[发明专利]一种接入鉴权方法及装置

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种接入鉴权方法及装置。

背景技术

目前，网络通信中面临的主要安全威胁有截断、中断、篡改、伪造的安全隐患。现有的解决方案有通过对数据的对称加密算法来保证通信过程中信息的机密性、完整性和可用性。用户身份泄漏后恶意入侵者可以仿造用户身份入网，并通过截获用户认证向量获取机密通信密钥等安全缺陷。目前市场还是存在大量的短信泄密，篡改短信内容，等安全隐患；这样就需要通信系统鉴权体系来消除通信过程中存在的截断、中断、篡改、伪造等安全隐患。

目前市场上的鉴权体系是单一的，有网络层的对称加密算法来保证网络层的数据安全的，也有硬件层面的认证，但市场的硬件千千万万，网络层的加密算法也各不相同，没有形成一套完整统一的安全鉴权体系。

发明内容

本发明的主要目的在于提出一种接入鉴权方法及装置，在网络传输层实现硬件设备的逐级鉴权，保证了设备的安全性。

为实现上述目的，本发明提供的一种接入鉴权方法，包括：

终端通过超级节点与接入服务器连接，所述终端中设置有ID芯片，所述ID芯片中存储有ID证书；

接入服务器对所述终端进行ID证书认证，认证通过后根据所述ID证书生成SI证书，并将所述SI证书存储至所述ID芯片；

通过所述SI证书对所述终端进行设备鉴权。

可选地，所述通过所述SI证书对所述终端进行设备鉴权之后还包括：

对所述终端发起的业务进行鉴权，包括权限判定、用户名和密码验证。

可选地，所述终端与所述接入服务器之间设置有第一签名；所述终端与所述超级节点之间设置有第二签名；所述超级节点与所述接入服务器之间设置有第三签名。

可选地，所述通过所述SI证书对所述终端进行设备鉴权包括：

建立超级节点与接入服务器之间的第一虚拟专用网络VPN，并对所述超级节点与接入服务器之间的第三签名进行交换协商；

建立超级节点与终端之间的第二虚拟专用网络VPN，并对所述超级节点与终端之间的第二签名进行交换协商；

通过所述第一虚拟专用网络VPN和所述第二虚拟专用网络VPN建立所述终端与接入服务器之间的信令通道，并对所述终端与接入服务器之间的第一签名进行交换协商。

可选地，所述超级节点的个数为多个时，所述终端依次通过多个所述超级节点与接入服务器连接。

作为本发明的另一方面，提供的一种接入鉴权装置，包括：

连接模块，用于终端通过超级节点与接入服务器连接，所述终端中设置有ID芯片，所述ID芯片中存储有ID证书；

认证模块，用于接入服务器对所述终端进行ID证书认证，认证通过后根据所述ID证书生成SI证书，并将所述SI证书存储至所述ID芯片；

设备鉴权模块，用于通过所述SI证书对所述终端进行设备鉴权。

可选地，还包括：

业务鉴权模块，用于对所述终端发起的业务进行鉴权，包括权限判定、用户名和密码验证。

可选地，所述终端与所述接入服务器之间设置有第一签名；所述终端与所述超级节点之间设置有第二签名；所述超级节点与所述接入服务器之间设置有第三签名。

可选地，所述设备鉴权模块包括：

第一协商单元，用于建立超级节点与接入服务器之间的第一虚拟专用网络VPN，并对所述超级节点与接入服务器之间的第三签名进行交换协商；

第二协商单元，用于建立超级节点与终端之间的第二虚拟专用网络VPN，并对所述超级节点与终端之间的第二签名进行交换协商；

第三协商单元，用于通过所述第一虚拟专用网络VPN和所述第二虚拟专用网络VPN建立所述终端与接入服务器之间的信令通道，并对所述终端与接入服务器之间的第一签名进行交换协商。

可选地，所述超级节点的个数为多个时，所述终端依次通过多个所述超级节点与接入服务器连接。

本发明提出的一种接入鉴权方法及装置，该方法包括：终端通过超级节点与接入服务器连接，所述终端中设置有ID芯片，所述ID芯片中存储有ID证书；接入服务器对所述终端进行ID证书认证，认证通过后根据所述ID证书生成SI证书，并将所述SI证书存储至所述ID芯片；通过所述SI证书对所述终端进行设备鉴权，在网络传输层实现硬件设备的逐级鉴权，保证了设备的安全性。

附图说明

图1为本发明实施例一提供的一种接入鉴权方法流程图；

图2为本发明实施例一提供的另一种接入鉴权方法流程图；