一种非可信无线网络环境下智能终端安全通讯的控制方法

一种非可信无线网络环境下智能终端安全通讯的控制方法
【专利摘要】本发明提供一种非可信无线网络环境下智能终端安全通讯的控制方法，其用于一个智能终端通过第二网络接入设备访问互联网时进行安全通讯，包括如下步骤：a.通过第一无线网络接入设备向第二网络接入设备发出验证请求；b.若所述第二网络接入设备通过所述验证请求，则通过所述第一无线网络接入设备向所述第二网络接入设备发出访问互联网的请求信息，所述请求信息为加密信息；c.接收来自所述第二网络接入设备的反馈信息，所述反馈信息包含所述请求信息所请求的服务器或装置返回给所述第二网络接入设备的中间应答信息，且所述反馈信息为加密信息。
【专利说明】一种非可信无线网络环境下智能终端安全通讯的控制方法

【技术领域】
[0001]本发明涉及计算机领域，尤其是计算机和信息安全【技术领域】，具体地，涉及一种非可信无线网络环境下智能终端安全通讯的控制方法以及相应的控制装置。

【背景技术】
[0002]随着科学技术的不断发展，人们在日常生活中，工作学习中，越来越离不开互联网，随着互联网技术的迅速提高，无线网络普遍存在于人们日常生活的每一个地方。比如，家用Wifi，办公Wifi以及像图书馆、咖啡厅提供的免费Wifi等等，这些Wifi是AP通过网线连接ONU或者交换机，所述ONU或者交换机再通过光纤连接到汇聚层交换机，目前，我们可以在绝大多数的公共场所享受到上网的乐趣。但是，正是由于wifi热点接入成为了广大用户的网络接口，所述wifi的安全性也显得越来越重要。在一个优选地变化例中，目前绝大多数智能终端都能够使用手机网购、手机网银业务、手机转账以及网络通讯等等，一旦我们所处的网络环境有了安全上的隐患，所述智能终端的私人信息有可能泄露，进一步地，造成巨大的财产损失。进一步地，某些不法商家为了一己私利或者获取他人保密信息，会对网络安全中相对薄弱的无线网络环境进行攻击或者拦截，或者将智能终端访问的网站转入恶意、假冒网站，还可以篡改和重构网络资源返回给智能终端的响应数据，因此，wifi热点接入正面临着严峻的挑战，在恶意、虚假的wifi环境中，我们的上网得不到任何保障，进一步地，毫无任何安全性。
[0003]本发明针对所述无线网络安全隐患，提供了一种在非可信无线网络环境下智能终端安全通讯的控制方法，具体地，所述发明通过加密算法，与一个有效的安全的可信节点进行通讯，进一步地，与互联网进行通讯，这样即使在非可信的wifi环境中，也能够抵御来自他人的攻击并有效的防止数据的泄露，提供一个安全的上网环境。


【发明内容】

[0004]针对现有技术中网络接入设备可能是不可信设备的缺陷，本发明的目的是提供一种非可信无线网络环境下智能终端安全通讯的控制方法，其用于一个智能终端通过第二网络接入设备访问互联网时进行安全通讯，具体地，包括如下步骤:
[0005]a.通过第一无线网络接入设备向第二网络接入设备发出验证请求；
[0006]b.若所述第二网络接入设备通过所述验证请求，则通过所述第一无线网络接入设备向所述第二网络接入设备发出访问互联网的请求信息，所述请求信息为加密信息；
[0007]c.接收来自所述第二网络接入设备的反馈信息，所述反馈信息包含所述请求信息所请求的服务器或装置返回给所述第二网络接入设备的中间应答信息，且所述反馈信息为加密信息。
[0008]进一步地，根据所述的控制方法，所述通过所述第一无线网络接入设备向所述第二网络接入设备发出访问互联网的请求信息的步骤包括如下步骤:
[0009]bl.在所述智能终端与所述第二网络接入设备之间建立加密通道；
[0010]b2.通过所所述加密通道发出所述访问互联网的请求信息。
[0011]优选地，一种智能终端中在非可信无线网络环境下智能终端安全通讯的控制装置，其用于一个智能终端通过第二网络接入设备访问互联网时进行安全通讯，包括:
[0012]第一发送装置，其用于通过第一无线网络接入设备向第二网络接入设备发出验证请求；
[0013]第二发送装置，其用于当所述第二网络接入设备通过所述验证请求时，通过所述第一无线网络接入设备向所述第二网络接入设备发出访问互联网的请求信息，其中，所述请求信息为加密信息；以及
[0014]第一接收装置，其用于接收来自所述第二网络接入设备的反馈信息，所述反馈信息包含所述请求信息所请求的服务器或装置返回给所述第二网络接入设备的中间应答信息，且所述反馈信息为加密信息。
[0015]优选地，所述第二发送装置包括:
[0016]第一处理装置，其用于在所述智能终端与所述第二网络接入设备之间建立加密通道；以及
[0017]第三发送装置，其用于通过所所述加密通道发出所述访问互联网的请求信息。
[0018]优选地，所述加密通道为如下通道中的任一种:
[0019]-SSL加密通道；
[0020]-1PSEC 加密通道。
[0021]根据本发明的另一个方面，一种非可信无线网络环境下智能终端安全通讯的辅助控制方法，其用于一个智能终端通过第二网络接入设备访问互联网时进行安全通讯，包括如下步骤:
[0022]1.接收通过第一无线网络接入设备转发的请求信息，所述请求信息为一智能终端发出的访问互联网的请求信息，所述请求信息为加密信息，其中，所述智能终端与所述第一无线网络接入设备直接连接；
[0023]i1.对所述请求信息进行解密并获得所述请求信息所访问互联网的目的地址以及相关信息；
[0024]ii1.对所述目的地址以及相关信息进行封包后发给所述目的地址；
[0025]iv.接收来自所述目的地址的中间应答信息；
[0026]V.对所述中间应答信息进行加密，并获得反馈信息；
[0027]v1.将所述反馈信息发送给所述第一无线网络接入设备，以使得所述第一无线网络接入设备将所述反馈信息转发给所述智能终端。
[0028]优选地，一种第二网络接入设备中在非可信无线网络环境下智能终端安全通讯的辅助控制装置，其用于一个智能终端通过第二网络接入设备访问互联网时进行安全通讯，包括:
[0029]第四接收装置，其用于接收通过第一无线网络接入设备转发的请求信息，所述请求信息为一智能终端发出的访问互联网的请求信息，所述请求信息为加密信息，其中，所述智能终端与所述第一无线网络接入设备直接连接；
[0030]第四解密装置，其用于对所述请求信息进行解密并获得所述请求信息所访问互联网的目的地址以及相关信息；
[0031]第四处理装置，其用于对所述目的地址以及相关信息进行封包后发给所述目的地址；
[0032]第五接收装置，其用于接收来自所述目的地址的中间应答信息；
[0033]第四加密装置，其用于对所述中间应答信息进行加密，并获得反馈信息；以及
[0034]第四发送装置，其用于将所述反馈信息发送给所述第一无线网络接入设备，以使得所述第一无线网络接入设备将所述反馈信息转发给所述智能终端。
[0035]优选地，所述加密信息通过非对称加密机制实现，且所述智能终端中存储所述智能终端的私钥。
[0036]优选地，所述第二网络接入设备为如下设备中的任一种:
[0037]- 一 Wifi 接入点；
[0038]-一有线网络接入设备。
[0039]优选地，所述第二网络接入设备具有固定IP地址。
[0040]本发明通过在现有网络中建立一个可信节点，所述智能终端与所述可信接点之间设有加密通道，进一步地，所述智能终端与所述可信节点连接时能够抵御中间人攻击以及数据防止网络窃听。进一步地，智能终端接入非可信wifi网络时，首先寻找设定好的所述可信节点，互相进行强身份认证并且建立加密数据通道。然后所述智能终端需要访问互联网资源时，不直接使用非可信wifi网络连接发送，而通过已经建立的加密数据通道将访问请求发送给可信节点。更进一步地，所述可信节点接收到来自所述智能终端请求，将所述请求向互联网资源发送。最后，所述可信节点将所述真正网络资源返回的信息通过加密数据通道发送给所述智能终端，完成所述智能终端安全访问互联网资源的目的。

【专利附图】

【附图说明】
[0041]通过阅读参照以下附图对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更明显:
[0042]图1示出根据本发明的【具体实施方式】的，一种在非可信无线网络环境下智能终端安全通讯的控制方法的流程示意图；
[0043]图2示出根据本发明的【具体实施方式】的，所述通过所述第一无线网络接入设备向所述第二网络接入设备发出访问互联网的请求信息的流程示意图；
[0044]图3示出根据本发明的【具体实施方式】的，一种非可信无线网络环境下智能终端安全通讯的辅助控制方法的流程示意图；
[0045]图4示出根据本发明的【具体实施方式】的，一种非可信无线网络环境下智能终端安全通讯的控制方法的流程框架图；
[0046]图5示出根据本发明的【具体实施方式】的，一种非可信无线网络环境下智能终端安全通讯的控制方法的流程拓扑图；以及
[0047]图6示出根据本发明的【具体实施方式】的，一种非可信无线网络环境下智能终端安全通讯的示意图。

【具体实施方式】
[0048]为了更好的使本发明的技术方案清晰地表示出来，下面结合附图对本发明作进一步说明。
[0049]本领域技术人员理解，本发明提供一种非可信无线网络环境下智能终端安全通讯的控制方法，通过在现有网络中建立一个可信节点，进一步地，所述智能终端与所述可信节点连接时能够抵御中间人攻击以及数据防止网络窃听。智能终端接入非可信wifi网络时，首先寻找设定好的所述可信节点，进行强身份认证并且建立加密数据通道。进一步地，当所述智能终端需要访问互联网资源时，通过已经建立的加密数据通道将访问请求发送给可信节点。更进一步地，所述可信节点接收到来自所述智能终端请求，将所述请求向互联网资源发送。最后，所述可信节点将所述真正网络资源返回的信息通过加密数据通道发送给所述智能终端，完成所述智能终端在非可信无线网络中可能访问互联网资源的目的。
[0050]图1示出根据本发明的【具体实施方式】的，一种在非可信无线网络环境下智能终端安全通讯的控制方法的流程示意图。本领域技术人员理解，所述控制方法用于一个智能终端通过第二网络接入设备访问互联网时进行安全通讯，具体地，包括如下步骤:
[0051]首先，进入步骤S101，通过第一无线网络接入设备向第二网络接入设备发出验证请求，所述第一无线网络是指一种非可信的无线网络，所述网络使用时可能会造成恶意程序的骚扰，假冒网络资源的提供等等不安全因素。所述第一无线网络接入设备是指我们所使用的智能终端设备，可以是智能手机，笔记本，平板电脑等等。所述第二无线网络是具有固定ip的通过光纤连接到互联网的安全网络，所述网络对外的安全代理服务采用双向证书认证的SSL协议。所述第二网络接入设备是指拥有可信节点的数据交换设备，所述设备的可信节点中设置有可信节点证书CertServ及其私钥。进一步地，所述智能终端中安装有用于安全连接的APP应用，所述APP设置了可信节点的证书CertServ，终端证书CertClient和私钥。具体地，所述步骤的目的是为了通过所述APP使所述第一无线网络接入设备和所述第二网络接入设备产生可信连接，并通过所述可信连接来访问互联网，而不是直接通过所述第一无线网络。
[0052]具体地，所述第一无线网络接入设备中应内置有第一发送装置，所述第一发送装置的作用是通过第一无线网络接入设备向第二网络接入设备发出验证请求。进一步地，首先所述智能终端通过wifi连接到所述第一无线网络中，然后使用特定APP尝试连接所述第二网络接入设备的特定IP，优选地，所述IP可以是202.13.234.18，使用CertServ验证对端是否具有相应的私钥从而验证对端是否为可信节点，所述通过证书认证以及私钥解密的方法属于目前现有知识，在此不予赘述。
[0053]在一个优选地变化例中，所述IP还可以是202.13.234.50，更进一步地，本领域技术人员理解，所述固定IP优选地采用固定IP地址，例如满足202.13.234.XX条件的IP地址，而在其他变化例中，也可以采取其他IP地址，这并不影响本发明的实质内容。
[0054]然后，进入步骤S102，若所述第二网络接入设备通过所述验证请求，则通过所述第一无线网络接入设备向所述第二网络接入设备发出访问互联网的请求信息，所述请求信息为加密信息，进一步地，所述步骤S102的目的是为了对所述互联网请求信息在向外发送时进行加密，所述加密是为了保证所述加密信息不被泄露以及不被窃取，进一步地，在所述智能终端与所述第二网络接入设备之间建立加密通道，所述建立加密通道将在【具体实施方式】中讲到，在此不予赘述。
[0055]具体地，所述智能终端将所述请求信息进行加密，进一步地，通过所述第一网络接入设备将所述请求信息通过所述加密通道发送到所述第二无线网络的接入设备，所述第二网络接入设备接收所述加密后的访问互联网的请求信息。
[0056]在一个优选地变化例中，所述智能终端可以通过很多不同的通道连接到所述第二网络接入设备，具体地，所述第二无线网络可以设有多个不同的节点，所述节点是指可以接收所述加密信息以及所述验证信息的接入设备，进一步地，多个所述节点连接到所述第二网络接入设备，更进一步地，本领域技术人员理解，所述对所述第二无线网络设置节点的方式类似与日常上网中下载软件，所述下载可以有多种选择，例如上海电信下载、北京网通下载等等。本领域技术人员理解，所述变化例属于具体实施例中的一种，并不影响本发明的的技术方案。
[0057]最后，进入步骤S103，接收来自所述第二网络接入设备的反馈信息，所述反馈信息包含所述请求信息所请求的服务器或装置返回给所述第二网络接入设备的中间应答信息，且所述反馈信息为加密信息。所述步骤的目的是接收所述反馈信息，所述反馈信息是所述请求信息请求的互联网所返回的信息，是对所述请求信息的应答信息，即接收来自互联网的信息。
[0058]本领域技术人员理解，所述第一无线网络中还应内置有第一接收装置，所述第一接收装置是接收来自所述第二网络接入设备的反馈信息，所述反馈信息包含所述请求信息所请求的服务器或装置返回给所述第二网络接入设备的中间应答信息，且所述反馈信息为加密信息。进一步地，在执行完所述步骤S103后，所述智能终端应对所述加密信息进行解密操作，最终得到所述来自互联网的反馈信息。具体地，所述反馈信息通过所述加密通道发送到所述智能终端，所述智能终端接收来自所述第二网络接入设备的包含所述请求信息所请求的服务器或者装置的反馈信息，并对所述反馈信息进行私钥解密，所述智能终端再将所述反馈后的信息显示到所述显示屏上。
[0059]图2示出根据本发明的【具体实施方式】的，所述通过所述第一无线网络接入设备向所述第二网络接入设备发出访问互联网的请求信息的流程示意图，具体地，包括如下步骤:
[0060]首先进入步骤S201，在所述智能终端与所述第二网络接入设备之间建立加密通道。本领域技术人员理解，所述智能终端通过第二网络接入设备访问互联网时进行安全通讯时，还应设置有第二发送装置，所述第二发送装置的目的是当所述第二网络接入设备通过所述验证请求时，通过所述第一无线网络接入设备向所述第二网络接入设备发出访问互联网的请求信息，其中，所述请求信息为加密信息，进一步地，所述第二发送装置还应包括:第一处理装置，其用于在所述智能终端与所述第二网络接入设备之间建立加密通道；第三发送装置，其用于通过所所述加密通道发出所述访问互联网的请求信息。
[0061]具体地，在所述智能终端与所述第二网络接入设备之间建立加密通道的目的是为了使所述智能终端与所述第二网络接入设备进行通讯时，所述通讯内容不被他人窃取，所述加密通道能保证所述通讯在非可信的无线网络中安全的访问互联网。
[0062]具体地，通过所述步骤SlOl的验证请求后，所述智能终端发出的请求信息将会被加密，通过所述加密通道发送给所述第二网络接入设备，第二网络接入设备将所述加密信息进行解密，得到所述原始请求信息。
[0063]然后进入步骤S202，通过所述加密通道发出所述访问互联网的请求信息。本领域技术人员理解，通过所述加密通道发出所述访问互联网的请求信息的目的是为了将所述智能终端的原始请求信息在一个特点安全的环境中访问到互联网。
[0064]进一步地，所述请求信息是通过解密后的原始请求信息，所述第二无线网络的接入设备是通过光纤直连到互联网上，进一步地，所述访问是具有安全保障的访问。
[0065]图3示出根据本发明的【具体实施方式】的，一种非可信无线网络环境下智能终端安全通讯的辅助控制方法的流程示意图，具体地，所述流程主要阐述了所述第二无线网络中的接入设备在所述安全通信中起到的作用，主要包括如下步骤:
[0066]首先，进入步骤S301，接收通过第一无线网络接入设备转发的请求信息，所述请求信息为一智能终端发出的访问互联网的请求信息，所述请求信息为加密信息，其中，所述智能终端与所述第一无线网络接入设备直接连接，具体地，所述第二无线网络中的接入设备接收所述请求信息后，对所述请求信息进行解密，所述步骤的目的是为了使所述解密后的请求信息能够被所述互联网所接收应答。
[0067]进一步地，所述第二无线网络中的接入设备中应置有第四接收装置，所述第四接收装置的目的是接收通过第一无线网络接入设备转发的请求信息，所述请求信息为一智能终端发出的访问互联网的请求信息，所述请求信息为加密信息，其中，所述智能终端与所述第一无线网络接入设备直接连接。
[0068]然后，进入步骤S302，对所述请求信息进行解密并获得所述请求信息所访问互联网的目的地址以及相关信息。具体地，所述步骤的目的是获得原始请求数据中所述智能终端所访问的目的地址以及相关信息。
[0069]本领域技术人员理解，在所述第二网络接入设备中，应置有第四解密装置，所述第四解密装置的作用是对所述请求信息进行解密并获得所述请求信息所访问互联网的目的地址以及相关信息，具体地，所述请求信息被所述第四接收装置所接收，然后通过所述第四解密装置，获得所访问互联网的目的地址以及相关信息。
[0070]接着，进入步骤S303，对所述目的地址以及相关信息进行封包后发给所述目的地址，本领域技术人员理解，所述封包是指对所述相关信息进行打包处理，方便通讯。进一步地，所述步骤S303的目的是将所述目的地址以及相关信息进行打包，防止所述内容被第三方截取破译。
[0071]具体地，根据所述封包处理过程，所述第二网络接入设备中应置有第四处理装置，所述第四处理装置的作用在于对所述目的地址以及相关信息进行封包后发给所述目的地址。进一步地，本领域技术人员理解，所述处理装置具有封包处理功能以及发送信息的功倉泛。
[0072]再然后，进入步骤S304，接收来自所述目的地址的中间应答信息，具体地，所述中间应答信息是指通过互联网反馈的信息，所述反馈信息是根据所述请求信息决定的，所述步骤S304的目的是通过所述加密通道、解密、封包、发送等一系列操作获得我们所需要的具有安全认证的反馈信息。
[0073]进一步地，根据所述步骤S304的【具体实施方式】，所述第二网络接入设备中应置有第五接收装置，所述第五接收装置的目的是接收来自所述目的地址的中间应答信息。
[0074]在执行完步骤S304后，进入步骤S305，对所述中间应答信息进行加密，并获得反馈信息。所述对所述中间应答信息进行加密，并获得反馈信息的目在于防止所述反馈信息在发送给所述智能终端的过程中，被第三方拦截劫持或者篡改重构网络资源返回给智能终端的反馈信息。
[0075]进一步地，根据所述对所述中间应答信息进行加密的过程，所述第二网络接入设备应内置有第四加密装置，所述加密装置的目的是对所述中间应答信息进行加密，并获得反馈信息。具体地，所述中间应答信息通过被所述第五接收装置接收，并通过所述第四加密装置，从而获得所述反馈信息。
[0076]最后，执行步骤S306，将所述反馈信息发送给所述第一无线网络接入设备，以使得所述第一无线网络接入设备将所述反馈信息转发给所述智能终端，具体地，所述步骤的目的是为了让所述智能终端获得所述反馈信息。
[0077]具体地，所述反馈信息即为所述智能终端通过在非可信网络中上网获得的安全的相关上网内容。本领域技术人员理解，所述第二网络接入设备中应置有第四发送装置，所述第四发送装置的作用是将所述反馈信息发送给所述第一无线网络接入设备，具体地，所述第四发送装置将所述反馈信息发送给所述第一无线网络接入设备，所述第一网络接入设备通过所述第一接收装置接收所述反馈信息，并将所述反馈信息发送给所述智能终端。
[0078]优选地，所述加密通道可以是SSL加密通道。具体地，所述SSL加密通道是是全球许多知名企业为了保护敏感数据在传送过程中的安全而采用的一种加密机制，主要包括服务器认证阶段以及用户认证阶段两个方面，具体地，所述SSL加密通道的建立属于目前现有知识，在此不予赘述。
[0079]在另一个优选地变化例中，所述加密通道还可以使用IPSEC加密通道的方式，所述IPSEC是指Internet协议安全性，具体地，是一种开放标准的框架结构，通过使用加密的安全服务以确保在Internet协议网络上进行保密而安全的通讯。进一步地，本领域技术人员理解，所述采用所述IPSEC的方式建立所述加密通道属于本发明的【具体实施方式】，并不影响本发明的技术方案，进一步地，所述IPSEC为目前现有技术，在此不予赘述。
[0080]优选地，所述加密信息通过非对称加密机制实现，且所述智能终端中存储所述智能终端的私钥。所述非对称加密机制是指一种加密算法，所述加密算法是当前市场中热门的一种加密方式，具体地，其含义是指一种非对称加密算法，进一步地，非对称加密算法需要两个密钥:公开密钥和私有密钥。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。更进一步地，在一个具体地实施例中，A生成一对密钥并将其中的一把作为公用密钥向B公开；得到所述公用密钥的B使用所述密钥对所述机密信息进行加密后再发送给A ;A再用自己所保存的另一把专用密钥对加密后的信息进行解密。更进一步地，A可以使用B的公钥对所述机密信息进行签名后再发送给B ；乙方再用自己的私匙对所述数据进行验签。
[0081]优选地，所述第二网络接入设备为一 Wifi接入点，具体地，所述第二网络接入设备可以通过有线连接，也可以通过无线连接接入到所述互联网，本领域技术人员理解，所述接入方式属于【具体实施方式】，并不影响本发明的技术方案，在此不予赘述。
[0082]在一个优选的变化例中，所述步骤S302和步骤S303可以合并，即为对所述请求信息进行解密，获得所述请求信息所访问互联网的目的地址以及相关信息，并对所述目的地址以及相关信息进行封包后发给所述目的地址，所述将所述步骤S302和步骤S303合并并不影响本发明的技术方案。
[0083]图4示出根据本发明的【具体实施方式】的，一种非可信无线网络环境下智能终端安全通讯的控制方法的流程框架图。
[0084]具体地，所述第一无线网络与所述第二无线网络进行验证，并建立所述加密通道，进一步地。所述第一发送装置发送所述加密信息到第四接收装置，所述第四接收装置收到所述加密信息后发送所述加密信息到所述第四解密装置，所述第四解密装置解密所述加密信息，通过所述第四封包装置对所述加密信息进行封包处理，并将所述封包信息发送到所述第三发送装置，第三发送装置将所述封包信息发送至互联网，互联网接到所述封包信息，并将所述反馈信息发给所述第五接收装置，所述第五接收装置接收到所述反馈信息后，将所述反馈信息发送给第四解密装置，所述第四解密装置解密所述反馈信息，并将所述解密信息发送给第四发送装置，所述第四发送装置发送所述解密信息到所述第一接收装置，所述第一接收装置接到所述反馈信息后，将所述反馈信息发送到所述智能终端。
[0085]图5示出根据本发明的【具体实施方式】的，一种非可信无线网络环境下智能终端安全通讯的控制方法的流程拓扑图。具体地，所述多个智能终端可以分别同时或者不同时的接入到所述第一无线网络接入设备，所述第一无线网络接入设备将所述加密信息发送至所述第二网络接入设备，所述第二网络接入设备解密所述加密内容，并将所述信息传递给互联网，进一步地，所述互联网反馈所述相关信息。
[0086]更进一步地，参考上述图1至图5所示实施例，本领域技术人员理解，本发明提供了一种方案，通过智能终端与可信网络接入设备，例如本发明中所提供的第二网络接入设备，进行通讯，从而使得在智能终端与所述第二网络接入设备采用加密处理方式的前提下，使得两者之间的通信是安全的。通过这样的方式，使得即使智能终端所直接接入的网络接入设备，例如第一无线网络接入设备是不安全的，由于在上述通信过程中的加密处理，使得所述智能终端与互联网资源之间的通信始终是安全，原因在于所述通讯通过所述第二网络接入设备的转接。
[0087]进一步地，本领域技术人员理解，所述第一无线网络接入设备也可以是一个基于有线的网络接入设备，而所述第二网络接入设备可以是无线网络接入设备，也可以是有线网络接入设备，例如是可以家庭使用的Wifi网络接入设备，也可以一个有线路由器，这并不影响本发明的技术方案，在此不予赘述。
[0088]更进一步地，本领域技术人员理解，为了解决在非可信WIFI环境下安全访问互联网资源问题，本发明提供了一种基于可信节点代理访问互联网资源的方法。为了达到上述目的，本发明选取可信节点的条件如下:
[0089](I)有稳定可信线路接入互联网。
[0090](2)节点系统安全性高，不易被攻破。
[0091](3)节点对外提供高安全的代理连接服务。
[0092](4)节点可以自建或者选用已有的服务。
[0093]本发明中，智能终端与可信节点，例如本发明所提供的第二网络接入设备之间的安全代理连接条件如下:
[0094](I)智能终端与可信节点连接时必需通过高强度的身份认证，双方应互验身份。
[0095](2)智能终端与可信节点建立的连接必需能够防止中间人攻击。
[0096](3)智能终端与可信节点建立的连接为加密连接，传输的数据不被窃听和篡改。
[0097](4)智能终端与可信节点之间的安全连接可以自定义协议也可以采用已有安全协议，如使用数字证书作为认证机制的SSL协议或IPSEC协议。
[0098]本发明中，智能终端在非可信WIFI环境下安全访问互联网资源的实施步骤如下:
[0099](I)智能终端接入WIFI环境。
[0100](2)智能终端连接可信节点，使用强身份认证机制确认连接的节点是实现设定的可信节点。
[0101](3)智能终端与可信节点安全交换密钥，建立安全连接。
[0102](4)智能终端发出访问互联网资源请求，访问请求通过安全连接加密传送给可信节点。
[0103](5)可信节点解密请求，然后将访问请求向互联网发送。
[0104](6)可信节点收到互联网资源回应消息，将消息通过安全连接加密传输给智能终端。
[0105](7)智能终端解密消息，完成一次安全的互联网资源获取。
[0106]例如，在本发明的一个优选实施例中，在实施本发明方法的过程中，可信节点为自行搭建，通过光纤直接接入互联网，IP地址为202.13.234.XX，对外的安全代理服务采用双向证书认证的SSL协议,节点中部署了可信节点证书CertServ及其私钥；智能终端中安装了用于安全连接的APP应用并内置了可信节点的证书CertServ,终端证书CertCl ient和私钥。智能终端在非可信wifi环境下安全访问互联网资源的具体步骤如下:
[0107](I)智能终端接入wifi网络。
[0108](2)智能终端的安全连接APP尝试连接202.13.234.XX，使用CertServ验证对端是否具有相应的私钥从而验证对端是否为可信节点，并使用CertClient与可信节点建立安全的SSL加密通道。
[0109](3)智能终端访问WWW.taoba0.com,将访问www.taoba0.com的请求通过加密通道发送给可信节点。
[0110](4)可信节点解密信息后，向WWW.taoba0.com发起连接并发送访问请求。
[0111](5)可信节点接收到WWW.taoba0.com的回应信息。
[0112](6)可信节点将回应信息通过加密通道发送给只能终端，只能终端解密后展示回应信息。
[0113]上述过程具体如图6所示。
[0114]本发明公开了一种在非可信wifi网络环境下智能终端安全访问互联网的方法，属于计算机和信息安全【技术领域】，具体如下:(I)首先在现有网络中设定一个可信节点，智能终端与可信接点设置好特定安全措施，智能终端与可信节点连接时能够抵御中间人攻击以及数据防止网络窃听。(2)智能终端接入非可信Wifi网络时，寻找设定的可信节点，互相进行强身份认证并且建立加密数据通道。(3)智能终端需要访问互联网资源时，不直接使用非可信wifi网络连接发送，而通过已经建立的加密数据通道将访问请求发送给可信节点。(4)可信节点接收到智能终端请求，将请求向真正的网络资源发送。(5)可信节点将真正网络资源返回的信息通过加密数据通道发送给智能终端，完成智能终端安全访问互联网资源的目标。
[0115]本发明特点是通过可信节点的设定和安全连接，将智能终端的网络访问转换为连接可信节点，由可信节点完成互联网的访问，避开了在非可信网络环境中的各种可能干扰，实现智能终端安全访问互联网资源的目标。
[0116]进一步地，参考上述图1至图6所示实施例，本领域技术人员理解，本发明公开了一种在非可信wifi网络环境下智能终端安全访问互联网的方法，属于计算机和信息安全【技术领域】，具体如下:(I)首先在现有网络中设定一个可信节点，智能终端与可信接点设置好特定安全措施，智能终端与可信节点连接时能够抵御中间人攻击以及数据防止网络窃听。
(2)智能终端接入非可信wifi网络时，寻找设定的可信节点，互相进行强身份认证并且建立加密数据通道。(3)智能终端需要访问互联网资源时，不直接使用非可信wifi网络连接发送，而通过已经建立的加密数据通道将访问请求发送给可信节点。(4)可信节点接收到智能终端请求，将请求向真正的网络资源发送。(5)可信节点将真正网络资源返回的信息通过加密数据通道发送给智能终端，完成智能终端安全访问互联网资源的目标。
[0117]本发明特点是通过可信节点的设定和安全连接，将智能终端的网络访问转换为连接可信节点，由可信节点完成互联网的访问，避开了在非可信网络环境中的各种可能干扰，实现智能终端安全访问互联网资源的目标。
[0118]进一步地，本领域技术人员理解，为了解决在非可信WIFI环境下安全访问互联网资源问题，本发明提供了一种基于可信节点代理访问互联网资源的方法。为了达到上述目的，本发明选取可信节点的条件如下:
[0119](I)有稳定可信线路接入互联网。
[0120](2)节点系统安全性高，不易被攻破。
[0121](3)节点对外提供高安全的代理连接服务。
[0122](4)节点可以自建或者选用已有的服务。
[0123]本发明中，智能终端与可信节点之间的安全代理连接条件如下:
[0124](I)智能终端与可信节点连接时必需通过高强度的身份认证，双方应互验身份。
[0125](2)智能终端与可信节点建立的连接必需能够防止中间人攻击。
[0126](3)智能终端与可信节点建立的连接为加密连接，传输的数据不被窃听和篡改。
[0127](4)智能终端与可信节点之间的安全连接可以自定义协议也可以采用已有安全协议，如使用数字证书作为认证机制的SSL协议或IPSEC协议。
[0128]本发明中，智能终端在非可信WIFI环境下安全访问互联网资源的实施步骤如下:
[0129](I)智能终端接入WIFI环境。
[0130](2)智能终端连接可信节点，使用强身份认证机制确认连接的节点是实现设定的可信节点。
[0131](3)智能终端与可信节点安全交换密钥，建立安全连接。
[0132](4)智能终端发出访问互联网资源请求，访问请求通过安全连接加密传送给可信节点。
[0133](5)可信节点解密请求，然后将访问请求向互联网发送。
[0134](6)可信节点收到互联网资源回应消息，将消息通过安全连接加密传输给智能终端。
[0135](7)智能终端解密消息，完成一次安全的互联网资源获取。
[0136]在实施本发明方法的过程中，可信节点为自行搭建，通过光纤直接接入互联网，IP地址为202.13.234.XX，对外的安全代理服务采用双向证书认证的SSL协议，节点中部署了可信节点证书CertServ及其私钥；智能终端中安装了用于安全连接的APP应用并内置了可信节点的证书CertServ，终端证书CertClient和私钥。智能终端在非可信wifi环境下安全访问互联网资源的具体步骤如下:
[0137](I)智能终端接入wifi网络。
[0138](2)智能终端的安全连接APP尝试连接202.13.234.XX，使用CertServ验证对端是否具有相应的私钥从而验证对端是否为可信节点，并使用CertClient与可信节点建立安全的SSL加密通道。
[0139](3)智能终端访问www.taoba0.com,将访问www.taoba0.com的请求通过加密通道发送给可信节点。
[0140](4)可信节点解密信息后，向www.taoba0.com发起连接并发送访问请求。
[0141](5)可信节点接收到www.taoba0.com的回应信息。
[0142](6)可信节点将回应信息通过加密通道发送给只能终端，只能终端解密后展示回应信息。
[0143]以上对本发明的具体实施例进行了描述。需要理解的是，本发明并不局限于上述特定实施方式，本领域技术人员可以在权利要求的范围内做出各种变形或修改，这并不影响本发明的实质内容。
【权利要求】
1.一种非可信无线网络环境下智能终端安全通讯的控制方法，其用于一个智能终端通过第二网络接入设备访问互联网时进行安全通讯，其特征在于，包括如下步骤: a.通过第一无线网络接入设备向第二网络接入设备发出验证请求； b.若所述第二网络接入设备通过所述验证请求，则通过所述第一无线网络接入设备向所述第二网络接入设备发出访问互联网的请求信息，所述请求信息为加密信息； c.接收来自所述第二网络接入设备的反馈信息，所述反馈信息包含所述请求信息所请求的服务器或装置返回给所述第二网络接入设备的中间应答信息，且所述反馈信息为加密信息。
2.根据权利要求1所述的控制方法，其特征在于，所述通过所述第一无线网络接入设备向所述第二网络接入设备发出访问互联网的请求信息的步骤包括如下步骤: bl.在所述智能终端与所述第二网络接入设备之间建立加密通道； b2.通过所所述加密通道发出所述访问互联网的请求信息。
3.一种智能终端中在非可信无线网络环境下智能终端安全通讯的控制装置，其用于一个智能终端通过第二网络接入设备访问互联网时进行安全通讯，其特征在于，包括: 第一发送装置，其用于通过第一无线网络接入设备向第二网络接入设备发出验证请求； 第二发送装置，其用于当所述第二网络接入设备通过所述验证请求时，通过所述第一无线网络接入设备向所述第二网络接入设备发出访问互联网的请求信息，其中，所述请求信息为加密信息；以及 第一接收装置，其用于接收来自所述第二网络接入设备的反馈信息，所述反馈信息包含所述请求信息所请求的服务器或装置返回给所述第二网络接入设备的中间应答信息，且所述反馈信息为加密信息。
4.根据权利要求3所述的控制装置，其特征在于，所述第二发送装置包括: 第一处理装置，其用于在所述智能终端与所述第二网络接入设备之间建立加密通道；以及 第三发送装置，其用于通过所所述加密通道发出所述访问互联网的请求信息。
5.根据权利要求1或2所述的控制方法和/或根据权利要求3或4所述的控制装置，其特征在于，所述加密通道为如下通道中的任一种: -SSL加密通道； -1PSEC加密通道。
6.一种非可信无线网络环境下智能终端安全通讯的辅助控制方法，其用于一个智能终端通过第二网络接入设备访问互联网时进行安全通讯，其特征在于，包括如下步骤: 1.接收通过第一无线网络接入设备转发的请求信息，所述请求信息为一智能终端发出的访问互联网的请求信息，所述请求信息为加密信息，其中，所述智能终端与所述第一无线网络接入设备直接连接； ?.对所述请求信息进行解密并获得所述请求信息所访问互联网的目的地址以及相关信息； ii1.对所述目的地址以及相关信息进行封包后发给所述目的地址； iv.接收来自所述目的地址的中间应答信息； V.对所述中间应答信息进行加密，并获得反馈信息； V1.将所述反馈信息发送给所述第一无线网络接入设备，以使得所述第一无线网络接入设备将所述反馈信息转发给所述智能终端。
7.—种第二网络接入设备中在非可信无线网络环境下智能终端安全通讯的辅助控制装置，其用于一个智能终端通过第二网络接入设备访问互联网时进行安全通讯，其特征在于，包括: 第四接收装置，其用于接收通过第一无线网络接入设备转发的请求信息，所述请求信息为一智能终端发出的访问互联网的请求信息，所述请求信息为加密信息，其中，所述智能终端与所述第一无线网络接入设备直接连接； 第四解密装置，其用于对所述请求信息进行解密并获得所述请求信息所访问互联网的目的地址以及相关信息； 第四处理装置，其用于对所述目的地址以及相关信息进行封包后发给所述目的地址； 第五接收装置，其用于接收来自所述目的地址的中间应答信息； 第四加密装置，其用于对所述中间应答信息进行加密，并获得反馈信息；以及 第四发送装置，其用于将所述反馈信息发送给所述第一无线网络接入设备，以使得所述第一无线网络接入设备将所述反馈信息转发给所述智能终端。
8.根据权利要求1至7中任一项所述，其特征在于，所述加密信息通过非对称加密机制实现，且所述智能终端中存储所述智能终端的私钥。
9.根据权利要求1至8中任一项所述，其特征在于，所述第二网络接入设备为如下设备中的任一种: -一 Wifi接入点； -一有线网络接入设备。
10.根据权利要求1至9中任一项所述，所述第二网络接入设备具有固定IP地址。
【文档编号】H04L9/32GK104168565SQ201410397121
【公开日】2014年11月26日 申请日期:2014年8月13日 优先权日:2014年8月13日
【发明者】韩洪慧 申请人:韩洪慧