專利名稱::實現(xiàn)設(shè)備訪問控制的方法、系統(tǒng)、業(yè)務(wù)設(shè)備和認證服務(wù)器的制作方法
技術(shù)領(lǐng)域:
:本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù),更具體的涉及實現(xiàn)設(shè)備訪問控制的方法、系統(tǒng)、業(yè)務(wù)設(shè)備和認證服務(wù)器。
背景技術(shù):
:隨著數(shù)字化家庭、個人網(wǎng)絡(luò)和小型辦公網(wǎng)絡(luò)等網(wǎng)絡(luò)的發(fā)展和普及,更多的網(wǎng)絡(luò)應(yīng)用進入到人們的生活中。這些網(wǎng)絡(luò)所連接的網(wǎng)絡(luò)設(shè)備為用戶提供更多的業(yè)務(wù)和應(yīng)用。為了方便用戶的使用,減小這些網(wǎng)絡(luò)的配置和管理的復(fù)雜性,業(yè)務(wù)設(shè)備在聯(lián)網(wǎng)時可以采用自動發(fā)現(xiàn)、自動聯(lián)網(wǎng)的方法,在無需人工配置的情況下實現(xiàn)用戶對業(yè)務(wù)設(shè)備的順暢訪問和業(yè)務(wù)設(shè)備間的資源共享。但是這種方便的設(shè)備訪問方法和設(shè)備間資源共享有可能導(dǎo)致網(wǎng)絡(luò)安全問題,業(yè)務(wù)設(shè)備不能限制非法用戶的使用,或者限制合法用戶使用業(yè)務(wù)設(shè)備提供的某些功能。因此,如何處理這些網(wǎng)絡(luò)中出現(xiàn)的設(shè)備訪問安全問題,是十分重要的課題?,F(xiàn)有的網(wǎng)絡(luò)安全措施一般包括復(fù)雜的認證、授權(quán)和管理(3A,Authentication、Authorization、Administration)內(nèi)容。3見有的i殳備^方問4空制系統(tǒng)采用3A方法實現(xiàn)設(shè)備訪問控制,該系統(tǒng)一般包括連接網(wǎng)絡(luò)、提供業(yè)務(wù)的業(yè)務(wù)設(shè)備、用戶終端和安全認證服務(wù)器。其中安全認證服務(wù)器作為設(shè)備訪問控制的實現(xiàn)裝置。用戶如果要使用網(wǎng)絡(luò)中業(yè)務(wù)設(shè)備N的某些資源或服務(wù),首先要通過終端向安全認證服務(wù)器請求身份認證;認證通過后,安全認證服務(wù)器再向用戶終端頒發(fā)權(quán)證,之后用戶便攜帶這個權(quán)證向業(yè)務(wù)設(shè)備N提出服務(wù)申請;業(yè)務(wù)設(shè)備N接到服務(wù)申請后,先要向安全認證服務(wù)器確認這個權(quán)證的真?zhèn)?,也可以是安全認證服務(wù)器向業(yè)務(wù)設(shè)備N傳達有關(guān)該用戶的權(quán)證,然后與用戶的權(quán)證進行比較,確認這個權(quán)證的真?zhèn)?。如果?quán)證為真,業(yè)務(wù)設(shè)備N為用戶授權(quán)。此時,用戶才可以使用業(yè)務(wù)設(shè)備N的規(guī)定資源,并且只具有權(quán)證中規(guī)定的權(quán)限??梢姡脩裘看问褂脴I(yè)務(wù)設(shè)備,業(yè)務(wù)設(shè)備都需要與認證服務(wù)器進行信息交互,在認證服務(wù)器的協(xié)助下實現(xiàn)設(shè)備訪問控制,并且在上述設(shè)備訪問控制過程的開始和進行中,還牽涉到權(quán)限管理、密鑰產(chǎn)生和分發(fā)、設(shè)備認證、協(xié)議協(xié)商、加密通道和傳輸?shù)鹊雀鼮閺?fù)雜的過程。用戶身份認證是設(shè)備訪問控制的重要環(huán)節(jié),目前一般采用的用戶名加密碼(UserID+Password)、數(shù)字證書、生物技術(shù)、媒介終端等技術(shù)進行身份認證。這些身份認證技術(shù)各有優(yōu)缺點。例如,數(shù)字證書需要有可信的頒發(fā)機構(gòu)或服務(wù)器,且同時區(qū)分同一終端上的不同用戶也有困難;生物技術(shù)需要有信息轉(zhuǎn)換設(shè)備,實現(xiàn)代價較高;媒介終端除了有成本較高的問題外,還有"只認帽子不認人,,的缺點,易于失效。相比而言,采用用戶名加密碼的身份認證方式,是比較實用和有效的。但是在實際應(yīng)用中,加密信息的存儲、管理、分發(fā)和傳輸過程都有一系列方法和規(guī)程,較為復(fù)雜。當(dāng)認證通過,進行權(quán)限頒發(fā)時,還涉及到身份挑戰(zhàn)、協(xié)議或密鑰協(xié)商等程序??梢?,上述的設(shè)備訪問控制系統(tǒng)和方法實現(xiàn)起來比較復(fù)雜,需要專業(yè)人員實現(xiàn)。但是,一些家庭網(wǎng)絡(luò)和小型辦公網(wǎng)絡(luò)的所有者和使用者往往是普通用戶,對于他們來說,希望在不需要付出較大代價的情況下就能建立、運行和維護設(shè)備訪問控制系統(tǒng),并且簡單可靠的實現(xiàn)設(shè)備訪問控制。因此,現(xiàn)有的設(shè)備訪問控制系統(tǒng)和方法對普通用戶來說過于復(fù)雜,不能夠滿足普通用戶建立和使用維護的要求。
發(fā)明內(nèi)容有鑒于此,本發(fā)明實施例第一個主要目的在于提供一種設(shè)備訪問控制方法,能夠降低設(shè)備訪問控制的復(fù)雜程度。本發(fā)明實施例第二個主要目的在于提供一種實現(xiàn)業(yè)務(wù)訪問控制的業(yè)務(wù)設(shè)備,能夠筒單的實現(xiàn)對訪問業(yè)務(wù)設(shè)備用戶的鑒權(quán)和授權(quán)。本發(fā)明實施例第三個主要目的在于提供一種實現(xiàn)業(yè)務(wù)訪問控制的認證服務(wù)器,能夠簡單的實現(xiàn)對訪問業(yè)務(wù)設(shè)備用戶的鑒權(quán)和授權(quán)。本發(fā)明實施例第四個主要目的在于提供一種設(shè)備訪問控制系統(tǒng),能夠降低設(shè)備訪問控制的復(fù)雜程度。為達到上述發(fā)明目的的第一個方面,本發(fā)明實施例提供了一種設(shè)備訪問控制方法,該方法包括以下步驟用戶向認證設(shè)備發(fā)起業(yè)務(wù)請求;所述認證設(shè)備根據(jù)所述業(yè)務(wù)請求和預(yù)置的用戶權(quán)限表中的鑒權(quán)信息為用戶鑒權(quán)授權(quán);業(yè)務(wù)設(shè)備根據(jù)該鑒權(quán)授權(quán)結(jié)果為所述用戶提供服務(wù)。為達到上述發(fā)明目的的第二個方面,本發(fā)明實施例提供了一種實現(xiàn)設(shè)備訪問控制的業(yè)務(wù)設(shè)備,該業(yè)務(wù)設(shè)備包括業(yè)務(wù)設(shè)備存儲單元和業(yè)務(wù)設(shè)備認證單元;所述業(yè)務(wù)設(shè)備存儲單元,用于存儲用戶權(quán)限子表,該用戶權(quán)限子表存儲本業(yè)務(wù)設(shè)備的鑒權(quán)信息;所述業(yè)務(wù)設(shè)備認證單元,用于根據(jù)用戶向該業(yè)務(wù)設(shè)備發(fā)起的業(yè)務(wù)請求和所述用戶權(quán)限子表中的鑒權(quán)信息為用戶鑒權(quán)授權(quán)。為達到上述發(fā)明目的的第三個方面,本發(fā)明實施例提供了一種實現(xiàn)設(shè)備訪證單元;所述認證服務(wù)器存儲單元,用于存儲用戶權(quán)限總表,該用戶權(quán)限總表存儲各業(yè)務(wù)設(shè)備的鑒權(quán)信息;所述認證服務(wù)器認證單元,用于在用戶向業(yè)務(wù)設(shè)備發(fā)起業(yè)務(wù)請求時,根據(jù)該業(yè)務(wù)設(shè)備轉(zhuǎn)發(fā)的所述業(yè)務(wù)請求和所述用戶權(quán)限總表中該業(yè)務(wù)設(shè)備的鑒權(quán)信息為用戶鑒權(quán)授權(quán);并將所述鑒權(quán)授權(quán)結(jié)果返回給業(yè)務(wù)設(shè)備。為達到上述發(fā)明目的的第四個方面,本發(fā)明實施例提供了一種設(shè)備訪問控制系統(tǒng),該系統(tǒng)包括業(yè)務(wù)設(shè)備,用于根據(jù)用戶發(fā)起的業(yè)務(wù)請求和預(yù)置的用戶權(quán)限子表中的鑒權(quán)信息為用戶鑒權(quán)授權(quán);并根據(jù)該鑒權(quán)授權(quán)結(jié)果為所述用戶提供服務(wù);認證服務(wù)器,用于將預(yù)置的用戶權(quán)限總表中的各業(yè)務(wù)設(shè)備鑒權(quán)信息分發(fā)給各業(yè)務(wù)設(shè)備;并在業(yè)務(wù)設(shè)備無法為用戶鑒權(quán)時,根據(jù)業(yè)務(wù)設(shè)備轉(zhuǎn)發(fā)的業(yè)務(wù)請求和所述用戶權(quán)限總表中請求鑒權(quán)的業(yè)務(wù)設(shè)備的鑒權(quán)信息為用戶鑒權(quán)授權(quán)。與現(xiàn)有技術(shù)相比,本發(fā)明實施例在認證設(shè)備中存儲用戶權(quán)限表,該用戶權(quán)限表中存儲了鑒權(quán)信息。當(dāng)作為認證設(shè)備的業(yè)務(wù)設(shè)備在接收到用戶發(fā)起的業(yè)務(wù)請求時,可以通過讀取自身存儲的鑒權(quán)信息在本地直接對用戶進行鑒權(quán)和授權(quán),從而簡單、有效、低成本的實現(xiàn)了設(shè)備訪問控制。即使認證服務(wù)器不在線,也不影響用戶的認證、授權(quán)和使用業(yè)務(wù)設(shè)備,為用戶的使用提供了方便。對于沒有存儲能力的業(yè)務(wù)設(shè)備,作為認證設(shè)備的認證服務(wù)器根據(jù)用戶權(quán)限總表存儲的鑒權(quán)信息為這類業(yè)務(wù)設(shè)備進行用戶鑒權(quán)。因此,本發(fā)明實施例的設(shè)備訪問控制系統(tǒng)充分考慮到業(yè)務(wù)設(shè)備的具體情況,為能力有限的業(yè)務(wù)設(shè)備提供了實現(xiàn)設(shè)備訪問控制的可能性,具備較好的兼容性。圖1為本發(fā)明實施例設(shè)備訪問控制方法的方法流程圖。圖2為本發(fā)明實施例設(shè)備訪問控制方法第一較佳實施例的方法流程圖。圖3為圖2中步驟120具體實現(xiàn)的方法流程圖。圖4為本發(fā)明實施例設(shè)備訪問控制方法第二較佳實施例的方法流程圖。圖5為本發(fā)明實施例設(shè)備訪問控制系統(tǒng)的組成結(jié)構(gòu)框圖。圖6為本發(fā)明實施例實現(xiàn)設(shè)備訪問控制的認證服務(wù)器的組成結(jié)構(gòu)框圖。圖7為本發(fā)明實施例實現(xiàn)設(shè)備訪問控制的業(yè)務(wù)設(shè)備的組成結(jié)構(gòu)框圖。圖8為圖5中無UAT子表業(yè)務(wù)設(shè)備的組成結(jié)構(gòu)框圖。具體實施例方式為使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚明白,下面結(jié)合實施例和附圖,對本發(fā)明進一步詳細說明。本發(fā)明實施例的核心思想是用戶發(fā)起業(yè)務(wù)請求后,認證設(shè)備根據(jù)用戶發(fā)起的業(yè)務(wù)請求和預(yù)置的用盧權(quán)限表中的鑒權(quán)信息為用盧鑒權(quán)授權(quán),業(yè)務(wù)設(shè)備根據(jù)該餐權(quán)授權(quán)結(jié)果為用戶提供服務(wù),從而實現(xiàn)了設(shè)備訪問控制。其中,鑒權(quán)信息包括用戶信息和權(quán)限信息。用戶信息用于判斷用戶是否為合法用戶,即為用戶認證;權(quán)限信息表示合法用戶具有哪些使用業(yè)務(wù)設(shè)備的權(quán)限,用于判斷合法用戶當(dāng)前狀態(tài)是否允許使用該業(yè)務(wù)設(shè)備,即為用戶進行權(quán)限判斷。該權(quán)限信息還用于為用戶授權(quán)規(guī)定的使用業(yè)務(wù)設(shè)備權(quán)限。因此為用戶鑒權(quán)包括認證和權(quán)限判斷兩部分,都通過則根據(jù)權(quán)限信息為用戶授權(quán)。用戶信息和權(quán)限信息都存儲在一張用戶權(quán)限表(UAT,UserAccess-ControlTable)內(nèi)。該用戶權(quán)限表分為UAT總表和UAT子表。UAT子表存儲業(yè)務(wù)設(shè)備所有用戶的用戶信息及其權(quán)限信息,該表存放在各業(yè)務(wù)設(shè)備中,由認證服務(wù)器向業(yè)務(wù)設(shè)備分發(fā)。UAT總表匯總所有業(yè)務(wù)設(shè)備中所有用戶的用戶信息及其權(quán)限信息,該表存放在認證服務(wù)器中,由管理員建立、分發(fā)和管理。例如在家庭網(wǎng)絡(luò)中,由家長管理UAT總表。因此,認證設(shè)備可以是業(yè)務(wù)設(shè)備,也可以是認證服務(wù)器。業(yè)務(wù)設(shè)備根據(jù)用戶發(fā)起的業(yè)務(wù)請求和UAT子表中的鑒權(quán)信息為用戶鑒權(quán)授權(quán);當(dāng)業(yè)務(wù)設(shè)備不能對用戶鑒權(quán)時,認證服務(wù)器協(xié)助該業(yè)務(wù)設(shè)備為用戶鑒權(quán)授權(quán),此時認證服務(wù)器根據(jù)該業(yè)務(wù)設(shè)備發(fā)送的用戶發(fā)起的業(yè)務(wù)請求和UAT總表中該業(yè)務(wù)設(shè)備的鑒權(quán)信息為用戶鑒權(quán)授權(quán)。采用業(yè)務(wù)設(shè)備鑒權(quán)情況下,圖1為本發(fā)明實施例設(shè)備訪問控制方法的方法流程圖。采用該方法實現(xiàn)設(shè)備訪問控制的具體步驟如下步驟ll,在認證服務(wù)器中存儲UAT總表,并分發(fā)給業(yè)務(wù)設(shè)備,業(yè)務(wù)設(shè)備將其存儲到UAT子表中。步驟12,在用戶請求使用業(yè)務(wù)設(shè)備時,輸入用戶信息。步驟13,業(yè)務(wù)設(shè)備根據(jù)UAT子表中的用戶信息對用戶進行認證,并根據(jù)權(quán)限信息對用戶進行權(quán)限判斷。用戶認證成功且權(quán)限判斷通過,則執(zhí)行步驟14;否則執(zhí)行步驟15,業(yè)務(wù)設(shè)備拒絕用戶使用,流程結(jié)束。步驟14,業(yè)務(wù)設(shè)備根據(jù)權(quán)限信息授予用戶規(guī)定的使用權(quán)限,用戶在規(guī)定的權(quán)限內(nèi)使用該業(yè)務(wù)設(shè)備。基于以上設(shè)備控制訪問方法的思想,圖2為本發(fā)明實施例設(shè)備控制訪問方法的第一較佳實施例。該實施例中,認證服務(wù)器與業(yè)務(wù)設(shè)備通過局域網(wǎng)進行信息交互,該局域網(wǎng)可以是家庭網(wǎng)絡(luò)。業(yè)務(wù)設(shè)備不僅包括有UAT子表業(yè)務(wù)設(shè)備,還包括無UAT子表業(yè)務(wù)設(shè)備。無UAT子表業(yè)務(wù)設(shè)備的用戶信息和權(quán)限信息存儲在認證服務(wù)器的UAT總表中,當(dāng)用戶請求使用時,業(yè)務(wù)設(shè)備請求服務(wù)器協(xié)助其進行用戶認證和權(quán)限判斷。本實施例實現(xiàn)設(shè)備訪問控制方法的具體步驟如下步驟101,在認證服務(wù)器中存儲UAT總表,并分發(fā)給有存儲能力的各業(yè)務(wù)設(shè)備。本步驟的UAT表分發(fā)過程在業(yè)務(wù)設(shè)備初始化時執(zhí)行一次。業(yè)務(wù)設(shè)備在為用戶鑒權(quán)、授權(quán)過程中,一般不用再與認證服務(wù)器進行通信。本步驟中,認證服務(wù)器中存儲的UAT總表主要包括以下幾個域用戶名(UID,UserIdentification),表示用戶或用戶組的身份,用來區(qū)分不同的用戶;一個用戶可以有一個或一個以上的用戶名,一個用戶名可以為一個或者一組用戶共有。用戶密碼(Password),用來對用戶的身份進行認證。用戶名與密碼也可以合為一個域,此時密碼其實是隱含在用戶名中,稱為口令(AccessCode)。對于用戶輸入能力有限的業(yè)務(wù)設(shè)備,如微波爐的控制面板,使用口令作為用戶身份認證是比較合適和方便的。設(shè)備標識(DID,DeviceIdentification),用于表示各個業(yè)務(wù)設(shè)備。該設(shè)備標識與用戶名連在一起表示某用戶被允許訪問的業(yè)務(wù)設(shè)備。在UAT總表中,可以有一個或者一個以上的DID,也可以是DID組或所有的DID,也可以采用通配符的形式進行設(shè)備匹配。管理員可以根據(jù)業(yè)務(wù)設(shè)備自動發(fā)現(xiàn)的結(jié)果,選擇DID,以簡化管理。UAT子表中沒有這一項。服務(wù)標識(SID,ServiceIdentification),用于表示允許訪問的服務(wù)。SID可以限制用戶可以訪問的服務(wù),由于一個業(yè)務(wù)設(shè)備可能會提供多個服務(wù),因此SID可以是一個或者一個以上。UID、DID與SID聯(lián)合一起表示某用戶被允許訪問的某個業(yè)務(wù)設(shè)備的某個服務(wù)或者某項功能。訪問權(quán)限,表示用戶對業(yè)務(wù)設(shè)備或業(yè)務(wù)設(shè)備提供的服務(wù)所允許進行的操作,包括讀取權(quán)、改寫權(quán)、使用權(quán)和配置權(quán)等。有效日期,用于定義UAT表項的有效日期,在有效日期外,本表項將失效。有效時段,用于定義UAT表項在一天中的有效時段,在有效時段外,本表項失效。例如,家長可以通過設(shè)置有效時段來控制孩子在一天中允許看電視、上網(wǎng)或玩游戲等活動的時段。持續(xù)時間,用于控制用戶使用業(yè)務(wù)設(shè)備或服務(wù)的持續(xù)時間。該域可以按次、按天或按周進行累計。例如,家長可以通過設(shè)置持續(xù)時間來控制孩子在一段時間內(nèi)看電視、上網(wǎng)或玩游戲等活動的最長時間。月良務(wù)等級(COS,ClassofService),用來設(shè)置不同用戶在使用某業(yè)務(wù)設(shè)備或業(yè)務(wù)設(shè)備所提供的某項服務(wù)時所享受的優(yōu)先等級,以及在網(wǎng)絡(luò)繁忙時是否允許用戶接入的控制,從而區(qū)分出不同用戶或應(yīng)用對網(wǎng)絡(luò)和設(shè)備資源的優(yōu)先權(quán)。一般局域網(wǎng)內(nèi)可以分為2級或4級或8級,用以區(qū)分家庭辦公、安全監(jiān)控和報警、網(wǎng)絡(luò)電話、視頻、上網(wǎng)等業(yè)務(wù)流的報文在局域網(wǎng)內(nèi)傳輸時所享有的優(yōu)先級。例如,對于使用虛擬專用網(wǎng)進行家庭辦公的業(yè)務(wù)設(shè)備,其服務(wù)等級可設(shè)為0,也就是最高優(yōu)先級,其報文在局域網(wǎng)內(nèi)傳輸時享受最高優(yōu)先級;對于使用網(wǎng)絡(luò)電話的用戶或業(yè)務(wù)設(shè)備,其COS可設(shè)為0,也就是最高優(yōu)先級,其報文也享受最高優(yōu)先級,但在網(wǎng)絡(luò)繁忙的時候,由于話音質(zhì)量受到了影響,為了保證用戶服務(wù)質(zhì)量,可不允許該用戶接入。而對于COS為1的使用網(wǎng)絡(luò)電話的用戶,此時可允許接入。在實現(xiàn)時,可以采用局域網(wǎng)內(nèi)的路由器、交換機或網(wǎng)關(guān)按照流分類,或按照識別設(shè)備端口、源地址和目的地址,如網(wǎng)際協(xié)議IP地址、媒體接入控制MAC地址,等方法對用戶的業(yè)務(wù)流進行識別,然后給相應(yīng)的報文打上COS標志,并按各類報文各自的COS優(yōu)先級來處理和轉(zhuǎn)發(fā)報文。服務(wù)質(zhì)量(QOS,QualityofService),用于區(qū)分在用盧使用本業(yè)務(wù)設(shè)備或業(yè)務(wù)設(shè)備所提供的服務(wù)時所享受的服務(wù)質(zhì)量,可以定義為量化的網(wǎng)絡(luò)帶寬,其實現(xiàn)方法與COS的實現(xiàn)相似,即在局域網(wǎng)內(nèi)的路由器、交換機或網(wǎng)關(guān)采用流分類,或按照設(shè)備端口、源地址和目的地址等方法對用戶的業(yè)務(wù)流進行識別,然后給相應(yīng)的報文打上QOS標志,為其分配不同的帶寬。當(dāng)然,以上所述的域不能理解為限制本發(fā)明,可以根據(jù)不同的需要添加其它的域,用于表示更為豐富的內(nèi)容,或者劃分更為細致的權(quán)限。一個UAT總表的表項由上述域的全部或一部分組成。在這些域中,用戶信息包括用戶名和密碼或口令,用于用戶的認證;權(quán)限信息包括服務(wù)標識、訪問權(quán)限、有效日期、有效時段、持續(xù)時間、服務(wù)等級和服務(wù)質(zhì)量,用于表示該用戶能獲得的具體權(quán)限。如果對于某業(yè)務(wù)設(shè)備不一定使用的權(quán)限或者暫時不想加以限制的權(quán)限,可以不對某些域加以定義,在表項中將其定義成"不限制"。UAT總表可以按用戶或按設(shè)備進行排列,以便于管理。表1是一個按用戶進行排序的UAT總表的例子,表2是一個按設(shè)備進行排序的UAT總表的例子。如表1所示,一個用戶名對應(yīng)一個密文形式的用戶密碼或口令,以及一系列的具體權(quán)限。對于口令類用戶,用戶名欄可以為空白,只采用口令進行用戶身份的認證。UAT子表所包含的表項與UAT總表相似,不同之處在于UAT子表沒有設(shè)備標識這一項。一個UAT子表的表項由用戶名、密碼或口令、訪問權(quán)限、有效日期、有效時段、持續(xù)時間、服務(wù)等級和服務(wù)質(zhì)量這些域的一部分或者全部組成。UAT子表可以按用戶進行排序。<table>tableseeoriginaldocumentpage14</column></row><table><table>tableseeoriginaldocumentpage15</column></row><table>表2認證服務(wù)器將UAT總表中的表項分發(fā)給所涉及的業(yè)務(wù)設(shè)備,業(yè)務(wù)設(shè)備存儲與相關(guān)的表項。完成了UAT表的存儲和分發(fā),業(yè)務(wù)設(shè)備就可以在用戶請求使用時,在本地對用戶進行鑒權(quán)和授權(quán)了。步驟102,當(dāng)用戶請求使用業(yè)務(wù)設(shè)備時,業(yè)務(wù)設(shè)備要求用戶輸入用戶名和密碼,此時用戶輸入自己的用戶名和密碼。本步驟中,以帶有機頂盒的電視機為例,機頂盒將電視機接入局域網(wǎng),用戶可以通過電視遙控器輸入用戶名和密碼。在電視畫面上會出現(xiàn)要求用戶輸入的提示信息,對用戶身份驗證的結(jié)果也是通過電視畫面的形式反饋給用戶的。步驟103,業(yè)務(wù)設(shè)備用預(yù)先確定的加密方法將密碼轉(zhuǎn)換為密文。本步驟中,將密碼加密是為了保證UAT表中關(guān)鍵信息的安全性。UAT表中,用戶密碼或口令這些需要保密的關(guān)鍵信息都是以密文形式出現(xiàn)的。只有在用戶申請設(shè)備或服務(wù),或管理員進行UAT表管理時才會輸入關(guān)鍵信息的明文。在其他任何時候,關(guān)鍵信息都是以密文形式存在和傳輸?shù)?。因而,即使UAT總表或子表被盜取或在傳輸時被截獲,關(guān)鍵信息將不會失密。在實際應(yīng)用中,包括用戶名的其它各域也可以被加密,以密文的形式保存。根據(jù)局域網(wǎng)絡(luò)的特點,本發(fā)明采用簡化的統(tǒng)一加密方法來保證密碼、口令等關(guān)鍵信息在存儲、分發(fā)、管理和使用時的姿仝和可信。為關(guān)鍵信息加密的方法是一種字符轉(zhuǎn)換方法,將密碼等要加密的內(nèi)容轉(zhuǎn)換成其他字符串,并且不能輕易地從轉(zhuǎn)換后的結(jié)果推導(dǎo)出轉(zhuǎn)換前的結(jié)果。可以采用函數(shù)轉(zhuǎn)換作為加密方法,該函數(shù)轉(zhuǎn)換法包括但不限于單向哈希函數(shù)法、消息摘譯法和密鑰法等。哈希函數(shù)類算法可以采用循環(huán)冗余檢驗(CRC,CyclicalRedundancyCheck)類算法,如IEEE802定義的輸出為32比特的CRC-32算法;還可以采用擾碼法(Scrambler)、隨機函數(shù)法等。消息摘譯(MD,MessageDigest)法可以采用輸出為128比特的MD4或MD5、安全散列算法等方法。密鑰類算法可以使用如數(shù)據(jù)加密標準(DES,DataEncryptionStandard)、三重數(shù)才居力口密才示〉隹(3DES)禾口高級力口密氺示〉侏(AES,AdvancedEncryptionStandard)等方法。密鑰可以是網(wǎng)絡(luò)環(huán)境下所有設(shè)備共享的。為了增強加密效果,可以采用哈希函數(shù)或消息摘譯法與密鑰結(jié)合,在網(wǎng)絡(luò)環(huán)境下所有設(shè)備共享一個密鑰,這個共享密鑰附加在要加密的內(nèi)容后,一起參與哈?;蛳⒄g運算。其中,哈?;蛳⒄g的算法以及共享密鑰都可以在網(wǎng)絡(luò)初始化時、有業(yè)務(wù)設(shè)備加入時由管理員選定,或者定期由管理員更新。本實施例采用CRC-32哈希函數(shù)算法與密鑰結(jié)合對密碼或口令進行加密。設(shè)要加密的內(nèi)容為用戶密碼P,長度為64比特;共享密鑰K,長度為64比特;將K附加到P后,組成一個長度為128比特的新字符串,稱為EP;將EP用如下CRC-32的生成多項式的方法進行處理,G(x)=x32+x26+x23+x22+x16+x12+x"+x10+x8+jc7+x5+x4+jc2+x'+1,得到的32比特EP的CRC-32比特串,即為明文P經(jīng)由密鑰K加密后的密文,表示為CRC32(P,K)。在UAT總表和子表中,以及在UAT表項內(nèi)容傳輸?shù)倪^程中,P將以其密文CRC32(P,K)的形式存在。由于采用單向的哈希函數(shù),以及除管理員外的其他人員不知道事先定義的加密算法具體內(nèi)容,因此即使得到密文也無法獲取對應(yīng)明文。需要加密的內(nèi)容、加密算法和密鑰都是在網(wǎng)絡(luò)初始化或業(yè)務(wù)設(shè)備加入網(wǎng)絡(luò)時由管理員設(shè)置的,并且可以根據(jù)管理員的要求進行更改。步驟104,判斷業(yè)務(wù)設(shè)備中是否有UAT子表。如果有則執(zhí)行步驟105;否則執(zhí)行步驟120,業(yè)務(wù)設(shè)備請求認證服務(wù)器對用戶進行認證和用戶使用狀態(tài)判斷,并根據(jù)返回的認證和使用狀態(tài)判斷結(jié)果為用戶授權(quán)或拒絕用戶使用。本步驟中,用戶使用狀態(tài)是指用戶使用該業(yè)務(wù)設(shè)備的歷史使用狀態(tài)信息。例如累計使用時間。本實施例中,首先對用戶請求使用有UAT子表業(yè)務(wù)設(shè)備的情況進行說明,因此執(zhí)行步驟105。步驟105,判斷業(yè)務(wù)設(shè)備的UAT子表是否可用。如果可用則執(zhí)行步驟106;否則執(zhí)行步驟140,業(yè)務(wù)設(shè)備請求認證服務(wù)器對用戶進行認證;認證通過,則從UAT總表中讀取該用戶對應(yīng)該業(yè)務(wù)設(shè)備的用戶信息和權(quán)限信息,發(fā)送給業(yè)務(wù)設(shè)備,執(zhí)行步驟108,及其后續(xù)流程。本步驟中,要判斷UAT子表是否可用的原因是,有些業(yè)務(wù)設(shè)備中有UAT子表,但是出于某些原因,業(yè)務(wù)設(shè)備無法獲得自身存儲的UAT表項內(nèi)容,比如說業(yè)務(wù)設(shè)備的UAT子表溢出,則業(yè)務(wù)設(shè)備會請求認證服務(wù)器協(xié)助進行用戶認證,再將與用戶相關(guān)的用戶信息和權(quán)限信息發(fā)送給業(yè)務(wù)設(shè)備,由業(yè)務(wù)設(shè)備根據(jù)接收的權(quán)限信息進行權(quán)限判斷。此時,業(yè)務(wù)設(shè)備也可以用接收的用戶信息和權(quán)限信息更新UAT子表。步驟106~107,業(yè)務(wù)設(shè)備將用戶密碼與UAT子表的對應(yīng)內(nèi)容進行比較。如果結(jié)果相同則執(zhí)行步驟108;否則執(zhí)行步驟130,業(yè)務(wù)設(shè)備拒絕用戶使用,通知原因,流程結(jié)束。本步驟中,業(yè)務(wù)設(shè)備將步驟103中生成的用戶密碼密文與UAT子表中申請使用業(yè)務(wù)設(shè)備用戶的用戶密碼密文進行比較,以實現(xiàn)對用戶身份的認證。比較結(jié)果相同則認證通過,執(zhí)行步驟108;否則執(zhí)行步驟130。本實施例中,假設(shè)結(jié)果相同,通過認證,則執(zhí)行步驟108。步驟108,業(yè)務(wù)設(shè)備判斷用戶使用狀態(tài)是否為允許。如果允許則執(zhí)行步驟109;否則執(zhí)行步驟130,業(yè)務(wù)設(shè)備拒絕用戶使用,通知用戶原因,流程結(jié)束。本步驟中,用戶使用狀態(tài)的判斷是判斷合法用戶的當(dāng)前狀態(tài)是否允許使用業(yè)務(wù)設(shè)備,也就是對用戶的權(quán)限判斷。認證成功和用戶使用狀態(tài)用戶允許才能夠為用戶授權(quán)。使用狀態(tài)是否為允許是由UAT表項中所有有關(guān)權(quán)限內(nèi)容的域值決定的,只要有一個域的條件不滿足,即表明該用戶的用戶使用狀態(tài)為不允許,則即使是合法用戶,業(yè)務(wù)設(shè)備也會拒絕其使用請求。本實施例中,UAT表中存儲有關(guān)用戶權(quán)限的內(nèi)容包括服務(wù)標識、訪問權(quán)限、有效日期、有效時段、持續(xù)時間、服務(wù)等級和服務(wù)質(zhì)量。在判斷用戶使用狀態(tài)是否為允許的時候,要判斷用戶是否能使用業(yè)務(wù)設(shè)備中用戶要求使用的功能,要求執(zhí)行的操作是否允許,當(dāng)天是否為使用業(yè)務(wù)設(shè)備的有效日期,當(dāng)時是否為使用該業(yè)務(wù)設(shè)備的有效時段等。由于權(quán)限信息還包括持續(xù)時間,對該用戶權(quán)限的判斷采用持續(xù)時間與用戶使用業(yè)務(wù)設(shè)備的累計時間進行比較。在其它域的條件都滿足的情況下,如果累計時間超過持續(xù)時間,則認為用戶使用狀態(tài)為允許,否則用戶使用狀態(tài)為不允許。其中,累計時間存儲在用戶使用狀態(tài)表中,對于有UAT子表的業(yè)務(wù)設(shè)備該用戶使用狀態(tài)表存儲在業(yè)務(wù)設(shè)備中,對于無UAT子表的業(yè)務(wù)設(shè)備該用戶使用狀態(tài)表存儲在認證服務(wù)器中。舉個例子,在家庭網(wǎng)絡(luò)中,家長希望控制孩子在一天中的使用電視的累計時間,因此在對應(yīng)電視這個業(yè)務(wù)設(shè)備的UAT表項當(dāng)中,針對孩子用戶將持續(xù)時間設(shè)置為2小時,其它域值可設(shè)置為不限制。當(dāng)孩子想要看電視時,輸入密碼或口令,通過認證后,業(yè)務(wù)設(shè)備從用戶使用狀態(tài)表中讀取孩子用戶的累計時間,根據(jù)孩子用戶的累計時間和持續(xù)時間判斷孩子的使用狀態(tài)是否為允許。當(dāng)發(fā)現(xiàn)累計時間已經(jīng)滿2小時,超過了持續(xù)時間,則判斷孩子對電視的使用狀態(tài)為不允許,執(zhí)行步驟130,設(shè)備拒絕孩子使用,并告知原因,流程結(jié)束。本實施例中假設(shè)判斷結(jié)果為用戶使用狀態(tài)為允許使用,則執(zhí)行步驟109。步驟109,業(yè)務(wù)設(shè)備授予用戶規(guī)定的使用權(quán)限,用戶在其權(quán)限規(guī)定范圍內(nèi)使用該業(yè)務(wù)設(shè)備。步驟IIO,用戶使用結(jié)束后,業(yè)務(wù)設(shè)備維護用戶使用狀態(tài)表,結(jié)束流程。本步驟中,當(dāng)用戶使用完業(yè)務(wù)設(shè)備,業(yè)務(wù)設(shè)備清除自身的一些使用標記,同時記錄下當(dāng)前的用戶使用狀態(tài),更新用戶使用狀態(tài)表中相應(yīng)的內(nèi)容。例如當(dāng)孩子使用電腦游戲后電腦游戲應(yīng)更新累計時間值。根據(jù)UAT子表中的這名孩子用戶的持續(xù)時間域的規(guī)定,如果累計時間超過持續(xù)時間,則此名用戶今天內(nèi)再次使用電腦游戲,則電腦游戲?qū)⒕芙^其使用要求。當(dāng)本實施例的步驟104判斷出業(yè)務(wù)設(shè)備中沒有UAT子表,會執(zhí)行步驟120,業(yè)務(wù)設(shè)備攜帶用戶名和密碼請求認證服務(wù)器對用戶進行認證和使用狀態(tài)判斷,并根據(jù)認證服務(wù)器返回的認證和用戶使用狀態(tài)的判斷結(jié)果為用戶授權(quán)或拒絕用戶使用。此時認證設(shè)備為認證服務(wù)器。參見圖3,步驟120的具體^l行過程如下步驟1201,業(yè)務(wù)設(shè)備查詢認證服務(wù)器是否為可用。如果可用,則執(zhí)行步驟1202,進入認證服務(wù)器認證流程;否則執(zhí)行步驟130,業(yè)務(wù)設(shè)備拒絕用戶使用,通知其原因,結(jié)束流程。本步驟中,如果因網(wǎng)絡(luò)故障,或認證服務(wù)器故障等原因,導(dǎo)致業(yè)務(wù)設(shè)備無法與認證服務(wù)器進行通信,則認為認證服務(wù)器不可用。當(dāng)認證服務(wù)器不可用時執(zhí)行的步驟130與圖2中的步驟130相同。步驟1202-1203,業(yè)務(wù)設(shè)備將用戶名和密碼送往認證服務(wù)器,請求其給予認證。認證服務(wù)器根據(jù)用戶名讀取UAT總表中對應(yīng)表項,判斷該用戶輸入的密碼是否與UAT總表中該用戶對應(yīng)該業(yè)務(wù)設(shè)備的密碼一致,并判斷用戶狀態(tài)是否允許。本步驟中,由于業(yè)務(wù)設(shè)備沒有存儲UAT子表的能力,因此也沒有存儲用戶使用狀態(tài)表。在使用過程中,用戶認證和用戶使用狀態(tài)的判斷是通過查認證服務(wù)器的UAT總表和用戶使用狀態(tài)表實現(xiàn)的,而用戶使用狀態(tài)表則存儲在認證服務(wù)器中。認證服務(wù)器通過用戶認證后,讀取用戶使用狀態(tài)表的內(nèi)容,這里是累計時間,根據(jù)累計時間結(jié)合該用戶權(quán)限信息的具體內(nèi)容判斷用戶的使用狀態(tài)是否為允許。步驟1204,判斷用戶密碼正確且使用狀態(tài)允許,如果是,則執(zhí)行步驟1205,否則執(zhí)行步驟1208和步驟130,認證服務(wù)器通知業(yè)務(wù)設(shè)備用戶鑒權(quán)或授權(quán)失敗及原因,業(yè)務(wù)設(shè)備拒絕用戶使用,通知用戶原因,流程結(jié)束。步驟1205,認證服務(wù)器將UAT總表中該用戶的權(quán)限信息發(fā)往業(yè)務(wù)設(shè)備,通知業(yè)務(wù)設(shè)備用戶通過認證且使用狀態(tài)允許。步驟1206,業(yè)務(wù)設(shè)備根據(jù)收到的該用戶的權(quán)限信息,授予用戶規(guī)定的使用權(quán)限,用戶使用業(yè)務(wù)設(shè)備。步驟1207,用戶使用結(jié)束,業(yè)務(wù)設(shè)備通知認證服務(wù)器,認證服務(wù)器維護用戶使用狀態(tài)表的相關(guān)內(nèi)容。本步驟中,用戶使用業(yè)務(wù)設(shè)備結(jié)束。業(yè)務(wù)設(shè)備清除自身的一些使用標志,并通知認證服務(wù)器使用結(jié)束,由認證服務(wù)器記錄當(dāng)前用戶使用狀態(tài),維護用戶使用狀態(tài)表。在實際應(yīng)用中,業(yè)務(wù)設(shè)備中存儲的UAT子表的表項有可能與認證服務(wù)器中UAT總表的相應(yīng)內(nèi)容不同。這是因為如果某個時候管理員在認證服務(wù)器處更新或維護了UAT總表,然后主動下發(fā)給各業(yè)務(wù)設(shè)備,這時,如果某個業(yè)務(wù)設(shè)備沒有聯(lián)網(wǎng),或者處于關(guān)機狀態(tài),則錯過了UAT子表的更新。當(dāng)用戶使用新的密碼或口令請求使用該業(yè)務(wù)設(shè)備時,用戶不能通過認證,因而不能正常使用該業(yè)務(wù)設(shè)備,這就給用戶使用帶來了不便。為了改善這種情況,在業(yè)務(wù)設(shè)備采用UAT子表認證用戶失敗時,允許業(yè)務(wù)設(shè)備向認證服務(wù)器提出更新UAT子表請求,認證服務(wù)器對該業(yè)務(wù)設(shè)備的UAT子表進行更新。以下舉實施例來說明業(yè)務(wù)設(shè)備用戶認證不成功,申請更新UAT子表的情況。參見圖4,圖4為本發(fā)明設(shè)備訪問控制方法的第二較佳實施例的方法流程圖。實現(xiàn)本發(fā)明設(shè)備訪問控制的方法的具體步驟如下步驟201~205與第一較佳實施例中步驟101~105相同;步驟220與第一較佳實施例中步驟120相同;步驟240與第一較佳實施例中步驟140相同。步驟206-207,業(yè)務(wù)設(shè)備將用戶名密碼與業(yè)務(wù)設(shè)備內(nèi)UAT子表的對應(yīng)內(nèi)容進行比較,結(jié)杲相同則認證通過,執(zhí)行步驟208;否則執(zhí)行步驟211。本實施例中,業(yè)務(wù)設(shè)備對用戶認證不通過,執(zhí)行步驟211。步驟211,業(yè)務(wù)設(shè)備查詢認證服務(wù)器是否為可用。如果是則執(zhí)行步驟212;否則執(zhí)行步驟230,業(yè)務(wù)設(shè)備拒絕用戶使用,通知用戶原因,結(jié)束流程。步驟212~214,業(yè)務(wù)設(shè)備請求認證服務(wù)器更新UAT子表,認證服務(wù)器向業(yè)務(wù)設(shè)備發(fā)送相關(guān)的UAT子表更新項,其中含有最新用戶信息和權(quán)限信息信息。業(yè)務(wù)設(shè)備收到更新表項后查新的UAT子表并再次認證,即將表中該用戶密碼與步驟203中轉(zhuǎn)換的密碼密文相比較。步驟215,判斷比較結(jié)果,如果結(jié)果相同則認證成功執(zhí)行步驟208;否則,認證失敗,執(zhí)行步驟230,業(yè)務(wù)設(shè)備拒絕用戶使用,通知用戶原因,流程結(jié)束。步驟208及其后續(xù)流程與第一較佳實施例中的步驟108及其后續(xù)流程相同。為了保證業(yè)務(wù)設(shè)備UAT子表的正確性,業(yè)務(wù)設(shè)備也可以定期、或者開機時主動向認證服務(wù)器請求更新UAT子表。業(yè)務(wù)設(shè)備請求更新UAT子表的步驟也可以在步驟208判斷用戶使用狀態(tài)為不允許后進行。本發(fā)明還能夠簡單的實現(xiàn)對用戶鑒權(quán)信息的管理。管理員只要對認證服務(wù)器中的UAT總表存儲的用戶信息和權(quán)限信息進行增加、刪除、修改和分發(fā)等操作,就可以實現(xiàn)對設(shè)備訪問控制的管理,操作筒單,方便用戶使用。管理操作由管理員或者被授予權(quán)限的用戶進行。例如在家庭網(wǎng)絡(luò)中可以由家長進行管理。為了便于UAT表的管理,在認證服務(wù)器中,針對UAT操作可以設(shè)置一些命令,如表3所示。用戶在管理的時候只要使用即可。<table>tableseeoriginaldocumentpage21</column></row><table><table>tableseeoriginaldocumentpage22</column></row><table>表3這些命令在用戶界面上,可以用網(wǎng)頁WEB的形式表現(xiàn)出來,以便于操作。如再加上設(shè)備和服務(wù)自動發(fā)現(xiàn)的功能,只要會上網(wǎng)的用戶就會管理UAT表了。其中,用戶界面預(yù)先建立和存儲在認證服務(wù)器中。為了實現(xiàn)本發(fā)明的設(shè)備訪問控制方法,本發(fā)明提供了設(shè)備訪問控制系統(tǒng)。圖5為本發(fā)明設(shè)備訪問控制系統(tǒng)的實施例。如圖5所示,該設(shè)備訪問控制系統(tǒng)包括局域網(wǎng)50、認證服務(wù)器51、有UAT子表業(yè)務(wù)設(shè)備52和無UAT子表業(yè)務(wù)設(shè)備53。在局域網(wǎng)50與外網(wǎng)相連的情況下,圖5所示的設(shè)備訪問控制系統(tǒng)還包括網(wǎng)關(guān)54,圖5中以虛線表示。在實際應(yīng)用中,設(shè)備訪問控制系統(tǒng)所連接的業(yè)務(wù)設(shè)備可以只包括有UAT子表業(yè)務(wù)設(shè)備52,而沒有無UAT子表業(yè)務(wù)設(shè)備53。當(dāng)然,設(shè)備訪問控制系統(tǒng)所連接的業(yè)務(wù)設(shè)備也可以只包括無UAT子表業(yè)務(wù)設(shè)備53。連接在局域網(wǎng)50上的各聯(lián)網(wǎng)設(shè)備通過局域網(wǎng)50進行信息的交互。該局域網(wǎng)可以是家庭網(wǎng)絡(luò),或者小型辦公網(wǎng)絡(luò)。認證服務(wù)器51,用于實現(xiàn)用戶權(quán)限總表的建立、加密、分發(fā)和管理功能,并負責(zé)協(xié)助業(yè)務(wù)設(shè)備為用戶鑒權(quán)授權(quán)。認證服務(wù)器51中設(shè)置有UAT總表,該UAT總表存儲有各個業(yè)務(wù)設(shè)備的鑒權(quán)信息,并通過局域網(wǎng)50分發(fā)給系統(tǒng)中各個有UAT子表業(yè)務(wù)設(shè)備52。協(xié)助業(yè)務(wù)設(shè)備為用戶鑒權(quán)時,接收無UAT子表業(yè)務(wù)設(shè)備53發(fā)送來的用戶輸入的用戶名和密碼,并根據(jù)該用戶名和密碼和UAT總表中請求鑒權(quán)的業(yè)務(wù)設(shè)備的用戶名、密碼和權(quán)限信息為用戶鑒權(quán);鑒權(quán)成功則向無UAT子表業(yè)務(wù)設(shè)備53返回相關(guān)權(quán)限信息。在實際應(yīng)用中,有UAT子表設(shè)備52在UAT子表不能正常讀取的時候也可以申請認證服務(wù)器51協(xié)助其進行鑒權(quán)。該認證服務(wù)器51還可以設(shè)置在網(wǎng)關(guān)54內(nèi),對于認證服務(wù)器設(shè)置于網(wǎng)關(guān)的情況,網(wǎng)關(guān)不僅具有分隔局域網(wǎng)與外網(wǎng)的功能,還負責(zé)UAT表的分發(fā)和協(xié)助業(yè)務(wù)設(shè)備為用戶鑒權(quán)授權(quán),與認證服務(wù)器的功能相同。此外,認證服務(wù)器51還可以設(shè)置在其它聯(lián)網(wǎng)的功能設(shè)備中,例如計算機,或者機頂盒,或者媒體服務(wù)器。有UAT子表業(yè)務(wù)設(shè)備52,存儲有UAT子表;在用戶發(fā)起業(yè)務(wù)請求時,有UAT子表業(yè)務(wù)設(shè)備52接收用戶輸入的用戶名和密碼,對密碼進行加密后,根據(jù)該密碼密文和UAT子表中該用戶的密碼密文為用戶進行認證,并根據(jù)UAT子表中該用戶的權(quán)限信息為用戶進行權(quán)限判斷,并在權(quán)限判斷通過后授予用戶規(guī)定的權(quán)限。無UAT子表業(yè)務(wù)設(shè)備53,用于接收用戶輸入的用戶名和密碼,對密碼進行加密后,將用戶名和密碼密文發(fā)送給認證服務(wù)器51,并接收認證服務(wù)器51返回的認證和權(quán)限判斷結(jié)果。認證成功且權(quán)限判斷通過,則根據(jù)同時接收的該業(yè)務(wù)設(shè)備的權(quán)限信息為用戶授權(quán)。認證服務(wù)器51可以采用本發(fā)明的實現(xiàn)設(shè)備訪問控制的認證服務(wù)器。圖6為本發(fā)明實施例實現(xiàn)設(shè)備訪問控制的認證服務(wù)器的結(jié)構(gòu)框圖。該認證服務(wù)器包括網(wǎng)絡(luò)接口單元601、本地接口單元602、認證單元611、管理單元612、加密單元613、UAT總表存儲單元621、和狀態(tài)表存儲單元622。其中,UAT總表存儲單元621,用于存儲UAT總表。UAT總表的存儲格式如表1或者表2所示。狀態(tài)表存儲單元622,用于存儲各業(yè)務(wù)設(shè)備用戶使用狀態(tài)表;該各業(yè)務(wù)設(shè)備用戶使用狀態(tài)表存儲各業(yè)務(wù)設(shè)備的所有用戶使用該業(yè)務(wù)設(shè)備的歷史狀態(tài)信息,用于與所述UAT總表中的鑒權(quán)信息結(jié)合,為用戶鑒權(quán)授權(quán)。本實施例中,用戶使用狀態(tài)表存儲的用戶使用狀態(tài)是用戶使用業(yè)務(wù)設(shè)備的累計時間。該用戶使用狀態(tài)表可以包括用戶名域、設(shè)備標識域和累計時間域;對于使用口令的業(yè)務(wù)設(shè)備來說,用戶名域可以存儲口令;用戶使用狀態(tài)表可以根據(jù)需要擴充。如果不需要存儲用戶使用狀態(tài),認證服務(wù)器中也可以不設(shè)置狀態(tài)表存儲單元622。網(wǎng)絡(luò)接口單元601,用于認證服務(wù)器與業(yè)務(wù)設(shè)備實現(xiàn)信息交互。網(wǎng)絡(luò)接口單元601向業(yè)務(wù)設(shè)備發(fā)送UAT總表中相關(guān)該業(yè)務(wù)設(shè)備的鑒權(quán)信息。在業(yè)務(wù)設(shè)備請求認證服務(wù)器鑒權(quán)授權(quán)時,將該業(yè)務(wù)設(shè)備轉(zhuǎn)發(fā)的用戶輸入的用戶名和密碼發(fā)送給認證單元611,并向該業(yè)務(wù)設(shè)備返回鑒權(quán)授權(quán)結(jié)果。同時,該單元還負責(zé)進行報文處理。本地接口單元602,與UAT總表存儲單元621相連,用于通過非網(wǎng)絡(luò)方式與用戶進行信息交互。本地接口單元602可以將用戶終端通過串口或者串行總線(USB)接口等本地連接方式接入認證服務(wù)器。用戶可以通過對用戶終端的操作,通過本地接口單元602向UAT總表輸入鑒權(quán)信息,或者向管理單元612輸入管理信息,實現(xiàn)對UAT總表的管理。當(dāng)然,通過網(wǎng)絡(luò)接口單元601傳送來的信息也可以作為UAT總表的管理信息,只需將網(wǎng)絡(luò)接口單元601與管理單元612相連。但是為了安全起見,推薦規(guī)定只有從本地接入的管理員才被允許建立、修改、維護UAT總表。認證單元611,用于在業(yè)務(wù)設(shè)備無法使用UAT子表為用戶鑒權(quán)時,通過網(wǎng)絡(luò)接口單元601接收業(yè)務(wù)設(shè)備轉(zhuǎn)發(fā)的用戶輸入的用戶名和密碼,并從UAT總表存儲單元621讀取該用戶的用戶名和密碼,通過比較兩個密碼為用戶認證,認證通過,從UAT總表存儲單元621讀取該用戶權(quán)限信息,并判斷;認證通過和權(quán)限判斷成功,則將該用戶權(quán)限信息通過網(wǎng)絡(luò)接口單元601返回給業(yè)務(wù)設(shè)備。此處,無法使用UAT子表為用戶鑒權(quán)的業(yè)務(wù)設(shè)備為無UAT子表的業(yè)務(wù)設(shè)備53。對于有UAT子表的業(yè)務(wù)設(shè)備52,認證單元611只要進行用戶認證,認證通過,將用戶名和密碼以及權(quán)限信息返回給業(yè)務(wù)設(shè)備,由業(yè)務(wù)設(shè)備進行權(quán)限判斷。并選擇是否根據(jù)收到的用戶名和密碼以及權(quán)限信息更新UAT子表內(nèi)容。管理單元612,用于根據(jù)用戶通過本地接口單元602發(fā)來的管理信息,管理UAT總表中各業(yè)務(wù)設(shè)備的鑒權(quán)信息。對鑒權(quán)信息的管理包括對鑒權(quán)信息的增加、刪除、修改或分發(fā)給各業(yè)務(wù)設(shè)備。該管理單元中預(yù)先設(shè)置了一些UAT操作命令,這些命令定義和功能如表3所示。用戶只要通過用戶終端輸入這些命令即可實現(xiàn)相應(yīng)的管理操作。加密單元613,用于加密UAT總表中用戶的密碼。本實施例中,在管理員創(chuàng)建和維護UAT總表時,對輸入的密碼進行加密。有UAT子表業(yè)務(wù)設(shè)備52采用本發(fā)明提供的實現(xiàn)設(shè)備訪問控制的業(yè)務(wù)設(shè)備。圖7為本發(fā)明實現(xiàn)設(shè)備訪問控制的業(yè)務(wù)設(shè)備的組成結(jié)構(gòu)框圖。這類業(yè)務(wù)設(shè)備本身具有鑒權(quán)功能。如圖7所示,該業(yè)務(wù)設(shè)備網(wǎng)絡(luò)接口單元701、本地接口單元702、設(shè)備功能單元703、認證單元711、加密單元713、UAT子表存儲單元721和狀態(tài)表存儲單元722。其中,UAT子表存儲單元721,與認證單元711相連,用于存儲UAT子表。在設(shè)備初始化或者認證服務(wù)器分發(fā)UAT表項時,接收認證服務(wù)器51通過網(wǎng)絡(luò)接口單元721發(fā)來的用戶名、密碼和權(quán)限信息,并將本業(yè)務(wù)設(shè)備相關(guān)內(nèi)容存儲在UAT子表中。狀態(tài)表存儲單元722,用于存儲本業(yè)務(wù)設(shè)備用盧使用狀態(tài)表;該用戶使用狀態(tài)表存儲各用戶使用該業(yè)務(wù)設(shè)備的歷史狀態(tài)信息,用于與所述用戶權(quán)限子表中的鑒權(quán)信息結(jié)合,為用戶鑒權(quán)授權(quán)。如果不需要存儲用戶使用狀態(tài),有UAT子表業(yè)務(wù)設(shè)備中也可以不設(shè)置狀態(tài)表存儲單元722。本實施例中,設(shè)備的累計時間。需要說明的是,對于無UAT子表的設(shè)備53,其用戶使用狀態(tài)表存儲在認證服務(wù)器51中。網(wǎng)絡(luò)接口單元701,與認證單元711和UAT子表存儲單元721相連,用于將本業(yè)務(wù)設(shè)備接入局域網(wǎng)50。接收網(wǎng)上信息,并為該信息所承載的業(yè)務(wù)流進行識別,然后給相應(yīng)的報文打上COS標志和QOS標志。其中,網(wǎng)上信息包括業(yè)務(wù)流信息、認證服務(wù)器51通過局域網(wǎng)分發(fā)給業(yè)務(wù)設(shè)備的鑒權(quán)信息等。如果有UAT子表業(yè)務(wù)設(shè)備不以網(wǎng)絡(luò)方式與認證服務(wù)器進行信息交互,則采用其它形式的接口單元。本地接口單元702,與認證單元711相連,用于通過非網(wǎng)絡(luò)方式與用戶進行信息交互。本地接口單元702可以采用遙控接口、串口、USB接口等本地接口連接如遙控器、鍵盤等本地用戶終端,該用戶終端作為用戶名和密碼的輸入裝置。當(dāng)用戶需要使用本業(yè)務(wù)設(shè)備時,可以通過遙控器、鍵盤輸入用戶名和密碼。當(dāng)然,如果業(yè)務(wù)設(shè)備本身具有輸入裝置,則可以通過該輸入裝置進行用戶名和密碼的輸入。業(yè)務(wù)設(shè)備本身的輸入裝置是包含在設(shè)備功能單元703中的,例如電話的鍵盤、微波爐的操作面板。加密單元713,用于為認證單元711接收的用戶輸入的密碼進行加密。認證單元711,用于接收用戶輸入的用戶名和密碼。加密單元713對該密碼進行加密。然后認證單元713從UAT子表存儲單元721中讀取該用戶的用戶名、密碼和權(quán)限信息。判斷用戶輸入的密碼密文與UAT子表存儲單元721中存儲的密碼密文是否相同,以實現(xiàn)對用戶的認證。認證通過,認證單元711還需要從狀態(tài)表存儲單元722中讀取該用戶的用戶使用狀態(tài),根據(jù)用戶使用狀態(tài)和權(quán)限信息判斷合法用戶的當(dāng)前狀態(tài)是否允許使用該業(yè)務(wù)設(shè)備。如杲允許,則根據(jù)權(quán)限信息為該用戶授權(quán),并將該授權(quán)結(jié)果發(fā)送給設(shè)備功能單元703。設(shè)備功能單元703在認證單元711為用戶授權(quán)后,為用戶提供其權(quán)限范圍內(nèi)的服務(wù)。圖5中連接在局域網(wǎng)中的業(yè)務(wù)設(shè)備還有無UAT子表的業(yè)務(wù)設(shè)備53,此類業(yè)務(wù)設(shè)備本身不具備鑒權(quán)功能。圖8為無UAT子表業(yè)務(wù)設(shè)備的組成結(jié)構(gòu)框圖。由圖8中可以看出,無UAT子表業(yè)務(wù)設(shè)備與圖7所示的有UAT子表業(yè)務(wù)設(shè)備結(jié)構(gòu)相似,不同之處在于,無UAT子表業(yè)務(wù)設(shè)備中不包括存儲UAT子表和用戶使用狀態(tài)表的單元,且認證單元811不能用于認證,只能用于授權(quán)。當(dāng)用戶請求使用無UAT子表業(yè)務(wù)設(shè)備53時,認證單元811接收用戶輸入的用戶名和密碼信息,該密碼信息經(jīng)加密單元813加密后,轉(zhuǎn)發(fā)用戶名和密碼密文給認證服務(wù)器。認證服務(wù)器51認證成功且權(quán)限判斷通過,則認證單元811根據(jù)認證服務(wù)器51返回的權(quán)限信息為用戶授權(quán)。由以上技術(shù)方案可以看出,本發(fā)明所提供的設(shè)備訪問控制方法和系統(tǒng)以及實現(xiàn)業(yè)務(wù)訪問控制的認證服務(wù)器和業(yè)務(wù)設(shè)備簡單有效的解決了訪問設(shè)備時對用戶的鑒權(quán)、授權(quán)問題,不僅保證了網(wǎng)絡(luò)安全,而且降低了設(shè)備訪問控制實現(xiàn)的復(fù)雜程度。當(dāng)在業(yè)務(wù)設(shè)備對用戶鑒權(quán)失敗時,允許業(yè)務(wù)設(shè)備請求認證服務(wù)器向業(yè)務(wù)設(shè)備發(fā)送鑒權(quán)信息,并再次對用戶進行鑒權(quán)。保證業(yè)務(wù)設(shè)備中鑒權(quán)信息的正確性。其次,本發(fā)明實施例還將關(guān)鍵信息采用統(tǒng)一的函數(shù)轉(zhuǎn)換方法對關(guān)鍵信息進行加密。關(guān)鍵信息在存儲、管理、分發(fā)和傳輸過程中都以密文形式存在,即使用戶權(quán)限表泄漏,關(guān)鍵數(shù)據(jù)也不會被破解,系統(tǒng)安全不會因此受到威脅。且加密算法簡單,并可以由管理員更新,因此進一步增加了系統(tǒng)的安全性。此外,管理員只要對認證服務(wù)器用戶權(quán)限總表的內(nèi)容進行增加、刪除、修改或分發(fā)操作,就能實現(xiàn)對設(shè)備訪問控制系統(tǒng)的管理,方法簡單,普通用戶即可完成。綜上所述,以上僅為本發(fā)明的較佳實施例而已,并非用于限定本發(fā)明的保護范圍。凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改、等同替換、改進等,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。權(quán)利要求1、一種設(shè)備訪問控制方法,其特征在于,該方法包括以下步驟用戶向認證設(shè)備發(fā)起業(yè)務(wù)請求;所述認證設(shè)備根據(jù)所述業(yè)務(wù)請求和預(yù)置的用戶權(quán)限表中的鑒權(quán)信息為所述用戶鑒權(quán)授權(quán);業(yè)務(wù)設(shè)備根據(jù)該鑒權(quán)授權(quán)結(jié)果為所述用戶提供服務(wù)。2、根據(jù)權(quán)利要求1所述的方法,其特征在于,所述認證設(shè)備為向用戶提供服務(wù)的業(yè)務(wù)設(shè)備,該業(yè)務(wù)設(shè)備中預(yù)置用戶權(quán)限子表;該方法具體包括用戶向業(yè)務(wù)設(shè)備發(fā)起業(yè)務(wù)請求;所述業(yè)務(wù)設(shè)備根據(jù)所述業(yè)務(wù)請求和所述用戶權(quán)限子表中的筌權(quán)信息,在本地為用戶鑒權(quán)授權(quán);所述業(yè)務(wù)設(shè)備根據(jù)該鑒權(quán)授權(quán)結(jié)果為所述用戶提供服務(wù)。3、根據(jù)權(quán)利要求1所述的方法,其特征在于,所述認證設(shè)備為認證服務(wù)器,該認證服務(wù)器中預(yù)置用戶權(quán)限總表;該方法具體包括用戶向業(yè)務(wù)設(shè)備發(fā)起業(yè)務(wù)請求;當(dāng)所述業(yè)務(wù)設(shè)備不能為用戶鑒權(quán)時,該業(yè)務(wù)設(shè)備向認證服務(wù)器轉(zhuǎn)發(fā)所述用戶的所述業(yè)務(wù)請求;所述認證服務(wù)器根據(jù)接收到的所述業(yè)務(wù)請求和所述用戶權(quán)限總表中所述業(yè)務(wù)設(shè)備的鑒權(quán)信息為用戶鑒權(quán)授權(quán);并將該鑒權(quán)授權(quán)結(jié)果返回給該業(yè)務(wù)設(shè)備;所述業(yè)務(wù)設(shè)備根據(jù)所述鑒權(quán)授權(quán)結(jié)果為所述用戶提供服務(wù)。4、根據(jù)權(quán)利要求l、2或3所述的方法,其特征在于,所述為用戶鑒權(quán)包括判斷用戶是否為合法用戶,并判斷合法用戶的當(dāng)前狀態(tài)是否允許使用業(yè)務(wù)設(shè)備。5、根據(jù)權(quán)利要求2所述的方法,其特征在于,該方法進一步包括在認證服務(wù)器中預(yù)置用戶權(quán)限總表,該用戶權(quán)限總表中存儲各業(yè)務(wù)設(shè)備的鑒權(quán)信息;所述認證服務(wù)器根據(jù)所述用戶權(quán)限總表,向各業(yè)務(wù)設(shè)備分發(fā)相關(guān)的鑒權(quán)信息,由各業(yè)務(wù)設(shè)備存儲在本地所述用戶權(quán)限子表中。6、根據(jù)權(quán)利要求3或5所述的方法,其特征在于,所述業(yè)務(wù)設(shè)備與所述認證服務(wù)器通過家庭網(wǎng)絡(luò)或小型辦公網(wǎng)絡(luò)進行通信。7、根據(jù)權(quán)利要求5所述的方法,其特征在于,當(dāng)所述業(yè)務(wù)設(shè)備為用戶鑒權(quán)失敗時,還包括以下步驟所述業(yè)務(wù)設(shè)備向認證服務(wù)器請求最新鑒權(quán)信息;所述認證服務(wù)器根據(jù)所述用戶權(quán)限總表,向所述業(yè)務(wù)設(shè)備發(fā)送相關(guān)的最新鑒權(quán)信息;所述業(yè)務(wù)設(shè)備接收到所述最新鑒權(quán)信息后,更新本地所述用戶權(quán)限子表,并根據(jù)本地更新后的用戶權(quán)限子表中的鑒權(quán)信息為所述用戶鑒權(quán)授權(quán)。8、根據(jù)權(quán)利要求5所述的方法,其特征在于,密碼或加密的口令;所述用戶向業(yè)務(wù)設(shè)備發(fā)起業(yè)務(wù)請求后進一步包括所述業(yè)務(wù)設(shè)備將業(yè)務(wù)請求中的密碼或口令加密;所述業(yè)務(wù)設(shè)備根據(jù)業(yè)務(wù)請求和所述用戶權(quán)限子表中的鑒權(quán)信息在本地為用戶鑒權(quán)授權(quán)為業(yè)務(wù)設(shè)備根據(jù)業(yè)務(wù)請求中的加密密碼和用戶權(quán)限子表中的加密密碼為用戶鑒權(quán)授權(quán),或者業(yè)務(wù)設(shè)備根據(jù)業(yè)務(wù)請求中的加密口令和用戶權(quán)限子表中的加密口令為用戶鑒權(quán)授權(quán)。9、根據(jù)權(quán)利要求3所述的方法,其特征在于,該方法進一步包括在認證服務(wù)器中預(yù)置用戶權(quán)限總表,該用戶權(quán)限總表中存儲各業(yè)務(wù)設(shè)備的鑒權(quán)信息。10、根據(jù)權(quán)利要求9所述的方法,其特征在于,所述用戶權(quán)限總表中各業(yè)務(wù)設(shè)備的鑒權(quán)信息包括密碼或口令,該方法進一步包括認證服務(wù)器將所述用戶權(quán)限總表中各業(yè)務(wù)設(shè)備的密碼或口令加密;所述業(yè)務(wù)設(shè)備向認證服務(wù)器轉(zhuǎn)發(fā)的業(yè)務(wù)請求包括加密密碼或加密口令;所速認證服務(wù)器根據(jù)接收到的所述業(yè)務(wù)請求和所迷用盧權(quán)限總表中所速業(yè)務(wù)設(shè)備的鑒權(quán)信息為用戶鑒權(quán)授權(quán)為所述認證服務(wù)器根據(jù)接收到的業(yè)務(wù)請求中的加密密碼和所述用戶權(quán)限總表中所述業(yè)務(wù)設(shè)備的加密密碼為用戶鑒權(quán)授權(quán),或所述認證服務(wù)器根據(jù)接收到的業(yè)務(wù)請求中的加密口令和所述用戶權(quán)限總表中所述業(yè)務(wù)設(shè)備的加密口令為用戶鑒權(quán)授權(quán)。11、根據(jù)權(quán)利要求8或IO所述的方法,其特征在于,所述加密方法為函數(shù)轉(zhuǎn)換法;該函數(shù)轉(zhuǎn)換法為哈希函數(shù)法、或者消息摘譯法、或者密鑰法、或者設(shè)置一個共享密鑰并附在要加密的內(nèi)容后一起參加哈希函數(shù)運算或者消息摘譯運算。12、根據(jù)權(quán)利要求5或9所述的方法,其特征在于,該方法進一步包括通過所述認證服務(wù)器對所述用戶權(quán)限總表中各業(yè)務(wù)設(shè)備鑒權(quán)信息進行管理。13、根據(jù)權(quán)利要求4所述的方法,其特征在于,所述鑒權(quán)信息包括鑒權(quán)信息的用戶信息;所述業(yè)務(wù)請求包括業(yè)務(wù)請求的用戶信息;所述判斷用戶是否為合法用戶為比較所述鑒權(quán)信息的用戶信息與所述業(yè)務(wù)請求的用戶信息是否相同,結(jié)果相同則用戶為合法用戶;否則用戶為非法用戶。14、根據(jù)權(quán)利要求13所述的方法,其特征在于,所述鑒權(quán)信息進一步包括沐又限信息;所述權(quán)限信息包括有效日期,或者有效時段,或者持續(xù)時間,或者以上任意組合;所述判斷合法用戶的當(dāng)前狀態(tài)是否允許使用業(yè)務(wù)設(shè)備為根據(jù)所述有效曰期,或者根據(jù)所述有效時段,或者根據(jù)所述持續(xù)時間,或者根據(jù)所述任意組合判斷合法用戶的當(dāng)前狀態(tài)是否允許使用業(yè)務(wù)設(shè)備;所述權(quán)限信息還包括服務(wù)等級和服務(wù)質(zhì)量;所述服務(wù)等級用于確定用戶享受業(yè)務(wù)設(shè)備提供服務(wù)的優(yōu)先級;所述服務(wù)質(zhì)量用于確定用戶享受業(yè)務(wù)設(shè)備提供服務(wù)的服務(wù)質(zhì)量。15、一種實現(xiàn)設(shè)備訪問控制的業(yè)務(wù)設(shè)備,其特征在于,該業(yè)務(wù)設(shè)備包括業(yè)務(wù)設(shè)備UAT子表存儲單元和業(yè)務(wù)設(shè)備認證單元;所述業(yè)務(wù)設(shè)備UAT子表存儲單元,用于存儲用戶權(quán)限子表,該用盧權(quán)限子表存儲本業(yè)務(wù)設(shè)備的鑒權(quán)信息;所述業(yè)務(wù)設(shè)備認證單元,用于根據(jù)用戶向該業(yè)務(wù)設(shè)備發(fā)起的業(yè)務(wù)請求和所述用戶權(quán)限子表中的鑒權(quán)信息為用戶鑒權(quán)授權(quán)。16、根據(jù)權(quán)利要求15所述的業(yè)務(wù)設(shè)備,其特征在于,該業(yè)務(wù)設(shè)備進一步包括業(yè)務(wù)設(shè)備本地接口單元,用于通過非網(wǎng)絡(luò)方式接收用戶的業(yè)務(wù)請求,并發(fā)送給所述業(yè)務(wù)設(shè)備認證單元。17、根據(jù)權(quán)利要求15所述的業(yè)務(wù)設(shè)備,其特征在于,該業(yè)務(wù)設(shè)備進一步包括業(yè)務(wù)設(shè)備網(wǎng)絡(luò)接口單元,用于與認證服務(wù)器進行信息交互,將認證服務(wù)器分發(fā)的鑒權(quán)信息發(fā)送給所述業(yè)務(wù)設(shè)備存儲單元;并在業(yè)務(wù)設(shè)備請求認證服務(wù)器筌權(quán)授權(quán)時,將所述認證服務(wù)器返回的鑒權(quán)授權(quán)結(jié)果發(fā)送給所述業(yè)務(wù)設(shè)備認證單元。18、根據(jù)權(quán)利要求15所述的業(yè)務(wù)設(shè)備,其特征在于,該業(yè)務(wù)設(shè)備進一步包括業(yè)務(wù)設(shè)備加密單元,用于加密業(yè)務(wù)設(shè)備認證單元接收所述業(yè)務(wù)請求中的密碼或口令。19、根據(jù)權(quán)利要求15所述的業(yè)務(wù)設(shè)備,其特征在于,該業(yè)務(wù)設(shè)備進一步包括業(yè)務(wù)設(shè)備狀態(tài)表存儲單元,與所述業(yè)務(wù)設(shè)備認證單元相連,用于存儲本業(yè)務(wù)設(shè)備用戶使用狀態(tài)表;該用戶使用狀態(tài)表存儲各用戶使用該業(yè)務(wù)設(shè)備的歷史狀態(tài)信息,用于與所述用戶權(quán)限子表中的鑒權(quán)信息結(jié)合,為用戶鑒權(quán)授權(quán)。20、一種實現(xiàn)設(shè)備訪問控制的認證服務(wù)器,其特征在于,該認證服務(wù)器包括認證服務(wù)器UAT總表存儲單元和認證服務(wù)器認證單元;所述認證服務(wù)器UAT總表存儲單元,用于存儲用戶權(quán)限總表,該用戶權(quán)限總表存儲各業(yè)務(wù)設(shè)備的鑒權(quán)信息;所述認證服務(wù)器認證單元,用于在用戶向業(yè)務(wù)設(shè)備發(fā)起業(yè)務(wù)請求時,根據(jù)該業(yè)務(wù)設(shè)備轉(zhuǎn)發(fā)的所述業(yè)務(wù)請求和所述用戶權(quán)限總表中該業(yè)務(wù)設(shè)備的鑒權(quán)信息為用戶鑒權(quán)授權(quán);并將所述鑒權(quán)授權(quán)結(jié)果返回給業(yè)務(wù)設(shè)備。21、根據(jù)權(quán)利要求20所述的認證服務(wù)器,其特征在于,該認證服務(wù)器進一步包括認證服務(wù)器本地接口單元,用于通過非網(wǎng)絡(luò)方式接收用盧輸入的鑒權(quán)信息,并發(fā)送給所述認證服務(wù)器存儲單元。22、根據(jù)權(quán)利要求21所述的認證服務(wù)器,其特征在于,該認證服務(wù)器進一步包括用戶權(quán)限總表管理單元,用于根據(jù)所述認證服務(wù)器本地接口單元發(fā)來的管理信息,管理所述用戶權(quán)限總表中各業(yè)務(wù)設(shè)備的鑒權(quán)信息。23、根據(jù)權(quán)利要求20所述的認證服務(wù)器,其特征在于,該認證服務(wù)器進一步包括用戶權(quán)限總表加密單元,與所述認證服務(wù)器存儲單元相連,用于加密所述用戶權(quán)限總表存儲的鑒權(quán)信息中的密碼或口令。24、根據(jù)權(quán)利要求20所述的認證服務(wù)器,其特征在于,該認證服務(wù)器進一步包括認證服務(wù)器狀態(tài)表存儲單元,與所述認證服務(wù)器認證單元相連,用于存儲各業(yè)務(wù)設(shè)備用戶使用狀態(tài)表;該各業(yè)務(wù)設(shè)備用戶使用狀態(tài)表存儲各業(yè)務(wù)設(shè)備的所有用戶使用該業(yè)務(wù)設(shè)備的歷史狀態(tài)信息,用于與所述用戶權(quán)限總表中的鑒權(quán)信息結(jié)合,為用戶鑒權(quán)授權(quán)。25、一種設(shè)備訪問控制系統(tǒng),其特征在于,該系統(tǒng)包括業(yè)務(wù)設(shè)備,用于根據(jù)用戶發(fā)起的業(yè)務(wù)請求和預(yù)置的用戶權(quán)限子表中的鑒權(quán)信息為用戶鑒權(quán)授權(quán);并根據(jù)該鑒權(quán)授權(quán)結(jié)果為所述用戶提供服務(wù);認證服務(wù)器,用于將預(yù)置的用戶權(quán)限總表中的各業(yè)務(wù)設(shè)備鑒權(quán)信息分發(fā)給各業(yè)務(wù)設(shè)備;并在業(yè)務(wù)設(shè)備無法為用戶鑒權(quán)時,根據(jù)業(yè)務(wù)設(shè)備轉(zhuǎn)發(fā)的業(yè)務(wù)請求和所述用戶權(quán)限總表中請求鑒權(quán)的業(yè)務(wù)設(shè)備的鑒權(quán)信息為用戶鑒權(quán)授權(quán)。26、根據(jù)權(quán)利要求25所述的系統(tǒng),其特征在于,所述業(yè)務(wù)設(shè)備與所述認證服務(wù)器通過家庭網(wǎng)絡(luò)或小型辦公網(wǎng)絡(luò)進行通信。27、根據(jù)權(quán)利要求25所述的系統(tǒng),其特征在于,所述認證服務(wù)器內(nèi)置于網(wǎng)關(guān)或計算機或機頂盒或媒體服務(wù)器中。全文摘要本發(fā)明實施例公開了一種設(shè)備訪問控制方法,該方法包括用戶向認證設(shè)備發(fā)起業(yè)務(wù)請求;所述認證設(shè)備根據(jù)所述業(yè)務(wù)請求和預(yù)置的用戶權(quán)限表中的鑒權(quán)信息為用戶鑒權(quán)授權(quán);業(yè)務(wù)設(shè)備根據(jù)該鑒權(quán)授權(quán)結(jié)果為所述用戶提供服務(wù)。該方法降低了業(yè)務(wù)設(shè)備訪問控制的復(fù)雜程度。本發(fā)明還公開了一種設(shè)備訪問控制系統(tǒng)、實現(xiàn)設(shè)備訪問控制的業(yè)務(wù)設(shè)備以及實現(xiàn)設(shè)備訪問控制的認證服務(wù)器,簡單的實現(xiàn)了業(yè)務(wù)設(shè)備訪問控制的鑒權(quán)、授權(quán)和管理過程,降低了設(shè)備訪問控制的復(fù)雜程度,安全有效,且方便用戶使用。文檔編號H04L9/32GK101170409SQ20061015072公開日2008年4月30日申請日期2006年10月24日優(yōu)先權(quán)日2006年10月24日發(fā)明者進陳申請人:華為技術(shù)有限公司