TWI835351B

TWI835351B - 跨網域之安全連線傳輸方法

Info

Publication number: TWI835351B
Application number: TW111139083A
Authority: TW
Inventors: 蔡宗哲; 陳瑋陞; 林錫慶
Original assignee: 財團法人國家實驗研究院
Priority date: 2022-10-14
Filing date: 2022-10-14
Publication date: 2024-03-11
Also published as: EP4354799A2; EP4354799A3; CN117896397A; JP2024058572A; US20240129291A1

Abstract

本發明係揭露一種跨網域之安全連線傳輸方法，其包含登錄階段、群組建立階段以及連線建立階段等三階段，此方法可透過行動裝置來初始化物聯網裝置及監控裝置，並選擇將該些裝置加入至相同的群組中，再在雲端伺服器中產生對應的一連線設定檔及一安全憑證。如此一來，物聯網裝置可透過此連線設定檔及安全憑證在DDS上建立跨網域的一對一、一對多、多對一或多對多的點對點安全連線，並在此安全連線中進行資料傳輸工作。

Description

跨網域之安全連線傳輸方法

本發明係有關一種資料傳輸方法，特別是有關於一種可建立安全連線並進行跨網域一對一或多對多的點對點的跨網域之安全連線傳輸方法。

物聯網是透過可以相互溝通的裝置或是感測器來達到監控與即時數據收集的目的，而其溝通方式通常是透過網際網路來達成。詳細地說，在物聯網中可以存在多個物聯網裝置(如網路攝影機、無人載具)、一雲端伺服器以及一監控裝置，其中此監控裝置可以透過雲端伺服器來與該些物聯網裝置進行數據的傳輸或溝通，以因應即時監控、數據收集或是遠端控制之不同目的。

而為了確保監控裝置與物聯網裝置間具有一安全可靠的連線，近年來已有許多針對物聯網系統的資料傳輸而衍生出的通訊協定，包括MQTT(Message Queuing Telemetry Transport，消息隊列遙測傳輸)及DDS(Data Distribution Service，資料分散式服務)。MQTT是在ISO標準(ISO/IEC PRF 20922)下基於發布/訂閱模式的協議，所有的發布者(如物聯網裝置)都會透過一雲端伺服器來和訂閱者(如監控端)進行數據的溝通，而不同於MQTT，DDS可以在數據傳輸的過程中可免去雲端伺服器的中介。發布者與訂閱者以點對點方式直接連線，進而達到高信賴度、高效能與即時性之效果。而在DDS已知的應用領域中，目前則包含了自駕車、發電與空中交通控制系統等。

在物聯網系統中建置DDS安全網路連線時，其必須給予物聯網裝置相關設定，包括網域ID (Domain ID)、主題(Topic)、CA憑證、安全憑證及密鑰、QoS設定、權限設定、管理設定等，且其相關設定檔需由CA執行一數位簽章之程序，再將這些設定檔案透過手機傳輸到物聯網裝置，以及下載到監控裝置上。然而如此一來，一但物聯網裝置有變動時，上述之安全設定工作便必須再次執行，繁瑣的程序將徒增使用者之不便。

綜觀前所述，本發明之發明人係思索並設計一種跨網域之安全連線傳輸方法，以期針對習知技術之缺失加以改善，進而增進產業上之實施利用。

基於上述目的，本發明係提供一種跨網域之安全連線傳輸方法，其包含登錄階段、群組建立階段以及連線建立階段。

在登錄階段中，係包含：利用一行動裝置登入至伺服器裝置，並在此伺服器裝置中建立一帳號資訊。利用一通訊協定以傳輸物聯網裝置之一設備識別碼至所述行動裝置。由行動裝置傳送一第一登錄資訊至伺服器裝置，以登錄物聯網裝置於伺服器裝置上，並於伺服器裝置上建立一物聯網設備資訊。由監控裝置傳送一第二登錄資訊至伺服器裝置，以登錄監控裝置於伺服器裝置上，並於伺服器裝置上建立一監控設備資訊，其中此第一登錄資訊及第二登錄資訊係包含所述帳號資訊。

群組建立階段係包含：從伺服器裝置下載物聯網設備資訊及監控設備資訊至行動裝置上。由行動裝置對物聯網設備資訊及監控設備資訊進行一群組設定及一傳輸策略設定，並將此群組設定及傳輸策略設定傳送至伺服器裝置上。由伺服器裝置產生一連線設定檔案以及一安全憑證檔案。由物聯網裝置及監控裝置直接或間接從此伺服器裝置下載連線設定檔案以及安全憑證檔案。

連線建立階段係包含：由此物聯網裝置及監控裝置與一資料分散式服務伺服器裝置建立一跨網域連線模式。

較佳地，此跨網域連線模式包含一對一、一對多、多對一或是多對多的點對點連線模式。

較佳地，此通訊協定為一連接任意兩端點的網路通訊協定。

較佳地，此通訊協定包含藍牙、802.11無線區域網路協定或是802.3乙太網路協定。

較佳地，第一登錄資訊更包含該物聯網裝置之設備識別碼及設備說明，該第二登錄資訊更包含該監控裝置之設備識別碼及設備說明。

較佳地，連線設定檔案以及安全憑證檔案係包含一數位簽章。

較佳地，物聯網裝置係透過行動裝置以間接從伺服器裝置下載此連線設定檔案以及安全憑證檔案。

較佳地，行動裝置包含一智慧型手機、一筆記型電腦或是一平板電腦，伺服器裝置包含一電腦主機或是伺服器裝置，監控裝置包含一電腦主機、一筆記型電腦、一平板電腦或是一伺服器裝置。

較佳地，在連線建立階段中更包含：在跨網域連線模式中進行影像資料、聲音資料、文字資料或是二進位資料之傳輸。

為利貴審查員瞭解本發明之發明特徵、內容與優點及其所能達成之功效，茲將本發明配合附圖，並以實施例之表達形式詳細說明如下，而其中所使用之圖式，其主旨僅為示意及輔助說明書之用，未必為本發明實施後之真實比例與精準配置，故不應就所附之圖式的比例與配置關係解讀、侷限本發明於實際實施上的權利範圍。

本發明之優點、特徵以及達到之技術方法將參照例示性實施例及所附圖式進行更詳細地描述而更容易理解，且本發明可以不同形式來實現，故不應被理解僅限於此處所陳述的實施例，相反地，對所屬技術領域具有通常知識者而言，所提供的實施例將使本揭露更加透徹與全面且完整地傳達本發明的範疇，且本發明將僅為所附加的申請專利範圍所定義。

請參閱第1圖，其係為本發明實施例之跨網域之安全連線傳輸方法之流程圖。如圖所示，本發明之跨網域之安全連線傳輸方法主要是應用於改善物聯網裝置及監控裝置間的連線與傳輸機制，以達到一種安全連線的傳輸方法，其中監控裝置可包含一電腦主機、一筆記型電腦、一平板電腦或是一伺服器裝置，物聯網裝置則可包含任一具有聯網功能之電子裝置，如網路攝影機、無人載具或是智慧家電等，且此監控裝置可透過網際網路來接收物聯網裝置所傳送出之資料數據，或是對此物聯網裝置傳輸一指令以進行控制。

在本實施例中，本發明之跨網域之安全連線傳輸方法可包含步驟S11~S13等三個階段步驟，其中步驟S11係執行一登錄階段，步驟S12係執行一群組建立階段，步驟S13係執行一連線建立階段，第2圖至第4圖之圖示係分別說明步驟S11~S13中之詳細內容，茲說明如下。

如第2圖所示，在本發明之跨網域之安全連線傳輸方法中，登錄階段可包含「註冊」與「設備登錄」兩大部份。在「註冊」部份中，使用者需要利用行動裝置來登入至一連線加密網站伺服器裝置(以下以「網站伺服器裝置」進行簡稱)，並在此網站伺服器裝置上建立一特定的帳號資訊。而可以理解的是，此網站伺服器裝置上可建置有一帳戶資料庫，並用以儲存有關此特定帳號資訊的裝置資訊，而在本實施例中，此帳戶資料庫即可以儲存行動裝置、物聯網裝置及監控裝置等相關資訊，其中此行動裝置則可包含一智慧型手機、一筆記型電腦或是一平板電腦。

值得一提的是，在本發明中，行動裝置、物聯網裝置及監控裝置在透過網際網路進行連線及數據傳輸時，其均是透過超文本傳輸安全協議(Hypertext Transfer Protocol Secure，Https)之網路通訊協定，其是在HTTP的基礎上加入SSL/TLS來進行數據加密，可用以保護交換的數據不被洩露或竊取。

而在「設備登錄」部份中，物聯網裝置與監控裝置需向網站伺服器裝置進行一登錄設備之操作。詳細地說明，首先，行動裝置可利用一通訊協定與此物聯網裝置進行連線，之後，此物聯網裝置的一設備識別碼便可傳輸到此行動裝置，其中此設備識別碼可為此物聯網裝置之一唯一識別序號，而藉以溝通的通訊協定可為連結任意兩端點的網路通訊協定，包含有線通訊協定或是無線通訊協定(如藍牙、802.11無線區域網路協定或是802.3乙太網路協定)。接著，此行動裝置將傳送包含有此設備識別碼及其設備說明的一第一登錄資訊到網站伺服器裝置上，以登錄此物聯網裝置至網站伺服器裝置上，同時此網站伺服器裝置上也將建立相對應之一物聯網設備資訊。

接著，在此「設備登錄」部份中，監控裝置可直接傳送一第二登錄資訊到網站伺服器裝置上，以登錄此監控裝置於網站伺服器裝置上，並在此網站伺服器裝置上建置對應之一監控設備資訊。如上所述，此第二登錄資訊則包含了監控裝置本身的設備識別碼及其相關之設備說明。

而透過登錄階段的執行，網站伺服器裝置中將會儲存有被視為合法的物聯網裝置及監控裝置的設備資訊。進一步地來說，當物聯網裝置及監控裝置的設備資訊一但被網站伺服器裝置登錄之後，網站伺服器裝置即可針對其所傳輸的數據進行分析及處理，然而，一但當此物聯網裝置或監控裝置遭到竊取或破壞時，則原使用者可登入網站伺服器裝置將儲存在其上的第一登錄資訊及第二登錄資訊進一步標註，以確保網站伺服器裝置上的設備資訊與實際的該些裝置運作資訊保持一致，如此一來，當被竊取的物聯網裝置試圖登錄至網站伺服器裝置時，則此網站伺服器裝置便可判斷出此登錄作動是出自於一非法存取的物聯網裝置，進而產生一警示訊息或是記錄該次非法存取的相關資訊，以供後續之追蹤查證使用。

接著，如第3圖所示，本實施例之群組建立階段係包含「建立連線群組」及「下載連線資訊」兩大部份。

首先在「建立連線群組」部份中，行動裝置將會從網站伺服器裝置下載物聯網設備資訊及監控設備資訊，再由此行動裝置針對此物聯網設備資訊及監控設備資訊進行一群組設定及一傳輸策略設定，其中此群組設定係將物聯網裝置及監控裝置設定在相同的一群組之內，而傳輸策略設定則可以為一現有的通訊協定策略，例如DDS標準。

之後，行動裝置再將設定好的群組設定及傳輸策略設定傳送回網站伺服器裝置上，並由此網站伺服器裝置根據此群組設定及傳輸策略設定來產生一連線設定檔案以及一安全憑證檔案。

值得一提的是，在本實施例中，為了防止此連線設定檔案及安全憑證檔案在網站伺服器裝置內或是在傳輸過程中遭到竄改，其可以由網站伺服器裝置對該些檔案進行一軟體簽章之操作，以確保檔案之正確性，且本發明並不以此軟體簽章的方式為限，其亦可以使用它種非對稱式密碼學之防竄改技術來確保檔案資料的正確性。

另外，在本實施之「下載連線資訊」部份中，物聯網裝置可以經由行動裝置來從網站伺服器裝置取得此連線設定檔案以及安全憑證檔案，而監控裝置則可以直接地從網站伺服器裝置取得該些連線設定檔案以及安全憑證檔案。

而透過本實施例之群組建立階段的執行，此時由網站伺服器裝置所建置的連線設定檔案及安全憑證檔案即已分別被下載至物聯網裝置及監控裝置上。

最後，如第4圖所示之連線建立階段，其主要步驟係包含由物聯網裝置及監控裝置與一資料分散式服務伺服器裝置建立一跨網域連線模式，其中此跨網域之連線模式2可包含一對一或多對多的安全連線模式，在此安全連線模式中，物聯網裝置和監控裝置各自具有獨立的一IP位址，其可透過DDS標準(發布者/訂閱者的協議標準)來進行影像資料、聲音資料、文字資料或是二進位資料的數據傳輸。

此外，此跨網域之連線模式1亦可包含一對一、一對多、多對一或多對多的安全連線模式，其中此安全連線模組可透過一DDS路由服務來連接起監控裝置及物聯網裝置間之資料傳輸，其中此DDS路由服務可為電腦系統上的一軟體應用程式，使資料可在監控裝置及物聯網裝置間完成傳送及接收之作動。而由於路由服務(Routing Service)為電腦相關領域中具通常知識者所熟悉，故本發明於此處不進行贅述。

透過本發明所提出之跨網域之安全連線傳輸方法，除了可以簡化物聯網裝置在跨網域進行連線時之設定難度，也可以降低在進行連線時更新安全憑證的問題，故相較於習知技藝而言，本發明應具有新穎性、進步性以及相關產業領域上之利用性。

以上所述之實施例僅係為說明本發明之技術思想及特點，其目的在使熟習此項技藝之人士能夠瞭解本發明之內容並據以實施，當不能以之限定本發明之專利範圍，即大凡依本發明所揭示之精神所作之均等變化或修飾，仍應涵蓋在本發明之專利範圍內。

S11,S12,S13:步驟

第1圖係為本發明實施例之跨網域之安全連線傳輸方法之流程圖。第2圖係為本發明實施例之登錄階段之示意圖。第3圖係為本發明實施例之群組建立階段之示意圖。第4圖係為本發明實施例之連線建立階段之示意圖。

S11,S12,S13:步驟

Claims

一種跨網域之安全連線傳輸方法，其包含：一登錄階段，係包含：利用一行動裝置登入至一伺服器裝置，並在該伺服器裝置中建立一帳號資訊；利用一通訊協定以傳輸一物聯網裝置之一設備識別碼至該行動裝置；由該行動裝置傳送一第一登錄資訊至該伺服器裝置，以登錄該物聯網裝置於該伺服器裝置上，並於該伺服器裝置上建立一物聯網設備資訊；以及由一監控裝置傳送一第二登錄資訊至該伺服器裝置，以登錄該監控裝置於該伺服器裝置上，並於該伺服器裝置上建立一監控設備資訊；其中該第一登錄資訊及該第二登錄資訊係包含該帳號資訊；一群組建立階段，係包含：從該伺服器裝置下載該物聯網設備資訊及該監控設備資訊至該行動裝置上；由該行動裝置對該物聯網設備資訊及該監控設備資訊進行一群組設定及一傳輸策略設定，並將該群組設定及該傳輸策略設定傳送至該伺服器裝置上；由該伺服器裝置產生一連線設定檔案以及一安全憑證檔案；以及由該物聯網裝置及該監控裝置直接或間接從該伺服器裝置下載該連線設定檔案以及該安全憑證檔案；以及一連線建立階段，係包含：由該物聯網裝置及該監控裝置與一資料分散式服務伺服器裝置建立一跨網域連線模式。
如請求項1所述之跨網域之安全連線傳輸方法，其中該跨網域連線模式包含一對一連線模式或是多對多連線模式。
如請求項1所述之跨網域之安全連線傳輸方法，其中該通訊協定為連結任意兩端點的網路通訊協定。
如請求項1所述之跨網域之安全連線傳輸方法，其中該通訊協定包含藍牙、802.11無線區域網路協定或是802.3乙太網路協定。
如請求項1所述之跨網域之安全連線傳輸方法，其中該第一登錄資訊更包含該物聯網裝置之設備識別碼及設備說明，該第二登錄資訊更包含該監控裝置之設備識別碼及設備說明。
如請求項1所述之跨網域之安全連線傳輸方法，其中該連線設定檔案以及該安全憑證檔案係包含一數位簽章。
如請求項1所述之跨網域之安全連線傳輸方法，其中該物聯網裝置係透過該行動裝置以間接從該伺服器裝置下載該連線設定檔案以及該安全憑證檔案。
如請求項1所述之跨網域之安全連線傳輸方法，其中該行動裝置包含一智慧型手機、一筆記型電腦或是一平板電腦，該伺服器裝置包含一電腦主機或是一伺服器裝置，該監控裝置包含一電腦主機、一筆記型電腦、一平板電腦或一伺服器裝置。
如請求項1所述之跨網域之安全連線傳輸方法，其中在該連線建立階段中更包含：在該跨網域連線模式中進行影像資料、聲音資料、文字資料或是二進位資料之傳輸。