AAA服务器、家庭网络接入方法和系统

1.一种家庭网络接入方法，其特征在于，包括：
控制终端将接入所述家庭网络的请求发送给AAA服务器，所述接入请求中包括所述家庭网络的帐号；
所述AAA服务器根据所述家庭网络的帐号，找到所述家庭网络中的家庭网关的IP地址；
所述AAA服务器验证所述控制终端的访问权限；
在所述控制终端的访问权限通过所述AAA服务器的验证后，所述AAA服务器生成一个随机数作为所述控制终端和所述家庭网关通信的会话密钥；
所述AAA服务器将包括所述会话密钥的安全策略和所述家庭网关的IP地址发送给所述控制终端，将所述安全策略和所述控制终端的IP地址发送给所述家庭网关；和所述控制终端和所述家庭网关应用所述安全策略进行通信。
2.根据权利要求1所述的家庭网络接入方法，其特征在于，在所述控制终端和所述家庭网关应用所述安全策略进行通信之前包括：
所述家庭网关的防火墙增加临时规则，所述临时规则包括允许所述控制终端访问所述家庭网关直至所述安全策略失效。
3.根据权利要求1所述的家庭网络接入方法，其特征在于，所述控制终端和所述家庭网关应用所述安全策略进行通信包括：
所述控制终端向所述家庭网关发送访问与所述家庭网关连接的信息终端的请求，所述请求中包括所述信息终端的帐号；
所述家庭网关将所述信息终端的帐号转换为所述信息终端的IP地址；和所述控制终端根据所述信息终端的IP地址访问所述信息终端，或所述家庭网关作为所述信息终端的通信代理，转发所述信息终端与所述控制终端之间的通信数据。
4.根据权利要求3所述的家庭网络接入方法，其特征在于，所述控制终端和所述家庭网关应用所述安全策略进行通信包括：
所述家庭网关对所述信息终端通过所述家庭网关传输的信息进行加密和解密。
5.一种家庭网络接入方法，其特征在于，包括：
智能家居控制平台接收控制终端接入所述家庭网络的请求，并将所述接入所述家庭网络的请求转发给AAA服务器，所述接入请求中包括所述家庭网络的帐号；
所述AAA服务器根据所述家庭网络的帐号，找到所述家庭网络中的家庭网关的IP地址；
所述AAA服务器验证所述控制终端的访问权限；
在所述控制终端的访问权限通过所述AAA服务器的验证后，所述AAA服务器生成一个随机数作为所述控制终端和所述家庭网关通信的会话密钥；
所述AAA服务器将包括所述会话密钥的安全策略和所述家庭网关的IP地址发送给所述智能家居控制平台，将所述安全策略和所述控制终端的IP地址发送给所述家庭网关；和所述控制终端和所述家庭网关应用所述安全策略通过所述智能家居控制平台进行通信。
6.根据权利要求5所述的家庭网络接入方法，其特征在于，所述控制终端和所述家庭网关应用所述安全策略通过所述智能家居控制平台进行通信包括：
所述控制终端向所述智能家居控制平台发送访问与所述家庭网关连接的信息终端的请求，所述请求中包括所述信息终端的帐号；
所述家庭网关将所述信息终端的帐号转换为所述信息终端的IP地址；和所述控制终端根据所述信息终端的IP地址通过所述智能家居控制平台访问所述信息终端，或所述家庭网关作为所述信息终端的通信代理，通过所述智能家居控制平台转发所述信息终端与所述控制终端之间的通信数据。
7.一种AAA服务器，其特征在于，包括：
接收模块，用于接收控制终端发送的接入家庭网络的请求，所述接入请求中包括所述家庭网络的帐号；
查找模块，用于根据所述家庭网络的帐号，找到所述家庭网络中的家庭网关的IP地址；
验证模块，用于验证所述控制终端的访问权限；
密钥生成模块，用于在所述控制终端的访问权限通过所述AAA服务器的验证后，生成一个随机数作为所述控制终端和所述家庭网关通信的会话密钥；和
发送模块，用于将包括所述会话密钥的安全策略和所述家庭网关的IP地址发送给所述控制终端，将所述安全策略和所述控制终端的IP地址发送给所述家庭网关，所述控制终端和所述家庭网关应用所述安全策略进行通信。
8.一种家庭网络接入系统，其特征在于，包括：
AAA服务器，用于接收控制终端发送的接入家庭网络的请求，并验证所述控制终端的访问权限，所述接入请求中包括所述家庭网络的帐号；
所述家庭网络中的家庭网关，用于接收所述AAA服务器发送的包含用于所述控制终端和所述家庭网关通信的会话密钥的安全策略，所述会话密钥为在所述控制终端的访问权限通过所述AAA服务器的验证后所述AAA服务器生成的随机数，
其中，所述AAA服务器将所述安全策略和所述家庭网关的IP地址发送给所述控制终端，将所述安全策略和所述控制终端的IP地址发送给所述家庭网关，所述控制终端和所述家庭网关应用所述安全策略进行通信，其中所述家庭网关的IP地址由所述AAA服务器根据所述家庭网络的帐号查找到。
9.根据权利要求8所述的家庭网络接入系统，其特征在于，所述家庭网关还用于为防火墙增加临时规则，所述临时规则包括允许所述控制终端访问所述家庭网关直至所述安全策略失效。
10.根据权利要求8所述的家庭网络接入系统，其特征在于，所述家庭网关还用于接收所述控制终端发送的访问与所述家庭网关连接的信息终端的请求，所述请求中包括所述信息终端的帐号，所述家庭网关将所述信息终端的帐号转换为所述信息终端的IP地址，所述控制终端根据所述信息终端的IP地址访问所述信息终端，或所述家庭网关作为所述信息终端的通信代理，转发所述信息终端与所述控制终端之间的通信数据。
11.一种家庭网络接入系统，其特征在于，包括：
智能家居控制平台，用于接收控制终端接入所述家庭网络的请求，所述接入请求中包括所述家庭网络的帐号；
AAA服务器，用于接收所述智能家居控制平台转发的所述接入所述家庭网络的请求，并验证所述控制终端的访问权限；
所述家庭网络中的家庭网关，用于接收所述AAA服务器发送的包含用于所述控制终端和所述家庭网关通信的会话密钥的安全策略，所述会话密钥为在所述控制终端的访问权限通过所述AAA服务器的验证后所述AAA服务器生成的随机数，
其中，所述AAA服务器将所述安全策略和所述家庭网关的IP地址发送给所述智能家居控制平台，将所述安全策略和所述控制终端的IP地址发送给所述家庭网关，所述控制终端和所述家庭网关应用所述安全策略通过所述智能家居控制平台进行通信，其中所述家庭网关的IP地址由所述AAA服务器根据所述家庭网络的帐号查找到。
12.根据权利要求11所述的家庭网络接入系统，其特征在于，所述智能家居控制平台还用于接收所述控制终端发送的访问与所述家庭网关连接的信息终端的请求，所述请求中包括所述信息终端的帐号，所述家庭网关将所述信息终端的帐号转换为所述信息终端的IP地址，所述控制终端根据所述信息终端的IP地址访问所述信息终端，或所述家庭网关作为所述信息终端的通信代理，通过所述智能家居控制平台转发所述信息终端与所述控制终端之间的通信数据。

AAA服务器、家庭网络接入方法和系统\n技术领域\n[0001] 本发明涉及网络安全领域，特别是涉及一种AAA(AuthenticationAuthorization Accounting，身份验证、授权和统计)服务器、家庭网络接入方法和系统。\n背景技术\n[0002] 随着互联网和家电信息化的发展，家庭宽带上网已越来越普及。一个家庭可拥有多个信息终端，如计算机、数字电视、可视电话、视频监控系统等。这些信息终端可以组成小型的家庭网络，并可以通过家庭网关接入运营商网络。未来的家庭网络可能实现包括信息设备、通信设备、娱乐设备、家用电器、甚至水电气热表设备等设备互联和管理，以及数据和多媒体信息共享。通过网络，用户可以远程遥控家庭信息终端以实现家居智能化，如远程视频监控、到家前提前开启空调、浴缸注满热水等，为生活带来极大的便利。然而，智能家居也为家居安全带来风险，一旦家庭网络遭到入侵，家电设备、个人隐私将受到严重威胁。因此，家庭网络的安全接入，成为智能家居要解决的首要问题。\n[0003] 目前，局域网远程接入的主流方案是通过IPSec(Internet ProtocolSecurity，Internet协议安全性)等VPN(Virtual Private Network，虚拟专用网)实现，客户可以直接远程访问网关，由网关进行接入控制。但是此类方案在家庭网络应用中存在一定缺陷，比如，家庭网络一般采用拨号方式接入网络，网关IP动态变化，每次接入需要查找、设置IP地址。远程访问家庭网络的控制终端的IP地址动态变化，无法应用IP地址过滤等安全策略。\n另外，家庭网关安全配置的专业性很强，大部分客户难以胜任。\n发明内容\n[0004] 本发明的目的是提出一种AAA服务器、家庭网络接入方法和系统，实现了家庭网络的远程安全接入。\n[0005] 为实现上述目的，本发明提供了一种家庭网络接入方法，包括：控制终端将接入所述家庭网络的请求发送给AAA服务器，所述接入请求中包括所述家庭网络的帐号；所述AAA服务器根据所述家庭网络的帐号，找到所述家庭网络中的家庭网关的IP地址；所述AAA服务器验证所述控制终端的访问权限；在所述控制终端的访问权限通过所述AAA服务器的验证后，所述AAA服务器生成一个随机数作为所述控制终端和所述家庭网关通信的会话密钥；所述AAA服务器将包括所述会话密钥的安全策略和所述家庭网关的IP地址发送给所述控制终端，将所述安全策略和所述控制终端的IP地址发送给所述家庭网关；所述控制终端和所述家庭网关应用所述安全策略进行通信。\n[0006] 在一个实施例中，在所述控制终端和所述家庭网关应用所述安全策略进行通信之前包括：所述家庭网关的防火墙增加临时规则，所述临时规则包括允许所述控制终端访问所述家庭网关直至所述安全策略失效。\n[0007] 在一个实施例中，所述控制终端和所述家庭网关应用所述安全策略进行通信包括：所述控制终端向所述家庭网关发送访问与所述家庭网关连接的信息终端的请求，所述请求中包括所述信息终端的帐号；所述家庭网关将所述信息终端的帐号转换为所述信息终端的IP地址；所述控制终端根据所述信息终端的IP地址访问所述信息终端，或所述家庭网关作为所述信息终端的通信代理，转发所述信息终端与所述控制终端之间的通信数据。\n[0008] 在一个实施例中，所述控制终端和所述家庭网关应用所述安全策略进行通信包括：所述家庭网关对所述信息终端通过所述家庭网关传输的信息进行加密和解密。\n[0009] 为实现上述目的，本发明还提供了一种家庭网络接入方法，包括：智能家居控制平台接收控制终端接入所述家庭网络的请求，并将所述接入所述家庭网络的请求转发给AAA服务器，所述接入请求中包括所述家庭网络的帐号；所述AAA服务器根据所述家庭网络的帐号，找到所述家庭网络中的家庭网关的IP地址；所述AAA服务器验证所述控制终端的访问权限；在所述控制终端的访问权限通过所述AAA服务器的验证后，所述AAA服务器生成一个随机数作为所述控制终端和所述家庭网关通信的会话密钥；所述AAA服务器将包括所述会话密钥的安全策略和所述家庭网关的IP地址发送给所述智能家居控制平台，将所述安全策略和所述控制终端的IP地址发送给所述家庭网关；所述控制终端和所述家庭网关应用所述安全策略通过所述智能家居控制平台进行通信。\n[0010] 在一个实施例中，所述控制终端和所述家庭网关应用所述安全策略通过所述智能家居控制平台进行通信包括：所述控制终端向所述智能家居控制平台发送访问与所述家庭网关连接的信息终端的请求，所述请求中包括所述信息终端的帐号；所述家庭网关将所述信息终端的帐号转换为所述信息终端的IP地址；所述控制终端根据所述信息终端的IP地址通过所述智能家居控制平台访问所述信息终端，或所述家庭网关作为所述信息终端的通信代理，通过所述智能家居控制平台转发所述信息终端与所述控制终端之间的通信数据。\n[0011] 为实现上述目的，本发明还提供了一种AAA服务器，包括：接收模块，用于接收控制终端发送的接入家庭网络的请求，所述接入请求中包括所述家庭网络的帐号；查找模块，用于根据所述家庭网络的帐号，找到所述家庭网络中的家庭网关的IP地址；验证模块，用于验证所述控制终端的访问权限；密钥生成模块，用于在所述控制终端的访问权限通过所述AAA服务器的验证后，生成一个随机数作为所述控制终端和所述家庭网关通信的会话密钥；发送模块，用于将包括所述会话密钥的安全策略和所述家庭网关的IP地址发送给所述控制终端，将所述安全策略和所述控制终端的IP地址发送给所述家庭网关，所述控制终端和所述家庭网关应用所述安全策略进行通信。\n[0012] 为实现上述目的，本发明还提供了一种家庭网络接入系统，包括：AAA服务器，用于接收控制终端发送的接入家庭网络的请求，并验证所述控制终端的访问权限，所述接入请求中包括所述家庭网络的帐号；所述家庭网络中的家庭网关，用于接收所述AAA服务器发送的包含用于所述控制终端和所述家庭网关通信的会话密钥的安全策略，所述会话密钥为在所述控制终端的访问权限通过所述AAA服务器的验证后所述AAA服务器生成的随机数，其中，所述AAA服务器将所述安全策略和所述家庭网关的IP地址发送给所述控制终端，将所述安全策略和所述控制终端的IP地址发送给所述家庭网关，所述控制终端和所述家庭网关应用所述安全策略进行通信，其中所述家庭网关的IP地址由所述AAA服务器根据所述家庭网络的帐号查找到。\n[0013] 在一个实施例中，所述家庭网关还用于为防火墙增加临时规则，所述临时规则包括允许所述控制终端访问所述家庭网关直至所述安全策略失效。\n[0014] 在一个实施例中，所述家庭网关还用于接收所述控制终端发送的访问与所述家庭网关连接的信息终端的请求，所述请求中包括所述信息终端的帐号，所述家庭网关将所述信息终端的帐号转换为所述信息终端的IP地址，所述控制终端根据所述信息终端的IP地址访问所述信息终端，或所述家庭网关作为所述信息终端的通信代理，转发所述信息终端与所述控制终端之间的通信数据。\n[0015] 为实现上述目的，本发明还提供了一种家庭网络接入系统，包括：智能家居控制平台，用于接收控制终端接入所述家庭网络的请求，所述接入请求中包括所述家庭网络的帐号；AAA服务器，用于接收所述智能家居控制平台转发的所述接入所述家庭网络的请求，并验证所述控制终端的访问权限；所述家庭网络中的家庭网关，用于接收所述AAA服务器发送的包含用于所述控制终端和所述家庭网关通信的会话密钥的安全策略，所述会话密钥为在所述控制终端的访问权限通过所述AAA服务器的验证后所述AAA服务器生成的随机数，其中，所述AAA服务器将所述安全策略和所述家庭网关的IP地址发送给所述智能家居控制平台，将所述安全策略和所述控制终端的IP地址发送给所述家庭网关，所述控制终端和所述家庭网关应用所述安全策略通过所述智能家居控制平台进行通信，其中所述家庭网关的IP地址由所述AAA服务器根据所述家庭网络的帐号查找到。\n[0016] 在一个实施例中，所述智能家居控制平台还用于接收所述控制终端发送的访问与所述家庭网关连接的信息终端的请求，所述请求中包括所述信息终端的帐号，所述智能家居控制平台将所述信息终端的帐号转换为所述信息终端的IP地址，所述控制终端根据所述信息终端的IP地址访问所述信息终端，或所述家庭网关作为所述信息终端的通信代理，通过所述智能家居控制平台转发所述信息终端与所述控制终端之间的通信数据。\n[0017] 基于上述技术方案，本发明利用AAA服务器实现了对客户通过控制终端远程访问家庭网络的身份认证、接入控制，借助网络接入的安全保障，实现了家庭网络的远程安全接入的方法。虽然家庭网关的IP地址动态变化，但控制终端接入时，可以直接使用固定的家庭网络名称即可。另外，安全策略由AAA服务器动态下发，无需客户配置，方便了客户的使用。\n附图说明\n[0018] 此处所说明的附图用来提供对本发明的进一步解释，构成本发明的一部分。本发明的示意性实施例及其说明仅用于解释本发明，但并不构成对本发明的不当限定。在附图中：\n[0019] 图1为根据本发明实施例一的家庭网络接入系统的结构示意图。\n[0020] 图2为根据本发明实施例二的家庭网络接入系统的结构示意图。\n[0021] 图3为根据本发明实施例一的家庭网络接入方法的流程图。\n[0022] 图4为根据本发明实施例二的家庭网络接入方法的流程图。\n[0023] 图5为根据本发明实施例三的家庭网络接入方法的流程图。\n[0024] 图6为根据本发明实施例的AAA服务器的结构示意图。\n具体实施方式\n[0025] 下面参照附图对本发明进行更详细的描述，其中说明本发明的示例性实施例。在附图中，相同的标号表示相同或者相似的组件或者元素。\n[0026] 图1为根据本发明实施例一的家庭网络接入系统100的结构示意图。家庭网络接入系统100包括：控制终端102、AAA服务器104和家庭网络110。\n[0027] 在一个实施例中，家庭网络110可以包括家庭网关116和信息终端112。其中，信息终端112可以是计算机、数字电视、可视电话等具有联网功能的信息设备。信息终端112与家庭网关116互联，组成一个独立的内部网络，并以家庭网关116作为家庭网络110的统一出口。在另一个实施例中，家庭网络110也可以只包括一台如家庭网关116的主机。在一个实施例中，家庭网关116可以采用安全的接入技术，如AKA(Authentication and Key Agreement，认证和密钥协商)认证技术，并确保与AAA服务器104通信安全。\n[0028] 控制终端102可以是具有上网功能的PC、笔记本、手机、PDA(Personal Digital Assistant，即个人数码助理)等智能终端。根据本发明的实施例，控制终端102可以远程接入、控制家庭网络110内的家庭网关116和/或信息终端112。在一个实施例中，控制终端102可以采用安全的接入技术(如AKA认证技术)，并确保与AAA服务器104通信安全。\n[0029] AAA服务器104是能够为控制终端102、家庭网络110提供接入认证的系统。AAA服务器104可以记录控制终端102和家庭网络110的在线信息，包括IP地址、帐号名等。\nAAA服务器104可以用于接收控制终端102发送的接入家庭网络110的请求，并验证控制终端102的访问权限，其中，接入请求中包括家庭网络110的帐号，如myhome@foo.com。\n[0030] 根据本发明的实施例，家庭网络110中的家庭网关116可以用于接收AAA服务器\n104发送的包含用于控制终端102和家庭网关116通信的会话密钥的安全策略。会话密钥为在控制终端102的访问权限通过AAA服务器104的验证后AAA服务器104生成的随机数。\n如果验证失败，AAA服务器104会拒绝控制终端102的对家庭网络110的访问请求。AAA服务器104可以将安全策略和家庭网关116的IP地址发送给控制终端102，将安全策略和控制终端102的IP地址发送给家庭网关116。其中，家庭网关116的IP地址由AAA服务器\n104根据家庭网络110的帐号查找到。控制终端102和家庭网关116能够应用安全策略进行通信。\n[0031] 在一个实施例中，家庭网关116具有防火墙功能，缺省情况下，家庭网关116只允许AAA服务器104访问家庭网络110，其它外部访问请求一律拒绝。根据本发明的实施例，在控制终端102通过AAA服务器104的身份验证，并且，AAA服务器104将控制终端102的IP地址和安全策略下发给家庭网关116后，家庭网关116可以为防火墙增加临时规则，临时规则包括允许控制终端102访问家庭网关116直至安全策略失效。在一个实施例中，家庭网关116可以对信息终端112通过家庭网关116传输的信息进行加密和解密。\n[0032] 在一个实施例中，家庭网关116还用于接收控制终端102发送的访问与家庭网关\n116连接的信息终端112的请求，请求中包括信息终端112的帐号，如tv.myhome@foo.com。\n家庭网关116可以将信息终端112的帐号转换为信息终端112的IP地址，控制终端102能够根据信息终端112的IP地址访问信息终端112。在另一实施例中，家庭网关116可以作为信息终端112的通信代理，转发信息终端112与控制终端102之间的通信数据。家庭网关116可以将信息终端112的帐号转换为信息终端112在家庭网络110的内部IP地址，并将请求转发给信息终端112。对于信息终端112的回复信息，家庭网关116可以将地址进行转换后再转发给控制终端102。\n[0033] 本发明利用AAA服务器实现了对客户通过控制终端远程访问家庭网络的身份认证、接入控制，借助网络接入的安全保障，实现了家庭网络的远程安全接入的方法。虽然家庭网关的IP地址动态变化，但控制终端接入时，可以直接使用固定的家庭网络名称即可。\n另外，安全策略由AAA服务器动态下发，无需客户配置，方便了客户的使用。\n[0034] 图2为根据本发明实施例二的家庭网络接入系统200的结构示意图。家庭网络接入系统200包括：控制终端202、AAA服务器204、家庭网络210和智能家居控制平台206。\n[0035] 在一个实施例中，家庭网络210可以包括家庭网关216和信息终端212。其中，信息终端212可以是计算机、数字电视、可视电话等具有联网功能的信息设备。信息终端212与家庭网关216互联，组成一个独立的内部网络，并以家庭网关216作为家庭网络210的统一出口。在另一个实施例中，家庭网络210也可以只包括一台如家庭网关216的主机。\n[0036] 控制终端202可以是具有上网功能的PC、笔记本、手机、PDA等智能终端。根据本发明的实施例，控制终端202可以远程接入、控制家庭网络210内的家庭网关216和/或信息终端212。\n[0037] 智能家居控制平台206用于接收控制终端202接入家庭网络210的请求，接入请求中包括家庭网络210的帐号，如myhome@foo.com。在一个实施例中，智能家居控制平台\n206可以由运营商提供，同AAA服务器204一样置于网络侧，因此AAA服务器204无需对智能家居控制平台206进行动态认证。\n[0038] AAA服务器204用于接收智能家居控制平台206转发的接入家庭网络210的请求，并验证控制终端202的访问权限。\n[0039] 家庭网络210中的家庭网关216，用于接收AAA服务器204发送的包含用于控制终端202和家庭网关216通信的会话密钥的安全策略，会话密钥为在控制终端202的访问权限通过AAA服务器204的验证后AAA服务器204生成的随机数。其中，AAA服务器204将安全策略和家庭网关216的IP地址发送给智能家居控制平台206，将安全策略和控制终端\n202的IP地址发送给家庭网关216，其中家庭网关216的IP地址由AAA服务器204根据家庭网络210的帐号查找到。控制终端202和家庭网关216能够应用安全策略通过智能家居控制平台206进行通信。\n[0040] 在一个实施例中，智能家居控制平台206可以接收控制终端202发送的访问与家庭网关216连接的信息终端212的请求，请求中包括信息终端212的帐号，如tv.myhome@foo.com。家庭网关216可以将信息终端212的帐号转换为信息终端212的IP地址，控制终端202能够根据信息终端212的IP地址通过智能家居控制平台206访问信息终端212。\n在另一实施例中，家庭网关216可以作为信息终端212的通信代理，通过智能家居控制平台206转发信息终端212与控制终端202之间的通信数据。家庭网关216可以将信息终端\n212的帐号转换为信息终端212在家庭网络210的内部IP地址，并将请求转发给信息终端\n212。对于信息终端212的回复信息，家庭网关216可以对地址进行转换后，通过智能家居控制平台206返回给控制终端202。\n[0041] 本发明利用AAA服务器实现了对客户通过控制终端远程访问家庭网络的身份认证、接入控制，借助网络接入的安全保障，实现了家庭网络的远程安全接入的方法。虽然家庭网关的IP地址动态变化，但控制终端接入时，可以直接使用固定的家庭网络名称即可。\n而且，安全策略由AAA服务器动态下发，无需客户配置，方便了客户的使用。另外，由于网络侧的智能家居控制平台的引入，客户可以通过智能家居控制平台访问家庭网络中的信息终端，提高了家庭接入系统对家庭网关的兼容性。\n[0042] 图3为根据本发明实施例一的家庭网络接入方法300的流程图。\n[0043] 在步骤302中，控制终端将接入家庭网络的请求发送给AAA服务器，接入请求中包括家庭网络的帐号。\n[0044] 在步骤304中，AAA服务器根据家庭网络的帐号，找到家庭网络中的家庭网关的IP地址。\n[0045] 在步骤306中，AAA服务器验证控制终端的访问权限。\n[0046] 在步骤308中，在控制终端的访问权限通过AAA服务器的验证后，AAA服务器生成一个随机数作为控制终端和家庭网关通信的会话密钥。\n[0047] 在步骤310中，AAA服务器将包括会话密钥的安全策略和家庭网关的IP地址发送给控制终端，将安全策略和控制终端的IP地址发送给家庭网关。\n[0048] 在步骤312中，控制终端和家庭网关应用安全策略进行通信。\n[0049] 本发明利用AAA服务器，使用户能够通过控制终端对家庭网络中的家庭网关(或单独主机)和/或与家庭网关相连的信息终端进行安全的远程访问。通过网络接入的安全保障，实现了家庭网络的安全接入方法。\n[0050] 图4为根据本发明实施例二的家庭网络接入方法400的流程图。\n[0051] 在一个实施例中，家庭网络可以包括家庭网关和信息终端。其中，信息终端可以是计算机、数字电视、可视电话等具有联网功能的信息设备。信息终端与家庭网关互联，组成一个独立的内部网络，并以家庭网关作为家庭网络的统一出口。在另一个实施例中，家庭网络也可以只包括一台如家庭网关的主机。\n[0052] 在步骤402中，控制终端将接入家庭网络的请求发送给AAA服务器，接入请求中包括家庭网络的帐号，如myhome@foo.com。在一个实施例中，控制终端可以采用安全的接入技术(如AKA认证技术)，并确保与AAA服务器通信安全。\n[0053] 在步骤404中，AAA服务器根据家庭网络的帐号，找到家庭网络中的家庭网关的IP地址。AAA服务器为控制终端、家庭网络提供接入认证的系统。AAA服务器可以记录控制终端和家庭网络的在线信息，包括IP地址、帐号名等。在一个实施例中，家庭网关可以采用安全的接入技术(如AKA认证技术)，并确保与AAA服务器通信安全。\n[0054] 在步骤406中，AAA服务器验证控制终端的访问权限。在一个实施例中，可以由用户定义访问家庭网络的权限。如果验证失败，AAA服务器将拒绝控制终端对家庭网络的访问请求，流程结束。如果验证通过，则进入步骤408。\n[0055] 在步骤408中，在控制终端的访问权限通过AAA服务器的验证后，AAA服务器生成一个随机数作为控制终端和家庭网关通信的会话密钥。\n[0056] 在步骤410中，AAA服务器将包括会话密钥的安全策略和家庭网关的IP地址发送给控制终端，将安全策略和控制终端的IP地址发送给家庭网关。在一个实施例中，AAA服务器可以借助如AKA技术建立的安全通道将安全策略和对方的IP地址安全的下发给控制终端和家庭网关。其中，安全策略可以包括会话密钥、加/解密算法、消息摘要算法、失效时间、访问权限等。\n[0057] 在步骤412中，家庭网关的防火墙增加临时规则，临时规则包括允许控制终端访问家庭网关直至安全策略失效。在一个实施例中，家庭网关具有防火墙功能，缺省情况下，家庭网关只允许AAA服务器访问家庭网络，其它访问请求一律拒绝。根据本发明的实施例，在控制终端通过AAA服务器的身份验证，并且，AAA服务器将控制终端的IP地址和安全策略下发给家庭网关后，家庭网关可以为防火墙增加临时规则。\n[0058] 在步骤414中，控制终端和家庭网关应用安全策略进行通信。在一个实施例中，控制终端可以向家庭网关发送访问与家庭网关连接的信息终端的请求，请求中包括信息终端的帐号，如tv.myhome@foo.com。家庭网关将信息终端的帐号转换为信息终端的IP地址。\n控制终端根据信息终端的IP地址实现对信息终端的访问。在一个实施例中，家庭网关将信息终端的帐号转换为信息终端在家庭网络的内部IP地址，家庭网关作为信息终端和控制终端通信的代理。在一个实施例中，家庭网关对信息终端通过家庭网关传输的信息进行加密和解密。\n[0059] 图5为根据本发明实施例三的家庭网络接入方法500的流程图。\n[0060] 在步骤502中，智能家居控制平台接收控制终端接入家庭网络的请求，并将接入家庭网络的请求转发给AAA服务器，接入请求中包括家庭网络的帐号。\n[0061] 在步骤504中，AAA服务器根据家庭网络的帐号，找到家庭网络中的家庭网关的IP地址。\n[0062] 在步骤506中，AAA服务器验证控制终端的访问权限。\n[0063] 在步骤508中，在控制终端的访问权限通过AAA服务器的验证后，AAA服务器生成一个随机数作为控制终端和家庭网关通信的会话密钥。\n[0064] 在步骤510中，AAA服务器将包括会话密钥的安全策略和家庭网关的IP地址发送给智能家居控制平台，将安全策略和控制终端的IP地址发送给家庭网关。\n[0065] 在步骤512中，控制终端和家庭网关应用安全策略通过智能家居控制平台进行通信。在一个实施例中，控制终端向智能家居控制平台发送访问与家庭网关连接的信息终端的请求，请求中包括信息终端的帐号。家庭网关将信息终端的帐号转换为信息终端的IP地址。控制终端根据信息终端的IP地址访问信息终端。在一个实施例中，家庭网关作为信息终端的通信代理，通过智能家居控制平台转发信息终端与控制终端之间的通信数据。家庭网关将信息终端的帐号转换为信息终端在家庭网络的内部IP地址，并将请求发送给信息终端。对于信息终端的回复信息，由家庭网关进行地址转换后通过智能家居控制平台转发给控制终端。\n[0066] 本发明利用AAA服务器，使用户能够通过控制终端对家庭网络中的家庭网关(或单独主机)和/或与家庭网关相连的信息终端进行安全的远程访问。通过网络接入的安全保障，实现了家庭网络的安全接入方法。另外，由于网络侧的智能家居控制平台的引入，客户可以通过智能家居控制平台访问家庭网络中的信息终端，提高了家庭接入系统对家庭网关的兼容性。\n[0067] 图6为根据本发明实施例的AAA服务器600的结构示意图。AAA服务器600包括接收模块602、查找模块604、验证模块606、密钥生成模块608和发送模块610。\n[0068] 接收模块602，用于接收控制终端发送的接入家庭网络的请求，接入请求中包括家庭网络的帐号。\n[0069] 查找模块604，用于根据家庭网络的帐号，找到家庭网络中的家庭网关的IP地址。\n[0070] 验证模块606，用于验证控制终端的访问权限。\n[0071] 密钥生成模块608，用于在控制终端的访问权限通过AAA服务器的验证后，生成一个随机数作为控制终端和家庭网关通信的会话密钥。\n[0072] 发送模块610，用于将包括会话密钥的安全策略和家庭网关的IP地址发送给控制终端，将安全策略和控制终端的IP地址发送给家庭网关，控制终端和家庭网关应用安全策略进行通信。\n[0073] 本发明的描述是为了示例和描述起见而给出的，而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用，并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。