CN104135367B - 一种UPnP接入安全认证方法及装置 - Google Patents
一种UPnP接入安全认证方法及装置 Download PDFInfo
- Publication number
- CN104135367B CN104135367B CN201410227964.XA CN201410227964A CN104135367B CN 104135367 B CN104135367 B CN 104135367B CN 201410227964 A CN201410227964 A CN 201410227964A CN 104135367 B CN104135367 B CN 104135367B
- Authority
- CN
- China
- Prior art keywords
- url
- key
- transmitting terminal
- information
- mac
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种UPnP接入安全认证方法及装置,该方法具体包括:发送端生成密钥并记录生成密钥时间,将密钥、生成密钥时间及发送端的URL通过HASH算法生成MAC,将生成的MAC、发送端URL和密钥组合成数据包并在网络中进行广播;接收端收到数据包后,打开数据包并记录发送端的URL,并向发送端发送挑战数据包;发送端接收到挑战数据包后,进行验证,并将验证后的结果反馈给接收端;接收端根据接收到的反馈消息判断记录的URL信息是否可用。该方法能够有效地防止设备点与控制点之间的传输过程中出现信息窃取及重放攻击等安全问题。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种UPnP接入安全认证方法及装置。
背景技术
随着智能家居的广泛推广,UPnP(即插即用)技术会越来越受到重视,因为这种技术能够便捷地实现智能网络中各种终端的相互调用。
但是应用这种技术也存在较多的安全隐患,比如在设备点和控制点之间的传输过程中会遇到信息窃取、重放攻击等问题。例如以下情况:具备UPnP功能的设备成功连接到网络上后,立刻向网络上的UPnP控制点发布包含设备URL(Universal Resource Locator,统一资源定位器)的广播消息,表示自己已做好准备,该广播将可以被同一局域网上的所有控制点监听到,以备控制点随后进行控制使用;同样,控制点刚刚连接到网络上时,也会向网络发起广播消息,表示自己准备就绪,可以控制网络上的设备。而上述安全问题大多出现在广播和监听的过程中,如果外部的攻击者佯装接入设备向网络中发布接入请求的广播消息,控制点收到这条请求消息后会根据接入请求包中提供的虚假URL,而连接到一个特定的虚假服务器上,接着控制点向虚假服务器请求下载将要执行的服务内容,服务器响应这个请求并要求控制点发送更多文件的请求,虚假服务器又会响应这些请求,这样,就构成了一个“请求响应”的循环,占用大量的系统资源,使得整个系统的调用过程出现混乱,直到崩溃。目前上述安全方面的问题并未得到有效地解决。
发明内容
(一)解决的技术问题
针对现有技术的不足,本发明提供了一种UPnP接入的安全认证方法及装置,能够有效地防止设备点与控制点之间的传输过程中出现信息窃取及重放攻击等安全问题。
(二)技术方案
为了达到以上目的,本发明通过以下技术方案予以实现:
一种UPnP接入安全认证方法,该方法包括:
S1:发送端生成密钥并记录生成密钥时间,将密钥、生成密钥时间及发送端的URL通过HASH算法生成MAC,将生成的MAC、发送端URL和密钥组合成数据包并在网络中进行广播;
S2:接收端收到数据包后,打开数据包并记录发送端的URL,并把数据包作为挑战数据包向发送端发起挑战;
S3:发送端接收到挑战数据包后,进行验证,根据挑战数据包中的密钥查询生成密钥时间,若查询不到,则向接收端反馈上述发送端的URL不可用,否则转至步骤S4;
S4:将查询到的生成密钥时间、收到的挑战数据包中的URL以及密钥进行HASH运算,生成MAC,并将其与挑战数据包中的MAC进行比较,若相同,则向接收端反馈上述发送端的URL可用,否则向接收端反馈上述发送端的URL不可用;
S5:接收端根据接收到的反馈消息判断记录的URL信息是否可用。
优选地,所述MAC为32位MAC。
优选地,所述信息数据包具体包括发送端生成的MAC、发送端URL和密钥信息。
优选地,所述挑战数据包具体包括接收到的信息数据包中的MAC、URL以及密钥信息。
优选地,步骤S5进一步包括:接收端若接收到URL不可用的消息,则删除记录的URL信息,若接收到URL可用的消息,则将该URL信息加入到访问控制列表中。
一种UPnP接入安全认证装置,该装置包括:发送端和接收端;发送端包括密钥管理模块和验证模块,接收端包括记录模块和判定模块;
所述密钥管理模块用于生成密钥并记录生成密钥时间,将密钥、生成密钥时间及发送端的URL通过HASH算法生成MAC,并生成信息数据包在网络中进行广播;
所述记录模块用于收到信息数据包后,打开信息数据包记录发送端的URL,并将信息数据包作为挑战数据包向发送端发起挑战;
所述验证模块用于接收到挑战数据包后,进行验证,根据挑战数据包中的密钥查询生成密钥时间,若查询不到,则向接收端反馈上述发送端的URL不可用,否则将查询到的生成密钥时间、收到的挑战数据包中的URL以及密钥通过HASH算法生成MAC,并将其与挑战数据包中的MAC进行比较,若相同,则向接收端反馈上述发送端的URL可用,否则向接收端反馈上述发送端的URL不可用;
所述判定模块用于根据接收到的反馈消息判断记录的URL信息是否可用。
优选地,所述密钥管理模块和所述验证模块中的MAC均为32位MAC。
优选地,所述密钥管理模块中的信息数据包具体包括生成的MAC、发送端URL和密钥信息。
优选地,所述记录模块中的挑战数据包具体包括接收到的信息数据包中的MAC、URL以及密钥信息。
优选地,所述判定模块进一步包括处理子模块;
处理子模块,用于根据接收的反馈信息进一步进行处理,若接收到URL不可用的消息,则删除记录的URL信息,若接收到URL可用的消息,则将该URL信息加入到访问控制列表中。
(三)有益效果
本发明至少有如下有益效果:
本发明提供了一种UPnP接入安全认证的方法,通过在发送端生成MAC,并和接入请求信息及密钥一起发送给接收端,从而对发送端URL信息的安全性进行验证,能够有效地防止设备点与控制点之间的传输过程中出现信息窃取及重放攻击等安全问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些图获得其他的附图。
图1是本发明实施例中的一种UPnP接入安全认证方法的流程图。
图2是本发明另一实施例提供的一种UPnP接入安全认证装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参见图1,本发明实施例提供了一种UPnP接入安全认证方法,该方法包括如下步骤:
步骤101:发送端生成密钥并记录生成密钥时间,将密钥、生成密钥时间及发送端的URL通过HASH算法生成消息认证码MAC,将生成的MAC、发送端URL和密钥组合成信息数据包并在网络中进行广播。
步骤102:接收端收到信息数据包后,打开信息数据包并记录发送端的URL,并向发送端发送挑战数据包。
其中,所述挑战数据包具体包括接收到的信息数据包中的MAC、URL以及密钥信息。
步骤103:发送端接收到挑战数据包后,进行验证,根据挑战数据包中的密钥查询生成密钥时间,若查询不到,则转至步骤106;否则转至步骤104。
步骤104:将查询到的生成密钥时间、收到的挑战数据包中的URL以及密钥通过HASH算法生成MAC。
步骤105:将生成的MAC与挑战数据包中的MAC进行比较,若相同,则转至步骤107,否则转至步骤106。
步骤106:向接收端反馈上述发送端的URL不可用,并转至步骤109。
步骤107:向接收端反馈上述发送端的URL可用,并转至步骤108。
步骤108:将该URL信息加入访问控制列表中。
步骤109:删除该URL信息。
优选地,所述MAC为32位MAC。
其中,发送端可为设备端或控制点端,接收端可为设备端或控制点端。
本发明实施例提供了一种UPnP接入安全认证的方法,通过在发送端生成MAC,并和接入请求信息及密钥一起发送给接收端,从而对发送端URL信息的安全性进行验证,能够有效地防止设备点与控制点之间的传输过程中出现信息窃取及重放攻击等安全问题。
如图2所示,本发明另一实施例提供了一种UPnP接入安全认证装置,该装置包括:发送端和接收端;发送端包括密钥管理模块和验证模块,接收端包括记录模块和判定模块;
密钥管理模块,用于生成密钥并记录生成密钥时间,将密钥、生成密钥时间及发送端的URL通过HASH算法生成MAC,并生成信息数据包在网络中进行广播;
记录模块,用于收到信息数据包后,打开信息数据包记录发送端的URL,并将信息数据包作为挑战数据包向发送端发起挑战;
验证模块,用于接收到挑战数据包后,进行验证,根据挑战数据包中的密钥查询生成密钥时间,若查询不到,则向接收端反馈上述发送端的URL不可用,否则将查询到的生成密钥时间、收到的挑战数据包中的URL以及密钥通过HASH算法生成MAC,并将其与挑战数据包中的MAC进行比较,若相同,则向接收端反馈上述发送端的URL可用,否则向接收端反馈上述发送端的URL不可用;
判定模块,用于根据接收到的反馈消息判断记录的URL信息是否可用。
优选地,所述密钥管理模块和所述验证模块中的MAC均为32位MAC。
优选地,所述密钥管理模块中的信息数据包具体包括生成的MAC、发送端URL和密钥信息。
优选地,所述记录模块中的挑战数据包具体包括接收到的信息数据包中的MAC、URL以及密钥信息。
优选地,所述判定模块进一步包括处理子模块;
处理子模块,用于根据接收的反馈信息进一步进行处理,若接收到URL不可用的消息,则删除记录的URL信息,若接收到URL可用的消息,则将该URL信息加入到访问控制列表中。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解;其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (6)
1.一种UPnP接入安全认证方法,其特征在于,该方法包括:
S1:发送端生成密钥并记录生成密钥时间,将密钥、生成密钥时间及发送端的URL通过HASH算法生成MAC,并生成信息数据包在网络中进行广播;所述信息数据包具体包括发送端生成的MAC、发送端URL和密钥信息;
S2:接收端收到信息数据包后,打开信息数据包记录发送端的URL,并将信息数据包作为挑战数据包向发送端发起挑战;所述挑战数据包具体包括接收到的信息数据包中的MAC、URL以及密钥信息;
S3:发送端接收到挑战数据包后,进行验证,根据挑战数据包中的密钥查询生成密钥时间,若查询不到,则向接收端反馈上述发送端的URL不可用,否则转至步骤S4;
S4:将查询到的生成密钥时间、收到的挑战数据包中的URL以及密钥通过HASH算法生成MAC,并将其与挑战数据包中的MAC进行比较,若相同,则向接收端反馈上述发送端的URL可用,否则向接收端反馈上述发送端的URL不可用;
S5:接收端根据接收到的反馈消息判断记录的URL信息是否可用。
2.根据权利要求1所述的方法,其特征在于,所述MAC均为32位MAC。
3.根据权利要求1所述的方法,其特征在于,步骤S5进一步包括:接收端若接收到URL不可用的消息,则删除记录的URL信息,若接收到URL可用的消息,则将该URL信息加入到访问控制列表中。
4.一种UPnP接入安全认证装置,其特征在于,该装置包括:发送端和接收端;发送端包括密钥管理模块和验证模块,接收端包括记录模块和判定模块;
所述密钥管理模块用于生成密钥并记录生成密钥时间,将密钥、生成密钥时间及发送端的URL通过HASH算法生成MAC,并生成信息数据包在网络中进行广播;所述密钥管理模块中的信息数据包具体包括生成的MAC、发送端URL和密钥信息;
所述记录模块用于收到信息数据包后,打开信息数据包记录发送端的URL,并将信息数据包作为挑战数据包向发送端发起挑战;所述记录模块中的挑战数据包具体包括接收到的信息数据包中的MAC、URL以及密钥信息;
所述验证模块用于接收到挑战数据包后,进行验证,根据挑战数据包中的密钥查询生成密钥时间,若查询不到,则向接收端反馈上述发送端的URL不可用,否则将查询到的生成密钥时间、收到的挑战数据包中的URL以及密钥通过HASH算法生成MAC,并将其与挑战数据包中的MAC进行比较,若相同,则向接收端反馈上述发送端的URL可用,否则向接收端反馈上述发送端的URL不可用;
所述判定模块用于根据接收到的反馈消息判断记录的URL信息是否可用。
5.根据权利要求4所述的装置,其特征在于,所述密钥管理模块和所述验证模块中的MAC均为32位MAC。
6.根据权利要求4所述的装置,其特征在于,所述判定模块进一步包括处理子模块;
处理子模块,用于根据接收的反馈信息进一步进行处理,若接收到URL不可用的消息,则删除记录的URL信息,若接收到URL可用的消息,则将该URL信息加入到访问控制列表中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410227964.XA CN104135367B (zh) | 2014-05-27 | 2014-05-27 | 一种UPnP接入安全认证方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410227964.XA CN104135367B (zh) | 2014-05-27 | 2014-05-27 | 一种UPnP接入安全认证方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104135367A CN104135367A (zh) | 2014-11-05 |
| CN104135367B true CN104135367B (zh) | 2017-11-03 |
Family
ID=51807902
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410227964.XA Active CN104135367B (zh) | 2014-05-27 | 2014-05-27 | 一种UPnP接入安全认证方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104135367B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105163309B (zh) * | 2015-09-10 | 2019-02-15 | 电子科技大学 | 一种基于组合密码的无线传感器网络安全通信的方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7206934B2 (en) * | 2002-09-26 | 2007-04-17 | Sun Microsystems, Inc. | Distributed indexing of identity information in a peer-to-peer network |
| CN102882830A (zh) * | 2011-07-11 | 2013-01-16 | 华为终端有限公司 | 媒体资源访问控制方法和设备 |
| CN102884760A (zh) * | 2009-12-21 | 2013-01-16 | 电话有限公司 | 通过扩展的upnp标准和tispan委托式nass验证来订购服务的方法和系统 |
-
2014
- 2014-05-27 CN CN201410227964.XA patent/CN104135367B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7206934B2 (en) * | 2002-09-26 | 2007-04-17 | Sun Microsystems, Inc. | Distributed indexing of identity information in a peer-to-peer network |
| CN102884760A (zh) * | 2009-12-21 | 2013-01-16 | 电话有限公司 | 通过扩展的upnp标准和tispan委托式nass验证来订购服务的方法和系统 |
| CN102882830A (zh) * | 2011-07-11 | 2013-01-16 | 华为终端有限公司 | 媒体资源访问控制方法和设备 |
Non-Patent Citations (1)
| Title |
|---|
| UPnP设备权限控制及安全协议的研究与设计;孟祥宇 等;《电信工程技术与标准化》;20111031;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104135367A (zh) | 2014-11-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9154487B2 (en) | Registration server, gateway apparatus and method for providing a secret value to devices | |
| CN102752269B (zh) | 基于云计算的身份认证的方法、系统及云端服务器 | |
| CN105682093A (zh) | 无线网络接入方法及接入装置和客户端 | |
| CN112104604B (zh) | 基于电力物联管理平台的安全接入服务实现系统及方法 | |
| CN105429945B (zh) | 一种数据传输的方法、装置及系统 | |
| CN108259164A (zh) | 一种物联网设备的身份认证方法及设备 | |
| CN101252584B (zh) | 双向转发检测协议会话的认证方法、系统和设备 | |
| CN112600862B (zh) | 一种车载网络dds通信安全认证方法及系统 | |
| CN113452660B (zh) | 网状网络与云端服务器的通信方法、网状网络系统及其节点装置 | |
| CN107682363B (zh) | 智能家居产品安全通讯方法、系统及计算机可读存储介质 | |
| US20160197921A1 (en) | Secure Data Transmission System | |
| EP2498469B1 (en) | Authenticating method of communicating connection, gateway apparatus using authenticating method, and communication system using authenticating method | |
| CN102638468A (zh) | 保护信息传输安全的方法、发送端、接收端及系统 | |
| CN109729000B (zh) | 一种即时通信方法及装置 | |
| CN101800986A (zh) | 实现终端锁网及解锁的方法、装置 | |
| CN104754571A (zh) | 用于多媒体数据传输的用户认证实现方法、装置及其系统 | |
| CN114143068A (zh) | 电力物联网网关设备容器安全防护系统及其方法 | |
| CN108400953A (zh) | 控制终端上网及终端上网的方法,路由器设备及终端 | |
| CN108259460A (zh) | 设备控制方法和装置 | |
| CN108076062A (zh) | 物联网设备安全通信系统、方法、联网设备及服务器 | |
| CN104135367B (zh) | 一种UPnP接入安全认证方法及装置 | |
| CN108848114A (zh) | 一种安全的基于随机动态网络的信息传输方法 | |
| CN100428748C (zh) | 一种基于双重身份的多方通信方法 | |
| CN113596823B (zh) | 切片网络保护方法及装置 | |
| CN104396216A (zh) | 用于识别网络流量特征以关联和管理一个或多个后续流的方法及其装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| PP01 | Preservation of patent right | ||
| PP01 | Preservation of patent right |
Effective date of registration: 20180528 Granted publication date: 20171103 |