终端设备、加密网关、无线网络安全通信方法及系统技术方案

本发明专利技术提供一种终端设备、加密网关、无线网络安全通信方法及系统。其中，无线网络安全通信方法包括：获取终端设备在接入无线网络时发送的加密通信请求信息，所述加密通信请求信息中包含用户的用户账号；根据所述加密通信请求信息获取所述用户账号对应的第一会话密钥和第二会话密钥，其中，所述第二会话密钥为采用与所述用户账号对应的用户登录口令对所述第一会话密钥进行加密得到；将所述第二会话密钥发送给所述终端设备，并利用所述第一会话密钥对与所述终端设备通信的数据报文进行加密或解密处理。本发明专利技术可有效避免现有的无线网络通信中存在的安全隐患。

【技术实现步骤摘要】

本专利技术涉及通信技木，尤其涉及ー种终端设备、加密网关、无线网络安全通信方法及系统。
技术介绍
随着无线通信技术的发展，越来越多的公共场所提供无线网络接入互联网的无线热点，以方便用户使用其具备无线通信的終端设备进行上网。无线热点的搭建非常简单而且费用低廉，其提供者只需一台无线路由器或具有无线功能的调制解调器(modem)接入网络即可。例如，很多机场、宾馆、咖啡厅等特定公共场所 通过配置WiFi (无线保真)无线访问接入点(WiFi Access Point,简称WiFi AP)向用户提供免费使用WiFi AP访问互联网。用户在这些公共场所想上网时，其终端设备通过WiFi无线通信信号与WiFi AP进行通信，WiFi AP通过有线网络连接到网络侧运营商的宽带接入服务器(Broadband Access Server,以下简称BAS服务器),通过BAS服务器接入互联网实现宽带接入。用户终端设备通过WiFi AP接入互联网时，由于无线网络开放性及无线热点搭建简单的特点，一方面用户终端设备与WiFi AP之间的无线通信很容易被无线信号监听者攻击；另一方面ー些WiFi接入提供者利用用户想免费使用WiFi的心理以及用户难以区分WiFi AP真伪的实际情况，而在公共场所恶意搭建免费使用的WiFi AP，通过监听WiFiAP上的通信流量获取用户信息。因此，无线网络通信在为用户提供方便接入互联网的同吋，也给黑客提供了入侵便利，从而使用户终端通过无线网络接入互联网时存在很大的安全风险。
技术实现思路
本专利技术的第一个方面是提供ー种无线网络安全通信方法，包括获取终端设备在接入无线网络时发送的加密通信请求信息，所述加密通信请求信息中包含用户的用户账号；根据所述加密通信请求信息获取所述用户账号对应的第一会话密钥和第二会话密钥，其中，所述第二会话密钥为采用与所述用户账号对应的用户登录ロ令对所述第一会话密钥进行加密得到；将所述第二会话密钥发送给所述终端设备，并利用所述第一会话密钥对与所述终端设备通信的数据报文进行加密或解密处理。本专利技术的另ー个方面是提供一种无线网络安全通信方法，包括通过无线网络向加密网关发送加密通信请求信息，所述加密通信请求信息中包含用户的用户账号；接收所述加密网关根据所述加密通信请求信息返回的所述用户账号对应的第二会话密钥，并利用所述用户账号对应的用户登录ロ令对所述第二会话密钥进行解密获取第一会话密钥；利用所述第一会话密钥对与所述加密网关通信的数据报文进行加密或解密处理。本专利技术的又ー个方面是提供一种加密网关，包括获取模块，用于获取終端设备在接入无线网络时发送的加密通信请求信息，所述加密通信请求信息中包含用户的用户账号；以及用于根据所述加密通信请求信息获取所述用户账号对应的第一会话密钥和第二会话密钥，其中，所述第二会话密钥为采用所述用户账号对应的用户登录ロ令对所述第一会话密钥进行加密得到；处理模块，用于将所述第二会话密钥发送给所述终端设备，并利用所述第一会话密钥对与所述终端设备通信的数据报文进行加密或解密处理。本专利技术的又ー个方面是提供一种终端设备，包括 加密代理模块，用于通过无线网络向加密网关发送加密通信请求信息，所述加密通信请求信息中包含用户的用户账号；以及接收所述加密网关根据所述加密通信请求信息返回的所述用户账号对应的第二会话密钥，并利用所述用户账号对应的用户登录ロ令对所述第二会话密钥进行解密获取第一会话密钥；通信处理模块，用于利用所述第一会话密钥对与所述加密网关通信的数据报文进行加密或解密处理。本专利技术的又ー个方面是提供一种无线网络安全通信系统，包括上述的加密网关以及无线网络中的上述的終端设备。本专利技术的技术效果是通过网络侧运营商设置的加密网关对无线网络中用户终端设备发送的加密通信请求信息进行响应，利用加密通信请求信息中携帯的用户账号获取第一会话密钥，并利用用户与运营商的预共享的该用户账号对应的用户登录ロ令获取第二会话密钥，并将第二会话密钥反馈给对应的终端设备，終端设备利用用户登录ロ令对第二会话密钥解密获取同样的第一会话密钥，从而終端设备与加密网关利用双方获取的第一会话密钥对通信数据报文进行加密或解密，提高了用户通信的安全性，由于用户登录ロ令为用户和运营商所预共享，而且交互协商会话密钥中不传送该用户登录ロ令，所以，本专利技术还保证了密钥协商过程中获取的密钥也是机密的，从而有效保证用户数据在无线信道及无线热点上的通信安全，从而避免了现有的无线网络通信中存在的安全隐患。附图说明图I为本专利技术无线网络安全通信方法实施例一的流程图；图2为图I中获取会话密钥的具体流程图；图3为本专利技术无线网络安全通信方法实施例ニ的流程图；图4为本专利技术无线网络安全通信方法实施例三的流程图；图5为本专利技术加密网关实施例的结构示意图；图6为本专利技术终端设备实施例的结构示意图；图7为本专利技术无线网络安全通信系统的结构示意图；图8为图7所示实施例中各装置之间交互的信令图。具体实施例方式以下结合具体实施例及其对应的附图详细说明本专利技术的技术方案。图I为本专利技术无线网络安全通信方法实施例一的流程图，如图I所示，本实施例的方法，包括步骤101、获取终端设备在接入无线网络时发送的加密通信请求信息，所述加密通信请求信息中包含用户的用户账号。用户侧无线网络中的終端设备在接入无线网络时存在多种安全隐患，因此其通过无线网络中的无线热点接入互联网时这些安全隐患同样也存在，为保证数据报文在无线信道及无线热点上安全传输，可以对终端设备与BAS服务器之间通信的数据报文采用密文传输，即通过在用户侧的无线热点 网络侧的BAS服务器之间增加加密网关，利用加密网关和終端设备对二者之间通信的数据报文进行加密或解密处理，而加密网关将加密或解密处理后的数据报文通过BAS服务器接入互联网或者加密网关具有BAS服务器功能时直接接入互联网，从而可保证用户的通信数据在无线信道及无线热点上的安全传输。为使终端设备与加密网关之间进行密文传输，終端设备需与加密网关在通信数据报文之前进行密钥协商获取二者用于安全通信的会话密钥，因此，終端设备在通信前首先向加密网关发送加密通信请求信息，并将用户的用户账号携帯在加密通信请求信息中，以便于网络侧运营商设置的加密网关根据该用户账号获取其存储的预共享密钥，实现利用该预共享密钥协商获取用于通信的会话密钥。本步骤中，加密网关接收到终端设备发送的加密通信请求时，获取其中携帯的用户账号，以便于后续根据该用户账号获取对应的会话密钥。用户账号为用户在网络侧运营商网络上已有的用户名，若用户先前在网络侧运营商网络上没有注册过账号信息，也可以通过非互联网通道如手机短信或电话临时注册ー个。用户在运营商网络上的账号信息包括用户账号和用户登录ロ令(或密码)，用户在利用終端设备发送加密通信请求时，将用户账号携帯在加密通信请求信息中，而无需将二者的预共享密钥即用户账号对应的用户登录ロ令进行传送，既可以使加密网关根据该用户账号获取对应的用户登录ロ令或密码，又能够避免预共享密钥被黑客获取，提高了密钥协商阶段的安全性。其中終端设备可以是用户侧用户使用无线网络上网的电脑、手机等用户终端。加密通信请求可由终端设备上设置的加密代理模块启动，具体为，当加密代理模块检测到终端设备以无安全机制的网络连接方式如免费的Wi本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.ー种无线网络安全通信方法，其特征在于，包括 获取终端设备在接入无线网络时发送的加密通信请求信息，所述加密通信请求信息中包含用户的用户账号； 根据所述加密通信请求信息获取所述用户账号对应的第一会话密钥和第二会话密钥，其中，所述第二会话密钥为采用与所述用户账号对应的用户登录ロ令对所述第一会话密钥进行加密得到； 将所述第二会话密钥发送给所述终端设备，并利用所述第一会话密钥对与所述终端设备通信的数据报文进行加密或解密处理。2.根据权利要求I所述的方法，其特征在于，所述根据所述加密通信请求信息获取所述用户账号对应的第一会话密钥和第二会话密钥，包括 获取所述加密通信请求信息中携帯的用户账号； 向用户数据库发送密钥请求信息，所述密钥请求信息中包含所述用户账号； 接收所述用户数据库返回的所述用户账号对应的第一会话密钥和第二会话密钥。3.根据权利要求I或2所述的方法，其特征在于，利用所述第一会话密钥对与所述终端设备通信的数据报文进行加密或解密处理，包括 将互联网数据报文利用所述第一会话密钥进行加密后发送给所述終端设备；以及将所述終端设备发送的加密的数据报文利用所述第一会话密钥进行解密后发送到互联网。4.根据权利要求I或2所述的方法，其特征在于，所述无线网络采用WiFi连接方式进行联网。5.ー种无线网络安全通信方法，其特征在于，包括 通过无线网络向加密网关发送加密通信请求信息，所述加密通信请求信息中包含用户的用户账号； 接收所述加密网关根据所述加密通信请求信息返回的所述用户账号对应的第二会话密钥，并利用所述用户账号对应的用户登录ロ令对所述第二会话密钥进行解密获取第一会话密钥； 利用所述第一会话密钥对与所述加密网关通信的数据报文进行加密或解密处理。6.根据权利要求5所述的方法，其特征在于，所述通过无线网络向加密网关发送加密通信请求信息之前，还包括 获取通过无线网络连接互联网的接入请求信息； 根据所述接入请求信息启动搜寻网络侧设置的加密网关； 若搜寻到，则向所述加密网关发送连接请求信息； 接收所述加密网关反馈的连接响应信息； 相应地，所述通过无线网络向加密网关发送加密通信请求信息，具体为 通过无线网络向反馈连接响应信息的加密网关发送加密通信请求信息。7.根据权利要求5或6所述的方法，其特征在于，利用所述第一会话密钥对与所述加密网关通信的数据报文进行加密或解密处理，包括 将待发送的数据报文利用所述第一会话密钥进行加密后发送给所述加密网关，以使所述加密网关将加密的数据报文进行解密后发送到互联网；以及将接收到的由所述加密网关已进行加密的互联网数据报文利用所述第一会话密钥进行解密。8.根据权利要求7所述的方法，其特征在干，利用所述第一会话密钥对与所述加密网关通信的数据报文进行加密或解密处理之前，还包括 根据待发送的数据报文的安全需求确定是否进行加密处理，若待发送的数据报文为安全性高的数据，则利用所述第一会话密钥对与所述加密网关通信的数据报文进行加密或解密处理，并将已对数据报文进行加密处理的标识发送给所述加密网关，以使所述加密网关根据所述标识确定对应的数据报文是密文。9.根据权利要求5或6所述的方法，其特征在于，通过无线网络向加密网关发送加密通信请求信息之前，还包括 判断通过无线网络连接互联网是否是免费接入，...

【专利技术属性】
技术研发人员：田新雪，袁晓静，
申请(专利权)人：中国联合网络通信集团有限公司，
类型：发明
国别省市：