為集團客戶提供網際網路信息加密傳輸服務的系統和方法

2023-05-09 20:23:31

專利名稱：為集團客戶提供網際網路信息加密傳輸服務的系統和方法
技術領域：
本發明涉及通信技術領域，特別是為集團客戶提供網際網路信息加密傳輸服務的系統和 方法。
背景技術：
在目前的通信領域，特別是無線寬帶(例如第三代移動通信)的發展，集團的0A辦公或 ERP等系統開始為移動通信網絡中的行動電話終端或網際網路中的可攜式計算機提供接入服 務,缺陷是行動電話終端通過移動通信數據網絡接入集團內部數據網，網際網路中的可攜式 計算機通過網際網路接入集團內部數據網，集團的辦公信息流經了集團外部的數據網絡，因 而集團的辦公信息容易被竊取或盜用。

發明內容
本發明的目的在於提供一種為集團客戶提供網際網路信息加密傳輸服務的系統和方法， 以在網際網路或移動通信數據網絡上為集團提供信息加密傳輸服務。
本發明的系列技術方案如下
一種為集團客戶提供網際網路信息加密傳輸服務的系統，其特徵在於，包括集團用戶管 理伺服器，集團業務接入網關設備，集團成員認證客戶端，集團業務接入應用程式，網絡
終端；其中，所述集團用戶管理伺服器是用於儲存和管理用戶帳戶資料，用於儲存、管理
和置換用戶加密密鑰的計算機資料庫伺服器；所述集團業務接入網關設備是計算機資料庫
伺服器，用於把集團外部數據網絡傳送到集團內部數據網絡的加密信息解密後，傳送到集 團內部數據網絡的目的伺服器，用於把集團內部數據網絡傳送到集團外部數據網絡的信息 加密後，傳送到集團外部數據網絡的目的網絡終端，用於與集團用戶管理伺服器交互，獲
取用戶的傳輸加密密鑰；所述網絡終端是用於通過集團外部網絡訪問集團內部辦公網絡的 計算機設備，包括但不限於行動電話終端、網際網路計算機；所述集團成員認證客戶端是安 裝在所述網絡終端上的計算機客戶端程序，用於與所述集團用戶管理伺服器交互，對用戶 的身份進行鑑權與認證，對用戶的傳輸加密密鑰進行更換；集團業務接入應用程式是安裝 在所述網絡終端上的計算機應用程式，用於對訪問集團內部辦公網絡的用戶請求消息按照所述用戶的傳輸加密密鑰加密後，發送到所述集團業務接入網關設備，用於把所述集團業 務接入網關設備返回的消息按照所述用戶的傳輸加密密鑰解密後，傳送給產生所述請求消 息的程序；所述集團用戶管理伺服器與所述集團業務接入網關設備之間通過數據網絡互連， 所述網絡終端與所述集團用戶管理伺服器之間通過數據網絡互連，所述網絡終端與所述集 團業務接入網關設備之間通過數據網絡互連。
一種通過用戶行動電話號碼更新集團用戶網絡終端的傳輸密鑰的方法，其特徵在於， 包括以下步驟
A. 用戶在網絡終端的集團成員認證客戶端用戶界面的用戶ID輸入框輸入行動電話號碼，並 執行"獲取初始認證碼"按鈕；
B. 所述集團成員認證客戶端發送申請初始接入請求消息給集團用戶管理伺服器；
C. 如果所述行動電話號碼不是集團用戶管理伺服器中的有效用戶號碼，則密鑰更新過程結 束；
D. 所述集團用戶管理伺服器產生初始認證碼信息並發送到所述行動電話號碼；
E. 所述行動電話號碼所屬的行動電話終端接收到所述初始認證碼信息；
F. 用戶在網絡終端的集團成員認證客戶端用戶界面的用戶ID輸入框輸入行動電話號碼,在 初始認證碼輸入框輸入所述初始認證碼，並執行"接入認證"按鈕；
G. 所述集團成員認證客戶端通過所述行動電話號碼和所述初始認證碼生成初始接入密鑰 後，用所述初始接入密鑰加密所述行動電話號碼生成用戶驗證加密信息，發送包括所述 行動電話號碼和所述用戶驗證加密信息內容的密鑰更新請求消息到所述集團用戶管理 伺服器；
H. 所述集團用戶管理伺服器使用所述行動電話號碼和所述初始認證碼生成初始接入密鑰， 並解密所述用戶驗證加密信息，如果解密後的內容與所述行動電話號碼不相同，則返回 認證失敗消息後，密鑰更新過程結束；如果解密後的內容與所述行動電話號碼相同，則 為所述用戶分配一個傳輸加密密鑰後，採用初始接入密鑰加密所述傳輸加密密鑰生成置 換密鑰信息，並把所述置換密鑰信息返回給所述集團成員認證客戶端；
I. 所述集團成員認證客戶端採用所述初始接入密鑰解密所述置換密鑰信息後，獲得所述傳 輸加密密鑰，並把所述傳輸加密密鑰加密存儲在網絡終端中。
所述歩驟H中，進一步包括採用所述用戶所屬的集團業務接入網關設備的傳輸加密密鑰把所述用戶的傳輸加密密鑰和所述用戶的行動電話號碼加密後，通過用戶傳輸密鑰同步 指令傳送到所述集團業務接入網關設備，所述集團業務接入網關設備採用其傳輸加密密鑰 解密出用戶的傳輸加密密鑰加密和用戶的行動電話號碼後，加密存儲所述用戶的傳輸加密密鑰。
一種通過外部存儲密鑰更新集團用戶網絡終端的傳輸密鑰的方法，其特徵在於，包括 以下步驟
a. 用戶在網絡終端的集團成員認證客戶端用戶界面的用戶ID輸入框輸入行動電話號碼，並 執行"獲取初始認證碼"按鈕；
b. 所述集團成員認證客戶端用外部存儲器中的用戶的原始傳輸密鑰加密所述行動電話號 碼生成用戶驗證加密信息，發送包括所述行動電話號碼和所述用戶驗證加密信息內容的 密鑰更新請求消息到所述集團用戶管理伺服器；
c. 所述集團用戶管理伺服器使用所述行動電話號碼用戶的原始傳輸密鑰解密所述用戶驗 證加密信息，如果解密後的內容與所述行動電話號碼不相同，則返回認證失敗消息後， 密鑰更新過程結束；如果解密後的內容與所述行動電話號碼相同，則為所述用戶分配一 個傳輸加密密鑰後，採用原始傳輸密鑰加密所述傳輸加密密鑰生成置換密鑰信息，並把 所述置換密鑰信息返回給所述集團成員認證客戶端；
d. 所述集團成員認證客戶端採用所述用戶的原始傳輸密鑰解密所述置換密鑰信息後，獲得 所述傳輸加密密鑰，並把所述傳輸加密密鑰加密存儲在網絡終端中。
所述的外部存儲器是指USB接口的外部存儲器，包括USB Flash Disk。
一種用戶通過集團業務接入應用程式加密訪問集團內部網絡辦公系統的方法，其特徵 在於，包括以下歩驟
(A) 用戶網絡終端上的集團應用客戶端程序或瀏覽器把到集團的業務請求消息發送到 集團業務接入應用程式；
(B) 集團業務接入應用程式使用所述用戶的傳輸加密密鑰把所述業務請求消息加密成 密文後，與所述用戶的行動電話號碼按照指定的格式組合成混文消息後，把所述混文 消息發送到所述用戶的集團業務接入網關設備；
(C) 如果所述行動電話號碼不是集團用戶管理伺服器中的有效用戶號碼，則集團業務接
8入網關設備返回錯誤之後，流程結束；
(D) 集團業務接入網關設備按照所述混文中的行動電話號碼用戶的傳輸加密密鑰把所 述混文中的密文解密為原始消息，把所述原始消息發送到集團內部的業務服務地址， 並用所述用戶的傳輸加密密鑰把返回的消息加密後，返回給所述集團業務接入應用程 序；
(E) 所述集團業務接入應用程式使用所述用戶的傳輸加密密鑰把返回的消息解密後，傳 送給集團應用客戶端程序或瀏覽器。
所述步驟(A)中的集團業務接入應用程式是指集團應用客戶端程序或瀏覽器上的一個 插件程序。
所述步驟(A)中的集團應用客戶端程序或瀏覽器把到預置的集團網絡地址或域名的業 務請求發送到集團業務接入應用程式，把到其他地址的業務請求消息直接發送到目的地址。
所述步驟(A)中的集團應用客戶端程序或瀏覽器把到所有網絡地址的業務請求都發送 到集團業務接入應用程式，由集團業務接入應用程式把到預置的集團網絡地址的消息加密 後發送到所述集團網絡地址，把到其他網絡地址的消息直接發送到目的地址。
所述步驟(A)中的集團應用客戶端程序或瀏覽器把到所有網絡域名的業務請求都發送 到集團業務接入應用程式，由集團業務接入應用程式把到預置的集團網絡域名的消息加密 後發送到所述集團的網絡地址，把到其他網絡域名的消息經域名解析後，直接發送到目的 網絡地址。
本發明的效果是為集團客戶提供其成員通過集團外部數據網絡訪問集團內部數據網 絡時，對在集團外部數據網絡中傳送的消息進行加密傳輸的系統和方法，從而在網際網路或 移動通信數據網絡上為集團提供在網外安全與保密地訪問集團網內辦公系統的服務。


圖1是本發明在通信網絡上實現個人專用數字報刊的優選系統結構圖。
圖2是本發明為集團客戶提供網際網路信息加密傳輸服務的實施例一的系統結構圖。 圖3是本發明從外網與內網之間信息加密傳輸的邏輯示意圖。 圖4是本發明集團成員認證客戶端的用戶界面的優選示例圖。
具體實施方式
參閱圖l，圖l是為集團客戶提供網際網路信息加密傳輸服務的優選系統結構圖，其中， 集團用戶管理伺服器100與集團業務接入網關設備110之間通過數據網絡130互連，採
用TCP/IP的套接字(Socket)建立邏輯鏈路連接，通過約定格式的消息內容進行通信；
集團用戶管理伺服器100與網絡終端120之間通過數據網絡130互連，採用TCP/IP的
套接字(Socket)建立邏輯鏈路連接，通過約定格式的消息內容進行通信；
網絡終端120與集團業務接入網關設備110之間通過數據網絡130互連，採用TCP/IP
的套接字(Socket)建立邏輯鏈路連接，通過約定格式的消息內容進行通信。
一種為集團客戶提供網際網路信息加密傳輸服務的系統，包括集團用戶管理伺服器100， 集團業務接入網關設備110，集團成員認證客戶端，集團業務接入應用程式，網絡終端120; 其中，集團用戶管理伺服器100是用於儲存和管理用戶帳戶資料，用於儲存、管理和置換 用戶加密密鑰的計算機資料庫伺服器；集團業務接入網關設備110是計算機資料庫伺服器， 用於把集團外部數據網絡傳送到集團內部數據網絡的加密信息解密後，傳送到集團內部數 據網絡的目的伺服器，用於把集團內部數據網絡傳送到集團外部數據網絡的信息加密後， 傳送到集團外部數據網絡的目的網絡終端，用於與集團用戶管理伺服器100交互，獲取用 戶的傳輸加密密鑰；網絡終端120是用於通過集團外部網絡訪問集團內部辦公網絡的計算 機設備，包括但不限於行動電話終端、網際網路計算機，，所述集團成員認證客戶端是安裝在 網絡終端120上的計算機客戶端程序，用於與集團用戶管理伺服器100交互，對用戶的身 份進行鑑權與認證，對用戶的傳輸加密密鑰進行更換；集團業務接入應用程式是安裝在網 絡終端120上的計算機應用程式，用於對訪問集團內部辦公網絡的用戶請求消息按照所述 用戶的傳輸加密密鑰加密後，發送到所述集團業務接入網關設備110，用於把集團業務接入 網關設備110返回的消息按照所述用戶的傳輸加密密鑰解密後，傳送給產生所述請求消息 的程序。
一種通過用戶行動電話號碼更新集團用戶網絡終端的傳輸密鑰的方法，包括以下步驟-
A. 用戶在網絡終端120的集團成員認證客戶端用戶界面的用戶ID輸入框輸入行動電話號 碼，並執行"獲取初始認證碼"按鈕；
B. 集團成員認證客戶端發送申請初始接入請求消息給集團用戶管理伺服器100;
C. 如果所述行動電話號碼不是集團用戶管理伺服器中的有效用戶號碼，則密鑰更新過程結 束；
10D. 集團用戶管理伺服器100產生初始認證碼信息並發送到所述行動電話號碼；
E. 所述行動電話號碼所屬的行動電話終端接收到所述初始認證碼信息；
F. 用戶在網絡終端120的集團成員認證客戶端用戶界面的用戶ID輸入框輸入行動電話號 碼,在初始認證碼輸入框輸入所述初始認證碼，並執行"接入認證"按鈕；
G. 所述集團成員認證客戶端通過所述行動電話號碼和所述初始認證碼生成初始接入密鑰 後，用所述初始接入密鑰加密所述行動電話號碼生成用戶驗證加密信息，發送包括所述 行動電話號碼和所述用戶驗證加密信息內容的密鑰更新請求消息到集團用戶管理服務 器100;
H. 集團用戶管理伺服器100使用所述行動電話號碼和所述初始認證碼生成初始接入密鑰， 並解密所述用戶驗證加密信息，如果解密後的內容與所述行動電話號碼不相同，則返回 認證失敗消息後，密鑰更新過程結束；如果解密後的內容與所述行動電話號碼相同，則 為所述用戶分配一個傳輸加密密鑰後，採用初始接入密鑰加密所述傳輸加密密鑰生成置 換密鑰信息，並把所述置換密鑰信息返回給所述集團成員認證客戶端；
I. 所述集團成員認證客戶端採用所述初始接入密鑰解密所述置換密鑰信息後，獲得所述傳 輸加密密鑰，並把所述傳輸加密密鑰加密存儲在網絡終端120中。
所述步驟H中，進一步包括採用所述用戶所屬的集團業務接入網關設備110的傳輸加 密密鑰把所述用戶的傳輸加密密鑰和所述用戶的行動電話號碼加密後，通過用戶傳輸密鑰 同步指令傳送到集團業務接入網關設備110，集團業務接入網關設備110採用其傳輸加密密 鑰解密出用戶的傳輸加密密鑰加密和用戶的行動電話號碼後，加密存儲所述用戶的傳輸加 密密鑰。
一種通過外部存儲密鑰更新集團用戶網絡終端的傳輸密鑰的方法，包括以下步驟
a. 用戶在網絡終端120的集團成員認證客戶端用戶界面的用戶ID輸入框輸入行動電話號 碼,並執行"獲取初始認證碼"按鈕；
b. 所述集團成員認證客戶端用網絡終端120的外部存儲器中的用戶的原始傳輸密鑰加密所 述行動電話號碼生成用戶驗證加密信息，發送包括所述行動電話號碼和所述用戶驗證加 密信息內容的密鑰更新請求消息到集團用戶管理伺服器100;
c. 集團用戶管理伺服器100使用所述行動電話號碼用戶的原始傳輸密鑰解密所述用戶驗證 加密信息，如果解密後的內容與所述行動電話號碼不相同，則返回認證失敗消息後，密 鑰更新過程結束；如果解密後的內容與所述行動電話號碼相同，則為所述用戶分配一個傳輸加密密鑰後，採用原始傳輸密鑰加密所述傳輸加密密鑰生成置換密鑰信息，並把所 述置換密鑰信息返回給所述集團成員認證客戶端； d.所述集團成員認證客戶端採用所述用戶的原始傳輸密鑰解密所述置換密鑰信息後，獲得 所述傳輸加密密鑰，並把所述傳輸加密密鑰加密存儲在網絡終端120中。
所述的外部存儲器是指USB接口的外部存儲器，包括USB Flash Disk。
一種用戶通過集團業務接入應用程式加密訪問集團內部網絡辦公系統的方法，包括以 下步驟
(A) 用戶網絡終端120上的集團應用客戶端程序或瀏覽器把到集團的業務請求消息發送 到集團業務接入應用程式；
(B) 集團業務接入應用程式使用所述用戶的傳輸加密密鑰把所述業務請求消息加密成 密文後，與所述用戶的行動電話號碼按照指定的格式組合成混文消息後，把所述混文 消息發送到所述用戶的集團業務接入網關設備110;
(c) 如果所述行動電話號碼不是集團用戶管理伺服器中的有效用戶號碼，則集團業務接 入網關設備110返回錯誤之後，流程結束；
(D) 集團業務接入網關設備110按照所述混文中的行動電話號碼用戶的傳輸加密密鑰把
所述混文中的密文解密為原始消息，把所述原始消息發送到集團內部的業務服務地址， 並用所述用戶的傳輸加密密鑰把返回的消息加密後，返回給所述集團業務接入應用程
序110;
(E) 所述集團業務接入應用程式使用所述用戶的傳輸加密密鑰把返回的消息解密後，傳 送給集團應用客戶端程序或瀏覽器。
所述歩驟(A)中的集團業務接入應用程式是指集團應用客戶端程序或瀏覽器上的一個 插件程序。
所述步驟(A)中的集團應用客戶端程序或瀏覽器把到預置的集團網絡地址或域名的業 務請求發送到集團業務接入應用程式，把到其他地址的業務請求消息直接發送到目的地 址。
所述歩驟(A)中的集團應用客戶端程序或瀏覽器把到所有網絡地址的業務請求都發送 到集團業務接入應用程式，由集團業務接入應用程式把到預置的集團網絡地址的消息加
12密後發送到所述集團網絡地址，把到其他網絡地址的消息直接發送到目的地址。
所述步驟(A)中的集團應用客戶端程序或瀏覽器把到所有網絡域名的業務請求都發送 到集團業務接入應用程式，由集團業務接入應用程式把到預置的集團網絡域名的消息加 密後發送到所述集團的網絡地址，把到其他網絡域名的消息經域名解析後，直接發送到 目的網絡地址。
參閱圖2，圖2是為集團客戶提供網際網路信息加密傳輸服務的實施例一的系統結構圖， 其中，
數據網絡130由網際網路數據網絡160實現；
集團用戶管理伺服器100在電信運營商AAA認證資料庫伺服器的基礎上，建立並管理 集團客戶的內部成員的行動電話號碼與傳輸加密密鑰的對應關係資料庫表格，以及建立並 管理集團客戶的帳戶資料庫表格，包括集團編號欄位、域名欄位、公網IP位址欄位、傳輸 加密密鑰欄位；
集團用戶管理伺服器100由計算機資料庫伺服器實現，在所述資料庫中建立並管理集 團客戶資料庫表格，包括集團編號欄位、成員行動電話號碼欄位、成員傳輸加密密鑰欄位； 建立並管理公網IP位址與內網IP位址的對應關係資料庫表格；
網絡終端120包括支持GPRS的行動電話終端、支持CDMA1X的行動電話終端、第三代 移動通信終端、網際網路計算機等能夠訪問網際網路的各種或多種數據終端；
集團用戶管理伺服器100通過網際網路數據網絡160與集團業務接入網關設備110互連， 通過HTTP協議進行通信；
集團用戶管理伺服器100通過網際網路數據網絡160與網絡終端120互連，通過HTTP協 議進行通信；
集團業務接入網關設備110通過網際網路數據網絡160與網絡終端120互連，通過HTTP 協議進行通信；
如圖3所示，集團業務接入應用程式200為網絡終端120上的瀏覽器201插件，網絡 終端120用戶能夠在所述插件上設置所述用戶所述集團業務服務的域名或公網IP位址，瀏 覽器201把到所有網絡域名的業務請求都發送到集團業務接入應用程式200，由集團業務接 入應用程式200把到預置的集團網絡域名的消息加密後發送到所述集團的網絡地址，把到 其他網絡域名的消息經域名解析後，直接發送到目的網絡地址；集團成員認證客戶端202為網絡終端120上的一個客戶端應用程式，所述客戶端的用 戶界面的優選示例如圖4所示。
通過用戶行動電話號碼更新集團用戶網絡終端的傳輸密鑰的方法，包括以下步驟
(一) 用戶在網絡終端120的集團成員認證客戶端202用戶界面的用戶ID輸入框輸入移動電 話號碼，並執行"獲取初始認證碼"按鈕；
(二) 集團成員認證客戶端202發送申請初始接入請求消息給集團用戶管理伺服器100;
(三) 如果所述行動電話號碼不是集團用戶管理伺服器中的有效用戶號碼，則密鑰更新過程 結束；
(四) 集團用戶管理伺服器100產生初始認證碼信息並發送到所述行動電話號碼；
(五) 所述行動電話號碼所屬的行動電話終端接收到所述初始認證碼信息；
(六) 用戶在網絡終端120的集團成員認證客戶端202用戶界面的用戶ID輸入框輸入移動電 話號碼，在初始認證碼輸入框輸入所述初始認證碼，並執行"接入認證"按鈕；
(七) 集團成員認證客戶端202通過所述行動電話號碼和所述初始認證碼生成初始接入密鑰 後，用所述初始接入密鑰加密所述行動電話號碼生成用戶驗證加密信息，發送包括所 述行動電話號碼和所述用戶驗證加密信息內容的密鑰更新請求消息到集團用戶管理服 務器100;
(八) 集團用戶管理伺服器100使用所述行動電話號碼和所述初始認證碼生成初始接入密 鑰，並解密所述用戶驗證加密信息，如果解密後的內容與所述行動電話號碼不相同， 則返回認證失敗消息後，密鑰更新過程結束；如果解密後的內容與所述行動電話號碼 相同，則為所述用戶分配一個傳輸加密密鑰後，採用初始接入密鑰加密所述傳輸加密 密鑰生成置換密鑰信息，並把所述置換密鑰信息返回給集團成員認證客戶端202;
(九) 集團成員認證客戶端202採用所述初始接入密鑰解密所述置換密鑰信息後，獲得所述 傳輸加密密鑰，並把所述傳輸加密密鑰加密存儲在網絡終端120中。
所述步驟H中，集團用戶管理伺服器100採用所述用戶所屬的集團業務接入網關設備 110的傳輸加密密鑰把所述用戶的傳輸加密密鑰和所述用戶的行動電話號碼加密後，通過用 戶傳輸密鑰同步指令傳送到集團業務接入網關設備110，集團業務接入網關設備110採用其 傳輸加密密鑰解密出用戶的傳輸加密密鑰加密和用戶的行動電話號碼後，加密存儲所述用 戶的傳輸加密密鑰。通過外部存儲密鑰更新集團用戶網絡終端的傳輸密鑰的方法，包括以下步驟
(a) 用戶在網絡終端120的集團成員認證客戶端202用戶界面的用戶ID輸入框輸入移 動電話號碼，並執行"獲取初始認證碼"按鈕；
(b) 集團成員認證客戶端202用網絡終端120的外部存儲器中的用戶的原始傳輸密鑰加
密所述行動電話號碼生成用戶驗證加密信息，發送包括所述行動電話號碼和所述用戶 驗證加密信息內容的密鑰更新請求消息到集團用戶管理伺服器100;
(c) 集團用戶管理伺服器100使用所述行動電話號碼用戶的原始傳輸密鑰解密所述用戶 驗證加密信息，如果解密後的內容與所述行動電話號碼不相同，則返回認證失敗消息 後，密鑰更新過程結束；如果解密後的內容與所述行動電話號碼相同，則為所述用戶 分配一個傳輸加密密鑰後，採用原始傳輸密鑰加密所述傳輸加密密鑰生成置換密鑰信 息，並把所述置換密鑰信息返回給集團成員認證客戶端202;
(d) 集團成員認證客戶端202採用所述用戶的原始傳輸密鑰解密所述置換密鑰信息後， 獲得所述傳輸加密密鑰，並把所述傳輸加密密鑰加密存儲在網絡終端120中。
所述的外部存儲器由USB Flash Disk實現。
用戶通過集團業務接入應用程式200加密訪問集團內部網絡辦公系統的方法，包括以 下步驟
1. 用戶網絡終端120上的WEB或WAP瀏覽器201把到集團的業務請求消息發送到集團業務 接入應用程式200;
2. 集團業務接入應用程式200使用所述用戶的傳輸加密密鑰把所述業務請求消息加密成密 文後，與所述用戶的行動電話號碼按照指定的格式組合成混文消息後，把所述混文消息 發送到所述用戶的集團業務接入網關設備110;
3. 如果所述行動電話號碼不是集團用戶管理伺服器中的有效用戶號碼，則集團業務接入網 關設備110返回錯誤之後，流程結束；
4. 集團業務接入網關設備110按照所述混文中的行動電話號碼用戶的傳輸加密密鑰把所述 混文中的密文解密為原始消息，把所述原始消息發送到集團內部的業務服務地址，並用 所述用戶的傳輸加密密鑰把返回的消息加密後，返回給集團業務接入應用程式200;
5. 集團業務接入應用程式200使用所述用戶的傳輸加密密鑰把返回的消息解密後，傳送給
15瀏覽器201。
所述歩驟(A)中的WEB或WAP瀏覽器201把到所有網絡域名的業務請求都發送到集團 業務接入應用程式200，由集團業務接入應用程式200把到預置的集團網絡域名的消息加密 後發送到所述集團的網絡地址，把到其他網絡域名的消息經域名解析後，直接發送到目的 網絡地址。
需要指出的是，網頁瀏覽器201能夠由集成了集團業務接入應用程式200業務功能的 網頁瀏覽器或系統應用程式實現。
需要指出的是，雖然本發明把集團業務接入應用程式200和集團成員認證客戶端202 程序的功能獨立地進行描述，但是它們的功能能夠集成到一個應用程式中實現。
以上所述的實施例子僅是本發明的優選實施方式，應當指出，對於本技術領域的普通 技術人員來說，在不脫離本發明原理的前提下，還可以作出若干改進、組合和潤飾，這些 改進、組合和潤飾也應視為本發明的保護範圍。
權利要求
1.一種為集團客戶提供網際網路信息加密傳輸服務的系統，其特徵在於，包括集團用戶管理伺服器，集團業務接入網關設備，集團成員認證客戶端，集團業務接入應用程式，網絡終端；其中，所述集團用戶管理伺服器是用於儲存和管理用戶帳戶資料，用於儲存、管理和置換用戶加密密鑰的計算機資料庫伺服器；所述集團業務接入網關設備是計算機資料庫伺服器，用於把集團外部數據網絡傳送到集團內部數據網絡的加密信息解密後，傳送到集團內部數據網絡的目的伺服器，用於把集團內部數據網絡傳送到集團外部數據網絡的信息加密後，傳送到集團外部數據網絡的目的網絡終端，用於與集團用戶管理伺服器交互，獲取用戶的傳輸加密密鑰；所述網絡終端是用於通過集團外部網絡訪問集團內部辦公網絡的計算機設備，包括但不限於行動電話終端、網際網路計算機；所述集團成員認證客戶端是安裝在所述網絡終端上的計算機客戶端程序，用於與所述集團用戶管理伺服器交互，對用戶的身份進行鑑權與認證，對用戶的傳輸加密密鑰進行更換；集團業務接入應用程式是安裝在所述網絡終端上的計算機應用程式，用於對訪問集團內部辦公網絡的用戶請求消息按照所述用戶的傳輸加密密鑰加密後，發送到所述集團業務接入網關設備，用於把所述集團業務接入網關設備返回的消息按照所述用戶的傳輸加密密鑰解密後，傳送給產生所述請求消息的程序；所述集團用戶管理伺服器與所述集團業務接入網關設備之間通過數據網絡互連，所述網絡終端與所述集團用戶管理伺服器之間通過數據網絡互連，所述網絡終端與所述集團業務接入網關設備之間通過數據網絡互連。
2. —種通過用戶行動電話號碼更新集團用戶網絡終端的傳輸密鑰的方法，其特徵在於， 包括以下步驟A. 用戶在網絡終端的集團成員認證客戶端用戶界面的用戶ID輸入框輸入行動電話號碼，並 執行"獲取初始認證碼"按鈕；B. 所述集團成員認證客戶端發送申請初始接入請求消息給集團用戶管理伺服器；C. 如果所述行動電話號碼不是集團用戶管理伺服器中的有效用戶號碼，則密鑰更新過程結 束；D. 所述集團用戶管理伺服器產生初始認證碼信息並發送到所述行動電話號碼；E. 所述行動電話號碼所屬的行動電話終端接收到所述初始認證碼信息；F. 用戶在網絡終端的集團成員認證客戶端用戶界面的用戶ID輸入框輸入行動電話號碼，在 初始認證碼輸入框輸入所述初始認證碼，並執行"接入認證"按鈕；G. 所述集團成員認證客戶端通過所述行動電話號碼和所述初始認證碼生成初始接入密鑰 後，用所述初始接入密鑰加密所述行動電話號碼生成用戶驗證加密信息，發送包括所述 行動電話號碼和所述用戶驗證加密信息內容的密鑰更新請求消息到所述集團用戶管理 伺服器；H. 所述集團用戶管理伺服器使用所述行動電話號碼和所述初始認證碼生成初始接入密鑰， 並解密所述用戶驗證加密信息，如果解密後的內容與所述行動電話號碼不相同，則返回 認證失敗消息後，密鑰更新過程結束；如果解密後的內容與所述行動電話號碼相同，則 為所述用戶分配一個傳輸加密密鑰後，釆用初始接入密鑰加密所述傳輸加密密鑰生成置 換密鑰信息，並把所述置換密鑰信息返回給所述集團成員認證客戶端；I. 所述集團成員認證客戶端採用所述初始接入密鑰解密所述置換密鑰信息後，獲得所述傳 輸加密密鑰，並把所述傳輸加密密鑰加密存儲在網絡終端中。
3. 根據權利要求2所述的通過用戶行動電話號碼更新集團用戶網絡終端的傳輸密鑰的 方法，其特徵在於，所述步驟H中，進一步包括採用所述用戶所屬的集團業務接入網關設 備的傳輸加密密鑰把所述用戶的傳輸加密密鑰和所述用戶的行動電話號碼加密後，通過用 戶傳輸密鑰同步指令傳送到所述集團業務接入網關設備，所述集團業務接入網關設備採用 其傳輸加密密鑰解密出用戶的傳輸加密密鑰加密和用戶的行動電話號碼後，加密存儲所述 用戶的傳輸加密密鑰。
4. 一種通過外部存儲密鑰更新集團用戶網絡終端的傳輸密鑰的方法，其特徵在於，包 括以下步驟a. 用戶在網絡終端的集團成員認證客戶端用戶界面的用戶ID輸入框輸入行動電話號碼，並 執行"獲取初始認證碼"按鈕；b. 所述集團成員認證客戶端用外部存儲器中的用戶的原始傳輸密鑰加密所述行動電話號 碼生成用戶驗證加密信息，發送包括所述行動電話號碼和所述用戶驗證加密信息內容的 密鑰更新請求消息到所述集團用戶管理伺服器；c. 所述集團用戶管理伺服器使用所述行動電話號碼用戶的原始傳輸密鑰解密所述用戶驗 證加密信息，如果解密後的內容與所述行動電話號碼不相同，則返回認證失敗消息後， 密鑰更新過程結束；如果解密後的內容與所述行動電話號碼相同，則為所述用戶分配一 個傳輸加密密鑰後，採用原始傳輸密鑰加密所述傳輸加密密鑰生成置換密鑰信息，並把 所述置換密鑰信息返回給所述集團成員認證客戶端；d.所述集團成員認證客戶端採用所述用戶的原始傳輸密鑰解密所述置換密鑰信息後，獲得 所述傳輸加密密鑰，並把所述傳輸加密密鑰加密存儲在網絡終端中。
5. 根據權利要求4所述的通過外部存儲密鑰更新集團用戶網絡終端的傳輸密鑰的方法， 其特徵在於，所述的外部存儲器是指USB接口的外部存儲器，包括USB Flash Disk。
6. —種用戶通過集團業務接入應用程式加密訪問集團內部網絡辦公系統的方法，其特 徵在於，包括以下步驟-(A) 用戶網絡終端上的集團應用客戶端程序或瀏覽器把到集團的業務請求消息發送到 集團業務接入應用程式；(B) 集團業務接入應用程式使用所述用戶的傳輸加密密鑰把所述業務請求消息加密成 密文後，與所述用戶的行動電話號碼按照指定的格式組合成混文消息後，把所述混文 消息發送到所述用戶的集團業務接入網關設備；(C) 如果所述行動電話號碼不是集團用戶管理伺服器中的有效用戶號碼，則集團業務接 入網關設備返回錯誤之後,流程結束；(D) 集團業務接入網關設備按照所述混文中的行動電話號碼用戶的傳輸加密密鑰把所 述混文中的密文解密為原始消息，把所述原始消息發送到集團內部的業務服務地址， 並用所述用戶的傳輸加密密鑰把返回的消息加密後，返回給所述集團業務接入應用程 序；(E) 所述集團業務接入應用程式使用所述用戶的傳輸加密密鑰把返回的消息解密後，傳 送給集團應用客戶端程序或瀏覽器。
7. 根據權利要求6所述的用戶通過集團業務接入應用程式加密訪問集團內部網絡辦公 系統的方法，其特徵在於，所述步驟(A)中的集團業務接入應用程式是指集團應用客戶端 程序或瀏覽器上的 一個插件程序。
8. 根據權利要求6所述的用戶通過集團業務接入應用程式加密訪問集團內部網絡辦公 系統的方法，其特徵在於，所述步驟(A)中的集團應用客戶端程序或瀏覽器把到預置的集 團網絡地址或域名的業務請求發送到集團業務接入應用程式，把到其他地址的業務請求消 息直接發送到目的地址。
9. 根據權利要求6所述的用戶通過集團業務接入應用程式加密訪問集團內部網絡辦公 系統的方法，其特徵在於，所述步驟(A)中的集團應用客戶端程序或瀏覽器把到所有網絡 地址的業務請求都發送到集團業務接入應用程式，由集團業務接入應用程式把到預置的集團網絡地址的消息加密後發送到所述集團網絡地址，把到其他網絡地址的消息直接發送到 目的地址。
10.根據權利要求6所述的用戶通過集團業務接入應用程式加密訪問集團內部網絡辦公 系統的方法，其特徵在於，所述步驟(A)中的集團應用客戶端程序或瀏覽器把到所有網絡 域名的業務請求都發送到集團業務接入應用程式，由集團業務接入應用程式把到預置的集 團網絡域名的消息加密後發送到所述集團的網絡地址，把到其他網絡域名的消息經域名解 析後，直接發送到目的網絡地址。
全文摘要
一種為集團客戶提供網際網路信息加密傳輸服務的系統和方法，為集團客戶提供其成員通過集團外部數據網絡訪問集團內部數據網絡時，對在集團外部數據網絡中傳送的消息進行加密傳輸的系統和方法，從而在網際網路或移動通信數據網絡上為集團提供在網外安全與保密地訪問集團網內辦公系統的服務。
文檔編號H04L9/08GK101588575SQ20091008322
公開日2009年11月25日 申請日期2009年4月29日 優先權日2009年4月29日
發明者候萬春, 桐 張 申請人:候萬春