设备间管道的建立方法和家庭网络系统的制作方法

文档序号:7644211阅读:157来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:设备间管道的建立方法和家庭网络系统的制作方法
技术领域
本发明涉及网络安全领域,尤其涉及一种设备间管道的建立方法和家庭 网络系统。
背景技术
ITU (International Telecommunication Union,国际电信联盟)中提出 的家庭网络的一般模型的结构示意图如图1所示。根据各个实体所处位置及作 用的不同,图1所示的家庭网络的模型的可以分为7种,分别为远程用户、 远程终端、应用程序服务器、家庭安全网关、家庭应用程序服务器、家庭用 户和家庭设备。其中家庭设备根据功能不同又被划分如下的A、 B、 C三类设 备。A类设备具有控制功能;例如电脑、机顶盒 B类设备具有桥接功能;例如交换机(switch)、集线器(hub) C类设备为其它家庭设备提供特定服务;例如数字电视、冰箱。该C 类设备没有通信接口直接连接到家庭网络,而是通过B类设备连接到家庭网络。设备管道分两种1、 安全设备管道两设备间有共同支持的安全机制,两设备间基于该安 全机制进行相应的鉴别交互之后而建立的设备间管道;2、 非安全设备管道两设备间无共同支持的安全机制,两设备间没有经 过相应的鉴别交互而建立的设备间管道。现有技术中一种设备间管道的建立方法为IGRS(智能互连、资源共享 与协同服务)安全设备管道创建方案。该方案包括三个阶段管道创建初始 化阶段、安全身份鉴别及管道密钥协商阶段、管道创建确认阶段。该方案的具体处理步骤为步骤1: IGRS设备1向IGRS设备2的可用设备连接地址发起TCP连接创建 请求,如果该TCP连接创建成功,则执行步骤2;否则,管道创建失败,流程 结束。步骤2:设备1首先将设备2的宣告信息中所支持的安全机制及相应密码算 法列表(注列表顺序反映优先权重)与自己支持的安全机制及相应密码算 法列表进行交集运算,若该交集运算的结果为非空,则设备1进一步根据设备 1和设备2双方的安全属性选择一种"最合适"的安全机制及相应密码算法,然 后,发送携带该安全^L制及相应密码算法信息的管道创建请求给设备2。步骤3:设备2接收到设务1发送的上述管道创建请求后,确认设备1所选 择的安全机制及相应密码算法是否满足自己目前安全需求及状态,如果满 足,则向设备1发送包括安全机制及相应密码算法确认信息的管道创建响应, 继续执行步骤4;否则,设备2向设备1发送管道创建失败的失败确认消息。步骤4:设备1通过随机数生成器产生一个随机数作为挑战值1 (Challenge1 ),并将该挑战值1封装成在一个鉴别请求中后,将该鉴别请求 发送给设备2。步骤5:设备2接收到上述鉴别请求后,获取该鉴别请求中携带的挑战值 1 ,计算响应值1 ( Response1 )。Response1-Hash (Challenge1||PreSharedKey)。其中PreSharedKey为双方预共享密钥。同时产生一个随机数作为挑战值 2,将携带上述响应值1、挑战值2的消息封装在一个鉴别响应中后,将该鉴别 响应发送给设备1,该鉴别响应应在30秒内返回给设备1。步骤6:设备14矣收到上述鉴别响应后,获取该鉴别响应中携带的响应值1和挑战值2。然后,根据己方的Challenge1和PreSharedKey计算,将计算结 果与响应值1进行比较,如果比较结果为相等,则计算(Challenge2||PreSharedKey)作为响应值2,并将该响应值2封装在一个鉴 别结果中,将该鉴别结果发送给设备2;否则,设备1向设备2发送管道创建失 败的失败确认消息。步骤7:若设备2接收到设备1发送的上述鉴别结果后,从该鉴别结果中获 取响应值2,同时根据己方的Challenge2和PreSharedKey计算Hash(Challenge1IIPreSharedKey),将计算结果与响应值2进行比较,如杲比较 结果为相等,则向设备1发送鉴别成功的成功确认消息(OK);否则,设备2 向设备1发送管道创建失败的失败确认消息(Failed),该消息应在30秒内返 回给设备1 。步骤8:设备1生成衍生密钥,根据该衍生密钥建立和设备之间的管道, 然后向设备2发送管道创建成功的成功确认消息(OK),并且通过该管道将 上述衍生密钥发送给设备2;否则,向设备2发送管道创建失败的失败确认消 息(Fsiled)。步骤9:当设备2接收到设备1发送的上述管道创建成功的成功确认消息 (OK)时,同时己方前期相关协议步骤成功完成,则向设备1返回管道创建 成功的确认消息(OK),其它情形都返回管道创建失败的失败确认消息 (Failed),该消息应在30秒内返回给设备1。上述现有技术中的设备间管道的建立方法的缺点为在该方法中,衍生 密钥是由一方IGRS设备生成的,然后,通过管道发送给另一个设备。没有考 虑到家庭网络中的各设备的级别和权限,同时不能保证生成衍生密钥过程的 安全,不能保证建立的设备间管道的安全性。该方案不能保证第三方对管道 的威胁,并且不适合家庭网络的自身特点。发明内容本发明实施例的目的是提供一种设备间管道的建立方法和家庭网络系 统,可以在综合考虑各设备身份特征信息的前提下,保证生成衍生密钥的安 全,在设备之间完成安全管道的建立。本发明实施例的目的是通过以下技术方案实现的 一种设备间管道的建立方法,包括步骤A、 组内一般设备和认证设备之间互相交换和验证随机数,在验证随机数 通过后,所述认证设备给所述组内一般设备生成临时设备编号,并将该临时 设备编号发送给所述组内 一般设备;B、 所述组内一般设备和认证设备利用所述随机数、认证设备身份标识、 和组内 一般设备的临时设备编号分别生成衍生密钥,根据该衍生密钥在所述 组内 一般设备和认证设备之间建立管道。一种家庭网络,包括认证设备和组内一般设备,其中',认证设备用于和所述组内 一般设备之间互相交换和验证随机数,给所 述组内 一般设备生成临时设备编号,将该临时设备编号发送给组内 一般设 备;利用所述随机数、认证设备身份标识、组内一般设备的临时设备编号生 成衍生密钥,根据该衍生密钥和组内一般设备之间建立管道;组内一般设备用于和认证设备之间互相交换和验证随机数,利用所述 随机数和认证设备发送过来的组内 一般设备的临时设备编号、认证设备身份 标识生成衍生共享密钥,根据该衍生密钥和认证设备之间建立管道。一种设备间管道的建立方法,包括步骤C、 申请方组内设备向被申请方组内设备发送携带其临时唯一身份标识和 随机数的管道连接请求;D、 所述申请方組内设备和被申请方组内设备利用所述申请方组内设备和被申请方组内设备的临时唯一 身份标识、随机数和申请方组内设备的第 一共 享密钥分别生成衍生密钥,根据该衍生密钥在所述申请方组内设备和被申请 方组内设备之间建立管道。一种家庭网络,包括认证设备用于将申请方组内设备的共享密钥和临时唯一身份标识发送 给所述申请方组内设备,将被申请方组内设备的共享密钥和临时唯一身份标 识发送给所述被申请方组内设备;申请方组内i殳备管道建立申i貪方,用于利用所述申i青方组内设备和被 申请方组内设备的临时唯一身份标识、随机数和申请方组内设备的第 一共享 密钥生成衍生密钥,根据该衍生密钥和被申请方组内设备之间建立管道;被申请方组内设备管道建立被申请方,用于利用所述申请方组内设备 和被申请方组内设备的临时唯一身份标识、随机数和申请方组内设备的第一 共享密钥生成衍生密钥,根据该衍生密钥和申请方组内设备之间建立管道。由上述本发明实施例提供的技术方案可以看出,本发明实施例通过引入 认证服务器,通过认证服务器对设备进行认证和验证后,在设备与认证服务 器上同时根据随机数、认证设备身份标识、临时唯一身份标识生成衍生密 钥;或者,在同级设备之间根据随机数、各个同级设备的临时唯一身份标 识、共享密钥生成衍生密钥。从而可以在保证生成衍生密钥过程的安全性、 综合考虑个设备的特征信息的前提下,在设备和认证设备或者同级设备之间 建立管道。本发明实施例为家庭网络等网络中设备之间的管道建立提供一种安全机 制,防止第三方在管道上对衍生密钥进行墓改,保证建立的设备之间的管道 的安全。


图1为ITU中提出的家庭网络的一般模型的结构示意图; 图2为本发明实施例所述组内设备与认证设备之间建立管道的方法的实施 例的处理流程图;图3为本发明实施例所述组内设备之间建立管道的方法的处理流程图; 图4为本发明实施例所述被动建立管道方申请拆除管道方案的处理流程图;图5为本发明实施例所述主动建立管道方申请拆除管道方案的处理流程图;图6为本发明所述家庭网络系统的实施例1的结构示意图; 图7为本发明所述家庭网络系统的实施例2的结构示意图。
具体实施方式
本发明实施例提供了 一种设备间管道的建立方法和家庭网络系统。 本发明实施例所述方法适用于各种小形局域网络,比如家庭网络。下面 以家庭网络为例来说明本发明实施例所述方法和系统。家庭网络的最初组网可以通过多播和单播的形式来构建,不同的设备以 多播或单播的形式发送服务或请求服务的信息,有需求的相应设备组成设备 组,该设备组即为家庭网络。在家庭网络中可以通过单播组播确定某个设备 作为认证设备。除了认证设备之外的其它的设备之间为同级的组内设备。在 已经形成的家庭网络中如果需要再加入某个设备,则该设备通过组播的形式 进入家庭网络,同时该家庭网络中的共享密钥也可以根据设备组来重新确 定。上述家庭网络中的组内设备可以是A类设备(例如一台家庭电脑, PDA)或B类设备(例如路由器)。而认证设备一般就是作为家庭应用服务器 的认证服务器或具有认证功能的家庭安全网关,认证设备是一种特殊的组内设备。下面本发明实施例的具体实施方式
的描述中所述的组内设备是指除认 证设备之外的组内 一般设备。在组内设备与认证设备之间需要建立管道,该管道可以为家庭网络中组 内设备的身份验证和组内会话服务。本发明所述在组内设备与认证设备之间建立管道的方法的实施例的处理流程如图2所示,包括如下步骤步骤21、组内设备1生成随机数1,将该随机数1和设备1的身份标识一起 封装在连接请求中后,将该连接请求发送给认证设备。步骤22、认证设备收到上述连接请求后,利用预共享密钥对随机数1进行 加密生成响应值1 ,同时生成随机数2。预共享密钥是在管道建立之前使用某种特定的组网方式例如多播、组 播,在整个组内范围内使用的一种密钥。步骤23、认证设备把上述响应值1、随机数2和认证设备的身份标识封装 在响应消息中后,将该响应消息发送给设备1。步骤24、设备1收到上述响应消息后,获取其中包含的响应值1、随机数 2,将该响应值1与自己4艮据预共享密钥和随机数1生成的值进行比较,如果比 较结果为相等,则设备1用预共享密钥对随机数2进行加密得到响应值2,执行 步骤25;否则,则设备1与认证设备之间的管道建立失败。步骤25、设备1把上述响应值2发送给认证设备。步骤26、认证设备收到上述设备1发送的响应值2后,根据自身预共享密 钥计算对随机数2进行加密,将加密所得结果与响应值2进行比较,如果比较 结果为相等,则认证设备为设备1生成临时设备编号,继续执行步骤27;否 则,则设备1与认证设备之间的管道建立失败。步骤27、认证设备把生成的临时设备编号封装在连接成功消息中后,将 该连接成功消息发送给设备1 。步骤28、设备1与认证设备分别根据上述随机数1、随机数2、认证设备身份标识、设备1的临时设备编号生成衍生共享密钥。根据该衍生密钥在所述设 备1和认证设备之间建立管道。上述设备1为具有计算功能的家庭设备,可以生成衍生共享密钥。而对于能力不足的家庭设备与认证设备建立管道的方法如下能力不足的家庭设备首先向认证设备发送连接请求,认证设备对该能力 不足的家庭设备的身份进行识别,若认证设备确认其为家庭网络中能力不足 的设备,则由认证设备自身直接随机产生一密钥,作为认证设备与该能力不 足的设备建立管道的衍生共享密钥,并告知该设备此衍生共享密钥,管道建 立成功。若认证设备确定不了该能力不足的设备的身份,则管道建立失败。在家庭网络中,还需要在同级组内设备间建立管道,就是在A类设备和B 类设备内部或之间建立管道。该管道可以为家庭电脑间建立资源共享连接, 或帮助电脑通过控制电视机顶盒为数字电视定制收费节目等设备间的会话提 供安全管道建立。本发明所述同级组内设备间管道的建立方法的实施例的处理流程如图3所 示,包括如下步骤步骤31、设备1和设备2为同级组内设备,设备1和设备2分别向认证设备 发送认证请求。步骤32、认证设备分别对设备1和设备2进行认证,验证成功后分别生成 设备1和设备2的临时唯一身份标识(包括设备认证资料、临时设备编号 等),同时,认证设备随机生成与设备1和设备2之间的共享密钥K1和K2。步骤33、认证设备把生成的临时唯一身份标识和共享密钥封装在认证响 应中后,将认证响应分别发送给设备1和设备2。步骤34、设备1收到上述认证响应后,向设备2发送管道建立请求,同时 把设备1生成的随机数1和设备1的临时唯一身份标识一起封装在该管道建立请 求中。步骤35、设备2收到上述管道建立请求后,把设备1的临时唯一身份标识 封装在设备1身份的认证请求中,将该设备1身份的认证请求发送给认证设 备。步骤36、认证设备获取上述认证请求中封装的设备1的临时唯一身份标 识,若该设备1的临时唯一身份标识与数据库中的对应值一致。则向设备2发 送设备1身份认证成功消息,并把设备1与认证设备之间的共享密钥K1告知设 备2。若该设备1的临时唯一身份标识与数据库中的对应值不一致,则向设备2 发送设备1身份认证失败消息,设备1和设备2间的管道创建失败。步骤37、设备2收到上述设备1认证成功消息后,用K1加密设备1发送过 来的随机数1生成响应值1。步骤38、设备2把设备2的临时唯一身份标识、K2、上述响应值1封装在 响应消息中后,将该响应消息发送给设备1 。步骤39、设备1获取上述响应消息中封装的响应值1。用K1加密随机数 1,将加密所得结杲与响应值1进行比较,如果比较结果为相等,则执行步骤 310;否则,设备1和设备2间的管道创建失败。步骤310、设备1向设备2发送连接成功消息。步骤311、设备1与设备2分别根据随机数1、设备1的临时唯一身份标 识、设备2的临时唯一身份标识、K1生成衍生共享密钥。根据该衍生密钥在所 述设备1和设备2之间建立管道。上述设备1和设备2双方均为具有计算功能的家庭设备,可以自己计算生 成衍生共享密钥。而对于能力不足的家庭设备与其他同级设备建立管道,可 以分为两种情况。情况一其他同级设备为有计算能力的设备。此时,上述能力不足的家 庭设备与其他有计算能力的同级设备之间建立管道的方法如下双方设备同时向认证设备发送认证请求,认证设备为认证成功的设备生成临时唯一身份标识(包括设备认证资料、临时设备编号)和该设备和认证 设备之间的共享密钥。然后,由能力不足的设备向有计算能力的其他同级设 备发送管道建立请求。上述有计算能力的其他同级设备接收到上述管道建立请求后,向认证设 备发送携带能力不足设备的身份标识的认证请求,认证设备告知该有计算能力的其他同级设备能力不足的设备是否通过验证。若没有通过验证,则管 道建立失败;若通过验证,则将认证设备与能力不足的设备间已经生成的共 享密钥发送给该有计算能力的其他同级设备。该共享密钥即作为管道双方的 衍生共享密钥,管道建立成功。情况二其他同级设备亦为能力不足的设备,此时,上述能力不足的家 庭设备之间建立管道的方法如下双方设备同时向认证设备发送认证请求,认证设备为认证成功的设备生 成临时唯一身份标识(包括设备认证资料、临时设备编号)和共享密钥。然 后,由能力不足的设备1向能力不足的设备2发送管道建立请求。上迷能力不足的设备2接收到上述管道建立请求后,向认证设备发送携带 设备1的身份标识的认证请求,认证设备告知设备2:能力不足的设备1是否通 过验证。若没有通过验证,则管道建立失败;若通过验证,则将认证设备与 设备1间已经生成的共享密钥发送给该设备2。该共享密钥即作为管道双方的 衍生共享密钥,管道建立成功。由于申请拆除管道方的不同,同时存在网络的各种突发状况,所以,上 述建立的设备间管道的拆除方案包括如下三种。方案一和方案二是用单播的 形式发送管道拆除请求的,方案三利用组播发送管道拆除请求。方案一、由主动建立管道方申请拆除管道,该主动建立管道方申请拆除 管道方案的处理流程如图4所示,包括如下步骤步骤41、设备1向设备2发送管道拆除请求。步骤42、设备2收到上述管道拆除请求后,对设备1进行判断,判断设备1 是否为授权使用该管道的设备。上述授权是建立管道的双方互相授权的,当 管道建立成功授权也就完成了 。步骤43、若设备2判断设备1不符合要求,则设备2直接向设备1发送驳回 管道拆除请求消息,管道拆除失败。步骤44、若设备2判断设备1符合要求,则设备2删除与设备1共有的管道 创建数据。步骤45、设备2删除上述管道创建数据完成后,向设备1发送允许管道拆 除消息。步骤46、设备1收到允许管道拆除消息后,删除管道建立请求信息。管道 拆除成功。方案二、由被动建立管道方申请拆除,该被动建立管道方申请拆除管道 方案的处理流程如图5所示,包括如下步骤步骤51、设备2向设备1发送管道拆除请求。步骤52、设备1收到上述管道拆除请求后,对设备2进行判断,判断该设 备2是否为授权,使用该管道的设备。步骤53、若设备1判断设备2不符合要求,则设备1直接向设备2发送驳回 拆除请求消息,管道拆除失败步骤54、若设备1判断设备2符合要求,则设备1删除管道建立请求。管道 拆除成功。方案三、特殊原因突然拆除管道。在设备间的管道创建完成后,将周期性地发送创建管道请求,若一方发送的创建管道请求由于设备断电、断网等情况,不能在规定的响应时间内得 到另一方的响应,则设备间的管道直接断开。本发明所述家庭网络系统的实施例1的示意图如图6所示,包括如下模 块认证设备及组内设备。认证设备用于根据接收到的组内设备发送的管道连接请求,利用共享 密钥机制和组内设备之间交换和验证随机数,向组内设备发送连接成功消 息。将分配的组内设备的临时唯一身份标识、认证设备的身份标识发送给组 内设备;以及利用随机数、组内设备的临时唯一身份标识、认证设备的身份 标识生成衍生共享密钥。包括随机数验证模块、设备临时唯一身份标识分 配模块、密钥生成模块。其中,随机数验证模块用于在接收到组内一般设备发送的携带第一随 机数和设备身份标识的连接请求后,利用预共享密钥对所述第一随机数进行 加密生成第一响应值且生成第二随机数,向所述组内一般设备发送携带所述 第一响应值、第二随机数和认证设备的身份标识的连接响应;根据所述预共 享密钥对所述第二随机数进行加密,将加密所得结果与组内 一般设备发送的 第二响应值进行验证;其中,临时设备编号生成模块用于在随机数验证模块对所述第二响应 值验证通过后,给所述组内 一般设备生成临时设备编号,向组内 一般设备发 送携带该组内 一般设备的临时设备编号的连接成功消息;其中,密钥生成模块用于在向组内一般设备发送所述连接成功消息 后,利用所述第一随机数、第二随机数、组内设备的临时设备编号、认证设 备的身份标识生成衍生密钥。组内设备用于向认证设备发送管道连接请 求,利用共享密钥机制和认证设备之间交换和验证随机数,在接收到认证设 备发送的连接成功消息后,利用随机数和认证设备发送过来的组内设备的临时唯一身份标识、认证设备的身份标识生成衍生共享密钥。包括随机数验 证模块、密钥生成模块。其中,随机数验证模块用于向认证设备发送携带随机数和组内一般设 备的设备身份标识的连接请求,利用共享密钥机制和认证设备之间交换和验 证随机数;将认证i殳备返回的连接响应中包含的第一响应值与4艮据所述预共 享密钥和第一随机数生成的值进行比较,当比较结杲为相等时,所述组内一 般设备用预共享密钥对认证设备返回的连接响应中包含的第二随机数进行加 密得到第二响应值,将该第二响应值发送给所述认证设备;其中,密钥生成模块用于接收到认证设备发送的携带组内一般设备的 临时唯一身份标识的连接成功消息后,利用所述第一随机数、第二随机数、 组内一般设备的临时设备编号、认证设备的身份标识生成衍生密钥。本发明所述家庭网络系统的实施例2的示意图如图7所示,包括如下模 块认证设备、组内设备1和组内设备2。认证设备用于在接收到组内设备1和组内设备2发送的认证请求后,将 分配的组内设备1的临时唯一身份标识,以及组内设备1与认证服务器之间的 第 一共享密钥发送给组内设备1,将分配的组内设备2的临时唯一身份标识, 以及组内设备2与认证服务器之间的第二共享密钥发送给组内设备2。接收到 组内设备2发送过来的携带组内设备1的临时唯一身份标识的验证请求后,对 该组内设备1的临时唯一身份标识进行验证,根据验证结果向组内设备2返回 相应的验证响应消息。包括临时唯一身份标识分配模块、临时唯一身份标 识验证模块。组内设备1:用于向认证设备发送认证请求,接收到认证设备发送的携带 组内设备1的临时唯一身份标识和组内设备1与认证服务器之间的第 一共享密 钥的认证响应后,向组内设备2发送携带组内设备1的临时唯一身份标识和随机数的管道连接请求,接收组内设备2返回的携带组内设备2的临时唯一身份 标识和第二共享密钥的管道连接响应后,向组内设备2发送管道连接成功消 息。利用随机数和组内设备1和组内设备2的临时唯一身份标识、第一共享密 钥生成衍生共享密钥。包括认证请求处理模块、管道连接请求处理模块和 密钥生成模块。组内设备2:用于向认证设备发送认证请求,接收认证设备发送的携带组 内设备2的临时唯一身份标识和第二共享密钥的认证响应。接收到组内设备1 发送的携带组内设备1的临时唯一身份标识和随机数的管道连接请求后,向认 证设备发送验证请求,根据认证设备返回的验证结果,向组内设备1发送携带 组内设备2的临时唯一身份标识和第二共享密钥的管道连接响应。接收到组内 设备1发送的管道连接成功消息后,利用随机数和组内设备1和组内设备2的临 时唯一身份标识、第一共享密钥生成衍生共享密钥。包括认证请求处理模 块、管道连接请求处理模块和密钥生成模块。上述认证设备中的临时唯一身份标识分配模块用于在接收到组内设备1 和组内设备2发送的认证请求后。给组内设备1和组内设备2分别分配临时唯一 身份标识和共享密钥;向所述组内设备1发送携带所述组内设备1的临时唯一 身份标识和第 一共享密钥的认证响应,向所述组内设备2发送携带所述组内设 备2的唯一身份标识和第二共享密钥的认证响应。上述认证设备中的临时唯一身份标识验证;漠块用于接收到设备2发送的 携带设备1的临时唯一身份标识的验证请求后,对该设备1的临时唯一身份标 识进行验证,在验证通过后向设备2发送携带设备1的第一共享密钥的验证响应。上述组内设备1中的认证请求处理模块用于向认证设备发送认证请求,接收认证设备发送的携带组内设备1的临时唯一身份标识和组内设备1与认证 服务器之间的第 一共享密钥的认证响应。上述组内设备1中的管道连接请求处理模块用于接收到认证设备返回的 上述认证响应后,向组内设备2发送携带组内设备1的临时唯一身份标识和随 机数的管道连接请求,接收组内设备2返回的携带组内设备2的临时唯一身份 标识和第二共享密钥的管道连接响应。上述组内设备1中的密钥生成模块用于在向组内设备2发送了管道连接 成功消息后,利用随机数和组内设备1和组内设备2的临时唯一身份标识、第 一共享密钥生成衍生共享密钥。上述组内设备2中的认证请求处理模块用于向认证设备发送认证请求, 接收认证设备发送的携带组内设备2的临时唯一身份标识和組内设备2与认证 服务器之间的第二共享密钥的认证响应。上述组内设备2中的管道连接请求处理模块用于接收到组内设备1发送 的携带组内设备1的临时唯一身份标识和随机数的管道连接请求后,向认证设 备发送验证请求,接收认证设备返回的携带组内设备1的第一共享密钥的验证 响应后,向组内设备1发送携带组内设备2的临时唯一身份标识和第二共享密 钥的管道连接响应。上述组内设备2中的密钥生成模块用于接收到组内设备1发送的管道连 接成功消息后,利用随机数和组内设备1和组内设备2的临时唯一身份标识、 第一共享密钥生成^f汙生共享密钥。本发明实施例引入唯一身份标识、临时设备编号、设备认证资料,访问 时间戳、设备临时唯一标识等来保证管道建立的安全性。并在响应应答的基 础上通过双方握手的方式分别生成衍生密钥,避免了衍生密钥在不安全管道上的传输,保证了管道的安全通信,防止第三方在管道上篡改密钥。以上所述,仅为本发明较佳的具体实施方式
,但本发明的保护范围并不 局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可 轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明 的保护范围应该以权利要求的保护范围为准。
权利要求
1. 一种设备间管道的建立方法,其特征在于,包括步骤A、组内一般设备和认证设备之间互相交换和验证随机数,在验证随机数通过后,所述认证设备给所述组内一般设备生成临时设备编号,并将该临时设备编号发送给所述组内一般设备;B、所述组内一般设备和认证设备利用所述随机数、认证设备身份标识、和组内一般设备的临时设备编号分别生成衍生密钥,根据该衍生密钥在所述组内一般设备和认证设备之间建立管道。
2、 根据权利要求1所述的方法,其特征在于,所述的步骤A具体包括A1 、所述组内一般设备向所述认证设备发送携带第一随机数和组内一般 设备的身份标识的连接请求,所述认证设备利用预共享密钥对所述第一随机 数进行加密生成第一响应值且生成第二随机数,向所述组内一般设备发送携 带所述第一响应值、第二随机数和认证设备的身份标识的连接响应;A2、所述组内一般设备将所述连接响应中包含的第一响应值与根据所述 预共享密钥和第一随机数生成的值进行比较,当比较结果为相等时,所述组 内一般设备用预共享密钥对所述第二随机数进行加密得到第二响应值,将该 第二响应值发送给所述认证设备;A3、所述认证设备根据所述预共享密钥对所述第二随机数进行加密,将 加密所得结果与所述第二响应值进行比较,当比较结果为相等时,则认证设 备为所述组内 一般设备生成临时设备编号,并向该组内 一般设备发送携带所 述临时设备编号的连接成功消息。
3、 根据权利要求2所述的方法,其特征在于,所述步骤B具体包括 所述组内 一般设备接收到所述认证设备返回的连接成功消息后,利用所述第一随机数、第二随机数、认证设备的身份标识、临时设备编号和认证设备一起分别生成书t生密钥,才艮据该书t生密钥在所述组内 一淑:i殳备和认证设备 之间建立管道。
4、 一种家庭网络系统,其特征在于,包括认证设备和组内一般设备, 其中,认证设备用于和所述组内一般设备之间互相交换和验证随机数,给所 述组内 一般设备生成临时设备编号,将该临时设备编号发送给组内 一般设 备;并利用所述随机数、认证设备身份标识、组内一般设备的临时设备编号 生成衍生密钥,根据该衍生密钥和组内一般设备之间建立管道;组内 一般设备用于和认证设备之间互相交换和验证随机数,利用所述 随机数和认证设备发送过来的组内一般设备的临时设备编号、认证设备身份 标识生成衍生共享密钥,根据该衍生密钥和认证设备之间建立管道。
5、 根据权利要求4所述的系统,其特征在于,所述认证设备具体包括随机数验证模块用于在接收到组内 一般设备发送的携带第一随机数和 设备身份标识的连接请求后,利用预共享密钥对所述第一随机数进行加密生 成第一响应值且生成第二随机数,向所述组内一般设备发送携带所述第一响 应值、第二随机数和认证设备的身份标识的连接响应;以及根据所述预共享 密钥对所述第二随机数进行加密,将加密所得结果与组内 一般设备发送的第 二响应值进行-验i正;临时设备编号生成模块用于在随机数验证模块对所述第二响应值验证 通过后,给所述组内一般设备生成临时设备编号,向组内一般设备发送携带 该组内 一般设备的临时设备编号的连接成功消息;密钥处理模块用于在向组内一般设备发送所述连接成功消息后,利用 所述第一随机数、第二随机数、组内设备的临时设备编号、认证设备的身份 标识生成衍生密钥,根据该衍生密钥和组内一般设备之间建立管道。
6、 根据权利要求4或5所述的系统,其特征在于,所述组内一般设备具体 包括随机数验证模块用于向认证设备发送携带第 一 随机数和组内 一般设备 的设备身份标识的连接请求,将认证设备针对该连接请求返回的连接响应中 包含的第一响应值与根据预共享密钥和第一随机数生成的值进行比较,并当 比较结果为相等时,用预共享密钥对认证设备返回的连接响应中包含的第二 随机数进行加密得到第二响应值,将该第二响应值发送给所述认证设备;密钥处理模块用于接收认证设备在对所述第二响应值验证通过后发送 的连接成功消息,所述连接成功消息携带有组内 一般设备的临时唯一身份标 识,并利用所述第一随机数、第二随机数、组内一般设备的临时设备编号、 认证设备的身份标识生成衍生密钥,根据该衍生密钥和认证设备之间建立管道。
7、 一种设备间管道的建立方法,其特征在于,包括步骤C、 申请方组内设备向被申请方组内设备发送携带其临时唯一身份标识和 随机数的管道连接请求;D、 所述申请方组内设备和被申请方组内设备分别利用所述申请方组内设 备和被申请方组内设备的临时唯一身份标识、随机数、申请方组内设备的第一共享密钥生成衍生密钥,根据该衍生密钥在所述申请方组内设备和被申请 方组内设备之间建立管道。
8、 根据权利要求7所述的方法,其特征在于,所述步骤C之前还包括认证设备在接收到申方组内设备和被申请方组内设备发送的认证请求 后,给所述申请方组内设备和被申请方组内设备分别分配临时唯一身份标识 和共享密钥,向所述申请方组内设备发送携带所述申请方组内设备的临时唯 一身份标识和第一共享密钥的认证响应,向所述被申请方组内设备发送携带 所述被申请方组内设备的唯一身份标识和第二共享密钥的认证响应。
9、 根据权利要求7或8所述的方法,其特征在于,所述步骤D具体包括D1、被申请方组内设备接收到所述管道连接请求后,向认证设备发送携 带所述申请方组内设备的临时唯一 身份标识的验证请求;认证设备对该申请 方组内设备的临时唯一身份标识验证通过后,向被申请方组内设备发送携带 申请方组内设备的第 一共享密钥的验证响应;D2、被申请方组内设备用所述申请方组内设备的第一共享密钥对所述随 机数进行加密获得响应值,向申请方组内设备发送携带该响应值、被申请方 组内设备的临时唯一 身份标识和第二共享密钥的管道连接响应;D3、申请方组内设备用第一共享密钥对所述响应值验证通过后,向被申 请方组内设备发送连接成功消息;申请方组内设备和被申请方组内设备利用 所述申请方组内设备和被申请方组内设备的临时唯一身份标识、第 一共享密 钥和随机数分别生成衍生密钥,根据该衍生密钥在申请方组内设备和被申请 方组内设备之间建立安全管道。
10、 一种家庭网络系统,其特征在于,包括认证设备用于将申请方组内设备的共享密钥和临时唯一身份标识发送 给所述申请方組内设备,将被申请方組内设备的共享密钥和临时唯一身份标 识发送给所述被申请方组内设备;申请方组内设备管道建立申请方,用于利用所述申请方组内设备和被 申请方组内设备的临时唯一身份标识、随机数和申请方组内设备的第 一共享 密钥生成衍生密钥,根据该衍生密钥和被申请方组内设备之间建立管道;被申请方组内设备管道建立被申请方,用于利用所述申请方组内设备 和被申请方组内设备的临时唯一身份标识、随机数和申请方组内设备的第一 共享密钥生成衍生密钥,根据该衍生密钥和申请方组内设备之间建立管道。
11、 根据权利要求10所述的系统,其特征在于,所述认证设备具体包括临时唯一身份标识分配模块用于在接收到申请方组内设备和被申请方 组内设备发送的认证请求后,给申请方组内设备和被申请方组内设备分别分 配临时唯一身份标识和第一共享密钥;并向所述申请方组内设备发送携带所 述申请方组内设备的临时唯一身份标识和第 一共享密钥的认证响应,向所述 被申请方组内设备发送携带所述被申请方组内设备的唯一身份标识和第二共 享密钥的认证响应;临时唯一身份标识验证模块用于接收到被申请方组内设备发送的携带 申请方组内设备的临时唯一身份标识的验证请求后,对该申请方组内设备的 临时唯一 身份标识进行验证,在验证通过后向被申请方组内设备发送携带申 请方组内设备的共享密钥的验证响应。
12、 根据权利要求10所述的系统,其特征在于,所述申请方组内设备具 体包括认证请求处理模块用于向认证设备发送认证请求,接收认证设备发送 的携带申请方组内设备的临时唯一身份标识和第 一共享密钥的认证响应;管道连接请求处理模块用于接收到认证设备返回的所述认证响应后, 向被申请方组内设备发送携带申请方组内设备的临时唯一身份标识和随机数 的管道连接请求,接收被申请方组内设备返回的携带被申请方组内设备的第 二共享密钥和临时唯一身份标识的管道连接响应;密钥生成模块用于向被申请方组内设备发送了管道连接成功消息后, 利用所述随机数和申请方组内设备和被申请方组内设备的临时唯一身份标 识、第 一共享密钥和被申请方组内设备分别生成衍生密钥。
13、 根据权利要求10或11或12所述的系统,其特征在于,所述被申请方组内设备具体包括认证请求处理才莫块用于向认证设备发送认证请求,接收认证设备发送 的携带被申请方组内设备的临时唯一身份标识和第二共享密钥的认证响应;管道连接请求处理模块用于接收到申请方组内设备发送的携带申请方 组内设备的临时唯一身份标识和随机数的管道连接请求后,向认证设备发送 验证请求,接收认证设备返回的携带申请方组内设备的第一共享密钥的验证 响应后,向申请方组内设备发送携带被申请方组内设备的临时唯一身份标识 和第二共享密钥的管道连接响应;密钥生成模块用于接收到申请方组内设备发送的管道连接成功消息 后,利用所述随机数和申请方组内设备和被申请方组内设备的临时唯一身份 标识、第一共享密钥和申请方组内设备分别生成衍生密钥。
全文摘要
本发明提供了一种设备间管道的建立方法和家庭网络系统,该方法主要包括网络中设备组网后,组内一般设备和认证设备之间互相交换和验证随机数,所述认证设备给所述组内一般设备分配临时设备编号,组内一般设备和认证设备之间利用随机数、认证设备身份标识、和组内一般设备的临时设备编号同时生成衍生密钥;或者,认证设备给申请方组内设备和被申请方组内设备分别分配临时唯一身份标识和共享密钥,申请方组内设备和被申请方组内设备利用它们的临时唯一身份标识、随机数和认证设备与申请方组内设备的共享密钥同时生成衍生密钥。该系统主要包括认证设备和组内一般设备;或者,认证设备、申请方组内设备和被申请方组内设备。利用本发明,可以在综合考虑各设备特征信息的前提下,保证生成衍生密钥的安全,在设备之间完成安全管道的建立。
文档编号H04L12/28GK101242323SQ20071000756
公开日2008年8月13日 申请日期2007年2月6日 优先权日2007年2月6日
发明者超 李, 阳 辛, 进 陈, 高嘉阳 申请人:华为技术有限公司;北京邮电大学
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:李超;高嘉阳;辛阳;陈进
  • 技术所有人:华为技术有限公司;北京邮电大学
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2