CN108200046A - 终端设备的注册方法、装置、终端设备和代理服务器 - Google Patents
终端设备的注册方法、装置、终端设备和代理服务器 Download PDFInfo
- Publication number
- CN108200046A CN108200046A CN201711467528.XA CN201711467528A CN108200046A CN 108200046 A CN108200046 A CN 108200046A CN 201711467528 A CN201711467528 A CN 201711467528A CN 108200046 A CN108200046 A CN 108200046A
- Authority
- CN
- China
- Prior art keywords
- terminal device
- proxy server
- description file
- certificate
- equipment identities
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1073—Registration or de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Multimedia (AREA)
- Computer And Data Communications (AREA)
- Telephonic Communication Services (AREA)
Abstract
本公开提供了一种终端设备的注册方法、装置、终端设备和代理服务器;该方法包括:当接收到终端设备发送的描述文件获取请求时,为终端设备创建设备身份证书;向终端设备发送携带有设备身份证书的描述文件,以使终端设备安装描述文件和设备身份证书;当接收到终端设备的访问请求时,向终端设备发送访问响应消息,以使终端设备执行后续注册生效流程。本公开由代理服务器发送携带有设备身份证书的描述文件给终端设备,使终端设备无需从证书服务器获取设备身份证书,系统无需设置证书服务器可以节约系统资源,降低设备维护成本。
Description
技术领域
本公开涉及设备注册技术领域,尤其是涉及一种终端设备的注册方法、装置、终端设备和代理服务器。
背景技术
为了便于用户或运营商对终端设备进行管理,终端设备在安装有管理软件时,需要进行注册。现有比较常用的终端设备注册方式是采用OTA(Over the Air,空中下载)技术进行注册,该注册包括:认证过程、注册过程和注册生效过程,参见图1所示的一种采用OTA技术进行注册的方法流程图;该方法具体包括如下步骤:
步骤S102,终端设备的客户端向认证服务器发送注册请求;
步骤S104,认证服务器向客户端发送注册请求的回应信息;
步骤S106,客户端调用终端设备中的浏览器进行客户端认证。浏览器打开Web注册页面,用户可以在该Web注册页面上填写进一步的认证信息,例如,代理服务器的网址,相关认证信息、通用标准认证信息等,这些认证信息将提供给代理服务器做进一步认证,客户端认证通过后,会通知终端设备。
步骤S108,终端设备确定客户端通过认证后,向代理服务器发送MDM(MobileDevice Management,移动设备管理)描述文件的请求信息;
步骤S110,代理服务器向终端设备发送MDM描述文件;该MDM描述文件中包括一个加密的根证书和SCEP(Simple Certificate EnrollmentProtocol,简单证书注册协议)信息。其中,该SCEP协议可以安全、可靠的为终端设备在线提供数字证书,以访问代理服务器;
步骤S112,终端设备安装该MDM描述文件中的根证书,通过SCEP访问证书服务器;
步骤S114,证书服务器对该终端设备颁发设备身份证书;
步骤S116,终端设备安装该设备身份证书,并根据上述MDM描述文件中check-in地址,向代理服务器发起check-in请求;
步骤S118,代理服务器向终端设备发送请求确认信息,即200OK消息;
步骤S120,终端设备向推送通知服务器(例如,iOS终端的推送通知服务器为APNs服务器(Apple Push Notification service,简称APNs)发送device Token信息;该deviceToken信息包含终端设备的设备标识,该设备标识通常用于推送通知服务器向用户推送信息时,对用户所使用的终端设备进行定位,以确保信息推送至用户所持的终端设备。
步骤S122,推送通知服务器执行后续的注册生效过程。
上述方法中,需专门配置一台证书服务器向终端设备提供设备身份证书,而证书服务器的申请和后台运维均需要较高的人力成本,存在较大的人力资源和设备资源浪费的问题。
发明内容
有鉴于此,本公开的目的在于提供一种终端设备的注册方法、装置、终端设备和代理服务器,以减少人力资源和设备资源的浪费。
为了实现上述目的,本公开采用的技术方案如下:
第一方面,本公开提供了一种终端设备的注册方法,所述方法应用于代理服务器;该方法包括:当接收到终端设备发送的描述文件获取请求时,为所述终端设备创建设备身份证书;向所述终端设备发送携带有所述设备身份证书的描述文件,以使所述终端设备安装所述描述文件和所述设备身份证书;当接收到所述终端设备的访问请求时,向所述终端设备发送访问响应消息,以使所述终端设备执行后续注册生效流程。
第二方面,本公开提供了一种终端设备的注册方法,所述方法应用于终端设备;所述方法包括:向代理服务器发送描述文件获取请求;接收代理服务器发送的描述文件,所述描述文件携带有设备身份证书;当接收到同意安装指令时,安装所述描述文件和设备身份证书;向所述代理服务器发送的访问请求;当接收到所述代理服务器发送的访问响应消息时,执行后续注册生效流程。
第三方面,本公开提供了一种终端设备的注册装置,该装置应用于代理服务器;该装置包括:创建模块,用于当接收到终端设备发送的描述文件获取请求时,为所述终端设备创建设备身份证书;文件发送模块,用于向所述终端设备发送携带有所述设备身份证书的描述文件,以使所述终端设备安装所述描述文件和所述设备身份证书;注册生效触发模块,用于当接收到所述终端设备的访问请求时,向所述终端设备发送访问响应消息,以使所述终端设备执行后续注册生效流程。
第四方面,本公开提供了一种终端设备的注册装置,所述装置应用于终端设备;所述装置包括:获取请求发送模块,用于向代理服务器发送描述文件获取请求;文件接收模块,用于接收代理服务器发送的描述文件,所述描述文件携带有设备身份证书;安装模块,用于当接收到同意安装指令时,安装所述描述文件和设备身份证书;访问请求发送模块,用于向所述代理服务器发送的访问请求;注册生效模块,用于当接收到所述代理服务器发送的访问响应消息时,执行后续注册生效流程。
第五方面,本公开提供了一种终端设备,包括处理器和机器可读存储介质,机器可读存储介质存储有能够被处理器执行的机器可执行指令,处理器执行机器可执行指令以实现上述第二方面的方法。
第六方面,本公开提供了一种代理服务器,包括处理器和机器可读存储介质,机器可读存储介质存储有能够被处理器执行的机器可执行指令,处理器执行机器可执行指令以实现上述第一方面的方法。
第七方面,本公开提供了一种机器可读存储介质,该机器可读存储介质存储有机器可执行指令,机器可执行指令在被处理器调用和执行时,机器可执行指令促使处理器实现上述方法。
上述终端设备的注册方法、装置、终端设备和代理服务器,当代理服务器接收到终端设备发送的描述文件获取请求时,为终端设备创建设备身份证书,以及向终端设备发送携带有设备身份证书的描述文件,以使终端设备安装描述文件和设备身份证书。该方式中,由代理服务器同时提供描述文件和设备身份证书,网络侧无需再设置证书服务器,节约系统的人力资源和硬件资源,也降低了设备维护成本。并且,将设备身份证书携带在描述文件中,终端设备可以通过一次安装操作完成描述文件和设备身份证书的安装过程,简化了用户的操作流程,提升了注册效率。
本公开的其他特征和优点将在随后的说明书中阐述,或者,部分特征和优点可以从说明书推知或毫无疑义地确定,或者通过实施本公开的上述技术即可得知。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施方式,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本公开具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本公开的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1所示的一种采用OTA技术进行注册的方法流程图;
图2为本公开实施方式提供的一种终端设备的注册方法的流程图;
图3为本公开实施方式提供的另一种终端设备的注册方法的流程图;
图4为本公开实施方式提供的另一种终端设备的注册方法的流程图;
图5为本公开实施方式提供的一种终端设备的注册装置的结构示意图;
图6为本公开实施方式提供的另一种终端设备的注册装置的结构示意图;
图7为本公开实施方式提供的另一种终端设备的注册装置的结构示意图;
图8为本公开实施方式提供的一种终端设备或代理服务器的结构示意图。
具体实施方式
为使本公开实施方式的目的、技术方案和优点更加清楚,下面将结合附图对本公开的技术方案进行清楚、完整地描述,显然,所描述的实施方式是本公开一部分实施方式,而不是全部的实施方式。基于本公开中的实施方式,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施方式,都属于本公开保护的范围。
为了便于用户或运营商对终端设备进行管理,终端设备(包括手机、平板电脑等设备)在安装管理软件后,需要进行注册。该终端设备可以是支持iOS系统的设备,例如苹果公司的iOS设备。终端设备可以通过多种方式完成注册,例如,可以通过物理数据线连接至电脑上进行注册;还可以在连接无线网后,通过OTA(Over the Air,空中下载)技术进行注册。
然而,采用物理数据线进行注册的方式实际操作太繁琐,管理成本很高;因此,用户大多选择上述OTA技术进行注册。采用OTA技术进行终端设备注册的过程中,网络侧需配置有证书服务器,用于给终端设备颁发设备身份证书,终端设备根据该证书与代理服务器进行安全连接,这种通过证书服务器提供设备身份证书的方式,人力资源和硬件资源的开销均较大。
基于上述原因,本公开实施方式提供了一种终端设备的注册方法、装置、终端设备和代理服务器;该方法可以应用于安装有管理软件的手机、平板电脑等设备中。参见图2所示的一种终端设备的注册方法的流程图;该方法应用于终端设备;该方法具体包括如下步骤:
步骤S202,向代理服务器发送描述文件获取请求;例如:当终端设备的客户端通过认证时,向代理服务器发送描述文件获取请求,以获取描述文件和设备身份证书;
本实施方式中,终端设备的注册包括:认证过程、注册过程和注册生效过程,其中,认证过程可以通过终端设备的客户端完成,例如:终端设备的客户端向认证服务器发送注册请求,认证服务器收到该请求后,可以向终端设备的客户端发送注册请求的回应信息,终端设备的客户端收到该回应信息后,调用终端设备中的浏览器(例如终端设备如果是iOS设备,该浏览器可以是Safari浏览器)打开Web注册页面进行认证,用户可以在该Web注册页面上填写进一步的认证信息,例如,认证服务器的网址,相关认证信息、通用标准认证信息等。认证服务器对Web注册页面的信息进行认证,认证通过后,告知终端设备。
终端设备确定客户端认证通过后,可以向代理服务器发送MDM(Mobile DeviceManagement,移动设备管理)描述文件获取请求消息,以获取描述文件和设备身份证书。
代理服务器收到上述请求消息后,创建设备身份证书,然后向终端设备发送携带有设备身份证书的描述文件;其中,描述文件可以包括一个加密的根证书等其他内容。由于本实施方式中未使用证书服务器,因此描述文件中可以不包括证书服务器相关的信息,而描述文件中携带的其他内容可以与现有技术相同,本实施例中不再详细描述。
上述设备身份证书的格式可以为pkcs12格式,该设备身份证书用于标识终端设备的身份,如果终端设备能够提供该设备身份证书给网络侧设备(如代理服务器),则该终端设备合法。
步骤S204,接收代理服务器发送的描述文件,该描述文件携带有设备身份证书;
终端设备接收到上述描述文件后,可以提示用户是否同意安装描述文件和设备身份证书,例如在终端设备的显示界面上显示安装“是”和“否”的按钮,供用户选择。如果用户选择“是”的按钮,终端设备将接收到同意安装指令,如果用户选择“否”的按钮,终端设备将接收到不同意安装指令。
步骤S206,当接收到同意安装指令时,安装该描述文件和设备身份证书;
本实施方式中,因为设备身份证书携带在描述文件中,所以一次安装操作可以安装设备身份证书和描述文件。
步骤S208,向代理服务器发送的访问请求;
步骤S210,当接收到代理服务器发送的访问响应消息时,执行后续注册生效流程。
终端设备可以根据上述描述文件中check-in地址,向代理服务器发起check-in请求,即上述访问请求,当接收到代理服务器返回的访问响应消息(即200OK消息)时,注册过程完成,可以进行后续的注册生效过程。具体的注册生效过程可以参考相关技术实现,这里不再赘述。
上述check-in地址包括代理服务器的IP地址和端口号,其具体形式类似于URL(Uniform Resource Locator,统一资源定位符)地址。
本公开实施方式提供的一种终端设备的注册方法,终端设备向代理服务器获取的描述文件携带有设备身份证书,可以一次性安装该安装描述文件和设备身份证书,该方式中,由代理服务器同时提供描述文件和设备身份证书,网络侧无需再设置证书服务器,节约系统的人力资源和硬件资源,也降低了设备维护成本。并且,将设备身份证书携带在描述文件中,终端设备可以通过一次安装操作完成描述文件和设备身份证书的安装过程,简化了用户的操作流程,提升了注册效率。
对应于上述实施方式,参见图3所示的另一种终端设备的注册方法的流程图;该方法应用于代理服务器;该方法具体包括如下步骤:
步骤S302,当接收到终端设备发送的描述文件获取请求时,为终端设备创建设备身份证书;其中,该设备身份证书与终端设备为一一对应的关系;
本实施方式中,代理服务器可以采用以下方式创建设备身份证书:(1)获取终端设备的标识,该标识可以从终端设备发送的描述文件获取请求中得到;(2)根据该代理服务器的地址信息和上述终端设备的标识(例如UDID(Unique Device Identifier,唯一的设备识别符)),创建该终端设备的设备身份证书。其中,代理服务器的地址信息可以包括代理服务器的IP地址或者域名等信息。这种创建设备身份证书的方式,管理员不需要手动输入代理服务器的地址信息,而CA服务器创建设备身份证书的方式中,管理员需要在CA服务器中手动输入代理服务器的地址信息,可见本实施方式由代理服务器提供设备身份证书的方式的自动化程度更高,更简单易行。
步骤S304,向终端设备发送携带有设备身份证书的描述文件,以使终端设备安装描述文件和设备身份证书;
终端设备接收到携带有设备身份证书的描述文件后,可以提示用户是否进行安装,当接收到用户下发的确认安装消息后,可以在安装描述文件中其他证书或配置的同时一并将设备身份证书也进行安装。整个注册过程,用户仅需要确认一次是否安装,简化了终端设备的客户端注册方式的操作流程,提高了注册流程的自动化程度,用户操作更加便捷。
步骤S306,当接收到终端设备的访问请求时,向终端设备发送访问响应消息,以使终端设备执行后续注册生效流程。
上述方法中的代理服务器在接收到终端设备发送的描述文件获取请求时,为终端设备创建设备身份证书,以及向终端设备发送携带有设备身份证书的描述文件,以使终端设备安装描述文件和设备身份证书。该方式中,由代理服务器同时提供描述文件和设备身份证书,网络侧无需再设置证书服务器,进而终端设备不需要再通过SCEP协议获取设备身份证书,节约系统的人力资源和硬件资源,也降低了设备维护成本。并且,将设备身份证书携带在描述文件中,终端设备可以通过一次安装操作完成描述文件和设备身份证书的安装过程,简化了用户的操作流程,提升了注册效率。
为了提高上述注册方法的安全性,在接收到描述文件获取请求之前,例如:终端设备的客户端通过认证时,上述方法还包括:与终端设备建立VPN(Virtual PrivateNetwork,虚拟专用网络)隧道,以使终端设备与代理服务器通过VPN隧道交互信息。
作为一种实施方式,代理服务器可以在接收到终端设备发送的VPN隧道创建请求时,与终端设备建立VPN隧道。在建立VPN隧道的过程,由终端设备与代理服务器双方交互实现,交互过程中可以约定加密方式等信息;该VPN隧道建立后,终端设备与代理服务器之间采用相互约定的加/解密方式进行通信;上述终端设备与代理服务器之间进行通信时,可以通过该VPN隧道传输数据,该数据可以携带上述设备身份证书。代理服务器可以根据VPN隧道对应的解密方式对数据进行解密,然后再对设备身份证书进行验证,如果终端设备提供的设备身份证书与代理服务器本地保存的设备身份证书一致,则说明该终端设备合法,合法后再对数据进行相关处理,这种安全机制可以多方面保证了注册过程中或管理终端设备过程中数据传输的安全性。
上述设备身份证书也可以由代理服务器预先创建生成。例如,终端设备认证通过后,代理服务器可以调用OpenSSL(Open Secure Sockets Layer,开放式安全套接层协议)函数为该终端设备创建设备身份证书,例如:将上述代理服务器的地址信息和终端设备的标识作为OpenSSL函数的参数,调用OpenSSL函数为终端设备创建设备身份证书;然后将设备身份证书设置为pkcs12格式,并以base64编码的形式加载至描述文件中;当接收到终端设备发送的描述文件获取请求时,代理服务器返回携带有设备身份证书的描述文件。
上述终端设备的标识可以为UDID(Unique Device Identifier,设备的唯一设备识别符);该UDID可以理解为类似序列号形式的标识;该设备标识通常用于推送通知服务器向用户推送信息时,对用户所使用的终端设备进行定位,以确保信息推送至用户所持的终端设备;该check-in地址与代理服务器端口号相对应,通过check-in地址可以查找到该终端设备具体可以通过哪个端口与代理服务器进行通信。
对应于上述实施方式,参见图4所示的另一种终端设备的注册方法的流程图;该方法中的终端设备以支持iOS系统为例进行说明,由终端设备的客户端(该客户端安装在终端设备上)、认证服务器、代理服务器、终端设备和APNs(Apple Push Notification service,苹果推送通知服务)服务器多方交互实现;该方法中,当终端设备的客户端通过认证时,终端设备与代理服务器建立VPN隧道,以使终端设备与代理服务器通过VPN隧道交互信息,进而完成注册;该方法具体包括如下步骤:
步骤S402,终端设备的客户端向认证服务器发送注册请求;
该终端设备的客户端安装在终端设备上;该注册请求中包含用户通过该终端设备的客户端输入的授权账户和密码;当终端设备没有安装终端设备的客户端时,还可以通过Web页面调用网页版的终端设备的客户端页面,发送注册请求。
步骤S404,认证服务器向终端设备的客户端发送注册请求的回应信息;
步骤S406,终端设备的客户端调用终端设备中的Safari浏览器进行终端设备的客户端认证;
终端设备的客户端调用终端设备中的Safari浏览器打开Web注册页面,用户可以在该Web注册页面上填写进一步的认证信息,例如,代理服务器的网址,ISO 27001和27018的相关认证信息、通用标准认证信息等。这些认证信息将提供给代理服务器做进一步认证,终端设备的客户端认证通过后,会通知终端设备。同时,代理服务器调用OpenSSL函数为终端设备创建设备身份证书;将该设备身份证书设置为pkcs12格式,并以base64编码的形式加载至描述文件中。
步骤S408,终端设备与代理服务器建立VPN(Virtual Private Network,虚拟专用网)隧道,以使终端设备与代理服务器通过VPN隧道交互信息。
VPN隧道的具体建立过程可以是终端设备发送VPN隧道创建请求给代理服务器,代理服务器接收到该请求后,与终端设备协商加/解密方式,协商一致后,即完成VPN隧道的建立过程。
步骤S410,终端设备通过VPN隧道向代理服务器发送MDM(MobileDeviceManagement,移动设备管理)描述文件的请求消息;
步骤S412,代理服务器向终端设备返回的描述文件,该描述文件携带有设备身份证书。
终端设备获取到携带有设备身份证书的描述文件后,从该描述文件中解析出设备身份证书。后续可以以设备身份证书对应的设备标识和描述文件中的check-in地址,访问代理服务器。例如,终端设备通过check-in地址向代理服务器发送TokenUpdate信息和PushMagic信息,以访问代理服务器;其中,该TokenUpdate信息包含有上述设备标识。具体可以通过下述步骤实现:
步骤S414,终端设备安装该描述文件和设备身份证书,并根据上述描述文件中的check-in地址,向代理服务器发起check-in请求;
步骤S416,代理服务器向终端设备发送请求确认信息,即200OK消息;
步骤S418,终端设备向APNs服务器发送device Token的请求信息;该deviceToken信息可以理解为终端设备的设备令牌;device Token由不同应用的服务器分配给终端设备,用于向终端设备推送信息时,识别该终端设备;对于不同的应用,终端设备可以具有不同的device Token信息;终端设备在重新启动或注册时,应用的服务器会为该终端设备重新分配deviceToken信息。
步骤S420,APNs服务器向终端设备回应device Token信息;
步骤S422,终端设备向代理服务器发送TokenUpdate请求;代理服务器接收到该TokenUpdate请求后,对该用户对应的device Token信息进行更新;
步骤S424,代理服务器向认证服务器发送注册成功信息;
步骤S426,认证服务器向终端设备的客户端转发该注册成功信息,通过代理服务器向终端设备推送MDM命令;
该MDM命令包括多种命令,例如,控制类命令(包括设备锁屏、擦出设备数据、清除锁屏密码)、查询设备信息类命令(包括查询安全信息、应用程序列表、设备信息、证书列表)、设备配置(包括安装描述文件、卸载配置文件、安装预装描述配置文件)等。
步骤S428,代理服务器通过APNs服务器唤醒终端设备;
步骤S430,APNs服务器通知终端设备向代理服务器回应终端设备的当前状态;
步骤S432,如果终端设备当前为空闲状态,代理服务器向终端设备下发MDM命令;
步骤S434,终端设备执行该MDM命令,向代理服务器发送命令执行结果。
上述终端设备的注册方法包括认证、注册和注册生效三个阶段,其中,步骤S402-步骤S406属于认证阶段,步骤S408-步骤S424属于注册阶段,步骤S426-步骤S434属于注册生效阶段。描述文件和设备身份证书均由代理服务器提供,而通过证书服务器下发设备身份证书的方式中,描述文件由代理服务器提供,导致用户需要分两次分别安装描述文件和设备身份证书,用户操作比较繁琐。本实施方式中,终端设备可以一次性安装描述文件和设备身份证书,因此用户仅需要一次安装确认操作即可完成全部安装任务,简化了终端设备注册中的操作流程,提高了注册流程的自动化程度,用户操作更加便捷。同时,上述方式中由代理服务器同时提供描述文件和设备身份证书,无需再设置证书服务器,减少了系统对外开放的端口,简化了系统结构,节约系统资源,降低了设备维护成本。
另外,通过证书服务器下发设备身份证书的方式中,证书服务器因为使用SCEP协议,其故障率较高,而通过代理服务器提供描述文件和设备身份证书的方式,仅需要维护代理服务器,无需再额外维护证书服务器,并且代理服务器没有应用SCEP协议,代理服务器本身故障率就低于证书服务器,进一步降低了维护成本。同时,描述文件和设备身份证书可以一次性提供给终端设备,在减少交互流程的同时,可以降低系统整体的故障发生率,进而有效降低了设备的维护成本,另外终端设备侧的用户仅指示一次安装操作,即可完成描述文件和设备身份证书的安装,简化了用户的操作。
对应于上述方法实施方式,参见图5所示的一种终端设备的注册装置的结构示意图;该装置设置于代理服务器;该装置包括如下部分:
创建模块50,用于当接收到终端设备发送的描述文件获取请求时,为终端设备创建设备身份证书;
文件发送模块51,用于向终端设备发送携带有设备身份证书的描述文件,以使终端设备安装描述文件和设备身份证书;
注册生效触发模块52,用于当接收到终端设备的访问请求时,向终端设备发送访问响应消息,以使终端设备执行后续注册生效流程。
参见图6所示的另一种终端设备的注册装置的结构示意图;该装置设置于终端设备;该装置在图5所示装置基础上实现,该装置还包括:隧道建立模块53,用于接收终端设备发送的VPN隧道创建请求,与终端设备建立VPN隧道,以使终端设备与代理服务器通过VPN隧道交互信息。
上述创建模块50用于获取所述终端设备的标识,以及根据所述代理服务器的地址信息和所述终端设备的标识,创建所述终端设备的设备身份证书。
上述创建模块50还用于:将代理服务器的地址信息和终端设备的标识作为OpenSSL函数的参数,调用OpenSSL函数为终端设备创建设备身份证书;以及将设备身份证书设置为pkcs12格式,并以base64编码的形式加载至描述文件中。
参见图7所示的另一种终端设备的注册装置的结构示意图;该装置设置于终端设备;该装置包括如下部分:
获取请求发送模块70,用于向代理服务器发送描述文件获取请求;
文件接收模块71,用于接收代理服务器发送的描述文件,所述描述文件携带有设备身份证书;
安装模块72,用于当接收到同意安装指令时,安装所述描述文件和设备身份证书;
访问请求发送模块73,用于向所述代理服务器发送的访问请求;
注册生效模块74,用于当接收到所述代理服务器发送的访问响应消息时,执行后续注册生效流程。
本公开实施方式所提供的终端设备的注册装置,其实现原理及产生的技术效果和前述方法实施方式相同,为简要描述,装置实施方式部分未提及之处,可参考前述方法实施方式中相应内容。
参见图8所示的一种终端设备或代理服务器的结构示意图;该终端设备或代理服务器包括存储器100和处理器101;其中,存储器100用于存储一条或多条计算机指令,一条或多条计算机指令被处理器执行,以实现上述终端设备的注册方法,该终端设备的注册方法可以包括以上方法中的一种或多种。
进一步,图8所示的网管设备还包括总线102和通信接口103,处理器101、通信接口103和存储器100通过总线102连接。
其中,存储器100可能包含高速随机存取存储器(RAM,Random AccessMemory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口103(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。总线102可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图8中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
处理器101可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器101中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器101可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(NetworkProcessor,简称NP)等;还可以是数字信号处理器(DigitalSignal Processing,简称DSP)、专用集成电路(Application Specific IntegratedCircuit,简称ASIC)、现成可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本公开实施方式中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本公开实施方式所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器100,处理器101读取存储器100中的信息,结合其硬件完成前述实施方式的方法的步骤。
进一步,本公开实施方式还提供了一种机器可读存储介质,该机器可读存储介质存储有机器可执行指令,该机器可执行指令在被处理器调用和执行时,机器可执行指令促使处理器实现上述终端设备的注册方法,该终端设备的注册方法可以包括以上方法中的一种或多种。
在本申请所提供的几个实施方式中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施方式仅仅是示意性的,例如,附图中的流程图和框图显示了根据本发明的多个实施方式的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本发明各个实施方式中的各功能模块或单元可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本公开的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本公开各个实施方式所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上所述实施方式,仅为本公开的具体实施方式,用以说明本公开的技术方案,而非对其限制,本公开的保护范围并不局限于此,尽管参照前述实施方式对本公开进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本公开揭露的技术范围内,其依然可以对前述实施方式所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本公开实施方式技术方案的精神和范围,都应涵盖在本公开的保护范围之内。因此,本公开的保护范围应所述以权利要求的保护范围为准。
Claims (12)
1.一种终端设备的注册方法,其特征在于,所述方法应用于代理服务器;所述方法包括:
当接收到终端设备发送的描述文件获取请求时,为所述终端设备创建设备身份证书;
向所述终端设备发送携带有所述设备身份证书的描述文件,以使所述终端设备安装所述描述文件和所述设备身份证书;
当接收到所述终端设备的访问请求时,向所述终端设备发送访问响应消息,以使所述终端设备执行后续注册生效流程。
2.根据权利要求1所述的方法,其特征在于,所述为所述终端设备创建设备身份证书的步骤,包括:
获取所述终端设备的标识;
根据所述代理服务器的地址信息和所述终端设备的标识,创建所述终端设备的设备身份证书。
3.根据权利要求2所述的方法,其特征在于,根据所述代理服务器的地址信息和所述终端设备的标识,创建所述终端设备的设备身份证书的步骤,包括:
将所述代理服务器的地址信息和所述终端设备的标识作为OpenSSL函数的参数,调用所述OpenSSL函数为所述终端设备创建设备身份证书;
将所述设备身份证书设置为pkcs12格式,并以base64编码的形式加载至描述文件中。
4.根据权利要求1所述的方法,其特征在于,在接收到描述文件获取请求之前,所述方法还包括:
接收终端设备发送的VPN隧道创建请求;
与所述终端设备建立VPN隧道,以使所述终端设备与所述代理服务器通过所述VPN隧道交互信息。
5.一种终端设备的注册方法,其特征在于,所述方法应用于终端设备;所述方法包括:
向代理服务器发送描述文件获取请求;
接收代理服务器发送的描述文件,所述描述文件携带有设备身份证书;
当接收到同意安装指令时,安装所述描述文件和所述设备身份证书;
向所述代理服务器发送的访问请求;
当接收到所述代理服务器发送的访问响应消息时,执行后续注册生效流程。
6.一种终端设备的注册装置,其特征在于,所述装置应用于代理服务器;所述装置包括:
创建模块,用于当接收到终端设备发送的描述文件获取请求时,为所述终端设备创建设备身份证书;
文件发送模块,用于向所述终端设备发送携带有所述设备身份证书的描述文件,以使所述终端设备安装所述描述文件和所述设备身份证书;
注册生效触发模块,用于当接收到所述终端设备的访问请求时,向所述终端设备发送访问响应消息,以使所述终端设备执行后续注册生效流程。
7.根据权利要求6所述的装置,其特征在于,所述创建模块用于:获取所述终端设备的标识;以及根据所述代理服务器的地址信息和所述终端设备的标识,创建所述终端设备的设备身份证书。
8.根据权利要求7所述的装置,其特征在于,所述创建模块还用于:将所述代理服务器的地址信息和所述终端设备的标识作为OpenSSL函数的参数,调用所述OpenSSL函数为所述终端设备创建设备身份证书;以及将所述设备身份证书设置为pkcs12格式,并以base64编码的形式加载至描述文件中。
9.根据权利要求6所述的装置,其特征在于,所述装置还包括:
隧道建立模块,用于接收所述终端设备发送的VPN隧道创建请求,与所述终端设备建立VPN隧道,以使所述终端设备与所述代理服务器通过所述VPN隧道交互信息。
10.一种终端设备的注册装置,其特征在于,所述装置应用于终端设备;所述装置包括:
获取请求发送模块,用于向代理服务器发送描述文件获取请求;
文件接收模块,用于接收代理服务器发送的描述文件,所述描述文件携带有设备身份证书;
安装模块,用于当接收到同意安装指令时,安装所述描述文件和所述设备身份证书;
访问请求发送模块,用于向所述代理服务器发送的访问请求;
注册生效模块,用于当接收到所述代理服务器发送的访问响应消息时,执行后续注册生效流程。
11.一种代理服务器,其特征在于,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器执行所述机器可执行指令以实现权利要求1至4任一项所述的方法。
12.一种终端设备,其特征在于,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器执行所述机器可执行指令以实现权利要求5所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711467528.XA CN108200046B (zh) | 2017-12-28 | 2017-12-28 | 终端设备的注册方法、装置、终端设备和代理服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711467528.XA CN108200046B (zh) | 2017-12-28 | 2017-12-28 | 终端设备的注册方法、装置、终端设备和代理服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108200046A true CN108200046A (zh) | 2018-06-22 |
| CN108200046B CN108200046B (zh) | 2020-12-08 |
Family
ID=62586023
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711467528.XA Active CN108200046B (zh) | 2017-12-28 | 2017-12-28 | 终端设备的注册方法、装置、终端设备和代理服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108200046B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11943373B2 (en) | 2019-03-07 | 2024-03-26 | Tencent Technology (Shenzhen) Company Limited | Method for issuing identity certificate to blockchain node and related apparatus |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7237255B2 (en) * | 2000-06-16 | 2007-06-26 | Entriq Inc. | Method and system to dynamically present a payment gateway for content distributed via a network |
| CN101193112A (zh) * | 2006-12-01 | 2008-06-04 | 华为技术有限公司 | 一种注册方法和代理服务器 |
| US20160232538A1 (en) * | 2015-02-06 | 2016-08-11 | The Nielsen Company (Us), Llc | Methods and apparatus to credit media presentations for online media distributions |
| CN106464654A (zh) * | 2014-06-27 | 2017-02-22 | 华为技术有限公司 | 配置文件的获取方法、装置和系统 |
| CN107395343A (zh) * | 2017-07-10 | 2017-11-24 | 腾讯科技(深圳)有限公司 | 证书管理方法及系统 |
-
2017
- 2017-12-28 CN CN201711467528.XA patent/CN108200046B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7237255B2 (en) * | 2000-06-16 | 2007-06-26 | Entriq Inc. | Method and system to dynamically present a payment gateway for content distributed via a network |
| CN101193112A (zh) * | 2006-12-01 | 2008-06-04 | 华为技术有限公司 | 一种注册方法和代理服务器 |
| CN106464654A (zh) * | 2014-06-27 | 2017-02-22 | 华为技术有限公司 | 配置文件的获取方法、装置和系统 |
| US20160232538A1 (en) * | 2015-02-06 | 2016-08-11 | The Nielsen Company (Us), Llc | Methods and apparatus to credit media presentations for online media distributions |
| CN107395343A (zh) * | 2017-07-10 | 2017-11-24 | 腾讯科技(深圳)有限公司 | 证书管理方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 涂源源;黄坚: ""企业iOS 移动设备管理(MDM)的研究与实现"", 《电子技术与软件工程》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11943373B2 (en) | 2019-03-07 | 2024-03-26 | Tencent Technology (Shenzhen) Company Limited | Method for issuing identity certificate to blockchain node and related apparatus |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108200046B (zh) | 2020-12-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111213339B (zh) | 带有客户端密钥的认证令牌 | |
| CN108901022B (zh) | 一种微服务统一鉴权方法及网关 | |
| JP7434342B2 (ja) | 個別化されたネットワークサービスのためのコンテナビルダ | |
| CN102457507B (zh) | 云计算资源安全共享方法、装置及系统 | |
| US10397778B2 (en) | Computer network providing secure mobile device enrollment features and related methods | |
| CN105007577B (zh) | 一种虚拟sim卡参数管理方法、移动终端及服务器 | |
| CN109155781A (zh) | 对托管应用程序的动态访问 | |
| WO2018232111A1 (en) | Internet of things (iot) device management | |
| CN111131416B (zh) | 业务服务的提供方法和装置、存储介质、电子装置 | |
| CN105306211B (zh) | 一种客户端软件的身份认证方法 | |
| US9798895B2 (en) | Platform identity architecture with a temporary pseudonymous identity | |
| US9980142B2 (en) | Methods and apparatus for SIM-based authentication of non-SIM devices | |
| JP2018518738A (ja) | サーバまたは他の装置からのエントロピーに基づくクライアント装置の認証 | |
| US10277606B2 (en) | Anonymous application wrapping | |
| US20220012310A1 (en) | Method for license authentication, and node, system and computer-readable storage medium for the same | |
| CN104486343A (zh) | 一种双因子双向认证的方法及系统 | |
| CN109587101A (zh) | 一种数字证书管理方法、装置及存储介质 | |
| CN108471395A (zh) | 实现认证/授权的方法、装置、云计算系统及计算机系统 | |
| CN108347353A (zh) | 网络配置方法、装置及系统 | |
| CN112235301B (zh) | 访问权限的验证方法、装置和电子设备 | |
| CN111970240A (zh) | 集群纳管方法、装置及电子设备 | |
| CN104796255A (zh) | 一种客户端的安全认证方法、设备及系统 | |
| CN104170351B (zh) | 用于云计算系统中的通信终端的部署的系统 | |
| CN102420808A (zh) | 一种在电信网上营业厅实现单点登录的方法 | |
| CN108200046A (zh) | 终端设备的注册方法、装置、终端设备和代理服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |