一种数字家庭网络的设备安全接入系统及方法与流程

文档序号：15979695发布日期：2018-11-17 00:10阅读：291来源：国知局

本发明属于物联网技术领域，尤其涉及一种数字家庭网络的设备安全接入系统及方法。

背景技术

目前，业内常用的现有技术是这样的：物联网技术的兴起使得数字家庭受到人们的广泛关注，数字家庭成为当今社会的研究热点。随着智能化家电在家庭的逐步推广，人们对组建数字家庭网络的要求不断提高，因此提升数字家庭的性能具有重要意义；其中，组建性能良好的数字家庭网络就是其中一个重点。服务发现协议可以有效的解决设备如何自动并可以有效管理设备的联网难题，upnp技术现在被广泛使用与数字家庭中，实现了家庭设备的零配置及数字家庭网络透明性，提高了不同厂商设备间的交互能力，为数字家庭应用开拓了新的道路。然而，upnp在使用的过程当中也面临着巨大的安全隐患，在制定标准时没有考虑到安全性的要求，即缺少设备认证机制，使得外部恶意设备通过soap协议进行端口映射加入到upnp网络中，给数字家庭网络带来安全隐患；同时现有upnp网络中的ip地址被识别数来，最终攻击者利用这些ip地址发起ddos攻击，这将导致数字家庭服务中断，用户隐私泄露。

综上所述，现有技术存在的问题是:upnp虽然定义了设备安全服务，但是此方案存在不足之处:实施设备安全服务的设备(包括控制点)将需要支持一些基本的加密算法和签名算法，用于实现通信过程的加密和认证，对于计算处理能力低或无计算能力的设备来说，该方案不支持；控制节点作为设备，该方案未对此进行认证。

解决上述技术问题的难度和意义：基于现有技术存在的问题，本发明设计出一种即插即用的接入认证系统，经过实验验证，既支持计算处理能力低或无计算能力设备的认证，也支持对控制节点的认证，实现了数字家庭中设备即插即用的接入认证。通过逻辑安全性分析及实验结果表明,该方案在时间开销比现有方案提高5-10％,安全性能更高。

技术实现要素：

针对现有技术存在的问题，本发明提供了一种数字家庭网络的设备安全接入系统及方法。

本发明是这样实现的，认证平台主要由ca(certificationauthority)、设备厂商认证服务云、数字家庭即插即用设备认证中心(digitalhomeplugandplaydeviceauthentication，dh-pnpda)组成，同时upnp-as既是upnp设备，提高设备注册和认证的服务，也就是设备接入认证服务器。数字家庭设备综合认证平台架构如图1所示。

其中包含对设备接入认证包括设备注册、设备接入认证和设备更新三个过程，其中的设备注册是指新家庭设备首次尝试加入数字家庭时，需要注册与设备相关的信息。这里的注册分为两种，一是厂商注册，是指在dmsc注册，用于厂商认证服务器加入dmsc时，实现设备厂商和厂商服务云之间的身份认证，防止非法厂商接入厂商服务云，对设备的真实性验证进行干扰；二是设备注册，是指在upnp-as上注册与设备相关的信息。

图3所示为厂商注册流程图。

步骤一：厂商向dmsc发送加入请求。

步骤二：dmsc要验证厂商的合法性，ca是否给该厂商颁发过证书。若无证书，则执行步骤3；若有证书，则执行步骤5。

步骤三：厂商向ca请求证书。

步骤四：ca据厂商发送的真实性判定结果决定是否向该厂商发放证书，若颁发证书，则执行步骤2，否则注册失败。

步骤五：厂商信息在dmsc上完成信息注册，厂商注册成功。

图4所示为设备注册流程图

步骤一：设备向upnp-as发起注册请求。

步骤二：upnp-as根据厂商id查看dmsc是否加入该厂商，若没有，则执行步骤3，若有，则执行步骤4。

步骤三：厂商向dmsc发起注册请求，若注册成功，则执行步骤4，否则设备注册失败。

步骤四：根据设备id获取设备身份信息(设备和厂商服务器进行交互，交互信息是否和出厂约定的一致)，dmsc验证其身份的合法性，若通过验证，则执行步骤5，否则注册失败。

步骤五：upnp-as收到身份信息保存，注册成功。

图5所示为设备认证流程。

步骤一：设备发起加入数字家庭网络的请求，由upnp-as查看该设备是否已经注册。若设备尚未注册则转到步骤2，已注册则进行步骤3的操作。

步骤二：设备向upnp-as发起注册请求，若注册成功，则执行步骤3；若注册失败，则执行步骤4。

步骤三：upnp-as通过多因子认证方法验证设备的身份，若验证通过，则执行5，否则，执行步骤4。

步骤四：设备未能通过身份验证，接入数字家庭网络失败。

步骤五：设备通过身份真实性和合法性的验证，设备接入数字家庭网络。

综上所述，本发明的优点及积极效果为：upnpdevicesecurity实施设备安全服务的设备将需要支持一些基本的加密算法和签名算法，用于实现通信过程的加密和认证，但是现有传感器设备也有小设备，这些设备计算处理能力低或无计算能力，因此该方案也不支持。针对这个问题，本文的解决方案就是通过多因子认证的方式解决小设备的接入认证。upnp-as的加入对于upnp网络来说更加灵活，随着技术的发展，设备认证技术越来越成熟，单一的把认证技术嵌入到控制点中，这对以后加入更安全的认证技术来说就是一个很大的限制，而且物理设备的更换代价很高，但是引入upnp-as就不一样了，新的认证技术的加入只需更改或开发新的软件代码，底层物理设备无需改动，这样大大的节省了部署数字家庭的成本代价。

本发明不仅考虑到没有计算能力的设备也可以进行零配置以及设备快速接入被发现，同时也保证了接入的所有设备包括控制点设备的安全性。

附图说明

图1是本发明实施例提供的数字家庭网络的设备综合认证平台架构。

图2是本发明实施例提供的数字家庭网络的设备安全接入方法流程图。

图3是本发明实施例提供的厂商注册流程图。

图4、图5是本发明实施例提供的设备注册流程图。

图6是本发明实施例提供的设备认证流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本发明为解决数字家庭服务中断，用户隐私泄露的问题提出对upnpdevicesecurity安全模型改进认证机制，原有的安全模型中没有考虑控制点本身的安全验证；原有安全模型实施设备安全服务的设备需要支持一些基本的加密算法，用于实现通信过程中的加密和认证，但是对于没有计算能力的传感器设备则不适用于这种安全模型。

如图1所示，认证平台结构图包括ca(certificationauthority)、设备厂商服务云(devicemanufacturerservicecloud，dmsc)、数字家庭即插即用设备认证中心(digitalhomeplugandplaydeviceauthentication，dh-pnpda)。

其中，ca(certificationauthority)在pki中称“认证机构”，它为电子商务环境中各个实体颁发电子证书，即对实体的身份信息和相应公钥数据进行数字签名，用以捆绑该实体的公钥和身份，以证明各实体在网上身份的真实性；并负责在交易中检验和管理证书。ca是认证电子商务和网上银行交易的权威性、可信赖性及公正性的第三方机构，是电子商务的重要基础设施，是电子商务的安全保证。

设备厂商服务云(devicemanufacturerservicecloud，dmsc)：设备厂商(devicemanufacturer，dm)提供家庭设备生产，设备真实性和完整性验证性验证以及设备更新的功能。现在的家庭设备行业复杂，厂商数据较多，鱼龙混杂，对设备厂商身份的真实性对设备的真实性以及完整性验证带来巨大不便。因此，首先必须要对各类设备厂商进行身份的认证，对以后设备的接入认证奠定可靠地基础；其次，对各类设备厂商的集中管理，可以解决底层异构设备的多样性对于开发数字家庭中各类应用来说极其复杂的问题，设备接入认证时只需向厂商设备认证服务云发送认证请求数据，屏蔽底层异构设备的差异性。

数字家庭即插即用设备认证中心(digitalhomeplugandplaydeviceauthentication，dh-pnpda)：主要是由upnp设备认证服务器upnp-as组成，upnp-as作为新引入的upnp设备，它主要提供的服务就是设备接入认证，用于支撑数字家庭中设备即插即用的接入认证。新的设备首次加入upnp加入数字家庭时，用户先在upnp-as进行注册，这的注册分为两步，若该类厂商的设备之前就加入过，这里在upnp-as只进行设备的注册；否则还需在dmsc进行dm的注册，有了厂商的注册后再进行设备的注册。upnp-a除了负责设备注册和认证外，还负责设备发生更新时，对设备重新进行身份验证。

如图2所示，本发明实施例提供的数字家庭网络的设备安全接入方法包括以下步骤：

s201：设备请求接入数字家庭网络；

s202：upserver服务器判断设备是否注册，如果已经注册成功，则服务器验证设备身份信息；否则，设备转去注册区；

s203：设备身份验证通过，设备成功接入网络；否则，设备接入失败。

下面结合附图对本发明的应用原理作进一步的描述。

如图3所示为厂商注册流程图。