【技术实现步骤摘要】
一种移动终端的安全接入系统及方法
本专利技术涉及信息安全领域,具体涉及一种移动终端的安全接入系统及方法。
技术介绍
传统上,终端安全接入主要基于VPN技术实现,分为SSL-VPN和IPSEC-VPN两种。其中IPSEC-VPN需要在终端侧和接入网络侧分别部署VPN网关,因此通常只适用于构建网络之间的安全连接通道。SSL-VPN只需在接入网络侧部署VPN网关,终端侧部署拨号软件,通常适用于大量分布式终端接入核心网络。随着“互联网+”、物联网技术的发展,电力工控系统中各类异构终端大量涌现,接入需求骤增,对电力核心网络的安全威胁增强。基于传统的VPN技术在解决上述安全接入问题时面临许多问题。首先是IPSEC-VPN技术不适用。“互联网+”、物联网应用的主要特征是终端异构,海量终端广域离散分布在非可控环境,且移动终端常常位置不固定,这些特征导致在终端侧部署网关成为不可能。其次是SSL-VPN对无连接的“互联网+”、物联网应用类型带来限制。SSL-VPN技术构建通道时与传输层协议TCP连接形成了绑定关系,一个终端接入必须绑定一个TCP连接,这导致SSL-VPN无法支持基于UDP的无连接短报文通信模式。而电力工控系统中各种电力工控终端与控制中心之间的通信协议大量采用UDP为基础,这是因为电力工控网络终端数量庞大,而且通信延迟要求低,使用TCP协议会造成不可承受的协议开销。上述基于UDP无连接通信模式的电力工控终端,无法采用SSL-VPN实现安全接入。再次是SSL-VPN对于有连接“互联网+”、物联 ...
【技术保护点】
1.一种移动终端的安全接入系统,其特征在于,包括:移动终端、安全接入网关、CA服务系统和业务系统;/n所述移动终端,用于存储密钥并基于预先定义的应用层通信协议为与业务系统交互的数据提供加/解密服务;/n所述安全接入网关,用于为CA服务系统提供独立通道,还用于与移动终端进行密钥协商;/n所述CA服务系统,用于基于安全接入网关提供的独立通道为移动终端提供安全证书服务;/n所述业务系统:基于预先定义的应用层通信协议实现与移动终端的双向数据交互。/n
【技术特征摘要】
1.一种移动终端的安全接入系统,其特征在于,包括:移动终端、安全接入网关、CA服务系统和业务系统;
所述移动终端,用于存储密钥并基于预先定义的应用层通信协议为与业务系统交互的数据提供加/解密服务;
所述安全接入网关,用于为CA服务系统提供独立通道,还用于与移动终端进行密钥协商;
所述CA服务系统,用于基于安全接入网关提供的独立通道为移动终端提供安全证书服务;
所述业务系统:基于预先定义的应用层通信协议实现与移动终端的双向数据交互。
2.如权利要求1所述的系统,其特征在于,所述应用层通信协议的格式为<S,L,CID,SID,R,DATA,F,E>,其中S为帧起始字符,L为报文长度,CID为客户端身份标识,SID为业务标识,R为保留字段,DATA为数据负载,F为帧校验和,E为帧结束字符。
3.如权利要求1所述的系统,其特征在于,所述移动终端包括移动终端SDK和移动终端APP;
所述移动终端SDK用于对秘钥进行安全存储,以及基于预先定义的应用层通信协议为所述移动终端APP与业务系统之间交互的数据提供加/解密服务。
4.如权利要求3所述的系统,其特征在于,所述移动终端SDK,包括:
安全容器、证书申请、密钥协商和SDK接口;
所述安全容器,用于当移动终端SDK中不存在公钥时,为移动终端生成并存储公钥和私钥;
所述证书申请,用于基于所述移动终端的公钥、设备号和用户身份信息生成证书请求,并基于所述证书请求从CA服务系统中获得安全证书;
所述密钥协商,用于基于证书和公钥与安全接入网关进行双向身份认证;
所述SDK接口,用于向所述移动终端APP提供读写服务。
5.如权利要求4所述的系统,其特征在于,所述安全容器包括:
密钥存储子模块,用于当没有硬件条件支持时,开辟存储空间进行密钥存储;还用于当安全容器中不存在密钥时,产生密钥,并以用户身份信息作为种子密钥存储新产生的密钥;以及当安全容器中存在密钥时,以用户身份信息来激活密钥;
加密算法子模块,用于为加密服务提供国密算法;
算法接口子模块,用于提供密钥导入接口、私钥生成接口、公钥导出接口、私钥签名接口和公钥加密接口。
6.如权利要求1所述的系统,其特征在于,所述安全接入网关包括:通信前置服务组件、接入网关和通信后置服务组件;所述通信前置服务组件设置在移动终端和接入网关之间,所述通信后置服务组件设置在接入网关和业务系统之间;
所述通信前置服务组件,用于将海量移动终端的接入请求进行汇聚并转发给接入网关;
所述接入网关,用于将上行数据解密后转发给通信后置服务组件,上行数据加密后转发给通信前置服务组件;
所述通信后置服务组件,用于为接入网关的数据提供落地服务,将业务数据转交给业务系统。
7.如权利要求6所述的系统,其特征在于,所述通信前置服务组件,具体用于当海量移动终端接入到接入网关时,通信前置服务组件接入海量移动终端的socket链路,通过CID构建链路会话,将海量移动终端的Socket请求汇聚成少量的Socket请求转发给接入网关。
8.如权利要求6所述的系统,其特征在于,所述通信后置服务组件,具体用于通过Socket与接入网关建立连接,通过业务...
【专利技术属性】
技术研发人员:汪晨,周诚,马媛媛,邵志鹏,李伟伟,管小娟,华晔,戴造建,陈牧,
申请(专利权)人:全球能源互联网研究院有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。