CN112887339B - 一种终端设备的分布式分组管理方法 - Google Patents

一种终端设备的分布式分组管理方法 Download PDF

Info

Publication number
CN112887339B
CN112887339B CN202110433864.2A CN202110433864A CN112887339B CN 112887339 B CN112887339 B CN 112887339B CN 202110433864 A CN202110433864 A CN 202110433864A CN 112887339 B CN112887339 B CN 112887339B
Authority
CN
China
Prior art keywords
terminal equipment
group
ticket
type
identity
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110433864.2A
Other languages
English (en)
Other versions
CN112887339A (zh
Inventor
王贺
高健伦
顾志诚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Yaguan Technology Co ltd
Original Assignee
Hangzhou Yaguan Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Yaguan Technology Co ltd filed Critical Hangzhou Yaguan Technology Co ltd
Priority to CN202110433864.2A priority Critical patent/CN112887339B/zh
Publication of CN112887339A publication Critical patent/CN112887339A/zh
Application granted granted Critical
Publication of CN112887339B publication Critical patent/CN112887339B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/16Arrangements for providing special services to substations
    • H04L12/18Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security

Abstract

一种终端设备的分布式分组管理方法,属于数据传输技术领域,包括以下步骤:将终端设备联网并管理成组,使得该终端设备能在网络上访问;将终端设备组成两类群组:即私人群组和公共群组;步骤1,终端设备的身份验证;步骤2,群组的注册;步骤3,终端设备的注册。本方案将组群分为私人群组和公共群组。使用者通过创建私人群组,方便访问自己的终端设备。使用者通过创建公共群组,使得他们的终端设备能与他人共享资源。私人群组,用以方便单一用户对于其所有的终端设备的控制,保证了私密性。公共群组,用以方便不同用户之间的资源共享。

Description

一种终端设备的分布式分组管理方法
技术领域
本发明属于数据传输技术领域,具体涉及一种终端设备的分布式分组管理方法。
背景技术
为了配合智能社区的建设,将会有越来越多的终端设备进行联网。以监控摄像头为例,目前实现社区内监控的网络主要有两种模式:
1,社区内监控设备组成的网络为独立的局域网。这种模式,信息安全度较高。但是,监控使用者只能局限于在固定的地方(例如监控室)观看录像,只能在该局域网中访问对应的摄像头。
2,社区内监控设备组成网络后通过服务器连接互联网。这种模式,局域网与互联网之间的数据传输、同一局域网内的设备之间的数据传输,都是通过该服务器,数据传输效率低,且该服务器的负载过于集中。
如果对终端设备管理,使用IP组播技术。IP组播技术在多点视频数据传输方面具有很大的优势,这样,可以减少不必要的重叠发送,与多次点对点的单播相比,减轻了系统和网络的负担,提高了CPU资源和网络带宽的利用率,极大地改善了视频数据传输的实时性。参与通信的各终端设备不论是源站点还是目的站点均使用同一程序,无客户机和服务器之分,从而具有对等性。
但是,IP组播缺少必要的安全机制,并不提供访问控制以及身份验证,用户可以随意地加入组播组和随意地向组播组发送信息。
因此,有必要提供一种分布式的终端设备信号传输方式,避免服务器的负载过于集中,且又方便使用者在不同的地方访问终端设备,同时,建设有必要的安全机制。
发明内容
鉴于上述现有技术的不足之处,本发明的目的在于提供一种终端设备的分布式分组管理方法。
为了达到上述目的,本发明采取了以下的技术方案。
一种终端设备的分布式分组管理方法,包括以下步骤:将终端设备联网并管理成组,使得该终端设备能在网络上访问;将终端设备组成两类群组:即私人群组和公共群组;
接入网络的有终端设备、身份验证服务器、集群管理服务器,该网络可以是专用网络或者互联网;
步骤1,终端设备的身份验证;终端设备向身份验证服务器发送注册消息,通过双连接身份认证为第一类终端设备,并授予第一票证,其它未执行或者不能执行双连接身份认证的作为第二类终端设备,并授予第二票证;
步骤2,群组的注册;
步骤3,终端设备的注册:
步骤3a,集群管理服务器接收到来自终端设备的注册信息,判断该票证是否为有效票证;如果不是有效票证,则发送401响应;如果是有效票证,则判断组别信息中的组别是否存在;
步骤3b,如果存在该组别信息,则集群管理服务器在该组别信息中加上该终端设备的IP地址和标识符并根据该组别的公钥更新票证中的会话密钥,但不改变会话密钥的种类;如果不存在该组别信息,则返回至步骤2,并且集群管理服务器在该组别信息中加上该终端设备的IP地址和标识符并根据该组别的公钥更新票证中的会话密钥,但不改变会话密钥的种类。
进一步,所述私人群组,由单一用户使用的终端设备联网组成,该单一用户有权访问该私人群组中所有终端设备;
所述公共群组,由不同用户使用的设备联网组成,支持资源共享给其组成员,多个用户中的任一用户均有权读取或者调用公共群组中所有设备的网络数据,实现不同用户之间的资源共享;
进一步,身份验证服务器,负责对终端设备的身份验证;每个终端设备在接入专用网络或者互联网时,都必须进行身份验证;在身份验证的过程中,如果终端设备通过双连接身份认证,则身份验证服务器信任该终端设备并将其识别为第一类终端设备,否则,身份验证服务器将其识别为第二类终端设备;
集群管理服务器,用以管理和维护私人群组和公共群组的组别信息;集群管理服务器,包括处理模块、数据库;处理模块,用以新建和连接组,并分配IP地址和维护标识符;数据库,用以存储私人群组和公共群组的组别信息。
进一步,步骤1,双连接身份认证的机制如下:
身份验证服务器收到之后,将返回未经授权消息,并发送重定向消息,未经授权消息和重定向消息携带注册消息中的随机值;重定向消息携带身份验证服务器的电话号码;
第一类终端设备收到之后,通过电话网络拨打身份验证服务器的电话号码;
身份验证服务器接到电话之后自动挂断;
第一类终端设备,向身份验证服务器和集群管理服务器发送更改消息,通知身份验证服务器和集群管理服务器,电话呼叫已经完成;
身份验证服务器内设有来电显示接收器,身份验证服务器提取接收到的来电的电话号码,并与终端设备的注册消息中的用户指定的电话号码进行比较,如果两个号码相同,则该终端设备通过双连接身份认证,身份验证服务器可以信任该终端设备并将其识别为第一类终端设备,并将第一票证发送给第一类终端设备;否则身份验证服务器将其识别为第二类终端设备,并将第二票证发送给第二类终端设备。
进一步,第一票证和第二票证,分别对应第一类终端设备和第二类终端设备;加密票证的秘钥K在身份验证服务器和集群管理服务器之间预先共享;
第一票证,携带有第一会话密钥、第一类终端设备的设备身份、使用者电话号码、终端设备标识符、时间戳、IP地址;所述第一会话密钥,用以实现信息流的双向读取;所述时间戳用以票证的时间设置,包括票证的有效起始时间和失效时间。
第二票证,携带有第二会话密钥、第二类终端设备的设备身份、使用者电话号码、终端设备标识符、时间戳、IP地址;所述第二会话密钥,用以实现信息的单向读取;所述时间戳用以票证的时间设置,包括票证的有效起始时间和失效时间;此处的使用者电话号码,有则写上,没有则为0。
进一步,步骤2中,获得票证的终端设备,向集群管理服务器发送注册请求,注册请求携带有票证和指定组别信息;组别信息包括组名、组类型和组描述,其中组类型为私人群组或公共群组;
集群管理服务器,通过在身份验证服务器和集群管理服务器之间预先共享的加密票证的秘钥K验证票证信息,如果提取到第一类终端设备的设备身份,则通过验证,则向终端设备反馈交换信息,根据组别信息创建该组别,存储组别信息和创建组的终端设备的标识符。
一种终端设备的分布式分组管理方法,还包括步骤4,第二类终端设备转变为第一类终端设备:
第二类终端设备,向集群管理服务器发送携带有用户指定的电话号码、第二票证的身份转化请求;
集群管理服务器验证身份转化请求,通过第二票证中的设备身份确认该请求来自于第二类终端设备,然后将该请求转发给该第二类终端设备所在的组别的任一第一类终端设备;
收到消息的第一类终端设备,比对用户指定的电话号码;如果比对通过,则将确认信息和第一会议密钥发送集群管理服务器;否则发送否认消息;
集群管理服务器,若接收到确认信息,则将该第二类终端设备识别为第一类终端设备,并在数据库中更新;然后将第一会议密钥发送给该第二类终端设备;
第二类终端设备,接收到第一会议密钥后,更新会议密钥、设备身份、使用者电话号码,将票证更新为第一票证。
本发明,具有以下优点:
1.本方案将组群分为私人群组和公共群组。使用者通过创建私人群组,方便访问自己的终端设备。使用者通过创建公共群组,使得他们的终端设备能与他人共享资源。私人群组,用以方便单一用户对于其所有的终端设备的控制,保证了私密性。公共群组,用以方便不同用户之间的资源共享。当下,视频会议或者网络会议非常频繁,很多用户都时常在家办公,社区内不同的用户也有更多互动的需求。因此,有必要将社区的设备组网,利用网络进行相互交流和资源共享。
2.本方案使用IP组播技术,无论是私人群组和公共群组,都直接在终端设备之间进行信息流的传输,不再通过服务器,而身份验证服务器和集群管理服务器,仅用于身份验证和注册。减轻了系统和网络的负担,提高了CPU资源和网络带宽的利用率,极大地改善了视频数据传输的实时性。
3.本方案采用了认证机制和分组密钥管理。根据不同的认证结果,授予不同的票证,从而实现不同的权限,对于第二类终端设备,仅具有单向信息流的发送权限,从而保证了私密性。且每个组群中共享一个公钥,以便他们可以使用它来进行消息身份验证,确保消息确实来自组成员。
4.本方案并不局限于互联网,还可以应用于专用网络(包括局域网)。
附图说明
图1是终端设备的身份验证的消息流示意图;
图2是双向连接认证的消息流示意图;
图3是终端设备的注册的流程图;
图4是第二类终端设备转变为第一类终端设备的消息流示意图;
图5是系统框架图;
图6是私人群组在实际应用中应用场景的框架示意图。
具体实施方式
我们通过群组的概念来对终端设备进行分组管理。我们将终端设备组成两类群组:即私人群组和公共群组。
所述私人群组,由单一用户使用的终端设备联网组成,该单一用户有权访问该私人群组中所有终端设备,读取或者调用该私人群组中所有终端设备的数据资源。
所述公共群组,由不同用户使用的设备联网组成,支持资源共享给其组成员,多个用户中的任一用户均有权读取或者调用公共群组中所有设备的网络数据,从而实现不同用户之间的资源共享,例如监控的分享或者档案影音的分享。
私人群组,用以方便单一用户对于其所有的终端设备的控制,保证了私密性。公共群组,用以方便不同用户之间的资源共享。当下,视频会议或者网络会议非常频繁,很多用户都时常在家办公,社区内不同的用户也有更多互动的需求。因此,有必要将社区的设备组网,利用网络进行相互交流和资源共享。
本方案将终端设备联网并管理成组,使得该终端设备能在网络上访问。接入网络的有终端设备、身份验证服务器、集群管理服务器,该网络可以是专用网络(包括局域网)或者互联网。
终端设备,包括但不限于:摄像头、打印机、智能门锁、电子围栏、电脑、手机、各类传感器(如温湿度传感器)。将终端设备分成两类:能通过双连接身份认证的第一类终端设备,其它未执行或者不能执行双连接身份认证的第二类终端设备。
身份验证服务器,负责对终端设备的身份验证。每个终端设备在接入专用网络或者互联网时,都必须进行身份验证。在身份验证的过程中,如果终端设备通过双连接身份认证,则身份验证服务器可以信任该终端设备并将其识别为第一类终端设备,否则,身份验证服务器将其识别为第二类终端设备。
集群管理服务器,用以管理和维护私人群组和公共群组的组别信息。集群管理服务器,包括处理模块、数据库。处理模块,用以新建和连接组,并分配IP地址和维护标识符。数据库,用以存储私人群组和公共群组的组别信息。
步骤1,终端设备的身份验证;
当终端设备成功拨打电话号码,身份验证服务器提供双连接身份认证的机制,如图1所示,双连接身份认证的机制如下:
终端设备向身份验证服务器发送注册消息(SIP Register),并在注册消息中携带用户指定的电话号码、终端设备标识符、时间戳和随机值。时间戳用以票证的时间设置,包括票证的有效起始时间和失效时间。随机值,将从身份验证服务器返回,用以辨识发消息的终端设备,防止从身份验证服务器返回的消息触发其它终端设备。
身份验证服务器收到之后,将返回未经授权消息(SIP 401 Unauthorized),并发送重定向消息(Refer),未经授权消息和重定向消息携带注册消息中的随机值;重定向消息携带身份验证服务器的电话号码。
第一类终端设备收到之后,通过电话网络(Public Switched TelephoneNetwork)拨打身份验证服务器的电话号码。
身份验证服务器接到电话之后自动挂断。
第一类终端设备,向身份验证服务器和集群管理服务器发送更改消息(Notify),通知身份验证服务器和集群管理服务器,电话呼叫已经完成。
身份验证服务器内设有来电显示接收器,身份验证服务器提取接收到的来电的电话号码,并与终端设备的注册消息中的用户指定的电话号码进行比较,如果两个号码相同,则该终端设备通过双连接身份认证,身份验证服务器可以信任该终端设备并将其识别为第一类终端设备,并将第一票证(Ticket)发送给第一类终端设备;否则身份验证服务器将其识别为第二类终端设备,并将第二票证(Ticket)发送给第二类终端设备。
本方案设计两种加密的票证(Ticket),即第一票证和第二票证,分别对应第一类终端设备和第二类终端设备。加密票证的秘钥K在身份验证服务器和集群管理服务器之间预先共享。
获得票证的终端设备,可以在集群管理服务器中注册。如果授予终端设备的是第一票证,则该终端设备可以获得组列表,可以选择创建和/或加入其它组群。如果授予终端设备的是第二票证,则该终端设备可以加入其它组群,不具有创建组群的资格。
第一票证,携带有第一会话密钥、第一类终端设备的设备身份、使用者电话号码、终端设备标识符、时间戳、IP地址;所述第一会话密钥,用以实现信息流的双向(接收和发送)读取;所述时间戳用以票证的时间设置,包括票证的有效起始时间和失效时间。
第二票证,携带有第二会话密钥、第二类终端设备的设备身份、使用者电话号码、终端设备标识符、时间戳、IP地址;所述第二会话密钥,用以实现信息的单向读取;所述时间戳用以票证的时间设置,包括票证的有效起始时间和失效时间;此处的使用者电话号码,有则写上,没有则为0。
单向会话密钥或者双向会话密钥,通过使用Diffie-Hellman密钥交换技术生成共享秘钥,此为公知技术,不在赘述。例如,专利号为CN200510124342.5的中国专利公开了一种电子设备接口间基于公钥证书的认证密钥协商和更新方法,利用该方法,可以使数字内容在两个合法的消费电子设备之间传播,并且能够使数字内容得到有效的保护;本票证中的会话密钥可以采用该方法。
步骤2,群组的注册;
获得票证的终端设备,向集群管理服务器发送注册请求(register),注册请求携带有票证和指定组别信息;组别信息包括组名(name)、组类型(tape)和组描述(description),其中组类型为私人群组或公共群组。
集群管理服务器,通过在身份验证服务器和集群管理服务器之间预先共享的加密票证的秘钥K验证票证信息,如果提取到第一类终端设备的设备身份,则通过验证,则向终端设备反馈交换信息(200 OK),根据组别信息创建该组别,存储组别信息和创建组的终端设备的标识符。
步骤3,终端设备的注册:
步骤3a,集群管理服务器接收到来自终端设备的携带有票证、组别信息的注册信息,判断该票证是否为有效票证;如果不是有效票证,则发送401响应;如果是有效票证,则判断组别信息中的组别是否存在;
步骤3b,如果存在该组别信息,则集群管理服务器在该组别信息中加上该终端设备的IP地址和标识符并根据该组别的公钥更新票证中的会话密钥,但不改变会话密钥的种类;如果不存在该组别信息,则返回至步骤2,并且集群管理服务器在该组别信息中加上该终端设备的IP地址和标识符并根据该组别的公钥更新票证中的会话密钥,但不改变会话密钥的种类;
步骤4,第二类终端设备转变为第一类终端设备。
第二类终端设备,向集群管理服务器发送携带有用户指定的电话号码、第二票证的身份转化请求;
集群管理服务器验证身份转化请求,通过第二票证中的设备身份确认该请求来自于第二类终端设备,然后将该请求转发给该第二类终端设备所在的组别的任一第一类终端设备;
收到消息的第一类终端设备,比对用户指定的电话号码;如果比对通过,则将确认信息和第一会议密钥发送集群管理服务器;否则发送否认消息。
集群管理服务器,若接收到确认信息,则将该第二类终端设备识别为第一类终端设备,并在数据库中更新;然后将第一会议密钥发送给该第二类终端设备,
第二类终端设备,接收到第一会议密钥后,更新会议密钥、设备身份、使用者电话号码,将票证更新为第一票证。
将本方案利用于智慧社区的终端设备管理,使用IP组播技术。IP组播技术在多点视频数据传输方面具有很大的优势,本方案使用IP组播技术,将组群分为私人群组和公共群组。使用者通过创建私人群组,方便访问自己的终端设备。使用者通过创建公共群组,使得他们的终端设备能与他人共享资源。无论是私人群组和公共群组,都直接在终端设备之间进行信息流的传输,不再通过服务器,而身份验证服务器和集群管理服务器,仅用于身份验证和注册。
但是,IP组播缺少必要的安全机制,并不提供访问控制以及身份验证,用户可以随意地加入组播组和随意地向组播组发送信息。因此,需要对用户设置访问权限并进行身份验证。
本方案采用了认证机制和分组密钥管理。根据不同的认证结果,授予不同的票证,从而实现不同的权限,对于第二类终端设备,仅具有单向信息流的发送权限,从而保证了私密性。且每个组群中共享一个公钥,以便他们可以使用它来进行消息身份验证,确保消息确实来自组成员。
应用场景1,参考图6,为私人群组在实际应用中应用场景的框架示意图。使用者张三,将自己的电脑、手机和摄像头组成私人群组。其中,电脑、手机注册成为第一类终端设备、摄像头注册成为第二类终端设备;该私人群组中的任意两个设备均能实现直接的两两通信。由于电脑、手机携带有第一票证,因此,电脑、手机在发送信息流的同时,也能读取接收的信息流;而摄像头只携带了第二票证,因此,摄像头只能单向向外发送信息流,而无法读取到组别中的其它设备的信息流。
如果,张三的电脑为公司电脑,则张三可以在该电脑注册时就将其注册成为第二类终端设备,则该电脑无法读取手机的信息流,而手机可以读取电脑的信息流,从而保证了私密性。
应用场景2,张三希望将一个名为“足球比赛”的流媒体服务分享给他的朋友李四。张三使用他的第一终端设备,发送一个公共群组的注册消息,并指定组名为“足球比赛”,组描述为流服务。李四想看张三分享的“足球比赛”的流媒体服务,李四的设备在注册时获得集群管理服务器,返回的已有的群列表信息,选择加入张三创建的公共群组。李四的终端设备向集群管理服务器发送携带有票证、组别信息的注册信息。通过验证之后,集群管理服务器在该组别信息中加上李四的终端设备的IP地址和标识符并根据该组别的公钥更新票证中的会话密钥。然后李四的终端设备向张三的终端设备发送邀请(INVITE)消息并开始接收流服务。
需要注意的是,上述应用场景仅是为了便于理解本发明的精神和原理而示出,本发明的实施方式在此方面不受任何限制。相反,本发明的实施方式可以应用于适用的任何场景。

Claims (4)

1.一种终端设备的分布式分组管理方法,其特征在于,包括以下步骤:将终端设备联网并管理成组,使得该终端设备能在网络上访问;将终端设备组成两类群组:即私人群组和公共群组;
所述私人群组,由单一用户使用的终端设备联网组成,该单一用户有权访问该私人群组中所有终端设备;
所述公共群组,由不同用户使用的设备联网组成,支持资源共享给其组成员,多个用户中的任一用户均有权读取或者调用公共群组中所有设备的网络数据,实现不同用户之间的资源共享;
接入网络的有终端设备、身份验证服务器、集群管理服务器,该网络是专用网络或者互联网;
步骤1,终端设备的身份验证;终端设备向身份验证服务器发送注册消息,通过双连接身份认证为第一类终端设备,并授予第一票证,其它未执行或者不能执行双连接身份认证的作为第二类终端设备,并授予第二票证;
双连接身份认证的机制如下:
身份验证服务器收到之后,将返回未经授权消息,并发送重定向消息,未经授权消息和重定向消息携带注册消息中的随机值;重定向消息携带身份验证服务器的电话号码;
第一类终端设备收到之后,通过电话网络拨打身份验证服务器的电话号码;身份验证服务器接到电话之后自动挂断;
第一类终端设备,向身份验证服务器和集群管理服务器发送更改消息,通知身份验证服务器和集群管理服务器,电话呼叫已经完成;
身份验证服务器内设有来电显示接收器,身份验证服务器提取接收到的来电的电话号码,并与终端设备的注册消息中的用户指定的电话号码进行比较,如果两个号码相同,则该终端设备通过双连接身份认证,身份验证服务器可以信任该终端设备并将其识别为第一类终端设备,并将第一票证发送给第一类终端设备;否则身份验证服务器将其识别为第二类终端设备,并将第二票证发送给第二类终端设备;
步骤2,群组的注册;
获得票证的终端设备,向集群管理服务器发送注册请求,注册请求携带有票证和指定组别信息;组别信息包括组名、组类型和组描述,其中组类型为私人群组或公共群组;
集群管理服务器,通过在身份验证服务器和集群管理服务器之间预先共享的加密票证的秘钥K验证票证信息,如果提取到第一类终端设备的设备身份,则通过验证,则向终端设备反馈交换信息,根据组别信息创建该组别,存储组别信息和创建组的终端设备的标识符;
步骤3,终端设备的注册:
步骤3a,集群管理服务器接收到来自终端设备的注册信息,判断该票证是否为有效票证;如果不是有效票证,则发送401响应;如果是有效票证,则判断组别信息中的组别是否存在;
步骤3b,如果存在该组别信息,则集群管理服务器在该组别信息中加上该终端设备的IP地址和标识符并根据该组别的公钥更新票证中的会话密钥,但不改变会话密钥的种类;如果不存在该组别信息,则返回至步骤2,并且集群管理服务器在该组别信息中加上该终端设备的IP地址和标识符并根据该组别的公钥更新票证中的会话密钥,但不改变会话密钥的种类。
2.根据权利要求1中的一种终端设备的分布式分组管理方法,其特征在于,身份验证服务器,负责对终端设备的身份验证;每个终端设备在接入专用网络或者互联网时,都必须进行身份验证;在身份验证的过程中,如果终端设备通过双连接身份认证,则身份验证服务器信任该终端设备并将其识别为第一类终端设备,否则,身份验证服务器将其识别为第二类终端设备;
集群管理服务器,用以管理和维护私人群组和公共群组的组别信息;集群管理服务器,包括处理模块、数据库;处理模块,用以新建和连接组,并分配IP地址和维护标识符;数据库,用以存储私人群组和公共群组的组别信息。
3.根据权利要求1中的一种终端设备的分布式分组管理方法,其特征在于,第一票证和第二票证,分别对应第一类终端设备和第二类终端设备;加密票证的秘钥K在身份验证服务器和集群管理服务器之间预先共享;
第一票证,携带有第一会话密钥、第一类终端设备的设备身份、使用者电话号码、终端设备标识符、时间戳、IP地址;所述第一会话密钥,用以实现信息流的双向读取;所述时间戳用以票证的时间设置,包括票证的有效起始时间和失效时间;
第二票证,携带有第二会话密钥、第二类终端设备的设备身份、使用者电话号码、终端设备标识符、时间戳、IP地址;所述第二会话密钥,用以实现信息的单向读取;所述时间戳用以票证的时间设置,包括票证的有效起始时间和失效时间;此处的使用者电话号码,有则写上,没有则为0。
4.根据权利要求1中的一种终端设备的分布式分组管理方法,其特征在于,还包括步骤4,第二类终端设备转变为第一类终端设备:
第二类终端设备,向集群管理服务器发送携带有用户指定的电话号码、第二票证的身份转化请求;
集群管理服务器验证身份转化请求,通过第二票证中的设备身份确认该请求来自于第二类终端设备,然后将该请求转发给该第二类终端设备所在的组别的任一第一类终端设备;
收到消息的第一类终端设备,比对用户指定的电话号码;如果比对通过,则将确认信息和第一会议密钥发送集群管理服务器;否则发送否认消息;
集群管理服务器,若接收到确认信息,则将该第二类终端设备识别为第一类终端设备,并在数据库中更新;然后将第一会议密钥发送给该第二类终端设备;
第二类终端设备,接收到第一会议密钥后,更新会议密钥、设备身份、使用者电话号码,将票证更新为第一票证。
CN202110433864.2A 2021-04-22 2021-04-22 一种终端设备的分布式分组管理方法 Active CN112887339B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110433864.2A CN112887339B (zh) 2021-04-22 2021-04-22 一种终端设备的分布式分组管理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110433864.2A CN112887339B (zh) 2021-04-22 2021-04-22 一种终端设备的分布式分组管理方法

Publications (2)

Publication Number Publication Date
CN112887339A CN112887339A (zh) 2021-06-01
CN112887339B true CN112887339B (zh) 2021-07-13

Family

ID=76040753

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110433864.2A Active CN112887339B (zh) 2021-04-22 2021-04-22 一种终端设备的分布式分组管理方法

Country Status (1)

Country Link
CN (1) CN112887339B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116155681B (zh) * 2022-12-23 2024-03-26 博上(山东)网络科技有限公司 一种物联网终端管控方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7181620B1 (en) * 2001-11-09 2007-02-20 Cisco Technology, Inc. Method and apparatus providing secure initialization of network devices using a cryptographic key distribution approach
CN109963282A (zh) * 2019-03-28 2019-07-02 华南理工大学 在ip支持的无线传感网络中的隐私保护访问控制方法
CN110545252A (zh) * 2018-05-29 2019-12-06 华为技术有限公司 一种认证和信息保护的方法、终端、控制功能实体及应用服务器
CN112702244A (zh) * 2018-04-09 2021-04-23 华为技术有限公司 接入服务网络的方法和通信装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8037506B2 (en) * 2006-03-03 2011-10-11 Verimatrix, Inc. Movie studio-based network distribution system and method
JP4958034B2 (ja) * 2006-04-28 2012-06-20 克秀 浅沼 グループ分けシステム、グループ分け管理サーバ及びグループ分けプログラム
DE202015004775U1 (de) * 2015-07-06 2015-08-26 Bernd Schmekel System zum Verknüpfen von mobilen Endgeräten
CN109818943B (zh) * 2019-01-07 2021-07-13 南京邮电大学 一种适用于低轨卫星物联网的认证方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7181620B1 (en) * 2001-11-09 2007-02-20 Cisco Technology, Inc. Method and apparatus providing secure initialization of network devices using a cryptographic key distribution approach
CN112702244A (zh) * 2018-04-09 2021-04-23 华为技术有限公司 接入服务网络的方法和通信装置
CN110545252A (zh) * 2018-05-29 2019-12-06 华为技术有限公司 一种认证和信息保护的方法、终端、控制功能实体及应用服务器
CN109963282A (zh) * 2019-03-28 2019-07-02 华南理工大学 在ip支持的无线传感网络中的隐私保护访问控制方法

Also Published As

Publication number Publication date
CN112887339A (zh) 2021-06-01

Similar Documents

Publication Publication Date Title
JP3845086B2 (ja) 制御されたマルチキャストのシステム及び実行方法
US8515066B2 (en) Method, apparatus and program for establishing encrypted communication channel between apparatuses
CN101523798B (zh) 利用能力评估进行安全的装置引入
CN100370832C (zh) 一种多媒体监控系统
JP5143125B2 (ja) ドメイン間情報通信のための認証方法、システム、およびその装置
US20030101253A1 (en) Method and system for distributing data in a network
WO2021115449A1 (zh) 跨域访问系统、方法及装置、存储介质及电子装置
US20060106933A1 (en) Method for connecting devices in dynamic family networking
US20080160959A1 (en) Method for Roaming User to Establish Security Association With Visited Network Application Server
JP2004135281A (ja) 安定したマルチキャストフロー
CN101212374A (zh) 实现校园网资源远程访问的方法和系统
JP2008500607A (ja) デバイス組分け及び組分けデバイス同士の会話を実現する方法
US20060005010A1 (en) Identification and authentication system and method for a secure data exchange
CN109672664A (zh) 一种视联网终端的认证方法和系统
CN102893579B (zh) 用于在通信系统中发放票据的方法、节点和设备
CN112887339B (zh) 一种终端设备的分布式分组管理方法
CN109150290B (zh) 一种卫星轻量化数据传输保护方法及地面安全服务系统
CN104113547A (zh) 一种sip安全防范视频监控入网控制系统
KR101526653B1 (ko) 비밀 디지털 콘텐츠에 액세스하는 시스템 및 방법
CN111556376B (zh) 数字证书签发方法、装置及计算机可读存储介质
WO2011063658A1 (zh) 统一安全认证的方法和系统
CN109561080B (zh) 一种动态入网通信的方法和装置
EP1615402B1 (en) Identification and authentication system and method for a secure data exchange
CN115883116A (zh) 一种免流服务系统及免流服务方法
CN102158477A (zh) 一种通信系统和信息交互方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant