控制访问家庭网络的方法、系统、认证服务器和家庭设备

1.一种控制访问家庭网络的方法，其特征在于，包括以下步骤：
认证服务器对用户设备进行的身份认证通过后，向所述用户设备颁发与所述用户设备身份对应的合格成员标志；
家庭设备接收所述用户设备的服务请求，所述服务请求中包括所述合格成员标志；
所述家庭设备确定所述合格成员标志有效，则所述家庭设备通过访问控制列表获取所述用户设备访问所述家庭设备的访问权限和服务质量信息，并通知所述用户设备；
所述用户设备根据所述访问权限和服务质量信息登录访问所述家庭设备。
2.如权利要求1所述控制访问家庭网络的方法，其特征在于，所述访问控制列表为访问控制列表总表，用于存储用户设备的访问权限和服务质量信息，
所述家庭设备通过访问控制列表获取所述用户设备访问所述家庭设备的访问权限和服务质量信息具体为：
所述家庭设备向认证服务器发送对所述用户设备的身份进行查询的查询请求；
所述认证服务器根据所述查询请求中包含的所述用户设备的识别信息，查找访问控制列表总表，获得所述用户设备对所述家庭设备的访问权限和服务质量信息，并将所述访问权限和服务质量信息发送给所述家庭设备。
3.如权利要求1所述控制访问家庭网络的方法，其特征在于，所述访问控制列表为所述家庭设备的访问控制列表子表，所述访问控制列表子表用于存储访问所述家庭设备的用户设备的访问权限和服务质量信息。
4.如权利要求1所述控制访问家庭网络的方法，其特征在于，所述合格成员标志具有时间戳，所述家庭设备确定所述合格成员标志有效的步骤包括：根据所述时间戳确定所述合格成员标志在有效期内。
5.如权利要求1所述控制访问家庭网络的方法，其特征在于：所述用户设备根据所述访问权限和服务质量信息访问家庭设备后还包括所述用户设备访问另一家庭设备：
所述用户设备向所述另一家庭设备发送服务请求，所述服务请求中包括合格成员标志；
所述另一家庭设备确定所述合格成员标志有效，则所述另一家庭设备获取所述用户设备对所述另一家庭设备的访问权限和服务质量信息，并通知所述用户设备；
所述用户设备根据所述访问权限和服务质量信息登录访问所述另一家庭设备。
6.如权利要求5所述控制访问家庭网络的方法，其特征在于，所述另一家庭设备获取所述用户设备对所述另一家庭设备的访问权限和服务质量信息具体为：
所述另一家庭设备从自身的访问控制列表子表中获取所述用户设备对所述另一家庭设备的访问权限和服务质量信息，或所述另一家庭设备从认证服务器的访问控制列表总表中获取所述用户设备对所述另一家庭设备的访问权限和服务质量信息。
7.如权利要求6所述控制访问家庭网络的方法，其特征在于：所述另一家庭设备从访问控制列表总表中获取访问权限和服务质量信息具体包括：
所述另一家庭设备向认证服务器发送对所述用户设备进行身份查询的查询请求；
所述认证服务器根据所述查询请求中包含的所述用户设备的识别信息查找访问控制列表总表，获得所述用户设备对所述另一家庭设备的访问权限和服务质量信息，发送给所述另一家庭设备。
8.一种认证服务器，包括身份认证单元，用于对用户设备进行身份认证，其特征在于，还包括：
合格成员标志分配单元，用于为经所述身份认证单元认证成功的用户设备分配合格成员标志；
信息调用单元，用于接收到家庭设备发送的对用户设备进行身份查询的查询请求后，获取所述用户设备对所述家庭设备的访问权限和服务质量信息，发送给所述家庭设备；
访问控制列表总表，用于存储包括用户设备身份信息及对应的访问权限和服务质量信息的访问控制列表总表，供所述信息调用单元调用对应的访问权限和服务质量信息。
9.一种家庭设备，包括业务提供单元，用于为用户设备提供家庭网络业务，其特征在于，还包括：用户设备状态判断单元和家庭设备管理单元；
所述用户设备状态判断单元，用于判断请求服务的用户设备的合格成员标志是否有效；
所述家庭设备管理单元，用于在所述用户设备判断单元确定所述用户设备的合格成员标志有效的情况下，获取所述用户设备对所述家庭设备的访问权限和服务质量信息，并通知所述用户设备根据所述访问权限和服务质量对所述业务提供单元进行登录访问。
10.如权利要求9所述家庭设备，其特征在于，所述家庭设备还包括：
访问控制列表子表单元，用于存储访问所述家庭设备的用户设备的访问权限和服务质量信息；
所述家庭设备管理单元包括：
查询子单元，用于在所述用户设备判断单元确定所述用户设备的合格成员标志有效时，从所述访问控制列表子表单元中获取所述访问权限和服务质量信息；或者从存储有用户设备的访问权限和服务质量信息的认证服务器的访问控制总表中获取所述访问权限和服务质量信息；
通知子单元，用于在获取所述用户设备的权限和访问质量后，通知所述用户设备根据所述查询单元获取的所述访问权限和服务质量对所述业务提供单元进行登录访问。
11.一种家庭网络，包括：认证服务器、家庭设备和用户设备，其特征在于，所述认证服务器，包括合格成员标志分配单元，用于对用户设备进行身份认证；并为认证成功的用户设备分配合格成员标志；
所述家庭设备，用于判断用户设备的合格成员标志是否有效；并在所述用户设备的合格成员标志有效时，获取所述用户设备的访问权限和服务质量信息，并通知所述用户设备，供所述用户设备对所述家庭设备进行访问。
12.如权利要求11所述家庭网络，其特征在于，所述认证服务器还包括：
信息调用单元，用于接收到家庭设备发送的对用户设备进行身份查询的查询请求后，获取所述用户设备对所述家庭设备的访问权限和服务质量信息，发送给所述家庭设备。
13.如权利要求12所述家庭网络，其特征在于，所述认证服务器还包括访问控制列表总表单元，用于存储包括用户设备身份信息及对应的访问权限和服务质量信息的访问控制列表总表，供所述信息调用单元调用对应的访问权限和服务质量信息。
14.如权利要求11所述家庭网络，其特征在于，所述家庭设备还包括访问控制列表子表单元，用于存储访问所述家庭设备的用户设备的访问权限和服务质量信息。

控制访问家庭网络的方法、系统、认证服务器和家庭设备 \n技术领域\n[0001] 本发明涉及家庭网络控制管理技术领域，尤其涉及一种控制访问家庭网络的方法、系统、认证服务器和家庭设备。 \n背景技术\n[0002] 一般的家庭网络结构如图1所示，包括：远程用户、远程终端、应用服务器、家庭安全网关、家庭应用服务器、家庭用户、家庭设备。家庭网络内部各实体之间通过有线或无线的方式连接，并通过家庭安全网关与公共网络相连接。这些实体之间的相互联系包括：远程用户和远程终端、远程终端和家庭安全网关、远程终端和家庭应用服务器、远程终端和家庭设备、应用服务器和家庭安全网关、应用服务器和家庭应用服务器、应用服务器和家庭设备、家庭安全网关和家庭设备、家庭应用服务器和家庭设备、家庭设备和家庭用户、家庭设备和其他家庭设备、家庭安全网关和家庭应用服务器之间的联系。 \n[0003] 其中，家庭设备根据功能不同分成3类：A类家庭设备、B类家庭设备和C类家庭设备。A类家庭设备具有控制功能，例如：电脑、机顶盒等；B类家庭设备具有桥接功能，例如：\n交换机(switch)和集线器(hub)等；C类家庭设备为其他家庭设备提供特定服务，例如：数字电视、冰箱等，其中，C类家庭设备没有通信接口直接连接家庭网络，需要通过B类家庭设备连接到家庭网络。 \n[0004] 现有技术中一种控制访问家庭网络的方法如图2所示，包括以下步骤： [0005] 步骤s201，用户设备向认证服务器发送认证请求消息。 \n[0006] 步骤s202，认证服务器向用户设备发送认证请求响应消息，该消息中包括用户设备向认证服务器申请服务时表明其合法身份的凭证。 \n[0007] 步骤s203，用户设备向认证服务器发送服务请求消息，该请求消息中包括：身份凭证、服务表示等信息。 \n[0008] 步骤s204，认证服务器验证服务请求消息中的身份凭证合法后，检验用 户设备是否有使用请求服务的权限，如果有则为该用户设备提供会话密钥等信息，并与认证服务器发送给服务提供设备的密钥加密后的信息，一同发送给用户设备。 \n[0009] 步骤s205，用户设备获得会话密钥后，将该会话密钥和自身信息、认证服务器给服务提供设备的密钥加密后信息一同发送给服务提供设备。 \n[0010] 步骤s206，服务提供设备解密认证服务器发送给服务提供设备的信息，将其同用户设备发送的会话密钥、自身信息相比较，当相同时，为该用户设备提供相应的服务。 [0011] 现有技术中，用户设备获得认证服务器的认证后，还需要将自身的信息及认证服务器给服务提供设备的信息一起发送给服务提供设备，在服务提供设备中，进一步验证后，才能为用户设备提供相关服务，因此，对用户设备需要通过复杂的认证过程才能访问家庭网络，用户设备与认证服务器之间相关信息和开销的重复，用户设备访问家庭设备的时间较长。 \n[0012] 发明内容\n[0013] 本发明实施例提供了一种控制访问家庭网络的方法，以降低家庭网络中用户设备访问家庭设备的复杂程度。 \n[0014] 本发明实施例提供一种控制访问家庭网络的方法，包括以下步骤： [0015] 认证服务器对用户设备进行的身份认证通过后，向所述用户设备颁发与所述用户设备身份对应的合格成员标志； \n[0016] 家庭设备接收所述用户设备的服务请求，所述服务请求中包括所述合格成员标志； \n[0017] 所述家庭设备确定所述合格成员标志有效，则所述家庭设备通过访问控制列表获取所述用户设备访问所述家庭设备的访问权限和服务质量信息，并通知所述用户设备； [0018] 所述用户设备根据所述访问权限和服务质量信息登录访问所述家庭设备。 [0019] 本发明实施例还提供了一种认证服务器，包括身份认证单元，用于对用户设备进行身份认证，还包括： \n[0020] 所述合格成员标志分配单元，用于为经所述身份认证单元认证成功的用 户设备分配合格成员标志；信息调用单元，用于接收到家庭设备发送的对用户设备进行身份查询的查询请求后，获取所述用户设备对所述家庭设备的访问权限和服务质量信息，发送给所述家庭设备； \n[0021] 访问控制列表总表，用于存储包括用户设备身份信息及对应的访问权限和服务质量信息的访问控制列表总表，供所述信息调用单元调用对应的访问权限和服务质量信息。 [0022] 本发明实施例还提供了一种家庭设备，包括业务提供单元，用于为用户设备提供家庭网络业务，还包括：用户设备状态判断单元和家庭设备管理单元； [0023] 所述用户设备状态判断单元，用于判断请求服务的用户设备的合格成员标志是否有效； \n[0024] 所述家庭设备管理单元，用于在所述用户设备判断单元确定所述用户设备的合格成员标志有效的情况下，获取所述用户设备对所述家庭设备的访问权限和服务质量信息，并通知所述用户设备根据所述访问权限和服务质量对所述业务提供单元进行登录访问。 [0025] 本发明实施例还提供了一种家庭网络，包括：认证服务器、家庭设备和用户设备， [0026] 所述认证服务器，包括合格成员标志分配单元，用于对用户设备进行身份认证；并为认证成功的用户设备分配合格成员标志； \n[0027] 所述家庭设备，用于判断用户设备的合格成员标志是否有效；并在所述用户设备的合格成员标志有效时，获取所述用户设备的访问权限和服务质量信息，并通知所述用户设备，供所述用户设备对所述家庭设备进行访问。 \n[0028] 本发明的实施例中，用户设备在身份认证时，从认证服务器获取合格成员标志，之后，只需要利用该合格成员标志，通过使用访问控制列表直接规划用户设备对家庭设备的访问，因此，简化了用户设备的多次认证过程，减少了用户设备与认证服务器之间相关信息和开销的重复，降低家庭网络访问的复杂程度。 \n[0029] 附图说明\n[0030] 图1是现有技术中一种家庭网络结构图； \n[0031] 图2是现有技术中一种控制访问家庭网络的方法流程图； \n[0032] 图3是本发明实施例中一种家庭网络的实施例结构图； \n[0033] 图4是本发明实施例中用户设备初次访问家庭设备的第一实施例流程图； [0034] 图5是本发明实施例中用户设备初次访问家庭设备的第二实施例流程图； [0035] 图6是本发明实施例中设备间访问家庭设备的第一实施例流程图； [0036] 图7是本发明实施例中设备间访问家庭设备的第二实施例流程图； [0037] 图8是本发明实施例中用户设备退出访问流程图。 \n具体实施方式\n[0038] 本发明实施例可以通过家庭网络中的ACL(Access Control List，访问控制列表)记录的信息来验证访问者的用户名、密码和访问权限，以及控制各访问用户的QoS(Quality of Service，服务质量)。QoS的作用包括为不同的用户分配不同的访问带宽，为不同的用户设备设定访问优先级等。例如：在家庭网络中，为了防止小孩过长时间进行网络游戏或在线观看电影，通过ACL给小孩设置较窄的访问带宽；当父母和小孩同时对某家庭设备发出服务请求，可以通过设置ACL授权父母先于小孩使用该家庭设备。在本发明中，对于家庭网络设备的名称，可以通过由管理员设定，也可以采用设备自动发现的协议，如闪联，UpnP(Universal plug-and-play，通用即插即用标准)等标准协议来获取。 [0039] 本发明一种家庭网络的实施例如图3所示，包括至少一个用户设备100、至少一个家庭设备200和认证服务器300。其中，认证服务器300进一步包括：访问控制列表总表单元301、合格成员标志分配单元302、信息调用单元303和身份认证单元304。身份认证单元304，用于对用户设备进行身份认证；访问控制列表总表单元301用于存储用户设备100的身份信息及对应的访问权限和服务质量信息；合格成员标志分配单元302用于为经身份认证单元304认证成功的用户设备100分配合格成员标志，供家庭设备200对所述用户设备100进行检测，例如，该合格成员标志带有时间戳，只有当该时间戳在有效期内，该合格成员标志有效。信息调用单元303，用于接收到家庭设备200发送的对用户设备进行身份查询的查询请求后，从访问控制列表总表单元301 中获取用户设备100对该家庭设备200的访问权限和服务质量信息，发送给家庭设备200。其中，家庭设备200对合格成员标志的验证可采取如下方法：一、认证服务器300对用户设备100进行认证，认证成功后，将(认证成功的结果的明文+指纹)，即的合格成员标志传给用户设备100，服务设备接收到服务请求后，检查合格成员标志中的组成，如果用户设备100篡改了认证成功的结果的明文部分，用户设备100通过指纹可以判断出明文被修改了，服务设备拒绝用户设备100的服务请求；\n二、也可再向认证服务器300进行查询，验证合格成员标志，当然也可以采取其它方式对合格成员标志进行验证。 \n[0040] 访问控制列表总表单元301和信息调用单元303可以如上述实施例所述集成在认证服务器300中，也可以与认证服务器300相互独立，单独设置。 \n[0041] 家庭设备200进一步包括：访问控制列表子表单元201、用户设备状态判断单元\n202、家庭设备管理单元203和业务提供单元204。其中，业务提供单元204，用于为用户设备提供家庭网络业务；访问控制列表子表单元201用于存储用户设备的访问权限和服务质量；用户设备状态判断单元202用于判断用户设备100的合格成员标志是否有效；家庭设备管理单元203用于在用户设备100的合格成员标志有效的情况下，从认证服务器300的访问控制列表总表单元301获取访问权限和服务质量信息或从访问控制列表子表单元201获取用户设备100对家庭设备200的访问权限和服务质量信息，并通知用户设备100，根据访问权限和服务质量对业务提供单元204进行访问。 \n[0042] 其中，家庭设备管理单元203具体包括：查询子单元2031，用于在用户设备状态判断单元202确定用户设备的合格成员标志有效时，从访问控制列表子表单元201中获取访问权限和服务质量信息；或者从存储有用户设备的访问权限和服务质量信息的访问控制总表中获取访问权限和服务质量信息；通知子单元2032，用于在获取用户设备的权限和访问质量后，通知用户设备100根据查询子单元2031获取的访问权限和服务质量对业务提供单元进行登录访问。 \n[0043] 其中，ACL子表和ACL总表之间应该存在实时更新，保持同步。本实施 例中，用户设备实际是指用户，即用户通过用户设备进行相关操作。 \n[0044] 在家庭网络中可以使用密码、证书、生物技术等方式来认证用户的身份，而且家庭设备按照是否具有生成并存储ACL列表的功能分为两类：具有此功能家庭设备(例如大部分的Type_A设备)和不具有此功能家庭设备(例如Type_B设备)。 \n[0045] 本发明实施例中用户设备初次访问家庭设备的第一实施例流程图如图4所示，其中被访问家庭设备具有生成并存储ACL子列表的功能： \n[0046] 步骤s401，用户设备向具有ACL总表的认证服务器发出认证请求，认证服务器根据ACL总表对用户设备的身份和访问权限进行检验，并且为成功认证的用户设备生成带有时间戳的合格成员标志，该合格成员标志具有有效期，当该时间戳在有效期内，则该合格成员标志有效。 \n[0047] 步骤s402，认证服务器通过认证响应把认证结果通知用户设备，若认证成功则由认证服务器把带有时间戳的合格成员标志一起发给用户设备。 \n[0048] 步骤s403，若用户设备收到认证成功的认证响应，用户设备向家庭设备发送服务请求，请求中含有带有时间戳的合格成员标志。 \n[0049] 步骤s404，收到服务请求的家庭设备，提取请求中的合格成员标志，并且通过检测该合格成员标志的时间戳，确定该合格成员标志在当前时刻是否在规定的有效期内，若处在有效期内则查找ACL子表得到用户设备对该家庭设备访问时，可获得的访问权限和服务质量。 \n[0050] 步骤s405，家庭设备向用户设备返回服务请求响应，通知用户设备允许访问。若家庭设备发现标志过期或不能找到用户设备的权限则通知用户设备重新认证。 [0051] 步骤s406，用户设备被通知有权访问家庭设备后，对家庭设备按照相应访问权限和服务质量进行访问。 \n[0052] 在该实施例中，用户设备经认证服务器认证成功后，从自身的访问控制列表中获得用户设备对该家庭设备的访问权限和服务质量，并根据该访问权限和服务质量对该家庭设备进行登录访问，不需要再通过认证服务器进行获得相应的访问权限和服务质量。因此，可以简化访问登录的步骤，降低家庭 网络访问的复杂程度。 \n[0053] 本发明实施例中用户设备初次访问家庭设备的第二实施例流程图如图5所示，其中被访问家庭设备不具有生成并存储ACL子列表的功能： \n[0054] 步骤s501，用户设备向具有ACL总表的认证服务器发出认证请求，认证服务器对用户设备的身份和访问权限根据ACL总表进行检验，并且为成功认证用户设备生成带有时间戳的合格成员标志，该标志具有有效期。 \n[0055] 步骤s502，认证服务器把认证结果通知用户设备。若认证成功则由认证服务器把带有时间戳的合格成员标志一起发给用户设备。 \n[0056] 步骤s503，若用户设备收到认证成功的认证响应，则用户设备向家庭设备发送服务请求，请求中包括带有时间戳的合格成员标志。 \n[0057] 步骤s504，收到服务请求的家庭设备，检查请求中的合格成员标志和时间戳，并且检测该标志是否在规定的有效期内。 \n[0058] 步骤s505，若处在有效期内，家庭设备向认证服务器发送对用户设备进行身份查询的请求，查看用户设备对该家庭设备的访问权限和相应的服务质量。 [0059] 步骤s506，认证服务器收到身份查询请求后，根据该请求中包含的家庭设备的识别信息，例如家庭设备地址、身份信息等，查找ACL总表得到用户设备对该家庭设备的访问权限和服务质量。 \n[0060] 步骤s507，认证服务器将所有信息封装在一起作为身份查询响应发给家庭设备。 [0061] 步骤s508，家庭设备收到身份查询响应后，通知用户设备允许访问。若家庭设备得知用户设备还没有认证，则通知用户设备进行重新认证。 \n[0062] 步骤s509，用户设备被通知有权访问家庭设备后，对家庭设备按照相应访问权限和服务质量进行登录访问。 \n[0063] 在该实施例中，用户设备经认证服务器认证成功后，家庭设备从认证服务器的访问控制列表中获得用户设备对该家庭设备的访问权限和服务质量，并通知该用户设备，然后该用户设备根据该访问权限和服务质量对该家庭设备进行登录访问，该实施例虽然比图\n4的实施例流程多了家庭设备从认证服 务器获取相应访问权限和服务质量的步骤，但用户设备再访问其它家庭设备时，根据合格成员标志及访问控制列表就能实现访问控制，不需要再进行身份认证，用户设备同样可实现了单点登录。因此，也可以简化访问登录的步骤，降低家庭网络访问的复杂程度。 \n[0064] 本发明实施例中设备间访问家庭设备的第一实施例流程图如图6所示，被访问家庭设备具有生成并存储ACL子表的功能： \n[0065] 步骤s601，用户设备在当前访问的家庭设备上向另一家庭设备发出服务请求，服务请求中封装了带有时间戳的合格成员标志。 \n[0066] 步骤s602，收到服务请求的另一家庭设备，检查请求中是否含有合格成员标志和时间戳，并且检测该标志是否在规定的有效期内，若处在有效期内则查找自身ACL子表得到用户设备对该另一家庭设备的访问权限和服务质量。 \n[0067] 步骤s603，另一家庭设备通过当前家庭设备向用户设备返回服务请求响应，通知用户设备允许访问。若另一家庭设备发现合格成员标志过期或不能找到用户设备的权限则通知用户设备重新认证。 \n[0068] 步骤s604，用户设备被通知有权访问另一家庭设备后，对该另一家庭设备按照相应访问权限和服务质量进行登录访问。 \n[0069] 该实施例中，用户设备可以通过当前访问的家庭设备从其它需要访问的家庭设备获取访问权限和服务器质量，进而对需要访问的其它家庭设备进行登录访问，而不必通过认证服务器进行多次身份认证。 \n[0070] 本发明实施例中设备间访问家庭设备的第二实施例流程图如图7所示，被访问家庭设备不具有生成并存储ACL子表的功能： \n[0071] 步骤s701，用户设备在当前访问的家庭设备上向需要访问的另一家庭设备发出服务请求，服务请求中封装了带有时间戳的合格成员标志。 \n[0072] 步骤s702，收到服务请求的另一家庭设备，检查请求中是否含有合格成员标志和时间戳，并且检测该标志是否在规定的有效期内。 \n[0073] 步骤s703，若处在有效期内则向认证服务器发送对用户设备进行身份查询的请求。\n[0074] 步骤s704，认证服务器收到身份查询请求后，查找ACL总表得到用户设备对另一家庭设备的访问权限和服务质量。 \n[0075] 步骤s705，认证服务器把所有信息封装在一起作为身份查询响应发给该另一家庭设备。 \n[0076] 步骤s706，该另一家庭设备收到身份查询响应后，通过当前家庭设备告知用户设备允许访问。若另一家庭设备得知用户设备还没有认证，则通过当前家庭设备通知用户设备进行重新认证。 \n[0077] 步骤s707，用户设备对另一家庭设备按照相应访问权限和服务质量进行登录访问。 \n[0078] 该实施例中，用户设备可以通过当前访问的家庭设备从其它需要访问的家庭设备获取访问权限和服务器质量，进而对需要访问的其它家庭设备进行登录访问，而不必通过认证服务器进行多次身份认证。 \n[0079] 本发明实施例中用户设备退出家庭网络流程如图8所示： \n[0080] 步骤s801，用户设备向家庭设备提出结束访问请求。 \n[0081] 步骤s802，家庭设备收到请求后向认证服务器发送允许结束访问的信息。 [0082] 步骤s803，认证服务器设置该用户设备得到的合格成员标志为失效。 [0083] 步骤s804，并向家庭设备发送结束访问响应。 \n[0084] 步骤s805，家庭设备得到允许结束访问响应的消息后向用户发送访问结束命令，用户退出访问。 \n[0085] 以上公开的仅为本发明的具体实施例，但是，本发明并非局限于此，任何本领域的技术人员能思之的变化都应落入本发明的保护范围。