窄带物联网控制方法、装置及设备与流程

1.本公开涉及移动通信技术领域，具体而言，涉及一种窄带物联网控制方法、装置及设备。


背景技术：

2.随着物联网技术与互联网经济的发展，新的应用场景致使网络边界模糊、增加新的暴露面，安全风险不容忽视。
3.其中，由于窄带物联网(narrow band internet of things,简称nb-iot)接入终端数量庞大，终端复杂性和异构性突出，导致安全防护策略覆盖困难，普遍存在身份认证授权机制弱、终端不可信等安全威胁，基于传统边界安全解决方案难以应对，而引入复杂的身份认证和接入控制机制又会对网络和终端性能带来影响。


技术实现要素：

4.本公开提供了一种窄带物联网控制方法、装置及设备，以提高窄带物联网业务交互的安全性。
5.根据本公开实施例的第一方面，提供了一种窄带物联网控制方法，应用于窄带物联网的用户设备，方法包括：根据控制面传输路径向控制设备发送第一单包授权数据；其中，第一单包授权数据中携带有用户设备的身份信息，以使控制设备根据身份信息进行用户设备的身份认证，在用户设备的身份认证通过后向用户设备发送资源访问信息；根据资源访问信息生成服务器连接请求，并将控制面传输路径切换为用户面传输路径；根据用户面传输路径向目标网关发送服务器连接请求，以使目标网关根据服务器连接请求，建立用户设备与服务器连接请求对应的服务器之间的会话连接。
6.在一些实施例中，基于前述方案，资源访问信息包括用户设备可访问的服务器信息以及网关信息，用户设备可访问的服务器信息用于生成服务器连接请求，根据用户面传输路径向目标网关发送服务器连接请求，包括：根据用户设备可访问的网关信息选择目标网关；向目标网关发送服务器连接请求。
7.在一些实施例中，基于前述方案，向目标网关发送服务器连接请求之前，还包括：向目标网关发送第二单包授权数据；其中，第二单包授权数据中携带有用户设备的身份信息，以使目标网关根据身份信息进行用户设备的身份认证。
8.根据本公开实施例的第二方面，提供了一种窄带物联网控制方法，应用于窄带物联网的控制设备，方法包括：获取用户设备根据控制面传输路径发送的第一单包授权数据；其中，第一单包授权数据中携带有用户设备的身份信息；根据第一单包授权数据中用户设备的身份信息，对用户设备进行身份认证；若用户设备的身份认证通过，则向用户设备发送资源访问信息，以使用户设备根据资源访问信息生成服务器连接请求，并将控制面传输路径切换为用户面传输路径，根据用户面传输路径向目标网关发送服务器连接请求，以使目标网关根据服务器连接请求，建立用户设备与服务器连接请求对应的服务器之间的会话连
接。
9.在一些实施例中，基于前述方案，若用户设备的身份认证通过，则向用户设备发送资源访问信息，包括：根据用户设备的安全等级，获取用户设备可访问的服务器信息以及网关信息；根据用户设备可访问的服务器信息以及网关信息，生成资源访问信息；接收用户设备发送的双向连接建立请求，响应双向连接建立请求向用户设备发送资源访问信息。
10.在一些实施例中，基于前述方案，根据第一单包授权数据中用户设备的身份信息，对用户设备进行身份认证，包括：根据预设密钥对第一单包授权数据进行解密，得到用户设备的身份信息；根据预设的身份信息库判断用户设备的身份信息是否正确，得到身份认证结果。
11.在一些实施例中，基于前述方案，方法还包括：若用户设备的身份认证通过，则根据用户设备对应的资源访问信息，生成预连接指令；向网关发送预连接指令，以使网关根据预连接指令生成访问控制规则；其中，访问控制规则用于对用户设备发送的服务器连接请求进行验证，并根据验证结果执行对应的控制策略。
12.根据本公开实施例的第三方面，提供了一种窄带物联网控制装置，配置于窄带物联网的用户设备，装置包括：认证请求发送模块，用于根据控制面传输路径向控制设备发送第一单包授权数据；其中，第一单包授权数据中携带有用户设备的身份信息，以使控制设备根据身份信息进行用户设备的身份认证，在用户设备的身份认证通过后向用户设备发送资源访问信息；处理模块，用于根据资源访问信息生成服务器连接请求，并将控制面传输路径切换为用户面传输路径；连接模块，用于根据用户面传输路径向目标网关发送服务器连接请求，以使目标网关根据服务器连接请求，建立用户设备与服务器连接请求对应的服务器之间的会话连接。
13.根据本公开实施例的第四方面，提供了一种窄带物联网控制装置，配置于窄带物联网的控制设备，装置包括：认证请求获取模块，用于获取用户设备根据控制面传输路径发送的第一单包授权数据；其中，第一单包授权数据中携带有用户设备的身份信息；认证模块，用于根据第一单包授权数据中用户设备的身份信息，对用户设备进行身份认证；资源信息发送模块，用于若用户设备的身份认证通过，则向用户设备发送资源访问信息，以使用户设备根据资源访问信息生成服务器连接请求，并将控制面传输路径切换为用户面传输路径，根据用户面传输路径向目标网关发送服务器连接请求，以使目标网关根据服务器连接请求，建立用户设备与服务器连接请求对应的服务器之间的会话连接。
14.根据本公开实施例的第五方面，提供了一种设备，包括：存储器以及处理器；存储器用于存储计算机可执行的程序；处理器用于调用计算机可执行的程序以实现如第一方面的窄带物联网控制方法，或者实现如第二方面的窄带物联网控制方法。
15.根据本公开实施例的第六方面，提供一种计算机存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现上述任意一项的窄带物联网控制方法。
16.根据本公开实施例的第七方面，提供了一种计算机程序产品，该计算机程序产品包括计算机指令，该计算机指令被处理器执行时实现上述任意一项的窄带物联网控制方法。
17.本公开的示例性实施例具有以下有益效果：
18.根据本示例实施例中的窄带物联网控制方法，用户设备通过根据控制面传输路径
向控制设备发送第一单包授权数据；控制设备根据第一单包授权数据进行用户设备的身份认证，在用户设备的身份认证通过后向用户设备发送资源访问信息；用户设备根据资源访问信息生成服务器连接请求，并将控制面传输路径切换为用户面传输路径，以根据用户面传输路径向目标网关发送服务器连接请求；目标网关根据服务器连接请求，建立用户设备与服务器连接请求对应的服务器之间的会话连接。由于软件定义边界中用户设备每次访问资源均需要控制设备对用户设备进行鉴权，导致用户设备与控制设备交互频繁，因此为了减少用户设备在接入过程中的空口交互次数，将软件定义边界中用户设备与控制设备之间的鉴权信令交互通过控制面传输路径传输，用户设备与目标网关之间的业务数据交互通过用户面传输路径传输。同时，通过软件定义边界对控制设备以及目标网关进行安全保护，避免因为引入复杂的身份认证和接入控制机制对网络和终端性能带来影响。
附图说明
19.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术者来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。在附图中：
20.图1示出本公开实施例中一种系统结构的示意图；
21.图2示出本公开实施例中用户设备的窄带物联网控制方法的流程图；
22.图3示出本公开实施例中控制设备的窄带物联网控制方法的流程图；
23.图4示出本公开实施例中窄带物联网控制方法的流程图的时序图；
24.图5示出本公开实施例中一种会话连接装置的结构示意图；
25.图6示出本公开实施例中另一种会话连接装置的结构示意图；
26.图7示出本公开实施例中一种设备的结构示意图。
具体实施方式
27.这里将详细地对示例性实施例执行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本技术相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本技术的一些方面相一致的装置和方法的例子。
28.附图中所示的方框图仅仅是功能实体，不一定必须与物理上独立的实体相对应。即，可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
29.附图中所示的流程图仅是示例性说明，不是必须包括所有的内容和操作/步骤，也不是必须按所描述的顺序执行。例如，有的操作/步骤还可以分解，而有的操作/步骤可以合并或部分合并，因此实际执行的顺序有可能根据实际情况改变。
30.还需要说明的是：在本技术中提及的“多个”是指两个或者两个以上。“和/或”描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
31.下面结合附图，对本公开的一些实施方式作详细说明，在不冲突的情况下，下述的
实施例及实施例中的特征可以相互组合。
32.请参阅图1，图1示出了本示例性实施例的运行环境的一种系统结构示意图。如图1所示，该系统可以包括用户设备(user equipment，简称ue)、控制设备、网关以及网络连接系统。用户设备与控制设备以及网关之间通过网络连接系统通信连接，通信连接可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。
33.用户设备即为请求与服务器建立会话连接的请求方设备，用于向控制设备发送身份认证信息以进行身份认证，以及在身份认证通过后向网关发送与服务器进行连接的请求信息，以通过网关与服务器进行数据交互。其中，用户设备指的是支持nb-iot的设备。
34.控制设备用于提供用户设备和网关之间的权限控制，利用软件定义边界(software defined perimeter，简称sdp)对用户设备进行验证和授权、向用户设备发送可以访问的服务器信息以及网关信息，通知网关接受指定控制设备的通信请求等。
35.单数据包授权技术(single packet authorization，简称spa)是sdp框架中极为重要的一项技术，是指在网络会话建立之前，网络连接的响应方通过网路连接的请求方发送的数据包，对请求方进行鉴别以及授权。spa技术的核心是一套安全协议，由请求方设备上安装的客户端和响应方设备上安装的服务端交互完成。服务端在默认状态下不响应任何访问数据包，但会持续检查所有接收到的数据包的内容。当检测到由合法的客户端构造并发送的合法数据包时，服务端根据数据包内的请求信息，临时开放特定的连接方式，允许特定的客户端与服务端建立有效的会话。会话建立后服务端恢复至默认状态，仍然不响应任何访问数据包，已建立的会话则不受影响，供请求方持续使用访问所需的网络资源。
36.网关用于接收控制设备发送的指令，与指定用户设备建立通信，判断用户设备是否可以与该用户设备请求访问的服务器进行通信。
37.网络连接系统包括基站(evolved node b，简称enb)、业务网关(serving gateway，简称sgw)、分组数据网网关(pdn gateway，简称pgw)以及移动性管理网元(mobility management entity，简称mme)。
38.其中，网络连接系统包括控制面传输路径以及用户面传输路径，控制面传输路径为基站至移动性管理网元至业务网关至分组数据网网关；用户面传输路径为基站至业务网关至分组数据网网关。
39.在本公开示例性实施例中，用户设备通过网络连接系统的控制面传输路径与控制设备进行信令交互，用户设备通过网络连接系统的用户面传输路径与网关进行信令交互。
40.基站是无线接入网的网元，负责空中接口相关的所有功能，例如，用于ip头压缩及用户数据流加密、ue附着时的mme选择、寻呼信息的调度传输、广播信息的调度传输以及设置和提供enb的测量等。业务网关以及分组数据网网关的功能包括但不限于：数据的路由和传输，以及用户数据流加密等。移动性管理网元是通信协议(例如3gpp协议)中长期演进(long term evolution，简称lte)网络的关键控制节点，其用于负责空闲状态的用户设备的定位和寻呼过程、连接状态的用户设备的非接入层信令(non access stratum，简称nas)的传输以及承载(bearer)的管理等。
41.应该理解，图1中的用户设备、控制设备、网关以及网络连接系统的种类和数目仅仅是示意性的，根据实现需要，可以具有任意种类和数目的用户设备、控制设备、网关以及网络连接系统。
42.nb-iot具备低功耗、低成本、海量连接、增强覆盖等特点，适用于小数据量，对时延不敏感的物联网业务。随着物联网技术与互联网经济的发展，新的应用场景致使网络边界模糊、增加新的暴露面，安全风险不容忽视。且由于nb-iot接入终端数量庞大，终端复杂性和异构性突出，导致安全防护策略覆盖困难，nb-iot存在身份认证授权机制弱、终端不可信等安全威胁，而基于传统边界安全解决方案难以应对，引入复杂的身份认证和接入控制机制又会对网络和终端性能带来影响。基于此，本公开示例性实施例提供一种窄带物联网控制方法。
43.请参阅图2，图2为本公开实施例中窄带物联网控制方法的流程图，下面结合图2，以窄带物联网的用户设备为执行主体，对本公开示例性实施例中的窄带物联网控制方法进行说明。
44.步骤s210、根据控制面传输路径向控制设备发送第一单包授权数据；其中，第一单包授权数据中携带有用户设备的身份信息，以使控制设备根据身份信息进行用户设备的身份认证，在用户设备的身份认证通过后向用户设备发送资源访问信息。
45.资源访问信息指的是用户设备对应的可以访问的资源信息，资源信息包括但不限于该用户设备可以访问的服务器信息、网关信息等。
46.其中，第一单包授权数据包含有用户设备的身份信息，如用户设备的局域网地址、终端标识、用户名称、用户密码等信息。用户设备对身份信息进行加密或进行散列函数处理后，生成第一单包授权数据后，通过控制面传输路径向控制设备发送第一单包授权数据，控制设备根据接收到的第一单包授权数据对用户设备进行身份认证。
47.可以理解的是，第一单包授权数据还可以包含进行加密或进行散列函数处理的其它数据项，如请求的端口信息、认证随机数等，第一单包授权数据中包含的具体数据项可以根据实际情况进行灵活设置，本公开实施例对此不作限制。
48.示例性地，用户设备在发送数据包之前，可以获取发送的数据包的类型信息，以获取该数据包的类型信息匹配的传输路径。例如，若数据包对应的类型为控制信息类，则选择控制面传输路径进行数据包的传输；若数据包对应的类型为业务数据类，则选择用户面传输路径进行数据包的传输。可以理解的是，控制面传输路径用于传输小容量数据，用户面传输路径用于传输大容量数据。
49.例如，用户设备检测到需要发送第一单包授权数据时，则与基站建立通信连接(如无线资源控制(radio resource control，简称rrc)连接)，并根据控制面传输路径将第一单包授权数据传递给控制设备。其中，可以是将第一单包授权数据封装并加密为网络附属存储(network attached storage，简称nas)信息，以通过nas信息将第一单包授权数据发送给基站，基站通过s1-ap(s1 application protocol)协议向mme转发控制面业务请求，使得用户设备向控制设备发送第一单包授权数据的数据传输路径采用控制面传输路径。然后，mme通过sgw以及pgw将第一单包授权数据发送给控制设备。
50.进一步地，控制设备根据接收到的第一单包授权数据对用户设备进行身份信息验证，以在身份信息验证通过后查询该用户设备对应的资源访问信息，进而向用户设备发送资源访问信息。
51.示例性地，控制设备根据预设密钥对接收到的第一单包授权数据进行解密和分析，如无法解包，或解封后数据包类型有误，则丢弃，如解包后正常，再进一步分析其中的数
据信息，以检验该第一单包授权数据携带的用户设备的身份信息是否有误，得到身份认证结果。例如，控制设备存储有可连接的用户设备的身份信息库，控制设备可以对接收到的第一单包授权数据进行分析，如果第一单包授权数据对应的用户设备不存在于身份信息库中，则该用户设备不可连接，对应的身份认证结果为不通过；如果第一单包授权数据对应的用户设备存在于身份信息库中，则该用户设备可连接，对应的身份认证结果为通过。
52.可以理解的是，也可以通过与控制设备通信连接的第三方身份认证平台对第一单包授权数据进行分析，以对该用户设备进行身份认证。
53.其中，用户设备在向控制设备发送第一单包授权数据后，向控制设备再次发送双向连接建立请求，并监测是否接收到该控制设备针对双向连接建立请求的响应信息。若用户设备在预设时间内接收到控制设备针对双向连接建立请求的响应信息，则用户设备与控制设备建立通信连接成功，获取控制设备发送的资源访问信息；若用户设备在预设时间内没有接收到控制设备针对双向连接建立请求的响应信息，则用户设备与控制设备建立通信连接失败。
54.示例性地，若用户设备与控制设备采用超文本传输协议(hypertext transfer protocol，简称http)进行应用层通信，则用户设备与控制设备建立相互传输层安全性协议(mutual transport layer security，简称mtls)连接。若用户设备与控制设备采用受限应用协议(constrained application protocol，简称coap)进行应用层通信，则用户设备与控制设备建立数据包传输层安全性协议(datagram transport layer security，简称dtls)连接。
55.可以理解的是，控制设备只有在用户设备进行身份认证的结果为通过后，才会对用户设备发送的双向连接建立请求进行操作，以使控制设备对不可信的设备进行隐身，进而提高连接的安全性。
56.步骤s220、根据资源访问信息生成服务器连接请求，并将控制面传输路径切换为用户面传输路径。
57.服务器连接请求用于请求与指定的应用服务器进行通信连接，即请求与指定应用服务器进行业务数据的传输，因此，需要将控制面传输路径切换为用户面传输路径，以通过用户面传输路径传输业务数据。
58.在一些实施方式中，用户设备根据需要请求的业务类型以及资源访问信息生成服务器连接请求。例如，可以根据用户设备内安装的应用或系统生成的业务请求，以根据业务请求获取用户设备需要请求的业务类型。例如，当用户设备中安装的应用a需要访问服务器a时，则应用a生成对应的业务请求，使用户设备根据该业务请求以及资源访问信息生成服务器连接请求，以请求访问服务器a。其中，该服务器连接请求可以包括请求服务器a的地址信息、应用标识、请求内容、用户设备身份信息等数据。
59.在一些实施方式中，用户设备在进行服务器连接请求发送之前，需要将控制面传输路径切换为用户面传输路径。示例性地，可以是用户设备生成路径切换指令，将路径切换指令发送给基站，以使基站根据路径切换指令执行路径切换操作，以将后续接收到的用户设备的数据通过用户面传输路径进行传输。
60.步骤s230、根据用户面传输路径向目标网关发送服务器连接请求，以使目标网关根据服务器连接请求，建立用户设备与服务器连接请求对应的服务器之间的会话连接。
61.服务器连接请求用于请求目标网关开放指定服务器与用户设备之间的连接，以使服务器与用户设备之间进行业务数据的传输。
62.示例性地，目标网关中对应设置有访问控制规则，访问控制规则用于对用户设备发送的服务器连接请求进行验证，并根据验证结果执行对应的控制策略。其中，控制设备可以向目标网关发送预连接指令，预连接指令用于表示通过身份认证的用户设备的设备信息以及资源访问信息，目标网关根据预连接指令修改访问控制规则，以通过修改后的访问控制规则对用户设备发送的服务器连接请求进行验证和控制。
63.访问控制规则用于验证用户设备发送的服务器连接请求中访问的资源是否合法，并根据验证结果执行对应的控制策略。示例性地，访问控制规则包括验证规则以及访问规则，验证规则用于对接收的请求信息中的各个数据进行判断，如对请求信息中的网络类型、协议类型、源ip地址、目的ip地址、源端口信息以及目的端口信息等进行判断，进而得到判断结果；访问规则用于根据上述的判断结果，执行判断结果对应的访问策略，如允许访问、拒绝访问以及丢弃用户设备发送的服务器连接请求等。通过访问控制规则可以保障数据资源在合法范围内得到有效使用和管理。
64.目标网关对用户设备发送的服务器连接请求验证通过后，则允许该用户设备与该服务器连接请求对应的服务器之间建立会话连接。
65.在一些实施方式中，资源访问信息包括用户设备可访问的服务器信息以及网关信息，用户设备可访问的服务器信息用于生成服务器连接请求，根据用户面传输路径向目标网关发送服务器连接请求，包括：根据用户设备可访问的网关信息选择目标网关；向目标网关发送服务器连接请求。
66.资源访问信息可以包括用户设备可访问的服务器信息以及网关信息，用户设备可访问的服务器信息表示的是该用户设备当前可以连接的服务器，用户设备可访问的网关信息表示的是该用户设备当前可以连接的网关。
67.用户设备根据可访问的服务器信息生成服务器连接请求，以及根据可访问的网关信息对该用户设备当前可以连接的网关进行选择，得到目标网关。然后向该目标网关发送服务器连接请求。
68.在一些实施方式中，向目标网关发送服务器连接请求之前，还包括：向目标网关发送第二单包授权数据；其中，第二单包授权数据中携带有用户设备的身份信息，以使目标网关根据身份信息进行用户设备的身份认证。
69.第二单包授权数据携带有用户设备的身份信息，用于向目标网关进行身份认证，可以理解的是，第二单包授权数据中包含的数据类型可以与第一单包授权数据中包含的数据类型相同，也可以与第一单包授权数据中包含的数据类型不同，具体可以根据实际应用情况进行灵活选择，本公开对此不做限定。
70.通过第二单包授权数据使目标网关对用户设备进行再次验证，以识别攻击设备伪造用户设备的设备标识对目标网关发起的攻击连接，提高会话连接的安全性。
71.在一些实施方式中，第二单包授权数据也可以和服务器连接请求一起进行发送，即对服务器连接请求与第二单包授权数据进行封装，以向目标网关发送封装后的信息。
72.示例性地，目标网关对于接收到的第二单包授权数据后，可以根据第二单包授权数据中的用户设备的设备标识，查询是否有接收到控制设备发送的该用户设备的设备标识
所对应的预连接指令，只有在接收到控制设备发送的该用户设备的设备标识所对应的预连接指令后，才会对第二单包授权数据进行验证。然后，根据第二单包授权数据对用户设备进行身份认证通过后，再检测该用户设备发送的服务器连接请求中所访问的服务器信息，是否符合预连接指令中该用户设备的资源访问信息，若该用户设备请求的服务器符合预连接指令中该用户设备的资源访问信息，则建立该用户设备与该服务器连接请求对应的服务器之间的会话连接。
73.参考图3所示，图3为本公开实施例中另一种窄带物联网控制方法的流程图，下面结合图3，以窄带物联网的控制设备为执行主体，对本公开示例性实施例中的窄带物联网控制方法进行说明。
74.步骤s310、获取用户设备根据控制面传输路径发送的第一单包授权数据；其中，第一单包授权数据中携带有用户设备的身份信息。
75.示例性地，控制设备运行有网络监听以及数据包捕获程序，以通过网络监听以及数据包捕获程序对第一单包授权数据进行获取。
76.第一单包授权数据包含有用户设备进行加密或进行散列函数处理后的身份信息，如用户设备的局域网地址、终端标识、用户名称、用户密码等信息。可以理解的是，第一单包授权数据还可以包含进行加密或进行散列函数处理的其它数据项，如请求的端口信息、认证随机数等，第一单包授权数据中包含的具体数据项可以根据实际情况进行灵活设置，本公开实施例对此不作限制。
77.步骤s320、根据第一单包授权数据中用户设备的身份信息，对用户设备进行身份认证。
78.控制设备根据接收到的第一单包授权数据对用户设备进行身份信息验证，以在身份信息验证通过后查询该用户设备对应的资源访问信息，进而向用户设备发送资源访问信息。
79.在一些实施方式中，根据第一单包授权数据中用户设备的身份信息，对用户设备进行身份认证，包括：根据预设密钥对第一单包授权数据进行解密，得到用户设备的身份信息；根据预设的身份信息库判断用户设备的身份信息是否正确，得到身份认证结果。
80.示例性地，控制设备根据预设密钥对接收到的第一单包授权数据进行解密和分析，如无法解包，或解封后数据包类型有误，则丢弃，如解包后正常，再进一步分析其中的数据信息，以检验该第一单包授权数据携带的用户设备的身份信息是否有误，得到身份认证结果。例如，控制设备存储有可连接的用户设备的身份信息库，控制设备可以对接收到的第一单包授权数据进行分析，如果第一单包授权数据对应的用户设备不存在于身份信息库中，则该用户设备不可连接，对应的身份认证结果为不通过；如果第一单包授权数据对应的用户设备存在于身份信息库中，则该用户设备可连接，对应的身份认证结果为通过。
81.可以理解的是，也可以通过与控制设备通信连接的第三方身份认证平台对第一单包授权数据进行分析，以对该用户设备进行身份认证。
82.步骤s330、若用户设备的身份认证通过，则向用户设备发送资源访问信息，以使用户设备根据资源访问信息生成服务器连接请求，并将控制面传输路径切换为用户面传输路径，根据用户面传输路径向目标网关发送服务器连接请求，以使目标网关根据服务器连接请求，建立用户设备与服务器连接请求对应的服务器之间的会话连接。
83.在一些实施方式中，若用户设备的身份认证通过，则向用户设备发送资源访问信息，包括：根据用户设备的安全等级，获取用户设备可访问的服务器信息以及网关信息；根据用户设备可访问的服务器信息以及网关信息，生成资源访问信息；接收用户设备发送的双向连接建立请求，响应双向连接建立请求向用户设备发送资源访问信息。
84.可选地，控制设备设置有安全等级映射表，安全等级查询表保存有用户设备的设备标识与安全等级之间的映射关系。通过用户设备的设备标识查询安全等级映射表，得到该用户设备匹配的安全等级。
85.进一步地，根据用户设备匹配的安全等级，获取用户设备可访问的服务器信息以及网关信息，得到资源访问信息，进而根据该用户设备发送的双向连接建立请求建立与该用户设备的通信连接，以在通信连接建立成功后，向该用户设备发送资源访问信息。
86.若控制设备对用户设备进行身份认证的结果为通过，则控制设备对该用户设备开放连接服务。连接服务用于接收用户设备的双向连接建立请求，并根据双向连接建立请求向该用户设备进行通信连接。
87.示例性地，可以是控制设备设有可访问设备列表，控制设备对用户设备开放连接服务可以是将该用户设备的设备标识加入可访问设备列表中，以在控制设备接收到用户设备的双向连接建立请求时，查询可访问设备列表是否存在该用户设备的标识信息。若可访问设备列表中没有该用户设备的标识信息，则不对该用户设备开放连接服务，即不与该用户设备进行信令交互；若可访问设备列表中有该用户设备的标识信息，则对该用户设备开放连接服务，即根据该用户设备的双向连接建立请求与该用户设备建立通信连接，以向该用户设备发送其匹配的资源访问信息。
88.可以理解的是，控制设备只有在连接服务开放后，也即控制设备只有在用户设备进行身份认证的结果为通过后，才会对用户设备发送的双向连接建立请求进行操作，以使控制设备对不可信的设备进行隐身，进而提高连接的安全性。
89.在一些实施方式中，方法还包括：若用户设备的身份认证通过，则根据用户设备对应的资源访问信息，生成预连接指令；向网关发送预连接指令，以使网关根据预连接指令生成访问控制规则；其中，访问控制规则用于对用户设备发送的服务器连接请求进行验证，并根据验证结果执行对应的控制策略。
90.控制设备可以向网关发送预连接指令，预连接指令用于表示通过身份认证的用户设备的设备信息以及资源访问信息。目标网关中对应设置有访问控制规则，访问控制规则用于对用户设备发送的服务器连接请求进行验证，并根据验证结果执行对应的控制策略。目标网关根据预连接指令修改访问控制规则，以通过修改后的访问控制规则对用户设备发送的服务器连接请求进行验证和控制。
91.其中，预连接指令的发送对象可以是向用户设备发送的资源访问信息中包含的所有网关。
92.需要说明的是，本公开示例性实施例不对控制设备向网关发送预连接指令以及控制设备向用户设备发送资源访问信息之间的先后顺序进行限定。
93.进一步地，用户设备根据资源访问信息生成服务器连接请求，并将控制面传输路径切换为用户面传输路径，根据用户面传输路径向目标网关发送服务器连接请求。目标网关根据服务器连接请求，建立用户设备与服务器连接请求对应的服务器之间的会话连接。
其中，用户设备通过目标网关与服务器建立会话连接的具体步骤可以参见上述步骤s230，本公开对此不做赘述。
94.图4示出了根据本公开示例性实施例的窄带物联网控制方法的时序图。
95.下面结合图4，对本公开的窄带物联网控制方法的过程进行说明：
96.步骤s410、用户设备根据控制面传输路径将第一单包授权数据传递给控制设备。
97.控制面传输路径为用户设备将第一单包授权数据发送给基站，基站将第一单包授权数据发送给mme，且mme通过sgw以及pgw将第一单包授权数据传递给控制设备。
98.步骤s420、控制设备根据第一单包授权数据对用户设备进行身份认证。
99.第一单包授权数据包含有用户设备的身份信息，控制设备根据第一单包授权数据校验该用户设备是否属于可连接设备。
100.步骤s430、用户设备向控制设备发送双向连接建立请求。
101.用户设备可以在发送第一单包授权数据的预设时间后，自动向控制设备再次发送双向连接建立请求，以请求与控制设备建立通信连接。
102.步骤s440、控制设备接收双向连接建立请求，在用户设备的身份认证通过后，根据双向连接建立请求向该用户设备发送匹配的资源访问信息，以及向网关发送预连接指令。
103.控制设备只有在用户设备进行身份认证的结果为通过后，才会对用户设备发送的双向连接建立请求进行操作，以使控制设备对不可信的设备进行隐身，进而提高连接的安全性。
104.预连接指令用于表示通过身份认证的用户设备的设备信息以及资源访问信息，目标网关根据预连接指令修改访问控制规则，以通过修改后的访问控制规则对用户设备发送的服务器连接请求进行验证。
105.资源访问信息指的是用户设备对应的可以访问的资源信息，资源信息包括但不限于该用户设备可以访问的服务器信息、网关信息等。
106.步骤s450、用户设备接收到资源访问信息后，发出路径切换指令，以通知基站以及mme已经切换为用户面传输路径。
107.用户设备在进行服务器连接请求发送之前，需要将控制面传输路径切换为用户面传输路径。示例性地，可以是用户设备生成路径切换指令，将路径切换指令发送给基站，以使基站根据路径切换指令执行路径切换操作，以将后续接收到的用户设备的数据通过用户面传输路径进行传输。
108.步骤s460、用户设备根据用户面传输路径向网关发送第二单包授权数据以及服务器连接请求。
109.通过第二单包授权数据使目标网关对用户设备进行再次验证，以识别攻击设备伪造用户设备的设备标识对目标网关发起的攻击连接，提高会话连接的安全性。
110.在一些实施方式中，第二单包授权数据也可以和服务器连接请求一起进行发送，即对服务器连接请求与第二单包授权数据进行封装，以向目标网关发送封装后的信息；第二单包授权数据也可以和服务器连接请求分别进行发送。
111.步骤s470、网关对第二单包授权数据以及服务器连接请求进行验证，在验证通过后建立用户设备与服务器连接请求对应的服务器之间的会话连接。
112.目标网关对于接收到的第二单包授权数据后，可以根据第二单包授权数据中的用
户设备的设备标识，查询是否有接收到控制设备发送的该用户设备的设备标识所对应的预连接指令，只有在接收到控制设备发送的该用户设备的设备标识所对应的预连接指令后，才会对第二单包授权数据进行验证。然后，根据第二单包授权数据对用户设备进行身份认证通过后，再检测该用户设备发送的服务器连接请求中所访问的服务器信息，是否符合预连接指令中该用户设备的资源访问信息，若该用户设备请求的服务器符合预连接指令中该用户设备的资源访问信息，则建立该用户设备与该服务器连接请求对应的服务器之间的会话连接。
113.本公开实施例提供的窄带物联网控制方法，用户设备通过根据控制面传输路径向控制设备发送第一单包授权数据；其中，第一单包授权数据中携带有用户设备的身份信息；控制设备根据身份信息进行用户设备的身份认证，在用户设备的身份认证通过后向用户设备发送资源访问信息；用户设备根据资源访问信息生成服务器连接请求，并将控制面传输路径切换为用户面传输路径，以根据用户面传输路径向目标网关发送服务器连接请求；目标网关根据服务器连接请求，建立用户设备与服务器连接请求对应的服务器之间的会话连接。由于软件定义边界中用户设备每次访问资源均需要控制设备对用户设备进行鉴权，导致用户设备与控制设备交互频繁，因此为了减少用户设备在接入过程中的空口交互次数，将软件定义边界中用户设备与控制设备之间的鉴权信令交互通过控制面传输路径传输，用户设备与目标网关之间的业务数据交互通过用户面传输路径传输。同时，通过软件定义边界对控制设备以及目标网关进行安全保护，避免因为引入复杂的身份认证和接入控制机制对网络和终端性能带来影响。
114.应当注意，尽管在附图中以特定顺序描述了本公开实施例中方法的各个步骤，但是，这并非要求或者暗示必须按照该特定顺序来执行这些步骤，或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的，可以省略某些步骤，将多个步骤合并为一个步骤执行，以及/或者将一个步骤分解为多个步骤执行等。
115.进一步的，本示例实施方式中还提供了一种窄带物联网控制装置500，应用于窄带物联网的用户设备。参照图5所示，该窄带物联网控制装置500包括：认证请求发送模块510，处理模块520，连接模块530。
116.认证请求发送模块510用于根据控制面传输路径向控制设备发送第一单包授权数据；其中，第一单包授权数据中携带有用户设备的身份信息，以使控制设备根据身份信息进行用户设备的身份认证，在用户设备的身份认证通过后向用户设备发送资源访问信息。
117.处理模块520用于根据资源访问信息生成服务器连接请求，并将控制面传输路径切换为用户面传输路径。
118.连接模块530用于根据用户面传输路径向目标网关发送服务器连接请求，以使目标网关根据服务器连接请求，建立用户设备与服务器连接请求对应的服务器之间的会话连接。
119.在一些实施方式中，基于前述方案，资源访问信息包括用户设备可访问的服务器信息以及网关信息，用户设备可访问的服务器信息用于生成服务器连接请求，连接模块530包括目标网关确认模块以及连接请求发送模块：目标网关确认模块用于根据用户设备可访问的网关信息选择目标网关；连接请求发送模块用于向目标网关发送服务器连接请求。
120.在一些实施方式中，基于前述方案，连接模块530还包括授权数据发送模块，向目
标网关发送服务器连接请求之前，授权数据发送模块用于向目标网关发送第二单包授权数据；其中，第二单包授权数据中携带有用户设备的身份信息，以使目标网关根据身份信息进行用户设备的身份认证。
121.进一步的，本示例实施方式中还提供了一种窄带物联网控制装置600，应用于窄带物联网的控制设备。参照图6所示，该窄带物联网控制装置600包括：认证请求获取模块610，认证模块620，资源信息发送模块630。
122.认证请求获取模块610用于获取用户设备根据控制面传输路径发送的第一单包授权数据；其中，第一单包授权数据中携带有用户设备的身份信息。
123.认证模块620用于根据第一单包授权数据中用户设备的身份信息，对用户设备进行身份认证。
124.资源信息发送模块630用于若用户设备的身份认证通过，则向用户设备发送资源访问信息，以使用户设备根据资源访问信息生成服务器连接请求，并将控制面传输路径切换为用户面传输路径，根据用户面传输路径向目标网关发送服务器连接请求，以使目标网关根据服务器连接请求，建立用户设备与服务器连接请求对应的服务器之间的会话连接。
125.在一些实施方式中，基于前述方案，资源信息发送模块630包括信息获取模块、信息生成模块以及信息发送模块：信息获取模块用于根据用户设备的安全等级，获取用户设备可访问的服务器信息以及网关信息；信息生成模块用于根据用户设备可访问的服务器信息以及网关信息，生成资源访问信息；信息发送模块用于接收用户设备发送的双向连接建立请求，响应双向连接建立请求向用户设备发送资源访问信息。
126.在一些实施方式中，基于前述方案，认证模块620包括解密模块以及判断模块：解密模块用于根据预设密钥对第一单包授权数据进行解密，得到用户设备的身份信息；判断模块用于根据预设的身份信息库判断用户设备的身份信息是否正确，得到身份认证结果。
127.在一些实施方式中，基于前述方案，该窄带物联网控制装置600还包括预连接指令发送模块，用于若用户设备的身份认证通过，则根据用户设备对应的资源访问信息，生成预连接指令；向网关发送预连接指令，以使网关根据预连接指令生成访问控制规则；其中，访问控制规则用于对用户设备发送的服务器连接请求进行验证，并根据验证结果执行对应的控制策略。
128.上述窄带物联网控制装置各模块的具体细节已经在对应的窄带物联网控制方法中进行了详细的描述，因此在此不再赘述。
129.应当注意，尽管在上文详细描述中提及了窄带物联网控制装置的若干模块或者单元，但是这种划分并非强制性的。实际上，根据本公开的实施方式，上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之，上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
130.此外，在本公开示例性实施方式中，还提供了一种能够实现上述方法的计算机存储介质。其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施例中，本公开的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当所述程序产品在终端设备上运行时，所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本公开各种示例性实施例的步骤。
131.程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介
质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。
132.计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
133.可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、有线、光缆、rf等等，或者上述的任意合适的组合。
134.可以以一种或多种程序设计语言的任意组合来编写用于执行本公开操作的程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如java、c 等，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(lan)或广域网(wan)，连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
135.此外，在本公开的示例性实施例中，还提供了一种能够实现上述窄带物联网控制方法的设备。下面参照图7来描述根据本公开的这种实施例的设备700。图7所示的设备700仅仅是一个示例，不应对本公开实施例的功能和使用范围带来任何限制。
136.如图7所示，设备700以通用计算设备的形式表现。设备700的组件可以包括但不限于：至少一个处理单元710、至少一个存储单元720、连接不同系统组件(包括存储单元720和处理单元710)的总线730、显示单元740。
137.其中，存储单元存储有程序代码，程序代码可以被处理单元710执行，使得处理单元710执行本说明书上述“示例性方法”部分中描述的根据本公开各种示例性实施例的步骤。
138.存储单元720可以包括易失性存储单元形式的可读介质，例如随机存取存储单元(ram)721和/或高速缓存存储单元722，还可以进一步包括只读存储单元(rom)723。
139.存储单元720还可以包括具有一组(至少一个)程序模块725的程序/实用工具724，这样的程序模块725包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。
140.总线730可以为表示几类总线结构中的一种或多种，包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
141.设备700也可以与一个或多个外部设备770(例如键盘、指向设备、蓝牙设备等)通信，还可与一个或者多个使得用户能与该电子设备700交互的设备通信，和/或与使得该电
子设备700能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(i/o)接口750进行。并且，电子设备700还可以通过网络适配器760与一个或者多个网络(例如局域网(lan)，广域网(wan)和/或公共网络，例如因特网)通信。如图所示，网络适配器760通过总线730与电子设备700的其它模块通信。应当明白，尽管图中未示出，可以结合设备700使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储系统等。
142.通过以上的实施例的描述，本领域的技术人员易于理解，这里描述的示例实施例可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本公开实施例的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是cd-rom，u盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施例的方法。
143.以上具体地示出和描述了本公开示例性实施方式。可理解的是，本公开不限于这里描述的详细结构、设置方式或实现方法；相反，本公开意图涵盖包含在所附权利要求的精神和范围内的各种修改和等效设置。