CN108833334A - 一种数字家庭网络的设备安全接入系统及方法 - Google Patents

一种数字家庭网络的设备安全接入系统及方法 Download PDF

Info

Publication number
CN108833334A
CN108833334A CN201810333171.4A CN201810333171A CN108833334A CN 108833334 A CN108833334 A CN 108833334A CN 201810333171 A CN201810333171 A CN 201810333171A CN 108833334 A CN108833334 A CN 108833334A
Authority
CN
China
Prior art keywords
equipment
digital home
home network
registration
manufacturer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201810333171.4A
Other languages
English (en)
Other versions
CN108833334B (zh
Inventor
沈玉龙
常二慧
马飞昊
邬俊杰
马冬洁
张立
潘超杰
郝飞扬
胡小康
陈俊峰
郑佳伟
张欢
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xidian University
Original Assignee
Xidian University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xidian University filed Critical Xidian University
Priority to CN201810333171.4A priority Critical patent/CN108833334B/zh
Publication of CN108833334A publication Critical patent/CN108833334A/zh
Application granted granted Critical
Publication of CN108833334B publication Critical patent/CN108833334B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明属于物联网技术领域,公开了一种数字家庭网络的设备安全接入系统及方法,设备认证器,用于对所有的设备进行安全认证。本发明在数字家庭网络构建时加入设备认证器,对所有的设备进行安全认证,包括控制点和传感器设备,将控制点也作为设备进行安全接入,防止外部设备的恶意接入;采用双因子认证方法;控制节点的认证改成认证服务器认证;设备认证服务器作为新的UPnP设备引入,名为UPServer。更改了设备的认证和注册流程。

Description

一种数字家庭网络的设备安全接入系统及方法
技术领域
本发明属于物联网技术领域,尤其涉及一种数字家庭网络的设备安全接入系统及方法。
背景技术
目前,业内常用的现有技术是这样的:物联网技术的兴起使得数字家庭受到人们的广泛关注,数字家庭成为当今社会的研究热点。随着智能化家电在家庭的逐步推广,人们对组建数字家庭网络的要求不断提高,因此提升数字家庭的性能具有重要意义;其中,组建性能良好的数字家庭网络就是其中一个重点。服务发现协议可以有效的解决设备如何自动并可以有效管理设备的联网难题, UPnP技术现在被广泛使用与数字家庭中,实现了家庭设备的零配置及数字家庭网络透明性,提高了不同厂商设备间的交互能力,为数字家庭应用开拓了新的道路。然而,UPnP在使用的过程当中也面临着巨大的安全隐患,在制定标准时没有考虑到安全性的要求,即缺少设备认证机制,使得外部恶意设备通过SOAP 协议进行端口映射加入到UPnP网络中,给数字家庭网络带来安全隐患;同时现有UPnP网络中的IP地址被识别数来,最终攻击者利用这些IP地址发起DDoS 攻击,这将导致数字家庭服务中断,用户隐私泄露。
综上所述,现有技术存在的问题是:UPnP虽然定义了设备安全服务,但是此方案存 在不足之处:实施设备安全服务的设备(包括控制点)将需要支持一些基本的加密算法和签名算法,用于实现通信过程的加密和认证,对于计算处理能力低或无计算能力的设备来说,该方案不支持;控制节点作为设备,该方案未对此进行认证。
解决上述技术问题的难度和意义:基于现有技术存在的问题,本发明设计出一种即插即用的接入认证系统,经过实验验证,既支持计算处理能力低或无计算能力设备的认证,也支持对控制节点的认证,实现了数字家庭中设备即插即用的接入认证。通过逻辑安全性分析及实验结果表明,该方案在时间开销比现有方案提高5-10%,安全性能更高。
发明内容
针对现有技术存在的问题,本发明提供了一种数字家庭网络的设备安全接入系统及方法。
本发明是这样实现的,认证平台主要由CA(CertificationAuthority)、设备厂商认证服务云、数字家庭即插即用设备认证中心(Digital Home Plug And Play DeviceAuthentication,DH-PnPDA)组成,同时UPnP-AS既是UPnP设备,提高设备注册和认证的服务,也就是设备接入认证服务器。数字家庭设备综合认证平台架构如图1所示。
其中包含对设备接入认证包括设备注册、设备接入认证和设备更新三个过程,其中的设备注册是指新家庭设备首次尝试加入数字家庭时,需要注册与设备相关的信息。这里的注册分为两种,一是厂商注册,是指在DMSC注册,用于厂商认证服务器加入DMSC时,实现设备厂商和厂商服务云之间的身份认证,防止非法厂商接入厂商服务云,对设备的真实性验证进行干扰;二是设备注册,是指在UPnP-AS上注册与设备相关的信息。
图3所示为厂商注册流程图。
步骤一:厂商向DMSC发送加入请求。
步骤二:DMSC要验证厂商的合法性,CA是否给该厂商颁发过证书。若无证书,则执行步骤3;若有证书,则执行步骤5。
步骤三:厂商向CA请求证书。
步骤四:CA据厂商发送的真实性判定结果决定是否向该厂商发放证书,若颁发证书,则执行步骤2,否则注册失败。
步骤五:厂商信息在DMSC上完成信息注册,厂商注册成功。
图4所示为设备注册流程图
步骤一:设备向UPnP-AS发起注册请求。
步骤二:UPnP-AS根据厂商ID查看DMSC是否加入该厂商,若没有,则执行步骤3,若有,则执行步骤4。
步骤三:厂商向DMSC发起注册请求,若注册成功,则执行步骤4,否则设备注册失败。
步骤四:根据设备ID获取设备身份信息(设备和厂商服务器进行交互,交互信息是否和出厂约定的一致),DMSC验证其身份的合法性,若通过验证,则执行步骤5,否则注册失败。
步骤五:UPnP-AS收到身份信息保存,注册成功。
图5所示为设备认证流程。
步骤一:设备发起加入数字家庭网络的请求,由UPnP-AS查看该设备是否已经注册。若设备尚未注册则转到步骤2,已注册则进行步骤3的操作。
步骤二:设备向UPnP-AS发起注册请求,若注册成功,则执行步骤3;若注册失败,则执行步骤4。
步骤三:UPnP-AS通过多因子认证方法验证设备的身份,若验证通过,则执行5,否则,执行步骤4。
步骤四:设备未能通过身份验证,接入数字家庭网络失败。
步骤五:设备通过身份真实性和合法性的验证,设备接入数字家庭网络。
综上所述,本发明的优点及积极效果为:UPnP Device Security实施设备安全服务的设备将需要支持一些基本的加密算法和签名算法,用于实现通信过程的加密和认证,但是现有传感器设备也有小设备,这些设备计算处理能力低或无计算能力,因此该方案也不支持。针对这个问题,本文的解决方案就是通过多因子认证的方式解决小设备的接入认证。UPnP-AS的加入对于UPnP网络来说更加灵活,随着技术的发展,设备认证技术越来越成熟,单一的把认证技术嵌入到控制点中,这对以后加入更安全的认证技术来说就是一个很大的限制,而且物理设备的更换代价很高,但是引入UPnP-AS就不一样了,新的认证技术的加入只需更改或开发新的软件代码,底层物理设备无需改动,这样大大的节省了部署数字家庭的成本代价。
本发明不仅考虑到没有计算能力的设备也可以进行零配置以及设备快速接入被发现,同时也保证了接入的所有设备包括控制点设备的安全性。
附图说明
图1是本发明实施例提供的数字家庭网络的设备综合认证平台架构。
图2是本发明实施例提供的数字家庭网络的设备安全接入方法流程图。
图3是本发明实施例提供的厂商注册流程图。
图4、图5是本发明实施例提供的设备注册流程图。
图6是本发明实施例提供的设备认证流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明为解决数字家庭服务中断,用户隐私泄露的问题提出对UPnP DeviceSecurity安全模型改进认证机制,原有的安全模型中没有考虑控制点本身的安全验证;原有安全模型实施设备安全服务的设备需要支持一些基本的加密算法,用于实现通信过程中的加密和认证,但是对于没有计算能力的传感器设备则不适用于这种安全模型。
如图1所示,认证平台结构图包括CA(Certification Authority)、设备厂商服务云(Device Manufacturer Service Cloud,DMSC)、数字家庭即插即用设备认证中心(Digital Home Plug And Play Device Authentication,DH-PnPDA)。
其中,CA(Certification Authority)在PKI中称“认证机构”,它为电子商务环境中各个实体颁发电子证书,即对实体的身份信息和相应公钥数据进行数字签名,用以捆绑该实体的公钥和身份,以证明各实体在网上身份的真实性;并负责在交易中检验和管理证书。CA是认证电子商务和网上银行交易的权威性、可信赖性及公正性的第三方机构,是电子商务的重要基础设施,是电子商务的安全保证。
设备厂商服务云(Device Manufacturer Service Cloud,DMSC):设备厂商(Device Manufacturer,DM)提供家庭设备生产,设备真实性和完整性验证性验证以及设备更新的功能。现在的家庭设备行业复杂,厂商数据较多,鱼龙混杂,对设备厂商身份的真实性对设备的真实性以及完整性验证带来巨大不便。因此,首先必须要对各类设备厂商进行身份的认证,对以后设备的接入认证奠定可靠地基础;其次,对各类设备厂商的集中管理,可以解决底层异构设备的多样性对于开发数字家庭中各类应用来说极其复杂的问题,设备接入认证时只需向厂商设备认证服务云发送认证请求数据,屏蔽底层异构设备的差异性。
数字家庭即插即用设备认证中心(Digital Home Plug And Play DeviceAuthentication,DH-PnPDA):主要是由UPnP设备认证服务器UPnP-AS组成, UPnP-AS作为新引入的UPnP设备,它主要提供的服务就是设备接入认证,用于支撑数字家庭中设备即插即用的接入认证。新的设备首次加入UPnP加入数字家庭时,用户先在UPnP-AS进行注册,这的注册分为两步,若该类厂商的设备之前就加入过,这里在UPnP-AS只进行设备的注册;否则还需在DMSC进行 DM的注册,有了厂商的注册后再进行设备的注册。UPnP-A除了负责设备注册和认证外,还负责设备发生更新时,对设备重新进行身份验证。
如图2所示,本发明实施例提供的数字家庭网络的设备安全接入方法包括以下步骤:
S201:设备请求接入数字家庭网络;
S202:UPServer服务器判断设备是否注册,如果已经注册成功,则服务器验证设备身份信息;否则,设备转去注册区;
S203:设备身份验证通过,设备成功接入网络;否则,设备接入失败。
下面结合附图对本发明的应用原理作进一步的描述。
如图3所示为厂商注册流程图。
步骤一:厂商向DMSC发送加入请求。
步骤二:DMSC要验证厂商的合法性,CA是否给该厂商颁发过证书。若无证书,则执行步骤3;若有证书,则执行步骤5。
步骤三:厂商向CA请求证书。
步骤四:CA据厂商发送的真实性判定结果决定是否向该厂商发放证书,若颁发证书,则执行步骤2,否则注册失败。
步骤五:厂商信息在DMSC上完成信息注册,厂商注册成功。
如图4所示为设备注册流程图
步骤一:设备向UPnP-AS发起注册请求。
步骤二:UPnP-AS根据厂商ID查看DMSC是否加入该厂商,若没有,则执行步骤3,若有,则执行步骤4。
步骤三:厂商向DMSC发起注册请求,若注册成功,则执行步骤4,否则设备注册失败。
步骤四:根据设备ID获取设备身份信息(设备和厂商服务器进行交互,交互信息是否和出厂约定的一致),DMSC验证其身份的合法性,若通过验证,则执行步骤5,否则注册失败。
步骤五:UPnP-AS收到身份信息保存,注册成功。
如图5所示为设备认证流程。
步骤一:设备发起加入数字家庭网络的请求,由UPnP-AS查看该设备是否已经注册。若设备尚未注册则转到步骤2,已注册则进行步骤3的操作。
步骤二:设备向UPnP-AS发起注册请求,若注册成功,则执行步骤3;若注册失败,则执行步骤4。
步骤三:UPnP-AS通过多因子认证方法验证设备的身份,若验证通过,则执行5,否则,执行步骤4。
步骤四:设备未能通过身份验证,接入数字家庭网络失败。
步骤五:设备通过身份真实性和合法性的验证,设备接入数字家庭网络。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (5)

1.一种数字家庭网络的设备安全接入方法,其特征在于,所述数字家庭网络的设备安全接入方法包括:
步骤一,设备请求接入数字家庭网络;
步骤二,UPServer服务器判断设备是否注册,如果已经注册成功,则服务器验证设备身份信息;否则,设备转去注册区;
步骤三,设备身份验证通过,设备成功接入网络;否则,设备接入失败。
2.如权利要求1所述的数字家庭网络的设备安全接入方法,其特征在于,所述设备注册方法具体包括:
步骤一,设备向UpServer服务器注册;
步骤二,UPServer服务器根据厂商ID查看认证服务云是否有该厂商认证服务器;有,则根据设备ID获取设备身份信息;否则,厂商向CA申请认证书;
步骤三,厂商申请证书通过后,则UPServer服务器根据设备ID获取设备身份信息;否则注册失败;
步骤四,厂商根据设备身份信息进行验证,验证通过则UPServer服务器保存设备信息,注册成功;否则,注册失败。
3.一种如权利要求1所述数字家庭网络的设备安全接入方法的数字家庭网络的设备安全接入系统,其特征在于,所述数字家庭网络的设备安全接入系统包括:设备认证器,用于对所有的设备进行安全认证。
4.如权利要求3所述的数字家庭网络的设备安全接入系统,其特征在于,所述设备认证器包括控制点和传感器设备;将控制点作为设备进行安全接入。
5.一种应用权利要求1~2任意一项所述数字家庭网络的设备安全接入方法的智能家居。
CN201810333171.4A 2018-04-13 2018-04-13 一种数字家庭网络的设备安全接入系统及方法 Active CN108833334B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810333171.4A CN108833334B (zh) 2018-04-13 2018-04-13 一种数字家庭网络的设备安全接入系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810333171.4A CN108833334B (zh) 2018-04-13 2018-04-13 一种数字家庭网络的设备安全接入系统及方法

Publications (2)

Publication Number Publication Date
CN108833334A true CN108833334A (zh) 2018-11-16
CN108833334B CN108833334B (zh) 2021-08-27

Family

ID=64154491

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810333171.4A Active CN108833334B (zh) 2018-04-13 2018-04-13 一种数字家庭网络的设备安全接入系统及方法

Country Status (1)

Country Link
CN (1) CN108833334B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110837470A (zh) * 2019-11-06 2020-02-25 中国银行股份有限公司 银行卡网络交易的测试方法及装置
CN112235792A (zh) * 2020-09-15 2021-01-15 西安电子科技大学 一种多类型终端接入与切换认证方法、系统、设备及应用
CN113660099A (zh) * 2021-09-01 2021-11-16 珠海格力电器股份有限公司 一种物联设备的鉴权方法、鉴权服务器、用户设备服务器

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101056232A (zh) * 2006-04-11 2007-10-17 华为技术有限公司 一种控制家庭网络即插即用设备的方法及系统
US20090192989A1 (en) * 2008-01-25 2009-07-30 D-Link Corporation Social contact service system for internet connected digital photo
CN102694804A (zh) * 2012-05-29 2012-09-26 华南理工大学 基于UPnP协议的智能家居统一平台的实现方法及装置
CN103581904A (zh) * 2012-07-25 2014-02-12 中国移动通信集团公司 网络接入方法及装置
CN104735054A (zh) * 2015-02-06 2015-06-24 西安电子科技大学 数字家庭设备可信接入平台及认证方法
CN107370597A (zh) * 2017-07-11 2017-11-21 深圳市雪球科技有限公司 基于物联网的安全认证方法以及安全认证系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101056232A (zh) * 2006-04-11 2007-10-17 华为技术有限公司 一种控制家庭网络即插即用设备的方法及系统
US20090192989A1 (en) * 2008-01-25 2009-07-30 D-Link Corporation Social contact service system for internet connected digital photo
CN102694804A (zh) * 2012-05-29 2012-09-26 华南理工大学 基于UPnP协议的智能家居统一平台的实现方法及装置
CN103581904A (zh) * 2012-07-25 2014-02-12 中国移动通信集团公司 网络接入方法及装置
CN104735054A (zh) * 2015-02-06 2015-06-24 西安电子科技大学 数字家庭设备可信接入平台及认证方法
CN107370597A (zh) * 2017-07-11 2017-11-21 深圳市雪球科技有限公司 基于物联网的安全认证方法以及安全认证系统

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110837470A (zh) * 2019-11-06 2020-02-25 中国银行股份有限公司 银行卡网络交易的测试方法及装置
CN110837470B (zh) * 2019-11-06 2024-01-23 中国银行股份有限公司 银行卡网络交易的测试方法及装置
CN112235792A (zh) * 2020-09-15 2021-01-15 西安电子科技大学 一种多类型终端接入与切换认证方法、系统、设备及应用
CN113660099A (zh) * 2021-09-01 2021-11-16 珠海格力电器股份有限公司 一种物联设备的鉴权方法、鉴权服务器、用户设备服务器
CN113660099B (zh) * 2021-09-01 2022-10-18 珠海格力电器股份有限公司 一种物联设备的鉴权方法、鉴权服务器、用户设备服务器

Also Published As

Publication number Publication date
CN108833334B (zh) 2021-08-27

Similar Documents

Publication Publication Date Title
US10757094B2 (en) Trusted container
US11245687B2 (en) Hardware-based device authentication
US10083290B2 (en) Hardware-based device authentication
CN111212095B (zh) 一种身份信息的认证方法、服务器、客户端及系统
CN110061842B (zh) 带外远程认证
KR20160032665A (ko) 안전한 전자 거래를 위한 네트워크 인증 방법
KR20140127303A (ko) 다중 팩터 인증 기관
CN104584507B (zh) 通过交换站对第一设备进行认证
CN101986598B (zh) 认证方法、服务器及系统
CN101841525A (zh) 安全接入方法、系统及客户端
CN115277168B (zh) 一种访问服务器的方法以及装置、系统
CN108833334A (zh) 一种数字家庭网络的设备安全接入系统及方法
CN108011873A (zh) 一种基于集合覆盖的非法连接判断方法
CN108040044A (zh) 一种实现eSIM卡安全认证的管理方法及系统
CN114301617A (zh) 多云应用网关的身份认证方法、装置、计算机设备及介质
KR102558821B1 (ko) 사용자 및 디바이스 통합 인증 시스템 및 그 방법
CN110891067B (zh) 一种可撤销的多服务器隐私保护认证方法及系统
WO2018145742A1 (en) Private key updating
WO2013067792A1 (zh) 智能卡的访问方法、装置及系统
WO2018120042A1 (zh) 一种凭据分发的方法和设备
CN102291414A (zh) 基于c/s模式的移动终端可信接入兼管理系统及方法
Varfolomeeva et al. Blockchain Fog-based scheme for identity authentication in smart building
KR102162108B1 (ko) Nfv 환경을 위한 lw_pki 시스템 및 그 시스템을 이용한 통신방법.
CN116471087A (zh) 基于开放环境下终端设备接入后台的鉴权认证方法及系统
CN116582332A (zh) 信息认证方法和数据访问方法、系统和电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant