专利名称:设备间安全接入方法和通信设备的制作方法
技术领域:
本发明涉及通信技术领域,特别是一种设备间安全接入方法和通信设备。
背景技术:
分布式系统中将业务方案按业务功能分割成相对独立的业务节点,部署同一网络不同物理节点上,各个节点间交互完成业务流的处理。分布式系统在基于刀片式服务器领域的解决方案中广泛应用,如基于先进的电信计算架构(Advanced Telecom Computing Architecture,ATCA)的电信产品存在大量分布式系统等。分布式系统中各节点之间,即主机间的接入认证是一个不容忽视的安全问题。分布式系统中主机间接入认证控制通常采用密码认证机制。源主机经过业务网络向目标主机发起携带有账号和密码信息的接入请求;目标主机接收接入请求,将接入账号和密码与目标主机本地储存的合法账号和密码进行匹配,如果匹配成功则向源主机提供服务,否则拒绝本次接入请求。发明人在实现本发明实施例过程中发现,现有技术主机间接入机制通过业务网络传输包括密码等关键信息的接入请求,而业务网络为开放式网络,这使得密码等关键信息易被嗅探工具探测破解,降低了密码等关键信息的可靠性,从而降低了主机间接入的安全性。
发明内容
本发明实施例提供一种设备间安全接入方法和通信设备,用于提高树状连接的分布式系统中设备间接入的安全性。本发明实施例提供了一种设备间安全接入方法,包括通过带外通道获取接入认证信息,所述接入认证信息用于服务请求设备和服务提供设备之间的接入认证,所述服务请求设备和所述服务提供设备共享同一管理设备、且分别与所述管理设备形成所述带外通道;对所述接入认证信息进行认证,且在认证结果表示所述接入认证信息认证成功时,由所述服务提供设备通过带内数据通道为所述服务请求设备提供服务,所述服务提供设备和所述服务请求设备经由业务网络形成所述带内数据通道。本发明实施例还提供了一种通信设备,包括获取模块,用于通过带外通道获取接入认证信息,所述接入认证信息用于服务请求设备和服务提供设备之间的接入认证,所述服务请求设备和所述服务提供设备共享同一管理设备、且分别与所述管理设备形成所述带外通道;认证模块,用于对所述接入认证信息进行认证,且在认证结果表示所述接入认证信息认证成功时,由所述服务提供设备通过带内数据通道为所述服务请求设备提供服务, 所述服务提供设备和所述服务请求设备经由业务网络形成所述带内数据通道。本发明实施例将业务交换与接入认证的通信通道相互隔离,业务数据采用带内数据通道传输,接入认证所需的接入认证信息采用带外通道传输。由于入认证所需的接入认证信息不需要经过外部的业务网络,因此降低了接入认证信息在传输过程中被截获或篡改的几率,提高了接入认证信息传输的可靠性,进而提高了树状连接的分布式系统中设备间接入的安全性。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图1为本发明第一实施例提供的设备间安全接入方法流程图;图2为本发明实施例提供的应用场景中树状连接的分布式系统结构示意图;图3为本发明实施例提供的应用场景中基于刀片式服务器的分布式系统结构示意图;图4为本发明第二实施例提供的设备间安全接入方法流程图;图5为本发明第三实施例提供的设备间安全接入方法流程图;图6为本发明第四实施例提供的设备间安全接入方法流程图;图7为本发明第五实施例提供的设备间安全接入方法流程图;图8为本发明第六实施例提供的通信设备结构示意图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有付出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。图1为本发明第一实施例提供的设备间安全接入方法流程图。如图1所示,本实施例设备间安全接入方法包括步骤11 通过带外通道获取接入认证信息,所述接入认证信息用于服务请求设备和服务提供设备之间的接入认证,所述服务请求设备和所述服务提供设备共享同一管理设备、且分别与所述管理设备形成所述带外通道。服务请求设备和服务提供设备与同一管理设备连接,由该管理设备进行统一管理,这样服务请求设备、服务提供设备和管理设备就形成了树状连接的分布式系统,管理设备可作为根节点,服务请求设备和服务提供设备分别作为子节点。根据组网模式的不同,可将组网模式分为带外组网(Out-BandNetworking)和带内组网αη-Band Networking)。带外组网使用其他设备提供的通信通道,而不是被管理设备本身提供的通信通道来传输网管信息,并进行网络设备管理。带内组网使用被管理设备提供的业务通道来进行网络设备管理,在这种组网模式下,网管信息通过设备的业务通道来进行传输。同带内组网相比,带外组网能提供更可靠的设备管理通道,如果被管理设备发生故障,它仍然能实时定位并监控网络设备。带外组网过程中用来传输数据的通道称为带外通道(Out-Band Channel);带内组网中用来传输数据的通道称为带内数据通道(In-Band Data Channel)图2为本发明实施例提供的应用场景中树状连接的分布式系统结构示意图。如图 2所示,服务请求设备和服务提供设备分别可为一独立的系统主板,服务请求设备和服务提供设备一方面通过硬件接口物理连接同一管理设备,形成带外通道,如图中虚线所示;另一方面通过网络接口接入业务网络,形成带内数据通道,如图中实线所示。业务数据流通过带内通道传输,但不经过带外通道。这样,服务请求设备、服务提供设备、带外通道和管理设备相当于形成了 “接入认证系统”,服务请求设备、服务提供设备和带内数据通道相当于形成了 “业务交换系统”。设备间的接入认证在接入认证系统内实现,而设备间的业务数据交换则在业务交换系统内实现。图2所示的树状连接的分布式系统具体应用环境不受限制,例如可应用于基于刀片式服务器的分布式系统中,或者,还可应用于槽式连接的交换机的分布式系统中,或具有物理树状连接结构的类刀片式服务器分布式系统中。步骤12 对所述接入认证信息进行认证,且在认证结果表示所述接入认证信息认证成功时,由所述服务提供设备通过带内数据通道为所述服务请求设备提供服务,所述服务提供设备和所述服务请求设备经由业务网络形成所述带内数据通道。本实施例将业务交换与接入认证的通信通道相互隔离,业务数据采用带内数据通道传输,接入认证所需的接入认证信息采用带外通道传输。由于认证所需的接入认证信息不需要经过外部的业务网络,因此降低了接入认证信息在传输过程中被截获或篡改的几率,提高了接入认证信息传输的可靠性,进而提高了树状连接的分布式系统中设备间接入的安全性。本发明实施例整个实现过程不需要人工干预,因此可避免因人工干预造成的安 ^^^ 急 ^^ ο图3为本发明实施例提供的应用场景中基于刀片式服务器的分布式系统结构示意图。如图3所示的刀片式服务器,是一种高可用密度(HighAvailability High Density) 的低成本服务器平台,其优势主要在于能够节约服务器的使用空间和费用,并能够为用户提供灵活、便携的扩展和升级手段。刀片式服务器上的每一块刀片实际上就是一块业务主板。每块业务主板上设有板载控制器,不同业务主板的板载控制器分别与机框管理板连接, 如将不同业务主板的板载控制器分别与机框管理板采用智能平台管理总线(Intelligent Platform Management BUS, IPMB)连接,这样在刀片式服务器内就形成了 IPMB硬件管理通道。经由该硬件管理通道可以实现刀片式服务器的上下电、复位、告警、监控等硬件管理。该硬件管理通道为刀片式服务器的内建通道,该通道不需要经过业务网络传输,不传输业务数据流,与业务网络在物理上是相互隔离的。刀片式服务器上各业务主板上设置的主机分别通过网卡接入业务网络,这样刀片式服务器各主机之间形成通信通道,该通信通道可经过业务网络传输业务数据流。在实际应用过程中,可选的,刀片式服务器机框中设置多个刀片式服务器,每一刀片式服务其上设置有业务主机和板载控制器,同一刀片式服务器上业务主机和板载控制器之间通过私有接口通信。本发明实施例所述的服务请求设备和服务提供设备,即为刀片式服务器机框中不同槽位上插入的刀片式服务器,本发明实施例所述的管理设备即为机框管理板。本发明实施例所述的带内数据通道,即为不同业务主板上的主机通过网卡连接业务网络所形成的业务数据流传输通道;本发明实施例所述的带外通道,即为各业务主板上的板载控制器通过总线,如通过智能平台管理总线(Intelligent PlatformManagement BUS, IPMB)连接机框管理板所形成的硬件管理通道。如图3所示,假设刀片式服务器机框内设置有刀片式服务器A和刀片式服务器B, 刀片式服务器A上设置有业务主机A (以下简称为主机A)和板载控制器A,刀片式服务器B 上设置有业务主机B (以下简称为主机B)和板载控制器B。主机A和板载控制器A之间基于私有接口通信,主机B和板载控制器B之间也是基于私有接口通信。主机A和主机B之间通过带内数据通道并经由业务网络络传输业务数据;板载控制器A和板载控制器B之间通过IPMB带外通道并经由机框管理板传输接入认证信息。下面以图3所示的基于刀片式服务器的分布式系统为应用场景,详细说明本发明实施例实现设备间安全接入的技术方案。图4为本发明第二实施例提供的设备间安全接入方法流程图。本实施例中,接入认证信息为服务请求设备,即主机A生成的随机访问码,对随机访问码的合法性认证由服务请求设备,即主机A完成。如图3和图4所示,本实施例包括步骤31 在主机A请求访问主机B之前,主机A生成并保存随机访问码。步骤32 主机A生成服务请求,并通过带内数据通道向主机B发送该服务请求,该服务请求中携带有位置信息和随机访问码,其中,该位置信息可为主机A在刀片式服务器内的逻辑位置,如主机A的机框号和槽位号等。主机A通过带内通道向主机B发送该服务请求的路径例如主机A —业务网络一主机B。步骤33 主机B通过带外通道向机框管理板发送认证请求,该认证请求携带有主机A的位置信息和随机访问码,用于请求机框管理板指示主机A对该随机访问码进行合法性认证。可选的,主机B上可预先定义允许接入的主机信息。当主机B接收到服务请求时, 首先判断该服务请求中位置信息对应的主机A是否为预设允许接入的主机,如果是,则通过带外通道向机框管理板发送认证请求;否则,拒绝主机A的服务请求,结束本流程(图中未示出)。如此处理的好处在于,主机B可保证预先定义允许接入的主机接入,拒绝未定义的主机接入,从而进一步提高了接入的安全性。主机B通过带外通道向机框管理板发送认证请求的路径例如主机B —板载控制器B—机框管理板。步骤34 机框管理板通过带外通道向主机A发送认证指示,该认证指示携带有随机访问码,用于指示主机A对随机访问码进行合法性认证。机框管理板通过带外通道向主机A发送认证指示的路径例如机框管理板一板载控制器A—主机A。步骤35 主机A接收认证指示,对认证指示中的随机访问码进行合法性认证。主机A在对认证指示中的随机访问码进行合法性认证过程中,可将认证指示中携带的随机访问码与主机A在先生成的随机访问码进行比较。如果认证指示中的随机访问码与主机A在先生成的随机访问码匹配,说明随机访问码通过合法性认证,则通过带外通道向主机B发送认证成功的通知信息。如果认证指示中携带的随机访问码与主机A在先生成的随机访问码不匹配,则通过带外通道向主机B发送认证失败的通知信息。步骤36 主机A将认证结果通过带外通道发送给主机B。主机A通过带外通道向主机B发送认证结果的路径例如主机A—板载控制器A — 机框管理板一板载控制器B —主机B。步骤37 主机B通过带外通道接收主机A的认证结果,并根据认证结果确定是否向主机A提供服务如果认证结果表示随机访问码认证成功,则主机B通过带内数据通道向主机A提供服务;如果认证结果表示随机访问码认证失败,则主机B拒绝向主机A提供服务。主机B通过带内数据通道向主机A提供服务的路径例如主机B —业务网络一主机A。为了进一步提高接入认证的安全性,可选的,在随机访问码的生成过程中,负责生成随机访问码的设备,本实施例即为主机A,可生成复杂度较高的随机访问码,以提高随机访问码的暴力破解难度。该复杂随机访问码生成机制也适用于以下图5-图7对应的实施例,均不再赘述。可选的,负责随机访问码合法性认证的设备,本实施例即为主机A,可为随机访问码预设有效期。例如将随机访问码的存活时长设置为30秒,则自该随机访问码生成时刻起30秒内该随机访问码有效,如果超过30秒则该随机访问码无效。负责随机访问码合法性认证的设备,本实施例即为主机A,在进行随机访问码认证之前,首先判断该随机访问码是否有效,如计算随机访问码的生成时间和再次获取时间之间的时长,如果该时长不超过预设有效期,则说明随机访问码有效,进而对该随机访问码的合法性进行认证;如果该时长超过预设有效期,则说明随机访问码无效,则可直接认定随机访问码合法性认证失败。由于随机访问码存活时间越长,其被破解、篡改或截获的风险较高。在接入认证过程中,由负责随机访问码的设备对随机访问码的有效期进行控制,可降低风险,提高随机访问码的可靠性, 进而提高设备间接入的安全性。该随机访问码有效期控制机制也适用于以下图4-图6对应的实施例,均不再赘述。可选的,如果主机A基于上述流程成功接入主机B,则之后主机A和主机B之间可基于长连接机制,如会话(kssion)或套接字(Socket)长连接机制,保持主机A和主机B 之间连接的有效性,无需进行多次接入认证。由于采用“接入认证系统”进行接入认证,在提高接入认证安全性的同时,一定程度上可能降低接入认证效率,而引入长连接机制有利于保证连接的有效性,从而提高通信效率,即在安全性和通信效率之间进行了有效的平衡。 如果由于长连接断开,如会话超时或者套接字连接断开等原因导致主机A和主机B之间的连接失效后,如果主机A需要向主机B发起业务请求,则可基于本实施例上述流程进行主机间接入认证即可,在此不再赘述。该长连接机制也适用于以下图5-图7对应的实施例,均不再赘述。本实施例在刀片式服务器机框中的任两个刀片式服务器进行接入认证时,服务请求设备即主机A生成随机访问码,并将该随机访问码通过带外通道发送给服务提供主机, 即主机B,并由主机B通过带外通道再次传输到主机A时,由主机A对该随机访问码进认证。 如果认证成功,则主机B通过带内数据通道为主机A提供服务。由此可见,本实施例将业务交换与接入认证的通信通道相互隔离,业务数据采用带内数据通道传输,接入认证信息采用带外通道传输,不需要经过业务网络,因此降低了接入认证信息在传输过程中被截获或篡改的几率,提高了接入认证信息传输的可靠性,进而提高了树状连接的分布式系统中设备间接入的安全性。图5为本发明第三实施例提供的设备间安全接入方法流程图。本实施例中,接入认证信息为服务提供设备,即主机B生成的随机访问码,对随机访问码的合法性认证由服务提供设备,即主机B完成。如图3和图5所示,本实施例包括步骤41 在主机A请求访问主机B之前,主机A通过带外通道向机框管理板发送访问码获取请求,访问码获取请求中携带有服务提供设备,即主机B的位置信息。主机A通过带外通道向机框管理板发送访问码获取请求的路径例如主机A —板载控制器A—机框管理板。步骤42 机框管理板通过带外通道,向位置信息指向的主机B发送访问码生成请求,访问码生成请求中携带有主机A的位置信息。机框管理板通过带外通道向主机B发送访问码生成请求的路径例如机框管理板 —板载控制器B—主机B。步骤43 主机B生成并保存随机访问码。可选的,主机B上可预先定义允许接入的主机信息。当主机B接收到访问码生成请求时,首先判断该访问码生成请求中位置信息对应的主机A是否为预设允许接入的主机, 如果是,则生成并保存随机访问码;否则,拒绝主机A的服务请求,结束本流程(图中未示出)。如此处理的好处在于,主机B可保证预先定义允许接入的主机接入,拒绝未定义的主机接入,从而进一步提高了接入的安全性。步骤44 主机B通过带外通道向机框管理板发送生成的随机访问码。主机B通过带外通道向机框管理板发送随机访问码的路径例如主机B —板载控制器B—机框管理板。步骤45 机框管理板通过带外通道向主机A发送主机B生成的随机访问码。机框管理板通过带外通道向主机A发送随机访问码的路径例如机框管理板一板载控制器A—主机A。步骤46 主机A接收随机访问码并生成服务请求,并通过带外通道向主机B发送服务请求,该服务请求中携带有服务请求设备,即主机A的位置信息以及主机A接收到的随机访问码。主机A过带外通道向主机B发送服务请求的路径例如主机A —板载控制器A — 机框管理板一板载控制器B —主机B。步骤47 主机B对服务请求中的随机访问码进行合法性认证,并在对随机访问码认证成功时,通过带内数据通道向主机A提供服务。主机B通过带内数据通道向主机A提供服务的路径例如主机B —业务网络一主机A。本实施例在刀片式服务器机框中设置的任两个刀片式服务器进行接入认证时,服务提供设备,即主机B为请求接入的服务请求设备,即主机A生成随机访问码,并将该随机访问码通过带外通道发送给主机A,并由主机A通过带外通道发送给主机B,由主机B对该随机访问码进认证。如果认证成功,则主机B通过带内数据通道为主机A提供服务。由此可见,本实施例将业务交换与接入认证的通信通道相互隔离,业务数据采用带内数据通道传输,接入认证信息采用带外通道传输,不需要经过业务网络,因此降低了接入认证信息在传输过程中被截获或篡改的几率,提高了接入认证信息传输的可靠性,进而提高了树状连接的分布式系统中设备间接入的安全性。图6为本发明第四实施例提供的设备间安全接入方法流程图。本实施例中,接入认证信息为服务提供设备,即主机A生成的随机访问码,对随机访问码的合法性认证由服务提供设备,即主机B完成。如图3和图6所示,本实施例包括步骤51 在主机A请求访问主机B之前,主机A生成并保存随机访问码。步骤52 主机A生成准备服务请求,并通过带外通道向主机B发送该准备服务请求,该准备服务请求中携带有随机访问码。主机A通过带外通道向主机B发送准备服务请求的路径例如主机A —板载控制器A —机框管理板一板载控制器B —主机B。步骤53 主机B接收准备服务请求,并临时保存该准备服务请求中携带的随机访问码。可选的,主机B上可预先定义允许接入的主机信息。当主机B接收到准备服务请求时,首先判断该访问码生成请求中位置信息对应的主机A是否为预设允许接入的主机, 如果是,则保存随机访问码,执行步骤M ;否则,拒绝主机A的服务请求,结束本流程(图中未示出)。如此处理的好处在于,主机B可保证预先定义允许接入的主机接入,拒绝未定义的主机接入,从而进一步提高了接入的安全性。步骤M 主机B通过带外通道向主机A发送处理完成信息,该处理完成信息用于通知主机A随机访问码在主机B上已保存。主机B通过带外通道向主机A发送处理完成信息的路径例如主机B —板载控制器B —机框管理板一板载控制器A —主机A。步骤55 主机A通过带内数据通道正式向主机B发送服务请求,该服务请求中携带有随机访问码。主机A通过带内数据通道向主机B发送服务请求的路径例如主机A —业务网络 —主机B。步骤56 主机B对服务请求中的随机访问码进行合法性认证,并在认证成功时,通过带内数据通道向主机A提供服务。主机B通过带内数据通道向主机A提供服务的路径例如主机B —业务网络一主机A。本实施例在刀片式服务器机框中设置的任两个刀片式服务器进行接入认证时,服务请求设备,即主机A生成随机访问码,并在准备服务阶段,将该随机访问码通过带外通道发送给服务提供设备,即主机B,当主机A正是发起服务请求时,由主机B对该随机访问码进认证。如果认证成功,则主机B通过带内数据通道为主机A提供服务。由此可见,本实施例将业务交换与接入认证的通信通道相互隔离,业务数据采用带内数据通道传输,接入认证信息采用带外通道传输,不需要经过业务网络,因此降低了接入认证信息在传输过程中被截获或篡改的几率,提高了接入认证信息传输的可靠性,进而提高了树状连接的分布式系统中设备间接入的安全性。图7为本发明第五实施例提供的设备间安全接入方法流程图。本实施例中,接入认证信息为服务提供设备,即主机A生成的随机访问码,对随机访问码的合法性认证由管理设备,即机框管理板完成。如图3和图7所示,本实施例包括步骤61 在主机A请求访问主机B之前,主机A生成并保存随机访问码。步骤62 主机A生成服务请求,并通过带内数据通道向主机B发送该服务请求,该服务请求中携带有位置信息和随机访问码,其中,该位置信息可为主机A在刀片式服务器内的逻辑位置,如主机A的机框号和槽位号等。主机A通过带内数据通道向主机B发送该服务请求的路径例如主机A —业务网络一主机B。步骤63 主机B通过带外通道向机框管理板发送认证请求,该认证请求携带有主机A的位置信息和随机访问码,该认证请求用于请求对该随机访问码进行合法性认证。可选的,主机B上可预先定义允许接入的主机信息。当主机B接收到服务请求时, 首先判断该服务请求中位置信息对应的主机A是否为预设允许接入的主机,如果是,则通过带外通道向机框管理板发送认证请求;否则,拒绝主机A的服务请求,结束本流程(图中未示出)。如此处理的好处在于,主机B可保证预先定义允许接入的主机接入,拒绝未定义的主机接入,从而进一步提高了接入的安全性。主机B通过带外通道向机框管理板发送认证请求的路径例如主机B —板载控制器B—机框管理板。步骤64 机框管理板接收认证请求并保存认证请求中携带的随机访问码。步骤65 通过带外通道向主机A发送访问码响应请求,用于请求向主机A获取主机A在先生成的随机访问码。机框管理板通过带外通道向主机A发送访问码响应请求的路径例如机框管理板 —板载控制器A—主机A。步骤66 主机A通过带外通道向机框管理板发送随机访问码。主机A通过带外通道向机框管理板发送认证请求的路径例如主机A —板载控制器A—机框管理板。步骤67 机框管理板根据保存的随机访问码,对主机A发送的随机访问码进行合法性认证。机框管理板对主机A发送的随机访问码进行合法性认证的过程例如机框管理板将本步骤获取的随机访问码,与步骤64保存的随机访问码进行比较,如果二者一致,则说明随机访问码认证成功;否则说明随机访问码认证失败。步骤68 机框管理板将认证结果通过带外通道发送给主机B。机框管理板将通过带外通道向主机B发送认证结果的路径例如机框管理板一板载控制器B—主机B。步骤69 主机B通过带外通道接收机框管理板的认证结果,根据认证结果确定是否向主机A提供服务如果认证结果表示随机访问码认证成功,则主机B通过带内数据通道向主机A提供服务;如果认证结果表示随机访问码认证失败,则主机B拒绝向主机A提供服务。
本实施例在刀片式服务器机框中设置的任两个刀片式服务器进行接入认证时,服务请求设备,即主机A生成随机访问码,并由机框管理板对通过带外通道获取的、分别来自主机A和主机B的随机访问码进行合法性认证,将认证结果通过带外通道通知主机B。如果认证成功,则主机B通过带内数据通道为主机A提供服务。由此可见,本实施例将业务交换与接入认证的通信通道相互隔离,业务数据采用带内数据通道传输,接入认证信息采用带外通道传输,不需要经过业务网络,因此降低了接入认证信息在传输过程中被截获或篡改的几率,提高了接入认证信息传输的可靠性,进而提高了树状连接的分布式系统中设备间接入的安全性。图8为本发明第六实施例提供的通信设备结构示意图。如图8所示,本实施例通信设备包括获取模块71和认证模块72。获取模块71用于通过带外通道获取接入认证信息,所述接入认证信息用于服务请求设备和服务提供设备之间的接入认证,所述服务请求设备和所述服务提供设备共享同一管理设备、且分别与所述管理设备形成所述带外通道。认证模块72用于对所述接入认证信息进行认证,且在认证结果表示所述接入认证信息认证成功时,由所述服务提供设备通过带内数据通道为所述服务请求设备提供服务,所述服务提供设备和所述服务请求设备经由业务网络形成所述带内数据通道。本实施例通信设备的具体实现方式不受限制,如本实施例通信设备可具体为一服务请求设备,或为一服务提供设备,或为管理设备。本实施例通信设备具体可实现为一服务请求设备时,可选的,本实施例通信设备还可包括生成模块73和发送模块74。生成模块73用于生成并保存所述接入认证信息。 发送模块74用于通过所述带内数据通道向所述服务提供设备发送服务请求,所述服务请求包括所述接入认证信息。相应的,获取模块71具体用于通过所述带外通道,接收所述服务提供设备发送的所述接入认证信息。认证模块72具体用于根据所述生成模块保存的接入认证信息,对接收的接入认证信息进行合法性认证,通过带外通道向所述服务提供设备发送认证结果。该情形下通信设备的工作机理,可参见图4对应实施例中关于服务请求设备的记载,在此不再赘述。或者,本实施例通信设备具体可实现为一服务提供设备时,本实施例通信设备还可包括生成模块73和发送模块74。该情形下,生成模块73用于通过所述带外通道接收所述服务请求设备发送的接入信息获取请求,根据所述接入信息获取请求生成并保存接入认证信息。发送模块74用于通过所述带外通道向所述服务请求设备发送所述接入认证信息。相应的,获取模块71具体用于通过所述带内数据通道接收所述服务请求设备发送的业务请求,所述业务请求包括所述接入认证信息。认证模块72具体用于根据保存的接入认证信息,对接收的接入认证信息进行合法性认证。该情形下通信设备的工作机理,可参见图5 对应实施例中关于服务请求设备的记载,在此不再赘述。或者,本实施例通信设备具体可实现为一服务请求设备时,可选的,获取模块71 具体用于通过带外通道接收所述接入认证信息,所述接入认证信息由所述服务请求模块生成;通过所述带外通道,向所述服务请求设备发送接入认证信息已保存的反馈消息,并通过所述带内数据通道,接收所述服务请求设备发送的服务请求,所述服务请求包括所述接入认证信息。认证模块72具体用于根据保存的接入认证信息,对接收的接入认证信息进行合法性认证。该情形下通信设备的工作机理,可参见图6对应实施例中关于服务请求设备的记载,在此不再赘述。或者,本实施例通信设备具体可实现为一管理设备时,可选的,获取模块71具体用于通过所述带外通道,接收并保存所述服务提供设备发送的所述接入认证信息,并通过所述带外通道向所述服务请求设备获取所述接入认证信息;所述服务提供设备发送的所述接入认证信息,由所述服务请求设备生成并通过所述带内数据通道发送给所述服务提供设备。认证模块72具体用于根据向所述服务请求设备获取的接入认证信息,对保存的接入认证信息进行合法性认证,通过所述带外通道向所述服务提供设备发送认证结果。该情形下通信设备的工作机理,可参见图7对应实施例中关于服务请求设备的记载,在此不再赘述。上述通信设备的技术方案中,接入认证信息可为随机访问码。当本实施例通信设备负责对接入认证信息进行合法性认证时,本实施例通信设备还可包括有效期确定模块 75。有效期确定模块75用于确定所述随机访问码是否处于预设有效期。相应的,认证模块 72具体用于在确定所述随机访问码处于预设有效期时,对所述随机访问码进行认证。上述通信设备的技术方案中,为了提高通信效率,可选的,本实施例通信设备还可包括长连接模块76。长连接模块76用于在所述接入认证信息认证成功之后,所述服务请求设备和所述服务提供设备通过所述带内数据通道,并以长连接方式维持所述服务请求设备和所述服务提供设备之间的接入连接。本实施例将业务交换与接入认证的通信通道相互隔离,业务数据采用带内数据通道传输,接入认证所需的接入认证信息采用带外通道传输。由于入认证所需的接入认证信息不需要经过外部的业务网络,因此降低了接入认证信息在传输过程中被截获或篡改的几率,提高了接入认证信息传输的可靠性,进而提高了树状连接的分布式系统中设备间接入的安全性。本发明实施例还提供了一种包括如图8所示通信设备的通信系统,其组网方式可参见图2或图3的记载,其中通信设备可具体为服务请求设备、服务提供设备或管理设备。 通信系统中各节点的工作机理可参见图1、图4-图7对应实施例的记载,在此不再赘述。本领域普通技术人员可以理解附图只是一个实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。本领域普通技术人员可以理解实施例中的装置中的模块可以按照实施例描述分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括R0M、RAM、磁碟或者光盘等各种可以存储程序代码的介质。最后应说明的是以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解其依然可以对前述实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围。
权利要求
1.一种设备间安全接入方法,其特征在于,包括通过带外通道获取接入认证信息,所述接入认证信息用于服务请求设备和服务提供设备之间的接入认证,所述服务请求设备和所述服务提供设备共享同一管理设备、且分别与所述管理设备形成所述带外通道;对所述接入认证信息进行认证,且在认证结果表示所述接入认证信息认证成功时,由所述服务提供设备通过带内数据通道为所述服务请求设备提供服务,所述服务提供设备和所述服务请求设备经由业务网络形成所述带内数据通道。
2.根据权利要求1所述的方法,其特征在于,通过带外通道获取接入认证信息之前,还包括所述服务请求设备生成并保存接入认证信息,并通过所述带内数据通道向所述服务提供设备发送服务请求,所述服务请求包括所述接入认证信息;通过带外通道获取接入认证信息,包括所述服务请求设备通过所述带外通道,接收所述服务提供设备发送的所述接入认证信息;对所述接入认证信息进行认证,包括所述服务请求设备根据保存的接入认证信息,对接收的接入认证信息进行合法性认证,通过带外通道向所述服务提供设备发送认证结果。
3.根据权利要求1所述的方法,其特征在于,通过带外通道获取接入认证信息之前,还包括所述服务提供设备通过所述带外通道接收所述服务请求设备发送的接入信息获取请求;通过带外通道获取接入认证信息,包括所述服务提供设备根据所述接入信息获取请求生成并保存接入认证信息,并通过所述带外通道向所述服务请求设备发送所述接入认证 信息;对所述接入认证信息进行认证之前,还包括所述服务提供设备通过所述带内数据通道接收所述服务请求设备发送的业务请求,所述业务请求包括所述接入认证信息;对所述接入认证信息进行认证,包括所述服务提供设备根据保存的接入认证信息,对接收的接入认证信息进行合法性认证。
4.根据权利要求1所述的方法,其特征在于,通过带外通道获取接入认证信息,包括所述服务提供设备通过带外通道接收所述接入认证信息,所述接入认证信息由所述服务请求模块生成;所述服务提供设备通过所述带外通道,向所述服务请求设备发送接入认证信息已保存的反馈消息,并通过所述带内数据通道,接收所述服务请求设备发送的服务请求,所述服务请求包括所述接入认证信息;对所述接入认证信息进行认证,包括所述服务提供设备根据保存的接入认证信息,对接收的接入认证信息进行合法性认证。
5.根据权利要求1所述的方法,其特征在于,通过带外通道获取接入认证信息之前,还包括所述服务请求设备生成并保存接入认证信息,并通过所述带内数据通道向所述服务提供设备发送服务请求,所述服务请求包括所述接入认证信息;通过带外通道获取接入认证信息,包括所述管理设备通过所述带外通道,接收并保存所述服务提供设备发送的所述接入认证信息,并通过所述带外通道向所述服务请求设备获取所述接入认证信息;对所述接入认证信息进行认证,包括所述管理设备根据向所述服务请求设备获取的接入认证信息,对保存的接入认证信息进行合法性认证,通过所述带外通道向所述服务提供设备发送认证结果。
6.根据权利要求1所述的方法,其特征在于,所述接入认证信息为随机访问码;对所述接入认证信息进行认证之前,还包括确定所述随机访问码是否处于预设有效期;对所述接入认证信息进行认证,包括在确定所述随机访问码处于预设有效期时,对所述随机访问码进行认证。
7.根据权利要求1-6任一所述的方法,其特征在于,在所述接入认证信息认证成功之后,还包括所述服务请求设备和所述服务提供设备通过所述带内数据通道,并以长连接方式维持所述服务请求设备和所述服务提供设备之间的接入连接。
8.一种通信设备,其特征在于,包括获取模块,用于通过带外通道获取接入认证信息,所述接入认证信息用于服务请求设备和服务提供设备之间的接入认证,所述服务请求设备和所述服务提供设备共享同一管理设备、且分别与所述管理设备形成所述带外通道;认证模块,用于对所述接入认证信息进行认证,且在认证结果表示所述接入认证信息认证成功时,由所述服务提供设备通过带内数据通道为所述服务请求设备提供服务,所述服务提供设备和所述服务请求设备经由业务网络形成所述带内数据通道。
9.根据权利要求8所述的通信设备,其特征在于,还包括生成模块,用于生成并保存所述接入认证信息;发送模块,用于通过所述带内数据通道向所述服务提供设备发送服务请求,所述服务请求包括所述接入认证信息;所述获取模块,具体用于通过所述带外通道,接收所述服务提供设备发送的所述接入认证信息;所述认证模块,具体用于根据所述生成模块保存的接入认证信息,对接收的接入认证信息进行合法性认证,通过带外通道向所述服务提供设备发送认证结果。
10.根据权利要求8所述的通信设备,其特征在于,还包括生成模块,用于通过所述带外通道接收所述服务请求设备发送的接入信息获取请求, 根据所述接入信息获取请求生成并保存接入认证信息;发送模块,用于通过所述带外通道向所述服务请求设备发送所述接入认证信息;所述获取模块,具体用于通过所述带内数据通道接收所述服务请求设备发送的业务请求,所述业务请求包括所述接入认证信息;所述认证模块,具体用于根据保存的接入认证信息,对接收的接入认证信息进行合法性认证。
11.根据权利要求8所述的通信设备,其特征在于,所述获取模块,具体用于通过带外通道接收所述接入认证信息,所述接入认证信息由所述服务请求模块生成;通过所述带外通道,向所述服务请求设备发送接入认证信息已保存的反馈消息,并通过所述带内数据通道,接收所述服务请求设备发送的服务请求,所述服务请求包括所述接入认证信息;所述认证模块,具体用于根据保存的接入认证信息,对接收的接入认证信息进行合法性认证。
12.根据权利要求8所述的通信设备,其特征在于,所述获取模块,具体用于通过所述带外通道,接收并保存所述服务提供设备发送的所述接入认证信息,并通过所述带外通道向所述服务请求设备获取所述接入认证信息;所述服务提供设备发送的所述接入认证信息,由所述服务请求设备生成并通过所述带内数据通道发送给所述服务提供设备;所述认证模块,具体用于根据向所述服务请求设备获取的接入认证信息,对保存的接入认证信息进行合法性认证,通过所述带外通道向所述服务提供设备发送认证结果。
13.根据权利要求8所述的通信设备,其特征在于,所述接入认证信息为随机访问码, 所述通信设备还包括有效期确定模块,用于确定所述随机访问码是否处于预设有效期;所述认证模块,具体用于在确定所述随机访问码处于预设有效期时,对所述随机访问码进行认证。
14.根据权利要求8所述的通信设备,其特征在于,长连接模块,用于在所述接入认证信息认证成功之后,所述服务请求设备和所述服务提供设备通过所述带内数据通道,并以长连接方式维持所述服务请求设备和所述服务提供设备之间的接入连接。
全文摘要
本发明提供了一种设备间安全接入方法和通信设备。设备间安全接入方法包括通过带外通道获取接入认证信息,所述接入认证信息用于服务请求设备和服务提供设备之间的接入认证,所述服务请求设备和所述服务提供设备共享同一管理设备、且分别与所述管理设备形成所述带外通道;对所述接入认证信息进行认证,且在认证结果表示所述接入认证信息认证成功时,由所述服务提供设备通过带内数据通道为所述服务请求设备提供服务,所述服务提供设备和所述服务请求设备经由业务网络形成所述带内数据通道。本发明业务数据采用带内数据通道传输,接入认证信息采用带外通道传输,提高了树状连接的分布式系统中设备间接入的安全性。
文档编号H04L29/06GK102195930SQ20101011758
公开日2011年9月21日 申请日期2010年3月2日 优先权日2010年3月2日
发明者袁乐林, 闫帅 申请人:华为技术有限公司