技術領域：

本發明涉及信息安全領域，尤其涉及一種專線APN安全增強接入方法與裝置。

背景技術：

APN，是通過手機上網時必須配置的一個參數，它決定了手機通過哪種接入方式來訪問網絡,用來標識GPRS的業務種類。隨著企業、政府、軍隊移動辦公、移動執法等業務的陸續開展，通過移動終端設備安全接入到內部網絡的需求越來越強烈，因此運營商針對此類需求開展了專線APN業務。專線APN是根據企業、政府、軍隊對網絡安全的特殊要求，采用了多種安全措施，主要包括：

通過一條2M/3G/4G專線接入運營商GPRS網絡，雙方互聯路由器之間采用私有IP地址進行廣域連接，在GGSN與移動公司互聯路由器之間采用GRE隧道。

為客戶分配專用的APN，普通用戶不得申請該APN。用于GPRS專網的SIM卡僅開通該專用APN，限制使用其他APN。

用戶發出GPRS登錄請求，請求中包括由移動公司為GPRS專網系統專門分配的專網APN；根據請求中的APN，SGSN向DNS服務器發出查詢請求，找到與企業服務器平臺連接的GGSN，并將用戶請求通過GTP隧道封裝送給GGSN；GGSN將用戶認證信息（包括手機號碼、用戶賬號、密碼等）通過專線送至RADIUS服務器進行認證；RADIUS服務器收到手機號等認證信息，確認是合法用戶發來的請求，向DHCP服務器請求分配用戶地址；Radius認證通過后，由RADIUS服務器向GGSN發送攜帶用戶地址的確認信息；用戶得到了IP地址，就可以攜帶數據包，對GPRS專網系統信息查詢和業務處理平臺進行訪問。

在實現本發明的過程中，發明人發現現有對APN接入的方法至少存在如下問題：1、接入點信息配置較為繁瑣，填寫的信息包含了名稱，類型，代理服務器，端口，用戶名，密碼等輸入項，一些專有術語非專業人員不了解或很難理解；2、APN接入認證安全隱患較大：APN接入后的認證方式采用的“手機號碼、用戶賬號、用戶密碼”的認證方式，用戶認證信息直接通過專網傳輸到RADIUS服務器進行認證，這樣的做法有很大安全隱患，密碼很容易被竊取，對這種認證方式的攻擊辦法有很多種，包括信息竊聽、截取、窮舉、窺探等，安全漏洞顯而易見；3、RADIUS服務器認證對認證參數的長度和參數的數量一般都有明確的限制，因此對于安全性要求較高的多因子認證適應不足；4、APN連接斷開后，創建好的APN信息會自動保存在手機上，一旦設備發生丟失，也會發生信息的泄露，如果斷開后進行刪除操作，下次連接時又要進行繁瑣的配置工作。

發明內容：

本發明實施例提供一種專線APN安全增強接入方法及裝置，通過增強專線APN接入的認證機制提升專網訪問的安全性，通過提供一種安全的專線APN接入裝置，保證專網的邊界安全并簡化接入的操作流程。

根據本發明的第一方面，提供一種專線APN安全增強接入方法與裝置，用于示證用戶

通過接入裝置進行專線APN安全增強接入，其專線APN安全增強接入方法與裝置的特征在于，包括：（參見圖6所示流程圖）

示證用戶注冊步驟，在該步驟中，通過RADIUS服務器存儲與示證用戶相關的可信

因子來完成示證用戶在RADIUS服務器上的注冊，并且在接入裝置與RADIUS服務器之間同步可信因子，RADIUS服務器將同步成功的可信因子存儲為認證因子，并且接入裝置也將同步成功的可信因子存儲為認證因子；

專線APN安全增強創建步驟，在該步驟中，接入裝置預先配置專線APN基本信息，通過示證用戶選擇接入裝置的APN名稱完成APN安全增強創建；

安全增強認證碼生成步驟，在該步驟中，RADIUS服務器和接入裝置分別根據各自存儲的認證因子按照相同算法生成安全增強認證碼；以及

專線APN安全增強認證接入步驟，在該步驟中，RADIUS服務器驗證自身生成的安全增強認證碼與接入裝置提供的安全增強認證碼是否一致，以對示證用戶通過接入裝置進行安全增強接入。

根據本發明的第二方面的一種專線APN安全增強接入方法與裝置，所述的示證用戶

注冊步驟包括：

邏輯注冊步驟，在該步驟中，以在RADIUS服務器中存儲與示證用戶相關的邏輯可信因子，所述的邏輯可信因子是與示證用戶相關聯的可信因子并且不描述接入裝置的物理信息，僅僅完成邏輯注冊的示證用戶不能訪問專網中除RADIUS服務器之外的任何設備；以及