一種專線apn安全增強(qiáng)接入方法與裝置的制造方法
【專利說(shuō)明】-種專線APN安全增強(qiáng)接入方法與裝置
[0001]
技術(shù)領(lǐng)域: 本發(fā)明涉及信息安全領(lǐng)域���,尤其涉及一種專線APN安全增強(qiáng)接入方法與裝置。
[000引【背景技術(shù)】: APN��,是通過(guò)手機(jī)上網(wǎng)時(shí)必須配置的一個(gè)參數(shù)�,它決定了手機(jī)通過(guò)哪種接入方式來(lái)訪問(wèn) 網(wǎng)絡(luò),用來(lái)標(biāo)識(shí)GPRS的業(yè)務(wù)種類��。隨著企業(yè)���、政府��、軍隊(duì)移動(dòng)辦公��、移動(dòng)執(zhí)法等業(yè)務(wù)的陸續(xù) 開展��,通過(guò)移動(dòng)終端設(shè)備安全接入到內(nèi)部網(wǎng)絡(luò)的需求越來(lái)越強(qiáng)烈�,因此運(yùn)營(yíng)商針對(duì)此類需 求開展了專線APN業(yè)務(wù)����。專線APN是根據(jù)企業(yè)、政府、軍隊(duì)對(duì)網(wǎng)絡(luò)安全的特殊要求�,采用了 多種安全措施,主要包括: 通過(guò)一條2M/3G/4G專線接入運(yùn)營(yíng)商GPRS網(wǎng)絡(luò)�,雙方互聯(lián)路由器之間采用私有IP地址 進(jìn)行廣域連接,在GGSN與移動(dòng)公司互聯(lián)路由器之間采用GRE隧道���。
[0003] 為客戶分配專用的APN�����,普通用戶不得申請(qǐng)?jiān)揂PN���。用于GPRS專網(wǎng)的SIM卡僅開 通該專用APN��,限制使用其他APN����。
[0004] 用戶發(fā)出GPRS登錄請(qǐng)求,請(qǐng)求中包括由移動(dòng)公司為GPRS專網(wǎng)系統(tǒng)?���?诜峙涞膶?網(wǎng)APN;根據(jù)請(qǐng)求中的APN,SGSN向DNS服務(wù)器發(fā)出查詢請(qǐng)求�,找到與企業(yè)服務(wù)器平臺(tái)連接 的GGSN,并將用戶請(qǐng)求通過(guò)GTP隧道封裝送給GGSN;GGSN將用戶認(rèn)證信息(包括手機(jī)號(hào)碼、 用戶賬號(hào)����、密碼等)通過(guò)專線送至RADIUS服務(wù)器進(jìn)行認(rèn)證;RADIUS服務(wù)器收到手機(jī)號(hào)等認(rèn) 證信息����,確認(rèn)是合法用戶發(fā)來(lái)的請(qǐng)求,向DHCP服務(wù)器請(qǐng)求分配用戶地址���;Radius認(rèn)證通過(guò) 后���,由RADIUS服務(wù)器向GGSN發(fā)送攜帶用戶地址的確認(rèn)信息;用戶得到了IP地址����,就可W攜 帶數(shù)據(jù)包,對(duì)GPRS專網(wǎng)系統(tǒng)信息查詢和業(yè)務(wù)處理平臺(tái)進(jìn)行訪問(wèn)�����。
[0005] 在實(shí)現(xiàn)本發(fā)明的過(guò)程中�,發(fā)明人發(fā)現(xiàn)現(xiàn)有對(duì)APN接入的方法至少存在如下問(wèn)題: 1、接入點(diǎn)信息配置較為繁瑣���,填寫的信息包含了名稱�����,類型�����,代理服務(wù)器��,端口�����,用戶名�����,密 碼等輸入項(xiàng)�,一些專有術(shù)語(yǔ)非專業(yè)人員不了解或很難理解�����;2�、APN接入認(rèn)證安全隱患較大: APN接入后的認(rèn)證方式采用的"手機(jī)號(hào)碼��、用戶賬號(hào)����、用戶密碼"的認(rèn)證方式��,用戶認(rèn)證信息 直接通過(guò)專網(wǎng)傳輸?shù)絉ADIUS服務(wù)器進(jìn)行認(rèn)證����,該樣的做法有很大安全隱患,密碼很容易被 竊取���,對(duì)該種認(rèn)證方式的攻擊辦法有很多種�,包括信息竊聽�、截取、窮舉���、窺探等���,安全漏洞 顯而易見;3����、RADIUS服務(wù)器認(rèn)證對(duì)認(rèn)證參數(shù)的長(zhǎng)度和參數(shù)的數(shù)量一般都有明確的限制�����,因 此對(duì)于安全性要求較高的多因子認(rèn)證適應(yīng)不足�����;4�、APN連接斷開后�,創(chuàng)建好的APN信息會(huì)自 動(dòng)保存在手機(jī)上,一旦設(shè)備發(fā)生丟失�,也會(huì)發(fā)生信息的泄露,如果斷開后進(jìn)行刪除操作�����,下 次連接時(shí)又要進(jìn)行繁瑣的配置工作�。
[000引
【發(fā)明內(nèi)容】
: 本發(fā)明實(shí)施例提供一種專線APN安全增強(qiáng)接入方法及裝置,通過(guò)增強(qiáng)專線APN接入的 認(rèn)證機(jī)制提升專網(wǎng)訪問(wèn)的安全性����,通過(guò)提供一種安全的專線APN接入裝置,保證專網(wǎng)的邊 界安全并簡(jiǎn)化接入的操作流程�����。
[0007] 根據(jù)本發(fā)明的第一方面���,提供一種專線APN安全增強(qiáng)接入方法與裝置����,用于示證 用戶 通過(guò)接入裝置進(jìn)行專線APN安全增強(qiáng)接入�,其專線APN安全增強(qiáng)接入方法與裝置的特 征在于,包括��;(參見圖6所示流程圖) 示證用戶注冊(cè)步驟�����,在該步驟中�����,通過(guò)RADIUS服務(wù)器存儲(chǔ)與示證用戶相關(guān)的可信 因子來(lái)完成示證用戶在RADIUS服務(wù)器上的注冊(cè)����,并且在接入裝置與RADIUS服務(wù)器之 間同步可信因子,RADIUS服務(wù)器將同步成功的可信因子存儲(chǔ)為認(rèn)證因子����,并且接入裝置也 將同步成功的可信因子存儲(chǔ)為認(rèn)證因子���; 專線APN安全增強(qiáng)創(chuàng)建步驟,在該步驟中��,接入裝置預(yù)先配置專線APN基本信息����,通過(guò) 示證用戶選擇接入裝置的APN名稱完成APN安全增強(qiáng)創(chuàng)建; 安全增強(qiáng)認(rèn)證碼生成步驟�,在該步驟中,RADIUS服務(wù)器和接入裝置分別根據(jù)各自存儲(chǔ) 的認(rèn)證因子按照相同算法生成安全增強(qiáng)認(rèn)證碼��;W及 專線APN安全增強(qiáng)認(rèn)證接入步驟����,在該步驟中,RADIUS服務(wù)器驗(yàn)證自身生成的安全增 強(qiáng)認(rèn)證碼與接入裝置提供的安全增強(qiáng)認(rèn)證碼是否一致����,W對(duì)示證用戶通過(guò)接入裝置進(jìn)行安 全增強(qiáng)接入。
[0008] 根據(jù)本發(fā)明的第二方面的一種專線APN安全增強(qiáng)接入方法與裝置��,所述的示證用 戶 注冊(cè)步驟包括: 邏輯注冊(cè)步驟����,在該步驟中����,W在RADIUS服務(wù)器中存儲(chǔ)與示證用戶相關(guān)的邏輯可信 因子�,所述的邏輯可信因子是與示證用戶相關(guān)聯(lián)的可信因子并且不描述接入裝置的物理信 息���,僅僅完成邏輯注冊(cè)的示證用戶不能訪問(wèn)專網(wǎng)中除RADIUS服務(wù)器之外的任何設(shè)備�����;W及 物理注冊(cè)步驟����,在邏輯注冊(cè)步驟完成后��,RADIUS服務(wù)器授權(quán)示證用戶通過(guò)接入裝置進(jìn) 行物理注冊(cè)步驟��,在物理注冊(cè)步驟中�����,示證用戶首次通過(guò)接入裝置接入到RADIUS服務(wù)器 后��,接入裝置W在線的方式將采集到的與示證用戶物理設(shè)備相關(guān)的物理可信因子上傳到 RADIUS服務(wù)器,所述的物理可信因子是描述示證用戶物理設(shè)備的可信因子���,同時(shí)���,接入裝置 W在線的方式采集RADIUS服務(wù)器上的部分可信因子和授權(quán)可信因子,所述的部分可信因 子是邏輯注冊(cè)中不用于建立初次連接的可信因子����,所述的授權(quán)可信因子是RADIUS服務(wù)器 上動(dòng)態(tài)生成的用于增強(qiáng)認(rèn)證的可信因子,并且在接入裝置和RADIUS服務(wù)器之間同步所有 可信因子���,RADIUS服務(wù)器將同步成功的所有可信因子存儲(chǔ)為認(rèn)證因子�,接入裝置將同步成 功的所有可信因子也存儲(chǔ)為認(rèn)證因子�。
[0009] 根據(jù)本發(fā)明的第H方面的授權(quán)可信因子是按照一定變化策略進(jìn)行動(dòng)態(tài)變化的,發(fā) 明人 稱之為動(dòng)態(tài)密鑰�,從而生成的安全增強(qiáng)認(rèn)證碼也是動(dòng)態(tài)變化的; 根據(jù)本發(fā)明的第四方面的一種專線APN安全增強(qiáng)接入方法與裝置����,所述的專線APN安全增強(qiáng)創(chuàng)建步驟,包括:首先在接入裝置中預(yù)先配置專線APN基本信息�����;在創(chuàng)建專線 APN連接時(shí),示證用戶選擇接入裝置中需要接入的專線APN名稱后����,接入裝置自動(dòng)獲取專線 APN配置基本信息。
[0010] 根據(jù)本發(fā)明的第五方面的專線APN安全增強(qiáng)創(chuàng)建步驟��,專線APN安全增強(qiáng)創(chuàng)建方 式�����, 還包括:通過(guò)接入裝置創(chuàng)建專線APN時(shí)�����,對(duì)接入設(shè)備上第H方配置的接入點(diǎn)信息進(jìn)行 刪除���、對(duì)WIFI等其他網(wǎng)絡(luò)功能進(jìn)行關(guān)閉或禁用,保證網(wǎng)絡(luò)接入的唯一性����;對(duì)接入設(shè)備上的 網(wǎng)絡(luò)共享功能進(jìn)行關(guān)閉或禁用,保證專網(wǎng)使用的唯一性����。
[0011] 根據(jù)本發(fā)明第六方面的一種專線APN安全增強(qiáng)接入方法與裝置,所述的安全增強(qiáng) 認(rèn) 證碼生成步驟,其特征在于��,所述的安全增強(qiáng)認(rèn)證碼生成步驟�����,包括安全增強(qiáng)認(rèn)證碼 是由RADIUS服務(wù)器和接入裝置分別根據(jù)各自存儲(chǔ)的認(rèn)證因子按照相同算法生成的����,生成 安全增強(qiáng)認(rèn)證碼的算法及采用的參數(shù)雙方均保持一致,并有數(shù)據(jù)壓縮效果�,即安全增強(qiáng)認(rèn) 證碼的長(zhǎng)度短于認(rèn)證因子的總長(zhǎng)度;所選算法優(yōu)選哈希算法�����,在哈希算法中優(yōu)選使用MD5�����、 SHA等哈希算法�����。安全增強(qiáng)認(rèn)證碼優(yōu)選為固定長(zhǎng)度�����,長(zhǎng)度優(yōu)選為32位、64位���、128位等2的 幕次方�;安全增強(qiáng)認(rèn)證碼將作為用戶創(chuàng)建的專線APN接入點(diǎn)配置信息中的用戶密碼傳輸?shù)?RADIUS服務(wù)器進(jìn)行認(rèn)證����。
[0012] 根據(jù)本發(fā)明第走方面的一種專線APN安全增強(qiáng)接入方法與裝置,所述的專線APN 安全增強(qiáng)認(rèn)證接入步驟���,包括;RADIUS服務(wù)器驗(yàn)證自身生成的安全增強(qiáng)認(rèn)證碼與接入裝置 提供的安全增強(qiáng)認(rèn)證碼是否一致�,如果一致則接入成功。
[0013] 根據(jù)本發(fā)明第八方面的一種專線APN安全增強(qiáng)接入裝置���,所述的裝置包括: 注冊(cè)模塊���,用于建立接入裝置與RADIUS服務(wù)器之間的初始鏈接,物理可信因子的采集 與發(fā)布�、部分邏輯可信因子和授權(quán)可信因子的下載。
[0014]登錄模塊�����,用于接入設(shè)備上物理可信因子的采集,提交示證用戶認(rèn)證信息到RADIUS服務(wù)器進(jìn)行認(rèn)證���。
[0015]專線APN創(chuàng)建模塊���,用于創(chuàng)建一個(gè)或多個(gè)專線APN名稱及基本配置信息,優(yōu)選的�, 在創(chuàng)建APN時(shí),刪除其他第H方創(chuàng)建的APN及關(guān)閉WIFI等其他網(wǎng)絡(luò)鏈接�; 生成安全增強(qiáng)認(rèn)證碼模塊,用于將接入裝置中存儲(chǔ)的認(rèn)證因子利用與RADIUS服務(wù)器 相同的算法生成相同長(zhǎng)度的安全增強(qiáng)認(rèn)證碼�。
[0016]