一种安全的入网服务实现方法及装置与流程

本发明涉及智能设备入网技术领域，尤其涉及一种安全的OnboardingService(入网服务)实现方法及装置。

背景技术：

现有AllJoyn架构中的Onboarding Service是一种把新设备添加到Wi-Fi网络中的服务，具体是当Onboarder(入网设备)收到Onboardee(被入网设备)广播的声明消息即About announcement消息时，Onboarder将自身掌握的AP(Access Point，接入点)的连接凭证发送给Onboardee，使Onboardee能够基于该AP的连接凭证向AP发送接入请求，从而成功入网。

现有技术中，Onboarder把AP的连接凭证直接发给Onboardee，而不经过AP的同意。这种方式会带来以下两个问题：

一是，若Onboardee是对Wi-Fi网络有安全威胁的设备，而Onboarder又不能识别，则Onboardee拥有AP的连接凭证后会对Wi-Fi网络中的其他设备造成安全威胁。或由于Onboardee的能力有限，将AP的连接凭证外泄给其他非法设备，也会导致Wi-Fi网络的安全性受到威胁。

二是，AP的连接凭证有时是动态变化的，Onboarder发给Onboardee的AP的连接凭证可能已经过期，导致Onboardee不能接入Wi-Fi网络。

技术实现要素：

本发明要解决的技术问题是，提供一种安全的入网服务实现方法及装置，使Onboardee无需接收AP的连接凭证就可以完成Onboarding入网。

本发明采用的技术方案是，所述安全的入网服务实现方法，在入网设备侧执行的流程包括：

获取步骤：当收到被入网设备广播的第一声明消息时，从所述第一声明消息中获取所述被入网设备的身份标识；

发送步骤：将所述身份标识发送给接入点，以供接入点基于所述身份标识判断是否允许将所述被入网设备接入网络、并在判定为允许的情况下基于所述身份标识将所述被入网设备添加到网络中。

进一步的，所述身份标识，包括：SSID(Service Set Identifier，服务集标识符)。

进一步的，所述方法，在入网设备侧执行的流程还包括：

判断步骤：在所述发送步骤之后，判断是否在设定的时间段内收到被入网设备广播的第二声明消息且该第二声明消息中标识有入网成功信息，若是，则确认入网完成，否则重新执行所述发送步骤。

本发明还提供一种安全的入网服务实现方法，在被入网设备侧执行的流程包括：

广播步骤：广播第一声明消息，以供入网设备接收到所述第一声明消息后从中获取所述被入网设备的身份标识并发送给接入点；

接入步骤：当接入点基于所述身份标识判定允许将所述被入网设备接入网络并将所述被入网设备添加到网络中时，接入网络。

进一步的，所述身份标识，包括：服务集标识符SSID。

进一步的，所述广播步骤，还包括：

当被入网设备接入网络后，广播第二声明消息并在该第二声明消息中标识入网成功信息。

本发明还提供一种安全的入网服务实现方法，在接入点侧执行的流程包括：

接收步骤：接收入网设备发来的被入网设备的身份标识；

添加步骤：基于所述身份标识判断是否允许将所述被入网设备接入网络，并在判定为允许的情况下基于所述身份标识将所述被入网设备添加到网络中。

进一步的，所述身份标识，包括：服务集标识符SSID。

进一步的，在所述添加步骤中，基于所述身份标识判断是否允许将所述被入网设备接入网络，包括：

将所述身份标识与预设的恶意身份标识集合进行匹配，若匹配上，则判定不允许将所述被入网设备接入网络，否则判定允许将所述被入网设备接入网络。

本发明还提供一种安全的入网服务实现装置，设置于入网设备侧，所述装置包括：

获取模块，用于当收到被入网设备广播的第一声明消息时，从所述第一声明消息中获取所述被入网设备的身份标识；

发送模块，用于将所述身份标识发送给接入点，以供接入点基于所述身份标识判断是否允许将所述被入网设备接入网络、并在判定为允许的情况下基于所述身份标识将所述被入网设备添加到网络中。

进一步的，所述身份标识，包括：服务集标识符SSID。

进一步的，所述装置，还包括：

判断模块，用于在所述发送模块执行完成之后，判断是否在设定的时间段内收到被入网设备广播的第二声明消息且该第二声明消息中标识有入网成功信息，若是，则确认入网完成，否则重新调用所述发送模块。

本发明还提供一种安全的入网服务实现装置，设置于被入网设备侧，所述装置包括：

广播模块，用于广播第一声明消息，以供入网设备接收到所述第一声明消息后从中获取所述被入网设备的身份标识并发送给接入点；

接入模块，用于当接入点基于所述身份标识判定允许将所述被入网设备接入网络并将所述被入网设备添加到网络中时，接入网络。

进一步的，所述身份标识，包括：服务集标识符SSID。

进一步的，所述广播模块，还用于：

当被入网设备接入网络后，广播第二声明消息并在该第二声明消息中标识入网成功信息。

本发明还提供一种安全的入网服务实现装置，设置于接入点侧，所述装置包括：

接收模块，用于接收入网设备发来的被入网设备的身份标识；

添加模块，用于基于所述身份标识判断是否允许将所述被入网设备接入网络，并在判定为允许的情况下基于所述身份标识将所述被入网设备添加到网络中。

进一步的，所述身份标识，包括：服务集标识符SSID。

进一步的，所述添加模块具体用于：

将所述身份标识与预设的恶意身份标识集合进行匹配，若匹配上，则判定不允许将所述被入网设备接入网络，否则判定允许将所述被入网设备接入网络。

采用上述技术方案，本发明至少具有下列优点：

本发明所述安全的入网服务实现方法及装置，以通过AP接入Wi-Fi网络为例，Wi-Fi网络是以AP为中心的局域网，Wi-Fi网络的接入控制由AP负责，才能最大程度的保证Wi-Fi网络的安全性。本发明正是因为由AP掌握添加入网的主动权，Onboardee即使是对Wi-Fi网络有安全威胁的设备，AP也能识别出来，另一方面由于整个入网过程无需用到AP的连接凭证，避免了恶意Onboardee拥有AP的连接凭证后可能会对Wi-Fi网络中的其他设备造成潜在安全威胁。再者，也避免了AP的连接凭证动态变化而导致的Onboardee不能接入Wi-Fi网络的情况。

附图说明

图1为本发明第一实施例的安全的入网服务实现方法流程图；

图2为本发明第二实施例的安全的入网服务实现方法流程图；

图3为本发明第三实施例的安全的入网服务实现方法流程图；

图4为本发明第四实施例的安全的入网服务实现方法流程图；

图5为本发明第五实施例的安全的入网服务实现装置组成结构示意图；

图6为本发明第六实施例的安全的入网服务实现装置组成结构示意图；

图7为本发明第七实施例的安全的入网服务实现装置组成结构示意图；

图8为本发明第八实施例的安全的入网服务实现装置组成结构示意图；

图9为本发明第九实施例的Onboarding Service的流程示意图。

具体实施方式

为更进一步阐述本发明为达成预定目的所采取的技术手段及功效，以下结合附图及较佳实施例，对本发明进行详细说明如后。

本发明第一实施例，一种安全的入网服务实现方法，如图1所示，在入网设备侧执行的流程包括以下具体步骤：

步骤S101，当收到被入网设备广播的第一声明消息时，从所述第一声明消息中获取所述被入网设备的身份标识；所述身份标识，包括：服务集标识符SSID。

步骤S102，将所述身份标识发送给接入点，以供接入点基于所述身份标识判断是否允许将所述被入网设备接入网络、并在判定为允许的情况下基于所述身份标识将所述被入网设备添加到网络中。

本发明第二实施例，一种安全的入网服务实现方法，本实施例所述方法与第一实施例大致相同，区别在于，如图2所示，本实施例的所述方法，在入网设备侧执行的流程还包括以下具体步骤：

步骤S103，在步骤S102之后，判断是否在设定的时间段内收到被入网设备广播的第二声明消息且该第二声明消息中标识有入网成功信息，若是，则确认入网完成，否则重新执行步骤S102。

本发明实施例中“第一”和“第二”不用于声明消息的不同种类，而是用于区分不同阶段发送的声明消息，因为其中携带的信息是不同的。

本发明第三实施例，一种安全的入网服务实现方法，如图3所示，在被入网设备侧执行的流程包括以下具体步骤：

步骤S301，广播第一声明消息，以供入网设备接收到所述第一声明消息后从中获取所述被入网设备的身份标识并发送给接入点；所述身份标识，包括：服务集标识符SSID。

步骤S302，当接入点基于所述身份标识判定允许将所述被入网设备接入网络并将所述被入网设备添加到网络中时，接入网络。

优选的，步骤S301，还包括：

当被入网设备接入网络后，广播第二声明消息并在该第二声明消息中标识入网成功信息。

本发明第四实施例，一种安全的入网服务实现方法，如图4所示，在接入点侧执行的流程包括以下具体步骤：

步骤S401，接收入网设备发来的被入网设备的身份标识；所述身份标识，包括：服务集标识符SSID。

步骤S402，基于所述身份标识判断是否允许将所述被入网设备接入网络，并在判定为允许的情况下基于所述身份标识将所述被入网设备添加到网络中。

具体的，在步骤S402中，基于所述身份标识判断是否允许将所述被入网设备接入网络，包括：

将所述身份标识与预设的恶意身份标识集合进行匹配，若匹配上，则判定不允许将所述被入网设备接入网络，否则判定允许将所述被入网设备接入网络。

本发明第五实施例，与第一实施例对应，本实施例介绍一种安全的入网服务实现装置，设置于入网设备侧，如图5所示，所述装置包括以下组成部分：

获取模块501，用于当收到被入网设备广播的第一声明消息时，从所述第一声明消息中获取所述被入网设备的身份标识；所述身份标识，包括：服务集标识符SSID。

发送模块502，用于将所述身份标识发送给接入点，以供接入点基于所述身份标识判断是否允许将所述被入网设备接入网络、并在判定为允许的情况下基于所述身份标识将所述被入网设备添加到网络中。

本发明第六实施例，与第二实施例对应的介绍一种安全的入网服务实现装置，本实施例所述方法与第五实施例大致相同，区别在于，如图6所示，本实施例的所述装置，还包括：

判断模块503，用于在发送模块502执行完成之后，判断是否在设定的时间段内收到被入网设备广播的第二声明消息且该第二声明消息中标识有入网成功信息，若是，则确认入网完成，否则重新调用发送模块502。

本发明第七实施例，与第三实施例对应的介绍一种安全的入网服务实现装置，设置于被入网设备侧，如图7所示，所述装置包括：

广播模块701，用于广播第一声明消息，以供入网设备接收到所述第一声明消息后从中获取所述被入网设备的身份标识并发送给接入点；所述身份标识，包括：服务集标识符SSID。

接入模块702，用于当接入点基于所述身份标识判定允许将所述被入网设备接入网络并将所述被入网设备添加到网络中时，接入网络。

优选的，广播模块701，还用于：

当被入网设备接入网络后，广播第二声明消息并在该第二声明消息中标识入网成功信息。

本发明第八实施例，与第四实施例对应的介绍一种安全的入网服务实现装置，设置于接入点侧，如图8所示，所述装置包括：

接收模块801，用于接收入网设备发来的被入网设备的身份标识；所述身份标识，包括：服务集标识符SSID。

添加模块802，用于基于所述身份标识判断是否允许将所述被入网设备接入网络，并在判定为允许的情况下基于所述身份标识将所述被入网设备添加到网络中。

具体的，添加模块802用于：

将所述身份标识与预设的恶意身份标识集合进行匹配，若匹配上，则判定不允许将所述被入网设备接入网络，否则判定允许将所述被入网设备接入网络。

本发明第九实施例，本实施例是在上述实施例的基础上，结合附图9介绍一个本发明的应用实例。

如图9所示，本实施例的Onboarding Service的流程如下：

S1：Onboardee在Soft AP模式下广播About announcement消息，该About announcement消息中包含有Onboardee的SSID，该SSID表示Onboardee支持Onboarding Service。

S2：Onboarder监听到该About announcement消息及其包含的SSID后，把Onboardee的SSID等信息发送给AP。

S3：AP利用SSID等信息判断是否允许Onboardee接入网络，并在判定为允许的情况下，将Onboardee添加到Wi-Fi网络列表；

S4：AP连接Onboardee，以告知Onboardee已添加到网络中；

S5：Onboarder连接AP(这一步可在第S2步后完成)；

S6：Onboardee发送的About announcement消息，其中标识Onboarding成功；

S7：Onboarder接收到Onboardee发送的About announcement消息，且About announcement消息中标识Onboarding成功后，Onboarding Service完成。

采用本发明实施例的入网流程，可以避免AP的连接凭证被非法的Onboardee获得，或被Onboardee外泄给非法设备，从而保护Wi-Fi网络的安全。避免因Onboarder的AP连接凭证过期，导致Onboardee不能接入Wi-Fi网络的问题。

本发明实施例所述安全的入网服务实现方法及装置，以通过AP接入Wi-Fi网络为例，Wi-Fi网络是以AP为中心的局域网，Wi-Fi网络的接入控制由AP负责，才能最大程度的保证Wi-Fi网络的安全性。本发明正是因为由AP掌握添加入网的主动权，Onboardee即使是对Wi-Fi网络有安全威胁的设备，AP也能识别出来，另一方面由于整个入网过程无需用到AP的连接凭证，避免了恶意Onboardee拥有AP的连接凭证后可能会对Wi-Fi网络中的其他设备造成潜在安全威胁。再者，也避免了AP的连接凭证动态变化而导致的Onboardee不能接入Wi-Fi网络的情况。

通过具体实施方式的说明，应当可对本发明为达成预定目的所采取的技术手段及功效得以更加深入且具体的了解，然而所附图示仅是提供参考与说明之用，并非用来对本发明加以限制。