CN104025542B - 终端用户设备配置数据的备份和恢复的方法及设备 - Google Patents

Abstract

用于终端用户设备的配置数据(11)的备份和恢复的方法包含以下步骤：通过对称密钥(14)使用对称密钥加密对配置数据进行加密；使用设备私有密钥(15)签名所加密的配置数据；以及将所加密并签名的配置数据发送给终端用户设备的用户的个人计算机(20)和/或服务提供商网络的存储位置(32)来存储。对于要在终端用户设备中使用的配置数据的恢复，使用非对称密钥加密系统的第一或者第二公共密钥(16、17)来验证服务提供商网络提供的所签名的配置数据，或者验证在用户的个人计算机上存储的所签名的配置数据。

Description

终端用户设备配置数据的备份和恢复的方法及设备

技术领域

本发明涉及终端用户设备领域，特别涉及通过宽带连接服务提供商网络进行工作的、被远程地和/或中央地管理的用户端设备。

背景技术

住宅网关被广泛用于将在客户的家庭中的设备连接到因特网或者任何其它广域网(WAN)。住宅网关具体地使用能够通过铜制线路进行高数据率传送的数字用户线路(DSL)技术。这些年里，建立了若干DSL标准，其在数据率以及在范围上有所不同，例如ADSL以及VDSL，在本上下文中称为 xDSL。众所周知，用于因特网服务的光纤传送系统也使用住宅网关，例如光纤到家庭(FTTH)以及光纤到驻地(FTTP)。

网络服务提供商(NSP)，例如因特网服务提供商(ISP)，必须管理大量的、高达数百万的住宅网关以及其它设备，诸如路由器、交换机、电话机以及机顶盒，在本上下文中将其理解为用户端设备(CPE)设备。可以通过中央配置服务器(CCS)来实现对CPE设备的远程管理，该CCS与单独的CPE 设备进行交互以向它们提供配置设置，并且通过使用专用的应用层协议提取诊断信息。

关于CPE远程管理的被广泛使用的例子已知的是CPE WAN管理协议 (CWMP)，该协议由宽带论坛(Broadband Forum)开发并由技术报告069 来定义，该技术报告一般也被称为TR-069。CWMP通过提供在CPE设备与自动配置服务器(ACS)之间的通信协议，为终端用户设备、特别是CPE 设备的远程管理定义了应用层协议。

结合设备管理数据模型使用CWMP。宽带论坛在单独的文献中定义了数据模型，例如，在文献TR-181i2中定义了能够应用于住宅网关以及类似设备的通用数据模型，文献TR-135定义了机顶盒专用的数据模型参数。

在图1中示意性的示出为CPE设备提供xDSL服务的这类广域网：安置了网络服务提供商(NSP)网络1，用于通过宽带连接6，DSL/电缆/光纤等向大量的住宅网关2以及机顶盒3提供例如因特网服务。另外，NSP网络1 包含ACS 4，用于远程地管理住宅网关2以及机顶盒3。

通过使用TR-069协议5，CWMP，ACS 4具体地能够对住宅网关2以及机顶盒3进行自动配置以及提供动态服务、软件/固件图像管理、状态和性能监视以及诊断。

CWMP还定义了ACS如何能够指示CPE设备实施配置备份，例如通过使用上载远程过程调用(RPC)，以及如何通过使用下载RPC来实施配置恢复。还存在其它支持配置备份以及恢复的协议，例如开放移动联盟设备管理 (OMA-DM)。关于这样的机制，必须满足多个重要的要求和约束。

首先，配置数据需要是机密的，并且不能由以下任何一方以明文的方式可用：

-CPE设备的终端用户

○配置数据可能包含涉及服务的秘密，例如密码，不应该将其暴露给终端用户。

-服务提供商

○配置数据可能包含需要保护的私有数据，并且应该只能由终端用户存取，例如电话簿或者日历数据。

-ACS运营商，例如NSP

○即使在操作远程管理服务器时，也不可以存取涉及服务或者用户的配置数据。

○ACS运营商可能是或者可能不是因特网服务提供商。

-CPE设备制造商

○CPE设备制造商不应该存取涉及服务的配置数据或者用户私有数据。

第二，用户不能更改配置数据。这将允许用户获得不根据服务预订的能力。典型地，在CPE设备上的配置改变通过CPE设备的用户接口完成，该用户接口为进行配置改变提供受限制的能力，或者通过远程管理服务器，例如由运营商代表服务提供商通过ACS来完成。

第三，应该在对配置数据进行备份的设备上恢复该配置数据。如果配置数据包含有关预订的设置，则终端用户不应该能够交换配置数据文件以及在服务提供商的控制之外更改预订。

第四，在例如由于发生故障或者服务预订改变而需要替换CPE设备的情况下，应该能够从旧的CPE设备将配置数据恢复到替换设备上。

因此，需要一种机制以满足对CPE设备的多个重要的要求以及约束，其中第三和第四要求出现冲突并且提出了挑战。

对称密钥加密算法是一种用于数据加密的算法，该算法对明文的加密以及对密文的解密使用相同的密码密钥。对称密钥加密算法的例子例如是 AES、Serpent、Twofish、RC4或者3DES。

对数据的加密不保证该数据在加密之后不改变。因此，已知将消息认证码(MAC)添加到所加密的数据中以确保接收器将注意到对所加密的数据的改变。MAC是一条很短的用于对消息或者所加密的数据进行认证的信息，该认证通过使用MAC签名该消息或者所加密的数据来进行。MAC算法接受机密密钥以及要认证的任意长度的消息作为输入，并且允许也拥有该机密密钥的用户来检测对消息内容的任何改变。

公共密钥密码术是非对称密钥密码系统，要求两个独立的密钥，其中，一个是机密的，另一个是公共的。机密密钥和公共密钥不同，但是在数学上是联系的。一个密钥能够用于数据的加密或者签名，而另一个密钥能够用于对所加密的数据进行解密或者验证所签名的数据。机密密钥也被称为私有密钥。因此，通过对数字签名使用私有密钥，能够将公共密钥密码术用于对消息或者所加密的数据的认证。然后，通过使用公共密钥，另外的用户能够在之后的步骤中检验所加密并签名的数据的完整性。被广泛使用的非对称密钥算法例如是RSA算法。

US2009/0006640A1公开了一种用于用户设置和数据的安全备份和恢复操作的方法，具体地通过计算机网络连接执行所述安全备份和恢复操作。对称密钥加密和非对称密钥加密用于用户设置和数据的安全性。

发明内容

一种用于CPE设备的配置数据的备份和恢复的方法，包含以下步骤：通过使用利用对称密钥的对称密钥加密对配置数据进行加密；利用非对称密钥加密系统的设备专用的私有密钥来签名所加密的配置数据；以及将所加密并签名的配置数据发送给终端用户设备的用户的个人计算机来进行安全的存储，或者还可或可选择地发送给服务提供商网络的存储位置来进行安全的存储。通过在验证所述服务提供商网络提供的所签名的配置数据的情况下使用第二公共密钥，而通过在验证所述个人计算机上存储的所签名的配置数据的情况下使用第一公共密钥(16)，来进行对CPE设备的配置数据的恢复。

对于要在CPE设备中使用的配置数据的恢复，使用非对称密钥加密系统的公共密钥来验证服务提供商网络提供的签名的配置数据，或者验证在个人计算机上存储的签名的配置数据。具体来说，使用管理公共密钥作为公共密钥来验证服务提供商网络提供的签名的配置数据，并且使用设备公共密钥作为公共密钥来验证在用户的个人计算机上存储的签名的配置数据。有利的是，非对称密钥加密系统的设备专用私有密钥、设备公共密钥以及管理公共密钥是RSA公共密钥算法中的密钥。所存储的配置数据具体地被用于替换 CPE设备的当前的配置数据。

在本发明的另一个方面中，共享机密密钥对服务提供商网络的CPE设备的特定模型是共同的，或者对服务提供商网络的所有CPE设备是共同的。

CPE设备包括：包含配置数据的存储器；用于为备份操作的配置数据进行加密的对称密钥；非对称密钥加密系统的私有密钥，用于签名所加密的配置数据；以及非对称密钥加密系统的第一公共密钥，用于在恢复个人计算机上存储的配置数据的情况下验证所签名的配置数据，以及第二非对称密钥加密系统的第二公共密钥，用于验证由服务提供商网络提供的所签名的配置数据。第二公共密钥具体是第二非对称密钥加密系统的管理公共密钥，用于验证服务提供商网络提供的所签名的配置数据。CPE设备例如是连接到网络服务提供商网络的住宅网关或者路由器。

附图说明

以下参照示意性的附图通过例子来更详细地解释本发明的优选实施例，其中：

图1示出根据现有技术的广域网，其包含CPE设备以及用于提供xDSL 服务的网络服务提供商网络；并且，

图2示出根据本发明的提供配置数据的安全的备份和恢复的终端用户设备。

具体实施方式

在下面的说明中，说明了用于终端用户设备的配置数据的安全的备份和恢复的示例性的方法。为了说明的目的，阐述了很多特定细节以提供对优选实施例的彻底的理解。然而，对于在本领域中的一个技术人员，很显然地可以不使用这些特定细节来实现本发明。

本方法为终端用户设备，特别是CPE设备，定义了一种通过使用共享机密密钥对终端用户设备的配置数据进行对称地加密的安全机制，通过使用相同的共享机密密钥对网络服务提供商(NSP)网络的全部或者部分的终端用户设备进行编程，确保只有知道该机密密钥的实体才能够读取并且解密该配置数据。另外，每个终端用户设备使用非对称密钥密码算法的私有密钥，具体地说，使用设备专用私有密钥签名配置数据，由此将其签名添加到配置数据中。

只有存在至少一个签名，终端用户设备才在恢复操作期间接受新的配置数据：

○通过非对称密钥密码算法提供的第一公共密钥来验证其自身的签名，或者

○新的配置数据包含通过应用NSP网络或者任何其他服务提供商的配置管理单元的管理私有密钥而提供的签名。为了验证管理私有密钥，终端用户设备包含由预编程在终端用户设备中的非对称密钥密码算法提供的第二管理公共密钥。

在替换终端用户设备的情况下，使用管理私有密钥来签名要用于新的终端用户设备的配置数据，管理私有密钥对新的配置数据进行授权。管理私有密钥对应于由非对称密钥密码算法提供并预编程在终端用户设备中的管理公共密钥，管理公共密钥用于验证新的配置数据。

在优选实施方式中，根据本发明的终端用户设备包含：微处理器；非易失性存储器，存储操作系统以及配置数据；易失性存储器，用于终端用户设备的操作。配置数据是持续存留在终端用户设备上的一组数据，在实质上确定终端用户设备的操作。

在优选实施方式中，终端用户设备是CPE设备10，例如住宅网关、路由器、交换机、机顶盒等。CPE设备的操作系统例如是LINUX操作系统以及CPE设备专用的中间件，这是包含用于提供例如DSL调制解调器功能、网关和交换功能、FXS功能、VoIP功能以及WI-FI操作的应用程序的执行环境。

在优选实施方式中，如在图2中示意性的示出的那样，CPE设备10包含：用户接口12，例如WI-FI节点；LAN端口或者USB端口，用于连接终端用户的个人计算机20，例如膝上电脑。还包含：CWMP客户端13，通过宽带连接6与服务提供商网络、例如NSP网络30耦接；配置数据11，需要为其提供安全的备份和恢复操作。具体来说，终端用户能够在其家庭网络中，通过用户接口12以及个人计算机20，或者通过CWMP客户端13以及NSP 网络30的远程配置存储装置，存储位置32，提供备份和恢复操作。

CWMP客户端13遵从用于对NSP网络30的自动配置服务器(ACS) 31进行操作的宽带论坛TR-069标准。根据ACS 31的用于备份操作的指令， CPE设备10通过CWMP客户端将其配置数据11发送给NSP网络30的存储位置32。为了恢复被存储在远程存储位置32中的配置数据，NSP网络30 将配置数据交付给CWMP客户端13，以将配置数据存储在CPE设备10的非易失性存储器中，替换当前的配置数据。

CPE设备10还包含对称的共享机密密钥14、设备私有密钥15、设备专用公共密钥16以及管理公共密钥17。在实施通过用户接口12向个人计算机 20或者通过CWMP客户端13向NSP网络30的配置数据11的备份操作时，共享机密密钥14用于对配置数据11进行加密。关于共享机密密钥14，例如，使用AES加密标准。设备私有密钥15是非对称密钥密码算法的私有密钥，例如RSA私有密钥，用于对通过使用共享机密密钥14对配置数据11的加密提供的所加密的配置数据进行签名。

设备公共密钥16是非对称密钥密码算法的第一公共密钥，用于在使用其存储在个人计算机20或者存储位置32上的设备专用的配置数据的恢复操作的情况下，验证所签名并加密的配置数据。管理公共密钥17是非对称密钥密码算法的第二公共密钥，用于验证通过管理私有密钥签名的所加密的配置数据。共享机密密钥14、设备专用私有密钥15以及两个公共密钥16、17 存储在例如CPE设备10的非易失性存储器中。

NSP网络30包含配置管理单元33，其中包含管理私有密钥34，例如 RSA私有密钥。管理私有密钥34是非对称密钥密码算法的私有密钥，由配置管理单元33使用，以给予CPE设备10例如从另外的未被示出的CPE设备接受其它配置数据的权利。配置管理单元33将管理私有密钥34添加到另一个CPE设备的配置数据中，以将该配置数据授权为用于CPE设备10的新的配置数据。在NSP想要在CPE设备10上安装另一个CPE设备的配置数据的情况下，NSP通过ACS 31将使用管理私有密钥34签名的另一个CPE 设备的配置数据发送给该CPE设备10。该CPE设备10仅在其管理公共密钥17与管理私有密钥34相匹配时才接受另一个CPE设备的配置数据。

在优选实施例中，用于CPE设备10的配置数据11的备份的方法包含以下步骤：终端用户可以在任何时间实施备份，以在之后的某个时刻，例如因为错误配置或者配置数据丢失，及时地恢复一组适当的配置数据。关于备份操作，终端用户使用其个人计算机20与CPE设备10的CPE设备10的接口互相合作。终端用户使用例如CPE设备10的因特网浏览器，其通过超文本传输协议(HTTP)命令指向用作图形用户界面的CPE设备10的嵌入网络服务器。在打开嵌入网络服务器之后，终端用户操作由嵌入网络服务器提供的备份功能来激活并启动备份操作。然后，CPE设备10使用其共享机密密钥14对其配置数据进行加密，使用其设备私有密钥15来签名所加密的配置数据，并且通过用户接口12将所加密并签名的配置数据发送给个人计算机 20，存储在例如其硬盘上。

终端用户随后可能需要使用在个人计算机20上存储的比较旧的配置数据来替换CPE设备10的当前的配置数据。那么，终端用户将个人计算机20 连接到CPE设备10的用户接口12，并且使用其因特网浏览器打开CPE设备10的嵌入网络服务器来激活并启动对CPE设备10的恢复操作。然后，先前备份的所加密并签名的配置数据从个人计算机20转移到CPE设备10。然后，CPE设备10将验证该配置数据，并且如果设备签名存在并且所加密的配置数据的设备签名与其自身相匹配，其中所加密的配置数据的设备私有密钥15与其设备公共密钥16相匹配，则CPE设备10接受该配置数据并使用其共享机密密钥14来解密它。如果所加密的配置数据不包含设备私有密钥，或者如果存在无效的设备私有密钥，则拒绝该配置数据。

在另一个实施例中，NSP通过ACS 31指示终端用户设备，例如CPE设备10，通过其CWMP客户端13来实施配置数据11的备份操作。ACS 31 使用TR-069CWMP向CPE设备10发送上载远程过程调用，指示CPE设备 10上载其配置数据到由统一资源定位器(URL)表示的位置处。然后，CPE 设备10使用例如HTTP命令将配置数据11存储在NSP网络30的某位置处，例如远程存储位置32。CPE设备负责将配置数据11上载到所请求的位置处： CPE设备10使用共享机密密钥14对配置数据进行加密，并使用其设备私有密钥15签名所加密的配置数据，然后将所加密并签名的配置数据上载到 ACS 31，以在存储位置32中进行存储。

在其配置数据11丢失或者CPE设备10的任何其它问题时，其例如可能由ACS 31通过CWMP检测出或者终端用户可能已呼叫了网络服务提供商的服务台，ACS 31指示CPE设备10的CWMP客户端13对其存储在远程配置存储器32中的配置数据进行恢复。ACS 31使用CWMP向具有指向存储在远程配置存储器32中的配置数据的URL的CWMP客户端13发送下载远程过程调用。然后，CPE设备通过CWMP客户端下载配置数据，并且检查配置数据的有效性：仅在如下情况下才接受该配置数据：在该配置数据的签名与设备公共密钥16相匹配时，这表示恢复的配置数据是CPE设备1的比较旧的版本的配置数据；或者如果包含通过应用NSP网络30的管理私有密钥34而提供的签名，这表示关于CPE设备1，一组新的配置数据应该替换CPE设备1的当前的配置数据。可选择地，管理私有密钥34可以包含设备标识。

在另一个实施例中，由于CPE设备10过时，因此，NSP网络30的网络服务提供商想要使用新的CPE设备替换终端用户的CPE设备10。在这种情况下，将旧的设备10的配置数据11移植到新的CPE设备是有利的，这实际上是恢复原样的功能，例如终端用户的家庭网络的无线网络设置，以便其家庭网络的所有无线设备能够连接到该新的CPE设备，而不需要重新配置无线设备。具体来说，旧的CPE设备10和新的CPE设备是住宅网关。

在替换旧的CPE设备10之前，终端用户对其配置数据11实施向网络服务提供商的远程存储位置32的备份，或者网络服务提供商通过使用CWMP 经由自动配置服务器31请求对配置数据11的备份。如前所述，在上载之前， CPE设备10使用共享机密密钥14对配置数据进行加密，并且使用其设备私有密钥15签名所加密的配置数据。然后，在终端用户的家中，用新的CPE 设备替换旧的CPE设备10。

在另外的步骤中，NSP网络30中的配置管理单元33使用其管理私有密钥34签名所上载并存储在远程配置存储器32中的配置数据，从而授权新的CPE设备接受该配置数据。可选择地，可以与管理私有密钥34一起包含新的CPE设备的设备专用标识，使得只有一个特定的CPE设备、即终端用户的新的CPE设备将接受该配置数据。然后，NSP网络30使用ACS 31将所签名的配置数据传送给新的CPE设备，并且在另外的步骤中，新的CPE设备使用其管理公共密钥17来验证通过应用与配置数据一起包含的管理私有密钥34而提供的签名。然后，转移的配置数据被解密并被存储为新的CPE 设备的配置数据，并且被用于新的CPE设备的操作。

因此，为了配置数据的安全，除了对称的共享机密密钥14之外，本发明还使用：第一对非对称密钥、即设备私有密钥15和设备公共密钥16，以及第二对非对称密钥、即管理私有密钥34和管理公共密钥17。只有在如下情况下，终端用户设备才接受配置数据：配置数据的签名与其设备公共密钥 16相匹配；或者在配置数据的签名与其设备公共密钥16不匹配的情况下，与配置数据一起包括通过应用服务提供商的管理私有密钥而提供的签名，并且与其管理公共密钥17相匹配。

在另一个实施例中，终端用户可以用相同的制造商的较新的型号替换其旧的平板PC或者智能电话。然后，终端用户通过使用其用户接口，例如USB 连接或者无线节点，实施对旧的平板PC的配置数据的备份，以与如上所述相同的方式将旧的平板PC的配置数据转移到其个人计算机20上。有利地，终端用户也在其个人计算机20上存储旧的平板PC的所有应用程序、私有数据和音频/视频文件。然后，在另外的步骤中，终端用户首先将存储在其个人计算机20上的配置数据转移到新的平板PC。新的平板PC仅在配置数据的签名与其设备公共密钥相匹配时才接受配置数据，以确保存储在个人计算机 20上的配置数据将在新的平板PC上工作。然后，在旧的平板PC的配置数据被存储并安装在新的平板PC上时，终端用户能够从个人计算机向新的平板PC恢复所有的应用程序以及其它数据，使得终端用户能够和以前使用旧的平板PC一样地使用新的平板PC。终端用户经常用相同的公司的新的智能电话或者平板PC替换其智能电话或者平板PC。在该情况下，将旧的智能电话或者平板PC的配置数据以及应用程序分别转移到新的智能电话或者平板 PC是有利的。

本领域的技术人员还可以不脱离本发明的范围利用本发明的其它实施例。服务提供商网络不必是网络服务提供商网络，也可以是任何因特网服务提供商网络或者终端用户设备的制造商。本发明也不具体地限制于CPE设备，而是也可以应用于其它像智能电话、平板PC等这样的通过宽带连接，例如xDSL连接或者在移动蜂窝网络之中，可连接到NSP网络的终端用户设备。因此，本发明在于之后所附的权利要求。

Claims (12)

1.一种用于终端用户设备的配置数据的备份和恢复的方法，所述终端用户设备适配于经由与服务提供商网络的宽带连接进行操作，所述方法由所述终端用户设备执行并且包括：

使用具有共享的对称密钥的对称密钥加密对所述配置数据进行加密；

使用第一非对称密钥加密系统的设备私有密钥来签名所加密的配置数据，所述第一非对称密钥加密系统包括所述设备私有密钥和一设备公共密钥；

将加密并且签名的配置数据发送到所述终端用户设备的用户的个人计算机或发送到服务提供商网络的存储位置用于存储；以及

使用所述设备公共密钥在所述终端用户设备上恢复所述终端用户设备的配置数据，用于验证所签名的配置数据。

2.根据权利要求1所述的方法，其中，所述设备私有密钥是设备专用私有密钥，并且所述设备专用私有密钥、非对称密钥加密系统的设备公共密钥和管理公共密钥是RSA公共密钥算法中的密钥。

3.根据权利要求1所述的方法，其中，对称密钥对于服务提供商网络的终端用户设备的特定模型是共同的，或者对于所述服务提供商网络的所有终端用户设备是共同的。

4.根据权利要求3所述的方法，其中，所述对称密钥是共享机密密钥，例如根据高级加密标准的密钥。

5.根据权利要求1所述的方法，还包括：

通过使用在所述终端用户设备上存储的第二非对称密钥加密系统的管理公共密钥在所述终端用户设备上恢复由服务提供商网络提供的另一终端用户设备的配置数据，用于验证服务提供商网络使用所述第二非对称密钥加密系统的管理私有密钥所签名的该另一终端用户设备的被加密的配置数据。

6.根据权利要求1所述的方法，其中，所述服务提供商网络是网络服务提供商网络，并且其中所述配置数据是终端用户设备的用户和服务提供商网络的服务提供商不可存取的数据。

7.根据权利要求6所述的方法，其中，用户端设备经由宽带连接与所述网络服务提供商网络的自动配置服务器耦接，并且所述网络服务提供商网络经由所述自动配置服务器请求备份。

8.一种终端用户设备，包含存储器和处理器，

其中，存储器包含所述终端用户设备的配置数据，所述处理器被配置为：

使用具有共享对称密钥的对称密钥加密对所述配置数据进行加密；

使用第一非对称密钥加密系统的设备私有密钥来签名所加密的配置数据，所述第一非对称密钥加密系统包括所述设备私有密钥和一设备公共密钥；

将加密并且签名的配置数据发送到所述终端用户设备的用户的个人计算机或者发送到服务提供商网络的存储位置用于存储；以及

使用所述设备公共密钥在所述终端用户设备上恢复所述终端用户设备的配置数据，用于验证所签名的配置数据。

9.根据权利要求8所述的终端用户设备，其中

提供所述设备公共密钥用于验证由所述终端用户设备的用户在该用户的个人计算机上存储的所签名的配置数据。

10.根据权利要求9所述的终端用户设备，包含：用户接口，允许所述终端用户设备的用户实施对所述配置数据的备份和恢复操作；CPE广域网管理协议CWMP客户端，包含遵从技术报告TR-069标准的软件组件，以便使得所述服务提供商网络能够通过使用所述服务提供商网络的远程位置进行存储来执行对配置数据的备份和恢复操作。

11.根据权利要求10所述的终端用户设备，其中，所述终端用户设备是客户端CPE设备、台式PC或者智能电话。

12.根据权利要求8所述的终端用户设备，其中,所述处理器进一步被配置为：

通过使用在所述终端用户设备上存储的第二非对称密钥加密系统的管理公共密钥在所述终端用户设备上恢复由服务提供商网络提供的另一终端用户设备的配置数据，用于验证服务提供商网络使用所述第二非对称密钥加密系统的管理私有密钥所签名的该另一终端用户设备的被加密的配置数据。