用于安全通信的方法、装置及系统与流程

本发明涉及信息技术领域，尤其涉及用于安全通信的方法、装置以及委托的受限应用协议(constrainedapplicationprotocol，coap)认证和授权框架(delegatedcoapauthenticationandauthorizationframework，dcaf)系统。

背景技术：

由于传统的超文本传输协议(hypertexttransferprotocol，http)不适用于资源受限的环境，因此互联网工程任务组(internetengineeringtaskforce，ietf)针对这样的受限环境制定了一种应用层协议，即coap，使得受限环境中的受限节点能够在互联网上进行通信。

而针对受限节点通信的安全问题，ietf最近起草了dcaf文档。在dcaf文档中，描述了一种dcaf系统，在该系统中通过引入较少的节点来帮助受限节点进行与授权相关的任务。在dcaf系统中，这样的较少的节点可以被称为授权管理器。这些授权管理器能够针对其管理的节点执行复杂的安全任务(例如管理大量设备的密钥)，从而使得受限节点能够实现授权策略。授权管理器可以包括用于管理客户端授权信息的客户端授权管理器(clientauthorizationmanager，cam)和用于管理器服务器授权信息的服务器授权管理器(serverauthorizationmanager，sam)。在执行与授权相关的任务时，sam与服务器之间需要传递一些授权信息。然而，dcaf文档并没有给出如何在sam与服务器之间安全地传递信息的具体实现方案。

技术实现要素：

考虑到现有技术的上述问题，本发明的实施例提供了用于安全通信的方法、装置及系统，有效地实现了dcaf系统中服务器与sam的安全通信。

本发明的一个实施例提供了一种用于安全通信的方法，包括：在确定允许客户端访问服务器的情况下，生成用于所述服务器对所述客户端进行认证的访问授权信息；获取密钥，其中，所述密钥是根据服务器授权管理器和所述服务器共用的密钥生成算法来生成的，所述服务器授权管理器和所述服务器属于委托的受限应用协议认证和授权框架dcaf系统；使用所述密钥对所述访问授权信息进行加密；以及向所述客户端发送经加密的访问授权信息。

其中，所述获取密钥进一步包括：利用动态令牌装置来生成所述密钥。

本发明的另一实施例提供了一种用于安全通信的方法，包括：从客户端接收经加密的访问授权信息，所述访问授权信息用于服务器对所述客户端进行认证；获取密钥，其中，所述密钥是根据服务器授权管理器和所述服务器共用的密钥生成算法来生成的，所述服务器授权管理器和所述服务器属于委托的受限应用协议认证和授权框架dcaf系统；使用所述密钥对所述经加密的访问授权信息进行解密；以及根据经解密的访问授权信息来对所述客户端进行认证。

其中，所述获取密钥进一步包括：利用动态令牌装置来生成所述密钥。

本发明的另一实施例提供了一种用于安全通信的装置，包括：生成模块，用于在确定允许客户端访问服务器的情况下，生成用于所述服务器对所述客户端进行认证的访问授权信息；获取模块，用于获取密钥，其中，所述密钥是根据所述服务器授权管理器和所述服务器共用的密钥生成算法来生成的，所述服务器授权管理器和所述服务器属于委托的受限应用协议认证和授权框架dcaf系统；加密模块，用于使用所述密钥对所述访问授权信息进行加密；以及发送模块，用于向所述客户端发送经加密的访问授权信息。

其中，所述获取模块进一步用于：利用动态令牌装置来生成所述密钥。

本发明的另一实施例提供了一种用于安全通信的装置，包括：接收模块，用于从客户端接收经加密的访问授权信息，所述访问授权信息用于所述服务器对所述客户端进行认证；获取模块，用于获取密钥，其中，所述密钥是根据服务器授权管理器和所述服务器共用的密钥生成算法来生成的，所述服务器授权管理器和所述服务器属于委托的受限应用协议认证和 授权框架dcaf系统；解密模块，用于使用所述密钥对所述经加密的访问授权信息进行解密；以及认证模块，用于根据经解密的访问授权信息来对所述客户端进行认证。

其中，所述获取模块进一步用于：利用动态令牌装置来生成所述密钥。

本发明的另一实施例提供了一种委托的受限应用协议认证和授权框架系统，包括：服务器授权管理器、服务器、客户端以及客户端授权管理器。其中，所述服务器授权管理器用于向所述客户端授权管理器发送经加密的访问授权信息，所述客户端授权管理器用于在从所述服务器授权管理器接收所述经加密的访问授权信息之后，向所述客户端发送所述经加密的访问授权信息。

从上述可以看出，本发明实施例提供了dcaf系统中服务器与sam的安全通信方案，无需服务器与sam之间进行密钥交互，从而能够节省信令开销，提升系统性能。

附图说明

本发明的其它特征、特点、优点和益处通过以下结合附图的详细描述将变得更加显而易见。

图1是根据本发明一个实施例的dcaf系统的示意图。

图2是根据本发明一个实施例的用于安全通信的方法的流程图。

图3是根据本发明另一实施例的用于安全通信的方法的流程图。

图4是根据本发明一个实施例的用于安全通信的装置的示意图。

图5是根据本发明一个实施例的用于安全通信的装置的示意图。

图6是根据本发明一个实施例的sam的示意图。

图7是根据本发明一个实施例的服务器的示意图。

具体实施方式

下面，将参照附图详细描述本发明的各个实施例。

图1是根据本发明一个实施例的dcaf系统的示意图。如图1所示，dcaf系统100可以包括客户端110、服务器120、cam130和sam140。 服务器120可以具有coap资源。客户端110可以对服务器120上的coap资源进行访问。cam130可以管理针对客户端110的认证和授权数据。sam140可以管理针对服务器120的认证和授权数据。

客户端110在需要访问服务器120上的coap资源时，可以向服务器120发送初始非授权资源请求消息。服务器120在接收到该消息后，将拒绝该请求，并向客户端110返回其对应的sam140的地址。

客户端110在接收到sam140的地址后，可以向其对应的cam130发送授权请求。cam130可以根据该授权请求，确定客户端110所请求的动作是否被允许。如果被允许的话，cam130可以向sam140发送标签请求消息(ticketrequestmessage)。

sam140在接收到标签请求消息之后，可以评估其中所包括的访问请求信息。在确定允许客户端110访问服务器120之后，sam140可以生成包含访问标签(accessticket)的标签准许消息(ticketgrantmessage)。访问标签可以包括用于服务器120对客户端110进行认证的访问授权信息。如dcaf文档中所定义的，访问标签可以包括face部分。该访问授权信息可以包括在face部分中。为了确保通信的安全性，sam140可以利用密钥对face部分进行加密。然后，sam140可以向cam130发送该消息。

cam130在接收到标签准许消息之后，可以通过标签传递消息(tickettransfermessage)，将访问标签发送给客户端110。然后，客户端110可以将访问标签中的face部分发送给服务器120。

服务器120从客户端110接收到face部分之后，可以利用密钥对face部分进行解密，从而获得经解密的访问授权信息。服务器120可以根据经解密的访问授权信息，对客户端120进行认证和授权。这样，客户端110与服务器120之间可以建立安全信道。通过该安全信道，客户端110可以访问服务器120上的coap资源。

在上述过程中，sam140进行加密的密钥和服务器120进行解密的密钥可以是根据sam140和服务器120共用的密钥生成算法而生成的。这样，可以确保sam140和服务器120利用相同的密钥分别执行加密和解密操作，从而避免了密钥交互过程，能够节省信令开销。

在一种实施方式中，sam140与服务器120共享的密钥可以是静态密钥。例如，该密钥可以是sam140与服务器120利用二者共用的密钥生成算法而预先生成的，并存储在各自的存储器中。这种方式实现简单，成本低。

在另一种实施方式中，sam140与服务器120共享的密钥可以是动态密钥。该密钥可以利用动态令牌装置来生成。例如，服务器120侧的动态令牌装置和sam140侧的动态令牌装置可以同步地生成相同的令牌。这样，所生成的令牌可以用作服务器120和sam140之间的共享密钥。在本发明实施例中，可以采用现有技术中任一种动态令牌装置。这种方式相比静态密钥而言，更能够保证信息的安全性。

从上述可以看出，本发明实施例提供了dcaf系统中服务器与sam的安全通信方案，无需服务器与sam之间进行密钥交互，从而能够节省信令开销，提升系统性能。

现在参照图2，其是根据本发明一个实施例的用于安全通信的方法的流程图。例如，图2的方法可以由上述图1中的sam140来执行。

如图2所示，该方法包括以下步骤：

步骤210，在确定允许客户端访问服务器的情况下，生成用于服务器对客户端进行认证的访问授权信息。

步骤220，获取密钥，其中，该密钥是根据sam和服务器共用的密钥生成算法来生成的，sam和服务器属于dcaf系统。

步骤230，使用密钥对访问授权信息进行加密。

步骤240，向客户端发送经加密的访问授权信息。

在一种实施方式中，在步骤220中，可以利用动态令牌装置来生成上述密钥。

现在参照图3，其是根据本发明一个实施例的用于安全通信的方法的流程图。例如，图3的方法可以由上述图1中的服务器120来执行。

如图3所示，该方法包括以下步骤：

步骤310，从客户端接收经加密的访问授权信息，访问授权信息用于服务器对客户端进行认证。

步骤320，获取密钥，其中，该密钥是根据sam和服务器共用的密钥生成算法来生成的，sam和服务器属于dcaf系统。

步骤330，使用密钥对经加密的访问授权信息进行解密。

步骤340，根据经解密的访问授权信息来对客户端进行认证。

在一种实施方式中，在步骤320中，可以利用动态令牌装置来生成上述密钥。

现在参照图4，其是根据本发明一个实施例的用于安全通信的装置的示意图。图4所示的装置400可以利用软件、硬件(例如集成电路或dsp等)或软硬件结合的方式来实现。图4的装置400的一个例子可以是上述sam140。

如图4所示，装置400可以包括生成模块410、获取模块420、加密模块430和发送模块440。

生成模块410用于在确定允许客户端访问服务器的情况下，生成用于服务器对客户端进行认证的访问授权信息。获取模块420用于获取密钥，其中，密钥是根据sam和服务器共用的密钥生成算法来生成的，sam和服务器属于dcaf系统。加密模块430用于使用密钥对访问授权信息进行加密。发送模块440用于向客户端发送经加密的访问授权信息。

在一种实施方式中，获取模块420可以进一步用于利用动态令牌装置来生成上述密钥。

现在参照图5，其是根据本发明一个实施例的服务器的示意图。图5所示的装置500可以利用软件、硬件(例如集成电路或dsp等)或软硬件结合的方式来实现。图5的装置500的一个例子可以是上述服务器120。

如图5所示，装置500可以包括接收模块510、获取模块520、解密模块530和认证模块540。

接收模块510用于从客户端接收经加密的访问授权信息，访问授权信息用于服务器对客户端进行认证。获取模块520用于获取密钥，其中，该 密钥是根据sam和服务器共用的密钥生成算法来生成的，sam器和服务器属于dcaf系统。解密模块530用于使用密钥对经加密的访问授权信息进行解密。认证模块540用于根据经解密的访问授权信息来对客户端进行认证。

在一种实施方式中，获取模块520可以进一步用于利用动态令牌装置来生成上述密钥。

现在参见图6，其是根据本发明一个实施例的sam的示意图。如图6所示，sam600可以包括用于存储可执行指令的存储器610和与存储器610连接的处理器620，其中，处理器620可以执行前述sam400的各个模块所执行的操作。

现在参见图7，其是根据本发明一个实施例的服务器的示意图。如图7所示，服务器700可以包括用于存储可执行指令的存储器710和与存储器710连接的处理器720，其中，处理器720可以执行前述服务器500的各个模块所执行的操作。

本发明实施例还提供一种机器可读介质，其上存储可执行指令，当该可执行指令被执行时，使得机器实现处理器620的操作。

本发明实施例还提供另一种机器可读介质，其上存储可执行指令，当该可执行指令被执行时，使得机器实现处理器720的操作。

上文通过附图和优选实施例对本发明进行了详细展示和说明，然而本发明不限于这些已揭示的实施例，本领域技术人员从中推导出来的其它方案也在本发明的保护范围之内。