CN115065703A - 物联网系统及其认证与通信方法、相关设备 - Google Patents
物联网系统及其认证与通信方法、相关设备 Download PDFInfo
- Publication number
- CN115065703A CN115065703A CN202210692570.6A CN202210692570A CN115065703A CN 115065703 A CN115065703 A CN 115065703A CN 202210692570 A CN202210692570 A CN 202210692570A CN 115065703 A CN115065703 A CN 115065703A
- Authority
- CN
- China
- Prior art keywords
- internet
- things
- authentication
- terminal
- identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 62
- 230000006854 communication Effects 0.000 title claims abstract description 31
- 238000004891 communication Methods 0.000 title claims abstract description 30
- 238000012795 verification Methods 0.000 claims abstract description 43
- 238000004590 computer program Methods 0.000 claims description 10
- 230000004044 response Effects 0.000 claims description 10
- 230000006855 networking Effects 0.000 abstract 1
- 230000008569 process Effects 0.000 description 15
- 238000010586 diagram Methods 0.000 description 8
- 230000002093 peripheral effect Effects 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 4
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 241000699670 Mus sp. Species 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Abstract
本公开提供一种物联网系统及其认证与通信方法、相关设备。该物联网系统,包括:物联网终端,被配置为:利用所述物联网终端的连接证书与代理服务器建立连接,并向所述代理服务器发送所述物联网终端的设备信息和认证标识;代理服务器,被配置为:接收所述设备信息和所述认证标识,并将所述设备信息和所述认证标识发送到物联网平台;物联网平台,被配置为:接收所述设备信息和所述认证标识,并根据所述设备信息和所述认证标识对所述物联网终端进行身份验证;响应于所述身份验证通过,向所述代理服务器返回验证成功消息;所述代理服务器,还被配置为:响应于接收到所述验证成功消息,与所述物联网终端建立通信连接。
Description
技术领域
本公开涉及物联网技术领域,尤其涉及一种物联网系统及其认证与通信方法、相关设备。
背景技术
在相关技术中,物联网设备的认证过程和通信建立过程是相互独立,导致工作效率较低。
发明内容
本公开提出一种物联网系统及其认证与通信方法、相关设备,以解决或部分解决上述问题。
本公开第一方面,提供了一种物联网系统,包括:
物联网终端,被配置为:利用所述物联网终端的连接证书与代理服务器建立连接,并向所述代理服务器发送所述物联网终端的设备信息和认证标识;
代理服务器,被配置为:接收所述设备信息和所述认证标识,并将所述设备信息和所述认证标识发送到物联网平台;
物联网平台,被配置为:接收所述设备信息和所述认证标识,并根据所述设备信息和所述认证标识对所述物联网终端进行身份验证;响应于所述身份验证通过,向所述代理服务器返回验证成功消息;
所述代理服务器,还被配置为:响应于接收到所述验证成功消息,与所述物联网终端建立通信连接。
本公开第二方面,提供了一种物联网系统的认证与通信方法,包括:
物联网终端利用连接证书与代理服务器建立连接,并向所述代理服务器发送所述物联网终端的设备信息和认证标识;
代理服务器接收所述设备信息和所述认证标识,并将所述设备信息和所述认证标识发送到物联网平台;
物联网平台接收所述设备信息和所述认证标识,并根据所述设备信息和所述认证标识对所述物联网终端进行身份验证;
所述物联网平台响应于所述身份验证通过,向所述代理服务器返回验证成功消息;
所述代理服务器响应于接收到所述验证成功消息,与所述物联网终端建立通信连接。
本公开第三方面,提供了一种计算机设备,包括一个或者多个处理器、存储器;和一个或多个程序,其中所述一个或多个程序被存储在所述存储器中,并且被所述一个或多个处理器执行,所述程序包括用于执行根据第二方面所述的方法的指令。
本公开第四方面,提供了一种包含计算机程序的非易失性计算机可读存储介质,当所述计算机程序被一个或多个处理器执行时,使得所述处理器执行第一方面所述的方法。
本公开第五方面,提供了一种提供了一种计算机程序产品,包括计算机程序指令,当所述计算机程序指令在计算机上运行时,使得计算机执行第一方面所述的方法。
本公开提供的物联网系统及其认证与通信方法、相关设备,可以将物联网终端的身份认证及其与代理服务器的连接认证过程融合,简化了设备认证与连接流程。
附图说明
为了更清楚地说明本公开或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了本公开实施例所提供的示例性系统的示意图。
图2示出了本公开实施例所提供的示例性方法的流程示意图。
图3示出了本公开实施例所提供的示例性计算机设备的硬件结构示意图。
具体实施方式
为使本公开的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本公开进一步详细说明。
需要说明的是,除非另外定义,本公开实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本公开实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电性的连接,不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系,当被描述对象的绝对位置改变后,则该相对位置关系也可能相应地改变。
图1示出了本公开实施例所提供的示例性系统100的示意图。
如图1所示,该系统100可以包括物联网终端102、代理服务器104和物联网平台106。
物联网终端102可以是各种物联网终端设备,例如,智能空调、智能一体机灯,等等。可以理解,图1中为了示意的方便,仅示出一个物联网终端102,实际上,在物联网系统100中还可以有更多的物联网终端,这些物联网终端都可以采用本公开实施例所提供的方法,并具有相应的技术效果。
代理服务器(Broker)104可以用于提供各种消息队列服务,例如,消息队列遥测传输协议(Message Queuing Telemetry Transport,简称MQTT)服务、Kafka服务等。在一些实施例中,代理服务器104与物联网终端102之间可以基于传输层安全性协议(TransportLayer Security,简称TLS)来建立连接,从而保证通信的安全性。
物联网平台106可以用于提供物联网系统100相关的服务,并可以进一步包括设备管理服务1062和身份认证服务1064。
其中,设备管理服务1062可以主要用于负责管理系统100中各物联网终端102的生命周期包括设备注册、设备状态管理等。在一些实施例中,设备管理服务1062可以基于设备信息(例如,产品序列号(Serial Number,简称SN码))来验证设备可用性,从而在验证身份之前对设备进行可用性判断,若设备不可用,则可以不再进行后续的验证流程,可直接返回验证失败消息,从而提高验证效率。
身份认证服务1064可以主要用于管理设备的证书并基于证书来对设备进行身份验证。
随着人们生活中物联网设备的不断增长,并且伴随互联网通讯环境的复杂性,人们对私有设备的安全性越来越重视。由于传统的物联网设备认证方式(例如,直接利用设备的固有信息(SN码、MAC地址等)来进行设备身份认证)存在着泄漏设备关键信息的极大可能。
鉴于此,在一些实施例中,物联网终端102在出厂前可以在物联网平台106上进行注册,当物联网终端102注册成功后,身份认证服务1064可以为该物联网终端102签发两个证书,用于建立通信连接的连接证书1022和用于验证设备身份的身份证书1024。物联网终端102可以保存这两个证书作为出厂预置的信息,并可以用于后续的身份认证和通信。这样,利用证书的保密性质,通过为物联网终端102签发两个证书,一方面用于认证设备身份,另一方面提高了认证及通讯过程设备隐私数据的安全性。可见,该基于双证书的设备认证方法,提高了安全性。
在一些实施例中,除了签发证书,身份认证服务1064还可以用于对其签发的证书进行认证以及管理器所签发的证书。
在一些实施例中,连接证书1022可以用于建立与代理服务器(Broker)104的双向认证的安全传输层协议(Transport Layer Security,简称TLS)连接,并可以具体包括TLS证书(Cert)、TLS秘钥(Key)和TLS CA证书。
在一些实施例中,身份证书1024可以用于生成身份挑战码,并可以包括证书(Identity Cert)和秘钥(Identity Key)。
在相关技术中,物联网终端的基于证书的认证过程和通信建立过程是相互独立的。例如,物联网终端102在建立通信时,需要先在物联网平台106进行身份验证,在身份验证通过后才能与代理服务器104建立通信连接,并使用基于session或token方式保持之后的通信会话。可以看出,在这个过程中,为了实现与物联网平台106的通信,物联网终端102需要执行多次交互过程,才能开始进行通信。
有鉴于此,本公开实施例提供了一种物联网系统的认证与通信方法,可以将物联网终端的身份认证及其与代理服务器的连接认证过程融合,简化了设备认证与连接流程。
图2示出了本公开实施例所提供的示例性方法200的流程示意图。
如图2所示,该方法200可以应用于图1的系统100,并可以包括以下步骤。
在初始状态下,如图2所示,在一些实施例中,在步骤202,物联网终端102可以先向所述物联网平台106申请身份认证,例如,通过发送身份认证请求来申请身份认证,该身份认证请求可以包括所述物联网终端102的设备信息(例如,SN码)和所述物联网终端102的身份证书1024。在一些实施例中,发送的身份证书1024可以仅包括身份证书1024中的证书Identity Cert,从而使得身份认证服务1064可以根据其保存的信息来对证书IdentityCert进行验证。
在步骤204,设备管理服务1062可以基于所述设备信息对所述物联网终端进行设备验证,例如,验证所述物联网终端的可用性。所谓可用性,例如,可以是指该物联网终端是否属于该系统100中的合法注册的设备。可以理解,基于前面所述,物联网终端102在出厂之前需要在物联网平台106上进行设备注册,因此,物联网平台106可以保存物联网终端102在注册时提供的设备信息,设备管理服务1062通过查找物联网平台106本地存储的设备信息就可以确定该设备是否属于合法注册的设备。
在步骤206,响应于确定所述物联网终端102属于可用设备,设备管理服务1062可以将所述设备信息和所述身份证书1024(例如,Identity Cert)发送给所述身份认证服务1064。可以理解,当设备不可用时,设备管理服务1062可以直接返回认证失败消息给物联网终端102,以提示其可能未完成注册。
在步骤208,身份认证服务1064可以根据所述设备信息和所述身份证书对所述物联网终端进行身份验证。在一些实施例中,身份认证服务1064主要对身份证书1024的证书Identity Cert进行校验。
在步骤210,身份认证服务1064响应于所述身份验证通过(例如,证书校验成功),可以生成所述物联网终端对应的挑战码(Challenge Code),并将所述挑战码发送给所述物联网终端102。挑战码(Challenge Code)也可以称作挑战口令,一般是指遵循握手验证协议(CHAP)而生成的一组加密口令,用于在传输过程中保证用户的真实密码不被泄露。可以理解,当身份验证不通过时,身份认证服务1064可以直接返回验证失败消息给物联网终端102,以提示其可能属于不合法设备。
在步骤212,所述物联网终端102可以利用所述身份证书1024的秘钥Identity Key对所述挑战码和所述设备信息进行签名,得到认证标识(Identify Sign)。
在步骤214,物联网终端102可以利用连接证书1022与代理服务器104建立连接,并向所述代理服务器104发送所述物联网终端102的设备信息(例如,SN码)和所述认证标识。
在一些实施例中,步骤214可以进一步包括:物联网终端102可以利用所述连接证书1022与所述代理服务器104建立TLS连接,从而可以提高通信安全性。
在一些实施例中,所述设备信息可以作为所述TLS连接的用户名(Username),所述认证标识可以作为所述TLS连接的密码(Secret)。这样,在建立TLS连接时就可以将所述设备信息和所述认证标识发送给代理服务器104,提升处理效率。
在步骤216,代理服务器104与物联网终端102建立TLS连接后,可以接收所述设备信息和所述认证标识,并将所述设备信息和所述认证标识发送到物联网平台106,例如,发送给所述设备管理服务1062。
在一些实施例中,代理服务器104可以利用Broker的认证回调(Callback)机制,通过认证回调的方式将所述用户名(Username)和密码(Secret)回调给设备管理服务1062,从而由代理服务器104为物联网终端102向设备管理服务1062发起身份认证请求。
接着,物联网平台106可以接收所述设备信息和所述认证标识,并根据所述设备信息和所述认证标识对所述物联网终端102进行身份验证。
在一些实施例中,该步骤可以进一步包括:
步骤218,设备管理服务1062可以根据所述设备信息(例如,SN码)验证所述物联网终端102的可用性。
步骤220,响应于确定所述物联网终端可用,设备管理服务1062将所述设备信息和所述认证标识发送给所述身份认证服务1062以进行身份验证。基于前面所述,该认证标识是基于挑战码得到的,该身份验证过程则包含了对挑战码的验证,因此,在一些实施例中,可以认为该步骤是对设备进行挑战身份验证。可以理解,当设备不可用时,设备管理服务1062可以直接返回认证失败消息给物联网终端102,以提示其可能未完成注册。
步骤222,所述身份认证服务1064可以根据所述设备信息和所述认证标识对所述物联网终端102进行身份验证。
由于前述步骤是基于代理服务器的Broker的认证回调机制来实现的,代理服务器104在向物联网平台106传递信息时,发送的可以是所述用户名(Username)和密码(Secret),其中,用户名(Username)是所述设备信息,密码(Secret)是所述认证标识。于是,设备管理服务1062可以利用该用户名(Username)来验证所述物联网终端102的可用性。
在一些实施例中,步骤222可以进一步包括:
利用所述设备信息查找所述物联网终端102对应的身份证书和挑战码;然后,利用查找得到的身份证书和挑战码以及所述设备信息,验证所述认证标识。例如,利用身份证书1024的证书(Identify Cert),基于所述设备信息(例如,SN码)和所述挑战码(ChallengeCode)对所述认证标识进行验签,从而完成身份认证。
在步骤220,所述物联网平台106响应于所述身份验证通过,向所述代理服务器104返回验证成功消息,以通知代理服务器104已完成挑战认证,且连接认证通过。可以理解,当身份验证不通过时,身份认证服务1064可以向代理服务器104返回验证失败消息;代理服务器104响应于接收到该验证失败消息,可以向物联网终端102反馈该验证失败消息,或者,直接断开与物联网终端102的连接,亦或者,在向物联网终端102反馈该验证失败消息之后断开与物联网终端102的连接。从而避免与不合法设备进行通信,放置系统安全性受到影响。
可以理解,在一些实施例中,身份认证服务1064也可以直接返回验证失败消息给物联网终端102,以提示其可能属于不合法设备。
在步骤222,所述代理服务器104响应于接收到所述验证成功消息,与所述物联网终端102建立通信连接。之后,物联网终端102可以开始通过代理服务器104与物联网平台106实现通信,并可以正常收发消息。
本公开实施例通过借助代理服务器(Broker服务)的提供的连接认证回调能力,将物联网终端的身份认证及Broker连接认证过程融合,简化了设备认证与连接流程。
需要说明的是,本公开实施例的方法可以由单个设备执行,例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下,由多台设备相互配合来完成。在这种分布式场景的情况下,这多台设备中的一台设备可以只执行本公开实施例的方法中的某一个或多个步骤,这多台设备相互之间会进行交互以完成所述的方法。
需要说明的是,上述对本公开的一些实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于上述实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本公开实施例还提供了一种计算机设备,用于实现上述的方法200。图3示出了本公开实施例所提供的示例性计算机设备300的硬件结构示意图。计算机设备300可以用于实现图1的物联网平台106。在一些场景中,该计算机设备300,也可以用于实现图1的物联网终端102和代理服务器104。
如图3所示,计算机设备300可以包括:处理器302、存储器304、网络模块306、外围接口308和总线310。其中,处理器302、存储器304、网络模块306和外围接口308通过总线310实现彼此之间在计算机设备300的内部的通信连接。
处理器302可以是中央处理器(Central Processing Unit,CPU)、图像处理器、神经网络处理器(NPU)、微控制器(MCU)、可编程逻辑器件、数字信号处理器(DSP)、应用专用集成电路(Application Specific Integrated Circuit,ASIC)、或者一个或多个集成电路。处理器302可以用于执行与本公开描述的技术相关的功能。在一些实施例中,处理器302还可以包括集成为单一逻辑组件的多个处理器。例如,如图3所示,处理器302可以包括多个处理器302a、302b和302c。
存储器304可以配置为存储数据(例如,指令、计算机代码等)。如图3所示,存储器304存储的数据可以包括程序指令(例如,用于实现本公开实施例的方法的程序指令)以及要处理的数据(例如,存储器可以存储其他模块的配置文件等)。处理器302也可以访问存储器304存储的程序指令和数据,并且执行程序指令以对要处理的数据进行操作。存储器304可以包括易失性存储装置或非易失性存储装置。在一些实施例中,存储器304可以包括随机访问存储器(RAM)、只读存储器(ROM)、光盘、磁盘、硬盘、固态硬盘(SSD)、闪存、存储棒等。
网络模块306可以配置为经由网络向计算机设备300提供与其他外部设备的通信。该网络可以是能够传输和接收数据的任何有线或无线的网络。例如,该网络可以是有线网络、本地无线网络(例如,蓝牙、WiFi、近场通信(NFC)等)、蜂窝网络、因特网、或上述的组合。可以理解的是,网络的类型不限于上述具体示例。
外围接口308可以配置为将计算机设备300与一个或多个外围装置连接,以实现信息输入及输出。例如,外围装置可以包括键盘、鼠标、触摸板、触摸屏、麦克风、各类传感器等输入设备以及显示器、扬声器、振动器、指示灯等输出设备。
总线310可以被配置为在计算机设备300的各个组件(例如处理器302、存储器304、网络模块306和外围接口308)之间传输信息,诸如内部总线(例如,处理器-存储器总线)、外部总线(USB端口、PCI-E总线)等。
需要说明的是,尽管上述计算机设备300的架构仅示出了处理器302、存储器304、网络模块306、外围接口308和总线310,但是在具体实施过程中,该计算机设备300的架构还可以包括实现正常运行所必需的其他组件。此外,本领域的技术人员可以理解的是,上述计算机设备300的架构中也可以仅包含实现本公开实施例方案所必需的组件,而不必包含图中所示的全部组件。
基于同一发明构思,与上述任意实施例方法相对应的,本公开还提供了一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行如上任一实施例所述的方法200。
本实施例的计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
上述实施例的存储介质存储的计算机指令用于使所述计算机执行如上任一实施例所述的方法200,并且具有相应的方法实施例的有益效果,在此不再赘述。
基于同一发明构思,与上述任意实施例方法200相对应的,本公开还提供了一种计算机程序产品,其包括计算机程序。在一些实施例中,所述计算机程序由一个或多个处理器可执行以使得所述处理器执行所述的方法200。对应于方法200各实施例中各步骤对应的执行主体,执行相应步骤的处理器可以是属于相应执行主体的。
上述实施例的计算机程序产品用于使处理器执行如上任一实施例所述的方法200,并且具有相应的方法实施例的有益效果,在此不再赘述。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本公开的范围(包括权利要求)被限于这些例子;在本公开的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本公开实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。
另外,为简化说明和讨论,并且为了不会使本公开实施例难以理解,在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外,可以以框图的形式示出装置,以便避免使本公开实施例难以理解,并且这也考虑了以下事实,即关于这些框图装置的实施方式的细节是高度取决于将要实施本公开实施例的平台的(即,这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如,电路)以描述本公开的示例性实施例的情况下,对本领域技术人员来说显而易见的是,可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本公开实施例。因此,这些描述应被认为是说明性的而不是限制性的。
尽管已经结合了本公开的具体实施例对本公开进行了描述,但是根据前面的描述,这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如,其它存储器架构(例如,动态RAM(DRAM))可以使用所讨论的实施例。
本公开实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本公开实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本公开的保护范围之内。
Claims (17)
1.一种物联网系统,包括:
物联网终端,被配置为:利用所述物联网终端的连接证书与代理服务器建立连接,并向所述代理服务器发送所述物联网终端的设备信息和认证标识;
代理服务器,被配置为:接收所述设备信息和所述认证标识,并将所述设备信息和所述认证标识发送到物联网平台;
物联网平台,被配置为:接收所述设备信息和所述认证标识,并根据所述设备信息和所述认证标识对所述物联网终端进行身份验证;响应于所述身份验证通过,向所述代理服务器返回验证成功消息;
所述代理服务器,还被配置为:响应于接收到所述验证成功消息,与所述物联网终端建立通信连接。
2.如权利要求1所述的物联网系统,其中,所述物联网平台包括设备管理服务和身份认证服务;
所述设备管理服务,被配置为:根据所述设备信息验证所述物联网终端的可用性,响应于确定所述物联网终端可用,将所述设备信息和所述认证标识发送给所述身份认证服务;
所述身份认证服务,被配置为:根据所述设备信息和所述认证标识对所述物联网终端进行身份验证。
3.如权利要求2所述的物联网系统,其中,
所述物联网终端,还被配置为:向所述物联网平台发送身份认证请求,所述身份认证请求包括所述设备信息和所述物联网终端的身份证书;
所述设备管理服务,被配置为:根据所述设备信息验证所述物联网终端的可用性,响应于确定所述物联网终端可用,将所述设备信息和所述身份证书发送给所述身份认证服务;
所述身份认证服务,被配置为:根据所述设备信息和所述身份证书对所述物联网终端进行身份验证,响应于所述身份验证通过,生成所述物联网终端对应的挑战码,并将所述挑战码发送给所述物联网终端。
4.如权利要求3所述的物联网系统,其中,
所述物联网终端,还被配置为:利用所述身份证书的秘钥对所述挑战码和所述设备信息进行签名,得到所述认证标识。
5.如权利要求4所述的物联网系统,其中,所述身份认证服务,还被配置为:
利用所述设备信息查找所述物联网终端对应的身份证书和挑战码;
利用查找得到的身份证书和挑战码以及所述设备信息,验证所述认证标识;
响应于所述认证标识被验证通过,向所述代理服务器返回所述验证成功消息。
6.如权利要求5所述的物联网系统,其中,所述身份认证服务,还被配置为:响应于所述认证标识未被验证通过,向所述代理服务器返回验证失败消息;
所述代理服务器,还被配置为:响应于接收到所述验证失败消息,向所述物联网终端反馈所述验证失败消息,和/或,断开与所述物联网终端的连接。
7.如权利要求1-6任一项所述的物联网系统,其中,所述物联网终端,还被配置为:
利用所述连接证书与所述代理服务器建立TLS连接;
其中,所述设备信息作为所述TLS连接的用户名,所述认证标识作为所述TLS连接的密码。
8.一种物联网系统的认证与通信方法,包括:
物联网终端利用连接证书与代理服务器建立连接,并向所述代理服务器发送所述物联网终端的设备信息和认证标识;
代理服务器接收所述设备信息和所述认证标识,并将所述设备信息和所述认证标识发送到物联网平台;
物联网平台接收所述设备信息和所述认证标识,并根据所述设备信息和所述认证标识对所述物联网终端进行身份验证;
所述物联网平台响应于所述身份验证通过,向所述代理服务器返回验证成功消息;
所述代理服务器响应于接收到所述验证成功消息,与所述物联网终端建立通信连接。
9.如权利要求8所述的方法,其中,所述物联网平台包括设备管理服务和身份认证服务;物联网平台接收所述设备信息和所述认证标识,并根据所述设备信息和所述认证标识对所述物联网终端进行身份验证,包括:
所述设备管理服务根据所述设备信息验证所述物联网终端的可用性,响应于确定所述物联网终端可用,将所述设备信息和所述认证标识发送给所述身份认证服务;
所述身份认证服务根据所述设备信息和所述认证标识对所述物联网终端进行身份验证。
10.如权利要求9所述的方法,还包括:
所述物联网终端向所述物联网平台发送身份认证请求,所述身份认证请求包括所述设备信息和所述物联网终端的身份证书;
所述设备管理服务根据所述设备信息验证所述物联网终端的可用性,响应于确定所述物联网终端可用,将所述设备信息和所述身份证书发送给所述身份认证服务;
所述身份认证服务根据所述设备信息和所述身份证书对所述物联网终端进行身份验证,响应于所述身份验证通过,生成所述物联网终端对应的挑战码,并将所述挑战码发送给所述物联网终端。
11.如权利要求10所述的方法,还包括:
所述物联网终端利用所述身份证书的秘钥对所述挑战码和所述设备信息进行签名,得到所述认证标识。
12.如权利要求11所述的方法,其中,所述身份认证服务根据所述设备信息和所述身份证书对所述物联网终端进行身份验证,包括:
利用所述设备信息查找所述物联网终端对应的身份证书和挑战码;
利用查找得到的身份证书和挑战码以及所述设备信息,验证所述认证标识。
13.如权利要求12所述的物联网方法,还包括:
所述身份认证服务响应于所述认证标识未被验证通过,向所述代理服务器返回验证失败消息;
所述代理服务器响应于接收到所述验证失败消息,向所述物联网终端反馈所述验证失败消息,和/或,断开与所述物联网终端的连接。
14.如权利要求8-13任一项所述的方法,其中,物联网终端利用连接证书与代理服务器建立连接,包括:
利用所述连接证书与所述代理服务器建立TLS连接;
其中,所述设备信息作为所述TLS连接的用户名,所述认证标识作为所述TLS连接的密码。
15.一种计算机设备,包括一个或者多个处理器、存储器;和一个或多个程序,其中所述一个或多个程序被存储在所述存储器中,并且被所述一个或多个处理器执行,所述程序包括用于执行根据权利要求8-13任一项所述的方法的指令。
16.一种包含计算机程序的非易失性计算机可读存储介质,当所述计算机程序被一个或多个处理器执行时,使得所述处理器执行权利要求8-13任一项所述的方法。
17.一种计算机程序产品,包括计算机程序指令,当所述计算机程序指令在计算机上运行时,使得计算机执行如权利要求8-13中任一项所述的方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210692570.6A CN115065703A (zh) | 2022-06-17 | 2022-06-17 | 物联网系统及其认证与通信方法、相关设备 |
| PCT/CN2023/096285 WO2023241331A1 (zh) | 2022-06-17 | 2023-05-25 | 物联网系统及其认证与通信方法、相关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210692570.6A CN115065703A (zh) | 2022-06-17 | 2022-06-17 | 物联网系统及其认证与通信方法、相关设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115065703A true CN115065703A (zh) | 2022-09-16 |
Family
ID=83202871
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210692570.6A Pending CN115065703A (zh) | 2022-06-17 | 2022-06-17 | 物联网系统及其认证与通信方法、相关设备 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN115065703A (zh) |
| WO (1) | WO2023241331A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023241331A1 (zh) * | 2022-06-17 | 2023-12-21 | 京东方科技集团股份有限公司 | 物联网系统及其认证与通信方法、相关设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080209524A1 (en) * | 2007-02-23 | 2008-08-28 | Microsoft Corporation | Caching public objects with private connections |
| KR20170011388A (ko) * | 2015-07-22 | 2017-02-02 | 주식회사 케이티 | 안전한 사물 인터넷 단말 원격 접속 시스템 및 그 방법, ip 주소 할당 방법 |
| WO2017176051A1 (ko) * | 2016-04-06 | 2017-10-12 | (주)이스톰 | 모바일 기기를 이용하여 사물 인터넷 기기를 인증하는 방법 및 시스템 |
| US20170310660A1 (en) * | 2016-04-25 | 2017-10-26 | Unisys Corporation | Single sign on system for secure networks |
| US20200045546A1 (en) * | 2017-11-03 | 2020-02-06 | Huawei Technologies Co., Ltd. | Internet of Things Communication Method, Apparatus, and System |
| US20220109663A1 (en) * | 2020-10-02 | 2022-04-07 | Citrix Systems, Inc. | Combined authentication and connection establishment for a communication channel |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10499246B2 (en) * | 2017-05-17 | 2019-12-03 | Verizon Patent And Licensing Inc. | Hardware identification-based security authentication service for IoT devices |
| CN113098863B (zh) * | 2021-03-31 | 2022-03-11 | 郑州信大捷安信息技术股份有限公司 | 一种基于tls+mqtt协议的物联网双认证方法和系统 |
| CN113794729A (zh) * | 2021-09-17 | 2021-12-14 | 上海仙塔智能科技有限公司 | 针对avp设备的通信处理方法、装置、电子设备与介质 |
| CN114124451B (zh) * | 2021-10-15 | 2023-08-22 | 杭州安恒信息技术股份有限公司 | 一种物联网设备数据处理方法、系统及计算机存储介质 |
| CN115065703A (zh) * | 2022-06-17 | 2022-09-16 | 京东方科技集团股份有限公司 | 物联网系统及其认证与通信方法、相关设备 |
-
2022
- 2022-06-17 CN CN202210692570.6A patent/CN115065703A/zh active Pending
-
2023
- 2023-05-25 WO PCT/CN2023/096285 patent/WO2023241331A1/zh unknown
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080209524A1 (en) * | 2007-02-23 | 2008-08-28 | Microsoft Corporation | Caching public objects with private connections |
| KR20170011388A (ko) * | 2015-07-22 | 2017-02-02 | 주식회사 케이티 | 안전한 사물 인터넷 단말 원격 접속 시스템 및 그 방법, ip 주소 할당 방법 |
| WO2017176051A1 (ko) * | 2016-04-06 | 2017-10-12 | (주)이스톰 | 모바일 기기를 이용하여 사물 인터넷 기기를 인증하는 방법 및 시스템 |
| US20170310660A1 (en) * | 2016-04-25 | 2017-10-26 | Unisys Corporation | Single sign on system for secure networks |
| US20200045546A1 (en) * | 2017-11-03 | 2020-02-06 | Huawei Technologies Co., Ltd. | Internet of Things Communication Method, Apparatus, and System |
| US20220109663A1 (en) * | 2020-10-02 | 2022-04-07 | Citrix Systems, Inc. | Combined authentication and connection establishment for a communication channel |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023241331A1 (zh) * | 2022-06-17 | 2023-12-21 | 京东方科技集团股份有限公司 | 物联网系统及其认证与通信方法、相关设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2023241331A1 (zh) | 2023-12-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111865598B (zh) | 网络功能服务的身份校验方法及相关装置 | |
| US8606234B2 (en) | Methods and apparatus for provisioning devices with secrets | |
| WO2018121249A1 (zh) | 一种基于ssl协议的访问控制方法及装置 | |
| US8484708B2 (en) | Delegating authentication using a challenge/response protocol | |
| US9621540B2 (en) | Secure provisioning of computing devices for enterprise connectivity | |
| EP3065435A1 (en) | Method for generating a digital identity for a user of a mobile device, digital user identity, and authentication method using said digital user identity | |
| CN113630377B (zh) | 托管移动设备的单点登录 | |
| CN112131021B (zh) | 一种访问请求处理方法及装置 | |
| EP3734481B1 (en) | Method and system for application authenticity attestation | |
| CN110365701B (zh) | 客户终端设备的管理方法、装置、计算设备及存储介质 | |
| CN112491776B (zh) | 安全认证方法及相关设备 | |
| CN110247758B (zh) | 密码管理的方法、装置及密码管理器 | |
| US20210367942A1 (en) | Method and Apparatus for Secure Interaction Between Terminals | |
| CN111404695B (zh) | 令牌请求验证方法和装置 | |
| CN104717648A (zh) | 一种基于sim卡的统一认证方法和设备 | |
| WO2019056971A1 (zh) | 一种鉴权方法及设备 | |
| CN112311543A (zh) | Gba的密钥生成方法、终端和naf网元 | |
| CN116192483A (zh) | 认证鉴权方法、装置、设备及介质 | |
| WO2023241331A1 (zh) | 物联网系统及其认证与通信方法、相关设备 | |
| CN114500082A (zh) | 接入认证方法及装置、设备、服务器、存储介质和系统 | |
| CN111666590A (zh) | 分布式文件安全传输方法、装置及系统 | |
| EP3085007B1 (en) | Push-based trust model for public cloud applications | |
| CN108809927B (zh) | 身份认证方法及装置 | |
| CN114158046B (zh) | 一键登录业务的实现方法和装置 | |
| US20180198625A1 (en) | Method and authentication system for automatic re-authentication |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |