CN107222764B - 利用mqtt和ssl实现双向ca安全授权的方法 - Google Patents

利用mqtt和ssl实现双向ca安全授权的方法 Download PDF

Info

Publication number
CN107222764B
CN107222764B CN201710547889.9A CN201710547889A CN107222764B CN 107222764 B CN107222764 B CN 107222764B CN 201710547889 A CN201710547889 A CN 201710547889A CN 107222764 B CN107222764 B CN 107222764B
Authority
CN
China
Prior art keywords
authorization
terminal
server
key
ssl
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710547889.9A
Other languages
English (en)
Other versions
CN107222764A (zh
Inventor
文艺
白慧生
杨磊
吴建军
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sichuan Jinwangtong Electronic Technology Co Ltd
Original Assignee
Chengdu Rs Crypto Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu Rs Crypto Technology Co ltd filed Critical Chengdu Rs Crypto Technology Co ltd
Priority to CN201710547889.9A priority Critical patent/CN107222764B/zh
Publication of CN107222764A publication Critical patent/CN107222764A/zh
Application granted granted Critical
Publication of CN107222764B publication Critical patent/CN107222764B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/25Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
    • H04N21/254Management at additional data server, e.g. shopping server, rights management server
    • H04N21/2541Rights Management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/55Push-based network services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/43Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
    • H04N21/44Processing of video elementary streams, e.g. splicing a video clip retrieved from local storage with an incoming video stream or rendering scenes according to encoded video stream scene graphs
    • H04N21/4408Processing of video elementary streams, e.g. splicing a video clip retrieved from local storage with an incoming video stream or rendering scenes according to encoded video stream scene graphs involving video stream encryption, e.g. re-encrypting a decrypted video stream for redistribution in a home network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/45Management operations performed by the client for facilitating the reception of or the interaction with the content or administrating data related to the end-user or to the client device itself, e.g. learning user preferences for recommending movies, resolving scheduling conflicts
    • H04N21/462Content or additional data management, e.g. creating a master electronic program guide from data received from the Internet and a Head-end, controlling the complexity of a video stream by scaling the resolution or bit-rate based on the client capabilities
    • H04N21/4623Processing of entitlement messages, e.g. ECM [Entitlement Control Message] or EMM [Entitlement Management Message]

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Multimedia (AREA)
  • Databases & Information Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Telephonic Communication Services (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明公开了一种利用MQTT和SSL实现双向CA安全授权的方法,所述的方法包括以下步骤:授权推送流程:服务端将用户的授权划分不同类型,分别为每种类型的授权设计一个主题;链路安全认证过程:采用标准的SSL双向认证流程,由终端公钥证书验证服务端合法性,由服务器使用终端对应的公钥证书验证客户端合法性;数据安全性保护:由设备ID和运营商信息为每个设备衍生一个不同密钥,出厂时将该密钥写入到设备中,服务端和该设备通讯的数据采用该密钥进行加密,同时进行签名。本发明采用MQTT作为通信基础,采用双向SSL保证链路安全,使用设备个性密钥保证数据安全来实现CA双向安全授权功能。

Description

利用MQTT和SSL实现双向CA安全授权的方法
技术领域
本发明涉及CA安全授权技术领域,具体涉及一种利用MQTT和SSL实现双向CA安全授权的方法。
背景技术
MQTT(Message Queuing Telemetry Transport):
由IBM开发的一个即时通讯协议,使用发布/订阅消息模式,提供一对多的消息发布。使用TCP/IP提供网络连接。有三种消息发布服务质量:至多一次,至少一次,只有一次。
SSL(Secure Sockets Layer安全套接层):
提供网络通信安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。
衍生算法:
采用用户的唯一的硬件设备ID通过衍生算法衍生成用户的个性密钥,个性密钥被分散保存到终端。
设备证书:
根据用户设备ID信息,运营商信息生成设备证书,证书由服务器私钥进行签名。
有线电视网络是未来社会发展中最重要的网络资源,处于世纪之交的有线电视网未来面对的是数字化,网络化,综合信息交互化的机遇和挑战;正处于从模拟转向数字,单向广播朝向双向互动转变;基本业务向扩展增值服务的拓展,数字化是调整传输信息的工具,网络化是达到信息资源全民共享,信息化就是开展增值扩展服务,其中有条件接收(CA)是达到这个目标的技术基础,也是我国文凭电视向高层次发展的一条必经之路。有条件接收是一种技术手段,它只容许被授权的用户使用某一业务,未经授权的用户不能使用这一业务,它可以确保有线电视增值业务的正常收益。CA也被用在有线数字电视行业中的加密,对流媒体文件进行CA加密,并需要进行解密后用户才能正常收看,以此来对用户进行管理,并防止了信号的私自盗用。
为了实现CA的双向功能,需要在用户和服务器之间建立一种安全可靠的双向通讯链路,同时需要保证用户和服务器数据安全。
发明内容
本发明克服了现有技术的不足,提供一种利用MQTT和SSL实现双向CA安全授权的方法。
为解决上述的技术问题,本发明采用以下技术方案:
一种利用MQTT和SSL实现双向CA安全授权的方法,所述的方法包括以下步骤:
授权推送流程:
服务器将用户的授权划分不同类型,分别为每种类型的授权设计一个主题,针对用户发送的授权主题设计为:
/userid/{用户ID}/{授权类型},
其中消息体内容为授权内容;
MQTT支持定义通配符主题,对于这类主题,终端订阅的主题为:
/userid/{用户ID}#
其中,用户ID为当前用户自己的ID,#表示订阅所有以/userid/{用户ID}开头的主题;
链路安全认证过程:
采用标准的SSL双向认证流程,由终端公钥证书验证服务器合法性,由服务器使用终端对应的公钥证书验证终端合法性;
数据安全性保护:
由终端ID和运营商信息为每个终端衍生一个不同密钥,出厂时将该密钥写入到终端中,服务器和该终端通讯的数据采用该密钥进行加密,同时进行签名。
更进一步的技术方案是所述的授权推送流程还包括:
步骤1,为终端的每个授权定义一个序号,每个终端拥有自己的授权序号,这个序号在每次授权发生变更时加1;
步骤2,系统定义一个公共的主题,用于终端收到每类授权时上报自己的这类授权的序号;
步骤3,服务器为每个终端所有待推送授权存放到一个队列中;
步骤4,服务器首先推送一个授权,等待接收该终端上报这个授权的版本;
步骤5,服务器收到终端上报的该授权的序号时,如果授权不一致,再推送一次该授权;
步骤6,进行下一个授权的推送,形成一个迭代的过程,直到把所有的授权推送完成。
更进一步的技术方案是还包括:当服务器发现终端某个授权序号和服务器不一致时,触发该授权推送流程。
更进一步的技术方案是所述的数据安全性保护步骤中,出厂时将所述密钥通过烧写工具写入到OTP或FLASH中。
更进一步的技术方案是如果将所述密钥写入到FLASH中,则采用分散算法将所述密钥分散为多组数据,然后分别存放到不同的地方,使用时通过还原算法还原出密钥使用。
与现有技术相比,本发明实施例的有益效果之一是:本发明采用MQTT作为通信基础,采用双向SSL保证链路安全,使用终端个性密钥保证数据安全来实现CA双向安全授权功能。
附图说明
图1为本发明一个实施例中一种触发授权推送流程图。
图2为本发明一个实施例中另一种触发授权推送流程图。
具体实施方式
本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。
本说明书(包括任何附加权利要求、摘要和附图)中公开的任一特征,除非特别叙述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
下面结合附图及实施例对本发明的具体实施方式进行详细描述。
在下面的详细描述中,出于解释的目的描述了许多具体描述以便能够彻底理解所公开的实施方案,然而,很明显一个或多个实施方式可以在不使用这些具体描述的情况下实施,在其他实例中,示意性地显示已知结构和装置,以便简化附图。
根据本发明的一个实施例,本实施例公开一种利用MQTT和SSL实现双向CA安全授权的方法,具体的,该利用MQTT和SSL实现双向CA安全授权的方法包括以下步骤:
授权推送流程:
服务器将用户的授权划分几种类型,分别为每种类型的授权设计一个主题,针对用户发送的授权主题设计为:
/userid/{用户ID}/{授权类型}
其中消息体内容为授权内容。
MQTT本身是支持定义通配符主题的,对于这类主题,终端订阅的主题为:
/userid/{用户ID}#
其中用户ID为当前用户自己的ID,#表示订阅所有以/userid/{用户ID}开头的主题,这样设计后只要服务器向/userid/{用户ID}/{授权类型}主题发送信息,该终端(且只有该终端,其他终端不会订阅其他终端的主题)立即就能收到发送的授权数据。从而实现授权过程。
进一步的,对于MQTT服务器,会持久化最后一条消息,这样会导致一个问题,当一个终端终端长期没有开机,在这个时期中可能针对该终端有多条授权,如果把所有的授权都发送给MQTT服务器会导致中间其他授权丢失。为了解决问题我们进行了如下设计:
步骤1,为终端的每个授权定义了一个序号,每个终端拥有自己的授权序号,这个序号在每次授权发生变更时加1。
步骤2,系统定义了一个公共的主题,用于终端收到每类授权时上报自己的这类授权的序号。
步骤3,服务器为每个终端所有待推送授权存放到一个队列中
步骤4,服务器首先推送一个授权,等待接收该终端上报这个授权的版本。
步骤5,服务器收到终端上报的该授权的序号,如果授权不一致,再推送一次该授权(出现这种情况是上一个授权推送的过程中用户的授权又发生了变更)。
步骤6,进行下一个授权的推送,形成一个迭代的过程,直到把所有的授权推送完成。
另外:终端上线时会主动上报一次所有授权的序号,服务器发现终端某个授权序号和服务器不一致触发该授权推送流程,如图1和图2所示。
链路安全认证过程:
采用标准的SSL双向认证流程,由终端公钥证书验证服务器合法性,由服务器使用终端对应的公钥证书验证终端合法性。
数据安全性保护:
由终端ID和运营商信息为每个终端衍生一个不同key,出厂时将该key(烧写工具,该工具不会对外提供)写入到终端中(OTP或FLASH),如果写入到FLASH中的话采用分散算法将key分散为多组数据,然后分别存放到不同的地方,使用时通过还原算法还原出密钥使用。服务器和该终端通讯的数据采用该密钥进行加密,同时进行签名。
在本说明书中所谈到的“一个实施例”、“另一个实施例”、“实施例”等,指的是结合该实施例描述的具体特征、结构或者特点包括在本申请概括性描述的至少一个实施例中。在说明书中多个地方出现同种表述不是一定指的是同一个实施例。进一步来说,结合任一个实施例描述一个具体特征、结构或者特点时,所要主张的是结合其他实施例来实现这种特征、结构或者特点也落在本发明的范围内。
尽管这里参照发明的多个解释性实施例对本发明进行了描述,但是,应该理解,本领域技术人员可以设计出很多其他的修改和实施方式,这些修改和实施方式将落在本申请公开的原则范围和精神之内。更具体地说,在本申请公开权利要求的范围内,可以对主题组合布局的组成部件和/或布局进行多种变型和改进。除了对组成部件和/或布局进行的变型和改进外,对于本领域技术人员来说,其他的用途也将是明显的。

Claims (5)

1.一种利用MQTT和SSL实现双向CA安全授权的方法,其特征在于:所述的方法包括以下步骤:
授权推送流程:
服务器将用户的授权划分不同类型,分别为每种类型的授权设计一个主题,针对用户发送的授权主题设计为:
/userid/{用户ID}/{授权类型},
MQTT支持定义通配符主题,对于这类主题,终端订阅的主题为:
/userid/{用户ID}#
其中,用户ID为当前用户自己的ID,#表示订阅所有以/userid/{用户ID}开头的主题;
链路安全认证过程:
采用标准的SSL双向认证流程,由终端公钥证书验证服务器合法性,由服务器使用终端对应的公钥证书验证终端合法性;
数据安全性保护:
由终端ID和运营商信息为每个终端衍生一个不同密钥,出厂时将该密钥写入到终端中,服务器和该终端通讯的数据采用该密钥进行加密,同时进行签名。
2.根据权利要求1所述的利用MQTT和SSL实现双向CA安全授权的方法,其特征在于所述的授权推送流程还包括:
步骤1,为终端的每个授权定义一个序号,每个终端拥有自己的授权序号,这个序号在每次授权发生变更时加1;
步骤2,系统定义一个公共的主题,用于终端收到每类授权时上报自己的这类授权的序号;
步骤3,服务器为每个终端所有待推送授权存放到一个队列中;
步骤4,服务器首先推送一个授权,等待接收该终端上报这个授权的版本;
步骤5,服务器收到终端上报的该授权的序号时,如果授权不一致,再推送一次该授权;
步骤6,进行下一个授权的推送,形成一个迭代的过程,直到把所有的授权推送完成。
3.根据权利要求2所述的利用MQTT和SSL实现双向CA安全授权的方法,其特征在于还包括:当服务器发现终端某个授权序号和服务器不一致时,触发该授权推送流程。
4.根据权利要求1所述的利用MQTT和SSL实现双向CA安全授权的方法,其特征在于所述的数据安全性保护步骤中,出厂时将所述密钥通过烧写工具写入到OTP或FLASH中。
5.根据权利要求4所述的利用MQTT和SSL实现双向CA安全授权的方法,其特征在于:如果将所述密钥写入到FLASH中,则采用分散算法将所述密钥分散为多组数据,然后分别存放到不同的地方,使用时通过还原算法还原出密钥使用。
CN201710547889.9A 2017-07-06 2017-07-06 利用mqtt和ssl实现双向ca安全授权的方法 Active CN107222764B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710547889.9A CN107222764B (zh) 2017-07-06 2017-07-06 利用mqtt和ssl实现双向ca安全授权的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710547889.9A CN107222764B (zh) 2017-07-06 2017-07-06 利用mqtt和ssl实现双向ca安全授权的方法

Publications (2)

Publication Number Publication Date
CN107222764A CN107222764A (zh) 2017-09-29
CN107222764B true CN107222764B (zh) 2020-06-19

Family

ID=59952116

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710547889.9A Active CN107222764B (zh) 2017-07-06 2017-07-06 利用mqtt和ssl实现双向ca安全授权的方法

Country Status (1)

Country Link
CN (1) CN107222764B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109981531A (zh) * 2017-12-27 2019-07-05 航天信息股份有限公司 一种基于税务数字证书的税务外网安全接入方法及系统
CN110602690B (zh) * 2019-08-23 2022-01-14 华为技术有限公司 一种应用于ZigBee系统的加密方法及装置
CN115694979A (zh) * 2022-10-28 2023-02-03 重庆长安汽车股份有限公司 一种车载终端接入mqtt的方法、装置、设备、介质及程序

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1787525A (zh) * 2005-11-15 2006-06-14 上海格尔软件股份有限公司 双证书在ssl协议中的应用方法
CN101076109A (zh) * 2007-05-11 2007-11-21 天栢宽带网络科技(上海)有限公司 数字电视双向ca系统和基于该系统的节目订购/取消方法
CN103347074A (zh) * 2013-07-01 2013-10-09 中山司南物联网科技有限公司 一种多级物联网连接服务系统
CN103606223A (zh) * 2013-11-15 2014-02-26 深圳市捷顺科技实业股份有限公司 一种卡片认证方法及装置
CN103763356A (zh) * 2014-01-08 2014-04-30 深圳大学 一种安全套接层连接的建立方法、装置及系统
CN105187409A (zh) * 2015-08-18 2015-12-23 杭州古北电子科技有限公司 一种设备授权系统及其授权方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU777912B2 (en) * 2000-02-29 2004-11-04 International Business Machines Corporation System and method of associating devices to secure commercial transactions performed over the internet

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1787525A (zh) * 2005-11-15 2006-06-14 上海格尔软件股份有限公司 双证书在ssl协议中的应用方法
CN101076109A (zh) * 2007-05-11 2007-11-21 天栢宽带网络科技(上海)有限公司 数字电视双向ca系统和基于该系统的节目订购/取消方法
CN103347074A (zh) * 2013-07-01 2013-10-09 中山司南物联网科技有限公司 一种多级物联网连接服务系统
CN103606223A (zh) * 2013-11-15 2014-02-26 深圳市捷顺科技实业股份有限公司 一种卡片认证方法及装置
CN103763356A (zh) * 2014-01-08 2014-04-30 深圳大学 一种安全套接层连接的建立方法、装置及系统
CN105187409A (zh) * 2015-08-18 2015-12-23 杭州古北电子科技有限公司 一种设备授权系统及其授权方法

Also Published As

Publication number Publication date
CN107222764A (zh) 2017-09-29

Similar Documents

Publication Publication Date Title
CN101510877B (zh) 单点登录方法和系统、通信装置
EP2605168B1 (en) System and method for preventing the unauthorized playback of content
US20180351734A1 (en) Cloud storage method and system
CN107222764B (zh) 利用mqtt和ssl实现双向ca安全授权的方法
US10015144B2 (en) Method and system for protecting data using data passports
KR101568871B1 (ko) 멀티캐스트 통신방식을 적용한 바이탈 제어 시스템의 암호화 방법
CN109981271B (zh) 一种网络多媒体安全防护加密方法
CN105282143A (zh) 消息访问控制方法、装置和系统
US20210112039A1 (en) Sharing of encrypted files without decryption
US20170214671A1 (en) Method for encrypting and decrypting data with a one-time-key
US20160359822A1 (en) Sovereign share encryption protocol
CN113779619A (zh) 一种基于国密算法的ceph分布式对象存储系统加解密方法
US20120155647A1 (en) Cryptographic devices & methods
US20240064143A1 (en) Methods, mediums, and systems for verifying devices in an encrypted messaging system
US20210144002A1 (en) Secondary Channel Authentication of Public Keys
US20110179444A1 (en) Apparatus and method for downloading conditional access images
US8699710B2 (en) Controlled security domains
US11658955B1 (en) Methods, mediums, and systems for verifying devices in an encrypted messaging system
US11743035B2 (en) Methods, mediums, and systems for verifying devices in an encrypted messaging system
CN114173303A (zh) Ctcs-3级列控系统车地会话密钥生成方法和系统
Doh et al. An improved security approach based on kerberos for M2M open IPTV system
US11979491B2 (en) Transmission of secure information in a content distribution network
US11843636B1 (en) Methods, mediums, and systems for verifying devices in an encrypted messaging system
US11804955B1 (en) Method and system for modulated waveform encryption
KR102544084B1 (ko) 보안 인스턴트 메시징 방법 및 장치

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB03 Change of inventor or designer information
CB03 Change of inventor or designer information

Inventor after: Wen Yi

Inventor after: Bai Huisheng

Inventor after: Yang Lei

Inventor after: Wu Jianjun

Inventor before: Lin Xiaoping

Inventor before: Bai Huisheng

Inventor before: Yang Lei

GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20221125

Address after: 610000, No. 28, new road, West Park, hi tech Zone, Sichuan, Chengdu

Patentee after: SICHUAN JINWANGTONG ELECTRONIC SCIENCE & TECHNOLOGY Co.,Ltd.

Address before: No. 28, Xinchuang Road, Hi tech Zone (West), Chengdu, Sichuan 610000

Patentee before: CHENGDU RS-CRYPTO TECHNOLOGY CO.,LTD.