本發明公開了一種聯網終端安全域建立的方法及系統，包括：第一安全域中的第一終端節點與第二安全域中的第二終端節點進行新域配置協商。在完成新域配置協商后，第一終端節點和第二終端節點分別向各自所在的安全域中的其它終端節點發送域配置更新指令。第一安全域和第二安全域中的其它終端節點完成配置更新，使全部終端節點都加入新的安全域中。通過本發明的方法及系統，組網節點能夠通過非加密通道完成與外來域的域配置協商，通過加密通道偵聽并完成當前域的域配置更新，將兩個不同域中的所有節點同時劃分到一個新的安全域中，新建域的操作簡便、靈活，并且能夠減少終端節點的信令交互開銷，減少出錯率，使建立安全域的過程高效、安全、可靠。

技術領域

本發明涉及寬帶通信技術領域，尤其涉及一種聯網終端安全域建立的方法及系統。

背景技術

隨著信息技術的發展，家庭寬帶的帶寬越來越高。很多寬帶用戶家庭的布線并不充分，成為電信業務部署的瓶頸。為提高電信業務在用戶家庭的覆蓋能力，基于新型家庭聯網終端的家庭組網技術將被廣泛使用。安全域是指同一系統內有相同的安全保護需求，相互信任，并具有相同的安全訪問控制和邊界控制策略的子網或網絡。安全域劃分是保證網絡及基礎設施穩定正常的基礎，也是保障業務信息安全的基礎。安全域設計方法采用同構性簡化方法，基本思路是認為一個復雜的網絡應當是由一些相通的網絡結構元所組成，這些網絡結構元以拼接、遞歸等方式構造出一個大的網絡。

目前，安全域是聯網終端子網劃分的手段，不同安全域內的終端采用不同的加密密鑰以確保數據安全。隨著聯網終端應用的普及，很多場景需要用戶在已有的2個安全域基礎上建立新的安全域。但是，現有的技術方案需要用戶終端依次操作原有安全域中的每個節點，建立安全域的過程比較復雜，并且當安全域中的終端發生變化時操作也很復雜。

發明內容

有鑒于此，本發明要解決的一個技術問題是提供一種聯網終端安全域建立的方法，能夠將不同域中的所有節點同時劃分到一個新的安全域中。

一種聯網終端安全域建立的方法，包括：第一安全域中的第一終端節點與第二安全域中的第二終端節點進行新域配置協商；在完成新域配置協商后，所述第一終端節點和所述第二終端節點分別向各自所在的安全域中的其它終端節點發送域配置更新指令；所述第一安全域和所述第二安全域中的其它終端節點完成配置更新，使所述第一安全域和所述第二安全域中的全部終端節點都加入新的安全域中。

根據本發明的一個實施例，進一步的，所述第一終端節點與所述第二終端節點通過非加密通道進行新域配置協商；所述第一安全域和所述第二安全域中的其它終端節點偵聽本域中節點在加密通道上發送的域配置更新指令；所述第一終端節點與所述第二終端節點通過加密通道分別向各自所在的安全域中的其它終端節點發送域配置更新指令。

根據本發明的一個實施例，進一步的，所述加密通道采用的加密算法包括：DES、AES、RSA；所述域配置更新指令包括：新域名稱、新域ID、密鑰。

根據本發明的一個實施例，進一步的，當所述第一終端節點和所述第二終端節點接收到用戶發送的域建立指令時，所述第一終端節點和所述第二終端節點分別開啟時間窗，并發布域配置廣播；在所述時間窗內，所述第一終端節點和所述第二終端節點在所述非加密通道偵聽來自本身所在安全域外的消息。

根據本發明的一個實施例，進一步的，所述域配置廣播采用的報文包括：HTTP、SOAP、二進制數據報文；所述域配置廣播中攜帶的信息包括：收到域建立指令、開放注冊狀態、超時時間。

根據本發明的一個實施例，進一步的，當所述第一終端節點在所述非加密通道上接收到所述第二終端節點發送所述域配置廣播時，通過所述非加密通道向所述第二終端節點發送域配置協商指令；所述第二終端節點通過所述非加密通道向所述第一終端節點返回域配置協商確認指令；所述第一終端節點通過所述非加密通道向所述第二終端節點發送新域配置消息；所述第二終端節點通過所述非加密通道返回新域配置確認消息，所述第一終端節點和所述第二終端節點完成新域的配置。