立階段,作為認證域內的主節(jié)點可以首先向網絡側的接入認證系統(tǒng)進行自身的認證,主節(jié)點認證通過之后,接入認證系統(tǒng)再發(fā)送指令給域用戶數據庫,指示域用戶數據庫向該主節(jié)點發(fā)送域用戶信息,主節(jié)點獲得域用戶信息,認證域建立完成。
[0038]圖1為本發(fā)明認證域建立方法一個實施例的流程示意圖。如圖1所示,本實施例的認證域建立方法包括以下步驟:
[0039]步驟S101,認證域內的主節(jié)點向網絡接入設備發(fā)送接入請求,該接入請求攜帶主用戶名、密碼和域名。其中,在本發(fā)明中,用戶名和密碼可以稱為認證信息。
[0040]通過配置可以將一個節(jié)點轉換為主節(jié)點,主節(jié)點是一個認證域的建立者,在被配置成主節(jié)點后,主節(jié)點可以啟動整個域內的認證管理。
[0041]步驟S102,網絡接入設備接收到接入請求后,向接入認證系統(tǒng)發(fā)送認證請求,該認證請求攜帶主用戶名、密碼和域名。
[0042]網絡接入設備向接入認證系統(tǒng)發(fā)起認證的消息可以不局限于本實施例所列舉的“認證請求”的名稱,其他消息名稱與本實施例的“認證請求”在攜帶信息以及作用方面相同的情況下,也應當屬于本發(fā)明的保護范圍。
[0043]作為一種示例性的認證方法,網絡接入設備可以通過RADIUS (RemoteAuthenticat1n Dial In User Service,遠程用戶撥號認證系統(tǒng))方式到接入認證系統(tǒng)進行認證。
[0044]步驟S103,接入認證系統(tǒng)根據其保存的所有節(jié)點的認證信息,對主節(jié)點進行認證,并返回認證結果給網絡接入設備。具體地,如果主節(jié)點認證通過,則執(zhí)行步驟S104,如果主節(jié)點認證未通過,則不執(zhí)行步驟S104。
[0045]作為一種示例性的主節(jié)點認證方法,接入認證系統(tǒng)將認證請求中攜帶的主用戶名和密碼與其自身保存的用戶名和密碼進行匹配,如果接入認證系統(tǒng)保存的用戶信息中存在該主用戶名,并且密碼一致,則認證通過,如果不存在該主用戶名或者密碼不一致,則認證未通過。
[0046]步驟S104,接入認證系統(tǒng)向域用戶數據庫發(fā)送域用戶信息同步指令,該同步指令攜帶主用戶名和域名。
[0047]步驟S105,域用戶數據庫接收到同步指令后,查找主用戶名和域名所對應的認證域的域用戶信息,并將域用戶信息同步到主節(jié)點。
[0048]至此,主節(jié)點獲得本認證域的域用戶信息,即主節(jié)點獲得本認證域內各物聯網節(jié)點的用戶名和密碼,可以將域用戶信息保存到認證域用戶信息表,認證域建立完成。
[0049]上述實施例,采用單獨設置的域用戶數據庫來下發(fā)域用戶信息,可以避免接入認證系統(tǒng)與物聯網節(jié)點直接進行通信,確保接入認證系統(tǒng)自身的安全性。由于網絡側的接入認證系統(tǒng)是比較重要的系統(tǒng),可以大大增加物聯網接入認證的安全性。
[0050]另外,接入認證系統(tǒng)在指示域用戶數據庫同步域用戶信息給域主節(jié)點之前,對域主節(jié)點進行認證,在確保域主節(jié)點本身合法之后再下發(fā)同步指令,可以保證域用戶信息同步過程中的安全性。
[0051]作為一種可選的方案,在認證域建立過程中,也可以不進行主節(jié)點的認證,接入認證系統(tǒng)直接發(fā)送指令給域用戶數據庫,指示域用戶數據庫向該主節(jié)點發(fā)送域用戶信息,主節(jié)點獲得域用戶信息,認證域建立完成。即,在SlOl?S105的實施例中,其中的步驟S102?S103可以替換為:“網絡接入設備接收到接入請求后,向接入認證系統(tǒng)轉發(fā)接入請求”,接入認證系統(tǒng)接收到接入請求后直接執(zhí)行步驟S104。
[0052]基于建立的認證域,物聯網節(jié)點可以采用分域認證的方式進行接入認證。物聯網節(jié)點在啟動時可以搜尋網絡,搜尋網絡成功后發(fā)起認證,這個認證對于普通的物聯網節(jié)點就是一般的接入認證過程,但是該認證信息會被物聯網主節(jié)點捕獲,并進行本發(fā)明提出的認證過程,下面詳細說明。
[0053]圖2為本發(fā)明基于認證域的物聯網節(jié)點接入認證方法一個實施例的流程示意圖。
[0054]如圖2所示,本實施例的基于認證域的物聯網節(jié)點接入認證方法包括以下步驟:
[0055]步驟S201,認證域內的物聯網主節(jié)點接收認證域內的物聯網非主節(jié)點發(fā)送的認證信息,其中,該認證信息例如可以是非主節(jié)點的用戶名和密碼。
[0056]作為一種示例性的認證信息發(fā)送方法,物聯網非主節(jié)點可以采用廣播(或稱“泛洪”)的方法發(fā)送認證信息,廣播的認證信息可能被認證域內的多個節(jié)點收到,但只有主節(jié)點會處理該認證信息。
[0057]步驟S202,物聯網主節(jié)點將物聯網非主節(jié)點的認證信息與預先獲得的認證域用戶信息表中的認證信息進行匹配。
[0058]作為一種示例性的匹配方法,主節(jié)點將非主節(jié)點上報的用戶名和密碼與認證域用戶信息表中的用戶名和密碼進行匹配,如果認證域用戶信息表中存在該非主節(jié)點的用戶名,并且密碼一致,即,認證域用戶信息表中存在物聯網非主節(jié)點的認證信息,則認證通過;否則,如果認證域用戶信息表中不存在該非主節(jié)點的用戶名或者密碼不一致,即,認證域用戶信息表中不存在物聯網非主節(jié)點的認證信息,則域內認證不通過。
[0059]步驟S203,響應于認證域用戶信息表中存在物聯網非主節(jié)點的認證信息的匹配結果,物聯網主節(jié)點允許該物聯網非主節(jié)點接入到網絡中。
[0060]上述實施例,通過劃分認證域,并且采用分域認證的方式,將網絡側的認證信息同步到域主節(jié)點,由域主節(jié)點對本認證域內的其他節(jié)點進行接入認證,如果認證通過,則允許該節(jié)點加入到網絡中,使得域內節(jié)點在本認證域內即可完成認證,一方面可以規(guī)避海量節(jié)點可能造成的網絡認證風暴風險,另一方面可以緩解網絡側接入認證系統(tǒng)處理海量節(jié)點認證時的性能壓力。
[0061]在域內認證不通過時,S卩,認證域用戶信息表中不存在物聯網非主節(jié)點的認證信息時,后續(xù)可以有不同的處理方法。例如,為了簡化認證,在域內認證不通過時,即認為認證不通過,拒絕該物聯網非主節(jié)點接入到網絡中。然而考慮到外部節(jié)點臨時接入到認證域進行認證的需求,本申請?zhí)岢鲈谟騼日J證不通過時,轉發(fā)到網絡側的接入認證系統(tǒng)進行認證,具體參見圖3所示的步驟S304。
[0062]步驟S304,響應于認證域用戶信息表中不存在物聯網非主節(jié)點的認證信息的匹配結果,物聯網主節(jié)點將物聯網非主節(jié)點的認證信息轉發(fā)到網絡側的接入認證系統(tǒng)進行認證,如果接入認證系統(tǒng)認證通過,允許該物聯網非主節(jié)點接入到網絡中,如果接入認證系統(tǒng)認證未通過,拒絕該物聯網非主節(jié)點接入到網絡中。
[0063]為了進一步緩解網絡側接入認證系統(tǒng)處理海量節(jié)點認證時的性能壓力,對于認證域用戶信息表中不存在物聯網非主節(jié)點的認證信息的情況還可以進一步細分,并分別采用不同的處理方法。第一種情況,認證域用戶信息表中不存在物聯網非主節(jié)點的用戶名,則說明該非主節(jié)點不是本認證域的節(jié)點,可能是外部臨時接入的節(jié)點,主節(jié)點可以將物聯網非主節(jié)點的認證信息轉發(fā)到網絡側的接入認證系統(tǒng)進行認證,如果接入認證系統(tǒng)認證通過,主節(jié)點允許該物聯網非主節(jié)點接入到網絡中,如果接入認證系統(tǒng)認證未通過,主節(jié)點拒絕該物聯網非主節(jié)點接入到網絡中。第二種情況,認證域用戶信息表中存在物聯網非主節(jié)點的用戶名,但是密碼不一致,說明該非主節(jié)點很可能是仿冒的,則主節(jié)點可以直接拒絕該物聯網非主節(jié)點接入到網絡中,無須再轉發(fā)到網絡側的接入認證系統(tǒng)進行認證,從而進一步緩解網絡側接入認證系統(tǒng)處理海量節(jié)點認證時的性能壓力,規(guī)避海量節(jié)點可能造成的網絡認證風暴風險。
[0064]圖4為本發(fā)明基于認證域的物聯網節(jié)點接入認證方法一個應用實例的原理示意圖。在圖4中,認證域示例性的示出兩個普通物聯網節(jié)點1,2 (即,非主節(jié)點1,2),該兩個普通物聯網節(jié)點均向主節(jié)點發(fā)起認證,主節(jié)點根據自身的認證域用戶信息表對兩個普通物聯網節(jié)點分別進行認證,假設普通物聯網節(jié)點I通過域內認證,則主節(jié)點返回認證成功的響應消息,普通物聯網節(jié)點I可以接入網絡,假設普通物聯網節(jié)點2域內認證未通過,主節(jié)點將普通物聯網節(jié)點2的認證信息轉發(fā)給網絡側的接入認證系統(tǒng)進行認證,如果接入認證系統(tǒng)認證通過,允許該物聯網非主節(jié)點接入到網絡中,如果接入認證系統(tǒng)認證未通過,拒絕該物聯網非主節(jié)點接入到網絡中。
[0065]圖5為本發(fā)明基于認證域的物聯網節(jié)點接入認證系統(tǒng)(可以簡稱“認證系統(tǒng)”)一個實施例的結構示意圖。
[0066]如圖5所示,本實施例的認證系統(tǒng)包括:認證域內的物聯網主節(jié)點51、接入認證系統(tǒng)52和域用戶數據庫53。
[0067]根據該認證系統(tǒng)的一方面,物聯網主節(jié)點51用于向接入認證系統(tǒng)52發(fā)送接入請求,具體可以通過網絡接入設備向接入認證系統(tǒng)52發(fā)送接入請求;接入認證系統(tǒng)52用于接收到物聯網主節(jié)點51發(fā)送的接入請求后,根據該接入請求攜帶的物聯網主節(jié)點51的認證信息對物聯網主節(jié)點51進行認證,并在物聯網主節(jié)點51認證通過后,接入認證系統(tǒng)52向域用戶數據庫53發(fā)送域用戶信息同步指令,其中,接入請求和域用戶信息同步指令均攜帶主用戶名和域名;域用戶數據庫53接收到域用戶信息同步指令后,將主用戶名和域