一种专线apn安全增强接入方法与装置的制造方法
【专利说明】-种专线APN安全增强接入方法与装置
[0001]
技术领域: 本发明涉及信息安全领域,尤其涉及一种专线APN安全增强接入方法与装置。
[000引【背景技术】: APN,是通过手机上网时必须配置的一个参数,它决定了手机通过哪种接入方式来访问 网络,用来标识GPRS的业务种类。随着企业、政府、军队移动办公、移动执法等业务的陆续 开展,通过移动终端设备安全接入到内部网络的需求越来越强烈,因此运营商针对此类需 求开展了专线APN业务。专线APN是根据企业、政府、军队对网络安全的特殊要求,采用了 多种安全措施,主要包括: 通过一条2M/3G/4G专线接入运营商GPRS网络,双方互联路由器之间采用私有IP地址 进行广域连接,在GGSN与移动公司互联路由器之间采用GRE隧道。
[0003] 为客户分配专用的APN,普通用户不得申请该APN。用于GPRS专网的SIM卡仅开 通该专用APN,限制使用其他APN。
[0004] 用户发出GPRS登录请求,请求中包括由移动公司为GPRS专网系统专口分配的专 网APN;根据请求中的APN,SGSN向DNS服务器发出查询请求,找到与企业服务器平台连接 的GGSN,并将用户请求通过GTP隧道封装送给GGSN;GGSN将用户认证信息(包括手机号码、 用户账号、密码等)通过专线送至RADIUS服务器进行认证;RADIUS服务器收到手机号等认 证信息,确认是合法用户发来的请求,向DHCP服务器请求分配用户地址;Radius认证通过 后,由RADIUS服务器向GGSN发送携带用户地址的确认信息;用户得到了IP地址,就可W携 带数据包,对GPRS专网系统信息查询和业务处理平台进行访问。
[0005] 在实现本发明的过程中,发明人发现现有对APN接入的方法至少存在如下问题: 1、接入点信息配置较为繁琐,填写的信息包含了名称,类型,代理服务器,端口,用户名,密 码等输入项,一些专有术语非专业人员不了解或很难理解;2、APN接入认证安全隐患较大: APN接入后的认证方式采用的"手机号码、用户账号、用户密码"的认证方式,用户认证信息 直接通过专网传输到RADIUS服务器进行认证,该样的做法有很大安全隐患,密码很容易被 窃取,对该种认证方式的攻击办法有很多种,包括信息窃听、截取、穷举、窥探等,安全漏洞 显而易见;3、RADIUS服务器认证对认证参数的长度和参数的数量一般都有明确的限制,因 此对于安全性要求较高的多因子认证适应不足;4、APN连接断开后,创建好的APN信息会自 动保存在手机上,一旦设备发生丢失,也会发生信息的泄露,如果断开后进行删除操作,下 次连接时又要进行繁琐的配置工作。
[000引
【发明内容】
: 本发明实施例提供一种专线APN安全增强接入方法及装置,通过增强专线APN接入的 认证机制提升专网访问的安全性,通过提供一种安全的专线APN接入装置,保证专网的边 界安全并简化接入的操作流程。
[0007] 根据本发明的第一方面,提供一种专线APN安全增强接入方法与装置,用于示证 用户 通过接入装置进行专线APN安全增强接入,其专线APN安全增强接入方法与装置的特 征在于,包括;(参见图6所示流程图) 示证用户注册步骤,在该步骤中,通过RADIUS服务器存储与示证用户相关的可信 因子来完成示证用户在RADIUS服务器上的注册,并且在接入装置与RADIUS服务器之 间同步可信因子,RADIUS服务器将同步成功的可信因子存储为认证因子,并且接入装置也 将同步成功的可信因子存储为认证因子; 专线APN安全增强创建步骤,在该步骤中,接入装置预先配置专线APN基本信息,通过 示证用户选择接入装置的APN名称完成APN安全增强创建; 安全增强认证码生成步骤,在该步骤中,RADIUS服务器和接入装置分别根据各自存储 的认证因子按照相同算法生成安全增强认证码;W及 专线APN安全增强认证接入步骤,在该步骤中,RADIUS服务器验证自身生成的安全增 强认证码与接入装置提供的安全增强认证码是否一致,W对示证用户通过接入装置进行安 全增强接入。
[0008] 根据本发明的第二方面的一种专线APN安全增强接入方法与装置,所述的示证用 户 注册步骤包括: 逻辑注册步骤,在该步骤中,W在RADIUS服务器中存储与示证用户相关的逻辑可信 因子,所述的逻辑可信因子是与示证用户相关联的可信因子并且不描述接入装置的物理信 息,仅仅完成逻辑注册的示证用户不能访问专网中除RADIUS服务器之外的任何设备;W及 物理注册步骤,在逻辑注册步骤完成后,RADIUS服务器授权示证用户通过接入装置进 行物理注册步骤,在物理注册步骤中,示证用户首次通过接入装置接入到RADIUS服务器 后,接入装置W在线的方式将采集到的与示证用户物理设备相关的物理可信因子上传到 RADIUS服务器,所述的物理可信因子是描述示证用户物理设备的可信因子,同时,接入装置 W在线的方式采集RADIUS服务器上的部分可信因子和授权可信因子,所述的部分可信因 子是逻辑注册中不用于建立初次连接的可信因子,所述的授权可信因子是RADIUS服务器 上动态生成的用于增强认证的可信因子,并且在接入装置和RADIUS服务器之间同步所有 可信因子,RADIUS服务器将同步成功的所有可信因子存储为认证因子,接入装置将同步成 功的所有可信因子也存储为认证因子。
[0009] 根据本发明的第H方面的授权可信因子是按照一定变化策略进行动态变化的,发 明人 称之为动态密钥,从而生成的安全增强认证码也是动态变化的; 根据本发明的第四方面的一种专线APN安全增强接入方法与装置,所述的专线APN安全增强创建步骤,包括:首先在接入装置中预先配置专线APN基本信息;在创建专线 APN连接时,示证用户选择接入装置中需要接入的专线APN名称后,接入装置自动获取专线 APN配置基本信息。
[0010] 根据本发明的第五方面的专线APN安全增强创建步骤,专线APN安全增强创建方 式, 还包括:通过接入装置创建专线APN时,对接入设备上第H方配置的接入点信息进行 删除、对WIFI等其他网络功能进行关闭或禁用,保证网络接入的唯一性;对接入设备上的 网络共享功能进行关闭或禁用,保证专网使用的唯一性。
[0011] 根据本发明第六方面的一种专线APN安全增强接入方法与装置,所述的安全增强 认 证码生成步骤,其特征在于,所述的安全增强认证码生成步骤,包括安全增强认证码 是由RADIUS服务器和接入装置分别根据各自存储的认证因子按照相同算法生成的,生成 安全增强认证码的算法及采用的参数双方均保持一致,并有数据压缩效果,即安全增强认 证码的长度短于认证因子的总长度;所选算法优选哈希算法,在哈希算法中优选使用MD5、 SHA等哈希算法。安全增强认证码优选为固定长度,长度优选为32位、64位、128位等2的 幕次方;安全增强认证码将作为用户创建的专线APN接入点配置信息中的用户密码传输到 RADIUS服务器进行认证。
[0012] 根据本发明第走方面的一种专线APN安全增强接入方法与装置,所述的专线APN 安全增强认证接入步骤,包括;RADIUS服务器验证自身生成的安全增强认证码与接入装置 提供的安全增强认证码是否一致,如果一致则接入成功。
[0013] 根据本发明第八方面的一种专线APN安全增强接入装置,所述的装置包括: 注册模块,用于建立接入装置与RADIUS服务器之间的初始链接,物理可信因子的采集 与发布、部分逻辑可信因子和授权可信因子的下载。
[0014]登录模块,用于接入设备上物理可信因子的采集,提交示证用户认证信息到RADIUS服务器进行认证。
[0015]专线APN创建模块,用于创建一个或多个专线APN名称及基本配置信息,优选的, 在创建APN时,删除其他第H方创建的APN及关闭WIFI等其他网络链接; 生成安全增强认证码模块,用于将接入装置中存储的认证因子利用与RADIUS服务器 相同的算法生成相同长度的安全增强认证码。
[0016]