[发明专利]一种移动终端的安全接入系统及方法

说明书

本发明提供了一种移动终端的安全接入系统及方法，所述系统，包括：移动终端、安全接入网关、CA服务系统和业务系统；所述移动终端，用于存储密钥并基于预先定义的应用层通信协议为与业务系统交互的数据提供加/解密服务；所述安全接入网关，用于为CA服务系统提供独立通道，还用于与移动终端进行密钥协商；所述CA服务系统，用于基于安全接入网关提供的独立通道为移动终端提供安全证书服务；所述业务系统：基于预先定义的应用层通信协议实现与移动终端的双向数据交互。本发明提供的技术方案解决了移动终端安全接入业务系统的问题。

技术领域

本发明涉及信息安全领域，具体涉及一种移动终端的安全接入系统及方法。

背景技术

传统上，终端安全接入主要基于VPN技术实现，分为SSL-VPN和IPSEC-VPN两种。其中IPSEC-VPN需要在终端侧和接入网络侧分别部署VPN网关，因此通常只适用于构建网络之间的安全连接通道。SSL-VPN只需在接入网络侧部署VPN网关，终端侧部署拨号软件，通常适用于大量分布式终端接入核心网络。

随着“互联网+”、物联网技术的发展，电力工控系统中各类异构终端大量涌现，接入需求骤增，对电力核心网络的安全威胁增强。基于传统的VPN技术在解决上述安全接入问题时面临许多问题。

首先是IPSEC-VPN技术不适用。“互联网+”、物联网应用的主要特征是终端异构，海量终端广域离散分布在非可控环境，且移动终端常常位置不固定，这些特征导致在终端侧部署网关成为不可能。

其次是SSL-VPN对无连接的“互联网+”、物联网应用类型带来限制。SSL-VPN技术构建通道时与传输层协议TCP连接形成了绑定关系，一个终端接入必须绑定一个TCP连接，这导致SSL-VPN无法支持基于UDP的无连接短报文通信模式。而电力工控系统中各种电力工控终端与控制中心之间的通信协议大量采用UDP为基础，这是因为电力工控网络终端数量庞大，而且通信延迟要求低，使用TCP协议会造成不可承受的协议开销。上述基于UDP无连接通信模式的电力工控终端，无法采用SSL-VPN实现安全接入。

再次是SSL-VPN对于有连接“互联网+”、物联网应用存在比较严重的性能问题，原因有两方面：一是SSL-VPN要求接入终端与TCP连接一一绑定，在解决海量终端安全接入问题时，这意味着网关需要维持与在线终端数量相当的TCP连接，且这些连接均是SSL加密连接，由于终端普遍与主站间存在心跳机制，此时海量加密心跳报文对网关造成沉重负担，使得SSL-VPN的终端接入性能受到很大限制；二是SSL-VPN的密钥协商机制进一步放大了上述问题。由于SSL-VPN在连接建立时基于非对称密钥算法实现密钥协商，该过程运算极为复杂，一旦连接断开重建将使得上述密钥协商需重复进行，造成终端在接入SSL-VPN网络时被迫采用长连接机制，以避免反复上下线建立连接时网关无法支撑，但“互联网+”、物联网应用的典型特征是终端数量极为庞大，往往达到数亿甚至数十亿，而单个终端通信频率和通信数据量很低，这些特征意味着上述应用应采用短连接机制实现安全接入，如果采用长连接机制将导致网关需要维持的连接数增长数百倍甚至上千倍，这意味着巨大的投资浪费。

综上所述，急需解决移动终端安全接入业务系统的问题。

发明内容

为了解决现有技术中所存在的上述不足，本发明提供了一种移动终端的安全接入方法，通过设计安全密钥容器确保移动终端的密钥存储安全，定义一种应用层协议，采用国密算法，在移动终端与安全接入网关之间进行会话密钥协商，为业务系统提供安全访问通道。

本发明提供的一种移动终端的安全接入系统，包括：移动终端、安全接入网关、CA服务系统和业务系统；

所述移动终端，用于存储密钥并基于预先定义的应用层通信协议为与业务系统交互的数据提供加/解密服务；

所述安全接入网关，用于为CA服务系统提供独立通道，还用于与移动终端进行密钥协商；