一种用于在连接到至少一个通信网络的装备和服务提供商的服务器之间认证建立连接的方法、以及相应的设备。本发明专利技术涉及一种用于在“边缘计算”环境中向装备提供证书的解决方案。现有的认证解决方案不太适合于“边缘计算”的上下文,因为它们不能满足管理该装备所需的需求,该装备可以部署在分布式基础设施中,但是尤其可以根据要满足的要求重新配置、暂停、移除、重新激活或甚至重新分配给另一个主节点。作为本发明专利技术主题的解决方案使得可能通过重用通信网络中已经存在的组件来可靠地认证这样的装备,这是通过向其提供证书来实现的,由于发布证书的可信第三方是管理通信网络的运营商,因此不能质疑该证书的完整性。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术的领域是连接到通信网络的装备项的认证。更确切地说,本专利技术涉及一种用于在“边缘计算”环境中向装备项提供证书的解决方案。
技术介绍
1、在过去几年中,出现了“云计算”发展的新阶段。这种新的发展被称为“边缘计算”,并且涉及在网络的边缘处处理数据,尽可能靠近数据源。
2、“边缘计算”通过尽可能靠近数据源进行分析来最小化装备(诸如传感器)与数据处理中心之间的带宽要求。这种方法需要调动可能不永久连接到网络的资源,诸如膝上型计算机、智能电话、平板计算机或传感器。“边缘计算”在内容摄取和递送解决方案中也起着关键作用。在这方面,许多内容分发网络(cdn)架构基于“边缘计算”架构。
3、这种“边缘计算”架构的已知实施方式是被称为kubernetes的架构。
4、[图1]以简化的方式示出了符合kubernetes解决方案的节点集群1的架构。节点集群1包括被称为管理节点或“kubernetes主节点”的第一节点10和n个计算节点或“工作者节点”11i,i∈{1,...,n},n是自然整数。
5、管理节点10包括控制器101、api(应用编程接口)模块102和由用于计算节点111的动态配置寄存器组成的etcd数据库103。
6、计算节点11i包括m个容器(container)或“舱(pod)”110j,j∈{1,...,m},m是自然整数。每个容器110j配备有用于执行一个或多个任务的资源。当执行任务时,它有助于实现网络服务或功能,例如dhcp(动态主机配置协议)功能。
>7、为了降低成本并提高网络基础设施的灵活性,“边缘计算”架构最通常是多站点架构,其中构成节点集群的节点可以是非共址的。例如,节点集群1的管理节点10和两个计算节点111、112位于站点a处,而三个其他计算节点113、114、115位于远程站点b处。8、现有的认证解决方案,诸如https(超文本传输协议安全)协议,其基于将符合ssl(安全套接层)或tls(传输层安全)协议的加密层引入http(超文本传输协议)协议,并不太适合于“边缘计算”的上下文。
9、https协议允许访问者的装备项(诸如个人计算机)验证访问者想要从其装备项访问的网站的身份。
10、因此,该装备项使用由被认为是可靠的第三方机构发行的x509公共认证证书来访问提供服务的服务器。这样的证书保证了访问者经由其装备项向提供服务的服务器传输的数据的机密性和完整性。
11、这种操作模式不能满足管理计算节点所需的需求。实际上,这样的管理是复杂的,因为计算节点可以部署在分布式、私有或甚至移动基础设施中,但是最重要的是,它们可以根据要满足的要求被重新配置、暂停、移除、重新激活或甚至重新分配给另一个主节点。
12、此外,从协议的角度来看,计算节点对应于上述示例中描述的访问者的装备项。因此可以看出,将https解决方案应用于“边缘计算”架构是不适当的。
13、因此,需要提出一种用于管理属于不具有上述缺点中的一些或全部缺点的“边缘计算”架构的装备的解决方案。
技术实现思路
1、本专利技术通过提出一种系统来解决这种需要,该系统包括连接到至少一个通信网络的至少一个装备项、至少一个网络地址配置服务器、至少一个证书创建模块、至少一个域名服务器和服务提供商的至少一个服务器。
2、这种系统的特别之处在于:
3、-所述装备项向网络地址配置服务器发送用于分配至少一个网络地址的请求,所述请求包括所述装备项的物理地址的至少一个散列,
4、-所述配置服务器生成用于创建与所述装备项相关联的证书的请求,所述证书包括所述装备项的物理地址、与所述配置服务器相关联的证书和由所述配置服务器分配给所述装备项的至少一个网络地址的散列,
5、-配置服务器将所述创建请求发送到证书创建模块,
6、-证书创建模块根据创建请求中包括的信息生成与所述装备项相关联的证书和与所述证书对应的认证令牌,
7、-证书创建模块向域名服务器发送用于将所述证书、所述认证令牌和所述认证令牌的所述散列与至少一个域名相关联的请求,
8、-域名服务器将与所述装备项相关联的证书、对应的认证令牌和所述认证令牌的散列与至少一个域名相关联,
9、-在确认与域名的关联之后,该装备项从配置服务器接收认证令牌和所述认证令牌的散列。
10、本专利技术所涵盖的解决方案使得可能通过重用通信网络中已经存在的组件来可靠地认证连接到通信网络但不由管理所讨论的通信网络的运营商管理的装备项,这是通过向其提供证书来实现的,由于发布证书的可信第三方是管理通信网络的运营商,因此不能对其完整性提出质疑。
11、这种解决方案还减少了获得这种装备项的证书所需的交换次数,这在灵活性至关重要的“边缘计算”的上下文中特别令人感兴趣,因为由该装备项发送的第一消息已经触发了导致创建证书的操作。类似地,使用现有消息限制了网络上的负载。
12、为了使所有这些都成为可能,该解决方案包括利用寻求连接到通信网络的装备项传输网络地址分配请求,以向该请求中引入查询以获得证书。这样的查询导致将装备项的物理地址的散列引入到分配请求中。
13、在网络地址分配请求中检测到该装备项的物理地址的该散列的存在的配置服务器理解该装备项想要获得证书,然后利用证书创建模块触发证书创建过程。这样的模块可以与配置服务器或域名服务器共置,其中存储所述证书与由配置服务器提供的至少一个域名的关联。
14、最后,知道配置服务器可以将多个网络地址或“地址池”分配给相同的装备项,所创建的证书与该地址池相关联。
15、最后,服务提供商的服务器可以简单地使用配置令牌来验证与装备项相关联的证书的真实性和完整性,从而授权建立与装备项的连接。这种连接的建立例如对应于将装备项作为计算节点集成到kubernetes架构中。
16、因此,服务提供商的服务器可以执行装备项的双重认证,如https连接的情况。
17、本专利技术的目的更具体地涉及一种用于在连接到至少一个通信网络的装备项与服务提供商的服务器之间的连接的认证建立的方法,所述方法包括由所述装备项实现的以下步骤:
18、-向网络地址配置服务器发送用于分配至少一个网络地址的请求,所述请求包括所述装备项的物理地址的至少一个散列,
19、-至少根据所述装备项的物理地址的所述散列和所述认证令牌的散列接收与由证书创建模块创建的证书相对应的认证令牌,
20、-发送用于建立与服务提供商的所述服务器的连接的请求,所述请求至少包括所述对应的认证令牌和所述认证令牌的所述散列。
21、当配置服务器参与提供过程时,可以使用在网络地址分配更新期间与装备项交换的消息来向证书创建模块发送用于有效维持与所述装备项相关联的证书的请求,所述有效维持请求包括所述证书令牌和与所述配置服务器相关联的所述证书。
22、本文档来自技高网...
【技术保护点】
1.一种用于在连接到至少一个通信网络的装备项与服务提供商的服务器之间的连接的认证建立的方法,所述方法包括由所述装备项实现的以下步骤:
2.根据权利要求1所述的方法,还包括以下步骤:
3.一种用于提供与连接到至少一个通信网络的装备项相关联的认证令牌的方法,所述认证令牌用于所述装备项与服务提供商的服务器之间的连接的认证建立,所述方法包括由网络地址配置服务器实现的以下步骤:
4.根据权利要求3所述的方法,还包括以下步骤:
5.根据权利要求4所述的方法,还包括响应于用于扩展分配给所述装备项的所述网络地址的分配的请求,发送用于扩展所述证书的关联的请求的步骤。
6.根据权利要求3至5中任一项所述的方法,还包括以下步骤:根据所述装备项的物理地址、与所述配置服务器相关联的证书和由所述配置服务器分配给所述装备项的至少一个网络地址的散列,生成与所述装备项相关联的证书和与所述证书相对应的证书令牌。
7.一种系统,包括连接到至少一个通信网络的至少一个装备项、至少一个网络地址配置服务器、至少一个证书创建模块、至少一个域名服务器和服务提供商的至少一个服务器,其中:
8.根据权利要求7所述的系统,其中:
9.根据权利要求7至8中任一项所述的系统,其中,所述证书创建模块被包括在所述网络地址配置服务器中。
10.一种连接到至少一个通信网络的装备项,所述装备项能够以认证的方式建立与服务提供商的服务器的连接,所述装备项包括至少一个处理器,所述至少一个处理器被配置为:
11.一种网络地址配置服务器,所述网络地址配置服务器能够提供与连接到至少一个通信网络的装备项相关联的认证令牌,用于所述装备项与服务提供商的服务器之间的连接的认证建立,所述网络地址配置服务器包括至少一个处理器,所述至少一个处理器被配置为:
12.一种计算机程序产品,包括程序代码指令,当所述程序代码指令由处理器执行时,所述程序代码指令用于实现根据权利要求1所述的用于在连接到至少一个通信网络的装备项与服务提供商的服务器之间的连接的认证建立的方法。
13.一种计算机程序产品,包括程序代码指令,当所述程序代码指令由处理器执行时,所述程序代码指令用于实现根据权利要求3所述的提供与连接到至少一个通信网络的装备项相关联的认证令牌以用于所述装备项与服务提供商的服务器之间的连接的认证建立的方法。
...
【技术特征摘要】
【国外来华专利技术】
1.一种用于在连接到至少一个通信网络的装备项与服务提供商的服务器之间的连接的认证建立的方法,所述方法包括由所述装备项实现的以下步骤:
2.根据权利要求1所述的方法,还包括以下步骤:
3.一种用于提供与连接到至少一个通信网络的装备项相关联的认证令牌的方法,所述认证令牌用于所述装备项与服务提供商的服务器之间的连接的认证建立,所述方法包括由网络地址配置服务器实现的以下步骤:
4.根据权利要求3所述的方法,还包括以下步骤:
5.根据权利要求4所述的方法,还包括响应于用于扩展分配给所述装备项的所述网络地址的分配的请求,发送用于扩展所述证书的关联的请求的步骤。
6.根据权利要求3至5中任一项所述的方法,还包括以下步骤:根据所述装备项的物理地址、与所述配置服务器相关联的证书和由所述配置服务器分配给所述装备项的至少一个网络地址的散列,生成与所述装备项相关联的证书和与所述证书相对应的证书令牌。
7.一种系统,包括连接到至少一个通信网络的至少一个装备项、至少一个网络地址配置服务器、至少一个证书创建模块、至少一个域名服务器和服务提供商的至少一个服务器,其中:
8....
【专利技术属性】
技术研发人员:R·科贝尔,E·斯蒂芬,G·弗罗门图克斯,F·菲奥,
申请(专利权)人:奥兰治,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。