专利名称:基于ipsec技术实现无线单点登录系统及其运行方法
技术领域:
本发明涉及通信及网络安全技术领域,特别是涉及一种基于IPSEC技术实现无线单点登 录系统及其运行方法。
背景技术:
当前营业厅存在前台服务限时考核压力、客户因等候时间过长而影响满意度,新业务销 售任务重,以及B0SS1.5系统、各新业务体验营销平台、自助服务网站分布在不同物理网络, 造成一线营业员无法方便使用等许多问题。在这服务和营销双重考核压力下,营业厅的运营 管理难以突破"瓶颈",在一定程度上影响了营业厅运营模式的战略转型,影响移动信息专家 形象。目前较多集成商都能够单点登录,实现统一门户、统一认证,但是这种单点登录一般都是 基于单一的有线网络。在一篇申请号为"200610041652.5"的中国专利申请文件中公开了跨 安全域的网络认证和密钥分配方法。其主要采用基于令牌的单点登录,将一个验证服务器和 若干应用服务器组成每个安全域,针对用户可能接入多个不同安全域中的应用服务器的需求, 进行认证和密钥分配,其过程为首先用户在本安全域内进行身份认证,获取与另一安全域 中的应用服务器通信的服务令牌;接着用户在要接入的安全域中验证服务令牌,获得与应用 服务器联机的服务;最后用户对应用服务器进行身份认证。实现该方法的系统包括客户接入子系统、应用服务子系统及一台验证服务器,该一台验证服务器完成用户身份认证和服务授 权两项功能。为了解决营业厅台席不足,前台压力大的问题,迫切需要采用流动式走动服务进行业务 受理。走动服务显而易见就是要求通过无线网络,而不是固定的有线网络。但是(1)无线网络的IP地址是动态分配的,不存在固定IP。 (2)需要访问安全性要求非常高的BOSS网络, 由于没有手机二次验证码的存在,也存在一定的安全风险。(3)、 WLAN无线使传统物理安全 控制措施失去效力,因为无线频率范围内的所有人都能看到传输的内容,因此需要采用安全 的IPSEC技术。(4)、需要访问BOSS网络的同时能够访问公司部分互联网网站和平台,如 网上营业厅、彩铃自助网站、新业务体验营销平台、积分网上商城等,因此,"200610041652. 5" 专利现有的技术在此情况下难以实施。发明内容本发明的目的是提供一种基于IPSEC技术实现无线单点登录系统及其运行 方法,通过本发明确保能够同时访问两种不同安全等级不同的网络,推动营业厅从"服务型" 向"销售服务型"功能转变,满足客户经理、营业员、片区营销人员等一线人员"营销、服 务、体验" 一体化业务支撑需求,而且解决了使用者需要频繁登录多个系统、切换各个网络 或经常忘记密码等实际问题。本发明是这样实现的, 一种基于IPSEC技术实现无线单点登录系统,包括CISCO VPN服 务器、BOSS网内侧系统、BOSS网外侧互联网平台、BOSS网络代理服务器、流动业务统一门 户;其特征在于所述的CISCO VPN服务器采用IPSEC协议,还通过包封装技术,封装内部 网络的IP地址,实现异地网络的互通;同时建立VPN通道时采用双重身份验证方式;所述的BOSS网内侧系统主要是在BOSS网络内侧安全性非常高的承载生产、分析、服务 与营销登记的B0SS1.5、经分、数据集市等系统,这些系统直接通过建立的VPN通道可以直 接访问;所述的BOSS网外侧系统主要是在互联网公司平台和系统,这些系统必须通过代理服务 器,不能够直接通过建立的VPN通道访问;所述的BOSS网络代理服务器是位于终端电脑和BOSS外侧互联网平台之间的服务器,BOSS 网络代理服务器采用正向代理技术从BOSS外侧互联网平台取得内容,终端电脑向BOSS网络 代理服务器发送一个请求并指定BOSS外侧互联网平台,然后BOSS网络代理服务器向BOSS外 侧互联网平台转交请求并将获得的内容返回给终端电脑,从而实现访问指定网站并且隐藏终 端电脑自身,确保内网BOSS网络安全;所述的流动业务统一门户采用多界面、多线程技术对BOSS等其他系统进行管理,每一个 系统相当于流动业务统一门户的一个子窗口,系统的切换相当于子窗口切换,实现多个系统 自由切换;每一个子窗口都存储了每一个系统工作进展情况,方便切换后能够继续进行原来 的工作,无需登录,实现一次登录,所有系统都有效。为了使上述系统有效的运作,本发明提供了一种所述基于IPSEC技术实现无线单点登录 系统的运行方法,其特征在于,包括以下步骤(1) 、终端电脑通过无线AP,通过WLAN连接到互联网上;(2) 、手机发送BOSS工号到接入号获取二次验证密码,将BOSS密码和二次验证密码进行 组合形成新密码,通过CISCO VPN服务器认证,并成功建立VPN通道,以后所有的数据通信 都通过该IPSEC进行,为了确保安全性,在IPSEC建立的同时,也禁止直接互联网访问;(3) 、在流动业务统一门户上,通过BOSS工号进行登录,登录成功后,读取每个系统的 工号,记录登录日志;(4) 、当访问BOSS网内侧系统时候,流动业务统一门户直接打开映射的地址,进行系统 登录,并记录访问日志;(5) 、当访问B0SS网外侧系统时候,流动业务统一门户将请求地址提交到BOSS网络代理 服务器,BOSS网络代理服务器进行判断访问地址是否在运行访问的几个网站、平台,如果不 是允许访问的地址,则返回默认禁止访问的页面,否则B0SS网络代理服务器访问指定的互联 网地址并进行密码的验证,并将数据包返回给终端电脑,从而实现登录,并记录访问日志;(6) 、当流动业务统一门户退出时,分别提交注销的数据包给各个已登录的平台,从而实现从所有平台的退出,并记录注销闩志。下面结合附图及实施例对本发明做进一步说明。
图l是本发明系统结构示意图。
具体实施方式
如图1所示,本发明涉及一种基于IPSEC技术实现无线单点登录系统,包括CISCO VPN 服务器、BOSS网内侧系统、BOSS网外侧互联网平台、BOSS网络代理服务器、流动业务统一 门户;所述的CISCO VPN服务器(1)、采用IPSEC协议,引进了完整的安全机制,包括加密、 认证和数据防篡改功能,通过包封装技术,封装内部网络的IP地址,实现异地网络的互通。(2)、建立VPN通道时采用双重身份验证方式。第一重验证组认证信息连接VPN需要的组 名、组密码, 一般固定且可以进行密码保存;第二重验证VPN用户认证采用动态用户密码, 用户名是BOSS工号,密码是BOSS的密码和二次验证码组合,验证密码通过手机发送工号获 取,有效期为6分钟,如果发送短信的手机和BOSS工号没有得到VPN访问的授权,是无法得 到验证密码的。通过以上解决安全性、可管理性等问题。所述的BOSS网内侧系统主要是在B0SS网络内侧安全性非常高的承载生产、分析、服 务与营销登记的B0SS1. 5、经分、数据集市等系统,这些系统直接通过建立的VPN通道可以 直接访问。所述的BOSS网外侧系统主要是在互联网公司平台和系统,包括网上营业厅、彩铃自助 网站、新业务体验营销平台、积分网上商城等,这些系统必须通过代理服务器,不能够直接 通过建立的VPN通道访问。所述的BOSS网络代理服务器代理服务器是一个位于客户端(即终端电脑)和原始服务器 (即BOSS外侧互联网平台)之间的服务器,为了从原始服务器取得内容,代理服务器采用正 向代理技术,客户端向代理发送一个请求并指定目标(原始服务器),然后代理向原始服务器转交请求并将获得的内容返回给客户端,从而实现访问指定网站并且隐藏客户端自身,从而 确保内网B0SS网络安全。所述的流动业务统一门户采用多界面、多线程技术对BOSS等其他系统进行管理,每一个 系统相当于流动业务统一门户的一个子窗口,系统的切换相当于子窗口切换,实现多个系统 自由切换;每一个子窗口都存储了每一个系统工作进展情况,方便切换后能够继续进行原来 的工作,无需登录,实现一次登录,所有系统都有效。下面结合上述说明对本发明的运行方法进行说明。 为了使上述系统有效的运作,本发明提供了一种所述基于IPSEC技术实现无线单点登录系统的运行方法,其特征在于,包括以下步骤(1) 、终端电脑通过无线AP,通过WLAN连接到互联网上;(2) 、手机发送BOSS工号到10658452接入号获取二次验证密码,将BOSS密码和二次验 证密码进行组合形成新密码,通过CISCO VPN认证,并成功建立VPN通道,以后所有的数据 通信都通过该IPSEC进行,为了确保安全性,在IPSEC建立的同时,也禁止直接互联网访问;(3) 、在流动业务统一门户上,通过BOSS工号进行登录,登录成功后,读取每个系统的 工号,记录登录日志;(4) 、当访问BOSS网内侧系统时候,流动业务统一门户直接打开映射的地址,进行系统 登录。并记录访问日志;(5) 、当访问BOSS网外侧系统时候,流动业务统一门户将请求地址提交到代理服务器, 代理服务器进行判断访问地址是否在运行访问的几个网站、平台,如果不是允许访问的地址, 则返回默认禁止访问的页面,否则代理服务器访问指定的互联网地址并进行密码的验证,并 将数据包返回给终端电脑,从而实现登录,并记录访问日志;(6) 、当流动业务统一门户退出时,分别提交注销的数据包给各个已登录的平台,从而实现从所有平台的退出,并记录注销日志。本发明解决了传统通过有线方式因网线限制难以走动服务的问题,同时通过CISCO VPN 网关以及代理服务器组成的设备以及IPSEC技术,确保能够同时访问两种不同安全等级不同 的网络,推动营业厅从"服务型"向"销售服务型"功能转变,满足客户经理、营业员、片 区营销人员等一线人员"营销、服务、体验" 一体化业务支撑需求。通过本发明解决了使用 者需要频繁登录多个系统、切换各个网络或经常忘记密码等实际问题。
权利要求
1、一种基于IPSEC技术实现无线单点登录系统,包括CISCO VPN服务器、BOSS网内侧系统、BOSS网外侧互联网平台、BOSS网络代理服务器、流动业务统一门户;其特征在于所述的CISCO VPN服务器采用IPSEC协议,还通过包封装技术,封装内部网络的IP地址,实现异地网络的互通;同时建立VPN通道时采用双重身份验证方式;所述的BOSS网内侧系统主要是在BOSS网络内侧安全性非常高的承载生产、分析、服务与营销登记的BOSS1.5、经分、数据集市等系统,这些系统直接通过建立的VPN通道可以直接访问;所述的BOSS网外侧系统主要是在互联网公司平台和系统,这些系统必须通过代理服务器,不能够直接通过建立的VPN通道访问;所述的BOSS网络代理服务器是位于终端电脑和BOSS外侧互联网平台之间的服务器,BOSS网络代理服务器采用正向代理技术从BOSS外侧互联网平台取得内容,终端电脑向BOSS网络代理服务器发送一个请求并指定BOSS外侧互联网平台,然后BOSS网络代理服务器向BOSS外侧互联网平台转交请求并将获得的内容返回给终端电脑,从而实现访问指定网站并且隐藏终端电脑自身,确保内网BOSS网络安全;所述的流动业务统一门户采用多界面、多线程技术对BOSS等其他系统进行管理,每一个系统相当于流动业务统一门户的一个子窗口,系统的切换相当于子窗口切换,实现多个系统自由切换;每一个子窗口都存储了每一个系统工作进展情况,方便切换后能够继续进行原来的工作,无需登录,实现一次登录,所有系统都有效。
2、 根据权利要求1所述的基于IPSEC技术实现无线单点登录系统,其特征在于所述的 CISCO VPN服务器还引进了完整的安全机制,包括加密、认证和数据防篡改功能,所述的双 重身份验证方式,第一重是连接VPN需要的组名、组密码, 一般固定且可以进行密码保存; 第二重是验证VPN用户认证,采用动态用户密码,用户名是BOSS工号,密码是BOSS的密码 和二次验证码组合,验证密码通过手机发送工号获取。
3、 一种根据权利要求1所述的基于IPSEC技术实现无线单点登录系统的运行方法,其特 征在于,包括以下步骤(1) 、终端电脑通过无线AP,通过WLAN连接到互联网上;(2) 、手机发送BOSS工号到接入号获取二次验证密码,将BOSS密码和二次验证密码进行 组合形成新密码,通过CISCO VPN服务器认证,并成功建立VPN通道,以后所有的数据通信 都通过该IPSEC进行,为了确保安全性,在IPSEC建立的同时,也禁止直接互联网访问;(3) 、在流动业务统一门户上,通过BOSS工号进行登录,登录成功后,读取每个系统的 工号,记录登录日志;(4) 、当访问BOSS网内侧系统时候,流动业务统一门户直接打开映射的地址,进行系统 登录,并记录访问日志;(5) 、当访问BOSS网外侧系统时候,流动业务统一门户将请求地址提交到BOSS网络代理 服务器,BOSS网络代理服务器进行判断访问地址是否在运行访问的几个网站、平台,如果不 是允许访问的地址,则返回默认禁止访问的页面,否则BOSS网络代理服务器访问指定的互联 网地址并进行密码的验证,并将数据包返回给终端电脑,从而实现登录,并记录访问日志;(6)、当流动业务统一门户退出时,分别提交注销的数据包给各个已登录的平台,从而实现从所有平台的退出,并记录注销日志。
全文摘要
本发明涉及一种基于IPSEC技术实现无线单点登录系统及其运行方法,包括CISCO VPN服务器、BOSS网内侧系统、BOSS网外侧互联网平台、BOSS网络代理服务器、流动业务统一门户;系统通过CISCO VPN网关以及代理服务器组成的设备以及IPSEC技术,确保能够同时访问两种不同安全等级不同的网络,推动营业厅从“服务型”向“销售服务型”功能转变,满足客户经理、营业员、片区营销人员等一线人员“营销、服务、体验”一体化业务支撑需求。
文档编号H04L12/28GK101404643SQ20081007211
公开日2009年4月8日 申请日期2008年11月13日 优先权日2008年11月13日
发明者李跃龙, 江文周, 赖传和 申请人:中国移动通信集团福建有限公司