[发明专利]一种终端安全接入方法、装置及系统

说明书

本发明公开了一种终端安全接入方法、装置及系统，该终端安全接入方法包括：接收终端发出的身份认证与密钥协商请求报文；判断与终端之间是否存在接入协议；当判断与终端之间不存在接入协议时，根据身份认证与密钥协商请求报文向终端发出获取终端基本信息报文；获取终端根据获取终端基本信息报文反馈的终端基本信息报文；根据终端基本信息报文向终端发出密钥协商报文，与终端进行密钥协商会话，建立与终端的接入协议。通过实施本发明，可以实现基于UDP协议的终端接入，从而接入无连接协议终端，减小了协议开销，同时终端和网关的密钥协商过程与TCP连接没有绑定关系，可灵活选择无连接方式或者短连接方式通信，非常利于以短报文或短连接方式接入终端。

技术领域

本发明涉及信息安全技术领域，具体涉及一种终端安全接入方法、装置及系统。

背景技术

传统上，终端安全接入主要基于VPN技术实现，分为SSL－VPN和IPSEC－VPN两种。其中IPSEC－VPN需要在终端侧和接入网络侧分别部署VPN网关，因此通常只适用于构建网络之间的安全连接通道。SSL－VPN只需在接入网络侧部署VPN网关，终端侧部署拨号软件，通常适用于大量分布式终端接入核心网络。

由于SSL－VPN只需在接入网络侧部署VPN网关，应用范围较广，但是SSL－VPN技术构建通道时与传输层协议TCP连接形成了绑定关系，一个终端接入必须绑定一个TCP连接，这导致SSL－VPN无法支持基于UDP的无连接短报文通信模式。而电力工控系统中各种电力工控终端与控制中心之间的通信协议大量采用UDP为基础，这是因为电力工控网络终端数量庞大，而且通信延迟要求低，使用TCP协议会造成不可承受的协议开销。上述基于UDP无连接通信模式的电力工控终端，无法采用SSL－VPN实现安全接入。

发明内容

有鉴于此，本发明实施例提供了一种终端安全接入方法、装置及系统，以解决现有技术中基于UDP无连接通信模式的电力工控终端无法采用SSL－VPN实现安全接入的技术问题。

本发明提出的技术方案如下：

本发明实施例第一方面提出了一种终端安全接入方法，包括：接收终端发出的身份认证与密钥协商请求报文；判断与终端之间是否已存在有效期内的协商密钥；当判断与所述终端之间不存在有效期内的协商密钥时，根据所述身份认证与密钥协商请求报文向所述终端发出获取终端基本信息报文；获取所述终端根据所述获取终端基本信息报文反馈的终端基本信息报文；根据所述终端基本信息报文向所述终端发出密钥协商报文，与所述终端进行密钥协商会话，建立与所述终端的接入协议。

优选地，根据所述终端基本信息报文向所述终端发出密钥协商报文，与所述终端进行密钥协商会话，建立与所述终端的接入协议，包括：接收所述终端根据所述密钥协商报文发出的密钥协商响应报文；根据所述密钥协商响应报文向所述终端发送密钥协商确认报文，建立与所述终端的接入协议。

本发明实施例第二方面提出了一种终端安全接入方法，包括：向网关发出身份认证与密钥协商请求报文；接收所述网关发出的获取终端基本信息报文；根据所述获取终端基本信息报文向所述网关发出终端基本信息报文；获取所述网关根据所述终端基本信息报文发出的密钥协商报文；根据所述密钥协商报文与所述网关进行密钥协商会话，建立与所述网关的接入协议。

优选地，根据所述密钥协商报文与所述网关进行密钥协商会话，建立与所述终端的安全接入协议，包括：根据所述密钥协商报文向所述网关发出密钥协商响应报文；接收所述网关反馈的密钥协商确认报文；根据所述密钥协商确认报文与所述网关建立接入协议。