专利名称:一种建立安全连接的方法、终端和系统的制作方法
技术领域:
本发明涉及通信网络领域,特别涉及一种网络接入的方法、终端和系统。
背景技术:
当前移动运营商提供给手机的互联网接入,使用如下技术过程:手机终端向移动运营商SGSN发起附着请求,移动运营商SGSN向手机终端发起终端认证要求,手机终端转发终端认证请求给SM卡,SIM卡根据收到的终端认证请求,和自身存储的密钥,计算出会话密钥和认证回复,手机终端发送终端认证回复给移动运营商SGSN,SM卡认证通过,手机终端附着SGSN成功;手机终端向移动运营商SGSN发起数据会话(PDP Content)激活请求,SGSN转发数据会话激活请求给GGSN,GGSN向Radius请求认证,Radius认证通过,GGSN向DHCP请求互联网地址,DHCP分配互联网地址,GGSN发送数据会话激活回复给SGSN,SGSN回复手机终端,数据会话成功建立。手机终端上的应用程序,实用建立好的数据会话进行网络通信。在最新基于SM的手机终端认证过程中,添加了 SM卡向网络发送网络认证请求,网络计算后发送回认证回复的过程,提供双向认证,增加了安全性。当前,各种移动终端包括手机终端,普遍支持虚拟专用网络(VPN)接入功能,接入的认证手段为PPTP,L2TP等隧道协议,传输加密方法为IPSec协议。各种移动终端普遍支持移动热点功能,开通移动热点的手机,通过建立wifi局域网,共享手机的3G上网流量。根据现有技术,当移动运营商用户使用其他运营商网络接入互联网后,移动运营商无法为手机上的应用提供简单有效的识别用户或者提供手机号码的方法。通过运营商的各种网络接入方法,在如下情况下,运营商无法为自己的注册用户提供网络接入服务,或者无法获得用户的手机号码等身份信息:一种情况是客户连接了本地wifi,流量从wifi经过固定网络运营商进入互联网,移动运营商无法得到网络流量,进而无法提供各种增值服务;一种情况是客户使用移动运营商部署Wifi的方式,通过sim卡认证的模式,接入移动运营商网络,这种方法需要部署特殊的AP,或者需要更改现在的AP的配置,使用受到限制;一种情况是客户使用vpn方式接入互联网络,仅用用户名,密码,密钥的方式,无法获得高等级的安全保证,另外配置复杂,也不利于推广;一种情况是运营商仅仅把SIM卡用在移动网络接入认证上,第三方应用无法得到支持。而第三方手机应用,在iphone等手机上,除了 SM卡,没有可用的统一的智能卡方案;还有一种情况是多个终端共享手机的移动热点,造成多个共享热点的设备在移动运营商侧无法区分。
发明内容
本发明为了解决上述问题,在终端侧通过设置一个具有安全控制功能的网络代理模块,协调SIM卡和接入服务器、认证服务器之间的连接建立,不仅能够顺利获取终端的唯一性标识,在复杂网络环境下提供统一的安全接入,还提高了连接的安全性,此外还可以为安全支付提供很好的基础。
本发明提出一种建立安全连接的方法,包括以下步骤:终端中具有安全控制功能的网络代理模块读取预先配置的接入服务器信息,并使用安全连接方式,连接到接入服务器;接入服务器请求认证服务器,认证服务器向终端发起终端认证,同时终端向认证服务器发起网络认证;通过网络认证和终端认证后,网络代理模块和接入服务器连接成功,接入服务器获得终端的唯一性标识。其中,所述网络代理模块仅监听本机网络端口,或者仅提供本地程序调用接口,所述终端是移动终端,所述接入服务器是虚拟专用网VPN服务器。其中,在接入服务器获得终端的唯一性标识之后,还包括:所述终端的网络代理模块发送登录信息给接入服务器,接入服务器转发登录信息给后台系统,并附加上获取的所述终端的唯一性标识,后台系统进行登录操作,回复登录成功证书,所述终端使用该证书直接和后台系统进行后续操作,或者通过建立好的安全连接,发送后续的业务数据。其中,所述终端使用该证书进行后续操作之后,还包括:所述终端通过安全连接发送交易信息到后台系统;后台系统判断交易需经过多个终端确认,则发送多个终端确认指令给接入服务器;接入服务器发送等待至少一个其他终端确认的信息给所述终端,并根据所述终端的唯一性标识向所述至少一个其他终端发送交易确认通知;所述至少一个其他终端接收交易确认通知,并和接入服务器建立安全连接,获取待确认的交易信息;所述至少一个其他终端终端对交易进行确认,确认信息通过安全连接传递到后台系统,完成交易。本发明还提出一种用于建立安全连接的终端,包括:
智能卡模块,用于携带终端的唯一性标识,接收网络代理模块转发的终端认证请求、发送终端认证应答和网络认证请求,以及接收网络代理模块转发的网络认证应答;
网络代理模块,具有安全控制功能,用于读取预先配置的接入服务器信息,并使用安全连接方式,连接到接入服务器,并转发终端认证请求、终端认证应答、网络认证请求和网络认证应答。其中的网络代理模块仅监听本机网络端口,或者仅提供本地程序调用接口 ;所述终端是移动终端,所述接入服务器是虚拟专用网VPN服务器。其中所述网络代理模块还用于发送登录信息给接入服务器,接入服务器转发登录信息给后台系统,并附加上获取的所述终端的唯一性标识,后台系统进行登录操作,回复登录成功证书,所述终端使用该证书直接和后台系统进行后续操作,或者通过建立好的安全连接,发送后续的业务数据。本发明还提出一种用于建立安全连接的系统,包括:
终端,所述终端包括智能卡模块和网络代理模块,所述智能卡模块,用于携带终端的唯一性标识,接收网络代理模块转发的终端认证请求、发送终端认证应答和网络认证请求,以及接收网络代理模块转发的网络认证应答;所述网络代理模块,具有安全控制功能,用于读取预先配置的接入服务器信息,并使用安全连接方式,连接到接入服务器,并转发终端认证请求、终端认证应答、网络认证请求和网络认证应答;
接入服务器,用于请求认证服务器向终端发起终端认证,以及接收终端向认证服务器发起的网络认证请求,并在通过网络认证和终端认证后,获得终端的唯一性标识;
认证服务器,连接到接入服务器,用于与终端进行终端认证和网络认证。
通过上述方案,移动运营商,互联网服务提供者,手机应用服务提供者可以在通过所述安全连接方式,得到用户的唯一性标识,比如IMSI信息、电话号码等等,就可以为客户提供专有的增值服务。由于终端的网络代理模块的具有的安全连接功能,使得其他终端可以共享本机热点,而不用担心共享的终端盗用本机号码,增加了安全性和可操作性。以下结合
本发明的具体实施例。
图1是本发明提出的建立安全连接的方法的流程 图2是本发明提出建立安全连接的方法的具体的流程 图3是本发明的方法在接入服务器获得终端的唯一性标识之后的步骤示意 图4是本发明的方法用于支付的示意 图5是本发明的方法用于支付的具体步骤示意 图6是本发明提出的终端的组成 图7是本发明提出的系统的组成图。
具体实施例方式以下将结合附图对本发明的技术方案作详细说明。如图1所示,本发明提出的一种建立安全连接的方法,包括以下步骤:
(1)终端中具有安全控制功能的网络代理模块读取预先配置的接入服务器信息,并使用安全连接方式,连接到接入服务器;
(2)接入服务器请求认证服务器,认证服务器向终端发起终端认证,同时终端向认证服务器发起网络认证;
(3)通过网络认证和终端认证后,网络代理模块和接入服务器连接成功,接入服务器获得终端的唯一'I"生标识。其中,网络代理模块仅监听本机网络端口,或者仅提供本地程序调用接口 ;终端可以是移动终端,比如手机、笔记本电脑、平板电脑、便携式计算机等,接入服务器可以是虚拟专用网VPN服务器或其他类型的接入服务器。如果终端为手机,则终端认证和网络认证的具体过程可以参见图2,具体来说,认证服务器向手机发起终端认证,手机终端的网络代理模块转发终端认证给智能卡(例如SM卡),手机终端上的智能卡(SIM卡),根据发来的终端认证信息,计算终端认证回复信息,回复终端认证;为了认证网络,手机终端上的智能卡(SM卡)发送网络认证信息给认证服务器,网络认证信息由手机终端的网络代理模块转发,认证服务器校验终端发回的认证回复信息,认证终端,并且根据收到的网络认证信息,计算网络认证回复信息,并且发送网络认证回复信息给终端,手机终端上的智能卡(SIM卡)校验网络认证回复信息,通过网络认证.,在通过了网络认证和终端认证后,连接成功,在终端认证成功后,认证服务器发送手机的唯一性标识,比如手机号码给接入服务器,接入服务器获取手机唯一性标识。此外,也可以在网络认证成功后再由认证服务器发送手机的唯一性标识给接入服务器,接入服务器获取手机唯一性标识。如图3所示,在接入服务器获得终端的唯一性标识之后,还包括:所述终端的网络代理模块发送登录信息给接入服务器,接入服务器转发登录信息给后台系统,并附加上获取的所述终端的唯一性标识,后台系统进行登录操作,回复登录成功证书,所述终端使用该证书直接和后台系统进行后续操作,或者通过建立好的安全连接,发送后续的业务数据。本发明提出的上述方法,还可以用于移动支付中确保安全性,如图4所示,终端使用该证书进行后续操作之后,开始进行交易,首先,终端通过安全连接发送交易信息到后台系统;后台系统判断交易需经过多个终端确认,则发送多个终端确认指令给接入服务器;接入服务器发送等待至少一个其他终端确认的信息给所述终端,并根据所述终端的唯一性标识向所述至少一个其他终端发送交易确认通知;所述至少一个其他终端接收交易确认通知,并和接入服务器建立安全连接,获取待确认的交易信息;所述至少一个其他终端对交易进行确认,确认信息通过安全连接传递到后台系统,完成交易。更加具体的流程可以参见图5。本发明还提出了一种用于建立安全连接的终端,如图6所示,包括智能卡模块和网络代理模块,其中,
智能卡模块,用于携带终端的唯一性标识,接收网络代理模块转发的终端认证请求、发送终端认证应答和网络认证请求,以及接收网络代理模块转发的网络认证应答;
网络代理模块,具有安全控制功能,用于读取预先配置的接入服务器信息,并使用安全连接方式,连接到接入服务器,并转发终端认证请求、终端认证应答、网络认证请求和网络认证应答。其中的网络代理模块仅监听本机网络端口,或者仅提供本地程序调用接口。所述终端可以是移动终端,所述接入服务器是虚拟专用网VPN服务器,其中所述网络代理模块还用于发送登录信息给接入服务器,接入服务器转发登录信息给后台系统,并附加上获取的所述终端的唯一性标识,后台系统进行登录操作,回复登录成功证书,所述终端使用该证书直接和后台系统进行后续操作,或者通过建立好的安全连接,发送后续的业务数据。本发明提出的一种用于建立安全连接的系统,其特征在于,包括至少一个终端、接入服务器和认证服务器,其中:
终端,包括智能卡模块和网络代理模块,所述智能卡模块,用于携带终端的唯一性标识,接收网络代理模块转发的终端认证请求、发送终端认证应答和网络认证请求,以及接收网络代理模块转发的网络认证应答;所述网络代理模块,具有安全控制功能,用于读取预先配置的接入服务器信息,并使用安全连接方式,连接到接入服务器,并转发终端认证请求、终端认证应答、网络认证请求和网络认证应答;
接入服务器,用于请求认证服务器向终端发起终端认证,以及接收终端向认证服务器发起的网络认证请求,并在通过网络认证和终端认证后,获得终端的唯一性标识;
认证服务器,连接到接入服务器,用于与终端进行终端认证和网络认证。本发明通过在终端侧通过设置一个具有安全控制功能的网络代理模块,协调SM卡和接入服务器、认证服务器之间的连接建立,不仅能够顺利获取终端的唯一性标识,在复杂网络环境下提供统一的安全接入,还提高了连接的安全性,为安全支付提供很好的基础。本领域技术人员可以理解实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关的硬件完成,所述程序可存储于计算机可读存储介质中。
以上所述,仅为本发明的具体实施方式
,但本发明的保护范围并不局限于此,任何熟悉本领域的技术人员在本发明公开的范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。
权利要求
1.一种建立安全连接的方法,其特征在于,包括以下步骤: 终端中具有安全控制功能的网络代理模块读取预先配置的接入服务器信息,并使用安全连接方式,连接到接入服务器; 接入服务器请求认证服务器,认证服务器向终端发起终端认证,同时终端向认证服务器发起网络认证; 通过网络认证和终端认证后,网络代理模块和接入服务器连接成功,接入服务器获得终端的唯一'I"生标识。
2.根据权利要求1所述的建立安全连接的方法,所述网络代理模块仅监听本机网络端口,或者仅提供本地程序调用接口。
3.根据权利要求1所述的建立安全连接的方法,所述终端是移动终端。
4.根据权利要求1所述的建立安全连接的方法,所述接入服务器是虚拟专用网VPN服务器。
5.根据权利要求1所述的建立安全连接的方法,在接入服务器获得终端的唯一性标识之后,还包括: 所述终端的网络代理模块发送登录信息给接入服务器,接入服务器转发登录信息给后台系统,并附加上获取的所述终端的唯一性标识,后台系统进行登录操作,回复登录成功证书,所述终端使用该证书进行后续操作。
6.根据权利要求5所述的建立安全连接的方法,所述终端使用该证书进行后续操作之后,还包括: 所述终端通过安全连接发送交易信息到后台系统; 后台系统判断交易需经过多个终端确认,则发送多个终端确认指令给接入服务器; 接入服务器发送等待至少一个其他终端确认的信息给所述终端,并根据所述终端的唯一性标识向所述至少一个其他终端发送交易确认通知; 所述至少一个其他终端接收交易确认通知,并和接入服务器建立安全连接,获取待确认的交易信息; 所述至少一个其他终端对交易进行确认,确认信息通过安全连接传递到后台系统,完成交易。
7.一种用于建立安全连接的终端,其特征在于,包括 智能卡模块,用于携带终端的唯一性标识,接收网络代理模块转发的终端认证请求、发送终端认证应答和网络认证请求,以及接收网络代理模块转发的网络认证应答; 网络代理模块,具有安全控制功能,用于读取预先配置的接入服务器信息,并使用安全连接方式,连接到接入服务器,并转发终端认证请求、终端认证应答、网络认证请求和网络认证应答。
8.根据权利要求7所述的建立安全连接的终端,其中的网络代理模块仅监听本机网络端口,或者仅提供本地程序调用接口。
9.根据权利要求7所述的建立安全连接的终端,所述终端是移动终端。
10.根据权利要求7所述的建立安全连接的终端,所述接入服务器是虚拟专用网VPN服务器。
11.根据权利要求7所述的建立安全连接的终端,其中所述网络代理模块还用于发送登录信息给接入服务器,接入服务器转发登录信息给后台系统,并附加上获取的所述终端的唯一性标识,后台系统进行登录操作,回复登录成功证书,所述终端使用该证书直接和后台系统进行后续操作,或者通过建立好的安全连接,发送后续的业务数据。
12.一种用于建立安全连接的系统,其特征在于,包括 终端,包括智能卡模块和网络代理模块,所述智能卡模块,用于携带终端的唯一性标识,接收网络代理模块转发的终端认证请求、发送终端认证应答和网络认证请求,以及接收网络代理模块转发的网络认证应答;所述网络代理模块,具有安全控制功能,用于读取预先配置的接入服务器信息,并使用安全连接方式,连接到接入服务器,并转发终端认证请求、终端认证应答、网络认证请求和网络认证应答; 接入服务器,用于请求认证服务器向终端发起终端认证,以及接收终端向认证服务器发起的网络认证请求,并在通过网络认证和终端认证后,获得终端的唯一性标识; 认证服务器,连接到接 入服务器,用于与终端进行终端认证和网络认证。
全文摘要
本发明提出了一种建立安全连接的方法、终端和系统,其中方法包括以下步骤终端中具有安全控制功能的网络代理模块读取预先配置的接入服务器信息,并使用安全连接方式,连接到接入服务器;接入服务器请求认证服务器,认证服务器向终端发起终端认证,同时终端向认证服务器发起网络认证;通过网络认证和终端认证后,网络代理模块和接入服务器连接成功,接入服务器获得终端的唯一性标识。本发明通过在终端侧通过设置一个具有安全控制功能的网络代理模块,协调SIM卡和接入服务器、认证服务器之间的连接建立,不仅能够顺利获取终端的唯一性标识,在复杂网络环境下提供统一的安全接入,还提高了连接的安全性,此外还可以为安全支付提供很好的基础。
文档编号H04W12/06GK103095721SQ20131003816
公开日2013年5月8日 申请日期2013年1月31日 优先权日2013年1月31日
发明者王征, 张灏 申请人:北京惠银通联科技有限公司