CN110519275A - 一种基于电力内网的移动端安全操作桌面应用实现方法 - Google Patents

一种基于电力内网的移动端安全操作桌面应用实现方法 Download PDF

Info

Publication number
CN110519275A
CN110519275A CN201910804781.2A CN201910804781A CN110519275A CN 110519275 A CN110519275 A CN 110519275A CN 201910804781 A CN201910804781 A CN 201910804781A CN 110519275 A CN110519275 A CN 110519275A
Authority
CN
China
Prior art keywords
user
mobile terminal
software
equipment
application
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN201910804781.2A
Other languages
English (en)
Inventor
王丁
钱凌
沈梦伟
田森
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu Bingxin Technology Co Ltd
Original Assignee
Jiangsu Bingxin Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu Bingxin Technology Co Ltd filed Critical Jiangsu Bingxin Technology Co Ltd
Priority to CN201910804781.2A priority Critical patent/CN110519275A/zh
Publication of CN110519275A publication Critical patent/CN110519275A/zh
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/451Execution arrangements for user interfaces
    • G06F9/452Remote windowing, e.g. X-Window System, desktop virtualisation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/06Energy or water supply
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • H04L67/025Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Business, Economics & Management (AREA)
  • Computing Systems (AREA)
  • Economics (AREA)
  • General Health & Medical Sciences (AREA)
  • Public Health (AREA)
  • Bioethics (AREA)
  • Human Computer Interaction (AREA)
  • Water Supply & Treatment (AREA)
  • Human Resources & Organizations (AREA)
  • Marketing (AREA)
  • Primary Health Care (AREA)
  • Strategic Management (AREA)
  • Tourism & Hospitality (AREA)
  • General Business, Economics & Management (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明提供了一种基于电力内网的移动端安全操作桌面应用实现方法,解决了移动设备自身环境安全、网络通信安全、业务应用类型单一的问题,从设备认证、应用合法性、设备环境检测及网络安全接入形成安全防护方案,提供参数设定和脚本录制建立供移动端远程调用的命令库,提高了调度人员的工作灵活性。

Description

一种基于电力内网的移动端安全操作桌面应用实现方法
技术领域
本发明涉及信息技术领域,具体涉及了通过移动终端安全访问电力内网操作桌面应用的实现方法。
背景技术
电力各类信息系统按照其业务功能与调度控制的相关性,分为生产控制类业务及管理信息类业务,分别置于电力内网的生产控制区(Ⅰ区、Ⅱ区)和管理信息区(Ⅲ区、Ⅳ区)。不同的工作区明确了不同的安全防护要求,针对网络通信和内网办公设备建立了不同等级的安全保障。同时,严格的安全措施也局限了调度人员的工作环境,降低了工作灵活性。
对于管理信息区的应用,目前已有基于外网移动端访问内网业务数据的相关方案,包括电网信息跨安全区单向发布至移动端、非关键应用外网部署两种类型;但上述方案均存在明显不足,主要表现在:
移动设备自身环境的安全性得不到保障;公共网络通信缺乏数据加密保护,存在数据泄露的风险;业务数据的流向及应用的类型单一,业务数据只能通过内网服务器定时服务以文件推送或数据同步的形式推送到统一的指定环境或数据库中,而应用类型仅局限于数据展示与查询类的业务。
发明内容
针对现有技术的不足,本发明提供一种基于电力内网的移动端安全操作桌面应该实现方法,解决了移动设备自身环境安全、网络通信安全、业务应用类型单一的问题,在安全保障的基础上一定程度的提高了调度人员工作的灵活性。本发明主要涉及以下两个部分:
为保证操作桌面应用移动端的安全性,从设备认证、应用合法性、环境检测及网络安全接入形成安全防护方案,具体步骤如下:
设备认证,用户购置指定型号的移动设备,使用运营商发行的专用网络SIM卡,安装专用认证软件,专用认证软件在经过用户授权后提取设备型号、设备IMEI编码、SIM卡密钥、设备MAC地址及用户唯一标识发送至移动平台前置服务器并录入可信设备库,建立用户与设备、SIM卡的一一对应绑定关系,经过认证后移动端每次发送请求携带以上认证信息,移动平台前置服务端将认证信息与可信设备库进行查找核对,校验不通过则拒绝操作并返回错误信息至用户;
应用合法性校验,用于远程跨区操作桌面应用的移动端应用,需在专用认证软件附带的应用分发平台上架发行,操作桌面应用的移动端客户端发送请求时,需将用户唯一标识、软件版本号经过由移动平台SDK提供的加密方案生成的token一并传输,移动平台前置服务器对token进行解密,得到软件版本号及用户唯一标识并进行校验,校验标准为版本需在分发平台已发行且存在此用户下载该版本应用的记录,校验不通过则拒绝操作并响应错误信息;
设备环境检测,用户每次启动移动端远程操作软件,认证软件对设备当前环境状态(SIM卡、WIFI、外置存储)进行检测,检测标准为SIM卡必需为运营商加密网络SIM卡、WIFI必须处于关闭状态、设备未安装外置存储SD卡,检测不通过则提醒用户检测结果并停止远程操作软件的运行;
网络安全接入,移动终端通过运营商建立的无线专网APN连接到电力内网,实现终端与移动平台前置服务器的端到端加密传输,移动平台前置服务器与电力信息内网通过千兆防火墙作为安全互访边界,保障网络通信安全性。
同时,对于供移动端远程操作桌面的方式,用户可通过参数设定和脚本录制两种形式建立自定义命令库,具体如下:
参数设定形式,面向简单的桌面应用操作,用户通过桌面客户端定义命令名称、应用类型(web/exe)、应用地址或路径信息保存至用户命令库;
脚本录制形式,面向复杂的浏览器web端应用操作,用户通过桌面客户端启动脚本录制服务,服务将记录用户的鼠标键盘事件及用户设置的输入变量,并连同浏览器http响应信息的解析一同记录在录制脚本,录制结束后用户可选择操作回放、参数修正及保存至命令库。
与现有方案相比,本发明具有以下优点:
(1)建立了设备认证、应用合法性、设备环境三个方面的设备自身安全保障措施以及基于专用网络的接入安全措施,有力提高了安全性;
(2)以用户自建命令库供移动端调用的形式解决了移动端操作业务应用类型的局限性,一定程度上提高了调度人员的工作灵活性。
附图说明
图1为本发明的基本网络结构示意图;
图2为本发明的参数设定命令库建立方式示意图;
图3为本发明的脚本录制命令库建立方式示意图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加清楚易懂,下面将结合附图和具体的实施例对本发明的技术方案作进一步描述。为使本发明的上述目的、特征和优点能够更加清楚易懂,下面将结合附图和具体的实施例对本发明的技术方案作进一步描述。
在本发明中,安全远程操作桌面应用的移动设备需要用户购置指定型号的设备及运营商发行的专用网络SIM卡。首次使用时,用户需要下载移动平台提供的专用认证软件并登录,专用软件运行后请求用户授予读取设备信息相关权限。取得用户授权后,认证软件将提取设备型号、设备IMEI编码、SIM卡密钥、设备MAC地址及用户唯一标识发送至移动平台前置服务器,并将以上信息自动保存至可信设备库,建立用户与设备、SIM卡的一一对应绑定关系,完成设备初始化认证。完成以上步骤后移动端每次发起网络请求后需附带以上认证信息,移动平台前置服务器将认证信息与可信设备库进行匹配查找,若成功匹配到对应的可信设备记录,将请求进行后续步骤的认证转发,否则拒绝操作并返回错误信息至用户。
在本发明中,用户远程安全操作桌面应用的移动设备需安装在专用认证软件附带的应用分发平台上下载客户端应用,客户端应用。客户端应用发送请求时,需将用户唯一标识、软件包名、软件版本号经过由移动平台SDK提供的加密方案生成的token一并传输,移动平台前置服务器对token进行解密,得到用户唯一标识、软件包名及软件版本号,并查找该用户是否存在该版本软件的下载记录。若查找不到该版本下载记录则拒绝此次请求并返回错误信息给用户。
在本发明中,用户运行远程安全操作桌面应用的移动客户端在运行时需要专用认证软件对设备的当前环境进行检测。检测指标如下: SIM卡必须为运营商发行的专用网络SIM卡,WIFI必须处于关闭状态、未安装外置存储SD卡,通过检测后客户端则继续运行,否则认证软件将提醒用户未通过检测的项目并结束客户端的运行。
图1为本发明的基本网络结构示意图。在本发明中,安装远程操作桌面应用的移动设备通过运营商建立的无线专网APN连接到平台前置服务器,终端与移动平台前置服务器的端到端加密;平台前置服务器与电力信息内网之间以千兆防火墙作为安全互访边界,作为网络通信在传输过程中的安全保障。
在本发明中,桌面客户端提供了两种方式建立远程操作桌面应用的自定义命令库。
图2为参数设定形式示意图。该形式面向简单的桌面应用操作,用户通过桌面客户端定义命令名称、应用类型(web/exe)、应用地址或路径信息保存至用户命令库;
图3为脚本录制形式设置示意图,该形式面向复杂的浏览器web端应用操作。用户通过桌面客户端启动脚本录制服务,服务将记录用户的鼠标键盘事件及用户设置的输入变量生成一组操作记录,并连同浏览器http响应信息的解析一同记录在录制脚本,录制结束后用户可选择操作回放、参数修正及保存至命令库。
以上是为了使本领域的技术人员能够理解本发明,而对本发明所进行的详细描述。但可以想到,在不脱离本发明的权力要求所涵盖的范围内还可以做出其他的变化和改变,这些变化和改变均在本发明的保护范围之内。

Claims (2)

1.一种基于电力内网的移动端安全操作桌面应用实现方法,其特征在于从设备认证、应用合法性、设备环境检测及网络安全接入四个方面形成移动终端安全防护方案,主要包括以下步骤:
设备认证,用户购置指定型号的移动设备,使用运营商发行的专用网络SIM卡,安装专用认证软件,专用认证软件在经过用户授权后提取设备型号、设备IMEI编码、SIM卡密钥、设备MAC地址及用户唯一标识发送至移动平台前置服务器并录入可信设备库,建立用户与设备、SIM卡的一一对应绑定关系,经过认证后移动端每次发送请求携带以上认证信息,移动平台前置服务端将认证信息与可信设备库进行查找核对,校验不通过则拒绝操作并返回错误信息至用户;
应用合法性校验,用于远程跨区操作桌面应用的移动端应用,需在专用认证软件附带的应用分发平台上架发行,操作桌面应用的移动端客户端发送请求时,需将用户唯一标识、软件版本号经过由移动平台SDK提供的加密方案生成的token一并传输,移动平台前置服务器对token进行解密,得到软件版本号及用户唯一标识并进行校验,校验标准为版本需在分发平台已发行且存在此用户下载该版本应用的记录,校验不通过则拒绝操作并响应错误信息;
设备环境检测,用户每次启动移动端远程操作软件,认证软件对设备当前环境状态(SIM卡、WIFI、外置存储)进行检测,检测标准为SIM卡必需为运营商加密网络SIM卡、WIFI必须处于关闭状态、设备未安装外置存储SD卡,检测不通过则提醒用户检测结果并停止远程操作软件的运行;
网络安全接入,移动终端通过运营商建立的无线专网APN连接到电力内网,实现终端与移动平台前置服务器的端到端加密传输,移动平台前置服务器与电力信息内网通过千兆防火墙作为安全互访边界,保障网络通信安全性。
2.如权利要求1所描述的一种基于电力内网的移动端安全操作桌面应用实现方法,其特征在于用户可通过参数设定和脚本录制两种形式建立自定义命令库用以移动端远程调用,主要包括以下步骤:
参数设定形式,面向简单的桌面应用操作,用户通过桌面客户端定义命令名称、应用类型(web/exe)、应用地址或路径信息保存至用户命令库;
脚本录制形式,面向复杂的浏览器web端应用操作,用户通过桌面客户端启动脚本录制服务,服务将记录用户的鼠标键盘事件及用户设置的输入变量,并连同浏览器http响应信息的解析一同记录在录制脚本,录制结束后用户可选择操作回放、参数修正及保存至命令库。
CN201910804781.2A 2019-08-28 2019-08-28 一种基于电力内网的移动端安全操作桌面应用实现方法 Withdrawn CN110519275A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910804781.2A CN110519275A (zh) 2019-08-28 2019-08-28 一种基于电力内网的移动端安全操作桌面应用实现方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910804781.2A CN110519275A (zh) 2019-08-28 2019-08-28 一种基于电力内网的移动端安全操作桌面应用实现方法

Publications (1)

Publication Number Publication Date
CN110519275A true CN110519275A (zh) 2019-11-29

Family

ID=68627710

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910804781.2A Withdrawn CN110519275A (zh) 2019-08-28 2019-08-28 一种基于电力内网的移动端安全操作桌面应用实现方法

Country Status (1)

Country Link
CN (1) CN110519275A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110839268A (zh) * 2019-10-12 2020-02-25 国网浙江省电力有限公司杭州供电公司 基于无线专网的wifi管控方法
CN112492602A (zh) * 2020-11-19 2021-03-12 武汉武钢绿色城市技术发展有限公司 5g终端安全接入装置、系统及设备

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120297311A1 (en) * 2007-04-23 2012-11-22 Smx Inet Global Services Sa Providing a user with virtual computing services
CN102970276A (zh) * 2012-09-28 2013-03-13 中国电力科学研究院 基于隔离技术的电力专用移动终端安全工作的实现方法
CN104184735A (zh) * 2014-08-26 2014-12-03 国家电网公司 电力营销移动应用安全防护系统
CN106096852A (zh) * 2016-06-20 2016-11-09 中国神华能源股份有限公司 一种电厂的移动工作系统
CN106647560A (zh) * 2016-11-23 2017-05-10 中国南方电网有限责任公司 移动应用统一管理方法
CN106992984A (zh) * 2017-04-01 2017-07-28 国网福建省电力有限公司 一种基于电力采集网的移动终端安全接入信息内网的方法
US20190075078A1 (en) * 2008-11-17 2019-03-07 Qualcomm Incorporated Remote access to local network

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120297311A1 (en) * 2007-04-23 2012-11-22 Smx Inet Global Services Sa Providing a user with virtual computing services
US20190075078A1 (en) * 2008-11-17 2019-03-07 Qualcomm Incorporated Remote access to local network
CN102970276A (zh) * 2012-09-28 2013-03-13 中国电力科学研究院 基于隔离技术的电力专用移动终端安全工作的实现方法
CN104184735A (zh) * 2014-08-26 2014-12-03 国家电网公司 电力营销移动应用安全防护系统
CN106096852A (zh) * 2016-06-20 2016-11-09 中国神华能源股份有限公司 一种电厂的移动工作系统
CN106647560A (zh) * 2016-11-23 2017-05-10 中国南方电网有限责任公司 移动应用统一管理方法
CN106992984A (zh) * 2017-04-01 2017-07-28 国网福建省电力有限公司 一种基于电力采集网的移动终端安全接入信息内网的方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110839268A (zh) * 2019-10-12 2020-02-25 国网浙江省电力有限公司杭州供电公司 基于无线专网的wifi管控方法
CN110839268B (zh) * 2019-10-12 2021-11-09 国网浙江省电力有限公司杭州供电公司 基于无线专网的wifi管控方法
CN112492602A (zh) * 2020-11-19 2021-03-12 武汉武钢绿色城市技术发展有限公司 5g终端安全接入装置、系统及设备

Similar Documents

Publication Publication Date Title
CN103067340B (zh) 远程控制网络信息家电的鉴权方法及系统、互联网家庭网关
CN100477834C (zh) 安全装置的安全和保密性增强
CN103597799B (zh) 服务访问认证方法和系统
CN101730987B (zh) 使用usb密钥来管理网络组件
EP2684330B1 (en) Method and system for granting access to a secured website
CN103401880B (zh) 一种工业控制网络自动登录的系统及方法
CN107122674B (zh) 一种应用于运维审计系统的oracle数据库的访问方法
CN201194396Y (zh) 基于透明代理网关的安全网关平台
CN107148019B (zh) 一种用于连接无线接入点的方法与设备
CN105554098A (zh) 一种设备配置方法、服务器及系统
CN1805441B (zh) Wlan网络集成认证体系结构及实现结构层的方法
CN102859935A (zh) 利用虚拟机远程维护电子网络中的多个客户端的系统和方法
US11245523B2 (en) Method for implementing client side credential control to authorize access to a protected device
CN103368942A (zh) 一种云数据安全存储及管理的方法
CN105392136A (zh) 一种基于二维码访问路由器的方法及装置
CN104467923A (zh) 设备交互的方法、设备及系统
CN106127906A (zh) 一种门禁锁的解锁方法、装置及系统
CN108966216B (zh) 一种应用于配电网的移动通信方法及系统
CN101986598A (zh) 认证方法、服务器及系统
CN105763517A (zh) 一种路由器安全接入和控制的方法及系统
US20130247152A1 (en) Access device, access system and computer program product
CN110519275A (zh) 一种基于电力内网的移动端安全操作桌面应用实现方法
CA3080097A1 (en) Managing and controlling access to secured areas
CN110611913B (zh) 核电厂无线网络接入方法、系统管理平台和接入系统
CN103476025A (zh) 进程管理方法及系统、移动终端

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication

Application publication date: 20191129

WW01 Invention patent application withdrawn after publication