CN110971657B - 用于提供云服务的系统和方法 - Google Patents

用于提供云服务的系统和方法 Download PDF

Info

Publication number
CN110971657B
CN110971657B CN201910922896.1A CN201910922896A CN110971657B CN 110971657 B CN110971657 B CN 110971657B CN 201910922896 A CN201910922896 A CN 201910922896A CN 110971657 B CN110971657 B CN 110971657B
Authority
CN
China
Prior art keywords
client device
security token
server
communication
secure database
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910922896.1A
Other languages
English (en)
Other versions
CN110971657A (zh
Inventor
马场俊辅
泽田圭介
辻井敦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yokogawa Electric Corp
Original Assignee
Yokogawa Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yokogawa Electric Corp filed Critical Yokogawa Electric Corp
Publication of CN110971657A publication Critical patent/CN110971657A/zh
Application granted granted Critical
Publication of CN110971657B publication Critical patent/CN110971657B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/009Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0806Configuration setting for initial configuration or provisioning, e.g. plug-and-play
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/35Protecting application or service provisioning, e.g. securing SIM application provisioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/062Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying encryption of the keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/067Network architectures or network communication protocols for network security for supporting key management in a packet data network using one-time keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)

Abstract

一种服务提供系统包括云平台,所述云平台包括:安全数据库,该安全数据库存储设备ID和与设备ID对应的一对公钥和私钥;和通信服务器,该通信服务器与安全数据库进行通信,该通信服务器:与客户端设备进行通信;从客户端设备接收发行安全令牌的请求,该请求包括客户端设备的设备ID和经公钥加密的数据;通过参考安全数据库确定加密数据是否可以用与客户端设备对应的私钥进行解密;并且响应于用该私钥解密所述加密数据,发行安全令牌并将其传输到客户端设备。

Description

用于提供云服务的系统和方法
技术领域
本发明总体上涉及一种用于提供云服务的服务提供系统和服务提供方法,例如一种IoT(物联网)(包括IIoT(工业物联网))系统和方法。
背景技术
IoT系统可以经由因特网提供各种云服务。图1示出了一种向属于顾客A、B、C、……X的多个设备提供这种云服务的传统IoT系统。例如,顾客A、B、C、……X可以:使用安装在房屋内的设备(例如,摄像机和传感器)远程监控房屋内部;在例如医院的地点使用贴附在患者身上的设备(例如传感器)接收异常事件的自动通知;使用设备(例如,智能手机和位置传感器)确认一个人的当前位置;以及使用附接其上的设备(例如,传感器)监控汽车或重型机械的当前位置和/或操作状态。
然而,在这种IoT系统中,未知其管理员的设备和/或具有安全问题的设备可能导致预料外或计划外的通信。此外,在因特网上观察到的许多非法数据包都来自被劫持的设备。
一些IoT云服务供应商提供的系统,可以管理设备/传感器并经由安全路径将设备/传感器连接到云平台上的IoT中心。例如,微软公司提供的云服务Microsoft
Figure BDA0002218125710000011
包括“Azure IoT Hub设备配置服务”。该服务可以管理设备/传感器,将设备/传感器安全地连接到云平台,并容易地部署设备/传感器。参见《用Azure IoT Hub设备配置服务配置设备》(https://docs.microsoft.com/en-us/azure/iot-dps/about-iot-dps)。
要在设备/传感器中使用“Azure IoT Hub设备配置服务”,必须使用微软公司提供的软件开发工具包(SDK)开发特定软件,并在设备/传感器中运行该软件。然而,“轻量级设备”,即具有有限计算性能、有限内存和/或有限存储器的设备,不能具有用于SDK所创建的软件的操作系统,并且不能实施该软件。
发明内容
一个或多个实施例提供了使客户端设备能够安全且容易地使用云服务的服务提供系统和服务提供方法。
本发明的一个或多个实施例提供了一种包括云平台的服务提供系统,该云平台包括:安全数据库,该安全数据库存储设备ID和与该设备ID对应的一对公钥和私钥;和通信服务器,该通信服务器与所述安全数据库进行通信,其中该通信服务器:与客户端设备进行通信;从客户端设备接收发行安全令牌的请求,该请求包括所述客户端设备的设备ID和用公钥加密的数据;通过参考所述安全数据库确定该加密数据是否可以用与所述客户端设备对应的私钥进行解密;并且响应于用该私钥解密所述加密数据,发行所述安全令牌并将该安全令牌传输到所述客户端设备。
本发明的一个或多个实施例提供了一种使用包括云平台的服务提供系统来提供云服务的方法,该云平台包括:安全数据库,该安全数据库存储设备ID和与该设备ID对应的一对公钥和私钥;和通信服务器,该通信服务器与所述安全数据库进行通信,所述方法包括:由所述通信服务器从客户端设备接收发行安全令牌的请求,该请求包括所述客户端设备的设备ID和用公钥加密的数据;通过参考所述安全数据库,由所述通信服务器确定该加密数据是否可以用与所述客户端设备对应的私钥进行解密;并且响应于用该私钥解密所述加密数据,由所述通信服务器发行所述安全令牌并将该安全令牌传输到所述客户端设备。
附图说明
图1示出了传统IoT系统的示意图。
图2示出了根据本发明的一个或多个实施例(下文简称为“一个或多个实施例”)的服务提供系统的框图。
图3示出了根据一个或多个实施例的客户端设备的框图。
图4示出了存储在根据一个或多个实施例的设备安全数据库中的信息的图。
图5示出了根据一个或多个实施例的配置服务器的框图。
图6示出了访问根据一个或多个实施例的配置服务器的客户端设备接口的图。
图7示出了解释根据一个或多个实施例的配置服务器的功能的图。
图8示出了根据一个或多个实施例的配置文件的图。
图9示出了根据一个或多个实施例的通信服务器的框图。
图10示出了解释根据一个或多个实施例的通信服务器的功能的图。
图11示出了根据一个或多个实施例的配置文件请求处理的流程图。
图12示出了根据一个或多个实施例的安全令牌发行请求处理的流程图。
图13示出了根据一个或多个实施例的数据传输处理的流程图。
图14示出了根据一个或多个实施例的命令传输处理的流程图。
图15示出了在HTTPS通信网络上执行的处理与在通信路径未加密的其他通信网络上执行的处理之间的比较表。
具体实施方式
现在将参照附图详细描述本发明的特定实施例。为了一致性,不同图中的相同元件由相同的附图标记表示。
在对本发明实施例的以下详细描述中,对许多具体细节进行阐述以便对本发明有一个更透彻的理解。然而,对于本领域技术人员来说,可以在没有这些具体细节的情况下实施本发明是明显易见的。在其他情况下,未对众所周知的特征进行详细描述以避免使该描述不必要地复杂化。
(服务提供系统)
图2示出了根据一个或多个实施例的服务提供系统1000的框图,服务提供系统1000包括IoT(物联网)/IIoT(工业物联网)系统。由服务提供系统1000提供的服务包括:能够远程监控房屋内部;在例如医院的地点接收异常事件的自动通知;确认一个人的当前位置;以及监控汽车或重型机械的当前位置和/或操作状态。服务提供系统1000包括客户端设备100、设备安全数据库200、配置服务器300、通信服务器400、配套工具500、设备文件数据库600和文件存储器700。配置服务器300和通信服务器400在云平台CP的云边缘CP1上,并且设备安全数据库200、设备文件数据库600和文件存储器700在云平台CP的后端系统CP2上。在本文中,“云平台”是硬件(诸如CPU、服务器和数据库)的通用术语,其构建经由诸如因特网的网络提供各种服务的计算机环境。
在一个或多个实施例中,配套工具500、设备文件数据库600和文件存储器700是任意部件并且可以省略。配套工具500是在装运之前存储在存储介质中并安装在客户端设备100中以自动执行使客户端设备100预备使用所需的设置的程序。设备文件数据库600对经由通信服务器400从客户端设备100传输的数据进行处理,并按时间顺序存储该数据。响应于来自客户端设备100的请求,文件存储器700存储文件并经由通信服务器400将文件传输到客户端设备100。
云平台CP的部件经由诸如广域网(WAN)、局域网(LAN)、移动电话网络和因特网之类的网络彼此连接。客户端设备100经由因特网连接到配置服务器300和通信服务器400。根据一个或多个实施例,客户端设备100经由HTTPS(安全超文本传输协议)通信网络与配置服务器300和通信服务器400进行通信,即在由SSL(安全套接字层)或者TLS(传输层安全)协议提供的安全连接上执行HTTP通信。
(客户端设备)
图3示出了根据一个或多个实施例的客户端设备100的框图。客户端设备100包括接口模块110和应用模块120,接口模块110和应用模块120经由通信连接器可拆卸地彼此连接。接口模块110可以选择性地连接到多个应用模块120中的每一个。接口模块110将应用模块120连接到诸如广域网(WAN)、局域网(LAN)、移动电话网络和因特网之类的网络。
接口模块110包括CPU 111、存储器112、网络接口113、计时器114和通信模块115。接口模块110还可以包括用于无线连接到网络的天线、用于执行定位的GPS、用于输入/输出数据的用户界面和用于向每个功能部件供电的电源中的至少一个。
根据一个或多个实施例的CPU 111是根据ARM架构制造的低功耗CPU,该CPU111适用于轻量级设备。
CPU 111经由网络接口113访问配置服务器300,以发送客户端设备100的设备ID并接收配置文件。设备ID预先存储在存储器112中。或者,配置服务器300发行设备ID并将设备ID与配置文件一起返回给客户端设备100。
CPU 111还经由网络接口113访问通信服务器400。在与通信服务器400进行通信之前,CPU 111可以基于从通信服务器400获得的信息确认通信服务器400是否是正确的(即,非虚假或未知的)服务器。例如,CPU 111可以确定根证书和服务器ID是否与通信服务器400的全限定域名(FQDN)一致。
然后,CPU 111经由网络接口113中的套接字向通信服务器400发送HTTP请求。例如,响应于经由网络接口113或通信模块115的输入操作,或响应于用户界面中的用户操作,由CPU 111写入HTTP请求。
为了请求通信服务器400发行安全令牌,CPU 111通过在标头(header)中对设备ID进行描述并在主体(body)中对二进制数据进行描述,以POST方式创建HTTP请求,并将HTTP请求发送到通信服务器400。根据一个或多个实施例,通过使用包含在配置文件中的公钥对设备ID和参考时间进行加密以创建二进制数据。参考时间是当客户端设备100将HTTP请求发送到通信服务器400时从计时器114获得的当前时间。或者,可以通过将当前时间加上或减去预定时段(例如,五分钟)来获得参考时间。
然后,CPU 111接收由通信服务器400发行的安全令牌和安全令牌的生存期。当通信服务器400不发行安全令牌时,CPU 111从通信服务器400接收错误响应,例如,HTTP状态码“500”。
由于客户端设备100的时钟并不总是与通信服务器400或设备安全数据库200的时钟同步,因此CPU 111基于参考时间和安全令牌的生存期(例如,一小时)计算安全令牌的有效时限(秒/分钟/小时/日/月/年)。例如,CPU 111将生存期和参考时间相加获得安全令牌的有效时限。然后,CPU 111将安全令牌、生存期和有效时限存储在存储器112中。
在发行安全令牌之后,为了将预定数据传输到通信服务器400,CPU 111通过在标头描述设备ID和安全令牌并在主体以JavaScript对象标记(JSON)格式描述预定数据以在POST方法中创建HTTP请求,并将HTTP请求发送到通信服务器400。如果通信服务器400确定安全令牌有效,则CPU 111从通信服务器400接收指示“有效”的响应,例如,HTTP状态码“200”。另一方面,如果通信服务器400确定安全令牌无效,则CPU 111从通信服务器400接收指示“无效”的响应,例如,HTTP状态码“450”。
客户端设备100可以基于客户端设备100的当前时间和安全令牌的生存期确定安全令牌的有效期是否已经到期。然而,客户端设备100也可以利用有效期已经到期的安全令牌传输数据,例如,在客户端设备100的计时器114延误时间的情况下。在这种情况下,客户端设备100可以在从通信服务器400接收HTTP状态码“450”之后重试安全令牌发行请求。
在发行安全令牌之后,为了将命令传输到通信服务器400,CPU 111通过在标头描述设备ID、安全令牌和命令ID并在主体描述任意负载(payload)以在POST方法中创建HTTP请求,并将HTTP请求发送到通信服务器400。如果通信服务器400确定安全令牌有效,则CPU111从通信服务器400接收指示“有效”的响应,例如,HTTP状态码“200”。另一方面,如果通信服务器400确定安全令牌无效,则CPU 111从通信服务器400接收指示“无效”的响应,例如,HTTP状态码“450”。
存储器112至少由RAM(随机存取存储器)和ROM(只读存储器)组成。存储器112存储各种信息,包括设备信息,例如客户端设备100的供应商标识信息、设备ID(例如,序列号)、型号名称和功能代码。存储器112存储各种数据,包括经由通信模块115从应用模块120获得的测量值。存储器112还存储(i)从配置服务器300输入的设备ID和配置文件,(ii)经由网络接口113从通信服务器400输入的安全令牌和安全令牌的生存期,以及(iii)安全令牌的有效时限。
网络接口113连接到网络,并经由网络将数据传输到其他设备或从其他设备传输数据。根据一个或多个实施例,网络接口113使客户端设备100经由因特网(HTTPS通信网络)与配置服务器300和通信服务器400进行通信。网络接口113包括一个或多个套接字,在该套接字中写入HTTP请求以执行套接字通信。
计时器114具有时钟功能并输出当前时间。
通信模块115包括CPU、内存和诸如A/D转换器的转换器,并且经由通信连接器可通信地连接到应用模块120,以根据应用模块120的功能执行通信。
根据一个或多个实施例的应用模块120是包括至少一个传感器121的传感器模块。传感器121测量物理量,例如,可以是温度传感器、湿度传感器、流速传感器、压力传感器、电压传感器和/或电流传感器。
或者,应用模块120可以是包括至少一个致动器122的致动器模块。例如,致动器122是风扇或马达。
或者,应用模块120可以是用户界面模块,包括遥控器、块(lump)和显示设备中的至少一个。
或者,应用模块120可以是继电设备,包括可以连接到其他设备的输入端口、输出端口和输入/输出端口(例如,USB端口)中的至少一个。其他设备/装置包括诸如摄像机和录影机的拍摄设备、读取设置在设备/装置上的条形码和/或二维码(例如,QR码(注册商标))的读取设备、包括收集设施中的异常声音的麦克风和发出警报声的扬声器的音频设备和输出每个设备的位置信息的位置检测设备。
应用模块120可以包括CPU、存储应用模块120的设备信息的存储器、具有时钟功能的计时器、输出/接收各种数据的用户界面和对每个功能部件进行供电的电源中的至少一个。应用模块120的设备信息包括应用模块120的供应商标识信息、序列号、型号名称和功能代码。
客户端设备100可以包括片上系统(SoC),ARM的CPU 111和具有TLS支持功能的网络接口113共同安装于该片上系统。
客户端设备100不限于上述设备,并且可以是移动设备、笔记本电脑和便携式终端,只要该客户端设备100可以经由因特网(HTTPS通信网络)与配置服务器300和通信服务器400进行通信并可以下载配置文件。
(设备安全数据库)
根据一个或多个实施例的设备安全数据库200,是能够使用设备ID作为密钥对诸如配置文件的相关信息进行高速访问的文档数据库。或者,设备安全数据库200可以是结构化查询语言(SQL)数据库。在文档数据库中以比在SQL数据库中更高的速度访问相关信息。只要高速访问相关信息,设备安全数据库200就可以使用其他数据模型。
图4示出了存储在根据一个或多个实施例的设备安全数据库200中的信息的图。
设备安全数据库200存储从配置服务器300传输的信息。具体而言,设备安全数据库200存储从配置服务器300输入的设备ID以及与该设备ID对应的一对私钥和公钥。根据一个或多个实施例,私钥和公钥是RSA私钥和RSA公钥。加密算法不限于RSA加密,并且可以使用诸如数据加密标准(DES)和高级加密标准(AES)的其他算法。
设备安全数据库200还存储从通信服务器400传输的信息。例如,设备安全数据库200存储与设备ID相关联的安全令牌、创建或更新安全令牌的时间和安全令牌的生存期。根据一个或多个实施例,安全令牌是一次性密码。
设备安全数据库200可以具有与通信服务器400相同的功能配置,这将在稍后进行描述。设备安全数据库200的处理器可以与通信服务器400的处理器410协作或代替通信服务器400的处理器410执行某些处理。例如,设备安全数据库200的处理器可以确定是否应该发行安全令牌,和/或确定安全令牌是否仍然有效。这些处理作为由通信服务器400的处理器410执行的处理将在稍后描述。
(配置服务器)
图5示出了根据一个或多个实施例的配置服务器300的框图。配置服务器300包括处理器310、内存320、计时器330、输入/输出接口340和通信模块350。
配置服务器300可以在接受来自客户端设备100的访问之前要求客户端设备100的用户输入认证信息。图6示出了当执行基本认证时,客户端设备100的接口模块110的用户界面的浏览器显示示例。如果获得认证,则配置服务器300接受来自客户端设备100的访问。
图7示出了解释根据一个或多个实施例的配置服务器300的功能的图。
当客户端设备访问配置服务器300时,处理器310确定设备ID是否存在,即是否可以指定设备ID。例如,如果配套工具500指定客户端设备100的设备ID,然后使客户端设备100访问配置服务器300,则处理器310确定设备ID存在。在确定设备ID不存在时,处理器310可以创建设备ID并将创建的设备ID与配置文件一起返回给客户端设备。
在确定设备ID存在时,处理器310使用设备ID作为密钥在设备安全数据库200中检索配置文件,并确定设备安全数据库200中是否存在与设备ID对应的配置文件。在确定配置文件存在的情况下,处理器310从设备安全数据库200读出配置文件并将该配置文件返回给客户端设备100。
在确定配置文件不存在时,处理器310创建与设备ID对应的一对私钥和公钥,基于设备ID和公钥创建配置文件,并存储该对私钥和公钥以及配置文件,使得与设备安全数据库200中的设备ID相关联。然后,处理器310将创建的配置文件返回给客户端设备100。
配置文件安装在客户端设备100中,并且使客户端设备100能够被识别。通过以JSON格式编写设备ID和对应的公钥来创建配置文件。图8示出了根据一个或多个实施例的配置文件的图。配置文件具有由设备ID和公钥组成的简单结构。因此,即使是轻量级设备也可以存储配置文件并使用配置文件执行处理。
内存320存储各种数据,并提供临时存储诸如要传输到设备安全数据库200的数据之类的数据的工作空间。内存320还存储服务器ID、IP地址和输入/输出接口340中套接字的端口号。
计时器330具有时钟功能并输出当前时间。
输入/输出接口340包括诸如键盘和鼠标的输入接口,以及诸如显示器的输出接口。或者,输入/输出接口340可以是具有输入和输出功能的触摸屏。
通信模块350包括CPU和内存,使配置服务器300经由网络与设备安全数据库200进行通信,并使配置服务器300经由因特网(HTTPS通信网络)与客户端设备100进行通信。根据一个或多个实施例,通信模块350包括用于执行套接字通信的一个或多个套接字。配置服务器300监听并接受连接请求,并经由套接字从客户端设备100接收HTTP请求。
(通信服务器)
图9示出了根据一个或多个实施例的通信服务器400的框图。通信服务器400包括处理器410、内存420、计时器430、输入/输出接口440和通信模块450。
图10示出了解释根据一个或多个实施例的通信服务器的功能的图。
当客户端设备100访问通信服务器400时,处理器410可以向客户端服务器100传输必要信息(例如根证书和服务器ID),用于确定通信服务器400是否是正确的服务器。
处理器410读取从客户端设备100发送的并在输入/输出接口440中的套接字中接收的HTTP请求。
当接收到来自客户端设备100的安全令牌发行请求时,处理器410从HTTP请求获得设备ID和二进制数据(加密数据),并且参考设备安全数据库200以确定以下每个项目是否真实:
(1)设备安全数据库200中是否存在设备ID;
(2)二进制数据是否可以用与设备ID对应的私钥进行解密;以及
(3)解密文本是否包含设备ID。
在确定所有项目都为真实时,处理器410将从设备安全数据库200获得的安全令牌和安全令牌的生存期返回给客户端设备100。因此,通信服务器400仅接收来自具有由设备ID和公钥组成的配置文件的客户端设备100的访问。处理器410还更新设备安全数据库200中的安全令牌、发行安全令牌的时间和安全令牌的生存期。在确定任一项目不为真实时,处理器410将错误响应(例如HTTP状态码“500”)返回给客户端设备100。
一旦在发行安全令牌之后预定时间过去并且处理器410从客户端设备100接收到数据传输请求,则处理器410从HTTP请求获得设备ID和安全令牌,并且参考设备安全数据库200以确定以下每个项目是否真实:
(i)设备安全数据库200中是否存在设备ID;
(ii)获得的安全令牌是否与检索到的与设备ID对应的安全令牌一致;以及
(iii)实际时间是否未超出安全令牌的时限。
在确定所有项目都为真实时,处理器410确定安全令牌有效,将预定数据存储在内存420中并/或将预定数据传输到设备文件数据库600,并将指示“有效”的响应(例如HTTP状态码“200”)返回给客户端设备100。在确定任一项目不为真实时,处理器410确定安全令牌无效,并将指示“无效”的响应(例如HTTP状态码“450”)返回给客户端设备100。
当在发行安全令牌之后预定时间过去并且处理器410从客户端设备100接收到命令传输请求,则处理器410从HTTP请求获得设备ID和安全令牌,并且参考设备安全数据库200以确定上述项目(i)-(iii)中的每个是否真实。
在确定所有项目都为真实时,处理器410确定安全令牌有效,执行与命令ID对应的处理,并将指示“有效”的响应(例如HTTP状态码“200”)返回给客户端设备100。在确定任一项目不为真实时,处理器410确定安全令牌无效,并将指示“无效”的响应(例如HTTP状态码“450”)返回给客户端设备100。
与命令ID对应的处理经由输入/输出接口440被输入并/或预先存储在内存420中。根据一个或多个实施例,与命令ID对应的处理包括将从应用模块120获得的数据传输到后端系统CP2处的设备文件数据库600,并从后端系统CP2处的文件存储器700下载某些文件,以将下载的文件传输到客户端设备100。
内存420存储各种数据,并提供临时存储诸如要传输到设备安全数据库200、设备文件数据库600和/或客户端设备100的数据之类的数据的工作空间。内存420存储从客户端设备100传输的与命令ID对应的处理。内存420还存储服务器ID、根证书、IP地址和输入/输出接口440中的套接字的端口号。
输入/输出接口440包括诸如键盘和鼠标的输入接口,以及诸如显示器的输出接口。或者,输入/输出接口440可以是具有输入和输出功能的触摸屏。
通信模块450包括CPU和内存,使通信服务器400经由网络与设备安全数据库200、设备文件数据库600和文件存储器700进行通信,并使通信服务器400经由因特网(HTTPS通信网络)与客户端设备100进行通信。根据一个或多个实施例,通信模块450包括用于执行套接字通信的一个或多个套接字。通信服务器400监听并接受连接请求,并经由套接字从客户端设备100接收HTTP请求。
(配套工具)
配套工具500是存储在诸如CD-ROM和USB的存储介质中并安装在客户端设备100中的程序。例如在制造工厂中装运之前,配套工具500使客户端设备100自动执行使客户端设备100预备使用所需的设置。配套工具500经由因特网(HTTPS通信网络)将客户端设备100自动地连接到配置服务器300,从配置服务器300安装在客户端设备100中进行设置所需的应用程序等。在省略配套工具500时,用户可以经由客户端设备100的用户界面手动执行设置。
当配套工具500使客户端设备100以HTTPS与配置服务器300进行通信时,客户端设备100的用户或操作者可以在使用命令行工具和/或用脚本语言编写的程序的同时访问配置服务器300。因此,配套工具500可以容易地与配置服务器300协作。
[客户端设备和配置服务器之间的通信]
图11示出了根据一个或多个实施例的配置文件请求处理的流程图。
当客户端设备100访问配置服务器300以下载配置文件时(S101),配置服务器300执行客户端设备100的基础认证。如果基于输入的信息获得了认证,则客户端设备100执行配置文件请求处理。如果未获得认证,则断开客户端设备100与配置服务器300之间的通信。
在获得认证之后,配置服务器300的处理器310确定设备ID是否存在(S102)。如果处理器310确定设备ID不存在(S102;否),则创建设备ID(S103)并将设备ID存储在设备安全数据库200中(S104)。如果处理器310确定设备ID存在(S102;是),则处理器310检索设备安全数据库200中的与设备ID对应的配置文件(S105),以确定配置文件是否存在(S106)。如果配置文件不存在(S106;否),则处理器310创建一对私钥和公钥以及配置文件(S107),并将与设备ID对应的该对私钥和公钥及配置文件存储到设备安全数据库200(S108)。然后,处理器310将设备ID(如果是创建的)和配置文件返回给客户端设备100(S109)。客户端设备100将设备ID(如果是创建的)和配置文件存储到存储器112中(S110)。
配置文件请求可以由安装在客户端设备100中的配套工具500自动执行,或者可以由制造工厂中的客户端设备100的用户或操作员手动执行。
(客户端设备和通信服务器之间的通信)
在一个或多个实施例中,在OSI层模型的应用层中的HTTP上实行用于执行安全令牌发行请求、JSON数据传输和命令传输的独特协议。
(安全令牌发行请求)
图12示出了根据一个或多个实施例的执行安全令牌发行请求的流程图。
当客户端设备100访问通信服务器400时(S201),通信服务器400的处理器410将诸如根证书和服务器ID的信息返回给客户端设备100(S202)。客户端设备100基于所接收的信息确定通信服务器400是否是正确的服务器(S203)。如果客户端设备100确定通信服务器400不是正确的服务器(S203;否),则客户端设备100与通信服务器400之间的通信断开(S204)。如果客户端设备100确定通信服务器400是正确的服务器(S203;是),则客户端设备100执行安全令牌发行请求。
当客户端设备100将包括设备ID和二进制数据(加密数据)的HTTP请求发送到通信服务器400时(S205),处理器410确定:设备安全数据库200中是否存在设备ID(S206);二进制数据是否可以用与设备ID对应的私钥进行解密(S207);以及解密文本是否包含设备ID(S208)。如果任一项目不为真实(S206:否,S207:否,或S208:否),则处理器410将HTTP状态码“500”返回给客户端设备100(S209)。如果S206-S208中的所有项目都为真实(S206:是,S207:是,且S208:是),则处理器410发行安全令牌和安全令牌的生存期(S210),并且将安全令牌、创建安全令牌的时间和安全令牌的生存期存储在设备安全数据库200中(S211)。然后,处理器410将安全令牌和安全令牌的生存期返回给客户端设备100(S212)。客户端设备100基于参考时间和安全令牌的生存期计算安全令牌的有效时限,并且存储安全令牌、安全令牌的生存期和安全令牌的有效时限(S213)。
(数据传输)
图13示出了根据一个或多个实施例的数据传输处理的流程图。
步骤S301-S304与上述步骤S201-S204相同。如果在发行安全令牌之后没有经过预定时间,则可以省略步骤S301-S304。
当客户端设备100将包括设备ID、安全令牌和预定数据的HTTP请求发送到通信服务器400时(S305),通信服务器400的处理器410确定:设备安全数据库200中是否存在设备ID(S306);获得的安全令牌是否与检索到的与设备ID对应的安全令牌一致(S307);实际时间是否未超出安全令牌的时限(S308)。如果任一项目不为真实(S306:否,S307:否,或S308:否),则处理器410将HTTP状态码“450”返回给客户端设备100(S309)。如果S306-S308中的所有项目都为真实(S306:是,S307:是,且S308:是),则处理器410将预定数据传输到设备文件数据库600(S310),并将预定数据存储在设备文件数据库600中(S311)。或者,处理器410可以将预定数据存储在内存420中。然后,处理器410返回HTTP状态码“200”(S312),并且客户端设备100接收HTTP状态码“200”(S313)。
(命令传输)
图14示出了根据一个或多个实施例的命令传输处理的流程图。
步骤S401-S404与上述步骤S201-S204相同。如果在发行安全令牌之后没有经过预定时间,则可以省略步骤S401-S404。
当客户端设备100发送包括设备ID、安全令牌和命令ID的HTTP请求时(S405),通信服务器400的处理器410确定:设备安全数据库200中是否存在设备ID(S406);获得的安全令牌是否与检索到的与设备ID对应的安全令牌一致(S407);实际时间是否未超出安全令牌的时限(S408)。如果任一项目不为真实(S406:否,S407:否,或S408:否),则处理器410将HTTP状态码“450”返回给客户端设备100(S409)。如果S406-S408中的所有项目都为真实(S406:是,S407:是,且S408:是),则处理器410将HTTP请求的负载传输到设备文件数据库600(S410),并将负载存储在设备文件数据库600中(S411)。或者,处理器410将负载存储在内存420中。同时,处理器410执行与从客户端设备100接收的命令ID对应的处理(步骤S412)。然后,处理器410返回HTTP状态码“200”(S413),并且客户端设备100接收HTTP状态码“200”(S414)。
如果与命令ID对应的处理是要从文件存储器700下载文件,则处理器410从文件存储器700检索文件并将文件传输到客户端设备100。在这种情况下,处理器410返回HTTP状态码“200”并且客户端设备100接收HTTP状态码“200”。如果文件不存在于文件存储器700中,则处理器410返回HTTP状态码“404”,并且客户端设备100接收HTTP状态码“404”。
如上所述,根据一个或多个实施例,客户端设备100可以经由HTTPS通信网络中的配置服务器300和/或通信服务器400安全地向云平台CP传输数据和从云平台CP接收数据。
根据一个或多个实施例,客户端设备100仅需要访问配置服务器300以被云平台CP提供的服务识别和管理。由于配置服务器300提供的配置文件仅由设备ID和公钥组成,即使在客户端设备100为轻量级设备的情况下,客户端设备100也可以使用云服务。根据一个或多个实施例,具有足够计算性能、足够内存和足够存储的客户端设备也可以使用云服务。因此,可以容易地部署一个或多个客户端设备100以使用云服务。
根据一个或多个实施例,当客户端设备100请求通信服务器400发行安全令牌时,通信服务器400通过确定是否可以用相应的私钥对二进制数据进行解密来确定客户端设备100是否是正确的设备。因此,通信服务器400可以容易且准确地确认由云服务管理的客户端设备100,并且可以防止被虚假或未知的设备访问,还可以防止客户端设备100访问错误的服务器。
在发行安全令牌之后,通信服务器400可以基于设备ID和安全令牌指定客户端设备100。因此,即使在客户端设备100的数量增加的情况下,通信服务器400也可以容易地指定由云服务管理的客户端设备100。通信服务器400还可以基于安全令牌的生存期和/或有效时限识别每个客户端设备100的操作条件。
根据一个或多个实施例,客户端设备100经由HTTPS通信网络与配置服务器300和通信服务器400进行通信。此外,由于在HTTP上实行独特协议以执行客户端设备100和通信服务器400之间的通信,可以经由安全连接传输诸如设备ID的信息。因此,客户端设备100可以经由通信服务器400安全地向设备文件数据库600和设备安全数据库200传输数据并从设备文件数据库600和设备安全数据库200接收数据。
一个或多个实施例不仅可以在HTTPS通信网络上实施,也可以在通信路径未加密的其他通信网络上实施。
图15示出了在HTTPS通信网络上执行的处理与在通信路径未加密的其他通信网络上执行的处理之间的比较表。
在一个或多个实施例中,设备ID、安全令牌和数据/命令没有像使用HTTPS中的加密连接一样被加密而进行传输。在通信路径未加密的通信网络上,使用公钥(以下称为“加密密钥”)对设备ID进行加密,以防止设备ID在网络上被伪造或被盗。在配置文件中描述加密密钥而不是设备ID,并且加密密钥被通信服务器400用于访问设备安全数据库200。在通信路径未加密的通信网络上,仅安全令牌可能不足以防止数据/命令被伪造或被盗。因此,数据/命令用公钥进行加密并与加密密钥一起被传输到通信服务器400。通信服务器400使用加密密钥在设备安全数据库200中检索相应的私钥,并用检索到的私钥对加密数据/命令进行解密。如果通信服务器400不能对加密的数据/命令进行解密,则通信服务器400将数据/命令作为伪造或虚假的数据进行丢弃,并终止处理。
根据一个或多个实施例的服务提供系统1000可以通过在典型商业云上作为平台即服务(PaaS)配备的网络服务和/或数据库上提供协议来实施,无需创建专用服务。因此,与在普通PC服务器上创建服务的情况相比,服务提供系统1000可以在成本、安全措施和可伸缩性方面更有利地实施。
根据一个或多个实施例的服务提供系统1000还可以应用于使用连续连接到因特网的互联汽车的系统,和/或使用省电无线传感器的远程监控系统。根据一个或多个实施例的服务提供系统1000还可以用于管理工厂部件和/或监控资源。
尽管本公开仅针对有限数量的实施例进行了描述,但是本领域技术人员在受益于本公开的情况下将认识到,在不脱离本发明范围的情况下可以设计各种其他实施例。因此,本发明的范围应该仅由所附权利要求来限定。

Claims (20)

1.一种服务提供系统,包括云平台,所述云平台包括:
安全数据库,所述安全数据库存储设备ID和与该设备ID对应的一对公钥和私钥;和
通信服务器,所述通信服务器与所述安全数据库进行通信,其中所述通信服务器:
与客户端设备进行通信;
从所述客户端设备接收发行安全令牌的请求,所述请求包括所述客户端设备的设备ID和经公钥加密的数据;
通过参考所述安全数据库确定所述加密数据是否可以用与所述客户端设备对应的私钥进行解密;以及
响应于用该私钥解密所述加密数据,发行所述安全令牌并将所述安全令牌传输到所述客户端设备。
2.根据权利要求1所述的服务提供系统,其中,所述通信服务器通过使用所述客户端设备的设备ID作为密钥,在所述安全数据库中检索与所述客户端设备对应的私钥。
3.根据权利要求1所述的服务提供系统,其中,所述通信服务器还:
确定所述解密数据是否包括所述客户端设备的设备ID;以及
如果所述解密数据包括所述客户端设备的设备ID,发行所述安全令牌并将所述安全令牌传输到所述客户端设备。
4.根据权利要求1所述的服务提供系统,其中,所述通信服务器发行所述安全令牌的生存期并将所述安全令牌的生存期与所述安全令牌一起传输到所述客户端设备。
5.根据权利要求4所述的服务提供系统,其中,每当发行所述安全令牌和所述安全令牌的生存期时,所述通信服务器在所述安全数据库中存储或更新所述安全令牌和所述安全令牌的生存期。
6.根据权利要求1所述的服务提供系统,其中,
所述云平台还包括云配置服务器,所述云配置服务器与所述安全数据库和所述客户端设备进行通信,
所述安全数据库存储由所述设备ID和与所述设备ID对应的公钥组成的配置文件,并且
所述云配置服务器从所述安全数据库获得与所述客户端设备对应的配置文件,并响应于来自所述客户端设备的请求将该配置文件传输到所述客户端设备。
7.根据权利要求6所述的服务提供系统,其中,当所述安全数据库中不存在与所述客户端设备对应的配置文件时,所述云配置服务器创建与所述客户端设备对应的一对公钥和私钥以及由所述客户端设备的设备ID和所创建的公钥组成的配置文件,并将所创建的配置文件传输到所述客户端设备。
8.根据权利要求7所述的服务提供系统,其中,每当创建所述一对公钥和私钥以及所述配置文件时,所述云配置服务器在所述安全数据库中存储或更新所述一对公钥和私钥以及所述配置文件。
9.根据权利要求1所述的服务提供系统,其中,所述通信服务器经由HTTPS通信网络与所述客户端设备进行通信。
10.根据权利要求6所述的服务提供系统,其中,所述云配置服务器经由HTTPS通信网络与所述客户端设备进行通信。
11.一种使用包括云平台的服务提供系统提供云服务的方法,所述云平台包括:安全数据库,所述安全数据库存储设备ID和与设备ID对应的一对公钥和私钥;和通信服务器,所述通信服务器与所述安全数据库进行通信,所述方法包括:
由所述通信服务器从客户端设备接收发行安全令牌的请求,所述请求包括所述客户端设备的设备ID和经公钥加密的数据;
通过参考所述安全数据库,由所述通信服务器确定所述加密数据是否可以用与所述客户端设备对应的私钥进行解密;以及
响应于用该私钥解密所述加密数据,由所述通信服务器发行所述安全令牌并将所述安全令牌传输到所述客户端设备。
12.根据权利要求11所述的方法,其中,所述确定包括通过使用所述客户端设备的设备ID作为密钥,在所述安全数据库中检索与所述客户端设备对应的私钥。
13.根据权利要求11所述的方法,其中,
所述确定包括确定所解密的数据是否包括所述客户端设备的设备ID;并且
如果所解密的数据包括所述客户端设备的设备ID,则由所述通信服务器执行所述发行和所述传输。
14.根据权利要求11所述的方法,其中,所述发行和所述传输包括发行所述安全令牌的生存期并将所述安全令牌的生存期与所述安全令牌一起传输到所述客户端设备。
15.根据权利要求14所述的方法,进一步包括:每当发行所述安全令牌和所述安全令牌的生存期时,由所述通信服务器在所述安全数据库中存储或更新所述安全令牌和所述安全令牌的生存期。
16.根据权利要求11所述的方法,其中,
所述云平台还包括云配置服务器,所述云配置服务器与所述安全数据库和所述客户端设备进行通信,
所述安全数据库还存储由所述设备ID和与所述设备ID对应的公钥组成的配置文件,并且
所述方法还包括:
由所述云配置服务器从所述安全数据库获得与所述客户端设备对应的所述配置文件,并响应于来自所述客户端设备的请求将所述配置文件传输到所述客户端设备。
17.根据权利要求16所述的方法,还包括:
当所述安全数据库中不存在与所述客户端设备对应的所述配置文件时,由所述云配置服务器创建与所述客户端设备对应的一对公钥和私钥以及由所述客户端设备的设备ID和所创建的公钥组成的配置文件,并将所创建的配置文件传输到所述客户端设备。
18.根据权利要求17所述的方法,还包括:
每当创建所述一对公钥和私钥以及所述配置文件时,由所述云配置服务器在所述安全数据库中存储或更新所述一对公钥和私钥以及所述配置文件。
19.根据权利要求11所述的方法,其中,由所述通信服务器经由HTTPS通信网络与所述客户端设备进行通信。
20.根据权利要求16所述的方法,其中,由所述云配置服务器经由HTTPS通信网络与所述客户端设备进行通信。
CN201910922896.1A 2018-09-28 2019-09-27 用于提供云服务的系统和方法 Active CN110971657B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US16/146,667 2018-09-28
US16/146,667 US20200106612A1 (en) 2018-09-28 2018-09-28 System and method for providing cloud service

Publications (2)

Publication Number Publication Date
CN110971657A CN110971657A (zh) 2020-04-07
CN110971657B true CN110971657B (zh) 2022-06-03

Family

ID=68104391

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910922896.1A Active CN110971657B (zh) 2018-09-28 2019-09-27 用于提供云服务的系统和方法

Country Status (4)

Country Link
US (1) US20200106612A1 (zh)
EP (1) EP3629546B1 (zh)
JP (1) JP2020057378A (zh)
CN (1) CN110971657B (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
HK1254273A2 (zh) * 2018-12-03 2019-07-12 Foris Ltd 安全的分佈式密鑰管理系統
US11030293B2 (en) * 2018-12-31 2021-06-08 Beijing Didi Infinity Technology And Development Co., Ltd. Method and system for configurable device fingerprinting
US11190514B2 (en) * 2019-06-17 2021-11-30 Microsoft Technology Licensing, Llc Client-server security enhancement using information accessed from access tokens
US20230300114A1 (en) * 2020-04-21 2023-09-21 Zscaler, Inc. Endpoint Data Loss Prevention
CN113872917A (zh) * 2020-06-30 2021-12-31 北京奇虎鸿腾科技有限公司 轻量IoT云控安全系统及云控安全监测方法
US11134117B1 (en) * 2020-06-30 2021-09-28 Amazon Technologies, Inc. Network request intercepting framework for compliance monitoring
CN112131564B (zh) * 2020-09-30 2024-08-20 腾讯科技(深圳)有限公司 加密数据通信方法、装置、设备以及介质
CN115277053B (zh) * 2022-06-08 2024-04-23 深圳蜂鸟创新科技服务有限公司 基于SaaS和Pass平台的数据处理方法及系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101202753A (zh) * 2007-11-29 2008-06-18 中国电信股份有限公司 一种客户端访问插件应用系统的方法和装置
CN102668503A (zh) * 2009-12-21 2012-09-12 国际商业机器公司 对加密文件系统的安全Kerberos化访问
US8977857B1 (en) * 2012-02-10 2015-03-10 Google Inc. System and method for granting access to protected information on a remote server
US9202076B1 (en) * 2013-07-26 2015-12-01 Symantec Corporation Systems and methods for sharing data stored on secure third-party storage platforms
CN105471833A (zh) * 2015-05-14 2016-04-06 瑞数信息技术(上海)有限公司 一种安全通讯方法和装置
CN106023458A (zh) * 2016-05-13 2016-10-12 智车优行科技(北京)有限公司 车辆控制方法、装置、终端、车辆、服务器及系统

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9054874B2 (en) * 2011-12-01 2015-06-09 Htc Corporation System and method for data authentication among processors
US9154470B2 (en) * 2012-05-25 2015-10-06 Canon U.S.A., Inc. System and method for processing transactions
AU2013101046A4 (en) * 2013-05-23 2013-09-19 Nowww.Us Pty Ltd A process for Encrypted Login to a Secure Computer Network, for the Creation of a Session of Encrypted Communications Between Computers and a Device Including a Mobile Phone Logged into a Network, for the Persistence of Encrypted Communications between Communication Devices, and for the Termination of Communications.
US9538311B2 (en) * 2014-02-04 2017-01-03 Texas Instruments Incorporated Auto-provisioning for internet-of-things devices
US11132694B2 (en) * 2014-12-31 2021-09-28 Paypal, Inc. Authentication of mobile device for secure transaction
US10171462B2 (en) * 2015-12-14 2019-01-01 Afero, Inc. System and method for secure internet of things (IOT) device provisioning
JP6736305B2 (ja) * 2016-02-18 2020-08-05 キヤノン株式会社 情報処理システム、情報処理装置、サーバ装置、情報処理システムの制御方法、及びプログラム

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101202753A (zh) * 2007-11-29 2008-06-18 中国电信股份有限公司 一种客户端访问插件应用系统的方法和装置
CN102668503A (zh) * 2009-12-21 2012-09-12 国际商业机器公司 对加密文件系统的安全Kerberos化访问
US8977857B1 (en) * 2012-02-10 2015-03-10 Google Inc. System and method for granting access to protected information on a remote server
US9202076B1 (en) * 2013-07-26 2015-12-01 Symantec Corporation Systems and methods for sharing data stored on secure third-party storage platforms
CN105471833A (zh) * 2015-05-14 2016-04-06 瑞数信息技术(上海)有限公司 一种安全通讯方法和装置
CN106023458A (zh) * 2016-05-13 2016-10-12 智车优行科技(北京)有限公司 车辆控制方法、装置、终端、车辆、服务器及系统

Also Published As

Publication number Publication date
EP3629546B1 (en) 2021-06-09
US20200106612A1 (en) 2020-04-02
JP2020057378A (ja) 2020-04-09
CN110971657A (zh) 2020-04-07
EP3629546A1 (en) 2020-04-01

Similar Documents

Publication Publication Date Title
CN110971657B (zh) 用于提供云服务的系统和方法
US11128612B1 (en) Zero-touch provisioning of IoT devices with multi factor authentication
US20180219676A1 (en) Managing smart appliances using blockchain technology
EP1630677A1 (en) Maintenance mediation apparatus, maintenance target apparatus maintenance method, and maintenance system
CN110100247A (zh) 用于无线iot系统的强认证和易用性的嵌入式证书方法
KR20040089452A (ko) 정보 처리 시스템, 정보 처리 장치 및 방법
JP2021502735A (ja) ゲートウェイ管理コンソールにアクセスする方法、システム、およびプログラム
US11373762B2 (en) Information communication device, authentication program for information communication device, and authentication method
US20230208831A1 (en) Service processing method and apparatus, server, and storage medium
WO2018129753A1 (zh) 一种签约信息集的下载方法、装置以及相关设备
KR20200088901A (ko) 보안 트랜잭션용 장치의 자가 인증
CN109600451A (zh) 一种基于Websocket长连接的终端设备固件升级方法及系统
CN111475823A (zh) 一种数据共享方法、设备、服务器及可读存储介质
KR101704319B1 (ko) 파라미터 설정 시스템, 프로그램 관리 장치, 및 정보 처리 장치
KR20160146753A (ko) 단거리 통신을 사용한 네트워크 노드 보안
WO2023177831A1 (en) Sensor data authentication
JP4611679B2 (ja) 通信装置、通信システム、通信方法及びプログラム
CN116171441A (zh) 利用受信任方第三方hsm及数据库安全共享密钥
JP4611676B2 (ja) 通信装置、通信システム、通信方法及びプログラム
CN113711566A (zh) 在设备上提供数据
JP6654206B2 (ja) 計測システム
JP6750260B2 (ja) 情報処理装置およびエージェントシステム
JP4611678B2 (ja) 通信装置、通信システム、通信方法及びプログラム
TWI854152B (zh) 用於提供安全的現場升級之方法、相關電腦可讀儲存媒體及電子裝置
JP5721776B2 (ja) 制御システム、制御方法および制御装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant