安全退出模块,用于在专线APN断开连接或异常关闭时,自动删除本次创建的连 接及所有配置信息,防止第H方非法接入。
[0017] 网络共享管控模块,用户检测、监听接入设备上网络共享状态,自动关闭/禁用网 络功能功能。
[0018] 与现有技术相比,本发明能有效的解决现有技术不能对专线APN信息进行自动配 置和阻止中间人攻击的问题。对比W前,在本发明在对专线APN的创建、接入认证方面有了 明显的创新;1、本发明采用了自动配置接入点信息的方法,让非专业人群轻松的进行接入 点信息的配置;2、本方法在接入上有了明显的创新,采用了多重认证因子组合编码的做法, 更能有效的保护接入安全;3、在创建专线APN时删除了第H方APN信息、关闭了WIFI等网 络链接,保证了网络接入的唯一性;4、链接过程中对移动终端设备上的网络共享功能进行 了关闭/禁用,保证了专线APN只能通过被认证的移动设备使用的唯一性。
[0019]上述技术方案具有如下有益效果: 1、 本发明在认证过程中,用户只知道专线APN的用户名和用户密码,而真正参与认证 的安全增强认证码用户是不知道的,用户无法通过移动终端进行手工配置接入专线APN,增 加了专线APN接入的安全性; 2、 本发明在认证过程中,只是传输用户名和安全增强认证码,安全增强认证码生成算 法W及所有认证因子均不传输,增加了认证因子的安全性。均不在认证过程中传输,增强了 可信因子的安全性; 3、 本发明在认证过程中,对物理可信因子进行了验证,一旦物理设备被盗用或丢失,都 要重新进行注册绑定,在实际应用中可通过增加重新绑定的人工审核机制来提升安全性; 4、 本发明采用固定长度的哈希算法编码出任意固定长度的安全增强认证码,认证因子 的长度不影响安全增强认证码的长度,解决了目前RADIUS服务器在认证过程中对密码长 度的限制,并将多次验证合并简化为一次验证,通过减少认证次数提高了认证速度; 5、 本发明采用哈希算法对认证因子进行编码生成安全增强认证码,本身就具有很强的 数据压缩效果,通过减少认证时的网络流量提高了认证速度; 6、 本发明将增强认证因子的注册通过接入装置来自动完成,简化了系统管理采集录入 的工作,特别适合大规模移动终端接入专线APN的场景; 7、 本发明提供的专线APN创建方法,是基于将专线APN配置信息存储到接入装置中,创 建的过程就是对数据读取过程,简化了繁琐的配置操作; 8、 本发明在专线APN链接时,关闭了WIFI,删除了第H方APN信息,保证了专线APN网 络链接的唯一性; 9、 本发明中在专线APN接入时,除使用了多个静态认证因子参与认证外,也使用了动 态变化的授权可信因子参与认证,也就是说所有认证因子生产的安全增强认证码也是动态 变化的,因此,即使某一次安全增强认证码被非法截获或盗用,那么下一次安全增强认证码 就有可能发生了变化,无法进行二次链接,从而提升了网络接入的安全性; 10、 本发明在专线APN链接时,关闭/禁用了网络共享功能,保证了专线APN网络只能 在被注册的移动终端设备上被使用,保证了使用的唯一性; 11、 通过W上专线APN接入安全性的提升,最终提升了专线APN所链接的专网的安全。
【附图说明】
[0020] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本 发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可W 根据该些附图获得其他的附图。
[0021] 图1为本发明中示证用户注册流程图 图2为专线APN安全增强创建流程图 图3为安全增强认证码生成流程图 图4为专线APN安全增强接入装置结构图 图5为示证用户登记注册具体过程图 图6为一种专线APN安全增强接入方法与装置的流程图。
【具体实施方式】
[0022] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于 本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他 实施例,都属于本发明保护的范围。优选的,在接入装置中预先配置好专线APN基本信息, 优选的,名称、身份认证类型等信息。
[0023] 图1为本发明中示证用户注册流程图,具体步骤包括: 步骤101,逻辑可信因子登记注册 系统管理员在RADIUS服务器登记示证用户基本信息,选择用户名、用户密码、组织机 构代码、组织机构名称等数据作为逻辑可信因子,优选的,将初始用户密码作为第一次接入 装置与RADIUS服务器认证的密码; 步骤102,通过接入装置进行初始认证、建立专线APN链接 示证用户在接入装置中选择专线APN名称,输入用户名和初始用户密码进行初始认 证,认证前,接入装置自动关闭/禁用WIFI、第H方APN等其他网络,关闭/禁用蓝牙、USB 网络共享、红外等网络共享渠道,认证通过后,专线APN链接成功; 步骤103,接入装置采集物理可信因子并同步 接入装置采集接入设备上的物理可信因子发布到RADIUS服务器,优选的,IMEI号、SIM卡号; 步骤104,接入装置采集部分逻辑可信因子和授权可信因子并同步 接入装置从RADIUS服务器下载部分逻辑可信因子,优选的,组织机构代码、组织机构 名称;在专线APN初始链接成功后,RADIUS服务器将最新的授权可信因子发布到接入装置 中。优选的,RADIUS服务器授权认证因子为动态变化的固定长度的字符串,系统管理员可 自行设置动态变化策略,例如一天、一个月; 步骤105,更新数据库,把所有可信因子存储为认证因子 接入装置和RADIUS服务器分别将获取的所有可信因子存储为认证因子,并分别保存 到本地数据库中; 步骤106,注册完成 注册完成,优选退出初始链接; 图2为专线APN安全增强创建流程图,具体步骤包括: 步骤201,接入装置预先配置专线APN基本信息 步骤202,选择专线APN名称 步骤203,用户输入用户名和密码,读取与APN名称相应的APN信息 优选的,用户名为手机号码,根据所选择的专线APN名称,接入装置自动配置专线APN 信息,包括身份认证类型等; 步骤204,网络接入与网络使用唯一性管控 专线APN动态创建时,接入装置删除第H方创建和配置的任何接入点信息、关闭/禁用WIFI等网络链接,关闭网络共享功能,优选的,红外、蓝牙、USB网络共享; 步骤205,专线APN创建完成 图3为安全增强认证码生成流程图,具体步骤包括: 步骤301,读取本地存储的认证因子 专线APN创建完成后,接入装置采集设备物理可信因子和其他认证因子,优选的,物理 可信因子在每次接入时在设备上实时获取,一旦获取到的和数据库中存储的不一致,要与 RADIUS服务器重新进行绑定,亦或检测本地数据库存储的物理可信因子是否被篡改。
[0024]RADIUS服务器采集本地数据库中存储的所有认证因子; 步骤302,通过哈希算法,生成安全增强认证码 接入装置和RADIUS服务器都是将所有认证因子进行组合编码生成安全增强认证码, 生成安全增强认证码的算法及采用的参数双方均保持一致,并有数据压缩效果,即安全增 强认证码的长度短于逻辑可信因子、物理可信因子、授权可信因子的总长度;所选算法优选 哈希算法,在哈希算法中优选使用MD5、SHA等哈希算法。安全增强认证码优选为固定长度, 长度优选为32位、64位、128位等2的幕次方; 步骤303,安全增强认证码存储 优选的,接入装置的安全增强认证码不做本地存储,而是在专线APN登录时,接入装置 实时生成安全增强认证码; RADIUS服务器在每次认证因子发生变化时,生成最新的安全增强认证码,存储在数据 库中; 步骤304,安全增强认证码接入认证 安全增强认证码生成完成后,RADIUS服务器将对自身生成的安全增强认证码和收到的 接入装置的安全增强认证码进行一致性认证,认证通过则连接成功,反之连接失败; 图4为APN安全增强接入装置结构图,具体包括 401注册模块,用于建立接入装置与RADIUS服务器之间的初始链接,物理