CN103051448B - 家庭网关下挂业务终端对码的认证方法、装置及系统 - Google Patents
家庭网关下挂业务终端对码的认证方法、装置及系统 Download PDFInfo
- Publication number
- CN103051448B CN103051448B CN201110307848.5A CN201110307848A CN103051448B CN 103051448 B CN103051448 B CN 103051448B CN 201110307848 A CN201110307848 A CN 201110307848A CN 103051448 B CN103051448 B CN 103051448B
- Authority
- CN
- China
- Prior art keywords
- service
- authentication
- home gateway
- control point
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 64
- 238000012545 processing Methods 0.000 claims description 45
- 230000008569 process Effects 0.000 claims description 37
- 238000012544 monitoring process Methods 0.000 claims description 23
- 230000011664 signaling Effects 0.000 claims description 9
- 230000000977 initiatory effect Effects 0.000 claims description 6
- 230000000903 blocking effect Effects 0.000 claims description 5
- 238000012423 maintenance Methods 0.000 abstract description 9
- 238000011161 development Methods 0.000 abstract description 6
- 230000006870 function Effects 0.000 description 29
- 230000004044 response Effects 0.000 description 24
- 238000010586 diagram Methods 0.000 description 6
- 230000018109 developmental process Effects 0.000 description 5
- 230000032683 aging Effects 0.000 description 3
- 230000006855 networking Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 238000003825 pressing Methods 0.000 description 1
- 238000004904 shortening Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Landscapes
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种家庭网关下挂业务终端对码认证方法,包括:对家庭网关下挂业务终端进行对码认证时,家庭网关根据业务终端的对码请求生成业务认证子账户,并将生成的业务认证子账户发送给业务终端;业务终端使用收到的业务认证子账户向业务访问控制点发起业务认证请求并进行业务认证。本发明还公开了一种家庭网关下挂业务终端对码认证装置及系统,采用本发明能实现对多种不同类型家庭网关下挂业务终端的统一管理与维护,从而大大减小运营维护成本,缩短开发时间。
Description
技术领域
本发明涉及家庭宽带业务中认证技术,尤其涉及一种家庭网关下挂业务终端对码认证的方法、装置及系统。
背景技术
目前,家庭数据业务网主要包括家庭网关及其下挂的业务终端,所述家庭网关下挂业务终端可以是:网络电视(InternetProtocolTelevision,IPTV)机顶盒、家庭游戏终端、家用网络型卡拉OK唱机,等等。现有的家庭数据业务组网存在一种割裂的情况:各个家庭网关下挂业务终端都有独立的业务开通方式和计费方式,每种业务都具有独立的一套账号,且有独立的认证体系。
由于账号和认证体系的不统一,就不能对同一个家庭用户使用统一的营账管理手段,对运营机构来说,综合运营维护成本较高,且不利于一些带有组合特性的新业务的及时开展。对用户来说,账号和认证体系的不统一造成开通和使用的不便:除了需要记住很多账号、密码之外,报装、续费、升级等琐碎环节多、十分麻烦;对于设备制造商来说,每开发一种业务就必须相应实现一种独立的业务认证方式,如此,延长了开发时间。
针对以上问题,需要一种对家庭网关下挂业务终端进行统一对码认证的方法。
发明内容
有鉴于此,本发明的主要目的在于提出一种家庭网关下挂业务终端对码认证的方法、装置及系统,能实现对多种不同类型家庭网关下挂业务终端的统一管理与维护,从而大大减小运营维护成本,缩短开发时间。
为达到上述目的,本发明的技术方案是这样实现的:
本发明公开了一种家庭网关下挂业务终端对码认证方法,包括:
对家庭网关下挂业务终端进行对码认证时,家庭网关根据业务终端的对码请求生成业务认证子账户,并将生成的业务认证子账户发送给业务终端;
业务终端使用接收到的业务认证子账户向业务访问控制点发起业务认证请求,并进行业务认证。
进一步,所述家庭网关下挂业务终端进行对码认证之前,该方法还包括:
家庭网关向业务访问控制点进行认证;开启对码监听接口,准备接收业务终端的对码请求。
进一步,所述家庭网关根据业务终端的对码请求生成业务认证子账户为:
家庭网关接收到业务终端发送的对码请求后,利用自身携带的用户业务账户信息生成业务认证子账户。
进一步,所述家庭网关利用自身携带的用户业务账户信息生成业务认证子账户为:
家庭网关通过对自身携带的用户业务账户信息进行加密和扰码处理,生成业务认证子账户。
进一步,所述家庭网关将生成的业务认证子账户发送给业务终端之后,该方法还包括:
所述家庭网关将生成的业务认证子账户成功传送给业务终端后,关闭对码监听接口。
进一步,所述业务终端使用接收到的业务认证子账户向业务访问控制点发起业务认证请求,并进行业务认证包括:
业务终端向业务访问控制点发起业务认证请求;业务访问控制点收到业务终端的业务认证请求后,将自身保存的业务认证子账户与接收到的业务终端业务认证子账户进行比对,若相同,则业务终端向业务访问控制点的业务认证成功。
本发明还公开了一种业务访问控制点,包括:网络接口模块、数据库接口模块和鉴权模块;其中,
所述业务访问控制点,用于处理家庭网关及其下挂业务终端的认证过程;
所述网络接口模块,用于控制业务访问控制点的所有网络接口执行网络报文的丢弃、转换、转发,提取与用户认证相关的报文;
所述数据库接口模块,用于连接并访问业务数据中心的数据库;
所述鉴权模块,用于判定业务用户的合法性,制定并传递网络接口模块的接口策略。
进一步,所述业务访问控制点还包括:中央处理器和管理模块;其中,
所述中央处理器,用于处理业务访问控制点内部的所有程序指令;
所述管理模块,用于配置和管理业务访问控制点。
进一步,所述业务访问控制点,具体用于在认证成功时,允许家庭网关或业务终端访问业务平台;认证不成功时,阻挡来自于家庭网关和业务终端的业务信令。
本发明还公开了一种对码功能模块,包括:对码功能服务器端模块和对码功能客户端模块;其中,
所述对码功能服务器端模块,用于开启对码监听端口,监听、接收和处理业务终端发起的对码请求,并将对码请求处理结果返回给业务终端;
所述对码功能客户端模块,用于向对码功能服务器端模块发起对码请求,接收家庭网关返回的对码请求处理结果,并保存处理结果中的业务认证子账户信息。
进一步,所述对码功能服务器端模块设置于家庭网关中,所述对码功能客户端模块设置于业务终端中。
本发明进一步公开了一种家庭网关下挂业务终端对码认证系统,包括:业务访问控制点、业务数据中心、家庭网关、业务终端和业务平台;其中,
所述业务访问控制点,用于处理家庭网关及其下挂业务终端的认证过程;
所述业务数据中心,用于管理家庭网关的用户业务账户信息和已开通的业务类型信息,查询并更新用户业务账户开通情况和认证状态;
所述家庭网关,用于接收业务终端发送的对码请求,生成业务认证子账户,并将生成的业务认证子账户发送给业务终端;
所述业务终端,用于使用接收到的业务认证子账户向业务访问控制点发起业务认证请求,并进行业务认证;
所述业务平台,用于处理业务信令,实现业务逻辑。
进一步,所述业务访问控制点包括:网络接口模块、数据库接口模块和鉴权模块;其中,
所述网络接口模块,用于控制业务访问控制点的所有网络接口执行网络报文的丢弃、转换、转发,提取与用户认证相关的报文;
所述数据库接口模块,用于连接并访问业务数据中心的数据库;
所述鉴权模块,用于判定业务用户的合法性,制定并传递网络接口模块的接口策略。
进一步,所述业务访问控制点还包括:中央处理器和管理模块;其中,
所述中央处理器,用于处理业务访问控制点内部的所有程序指令;
所述管理模块,用于配置和管理业务访问控制点。
进一步,所述业务访问控制点,具体用于在认证成功时,允许家庭网关或业务终端访问业务平台;认证不成功时,阻挡来自于家庭网关和业务终端的业务信令。
进一步,所述家庭网关包括:对码功能服务器端模块,用于开启对码监听端口,监听、接收和处理业务终端发起的对码请求,并将对码请求处理结果返回给业务终端。
进一步,所述业务终端包括:对码功能客户端模块,用于向对码功能服务器端发起对码请求,接收家庭网关返回的对码请求处理结果,并保存处理结果中的业务认证子账户信息。
综上,本发明提出家庭网关下挂业务终端对码认证的方法、装置及系统,通过在家庭网关中设计对码流程,将家庭网关中的各用户业务账户转换成业务认证子账户,并以安全的形式传递到家庭网关下挂的业务终端上,然后利用业务访问控制点实现以家庭网关为核心的统一业务认证过程;对码认证通过后使家庭数据业务网中的各种业务终端能共享家庭网关的用户业务账户,进而实现以家庭网关为单位的业务管理模式,有效解决家庭数据业务网中用户业务账号众多、开通及维护不便的问题,实现了对多种不同类型业务终端的统一管理与维护,大大减小了运营维护成本,有利于三网融合的开展。
另外,统一用户业务账户和业务认证子账户之后,也就是成功进行对码操作后,即可进行以家庭网关为核心的统一业务认证过程;具体地,家庭网关可利用用户业务账户向业务访问控制点认证,业务终端可利用业务认证子账户向业务访问控制点认证;业务访问控制点可将用户业务账户和业务认证子账户关联起来进行以家庭网关为单位的统一管理与维护。
附图说明
图1是本发明家庭网关下挂业务终端对码认证方法的实现流程示意图;
图2是本发明业务访问控制点的组成结构示意图;
图3是本发明对码功能模块组成结构示意图;
图4是本发明家庭网关配合业务数据中心和业务平台的组网系统实例示意图;
图5是本发明家庭网关下挂业务终端对码认证方法一具体实施例的实现流程示意图;
图6是本发明业务访问控制点控制业务IP流的原理示意图。
具体实施方式
本发明的基本思想为:对家庭网关下挂业务终端进行对码认证时,家庭网关根据业务终端的对码请求生成业务认证子账户,并将生成的业务认证子账户发送给业务终端;业务终端使用收到的业务认证子账户向业务访问控制点发起业务认证请求并进行业务认证。
下面结合附图和具体实施例,对本发明进一步详细说明。
图1示出了本发明家庭网关下挂业务终端对码认证方法的实现流程,如图1所示,具体实现步骤包括:
步骤101:家庭网关完成向业务访问控制点的认证,之后进入对码状态,并开启对码监听接口;
具体地,家庭网关读取自身携带的用户业务账户信息,并以安全的形式发送给业务访问控制点,业务访问控制点将自身从业务数据中心获取的账户信息与接收到的用户业务账户信息进行比对,若相同,则完成家庭网关向业务访问控制点的认证过程。其中,所述用户业务账户信息包括用户名、密码等信息。
进一步,家庭网关认证成功后,业务访问控制点可允许家庭网关进行相应的对码认证,即:接纳该家庭网关发起的对码认证邀请,并允许该家庭网关访问被保护的业务平台,开展家庭网关自带的增值业务;
相应地,家庭网关进入对码状态,并且家庭网关开启供业务终端专用的对码监听接口,准备接收业务终端的对码请求。
步骤102:业务终端向家庭网关发送对码请求,进入对码状态;
具体地,业务终端向家庭网关的对码监听接口发送对码请求,并进入对码状态,例如,机顶盒向家庭网关的对码监听接口发送对码请求,同时机顶盒进入对码状态;这里,实际应用中,进入对码状态可以通过用户控制完成,如:在机顶盒发送对码请求时,电视屏幕上会显示“请进入对码状态”,用户可按照相应提示进行操作控制业务终端进入对码状态。
步骤103:家庭网关根据业务终端发送的对码请求生成业务认证子账户,并将生成的业务认证子账户发送给业务终端;
具体地,家庭网关接收业务终端发送的对码请求,在确认该业务终端合法后,家庭网关将自身携带的用户业务账户信息加密后进行扰码处理,生成业务终端专用的业务认证子账户。实际应用中,通常采用信息摘要算法版本5(MD5,MessageDigestAlgorithm5)算法对用户业务账户信息进行加密。这里,家庭网关如何通过加密和扰码处理将账户信息生成业务认证子账户属于现有技术,在此不再赘述。
在业务认证子账户的生成过程中,业务访问控制点会向家庭网关提供生成业务认证子账户所必需的基算子,家庭网关将生成的业务认证子账户保存在业务访问控制点中,并通过业务访问控制点写入业务数据中心待后续查找。
业务认证子账户成功传送给业务终端后对码流程结束,家庭网关将关闭对码监听接口。
需要指出的是,发送过程中为了保证绝对安全,对于采用有线局域网(LocalAreaNetwork,LAN)连接的,家庭网关需断开无关的网络端口;对于采用无线局域网连接的,家庭网关需使用加密的无线信道。
步骤104:业务终端使用收到的业务认证子账户向业务访问控制点发起业务认证请求,并进行业务认证;
具体地,业务终端接收家庭网关发来的业务认证子账户,并使用收到的业务认证子账户向业务访问控制点发起业务认证请求;业务访问控制点收到该业务认证请求后,将自身保存的业务认证子账户与接收到的业务终端业务认证子账户进行比对,若相同,则业务终端向业务访问控制点的业务认证成功,业务终端具有访问被保护的业务平台的权限,并向业务平台提供特色业务。
为实现本发明方法,本发明还公开了用于家庭网关下挂业务终端对码认证的装置,包括:业务访问控制点和对码功能模块,其中,
业务访问控制点,用于处理家庭网关及其下挂业务终端的认证过程;
对码功能模块,用于完成家庭网关与家庭网关下挂业务终端的对码过程。
具体地,业务访问控制点,处理家庭网关及其下挂业务终端的认证过程中,如果认证成功,则业务访问控制点允许家庭网关或业务终端访问业务平台;如果认证不成功,则业务访问控制点将阻挡来自于家庭网关及其下挂业务终端的业务信令,使业务无法开展。
图2示出了业务访问控制点的组成结构,由图2可见,业务访问控制点包括网络接口模块、数据库接口模块和鉴权模块;其中,
所述网络接口模块,用于控制业务访问控制点的所有网络接口执行网络报文的丢弃、转换、转发,提取与用户认证相关的报文;
所述数据库接口模块,用于连接并访问业务数据中心的数据库;
所述鉴权模块,用于判定业务用户的合法性,制定并传递网络接口模块的接口策略。
进一步,所述网络接口模块,具体用于控制业务访问控制点的所有网络接口按照鉴权模块规定的策略执行网络报文的丢弃、转换、转发,从网络中提取与用户认证相关的报文并发送给鉴权模块处理。
进一步,所述数据库接口模块,具体用于连接并访问业务数据中心的数据库,供鉴权模块查询业务数据中心的用户业务账户信息。
进一步,所述鉴权模块,具体用于判定业务用户的合法性,根据业务用户的需求制定网络接口模块的接口策略,并将该接口策略传递给网络接口模块执行。
进一步,业务访问控制点还可以包括中央处理器和管理模块;其中,
所述中央处理器,用于处理业务访问控制点内部的所有程序指令;
所述管理模块,用于网管人员配置和管理业务访问控制点,以保证业务访问控制点的正常运行。
图3示出了本发明对码功能模块的组成结构,由图3可见,对码功能模块包括对码功能服务器端模块和对码功能客户端模块;其中,
所述对码功能服务器端模块,用于开启对码监听端口,监听、接收和处理业务终端发起的对码请求,并将对码请求处理结果返回给业务终端;其中,成功的处理结果中会携带供业务终端使用的业务认证子账户信息,而失败的处理结果中将携带失败说明;
所述对码功能客户端模块,用于向对码功能服务器端模块发起对码请求,接收家庭网关返回的对码请求处理结果;处理成功时,进一步保存处理结果中的业务认证子账户信息,供后续使用。
优选地,对码功能服务器端模块设置于家庭网关中,对码功能客户端模块设置于业务终端中。
需要说明的是,对码功能客户端模块可以通用应用程序的形式,并携带配套的标准化的对外接口应用程序接口(ApplicationProgramInterface,API)函数库(也称为共享库)发布,支持主流的嵌入式平台和微处理器。
下面结合图4对本发明提出的家庭网关下挂业务终端对码认证系统进行详细说明。
图4为本发明家庭网关配合业务数据中心和业务平台的组网系统实例图,由图4可见,整个系统包括:业务访问控制点、业务数据中心、业务平台、家庭网关和业务终端;其中,
所述业务访问控制点,用于处理家庭网关及其下挂业务终端的认证过程;
所述业务数据中心,用于管理家庭网关的用户业务账户信息和已开通的业务类型信息,查询并更新用户业务账户开通情况和认证状态;
所述家庭网关,用于接收业务终端发送的对码请求,生成业务认证子账户,并将生成的业务认证子账户发送给业务终端;
所述业务终端,用于使用接收到的业务认证子账户向业务访问控制点发起业务认证请求,并进行业务认证;
所述业务平台,用于处理业务信令,实现业务逻辑。
在本实例中,业务平台和业务访问控制点之间的互联网协议(InternetProtocol,IP)链路为受控链路,一般不对外开放,只有通过业务访问控制点认证了的家庭网关和业务终端,其业务IP流才可以被业务访问控制点转发到这条链路上。
业务访问控制点和业务数据中心之间的IP链路为专有链路,仅供业务访问控制点查询和设置用户信息时使用。业务访问控制点可以使用数据库结构化查询语言(StructuredQueryLanguage,SQL)远程访问并操作业务数据中心里的数据库,其中,数据库中包含用户名与密码、用户可使用的业务链表及相应的业务状态等信息。
业务访问控制点和家庭网关之间为开放的互联网(Internet)连接,业务访问控制点使用固定的对外IP地址和端口接受家庭网关和业务终端的认证;同时,业务访问控制点具有动态分配的专供业务IP流访问的IP地址和端口,供已通过认证的业务终端传递其业务IP流。
家庭网关和业务终端之间采用LAN连接方式。在家庭网关可以访问Internet之后,业务终端可以通过家庭网关的上行口访问Internet。在对码和认证流程中,家庭网关可以在局域网中开辟一个临时性的IP地址,并通过该地址与业务终端进行交互。
业务数据中心预配置有全网的家庭用户业务账户信息和已开通的业务类型信息。当用户通过营业厅申请了账户,并开通了业务之后,数据中心里的相关用户配置属性被激活。业务数据中心具有和业务访问控制点之间的用户数据访问接口,可以查询出此业务开通情况和业务认证状态,并可以更新这些状态。
家庭网关可利用自身的对码功能服务器端模块完成向业务访问控制点的对码认证;业务终端可利用自身的对码功能客户端模块完成向业务访问控制点的对码认证。当家庭网关和业务终端认证通过后,业务访问控制点可允许家庭网关或业务终端进一步访问业务平台;否则将IP信令阻挡住,使业务无法开展。业务访问控制点通过与业务数据中心的交互,可查询并更新业务数据中心中的用户业务账户信息。
其中,所述业务访问控制点具体结构如图2所示,所述对码功能服务器端模块和对码功能客户端模块已在上文中进行了相应描述,此处不再赘述。
图4中,与业务访问控制点相连的家庭网关有多个,可称为家庭网关1~n,n为家庭网关总数,n为自然数。与家庭网关1相连的业务终端有多个,可称为业务终端1~m,m为自然数。与家庭网关n相连的业务终端有多个,可称为业务终端1~k,k为自然数。
这里,业务终端可以是网络电视机顶盒、家庭游戏终端、家用网络型卡拉OK唱机等。
需要指出的是,业务终端的生产厂商可以通过各种途径获得对码流程的客户端软件,集成到业务终端中,此后就不必关心具体的认证流程实现方式了。
下面结合图5对本发明家庭网关下挂业务终端对码认证方法一具体实施例的实现流程进行详细说明。
如图5所示,本实施例中家庭网关下挂业务终端对码认证流程的具体步骤包括:
步骤201,家庭网关向业务访问控制点进行超文本传输协议(HyperTextTransportProtocol,HTTP)摘要认证;
具体地,家庭网关上电后,读取自身携带的用户业务账户信息,例如用户名、密码;在可以访问Internet后,家庭网关以安全的形式将该用户业务账户信息通过业务访问控制点的网络接口模块发送给业务访问控制点,向业务访问控制点进行HTTP摘要认证;其中,HTTPRequestURI中业务访问控制点的地址可以通过预配置或者DHCPOPTION流程自动分配得到,该HTTP摘要认证消息(即HTTPGET消息)中还带有用户业务账户的用户名。
步骤202,业务访问控制点向家庭网关返回HTTP401Unauthorized响应,家庭网关将携带response参数的HTTPGET消息发送给业务访问控制点;
具体地,业务访问控制点向家庭网关返回HTTP401Unauthorized响应,其中该响应包含WWW-Authenticate头域,并带有随机生成的一次性随机算子:nonce参数;
家庭网关将自身的用户名、密码和接收到的nonce参数进行MD5运算生成的response参数携带在HTTPGET消息的Authorization头域中,并利用HTTPGET消息将该response参数发送给业务访问控制点。
步骤203,业务访问控制点对家庭网关进行认证;
具体地,业务访问控制点利用自身的数据库接口模块连接并访问业务数据中心的数据库,将从业务数据中心获取的家庭网关的用户名和密码、以及步骤202中随机生成的nonce参数也进行MD5运算,并将该MD5运算结果与从家庭网关接收到的response参数进行比较,如果两者相同,则家庭网关认证成功,此时业务访问控制点返回HTTP200OK响应,并在此HTTP200OK响应中告知家庭网关可以使用的业务访问IP地址和端口,同时指定家庭网关重注册时间间隔;如果两者不相同,则家庭网关认证失败,返回HTTP401Unauthorized响应。此外,业务访问控制点还可以接纳该家庭网关发起的对码认证邀请。
步骤204,家庭网关开始对码流程;
具体地,家庭网关成功认证之后,用户可通过在家庭网关上按下“对码开始”按键,开始家庭网关上的对码流程,此时家庭网关上的对码指示灯会开始闪烁,提示对码流程已经开始。这时,在家庭网关内部,提供给用户进行对码操作的专用IP地址接口会被激活,并维持激活状态3分钟。如果3分钟之内没有进行任何对码动作,则出于安全的考虑,此接口将会被自动关闭。需要指出的是,本文中所称的对码流程是指将家庭网关的用户业务账户与家庭网关下挂业务终端的业务认证子账户进行统一的过程。
需要说明的是,通过步骤201~步骤204,家庭网关即可完成向业务访问控制点的认证,进入对码状态,并开启对码监听接口的操作。
步骤205,业务终端开始对码流程;
具体地,业务终端向家庭网关发送对码请求,用户将需要进行对码的业务终端通过局域网接口接入家庭网关,并操作业务终端开始对码;此时,业务终端通过向自身所在的私网广播用户数据报协议(UserDatagramProtocol,UDP)形式的CM_DISCOVERY消息,查询网段中可能存在的家庭网关对码监听端口。该CM_DISCOVERY消息中含有以类型长度值(Type-Length-Value,TLV)形式提供的业务终端的序列号、厂商名称、设备型号和MAC地址等信息。
为了保证对码流程的安全,当业务终端使用有线接口连接家庭网关时,需拨出与家庭网关连接的其他无关有线设备;当业务终端使用无线接口连接家庭网关时,需使用加密的无线信道。
需要说明的是,通过步骤205,业务终端即可完成向家庭网关的对码请求,进入对码状态的操作。
步骤206,家庭网关形成业务终端标识序列号并生成加密密钥对,并携带在HTTPPOST消息中发送给业务访问控制点;
具体地,家庭网关的对码功能服务器端模块从对码监听端口接收到CM_DISCOVERY消息之后,可从此消息中读取业务终端的序列号、厂商名称、设备型号和MAC地址等信息,从而综合形成业务终端标识序列号,然后将此业务终端标识序列号和家庭网关中的用户业务账户混合计算出一对加密密钥对;随后,家庭网关利用HTTPPOST消息,将业务终端标识序列号和加密密钥对中的公钥放置在可扩展标示语言(eXtensiveMakeupLanguage,XML)形式的消息体中并发送给业务访问控制点。
步骤207,业务访问控制点向家庭网关返回HTTP200OK响应,之后家庭网关向业务终端发送UDP形式的响应消息CM_DISCOVERY_RESP;
具体地,业务访问控制点成功保存业务终端标识序列号和加密密钥对中的公钥之后,向家庭网关返回带有XML形式的成功响应码的HTTP200OK响应;
家庭网关接收到业务访问控制点返回的成功响应码后,向业务终端发送UDP形式的响应消息CM_DISCOVERY_RESP,该CM_DISCOVERY_RESP响应消息中带有TLV形式的成功响应码。为保证消息的可靠传送,这里家庭网关采用多次发送的方式来确保业务终端可以接收到相应的消息,直至发送操作超时(一般情况下10秒内)或者接收到该业务终端返回的HTTPGET获取认证密钥消息才停止发送。
步骤208,业务终端向家庭网关发送HTTPGET消息,家庭网关向业务终端返回HTTP200OK响应;
具体地,业务终端向家庭网关对码监听端口发送HTTPGET消息,以获取认证密钥;此HTTPGET消息的RequestURI字段采用CM_DISCOVERY_RESP消息的IP地址和端口号的形式填写,从而保证此HTTPGET消息能正确发送至家庭网关的对码监听接口;
家庭网关从对码监听接口接收到业务终端发送的HTTPGET消息后,将已生成的业务终端标识序列号和私钥,以XML的形式封装到HTTP200OK响应的消息体中,发给业务终端。
步骤209,业务终端与家庭网关结束对码流程;
具体地,业务终端将业务终端标识序列号和私钥从XML中解析出来,保存在硬盘或者闪速存储器(FLASHMemory)等存储器中,关闭对码接口;同时,家庭网关关闭对码监听接口和处理进程。随后,对码指示灯熄灭,对码流程结束。
需要说明的是,通过步骤206~步骤209,家庭网关即可完成在接收业务终端发送的对码请求后,生成业务认证子账户,并将生成的业务认证子账户发送给业务终端的操作。
步骤210,业务终端向业务访问控制点发起HTTP认证请求;
具体地,业务终端需要向业务访问控制点发起认证时,向业务访问控制点发起HTTP认证请求;具体来说,此HTTP认证请求是一个HTTPGET请求消息,在消息的RequestURI字段中带有利用对码流程获取的业务终端标识序列号,并且带有“act=auth”字样标明此消息是认证请求;
业务访问控制点接收到业务终端的HTTP认证请求后,根据业务终端标识序列号从数据库中查找对码注册时的用户业务账户信息,当查找到该用户业务账户信息,随机生成一串待加密字符携带在HTTP401Unauthorized响应中返回给业务终端。
步骤211,业务访问控制点对业务终端进行认证;
具体地,业务终端利用对码流程中获得的私钥对接收到的待加密字符串进行加密,将加密结果放置在HTTPGET消息中,再次发送给业务访问控制点;业务访问控制点接收到HTTPGET消息后,从该消息中获取加密结果,并用公钥解密,如果解密的结果和步骤210中随机生成的待加密字符串一致,则业务终端认证通过,业务访问控制点返回HTTP200OK响应,并在此HTTP200OK响应中告知业务终端可以使用的业务访问IP地址和端口,同时指定业务终端重注册时间间隔;如果解密的结果和步骤210中随机生成的待加密字符串不一致,则业务终端认证失败,业务访问控制点返回HTTP401Unauthorized响应。
步骤212,业务终端成功认证之后,可以进行正常的业务流程,并在业务流程结束后可实现业务注销;
业务终端成功认证之后,可以通过业务访问控制点分配的业务访问IP地址和端口向业务平台发送业务IP流,开始正常的业务流程,例如,家用安防监控设备可通过分配的业务访问IP地址和端口向家庭安防业务平台发送安防业务控制报文,监控中产生的语音、视频报文等,这些报文最终都可以成功送达家庭安防业务平台,由家庭安防业务平台予以处理。
需要说明的是,当业务终端通过业务访问控制点向业务平台发送业务IP流时,业务访问控制点的鉴权模块先判断该业务终端是否合法,即判断该业务终端是否已成功认证,如果是,则业务访问控制点允许该业务终端访问业务平台;否则,阻挡该业务终端的业务IP流。
业务流程结束后,业务终端可通过向业务访问控制点发起HTTP注销请求,即实现业务注销。具体来说,此HTTP注销请求是一个HTTPGET消息,在消息的RequestURI字段中带有act=unauth”字样标明此消息是注销请求。业务注销之后,业务访问控制点将收回为业务终端分配的业务访问IP地址和端口。
需要说明的是,通过步骤210~步骤212,业务终端即可完成使用接收到的业务认证子账户向业务访问控制点发起业务认证请求,并进行业务认证的操作。
成功进行了对码的业务终端在后续使用的过程中,除非用户更换了用户业务账户,否则不需要再进行对码。并且,成功对码后的业务终端通过任意途径接入Internet后,就可以正常通过认证流程。
为了更好地理解本发明中业务访问控制点的工作原理,下面结合图6对业务访问控制点控制业务IP流的原理进行描述。
图6为业务访问控制点控制业务IP流的原理图,由图6可见,业务访问控制点的对外端口被分割成可被外界访问的公网端口和不可被外界访问的私网端口两种。其中,公网端口和Internet相连;私网端口和被保护的业务平台相连。公网端口可进一步划分为认证端口和业务端口。其中,认证端口固定存在,且地址被家庭网关和业务终端所通晓;业务端口可动态生成,业务访问控制点的鉴权模块对不同的业务终端可依接口策略分配不同的业务端口,业务端口地址在认证成功后告知对应的家庭网关和业务终端。图6中,A1:P1和A2:P2为业务1和业务2的业务访问地址,具有不同的IP地址和端口号;A3:P3为认证访问地址,具有对外公开的认证访问IP地址和端口号。
当某个需要访问业务平台的业务终端通过某个IP地址和端口号,例如A3:P3,认证成功之后,业务访问控制点可解析认证过程中认证请求报文的源IP地址和源端口号:Ax:Px,将Ax:Px作为白名单绑定到A1:P1上,作为A1:P1的合法的访问者。A1:P1接收到的所有业务IP流都必须检查每一份报文的源IP地址和源端口号,当源IP地址和源端口号处于白名单中(例如,源IP地址是Ax,源端口号是Px)时,业务访问控制点将根据该业务IP流的特性,利用受保护的私网端口上的私网地址A4:P4把该业务IP流进行转发,或者为业务IP流封装一层802.1QVLAN标识后发送至私网端口。经过这样处理后的业务IP流就可以使用被保护的私网链路抵达业务平台,从而建立起业务交互流程。如果接收到的业务IP流的源IP地址和源端口号不处于白名单中,则这样的业务IP流将被丢弃。
为避免家庭网关和业务终端异常下线,白名单具有老化时间,一般为一个小时左右,可根据需要进行调整;老化时间可以在家庭网关和业务终端认证成功后由业务访问控制点发送给家庭网关和业务终端;在老化时间到达之前,家庭网关和业务终端都需要定时重新发起认证流程。
综上,采用本发明设计的对码流程,可以实现对多种不同类型的业务终端进行账户统一,统一账户之后,就可以采用统一的认证流程,最终实现以家庭网关为单位的业务管理模式,有利于三网融合的开展;对于现有采用独立认证方式的用户业务设备,也不会产生兼容性问题。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围,凡具备上述特征以及运用本发明说明书及附图内容所作的等效结构变化,均同理包含于本发明保护的范围内。
Claims (14)
1.一种家庭网关下挂业务终端对码认证方法,其特征在于,该方法包括:
对家庭网关下挂业务终端进行对码认证时,家庭网关根据业务终端的对码请求生成业务认证子账户,并将生成的业务认证子账户发送给业务终端;
业务终端使用接收到的业务认证子账户向业务访问控制点发起业务认证请求,并进行业务认证;
所述家庭网关下挂业务终端进行对码认证之前,该方法还包括:
家庭网关向业务访问控制点进行认证;开启对码监听接口,准备接收业务终端的对码请求。
2.根据权利要求1所述的方法,其特征在于,所述家庭网关根据业务终端的对码请求生成业务认证子账户为:
家庭网关接收到业务终端发送的对码请求后,利用自身携带的用户业务账户信息生成业务认证子账户。
3.根据权利要求2所述的方法,其特征在于,所述家庭网关利用自身携带的用户业务账户信息生成业务认证子账户为:
家庭网关通过对自身携带的用户业务账户信息进行加密和扰码处理,生成业务认证子账户。
4.根据权利要求1所述的方法,其特征在于,所述家庭网关将生成的业务认证子账户发送给业务终端之后,该方法还包括:
所述家庭网关将生成的业务认证子账户成功传送给业务终端后,关闭对码监听接口。
5.根据权利要求1所述的方法,其特征在于,所述业务终端使用接收到的业务认证子账户向业务访问控制点发起业务认证请求,并进行业务认证包括:
业务终端向业务访问控制点发起业务认证请求;业务访问控制点收到业务终端的业务认证请求后,将自身保存的业务认证子账户与接收到的业务终端业务认证子账户进行比对,若相同,则业务终端向业务访问控制点的业务认证成功。
6.一种业务访问控制点,其特征在于,所述业务访问控制点包括:网络接口模块、数据库接口模块和鉴权模块;其中,
所述业务访问控制点,用于将自身从业务数据中心获取的账户信息与接收到的用户业务账户信息进行比对,若相同,则完成家庭网关向业务访问控制点的认证过程;
所述网络接口模块,用于控制业务访问控制点的所有网络接口执行网络报文的丢弃、转换、转发,提取与用户认证相关的报文;
所述数据库接口模块,用于连接并访问业务数据中心的数据库;
所述鉴权模块,用于判定业务用户的合法性,制定并传递网络接口模块的接口策略,所述业务用户是所述用户业务账户信息的用户。
7.根据权利要求6所述的业务访问控制点,其特征在于,所述业务访问控制点还包括:中央处理器和管理模块;其中,
所述中央处理器,用于处理业务访问控制点内部的所有程序指令;
所述管理模块,用于配置和管理业务访问控制点。
8.根据权利要求6或7所述的业务访问控制点,其特征在于,所述业务访问控制点,具体用于在认证成功时,允许家庭网关或业务终端访问业务平台;认证不成功时,阻挡来自于家庭网关和业务终端的业务信令。
9.一种家庭网关下挂业务终端对码认证系统,包括:业务访问控制点、业务数据中心、家庭网关、业务终端和业务平台;其中,
所述业务访问控制点,用于将自身从业务数据中心获取的账户信息与接收到的用户业务账户信息进行比对,若相同,则完成所述家庭网关向所述业务访问控制点的认证过程;
所述业务数据中心,用于管理家庭网关的用户业务账户信息和已开通的业务类型信息,查询并更新用户业务账户开通情况和认证状态;
所述家庭网关,用于接收业务终端发送的对码请求,生成业务认证子账户,并将生成的业务认证子账户发送给业务终端;
所述业务终端,用于使用接收到的业务认证子账户向业务访问控制点发起业务认证请求,并进行业务认证;
所述业务平台,用于处理业务信令,实现业务逻辑。
10.根据权利要求9所述的系统,其特征在于,所述业务访问控制点包括:网络接口模块、数据库接口模块和鉴权模块;其中,
所述网络接口模块,用于控制业务访问控制点的所有网络接口执行网络报文的丢弃、转换、转发,提取与用户认证相关的报文;
所述数据库接口模块,用于连接并访问业务数据中心的数据库;
所述鉴权模块,用于判定业务用户的合法性,制定并传递网络接口模块的接口策略。
11.根据权利要求10所述的系统,其特征在于,所述业务访问控制点还包括:中央处理器和管理模块;其中,
所述中央处理器,用于处理业务访问控制点内部的所有程序指令;
所述管理模块,用于配置和管理业务访问控制点。
12.根据权利要求10或11所述的系统,其特征在于,所述业务访问控制点,具体用于在认证成功时,允许家庭网关或业务终端访问业务平台;认证不成功时,阻挡来自于家庭网关和业务终端的业务信令。
13.根据权利要求9所述的系统,其特征在于,所述家庭网关包括:对码功能服务器端模块,用于开启对码监听端口,监听、接收和处理业务终端发起的对码请求,并将对码请求处理结果返回给业务终端。
14.根据权利要求9所述的系统,其特征在于,所述业务终端包括:对码功能客户端模块,用于向对码功能服务器端发起对码请求,接收家庭网关返回的对码请求处理结果,并保存处理结果中的业务认证子账户信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110307848.5A CN103051448B (zh) | 2011-10-12 | 2011-10-12 | 家庭网关下挂业务终端对码的认证方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110307848.5A CN103051448B (zh) | 2011-10-12 | 2011-10-12 | 家庭网关下挂业务终端对码的认证方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103051448A CN103051448A (zh) | 2013-04-17 |
| CN103051448B true CN103051448B (zh) | 2016-06-22 |
Family
ID=48063956
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110307848.5A Active CN103051448B (zh) | 2011-10-12 | 2011-10-12 | 家庭网关下挂业务终端对码的认证方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103051448B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104158816A (zh) * | 2014-08-25 | 2014-11-19 | 中国科学院声学研究所 | 认证方法、装置和服务器 |
| CN105429867B (zh) * | 2014-09-19 | 2019-02-05 | 中国移动通信集团公司 | 一种融合型家庭网关及其应用服务的访问方法 |
| CN105656649A (zh) * | 2014-11-13 | 2016-06-08 | 中兴通讯股份有限公司 | 一种终端设备的业务开通方法及装置 |
| CN106713249A (zh) * | 2015-11-18 | 2017-05-24 | 大唐移动通信设备有限公司 | 一种鉴权方法和设备 |
| CN107666418B (zh) * | 2016-07-27 | 2020-12-01 | 中兴通讯股份有限公司 | 一种账号生成方法、装置及系统 |
| CN109063088B (zh) * | 2018-07-26 | 2020-07-28 | 阿里巴巴集团控股有限公司 | 序列号的生成方法及装置 |
| CN110519403A (zh) * | 2019-07-30 | 2019-11-29 | 烽火通信科技股份有限公司 | 一种网关下挂设备管理方法及系统 |
| CN112312383B (zh) * | 2019-07-30 | 2022-07-01 | 中国移动通信集团江西有限公司 | 家庭用户的业务处理方法、装置、存储介质和服务器 |
| CN111800429A (zh) * | 2020-07-09 | 2020-10-20 | 太仓市同维电子有限公司 | 一种网关安全账号的设置方法 |
| CN113746727A (zh) * | 2021-09-06 | 2021-12-03 | 四川长虹网络科技有限责任公司 | 一种家庭网关以及家庭网关设备管理系统 |
| CN113890778B (zh) * | 2021-11-04 | 2023-08-25 | 深圳海智创科技有限公司 | 一种基于局域网的智能家居认证及加密方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101159647A (zh) * | 2007-10-22 | 2008-04-09 | 中国电信股份有限公司 | 网关本地参数快速恢复的实现系统和方法 |
| CN101521577A (zh) * | 2009-04-01 | 2009-09-02 | 中国电信股份有限公司 | 基于家庭网关的认证凭证统一管理方法、系统和家庭网关 |
| CN101990029A (zh) * | 2009-08-05 | 2011-03-23 | 黄苗苗 | 一种移动交互系统及该系统的应用方法和相关设备 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1852094B (zh) * | 2005-12-13 | 2010-09-29 | 华为技术有限公司 | 网络业务应用账户的保护方法和系统 |
-
2011
- 2011-10-12 CN CN201110307848.5A patent/CN103051448B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101159647A (zh) * | 2007-10-22 | 2008-04-09 | 中国电信股份有限公司 | 网关本地参数快速恢复的实现系统和方法 |
| CN101521577A (zh) * | 2009-04-01 | 2009-09-02 | 中国电信股份有限公司 | 基于家庭网关的认证凭证统一管理方法、系统和家庭网关 |
| CN101990029A (zh) * | 2009-08-05 | 2011-03-23 | 黄苗苗 | 一种移动交互系统及该系统的应用方法和相关设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103051448A (zh) | 2013-04-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103051448B (zh) | 家庭网关下挂业务终端对码的认证方法、装置及系统 | |
| CN107566314B (zh) | 一种数据传输系统、方法和设备 | |
| JP6668183B2 (ja) | 通信装置、通信方法、通信システムおよびプログラム | |
| US9762392B2 (en) | System and method for trusted provisioning and authentication for networked devices in cloud-based IoT/M2M platforms | |
| US7729331B2 (en) | Home terminal apparatus and communication system | |
| KR102318279B1 (ko) | 무선 통신 시스템에서 인증 정보 송수신 방법 및 장치 | |
| KR102396279B1 (ko) | 홈 네트워크 시스템에서 보안 관리 방법 및 장치 | |
| US9807605B2 (en) | Method and device for switching subscription manager-secure routing device | |
| KR101160603B1 (ko) | 무선 근거리 네트워크를 연결하기 위한 장치 및 방법, 모뎀, 및 컴퓨터 판독 가능한 기록 매체 | |
| US8667170B2 (en) | Address conversion method, access control method, and device using these methods | |
| JP4347335B2 (ja) | ネットワーク中継プログラム、ネットワーク中継装置、通信システム、ネットワーク中継方法 | |
| US9892244B2 (en) | System and method for installing authentication credentials on a network device | |
| JP4644738B2 (ja) | ブロードキャストチャネルを利用した装置管理方法 | |
| US7116349B1 (en) | Method of videophone data transmission | |
| US20100122338A1 (en) | Network system, dhcp server device, and dhcp client device | |
| KR20150073827A (ko) | 홈 네트워크 시스템에서 홈 디바이스를 서버에 등록하는 장치 및 방법 | |
| US20070186273A1 (en) | Method and system for managing access authorization for a user in a local administrative domain when the user connects to an ip network | |
| US20120096267A1 (en) | Credential generation system and method for communications devices and device management servers | |
| JP2006025420A (ja) | 無線ローカルエリアネットワークの関連付けのためのデバイスおよびプロセスならびに対応する製品 | |
| WO2008022514A1 (fr) | Procédé, système et appareil pour authentification d'accès utilisateur | |
| JP2004213632A (ja) | コンピュータシステムがネットワークにアクセスするように準備する際に自動化のレベルを高める方法、コンピュータプログラム及び記録媒体 | |
| CN111181912B (zh) | 浏览器标识的处理方法、装置、电子设备及存储介质 | |
| CN107426174A (zh) | 一种可信执行环境的访问控制系统及方法 | |
| US20200274866A1 (en) | Method for implementing client side credential control to authorize access to a protected device | |
| TWI469655B (zh) | 電子存取用戶端之大規模散佈之方法及裝置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |