專利名稱:一種具有安全機(jī)制的UPnP數(shù)字家庭網(wǎng)關(guān)裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于數(shù)字家庭網(wǎng)絡(luò)技術(shù)領(lǐng)域�,更具體地說�,它涉及到一種 具有安全機(jī)制的符合UPnP規(guī)范的數(shù)字家庭網(wǎng)關(guān)裝置。
背景技術(shù):
UPnP(Universal Play and Plug): UPnP Forum成立于1999年6月�, 由Intel等711個消費(fèi)類電子企業(yè)、計(jì)算機(jī)企業(yè)等組成�����,UPnP標(biāo)準(zhǔn)為 數(shù)字家庭應(yīng)用的開展作出了重要貢獻(xiàn)����。UPnP現(xiàn)已成為數(shù)字家庭的核 心標(biāo)準(zhǔn),為數(shù)字家庭設(shè)備的接入����、設(shè)備發(fā)現(xiàn)、服務(wù)描述等制定了一系 列的規(guī)范�����。
UPnP協(xié)議是Microsoft針對智能家電�、無線設(shè)備以及各種個人電 腦的對等網(wǎng)絡(luò)連接而設(shè)計(jì)的一種設(shè)備互聯(lián)規(guī)范。UPnP主要用于實(shí)現(xiàn) 設(shè)備的智能發(fā)現(xiàn)��、相互連接與數(shù)據(jù)傳遞�。UPnP支持發(fā)現(xiàn)和列舉具有 網(wǎng)絡(luò)和服務(wù)功能的設(shè)備��,同時擴(kuò)展了傳統(tǒng)單機(jī)設(shè)備與計(jì)算機(jī)連接的概 念,要求在零配置的前提下實(shí)現(xiàn)設(shè)備的自動發(fā)現(xiàn)���,服務(wù)的自動控制功 能�����,甚至無需PC的介入����。UPnP設(shè)備可以作為一個服務(wù)器向網(wǎng)絡(luò)中 其他支持UPnP的設(shè)備發(fā)布自己的服務(wù)�����;UPnP設(shè)備同時可以作為客 戶在網(wǎng)絡(luò)中搜索自己需要的特定服務(wù)����, 一旦網(wǎng)絡(luò)中存在滿足客戶所需 要的服務(wù),客戶就可以獲取該設(shè)備及其服務(wù)的描述文檔����,并進(jìn)行控制。UPnP能夠列舉每一個設(shè)備的獨(dú)特特性����,包括通信協(xié)議���。同時,UPnP 建立在一個低成本的微處理器上�,只需RAM和閃存以及其它很少的 系統(tǒng)資源。它基于XML的描述原則提供了一種直接�、靈活的方式來 實(shí)現(xiàn)設(shè)備的功能,不必為新加入的系統(tǒng)資源支付額外的開銷��。UPnP 還支持現(xiàn)有的重要工業(yè)標(biāo)準(zhǔn)��,如TCP/IP�、 HTML、 XML��、 HTTP�����、 DNS����、 LDAP等,發(fā)展前景十分廣闊���。
在目前的UPnP使用中����,并沒有考慮太多的安全性問題,及時采 取了一定的安全性措施���,其范圍也只是局限于控制點(diǎn)與UPnP設(shè)備之 間,盡管其到了一定的安全作用���,但無法滿足數(shù)字家庭未來發(fā)展對安 全的需求����。
數(shù)字家庭從組成上分為家庭網(wǎng)關(guān)�、各種信息終端設(shè)備,以及以有 線或無線方式連接構(gòu)成的家庭網(wǎng)絡(luò)三部分��。家庭網(wǎng)關(guān)既是家庭智能化 系統(tǒng)的中心����,負(fù)責(zé)家庭內(nèi)部信息終端和智能設(shè)備的管理與控制,還是 通信網(wǎng)絡(luò)的接入節(jié)點(diǎn)�。家庭網(wǎng)關(guān)應(yīng)該能夠提供以下四個基本功能
(1) 接入功能實(shí)現(xiàn)接入網(wǎng)和家庭網(wǎng)絡(luò)轉(zhuǎn)換的網(wǎng)關(guān)基本功能,與 外部互聯(lián)網(wǎng)進(jìn)行信息資源共享�。
(2) 內(nèi)部組網(wǎng)功能為家庭內(nèi)部提供不同類型��、不同結(jié)構(gòu)子網(wǎng)的
橋接能力��,實(shí)現(xiàn)家庭內(nèi)部的多種互聯(lián)方式的互通�,從而針對不同的帶 寬需求應(yīng)用提供相適應(yīng)的互聯(lián)技術(shù)�����。
(3) 語音數(shù)據(jù)通信功能提供PSTN和因特網(wǎng)互連互通功能��,實(shí)現(xiàn) VoIP等傳統(tǒng)語音數(shù)據(jù)通信���。
(4) 家庭信息中心功能家庭內(nèi)部的各種互連信息終端通過家庭網(wǎng)關(guān)實(shí)現(xiàn)協(xié)議轉(zhuǎn)換和媒體格式轉(zhuǎn)換功能����,從而作為對等實(shí)體進(jìn)行信息 資源共享����。
家庭網(wǎng)關(guān)作為數(shù)字家庭的核心設(shè)備,目前所能提供的業(yè)務(wù)比較單 一���,功能也有待于進(jìn)一步擴(kuò)展�,這樣才能滿足快速發(fā)展的數(shù)字家庭產(chǎn) 業(yè)的各種需求。
發(fā)明內(nèi)容
本發(fā)明的目的在于克服現(xiàn)有技術(shù)的不足����,旨在提供一種具有安全
機(jī)制的UPnP數(shù)字家庭網(wǎng)關(guān)裝置。
為了實(shí)現(xiàn)本發(fā)明�,所使用的技術(shù)方案如下
一種具有安全機(jī)制的UPnP數(shù)字家庭網(wǎng)關(guān)裝置,包含如下模塊
用于向數(shù)字家庭用戶和通信機(jī)構(gòu)運(yùn)營商提供可配置共同管理的
配置模塊�����;
用于向UPnP數(shù)字家庭網(wǎng)關(guān)提供認(rèn)證�����、授權(quán)���、加密、監(jiān)督等安全 機(jī)制的安全控制模塊�����;
用于向通用UPnP設(shè)備自動分配IP地址的DHCP模塊���;
用于檢測通用UPnP設(shè)備的IP是否沖突的ARP模塊��;
以及用于設(shè)備即插即用的UPnP協(xié)議桟模塊�����。
本發(fā)明的各個模塊所實(shí)現(xiàn)的功能具體如下
配置模塊提供了面向LAN側(cè)和面向WAN側(cè)的雙向配置�����,并使得 WAN側(cè)的配置能夠平滑的過度到LAN側(cè)�����,從而實(shí)現(xiàn)了通信機(jī)構(gòu)和用戶 共同管理和配置數(shù)字家庭網(wǎng)關(guān)����,實(shí)現(xiàn)數(shù)字家庭網(wǎng)關(guān)可運(yùn)營,可管理的應(yīng)用模式�����,促進(jìn)通信網(wǎng)絡(luò)和家庭網(wǎng)絡(luò)的融合與互動���。通信機(jī)構(gòu)作為第 三方可信機(jī)構(gòu)的角色對數(shù)字家庭網(wǎng)關(guān)進(jìn)行認(rèn)證�,授權(quán)與頒發(fā)密鑰等操
作�。在WAN側(cè),當(dāng)家庭網(wǎng)關(guān)建立了 PPP/IP連接,分配了IP地址之 后�,就會發(fā)送DHCP INFORM消息,此消息包含網(wǎng)關(guān)設(shè)備標(biāo)識���、IP地 址�,然后會收到ACS (自動配置服務(wù)器)�、URL、服務(wù)分類等信息����,這 樣家庭網(wǎng)關(guān)就可以與ACS連接通信了,并且允許雙方在需要時都能主 動發(fā)起連接��。ACS通過服務(wù)配置管理器獲取控制策略����,實(shí)現(xiàn)對家庭網(wǎng) 關(guān)的自動配置�,為家庭網(wǎng)關(guān)獲取不服務(wù)類型、級別的寬帶服務(wù)提供支 持和保障���。在LAN側(cè)��,配置模塊位于用戶與配置文件之間����。配置模塊 允許用戶從配置文件獲取信息并向配置文件中寫入?yún)?shù)。這些參數(shù)包 括DHCP服務(wù)器IP分配范圍���、默認(rèn)租約時間����、最長租約時間���、DDNS 更新模式�、廣播地址���、路由器�、固定IP地址��、ARP包發(fā)送個數(shù)���。
在通信網(wǎng)絡(luò)的運(yùn)營管理中��,服務(wù)管理依賴接入管理的網(wǎng)絡(luò)支撐��, 分別有各自的管理域���。接入管理域位于寬帶接入服務(wù)器(BRAS)和家 庭網(wǎng)關(guān)(HGW)之間的寬帶接入網(wǎng)�����,提供點(diǎn)對點(diǎn)邏輯連接�。服務(wù)管理域 擴(kuò)大到自動配置服務(wù)器(ACS)以外的網(wǎng)絡(luò)范圍�����,甚至延伸到家庭網(wǎng)絡(luò)��。 因此�,家庭網(wǎng)關(guān)的配置管理由用戶和通信機(jī)構(gòu)運(yùn)營商共同協(xié)商完成, 以增強(qiáng)家庭網(wǎng)關(guān)的可配置管理性�����。用戶可以控制運(yùn)營商管理網(wǎng)關(guān)的程 度��,如對配置參數(shù)的修改�����;運(yùn)營商也可限制用戶管理網(wǎng)關(guān)的能力�����,如 設(shè)置用戶對網(wǎng)關(guān)配置的只讀權(quán)限�。
安全控制模塊貫穿于數(shù)字家庭網(wǎng)關(guān)運(yùn)行的始終,它主要負(fù)責(zé)網(wǎng)絡(luò) 安全�����,對家庭網(wǎng)絡(luò)運(yùn)行提供安全可靠的保障�。安全控制模塊認(rèn)為每個設(shè)備和使用設(shè)備的用戶都應(yīng)具有唯一性的標(biāo)識,對持有某個標(biāo)識的設(shè) 備或者用戶進(jìn)行身份鑒別����,已確認(rèn)持有某個標(biāo)志的用戶的真實(shí)性,通
過使用消息認(rèn)證碼(MAC)或者安全散列函數(shù)數(shù)字簽名來實(shí)現(xiàn)消息的 完整性���,對消息進(jìn)行簽名通過數(shù)字簽名替代紙張簽名����,保障用戶使用 的法律效應(yīng)���,防止保密數(shù)據(jù)例如登錄消息或調(diào)用功能消息的竊聽�、篡 改或重發(fā)���,防止重放攻擊�。適當(dāng)?shù)倪M(jìn)行設(shè)備訪問控制列表����,對用戶訪 問設(shè)備的行為進(jìn)行訪問控制����。在廣域網(wǎng)和家庭網(wǎng)絡(luò)局域網(wǎng)的數(shù)據(jù)傳輸 中對數(shù)據(jù)進(jìn)行加密�����,保障信息傳輸?shù)陌踩0踩刂颇K通過對協(xié)議 棧模塊的操作提供完整的安全服務(wù)�。
DHCP模塊分為DHCP服務(wù)器和DHCP客戶端。 (l)DHCP服務(wù)器�����。DHCP服務(wù)器管理整個網(wǎng)絡(luò)并為DHCP客戶 端分配IP地址。dhcpd.conf為DHCP服務(wù)器的配置文件���,包括IP分 配范圍(DHCP服務(wù)器為客戶端分配IP地址的范圍)����、租約時間(DHCP 客戶端合法使用所分配IP地址的時間)等。
(2)DHCP客戶端�。DHCP客戶端從DHCP服務(wù)器獲取分配的IP 地址并配置網(wǎng)關(guān)的IP地址���。DHCP客戶端將獲取的IP地址寫入文件 dhelient.result�����。
為防止獲取的IP地址與網(wǎng)絡(luò)上其他IP地址沖突,調(diào)用ARP模 塊發(fā)送ARP包進(jìn)行探測�。ARP模塊由兩個部分組成ARP發(fā)送部分 與ARP檢測部分��。ARP包被設(shè)置為一定的數(shù)量然后由ARP發(fā)送部分 連續(xù)發(fā)送��。ARP檢測部分設(shè)置在一定的時間內(nèi)接收ARP回復(fù)包以檢 測IP是否已被占用��。UPnP協(xié)議棧模塊封裝了 UPnP涉及的眾多協(xié)議如SSDP��、SOAP�、 HTML �����、 XML等����,涵蓋了從發(fā)現(xiàn)到表示的各個過程���,包括多線程支 持庫、XML解釋器��、迷你Web服務(wù)器等��,并為其它模塊提供了簡單 的接口��。該模塊是UPnP數(shù)字家庭網(wǎng)關(guān)模塊的核心子模塊����,在使用中 它將與安全控制模塊、DHCP模塊和ARP模塊進(jìn)行交互�,實(shí)現(xiàn)通用 UPnP設(shè)備的安全接入、控制�����、運(yùn)行和卸載��。UPnP網(wǎng)絡(luò)從加入到完 成服務(wù)的控制����,設(shè)備及控制點(diǎn)需要經(jīng)歷尋址�����、發(fā)現(xiàn)����、描述��、控制���、事 件以及表達(dá)等幾個基本的過程��。
本發(fā)明的技術(shù)特點(diǎn)主要體現(xiàn)如下
1. 拓展業(yè)務(wù)����,支持運(yùn)營���。提出了數(shù)字家庭網(wǎng)關(guān)可運(yùn)營��、可管理 的應(yīng)用模式�,實(shí)現(xiàn)自動配置服務(wù)器對家庭網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程配置管理���。
2. 安全�����,可靠����。實(shí)現(xiàn)了針對數(shù)字家庭網(wǎng)絡(luò)安全的完整的解決方 案���,提出了由通信機(jī)構(gòu)為第三方可信機(jī)構(gòu)的認(rèn)證�����,授權(quán)與密鑰分發(fā)�����。
3. 使用透明�,增強(qiáng)管理����。建立了以UPnP家庭網(wǎng)關(guān)為核心的家 庭網(wǎng)絡(luò),實(shí)現(xiàn)了設(shè)備的"零配置"接入網(wǎng)絡(luò)��,網(wǎng)絡(luò)"透明"數(shù)據(jù)傳輸, 加強(qiáng)了設(shè)備的統(tǒng)一管理和安全控制���。
圖l為本發(fā)明結(jié)構(gòu)示意圖2為本發(fā)明應(yīng)用于網(wǎng)絡(luò)上的示意圖��。
具體實(shí)施例方式
下面結(jié)合附圖對本發(fā)明做進(jìn)一步說明��。
本發(fā)明的結(jié)構(gòu)示意圖如圖l所示����,由配置模塊����、DHCP模塊、安 全控制模塊�����、ARP模塊和UPnP協(xié)議棧模塊組成�����。
UPnP協(xié)議棧模塊進(jìn)行初始化����,通過DHCP模塊獲得一個IP地址 和端口號���,再通過ARP模塊檢測得到的IP和端口號是否已經(jīng)存在或 與其他的UPnP設(shè)備產(chǎn)生沖突。這個端口號用來監(jiān)聽UPnP的HTTP 請求��。在得到認(rèn)證和授權(quán)之后�����,家庭網(wǎng)關(guān)與設(shè)備之間便建立了安全回 話��,設(shè)備進(jìn)入等待請求循環(huán)����,響應(yīng)控制點(diǎn)的請求�。當(dāng)請求被接收時, 它們由相應(yīng)回調(diào)函數(shù)進(jìn)行處理�。由設(shè)備處理的請求分為三種訂閱請 求、獲取變量請求和動作請求����。根據(jù)不同的要求,家庭網(wǎng)關(guān)會調(diào)用不 同的函數(shù)進(jìn)行處理�����。當(dāng)服務(wù)狀態(tài)改變時,會調(diào)用UPnPNotify ()或 者UPnPNotifyExt〇通知所有訂閱了該事件的控制點(diǎn)����。服務(wù)狀態(tài)的 改變可能由動作請求或用戶輸入等產(chǎn)生。最后�,當(dāng)鏈接的設(shè)備關(guān)閉時, 會取消相應(yīng)的設(shè)備注冊,并進(jìn)行一定的清理工作��。
安全控制模塊建立安全機(jī)制主要分兩個階段��,第一階段是初始化 階段�,設(shè)置安全策略數(shù)據(jù)。第二階段是安全運(yùn)行階段��,由設(shè)備和安全 控制模塊之間交互完成各種安全服務(wù)接口的調(diào)用�。安全控制模塊和設(shè) 備使用SSDP協(xié)議完成相互發(fā)現(xiàn)的過程,初始化時設(shè)備會提供自己的 相關(guān)安全策略數(shù)據(jù)�����,安全控制模塊會將其中的認(rèn)證內(nèi)容通過配置模塊 發(fā)送到第三方可信機(jī)構(gòu)進(jìn)行認(rèn)證和授權(quán)�,當(dāng)確認(rèn)無誤后,第三方可信 機(jī)構(gòu)會同過配置模塊反饋相關(guān)認(rèn)證信息和用于數(shù)據(jù)加密的臨時密鑰��,然后安全控制模塊會將該設(shè)備加入安全管理列表����,設(shè)置設(shè)備的訪問機(jī) 制�,然后便可進(jìn)入安全運(yùn)行階段��。
配置模塊主要為通信機(jī)構(gòu)和用戶提供相應(yīng)的配置功能�����。例如在設(shè)
備接入之前用戶可以對DHCP模塊��、ARP模塊等其中的參數(shù)進(jìn)行設(shè) 置���,網(wǎng)絡(luò)運(yùn)營機(jī)構(gòu)可以為安全控制模塊提供第三方認(rèn)證�����,還可以設(shè)置 用戶的使用權(quán)限,對終端設(shè)備進(jìn)行運(yùn)營管理�。
本發(fā)明應(yīng)用于網(wǎng)絡(luò)上的一個實(shí)例的示意圖如附圖2所示,家庭網(wǎng) 關(guān)將廣域網(wǎng)與家庭局域網(wǎng)互聯(lián)起來����,廣域網(wǎng)端的一個自動配置服務(wù)器 可以對家庭網(wǎng)關(guān)中的配置模塊進(jìn)行交互,設(shè)置相關(guān)的參數(shù)���,從而實(shí)現(xiàn) 對家庭網(wǎng)絡(luò)局域網(wǎng)的終端設(shè)備的管理���。家庭局域網(wǎng)絡(luò)由電腦���,播放器, 攝像機(jī)等UPnP設(shè)備組成�,其中家庭網(wǎng)關(guān)作為媒體服務(wù)器和安全控制 中心,電腦作為控制點(diǎn)向用戶提供訪問界面���,當(dāng)用戶想觀看視頻時���, 便可將播放器或攝像機(jī)接入局域網(wǎng),通過驗(yàn)證之后����,家庭網(wǎng)關(guān)會將相 關(guān)數(shù)據(jù)以加密的形式傳輸?shù)诫娔X中,最終滿足用戶的需求�����。
ii
權(quán)利要求
1��、一種具有安全機(jī)制的UPnP數(shù)字家庭網(wǎng)關(guān)裝置�,其特征在于設(shè)置有如下模塊用于向數(shù)字家庭用戶和通信機(jī)構(gòu)運(yùn)營商提供可配置共同管理的配置模塊�����;用于向UPnP數(shù)字家庭網(wǎng)關(guān)提供認(rèn)證����、授權(quán)����、加密、監(jiān)督的安全控制模塊��;用于向UPnP設(shè)備自動分配IP地址的DHCP模塊�;用于檢測UPnP設(shè)備的IP是否沖突的ARP模塊;以及用于設(shè)備即插即用的UPnP協(xié)議棧模塊��。
2�、 根據(jù)權(quán)利要求1所述的具有安全機(jī)制的UPnP數(shù)字家庭網(wǎng)關(guān) 裝置,其特征在于所述配置模塊實(shí)現(xiàn)了通信機(jī)構(gòu)和用戶共同管理和配 置數(shù)字家庭網(wǎng)關(guān)����,通信機(jī)構(gòu)作為第三方可信機(jī)構(gòu)的角色對數(shù)字家庭網(wǎng) 關(guān)進(jìn)行認(rèn)證����,授權(quán)與頒發(fā)密鑰操作���。
3、 根據(jù)權(quán)利要求1所述的具有安全機(jī)制的UPnP數(shù)字家庭網(wǎng)關(guān) 裝置����,其特征在于安全控制模塊建立安全機(jī)制主要分兩個階段,第一 階段是初始化階段�����,安全控制模塊和設(shè)備使用SSDP協(xié)議完成相互發(fā) 現(xiàn)的過程���;第二階段是安全運(yùn)行階段���,由設(shè)備和安全控制模塊之間交 互完成各種安全服務(wù)接口的調(diào)用。
4����、 根據(jù)權(quán)利1所述的具有安全機(jī)制的UPnP數(shù)字家庭網(wǎng)關(guān)裝置, 其特征在于UPnP協(xié)議棧模塊封裝了 UPnP涉及的眾多協(xié)議����,例如SSDP、 SOAP、 HTML ��、 XML �����,涵蓋了從發(fā)現(xiàn)到表示的各個過程�����, 包括多線程支持庫���、XML解釋器���、迷你Web服務(wù)器,并為其它模塊 提供了簡單的接口�。
5、根據(jù)權(quán)利1所述的具有安全機(jī)制的UPnP數(shù)字家庭網(wǎng)關(guān)裝置���, 其特征在于ARP模塊檢測UPnP設(shè)備之間的IP地址和端口是否發(fā)生 沖突��;ARP模塊由兩個部分組成ARP發(fā)送部分與ARP檢測部分���; ARP包被設(shè)置為一定的數(shù)量然后由ARP發(fā)送部分連續(xù)發(fā)送;ARP檢 測部分則設(shè)置在一定的時間內(nèi)接收ARP回復(fù)包以檢測IP是否已被占 用�����。
全文摘要
本發(fā)明公開了一種具有安全機(jī)制的UPnP數(shù)字家庭網(wǎng)關(guān)裝置�����,包括以下模塊配置模塊�、安全控制模塊、DHCP模塊�����、ARP模塊以及UPnP協(xié)議棧模塊�。通過該裝置可實(shí)現(xiàn)自動配置服務(wù)器對家庭網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程配置管理,實(shí)現(xiàn)設(shè)備的“零配置”接入網(wǎng)絡(luò)�,網(wǎng)絡(luò)“透明”數(shù)據(jù)傳輸,加強(qiáng)了設(shè)備的統(tǒng)一管理和安全控制��。
文檔編號H04L9/32GK101478403SQ20091003668
公開日2009年7月8日 申請日期2009年1月15日 優(yōu)先權(quán)日2009年1月15日
發(fā)明者玉 孫, 李春芳, 羅笑南, 任 陳 申請人:中山大學(xué)