专利名称:访问网络的控制方法和装置的制作方法
技术领域:
本发明涉及移动通信技术,特别是涉及控制无线通信设备访问网络的方法和装置。
背景技术:
目前,无线通信设备(如手机、专用通信终端、无线公话终端、物联网中的无线通信专用设备等)中的通信模块,一般通过无线网络GPRS、HSPA、CDMA1X、EVDO等数据通道进行网络访问,终端模块的访问地址一般有两种方式获取,一种是通过手机、专用通信终端 (如信息机)等的终端输入界面,由用户使用时输入网络访问地址,获得地址后进行网络访问;另一种是对于没有输入界面的无线终端或需要访问特定的网络地址业务平台的无线终端,由通信模块使用存储在其模块存储区的事先设定的网络地址进行网络访问。但随着无线通信业务的发展,尤其是对于物联网而言,随着其业务的快速广泛开展,对网络访问的安全性越来越高,而现有的通信模块的访问地址管理方面存在以下几个方面的问题1、无法实现对用户输入的访问地址进行安全监控与管理没有对终端获取的用户输入的网络访问地址进行合法性判断与控制管理的机制,不能满足业务中需要控制通信设备数据传输目的地的要求;2、终端侧的网络访问地址数据存储不安全现有的通信模块(如支持GPRS的GSM 模块和TDSCDMA模块、CDMAlX模块、EVDO模块等)将GPRS的网络访问地址表存在模块的存储区中,通信模块的存储区易被非法读取修改,存储安全性差。3、终端侧的网络访问地址数据无法实时空中更新随着物联网的快速发展,无线网络的组网结构变的复杂,通信模块需要连接的地址可能有多个,且难于事先确定,因此需要根据物体的实际组网情况进行灵活地组合与实时配置。目前的将网络访问地址事先存储在通信模块存储区的方式,由于不同通信模块中的存储区没有统一的空中更新方法,无法满足实际业务发展需要终端网络地址数据实时空中更新的需求。目前尚未提出一种解决上述问题的技术方案。
发明内容
有鉴于此,本发明的主要目的在于提供一种访问网络的控制方法和装置,该方法和装置能确保无线通信设备访问网络的安全性与灵活性。为了达到上述目的,本发明提出的技术方案为一种访问网络的控制装置,该装置设于无线通信设备内,包括网络访问控制模块和通信模块,其中,通信模块,用于在无线通信设备需要访问网络或者需要对网络访问控制模块存储的网络访问控制信息更新时,发送网络访问控制请求消息给所述无线通信设备的网络访问控制模块,所述网络访问控制信息包括可访问的网络地址信息和网络地址访问规则;
网络访问控制模块,用于对所述网络访问控制请求消息进行数据合法性验证,如果所述验证通过,则根据所述网络访问控制请求消息触发相应的网络访问控制过程。一种访问网络的控制方法,该方法包括以下步骤a、当无线通信设备需要访问网络或者需要对其网络访问控制模块存储的网络访问控制信息更新时,所述无线通信设备的通信模块发送网络访问控制请求消息给所述网络访问控制模块,所述网络访问控制信息包括可访问的网络地址信息和网络地址访问规则;b、所述网络访问控制模块对所述网络访问控制请求消息进行数据合法性验证,如果所述验证通过,则根据所述网络访问控制请求消息触发相应的网络访问控制过程,否则, 结束所述方法。综上所述,本发明提出的访问网络的控制方法和装置,利用网络访问控制模块对通信模块访问网络所使用的地址进行管理与控制,可以确保无线通信设备访问网络的安全性与灵活性。
图1为本发明方法实施例的流程示意图;图2为本发明装置实施例的结构示意图;图3为图2所示装置的一具体结构示意图;图4为图2所示装置的一具体结构示意图;图5为图2所示装置的一具体结构示意图;图6为图2所示装置的一具体结构示意图。
具体实施例方式为使本发明的目的、技术方案和优点更加清楚,下面将结合附图及具体实施例对本发明作进一步地详细描述。本发明的核心思想是为了克服现有技术中,通信模块无法对存储于其中的网络地址进行管理控制所产生诸多安全性问题,本发明将考虑在终端侧引入一个网络访问控制模块,由该网络访问控制模块存储终端侧的网络地址信息,并对通信模块所使用的网络访问地址进行监控,这样,可以实现对用户输入的访问地址进行安全监控与管理,以及实现终端侧的网络访问地址数据的安全存储。另外,对于网络访问地址数据的实时更新,则可以由通信模块触发网络访问控制模块在需要进行地址数据更新时,从网络侧获取用于更新的访问地址信息。图1为本发明一方法实施例的流程示意图。如图1所示,该实施例包括步骤101、当无线通信设备需要访问网络或者需要对其网络访问控制模块存储的网络访问控制信息更新时,所述无线通信设备的通信模块发送网络访问控制请求消息给所述网络访问控制模块。所述网络访问控制信息包括可访问的网络地址信息和网络地址访问规则。具体地,该可访问的网络地址信息可通过网络地址列表的方式存储。这里,所述网络访问控制模块设于无线通信设备中,其作用在于,对通信模块进行的网络访问进行安全性控制,具体为,对用于网络访问的地址进行管理与监控,即在无线通信设备需要访问网络时向通信模块提供所使用的地址或者监控通信模块所使用的用户输入地址的合法性或更新网络访问控制模块存储的网络地址信息。在实际应用中,所述无线通信设备可以为物联网中的无线通信专用设备,也就是说,该方法可应用于物联网中,以满足物联网对网络访问的安全性要求。本步骤中,网络访问控制请求消息用于触发网络访问控制模块执行网络访问控制过程。在实际应用中,随着网络访问控制请求消息生成的时机不同,其需要携带的内容也不同,以触发不同的网络访问控制过程。在步骤102中将结合具体的网络访问控制过程,对此进行详述。较佳地,为了和现有的无线通信设备相兼容,该网络访问控制模块可以为无线通信设备的用户识别模块,如SIM卡、UIM卡、USIM卡等。所述网络访问控制模块与所述通信模块之间可以通过应用事先设定的程序协议数据单元(APDU)指令进行交互。步骤102、所述网络访问控制模块对所述网络访问控制请求消息进行数据合法性验证,如果所述验证通过,则根据所述网络访问控制请求消息触发相应的网络访问控制过程,否则,结束所述方法。这里,网络访问控制模块接收到通信模块发送的网络访问控制请求消息后,首先需要对该消息进行数据合法性验证,以确保该请求的可靠性,具体进行验证时可采用现有的数据合法性验证方法,在此不再赘述。如前所述,随着实际应用中网络访问控制请求消息的发送时机不同,该消息的携带内容不同,相应地,所述网络访问控制模块所触发的网络访问控制过程也不同。具体如下(一 )在无线通信设备需要利用用户输入的网络地址访问网络的情况下所述网络访问控制请求消息为用于请求判断访问合法性的消息,所述网络访问控制请求消息中携带所述用户输入的网络地址。网络访问控制过程为所述网络访问控制模块对所述网络访问控制请求消息中的网络地址进行合法性判断,并将合法性判断结果通知给所述通信模块;如果所述通信模块接收到的合法性判断结果为合法,则利用所述网络地址执行对应的网络访问过程,否则,结束所述方法。这里,通过网络访问控制模块对所述合法性判断请求消息中的网络地址进行合法性判断,可以有效确保通信模块进行网络访问时所使用的网络地址的安全性。较佳地,该合法性判断方法可以为所述网络访问控制模块判断所述网络地址是否在自身存储的网络地址列表中或者符合当前存储的网络地址访问规则,如果是,则判定所述网络地址合法;否则,判定所述网络地址不合法。(二)在无线通信设备需要利用自身存储的网络地址访问网络的情况下,通信模块需要先向所述网络访问控制模块请求获取用于网络访问的地址,此时,通信模块可以向网络访问控制模块请求获取网络地址,也可以向网络访问控制模块请求读取网络地址,具体实现方法分别如下。1、所述网络访问控制请求消息为用于请求网络地址的消息,所述网络访问控制请求消息中携带所请求的网络地址标识信息。
所述网络访问控制过程包括所述网络访问控制模块将与所述网络地址标识信息对应的网络地址发送给所述通信模块;所述通信模块利用所述网络地址执行对应的网络访问过程。这里,所述网络访问控制模块将查询所存储的可访问的网络地址列表,该列表将包括网络地址信息,以及与各网络地址相对应的网络地址标识信息(索引或序列号),利用通信模块发送的网络地址标识信息,则可从表中查到对应的网络地址信息。这里,采用了由网络访问控制模块直接将查询到的网络地址通知给通信模块的方法,使通信模块获知网络地址,另外,还可以采用通知通信模块去读取网络地址列表的方式。在实际应用中,所述网络地址的具体表述方式为对应的IP地址和端口号。如 192. 111. 1. 11 :8090ο2、所述网络访问控制请求消息为用于请求读取网络地址的消息;所述网络访问控制过程包括bl、所述网络访问控制模块开通自身存储的网络地址列表的读取权限给所述通信模块;b2、所述网络访问控制模块通知所述通信模块读取所述网络地址列表中与所述网络地址标识信息对应的网络地址,所述通信模块根据所述通知从所述网络地址列表中读取与所述网络地址标识信息对应的网络地址,并利用所述网络地址执行对应的网络访问过程。这里,步骤1^2中采用了指令通知的方式,通知通信模块读取网络地址列表中的网络地址,在实际应用中,还可以采用在约定时间后由通信模块直接读取网络地址列表的方式实现,具体如下所述通信模块在发送所述网络访问控制请求消息后的预设时间之后,从所述网络地址列表中读取与所述网络地址标识信息对应的网络地址,并利用所述网络地址执行对应的网络访问过程。这里,所述预设时间应大于网络访问控制请求消息的传输时间与网络访问控制模块对网络访问控制请求消息的处理时延,具体可由本领域技术人员根据实际需要进行设置。(三)无线通信设备需要对网络访问控制模块存储的网络访问控制信息更新的情况下这里,需要对网络访问控制模块存储的网络访问控制信息更新的具体场景可以为当所述通信模块与所述网络访问控制模块首次配对使用时;或者,当用户通过读取无线通信设备中的网络访问控制信息更新标识,发现网络访问控制信息未被更新,而利用SIM卡工具包(SIM TOOL KIT,STK)菜单通知网络访问控制模块发送网络访问控制信息更新请求时;或者,由网络侧的业务信息管理系统的操作人员根据业务需要,主动操作业务信息管理系统向所述网络访问控制模块下发信息通知网络访问控制模块发送网络访问控制信息更新请求时。在上述需要更新的情况下,所述网络访问控制请求消息为用于请求更新网络访问控制信息的消息,所述网络访问控制请求消息中携带所述通信模块的标识信息。所述网络访问控制过程为所述网络访问控制模块判断接收到的所述通信模块的标识信息与自身保存的通信模块标识信息是否一致,以及自身保存的网络地址列表是否需要更新,如果不一致,或者一致且需要更新,则向网络侧的业务信息管理系统发送网络访问控制信息更新请求消息, 所述网络访问控制信息更新请求消息中携带所述网络访问控制模块自身的标识信息和/ 或所述通信模块标识信息,否则,结束所述方法。具体地,对于网络访问控制信息是否需要更新,可以根据网络访问控制信息的更新标识来判断。所述业务信息管理系统对接收到的所述网络访问控制信息更新请求消息进行数据合法性验证,如果验证通过,则根据所述网络访问控制模块自身的标识信息和所述通信模块标识信息,获取网络侧存储的对应的网络访问控制信息,并将所述网络访问控制信息下发给所述网络访问控制模块;否则,结束所述方法。这里,业务信息管理系统与网络访问控制模块进行交互时,可以使用一次性口令 (OTA)方式,下行可采用远程文件更新方式。当然,网络访问控制模块也可以与业务信息管理系统单独定义新的空中传输协议。所述网络访问控制模块对接收到的所述网络访问控制信息进行数据合法性验证, 如果验证通过,则利用接收到的所述网络访问控制信息更新自身保存的网络访问控制信息,并存储新的通信模块标识信息。进一步地,为了确保通信模块所请求的网络访问控制的合法性,还可以由所述网络访问控制模块对发起该请求的通信模块进行权限验证,此时,在所述网络访问控制请求消息中需要携带所述通信模块的标识信息,相应地,在所述网络访问控制模块触发所述网络访问控制过程之前进一步包括权限验证的步骤,即所述网络访问控制模块根据所述通信模块的标识信息,对所述网络访问控制请求消息进行请求权限合法性验证,如果验证通过,则触发所述网络访问控制过程,否则,结束所述方法。进一步地,为了提高网络访问控制模块与通信模块之间数据传输的安全性,可以在网络访问控制请求消息发送前,先对其进行加密,然后再进行传输,即在所述步骤101中发送的网络访问控制请求消息为利用预设的加密方法加密后的网络访问控制请求消息。 相应地,步骤102中的所述数据合法性验证过程包括利用与所述加密方法对应的解密方法对所述加密后的网络访问控制请求消息进行数据合法性验证。这里,具体进行加解密时可采用现有方法实现,在此不再赘述。进一步地,业务信息管理系统与网络访问控制模块进行交互时也可以采用加密的方式,以确保网络地址传输的安全性。需要说明的是,为了提高安全性,业务信息管理系统与网络访问控制模块之间采用的加密方法和密钥,最好与网络访问控制模块与通信模块之间所采用的加密方法与密钥不一样。基于上述方法的技术方案,本发明实施例二给出了一种与该方法相对应的访问网络的控制装置,如图2所示,该装置设于无线通信设备内,包括通信模块201和网络访问控制模块202,其中,通信模块201,用于在无线通信设备需要访问网络或者需要对网络访问控制模块存储的网络访问控制信息更新时,发送网络访问控制请求消息给所述无线通信设备的网络访问控制模块202,所述网络访问控制信息包括可访问的网络地址信息和网络地址访问规则;网络访问控制模块202,用于对所述网络访问控制请求消息进行数据合法性验证, 如果所述验证通过,则根据所述网络访问控制请求消息触发相应的网络访问控制过程。进一步地,所述网络访问控制模块202为所述无线通信设备的用户识别模块。在实际应用中,所述无线通信设备可以为物联网中的无线通信专用设备,也就是说,该装置可应用于物联网中,以满足物联网对网络访问的安全性要求。具体地,在不同地网络访问控制请求消息的发送时机下,所实现地网络访问控制过程不同,相应地,网络访问的控制装置具体可采用如下方法实现(一 )在无线通信设备需要利用用户输入的网络地址访问网络的情况下如图3所示,所述通信模块201包括控制触发单元301和访问执行单元302 ;所述控制触发单元301,用于在无线通信设备需要访问网络或者需要对自身存储的网络地址信息更新时,发送网络访问控制请求消息给所述网络访问控制模块202 ;当无线通信设备需要利用用户输入的网络地址访问网络时,所述网络访问控制请求消息为用于请求判断访问合法性的消息,所述网络访问控制请求消息中携带所述网络地址。所述访问执行单元302,用于在从所述网络访问控制模块202处接收到的合法性判断结果为合法时,利用所述网络地址执行对应的网络访问过程;所述网络访问控制模块202包括验证单元303和控制过程执行单元304 ;所述验证单元303,用于对所述网络访问控制请求消息进行数据合法性验证,如果所述验证通过,则根据所述网络访问控制请求消息触发所述控制过程执行单元304执行;所述控制过程执行单元304,用于对所述网络访问控制请求消息中的网络地址进行合法性判断,并将合法性判断结果通知给所述通信模块。( 二)在无线通信设备需要利用自身存储的网络地址访问网络的情况下,如图4所示,所述通信模块201包括控制触发单元401和访问执行单元402 ;所述控制触发单元401,用于在无线通信设备需要访问网络或者需要对自身存储的网络地址信息更新时,发送网络访问控制请求消息给所述网络访问控制模块202 ;当无线通信设备需要利用自身存储的网络地址访问网络时,所述网络访问控制请求消息为用于请求网络地址的消息,所述网络访问控制请求消息中携带所请求的网络地址标识信息;所述访问执行单元402,用于利用所述网络访问控制模块202发送的网络地址执行对应的网络访问过程;所述网络访问控制模块202包括验证单元403和控制过程执行单元404 ;所述验证单元403,用于对所述网络访问控制请求消息进行数据合法性验证,如果所述验证通过,则根据所述网络访问控制请求消息触发所述控制过程执行单元404执行;所述控制过程执行单元404,用于将与所述网络地址标识信息对应的网络地址发送给所述通信模块201。对于情况(二),当采用由通信模块读取网络地址列表的方式获得网络地址时,相应的,访问网络的控制装置,可如图5所示所述通信模块201包括控制触发单元501和访问执行单元502 ;
12
所述控制触发单元501,用于在无线通信设备需要访问网络或者需要对自身存储的网络地址信息更新时,发送网络访问控制请求消息给所述网络访问控制模块202 ;当无线通信设备需要利用自身存储的网络地址访问网络时,所述网络访问控制请求消息为用于请求读取网络地址的消息;所述访问执行单元502,用于根据所述网络访问控制模块202的通知,从网络访问控制模块202存储的网络地址列表中读取与所述网络地址标识信息对应的网络地址;用于,在所述网络访问控制请求消息被发送后的预设时间之后,从所述网络地址列表中读取与所述网络地址标识信息对应的网络地址;利用所述网络地址执行对应的网络访问过程;所述网络访问控制模块202包括验证单元503和控制过程执行单元504 ;所述验证单元503,用于对所述网络访问控制请求消息进行数据合法性验证,如果所述验证通过,则根据所述网络访问控制请求消息触发所述控制过程执行单元504执行;所述控制过程执行单元504,用于开通所述网络地址列表的读取权限给所述通信模块201 ;通知所述通信模块201读取所述网络地址列表中与所述网络地址标识信息对应的网络地址。(三)无线通信设备需要对自身存储的网络地址信息更新的情况下如图6所示,所述通信模块201包括控制触发单元601 ;所述控制触发单元601,用于在无线通信设备需要访问网络或者需要对网络访问控制模块202存储的网络访问控制信息更新时,发送网络访问控制请求消息给所述网络访问控制模块202 ;当无线通信设备需要对自身存储的网络访问控制信息更新时,所述网络访问控制请求消息为用于请求更新网络访问控制信息的消息,所述网络访问控制请求消息中携带所述通信模块201的标识信息;将网络访问控制模块202发送的网络访问控制信息更新请求消息转发给业务信息管理系统604 ;接收业务信息管理系统604下发的网络访问控制信息并转发给验证单元602 ;所述网络访问控制模块202包括验证单元602和控制过程执行单元603 ;所述验证单元602,用于对所述网络访问控制请求消息进行数据合法性验证,如果所述验证通过,则根据所述网络访问控制请求消息触发所述控制过程执行单元603执行; 将接收自控制过程执行单元603的网络访问控制信息更新请求消息转发给所述控制触发单元601 ;对接收自业务信息管理系统604的网络访问控制信息进行数据合法性验证,并在验证通过时,将接收到的所述网络访问控制信息发送给所述控制过程执行单元603 ;控制过程执行单元603,用于在所述验证单元602的所述触发下,判断接收到的所述通信模块201的标识信息与自身保存的通信模块标识信息是否一致,并且自身保存的网络地址列表是否需要更新,如果不一致,或者一致且需要更新,则通过验证单元602和控制触发单元601向网络侧的业务信息管理系统604发送网络访问控制信息更新请求消息,所述网络访问控制信息更新请求消息中携带所述网络访问控制模块202自身的标识信息和/ 或所述通信模块标识信息;利用信息管理系统604发送的网络访问控制信息更新网络访问控制模块自身保存的网络访问控制信息,存储新的通信模块标识信息。对于图3-图6中的任一装置,较佳地,所述网络访问控制请求消息中携带所述通信模块的标识信息;所述验证单元,进一步用于在触发所述控制过程执行单元执行之前根据所述通信模块的标识信息,对所述网络访问控制请求消息进行请求权限合法性验证,如果验证通过,则触发所述网络访问控制过程。对于图3-图6中的任一装置,较佳地,所述控制触发单元,进一步用于在发送所述网络访问控制请求消息之前,利用预设的加密方法对该消息中的数据进行加密,将加密后的网络访问控制请求消息发送给所述网络访问控制模块;所述验证单元,进一步用于利用与所述加密方法对应的解密方法,对所述加密后的网络访问控制请求消息进行数据合法性验证。综上所述,以上仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。 凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种访问网络的控制装置,其特征在于,该装置设于无线通信设备内,包括网络访问控制模块和通信模块,其中,通信模块,用于在无线通信设备需要访问网络或者需要对网络访问控制模块存储的网络访问控制信息更新时,发送网络访问控制请求消息给所述无线通信设备的网络访问控制模块,所述网络访问控制信息包括可访问的网络地址信息和网络地址访问规则;网络访问控制模块,用于对所述网络访问控制请求消息进行数据合法性验证,如果所述验证通过,则根据所述网络访问控制请求消息触发相应的网络访问控制过程。
2.根据权利要求1所述的装置,其特征在于,所述网络访问控制模块为所述无线通信设备的用户识别模块。
3.根据权利要求1所述的装置,其特征在于,所述通信模块包括控制触发单元和访问执行单元;所述控制触发单元,用于在无线通信设备需要访问网络或者需要对网络访问控制模块存储的网络地址信息更新时,发送网络访问控制请求消息给所述网络访问控制模块;当无线通信设备需要利用用户输入的网络地址访问网络时,所述网络访问控制请求消息为用于请求判断访问合法性的消息,所述网络访问控制请求消息中携带所述网络地址;所述访问执行单元,用于在从所述网络访问控制模块处接收到的合法性判断结果为合法时,利用所述网络地址执行对应的网络访问过程;所述网络访问控制模块包括验证单元和控制过程执行单元;所述验证单元,用于对所述网络访问控制请求消息进行数据合法性验证,如果所述验证通过,则根据所述网络访问控制请求消息触发所述控制过程执行单元执行;所述控制过程执行单元,用于对所述网络访问控制请求消息中的网络地址进行合法性判断,并将合法性判断结果通知给所述通信模块。
4.根据权利要求1所述的装置,其特征在于,所述通信模块包括控制触发单元和访问执行单元;所述控制触发单元,用于在无线通信设备需要访问网络或者需要对网络访问控制模块存储的网络地址信息更新时,发送网络访问控制请求消息给所述网络访问控制模块;当无线通信设备需要利用自身存储的网络地址访问网络时,所述网络访问控制请求消息为用于请求网络地址的消息,所述网络访问控制请求消息中携带所请求的网络地址标识信息;所述访问执行单元,用于利用所述网络访问控制模块发送的网络地址执行对应的网络访问过程;所述网络访问控制模块包括验证单元和控制过程执行单元;所述验证单元,用于对所述网络访问控制请求消息进行数据合法性验证,如果所述验证通过,则根据所述网络访问控制请求消息触发所述控制过程执行单元执行;所述控制过程执行单元,用于将与所述网络地址标识信息对应的网络地址发送给所述通信模块。
5.根据权利要求1所述的装置,其特征在于,所述通信模块包括控制触发单元和访问执行单元;所述控制触发单元,用于在无线通信设备需要访问网络或者需要对网络访问控制模块存储的网络地址信息更新时,发送网络访问控制请求消息给所述网络访问控制模块;当无线通信设备需要利用自身存储的网络地址访问网络时,所述网络访问控制请求消息为用于请求读取网络地址的消息;所述访问执行单元,用于根据所述网络访问控制模块的通知,从网络访问控制模块存储的网络地址列表中读取与所述网络地址标识信息对应的网络地址;用于在所述网络访问控制请求消息被发送后的预设时间之后,从网络访问控制模块的所述网络地址列表中读取与所述网络地址标识信息对应的网络地址;利用所述网络地址执行对应的网络访问过程;所述网络访问控制模块包括验证单元和控制过程执行单元;所述验证单元,用于对所述网络访问控制请求消息进行数据合法性验证,如果所述验证通过,则根据所述网络访问控制请求消息触发所述控制过程执行单元执行;所述控制过程执行单元,用于开通所述网络地址列表的读取权限给所述通信模块;通知所述通信模块读取所述网络地址列表中与所述网络地址标识信息对应的网络地址。
6.根据权利要求1所述的装置,其特征在于,所述通信模块包括控制触发单元;所述控制触发单元,用于在无线通信设备需要访问网络或者需要对网络访问控制模块存储的网络访问控制信息更新时,发送网络访问控制请求消息给所述网络访问控制模块; 当无线通信设备需要对所述网络访问控制信息更新时,所述网络访问控制请求消息为用于请求更新网络访问控制信息的消息,所述网络访问控制请求消息中携带所述通信模块的标识信息;将网络访问控制模块发送的网络访问控制信息更新请求消息转发给业务信息管理系统;接收业务信息管理系统604下发的网络访问控制信息并转发给验证单元;所述网络访问控制模块包括验证单元和控制过程执行单元;所述验证单元,用于对所述网络访问控制请求消息进行数据合法性验证,如果所述验证通过,则根据所述网络访问控制请求消息触发所述控制过程执行单元执行;将接收自控制过程执行单元的网络访问控制信息更新请求消息转发给所述控制触发单元;对接收自业务信息管理系统的网络访问控制信息进行数据合法性验证,并在验证通过时,将接收到的所述网络访问控制信息发送给所述控制过程执行单元;控制过程执行单元,用于在所述验证单元602的所述触发下,判断接收到的所述通信模块的标识信息与自身保存的通信模块标识信息是否相同,并且自身保存的网络访问控制信息是否需要被更新,如果不相同,或者相同且需要被更新,则通过验证单元和控制触发单元向网络侧的业务信息管理系统发送网络访问控制信息更新请求消息,所述网络访问控制信息更新请求消息中携带所述网络访问控制模块自身的标识信息和/或所述通信模块标识信息;利用所述信息管理系统发送的网络访问控制信息更新网络访问控制模块自身保存的网络访问控制信息,存储新的通信模块标识信息。
7.根据权利要求1所述的装置,其特征在于,所述需要对网络访问控制模块存储的网络地址信息更新为当所述通信模块与所述网络访问控制模块首次配对使用时,或者,用户利用STK菜单通知网络访问控制模块发送网络访问控制信息更新请求时,或者,网络侧的业务信息管理系统向所述网络访问控制模块下发信息通知网络访问控制模块发送网络访问控制信息更新请求时。
8.根据权利要求3至6所述的任一装置,其特征在于,所述网络访问控制请求消息中携带所述通信模块的标识信息;所述验证单元,进一步用于在触发所述控制过程执行单元执行之前根据所述通信模块的标识信息,对所述网络访问控制请求消息进行请求权限合法性验证,如果验证通过,则触发所述网络访问控制过程。
9.根据权利要求3、4或6所述的装置,其特征在于,所述控制触发单元,进一步用于在发送所述网络访问控制请求消息之前,利用预设的加密方法对该消息中的数据进行加密, 将加密后的网络访问控制请求消息发送给所述网络访问控制模块;所述验证单元,进一步用于利用与所述加密方法对应的解密方法,对所述加密后的网络访问控制请求消息进行数据合法性验证。
10.根据权利要求1所述的装置,其特征在于,所述无线通信设备为物联网中的无线通信专用设备。
11.一种访问网络的控制方法,其特征在于,该方法包括以下步骤a、当无线通信设备需要访问网络或者需要对其网络访问控制模块存储的网络访问控制信息更新时,所述无线通信设备的通信模块发送网络访问控制请求消息给所述网络访问控制模块,所述网络访问控制信息包括可访问的网络地址信息和网络地址访问规则;b、所述网络访问控制模块对所述网络访问控制请求消息进行数据合法性验证,如果所述验证通过,则根据所述网络访问控制请求消息触发相应的网络访问控制过程,否则,结束所述方法。
12.根据权利要求11所述的方法,其特征在于,所述网络访问控制模块为所述无线通信设备的用户识别模块。
13.根据权利要求11或12所述的方法,其特征在于,当无线通信设备需要利用用户输入的网络地址访问网络时,所述步骤a中的网络访问控制请求消息为用于请求判断访问合法性的消息,所述网络访问控制请求消息中携带所述网络地址;所述步骤b中的网络访问控制过程为所述网络访问控制模块对所述网络访问控制请求消息中的网络地址进行合法性判断, 并将合法性判断结果通知给所述通信模块;如果所述通信模块接收到的合法性判断结果为合法,则利用所述网络地址执行对应的网络访问过程,否则,结束所述方法。
14.根据权利要求13所述的方法,其特征在于,步骤b中所述网络访问控制模块对所述合法性判断请求消息中的网络地址进行合法性判断为所述网络访问控制模块判断所述网络地址是否在自身存储的网络地址列表中或者符合当前存储的网络地址访问规则,如果是,则判定所述网络地址合法;否则,判定所述网络地址不合法。
15.根据权利要求11或12所述的方法,其特征在于,当无线通信设备需要利用自身存储的网络地址访问网络时,所述步骤a中的网络访问控制请求消息为用于请求网络地址的消息,所述网络访问控制请求消息中携带所请求的网络地址标识信息;步骤b中的所述网络访问控制过程包括所述网络访问控制模块将与所述网络地址标识信息对应的网络地址发送给所述通信模块;所述通信模块利用所述网络地址执行对应的网络访问过程。
16.根据权利要求11或12所述的方法,其特征在于,当无线通信设备需要利用自身存储的网络地址访问网络时,所述步骤a中的网络访问控制请求消息为用于请求读取网络地址的消息;步骤b中的所述网络访问控制过程包括bl、所述网络访问控制模块开通自身存储的网络地址列表的读取权限给所述通信模块;b2、所述网络访问控制模块通知所述通信模块读取所述网络地址列表中与所述网络地址标识信息对应的网络地址,所述通信模块根据所述通知从所述网络地址列表中读取与所述网络地址标识信息对应的网络地址,并利用所述网络地址执行对应的网络访问过程;其中,步骤1^2或者为所述通信模块在发送所述网络访问控制请求消息后的预设时间之后,从所述网络地址列表中读取与所述网络地址标识信息对应的网络地址,并利用所述网络地址执行对应的网络访问过程。
17.根据权利要求11或12所述的方法,其特征在于,当无线通信设备需要对网络访问控制模块存储的网络访问控制信息更新时,所述步骤a中的网络访问控制请求消息为用于请求更新网络访问控制信息的消息,所述网络访问控制请求消息中携带所述通信模块的标识信息;所述步骤b中的网络访问控制过程为所述网络访问控制模块判断接收到的所述通信模块的标识信息与自身保存的通信模块标识信息是否相同并且自身保存的网络访问控制信息是否需要更新,如果不相同,或者相同且不需要更新,则向网络侧的业务信息管理系统发送网络访问控制信息更新请求消息,所述网络访问控制信息更新请求消息中携带所述网络访问控制模块自身的标识信息和 /或所述通信模块标识信息,否则,结束所述方法;所述业务信息管理系统对接收到的所述网络访问控制信息更新请求消息进行数据合法性验证,如果验证通过,则根据所述网络访问控制模块自身的标识信息和所述通信模块标识信息,获取网络侧存储的对应的网络访问控制信息,并将所述网络访问控制信息下发给所述网络访问控制模块;否则,结束所述方法;所述网络访问控制模块对接收到的所述网络访问控制信息进行数据合法性验证,如果验证通过,则利用接收到的所述网络访问控制信息更新自身保存的网络访问控制信息,并存储新的通信模块标识信息。
18.根据权利要求11所述的方法,其特征在于,所述需要对网络访问控制模块存储的网络访问控制信息更新为当所述通信模块与所述网络访问控制模块首次配对使用时,或者,用户利用STK菜单通知网络访问控制模块发送网络访问控制信息更新请求时,或者,网络侧的业务信息管理系统向所述网络访问控制模块下发信息通知网络访问控制模块发送网络访问控制信息更新请求时。
19.根据权利要求11或12所述的方法,其特征在于,所述网络访问控制请求消息中携带所述通信模块的标识信息;步骤b中在触发所述网络访问控制过程之前进一步包括所述网络访问控制模块根据所述通信模块的标识信息,对所述网络访问控制请求消息进行请求权限合法性验证,如果验证通过,则触发所述网络访问控制过程,否则,结束所述方法。
20.根据权利要求12所述的方法,其特征在于,所述网络访问控制模块与所述通信模块之间通过应用程序协议数据单元(APDU)指令进行交互。
21.根据权利要求11或12所述的方法,其特征在于,在所述步骤a中发送的所述网络访问控制请求消息为利用预设的加密方法加密后的网络访问控制请求消息;步骤b中的所述数据合法性验证过程包括利用与所述加密方法对应的解密方法对所述加密后的网络访问控制请求消息进行数据合法性验证。
22.根据权利要求11所述的方法,其特征在于,所述无线通信设备为物联网中的无线通信专用设备。
全文摘要
本发明提供了一种访问网络的控制装置和方法,其中该方法包括当无线通信设备需要访问网络或者需要对其网络访问控制模块存储的网络访问控制信息更新时,所述无线通信设备的通信模块发送网络访问控制请求消息给所述网络访问控制模块,所述网络访问控制信息包括可访问的网络地址信息和网络地址访问规则;所述网络访问控制模块对所述网络访问控制请求消息进行数据合法性验证,如果所述验证通过,则根据所述网络访问控制请求消息触发相应的网络访问控制过程,否则,结束所述方法。采用本发明,可以有效确保无线通信设备访问网络的安全性与灵活性。
文档编号H04L29/06GK102572837SQ20101061832
公开日2012年7月11日 申请日期2010年12月22日 优先权日2010年12月22日
发明者王长年 申请人:中国移动通信集团江苏有限公司