[发明专利]控制客户端访问网络设备的方法和网络认证服务器

说明书

技术领域

本发明涉及网络安全领域，尤其涉及一种控制客户端访问网络设备的方法和网络认证服务器。

背景技术

ITU(International Telecommunication Union，国际电信联盟)中提出的家庭网络的一般模型的结构示意图如图1所示。根据各个实体所处位置及作用的不同，图1所示的家庭网络的模型的可以分为7种，分别为：远程用户、远程终端、应用程序服务器、安全家庭网关、家庭应用程序服务器、家庭用户和家庭设备。其中家庭设备根据功能不同又被划分如下的A、B、C三类设备。

A类设备：具有控制功能；例如：电脑、机顶盒

B类设备：具有桥接功能；例如：交换机(switch)、集线器(hub)

C类设备：为其它家庭设备提供特定服务；例如：数字电视、冰箱。该C类设备没有通信接口直接连接到家庭网络，而是通过B类设备连接到家庭网络。

图1所示的家庭网络的模型中有12种关系，分别在：远程用户和远程终端、远程终端和安全家庭网关、远程终端和家庭应用程序服务器、远程终端和家庭设备、应用程序服务器和安全家庭网关、应用程序服务器和家庭应用程序服务器、应用程序服务器和家庭设备、安全家庭网关和家庭设备、家庭应用程序服务器和家庭设备、家庭设备和家庭用户、家庭设备和其他家庭设备、安全家庭网关和家庭应用程序服务器之间。这些实体及它们之间的相互关系就构成了整个家庭网络的一般模型。

在家庭网络中需要建立信息安全体系，该信息安全体系的目的是保证家庭网络系统中的数据只能被有权限的用户访问，未经授权的用户无法访问数据，因此，需要对用户进行有效的身份认证。如果没有有效的用户身份认证手段，访问者的身份就很容易被伪造，使得任何安全防范体系都形同虚设。

上述用户身份认证是指计算机及网络系统确认操作者身份的过程。计算机和计算机网络组成了一个虚拟的数字世界，在该数字世界中，用户的身份信息等所有信息都是由一组特定的数据来表示，计算机及网络系统只能识别用户的数字身份，计算机及网络系统给用户的授权也是针对用户数字身份而进行的。而我们生活的现实世界是一个真实的物理世界，每个人都拥有独一无二的物理身份。如何保证以数字身份进行操作的访问者就是这个数字身份的合法拥有者，即如何保证操作者的物理身份与数字身份相对应，就成为了一个重要的安全问题。用户身份认证技术的诞生就是为了解决这个安全问题。

目前，在家庭网络中进行用户身份认证的方式包括如下几种：

1、用户名/密码方式。

用户名/密码方式是最简单也是最常用的用户身份认证方法，该方式中的用户名/密码非常容易被破解，因此，该方式是一种是极不安全的用户身份认证方式。

2、IC卡认证方式。

IC卡由合法用户随身携带，该合法用户登录家庭网络时，必须将其携带的IC卡插入专用的读卡器读取其中的信息，以验证该合法用户的身份，通过IC卡硬件的不可复制性来保证用户身份不会被仿冒。然而，由于每次从IC卡中读取的数据是静态的，通过内存扫描或网络监听等技术还是很容易截取到IC卡中存储的用户的身份验证信息，因此，该方式还是存在安全隐患。

3、动态口令认证方式。

动态口令技术是一种让用户密码按照时间或使用次数不断变化、每个密码只能使用一次的技术。动态口令技术采用一次一密的方法，有效保证了用户身份的安全性。但是，如果家庭网络的客户端与服务器端的时间或次数不能保持良好的同步，就可能发生合法用户无法登录的问题。并且用户每次登录时需要通过键盘输入一长串无规律的密码，一旦输错就要重新操作，使用起来非常不方便，从而有可能造成新的安全漏洞。

在用户访问网络设备时，服务器要对用户的身份进行认证，要保证网络安全，认证必须严格复杂。现有技术中，如果用户访问了网络中的一台网络设备之后，又要访问另外的网络设备，为保证安全，服务器需要根据网络设备发出的对用户进行认证的请求，对用户重复进行一次严格复杂的认证，用户操作及服务器的控制都比较复杂。

发明内容

本发明实施例的目的是提供一种控制客户端访问网络设备的方法和网络认证服务器，从而可以有效而方便地控制用户的终端对网络中的设备的访问。

本发明实施例的目的是通过以下技术方案实现的：

一种控制客户端访问网络设备的方法，包括步骤：

A、网络中的认证服务器通过用户的客户端对用户进行身份认证，身份认证通过后，所述认证服务器给所述用户的客户端分配认证信息，该认证信息包括临时ID和相应的有效期；