专利名称:家庭网络设备安全管理系统及方法
技术领域:
本发明涉及家庭网络设备的安全管理技术,更具体地说,涉及一种家庭网络设备安全管理系统及方法。
背景技术:
随着相关技术的不断发展,家庭网络已经离我们越来越近。最简单而常见的家庭网络组网方式是一台ADSL(Asymmetrical Digital Subscriber Loop,非对称数字用户线)调制解调器连接一台计算机。ADSL调制解调器实现到互联网的连接,通过计算机可以完成许多应用,例如网络浏览、网络搜索、网络聊天、网络游戏、视频点播、收发电子邮件、内容下载等等。只要在ADSL调制解调器后面连接一个LAN(Local Area Network,局域网)交换机,并且ADSL调制解调器工作于路由模式,提供DHCP服务,就可以接入多台IP(InternetProtocol,网际协议)设备,从而组成真实的家庭局域网络。例如连接一台VoIP(Voice over IP,基于IP的语音)设备EPhone,就可以打IP电话;如果连接一台IPTV(Internet Protocol Television,交互式网络电视)机顶盒,就可以收看IPTV节目。除此之外,各种传统家用电器也可以实现一定的智能,然后接入这个家庭网络,从而让用户可以从外部访问和控制其家电设备,例如在炎热的夏季在回到家之前10分钟用手机通过互联网连接到家庭网络,然后提前打开空调,这样当回到家里就会感觉到凉爽了。
目前,传统的只完成接入功能的ADSL调制解调器即将由功能更全面的名为“HGW(Home Gateway,家庭网关)”的设备取代。如图1所示,家庭网关不仅可完成ADSL调制解调器的接入和路由功能,也集成了LAN交换功能,还提供防火墙、NAT、QoS、时间服务等,甚至还直接提供VoIP服务,而且一般都提供无线接入功能,具有无线网卡的计算机不用连线就可与之相连。
由于家庭网络是与外部世界相连的,尤其是为了方便家庭内部组网而采用的各种无线接入技术,我们不得不考虑安全问题。网络的安全问题是多方面的,例如信息在传输时的完整性和正确性以及防止窃听等,这是传输安全问题;内容本身存在版权问题,是数字版权管理的范畴;网络设备存在健壮性问题,需要防止病毒和其它恶意攻击,这是防火墙的功能。本发明只考虑网络设备的访问和控制安全性。
UPnP技术论坛是由微软公司发起的研究家庭网络设备即插即用技术的组织。它研究通用即插即用(即UPnP)通信协议,目标是任何智能家电设备包括家用信息设备使用该协议后只要接入网络就可使用,就像现在使用家电一样简单,而不需要使用者具备专门知识。这样的网络就叫UPnP网络。
UPnP协议将网络实体从逻辑上分成CP(控制点)和设备(Device)。CP完成对设备的发现和控制,它在启动后主动查询网络上已有设备。设备实现具体应用功能,它在启动后向外宣告自己的存在,以便CP可以发现它,并在宣告中公布自己可以产生的事件。CP发现设备后可以订阅它感兴趣的设备的事件,设备发生事件后就将事件发送给订阅此事件的CP,CP可能对设备的事件产生相应的控制。CP可以是自动完成对设备的控制,也可以是通过人机界面完成对设备的控制。注意,UPnP说的设备是逻辑上的实体,而不是物理设备。一个物理设备可能由一个或多个UPnP设备组成,也可能还包含一个CP实体。一个物理设备也可能只由一个CP组成。特殊情况下,一个物理设备可以包含多个CP,例如计算机上的多个软件完成多种CP实体的功能。
UPnP协议中也有一套安全机制,为此增加了SC(安全控制台)实体。SC既是CP也是设备,作为CP,它能发现和控制其它设备/SC;作为设备,它能向其它CP/SC宣告自己并接受控制。
UPnP安全机制考虑的是CP/SC对安全设备的访问和控制。UPnP将设备分为安全设备和非安全设备。所谓安全设备,就是对其访问和控制是受限的,需要经过该设备的授权,并且在访问此设备时要对访问设备进行认证。
UPnP设备是由一个或多个服务组成的,安全设备与非安全设备的区别在于,安全设备具有一个特殊的安全服务。通过设备的安全服务,SC可以获得操作设备的密钥、证书、访问控制表、所有者列表等信息。UPnP安全设备使用所有者列表、访问控制表、证书三个要素组成访问权限管理安全框架。
设备保存一份所有者列表,其中会记录哪些CP/SC拥有此设备,拥有此设备的CP/SC(即所有者)对此设备有百分之百的控制权。设备的首个所有者(必然是SC)通过UPnP自动发现协议(SSDP)并结合手工操作来获得对此设备的所有权。安全设备都具有初始密钥系统,为了能实现首次拥有这个操作,安全设备具有安全ID和初始密码(注意SC也是安全设备),这两者都可以直接从设备机身、其显示器、或其随机卡片获得。当设备的所有者列表为空、且被接入UPnP网络时,通过自动发现协议,SC能发现此设备,通过其具有安全服务的特点确定其为安全设备,并读取设备的安全ID然后显示给用户。用户通过安全ID识别此设备并选中它,然后可以给其命名。命名以后的设备便以其名字显示而不再是安全ID(名字保存在SC上)。用户可以继续输入设备的初始密码,确认后SC将自己的安全ID送给设备,设备便将此SC加入所有者列表,SC便拥有了此设备。以后,可以在此SC上通过授权操作使其它SC/CP拥有此设备。
设备还保存一张访问控制表,向CP/SC部分授权。被部分授权的CP/SC并不拥有此设备,只能对此设备进行有限的访问。用户可在拥有此设备的SC上编辑访问控制表。当我们说设备向CP/SC授权时,与设备的所有者SC向其它CP/SC授权是一个意思,因为一个所有者完全拥有设备,所有者就成了设备的权力代理。
可以操作安全设备的CP/SC都持有表明对此设备有合法权限的证书,此证书由设备的所有者SC产生。
UPnP安全机制还使用签名和加密方式保证消息的安全。设备具有初始公钥,SC可以直接获得。安全设备的安全ID实际上就是基于其公钥的一个可视散列值,一般位数较短,只是用于识别,相当于名字,SC和设备都使用完全相同的散列算法得到这个安全ID。
UPnP的安全机制对于有线或无线接入同样适用,当然首先是针对无线接入提出的。有线接入在物理上局限于家庭内部,认为这已经是安全的。如图2所示,在无线接入方面,对于非法CP/SC由于无法得到安全设备的授权,因此无法对安全设备进行操作,从而保证安全。同样,对于延伸到室外的有线接入,此机制一样起作用。
由前面的描述可知,UPnP安全机制具有以下一些缺点(1)必须有人工干预,其所描述的拥有过程和授权过程并不是一个简单的步骤,仍需用户具备一定的专业知识,例如拥有者列表、访问控制列表等。
(2)UPnP的安全机制使未经授权的(物理)设备不能访问受权限保护的安全设备,但不能防止非法用户访问那些非安全设备,也不能防止非UPnP安全设备接入到网络并经家庭网关接入到互联网,即盗用上网帐户。后者在使用无线接入时极易发生。
(3)UPnP的设备被转移(例如转卖)前,必须人为将设备恢复到初始状态,即出厂设置和未被拥有。在未恢复初始状态就被转移的情况下(例如被盗窃),易发生帐号盗用情况,例如VoIP用户设备一般会将呼叫号码与设备本身关联,设备移到别处后,仍可继续使用原号码拨打IP电话。
发明内容
针对现有技术的上述缺陷,本发明要解决现有机制中需要用户手工操作来实现设备的授权访问,且用户帐号和设备易被盗用的问题。
本发明解决其技术问题所采用的技术方案是构造一种1、一种家庭网络设备安全管理系统,其中包括一个或多个家庭网关,每一个家庭网关连接一个或多个用户设备以组成相应的家庭网络;其特征在于,所述安全管理系统中还包括一个位于广域网且用于为家庭网络提供安全管理服务的安全管理服务器;在每一个家庭网络内部设有一个用于为家庭网络内部的用户设备提供安全服务、并用于与所述安全管理服务器交互以实现完整安全服务的安全管理模块;其中,为每一个用户设备和安全管理模块配置有唯一的设备标识,并为每一个家庭网络配置有唯一的网络标识;所述安全管理服务器通过所述家庭网关与所述安全管理模块通信,所述安全管理服务器和安全管理模块通过配置、验证所述网络标识和/或设备标识来实现相应的家庭网络设备安全管理。
本发明的所述安全管理系统中还可包括一个位于广域网、可根据所述安全管理模块的请求将所述安全管理服务器的地址信息发送给安全管理模块的自动配置服务器。其中,所述安全管理模块是独立的物理设备、或者是家庭网关的一个功能模块。
本发明还提供一种家庭网络设备安全管理方法,其中,在广域网中设置一个为家庭网络提供安全管理服务的安全管理服务器,在每一个家庭网络内部设置一个用于为家庭网络内部的用户设备提供安全服务、并用于与所述安全管理服务器交互以实现完整安全服务的安全管理模块;同时,为每一个用户设备和安全管理模块配置有唯一的设备标识,并为每一个家庭网络配置有唯一的网络标识;所述安全管理服务器和安全管理模块通过配置、验证所述网络标识和/或设备标识来实现相应的家庭网络设备安全管理。
本发明中,所述安全管理模块可通过以下步骤向所述安全管理服务器注册(51)安全管理模块向安全管理服务器发送网络安全服务注册消息;(52)安全管理服务器收到该网络安全服务注册消息后,在其第一记录表中搜索安全管理模块的设备标识;(52.1)如果没有找到该设备标识,或虽找到该设备标识但其状态为已删除,则忽略,无需发送响应报文;(52.2)如果找到该设备标识,且安全管理模块发送的网络标识为空,则回应注册成功消息,并附加记录中登记的网络标识;(52.3)如果找到该设备标识,但安全管理模块发送的网络标识不为空且与记录中的网络标识不一致,则报警;(52.4)如果找到该设备标识,安全管理模块发送的网络标识不为空且与记录中的网络标识一致,则回应注册成功消息;(53)如果安全管理模块收到安全管理服务器的响应消息是注册成功,则指示已成功注册网络安全服务,如果该安全管理模块是首次注册,则还从响应消息中取出网络标识并保存。
本发明中,所述用户设备可通过以下步骤向所述安全管理服务器注册(71)用户设备接入网络后,通过广播消息宣告自己的存在;(72)安全管理模块收到用户设备的宣告消息后,从宣告消息中获取用户设备的设备标识,或通过向所述用户设备发出查询请求以获取其设备标识;(73)安全管理模块利用所述用户设备的设备标识,向安全管理服务器发送用户设备安全服务注册消息;(74)安全管理服务器收到所述安全服务注册消息后,在其第一记录表和第二记录表查找是否有所述安全管理模块的网络标识以及是否有所述用户设备的设备标识,并根据查找结果向安全管理模块发送相应的响应消息;(75)安全管理模块根据安全管理服务器发回的响应消息作相应的处理,如果所述响应消息指示“注册成功”,则安全管理模块将所述用户设备的设备标识添加到安全管理模块的第三记录表。
具体实施时,可根据不同是否为首次注册、是否为安全设备、是否发生过设备转移等情况,分别作出不同的处理。
由于采取了上述技术方案,本发明与现有技术相比具有以下优点(1)只要用户为其设备预先向安全管理服务器申请安全服务,设备接入网络就可自动实现安全服务注册过程,实现了类似于UPnP安全机制中的用户手工确认过程,而这个预申请过程不需要用户理解技术问题,只需要提供有关信息。
(2)同时兼容UPnP或类似的手工安全确认机制,用户可根据自己的情况选择采用预申请还是自己手工确认。
(3)具有比UPnP安全机制更强的访问安全性,所有被访问设备都可以验证访问设备的合法性。
(4)由于设备注册到安全管理服务器,一个设备被非法转移到另一个网络中后,会被安全管理服务器发现。只要接入网络提供商强制用户家庭网络中存在这样一个安全管理模块并且可验证,例如安全管理模块是家庭网关的必备模块,则本条所说效果就可得到体现。
下面将结合附图及实施例对本发明作进一步说明,附图中图1是家庭网络的组网示例图;图2是现有机制的示意图;图3是本发明所涉及的实体网络示意图;图4是SMS收到SMM的网络安全服务注册消息时的处理流程图;图5是预先申请了安全服务的非安全CPE首次注册安全服务的流程图;图6是预先申请了安全服务的安全CPE首次注册安全服务的流程图;图7是没有预先申请安全服务的非安全CPE首次注册安全服务的流程图;图8是没有预先申请安全服务的安全CPE首次注册安全服务的流程图;图9是合法设备再注册安全服务的流程图;图10是SMS发现非法设备的处理流程图;图11是CPE1访问CPE2的第一步建立连接时携带NTID;图12是CPE1访问CPE2的第一步建立连接时不带NTID;图13是CPE2鉴权CPE1的流程图;图14是用户向SMS取消CPE的安全服务的流程图;图15是转移设备在线确认的流程图。
具体实施例方式
本发明提出网络标识(NID)概念,结合唯一的设备标识(NTID),提供一种网络设备安全管理机制。NID是由一个位于公网(即广域网)的服务器自动分配的或者用户自己指定的字符串,它唯一地标识一个局域网络。NTID是用户家庭网络中所有设备都支持的具有统一格式并且能唯一地标识一台设备的信息串,它的格式可以是DSL论坛技术文献TR069定义的“OUI-设备序列号”格式,但不排除使用其它形式的唯一的设备标识信息。
如图3所示,本发明的系统中,包括一个位于公网上的安全管理服务器(SMS)、家庭网络内部的安全管理模块(SMM)、家庭网络中的所有CPE(Customer Premises Equipment,用户驻地设备)、以及另一个位于公网的自动配置服务器(ACS)。广义的说,CPE包含了SMM和家庭网关。下面将分别介绍图3中各个功能实体的功能。
1、安全管理服务器本发明中,在WAN(Wide Area Network,广域网)上布置一个安全管理服务器,简称SMS(Security Management Server)。拥有并管理此服务器的商业实体可称之为家庭网络安全服务提供商,简称SSP(home network SecurityService Provider)。SMS为家庭网络设备的安全管理提供服务,它具有如下主要功能1)接受用户申请网络安全服务。
1.1)用户申请网络安全服务时,提供SMM设备的NTID。
1.2)SMS自动生成唯一的家庭网络标识NID(Network Identification,网络标识)和密码,或接受用户指定的NID和密码,确保NID的唯一性。
1.3)在表NID-L(NID List,NID列表)中生成新的记录。NID-L的结构如表1所示。
表1-NID-L的格式
NID由SMS自动分配或用户指定的唯一性网络标识。
PSW(NID)NID对应的密码,由SMS自动生成或用户指定。
NTID(SMM)用户SMM(见后面的描述)设备的唯一标识,由用户在申请网络安全服务时提供。
SKey(SMM)SMM的加密公钥。
用户姓名用户的姓名,也可以增加身份证信息。
用户地址用户住址信息。
其它联系方式可以是电话号码或电子邮箱等,用于在特殊情况下与用户联系。
状态取值如下,“1”-已申请,用户的SMM还未向SMS注册过,新记录的初始值。
“2”-应用中,用户的SMM已经向SMS注册过,但不表示设备是否在线。
“3”-已注销,用户已取消了网络安全服务,这样的记录也可以移到另一张表,保留这样的记录备查。
最近注册时间最近一次SMM注册安全服务的时间,SMS接受注册时记录。
备注其它有用信息。
2)接受用户家庭网络安全服务注册。
用户申请了网络安全服务后,其网络中的SMM就可以向SMS注册网络安全服务,以获得自己的NID。其过程在网络安全服务注册方法中描述。
3)接受用户为其CPE预申请安全服务。
3.1)用户为其CPE预申请安全服务时,应提供其NID、PSW(NID)、CPE的NTID、安全设备的初始密码。
3.2)SMS在表NTID-L(NTID List,NTID列表)中生成新的记录。NTID-L的格式可以如表2所示。
表2-NTID-L的格式
NTID(CPE)CPE的NTID。
NIDCPE所属家庭网络的NID。
PSW(CPE)CPE的密码,标示于CPE的标签、随机卡片或说明书等资料中。对于非安全设备为空。
状态取值如下,“1”-已申请,用户预先申请了安全服务,尚未在线注册过,新记录的初始值;“2”-应用中,用户已在线注册了安全服务,但不表示设备当前是否在线;“3”-已注销,用户取消了该设备的安全服务,这样的记录也可以移到另一张表,保留这样的记录备查。
最近注册时间最近一次SMM为其注册安全服务的时间,SMS接受注册时记录。
4)接受CPE注册安全服务。
只要用户申请了网络安全服务,即获得了NID,不管用户是否已预先为其CPE申请了安全服务,都可以接受CPE安全服务注册。CPE注册安全服务的详细过程将在后面描述。
5)将SMM的所有注册事件,包括SMM注册网络安全服务和为CPE注册设备安全服务生成记录保存。
2、家庭网络内部的安全管理模块用户家庭网络内部存在一个SMM(Security Management Module,安全管理模块),它可以是家庭网关的一部分,也可以是独立的设备。其主要功能包括1)记录并管理家庭网络中所有CPE的NTID及其它辅助信息。SMM使用表CPE-L(CPE List)管理用户设备,见表3所示。
表3-SMM使用的CPE-L
NTID(CPE)CPE的NTID。
IP地址CPE在线时的IP地址信息,若不在线,此项无定义。
状态用于表示CPE的状态,可能的取值,“0”-不在线;“1”-在线。
2)为家庭网络中的CPE向SMS注册安全服务,其注册过程将在后面描述。
3)当SMM不能连接到SMS时,能为网络中的CPE提供安全服务,并缓存CPE上线记录到表CPE-L-UR(UR为未向SMS注册之意)。其提供安全服务的方法在后面描述。CPE-L-UR可用表4的格式。
表4-未经SMS认证的CPE上线记录表CPE-L-UR的格式
NTID(CPE)CPE的NTID上线时间CPE上电宣告自己的时间,包含年月日时分秒。
密码安全设备的密码,对于非安全设备为空,对于已经注册过的安全设备也可能为空。它只在安全设备首次进入用户网络是通过手工确认的时候有用,用来向SMS报告此信息,SMS随后将之保存。
4)当SMM能连接到SMS时,如果存有未向SMS注册的CPE上线记录,则发送到SMS进行滞后的安全验证。
5)为对网络中的设备所进行的访问进行安全认证服务。
6)保存对网络中设备的访问事件。
3、用户设备(CPE)为了实现本发明所描述的安全服务,用户设备必须具有以下功能1)CPE在接入网络时应该能宣告自己,在宣告消息中包含自己的NTID,或者SMM收到宣告消息后来查询NTID时能反馈NTID。这样,网络中的SMM在得知CPE上线时能得到其NTID,为其向SMS注册安全服务。本实施例以CPE在宣告消息中携带NTID为例。安全设备还应该在宣告中表明自己是安全设备,SMM也将在注册消息中包括这个标识。CPE的宣告消息是一个广播消息,这样,CPE就不必在一开始就要知道SMM的地址。CPE不必将SMM的地址信息保存到永久存储器,而是在每次启动时由SMM通知给它。
2)CPE收到对自己的访问时,可以通过SMM鉴别其是否为合法设备。详细过程在安全访问控制方法中描述。当CPE不能得到SMM的地址时,是否允许其它设备访问它由CPE自己决定,本发明不作规定。
3)CPE可以将对自己的访问事件发送给SMM保存。
4、自动配置服务器自动配置服务器简称ACS(Auto-Configuration Server),也是WAN侧的服务器,用来实现对CPE的自动配置。本发明中,要求它发给SMM的配置文件中必须有SMS的地址信息,以及一个证书。这样在SMM获得自动配置时就获得了SMS的地址以及能够和SMS进行秘密通信的密钥。
下面逐一描述本发明的有关处理方法。
一、网络安全服务注册流程1)SMM启动时,如果还不知道SMS的地址,就发送请求给ACS,向ACS请求配置;如果SMM已经知道了SMS的地址,则转步骤3。
2)ACS通过某种方式将SMS的地址信息、以及一个证书发送给SMM,例如一个配置文件或通过访问SMM的一个数据结点进行设置。
3)SMM获得SMS的地址后,向SMS发送网络安全服务注册消息,在注册消息中包含自己的NTID和NID、加密公钥。当SMM还未获得NID时注册消息中的NID为空。SMS和SMM之间的通信需要保证安全性,因此SMM需要从SMS获得其公钥,用其公钥加密自己发送的信息,并在注册消息中包含自己的加密公钥,之后SMS向SMM发送消息时可使用SMM的公钥加密。SMM获得SMS的公钥应该在发送注册消息之前发生,SMM可以直接从SMS获得,也可以从SMS的CA处获得,本发明不限定。
4)SMS收到网络安全服务注册消息后,在表NID-L中搜索SMM的NTID,如图4所示,4.1)如果没有找到该NTID或找到该NTID但记录中的申请标识的值为“3”(表示NTID已删除),则忽略,无需发送响应报文。
4.2)如果找到该NTID,且SMM发送的NID为空(此时记录中的申请标识应该为“1”),则保存SMM发送的SMM的公钥信息,申请标识置为“2”,回应注册成功消息并附加记录中的NID。响应消息使用SMM的公钥加密(以下都是如此,不再重复)。
4.3)如果找到该NTID,但SMM发送的NID不为空且与记录中的NID不一致,则报警,并回应错误或不回应(这种情况不应该发生)。
4.4)如果找到该NTID,SMM发送的NID不为空且与记录中的NID一致(此时记录中的申请标识应该为“2”),则回应注册成功消息。
5)SMM收到SMS的响应消息,5.1)如果是注册成功,则指示成功注册网络安全服务。如果SMM是首次注册,则从响应消息中取出NID保存。
5.2)如果是出错信息,则指示未成功注册网络安全服务。
二、CPE安全服务注册流程1)CPE接入网络后,用广播消息宣告自己的存在,在宣告报文中包括自己的NTID,如果该CPE是限制访问的安全设备,则还包括一个表明它是安全设备的标识。
2)SMM收到CPE的宣告消息后,向SMS发送CPE设备安全服务注册消息,消息中包括NID、CPE的NTID、是否为安全设备的标识。消息使用SMS的公钥加密(以下交互消息都是加密的,不再重复)。
3)SMM发送CPE注册消息之后,在CPE-L中检索该CPE的NTID3.1)若CPE-L中存在此CPE,则将该CPE添加到表CPE-L-UR,见表4,并将自己的地址告诉CPE;否则,3.2)若CPE-L中不存在此CPE,则将该CPE添加到未确认的CPE列表CPE-L-UC(UC为未经用户确认之意)中,并标明是安全设备还是非安全设备,然后等待手工确认或SMS的注册结果。CPE-L-UC的格式见表5。
表5-未经确认的CPE记录表CPE-I-UC的格式
NTID(CPE)CPE的NTID安全标志取值如下,0-非安全设备;1-安全设备。
4)用户手工确认安全设备4.1)SMM将CPE-L-UC列表中的CPE的NTID或STID(简单终端标识)显示给用户。STID是使用某种摘要算法得到的NTID的摘要信息并使用BASE64编码然后取前4~5个字符。STID不能唯一标识一台设备,但在一个家庭内难以重复,并且因为简短而易于阅读。
4.2)用户查看CPE的标签、随机卡片、说明书等资料,从中获得该设备的NTID或STID,在SMM上查看显示信息,选中所要的CPE,然后确认。安全设备则要在确认时输入CPE的密码。密码同样来自该设备的卡片、标签、说明书等资料。对于非安全设备确认之后转步骤4.6。
4.3)对于安全设备的确认,SMM将输入的密码用CPE的公钥加密发送给CPE。安全CPE具有初始安全证书,其加密公钥可以直接读取。
4.4)CPE收到SMM发来的密码信息,验证其正确性,向SMM回送验证结果,这个结果可能是通过或不通过。
4.5)SMM收到CPE的验证结果,如果是验证不通过,则回到4.2;否则进入4.6。
4.6)SMM添加该CPE到表CPE-L-UR和CPE-L,并从表CPE-L-UC中删除,然后将自己的地址告诉该CPE。然后SMM等待SMS的响应消息,转步骤6。
5)接步骤2,SMS收到设备安全服务注册消息后,检索NID-L5.1)若NID-L中没有指定的NID,则忽略之,不作任何响应;否则,5.2)若NID-L中存在指定的NID,SMS根据NTID与NID检索NTID-L5.2.1)如果NTID-L中找到与指定NTID、NID完全匹配的记录,说明该设备已经申请了或注册过安全服务回应注册成功,如果注册消息指明CPE是安全设备,则将NTID-L记录中该设备的密码附加在响应消息中;如果此时记录中状态标识为“1”,则将其置为“2”。否则,5.2.2)如果NTID-L中找到指定的NTID记录但记录中的NID与注册消息中的NID不同,则报警,回应SMM此CPE已在其它网络注册;否则,5.2.3)如果NTID-L中没有指定的NTID记录,说明用户没有为此设备预先申请安全服务,则发消息询问SMM是否注册,消息中应该包括NTID。
6)SMM收到SMS对注册消息的响应消息6.1)注册响应消息为“注册成功”6.1.1)若SMM正在等待用户确认该CPE,则如果CPE是非安全设备,直接转6.1.1.4,否则进行下列步骤6.1.1.1)SMM将SMS传送来的密码发送给CPE。
6.1.1.2)CPE验证密码的正确性,向SMM回送验证结果(通过或不通过)。
6.1.1.3)SMM收到CPE的验证结果,如果是验证不通过,向SMS回送出错信息,表示预申请安全服务时出错,同时继续等待用户手工确认,即回到步骤4;否则,6.1.1.4)SMM添加该CPE到表CPE-L,将自己的地址告诉CPE,并取消等待确认,即从CPE-L-UC中删除此CPE。
6.1.2)若用户已手工确认过了,此时该CPE已经从表CPE-L-UC删除,并且同时加入到表CPE-L-UR和表CPE-L中,SMM的地址也已经告诉CPE,则将CPE从CPE-L-UR删除即可,此时SMS发送过来的密码被忽略。
6.1.3)或该CPE以前注册过,CPE已经在表CPE-L中,经步骤3.1,CPE也出现在CPE-L-UR中,而且SMM的地址也已经告诉CPE,则将CPE从CPE-L-UR中删除即可。
6.2)注册响应消息为“CPE已在其它网络注册”,SMM向用户提示设备不能应用或不提示,并将该CPE从所有表中删除。
6.3)注册响应消息为“询问是否注册”,说明CPE没有预先向SMS申请安全服务6.3.1)如果正在等待用户确认,则等待用户完成确认(见步骤4),或者可能已经完成确认。
6.3.2)完成手工确认后,向SMS发送确实注册消息,并将CPE添加到表CPE-L,但不从表CPE-L-UR中删除。对于安全设备,确实注册消息中包含该CPE的密码。
7)步骤6之后,SMM可能向SMS发送确实要注册的消息或提示密码错误的消息或一直无消息。
7.1)SMS收到CPE密码错误的消息,消息中包括NID、CPE的NTID。SMS给出提示,请求人工干预修正信息,同时将注册状态改为“1”。
7.2)SMS收到“确实注册”消息,消息中包括NID、CPE的NTID和密码(对于非安全设备来说此项为空)。SMS首先检索NID-L7.2.1)若NID-L中没有指定的NID,则忽略之,不作任何响应;否则,7.2.2)若NID-L中存在指定的NID,SMS根据NTID与NID检索NTID-L7.2.2.1)如果NTID-L中找到与指定NTID、NID完全匹配的记录,回应注册成功,将SMM发来的CPE的密码(对于非安全设备来说此项为空)记录到NTID-L中,同时将记录中标识置为“2”;否则,7.2.2.2)如果NTID-L中找到指定的NTID记录但记录的NID与指定的NID不同,则报警,回应SMM此CPE已在其它网络注册;否则,7.2.2.3)如果NTID-L中没有指定的NTID记录,直接添加记录,包括记录密码,回应注册成功。
8)对于步骤5、7中SMM收到SMS的“注册成功”消息,还有,8.1)对于步骤7.2.2.3的“注册成功”消息,SMM将CPE从表CPE-L-UR中删除。
8.2)SMM可能需要再给SMS回送一个确认消息然后结束会话。
根据前面的描述,对于CPE申请安全服务的各种情况,可分别用交互图描述如下。
如果用户预先为非安全设备向SSP申请了安全服务,则CPE首次向SMS注册安全服务的过程如图5所示。图中在每一步骤前所标的步骤号对应于第二点的“CPE安全服务注册流程”中所描述的各步骤,对图6至图15也同样如此。
如果用户预先为安全设备向SSP申请了安全服务,则CPE首次向SMS注册安全服务的过程如图6所示。
如果非安全设备没有预先申请安全服务,只要用户已经为其家庭网络申请了安全服务,则设备接入后可在SMM简单确认即可,如图7所示。
如果安全设备没有预先申请安全服务,只要用户已经为其家庭网络申请了安全服务,则设备接入后可通过人工确认获得SMS的安全服务,如图8所示。
对于已经成功注册过安全服务的CPE,其再注册过程如图9所示。
如果一台CPE在其它网络成功注册过安全服务或事先被申请了安全服务,移到一个不属于它的网络中使用时,SMS能够发现并报警,如图10所示。
三、没有SMS时的安全服务本机制用于保证当SMM不能访问SMS时用户家庭网络仍可以正常运行。它体现在,设备首次注册时并不需要一定等待SMS的响应,用户可以通过手工确认使CPE获得SMM的安全服务。见前述第二点中的步骤4。
在前述第二点中,如果SMM不能访问SMS,手工确认过程可以起作用。此时,SMM保存所有未向SMS注册的CPE的有关信息,它们存储在CPE-L-UR中。
当SMM能够访问SMS时,把表CPE-L-UR中CPE的NTID等信息送给SMS进行滞后注册。方法同前述第二点中一样,只是在时间上是滞后的行为。SMS能从这种滞后的安全服务注册行为中发现非法设备,这是SMS在这种情况下最主要的作用。而用户不能修改SMM中的CPE-L-UR信息。
四、安全访问控制方法1、家庭网络内部设备之间的访问当家庭网络内部一个设备访问另一个设备时,可以先发送一个访问请求,在访问请求中包含自己的NTID,也可以象常规那样直接开始建立连接的过程。
被访问设备收到建立连接的请求时,如果之前没有收到访问者主动发送来的NTID,则向访问者查询其NTID。访问者收到这种查询时,必须告知被访问者自己的NTID。
被访问者向SMM查询访问者的NTID是否合法。方法是被访问设备调用SMM的一个接口,SMM检查CPE-L列表,如果访问设备的NTID在CPE-L中,则认为该设备合法,否则为不合法。
建立连接的过程示如图11和图12所示,其中图11示出的是请求建立连接时携带了NTID的处理流程,图12示出的是请求建立连接时未携带NTID的处理流程。
如图13所示,被访问设备可以对访问设备进行鉴权。设备自己保存一个访问权限表,有权访问自己的设备其NTID和认证密钥将出现在这个表中。当被访问设备发现访问者没有出现在这个表中或鉴权不通过(即图13中的密码检查不通过)时,向SMM报告此事件;用户可以通过SMM手工确认访问设备是否确有权限访问被访问设备。如果SMM确认访问设备确有权限访问被访问设备,则SMM从被访问者读取一个密码转发给访问者。SMM与被访问者之间的通信是秘密传输的。SMM与访问者之间也应该是秘密传输的。如果访问者没有证书,则SMM给其下发一个,否则就使用其原有的。
CPE从SMM获得证书的过程可以是这样的CPE随机生成一个对等密钥,使用SMM的公钥加密传输给SMM。SMM使用CPE的对等密钥加密一个证书发给CPE。
SMM发给CPE的证书可以是自己生成的,也可以从SMS获取。SMS在SMM的请求下生成一个证书发送给SMM。
CPE鉴权另一个CPE的过程见图13。
2、家庭网络内部设备访问外部当家庭网络内部设备访问外部时,必然要经过HGW(家庭网关),HGW可采用上述相同方法验证设备合法性,并使用同样的访问权限列表来限制设备的权限,经过确认的合法设备允许穿过此网关,未被确认的合法设备不能穿过。这相当于建立了一个过滤列表,但不是事先编辑好的,而是当设备访问外部网络时即时建立的。
3、外部设备访问家庭网络内部设备前述家庭网络内部的设备之间的访问控制机制,同样适用于网络外部设备访问家庭网络内部设备。
用户自己的可游牧设备可以预先在SMS申请安全服务,或从家庭网络内部进行手工确认的安全服务注册并确实注册到SMS。当该游牧设备从公共接入点接入网络时,它的宣告消息不会起作用,因为所处环境中没有SMM,但这并不影响它接入互联网,因为用户设备并没有直接的与SMM通信。
当游牧设备访问到用户家庭网络内的某个CPE时,该CPE会询问游牧设备的NTID,然后向SMM查询。后续过程与家庭网络内部的访问是一样的。
五、设备注销用户将自己的设备转让予其他人,应该注销该设备在SMS上的安全服务,这样受转让人才可为该设备申请安全服务,以免该设备在另一个网络接入时SMS报警。注销过程如图14所示,其中,用户向SMS发送取消安全服务请求,其中带有要注销设备的NTID,SMS在其NTID-L中找到相应记录,将其状态置为“3”,然后向用户回传注销成功消息;同时,SMS向SMM发送注销安全服务消息,其中带有要注销设备的NTID,由SMM在其CPE-L中找到相应记录并将其删除。
用户也可以在家庭内部的SMM上进行操作,删除一个设备,然后SMM向SMS发送注销安全服务请求,其中带有要注销设备的设备标识,安全管理服务器在NTID-L记录表中找到相应记录,将其状态置为“3”,然后向用户回传注销成功消息。
六、在线设备转移如图15所示,用户转移其设备时,也可以不用前述注销方法。接受设备的用户将设备接入其网络后,SMS可在其报警环节发送一个消息给设备的原用户家庭网络中的SMM,该消息中包括新用户的户名和/或地址等信息、被转移设备的NTID。设备原用户的SMM将显示“您的设备xxxx出现在xxx家里,其地址是xxxxx,您确认吗?”,原用户只要选择“是”即可。SMS收到原用户的确认消息后,将NTID-L表中原记录的状态改为“3”,并自动生成新的记录。
由前述优选实施例可知,本发明具有以下优点(1)预申请过程不需要用户理解技术问题,只需要提供有关信息。
(2)同时兼容UPnP或类似的手工安全确认机制,用户根据自己的情况选择采用预申请还是自己手工确认。
(3)具有比UPnP安全机制更强的访问安全性,所有被访问设备都可以验证访问设备的合法性。
(4)由于设备注册到SMS,一个设备被非法转移到另一个网络中将被SMS发现。只要接入网络提供商强制用户家庭网络中存在这样一个SMM并且可验证,例如SMM是家庭网关的必备模块,则本条所说效果就可得到体现。
权利要求
1.一种家庭网络设备安全管理系统,其中包括一个或多个家庭网关,每一个家庭网关连接一个或多个用户设备以组成相应的家庭网络;其特征在于,所述安全管理系统中还包括一个位于广域网且用于为家庭网络提供安全管理服务的安全管理服务器;在每一个家庭网络内部设有一个用于为家庭网络内部的用户设备提供安全服务、并用于与所述安全管理服务器交互以实现完整安全服务的安全管理模块;其中,为每一个用户设备和安全管理模块配置有唯一的设备标识,并为每一个家庭网络配置有唯一的网络标识;所述安全管理服务器通过所述家庭网关与所述安全管理模块通信,所述安全管理服务器和安全管理模块通过配置、验证所述网络标识和/或设备标识来实现相应的家庭网络设备安全管理。
2.根据权利要求1所述的家庭网络设备安全管理系统,其特征在于,所述安全管理系统中还包括一个位于广域网、可根据所述安全管理模块的请求将所述安全管理服务器的地址信息发送给安全管理模块的自动配置服务器。
3.根据权利要求1或2所述的家庭网络设备安全管理系统,其特征在于,所述安全管理模块是独立的物理设备、或者是家庭网关的一个功能模块。
4.一种家庭网络设备安全管理方法,其特征在于,其中,在广域网中设置一个为家庭网络提供安全管理服务的安全管理服务器,在每一个家庭网络内部设置一个用于为家庭网络内部的用户设备提供安全服务、并用于与所述安全管理服务器交互以实现完整安全服务的安全管理模块;同时,为每一个用户设备和安全管理模块配置有唯一的设备标识,并为每一个家庭网络配置有唯一的网络标识;所述安全管理服务器和安全管理模块通过配置、验证所述网络标识和/或设备标识来实现相应的家庭网络设备安全管理。
5.根据权利要求4所述的方法,其特征在于,所述安全管理模块通过以下步骤向所述安全管理服务器注册(51)安全管理模块向安全管理服务器发送网络安全服务注册消息;(52)安全管理服务器收到该网络安全服务注册消息后,在其第一记录表中搜索安全管理模块的设备标识;(52.1)如果没有找到该设备标识,或虽找到该设备标识但其状态为已删除,则忽略,无需发送响应报文;(52.2)如果找到该设备标识,且安全管理模块发送的网络标识为空,则回应注册成功消息,并附加记录中登记的网络标识;(52.3)如果找到该设备标识,但安全管理模块发送的网络标识不为空且与记录中的网络标识不一致,则报警;(52.4)如果找到该设备标识,安全管理模块发送的网络标识不为空且与记录中的网络标识一致,则回应注册成功消息;(53)如果安全管理模块收到安全管理服务器的响应消息是注册成功,则指示已成功注册网络安全服务,如果该安全管理模块是首次注册,则还从响应消息中取出网络标识并保存。
6.根据权利要求5所述的方法,其特征在于,如果所述安全管理模块在启动时其记录中没有所述安全管理服务器的地址,则发送地址配置请求给自动配置服务器,由所述自动配置服务器通过将安全管理服务器的地址信息发送给安全管理模块。
7.根据权利要求4所述的方法,其特征在于,所述用户设备通过以下步骤向所述安全管理服务器注册(71)用户设备接入网络后,通过广播消息宣告自己的存在;(72)安全管理模块收到用户设备的宣告消息后,从宣告消息中获取用户设备的设备标识,或通过向所述用户设备发出查询请求以获取其设备标识;(73)安全管理模块利用所述用户设备的设备标识,向安全管理服务器发送用户设备安全服务注册消息;(74)安全管理服务器收到所述安全服务注册消息后,在其第一记录表和第二记录表查找是否有所述安全管理模块的网络标识以及是否有所述用户设备的设备标识,并根据查找结果向安全管理模块发送相应的响应消息;(75)安全管理模块根据安全管理服务器发回的响应消息作相应的处理,如果所述响应消息指示“注册成功”,则安全管理模块将所述用户设备的设备标识添加到安全管理模块的第三记录表。
8.根据权利要求7所述的方法,其特征在于,如果用户预先为非安全设备向所述安全管理服务器申请了安全服务,则所述安全管理模块为所述用户设备首次向安全管理服务器注册安全服务时,在执行了所述步骤73之后,按以下步骤进行安全管理服务器收到所述安全服务注册消息后,在其第一记录表中查找是否有所述安全管理模块的网络标识,如果有则进一步在其第二记录表中查找是否有所述用户设备的设备标识,如果有则向所述安全管理模块回传注册成功的响应消息;安全管理模块收到该响应消息后,将所述用户设备的设备标识添加到安全管理模块的第三记录表,并将自己的地址发送给所述用户设备。
9.根据权利要求7所述的方法,其特征在于,如果用户预先为安全设备向所述安全管理服务器申请了安全服务,则所述安全管理模块为用户设备首次向安全管理服务器注册安全服务时,在执行了所述步骤73之后,按以下步骤进行安全管理服务器收到所述安全服务注册消息后,在其第一记录表中查找是否有所述安全管理模块的网络标识,如果有则进一步在其第二记录表中查找是否有所述用户设备的设备标识,如果有则向所述安全管理模块回传注册成功的响应消息,并将所述第二记录表中该用户设备的密码附加在响应消息中;安全管理模块收到该响应消息后,将安全管理服务器传送来的密码发送给用户设备;用户设备验证所述密码的正确性,并向安全管理模块回送验证结果;如果验证为通过,则安全管理模块将所述用户设备的设备标识添加到安全管理模块的第三记录表,并将自己的地址发送给所述用户设备。
10.根据权利要求7所述的方法,其特征在于,如果非安全设备没有预先在所述安全管理服务器上申请安全服务,则所述安全管理模块为用户设备向安全管理服务器注册安全服务时,在执行了所述步骤73之后,按以下步骤进行安全管理服务器收到所述安全服务注册消息后,在其第一记录表中查找是否有所述安全管理模块的网络标识,如果有则进一步在其第二记录表中查找是否有所述用户设备的设备标识,如果没有则发消息询问安全管理模块是否注册;安全管理模块收到该响应消息后,将用户设备的设备标识或简单终端标识显示给用户,提示用户进行确认,当用户确认之后,安全管理模块将所述用户设备的设备标识添加到安全管理模块的第三记录表,并将自己的地址发送给所述用户设备;安全管理模块向安全管理服务器发送确实注册消息,安全管理服务器收到该消息后,将所述用户设备的设备标识添加到其第二记录表中,并向安全管理模块回应注册成功消息。
11.根据权利要求7所述的方法,其特征在于,如果安全设备没有预先在所述安全管理服务器上申请安全服务,则所述安全管理模块为用户设备向安全管理服务器注册安全服务时,在执行了所述步骤73之后,按以下步骤进行安全管理服务器收到所述安全服务注册消息后,在其第一记录表中查找是否有所述安全管理模块的网络标识,如果有则进一步在其第二记录表中查找是否有所述用户设备的设备标识,如果没有则发消息询问安全管理模块是否注册;安全管理模块收到该响应消息后,将用户设备的设备标识或简单终端标识显示给用户,提示用户进行确认;安全管理模块收到用户输入的所述用户设备密码后,将其发送给用户设备;用户设备对安全管理模块发来的密码进行验证,并向安全管理模块回送验证结果;如果验证结果为通过,则安全管理模块将所述用户设备的设备标识添加到安全管理模块的第三记录表,并将自己的地址发送给所述用户设备;安全管理模块向安全管理服务器发送确实注册消息,安全管理服务器收到该消息后,将所述用户设备的设备标识添加到其第二记录表中,并向安全管理模块回应注册成功消息。
12.根据权利要求7所述的方法,其特征在于,对于已经成功注册过安全服务的用户设备,当用户设备向安全管理服务器注册安全服务时,在执行了所述步骤73之后,按以下步骤进行安全管理服务器收到所述安全服务注册消息后,在其第一记录表中查找是否有所述安全管理模块的网络标识,如果有则进一步在其第二记录表中查找是否有所述用户设备的设备标识,如果有则向所述安全管理模块回传注册成功的响应消息;安全管理模块收到该响应消息后,在其第三记录表中查找是否有所述用户设备的设备标识,如果有则将自己的地址发送给所述用户设备。
13.根据权利要求7所述的方法,其特征在于,对于已经成功注册过安全服务或事先被申请了安全服务的用户设备,当用户设备在新的家庭网络向安全管理服务器注册安全服务时,在执行了所述步骤73之后,按以下步骤进行安全管理服务器收到所述安全服务注册消息后,在其第一记录表中查找是否有所述新的家庭网络中安全管理模块的网络标识,如果有则进一步在其第二记录表中查找是否有所述用户设备的设备标识,如果有查看其第二记录表中的网络标识是否与所述安全管理模块的网络标识相同,如果不同,则报警。
14.根据权利要求7所述的方法,其特征在于,当安全管理模块不能访问安全管理服务器时,在执行了所述步骤72之后,按以下步骤进行安全管理模块将用户设备的设备标识或简单终端标识显示给用户;对于非安全设备,安全管理模块在收到用户的确认信息后,安全管理模块将所述用户设备的设备标识添加到安全管理模块的第三记录表,并将自己的地址发送给所述用户设备;对于安全设备,安全管理模块收到用户输入的密码后,将其发送给用户设备;用户设备对安全管理模块发来的密码进行验证,并向安全管理模块回送验证结果;如果验证结果为通过,则安全管理模块将所述用户设备的设备标识添加到安全管理模块的第三记录表,并将自己的地址发送给所述用户设备。
15.根据权利要求14所述的方法,其特征在于,当安全管理模块对安全管理服务器的访问恢复正常时,重新执行所述步骤73及相应的后续步骤。
16.根据权利要求7所述的方法,其特征在于,当家庭网络内部一个设备访问另一个设备,或一个用户设备从用户网络外部访问网络内部一个设备时,按以下步骤进行由访问设备向被访问设备发送一个访问请求;被访问设备收到该访问请求后,向访问设备查询其设备标识;访问设备将自己的设备标识发送给被访问设备;被访问设备将访问设备的设备标识发送给本家庭网络中的安全管理模块请求验证其合法性;所述安全管理模块检查其第三记录表中是否有访问设备的设备标识,并向所述被访问设备发送相应的响应信息,如果有则为合法,否则为不合法;当访问设备的设备标识为合法时,允许所述访问设备与之建立连接。
17.根据权利要求16所述的方法,其特征在于,当访问设备的设备标识被认定为合法时,如果被访问设备是安全设备,在允许所述访问设备与之建立连接之前,还包括以下步骤(171)访问设备向被访问设备发送访问密码;(172)被访问设备对访问设备发来的密码进行检查,如果密码合法则跳至步骤(175),否则执行步骤(173);(173)如果密码不合法,则向被访问设备所属的安全管理模块发送相应报告消息,安全管理模块再向被访问设备的用户发送确认请求信息;(174)如果收到用户的确认信息,安全管理模块再向被访问设备发送密码查询请求,并将其从被访问设备处接收的密码转发给访问设备,然后回到步骤(171);(175)如果密码合法,允许被访问设备与访问设备之间建立连接。
18.根据权利要求7所述的方法,其特征在于,当家庭网络内部一个设备访问外部时,按以下步骤进行访问设备向家庭网络外部发送报文;家庭网关转发此报文时,如果是该设备首次向网外发送报文,则向该设备查询其设备标识;访问设备将自己的设备标识发送给家庭网关;家庭网关将访问设备的设备标识发送给安全管理模块请求验证其合法性;所述安全管理模块检查其第三记录表中是否有访问设备的设备标识,并向所述家庭网关发送相应的响应信息,如果有则为合法,否则为不合法;当访问设备的设备标识为合法时,允许所述访问设备访问外部。
19.根据权利要求7所述的方法,其特征在于,当需要注销某一用户设备时,按以下步骤进行用户向安全管理服务器发送取消安全服务请求,其中带有要注销设备的设备标识;安全管理服务器在其第二记录表中找到相应记录,将其设置为删除状态,然后向用户回传注销成功响应;同时,安全管理服务器向安全管理模块发送取消安全服务请求,其中带有要注销设备的设备标识,由安全管理模块在其第三记录表中找到相应记录并将其删除。
20.根据权利要求7所述的方法,其特征在于,当需要注销某一用户设备时,按以下步骤进行用户在家庭内部的安全管理模块上进行操作,删除一个设备;安全管理模块向安全管理服务器发送取消安全服务请求,其中带有要注销设备的设备标识;安全管理服务器在其第二记录表中找到相应记录,将其设置为删除状态,然后向用户回传注销成功响应。
21.根据权利要求13所述的方法,其特征在于,当某一用户设备发生转移时,按以下步骤进行由安全管理服务器在其报警步骤中,发送一个消息给该用户设备原来所属家庭网络中的安全管理模块;原安全管理模块显示相应的提示确认信息;若原安全管理模块的用户确认其转移为合法,则安全管理模块向安全管理服务器发送确认消息;安全管理服务器收到确认消息后,根据该用户设备当前所属的家庭网络在第二表中生成新的记录。
全文摘要
本发明涉及一种家庭网络设备安全管理系统和方法,为解决现有机制中需要用户手工操作来实现设备的授权访问,且用户帐号和设备易被盗用的问题,本发明中,在广域网中设置一个为家庭网络提供安全管理服务的安全管理服务器,在每一个家庭网络内部设置一个用于为家庭网络内部的用户设备提供安全服务、并用于与所述安全管理服务器交互以实现完整安全服务的安全管理模块;同时,为每一个用户设备和安全管理模块配置有唯一的设备标识,并为每一个家庭网络配置有唯一的网络标识;所述安全管理服务器和安全管理模块通过配置、验证所述网络标识和/或设备标识来实现相应的家庭网络设备安全管理。
文档编号H04L9/00GK101064628SQ20061006054
公开日2007年10月31日 申请日期2006年4月28日 优先权日2006年4月28日
发明者丁志明 申请人:华为技术有限公司