方法、系统和计算机可读介质可用于促进使用SoC的标识属性来加密设备标识符。可以使用与电缆调制解调器相关联的SoC的唯一密钥或其它唯一属性来加密所述电缆调制解调器的唯一标识符。当在所述电缆调制解调器处启动认证过程时,可以使用所述SoC的所述唯一密钥或其它唯一属性来解密所述电缆调制解调器的加密的唯一标识符,从而产生所述电缆调制解调器的所述唯一标识符。在所述认证过程期间,可以将所述电缆调制解调器的解密的唯一标识符从所述电缆调制解调器输出到上游控制器。在实施例中,可以使用混淆密钥来加密和解密所述电缆调制解调器的所述唯一标识符,并且可以使用所述SoC的唯一标识符来生成所述混淆密钥。
【技术实现步骤摘要】
【国外来华专利技术】电缆调制解调器反克隆相关申请的交叉引用本申请是非临时申请,其要求2016年3月14日提交的标题为“匹配装置地址与片上系统(MatingDeviceAddresswithSystem-on-a-Chip)”的第62/307,922号美国临时申请的权益,并且还要求2016年10月6日提交的标题为“电缆调制解调器反克隆(CableModemAnti-Cloning)”的第62/404,804号美国临时申请的权益,所述美国临时申请中的每一者以全文引用的方式并入本文中。
本公开涉及防止电缆调制解调器克隆。
技术介绍
电缆数据服务接口规范(DOCSIS)并未完全解决电缆调制解调器反克隆问题。DOCSIS标准要求电缆调制解调器设备证书的主题通用名称包含电缆调制解调器媒体访问控制(MAC)地址。如果电缆调制解调器终端系统(CMTS)检测到电缆调制解调器设备证书中的公用名与设备电缆调制解调器MAC地址不匹配,则基准隐私接口加(BPI+)验证将失败。DOCSIS建议CMTS的政策在所有的电缆调制解调器上实施BPI+。但是,如果完全克隆了电缆调制解调器,即克隆包含设备证书和电缆调制解调器MAC地址的整个非易失性随机存取存储器(NVRAM),那么DOCSIS反克隆建议将是不够的。报告的克隆数量急剧增加,并且因特网服务提供商(ISP)难以保持和处理克隆设备。因此,需要改进用于防止电缆调制解调器克隆的方法和系统。
技术实现思路
附图说明图1是示出可操作以使用SoC的标识属性来促进设备标识符的加密的示例网络环境的框图。图2是示出可操作以使用SoC的标识属性来促进设备标识符的加密的示例电缆调制解调器的框图。图3是示出可操作以使用从SoC的标识属性生成的混淆密钥来促进设备标识符的加密的示例电缆调制解调器的框图。图4是示出可操作以使用SoC的标识属性来促进设备标识符的加密的示例过程的流程图。图5是示出可操作以使用从SoC的标识属性生成的混淆密钥来促进设备标识符的加密的示例过程的流程图。图6是可操作以使用SoC的标识属性来促进设备标识符的加密的硬件配置的框图。各附图中相同的附图标记和名称表示相同的元件。具体实施方式由于仅通过实施CMTSBPI+策略不能解决电缆调制解调器克隆的问题,因此需要某种程度的电缆调制解调器设备级保护以防止MAC地址克隆。本文描述的是一种方法和系统,其用于以使得不能在任何其它设备上克隆电缆调制解调器MAC地址的方式将电缆调制解调器MAC地址配合到所述设备上的片上系统(SOC)。此外,本文描述的方法和方法不需要将MAC地址融合到SOC的一次性可编程(OTP)中。并非所有SOC都支持OTP中的OEM(原始设备制造商)数据定制。此外,将MAC地址融合到OTP中需要SOC定制,并使制造过程和设备返回/修复过程复杂化。方法、系统和计算机可读介质可用于促进使用SoC的标识属性来加密设备标识符。可以使用与电缆调制解调器相关联的SoC的唯一密钥或其它唯一属性来加密电缆调制解调器的唯一标识符。当在电缆调制解调器处启动认证过程时,可以使用SoC的唯一密钥或其它唯一属性来解密电缆调制解调器的加密的唯一标识符,从而产生电缆调制解调器的唯一标识符。在认证过程期间,可以将电缆调制解调器的解密的唯一标识符从电缆调制解调器输出到上游控制器。在实施例中,可以使用混淆密钥来加密和解密电缆调制解调器的唯一标识符,并且可以使用SoC的唯一标识符来生成混淆密钥。图1是示出可操作以使用SoC的标识属性来促进设备标识符的加密的示例网络环境100的框图。在实施例中,电缆调制解调器105可以针对用户接收和/或递送一个或多个服务(例如,视频、数据、语音、安全性和/或其它服务)。电缆调制解调器105可以是独立的电缆调制解调器,或者可以嵌入在机顶盒(STB)、多媒体网关设备、路由器、无线扩展器和/或各种其它设备中。在实施例中,电缆调制解调器105可以接收一个或多个服务,并且可以通过接入网络110和广域网(WAN)115向一个或多个上游网络组件发送以及从其接收其它通信。接入网络110可以包括电缆调制解调器105与WAN115之间的各种通信链路中的任何一种,例如混合光纤同轴(HFC)网络等。在实施例中,电缆调制解调器105可以与位于电缆调制解调器105上游的CMTS(电缆调制解调器终端系统)120或其它中央设备通信。例如,在运行时,电缆调制解调器105可以通过CMTS120的认证过程用于验证已经给予电缆调制解调器105许可以向用户提供一个或多个服务。一旦认证过程成功完成,CMTS120可以根据与电缆调制解调器105相关联的订阅将一个或多个服务递送到电缆调制解调器105。电缆调制解调器105与CMTS120之间的认证过程可以包括将电缆调制解调器105的唯一标识符发送到CMTS120,以及由CMTS120验证由唯一标识符标识的电缆调制解调器105有许可向用户端提供一个或多个服务。例如,电缆调制解调器105的唯一标识符可以是与电缆调制解调器105相关联的MAC(媒体访问控制)地址或与电缆调制解调器105相关联的其它标识符。电缆调制解调器105与CMTS120之间的认证过程可以是基线隐私接口加(BPI+)认证过程,其中电缆调制解调器105用电缆调制解调器105的MAC地址填充BPI+授权请求,并将BPI+授权请求发送到CMTS120。应当理解,认证过程可以包括各种其它过程。在实施例中,电缆调制解调器105的唯一标识符(例如,电缆调制解调器105的MAC地址)可以与电缆调制解调器105的SoC配对,使得SoC变为存储和检索MAC地址以便用CMTS120认证电缆调制解调器105所必需的。不能访问电缆调制解调器105的SoC,从而阻止了试图克隆电缆调制解调器105的设备向CMTS120递送有效的MAC地址。例如,可以使用对电缆调制解调器105的SoC唯一的一个或多个属性来加密电缆调制解调器105的MAC地址。可以在电缆调制解调器105内实现用于将电缆调制解调器105的MAC地址与电缆调制解调器105的SoC匹配的基于硬件的解决方案。当电缆调制解调器105的SoC支持硬件信任根和基于硬件的密钥梯时,可以使用基于硬件的解决方案。在实施例中,可以用与电缆调制解调器105的SoC相关联的基于硬件的唯一设备密钥来保护电缆调制解调器105的MAC地址。例如,在电缆调制解调器105的制造期间,电缆调制解调器105的MAC地址可以被传递到电缆调制解调器105SoC的安全引擎,以使用与SoC相关联的基于硬件的设备密钥进行加密和签名。例如,与SoC相关联的基于硬件设备密钥可以用作加密/解密密钥,用于加密/解密电缆调制解调器105的MAC地址。安全引擎可以从基于与SoC相关联的基于硬件的设备密钥生成一个或多个加密/解密密钥。与SoC相关联的基于硬件的设备密钥可以在硬件中受到保护并且被保护以免在安全引擎之外访问。安全引擎的输出是加密的MAC地址,其只能由加密/签名MAC地址的相同SoC解密和验证。加密的MAC地址可以存储在电缆调制解调器105上(例如,存储在NVRAM(非易失性随机存取存储器)中)。在运行时,电缆调制解调器105检索加密的MAC地址,使用与SoC相关联的基于硬件的设备密钥解密和验证加密的本文档来自技高网...
【技术保护点】
1.一种方法,其包括:检索与电缆调制解调器相关联的唯一标识符;检索与和所述电缆调制解调器相关联的片上系统相关联的唯一密钥;使用所述唯一密钥作为加密密钥来加密与所述电缆调制解调器相关联的所述唯一标识符,从而产生加密的唯一标识符;使用所述唯一密钥作为解密密钥来解密所述加密的唯一标识符,从而产生与所述电缆调制解调器相关联的所述唯一标识符;以及将与所述电缆调制解调器相关联的所述唯一标识符输出到上游控制器,其中,将与所述电缆调制解调器相关联的所述唯一标识符作为授权请求消息输出。
【技术特征摘要】
【国外来华专利技术】2016.03.14 US 62/307,922;2016.10.06 US 62/404,8041.一种方法,其包括:检索与电缆调制解调器相关联的唯一标识符;检索与和所述电缆调制解调器相关联的片上系统相关联的唯一密钥;使用所述唯一密钥作为加密密钥来加密与所述电缆调制解调器相关联的所述唯一标识符,从而产生加密的唯一标识符;使用所述唯一密钥作为解密密钥来解密所述加密的唯一标识符,从而产生与所述电缆调制解调器相关联的所述唯一标识符;以及将与所述电缆调制解调器相关联的所述唯一标识符输出到上游控制器,其中,将与所述电缆调制解调器相关联的所述唯一标识符作为授权请求消息输出。2.根据权利要求1所述的方法,其中,与所述片上系统相关联的所述唯一密钥包括与所述片上系统相关联的基于硬件的设备密钥。3.根据权利要求1所述的方法,其中,检索与所述片上系统相关联的所述唯一密钥包括:检索与所述片上系统相关联的唯一标识符;以及使用与所述片上系统相关联的所述唯一标识符作为种子,来生成与所述片上系统相关联的所述唯一密钥。4.根据权利要求1所述的方法,其进一步包括:将所述加密的唯一标识符存储在所述电缆调制解调器的非易失性随机存取存储器中。5.根据权利要求1所述的方法,其中,与所述电缆调制解调器相关联的所述唯一标识符包括与所述电缆调制解调器相关联的媒体访问控制地址。6.根据权利要求1所述的方法,其中,所述上游控制器包括电缆调制解调器终端系统。7.根据权利要求1所述的方法,其中,所述授权请求消息包括基线隐私接口加授权请求消息。8.一种包括一个或多个模块的电缆调制解调器,其被配置成:检索与所述电缆调制解调器相关联的唯一标识符;检索与和所述电缆调制解调器相关联的片上系统相关联的唯一密钥;使用所述唯一密钥作为加密密钥来加密与所述电缆调制解调器相关联的所述唯一标识符,从而产生加密的唯一标识符;使用所述唯一密钥作为解密密钥来解密所述加密的唯一标识符,从而产生与所述电缆调制解调器相关联的所述唯一标识符;以及将与所述电缆调制解调器相关联的所述唯一标识符输出到上游控制器,其中,将与所述电缆调制解调器相关联的所述唯一标识符作为授权请求消息输出。9.根据权利要求8所述的电缆调制解调器,其中,与所述片上系统相关联的所述唯一密钥包括与所述片上系统相关联的基于硬件的设备密钥。10.根据权利要求8所述的电缆调...
【专利技术属性】
技术研发人员:阿里·内格达尔,韦德·E·卡特,
申请(专利权)人:艾锐势有限责任公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。