专利名称:一种远程访问授权与认证的方法及其系统的制作方法
技术领域:
本发明涉及家庭网络技术领域,具体来说,涉及到对家庭网络进行远程 访问的4支术。
背景技术:
随着消费类电子产品的数字化以及数字信息技术在消费类电子产品中应 用的普及化,数字家庭网络将数字化的消费类电子产品以有线或无线方式连 接成家庭内部局域网,以实现互联网接入共享,或实现方便的相互控制等功能。通过家庭网关接入互联网的家庭网络,可以实现远程控制,使用户能够在家庭网络外部,远程了解和控制家庭网络内部的设备,例如在下班的路 上遥控提前打开空调,在办公室了解家中电冰箱里的食品还剩多少,查看家 庭安全系统的运行情况等等。现有技术方案中实现远程控制的过程主要包括如下步骤1、 用户通过IP地址寻址或者域名寻址的方式,从Internet登录到家庭的 主控设备-家庭网关,这个过程中用户需要输入登陆的用户名和密码等资料。2、 家庭网关调用相关的应用程序,通过一定的介质读取家庭网络内部各 种设备目前的状态信息,进行相关的处理,产生接口数据(例如可以通过UPnP Universal Plug and Play通用即插即用协议收集各设备的信息)。3、 然后,家庭网关通过Internet把这些接口数据传送给用户,这样用户
可以着到自己家里各种设备的状态信息,并可以通过点击浏览器页面上的各 种与家庭网络内部的设备相关联的按钮来控制这些设备。从上述对现有技术方案的描述可以看出,现有的远程管理的方案存在如下不足用户在远程访问的过程中需要手动输入登陆家庭网络所需的地址或者域 名信息、以及登陆的用户名和密码等信息,而且,用户在完成对家庭网络进 行远程访问后,需要将自己的登陆信息清除,以防止其他用户盗用这些信息, 这些操作将给用户对家庭网络的远程控制带来不便。发明内容本发明的目的在于提供一种远程访问授权与认证的方法及其系统,以解 决现有技术中用户远程远程访问家庭网络时操作繁瑣的问题。为实现上述目的,本发明采用如下的技术方案一种远程访问授权与认证的方法,所述的方法包括如下步骤a、远程访问代理根据从家庭网络A中的可移动设备获取的远程访问所述 的家庭网络A所需的信息后向所述的家庭网络A发起远程访问请求;的远程访问请求进行鉴权。 其中步骤a之前还包括a0、所述的家庭网络A中的可移动设备向所述的家庭网络A中的访问授 权与认证服务器请求远程访问授权,所述的访问授权与认证服务器授权所述 的可移动设备可以远程访问所述的家庭网络A,并将所述的远程访问家庭网
络A所需的信息传送到可移动设备。其中所述的远程访问家庭网络a所需的信息具体包括家庭网络a的远程访问接口的地址、访问所需要的端口号、访问所需要的协议以及认证需要的鉴权信息。其中所述的认证需要的鉴权信息为鉴权码或者数字签名证书或者设备ID。其中所述的远程访问家庭网络a所需的信息还包括授权访问的权限类 型、授权访问的设备或者资源和授权访问的时限三类信息中的一种或者多种。其中步骤a具体包括a1、所述的远程访问代理向所述的家庭网络a中的可移动设备请求所述 的远程访问家庭网络a所需的信息,所述的可移动i殳备向所述的远程访问代 理返回远程访问家庭网络a所需的信息;a2、所述的远程访问代理根据所述的远程访问所述的家庭网络a所需的 信息向所述的家庭网络a中的远程访问接口请求进行远程访问。其中步骤a1具体包括所述的远程访问代理向所述的家庭网络a中的可移动设备请求所述的远 程访问家庭网络a所需的信息,所述的可移动设备根据预制的策略或者用户 的操作有选择的向所述的远程访问代理返回远程访问家庭网络a所需的信自其中步骤b具体包括b1、所述的家庭网络a中的访问授权与认证服务器收到其远程访问接口 转发的远程访问请求后要求所述的远程访问代理提供远程访问认证的鉴权信息;b2、所述的远程访问代理将所述的远程访问家庭网络A所需的信息中的 鉴权信息发送给所述的访问授权与认证服务器,所述的访问授权与认证服务器根据所述的鉴权信息进行鉴权。其中所述的远程访问接口为家庭网络A中的家庭网关。本发明还公开了 一种远程访问授权与认证的系统,所述的系统包括远程 访问代理、家庭网络A以及其中的可移动设备和访问授权与认证服务器,其 中所述的家庭网络A中的可移动设备用来向所述的家庭网络A中访问授权 与认证服务器请求远程访问授权并获取远程访问所述的家庭网络A所需的信息;所述的家庭网络A所需的信息代理所述的可移动设备向所述的家庭网络A请 求远程访问。其中所述的远程访问代理属于家庭网络B,用来代理所述的家庭网络B中 的设备发起向所述的家庭网络A的远程访问请求。本发明克服现有技术的不足,采用由可移动设备获得对家庭网络进行远 程访问的授权以及进行远程访问所需的信息,并将进行远程访问所需信息传 送给远程访问代理,远程访问代理根据获取的信息发起向家庭网络的远程访 问,家庭网络对远程访问代理的远程访问进行鉴权的技术方案,使得可移动 设备在远程访问的过程中不需要手动输入登陆家庭网络所需的地址或域名信 息、以及登陆的用户名和密码等信息,并且可移动设备在完成对家庭网络进 行远程访问后,不需要手动清除自己的登陆信息,从而大大简化了用户远程 访问家庭网络时的操作。
图1为本发明实施例系统图; 图2为本发明实施例流程图;具体实施方式
本发明的基本原理是可移动设备首先向家庭网络中的访问授权与认证服 务器请求远程访问授权,访问与认证服务器授权可移动设备可以进行远程访 问,并将远程访问所需的需要信息传送到可移动设备上,可移动设备将远程 访问所需要的信息发送给远程访问代理,然后由远程访问代理发起向家庭网 络的远程访问请求,访问授权与认证服务器对远程访问代理的访问请求进行 鉴权,并根据鉴权结果决定是否继续远程访问的流程。以下结合附图和具体实施例进行详细说明。本发明实施例的系统图如图1所示,其中,可移动设备A属于家庭网络 A, 远程访问代理独立于可移动设备A,部署在家庭网络B中。图1中所示的家庭网络A和B内部的设备包括可移动设备、PC、智能家 电等等,家庭承载网络可以采用各种组网技术,例如有线组网HomePNA (Home Phoneline Networking Alliance家庭电话线网络联盟)技术、PLC (Power Line Communications电路线通信)技术、lEEE1394、以太网等, 无线组网WLAN( Wireless LAN无线局域网)技术、UWB( Ultra WideBand 超宽带)技术。家庭网络A中的访问授权与认证服务器用来授权指定设备对家庭网络A 的访问权限,以及对已授权的设备进行认证,确保只有已授权的设备才能访 问家庭网络内部的设备和资源。具体来说,可以使用各种访问授权与认证技 术,例如UPnP安全访问控制技术、数字签名证书授权与认证技术、基于鉴 权码的访问授权与认证技术或者设备ID访问授权与认证技术。 在具体的实现中访问授权与认证服务器可以是一个独立存在的设备,也 可以位于家庭网络A上其他设备上,比如位于家庭网关A上。本发明所述的远程访问代理可以是部署在可移动设备上,也可以部署在远程家庭网络(家庭网络B)中,当远程访问代理部署在家庭网络B中时,当远程访问代理获取远程访问所需要的地址(或者域名)等信息和认证所需要的信息后,根据访问授权与认证服务器授权的情况,家庭网络B中的设备 也可以对家庭网络A进行远程访问。远程访问代理用来实现对家庭网络A进行远程访问时的鉴权过程和鉴权 通过后的访问代理功能,可移动设备A或者家庭网络B内部的设备通过远程 访问代理,根据家庭网络A中访问授权与认证服务器的授权对家庭网络A中 的设备和资源进行访问。.家庭网关A和家庭网关B实现远程访问接口的功能,为各自的家庭网络 中的设备提供Internet接入,也为远程访问家庭网络提供入口功能。具体的实现流程如图2所示,在图2中省略了 Internet和家庭承载网络,因为这两部分都是简单的透传内容。其中,可移动设备A属于家庭网络A,并在家庭网络A中被授权可以远 程访问家庭网络A,之后,可移动设备A临时移动到家庭网络B,被家庭网 络B临时授权允许接入到家庭网络B,然后家庭网络B中的远程访问代理通 过可移动设备A提供的远程访问信息,完成对家庭网络A的远程访问鉴权和 代理,这样家庭网络B中的设备可以有限制的访问家庭网络A的设备和资源。具体包括如下的步骤1. 可移动设备A接入到家庭网络A。2. 可移动设备A请求访问授权与认证服务器进行远程访问授权 可移动设备A请求家庭网络A内的访问授权与认证服务器对其进行远程
访问授权,通过将自己的设备信息发给授权与认证服务器,请求授予可以远 程访问家庭网络的权限。从容易扩展的角度来说,可移动设备A发送的请求消息可以使用这样的 格式设备ID +请求的授权类型+请求授权访问的设备或者资源+请求授权的 访问时限具体可以这样xxx—223344+ "远程访问"+ "PC" + "1个小时"3.访问授权与认证服务器授权可移动设备A可以远程访问家庭网络A访问授权与认证服务器根据预制的策略或者通过用户操作,授权可移动 设备A可以远程访问家庭网络A,同时访问授权与认证服务器将远程访问所 需要的地址(或者域名)等信息和认证所需要的信息传送到可移动设备A上。 访问授权与认证服务器提供的认证信息可以包含多种有效的认证信息,每种 认证信息可以包含不同的远程访问权限,还可以包含该认证信息的访问时限。访问授权与认证服务器发送给可移动设备A的信息从容易扩展的角度来 说,可以使用这样的格式用于远程访问的域名+设备ID +远程认证的鉴权码+授权的访问权限类 型+授权访问的设备或者资源+授权的访问时限在具体的实施过程中,具体的消息可以如下授权消息1:www.myhome.sz.com + xxx—2223344+1234567+ "远程访问"+ "PC" + 5分钟授权消息2: www.myhome.sz.com + xxx—2223344 + 7684234 + "远程访问,,+ "所 有设备"+2010年7月10曰前在步骤3中,如果访问授权与认证服务器拒绝授权设备A远程访问家庭 网络A,则流程结束。4. 可移动设备A移动到家庭网络B,临时接入到家庭网络B。5. 家庭网络B中的远程访问代理向可移动设备A请求远程访问家庭网络 A所需要的信息家庭网络B中的远程访问代理向接入到家庭网络B中的可移动设备A请 求其提供远程访问家庭网络A所需要的信息,具体包括家庭网关A的IP地址 或者域名地址、访问的端口号、访问所需要的协议以及认证时所需的鉴权信息等。在这个步骤之前,可移动设备A与家庭网络B中远程访问代理之间还可 以先建立信任的关系,具体可以通过现有技术如UPnP安全协议来完成这个 过程,这样可以进一步提高安全性。如果两者无法建立信任关系,则流程到此结束。6. 可移动设备A向家庭网络B中的远程访问代理返回其请求的远程访问 家庭网络A所需要的信息可移动设备A可以根据预制的策略或者通过用户操作,将合适的信息返 回给家庭网络B中的远程访问代理,返回的信息包括家庭网关A的IP地址或 者域名地址、访问的端口号、访问所需要的协议以及认证时所需的鉴权信息等。可移动设备A可以根据预制的策略或者通过用户操作,选择合适的信息 返回,比如信任程度一jfe:,则返回授权消息1: www.myhome.sz.com + xxx—2223344 + 1234567 + "远程访问,,+ "PC" + 5分钟如果信任程度高,则返回 授权消息2:丽w.myhome.sz.com + xxx—2223344 + 7684234 + "远程访问,,+ "所 有设备',+2010年7月10曰前如果可移动设备A拒绝返回远程访问代理所请求的信息,则流程结束。7. 家庭网络B中的远程访问代理根据步骤6中获得的信息,向家庭网络 A中的家庭网关A请求进行远程访问家庭网络B中的远程访问代理根据步骤6中获得的信息,向家庭网络A 中的家庭网关A请求进行远程访问,发送的访问请求消息中还可以包括已经 授权设备(可移动设备A)的设备ID,以进一步提高安全性。8. 家庭网络A中的家庭网关A将收到的远程访问请求转发给家庭网络A 中的访问授权与认证服务器。9. 家庭网络A中的访问授权与认证服务器判断是否需要进行鉴权家庭网络A中的访问授权与认证服务器根据预制的策略,对收到的远程 访问请求进行判断(如果是要求低强度的安全策略可以使用设备ID进行认证, 比如根据步骤7中提到的包含在远程访问请求消息中的可移动设备A的设备 ID,如果是要求高强度的安全策略可以使用鉴权码等方式进行认证),决定是 否发送要求进行鉴权的消息。如果采用鉴权码认证的方式进行鉴权,则转步骤10。 如果根据远程访问请求中的设备ID信息进行鉴权,则转步骤15。10. 家庭网络A中的访问授权与认证服务器向其家庭网关发送要求进行
鉴权的消息。11. 家庭网络A中的家庭网关A将要求进行鉴权的消息转发给家庭网络B 中的远程访问代理。12. 家庭网络B中的远程访问代理根据步骤6获得的信息向家庭网络A 中的家庭网关发A发送用于远程访问家庭网络A的鉴权信息。家庭网络B中的远程访问代理向家庭网络A中的家庭网关A发送远程访 问家庭网络A的鉴权信息,发送的消息包括远程认证的鉴权码,还可以包括 已经授权设备(可移动设备A)的设备ID。13. 家庭网络A中的家庭网关将收到的鉴权信息转发给家庭网络A中的 访问授权与认证代理。14. 家庭网络A中的访问授权与认证服务器才艮据收到的远程鉴权信息进 行鉴权,看是否合法。15. 如果鉴权通过,家庭网络A中的访问授权与认证服务器通过管理接 口通知家庭网络A中的家庭网关A。16. 家庭网络A中的访问授权与认证服务器送出鉴权通过信息。17. 家庭网络A中家庭网关A将鉴权通过的信息转发给家庭网络B中远 程访问代理。 .在远程访问鉴权通过后,家庭网络B中的设备可以通过远程访问代理实 现对家庭网络A中设备和资源的访问,可以使用现有技术,如UPnP来实现。 在访问过程中,如果远程访问代理提供的鉴权信息中的有效时限已到,家 庭网络A中访问授权服务器将提示家庭网络B中远程访问代理提供新的有效 鉴权信息,如果远程访问代理能够提供新的有效鉴权信息,则远程访问可以 继续,否则远程访问将被拒绝。在具体的实施过程中,除了上述的设备ID、鉴权码等认证方式之外,还
可以使用数字证书签名认证等认证方式。如果需要较高的安全性,最好在可移动设备A上实现远程访问代理的功能,这样在整个鉴权的过程中,可移动设备A与远程访问代理交互的信息不 再出现在家庭网络B上,家庭网络B上的设备也无法获得和保持可移动设备 A上的鉴权信息。
权利要求
1、一种远程访问授权与认证的方法,其特征在于,所述的方法包括如下步骤a、远程访问代理根据从家庭网络A中的可移动设备获取的远程访问所述的家庭网络A所需的信息后向所述的家庭网络A发起远程访问请求;b、所述的家庭网络A中的访问授权与认证服务器对所述的远程访问代理的远程访问请求进行鉴权。
2、 根据权利要求1所述的方法,其特征在于,其中步骤a之前还包括a0、所述的家庭网络A中的可移动设备向所述的家庭网络A中的访问授 权与认证服务器请求远程访问授权,所述的访问授权与认证服务器授权所述 的可移动设备可以远程访问所述的家庭网络A,并将所述的远程访问家庭网 络A所需的信息传送到可移动设备。
3、 根据权利要求1所述的方法,其特征在于,所述的远程访问家庭网络 A所需的信息具体包括家庭网络A的远程访问接口的地址、访问所需要的端 口号、访问所需要的协议以及认证需要的鉴权信息。
4、 根据权利要求3所述的方法,其特征在于,所述的认证需要的鉴权信 息为鉴权码或者数字签名证书或者设备ID。
5、 根据权利要求3所述的方法,其特征在于,所述的远程访问家庭网络 A所需的信息还包括授权访问的权限类型、授权访问的设备或者资源和授 权访问的时限三类信息中的 一种或者多种。
6、 根据权利要求1所述的方法,其特征在于,其中步骤a具体包括.a1、所述的远程访问代理向所述的家庭网络A中的可移动设备请求所述 的远程访问家庭网络A所需的信息,所述的可移动设备向所述的远程访问代b、所述的家 理返回远程访问家庭网络A所需的信息;a2、所述的远程访问代理根据所述的远程访问所述的家庭网络A所需的 信息向所述的家庭网络A中的远程访问接口请求进行远程访问。
7、 根据权利要求6所述的方法,其特征在于,其中步骤a1具体包括所述的远程访问代理向所述的家庭网络A中的可移动设备请求所述的远 程访问家庭网络A所需的信息,所述的可移动设备才艮据预制的策略或者用户 的操作有选择的向所述的远程访问代理返回远程访问家庭网络A所需的信息。
8、 根据权利要求1所述的方法,其特征在于,其中步骤b具体包括-. b1、所述的家庭网络A中的访问授权与认证服务器收到其远程访问接口台.b2、所述的远程访问代理将所述的远程访问家庭网络A所需的信息中的 鉴权信息发送给所述的访问授权与认证服务器,所述的访问授权与认证服务 器根据所述的鉴权信息进行鉴权。
9、 根据权利要求6或者8所述的方法,其特征在于,所述的远程访问接 口为家庭网络A中的家庭网关。
10、 一种远程访问授权与认证的系统,其特征在于,所述的系统包括远 程访问代理、家庭网络A以及其中的可移动设备和访问授权与认证服务器, 其中所述的家庭网络A中的可移动设备用来向所述的家庭网络A中访问授权 与认证服务器请求远程访问授权并获取远程访问所述的家庭网络A所需的信 自、'所述的家庭网络A所需的信息代理所述的可移动设备向所述的家庭网络A请 求远程访问。
11、根据权利要求10所述的系统,其特征在于,所述的远程访问代理属 于家庭网络B,用来代理所述的家庭网络B中的设备发起向所述的家庭网络 A的远程访问请求。
全文摘要
本发明公开了一种远程访问授权与认证的方法,所述的方法包括如下步骤a.远程访问代理根据从家庭网络A中的可移动设备获取的远程访问所述的家庭网络A所需的信息后向所述的家庭网络A发起远程访问请求;b.所述的家庭网络A中的访问授权与认证服务器对所述的远程访问代理的远程访问请求进行鉴权。采用本发明的技术方案使得可移动设备在远程访问的过程中不需要手动输入登陆家庭网络所需的地址或域名信息、以及登陆的用户名和密码等信息,并且可移动设备在完成对家庭网络进行远程访问后,不需要手动清除自己的登陆信息,从而大大简化了用户远程访问家庭网络时的操作。
文档编号H04L9/12GK101119195SQ20061006196
公开日2008年2月6日 申请日期2006年8月1日 优先权日2006年8月1日
发明者吴黄伟 申请人:华为技术有限公司