【技术实现步骤摘要】
用于为IoT设备进行载入的方法和系统
[0001]本专利技术涉及一种用于借助于制造商的制造商域的第一服务器和客户的客户域的第二服务器在客户的基础设施中为制造商的IoT设备(IoT;物联网(Intemet of Things))进行载入的方法和计算机程序产品。此外,本专利技术涉及一种用于在客户的基础设施中为制造商的IoT设备进行载入的系统。
技术介绍
[0002]用于在客户的基础设施中为IoT设备进行载入的示例是零接触设备载入(Zero
‑
Touch
‑
Device
‑
Onboarding)。零接触设备载入是自动化过程,在所述自动化过程的情况下,凭据(例如X.509公钥证书)和配置设定被安装在IoT设备上,而服务技术人员不必干预。这样的载入也可以被称为供应(Provisioning)或引导(Bootstrapping)。这样的过程需要足够强大的安全特性,以便仅正确的IoT设备可靠地被使用在新的域、即客户域中。对于载入过程,尤其是在三方之间进行通信:
[0003]1.IoT设备,凭据和配置设定被安装在所述IoT设备上;
[0004]2.IoT设备的制造商的制造商域的第一服务器。第一服务器也可以被称为设备授权机构,由IoT设备的制造商提供,并且一方面可以用作IoT设备的真实性或原创性的保证方,并且另一方面可以给IoT设备提供关于客户端域的可信信息;
[0005]3.客户的客户域的第二服务器,其中应该进行IoT设备的载入。第二服务器也可以被称为域载 ...
【技术保护点】
【技术特征摘要】
1.一种用于借助于制造商的制造商域的第一服务器(1)和客户的客户域的第二服务器(2)在客户的基础设施中为制造商的IoT设备(3)进行载入的方法,所述方法包括:a)在所述第一服务器(1)和所述第二服务器(2)之间建立(S1)经认证和经加密的第一通信信道(KK1),包括推导对所述第一服务器(1)和所述第二服务器(2)共有的会话密钥(K1),b)在所述IoT设备(3)和所述第二服务器(2)之间提供(S2)经认证和经加密的第二通信信道(KK2),包括推导对所述第二服务器(2)和所述IoT设备(3)共有的第二会话密钥(K2),c)在所述IoT设备(3)和所述第一服务器(1)之间建立(S3)经由所述第二服务器(2)运行的经认证和经加密的第三通信信道(KK3),对所述IoT设备(3)和所述第一服务器(1)共有的第三密钥(K3)被分配给所述经认证和经加密的第三通信信道,d)通过所述IoT设备(3)构成(S4)授权信息(BI1),e)通过所述IoT设备(3)借助于所述第三密钥(K3)对所构成的授权信息(BI1)以密码方式进行保护(S5),f)将以密码方式受保护的授权信息(BI2)从所述IoT设备(3)经由所述第二通信信道(KK2)传输(S6)给所述第二服务器(2),g)将以密码方式受保护的授权信息(BI2)从所述第二服务器(2)经由所述第一通信信道(KK1)传输(S7)给所述第一服务器(1),h)通过所述第一服务器(1)借助于所述第三密钥(K3)对从所述第二服务器(2)传输给所述第一服务器(1)的以密码方式受保护的授权信息(BI2)进行解密(S8),i)通过所述第一服务器(1)借助于所述第一会话密钥(K1)对经解密的授权信息(BI3)进行加密(S9),j)将利用所述第一会话密钥(K1)加密的授权信息(BI4)从所述第一服务器(1)经由所述第一通信信道(KK1)传输(S10)给所述第二服务器(2),k)通过所述第二服务器(2)对利用所述第一会话密钥(K1)加密的授权信息(BI4)进行解密(S11),1)将用于获得分配给所述IoT设备(3)的客户域的设备证书(Z6)的请求(A)从所述第二服务器(2)发送(S12)给认证机构(4),m)将所获得的设备证书(Z6)和由所述第二服务器(2)解密的授权信息(BI5)从所述第二服务器(2)经由所述第二通信信道(KK2)传输(S13)给所述IoT设备(3),和n)如果从所述第二服务器(2)传输的授权信息(BI5)对应于所构成的授权信息(BI1),则通过所述IoT设备(3)接受(S14)从所述第二服务器(2)传输的设备证书(Z6)。2.根据权利要求1所述的方法,其特征在于,所述经认证和经加密的第一通信信道(KK1)和/或所述经认证和经加密的第二通信信道(KK2)借助于KEM方法以密码方式被保护。3.根据权利要求2所述的方法,其特征在于,KEMTLS被用作KEM方法。4.根据权利要求1至3中任一项所述的方法,其特征在于,所述经认证和经加密的第三通信信道(KK3)被构造为在所述IoT设备(3)和所述第一服务器(1)之间的直接通信信道,或者
所述经认证和经加密的第三通信信道(KK3)借助于经由所示经认证和经加密的第一通信信道(KK1)和所述经认证和经加密的第二通信信道(KK2)的隧穿被构造为隧道式通信信道,其中所述第二服务器(2)尤其是鉴于步骤f)和g)被用作转发实例。5.根据权利要求1至4中任一项所述的方法,其特征在于,在执行步骤a)之前,给所述第一服务器(1)装备制造商域的根证书(Z1)、客户域的根证书(Z2)、用于所述第一服务器(1)的制造商域的用户证书(Z5)和所述第一服务器(1)的私钥(P1),所述用于所述第一服务器的制造商域的用户证书包括所述第一服务器(1)的公钥,在执行步骤a)之前,给所述第...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。