[发明专利]一种手机终端安全接入信息网络的方法及装置

说明书

本发明公开了一种手机终端安全接入信息网络的方法及装置，其中，该方法包括如下步骤：将允许访问的用户信息以及手机终端信息导入到信息验证系统，生成信息验证白名单；将用户、手机终端、用户数字证书构建一一对应的合法性映射表，预导入网络控制器；网络控制器获取申请访问的用户信息以及手机终端信息，并将申请访问的用户信息以及手机终端信息与生成的信息验证白名单中的信息进行对比；当信息验证白名单中存在申请访问的用户信息以及手机终端信息时，对申请访问的用户、手机终端、数字证书与预导入的合法性映射表进行比对；如果一致，则允许手机终端接入信息网络；否则，拒绝访问。该方法可实现手机终端安全、高效、灵活的接入信息网络。

技术领域

本发明涉及一种手机终端安全接入信息网络的方法，同时涉及实现该方法的装置，属于网络安全技术领域。

背景技术

信息网络通常需要在提供服务之前对用户的身份进行认证，并可能对后续的通信数据进行加密保护，以控制只有合法的用户才能使用相关资源、服务或功能。使用数字证书是目前解决该问题的一种常用安全机制。通过使用与用户绑定的数字证书，利用PKI体系、VPN技术等，可简化用户使用时的复杂度，提高身份认证的安全性。

手机终端通过信息网络获取各种数据资源与服务。接入数量多，且数据交互流量大。信息网络对于手机终端接入的安全可靠性并兼顾便利性的需求十分迫切。

现阶段终端安全主要采用的身份识别手段是通过收集终端特征信息来进行判断和验证，包括USBKEY序列号、数字证书序列号、移动终端序列号和用户指纹特征信息，将这些终端特征信息通过加密通道上传到安全接入网关，安全接入网关验证终端特征信息的完整性和有效性，根据验证结果决定终端是否能访问受保护的服务器。

如图1所示，现有的移动终端接入信息网络主要包括如下步骤为：建立加密通道，由客户端调用USBKEY以及存储于USBKEY中数字证书，按照SSLVPN协议完成基于数字证书的双向身份验证以及基于国密SM1算法的加密通道协商；然后，客户端采集用户的指纹特征信息；客户端收集终端特征信息，包含USBKEY序列号、数字证书序列号以及移动终端序列号；最后，客户端将用户指纹特征信息连同终端特征信息一起上传至安全接入网关，安全接入网关根据终端特征信息中的一项数据来搜索数据库并判断其合法性；若信息不合法，则会停止该终端访问网络服务器；若信息合法，终端则可访问网络服务器。

然而，现有的终端接入信息网络的服务器的技术，存在以下缺点：

1)密码模块USBKEY，只适用于具有USB接口的专用移动终端或者笔记本电脑等终端，不适合手机终端。手机终端无法使用USBKEY等密码模块；

2)收集和发送终端特征信息时，仅送数字证书序列号，而不对数字证书本身签名后发送，具有安全隐患；

3)没有对数字证书的有效性进行实时查询，使得终端数字证书在过期、吊销等情况下也能进入信息网络；

4)使用指纹作为用户身份认证，是容易被冒用篡改的，比如可以使用手膜获取用户指纹信息后造假，从而造成安全风险。

发明内容

针对现有技术的不足，本发明所要解决的首要技术问题在于提供一种手机终端安全接入信息网络的方法。

本发明所要解决的另一技术问题在于提供一种实现该手机终端安全接入信息网络方法的装置。

为实现上述发明目的，本发明采用下述的技术方案：

根据本发明实施例的第一方面，提供一种手机终端安全接入信息网络的方法，包括如下步骤：

将允许访问的用户信息以及手机终端信息导入到信息验证系统，生成信息验证白名单；

将用户、手机终端、用户数字证书构建一一对应的合法性映射表，预导入网络控制器；