TW202019189A - 用於裝置連線之雲端平台及裝置連線方法 - Google Patents

用於裝置連線之雲端平台及裝置連線方法 Download PDF

Info

Publication number
TW202019189A
TW202019189A TW107139178A TW107139178A TW202019189A TW 202019189 A TW202019189 A TW 202019189A TW 107139178 A TW107139178 A TW 107139178A TW 107139178 A TW107139178 A TW 107139178A TW 202019189 A TW202019189 A TW 202019189A
Authority
TW
Taiwan
Prior art keywords
connection
certificate
management module
secret key
service
Prior art date
Application number
TW107139178A
Other languages
English (en)
Inventor
吳柏萱
陳致愷
Original Assignee
財團法人資訊工業策進會
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 財團法人資訊工業策進會 filed Critical 財團法人資訊工業策進會
Priority to TW107139178A priority Critical patent/TW202019189A/zh
Priority to CN201811381959.9A priority patent/CN111147434A/zh
Priority to US16/257,383 priority patent/US20200145397A1/en
Publication of TW202019189A publication Critical patent/TW202019189A/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/067Network architectures or network communication protocols for network security for supporting key management in a packet data network using one-time keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0654Management of faults, events, alarms or notifications using network fault recovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/535Tracking the activity of the user
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Power Engineering (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

一種用於裝置連線之雲端平台及裝置連線方法。該雲端平台包含一服務管理模組、一動態憑證設定服務模組以及一連線管理模組。該服務管理模組用以接收包含一秘密金鑰之一建立連線請求,以及根據該秘密金鑰產生一第一連線憑證。該動態憑證設定服務模組用以自該服務管理模組接收並儲存該秘密金鑰及該第一連線憑證。該連線管理模組用以紀錄該第一連線憑證,以及判斷一異常連線狀態後傳送一修改連線憑證訊息至該服務管理模組。隨後,該服務管理模組更用以根據該秘密金鑰產生一第二連線憑證,將該第二連線憑證紀錄於該連線管理模組,以及將該第二連線憑證儲存於該動態憑證設定服務模組。

Description

用於裝置連線之雲端平台及裝置連線方法
本發明的實施例關於一種用於裝置連線之雲端平台以及一種裝置連線方法。更具體而言,本發明的實施例是關於利用動態連線憑證作為連線機制的雲端平台及裝置連線方法。
當為電子裝置做場域佈建時,需要將電子裝置連接至一連接管理中心平台。連接管理平台會為每一個連接的電子裝置配發連線憑證(Credential)以及資源,俾使每一個電子裝置能夠正常地運作。
然而,習知之連接管理平台在進行服務調整、設備升級、設備維護、停機、遷移、遭受網路攻擊等情況,連接管理平台與電子裝置之間的連線將會中斷。需要藉由人力重新設定電子裝置與連接管理平台之間的連線憑證及資源,以使電子裝置能再次使用服務與資源。因此,當前的電子裝置與連接管理平台之連線機制在管理上缺乏彈性及效率。
有鑑於此,如何提供一種更有效率的連接管理平台,以使電子裝置能更有效率地連線至連接管理平台,乃是本發明所屬技術領域中的一項重要目標。
為了達成上述目的,本發明的實施例提供了一種用於裝置連 線之雲端平台。該雲端平台包含一服務管理模組、一動態憑證設定服務模組以及一連線管理模組,其中該服務管理模組電性連接於該動態憑證設定服務模組及該連線管理模組。該服務管理模組用以接收包含一秘密金鑰之一建立連線請求,以及根據該秘密金鑰產生一第一連線憑證。該動態憑證設定服務模組用以自該服務管理模組接收並儲存該秘密金鑰及該第一連線憑證。該連線管理模組用以紀錄該第一連線憑證,以及判斷一異常連線狀態後傳送一修改連線憑證訊息至該服務管理模組。該服務管理模組於接收該修改連線憑證訊息後更用以根據該秘密金鑰產生一第二連線憑證,將該第二連線憑證紀錄於該連線管理模組,以及將該第二連線憑證儲存於該動態憑證設定服務模組。
本發明的實施例還提供了一種裝置連線方法。該裝置連線方法適用於一雲端平台。該雲端平台包含一服務管理模組、一動態憑證設定服務模組以及一連線管理模組,其中該服務管理模組電性連接於該動態憑證設定服務模組及該連線管理模組。
該裝置連線方法包含以下步驟:使該服務管理模組接收一建立連線請求,該建立連線請求包含該秘密金鑰;使該服務管理模組根據該秘密金鑰產生一第一連線憑證;使該服務管理模組將該秘密金鑰及該第一連線憑證儲存於該動態憑證設定服務模組,並且將該第一連線憑證紀錄於該連線管理模組;使該連線管理模組判斷一連線異常裝狀態後,傳送一修改連線憑證訊息至該服務管理模組;使該服務管理模組於接收該修改連線憑證訊息後,根據該秘密金鑰產生一第二連線憑證;以及使該服務管理模組將該第二連線憑證紀錄於該連線管理模組,並且將該第二連線憑證儲存於該動 態憑證設定服務模組。
在參閱圖式及隨後描述之實施方式後,本發明所屬技術領域中具有通常知識者便可瞭解本發明之其他目的,以及本發明之技術手段及實施態樣。
11‧‧‧雲端平台
13‧‧‧第一裝置
15‧‧‧第二裝置
111‧‧‧服務管理模組
113‧‧‧動態憑證設定服務模組
115‧‧‧連線管理模組
U1‧‧‧使用者
R1‧‧‧建立連線請求
K1‧‧‧秘密金鑰
C1‧‧‧第一連線憑證
C2‧‧‧第二連線憑證
T1‧‧‧憑證兌換請求
V1‧‧‧第一連線請求
V2‧‧‧第二連線請求
V3‧‧‧第三連線請求
D1‧‧‧資料庫
a1、a2、a3、b1、b2、b3、d1、e1、e2、e3、e4、f1、f2、f3‧‧‧標示
2、3、4‧‧‧裝置連線方法
201、203、205、207、209、211‧‧‧步驟
301、303、305、307‧‧‧步驟
401、403、405、407‧‧‧步驟
第1A及1B圖係本發明的第一實施例中一種雲端平台之使用情境及方塊示意圖;第2圖係本發明的第二實施例中一種裝置連線方法之流程圖;第3圖係本發明的第三實施例中一種裝置連線方法之流程圖;以及第4圖係本發明的第四實施例中一種裝置連線方法之流程圖。
以下將透過實施例來揭露本發明。須說明者,本發明的實施例並非用以限制本發明須在如實施例所述之任何特定的環境、應用或特殊方式方能實施。因此,有關實施例之說明僅為揭露本發明之目的,而非用以限制本發明。於本發明的以下實施例及圖式中,與本發明非直接相關之元件已省略而未繪示,且圖式中各元件間之尺寸關係僅為求容易瞭解,非用以限制實際比例。除了特別說明之外,在以下內容中,相同(或相近)的元件符號可對應至相同(或相近)的元件。
本發明第一實施例請參照第1A及1B圖,其係描繪雲端平台11之一使用情境及方塊示意圖。第1A及1B圖所示內容僅是為了說明本發明的實施例,而非為了限制本發明。其中,標示a1~a3、b1~b3、d1、e1~e4以 及f1~f3係用以輔助說明,除非在本文中有敘述順序關係,否則標示並非用以限定順序關係。
首先請參考第1A圖,雲端平台11包含一服務管理模組111、一動態憑證設定服務模組113以及一連線管理模組115。服務管理模組111電性連接於動態憑證設定服務模組113以及連線管理模組115。以下將說明雲端平台11與一使用者U1、一第一裝置13及一第二裝置15之互動情況。
參照標示a1,雲端平台11之可自使用者U1接收一建立連線請求R1,以為第一裝置13與雲端平台11建立連線。建立連線請求R1包含一秘密金鑰K1,且秘密金鑰K1係屬於第一裝置13。換言之,使用者U1為了將第一裝置13用於雲端平台11,將第一裝置13之秘密金鑰K1輸入至服務管理模組111。須說明者,秘密金鑰K1具有唯一性,其可為關聯於第一裝置13之機器識別碼、製造號碼、通訊代碼等或是系統配發之識別碼,但不侷限於此。舉例而言,所有裝置都具備唯一的識別碼,識別碼被作為秘密金鑰使用且識別碼被紀錄在系統中。當非法裝置(即,不具有合法識別碼之裝置)嘗試連線至系統時,系統可根據識別碼判定連線為非法裝置連線。此外,設備製造商可針對裝置設計秘密金鑰儲存保護機制,以保護秘密金鑰不會被隨意取得。
在一實施態樣中,使用者U1可經由一使用者應用程式、一使用者介面、一電腦等電子設備傳送建立連線請求R1。電子設備與雲端平台間之連線係可為有線網路(例如:光纖網路等等,但不限於此)或無線網路(例如:Wi-Fi、藍芽或行動網路等等,但不限於此)。
於服務管理模組111在收到建立連線請求R1後,服務管理模 組111可根據秘密金鑰K1產生一第一連線憑證C1。須說明者,第一連線憑證C1係屬於第一裝置13之連線資訊,舉例而言,第一連線憑證C1包含存取裝置名稱、裝置密碼、存取位置、有效時間等連線參數,惟非侷限於此。
接著,請參照標示a2,服務管理模組111將秘密金鑰K1及第一連線憑證C1傳送至動態憑證設定服務模組113。動態憑證設定服務模組113儲存第一裝置13之秘密金鑰K1以及對應於秘密金鑰K1之第一連線憑證C1。在一實施態樣中,秘密金鑰K1及第一連線憑證C1係儲存於一資料庫D1中。在一實施態樣中,資料庫D1可儲存在一獨立的儲存器中,該儲存器與動態憑證設定服務模組113具有一電性連接。
另一方面,請參照標示a3,服務管理模組111將第一連線憑證C1紀錄於連線管理模組115。更詳細來說,服務管理模組111將第一連線憑證C1註冊在連線管理模組115,俾後續用於連線驗證並且使連線管理模組115提供資源,例如:資料存取、儲存空間、服務等。
換言之,前述關於a1~a3之內容主要描述,雲端平台11自一使用者U1接收到包含秘密金鑰K1之建立連線請求R1後,服務管理模組111用以根據秘密金鑰K1為第一裝置13產生第一連線憑證C1,將秘密金鑰K1及第一連線憑證C1儲存在動態憑證設定服務模組113,以及將第一連線憑證C1註冊在連線管理模組115。
現在,請參照標示b1,第一裝置13傳送一憑證兌換請求T1至動態憑證設定服務模組113,其中憑證兌換請求T1包含秘密金鑰K1。接著,請參照標示b2,動態憑證設定服務模組113驗證秘密金鑰K1後傳送第一連線憑證C1至第一裝置13。換言之,第一裝置13利用屬於第一裝置13之秘密金 鑰K1向動態憑證設定服務模組113進行驗證並取得第一連線憑證C1。動態憑證設定服務模組113可於資料庫D1中根據驗證過的秘密金鑰K1搜尋與秘密金鑰K1對應之第一連線憑證C1(例如,第1A圖中資料庫D1紀錄之表格)並且傳送至第一裝置13。
接著,請參照標示b3,第一裝置13取得第一連線憑證C1後,第一裝置13可傳送一第一連線請求V1至連線管理模組115,其中第一連線請求V1包含第一連線憑證C1。連線管理模組115根據紀錄之第一連線憑證C1驗證接收之第一連線憑證C1,確認第一連線憑證C1係合法後,提供第一資源給第一裝置13。
換言之,前述標示b1~b3之內容主要描述,第一裝置13係利用具有唯一性之秘密金鑰K1向動態憑證設定服務模組113取得第一連線憑證C1,然後利用取得之第一連線憑證C1向連線管理模組115建立連線以使用資源及服務。
根據前述標示a1~a3內容可知,第一憑證資訊C1已被記錄在連線管理模組115。然而,第一裝置13之第一憑證資訊C1可能被具有不良意圖之一第二裝置15側錄或偷取。因此,在某些情況下,第二裝置15可能擁有第一連線憑證C1,並偽裝成第一裝置13以使用其之資源。
現在請參照標示d1,連線管理模組115自第二裝置15收一第二連線請求V2,其中第二連線請求V2包含第一連線憑證C1。換言之,第二裝置15藉由非正當取得之第一連線憑證C1,嘗試與連線管理模組115建立連線,以使用第一裝置13之帳戶、資料、服務等權限。
接著,請參考第1B圖並參照標示e1,連線管理模組115接收 到一第二連線請求V2,並且判斷基於第一連線憑證C1之異常連線狀態後,中斷基於第一連線憑證C1之連線。更詳細來說,連線管理模組115具有連線監測功能,以判斷包含任何連線憑證之任何連線請求是否來自於申請連線憑證之電子裝置、判斷連線憑證是否合法、判斷連線憑證是否在期限內。
舉例而言,連線管理模組115可監測是否有重複登錄之現象、網路位址、登錄次數、登錄頻率、資料存取之次數等,或者,連線管理模組115可與動態憑證設定服務模組113確認是有憑證兌換之動作等,惟非侷限於此。
換言之,連線管理模組115可在判斷異常連線狀態後中斷基於第一連線憑證C1之連線,因此,使用第一連線憑證C1之第一裝置13及第二裝置15皆無法與連線管理裝置115連線。須說明者,在一或多個實施態樣中,連線監測功能可獨立設置為一監測模組,用以監測連線管理模組115之連線。
接著,請參照標示e2,連線管理模組115在判斷基於第一連線憑證之異常連線狀態後,傳送一修改連線憑證訊息M1至服務管理模組111。服務管理模組111於接收修改連線憑證訊息M1後,根據秘密金鑰K1產生一第二連線憑證C2。
接著,請參照標示e3,服務管理模組113傳送第二連線憑證C2至動態憑證設定服務模組113。動態憑證設定服務模組113儲存第二連線憑證C2,更新秘密金鑰K1對應於第二連線憑證C2。換言之,資料庫D1中第一連線憑證C1被第二連線憑證C2取代,而秘密金鑰K1係對應於第二連線憑證C2。
另一方面,請參照標示e4,服務管理模組113將第二連線憑證C2傳送至連線管理模組115,隨後,連線管理模組115紀錄第二連線憑證C2。簡言之,服務管理模組111將第一連線憑證C2註冊在連線管理模組115,並將第一連線憑證C1失效。
前述標示e1~e4之內容主要在描述雲端平台11在判斷或偵測到異常連線狀態後之處理程序,連線管理模組115傳送一修改連線憑證訊息M1給服務管理模組111。隨後,服務管理模組根據秘密金鑰K1產生第二連線憑證C2,並指示動態憑證設定服務模組113及連線管理模組115使用第二連線憑證C2取代第一連線憑證C1。
在第一實施例中異常連線狀態係以未知裝置盜用連線憑證與進行連線之情況作為範例進行說明,惟異常連線狀態非局限於此。舉例而言,異常連線狀態可為連線中斷、憑證過期、服務變更、資源變更、資料存取服務已達指定次數等等,使連線管理模組115中斷基於第一連線憑證C1之連線,並進一步使服務管理模組111產生第二連線憑證C2。
在一實施態樣中,服務管理模組111可自動態憑證設定服務模組113再次取得秘密金鑰K1以產生第二連線憑證C2。在另一實施態樣中,服務管理模組111可再通知使用者U1後再次取得秘密金鑰K1以產生第二連線憑證C2,惟非侷限於此。
接著,請參照標示f1,由於記錄於連線管理裝置115之第一連線憑證C1已經失效,第一裝置13發現無法使用第一連線憑證C1進行連線。因此,第一裝置13向動態憑證設定服務模組113傳送憑證兌換請求T1,其中憑證兌換請求T1包含秘密金鑰K1。接著,請參照標示f2,動態憑證設定服 務模組113根據秘密金鑰K1,在更新後的資料庫D1中搜尋出對應之第二連線憑證C2並且傳送第二連線憑證C2給第一裝置13。隨後,請參照標示f3,第一裝置13傳送一第三連線請求V3至連線管理模組115進行驗證並建立連線,其中第三連線請求V3包含第二連線憑證C2。隨後,連線管理模組115可提供一第二資源給第一裝置13。
換言之,第一裝置13之秘密金鑰K1已記錄於雲端平台11。發生異常連線狀態時,雲端平台可為第一裝置13更新連線憑證。隨後,在第一裝置13藉由先前之連線憑證無法使用雲端平台11之資源之情況下,第一裝置13可藉由秘密金鑰K1取得更新之連線憑證,並繼續使用雲端平台之資源。
在一或多個實施態樣中,第二連線憑證C2與第一連線憑證C1所連接之資源係相同,舉例而言,資料儲存位置、資料傳輸路徑、資料傳輸速度等等,但不限於此。在一或多個實施態樣中,第二連線憑證C2與第一連線憑證C1所連接之資源係不相同,舉例而言,資料儲存位置、資料傳輸路徑、資料傳輸速度等等,但不限於此。
對於前述標示e1~e4之相關操作,前述標示b1~b3之相關操作並非必要的前置步驟。另一方面,標示e1~e4之相關操作僅為前述標示f1~f3之相關操作之基礎。標示b1~b3及e1~e4之相關敘述係為了使操作內容更完整且更易於理解。換言之,由於雲端平台11將第一連線憑證C1更改至第二連線憑證C2,標示b1~b3及e1~e4之相關操作可為選擇性的。
服務管理模組111、動態憑證設定服務模組113以及連線管理模組115可包含至少一處理器及至少一儲存器等必要的硬體電路,以儲存及處理資料或電路訊號。再者,本領域之技術人員能根據習知的處理器及儲存 器等電路,據以設計本發明之服務管理模組111、動態憑證設定服務模組113以及連線管理模組115之相關電路。因此,在此處理器及儲存器之細節不作贅述。
在一或多個實施態樣中,連線管理模組115於判斷發生異常連線狀態後,更可用以中斷與第二連線裝置15之連線,以確保第一裝置13之帳戶安全性。
在一或多個實施態樣中,服務管理模組111於接收到修改連線憑證訊息M1後,更用以註銷儲存在連線管理模組115之第一連線憑證C1。
在一或多個實施態樣中,連線管理模組115更用以監測基於第一連線憑證C1對於資源之一資料存取次數。當資料存取次數達到服務上限次數後,連線管理模組115可判斷連線係惟一異常連線狀態。服務管理模組111更在使用者U1延續第一裝置13在雲端平台11之使用合約後,根據秘密金鑰K1產生第二連線憑證C2。
在一或多個實施態樣中,該第二資源係相同於該第一資源。換言之,雲端平台僅更新帳戶資訊(例如:帳號、密碼等等,但不限於此)。
在一或多個實施態樣中,該第二資源係不相同於該第一資源。換言之,雲端平台可提供不同的資源(例如:資料傳輸路徑、資料儲存空間等等,但不限於此)。
在一或多個實施態樣中,動態憑證設定服務模組更包含一獨立的儲存器以儲存資料庫D1。換言之,秘密金鑰K1、第一連線憑證C1及第二連線憑證C2係儲存在獨立的儲存器中,以確保資料安全性。
在一或多個實施態樣中,雲端平台11更包含一傳輸介面(未 繪示),其中傳輸介面電性連接於服務管理模組111、動態憑證設定服務模組113以及連線管理模組115。傳輸介面用以作為唯一且對外的資料傳輸介面。換言之,雲端平台11係經由傳輸介面與使用者及電子裝置接收/傳輸資料。
在一或多個實施態樣中,雲端平台11係用於物聯網裝置連接服務。
本發明第二實施例請參考第2圖,其係描繪裝置連線方法2。裝置連線方法2係用於一雲端平台(例如第一實施例所述之雲端平台11)。該雲端平台包含一服務管理模組、一動態憑證設定服務模組以及一連線管理模組,其中該服務管理模組電性連接於該動態憑證設定服務模組以及該連線管理模組。
裝置連線方法2包含以下步驟:於步驟201中,使服務管理模組接收一建立連線請求,建立連線請求包含一秘密金鑰;於步驟203中,使服務管理模組根據秘密金鑰產生一第一連線憑證;於步驟205中,使服務管理模組將秘密金鑰及第一連線憑證儲存於動態憑證設定服務模組,並將第一連線憑證紀錄於連線管理模組;於步驟207中,使連線管理模組判斷一連線異常裝狀態後,傳送一修改連線憑證訊息至服務管理模組;於步驟209中,使服務管理模組於接收修改連線憑證訊息後,根據秘密金鑰產生一第二連線憑證;以及於步驟211中,使服務管理模組將第二連線憑證紀錄於連線管理模組,並且將第二連線憑證儲存於動態憑證設定服務模組。
本發明第三實施例請參考第3圖,其係裝置連線方法3。裝置連線方法3係為裝置連線方法2之延伸,且包含裝置連線方法2之所有步驟。因此,在此不重複贅述第2圖中步驟201、203、205、207及209。
除了步驟201、203、205、207及209外,裝置連線方法3在步驟205與207之間更包含以下步驟:於步驟301中,使動態憑證設定服務模組自第一裝置接收一憑證兌換請求,憑證兌換請求包含秘密金鑰;於步驟303中,使動態憑證設定服務模組驗證秘密金鑰後,傳送第一連線憑證至第一裝置;於步驟305中,使連線管理模組自第一裝置接收一第一連線請求,第一連線請求包含第一連線憑證;於步驟307中,使連線管理模組驗證第一連線憑證後,提供一第一資源給第一裝置。
本發明第四實施例請參考第4圖,其係裝置連線方法4。裝置連線方法4係為裝置連線方法3之延伸,且包含裝置連線方法3之所有步驟。因此,此處不重複贅述第2圖中步驟201、203、205、207與209及第3圖中步驟301、303、305與309。
除了步驟201、203、205、207、209、301、303、305及309外,裝置連線方法4於步驟211後更包含以下步驟:於步驟401中,使動態憑證設定服務模組自第一裝置接收憑證兌換請求;於步驟403中,使動態憑證設定服務模組驗證秘密金鑰後,傳送第二連線憑證至第一裝置;於步驟405中,使連線管理模組自第一裝置接收一第二連線請求,第二連線請求包含第二連線憑證;於步驟407中,使連線管理模組驗證第一裝置提供之第二連線憑證,提供一第二資源給第一裝置。
在一或多個實施例中,異常連線狀態係為一第三連線請求,其中第三連線請求來自於一第二裝置且包含第一連線憑證。且前述裝置連線方法更包含以下步驟:使連線管理模組用以中斷與第二裝置之連線。
在一或多個實施例中,前述裝置連線方法於步驟211後更包 含以下步驟:使服務管理模組註銷連線管理模組紀錄之第一連線憑證。
在一或多個實施例中,前述裝置連線方法更包含以下步驟:使連線管理模組監測基於第一連線憑證的一資料存取次數。
在一或多個實施例中,動態憑證設定服務模組更包含一資料庫,資料庫用以儲存秘密金鑰、第一連線憑證及第二連線憑證。
在一或多個實施例中,前述裝置連接方法係用於物聯網裝置連接服務。
前述用語「第一」、「第二」及「第三」係用以區分相同性質之物件,以更容易理解本發明之技術內容,而非用於限定順序關係,除非文中有強調彼此之順序關係。
於某些實施例中,用於雲端平台之裝置連線方法對應於雲端平台,且具備實現雲端平台的所有相對應步驟。同理,雲端平台亦可對應於用於雲端平台之裝置連線方法。因本發明所屬技術領域中具有通常知識者可根據上文對於雲端平台的敘述而直接且毫無歧異地理解裝置連線方法的所有相對應步驟,故於此不再贅述。此外,在技術內容未有衝突之情況下,前述實施例以及實施態樣可結合為一個實施例。
上述實施例僅是用來例舉本發明之部分實施態樣,以及闡釋本發明之技術特徵,而非用來限制本發明之保護範疇及範圍。本發明所屬技術領域中具有通常知識者可輕易完成之任何改變或均等性之安排均屬於本發明所主張之範圍。本發明之權利保護範圍以申請專利範圍為準。
2‧‧‧裝置連線方法
201、203、205、207、209、211‧‧‧步驟

Claims (18)

  1. 一種用於裝置連線之雲端平台,包含:一服務管理模組,用以:接收一建立連線請求,該建立連線請求包含一秘密金鑰;根據該秘密金鑰產生一第一連線憑證;一動態憑證設定服務模組,電性連接於該服務管理模組,用以:自該服務管理模組接收並儲存該秘密金鑰及該第一連線憑證;以及一連線管理模組,電性連接於該服務管理模組,用以;紀錄該第一連線憑證;判斷一異常連線狀態後,傳送一修改連線憑證訊息至該服務管理模組;其中,該服務管理模組於接收該修改連線憑證訊息後更用以:根據該秘密金鑰產生一第二連線憑證;將該第二連線憑證紀錄於該連線管理模組;以及將該第二連線憑證儲存於該動態憑證設定服務模組。
  2. 如請求項1所述之雲端平台,其中,該動態憑證設定服務模組更用以:自一第一裝置接收一憑證兌換請求,該憑證兌換請求包含該秘密金鑰;以及驗證該秘密金鑰後,傳送該第一連線憑證至該第一裝置;該連線管理模組更用以:自該第一裝置接收一第一連線請求,該第一連線請求包含第一 連線憑證;以及驗證該第一連線憑證,提供一第一資源給該第一裝置。
  3. 如請求項2所述之雲端平台,其中,該動態憑證設定服務模組更用以:自該第一裝置接收該憑證兌換請求;以及驗證該秘密金鑰後,傳送該第二連線憑證至該第一裝置;該連線管理模組更用以:自該第一裝置接收一第二連線請求,該第二連線請求包含該第二連線憑證;以及驗證該第一裝置提供之該第二連線憑證,提供一第二資源給該第一裝置。
  4. 如請求項1所述之雲端平台,其中,該異常連線狀態係為一第三連線請求,其中該第三連線請求來自於一第二裝置且包含該第一連線憑證。
  5. 如請求項4所述之雲端平台,其中,該連線管理模組更用以中斷與該第二裝置之連線。
  6. 如請求項1所述之雲端平台,其中,該服務管理模組更用以註銷該連線管理模組紀錄之該第一連線憑證。
  7. 如請求項1所述之雲端平台,其中,該雲端平台係用於物聯網裝置連接服務。
  8. 如請求項1所述之雲端平台,其中,該連線管理模組更用以監測基於該第一連線憑證之一資料存取次數。
  9. 如請求項1所述之雲端平台,其中,該動態憑證設定服務模組更包含一資料庫,該資料庫用以儲存該秘密金鑰、該第一連線憑證及該第二連線憑證。
  10. 一種裝置連線方法,用於一雲端平台,該雲端平台包含一服務管理模組、一動態憑證設定服務模組以及一連線管理模組,該裝置連線方法包含以下步驟:使該服務管理模組接收一建立連線請求,該建立連線請求包含一秘密金鑰;使該服務管理模組根據該秘密金鑰產生一第一連線憑證;使該服務管理模組將該秘密金鑰及該第一連線憑證儲存於該動態憑證設定服務模組,並且將該第一連線憑證紀錄於該連線管理模組;使該連線管理模組判斷一異常連線狀態後,傳送一修改連線憑證訊息至該服務管理模組;使該服務管理模組於接收該修改連線憑證訊息後,根據該秘密金鑰產生一第二連線憑證;以及使該服務管理模組將該第二連線憑證紀錄於該連線管理模組,並且將該第二連線憑證儲存於該動態憑證設定服務模組。
  11. 如請求項10所述之裝置連線方法,更包含以下步驟:使該動態憑證設定服務模組自該第一裝置接收一憑證兌換請求,該憑證兌換請求包含該秘密金鑰;使該動態憑證設定服務模組驗證該秘密金鑰後,傳送該第一連線憑證至該第一裝置;使該連線管理模組自該第一裝置接收一第一連線請求,該第一連線請求包含第一連線憑證;以及使該連線管理模組驗證該第一連線憑證後,提供一第一資源給該第一裝置。
  12. 如請求項11所述之裝置連線方法,更包含以下步驟: 使該動態憑證設定服務模組自該第一裝置接收該憑證兌換請求;使該動態憑證設定服務模組驗證該秘密金鑰後,傳送該第二連線憑證至該第一裝置;使該連線管理模組自該第一裝置接收一第二連線請求,該第二連線請求包含該第二連線憑證;以及使該連線管理模組驗證該第一裝置提供之該第二連線憑證後,提供一第二資源給該第一裝置。
  13. 如請求項10所述之裝置連線方法,其中,該異常連線狀態係為一第三連線請求,其中該第三連線請求來自於一第二裝置且包含該第一連線憑證。
  14. 如請求項13所述之裝置連線方法,更包含以下步驟:使該連線管理模組用以中斷與該第二裝置之連線。
  15. 如請求項10所述之裝置連線方法,更包含以下步驟:使該服務管理模組註銷該連線管理模組紀錄之該第一連線憑證。
  16. 如請求項10所述之裝置連線方法,其中,該裝置連接方法係用於物聯網裝置連接服務。
  17. 如請求項10所述之裝置連線方法,更包含以下步驟:使該連線管理模組監測基於該第一連線憑證的一資料存取次數。
  18. 如請求項10所述之裝置連線方法,其中,該動態憑證設定服務模組更包含一資料庫,該資料庫用以儲存該秘密金鑰、該第一連線憑證及該第二連線憑證。
TW107139178A 2018-11-05 2018-11-05 用於裝置連線之雲端平台及裝置連線方法 TW202019189A (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
TW107139178A TW202019189A (zh) 2018-11-05 2018-11-05 用於裝置連線之雲端平台及裝置連線方法
CN201811381959.9A CN111147434A (zh) 2018-11-05 2018-11-20 用于装置联机的云端平台及装置联机方法
US16/257,383 US20200145397A1 (en) 2018-11-05 2019-01-25 Cloud platform for device connetion and a device connecting method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW107139178A TW202019189A (zh) 2018-11-05 2018-11-05 用於裝置連線之雲端平台及裝置連線方法

Publications (1)

Publication Number Publication Date
TW202019189A true TW202019189A (zh) 2020-05-16

Family

ID=70457951

Family Applications (1)

Application Number Title Priority Date Filing Date
TW107139178A TW202019189A (zh) 2018-11-05 2018-11-05 用於裝置連線之雲端平台及裝置連線方法

Country Status (3)

Country Link
US (1) US20200145397A1 (zh)
CN (1) CN111147434A (zh)
TW (1) TW202019189A (zh)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8555054B2 (en) * 2009-10-12 2013-10-08 Palo Alto Research Center Incorporated Apparatus and methods for protecting network resources
CN102420798A (zh) * 2010-09-27 2012-04-18 任少华 网络认证系统和方法
JPWO2013118621A1 (ja) * 2012-02-09 2015-05-11 日本電気株式会社 センサネットワーク、センサ管理サーバ、鍵更新方法および鍵更新プログラム
CN103326853A (zh) * 2012-03-22 2013-09-25 中兴通讯股份有限公司 一种密钥更新的方法及装置
KR101627256B1 (ko) * 2015-01-08 2016-06-03 (주)넷텐션 다수 분산서버를 구비한 네트워크 통신의 세션 이양 방법

Also Published As

Publication number Publication date
CN111147434A (zh) 2020-05-12
US20200145397A1 (en) 2020-05-07

Similar Documents

Publication Publication Date Title
JP7457173B2 (ja) モノのインターネット(iot)デバイスの管理
US20220245724A1 (en) Securing distributed electronic wallet shares
TWI713855B (zh) 憑證管理方法及系統
US11386420B2 (en) Contextual authentication of an electronic wallet
US20190034936A1 (en) Approving Transactions from Electronic Wallet Shares
US20190034917A1 (en) Tracking an Electronic Wallet Using Radio Frequency Identification (RFID)
US20190034919A1 (en) Securing Electronic Wallet Transactions
US9774452B2 (en) System and method for enabling unconfigured devices to join an autonomic network in a secure manner
WO2019153701A1 (zh) 一种获得设备标识的方法及装置
US9577994B2 (en) Off-host authentication system
US11102013B2 (en) Method and apparatus for providing secure communication among constrained devices
JP7421771B2 (ja) Iotサービスを実施するための方法、アプリケーションサーバ、iot装置および媒体
US10609070B1 (en) Device based user authentication
EP3425842B1 (en) Communication system and communication method for certificate generation
US9699185B2 (en) Unauthorized device detection method, unauthorized device detection server, and unauthorized device detection system
KR20160127167A (ko) 다중 팩터 인증 기관
US10581849B2 (en) Data packet transmission method, data packet authentication method, and server thereof
US20200344599A1 (en) Streamlined creation and expansion of a wireless mesh network
CN112019503A (zh) 一种获得设备标识的方法、通信实体、通信系统及存储介质
JP2018511206A (ja) 証明書管理方法、デバイス、及びシステム
WO2020016480A1 (en) Electronic device update management
CN110198538B (zh) 一种获得设备标识的方法及装置
TW202019189A (zh) 用於裝置連線之雲端平台及裝置連線方法
JP2021016119A (ja) 情報処理装置及び情報処理プログラム
EP3965391B1 (en) Certificate transfer system and certificate transfer method