CN117134889A - 证书管理方法及装置 - Google Patents

证书管理方法及装置 Download PDF

Info

Publication number
CN117134889A
CN117134889A CN202211108145.4A CN202211108145A CN117134889A CN 117134889 A CN117134889 A CN 117134889A CN 202211108145 A CN202211108145 A CN 202211108145A CN 117134889 A CN117134889 A CN 117134889A
Authority
CN
China
Prior art keywords
internet
certificate
things terminal
information
things
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211108145.4A
Other languages
English (en)
Inventor
杨滨华
张永康
杨庆平
韩志冲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of CN117134889A publication Critical patent/CN117134889A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/061Improving I/O performance
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/0614Improving the reliability of storage systems
    • G06F3/0616Improving the reliability of storage systems in relation to life time, e.g. increasing Mean Time Between Failures [MTBF]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0638Organizing or formatting or addressing of data
    • G06F3/0644Management of space entities, e.g. partitions, extents, pools
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0646Horizontal data movement in storage systems, i.e. moving data in between storage devices or systems
    • G06F3/0652Erasing, e.g. deleting, data cleaning, moving of data to a wastebasket
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0806Configuration setting for initial configuration or provisioning, e.g. plug-and-play
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Human Computer Interaction (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Telephonic Communication Services (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本申请提供一种证书管理方法及装置,该方法包括:接收来自物联终端的第一受限制应用协议CoAP报文,第一CoAP报文中包括用于实现物联终端的证书管理的第一信息以及用于实现物联终端的业务操作的第二信息。根据第一CoAP报文,确定第一信息和第二信息。本申请用于降低终端在证书管理过程中的负载。

Description

证书管理方法及装置
本申请要求于2022年05月25日提交中国专利局、申请号为202210577854.0、申请名称为“物联网端网协同系统”的中国专利申请的优先权,其全部内容通过引用结合在本申请中。
技术领域
本申请涉及通信领域,尤其涉及一种证书管理方法及装置。
背景技术
资源受限设备是指内存、存储、CPU、传输容量等资源有限的设备。在许多情况下,这些设备通常由电池供电,不为用户提供用户界面。若在资源受限设备上部署通用安全协议,则可能因为设备或网络限制而变得困难。
因此,如何高效的对资源受限设备这类设备的证书进行管理,这是目前需要解决的问题。
发明内容
本申请提供一种证书管理方法及装置,用于降低终端在证书管理过程中的负载。
第一方面,提供一种证书管理方法,该方法应用于物联网关,包括:接收来自物联终端的第一受限制应用协议CoAP报文,第一CoAP报文中包括用于实现物联终端的证书管理的第一信息以及用于实现物联终端的业务操作的第二信息。根据第一CoAP报文,确定第一信息和第二信息。
本方法中,将物联终端的证书管理流程与业务操作流程相结合(例如,将物联终端的证书申请与物联终端的入网过程结合),具体的,将用于实现证书管理的第一信息和用于实现业务操作的第二信息封装在一个CoAP报文中,进而通过转发该CoAP报文,既可以进行证书管理也可以进行业务操作。这样一来,可以达到减少物联终端发送的数据量、降低物联终端与物联网关的交互次数以及降低物联终端的负荷的效果。
在一种实现方式中,第一信息承载在第一CoAP报文的第一选项Option字段中,第一Option字段为携带证书申请信息的Option字段。
本实现方式中通过将第一信息承载在CoAP报文的Option中,从而可以节省出CoAP报文的URL和payload,以便于利用CoAP报文的URL和payload承载用于实现业务操作的第二信息。从而实现在一个CoAP报文中同时携带第一信息和第二信息的效果。
在一种实现方式中,第一Option字段具体为:在没有提供私钥拥有证明的情况下进行申请设备证书时,携带证书申请信息的Option字段。
本实现方式中,一方面,在相关技术中在设备证书申请过程中通常需要携带私钥拥有证明(如物联终端的签名),其作用主要是为了避免攻击者随机生成一些字符串作为公钥,并利用这些公钥冒充物联终端来向物联控制器101大量申请证书。具体的,物联终端的签名是由物联终端对物联终端的基本信息利用私钥进行加密得到的,这样一来若利用物联终端的公钥能够解密出该签名中携带的基本信息,则可以证明物联终端拥有公钥对应的私钥。另一方面,由于本实施例中,采用将用于证书管理的第一信息和用于业务操作的第二信息封装在同一个CoAP报文中进行转发,因此相比于相关技术的安全性更高。因此本实施例中在证书申请过程中可以不用提供物联终端的私钥拥有证明。因此,可以在没有提供私钥拥有证明的情况下进行申请设备证书。
在一种实现方式中,第一信息包括:用于申请设备证书的物联终端的公钥、物联终端的标识以及物联终端的签名中至少一项。
本实现方式中,通过在第一CoAP报文中承载物联终端的公钥、物联终端的标识以及物联终端的签名中至少一项作为第一信息,从而可以利用这些信息完成设备证书的申请流程。
在一种实现方式中,该方法还包括:检测所述物联终端的设备证书的有效期。在确定所述物联终端的设备证书到期后,向所述物联终端发送第二CoAP报文,所述第二CoAP报文中包括用于指示所述物联终端更新设备证书的第三信息。
上述方法中,通过由物联网关来检测物联终端的设备证书的有效期,并在确定物联终端的设备证书到期后,由物联网关向物联终端发送第二CoAP报文以触发物联终端更新设备证书。这样一来,不需要物联终端来检测自身设备证书的有效期,从而减轻了物联终端的负荷。
在一种实现方式中,第三信息具体包括第二CoAP报文中的第二Option字段,第二Option字段为用于触发设备证书更新的Option字段。
其中,上文中第一Option字段和第二Option字段可以为CoAP报文中不同类型的Option。
本实现方式中通过将第三信息承载在CoAP报文的Option中,从而可以节省出CoAP报文的URL和payload,以便于利用CoAP报文的URL和payload承载用于实现业务操作的其他信息。从而实现在一个CoAP报文中同时携带用于触发设备证书更新的第三信息和用于实现业务操作的信息的效果。
在一种实现方式中,检测所述物联终端的运行状态。在检测到物联终端的运行状态满足预设条件后,撤销所述物联终端的设备证书;所述预设条件包括:所述物联终端受到攻击、所述物联终端的密钥丢失或所述物联终端连接中断中任一项。
上述方法中,通过由物联网关来检测物联终端是否存在行为异常的情况,并在确定物联终端的行为异常后,可以主动撤销物联终端的设备证书,从而保证了通信安全。
在一种实现方式中,该方法还包括根据所述第一信息,生成预设格式的证书签名请求CSR消息。
上述实现方式中,通过由物联网关根据信息第一信息生成预设格式的CSR消息,进而可以不用占用物联终端的软/硬件资源用来组织并发送CSR消息,而是只需要物联终端将自己的公钥发送给物联网关即可,从而进一步降低物联终端的负荷。
在一种实现方式中,该方法还包括:生成携带所述第一信息的第一超文本协议传输协议HTTP报文以及携带所述第二信息的第二HTTP报文。将所述第一HTTP报文和第二HTTP报文发送至物联控制器;所述第一HTTP报文用于指示所述物联控制器根据所述第一信息对所述物联终端的证书进行管理,所述第二HTTP报文用于指示所述物联控制器根据所述第二信息执行对所述物联终端的业务操作。
上述实现方式中,通过将第一信息和第二信息分别承载在不同的HTTP报文中发送至物联控制器,从而可以不改动物联网关与物联控制器之间的传输协议,使得物联控制器可以按照相关技术的方法识别第一信息并进行证书操作。
在一种实现方式中,该方法还包括:获取第三受限制应用协议CoAP报文;所述第三CoAP报文中包括所述物联终端的设备证书和/或证书颁发机构CA证书,所述第三CoAP报文中还包括用于实现所述物联终端的业务操作的第四信息。向所述物联终端发送所述第三CoAP报文。
上述实现方式中,将物联终端的证书管理流程与业务操作流程相结合(例如,将物联终端的证书申请与物联终端的入网过程结合),具体的,将设备证书和/或CA证书和用于实现业务操作的第四信息封装在一个CoAP报文中,进而通过转发该CoAP报文,既可以进行证书管理也可以进行业务操作。这样一来,可以达到减少物联终端发送的数据量、降低物联终端与物联网关的交互次数以及降低物联终端的负荷的效果。
在一种实现方式中,物联终端的设备证书承载在所述第三CoAP报文的第三选项Option字段中,所述第三Option字段为用于承载设备证书的Option字段。和/或,所述CA证书承载在所述第一CoAP报文的第四Option字段中,所述第四Option字段为用于承载CA证书的Option字段。
其中,上文中第一Option字段、第二Option字段、第三Option字段和第四Option字段可以为CoAP报文中不同类型的Option。
在一种实现方式中,该方法还包括:检测所述物联终端的CA证书的有效期。向所述物联终端发送所述第三CoAP报文,包括:在确定所述物联终端的CA证书到期后,向所述物联终端发送所述第三CoAP报文。
上述方法中,通过由物联网关来检测物联终端的CA证书的有效期,并在确定物联终端的CA证书到期后,向物联终端发送携带新的CA证书的CoAP报文以触发物联终端更新CA证书。这样一来,不需要物联终端来检测自身CA证书的有效期,从而减轻了物联终端的负荷。
第二方面,提供一种证书管理方法,其特征在于,所述方法应用于物联终端,该方法包括:
生成第一受限制应用协议CoAP报文,第一CoAP报文中包括用于实现物联终端的证书管理的第一信息以及用于实现物联终端的业务操作的第二信息。将第一CoAP报文发送至物联网关。
本方法中,将物联终端的证书管理流程与业务操作流程相结合(例如,将物联终端的证书申请与物联终端的入网过程结合),具体的,将用于实现证书管理的第一信息和用于实现业务操作的第二信息封装在一个CoAP报文中,进而通过转发该CoAP报文,既可以进行证书管理也可以进行业务操作。这样一来,可以达到减少物联终端发送的数据量、降低物联终端与物联网关的交互次数以及降低物联终端的负荷的效果。
在一种实现方式中,第一信息承载在第一CoAP报文的第一选项Option字段中,第一Option字段为携带证书申请信息的Option字段。
本实现方式中通过将第一信息承载在CoAP报文的Option中,从而可以节省出CoAP报文的URL和payload,以便于利用CoAP报文的URL和payload承载用于实现业务操作的第二信息。从而实现在一个CoAP报文中同时携带第一信息和第二信息的效果。
在一种实现方式中,第一Option字段具体为:在没有提供私钥拥有证明的情况下进行申请设备证书时,携带证书申请信息的Option字段。
本实现方式中,一方面,在相关技术中在设备证书申请过程中通常需要携带私钥拥有证明(如物联终端的签名),其作用主要是为了避免攻击者随机生成一些字符串作为公钥,并利用这些公钥冒充物联终端来向物联控制器101大量申请证书。具体的,物联终端的签名是由物联终端对物联终端的基本信息利用私钥进行加密得到的,这样一来若利用物联终端的公钥能够解密出该签名中携带的基本信息,则可以证明物联终端拥有公钥对应的私钥。另一方面,由于本实施例中,采用将用于证书管理的第一信息和用于业务操作的第二信息封装在同一个CoAP报文中进行转发,因此相比于相关技术的安全性更高。因此本实施例中在证书申请过程中可以不用提供物联终端的私钥拥有证明。因此,可以在没有提供私钥拥有证明的情况下进行申请设备证书。
在一种实现方式中,第一信息包括:用于申请设备证书的物联终端的公钥、物联终端的标识以及物联终端的签名中至少一项。
本实现方式中,通过在第一CoAP报文中承载物联终端的公钥、物联终端的标识以及物联终端的签名中至少一项作为第一信息,从而可以利用这些信息完成设备证书的申请流程。
在一种实现方式中,该方法还包括:接收来自物联网关的第二CoAP报文,第二CoAP报文中包括用于指示物联终端更新设备证书的第三信息。
上述方法中,通过由外部设备(例如物联网关或物联控制器)来检测物联终端的设备证书的有效期,并在确定物联终端的设备证书到期后,由物联网关向物联终端发送第二CoAP报文以触发物联终端更新设备证书。这样一来,不需要物联终端来检测自身设备证书的有效期,从而减轻了物联终端的负荷。
在一种实现方式中,第三信息具体包括第二CoAP报文中的第二Option字段,第二Option字段为用于触发设备证书更新的Option字段。
其中,上文中第一Option字段和第二Option字段可以为CoAP报文中不同类型的Option。
本实现方式中通过将第三信息承载在CoAP报文的Option中,从而可以节省出CoAP报文的URL和payload,以便于利用CoAP报文的URL和payload承载用于实现业务操作的其他信息。从而实现在一个CoAP报文中同时携带用于触发设备证书更新的第三信息和用于实现业务操作的信息的效果。
在一种实现方式中,该方法还包括:接收来自物联网关的第三CoAP报文;所述第三CoAP报文中包括所述物联终端的设备证书和/或证书颁发机构CA证书,所述第三CoAP报文中还包括用于实现所述物联终端的业务操作的第四信息。
上述实现方式中,将物联终端的证书管理流程与业务操作流程相结合(例如,将物联终端的证书申请与物联终端的入网过程结合),具体的,将设备证书和/或CA证书和用于实现业务操作的第四信息封装在一个CoAP报文中,进而通过转发该CoAP报文,既可以进行证书管理也可以进行业务操作。这样一来,可以达到减少物联终端接收的数据量、降低物联终端与物联网关的交互次数以及降低物联终端的负荷的效果。
在一种实现方式中,物联终端的设备证书承载在所述第三CoAP报文的第三选项Option字段中,所述第三Option字段为用于承载设备证书的Option字段。和/或,所述CA证书承载在所述第一CoAP报文的第四Option字段中,所述第四Option字段为用于承载CA证书的Option字段。
其中,上文中第一Option字段、第二Option字段、第三Option字段和第四Option字段可以为CoAP报文中不同类型的Option。
第三方面,提供一种证书管理装置,该证书管理装置应用于物联网关,包括:通信单元,用于接收来自物联终端的第一受限制应用协议CoAP报文,所述第一CoAP报文中包括用于实现所述物联终端的证书管理的第一信息以及用于实现所述物联终端的业务操作的第二信息。处理单元,用于根据所述第一CoAP报文,确定所述第一信息和所述第二信息。
在一种实现方式中,第一信息承载在所述第一CoAP报文的第一选项Option字段中,所述第一Option字段为携带证书申请信息的Option字段。
在一种实现方式中,第一Option字段具体为:在没有提供私钥拥有证明的情况下进行申请设备证书时,携带证书申请信息的Option字段。
在一种实现方式中,第一信息包括:用于申请设备证书的所述物联终端的公钥、所述物联终端的标识以及所述物联终端的签名中至少一项。
在一种实现方式中,所述处理单元,还用于检测所述物联终端的设备证书的有效期。所述通信单元,还用于在确定所述物联终端的设备证书到期后,向所述物联终端发送第二CoAP报文,所述第二CoAP报文中包括用于指示所述物联终端更新设备证书的第三信息。
在一种实现方式中,第三信息具体包括所述第二CoAP报文中的第二Option字段,所述第二Option字段为用于触发设备证书更新的Option字段。
在一种实现方式中,所述处理单元,还用于检测所述物联终端的运行状态。所述处理单元,还用于在检测到物联终端的运行状态满足预设条件后,撤销所述物联终端的设备证书;所述预设条件包括:所述物联终端受到攻击、所述物联终端的密钥丢失或所述物联终端连接中断中任一项。
在一种实现方式中,处理单元,还用于根据所述第一信息,生成预设格式的证书签名请求CSR消息。
在一种实现方式中,所述处理单元,还用于生成携带所述第一信息的第一超文本协议传输协议HTTP报文以及携带所述第二信息的第二HTTP报文;所述通信单元,还用于将所述第一HTTP报文和第二HTTP报文发送至物联控制器;所述第一HTTP报文用于指示所述物联控制器根据所述第一信息对所述物联终端的证书进行管理,所述第二HTTP报文用于指示所述物联控制器根据所述第二信息执行对所述物联终端的业务操作。
在一种实现方式中,所述处理单元,还用于获取第三受限制应用协议CoAP报文;所述第三CoAP报文中包括所述物联终端的设备证书和/或证书颁发机构CA证书,所述第三CoAP报文中还包括用于实现所述物联终端的业务操作的第四信息;所述通信单元,还用于向所述物联终端发送所述第三CoAP报文。
在一种实现方式中,物联终端的设备证书承载在所述第三CoAP报文的第三选项Option字段中,所述第三Option字段为用于承载设备证书的Option字段;和/或,所述CA证书承载在所述第一CoAP报文的第四Option字段中,所述第四Option字段为用于承载CA证书的Option字段。
在一种实现方式中,所述处理单元,还用于检测所述物联终端的CA证书的有效期;所述通信单元,用于向所述物联终端发送所述第三CoAP报文,包括:所述通信单元,具体用于在确定所述物联终端的CA证书到期后,向所述物联终端发送所述第三CoAP报文。
第四方面,提供一种证书管理装置,应用于物联终端,包括:
处理单元,用于生成第一受限制应用协议CoAP报文,第一CoAP报文中包括用于实现物联终端的证书管理的第一信息以及用于实现物联终端的业务操作的第二信息。通信单元,用于将第一CoAP报文发送至物联网关。
在一种实现方式中,第一信息承载在第一CoAP报文的第一选项Option字段中,第一Option字段为携带证书申请信息的Option字段。
在一种实现方式中,第一Option字段具体为:在没有提供私钥拥有证明的情况下进行申请设备证书时,携带证书申请信息的Option字段。
在一种实现方式中,第一信息包括:用于申请设备证书的物联终端的公钥、物联终端的标识以及物联终端的签名中至少一项。
在一种实现方式中,通信单元,还用于接收来自物联网关的第二CoAP报文,第二CoAP报文中包括用于指示物联终端更新设备证书的第三信息。
在一种实现方式中,第三信息具体包括第二CoAP报文中的第二Option字段,第二Option字段为用于触发设备证书更新的Option字段。
在一种实现方式中,通信单元,还用于接收来自物联网关的第三CoAP报文;所述第三CoAP报文中包括所述物联终端的设备证书和/或证书颁发机构CA证书,所述第三CoAP报文中还包括用于实现所述物联终端的业务操作的第四信息。
在一种实现方式中,物联终端的设备证书承载在所述第三CoAP报文的第三选项Option字段中,所述第三Option字段为用于承载设备证书的Option字段。和/或,所述CA证书承载在所述第一CoAP报文的第四Option字段中,所述第四Option字段为用于承载CA证书的Option字段。
第五方面,提供一种证书管理装置,包括处理器和接口,所述处理器通过所述接口接收或发送数据,所述处理器用于实现如第一方面或第一方面任一实现方式或第二方面或第二方面任一实现方式所述的方法。
第六方面,提供一种通信系统,其特征在于,包括物联终端、物联网关和物联控制器;其中,所述物联网关用于实现如第一方面或第一方面任一实现方式所述的方法,物联终端用于实现如第二方面或第二方面任一实现方式所述的方法。
第七方面,提供一种计算机可读存储介质,计算机可读存储介质中存储有指令,当所述指令在处理器上运行时,实现如第一方面或第一方面任一实现方式或第二方面或第二方面任一实现方式所述的方法。
第八方面,提供一种计算机程序产品,,所述计算机程序产品包括指令,当所述指令在处理器上运行时,实现如第一方面或第一方面任一实现方式或第二方面或第二方面任一实现方式所述的方法。
附图说明
图1为采用CoAP-CMP协议的报文结构示意图;
图2为CoAP-EST的协议层的示意图;
图3为CoAP-EST协议中部分URL的定义的示意图;
图4为CoAP-EST协议中各必要/非必要操作类型的示意图;
图5为PKCS#10消息的结构示意图;
图6为一种基于CoAP-EST的证书申请请求的示例;
图7为本申请实施例提供的一种通信系统的结构示意图;
图8为一种证书管理方法的流程示意图;
图9为本申请实施例提供的一种证书管理方法的流程示意图之一;
图10为本申请实施例提供的一种证书管理方法的流程示意图之二;
图11为本申请实施例提供的一种证书管理方法的流程示意图之三;
图12为本申请实施例提供的一种证书管理方法的流程示意图之四;
图13为本申请实施例提供的一种证书管理方法的流程示意图之五;
图14为本申请实施例提供的一种证书管理方法的流程示意图之六;
图15为本申请实施例提供的一种证书管理方法的流程示意图之七;
图16为本申请实施例提供的一种证书管理方法的流程示意图之八;
图17为本申请实施例提供的一种证书管理方法的流程示意图之九;
图18为本申请实施例提供的一种证书管理装置的流程示意图之一;
图19为本申请实施例提供的一种证书管理装置的流程示意图之二;
图20为本申请实施例提供的一种证书管理装置的流程示意图之三;
图21为本申请实施例提供的一种证书管理装置的流程示意图之四。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。其中,为了便于清楚描述本申请实施例的技术方案,在本申请的实施例中,采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定,并且“第一”、“第二”等字样也并不限定一定不同。同时,在本申请实施例中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念,便于理解。
为便于理解本申请实施例所提供技术方案,首先对本申请实施例中涉及的技术进行介绍:
1、数字证书,简称“证书”,是一种在通信网络中用于确认通信一方身份的安全文件。具体的,证书中可以包括设备的公钥、设备的基本信息(如设备的标识和设备类型等信息)以及由认证机构(certification authority,CA)签发的CA签名等内容。
例如,当网络中的设备(例如第一设备)接入网络后,可以向CA申请证书。具体的,首先,第一设备向CA发送证书签名请求(其中包括第一设备的基本信息)。CA在验证了第一设备的身份后,会先利用CA私钥对第一设备的基本信息进行加密得到第一设备CA签名,然后将CA签名、第一设备的公钥和设备的基本信息重新组装成证书反馈给第一设备。
这样一来,当网络中的另一设备(例如第二设备)需要验证第一设备的身份时,可以获取第一设备的数字证书,然后利用CA公钥对数字证书中的CA签名进行解密,并利用解密后的信息和第一设备的基本信息进行对比,若验证通过,则完成对第一设备的身份验证。之后,第二设备可以利用证书中的第一设备的公钥,在第一设备与第二设备之间建立安全通道并进行数据传输。
本实施例中为便于描述,将CA为通信网络中各设备颁发的证书,称为“设备证书”;将CA发布的用于验证CA身份的证书称为“CA证书”。其中,设备证书中可以包括设备的公钥、设备的基本信息和CA签名等信息;CA证书中可以包括CA公钥、CA信息和所对应的CA签名等信息。下文中若无特殊说明,对于设备证书和CA证书,均可作上述理解。
另外,上述描述是以设备为粒度对设备证书的使用过程进行了简单介绍。可以理解的是,在实际应用过程中,设备证书也可用于对设备中的应用程序或虚拟机进行身份验证。也就是说,在实际应用过程中,上述实例中的第一设备可以为一个实体设备,另外第一设备还可以理解为运行在实体设备上的应用程序或虚拟机等。对此本实施例中不做限制。
2、资源受限设备,指内存、存储、CPU、传输容量等资源有限的设备。在许多情况下,这些设备通常由电池供电,不为用户提供用户界面。资源受限设备常作为物联终端,应用于安防、医疗、零售、教育、办公、家居以及能源等领域。
近年来,随着科技的飞速发展,物联网技术逐渐走向成熟。相对于传统互联网,物联网具有多源异构性、开放性和泛在性等特点。其中,作为物联终端的资源受限设备,常被部署在无人值守或者不安全的物理环境中执行信息采集等任务,容易成为攻击者的目标。另外,由于资源受限设备的各项硬件资源都受到限制,因此若在资源受限设备上部署通用安全协议,则会因为设备或网络限制而变得困难。因此,如何解决资源受限设备的安全问题,是进一步推动物联网业务广泛部署、产业快速发展的关键。
针对上述问题,相关技术中提供了一些针对资源受限设备的证书管理协议,例如受限制应用协议-证书管理协议(constrained application protocol-certificatemanagement protocol,CoAP-CMP)和受限制应用协议-安全传输注册协议(constrainedapplication protocol-enrollment over secure transport,CoAP-EST),用于受限环境下设备的证书管理。下面对CoAP-CMP和CoAP-EST分别进行介绍:
首先,对CoAP-CMP进行介绍:
CoAP-CMP,为一种基于CoAP的证书管理协议。为了使资源受限设备的证书管理尽量的轻量化,在CoAP-CMP中,只有少数关键的操作类型被指定为必要功能,其余特殊和复杂的用例指定为可选的功能。具体的,下表1中示出了CoAP-CMP中各操作类型的描述:
表1
可以看出,在CoAP-CMP中,只有设备证书申请(即表1中“为设备登记新的PKI”)以及更新设备证书为必要功能,其余均为可选功能。并且在CoAP-CMP中,操作标签携带在CoAP报文的统一资源定位器(Uniform Resource Locator,URL)中,用于确定操作类型。
其中,CoAP-CMP报文的结构如图1所示。其中,在CoAP-CMP报文所对应的PKI消息(PKI message)中,包括头(header)字段、主体(body)字段以及可选的保护(protection)字段、扩展证书(extraCerts)字段。
以设备证书申请过程为例,物联终端向物联网关发送的CoAP-CMP报文中,header字段中的必选字段如下表2所示:
表2
header字段中的必选字段 含义
pvno 协议版本号
sender 发送者名称
recipient 接收者名称
protectionAlg 保护算法标识符
transaction ID 事务ID
senderNonce 随机数
body字段中的必选字段如下表3所示:
表3
body字段中的必选字段 含义
certReq ID 请求ID
subject 类型名称
public Key 公钥
algorithm 公钥算法
popo 私钥拥有证明
也就是说,当采用CoAP-CMP进行设备证书申请时,需要在CoAP报文的URL中携带设备证书申请所对应的操作标签(即表1中的“/ir”),并在CoAP报文的负荷(payload)中携带如图1所示的CoAP-CMP报文(其中的header字段和body字段分别携带上表2和表3的内容),然后将该CoAP报文发送至物联网关,以便申请设备证书。
可以看出,一方面,由于CoAP-CMP是一个独立的证书管理协议,依赖于CoAP的URL和上层payload表达证书操作。另一方面,尽管CoAP-CMP为了达到轻量级的效果,对功能和选项进行裁剪。但是CoAP-CMP的消息体仍显复杂,终端需要承担大量的填充识别工作。例如图1中,PKIMessage包含了header、body、protection和extraCerts,header里面包含pvno、sender、recipient和事务id等必选字段,body体中subject与header里的sender重合,pop、对整个PKIMessage的保护以及证书链等字段为必选,对受限终端而言仍然过于厚重。又一方面,CoAP-CMP定义了证书申请、更新以及确认为终端的必选操作,其余操作均为可选,但事实上CA证书的更新也是物联终端需要面临的一个问题。同时在终端损坏、受到攻击或者密钥泄漏等场景下,证书撤销往往也需要考虑。轻量级CMP要支持上述功能,会导致终端承担更大的压力。
下面,对CoAP-EST进行介绍:
与CoAP-CMP类似,CoAP-EST是另一种用于受限环境下的证书管理协议。其中,EST是在RFC 7030中定义的证书管理协议。EST在安全传输层上使用基于加密消息语法(cryptomessage syntax,CMS)的证书管理消息协议(certificate management messages overCMS,CMC)协议作为应用层。图2所示为CoAP-EST协议层示意图。其中,CoAP-EST中包括EST请求/应答消息(EST request/response messages)、消息传输和信号的CoAP(CoAP formessage transfer and signaling)以及安全传输(secure transport)。
与CoAP-CMP类似,在CoAP-EST中同样采用携带在CoAP报文的URL中的操作标签来确定操作类型。
如图3所示,为CoAP-EST中各操作类型对应的URL中的操作标签。其中,获取CA证书(即图3中“/cacerts”),对应的操作标签为“/crts”;登记设备证书(即图3中“/simpleenroll”),对应的操作标签为“/sen”;更新设备证书(即图3中“/simplereenroll”),对应的操作标签为“/sren”;服务端密钥生成(即图3中“/serverkeygen”),对应的操作标签为“/skg”或“/skc”;客户端-服务器(client-server,CS)属性(即图3中“/csrattrs”),对应的操作标签为“/att”。
另外,如图4所示,为CoAP-EST中各操作类型对应的执行类型。可以看出,其中获取CA证书(即图4中“/cacerts”)、登记设备证书(即图4中“/simpleenroll”)以及更新设备证书(即图4中“/simplereenroll”)为必要功能。另外,服务端密钥生成(即图4中“/serverkeygen”)以及CS属性(即图4中“/csrattrs”)为可选功能。
另外,CoAP-EST规定了简单PKI消息作为主体(body)字段,没有头(header)字段,消息结构体比CMP协议更简化。
以设备证书申请过程为例,物联终端向物联网关发送的CoAP-EST报文中,body字段具体可以采用PKCS#10格式。其中,如图5所示,PKCS#10中包括:设备名称(即图5中“Subject Name”)、设备公钥信息(即图5中“Subject Public Key Info”)以及属性(即图5中“Attributes”),另外PKCS#10中还包括:私钥签名(即图5中“signed with matching”)。示例性的,如图6所示为一种物联终端采用PKCS#10格式申请设备证书的实例。
也就是说,CoAP-CMP类似,当采用CoAP-EST进行设备证书申请时,需要在CoAP报文的URL中携带设备证书申请所对应的操作标签(即表1中的“/sen”),并在CoAP报文的负荷(payload)中携带如图5所示的CoAP-EST报文,然后将该CoAP报文发送至物联网关,以便申请设备证书。
可以看出,一方面,与CoAP-CMP类型,CoAP-EST也是一个独立的证书管理协议,需要一栏CoAP的URL以及上层payload表达证书操作。另一方面,CoAP-EST中获取CA证书和证书申请是两个独立的操作,并且CoAP-EST不支持证书撤销操作,这些都有待优化。又一方面,CoAP-EST虽然应用层消息体采用简单PKI消息,与CoAP-CMP相比有所简化,但其中信息仍然较多。
为便于对本实施例所提供方案进行理解,下面对本实施例所提供技术方案的应用场景进行介绍:
如图7所示,为本实施例提供的一种通信系统的结构示意图。其中,通信系统10中包括一个或多个物联控制器(图中以物联控制器101为例),与物联控制器连接的一个或多个物联网关(图中以物联网关102和物联网关103为例),以及与物联网关连接的一个或多个物联终端(图中以物联终端104-物联终端107为例)。
具体的,在实际应用过程中,物联控制器与物联网关之间通常采用安全传输层协议(transport layer security,TLS)建立安全通道,并采用超文本传输协议(hyper texttransfer protocol,HTTP)进行通信。另外,物联网关与物联终端之间采用数据报安全传输层协议(datagram transport layer security,DTLS)建立安全通道,并采用CoAP进行通信。
其中,物联控制器用于对通信系统中的物联终端进行管理。例如,物联控制器101用于对物联终端104-物联终端107进行入网审核、向物联终端104-107发放证书、管理物联终端104-物联终端107的业务处理(例如控制物联终端104-物联终端107进行数据采集等)以及对物联终端104-物联终端107采集的数据进行分析等等。
物联网关用于将物联终端接入通信系统10,并负责物联终端与物联控制器之间的数据传递。
物联终端用于根据物联控制器的控制指令执行数据采集等操作。
下面结合图7所示通信系统,对本实施例所提供技术方案进行介绍:
目前,无论是基于上述CoAP-CMP还是基于CoAP-EST来对物联终端进行证书管理的过程中,证书管理协议都是一套独立的操作,需要独立的交互流程。而对于资源受限设备而言,其本身已有一些基于业务操作的交互流程,例如入网过程中的交互流程、数据上报过程中的交互流程等。若再叠加独立的证书管理操作,就会进一步增加交互次数,对于资源受限设备而言就会存在较大的负载压力。
示例性的,下面以图7中物联终端104连接至物联网关102之后,物联终端104的接入流程为例,进行说明。按照相关技术的方法,在物联终端104的接入流程如图8所示,具体可以包括以下步骤:
S201、物联终端104向物联网关102发送上线请求。
其中,上线请求中携带有物联终端104的身份规约信息。身份规约信息具体可以包括:物联终端104的厂商、产品名、终端类型、终端唯一标识(例如工业互联网标识或序列号(serial number,SN)等)、介质访问控制层(media access control,MAC)地址以及出厂预置的证书等信息。
S202、物联网关102根据身份规约信息对物联终端104进行认证。
其中,物联网关102认证通过后,物联网关102可以向物联终端104发送响应消息,物联终端104可以访问物联网关102本地资源。
S203、物联网关102将物联终端104的终端信息发送至物联控制器101。
其中,终端信息具体可以包括上述身份规约信息以及其他终端的状态信息等。
S204、物联控制器101根据终端信息,对物联终端104进行审核。
S205、物联控制器101在物联终端104审核通过后,向物联网关102反馈审核通过响应。
具体的,物联控制器101在物联终端104审核通过后,会在本地记录物联网关102和物联终端104的相关信息。然后向物联网关102反馈审核通过响应。
S206、物联网关102在接收到审核通过响应后,向物联终端104下发业务配置信息,以便完成物联终端104的入网过程。
以物联终端104为无线网络通信技术WIFI终端为例,业务配置信息可以包括为物联终端104分配的新的服务集标识(service set identifier,SSID)。物联终端104根据业务配置信息进行业务配置进而完成入网过程。
在物联终端104完成入网过程后,物联终端104发起证书申请流程,具体包括:
S207、物联终端104向物联网关102发送证书申请请求。
具体的,物联终端104可以基于CoAP-CMP或者基于CoAP-EST向物联网关102发送证书申请请求。
S208、物联网关102将证书申请请求转发至物联控制器101。
S209、物联控制器101根据证书申请请求,签发证书。
S210、物联控制器101将证书发送至物联网关102。
S211、物联网关102将证书发送至物联终端104。
具体的,物联网关102可以基于CoAP-CMP或者基于CoAP-EST,将证书发送至物联终端。
其中,物联终端104在接收到证书后,便可以利用证书建立与物联网关102之间的安全通道,以便进行后续通信过程。
可以看出,上述S201-S211的过程中,物联终端的入网过程与证书申请过程是相互独立。这就导致物联终端与物联网关之间的交互次数较多,物联终端的负载压力较大。
针对上述技术问题,本实施例中考虑到:可以将物联终端的证书管理流程与业务操作流程相结合(例如,将物联终端的证书申请与物联终端的入网过程结合),具体的,可以将用于实现证书管理的第一信息和用于实现业务操作的第二信息封装在一个CoAP报文中,进而通过转发该CoAP报文,既可以进行证书管理也可以进行业务操作。这样一来,可以达到减少物联终端发送的数据量、降低物联终端与物联网关的交互次数以及降低物联终端的负荷的效果。
下面结合具体实例,对本实施例所提供技术方案进行介绍。
一方面,以图7中物联终端104向物联网关102发送CoAP报文的过程为例,如图9所示,本实施例提供一种证书管理方法,包括:
S301、物联终端104生成CoAP报文1。
其中,CoAP报文1中包括用于实现物联终端104的证书管理的信息a,以及用于实现物联终端104的业务操作的信息b。
例如,信息a可以包括证书请求信息(certificate signing request,CSR)中的一项或多项信息;信息b可以包括身份规约信息中的一项或多项信息。
再例如,信息a可以包括用于更新证书的相关信息;信息b可以包括业务数据(例如,物联终端104为传感器,信息b具体可以为物联终端104采集到的数据等)。
S302、物联终端104将CoAP报文1发送至物联网关102。
S303、物联网关102根据CoAP报文1,确定信息a和信息b。
具体的,物联网关102可以通过读取CoAP报文1中信息a和信息b所对应的字段,确定出信息a和信息b。之后,物联网关102可以将信息a和信息b封装为HTTP报文并发送至物联控制器101,以便物联控制器101根据信息a和信息b进行与物联终端104对应的证书管理操作和业务操作。
另一方面,以图7中物联网关102向物联终端104发送CoAP报文的过程为例,如图10所示,该方法可以包括:
S401、物联网关102生成CoAP报文2。
其中,CoAP报文2中包括用于实现物联终端104的证书管理的信息c,以及用于实现物联终端104的业务操作的信息d。
例如,信息c可以包括物联终端104的设备证书或CA证书,或者信息c可以包括用于通知物联终端104更新设备证书的信息;信息d可以包括业务数据(例如,物联终端104为传感器,信息d可以为控制物联终端104进行数据采集的相关指令)。
S402、物联网关102将CoAP报文2发送至物联终端104。
S403、物联终端104根据CoAP报文2,确定信息c和信息d。
具体的,物联终端104可以通过读取CoAP报文2中信息c和信息d所对应的字段,确定出信息c和信息d。之后,物联终端104可以根据信息c执行证书管理操作(例如获取信息c中携带的设备证书或CA证书,或者触发更新设备证书流程等);另外,物联终端104可以根据信息d进行业务操作(例如根据信息d中携带的控制指令,进行数据采集等业务操作)。
下面以图7中物联终端104连接物联网关102后,物联终端的入网过程与证书申请过程为例,对本实施例所提供的证书管理方法进行介绍。如图11所示,本实施例所提供证书管理方法,具体包括:
S501、物联终端104生成用于申请设备证书的密钥对。
具体的,物联终端104在上电运行并且与物联网关102建立物理连接后,可以先检测本地是否预置有设备证书,在检测到本地没有证书后,则生成密钥对(即S501)以便申请设备证书。
其中,密钥对中的公钥用于封装在物联终端104的设备证书中,以便其他设备(例如物联网关)读取设备证书中携带的该公钥并利用该公钥向物联终端104发送密文。密钥对中的私钥用于物联终端104在接收到利用公钥加密的密文后,利用该私钥进行解密。
S502、物联终端104生成CoAP报文1。
参照S301的描述,CoAP报文1中包括用于实现物联终端104的证书管理的信息a,以及用于实现物联终端104的业务操作的信息b。
下面具体对CoAP报文1中信息a和信息b的具体内容进行详细介绍:
在一种实现方式中,在S502中的CoAP报文1中,信息a具体可以包括物联终端104的唯一标识、物联终端104的公钥以及物联终端104的签名等证书申请信息中至少一项或多项。
具体的,在一种可能的设计中,在S502中的CoAP报文1中,信息a具体可以包括预设格式的CSR。其中,CSR中包括物联终端104的唯一标识、物联终端104的公钥以及物联终端104的签名。
示例性的,在CoAP报文1中信息a可以为采用如图5所示的PKCS#10的简单PKI消息格式的CSR,或者采用CMC格式。
在另一种可能的设计中,考虑到:一方面,在信息a中携带物联终端104的签名主要是起到私钥拥有证明的作用:为了避免攻击者随机生成一些字符串作为公钥,并利用这些公钥冒充物联终端来向物联控制器101大量申请证书,在证书管理过程中,通常采用在证书申请信息中携带联终端的签名的方式,来证明物联终端具有公钥对应的私钥。具体的,物联终端104的签名是由物联终端104对物联终端104的基本信息利用私钥进行加密得到的,这样一来若利用物联终端104的公钥能够解密出该签名中携带的基本信息,则可以证明物联终端104拥有公钥对应的私钥。另一方面,由于本实施例中,采用将用于证书管理的信息a和用于业务操作的信息b封装在同一个CoAP报文中进行转发,因此相比于相关技术的安全性更高。因此本实施例中在证书申请过程中可以不用提供物联终端104的私钥拥有证明。
因此,本实施例中在CoAP报文1中可以不包括物联终端104的签名。此时,CoAP报文1中信息a可以只包括物联终端104的公钥。然后在物联终端104将CoAP报文1发送至物联网关102后,由物联网关102对应生成预设格式的CSR,再利用该CSR向物联控制器101申请物联终端104的设备证书,该具体实现过程下面中再具体详细描述。
另外,在S502中的CoAP报文1中,信息b具体可以包括物联终端104的身份规约信息。其中,身份规约信息可以包括:可以包括:物联终端104的厂商、产品名、终端类型、终端唯一标识(例如工业互联网标识或序列号(serial number,SN)等)、介质访问控制层(mediaaccess control,MAC)地址以及出厂预置的证书中的一项或多项。
下面具体对CoAP报文1中信息a和信息b的分别所处的字段进行详细介绍:
在一种实现方式中,为了实现在CoAP报文1中同时携带信息a(用于实现物联终端104的证书管理)和信息b(用于实现物联终端104的业务操作),本实施例中可以采用将信息a承载在CoAP报文的Option中。
与上文所描述CoAP-CMP和CoAP-EST将用于物联终端证书管理的信息承载在CoAP报文的URL和payload不同,本实施例中通过将信息a承载在CoAP报文的Option中,从而可以节省出CoAP报文的URL和payload,以便于利用CoAP报文的URL和payload承载用于实现业务操作的信息b。从而实现在一个CoAP报文中同时携带信息a和信息b的效果。
示例性的,下表4为本实施例提供的CoAP中新增Option字段的定义:
表4
名称 格式 长度
Csr pkcs#10 0-1024
CaCert pkcs7#-mime 0-1024
EeCert pkcs7#-mime 0-1024
Simple-Csr octet-stream 0-1024
Cert-Update empty 0
其中,“Csr”为携带证书申请信息的Option字段,“CaCert”为携带CA证书的Option字段,“EeCert”为携带设备证书的Option字段,“Simple-Csr”为在没有提供私钥拥有证明的情况下进行申请设备证书时携带证书申请信息的Option字段,“Cert-Update”为触发设备证书更新的Option字段。
进而,在一种可能的设计中,在S502中,在CoAP报文1中可以将信息a携带在用于携带证书申请信息的Option字段(即Csr)中,从而完成CoAP报文1的封装。
在另一种可能的设计中,在不提供物联终端104的私钥拥有证明的情况下,则在S502中,在CoAP报文1中可以将信息a携带在没有提供私钥拥有证明的情况下进行申请设备证书时携带证书申请信息的Option字段(即Simple-Csr)中,从而完成CoAP报文1的封装。
S503、物联终端104将CoAP报文1发送至物联网关102。
其中,物联网关102在接收到CoAP报文1后,可以向物联终端104发送确认消息,以使得物联终端104确定物联网关102已接收到CoAP报文1。
S504、物联网关102根据CoAP报文1,确定信息a和信息b。
具体的,物联网关102可以通过读取CoAP报文1中信息a和信息b所对应的字段,确定出信息a和信息b。
在一种实现方式中,在没有提供物联终端104的私钥拥有证明的情况下进行证书申请时,该方法还可以包括:
S505、物联网关102根据信息a,生成预设格式的CSR消息。
上述实现方式中,通过由物联网关102根据信息a生成预设格式的CSR消息,进而可以不用占用物联终端104的软/硬件资源用来组织并发送CSR消息,而是只需要物联终端104将自己的公钥发送给物联网关102即可,从而进一步降低物联终端104的负荷。
另外,在物联网关102确定信息a和信息b后,该方法还可以包括:
S506、物联网关102将信息a和信息b封装为HTTP报文,发送至物联控制器101。
在一种实现方式中,为了使得物联控制器101可以按照相关技术的方法识别信息a并进行证书操作,在一种实现方式中,S506具体包括:
S5061、物联网关102生成携带信息a的HTTP报文1和携带信息b的HTTP报文2。
具体的,其中HTTP报文1具体可以携带上述S505生成的CSR消息。
S5062、物联网关102将HTTP报文1和HTTP报文2分别发送至物联控制器101。
上述实现方式中,通过将信息a和信息b分别承载在不同的HTTP报文中发送至物联控制器101,从而可以不改动物联网关102与物联控制器101之间的传输协议,使得物联控制器101可以按照相关技术的方法识别信息a并进行证书操作。
S507、物联控制器101根据信息a得到物联终端104的设备证书。
例如,当物联控制器101为CA机构时,物联控制器101可以根据信息a生成物联终端104的设备证书。再例如,当CA机构运行在独立于物联控制器101的其他设备时,物联控制器101可以将信息a发送至CA机构,以获取CA机构反馈的物联终端104的设备证书。
S508、物联控制器101根据信息b得到业务数据x。
具体的,物联控制器101在接收到物联网关102发送的信息b后,可以输出相应信息,以便技术人员对物联终端104进行审核,在审核通过后,生成业务数据x。
例如,业务数据x具体包括用于配置物联终端的业务配置信息。以物联终端104为WIFI终端为例,业务配置信息可以包括为物联终端104分配的新的SSID。
S509、物联控制器101将物联终端104的设备证书以及业务数据x发送至物联网关102。
其中,物联控制器101将物联终端104的设备证书以及业务数据x发送至物联网关102的具体实现,可参照相关技术的内容,在此不做赘述。
S510、物联网关102根据物联终端104的设备证书以及业务数据x,生成CoAP报文2。
参照上文S401的内容,CoAP报文2中包括用于实现物联终端104的证书管理的信息c,以及用于实现物联终端104的业务操作的信息d。
具体的,在S510中,信息c具体包括物联终端104的设备证书以及CA证书。其中CA证书可以预先存储在物联网关102本地,在需要封装CoAP报文2时则将CA证书添加至报文中。另外,信息d具体可以包括业务数据x。
在一种实现方式中,可以采用将信息c承载在CoAP报文的Option中。
示例性的,按照表4中所提供的Option字段的定义,可以将信息c中的设备证书承载在“EeCert”字段中,将信息c中的CA证书承载在“CaCert”字段中。
与上文所描述CoAP-CMP和CoAP-EST将用于物联终端证书管理的信息承载在CoAP报文的URL和payload不同,本实施例中通过将信息c承载在CoAP报文的Option中,从而可以节省出CoAP报文的URL和payload,以便于利用CoAP报文的URL和payload承载用于实现业务操作的信息d。从而实现在一个CoAP报文中同时携带信息c和信息d的效果。
S511、物联网关102将CoAP报文2发送至物联终端104。
S512、物联终端104根据CoAP报文2,确定信息c和信息d。
这样一来,一方面,物联终端104可以根据信息d中携带的业务数据完成入网接入。另一方面,物联终端104可以根据信息c中携带的设备证书和CA证书,在物联终端104与其他设备(例如物联网关102)之间建立安全通道,以便后续利用该安全通道进行数据交互。
下面以图7中物联终端104的设备证书的更新过程为例,对本实施例所提供的证书管理方法进行介绍。如图12所示,本实施例所提供证书管理方法,具体包括:
S601、物联控制器101检测物联终端104的设备证书的有效期。
示例性的,物联控制器101中记录有各物联终端的设备证书的有效期,并对各设备证书的有效期进行检测。
S602、物联控制器101在确定物联终端104的设备证书到期后,向物联网关102发送证书更新通知。
其中,证书更新通知用于指示物联终端104的设备证书到期。
例如,物联控制器101可以通过向物联网关102发送携带证书更新通知的HTTP报文,以向物联网关102发送证书更新通知。
S603、物联网关102在接收到证书更新通知后,生成用于发送给物联终端104的CoAP报文3。
其中,参照S401中CoAP报文2的描述,CoAP报文3中可以包括用于实现物联终端104的证书管理的信息e,另外CoAP报文3中还可以包括用于实现物联终端104的业务操作的信息f。
具体的,CoAP报文3中,信息e可以为用于指示物联终端104更新设备证书的信息。另外,信息f可以为向物联终端104下发的业务数据(例如,物联终端104为传感器,信息d可以为控制物联终端104进行数据采集的相关指令)。也可以理解为,本实施例中在向物联终端104下发的业务数据时,可以将用于指示物联终端104更新设备证书的信息e和业务数据一起封装在一个CoAP报文中并下发给物联终端104。
另外,可以理解的是,当没有业务数据需要下发给物联终端104时,CoAP报文3中也可以不包括信息f。
在一种实现方式中,在CoAP报文3中,信息e可以承载在CoAP报文3的Option中。这样一来,可以利用CoAP报文中的URL和payload承载信息f。
示例性的,按照表4中所提供的Option字段的定义,可以将信息e承载在“Cert-Update”字段中。具体的,“Cert-Update”字段可以为预先配置的一段字符串,当物联终端接收到包括“Cert-Update”字段的CoAP报文后,则触发设备证书的更新过程,此时这段字符串即可理解为信息e。
S604、物联网关102向物联终端104发送CoAP报文3。
S605、物联终端104在接收到CoAP报文3后,执行设备证书更新流程。
其中,物联终端104执行设备证书更新流程的过程与设备证书的申请过程类似,因此物联终端104执行设备证书更新流程的过程可以参照上文中S501-S512的对应内容,在此不做赘述。
上述方法中,通过由物联控制器101来检测物联终端104的设备证书的有效期,并在确定物联终端104的设备证书到期后,由物联控制器101向物联网关102发送证书更新通知,进而物联网关102向物联终端104发送CoAP报文3以触发物联终端104更新设备证书。这样一来,不需要物联终端104来检测自身设备证书的有效期,从而减轻了物联终端104的负荷。
在另一种实现方式中,也可由物联网关102来检测物联终端104的设备证书的有效期。具体的,如图13所示,该方法可以包括:
S701、物联网关102检测物联终端104的设备证书的有效期。
示例性的,物联网关102中记录有与物联网关102连接的各物联终端的设备证书的有效期,并对各设备证书的有效期进行检测。
可以理解的是,在具体实现过程中,物联网关102检测物联终端104的设备证书的有效期的过程,也可以表现为:物联网关102通过物联控制器101检测物联终端104的设备证书的有效期。也就是说,S701也可以表现为:由物联控制器101检测物联终端104的设备证书的有效期,并在确定物联终端104的设备证书到期后,物联控制器101向物联网关102发送用于触发设备证书更新的通知(即上述S601和S602)。因此,上述S601和S602的内容,可以理解为S701的一种具体实现过程。
S702、物联网关102在确定物联终端104的设备证书到期后,生成用于发送给物联终端104的CoAP报文4。
其中,CoAP报文4中所携带的信息以及信息所处的字段,可参照S603中对CoAP报文3的描述,在此不做赘述。
S703、物联网关102向物联终端104发送CoAP报文4。
S704、物联终端104在接收到CoAP报文3后,执行设备证书更新流程。
其中,物联终端104执行设备证书更新流程的过程与设备证书的申请过程类似,因此物联终端104执行设备证书更新流程的过程可以参照上文中S501-S512的对应内容,在此不做赘述。
可以理解的是,在物联终端104中的设备证书到期但CA证书没有到期的情况下,可以只更新物联终端104的设备证书并且不更新CA证书,因此此时物联网关102可以只向物联终端104发送携带设备证书而不携带CA证书的CoAP报文。
上述方法中,通过由物联网关102来检测物联终端104的设备证书的有效期,并在确定物联终端104的设备证书到期后,由物联网关102向物联终端104发送CoAP报文4以触发物联终端104更新设备证书。这样一来,不需要物联终端104来检测自身设备证书的有效期,从而减轻了物联终端104的负荷。
下面以图7中物联终端104的CA证书的更新过程为例,对本实施例所提供的证书管理方法进行介绍。如图14所示,该方法包括:
S801、物联控制器101检测物联终端104的CA证书的有效期。
示例性的,物联控制器101中记录有物联终端的CA证书的有效期,并对CA证书的有效期进行检测。
S802、物联控制器101在确定物联终端104的CA证书到期后,向物联网关102发送CA证书更新通知。
其中,CA证书更新通知用于指示物联终端104的CA证书到期。
例如,物联控制器101可以通过向物联网关102发送携带CA证书更新通知的HTTP报文,以向物联网关102发送CA证书更新通知。
S803、物联网关102在接收到CA证书更新通知后,生成用于发送给物联终端104的CoAP报文5。
其中,参照S401中CoAP报文2的描述,CoAP报文5中可以包括用于实现物联终端104的证书管理的信息g,另外CoAP报文3中还可以包括用于实现物联终端104的业务操作的信息h。
具体的,在CoAP报文5中,信息g可以为物联终端104的CA证书。另外,信息h可以为向物联终端104下发的业务数据(例如,物联终端104为传感器,信息h可以为控制物联终端104进行数据采集的相关指令)。也可以理解为,本实施例中在向物联终端104下发的业务数据时,可以将用于指示物联终端104更新设备证书的信息g和业务数据一起封装在一个CoAP报文中并下发给物联终端104。
另外,可以理解的是,当没有业务数据需要下发给物联终端104时,CoAP报文5中也可以不包括信息h。
在一种实现方式中,在CoAP报文5中,信息g可以承载在CoAP报文3的Option中。这样一来,可以利用CoAP报文中的URL和payload承载信息h。
示例性的,按照表4中所提供的Option字段的定义,可以将信息g承载在“CaCert”字段中。
S804、物联网关102向物联终端104发送CoAP报文5。
S805、物联终端104在接收到CoAP报文5后,更新CA证书。
具体的,物联终端104可以根据CoAP报文5的信息g中携带的CA证书,更新CA证书。之后,为了使得物联终端104的设备证书中的CA签名与CA证书保持对应,因此,物联终端104还可以发起设备证书更新流程以更新设备证书。其中,设备证书的更新流程可参照上文中S501-S512的对应内容,在此不做赘述。在物联终端104更新CA证书和设备证书之后,物联终端104可以与其他设备(例如物联网关102)重新建立安全通道,以便后续利用该安全通道进行数据交互。
上述方法中,通过由物联控制器101来检测物联终端104的CA证书的有效期,并在确定物联终端104的CA证书到期后,触发物联网关102向物联终端104发送携带新的CA证书的CoAP报文5以触发物联终端104更新CA证书。这样一来,不需要物联终端104来检测自身CA证书的有效期,从而减轻了物联终端104的负荷。
在另一种实现方式中,也可由物联网关102来检测物联终端104的CA证书的有效期。具体的,如图15所示,该方法可以包括:
S901、物联网关102检测物联终端104的CA证书的有效期。
示例性的,物联网关102中记录有与物联网关102连接的各物联终端的CA证书的有效期,并对CA证书的有效期进行检测。
S902、物联网关102在确定物联终端104的CA证书到期后,生成用于发送给物联终端104的CoAP报文6。
其中,CoAP报文6中所携带的信息以及信息所处的字段,可参照S803中对CoAP报文5的描述,在此不做赘述。
S903、物联网关102向物联终端104发送CoAP报文6。
S904、物联终端104在接收到CoAP报文6后,更新CA证书。
具体的,物联终端104在接收到CoAP报文6后更新CA证书等操作的具体实现过程,可参照上文中S805的内容,在此不做赘述。
上述方法中,通过由物联网关102来检测物联终端104的CA证书的有效期,并在确定物联终端104的CA证书到期后,向物联终端104发送携带新的CA证书的CoAP报文6以触发物联终端104更新CA证书。这样一来,不需要物联终端104来检测自身CA证书的有效期,从而减轻了物联终端104的负荷。
下面以图7中物联终端104的设备证书的撤销过程为例,对本实施例所提供的证书管理方法进行介绍。如图16所示,该方法包括:
S1001、物联控制器101检测物联终端104的运行状态。
示例性的,物联控制器101可以通过物联网关102检测物联终端104的运行状态。物联终端104的运行状态,具体包括:物联终端104的实时流量、功耗等信息。
S1002、物联控制器101在检测到物联终端104的运行状态满足预设条件后,撤销物联中的设备证书。
其中,预设条件可以包括:物联终端104受到攻击、物联终端104的密钥丢失或物联终端104连接中断中任一项或多项。
上述方法中,通过由物联控制器101来检测物联终端104是否存在行为异常的情况,并在确定物联终端104的行为异常后,可以主动撤销物联终端104的设备证书,从而保证了通信安全。
在另一种实现方式中,也可由物联网关102来撤销物联终端104的设备证书。具体的,如图17所示,该方法可以包括:
S1101、物联网关102检测物联终端104的运行状态。
参照上文S1001所述,物联终端104的运行状态,具体包括:物联终端104的实时流量、功耗等信息。
S1102、物联网关102在检测到物联终端104的运行状态满足预设条件后,撤销物联中的设备证书。
其中,预设条件可以包括:物联终端104受到攻击、物联终端104的密钥丢失或物联终端104连接中断中任一项或多项。
在一种实现方式中,S1102具体可以包括:
S1102a、物联网关102向物联控制器101发送证书撤销申请。
S1102b、物联控制器101接收到证书撤销申请后,撤销物联终端104的设备证书。
上述方法中,通过由物联网关102来检测物联终端104是否存在行为异常的情况,并在确定物联终端104的行为异常后,可以主动撤销物联终端104的设备证书,从而保证了通信安全。
基于上述方法实施例,本申请实施例还提供了一种证书管理装置,下面将结合附图进行说明。
可以理解的是,为了实现上述证书管理方法中功能,证书管理装置包括了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本实施例中描述的各示例的单元及方法步骤,本实施例所提供技术方案能够以硬件或硬件和计算机软件相结合的形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用场景和设计约束条件。
在一种实施例中,该证书管理装置可以运行在物联网关的硬件设备中,用于实现上述方法实施例中物联网关的全部或部分功能。图18为本申请提供的一种证书管理装置的结构示意图。该证书管理装置1200包括通信单元1201和处理单元1202。该证书管理装置用于实现上述图9-图17所述的方法中物联网关所执行的部分或全部步骤的功能。
例如,通信单元1201用于执行图9中S302,图10中S402,图11中S503、S506、S509、S511,图12中S602、S604,图13中S703,图14中S802、S804以及图15中S903中的一项或多项。
处理单元1202用于执行图9中S303,图10中S401,图11中S504、S510,图12中S603,图13中S701、S702,图14中S803,图15中S901、S902以及图17中S1101、S1102中的一项或多项。
有关上述通信单元1201和处理单元1202更详细的描述,可以直接参考图9-图17所示的方法中相关描述,这里不再赘述。
在一种实施例中,该证书管理装置可以运行在物联终端的硬件设备中,用于实现上述方法实施例中物联终端的全部或部分功能。图19为本申请提供的一种证书管理装置的结构示意图。该证书管理装置1300包括处理单元1301和通信单元1302。该证书管理装置用于实现上述图9-图17所述的方法中物联终端所执行的部分或全部步骤的功能。
例如,处理单元1301用于执行图9中S301,图10中S403,图11中S501、S502、S512,图12中S605,图13中S704,图14中S805以及图15中S904中的一项或多项。
通信单元1302用于执行图9中S302,图10中S402,图11中S503、S511,图12中S604,图13中S703,图14中S804以及图15中S903中的一项或多项。
有关上述处理单元1301和通信单元1302更详细的描述,可以直接参考图9-图17所示的方法中相关描述,这里不再赘述。
参阅图20所示,为实施例提供的另一种证书管理装置的结构示意图,该证书管理装置例如可以包括上述方法实施例中的物联网关或物联终端中的部分/全部硬件。
请参阅图20所示,证书管理装置140包括:处理器1401、通信接口1402和存储器1403。其中报文转发设备140中的处理器1401的数量可以一个或多个,图20中以一个处理器为例。本申请实施例中,处理器1401、通信接口1402和存储器1403可通过总线系统或其它方式连接,其中,图20中以通过总线系统1404连接为例。
处理器1401可以是中央处理器(central processor unit,CPU)、网络处理器(network processor,NP)或者CPU和NP的组合。处理器1401还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(application-specific integrated circuit,ASIC),可编程逻辑器件(programmable logic device,PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logic device,CPLD),现场可编程逻辑门阵列(field-programmable gate array,FPGA),通用阵列逻辑(generic array logic,GAL)或其任意组合。
通信接口1402用于接收和发送数据,具体地,通信接口1402可以包括接收接口和发送接口。其中,接收接口可以用于接收数据,发送接口可以用于发送数据。通信接口1402的个数可以为一个或多个。
存储器1403可以包括易失性存储器(volatile memory),例如随机存取存储器(random-access memory,RAM);存储器1403也可以包括非易失性存储器(non-volatilememory),例如快闪存储器(flash memory),硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD);存储器1403还可以包括上述种类的存储器的组合。存储器1403例如可以存储前文提及的通告消息等。
可选地,存储器1403存储有操作系统和程序、可执行模块或者数据结构,或者它们的子集,或者它们的扩展集,其中,程序可包括各种操作指令,用于实现各种操作。操作系统可包括各种系统程序,用于实现各种基础业务以及处理基于硬件的任务。处理器1401可以读取存储器1403中的程序,实现本申请实施例提供的方法。
其中,存储器1403可以为证书管理装置140中的存储器件,也可以为独立于证书管理装置140的存储装置。
总线系统1404可以是外设部件互连标准(peripheral component interconnect,PCI)总线或扩展工业标准结构(extended industry standard architecture,EISA)总线等。总线系统1404可以分为地址总线、数据总线、控制总线等。为便于表示,图20中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
图21是本申请实施例提供的另一种证书管理装置150的结构示意图,该证书管理装置例如可以包括上述方法实施例中的物联网关中的部分/全部硬件。
证书管理装置150包括:主控板1501和接口板1503。
主控板1501也称为主处理单元(main processing unit,MPU)或路由处理卡(route processor card),主控板1501对证书管理装置150中各个组件的控制和管理,包括路由计算、设备管理、设备维护、协议处理功能。主控板1501包括:中央处理器15011和存储器15012。
接口板1503也称为线路接口单元卡(line processing unit,LPU)、线卡(linecard)或业务板。接口板1503用于提供各种业务接口并实现数据包的转发。业务接口包括而不限于以太网接口、POS(Packet over SONET/SDH)接口等,以太网接口例如是灵活以太网业务接口(flexible Ethernet clients,FlexE Clients)。接口板1503包括:中央处理器15031、网络处理器15032、转发表项存储器15034和物理接口卡(physical interfacecard,PIC)15033。
接口板1503上的中央处理器15031用于对接口板1503进行控制管理并与主控板1501上的中央处理器15011进行通信。
网络处理器15032用于实现报文的转发处理。网络处理器15032的形态可以是转发芯片。具体而言,上行报文的处理包括:报文入接口的处理,转发表查找;下行报文的处理包括转发表查找等等。
物理接口卡15033用于实现物理层的对接功能,原始的流量由此进入接口板1503,以及处理后的报文从该物理接口卡15033发出。物理接口卡15033包括至少一个物理接口,物理接口也称物理口。物理接口卡15033也称为子卡,可安装在接口板1503上,负责将光电信号转换为报文并对报文进行合法性检查后转发给网络处理器15032处理。在一些实施例中,接口板1103的中央处理器15031也可执行网络处理器15032的功能,比如基于通用CPU实现软件转发,从而物理接口卡15033中不需要网络处理器15032。
可选地,证书管理装置150包括多个接口板,例如证书管理装置150还包括接口板1504,接口板1504包括:中央处理器15041、网络处理器15042、转发表项存储器15044和物理接口卡15043。
可选地,证书管理装置150还包括交换网板1502。交换网板1502也可以称为交换网板单元(switch fabric unit,SFU)。在证书管理装置有多个接口板1503的情况下,交换网板1502用于完成各接口板之间的数据交换。例如,接口板1503和接口板1504之间可以通过交换网板1502通信。
主控板1501和接口板1503耦合。例如。主控板1501、接口板1503和接口板1504,以及交换网板1502之间通过系统总线与系统背板相连实现互通。在一种可能的实现方式中,主控板1501和接口板1503之间建立进程间通信协议(inter-process communication,IPC)通道,主控板1501和接口板1503之间通过IPC通道进行通信。
在逻辑上,证书管理装置150包括控制面和转发面,控制面包括主控板1501和中央处理器15031,转发面包括执行转发的各个组件,比如转发表项存储器15034、物理接口卡15033和网络处理器15032。控制面执行路由器、生成转发表、处理信令和协议报文、配置与维护设备的状态等功能,控制面将生成的转发表下发给转发面,在转发面,网络处理器15032基于控制面下发的转发表对物理接口卡15033收到的报文查表转发。控制面下发的转发表可以保存在转发表项存储器15034中。在一些实施例中,控制面和转发面可以完全分离,不在同一设备上。
应理解,本申请实施例中接口板1504上的操作与接口板1503的操作一致,为了简洁,不再赘述。应理解,本申请实施例的证书管理装置150可对应于上述各个方法实施例中的物联网关,该证书管理装置150中的主控板1501、接口板1503和/或接口板1504可以实现上述各个方法实施例中的物联网关所具有的功能和/或所实施的各种步骤,为了简洁,在此不再赘述。
应理解,主控板可能有一块或多块,有多块的时候可以包括主用主控板和备用主控板。接口板可能有一块或多块,证书管理装置的数据处理能力越强,提供的接口板越多。接口板上的物理接口卡也可以有一块或多块。交换网板可能没有,也可能有一块或多块,有多块的时候可以共同实现负荷分担冗余备份。在集中式转发架构下,证书管理装置可以不需要交换网板,接口板承担整个系统的业务数据的处理功能。在分布式转发架构下,证书管理装置可以有至少一块交换网板,通过交换网板实现多块接口板之间的数据交换,提供大容量的数据交换和处理能力。所以,分布式架构的证书管理装置的数据接入和处理能力要大于集中式架构的设备。可选地,证书管理装置的形态也可以是只有一块板卡,即没有交换网板,接口板和主控板的功能集成在该一块板卡上,此时接口板上的中央处理器和主控板上的中央处理器在该一块板卡上可以合并为一个中央处理器,执行两者叠加后的功能,这种形态设备的数据交换和处理能力较低(例如,低端交换机或路由器等网络设备)。具体采用哪种架构,取决于具体的组网部署场景。
在一些可能的实施例中,上述物联网关可以实现为虚拟化设备。例如,虚拟化设备可以是运行有用于发送报文功能的程序的虚拟机(virtual machine,VM),虚拟机部署在硬件设备上(例如,物理服务器)。虚拟机指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。可以将虚拟机配置为物联网关。例如,可以基于通用的物理服务器结合网络功能虚拟化(network functions virtualization,NFV)技术来实现物联网关。物联网关为虚拟主机、虚拟路由器或虚拟交换机。本领域技术人员通过阅读本申请即可结合NFV技术在通用物理服务器上虚拟出具有上述功能的物联网关,此处不再赘述。
本申请实施例还提供了一种芯片,包括处理器和接口电路,接口电路,用于接收指令并传输至处理器;处理器,可以用于执行上述证书管理方法。其中,所述处理器与存储器耦合,所述存储器用于存储程序或指令,当所述程序或指令被所述处理器执行时,使得该芯片系统实现上述任一方法实施例中的方法。
可选地,该芯片系统中的处理器可以为一个或多个。该处理器可以通过硬件实现也可以通过软件实现。当通过硬件实现时,该处理器可以是逻辑电路、集成电路等。当通过软件实现时,该处理器可以是一个通用处理器,通过读取存储器中存储的软件代码来实现。
可选地,该芯片系统中的存储器也可以为一个或多个。该存储器可以与处理器集成在一起,也可以和处理器分离设置,本申请并不限定。示例性的,存储器可以是非瞬时性处理器,例如只读存储器ROM,其可以与处理器集成在同一块芯片上,也可以分别设置在不同的芯片上,本申请对存储器的类型,以及存储器与处理器的设置方式不作具体限定。
示例性的,该芯片系统可以是现场可编程门阵列(field programmable gatearray,FPGA),可以是专用集成芯片(application-specific integrated circuit,ASIC),还可以是系统芯片(system on chip,SoC),还可以是中央处理器(central processorunit,CPU),还可以是网络处理器(network processor,NP),还可以是数字信号处理电路(digital signal processor,DSP),还可以是微控制器(micro controller unit,MCU),还可以是可编程控制器(programmable logic device,PLD)或其他集成芯片。
本申请实施例还提供了一种计算机可读存储介质,包括指令或计算机程序,当其在计算机上运行时,使得计算机执行以上实施例提供的证书管理方法。
本申请实施例还提供了一种包含指令或计算机程序的计算机程序产品,当其在计算机上运行时,使得计算机执行以上实施例提供的证书管理方法。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑业务划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本申请实施例方案的目的。
另外,在本申请各个实施例中的各业务单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件业务单元的形式实现。
集成的单元如果以软件业务单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本申请所描述的业务可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时,可以将这些业务存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。
以上的具体实施方式,对本申请的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上仅为本申请的具体实施方式而已。
以上,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。

Claims (26)

1.一种证书管理方法,其特征在于,所述方法应用于物联网关,包括:
接收来自物联终端的第一受限制应用协议CoAP报文,所述第一CoAP报文中包括用于实现所述物联终端的证书管理的第一信息以及用于实现所述物联终端的业务操作的第二信息;
根据所述第一CoAP报文,确定所述第一信息和所述第二信息。
2.根据权利要求1所述的方法,其特征在于,所述第一信息承载在所述第一CoAP报文的第一选项Option字段中,所述第一Option字段为携带证书申请信息的Option字段。
3.根据权利要求2所述的方法,其特征在于,所述第一Option字段具体为:在没有提供私钥拥有证明的情况下进行申请设备证书时,携带证书申请信息的Option字段。
4.根据权利要求2或3所述的方法,其特征在于,所述第一信息包括:用于申请设备证书的所述物联终端的公钥、所述物联终端的标识以及所述物联终端的签名中至少一项。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述方法还包括:
检测所述物联终端的设备证书的有效期;
在确定所述物联终端的设备证书到期后,向所述物联终端发送第二CoAP报文,所述第二CoAP报文中包括用于指示所述物联终端更新设备证书的第三信息。
6.根据权利要求5所述的方法,其特征在于,所述第三信息具体包括所述第二CoAP报文中的第二Option字段,所述第二Option字段为用于触发设备证书更新的Option字段。
7.根据权利要求1-6任一项所述的方法,其特征在于,
检测所述物联终端的运行状态;
在检测到物联终端的运行状态满足预设条件后,撤销所述物联终端的设备证书;所述预设条件包括:所述物联终端受到攻击、所述物联终端的密钥丢失或所述物联终端连接中断中任一项。
8.根据权利要求1-7任一项所述的方法,其特征在于,所述方法还包括根据所述第一信息,生成预设格式的证书签名请求CSR消息。
9.根据权利要求1-8任一项所述的方法,其特征在于,所述方法还包括:
生成携带所述第一信息的第一超文本协议传输协议HTTP报文以及携带所述第二信息的第二HTTP报文;
将所述第一HTTP报文和第二HTTP报文发送至物联控制器;所述第一HTTP报文用于指示所述物联控制器根据所述第一信息对所述物联终端的证书进行管理,所述第二HTTP报文用于指示所述物联控制器根据所述第二信息执行对所述物联终端的业务操作。
10.根据权利要求1-9任一项所述的方法,其特征在于,所述方法还包括:
获取第三受限制应用协议CoAP报文;所述第三CoAP报文中包括所述物联终端的设备证书和/或证书颁发机构CA证书,所述第三CoAP报文中还包括用于实现所述物联终端的业务操作的第四信息;
向所述物联终端发送所述第三CoAP报文。
11.根据权利要求10所述的方法,其特征在于,所述物联终端的设备证书承载在所述第三CoAP报文的第三选项Option字段中,所述第三Option字段为用于承载设备证书的Option字段;
和/或,所述CA证书承载在所述第一CoAP报文的第四Option字段中,所述第四Option字段为用于承载CA证书的Option字段。
12.根据权利要求10或11所述的方法,其特征在于,所述方法还包括:
检测所述物联终端的CA证书的有效期;
向所述物联终端发送所述第三CoAP报文,包括:
在确定所述物联终端的CA证书到期后,向所述物联终端发送所述第三CoAP报文。
13.一种证书管理装置,其特征在于,所述证书管理装置应用于物联网关,包括:
通信单元,用于接收来自物联终端的第一受限制应用协议CoAP报文,所述第一CoAP报文中包括用于实现所述物联终端的证书管理的第一信息以及用于实现所述物联终端的业务操作的第二信息;
处理单元,用于根据所述第一CoAP报文,确定所述第一信息和所述第二信息。
14.根据权利要求13所述的证书管理装置,其特征在于,所述第一信息承载在所述第一CoAP报文的第一选项Option字段中,所述第一Option字段为携带证书申请信息的Option字段。
15.根据权利要求14所述的证书管理装置,其特征在于,所述第一Option字段具体为:在没有提供私钥拥有证明的情况下进行申请设备证书时,携带证书申请信息的Option字段。
16.根据权利要求14或15所述的方法,其特征在于,所述第一信息包括:用于申请设备证书的所述物联终端的公钥、所述物联终端的标识以及所述物联终端的签名中至少一项。
17.根据权利要求13-16任一项所述的证书管理装置,其特征在于,
所述处理单元,还用于检测所述物联终端的设备证书的有效期;
所述通信单元,还用于在确定所述物联终端的设备证书到期后,向所述物联终端发送第二CoAP报文,所述第二CoAP报文中包括用于指示所述物联终端更新设备证书的第三信息。
18.根据权利要求17所述的证书管理装置,其特征在于,所述第三信息具体包括所述第二CoAP报文中的第二Option字段,所述第二Option字段为用于触发设备证书更新的Option字段。
19.根据权利要求13-18任一项所述的证书管理装置,其特征在于,
所述处理单元,还用于检测所述物联终端的运行状态;
所述处理单元,还用于在检测到物联终端的运行状态满足预设条件后,撤销所述物联终端的设备证书;所述预设条件包括:所述物联终端受到攻击、所述物联终端的密钥丢失或所述物联终端连接中断中任一项。
20.根据权利要求13-19任一项所述的证书管理装置,其特征在于,所述处理单元,还用于根据所述第一信息,生成预设格式的证书签名请求CSR消息。
21.根据权利要求13-20任一项所述的证书管理装置,其特征在于,
所述处理单元,还用于生成携带所述第一信息的第一超文本协议传输协议HTTP报文以及携带所述第二信息的第二HTTP报文;
所述通信单元,还用于将所述第一HTTP报文和第二HTTP报文发送至物联控制器;所述第一HTTP报文用于指示所述物联控制器根据所述第一信息对所述物联终端的证书进行管理,所述第二HTTP报文用于指示所述物联控制器根据所述第二信息执行对所述物联终端的业务操作。
22.根据权利要求13-21任一项所述的证书管理装置,其特征在于,
所述处理单元,还用于获取第三受限制应用协议CoAP报文;所述第三CoAP报文中包括所述物联终端的设备证书和/或证书颁发机构CA证书,所述第三CoAP报文中还包括用于实现所述物联终端的业务操作的第四信息;
所述通信单元,还用于向所述物联终端发送所述第三CoAP报文。
23.根据权利要求22所述的证书管理装置,其特征在于,所述物联终端的设备证书承载在所述第三CoAP报文的第三选项Option字段中,所述第三Option字段为用于承载设备证书的Option字段;
和/或,所述CA证书承载在所述第一CoAP报文的第四Option字段中,所述第四Option字段为用于承载CA证书的Option字段。
24.根据权利要求22或23所述的证书管理装置,其特征在于,
所述处理单元,还用于检测所述物联终端的CA证书的有效期;
所述通信单元,用于向所述物联终端发送所述第三CoAP报文,包括:所述通信单元,具体用于在确定所述物联终端的CA证书到期后,向所述物联终端发送所述第三CoAP报文。
25.一种证书管理装置,其特征在于,包括处理器和接口,所述处理器通过所述接口接收或发送数据,所述处理器用于实现如权利要求1-12中任一项所述的方法。
26.一种通信系统,其特征在于,包括物联终端、物联网关和物联控制器;
其中,所述物联网关用于实现如权利要求1-12任一项所述的方法。
CN202211108145.4A 2022-05-25 2022-09-13 证书管理方法及装置 Pending CN117134889A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN2022105778540 2022-05-25
CN202210577854 2022-05-25

Publications (1)

Publication Number Publication Date
CN117134889A true CN117134889A (zh) 2023-11-28

Family

ID=88853299

Family Applications (6)

Application Number Title Priority Date Filing Date
CN202211108145.4A Pending CN117134889A (zh) 2022-05-25 2022-09-13 证书管理方法及装置
CN202211109943.9A Pending CN117176373A (zh) 2022-05-25 2022-09-13 一种网络设备和通信系统
CN202211110294.4A Pending CN117176374A (zh) 2022-05-25 2022-09-13 一种设备认证方法、装置、系统及电子设备
CN202211112132.4A Pending CN117176693A (zh) 2022-05-25 2022-09-13 物联网通信方法、物联网关、物联网系统及可读存储介质
CN202211193959.2A Pending CN117134931A (zh) 2022-05-25 2022-09-28 网络接入方法及相关设备
CN202211311715.XA Pending CN117130538A (zh) 2022-05-25 2022-10-25 一种数据处理的方法和终端

Family Applications After (5)

Application Number Title Priority Date Filing Date
CN202211109943.9A Pending CN117176373A (zh) 2022-05-25 2022-09-13 一种网络设备和通信系统
CN202211110294.4A Pending CN117176374A (zh) 2022-05-25 2022-09-13 一种设备认证方法、装置、系统及电子设备
CN202211112132.4A Pending CN117176693A (zh) 2022-05-25 2022-09-13 物联网通信方法、物联网关、物联网系统及可读存储介质
CN202211193959.2A Pending CN117134931A (zh) 2022-05-25 2022-09-28 网络接入方法及相关设备
CN202211311715.XA Pending CN117130538A (zh) 2022-05-25 2022-10-25 一种数据处理的方法和终端

Country Status (1)

Country Link
CN (6) CN117134889A (zh)

Also Published As

Publication number Publication date
CN117176693A (zh) 2023-12-05
CN117176374A (zh) 2023-12-05
CN117130538A (zh) 2023-11-28
CN117176373A (zh) 2023-12-05
CN117134931A (zh) 2023-11-28

Similar Documents

Publication Publication Date Title
KR102001753B1 (ko) 공개 키잉 메커니즘들을 사용한 서비스 계층에서의 종단간 인증
US11626979B2 (en) ECDHE key exchange for mutual authentication using a key server
Kumar et al. Implementation and analysis of QUIC for MQTT
EP3286896B1 (en) Scalable intermediate network device leveraging ssl session ticket extension
US8560856B2 (en) Lightweight secure neighbor discovery protocol for low-power and lossy networks
CN101099320B (zh) 基于时钟的重发保护
CN110463156A (zh) 安全通信中的硬件加速的有效载荷过滤
Rao et al. A review on lightweight cryptography for Internet-of-Things based applications
CN105530253B (zh) 基于CA证书的Restful架构下的无线传感器网络接入认证方法
US12003629B2 (en) Secure server digital signature generation for post-quantum cryptography key encapsulations
Singh et al. Cryptanalysis and improvement in user authentication and key agreement scheme for wireless sensor network
Huang et al. Implementing publish/subscribe pattern for CoAP in fog computing environment
CN114095195A (zh) 安全套接字层代理的自适应控制
Zhao et al. Privacy‐preserving data aggregation scheme for edge computing supported vehicular ad hoc networks
Yüksel et al. A secure key establishment protocol for ZigBee wireless sensor networks
US10972912B1 (en) Dynamic establishment of trust between locally connected devices
Alshawish et al. An efficient mutual authentication scheme for IoT systems
KR20210061801A (ko) Mqtt-sn 프로토콜의 보안을 위한 mqtt-sn 보안 관리 방법 및 시스템
Babu et al. Fog‐Sec: Secure end‐to‐end communication in fog‐enabled IoT network using permissioned blockchain system
CN111884988A (zh) 数据的安全传输方法
CN117134889A (zh) 证书管理方法及装置
Mao et al. Security analysis of smart home based on life cycle
Premalatha et al. A certificate based authorization and protected application layer protocol for IoT
Gunnarsson Security Solutions for Constrained Devices in Cyber-Physical Systems
US11895234B2 (en) Delayed quantum key-distribution

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication