CN105007164B - 一种集中式安全控制方法及装置 - Google Patents
一种集中式安全控制方法及装置 Download PDFInfo
- Publication number
- CN105007164B CN105007164B CN201510458214.8A CN201510458214A CN105007164B CN 105007164 B CN105007164 B CN 105007164B CN 201510458214 A CN201510458214 A CN 201510458214A CN 105007164 B CN105007164 B CN 105007164B
- Authority
- CN
- China
- Prior art keywords
- intelligent
- equipment
- session
- central node
- intelligent equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种集中式安全控制方法及装置,所述方法包括:中心节点监听到某智能设备进入本地网络后,与所述智能设备互验身份,当验证通过后,存储所述智能设备的数字安全证书及公钥,并将所述智能设备加入安全设备列表;中心节点为所述智能设备生成会话密钥,并发送给所述智能设备;中心节点基于所述智能设备的查询请求,将所述安全设备列表利用所述会话密钥加密后发送给所述智能设备,以供所述智能设备选定会话的目标设备;中心节点在所述智能设备向选定的目标设备发起会话时,中转所述智能设备和目标设备间交互的会话信息。本发明将点对点安全策略改变为集中式安全控制,降低了智能设备的性能需求,降低了操作复杂性,降低了成本。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种集中式安全控制方法及装置。
背景技术
Alljoyn是一种基于C/S架构的设备之间点对点通信框架。Alljoyn由Bus Daemon(总线进程)和终端节点组成。Bus Daemon负责终端节点之间的消息路由,服务发现等功能。终端节点是指基于Alljoyn的应用程序,启动后需要连接到Bus Daemon上,终端节点如果提供服务,则向Bus Daemon注册一个服务名称,由Bus Daemon广播出去。如果作为客户端,那么可以通过服务名称来查找服务,并通过远程调用或信号来完成指定功能。
Alljoyn Security 2.0是针对点对点控制的安全协议。其需要终端用户通过Security Manager分别配置每个设备的安全策略,包括生成和更新数字身份证书,配置每个设备的Policy策略。Policy实际上是针对设备操作接口的权限控制列表(AccessControl Lists,简称ACLs)。
设备间连接前首先需要分别拥有自己的公钥和私钥,并采用ECDHE_NULL或ECHDE_PSK或ECHDE_ECDSA等方式交换数字身份证书。
设备对交换的证书进行验证,通过后,保存证书并建立会话,生成Session key(会话密钥)用来对会话加密。Session key在会话中保持不变。
用户可通过Security Manager(安全管理)来添加或删除某个设备的Policy(策略)。
身份证书到期后,设备需要请求Security Manager更换证书。
下面给出利用Alljoyn进行设备身份认证的两种应用场景,具体包括:
场景1:用户A手机上运行着Security Manager,分别配置家中用户B的手机,冰箱,空调,电视,平板电脑等连接到网络中,并分别生成数字身份证书。
(1)用户A的手机连接电视,电视与手机分别验证对方的数字证书并保存,交换公钥,建立会话后,生成唯一的会话密钥。
(2)用户B的手机连接电视,电视与手机分别验证对方的数字证书并保存,交换公钥,建立会话后,生成唯一的会话密钥。
(3)用户的平板电脑连接电视,电视与平板电脑分别验证对方的数字证书并保存,交换公钥,建立会话后,生成唯一的会话密钥。
(4)电视需要对证书计时,并在证书失效前,请求Security Manager更新数字证书。
此时,电视保存着用户A的手机,用户B的手机以及平板电脑的证书和三份公钥,同时有三个会话密钥。
场景2:用户A手机上运行着Security Manager,分别配置家中用户B的手机,冰箱,空调,电视,平板电脑等连接到网络中,并分别生成数字身份证书。
(1)用户A的手机连接电视,电视与手机分别验证对方的数字证书并保存,交换公钥,建立会话后,生成唯一的会话密钥。
(2)用户B的手机连接电视,电视与手机分别验证对方的数字证书并保存,交换公钥,并选择加入用户A与电视建立的会话,则保存之前会话生成的密钥。
(3)用户的平板电脑连接电视,电视与平板电脑分别验证对方的数字证书并保存,交换公钥,并选择加入(1)和(2)中建立的会话,则保存之前会话生成的密钥。
此时,电视保存着用户A的手机,用户B的手机以及平板电脑的证书和三份公钥,但拥有共同的会话密钥。
上述场景1的缺点是:每个设备有自己的数字证书,并且需要对每一个请求连接的设备进行身份认证,并存储相关证书,建立会话后,要保存每一个会话的会话密钥,同时还要维护自身证书的时间有效性。这些对于资源贫瘠的嵌入式设备来说,是无法承受的,并且是复杂和浪费的。
上述场景2的缺点是:每个设备有自己的数字证书,并且需要对每一个请求连接的设备进行身份认证,并存储相关证书。并且由于多个设备加入到同一个会话中,只要会话未曾终止,则多个设备存储了同一个会话密钥。该方案不仅存在操作复杂、资源浪费等问题,而且多个设备存储一个会话密钥具有安全性低,存在窃听的风险。
发明内容
本发明提供了一种集中式安全控制方法及装置,用以解决现有技术中的安全控制方法存在操作复杂、资源浪费和/或安全性低的问题。
依据本发明的一个方面,提供一种集中式安全控制方法,包括:
中心节点监听到智能设备进入本地网络后,与所述智能设备互验身份,当验证通过后,存储所述智能设备的数字安全证书及公钥,并将所述智能设备加入安全设备列表;
中心节点为所述智能设备生成会话密钥,并发送给所述智能设备;
中心节点基于所述智能设备的查询请求,将所述安全设备列表利用所述会话密钥加密后发送给所述智能设备,以供所述智能设备选定会话的目标设备;
中心节点在所述智能设备向选定的目标设备发起会话时,中转所述智能设备和目标设备间交互的会话信息。
可选地,本发明所述方法中,所述中心节点与所述智能设备通过验证对方的数字安全证书来验证对方的身份;其中,当所述智能设备没有数字安全证书时,所述中心节点为所述智能设备生成数字安全证书。
可选地,本发明所述方法中,所述中心节点在接收到所述智能设备发送的加入中心节点建立的会话的请求后,为所述智能设备生成会话密钥并发送给所述智能设备。
可选地,本发明所述方法中,所述中心节点每次向所述智能设备或目标设备反馈信息时,均携带新生成的用于所述智能设备或目标设备下次与所述中心节点交互的会话密钥。
可选地,本发明所述方法还包括:
所述中心节点实时监控存储的各智能设备的数字安全证书的有效期,当某智能设备的数字安全证书即将过期时,向对应智能设备更新其数字安全证书,若更新成功,则重新改写存储的对应智能设备的数字安全证书;若更新失败,则将对应智能设备从所述安全设备列表中剔除。
依据本发明的另一个方面,提供一种集中式安全控制方法,包括:
智能设备加入到中心节点所属网络后,与所述中心节点互验身份,当验证通过后,存储所述中心节点的数字安全证书及公钥;
智能设备接收中心节点发送的会话密钥,并利用该会话密钥向所述中心节点发起安全设备列表的查询请求,以及在所述中心节点反馈的安全设备列表中选定会话的目标设备;
智能设备通过所述中心节点与所述目标设备进行会话。
依据本发明的第三个方面,提供一种集中式安全控制中心节点,包括:
身份验证及存储模块,用于在监听到智能设备进入本地网络后,与所述智能设备互验身份,当验证通过后,存储所述智能设备的数字安全证书及公钥,并触发安全设备管理模块;
安全设备管理模块,用于将所述智能设备加入自身维护的安全设备列表中;
会话密钥管理模块,用于为所述智能设备生成会话密钥,并发送给所述智能设备;
查询模块,用于基于所述智能设备的查询请求,从所述安全设备管理模块获取所述安全设备列表,并将所述安全设备列表利用所述会话密钥加密后发送给所述智能设备,以供所述智能设备选定会话的目标设备;
中转控制模块,用于在所述智能设备向选定的目标设备发起会话时,中转所述智能设备和目标设备间交互的会话信息。
可选地,本发明所述的集中式安全控制中心节点中,所述身份验证及存储模块,具体用于与所述智能设备通过验证对方的数字安全证书来验证对方的身份;其中,当所述智能设备没有数字安全证书时,触发Security Manager模块;
所述Security Manager模块,用于为所述智能设备生成数字安全证书。
可选地,本发明所述的集中式安全控制中心节点中,所述会话密钥管理模块,还用于在中心节点每次向所述智能设备或目标设备反馈信息时,均生成新生成的用于所述智能设备或目标设备下次与所述中心节点交互的会话密钥。
可选地,本发明所述的集中式安全控制中心节点中,所述安全设备管理模块,还可用于实时监控存储的各智能设备的数字安全证书的有效期,当某智能设备的数字安全证书即将过期时,触发Security Manager模块生成新的数字安全证书,并向对应智能设备更新其数字安全证书,若更新成功,则重新改写存储的对应智能设备的数字安全证书;若更新失败,则将对应智能设备从所述安全设备列表中剔除。
依据本发明的第四个方面,提供一种智能设备,包括:
验证及存储模块,用于加入到集中式安全控制中心节点所属网络后,与所述集中式安全控制中心节点互验身份,当验证通过后,存储所述集中式安全控制中心节点的数字安全证书及公钥;
会话模块,用于接收集中式安全控制中心节点发送的会话密钥,并利用该会话密钥向所述集中式安全控制中心节点发起安全设备列表的查询请求,以及在所述集中式安全控制中心节点反馈的安全设备列表中选定会话的目标设备,并通过所述集中式安全控制中心节点与所述目标设备进行会话。
本发明有益效果如下:
首先,本发明将点对点安全策略改变为集中式安全控制,中心节点负责整个系统的安全,使得证书的生成,验证,存储主要都在中心节点上;其余智能设备只需要验证和存储中心节点的证书,对于其他的智能设备并不关心,这样使得其余智能设备的安全策略变得简单,降低了智能设备的性能需求,降低复杂性,降低成本。
其次,智能设备与中心节点的每一次交互都会使用一个全新的会话密钥,密钥作为固定的参数在每一次中心节点向智能设备的发送信息中,智能设备在下一次与中心节点的交互时,应使用最新接收的会话密钥,大大增强了位于同一个会话中智能设备交互的安全性;
第三,中心节点负责按时更新智能设备的数字安全证书,并发送给智能设备,智能设备采用被动式证书更新机制,增强了数字安全证书更新的智能性;
第四,本发明基于目前通用的操作系统所提供的API(应用程序编程接口)即可实现,具有可实现性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一提供的一种集中式安全控制方法的流程图;
图2为本发明实施例二提供的一种集中式安全控制方法的流程图;
图3为本发明实施例三提供的一种集中式安全控制方法的流程图;
图4为本发明实施例四提供的一种集中式安全控制中心节点的结构框图;
图5为本发明实施例五提供的一种智能设备的结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
本发明实施例提供一种集中式安全控制方法,如图1所示,所述方法包括:
步骤S101,中心节点监听到智能设备进入本地网络后,与所述智能设备互验身份,当验证通过后,存储所述智能设备的数字安全证书及公钥,并将所述智能设备加入安全设备列表;
该步骤中,中心节点与智能设备通过验证对方的数字安全证书来验证对方的身份;其中,当智能设备没有数字安全证书时,中心节点为智能设备生成数字安全证书。
步骤S102,中心节点为所述智能设备生成会话密钥,并发送给所述智能设备;
优选地,该步骤中,所述中心节点在接收到所述智能设备发送的加入中心节点建立的会话的请求后,为所述智能设备生成会话密钥并发送给所述智能设备。
步骤S103,中心节点基于所述智能设备的查询请求,将所述安全设备列表利用所述会话密钥加密后发送给所述智能设备,以供所述智能设备选定会话的目标设备;
步骤S104,中心节点在所述智能设备向选定的目标设备发起会话时,中转所述智能设备和目标设备间交互的会话信息。
在本发明的一个优选的实施例中,所述中心节点每次向所述智能设备或目标设备反馈信息时,均携带新生成的用于所述智能设备或目标设备下次与所述中心节点交互的会话密钥。该实施例中,由于智能设备与中心节点的每次交互都采用新的会话密钥,大大增强了位于同一个会话中智能设备交互的安全性。
在本发明的又一优选的实施例中,中心节点实时监控存储的各智能设备的数字安全证书的有效期,当某智能设备的数字安全证书即将过期时,向对应智能设备更新其数字安全证书,若更新成功,则重新改写存储的对应智能设备的数字安全证书;若更新失败,则将对应智能设备从所述安全设备列表中剔除。可见,本实施例中,中心节点负责按时更新智能设备的数字安全证书,并发送给智能设备,智能设备采用被动式证书更新机制,增强了数字安全证书更新的智能性。
实施例二
本发明实施例提供一种集中式安全控制方法,如图2所示,包括如下步骤:
步骤S201,智能设备加入到中心节点所属网络后,与所述中心节点互验身份,当验证通过后,存储所述中心节点的数字安全证书及公钥;
步骤S202,智能设备接收中心节点发送的会话密钥,并利用该会话密钥向所述中心节点发起安全设备列表的查询请求,以及在所述中心节点反馈的安全设备列表中选定会话的目标设备;
步骤S203,智能设备通过所述中心节点与所述目标设备进行会话。
经过实施例一、二的阐述可知,本发明实施例提供的集中式安全控制方法具有中心节点的集中式控制架构,中心节点将运行Security Manager,作为整个系统的安全控制中心。中心节点负责为所有连接的智能设备生成和分发证书,并维护证书列表,同时维系一个会话,并应为每一次交互生成不同的SessionKey,并采用公钥加密。
在智能设备端,大大简化了安全复杂度,所有智能设备只需验证中心节点的安全证书,只与中心节点交互,由中心节点来对所有智能设备的安全负责,被调用智能设备对调用智能设备实际上是透明的。只用一个公钥即可满足需求。同时,由于所有智能设备均在一个会话中,为了保证会话的安全性,智能设备每次与中心节点交互后,无论是调用还是被调用,中心节点均会生成不同的会话密钥,在调用的返回信息或被调用的发送信息中,将会话密钥发送给智能设备,随时的更换密钥,也提高了系统的安全性。在集中式控制场景下,所有智能设备可以共用一个公钥,降低复杂性。每个智能设备只需要验证和存储中心节点的身份证书即可,无须关注其余智能设备的身份信息。
实施例三
本发明实施例通过结合具体的应用场景对本发明提供的集中式安全控制方法进行更详尽的阐述,本实施例中,将中心节点默认为智能网关,当然,本发明中,中心节点不限于为智能网关,只要某设备满足其是整个系统中的控制中心,它来建立一个会话,其他智能设备会加入这个会话中,Security Manager运行在这个设备上,并维护安全设备列表,那么该设备就可以作为本发明所述的中心节点。
如图3所示,本实施例所述的集中式安全控制方法,包括如下步骤:
(1)智能家电设备进入本地设备互联网后,发送Claim(声明)广播。
(2)智能网关上的Security Manager监听到广播后,查看其是否有数字安全证书,若没有,则智能网关为其生成数字安全证书,并将生成的数字安全证书发送至智能家电设备,执行步骤(3);否则,直接执行步骤(3)。
(3)智能网关将自身的数字安全证书与智能家电设备的数字安全证书交换,智能家电设备存储智能网关的数字安全证书,并交换公钥。
(4)智能网关存储智能家电设备的数字安全证书和公钥,同时将智能家电设备添加到安全设备列表中,记录智能家电设备证书有效时间,定时模块开始计时。
表1.安全设备列表的举例
| Device ID | 包含接口 | 证书有效时间 |
| 电视001 | 开关,声音大小 | 7天 |
| 空调001 | 开关,温度大小 | 10天 |
表2.证书及公钥存储的举例
| Device ID | 公钥 | 证书颁发机构 | AKI |
| 电视001 | 1123ksjshd223 | CA | CalPubkeyHash |
| 空调001 | 1d8aad98aids2 | CA | UserPubkeyHash |
(5)智能家电设备请求加入智能网关建立的会话,智能网关验证其身份后,由密钥管理模块随机生成一个会话密钥,发送给智能家电设备。
(6)同(1)到(5),有多个智能家电设备加入到智能网关建立的会话中,这些智能家电设备均与智能网关交换数字安全证书和公钥,以及获得自己的临时会话密钥。智能网关存储所有智能家电设备的数字安全证书和公钥,同时计算证书有效时间。
(7)智能家电设备A查询智能网关的安全设备列表,获得所有可以操作的安全设备,然后发送命令调用智能家电设备B,发送的调用信息(Alljoyn中为Method Call)中包含字段会话密钥。
(8)智能网关收到调用信息,首先查看被调用智能家电设备B是否在安全设备列表中并查看证书是否在有效期内,在有效期内,则将控制命令转发给智能家电设备B,调用信息中含有与智能家电设备B交互用的新的会话密钥。
(9)智能家电设备B收到控制命令,执行命令,并按照新的会话密钥加密,将执行结果返还给智能网关。
(10)智能网关将回复返回给智能家电设备A,同时包含有与智能家电设备A交互用的新生成的会话密钥。
进一步地,本实施例中,智能网关的定时模块负责按时检查安全设备列表,发现安全设备列表中智能家电设备的证书即将过期,则向智能家电设备更新证书,更新成功,则重新改写安全设备列表,若未成功,则将该智能家电设备剔除出安全设备列表。
实施例四
本发明实施例提供一种集中式安全控制中心节点,如图4所示,具体包括:
身份验证及存储模块410,用于在监听到智能设备进入本地网络后,与所述智能设备互验身份,当验证通过后,存储所述智能设备的数字安全证书及公钥,并触发安全设备管理模块420;
安全设备管理模块420,用于将所述智能设备加入自身维护的安全设备列表中;
会话密钥管理模块430,用于为所述智能设备生成会话密钥,并发送给所述智能设备;
查询模块440,用于基于所述智能设备的查询请求,从所述安全设备管理模块420获取所述安全设备列表,并将所述安全设备列表利用所述会话密钥加密后发送给所述智能设备,以供所述智能设备选定会话的目标设备;
中转控制模块450,用于在所述智能设备向选定的目标设备发起会话时,中转所述智能设备和目标设备间交互的会话信息。
基于上述结构框架及实施原理,下面给出在上述结构下的几个具体及优选实施方式,用以细化和优化本发明所述集中式安全控制中心节点的功能,以使本发明方案的实施更方便,准确。需要说明的是,在不冲突的情况下,如下特征可以任意组合。
本实施例中,身份验证及存储模块410,具体用于与所述智能设备通过验证对方的数字安全证书来验证对方的身份;其中,当所述智能设备没有数字安全证书时,触发Security Manager模块460;
所述Security Manager模块460,用于为所述智能设备生成数字安全证书。
进一步地,本实施例中,会话密钥管理模块430,还用于在中心节点每次向所述智能设备或目标设备反馈信息时,均生成新生成的用于所述智能设备或目标设备下次与所述中心节点交互的会话密钥。
进一步地,本实施例中,安全设备管理模块420,还可用于实时监控存储的各智能设备的数字安全证书的有效期,当某智能设备的数字安全证书即将过期时,触发SecurityManager模块460生成新的数字安全证书,并向对应智能设备更新其数字安全证书,若更新成功,则重新改写存储的对应智能设备的数字安全证书;若更新失败,则将对应智能设备从所述安全设备列表中剔除。
综上所述,可知本发明所述中心节点负责整个系统的安全,使得证书的生成,验证,存储主要都在中心节点上;其余智能设备只需要验证和存储中心节点的证书,对于其他的智能设备并不关心,这样使得其余智能设备的安全策略变得简单,降低了智能设备的性能需求,降低复杂性,降低成本。
并且,智能设备与中心节点的每一次交互都会使用一个全新的会话密钥,密钥作为固定的参数在每一次中心节点向智能设备的发送信息中,智能设备在下一次与中心节点的交互时,应使用最新接收的会话密钥,大大增强了位于同一个会话中智能设备交互的安全性;
另外,中心节点负责按时更新智能设备的数字安全证书,并发送给智能设备,智能设备采用被动式证书更新机制,增强了数字安全证书更新的智能性;
实施例五
本发明实施例提供一种智能设备,如图5所示,包括:
验证及存储模块510,用于加入到集中式安全控制中心节点所属网络后,与所述集中式安全控制中心节点互验身份,当验证通过后,存储所述集中式安全控制中心节点的数字安全证书及公钥;
会话模块520,用于接收集中式安全控制中心节点发送的会话密钥,并利用该会话密钥向所述集中式安全控制中心节点发起安全设备列表的查询请求,以及在所述集中式安全控制中心节点反馈的安全设备列表中选定会话的目标设备,并通过所述集中式安全控制中心节点与所述目标设备进行会话。
综上所述,可知本发明实施例所述智能设备只需验证集中式安全控制中心节点的安全证书,只与集中式安全控制中心节点交互,无须关注其余智能设备的身份信息,降低了操作的复杂性。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是其与其他实施例的不同之处。尤其对于装置实施例而言,由于其基本相似与方法实施例,所以,描述的比较简单,相关之处参见方法实施例的部分说明即可。
虽然通过实施例描述了本申请,本领域的技术人员知道,本申请有许多变形和变化而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (9)
1.一种集中式安全控制方法,其特征在于,包括:
中心节点监听到智能设备进入本地网络后,与所述智能设备互验身份,当验证通过后,存储所述智能设备的数字安全证书及公钥,并将所述智能设备加入安全设备列表;
中心节点为所述智能设备生成会话密钥,并发送给所述智能设备;
中心节点基于所述智能设备的查询请求,将所述安全设备列表利用所述会话密钥加密后发送给所述智能设备,以供所述智能设备选定会话的目标设备;
中心节点在所述智能设备向选定的目标设备发起会话时,中转所述智能设备和目标设备间交互的会话信息;
所述中心节点每次向所述智能设备或目标设备反馈信息时,均携带新生成的用于所述智能设备或目标设备下次与所述中心节点交互的会话密钥。
2.如权利要求1所述的方法,其特征在于,所述中心节点与所述智能设备通过验证对方的数字安全证书来验证对方的身份;其中,当所述智能设备没有数字安全证书时,所述中心节点为所述智能设备生成数字安全证书。
3.如权利要求1或2所述的方法,其特征在于,所述中心节点在接收到所述智能设备发送的加入中心节点建立的会话的请求后,为所述智能设备生成会话密钥并发送给所述智能设备。
4.如权利要求1或2所述的方法,其特征在于,所述方法还包括:
所述中心节点实时监控存储的各智能设备的数字安全证书的有效期,当智能设备的数字安全证书即将过期时,向对应智能设备更新其数字安全证书,若更新成功,则重新改写存储的对应智能设备的数字安全证书;若更新失败,则将对应智能设备从所述安全设备列表中剔除。
5.一种集中式安全控制方法,其特征在于,包括:
智能设备加入到中心节点所属网络后,与所述中心节点互验身份,当验证通过后,存储所述中心节点的数字安全证书及公钥;
智能设备接收中心节点发送的会话密钥,并利用该会话密钥向所述中心节点发起安全设备列表的查询请求,以及在所述中心节点反馈的安全设备列表中选定会话的目标设备;
智能设备通过所述中心节点与所述目标设备进行会话;
智能设备每次与中心节点交互后,无论是调用还是被调用,中心节点均会生成不同的会话密钥,在调用的返回信息或被调用的发送信息中,将会话密钥发送给智能设备。
6.一种集中式安全控制中心节点,其特征在于,包括:
身份验证及存储模块,用于在监听到智能设备进入本地网络后,与所述智能设备互验身份,当验证通过后,存储所述智能设备的数字安全证书及公钥,并触发安全设备管理模块;
安全设备管理模块,用于将所述智能设备加入自身维护的安全设备列表中;
会话密钥管理模块,用于为所述智能设备生成会话密钥,并发送给所述智能设备;
查询模块,用于基于所述智能设备的查询请求,从所述安全设备管理模块获取所述安全设备列表,并将所述安全设备列表利用所述会话密钥加密后发送给所述智能设备,以供所述智能设备选定会话的目标设备;
中转控制模块,用于在所述智能设备向选定的目标设备发起会话时,中转所述智能设备和目标设备间交互的会话信息;
所述会话密钥管理模块,还用于在集中式安全控制中心节点每次向所述智能设备或目标设备反馈信息时,均生成新生成的用于所述智能设备或目标设备下次与所述集中式安全控制中心节点交互的会话密钥。
7.如权利要求6所述的集中式安全控制中心节点,其特征在于,所述身份验证及存储模块,具体用于与所述智能设备通过验证对方的数字安全证书来验证对方的身份;其中,当所述智能设备没有数字安全证书时,触发安全管理模块;
所述安全管理模块,用于为所述智能设备生成数字安全证书。
8.如权利要求6或7所述的集中式安全控制中心节点,其特征在于,
所述安全设备管理模块,还可用于实时监控存储的各智能设备的数字安全证书的有效期,当智能设备的数字安全证书即将过期时,触发安全管理模块生成新的数字安全证书,并向对应智能设备更新其数字安全证书,若更新成功,则重新改写存储的对应智能设备的数字安全证书;若更新失败,则将对应智能设备从所述安全设备列表中剔除。
9.一种智能设备,其特征在于,包括:
验证及存储模块,用于加入到集中式安全控制中心节点所属网络后,与所述集中式安全控制中心节点互验身份,当验证通过后,存储所述集中式安全控制中心节点的数字安全证书及公钥;
会话模块,用于接收集中式安全控制中心节点发送的会话密钥,并利用该会话密钥向所述集中式安全控制中心节点发起安全设备列表的查询请求,以及在所述集中式安全控制中心节点反馈的安全设备列表中选定会话的目标设备,并通过所述集中式安全控制中心节点与所述目标设备进行会话;
智能设备与中心节点的每一次交互都会使用一个全新的会话密钥,密钥作为固定的参数在每一次中心节点向智能设备的发送信息中,智能设备在下一次与中心节点的交互时,使用最新接收的会话密钥。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510458214.8A CN105007164B (zh) | 2015-07-30 | 2015-07-30 | 一种集中式安全控制方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510458214.8A CN105007164B (zh) | 2015-07-30 | 2015-07-30 | 一种集中式安全控制方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105007164A CN105007164A (zh) | 2015-10-28 |
| CN105007164B true CN105007164B (zh) | 2021-07-06 |
Family
ID=54379692
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510458214.8A Active CN105007164B (zh) | 2015-07-30 | 2015-07-30 | 一种集中式安全控制方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105007164B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105959303B (zh) * | 2016-03-23 | 2019-03-12 | 四川长虹电器股份有限公司 | 一种信息安全系统和信息安全方法 |
| CN106302405A (zh) * | 2016-08-01 | 2017-01-04 | 北京同余科技有限公司 | 一种智能设备连接检测系统和方法 |
| CN107800861B (zh) * | 2016-08-29 | 2023-09-22 | 深圳脸网科技有限公司 | 一种信息直接传送的社交设备、系统及方法 |
| CN107222373B (zh) * | 2017-05-05 | 2020-01-24 | 深圳市文鼎创软件有限公司 | 智能家居的控制方法、系统、终端、fido服务器及安全设备 |
| CN107426160B (zh) * | 2017-05-05 | 2020-04-14 | 深圳市文鼎创软件有限公司 | 智能家居的控制方法、系统、终端、fido服务器及安全设备 |
| CN110198433B (zh) * | 2019-04-23 | 2021-01-01 | 视联动力信息技术股份有限公司 | 一种监控视频录制设备的接入方法及系统 |
| CN113132973B (zh) * | 2019-12-31 | 2022-05-24 | 佛山市云米电器科技有限公司 | 设备配网方法、系统及计算机可读存储介质 |
| CN113329041B (zh) * | 2021-08-03 | 2021-11-02 | 北京紫光青藤微系统有限公司 | 用于控制安全元件的方法、装置、电子设备和存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102142974A (zh) * | 2010-01-28 | 2011-08-03 | 中兴通讯股份有限公司 | 授权管理物联网终端的方法和系统 |
| CN102957584A (zh) * | 2011-08-25 | 2013-03-06 | 华为终端有限公司 | 家庭网络设备的管理方法、控制设备和家庭网络设备 |
| CN103309307A (zh) * | 2013-05-15 | 2013-09-18 | 重庆邮电大学 | 一种基于对象访问控制的智能家电控制方法 |
| CN103561044A (zh) * | 2013-11-20 | 2014-02-05 | 无锡儒安科技有限公司 | 数据传输方法和数据传输系统 |
| CN103685323A (zh) * | 2014-01-02 | 2014-03-26 | 中国科学院信息工程研究所 | 一种基于智能云电视网关的智能家居安全组网实现方法 |
| WO2014154813A1 (fr) * | 2013-03-28 | 2014-10-02 | Commissariat A L'energie Atomique Et Aux Energies Alternatives | Procede et dispositif pour former un reseau sans fil securise a faibles ressources |
| CN104618380A (zh) * | 2015-02-03 | 2015-05-13 | 浙江师范大学 | 一种适用于物联网的密钥更新方法 |
-
2015
- 2015-07-30 CN CN201510458214.8A patent/CN105007164B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102142974A (zh) * | 2010-01-28 | 2011-08-03 | 中兴通讯股份有限公司 | 授权管理物联网终端的方法和系统 |
| CN102957584A (zh) * | 2011-08-25 | 2013-03-06 | 华为终端有限公司 | 家庭网络设备的管理方法、控制设备和家庭网络设备 |
| WO2014154813A1 (fr) * | 2013-03-28 | 2014-10-02 | Commissariat A L'energie Atomique Et Aux Energies Alternatives | Procede et dispositif pour former un reseau sans fil securise a faibles ressources |
| CN103309307A (zh) * | 2013-05-15 | 2013-09-18 | 重庆邮电大学 | 一种基于对象访问控制的智能家电控制方法 |
| CN103561044A (zh) * | 2013-11-20 | 2014-02-05 | 无锡儒安科技有限公司 | 数据传输方法和数据传输系统 |
| CN103685323A (zh) * | 2014-01-02 | 2014-03-26 | 中国科学院信息工程研究所 | 一种基于智能云电视网关的智能家居安全组网实现方法 |
| CN104618380A (zh) * | 2015-02-03 | 2015-05-13 | 浙江师范大学 | 一种适用于物联网的密钥更新方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105007164A (zh) | 2015-10-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105007164B (zh) | 一种集中式安全控制方法及装置 | |
| US11784788B2 (en) | Identity management method, device, communications network, and storage medium | |
| EP3432532B1 (en) | Key distribution and authentication method, apparatus and system | |
| CN110581854B (zh) | 基于区块链的智能终端安全通信方法 | |
| US8762707B2 (en) | Authorization, authentication and accounting protocols in multicast content distribution networks | |
| KR101528855B1 (ko) | 홈 네트워크에서 인증 정보를 관리하는 방법 및 그 장치 | |
| JP5241926B2 (ja) | ピアツーピア・ネットワークのための分散ハッシュテーブルにおけるセキュリティで保護されたノード識別子割当て | |
| CN106656547B (zh) | 一种更新家电设备网络配置的方法和装置 | |
| CN112243235B (zh) | 适用于天地一体化的群组接入认证和切换认证方法及应用 | |
| CN112997447B (zh) | 用于无线设备的基于时间戳的接入处理 | |
| WO2019137030A1 (zh) | 安全认证方法、相关设备及系统 | |
| CN103370899A (zh) | 无线设备、注册服务器和无线设备预配置方法 | |
| EP3813298B1 (en) | Method and apparatus for establishing trusted channel between user and trusted computing cluster | |
| CN102447679B (zh) | 一种保障对等网络数据安全的方法及系统 | |
| CN108990062B (zh) | 智能安全Wi-Fi管理方法和系统 | |
| US10581860B2 (en) | Blacklist management method for IBC-based distributed authentication framework | |
| US20240129746A1 (en) | A method for operating a cellular network | |
| CN104780069A (zh) | 一种面向sdn网络的控制层与数据层通信通道自配置方法及其系统 | |
| CN111355571B (zh) | 生成身份认证私钥的方法、终端、连接管理平台和系统 | |
| CN104205898A (zh) | 用于m2m环境中基于群组的服务引导的方法和系统 | |
| CN115632779B (zh) | 一种基于配电网的量子加密通信方法及系统 | |
| CN116204914A (zh) | 一种可信隐私计算方法、装置、设备及存储介质 | |
| CN101345723B (zh) | 客户网关的管理认证方法和认证系统 | |
| JP2017509244A (ja) | 2つのセキュリティモジュールの間に安全な通信チャネルを生成する方法及びシステム | |
| KR20090002328A (ko) | 무선 센서 네트워크에서의 새로운 장치 참여 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |