图5中，UPnP设备运行安全控制台实现UPnP设备的安全属性并且运行相应的消息转换机制在网络上虚拟成一个IGRS设备。其中，实线表示的是IGRS消息，长线加点表示的是UPnP转换成IGRS的消息，虚线表示UPnP安全控制台与UPnP设备之间的消息。图5中，虚拟设备是UPnP相关设备(包括安全控制台)的扩展，它监听网络上的IGRS消息并将这些消息转换为UPnP消息，其自身在网络中发送的UPnP消息也转换为IGRS消息发布到网络中，这样网络中的IGRS设备就会发现这些运行在UPnP设备上的虚拟IGRS设备。?
　　下面是一些重要的安全相关的服务调用[3，5]:
　　a)GetLifeTimeSequenceBase，得到不重复的随机序列号。
　　b)GetAlgorithmsAndProtocols，得到设备支持的算法和协议。
　　c)SetSessionKeys，设置会话密钥。
　　d)DecryptAndExecute，执行加密的命令(返回加密的结果)。
　　安全互连过程如下:
　　a)发现和连接。IGRS设备和虚拟IGRS设备在网络上宣告自己与发现对方，然后进行TCP连接，准备进入管道创建?阶段。
　　b)管道的创建。IGRS设备发送管道连接请求，虚拟IGRS设备接收到此消息，转换为内部UPnP消息，内部安全控制台调用getPublicKey()取得公钥，再将消息封装成IGRS格式以发送IGRS管道创建响应消息。在双方约定的安全算法选择过程中，此方案采用RSA公钥算法。接下来是双方的身份验证、消息加密以及消息鉴别的过程。此过程中，为了防止重放攻击，IGRS设备随机数产生函数，而虚拟UPnP设备则通过安全控制台来调用安全服务getLifteTimeSequenceBase()，按照IGRS管道身份认证的方法进行安全身份认证挑战。当验证成功后，可以发现设备上提供的服务，但是暂时不能够调用。在这个过程中，黑客可能会使用拒绝服务攻击，可以采用带流量检测的包过滤或者是XML防火墙[9]。如果多次在较短的间隔内收到来自同一个设备请求并且在这段时间内反复认证失败，则认为是拒绝服务攻击，在较长的一段时间内不再响应该设备的任何请求。

　　c)会话的创建。IGRS设备发送创建会话请求给虚拟IGRS设备，接收到消息后虚拟IGRS设备调用相关的安全服务getLifeTimeSequenceBase()和setSessionKeys()，获取安全会话密钥附在响应消息中发送给IGRS设备。会话创建成功后，进入会话阶段。
　　d)安全会话。此阶段中，虚拟IGRS设备执行对于服务调用中的会话加密消息进行decrypeAndExecute()，同样，IGRS设备也对接收的虚拟IGRS设备消息进行响应，完成相应的功能调用。
　　e)会话的结束。服务调用结束，双方协商会话结束。此时虚拟IGRS设备通过安全控制台执行会话密钥过期的服务调用，注销过期的密钥，结束双方会话。
　　f)结束。设备之间管道断开、设备离线等。
　　互连过程安全性分析如下:
　　a)TCP连接和发现，发现网络中的互连设备。在网络中的设备只能够被发现，并不能够调用设备上的服务。客户和设备必须经过后续相互认证过程才能够互连，并设计严密的安全步骤，保证无法绕过身份认证。
　　b)管道创建。在创建过程中，两端都采用公钥算法对各自的身份进行挑战和认证。此过程都有随机数产生，有效防止黑客的重放攻击;同时也有效地解决了表1中提到的设备冒充问题;设备间的消息进行加密，阻止不速之客窃听。
　　
　　c)会话创建和会话。在会话的创建过程中，调用getLifeTimeSequenceBase()服务，防止再次可能的重放攻击;同时设置安全会话密钥，对会话内容进行调用，对服务的调用消息进行加密、解密和执行。中间过程只能得到加密过的消息，没有密码无法解密。在安全互连描述中，对频繁进行请求并认证失败的设备不予响应，可以有效防止拒绝服务的?攻击。
　　d)结束工作。调用expiredSessionKeys()函数删除原有的密钥等一些结尾工作，使得密钥过期，不能够在新的会话中再次使用原来的密钥，进一步增强了密钥的安全性。
　　5 结束语
　　在前人关注IGRS和UPnP设备简单非安全互连的基础上，本文依照IGRS和UPnP的安全工作原理，参考开源的UPnP库对UPnP进行改进，实现IGRS与UPnP的安全互连。原来非安全的互连上存在的设备冒充、重放攻击，互联网络中的设备、用户受到网络干扰等问题，在此方案中得到了十分有效的解决。在泛在设备的互连技术项目中，在已经实现了IGRS与UPnP互通协议栈的基础上进行了安全扩展，实现了预期的认证、完整性、防止重放、访问控制和保密五大目标。
　　本系统也存在需要改进的地方，如公钥的维护和更新问题;再者，由于IGRS和UPnP都存在组播特性，网络上的其他计算机可以“听到”，并发现网络中无安全特性的设备，如果这个设备被其他安全设备所信任，那么黑客有可能利用此设备作为跳板来实现对其他设备和服务的攻击。?
　　

参考文献

　　[1]
　　闪联工作组.闪联应用白皮书[R].北京:闪联工作组，2003.
　　[2]UPnP Forum.UPnP device architecture 1.0[EB/OL].(2008-10-15)[2009-11-10].http://www.UPnP.org/resources/documents.asp.
　　
　　[3]UPnP Forum.Security console:1 service template[EB/OL].(2003-11)[2009-11-10].http://www.UPnP.org/resources/documents.asp.
　　[4]UPnP Forum.Device security:1 service template[EB/OL].(2003-11)[2009-11-10].http://www.UPnP.org/resources/documents.asp.
　　[5]中华人民共和国信息产业部.SJ/T 11310-2005，信息设备资源共享协同服务第一部分:基础协议[S].北京:闪联工作组，2005.
　　[6]UPnP Forum.UPnP security ceremonies design document v1.0[EB/OL].(2003-10)[2009-11-10].http://www.UPnP.org/resources/documents.asp.
　　[7]周雪凤.数字家庭UPnP标准安全研究[J].科技情况开发与经济，2007，17(25):1-2.
　　[8]廖国威，杨军，邓中亮.IGRS基础协议中的安全机制[J].计算机安全，2006(3):1-3.
　　[9] 王佳慧，贺墚.UPnP中的DoS攻击防御方案[J].计算机系统应用，2008(8):1-4.