在一个实施例中,诸如具有在其上运行的登记应用的智能手机之类的登记设备从网络中的多个目标设备中的至少一个或多个目标设备获得就地登记信息。该登记设备将从至少一个目标设备获得的就地登记信息提供至针对该网络的诸如公钥证书生成器(例如,认证机构)之类的安全管理设备,以便于针对该至少一个目标设备生成目标设备配置证书。该安全管理设备使用就地登记信息和其它设备特有的信息以及设备所需的操作信息,并且针对该至少一个目标设备发布配置证书。还提出了一种系统和方法。
【技术实现步骤摘要】
【国外来华专利技术】相关申请本申请要求2014年7月11日提交的、专利技术人为TimothyEdwardMoses的题为“用于在网络中提供设备的登记的方法和装置”的美国临时申请No.62/023262、以及2015年7月9日提交的、专利技术人为TimothyEdwardMoses的题为“用于在网络中提供设备的登记的方法和装置”的美国非临时申请No.14/s795081的优先权,它们通过引用全文并入本文。
本公开涉及用于在网络中登记设备的方法和装置。
技术介绍
在提出的用于针对物联网提供安全性的模型中,存在两种提出的认证基础设施,它们中的任一个或两者可以使用公钥基础设施(PKI)技术和证书。例如,当经由因特网将多个设备连接到网络(或彼此连接)时,第一安全基础设施可以在设备中安装唯一地标识每个设备的凭证。这些标识凭证可以是从安全角度而言非托管的,并且独立于使用区域。例如,当制造可以被连接到网络的设备(诸如要被安装在大的建筑物的多层中的温度传感器和恒温器)时,制造商可以将服务器或使用第三方的服务器作为根认证服务器,并且针对由该制造商生产的设备中的每一个生成标识证书。由此,在制造期间,可以利用使设备的唯一标识符与由该根认证机构签署的证书相关联的条目来创建数据库。以这种方式,当设备被接通时,它可以经由网络认证到根机构或另一证书机构。但是,不同的安全基础设施可以被用于管理当设备被安装时的配置。由此,通用设备需要作为新设备在系统或网络中被加入,然后该设备需要被配置为以与该系统或网络的需求一致的方式操作。例如,另一授权基础设施可以被用于管理授权,诸如在网络上授权哪些设备,哪些设备可以发送哪些指令到网络中的哪些其它设备的哪些接口和它们的配置设定。随着越来越多的设备被安装在大型网络(诸如建筑物网络、路边基础设施、制造设施和其它环境)中,每个设备必须在第二基础设施的数据库中登记。当前,这会是费用过高和耗费时间的过程。例如,参照图1,系统100被示出为具有多个设备102和102n,它们将被加入到网络中,该网络诸如使用因特网104的网络。这些设备可以是传感器、致动器、路边基础设施元件或可以与因特网或其它网络联网的任何其它合适的设备。登记设备102-102n可以通常以批处理在中心位置处进行并然后运送以被安装。管理员将需要回顾整个系统的计划并试图解决如何配置这些设备。在该示例中,作为安全管理基础设施(在该情况下,为PKI基础设施)的一部分的安全管理设备106通过服务器处的管理员接口或作为设备106的一部分的其它计算机,用发布然后被发布至设备102-102n以配置设备从而如网络所要求地操作的设备配置证书所需的数据,来填充数据库108。每个设备具有合适的网络接口以与网络通信,在该示例中,每个设备包括IP地址或UPI。在一个示例中,安全管理设备106可以生成示出为证书110的容量证书模型的设备配置证书和/或示出为证书112的基于设备许可证书模型的设备配置证书。该设备配置证书可以存储在如本领域已知的证书数据库114中。基于容量证书模型的设备配置证书的示例是例如由安全管理设备106或其它合适的认证机构签署的证书。该基于设备容量证书的设备配置证书可以包括例如设备ID(诸如序列号、IP地址URL或其它标识符)以及代表该特定设备可以发送的命令的数据。通过许可模型基于设备许可证书112的设备配置证书可以生成包括同类型的设备ID信息和标识设备可以接受什么命令的数据的证书。数据库108可以包括例如针对网络中的每个设备的设备ID和每个设备位置,诸如系统内设备的位置。例如,如果该设备是许多管道之一中的传感器,那么它在特定管道内相对于特定的管道节点的位置或其它的位置信息必须由管理员确定。数据库108还可以包括其它的设备信息,诸如设备的模型号和序列号以及由管理员设定的容器的容量,该管理员可以通过安全管理设备106的合适的用户接口来设定参数。作为替代地,如果使用许可模型,那么可以针对特定的设备集合存储许可或规则。发布的设备配置证书(不管它们是基于容量模型或许可模型)在被生成或发布之后,被随后发送到每个相应设备,从而使得它们的配置通过基于公钥基础设施的安全系统被安全地管理。由此,设备102-102n将仅接受可以被验证是由可信任的根机构签署的证书,并且仅可以经由安全管理设备106来对设备的配置做出改变。当在网络中使用大量的设备并且这些设备是相同类型或不同类型的设备从而使得系统的管理员需要根据在整个系统中各个设备执行的功能来管理各个设备容量和/或许可时,出现问题。同时,如果用户从不可信任源得到位置信息时,网络和设备可能容易受到攻击。附图说明当结合下面的附图时,通过下面的描述将更容易理解实施例,并且其中相同的附图标记表示相同的元件,其中图1是示出现有技术系统的一个示例的框图;图2是示出根据本公开中提出的一个实施例的系统的一个示例的框图;图3是示出用于根据本公开的一个实施例在网络中登记多个设备的方法的一个示例的流程图;图4是示出用于根据本公开的一个实施例在网络中针对多个设备生成配置证书的方法的一个示例的流程图;图5是根据本公开中提出的一个实施例的要被登记的目标设备、远程就地登记设备和网络安全管理设备之间的通信图的一个示例;以及图6是根据本公开中提出的一个实施例的要被登记的目标设备、远程就地登记设备和网络安全管理设备之间的通信图的一个示例。具体实施方式一般地,诸如具有运行在其上的登记应用的智能手机之类的登记设备在网络中从多个目标设备中的至少一个或多个目标设备获得就地登记信息。该登记设备将从至少一个目标设备获得的就地登记信息提供至针对该网络的诸如公钥证书生成器(例如,认证机构)之类的安全管理设备,从而有利于针对该至少一个目标设备生成目标设备配置证书。该安全管理设备使用就地登记信息和其它设备特有的信息以及设备所希望的操作信息,并且针对该至少一个目标设备发布配置证书。该安全管理设备可以是安全基础设施的一部分,并且该安全管理设备使用被管理的设备的数据库来获得关于目标设备的数据,诸如该目标设备物理上位于哪里,它意图执行什么真实世界功能,它在网络拓扑内的位置,和/或它的设备类型,或由该就地登记设备获得的关于特定设备的任何其它合适的信息。该登记设备在该目标设备在网络中安装时注册登记信息。该就地登记设备可以是任何合适的设备,并且不需以与安全管理设备和授权基础设施的实时连接来操作。这可以包括例如,获得目标设备的图像和/或从目标设备获得标识该设备的RFID标签信息、目标设备的GPS坐标(如果需要的话)的智能手机,条形码读取器(如果需要的话)或例如从目标设备获得就地目标设备标识信息的任何其它合适的捕获设备。该设备标识信息可以包括例如制造商ID、模型号、IP地址、URL和/或序列号。该就地登记设备还可以生成数据/时间作为事件信息,以标识登记何时发生。该就地登记设备还可以从目标设备获得目标设备的可信任的根CA公钥。该登记信息与登记事件相关联,从而使得安全管理设备可以授权该登记并将目标设备的初始身份与登记信息相链接。作为登记事件的副作用,可以获得该目标设备的IP地址。该IP地址可以是动态的或静态的。同时,该目标设备可以包括与其相关的URL。该安全管理设备可以用目标设备的容量(许可)或访问控制列表本文档来自技高网...
【技术保护点】
一种用于在网络中登记多个目标设备的方法,包括由就地登记设备从目标设备中的至少一个目标设备获得就地登记信息;以及由登记设备将所述就地登记信息从所述至少一个目标设备提供至用于该网络的安全管理设备,以便于针对所述至少一个目标设备生成目标设备配置证书。
【技术特征摘要】
【国外来华专利技术】2014.07.11 US 62/023,262;2015.07.09 US 14/795,0811.一种用于在网络中登记多个目标设备的方法,包括由就地登记设备从目标设备中的至少一个目标设备获得就地登记信息;以及由登记设备将所述就地登记信息从所述至少一个目标设备提供至用于该网络的安全管理设备,以便于针对所述至少一个目标设备生成目标设备配置证书。2.如权利要求1所述的方法,包括由所述安全管理设备使用基于非对称密钥的签名,基于所述就地登记信息针对所述目标设备生成所述目标设备配置证书。3.如权利要求1所述的方法,包括使用与所述目标设备相关联的非对称密钥证书将目标设备的身份认证为所述网络中的设备的网络的成员。4.如权利要求2所述的方法,包括:从所述目标设备接收对所生成的目标设备配置证书的请求;检索所生成的目标设备配置证书;以及将所检索的目标设备配置证书返回至所述目标设备。5.如权利要求1所述的方法,其中由登记设备将所述就地登记信息从所述至少一个目标设备提供至用于该网络的安全管理设备包括向所述安全管理设备提供针对所述目标设备的设备标识符,提供所述目标设备的地理位置以及提供所述目标设备的上下文信息。6.一种设备,包括:逻辑电路,能操作以通过如下操作使用安全管理设备在网络中登记目标设备:通过从目标设备获得就地登记信息;以及安全地将从所述至少一个目标设备获得的...
【专利技术属性】
技术研发人员:T·E·莫瑟斯,
申请(专利权)人:因特鲁斯特公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。