基于加密技术的移动网络身份验证方法与流程

本发明涉及移动网络安全，具体涉及一种基于加密技术的移动网络身份验证方法。

背景技术：

随着科技进步发展，人们身边的智能设备越来越多，这些智能设备在生活工作的方方面发挥着重要作用，而且随时需要接入网络进行工作，而目前的智能设备上普遍设有接入互联网的联网模块，并基于互联网向用户提供更好服务的需求。目前的智能硬件设备大部分可以通过接入无线网络或者移动网络来接入互联网，其中，通过无线网络接入互联网的途径，适用于例如智能家居等设备，这些设备一般具备比较固定的使用位置，而那些时常需要移动和变换使用位置的智能设备而言，若脱离常用的无线网络则需要重新接入，而且在没有无线网络的地区则无法接入网络，为使用带来不便。

此外，一些特殊的移动设备接入互联网络时更需要进行实名身份认证，例如个人名义登记的车辆等，经过实名认证从而对这些设备的使用情况进行监督，同时，也需要防止这些设备被非法匿名使用，以免造成各类损失。目前的常规解决办法是让这些设备随时接入移动网络。而目前的移动网络一般接入时需要接入设备配备有sim卡，用于用户身份识别，只有安装了该卡，移动网络才能对该设备进行验证从而允许其加入网络进行数据传输和通信。但目前大部分智能设备受限于体积以及设计成本需求，一般不会配备有安装sim卡的模块，即使设有该模块，对于使用者来说，为每个智能设备都配置一个sim卡，在管理和成本上来说都不够人性化，而没有设置sim卡的智能设备除了目前通过无线网络接入的方式则无法接入移动网络。

目前移动设备接入互联网络往往缺乏数据传输保护，数据传输过程中一般不施加任何处理，以明文形式进行传输，极易产生数据泄露及被攻击的可能。现有技术中通常是通过对传输数据增加加密以及实名认证技术来得到以加密数据的形式传输相关数据，而目前的智能设备一般没有配备加密模块或者配备的加密方式也是固定的，且加密复杂性也相对较低，很容易即可被破解，对恶意攻击行为防御效果非常差。

因此，如何能够以更加安全可靠的方案对接入移动网络的安全进行保障以及尽可能的保障数据的安全传输，是亟待解决的问题。

技术实现要素：

针对接入智能设备移动网络的身份认证的安全问题，本发明提供了一种基于加密技术的移动网络身份验证方法，包括如下步骤：

使用者利用移动终端配置sim卡用于接入移动网络，所述移动终端向路由器发送智能设备临时接入请求，路由器根据该移动终端使用者的使用权限向所述移动终端返回临时接入动态授权码并允许接入请求；

所述移动终端通过扫描智能设备上的二维码，获取智能设备的设备参数，所述移动终端通过nfc近场通信与智能设备建立通信连接，并发送动态授权码给所述智能设备；

所述智能设备包括身份识别模块与网络接入安全模块，所述身份识别模块对使用者的生物特征信息进行采集并生成身份验证信息；

所述生物特征信息包括使用者的面部图像、眼纹、掌纹中的一种或多种。

所述网络接入安全模块采用该智能设备初始密钥以及动态授权码对采集的当前使用者的身份验证信息、设备参数以及与该智能设备绑定的用户编号进行加密得到加密数据，并通过近场通信将设备参数以及加密数据发送给移动终端；；所述智能设备还包括网络接入状态识别模块，所述识别模块识别该智能设备自身的网络接入状态标识，当网络接入状态为开启时，启动该智能设备中的网络接入安全模块。

所述移动终端登录智能设备入网备案数据库，并在所述数据库中查询存储的智能设备的设备编号列表，对扫描获得的设备参数查询所述列表获得待验证设备编号，判断所述待验证设备编号与所述智能设备发送的设备编号是否匹配，若匹配则将所述智能设备发送来的加密数据转发至路由器；否则，断开与所述路由器的临时接入请求；

所述路由器接收所述移动终端发送来的加密数据，利用所述智能设备厂商在所述移动网络服务器中注册的验证信息以及动态授权码对加密数据进行解码，并验证所述身份验证信息、设备参数以及用户编号是否预先登记的数据，通过验证后向所述移动终端发送接入允许通知，并将解密后的数据发送至移动网络服务器；

所述移动网络服务器根据用户编号所对应的网络使用权限设置接入网络参数，并将接入网络参数发送给所述路由器，所述路由器利用所述注册的验证信息所包含的初始密钥以及动态授权码对所述接入网络参数进行加密后发送给所述移动终端；

所述移动终端接收网络接入允许通知以及加密后的接入网络参数并转发给所述智能设备，所述智能设备再利用其加密密钥和动态授权码解码所述接入网络参数并根据所述接入网络参数自动进行网络配置，接入移动网络。

所述网络接入状态标识由该智能设备上设置的虚拟开关或者实体开关进行切换，当开关打开时表示所述智能设备目前处于网络接入开启状态，当开关关闭时无法接入网络。

所述验证所述身份验证信息、设备参数以及用户编号是否预先登记的数据，包括以下内容：查询所述路由器中所登记的身份验证信息、设备参数以及用户编号与接收到的身份验证信息、设备参数以及用户编号是否全部匹配，若全部匹配则发送网络接入拒绝通知；或者，否则，发送网络接入拒绝通知。

所述接入网络参数包括如下内容：接入点编号、网点频段和密码。

所述智能设备通过其内设置的基带芯片自动填写所述接入网络参数并实现移动网络的接入功能；所述基带芯片将所需传输的数据根据所接入的网络协议进行编码后再进行数据传输。

本发明的方法还进一步包括，所述智能设备根据接入网络参数接入移动网络后则自动断开与所述移动终端的近场通信连接，并利用移动网络与移动网络服务器直接进行数据传输，进行数据传输过程中均由所述路由器根据内部登记的用户编号记录所述智能设备所传输的数据内容，以便所述移动终端进行查询。

所述智能设备中设有nfc近场通信模块。

所述智能设备中还设有sim卡模块，能够直接利用插入的sim卡进行移动网络接入。

所述设备参数包括该智能设备的唯一设备标识以及出厂信息。

所述智能设备通过摄像头对使用者面部或眼部图像进行采集、通过触摸面板采集掌纹信息。

本发明的基于加密技术的移动网络身份验证方法能够实现智能设备的方便快捷加入移动网络的同时对使用者的身份进行验证，同时设备使用及数据传输的安全，使用者在接入过程无需繁杂的操作，接入方式透明化，不仅保证了使用者个人信息隐私和数据传输安全，同时对智能设备和移动终端硬件进行保护，有效防止恶意攻击。

附图说明

图1是本发明基于加密技术的移动网络身份验证方法流程图。

具体实施方式

图1为本发明的利用近场通信实现智能设备通过移动终端安全接入移动网络的流程图，本发明方法具体包括如下步骤：

步骤101，使用者利用移动终端配置sim卡用于接入移动网络，所述移动终端向路由器发送智能设备临时接入请求，路由器根据该移动终端使用者的使用权限向所述移动终端返回临时接入动态授权码并允许接入请求；

其中移动终端可以包括采用手机、笔记本电脑等现有利用sim卡连接移动网络的移动终端，该移动终端与移动网络运营商签订的移动网络使用协议保证该移动终端的接入合法性。其中的动态授权码可以采用多种形式生成，例如移动网络服务器可利用当时的接入时间、使用者编码、使用者接入点的编号等动态数据进行生成，以保证临时性和唯一性防止第三方在获取该动态授权码进行非法接入。

智能终端则包括但不限于以下的各类移动智能终端，例如洗衣机、电冰箱、电视机、空调等家用电器或者打印机、投影仪等办公设备或者检测仪器等。

步骤102，移动终端通过扫描智能设备上的二维码，获取智能设备的设备参数(设备参数包括该智能设备的唯一设备标识以及出厂信息等)，移动终端通过nfc近场通信与智能设备建立通信连接，并发送动态授权码给智能设备；智能设备中设有nfc近场通信模块。

nfc(近场通讯技术)是一种非接触式识别互联技术，可以在移动设备、pc和智能设备间进行近距离无线通信，属于非接触式射频识别技术rfid(radiofrequencyidentification)的发展，可允许电子设备互相进行非接触式的点对点数据传输，并向下兼容rfid技术。nfc具有成本低廉、方便易用和更富直观性等特点，通过一个芯片、一根天线和一些软件的组合，能够实现各种设备在几厘米范围内的通信。

当然也可以使用其他扫码形式获取设备参数，目的在于用户获取设备参数的便利性和透明性，用户不需要知道该设备的具体参数内容。

步骤103，智能设备包括身份识别模块与网络接入安全模块，身份识别模块对使用者的生物特征信息进行采集并生成身份验证信息；其中，生物特征信息包括使用者的面部图像、眼纹、掌纹中的一种或多种。具体可通过摄像头对使用者面部或眼部图像进行采集、通过触摸面板采集掌纹信息等。

所述网络接入安全模块采用该智能设备初始密钥以及动态授权码对采集的当前使用者的身份验证信息、设备参数以及与该智能设备绑定的用户编号进行加密得到加密数据，并通过近场通信将加密数据发送给移动终端；智能设备还包括网络接入状态识别模块，所述识别模块识别该智能设备自身的网络接入状态标识，当网络接入状态为开启时，启动该智能设备中的网络接入安全模块。

其中，网络接入状态标识由该智能设备上设置的虚拟开关或者实体开关进行切换，当开关打开时表示智能设备目前处于网络接入开启状态，当开关关闭时无法接入网络；例如可以在触摸屏智能设备上设置虚拟触摸按键，一键开启网络接入状态；

步骤104，移动终端登录智能设备入网备案数据库，并在数据库中查询存储的智能设备的设备编号列表，对扫描获得的设备参数查询列表获得待验证设备编号，判断待验证设备编号与智能设备发送的设备编号是否匹配，若匹配则将智能设备发送来的加密数据转发至路由器；否则，断开与路由器的临时接入请求；

智能设备入网备案数据库由移动网络服务器中为已注册sim卡的移动终端用户进行设置。该设备编号列表可以由购买该智能设备的移动终端使用者向移动运营商进行注册登记，移动运营商将相关数据内容登记到智能设备入网备案数据库中进行统一管理。

步骤105，路由器接收所述移动终端发送来的加密数据，利用所述智能设备厂商在所述移动网络服务器中注册的验证信息以及动态授权码对加密数据进行解码，并验证所述身份验证信息、设备参数以及用户编号是否预先登记的数据，通过验证后向所述移动终端发送接入允许通知，并将解密后的数据发送至移动网络服务器；

验证身份验证信息、设备参数以及用户编号是否预先登记的数据，包括以下内容：查询所述路由器中所登记的身份验证信息、设备参数以及用户编号与接收到的身份验证信息、设备参数以及用户编号是否全部匹配，若全部匹配则发送网络接入拒绝通知；或者，否则，发送网络接入拒绝通知。

步骤106，移动网络服务器根据用户编号所对应的网络使用权限设置接入网络参数，并将接入网络参数发送给路由器，路由器利用注册的验证信息所包含的初始密钥以及动态授权码对接入网络参数进行加密后发送给移动终端；接入网络参数包括如下内容：接入点编号、网点频段和密码。

步骤107，移动终端接收网络接入允许通知以及加密后的接入网络参数并转发给智能设备，智能设备再利用其加密密钥和动态授权码解码接入网络参数并根据接入网络参数自动进行网络配置，接入移动网络。

智能设备通过其内设置的基带芯片自动填写接入网络参数并实现移动网络的接入功能；基带芯片将所需传输的数据根据所接入的网络协议进行编码后再进行数据传输。

步骤108，智能设备根据接入网络参数接入移动网络后则自动断开与移动终端的近场通信连接，并利用移动网络与移动网络服务器直接进行数据传输，进行数据传输过程中均由路由器根据内部登记的用户编号记录智能设备所传输的数据内容，以便移动终端进行查询。

智能设备在后续是数据传输过程中，同样可以采用其密钥以及动态授权码对数据进行加密传输，或者根据用户使用需求直接采用明文传输。智能设备中还可以设置sim卡模块，从而能够直接利用插入的sim卡进行移动网络接入。

本发明首先通过已经接入移动网络的移动终端利用近场通信连接智能设备，并由移动终端自动登录数据库查询设备编号是否匹配作为首次身份验证，之后移动终端发送加密数据给路由器，并由路由器解密数据后进行第二次验证，经过两次验证保证接入设备以及用户的合法性，才能接入到移动网络。在此过程中，还加入了对实时使用者的生物特征进行的身份验证，更有效地防止设备被非法使用者盗用，不仅对设备参数等数据进行加密，而且对接入网络参数进行加密，保证在接入过程中的各个环节信息不被攻击。此外，在整个过程中，用户都可以根据运营商提供的智能设备连接助手app或者登录网址直接实时查询该智能设备的连接状态以及连接历史等信息，方便用户对自己使用的智能设备的联网相关数据进行管理。

本发明的身份验证方法能够实现智能设备的方便快捷加入移动网络的同时对使用者的身份进行验证，同时设备使用及数据传输的安全，使用者在接入过程无需繁杂的操作，接入方式透明化，不仅保证了使用者个人信息隐私和数据传输安全，同时对智能设备和移动终端硬件进行保护，有效防止恶意攻击。

上述技术方案仅体现了本发明技术方案的优选技术方案，本技术领域的技术人员对其中某些部分所可能做出的一些变动均体现了本发明的原理，属于本发明的保护范围之内。