本发明专利技术属于保密通信技术领域,公开了一种保密通信安全终端装置、方法、介质及设备,装置包括:监控服务器、业务服务器、加密认证网关、安全终端、排队机、交费机、查询机。本发明专利技术提供的物联网安全装置和方法对用户现有网络拓扑结构没有任何影响,在满足基本安全性的基础上,又满足了连续性和即时性的要求。双向认证机制保证自助终端和中心端的任何交互的真实性,该装置部署完成后,通过网关端可查看终端设备的各种详细参数,包括位置信息、温度值、湿度值、数据加密状态等。
【技术实现步骤摘要】
本专利技术属于保密通信,尤其涉及一种保密通信安全终端装置、方法、介质及设备。
技术介绍
1、目前,自助办理业务模式成为一种趋势,各种自助终端应用越来越广泛,比如自助缴费终端、自助查询机等,各类服务类终端提供了越来越方便、快捷、人性化的服务,比如各种电信营业厅、电力营业厅等投运的各种服务类终端数量越来越多,同时涌现各式各样的网络终端设备。
2、为了保证终端设备传输数据的安全性,目前常见的方案就是部署vpn设备,但vpn本身配置的复杂性和对环境要求的特殊性,导致部署起来比较耗费资源,随着终端数量的增多,稳定性也无法满足实时的数据传输要求,后续维护成本也比较大。
3、虽然vpn能满足对自助终端的加密需求,但如此会大大增加资金的消耗,且在多数情况下会改变用户的网络拓扑结构。虽然解决了现有部分问题,但其对用户整个网络结构的影响比较大,部署起来也很复杂,另外vpn只能解决数据加密,无法对智能终端的身份做认证。
4、通过上述分析,现有技术存在的问题及缺陷为:
5、(1)vpn能满足对自助终端的加密需求,但会大大增加资金的消耗;
6、(2)vpn在多数情况下会改变用户的网络拓扑结构;
7、(3)vpn对用户整个网络结构的影响大,部署起来复杂;
8、(4)vpn只能解决数据加密,无法对智能终端的身份做认证。
技术实现思路
1、针对现有技术存在的问题,本专利技术提供了一种保密通信安全终端装置、方法、介质及设备。
2、本专利技术是这样实现的,一种基于国密算法的保密通信安全终端装置,所述基于国密算法的保密通信安全终端装置包括:
3、监控服务器,与加密认证网关连接,用于监控安全终端状态;
4、业务服务器,与加密认证网关连接,用于业务办理;
5、加密认证网关,与监控服务器、业务服务器和安全终端连接,用于数据的加密认证;
6、安全终端,与排队机、交费机、查询机和加密认证网关连接,安全终端是保密通信安全终端,支持位置、温度、湿度的探测模块功能,用于将各机器的数据传输给加密认证网关;
7、排队机,与安全终端连接,用于自助排队;
8、交费机,与安全终端连接,用于自助交费;
9、查询机,与安全终端连接,用于自助查询。
10、进一步,安全终端直接串联在自助终端和交换机之间,无需对安全终端做特殊配置,即插即用。
11、本专利技术的另一目的在于提供基于国密算法的保密通信安全终端装置的基于国密算法的物联网安全加密方法,其特征在于,所述基于国密算法的物联网安全加密方法包括以下步骤:
12、s101,安全终端第一次上线时主动到加密认证网关申请sm2证书;
13、s102,安全终端和加密认证网关通过sm2证书进行身份认证;
14、s103,认证成功后,安全终端获取数据加密密钥sk,sk由加密认证网关一个根密钥通过对安全终端的id信息、安全终端的mac地址、自助终端mac地址散列生成,所以每个安全终端的sk都不一样,sk使用加密认证网关私钥加密保护;
15、s104,安全终端使用公钥解密加密密钥sk;
16、s105,安全终端对传输数据使用sk进行数据加密传输,密码算法使用国密sm4;
17、s106,安全终端定期将gps信息、温度信息、湿度信息加密后传送到加密认证网关,加密认证网关将这些数据发送给监控服务器用来监控安全终端状态。
18、进一步,在s101中,申请sm2证书流程如下:
19、s201,安全终端生成基于sm2算法的证书私钥;
20、s202,安全终端生成证书请求文件,并发送给加密认证网关;
21、s203,加密认证网关使用预置的ca证书对安全终端签发证书;
22、s204,加密认证网关将签发的证书发送给安全终端;
23、s205,完成证书申请。
24、进一步,在s102中,加密认证网关对安全终端进行身份认证,认证成功后将安全终端信息加入监控列表,认证过程如下:
25、s301,安全终端读取自己的id、mac和自助终端mac;
26、s302,安全终端构造数据buf,将以上数据通过自己的私钥做数据签名后发送给加密认证网关;
27、s303,加密认证网关使用安全终端证书对数据进行验签,如果验签失败,则丢弃报文,如果验签成功,则将安全终端的mac、id、ip信息添加到监控列表,后续会根据这些信息散列数据加密密钥;
28、s304,认证成功后,加密认证网关下发公钥和配置给安全终端,公钥用于安全终端解密sk,配置为安全终端的加密策略配置;
29、s305,认证结束。
30、进一步,在s103中,不同安全终端的加密密钥都是通过加密认证网关的根密钥和安全终端的mac、id、自助终端mac散列生成,所以不同安全终端密钥也不同,加密密钥sk散列过程如下:
31、s401,使用加密认证网关根密钥sm4算法对安全终端mac+自助终端mac加密,获得一级密钥左半边部分;
32、s402,使用加密认证网关根密钥sm4算法对安全终端mac+自助终端mac的值取反加密,获得一级密钥右半边部分;
33、s403,一级密钥左半部分和右半部分进行异或运算,获得一级加密密钥;
34、s404,使用一级加密密钥sm4算法对安全终端id加密,获得数据密钥左半边部分;
35、s405,使用一级加密密钥sm4算法对安全终端id值取反加密,获得数据密钥右半边部分;
36、s406,使用数据密钥左右半部分异或运算,获得最终数据加密密钥sk;
37、s407,sk通过加密认证网关的私钥加密后,发送给安全终端,安全终端使用公钥解密后获得数据加密密钥。
38、进一步,在s103中,加密流程如下:
39、s501,根据数据包的目的地址查找加密策略,加密策略是由加密认证网关统一下发的;
40、s502,如果查找成功,则对数据包载荷部分使用sm4算法密钥sk加密,在加密数据头部增加16自己密钥索引值,如果查找失败,则直接丢弃数据包;
41、s503,保持数据包头不变并重新计算数据包的ip头、tcp/udp头校验和;
42、s504,发送数据包;
43、在s502中,数据包封装装格式如下:
44、原数据格式:
45、
原ip头
原tcp/udp头
原始载荷数据
本文档来自技高网
...
【技术保护点】
1.一种基于国密算法的保密通信安全终端装置,其特征在于,包括:
2.如权利要求1所述基于国密算法的保密通信安全终端装置,其特征在于,安全终端直接串联在自助终端和交换机之间,无需对安全终端做特殊配置,即插即用。
3.一种实施如权利要求1-2任意一项所述基于国密算法的保密通信安全终端装置的基于国密算法的物联网安全加密方法,其特征在于,所述基于国密算法的物联网安全加密方法包括以下步骤:
4.如权利要求3所述基于国密算法的物联网安全加密方法,其特征在于,在S101中,申请SM2证书流程如下:
5.如权利要求3所述基于国密算法的物联网安全加密方法,其特征在于,在S102中,加密认证网关对安全终端进行身份认证,认证成功后将安全终端信息加入监控列表,认证过程如下:
6.如权利要求3所述基于国密算法的物联网安全加密方法,其特征在于,在S103中,不同安全终端的加密密钥都是通过加密认证网关的根密钥和安全终端的MAC、ID、自助终端MAC散列生成,所以不同安全终端密钥也不同,加密密钥SK散列过程如下:
7.如权利要求3所述基于国密算法的物联网安全加密方法,其特征在于,在S103中,加密流程如下:
8.如权利要求3所述基于国密算法的物联网安全加密方法,其特征在于,在S104中,解密流程如下:
9.一种计算机设备,其特征在于,所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行如权利要求3-8任意一项所述基于国密算法的物联网安全加密方法的步骤。
10.一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行如权利要求3-8任意一项所述基于国密算法的物联网安全加密方法的步骤。
...
【技术特征摘要】
1.一种基于国密算法的保密通信安全终端装置,其特征在于,包括:
2.如权利要求1所述基于国密算法的保密通信安全终端装置,其特征在于,安全终端直接串联在自助终端和交换机之间,无需对安全终端做特殊配置,即插即用。
3.一种实施如权利要求1-2任意一项所述基于国密算法的保密通信安全终端装置的基于国密算法的物联网安全加密方法,其特征在于,所述基于国密算法的物联网安全加密方法包括以下步骤:
4.如权利要求3所述基于国密算法的物联网安全加密方法,其特征在于,在s101中,申请sm2证书流程如下:
5.如权利要求3所述基于国密算法的物联网安全加密方法,其特征在于,在s102中,加密认证网关对安全终端进行身份认证,认证成功后将安全终端信息加入监控列表,认证过程如下:
6.如权利要求3所述基于国密算法的物联网安全加密方法,其特征在于,在...
【专利技术属性】
技术研发人员:赵军安,江立军,张中华,张伟,刘晓菡,金明林,
申请(专利权)人:济南慧天云海信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。