CN101983493A - 确保家用网络中的通信安全的方法及其装置 - Google Patents
确保家用网络中的通信安全的方法及其装置 Download PDFInfo
- Publication number
- CN101983493A CN101983493A CN2009801120436A CN200980112043A CN101983493A CN 101983493 A CN101983493 A CN 101983493A CN 2009801120436 A CN2009801120436 A CN 2009801120436A CN 200980112043 A CN200980112043 A CN 200980112043A CN 101983493 A CN101983493 A CN 101983493A
- Authority
- CN
- China
- Prior art keywords
- controlled device
- pin
- control device
- agreement
- cipher key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2803—Home automation networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Automation & Control Theory (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Telephonic Communication Services (AREA)
- Small-Scale Networks (AREA)
- Selective Calling Equipment (AREA)
- Computer And Data Communications (AREA)
Abstract
由于家用网络不依靠中央管理的基本设施而动态地建立,因此存在对于实现一种密钥分发方案而不假设存在受信任的第三方的需要。在家用网络中,控制器通过受控装置和使用从用户输入的受控装置的PIN的TLS-PSK协议来创建注册SAC(安全认证信道),通过所述信道共享秘密密钥,并且通过经由使用共享的秘密密钥的TLS-PSK协议创建的服务SAC使用受控装置的服务。
Description
技术领域
本发明涉及家用网络(home network),且更具体地,涉及一种用于确保家用网络中的控制装置和受控装置之间的通信安全的方法和装置。
背景技术
由于家用网络技术的发展,各种类型的家用设备能够访问数字信息,并且用户可以通过使用各种类型的家用设备来使用从家用网络提供的服务。
然而,没有安全架构,包括用户个人数据的数字信息可能被曝露于恶意攻击者面前。通常,公共密钥加密系统提供机密性和完整性,但是如果不存在受信任的第三方,则密钥的分发易受中间人(man-in-the-middle)的攻击
通常,由于家用网络不依靠由中央管理控制的基本设施而是动态建立,因此有必要实现一种密钥分发方案,而无需假设存在受信任的第三方。
例如,不应当允许从家用网络外部进入的控制点(Control Point,CP)基于通用即插即用(UPnP)网络无限制地使用从家用网络中的所有家用设备中提供的服务。
发明内容
技术方案
本实施例提供了一种用于确保家用网络中的控制装置和受控装置之间的通信安全的方法和装置。
有利效果
根据本实施例,能够容易地实现确保家用网络中的通信安全的框架。
最佳模式
附加方面和/或优点将在随后的描述中部分地阐述,并且部分地从所述描述中显而易见,或者可以通过本发明的实践来获知。
通过提供一种使得家用网络中的控制装置与受控装置之间能够安全通信的方法来实现前述和/或其它方面,所述方法包括:使用产品识别码(PIN)通过传输层安全预共享密钥密码组(TLS-PSK)协议,建立与受控装置的注册安全认证信道(SAC),所述PIN是在制造时给予受控装置的标识符;建立私有密钥;和经由注册SAC与受控装置共享所述私有密钥,以便在受控装置中注册控制装置。
所述方法可以还包括:当在注册执行之后再次发现受控装置时,通过使用利用共享的私有密钥实现的TLS-PSK协议来建立与受控装置的服务SAC。
建立SAC可以包括:通过利用使用由控制装置任意生成的值作为会话识别符(ID)的TLS会话恢复协议来实现TLS-PSK协议,其中TLS会话恢复协议的ClientHello消息可以包括指示通过使用TLS会话恢复协议来实现要使用的TLS-PSK协议的信息。
所述方法还可以包括:经由使用私有密钥建立的服务SAC将其中注册了控制装置的受控装置的PIN发送到受控装置,并且从受控装置接收受控装置中存储的PIN,以便与受控装置同步控制装置的PIN列表,通过使用PIN建立注册SAC的操作可以包括:当受控装置被发现时,确定受控装置的PIN是否存在于控制装置的PIN列表中,并且当确定受控装置的PIN不存在于PIN列表中时,经由用户接口请求受控装置的PIN。
所述方法可以还包括:根据经由用户接口输入的命令从控制装置删除私有密钥。
所述方法还可以包括:根据经由用户接口输入的命令,从受控装置中删除私有密钥。
所述方法还可以包括:根据经由用户接口输入的命令,通过使用私有密钥建立的服务SAC来从存储在受控装置中的私有密钥中删除至少一个私有密钥。
通过提供一种其上记录有使得计算机执行所述方法的计算机程序的记录介质来实现前述和/或其它方面。
通过提供一种使得家用网络中的控制装置与受控装置之间能够安全通信的装置来实现前述和/或其它方面,所述装置包括:注册信道建立单元,用于使用PIN通过TLS-PSK协议建立与受控装置的注册SAC,所述PIN是在制造时给予受控装置的标识符;和注册执行单元,用于生成私有密钥,并经由注册SAC与受控装置共享所述私有密钥,以便在受控装置中注册控制装置。
附图说明
图1是根据实施例的控制装置控制受控装置的过程的流程图;
图2是根据另一实施例的在受控装置中注册控制装置的方法的流程图;
图3是根据另一实施例的通过在受控装置中注册的控制装置控制受控装置的方法的流程图;
图4是根据另一实施例的、通过使用TLS会话恢复协议实现传输层安全预共享密钥密码组(TLS-PSK)协议的方法的流程图;
图5是用于描述根据另一实施例的管理产品识别码(PIN)的方法的框图;
图6是根据另一实施例的管理PIN的控制装置的操作过程的流程图;和
图7是根据实施例的控制装置的结构的框图。
具体实施方式
图1是根据实施例的控制装置控制受控装置的过程的流程图。
根据当前实施例,受控装置经由作为安全服务信道的安全认证信道(Secure Authenticated Channel,SAC)仅向在受控装置中注册的控制装置提供服务。因此,受控装置应当注册认证的控制装置,并且所述注册也应当能够经由作为安全注册信道的SAC来执行。
例如,控制装置可以是通用即插即用(UPnP)网络中的控制点(CP),并且该受控装置可以是可被设计来经由SAC仅向注册CP提供预定的特定服务的UPnP设备。而且,为了实现实施例,可以在UPnP设备中定义新动作。
在操作110中,控制装置根据例如传输层安全预共享密钥密码组(TLS-PSK)协议通过使用产品识别码(PIN)来建立SAC。PIN可以指示在制造时给予受控装置的标识符。这样的PIN可被内部或外部地记录在受控装置中,或者可被分离地提供给购买该受控装置的用户。
TLS是在因特网通信安全中使用的协议。TLS-PSK协议被设计来通过使用预共享对称密钥,而不使用公共密钥证书来实现TLS,并且避免使用公共密钥的验证过程所需的复杂计算。可以根据TLS-PSK协议通过控制装置和受控装置来建立SAC。分别在请求注解(Request for Comments,RFC)4346和RFC 4279中定义TLS和TLS-PSK协议,因而此处将省略对其的详细描述。
在操作120中,控制装置经由作为安全注册信道的已建立的SAC在受控装置中注册该控制装置自身。控制装置在受控装置中注册的事实意味着控制装置经由SAC向受控装置发送由控制装置自身生成的私有密钥。也就是,当注册过程结束时,控制装置和受控装置共享同一私有密钥。
在操作130中,控制装置和受控装置通过使用利用共享的私有密钥实现的TLS-PSK协议来建立SAC。在操作110中建立的SAC是用于在受控装置中注册控制装置的注册信道,并且在操作130中建立的SAC是用于向在受控装置中注册的控制装置提供受控装置的服务以便控制受控装置的服务信道。
在操作140中,控制装置经由在操作130中建立的SAC而控制受控装置。
图2是根据另一实施例的在受控装置中注册控制装置的方法的流程图。也就是,在当前实施例中,假设控制装置仍未在控制装置中注册。
在操作201中,控制装置发现受控装置。例如,操作201对应于UPnP网络中根据简单服务发现协议(SSDP)的发现。
在操作202中,控制装置向受控装置请求已注册控制装置的列表。对于该请求,可以在UPnP设备中定义新动作。
在操作203中,受控装置向控制装置发送已注册控制装置的列表。在当前实施例中,假设控制装置仍未在受控装置中注册,且因此控制装置经由用户接口向用户请求受控装置的PIN。
在操作204中,控制装置经由用户接口从用户接收受控装置的PIN。因此,PIN在控制装置和受控装置之间共享。
在操作205中,控制装置和受控装置通过使用利用共享的PIN实现的TLS-PSK协议来建立SAC。所建立的SAC是用于在受控装置中注册控制装置的注册信道。
在操作206中,控制装置任意地生成私有密钥。
在操作207中,控制装置经由SAC向受控装置发送私有密钥。
在操作208中,受控装置存储私有密钥。如此一来,私有密钥在控制装置与受控装置之间共享并且后来被用于通过使用TLS-PSK协议来建立服务信道。
同时,用户可以试图禁止控制装置控制用户选择的受控装置。在这点上,现在将在操作209和210中描述取消用户选择的受控装置的过程。
在操作209中,用户经由控制装置的用户接口输入关于用户选择的受控装置的取消命令。为了使得用户能够识别受控装置,可以在用户接口上显示受控装置的友好的名称或型号。
在操作210中,控制装置删除关于用户选择的受控装置的信息,包括设备ID、私有密钥等等。
图3是根据另一实施例的通过在受控装置中注册的控制装置来控制受控装置的方法的流程图。在当前实施例中,假设控制装置已在受控装置中注册。
在操作301中,控制装置发现受控装置。
在操作302中,控制装置向受控装置请求已注册控制装置的列表。
在操作303中,受控装置向控制装置发送已注册控制装置的列表。
在操作304中,控制装置参考已注册控制装置的列表,从而对控制装置自身在已注册控制装置的列表中注册进行检查。为了示出已注册控制装置,可以在已注册控制装置的列表中使用已注册控制装置的设备ID。对于设备ID,可以使用能够用于标识设备的任何唯一值。例如,可以使用已注册控制装置的媒体访问控制(MAC)地址。
在操作305中,控制装置和受控装置通过使用利用所存储的私有密钥实现的TLS-PSK协议来建立SAC。控制装置在受控装置中注册的事实意味着控制装置和受控装置已共享私有密钥。
在操作306中,控制装置经由在操作305中建立的SAC使用受控装置的服务。
同时,用户可以从受控装置中注册的控制装置中取消用户选择的控制装置。现在将关于操作307到309来描述该取消过程。
在操作307中,用户经由控制装置的用户接口输入与在受控装置中注册的控制装置中的用户选择的控制装置相关的取消命令。为了使得用户能够识别已注册控制装置,可以在用户接口上友好地显示已注册控制装置的名称或型号。
在操作308中,控制装置经由在操作305中建立的SAC向受控装置请求取消用户选择的控制装置。这样的取消服务可被包含在由受控装置提供的服务中,并且可在UPnP中被定义为新动作。因此,可以仅经由服务信道实现来自控制装置的取消请求。
在操作309中,受控装置删除关于用户选择的控制装置的信息,包括用户选择的控制装置的ID、受控装置与用户选择的控制装置之间共享的私有密钥等。因此,用户选择的控制装置不再与受控装置共享私有密钥,并且用户选择的控制装置不能建立与受控装置的服务信道,并且不能使用受控装置的服务。
图4是根据本发明另一实施例的通过使用TLS会话恢复协议实现TLS-PSK协议的方法的流程图。
TLS-PSK可以根据RFC 4279来实现。然而,目前,大多数实现TLS 1.1的设备不支持RFC 4279。因此,在不支持RFC 4279的设备中有必要实现TLS-PSK,以便利用TLS协议最小化现有设备的协议栈中的变化。在当前实施例中,现在将描述通过使用TLS会话恢复协议来实现TLS-PSK的方法。
当服务器和客户端经由TLS完成认证时,会话结束。之后,当会话恢复时,会话恢复协议被用来通过使用会话ID来省略认证过程,以便不重复执行公共密钥计算(例如Rivest-Shamir-Adleman(RSA)算法)。
在操作401中,控制装置向受控装置发送会话ID、密码和随机数R1。这时,控制装置任意地选择会话ID。例如,控制装置的ID和/或受控装置的ID可被用作会话ID。
例如,这样的信息被包含在会话恢复协议的ClientHello消息中,并且随后被发送到受控装置。因此,ClientHello消息可以包括指示通过使用TLS会话恢复协议来实现要使用的TLS-PSK协议的信息。例如,所述信息可被包含在密码(密码组)或会话ID中。
在操作402中,根据ClientHello消息中包含的信息,受控装置认识到控制装置请求通过使用TLS会话恢复协议实现的TLS-PSK协议。因此,受控装置不确定会话ID的有效性,而是向控制装置发送等于所接收的会话ID的会话ID、密码、随机数R2和散列值(S,控制装置ID,受控装置ID,R1,和R2)。此处,S指示在TLS会话恢复协议中用作PreMasterSecret的值,并且在当前实施例中,由用户输入的受控装置的PIN被分配给S值。在操作402中,根据接收到的散列值,控制装置可以认识到受控装置具有PreMasterSecretS。
在操作403中,控制装置计算散列值(S,R1,和R2)以向受控装置通知控制装置自身也具有PreMasterSecret S,并且随后将计算结果发送到受控装置。
在操作404中,受控装置向控制装置发送Finished消息以向控制装置通知已经成功地结束协议的使用。
图5是用于描述根据另一实施例的管理PIN的方法的框图。
根据实施例,不论何时控制装置或受控装置在家用网络中变化,用户都必须检测受控装置的PIN以便执行注册过程并经由控制装置的用户接口输入PIN。当前实施例被展示为减少这样的不便。
在当前实施例中,所有控制装置和受控装置管理PIN列表。不论何时控制装置在受控装置中注册,两个PIN列表都同步。每个PIN列表可以包括以表格形式显示的信息,在该表格中受控装置的ID和PIN映射。将参考图5来对其进行详细描述。
用户首先在受控装置1 530中注册控制装置1 510。也就是,受控装置1530的PIN被记录在控制装置1 510的PIN列表520中。这时,受控装置1 530也在PIN列表535中记录它自己的PIN。
接着,用户在受控装置2 540中注册控制装置1 510。因此,受控装置2 540的PIN被添加到控制装置1 510的PIN列表520。这时,控制装置1 510将PIN列表520与受控装置2 540的PIN列表545同步。因此,受控装置1 530的PIN与受控装置2 540的PIN被记录在受控装置2 540的PIN列表545中。
以这种方式,当控制装置1 510在所有受控装置1 530、受控装置2 540到受控装置N 550中被注册时,如图5所示,控制装置1 510的PIN列表520和受控装置N 550的PIN列表555具有N个受控装置的全部PIN。
之后,用户通过使用作为新控制装置的控制装置2 570连接到家用网络。为了在受控装置N 550中注册控制装置2 570,用户经由控制装置2 570的用户接口输入受控装置N 550的PIN。
当控制装置2 570在受控装置N 550中被注册时,控制装置2 570和受控装置N 550同步它们的PIN列表。由于N个受控装置的全部PIN已被记录在受控装置N 550的PIN列表555中,因此N个受控装置的全部PIN也被记录在控制装置2 570的PIN列表575中。
之后,当用户在其它受控装置、诸如受控装置1 530中注册控制装置2 570时,用户不必在控制装置2 570中输入受控装置1 530的PIN。这是因为受控装置1 530的PIN已被记录在控制装置2 570的PIN列表575中。
图6是根据另一实施例的管理PIN的控制装置的操作过程的流程图。
在操作610中,控制装置从受控装置接收已注册控制装置的列表。
在操作620中,控制装置检查控制装置自身的设备ID是否被包含在列表中记录的设备ID中,从而确定控制装置自身是否在受控装置中注册。如果已注册,则操作过程进行到操作680。然而,如果未注册,则操作过程进行到操作630。
在操作680中,控制装置提取所存储的私有密钥。这是因为控制装置在受控装置中注册的事实意味着控制装置和受控装置已共享私有密钥。
在操作690中,控制装置和受控装置通过使用利用私有密钥实现的TLS-PSK协议来建立SAC。所建立的SAC是服务信道,用于使用受控装置的服务。
在操作630和640中,控制装置扫描PIN列表以便检测受控装置的PIN。如果受控装置的PIN存在于控制装置的PIN列表中,则操作过程进行到操作660,但是如果受控装置的PIN不存在,则操作过程进行到操作650。
在操作650中,控制装置经由用户接口从用户接收受控装置的PIN。
在操作660中,控制装置和受控装置通过使用利用共享的PIN实现的TLS-PSK协议来建立SAC。所建立的SAC被用来在受控装置中注册控制装置。
在操作670中,控制装置经由在操作660中建立的SAC将私有密钥发送到受控装置,从而执行注册过程。如上所述,控制装置可以任意地生成私有密钥。
在操作675中,控制装置和受控装置经由在操作660中建立的SAC来同步它们的PIN列表。因此,控制装置和受控装置具有相同的PIN列表。上面已经描述了操作690。
图7是根据本发明的实施例的控制装置700的结构的框图。
如图7所示,根据当前实施例的控制装置700包括用户接口710、控制装置取消单元720、受控装置取消单元730、注册信道建立单元740、存储单元750、注册执行单元760、服务信道建立单元770和PIN列表同步单元780。注册信道建立单元740包括PIN扫描单元741和PIN输入单元742。
用户接口710从用户接收控制装置取消命令、受控装置取消命令、控制装置700的PIN等,并且显示待向用户通知的各种信息。
注册信道建立单元740通过使用利用从用户输入的受控装置的PIN实现的TLS-PSK协议来建立与受控装置(未示出)的SAC。注册信道建立单元740使用任意选择的值作为TLS会话恢复协议中的会话ID,以通过使用TLS会话恢复协议来实现TLS-PSK协议。这时,ClientHello消息可以包括指示通过使用TLS会话恢复协议来实现TLS-PSK协议的信息。
当发现受控装置时,PIN扫描单元741扫描在存储单元750中存储的PIN列表,以检查控制装置700的PIN是否存在于该PIN列表中。如果控制装置700的PIN不存在于该PIN列表中,则PIN输入单元742经由用户接口710从用户接收PIN。
注册执行单元760生成私有密钥并将该私有密钥存储在存储单元750中,并且经由注册信道建立单元740建立的SAC将所生成的私有密钥安全地发送到受控装置,从而在受控装置中注册控制装置700。
服务信道建立单元770通过使用利用在控制装置700与受控装置之间共享的私有密钥实现的TLS-PSK协议来建立与受控装置的SAC。
当控制装置700的注册完成时,PIN列表同步单元780与受控装置同步PIN列表,并且将PIN列表存储在存储单元750中。
当用户经由用户接口710输入关于特定受控装置的取消命令时,控制装置取消单元720从存储单元750中删除关于该特定受控装置的信息,包括设备ID、共享的私有密钥等等。
当用户经由用户接口710输入关于在受控装置中注册的特定控制装置的取消命令时,受控装置取消单元730向受控装置请求经由通过服务信道建立单元770建立的SAC来取消该特定控制装置。当接收这样的请求时,受控装置删除关于该特定控制装置的信息,包括设备ID、受控装置与该特定控制装置之间共享的私有密钥等等。
根据本实施例,能够容易地实现确保家用网络中的通信安全的架构。
所述实施例可被编写为计算机程序并且可在使用计算机可读介质执行程序的通用数字计算机中实现。
计算机可读介质的示例包括诸如磁存储介质(例如ROM、软盘、硬盘等等)和光学记录介质(例如CD-ROM或DVD)的计算机可读记录介质以及诸如载波(例如通过因特网的传输)的介质。
尽管参考本发明的实施例已经具体地示出并描述了本发明,但是本领域的普通技术人员将会理解,其中可以进行形式和细节上的各种变化,而不背离如所附权利要求定义的本发明的精神和范畴。实施例应当被认为仅是描述意义上的,而不是用于限制意图。因此,本发明的范畴并不由本发明的详细描述来限定,而是由所附权利要求来限定,并且所述范畴之内的所有差异应当被理解为包含在本发明内。
Claims (17)
1.一种使得家用网络中的控制装置与受控装置之间能够安全通信的方法,所述方法包括步骤:
使用所述受控装置的标识符通过协议来建立与所述受控装置的注册安全认证信道(SAC);
生成私有密钥;和
经由所述注册SAC与所述受控装置共享所述私有密钥,以在所述受控装置中注册所述控制装置。
2.根据权利要求1的方法,其中,所述协议是传输层安全预共享密钥密码组(TLS-PSK)协议。
3.如权利要求2所述的方法,其中,所述标识符是产品识别码(PIN)。
4.如权利要求3所述的方法,还包括步骤:当在执行注册之后再次发现所述受控装置时,通过使用利用所述共享的私有密钥实现的TLS-PSK协议来建立与所述受控装置的服务SAC。
5.如权利要求2所述的方法,其中,建立SAC的步骤包括步骤:通过使用利用由所述控制装置任意生成的值作为会话标识符的TLS会话恢复协议来实现所述TLS-PSK协议,所述TLS会话恢复协议的ClientHello消息包括指示通过使用所述TLS会话恢复协议来实现要使用的TLS-PSK协议的信息。
6.如权利要求4所述的方法,还包括步骤:经由使用所述私有密钥建立的注册SAC将其中注册了所述控制装置的受控装置的PIN发送到所述受控装置,并且从所述受控装置接收存储在所述受控装置中的PIN以与所述受控装置同步所述控制装置的PIN列表,
其中,通过使用PIN来建立注册SAC的步骤包括步骤:当发现所述受控装置时,确定所述受控装置的PIN是否存在于所述控制装置的PIN列表中,并且作为确定的结果,当所述受控装置的PIN不存在于所述PIN列表中时,当所述受控装置的PIN被确定为不存在于所述控制装置的PIN列表中时经由用户接口请求所述受控装置的PIN。
7.如权利要求1所述的方法,还包括步骤:根据经由用户接口输入的命令从所述控制装置中删除所述私有密钥。
8.如权利要求4所述的方法,还包括步骤:根据经由用户接口输入的命令,通过使用所述私有密钥建立的所述服务SAC从存储在所述受控装置中的私有密钥中删除至少一个私有密钥。
9.如权利要求1所述的方法,其中,所述受控装置的标识符是在制造时被给予的。
10.一种其上记录有使得计算机执行权利要求1所述的方法的计算机程序的记录介质。
11.一种使得家用网络中的控制装置与受控装置之间能够安全通信的装置,所述装置包括:
注册信道建立单元,用于使用产品识别码(PIN)通过TLS-PSK协议建立与所述受控装置的注册安全认证信道(SAC),所述PIN是在制造时给予所述受控装置的标识符;和
注册执行单元,用于生成私有密钥,经由所述注册SAC与所述受控装置共享所述私有密钥,以在所述受控装置中注册所述控制装置。
12.根据权利要求11的装置,还包括:服务信道建立单元,用于当在执行注册之后再次发现所述受控装置时,通过利用所述私有密钥的TLS-PSK协议建立与所述受控装置的服务SAC。
13.如权利要求11所述的装置,其中,所述注册信道建立单元通过使用利用由所述控制装置任意生成的值作为会话标识符(ID)的TLS会话恢复协议来实现TLS-PSK协议,所述TLS会话恢复协议的ClientHello消息包括指示通过使用所述TLS会话恢复协议来实现要使用的TLS-PSK协议的信息。
14.如权利要求13所述的装置,其中,所述控制装置的标识符和/或所述受控装置的标识符被用作所述会话ID。
15.如权利要求12所述的装置,还包括:PIN列表同步单元,用于经由使用所述私有密钥建立的所述服务SAC将其中注册了所述控制装置的受控装置的PIN发送到所述受控装置,并且从所述受控装置接收存储在所述受控装置中的PIN以便与所述受控装置同步所述控制装置的PIN列表,
其中,所述注册信道建立单元包括:PIN扫描单元,用于当发现所述受控装置时,确定所述受控装置的PIN是否存在于所述控制装置的PIN列表中;和PIN输入单元,用于当所述受控装置的PIN被确定为不存在于所述控制装置的PIN列表中时,经由用户接口请求所述受控装置的PIN。
16.如权利要求11所述的装置,还包括:受控装置取消单元,用于根据经由用户接口输入的命令从所述控制装置中删除所述私有密钥。
17.如权利要求11所述的装置,还包括:控制装置取消单元,用于根据经由用户接口输入的命令,通过使用所述私有密钥建立的所述服务SAC从存储在所述受控装置中的私有密钥中删除至少一个私有密钥。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US2496708P | 2008-01-31 | 2008-01-31 | |
| US61/024,967 | 2008-01-31 | ||
| KR20080069749A KR101495722B1 (ko) | 2008-01-31 | 2008-07-17 | 홈 네트워크에서의 통신 보안성을 보장하는 방법 및 이를위한 장치 |
| KR10-2008-0069749 | 2008-07-17 | ||
| PCT/KR2009/000468 WO2009096738A2 (ko) | 2008-01-31 | 2009-01-30 | 홈 네트워크에서의 통신 보안성을 보장하는 방법 및 이를 위한 장치 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101983493A true CN101983493A (zh) | 2011-03-02 |
| CN101983493B CN101983493B (zh) | 2014-11-19 |
Family
ID=41205148
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200980112043.6A Expired - Fee Related CN101983493B (zh) | 2008-01-31 | 2009-01-30 | 确保家用网络中的通信安全的方法及其装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8464055B2 (zh) |
| EP (1) | EP2239881B1 (zh) |
| KR (1) | KR101495722B1 (zh) |
| CN (1) | CN101983493B (zh) |
| WO (1) | WO2009096738A2 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102186172A (zh) * | 2011-04-13 | 2011-09-14 | 北京理工大学 | 用于共享密钥生成的自适应无线信道状态扫描方法 |
| CN104581723A (zh) * | 2014-12-10 | 2015-04-29 | 杭州赫智电子科技有限公司 | 一种客户端设备联网信息数据的应用方法及装置 |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10057239B2 (en) | 2009-12-17 | 2018-08-21 | Pulse Secure, Llc | Session migration between network policy servers |
| US9026784B2 (en) * | 2012-01-26 | 2015-05-05 | Mcafee, Inc. | System and method for innovative management of transport layer security session tickets in a network environment |
| WO2015065013A1 (ko) * | 2013-10-28 | 2015-05-07 | 삼성전자 주식회사 | 멀티 사용자들이 홈 네트워킹을 지원하는 어플리케이션 기반의 기기를 등록하는 방법 및 장치 |
| IN2013CH06149A (zh) | 2013-12-30 | 2015-07-03 | Samsung Electronics Co Ltd |
Family Cites Families (48)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6263437B1 (en) * | 1998-02-19 | 2001-07-17 | Openware Systems Inc | Method and apparatus for conducting crypto-ignition processes between thin client devices and server devices over data networks |
| US20030054810A1 (en) * | 2000-11-15 | 2003-03-20 | Chen Yih-Farn Robin | Enterprise mobile server platform |
| EP1233570A1 (en) | 2001-02-16 | 2002-08-21 | TELEFONAKTIEBOLAGET L M ERICSSON (publ) | Method and system for establishing a wireless communications link |
| KR20030074826A (ko) * | 2001-02-16 | 2003-09-19 | 텔레폰악티에볼라겟엘엠에릭슨(펍) | 무선 통신 링크를 설정하는 방법 및 시스템 |
| JP2004048660A (ja) * | 2002-05-24 | 2004-02-12 | Sony Corp | 情報処理システムおよび方法、情報処理装置および方法、記録媒体、並びにプログラム |
| JP4173977B2 (ja) * | 2002-07-17 | 2008-10-29 | Hoya株式会社 | ズームレンズ系 |
| CN1180566C (zh) | 2002-08-26 | 2004-12-15 | 联想(北京)有限公司 | 一种实现网络设备间安全可靠互连的方法 |
| KR100906677B1 (ko) | 2002-09-03 | 2009-07-08 | 엘지전자 주식회사 | UPnP 네트워크의 원격지 보안 접속 시스템 및 방법 |
| AU2003263610A1 (en) * | 2002-09-30 | 2004-04-23 | Matsushita Electric Industrial Co., Ltd. | Apparatuses, method and computer software products for controlling a home terminal |
| KR100493890B1 (ko) * | 2003-01-28 | 2005-06-10 | 삼성전자주식회사 | 다양한 디바이스의 지원이 가능한 사용자 인터페이스 변환시스템 및 방법 |
| US7644275B2 (en) * | 2003-04-15 | 2010-01-05 | Microsoft Corporation | Pass-thru for client authentication |
| US7017181B2 (en) * | 2003-06-25 | 2006-03-21 | Voltage Security, Inc. | Identity-based-encryption messaging system with public parameter host servers |
| US7685341B2 (en) * | 2005-05-06 | 2010-03-23 | Fotonation Vision Limited | Remote control apparatus for consumer electronic appliances |
| KR100608575B1 (ko) * | 2003-09-29 | 2006-08-03 | 삼성전자주식회사 | 자동 소유권 인증이 가능한 홈 네트워크 장치, 홈네트워크 시스템 및 그 방법 |
| KR101044937B1 (ko) * | 2003-12-01 | 2011-06-28 | 삼성전자주식회사 | 홈 네트워크 시스템 및 그 관리 방법 |
| US7600113B2 (en) * | 2004-02-20 | 2009-10-06 | Microsoft Corporation | Secure network channel |
| KR101023605B1 (ko) | 2004-03-02 | 2011-03-21 | 주식회사 케이티 | 터널링된 전송계층보안 방식을 이용한 가입자 아이디 획득방법 |
| US20050240680A1 (en) * | 2004-04-27 | 2005-10-27 | Jose Costa-Requena | Method and apparatus for a life management server |
| US7530098B2 (en) * | 2004-04-28 | 2009-05-05 | Scenera Technologies, Llc | Device ownership transfer from a network |
| WO2005109209A1 (ja) * | 2004-05-10 | 2005-11-17 | Matsushita Electric Industrial Co., Ltd. | コンテンツ利用システム |
| KR20070045250A (ko) * | 2004-08-16 | 2007-05-02 | 코닌클리케 필립스 일렉트로닉스 엔.브이. | 무선 범용 플러그 앤 플레이(upnp) 네트워크 보안 환경설정을 위한 방법과 시스템 |
| ATE477636T1 (de) * | 2004-10-29 | 2010-08-15 | Thomson Licensing | Sicherer authentifizierter kanal |
| US7545932B2 (en) * | 2004-10-29 | 2009-06-09 | Thomson Licensing | Secure authenticated channel |
| KR100677152B1 (ko) * | 2004-11-17 | 2007-02-02 | 삼성전자주식회사 | 사용자 바인딩을 이용한 홈 네트워크에서의 콘텐츠 전송방법 |
| KR100678897B1 (ko) * | 2004-11-23 | 2007-02-07 | 삼성전자주식회사 | 홈 네트워크 장치 간의 보안 연결을 위한 시스템 및 방법 |
| KR100599131B1 (ko) * | 2004-12-09 | 2006-07-12 | 삼성전자주식회사 | 홈 네트워크를 위한 보안장치 및 그의 보안 설정 방법 |
| KR100611304B1 (ko) | 2005-01-27 | 2006-08-10 | 삼성전자주식회사 | 기 입력된 버튼의 코드값을 이용하여 1회용 비밀키를생성하는 제어기기, 상기 1회용 비밀키를 이용하여 상기제어기기를 인증하는 홈서버, 및, 상기 1회용 비밀키를이용한 제어기기 인증방법 |
| KR100704627B1 (ko) * | 2005-04-25 | 2007-04-09 | 삼성전자주식회사 | 보안 서비스 제공 장치 및 방법 |
| KR100781508B1 (ko) * | 2005-04-28 | 2007-12-03 | 삼성전자주식회사 | 사용자에게 적응된 서비스 환경을 제공하는 방법 및 이를위한 장치 |
| JP4358795B2 (ja) | 2005-07-22 | 2009-11-04 | 日立ソフトウエアエンジニアリング株式会社 | Tlsセッション情報の引継ぎ方法及びコンピュータシステム |
| US20070079113A1 (en) | 2005-09-30 | 2007-04-05 | Amol Kulkarni | Automatic secure device introduction and configuration |
| KR100819024B1 (ko) | 2005-12-12 | 2008-04-02 | 한국전자통신연구원 | 아이디/패스워드를 이용한 사용자 인증 방법 |
| US8041035B2 (en) | 2005-12-30 | 2011-10-18 | Intel Corporation | Automatic configuration of devices upon introduction into a networked environment |
| JP4638821B2 (ja) | 2006-01-05 | 2011-02-23 | パナソニック株式会社 | ホームゲートウェイ |
| JP2007272868A (ja) | 2006-03-07 | 2007-10-18 | Sony Corp | 情報処理装置、情報通信システム、および情報処理方法、並びにコンピュータ・プログラム |
| CN101438256B (zh) | 2006-03-07 | 2011-12-21 | 索尼株式会社 | 信息处理设备、信息通信系统、信息处理方法 |
| US8522025B2 (en) | 2006-03-28 | 2013-08-27 | Nokia Corporation | Authenticating an application |
| US7882356B2 (en) * | 2006-10-13 | 2011-02-01 | Microsoft Corporation | UPnP authentication and authorization |
| WO2008051052A1 (en) * | 2006-10-26 | 2008-05-02 | Samsung Electronics Co., Ltd. | Method of synchronizing information shared between a plurality of universal plug and play devices and apparatus therefor |
| US8769284B2 (en) * | 2006-12-29 | 2014-07-01 | Nokia Corporation | Securing communication |
| US8694783B2 (en) * | 2007-01-22 | 2014-04-08 | Samsung Electronics Co., Ltd. | Lightweight secure authentication channel |
| KR101434569B1 (ko) * | 2007-04-06 | 2014-08-27 | 삼성전자 주식회사 | 홈 네트워크에서 보안 서비스를 제공하는 장치 및 방법 |
| US8782414B2 (en) * | 2007-05-07 | 2014-07-15 | Microsoft Corporation | Mutually authenticated secure channel |
| TWI429254B (zh) * | 2007-10-05 | 2014-03-01 | Interdigital Tech Corp | Uicc及終端間安全頻道技術 |
| US8495375B2 (en) * | 2007-12-21 | 2013-07-23 | Research In Motion Limited | Methods and systems for secure channel initialization |
| KR101495723B1 (ko) * | 2008-01-15 | 2015-02-25 | 삼성전자주식회사 | 복수의 원격 접속을 지원하는 UPnP(UniversalPlug and Play) RAS(Remote Access Server) 장치 및 그 방법 |
| KR101499549B1 (ko) * | 2008-01-15 | 2015-03-06 | 삼성전자주식회사 | 원격 접속 서비스를 제공하는 UPnP 장치 및 그 방법 |
| KR101478621B1 (ko) * | 2008-01-15 | 2015-01-02 | 삼성전자주식회사 | UPnP 네트워크에 다중으로 원격 접속 서비스를제공하는 UPnP 장치 및 그 방법 |
-
2008
- 2008-07-17 KR KR20080069749A patent/KR101495722B1/ko active IP Right Grant
-
2009
- 2009-01-30 CN CN200980112043.6A patent/CN101983493B/zh not_active Expired - Fee Related
- 2009-01-30 EP EP09705478.7A patent/EP2239881B1/en active Active
- 2009-01-30 WO PCT/KR2009/000468 patent/WO2009096738A2/ko active Application Filing
- 2009-01-30 US US12/320,656 patent/US8464055B2/en not_active Expired - Fee Related
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102186172A (zh) * | 2011-04-13 | 2011-09-14 | 北京理工大学 | 用于共享密钥生成的自适应无线信道状态扫描方法 |
| CN102186172B (zh) * | 2011-04-13 | 2013-08-28 | 北京理工大学 | 用于共享密钥生成的自适应无线信道状态扫描方法 |
| CN104581723A (zh) * | 2014-12-10 | 2015-04-29 | 杭州赫智电子科技有限公司 | 一种客户端设备联网信息数据的应用方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20090198998A1 (en) | 2009-08-06 |
| EP2239881A2 (en) | 2010-10-13 |
| WO2009096738A3 (ko) | 2009-10-22 |
| US8464055B2 (en) | 2013-06-11 |
| WO2009096738A2 (ko) | 2009-08-06 |
| EP2239881A4 (en) | 2013-11-27 |
| KR101495722B1 (ko) | 2015-02-26 |
| EP2239881B1 (en) | 2020-04-01 |
| CN101983493B (zh) | 2014-11-19 |
| KR20090084632A (ko) | 2009-08-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10162959B2 (en) | Method and apparatus for providing subscriber identity module-based data encryption and remote management of portable storage devices | |
| CN100592678C (zh) | 用于网络元件的密钥管理 | |
| EP2356772B1 (en) | Quantum key distribution | |
| US6920559B1 (en) | Using a key lease in a secondary authentication protocol after a primary authentication protocol has been performed | |
| EP1536609B1 (en) | Systems and methods for authenticating communications in a network | |
| US7480939B1 (en) | Enhancement to authentication protocol that uses a key lease | |
| CN109618326A (zh) | 用户动态标识符生成方法及服务注册方法、登录验证方法 | |
| KR20060132026A (ko) | 무선 휴대용 장치들의 배치와 규약 | |
| CN1973495A (zh) | 无线局域网关联的设备和方法及相应产品 | |
| US8234497B2 (en) | Method and apparatus for providing secure linking to a user identity in a digital rights management system | |
| CN101983493B (zh) | 确保家用网络中的通信安全的方法及其装置 | |
| CN101999221A (zh) | 在基于ip的电话环境中使用公钥基础设施(pki)进行认证和身份管理的方法及装置 | |
| CN106713236A (zh) | 一种基于cpk标识认证的端对端身份认证及加密方法 | |
| CN115473655B (zh) | 接入网络的终端认证方法、装置及存储介质 | |
| JP2001186122A (ja) | 認証システム及び認証方法 | |
| CN113365264A (zh) | 一种区块链无线网络数据传输方法、装置及系统 | |
| US11870899B2 (en) | Secure device access recovery based on validating encrypted target password from secure recovery container in trusted recovery device | |
| JP7312279B2 (ja) | モバイルネットワークアクセスシステム、方法、記憶媒体及び電子機器 | |
| JP7390518B1 (ja) | 管理装置および管理方法 | |
| CN115051848B (zh) | 一种基于区块链的身份认证方法 | |
| TWI794126B (zh) | 端對端加密通訊監管系統及其方法 | |
| JP7433620B1 (ja) | 通信方法、通信装置及びコンピュータプログラム | |
| Dammak | Authentication and authorization security solution for the internet of thing | |
| US20230125556A1 (en) | Secure autonomic recovery from unusable data structure via a trusted device in a secure peer-to-peer data network | |
| KR20240060128A (ko) | 홈 네트워크의 통신보안성을 강화하는 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20141119 Termination date: 20200130 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |