CN117641338A - 安全通信系统 - Google Patents
安全通信系统 Download PDFInfo
- Publication number
- CN117641338A CN117641338A CN202311647666.1A CN202311647666A CN117641338A CN 117641338 A CN117641338 A CN 117641338A CN 202311647666 A CN202311647666 A CN 202311647666A CN 117641338 A CN117641338 A CN 117641338A
- Authority
- CN
- China
- Prior art keywords
- sta
- communication
- security
- response sequence
- cloud server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000006854 communication Effects 0.000 title claims abstract description 265
- 238000004891 communication Methods 0.000 title claims abstract description 263
- 230000004044 response Effects 0.000 claims abstract description 65
- 238000012795 verification Methods 0.000 claims abstract description 48
- 238000000034 method Methods 0.000 description 22
- 230000008569 process Effects 0.000 description 10
- 230000009471 action Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004880 explosion Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种安全通信系统,包括:AC向AP发送安全通信策略;STA在首次请求入网时,搜索其所属区域内的无线网络,并向AP发送STA对应的入网请求其中包含安全通信等级;AP基于安全通信策略,向STA发送安全通信等级对应的安全通信规则;STA基于安全通信规则,通过AP向AC发送与安全通信规则相匹配的序列号及STA对应的设备识别号;AC基于设备识别号进行安全性验证,并在通过对STA的安全性验证后,基于序列号向STA发送应答序列和通信密钥;STA应用应答序列和通信密钥,通过AC和/或AP访问互联网。应用该系统,可以对移动用户终端设置对应活动通信密钥,以确保移动用户终端接入互联网时通信的安全性。
Description
技术领域
本发明涉及安全通信技术领域,特别是涉及一种安全通信系统。
背景技术
当今信息爆炸的时代,在通信网络高速率数据传输能力的支持下,视频、音频等媒体形式被用户所钟爱,但在运营商通信服务需付费且流量受限时,用户会优先连接公共区域的免费无线局域网。各种钓鱼网络也随之而来,这会使个人信息被截获,进而造成个人或工作信息泄露,甚至威胁到用户财产安全等。
发明内容
有鉴于此,本发明提供一种安全通信系统,通过该系统可以对移动用户终端设置对应活动通信密钥,以确保移动用户终端接入互联网时通信的安全性。
一种安全通信系统,包括:
云端服务器、移动用户终端STA、访问控制器AC和访问接入点AP;
所述AC基于与所述云端服务器的注册信息,向所述AP发送安全通信策略,所述安全通信策略至少包括多个安全通信等级分别对应的安全通信规则;
所述STA在首次请求入网时,搜索其所属区域内的无线网络,并向所述AP发送所述STA对应的入网请求,所述入网请求包含所述STA的用户选择的安全通信等级;
所述AP基于所述安全通信策略,向所述STA发送所述安全通信等级对应的安全通信规则;
所述STA基于所述安全通信规则,通过所述AP向所述AC发送与所述安全通信规则相匹配的序列号及所述STA对应的设备识别号;
所述AC基于设备识别号,对所述STA进行安全性验证,并在通过对所述STA的安全性验证后,基于所述序列号向所述STA发送应答序列和通信密钥;
所述STA应用所述应答序列和通信密钥,通过所述AC和/或所述AP访问互联网。
上述的安全通信系统,可选的,所述AC基于与所述云端服务器的注册信息,向所述AP发送安全通信策略,具体用于:
基于所述注册信息,判断所述AC是否成功注册至所述云端服务器;
如果所述AC成功注册至所述云端服务器,获得所述云端服务器基于所述AC的特征数据下发的目标安全通信策略,向所述AP发送所述目标安全通信策略;
如果所述AC未成功注册至所述云端服务器,向所述AP发送默认安全通信策略。
上述的安全通信系统,可选的,所述AC向所述AP发送安全通信策略,具体用于:
通过预设的有线安全通信协议向所述AP发送安全通信策略。
上述的安全通信系统,可选的,所述STA包括:浏览器认证界面;
所述浏览器认证界面用于显示所述STA可选择的各个安全通信等级。
上述的安全通信系统,可选的,所述所述AC基于设备识别号,对所述STA进行安全性验证,具体用于:
获取所述设备识别号中的设备类型标识;
如果所述设备类型标识表征所述STA合法,通过对所述STA的安全性验证。
上述的安全通信系统,可选的,如果所述AC成功注册至所述云端服务器,且所述AC在通过对所述STA的安全性验证后,所述AC还用于:
向所述云端服务器发送所述序列号和所述设备识别号,使得所述云端服务器对所述STA进行二次安全性验证。
上述的安全通信系统,可选的,所述AC基于所述序列号向所述STA发送应答序列和通信密钥,具体用于:
按照所述安全通信等级对应的安全通信规则,获得所述安全通信规则中的认证码;
对所述认证码及所述序列号进行计算,获得第一应答序列和第一通信密钥;
向所述STA发送所述第一应答序列和所述第一通信密钥。
上述的安全通信系统,可选的,所述云端服务器还用于:
在通过对所述STA的二次安全性验证后,按照所述安全通信等级对应的安全通信规则,获得所述安全通信规则中的认证码;
对所述认证码及所述序列号进行计算,获得第一应答序列和第一通信密钥;
通过所述AC向所述STA发送所述第一应答序列和所述第一通信密钥。
上述的安全通信系统,可选的,所述STA应用所述应答序列和通信密钥,通过所述AC和/或所述AP访问互联网,具体用于:
获得所述安全通信等级对应的安全通信规则中的认证码;
对所述认证码及所述序列号进行计算,获得第二应答序列;
如果所述第二应答序列与所述第一应答序列一致,应用所述第一通信密钥通过所述AC和/或所述AP访问互联网。
上述的安全通信系统,可选的,所述STA还用于:如果所述第二应答序列与所述第一应答序列不一致,应用所述第一通信密钥访问所述AC的资源。
与现有技术相比,本发明包括以下优点:
本发明提供一种安全通信系统,包括:AC基于与云端服务器的注册信息,向AP发送安全通信策略,安全通信策略至少包括多个安全通信等级分别对应的安全通信规则;STA在首次请求入网时,搜索其所属区域内的无线网络,并向所述AP发送所述STA对应的入网请求,所述入网请求包含所述STA的用户选择的安全通信等级;AP基于所述安全通信策略,向STA发送安全通信等级对应的安全通信规则;STA基于安全通信规则,通过AP向所述AC发送与安全通信规则相匹配的序列号及STA对应的设备识别号;AC基于设备识别号,对所述STA进行安全性验证,并在通过对STA的安全性验证后,基于序列号向所述STA发送应答序列和通信密钥;STA应用所述应答序列和通信密钥,通过AC和/或所述AP访问互联网。应用本发明提供的安全通信系统,可以对移动用户终端设置对应活动通信密钥,以确保移动用户终端接入互联网时通信的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例提供的一种安全通信系统的系统结构图;
图2为本发明实施例提供的一种安全通信系统的具体实现流程图;
图3为本发明实施例提供的一种安全通信系统的又一具体实现流程图;
图4为本发明实施例提供的一种安全通信系统的再一具体实现流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本申请中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本发明可用于众多通用或专用的计算装置环境或配置中。例如:个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器装置、包括以上任何装置或设备的分布式计算环境等等。
本发明实施例提供了一种安全通信系统,该系统的系统结构图如图1所示,具体包括:云端服务器、移动用户终端STA、访问控制器AC和访问接入点AP。
参考如图2所示的流程,实现移动用户终端的安全通信的具体过程如下:
S201:AC基于与云端服务器的注册信息,向AP发送安全通信策略,安全通信策略至少包括多个安全通信等级分别对应的安全通信规则。
其中,AC为可通过上联云端服务器实现联网认证功能,并提供互联网服务的服务器。AC与云端的注册信息用于表征该AC是否成功注册到云端服务器。其中,如果AC成功注册到云端服务器,AC向AP发送的安全通信策略为云端服务器向AC下发的安全通信策略;如果AC未成功注册到云端服务器,AC向AP发送的安全通信策略为AC内设置的默认安全通信策略。
本发明实施例中,AC通过预设的有线安全通信协议向所述AP发送安全通信策略。
S202:STA在首次请求入网时,搜索其所属区域内的无线网络,并向AP发送STA对应的入网请求,入网请求包含STA的用户选择的安全通信等级。
其中,所述STA包括:浏览器认证界面;浏览器认证界面用于显示所述STA可选择的各个安全通信等级。移动用户终端STA在当前所处区域探测到无线网络后,在首次请求接入时会激活内嵌的浏览器认证界面,在用户认证界面中选择此次安全通信等级后,发送其入网认证请求。
S203:AP基于安全通信策略,向STA发送安全通信等级对应的安全通信规则。
S204:STA基于所述安全通信规则,通过所述AP向所述AC发送与所述安全通信规则相匹配的序列号及所述STA对应的设备识别号。
S205:AC基于设备识别号,对STA进行安全性验证,并在通过对STA的安全性验证后,基于序列号通过AP向STA发送应答序列(SRES)和通信密钥(key)。
其中,所述AC基于设备识别号,对所述STA进行安全性验证,具体用于:获取设备识别号中的设备类型标识;如果所述设备类型标识表征所述STA合法,通过对所述STA的安全性验证。AC根据设备类型标识字段校验用户终端设备身份合法性,没有相关字段的设备禁止后续请求连接。这样可以筛除非许可的生产厂商生产的设备,防止恶意的终端设备连接入网,同时避免了无意义的认证请求。
S206:STA应用应答序列和通信密钥,通过AC和/或所述AP访问互联网。
需要说明的是,安全通信等级至少包括:高安全通信等级、中安全通信等级、低安全服务等级。安全通信规则内容可包括在入网认证过程中所使用的终端认证要素序列的编号标识(即Unique key或者PUBkey)、单向变形算法的编号、随机挑战序列比特位数、变形运算输出的响应序列中应答序列与通信密钥各自所分配的比特位数等。
本发明实施例提供的系统中,移动用户终端STA为带有无线连接和加密认证功能的用户终端包括智能手机、智能平板电脑、便携式笔记本等。AC、AP内嵌有访问认证及加密通信所需的逻辑运算单元。AC、AP设备出厂时预置用户安全认证所需知识库,用户安全认证所需知识库包括但不限于STA设备识别号中设备类型标识所在的字段位置,以及与STA所属设备类型相对应的预共享认证要素PUBkey等信息。云端服务器基于AC特征属性等信息为访问控制器AC定义其安全通信策略。STA进行通信的通信网络,包括有线链路部分及无线链路部分。
本发明实施例提供的安全通信系统中,AC基于与所述云端服务器的注册信息,向所述AP发送安全通信策略,具体用于:
基于所述注册信息,判断所述AC是否成功注册至所述云端服务器;如果所述AC成功注册至所述云端服务器,获得所述云端服务器基于所述AC的特征数据下发的目标安全通信策略,向所述AP发送所述目标安全通信策略;如果所述AC未成功注册至所述云端服务器,向所述AP发送默认安全通信策略。
需要说明的是,网络服务提供者通过内部部署认证机制将连接到互联网的AC注册到特定的云端服务器,云端服务器基于AC特征属性等信息为访问控制器AC定义其安全通信策略。AC的特征属性信息包括但不限于AC的部署场所(如商场、企事业单位)等。若连接到互联网的AC在启用之初未能及时注册到特定的云端服务器,AC可应用其出厂时内置的默认安全通信策略,基于预共享认证要素PUBkey为局域网内的STA提供弱安全通信服务等级的互联网服务,并在用户上网页面中提示相关安全通信服务等级信息。AC基于有线安全通信协议下发其默认安全通信策略到与其级联的访问接入点AP。
进一步地,如果AC注册到云端服务器,则在对STA进行安全性验证的过程中,先由AC进行安全性验证后,再由云端服务器进行安全性验证。如果AC未注册到云端服务器,则只有AC对STA进行安全性验证。
其中,通过AC对STA进行安全性验证的方式为:获取所述设备识别号中的设备类型标识;如果所述设备类型标识表征所述STA合法,通过对所述STA的安全性验证。
如果AC注册到云端服务器,则AC在通过对所述STA的安全性验证后,所述AC还用于:向所述云端服务器发送所述序列号和所述设备识别号,使得所述云端服务器对所述STA进行二次安全性验证。其中,云端服务器对STA进行安全性验证的验证方式基于STA设备识别号的全部字段进行,与AC的验证原理基本一致,此处将不复赘述。
本发明实施例提供的安全通信系统中,如果只有AC对STA进行安全性验证,则向STA发送的应答序列和通信密钥由AC基于变形算法对序列号和安全通信规则中的认证码进行计算获得。其中,获得AC获得应答序列和通信密钥的过程为:
按照所述安全通信等级对应的安全通信规则,获得所述安全通信规则中的认证码;
对所述认证码及所述序列号进行计算,获得第一应答序列和第一通信密钥;
向所述STA发送所述第一应答序列和所述第一通信密钥。
同样的,如果通过AC和云端服务器对STA进行安全性验证,则向STA发送的应答序列和通信密钥由云端服务器生成。云端服务器生成应答序列和通信密钥的过程与AC的过程一致,具体为:
在通过对所述STA的二次安全性验证后,按照所述安全通信等级对应的安全通信规则,获得所述安全通信规则中的认证码;
对所述认证码及所述序列号进行计算,获得第一应答序列和第一通信密钥;
通过所述AC向所述STA发送所述第一应答序列和所述第一通信密钥。
对于STA,其在接收到应答序列和通信密钥后,需要验证应答序列和通信密钥的可靠性。以在通过验证后应用通信密钥访问互联网进行安全通信。
本发明实施例中的变形算法可由网络服务提供者自行设计掌握(可设计不止1个函数供使用),相关算法可固化在云端服务器以及AC、STA等设备硬件的逻辑运算单元中;与STA中写入的终端认证要素序列一样,在硬件设计时就将相关数据或算法深埋在电路里,即使拿到相关硬件也无法被获知。
其中,STA应用所述应答序列和通信密钥,通过所述AC和/或所述AP访问互联网,具体用于:
获得所述安全通信等级对应的安全通信规则中的认证码;
对所述认证码及所述序列号进行计算,获得第二应答序列;
如果所述第二应答序列与所述第一应答序列一致,应用所述第一通信密钥通过所述AC和/或所述AP访问互联网。
进一步地,如果所述第二应答序列与所述第一应答序列不一致,应用所述第一通信密钥访问所述AC的资源。此时的STA无法访问通信网络。
基于上述实施例提供的方法,STA接入通信网络的过程有两种实现方式。其中一种为AC注册到云端服务器时的安全通信过程,另一种是AC未注册到云端服务器时的安全通信过程。
参考图3,图3为安全通信系统中AC注册到云端服务器后实现STA的安全通信的流程,具体参考以下过程:
网络服务提供者通过内部部署认证机制将连接到互联网的AC注册到特定的云端服务器,云端服务器基于AC特征属性等信息为访问控制器AC定义其安全通信策略。其中,AC的特征属性信息包括但不限于AC的部署场所(如商场、企事业单位)等。定义AC的安全通信策略包括但不限于基于AC特征属性定义的该AC下不同用户安全通信等级相匹配的用户安全通信规则、不同用户角色相匹配的QoS服务等级策略等。用户安全通信等级可划分为高安全通信等级、中安全通信等级、低安全服务等级;用户安全通信规则内容可包括在入网认证过程中所使用的终端认证要素序列的编号标识(即使用Unique key或者PUBkey)、单向变形算法的编号、随机挑战序列比特位数、变形运算输出的响应序列中应答序列与通信密钥各自所分配的比特位数等。用户角色可划分为商场会员用户、企业单位员工、注册用户、一般访客等。
云端服务器将定义的相应的安全通信策略通过有线安全通信协议下发到指定的AC。
AC基于有线安全通信协议下发该安全通信策略到与其级联的访问接入点AP。
移动用户终端STA向AP发送入网认证请求。其中,STA在当前所处区域探测到无线网络后,在首次请求接入时会激活内嵌的浏览器认证界面,在用户认证界面中选择此次安全通信等级后,发送其入网认证请求。
AP根据接受到的用户安全通信等级需求,通过无线通信协议下发相匹配的用户安全通信规则给首次请求入网的STA。
STA按照用户安全通信规则,通过无线通信协议向AP发送与此次安全通信等级相匹配的一定比特位的RCS(Random Challenge Sequence,随机挑战序列)以及自己的设备识别号。
AP将接收到的STA的安全通信等级需求、RCS序列、设备识别号上送给AC。
AC对STA设备识别号中的设备类型标识进行初次核验。其中,实现AC对请求入网用户终端的合法性的第一次验证:AC根据设备类型标识字段校验用户终端设备身份合法性,没有相关字段的设备禁止后续请求连接。这样可以筛除非许可的生产厂商生产的设备,防止恶意的终端设备连接入网,在建立认证连接前把好第一道关,同时避免了无意义的认证请求发往云端服务器,减轻云端的压力。
如初核通过,AC将接收到的安全通信等级需求、RCS序列、STA的设备识别号上送给云端服务器进行二次检验。如初核失败,STA为非注册终端,只能访问该AC内的有限资源,无法访问互联网。
云端服务器进行二次检验。其中,云端服务器依据STA设备识别号查询获得该STA对应的特有认证要素Unique key(实现AC对请求入网用户终端的合法性的第二次验证)。
检验通过,生成应答序列和通信密钥。其中,调用为该AC定义的安全通信策略中当前用户安全通信等级相匹配的用户安全通信规则,使用与发送给STA同一编号的变形函数,混合Unique key和RCS,经过变形运算输出特定位数的应答序列SRES1以及特定位数的通信密钥Kc1;云端服务器将经计算所得的应答序列SRES1以及通信密钥Kc1返回给该AC;AC将应答序列SRES1以及通信密钥Kc1返回给该AP;AP将该应答序列SRES1发送给STA。
STA验证应答序列和密钥。其中,根据接收到的当前安全通信等级对应的用户安全通信规则,使用其特有认证要素Unique key和RCS序列进行同样的变形计算,如果AP返回的应答序列SRES1与STA自己计算所得的SRES2一致(实现用户终端对AP/AC合法性的验证)则认证通过;验证通过,访问互联网。验证失败,访问AC资源。
需要说明的是,AP/AC接收到STA反馈的验证通过结果,并为其打开后续访问互联网的通道;该STA可以通过当前AP/AC接入访问互联网,并应用相同的通信密钥Kc1对后续通信内容进行加密(因Kc1为双方计算获得,不在无线信道中传输,从而保障了当次加密通信的可靠性,有效避免了AP欺骗、网络劫持等)。在STA提示认证通过后,提供输入用户角色内容相关信息的界面,以获得与之匹配的用户服务等级。若比对认证失败,认为无线网络是非法热点,拒绝连接到该网络。
基于上述实施例,若连接到互联网的AC在启用之初未能及时注册到特定的云端服务器,AC可应用其出厂时内置的默认安全通信策略,基于预共享认证要素PUBkey为局域网内的STA提供弱安全通信服务等级的互联网服务,并在用户上网页面中提示相关安全通信服务等级信息。
参考图4,图4为安全通信系统中AC未注册到云端服务器,实现STA的安全通信的流程,具体参考以下过程:
AC基于有线安全通信协议下发其默认安全通信策略到与其级联的访问接入点AP。
移动用户终端STA在当前所处区域探测到无线网络后,在首次请求接入时会激活内嵌的浏览器认证界面,在用户认证界面中选择此次安全通信等级后,发送其入网认证请求。
AP收到安全通信等级需求后,通过无线通信协议下发默认安全通信策略中的用户安全通信规则给首次请求入网的STA,同时反馈STA并在其认证界面显示“此次通信为弱安全认证,请注意”。
STA按照用户安全通信规则,通过无线通信协议向AP发送一定比特位的RCS(Random Challenge Sequence,随机挑战序列)以及自己的设备识别号。
AP将接收到的STA的RCS序列、设备识别号上送给AC。
AC对STA设备识别号中的设备类型标识进行初次核验(实现AC对请求入网用户终端的合法性的验证)。
如初核通过,生成应答序列和通信密钥发送给STA。其中,AC依据STA设备识别号中的所属设备类型查询获得该STA对应的预共享认证要素PUBkey,使用与发送给STA的安全通信规则中同一编号的变形函数,混合PUBkey和RCS,经过变形运算输出特定位数的应答序列SRES3以及特定位数的通信密钥Kc3;AC将经计算所得的应答序列SRES3以及通信密钥Kc3返回给该AP;AP将该应答序列SRES3发送给STA;如初核失败,STA为非注册终端,只能访问该AC内的有限资源,无法访问互联网。
STA验证应答序列和密钥。验证通过,访问互联网。访问失败,访问AC资源。
其中,STA根据接收到的用户安全通信规则,使用其预共享认证要素PUBkey和RCS序列进行同样的变形计算,如果AP返回的应答序列SRES3与STA自己计算所得的SRES4一致(实现用户终端对AP/AC合法性的验证,确认服务器非钓鱼网络),则认证通过。AP/AC接收到STA反馈的验证通过结果,并为其打开后续访问互联网的通道;该STA可以通过当前AP/AC接入访问互联网,并应用相同的通信密钥Kc3对后续通信内容进行加密。在STA提示认证通过后,提供输入用户角色内容相关信息的界面,以获得与之匹配的用户服务等级。若比对认证失败,认为无线网络是非法服务热点,拒绝连接到该网络。
本发明提供了基于挑战认证加密的用户终端安全联网认证系统及其工作方法,既可以防止通信被窃听、中间人劫持等导致的信息泄露,又避免了误连到钓鱼网络导致用户财产损失等。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统或系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的系统及系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现。
为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种安全通信系统,其特征在于,包括:
云端服务器、移动用户终端STA、访问控制器AC和访问接入点AP;
所述AC基于与所述云端服务器的注册信息,向所述AP发送安全通信策略,所述安全通信策略至少包括多个安全通信等级分别对应的安全通信规则;
所述STA在首次请求入网时,搜索其所属区域内的无线网络,并向所述AP发送所述STA对应的入网请求,所述入网请求包含所述STA的用户选择的安全通信等级;
所述AP基于所述安全通信策略,向所述STA发送所述安全通信等级对应的安全通信规则;
所述STA基于所述安全通信规则,通过所述AP向所述AC发送与所述安全通信规则相匹配的序列号及所述STA对应的设备识别号;
所述AC基于设备识别号,对所述STA进行安全性验证,并在通过对所述STA的安全性验证后,基于所述序列号通过所述AP向所述STA发送应答序列和通信密钥;
所述STA应用所述应答序列和通信密钥,通过所述AC和/或所述AP访问互联网。
2.根据权利要求1所述的安全通信系统,其特征在于,所述AC基于与所述云端服务器的注册信息,向所述AP发送安全通信策略,具体用于:
基于所述注册信息,判断所述AC是否成功注册至所述云端服务器;
如果所述AC成功注册至所述云端服务器,获得所述云端服务器基于所述AC的特征数据下发的目标安全通信策略,向所述AP发送所述目标安全通信策略;
如果所述AC未成功注册至所述云端服务器,向所述AP发送默认安全通信策略。
3.根据权利要求1或2所述的安全通信系统,其特征在于,所述AC向所述AP发送安全通信策略,具体用于:
通过预设的有线安全通信协议向所述AP发送安全通信策略。
4.根据权利要求1或2所述的安全通信系统,其特征在于,所述STA包括:浏览器认证界面;
所述浏览器认证界面用于显示所述STA可选择的各个安全通信等级。
5.根据权利要求2所述的安全通信系统,其特征在于,所述AC基于设备识别号,对所述STA进行安全性验证,具体用于:
获取所述设备识别号中的设备类型标识;
如果所述设备类型标识表征所述STA合法,通过对所述STA的安全性验证。
6.根据权利要求5所述的安全通信系统,其特征在于,如果所述AC成功注册至所述云端服务器,且所述AC在通过对所述STA的安全性验证后,所述AC还用于:
向所述云端服务器发送所述序列号和所述设备识别号,使得所述云端服务器对所述STA进行二次安全性验证。
7.根据权利要求6所述的安全通信系统,其特征在于,所述AC基于所述序列号向所述STA发送应答序列和通信密钥,具体用于:
按照所述安全通信等级对应的安全通信规则,获得所述安全通信规则中的认证码;
对所述认证码及所述序列号进行计算,获得第一应答序列和第一通信密钥;
向所述STA发送所述第一应答序列和所述第一通信密钥。
8.根据权利要求6所述的安全通信系统,其特征在于,所述云端服务器还用于:
在通过对所述STA的二次安全性验证后,按照所述安全通信等级对应的安全通信规则,获得所述安全通信规则中的认证码;
对所述认证码及所述序列号进行计算,获得第一应答序列和第一通信密钥;
通过所述AC向所述STA发送所述第一应答序列和所述第一通信密钥。
9.根据权利要求7或8所述的安全通信系统,其特征在于,所述STA应用所述应答序列和通信密钥,通过所述AC和/或所述AP访问互联网,具体用于:
获得所述安全通信等级对应的安全通信规则中的认证码;
对所述认证码及所述序列号进行计算,获得第二应答序列;
如果所述第二应答序列与所述第一应答序列一致,应用所述第一通信密钥通过所述AC和/或所述AP访问互联网。
10.根据权利要求9所述的安全通信系统,其特征在于,所述STA还用于:如果所述第二应答序列与所述第一应答序列不一致,应用所述第一通信密钥访问所述AC的资源。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311647666.1A CN117641338A (zh) | 2023-12-04 | 2023-12-04 | 安全通信系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311647666.1A CN117641338A (zh) | 2023-12-04 | 2023-12-04 | 安全通信系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117641338A true CN117641338A (zh) | 2024-03-01 |
Family
ID=90028462
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311647666.1A Pending CN117641338A (zh) | 2023-12-04 | 2023-12-04 | 安全通信系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117641338A (zh) |
-
2023
- 2023-12-04 CN CN202311647666.1A patent/CN117641338A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11178125B2 (en) | Wireless network connection method, wireless access point, server, and system | |
US8495714B2 (en) | Systems and methods for authenticating users accessing unsecured wifi access points | |
JP5231433B2 (ja) | リモートサーバアクセスを認証するためのシステムおよび方法 | |
US9154955B1 (en) | Authenticated delivery of premium communication services to trusted devices over an untrusted network | |
US10743180B2 (en) | Method, apparatus, and system for authenticating WIFI network | |
CN107241339B (zh) | 身份验证方法、装置和存储介质 | |
CN105027529B (zh) | 用于验证对网络资源的用户接入的方法和设备 | |
EP2770662A1 (en) | Centralized security management method and system for third party application and corresponding communication system | |
EP2879421B1 (en) | Terminal identity verification and service authentication method, system, and terminal | |
KR20070108365A (ko) | 사용자가 가입자 단말에서 단말 장치에 원격으로 접속할 수있게 하기 위한 원격 접속 시스템 및 방법 | |
EP2924944B1 (en) | Network authentication | |
US20230344626A1 (en) | Network connection management method and apparatus, readable medium, program product, and electronic device | |
CN102143492B (zh) | Vpn连接建立方法、移动终端、服务器 | |
CN111295861B (zh) | 多因素认证 | |
CN115473655B (zh) | 接入网络的终端认证方法、装置及存储介质 | |
CN116248351A (zh) | 一种资源访问方法、装置、电子设备及存储介质 | |
CN111614686A (zh) | 一种密钥管理方法、控制器及系统 | |
US9154949B1 (en) | Authenticated delivery of premium communication services to untrusted devices over an untrusted network | |
WO2013071836A1 (zh) | 客户端应用访问鉴权处理方法和装置 | |
JP2014523018A (ja) | OpenIDを電気通信ネットワークに統合するシステムおよび方法 | |
CN110830264B (zh) | 业务数据验证方法、服务器、客户端及可读存储介质 | |
CN111492614B (zh) | 多因素认证 | |
KR20070009490A (ko) | 아이피 주소 기반 사용자 인증 시스템 및 방법 | |
CN117641338A (zh) | 安全通信系统 | |
WO2018119608A1 (zh) | 应用处理方法、网络设备及终端设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |