身份认证方法和物联网网关装置及认证网关装置与流程

本发明是有关于一种无线通信技术，且特别是有关于一种身份认证方法和使用此方法的物联网网关装置及认证网关装置。

背景技术：

物联网(Inter of Things，IoT)的概念是于1999年提出的，此概念提及以射频识别、红外线、全球定位系统、激光扫描以及其他信息感测装置以无线的方式连接至网际网络，并通过信息交换与沟通、智能认证、定位、追踪、监视以及管理，以进一步将取得与管理信息的触角延伸至感知层，以达成更广泛的互操作性。

随着物联网在商业应用的发展与布署日益茁壮，无线网络安全变成一个重要的考量。一般而言，无线数据网络的存取会比现有布线网络的存取更难控制。黑客布署的恶意无线基地台或恶意客户端装置很难被追踪与定位。此外，恶意客户端装置可能会通过阻断式服务攻击的方式突击网络，并增加未经授权的存取。

基于上述，如何认证客户端的身份并避免网关装置遭到存取入侵，从而提高连线安全，此为物联网技术所要解决的重要课题。

技术实现要素：

本发明提供一种身份认证方法及使用此方法的物联网网关装置与认证网关装置，以解决于现有技术中提到的问题。

本发明提供一种身份认证方法，适用于一物联网(internet of things，IoT)网关装置。此身份认证方法包括下列步骤：建立查找表，此查找表包括至少一合法客户端装置的合法介质存取控制(media access control，MAC)地址清单以及合法的接收信号强度指标(receiver signal strength indicator，RSSI)范围；接收由至少一客户端装置所发出的连线请求，其中连线请求包括所述客户端装置的介质存取控制地址；根据连线请求取得所述客户端装置的介质存取控制地址与接收信号强度指标；以及将所述客户端装置的介质存取控制地址与接收信号强度指标和查找表中的合法介质存取控制地址清单与合法接收信号强度指标范围进行比较，借以判断所述客户端装置是否为合法的客户端装置。

本发明提供一种物联网网关装置，包括无线通信电路、存储器电路以及处理单元。存储器电路储存多个模块。处理单元耦接于无线通信电路以及存储器电路，其中处理单元控制无线通信电路的操作，并且存取存储器电路以执行其所储存的多个模块。这些模块包括查找表建立模块、信息获取模块以及认证模块。查找表建立模块建立查找表，此查找表包括至少一合法客户端装置的合法介质存取控制地址清单以及合法接收信号强度指标范围。信息获取模块根据连线请求取得所述客户端装置的介质控制存取地址以及接收信号强度指标。认证模块接收连线请求并将所述客户端装置的介质存取控制地址与接收信号强度指标和查找表中的合法介质存取控制地址清单与合法接收信号强度指标范围进行比较，借以判断所述客户端装置是否为合法的客户端装置。

本发明提供一种认证网关装置，包括无线通信电路、存储器电路以及处理单元。存储器电路储存多个模块。处理单元耦接于无线通信电路以及存储器电路，其中处理单元控制无线通信电路的操作，并且存取存储器电路以执行其所储存的多个模块。这些模块包括验证模块、信息获取模块以及通知模块。验证模块接收所述客户端的连线请求以及验证所述客户端装置。信息获取模块根据连线请求获取所述客户端装置的介质控制存取地址以及接收信号强度指标。通知模块于所述客户端装置通过验证时，发出查找表新增通知，其中查找表新增通知包括介质存取控制地址以及接收信号强度指标。

基于上述，本发明的范例实施例提供一种身份认证方法及使用此方法的物联网网关装置与认证网关装置。通过应用本发明的方法，物联网网关装置可更进一步地根据接收信号强度指标来认证客户端装置。因此，即使恶意客户端装置试图通过伪造合法的介质存取控制地址来存取物联网网关装置，物联网网关装置仍然可以通过认证客户端装置的接收强度信号指标来封锁不合法使用者装置，以加强物联网系统的连线安全。

为让本发明的上述特征和优点能更明显易懂，下文特举实施例，并配合附图作详细说明如下。

附图说明

图1示出依照本发明的一范例实施例的物联网系统的示意图。

图2示出依照本发明的一范例实施例的身份认证方法的步骤流程图。

图3示出依照本发明的一范例实施例的基于图1所示出的物联网系统中，认证客户端装置的流程示意图。

图4示出依照本发明的另一范例实施例的基于图1所示出的物联网系统中，认证客户端装置的流程示意图。

图5示出依照本发明的另一范例实施例的物联网系统的示意图。

图6示出依照本发明的一范例实施例的基于图5所示出的物联网系统的认证客户端装置的流程示意图。

附图标记说明：

100、500：物联网系统；

110：物联网网关装置；

112、132：无线通信电路；

114、134：存储器电路；

116、136：处理单元；

120、120_1～120_n：客户端装置；

130：认证网关装置；

AM：验证模块；

CM：连线模块；

IIOM、VIOM：信息获取模块；

LEM：查找表建立模块；

NM：通知模块；

REQ_HSK：连线请求；

RES_HSK：连线回应；

RNT：重新连线通知；

S210-S248、S301-S307、S401-S423、S601-S618：身份认证方法的步骤；

TNT：查找表新增通知；

VM：认证模块。

具体实施方式

为了使本发明的内容可以被更容易明了，以下特举实施例做为本发明确实能够据以实施的范例。另外，凡可能之处，在附图及实施方式中使用相同标号的元件/构件/步骤，是代表相同或类似部件。

图1示出依照本发明的一范例实施例的物联网系统的示意图。请参考图1，本范例实施例中的物联网系统100包括物联网网关装置110以及一个或多数个客户端装置120_1～120_n，其中n为正整数。

物联网网关装置110适用于提供无线网络连线服务给客户端装置120_1～120_n，以使客户端装置120_1～120_n通过物联网网关装置110而有连线至网际网络的能力。在物联网的应用上，客户端装置120_1～120_n可以利用一般的电子设备来实现。举例来说，所述客户端装置120_1～120_n可以为空调设备、冰箱、交通工具或手机，但本发明不限于上述的例子。

在本范例实施例中，物联网网关装置110包括无线通信电路112、存储器电路114以及处理单元116。无线通信电路112耦接于处理单元116，并用以与客户端装置120_1～120_n以无线的方式连线。无线通信电路112可以利用无线收发器来实现，且所述无线收发器可支持如无线保真协定(wireless fidelity protocol，Wi-Fi protocol)等无线通信协定。

存储器电路114耦接于处理单元116，其可以为随机存取存储器、只读存储器、快速存储器与上述相似的组件或由上述组件相互组合而成。在本范例实施例中，存储器电路114是用来储存多个模块，这些模块可以是以程序或应用程序的方式储存于存储器电路114中，以提供不同的功能。

处理单元116可为具备运算能力，且能够控制网关装置110运作的硬件(例如：芯片组、处理器等)。在本范例实施例中，处理单元116可例如为中央处理单元(central processing unit，CPU)或任何可编程的微处理器或数字信号处理器(digital signal processor，DSP)、可编程的控制器、特殊应用积体电路(application specific integrated circuits，ASIC)、可编程逻辑装置(programmable logic device，PLD)或类似的装置。处理单元116可以存取储存在存储器电路114中的模块，并执行这些模块的功能。

具体而言，储存于物联网网关装置110的存储器电路114中的模块包括查找表建立模块LEM、信息取得模块IIOM、认证模块VM以及连线模块CM。所述模块的功能会在下述的身份认证方法中，进一步加以说明。

每一个客户端装置120_1～120_n的硬件设置与互联网网关装置110的设置相似，包括无线通信电路、存储器电路以及处理单元。每一个客户端装置120_1～120_n可以经由物联网网关装置110存取网际网络，以上传数据至云端装置或接收控制指令。

在本范例实施例的物联网系统100中，物联网网关装置110会通过应用图2所示出的方法来认证客户端装置120_1～120_n的身份。其中，图2所示出的方法是由物联网网关装置110通过存取并执行储存于存储器电路114中的模块而进行。图2示出依照本发明的一范例实施例的身份认证方法的流程图。

请同时参考图1与图2，在步骤S210中，物联网网关装置110执行查找表建立模块LEM以建立查找表。所述查找表包括至少一个合法客户端装置的合法介质存取控制(media access control，MAC)地址清单以及合法接收信号强度指标(receiver signal strength indicator，RSSI)范围。

在步骤S220中，物联网网关装置110执行认证模块VM以接收由至少一个客户端装置120_1～120_n发出的连线请求。所述连线请求包括上述客户端装置的介质存取控制地址。

在步骤S230中，物联网网关装置110执行信息获取模块IIOM以根据连线请求取得客户端装置120_1～120_n的介质存取控制位置以及接收信号强度指标。

在获取上述这些客户端装置120_1～120_n的待验证接收信号强度指标的后，在步骤S240，认证模块VM被执行，以将客户端装置120_1～120_n的介质存取控制地址与接收信号强度指标和查找表中的合法介质存取控制地址清单与合法接收信号强度指标范围进行比较，借以判断客户端装置120_1～120_n是否为合法的客户端装置。

更准确地说，在步骤S240中，认证模块VM会判断客户端装置120_1～120_n的介质存取控制地址是否为被记录于合法介质存取控制地址清单上的合法介质存取控制地址(步骤S242)。若客户端装置120_1～120_n的介质存取控制地址并未记录于查找表的合法介质存取控制位置清单上，则客户端装置120_1～120_n被判定为非法的客户端装置(步骤S244)。相反地，若客户端装置120_1～120_n的介质存取控制地址被记录于查找表中的合法介质存取控制地址清单上，则客户端装置120_1～120_n的介质存取控制地址则可能被判断为合法的介质存取控制地址，而由认证模块VM进一步判断客户端装置120_1～120_n的接收信号强度指标是否位于合法的接收信号强度指标范围内(步骤S246)。

在步骤S246中，若客户端装置120_1～120_n的接收信号强度指标位于合法接收信号强度指标范围之外，则客户端装置120_1～120_n被判断为非法的客户端装置(步骤S244)。相反地，若客户端装置120_1～120_n的接收信号强度指标位于对应指定的介质存取控制地址的合法接收信号强度指标范围中，则客户端装置120_1～120_n被判定为合法客户端装置(步骤S248)。

若客户端装置120_1～120_n被判定为合法的客户端装置，物联网网关装置110会执行连线模块CM被执行以验证客户端装置120_1～120_n的存取信息。接着，在存取信息验证通过后，允许/确认客户端装置120_1～120_n的连线请求，从而建立起客户端装置120_1～120_n与物联网网关装置110之间的无线网络连线WC。

在本范例实施例中，无线网络连线WC可例如为基于Wi-Fi Protected Access(WPA)或Wi-Fi Protected Access2protocol(WPA2protocol)等通信协定所建立的Wi-Fi连线。也就是说，在客户端装置120_1与物联网网关装置110执行四向交握(four-way handshake)的步骤会被应用在步骤S248后。但本发明不限于此。

相反地，若客户端装置120_1～120_n被判定为非法的客户端装置时，连线模块CM会拒绝客户端装置120_1～120_n的连线请求。

换句话说，在此范例实施例的身份认证方法中，客户端装置120_1～120_n只有在介质存取控制地址与接收信号强度指标都被判断为合法的情形下，客户端装置120_1～120_n才会被判断为合法的客户端装置。因此，即便恶意客户端装置尝试通过伪造合法介质存取控制地址来存取物联网网关装置110，物联网网关装置110也可以通过认证接收信号强度指标辨识恶意客户端装置为非法的客户端装置，并封锁此非法的客户端装置，从而加强物联网系统100的连线安全。

图3与图4示出依照本发明不同的范例实施例中，基于图1所示出的物联网系统的认证客户端装置的流程示意图，以进一步阐述此身份认证方法。

在此是以客户端装置120与物联网网关装置110之间的互动作为范例来说明本案的身份认证方法。其中，所述客户端装置120可被解释为图1中任一的客户端装置120_1～120_n。在此，客户端装置120被假设为合法的客户端装置，也就是说，客户端装置120的介质存取控制地址与接收信号强度指标已被记录于物联网网关装置110的查找表中。

此外，客户端装置120假设被设于一个特定的位置，与互联网网关装置110间有特定的相对位置关系，因此，互联网网关装置110在每一次的连线中，依据接收到来自客户端装置120的信号所取得的接收信号强度指标为近似的。

请参考图3，客户端装置120利用存取密码发起连线至物联网网关装置110，此存取密码可以通过手动输入或自动获取(步骤S301)。在步骤S301中，客户端装置120会发送一个连线请求REQ_HSK至物联网网关装置110中，此连线请求REQ_HSK包括一个介质存取控制地址(步骤S302)。

以互联网网关装置110的角度说明，在步骤S302后，互联网网关装置110会接收包括介质存取控制地址的连线请求REQ_HSK(步骤S303)，并根据此连线请求取得客户端装置120的介质存取控制地址以及接收信号强度指标(步骤S304)。举例来说，互联网网关装置110会取得连线请求REQ_HSK中的一个特定片段，并借此取得介质存取控制地址。此外，接收信号强度指标可以经由计算接收到的来自客户端装置120的信号强度而取得。

在物联网网关装置110取得客户端装置120的介质存取控制地址以及接收信号强度指标后，物联网网关装置110判断客户端装置120的介质存取控制地址以及接收信号强度指标是否合法(步骤S305)。

在本范例实施例中，假设此介质存取控制地址为“00:de:a2:de:ba:ff”，并已被记录于合法介质存取控制地址清单中。而对应于介质存取控制地址“00:de:a2:de:ba:ff”的合法接收信号强度指标范围被设为-75分贝至-70分贝间。因此，在步骤S305，物联网网关装置110会判断在步骤S304中所取得的介质存取控制地址是否为记录在合法介质存取控制地址清单中的合法介质存取地址。举例来说，如果步骤S304取得的介质存取控制地址为未记录于合法介质存取控制清单中的“00:df:ab:de:0a:ff”，物联网网关装置110会判断此客户端装置120为非法的，且拒绝此连线请求REQ_HSK。

相反地，若步骤S304中获取的介质存取控制地址为合法的介质存取控制地址“00:de:a2:de:ba:ff”，物联网网关装置110会进一步判断在步骤S304中取得的接收信号强度指标是否位于合法的接收信号强度指标范围内。举例来说，若步骤S304所取得的接收信号强度指标为-40分贝，由于-40分贝位于范围-75分贝至-70分贝外，因此即便介质存取控制地址是合法的，物联网网关装置110仍会判定客户端装置120是非法的(在这种情形下的介质存取控制地址可能为被假冒的)，并拒绝连线请求REQ_HSK。但若步骤S304所获取的接收信号强度指标为-72分贝，由于-72分贝位于范围-75分贝至-70分贝间，物联网网关装置110会判定此客户端装置120为合法的。

在本范例实施例的步骤S305中，物联网网关装置110会判断客户端装置120是否合法，并于客户端装置120的身份被认证为合法后，进一步根据连线请求REQ_HSK确认存取密码是否正确，借以验证客户端装置120(步骤S306)。客户端装置120通过验证后，物联网网关装置110会回传连线回应RES_HSK至客户端装置120(步骤S307)，以通知客户端装置120连线请求REQ_HSK已经被确认。在步骤S307后，客户端装置120与物联网网关装置110间的无线网络连线WC被建立。需注意的是，在实际应用上，认证存取密码是否正确的步骤(步骤S302、S306以及S307)可以在接收信号强度指标以及介质存取控制地址被认证为合法后，被实现于四项交握的演算法中。

根据本范例实施例，只有在介质存取控制地址以及接收信号强度指标两者都被判断为合法时，客户端装置120才能通过认证。也就是说，当恶意客户端装置尝试使用伪造的介质存取控制地址存取物联网网关装置110时，可以通过过滤接收信号强度指标而使恶意客户端装置被封锁，借此，以加强物联网系统100的连线安全。

需注意的为，在本范例实施例中，所述的身份认证方法可以在物联网网关装置110运行时，被常规的应用于物联网网关装置110中。在此实施例中，被储存于物联网网关装置110的查找表可以被使用者事先预设。

在另外一个实施例中，上述的身份认证方法可以在特定条件被满足时才执行。具体来说，物联网网关装置110可在特定条件满足之前以一般模式运行。一旦满足特定条件时(例如：检测到物联网网关装置110被攻击，但本发明并不限于此种状况)，物联网网关装置110可以启动封包过滤机制，以执行上述的身份认证方法，并过滤来自非法的客户端装置所传送的封包。

另一方面，在所述一般模式下，物联网网关装置110可以通过一般的验证方法来验证客户端装置120，例如，执行四向交握以验证存取密码，借以令通过验证的客户端装置120与物联网网关装置110建立无线网络连线WC。在此范例实施例中，在一般模式下，查找表可以根据通过验证的客户端装置的介质存取控制地址以及接收信号强度指标而被建立。

图4示出依照本发明的另一范例实施例中，基于图1所示出的物联网系统的认证客户端装置的流程的简要流程图。在此实施例中，假设客户端装置120_1以及客户端装置120_2被合法的使用者所运行，然客户端装置120_1与120_2的介质存取控制地址与接收信号强度指标尚未被注册于物联网网关装置110的查找表中，此外，物联网网关装置110处于一般模式下。

请参照图4，客户端装置120_1发起连线至物联网网关装置110(步骤S401)。在步骤S401中，客户端装置120_1传送包括介质存取控制地址的连线请求REQ_HSK至物联网网关装置110(步骤S402)。

从物联网网关装置110的角度而言，在步骤S402后，物联网网关装置110会接收到包括介质存取控制地址的连线请求REQ_HSK(步骤S403)。物联网网关装置110会依据连线请求REQ_HSK确认存取密码是否正确，以验证客户端装置120_1(步骤S404)。

在客户端装置120_1被验证后，网关装置110回传连线回应RES_HSK至客户端装置120_1，以通知客户端装置120_1连线请求REQ_HSK被确认了(步骤S405)。在步骤S405之后，客户端装置120以及网关装置110间的无线网络连线WC被建立。需注意的是，在实际的应用当中，验证存取密码是否正确的步骤(步骤S402、S404以及S405)可以于四项交握的演算法中被实现。

在无线网络连线WC被建立以后，物联网网关装置110依据从客户端装置120_1所接收到的信号，取得客户端装置120_1的介质存取控制地址以及接收信号强度指标(步骤S406)并且将客户端装置120_1的介质存取控制地址新增至储存于物联网网关装置110的查找表中的合法介质控制清单(步骤S407)。

接着，物联网网关装置110基于从客户端装置120_1取得的接收信号强度指标，计算接收信号强度指标范围(步骤S408)，并将计算出的接收信号强度指标范围加入至查找表中，以作为与客户端装置120_1的合法介质存取控制地址对应的合法接收信号强度指标范围。在此范例实施例中，接收信号强度指标范围可以被设为信号强度指标正负百分比x(即：RSSI±x％)，其中，此x可以由设计人员指定。据此，此客户端装置120_1的合法介质存取控制地址以及合法接收信号强度指标会被新增至查找表中。

在此范例实施例中，物联网网关装置110会判断在预定时间内接收的连线请求的数量是否超过门槛值。当在预定时间内接收的连线请求的数量超过门槛值时，物联网网关装置110会启动封包过滤机制(步骤S410)。在封包过滤机制启动后，物联网网关装置110会禁止介质存取控制地址以及接收信号强度指标范围被新增至查找表中。换句话说，在封包过滤机制启动之后，物联网网关装置110仅允许被记录于查找表中的合法客户端装置所发起的连线请求。

具体而言，在封包过滤机制被启动时，若客户端装置120_1再次请求连接至物联网网关装置110，并传送连线请求REQ_HSK至物联网网关装置110(步骤S411以及S412)，物联网网关装置110会执行步骤S413至步骤S416，借以认证客户端装置120_1的身份并验证客户端装置120_1的存取信息。其中，所述步骤S413至步骤S416类似于前述实施例中所描述的步骤S303至步骤S306。

在本范例实施例中，因为客户端装置120_1的介质存取控制地址以及接收信号强度指标在封包过滤机制启动前已经被记录于查找表中，客户端装置120_1会被判断为合法客户端装置。因此，物联网网关装置110会回传连线回应RES_HSK至客户端装置120_1，以建立与客户端装置120_1的无线网络连线WC(步骤S417)。

另一方面，若在封包过滤机制启动时，客户端装置120_2请求连线至物联网网关装置110，并传送连线请求REQ_HSK至物联网网关装置110(步骤S418以及S419)。依据步骤S420至S422，由于客户端装置120_2的介质存取控制地址以及接收信号强度指标并未记录于查找表中，物联网网关装置110会判断客户端装置120_2为非法的客户端，并拒绝客户端装置120_2的连线请求REQ_HSK(步骤S423)。换句话说，在本范例实施例中，当封包过滤机制启动时，由客户端装置120_2发起的连线请求REQ_HSK会被物联网网关装置110拒绝。

需注意的是，在此范例实施例中，一旦物联网网关装置110启动封包过滤机制时，即便是客户端装置120_2实际上是合法的，但因为客户端装置120_2的介质存取控制地址与接收信号强度指标并未被记录于查找表中，因此其仍无法与物联网网关装置110连接。

图5示出依照本发明的另一范例实施例中，物联网系统的示意图。请参考图5，本范例实施例的物联网系统500包括物联网网关装置110，一个或多数个客户端装置120_1～120_n，以及认证网关装置130。

物联网网关装置110以及客户端装置120_1～120_n基本上与图1的范例实施例相似。本范例实施例与图1的范例实施例间主要的差异在于，物联网系统500还提供了认证网关装置130以认证客户端装置120_1～120_n的身份，并据以提供物联网网关装置110有关介质存取控制地址以及接收信号强度指标的合法装置信息。因此，即便封包过滤机制被启动，物联网网关装置110可以根据认证网关装置130所提供的合法装置信息，增加包含有介质存取控制地址以及接收信号强度指标范围的新的合法装置信息至查找表中。

具体而言，认证网关装置130包括无线通信电路132、存储器电路134以及处理单元136。认证网关装置130的硬件设置与物联网网关装置110相似，为了简化繁复的说明，在此处及省略不提。

储存于认证网关装置130中的存储器电路134的模块包括验证模块AM、信息获取模块VIOM以及通知模块NM。验证模块AM被执行，用以接收来自客户端装置120_1～120_n的连线请求，并验证客户端装置120_1～120_n。处理单元136执行信息获取模块VIOM以根据连线请求取得客户端装置120_1～120_n的介质存取控制地址以及接收信号强度指标。处理单元136执行通知模块NM以于客户端装置120_1～120_n通过认证时，发出查找表新增通知，其中查找表新增通知包括通过认证的客户端装置的介质存取控制地址以及接收信号强度指标。

图6示出依照本发明的一范例实施例的基于图5所示出的物联网系统的认证客户端装置的流程示意图。

请参考图6，此范例实施例示出了合法客户端装置120尝试连接至物联网网关装置110的情形，其中，此客户端装置120具有正确的存取密码，且物联网网关装置110与认证网关装置130之间的无线网络连接已经被建立。

在步骤S601中，客户端装置120首先连接至认证网关装置130。在步骤S601的过程中，客户端装置120传送包括介质存取控制地址的连线请求REQ_HSK至认证网关装置130(步骤S602)。

以认证网关装置130的观点来说明，在步骤S602之后，认证网关装置130接收包括介质控制存取地址的连线请求REQ_HSK(步骤S603)。认证网关装置130依据连线请求REQ_HSK确认存取密码是否正确，以验证客户端装置120_1(步骤S604)。

在客户端装置120通过验证后，认证网关装置130回传连线回应RES_HSK至客户端装置120，以通知客户端装置120连线请求REQ_HSK已被确认(步骤S605)，客户端装置120与认证网关装置130之间的无线网络连线自此被建立。需注意的是，在实际的应用中，验证存取密码是否正确的步骤(步骤S602、S604以及S605)可以利用四向交握演算法来实现。

在无线网络连线WC被建立之后，认证网关装置130会依据从客户端装置120所接收到的信号，取得客户端装置120的介质存取控制地址以及接收信号强度指标(步骤S606)，并发送查找表新增通知TNT至物联网网关装置110(步骤S607)。物联网网关装置110会将查找表新增通知TNT中的介质存取控制地址新增至合法介质存取控制地址清单(步骤S608)，并依据查找表新增通知TNT中的接收信号强度指标，计算接收信号强度指标范围(步骤S609)，并新增计算出的接收信号强度指标范围至查找表中，作为对应查找表新增通知TNT中介质存取控制地址的合法接收信号强度指标范围(步骤S610)。

接着，认证网关装置130传送重新连线通知RNT至客户端装置120(步骤S611)，借以中断客户端装置120与认证网关装置130之间的无线网络连线，并且令客户端装置120重新连接至物联网网关装置110(步骤S612)。

接着，客户端装置120传送连线请求REQ_HSK至物联网网关装置110(步骤S613)，而物联网网关装置110执行步骤S614至S617以认证客户端装置120_1的身份，并验证客户端装置120的存取信息。其中，步骤S614至步骤S617与现有的范例实施例中所述的步骤S303至步骤S306相似。在此值得一提的是，对于第一次连线的合法客户端装置120而言，物联网网关装置110可以重新调整接收到的接收信号强度指标，以使此接收信号强度指标与认证网关装置130所传送的接收信号强度指标相比更为精确。

换言之，本范例实施例中的物联网网关装置110可被视为在运行的期间内持续启动封包过滤机制。然而，与图4的范例实施例所述不同的是，本范例实施例中所述的物联网网关装置110可以通过使用认证网关装置130以认证客户端装置120，并提供与合法客户端装置110相关的合法装置信息至物联网网关装置110中，从而新增第一次与物联网网关装置110连线的合法的客户端装置120。借此，有关合法客户端装置于第一次连线会被阻挡的议题可以被顺利解决。

综上所述，本发明的范例实施例提供了一种身份认证方法以及使用此身份认证方法的物联网网关装置以及认证网关装置。通过应用本发明的方法，物联网网关装置可以更进一步根据接收信号强度指标来认证客户端装置。因此，即便恶意客户端装置试图通过伪造合法的介质存取控制地址来存取物联网网关装置，物联网网关装置仍然可以通过认证客户端装置的接收信号强度指标来阻挡恶意/非法的使用者装置的连线，以加强物联网系统的连线安全。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。