CN101453394B - 一种接入控制方法、***和设备 - Google Patents
一种接入控制方法、***和设备 Download PDFInfo
- Publication number
- CN101453394B CN101453394B CN2007101875797A CN200710187579A CN101453394B CN 101453394 B CN101453394 B CN 101453394B CN 2007101875797 A CN2007101875797 A CN 2007101875797A CN 200710187579 A CN200710187579 A CN 200710187579A CN 101453394 B CN101453394 B CN 101453394B
- Authority
- CN
- China
- Prior art keywords
- access
- service
- user equipment
- identifier
- remote server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 42
- 238000012795 verification Methods 0.000 claims abstract description 18
- 238000012545 processing Methods 0.000 claims description 18
- 230000005540 biological transmission Effects 0.000 abstract description 11
- 230000008569 process Effects 0.000 description 19
- 238000010586 diagram Methods 0.000 description 9
- 101150049032 ACL1 gene Proteins 0.000 description 4
- 101100448894 Arabidopsis thaliana GLR3.1 gene Proteins 0.000 description 4
- 101150023061 acpP gene Proteins 0.000 description 4
- 101100054598 Hordeum vulgare ACL1.2 gene Proteins 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 230000007547 defect Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/80—Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/084—Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/086—Access security using security domains
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种对无线个人域网络(WPAN)的用户设备进行接入控制的方法,包括:WPAN的接入设备中预先设置有WPAN中的用户设备标识与用户设备享有的远程服务器中的业务服务的业务服务标识的对应关系;所述接入设备接收WPAN中的用户设备发来的接入请求,所述接入请求中携带用户设备标识和业务服务标识;当所述接入请求中携带的用户设备标识和业务服务标识与所述接入设备所保存的对应关系一致时,通过接入权限验证;所述接入设备向所述业务标识所对应的远程服务器发送接入请求。本发明还公开了一种对WPAN的用户设备进行接入控制的***以及一种接入设备。本发明能够减少对WPAN中无线传输资源的占用。
Description
技术领域
本发明涉及网络通信技术,特别是涉及一种接入控制方法、***和设备。
背景技术
无线个人域网络(WPAN,Wireless Personal Area Network)是由多个彼此距离较近的设备组成的网络。图1是WPAN的组网示意图。参见图1,WPAN中包括多个用户设备和一个或多个接入设备。其中,各个用户设备在WPAN内部可以通过无线传输的方式直接进行通信,即用户设备之间的数据无需经过运营商网络的传送。当然,WPAN中的用户设备也可以与外部运营商网络中的设备进行通信,此时,通信数据需要通过WPAN中的接入设备进行转发。
在WPAN中的用户设备与外部运营商网络中的设备进行通信时,通常需要对用户设备进行接入控制,比如,允许某些授权的用户设备接入运营商网络中的一个服务器,但拒绝未授权的用户设备接入。图2是现有技术对WPAN中的用户设备进行接入控制的流程图。参见图2,在现有技术中,对WPAN中的用户设备进行接入控制的过程具体包括以下步骤:
步骤201:WPAN中的用户设备预先获取接入密钥。
通常,用户设备需要向外部运营商网络中的密钥产生服务器发送请求消息,从该密钥产生服务器中获得接入密钥。
步骤202:WPAN中的用户设备将用户设备标识和获取的接入密钥携带在接入请求中发送至WPAN中的接入设备。
步骤203:WPAN中的接入设备将接入请求中携带的用户设备标识和接入密钥发送至认证服务器,由认证服务器根据接收到的接入密钥对用户设备 进行接入权限验证。
在本步骤中,也可以不由认证服务器进行接入权限验证,而由接入设备接收到接入请求后,直接根据接入密钥对用户设备进行接入权限验证。
步骤204:在验证成功后,WPAN中的接入设备对接入请求进行地址转换和协议转换等处理,将处理后的接入请求发送至外部运营商中对应的远程服务器。
步骤205:外部运营商中对应的远程服务器向WPAN中的用户设备提供对应的业务服务。
由上述图2所示流程可以看出,在现有技术中,在对WPAN中的用户设备进行接入控制时,是根据用户设备发来的接入密钥进行接入权限验证,这样,则必须由用户设备预先获取接入密钥。而WPAN中的用户设备在获取接入密钥时,必须占用WPAN的无线传输资源向外部运营商网络中的密钥产生服务器发送请求消息,在将密钥产生服务器返回的接入密码发送给用户设备时,同样需要占用WPAN的无线传输资源。并且,如果要接入的用户设备有多个,都需要分别获取接入密钥,则占用的无线传输资源更多。由于WPAN是无线传输方式的个人网络,其无线传输资源非常有限,现有技术的做法由于需要占用大量的WPAN的无线传输资源,因此,增加了WPAN的负担。
发明内容
本发明实施例的目的在于提供一种对WPAN中的用户设备进行接入控制的方法和***,以及一种接入设备,以便于减少对WPAN中无线传输资源的占用。
为了达到上述目的,本发明实施例的技术方案是这样实现的:
一种对WPAN的用户设备进行接入控制的方法,该方法包括:
WPAN的接入设备中预先设置有WPAN中的用户设备标识与用户设备享有的远程服务器中的业务服务的业务服务标识的对应关系;
所述接入设备接收WPAN中的用户设备发来的接入请求,所述接入请求中携带用户设备标识和业务服务标识;
当所述接入请求中携带的用户设备标识和业务服务标识与所述接入设备所保存的对应关系一致时,通过接入权限验证;
所述接入设备向所述业务服务标识所对应的远程服务器发送接入请求。
一种对WPAN的用户设备进行接入控制的***,该***包括:
WPAN中的接入设备,用于保存WPAN中的用户设备标识与用户设备享有的远程服务器中的业务服务的业务服务标识的对应关系,接收WPAN中的用户设备发来的接入请求,所述接入请求中携带用户设备标识和业务服务标识,在检测出所述接入请求中携带的用户设备标识和业务服务标识与所保存的对应关系一致时,通过接入权限验证,向所述业务标识所对应的远程服务器发送接入请求;
WPAN中的用户设备,用于向WPAN中的接入设备发送接入请求,所述接入请求中携带用户设备标识和业务服务标识。
一种接入设备,该接入设备包括:
对应关系保存单元,用于保存WPAN中的用户设备标识与用户设备享有的远程服务器中的业务服务的业务服务标识的对应关系;
信息接收处理单元,用于接收WPAN中的用户设备发来的接入请求,将接入请求中携带的用户设备标识和业务服务标识提供给接入控制单元,在接收到接入权限验证通过的通知后,向所接收的用户设备发来的接入请求中携带的业务服务标识所对应的远程服务器发送接入请求;
接入控制单元,用于检测到信息接收处理单元提供的用户设备标识和业务服务标识与对应关系保存单元中保存的对应关系一致后,通知信息接收处理单元接入权限验证通过。
由此可见,在本发明实施例中,在对WPAN中的用户设备进行接入控制时,是由接入设备根据ACL中用户设备标识和业务服务标识进行接入权限验证,这样,WPAN中的用户设备无需获取接入密钥,避免了现有技术中 需要占用WPAN内部有限的传输资源的缺点,节约了WPAN的无线传输资源,降低了WPAN的负担。
附图说明
图1是WPAN的组网示意图。
图2是现有技术对WPAN中的用户设备进行接入控制的流程图。
图3是在本发明实施例中对WPAN中的用户设备进行接入控制的流程图。
图4是在本发明实施例中ACL的第一种保存形式示意图。
图5是在本发明实施例中ACL的第二种保存形式示意图。
图6是在本发明实施例中对WPAN中的用户设备进行接入控制的***结构示意图。
图7是在本发明实施例中WPAN的接入设备的基本结构示意图。
图8是在本发明实施例中WPAN的接入设备的一种优化结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面结合附图及具体实施例对本发明实施例作进一步地详细描述。
本发明实施例主要是在WPAN的接入设备中预先设置WPAN中的用户设备标识与用户设备享有的远程服务器中的业务服务的业务服务标识的对应关系;在接入设备接收到WPAN中的用户设备发来的接入请求后,所述接入请求中携带用户设备标识和业务服务标识,如果所述接入请求中携带的用户设备标识和业务服务标识与所述接入设备所保存的对应关系一致,则通过接入权限验证;接入设备向所述业务服务标识所对应的远程服务器发送接入请求。
图3是在本发明实施例中对WPAN中的用户设备进行接入控制的流程图。参见图1和图3,以用户设备需要接入外部运营商网络中的远程服务器 1,并对用户设备进行接入控制的过程为例,具体包括以下步骤:
步骤301:远程服务器1和WPAN中的接入设备预先获取相同的共享密钥Ku。
本步骤的具体实现过程可以包括:运营商以手动方式或以其他安全方式分别在接入设备和远程服务器1中设置共享密钥Ku;或者,运营商以手动方式或以其他安全方式在接入设备和远程服务器1中的任意一个上设置共享密钥Ku,如在远程服务器1上设置,然后由设置有共享密钥Ku的该设备以安全方式如进行加密后,将共享密钥Ku发送给另一个设备如接入设备。
步骤302:远程服务器1和WPAN中的接入设备预先获取对应于远程服务器1的每一种业务服务的密钥生成算法。
本步骤的具体实现过程可以包括:运营商以手动方式或以其他安全方式分别在接入设备和远程服务器1中设置对应于远程服务器1的每一种业务服务的密钥生成算法;或者,运营商以手动方式或以其他安全方式在接入设备和远程服务器1中的任意一个上设置对应于远程服务器1的每一种业务服务的密钥生成算法,如在远程服务器1上设置,然后由设置有密钥生成算法的该设备以安全方式如进行加密后,将对应于远程服务器1的每一种业务服务的密钥生成算法发送给另一个设备如接入设备。
本步骤中,不同业务服务对应的密钥生成算法可以相同或不同。
步骤303:远程服务器1按照可以向WPAN中的用户设备提供的业务服务的数量,生成每一种业务服务对应的随机数,并将每一种业务服务对应的随机数发送至接入设备。
步骤304:针对可提供的每一种业务服务,远程服务器1利用共享密钥Ku、对应于该种业务服务的密钥生成算法和随机数,生成对应于该业务服务的接入密钥。
比如,远程服务器1可以向WPAN中的用户设备提供n(n为自然数)种业务服务,那么,在步骤302中则生成n个随机数,记为Rand1、Rand2、......、Randn。
在本步骤303中,远程服务器1生成的对应于每一种业务服务的接入密钥可以分别记为K1=h1(Ku,Rand1)、K2=h2(Ku,Rand2)、......、Kn=hn(Ku,Randn)。
步骤305:针对远程服务器1可提供的每一种业务服务,接入设备利用共享密钥Ku、对应于该种业务服务的密钥生成算法和随机数,生成对应于该业务服务的接入密钥。
这里,接入设备所生成的对应于每一种业务服务的接入密钥与远程服务器1相同,可以分别记为K1=h1(Ku,Rand1)、K2=h2(Ku,Rand2)、......、Kn=hn(Ku,Randn)。
执行到本步骤,在远程服务器1与WPAN中的接入设备上则分别得到了对应于远程服务器1的每一种业务服务的接入密钥。该对应关系的具体体现是:每一种业务服务的标识如名称或代码,与接入密钥的对应关系。
步骤306:接入设备利用预先设置的用户设备可享有的远程服务器1中的业务服务的标识,以及对应于每一种业务服务的接入密钥,生成并保存访问控制列表(ACL)。
在接入设备中,用户设备可享有的远程服务器1中的业务服务的标识可以利用远程服务器1提供的业务订阅信息来进行预先设置。
这里,ACL体现用户设备标识、业务服务标识以及业务服务的接入密钥该三者之间的对应关系。该三者之间的对应关系的保存形式即ACL的保存形式包括但不限于如下两种:
保存形式一、
在本步骤306中,接入设备可以将用户设备标识、业务服务标识以及接入密钥这三者之间的对应关系保存在同一ACL中。参见图4所示的ACL,ACL中的一条记录为WPAN中用户设备2、业务服务5以及业务服务5对应的接入密钥该三者的对应关系,另一条记录为WPAN中用户设备2、业务服务9以及业务服务9对应的接入密钥该三者的对应关系。其中,如果WPAN中的一个用户设备如用户设备n无法享有任何一个远程服务器的业务服务, 那么,在图4所示的ACL中也同样需要针对该用户设备n建立一条记录,该记录中用户设备n对应的业务服务标识和接入密钥均为空标记。
保存形式二、
在本步骤306中,接入设备可以将用户设备标识与业务服务标识的对应关系以及业务服务标识与接入密钥的对应关系保存在不同的ACL中。参见图5所示的ACL1和ACL2,ACL1中的每一条记录是用户设备标识与业务服务标识的对应关系,在ACL2中的每一条记录是业务服务标识与接入密钥的对应关系。其中,如果WPAN中的一个用户设备如用户设备n无法享有任何一个远程服务器的业务服务,那么,只需在图5所示的ACL1中针对该用户设备n建立一条记录,该记录中用户设备n对应的业务服务标识为空标记。
步骤307:当在远程服务器1上新增了一种可向用户设备提供的业务服务时,在远程服务器1和接入设备上分别得到该新增业务服务对应的接入密钥。
在本步骤中,在远程服务器1和接入设备上得到该新增业务服务对应的接入密钥的方式与上述步骤302至305中得到任意一种业务服务对应的接入密钥的方式相同。
步骤308:当需要修改一种业务服务如业务服务1对应的接入密钥时,在远程服务器1和接入设备上分别修改业务服务1的接入密钥。
这里,在远程服务器1和接入设备上分别修改业务服务1的接入密钥的过程与上述步骤中新生成一个业务服务对应的接入密钥的过程类似,包括:远程服务器1生成一个新的随机数,远程服务器1利用共享密钥Ku、对应于业务服务1的密钥生成算法和该新的随机数,重新生成对应于业务服务1的接入密钥,利用该重新生成的接入密钥替换保存的业务服务1对应的接入密钥;并且,远程服务器1将生成的新的随机数发送至接入设备,接入设备利用共享密钥Ku、对应于业务服务1的密钥生成算法和该新的随机数重新生成对应于业务服务1的接入密钥,利用该重新生成的接入密钥替换保存的 业务服务1对应的接入密钥。
步骤309:当远程服务器1中的一种业务服务取消后,远程服务器1将该取消的业务服务的标识携带在取消通知消息中发送至接入设备。
步骤310:接入设备根据取消通知消息中携带的业务服务的标识,删除自身中与该业务服务对应的接入密钥。
在上述步骤307至步骤310中,当接入设备新增一个业务服务及其对应的接入密钥、修改一个业务服务及其对应的接入密钥以及删除一个业务服务及其对应的接入密钥时,均需要对应修改ACL,即对应地在ACL中新增一个记录、修改一个记录和删除一个记录。也就是说,当远程服务器中新增一种可向用户设备提供的业务服务时,所述接入设备在ACL中增加所获取的该新增业务服务的接入密钥、用户设备标识与该新增业务服务标识的对应关系;当需要修改远程服务器中一种业务服务的接入密钥时,所述接入设备在ACL中修改该业务服务的标识对应的接入密钥;当远程服务器中一种业务服务取消时,所述接入设备在ACL中删除该业务服务的标识、用户设备标识与接入密钥该三者的对应关系。
另外,从上述步骤307至步骤310的实现过程可以看出,在接入设备中的ACL形成后,只有远程服务器1有权发送命令对ACL进行修改,即触发接入设备在ACL中新增、修改和删除一条记录。其中,远程服务器1触发在ACL中新增一条记录即对应上述步骤307的过程的原因可以是:WPAN中的用户设备通过某种方式订阅了远程服务器1的该新增的业务服务。其中,远程服务器1触发在ACL中删除一条记录即对应上述步骤309至步骤310的过程的原因可以是:WPAN中的用户设备通过某种方式取消了远程服务器1的业务服务,或远程服务器发现用户设备订阅的该业务服务已经到期。
步骤311:当WPAN中的用户设备需要享有远程服务器1中一种业务服务时,用户设备将携带远程服务器1标识、该用户设备标识以及业务服务标识的接入请求发送至WPAN中的接入设备。
在本实施例中,远程服务器标识也可以与业务标识合在一起,也就是说,业务服务标识字段中可以包含远程服务器的标识。相应的,接入设备中保存的业务服务标识字段也可以包含远程服务器的标识。
步骤312:WPAN中的接入设备利用从接收到的接入请求中提取出的远程服务器1标识、该用户设备标识以及业务服务标识,查找保存的ACL,根据ACL判断用户设备是否有接入权限,如果是,则执行步骤314,否则,执行步骤313。
这里,根据ACL判断用户设备是否有接入权限的过程为:判断ACL中是否可查找到从接入请求中提取出的该用户设备标识以及业务服务标识该两者的对应关系,如果可查找到,则确定用户设备有接入权限,否则,确定用户设备没有接入权限。其中,当ACL的保存形式为图4所示的一张表时,则本步骤中只需在该一张表中进行查找;当ACL的保存形式为图5所示的两张表时,则本步骤中需要在ACL1中进行查找。
步骤313:接入设备向WPAN中的该用户设备发送拒绝接入通知消息,结束当前流程。
步骤314:接入设备将远程服务器1的地址、业务服务标识以及根据ACL查找到的该业务服务标识对应的接入密钥,携带在接入请求中发送至远程服务器1。
这里,携带在接入请求中的远程服务器1的地址包括但不限于IP地址。
较佳地,将接入密钥携带在接入请求中的具体实现方式可以是将该接入密钥封装在接入请求中。
步骤315:远程服务器1从接收到的接入请求中提取出业务服务标识和接入密钥,判断该接入密钥是否正确,如果是,则执行步骤317,否则,执行步骤316。
这里,远程服务器1判断接入密钥是否正确的过程为:远程服务器1根据从接收到的接入请求中提取出的业务服务标识,查找自身保存的该业务服务标识对应的接入密钥,判断接入请求中提取出的接入密钥与查找到的接入 密钥是否相同,如果相同,则可确定接入密钥正确,否则,确定接入密钥错误。
步骤316:远程服务器1将接入密钥错误信息发送至接入设备,接入设备向WPAN中的该用户设备发送拒绝接入通知消息,结束当前流程。
步骤317:远程服务器1通过接入设备向WPAN中的所述用户设备提供对应的业务服务。
需要说明的是,在上述图3所示流程中,针对远程服务器1可提供的每一种业务服务分别生成对应的接入密钥的做法,只是本发明实施例中为了避免一种业务服务的接入密钥被盗窃后,影响其他业务服务的一种较佳处理方式。在实际的业务实现中,也可以不考虑远程服务器1可提供的业务服务的数量,所有业务服务共享一个密钥生成算法和一个随机数,也就是说,所有业务服务对应一个共享的接入密钥。其具体实现过程与上述图3所示过程类似。
在本发明实施例中,远程服务器是指外部运营商网络中能够通过WPAN中的接入设备向WPAN中的用户设备提供服务或对用户设备进行控制的设备。其中,外部网络包括但不限于互联网、IP网络或无线网络。并且,WPAN中的接入设备包括但不限于网关设备或接入点。
并且,在本发明实施例中,WPAN中用户设备的标识可以是该用户设备的IEEE地址或该用户设备其他的固有信息。
需要说明的是,本实施例中,接入设备利用共享密钥Ku、密钥生成算法和随机数来得到接入密钥。但是,接入设备获得接入密钥的方法并不局限于此。例如,可以由远程服务器使用与接入设备共享的点对点密钥将接入密钥加密后发送给接入设备,也可以通过其他安全的方式获得接入密钥后,采用手动方式在接入设备上进行接入密钥的设置。此外,接入设备保存用户标识与业务服务标识的对应关系,除了采用ACL之外,也可以采用其他形式。
根据图3所示的本发明实施例的流程可以看出,在本发明实施例中,可以首先由WPAN中的接入设备对用户设备进行接入权限验证,然后由远程 服务器再次对接入密钥的正确性进行验证,双重验证过程进一步保证了用户设备接入的安全性。当然,也可以事前设置运营商对接入设备的信任机制,在接入权限验证通过后,远程服务器就可以提供业务服务,而不需要再进行接入密钥验证。在不需要接入密钥验证的情况下,接入设备中可以只保存业务服务标识与用户设备标识的对应关系,而不需保存业务服务标识与接入密钥的对应关系。根据图3所示的本发明实施例的流程可以看出,在本发明实施例中,整个接入控制过程无需现有技术中的专用密钥产生服务器和专用认证服务器,产生密钥的功能和认证的功能可以分别由远程服务器和接入设备完成,这样,运营商则无需在网络中设置专用的密钥产生服务器和专用认证服务器,降低了运营商的成本。并且,无需现有技术中与专用的密钥产生服务器和专用的认证服务器进行信息交互的过程;在多个用户都需要获取业务服务时,无需多个用户分别与外部运营商网络进行交互,只需要接入设备与与外部运营商网络进行交互。因此,本发明实施例还简化了接入控制的过程。
可以理解的是,虽然上述实施例中,为便于理解,对方法的步骤采用了顺序性描述,但是应当指出的是,对于上述步骤的顺序并不做严格的限制。
本领域普通技术人员还可以理解,上述实施例中的全部或部分步骤可以通过程序来指令相关的硬件来实现,所述的程序可以存储于一计算机可读取存储介质中,所述的存储介质,可以是ROM/RAM、磁碟、光盘等。
相应地,本发明实施例还提出了一种对用户设备进行接入控制的***。图6是在本发明实施例中对WPAN中的用户设备进行接入控制的***结构示意图。参见图6,该***包括:
WPAN中的接入设备,用于保存WPAN中的用户设备标识与用户设备享有的远程服务器中的业务服务的业务服务标识的对应关系,接收WPAN中的用户设备发来的接入请求,所述接入请求中携带用户设备标识和业务服务标识,在检测出所述接入请求中携带的用户设备标识和业务服务标识与所保存的对应关系一致时,通过接入权限验证,向所述业务标识所对应的远程服务器发送接入请求;
WPAN中的用户设备,用于向WPAN中的接入设备发送接入请求,所述接入请求中携带用户设备标识和业务服务标识。
相应地,本发明实施例还提出了一种接入设备。图7是在本发明实施例中WPAN的接入设备的基本结构示意图。参见图7,该接入设备包括:
对应关系保存单元,用于保存WPAN中的用户设备标识与用户设备享有的远程服务器中的业务服务的业务服务标识的对应关系;
信息接收处理单元,用于接收WPAN中的用户设备发来的接入请求,将接入请求中携带的用户设备标识和业务服务标识提供给接入控制单元,在接收到接入权限验证通过的通知后,向接入请求中携带的业务标识所对应的远程服务器发送接入请求;
接入控制单元,用于检测到信息接收处理单元提供的用户设备标识和业务服务标识与对应关系保存单元中保存的对应关系一致后,通知信息接收处理单元接入权限验证通过。
较佳地,所述对应关系保存单元,用于将所述用户设备标识与业务服务的标识的对应关系保存在ACL中。
为了进一步实现后续远程服务器对接入密钥的验证,所述对应关系保存单元,进一步用于保存所述远程服务器中每一种业务服务的标识与接入密钥的对应关系;
所述接入控制单元,进一步根据对应关系保存单元中保存的每一种业务服务的标识与接入密钥的对应关系,确定与信息接收处理单元提供的业务服务标识对应的接入密钥,向所述信息接收处理单元发送所确定出的接入密钥;
所述信息接收处理单元,进一步在将接入请求发送至远程服务器之前,将接收到的接入密钥包含在该接入请求中。
较佳地,参见图8,该接入设备进一步包括接入密钥获取单元,其中,
所述信息接收处理单元,进一步将远程服务器发来的每一种业务服务对应的随机数提供给接入密钥获取单元;
接入密钥获取单元,用于获取密钥Ku以及对应于远程服务器的每一种业 务服务的密钥生成算法,利用密钥Ku、对应于每一种业务服务的密钥生成算法和随机数,得到所述远程服务器中每一种业务服务的标识与接入密钥的对应关系,将该对应关系保存到所述对应关系保存单元中。
较佳地,当所述接入设备中的用户设备标识与业务服务标识的对应关系以及每一种业务服务的标识与接入密钥的对应关系,均保存在ACL中时,所述对应关系保存单元进行保存的方式可以为:将用户设备标识、业务服务标识与接入密钥这三者的对应关系保存在同一ACL中;或者,将用户设备标识与业务服务标识的对应关系以及业务服务标识与接入密钥的对应关系保存在不同的ACL中。
可以理解的是,附图中或实施例中所示仅仅是示意性的,表示逻辑结构,其中所述作为分离部件显示的单元可能是或者可能不是物理上分开的,作为单元显示的部件可能是或者可能不是物理单元,即可以位于一个地方,或者分布到几个网络单元上。
总之,以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (11)
1.一种对无线个人域网络WPAN的用户设备进行接入控制的方法,其特征在于,该方法包括:
WPAN的接入设备中预先设置有WPAN中的用户设备标识与用户设备享有的远程服务器中的业务服务的业务服务标识的对应关系;
所述接入设备接收WPAN中的用户设备发来的接入请求,所述接入请求中携带用户设备标识和业务服务标识;
当所述接入请求中携带的用户设备标识和业务服务标识与所述接入设备所保存的对应关系一致时,通过接入权限验证;
所述接入设备向所述业务服务标识所对应的远程服务器发送接入请求。
2.根据权利要求1所述的方法,其特征在于,所述接入设备中的用户设备标识与业务服务标识的对应关系保存在访问控制列表ACL中。
3.根据权利要求1所述的方法,其特征在于,所述接入设备中还预先设置有所述远程服务器中的业务服务的业务服务标识与接入密钥的对应关系;
所述接入设备向所述业务服务标识所对应的远程服务器发送接入请求的步骤包括:所述接入设备根据业务服务标识与接入密钥的对应关系,确定与接入设备接收的用户设备发来的接入请求中携带的业务服务标识对应的接入密钥,向该业务服务标识所对应的远程服务器发送接入请求,该接入请求中包含所确定的接入密钥。
4.根据权利要求3所述的方法,其特征在于,所述远程服务器中预先设置有业务服务标识与接入密钥的对应关系;
所述接入设备向所述业务服务标识所对应的远程服务器发送接入请求之后,进一步包括:当所述接入请求中携带的业务服务标识和接入密钥与所述远程服务器中保存的对应关系一致时,所述远程服务器向所述用户设备提供与所述接入设备向远程服务器发送的接入请求中携带的业务服务标识对应的业务服务。
5.根据权利要求3所述的方法,其特征在于,所述接入设备预先设置所述远程服务器中的业务服务的业务服务标识与接入密钥的对应关系的方法包括:
所述接入设备根据来自于所述远程服务器的密钥Ku、以及对应于所述远程服务器的每一种业务服务的密钥生成算法和随机数,得到每一种业务服务所对应的接入密钥;
设置每一种业务服务的业务服务标识与接入密钥的对应关系。
6.根据权利要求3至5中任意一项所述的方法,其特征在于,当所述接入设备中的用户设备标识与业务服务标识的对应关系以及业务服务标识与接入密钥的对应关系,保存在ACL中时,该保存方法为:
将用户设备标识、业务服务标识与接入密钥三者的对应关系保存在同一ACL中;
或者,
将用户设备标识与业务服务标识的对应关系以及业务服务标识与接入密钥的对应关系保存在不同的ACL中。
7.一种对WPAN的用户设备进行接入控制的***,其特征在于,该***包括:
WPAN中的接入设备,用于保存WPAN中的用户设备标识与用户设备享有的远程服务器中的业务服务的业务服务标识的对应关系,接收WPAN中的用户设备发来的接入请求,所述接入请求中携带用户设备标识和业务服务标识,在检测出所述接入请求中携带的用户设备标识和业务服务标识与所保存的对应关系一致时,通过接入权限验证,向所述业务标识所对应的远程服务器发送接入请求;
WPAN中的用户设备,用于向WPAN中的接入设备发送接入请求,所述接入请求中携带用户设备标识和业务服务标识。
8.一种接入设备,其特征在于,该接入设备包括:
对应关系保存单元,用于保存WPAN中的用户设备标识与用户设备享有的远程服务器中的业务服务的业务服务标识的对应关系;
信息接收处理单元,用于接收WPAN中的用户设备发来的接入请求,将接入请求中携带的用户设备标识和业务服务标识提供给接入控制单元,在接收到接入权限验证通过的通知后,向所接收的用户设备发来的接入请求中携带的业务服务标识所对应的远程服务器发送接入请求;
接入控制单元,用于检测到信息接收处理单元提供的用户设备标识和业务服务标识与对应关系保存单元中保存的对应关系一致后,通知信息接收处理单元接入权限验证通过。
9.根据权利要求8所述的接入设备,其特征在于,所述对应关系保存单元,用于将所述用户设备标识与业务服务标识的对应关系保存在ACL中。
10.根据权利要求8或9所述的接入设备,其特征在于,所述对应关系保存单元,进一步用于保存所述业务服务标识与接入密钥的对应关系;
所述接入控制单元,进一步根据对应关系保存单元中保存的业务服务标识与接入密钥的对应关系,确定与信息接收处理单元提供的业务服务标识对应的接入密钥,向所述信息接收处理单元发送所确定的接入密钥;
所述信息接收处理单元,进一步用于在将接入请求发送至远程服务器之前,将接收到的接入密钥包含在该接入请求中。
11.根据权利要求10所述的接入设备,其特征在于,所述对应关系保存单元,用于将用户设备标识、业务服务标识与接入密钥这三者的对应关系保存在同一ACL中;或者,将用户设备标识与业务服务标识的对应关系以及业务服务标识与接入密钥的对应关系保存在不同的ACL中。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101875797A CN101453394B (zh) | 2007-12-03 | 2007-12-03 | 一种接入控制方法、***和设备 |
| PCT/CN2008/073256 WO2009074082A1 (fr) | 2007-12-03 | 2008-11-28 | Procédé, système et dispositif de contrôle d'accès |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101875797A CN101453394B (zh) | 2007-12-03 | 2007-12-03 | 一种接入控制方法、***和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101453394A CN101453394A (zh) | 2009-06-10 |
| CN101453394B true CN101453394B (zh) | 2011-06-01 |
Family
ID=40735424
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101875797A Expired - Fee Related CN101453394B (zh) | 2007-12-03 | 2007-12-03 | 一种接入控制方法、***和设备 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101453394B (zh) |
| WO (1) | WO2009074082A1 (zh) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102083089A (zh) * | 2009-11-27 | 2011-06-01 | ***通信集团山东有限公司 | 一种访问业务监控方法、***及装置 |
| CN102143126B (zh) * | 2010-01-29 | 2016-04-13 | 北京邮电大学 | Cpm会谈历史记录的访问方法及消息存储服务器 |
| CN102271382B (zh) * | 2010-06-07 | 2014-08-20 | 电信科学技术研究院 | 一种mtc设备的接入控制方法和设备 |
| CN102104923B (zh) * | 2011-01-13 | 2013-04-24 | 华为技术有限公司 | Ap控制ue驻留的方法和装置 |
| CN102594782B (zh) * | 2011-01-14 | 2016-03-02 | ***通信集团公司 | Ip多媒体子***鉴权方法、***及服务器 |
| CN104754015B (zh) * | 2013-12-31 | 2018-11-13 | 华为技术有限公司 | 一种建立远程会话的方法、装置和*** |
| WO2017084089A1 (zh) * | 2015-11-20 | 2017-05-26 | 华为技术有限公司 | 车联网验证方法、装置及车联网*** |
| CN106921632B (zh) * | 2015-12-25 | 2020-02-07 | 北京奇虎科技有限公司 | 无线热点接入控制方法及装置 |
| CN105872059B (zh) * | 2016-03-31 | 2019-08-09 | 北京奇艺世纪科技有限公司 | 一种远程执行方法及装置 |
| CN112260995B (zh) * | 2018-03-31 | 2022-05-24 | 华为云计算技术有限公司 | 接入认证方法、装置及服务器 |
| CN109246226A (zh) * | 2018-09-25 | 2019-01-18 | 行吟信息科技(上海)有限公司 | 一种消息生成方法及装置 |
| CN109587113A (zh) * | 2018-10-30 | 2019-04-05 | 歌尔科技有限公司 | 一种设备关联方法、设备及存储介质 |
| CN109561431B (zh) * | 2019-01-17 | 2021-07-27 | 西安电子科技大学 | 基于多口令身份鉴别的wlan接入访问控制***及方法 |
| CN111159693B (zh) * | 2019-12-28 | 2022-11-29 | 西安精雕软件科技有限公司 | 一种电子设备权限验证方法、装置、***以及可读介质 |
| CN111770087A (zh) * | 2020-06-29 | 2020-10-13 | 深圳市网心科技有限公司 | 一种服务节点验证方法及相关设备 |
| CN116049860B (zh) * | 2023-03-06 | 2023-06-02 | 深圳前海环融联易信息科技服务有限公司 | 访问控制方法、装置、计算机设备及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1549526A (zh) * | 2003-05-16 | 2004-11-24 | 华为技术有限公司 | 一种实现无线局域网鉴权的方法 |
| CN1946024A (zh) * | 2006-10-23 | 2007-04-11 | 华为技术有限公司 | 一种业务分组认证的方法和*** |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1225870C (zh) * | 2002-09-23 | 2005-11-02 | 华为技术有限公司 | 基于虚拟局域网的网络接入控制方法及装置 |
| CN100388740C (zh) * | 2005-07-29 | 2008-05-14 | 华为技术有限公司 | 一种数据业务***及接入控制方法 |
-
2007
- 2007-12-03 CN CN2007101875797A patent/CN101453394B/zh not_active Expired - Fee Related
-
2008
- 2008-11-28 WO PCT/CN2008/073256 patent/WO2009074082A1/zh active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1549526A (zh) * | 2003-05-16 | 2004-11-24 | 华为技术有限公司 | 一种实现无线局域网鉴权的方法 |
| CN1946024A (zh) * | 2006-10-23 | 2007-04-11 | 华为技术有限公司 | 一种业务分组认证的方法和*** |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2009074082A1 (fr) | 2009-06-18 |
| CN101453394A (zh) | 2009-06-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101453394B (zh) | 一种接入控制方法、***和设备 | |
| US9025769B2 (en) | Method of registering smart phone when accessing security authentication device and method of granting access permission to registered smart phone | |
| JP5579938B2 (ja) | ローミングネットワークにおけるアクセス端末識別情報の認証 | |
| CN1852094B (zh) | 网络业务应用账户的保护方法和*** | |
| CN102413224B (zh) | 绑定、运行安全数码卡的方法、***及设备 | |
| CN102111766B (zh) | 网络接入方法、装置及*** | |
| WO2014071725A1 (zh) | 软sim卡的启用方法及入网方法及终端及网络接入设备 | |
| CN107094127B (zh) | 安全信息的处理方法及装置、获取方法及装置 | |
| CN101986598B (zh) | 认证方法、服务器及*** | |
| CN102948185A (zh) | 用于在网络中的设备和智能卡之间建立安全和授权连接的方法 | |
| CN107516364A (zh) | 蓝牙锁的开锁方法、蓝牙锁及开锁终端 | |
| CN109561429B (zh) | 一种鉴权方法及设备 | |
| CN1941695B (zh) | 初始接入网络过程的密钥生成和分发的方法及*** | |
| CN103780580A (zh) | 提供能力访问策略的方法、服务器和*** | |
| CN101841814B (zh) | 终端鉴权方法及*** | |
| CN112566119A (zh) | 终端认证方法、装置、计算机设备及存储介质 | |
| CN103368735B (zh) | 应用接入智能卡的认证方法、装置和*** | |
| CN105763517A (zh) | 一种路由器安全接入和控制的方法及*** | |
| CN105813072A (zh) | 一种终端鉴权方法、***及云端服务器 | |
| CN106127888A (zh) | 智能锁操作方法和智能锁操作*** | |
| CN108447149A (zh) | 一种共享房屋的解锁方法及装置 | |
| CN103152326A (zh) | 一种分布式认证方法及认证*** | |
| US20230354037A1 (en) | Methods and systems for identifying ausf and accessing related keys in 5g prose | |
| CN101877852B (zh) | 用户接入控制方法和*** | |
| EP1311136A1 (en) | Authentication in telecommunications networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110601 Termination date: 20201203 |