CN115396165B - 一种文件管理方法、装置、电子设备及存储介质 - Google Patents

Abstract

本申请公开了一种文件管理方法、装置、电子设备及存储介质，涉及通信领域，用以解决现阶段物联网设备的MUD文件容易被篡改，导致MUD文件管理过程中安全性不高的问题，包括：向区块链发送物联网设备的MUD文件；其中，MUD文件包括物联网设备的认证机构CA证书的统一资源定位系统URL链接和MUD文件签名文件的URL链接；确定物联网设备的MUD文件的URL链接；其中，MUD文件的URL链接用于指示MUD文件在区块链上的存储位置；将MUD文件的URL链接配置到物联网设备中。本申请用于MUD文件管理。

Description

一种文件管理方法、装置、电子设备及存储介质

技术领域

本申请涉及通信领域，尤其涉及一种文件管理方法、装置、电子设备及存储介质。

背景技术

随着物联网近年来在制造业和家居领域普及，物联网设备入网数量急剧增加。由于物联网的配置资源有限，自身安全防护能力弱，海量物联网终端的制造商使用描述(Manufacturer Usage Description，MUD)文件很容易在MUD文件服务器侧被病毒感染并被控制发起攻击。因此，需要物联网设备提供方对物联网设备的MUD文件服务器进行安全维护。

但是，不同的物联网设备提供方安全维护能力差异很大，对MUD文件服务器的防护能力存在差异，部分物联网设备提供方的安全维护能力较低，这样会导致MUD文件存在于MUD文件服务器侧被侵入篡改的风险，降低了MUD文件获取的安全性。

发明内容

本申请提供一种文件管理方法、装置、电子设备及存储介质，能够解决现阶段物联网设备的MUD文件容易被篡改，导致MUD文件管理过程中安全性不高的问题。

为了达到上述目的，本申请采用如下技术方案：

第一方面，本申请提供一种文件管理方法，包括：向区块链发送物联网设备的MUD文件；其中，MUD文件包括物联网设备的CA证书的统一资源定位系统URL链接和MUD文件签名文件的URL链接，CA证书的URL链接用于指示CA证书在区块链上的存储位置，MUD文件签名文件的URL链接用于指示MUD文件签名文件在区块链上的存储位置；确定物联网设备的MUD文件的URL链接；其中，MUD文件的URL链接用于指示MUD文件在区块链上的存储位置；将MUD文件的URL链接配置到物联网设备中。

基于上述技术方案，本申请通过将物联网设备的MUD文件，以及验证MUD文件所需的CA证书、MUD文件签名文件上传至区块链，进而使得MUD控制器能够从区块链上获取MUD文件并进行验证，避免了物联网设备的MUD文件被篡改，同时通过区块链记录存储MUD文件相关的配置文件，以保证MUD文件存储的不可篡改与长期完整性，减少不同物联网设备提供方的MUD文件服务器因安全管理及维护缺失等导致的MUD文件被篡改的情况，提升了MUD文件获取的安全性。

在一种可能的实现方式中，在向区块链发送物联网设备的MUD文件之前，方法还包括：获取物联网设备提供方的CA证书；向区块链发送CA证书，确定CA证书的URL链接；

根据CA证书，确定MUD文件签名文件；向区块链发送MUD文件签名文件，确定MUD文件签名文件的URL链接。

在一种可能的实现方式中，CA证书的URL链接包括CA证书的交易ID签名，MUD文件签名文件的URL链接包括MUD文件签名文件的交易ID签名，MUD文件的URL链接包括MUD文件的交易ID签名；上述方法还包括：在向区块链发送CA证书之后，确定CA证书的交易ID；根据非对称加密算法对CA证书的交易ID进行签名，确定CA证书的交易ID签名；在向区块链发送MUD文件签名文件之后，确定MUD文件签名文件的交易ID；根据非对称加密算法对MUD文件签名文件的交易ID进行签名，确定MUD文件签名文件的交易ID签名；在向区块链发送物联网设备的MUD文件之后，确定MUD文件的交易ID；根据非对称加密算法对MUD文件进行签名，确定MUD文件的交易ID签名。

第二方面，本申请提供一种文件管理方法，包括：在物联网设备接入网络时，获取物联网设备的MUD文件的统一资源定位系统URL链接；其中，MUD文件的URL链接用于指示MUD文件在区块链上的存储位置；根据MUD文件的URL链接，确定MUD文件；其中，MUD文件包括物联网设备的认证机构CA证书的URL链接和MUD文件签名文件的URL链接，CA证书的URL链接用于指示CA证书在区块链上的存储位置，MUD文件签名文件的URL链接用于指示MUD文件签名文件在区块链上的存储位置；根据CA证书和MUD文件签名文件，对MUD文件进行验证；若对物联网设备的MUD管理文件的验证通过，则将物联网设备的MUD文件确定为行为策略。

在一种可能的实现方式中，CA证书的URL链接包括CA证书的交易ID签名，MUD文件签名文件的URL链接包括MUD文件签名文件的交易ID签名，MUD文件的URL链接包括MUD文件的交易ID签名；根据CA证书和MUD文件签名文件，对MUD文件进行验证，具体包括：根据CA证书的URL链接，确定物联网设备提供方的CA证书；根据CA证书，对CA证书的交易ID签名、MUD文件签名文件的交易ID签名和MUD文件的交易ID签名进行验证，确定第一验证结果；在第一验证结果为通过的情况下，根据MUD文件签名文件的URL链接，确定MUD文件签名文件；根据MUD文件签名文件，对MUD文件进行验证。

在一种可能的实现方式中，CA证书的交易ID签名为物联网设备提供方根据非对称加密算法对CA证书的交易ID进行签名确定的；MUD文件签名文件的交易ID签名为物联网设备提供方根据非对称加密算法对MUD文件签名文件的交易ID进行签名确定的；MUD文件的交易ID签名为物联网设备提供方根据非对称加密算法对MUD文件的交易ID进行签名确定的。

第三方面，本申请提供一种文件管理装置，该装置包括：发送单元和处理单元：发送单元，用于向区块链发送物联网设备的MUD文件；其中，MUD文件包括物联网设备的认证机构CA证书的统一资源定位系统URL链接和MUD文件签名文件的URL链接，CA证书的URL链接用于指示CA证书在区块链上的存储位置，MUD文件签名文件的URL链接用于指示MUD文件签名文件在区块链上的存储位置；处理单元，用于确定物联网设备的MUD文件的URL链接；其中，MUD文件的URL链接用于指示MUD文件在区块链上的存储位置；处理单元，还用于将MUD文件的URL链接配置到物联网设备中。

在一种可能的实现方式中，文件管理装置还包括：获取单元；获取单元，用于获取物联网设备提供方的CA证书；发送单元，还用于向区块链发送CA证书，确定CA证书的URL链接；处理单元，还用于根据CA证书，确定MUD文件签名文件；发送单元，还用于向区块链发送MUD文件签名文件，确定MUD文件签名文件的URL链接。

在一种可能的实现方式中，处理单元，还用于在向区块链发送CA证书之后，确定CA证书的交易ID；根据非对称加密算法对CA证书的交易ID进行签名，确定CA证书的交易ID签名；处理单元，还用于在向区块链发送MUD文件签名文件之后，确定MUD文件签名文件的交易ID；根据非对称加密算法对MUD文件签名文件的交易ID进行签名，确定MUD文件签名文件的交易ID签名；处理单元，还用于在向区块链发送物联网设备的MUD文件之后，确定MUD文件的交易ID；根据非对称加密算法对MUD文件进行签名，确定MUD文件的交易ID签名。

第四方面，本申请提供一种文件管理装置，该装置包括：获取单元和处理单元：获取单元，用于在物联网设备接入网络时，获取物联网设备的MUD文件的统一资源定位系统URL链接；其中，MUD文件的URL链接用于指示MUD文件在区块链上的存储位置；处理单元，用于根据MUD文件的URL链接，确定MUD文件；其中，MUD文件包括物联网设备的认证机构CA证书的URL链接和MUD文件签名文件的URL链接，CA证书的URL链接用于指示CA证书在区块链上的存储位置，MUD文件签名文件的URL链接用于指示MUD文件签名文件在区块链上的存储位置；处理单元，还用于根据CA证书和MUD文件签名文件，对MUD文件进行验证；处理单元，还用于在对物联网设备的MUD管理文件的验证通过时，将物联网设备的MUD文件确定为行为策略。

在一种可能的实现方式中，处理单元，还用于根据CA证书的URL链接，确定物联网设备提供方的CA证书；处理单元，还用于根据CA证书，对CA证书的交易ID签名、MUD文件签名文件的交易ID签名和MUD文件的交易ID签名进行验证，确定第一验证结果；处理单元，还用于在第一验证结果为通过的情况下，根据MUD文件签名文件的URL链接，确定MUD文件签名文件；处理单元，还用于根据MUD文件签名文件，对MUD文件进行验证。

在一种可能的实现方式中，CA证书的交易ID签名为物联网设备提供方根据非对称加密算法对CA证书的交易ID进行签名确定的；MUD文件签名文件的交易ID签名为物联网设备提供方根据非对称加密算法对MUD文件签名文件的交易ID进行签名确定的；MUD文件的交易ID签名为物联网设备提供方根据非对称加密算法对MUD文件的交易ID进行签名确定的。

第五方面，本申请提供一种存储一个或多个程序的计算机可读存储介质，该一个或多个程序包括指令，上述指令当被本申请的电子设备执行时使电子设备执行如第一方面和第一方面的任一种可能的实现方式中所描述的文件管理方法。

第六方面，本申请提供一种电子设备，包括：处理器以及存储器；其中，存储器用于存储一个或多个程序，一个或多个程序包括计算机执行指令，当电子设备运行时，处理器执行存储器存储的计算机执行指令，以使电子设备执行如第一方面和第一方面的任一种可能的实现方式中所描述的文件管理方法。

第七方面，本申请提供一种包含指令的计算机程序产品，当该指令在计算机上运行时，使得本申请的电子设备执行如第一方面和第一方面的任一种可能的实现方式中所描述的文件管理方法。

第八方面，本申请提供一种芯片系统，该芯片系统应用于文件管理装置；芯片系统包括一个或多个接口电路，以及一个或多个处理器。接口电路和处理器通过线路互联；接口电路用于从文件管理装置的存储器接收信号，并向处理器发送信号，信号包括存储器中存储的计算机指令。当处理器执行计算机指令时，文件管理装置执行如第一方面及其任一种可能的设计方式的文件管理方法。

在本申请中，上述文件管理装置的名字对设备或功能单元本身不构成限定，在实际实现中，这些设备或功能单元可以以其他名称出现。只要各个设备或功能单元的功能和本申请类似，均属于本申请权利要求及其等同技术的范围之内。

附图说明

图1为本申请实施例提供的一种文件管理系统的架构示意图；

图2为本申请实施例提供的一种文件管理方法的流程示意图；

图3为本申请实施例提供的另一种文件管理方法的流程示意图；

图4为本申请实施例提供的另一种文件管理方法的流程示意图；

图5为本申请实施例提供的一种文件管理装置的结构示意图；

图6为本申请实施例提供的另一种文件管理装置的结构示意图；

图7为本申请实施例提供的另一种文件管理装置的结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本申请保护的范围。

本文中字符“/”，一般表示前后关联对象是一种“或者”的关系。例如，A/B可以理解为A或者B。

本申请的说明书和权利要求书中的术语“第一”和“第二”是用于区别不同的对象，而不是用于描述对象的特定顺序。例如，第一边缘服务节点和第二边缘服务节点是用于区别不同的边缘服务节点，而不是用于描述边缘服务节点的特征顺序。

此外，本申请的描述中所提到的术语“包括”和“具有”以及它们的任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括其他没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。

另外，在本申请实施例中，“示例性地”、或者“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例性地”或“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用“示例性地”、或者“例如”等词旨在以具体方式呈现概念。

随着物联网近年来在制造业和家居领域普及，物联网设备入网数量急剧增加。由于物联网设备的配置资源有限，自身安全防护能力弱，海量物联网终端容易被病毒感染并被控制向其他设备或网络发起恶意攻击。

网络运营商缺乏工具来了解连接到其网络的物联网设备是正常运行还是被网络入侵。为了解决这个问题，国际互联网工程任务组(the internet engineering taskforce，IETF)制定了制造商使用描述(Manufacturer Usage Description，MUD)标准RFC8520。MUD标准认为物联网的功能单一，如摄像头、门锁、智能家电等，因此要求物联网设备提供方指定他们投入市场的物联网设备的预期网络行为，包括可连接设备及预设服务质量(Quality of Service，QoS)要求等，使得网络运营商能在网络边缘设置接入策略，以限制物联网设备建立超出其功能需要的网络连接，占用额外的网络资源。MUD文件即为物联网设备提供方在MUD标准下，制定物联网设备的预期网络行为的相关文件。

区块链是一种由多方共同维护，以块链结构存储数据，使用密码学保证传输和访问安全，能够实现数据一致存储、无法篡改、无法抵赖的技术体系。区块链中的账本可以在多个节点进行存储，并使用对等网络(Peer to Peer，P2P)技术进行同步。多个节点采用共识机制对写入账本的记录进行确认。区块链的块-链存储结构可以保证记录数据的不可篡改及可溯源。将区块链技术与MUD文件管理相结合，能够有效保障MUD文件不被篡改，提高MUD文件的安全性。

随着物联网近年来在制造业和家居领域普及，物联网设备入网数量急剧增加。由于物联网的配置资源有限，自身安全防护能力弱，海量物联网终端的MUD文件很容易在MUD文件服务器侧被病毒感染并被控制发起攻击。因此，需要物联网设备提供方对物联网设备的MUD文件服务器进行安全维护。

但是，不同的物联网设备提供方安全维护能力差异很大，对MUD文件服务器的防护能力存在差异，部分物联网设备提供方的安全维护能力较低，这样会导致MUD文件存在于MUD文件服务器侧被侵入篡改的风险，降低了MUD文件获取的安全性。

示例性地，现有技术提供了一种获取MUD文件的网络地址的方法，在该方法中，网络设备获取发起认证的终端的硬件信息，然后根据该终端的硬件信息，获取该终端的MUD文件的网络地址。该硬件信息为以下信息中的一种或多种：终端的接入设备的标识；终端的接入端口号；或终端类型。如此，在该终端发起认证时，该网络设备可以自动获得该终端的MUD文件的网络地址，而无需该终端发送该MUD文件的网络地址。从而可以平滑地将已部署的终端融入到IETF RFC8520标准的MUD管理框架中，避免了对终端的升级改造工作，降低了运营成本。

然而，上述方案主要用于避免对网络中存量物联网终端进行改造，平滑支持物联网终端接入网络时获取MUD文件并实施MUD文件接入控制策略，并不能保障MUD文件不被篡改，无法提高MUD文件管理过程中的安全性。

因此，针对上述现阶段物联网设备的MUD文件容易被篡改，导致MUD文件管理过程中安全性不高的问题，本申请提供一种MUD文件管理方法，通过区块链记录存储MUD文件相关的配置文件，以保证MUD文件存储的不可篡改与长期完整性，减少不同物联网设备提供方的MUD文件服务器因安全管理及维护缺失等导致的MUD文件被篡改的情况，提升MUD文件获取安全性。

示例性地，如图1所示，为本申请提供的一种文件管理系统的架构示意图。此文件管理系统10中，包括物联网设备提供方11、区块链12、MUD控制器13和物联网设备14。

其中，物联网设备提供方11，用于生成物联网设备14的MUD文件以及其他的相关文件，例如物联网设备的认证机构(certification authority，CA)证书和MUD文件签名文件。物联网设备提供方11在生成物联网设备14的MUD文件后，会将MUD文件上传至区块链12，并生成MUD文件的统一资源定位系统(uniform resource locator，URL)链接。在此之后，物联网设备提供方11将MUD文件的URL链接配置入物联网设备14中，以使得物联网设备14在接入网络时，将MUD文件的URL链接携带在接入信令中发送至MUD控制器13。示例性地，在实际应用中，物联网设备提供方11可以是物联网设备厂商。

区块链12，用于接收物联网设备提供方11上传的MUD文件及其它的相关文件，并对这些文件进行存储。相应的，MUD控制器能够基于MUD文件及其它的相关文件的URL链接从区块链12处获取这些文件。

MUD控制器13，用于在物联网设备14接入网络后，根据物联网设备14发送的MUD文件的URL链接来获取MUD文件，并对MUD文件进行验证。在验证通过后，MUD控制器对MUD文件进行翻译后确定为物联网设备14或者与物联网设备14进行网络连接的其它网络设备的行为策略。

需要说明的是，MUD控制器13具体根据URL链接来从区块链获取对应文件的功能可以基于MUD Web服务器15(图1中以虚线框示出)来实现，也可以基于MUD控制器13本身配置的功能实现，本申请对此不做具体限定。

当MUD控制器13具体根据URL链接来从区块链获取对应文件的功能基于MUD Web服务器15来实现时，MUD Web服务器15可以包括用户接口模块151、URL分析模块152、区块链账本客户端模块153共三个子模块。用户接口模块151用于实现URL链接提取功能；URL分析模块152用于实现基于提取的URL链接，获取区块链身份标识(identity docum ent，ID)及交易ID的功能；区块链账本客户端模块153用于实现基于区块链ID及交易ID查询区块链账本，返回所请求的文件的功能。应理解，对应前文所述，当MUD控制器13具体根据URL链接来从区块链获取对应文件的功能基于MUD控制器13本身配置的功能实现时，MUD控制器13也可以包括前述三个子模块。

物联网设备14，用于在接入网络时，将MUD文件的URL链接携带在接入信令中发送至MUD控制器13。可以理解的是，物联网设备14可以通过网络接入设备与MUD控制器进行数据交互。

示例性地，物联网设备14可以是工业园区中用于生产监测、安全监控的摄像头。

在不同的应用场景中，物联网设备提供方11、区块链12、MUD控制器13和物联网设备14可以部署在文件管理系统10包括的不同的设备中，也可以集成于文件管理系统10包括的同一设备中，本申请对此不作具体限定。

当物联网设备提供方11、区块链12、MUD控制器13和物联网设备14集成于文件管理系统10内同一设备时，物联网设备提供方11、区块链12、MUD控制器13和物联网设备14的通信方式为该设备内部模块之间的通信。这种情况下，四者之间的通信流程与“物联网设备提供方11、区块链12、MUD控制器13和物联网设备14之间相互独立的情况下，四者之间的通信流程”相同。

下面对本实施例提供的文件管理方法的流程进行说明。

示例性地，如图2所示，本申请提供一种文件管理方法，具体包括以下S201-S207：

S201、物联网设备提供方向区块链发送MUD文件。相应的，区块链接收MUD文件。

可选地，物联网设备提供方在向区块链发送MUD文件，确定MUD文件的URL链接之前，会生成物联网设备的MUD文件。

示例性地，物联网设备提供方可以通过区块链客户端直接将MUD文件向区块链发送。

需要说明的是，物联网设备提供方生成物联网设备的MUD文件，以及向区块链发送MUD文件的方法为现有技术，本实施例在此不再赘述。

其中，MUD文件包括物联网设备提供方的CA证书的URL链接和MUD文件签名文件的URL链接。CA证书的URL链接用于指示CA证书在区块链上的存储位置，MUD文件签名文件的URL链接用于指示MUD文件签名文件在区块链上的存储位置。

可以理解的是，CA证书的URL链接的作用是使得后续MUD控制器根据CA证书的URL链接，从区块链上获取物联网设备提供方的CA证书；MUD文件签名文件的URL链接的作用是使得后续MUD控制器根据MUD文件签名文件的URL链接，从区块链上获取物联网设备的MUD文件签名文件。

S202、物联网设备提供方确定MUD文件的URL链接。

可选地，物联网设备提供方在向区块链发送物联网设备的MUD文件后，会记录上传该MUD文件的交易ID签名。具体的，物联网设备提供方可以根据CA证书对应的本地私钥生成MUD文件的交易ID签名。需要说明，在本步骤中，非对称加密算法可以使用SHA、RSA、MD5等。

在一种可能的实现方式中，物联网设备提供方在生成MUD文件的交易ID签名后，确定MUD文件的URL链接。

其中，MUD文件的URL链接用于指示MUD文件在区块链上的存储位置。具体的，MUD文件的URL链接中可以包括以下信息：Web主机DNS域名、区块链ID、MUD文件的交易ID和MUD文件的交易ID签名。

需要说明的是，物联网设备提供方提供的MUD文件的URL链接中的Web主机域名可以是政务机关提供的公共基础设施服务器DNS域名，也可以是网络运营商提供的Web服务器DNS域名，也可以是根据识别的接入IP地址进行重定向的DNS域名。物联网设备提供方将哪一种Web服务器域名写入MUD文件及物联网设备取决于其产品商业策略。

可以理解的是，物联网设备提供方确定出MUD文件的URL链接，能够使得后续MUD控制器根据MUD文件的URL链接，从区块链上获取物联网设备的MUD文件。

S203、物联网设备提供方将MUD文件的URL链接配置到物联网设备中。

需要说明的是，在本实施例中，物联网设备出厂之前前，物联网设备提供方会将MUD文件的URL链接配置到物联网设备中，以使得物联网设备接入网络后，MUD控制器能够获取到MUD文件的URL链接。

S204、MUD控制器获取物联网设备的MUD文件的URL链接。

可以理解的是，在物联网设备接入网络时，MUD控制器能够基于预设程序获取到在物联网设备出厂之前，物联网设备提供方就已经配置到物联网设备中的MUD文件的URL链接。

S205、MUD控制器根据MUD文件的URL链接，确定MUD文件。

可以理解的是，由于MUD文件中包括有物联网设备提供方补充的物联网设备提供方的CA证书的URL链接和MUD文件签名文件的URL链接，因此MUD控制器能够根据CA证书的URL链接和MUD文件签名文件的URL链接，从区块链上获取到物联网设备提供方的CA证书和MUD文件签名文件。

S206、MUD控制器根据CA证书和MUD文件签名文件，对MUD文件进行验证。

可以理解的是，MUD控制器在根据CA证书和MUD文件签名文件，对MUD文件进行验证后，会确定出验证结果。示例性地，该验证结果包括验证通过和验证不通过。

需要说明的是，MUD控制器根据CA证书和MUD文件签名文件，对MUD文件进行验证的具体流程参见下述S401-S404，此处不再赘述。

S207、若MUD控制器对物联网设备的MUD管理文件的验证通过，则将物联网设备的MUD文件确定为行为策略。

其中，行为策略即制定了MUD控制器允许物联网设备或者与物联网设备进行网络连接的其它网络设备所能够执行的预期网络行为。

可选地，若对物联网设备的MUD管理文件的验证通过，MUD控制器将MUD文件中包括的访问控制列表(access control lists，ACL)策略和QoS策略翻译后，确定为行文策略。

可选地，MUD控制器在将物联网设备的MUD文件确定为行为策略后，将该行为策略向物联网设备或者与物联网设备进行网络连接的其它网络设备下发。

基于上述技术方案，本申请实施例通过将物联网设备的MUD文件，以及验证MUD文件所需的CA证书、MUD文件签名文件上传至区块链，进而使得MUD控制器能够从区块链上获取MUD文件并进行验证，避免了物联网设备的MUD文件被篡改，同时通过区块链记录存储MUD文件相关的配置文件，以保证MUD文件存储的不可篡改与长期完整性，减少不同物联网设备提供方的MUD文件服务器因安全管理及维护缺失等导致的MUD文件被篡改的情况，提升了MUD文件获取的安全性。

示例性地，结合图2，如图3所示，本申请提供的文件管理方法，在物联网设备提供方向区块链发送MUD文件之前，还包括以下S301-S306：

S301、物联网设备提供方获取物联网设备提供方的CA证书。

可选地，物联网设备提供方能够通过向认证机构申请的方式，来获取物联网设备提供方的CA证书。具体物联网设备提供方获取物联网设备提供方的CA证书的方法为现有技术，本实施例在此不再赘述。

S302、物联网设备提供方向区块链发送物联网设备提供方的CA证书。

示例性地，物联网设备提供方可以通过区块链客户端直接将CA证书向区块链发送。

需要说明的是，物联网设备提供方向区块链发送CA证书的方法为现有技术，本实施例在此不再赘述。

S303、物联网设备提供方确定CA证书的URL链接。

可选地，物联网设备提供方在向区块链发送物联网设备提供方的CA证书后，会记录上传该CA证书的交易ID。进一步的，物联网设备提供方根据CA证书对应的私钥，生成CA证书的交易ID签名。

示例性地，物联网设备提供方可以根据非对称加密算法对CA证书的交易ID进行签名，确定CA证书的交易ID签名。具体的，物联网设备提供方可以根据CA证书对应的本地私钥生成CA证书的交易ID签名。在本步骤中，非对称加密算法可以使用SHA、RSA、MD5等。

在一种可能的实现方式中，物联网设备提供方在生成CA证书的交易ID签名后，确定CA证书的URL链接。具体的，CA证书的URL链接中可以包括以下信息：Web主机DNS域名、区块链ID、CA证书的交易ID和CA证书的交易ID签名。

需要说明的是，物联网设备提供方提供的CA证书的URL链接中的Web主机域名可以是政务机关提供的公共基础设施服务器DNS域名，也可以是网络运营商提供的Web服务器DNS域名，也可以是根据识别的接入IP地址进行重定向的DNS域名。物联网设备提供方选择哪一种Web服务器域名取决于其产品商业策略。

可以理解的是，物联网设备提供方确定出CA证书的URL链接，能够使得后续MUD控制器根据CA证书的URL链接，从区块链上获取物联网设备提供方的CA证书。

可选地，物理网在确定出CA证书的URL链接后，将该CA证书的URL链接补充入物联网设备的MUD文件中。

S304、物联网设备提供方根据CA证书，确定MUD文件签名文件。

可选地，物联网设备提供方在根据CA证书，确定MUD文件签名文件之前，会生成物联网设备的MUD文件。

可选地，物联网设备提供方根据CA证书，基于非对称加密算法确定MUD文件签名文件。具体的，物联网设备提供方可以根据CA证书对应的本地私钥为MUD文件生成MUD文件签名文件。同样的，在本步骤中，非对称加密算法可以使用SHA、RSA、MD5等。

S305、物联网设备提供方向区块链发送MUD文件签名文件。

示例性地，物联网设备提供方可以通过区块链客户端直接将MUD文件签名文件向区块链发送。

需要说明的是，物联网设备提供方向区块链发送MUD文件签名文件的方法为现有技术，本实施例在此不再赘述。

S306、物联网设备提供方确定MUD文件签名文件的URL链接。

可选地，物联网设备提供方在向区块链发送物联网设备的MUD文件签名文件后，会记录上传该MUD文件签名文件的交易ID签名。具体的，物联网设备提供方可以根据CA证书对应的本地私钥生成MUD文件签名文件的交易ID签名。同样的，在本步骤中，非对称加密算法可以使用SHA、RSA、MD5等。

在一种可能的实现方式中，物联网设备提供方在生成MUD文件签名文件的交易ID签名后，确定MUD文件签名文件的URL链接。具体的，MUD文件签名文件的URL链接中可以包括以下信息：Web主机DNS域名、区块链ID、MUD文件签名文件的交易ID和MUD文件签名文件的交易ID签名。

需要说明的是，物联网设备提供方提供的MUD文件签名文件的URL链接中的Web主机域名可以是政务机关提供的公共基础设施服务器DNS域名，也可以是网络运营商提供的Web服务器DNS域名，也可以是根据识别的接入IP地址进行重定向的DNS域名。物联网设备提供方选择哪一种Web服务器域名取决于其产品商业策略。

可以理解的是，物联网设备提供方确定出MUD文件签名文件的URL链接，能够使得后续MUD控制器根据MUD文件签名文件的URL链接，从区块链上获取物联网设备的MUD文件签名文件。

可选地，物理网在确定出MUD文件签名文件的URL链接后，将该MUD文件签名文件的URL链接补充入物联网设备的MUD文件中。

基于上述技术方案，本申请实施例能够确定出物联网设备提供方的CA证书和MUD文件签名文件，并将CA证书和MUD文件签名文件上传至区块链，同时获取CA证书的URL链接和MUD文件签名文件的URL链接，以便于后续MUD文件管理流程的顺利进行。

以上对本申请提供的文件管理方法中，在物联网设备提供方向区块链发送MUD文件之前，还包括的步骤进行了说明。

示例性地，结合图2，如图4所示，本申请提供的文件管理方法中，MUD控制器根据CA证书和MUD文件签名文件，对MUD文件进行验证，具体包括以下S401-S404：

S401、MUD控制器根据CA证书的URL链接，确定物联网设备提供方的CA证书。

可以理解的是，MUD控制器能够根据CA证书的URL链接，从区块链出获取到物联网设备提供方的CA证书。

S402、MUD控制器根据CA证书，对CA证书的交易ID签名、MUD文件签名文件的交易ID签名和MUD文件的交易ID签名进行验证，确定第一验证结果。

在一种可能的实现方式中，MUD控制器在获取到物联网设备提供方的CA证书后，根据CA证书对应的公钥对CA证书的交易ID签名、MUD文件签名文件的交易ID签名和MUD文件的交易ID签名进行验证，确定第一验证结果。

其中，第一验证结果包括验证通过与验证不通过两种情况。

若第一验证结果为验证不通过，则MUD控制器确定MUD文件在传输过程中可能遭受篡改，停止MUD文件配置执行流程。

若第一验证结果为验证通过，则MUD控制器执行后续S403。

S403、在第一验证结果为通过的情况下，MUD控制器根据MUD文件签名文件的URL链接，确定MUD文件签名文件。

可以理解的是，MUD控制器能够根据MUD文件签名文件的URL链接，从区块链出获取到物联网设备的MUD文件签名文件。

S404、MUD控制器根据MUD文件签名文件，对MUD文件进行验证。

需要说明的是，具体MUD控制器根据MUD文件签名文件，对MUD文件进行验证的方法为本领域的成熟技术，本实施例在此不再赘述。

其中，MUD控制器根据MUD文件签名文件，对MUD文件进行验证的结果包括验证通过和验证不通过。

若对MUD文件进行验证的结果为验证不通过，则MUD控制器确定MUD文件在传输过程中可能遭受篡改，停止MUD文件配置执行流程。

若对MUD文件进行验证的结果为验证通过，则MUD控制器执行后续S207。

基于上述技术方案，本申请实施例能够基于CA证书和MUD文件签名文件对MUD文件进行验证，并根据验证结果确定是停止MUD文件配置执行流程还是继续后续行为策略的制定，保障了MUD文件管理流程的顺利进行

本申请实施例可以根据上述方法示例对文件管理装置进行功能模块或者功能单元的划分，例如，可以对应各个功能划分各个功能模块或者功能单元，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块或者功能单元的形式实现。其中，本申请实施例中对模块或者单元的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

示例性地，如图5所示，为本申请实施例所涉及的一种文件管理装置的一种可能的结构示意图。该文件管理装置500包括：发送单元501、处理单元502和获取单元503。

其中，发送单元501，用于向区块链发送物联网设备的MUD文件；其中，MUD文件包括物联网设备的认证机构CA证书的统一资源定位系统URL链接和MUD文件签名文件的URL链接，CA证书的URL链接用于指示CA证书在区块链上的存储位置，MUD文件签名文件的URL链接用于指示MUD文件签名文件在区块链上的存储位置。

处理单元502，用于确定物联网设备的MUD文件的URL链接；其中，MUD文件的URL链接用于指示MUD文件在区块链上的存储位置。

处理单元502，还用于将MUD文件的URL链接配置到物联网设备中。

可选地，获取单元503，用于获取物联网设备提供方的CA证书。

可选地，发送单元501，还用于向区块链发送CA证书，确定CA证书的URL链接。

可选地，处理单元502，还用于根据CA证书，确定MUD文件签名文件。

可选地，发送单元501，还用于向区块链发送MUD文件签名文件，确定MUD文件签名文件的URL链接。

可选地，处理单元502，还用于在向区块链发送CA证书之后，确定CA证书的交易ID；根据非对称加密算法对CA证书的交易ID进行签名，确定CA证书的交易ID签名。

可选地，处理单元502，还用于在向区块链发送MUD文件签名文件之后，确定MUD文件签名文件的交易ID；根据非对称加密算法对MUD文件签名文件的交易ID进行签名，确定MUD文件签名文件的交易ID签名。

可选地，处理单元502，还用于在向区块链发送物联网设备的MUD文件之后，确定MUD文件的交易ID；根据非对称加密算法对MUD文件进行签名，确定MUD文件的交易ID签名。

可选地，文件管理装置500还可以包括存储单元(图5中以虚线框示出)，该存储单元存储有程序或指令，当发送单元501、处理单元502和获取单元503执行该程序或指令时，使得文件管理装置可以执行上述方法实施例所述的文件管理方法。

此外，图5所述的文件管理装置的技术效果可以参考上述实施例所述的文件管理方法的技术效果，此处不再赘述。

示例性地，如图6所示，为本申请实施例所涉及的一种文件管理装置的又一种可能的结构示意图。该文件管理装置600包括：获取单元601和处理单元602。

其中，获取单元601，用于在物联网设备接入网络时，获取物联网设备的MUD文件的统一资源定位系统URL链接；其中，MUD文件的URL链接用于指示MUD文件在区块链上的存储位置。

处理单元602，用于根据MUD文件的URL链接，确定MUD文件；其中，MUD文件包括物联网设备的认证机构CA证书的URL链接和MUD文件签名文件的URL链接，CA证书的URL链接用于指示CA证书在区块链上的存储位置，MUD文件签名文件的URL链接用于指示MUD文件签名文件在区块链上的存储位置；

处理单元602，还用于根据CA证书和MUD文件签名文件，对MUD文件进行验证。

处理单元602，还用于在对物联网设备的MUD管理文件的验证通过时，将物联网设备的MUD文件确定为行为策略。

可选地，处理单元602，还用于根据CA证书的URL链接，确定物联网设备提供方的CA证书。

可选地，处理单元602，还用于根据CA证书，对CA证书的交易ID签名、MUD文件签名文件的交易ID签名和MUD文件的交易ID签名进行验证，确定第一验证结果。

可选地，处理单元602，还用于在第一验证结果为通过的情况下，根据MUD文件签名文件的URL链接，确定MUD文件签名文件；

可选地，处理单元602，还用于根据MUD文件签名文件，对MUD文件进行验证。

可选地，文件管理装置600还可以包括存储单元(图6中以虚线框示出)，该存储单元存储有程序或指令，当获取单元601和处理单元602执行该程序或指令时，使得文件管理装置可以执行上述方法实施例所述的文件管理方法。

此外，图6所述的文件管理装置的技术效果可以参考上述实施例所述的文件管理方法的技术效果，此处不再赘述。

示例性地，图7为上述实施例中所涉及的文件管理装置的又一种可能的结构示意图。如图7所示，文件管理装置700包括：处理器702。

其中，处理器702，用于对该文件管理装置的动作进行控制管理，例如，执行上述发送单元501、处理单元502、获取单元503、获取单元601和处理单元602执行的步骤，和/或用于执行本文所描述的技术方案的其它过程。

上述处理器702可以是实现或执行结合本申请内容所描述的各种示例性的逻辑方框，模块和电路。该处理器可以是中央处理器，通用处理器，数字信号处理器，专用集成电路，现场可编程门阵列或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框，模块和电路。所述处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等。

可选地，文件管理装置700还可以包括通信接口703、存储器701和总线704。其中，通信接口703用于支持文件管理装置700与其他网络实体的通信。存储器701用于存储该文件管理装置的程序代码和数据。

其中，存储器701可以是文件管理装置中的存储器，该存储器可以包括易失性存储器，例如随机存取存储器；该存储器也可以包括非易失性存储器，例如只读存储器，快闪存储器，硬盘或固态硬盘；该存储器还可以包括上述种类的存储器的组合。

总线704可以是扩展工业标准结构(Extended Industry StandardArchitecture，EISA)总线等。总线704可以分为地址总线、数据总线、控制总线等。为便于表示，图7中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。上述描述的系统，装置和模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

本申请实施例提供一种包含指令的计算机程序产品，当所述计算机程序产品在本申请的电子设备上运行时，使得所述计算机执行上述方法实施例所述的文件管理方法。

本申请实施例还提供一种计算机可读存储介质，计算机可读存储介质中存储有指令，当计算机执行该指令时，该本申请的电子设备执行上述方法实施例所示的方法流程中文件管理装置执行的各个步骤。

其中，计算机可读存储介质，例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘。随机存取存储器(Random Access Memory，RAM)、只读存储器(Read-Only Memory，ROM)、可擦式可编程只读存储器(Erasable Programmable Read Only Memory，EPROM)、寄存器、硬盘、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory，CD-ROM)、光存储器件、磁存储器件、或者上述的人以合适的组合、或者本领域数值的任何其他形式的计算机可读存储介质。一种示例性的存储介质耦合至处理器，从而使处理器能够从该存储介质读取信息，且可向该存储介质写入信息。当然，存储介质也可以是处理器的组成部分。处理器和存储介质可以位于特定用途集成电路(Application Specific Integrated Circuit，ASIC)中。在本申请实施例中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何在本申请揭露的技术范围内的变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应该以权利要求的保护范围为准。

Claims (14)

1.一种文件管理方法，其特征在于，应用于物联网设备提供方，所述方法包括：

向区块链发送物联网设备的制造商使用描述MUD文件；其中，所述MUD文件包括所述物联网设备提供方的认证机构CA证书的统一资源定位系统URL链接和MUD文件签名文件的URL链接，所述CA证书的URL链接用于指示所述CA证书在区块链上的存储位置，所述MUD文件签名文件的URL链接用于指示所述MUD文件签名文件在区块链上的存储位置；所述CA证书的URL链接包括以下信息：Web主机DNS域名、所述区块链ID、所述CA证书的交易ID和所述CA证书的交易ID签名；

确定所述物联网设备的MUD文件的URL链接；其中，所述MUD文件的URL链接用于指示所述MUD文件在区块链上的存储位置；

将所述MUD文件的URL链接配置到所述物联网设备中。

2.根据权利要求1所述的方法，其特征在于，在所述向区块链发送物联网设备的MUD文件之前，所述方法还包括：

获取所述物联网设备提供方的CA证书；

向所述区块链发送所述CA证书，确定所述CA证书的URL链接；

根据所述CA证书，确定所述MUD文件签名文件；

向所述区块链发送所述MUD文件签名文件，确定所述MUD文件签名文件的URL链接。

3.根据权利要求2所述的方法，其特征在于，所述CA证书的URL链接包括所述CA证书的交易ID签名，所述MUD文件签名文件的URL链接包括所述MUD文件签名文件的交易ID签名，所述MUD文件的URL链接包括所述MUD文件的交易ID签名；

所述方法还包括：

在向所述区块链发送所述CA证书之后，确定所述CA证书的交易ID；根据非对称加密算法对所述CA证书的交易ID进行签名，确定所述CA证书的交易ID签名；

在所述向所述区块链发送所述MUD文件签名文件之后，确定所述MUD文件签名文件的交易ID；根据所述非对称加密算法对所述MUD文件签名文件的交易ID进行签名，确定所述MUD文件签名文件的交易ID签名；

在所述向区块链发送物联网设备的MUD文件之后，确定所述MUD文件的交易ID；根据所述非对称加密算法对所述MUD文件进行签名，确定所述MUD文件的交易ID签名。

4.一种文件管理方法，其特征在于，应用于MUD控制器，所述方法包括：

在物联网设备接入网络时，获取所述物联网设备的MUD文件的统一资源定位系统URL链接；其中，所述MUD文件的URL链接用于指示所述MUD文件在区块链上的存储位置；

根据所述MUD文件的URL链接，确定所述MUD文件；其中，所述MUD文件包括所述物联网设备的认证机构CA证书的URL链接和MUD文件签名文件的URL链接，所述CA证书的URL链接用于指示所述CA证书在区块链上的存储位置，所述MUD文件签名文件的URL链接用于指示所述MUD文件签名文件在区块链上的存储位置；所述CA证书的URL链接中包括以下信息：Web主机DNS域名、所述区块链ID、所述CA证书的交易ID和所述CA证书的交易ID签名；

根据所述CA证书和所述MUD文件签名文件，对所述MUD文件进行验证；

若对所述物联网设备的MUD管理文件的验证通过，则将所述物联网设备的MUD文件确定为行为策略。

5.根据权利要求4所述的方法，其特征在于，所述CA证书的URL链接包括所述CA证书的交易ID签名，所述MUD文件签名文件的URL链接包括所述MUD文件签名文件的交易ID签名，所述MUD文件的URL链接包括所述MUD文件的交易ID签名；所述根据所述CA证书和所述MUD文件签名文件，对所述MUD文件进行验证，具体包括：

根据所述CA证书的URL链接，确定所述物联网设备提供方的CA证书；

根据所述CA证书，对所述CA证书的交易ID签名、所述MUD文件签名文件的交易ID签名和所述MUD文件的交易ID签名进行验证，确定第一验证结果；

在所述第一验证结果为通过的情况下，根据所述MUD文件签名文件的URL链接，确定所述MUD文件签名文件；

根据所述MUD文件签名文件，对所述MUD文件进行验证。

6.根据权利要求5所述的方法，其特征在于，所述CA证书的交易ID签名为物联网设备提供方根据非对称加密算法对所述CA证书的交易ID进行签名确定的；

所述MUD文件签名文件的交易ID签名为所述物联网设备提供方根据所述非对称加密算法对所述MUD文件签名文件的交易ID进行签名确定的；

所述MUD文件的交易ID签名为所述物联网设备提供方根据所述非对称加密算法对所述MUD文件的交易ID进行签名确定的。

7.一种文件管理装置，其特征在于，所述文件管理装置包括：发送单元和处理单元：

所述发送单元，用于向区块链发送物联网设备的MUD文件；其中，所述MUD文件包括所述物联网设备的认证机构CA证书的统一资源定位系统URL链接和MUD文件签名文件的URL链接，所述CA证书的URL链接用于指示所述CA证书在区块链上的存储位置，所述MUD文件签名文件的URL链接用于指示所述MUD文件签名文件在区块链上的存储位置；所述CA证书的URL链接中包括以下信息：Web主机DNS域名、所述区块链ID、所述CA证书的交易ID和所述CA证书的交易ID签名；

所述处理单元，用于确定所述物联网设备的MUD文件的URL链接；其中，所述MUD文件的URL链接用于指示所述MUD文件在区块链上的存储位置；

所述处理单元，还用于将所述MUD文件的URL链接配置到所述物联网设备中。

8.根据权利要求7所述的文件管理装置，其特征在于，所述文件管理装置还包括：获取单元；

所述获取单元，用于获取所述物联网设备提供方的CA证书；

所述发送单元，还用于向所述区块链发送所述CA证书，确定所述CA证书的URL链接；

所述处理单元，还用于根据所述CA证书，确定所述MUD文件签名文件；

所述发送单元，还用于向所述区块链发送所述MUD文件签名文件，确定所述MUD文件签名文件的URL链接。

9.根据权利要求7所述的文件管理装置，其特征在于，

所述处理单元，还用于在向所述区块链发送所述CA证书之后，确定所述CA证书的交易ID；根据非对称加密算法对所述CA证书的交易ID进行签名，确定所述CA证书的交易ID签名；

所述处理单元，还用于在所述向所述区块链发送所述MUD文件签名文件之后，确定所述MUD文件签名文件的交易ID；根据所述非对称加密算法对所述MUD文件签名文件的交易ID进行签名，确定所述MUD文件签名文件的交易ID签名；

所述处理单元，还用于在所述向区块链发送物联网设备的MUD文件之后，确定所述MUD文件的交易ID；根据所述非对称加密算法对所述MUD文件进行签名，确定所述MUD文件的交易ID签名。

10.一种文件管理装置，其特征在于，所述文件管理装置包括：获取单元和处理单元：

所述获取单元，用于在物联网设备接入网络时，获取所述物联网设备的MUD文件的统一资源定位系统URL链接；其中，所述MUD文件的URL链接用于指示所述MUD文件在区块链上的存储位置；

所述处理单元，用于根据所述MUD文件的URL链接，确定所述MUD文件；其中，所述MUD文件包括所述物联网设备的认证机构CA证书的URL链接和MUD文件签名文件的URL链接，所述CA证书的URL链接用于指示所述CA证书在区块链上的存储位置，所述MUD文件签名文件的URL链接用于指示所述MUD文件签名文件在区块链上的存储位置；所述CA证书的URL链接中包括以下信息：Web主机DNS域名、所述区块链ID、所述CA证书的交易ID和所述CA证书的交易ID签名；

所述处理单元，还用于根据所述CA证书和所述MUD文件签名文件，对所述MUD文件进行验证；

所述处理单元，还用于在对所述物联网设备的MUD管理文件的验证通过时，将所述物联网设备的MUD文件确定为行为策略。

11.根据权利要求10所述的文件管理装置，其特征在于，

所述处理单元，还用于根据所述CA证书的URL链接，确定所述物联网设备提供方的CA证书；

所述处理单元，还用于根据所述CA证书，对所述CA证书的交易ID签名、所述MUD文件签名文件的交易ID签名和所述MUD文件的交易ID签名进行验证，确定第一验证结果；

所述处理单元，还用于在所述第一验证结果为通过的情况下，根据所述MUD文件签名文件的URL链接，确定所述MUD文件签名文件；

所述处理单元，还用于根据所述MUD文件签名文件，对所述MUD文件进行验证。

12.根据权利要求10所述的文件管理装置，其特征在于，所述CA证书的交易ID签名为物联网设备提供方根据非对称加密算法对所述CA证书的交易ID进行签名确定的；

所述MUD文件签名文件的交易ID签名为所述物联网设备提供方根据所述非对称加密算法对所述MUD文件签名文件的交易ID进行签名确定的；

所述MUD文件的交易ID签名为所述物联网设备提供方根据所述非对称加密算法对所述MUD文件的交易ID进行签名确定的。

13.一种电子设备，其特征在于，包括：处理器以及存储器；其中，所述存储器用于存储计算机执行指令，当所述电子设备运行时，所述处理器执行所述存储器存储的所述计算机执行指令，以使所述电子设备执行如权利要求1-3或权利要求4-6中任一项所述的文件管理方法。

14.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质包括指令，当所述计算机可读存储介质中的指令由电子设备执行时，使得所述电子设备能够执行如权利要求1-3或权利要求4-6中任一项所述的文件管理方法。