CN102970276B - 基于隔离技术的电力专用移动终端安全工作的实现方法 - Google Patents

基于隔离技术的电力专用移动终端安全工作的实现方法 Download PDF

Info

Publication number
CN102970276B
CN102970276B CN201210368056.3A CN201210368056A CN102970276B CN 102970276 B CN102970276 B CN 102970276B CN 201210368056 A CN201210368056 A CN 201210368056A CN 102970276 B CN102970276 B CN 102970276B
Authority
CN
China
Prior art keywords
mobile terminal
electric power
working environment
safe working
implementation method
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201210368056.3A
Other languages
English (en)
Other versions
CN102970276A (zh
Inventor
陈牧
李明
卢士达
邵志鹏
楚杰
徐敏
侯战胜
戴造建
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
China Electric Power Research Institute Co Ltd CEPRI
Global Energy Interconnection Research Institute
State Grid Shanghai Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
China Electric Power Research Institute Co Ltd CEPRI
Shanghai Municipal Electric Power Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, China Electric Power Research Institute Co Ltd CEPRI, Shanghai Municipal Electric Power Co filed Critical State Grid Corp of China SGCC
Priority to CN201210368056.3A priority Critical patent/CN102970276B/zh
Publication of CN102970276A publication Critical patent/CN102970276A/zh
Application granted granted Critical
Publication of CN102970276B publication Critical patent/CN102970276B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种基于隔离技术的电力专用移动终端安全工作的实现方法,将敏感信息的读写操作均在安全工作环境中利用透明加密方式完成;用户运行安全工作环境时,需通过本地认证和远程认证;系统转入安全工作环境后,将根据防护策略,对蓝牙、红外等硬件接口的使用进行限制,并通过指定的网络接口,建立安全通道访问电力内网,限制访问公共网络;退出安全工作环境时,将清理操作痕迹和数据;移动终端系统处于普通工作环境下无法访问加密存储的电力内网敏感信息。本发明可用于解决移动终端访问电力内网时带来的数据窃听、数据破坏和敏感信息泄漏等风险,提高了电力移动应用的整体安全性。

Description

基于隔离技术的电力专用移动终端安全工作的实现方法
技术领域
本发明涉及信息技术领域,具体涉及基于隔离技术的电力专用移动终端安全工作的实现方法。
背景技术
随着信息科技的发展,移动技术和移动终端在电力系统的需求和应用越来越广泛,移动终端接入到电力内网后,需要与电力内网中各种信息系统交互信息,这些信息大多属于敏感信息,一旦遭到破坏或泄密,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
移动技术和移动终端的应用在安全方面有先天性的不足,主要表现在:
终端监管难度较大:移动终端具有便携性和可移动性。与固定终端相比,移动终端丢失、被盗的概率大大增加;另一方面,移动终端的显著特征是移动性,对其安全监控、监管难度较大。除此外,移动终端经常用于多种业务场合、多种通道、多业务人员共用接入,更增加了监控管理的难度。同时针对移动终端的病毒和恶意软件也日益增多。
公共传输网络具有开放性和较严重的安全隐患:信息网络安全接入采用的是公用移动通信网络,按运营商划分可分为GSM/GPRS/EDGE/TD-SCDMA、GSM/GPRS/EDGE/WCDMA、CDMA1x/CDMA2000等。这些公用移动通信网络在外部和Internet物理连通,同时缺乏高强度的数据加密保护,通过公关网络进行数据传输面临着被监听窃取的严重风险。
要保证移动终端在电力内网的安全应用,就必须解决移动终端的安全性问题,解决其在访问电力内网时带来的数据窃听、数据破坏和敏感信息泄漏等风险。
发明内容
针对现有技术的不足,本发明提供一种基于隔离技术的电力专用移动终端安全工作的实现方法,解决了移动终端访问电力内网时带来的数据窃听、数据破坏和敏感信息泄漏等风险,提高了电力移动应用的整体安全性。
本发明提供的一种基于隔离技术的电力专用移动终端安全工作的实现方法,其改进之处在于,所述方法包括如下步骤:
(1)安全工作环境初始化,进行本地认证,检查移动终端是否符合建立安全工作环境的要求;
(2)建立安全通道,进行远程认证,认证通过后,进入安全工作环境;
(3)移动终端获得电力内网集中监管服务器下发的电力内网访问权限及移动终端的防护策略;
(4)移动终端根据访问权限访问内网资源;
(5)移动终端退出安全工作环境时,清除操作记录和临时数据,断开和电力内网的网络连接,隐藏存储的数据。
其中,步骤(1)安全工作环境初始化包括如下步骤:
1)进行硬件扫描,判断是否有安全TF卡及SIM卡,是则进行步骤2),否则退出安全工作环境初始化流程并清理操作痕迹;
2)输入证书密码;
3)判断证书密码是否正确,是则进行步骤4),否则退出安全工作环境初始化流程并清理操作痕迹;
4)进行操作系统及软件扫描,判断是否是指定操作系统及是否安装杀毒软件,是则进行步骤5),否则退出安全工作环境初始化流程并清理操作痕迹;
5)初始化完成。
其中,步骤(1)检查移动移动终端是否符合建立安全工作环境的要求包括是否具有电力专用安全TF卡和SIM卡。
其中,步骤(1)进行本地认证时,需要用户提供合法的移动终端证书密码;其中移动终端证书存储在安全TF卡中。
其中,步骤(2)进行远程认证时,由电力内网的安全认证服务器进行,移动终端需提供安全TF卡号特征值、移动终端证书DN特征值、移动终端IMEI号特征值、移动终端SIM卡号特征值及移动终端基本信息特征值。
其中,步骤(2)移动终端通过移动APN专线与电力内网建立安全通道,利用安全TF卡进行数据加密传输,在本地认证和远程认证通过后,进入安全工作环境。
其中,步骤(3)移动终端的外设包括蓝牙或红外。
其中,所述内网资源包括敏感数据。
其中,步骤(3)电力内网访问权限用于指定移动终端访问的内外资源;所述防护策略用于对移动终端的外设进行限制。
与现有技术比,本发明的有益效果为:
本发明将移动终端中敏感数据和非敏感数据进行隔离,所有敏感数据均在安全工作环境中利用电力专用加密算法进行加密传输存储,终端系统处于普通工作环境时无法操作访问存储在安全工作环境中的敏感信息,解决了敏感信息的泄漏问题;同时移动终端系统处于普通工作环境下的操作无法影响安全工作环境,病毒和恶意软件无法通过普通工作环境进入安全工作环境影响内网安全,解决了移动终端自身安全性对电力内网造成的安全隐患。
附图说明
图1为本发明提供的安全工作环境建立流程图。
图2为本发明提供的安全工作环境初始化流程图。
图3为本发明提供的安全工作环境整体模块示意图。
具体实施方式
下面结合附图对本发明的具体实施方式作进一步的详细说明。
本实施例提出的基于隔离技术的电力专用移动终端安全工作的实现方法,其流程如图1所示,包括如下步骤:
(1)安全工作环境初始化,进行本地认证,检查移动终端是否符合建立安全工作环境的要求,包括是否具有电力专用安全TF卡和SIM卡;
安全工作环境初始化其流程如图2所示,包括如下步骤:
1)硬件扫描,判断是否有安全TF卡及SIM卡,是则进行步骤2),否则退出安全工作环境初始化流程并清理操作痕迹;
2)输入证书密码;
3)本地认证,判断证书密码是否正确,是则进行步骤4),否则退出安全工作环境初始化流程并清理操作痕迹;
4)进行操作系统及软件扫描,判断是否是指定操作系统及是否安装杀毒软件,是则进行步骤5),否则退出安全工作环境初始化流程并清理操作痕迹;
5)初始化完成。
(2)建立安全连接,进行远程认证,认证通过后,进入安全工作环境;
移动终端正常运行在普通工作环境下,当需要访问电力内网处理敏感信息,必须进入安全工作环境。安全工作环境整体模块示意图如图3所示,安全工作环境的运行依托SIM卡及电力专用安全TF卡,SIM卡为移动终端提供移动网络通信服务,移动终端与电力内网的通信将通过它提供的APN专线进行;同时它与安全TF卡及安全TF卡中的移动终端证书绑定,共同作为移动终端的身份标识;安全TF卡还为网络及本地敏感数据提供硬件加解密服务。
移动终端系统进入安全工作环境需经过本地认证和远程认证,本地认证在安全工作环境初始化时完成;远程认证由电力内网的安全认证服务器进行,移动终端需提供安全TF卡号特征值、移动终端证书DN特征值、移动终端IMEI号特征值、移动终端SIM卡号特征值及移动终端基本信息特征值,全部认证通过后,方可进入安全工作环境。
移动终端系统进入安全工作环境,将通过移动APN专线在移动终端和电力内网之间建立一条安全的SSL加密信道,移动终端只允许通过次信道访问电力内网,无法访问公共网络;所有敏感信息的传输和存储将全部通过安全TF卡进行加密;同时,移动终端系统进入安全工作环境后,电力内网集中监管服务器将下发其在电力内网的访问权限及终端的防护策略。访问权限包括可访问的内网IP、端口及具有访问权限的应用;移动终端的防护策略包括蓝牙、红外等外设的使用限制。
(3)移动终端获得电力内网集中监管服务器下发的电力内网访问权限及移动终端的防护策略,即指定动终端访问的内外资源,限定移动终端的外设,包括蓝牙或红外等。
(4)移动终端根据访问权限访问内网资源;内网资源包括敏感数据,所有数据均进行加密传输存储;
(5)移动终端退出安全工作环境时,清除操作记录和临时数据,断开和电力内网的网络连接,隐藏存储的数据。
安全工作环境独立于普通工作环境,移动终端系统处于普通工作环境下的操作无法影响安全工作环境,病毒和恶意软件无法通过普通工作环境进入安全工作环境影响内网安全,这样解决了移动终端自身安全性对电力内网造成的安全隐患。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者等同替换,而未脱离本发明精神和范围的任何修改或者等同替换,其均应涵盖在本发明的权利要求范围当中。

Claims (8)

1.基于隔离技术的电力专用移动终端安全工作的实现方法,其特征在于,所述方法包括如下步骤:
(1)安全工作环境初始化,进行本地认证,检查移动终端是否符合建立安全工作环境的要求;
(2)建立安全通道,进行远程认证,认证通过后,进入安全工作环境;
(3)移动终端获得电力内网集中监管服务器下发的电力内网访问权限及移动终端的防护策略;
(4)移动终端根据访问权限访问内网资源;
(5)移动终端退出安全工作环境时,清除操作记录和临时数据,断开和电力内网的网络连接,隐藏存储的数据;
步骤(1)安全工作环境初始化包括如下步骤:
1)进行硬件扫描,判断是否有安全TF卡及SIM卡,是则进行步骤2),否则退出安全工作环境初始化流程并清理操作痕迹;
2)输入证书密码;
3)判断证书密码是否正确,是则进行步骤4),否则退出安全工作环境初始化流程并清理操作痕迹;
4)进行操作系统及软件扫描,判断是否是指定操作系统及是否安装杀毒软件,是则进行步骤5),否则退出安全工作环境初始化流程并清理操作痕迹;
5)初始化完成。
2.如权利要求1所述的实现方法,其特征在于,步骤(1)检查移动终端是否符合建立安全工作环境的要求包括是否具有电力专用安全TF卡和SIM卡。
3.如权利要求1所述的实现方法,其特征在于,步骤(1)进行本地认证时,需要用户提供合法的移动终端证书密码;其中移动终端证书存储在安全TF卡中。
4.如权利要求1所述的实现方法,其特征在于,步骤(2)进行远程认证时,由电力内网的安全认证服务器进行,移动终端需提供安全TF卡号特征值、移动终端证书DN特征值、移动终端IMEI号特征值、移动终端SIM卡号特征值及移动终端基本信息特征值。
5.如权利要求1所述的实现方法,其特征在于,步骤(2)移动终端通过移动APN专线与电力内网建立安全通道,利用安全TF卡进行数据加密传输,在本地认证和远程认证通过后,进入安全工作环境。
6.如权利要求1所述的实现方法,其特征在于,步骤(3)移动终端的外设包括蓝牙或红外。
7.如权利要求1所述的实现方法,其特征在于,所述内网资源包括敏感数据。
8.如权利要求1所述的实现方法,其特征在于,步骤(3)电力内网访问权限用于指定移动终端访问的内网资源;
所述防护策略用于对移动终端的外设进行限制。
CN201210368056.3A 2012-09-28 2012-09-28 基于隔离技术的电力专用移动终端安全工作的实现方法 Active CN102970276B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201210368056.3A CN102970276B (zh) 2012-09-28 2012-09-28 基于隔离技术的电力专用移动终端安全工作的实现方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201210368056.3A CN102970276B (zh) 2012-09-28 2012-09-28 基于隔离技术的电力专用移动终端安全工作的实现方法

Publications (2)

Publication Number Publication Date
CN102970276A CN102970276A (zh) 2013-03-13
CN102970276B true CN102970276B (zh) 2016-05-25

Family

ID=47800162

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210368056.3A Active CN102970276B (zh) 2012-09-28 2012-09-28 基于隔离技术的电力专用移动终端安全工作的实现方法

Country Status (1)

Country Link
CN (1) CN102970276B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104506489A (zh) * 2014-11-25 2015-04-08 国家电网公司 变电站数据传输方法和终端及网关
CN105391728A (zh) * 2015-11-26 2016-03-09 国网北京市电力公司 电力信息的传输方法及装置
CN106375997A (zh) * 2016-08-22 2017-02-01 努比亚技术有限公司 一种终端管控装置、方法和终端
CN108632253B (zh) * 2018-04-04 2021-09-10 平安科技(深圳)有限公司 基于移动终端的客户数据安全访问方法及装置
CN110519275A (zh) * 2019-08-28 2019-11-29 江苏秉信科技有限公司 一种基于电力内网的移动端安全操作桌面应用实现方法
CN111815473A (zh) * 2020-01-20 2020-10-23 国网上海市电力公司 一种反窃电终端、系统及方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1650580A (zh) * 2002-04-11 2005-08-03 阿尔卡特公司 保证数据终端与数据处理局域网之间链路安全的方法及实现该方法的数据终端
CN101047599A (zh) * 2006-03-31 2007-10-03 袁初成 一种分布式ssl vpn系统及构架方法
CN101662359A (zh) * 2009-08-17 2010-03-03 珠海市鸿瑞信息技术有限公司 电力专用公网通信数据安全防护方法
CN101925057A (zh) * 2010-08-20 2010-12-22 河南省电力公司 一种电力系统用手机终端安全加固系统
CN101964800A (zh) * 2010-10-21 2011-02-02 神州数码网络(北京)有限公司 一种在ssl vpn中对数字证书用户认证的方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1650580A (zh) * 2002-04-11 2005-08-03 阿尔卡特公司 保证数据终端与数据处理局域网之间链路安全的方法及实现该方法的数据终端
CN101047599A (zh) * 2006-03-31 2007-10-03 袁初成 一种分布式ssl vpn系统及构架方法
CN101662359A (zh) * 2009-08-17 2010-03-03 珠海市鸿瑞信息技术有限公司 电力专用公网通信数据安全防护方法
CN101925057A (zh) * 2010-08-20 2010-12-22 河南省电力公司 一种电力系统用手机终端安全加固系统
CN101964800A (zh) * 2010-10-21 2011-02-02 神州数码网络(北京)有限公司 一种在ssl vpn中对数字证书用户认证的方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于等级保护的电力移动终端安全防护体系设计;张涛,林为民,秦超,陈亚东;《电力信息与通信技术》;20100731;第8卷(第7期);第1页第1.2节第(1)部分,第3节第2段,第2.2节第(3)部分,第2.1节第(3)部分 *

Also Published As

Publication number Publication date
CN102970276A (zh) 2013-03-13

Similar Documents

Publication Publication Date Title
CN102970276B (zh) 基于隔离技术的电力专用移动终端安全工作的实现方法
Landman Managing smart phone security risks
CN102624699B (zh) 一种保护数据的方法和系统
CN101778099B (zh) 可容忍非信任组件的可信网络接入架构及其接入方法
CN103441991A (zh) 一种移动终端安全接入平台
KR101534307B1 (ko) 스마트기기를 통한 내부 기밀 자료 유출 방지 및 추적 시스템 및 그 방법
CN105337977A (zh) 一种动态双向认证的安全移动通讯架构及其实现方法
CN102333072B (zh) 一种基于智能终端的网络银行可信交易系统与方法
CN105956496A (zh) 一种共享存储文件的安全保密方法
CN109088848A (zh) 一种智能网联汽车信息安全保护方法
CN103020531A (zh) Android智能终端运行环境可信控制方法及系统
CN103716785A (zh) 一种移动互联网安全服务系统
CN103973715B (zh) 一种云计算安全系统和方法
CN104270250A (zh) 基于非对称全程加密的WiFi互联网上网连接认证方法及系统
RU2583710C2 (ru) Система и способ обеспечения конфиденциальности информации, используемой во время операций аутентификации и авторизации, при использовании доверенного устройства
CN102495983A (zh) 一种智能移动终端数据实时加密和解密的方法
CN104219077A (zh) 一种中小企业信息管理系统
Sevier et al. Analyzing the security of Bluetooth low energy
CN111464998B (zh) 一种专网sim卡的烧录及接入方法、系统
CN202652534U (zh) 移动终端安全接入平台
Xie et al. How can IoT services pose new security threats in operational cellular networks?
CN103200562A (zh) 通信终端锁定方法及通信终端
CN105208045A (zh) 一种身份验证方法、设备和系统
CN105787319A (zh) 基于虹膜识别的便携式终端及其方法
CN104125223A (zh) 一种移动设备隐私数据的安全防护系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CP01 Change in the name or title of a patent holder
CP01 Change in the name or title of a patent holder

Address after: 100192 Beijing city Haidian District Qinghe small Camp Road No. 15

Co-patentee after: State Grid Shanghai Municipal Electric Power Company

Patentee after: China Electric Power Research Institute

Co-patentee after: State Grid Corporation of China

Address before: 100192 Beijing city Haidian District Qinghe small Camp Road No. 15

Co-patentee before: Shanghai Electric Power Corporation

Patentee before: China Electric Power Research Institute

Co-patentee before: State Grid Corporation of China

TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20170829

Address after: 100192 Beijing city Haidian District Qinghe small Camp Road No. 15

Co-patentee after: GLOBAL ENERGY INTERCONNECTION RESEARCH INSTITUTE

Patentee after: China Electric Power Research Institute

Co-patentee after: State Grid Shanghai Municipal Electric Power Company

Co-patentee after: State Grid Corporation of China

Address before: 100192 Beijing city Haidian District Qinghe small Camp Road No. 15

Co-patentee before: State Grid Shanghai Municipal Electric Power Company

Patentee before: China Electric Power Research Institute

Co-patentee before: State Grid Corporation of China