技术领域
[0001] 本
发明涉及计算机和网络技术,特别是涉及一种网络接入设备的验证方法和装置。
背景技术
[0002] 随着网络技术的迅猛发展,越来越多的网络接入设备希望连接网络以享受网络服务,为了确保网络接入设备的合法性,网络服务提供方需要对网络接入设备的身份进行验证。然而,由于网络接入设备的类型多种多样,现有并没有一种有效的验证方式能够实现对所有类型的网络接入设备进行统一验证。
[0003] 传统技术中,对某一类网络接入设备进行验证,通常是由授权机构为网络接入设备分配特定的授权序列号,在
服务器接收到网络接入设备的
请求时,判断是否能够获取到该授权序列号,如果能够获取到,则验证通过,否则验证失败。但是,这种验证方式由于授权序列号易于复制和破解,且在传播过程存在
泄漏的
风险,因此安全性并不高。
发明内容
[0004] 基于此,有必要针对上述技术问题,提供一种能提高安全性的网络接入设备验证方法和装置。
[0005] 一种网络接入设备的验证方法,所述方法包括:
[0006] 接收网络接入设备的请求,所述请求中携带所述网络接入设备中存储的设备标识的签名值和预先分配的产品标识;
[0007] 根据所述产品标识获取预先存储的与所述产品标识对应的数字证书;
[0008] 根据所述数字证书对所述设备标识的签名值进行验证。
[0009] 一种网络接入设备的验证方法,所述方法包括:
[0010] 网络接入设备读取预先存储的设备标识的签名值和产品标识;
[0011] 所述网络接入设备向服务器发送注册请求,所述注册请求携带所述设备标识的签名值和所述产品标识;
[0012] 所述服务器接收注册请求,获取所述设备标识的签名值和所述产品标识;
[0013] 所述服务器根据所述产品标识获取预先存储的与所述产品标识对应的数字证书;
[0014] 所述服务器根据所述数字证书对所述设备标识的签名值进行验证。
[0015] 一种网络接入设备的验证装置,所述装置包括:
[0016] 接收模
块,用于接收网络接入设备的请求,所述请求中携带所述网络接入设备中存储的设备标识的签名值和预先分配的产品标识;
[0017] 获取模块,用于根据所述产品标识获取预先存储的与所述产品标识对应的数字证书;
[0018] 验证模块,用于根据所述数字证书对所述设备标识的签名值进行验证。
[0019] 上述网络接入设备的验证方法和装置,服务器在接收到网络接入设备请求时,获取存储在网络接入设备中的设备标识的签名值和产品标识,进而获取到预先在服务器中存储的与产品标识对应的数字证书,通过数字证书对设备标识的签名值进行验证。由于设备标识的签名值和产品标识都存储在网络接入设备中,网络接入设备向服务器发送请求时,必须自身存储有设备标识的签名值和产品标识才能享受服务器提供的网络服务,而设备标识用于唯一标识一台设备,具有唯一性,且对设备标识签名后得到的签名值不易被破解,因此该网络接入设备的验证方法和装置能够降低被破解和泄漏的风险,从而提高了安全性。
附图说明
[0020] 图1为本发明
实施例提供的网络接入设备的验证方法的应用环境图;
[0021] 图2为一个实施例中网络接入设备的验证方法的流程示意图;
[0022] 图3为另一个实施例中网络接入设备的验证方法的流程示意图;
[0023] 图4为再一个实施例中网络接入设备的验证方法的流程示意图;
[0024] 图5为一个实施例中网络接入设备的验证方法的应用场景图;
[0025] 图6为图5所示实施例中的网络接入设备的验证方法的时序图;
[0026] 图7为一个实施例中网络接入设备的验证装置的结构
框图;
[0027] 图8为另一个实施例中网络接入设备的验证装置的结构框图;
[0028] 图9为一个实施例中服务器的内部结构图。
具体实施方式
[0029] 为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
[0030] 本发明实施例所提供的验证方法可应用于如图1所示的环境100中。参考图1所示,厂商(网络接入设备的生产者)在生产网络接入设备104之前,使用终端102向服务器106
申请接入网络接入设备,将数字证书提交给服务器106,并接收服务器106为厂商所分配的产品标识。厂商在生产网络接入设备104时,读取设备标识,采用私钥对设备标识进行签名,得到设备标识的签名值,将设备标识的签名值和产品标识写入网络接入设备104的ROM(Read-Only Memory,只读
存储器)中。则网络接入设备104通过网络连接服务器106,向服务器106发送请求时,可读取ROM中的设备标识的签名值和产品标识,与请求一起发送至服务器106。服务器106根据接收到的设备标识的签名值和产品标识对网络接入设备104进行验证。
[0031] 其中,提交数字证书给服务器106的终端102可以是个人计算机、
笔记本电脑、
个人数字助理、
平板电脑、智能手机等,只要具有
保密性且能够登录服务器106所提供的网络接入设备开发平台申请接入网络接入设备即可,不局限于某种特定的终端形式。通过网络与服务器106连接的网络接入设备104可以是便携式智能设备(如智能手机、平板电脑等)、穿戴式智能设备(如智能手环、智能眼镜等)、各种
家用电器(如电视机、
冰箱、
洗衣机、
微波炉等)、各种办公室设备(如
打印机、传真机等)以及其它功能的网络接入设备(如
网络摄像头、
门禁装置等),只要网络接入设备104遵守服务器106所提供的通信协议和
接口协议,可以实现与服务器106之间的数据交互即可,因此,网络接入设备104也不局限于某种特定的设备形式。应当说明的是,网络接入设备属于网络设备的一种,本发明实施例所提供的验证方法也适用于网络接入设备等类似的说法。
[0032] 如图2所示,在一个实施例中,提供了一种验证方法,该方法可应用于如图1所示的环境100中,实现对网络接入设备104的身份验证,本实施例以验证方法应用于如图1所示的服务器106进行举例说明,具体包括:
[0033] 步骤202,接收网络接入设备的请求,该请求中携带网络接入设备存储的设备标识的签名值和预先分配的产品标识。
[0034] 这里的请求,包含所有服务器需对网络接入设备进行身份验证的请求,可以是网络接入设备的注册请求,也可因网络接入设备的种类和提供的应用的不同而有所不同。
[0035] 这里的设备标识的签名值,是指对设备标识进行签名后所得到的签名值。设备标识(GUID)用于唯一标识一台网络接入设备,即使两台网络接入设备的类型、型号和功能等完全相同,只要是两台设备,其设备标识必然不同。在生产网络接入设备时,设备标识
固化在网络接入设备的存储器中,可通过API(Application Programming Interface,
应用程序编程接口)读取得到。
[0036] 这里的产品标识是事先服务器在接收到厂商提交的网络接入设备的接入申请时,为厂商所分配的产品标识,用于后续在验证时找到对应的用来解密的公钥。
[0037] 具体的,设备标识的签名值和产品标识预先存储在网络接入设备的
只读存储器中,且当网络接入设备恢复初始设置时,设备标识的签名值和产品标识仍存储在只读存储器中,不会被擦除。这样,确保了网络接入设备即使恢复初始设置,也能读取到设备标识的签名值和产品标识,向服务器发送请求时,读取其中的设备标识的签名值和产品标识一并发送,实现身份验证。
[0038] 步骤204,根据产品标识获取预先存储的与产品标识对应的数字证书。
[0039] 本实施例中,在服务器存储了产品标识与数字证书的对应关系,该数字证书是由网络接入设备的厂商在提交网络接入设备的接入申请时提供给服务器的,数字证书中包含一对公钥私钥对中的公钥,该公钥私钥对由厂商使用终端提交网络接入设备的接入申请时生成,其中,私钥用于对设备标识进行签名以得到设备标识的签名值,公钥用于生成数字证书以提供给服务器。服务器接收到网络接入设备的接入申请时,为网络接入设备分配产品标识,并与接收到的数字证书对应存储,从而建立起产品标识与数字证书一对一的关系。
[0040] 步骤206,根据数字证书对设备标识的签名值进行验证。
[0041] 由于数字证书中包含公钥私钥对中的公钥,而设备标识的签名值是通过其中的私钥对设备标识进行签名(即加密)得到的,因此可通过数字证书中的公钥对设备标识的签名值进行验证(即解密)。使得服务器可以确认请求是由该网络接入设备发送的。
[0042] 进一步的,在一个实施例中,如图3所示,在接收网络接入设备的请求之前,还包括:
[0043] 步骤302,接收数字证书。
[0044] 本实施例中,在生产网络接入设备前,终端生成一对公钥私钥对,生成数字证书,该数字证书中包含公钥。进一步的,可通过公钥私钥对中的私钥对数字证书进行验证。之后,终端向服务器提交网络接入设备的接入申请时,提交数字证书。
[0045] 步骤304,分配产品标识。
[0046] 步骤306,将数字证书与产品标识对应存储。
[0047] 本实施例中,服务器接收到网络接入设备的接入申请,为厂商分配产品标识,存储产品标识与数字证书的对应关系,数字证书可用于在后续接收到网络接入设备的请求时对网络接入设备进行身份验证,产品标识可用来找到对应的公钥。
[0048] 如图4所示,在另一个实施例中,提供了一种验证方法,该方法也可应用于如图1所示的环境100中,具体包括:
[0049] 步骤402,网络接入设备读取预先存储的设备标识的签名值和产品标识。
[0050] 步骤404,网络接入设备向服务器发送注册请求,注册请求中携带设备标识的签名值和产品标识。
[0051] 步骤406,服务器接收注册请求,获取设备标识的签名值和产品标识。
[0052] 步骤408,服务器根据产品标识获取预先存储的与产品标识对应的数字证书。
[0053] 步骤410,服务器根据数字证书对设备标识的签名值进行验证。
[0054] 进一步的,在一个实施例中,在步骤402之前,该验证方法还包括:服务器接收终端发送的网络接入设备的接入申请和数字证书;服务器分配产品标识,并将数字证书与产品标识对应存储;服务器将产品标识下发至终端。
[0055] 在一个实施例中,在服务器接收终端发送的网络接入设备的接入申请和数字证书的步骤之前,还包括:终端生成一对公钥私钥对;终端生成数字证书,该数字证书中包含公钥私钥对中的公钥。
[0056] 进一步的,在终端生成数字证书的步骤之后还包括:终端使用公钥私钥对对数字证书进行验证。
[0057] 在一个实施例中,在服务器将产品标识下发至终端的步骤之后,还包括:在生产网络接入设备时,读取网络接入设备的设备标识;使用公钥私钥对中的私钥对设备标识进行签名,得到设备标识的签名值;将设备标识的签名值和产品标识存储在网络接入设备的只读存储器中。进一步的,当网络接入设备恢复初始设置时,设备标识的签名值和产品标识仍存储在只读存储器中。
[0058] 在一个实施例中,数字证书中包含公钥私钥对中的公钥;步骤410为:服务器获取数字证书中的公钥,使用公钥对设备标识的签名值进行验证。
[0059] 具体的,在一个实施例中,如图5所示,为一个具体的实例中验证方法所应用的系统500,厂商为生产网络接入设备504的生产者。结合图6所示,要实现在网络接入设备504向服务器506进行注册时对网络接入设备504的身份进行验证,具体过程如下:
[0060] 步骤601:终端502生成一对公钥私钥对,使用公钥生成数字证书。
[0061] 生成公钥私钥对的终端502应为厂商拥有的私有终端,具备保密性。终端502可使用OpenSSL工具来生成公钥私钥对。OpenSSL工具是一个强大的安全套接字层密码库,囊括主要的密码
算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。本实施例采用不对称加密方式,生成的一对公钥私钥对中,私钥由厂商自身保存使用且负有保密责任,私钥用于对数据加密,公钥提供给服务器,用于对数据解密,且对于使用私钥加密的数据,只有相应的公钥才能解密出。
[0062] 数字证书中包含公钥,提供给服务器用于解密。优选的,终端502还可对生成的数字证书进行验证。具体的,可使用公钥私钥对对数字证书进行验证。比如,可使用私钥对数字证书加密,然后使用公钥对数字证书进行解密,判断是否能解密出,等等。
[0063] 步骤602:终端502发送网络接入设备的接入申请和数字证书给服务器506。
[0064] 终端502可登录服务器506提供的
网站,在该网站上向服务器506提交网络接入设备的接入申请,并将数字证书发送给服务器506。
[0065] 步骤603:服务器506分配产品标识,存储产品标识和数字证书的对应关系。
[0066] 网络接入设备的接入申请可以是厂商对某类网络接入设备的接入申请,也可以是厂商对某类中的某个型号的网络接入设备的接入申请。服务器506接收到接入申请则为厂商分配产品标识,该产品标识用于后续在验证时找到对应的公钥。
[0067] 步骤604:服务器506下发产品标识给终端502。
[0068] 步骤605:生产网络接入设备时读取设备标识,使用私钥对设备标识签名。
[0069] 步骤606:将设备标识的签名值和产品标识写入ROM中。
[0070] 设备标识存储在网络接入设备中,用于唯一标识一台设备,可通过API读取得到。具体的,可通过OpenSSL工具使用私钥来对设备标识进行签名(即加密),得到设备标识的签名值。进一步的,将设备标识的签名值和产品标识写入到网络接入设备的ROM中,且要确保设备恢复初始设置时,写入到ROM中的设备标识的签名值和产品标识仍保留,不会被擦除。
[0071] 步骤607:网络接入设备504发送注册请求,注册请求中携带设备标识的签名值和产品标识。
[0072] 网络接入设备504生产出来后,在使用过程中若要向服务器506发送注册请求,可通过设备SDK(Software Development Kit,
软件开发工具包)调用相应的API来读取存储在ROM中的设备标识的签名值和产品标识,与注册请求一并发送到服务器506。
[0073] 步骤608:服务器506根据产品标识获取对应的数字证书,采用其中的公钥对签名值进行验证。
[0074] 服务器506接收到注册请求,根据产品标识从存储的对应关系中查找对应的数字证书,从而找到其中的公钥,使用该公钥对设备标识的签名值进行解密。
[0075] 步骤609:验证通过,分配标识号。
[0076] 验证通过,服务器506可为网络接入设备分配标识号,网络接入设备504注册成功,之后可以享有服务器506所提供的网络服务。
[0077] 如图7所示,在一个实施例中,提供了一种验证装置,该装置包括:
[0078] 接收模块702,用于接收网络接入设备的请求,该请求中携带网络接入设备中存储的设备标识的签名值和预先分配的产品标识。
[0079] 获取模块704,用于根据产品标识获取预先存储的与产品标识对应的数字证书。
[0080] 验证模块706,用于根据数字证书对设备标识的签名值进行验证。
[0081] 进一步的,在一个实施例中,接收模块702还用于接收数字证书,如图8所示,该系统还包括:
[0082] 分配模块708,用于分配产品标识。
[0083] 存储模块710,用于将数字证书与产品标识对应存储。
[0084] 在一个实施例中,数字证书包含一对公钥私钥对中的公钥;设备标识的签名值为采用该公钥私钥对中的私钥对设备标识进行签名得到的签名值。
[0085] 在一个实施例中,验证模块706用于获取数字证书中的公钥,使用公钥对设备标识的签名值进行验证。
[0086] 在一个实施例中,设备标识的签名值和产品标识预先存储在网络接入设备的只读存储器中,且当网络接入设备恢复初始设置时,设备标识的签名值和产品标识仍存储在只读存储器中。
[0087] 上述网络接入设备的验证方法和装置,由于设备标识的签名值和产品标识都存储在网络接入设备中,网络接入设备向服务器发送请求时,必须自身存储有设备标识的签名值和产品标识才能享受服务器提供的网络服务,而设备标识用于唯一标识一台设备,具有唯一性,且对设备标识签名后得到的签名值不易被破解,因此能够降低被破解和泄漏的风险,从而提高了安全性。
[0088] 上述网络接入设备的验证方法和装置,能够实现对网络接入设备进行统一的身份验证,且因数字证书是由厂商在生产网络接入设备之前提供给服务器的,确保了只有正规的网络接入设备的生产者所生产的网络接入设备才能通过验证,有效防止了山寨的网络接入设备享受服务器所提供的网络服务。
[0089] 由于是对生产网络接入设备时产生的设备标识进行签名,相对于对服务器给网络接入设备分配的设备标识进行签名,避免了服务器需要存储和管理设备标识列表的问题,降低了批量处理时泄漏的风险,进一步提高了安全性。
[0090] 另外,在网络接入设备注册过程中,只引入厂商一方所生成的公钥作为数字证书,也就是说,只由服务器对网络接入设备进行验证,而网络接入设备无需对服务器返回的数据进行验证,避免了由于网络接入设备生产环节复杂而存在批量签名结果与设备标识不对应的问题。
[0091] 如图9所示,在一个实施例中,还提供了一种服务器,该服务器包括通过
系统总线连接的处理器、存储介质、内存和网络接口。其中,存储介质存储有一种验证装置,该验证装置用于实现一种网络接入设备的验证方法。服务器的网络接口用于与终端或网络接入设备建立网络连接与其通信。
[0092] 本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过
计算机程序来指令相关的
硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
[0093] 以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明
专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干
变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附
权利要求为准。
