一种移动终端的安全接入系统及方法技术方案

本发明专利技术提供了一种移动终端的安全接入系统及方法，所述系统，包括：移动终端、安全接入网关、CA服务系统和业务系统；所述移动终端，用于存储密钥并基于预先定义的应用层通信协议为与业务系统交互的数据提供加/解密服务；所述安全接入网关，用于为CA服务系统提供独立通道，还用于与移动终端进行密钥协商；所述CA服务系统，用于基于安全接入网关提供的独立通道为移动终端提供安全证书服务；所述业务系统：基于预先定义的应用层通信协议实现与移动终端的双向数据交互。本发明专利技术提供的技术方案解决了移动终端安全接入业务系统的问题。

A secure access system and method for mobile terminals

【技术实现步骤摘要】
一种移动终端的安全接入系统及方法
本专利技术涉及信息安全领域，具体涉及一种移动终端的安全接入系统及方法。
技术介绍
传统上，终端安全接入主要基于VPN技术实现，分为SSL-VPN和IPSEC-VPN两种。其中IPSEC-VPN需要在终端侧和接入网络侧分别部署VPN网关，因此通常只适用于构建网络之间的安全连接通道。SSL-VPN只需在接入网络侧部署VPN网关，终端侧部署拨号软件，通常适用于大量分布式终端接入核心网络。随着“互联网+”、物联网技术的发展，电力工控系统中各类异构终端大量涌现，接入需求骤增，对电力核心网络的安全威胁增强。基于传统的VPN技术在解决上述安全接入问题时面临许多问题。首先是IPSEC-VPN技术不适用。“互联网+”、物联网应用的主要特征是终端异构，海量终端广域离散分布在非可控环境，且移动终端常常位置不固定，这些特征导致在终端侧部署网关成为不可能。其次是SSL-VPN对无连接的“互联网+”、物联网应用类型带来限制。SSL-VPN技术构建通道时与传输层协议TCP连接形成了绑定关系，一个终端接入必须绑定一个TCP连接，这导致SSL-VPN无法支持基于UDP的无连接短报文通信模式。而电力工控系统中各种电力工控终端与控制中心之间的通信协议大量采用UDP为基础，这是因为电力工控网络终端数量庞大，而且通信延迟要求低，使用TCP协议会造成不可承受的协议开销。上述基于UDP无连接通信模式的电力工控终端，无法采用SSL-VPN实现安全接入。再次是SSL-VPN对于有连接“互联网+”、物联网应用存在比较严重的性能问题，原因有两方面：一是SSL-VPN要求接入终端与TCP连接一一绑定，在解决海量终端安全接入问题时，这意味着网关需要维持与在线终端数量相当的TCP连接，且这些连接均是SSL加密连接，由于终端普遍与主站间存在心跳机制，此时海量加密心跳报文对网关造成沉重负担，使得SSL-VPN的终端接入性能受到很大限制；二是SSL-VPN的密钥协商机制进一步放大了上述问题。由于SSL-VPN在连接建立时基于非对称密钥算法实现密钥协商，该过程运算极为复杂，一旦连接断开重建将使得上述密钥协商需重复进行，造成终端在接入SSL-VPN网络时被迫采用长连接机制，以避免反复上下线建立连接时网关无法支撑，但“互联网+”、物联网应用的典型特征是终端数量极为庞大，往往达到数亿甚至数十亿，而单个终端通信频率和通信数据量很低，这些特征意味着上述应用应采用短连接机制实现安全接入，如果采用长连接机制将导致网关需要维持的连接数增长数百倍甚至上千倍，这意味着巨大的投资浪费。综上所述，急需解决移动终端安全接入业务系统的问题。
技术实现思路
为了解决现有技术中所存在的上述不足，本专利技术提供了一种移动终端的安全接入方法，通过设计安全密钥容器确保移动终端的密钥存储安全，定义一种应用层协议，采用国密算法，在移动终端与安全接入网关之间进行会话密钥协商，为业务系统提供安全访问通道。本专利技术提供的一种移动终端的安全接入系统，包括：移动终端、安全接入网关、CA服务系统和业务系统；所述移动终端，用于存储密钥并基于预先定义的应用层通信协议为与业务系统交互的数据提供加/解密服务；所述安全接入网关，用于为CA服务系统提供独立通道，还用于与移动终端进行密钥协商；所述CA服务系统，用于基于安全接入网关提供的独立通道为移动终端提供安全证书服务；所述业务系统：基于预先定义的应用层通信协议实现与移动终端的双向数据交互。优选的，所述应用层通信协议的格式为<S,L,CID,SID,R,DATA,F,E>，其中S为帧起始字符，L为报文长度，CID为客户端身份标识，SID为业务标识，R为保留字段，DATA为数据负载，F为帧校验和，E为帧结束字符。优选的，所述移动终端包括移动终端SDK和移动终端APP；所述移动终端SDK用于对秘钥进行安全存储，以及基于预先定义的应用层通信协议为所述移动终端APP与业务系统之间交互的数据提供加/解密服务。优选的，所述移动终端SDK，包括：安全容器、证书申请、密钥协商和SDK接口；所述安全容器，用于当移动终端SDK中不存在公钥时，为移动终端生成并存储公钥和私钥；所述证书申请，用于基于所述移动终端的公钥、设备号和用户身份信息生成证书请求，并基于所述证书请求从CA服务系统中获得安全证书；所述密钥协商，用于基于证书和公钥与安全接入网关进行双向身份认证；所述SDK接口，用于向所述移动终端APP提供读写服务。优选的，所述安全容器包括：密钥存储子模块，密钥存储子模块，用于当没有硬件条件支持时，开辟存储空间进行密钥存储；还用于当安全容器中不存在密钥时，产生密钥，并以用户身份信息作为种子密钥存储新产生的密钥；以及当安全容器中存在密钥时，以用户身份信息来激活密钥；加密算法子模块，用于为加密服务提供国密算法；算法接口子模块，用于提供密钥导入接口、私钥生成接口、公钥导出接口、私钥签名接口和公钥加密接口。优选的，所述安全接入网关包括：通信前置服务组件、接入网关和通信后置服务组件；所述通信前置服务组件设置在移动终端和接入网关之间，所述通信后置服务组件设置在接入网关和业务系统之间；所述通信前置服务组件，用于将海量移动终端的接入请求进行汇聚并转发给接入网关；所述接入网关，用于将上行数据解密后转发给通信后置服务组件，上行数据加密后转发给通信前置服务组件；所述通信后置服务组件，用于为接入网关的数据提供落地服务，将业务数据转交给业务系统。优选的，所述通信前置服务组件，具体用于当海量移动终端接入到接入网关时，通信前置服务组件接入海量移动终端的socket链路，通过CID构建链路会话，将海量移动终端的Socket请求汇聚成少量的Socket请求转发给接入网关；优选的，所述通信后置服务组件，具体用于通过Socket与接入网关建立连接，通过业务标识SID，分发数据至各业务系统。优选的，所述移动终端为电力移动终端。基于同一专利技术构思，本专利技术还提供了一种移动终端的安全接入方法，包括：通过独立通道从CA服务系统中获取安全证书；基于预先定义的应用层协议为移动终端与业务系统之间交互的数据提供加/解密服务；基于移动终端中存储的密钥和所述安全证书与安全接入网关之间进行密钥协商，实现移动终端与业务系统之间的数据交互。优选的，所述通过独立通道从CA服务系统中获取安全证书，包括：将移动终端的设备信息和申请人身份信息离线提交给CA服务系统；所述CA服务系统审核通过后，返回请求方；移动终端检查安全容器中是否存在公钥，当不存在时，则在安全容器中生成公私钥，并导出公钥；基于公钥、设备号和用户身份信息生成证书请求；移动终端通过业务SID指向CA服务系统，经过所述独立通道将证书请求提交给CA服务器；CA服务系统依据离线提交的设备信息和申请本文档来自技高网...

【技术保护点】
1.一种移动终端的安全接入系统，其特征在于，包括：移动终端、安全接入网关、CA服务系统和业务系统；/n所述移动终端，用于存储密钥并基于预先定义的应用层通信协议为与业务系统交互的数据提供加/解密服务；/n所述安全接入网关，用于为CA服务系统提供独立通道，还用于与移动终端进行密钥协商；/n所述CA服务系统，用于基于安全接入网关提供的独立通道为移动终端提供安全证书服务；/n所述业务系统：基于预先定义的应用层通信协议实现与移动终端的双向数据交互。/n

【技术特征摘要】
1.一种移动终端的安全接入系统，其特征在于，包括：移动终端、安全接入网关、CA服务系统和业务系统；
所述移动终端，用于存储密钥并基于预先定义的应用层通信协议为与业务系统交互的数据提供加/解密服务；
所述安全接入网关，用于为CA服务系统提供独立通道，还用于与移动终端进行密钥协商；
所述CA服务系统，用于基于安全接入网关提供的独立通道为移动终端提供安全证书服务；
所述业务系统：基于预先定义的应用层通信协议实现与移动终端的双向数据交互。


2.如权利要求1所述的系统，其特征在于，所述应用层通信协议的格式为<S,L,CID,SID,R,DATA,F,E>，其中S为帧起始字符，L为报文长度，CID为客户端身份标识，SID为业务标识，R为保留字段，DATA为数据负载，F为帧校验和，E为帧结束字符。


3.如权利要求1所述的系统，其特征在于，所述移动终端包括移动终端SDK和移动终端APP；
所述移动终端SDK用于对秘钥进行安全存储，以及基于预先定义的应用层通信协议为所述移动终端APP与业务系统之间交互的数据提供加/解密服务。


4.如权利要求3所述的系统，其特征在于，所述移动终端SDK，包括：
安全容器、证书申请、密钥协商和SDK接口；
所述安全容器，用于当移动终端SDK中不存在公钥时，为移动终端生成并存储公钥和私钥；
所述证书申请，用于基于所述移动终端的公钥、设备号和用户身份信息生成证书请求，并基于所述证书请求从CA服务系统中获得安全证书；
所述密钥协商，用于基于证书和公钥与安全接入网关进行双向身份认证；
所述SDK接口，用于向所述移动终端APP提供读写服务。


5.如权利要求4所述的系统，其特征在于，所述安全容器包括：
密钥存储子模块，用于当没有硬件条件支持时，开辟存储空间进行密钥存储；还用于当安全容器中不存在密钥时，产生密钥，并以用户身份信息作为种子密钥存储新产生的密钥；以及当安全容器中存在密钥时，以用户身份信息来激活密钥；
加密算法子模块，用于为加密服务提供国密算法；
算法接口子模块，用于提供密钥导入接口、私钥生成接口、公钥导出接口、私钥签名接口和公钥加密接口。


6.如权利要求1所述的系统，其特征在于，所述安全接入网关包括：通信前置服务组件、接入网关和通信后置服务组件；所述通信前置服务组件设置在移动终端和接入网关之间，所述通信后置服务组件设置在接入网关和业务系统之间；
所述通信前置服务组件，用于将海量移动终端的接入请求进行汇聚并转发给接入网关；
所述接入网关，用于将上行数据解密后转发给通信后置服务组件，上行数据加密后转发给通信前置服务组件；
所述通信后置服务组件，用于为接入网关的数据提供落地服务，将业务数据转交给业务系统。


7.如权利要求6所述的系统，其特征在于，所述通信前置服务组件，具体用于当海量移动终端接入到接入网关时，通信前置服务组件接入海量移动终端的socket链路，通过CID构建链路会话，将海量移动终端的Socket请求汇聚成少量的Socket请求转发给接入网关。


8.如权利要求6所述的系统，其特征在于，所述通信后置服务组件，具体用于通过Socket与接入网关建立连接，通过业务...

【专利技术属性】
技术研发人员：汪晨，周诚，马媛媛，邵志鹏，李伟伟，管小娟，华晔，戴造建，陈牧，
申请(专利权)人：全球能源互联网研究院有限公司，
类型：发明
国别省市：北京;11