[发明专利]装置利用云平台的安全登记

说明书

提供一种用于装置利用云平台进行安全登记的机制。这充当保护可以从云供应和管理的装置的安全的基础，例如边缘计算和物联网网关。提供一种公共密钥基础设施机制用于进行分成三个阶段的登记。安全登记过程的第一和第二阶段认证所述装置并确保所述装置符合装置制造商的制造限制。安全登记过程的第三阶段向所述装置提供长期操作证书以供云资源访问。

技术领域

本公开大体上涉及云计算，且更具体来说，涉及用于装置利用云平台进行全登记的机制。

背景技术

云计算是在共享计算资源上提供，而不是用本地服务器或个人装置来处理应用程序。云计算可以实现对可以快速供应和发布的可配置计算资源的共享池(例如，网络、服务器、存储装置、应用程序和服务)的方便和按需网络访问。通过云计算资源递送的不同的基于云的服务包括(例如)：软件即服务(SaaS)，其作为基于网络的服务提供对软件和它的功能的远程访问；平台即服务(PaaS)，其提供可以简化创建和部署软件的过程的计算平台；以及基础设施即服务(IaaS)，其提供IT基础设施，例如服务器、存储装置和通过因特网的联网。

对云计算环境来说重要的是用于确保访问各种服务的装置已登记这样做(例如，针对具有嵌入式处理器的云连接装置)的机制。每一装置具有可从云供应和管理的标识符。通过使用此标识符，云系统可确定装置被授权访问的那些资源。通常，标识符呈证书形式，其中证书密钥的私用部分安全地存储在装置中，而公开部分由证书颁发机构签名。登记包括安全地获得装置的呈数字证书形式的标识符。接着，可以使用标识符来连接到云服务。

现有登记过程仅提供单步装置认证。此类单步认证并不允许基于(例如)受信任生产商、装置制造商的生产配额、不同装置类型和装置能力等等来认证装置。希望在具有许多潜在的登记者装置(例如，IoT装置)的不均匀环境中具有此类功能性。

发明内容

根据本发明的第一方面，提供一种用于利用网络服务登记网络装置的多阶段方法，所述方法包括：

在第一阶段期间，通过所述网络装置使用在所述网络装置的制造期间存储在所述网络装置中的第一信息从第一网络服务器获取第一临时数字证书；

在第二阶段期间，通过所述网络装置使用所述第一临时数字证书和在所述网络装置的制造期间存储在所述网络装置中的第二信息从第二网络服务器获取第二临时数字证书或e令牌中的一个；以及

在第三阶段期间，通过所述网络装置使用第二临时数字证书或e令牌中的所述一个从第三网络服务器获取长期数字证书，其中所述网络装置被配置成使用所述长期数字证书与所述网络服务通信。

在一个或多个实施例中，所述第一阶段包括：

使用安全通信协议与所述第一网络服务器通信；

向所述第一网络服务器传送共享引导秘密，其中所述第一信息包括所述共享引导秘密；以及

响应于所述第一网络服务器认证所述共享引导秘密而从所述第一网络服务器接收所述第一临时数字证书。

在一个或多个实施例中，所述与所述第一网络服务器连接进一步包括：

使用登记证书颁发机构(CA)证书中的信息来建立使用所述安全通信协议的安全通信，其中所述第一信息进一步包括所述登记CA证书。

在一个或多个实施例中，所述第二阶段包括：

使用安全通信协议与所述第二网络服务器通信；

向所述第二网络服务器传送所述第一临时数字证书；

向所述第二网络服务器传送存储在所述网络装置中的所述第二信息；

响应于所述第二网络服务器认证所述第一临时数字证书和所述第二信息而从所述第二网络服务器接收所述第二临时数字证书或e令牌。