一种通信方法及设备
技术领域
本发明的实施例涉及通信领域,尤其涉及一种通信方法及设备。
背景技术
在当前的无线城市、智慧城市的建设中,将在WIFI(Wireless Fidelity,无线保真)系统下部署大量带安全认证功能的无线设备(如:AP(Access Point,无线访问节点)设备),为了可进行大范围运维管理,通常采用分区管理,从而部署多个数据中心,每个数据中心分管各自区域下的无线设备;每个数据中心保存了该区域内AP设备的非常重要的配置信息。因此,保证无线设备方便快速的部署,同时又能保证无线设备与数据中心通信不被泄露,是一个非常重要的问题。
发明内容
本发明的实施例提供一种通信方法及设备,能够在保证通信安全的同时提供一种无线设备快速部署的方案。
第一方面、提供一种通信方法,包括:
无线设备向云平台设备发送认证报文,所述认证报文携带所述无线设备的序列码SN、MAC以及通过首次通信密钥加密的随机密钥,其中所述认证报文通过公共通信密钥加密;
云平台设备接收所述认证报文,并使用所述公共通信密钥解密所述认证报文,获取所述SN、MAC;
云平台设备根据所述SN和MAC获取所述首次通信密钥;
云平台设备利用所述首次通信密钥解密所述随机密钥;
若所述云平台设备确认所述无线设备未认证,则通过向所述无线设备发送加密认证报文,所述加密认证报文携带认证数据中心的地址以及所述认证数据中心的访问密码,所述加密认证报文通过所述随机密钥加密;
所述无线设备通过所述随机密钥解密所述加密认证报文,获取所述认证数据中心的地址以及所述认证数据中心的访问密码;
所述无线设备使用所述认证数据中心的地址向所述认证数据中心发送数据,所述数据通过所述认证数据中心的访问密码加密。
第二方面,提供一种云平台设备,包括:
接收单元,用于接收无线设备发送的认证报文,所述认证报文携带所述无线设备的序列码SN、MAC以及通过首次通信密钥加密的随机密钥,其中所述认证报文通过公共通信密钥加密;
解密单元,用于使用所述公共通信密钥解密所述认证报文,获取所述SN、MAC;根据所述SN和MAC获取所述首次通信密钥;利用所述首次通信密钥解密所述随机密钥;
判断单元,用于确认所述无线设备是否已认证,并当确认所述无线设备未认证时,通过发送单元向所述无线设备发送加密认证报文,所述加密认证报文携带认证数据中心的地址以及所述认证数据中心的访问密码,所述加密认证报文通过所述随机密钥加密。
第三方面,提供一种无线设备,包括:
发送单元,用于向云平台设备发送认证报文,所述认证报文携带所述无线设备的序列码SN、MAC以及通过首次通信密钥加密的随机密钥,其中所述认证报文通过公共通信密钥加密;
接收单元,用于接收云平台设备发送的加密认证报文,所述加密认证报文携带认证数据中心的地址以及所述认证数据中心的访问密码,所述加密认证报文通过所述随机密钥加密;
解密单元,用于通过所述随机密钥解密所述加密认证报文,获取所述认证数据中心的地址以及所述认证数据中心的访问密码;
发送单元,用于使用所述认证数据中心的地址向所述认证数据中心发送数据,所述数据通过所述认证数据中心的访问密码加密。
在上述方案中,无线设备向云平台设备发送携带无线设备的序列码SN、MAC以及通过首次通信密钥加密的随机密钥的认证报文,其中认证报文通过公共通信密钥加密;云平台设备接收到该认证报文后使用公共通信密钥解密认证报文,获取SN、MAC;并根据SN和MAC获取首次通信密钥;利用首次通信密钥解密随机密钥;若云平台设备确认无线设备未认证,则通过向无线设备发送携带认证数据中心的地址以及所述认证数据中心的访问密码的加密认证报文,加密认证报文通过随机密钥加密;无线设备通过随机密钥解密加密认证报文,获取认证数据中心的地址以及认证数据中心的访问密码;使用认证数据中心的地址向认证数据中心发送数据,数据通过认证数据中心的访问密码加密。这样通过上述方案实现了全网无线设备的无差异快速部署,此外,由于信息交互过程中均采用了加密的方式保证了通信安全。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的通信设备的结构图;
图2为本发明实施例提供的一种通信方法的流程图;
图3为本发明实施例提供的一种云平台设备的结构图;
图4为本发明另一实施例提供的一种无线设备的结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例描述的系统架构以及业务场景是为了更加清楚的说明本发明实施例的技术方案,并不构成对于本发明实施例提供的技术方案的限定,本领域普通技术人员可知,随着系统架构的演变和新业务场景的出现,本发明实施例提供的技术方案对于类似的技术问题,同样适用。
本发明的实施例使用的技术术语包括如下:
WIFI,是一种可以将个人电脑、手机、pad等终端以无线方式接到局域网的技术,通常基于IEEE 802.11b标准;
对称加密,即加密解密使用同一个密钥的加密方式;
非对称加密,使用两个密钥进行加密和解密,加密的密钥称为公钥
(即公开的密钥,例如本方案中的公共通信密钥),解密的密钥称为私钥(即私有不公开的密钥,例如本方案中的随机密钥、首次通信密钥和访问密钥);
AP,WIFI中的无线访问接入点。
本发明的基本原理为:无线设备首次加电时,使用公共通信密钥加密的数据交换使用首次首次通信密钥加密的随机密钥、设备sn以及MAC到云平台设备认证,换取无线设备设备当前所属认证数据中心的访问密码和地址,从而实现了无线设备的快速部署,并保证了通信的安全性。
下面结合具体实施例对上述方法进行详细描述。参照图1所示,本发明的实施例应用于如下通信系统,包括:无线设备11(例如:AP以下方案中以AP为例进行说明)、云平台设备12以及认证数据中心13。其中,无线设备11具体包括认证功能、运维功能;云平台设备12包括设备身份中心、设备认证功能、以及密钥管理功能;认证数据中心13包括设备状态管理功能、配置版本管理功能以及密钥管理功能。
基于上述的系统,本发明的实施例提供一种通信方法,参照图2所示(其中附图中只是简述步骤对应的过程,具体内容以实施例记载为准),包括如下步骤:
101、AP向云平台设备发送认证报文,认证报文携带AP的序列码SN、MAC以及通过首次通信密钥加密的随机密钥,其中认证报文通过公共通信密钥加密。
其中,在创建基于全局的云平台设备后,基于云平台设备构建统一的设备身份中心,其中设备身份中心包括设备身份管理功能和设备认证功能;所有AP首次启用时需到身份中心认证。工厂生产AP过程中,给AP分配MAC(Media Access Control或者Medium AccessControl,媒体访问控制,或称为物理地址、硬件地址)地址、SN(serial number,序列号);云平台设备管理员录入AP的MAC和SN,设备身份管理功能基于MAC和SN生成随机32的首次通信密钥FK。工厂通过特定的设备将认证数据MAC、SN、首次通信密钥、公共通信密钥写入AP的存储系统中(该数据不可通过外部设备读取,可采用加密存储)。AP首次加电启动后,基于认证功能构造认证报文,生成一个随机密钥RDKa;然后读取写入的认证数据,获得MAC、SN、首次通信密钥FK、公共通信密钥CK,并构造如下方式的加密的认证报文:CK加密(FK加密(RDKa)+SN+MAC);然后发送认证报文到云平台设备。
102、云平台设备接收认证报文。
103、并使用公共通信密钥解密认证报文,获取SN、MAC。
具体的,云平台设备基于设备认证功能接收到认证报文,使用CK解密认证报文,读取认证报文中的SN和MAC。
104、云平台设备根据SN和MAC获取首次通信密钥。
具体的,云平台设备基于设备认证功能在设备身份中心根据SN和MAC读取该AP的FK。
105、云平台设备利用首次通信密钥解密随机密钥。
具体的,云平台设备基于设备认证功能使用FK解密得到RDKa,则说明云平台设备利用所述首次通信密钥解密所述随机密钥成功,这样确定加密报文为正确的报文。若云平台设备利用首次通信密钥解密随机密钥失败时,则还包括如下步骤106。
106、云平台设备向AP返回失败消息。
云平台设备利用首次通信密钥解密随机密钥成功时,基于设备认证功能在设备身份中心判断该AP是否已经认证注册。若云平台设备确认无线设备已认证,则包括如下步骤107,若云平台设备确认无线设备未认证则包括步骤108之后的方法。
107、云平台设备向AP返回认证失败消息。
108、云平台设备向AP发送加密认证报文,加密认证报文携带认证数据中心的地址以及认证数据中心的访问密码,加密认证报文通过随机密钥加密。
具体的,如果该AP没有认证,则获取到该AP对应部署的认证数据中心的访问地址,及认证数据中心的访问密码DCK。云平台设备基于设备认证功能构造返回的加密认证报文,方式如下:RDKa加密(认证数据中心的地址+认证数据中心的访问密码)。
109、AP通过随机密钥解密加密认证报文。
110、AP获取认证数据中心的地址以及认证数据中心的访问密码。
AP基于认证功能使用RDKa解密加密认证报文,获得认证数据中心的地址和访问密码。
111、AP使用认证数据中心的地址向认证数据中心发送数据请求,该数据请求通过认证数据中心的访问密码加密。
具体的,步骤111包括AP使用认证数据中心的地址向认证数据中心发送数据请求,所述数据请求中携带本次通信随机密钥,所述本次通信随机密钥用于所述认证数据中心加密向所述无线设备返回的请求数据以及本次通信随机密钥。例如当AP使用认证数据中心的地址向认证数据中心发送配置请求,该配置请求用于向认证数据中心请求最新的配置或AP的软件版本;所述本次通信随机密钥用于所述认证数据中心将返回给所述无线设备的最新的配置或无线设备的软件版本加密。
AP基于运维功能使用认证数据中心的地址向认证数据中心上报当前设备状态,该过程使用认证数据中心的访问密码加密;AP设备基于运维功能使用认证数据中心地址向数据中心请求最新的配置或AP的软件版本等数据。认证数据中心确认使用DCK解密成功后继续处理其他接收数据。
为进一步保证通信的安全性,还包括如下步骤:
112、云平台设备间隔预定时长向认证数据中心发送密钥更新消息,密钥更新消息携带更新的访问密码。
113、认证数据中心向无线设备发送密钥更新报文,其中密钥更新报文携带更新的访问密码,密钥更新报文通过随机密钥加密。
云平台设备基于密钥管理功能定时更新各个认证数据中心的访问密码,并下发到各个认证数据中心;当各个认证数据中心收到最新的访问密码后,基于密钥管理功能对正在通信的AP将下发密钥更新报文。
在上述方案中,无线设备向云平台设备发送携带无线设备的序列码SN、MAC以及通过首次通信密钥加密的随机密钥的认证报文,其中认证报文通过公共通信密钥加密;云平台设备接收到该认证报文后使用公共通信密钥解密认证报文,获取SN、MAC;并根据SN和MAC获取首次通信密钥;利用首次通信密钥解密随机密钥;若云平台设备确认无线设备未认证,则通过向无线设备发送携带认证数据中心的地址以及所述认证数据中心的访问密码的加密认证报文,加密认证报文通过随机密钥加密;无线设备通过随机密钥解密加密认证报文,获取认证数据中心的地址以及认证数据中心的访问密码;使用认证数据中心的地址向认证数据中心发送数据,数据通过认证数据中心的访问密码加密。这样通过上述方案实现了全网无线设备的无差异快速部署,此外,由于信息交互过程中均采用了加密的方式保证了通信安全。
参照图3所示本发明的实施例提供一种云平台设备,包括:
接收单元31,用于接收无线设备发送的认证报文,所述认证报文携带所述无线设备的序列码SN、MAC以及通过首次通信密钥加密的随机密钥,其中所述认证报文通过公共通信密钥加密;
解密单元32,用于使用所述公共通信密钥解密所述接收单元31接收的认证报文,获取所述SN、MAC;根据所述SN和MAC获取所述首次通信密钥;利用所述首次通信密钥解密所述随机密钥;
判断单元33,用于确认所述无线设备是否已认证,并当确认所述无线设备未认证时,通过发送单元34向所述无线设备发送加密认证报文,所述加密认证报文携带认证数据中心的地址以及所述认证数据中心的访问密码,所述加密认证报文通过所述随机密钥加密。
可选的,若所述判断单元33确认所述无线设备已认证,则通过所述发送单元34向所述无线设备返回失败消息。
可选的,所述解密单元32利用所述首次通信密钥解密所述随机密钥失败时,通过所述发送单元34向所述无线设备返回认证失败消息。
可选的,还包括:发送单元34用于间隔预定时长向所述认证数据中心发送密钥更新消息,所述密钥更新消息携带更新的访问密码。
在上述方案中,无线设备向云平台设备发送携带无线设备的序列码SN、MAC以及通过首次通信密钥加密的随机密钥的认证报文,其中认证报文通过公共通信密钥加密;云平台设备接收到该认证报文后使用公共通信密钥解密认证报文,获取SN、MAC;并根据SN和MAC获取首次通信密钥;利用首次通信密钥解密随机密钥;若云平台设备确认无线设备未认证,则通过向无线设备发送携带认证数据中心的地址以及所述认证数据中心的访问密码的加密认证报文,加密认证报文通过随机密钥加密;无线设备通过随机密钥解密加密认证报文,获取认证数据中心的地址以及认证数据中心的访问密码;使用认证数据中心的地址向认证数据中心发送数据,数据通过认证数据中心的访问密码加密。这样通过上述方案实现了全网无线设备的无差异快速部署,此外,由于信息交互过程中均采用了加密的方式保证了通信安全。
参照图4所示,本发明的实施例提供一种无线设备,包括:
发送单元41,用于向云平台设备发送认证报文,所述认证报文携带所述无线设备的序列码SN、MAC以及通过首次通信密钥加密的随机密钥,其中所述认证报文通过公共通信密钥加密;
接收单元42,用于接收云平台设备发送的加密认证报文,所述加密认证报文携带认证数据中心的地址以及所述认证数据中心的访问密码,所述加密认证报文通过所述随机密钥加密;
解密单元43,用于通过所述随机密钥解密所述接收单元42接收的加密认证报文,获取所述认证数据中心的地址以及所述认证数据中心的访问密码;
发送单元41,用于使用所述解密单元43获取的认证数据中心的地址向所述认证数据中心发送数据,所述数据通过所述认证数据中心的访问密码加密。
可选的,所述发送单元41具体用于使用所述认证数据中心的地址向所述认证数据中心发送数据请求,所述数据请求中携带本次通信随机密钥,所述本次通信随机密钥用于所述认证数据中心加密向所述无线设备返回的请求数据以及本次通信随机密钥。例如当AP使用认证数据中心的地址向认证数据中心发送配置请求,该配置请求用于向认证数据中心请求最新的配置或AP的软件版本;所述本次通信随机密钥用于所述认证数据中心将返回给所述无线设备的最新的配置或无线设备的软件版本加密。
可选的,所述接收单元42还用于接收认证数据中心发送的密钥更新报文,其中所述密钥更新报文携带所述更新的访问密码,所述密钥更新报文通过所述随机密钥加密。
在上述方案中,无线设备向云平台设备发送携带无线设备的序列码SN、MAC以及通过首次通信密钥加密的随机密钥的认证报文,其中认证报文通过公共通信密钥加密;云平台设备接收到该认证报文后使用公共通信密钥解密认证报文,获取SN、MAC;并根据SN和MAC获取首次通信密钥;利用首次通信密钥解密随机密钥;若云平台设备确认无线设备未认证,则通过向无线设备发送携带认证数据中心的地址以及所述认证数据中心的访问密码的加密认证报文,加密认证报文通过随机密钥加密;无线设备通过随机密钥解密加密认证报文,获取认证数据中心的地址以及认证数据中心的访问密码;使用认证数据中心的地址向认证数据中心发送数据,数据通过认证数据中心的访问密码加密。这样通过上述方案实现了全网无线设备的无差异快速部署,此外,由于信息交互过程中均采用了加密的方式保证了通信安全。
此外,还提供一种计算可读媒体(或介质),包括在被执行时进行上述实施例中的方法的操作的计算机可读指令。
另外,还提供一种计算机程序产品,包括上述计算机可读媒体(或介质)。
应理解,在本发明的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、设备和方法,可以通过其它的方式实现。例如,以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(英文全称:read-only memory,英文简称:ROM)、随机存取存储器(英文全称:random access memory,英文简称:RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。