网络安全准入方法及家庭网络设备与流程

本申请涉及通信技术领域，尤其涉及一种网络安全准入及家庭网络设备。

背景技术：

家庭网络(homenetwork)技术是指家庭内部网络通信互连的技术，家庭网络介质比较丰富，常见的包括同轴电缆(coaxialcable)、双绞线(twistedpairline)、电力线(powerline)及塑料光纤(plasticopticalfiber)等。

包括itu-tg.hn、ieeehomeplug及moca等的标准均定义了在各种家庭网络介质上的家庭网络技术。其中itu-tg.hn支持同轴电缆、双绞线、电力线及塑料光纤，ieeehomeplug支持电力线，moca支持同轴电缆。

家庭网络用户向下连接用户终端，向上连接互联网(internet)，提供家庭网络内终端互联及终端到互联网的服务。

家庭网络介质多数是开放的，在利用电力线、同轴电缆等介质进行网络通信过程中，很容易被恶意设备进行非法监听。为了防止恶意设备非法监听，利用这些介质进行通信的通信设备(以下简称为家庭网络通信设备)可通过配对组网的方法来实现一定的安全性，防止恶意设备非法监听保证通信的安全性。其中配对组网典型的实现方式是家庭网络通信设备通过安全准入(secureadmission)方法加入域，该域可以理解为是家庭网络设备之间组建的私有网络。家庭网络设备在域内通过家庭网络介质进行通信，可防止恶意节点的加入，保证通信的安全。

目前，家庭网络设备进行安全准入的方法主要有以下两种方式：

方式一：用户需要先对位于域内的终端节点(endpointnode，epnode)中的某一epnode进行按键操作，接收到按键操作的epnode向域主节点(domainmaster，dm)发送通知消息以通知按键事件，域主节点接收到epnode发送的通知消息后开启配对窗口(pairingwindow)。用户在配对窗口的有效期内，对需要加入域的新家庭网络设备进行按键操作，新家庭网络设备接收到用户的按键操作后，可向域主节点发送注册请求，域主节点接收到注册请求后回复注册确认消息，实现新家庭网络设备的安全准入过程。

方式二：用户需要通过电视屏幕或计算机连接位于域内的epnode，并通过屏幕显示epnode的状态。用户通过在屏幕上对位于域内的epnode进行操作以触发位于域内的epnode向域主节点发送配对请求，域主节点接收到配对请求后开启配对窗口，并广播媒体接入计划(mediumaccessplan，map)消息。在配对窗口有效性期内，需要加入域的新家庭网络设备接收到map消息后，向域主节点发送注册请求。域主节点向新家庭网络设备回复注册确认消息，并在配对窗口到期后关闭配对窗口，向位于域内的epnode发送配对响应，该配对响应中包括发送注册请求的新家庭网络设备的媒体接入控制(mediaaccesscontrol，mac)地址或其他信息。位于域内的epnode接收到配对响应后，可在屏幕上显示新家庭网络设备的mac地址或其他信息。用户在屏幕上基于mac或其他信息选择通过新家庭网络设备的注册请求。位于域内的epnode向域主节点发送配对请求。域主节点接收到配对请求后，广播发送map消息，并在其中携带用户已授权加入域的新家庭网络设备的mac地址。新家庭网络设备接收到map消息后，检测到其中携带自己的mac地址后，发起注册请求，实现新家庭网络设备的配对操作过程。

上述两种安全准入的实现方式中，有可能造成资源浪费，并有可能遭到恶意设备的非法加入，安全性较低。

技术实现要素：

本申请实施例提供一种网络安全准入方法及家庭网络设备，以提高安全准入的安全性。

第一方面，提供一种网络安全准入的方法，在该方法中，域主节点向用户发出提示信息，该提示信息用于提示存在需要加入域进行配对的家庭网络设备。域主节点接收用户的授权操作，该授权操作用于指示允许家庭网络设备加入域进行配对操作，且是用户根据提示信息进行操作的。域主节点确定接收到用户的授权操作时，开启配对窗口，并在配对窗口的有效期内发送指示信息，该指示信息用于指示允许所述家庭网络设备加入域进行配对。

本申请实施例中，一方面用户通过提示信息进行授权操作，不需要用户使用电视、计算机等设备配合操作，使得家庭网络的配对组网面向用户更加友好，操作更加便捷；另一方面通过用户的授权操作触发域主节点开启配对窗口，使得在域主节点开启配对窗口之前授权新设备加入域，进而可避免出现开启配对窗口后无授权的新设备加入域的情形，避免资源浪费，提升安全准入(或配对组网)的安全性。并且，由于用户无需在配对窗口内进行授权操作，故相对现有技术，配对窗口的有效期可设置的相对短一些，进一步降低恶意设备非法加入的机会，提高安全准入的安全性。

一种可能的设计中，该网络安全准入方法可应用于家庭网络中的域主节点或域终端节点，也可应用于域主节点或域终端节点中的芯片。其中，域主节点用于管理家庭网络及家庭网络任意节点间的传输资源分配。

其中，家庭网络为通过家庭网络介质进行通信的网络，所述家庭网络介质包括电力线、双绞线、塑料光纤和同轴电缆中的至少一种。

域主节点管理作为域终端节点的家庭网络设备接入家庭网络。当域主节点接收到来自家庭网络设备发送的、用于通知存在需要接入家庭网络的家庭网络设备的通知消息时，执行如下步骤：向用户发出提示信息，所述提示信息用于提示存在需要接入所述家庭网络的家庭网络设备。接收用户的授权操作，所述授权操作用于指示允许所述家庭网络设备接入所述家庭网络，且是用户根据所述提示信息进行操作的。开启配对窗口，并在配对窗口的有效期内发送指示信息，所述指示信息用于指示允许所述家庭网络设备接入所述家庭网络。此种方式中，用户只需要根据域主节点发出的提示信息进行简单的授权操作，就可使家庭网络设备自动接入家庭网络，并进行数据传输，操作方便简洁。

其中，一种可能的实施方式中提示信息可在域主节点本地显示，例如可以是域主节点闪灯提示。用户的授权操作可以是用户对域主节点的操作，例如可以是对域主节点的按键操作。通过此种方式，用户可通过提示信息在域主节点上进行授权操作，无需对其它接入家庭网络的家庭网络设备和域主节点进行双边对接操作，操作过程面向用户友好易懂，操作简单方便，并能使家庭网络设备快速接入家庭网络。

另一种可能的实现方式中，代理节点作为用户界面的设备向用户显示提示信息，并直接接收用户的授权操作，例如域主节点通知代理节点向用户进行闪灯提示。用户的授权操作也可以是用户对代理节点进行按键操作，代理节点通知域主节点用户的按键授权操作。所述代理节点可以是任一域终端节点。

再一种可能的实施方式中，域主节点发送的提示信息由域主节点发送给用户使用的终端如手机，并在终端上显示。例如可以是域主节点发送给用户使用的终端并在所述终端上显示的推送消息。其中，用户使用的终端上安装有用于用户进行授权操作的应用程序。用户的授权操作可由用户对终端上安装的应用程序进行操作触发。通过此种方式，用户可通过提示信息在使用的终端上进行一键式授权操作，无需对其它接入家庭网络的家庭网络设备和域主节点进行双边对接操作，操作简单方便，并能使家庭网络设备快速接入家庭网络。

本申请实施例的另一种可能的设计中，域主节点可在接收到家庭网络设备发送的、用于通知存在需要加入域进行配对的家庭网络设备的通知消息时，依据所述通知消息，向用户发出所述提示信息所述通知消息。本申请实施例中由需要加入域进行配对的家庭网络设备发送通知消息，触发域主节点进行配对操作，无需其它接入家庭网络的家庭网络设备触发，处理流程相对较简单。

其中，所述通知消息中可包括发送通知消息的家庭网络设备的标识。域主节点发送的指示信息中也包括该发送通知消息的家庭网络设备的标识。本申请实施例中通过通知消息中包括发送通知消息的家庭网络设备的标识，并在域主节点发送的指示信息中也包括该发送通知消息的家庭网络设备的标识，可以使该标识对应的家庭网络设备接入家庭网络，防止其它家庭网络设备接入，提高安全性。

本申请实施例的又一种可能的设计中，域主节点接收用户的授权操作，并发送所述域主节点的域名配置信息，所述授权操作如前描述既可以是直接对域主节点的按键操作，也可以是对代理节点的按键操作，由代理节点通知域主节点用户的按键操作，还可以是通过智能终端的应用进行操作。域主节点接收家庭网络设备发送的域名配置确认消息，该域名配置确认消息用于指示家庭网络设备将所述域主节点的域名配置信息中包括的域名作为家庭网络设备的域名，通过此种方式可使家庭网络设备依据域主节点的域名配置信息进行域名配置，相对采用预先配置的方式，使家庭网络设备的域名配置灵活性更大。

第二方面，提供一种网络安全准入方法，在该方法中，家庭网络设备确定需要加入域进行配对，向域主节点发送通知消息，该通知消息用于向域主节点通知存在需要加入域进行配对的家庭网络设备。

其中，需要加入域进行配对的家庭网络设备可以理解为是作为域终端节点的家庭网络设备。家庭网络设备加入域进行配对也可以理解为是家庭网络设备被允许作为域终端节点接入家庭网络。

本申请实施例中由需要加入域进行配对的家庭网络设备发送通知消息，触发域主节点进行配对操作，无需其它已接入家庭网络的家庭网络设备触发，处理流程相对较简单。

其中，家庭网络设备检测到上电或者检测到存在新域时，可确定需要加入域进行配对。

进一步的，需要加入域进行配对的家庭网络设备发送的通知消息中包括发送通知消息的家庭网络设备的标识，可以使该标识对应的家庭网络设备接入家庭网络，防止其它家庭网络设备接入，提高安全性。

一种可能的设计中，家庭网络中作为域终端节点的家庭网络设备可接收域主节点发送的所述域主节点的域名配置信息，并将所述域主节点的域名配置信息中包括的域名作为所述家庭网络中作为域终端节点的家庭网络设备的域名，向所述域主节点发送域名配置确认消息。通过此种方式可使家庭网络中作为域终端节点的家庭网络设备依据域主节点的域名配置信息进行域名配置，相对采用预先配置的方式，使家庭网络设备的域名配置灵活性更大。

第三方面，提供一种网络安全准入装置，该网络安全准入装置具有实现第一方面或第一方面任意可能的设计中域主节点执行网络安全准入方法所涉及的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的单元。

一种可能的设计中，所述网络安全准入装置包括发送单元、接收单元和处理单元。其中，发送单元用于向用户发出提示信息。接收单元用于接收用户的授权操作。处理单元，用于确定接收到用户的授权操作时，开启配对窗口。所述发送单元用于在配对窗口的有效期内发送指示信息，所述指示信息用于指示允许所述家庭网络设备加入域进行配对。

本申请实施例中，通过用户的授权操作触发域主节点开启配对窗口，使得在域主节点开启配对窗口之前授权新设备加入域，进而可避免出现开启配对窗口后无授权的新设备加入域的情形，避免资源浪费，提升安全准入(或配对组网)的安全性。并且，由于用户无需在配对窗口内进行授权操作，故相对现有技术，配对窗口的有效期可设置的相对短一些，进一步降低恶意设备非法加入的机会，提高安全准入的安全性。

另一种可能的设计中，所述网络安全准入装置包括发送单元和接收单元。其中，接收单元用于接收用户的授权操作。发送单元用于发送域主节点的域名配置信息。接收单元用于接收家庭网络设备发送的域名配置确认消息，所述域名配置确认消息用于指示所述家庭网络设备将所述域主节点的域名配置信息中包括的域名作为所述家庭网络设备的域名。

该网络安全准入装置也可包括处理单元，该处理单元用于在接收单元接收家庭网络设备发送的域名配置确认消息之后开启配对窗口。所述发送单元还用于在配对窗口的有效期内发送指示信息，所述指示信息用于指示允许所述家庭网络设备加入域进行配对。

本申请实施例中，通过发送域主节点的域名配置信息，可使家庭网络设备依据域主节点的域名配置信息进行域名配置，相对采用预先配置的方式，使家庭网络设备的域名配置灵活性更大。

其中，发送单元向用户发出提示信息，接收单元接收的授权操作是根据发送单元向用户发出的提示信息进行操作的，所述提示信息用于提示存在需要加入域进行配对的家庭网络设备。

其中，发送单元发送的提示信息在域主节点本地显示或在代理节点显示，接收单元接收的授权操作为用户对域主节点或代理节点的操作。例如，在所述域主节点本地显示或在代理节点显示的提示信息为闪灯提示，用户对域主节点或代理节点的操作为按键操作。或者发送单元发送的提示信息由域主节点或代理节点发送给用户使用的终端并在所述终端上显示，例如，可以是域主节点或代理节点发送给用户使用的终端并在所述终端上显示的推送消息。终端上安装有用于用户进行授权操作的应用程序，接收单元接收的授权操作由用户对所述应用程序进行操作触发。

通过此种方式，用户可通过提示信息在域主节点或使用的终端上进行一键式授权操作，无需对其它接入家庭网络的家庭网络设备和域主节点进行双边对接操作，操作简单方便，并能使家庭网络设备快速接入家庭网络。

一种可能的设计中，接收单元还用于接收家庭网络设备发送的通知消息，所述通知消息用于通知存在需要加入域进行配对的家庭网络设备。发送单元采用如下方式向域主节点向用户发出提示信息：依据所述通知消息，向用户发出所述提示信息。

其中，接收单元接收的通知消息中包括发送通知消息的家庭网络设备的标识。发送单元发送的指示信息中包括发送通知消息的家庭网络设备的标识。

本申请实施例中通过通知消息中包括发送通知消息的家庭网络设备的标识，并在指示信息中也包括该发送通知消息的家庭网络设备的标识，可以使该标识对应的家庭网络设备接入家庭网络，防止其它家庭网络设备接入，提高安全性。

本申请实施例第三方面提供的网络安全准入装置可以是域主节点，也可以是域主节点内的芯片。所述域主节点或所述芯片具有实现第一方面或第一方面任意可能的设计中执行网络安全准入方法所涉及的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的单元。

所述域主节点包括发送单元、接收单元和处理单元，所述发送单元可以是发射器，所述接收单元可以是接收器，所述接收器和发射器中可包括射频电路。所述处理单元例如可以是处理器。可选的，所述域主节点还可包括存储单元，所述存储单元例如可以是存储器。当所述域主节点包括存储单元时，所述存储单元用于存储计算机执行指令，所述处理单元与所述存储单元连接，所述处理单元执行所述存储单元存储的计算机执行指令，以使所述域主节点执行第一方面或第一方面任意可能的设计中的网络安全准入方法。

所述芯片包括：发送单元、接收单元和处理单元，所述发送单元和所述接收单元可以是所述芯片上的输入/输出接口、管脚或电路等。所述处理单元例如可以是处理器。可选的，所述芯片还包括存储单元，所述存储单元例如可以是存储器。所述处理单元可执行存储单元存储的计算机执行指令，以使所述芯片执行第一方面或第一方面任意可能的设计中的网络安全准入方法。

第四方面，提供一种网络安全准入装置，该网络安全准入装置具有实现第二方面或第二方面任意可能的设计中需要加入域进行配对的家庭网络设备执行网络安全准入方法所涉及的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的单元。

一种可能的设计中，网络安全准入装置包括处理单元和发送单元，其中，处理单元用于确定需要加入域进行配对。发送单元用于向域主节点发送通知消息，该通知消息用于向域主节点通知存在需要加入域进行配对的家庭网络设备。

其中，处理单元检测到上电或者检测到存在新域时，确定需要加入域进行配对。

可选的，需要加入域进行配对的家庭网络设备还可包括存储单元，所述存储单元例如可以是存储器。当所述域主节点包括存储单元时，所述存储单元用于存储计算机执行指令，所述处理单元与所述存储单元连接，所述处理单元执行所述存储单元存储的计算机执行指令，以使所述需要加入域进行配对的家庭网络设备执行第二方面或第二方面任意可能的设计中的网络安全准入方法。

另一种可能的设计中，网络安全准入装置包括接收单元、处理单元和发送单元，其中，接收单元用于接收域主节点发送的所述域主节点的域名配置信息。处理单元用于将所述接收单元接收的域主节点的域名配置信息中包括的域名作为所述家庭网络设备的域名。发送单元用于向所述域主节点发送域名配置确认消息。

可选的，所述网络安全准入装置还可包括存储单元，所述存储单元例如可以是存储器。当所述网络安全准入装置包括存储单元时，所述存储单元用于存储计算机执行指令，所述处理单元与所述存储单元连接，所述处理单元执行所述存储单元存储的计算机执行指令，以使所述家庭网络设备执行第二方面或第二方面任意可能的设计中的网络安全准入方法。

本申请实施例第四方面提供的网络安全准入装置可以是需要加入域进行配对的家庭网络设备，也可以是需要加入域进行配对的家庭网络设备内的芯片。所述家庭网络设备或所述芯片具有实现第二方面或第二方面任意可能的设计中执行网络安全准入方法所涉及的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的单元。

第四方面提供的网络安全准入装置中涉及的所述发送单元可以是发射器，所述接收单元可以是接收器，所述接收器和发射器中可包括射频电路。所述处理单元例如可以是处理器。所述存储单元例如可以是存储器。

所述芯片包括：处理单元和发送单元，也可以包括接收单元。所述发送单元和所述接收单元可以是所述芯片上的输入/输出接口、管脚或电路等。所述处理单元例如可以是处理器。可选的，所述芯片还包括存储单元，所述存储单元例如可以是存储器。

可选的，第三方面和第四方面中涉及的芯片中包括的存储单元可以是所述芯片内的存储单元(例如，寄存器、缓存等)，所述存储单元还可以是所述位于所述芯片外部的存储单元(例如，只读存储器)或可存储静态信息和指令的其他类型的静态存储设备(例如，随机存取存储器)等。

可选的，第三方面和第四方面涉及的处理器可以是一个中央处理器、微处理器或专用集成电路，也可以是一个或多个用于控制执行上述各方面或各方面设计中涉及的网络安全准入方法的程序执行的集成电路。

第五方面，本申请提实施例提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令，当所述指令在计算机上运行时，可以完成上述各方面或各方面中任意可能的设计中执行的网络安全准入方法。

第六方面，本申请提实施例提供一种计算机程序产品，所述计算机程序产品中包括有计算机程序，该计算机程序用于执行完成上述各方面或各方面中任意可能的设计中的网络安全准入方法。

本申请实施例提供的网络安全准入方法、装置、域主节点以及家庭网络设备，通过用户的授权操作触发域主节点开启配对窗口，使得在域主节点开启配对窗口之前授权新设备加入域，进而可避免出现开启配对窗口后无授权的新设备加入域的情形，避免资源浪费，提升安全准入的安全性。并且，由于用户只需要根据域主节点发出的提示信息进行简单的授权操作，就可使家庭网络设备自动接入家庭网络，并进行数据传输，操作方便简洁。

附图说明

图1为本申请实施例涉及的域网络架构；

图2为本申请实施例涉及的一种家庭网络设备安全准入的过程示意图；

图3为本申请实施例涉及的一种家庭电力线网络架构示意图；

图4a为本申请实施例涉及的一种家庭网络设备安全准入的方法流程图；

图4b为本申请实施例涉及的另一种家庭网络设备安全准入的方法流程图；

图5a为本申请实施例涉及的又一种家庭网络设备安全准入的方法流程图；

图5b为本申请实施例涉及的又一种家庭网络设备安全准入的方法流程图；

图6a为本申请实施例涉及的又一种家庭网络设备安全准入的方法流程图；

图6b为本申请实施例涉及的又一种家庭网络设备安全准入的方法流程图；

图7为本申请实施例提供的一种网络安全准入装置结构示意图；

图8为本申请实施例提供的一种家庭网络设备结构示意图；

图9为本申请实施例提供的另一种网络安全准入装置结构示意图；

图10为本申请实施例提供的另一种家庭网络设备结构示意图；

图11为本申请实施例提供的又一种网络安全准入装置结构示意图；

图12为本申请实施例提供的又一种家庭网络设备结构示意图；

图13为本申请实施例提供的又一种网络安全准入装置结构示意图；

图14为本申请实施例提供的又一种家庭网络设备结构示意图。

具体实施方式

下面将结合附图，对本申请实施例的技术方案进行描述。

首先，对本申请实施例涉及的部分用语进行解释说明，以便于理解。

1)家庭网络设备，可以理解为是通过家庭网络介质进行通信的设备。家庭网络设备也可称为是通信节点，或者终端节点。其中，家庭网络介质例如可以是同轴电缆、双绞线、电力线以及塑料光纤等。目前，一些家庭网络设备的举例为：集成家庭网络芯片的终端如数字用户线路猫(digitalsubscriberline，dslmodem)、光网络终端(opticalnetworkterminal，ont)，家用路由器等，此类终端设备可以向上连接互联网，向下通过家庭网络连接用户终端；无线(wireless)或有线(wireline)接入点(accesspoint，ap)，以及可能用于工业应用场景的电力线通信设备，包括智能电表等，及各种物联网(internetofthings，iot)设备等通过上述家庭网络介质向上接入家庭网络，向下连接各类终端或者自身即是终端设备。

2)域，英文表示可以是domain。域可以理解为是包括有多个家庭网络设备的通信网络，一个域内可包括通过家庭网络介质进行通信的多个家庭网络设备。例如图1中，域主节点、域终端节点1～域终端节点4组建一个域。

域内通信可以加密或者不加密，对应的域可包括安全域和非安全域。在安全域内各家庭网络设备之间采用加密方式进行通信。在非安全域内各家庭网络设备之间进行通信时不加密。

3)域主节点，英文表示可以是domainmaster，简称dm。域主节点可以理解为是域内具有管理控制功能的家庭网络节点。域主节点可以通过与位于域外的家庭网络设备进行交互，以将位于域外的家庭网络设备加入域内。

4)域终端节点，英文表示可以是endpointnode，简称为epnode。epnode可以理解为是域内除域主节点以外的其它家庭网络节点。

本申请实施例中，家庭网络设备可以在域主节点和域终端节点之间进行角色切换。

5)安全准入，英文表示可以是secureadmission。安全准入可以理解为是家庭网络设备加入域进行配对组网的过程。其中，配对组网可以理解为是家庭网络设备间组建私有网络的过程。

6)配对窗口，是指允许家庭网络设备进行配对组网(安全准入)的时间窗。

目前，家庭网络设备之间通过安全准入(secureadmission)的方式，保障各家庭网络设备之间通信的安全性。例如，图2中，域主节点、域终端节点1～域终端节点4组建一个域。域主节点、域终端节点1～域终端节点4在域内可通过家庭网络介质进行安全通信。位于域外的家庭网络设备5和家庭网络设备6，若需要进行安全通信，需要执行安全准入的过程加入域内。现有家庭网络设备安全准入的方法中，均需要用户对已配对家庭网络设备进行操作，才能触发域主节点开启配对窗口，并且都需要在域主节点开启配对窗口后，用户才能决定是否授权新家庭网络设备加入域，在配对窗口开启后，若用户不能在配对窗口预设的时长内授权新节点加入域，则可能造成资源的浪费，并且有可能遭到恶意设备的非法加入，安全性较低。

有鉴于此，本申请实施例提供一种安全准入的方法，该安全准入方法可应用于通过家庭网络介质进行通信的家庭网络中，当然也可应用于除家庭网络领域之外同样关注安全问题的领域，例如也可能用于企业通信、工业互通互连、物联网等领域。在这些领域的应用中，作为域主节点的家庭网络设备确定存在需要加入域进行配对的家庭网络设备时，向用户发出提示信息。用户根据域主节点发出的提示信息进行授权操作，域主节点接收用户的授权操作，并在确定接收到用户的授权操作时开启配对窗口，在配对窗口的有效期内发送用于指示允许设备加入域进行配对的指示信息。需要加入域进行配对的家庭网络设备(或也可以理解为是作为域终端节点的家庭网络设备)接收到域主节点发送的指示信息后可发起注册请求，以完成安全准入的过程。通过本申请实施例，一方面用户通过提示信息进行授权操作，不需要用户使用电视、计算机等设备配合操作，使得家庭网络的配对组网面向用户更加友好，操作更加便捷。另一方面通过用户的授权操作触发域主节点开启配对窗口，使得在域主节点开启配对窗口之前授权新设备加入域，进而可避免出现开启配对窗口后无授权的新设备加入域的情形，避免资源浪费，提升安全准入(或配对组网)的安全性。并且，由于用户无需在配对窗口内进行授权操作，故相对现有技术，配对窗口的有效期可设置的相对短一些，进一步降低恶意设备非法加入的机会，提高安全准入的安全性。

本申请实施例中，可以通过域主节点直接向用户发出提示信息，也可由代理节点向用户发出提示信息。该代理节点可以是任一域终端节点。一种可能的实现方式中，代理节点作为用户界面的设备向用户显示提示信息，例如域主节点通知代理节点向用户进行闪灯提示。用户的授权操作可以是用户直接对域主节点进行按键操作，也可以是用户对代理节点进行按键操作，代理节点通知域主节点用户的按键授权操作。或者域主节点可直接向用户使用的终端发送推送消息或通知代理节点向用户使用的终端发送推送消息，用户的授权操作也可以是用户对使用的终端上安装的应用程序进行的一键式授权操作。

本申请实施例提供的安全准入方法可应用于家庭电力线网络。电力线网络，又可称为电力线通信(powerlinecommunication，plc)，指利用既有电力线，将数据或信息以数字信号处理方法进行传输。电力线的覆盖广泛且天然覆盖居民的家庭与楼道，故家庭电力线网络在家庭网络技术的应用中占据一定优势。

图3所示为本申请实施例提供的一种家庭电力线网络的架构示意图。在一个典型的实施方案中如图3，域主节点作为家庭电力线网络的接入设备可位于ont或dslmodem等终端设备上，通过诸如光纤或铜线等与运营商网络相连并进行上行数据传输。此种情况下域主节点可以通过电力线或同轴电缆等介质与家庭网络设备1(域终端节点1)～家庭网络设备5(域终端节点5)相连，例如图3中可通过电力线无线保真(wirelessfidelity，wi-fi)接入点(accesspoint，ap)、有线ap及智能家居电器等家庭网络设备相连，进行下行数据传输，并管理家庭电力线网络。这样域主节点设备可在运营商网络和家庭电力线网络间实现跨网络的数据传输。电力猫、路由器等家庭网络设备可通过电力线与域主节点连接并进行上行数据传输。电力猫、路由器等家庭网络设备可作为域终端节点接入家庭电力线网络，通过诸如网线或无线保真(wirelessfidelity，wi-fi)等连接方式与用户使用的手机、电脑、电视机等终端相连接并进行下行数据传输，作为域终端节点接入家庭电力线网络的家庭网络设备也可以理解为是作为下级网络分发节点的家庭网络设备。其中，在家庭电力线网络中应用本申请实施例提供的安全准入方法时，作为域终端节点接入家庭电力线网络的家庭网络设备在确定需要接入家庭电力线网络时，可向作为域主节点的家庭网络设备发送用于通知存在作为域终端节点接入所述家庭电力线网络的家庭网络设备的通知消息。作为域主节点的家庭网络设备节点接收到来自作为域终端节点的家庭网络设备发送的通知消息时，可向用户发出提示信息，该提示信息用于提示存在作为域终端节点接入所述家庭电力线网络的家庭网络设备。用户接收到该提示信息后，若允许家庭网络设备加入家庭电力线网络，则可进行授权操作。域主节点接收到该授权操作后，可开启配对窗口，并在配对窗口的有效期内发送指示信息，以指示允许所述家庭网络设备接入家庭电力线网络。相对应的，域主节点作为家庭网络的管理节点，同样也可以位于其他终端设备上，如wi-fiap设备上，此种情况下ont或dslmodem等可作为域终端节点向下接入家庭网络，通过电力线或同轴电缆等介质与其它家庭网络设备相连，向上通过光纤或铜线等与运营商网络相连。再者ont或dslmodem等设备并不集成家庭网络芯片功能，而是通过分离的家庭网络设备与其直接相连，此家庭网络设备再通过电力线或同轴电缆等介质与其他家庭网络设备相连，此种情况下域主节点可以位于任一家庭网络设备上执行管理和资源分配等功能。需要说明的是签署安全准入的方法均适用于这些场景下的应用，保障家庭网络上接入和通信安全。

本申请实施例通过上述方式将家庭网络设备接入家庭电力线网络，用户只需要根据域主节点发出的提示信息进行简单的授权操作，就可使家庭网络设备自动接入家庭电力线网络，并进行数据传输，操作方便简洁。

本申请实施例以下以安全准入方法应用于家庭电力线网络为例进行说明。

可以理解的是，在家庭电力线网络中，本申请实施例中涉及的家庭网络设备也可以称为电力线通信设备。若安全准入方法应用到除家庭网络以外的其它网络时，相应的名称可以做对应的更改。

进一步可以理解的是，本申请实施例中涉及的“加入域进行配对”以及“接入家庭电力线网络”有时可以混用，应当指出的是，在不强调其区别时，其所要表达的含义是一致的。

进一步的，本申请实施例以下涉及的家庭网络设备是指位于域外的家庭网络设备，或者也可以理解为是需要加入域进行配对的家庭网络设备，或者还可以理解为是作为域终端节点或下级网络分发节点接入家庭网络的家庭网络设备。

图4a所示为本申请实施例提供的一种家庭网络设备安全准入的方法实施流程图，参阅图4a所示，该方法包括：

s101a：域主节点向用户发出提示信息，该提示信息用于提示存在需要加入域进行配对的家庭网络设备。

一种可能的示例中，本申请实施例中域主节点向用户发出的提示信息可以是在域主节点本地显示的提示信息，例如该提示信息可以是域主节点闪灯提示。域主节点通过闪灯提示用户存在需要加入域进行配对的家庭网络设备。

另一种可能的示例中，本申请实施例中域主节点向用户发出的提示信息可以是推送消息，域主节点向用户使用的终端发送推送消息。终端接收到域主节点发送的推送消息可以在终端上进行显示，以提示用户存在需要加入域进行配对的家庭网络设备，所述推送消息可以通过智能手机的应用程序(app)来实现。

s102a：用户根据主节点向用户发出的提示信息进行授权操作，该授权操作用于指示允许家庭网络设备加入域进行配对操作。域主节点接收用户的授权操作。

具体的，本申请实施例中用户进行的授权操作可以依据不同的提示信息，采用不同的实现形式。例如，若提示信息为在域主节点本地显示的提示信息，所述授权操作可以为用户对主节点的操作。用户对主节点的操作例如可以是按键操作，当然也可以是其它的方式。通过此种方式，用户可通过提示信息在域主节点上进行授权操作，无需对其它接入家庭电力线网络的家庭网络设备和域主节点进行双边对接操作，操作简单方便易理解，并能使家庭网络设备快速接入家庭电力线网络。

再例如，若提示信息为域主节点发送给终端并在终端上显示的推送消息，用户使用的终端上安装有用户进行授权操作的应用程序(app)，则用户的授权操作可以由用户对终端上安装的app进行操作触发，例如可以是在app上进行的一键式授权操作，当然也可以是其它的操作方式。通过此种方式，用户可通过提示信息在使用的终端上进行一键式授权操作，无需对其它接入家庭电力线网络的家庭网络设备和域主节点进行双边对接操作，操作简单方便，并能使家庭网络设备快速接入家庭电力线网络。

s103a：域主节点确定接收到用户的授权操作时，开启配对窗口。

s104a：域主节点在配对窗口的有效期内发送指示信息，该指示信息用于指示允许家庭网络设备加入域进行配对。

本申请实施例中域主节点发送的指示信息可以是map消息。

s105a：家庭网络设备接收域主节点发送的指示信息，并向域主节点发送注册请求。

s106a：域主节点接收家庭网络设备发送的注册请求，并向家庭网络设备回复注册确认消息，实现家庭网络设备的安全准入过程。

具体的，本申请实施例中域主节点向家庭网络设备回复的注册确认消息中可以携带秘钥消息，以实现家庭网络设备与域主节点之间在安全域内的通信。

本申请实施例中域主节点向用户发出提示信息可以包括上述涉及的由域主节点直接向用户发出提示信息的实施方式，也可包括通过代理节点间接向用户发出提示信息的实施方式。图4b所示为本申请实施例涉及的通过代理节点间接向用户发出提示信息的实施流程图，参阅图4b所示，该方法包括：

s101b：域主节点向代理节点发送第一通知消息，该第一通知消息用于通知代理节点进行提示操作。

s102b：代理节点接收域主节点发送的第一通知消息，并向用户发出提示信息。

本申请实施例中代理节点向用户发出提示信息的实施过程与域主节点向用户发出提示信息的实施过程类似，可以在本地显示，也可以向用户使用的终端发送并在用户使用的终端上显示，具体的实施过程可参阅上述实施例中有关域主节点向用户发出提示信息的实施过程，在此不再详述。

s103b：代理节点接收用户的授权操作。

用户获取到代理节点发出的提示信息后，用户根提示信息进行授权操作，具体的授权操作可以是用户对代理节点进行的按键操作。或者用户的授权操作也可以是用户对使用的终端上安装的应用程序进行的一键式授权操作。对于授权操作的相关描述，可参阅上述实施例中有关根据域主节点发出的提示信息进行授权操作的实施过程，在此不再详述。

s104b：代理节点向域主节点发送第二通知消息，该第二通知消息用于通知域主节点已接收到用户的授权操作。

本申请实施例中，代理节点接收到用户的授权操作后，可向域主节点发送第二通知消息，以通知域主节点的用户已进行授权操作，例如代理节点通知域主节点用户的按键授权操作或用户对使用的终端上安装的应用程序进行的一键式授权操作。

s105b、s106b、s107b和s108b的执行过程与上述实施例中涉及对的s103a、s104a、s105a和s106a的执行过程类似，本申请实施例在此不再详述。

本申请实施例提供的家庭网络设备安全准入方法，用户根据域主节点的提示信息进行对需要加入域进行配对的家庭网络设备进行授权操作，域主节点在接收到用户的授权操作后开启配对窗口，使得在域主节点开启配对窗口之前授权家庭网络设备加入域，进而可避免出现开启配对窗口后无授权的家庭网络设备加入域的情形，避免资源浪费。并且，由于用户无需在配对窗口内进行授权操作，故相对现有技术，配对窗口的有效期可设置的相对短一些，进而可一定程度上降低恶意设备非法加入的机会，提高安全准入的安全性。

本申请实施例中一种可能的实施方式中，当存在需要加入域进行配对的家庭网络设备时，该需要加入域进行配对的家庭网络设备可向域主节点发送通知消息，以通知存在需要配对的家庭网络设备。域主节点接收到家庭网络设备发送的通知消息后，确定提示信息，以提示用户存在需要加入域进行配对的家庭网络设备。

图5a所示为本申请实施例提供的一种家庭网络设备安全准入的方法实施流程图，参阅图5a所示，该方法包括：

s201a：家庭网络设备向域主节点发送第三通知消息，该第三通知消息用于通知存在需要加入域进行配对的家庭网络设备。

具体的，本申请实施例中家庭网络设备可在被允许作为域终端节点接入家庭网络时向作为域主节点的家庭网络设备发送通知消息。例如，家庭网络设备可在上电后向域主节点发送第三通知消息，或者家庭网络设备也可以在检测到网络中存在新建的域时，向域主节点发送第三通知消息。可能的示例中，本申请实施例中家庭网络设备向域主节点发送的第三通知消息也可以称为节点存在信息(adm_nodepresense.ind)，对于第三通知消息的具体形式本申请实施例不作限定。

一种可能的示例中，家庭网络设备向域主节点发送的第三通知消息中可包括家庭网络设备的标识，以使域主节点通过该标识确定需要加入域进行配对的家庭网络设备。

s202a：域主节点接收家庭网络设备发送的第三通知消息，确定存在需要加入域进行配对的家庭网络设备(存在被允许作为域终端节点接入家庭网络的家庭网络设备)，并在本地显示提示信息或者向用户使用的终端发送提示信息，以提示用户存在需要加入域进行配对的家庭网络设备。

可能的示例中，若域主节点采用向用户使用的终端发送提示信息的方式提示用户存在需要加入域进行配对的家庭网络设备，则该提示信息中还可包括家庭网络设备的标识，以使用户可通过该标识确定需要加入域进行配对的家庭网络设备，以确定是否对该标识对应的家庭网络设备进行授权。

又一种可能的示例中，域主节点接收到家庭网络设备发送的第三通知消息后，可确定该需要加入域进行配对的家庭网络设备是否属于自家的家庭网络，在确定属于自己的家庭网络的前提下，向用户发出提示信息。例如可检测发送第三通知消息的家庭网络设备的信号强度(当然也可以是其它信息)，根据信号强度判断发送第三通知消息的家庭网络设备是否属于自家的家庭网络。例如，若信号强度小于设定的阈值，则可确定该发送第三通知消息的家庭网络设备不属于自家的家庭网络，可能属于邻居家的家庭网络，此种情况下，可不向用户发出提示信息，以智能的排除误报错报的情况发生。

s203a、s204a、s205a、s206a以及s207a的执行过程与s102a、s103a、s104a、s105a以及s106a的执行过程类似，本申请实施例在此不再详述。

需要着重说明的是，本申请实施例中域主节点向家庭网络设备发送的指示信息中可包括家庭网络设备的标识，以实现针对该标识对应的家庭网络设备的安全准入。

本申请实施例提供的家庭网络设备安全准入的实现方法，通过需要加入域进行配对的家庭网络设备向域主节点发送第三通知消息，以通知域主节点存在需要加入域进行配对的家庭网络设备，无需用户对位于域内的家庭网络设备进行操作，使得安全准入的执行过程能够得到简化，提高安全准入的效率。

一种可能的实施方式中，域主节点接收到第三通知消息后，可向代理节点发送第一通知消息，通过第一通知消息通知代理节点进行提示操作。代理节点接收到第一通知消息后向用户发出提示信息，并接收用户根据代理节点发出的提示信息进行的授权操作。代理节点向域主节点发送第二通知消息，以通知域主节点用户已发出授权操作。域主节点接收到代理节点发出的第二通知消息后，可开启配对窗口，并进行安全准入的执行过程。具体实施过程可参阅图5b所示。图5b中s201b的执行过程与图5a中s201a的执行过程类似，s202b、s203b、s204b、s205b、s206b、s207b、s208b和s209b的执行过程与图4b中s101b、s102b、s103b、s104b、s105b、s106b、s107b和s108b的执行过程相同，在此不再赘述。

家庭网络设备执行安全准入过程中需要进行域名配置，但是通常采用预先配置的方式类配置域名，此种方式灵活性较差。有鉴于此，本申请实施例中提供一种家庭网络设备安全准入过程中的域名配置方法，在该域名配置方法中，域主节点可在接收到用户的授权操作后发送该域主节点的域名配置信息，家庭网络设备可接收到域主节点发送的域名配置信息，将域主节点的域名配置信息中包括的域名作为所述家庭网络设备的域名，并向域主节点发送域名配置确认消息，通过该域名配置确认消息指示家庭网络设备将域主节点的域名配置信息中包括的域名作为所述家庭网络设备的域名。通过此种方式可使家庭网络设备依据域主节点的域名配置信息进行域名配置，相对采用预先配置的方式，使家庭网络设备的域名配置灵活性更大。

一种可能的实施方式中，本申请实施例中需要加入域进行配对的家庭网络设备也可向域主节点发送通知消息，通过该通知消息提示存在需要加入域进行配对的家庭网络设备。域主节点接收用户的授权操作之前，接收家庭网络设备发送的通知消息，然后依据该通知消息确定提示消息。具体的，该通知消息中可包括家庭网络设备的标识。

本申请实施例中用于域名配置实现过程中涉及的提示信息与上述实施例涉及的通知消息类似，故对于通知消息的相关解释可参阅上述实施例的描述，在此不再详述。

用户的授权操作可以是根据域主节点向用户发出的提示信息进行操作的，该提示信息用于提示存在需要加入域进行配对的家庭网络设备。本申请实施例中用于域名配置实现过程中涉及的提示信息与上述实施例涉及的提示信息类似，故对于提示信息的相关解释可参阅上述实施例的描述，在此不再详述。

本申请实施例中，域主节点完成家庭网络设备的域名配置后，可开启配对窗口，并在配对窗口的有效期内发送指示信息，所述指示信息用于指示允许所述家庭网络设备加入域进行配对。

图6a所示为本申请实施例提供的又一种家庭网络设备安全准入的方法实施流程图。

图6a所示的方法中，s301a、s302a、s303a的执行过程与s201a、s202a、s203a的执行过程相同，在此不再详述。

s304a：域主节点接收用户的授权操作，并向家庭网络设备发送域主节点的域名配置信息。该域名配置信息中包括有域主节点所在域的域名。

s305a：家庭网络设备接收域主节点发送的域名配置信息，将该域名配置信息中包括的域名作为家庭网络设备的域名，并向域主节点发送域名配置确认消息。该域名配置确认消息用于指示所述家庭网络设备将所述域主节点的域名配置信息中包括的域名作为家庭网络设备的域名。

本申请实施例中家庭网络设备将域名配置信息中包括的域名作为家庭网络设备的域名，可以是直接将域名配置信息中包括的域名作为家庭网络设备的域名，或者也可将域名配置信息中包括的域名加入已配置的域名列表中，后续在域名列表中选择该域名配置信息中包括的域名作为家庭网络设备的域名。

s306a：家庭网络设备接收家庭网络设备发送的域名配置确认消息，并开启配对窗口。

s307a、s308a以及s309a的执行过程与s104a、s105a以及s106a的执行过程类似，本申请实施例在此不再详述。

一种可能的实施方式中，域主节点接收到第三通知消息后，可向代理节点发送第一通知消息，通过第一通知消息通知代理节点进行提示操作。代理节点接收到第一通知消息后向用户发出提示信息，并接收用户根据代理节点发出的提示信息进行的授权操作。代理节点向域主节点发送第二通知消息，以通知域主节点用户已发出授权操作。域主节点接收到代理节点发出的第二通知消息后，可向需要加入域进行配对的家庭网络设备发送域名配置信息，并进行安全准入的执行过程。具体实施过程可参阅图6b所示。图6b中s301b、s302b、s303b、s304b和s305b的执行过程与s201b、s202b、s203b、s204b和s205b的执行过程相同，s306b、s307b、s308b、s309b、s310b和s311b的执行过程与s304a、s305a、s306a、s307a、s308a和s309a的执行过程相同，在此不再赘述。

需要说明的是，本申请实施例的说明书和权利要求书及附图中涉及的术语“第一”、“第二”“第三”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序，例如本申请实施例中上述涉及的第一通知消息、第二通知消息和第三通知消息仅是用于方便描述以及区分不同的通知消息，不构成对通知消息的限定。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。

上述主要从域主节点和家庭网络设备交互的角度对本申请实施例提供的方案进行了介绍。可以理解的是，域主节点和家庭网络设备为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。结合本申请中所公开的实施例描述的各示例的单元(器、器件)及算法步骤，本申请实施例能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同的方法来实现所描述的功能，但是这种实现不应认为超出本申请实施例的技术方案的范围。

本申请实施例可以根据上述方法示例对域主节点和家庭网络设备进行功能单元(器、器件)的划分，例如，可以对应各个功能划分各个功能单元(器、器件)，也可以将两个或两个以上的功能集成在一个处理单元(器、器件)中。上述集成的单元(器、器件)既可以采用硬件的形式实现，也可以采用软件功能单元(器、器件)的形式实现。需要说明的是，本申请实施例中对单元(器、器件)的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

在采用集成的单元(器、器件)的情况下，图7示出了本申请实施例提供的一种网络安全准入装置100的结构示意图。其中，网络安全准入装置100可以是域主节点，也可以是域主节点内的部件。参阅图7所示，网络安全准入装置100包括发送单元101、接收单元102和处理单元103。

其中，发送单元101用于向用户发出提示信息，该提示信息用于提示存在需要加入域进行配对的家庭网络设备。接收单元102用于接收用户的授权操作，该授权操作是用户根据发送单元101发出的提示信息进行操作的，并用于指示允许家庭网络设备加入域进行配对操作。处理单元103用于在确定接收单元102接收到用户的授权操作时开启配对窗口，并在配对窗口的有效期内发送指示信息，该指示信息用于指示允许家庭网络设备加入域进行配对。

其中，一种可能的示例中，发送单元101发出的提示信息可以是在域主节点本地显示的提示信息或者也可以是在代理节点处显示的提示信息，接收单元102接收的授权操作可以是用户对域主节点或代理节点的操作。例如，在域主节点本地显示的提示信息或在代理节点处显示的提示信息为闪灯提示，用户对主节点的操作可以为按键操作，该按键操作可以理解为是一键式授权操作。

本申请实施例中，一方面用户通过提示信息进行一键式授权操作，不需要用户使用电视、计算机等设备配合操作，使得家庭网络的配对组网面向用户更加友好，操作更加便捷。另一方面通过用户的授权操作触发域主节点开启配对窗口，使得在域主节点开启配对窗口之前授权新设备加入域，进而可避免出现开启配对窗口后无授权的新设备加入域的情形，避免资源浪费，提升安全准入(或配对组网)的安全性。并且，由于用户无需在配对窗口内进行授权操作，故相对现有技术，配对窗口的有效期可设置的相对短一些，进一步降低恶意设备非法加入的机会，提高安全准入的安全性。

另一种可能的示例中，发送单元101发出的提示信息可以是由域主节点或代理节点发送给用户使用的终端并在所述终端上显示的提示信息，用户使用的终端上安装有用于用户进行授权操作的应用程序，接收单元接收的授权操作可以由用户对终端上安装的应用程序进行操作触发。例如，域主节点发送给用户使用的终端并在所述终端上显示的提示信息可以是域主节点发送给用户使用的终端并在所述终端上显示的推送消息。用户对终端上安装的应用程序进行的操作可以是一键式授权操作。

一种可能的设计中，接收单元102还用于接收家庭网络设备发送的通知消息，该通知消息用于通知存在需要加入域进行配对的家庭网络设备。发送单元101用于依据接收单元102接收到的通知消息，向用户发出所述提示信息。其中，接收单元102接收的通知消息中包括发送通知消息的家庭网络设备的标识。发送单元101发送的指示信息中也包括发送通知消息的家庭网络设备的标识。

本申请实施例中通过通知消息中包括发送通知消息的家庭网络设备的标识，并在指示信息中也包括该发送通知消息的家庭网络设备的标识，可以使该标识对应的家庭网络设备接入家庭网络，防止其它家庭网络设备接入，提高安全性。

进一步的，上述涉及的网络安全准入装置100还可以包括存储单元104。存储单元104用于存储计算机执行指令，处理单元103与存储单元104连接，处理单元103执行存储单元104存储的计算机执行指令，以使网络安全准入装置100执行上述方法实施例中域主节点所执行的网络安全准入方法。

当采用硬件形式实现时，本申请实施例中，发送单元101和接收单元102可以是通信接口、收发器、收发电路等。其中，通信接口是统称，可以包括一个或多个接口。收发电路可以是射频电路。处理单元103可以是处理器或控制器。存储单元104可以是存储器。

当发送单元101和接收单元102是收发器，处理单元103是处理器时，本申请实施例所涉及的网络安全准入装置100可以为图8所示网络安全准入装置，图8所示的网络安全准入装置可以应用于家庭网络设备，该家庭网络设备可以是域主节点。

图8示出了本申请实施例提供的家庭网络设备1000的结构示意图，即示出了网络安全准入装置100另一种可能的结构示意图。参阅图8所示，家庭网络设备1000包括处理器1001、和收发器1002。其中，处理器1001也可以为控制器。所述处理器1001被配置为支持家庭网络设备1000执行图4至图5中涉及的域主节点的功能。收发器1002被配置为支持家庭网络设备1000进行消息的收发功能。所述家庭网络设备1000还可以包括存储器1003，所述存储器1003用于与处理器1001耦合，其保存家庭网络设备1000必要的程序指令和数据。其中，处理器1001、收发器1002和存储器1003相连，该存储器1003用于存储指令，该处理器1001用于执行该存储器1003存储的指令，以控制收发器1002收发信号，完成上述方法中域主节点执行相应功能的步骤。

本申请实施例中，网络安全准入装置100和家庭网络设备1000所涉及的与本申请实施例提供的技术方案相关的概念，解释和详细说明及其他步骤请参见前述方法或其他实施例中关于这些内容的描述，此处不做赘述。

当采用芯片形式实现时，本申请实施例中涉及的网络安全准入装置100可以应用于家庭网络设备内的芯片，所述芯片具有实现上述方法实施例中域主节点执行网络安全准入方法所涉及的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的单元。所述芯片包括：发送单元101、接收单元102和处理单元103。其中，发送单元101、接收单元102可以是所述芯片上的输入/输出接口、管脚或电路等。处理单元103例如可以是处理器。所述芯片还可包括存储单元104。存储单元104例如可以是存储器。所述处理单元103可执行存储单元104存储的计算机执行指令，以使所述芯片执行上述方法实施例中域主节点执行的网络安全准入方法。可选地，所述存储单元104可以是所述芯片内的存储单元(例如，寄存器、缓存等)，所述存储单元104还可以是所述域主节点内的位于所述芯片外部的存储单元(例如，只读存储器(read-onlymemory，rom))或可存储静态信息和指令的其他类型的静态存储设备(例如，随机存取存储器(randomaccessmemory，ram))等。

在采用集成的单元(器、器件)的情况下，图9示出了本申请实施例提供的另一种网络安全准入装置的结构示意图。其中，网络安全准入装置200可以是域主节点，也可以是域主节点内的部件。参阅图9所示，网络安全准入装置200包括接收单元201和发送单元202。其中，接收单元201用于接收用户的授权操作，该授权操作用于指示允许家庭网络设备加入域进行配对操作。发送单元202用于发送域主节点的域名配置信息。接收单元201用于接收家庭网络设备发送的域名配置确认消息，该域名配置确认消息用于指示家庭网络设备将域主节点的域名配置确认消息中包括的域名作为家庭网络设备的域名。

其中，用户的授权操作是根据发送单元202向用户发出的提示信息进行操作的，该提示信息用于提示存在需要加入域进行配对的家庭网络设备。

其中，提示信息在域主节点本地显示或在代理节点处显示，授权操作为用户对域主节点或代理节点的按键操作。例如，在所述域主节点本地显示的提示信息或在代理节点处显示的提示信息为闪灯提示，用户对域主节点或代理节点的操作为按键操作。或者提示信息由所发送单元202发送给用户使用的终端并在所述终端上显示，所述终端上安装有用于用户进行授权操作的应用程序，所述授权操作由用户对所述应用程序进行操作触发。

一种可能的实施方式中，接收单元201还用于接收家庭网络设备发送的通知消息，该通知消息用于通知存在需要配对的家庭网络设备。发送单元202用于根据接收单元201接收的通知消息向用户发出提示信息。其中，家庭网络设备发送的通知消息中包括家庭网络设备的标识。

网络安全准入装置200还可包括处理单元203，其中，处理单元203用于在接收单元201接收家庭网络设备发送的域名配置确认消息之后开启配对窗口。所述发送单元202还用于在配对窗口的有效期内发送指示信息，所述指示信息用于指示允许所述家庭网络设备加入域进行配对。

进一步的，上述涉及的网络安全准入装置200还可以包括存储单元204。存储单元204用于存储计算机执行指令，处理单元203与存储单元204连接，处理单元203执行存储单元204存储的计算机执行指令，以使网络安全准入装置200执行上述方法实施例中域主节点所执行的网络安全准入方法。

当采用硬件形式实现时，本申请实施例中，接收单元201和发送单元202可以是通信接口、收发器、收发电路等。其中，通信接口是统称，可以包括一个或多个接口。收发电路可以是射频电路。处理单元203可以是处理器或控制器。存储单元204可以是存储器。

当接收单元201和发送单元202是收发器，处理单元203是处理器时，本申请实施例所涉及的网络安全准入装置200可以为图10所示网络安全准入装置，图10所示的网络安全准入装置可以应用于家庭网络设备，该家庭网络设备可以是域主节点。

图10示出了本申请实施例提供的家庭网络设备2000的结构示意图，即示出了网络安全准入装置200另一种可能的结构示意图。参阅图10所示，家庭网络设备2000包括处理器2001、和收发器2002。其中，处理器2001也可以为控制器。所述处理器2001被配置为支持家庭网络设备2000执行图6中涉及的域主节点的功能。收发器2002被配置为支持家庭网络设备2000进行消息的收发功能。所述家庭网络设备2000还可以包括存储器2003，所述存储器2003用于与处理器2001耦合，其保存家庭网络设备2000必要的程序指令和数据。其中，处理器2001、收发器2002和存储器2003相连，该存储器2003用于存储指令，该处理器2001用于执行该存储器2003存储的指令，以控制收发器2002收发信号，完成上述方法中域主节点执行相应功能的步骤。

本申请实施例中，网络安全准入装置200和家庭网络设备2000所涉及的与本申请实施例提供的技术方案相关的概念，解释和详细说明及其他步骤请参见前述方法或其他实施例中关于这些内容的描述，此处不做赘述。

当采用芯片形式实现时，本申请实施例中涉及的网络安全准入装置200可以应用于家庭网络设备内的芯片，所述芯片具有实现上述方法实施例中域主节点执行网络安全准入方法所涉及的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的单元。所述芯片包括：接收单元201和发送单元202。其中，接收单元201和发送单元202可以是所述芯片上的输入/输出接口、管脚或电路等。所述芯片还可包括处理单元203和存储单元204。处理单元203例如可以是处理器，存储单元204例如可以是存储器。所述处理单元203可执行存储单元204存储的计算机执行指令，以使所述芯片执行上述方法实施例中域主节点执行的网络安全准入方法。可选地，所述存储单元204可以是所述芯片内的存储单元(例如，寄存器、缓存等)，所述存储单元204还可以是所述域主节点内的位于所述芯片外部的存储单元(例如，只读存储器(read-onlymemory，rom))或可存储静态信息和指令的其他类型的静态存储设备(例如，随机存取存储器(randomaccessmemory，ram))等。

在采用集成的单元(器、器件)的情况下，图11示出了本申请实施例提供的一种网络安全准入装置300的结构示意图。其中，网络安全准入装置300可以是需要加入域进行配对(被允许作为域终端节点加入域)的家庭网络设备，也可以是需要加入域进行配对(被允许作为域终端节点加入域)的家庭网络设备内的部件。参阅图11所示，网络安全准入装置300包括发处理单元301和发送单元302。其中，处理单元301用于确定家庭网络设备需要加入域进行配对。发送单元302用于在处理单元301确定家庭网络设备需要加入域进行配对时，向域主节点发送通知消息，该通知消息用于向域主节点通知存在需要加入域进行配对的家庭网络设备。

其中，处理单元301可在检测到上电，或检测到存在新域时，确定需要加入域进行配对(被允许作为域终端节点加入域)。

可选的，所述网络安全准入装置300还可包括存储单元303，所述存储单元303例如可以是存储器。当所述网络安全准入装置300包括存储单元303时，所述存储单元303用于存储计算机执行指令，所述处理单元301与所述存储单元303连接，所述处理单元301执行所述存储单元303存储的计算机执行指令，以使所述网络安全准入装置300执行上述方法实施例中涉及的需要加入域进行配对的家庭网络设备所执行的网络安全准入方法。

本申请实施例中，处理单元301可以是处理器。发送单元302可以是发射器，发射器中可包括射频电路。存储单元303可以是存储器。

当处理单元301是处理器，发送单元302是发射器，存储单元303是存储器时，本申请实施例所涉及的网络安全准入装置300可以为图12所示网络安全准入装置，图12所示的网络安全准入装置可以应用于家庭网络设备，该家庭网络设备可以是需要加入域进行配对的家庭网络设备。

图12示出了本申请实施例提供的家庭网络设备3000的结构示意图，即示出了网络安全准入装置300另一种可能的结构示意图。参阅图12所示，家庭网络设备3000包括处理器3001、和发射器3002。其中，处理器3001也可以为控制器。所述处理器3001被配置为支持家庭网络设备3000执行图4至图5中涉及的需要加入域进行配对的家庭网络设备的功能。发射器3002被配置为支持家庭网络设备3000进行消息的收发功能。所述家庭网络设备3000还可以包括存储器3003，所述存储器3003用于与处理器3001耦合，其保存家庭网络设备3000必要的程序指令和数据。其中，处理器3001、发射器3002和存储器3003相连，该存储器3003用于存储指令，该处理器3001用于执行该存储器3003存储的指令，以控制发射器3002收发信号，完成上述方法中需要加入域进行配对的家庭网络设备执行相应功能的步骤。

本申请实施例中，网络安全准入装置300和家庭网络设备3000所涉及的与本申请实施例提供的技术方案相关的概念，解释和详细说明及其他步骤请参见前述方法或其他实施例中关于这些内容的描述，此处不做赘述。

当采用芯片形式实现时，本申请实施例中涉及的网络安全准入装置300可以应用于需要加入域进行配对的家庭网络设备内的芯片，所述芯片具有实现上述方法实施例中需要加入域进行配对的家庭网络设备执行网络安全准入方法所涉及的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的单元。所述芯片包括：处理单元301和发送单元302。其中，处理单元301例如可以是处理器，发送单元302可以是所述芯片上的输入/输出接口、管脚或电路等。所述芯片还可包括存储单元303。存储单元303例如可以是存储器。所述处理单元301可执行存储单元303存储的计算机执行指令，以使所述芯片执行上述方法实施例中需要加入域进行配对的家庭网络设备执行的网络安全准入方法。可选地，所述存储单元303可以是所述芯片内的存储单元(例如，寄存器、缓存等)，所述存储单元303还可以是所述需要加入域进行配对的家庭网络设备内的位于所述芯片外部的存储单元(例如，只读存储器(read-onlymemory，rom))或可存储静态信息和指令的其他类型的静态存储设备(例如，随机存取存储器(randomaccessmemory，ram))等。

在采用集成的单元(器、器件)的情况下，图13示出了本申请实施例提供的一种网络安全准入装置400的结构示意图。其中，网络安全准入装置400可以是需要加入域进行配对的家庭网络设备，也可以是需要加入域进行配对的家庭网络设备内的部件。参阅图13所示，网络安全准入装置400包括接收单元401和处理单元402。其中，接收单元401用于接收域主节点发送的域主节点的域名配置信息。处理单元402用于将接收单元401接收到的域主节点的域名配置信息中包括的域名作为需要加入域进行配对(被允许作为域终端节点加入域)的家庭网络设备的域名，并向域主节点发送域名配置确认消息。

其中，处理单元402在检测到上电或者检测到存在新域时，确定需要加入域进行配对(被允许作为域终端节点加入域)。

一种可能的实施方式中，网络安全准入装置400还可包括发送单元403，其中，发送单元403用于在接收单元401接收域主节点发送的域主节点的域名配置信息之前，处理单元402确定需要加入域进行配对(被允许作为域终端节点加入域)时，向域主节点发送通知消息，该通知消息用于向域主节点通知存在需要加入域进行配对(被允许作为域终端节点加入域)的家庭网络设备。

可选的，所述网络安全准入装置400还可包括存储单元404，所述存储单元404例如可以是存储器。当所述网络安全准入装置400包括存储单元404时，所述存储单元404用于存储计算机执行指令，所述处理单元402与所述存储单元404连接，所述处理单元402执行所述存储单元404存储的计算机执行指令，以使所述网络安全准入装置400执行上述方法实施例中涉及的需要加入域进行配对的家庭网络设备所执行的网络安全准入方法。

本申请实施例中，接收单元401可以是接收器、通信接口、接收电路等。处理单元402可以是处理器。发送单元403可以是发射器、通信接口、发射电路等。其中，通信接口是统称，可以包括一个或多个接口。接收电路和发射电路中可包括射频电路。存储单元404可以是存储器。

当接收单元401是接收器，处理单元402是处理器，发送单元403是发射器，存储单元404是存储器时，本申请实施例所涉及的网络安全准入装置400可以为图14所示网络安全准入装置，图14所示的网络安全准入装置可以应用于家庭网络设备，该家庭网络设备可以是需要加入域进行配对的家庭网络设备。

图14示出了本申请实施例提供的家庭网络设备4000的结构示意图，即示出了网络安全准入装置400另一种可能的结构示意图。参阅图14所示，家庭网络设备4000包括处理器4001和接收器4002，还可包括发射器4003。其中，处理器4001也可以为控制器。所述处理器4001被配置为支持家庭网络设备4000执行图6中涉及的需要加入域进行配对的家庭网络设备的功能。接收器4002和发射器4003被配置为支持家庭网络设备4000进行消息的收发功能。所述家庭网络设备4000还可以包括存储器4004，所述存储器4004用于与处理器4001耦合，其保存家庭网络设备4000必要的程序指令和数据。其中，处理器4001、接收器4002、发射器4003和存储器4004相连，该存储器4004用于存储指令，该处理器4001用于执行该存储器4004存储的指令，以控制接收器4002和发射器40032收发信号，完成上述方法中需要加入域进行配对的家庭网络设备执行相应功能的步骤。

本申请实施例中，网络安全准入装置400和家庭网络设备4000所涉及的与本申请实施例提供的技术方案相关的概念，解释和详细说明及其他步骤请参见前述方法或其他实施例中关于这些内容的描述，此处不做赘述。

当采用芯片形式实现时，本申请实施例中涉及的网络安全准入装置400可以应用于需要加入域进行配对的家庭网络设备内的芯片，所述芯片具有实现上述方法实施例中需要加入域进行配对的家庭网络设备执行网络安全准入方法所涉及的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的单元。所述芯片包括：接收单元401和处理单元402。所述芯片还可包括发送单元403，或者也还可包括存储单元404。其中，处理单元402例如可以是处理器，接收单元401和发送单元403可以是所述芯片上的输入/输出接口、管脚或电路等。存储单元404例如可以是存储器。所述处理单元402可执行存储单元404存储的计算机执行指令，以使所述芯片执行上述方法实施例中需要加入域进行配对的家庭网络设备执行的网络安全准入方法。可选地，所述存储单元404可以是所述芯片内的存储单元(例如，寄存器、缓存等)，所述存储单元404还可以是所述需要加入域进行配对的家庭网络设备内的位于所述芯片外部的存储单元(例如，只读存储器(read-onlymemory，rom))或可存储静态信息和指令的其他类型的静态存储设备(例如，随机存取存储器(randomaccessmemory，ram))等。

需要说明的是，本申请实施例上述涉及的处理器可以是中央处理器(centralprocessingunit，cpu)，通用处理器，数字信号处理器(digitalsignalprocessor，dsp)，专用集成电路(application-specificintegratedcircuit，asic)，现场可编程门阵列(fieldprogrammablegatearray，fpga)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框，模块和电路。处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，dsp和微处理器的组合等等。

其中，所述存储器可以集成在所述处理器中，也可以与所述处理器分开设置。

作为一种实现方式，收发器可以包括接收器和发射器。接收器和发射器的功能可以考虑通过收发电路或者收发的专用芯片实现。处理器可以考虑通过专用处理芯片、处理电路、处理器或者通用芯片实现。

作为另一种实现方式，将实现处理器、接收器和发射器功能的程序代码存储在存储器中，通用处理器通过执行存储器中的代码来实现处理器、接收器和发射器的功能。

根据本申请实施例提供的方法，本申请实施例还提供一种家庭网络通信系统，其包括前述的域主节点和一个或多于一个需要加入域进行配对的家庭网络设备。

本申请实施例还提供一种计算机存储介质，该计算机存储介质中存储有一些指令，这些指令被执行时，可以完成上述方法实施例中涉及的网络安全准入方法。

本申请实施例还提供一种计算机程序产品，该计算机程序产品中包括计算机程序，该计算机程序用于执行上述方法实施例中涉及的网络安全准入方法。

本领域内的技术人员应明白，本申请实施例可提供为方法、系统、或计算机程序产品。因此，本申请实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

本申请实施例是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。