一种基于智能云电视网关的智能家居安全组网实现方法
【专利摘要】一种基于智能云电视网关的智能家居安全组网实现方法,其中智能家居内部网络指智能云电视作为用户智能家居的网关,与处于家庭内部的设备交互,并能控制家庭内部设备所组成的网络环境,也称为智能家居内网。智能云电视指已获得基于PKI数字证书体系的设备证书及可提供安全读写的安全存储区及带有ZigBee无线通信挂件,作为智能家居对公网通信的统一出口,也称为智能云电视网关。便携式UKey指具有设备间互通信模块和安全计算模块的设备。智能家居设备是指集成ZigBee无线通信挂件,具有检测、控制、处理数据等功能的家居设备。其中ZigBee无线通信挂件是指提供ZigBee通信和安全计算的可插拔模块。本发明具有安全性高、机密性强的优点,且通用性和用户体验性好。
【专利说明】—种基于智能云电视网关的智能家居安全组网实现方法
【技术领域】
[0001]本发明属于智能家居内部网络安全领域,具体涉及一种基于智能云电视网关的智能家居安全组网实现方法。
【背景技术】
[0002]随着物联网、三网融合、云计算新一代信息技术的深入发展,终端设备的智能化、网络化成为电子行业发展的主要趋势,有望带动传统产业的升级。智能云电视是传统电视与新兴技术的融合体,作为一种安全可靠的信息承载体,不仅在音视频质量上取得巨大改进和提高,而且会让用户生活变得更加智能化,因此,智能云电视将成为每个家庭生活最重要的组成部分。智能云电视具有智能化、平台固定化和大屏幕显示等特点,可作为智能家居的家庭网关与智能家居可控设备完美结合,与公网进行信息的安全交互,彻底实现家庭的智能化管控,同时解决用户对服务提供方不信任问题(即每个用户对家庭智能设备的访问控制都交于自家的智能云电视网关处理),为用户带来高质量的家庭服务享受。然而,面对智能云电视这种新兴智能化设备,相关的研究机构和企业组织还没有明确的提出较为合理完善的方案来解决智能云电视作为智能家庭控制网关实现对家居设备安全地控制访问;同时传统的智能家居内部网络设计中一般采用简单的ZigBee协议进行家居设备间组网通信,仅采用这种协议进行组网存在安全性问题,如用户的智能家居设备可被其他家庭的家居网关所控制、家居网关组网存在非法设备接入、传输的数据信息可被截获获取等。近年来,一些企业已开始探索在人为因素控制下实现家居设备组网,以满足用户对智能家居安全性的需求,并取得一定的成果,但尚没有完全解决此问题。
【发明内容】
[0003]本发明技术解决问题:克服现有技术的不足,提供一种基于智能云电视网关的智能家居安全组网实现方法,具有安全性高、机密性强的优点,且通用性和用户体验性好。
[0004]本发明技术解决方案:一种基于智能云电视网关的智能家居安全组网实现方法,其中智能家居内部网络指智能云电视作为用户智能家居的网关,与处于家庭内部的设备交互,并能控制家庭内部设备所组成的网络环境,也称为智能家居内网。智能云电视指已获得基于PKI数字证书体系的设备证书及可提供安全读写的安全存储区及带有ZigBee无线通信挂件,作为智能家居对公网通信的统一出口,也称为智能云电视网关。便携式UKey指一种通过USB (通用串行总线接口)直接与移动智能设备的Micro-USB 口相连、具有密码验证功能、可靠高速的小型存储设备,即具有设备间互通信模块和安全计算模块(如安全芯片)的设备。智能家居设备是指集成ZigBee无线通信挂件,具有检测、控制、处理数据等功能的家居设备。其中ZigBee无线通信挂件是指提供ZigBee通信和安全计算(如安全芯片)的可插拔模块。
[0005]简要介绍本方案的基本思想,本发明吸取了已有解决方案的优点,具体来说,本发明技术方案包括下列几个方面:[0006]方面一:鉴于用户要远程访问控制自家的家居设备,需为用户提供打开家门的“钥匙”,通过智能云电视网关对UKey初始化,使UKey获得基于PKI证书体系的标定UKey身份的数字证书、打开家门的“钥匙”(智能云电视网关签发的安全进门许可凭证)及智能云电视网关的公钥和标识,从而建立用户访问自家智能家居的安全有序的准入机制,成为智能家居安全访问重要的安全壁垒。
[0007]方面二:借助已获得数字证书UKey实现对智能家居设备的初始化,使智能家居设备获得由UKey负责签发的可信组网凭证及保证组网信息机密性的智能云电视网关的公钥,为增强基于传统ZigBee协议设备组网的安全性、可靠性奠定了坚实基础,保证了组网家居设备的合法性。
[0008]方面三:为了避免非法家居设备接入用户的智能云电视网关,窃取用户家庭私密信息,智能家居设备通过UKey下发的可信组网凭证及智能云电视网关公钥,实现与智能云电视网关的互信验证组网,并与智能云电视网关协商获得安全通信的对称秘钥,构建起智能云电视网关接纳智能家居设备的安全准入机制和内网家居安全通信机制。
[0009]方面四:借助智能云电视网关和智能家居设备协商的通信秘钥,实现双方的安全通信,防止中间人非法获取家庭隐私数据,保证家庭数据信息的机密性、完整性,进一步提升智能家居的整体系统的安全性。
[0010]本发明与现有技术相比,具有以下显著优点:
[0011]用户体验性好、通用性、安全性高、机密性强。由于本发明采用了安全便携UKey的实施模式,具有极好的用户可操作性,可适用于通用的智能家居设备;同时采用基于PKI公钥密码体系的两层凭证技术及对称秘钥加密通信技术,具有极强的机密性、抗否认性,因此用户体验性好、通用性、安全性高、机密性强。
【专利附图】
【附图说明】
[0012]图1本发明实施总体框架;
[0013]图2智能云电视网关初始化UKey的流程图;
[0014]图3UKey初始化智能家居设备的流程图;
[0015]图4智能云电视网关与智能家居设备互信验证组网的流程图;
[0016]图5智能云电视网关与智能家居设备安全通信的流程图。
【具体实施方式】
[0017]本发明借助智能云电视和便携安全UKey设备,在传统ZigBee协议基础之上,采用基于PKI公钥密码体系的两层凭证和对称秘钥通信加密,建立智能家居内部网络安全服务机制。本方案通过基于PKI公钥密码体系的两层凭证技术,实现用户智能家居设备与自家智能云电视网关的身份映射绑定及协商设备间通信秘钥,保证用户的智能家居设备只能被自家的智能云电视网关所管控,提高用户家庭设备的隐私安全;同时通过对称秘钥加密通信信息,保证家庭设备间传输数据的机密性、完整性,提升智能家居系统的安全系数。其核心是建立智能家居内部网络的安全服务机制,形成安全可信可控的智能家居,促进智能家居产业的健康发展。
[0018]为使本发明的目的、优点以及技术方案更加清楚明白,通过以下具体实施,并结合附图1,对本发明进一步详细说明。
[0019]对于图1从整体上描述了该方案的总体实施框架,概括来说,一是用户首次使用UKey (本发明UKey指一种通过USB (通用串行总线接口)直接与移动智能设备的Micro-USB口相连、具有密码验证功能的存储设备)时,需将UKey插在智能云电视网关TV的ZigBee无线通信挂件接口上,借助UKey固化的智能家居App客户端证书CertApp,验证TV上预装App的合法可信性。若App验证可信后,App启动PIN(全称Personal Identification Number,简称PIN,就是UKey的个人识别密码)设置界面,用户成功设置UKey的PIN码后,UKey生成自身的公私钥对、TV签发进门安全凭证TiCketmey、TV生成外网通信秘钥1(_^、TV的公钥Ktv(pUb)和标识IDtv,同时智能z?电视网关获得UKey的公钥和标识IDuitey,从而完成对UKey的初始化工作;二是用户使用UKey插入智能家居设备D,智能家居设备D可从UKey获得智能云电视网关的公钥KTV(pub)和标识IDtv及获得由UKey签发的可信组网凭证Ticket11,从而完成对智能家居设备的初始化工作;三是用户智能家居设备D完成初始化工作后,依据可信组网凭证Ticket11和智能云电视网关公钥KTV(pub),自主地完成与智能云电视网关安全
可信组网及协商双方的通信加密秘钥夂A.,,实现用户智能家居设备与自家智能云电视网关的身份映射绑定;四是用户智能云电视网关通过通信加密秘钥夂,实现对智能家居设
备的安全控制及保证智能家居设备传输信息的机密性。主要包括下面四部分的内容。
[0020]一、智能云电视网关初始化UKey的实现方法
[0021]用户要远程访问控制自家的家居设备,需为用户提供打开家门的“钥匙”,通过智能云电视网关对用户随身携带的UKey初始化,可使UKey获得进门许可凭证TicketUKey及为智能家居设备的初始化奠定基础,下面结合附图2具体描述其执行过程:
[0022](I)用户首次使用UKey时,要将UKey插在智能云电视网关TV的ZigBee无线通信挂件接口上,借助UKey固化的智能家居App客户端证书CertApp,验证TV上预装App的合法可信性(该合法性验证原理为),App验证可信后,UKey与智能云电视网关TV借助App建立起安全信任关系;
[0023](2)UKey与智能云电视网关TV成功建立安全信任关系,TV上的智能家居App客户端弹出PIN码设置界面,用户成功设置PIN码后,UKey通过App获得PIN码,然后UKey生
成公私钥对KUK6y(pub)和 KuKey (pri) ?
[0024](3 ) UKey将自身标识IDraey和公钥KuKey (pub) 传送给智能云电视网关TV;
[0025](4)智能云电视网关TV接受到UKey标识IDlfcy和公钥KUItey(pub)后,生成时间戳TStv和外网通信秘钥KQutNet,采用哈希算法(如SHAUSHA256)计算IDTV、IDra5ey和TStv的哈希值H=Hash (IDtv I I IDra5ey | | TStv),使用智能云电视网关TV私钥Ktv(pH)私钥对哈希值H加密,形成智能云电视网关 TV 签名
【权利要求】
1.一种基于智能云电视网关的智能家居安全组网实现方法,其特征在于实现步骤如下: (O用户首次使用UKey时,需将UKey插在智能云电视网关TV的ZigBee无线通信挂件接口上,借助UKey固化的智能家居App客户端证书CertApp,验证TV上预装App的合法可信性;所述UKey指一种通过通用串行总线接口 USB直接与移动智能设备的Micro-USB 口相连、具有密码验证功能的存储设备;若App验证可信后,App启动UKey的个人识别密码PIN设置界面,用户成功设置UKey的PIN码后,UKey生成自身的公私钥对、TV签发进门安全凭证TicketUKey、TV生成外网通信秘钥KQutNet、TV的公钥KTV(pub)和TV的标识IDTV,同时智能云电视网关TV获得UKey的公钥KUItey(pub)和UKey的标识IDuitey,从而完成对UKey的初始化工作; (2)用户使用UKey插入智能家居设备D,智能家居设备D从UKey获得智能云电视网关的公钥KTV(pub)和智能云电视网关的标识IDtv及获得由UKey签发的可信组网凭证Ticket11,从而完成对智能家居设备的初始化工作; (3)用户智能家居设备D完成初始化工作后,依据可信组网凭证Ticket11和智能云电视网关公钥KTV(pub),自主地完成与智能云电视网关安全可信组网及协商双方的通信加密秘钥Λ ,实现用户智能家居设备D与自家智能云电视网关TV的身份映射绑定; (4)用户智能云电视网关TV通过通信加密秘钥化实现对智能家居设备D的安全控制及保证智能家居设备传输信息的机密性。
2.根据权利要求1所述的基于智能云电视网关的智能家居安全组网实现方法,其特征在于:所述步骤(1)中的UKey的初始化工作具体实现如下: (1)用户首次使用UKey时,要将UKey插在智能云电视网关TV的ZigBee无线通信挂件接口上,借助UKey固化的智能家居App客户端证书CertApp,验证TV上预装App的合法可信性,App验证可信后,UKey与智能云电视网关TV借助App建立起安全信任关系;` (2)UKey与智能云电视网关TV成功建立安全信任关系,TV上的智能家居App客户端弹出PIN码设置界面,用户成功设置PIN码后,UKey通过App获得PIN码,然后UKey生成公私钥对KUKey(pub)和
KuKey(pri) ? (3 ) UKey将自身的标识IDlfcy和公钥^-UKey (pub)
传送给智能云电视网关TV; (4)智能云电视网关TV接受到UKey标识IDuitey和公钥KUItey(pub)后,生成时间戳TStv和外网通信秘钥Ktxiwrt,采用哈希算法计算IDTV、IDraiey和TStv的哈希值H =Hash(IDTV I IDUKey| I TSTV),使用智能云电视网关TV私钥Ktv (ρΗ)私钥对哈希值H加密,形成智能云电视网关 TV 签名 Ar = Sign[IIashUDn || IDri^i || TS1, )]λ^ ; (5)智能云电视网关TV使用其公钥Kiv一对UKey的标识IDuitey和时间戳TStv加密,形成TV使用其KTV(pub)加密的标识信息密文I! TSn ]k:[,; (6)智能云电视网关TV将签名Stv和标识信息密文IlT1UAVnpuil,作为进门许可凭证 Tickel〖Ltv =siSnVlush(JDη Il idI K,, Il rsH )]λ , ,, Il EnciIDi,Il TS11 ],、,! , ,,,并将进门许可凭证TicketUKey、TV公钥KTV(pub)、外网通信秘钥KQutNet下发给UKey,同时TV将UKey的标识IDuitey和公钥 Ktv (pub)作为UKey重要记录存储于TV的安全存储区; (7)UKey接受TV传送信息,使用获得PIN码对其私钥Kuitey(pH)和外网通信秘钥Ktxiffi6t分别进行加密保护,形成私钥密文Enc [KUKey(pri)]PIN和外网通信秘钥密文Enc [K0ufflet]PIN ; (8)UKey通过自身标识IDuitey及包括存储区容量和计算芯片标识在内的其他硬件信息,生成PIN码保护秘钥
KuKey(EncPin), 并通过该秘钥 KuKey (EncPin)加密PIN码,形成PIN码密文—k.,、; (9)UKey 将进门许可凭证 TiCketmey、TV 公钥 KTV(pub)、PIN 码密文,,.、外网通信秘钥密文Enc[K_et]PIN、自身公钥KUKey(pub)和私钥密文Enc [KUKeyfei)]PIN作为重要记录存储,UKey的初始化工作完成。
3.根据权利要求1所述的基于智能云电视网关的智能家居安全组网实现方法,其特征在于:所述步骤(2)中智能家居设备的初始化工作具体实现如下: (1)用户将初始后的UKey插在智能家居设备D的ZigBee无线通信挂件接口上,智能家居设备D识别UKey后,将其自身的标识IDd传送给UKey ; (2)UKey接受到家居`设备D的标识IDd,生成随机数Nuitey,采用哈希算法计算IDd、IDuitey和 Nraey 的哈希值 H = Hash (IDra5ey | | IDd | | Nra5ey); (3)UKey通过自身的标识IDlfcy及包括存储区容量和计算芯片标识在内的其他硬件信息,生成PIN码保护秘钥
KuKey(EncPin), 并通过该秘钥 KuKey (EncPin)解密UKey存储的PIN码密文£"('[/^],、;, _一,获得 PIN 码; (4)UKey通过PIN码解密获取存储区中被PIN码保护的UKey私 Kuxey(pri), 并用获得私钥 KuKey (pri)
对(2)步骤哈希值加密,形成UKey签名S ^Signi/IashdD^^WJD.WN^Jl ; -?-UKev{pri) (5)UKey使用智能云电视网关的公钥KTV(pub)对设备标识IDd和随机数Nlfcy加密,形成UKey使用
Ktv (pub) 加密的标识信息密文Il aWLn一 ; (6)UKey将签名Sra5ey、标识信息密文||和进门许可凭证TicketUKey,作为组网凭证 77cfcG =Sign[Hash(IDUKe), \\IDd II^^)]aw_ Il Enc[IDD~一 Il Ticket VKer下发给智能家居设备D,智能家居设备D将该可信组网凭证Ticket11存储,智能家居设备D的初始化工作完成。
4.根据权利要求1所述的基于智能云电视网关的智能家居安全组网实现方法,其特征在于:所述步骤(3)中的用户智能家居设备与自家智能云电视网关的身份映射绑定具体实现如下:(I)智能家居设备D初始化完成后,生成随机数Nd,使用该随机数Nd对设备标识IDd和设备组网凭证Ticket11加密,形成组网凭证密文Il 77M叫丄 >>,然后使用智能云电视网关公钥KTV(pub)对Nd加密,形成随机数密文<<£"(^/丄,,,》,最后将随机数密文附带组网凭证密文作为设备组网广播信息,丄,通过智能家居设备D的ZigBee通信模块进行广播;(2)智能云电视网关TV接收到智能家居设备D广播的组网信息后,使用其私钥KTVfei)解密随机数密文,获得随机数Nd,然后使用Nd解密组网凭证密文,获得设备标识IDd和设备组网凭证Ticket11,最后验证组网凭证Ticket11的合法性,智能云电视网关TV使用UKey 公钥 KUKey(pub)验证 UKey 的签名
5.根据权利要求1所述的基于智能云电视网关的智能家居安全组网实现方法,其特征在于:所述步骤(4)中具体实现如下: (1)智能云电视网关TV接收到智能家居设备D的远程控制指令,该指令格式:
6.根据权利要求2所述的基于智能云电视网关的智能家居安全组网实现方法,其特征在于:所述步骤(2)中的生成的PIN码保护秘钥 在UKey中动态运行产生而不保存,增强了 UKey的安全性。
【文档编号】H04N21/6334GK103685323SQ201410001601
【公开日】2014年3月26日 申请日期:2014年1月2日 优先权日:2014年1月2日
【发明者】王雅哲, 王瑜, 韩振 申请人:中国科学院信息工程研究所