CN109996219B - 一种物联网鉴权方法、网络设备及终端 - Google Patents
一种物联网鉴权方法、网络设备及终端 Download PDFInfo
- Publication number
- CN109996219B CN109996219B CN201810009212.4A CN201810009212A CN109996219B CN 109996219 B CN109996219 B CN 109996219B CN 201810009212 A CN201810009212 A CN 201810009212A CN 109996219 B CN109996219 B CN 109996219B
- Authority
- CN
- China
- Prior art keywords
- terminal
- information
- token information
- security object
- token
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种物联网鉴权方法、网络设备及终端,其方法包括:向终端发送目标安全对象的属性信息;其中,属性信息中携带有令牌Token信息;接收终端发送的携带有Token信息的限制应用协议CoAP数据包;根据Token信息对CoAP数据包进行验证。本发明的网络设备通过目标安全对象的属性信息向终端发送Token信息,在Token信息的有效期限内只需发送一次,可减少Token信息的传输次数,节省网络开销。相应地,终端也仅需存储一次Token信息,可减少终端存储Token信息的资源需求。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种物联网鉴权方法、网络设备及终端。
背景技术
随着物联网技术的发展,大量物联网设备开始接入到不同的物联网平台。对于物联网平台或称为物联网服务器来说,需要对这些物联网设备的接入安全进行管理。现有的安全管理协议包括不同的应用层协议,其中,轻量型机器对机器(Lightweight Machine toMachine,LwM2M)协议是基于用户数据报协议(User Datagram Protocol,UDP)和限制应用协议(Constrained Application Protocol,CoAP)的一种应用层协议。其中,CoAP协议是基于表述性状态转移(Representational State Transfer,REST)架构的协议,用于资源受限型的,即只有少量的内存空间和有限的计算能力的物联网设备上。
通过令牌(Token)信息进行鉴权是一种常见的权限管理方法,对于接入的物联网设备,物联网平台在对设备进行合法性验证以后,会根据一定的规则生成一个Token然后下发给终端,终端需要存储该Token,以用于与物联网平台的后续交互。其中,为了提高安全性能,该Token需要定期更新。
进一步地,在CoAP协议的报文头中预留了用于指示Token信息长度的TKL字段,以及用于传输Token信息的Token字段。当使用LwM2M的设备接入物联网平台时,平台就可以利用CoAP协议里面的TKL字段和Token字段将有效的Token信息传递给终端。终端需要存储该Token,同时终端回复平台侧的请求时需要携带平台下发的Token信息,平台对收到的数据包解析后验证Token信息的合法性和有效性,从而保证平台通信的安全。
但是,LwM2M协议中并没有单独的下发Token信息的指令,只能将Token信息携带在每个请求消息里,终端需要将每次消息的Token信息存储下来,回复时再取出来发送给平台,这样会增加物联网终端的资源负担,尤其增加资源受限的终端的资源负担。
发明内容
本发明提供一种物联网鉴权方法、网络设备及终端,解决了现有技术中物联网通过Token信息鉴权时资源负担重的问题。
本发明的实施例提供一种物联网鉴权方法,应用于网络设备,包括:
向终端发送目标安全对象的属性信息;其中,属性信息中携带有令牌Token信息;
接收终端发送的携带有Token信息的限制应用协议CoAP数据包;
根据Token信息对CoAP数据包进行验证。
其中,向终端发送目标安全对象的属性信息的步骤之前,还包括:
接收终端发送的携带有安全对象信息的注册请求;其中,安全对象信息用于指示目标安全对象;
根据注册请求,对终端进行注册,并向终端反馈相应的注册消息。
其中,向终端发送目标安全对象的属性信息的步骤,包括:
向终端发送用于将目标安全对象设置为Token模式的第一写入操作;
向终端发送用于写入Token信息的第二写入操作;以使终端根据第一写入操作和第二写入操作,设置目标安全对象的属性信息。
其中,向终端发送用于写入Token信息的第二写入操作的步骤之后,还包括:
当检测到Token信息更新后,向终端发送用于写入更新后的Token信息的第三写入操作;以使终端根据第三写入操作更新目标安全对象的属性信息。
其中,根据Token信息对CoAP数据包进行验证的步骤,包括:
检测Token信息是否与当前Token信息是否一致;
若一致,则验证CoAP数据包合法,响应CoAP数据包;
若不一致,则验证CoAP数据包非法,忽略CoAP数据包。
本发明的实施例还提供了一种网络设备,包括:
第一发送模块,用于向终端发送目标安全对象的属性信息;其中,属性信息中携带有令牌Token信息;
第一接收模块,用于接收终端发送的携带有Token信息的限制应用协议CoAP数据包;
验证模块,用于根据Token信息对CoAP数据包进行验证。
其中,网络设备还包括:
第二接收模块,用于接收终端发送的携带有安全对象信息的注册请求;其中,安全对象信息用于指示目标安全对象;
反馈模块,用于根据注册请求,对终端进行注册,并向终端反馈相应的注册消息。
其中,第一发送模块包括:
第一发送子模块,用于向终端发送用于将目标安全对象设置为Token模式的第一写入操作;
第二发送子模块,用于向终端发送用于写入Token信息的第二写入操作;以使终端根据第一写入操作和第二写入操作,设置目标安全对象的属性信息。
其中,第一发送模块还包括:
第三发送子模块,用于当检测到Token信息更新后,向终端发送用于写入更新后的Token信息的第三写入操作;以使终端根据第三写入操作更新目标安全对象的属性信息。
其中,验证模块包括:
检测子模块,用于检测Token信息是否与当前Token信息是否一致;
第一处理子模块,用于若一致,则验证CoAP数据包合法,响应CoAP数据包;
第二处理子模块,用于若不一致,则验证CoAP数据包非法,忽略CoAP数据包。
本发明的实施例还提供了一种网络设备,网络设备包括处理器、存储器以及存储于存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述的物联网鉴权方法中的步骤。
本发明的实施例还提供了一种物联网鉴权方法,应用于终端,包括:
接收网络设备发送的目标安全对象的属性信息;其中,属性信息中携带有令牌Token信息;
向网络设备发送携带有Token信息的限制应用协议CoAP数据包。
其中,接收网络设备发送的目标安全对象的属性信息的步骤之前,还包括:
向网络设备发送携带有安全对象信息的注册请求;其中,安全对象信息用于指示目标安全对象;
接收网络设备根据注册请求反馈的注册消息。
其中,接收网络设备发送的目标安全对象的属性信息的步骤,包括:
接收网络设备发送的用于将目标安全对象设置为Token模式的第一写入操作;
接收网络设备发送的用于写入Token信息的第二写入操作;
根据第一写入操作和第二写入操作,设置目标安全对象的属性信息。
其中,根据第一写入操作和第二写入操作,设置目标安全对象的属性信息的步骤之后,还包括:
接收网络设备发送的用于写入更新后的Token信息的第三写入操作;
根据第三写入操作更新目标安全对象的属性信息。
本发明的实施例还提供了一种终端,包括:
第三接收模块,用于接收网络设备发送的目标安全对象的属性信息;其中,属性信息中携带有令牌Token信息;
第二发送模块,用于向网络设备发送携带有Token信息的限制应用协议CoAP数据包。
其中,终端还包括:
第三发送模块,用于向网络设备发送携带有安全对象信息的注册请求;其中,安全对象信息用于指示目标安全对象;
第四接收模块,用于接收网络设备根据注册请求反馈的注册消息。
其中,第三接收模块包括:
第一接收子模块,用于接收网络设备发送的用于将目标安全对象设置为Token模式的第一写入操作;
第二接收子模块,用于接收网络设备发送的用于写入Token信息的第二写入操作;
设置子模块,用于根据第一写入操作和第二写入操作,设置目标安全对象的属性信息。
其中,第三接收模块还包括:
第三接收子模块,用于接收网络设备发送的用于写入更新后的Token信息的第三写入操作;
更新子模块,用于根据第三写入操作更新目标安全对象的属性信息。
本发明的实施例还提供了一种终端,该终端包括处理器、存储器以及存储于存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述的物联网鉴权方法中的步骤。
本发明的实施例还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述的物联网鉴权方法的步骤。
本发明的上述技术方案的有益效果是:网络设备通过目标安全对象的属性信息向终端发送Token信息,在Token信息的有效期限内只需发送一次,可减少Token信息的传输次数,节省网络开销。相应地,终端也仅需存储一次Token信息,可减少终端存储Token信息的资源需求。
附图说明
图1表示本发明实施例网络设备侧的物联网鉴权方法的流程示意图;
图2表示本发明实施例网络设备的模块结构示意图;
图3表示本发明实施例的网络设备框图;
图4表示本发明实施例终端侧的物联网鉴权方法的流程示意图;
图5表示本发明实施例终端的模块结构示意图;
图6表示本发明实施例的终端框图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。在下面的描述中,提供诸如具体的配置和组件的特定细节仅仅是为了帮助全面理解本发明的实施例。因此,本领域技术人员应该清楚,可以对这里描述的实施例进行各种改变和修改而不脱离本发明的范围和精神。另外,为了清楚和简洁,省略了对已知功能和构造的描述。
应理解,说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本发明的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。
在本发明的各种实施例中,应理解,下述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
另外,本文中术语“系统”和“网络”在本文中常可互换使用。
在本申请所提供的实施例中,应理解,“与A相应的B”表示B与A相关联,根据A可以确定B。但还应理解,根据A确定B并不意味着仅仅根据A确定B,还可以根据A和/或其它信息确定B。
如图1所示,本发明的实施例提供了一种物联网鉴权方法,应用于网络设备,具体包括以下步骤:
步骤11:向终端发送目标安全对象的属性信息。
其中,网络设备指的是物联网平台。属性信息中携带有令牌Token信息。这里是指扩展LwM2M协议中定义的安全(Security)对象,将Token信息存储在安全对象中。其中,LwM2M协议中每个对象均对应终端某个特定功能实体(Objects),具体地,LwM2M协议中定义了多个标准实体,如:服务实体(LwM2M Server Object)、接入控制实体(LwM2M AccessControl Object)、防火墙实体(LwM2M Firmware object)等,每个实体对应有资源信息,例如防火墙实体可以有防火墙版本号、防火墙大小(size)等资源信息。此外,LwM2M协议中还定义了物联网设备的多个对象,如:LwM2M安全(Security)对象,LwM2M服务(Server)对象,LwM2M接入控制(Access Control)对象,LwM2M设备(Device),LwM2M连接追踪(Connectivity Monitoring)对象,LwM2M防火墙(Firmware),LwM2M位置(Location),LwM2M连接统计(Connectivity Statistics)对象。其中的编号为0的安全对象是一个必选的对象,该对象包括了设备安全使用的一些属性,包括安全模式(Security Mode)设定及其相应的内容。
其中,安全对象的安全模式包括:预共享密钥(Pre-Shared Key)模式、初始公共密钥(Raw Public Key)模式、证书(Certificate)模式、NoSec模式、带安全运输注册(EST)的证书模式,以及令牌(Token)模式。其中,令牌模式下安全对象的属性信息中携带有Token信息。
具体地,安全对象的安全模式的取值如下表所示:
其中,在公钥和身份(Public Key and Identify)属性中加入对Token信息存储的支持,具体如下表所示:
值得指出的是,上述对象和属性信息在满足预设条件时,都可使用标准协议指令进行操作,如:读取操作(Read)、写入(Write)操作和执行(Execute)操作等。具体地,步骤11包括:向终端发送用于将目标安全对象设置为Token模式的第一写入操作;向终端发送用于写入Token信息的第二写入操作;以使终端根据第一写入操作和第二写入操作,设置目标安全对象的属性信息。具体地,网络设备下发写操作给终端,其中写的属性为<0/0/2>,设置为Token模式,同时将Token信息写入<0/0/3>。其中,写消息格式如下表所示:
此外,网络设备在需要更新Token信息时,还需执行以下步骤:当检测到Token信息更新后,向终端发送用于写入更新后的Token信息的第三写入操作;以使终端根据第三写入操作更新目标安全对象的属性信息。也就是说,在需要更新Token信息时再次执行写操作,写入时可以不用设置安全模式,而直接写入更新后的Token信息到</0/0/3>属性。
进一步地,步骤11之前还包括终端的注册过程,具体地:接收终端发送的携带有安全对象信息的注册请求;其中,安全对象信息用于指示目标安全对象;根据注册请求,对终端进行注册,并向终端反馈相应的注册消息。具体地,终端向网络设备发起注册请求,该注册请求中需要携带安全对象信息,具体注册消息如下表所示:
网络设备根据上述注册请求对终端进行注册,并向终端反馈相应的注册消息,以告知终端完成注册。
步骤12:接收终端发送的携带有Token信息的限制应用协议CoAP数据包。
网络设备在将携带有Token信息的属性信息发送至终端后,终端写入目标安全对象的属性信息,当后续有CoAP数据包需要发送时,从<0/0>中获取安全模式,若为Token模式,则读取属性信息中存储的Token信息,并将读取的Token信息放入CoAP数据包中,发送至网络设备。
步骤13:根据Token信息对CoAP数据包进行验证。
网络设备根据接收到的CoAP数据包中的Token信息以及自身当前Token信息进行比对,从而验证CoAP数据包的合法性,以保证数据传输的安全性。具体地,检测Token信息是否与当前Token信息是否一致;若一致,则验证CoAP数据包合法,响应CoAP数据包;若不一致,则验证CoAP数据包非法,忽略CoAP数据包。
本发明实施例的物联网鉴权方法中,网络设备通过目标安全对象的属性信息向终端发送Token信息,在Token信息的有效期限内只需发送一次,可减少Token信息的传输次数,节省网络开销。相应地,终端也仅需存储一次Token信息,可减少终端存储Token信息的资源需求。
以上实施例分别就本发明的物联网鉴权方法做出介绍,下面本实施例将结合附图对其对应的网络设备做进一步说明。
具体地,如图2所示,本发明实施例的网络设备,包括:
第一发送模块210,用于向终端发送目标安全对象的属性信息;其中,属性信息中携带有令牌Token信息;
第一接收模块220,用于接收终端发送的携带有Token信息的限制应用协议CoAP数据包;
验证模块230,用于根据Token信息对CoAP数据包进行验证。
其中,网络设备还包括:
第二接收模块,用于接收终端发送的携带有安全对象信息的注册请求;其中,安全对象信息用于指示目标安全对象;
反馈模块,用于根据注册请求,对终端进行注册,并向终端反馈相应的注册消息。
其中,第一发送模块210包括:
第一发送子模块,用于向终端发送用于将目标安全对象设置为Token模式的第一写入操作;
第二发送子模块,用于向终端发送用于写入Token信息的第二写入操作;以使终端根据第一写入操作和第二写入操作,设置目标安全对象的属性信息。
其中,第一发送模块210还包括:
第三发送子模块,用于当检测到Token信息更新后,向终端发送用于写入更新后的Token信息的第三写入操作;以使终端根据第三写入操作更新目标安全对象的属性信息。
其中,验证模块230包括:
检测子模块,用于检测Token信息是否与当前Token信息是否一致;
第一处理子模块,用于若一致,则验证CoAP数据包合法,响应CoAP数据包;
第二处理子模块,用于若不一致,则验证CoAP数据包非法,忽略CoAP数据包。
本发明的网络设备实施例是与上述方法的实施例对应的,上述方法实施例中的所有实现手段均适用于该网络设备的实施例中,也能达到相同的技术效果。该网络设备通过目标安全对象的属性信息向终端发送Token信息,在Token信息的有效期限内只需发送一次,可减少Token信息的传输次数,节省网络开销。相应地,终端也仅需存储一次Token信息,可减少终端存储Token信息的资源需求。
为了更好的实现上述目的,如图3所示,本发明的实施例还提供了一种网络设备,该网络设备包括:处理器300;通过总线接口与所述处理器300相连接的存储器320,以及通过总线接口与处理器300相连接的收发机310;所述存储器320用于存储所述处理器在执行操作时所使用的程序和数据;通过所述收发机310发送数据信息或者导频,还通过所述收发机310接收上行控制信道;当处理器300调用并执行所述存储器320中所存储的程序和数据时,实现如下的功能。
具体地,收发机310,用于在处理器300的控制下接收和发送数据,具体用于向终端发送目标安全对象的属性信息;其中,属性信息中携带有令牌Token信息;并接收终端发送的携带有Token信息的限制应用协议CoAP数据包。
处理器300用于读取存储器320中的程序,并执行下列过程:根据Token信息对CoAP数据包进行验证。
进一步地,收发机310还用于:接收终端发送的携带有安全对象信息的注册请求;其中,安全对象信息用于指示目标安全对象;
处理器300还用于:根据注册请求,对终端进行注册,并控制收发机310向终端反馈相应的注册消息。
具体地,收发机310,用于在处理器300的控制下接收和发送数据,具体用于向终端发送用于将目标安全对象设置为Token模式的第一写入操作;
向终端发送用于写入Token信息的第二写入操作;以使终端根据第一写入操作和第二写入操作,设置目标安全对象的属性信息。
具体地,收发机310,用于在处理器300的控制下接收和发送数据,具体还用于当检测到Token信息更新后,向终端发送用于写入更新后的Token信息的第三写入操作;以使终端根据第三写入操作更新目标安全对象的属性信息。
具体地,处理器300用于读取存储器320中的程序,并执行:检测Token信息是否与当前Token信息是否一致;
若一致,则验证CoAP数据包合法,响应CoAP数据包;
若不一致,则验证CoAP数据包非法,忽略CoAP数据包。
其中,在图3中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器300代表的一个或多个处理器和存储器320代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机310可以是多个元件,即包括发送机和收发机,提供用于在传输介质上与各种其他装置通信的单元。处理器300负责管理总线架构和通常的处理,存储器320可以存储处理器300在执行操作时所使用的数据。
本领域技术人员可以理解,实现上述实施例的全部或者部分步骤可以通过硬件来完成,也可以通过计算机程序来指示相关的硬件来完成,所述计算机程序包括执行上述方法的部分或者全部步骤的指令;且该计算机程序可以存储于一可读存储介质中,存储介质可以是任何形式的存储介质。
以上从网络侧介绍了本发明实施例的物联网鉴权方法,下面将结合附图对终端侧的物联网鉴权方法做进一步说明。
如图4所示,本发明实施例提供了一种物联网鉴权方法,应用于终端,具体包括以下步骤:
步骤41:接收网络设备发送的目标安全对象的属性信息。
其中,属性信息中携带有令牌Token信息。这里是指扩展LwM2M协议中定义的安全(Security)对象,将Token信息存储在安全对象中。其中,安全对象的安全模式包括:预共享密钥(Pre-Shared Key)模式、初始公共密钥(Raw Public Key)模式、证书(Certificate)模式、NoSec模式、带安全运输注册(EST)的证书模式,以及令牌(Token)模式。其中,令牌模式下安全对象的属性信息中携带有Token信息。
终端在初次接入物联网后,在步骤41之前,终端向网络设备发送携带有安全对象信息的注册请求;其中,安全对象信息用于指示目标安全对象;接收网络设备根据注册请求反馈的注册消息。
上述对象和属性信息在满足预设条件时,都可使用标准协议指令进行操作,如:读取操作(Read)、写入(Write)操作和执行(Execute)操作等。具体地,步骤41具体包括:接收网络设备发送的用于将目标安全对象设置为Token模式的第一写入操作;接收网络设备发送的用于写入Token信息的第二写入操作;根据第一写入操作和第二写入操作,设置目标安全对象的属性信息。具体地,网络设备下发写操作给终端,其中写的属性为<0/0/2>,设置为Token模式,同时将Token信息写入<0/0/3>。
此外,当网络设备更新Token信息后,终端需要更新存储的Token信息,这时接收网络设备发送的用于写入更新后的Token信息的第三写入操作;根据第三写入操作更新目标安全对象的属性信息。也就是说,在需要更新Token信息时再次执行写操作,写入时可以不用设置安全模式,而直接写入更新后的Token信息到</0/0/3>属性。
步骤42:向网络设备发送携带有Token信息的限制应用协议CoAP数据包。
终端写入目标安全对象的属性信息,当后续有CoAP数据包需要发送时,从<0/0>中获取安全模式,若为Token模式,则读取属性信息中存储的Token信息,并将读取的Token信息放入CoAP数据包中,发送至网络设备,以使网络设备根据CoAP数据包携带的Token信息以及网络设备自身最新的Token信息,对CoAP数据包进行验证,以保证数据传输的安全性。
本发明实施例的物联网鉴权方法中,终端接收网络设备通过属性信息发送的Token信息,在Token信息的有效期限内只需发送一次,可减少Token信息的传输次数,节省网络开销。相应地,终端也仅需存储一次Token信息,可减少终端存储Token信息的资源需求。
以上实施例分别就本发明的物联网鉴权方法做出介绍,下面本实施例将结合附图对其对应的终端做进一步说明。
如图5所示,本发明实施例的终端,包括:
第三接收模块510,用于接收网络设备发送的目标安全对象的属性信息;其中,属性信息中携带有令牌Token信息;
第二发送模块520,用于向网络设备发送携带有Token信息的限制应用协议CoAP数据包。
其中,终端还包括:
第三发送模块,用于向网络设备发送携带有安全对象信息的注册请求;其中,安全对象信息用于指示目标安全对象;
第四接收模块,用于接收网络设备根据注册请求反馈的注册消息。
其中,第三接收模块510包括:
第一接收子模块,用于接收网络设备发送的用于将目标安全对象设置为Token模式的第一写入操作;
第二接收子模块,用于接收网络设备发送的用于写入Token信息的第二写入操作;
设置子模块,用于根据第一写入操作和第二写入操作,设置目标安全对象的属性信息。
其中,第三接收模块510还包括:
第三接收子模块,用于接收网络设备发送的用于写入更新后的Token信息的第三写入操作;
更新子模块,用于根据第三写入操作更新目标安全对象的属性信息。
本发明的终端实施例是与上述方法的实施例对应的,上述方法实施例中的所有实现手段均适用于该终端的实施例中,也能达到相同的技术效果。该终端接收网络设备通过属性信息发送的Token信息,在Token信息的有效期限内只需发送一次,可减少Token信息的传输次数,节省网络开销。相应地,终端也仅需存储一次Token信息,可减少终端存储Token信息的资源需求。
如图6所示,本实施例提供一种终端,包括:
处理器61;以及通过总线接口62与所述处理器61相连接的存储器63,所述存储器63用于存储所述处理器61在执行操作时所使用的程序和数据,当处理器61调用并执行所述存储器63中所存储的程序和数据时,执行下列过程。
其中,收发机64与总线接口62连接,用于在处理器61的控制下接收和发送数据,具体地接收网络设备发送的目标安全对象的属性信息;其中,属性信息中携带有令牌Token信息;向网络设备发送携带有Token信息的限制应用协议CoAP数据包。
具体地,收发机64还用于:向网络设备发送携带有安全对象信息的注册请求;其中,安全对象信息用于指示目标安全对象;
接收网络设备根据注册请求反馈的注册消息。
具体地,收发机64还用于:接收网络设备发送的用于将目标安全对象设置为Token模式的第一写入操作;
接收网络设备发送的用于写入Token信息的第二写入操作;
处理器61用于:根据第一写入操作和第二写入操作,设置目标安全对象的属性信息。
具体地,收发机64还用于:接收网络设备发送的用于写入更新后的Token信息的第三写入操作;
处理器61具体用于:根据第三写入操作更新目标安全对象的属性信息。
需要说明的是,在图6中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器61代表的一个或多个处理器和存储器63代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机64可以是多个元件,即包括发送机和收发机,提供用于在传输介质上与各种其他装置通信的单元。针对不同的终端,用户接口65还可以是能够外接内接需要设备的接口,连接的设备包括但不限于小键盘、显示器、扬声器、麦克风、操纵杆等。处理器61负责管理总线架构和通常的处理,存储器63可以存储处理器61在执行操作时所使用的数据。
本领域技术人员可以理解,实现上述实施例的全部或者部分步骤可以通过硬件来完成,也可以通过计算机程序来指示相关的硬件来完成,所述计算机程序包括执行上述方法的部分或者全部步骤的指令;且该计算机程序可以存储于一可读存储介质中,存储介质可以是任何形式的存储介质。
此外,需要指出的是,在本发明的装置和方法中,显然,各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本发明的等效方案。并且,执行上述系列处理的步骤可以自然地按照说明的顺序按时间顺序执行,但是并不需要一定按照时间顺序执行,某些步骤可以并行或彼此独立地执行。对本领域的普通技术人员而言,能够理解本发明的方法和装置的全部或者任何步骤或者部件,可以在任何计算装置(包括处理器、存储介质等)或者计算装置的网络中,以硬件、固件、软件或者它们的组合加以实现,这是本领域普通技术人员在阅读了本发明的说明的情况下运用他们的基本编程技能就能实现的。
因此,本发明的目的还可以通过在任何计算装置上运行一个程序或者一组程序来实现。所述计算装置可以是公知的通用装置。因此,本发明的目的也可以仅仅通过提供包含实现所述方法或者装置的程序代码的程序产品来实现。也就是说,这样的程序产品也构成本发明,并且存储有这样的程序产品的存储介质也构成本发明。显然,所述存储介质可以是任何公知的存储介质或者将来所开发出来的任何存储介质。还需要指出的是,在本发明的装置和方法中,显然,各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本发明的等效方案。并且,执行上述系列处理的步骤可以自然地按照说明的顺序按时间顺序执行,但是并不需要一定按照时间顺序执行。某些步骤可以并行或彼此独立地执行。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (17)
1.一种物联网鉴权方法,应用于网络设备,其特征在于,包括:
向终端发送目标安全对象的属性信息,包括:向终端发送用于将目标安全对象设置为Token模式的第一写入操作;向所述终端发送用于写入Token信息的第二写入操作;以使所述终端根据所述第一写入操作和第二写入操作,设置所述目标安全对象的属性信息;其中,所述属性信息中携带有令牌Token信息,在Token信息的有效期限内只需发送一次;
接收所述终端发送的携带有所述Token信息的限制应用协议CoAP数据包;
根据所述Token信息对所述CoAP数据包进行验证。
2.根据权利要求1所述的物联网鉴权方法,其特征在于,所述向终端发送目标安全对象的属性信息的步骤之前,还包括:
接收终端发送的携带有安全对象信息的注册请求;其中,所述安全对象信息用于指示目标安全对象;
根据所述注册请求,对所述终端进行注册,并向所述终端反馈相应的注册消息。
3.根据权利要求1所述的物联网鉴权方法,其特征在于,所述向所述终端发送用于写入Token信息的第二写入操作的步骤之后,还包括:
当检测到Token信息更新后,向所述终端发送用于写入更新后的Token信息的第三写入操作;以使所述终端根据所述第三写入操作更新所述目标安全对象的属性信息。
4.根据权利要求1所述的物联网鉴权方法,其特征在于,所述根据所述Token信息对所述CoAP数据包进行验证的步骤,包括:
检测所述Token信息是否与当前Token信息是否一致;
若一致,则验证所述CoAP数据包合法,响应所述CoAP数据包;
若不一致,则验证所述CoAP数据包非法,忽略所述CoAP数据包。
5.一种网络设备,其特征在于,包括:
第一发送模块,用于向终端发送目标安全对象的属性信息;其中,所述属性信息中携带有令牌Token信息,在Token信息的有效期限内只需发送一次;
第一接收模块,用于接收所述终端发送的携带有所述Token信息的限制应用协议CoAP数据包;
验证模块,用于根据所述Token信息对所述CoAP数据包进行验证;
所述第一发送模块包括:
第一发送子模块,用于向终端发送用于将目标安全对象设置为Token模式的第一写入操作;
第二发送子模块,用于向所述终端发送用于写入Token信息的第二写入操作;以使所述终端根据所述第一写入操作和第二写入操作,设置所述目标安全对象的属性信息。
6.根据权利要求5所述的网络设备,其特征在于,所述网络设备还包括:
第二接收模块,用于接收终端发送的携带有安全对象信息的注册请求;其中,所述安全对象信息用于指示目标安全对象;
反馈模块,用于根据所述注册请求,对所述终端进行注册,并向所述终端反馈相应的注册消息。
7.根据权利要求5所述的网络设备,其特征在于,所述第一发送模块还包括:
第三发送子模块,用于当检测到Token信息更新后,向所述终端发送用于写入更新后的Token信息的第三写入操作;以使所述终端根据所述第三写入操作更新所述目标安全对象的属性信息。
8.根据权利要求5所述的网络设备,其特征在于,所述验证模块包括:
检测子模块,用于检测所述Token信息是否与当前Token信息是否一致;
第一处理子模块,用于若一致,则验证所述CoAP数据包合法,响应所述CoAP数据包;
第二处理子模块,用于若不一致,则验证所述CoAP数据包非法,忽略所述CoAP数据包。
9.一种网络设备,其特征在于,所述网络设备包括处理器、存储器以及存储于存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现权利要求1至4中任一项所述的物联网鉴权方法中的步骤。
10.一种物联网鉴权方法,应用于终端,其特征在于,包括:
接收网络设备发送的目标安全对象的属性信息,包括:接收网络设备发送的用于将目标安全对象设置为Token模式的第一写入操作;接收网络设备发送的用于写入Token信息的第二写入操作;根据所述第一写入操作和第二写入操作,设置所述目标安全对象的属性信息;其中,所述属性信息中携带有令牌Token信息,在Token信息的有效期限内只需发送一次;
向所述网络设备发送携带有所述Token信息的限制应用协议CoAP数据包。
11.根据权利要求10所述的物联网鉴权方法,其特征在于,所述接收网络设备发送的目标安全对象的属性信息的步骤之前,还包括:
向网络设备发送携带有安全对象信息的注册请求;其中,所述安全对象信息用于指示目标安全对象;
接收所述网络设备根据所述注册请求反馈的注册消息。
12.根据权利要求10所述的物联网鉴权方法,其特征在于,所述根据所述第一写入操作和第二写入操作,设置所述目标安全对象的属性信息的步骤之后,还包括:
接收网络设备发送的用于写入更新后的Token信息的第三写入操作;
根据所述第三写入操作更新所述目标安全对象的属性信息。
13.一种终端,其特征在于,包括:
第三接收模块,用于接收网络设备发送的目标安全对象的属性信息;其中,所述属性信息中携带有令牌Token信息,在Token信息的有效期限内只需发送一次;
第二发送模块,用于向所述网络设备发送携带有所述Token信息的限制应用协议CoAP数据包;
第三接收模块包括:
第一接收子模块,用于接收网络设备发送的用于将目标安全对象设置为Token模式的第一写入操作;
第二接收子模块,用于接收网络设备发送的用于写入Token信息的第二写入操作;
设置子模块,用于根据所述第一写入操作和第二写入操作,设置所述目标安全对象的属性信息。
14.根据权利要求13所述的终端,其特征在于,所述终端还包括:
第三发送模块,用于向网络设备发送携带有安全对象信息的注册请求;其中,所述安全对象信息用于指示目标安全对象;
第四接收模块,用于接收所述网络设备根据所述注册请求反馈的注册消息。
15.根据权利要求13所述的终端,其特征在于,所述第三接收模块还包括:
第三接收子模块,用于接收网络设备发送的用于写入更新后的Token信息的第三写入操作;
更新子模块,用于根据所述第三写入操作更新所述目标安全对象的属性信息。
16.一种终端,其特征在于,所述终端包括处理器、存储器以及存储于存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现权利要求10至12中任一项所述的物联网鉴权方法中的步骤。
17.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现权利要求1至4、权利要求10至12中任一项所述的物联网鉴权方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810009212.4A CN109996219B (zh) | 2018-01-02 | 2018-01-02 | 一种物联网鉴权方法、网络设备及终端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810009212.4A CN109996219B (zh) | 2018-01-02 | 2018-01-02 | 一种物联网鉴权方法、网络设备及终端 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109996219A CN109996219A (zh) | 2019-07-09 |
| CN109996219B true CN109996219B (zh) | 2022-05-06 |
Family
ID=67128588
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810009212.4A Active CN109996219B (zh) | 2018-01-02 | 2018-01-02 | 一种物联网鉴权方法、网络设备及终端 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109996219B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110602124B (zh) * | 2019-09-20 | 2021-10-01 | 四川长虹电器股份有限公司 | 一种用于物联网中的连续认证的方法 |
| US11765053B2 (en) | 2019-11-04 | 2023-09-19 | Telefonaktiebolaget Lm Ericsson (Publ) | Distributed computation orchestration for internet-of-things devices using CoAP and LWM2M protocols |
| CN111259371B (zh) * | 2020-01-13 | 2023-08-18 | 平安科技(深圳)有限公司 | 物联网设备认证方法、电子装置及存储介质 |
| CN111669386B (zh) * | 2020-05-29 | 2021-06-04 | 武汉理工大学 | 一种基于令牌且支持客体属性的访问控制方法及装置 |
| CN118300819A (zh) * | 2022-08-22 | 2024-07-05 | 超聚变数字技术有限公司 | 数据的传输方法、发送方法、及计算设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102014129A (zh) * | 2010-11-22 | 2011-04-13 | 华为技术有限公司 | 一种在CoAP网络中注册的方法及装置 |
| CN104125565A (zh) * | 2013-04-23 | 2014-10-29 | 中兴通讯股份有限公司 | 一种基于oma dm实现终端认证的方法、终端及服务器 |
| CN106445588A (zh) * | 2016-09-08 | 2017-02-22 | 腾讯科技(深圳)有限公司 | 属性信息的更新方法及装置 |
-
2018
- 2018-01-02 CN CN201810009212.4A patent/CN109996219B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102014129A (zh) * | 2010-11-22 | 2011-04-13 | 华为技术有限公司 | 一种在CoAP网络中注册的方法及装置 |
| WO2012068835A1 (zh) * | 2010-11-22 | 2012-05-31 | 华为技术有限公司 | 一种在CoAP网络中注册的方法及装置 |
| CN104125565A (zh) * | 2013-04-23 | 2014-10-29 | 中兴通讯股份有限公司 | 一种基于oma dm实现终端认证的方法、终端及服务器 |
| CN106445588A (zh) * | 2016-09-08 | 2017-02-22 | 腾讯科技(深圳)有限公司 | 属性信息的更新方法及装置 |
Non-Patent Citations (3)
| Title |
|---|
| Authorization for the Internet of Things using OAuth 2.0 draft-ietf-ace-oauth-authz-01;L. Seitz等;《IETF ACE Working Group Internet-Draft》;20160225;第3-18、45-48页 * |
| Datagram Transport Layer Security (DTLS) Profiles for Authentication and Authorization for Constrained Environments (ACE) draft-ietf-ace-dtls-authorize-02;S. Gerdes等;《IETF ACE Working Group Internet-Draft》;20171030;第2-8页 * |
| S4-171205:Pseudo-CR Update CoAP overview with block-wise transfers;Expway;《3GPP TSG-SA WG4 Meeting #96》;20171107;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109996219A (zh) | 2019-07-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109996219B (zh) | 一种物联网鉴权方法、网络设备及终端 | |
| CN110944330B (zh) | Mec平台部署方法及装置 | |
| CN108923908B (zh) | 授权处理方法、装置、设备及存储介质 | |
| KR101270323B1 (ko) | 단일 서비스 사인 온을 제공하는 방법, 장치 및 컴퓨터 판독가능 저장 매체 | |
| US20190082026A1 (en) | Interface invocation method and apparatus for hybrid cloud | |
| CN110798471B (zh) | 空调管理方法及相关装置 | |
| CN106209726B (zh) | 一种移动应用单点登录方法及装置 | |
| CN112788031B (zh) | 基于Envoy架构的微服务接口认证系统、方法及装置 | |
| CN110677383B (zh) | 防火墙开墙方法、装置、存储介质及计算机设备 | |
| CN109981680B (zh) | 一种访问控制实现方法、装置、计算机设备及存储介质 | |
| CN114745431B (zh) | 基于边车技术的无侵入式权限认证方法、系统、介质和设备 | |
| CN113505382B (zh) | 微服务鉴权方法、电子装置和存储介质 | |
| CN113271289A (zh) | 用于资源授权和访问的方法、系统和计算机存储介质 | |
| WO2019019593A1 (zh) | 无状态通信安全签名方法、终端及服务器端 | |
| CN111404695A (zh) | 令牌请求验证方法和装置 | |
| CN109510799B (zh) | 页面展示方法、浏览器客户端、设备及存储介质 | |
| CN114389890B (zh) | 一种用户请求的代理方法、服务器及存储介质 | |
| CN112087475B (zh) | 一种云平台组件应用的消息推送方法、装置及消息服务器 | |
| DE102014204589A1 (de) | Verfahren und vorrichtung zur einwilligungsabwicklung für einen transfer sicherer daten | |
| US10785147B2 (en) | Device and method for controlling route of traffic flow | |
| CN111682945B (zh) | 一种区块链的权限控制方法、装置、设备和介质 | |
| CN109815202B (zh) | 日志编辑方法及相关装置 | |
| CN109450887B (zh) | 数据传输方法、装置及系统 | |
| CN113497762A (zh) | 数据报文的传输方法及装置 | |
| WO2021082945A1 (zh) | 一种远程管理方法、系统、终端设备及服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |