CN117643014A - 用于在连接到至少一个通信网络的装备和服务提供商的服务器之间的连接的认证建立的方法、以及相应的设备 - Google Patents
用于在连接到至少一个通信网络的装备和服务提供商的服务器之间的连接的认证建立的方法、以及相应的设备 Download PDFInfo
- Publication number
- CN117643014A CN117643014A CN202280048378.1A CN202280048378A CN117643014A CN 117643014 A CN117643014 A CN 117643014A CN 202280048378 A CN202280048378 A CN 202280048378A CN 117643014 A CN117643014 A CN 117643014A
- Authority
- CN
- China
- Prior art keywords
- equipment item
- certificate
- server
- authentication token
- hash
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 41
- 238000004891 communication Methods 0.000 title claims abstract description 29
- 238000004590 computer program Methods 0.000 claims description 6
- 230000004044 response Effects 0.000 claims description 4
- 238000012795 verification Methods 0.000 claims description 3
- 238000012545 processing Methods 0.000 description 10
- 238000012423 maintenance Methods 0.000 description 5
- 238000007726 management method Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 3
- 102100039292 Cbp/p300-interacting transactivator 1 Human genes 0.000 description 2
- 101000888413 Homo sapiens Cbp/p300-interacting transactivator 1 Proteins 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000001627 detrimental effect Effects 0.000 description 1
- 230000037406 food intake Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000004377 microelectronic Methods 0.000 description 1
- 230000001483 mobilizing effect Effects 0.000 description 1
- 230000004043 responsiveness Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种用于在连接到至少一个通信网络的装备和服务提供商的服务器之间认证建立连接的方法、以及相应的设备。本发明涉及一种用于在“边缘计算”环境中向装备提供证书的解决方案。现有的认证解决方案不太适合于“边缘计算”的上下文,因为它们不能满足管理该装备所需的需求,该装备可以部署在分布式基础设施中,但是尤其可以根据要满足的要求重新配置、暂停、移除、重新激活或甚至重新分配给另一个主节点。作为本发明主题的解决方案使得可能通过重用通信网络中已经存在的组件来可靠地认证这样的装备,这是通过向其提供证书来实现的,由于发布证书的可信第三方是管理通信网络的运营商,因此不能质疑该证书的完整性。
Description
技术领域
本发明的领域是连接到通信网络的装备项的认证。更确切地说,本发明涉及一种用于在“边缘计算”环境中向装备项提供证书的解决方案。
背景技术
在过去几年中,出现了“云计算”发展的新阶段。这种新的发展被称为“边缘计算”,并且涉及在网络的边缘处处理数据,尽可能靠近数据源。
“边缘计算”通过尽可能靠近数据源进行分析来最小化装备(诸如传感器)与数据处理中心之间的带宽要求。这种方法需要调动可能不永久连接到网络的资源,诸如膝上型计算机、智能电话、平板计算机或传感器。“边缘计算”在内容摄取和递送解决方案中也起着关键作用。在这方面,许多内容分发网络(CDN)架构基于“边缘计算”架构。
这种“边缘计算”架构的已知实施方式是被称为Kubernetes的架构。
[图1]以简化的方式示出了符合Kubernetes解决方案的节点集群1的架构。节点集群1包括被称为管理节点或“Kubernetes主节点”的第一节点10和N个计算节点或“工作者节点”11i,i∈{1,...,N},N是自然整数。
管理节点10包括控制器101、API(应用编程接口)模块102和由用于计算节点111的动态配置寄存器组成的ETCD数据库103。
计算节点11i包括M个容器(container)或“舱(pod)”110j,j∈{1,...,M},M是自然整数。每个容器110j配备有用于执行一个或多个任务的资源。当执行任务时,它有助于实现网络服务或功能,例如DHCP(动态主机配置协议)功能。
为了降低成本并提高网络基础设施的灵活性,“边缘计算”架构最通常是多站点架构,其中构成节点集群的节点可以是非共址的。例如,节点集群1的管理节点10和两个计算节点111、112位于站点A处,而三个其他计算节点113、114、115位于远程站点B处。
现有的认证解决方案,诸如https(超文本传输协议安全)协议,其基于将符合SSL(安全套接层)或TLS(传输层安全)协议的加密层引入http(超文本传输协议)协议,并不太适合于“边缘计算”的上下文。
https协议允许访问者的装备项(诸如个人计算机)验证访问者想要从其装备项访问的网站的身份。
因此,该装备项使用由被认为是可靠的第三方机构发行的X509公共认证证书来访问提供服务的服务器。这样的证书保证了访问者经由其装备项向提供服务的服务器传输的数据的机密性和完整性。
这种操作模式不能满足管理计算节点所需的需求。实际上,这样的管理是复杂的,因为计算节点可以部署在分布式、私有或甚至移动基础设施中,但是最重要的是,它们可以根据要满足的要求被重新配置、暂停、移除、重新激活或甚至重新分配给另一个主节点。
此外,从协议的角度来看,计算节点对应于上述示例中描述的访问者的装备项。因此可以看出,将https解决方案应用于“边缘计算”架构是不适当的。
因此,需要提出一种用于管理属于不具有上述缺点中的一些或全部缺点的“边缘计算”架构的装备的解决方案。
发明内容
本发明通过提出一种系统来解决这种需要,该系统包括连接到至少一个通信网络的至少一个装备项、至少一个网络地址配置服务器、至少一个证书创建模块、至少一个域名服务器和服务提供商的至少一个服务器。
这种系统的特别之处在于:
-所述装备项向网络地址配置服务器发送用于分配至少一个网络地址的请求,所述请求包括所述装备项的物理地址的至少一个散列,
-所述配置服务器生成用于创建与所述装备项相关联的证书的请求,所述证书包括所述装备项的物理地址、与所述配置服务器相关联的证书和由所述配置服务器分配给所述装备项的至少一个网络地址的散列,
-配置服务器将所述创建请求发送到证书创建模块,
-证书创建模块根据创建请求中包括的信息生成与所述装备项相关联的证书和与所述证书对应的认证令牌,
-证书创建模块向域名服务器发送用于将所述证书、所述认证令牌和所述认证令牌的所述散列与至少一个域名相关联的请求,
-域名服务器将与所述装备项相关联的证书、对应的认证令牌和所述认证令牌的散列与至少一个域名相关联,
-在确认与域名的关联之后,该装备项从配置服务器接收认证令牌和所述认证令牌的散列。
本发明所涵盖的解决方案使得可能通过重用通信网络中已经存在的组件来可靠地认证连接到通信网络但不由管理所讨论的通信网络的运营商管理的装备项,这是通过向其提供证书来实现的,由于发布证书的可信第三方是管理通信网络的运营商,因此不能对其完整性提出质疑。
这种解决方案还减少了获得这种装备项的证书所需的交换次数,这在灵活性至关重要的“边缘计算”的上下文中特别令人感兴趣,因为由该装备项发送的第一消息已经触发了导致创建证书的操作。类似地,使用现有消息限制了网络上的负载。
为了使所有这些都成为可能,该解决方案包括利用寻求连接到通信网络的装备项传输网络地址分配请求,以向该请求中引入查询以获得证书。这样的查询导致将装备项的物理地址的散列引入到分配请求中。
在网络地址分配请求中检测到该装备项的物理地址的该散列的存在的配置服务器理解该装备项想要获得证书,然后利用证书创建模块触发证书创建过程。这样的模块可以与配置服务器或域名服务器共置,其中存储所述证书与由配置服务器提供的至少一个域名的关联。
最后,知道配置服务器可以将多个网络地址或“地址池”分配给相同的装备项,所创建的证书与该地址池相关联。
最后,服务提供商的服务器可以简单地使用配置令牌来验证与装备项相关联的证书的真实性和完整性,从而授权建立与装备项的连接。这种连接的建立例如对应于将装备项作为计算节点集成到Kubernetes架构中。
因此,服务提供商的服务器可以执行装备项的双重认证,如https连接的情况。
本发明的目的更具体地涉及一种用于在连接到至少一个通信网络的装备项与服务提供商的服务器之间的连接的认证建立的方法,所述方法包括由所述装备项实现的以下步骤:
-向网络地址配置服务器发送用于分配至少一个网络地址的请求,所述请求包括所述装备项的物理地址的至少一个散列,
-至少根据所述装备项的物理地址的所述散列和所述认证令牌的散列接收与由证书创建模块创建的证书相对应的认证令牌,
-发送用于建立与服务提供商的所述服务器的连接的请求,所述请求至少包括所述对应的认证令牌和所述认证令牌的所述散列。
当配置服务器参与提供过程时,可以使用在网络地址分配更新期间与装备项交换的消息来向证书创建模块发送用于有效维持与所述装备项相关联的证书的请求,所述有效维持请求包括所述证书令牌和与所述配置服务器相关联的所述证书。
因此,不需要交换额外的消息,这有助于交换的响应性并限制网络上的负载。
这种用于连接的认证建立的方法还包括以下步骤:
-响应于服务提供商的所述服务器根据所述认证令牌和所述认证令牌的所述散列对所述装备项的认证,接收确认与服务提供商的所述服务器的所述连接的建立的消息。
本发明还涉及一种用于提供与连接到至少一个通信网络的装备项相关联的认证令牌的方法,用于所述装备项与服务提供商的服务器之间的连接的认证建立,所述方法包括由网络地址配置服务器实现的以下步骤:
-接收用于分配至少一个网络地址的请求,所述请求包括所述装备项的物理地址的至少一个散列,
-根据所述装备项的物理地址、与所述配置服务器相关联的证书和由所述配置服务器分配给所述装备项的至少一个网络地址的散列,获得与所述装备项相关联的证书和对应于所述证书的认证令牌,
-将所述认证令牌和所述认证令牌的所述散列发送到所述装备项。
在特定实施方式中,该方法还包括以下步骤:根据所述装备项的物理地址、与所述配置服务器相关联的证书和由所述配置服务器分配给所述装备项的至少一个网络地址的散列,生成与所述装备项相关联的证书和与所述证书相对应的证书令牌。
这种用于提供认证令牌的方法还包括以下步骤:
-向域名服务器发送用于将所述证书、所述认证令牌和所述认证令牌的所述散列与至少一个域名相关联的请求。
作为网络地址分配更新的一部分,配置服务器通知证书创建模块它必须有效维持所述证书、所述认证令牌和所述认证令牌的所述散列与所述至少一个域名的关联。
最后,本发明涉及包括程序代码指令的计算机程序产品,所述程序代码指令在由处理器执行时用于实现如前所述的方法。
本发明还涉及一种计算机可读存储介质,其上存储有计算机程序,该计算机程序包括用于实现如上所述的根据本发明的方法的步骤的程序代码指令。
这样的存储介质可以是能够存储程序的任何实体或设备。例如,介质可以包括存储部件,诸如ROM,例如CD-ROM或微电子电路ROM,或磁记录部件,例如USB闪存驱动器或硬盘驱动器。
另一方面,这样的存储介质可以是诸如电信号或光信号的可传输介质,其可以经由电缆或光缆、通过无线电或通过其他部件承载,使得包含在其中的计算机程序可以远程执行。根据本发明的程序尤其可以在网络上下载,例如因特网网络。
可替代地,存储介质可以是其中嵌入有程序的集成电路,该电路适于执行或用于执行作为本发明主题的上述方法。
附图说明
在阅读以下描述时,本发明的其他目的、特征和优点将变得更加明显,在此给出以下描述以用作与附图相关的说明性和非限制性示例,其中:
[图1]:该图以简化的方式示出了符合Kubernetes解决方案的节点集群1的架构,
[图2]:该图示出了可以实现本发明的系统。
[图3]:该图示出了作为本发明主题的方法的执行的第一部分,
[图4]:该图示出了作为本发明主题的方法的接下来的步骤。
[图5]:该图示出了能够实现作为本发明的主题的用于在连接到至少一个通信网络的装备项与服务提供商的服务器之间的连接的认证建立的方法的装备项,
[图6]:能够实现作为本发明主题的各种方法的配置服务器。
具体实施方式
本发明的一般原理基于获得位于“边缘计算”环境中的装备项的证书。获得这种证书所需的数据经由在装备项寻求连接到通信网络时通常使用的消息来交换。必要的信息被输入到这些消息的现有字段中。这种解决方案不会增加网络上的负载,因为它不需要发送额外的消息。交换的数据被输入到现有的消息字段中,它也不会太大,这进一步有助于不增加网络的负载。
这样的解决方案还具有快速的优点,这使得对于需要频繁动态配置的架构特别感兴趣。实际上,本解决方案发送从第一消息创建证书所需的数据。
关于[图2],现在呈现了可以实现本解决方案的系统。
这种系统包括连接到至少一个通信网络(图中未示出)的至少一个装备项10、至少一个网络地址配置服务器11(诸如DHCP(动态主机配置协议)服务器)、至少一个证书创建模块12、至少一个域名服务器13(诸如DNS服务器)、以及服务提供商14的至少一个服务器,服务提供商14可以独立于或可以不独立于通信网络运营商。
装备项10可以是移动终端以及服务器、节点或根据Kubernetes解决方案的容器,或者甚至是传感器。它也可以是虚拟化的装备项。
在一个实施例中,配置服务器11和证书创建模块12可以共置于如图2所示的同一装备项100中。在另一实施例中,证书创建模块12可以与域名服务器13共置或集成到其中。在又一实施例中,证书创建模块12可以在物理上与配置服务器11和域名服务器13不同。
参考图2中描述的系统,现在描述作为本发明主题的方法的执行的第一部分。在[图3]中以图的形式示出了当在先前描述的系统内执行这些方法时实现的各种步骤。
在步骤E1中,装备项10寻求连接到通信网络。为此,装备项10向配置服务器11发送DHCP发现查询,使得配置服务器11向其分配一个或多个网络地址,诸如IPv4或IPv6地址。
在步骤E2中,在接收到由装备项10发送的发现DHCP请求时,配置服务器11通过发送DHCP提供消息以标准方式向装备项10提出一个或多个网络地址。
在另一示例中,配置服务器11可以在接收到由装备项10发送的发现DHCP查询(Discover DHCP query)时实现ACME-STAR委托方法或“委托凭证”方法。这些方法在由IETF出版的引用Acme-Star RFC 8739的文献中描述。
因此,在这种情况下,所委托的装备项10可以在DHCP提供(DHCP Offer)消息中接收基于委托配置服务器11的私钥计算的可能散列的临时证书。
在步骤E3中,装备项10验证在步骤E2期间接收的网络地址分配提议,并且向配置服务器11发送DHCP请求查询,该DHCP请求查询验证所提议的网络地址中的网络地址并且包括与证书的创建有关的参数。在该DHCP请求查询的现有字段中,装备项10添加旨在用于生成与装备项10相关联的证书的参数。这样的参数是:装备项10的公共密钥PUB_KEY_CPE、装备项10的物理地址的散列HASH_CPE(诸如MAC(媒体访问控制)地址)、以及关于如何计算散列HASH_CPE的参数TYP_HASH。在另一示例中,这些各种参数可以以可以散列的证书的形式发送。
在一个实施方式中,可以早在DHCP发现查询中的步骤E1发送项10的物理地址的散列HASH_CPE。
当接收到DHCP请求查询时,在步骤E4中,配置服务器11以标准方式处理与包括在该查询中的网络地址的分配有关的信息。当处理该DHCP请求查询时,配置服务器11检测DHCP请求查询的字段中与证书创建相关的参数(即公钥PUB_KEY_CPE、散列HASH_CPE或参数TYP_HASH)的存在,提取该信息并生成用于创建与装备项10相关联的DCC证书的请求。
用于创建DCC证书的请求包括:装备项10的公钥PUB_KEY_CPE、装备项10的物理地址的散列HASH_CPE、与配置服务器11相关联的证书CertDHCP、在步骤E4期间由配置服务器11分配给所述装备项10的至少一个网络地址IP_CPE(或分配给装备项10的网络地址池POOL_IP_CPE)、以及最后的关于如何计算散列HASH_CPE的参数TYP_HASH。用于创建DCC证书的请求还可以包括域名,例如“CNT.example.com”,证书旨在与其相关联。
在步骤E5中,配置服务器将用于创建DCC证书的请求发送到证书创建模块12。
在接收到用于创建与装备项10相关联的证书的请求时,证书创建模块12在步骤E6期间根据创建请求DCC中包括的信息生成与装备项10相关联的证书CERT_CPE。
这样的证书CERT_CPE对应于分配给装备项10的网络地址。因此,证书创建模块12创建与装备项10相关联的证书CERT_CPE与它具有的网络地址一样多。在另一实施方式中,证书创建模块12创建与装备项10相关联的单个证书CERT_CPE,其应用于分配给装备项10的网络地址池POOL_IP_CPE。这样的证书CERT_CPE在证书CERT_CPE的字段(例如通用名(CN)或SAN字段)中包括装备项10的物理地址的值和在步骤E3期间由装备项10选择的一个或多个网络地址的值。
证书创建模块12还生成与证书CERT_CPE相对应的证书令牌CNT(证书网络令牌),证书CERT_CPE与装备项10到网络11的连接性相关联。这种认证令牌CNT是与装备项10相关联的证书CERT_CPE的紧凑形式。更具体地,该认证令牌CNT包括与装备项10的物理地址的散列HASH_CPE、与装备项10相关联的证书CERT_CPE的散列HASH_CERT_CPE、以及证书创建模块12的标识符CN_CM有关的信息。
在装备项10需要提供认证材料以访问服务的所有情况下,装备项10将使用该认证令牌CNT。该认证令牌CNT是与装备项10相关联的证书CERT_CPE的紧凑形式,它可以被引入到许多现有消息中,而不会以有害的方式增加后者的有效载荷。因此,实现作为本专利申请的目的的解决方案不会在通信网络中施加太重的负载。
在步骤E7中,证书创建模块12向域名服务器13发送用于将与装备项10相关联并由此生成的证书CERT_CPE与证书CERT_CPE旨在与之相关联的域名“CNT.example.com”进行关联的请求DAss。
这种关联请求DAss包括:与装备项10相关联的证书CERT_CPE、相应的认证令牌CNT、认证令牌CNT的散列HASH_CNT和关于如何计算散列HASH_CNT的参数TYP_HASH_CNT。在一个实施方式中,关于如何计算散列HASH_CNT的参数TYP_HASH_CNT可以包括证书创建模块12的公钥。
在接收到关联请求DAss时,域名服务器12如果想要这样做,则可以通过从证书创建模块12请求与配置服务器11相对应的证书来验证配置服务器11的身份。这样的步骤未在图3中示出。
在步骤E8中,域名服务器12将关联请求DAss中包括的所有信息存储在表中,并将其与“CNT.example.com”域名相关联。
一旦包括在关联请求DAss中的所有信息和域名之间的关联已经被执行,域名服务器12在步骤E9中通知证书创建模块12。
接着,在步骤E10中,证书创建模块12向配置服务器11通知与装备项10相关联的证书CERT_CPE的创建。为此,证书创建模块12向配置服务器11发送消息MSG1,该消息MSG1包括相应的认证令牌CNT、认证令牌CNT的散列HASH_CNT和关于如何计算散列HASH_CNT的参数TYP_HASH_CNT。
最后,在步骤E11中,配置服务器11发送确认网络地址分配的消息DHCP ack。在该消息DHCP ack的现有字段中,装备项10添加相应的认证令牌CNT、认证令牌CNT的散列HASH_CNT和关于如何计算散列HASH_CNT的参数TYP_HASH_CNT。
在步骤E11结束时,装备项10因此具有认证令牌CNT,在装备项10需要提供认证材料以访问服务的所有情况下,该认证令牌CNT将由装备项10使用。应当注意,装备项10不具有其证书CERT_CPE并且不知道与其证书CERT_CPE相关联的域名“CNT.example.com”。这两个信息项仅存储在域名服务器12中。
在DHCP协议中,旨在定期更新网络地址分配或DHCP租借。在本解决方案中,在图2的系统的各种元件之间交换的消息用于有效维持证书CERT_CPE。
因此,当在步骤E12中,装备项10向配置服务器11发送DHCP请求消息2,请求扩展其网络地址的分配时,它向该DHCP请求消息2的现有字段添加相应的认证令牌CNT、认证令牌CNT的散列HASH_CNT和关于如何计算散列HASH_CNT的参数TYP_HASH_CNT。
当接收到DHCP请求消息2时,在步骤E13中,配置服务器11以标准方式处理与网络地址分配的更新有关的信息。当处理该DHCP请求消息2时,配置服务器11检测DHCP请求消息2的字段中与有效维持证书CERT_CPE有关的参数的存在,即令牌CNT、散列HASH_CPE或参数TYP_HASH,提取该信息并生成用于有效维持DCC证书CERT_CPE的请求。
用于有效维持证书CERT_CPE的请求DMV包括:认证令牌CNT、认证令牌CNT的散列HASH_CNT、关于如何计算散列HASH_CNT的参数TYP_HASH_CNT、以及可能的与用于处理查询的有效维持请求DMV和配置服务器11的证书CERT_DHCP的时间限制有关的信息项。
在步骤E14中,配置服务器将用于有效维持证书CERT_CPE的请求DMV发送到证书创建模块12。
在步骤E15中,证书创建模块12根据配置服务器11的证书CERT_DHCP验证配置服务器11的身份,并根据认证令牌CNT的散列HASH_CNT和关于如何计算散列HASH_CNT的参数TYP_HASH_CNT验证认证令牌CNT的真实性。
一旦执行了这些验证,证书创建模块12在步骤E16中向域名服务器13发送用于扩展对应于证书令牌CNT的证书CERT_CPE与域名“CNT.example.com”的关联的请求。这种扩展请求包括:证书CERT_CPE、认证令牌CNT、认证令牌CNT的散列HASH_CNT和关于如何计算散列HASH_CNT的参数TYP_HASH_CNT。
在步骤E17中,域名服务器13扩展对应于认证令牌CNT的证书CERT_CPE与域名“CNT.example.com”的关联。
在步骤E18中,确认证书CERT_CPE的有效维持的消息从域名服务器13经由证书创建模块12级联,然后从配置服务器11级联到装备项10。
既然该装备项10具有证书,则它可以建立与服务提供商14的服务器的连接。[图4]示出了作为本发明主题的方法的接下来的步骤。
在步骤G1中,想要与服务提供商14的服务器建立连接的装备项10向服务提供商14的服务器发送TLS客户端问候消息。在该TLS客户端问候消息的现有字段中,装备项10添加认证令牌CNT、认证令牌CNT的散列HASH_CNT以及关于如何计算散列HASH_CNT的参数TYP_HASH_CNT。在实践中,认证令牌CNT可以由任何安全交换协议(诸如QUIC协议)在任何应用协议的字段(诸如在保证交换完整性的协议的任何组合之下携带的HTTP)中携带,但是也可以在https://datatracker.ietf.org/doc/html/draft-ietf-ippm-ioam-data-17.txt中描述的原位(In-situ)OAM(iOAM)字段中携带。
在步骤G2中,服务提供商14的服务器获得证书创建模块12的公钥KEY_PUB_CM。公钥KEY_PUB_CM是例如在步骤G1之后或预先例如经由在服务提供商14的服务器和证书创建模块12之间建立的安全隧道获得的证书创建模块12的X509证书的公共字段。
使用证书创建模块12的公钥KEY_PUB_CM,在步骤G3中,服务提供商14的服务器使用证书创建模块12的公钥PUB_KEY_CM和认证令牌CNT的散列HASH_CNT以及关于如何计算散列HASH_CNT的信息TYP_HASH_CNT来验证认证令牌CNT的真实性。
一旦执行了该验证,服务提供商14的服务器在步骤G4中要求域名服务器向其提供与其刚刚验证的认证令牌CNT相关联的证书CERT_CPE。为此,服务提供商14的服务器发送DNS查询消息,该DNS查询消息在现有字段中包括认证令牌CNT。
在步骤G5中,域名服务器13扩展返回对应于接收到的认证令牌CNT的证书CERT_CPE。
在步骤G6中,服务提供商14的服务器然后验证证书CERT_CPE对应于TLS客户端问候消息中提供的(多个)网络地址,知道这样的证书CERT_CPE是为一个或多个网络地址传送的。
一旦装备项10已经被认证,服务提供商14的服务器就向装备项10发送服务器问候消息,从而在步骤G6中完成装备项10与服务提供商14的服务器之间的连接的建立。
[图5]示出了能够实现作为本发明主题的用于在连接到至少一个通信网络的装备项与服务服务器之间的连接的认证建立的方法的装备项10。
装备项10可以包括经由总线505彼此连接的至少一个硬件处理器501、存储单元502和接口503、以及至少一个网络接口504。当然,装备项10的组件可以通过总线之外的连接来连接。
处理器501控制装备项10的操作。存储单元502存储用于实现由处理器501执行的作为本发明主题的各种方法的至少一个程序,以及各种数据,诸如用于由处理器501执行的计算的参数、用于由处理器501执行的计算的中间数据等。处理器501可以由任何已知和适当的硬件或软件形成,或者由硬件和软件的组合形成。例如,处理器801可以由诸如处理电路的专用硬件形成,或者由诸如执行存储在其存储器中的程序的中央处理单元的可编程处理单元形成。
存储单元502可以由能够以计算机可读方式存储一个或多个程序和数据的任何适当部件形成。存储设备502的示例包括非暂时性计算机可读存储介质,诸如半导体存储器设备,以及加载到读/写设备中的磁、光或磁光记录介质。
接口503提供装备项10与网络地址配置服务器之间的接口。
对于网络接口504,它提供装备项10和它想要以认证的方式与之建立连接的服务提供商的至少一个服务器之间的连接。
[图6]示出了能够实现作为本发明主题的各种方法的配置服务器11。
配置服务器11可以包括经由总线605彼此连接的至少一个硬件处理器601、存储单元602、接口603和至少一个网络接口604。在一个实施方式中,配置服务器还包括证书创建模块12。自然地,配置服务器11的组件可以通过除总线之外的连接来连接。
处理器601控制配置服务器11的操作。存储单元602存储用于实现由处理器601执行的作为本发明主题的各种方法的至少一个程序,以及各种数据,诸如用于由处理器601执行的计算的参数、用于由处理器601执行的计算的中间数据等。处理器601可以由任何已知和适当的硬件或软件形成,或者由硬件和软件的组合形成。例如,处理器601可以由诸如处理电路的专用硬件形成,或者由诸如执行存储在其存储器中的程序的中央处理单元的可编程处理单元形成。
存储单元602可以由能够以计算机可读方式存储一个或多个程序和数据的任何适当的部件形成。存储设备602的示例包括非暂时性计算机可读存储介质,诸如半导体存储器设备,以及加载到读/写设备中的磁、光或磁光记录介质。
接口603提供配置服务器11与想要连接到通信网络的至少一个装备项10之间的接口。
至于网络接口604,它提供配置服务器11和域名服务器之间的连接。
Claims (13)
1.一种用于在连接到至少一个通信网络的装备项与服务提供商的服务器之间的连接的认证建立的方法,所述方法包括由所述装备项实现的以下步骤:
-向网络地址配置服务器发送用于分配至少一个网络地址的请求,所述请求包括所述装备项的物理地址的至少一个散列,
-接收消息,所述消息包括至少根据所述装备项的物理地址的所述散列和所述认证令牌的散列生成的认证令牌,
-发送用于建立与服务提供商的所述服务器的连接的请求,所述请求至少包括所述认证令牌和所述认证令牌的所述散列。
2.根据权利要求1所述的方法,还包括以下步骤:
-响应于服务提供商的所述服务器根据所述认证令牌和所述认证令牌的所述散列对所述装备项的认证,接收确认与服务提供商的所述服务器的所述连接的建立的消息。
3.一种用于提供与连接到至少一个通信网络的装备项相关联的认证令牌的方法,所述认证令牌用于所述装备项与服务提供商的服务器之间的连接的认证建立,所述方法包括由网络地址配置服务器实现的以下步骤:
-接收用于分配至少一个网络地址的请求,所述请求包括所述装备项的物理地址的至少一个散列,
-获得与所述装备项相关联的证书和对应于所述证书的认证令牌,所述证书和所述令牌是根据所述装备项的物理地址、与所述配置服务器相关联的证书和由所述配置服务器分配给所述装备项的至少一个网络地址的散列生成的,
-将所述认证令牌和所述认证令牌的所述散列发送到所述装备项。
4.根据权利要求3所述的方法,还包括以下步骤:
-向域名服务器发送用于将所述证书、所述认证令牌和所述认证令牌的所述散列与至少一个域名相关联的请求。
5.根据权利要求4所述的方法,还包括响应于用于扩展分配给所述装备项的所述网络地址的分配的请求,发送用于扩展所述证书的关联的请求的步骤。
6.根据权利要求3至5中任一项所述的方法,还包括以下步骤:根据所述装备项的物理地址、与所述配置服务器相关联的证书和由所述配置服务器分配给所述装备项的至少一个网络地址的散列,生成与所述装备项相关联的证书和与所述证书相对应的证书令牌。
7.一种系统,包括连接到至少一个通信网络的至少一个装备项、至少一个网络地址配置服务器、至少一个证书创建模块、至少一个域名服务器和服务提供商的至少一个服务器,其中:
-所述装备项被配置为向所述配置服务器发送用于分配至少一个网络地址的请求,所述请求包括所述装备项的物理地址的至少一个散列,
-所述配置服务器被配置为生成用于创建与所述装备项相关联的证书的请求,所述请求包括所述装备项的物理地址、与所述配置服务器相关联的证书和由所述配置服务器分配给所述装备项的至少一个网络地址的散列,
-配置服务器被配置为将所述创建请求发送到证书创建模块,
-证书创建模块被配置为根据创建请求中包括的信息生成与所述装备项相关联的证书和与所述证书相对应的认证令牌,
-证书创建模块被配置为向域名服务器发送用于将所述证书、所述认证令牌和所述认证令牌的所述散列与至少一个域名相关联的请求,
-域名服务器被配置为将与所述装备项相关联的证书、对应的认证令牌和所述认证令牌的散列与至少一个域名相关联,
-在确认与域名的关联之后,该装备项被配置为从配置服务器接收认证令牌和所述认证令牌的散列。
8.根据权利要求7所述的系统,其中:
-该装备项被配置为发送用于建立与服务提供商的服务器的连接的请求,该请求至少包括所述对应的认证令牌和所述认证令牌的所述散列,
-服务提供商的服务器被配置为使用所述认证令牌的所述散列和与所述证书创建模块相关联的密码密钥来验证认证令牌,
-服务提供商的服务器被配置为使用所述认证令牌的所述散列和与所述装备项相关联的所述证书来验证与所述认证令牌相关联的域名,
-响应于该双重验证,服务提供商的服务器被配置为发送确认与所述装备项的所述连接的建立的消息。
9.根据权利要求7至8中任一项所述的系统,其中,所述证书创建模块被包括在所述网络地址配置服务器中。
10.一种连接到至少一个通信网络的装备项,所述装备项能够以认证的方式建立与服务提供商的服务器的连接,所述装备项包括至少一个处理器,所述至少一个处理器被配置为:
-向网络地址配置服务器发送用于分配至少一个网络地址的请求,所述请求包括所述装备项的物理地址的至少一个散列,
-至少根据所述装备项的物理地址的所述散列和所述认证令牌的散列接收与由证书创建模块创建的证书相对应的认证令牌
-发送用于建立与服务提供商的所述服务器的连接的请求,所述请求至少包括所述对应的认证令牌和所述认证令牌的所述散列。
11.一种网络地址配置服务器,所述网络地址配置服务器能够提供与连接到至少一个通信网络的装备项相关联的认证令牌,用于所述装备项与服务提供商的服务器之间的连接的认证建立,所述网络地址配置服务器包括至少一个处理器,所述至少一个处理器被配置为:
-接收用于分配至少一个网络地址的请求,所述请求包括所述装备项的物理地址的至少一个散列,
-获得与所述装备项相关联的证书和对应于所述证书的认证令牌,所述证书和所述令牌是根据所述装备项的物理地址、与所述配置服务器相关联的证书和由所述配置服务器分配给所述装备项的至少一个网络地址的散列生成的,
-将所述认证令牌和所述认证令牌的散列发送到所述装备项。
12.一种计算机程序产品,包括程序代码指令,当所述程序代码指令由处理器执行时,所述程序代码指令用于实现根据权利要求1所述的用于在连接到至少一个通信网络的装备项与服务提供商的服务器之间的连接的认证建立的方法。
13.一种计算机程序产品,包括程序代码指令,当所述程序代码指令由处理器执行时,所述程序代码指令用于实现根据权利要求3所述的提供与连接到至少一个通信网络的装备项相关联的认证令牌以用于所述装备项与服务提供商的服务器之间的连接的认证建立的方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR2107523A FR3125191A1 (fr) | 2021-07-09 | 2021-07-09 | Procédé d’établissement authentifié d’une connexion entre un équipement raccordé à au moins un réseau de communication et un serveur d’un fournisseur de services et dispositifs correspondants. |
| FRFR2107523 | 2021-07-09 | ||
| PCT/FR2022/051376 WO2023281231A1 (fr) | 2021-07-09 | 2022-07-08 | Procede d'etablissement authentifie d'une connexion entre un equipement raccorde a au moins un reseau de communication et un serveur d'un fournisseur de services et dispositifs correspondants |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117643014A true CN117643014A (zh) | 2024-03-01 |
Family
ID=78649352
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202280048378.1A Pending CN117643014A (zh) | 2021-07-09 | 2022-07-08 | 用于在连接到至少一个通信网络的装备和服务提供商的服务器之间的连接的认证建立的方法、以及相应的设备 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20240275776A1 (zh) |
| EP (1) | EP4367831A1 (zh) |
| CN (1) | CN117643014A (zh) |
| FR (1) | FR3125191A1 (zh) |
| WO (1) | WO2023281231A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR3145253A1 (fr) * | 2023-01-25 | 2024-07-26 | Orange | Procédé de révocation d’un jeton de certification permettant d’authentifier l’établissement d’une connexion entre deux équipements de communication, dispositifs et programmes d’ordinateur correspondants |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6823454B1 (en) * | 1999-11-08 | 2004-11-23 | International Business Machines Corporation | Using device certificates to authenticate servers before automatic address assignment |
| US11711268B2 (en) * | 2019-04-30 | 2023-07-25 | Intel Corporation | Methods and apparatus to execute a workload in an edge environment |
-
2021
- 2021-07-09 FR FR2107523A patent/FR3125191A1/fr not_active Withdrawn
-
2022
- 2022-07-08 WO PCT/FR2022/051376 patent/WO2023281231A1/fr active Application Filing
- 2022-07-08 CN CN202280048378.1A patent/CN117643014A/zh active Pending
- 2022-07-08 EP EP22754900.3A patent/EP4367831A1/fr active Pending
- 2022-07-08 US US18/577,490 patent/US20240275776A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| EP4367831A1 (fr) | 2024-05-15 |
| US20240275776A1 (en) | 2024-08-15 |
| WO2023281231A1 (fr) | 2023-01-12 |
| FR3125191A1 (fr) | 2023-01-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7457173B2 (ja) | モノのインターネット(iot)デバイスの管理 | |
| CN101027676B (zh) | 用于可控认证的个人符记和方法 | |
| US8239549B2 (en) | Dynamic host configuration protocol | |
| JP4692600B2 (ja) | 情報処理装置、通信システム、及びプログラム | |
| US20190306148A1 (en) | Method for oauth service through blockchain network, and terminal and server using the same | |
| CN110417929B (zh) | 通过在区块链网络上运行dhcp服务器提供的高可用性dhcp服务 | |
| US8806565B2 (en) | Secure network location awareness | |
| CN110800331A (zh) | 网络验证方法、相关设备及系统 | |
| US20040073786A1 (en) | Method and apparatus for providing authentication, authorization and accounting to roaming nodes | |
| CN115462108A (zh) | 无密码无线认证 | |
| US10979750B2 (en) | Methods and devices for checking the validity of a delegation of distribution of encrypted content | |
| KR20220072659A (ko) | 가상 블록체인에 기반한 신원 기반 암호화 기법을 이용한 IoT 기기용 게이트웨이의 보안 구축 방법 | |
| US11297049B2 (en) | Linking a terminal into an interconnectable computer infrastructure | |
| CN112640360B (zh) | 用于对认证信息的设定进行中介的装置及方法 | |
| CN117643014A (zh) | 用于在连接到至少一个通信网络的装备和服务提供商的服务器之间的连接的认证建立的方法、以及相应的设备 | |
| CN115580498B (zh) | 融合网络中的跨网通信方法及融合网络系统 | |
| US20090055917A1 (en) | Authentication method and authentication system using the same | |
| CN110771087A (zh) | 私钥更新 | |
| JP2009217722A (ja) | 認証処理システム、認証装置、管理装置、認証処理方法、認証処理プログラムおよび管理処理プログラム | |
| JP2007334753A (ja) | アクセス管理システムおよび方法 | |
| CN115486033B (zh) | 物联网中的设备接入方法、装置、计算机设备及存储介质 | |
| CN113196722B (zh) | 获取与解析通信网络中的域名标识符相关的委托链的方法 | |
| CN113169864A (zh) | 利用公共凭据数据进行引导 | |
| Kim et al. | Advanced Secure DNS Name Autoconfiguration with Authentication for Enterprise IoT Network | |
| CN1921383A (zh) | 一种基于门限ca和x.509公钥证书的密钥管理实现方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |