CN104703183A - 一种专线apn安全增强接入方法与装置 - Google Patents
一种专线apn安全增强接入方法与装置 Download PDFInfo
- Publication number
- CN104703183A CN104703183A CN201510097423.4A CN201510097423A CN104703183A CN 104703183 A CN104703183 A CN 104703183A CN 201510097423 A CN201510097423 A CN 201510097423A CN 104703183 A CN104703183 A CN 104703183A
- Authority
- CN
- China
- Prior art keywords
- special line
- access device
- apn
- radius server
- strengthens
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/12—Setup of transport tunnels
Abstract
本发明提供一种专线APN安全增强接入方法与装置,包括示证用户注册步骤,通过在RADIUS服务器上存储可信因子在RADIUS服务器上对示证用户进行注册,在接入装置与RADIUS服务器之间分别同步可信因子,并且分别将同步成功的可信因子存储为认证因子;专线APN安全增强创建步骤,示证用户利用接入装置自动完成专线APN的创建,并保障专线APN接入和使用的唯一性;安全增强认证码生成步骤,接入装置与RADIUS服务器分别生成安全增强认证码;以及专线APN安全增强认证接入步骤,RADIUS服务器验证接入装置提供的安全增强认证码是否一致,以对示证用户通过接入装置进行安全增强接入内部网络。本发明提高了专线APN接入方法的安全性,保证了专线接入和使用的唯一性。
Description
技术领域:
本发明涉及信息安全领域,尤其涉及一种专线APN安全增强接入方法与装置。
背景技术:
APN,是通过手机上网时必须配置的一个参数,它决定了手机通过哪种接入方式来访问网络,用来标识GPRS的业务种类。随着企业、政府、军队移动办公、移动执法等业务的陆续开展,通过移动终端设备安全接入到内部网络的需求越来越强烈,因此运营商针对此类需求开展了专线APN业务。专线APN是根据企业、政府、军队对网络安全的特殊要求,采用了多种安全措施,主要包括:
通过一条2M/3G/4G专线接入运营商GPRS网络,双方互联路由器之间采用私有IP地址进行广域连接,在GGSN与移动公司互联路由器之间采用GRE隧道。
为客户分配专用的APN,普通用户不得申请该APN。用于GPRS专网的SIM卡仅开通该专用APN,限制使用其他APN。
用户发出GPRS登录请求,请求中包括由移动公司为GPRS专网系统专门分配的专网APN;根据请求中的APN,SGSN向DNS服务器发出查询请求,找到与企业服务器平台连接的GGSN,并将用户请求通过GTP隧道封装送给GGSN;GGSN将用户认证信息(包括手机号码、用户账号、密码等)通过专线送至RADIUS服务器进行认证;RADIUS服务器收到手机号等认证信息,确认是合法用户发来的请求,向DHCP服务器请求分配用户地址;Radius认证通过后,由RADIUS服务器向GGSN发送携带用户地址的确认信息;用户得到了IP地址,就可以携带数据包,对GPRS专网系统信息查询和业务处理平台进行访问。
在实现本发明的过程中,发明人发现现有对APN接入的方法至少存在如下问题:1、接入点信息配置较为繁琐,填写的信息包含了名称,类型,代理服务器,端口,用户名,密码等输入项,一些专有术语非专业人员不了解或很难理解;2、APN接入认证安全隐患较大:APN接入后的认证方式采用的“手机号码、用户账号、用户密码”的认证方式,用户认证信息直接通过专网传输到RADIUS服务器进行认证,这样的做法有很大安全隐患,密码很容易被窃取,对这种认证方式的攻击办法有很多种,包括信息窃听、截取、穷举、窥探等,安全漏洞显而易见;3、RADIUS服务器认证对认证参数的长度和参数的数量一般都有明确的限制,因此对于安全性要求较高的多因子认证适应不足;4、APN连接断开后,创建好的APN信息会自动保存在手机上,一旦设备发生丢失,也会发生信息的泄露,如果断开后进行删除操作,下次连接时又要进行繁琐的配置工作。
发明内容:
本发明实施例提供一种专线APN安全增强接入方法及装置,通过增强专线APN接入的认证机制提升专网访问的安全性,通过提供一种安全的专线APN接入装置,保证专网的边界安全并简化接入的操作流程。
根据本发明的第一方面,提供一种专线APN安全增强接入方法与装置,用于示证用户
通过接入装置进行专线APN安全增强接入,其专线APN安全增强接入方法与装置的特征在于,包括:(参见图6所示流程图)
示证用户注册步骤,在该步骤中,通过RADIUS服务器存储与示证用户相关的可信
因子来完成示证用户在RADIUS服务器上的注册,并且在接入装置与RADIUS服务器之间同步可信因子,RADIUS服务器将同步成功的可信因子存储为认证因子,并且接入装置也将同步成功的可信因子存储为认证因子;
专线APN安全增强创建步骤,在该步骤中,接入装置预先配置专线APN基本信息,通过示证用户选择接入装置的APN名称完成APN安全增强创建;
安全增强认证码生成步骤,在该步骤中,RADIUS服务器和接入装置分别根据各自存储的认证因子按照相同算法生成安全增强认证码;以及
专线APN安全增强认证接入步骤,在该步骤中,RADIUS服务器验证自身生成的安全增强认证码与接入装置提供的安全增强认证码是否一致,以对示证用户通过接入装置进行安全增强接入。
根据本发明的第二方面的一种专线APN安全增强接入方法与装置,所述的示证用户
注册步骤包括:
逻辑注册步骤,在该步骤中,以在RADIUS服务器中存储与示证用户相关的逻辑可信因子,所述的逻辑可信因子是与示证用户相关联的可信因子并且不描述接入装置的物理信息,仅仅完成逻辑注册的示证用户不能访问专网中除RADIUS服务器之外的任何设备;以及
物理注册步骤,在逻辑注册步骤完成后,RADIUS服务器授权示证用户通过接入装置进行物理注册步骤,在物理注册步骤中,示证用户首次通过接入装置接入到RADIUS服务器后,接入装置以在线的方式将采集到的与示证用户物理设备相关的物理可信因子上传到RADIUS服务器,所述的物理可信因子是描述示证用户物理设备的可信因子,同时,接入装置以在线的方式采集RADIUS服务器上的部分可信因子和授权可信因子,所述的部分可信因子是逻辑注册中不用于建立初次连接的可信因子,所述的授权可信因子是RADIUS服务器上动态生成的用于增强认证的可信因子,并且在接入装置和RADIUS服务器之间同步所有可信因子,RADIUS服务器将同步成功的所有可信因子存储为认证因子,接入装置将同步成功的所有可信因子也存储为认证因子。
根据本发明的第三方面的授权可信因子是按照一定变化策略进行动态变化的,发明人
称之为动态密钥,从而生成的安全增强认证码也是动态变化的;
根据本发明的第四方面的一种专线APN安全增强接入方法与装置,所述的专线APN
安全增强创建步骤,包括:首先在接入装置中预先配置专线APN基本信息;在创建专线APN连接时,示证用户选择接入装置中需要接入的专线APN名称后,接入装置自动获取专线APN配置基本信息。
根据本发明的第五方面的专线APN安全增强创建步骤,专线APN安全增强创建方式,
还包括:通过接入装置创建专线APN时,对接入设备上第三方配置的接入点信息进行删除、对WIFI等其他网络功能进行关闭或禁用,保证网络接入的唯一性;对接入设备上的网络共享功能进行关闭或禁用,保证专网使用的唯一性。
根据本发明第六方面的一种专线APN安全增强接入方法与装置,所述的安全增强认
证码生成步骤,其特征在于,所述的安全增强认证码生成步骤,包括安全增强认证码是由RADIUS服务器和接入装置分别根据各自存储的认证因子按照相同算法生成的,生成安全增强认证码的算法及采用的参数双方均保持一致,并有数据压缩效果,即安全增强认证码的长度短于认证因子的总长度;所选算法优选哈希算法,在哈希算法中优选使用MD5、SHA等哈希算法。安全增强认证码优选为固定长度,长度优选为32位、64位、128位等2的幂次方;安全增强认证码将作为用户创建的专线APN接入点配置信息中的用户密码传输到RADIUS服务器进行认证。
根据本发明第七方面的一种专线APN安全增强接入方法与装置,所述的专线APN安全增强认证接入步骤,包括:RADIUS服务器验证自身生成的安全增强认证码与接入装置提供的安全增强认证码是否一致,如果一致则接入成功。
根据本发明第八方面的一种专线APN安全增强接入装置,所述的装置包括:
注册模块,用于建立接入装置与RADIUS服务器之间的初始链接,物理可信因子的采集与发布、部分逻辑可信因子和授权可信因子的下载。
登录模块,用于接入设备上物理可信因子的采集,提交示证用户认证信息到RADIUS服务器进行认证。
专线APN创建模块,用于创建一个或多个专线APN名称及基本配置信息,优选的,在创建APN时,删除其他第三方创建的APN及关闭WIFI等其他网络链接;
生成安全增强认证码模块,用于将接入装置中存储的认证因子利用与RADIUS服务器相同的算法生成相同长度的安全增强认证码。
安全退出模块,用于在专线APN断开连接或异常关闭时,自动删除本次创建的连接及所有配置信息,防止第三方非法接入。
网络共享管控模块,用户检测、监听接入设备上网络共享状态,自动关闭/禁用网络功能功能。
与现有技术相比,本发明能有效的解决现有技术不能对专线APN信息进行自动配置和阻止中间人攻击的问题。对比以前,在本发明在对专线APN的创建、接入认证方面有了明显的创新:1、本发明采用了自动配置接入点信息的方法,让非专业人群轻松的进行接入点信息的配置;2、本方法在接入上有了明显的创新,采用了多重认证因子组合编码的做法,更能有效的保护接入安全;3、在创建专线APN时删除了第三方APN信息、关闭了WIFI等网络链接,保证了网络接入的唯一性;4、链接过程中对移动终端设备上的网络共享功能进行了关闭/禁用,保证了专线APN只能通过被认证的移动设备使用的唯一性。
上述技术方案具有如下有益效果:
1、 本发明在认证过程中,用户只知道专线APN的用户名和用户密码,而真正参与认证的安全增强认证码用户是不知道的,用户无法通过移动终端进行手工配置接入专线APN,增加了专线APN接入的安全性;
2、 本发明在认证过程中,只是传输用户名和安全增强认证码,安全增强认证码生成算法以及所有认证因子均不传输,增加了认证因子的安全性。均不在认证过程中传输,增强了可信因子的安全性;
3、 本发明在认证过程中,对物理可信因子进行了验证,一旦物理设备被盗用或丢失,都要重新进行注册绑定,在实际应用中可通过增加重新绑定的人工审核机制来提升安全性;
4、 本发明采用固定长度的哈希算法编码出任意固定长度的安全增强认证码,认证因子的长度不影响安全增强认证码的长度,解决了目前RADIUS服务器在认证过程中对密码长度的限制,并将多次验证合并简化为一次验证,通过减少认证次数提高了认证速度;
5、 本发明采用哈希算法对认证因子进行编码生成安全增强认证码,本身就具有很强的数据压缩效果,通过减少认证时的网络流量提高了认证速度;
6、 本发明将增强认证因子的注册通过接入装置来自动完成,简化了系统管理采集录入的工作,特别适合大规模移动终端接入专线APN的场景;
7、 本发明提供的专线APN创建方法,是基于将专线APN配置信息存储到接入装置中,创建的过程就是对数据读取过程,简化了繁琐的配置操作;
8、 本发明在专线APN链接时,关闭了WIFI,删除了第三方APN信息,保证了专线APN网络链接的唯一性;
9、 本发明中在专线APN接入时,除使用了多个静态认证因子参与认证外,也使用了动态变化的授权可信因子参与认证,也就是说所有认证因子生产的安全增强认证码也是动态变化的,因此,即使某一次安全增强认证码被非法截获或盗用,那么下一次安全增强认证码就有可能发生了变化,无法进行二次链接,从而提升了网络接入的安全性;
10、 本发明在专线APN链接时,关闭/禁用了网络共享功能,保证了专线APN网络只能在被注册的移动终端设备上被使用,保证了使用的唯一性;
11、 通过以上专线APN接入安全性的提升,最终提升了专线APN所链接的专网的安全。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明中示证用户注册流程图
图2为专线APN安全增强创建流程图
图3为安全增强认证码生成流程图
图4为专线APN安全增强接入装置结构图
图5为示证用户登记注册具体过程图
图6为一种专线APN安全增强接入方法与装置的流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。优选的,在接入装置中预先配置好专线APN基本信息,优选的,名称、身份认证类型等信息。
图1为本发明中示证用户注册流程图,具体步骤包括:
步骤101,逻辑可信因子登记注册
系统管理员在RADIUS服务器登记示证用户基本信息,选择用户名、用户密码、组织机构代码、组织机构名称等数据作为逻辑可信因子,优选的,将初始用户密码作为第一次接入装置与RADIUS服务器认证的密码;
步骤102,通过接入装置进行初始认证、建立专线APN链接
示证用户在接入装置中选择专线APN名称,输入用户名和初始用户密码进行初始认证,认证前,接入装置自动关闭/禁用WIFI、第三方APN等其他网络,关闭/禁用蓝牙、USB网络共享、红外等网络共享渠道,认证通过后,专线APN链接成功;
步骤103,接入装置采集物理可信因子并同步
接入装置采集接入设备上的物理可信因子发布到RADIUS服务器,优选的,IMEI号、SIM卡号;
步骤104,接入装置采集部分逻辑可信因子和授权可信因子并同步
接入装置从RADIUS服务器下载部分逻辑可信因子,优选的,组织机构代码、组织机构名称;在专线APN初始链接成功后,RADIUS服务器将最新的授权可信因子发布到接入装置中。优选的,RADIUS服务器授权认证因子为动态变化的固定长度的字符串,系统管理员可自行设置动态变化策略,例如一天、一个月;
步骤105,更新数据库,把所有可信因子存储为认证因子
接入装置和RADIUS服务器分别将获取的所有可信因子存储为认证因子,并分别保存到本地数据库中;
步骤106,注册完成
注册完成,优选退出初始链接;
图2为专线APN安全增强创建流程图,具体步骤包括:
步骤201,接入装置预先配置专线APN基本信息
步骤202,选择专线APN名称
步骤203,用户输入用户名和密码,读取与APN名称相应的APN信息
优选的,用户名为手机号码 ,根据所选择的专线APN名称,接入装置自动配置专线APN信息,包括身份认证类型等;
步骤204,网络接入与网络使用唯一性管控
专线APN动态创建时,接入装置删除第三方创建和配置的任何接入点信息、关闭/禁用WIFI等网络链接,关闭网络共享功能,优选的,红外、蓝牙、USB网络共享;
步骤205,专线APN创建完成
图3为安全增强认证码生成流程图,具体步骤包括:
步骤301,读取本地存储的认证因子
专线APN创建完成后,接入装置采集设备物理可信因子和其他认证因子,优选的,物理可信因子在每次接入时在设备上实时获取,一旦获取到的和数据库中存储的不一致,要与RADIUS服务器重新进行绑定,亦或检测本地数据库存储的物理可信因子是否被篡改。
RADIUS服务器采集本地数据库中存储的所有认证因子;
步骤302,通过哈希算法,生成安全增强认证码
接入装置和RADIUS服务器都是将所有认证因子进行组合编码生成安全增强认证码,生成安全增强认证码的算法及采用的参数双方均保持一致,并有数据压缩效果,即安全增强认证码的长度短于逻辑可信因子、物理可信因子、授权可信因子的总长度;所选算法优选哈希算法,在哈希算法中优选使用MD5、SHA等哈希算法。安全增强认证码优选为固定长度,长度优选为32位、64位、128位等2的幂次方;
步骤303,安全增强认证码存储
优选的,接入装置的安全增强认证码不做本地存储,而是在专线APN登录时,接入装置实时生成安全增强认证码;
RADIUS服务器在每次认证因子发生变化时,生成最新的安全增强认证码,存储在数据库中;
步骤304,安全增强认证码接入认证
安全增强认证码生成完成后,RADIUS服务器将对自身生成的安全增强认证码和收到的接入装置的安全增强认证码进行一致性认证,认证通过则连接成功,反之连接失败;
图4为APN安全增强接入装置结构图,具体包括
401注册模块,用于建立接入装置与RADIUS服务器之间的初始链接,物理可信因子的采集与发布、部分逻辑可信因子和授权可信因子的下载;
402登录模块,用于接入设备上的物理可信因子采集,提交示证用户认证信息到RADIUS服务器进行验证;
403专线APN创建模块,用于创建一个或多个专线APN名称及基本配置信息,优选的,在创建专线APN时,删除其他第三方创建的APN及关闭WIFI等其他网络链接;
404生成安全增强认证码模块,用于将接入装置中存储的认证因子利用与RADIUS服务器相同的算法生成相同长度的安全增强认证码;
405安全退出模块,用于在专线APN断开连接或异常关闭时,自动删除本次创建的连接及所有配置信息,防止第三方非法接入;
406网络共享管控模块,用户检测、监听接入设备上网络共享状态,自动关闭/禁用网络功能功能;
以下结合应用实例对本发明实施例的上述技术方案进行详细说明:
实例应用场景为:手机通过移动运营商移动网络专线APN接入到政府内部网络。
本实施例中,逻辑可信因子,包括姓名、手机号、用户密码、组织机构代码、组织机构名称,其中手机号为用户名;物理可信因子,包括手机IMEI号、手机SIM卡号;授权可信因子是管理员在RADIUS服务器上设置的动态密钥,授权可信因子采用固定长度的字符串,系统管理员可自行设置动态变化策略,例如一天、一个月,每次登陆等。
第一步,示证用户登记注册,具体过程说明如下,如图5所示
501,系统管理员在RADIUS服务器上登记逻辑可信因子
系统管理员在RADIUS服务器上登记示证用户的逻辑可信因子,包括姓名、手机号、用户密码、组织机构代码、组织机构名称,将其存储在RADIUS服务器数据库中,本实例中逻辑认证因子结构如下:
| 姓名 | 丁爱民 |
| 手机号 | 13911889771 |
| 用户密码 | 889771 |
| 组织机构代码 | 08052849-6 |
| 组织机构名称 | 北京成众志科技有限公司 |
表 1
502,在接入装置中配置专线APN基本信息
在接入装置的专线APN创建模块中预先配置好各个运营商专线APN的基本信息,如下:
| 序号 | 运营商 | 名称 | APN | 用户名 | 身份验证类型 | APN类型 |
| 1 | 移动 | 政务网 | jxwtest-ddn.bj | 手机号jxwtest | PAP | default |
| 2 | 联通 | 政务网 | vpdn.bjapn | 手机号bjgov | PAP | default |
| 3 | 电信 | 政务网 | Vpdn | 手机号bjsjxw.vpdn.bj | PAP | default |
表 2
503,自动匹配政务网APN配置信息
用户选择接入装置中的政务网输入手机号13911889771和用户密码889771,根据手机号及所选择的网络名称,接入装置自动配置出专线APN基本信息,如下表所示:
| 序号 | 名称 | APN | 用户名 | 身份验证类型 | APN类型 |
| 1 | 政务网 | jxwtest-ddn.bj | 13911889771jxwtest | PAP | Default |
表 3
504,政务网接入时唯一性保障
接入装置删除第三方创建和配置的任何接入点信息、关闭/禁用WIFI等网络链接,关闭网络共享功能,优选的,红外、蓝牙、USB网络共享。
505,专线APN初始连接,RADIUS服务器进行初始认证。
优选的,如果是用户首次登录,接入装置自动执行注册模块,采用初始用户密码进行认证,接入装置提交表3中的专线APN基本信息和用户输入的用户密码889771到RADIUS服务器进行初始认证。
506,示证用户通过接入装置读取物理可信因子上传到RADIUS服务器,RADIUS服务器将其存储到本地数据库中
初始认证通过后,示证用户通过接入装置读取自身的手机的IMEI号“355584057979464”、SIM卡号“01148052080000031273”,同步到RADIUS服务器完成物理可信因子的注册。
507,接入装置从RADIUS服务器下载部分逻辑可信认证因子,将其存储到本地数据库中。
示证用户从RADIUS服务器下载姓名、组织机构代码“08052849-6”和组织机构名称“北京成众志科技有限公司”,存储到本地数据库中,完成部分逻辑可信认证因子的下载。
508,接入装置从RADIUS服务器获取授权可信因子,将其存储到本地数据库
示证用户获取从RADIUS服务器发布的固定长度的动态密钥“FWQMM”,RADIUS服务器完成对授权可信因子的发布。
509,注册完成,退出政务网
注册完成以后,修改接入装置中的注册状态,并优选退出政务网。
第二步,专线APN安全增强创建
用户选择接入装置中的政务网专线APN,接入装置根据注册状态执行登录模块,输入手机号13911889771和用户密码889771,根据手机号,接入装置自动配置出专线APN基本信息,如下表所示:
| 序号 | 名称 | APN | 用户名 | 身份验证类型 | APN类型 |
| 1 | 政务网 | jxwtest-ddn.bj | 13911889771jxwtest | PAP | Default |
表4
接入装置删除第三方创建和配置的任何接入点信息、关闭/禁用WIFI等网络链接,关闭网络共享功能,优选的,红外、蓝牙、USB网络共享。
第三步,生成安全增强认证码
在示证用户注册完成或每次更新完成以后,RADIUS服务器读取存储在本地数据库中最新的认证因子,包括:
| 序号 | 数据项 | 值 | 数据类型 |
| 1 | 姓名 | 丁爱民 | 逻辑认证因子 |
| 2 | 用户密码 | 889771 | 逻辑认证因子 |
| 3 | 组织机构代码 | 08052849-6 | 逻辑认证因子 |
| 4 | 组织机构名称 | 北京成众志科技有限公司 | 逻辑认证因子 |
| 5 | IMEI号 | 355584057979464 | 物理认证因子 |
| 6 | SIM卡号 | 01148052080000031273 | 物理认证因子 |
| 7 | 动态密钥 | FWQMM | 授权认证因子 |
表 5
优选采用MD5算法,将所有认证因子通过组合编码后,生成32位的安全增强认证码 f9e007552221956b7c4699882634fbe7存储在本地数据库中。
接入装置自动获取到的本机IMEI号、SIM卡号,与本地数据库表表5进行对比,如果与本地存储的IMEI号和SIM卡号码一致,则将表5种的认证因子采用MD5算法生成安全增强认证码,并将安全增强认证码作为政务网APN的密码与表3中的信息一同提交至RADIUS服务器进行认证。
| 序号 | 数据项 | 值 | 数据类型 |
| 1 | 姓名 | 丁爱民 | 逻辑认证因子 |
| 2 | 用户密码 | 889771 | 逻辑认证因子 |
| 3 | 组织机构代码 | 08052849-6 | 逻辑认证因子 |
| 4 | 组织机构名称 | 北京成众志科技有限公司 | 逻辑认证因子 |
| 5 | IMEI号 | 355584057979464 | 物理认证因子 |
| 6 | SIM卡号 | 01148052080000031273 | 物理认证因子 |
| 7 | 动态密钥 | FWQMM | 授权认证因子 |
表 6
如果获取到的IMEI号和SIM卡号与表5中的不一致,优选按照以下方式处理:
1、 手机SIM卡号不一致,如果用户在手机号不变的情况下更换了SIM卡,优选在接入装置和RADIUS服务器中提供密码重置的功能,双方密码重置后重新进行初始认证,即从新将SIM卡号与其他认证信息进行绑定;或优选使用本地存储的SIM卡号与其他认证因子生成安全增强认证码,认证通过后,接入装置自动将新的SIM卡号同步更新到RADIUS服务器。如果用户SIM没有被更换,那么有可能是本地存储的SIM卡号被篡改了,那么修正安全增强认证因子表中的SIM卡号,生成安全增强认证码;
2、IMEI号不一致,有可能是本地存储的IMEI号被篡改,自动将获取到的最新IMEI号更新到接入装置数据库表中。
第四步,专线APN安全增强认证
RADIUS服务器根据接入装置提供的表3中的信息和安全增强认证码 f9e007552221956b7c4699882634fbe7,与本地存储的认证信息进行对比,如果数据一致,认证通过。认证通过,政府内部网络连接成功。
本发明应用实例技术方案带来如下的有益效果:
1、本发明在认证过程中,用户只知道专线APN的用户名和用户密码,而真正参与
认证的安全增强认证码用户是不知道的,用户无法通过移动终端进行手工配置接入专线APN,增加了专线APN接入的安全性;
2、本发明在认证过程中,只是传输用户名和安全增强认证码,安全增强认证码生成算法以及所有认证因子均不传输,增加了认证因子的安全性。均不在认证过程中传输,增强了可信因子的安全性;
3、本发明在认证过程中,对物理可信因子进行了验证,一旦物理设备被盗用或丢失,都要重新进行注册绑定,在实际应用中可通过增加重新绑定的人工审核机制来提升安全性;
4、本发明采用固定长度的哈希算法编码出任意固定长度的安全增强认证码,认证因子的长度不影响安全增强认证码的长度,解决了目前RADIUS服务器在认证过程中对密码长度的限制,并将多次验证合并简化为一次验证,通过减少认证次数提高了认证速度;
5、本发明采用哈希算法对认证因子进行编码生成安全增强认证码,本身就具有很强的数据压缩效果,通过减少认证时的网络流量提高了认证速度;
6、本发明将增强认证因子的注册通过接入装置来自动完成,简化了系统管理采集录入的工作,特别适合大规模移动终端接入专线APN的场景;
7、本发明提供的专线APN创建方法,是基于将专线APN配置信息存储到接入装置中,创建的过程就是对数据读取过程,简化了繁琐的配置操作;
8、本发明在专线APN链接时,关闭了WIFI,删除了第三方APN信息,保证了专线APN网络链接的唯一性;
9、本发明中在专线APN接入时,除使用了多个静态认证因子参与认证外,也使用了动态变化的授权可信因子参与认证,也就是说所有认证因子生产的安全增强认证码也是动态变化的,因此,即使某一次安全增强认证码被非法截获或盗用,那么下一次安全增强认证码就有可能发生了变化,无法进行二次链接,从而提升了网络接入的安全性;
10、本发明在专线APN链接时,关闭/禁用了网络共享功能,保证了专线APN网络只能在被注册的移动终端设备上被使用,保证了使用的唯一性;
11、通过以上专线APN接入安全性的提升,最终提升了专线APN所链接的专网的安全;
本领域技术人员可以理解,本发明的上述实施例中限定的“可信因子”、“授权因子”和“认证因子”不限于各个表中所列出的项,而是可以包括与认证用户相关的各种要素,只要能够实现本发明的专线APN安全增强介入方法即可。
本领域技术人员还可以理解,手机作为接入设备仅仅是示例,接入设备可以包括计算机、移动终端、数据卡等任何有线或无线电子装置。本领域技术人员还可以理解,政府内部网络也仅仅是安全域的一个示例,任何需要对接入用户的访问进行限制的有线或无线网络(包括但不限于政府网络、民用网络、军用网络、工业网络、金融网络、商用网络、教育网络)都可以是安全域,只要可以应用本发明的专线APN安全增强接入方法即可。
本领域技术人员还可以了解到本发明实施例列出的各种说明性逻辑块(illustrative logical block),单元,和步骤可以通过电子硬件、电脑软件,或两者的结合进行实现。为清楚展示硬件和软件的可替换性(interchangeability),上述的各种说明性部件(illustrative components),单元和步骤已经通用地描述了它们的功能。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个系统的设计要求。本领域技术人员可以对于每种特定的应用,可以使用各种方法实现所述的功能,但这种实现不应被理解为超出本发明实施例保护的范围。
本发明实施例中所描述的各种说明性的逻辑块,或单元都可以通过通用处理器,数字信号处理器,专用集成电路(ASIC),现场可编程门阵列或其它可编程逻辑装置,离散门或晶体管逻辑,离散硬件部件,或上述任何组合的设计来实现或操作所描述的功能。通用处理器可以为微处理器,可选地,该通用处理器也可以为任何传统的处理器、控制器、微控制器或状态机。处理器也可以通过计算装置的组合来实现,例如数字信号处理器和微处理器,多个微处理器,一个或多个微处理器联合一个数字信号处理器核,或任何其它类似的配置来实现。
本发明实施例中所描述的方法或算法的步骤可以直接嵌入硬件、处理器执行的软件模块、或者这两者的结合。软件模块可以存储于RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动磁盘、CD-ROM或本领域中其它任意形式的存储媒介中。示例性地,存储媒介可以与处理器连接,以使得处理器可以从存储媒介中读取信息,并可以向存储媒介存写信息。可选地,存储媒介还可以集成到处理器中。处理器和存储媒介可以设置于ASIC中,ASIC可以设置于用户终端中。可选地,处理器和存储媒介也可以设置于用户终端中的不同的部件中。
在一个或多个示例性的设计中,本发明实施例所描述的上述功能可以在硬件、软件、固件或这三者的任意组合来实现。如果在软件中实现,这些功能可以存储与电脑可读的媒介上,或以一个或多个指令或代码形式传输于电脑可读的媒介上。电脑可读媒介包括电脑存储媒介和便于使得让电脑程序从一个地方转移到其它地方的通信媒介。存储媒介可以是任何通用或特殊电脑可以接入访问的可用媒体。例如,这样的电脑可读媒体可以包括但不限于RAM、ROM、EEPROM、CD-ROM或其它光盘存储、磁盘存储或其它磁性存储装置,或其它任何可以用于承载或存储以指令或数据结构和其它可被通用或特殊电脑、或通用或特殊处理器读取形式的程序代码的媒介。此外,任何连接都可以被适当地定义为电脑可读媒介,例如,如果软件是从一个网站站点、服务器或其它远程资源通过一个同轴电缆、光纤电缆、双绞线、数字用户线(DSL)或以例如红外、无线和微波等无线方式传输的也被包含在所定义的电脑可读媒介中。所述的碟片(disk)和磁盘(disc)包括压缩磁盘、镭射盘、光盘、DVD、软盘和蓝光光盘,磁盘通常以磁性复制数据,而碟片通常以激光进行光学复制数据。上述的组合也可以包含在电脑可读媒介中。
上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种专线APN安全增强接入方法与装置,用于示证用户通过接入装置进行专线APN安全增强接入,其专线APN安全增强接入方法与装置的特征在于,包括:
示证用户注册步骤,在该步骤中,通过RADIUS服务器存储与示证用户相关的可信
因子来完成示证用户在RADIUS服务器上的注册,并且在接入装置与RADIUS服务器之间同步可信因子,RADIUS服务器将同步成功的可信因子存储为认证因子,并且接入装置也将同步成功的可信因子存储为认证因子;
专线APN安全增强创建步骤,在该步骤中,接入装置预先置专线APN基本信息,
示证用户在接入装置中选择专线APN名称完成专线APN安全增强创建;
安全增强认证码生成步骤,在该步骤中,RADIUS服务器和接入装置分别根据各自存储的认证因子按照相同算法生成安全增强认证码;以及
专线APN安全增强认证接入步骤,在该步骤中,RADIUS服务器验证自身生成的安全增强认证码与接入装置提供的安全增强认证码是否一致,以对示证用户通过接入装置进行安全增强接入。
2.如权利要求1所述的一种专线APN安全增强接入方法与装置,其特征在于,所述的示证用户注册步骤包括:
逻辑注册步骤,在该步骤中,在RADIUS服务器中存储与示证用户相关的逻辑可信因子,所述的逻辑可信因子是与示证用户相关联的可信因子并且不描述接入装置的物理信息,仅仅完成逻辑注册的示证用户不能访问专网中除RADIUS服务器之外的任何设备;以及物理注册步骤,在逻辑注册步骤完成后,RADIUS服务器授权示证用户通过接入装置进行物理注册步骤,在物理注册步骤中,示证用户首次通过接入装置接入到RADIUS服务器后,接入装置以在线的方式将采集到的与示证用户物理设备相关的物理可信因子上传到RADIUS服务器,所述的物理可信因子是描述示证用户物理设备的可信因子,同时,接入装置以在线的方式采集RADIUS服务器上的部分逻辑可信因子和授权可信因子,所述的部分逻辑可信因子是逻辑注册中不用于建立初次连接的可信因子,所述的授权可信因子是RADIUS服务器上动态生成的用于增强认证的可信因子,并且在接入装置和RADIUS服务器之间同步所有可信因子,RADIUS服务器将同步成功的所有可信因子存储为认证因子,接入装置将同步成功的所有可信因子也存储为认证因子。
3.如权利要求2所述的一种专线APN安全增强接入方法与装置,其特征在于,授权可信因子是按照一定变化策略进行动态变化的,发明人称之为动态密钥,从而生成的安全增强认证码也是动态变化的。
4.如权利要求1所述的一种专线APN安全增强接入方法与装置,其特征在于,所述的专线APN安全增强创建步骤,包括:首先在接入装置中配置一个或多个专线APN基本信息;示证用户选择接入装置中需要接入的专线APN名称后,接入装置自动创建某一专线APN。
5.如权利要求4所述的专线APN安全增强创建步骤,其特征在于专线APN安全增强创建方式,还包括:通过接入装置创建专线APN时,对接入设备上第三方配置的接入点信息进行删除、对WIFI等其他网络功能进行关闭或禁用,保证网络接入的唯一性;对接入设备上的网络共享功能进行关闭或禁用,保证专网使用的唯一性。
6.如权利要求1所述的一种专线APN安全增强接入方法与装置,其特征在于,所述的安全增强认证码生成步骤,包括安全增强认证码是由RADIUS服务器和接入装置分别根据各自存储的认证因子按照相同算法生成的,生成安全增强认证码的算法及采用的参数双方均保持一致,并有数据压缩效果,即安全增强认证码的长度短于认证因子的总长度;所选算法优选哈希算法,在哈希算法中优选使用MD5、SHA等哈希算法;安全增强认证码优选为固定长度,长度优选为32位、64位、128位等2的幂次方;安全增强认证码将作为用户创建的专线APN配置信息中的用户密码传输到RADIUS服务器进行认证。
7.如权利要求1所述的一种专线APN安全增强接入方法与装置,其特征在于,所述的专线APN安全增强认证接入步骤,包括:RADIUS服务器验证用户密码时,是将自身生成的安全增强认证码与接入装置提供的安全增强认证码是否一致,如果一致则接入成功。
8.一种专线APN安全增强接入装置,其特征在于,所述的装置包括:
注册模块,用于建立接入装置与RADIUS服务器之间的初始链接,物理可信因子的采集与发布、部分逻辑可信因子和授权可信因子的下载;
登录模块,用于接入设备上的物理可信因子采集,提交示证用户认证信息到RADIUS服务器进行验证;
专线APN创建模块,用于创建一个或多个专线APN名称及基本配置信息,优选的,在创建专线APN时,删除其他第三方创建的APN及关闭WIFI等其他网络链接;
生成安全增强认证码模块,用于将接入装置中存储的认证因子利用与RADIUS服务器相同的算法生成相同长度的安全增强认证码;
安全退出模块,用于在专线APN断开连接或异常关闭时,自动删除本次创建的连接及所有配置信息,防止第三方非法接入;
网络共享管控模块,用户检测、监听接入设备上网络共享状态,自动关闭/禁用网络功能功能。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510097423.4A CN104703183A (zh) | 2015-03-05 | 2015-03-05 | 一种专线apn安全增强接入方法与装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510097423.4A CN104703183A (zh) | 2015-03-05 | 2015-03-05 | 一种专线apn安全增强接入方法与装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104703183A true CN104703183A (zh) | 2015-06-10 |
Family
ID=53349865
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510097423.4A Pending CN104703183A (zh) | 2015-03-05 | 2015-03-05 | 一种专线apn安全增强接入方法与装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104703183A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109995811A (zh) * | 2017-12-29 | 2019-07-09 | 中国移动通信集团广东有限公司 | 一种ios系统的网络切换方法及系统 |
| JP2019180006A (ja) * | 2018-03-30 | 2019-10-17 | Necプラットフォームズ株式会社 | 通信ネットワークシステム、個別認証情報設定方法および個別認証情報設定プログラム |
| CN110839268A (zh) * | 2019-10-12 | 2020-02-25 | 国网浙江省电力有限公司杭州供电公司 | 基于无线专网的wifi管控方法 |
| CN111026748A (zh) * | 2019-11-05 | 2020-04-17 | 广州市玄武无线科技股份有限公司 | 网络访问频次管控的数据压缩方法、装置及系统 |
| CN114124905A (zh) * | 2021-11-03 | 2022-03-01 | 中盈优创资讯科技有限公司 | 一种判断静态地址池地址占用情况统计的方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1720370A1 (en) * | 2005-03-31 | 2006-11-08 | Newbury Networks Inc. | Method and apparatus for location-based control of access privileges |
| US20120057532A1 (en) * | 2009-05-14 | 2012-03-08 | Qi Caixia | Method, system, network element, and gateway for processing access point name restriction information |
| CN103188680A (zh) * | 2011-12-28 | 2013-07-03 | 中国移动通信集团广东有限公司 | 无线网络的接入方法、装置与dhcp服务端 |
| CN104363207A (zh) * | 2014-10-29 | 2015-02-18 | 北京成众志科技有限公司 | 多因子安全增强授权与认证方法 |
-
2015
- 2015-03-05 CN CN201510097423.4A patent/CN104703183A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1720370A1 (en) * | 2005-03-31 | 2006-11-08 | Newbury Networks Inc. | Method and apparatus for location-based control of access privileges |
| US20120057532A1 (en) * | 2009-05-14 | 2012-03-08 | Qi Caixia | Method, system, network element, and gateway for processing access point name restriction information |
| CN103188680A (zh) * | 2011-12-28 | 2013-07-03 | 中国移动通信集团广东有限公司 | 无线网络的接入方法、装置与dhcp服务端 |
| CN104363207A (zh) * | 2014-10-29 | 2015-02-18 | 北京成众志科技有限公司 | 多因子安全增强授权与认证方法 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109995811A (zh) * | 2017-12-29 | 2019-07-09 | 中国移动通信集团广东有限公司 | 一种ios系统的网络切换方法及系统 |
| CN109995811B (zh) * | 2017-12-29 | 2021-12-28 | 中国移动通信集团广东有限公司 | 一种ios系统的网络切换方法及系统 |
| JP2019180006A (ja) * | 2018-03-30 | 2019-10-17 | Necプラットフォームズ株式会社 | 通信ネットワークシステム、個別認証情報設定方法および個別認証情報設定プログラム |
| CN110839268A (zh) * | 2019-10-12 | 2020-02-25 | 国网浙江省电力有限公司杭州供电公司 | 基于无线专网的wifi管控方法 |
| CN110839268B (zh) * | 2019-10-12 | 2021-11-09 | 国网浙江省电力有限公司杭州供电公司 | 基于无线专网的wifi管控方法 |
| CN111026748A (zh) * | 2019-11-05 | 2020-04-17 | 广州市玄武无线科技股份有限公司 | 网络访问频次管控的数据压缩方法、装置及系统 |
| CN114124905A (zh) * | 2021-11-03 | 2022-03-01 | 中盈优创资讯科技有限公司 | 一种判断静态地址池地址占用情况统计的方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103023875B (zh) | 一种账户管理系统及方法 | |
| CN102378170B (zh) | 一种鉴权及业务调用方法、装置和系统 | |
| CN103619020B (zh) | 无线数据专网物理隔离互联网的移动支付安全系统 | |
| CN105357242B (zh) | 接入无线局域网的方法和系统、短信推送平台、门户系统 | |
| CN101378582B (zh) | 用户识别模块、鉴权中心、鉴权方法及系统 | |
| EP3906652A1 (en) | Protecting a telecommunications network using network components as blockchain nodes | |
| CN103747104A (zh) | 一种在物联网设备间迁移用户信息的方法及系统 | |
| US10812975B1 (en) | Methods and systems for blockchain smart contract in Hotspot 2.0 network for user authentication while roaming | |
| CN104703183A (zh) | 一种专线apn安全增强接入方法与装置 | |
| CN104158824A (zh) | 网络实名认证方法及系统 | |
| CN101986598B (zh) | 认证方法、服务器及系统 | |
| CN104363207A (zh) | 多因子安全增强授权与认证方法 | |
| CN104809369A (zh) | 分组设置设备访问权限的方法、客户端、服务器及系统 | |
| CN104601602A (zh) | 一种终端设备网络安全增强接入与认证方法 | |
| WO2020032937A1 (en) | System and method for accessing a data repository | |
| CN106331010A (zh) | 网络文件访问控制方法及装置 | |
| CN102420808A (zh) | 一种在电信网上营业厅实现单点登录的方法 | |
| CN103095735B (zh) | 读取sim卡上数据信息的方法、移动终端、云服务器及系统 | |
| CN112073366B (zh) | 一种用于铁路财务系统的数据处理方法及数据中台 | |
| KR102381038B1 (ko) | 피제어 장치의 보안 인증 기법 | |
| CN106537962B (zh) | 无线网络配置、接入和访问方法、装置及设备 | |
| CN103916404A (zh) | 一种数据管理方法和系统 | |
| CN116094814A (zh) | Vpn接入方法、装置、电子设备及存储介质 | |
| CN115510496A (zh) | 数据库访问控制方法及相关装置 | |
| CN109413200A (zh) | 一种资源导入的方法、客户端、mes及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20150610 |