CN113285807B - 一种智能设备入网鉴权的方法和系统 - Google Patents

一种智能设备入网鉴权的方法和系统 Download PDF

Info

Publication number
CN113285807B
CN113285807B CN202110530250.6A CN202110530250A CN113285807B CN 113285807 B CN113285807 B CN 113285807B CN 202110530250 A CN202110530250 A CN 202110530250A CN 113285807 B CN113285807 B CN 113285807B
Authority
CN
China
Prior art keywords
signature
network access
equipment
intelligent equipment
access certificate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110530250.6A
Other languages
English (en)
Other versions
CN113285807A (zh
Inventor
李航
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangdong Meifang Zhigao Robot Co Ltd
Original Assignee
Guangdong Meifang Zhigao Robot Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangdong Meifang Zhigao Robot Co Ltd filed Critical Guangdong Meifang Zhigao Robot Co Ltd
Priority to CN202110530250.6A priority Critical patent/CN113285807B/zh
Publication of CN113285807A publication Critical patent/CN113285807A/zh
Application granted granted Critical
Publication of CN113285807B publication Critical patent/CN113285807B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种智能设备入网鉴权的方法和系统,该方法包括以下步骤:智能设备向认证服务器发出申请入网凭证的HTTP请求,携带签名时间戳和第一签名;认证服务器校验所述HTTP请求中的签名时间戳、第一签名和设备SN的合法性,生成入网凭证;智能设备通过所述入网凭证发出登录请求,令牌和ClientID双重校验通过后,将MQTT Broker的连接地址、登录信息打包封装成联网信息,返回给智能设备;智能设备使用所述联网信息与所述应用服务器连接;成功后,MQTT Broker推送上线信息;应用服务器更新在线状态。本发明,通过签名时间戳、第一签名以及令牌和ClientID双重校验,提高了安全性,且无须烧录证书和密码,使用更灵活。

Description

一种智能设备入网鉴权的方法和系统
技术领域
本发明涉及物联网技术领域,具体涉及一种智能设备入网鉴权的方法和系统。
背景技术
随着物联网技术的发展,越来越多的智能设备通过接入网络实现了智能工作,为工作和生活带来了极大的便利。
众所周知,智能设备通常需要在入网过程中同用户建立绑定关系。目前主流的做法,直接对出厂信息(SN、MAC等)进行鉴权,实现服务器与设备的绑定。但是,这种方式,保密性低,安全性差。
为此,中国发明专利CN 109361753 A公开了一种物联网系统架构与加密方法,该方法中:
用户通过IOT门户/API接口为物联网设备创建认证权限,注册设备ID,该ID保存在业务数据库中;
下载系统根证书、激活证书和激活密钥并烧录到物联网设备,其中激活证书和激活密钥全网统一,只能用来激活设备;
物联网设备使用激活证书和激活密钥与IOT服务集群建立双向TLS连接,IOT服务集群通过检查设备证书的Subject CN确认该设备使用激活证书连接,该设备只具备激活相关Topic的订阅发布权限;
物联网设备本地生成符合PKCS标准的私钥和证书申请,其中私钥本地保存,证书申请的Subject CN域设置为该设备的ID,IOT服务集群根据证书的Subject CN确定设备的权限;
物联网设备使用设备ID和本地生成的证书请求向Mqtt MQTT Broker集群激活Topic发送设备激活申请;
IOT服务集群订阅并接收设备激活申请,将激活ID有效的证书请求发送到证书服务集群申请签名;
证书服务集群使用系统根证书对证书申请完成签名,生成有效的设备证书发送到IOT服务集群,IOT服务集群通过Mqtt MQTT Broker集群和负载均衡将证书发送到物联网设备;
物理网设备接收到证书后向IOT服务集群发送激活成功消息并断开双向TLS连接;
物联网设备使用根证书、设备证书和设备密钥与IOT服务集群建立新的双向TLS连接,此时物联网设备只具备验签Topic的订阅/发布权限;
物联网设备将设备证书摘要发送到证书服务集群进行验签,验签成功后IOT服务集群在数据库更新物联网设备的订阅/发布权限,此时物联网设备可进行正常的订阅/发布。
上述方法虽然能够实现一物一码,提高安全性,但是,由于激活证书和激活密钥需要烧录到物联网设备中,而且一经烧录则无法更改,造成一定的局限性;另外,由于没有时效性等限制,安全性有待进一步提高。
有鉴于此,急需对现有的智能设备入网鉴权的方法进行改进,以进一步提高安全性,降低局限性。
发明内容
针对上述缺陷,本发明所要解决的技术问题在于提供一种智能设备入网鉴权的方法和系统,以解决现有技术,存在一定的局限性,且安全性有待进一步提高的问题。
为此,本发明提供了一种智能设备入网鉴权的方法,包括以下步骤:
智能设备向认证服务器发出申请入网凭证的HTTP请求,所述HTTP请求包括签名时间戳、应用的APPID、APPKEY和设备SN,以及由上述信息生成的第一签名,所述入网凭证用于智能设备与应用服务器连接,加入所述应用服务器上的相应应用;
认证服务器校验所述HTTP请求中的签名时间戳、第一签名和设备SN的合法性,并在校验通过后生成该智能设备的入网凭证,所述入网凭证包括连接MQTT Broker所需的ClientID、登录用户名和令牌;
智能设备通过所述入网凭证发出登录MQTT Broker请求,认证服务器对智能设备登录所使用的令牌和ClientID进行双重校验,校验通过后,将MQTT Broker的连接地址、登录信息打包封装成联网信息,返回给智能设备;
智能设备收到所述联网信息后在本地保存,并使用所述联网信息与所述应用服务器连接,以加入所述应用服务器上的相应应用;
智能设备与所述应用服务器连接成功后,MQTT Broker服务器推送智能设备的上线信息;
应用服务器接收到所述上线信息后,更新智能设备的在线状态。
在上述方法中,优选地,智能设备启动后,检查本地是否存在登录MQTT Broker所需的入网凭证以及入网凭证的有效期,如果入网凭证不存在或者入网凭证的有效期失效则向所述认证服务器申请入网凭证,根据签名时间戳是否在入网凭证的有效期之内判断入网凭证的有效期是否失效。
在上述方法中,优选地,所述第一签名的生成方法如下:
将所述应用的APPID、签名时间戳、APPKEY和设备SN,用&符号拼接得到第一字符串,然后对所述第一字符串使用MD5进行加密得到所述第一签名,所述设备SN用于标识智能设备;
将应用的APPID、签名时间戳和第一签名作为URL参数添加到HTTP请求中,发送给所述认证服务器。
在上述方法中,优选地,在签名时间戳通过校验之后,通过所述URL参数中的APPID查询所述应用的APPKEY,再使用查询到的APPKEY以及URL参数中的APPID、签名时间戳和设备SN进行一次签名计算得到服务端的第二签名,如果所述第二签名与URL中的第一签名一致,则认为签名有效,校验通过。
在上述方法中,优选地,所述令牌使用JWT生成,JWT中存放有该令牌的有效期以及设备SN,但不包含ClientID。
本发明还提供了一种智能设备入网鉴权的系统,包括:
入网凭证请求单元,设置在智能设备上,用于智能设备向认证服务器发出申请入网凭证的HTTP请求,所述HTTP请求包括签名时间戳、应用的APPID、APPKEY和设备SN,以及由上述信息生成的第一签名,所述入网凭证用于智能设备与应用服务器连接,加入所述应用服务器上的相应应用;
第一核验单元,设置在认证服务器上,用于校验所述HTTP请求中的签名时间戳、第一签名和设备SN的合法性,并在校验通过后生成该智能设备的入网凭证,所述入网凭证包括连接MQTT Broker所需的ClientID、登录用户名和令牌;
第二核验单元,设置在认证服务器上,用于接收智能设备通过所述入网凭证发出的登录请求后,对令牌和ClientID进行双重校验,校验通过后,将MQTT Broker的连接地址、登录信息打包封装成联网信息,返回给智能设备。
在上述系统中,优选地,所述入网凭证请求单元包括:
签名生成单元,用于将所述应用的APPID、签名时间戳、APPKEY和设备SN,用&符号拼接得到第一字符串,然后对所述第一字符串使用MD5进行加密得到所述第一签名,所述设备SN用于标识智能设备;
HTTP请求生成单元,用于将应用的APPID、签名时间戳和第一签名作为URL参数添加到HTTP请求中。
在上述系统中,优选地,所述第一核验单元上设有签名验证单元,用于校验所述HTTP请求中第一签名的合法性。
在上述系统中,优选地,所述第二核验单元上设有双重校验单元,用于对令牌和ClientID进行双重校验。
在上述系统中,优选地,所述令牌使用JWT生成,JWT中存放有该令牌的有效期以及设备SN,但不包含ClientID。
由上述技术方案可知,本发明提供的一种智能设备入网鉴权的方法和系统,解决了现有技术存在局限性,安全性有待进一步提高的问题。与现有技术相比,本发明具有以下有益效果:
智能设备向认证服务器发出申请入网凭证的HTTP请求中,携带有由签名时间戳、应用的APPID、APPKEY和设备SN生成的第一签名,认证服务器校验所述HTTP请求中的签名时间戳、第一签名和设备SN的合法性,并在校验通过后生成该智能设备的入网凭证,提高了时效性和安全性,且无须烧录证书和密码,一方面使用更便捷,另一方面也可以更改第一签名,使用更灵活。
第二,入网凭证包括连接MQTT Broker所需的ClientID、登录用户名和令牌,通过对令牌和ClientID进行双重校验,进一步提高了安全性。
附图说明
为了更清楚地说明本发明的实施例或现有技术中的技术方案,下面将对本发明实施例或现有技术描述中所需要使用的附图做出简单地介绍和说明。显而易见地,下面描述中的附图仅仅是本发明的部分实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种智能设备入网鉴权的方法流程图;
图2为本发明提供的一种智能设备入网鉴权的示意图。
具体实施方式
下面将结合本发明实施例附图,对本发明实施例的技术方案进行清楚、完整地描述,显然,以下所描述的实施例,仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动的前提下,所获得的所有其他实施例,都属于本发明保护的范围。
本发明的实现原理是:
智能设备向认证服务器发出申请入网凭证的HTTP请求中,携带有由签名时间戳、应用的APPID、APPKEY和设备SN生成的第一签名,认证服务器校验所述HTTP请求中的签名时间戳、第一签名和设备SN的合法性,并在校验通过后生成该智能设备的入网凭证;
入网凭证包括连接MQTT Broker所需的ClientID、登录用户名和令牌,通过对令牌和ClientID进行双重校验,进一步提高了安全性。
本发明提供的方案,安全性高,且无须在智能设备上烧录证书和密码,使用更便捷和灵活。
为了对本发明的技术方案和实现方式做出更清楚地解释和说明,以下介绍实现本发明技术方案的几个优选的具体实施例。
需要说明的是,本文中“内、外”、“前、后”及“左、右”等方位词是以产品使用状态为基准对象进行的表述,显然,相应方位词的使用对本方案的保护范围并非构成限制。
请参见图1,图1为本发明提供的一种智能设备入网鉴权的方法的流程图,该方法包括以下步骤:
步骤110,智能设备向认证服务器发出申请入网凭证的HTTP请求。
智能设备发起HTTP请求时,需要对签名时间戳、应用的APPID、APPKEY和设备SN进行签名,生成第一签名后作为URL参数添加到HTTP请求中。
签名时需要使用平台为对应的应用分配的APPID和APPKEY,以及设备SN和签名时间戳,签名时间戳用于认证服务器校验该HTTP请求是否在有效期之内。
其中,平台也称应用服务器,其上可以设有一个或多个不同的应用,以实现不同的功能。
生成第一签名的方法如下:将对应的应用的APPID、签名时间戳、APPKEY和智能设备的设备SN,用&符号拼接得到第一字符串str1,然后对第一字符串str1使用MD5进行加密得到该第一签名。
发起的HTTP请求时,将智能设备的设备SN、签名时间戳和第一签名作为URL参数添加到HTTP请求中。例如:
https://mars.bzlrobot.com/device/certificate?appid=XXX&timestamp=1608209411000&signature=XXXXX&sn=XXXX
注意:对外不能暴露APPKEY。
应当理解的是,智能设备启动后,首先应检查本地是否存在登录MQTT Broker所需的入网凭证以及是否在入网凭证的有效期之内,如果入网凭证不存在或者不在入网凭证的有效期之内,则采用上述步骤向认证服务器申请入网凭证。如果入网凭证存在,并且在入网凭证的有效期之内,则跳转到步骤140,执行入网操作。
步骤120,认证服务器校验其收到的HTTP请求中,签名时间戳、第一签名和设备SN的合法性。具体方法为:
认证服务器收到HTTP请求后,先判断签名时间戳是否已经超过入网凭证的有效期,如果超时,则无需执行行后续操作。
在签名时间戳通过校验之后,通过请求参数中的APPID查询应用的APPKEY,然后用查询得到的APPKEY替换第一字符串str1中的APPKEY,得到服务端的第二字符串str2,并对对第二字符串str2再次使用MD5进行加密得到该第二签名,如果第二签名与第一签名一致则认为签名有效,校验通过。
步骤130,签名时间戳和第一签名校验通过后,认证服务器生成该智能设备的入网凭证信息,并发送给智能设备。
入网凭证信息包含连接MQTT Broker所需的ClientID、登录用户名和令牌。
每个智能设备有不同ClientID,但可以是相同的登录用户名。
令牌使用JWT生成,JWT中存放有该令牌的有效期、设备SN信息但不包含ClientID。智能设备在每次连接应用之前,对令牌的有效期进行校验,JWT令牌采用双重校验来保证连接的安全性。
步骤140,令牌双重校验。
认证服务器收到智能设备的登录请求后,首先校验令牌是否合法,令牌合法校验之后再校验认证服务器后台绑定的ClientID和当前智能设备连接时使用的ClientID是否一致,如果不一致则拒接连接,如果一致则继续下一步。
步骤150,上述令牌和ClientID双重校验通过后,认证服务器将MQTT Broker连接地址、登录信息(ClientID、令牌)打包封装成联网信息,返回给智能设备。
步骤160,智能设备收到认正服务器返回的联网信息后在本地保存,并使用该联网信息,与应用服务器连接,进行入网操作。
步骤170,智能设备入网成功,MQTT Broker推送该智能设备的上线信息。
步骤180,应用服务器接收到智能设备的上线信息后,更新智能设备的在线状态。
在上述方法的基础上,本发明还提供了一种智能设备入网鉴权的系统,应用于智能设备物联网平台,该物联网平台由智能设备10、MQTT Broker20、认证服务器30和应用服务器40组成。
MQTT Broker20用于智能设备的发布订阅。
认证服务器30用于对智能设备入网进行鉴权。
应用服务器40用于提供基于智能设备的应用和管理。
本发明提供的智能设备入网鉴权的系统包括入网凭证请求单元11、第一核验单元31和第二核验单元32。
入网凭证请求单元11设置在智能设备10上,用于智能设备10向认证服务器30发出申请入网凭证的HTTP请求。入网凭证请求单元11包括签名生成单元12和HTTP请求生成单元13,签名生成单元12用于将应用的APPID、签名时间戳、APPKEY和设备SN,用&符号拼接得到第一字符串,然后对所述第一字符串使用MD5进行加密得到所述第一签名,设备SN用于标识智能设备。HTTP请求生成单元13用于将应用的APPID、签名时间戳和第一签名作为URL参数添加到HTTP请求中。
第一核验单元31和第二核验单元32均设置在认证服务器30上,第一核验单元31用于校验所述HTTP请求中的签名时间戳、第一签名和设备SN的合法性,并在校验通过后生成该智能设备的入网凭证,所述入网凭证包括连接MQTT Broker所需的ClientID、登录用户名和令牌。
第二核验单元32用于接收智能设备通过所述入网凭证发出的登录请求后,对令牌和ClientID进行双重校验,校验通过后,将MQTT Broker的连接地址、登录信息打包封装成联网信息,返回给智能设备。
第一核验单元31上设有签名验证单元34,通过签名验证单元34校验所述HTTP请求中的签名时间戳、第一签名和设备SN的合法性。
第二核验单元32上设有双重校验单元35,通过双重校验单元35对令牌和ClientID进行双重校验。
综合以上具体实施例的描述,本发明提供的移动机器人的智能设备入网鉴权的方法和系统,与现有技术相比,具有如下优点:
首先,智能设备申请入网凭证的HTTP请求中,携带有由签名时间戳、应用的APPID、APPKEY和设备SN生成的第一签名,认证服务器校验通过后,才会下发入网凭证,提高了安全性。
第二、通过签名时间戳,可以确保操作的真实性,进一步提高安全性。
第三、采用令牌和ClientID双重验证,更进一步提高了安全性。
第四、通过签名时间戳、应用的APPID、APPKEY和设备SN生成第一签名进行校验,不需要在智能设备上烧录证书和密码,智能设备的使用更灵活。
最后,还需要说明的是,在本文中使用的术语"包括"、"包含"或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句"包括一个…"限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本发明并不局限于上述最佳实施方式,任何人应该得知在本发明的启示下做出的结构变化,凡是与本发明具有相同或相近的技术方案,均落入本发明的保护范围之内。

Claims (9)

1.一种智能设备入网鉴权的方法,其特征在于,包括以下步骤:
智能设备向认证服务器发出申请入网凭证的HTTP请求,所述HTTP请求包括签名时间戳、应用的APPID、APPKEY和设备SN,以及由所述签名时间戳、应用的APPID、APPKEY和设备SN生成的第一签名,所述入网凭证用于智能设备与应用服务器连接,加入所述应用服务器上的相应应用;
认证服务器校验所述HTTP请求中的签名时间戳、第一签名和设备SN的合法性,并在校验通过后生成该智能设备的入网凭证,所述入网凭证包括连接MQTT Broker所需的ClientID、登录用户名和令牌;
智能设备通过所述入网凭证发出登录MQTT Broker请求,认证服务器对智能设备登录所使用的令牌和ClientID进行双重校验,校验通过后,将MQTT Broker的连接地址、登录信息打包封装成联网信息,返回给智能设备;
智能设备收到所述联网信息后在本地保存,并使用所述联网信息与所述应用服务器连接,以加入所述应用服务器上的相应应用;
智能设备与所述应用服务器连接成功后,MQTT Broker服务器推送智能设备的上线信息;
应用服务器接收到所述上线信息后,更新智能设备的在线状态;
其中,智能设备启动后,检查本地是否存在登录MQTT Broker所需的入网凭证以及入网凭证的有效期,如果入网凭证不存在或者入网凭证的有效期失效则向所述认证服务器申请入网凭证,根据签名时间戳是否在入网凭证的有效期之内判断入网凭证的有效期是否失效。
2.根据权利要求1所述的方法,其特征在于,所述第一签名的生成方法如下:
将所述应用的APPID、签名时间戳、APPKEY和设备SN,用&符号拼接得到第一字符串,然后对所述第一字符串使用MD5进行加密得到所述第一签名,所述设备SN用于标识智能设备;
将应用的APPID、签名时间戳和第一签名作为URL参数添加到HTTP请求中,发送给所述认证服务器。
3.根据权利要求2所述的方法,其特征在于,在签名时间戳通过校验之后,通过所述URL参数中的APPID查询所述应用的APPKEY,再使用查询到的APPKEY以及URL参数中的APPID、签名时间戳和设备SN进行一次签名计算得到服务端的第二签名,如果所述第二签名与URL中的第一签名一致,则认为签名有效,校验通过。
4.根据权利要求1所述的方法,其特征在于,所述令牌使用JWT生成,JWT中存放有该令牌的有效期以及设备SN,但不包含ClientID。
5.一种智能设备入网鉴权的系统,其特征在于,包括:
入网凭证请求单元,设置在智能设备上,用于智能设备向认证服务器发出申请入网凭证的HTTP请求,所述HTTP请求包括签名时间戳、应用的APPID、APPKEY和设备SN,以及由所述签名时间戳、应用的APPID、APPKEY和设备SN生成的第一签名,所述入网凭证用于智能设备与应用服务器连接,加入所述应用服务器上的相应应用;
第一核验单元,设置在认证服务器上,用于校验所述HTTP请求中的签名时间戳、第一签名和设备SN的合法性,并在校验通过后生成该智能设备的入网凭证,所述入网凭证包括连接MQTT Broker所需的ClientID、登录用户名和令牌;
第二核验单元,设置在认证服务器上,用于接收智能设备通过所述入网凭证发出的登录请求,并对所述登录请求中的令牌和ClientID进行双重校验,校验通过后,将MQTTBroker的连接地址、登录信息打包封装成联网信息,返回给智能设备。
6.根据权利要求5所述的系统,其特征在于,所述入网凭证请求单元包括:
签名生成单元,用于将所述应用的APPID、签名时间戳、APPKEY和设备SN,用&符号拼接得到第一字符串,然后对所述第一字符串使用MD5进行加密得到所述第一签名,所述设备SN用于标识智能设备;
HTTP请求生成单元,用于将应用的APPID、签名时间戳和第一签名作为URL参数添加到HTTP请求中。
7.根据权利要求5所述的系统,其特征在于,所述第一核验单元上设有签名验证单元,用于校验所述HTTP请求中第一签名的合法性。
8.根据权利要求5所述的系统,其特征在于,所述第二核验单元上设有双重校验单元,用于对令牌和ClientID进行双重校验。
9.根据权利要求5所述的系统,其特征在于,所述令牌使用JWT生成,JWT中存放有该令牌的有效期以及设备SN,但不包含ClientID。
CN202110530250.6A 2021-05-14 2021-05-14 一种智能设备入网鉴权的方法和系统 Active CN113285807B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110530250.6A CN113285807B (zh) 2021-05-14 2021-05-14 一种智能设备入网鉴权的方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110530250.6A CN113285807B (zh) 2021-05-14 2021-05-14 一种智能设备入网鉴权的方法和系统

Publications (2)

Publication Number Publication Date
CN113285807A CN113285807A (zh) 2021-08-20
CN113285807B true CN113285807B (zh) 2022-10-11

Family

ID=77279246

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110530250.6A Active CN113285807B (zh) 2021-05-14 2021-05-14 一种智能设备入网鉴权的方法和系统

Country Status (1)

Country Link
CN (1) CN113285807B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113747428A (zh) * 2021-08-23 2021-12-03 四川公众项目咨询管理有限公司 一种基于iot设备的网络安全风险分析方法
CN113595744B (zh) * 2021-09-29 2021-12-31 北京卓建智菡科技有限公司 入网方法、装置、电子设备及存储介质
CN113965330A (zh) * 2021-10-26 2022-01-21 黑龙江航天信息有限公司 基于mqtt协议的访问认证方法、认证服务器及系统
CN114125843B (zh) * 2021-12-03 2023-09-29 北京自如信息科技有限公司 一种智能设备配网方法、装置和设备
CN114362931B (zh) * 2021-12-10 2023-08-29 武汉升升科技有限公司 一种物联网设备注册和安全认证连接及指令交互方法
CN114844950B (zh) * 2022-04-20 2023-06-02 建信金融科技有限责任公司 服务请求响应方法、装置、设备及介质
CN116192447B (zh) * 2022-12-20 2024-01-30 江苏云涌电子科技股份有限公司 一种多因子身份认证方法

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9515836B2 (en) * 2013-03-28 2016-12-06 Xerox Corporation System and method for location assurance using passive computational tags
US10382203B1 (en) * 2016-11-22 2019-08-13 Amazon Technologies, Inc. Associating applications with Internet-of-things (IoT) devices using three-way handshake
CN109150507B (zh) * 2017-06-19 2023-05-23 中兴通讯股份有限公司 一种设备凭证分发方法和系统、用户设备及管理实体
CN108965230B (zh) * 2018-05-09 2021-10-15 深圳市中信网安认证有限公司 一种安全通信方法、系统及终端设备
CN111327583B (zh) * 2019-08-22 2022-03-04 刘高峰 一种身份认证方法、智能设备及认证服务器
CN110636062B (zh) * 2019-09-20 2022-02-08 百度在线网络技术(北京)有限公司 设备的安全交互控制方法、装置、电子设备及存储介质
CN111314366B (zh) * 2020-02-25 2022-07-08 广州致远电子有限公司 一种基于mqtt协议的安全登录系统及方法
CN112417425A (zh) * 2020-12-03 2021-02-26 腾讯科技(深圳)有限公司 设备认证方法、装置、系统、终端设备及存储介质

Also Published As

Publication number Publication date
CN113285807A (zh) 2021-08-20

Similar Documents

Publication Publication Date Title
CN113285807B (zh) 一种智能设备入网鉴权的方法和系统
CN100534092C (zh) 用于执行认证操作的方法及其装置
US11095635B2 (en) Server authentication using multiple authentication chains
CN103220259B (zh) Oauth API的使用、调用方法、设备及系统
CN101027676B (zh) 用于可控认证的个人符记和方法
CN109547458B (zh) 登录验证方法、装置、计算机设备及存储介质
WO2017028804A1 (zh) 一种Web实时通信平台鉴权接入方法及装置
US8646062B2 (en) Remote authentication based on challenge-response using digital certificates
CN104378210A (zh) 跨信任域的身份认证方法
CN102984127A (zh) 一种以用户为中心的移动互联网身份管理及认证方法
JP2008523486A (ja) 名前識別子登録プロファイルをセキュアに結合するための方法およびシステム
CN102984173A (zh) 网络接入控制方法及系统
CN113014676A (zh) 一种基于sim卡的物联网数据存储到区块链的系统及方法
US9338173B2 (en) Methods and apparatuses for avoiding damage in network attacks
CN111062023B (zh) 多应用系统实现单点登录的方法及装置
CN106375348B (zh) 一种Portal认证方法和装置
CN108259437A (zh) 一种http访问方法、http服务器和系统
CN105991518B (zh) 网络接入认证方法及装置
CN111800378A (zh) 一种登录认证方法、装置、系统和存储介质
CN113761509B (zh) iframe验证登录方法及装置
CN112929388B (zh) 网络身份跨设备应用快速认证方法和系统、用户代理设备
CN110730189A (zh) 一种通信认证方法、装置、设备及存储介质
CN109729045A (zh) 单点登录方法、系统、服务器以及存储介质
CN114679276B (zh) 基于时间的一次性密码算法的身份认证方法和装置
CN107770143A (zh) 一种验证客户端合法性的方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant