[发明专利]一种建立安全连接的方法、终端和系统

说明书

技术领域

本发明涉及通信网络领域，特别涉及一种网络接入的方法、终端和系统。 

背景技术

当前移动运营商提供给手机的互联网接入，使用如下技术过程：手机终端向移动运营商SGSN发起附着请求，移动运营商SGSN向手机终端发起终端认证要求，手机终端转发终端认证请求给SIM卡，SIM卡根据收到的终端认证请求，和自身存储的密钥，计算出会话密钥和认证回复，手机终端发送终端认证回复给移动运营商SGSN，SIM卡认证通过，手机终端附着SGSN成功；手机终端向移动运营商SGSN发起数据会话（PDP Content）激活请求，SGSN转发数据会话激活请求给GGSN，GGSN向Radius请求认证，Radius认证通过，GGSN向DHCP请求互联网地址，DHCP分配互联网地址，GGSN发送数据会话激活回复给SGSN，SGSN回复手机终端，数据会话成功建立。手机终端上的应用程序，实用建立好的数据会话进行网络通信。 

在最新基于SIM的手机终端认证过程中，添加了SIM卡向网络发送网络认证请求，网络计算后发送回认证回复的过程，提供双向认证，增加了安全性。 

当前，各种移动终端包括手机终端，普遍支持虚拟专用网络（VPN）接入功能，接入的认证手段为PPTP, L2TP等隧道协议，传输加密方法为IPSec协议。各种移动终端普遍支持移动热点功能，开通移动热点的手机，通过建立wifi局域网，共享手机的3G上网流量。 

根据现有技术，当移动运营商用户使用其他运营商网络接入互联网后，移动运营商无法为手机上的应用提供简单有效的识别用户或者提供手机号码的方法。通过运营商的各种网络接入方法，在如下情况下，运营商无法为自己的注册用户提供网络接入服务，或者无法获得用户的手机号码等身份信息：一种情况是客户连接了本地wifi，流量从wifi经过固定网络运营商进入互联网，移动运营商无法得到网络流量，进而无法提供各种增值服务；一种情况是客户使用移动运营商部署wifi的方式，通过sim卡认证的模式，接入移动运营商网络，这种方法需要部署特殊的AP，或者需要更改现在的AP的配置，使用受到限制；一种情况是客户使用vpn方式接入互联网络，仅用用户名，密码，密钥的方式，无法获得高等级的安全保证，另外配置复杂，也不利于推广；一种情况是运营商仅仅把SIM卡用在移动网络接入认证上，第三方应用无法得到支持。而第三方手机应用，在iphone等手机上，除了SIM卡，没有可用的统一的智能卡方案；还有一种情况是多个终端共享手机的移动热点，造成多个共享热点的设备在移动运营商侧无法区分。 

发明内容

本发明为了解决上述问题，在终端侧通过设置一个具有安全控制功能的网络代理模块，协调SIM卡和接入服务器、认证服务器之间的连接建立，不仅能够顺利获取终端的唯一性标识，在复杂网络环境下提供统一的安全接入，还提高了连接的安全性，此外还可以为安全支付提供很好的基础。 

本发明提出一种建立安全连接的方法，包括以下步骤：终端中具有安全控制功能的网络代理模块读取预先配置的接入服务器信息，并使用安全连接方式，连接到接入服务器；接入服务器请求认证服务器，认证服务器向终端发起终端认证，同时终端向认证服务器发起网络认证；通过网络认证和终端认证后，网络代理模块和接入服务器连接成功，接入服务器获得终端的唯一性标识。 

其中，所述网络代理模块仅监听本机网络端口，或者仅提供本地程序调用接口，所述终端是移动终端，所述接入服务器是虚拟专用网VPN服务器。 

其中，在接入服务器获得终端的唯一性标识之后，还包括：所述终端的网络代理模块发送登录信息给接入服务器，接入服务器转发登录信息给后台系统，并附加上获取的所述终端的唯一性标识，后台系统进行登录操作，回复登录成功证书，所述终端使用该证书直接和后台系统进行后续操作，或者通过建立好的安全连接，发送后续的业务数据。 

其中，所述终端使用该证书进行后续操作之后，还包括：所述终端通过安全连接发送交易信息到后台系统；后台系统判断交易需经过多个终端确认，则发送多个终端确认指令给接入服务器；接入服务器发送等待至少一个其他终端确认的信息给所述终端，并根据所述终端的唯一性标识向所述至少一个其他终端发送交易确认通知；所述至少一个其他终端接收交易确认通知，并和接入服务器建立安全连接，获取待确认的交易信息；所述至少一个其他终端终端对交易进行确认，确认信息通过安全连接传递到后台系统，完成交易。 

本发明还提出一种用于建立安全连接的终端，包括：