本发明涉及网关设备的拨号领域,具体涉及一种具备鉴权功能的网关设备上网拨号方法及系统。
背景技术:
网关设备是用户上网所必需的接入设备,现有的网关设备通过帐号和密码进行ppp(pointtopointprotocol,点对点通信协议)拨号,账号一般由用户自行配置或者由itms(integratedterminalmanagementsystem,终端综合管理系统)平台下发。当网关设备完成拨号后,接入网关的用户终端设备(例如智能手机)则可通过上述完成拨号的网关设备进行上网。
公共环境下(例如酒店等)的网关设备,可能会被多台用户终端设备接入,当用户终端设备接入公共的网关设备时,会存在以下风险:
由于只要知道网关设备拨号使用的账号和密码,即可控制网关设备进行拨号,而网关设备的账号和密码属于明文信息,其传播度比较广泛,因此网关设备的用户非常多。当有不法分子接入网关设备后,可能会通过非法技术手段(例如数据包截取等)建立拨号链接,然后捕获此链路中的数据信息,若其他用户的重要上网信息(例如网上银行的账号和密码)遭到泄露,则可能对信息被泄露的用户造成重大财产损失。
有鉴于此,接入现有的网关设备进行上网时,安全性能较差,急需改善。
技术实现要素:
针对现有技术中存在的缺陷,本发明解决的技术问题为:如何控制和验证接入网关设备的终端设备的身份信息,本发明能够大幅度提高不法分子未经验证控制网关设备拨号的难度,进而显著提高了网关设备的安全性能。
为达到以上目的,本发明提供的具备鉴权功能的网关设备上网拨号方法,包括以下步骤:
s1:终端设备向网关设备的服务端发送上网身份信息,服务端对上网身份信息验证通过后,向终端设备下发通过加密算法加密后的身份令牌,转到s2;
s2:终端设备在信号连接区域内向网关设备发送身份令牌,网关设备通过与s1中加密算法对应的解密算法,对身份令牌解密后,根据身份令牌、以及预先设置的上网账号和密码,向服务端进行ppp拨号,转到s3;
s3:服务端对身份令牌、上网账号和密码进行鉴权,若鉴权成功,给予网关设备上网权限;
在s3之后,当网关设备检测到终端设备在信号连接区域以外时,自动断开与服务端的拨号连接。
本发明提供的具备鉴权功能的网关设备上网拨号系统,包括设置于终端设备上的身份信息发送模块和身份令牌发送模块;设置于网关设备的服务端上的身份令牌下发模块和拨号鉴权模块;以及设置于网关设备上的上网拨号模块和信号连接区域检测模块;
终端设备的身份信息发送模块用于:向服务端的身份令牌下发模块发送上网身份信息;
身份令牌下发模块用于:收到上网身份信息后,在信号连接区域内向终端设备的身份令牌发送模块下发通过加密算法加密后的身份令牌;
身份令牌发送模块用于:收到身份令牌后,向网关设备的上网拨号模块发送身份令牌;
上网拨号模块用于:收到身份令牌后,通过与身份令牌的加密算法对应的解密算法,对身份令牌解密;当身份令牌的发送对象为未接入网关设备的终端设备时,根据身份令牌、以及预先设置的上网账号和密码,向服务端的拨号鉴权模块进行ppp拨号;
拨号鉴权模块用于:当上网拨号模块进行ppp拨号时,对上网拨号模块上传的身份令牌、上网账号和密码进行鉴权,若鉴权成功,给予上网拨号模块对应的网关设备的上网权限;
信号连接区域检测模块用于:在网关设备获取上网权限后,当检测到终端设备在信号连接区域以外时,自动断开与服务端的拨号连接。
与现有技术相比,本发明的优点在于:
(1)通过本发明的s1至s3可知,本发明的网关设备并不是主动拨号,而是当网关设备收到终端设备的身份令牌时,才会根据身份令牌进行拨号。在此基础上,只有身份令牌正确才会被认为拨号成功,而只有通过服务端身份验证的安全用户的终端设备,才能获得服务端下发的身份令牌;由于服务端下发的身份令牌经过加密,而且不同用户对应相应的身份令牌,因此终端设备在未得知身份令牌的加密算法情况下,无法传播身份令牌,进而大幅度提高不法分子未经验证控制网关设备拨号的难度,显著提高了网关设备的安全性能。
(2)通过本发明的s4至s6可知,本发明的网关设备在拨号成功后,依然会周期性的向终端设备下发加密的身份令牌、并对下发的身份令牌进行二次鉴权,进而使得不法分子需要破解多个加密的身份令牌,才能保持网关设备拨号成功的状态,进一步增大了不法分子控制网关设备拨号的难度,随之,也进一步提高了网关设备的安全性能。
附图说明
图1为本发明实施例中具备鉴权功能的网关设备上网拨号方法的流程图。
具体实施方式
以下结合附图及实施例对本发明作进一步详细说明。
参见图1所示,本发明实施例中的具备鉴权功能的网关设备上网拨号方法,包括以下步骤:
s1:用户通过终端设备向网关设备的服务端提供的上网申请平台发送上网身份信息,服务端对上网身份信息验证通过后,向终端设备下发通过加密算法加密后的身份令牌,身份令牌加密能够防止身份令牌外泄,进而提高安全性能,转到s2。
s1中的终端设备包括移动终端(例如智能手机、平板电脑等)和pc,加密算法可以为aes(advancedencryptionstandard,高级加密标准)加密算法;本实施例中的终端设备为具备nfc接口的移动终端。
s2:用户通过终端设备的nfc接口,在信号连接区域内向网关设备发送身份令牌,网关设备通过与s1中加密算法对应的解密算法(aes解密算法),对身份令牌解密后,根据身份令牌、以及预先设置的上网账号和密码,向服务端进行ppp拨号,转到s3。
s3:服务端对身份令牌、上网账号和密码进行鉴权,若鉴权成功(上网账号和密码正确、身份令牌与s1中下发的身份令牌相同),给予网关设备上网权限(即拨号成功),转到s4;若鉴权失败,网关设备向终端设备发送无法上网信息(例如用户鉴权信息有误等),结束(此时可重新向服务端申请身份令牌、或者重新向网关设备发送身份令牌)。
通过s1至s3可知,本发明实施例的网关设备并不是主动拨号,而是当网关设备收到终端设备的身份令牌时,才会根据身份令牌进行拨号。在此基础上,只有身份令牌正确才会被认为拨号成功,而只有通过服务端身份验证的安全用户的终端设备,才能获得服务端下发的身份令牌;由于服务端下发的身份令牌经过加密,而且不同用户对应相应的身份令牌,因此终端设备在未得知身份令牌的加密算法情况下,无法传播身份令牌,进而大幅度提高不法分子未经验证控制网关设备拨号的难度,显著提高了网关设备的安全性能。
s4:进入拨号后的二次鉴权:服务端周期性的向终端设备下发通过加密算法加密后的身份令牌,终端设备通过nfc接口,将身份令牌转发至网关设备;网关设备将身份令牌通过解密算法解密后,向服务端发送带有身份令牌的心跳报文,转到s5。
s5:服务端对心跳报文进行鉴权,若鉴权成功(心跳报文中的身份令牌,与服务端在s4中下发的身份令牌相同),向网关设备返回心跳报文响应信息,转到s6;若鉴权失败,直接转到s6。
s6:网关设备每次向服务端发送心跳报文后,统计未收到心跳报文响应信息的次数,当未收到心跳报文响应信息的次数大于指定阈值(本实施例中为5次)时,自动断开与服务端的拨号连接。
通过s4至s6可知,本发明实施例的网关设备在拨号成功后,依然会周期性的向终端设备下发加密的身份令牌、并对下发的身份令牌进行二次鉴权,进而使得不法分子需要破解多个加密的身份令牌,才能保持网关设备拨号成功的状态,进一步增大了不法分子控制网关设备拨号的难度,随之,也进一步提高了网关设备的安全性能。
s7:在执行s4至s6的过程中,当网关设备检测到终端设备在信号连接区域以外时,自动断开与服务端的拨号连接。
一种具备鉴权功能的网关设备上网拨号系统,该系统包括:
设置于终端设备(具备nfc接口的移动终端)上的身份信息发送模块和身份令牌发送模块;
设置于网关设备的服务端上的身份令牌下发模块、拨号鉴权模块和二次鉴权模块;
设置于网关设备上的上网拨号模块和信号连接区域检测模块。
终端设备的身份信息发送模块用于:向服务端的身份令牌下发模块发送上网身份信息。
身份令牌下发模块用于:
(1)收到上网身份信息后,在信号连接区域内向终端设备的身份令牌发送模块下发通过加密算法加密后的身份令牌;
(2)周期性的向已接入网关设备的终端设备的身份令牌发送模块,下发通过加密算法加密后的身份令牌。
身份令牌发送模块用于:收到身份令牌后,向网关设备的上网拨号模块发送身份令牌。
上网拨号模块用于:收到身份令牌后,通过与身份令牌的加密算法对应的解密算法,对身份令牌解密;
当身份令牌的发送对象为未接入网关设备的终端设备时,根据身份令牌、以及预先设置的上网账号和密码,向服务端的拨号鉴权模块进行ppp拨号;当拨号鉴权模块不给予网关设备的上网权限时,向终端设备发送无法上网的信息;
当身份令牌的发送对象为已接入网关设备的终端设备时,向服务端的二次鉴权模块发送带有身份令牌的心跳报文;每次发送心跳报文后,统计未收到心跳报文响应信息的次数,当未收到心跳报文响应信息的次数大于指定阈值时,自动断开与服务端的拨号连接。
拨号鉴权模块用于:当上网拨号模块进行ppp拨号时,对上网拨号模块上传的身份令牌、上网账号和密码进行鉴权,若鉴权成功(上网账号和密码正确、身份令牌与身份令牌下发模块下发的身份令牌相同),给予上网拨号模块对应的网关设备的上网权限;若鉴权失败,不给予网关设备的上网权限。
二次鉴权模块用于:对心跳报文进行鉴权,若鉴权成功(心跳报文中的身份令牌,与服务端在身份令牌下发模块下发的身份令牌相同),向上网拨号模块返回心跳报文响应信息;若鉴权失败,不向上网拨号模块返回任何信息。
信号连接区域检测模块用于:在网关设备获取上网权限后,当检测到终端设备在信号连接区域以外时,自动断开与服务端的拨号连接。
需要说明的是:本发明实施例提供的系统在进行模块间通信时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将系统的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。
进一步,本发明不局限于上述实施方式,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围之内。本说明书中未作详细描述的内容属于本领域专业技术人员公知的现有技术。