CN1375151A

CN1375151A - 无线家庭网络中的设备注册方法

Info

Publication number: CN1375151A
Application number: CN00813096A
Authority: CN
Inventors: 阿兰·迪朗; 克里斯托夫·洛朗; 吉勒·施特劳布; 克里斯托夫·樊尚
Original assignee: Thomson Licensing SAS
Current assignee: InterDigital CE Patent Holdings SAS
Priority date: 1999-09-20
Filing date: 2000-09-20
Publication date: 2002-10-16
Anticipated expiration: 2020-09-20
Also published as: MXPA02002724A; CN1152541C; WO2001022661A3; KR20020060950A; JP4509446B2; WO2001022661A2; AU7905700A; US7340612B1; JP2003510896A; EP1214829A2; KR100709622B1; EP1214829B1

Abstract

一种在无线网络中进行设备注册的方法,包括中央访问点。方法包括步骤:把识别码从设备发送到访问点;由所述的中央访问点检验接收到的识别码是否和所述中央访问点所存储的识别码相对应,如果检验结果是肯定的,那么就从所述的访问点向所述的设备发送一个验证密匙;由所述的设备存储所述验证密匙,以便在所述设备和所述访问点之间的验证过程中使用。本发明可以适用于数据家庭网络中的其它设备。

Description

无线家庭网络中的设备注册方法

技术领域

本发明涉及无线家庭网络中的设备注册方法。本发明可用于基于IEEE 1394-1395串行总线标准的网络结构中，但并不一定只局限于这样一个环境。

背景技术

IEEE 1394总线是一个有线总线，这样的总线有着固有的缺陷：它采用电缆，和无线产品相比，这种电缆本身就是一种限制，两个设备之间的线缆长度限制在4.5米。在基于IEEE 1394-1395总线网络的无线传输的引入具有明显的意义。欧洲ETSI BRAN工程中曾经提到这项技术，也就是在5GHz频带中标准化的无线1394网络，它的标题是“第二类Hiperlan”。

第二类Hiperlan是一个为某些核心网络技术(ATM，以太网，IEEE1394)定义PHY(物理)层(OSI层1)，DLC(数据链接控制)层(OSI层2)和一些CL(汇聚层)的分层标准。

第二类Hiperlan提出了基于认证和加密的安全方案。这种安全方案允许只有被允许的用户才能拥有网络访问权。第二类Hiperlan起初目标定在商业应用上(集团区域网)，因此它可以依据某些网络管理基础设施。第二类Hiperlan的认证过程要求两个移动终端(MT)和AP/CC(访问点——中央控制器)在验证过程开始之前都拥有共同密码(验证密匙)。这个验证密匙在网络安装过程中由网络管理员通知移动终端和访问点。

在家庭环境中，依靠使用者来执行这样的安装操作是不合适的。本发明的目的就是提出一种采用已经在第二类Hiperlan规范结构的方法来执行家庭装置的自动安装。

发明内容

本发明的目的就是提供一种在一个无线网络中进行设备注册的方法，这个无线网络包括中央访问点，它的特征在于包括以下步骤：

从设备向访问点传送认证密码；

由所述中央访问点检查接收到的认证密码是否和存储在所述中央访问点的认证密码相符，如果相符，则从所述访问点向所述设备发送认证密匙；

由所述设备存储所述认证密匙，以在所述设备和所述访问点之间的授权过程中使用。

根据本发明的优选实施例，在特定网络中使用专用验证密码。

附图说明

下面将对本发明的优选的和非限制性实施例进行说明，并指出这个发明的特点和优点。下面将结合附图对本实施例进行说明，这些附图是本说明不可分割的部分：

图1是包含通过无线联接两个进行通讯的有线总线网络的原理图。

图2是一个高层信息序列流程图，说明根据本实施例为建立联系而在一个移动终端和访问点之间进行交换的信息。

图3是一个信息序列流程图，它定义了在由图2中的流程图所定义的一个阶段过程中(信息转移)在MT和AP的不同层之间交换的信息。

图4a，4b，4c分别代表存储信息单元的汇聚层信息存储器以及在图3流程图所示的信息交换过程中所使用的两个信息单元。

图5是信息序列流程图，其定义了在图2流程图的验证阶段由MT和AP交换的信息。

图6是终端和中央控制器的关联过程的示意图。

图7是在中央控制器和终端之间的验证阶段的示意图。

图8是从中央控制器向终端下载密匙阶段的示意图。

具体实施方式

本实施例被设置在BRAN/第二类Hiperlan的结构中。有关这种环境的具体信息可见下列：宽带无线访问网络第二类Hiperlan功能规范数据链接控制(DLC)层第一和第二部分(DTS/BRAN030003-1)和相关文件，这些文件中DTS/BRAN-002004-2涉及RLC(无线链接控制协议)子层。

图1说明的是包括访问点(AP)1和移动终端(MT)2的网络，它们分别和有线的IEEE1394总线3和4相连。AP和MT在两个有线总线之间形成无线链接。我们设想AP(或者中央控制器CC)是在任何设备中都可以执行的功能。家庭网络中并不必须有一个固定的AP/CC设备，但是必须选择在拥有这种能力的几个设备中选择一个中央控制器。

在MT和AP进行链接前，必须发生密钥谈判阶段，以产生对称编码密钥。这个谈判是基于Diffie-Hellman(DH)算法的。这个算法的一般结构如下：1. MT和AP都已经同意基数产生器g和大的质数n；2. 它们都产生一个随机数，叫做Diffie-Hellman专用值。假设MT产生数x，AP产生数y；3. MT计算出它的DH公共值MT_DH_PV＝g^x mod n并把它传送给AP；4. AP计算得出它的DH公共值AP_DH_PV＝g^y mod n并把它传送给MT；5. MT计算得出k＝AP_DH_PV^x mod n；6. AP计算得出k’＝MT_DH_PV^y mod n。在这一过程之后，AP和MT能够计算得出它们共享的秘密对话密钥，因为k＝k’＝g^xy mod n。为此目的，这个叫做对话密钥或’SSK’的密匙由以下方法计算出：SSK＝HMAC-MD5(g^x mod n，O)和HMAC-MD5(k，m)＝MD5((k XOR opad)|MD5(k XOR ipad)|m))其中k是密钥；m是信息；ipad是0×36重复64次；opad是0×5c重复64次；XOR是专用OR：|是序连运算符。

注意，如果有人窃听MT和AP之间的通信，他只知道n，g，MT_DH-PV和AP_DH_PV。这样，他不能推知密匙k的值，因为他不知道秘密随机数x和y。

SSK密匙一旦产生，验证阶段就开始了。这个阶段允许MT被AP验证，并允许AP被MT验证。

在第二类Hiperlan中，这个步骤是建立在挑战——响应的方法基础之上的：

MT把识别符发送到AP，这个识别符是用刚刚谈判得来的SSK加密密匙加密的；

然后，AP把挑战信号(也就是一个随机数)C_AP发送到MT；

MT响应挑战信号C_AP证明它的身份。为此，当PKI(公共钥匙基础结构)被使用时，它用与AP共享的密匙或者用它的专用密匙“签名”挑战。MT向AP发送它的响应R(C_AP)以及挑战信号C_MT；

AP验证响应R(C_AP)，为了证明它的身份对挑战C_MT进行“签名”并把它的响应R(C_MT)发回到AP；

MT验证响应R(C_MT)。

如果响应R(C_AP)和R(C_MT)是正确的，那么，由于它们都证明自己知道密码则MT和AP都通过验证。

在一个商业环境中，验证过程是由网络管理员设置的。对于家庭网络来说，需要一种更自动化的验证过程。用户界面应该越简单越好。1394总线本身具有“即插即用”的功能，因此我们可以把这种功能扩展到无线网络中去。

一个想和网络建立联系的移动终端需要中央控制器知道验证密匙。这个验证密匙在建立联系的过程中通过挑战/响应结构使用，其方式类似于上面所提的方式。已经建议整个网络应该使用单独的共同密匙，这个密匙是基于在网络中注册的第一中央控制器的GUID(全球专用识别符)。

更具体一些说，在使用无线装置之前，安装过程是必需的。这个阶段包括把网络的验证密匙交给新的移动终端。根据本实施例，这个值的转移是通过一个编码保证的，例如PIN码，以防止任何网络邻居得到这个密匙。

我们建议在设备安装中在所有的装置上都使用同一个PIN码。这个PIN码由用户输入并通过无线界面相互交换。它由中央控制器检验，这时它就可以进行验证密匙的通信了。这个验证密匙然后由移动终端保存(在非易失性存储器上)，并可用在任何启动阶段以完成验证处理。

这个方法主要针对那些为输入PIN码而提供足够的用户交互功能的装置。一般地，这样的装置由显示器和一些键组成。这个装置可以提供供用户选择的安装菜单。当安装菜单被挑战的时候，设备将删除以前存储的任何验证密匙。这样的装置还可以更简单一些。用户输入可以被简化为只设置几个微型开关。

如果设备是一个中央控制器可以控制的设备，那么这个设备将会继续询问用户：

*A/你想安装新的网络吗？

*B/你想在现有的网络上安装设备吗？如果设备是一个中央控制器不能控制的设备，那么，由于用户很明显地只能把这个设备和现有的网络联接起来，所以就没有必要显示这个子菜单。

如果用户回答“A”，那么设备将询问用户的PIN码。这个PIN码在整个网络中都有效。那么设备将通过把自己的GUID和刚刚输入的PIN码连接起来的方式建立新的验证密匙。这个PIN码将被存储在非易失性存储器中，以备每次开机进行检索。然后设备就可以启动中央控制器操作(作用就像HL2访问点)，等待更多的设备。

GUID是用来专门识别IEEE1394设备的64位数码。它由24位的公司ID(从1394注册认证委员会那里获得)和由设备生产商制定的40位序列号组成。GUID存储在设备的设置ROM上，并在1394网络重新设置上是永久的。

只要能够保证在网络中没有两个装置具有相同的识别符那么就可以使用其它类型的识别符。

如果用户回答“B”，那么设备将询问用户的PIN码(这个PIN码就是用户在第一个已经安装的设备上已经初始化了的适用于整个网络的PIN码)。然后设备将启动移动终端操作。移动用户开始扫描光谱，并在一个BRAN的帧标题的形式下寻找信标。当它找到了这样的信标时，并在使用Link_Info信息确定了SSK之后，把用户输入的PIN码送到中央控制器。用户输入的PIN码将使用Diffie Hellman对话密匙进行加密(RLC信息不会被加密)。然后中央控制器就检验(从无线传输界面)接收到的PIN码和它已有的是否是同一个PIN码。如果检验成功，确认回答将被通过RLC_INFO_ACK信息和验证密匙(验证密匙也用Diffie-Hellma对话密匙进行加密)一起进行传送。否则拒绝信息将被传送到RLC_INFO_ACK.这个交换过程将在图3移动终端将中进行详细解释。

移动终端一旦接收到验证密匙安装过程就会结束，把这个密匙存储在一个非易失性存储器上。它还可以存储NET_ID(包含在BCCH的字段内)，这个ID有助于进一步的频率扫描。NET_ID并不唯一识别网络，但它可以简化频率扫描并避免无用的验证尝试。

然后，它可以继续进行电源接通或者启动过程(见下)。如果设备没有得到验证密匙，那么它将寻找另外一个频率，并寻找另外一个中央控制器，进行新的尝试。

根据本实施例，PIN码和验证密匙是CL_Info存储器的一部分，对每一个CL(汇聚层)进行描述。另外一种可能性就是由于它包含了和DLC层相关的数据，因此可以使它成为DLC层的一部分。

图4a表示的是汇聚层信息存储器的格式(CL层存储器)。它包含几个信息单元(IEs)。图4b和4c表示的是协议所需的两个信息单元IEs的格式，也就是PIN代码IE和验证密匙IE，它们被包含在汇聚层的存储器内。变化的‘Authentication_key等于第一安装的GUID和PIN代码的GUID的链接。

图2表示的是电源接通的过程：只是MT设备通过扫瞄现有的频率搜索信标。如果它先前存储了一个网络识别符(NET_ID)，它就先搜索包含这一识别符的BCCH(广播控制频道)段。BCCH段一旦被发现，就开始执行加密和验证过程。如果具有正确NET_ID的BCCH没有被找到，那么就寻找具有其他识别符的中央控制器。

在RLC_Authentication信息中不需要具体的参数(因为只使用单个密匙)。移动终端使用验证密匙(GUID+PIN码)来计算在RLC_Authentication_AP信息中发送的挑战响应。AP/CC使用相同的验证密匙(GUID+PIN码)来检查设备是否被允许(它是否拥有同一个密匙)，这样来产生响应。

如果移动终端通过验证，它就可以完成连接过程，并加入网络。否则它将在另外一个中央控制器上进行尝试。

图5说明了验证过程中的信息交换

这里所描述的方法可以扩展到多重验证密匙。

当设备被卸载的时候暴露出了本方法的重要缺陷：如果用户只想卸除部分设备(至少是被偷窃了的设备)，那么他必须改变PIN码，并重新安装所有的无线设备。

如果每一个设备都用一个验证密匙那么这个缺陷就会避免。通过以下修改，多重验证密匙网络可以使用相同的过程和信息设置：

安装阶段：

在安装过程中，移动终端必须把它的GUID发送到中央控制器。链接到PIN码的移动终端GUID就是移动终端的验证密匙。可以使用authentication_key IE(或者甚至可以定义新的信息单元而不需要接受/拒绝标识)，它可以包含在RLC_INFO信息中。在RLC_INFO信息中传送的验证密匙必须使用Diffie Hellman对话密匙进行加密。

中央控制器利用PIN码检验移动终端是否被允许安装。如果PIN码检验相符，那么移动终端的验证密匙就由中央控制器存储在一个非易失性存储器中。

在这种情况下，RLC_INFO_ACK只包含接受/拒绝标识。不需要验证密匙。

电源接通阶段：

在验证阶段，由移动终端发到中央控制器的RLC_Authentication信息应该包含移动终端的验证ID(也就是移动终端的GUID)。那么，在挑战/响应交换过程中使用的验证密匙必须是链接到PIN码的移动终端GUID。

这种方法使得用户可以在不重新安装整个网络的情况下卸除一个设备。

本发明具有许多优点。用户的参与过程被简化到在设备安装过程中只需要输入PIN码就可以了。同样，PIN码为设备安装提供了很好的安全性，并能够保证设备被无线地安装到相应的网络上。

本发明的第一个实施例涉及到在第二类Hiperlan的BRAN情况下的执行。下面我们将说明的第二个实施例采用一种更为简单的方法，下面的方法描述了一种使信息从移动终端传送到中央控制器的更为安全的方法。

在这个实施例中，我们提出了一种在现有的网络中安全注册新终端的解决方案。这个网络处理两种类型的设备：1.通用设备(摄像机、电视机、电话、磁带录音机，个人计算机等等)，它们在本文件中称为终端；2.一种作用像中央服务器的特殊设备，在本文件中被称为中央控制器(CC)。注意，在网络中同时只能有一个中央控制器。

我们假设在终端和中央控制器之间的所有通讯都可以使用加密工具安全进行。连接过程一旦被执行终端就可以和中央控制器进行通讯。这个过程如图6所示。

如图6所示，和第一个实施例中的情况一样，连接阶段有两个步骤：1.在DH密匙交换步骤中，终端和中央控制器产生一个对话密匙(叫做SSK)，这个密匙可以保证在终端和中央控制器之间进行的信息交换的安全性。密匙的创建过程使用了前面已经描述过的Diffie-Hellman协议。2.在交互验证步骤中，两个设备相互进行验证，这样可以确保每一个设备的有效性(例如，不是被非法入侵的设备)。

第二个步骤基于一种挑战—响应的方法，证明每一个行动者都知道网络中所有设备共享的密码(即验证密匙)。如图7所示，这个方法分为三个步骤：1.中央控制器向终端传送一个随机数，称为挑战信号C1；2.终端通过把函数F应用到这个挑战信号上作出反应。其结果取决于这个反应信号以及终端和中央控制器共享的秘密验验证密匙(F可以是诸如信息验证码——称为MAC[介质访问控制(第一实施例)或信息验证代码(第二实施例)]的密码)。在同一信息中，终端把新的挑战信号C2传送到中央控制器。3.中央控制器检验由终端控制器提供的响应并通过应用函数F对于这个挑战信号C2作出反应。终端检验从中央控制器作出的反应。

通过这个验证过程，双方都相互得到了验证。

在这个方案中，终端必须知道要经过验证的共享密码K。因此，当用户购买新的终端的时候，这个共享的密码必须被存储在终端中以备使用。然而，这个密码在每个网络中都是不同的，因此在每个网络上这个阶段必须进行动态地操作。

根据本实施例，提出了一种在新的终端中下载共享密码K的安全注册方案。这个方案必须能够避免任何人能够在其他任何一个网络中注册他的终端。比如，在一个家庭网络环境中，用户显然是不想让他的邻居对他进行窥探的。

我们将采用下面的标记方法：

‘Ek(M)’表示用对称密匙K对信息M进行加密；

‘|’表示链接操作符。

有关密码学的内容我们可以参见Bruce Schneier所著《实用密码学》，Wiley出版公司，1996，第二版。

用本发明提出的解决方法把密匙K下载到设备中。在验证每一个网络的时候使用PIN码(也就是识别符)。这个PIN码被存储在中央控制器上。

有两种情况会出现：1.这个设备是安装在网络中的第一个设备；2.这个设备在网络中是一个新的设备。

在第一种情况下，密匙K必须由这个设备产生(因此其作用就像中央控制器)，而在第二种情况下，密码必须由现存的中央控制器传送到新安装的设备上去。

在第一种情况下，设备的作用像中央控制器，必须产生密匙K。它可以是一个随机产生器的输出结果，也可以是依赖于许多参数例如设备识别符、网络PIN并最终依赖于其它参数的函数f的结果：

K＝f(devide_id，PIN，...).

PIN码一旦产生，就可以对它进行检验，以确保这个PIN码不被邻近的一个网络所使用，以便确保终端注册在正确的网络上。

在第二种情况下，当一个新设备被安装在网络中的时候，它必须在验证阶段开始前知道密码K(见图7)。密码下载过程在“DH密匙交换”阶段之后执行，其中，终端和中央控制器交换秘密对话密匙SSK(见图6)。

图8说明了这个密码下载过程。

密码下载过程分为两个步骤：1.终端从用户请求网络PIN码(终端必须能够执行这样的任务)。然后，终端使用这个PIN码和其他参数如终端识别符等计算出函数g的结果。计算得出的值最终用密匙SSK与其他参数一起加密。加密结果被传送到中央控制器。函数g的输出参数应该能够呈现包括在加密中的参数的冗余。2.中央控制器对信息进行恢复，检查冗余并检索输入的PIN码。如果PIN码对应存储的网络PIN码，那么，中央控制器则把用密匙SSK加密的密码K传送到新的终端。一旦终端对K进行解码，就把它存储到安全存储器内并结束关联阶段。

下面将对建议的解决方案的安全性进行说明。只有在用户知道网络PIN码时，终端才可以被安装。但是，PIN码一般由四个数位组成。因此，这个解决方法就能够防止恶意进攻。使用函数g可以增加进攻的难度(函数g和第一个实施例中给出的DH算法的同名的描述的基数产生器不同)。对于这个函数g，有两种可能出现的情况：1.函数被保密；2.函数是公开的。

注意，这两种情况都要求用户在新安装的终端上手动输入PIN码。因此，我们可以在这个终端上限制PIN码的尝试次数。

下面将说明函数g是秘密函数的情况。由于攻击者不知道函数g，因此它无法开发出一种能够自动所描所有PIN码的软件。因此，如果他想破坏***，那么他就必须手动输入所有可能的PIN码。把设备识别符作为函数的参数可以使得中央控制器检测到连续的未成功的密码尝试。这样，中央控制器就可以列出一个蓄意攻击的终端的列表。

在这种情况中，***的安全性取决于PIN码和函数g。

下面将说明函数g是公开函数的情况。在这种情况下，必须增加密码防治恶意攻击。所有设备都共用由GSK(全球密钥)表示的全球密钥。例如，这个密匙可以由某权威机构保守秘密，它在销售设备前将密匙***所有的设备中去。

现在，函数g的定义如下：

g＝E_GSK(PIN|Terminal_id|r)

其中r表示由终端产生的一个随机数。

然后，这条传送的信息是：

E_SSK(E_GSK(PIN|Terminal_id|r)|r).

当中央控制器接收到这条信息后，它就执行下列步骤：1.使用密匙SSK对信息进行解密并检索随机数r；2.把前面已经解密的信息的第一部分进行解密，以便检索信息PIN|Terminal_id|r。然后，它会检测在步骤1中解密的值r和在本步骤中解密的值r是否匹配。不匹配的值意味着攻击者试图破坏***，因此，中央控制器就可以进入锁定状态。

在这种情况下，***的安全性取决于GSK密匙以及对随机数r的使用。确实，如果进攻者在不知道公共密匙GSK的情况下试图破坏***，它就无法产生信息E_GSK(PIN|Terminal_id|r).因此，中央控制器就不能检索到相同的随机数值，因此，***就在黑客进行第一次尝试时被锁定。然而，如果用户在有效的设备上输入了错误的PIN码，由于信息E_GSK(PIN|Terminal_id|r)已经顺利产生，因此，***就不会被锁定。

Claims

1.一种在无线网络中进行设备注册的方法，包括中央访问点，其特征在于方法步骤：

-把识别码从设备发送到访问点；

-由所述的中央访问点检验接收到的识别码是否和所述中央访问点所存储的识别码相对应，如果检验结果是肯定的，那么从所述的访问点向所述的设备发送验证密匙；

-由所述的设备存储所述验证密匙以用在所述设备和所述访问点之间的验证过程。

2.根据权利要求1所述的方法，其特征在于在特定网络内部使用专用识别代码。

3.根据权利要求1所述的方法，其特征在于所述验证密匙在网络中是唯一的。

4.根据权利要求1所述的方法，其特征在于验证密匙专用于每一个设备。

5.根据权利要求1所述的方法，其特征在于所述验证代码通过使用秘密对话密匙和设备与访问点都知道的函数被传送到访问点。