CN101170409A - 实现设备访问控制的方法、系统、业务设备和认证服务器 - Google Patents
实现设备访问控制的方法、系统、业务设备和认证服务器 Download PDFInfo
- Publication number
- CN101170409A CN101170409A CNA2006101507235A CN200610150723A CN101170409A CN 101170409 A CN101170409 A CN 101170409A CN A2006101507235 A CNA2006101507235 A CN A2006101507235A CN 200610150723 A CN200610150723 A CN 200610150723A CN 101170409 A CN101170409 A CN 101170409A
- Authority
- CN
- China
- Prior art keywords
- business device
- user
- authentication
- certificate server
- sublist
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明实施例公开了一种设备访问控制方法,该方法包括:用户向认证设备发起业务请求;所述认证设备根据所述业务请求和预置的用户权限表中的鉴权信息为用户鉴权授权;业务设备根据该鉴权授权结果为所述用户提供服务。该方法降低了业务设备访问控制的复杂程度。本发明还公开了一种设备访问控制系统、实现设备访问控制的业务设备以及实现设备访问控制的认证服务器,简单的实现了业务设备访问控制的鉴权、授权和管理过程,降低了设备访问控制的复杂程度,安全有效,且方便用户使用。
Description
技术领域
本发明涉及网络安全技术,更具体的涉及实现设备访问控制的方法、系统、业务设备和认证服务器。
背景技术
随着数字化家庭、个人网络和小型办公网络等网络的发展和普及,更多的网络应用进入到人们的生活中。这些网络所连接的网络设备为用户提供更多的业务和应用。为了方便用户的使用,减小这些网络的配置和管理的复杂性,业务设备在联网时可以采用自动发现、自动联网的方法,在无需人工配置的情况下实现用户对业务设备的顺畅访问和业务设备间的资源共享。但是这种方便的设备访问方法和设备间资源共享有可能导致网络安全问题,业务设备不能限制非法用户的使用,或者限制合法用户使用业务设备提供的某些功能。因此,如何处理这些网络中出现的设备访问安全问题,是十分重要的课题。
现有的网络安全措施一般包括复杂的认证、授权和管理(3A,Authentication、Authorization、Administration)内容。现有的设备访问控制系统采用3A方法实现设备访问控制,该系统一般包括连接网络、提供业务的业务设备、用户终端和安全认证服务器。其中安全认证服务器作为设备访问控制的实现装置。用户如果要使用网络中业务设备N的某些资源或服务,首先要通过终端向安全认证服务器请求身份认证;认证通过后,安全认证服务器再向用户终端颁发权证,之后用户便携带这个权证向业务设备N提出服务申请;业务设备N接到服务申请后,先要向安全认证服务器确认这个权证的真伪,也可以是安全认证服务器向业务设备N传达有关该用户的权证,然后与用户的权证进行比较,确认这个权证的真伪。如果权证为真,业务设备N为用户授权。此时,用户才可以使用业务设备N的规定资源,并且只具有权证中规定的权限。可见,用户每次使用业务设备,业务设备都需要与认证服务器进行信息交互,在认证服务器的协助下实现设备访问控制,并且在上述设备访问控制过程的开始和进行中,还牵涉到权限管理、密钥产生和分发、设备认证、协议协商、加密通道和传输等等更为复杂的过程。
用户身份认证是设备访问控制的重要环节,目前一般采用的用户名加密码(User ID+Password)、数字证书、生物技术、媒介终端等技术进行身份认证。这些身份认证技术各有优缺点。例如,数字证书需要有可信的颁发机构或服务器,且同时区分同一终端上的不同用户也有困难;生物技术需要有信息转换设备,实现代价较高;媒介终端除了有成本较高的问题外,还有“只认帽子不认人”的缺点,易于失效。相比而言,采用用户名加密码的身份认证方式,是比较实用和有效的。但是在实际应用中,加密信息的存储、管理、分发和传输过程都有一系列方法和规程,较为复杂。当认证通过,进行权限颁发时,还涉及到身份挑战、协议或密钥协商等程序。
可见,上述的设备访问控制系统和方法实现起来比较复杂,需要专业人员实现。但是,一些家庭网络和小型办公网络的所有者和使用者往往是普通用户,对于他们来说,希望在不需要付出较大代价的情况下就能建立、运行和维护设备访问控制系统,并且简单可靠的实现设备访问控制。因此,现有的设备访问控制系统和方法对普通用户来说过于复杂,不能够满足普通用户建立和使用维护的要求。
发明内容
有鉴于此,本发明实施例第一个主要目的在于提供一种设备访问控制方法,能够降低设备访问控制的复杂程度。
本发明实施例第二个主要目的在于提供一种实现业务访问控制的业务设备,能够简单的实现对访问业务设备用户的鉴权和授权。
本发明实施例第三个主要目的在于提供一种实现业务访问控制的认证服务器,能够简单的实现对访问业务设备用户的鉴权和授权。
本发明实施例第四个主要目的在于提供一种设备访问控制系统,能够降低设备访问控制的复杂程度。
为达到上述发明目的的第一个方面,本发明实施例提供了一种设备访问控制方法,该方法包括以下步骤:
用户向认证设备发起业务请求;
所述认证设备根据所述业务请求和预置的用户权限表中的鉴权信息为用户鉴权授权;
业务设备根据该鉴权授权结果为所述用户提供服务。
为达到上述发明目的的第二个方面,本发明实施例提供了一种实现设备访问控制的业务设备,该业务设备包括业务设备存储单元和业务设备认证单元;
所述业务设备存储单元,用于存储用户权限子表,该用户权限子表存储本业务设备的鉴权信息;
所述业务设备认证单元,用于根据用户向该业务设备发起的业务请求和所述用户权限子表中的鉴权信息为用户鉴权授权。
为达到上述发明目的的第三个方面,本发明实施例提供了一种实现设备访问控制的认证服务器,该认证服务器包括认证服务器存储单元和认证服务器认证单元;
所述认证服务器存储单元,用于存储用户权限总表,该用户权限总表存储各业务设备的鉴权信息;
所述认证服务器认证单元,用于在用户向业务设备发起业务请求时,根据该业务设备转发的所述业务请求和所述用户权限总表中该业务设备的鉴权信息为用户鉴权授权;并将所述鉴权授权结果返回给业务设备。
为达到上述发明目的的第四个方面,本发明实施例提供了一种设备访问控制系统,该系统包括:
业务设备,用于根据用户发起的业务请求和预置的用户权限子表中的鉴权信息为用户鉴权授权;并根据该鉴权授权结果为所述用户提供服务;
认证服务器,用于将预置的用户权限总表中的各业务设备鉴权信息分发给各业务设备;并在业务设备无法为用户鉴权时,根据业务设备转发的业务请求和所述用户权限总表中请求鉴权的业务设备的鉴权信息为用户鉴权授权。
与现有技术相比,本发明实施例在认证设备中存储用户权限表,该用户权限表中存储了鉴权信息。当作为认证设备的业务设备在接收到用户发起的业务请求时,可以通过读取自身存储的鉴权信息在本地直接对用户进行鉴权和授权,从而简单、有效、低成本的实现了设备访问控制。即使认证服务器不在线,也不影响用户的认证、授权和使用业务设备,为用户的使用提供了方便。
对于没有存储能力的业务设备,作为认证设备的认证服务器根据用户权限总表存储的鉴权信息为这类业务设备进行用户鉴权。因此,本发明实施例的设备访问控制系统充分考虑到业务设备的具体情况,为能力有限的业务设备提供了实现设备访问控制的可能性,具备较好的兼容性。
附图说明
图1为本发明实施例设备访问控制方法的方法流程图。
图2为本发明实施例设备访问控制方法第一较佳实施例的方法流程图。
图3为图2中步骤120具体实现的方法流程图。
图4为本发明实施例设备访问控制方法第二较佳实施例的方法流程图。
图5为本发明实施例设备访问控制系统的组成结构框图。
图6为本发明实施例实现设备访问控制的认证服务器的组成结构框图。
图7为本发明实施例实现设备访问控制的业务设备的组成结构框图。
图8为图5中无UAT子表业务设备的组成结构框图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下面结合实施例和附图,对本发明进一步详细说明。
本发明实施例的核心思想是用户发起业务请求后,认证设备根据用户发起的业务请求和预置的用户权限表中的鉴权信息为用户鉴权授权,业务设备根据该鉴权授权结果为用户提供服务,从而实现了设备访问控制。
其中,鉴权信息包括用户信息和权限信息。用户信息用于判断用户是否为合法用户,即为用户认证;权限信息表示合法用户具有哪些使用业务设备的权限,用于判断合法用户当前状态是否允许使用该业务设备,即为用户进行权限判断。该权限信息还用于为用户授权规定的使用业务设备权限。因此为用户鉴权包括认证和权限判断两部分,都通过则根据权限信息为用户授权。用户信息和权限信息都存储在一张用户权限表(UAT,UserAccess-Control Table)内。该用户权限表分为UAT总表和UAT子表。UAT子表存储业务设备所有用户的用户信息及其权限信息,该表存放在各业务设备中,由认证服务器向业务设备分发。UAT总表汇总所有业务设备中所有用户的用户信息及其权限信息,该表存放在认证服务器中,由管理员建立、分发和管理。例如在家庭网络中,由家长管理UAT总表。
因此,认证设备可以是业务设备,也可以是认证服务器。业务设备根据用户发起的业务请求和UAT子表中的鉴权信息为用户鉴权授权;当业务设备不能对用户鉴权时,认证服务器协助该业务设备为用户鉴权授权,此时认证服务器根据该业务设备发送的用户发起的业务请求和UAT总表中该业务设备的鉴权信息为用户鉴权授权。
采用业务设备鉴权情况下,图1为本发明实施例设备访问控制方法的方法流程图。采用该方法实现设备访问控制的具体步骤如下:
步骤11,在认证服务器中存储UAT总表,并分发给业务设备,业务设备将其存储到UAT子表中。
步骤12,在用户请求使用业务设备时,输入用户信息。
步骤13,业务设备根据UAT子表中的用户信息对用户进行认证,并根据权限信息对用户进行权限判断。用户认证成功且权限判断通过,则执行步骤14;否则执行步骤15,业务设备拒绝用户使用,流程结束。
步骤14,业务设备根据权限信息授予用户规定的使用权限,用户在规定的权限内使用该业务设备。
基于以上设备控制访问方法的思想,图2为本发明实施例设备控制访问方法的第一较佳实施例。该实施例中,认证服务器与业务设备通过局域网进行信息交互,该局域网可以是家庭网络。业务设备不仅包括有UAT子表业务设备,还包括无UAT子表业务设备。无UAT子表业务设备的用户信息和权限信息存储在认证服务器的UAT总表中,当用户请求使用时,业务设备请求服务器协助其进行用户认证和权限判断。本实施例实现设备访问控制方法的具体步骤如下:
步骤101,在认证服务器中存储UAT总表,并分发给有存储能力的各业务设备。
本步骤的UAT表分发过程在业务设备初始化时执行一次。业务设备在为用户鉴权、授权过程中,一般不用再与认证服务器进行通信。
本步骤中,认证服务器中存储的UAT总表主要包括以下几个域:
用户名(UID,User Identification),表示用户或用户组的身份,用来区分不同的用户;一个用户可以有一个或一个以上的用户名,一个用户名可以为一个或者一组用户共有。
用户密码(Password),用来对用户的身份进行认证。用户名与密码也可以合为一个域,此时密码其实是隐含在用户名中,称为口令(Access Code)。对于用户输入能力有限的业务设备,如微波炉的控制面板,使用口令作为用户身份认证是比较合适和方便的。
设备标识(DID,Device Identification),用于表示各个业务设备。该设备标识与用户名连在一起表示某用户被允许访问的业务设备。在UAT总表中,可以有一个或者一个以上的DID,也可以是DID组或所有的DID,也可以采用通配符的形式进行设备匹配。管理员可以根据业务设备自动发现的结果,选择DID,以简化管理。UAT子表中没有这一项。
服务标识(SID,Service Identification),用于表示允许访问的服务。SID可以限制用户可以访问的服务,由于一个业务设备可能会提供多个服务,因此SID可以是一个或者一个以上。UID、DID与SID联合一起表示某用户被允许访问的某个业务设备的某个服务或者某项功能。
访问权限,表示用户对业务设备或业务设备提供的服务所允许进行的操作,包括读取权、改写权、使用权和配置权等。
有效日期,用于定义UAT表项的有效日期,在有效日期外,本表项将失效。
有效时段,用于定义UAT表项在一天中的有效时段,在有效时段外,本表项失效。例如,家长可以通过设置有效时段来控制孩子在一天中允许看电视、上网或玩游戏等活动的时段。
持续时间,用于控制用户使用业务设备或服务的持续时间。该域可以按次、按天或按周进行累计。例如,家长可以通过设置持续时间来控制孩子在一段时间内看电视、上网或玩游戏等活动的最长时间。
服务等级(COS,Class of Service),用来设置不同用户在使用某业务设备或业务设备所提供的某项服务时所享受的优先等级,以及在网络繁忙时是否允许用户接入的控制,从而区分出不同用户或应用对网络和设备资源的优先权。一般局域网内可以分为2级或4级或8级,用以区分家庭办公、安全监控和报警、网络电话、视频、上网等业务流的报文在局域网内传输时所享有的优先级。例如,对于使用虚拟专用网进行家庭办公的业务设备,其服务等级可设为0,也就是最高优先级,其报文在局域网内传输时享受最高优先级;对于使用网络电话的用户或业务设备,其COS可设为0,也就是最高优先级,其报文也享受最高优先级,但在网络繁忙的时候,由于话音质量受到了影响,为了保证用户服务质量,可不允许该用户接入。而对于COS为1的使用网络电话的用户,此时可允许接入。在实现时,可以采用局域网内的路由器、交换机或网关按照流分类,或按照识别设备端口、源地址和目的地址,如网际协议IP地址、媒体接入控制MAC地址,等方法对用户的业务流进行识别,然后给相应的报文打上COS标志,并按各类报文各自的COS优先级来处理和转发报文。
服务质量(QOS,Quality of Service),用于区分在用户使用本业务设备或业务设备所提供的服务时所享受的服务质量,可以定义为量化的网络带宽,其实现方法与COS的实现相似,即在局域网内的路由器、交换机或网关采用流分类,或按照设备端口、源地址和目的地址等方法对用户的业务流进行识别,然后给相应的报文打上QOS标志,为其分配不同的带宽。
当然,以上所述的域不能理解为限制本发明,可以根据不同的需要添加其它的域,用于表示更为丰富的内容,或者划分更为细致的权限。
一个UAT总表的表项由上述域的全部或一部分组成。在这些域中,用户信息包括用户名和密码或口令,用于用户的认证;权限信息包括服务标识、访问权限、有效日期、有效时段、持续时间、服务等级和服务质量,用于表示该用户能获得的具体权限。如果对于某业务设备不一定使用的权限或者暂时不想加以限制的权限,可以不对某些域加以定义,在表项中将其定义成“不限制”。UAT总表可以按用户或按设备进行排列,以便于管理。表1是一个按用户进行排序的UAT总表的例子,表2是一个按设备进行排序的UAT总表的例子。如表1所示,一个用户名对应一个密文形式的用户密码或口令,以及一系列的具体权限。对于口令类用户,用户名栏可以为空白,只采用口令进行用户身份的认证。
UAT子表所包含的表项与UAT总表相似,不同之处在于UAT子表没有设备标识这一项。一个UAT子表的表项由用户名、密码或口令、访问权限、有效日期、有效时段、持续时间、服务等级和服务质量这些域的一部分或者全部组成。UAT子表可以按用户进行排序。
表1
表2
认证服务器将UAT总表中的表项分发给所涉及的业务设备,业务设备存储与相关的表项。完成了UAT表的存储和分发,业务设备就可以在用户请求使用时,在本地对用户进行鉴权和授权了。
步骤102,当用户请求使用业务设备时,业务设备要求用户输入用户名和密码,此时用户输入自己的用户名和密码。
本步骤中,以带有机顶盒的电视机为例,机顶盒将电视机接入局域网,用户可以通过电视遥控器输入用户名和密码。在电视画面上会出现要求用户输入的提示信息,对用户身份验证的结果也是通过电视画面的形式反馈给用户的。
步骤103,业务设备用预先确定的加密方法将密码转换为密文。
本步骤中,将密码加密是为了保证UAT表中关键信息的安全性。UAT表中,用户密码或口令这些需要保密的关键信息都是以密文形式出现的。只有在用户申请设备或服务,或管理员进行UAT表管理时才会输入关键信息的明文。在其他任何时候,关键信息都是以密文形式存在和传输的。因而,即使UAT总表或子表被盗取或在传输时被截获,关键信息将不会失密。在实际应用中,包括用户名的其它各域也可以被加密,以密文的形式保存。
根据局域网络的特点,本发明采用简化的统一加密方法来保证密码、口令等关键信息在存储、分发、管理和使用时的安全和可信。为关键信息加密的方法是一种字符转换方法,将密码等要加密的内容转换成其他字符串,并且不能轻易地从转换后的结果推导出转换前的结果。可以采用函数转换作为加密方法,该函数转换法包括但不限于单向哈希函数法、消息摘译法和密钥法等。哈希函数类算法可以采用循环冗余检验(CRC,Cyclical RedundancyCheck)类算法,如IEEE802定义的输出为32比特的CRC-32算法;还可以采用扰码法(Scrambler)、随机函数法等。消息摘译(MD,Message Digest)法可以采用输出为128比特的MD4或MD5、安全散列算法等方法。密钥类算法可以使用如数据加密标准(DES,Data Encryption Standard)、三重数据加密标准(3DES)和高级加密标准(AES,Advanced Encryption Standard)等方法。密钥可以是网络环境下所有设备共享的。为了增强加密效果,可以采用哈希函数或消息摘译法与密钥结合,在网络环境下所有设备共享一个密钥,这个共享密钥附加在要加密的内容后,一起参与哈希或消息摘译运算。其中,哈希或消息摘译的算法以及共享密钥都可以在网络初始化时、有业务设备加入时由管理员选定,或者定期由管理员更新。
本实施例采用CRC-32哈希函数算法与密钥结合对密码或口令进行加密。设要加密的内容为用户密码P,长度为64比特;共享密钥K,长度为64比特;将K附加到P后,组成一个长度为128比特的新字符串,称为EP;将EP用如下CRC-32的生成多项式的方法进行处理,
G(x)=x32+x26+x23+x22+x16+x12+x11+x10+x8+x7+x5+x4+x2+x1+1,
得到的32比特EP的CRC-32比特串,即为明文P经由密钥K加密后的密文,表示为CRC32(P,K)。在UAT总表和子表中,以及在UAT表项内容传输的过程中,P将以其密文CRC32(P,K)的形式存在。由于采用单向的哈希函数,以及除管理员外的其他人员不知道事先定义的加密算法具体内容,因此即使得到密文也无法获取对应明文。需要加密的内容、加密算法和密钥都是在网络初始化或业务设备加入网络时由管理员设置的,并且可以根据管理员的要求进行更改。
步骤104,判断业务设备中是否有UAT子表。如果有则执行步骤105;否则执行步骤120,业务设备请求认证服务器对用户进行认证和用户使用状态判断,并根据返回的认证和使用状态判断结果为用户授权或拒绝用户使用。
本步骤中,用户使用状态是指用户使用该业务设备的历史使用状态信息。例如累计使用时间。本实施例中,首先对用户请求使用有UAT子表业务设备的情况进行说明,因此执行步骤105。
步骤105,判断业务设备的UAT子表是否可用。如果可用则执行步骤106;否则执行步骤140,业务设备请求认证服务器对用户进行认证;认证通过,则从UAT总表中读取该用户对应该业务设备的用户信息和权限信息,发送给业务设备,执行步骤108,及其后续流程。
本步骤中,要判断UAT子表是否可用的原因是,有些业务设备中有UAT子表,但是出于某些原因,业务设备无法获得自身存储的UAT表项内容,比如说业务设备的UAT子表溢出,则业务设备会请求认证服务器协助进行用户认证,再将与用户相关的用户信息和权限信息发送给业务设备,由业务设备根据接收的权限信息进行权限判断。此时,业务设备也可以用接收的用户信息和权限信息更新UAT子表。
步骤106~107,业务设备将用户密码与UAT子表的对应内容进行比较。如果结果相同则执行步骤108;否则执行步骤130,业务设备拒绝用户使用,通知原因,流程结束。
本步骤中,业务设备将步骤103中生成的用户密码密文与UAT子表中申请使用业务设备用户的用户密码密文进行比较,以实现对用户身份的认证。比较结果相同则认证通过,执行步骤108;否则执行步骤130。本实施例中,假设结果相同,通过认证,则执行步骤108。
步骤108,业务设备判断用户使用状态是否为允许。如果允许则执行步骤109;否则执行步骤130,业务设备拒绝用户使用,通知用户原因,流程结束。
本步骤中,用户使用状态的判断是判断合法用户的当前状态是否允许使用业务设备,也就是对用户的权限判断。认证成功和用户使用状态用户允许才能够为用户授权。使用状态是否为允许是由UAT表项中所有有关权限内容的域值决定的,只要有一个域的条件不满足,即表明该用户的用户使用状态为不允许,则即使是合法用户,业务设备也会拒绝其使用请求。
本实施例中,UAT表中存储有关用户权限的内容包括服务标识、访问权限、有效日期、有效时段、持续时间、服务等级和服务质量。在判断用户使用状态是否为允许的时候,要判断用户是否能使用业务设备中用户要求使用的功能,要求执行的操作是否允许,当天是否为使用业务设备的有效日期,当时是否为使用该业务设备的有效时段等。由于权限信息还包括持续时间,对该用户权限的判断采用持续时间与用户使用业务设备的累计时间进行比较。在其它域的条件都满足的情况下,如果累计时间超过持续时间,则认为用户使用状态为允许,否则用户使用状态为不允许。其中,累计时间存储在用户使用状态表中,对于有UAT子表的业务设备该用户使用状态表存储在业务设备中,对于无UAT子表的业务设备该用户使用状态表存储在认证服务器中。
举个例子,在家庭网络中,家长希望控制孩子在一天中的使用电视的累计时间,因此在对应电视这个业务设备的UAT表项当中,针对孩子用户将持续时间设置为2小时,其它域值可设置为不限制。当孩子想要看电视时,输入密码或口令,通过认证后,业务设备从用户使用状态表中读取孩子用户的累计时间,根据孩子用户的累计时间和持续时间判断孩子的使用状态是否为允许。当发现累计时间已经满2小时,超过了持续时间,则判断孩子对电视的使用状态为不允许,执行步骤130,设备拒绝孩子使用,并告知原因,流程结束。
本实施例中假设判断结果为用户使用状态为允许使用,则执行步骤109。
步骤109,业务设备授予用户规定的使用权限,用户在其权限规定范围内使用该业务设备。
步骤110,用户使用结束后,业务设备维护用户使用状态表,结束流程。
本步骤中,当用户使用完业务设备,业务设备清除自身的一些使用标记,同时记录下当前的用户使用状态,更新用户使用状态表中相应的内容。例如当孩子使用电脑游戏后电脑游戏应更新累计时间值。根据UAT子表中的这名孩子用户的持续时间域的规定,如果累计时间超过持续时间,则此名用户今天内再次使用电脑游戏,则电脑游戏将拒绝其使用要求。
当本实施例的步骤104判断出业务设备中没有UAT子表,会执行步骤120,业务设备携带用户名和密码请求认证服务器对用户进行认证和使用状态判断,并根据认证服务器返回的认证和用户使用状态的判断结果为用户授权或拒绝用户使用。此时认证设备为认证服务器。参见图3,步骤120的具体执行过程如下:
步骤1201,业务设备查询认证服务器是否为可用。如果可用,则执行步骤1202,进入认证服务器认证流程;否则执行步骤130,业务设备拒绝用户使用,通知其原因,结束流程。
本步骤中,如果因网络故障,或认证服务器故障等原因,导致业务设备无法与认证服务器进行通信,则认为认证服务器不可用。当认证服务器不可用时执行的步骤130与图2中的步骤130相同。
步骤1202~1203,业务设备将用户名和密码送往认证服务器,请求其给予认证。认证服务器根据用户名读取UAT总表中对应表项,判断该用户输入的密码是否与UAT总表中该用户对应该业务设备的密码一致,并判断用户状态是否允许。
本步骤中,由于业务设备没有存储UAT子表的能力,因此也没有存储用户使用状态表。在使用过程中,用户认证和用户使用状态的判断是通过查认证服务器的UAT总表和用户使用状态表实现的,而用户使用状态表则存储在认证服务器中。认证服务器通过用户认证后,读取用户使用状态表的内容,这里是累计时间,根据累计时间结合该用户权限信息的具体内容判断用户的使用状态是否为允许。
步骤1204,判断用户密码正确且使用状态允许,如果是,则执行步骤1205,否则执行步骤1208和步骤130,认证服务器通知业务设备用户鉴权或授权失败及原因,业务设备拒绝用户使用,通知用户原因,流程结束。
步骤1205,认证服务器将UAT总表中该用户的权限信息发往业务设备,通知业务设备用户通过认证且使用状态允许。
步骤1206,业务设备根据收到的该用户的权限信息,授予用户规定的使用权限,用户使用业务设备。
步骤1207,用户使用结束,业务设备通知认证服务器,认证服务器维护用户使用状态表的相关内容。
本步骤中,用户使用业务设备结束。业务设备清除自身的一些使用标志,并通知认证服务器使用结束,由认证服务器记录当前用户使用状态,维护用户使用状态表。
在实际应用中,业务设备中存储的UAT子表的表项有可能与认证服务器中UAT总表的相应内容不同。这是因为如果某个时候管理员在认证服务器处更新或维护了UAT总表,然后主动下发给各业务设备,这时,如果某个业务设备没有联网,或者处于关机状态,则错过了UAT子表的更新。当用户使用新的密码或口令请求使用该业务设备时,用户不能通过认证,因而不能正常使用该业务设备,这就给用户使用带来了不便。为了改善这种情况,在业务设备采用UAT子表认证用户失败时,允许业务设备向认证服务器提出更新UAT子表请求,认证服务器对该业务设备的UAT子表进行更新。
以下举实施例来说明业务设备用户认证不成功,申请更新UAT子表的情况。参见图4,图4为本发明设备访问控制方法的第二较佳实施例的方法流程图。实现本发明设备访问控制的方法的具体步骤如下:
步骤201~205与第一较佳实施例中步骤101~105相同;步骤220与第一较佳实施例中步骤120相同;步骤240与第一较佳实施例中步骤140相同。
步骤206~207,业务设备将用户名密码与业务设备内UAT子表的对应内容进行比较,结果相同则认证通过,执行步骤208;否则执行步骤211。
本实施例中,业务设备对用户认证不通过,执行步骤211。
步骤211,业务设备查询认证服务器是否为可用。如果是则执行步骤212;否则执行步骤230,业务设备拒绝用户使用,通知用户原因,结束流程。
步骤212~214,业务设备请求认证服务器更新UAT子表,认证服务器向业务设备发送相关的UAT子表更新项,其中含有最新用户信息和权限信息信息。业务设备收到更新表项后查新的UAT子表并再次认证,即将表中该用户密码与步骤203中转换的密码密文相比较。
步骤215,判断比较结果,如果结果相同则认证成功执行步骤208;否则,认证失败,执行步骤230,业务设备拒绝用户使用,通知用户原因,流程结束。
步骤208及其后续流程与第一较佳实施例中的步骤108及其后续流程相同。
为了保证业务设备UAT子表的正确性,业务设备也可以定期、或者开机时主动向认证服务器请求更新UAT子表。业务设备请求更新UAT子表的步骤也可以在步骤208判断用户使用状态为不允许后进行。
本发明还能够简单的实现对用户鉴权信息的管理。管理员只要对认证服务器中的UAT总表存储的用户信息和权限信息进行增加、删除、修改和分发等操作,就可以实现对设备访问控制的管理,操作简单,方便用户使用。管理操作由管理员或者被授予权限的用户进行。例如在家庭网络中可以由家长进行管理。为了便于UAT表的管理,在认证服务器中,针对UAT操作可以设置一些命令,如表3所示。用户在管理的时候只要使用即可。
| 命令名 | 命令解释 |
| ADDU | Add a UAT Item:增加1个UAT表项,即增加用户; |
| DELU | Delete a UAT Item:删除1个UAT表项,即删除用户; |
| EXTU | Extend a UAT Item:扩展1个UAT表项,如增加业务设备或服务; |
| MODU | Modify a UAT Item:修改1个UAT表项,如延期,改变持续时间,修改业务设备或服务,服务质量,服务等级等; |
| UPDU | Update a UAT Item:更新子表,即向某业务设备下发该业务设备UAT表项,只涉及在线的和与本表项相关的业务设备; |
| FSHU | Flush all UAT Items:更新所有表项,即向所有业务设备下发UAT总表所有表项,涉及所有在线的和相关的业务设备;在密钥或加密方法修改后,可以用本命令更新所有业务设备的UAT子表; |
| CHGK | Change UAT Key:修改加密UAT的用户密码或口令的密钥,或哈希等算法中附加的密钥,UAT总表的所有用户密码的密文将被重新生成并被改写。一般情况下,此时还需要FSHU命令更新所有相关业务设备的UAT子表。在具体的网络环境中,对执行这一命令的用户,要求具有极高的权限或极严的限制,如只限本地接入的用户才能执行。 |
表3
这些命令在用户界面上,可以用网页WEB的形式表现出来,以便于操作。如再加上设备和服务自动发现的功能,只要会上网的用户就会管理UAT表了。其中,用户界面预先建立和存储在认证服务器中。
为了实现本发明的设备访问控制方法,本发明提供了设备访问控制系统。图5为本发明设备访问控制系统的实施例。
如图5所示,该设备访问控制系统包括局域网50、认证服务器51、有UAT子表业务设备52和无UAT子表业务设备53。在局域网50与外网相连的情况下,图5所示的设备访问控制系统还包括网关54,图5中以虚线表示。在实际应用中,设备访问控制系统所连接的业务设备可以只包括有UAT子表业务设备52,而没有无UAT子表业务设备53。当然,设备访问控制系统所连接的业务设备也可以只包括无UAT子表业务设备53。
连接在局域网50上的各联网设备通过局域网50进行信息的交互。该局域网可以是家庭网络,或者小型办公网络。
认证服务器51,用于实现用户权限总表的建立、加密、分发和管理功能,并负责协助业务设备为用户鉴权授权。认证服务器51中设置有UAT总表,该UAT总表存储有各个业务设备的鉴权信息,并通过局域网50分发给系统中各个有UAT子表业务设备52。协助业务设备为用户鉴权时,接收无UAT子表业务设备53发送来的用户输入的用户名和密码,并根据该用户名和密码和UAT总表中请求鉴权的业务设备的用户名、密码和权限信息为用户鉴权;鉴权成功则向无UAT子表业务设备53返回相关权限信息。在实际应用中,有UAT子表设备52在UAT子表不能正常读取的时候也可以申请认证服务器51协助其进行鉴权。
该认证服务器51还可以设置在网关54内,对于认证服务器设置于网关的情况,网关不仅具有分隔局域网与外网的功能,还负责UAT表的分发和协助业务设备为用户鉴权授权,与认证服务器的功能相同。此外,认证服务器51还可以设置在其它联网的功能设备中,例如计算机,或者机顶盒,或者媒体服务器。
有UAT子表业务设备52,存储有UAT子表;在用户发起业务请求时,有UAT子表业务设备52接收用户输入的用户名和密码,对密码进行加密后,根据该密码密文和UAT子表中该用户的密码密文为用户进行认证,并根据UAT子表中该用户的权限信息为用户进行权限判断,并在权限判断通过后授予用户规定的权限。
无UAT子表业务设备53,用于接收用户输入的用户名和密码,对密码进行加密后,将用户名和密码密文发送给认证服务器51,并接收认证服务器51返回的认证和权限判断结果。认证成功且权限判断通过,则根据同时接收的该业务设备的权限信息为用户授权。
认证服务器51可以采用本发明的实现设备访问控制的认证服务器。图6为本发明实施例实现设备访问控制的认证服务器的结构框图。该认证服务器包括网络接口单元601、本地接口单元602、认证单元611、管理单元612、加密单元613、UAT总表存储单元621、和状态表存储单元622。
其中,UAT总表存储单元621,用于存储UAT总表。UAT总表的存储格式如表1或者表2所示。
状态表存储单元622,用于存储各业务设备用户使用状态表;该各业务设备用户使用状态表存储各业务设备的所有用户使用该业务设备的历史状态信息,用于与所述UAT总表中的鉴权信息结合,为用户鉴权授权。本实施例中,用户使用状态表存储的用户使用状态是用户使用业务设备的累计时间。该用户使用状态表可以包括用户名域、设备标识域和累计时间域;对于使用口令的业务设备来说,用户名域可以存储口令;用户使用状态表可以根据需要扩充。如果不需要存储用户使用状态,认证服务器中也可以不设置状态表存储单元622。
网络接口单元601,用于认证服务器与业务设备实现信息交互。网络接口单元601向业务设备发送UAT总表中相关该业务设备的鉴权信息。在业务设备请求认证服务器鉴权授权时,将该业务设备转发的用户输入的用户名和密码发送给认证单元611,并向该业务设备返回鉴权授权结果。同时,该单元还负责进行报文处理。
本地接口单元602,与UAT总表存储单元621相连,用于通过非网络方式与用户进行信息交互。本地接口单元602可以将用户终端通过串口或者串行总线(USB)接口等本地连接方式接入认证服务器。用户可以通过对用户终端的操作,通过本地接口单元602向UAT总表输入鉴权信息,或者向管理单元612输入管理信息,实现对UAT总表的管理。当然,通过网络接口单元601传送来的信息也可以作为UAT总表的管理信息,只需将网络接口单元601与管理单元612相连。但是为了安全起见,推荐规定只有从本地接入的管理员才被允许建立、修改、维护UAT总表。
认证单元611,用于在业务设备无法使用UAT子表为用户鉴权时,通过网络接口单元601接收业务设备转发的用户输入的用户名和密码,并从UAT总表存储单元621读取该用户的用户名和密码,通过比较两个密码为用户认证,认证通过,从UAT总表存储单元621读取该用户权限信息,并结合从状态表存储单元622读取的该用户的用户使用状态,为用户进行权限判断;认证通过和权限判断成功,则将该用户权限信息通过网络接口单元601返回给业务设备。此处,无法使用UAT子表为用户鉴权的业务设备为无UAT子表的业务设备53。对于有UAT子表的业务设备52,认证单元611只要进行用户认证,认证通过,将用户名和密码以及权限信息返回给业务设备,由业务设备进行权限判断。并选择是否根据收到的用户名和密码以及权限信息更新UAT子表内容。
管理单元612,用于根据用户通过本地接口单元602发来的管理信息,管理UAT总表中各业务设备的鉴权信息。对鉴权信息的管理包括对鉴权信息的增加、删除、修改或分发给各业务设备。该管理单元中预先设置了一些UAT操作命令,这些命令定义和功能如表3所示。用户只要通过用户终端输入这些命令即可实现相应的管理操作。
加密单元613,用于加密UAT总表中用户的密码。本实施例中,在管理员创建和维护UAT总表时,对输入的密码进行加密。
有UAT子表业务设备52采用本发明提供的实现设备访问控制的业务设备。图7为本发明实现设备访问控制的业务设备的组成结构框图。这类业务设备本身具有鉴权功能。如图7所示,该业务设备网络接口单元701、本地接口单元702、设备功能单元703、认证单元711、加密单元713、UAT子表存储单元721和状态表存储单元722。
其中,UAT子表存储单元721,与认证单元711相连,用于存储UAT子表。在设备初始化或者认证服务器分发UAT表项时,接收认证服务器51通过网络接口单元721发来的用户名、密码和权限信息,并将本业务设备相关内容存储在UAT子表中。
状态表存储单元722,用于存储本业务设备用户使用状态表;该用户使用状态表存储各用户使用该业务设备的历史状态信息,用于与所述用户权限子表中的鉴权信息结合,为用户鉴权授权。如果不需要存储用户使用状态,有UAT子表业务设备中也可以不设置状态表存储单元722。本实施例中,状态表存储单元722存储的用户使用状态表包括用户名以及用户使用业务设备的累计时间。需要说明的是,对于无UAT子表的设备53,其用户使用状态表存储在认证服务器51中。
网络接口单元701,与认证单元711和UAT子表存储单元721相连,用于将本业务设备接入局域网50。接收网上信息,并为该信息所承载的业务流进行识别,然后给相应的报文打上COS标志和QOS标志。其中,网上信息包括业务流信息、认证服务器51通过局域网分发给业务设备的鉴权信息等。如果有UAT子表业务设备不以网络方式与认证服务器进行信息交互,则采用其它形式的接口单元。
本地接口单元702,与认证单元711相连,用于通过非网络方式与用户进行信息交互。本地接口单元702可以采用遥控接口、串口、USB接口等本地接口连接如遥控器、键盘等本地用户终端,该用户终端作为用户名和密码的输入装置。当用户需要使用本业务设备时,可以通过遥控器、键盘输入用户名和密码。当然,如果业务设备本身具有输入装置,则可以通过该输入装置进行用户名和密码的输入。业务设备本身的输入装置是包含在设备功能单元703中的,例如电话的键盘、微波炉的操作面板。
加密单元713,用于为认证单元711接收的用户输入的密码进行加密。
认证单元711,用于接收用户输入的用户名和密码。加密单元713对该密码进行加密。然后认证单元713从UAT子表存储单元721中读取该用户的用户名、密码和权限信息。判断用户输入的密码密文与UAT子表存储单元721中存储的密码密文是否相同,以实现对用户的认证。认证通过,认证单元711还需要从状态表存储单元722中读取该用户的用户使用状态,根据用户使用状态和权限信息判断合法用户的当前状态是否允许使用该业务设备。如果允许,则根据权限信息为该用户授权,并将该授权结果发送给设备功能单元703。
设备功能单元703在认证单元711为用户授权后,为用户提供其权限范围内的服务。
图5中连接在局域网中的业务设备还有无UAT子表的业务设备53,此类业务设备本身不具备鉴权功能。图8为无UAT子表业务设备的组成结构框图。由图8中可以看出,无UAT子表业务设备与图7所示的有UAT子表业务设备结构相似,不同之处在于,无UAT子表业务设备中不包括存储UAT子表和用户使用状态表的单元,且认证单元811不能用于认证,只能用于授权。当用户请求使用无UAT子表业务设备53时,认证单元811接收用户输入的用户名和密码信息,该密码信息经加密单元813加密后,转发用户名和密码密文给认证服务器。认证服务器51认证成功且权限判断通过,则认证单元811根据认证服务器51返回的权限信息为用户授权。
由以上技术方案可以看出,本发明所提供的设备访问控制方法和系统以及实现业务访问控制的认证服务器和业务设备简单有效的解决了访问设备时对用户的鉴权、授权问题,不仅保证了网络安全,而且降低了设备访问控制实现的复杂程度。当在业务设备对用户鉴权失败时,允许业务设备请求认证服务器向业务设备发送鉴权信息,并再次对用户进行鉴权。保证业务设备中鉴权信息的正确性。
其次,本发明实施例还将关键信息采用统一的函数转换方法对关键信息进行加密。关键信息在存储、管理、分发和传输过程中都以密文形式存在,即使用户权限表泄漏,关键数据也不会被破解,系统安全不会因此受到威胁。且加密算法简单,并可以由管理员更新,因此进一步增加了系统的安全性。
此外,管理员只要对认证服务器用户权限总表的内容进行增加、删除、修改或分发操作,就能实现对设备访问控制系统的管理,方法简单,普通用户即可完成。
综上所述,以上仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (27)
1.一种设备访问控制方法,其特征在于,该方法包括以下步骤:
用户向认证设备发起业务请求;
所述认证设备根据所述业务请求和预置的用户权限表中的鉴权信息为所述用户鉴权授权;
业务设备根据该鉴权授权结果为所述用户提供服务。
2.根据权利要求1所述的方法,其特征在于,所述认证设备为向用户提供服务的业务设备,该业务设备中预置用户权限子表;该方法具体包括:
用户向业务设备发起业务请求;
所述业务设备根据所述业务请求和所述用户权限子表中的鉴权信息,在本地为用户鉴权授权;
所述业务设备根据该鉴权授权结果为所述用户提供服务。
3.根据权利要求1所述的方法,其特征在于,所述认证设备为认证服务器,该认证服务器中预置用户权限总表;该方法具体包括:
用户向业务设备发起业务请求;
当所述业务设备不能为用户鉴权时,该业务设备向认证服务器转发所述用户的所述业务请求;
所述认证服务器根据接收到的所述业务请求和所述用户权限总表中所述业务设备的鉴权信息为用户鉴权授权;并将该鉴权授权结果返回给该业务设备;
所述业务设备根据所述鉴权授权结果为所述用户提供服务。
4.根据权利要求1、2或3所述的方法,其特征在于,所述为用户鉴权包括:判断用户是否为合法用户,并判断合法用户的当前状态是否允许使用业务设备。
5.根据权利要求2所述的方法,其特征在于,该方法进一步包括:
在认证服务器中预置用户权限总表,该用户权限总表中存储各业务设备的鉴权信息;
所述认证服务器根据所述用户权限总表,向各业务设备分发相关的鉴权信息,由各业务设备存储在本地所述用户权限子表中。
6.根据权利要求3或5所述的方法,其特征在于,所述业务设备与所述认证服务器通过家庭网络或小型办公网络进行通信。
7.根据权利要求5所述的方法,其特征在于,当所述业务设备为用户鉴权失败时,还包括以下步骤:
所述业务设备向认证服务器请求最新鉴权信息;
所述认证服务器根据所述用户权限总表,向所述业务设备发送相关的最新鉴权信息;
所述业务设备接收到所述最新鉴权信息后,更新本地所述用户权限子表,并根据本地更新后的用户权限子表中的鉴权信息为所述用户鉴权授权。
8.根据权利要求5所述的方法,其特征在于,
业务设备从认证服务器接收并存储在用户权限子表的鉴权信息包括加密的密码或加密的口令;
所述用户向业务设备发起业务请求后进一步包括:所述业务设备将业务请求中的密码或口令加密;
所述业务设备根据业务请求和所述用户权限子表中的鉴权信息在本地为用户鉴权授权为:业务设备根据业务请求中的加密密码和用户权限子表中的加密密码为用户鉴权授权,或者业务设备根据业务请求中的加密口令和用户权限子表中的加密口令为用户鉴权授权。
9.根据权利要求3所述的方法,其特征在于,该方法进一步包括:
在认证服务器中预置用户权限总表,该用户权限总表中存储各业务设备的鉴权信息。
10.根据权利要求9所述的方法,其特征在于,所述用户权限总表中各业务设备的鉴权信息包括密码或口令,该方法进一步包括:
认证服务器将所述用户权限总表中各业务设备的密码或口令加密;
所述业务设备向认证服务器转发的业务请求包括加密密码或加密口令;
所述认证服务器根据接收到的所述业务请求和所述用户权限总表中所述业务设备的鉴权信息为用户鉴权授权为:所述认证服务器根据接收到的业务请求中的加密密码和所述用户权限总表中所述业务设备的加密密码为用户鉴权授权,或所述认证服务器根据接收到的业务请求中的加密口令和所述用户权限总表中所述业务设备的加密口令为用户鉴权授权。
11.根据权利要求8或10所述的方法,其特征在于,所述加密方法为函数转换法;该函数转换法为哈希函数法、或者消息摘译法、或者密钥法、或者设置一个共享密钥并附在要加密的内容后一起参加哈希函数运算或者消息摘译运算。
12.根据权利要求5或9所述的方法,其特征在于,该方法进一步包括:通过所述认证服务器对所述用户权限总表中各业务设备鉴权信息进行管理。
13.根据权利要求4所述的方法,其特征在于,所述鉴权信息包括鉴权信息的用户信息;所述业务请求包括业务请求的用户信息;
所述判断用户是否为合法用户为:比较所述鉴权信息的用户信息与所述业务请求的用户信息是否相同,结果相同则用户为合法用户;否则用户为非法用户。
14.根据权利要求13所述的方法,其特征在于,所述鉴权信息进一步包括权限信息;
所述权限信息包括有效日期,或者有效时段,或者持续时间,或者以上任意组合;所述判断合法用户的当前状态是否允许使用业务设备为:根据所述有效日期,或者根据所述有效时段,或者根据所述持续时间,或者根据所述任意组合判断合法用户的当前状态是否允许使用业务设备;
所述权限信息还包括服务等级和服务质量;所述服务等级用于确定用户享受业务设备提供服务的优先级;所述服务质量用于确定用户享受业务设备提供服务的服务质量。
15.一种实现设备访问控制的业务设备,其特征在于,该业务设备包括业务设备UAT子表存储单元和业务设备认证单元;
所述业务设备UAT子表存储单元,用于存储用户权限子表,该用户权限子表存储本业务设备的鉴权信息;
所述业务设备认证单元,用于根据用户向该业务设备发起的业务请求和所述用户权限子表中的鉴权信息为用户鉴权授权。
16.根据权利要求15所述的业务设备,其特征在于,该业务设备进一步包括业务设备本地接口单元,用于通过非网络方式接收用户的业务请求,并发送给所述业务设备认证单元。
17.根据权利要求15所述的业务设备,其特征在于,该业务设备进一步包括业务设备网络接口单元,用于与认证服务器进行信息交互,将认证服务器分发的鉴权信息发送给所述业务设备存储单元;并在业务设备请求认证服务器鉴权授权时,将所述认证服务器返回的鉴权授权结果发送给所述业务设备认证单元。
18.根据权利要求15所述的业务设备,其特征在于,该业务设备进一步包括业务设备加密单元,用于加密业务设备认证单元接收所述业务请求中的密码或口令。
19.根据权利要求15所述的业务设备,其特征在于,该业务设备进一步包括业务设备状态表存储单元,与所述业务设备认证单元相连,用于存储本业务设备用户使用状态表;该用户使用状态表存储各用户使用该业务设备的历史状态信息,用于与所述用户权限子表中的鉴权信息结合,为用户鉴权授权。
20.一种实现设备访问控制的认证服务器,其特征在于,该认证服务器包括认证服务器UAT总表存储单元和认证服务器认证单元;
所述认证服务器UAT总表存储单元,用于存储用户权限总表,该用户权限总表存储各业务设备的鉴权信息;
所述认证服务器认证单元,用于在用户向业务设备发起业务请求时,根据该业务设备转发的所述业务请求和所述用户权限总表中该业务设备的鉴权信息为用户鉴权授权;并将所述鉴权授权结果返回给业务设备。
21.根据权利要求20所述的认证服务器,其特征在于,该认证服务器进一步包括认证服务器本地接口单元,用于通过非网络方式接收用户输入的鉴权信息,并发送给所述认证服务器存储单元。
22.根据权利要求21所述的认证服务器,其特征在于,该认证服务器进一步包括用户权限总表管理单元,用于根据所述认证服务器本地接口单元发来的管理信息,管理所述用户权限总表中各业务设备的鉴权信息。
23.根据权利要求20所述的认证服务器,其特征在于,该认证服务器进一步包括用户权限总表加密单元,与所述认证服务器存储单元相连,用于加密所述用户权限总表存储的鉴权信息中的密码或口令。
24.根据权利要求20所述的认证服务器,其特征在于,该认证服务器进一步包括认证服务器状态表存储单元,与所述认证服务器认证单元相连,用于存储各业务设备用户使用状态表;该各业务设备用户使用状态表存储各业务设备的所有用户使用该业务设备的历史状态信息,用于与所述用户权限总表中的鉴权信息结合,为用户鉴权授权。
25.一种设备访问控制系统,其特征在于,该系统包括:
业务设备,用于根据用户发起的业务请求和预置的用户权限子表中的鉴权信息为用户鉴权授权;并根据该鉴权授权结果为所述用户提供服务;
认证服务器,用于将预置的用户权限总表中的各业务设备鉴权信息分发给各业务设备;并在业务设备无法为用户鉴权时,根据业务设备转发的业务请求和所述用户权限总表中请求鉴权的业务设备的鉴权信息为用户鉴权授权。
26.根据权利要求25所述的系统,其特征在于,所述业务设备与所述认证服务器通过家庭网络或小型办公网络进行通信。
27.根据权利要求25所述的系统,其特征在于,所述认证服务器内置于网关或计算机或机顶盒或媒体服务器中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006101507235A CN101170409B (zh) | 2006-10-24 | 2006-10-24 | 实现设备访问控制的方法、系统、业务设备和认证服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006101507235A CN101170409B (zh) | 2006-10-24 | 2006-10-24 | 实现设备访问控制的方法、系统、业务设备和认证服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101170409A true CN101170409A (zh) | 2008-04-30 |
| CN101170409B CN101170409B (zh) | 2010-11-03 |
Family
ID=39390890
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006101507235A Active CN101170409B (zh) | 2006-10-24 | 2006-10-24 | 实现设备访问控制的方法、系统、业务设备和认证服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101170409B (zh) |
Cited By (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010006555A1 (en) * | 2008-07-17 | 2010-01-21 | Huawei Technologies Co., Ltd. | System and method for creating multiple mobility profiles per subscriber in wireless communications systems |
| CN101827110A (zh) * | 2010-05-13 | 2010-09-08 | 中国工商银行股份有限公司 | 一种企业局域网中的应用服务器访问系统 |
| CN101296086B (zh) * | 2008-06-18 | 2010-12-08 | 成都市华为赛门铁克科技有限公司 | 接入认证的方法、系统和设备 |
| CN101951368A (zh) * | 2010-09-10 | 2011-01-19 | 深圳市同洲电子股份有限公司 | 基于子网络的服务权限控制方法、终端及系统 |
| CN101951403A (zh) * | 2010-09-16 | 2011-01-19 | 中兴通讯股份有限公司 | 一种信息终端中基于分级的集中式认证与授权方法 |
| CN102025747A (zh) * | 2010-12-29 | 2011-04-20 | 中兴通讯股份有限公司 | 家庭信息机及其认证方法 |
| CN102065439A (zh) * | 2011-01-13 | 2011-05-18 | 中兴通讯股份有限公司 | 干扰协调方法及装置 |
| CN102307097A (zh) * | 2011-09-02 | 2012-01-04 | 深圳中兴网信科技有限公司 | 一种用户身份认证方法及系统 |
| WO2012116519A1 (zh) * | 2011-03-01 | 2012-09-07 | 中兴通讯股份有限公司 | 一种网络设备差异化授权的方法及系统 |
| CN102804733A (zh) * | 2010-02-10 | 2012-11-28 | 特维欧互动有限公司 | 混合终端机的用户验证方法及实现该方法的装置 |
| CN103067463A (zh) * | 2012-12-19 | 2013-04-24 | 新浪网技术(中国)有限公司 | 用户root权限集中管理系统和管理方法 |
| CN103426049A (zh) * | 2012-05-25 | 2013-12-04 | 张健 | 一种基于web的化合物管理方法及系统 |
| CN103491072A (zh) * | 2013-09-06 | 2014-01-01 | 北京信息控制研究所 | 一种基于双单向隔离网闸的边界访问控制方法 |
| CN103747017A (zh) * | 2014-01-28 | 2014-04-23 | 北京智谷睿拓技术服务有限公司 | 服务信息交互方法及设备 |
| CN103765843A (zh) * | 2011-06-16 | 2014-04-30 | 特维欧互动有限公司 | 混合终端机的用户验证方法及实现该方法的装置 |
| CN101729541B (zh) * | 2009-11-26 | 2014-08-13 | 广东宇天科技有限公司 | 多业务平台的资源访问方法及系统 |
| CN104272287A (zh) * | 2012-07-31 | 2015-01-07 | 惠普发展公司,有限责任合伙企业 | 管理应用和网络之间的接口 |
| CN104660405A (zh) * | 2013-11-21 | 2015-05-27 | 中国移动通信集团公司 | 一种业务设备认证方法及设备 |
| CN104811414A (zh) * | 2014-01-23 | 2015-07-29 | 中国电信股份有限公司 | 物联网节点接入认证方法和系统以及物联网主节点 |
| CN105743931A (zh) * | 2016-05-11 | 2016-07-06 | 百度在线网络技术(北京)有限公司 | 应用于智能家居平台的控制方法和装置 |
| CN105933190A (zh) * | 2016-05-11 | 2016-09-07 | 百度在线网络技术(北京)有限公司 | 应用于智能家居平台的通信方法和装置 |
| CN105959292A (zh) * | 2016-06-17 | 2016-09-21 | 中国联合网络通信集团有限公司 | 设备使用权限的识别方法、管理服务器及系统 |
| CN106162625A (zh) * | 2015-04-16 | 2016-11-23 | 中兴通讯股份有限公司 | 加密方法、解密方法及其装置 |
| CN106714167A (zh) * | 2016-12-30 | 2017-05-24 | 北京华为数字技术有限公司 | 一种认证方法及网络接入服务器 |
| CN106953871A (zh) * | 2017-03-31 | 2017-07-14 | 中国移动通信集团江苏有限公司 | 网关认证方法、装置、网关设备和服务器 |
| CN107103216A (zh) * | 2011-03-25 | 2017-08-29 | 株式会社野村综合研究所 | 业务信息防护装置 |
| CN107659542A (zh) * | 2016-07-26 | 2018-02-02 | 阿里巴巴集团控股有限公司 | 一种鉴权方法及服务器 |
| CN107666505A (zh) * | 2016-07-29 | 2018-02-06 | 京东方科技集团股份有限公司 | 对资源接入进行控制的方法和装置 |
| CN108335373A (zh) * | 2018-01-02 | 2018-07-27 | 浪潮通用软件有限公司 | 一种签到方法和装置 |
| CN109561431A (zh) * | 2019-01-17 | 2019-04-02 | 西安电子科技大学 | 基于多口令身份鉴别的wlan接入访问控制系统及方法 |
| CN110753023A (zh) * | 2018-07-24 | 2020-02-04 | 阿里巴巴集团控股有限公司 | 一种设备认证方法、设备访问方法和装置 |
| WO2020248284A1 (zh) * | 2019-06-14 | 2020-12-17 | Oppo广东移动通信有限公司 | 一种访问控制方法、装置及存储介质 |
| CN113449271A (zh) * | 2020-12-24 | 2021-09-28 | 深圳市天彦通信股份有限公司 | 用户设备功能解禁方法、装置、电子设备和存储介质 |
| CN113839949A (zh) * | 2021-09-26 | 2021-12-24 | 锐捷网络股份有限公司 | 一种访问权限管控系统、方法、芯片及电子设备 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102346716B (zh) * | 2011-09-20 | 2015-03-18 | 记忆科技(深圳)有限公司 | 硬盘存储设备的加密方法和解密方法及其加解密系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1315268C (zh) * | 2003-11-07 | 2007-05-09 | 华为技术有限公司 | 一种验证用户合法性的方法 |
| CN1635738A (zh) * | 2003-12-26 | 2005-07-06 | 鸿富锦精密工业(深圳)有限公司 | 通用认证授权服务系统及方法 |
-
2006
- 2006-10-24 CN CN2006101507235A patent/CN101170409B/zh active Active
Cited By (46)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101296086B (zh) * | 2008-06-18 | 2010-12-08 | 成都市华为赛门铁克科技有限公司 | 接入认证的方法、系统和设备 |
| WO2010006555A1 (en) * | 2008-07-17 | 2010-01-21 | Huawei Technologies Co., Ltd. | System and method for creating multiple mobility profiles per subscriber in wireless communications systems |
| CN101729541B (zh) * | 2009-11-26 | 2014-08-13 | 广东宇天科技有限公司 | 多业务平台的资源访问方法及系统 |
| CN102804733A (zh) * | 2010-02-10 | 2012-11-28 | 特维欧互动有限公司 | 混合终端机的用户验证方法及实现该方法的装置 |
| CN101827110B (zh) * | 2010-05-13 | 2012-09-26 | 中国工商银行股份有限公司 | 一种企业局域网中的应用服务器访问系统 |
| CN101827110A (zh) * | 2010-05-13 | 2010-09-08 | 中国工商银行股份有限公司 | 一种企业局域网中的应用服务器访问系统 |
| CN101951368A (zh) * | 2010-09-10 | 2011-01-19 | 深圳市同洲电子股份有限公司 | 基于子网络的服务权限控制方法、终端及系统 |
| CN101951403A (zh) * | 2010-09-16 | 2011-01-19 | 中兴通讯股份有限公司 | 一种信息终端中基于分级的集中式认证与授权方法 |
| CN102025747A (zh) * | 2010-12-29 | 2011-04-20 | 中兴通讯股份有限公司 | 家庭信息机及其认证方法 |
| CN102065439A (zh) * | 2011-01-13 | 2011-05-18 | 中兴通讯股份有限公司 | 干扰协调方法及装置 |
| WO2012116519A1 (zh) * | 2011-03-01 | 2012-09-07 | 中兴通讯股份有限公司 | 一种网络设备差异化授权的方法及系统 |
| CN107103216A (zh) * | 2011-03-25 | 2017-08-29 | 株式会社野村综合研究所 | 业务信息防护装置 |
| CN107103216B (zh) * | 2011-03-25 | 2020-08-25 | 株式会社野村综合研究所 | 业务信息防护装置 |
| CN103765843A (zh) * | 2011-06-16 | 2014-04-30 | 特维欧互动有限公司 | 混合终端机的用户验证方法及实现该方法的装置 |
| CN102307097A (zh) * | 2011-09-02 | 2012-01-04 | 深圳中兴网信科技有限公司 | 一种用户身份认证方法及系统 |
| CN103426049A (zh) * | 2012-05-25 | 2013-12-04 | 张健 | 一种基于web的化合物管理方法及系统 |
| CN104272287A (zh) * | 2012-07-31 | 2015-01-07 | 惠普发展公司,有限责任合伙企业 | 管理应用和网络之间的接口 |
| CN103067463B (zh) * | 2012-12-19 | 2016-05-11 | 新浪网技术(中国)有限公司 | 用户root权限集中管理系统和管理方法 |
| CN103067463A (zh) * | 2012-12-19 | 2013-04-24 | 新浪网技术(中国)有限公司 | 用户root权限集中管理系统和管理方法 |
| CN103491072A (zh) * | 2013-09-06 | 2014-01-01 | 北京信息控制研究所 | 一种基于双单向隔离网闸的边界访问控制方法 |
| CN103491072B (zh) * | 2013-09-06 | 2017-03-15 | 中国航天系统科学与工程研究院 | 一种基于双单向隔离网闸的边界访问控制方法 |
| CN104660405A (zh) * | 2013-11-21 | 2015-05-27 | 中国移动通信集团公司 | 一种业务设备认证方法及设备 |
| CN104660405B (zh) * | 2013-11-21 | 2018-06-12 | 中国移动通信集团公司 | 一种业务设备认证方法及设备 |
| CN104811414A (zh) * | 2014-01-23 | 2015-07-29 | 中国电信股份有限公司 | 物联网节点接入认证方法和系统以及物联网主节点 |
| CN103747017A (zh) * | 2014-01-28 | 2014-04-23 | 北京智谷睿拓技术服务有限公司 | 服务信息交互方法及设备 |
| CN103747017B (zh) * | 2014-01-28 | 2016-12-21 | 北京智谷睿拓技术服务有限公司 | 服务信息交互方法及设备 |
| CN106162625A (zh) * | 2015-04-16 | 2016-11-23 | 中兴通讯股份有限公司 | 加密方法、解密方法及其装置 |
| CN105933190A (zh) * | 2016-05-11 | 2016-09-07 | 百度在线网络技术(北京)有限公司 | 应用于智能家居平台的通信方法和装置 |
| CN105933190B (zh) * | 2016-05-11 | 2019-10-15 | 百度在线网络技术(北京)有限公司 | 应用于智能家居平台的通信方法和装置 |
| CN105743931A (zh) * | 2016-05-11 | 2016-07-06 | 百度在线网络技术(北京)有限公司 | 应用于智能家居平台的控制方法和装置 |
| CN105743931B (zh) * | 2016-05-11 | 2019-10-29 | 百度在线网络技术(北京)有限公司 | 应用于智能家居平台的控制方法和装置 |
| CN105959292A (zh) * | 2016-06-17 | 2016-09-21 | 中国联合网络通信集团有限公司 | 设备使用权限的识别方法、管理服务器及系统 |
| CN107659542A (zh) * | 2016-07-26 | 2018-02-02 | 阿里巴巴集团控股有限公司 | 一种鉴权方法及服务器 |
| CN107666505B (zh) * | 2016-07-29 | 2020-09-15 | 京东方科技集团股份有限公司 | 对资源接入进行控制的方法和装置 |
| CN107666505A (zh) * | 2016-07-29 | 2018-02-06 | 京东方科技集团股份有限公司 | 对资源接入进行控制的方法和装置 |
| CN106714167A (zh) * | 2016-12-30 | 2017-05-24 | 北京华为数字技术有限公司 | 一种认证方法及网络接入服务器 |
| CN106953871B (zh) * | 2017-03-31 | 2020-05-15 | 中国移动通信集团江苏有限公司 | 网关认证方法、装置、网关设备和服务器 |
| CN106953871A (zh) * | 2017-03-31 | 2017-07-14 | 中国移动通信集团江苏有限公司 | 网关认证方法、装置、网关设备和服务器 |
| CN108335373A (zh) * | 2018-01-02 | 2018-07-27 | 浪潮通用软件有限公司 | 一种签到方法和装置 |
| CN110753023A (zh) * | 2018-07-24 | 2020-02-04 | 阿里巴巴集团控股有限公司 | 一种设备认证方法、设备访问方法和装置 |
| CN110753023B (zh) * | 2018-07-24 | 2022-02-25 | 阿里巴巴集团控股有限公司 | 一种设备认证方法、设备访问方法和装置 |
| CN109561431A (zh) * | 2019-01-17 | 2019-04-02 | 西安电子科技大学 | 基于多口令身份鉴别的wlan接入访问控制系统及方法 |
| WO2020248284A1 (zh) * | 2019-06-14 | 2020-12-17 | Oppo广东移动通信有限公司 | 一种访问控制方法、装置及存储介质 |
| CN113449271A (zh) * | 2020-12-24 | 2021-09-28 | 深圳市天彦通信股份有限公司 | 用户设备功能解禁方法、装置、电子设备和存储介质 |
| CN113839949A (zh) * | 2021-09-26 | 2021-12-24 | 锐捷网络股份有限公司 | 一种访问权限管控系统、方法、芯片及电子设备 |
| CN113839949B (zh) * | 2021-09-26 | 2023-10-24 | 锐捷网络股份有限公司 | 一种访问权限管控系统、方法、芯片及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101170409B (zh) | 2010-11-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101170409B (zh) | 实现设备访问控制的方法、系统、业务设备和认证服务器 | |
| US20220158985A1 (en) | Reoccuring Keying System | |
| JP3776619B2 (ja) | 暗号通信端末、暗号通信センター装置、暗号通信システム及び記憶媒体 | |
| CN101414907B (zh) | 一种基于用户身份授权访问网络的方法和系统 | |
| CN103701792B (zh) | 可信授权方法、系统、可信安全管理中心和服务器 | |
| KR100820671B1 (ko) | 네트워크상에서의 디바이스에 대한 액세스 권한 설정과디바이스간의 인증을 위한 방법 및 장치 | |
| US20100017599A1 (en) | Secure digital content management using mutating identifiers | |
| CN102265684B (zh) | 多模式设备注册 | |
| CN102868665A (zh) | 数据传输的方法及装置 | |
| CN101986598B (zh) | 认证方法、服务器及系统 | |
| CN101605137A (zh) | 安全分布式文件系统 | |
| WO2009074082A1 (fr) | Procédé, système et dispositif de contrôle d'accès | |
| CN104123506A (zh) | 数据访问方法、装置、数据加密、存储及访问方法、装置 | |
| CN107204983A (zh) | 一种基于sip协议的风电场scada系统安全数据传输技术 | |
| CN103152326A (zh) | 一种分布式认证方法及认证系统 | |
| CN102271120A (zh) | 一种增强安全性的可信网络接入认证方法 | |
| CN102571328A (zh) | 用户终端的服务调用方法、系统和用户终端 | |
| CN101094063B (zh) | 一种游牧终端接入软交换网络系统的安全交互方法 | |
| CN112565189A (zh) | 一种基于云计算数据安全的访问控制系统 | |
| CN104540136B (zh) | 一种登录无线局域网的方法和系统 | |
| KR102053993B1 (ko) | 인증서를 이용한 사용자 인증 방법 | |
| JPH11203248A (ja) | 認証装置、および、そのプログラムを記録した記録媒体 | |
| CN100589384C (zh) | 一种用户终端接入软交换系统的安全交互方法 | |
| CN100440190C (zh) | 代理模式安全远程接入方法 | |
| CN114221822A (zh) | 配网方法、网关设备以及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: TENGXUN SCI-TECH (SHENZHEN) CO., LTD. Free format text: FORMER OWNER: HUAWEI TECHNOLOGY CO., LTD. Effective date: 20150518 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 518129 SHENZHEN, GUANGDONG PROVINCE TO: 518057 SHENZHEN, GUANGDONG PROVINCE |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20150518 Address after: 518057 Tencent Building, Nanshan District hi tech park, Shenzhen, Guangdong Patentee after: Tencent Technology (Shenzhen) Co., Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: Huawei Technologies Co., Ltd. |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20160115 Address after: The South Road in Guangdong province Shenzhen city Fiyta building 518057 floor 5-10 Nanshan District high tech Zone Patentee after: Shenzhen Tencent Computer System Co., Ltd. Address before: 518057 Tencent Building, Nanshan District hi tech park, Shenzhen, Guangdong Patentee before: Tencent Technology (Shenzhen) Co., Ltd. |