一種UPnP接入安全認證方法及裝置制造方法
【專利摘要】本發(fā)明提供了一種UPnP接入安全認證方法及裝置，該方法具體包括：發(fā)送端生成密鑰并記錄生成密鑰時間，將密鑰、生成密鑰時間及發(fā)送端的URL通過HASH算法生成MAC，將生成的MAC、發(fā)送端URL和密鑰組合成數(shù)據(jù)包并在網(wǎng)絡(luò)中進行廣播；接收端收到數(shù)據(jù)包后，打開數(shù)據(jù)包并記錄發(fā)送端的URL，并向發(fā)送端發(fā)送挑戰(zhàn)數(shù)據(jù)包；發(fā)送端接收到挑戰(zhàn)數(shù)據(jù)包后，進行驗證，并將驗證后的結(jié)果反饋給接收端；接收端根據(jù)接收到的反饋消息判斷記錄的URL信息是否可用。該方法能夠有效地防止設(shè)備點與控制點之間的傳輸過程中出現(xiàn)信息竊取及重放攻擊等安全問題。
【專利說明】一種UPnP接入安全認證方法及裝置

【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】，具體涉及一種UPnP接入安全認證方法及裝置。

【背景技術(shù)】
[0002]隨著智能家居的廣泛推廣，UPnP(即插即用)技術(shù)會越來越受到重視，因為這種技術(shù)能夠便捷地實現(xiàn)智能網(wǎng)絡(luò)中各種終端的相互調(diào)用。
[0003]但是應(yīng)用這種技術(shù)也存在較多的安全隱患，比如在設(shè)備點和控制點之間的傳輸過程中會遇到信息竊取、重放攻擊等問題。例如以下情況:具備UPnP功能的設(shè)備成功連接到網(wǎng)絡(luò)上后，立刻向網(wǎng)絡(luò)上的UPnP控制點發(fā)布包含設(shè)備URL (Universal Resource Locator,統(tǒng)一資源定位器)的廣播消息，表示自己已做好準備，該廣播將可以被同一局域網(wǎng)上的所有控制點監(jiān)聽到，以備控制點隨后進行控制使用；同樣，控制點剛剛連接到網(wǎng)絡(luò)上時，也會向網(wǎng)絡(luò)發(fā)起廣播消息，表示自己準備就緒，可以控制網(wǎng)絡(luò)上的設(shè)備。而上述安全問題大多出現(xiàn)在廣播和監(jiān)聽的過程中，如果外部的攻擊者佯裝接入設(shè)備向網(wǎng)絡(luò)中發(fā)布接入請求的廣播消息，控制點收到這條請求消息后會根據(jù)接入請求包中提供的虛假URL，而連接到一個特定的虛假服務(wù)器上，接著控制點向虛假服務(wù)器請求下載將要執(zhí)行的服務(wù)內(nèi)容，服務(wù)器響應(yīng)這個請求并要求控制點發(fā)送更多文件的請求，虛假服務(wù)器又會響應(yīng)這些請求，這樣，就構(gòu)成了一個“請求響應(yīng)”的循環(huán)，占用大量的系統(tǒng)資源，使得整個系統(tǒng)的調(diào)用過程出現(xiàn)混亂，直到崩潰。目前上述安全方面的問題并未得到有效地解決。


【發(fā)明內(nèi)容】

[0004](一 )解決的技術(shù)問題
[0005]針對現(xiàn)有技術(shù)的不足，本發(fā)明提供了一種UPnP接入的安全認證方法及裝置，能夠有效地防止設(shè)備點與控制點之間的傳輸過程中出現(xiàn)信息竊取及重放攻擊等安全問題。
[0006]( 二 )技術(shù)方案
[0007]為了達到以上目的，本發(fā)明通過以下技術(shù)方案予以實現(xiàn):
[0008]一種UPnP接入安全認證方法，該方法包括:
[0009]S1:發(fā)送端生成密鑰并記錄生成密鑰時間，將密鑰、生成密鑰時間及發(fā)送端的URL通過HASH算法生成MAC，將生成的MAC、發(fā)送端URL和密鑰組合成數(shù)據(jù)包并在網(wǎng)絡(luò)中進行廣播；
[0010]S2:接收端收到數(shù)據(jù)包后，打開數(shù)據(jù)包并記錄發(fā)送端的URL，并把數(shù)據(jù)包作為挑戰(zhàn)數(shù)據(jù)包向發(fā)送端發(fā)起挑戰(zhàn)；
[0011]S3:發(fā)送端接收到挑戰(zhàn)數(shù)據(jù)包后，進行驗證，根據(jù)挑戰(zhàn)數(shù)據(jù)包中的密鑰查詢生成密鑰時間，若查詢不到，則向接收端反饋上述發(fā)送端的URL不可用，否則轉(zhuǎn)至步驟S4 ；
[0012]S4:將查詢到的生成密鑰時間、收到的挑戰(zhàn)數(shù)據(jù)包中的URL以及密鑰進行HASH運算，生成MAC，并將其與挑戰(zhàn)數(shù)據(jù)包中的MAC進行比較，若相同，則向接收端反饋上述發(fā)送端的URL可用，否則向接收端反饋上述發(fā)送端的URL不可用；
[0013]S5:接收端根據(jù)接收到的反饋消息判斷記錄的URL信息是否可用。
[0014]優(yōu)選地，所述MAC為32位MAC。
[0015]優(yōu)選地，所述信息數(shù)據(jù)包具體包括發(fā)送端生成的MAC、發(fā)送端URL和密鑰信息。
[0016]優(yōu)選地，所述挑戰(zhàn)數(shù)據(jù)包具體包括接收到的信息數(shù)據(jù)包中的MAC、URL以及密鑰信肩、O
[0017]優(yōu)選地，步驟S5進一步包括:接收端若接收到URL不可用的消息，則刪除記錄的URL信息，若接收到URL可用的消息，則將該URL信息加入到訪問控制列表中。
[0018]一種UPnP接入安全認證裝置，該裝置包括:發(fā)送端和接收端；發(fā)送端包括密鑰管理模塊和驗證模塊，接收端包括記錄模塊和判定模塊；
[0019]所述密鑰管理模塊用于生成密鑰并記錄生成密鑰時間，將密鑰、生成密鑰時間及發(fā)送端的URL通過HASH算法生成MAC，并生成信息數(shù)據(jù)包在網(wǎng)絡(luò)中進行廣播；
[0020]所述記錄模塊用于收到信息數(shù)據(jù)包后，打開信息數(shù)據(jù)包記錄發(fā)送端的URL，并將信息數(shù)據(jù)包作為挑戰(zhàn)數(shù)據(jù)包向發(fā)送端發(fā)起挑戰(zhàn)；
[0021]所述驗證模塊用于接收到挑戰(zhàn)數(shù)據(jù)包后，進行驗證，根據(jù)挑戰(zhàn)數(shù)據(jù)包中的密鑰查詢生成密鑰時間，若查詢不到，則向接收端反饋上述發(fā)送端的URL不可用，否則將查詢到的生成密鑰時間、收到的挑戰(zhàn)數(shù)據(jù)包中的URL以及密鑰通過HASH算法生成MAC，并將其與挑戰(zhàn)數(shù)據(jù)包中的MAC進行比較，若相同，則向接收端反饋上述發(fā)送端的URL可用，否則向接收端反饋上述發(fā)送端的URL不可用；
[0022]所述判定模塊用于根據(jù)接收到的反饋消息判斷記錄的URL信息是否可用。
[0023]優(yōu)選地，所述密鑰管理模塊和所述驗證模塊中的MAC均為32位MAC。
[0024]優(yōu)選地，所述密鑰管理模塊中的信息數(shù)據(jù)包具體包括生成的MAC、發(fā)送端URL和密鑰信息。
[0025]優(yōu)選地，所述記錄模塊中的挑戰(zhàn)數(shù)據(jù)包具體包括接收到的信息數(shù)據(jù)包中的MAC、URL以及密鑰信息。
[0026]優(yōu)選地，所述判定模塊進一步包括處理子模塊；
[0027]處理子模塊，用于根據(jù)接收的反饋信息進一步進行處理，若接收到URL不可用的消息，則刪除記錄的URL信息，若接收到URL可用的消息，則將該URL信息加入到訪問控制列表中。
[0028](三)有益效果
[0029]本發(fā)明至少有如下有益效果:
[0030]本發(fā)明提供了一種UPnP接入安全認證的方法，通過在發(fā)送端生成MAC，并和接入請求信息及密鑰一起發(fā)送給接收端，從而對發(fā)送端URL信息的安全性進行驗證，能夠有效地防止設(shè)備點與控制點之間的傳輸過程中出現(xiàn)信息竊取及重放攻擊等安全問題。

【專利附圖】

【附圖說明】
[0031]為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些圖獲得其他的附圖。
[0032]圖1是本發(fā)明實施例中的一種UPnP接入安全認證方法的流程圖。
[0033]圖2是本發(fā)明另一實施例提供的一種UPnP接入安全認證裝置的結(jié)構(gòu)示意圖。

【具體實施方式】
[0034]下面將結(jié)合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發(fā)明一部分實施例，而不是全部的實施例?；诒景l(fā)明中的實施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本發(fā)明保護的范圍。
[0035]參見圖1，本發(fā)明實施例提供了一種UPnP接入安全認證方法，該方法包括如下步驟:
[0036]步驟101:發(fā)送端生成密鑰并記錄生成密鑰時間，將密鑰、生成密鑰時間及發(fā)送端的URL通過HASH算法生成消息認證碼MAC，將生成的MAC、發(fā)送端URL和密鑰組合成信息數(shù)據(jù)包并在網(wǎng)絡(luò)中進行廣播。
[0037]步驟102:接收端收到信息數(shù)據(jù)包后，打開信息數(shù)據(jù)包并記錄發(fā)送端的URL，并向發(fā)送端發(fā)送挑戰(zhàn)數(shù)據(jù)包。
[0038]其中，所述挑戰(zhàn)數(shù)據(jù)包具體包括接收到的信息數(shù)據(jù)包中的MAC、URL以及密鑰信肩、O
[0039]步驟103:發(fā)送端接收到挑戰(zhàn)數(shù)據(jù)包后，進行驗證，根據(jù)挑戰(zhàn)數(shù)據(jù)包中的密鑰查詢生成密鑰時間，若查詢不到，則轉(zhuǎn)至步驟106 ;否則轉(zhuǎn)至步驟104。
[0040]步驟104:將查詢到的生成密鑰時間、收到的挑戰(zhàn)數(shù)據(jù)包中的URL以及密鑰通過HASH算法生成MAC。
[0041]步驟105:將生成的MAC與挑戰(zhàn)數(shù)據(jù)包中的MAC進行比較，若相同，則轉(zhuǎn)至步驟107，否則轉(zhuǎn)至步驟106。
[0042]步驟106:向接收端反饋上述發(fā)送端的URL不可用，并轉(zhuǎn)至步驟109。
[0043]步驟107:向接收端反饋上述發(fā)送端的URL可用，并轉(zhuǎn)至步驟108。
[0044]步驟108:將該URL信息加入訪問控制列表中。
[0045]步驟109:刪除該URL信息。
[0046]優(yōu)選地，所述MAC為32位MAC。
[0047]其中，發(fā)送端可為設(shè)備端或控制點端，接收端可為設(shè)備端或控制點端。
[0048]本發(fā)明實施例提供了一種UPnP接入安全認證的方法，通過在發(fā)送端生成MAC，并和接入請求信息及密鑰一起發(fā)送給接收端，從而對發(fā)送端URL信息的安全性進行驗證，能夠有效地防止設(shè)備點與控制點之間的傳輸過程中出現(xiàn)信息竊取及重放攻擊等安全問題。
[0049]如圖2所示，本發(fā)明另一實施例提供了一種UPnP接入安全認證裝置，該裝置包括:發(fā)送端和接收端；發(fā)送端包括密鑰管理模塊和驗證模塊，接收端包括記錄模塊和判定模塊；
[0050]密鑰管理模塊，用于生成密鑰并記錄生成密鑰時間，將密鑰、生成密鑰時間及發(fā)送端的URL通過HASH算法生成MAC，并生成信息數(shù)據(jù)包在網(wǎng)絡(luò)中進行廣播；
[0051]記錄模塊，用于收到信息數(shù)據(jù)包后，打開信息數(shù)據(jù)包記錄發(fā)送端的URL，并將信息數(shù)據(jù)包作為挑戰(zhàn)數(shù)據(jù)包向發(fā)送端發(fā)起挑戰(zhàn)；
[0052]驗證模塊，用于接收到挑戰(zhàn)數(shù)據(jù)包后，進行驗證，根據(jù)挑戰(zhàn)數(shù)據(jù)包中的密鑰查詢生成密鑰時間，若查詢不到，則向接收端反饋上述發(fā)送端的URL不可用，否則將查詢到的生成密鑰時間、收到的挑戰(zhàn)數(shù)據(jù)包中的URL以及密鑰通過HASH算法生成MAC，并將其與挑戰(zhàn)數(shù)據(jù)包中的MAC進行比較，若相同，則向接收端反饋上述發(fā)送端的URL可用，否則向接收端反饋上述發(fā)送端的URL不可用；
[0053]判定模塊，用于根據(jù)接收到的反饋消息判斷記錄的URL信息是否可用。
[0054]優(yōu)選地，所述密鑰管理模塊和所述驗證模塊中的MAC均為32位MAC。
[0055]優(yōu)選地，所述密鑰管理模塊中的信息數(shù)據(jù)包具體包括生成的MAC、發(fā)送端URL和密鑰信息。
[0056]優(yōu)選地，所述記錄模塊中的挑戰(zhàn)數(shù)據(jù)包具體包括接收到的信息數(shù)據(jù)包中的MAC、URL以及密鑰信息。
[0057]優(yōu)選地，所述判定模塊進一步包括處理子模塊；
[0058]處理子模塊，用于根據(jù)接收的反饋信息進一步進行處理，若接收到URL不可用的消息，則刪除記錄的URL信息，若接收到URL可用的消息，則將該URL信息加入到訪問控制列表中。
[0059]以上實施例僅用以說明本發(fā)明的技術(shù)方案，而非對其限制；盡管參照前述實施例對本發(fā)明進行了詳細的說明，本領(lǐng)域的普通技術(shù)人員應(yīng)當理解；其依然可以對前述各實施例所記載的技術(shù)方案進行修改，或者對其中部分技術(shù)特征進行等同替換；而這些修改或者替換，并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實施例技術(shù)方案的精神和范圍。
【權(quán)利要求】
1.一種UPnP接入安全認證方法，其特征在于，該方法包括: 51:發(fā)送端生成密鑰并記錄生成密鑰時間，將密鑰、生成密鑰時間及發(fā)送端的URL通過HASH算法生成MAC，并生成信息數(shù)據(jù)包在網(wǎng)絡(luò)中進行廣播； 52:接收端收到信息數(shù)據(jù)包后，打開信息數(shù)據(jù)包記錄發(fā)送端的URL，并將信息數(shù)據(jù)包作為挑戰(zhàn)數(shù)據(jù)包向發(fā)送端發(fā)起挑戰(zhàn)； 53:發(fā)送端接收到挑戰(zhàn)數(shù)據(jù)包后，進行驗證，根據(jù)挑戰(zhàn)數(shù)據(jù)包中的密鑰查詢生成密鑰時間，若查詢不到，則向接收端反饋上述發(fā)送端的URL不可用，否則轉(zhuǎn)至步驟S4; 54:將查詢到的生成密鑰時間、收到的挑戰(zhàn)數(shù)據(jù)包中的URL以及密鑰通過HASH算法生成MAC，并將其與挑戰(zhàn)數(shù)據(jù)包中的MAC進行比較，若相同，則向接收端反饋上述發(fā)送端的URL可用，否則向接收端反饋上述發(fā)送端的URL不可用； 55:接收端根據(jù)接收到的反饋消息判斷記錄的URL信息是否可用。
2.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述MAC均為32位MAC。
3.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述信息數(shù)據(jù)包具體包括發(fā)送端生成的MAC、發(fā)送端URL和密鑰信息。
4.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述挑戰(zhàn)數(shù)據(jù)包具體包括接收到的信息數(shù)據(jù)包中的MAC、URL以及密鑰信息。
5.根據(jù)權(quán)利要求1所述的方法，其特征在于，步驟S5進一步包括:接收端若接收到URL不可用的消息，則刪除記錄的URL信息，若接收到URL可用的消息，則將該URL信息加入到訪問控制列表中。
6.一種UPnP接入安全認證裝置，其特征在于，該裝置包括:發(fā)送端和接收端；發(fā)送端包括密鑰管理模塊和驗證模塊，接收端包括記錄模塊和判定模塊； 所述密鑰管理模塊用于生成密鑰并記錄生成密鑰時間，將密鑰、生成密鑰時間及發(fā)送端的URL通過HASH算法生成MAC，并生成信息數(shù)據(jù)包在網(wǎng)絡(luò)中進行廣播； 所述記錄模塊用于收到信息數(shù)據(jù)包后，打開信息數(shù)據(jù)包記錄發(fā)送端的URL，并將信息數(shù)據(jù)包作為挑戰(zhàn)數(shù)據(jù)包向發(fā)送端發(fā)起挑戰(zhàn)； 所述驗證模塊用于接收到挑戰(zhàn)數(shù)據(jù)包后，進行驗證，根據(jù)挑戰(zhàn)數(shù)據(jù)包中的密鑰查詢生成密鑰時間，若查詢不到，則向接收端反饋上述發(fā)送端的URL不可用，否則將查詢到的生成密鑰時間、收到的挑戰(zhàn)數(shù)據(jù)包中的URL以及密鑰通過HASH算法生成MAC，并將其與挑戰(zhàn)數(shù)據(jù)包中的MAC進行比較，若相同，則向接收端反饋上述發(fā)送端的URL可用，否則向接收端反饋上述發(fā)送端的URL不可用； 所述判定模塊用于根據(jù)接收到的反饋消息判斷記錄的URL信息是否可用。
7.根據(jù)權(quán)利要求6所述的裝置，其特征在于，所述密鑰管理模塊和所述驗證模塊中的MAC均為32位MAC。
8.根據(jù)權(quán)利要求6所述的裝置，其特征在于，所述密鑰管理模塊中的信息數(shù)據(jù)包具體包括生成的MAC、發(fā)送端URL和密鑰信息。
9.根據(jù)權(quán)利要求6所述的裝置，其特征在于，所述記錄模塊中的挑戰(zhàn)數(shù)據(jù)包具體包括接收到的信息數(shù)據(jù)包中的MAC、URL以及密鑰信息。
10.根據(jù)權(quán)利要求6所述的裝置，其特征在于，所述判定模塊進一步包括處理子模塊； 處理子模塊，用于根據(jù)接收的反饋信息進一步進行處理，若接收到URL不可用的消息，則刪除記錄的URL信息，若接收到URL可用的消息，則將該URL信息加入到訪問控制列表中。
【文檔編號】H04L29/06GK104135367SQ201410227964
【公開日】2014年11月5日 申請日期:2014年5月27日 優(yōu)先權(quán)日:2014年5月27日
【發(fā)明者】孟祥威 申請人:漢柏科技有限公司