本发明专利技术公开了一种具备鉴权功能的网关设备上网拨号方法及系统,涉及网关设备的拨号领域。该方法的步骤为:终端设备向网关设备的服务端发送上网身份信息,服务端对上网身份信息验证通过后,向终端设备下发加密后的身份令牌;终端设备在信号连接区域内向网关设备发送身份令牌,网关设备对身份令牌解密后,根据身份令牌、以及预先设置的上网账号和密码,向服务端进行PPP拨号;服务端对身份令牌、上网账号和密码进行鉴权,若鉴权成功,给予网关设备上网权限。本发明专利技术能够控制和验证接入网关设备的终端设备的身份信息,大幅度提高不法分子未经验证控制网关设备拨号的难度,进而显著提高网关设备的安全性能。
【技术实现步骤摘要】
具备鉴权功能的网关设备上网拨号方法及系统
本专利技术涉及网关设备的拨号领域,具体涉及一种具备鉴权功能的网关设备上网拨号方法及系统。
技术介绍
网关设备是用户上网所必需的接入设备,现有的网关设备通过帐号和密码进行PPP(PointtoPointProtocol,点对点通信协议)拨号,账号一般由用户自行配置或者由ITMS(IntegratedTerminalManagementSystem,终端综合管理系统)平台下发。当网关设备完成拨号后,接入网关的用户终端设备(例如智能手机)则可通过上述完成拨号的网关设备进行上网。公共环境下(例如酒店等)的网关设备,可能会被多台用户终端设备接入,当用户终端设备接入公共的网关设备时,会存在以下风险:由于只要知道网关设备拨号使用的账号和密码,即可控制网关设备进行拨号,而网关设备的账号和密码属于明文信息,其传播度比较广泛,因此网关设备的用户非常多。当有不法分子接入网关设备后,可能会通过非法技术手段(例如数据包截取等)建立拨号链接,然后捕获此链路中的数据信息,若其他用户的重要上网信息(例如网上银行的账号和密码)遭到泄露,则可能对信息被泄露的用户造成重大财产损失。有鉴于此,接入现有的网关设备进行上网时,安全性能较差,急需改善。
技术实现思路
针对现有技术中存在的缺陷,本专利技术解决的技术问题为:如何控制和验证接入网关设备的终端设备的身份信息,本专利技术能够大幅度提高不法分子未经验证控制网关设备拨号的难度,进而显著提高了网关设备的安全性能。为达到以上目的,本专利技术提供的具备鉴权功能的网关设备上网拨号方法,包括以下步骤:S1:终端设备向网关设备的服务端发送上网身份信息,服务端对上网身份信息验证通过后,向终端设备下发通过加密算法加密后的身份令牌,转到S2;S2:终端设备在信号连接区域内向网关设备发送身份令牌,网关设备通过与S1中加密算法对应的解密算法,对身份令牌解密后,根据身份令牌、以及预先设置的上网账号和密码,向服务端进行PPP拨号,转到S3;S3:服务端对身份令牌、上网账号和密码进行鉴权,若鉴权成功,给予网关设备上网权限;在S3之后,当网关设备检测到终端设备在信号连接区域以外时,自动断开与服务端的拨号连接。本专利技术提供的具备鉴权功能的网关设备上网拨号系统,包括设置于终端设备上的身份信息发送模块和身份令牌发送模块;设置于网关设备的服务端上的身份令牌下发模块和拨号鉴权模块;以及设置于网关设备上的上网拨号模块和信号连接区域检测模块;终端设备的身份信息发送模块用于:向服务端的身份令牌下发模块发送上网身份信息;身份令牌下发模块用于:收到上网身份信息后,在信号连接区域内向终端设备的身份令牌发送模块下发通过加密算法加密后的身份令牌;身份令牌发送模块用于:收到身份令牌后,向网关设备的上网拨号模块发送身份令牌;上网拨号模块用于:收到身份令牌后,通过与身份令牌的加密算法对应的解密算法,对身份令牌解密;当身份令牌的发送对象为未接入网关设备的终端设备时,根据身份令牌、以及预先设置的上网账号和密码,向服务端的拨号鉴权模块进行PPP拨号;拨号鉴权模块用于:当上网拨号模块进行PPP拨号时,对上网拨号模块上传的身份令牌、上网账号和密码进行鉴权,若鉴权成功,给予上网拨号模块对应的网关设备的上网权限;信号连接区域检测模块用于:在网关设备获取上网权限后,当检测到终端设备在信号连接区域以外时,自动断开与服务端的拨号连接。与现有技术相比,本专利技术的优点在于:(1)通过本专利技术的S1至S3可知,本专利技术的网关设备并不是主动拨号,而是当网关设备收到终端设备的身份令牌时,才会根据身份令牌进行拨号。在此基础上,只有身份令牌正确才会被认为拨号成功,而只有通过服务端身份验证的安全用户的终端设备,才能获得服务端下发的身份令牌;由于服务端下发的身份令牌经过加密,而且不同用户对应相应的身份令牌,因此终端设备在未得知身份令牌的加密算法情况下,无法传播身份令牌,进而大幅度提高不法分子未经验证控制网关设备拨号的难度,显著提高了网关设备的安全性能。(2)通过本专利技术的S4至S6可知,本专利技术的网关设备在拨号成功后,依然会周期性的向终端设备下发加密的身份令牌、并对下发的身份令牌进行二次鉴权,进而使得不法分子需要破解多个加密的身份令牌,才能保持网关设备拨号成功的状态,进一步增大了不法分子控制网关设备拨号的难度,随之,也进一步提高了网关设备的安全性能。附图说明图1为本专利技术实施例中具备鉴权功能的网关设备上网拨号方法的流程图。具体实施方式以下结合附图及实施例对本专利技术作进一步详细说明。参见图1所示,本专利技术实施例中的具备鉴权功能的网关设备上网拨号方法,包括以下步骤:S1:用户通过终端设备向网关设备的服务端提供的上网申请平台发送上网身份信息,服务端对上网身份信息验证通过后,向终端设备下发通过加密算法加密后的身份令牌,身份令牌加密能够防止身份令牌外泄,进而提高安全性能,转到S2。S1中的终端设备包括移动终端(例如智能手机、平板电脑等)和PC,加密算法可以为AES(AdvancedEncryptionStandard,高级加密标准)加密算法;本实施例中的终端设备为具备NFC接口的移动终端。S2:用户通过终端设备的NFC接口,在信号连接区域内向网关设备发送身份令牌,网关设备通过与S1中加密算法对应的解密算法(AES解密算法),对身份令牌解密后,根据身份令牌、以及预先设置的上网账号和密码,向服务端进行PPP拨号,转到S3。S3:服务端对身份令牌、上网账号和密码进行鉴权,若鉴权成功(上网账号和密码正确、身份令牌与S1中下发的身份令牌相同),给予网关设备上网权限(即拨号成功),转到S4;若鉴权失败,网关设备向终端设备发送无法上网信息(例如用户鉴权信息有误等),结束(此时可重新向服务端申请身份令牌、或者重新向网关设备发送身份令牌)。通过S1至S3可知,本专利技术实施例的网关设备并不是主动拨号,而是当网关设备收到终端设备的身份令牌时,才会根据身份令牌进行拨号。在此基础上,只有身份令牌正确才会被认为拨号成功,而只有通过服务端身份验证的安全用户的终端设备,才能获得服务端下发的身份令牌;由于服务端下发的身份令牌经过加密,而且不同用户对应相应的身份令牌,因此终端设备在未得知身份令牌的加密算法情况下,无法传播身份令牌,进而大幅度提高不法分子未经验证控制网关设备拨号的难度,显著提高了网关设备的安全性能。S4:进入拨号后的二次鉴权:服务端周期性的向终端设备下发通过加密算法加密后的身份令牌,终端设备通过NFC接口,将身份令牌转发至网关设备;网关设备将身份令牌通过解密算法解密后,向服务端发送带有身份令牌的心跳报文,转到S5。S5:服务端对心跳报文进行鉴权,若鉴权成功(心跳报文中的身份令牌,与服务端在S4中下发的身份令牌相同),向网关设备返回心跳报文响应信息,转到S6;若鉴权失败,直接转到S6。S6:网关设备每次向服务端发送心跳报文后,统计未收到心跳报文响应信息的次数,当未收到心跳报文响应信息的次数大于指定阈值(本实施例中为5次)时,自动断开与服务端的拨号连接。通过S4至S6可知,本专利技术实施例的网关设备在拨号成功后,依然会周期性的向终端设备下发加密的身份令牌、并对下发的身份令牌进行二次鉴权,进而使得不法分子需要破解多个本文档来自技高网...
【技术保护点】
一种具备鉴权功能的网关设备上网拨号方法,其特征在于,该方法包括以下步骤:S1:终端设备向网关设备的服务端发送上网身份信息,服务端对上网身份信息验证通过后,向终端设备下发通过加密算法加密后的身份令牌,转到S2;S2:终端设备在信号连接区域内向网关设备发送身份令牌,网关设备通过与S1中加密算法对应的解密算法,对身份令牌解密后,根据身份令牌、以及预先设置的上网账号和密码,向服务端进行PPP拨号,转到S3;S3:服务端对身份令牌、上网账号和密码进行鉴权,若鉴权成功,给予网关设备上网权限;在S3之后,当网关设备检测到终端设备在信号连接区域以外时,自动断开与服务端的拨号连接。
【技术特征摘要】
1.一种具备鉴权功能的网关设备上网拨号方法,其特征在于,该方法包括以下步骤:S1:终端设备向网关设备的服务端发送上网身份信息,服务端对上网身份信息验证通过后,向终端设备下发通过加密算法加密后的身份令牌,转到S2;S2:终端设备在信号连接区域内向网关设备发送身份令牌,网关设备通过与S1中加密算法对应的解密算法,对身份令牌解密后,根据身份令牌、以及预先设置的上网账号和密码,向服务端进行PPP拨号,转到S3;S3:服务端对身份令牌、上网账号和密码进行鉴权,若鉴权成功,给予网关设备上网权限;在S3之后,当网关设备检测到终端设备在信号连接区域以外时,自动断开与服务端的拨号连接。2.如权利要求1所述的具备鉴权功能的网关设备上网拨号方法,其特征在于,S3之后还包括以下步骤:S4:服务端周期性的向终端设备下发通过加密算法加密后的身份令牌,终端设备将身份令牌转发至网关设备;网关设备将身份令牌通过解密算法解密后,向服务端发送带有身份令牌的心跳报文,转到S5;S5:服务端对心跳报文进行鉴权,若鉴权成功,向网关设备返回心跳报文响应信息,转到S6;若鉴权失败,直接转到S6;S6:网关设备每次向服务端发送心跳报文后,统计未收到心跳报文响应信息的次数,当未收到心跳报文响应信息的次数大于指定阈值时,自动断开与服务端的拨号连接。3.如权利要求2所述的具备鉴权功能的网关设备上网拨号方法,其特征在于:S3中所述鉴权成功的标准为:所述上网账号和密码正确、身份令牌与S1中服务端下发的身份令牌相同;S5中所述鉴权成功的标准为:心跳报文中的身份令牌,与服务端在S4中下发的身份令牌相同。4.如权利要求1至3任一项所述的具备鉴权功能的网关设备上网拨号方法,其特征在于:S3中所述服务端对身份令牌、上网账号和密码进行鉴权后,还包括以下流程:若鉴权失败,网关设备向终端设备发送无法上网的信息。5.如权利要求1至3任一项所述的具备鉴权功能的网关设备上网拨号方法,其特征在于:S1中所述终端设备为具备NFC接口的移动终端。6.一种具备鉴权功能的网关设备上网拨号系统,其特征在于:该系统包括设置于终端设备上的身份信息发送模块和身份令牌发送模块;设置于网关设备的服务端上的身份令牌下发模块和拨号鉴权模块;以及设置于网关设备上的上网拨号模块和信号连接区域检测模块;终端设备的身份信息发送模块用于:向服务端的身份令牌下发模块发送上...
【专利技术属性】
技术研发人员:田智炜,孙成芳,李喜毅,覃洪清,
申请(专利权)人:烽火通信科技股份有限公司,
类型:发明
国别省市:湖北,42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。