交網絡接入設備的接入申請時生成,其中,私鑰用于對設備標識進行簽名以得到設備標識的簽名值,公鑰用于生成數字證書以提供給服務器。服務器接收到網絡接入設備的接入申請時,為網絡接入設備分配產品標識,并與接收到的數字證書對應存儲,從而建立起產品標識與數字證書一對一的關系。
[0040]步驟206,根據數字證書對設備標識的簽名值進行驗證。
[0041]由于數字證書中包含公鑰私鑰對中的公鑰,而設備標識的簽名值是通過其中的私鑰對設備標識進行簽名(即加密)得到的,因此可通過數字證書中的公鑰對設備標識的簽名值進行驗證(即解密)。使得服務器可以確認請求是由該網絡接入設備發送的。
[0042]進一步的,在一個實施例中,如圖3所示,在接收網絡接入設備的請求之前,還包括:
[0043]步驟302,接收數字證書。
[0044]本實施例中,在生產網絡接入設備前,終端生成一對公鑰私鑰對,生成數字證書,該數字證書中包含公鑰。進一步的,可通過公鑰私鑰對中的私鑰對數字證書進行驗證。之后,終端向服務器提交網絡接入設備的接入申請時,提交數字證書。
[0045]步驟304,分配產品標識。
[0046]步驟306,將數字證書與產品標識對應存儲。
[0047]本實施例中,服務器接收到網絡接入設備的接入申請,為廠商分配產品標識,存儲產品標識與數字證書的對應關系,數字證書可用于在后續接收到網絡接入設備的請求時對網絡接入設備進行身份驗證,產品標識可用來找到對應的公鑰。
[0048]如圖4所示,在另一個實施例中,提供了一種驗證方法,該方法也可應用于如圖1所示的環境100中,具體包括:
[0049]步驟402,網絡接入設備讀取預先存儲的設備標識的簽名值和產品標識。
[0050]步驟404,網絡接入設備向服務器發送注冊請求,注冊請求中攜帶設備標識的簽名值和產品標識。
[0051]步驟406,服務器接收注冊請求,獲取設備標識的簽名值和產品標識。
[0052]步驟408,服務器根據產品標識獲取預先存儲的與產品標識對應的數字證書。
[0053]步驟410,服務器根據數字證書對設備標識的簽名值進行驗證。
[0054]進一步的,在一個實施例中,在步驟402之前,該驗證方法還包括:服務器接收終端發送的網絡接入設備的接入申請和數字證書;服務器分配產品標識,并將數字證書與產品標識對應存儲;服務器將產品標識下發至終端。
[0055]在一個實施例中,在服務器接收終端發送的網絡接入設備的接入申請和數字證書的步驟之前,還包括:終端生成一對公鑰私鑰對;終端生成數字證書,該數字證書中包含公鑰私鑰對中的公鑰。
[0056]進一步的,在終端生成數字證書的步驟之后還包括:終端使用公鑰私鑰對對數字證書進行驗證。
[0057]在一個實施例中,在服務器將產品標識下發至終端的步驟之后,還包括:在生產網絡接入設備時,讀取網絡接入設備的設備標識;使用公鑰私鑰對中的私鑰對設備標識進行簽名,得到設備標識的簽名值;將設備標識的簽名值和產品標識存儲在網絡接入設備的只讀存儲器中。進一步的,當網絡接入設備恢復初始設置時,設備標識的簽名值和產品標識仍存儲在只讀存儲器中。
[0058]在一個實施例中,數字證書中包含公鑰私鑰對中的公鑰;步驟410為:服務器獲取數字證書中的公鑰,使用公鑰對設備標識的簽名值進行驗證。
[0059]具體的,在一個實施例中,如圖5所示,為一個具體的實例中驗證方法所應用的系統500,廠商為生產網絡接入設備504的生產者。結合圖6所示,要實現在網絡接入設備504向服務器506進行注冊時對網絡接入設備504的身份進行驗證,具體過程如下:
[0060]步驟601:終端502生成一對公鑰私鑰對,使用公鑰生成數字證書。
[0061]生成公鑰私鑰對的終端502應為廠商擁有的私有終端,具備保密性。終端502可使用OpenSSL工具來生成公鑰私鑰對。OpenSSL工具是一個強大的安全套接字層密碼庫,囊括主要的密碼算法、常用的密鑰和證書封裝管理功能及SSL協議,并提供豐富的應用程序供測試或其它目的使用。本實施例采用不對稱加密方式,生成的一對公鑰私鑰對中,私鑰由廠商自身保存使用且負有保密責任,私鑰用于對數據加密,公鑰提供給服務器,用于對數據解密,且對于使用私鑰加密的數據,只有相應的公鑰才能解密出。
[0062]數字證書中包含公鑰,提供給服務器用于解密。優選的,終端502還可對生成的數字證書進行驗證。具體的,可使用公鑰私鑰對對數字證書進行驗證。比如,可使用私鑰對數字證書加密,然后使用公鑰對數字證書進行解密,判斷是否能解密出,等等。
[0063]步驟602:終端502發送網絡接入設備的接入申請和數字證書給服務器506。
[0064]終端502可登錄服務器506提供的網站,在該網站上向服務器506提交網絡接入設備的接入申請,并將數字證書發送給服務器506。
[0065]步驟603:服務器506分配產品標識,存儲產品標識和數字證書的對應關系。
[0066]網絡接入設備的接入申請可以是廠商對某類網絡接入設備的接入申請,也可以是廠商對某類中的某個型號的網絡接入設備的接入申請。服務器506接收到接入申請則為廠商分配產品標識,該產品標識用于后續在驗證時找到對應的公鑰。
[0067]步驟604:服務器506下發產品標識給終端502。
[0068]步驟605:生產網絡接入設備時讀取設備標識,使用私鑰對設備標識簽名。
[0069]步驟606:將設備標識的簽名值和產品標識寫入ROM中。
[0070]設備標識存儲在網絡接入設備中,用于唯一標識一臺設備,可通過API讀取得到。具體的,可通過OpenSSL工具使用私鑰來對設備標識進行簽名(即加密),得到設備標識的簽名值。進一步的,將設備標識的簽名值和產品標識寫入到網絡接入設備的ROM中,且要確保設備恢復初始設置時,寫入到ROM中的設備標識的簽名值和產品標識仍保留,不會被擦除。
[0071]步驟607:網絡接入設備504發送注冊請求,注冊請求中攜帶設備標識的簽名值和產品標識。
[0072]網絡接入設備504生產出來后,在使用過程中若要向服務器506發送注冊請求,可通過設備SDK (Software Development Kit,軟件開發工具包)調用相應的API來讀取存儲在ROM中的設備標識的簽名值和產品標識,與注冊請求一并發送到服務器506。
[0073]步驟608:服務器506根據產品標識獲取對應的數字證書,采用其中的公鑰對簽名值進行驗證。
[0074]服務器506接收到注冊請求,根據產品標識從存儲的對應關系中查找對應的數字證書,從而找到其中的公鑰,使用該公鑰對設備標識的簽名值進行解密。
[0075]步驟609:驗證通過,分配標識號。
[0076]驗證通過,服務器506可為網絡接入設備分配標識號,網絡接入設備504注冊成功,之后可以享有服務器506所提供的網絡服務。
[0077]如圖7所示,在一個實施例中,提供了一種驗證裝置,該裝置包括:
[0078]接收模塊702,用于接收網絡接入設備的請求,該請求中攜帶網絡接入設備中存儲的設備標識的簽名值和預先分配的產品標識。
[0079]獲取模塊704,用于根據產品標識獲取預先存儲的與產品標識對應的數字證書。
[0080]驗證模塊706,用于根據數字證書對設備標識的簽名值進行驗證。
[0081]進一步的,在一個實施例中,接收模塊702還用于接收數字證書,如圖8所示,該系統還包括:
[0082]分配模塊708,用于分配產品標識。
[0083]存儲模塊710,用于將數字證書與產品標識對應存儲。
[0084]在一個實施例中,數字證書包含一對公鑰私鑰對中的公鑰;設備標識的簽名值為采用該公鑰私鑰對中的私鑰對設備標識進行簽名得到的簽名值。
[0085]在一個實施例中,驗證模塊706用于獲取數字證書中的公鑰,使用公鑰對