专利名称:应用于同轴承载以太网设备的注册和通信加密方法及系统的制作方法
技术领域:
本发明涉及同轴承载以太网(E0C,以下同轴承载以太网都简称为EOC)的技术,尤 其涉及应用于EOC设备的注册及数据通信时的加密方法和系统。
背景技术:
现有的EOC设备注册和通信加密常见有以下的两种方法。 第一种方法是根据设备的MAC地址进行注册和通信加密,图1示出了这种方法的 步骤。首先,用户端设备将自己的MAC地址和注册申请一起发送给局端设备。然后,局端设 备将这个MAC地址与自己的可授权MAC地址总表做比对,来判断用户端设备是否具有注册 资格。如果MAC地址在这张可授权MAC地址总表内,也即用户端设备具有注册资格,则由局 端设备给用户端设备发送注册成功的通知,并开始双方的明文通信。如果MAC地址没有在 这张可授权MAC地址总表内,也即用户设备没有注册资格,则由局端设备发送拒绝注册的 通知给用户端设备。 第二种方法是根据预设的固定密钥和明文进行注册和通信加密,图2示出了这种 方法的步骤。首先,用户端设备向局端设备发送注册请求,注册请求中包括预先设置的加密 码及其明文。然后,局端设备通过自己预设的密钥来解密加密码,再判断解密后的明文是否 是预设的明文。如果解密后的明文是预设的明文,也即用户端设备具有注册资格,则由局端 设备给用户端设备发送注册成功的通知,并开始双方的明文通信或用预设的密钥对通信进 行加解密。如果解密后的明文不是预设的明文,也即用户端设备不具备注册资格,则由局端 设备发送拒绝注册的通知给用户端设备。 上述第一种方法的缺点是容易被克隆MAC地址的设备盗用服务,第二种方法的缺 点是密码单一固定,容易被破解。
发明内容
本发明的目的在于解决上述问题,提供了一种应用于EOC设备的注册和通信加密 方法,可防止被非法设备盗用服务。 本发明的另一 目的在于提供了一种应用于EOC设备的注册和通信加密系统。 本发明的技术方案为本发明揭示了一种应用于同轴承载以太网设备的注册和通
信加密方法,包括在进行数据通信之前的用户端向局端注册的过程以及注册之后用户端和
局端之间的数据通信加密过程,其中 该用户端向局端注册的过程进一步包括 用户端发送生产商密钥、MAC地址、设备私钥、公共密钥和注册申请至局端;
局端收到后进行识别,判断生产商密钥、设备私钥、公共密钥和MAC地址的合法 性,若判断为非法则拒绝回应用户端,若判断为合法则生成授权密钥,并通过用户端发送的 公共密钥进行加密,然后将加密后的授权密钥和注册成功的消息一起发送给用户端;
该用户端和局端之间的数据通信加密过程进一步包括
用户端收到加密后的授权密钥和注册成功的消息后,通过公共密钥对加密的授权 密钥进行解密并保存,同时向局端发送通信密钥的申请; 局端收到通信密钥的申请后,生成通信密钥,通过已生成的授权密钥对通信密钥
进行加密,再将加密后的通信密钥和通信密钥的申请回答一起发送给用户端; 用户端根据保存的授权密钥对加密的通信密钥进行解密,之后用户端和局端通过
通信密钥对交互通信进行加密和解密。 根据本发明的应用于同轴承载以太网设备的注册和通信加密方法的一实施例,设
备私钥是通过生产商密钥加密过的MAC地址和公共密钥的有规则的组合。 根据本发明的应用于同轴承载以太网设备的注册和通信加密方法的一实施例,在
用户端利局端通过通信密钥对交互通信进行加密和解密的过程中,还包括对授权密钥和通
信密钥的动态更新过程,其中动态更新过程进一步包括 用户端在现有的授权密钥过期前向局端发送再授权申请,申请新的授权密钥;
局端用公共密钥加密新的授权密钥,发送加密后的授权密钥和申请回应;
用户端用公共密钥解密已加密的新的授权密钥并保存,同时丢弃原来的授权密 钥; 用户端在现有的通信密钥过期前向局端发送通信密钥申请,申请新的通信密钥;
局端生成新的通信密钥,用当前最新的授权密钥对通信密钥进行加密,再发送加 密后的通信密钥和申请回应; 用户端用新的授权密钥解密已加密的新的通信密钥并保存,用户端和局端通过新 的通信密钥进行交互通信的加解密; 其中用户端再授权申请的优先级高于通信密钥申请,局端发送授权申请回应和授 权密钥的优先级高于发送通信密钥申请回应和通信密钥。 本发明还揭示了一种应用于同轴承载以太网设备的注册和通信加密系统,包括用 户端设备和局端设备,其中
该用户端设备包括 注册申请发送单元,发送生产商密钥、MAC地址、设备私钥、公共密钥和注册申请至 该局端设备; 授权密钥解密单元,和该局端设备的授权密钥发送单元建立数据连接,通过公共
密钥对接收到的已加密的授权密钥进行解密并保存; 通信密钥申请发送单元,向该局端设备发送通信密钥申请; 通信密钥解密单元,和该局端设备的通信密钥发送单元建立数据连接,根据保存 的授权密钥对接收到的已加密的通信密钥进行解密,之后该用户端设备和该局端设备通过 通信密钥对交互通信进行加密和解密;
局端设备,包括 合法性识别单元,和该用户端设备的注册申请发送单元建立数据连接,在接收到 来自该用户端设备的注册申请后,判断生产商密钥、设备私钥、公共密钥和MAC地址的合法 性,若判断为非法则发送拒绝回应给该用户端设备; 授权密钥生成单元,和该局端设备的合法性识别单元建立数据连接,在该合法性 识别单元判断为合法的情况下,生成授权密钥;
5
授权密钥加密单元,和该局端设备的授权密钥生成单元建立数据连接,通过该用 户端设备发送的公共密钥对生成的授权密钥进行加密; 授权密钥发送单元,和该局端设备的授权密钥加密单元建立数据连接,将加密后 的授权密钥和注册成功的消息一起发送给该用户端设备; 通信密钥生成单元,和该用户端设备的通信密钥申请发送单元建立数据连接,生 成通信密钥; 通信密钥加密单元,和该局端设备的通信密钥生成单元建立数据连接,通过已生 成的授权密钥对通信密钥进行加密; 通信密钥发送单元,和该局端设备的通信密钥加密单元建立数据连接,将加密后 的通信密钥和通信密钥的申请回答一起发送给该用户端设备。 根据本发明的应用于同轴承载以太网设备的注册和通信加密系统的一实施例,设
备私钥是通过生产商密钥加密过的MAC地址和公共密钥的有规则的组合。 根据本发明的应用于同轴承载以太网设备的注册和通信加密系统的一实施例,该
系统还包括设置在用户端设备的用户端密钥更新模块和设置在局端设备的局端密钥更新
模块,其中 用户端密钥更新模块进一步包括 再授权申请发送单元,向该局端设备发送包含新的授权密钥的再授权申请;
授权密钥更新解密单元,和该局端设备的授权密钥更新加密单元建立数据连接, 用公共密钥解密已加密的新的授权密钥并保存; 通信密钥再申请发送单元,向该局端设备发送包含新的通信密钥的通信密钥申 请; 通信密钥更新解密单元,和该局端设备的通信密钥更新加密单元建立数据连接, 用新的授权密钥解密已加密的新的通信密钥并保存,该用户端设备和该局端设备通过新的 通信密钥进行交互通信的加解密;
局端密钥更新模块进一步包括 授权密钥更新加密单元,和该用户端设备的再授权申请发送单元建立数据连接, 用公共密钥加密新的授权密钥并发送至该用户端设备; 通信密钥更新加密单元,和该用户端设备的通信密钥再申请发送单元建立数据连 接,生成新的通信密钥,用新的授权密钥对通信密钥进行加密并连同申请回应一起发送至 该用户端设备。 本发明对比现有技术有如下的有益效果本发明的技术方案是在注册阶段同时识 别生产商密钥、设备私钥、公共密钥和MAC地址,设置多重关联密钥,并在注册阶段提高安 全等级,杜绝非法设备注册。在密钥传递过程中,本发明的技术方案对密钥本身进行加密, 进一步提升了通信安全。此外,本发明可在数据通信的过程中对密钥进行动态更新,防止密 钥被强行破解而导致服务被盗用。对比现有技术,本发明可以很好地防止被非法设备盗用 服务。
图1是传统的根据MAC地址进行注册和通信加密的方法。
图2是传统的根据密码和明文进行注册和通信加密的方法。 图3是本发明的应用于E0C设备的注册和通信加密方法的实施例中有关注册阶段 的流程图。 图4是本发明的应用于E0C设备的注册和通信加密方法的实施例中有关通信加密 阶段的流程图。 图5是本发明的应用于E0C设备的注册和通信加密方法的实施例中有关通信密钥 更新的流程图。 图6是本发明的应用于EOC设备的注册和通信加密系统的实施例的框图。
图7是本发明的应用于EOC设备的注册和通信加密系统的另一实施例的框图。
具体实施例方式
下面结合附图和实施例对本发明作进一步的描述。
,f EOC i殳細麵禾口诵信力瞎诚白條一輔你l 本实施例的应用于EOC设备的注册和通信加密方法主要包括两个阶段注册阶段 和通信加密阶段。其中注册阶段的流程参见图3,通信加密阶段的流程参见图4,以下就这 两个阶段分别进行详细的描述。 对于注册阶段的方法,请同时参见图3。以下就图3所示的各个步骤进行详细描 述。 步骤SIOO :用户端设备将预先烧录的生产商密钥、MAC地址、设备私钥、公共密钥 和注册申请一起发给局端设备。 其中生产商密钥和公共密钥是统一的,设备私钥是通过生产商密钥加密过的MAC 地址与公共密钥是根据某一既定规则的组合。 步骤SIOI :局端设备在收到这些信息后进行识别,判断密钥以及MAC地址的合法 性。若判断为合法则进入步骤S102,若判断为非法则进入步骤S104。 本步骤中的密钥是指生产商密钥、设备私钥和公共密钥。在合法性判断的过程中,
所有合法设备的生产商密钥和公共密钥是统一的,设备私钥是通过生产商密钥加密过的公
共密钥和设备MAC地址的组合。通过预存的生产商密钥解密设备私钥,然后将解密后的设
备私钥与收到的公共密钥和设备MAC地址做比较, 一致则为合法,否则就是非法。 步骤S102 :局端设备生成授权密钥,并通过用户端设备的公共密钥对授权密钥进
行加密。 在本步骤中,授权密钥由用户端设备的MAC地址,请求注册的时间点以及授权密 钥本身的有效时限等组成的。 步骤S103 :局端设备向用户端设备发送加密后的授权密钥以及注册成功的通知。
步骤S104:局端设备向用户端设备发送拒绝注册的通知,并发出非法设备的警
告 在注册阶段完成之后就进入通信加密阶段,通信加密阶段的流程参见图4。以下就 图4所示的各个步骤进行详细描述。 步骤S200 :用户端设备在收到加密后的授权密钥以及注册成功的消息后,用自己 的公共密钥解密收到的已加密的授权密钥并保存。
7
步骤S201 :用户端设备向局端设备发送通信密钥的申请消息。
步骤S202 :局端设备生成通信密钥,并通过授权密钥对通信密钥进行加密。 在本步骤中,通信密钥由用户端设备的MAC地址,请求通信密钥的时间点以及通
信密钥本身的有效时限等组成的。 步骤S203 :局端设备向用户端设备发送加密后的通信密钥以及通信密钥的申请 回答。 步骤S204 :用户端设备根据保存的授权密钥对收到的加过密的通信密钥进行解 密并保存。 步骤S205 :用户端设备和局端设备通过这个通信密钥对交互通信进行加密和解 密。 ,f EOC i殳細麵禾口诵信力瞎诚白條二輔你l 本实施例的应用于EOC设备注册和通信加密方法包括三个阶段注册、通信加密、 以及通信密钥更新。其中注册阶段的流程参见图3,通信加密阶段的流程参见图4,这两个 阶段在第一实施例中已经详细描述,在此不再赘述。为了进一步加强通信的安全性,对授权 密钥和通信密钥要进行动态更新,这两个密钥都具有有效时限。在旧的授权密钥和通信密 钥过期前,用户端设备会向局端设备提出新的授权密钥和通信密钥的申请,局端设备根据 申请生成新的授权密钥和通信密钥,并通过加密方式告知用户端设备,从而保证通信的动 态加密,有效防止非法设备对服务的盗用。以下结合图5对通信密钥更新阶段进行详细描 述。 步骤S300 :用户端设备在旧的授权密钥失效前向局端设备发送再授权申请,申请 新的授权密钥。 步骤S301 :局端设备用公共密钥加密新的授权密钥,再发送加密后的授权密钥和 申请回应。 步骤S302 :用户端设备用自己的公共密钥解密加过密的新的授权密钥并保存,同 时丢弃原来的授权密钥。 步骤S303 :用户端设备在旧的通信密钥失效前,向局端设备发送新的通信密钥申 请。 步骤S304 :局端设备生成新的通信密钥,用当前最新的授权密钥对通信密钥进行 加密,然后发送加密后的通信密钥和申请回应。 步骤S305 :用户端设备用最新的授权密钥解密加过密的通信密钥并保存。 步骤S306 :局端设备和用户端设备通过这个新的通信密钥进行交互通信的加解密。 在动态更新的整个过程中,用户端再授权申请的优先级高于通信密钥申请,而局 端发送授权申请回应和授权密钥的优先级高于发送通信密钥申请回应和通信密钥。
应用于EOC设备的沣册和通信加密系统的第一实施例 本实施例的应用于EOC设备的注册和通信加密系统包括用户端设备10和局端设 备11。用户端设备11包括注册申请发送单元100、授权密钥解密单元102、通信密钥申请发 送单元104以及通信密钥解密单元106。局端设备11包括合法性识别单元110、授权密钥 生成单元111、授权密钥加密单元112、授权密钥发送单元113、通信密钥生成单元114、通信密钥加密单元115以及通信密钥发送单元116。这些单元之间的连接关系是注册申请发
送单元100和合法性识别单元110建立数据连接关系。合法性识别单元110、授权密钥生成 单元111、授权密钥加密单元112、授权密钥发送单元113之间依序建立数据连接关系。授 权密钥发送单元113还和授权密钥解密单元102建立数据连接关系。通信密钥申请发送单 元104和通信密钥生成单元114建立数据连接关系。通信密钥生成单元114、通信密钥加密 单元115以及通信密钥发送单元116之间建立数据连接关系。通信密钥发送单元116和通 信密钥解密单元106之间建立数据连接关系。 以下结合图6对每个单元所实现的功能进行详细描述。注册申请发送单元100向 局端设备11发送生产商密钥、MAC地址、设备私钥、公共密钥和注册申请,这其中的生产商 密钥和公共密钥都是统一的,设备私钥是通过生产商密钥加密过的MAC地址和公共密钥按 照某一规则的组合。合法性识别单元IIO在接收到来自用户端设备10的注册申请之后,判 断密钥和MAC地址的合法性,如果判断出密钥或者MAC地址非法则拒绝回应用户端设备IO。 在判断出密钥和MAC地址合法的情况下继续运行授权密钥生成单元111。授权密钥生成单 元111生成授权密钥。进而授权密钥加密单元112通过用户端设备10发来的公共密钥对 生成的授权密钥进行加密。授权密钥发送单元113将加密后的授权密码和注册成功的消息 一起发送给用户端设备10的授权密钥解密单元102。授权密钥解密单元102通过公共密钥 对接收到的已加密的授权密钥进行解密并保存。 之后,通信密钥申请发送单元104向局端设备11发送通信密钥申请。通信密钥生 成单元114生成通信密钥,再由通信密钥加密单元115通过已生成的授权密钥对通信密钥 进行加密。然后,通信密钥发送单元116负责将加密后的通信密钥和通信密钥的申请回答 一起发送给用户端设备10的通信密钥解密单元106。通信密钥解密单元106根据保存的授 权密钥对接收到的已加密的通信密钥进行解密。之后用户端设备10和局端设备11通过通 信密钥对交互通信进行加密和解密。 应用于EOC设备的沣册和通信加密系统的第二实施例 本实施例的应用于EOC设备的注册和通信加密系统是在上述的系统第一实施例 上的改进。改进点在于本实施例是在上述实施例的基础上增加了用户端密钥更新模块20 和局端密钥更新模块21。用户端密钥更新模块20设置在用户端设备10上,局端密钥更新 模块21设置在局端设备11上。 用户端设备10和局端设备11的其他模块和上述的第一实施例相同,在此不再赘 述。设置在用户端设备10上的用户端密钥更新模块20包括再授权申请发送单元200、授权 密钥更新解密单元202、通信密钥再申请发送单元204、通信密钥更新解密单元206。局端密 钥更新模块21包括授权密钥更新加密单元210、通信密钥更新加密单元212。
再授权申请发送单元200和授权密钥更新加密单元210建立数据连接,授权密钥 更新加密单元210和授权密钥更新解密单元202建立数据连接。通信密钥再申请发送单元 204和通信密钥更新加密单元212建立数据连接,通信密钥更新加密单元212和通信密钥更 新解密单元206建立数据连接。 再授权申请发送单元200向局端设备11发送包含新的授权密钥的再授权申请。授 权密钥更新加密单元210生成新的授权密钥,并用公共密钥对新的授权密码进行加密,连 同申请回应一起发送至用户端设备10。授权密钥更新解密单元202用公共密钥解密接收到
9的已加密的新的授权密钥并保存。 通信密钥再申请发送单元204向局端设备11发送包含新的通信密钥的通信密钥 申请。通信密钥更新加密单元212生成新的通信密钥,并用新的授权密钥对新的通信密钥 进行加密,连同申请回应一起发送至用户端设备10。通信密钥更新解密单元206用新的授 权密钥解密已加密的新的通信密钥并保存。此后,用户端设备IO和局端设备ll通过新的 通信密钥进行交互通信的加解密。 上述实施例是提供给本领域普通技术人员来实现或使用本发明的,本领域普通技 术人员可在不脱离本发明的发明思想的情况下,对上述实施例做出种种修改或变化,因而 本发明的保护范围并不被上述实施例所限,而应该是符合权利要求书提到的创新性特征的 最大范围。
10
权利要求
一种应用于同轴承载以太网设备的注册和通信加密方法,包括在进行数据通信之前的用户端向局端注册的过程以及注册之后用户端和局端之间的数据通信加密过程,其中该用户端向局端注册的过程进一步包括用户端发送生产商密钥、MAC地址、设备私钥、公共密钥和注册申请至局端;局端收到后进行识别,判断生产商密钥、设备私钥、公共密钥和MAC地址的合法性,若判断为非法则拒绝回应用户端,若判断为合法则生成授权密钥,并通过用户端发送的公共密钥进行加密,然后将加密后的授权密钥和注册成功的消息一起发送给用户端;该用户端和局端之间的数据通信加密过程进一步包括用户端收到加密后的授权密钥和注册成功的消息后,通过公共密钥对加密的授权密钥进行解密并保存,同时向局端发送通信密钥的申请;局端收到通信密钥的申请后,生成通信密钥,通过已生成的授权密钥对通信密钥进行加密,再将加密后的通信密钥和通信密钥的申请回答一起发送给用户端;用户端根据保存的授权密钥对加密的通信密钥进行解密,之后用户端和局端通过通信密钥对交互通信进行加密和解密。
2. 根据权利要求1所述的应用于同轴承载以太网设备的注册和通信加密方法,其特征 在于,设备私钥是通过生产商密钥加密过的MAC地址和公共密钥的有规则的组合。
3. 根据权利要求1所述的应用于同轴承载以太网设备的注册和通信加密方法,其特征 在于,在用户端和局端通过通信密钥对交互通信进行加密和解密的过程中,还包括对授权 密钥和通信密钥的动态更新过程,其中动态更新过程进一步包括用户端在现有的授权密钥过期前向局端发送再授权申请,申请新的授权密钥; 局端用公共密钥加密新的授权密钥,发送加密后的授权密钥和申请回应; 用户端用公共密钥解密已加密的新的授权密钥并保存,同时丢弃原来的授权密钥; 用户端在现有的通信密钥过期前向局端发送通信密钥申请,申请新的通信密钥; 局端生成新的通信密钥,用当前最新的授权密钥对通信密钥进行加密,再发送加密后的通信密钥和申请回应;用户端用新的授权密钥解密已加密的新的通信密钥并保存,用户端和局端通过新的通信密钥进行交互通信的加解密;其中用户端再授权申请的优先级高于通信密钥申请,局端发送授权申请回应和授权密钥的优先级高于发送通信密钥申请回应和通信密钥。
4. 一种应用于同轴承载以太网设备的注册和通信加密系统,包括用户端设备和局端设 备,其中该用户端设备包括注册申请发送单元,发送生产商密钥、MAC地址、设备私钥、公共密钥和注册申请至该局 端设备;授权密钥解密单元,和该局端设备的授权密钥发送单元建立数据连接,通过公共密钥 对接收到的已加密的授权密钥进行解密并保存;通信密钥申请发送单元,向该局端设备发送通信密钥申请;通信密钥解密单元,和该局端设备的通信密钥发送单元建立数据连接,根据保存的授 权密钥对接收到的已加密的通信密钥进行解密,之后该用户端设备和该局端设备通过通信密钥对交互通信进行加密和解密; 局端设备,包括合法性识别单元,和该用户端设备的注册申请发送单元建立数据连接,在接收到来自 该用户端设备的注册申请后,判断生产商密钥、设备私钥、公共密钥和MAC地址的合法性, 若判断为非法则发送拒绝回应给该用户端设备;授权密钥生成单元,和该局端设备的合法性识别单元建立数据连接,在该合法性识别 单元判断为合法的情况下,生成授权密钥;授权密钥加密单元,和该局端设备的授权密钥生成单元建立数据连接,通过该用户端 设备发送的公共密钥对生成的授权密钥进行加密;授权密钥发送单元,和该局端设备的授权密钥加密单元建立数据连接,将加密后的授 权密钥和注册成功的消息一起发送给该用户端设备;通信密钥生成单元,和该用户端设备的通信密钥申请发送单元建立数据连接,生成通 信密钥;通信密钥加密单元,和该局端设备的通信密钥生成单元建立数据连接,通过已生成的 授权密钥对通信密钥进行加密;通信密钥发送单元,和该局端设备的通信密钥加密单元建立数据连接,将加密后的通 信密钥和通信密钥的申请回答一起发送给该用户端设备。
5. 根据权利要求4所述的应用于同轴承载以太网设备的注册和通信加密系统,其特征 在于,设备私钥是通过生产商密钥加密过的MAC地址和公共密钥的有规则的组合。
6. 根据权利要求4所述的应用于同轴承载以太网设备的注册和通信加密系统,其特征 在于,该系统还包括设置在用户端设备的用户端密钥更新模块和设置在局端设备的局端密 钥更新模块,其中用户端密钥更新模块进一步包括再授权申请发送单元,向该局端设备发送包含新的授权密钥的再授权申请; 授权密钥更新解密单元,和该局端设备的授权密钥更新加密单元建立数据连接,用公共密钥解密已加密的新的授权密钥并保存;通信密钥再申请发送单元,向该局端设备发送包含新的通信密钥的通信密钥申请; 通信密钥更新解密单元,和该局端设备的通信密钥更新加密单元建立数据连接,用新的授权密钥解密已加密的新的通信密钥并保存,该用户端设备和该局端设备通过新的通信密钥进行交互通信的加解密;局端密钥更新模块进一步包括授权密钥更新加密单元,和该用户端设备的再授权申请发送单元建立数据连接,用公 共密钥加密新的授权密钥并发送至该用户端设备;通信密钥更新加密单元,和该用户端设备的通信密钥再申请发送单元建立数据连接, 生成新的通信密钥,用新的授权密钥对通信密钥进行加密并连同申请回应一起发送至该用 户端设备。
全文摘要
本发明公开了应用于同轴承载以太网设备的注册和通信加密方法及系统,可防止被非法设备盗用服务。其技术方案为在注册阶段同时识别生产商密钥、设备私钥、公共密钥和MAC地址,设置多重关联密钥,并在注册阶段提高安全等级,杜绝非法设备注册。在密钥传递过程中,本发明的技术方案对密钥本身进行加密,进一步提升了通信安全。此外,本发明可在数据通信的过程中对密钥进行动态更新,防止密钥被强行破解而导致服务被盗用。
文档编号H04L9/30GK101741546SQ20091020156
公开日2010年6月16日 申请日期2009年12月22日 优先权日2009年12月22日
发明者何一旻, 顾亚平 申请人:上海全景数字技术有限公司