买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：江苏银河电子股份有限公司

摘要：本发明公开了一种智能机顶盒的安全认证方法，其安全认证方法：生成认证信息→IPoE认证过程→接入控制列表认证→配置信息认证。本发明实现了机顶盒与中间件管理系统之间的双向鉴权，机顶盒对中间件管理系统的验证在于：中间件管理系统下发包含序列号、消息认证码和认证管理域的AUTN，在两级密钥中，终端密钥是使用不对称密钥加密方法，以公钥形式传送给终端，私钥存储在中间件管理系统中不发送，由于私钥和公钥的一一对应性，即便公钥在传输过程中被窃听，攻击者也无法对密钥进行解密；而业务密钥使用对称密钥加密方法，密钥由接收到的随机数randi产生，本身并不在网络中传输，保证了认证消息的新鲜性，确保了密钥的安全性。

主权项：1.一种智能机顶盒的安全认证方法，其安全认证方法：生成认证信息→IPoE认证过程→接入控制列表认证→配置信息认证，其特征在于：包括以下步骤：步骤一：机顶盒终端启动并尝试接入网络时，智能机顶盒会发送DHCPDiscover报文向BRAS系统发起认证请求，BRAS系统解析报文识别机顶盒终端，并为其分配正确的认证信息和网络资源，具体步骤如下：1BRAS系统在接收到机顶盒发送的DHCPDiscover报文时，会解析该报文中的Option60字段；2根据解析出Option60字段内容，为每种类型的机顶盒终端定义一个唯一的映射关系，映射关系将Option60字段的内容与IPoE认证账号名和密码等认证信息关联起来，将定义好的映射关系配置到BRAS系统中；3BRAS系统将解析出的Option60字段内容作为关键字，与系统中预设的映射规则进行匹配；4匹配成功，BRAS系统会根据映射规则生成对应的IPoE认证账号名和密码；步骤二：在生成了IPoE认证账号名和密码之后，BRAS系统会将生成的认证信息发送给RADIUS服务器进行认证，具体过程如下：1BRAS系统构造认证请求报文，并将生成的IPoE认证账号名和密码作为认证信息包含在报文中，然后，BRAS系统将该认证请求报文发送给RADIUS服务器；2RADIUS服务器收到认证请求报文后，会解析报文中的认证信息，RADIUS服务器会根据预设的认证策略对认证信息进行验证；3若认证成功，RADIUS服务器会向BRAS系统发送认证成功响应报文，BRAS系统在收到认证成功响应报文后，会为机顶盒终端分配相应的网络资源，如IP地址、网关，并允许其接入网络，如果认证失败，RADIUS服务器将拒绝请求并可能返回错误信息；步骤三：通过账号和密码匹配的机顶盒，调用服务接入控制列表ACL，将匹配认证账号名转入相应域内，完成IP地址分配、认证、授权上线流程，并生产控制表项，具体步骤如下：1机顶盒发送数据包进行接入请求时，通过DHCP服务器，会首先解析数据包中的IPoE认证账号名和密码信息，将解析出的IPoE认证账号名和密码信息发送给验证服务器；2验证服务器会根据接收到的IPoE认证账号名和密码，与预先存储在服务接入控制列表中的信息进行匹配，如果账号和密码匹配成功，则认为机顶盒是合法用户，允许其继续接入流程；如果匹配失败，则拒绝接入请求，并可能返回错误信息；步骤四：在账号和密码验证成功后，BRAS系统会根据账号信息调用服务接入控制列表，从列表中检索出该账号对应的配置信息，包括应转入的域名、IP地址分配策略、认证方式、授权权限，具体步骤如下：1域名解析与IP地址分配：根据服务接入控制列表中的信息，系统通过DHCP服务器的IP地址池管理和分配策略将机顶盒的账号名转入相应的域名下，在该域名下，为机顶盒分配一个合适的IP地址；2认证、授权：完成IP地址分配后，系统会根据服务接入控制列表中的配置信息，对机顶盒进行认证、授权，具体步骤如下：1对机顶盒进行认证过程包括进一步的身份验证和密钥交换2中间件管理系统与机顶盒双向验证用户使用权限；机顶盒首先向中间件管理系统发送登录请求，包含其身份信息、加密凭证，机顶盒在发送登录请求前，会采集用户信息，记录用户的使用情况；用户信息采用两级密钥加密，业务密钥本身的传送由“机顶盒终端密钥”K1加密，用户上传的所有认证信息由“业务秘钥”K2加密，且“业务秘钥”传送中增加时间戳，其中K1公钥和对应的私钥只能储存在业务平台中间件管理系统中，K2则预先分别存在终端的业务认证模块和业务平台中间件管理系统中，具体步骤如下：首先，机顶盒发出登录请求Log-inrequest时，中间件管理系统收到请求后，生成M序列随机数randi和认证管理域AUTNi，AUTN中包括加密的序列号，消息认证码MAC；然后，中间件管理系统使用randi、业务密钥“K2”对加密的用户信息进行运算f1i，生成期望响应数XRESi，中间件管理系统将randi和AUTN发送给机顶盒；其次，机顶盒根据接收到的randi，首先产生期望消息认证码XMAC，与收到的AUTN里的MAC进行比较，若MAC＝XMAC，则通过f1i函数计算出响应数RESi，再将响应数RESi回传，若不同，则停止通信；再次，中间件管理系统将回传的RESi和XRESi进行对比，若RESi＝XRESi，下发机顶盒终端公钥K1，否则，只返回错误认证信息；最后，收到机顶盒终端下发的公钥后，业务认证模块可以上传用户个人信息，业务认证模块使用由randi、K2生产的业务密钥CK和机顶盒下发的公钥K1，对用户信息进行双重加密，加密后发送给中间件管理系统；中间件管理系统接收后，使用对应的私钥K1和业务密钥解密，验证用户使用权限，查找数据库，得到机顶盒客户端的下载地址，业务接口和用户业务权限，返回给机顶盒，则可以进行后续的应用使用流程。

全文数据：

权利要求：

百度查询： 江苏银河电子股份有限公司 一种智能机顶盒的安全认证方法