一种联网终端安全域建立的方法及系统技术方案

本发明专利技术公开了一种联网终端安全域建立的方法及系统，包括：第一安全域中的第一终端节点与第二安全域中的第二终端节点进行新域配置协商。在完成新域配置协商后，第一终端节点和第二终端节点分别向各自所在的安全域中的其它终端节点发送域配置更新指令。第一安全域和第二安全域中的其它终端节点完成配置更新，使全部终端节点都加入新的安全域中。通过本发明专利技术的方法及系统，组网节点能够通过非加密通道完成与外来域的域配置协商，通过加密通道侦听并完成当前域的域配置更新，将两个不同域中的所有节点同时划分到一个新的安全域中，新建域的操作简便、灵活，并且能够减少终端节点的信令交互开销，减少出错率，使建立安全域的过程高效、安全、可靠。

【技术实现步骤摘要】

本专利技术涉及宽带通信
，尤其涉及一种联网终端安全域建立的方法及系统。
技术介绍
随着信息技术的发展，家庭宽带的带宽越来越高。很多宽带用户家庭的布线并不充分，成为电信业务部署的瓶颈。为提高电信业务在用户家庭的覆盖能力，基于新型家庭联网终端的家庭组网技术将被广泛使用。安全域是指同一系统内有相同的安全保护需求，相互信任，并具有相同的安全访问控制和边界控制策略的子网或网络。安全域划分是保证网络及基础设施稳定正常的基础，也是保障业务信息安全的基础。安全域设计方法采用同构性简化方法，基本思路是认为一个复杂的网络应当是由一些相通的网络结构元所组成，这些网络结构元以拼接、递归等方式构造出一个大的网络。目前，安全域是联网终端子网划分的手段，不同安全域内的终端采用不同的加密密钥以确保数据安全。随着联网终端应用的普及，很多场景需要用户在已有的2个安全域基础上建立新的安全域。但是，现有的技术方案需要用户终端依次操作原有安全域中的每个节点，建立安全域的过程比较复杂，并且当安全域中的终端发生变化时操作也很复杂。
技术实现思路
有鉴于此，本专利技术要解决的一个技术问题是提供一种联网终端安全域建立的方法，能够将不同域中的所有节点同时划分到一个新的安全域中。一种联网终端安全域建立的方法，包括:第一安全域中的第一终端节点与第二安全域中的第二终端节点进行新域配置协商；在完成新域配置协商后，所述第一终端节点和所述第二终端节点分别向各自所在的安全域中的其它终端节点发送域配置更新指令；所述第一安全域和所述第二安全域中的其它终端节点完成配置更新，使所述第一安全域和所述第二安全域中的全部终端节点都加入新的安全域中。根据本专利技术的一个实施例，进一步的，所述第一终端节点与所述第二终端节点通过非加密通道进行新域配置协商；所述第一安全域和所述第二安全域中的其它终端节点侦听本域中节点在加密通道上发送的域配置更新指令；所述第一终端节点与所述第二终端节点通过加密通道分别向各自所在的安全域中的其它终端节点发送域配置更新指令。根据本专利技术的一个实施例，进一步的，所述加密通道采用的加密算法包括:DES、AES、RSA ;所述域配置更新指令包括:新域名称、新域ID、密钥。根据本专利技术的一个实施例，进一步的，当所述第一终端节点和所述第二终端节点接收到用户发送的域建立指令时，所述第一终端节点和所述第二终端节点分别开启时间窗，并发布域配置广播；在所述时间窗内，所述第一终端节点和所述第二终端节点在所述非加密通道侦听来自本身所在安全域外的消息。根据本专利技术的一个实施例，进一步的，所述域配置广播采用的报文包括:HTTP、SOAP、二进制数据报文；所述域配置广播中携带的信息包括:收到域建立指令、开放注册状态、超时时间。根据本专利技术的一个实施例，进一步的，当所述第一终端节点在所述非加密通道上接收到所述第二终端节点发送所述域配置广播时，通过所述非加密通道向所述第二终端节点发送域配置协商指令；所述第二终端节点通过所述非加密通道向所述第一终端节点返回域配置协商确认指令；所述第一终端节点通过所述非加密通道向所述第二终端节点发送新域配置消息；所述第二终端节点通过所述非加密通道返回新域配置确认消息，所述第一终端节点和所述第二终端节点完成新域的配置。根据本专利技术的一个实施例，进一步的，所述域配置协商指令和所述域配置协商确认指令采用的报文包括:HTTP、SOAP、二进制数据报文。本专利技术要解决的一个技术问题是提供一种联网终端安全域建立的系统，能够将不同域中的所有节点同时划分到一个新的安全域中。一种联网终端安全域建立的系统，包括:第一安全域、属于所述第一安全域的多个终端节点、第二安全域、属于所述第二安全域的多个终端节点；第一安全域中的第一终端节点与第二安全域中的第二终端节点进行新域配置协商；在完成新域配置协商后，所述第一终端节点和所述第二终端节点分别向各自所在的安全域中的其它终端节点发送域配置更新指令；所述第一安全域和所述第二安全域中的其它终端节点完成配置更新，使所述第一安全域和所述第二安全域中的全部终端节点都加入新的安全域中。根据本专利技术的一个实施例，进一步的，所述第一终端节点与所述第二终端节点通过非加密通道进行新域配置协商；所述第一安全域和所述第二安全域中的其它终端节点侦听本域中节点在加密通道上发送的域配置更新指令；所述第一终端节点与所述第二终端节点通过加密通道分别向各自所在的安全域中的其它终端节点发送域配置更新指令。根据本专利技术的一个实施例，进一步的，所述加密通道采用的加密算法包括:DES、AES、RSA ;所述域配置更新指令包括:新域名称、新域ID、密钥。根据本专利技术的一个实施例，进一步的，当所述第一终端节点和所述第二终端节点接收到用户发送的域建立指令时，所述第一终端节点和所述第二终端节点分别开启时间窗，并发布域配置广播；在所述时间窗内，所述第一终端节点和所述第二终端节点在所述非加密通道侦听来自本身所在安全域外的消息。根据本专利技术的一个实施例，进一步的，当所述第一终端节点在所述非加密通道上接收到所述第二终端节点发送所述域配置广播时，通过所述非加密通道向所述第二终端节点发送域配置协商指令；所述第二终端节点通过所述非加密通道向所述第一终端节点返回域配置协商确认指令；所述第一终端节点通过所述非加密通道向所述第二终端节点发送新域配置消息；所述第二终端节点通过所述非加密通道返回新域配置确认消息，所述第一终端节点和所述第二终端节点完成新域的配置。本专利技术的联网终端安全域建立的方法及系统，组网节点通过非加密通道完成与外来域的域配置协商，通过加密通道侦听并完成当前域的域配置更新，将两个不同域中的所有节点同时划分到一个新的安全域中，新建域的操作简便、灵活，并且能够减少终端节点的信令交互开销，减少出错率，使建立安全域的过程高效、安全、可靠。【附图说明】为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其它的附图。图1为根据本专利技术的联网终端安全域建立的方法的一个实施例的流程图；图2为根据本专利技术的联网终端安全域建立的方法的另一个实施例的信息交互流程TJK意图；图3为根据本专利技术的终端节点调整后休眠和工作时长分布示意图；图4为根据本专利技术的联网终端安全域建立的系统的一个实施例的示意图。【具体实施方式】下面参照附图对本专利技术进行更全面的描述，其中说明本专利技术的示例性实施例。下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是当前第1页1 2 3 本文档来自技高网...

【技术保护点】
一种联网终端安全域建立的方法，其特征在于，包括：第一安全域中的第一终端节点与第二安全域中的第二终端节点进行新域配置协商；在完成新域配置协商后，所述第一终端节点和所述第二终端节点分别向各自所在的安全域中的其它终端节点发送域配置更新指令；所述第一安全域和所述第二安全域中的其它终端节点完成配置更新，使所述第一安全域和所述第二安全域中的全部终端节点都加入新的安全域中。

【技术特征摘要】

【专利技术属性】
技术研发人员：马智勇，
申请(专利权)人：中国电信股份有限公司，
类型：发明
国别省市：北京;11