名称,Cert Info、Encrypt Info表示新增选项的值。Cert Info可以携带证书主题等信息,Encrypt Info可以为具体的加密选项(如加密算法或者密钥协商算法)。
步骤S402、CMTS根据RRQ的处理结果向CM发送OACK。
如果CMTS支持RRQ报文中的Option选项,则在OACK报文中回应Option选项,如果不支持,则忽略该Option,OACK报文中不携带该Option。
由于RRQ中新增了Cert、Encrypt选项,因此,支持证书认证和加密协商的CMTS需要回应携带新Option的OACK,如表2所示:
表2
| OACK | opt1 | 0 | value1 | 0 | Cert | 0 | Cert Info | 0 | Encrypt | 0 | Encrypt Info | 0 | optN | 0 | valueN | 0 |
如果CMTS不支持证书认证和加密协商,OACK中不携带Cert、Encrypt选项。
步骤S404、接收CM的OPT。
CM收到OACK报文后,如果需要发送设备证书和协商的密匙,则发送OPT,否则,回应ACK 0。本发明实施例中,OPT属于新增加的报文,其中携带CM的设备证书的OPT可以如表3所示:
表3
| OPT | 1 | 0 | Cert | Certificate |
而同时携带有CM的设备证书与密匙选项的OPT可以如表4所示:
表4
| OPT | 1 | 0 | Cert | Certificate | Encrypt | Public key |
步骤S406、CMTS发送OPT。
CMTS收到CM发送的OPT报文后,如果接收到完整的设备证书,则对CM的设备证书进行校验。校验失败则给CM回应ERROR,通过ERROR报文告知具体失败原因。校验成功给CM回应OPT报文。对于密钥交换的场景,回应CM的OPT报文还需要发送Server的公钥给CM。报文示例如表5所示:
表5
| OPT | 1 | 1 | Encrypt | Public key |
经过上述过程后,CMTS完成对CM的验证过程,后续可以采用协商的密匙对配置文件进行加密后发送给CM。
本实施例提供的方法是由CMTS对CM的合法性进行验证,在另外一个实施例中也可以是由CMTS将DHCP响应消息直接转发给CM,不修改其中的TFTP服务器的地址信息,这样CM后续会和TFTP服务器进行交互从而获取配置文件。TFTP服务器会利用CM的设备证书对CM的合法性进行验证,具体过程参见前面实施例中关于CMTS的相关描述。
本实施例提供的方法,由CM在TFTP请求消息中携带自己的设备证书,由于每个CM出厂时会携带有唯一的设备证书,使用设备证书对CM的合法性进行验证,可以保证合法的CM获取到配置文件。而在配置文件的传输过程中对配置文件进行加密,由CM解密,可以进一步提高配置文件传输的安全性。
本发明一个实施例提供一种CMTS,如图5所示,包括:网络侧接口50、第处理单元52、处理单元54、以及用户侧接口56。
其中,网络侧接口50用于连接网络侧的DHTP服务器和/或TFTP服务器,可以是接收机或者具备接收功能的模块等。
用户侧接口56用于连接CM,可以是收发机或者具备收发功能的模块等。
处理单元52和处理单元54可以通过一系列总线与网络侧接口50和用户侧接口56相连,处理单元52和处理单元54可以是两个独立的处理器,也可以是一个处理器,还可以是一个处理器中的一个或者多个处理模块等。
在本实施例中,网络侧接口50,用于接收DHCP服务器发送给CM的DHCP响应消息,所述DHCP响应消息携带有标识所述CM的配置文件的配置文件名、分配给所述CM的IP地址以及标识TFTP服务器的地址信息;以及用于根据所述地址信息向所述TFTP服务器请求下发所述配置文件。
处理单元52,用于将DHCP响应消息中的TFTP服务器的地址信息替换成CMTS的地址信息后通过用户侧接口56发送给CM;处理单元52也可以不修改DHCP响应消息中的TFTP服务器的地址信息,直接将DHCP响应消息发送给CM。
用户侧接口56,用于接收来自CM的TFTP请求消息,所述TFTP请求消息携带有配置文件名以及设备证书。
处理单元54,用于利用CM的设备证书对CM的合法性进行验证;以及验证通过后通过用户侧接口56将配置文件发送给CM。
本实施例提供的CMTS还可以包括存储单元58,可以用于存储合法CM的设备证书或者合法CM的MAC地址与设备证书的对应关系等。处理单元54可以利用CM的设备证书对CM进行验证,具体如何验证,可以参考系统实施例的描述。
本实施例提供的CMTS,由CM在TFTP请求消息中携带自己的设备证书,由于每个CM出厂时会携带有唯一的设备证书,CMTS可以使用设备证书对CM的合法性进行验证,可以保证合法的CM获取到配置文件。而在配置文件的传输过程中对配置文件进行加密,由CM解密,可以进一步提高配置文件传输的安全性。
进一步的,本发明一个实施例还提供一种CM,如图6所示,包括:网络侧接口60、处理单元62和网络侧接口64,其中网络侧接口60、64可以是一个或者多个收发机,也可以是一个或多个具备收发功能的模块等,处理单元62可以是一个处理器,也可以是处理器中的处理模块等。
在本实施例中,网络侧接口60,用于接收来自网络侧的DHCP响应消息,所述DHCP响应消息携带有标识所述CM的配置文件的配置文件名、分配给所述CM的IP地址以及标识存储所述配置文件的网络设备的地址信息;这里的网络设备可能是TFTP服务器或者CMTS等。
处理单元62,用于生成TFTP请求消息,所述TFTP请求消息以所述地址信息作为目的地址,携带有所述配置文件名以及所述CM的设备证书。
网络侧接口64,用于将所述TFTP请求消息发送给所述网络设备。
本实施例提供的CM可以将设备证书添加到TFTP请求消息中发送给对应的网络设备,如CMTS或者TFTP服务器等。
本实施例提供的CM还可以采用TFTP协议规定的报文和对应的网络设备协商密匙选项等,具体可以参见前面方法实施例的描述。
本实施例提供的CM通过将设备证书发送给对应的网络设备,对应的网络设备利用设备证书对该CM的合法性进行认证,可以保证合法的CM获取到配置文件。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(Random AccessMemory,RAM)、磁盘或光盘等。
以上对本发明实施例所提供的方法、设备和系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,对于本领域的一般技术人员,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (18)
1.一种有线数据传输业务接口规范DOCSIS系统中的配置文件获取方法,其特征在于,包括:
电缆调制解调终端系统CMTS接收动态主机配置协议DHCP服务器发送给电缆调制解调器CM的DHCP响应消息,所述DHCP响应消息携带有标识所述CM的配置文件的配置文件名、分配给所述CM的IP地址以及存储所述配置文件的简单文本传输协议TFTP服务器的地址信息;
所述CMTS将所述DHCP响应消息中的所述TFTP服务器的地址信息替换成所述CMTS的地址信息后发送给所述CM;
所述CMTS向所述TFTP服务器请求下发所述配置文件;
所述CMTS接收来自所述CM的TFTP请求消息,所述TFTP请求消息携带有所述配置文件名以及所述CM的设备证书;
所述CMTS利用所述CM的设备证书对所述CM的合法性进行验证;以及验证通过后将所述配置文件发送给所述CM。
2.根据权利要求1所述的方法,其特征在于,所述CMTS上存储有设备证书列表,所述CMTS利用所述CM的设备证书对所述CM的合法性进行验证具体包括:
所述CMTS判断所述CM的设备证书是否存在于所述设备证书列表中,如果存在则表明所述CM是合法的,否则为非法的。
3.根据权利要求1所述的方法,其特征在于,所述CMTS上存储有所述CM的媒体访问控制MAC地址与所述CM的合法设备证书的对应关系,则所述CMTS利用所述CM的设备证书对所述CM的合法性进行验证具体包括:
所述CMTS从所述TFTP请求消息中获取所述CM的MAC地址以及设备证书,将获取的MAC地址和设备证书与存储的MAC地址和设备证书进行比较,如果一致则表明所述CM是合法的,否则为非法的。
4.根据权利要求1所述的方法,其特征在于,所述CM的设备证书中包含所述CM的MAC地址,则所述CMTS利用所述CM的设备证书对所述CM的合法性进行验证具体包括:
将所述TFTP请求消息中的MAC地址与所述设备证书中的MAC地址进行比较,如果一致则表明所述CM为合法的,否则为非法的。
5.根据权利要求1所述的方法,其特征在于,所述DHCP响应消息中还携带有所述CM的MAC地址,所述CM的设备证书中包含所述CM的MAC地址,则所述CMTS利用所述CM的设备证书对所述CM的合法性进行验证具体包括:
将所述设备证书中的MAC地址与所述DHCP响应消息中的MAC地址进行比较,如果一致则表明所述CM是合法的,否则为非法的。
6.根据权利要求1所述的方法,其特征在于,所述CMTS利用所述CM的设备证书对所述CM的合法性进行验证具体包括:
所述CMTS利用预部署的根证书和证书颁发中心CA证书对所述CM的设备证书进行认证。
7.根据权利要求1-6任意一项所述的方法,其特征在于,所述CMTS将配置文件发送给所述CM具体包括:
所述CMTS利用预先设置的加密密码或者密匙对对所述配置文件进行加密,将加密后的配置文件发送给所述CM。
8.一种有线数据传输业务接口规范DOCSIS系统中的配置文件获取方法,其特征在于,包括:
电缆调制解调器CM向动态主机配置协议DHCP服务器请求IP地址,接收所述DHCP服务器的DHCP响应消息,所述DHCP响应消息携带有标识配置文件的配置文件名、分配的IP地址以及标识简单文本传输协议TFTP服务器的地址信息;
所述CM向所述TFTP服务器发送TFTP请求消息,所述TFTP请求消息携带有所述配置文件名以及所述CM的设备证书,其中,所述CM的设备证书用于所述TFTP服务器对所述CM的合法性进行验证;以及
所述CM接收来自所述TFTP服务器的TFTP响应消息,所述TFTP响应消息携带有所述配置文件。
9.根据权利要求8所述的方法,其特征在于,所述方法还包括:
采用预先设置的解密密码或者密匙对对所述TFTP响应消息携带的配置文件进行解密,提取配置文件。
10.一种电缆调制解调终端系统CMTS,其特征在于,包括:
网络侧接口,用于接收动态主机配置协议DHCP服务器发送给电缆调制解调器CM的DHCP响应消息,所述DHCP响应消息携带有标识所述CM的配置文件的配置文件名、分配给所述CM的IP地址以及标识简单文本传输协议TFTP服务器的地址信息;以及根据所述地址信息向所述TFTP服务器请求下发所述配置文件;
第一处理单元,用于将所述DHCP响应消息中的所述TFTP服务器的地址信息替换成所述CMTS的地址信息后通过用户侧接口发送给所述CM;
所述用户侧接口,用于接收来自所述CM的TFTP请求消息,所述TFTP请求消息携带有所述配置文件名以及所述CM的设备证书;
第二处理单元,用于利用所述CM的设备证书对所述CM的合法性进行验证;以及验证通过后通过所述用户侧接口将所述配置文件发送给所述CM。
11.根据权利要求10所述的CMTS,其特征在于,还包括存储单元,用于存储设备证书列表;则所述第二处理单元,具体用于判断所述CM的设备证书是否存在于所述设备证书列表中,如果存在则表明所述CM是合法的,否则为非法的。
12.根据权利要求10所述的CMTS,其特征在于,还包括存储单元,用于存储所述CM的媒体访问控制MAC地址与所述CM的合法设备证书的对应关系;则所述第二处理单元,具体用于从所述TFTP请求消息中获取所述CM的MAC地址以及设备证书,将获取的MAC地址和设备证书与存储的MAC地址和设备证书进行比较,如果一致则表明所述CM是合法的,否则为非法的。
13.根据权利要求10所述的CMTS,其特征在于,所述CM的设备证书中包含所述CM的MAC地址,则所述第二处理单元具体用于将所述TFTP请求消息中的MAC地址与所述设备证书中的MAC地址进行比较,如果一致则表明所述CM为合法的,否则为非法的。
14.一种电缆调制解调器CM,其特征在于,包括:
第一网络侧接口,用于接收来自网络侧的动态主机配置协议DHCP响应消息,所述DHCP响应消息携带有标识所述CM的配置文件的配置文件名、分配给所述CM的IP地址以及标识存储所述配置文件的网络设备的地址信息;
处理单元,用于生成TFTP请求消息,所述TFTP请求消息以所述地址信息作为目的地址,携带有所述配置文件名以及所述CM的设备证书;
第二网络侧接口,用于将所述TFTP请求消息发送给所述网络设备,其中,所述CM的设备证书用于所述网络设备对所述CM的合法性进行验证。
15.根据权利要求14所述的CM,其特征在于,所述网络设备为电缆调制解调终端系统。
16.一种有线数据传输业务接口规范系统,其特征在于,包括简单文本传输协议TFTP服务器、电缆调制解调终端系统CMTS以及电缆调制解调器CM,其中所述CM通过所述CMTS连接到所述TFTP服务器;
所述CMTS,用于接收动态主机配置协议DHCP服务器发送给所述CM的DHCP响应消息,所述DHCP响应消息携带有标识所述CM的配置文件的配置文件名、分配给所述CM的IP地址以及所述TFTP服务器的地址信息;将所述DHCP响应消息中的所述TFTP服务器的地址信息替换成所述CMTS的地址信息后发送给所述CM;向所述TFTP服务器请求下发所述配置文件;接收来自所述CM的TFTP请求消息,所述TFTP请求消息携带有所述配置文件名以及所述CM的设备证书;利用所述CM的设备证书对所述CM的合法性进行验证;以及验证通过后将所述配置文件发送给所述CM。
17.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序用于指令相关的硬件,来完成权利要求1至7任意一项所述的方法。
18.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序用于指令相关的硬件,来完成权利要求8至9任意一项所述的方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2014/080926 WO2015196441A1 (zh) | 2014-06-27 | 2014-06-27 | 配置文件的获取方法、装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106464654A CN106464654A (zh) | 2017-02-22 |
| CN106464654B true CN106464654B (zh) | 2020-01-07 |
Family
ID=54936502
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480011379.4A Active CN106464654B (zh) | 2014-06-27 | 2014-06-27 | 配置文件的获取方法、装置和系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN106464654B (zh) |
| WO (1) | WO2015196441A1 (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105812352B (zh) * | 2016-02-23 | 2019-07-19 | 四川长虹电器股份有限公司 | 用于cm的远程访问控制列表生成及数据包处理方法 |
| CN105721212B (zh) * | 2016-02-24 | 2019-06-21 | 四川长虹电器股份有限公司 | 实现cm模块远程配置wifi路由模块的系统及方法 |
| CN109803028B (zh) * | 2017-11-16 | 2022-05-13 | 华为技术有限公司 | 一种用于配置业务流的方法及装置 |
| CN108200046B (zh) * | 2017-12-28 | 2020-12-08 | 新华三技术有限公司 | 终端设备的注册方法、装置、终端设备和代理服务器 |
| CN110233799B (zh) * | 2018-03-05 | 2021-10-26 | 华为技术有限公司 | 一种端口配置的方法和通信设备 |
| CN110535696A (zh) * | 2019-08-21 | 2019-12-03 | 新华三技术有限公司合肥分公司 | 网络设备配置方法、控制器及网络设备 |
| US11336514B2 (en) * | 2020-03-25 | 2022-05-17 | Arris Enterprises Llc | Systems and methods for secure provisioning of SSH credentials |
| CN111988296A (zh) * | 2020-08-12 | 2020-11-24 | 深圳杰微芯片科技有限公司 | 算力设备超频方法、服务器和存储介质 |
| US20220405106A1 (en) * | 2021-06-16 | 2022-12-22 | Juniper Networks, Inc. | Policy driven zero touch provisioning of network devices |
| CN113596869B (zh) * | 2021-06-28 | 2024-06-07 | 网络通信与安全紫金山实验室 | 通信的方法、装置、电子设备及介质 |
| CN114465890B (zh) * | 2022-01-28 | 2024-04-16 | 锐捷网络股份有限公司 | 零配置方法、装置、设备及系统 |
| CN114827243B (zh) * | 2022-05-18 | 2024-03-22 | 上海电气风电集团股份有限公司 | 配置文件下发方法、工具、电子设备和可读存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101207607A (zh) * | 2006-12-20 | 2008-06-25 | 深圳市同洲电子股份有限公司 | Cable Modem双证书支持方法 |
| CN101501670A (zh) * | 2006-07-27 | 2009-08-05 | 思科技术公司 | 线缆调制解调器初始化中的早期认证 |
| CN101507228A (zh) * | 2006-08-24 | 2009-08-12 | 思科技术公司 | 用于位于线缆网络中的装置的改善的认证 |
| KR20120085390A (ko) * | 2011-01-24 | 2012-08-01 | 사단법인한국디지털케이블연구원 | 브라우저 기반 케이블레디 디지털 텔레비전의 시험 검증 시스템 및 시험 검증 방법 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8005083B1 (en) * | 2008-10-30 | 2011-08-23 | Juniper Networks, Inc. | Applying differentiated services within a cable network using customer-aware network router |
| US20100131971A1 (en) * | 2008-11-22 | 2010-05-27 | Cisco Technology, Inc. | Addressing theft of cable services and breach of cable system and security |
| WO2012163045A1 (zh) * | 2011-11-10 | 2012-12-06 | 华为技术有限公司 | 一种业务发放的方法、设备及系统 |
-
2014
- 2014-06-27 CN CN201480011379.4A patent/CN106464654B/zh active Active
- 2014-06-27 WO PCT/CN2014/080926 patent/WO2015196441A1/zh active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101501670A (zh) * | 2006-07-27 | 2009-08-05 | 思科技术公司 | 线缆调制解调器初始化中的早期认证 |
| CN101507228A (zh) * | 2006-08-24 | 2009-08-12 | 思科技术公司 | 用于位于线缆网络中的装置的改善的认证 |
| CN101207607A (zh) * | 2006-12-20 | 2008-06-25 | 深圳市同洲电子股份有限公司 | Cable Modem双证书支持方法 |
| KR20120085390A (ko) * | 2011-01-24 | 2012-08-01 | 사단법인한국디지털케이블연구원 | 브라우저 기반 케이블레디 디지털 텔레비전의 시험 검증 시스템 및 시험 검증 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2015196441A1 (zh) | 2015-12-30 |
| CN106464654A (zh) | 2017-02-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106464654B (zh) | 配置文件的获取方法、装置和系统 | |
| CN107979514B (zh) | 一种对设备进行绑定的方法和设备 | |
| CN109561066B (zh) | 数据处理方法、装置、终端及接入点计算机 | |
| CN106034104B (zh) | 用于网络应用访问的验证方法、装置和系统 | |
| CN101127600B (zh) | 一种用户接入认证的方法 | |
| CN111783068B (zh) | 设备认证方法、系统、电子设备及存储介质 | |
| CN111869249A (zh) | 针对中间人攻击的安全ble just works配对方法 | |
| US9547756B2 (en) | Registration of devices in a digital rights management environment | |
| US11323433B2 (en) | Digital credential management method and device | |
| WO2022100356A1 (zh) | 身份认证系统、方法、装置、设备及计算机可读存储介质 | |
| WO2024031868A1 (zh) | 一种基于属性加密的设备安全认证方法及其相关装置 | |
| US11943213B2 (en) | Device and method for mediating configuration of authentication information | |
| CN112714053A (zh) | 通信连接方法及装置 | |
| CN113852483B (zh) | 网络切片连接管理方法、终端及计算机可读存储介质 | |
| CN114531272B (zh) | 基于国密和国际算法的https请求的处理方法和装置 | |
| CN101827106A (zh) | 一种dhcp安全通信方法、装置和系统 | |
| CN115250203A (zh) | 一种控制设备准入的方法、装置及相关产品 | |
| CN113434837B (zh) | 用于设备身份认证的方法、装置及智慧家庭系统 | |
| TWI657350B (zh) | App認證的系統和方法 | |
| CN112261103A (zh) | 一种节点接入方法及相关设备 | |
| EP2663049B1 (en) | Authentication method based on dhcp, dhcp server and client | |
| CN105610667B (zh) | 建立虚拟专用网通道的方法和装置 | |
| CN109818903B (zh) | 数据传输方法、系统、装置和计算机可读存储介质 | |
| CN107835196B (zh) | 一种基于hdlc的安全通信方法 | |
| JP2006197094A (ja) | 通信システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20191217 Address after: No.104 National Road, Xiaojiang Town, Pingyang County, Wenzhou City, Zhejiang Province Applicant after: WENZHOU CHENGUANG GROUP Co.,Ltd. Address before: 510000 unit 2414-2416, building, No. five, No. 371, Tianhe District, Guangdong, China Applicant before: GUANGDONG GAOHANG INTELLECTUAL PROPERTY OPERATION Co.,Ltd. Effective date of registration: 20191217 Address after: 510000 unit 2414-2416, building, No. five, No. 371, Tianhe District, Guangdong, China Applicant after: GUANGDONG GAOHANG INTELLECTUAL PROPERTY OPERATION Co.,Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Applicant before: HUAWEI TECHNOLOGIES Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20170222 Assignee: Wenzhou Zhiye Packaging Co.,Ltd. Assignor: WENZHOU CHENGUANG GROUP Co.,Ltd. Contract record no.: X2021330000281 Denomination of invention: Method, device and system for obtaining configuration file Granted publication date: 20200107 License type: Common License Record date: 20210909 |
|
| EE01 | Entry into force of recordation of patent licensing contract |