网络安全认证方法、装置及设备与流程

本发明涉及物联网及网络安全技术领域，尤其涉及一种网络安全认证方法、装置及设备。

背景技术：

随着物联网应用的广泛使用，数据交互系统面临着越来越高的风险，物联网安全认证技术也随之产生。现有的安全认证技术主要包括以下三种：基于口令的安全认证技术、基于设备数字签证的安全认证技术以及基于对称加密算法的安全认证技术。

其中，基于口令的安全认证技术，只要攻击者获得口令便能控制设备或网络访问权，在数据传输的过程中存在较高的安全性风险；基于设备数字签证的安全认证技术以及基于对称加密算法的安全认证技术，核心均是密钥技术，通过各种密钥算法进行数据加密和解密，可能出现密钥被破解及设备被控制的情况，在数据传输的过程中存在安全性风险。

技术实现要素：

本发明实施例提供一种网络安全认证方法、装置及设备，以解决现有安全认证技术在数据传输过程中存在安全性风险的问题

为了解决上述技术问题，本发明是这样实现的：

第一方面，提供了一种网络安全认证方法，应用于连接管理系统，所述方法包括：接收终端发送的对与所述终端对应的公钥的获取请求；所述获取请求携带有所述终端的第一标识信息；根据所述获取请求获取预存的与所述第一标识信息对应的配置信息，并将所述配置信息发送至所述终端；所述配置信息包括所述公钥、所述第一标识信息和服务端的第二标识信息；接收服务端发送的终端认证请求；所述终端认证请求携带有身份识别信息，所述身份识别信息由所述服务端基于预存的私钥对所述终端发送的加密信息进行解密得到，所述加密信息由所述终端基于所述公钥对所述身份识别信息进行加密得到；所述身份识别信息包括所述终端的第一标识信息及所述服务端的第二标识信息；根据所述身份识别信息及预设的校验方法进行终端安全认证；若认证通过，则向所述服务端发送终端认证通过信息。

第二方面，提供了一种网络安全认证的方法，应用于服务端，所述方法包括：接收终端发送的携带有加密信息的连接请求；所述加密信息由所述终端基于所述服务端预先生成的、与所述终端对应的公钥对身份识别信息进行加密得到；所述身份识别信息包括所述终端的第一标识信息及所述服务端的第二标识信息；利用预存的私钥对所述加密信息进行解密；若解密成功，则向连接管理系统发送终端认证请求；所述终端认证请求携带有所述身份识别信息；当接收到所述连接管理系统发送的终端认证通过信息时，建立与所述终端之间的连接。

第三方面，提供了一种网络安全认证装置，应用于连接管理系统，所述装置包括：获取请求接收模块，用于接收终端发送的对与所述终端对应的公钥的获取请求；所述获取请求携带有所述终端的第一标识信息；配置信息发送模块，用于根据所述获取请求获取预存的与所述第一标识信息对应的配置信息，并将所述配置信息发送至所述终端；所述配置信息包括所述公钥、所述第一标识信息和服务端的第二标识信息；认证请求接收模块，用于接收服务端发送的终端认证请求；所述终端认证请求携带有身份识别信息，所述身份识别信息由所述服务端基于预存的私钥对所述终端发送的加密信息进行解密得到，所述加密信息由所述终端基于所述公钥对所述身份识别信息进行加密得到；所述身份识别信息包括所述终端的第一标识信息及所述服务端的第二标识信息；安全认证模块，用于根据所述身份识别信息及预设的校验方法进行终端安全认证；认证信息发送模块，用于若认证通过，则向所述服务端发送终端认证通过信息。

第四方面，提供了一种网络安全认证的装置，应用于服务端，所述装置包括：连接请求接收模块，用于接收终端发送的携带有加密信息的连接请求；所述加密信息由所述终端基于所述服务端预先生成的、与所述终端对应的公钥对身份识别信息进行加密得到；所述身份识别信息包括所述终端的第一标识信息及所述服务端的第二标识信息；解密模块，用于利用预存的私钥对所述加密信息进行解密；认证请求发送模块，用于若解密成功，则向连接管理系统发送终端认证请求；所述终端认证请求携带有所述身份识别信息；建立连接模块，用于当接收到所述连接管理系统发送的终端认证通过信息时，建立与所述终端之间的连接。

第五方面，提供了一种网络安全认证设备，该设备包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现如第一方面或第二方面所述的方法。

第六方面，提供了一种计算机可读存储介质，所述计算机可读存储介质上存储计算机程序，所述计算机程序被处理器执行时实现如第一方面或第二方面所述的方法。

在本发明实施例中，连接管理系统可以应终端的请求发送对应的配置信息至终端，该配置信息包括终端对应的公钥、终端的第一标识信息和服务端的第二标识信息，以及接收服务端发送的终端认证请求，该终端认证请求携带有身份识别信息，该身份识别信息由服务端基于预存的私钥对终端发送的加密信息进行解密得到，该加密信息由终端基于公钥对身份识别信息进行加密得到；然后通过预设的校验方法对上述身份识别信息进行安全认证，若认证通过，则向服务端发送终端认证通过信息。由于终端可以从连接管理系统处获取公钥，服务端可以基于私钥解密终端发送的加密信息，因此提高了数据传输过程中的安全性且可以减小终端的成本负担；此外，连接管理系统可以对服务端解密得到的身份识别信息进行安全认证，并通知服务端认证通过信息，服务端即可与终端建立连接，从而可以提高安全认证的安全系数。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本发明的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1为本发明一个实施例中一种网络安全认证方法的示意性流程图；

图2为本发明的一个实施例中另一种网络安全认证方法的示意性流程图；

图3为本发明的一个实施例中一种物联网安全认证的方法的交互流程图；

图4为本发明的一个实施例中一种网络安全认证装置的结构示意图；

图5为本发明的一个实施例中另一种网络安全认证装置的结构示意图；

图6为本发明的一个实施例中一种网络安全认证设备的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1是本发明的一个实施例中一种网络安全认证方法的示意性流程图。图1的方法可应用于连接管理系统cmp(connectivitymanagementplatform)，连接管理系统与终端和服务端分别连接，所述方法包括：

s102，接收终端发送的对与终端对应的公钥的获取请求。

当终端欲登录或注册至服务端时，需要按服务端的要求对登录或注册信息进行加密，用于加密的公钥存储在连接管理系统，因此终端需要先通过连接管理系统获取公钥。连接管理系统可接收终端发送的与终端对应的公钥的获取请求，该获取请求携带有终端的第一标识信息，该第一标识信息可包括：终端的号码、终端的国际移动用户识别码imsi(internationalmobilesubscriberidentity)、终端的国际移动设备识别码imei(internationalmobileequipmentidentity)、终端的网络地址中的至少一项。

s104，根据获取请求获取预存的与第一标识信息对应的配置信息，并将配置信息发送至终端。

在接收到获取请求后，基于其中的第一标识信息获取预存的与该第一标识信息对应的配置信息。上述配置信息由服务端预先配置并发送至连接管理系统，可包括公钥、第一标识信息和服务端的第二标识信息。该第二标识信息包括服务端的网络地址。可以理解的是，服务端预先已知允许连接至服务端的所有合法终端的第一标识信息以及服务端的网络地址，从而配置上述配置信息。在合法终端的第一标识信息和/或服务端的网络地址发生改变时，可以重新配置上述配置信息并发送至连接管理系统进行存储。

如果存在与第一标识信息对应的配置信息，则将该对应的配置信息发送至终端；如果不存在与第一标识信息对应的配置信息，则该终端为非法终端或者其发送的获取请求被篡改参数，此时终端无法获取公钥，公钥获取失败也就意味着无法请求连接管理系统及服务端，可以提高系统对终端是否合法的鉴别能力。

s106，接收服务端发送的终端认证请求。

其中，该终端认证请求携带有身份识别信息，该身份识别信息由服务端基于预存的私钥对终端发送的加密信息进行解密得到，该加密信息由终端基于公钥对身份识别信息进行加密得到。终端的身份识别信息可包括终端的第一标识信息及服务端的第二标识信息。

上述公钥和私钥为服务端基于预设的非对称加密算法生成的密钥对，私钥保存在服务端，公钥保存在连接管理系统，终端从连接管理系统处获取对应的公钥，基于该公钥加密身份识别信息后将连接请求发送至服务端，服务端基于私钥进行解密。如果终端请求被劫持，连接请求被转发至其他非法服务器或非法应用，非法服务器或非法应用没有对应的私钥进行解密，则无法获得终端的数据，从而提高了数据传输的安全性。

基于私钥保存在服务端、公钥保存在连接管理系统的方式，相对于现有的在终端处设置加密卡，由加密卡保存公钥的方式，不需要再制造专门的加密卡给终端，可以减小终端的成本负担。

s108，根据身份识别信息及预设的校验方法进行终端安全认证。

连接管理系统具有数据校验功能，可以校验上述身份识别信息的合法性。具体地，可以分别校验身份识别信息是否与预存的配置信息以及提取的信令数据相匹配，信令数据包括服务端在目标时段内与终端的连接记录对应的身份识别信息；若身份识别信息与配置信息和信令数据均匹配，则安全认证通过。

其中，连接管理系统预存的配置信息为服务端基于公钥、身份识别信息(包括第一标识信息及第二标识信息)生成并发送的，通过校验终端提交至服务端的身份识别信息是否与上述配置信息中的身份识别信息匹配，可以确定两者是否相匹配。

具体地，连接管理系统校验身份识别信息是否与提取的信令数据相匹配，可以包括以下步骤：根据身份识别信息中包含的第一标识信息，提取服务端在目标时段内与第一标识信息对应的连接记录；若身份识别信息与连接记录对应的身份识别信息相同，则确定身份识别信息与信令数据相匹配。在连接管理系统中，存储有终端与服务端连接的所有连接记录，如果某个终端提交的身份识别信息与目标时段内与该终端的第一标识信息对应的连接记录均不匹配，或者在该目标时段中不存在于该终端的第一标识信息对应的连接记录，则表示该终端未曾经成功连接至服务端，属于非法终端。

如果虚假终端劫持真实终端的身份识别信息上传数据至服务端，即使可以通过连接管理系统对静态的配置信息的验证，由于连接管理系统的信令认证功能只采集曾经成功连接过服务端的终端的参数，无虚假终端的参数记录，则连接管理系统对信令数据的校验失败。

s110，若认证通过，则向服务端发送终端认证通过信息。

若认证通过，则向服务端发送终端认证通过信息，服务端建立与终端的连接关系；若认证未通过，则向服务端发送终端认证未通过信息，服务端中断与终端的连接关系或者拒绝终端的连接请求。

例如某个终端设备存在行为异常或已经被恶意操纵，通过调用连接管理系统进行校验，得到校验未通过结果，连接管理系统向服务端发送终端认证未通过信息，服务端中断与该终端设备的通讯。

本发明实施例提供了一种网络安全认证方法，连接管理系统可以应终端的请求发送对应的配置信息至终端，该配置信息包括终端对应的公钥、终端的第一标识信息和服务端的第二标识信息，以及接收服务端发送的终端认证请求，该终端认证请求携带有身份识别信息，该身份识别信息由服务端基于预存的私钥对终端发送的加密信息进行解密得到，该加密信息由终端基于公钥对身份识别信息进行加密得到；然后通过预设的校验方法对上述身份识别信息进行安全认证，若认证通过，则向服务端发送终端认证通过信息。由于终端可以从连接管理系统处获取公钥，服务端可以基于私钥解密终端发送的加密信息，因此提高了数据传输过程中的安全性且可以减小终端的成本负担；此外，连接管理系统可以对服务端解密得到的身份识别信息进行安全认证，并通知服务端认证通过信息，服务端即可与终端建立连接，从而可以提高安全认证的安全系数。

图2是本发明的一个实施例中一种网络安全认证方法的示意性流程图。图2的方法可应用于服务端，该服务端可以是提供服务的服务器、应用或者dmp(devicemanagementplatform，设备管理平台)，所述方法包括：

s202，接收终端发送的携带有加密信息的连接请求。

具体地，上述加密信息由终端基于服务端预先生成的、与终端对应的公钥对身份识别信息进行加密得到，该身份识别信息包括终端的第一标识信息及服务端的第二标识信息。可以理解的是，公钥处于一定程度公开的状态，私钥处于保密状态，终端可以获取服务端预先生成的且与终端对应的公钥，终端可以基于该公钥对身份识别信息进行加密，发送至服务端后由服务端利用预存的私钥对该加密信息进行解密。

s204，利用预存的私钥对加密信息进行解密。

具体地，公钥可以保存在连接管理系统，私钥可以保存在服务端，秘钥协商过程通过非对称加密算法实现。服务端可以利用预存的私钥对加密信息进行解密，得到终端发送的身份识别信息。可以理解的是，由于私钥仅保存在应用端，其他非法服务器或者应用即使获取到终端发送的加密信息，也无法基于私钥解密，从而提高了数据传输的安全性。

s206，若解密成功，则向连接管理系统发送终端认证请求。

若解密成功，服务端则向连接管理系统发送终端认证请求，该终端认证请求携带有身份识别信息，请求连接管理系统对终端的身份识别信息进行校验，具体校验过程可以参见前述实施例，在此不再赘述。

s208，当接收到连接管理系统发送的终端认证通过信息时，建立与终端之间的连接。

如果收到连接管理系统发送的终端认证通过信息，则表示终端的安全认证通过，为服务端对应的合法终端，可以建立服务端与该终端之间的连接。

考虑到提高数据传输安全性的目的，密钥协商过程通过非对称算法实现，公钥存储至连接管理系统，私钥存储在服务端，基于此，上述方法还可以包括以下配置步骤：基于预设非对称加密算法生成与上述第一标识信息对应的密钥对，并存储密钥对中的私钥；将包含密钥对中的公钥、第一标识信息及第二标识信息的配置信息发送至连接管理系统进行存储。

其中，第一标识信息为服务端所有合法终端对应的身份信息，可包括：终端的号码、终端的imsi、终端的imei、终端的网络地址中的至少一项；第二标识信息为服务端的网络地址。上述非对称加密算法可以是rsa、elgamal、背包算法等，本实施例对此不作限定。

对于上述配置信息，服务端可以根据实际情况更新该配置信息，并将更新后你的配置信息发送至连接管理系统存储，因此上述方法还可以包括：当第一标识信息和/或第二标识信息更新时，将更新后的配置信息发送至连接管理系统进行存储。例如，服务端发现自身被劫持、服务端丧失了域名/网络地址或者服务端需变更其域名/网络地址，服务端只需要更新相应数据并发送至连接管理系统存储，终端请求获取公钥时，也能获取到更新后的域名/网络地址，从而快速完成域名或地址的更新，节省了回收终端更新其对应的服务端地址，再重新部署的巨大成本。

本发明实施例提供了一种网络安全认证方法，服务端可以接收终端发送的携带有加密信息的连接请求，该加密信息由终端基于服务端预先生成的、与终端对应的公钥对身份识别信息进行加密得到，服务端解密该加密信息后向连接管理系统发送终端认证请求，若接收到终端认证通过信息时，则建立与终端之间的连接。终端通过公钥加密身份识别信息，服务端通过私钥解密终端发送的加密信息，通过非对称加密的方式可以提高数据传输过程中的安全性且可以减小终端的成本负担；服务端可以请求连接管理系统对终端的身份识别信息进行安全认证，从而可以提高安全认证的安全系数。

由于终端可以从连接管理系统处获取公钥，服务端可以基于私钥解密终端发送的加密信息，提高了数据传输过程中的安全性且可以减小终端的成本负担，连接管理系统可以对服务端解密得到的身份识别信息进行安全认证，并通知服务端认证通过信息，服务端即可与终端建立连接，从而提高安全认证的安全系数。

图3是本发明的一个实施例中一种物联网安全认证的方法的交互流程图，示出了物联网中的终端、服务端和cmp之间的交互过程。图3的方法可包括：

s302，服务端基于预设非对称加密算法生成密钥对，并存储密钥对中的私钥。其中，服务端与秘钥对存在对应关系，密钥对包括私钥和公钥，私钥存储在服务端，公钥通过连接管理系统对外公开。

s304，服务端将包含公钥、第一标识信息及第二标识信息的配置信息发送至cmp进行存储。该第一标识信息为服务端所有合法终端对应的身份信息，该第二标识信息为服务端的网络地址，因此配置信息对应的字段包括：终端的号码、终端的imsi、终端的imei、服务端的网络地址。

s306，cmp存储配置信息。

s308，终端发起向cmp获取与终端对应的公钥的获取请求。该获取请求携带有终端的第一标识信息，cmp基于该第一标识信息可以确定其对应的公钥及服务端地址。获取请求对应的字段包括：终端的号码、终端的imsi、终端的imei、终端的网络地址。

s310，cmp对获取请求进行安全校验。具体地，可以分别校验终端身份识别信息是否与配置信息以及信令数据相匹配，若身份识别信息与配置信息和信令数据均匹配，则安全认证通过。

s312，若校验成功，cmp返回与终端对应的公钥和服务端地址。cmp返回信息对应的字段包括：终端的号码、终端的imsi、终端的imei、终端的网络地址、服务端的网络地址。

s314，终端利用公钥进行加密后进行注册或者登陆，向服务端发送连接请求。终端接收到公钥和服务端地址后，可以基于该公钥加密身份识别信息，并根据该服务端地址进行注册或者登陆，即向该服务端地址发送连接请求。

s316，服务端利用预存的私钥对连接请求携带的加密信息进行解密。服务端解密得到终端的身份识别信息。

s318，若解密成功，服务端向cmp发送终端认证请求。终端认证请求携带有解密得到的上述身份识别信息。

s320，cmp根据身份识别信息进行终端安全认证。具体地，终端安全认证包括配置信息校验和信令数据校验，校验的字段包括：终端的号码、终端的imsi、终端的imei、终端的网络地址、服务端的网络地址。

其中，配置信息校验也可以称为静态数据校验，为cmp的基本服务，cmp通过号码、imsi、imei、终端地址与静态配置数据校验；信令数据校验为cmp的增值服务，cmp通过号码、开始时间(例如服务端请求cmp时，将cmp当前时间的前十分钟作为开始时间)、结束时间(例如服务端请求cmp时，将cmp的当前时间作为结束时间)调用信令接口并提取信令最新数据，然后cmp根据服务端的号码、imsi、imei、终端地址、服务端地址与信令数据校验。

例如，服务端发送的请求数据如下：

号码：1064891575433

imsi：46004091575433

imei：8651640258496930

终端地址：10.152.181.146

服务端地址：14.23.154.117

cmp的静态数据如下：

号码：1064891575433

imsi：46004091575433

imei：8651640258496930

终端地址：10.152.181.146

服务端地址：14.23.154.117

cmp获取的信令数据如下：

号码：861064891575433

imsi：46004091575433

imei：8651640258496930

终端地址：10.152.181.146

服务端地址：14.23.154.117

信令时间：2018-06-0614:42:47026

对于静态数据校验返回结果，当请求数据与静态数据校验相匹配时，请求成功；当请求数据与静态数据校验不匹配时，请求失败。对于信令数据校验返回结果，当请求数据与静态数据、信令数据校验均匹配时，认证成功；当请求数据与静态数据校验不匹配，认证失败，无需信令数据校验；当请求数据与静态数据相匹配但与信令数据校验不匹配时，认证失败；当请求数据与静态数据相匹配但信令数据为空时，认证失败。

以前述举例中的请求数据、静态数据和信令数据为例，请求数据与静态数据的各项数据均相同，两者校验相匹配，但请求数据的号码(1064891575433)与信令数据校验的号码(861064891575433)不同，两者校验不匹配，因此最终结果为认证失败。

s322，若认证通过，cmp向服务端发送终端认证通过信息。

s324，服务端向终端发送终端认证通过信息。

本发明实施例提供物联网终端和服务端的双向认证过程：终端利用公钥进行加密，服务端利用私钥进行解密，服务端可以请求cmp对终端进行安全认证，cmp具备配置信息校验和信令数据校验能力，可以有效判断终端的合法性，从而提高了安全认证方法的安全系数。

图4是本发明的一个实施例中一种网络安全认证装置的结构示意图，请参考图4，该网络安全认证装置可包括：

获取请求接收模块401，用于接收终端发送的对与所述终端对应的公钥的获取请求；所述获取请求携带有所述终端的第一标识信息；

配置信息发送模块402，用于根据所述获取请求获取预存的与所述第一标识信息对应的配置信息，并将所述配置信息发送至所述终端；所述配置信息包括所述公钥、所述第一标识信息和服务端的第二标识信息；

认证请求接收模块403，用于接收服务端发送的终端认证请求；所述终端认证请求携带有身份识别信息，所述身份识别信息由所述服务端基于预存的私钥对所述终端发送的加密信息进行解密得到，所述加密信息由所述终端基于所述公钥对所述身份识别信息进行加密得到；所述身份识别信息包括所述终端的第一标识信息及所述服务端的第二标识信息；

安全认证模块404，用于根据所述身份识别信息及预设的校验方法进行终端安全认证；

认证信息发送模块405，用于若认证通过，则向所述服务端发送终端认证通过信息。

本发明实施例提供了一种网络安全认证装置，连接管理系统可以应终端的请求发送对应的配置信息至终端，该配置信息包括终端对应的公钥、终端的第一标识信息和服务端的第二标识信息，以及接收服务端发送的终端认证请求，该终端认证请求携带有身份识别信息，该身份识别信息由服务端基于预存的私钥对终端发送的加密信息进行解密得到，该加密信息由终端基于公钥对身份识别信息进行加密得到；然后通过预设的校验方法对上述身份识别信息进行安全认证，若认证通过，则向服务端发送终端认证通过信息。由于终端可以从连接管理系统处获取公钥，服务端可以基于私钥解密终端发送的加密信息，因此提高了数据传输过程中的安全性且可以减小终端的成本负担，；此外，连接管理系统可以对服务端解密得到的身份识别信息进行安全认证，并通知服务端认证通过信息，服务端即可与终端建立连接，从而可以提高安全认证的安全系数。

可选地，作为一个实施例，所述安全认证模块404具体用于：分别校验所述身份识别信息是否与预存的所述配置信息以及提取的信令数据相匹配；所述信令数据包括所述服务端在目标时段内与所述终端的连接记录对应的身份识别信息；若所述身份识别信息与所述配置信息和所述信令数据均匹配，则安全认证通过。

可选地，作为一个实施例，所述安全认证模块404具体用于：根据所述身份识别信息中包含的所述第一标识信息，提取所述服务端在所述目标时段内与所述第一标识信息对应的所述连接记录；若所述身份识别信息与所述连接记录对应的身份识别信息相同，则确定所述身份识别信息与所述信令数据相匹配。

可选地，作为一个实施例，所述第一标识信息包括：所述终端的号码、所述终端的国际移动用户识别码imsi、所述终端的国际移动设备识别码imei、所述终端的网络地址中的至少一项；所述第二标识信息包括所述服务端的网络地址。

可选地，作为一个实施例，所述装置还包括配置信息接收模块，用于：接收并存储所述服务端发送的所述配置信息。

图5是本发明的一个实施例中一种网络安全认证装置的结构示意图，请参考图5，该网络安全认证装置可包括：

连接请求接收模块501，用于接收终端发送的携带有加密信息的连接请求；所述加密信息由所述终端基于所述服务端预先生成的、与所述终端对应的公钥对身份识别信息进行加密得到；所述身份识别信息包括所述终端的第一标识信息及所述服务端的第二标识信息；

解密模块502，用于利用预存的私钥对所述加密信息进行解密；

认证请求发送模块503，用于若解密成功，则向连接管理系统发送终端认证请求；所述终端认证请求携带有所述身份识别信息；

建立连接模块504，用于当接收到所述连接管理系统发送的终端认证通过信息时，建立与所述终端之间的连接。

本发明实施例提供了一种网络安全认证装置，服务端可以接收终端发送的携带有加密信息的连接请求，该加密信息由终端基于服务端预先生成的、与终端对应的公钥对身份识别信息进行加密得到，服务端解密该加密信息后向连接管理系统发送终端认证请求，若接收到终端认证通过信息时，则建立与终端之间的连接。终端通过公钥加密身份识别信息，服务端通过私钥解密终端发送的加密信息，通过非对称加密的方式可以提高数据传输过程中的安全性且可以减小终端的成本负担；服务端可以请求连接管理系统对终端的身份识别信息进行安全认证，可以提高安全认证的安全系数。

可选地，作为一个实施例，所述装置还包括配置模块，用于：基于预设非对称加密算法生成与所述第一标识信息对应的密钥对，存储所述密钥对中的所述私钥；将包含所述密钥对中的所述公钥、所述第一标识信息及所述第二标识信息的配置信息发送至所述连接管理系统进行存储。

本发明实施例提供的网络安全认证装置能够实现图1至图3的方法实施例中终端或服务端实现的各个过程，为避免重复，这里不再赘述。

请参阅图6，图6是本发明实施例应用的网络安全认证设备的结构示意图，能够实现上述实施例中网络安全认证方法的细节，并达到相同的效果。如图6所示，网络安全认证设备600包括：处理器601、收发机602、存储器603、用户接口604和总线接口，其中：

在本发明实施例中，网络安全认证设备600还包括：存储在存储器上603并可在处理器601上运行的计算机程序，计算机程序被处理器601执行时实现如下步骤：接收终端发送的对与所述终端对应的公钥的获取请求；所述获取请求携带有所述终端的第一标识信息；根据所述获取请求获取预存的与所述第一标识信息对应的配置信息，并将所述配置信息发送至所述终端；所述配置信息包括所述公钥、所述第一标识信息和服务端的第二标识信息；接收服务端发送的终端认证请求；所述终端认证请求携带有身份识别信息，所述身份识别信息由所述服务端基于预存的私钥对所述终端发送的加密信息进行解密得到，所述加密信息由所述终端基于所述公钥对所述身份识别信息进行加密得到；所述身份识别信息包括所述终端的第一标识信息及所述服务端的第二标识信息；根据所述身份识别信息及预设的校验方法进行终端安全认证；若认证通过，则向所述服务端发送终端认证通过信息。

计算机程序被处理器601执行时还可以实现如下步骤：接收终端发送的携带有加密信息的连接请求；所述加密信息由所述终端基于所述服务端预先生成的、与所述终端对应的公钥对身份识别信息进行加密得到；所述身份识别信息包括所述终端的第一标识信息及所述服务端的第二标识信息；利用预存的私钥对所述加密信息进行解密；若解密成功，则向连接管理系统发送终端认证请求；所述终端认证请求携带有所述身份识别信息；当接收到所述连接管理系统发送的终端认证通过信息时，建立与所述终端之间的连接。

在图6中，总线架构可以包括任意数量的互联的总线和桥，具体由处理器601代表的一个或多个处理器和存储器603代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供接口。收发机602可以是多个元件，即包括发送机和接收机，提供用于在传输介质上与各种其他装置通信的单元。针对不同的用户设备，用户接口604还可以是能够外接内接需要设备的接口，连接的设备包括但不限于小键盘、显示器、扬声器、麦克风、操纵杆等。

处理器601负责管理总线架构和通常的处理，存储器603可以存储处理器601在执行操作时所使用的数据。

可选的，计算机程序被处理器601执行时还可实现如下步骤：分别校验所述身份识别信息是否与预存的所述配置信息以及提取的信令数据相匹配；所述信令数据包括所述服务端在目标时段内与所述终端的连接记录对应的身份识别信息；若所述身份识别信息与所述配置信息和所述信令数据均匹配，则安全认证通过。

可选的，计算机程序被处理器601执行时还可实现如下步骤：根据所述身份识别信息中包含的所述第一标识信息，提取所述服务端在所述目标时段内与所述第一标识信息对应的所述连接记录；若所述身份识别信息与所述连接记录对应的身份识别信息相同，则确定所述身份识别信息与所述信令数据相匹配。

可选的，所述第一标识信息包括：所述终端的号码、所述终端的国际移动用户识别码imsi、所述终端的国际移动设备识别码imei、所述终端的网络地址中的至少一项；所述第二标识信息包括所述服务端的网络地址。

本发明实施例提供了一种网络安全认证设备，终端可以从连接管理系统处获取公钥，服务端可以基于私钥解密终端发送的加密信息，提高了数据传输过程中的安全性且可以减小终端的成本负担；此外，连接管理系统可以对服务端解密得到的身份识别信息进行安全认证，并通知服务端认证通过信息，服务端即可与终端建立连接，从而可以提高安全认证的安全系数。

可选的，计算机程序被处理器601执行时还可实现如下步骤：接收并存储所述服务端发送的所述配置信息。

可选的，计算机程序被处理器601执行时还可实现如下步骤：基于预设非对称加密算法生成与所述第一标识信息对应的密钥对，存储所述密钥对中的所述私钥；将包含所述密钥对中的所述公钥、所述第一标识信息及所述第二标识信息的配置信息发送至所述连接管理系统进行存储。

本发明实施例提供一种网络安全认证设备，终端通过公钥加密身份识别信息，服务端通过私钥解密终端发送的加密信息，通过非对称加密的方式可以提高数据传输过程中的安全性且可以减小终端的成本负担；服务端可以请求连接管理系统对终端的身份识别信息进行安全认证，可以提高安全认证的安全系数。

优选的，本发明实施例还提供一种网络安全认证设备，包括处理器601，存储器603，存储在存储器603上并可在所述处理器601上运行的计算机程序，该计算机程序被处理器601执行时实现上述网络安全认证方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。

本发明实施例还提供一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，该计算机程序被处理器执行时实现上述网络安全认证方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。其中，所述的计算机可读存储介质，如只读存储器(read-onlymemory，简称rom)、随机存取存储器(randomaccessmemory，简称ram)、磁碟或者光盘等。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法。

上面结合附图对本发明的实施例进行了描述，但是本发明并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本发明的启示下，在不脱离本发明宗旨和权利要求所保护的范围情况下，还可做出很多形式，均属于本发明的保护之内。