CN111132136B - 一种移动应用信息安全体系应用系统 - Google Patents

一种移动应用信息安全体系应用系统 Download PDF

Info

Publication number
CN111132136B
CN111132136B CN201911097445.5A CN201911097445A CN111132136B CN 111132136 B CN111132136 B CN 111132136B CN 201911097445 A CN201911097445 A CN 201911097445A CN 111132136 B CN111132136 B CN 111132136B
Authority
CN
China
Prior art keywords
security
data
terminal
module
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911097445.5A
Other languages
English (en)
Other versions
CN111132136A (zh
Inventor
张文斐
高明
伍衡
王嘉延
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangzhou Power Supply Bureau of Guangdong Power Grid Co Ltd
Original Assignee
Guangzhou Power Supply Bureau of Guangdong Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangzhou Power Supply Bureau of Guangdong Power Grid Co Ltd filed Critical Guangzhou Power Supply Bureau of Guangdong Power Grid Co Ltd
Priority to CN201911097445.5A priority Critical patent/CN111132136B/zh
Publication of CN111132136A publication Critical patent/CN111132136A/zh
Application granted granted Critical
Publication of CN111132136B publication Critical patent/CN111132136B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/37Managing security policies for mobile devices or for controlling mobile applications
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Abstract

本发明公开了一种移动应用信息安全体系应用系统,其特征在于,包括:终端安全层、传输通道层、外网接入层、应用服务层和安全管理层;终端安全层,PDA终端通过安全加固软、硬件,安全模块、数字证书实现相应的安全加固功能;外网接入层,包含安全接入身份认证模块、安全数据过滤模块和集中监控管理模块;安全数据过滤模块,包括数据访问控制模块和安全过滤模块;安全管理层,包括登记管理模块、领用管理模块和遗失管理模块。本发明保障了终端私密数据的储存安全,避免了PDA访问外网带来的安全隐患,实现了对终端操作的有效监控,确保了终端安全加固,防止数据传输过程中的丢失和被篡改的风险,有效地提升了信息安全。

Description

一种移动应用信息安全体系应用系统
技术领域
本发明涉及电力技术领域,具体为一种移动应用信息安全体系应用系统。
背景技术
在电力行业信息化不断推进的过程中,信息系统已经成为电力企业公司员工日常工作的基础手段,在电力生产控制与公司经营管理中发挥了日益重要的作用。然而越来越多的不便却是传统信息系统难以解决的,传统的必须在电力公司局域网内才能使用的管理软件给现场交流和服务质量提升造成了极大制约。在电力营销信息化工作不断深化的过程中,营销业务管理的信息系统用户在移动应用方面提出了具体的要求,如何在客户现场及施工现场随时处理工作,外勤人员如何在办公室外完成各种信息管理工作,各种原来现场人工记录数据无法及时录入管理系统的问题如何以更加灵活、方便的方式予以解决,以上种种问题,都可以使用PDA终端进行解决,提高信息系统的便利性和处理效率,同时满足安全性要求;
电力营销移动作业在信息交互过程中,在PDA终端、数据传输通道、外网接入、业务应用、监控管理均存在安全隐患,导致数据丢失、数据传输储存安全性低、身份认证强度低、网络隔离强度弱等问题。
发明内容
本发明的目的在于提供一种移动应用信息安全体系应用系统,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:一种移动应用信息安全体系应用系统,包括:终端安全层、传输通道层、外网接入层、应用服务层和安全管理层;其中:
终端安全层,PDA终端通过安全加固软、硬件,安全模块、数字证书实现相应的安全加固功能;
传输通道层内容包括;
S1、采用运营商提供的APN专线,构建运营商主站与电力内网的基本安全通道;
S2、网络层采用加密算法经加密算法由安全通道在PDA终端和主站之间建立加密隧道,利用对称密码算法加密信息,采用非对称密码算法传输密匙,进行数字签名认证;
S3、对终端与接入网关传输数据采用高效压缩算法进行压缩,实现数据的高效传送,并根据事先约定,对传输报文的特定域进行加密;
外网接入层,包含安全接入身份认证模块、安全数据过滤模块和集中监控管理模块,用于构建安全接入区,进行网络的安全分离,通过安全接入认证、访问控制服务实现PDA终端的安全接入;其中:
安全接入身份认证模块,是以数字证书单元为基础,对PDA转动身份进行认证和接入,包括终端在线注册单元、数字证书管理单元和身份认证单元;终端在线注册单元用于提供终端在线注册,终端的软硬件特征信息的实时、动态收集和注册;数字证书管理单元用于根据国网数字证书系统,进行数字证书的有效认证;身份认证单元用于提供移动接入网关对PDA终端的强身份证认证,同时实现终端与接入网关进行身份认证,实现双向数字证书认证;
安全数据过滤模块,包括数据访问控制模块和安全过滤模块;数据访问控制模块用于进行数据报文的双向访问控制,严格控制终端访问应用;安全过滤模块用于只允许合法数据模块通过,并根据数据格式进行安全过滤,防止非法数据进入内网;
集中监控管理模块,包括监控单元和权限管理单元;监控单元用于对PDA终端、系统总线进行实时接入状态、运行状态监控;权限管理单元用于对登录用户的权限进行管理、认证以及目录身份系统的集成;
应用服务层,包括身份认证单元、业务抽取单元和数据保护单元;身份认证单元用于对PDA终端、TF卡、SIM卡等信息进行登记,并对访问营销移动作业的平台进行业务办理的PDA终端进行组合式身份认证;业务抽取单元用于对PDA终端访问业务进行逻辑抽取;数据保护单元用于将PDA终端访问的数据进行分类定义。
安全管理层,包括登记管理模块、领用管理模块和遗失管理模块;登记管理模块用于对每个PDA终端进行档案登记;领用管理模块用于记录工作人员领用PDA设备的信息,并实现工作人员的作业数据同步;遗失管理模块用于对遗失的设备进行状态更改,防止其他人员非法使用。
优选的,所述PDA终端通过采取安装加密芯片、数字证书实现数据加密,并通过密匙协商;
所述数字证书内嵌于加密芯片内,并通过TF卡、USB的形式封装;
加密芯片的算法利用安全模块调用封装;其中,安全模块用于和接入网关建立双向加密的隧道。
优选的,所述加密芯片采用非对称算法、对称算法芯片组成,并与接入网关进行密匙协商和数据加密。
优选的,所述数字证书管理单元,用于PDA、移动接入网关、加密TF卡使用前,通过管理员向数字证书系统提交申请以生成数字证书,并写入加密芯片卡的安全储存区中。
优选的,所述数据保护单元分为敏感数据、私有数据和普通数据,并划分为不同的安全等级分配不同的数据访问和处理权限。
优选的,所述登记管理模块登记PDA终端的档案包括:编号、状态、SIM卡号、安全加密TF卡号等相关信息。
优选的,所述领用管理模块还可以定制时间管理功能和锁定功能,用于提醒工作人员反还和锁定PDA设备。
本发明提出的一种移动应用信息安全体系应用系统,有益效果在于:
本发明实现了PDA终端软硬件的匹配认证,保障了终端私密数据的储存安全,避免了PDA访问外网带来的安全隐患,实现了对终端操作的有效监控,确保了终端安全加固,采用加密算法对网络层数据进行加密,采用压缩算法提高了数据传输的安全性和高效性,防止数据传输过程中的丢失和被篡改的风险,实现了终端与安全接入的身份认证、用户权限合理分配,实现了内外网的安全隔离,防止非法数据进入内网,可以对终端接入状态进行监控,有效地提升了信息安全。
具体实施方式
下面将结合本发明的实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供一种技术方案:一种移动应用信息安全体系应用系统,包括:终端安全层、传输通道层、外网接入层、应用服务层和安全管理层;其中:
终端安全层,PDA终端通过安全加固软、硬件,安全模块、数字证书实现相应的安全加固功能;所述PDA终端通过采取安装加密芯片、数字证书实现数据加密,并通过密匙协商;所述数字证书内嵌于加密芯片内,并通过TF卡、USB的形式封装;加密芯片的算法利用安全模块调用封装;其中,安全模块用于和接入网关建立双向加密的隧道,所述加密芯片采用非对称算法、对称算法芯片组成,并与接入网关进行密匙协商和数据加密;
传输通道层内容包括;采用运营商提供的APN专线,构建运营商主站与电力内网的基本安全通道;网络层采用加密算法经加密算法由安全通道在PDA终端和主站之间建立加密隧道,利用对称密码算法加密信息,采用非对称密码算法传输密匙,进行数字签名认证;对终端与接入网关传输数据采用高效压缩算法进行压缩,实现数据的高效传送,并根据事先约定,对传输报文的特定域进行加密;
外网接入层,包含安全接入身份认证模块、安全数据过滤模块和集中监控管理模块,用于构建安全接入区,进行网络的安全分离,通过安全接入认证、访问控制服务实现PDA终端的安全接入;其中:安全接入身份认证模块,是以数字证书单元为基础,对PDA转动身份进行认证和接入,包括终端在线注册单元、数字证书管理单元和身份认证单元,所述数字证书管理单元,用于PDA、移动接入网关、加密TF卡使用前,通过管理员向数字证书系统提交申请以生成数字证书,并写入加密芯片卡的安全储存区中;终端在线注册单元用于提供终端在线注册,终端的软硬件特征信息的实时、动态收集和注册;数字证书管理单元用于根据国网数字证书系统,进行数字证书的有效认证;身份认证单元用于提供移动接入网关对PDA终端的强身份证认证,同时实现终端与接入网关进行身份认证,实现双向数字证书认证;安全数据过滤模块,包括数据访问控制模块和安全过滤模块;数据访问控制模块用于进行数据报文的双向访问控制,严格控制终端访问应用;安全过滤模块用于只允许合法数据模块通过,并根据数据格式进行安全过滤,防止非法数据进入内网;集中监控管理模块,包括监控单元和权限管理单元;监控单元用于对PDA终端、系统总线进行实时接入状态、运行状态监控;权限管理单元用于对登录用户的权限进行管理、认证以及目录身份系统的集成;
应用服务层,包括身份认证单元、业务抽取单元和数据保护单元;身份认证单元用于对PDA终端、TF卡、SIM卡等信息进行登记,并对访问营销移动作业的平台进行业务办理的PDA终端进行组合式身份认证;业务抽取单元用于对PDA终端访问业务进行逻辑抽取;数据保护单元用于将PDA终端访问的数据进行分类定义,所述数据保护单元分为敏感数据、私有数据和普通数据,并划分为不同的安全等级分配不同的数据访问和处理权限。
安全管理层,包括登记管理模块、领用管理模块和遗失管理模块;登记管理模块用于对每个PDA终端进行档案登记,所述登记管理模块登记PDA终端的档案包括:编号、状态、SIM卡号、安全加密TF卡号等相关信息;领用管理模块用于记录工作人员领用PDA设备的信息,并实现工作人员的作业数据同步,所述领用管理模块还可以定制时间管理功能和锁定功能,用于提醒工作人员反还和锁定PDA设备;遗失管理模块用于对遗失的设备进行状态更改,防止其他人员非法使用。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。

Claims (1)

1.一种移动应用信息安全体系应用系统,其特征在于,包括:终端安全层、传输通道层、外网接入层、应用服务层和安全管理层;其中:
终端安全层,PDA终端通过安全加固软、硬件,安全模块、数字证书实现相应的安全加固功能;
传输通道层内容包括;
S1、采用运营商提供的APN专线,构建运营商主站与电力内网的基本安全通道;
S2、网络层采用加密算法经加密算法由安全通道在PDA终端和主站之间建立加密隧道,利用对称密码算法加密信息,采用非对称密码算法传输密匙,进行数字签名认证;
S3、对终端与接入网关传输数据采用高效压缩算法进行压缩,实现数据的高效传送,并根据事先约定,对传输报文的特定域进行加密;
外网接入层,包含安全接入身份认证模块、安全数据过滤模块和集中监控管理模块,用于构建安全接入区,进行网络的安全分离,通过安全接入认证、访问控制服务实现PDA终端的安全接入;其中:
安全接入身份认证模块,是以数字证书单元为基础,对PDA转动身份进行认证和接入,包括终端在线注册单元、数字证书管理单元和身份认证单元;终端在线注册单元用于提供终端在线注册,终端的软硬件特征信息的实时、动态收集和注册;数字证书管理单元用于根据国网数字证书系统,进行数字证书的有效认证;身份认证单元用于提供移动接入网关对PDA终端的强身份证认证,同时实现终端与接入网关进行身份认证,实现双向数字证书认证;
安全数据过滤模块,包括数据访问控制模块和安全过滤模块;数据访问控制模块用于进行数据报文的双向访问控制,严格控制终端访问应用;安全过滤模块用于只允许合法数据模块通过,并根据数据格式进行安全过滤,防止非法数据进入内网;
集中监控管理模块,包括监控单元和权限管理单元;监控单元用于对PDA终端、系统总线进行实时接入状态、运行状态监控;权限管理单元用于对登录用户的权限进行管理、认证以及目录身份系统的集成;
应用服务层,包括身份认证单元、业务抽取单元和数据保护单元;身份认证单元用于对PDA终端、TF卡、SIM卡等信息进行登记,并对访问营销移动作业的平台进行业务办理的PDA终端进行组合式身份认证;业务抽取单元用于对PDA终端访问业务进行逻辑抽取;数据保护单元用于将PDA终端访问的数据进行分类定义;
安全管理层,包括登记管理模块、领用管理模块和遗失管理模块;登记管理模块用于对每个PDA终端进行档案登记;领用管理模块用于记录工作人员领用PDA设备的信息,并实现工作人员的作业数据同步;遗失管理模块用于对遗失的设备进行状态更改,防止其他人员非法使用;
所述PDA终端通过采取安装加密芯片、数字证书实现数据加密,并通过密匙协商;
所述数字证书内嵌于加密芯片内,并通过TF卡、USB的形式封装;
加密芯片的算法利用安全模块调用封装;其中,安全模块用于和接入网关建立双向加密的隧道;
所述加密芯片采用非对称算法、对称算法芯片组成,并与接入网关进行密匙协商和数据加密;
所述数字证书管理单元,用于PDA、移动接入网关、加密TF卡使用前,通过管理员向数字证书系统提交申请以生成数字证书,并写入加密芯片卡的安全储存区中;
所述数据保护单元分为敏感数据、私有数据和普通数据,并划分为不同的安全等级分配不同的数据访问和处理权限;
所述登记管理模块登记PDA终端的档案包括:编号、状态、SIM卡号、安全加密TF卡号相关信息;
所述领用管理模块还可以定制时间管理功能和锁定功能,用于提醒工作人员反还和锁定PDA设备。
CN201911097445.5A 2019-11-11 2019-11-11 一种移动应用信息安全体系应用系统 Active CN111132136B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911097445.5A CN111132136B (zh) 2019-11-11 2019-11-11 一种移动应用信息安全体系应用系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911097445.5A CN111132136B (zh) 2019-11-11 2019-11-11 一种移动应用信息安全体系应用系统

Publications (2)

Publication Number Publication Date
CN111132136A CN111132136A (zh) 2020-05-08
CN111132136B true CN111132136B (zh) 2023-04-14

Family

ID=70495257

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911097445.5A Active CN111132136B (zh) 2019-11-11 2019-11-11 一种移动应用信息安全体系应用系统

Country Status (1)

Country Link
CN (1) CN111132136B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111970120B (zh) * 2020-07-27 2024-03-26 山东华芯半导体有限公司 一种基于openssl的加密卡安全应用机制的实现方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104184735A (zh) * 2014-08-26 2014-12-03 国家电网公司 电力营销移动应用安全防护系统
CN104319874A (zh) * 2014-09-12 2015-01-28 国家电网公司 一种智能电网输电线路状态在线监测系统及其监测方法
CN109005189A (zh) * 2018-08-27 2018-12-14 广东电网有限责任公司信息中心 一种适用于双网隔离的接入访问传输平台

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108965215B (zh) * 2017-05-26 2019-12-24 中国科学院沈阳自动化研究所 一种多融合联动响应的动态安全方法与系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104184735A (zh) * 2014-08-26 2014-12-03 国家电网公司 电力营销移动应用安全防护系统
CN104319874A (zh) * 2014-09-12 2015-01-28 国家电网公司 一种智能电网输电线路状态在线监测系统及其监测方法
CN109005189A (zh) * 2018-08-27 2018-12-14 广东电网有限责任公司信息中心 一种适用于双网隔离的接入访问传输平台

Also Published As

Publication number Publication date
CN111132136A (zh) 2020-05-08

Similar Documents

Publication Publication Date Title
CN108390851B (zh) 一种用于工业设备的安全远程控制系统及方法
CN108123795B (zh) 量子密钥芯片的发行方法、应用方法、发行平台及系统
CN106488452B (zh) 一种结合指纹的移动终端安全接入认证方法
CN106100836B (zh) 一种工业用户身份认证和加密的方法及系统
CN104994114A (zh) 一种基于电子身份证的身份认证系统和方法
CN103152179A (zh) 一种适用于多应用系统的统一身份认证方法
CN101043335A (zh) 一种信息安全控制系统
CN106656490B (zh) 量子白板数据存储方法
CN106992984A (zh) 一种基于电力采集网的移动终端安全接入信息内网的方法
CN104038481A (zh) 一种电力资产管理主站系统与rfid终端之间的通讯方法
CN102946603A (zh) 电力云系统中基于社交特性的统一身份认证方法
CN103458400A (zh) 一种语音加密通信系统中的密钥管理方法
CN103916363A (zh) 加密机的通讯安全管理方法和系统
CN113569213A (zh) 一种基于5g技术的工业园区应用安全支撑系统及方法
CN111277607A (zh) 通信隧道模块、应用监控模块及移动终端安全接入系统
CN111132136B (zh) 一种移动应用信息安全体系应用系统
CN109561075B (zh) 一种企业办税安全通道系统
CN114866346A (zh) 一种基于分散式的密码服务平台
CN106789845A (zh) 一种网络数据安全传输的方法
CN104519055A (zh) Vpn业务实现方法、装置和vpn服务器
CN106921677A (zh) 一种区块链房屋信息多次加密系统
CN104753886A (zh) 一种对远程用户的加锁方法、解锁方法及装置
CN107451647B (zh) 一种内置安全机制的营区专用sim卡
CN103269301A (zh) 桌面型IPSecVPN密码机及组网方法
CN110489947B (zh) 一种安全办公管控系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20210426

Address after: 510620 Tianhe District, Guangzhou, Tianhe South Road, No. two, No. 2, No.

Applicant after: Guangzhou Power Supply Bureau of Guangdong Power Grid Co.,Ltd.

Address before: 510620 Tianhe District, Guangzhou, Tianhe South Road, No. two, No. 2, No.

Applicant before: GUANGZHOU POWER SUPPLY Co.,Ltd.

GR01 Patent grant
GR01 Patent grant