CN111918284A - 一种基于安全通信模组的安全通信方法及系统 - Google Patents

一种基于安全通信模组的安全通信方法及系统 Download PDF

Info

Publication number
CN111918284A
CN111918284A CN202010725131.1A CN202010725131A CN111918284A CN 111918284 A CN111918284 A CN 111918284A CN 202010725131 A CN202010725131 A CN 202010725131A CN 111918284 A CN111918284 A CN 111918284A
Authority
CN
China
Prior art keywords
communication module
secure
cloud platform
gateway
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010725131.1A
Other languages
English (en)
Other versions
CN111918284B (zh
Inventor
王平
刘熙胖
廖正赟
雷宇龙
孙晓鹏
马骥
李顶占
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhengzhou Xinda Jiean Information Technology Co Ltd
Original Assignee
Zhengzhou Xinda Jiean Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhengzhou Xinda Jiean Information Technology Co Ltd filed Critical Zhengzhou Xinda Jiean Information Technology Co Ltd
Priority to CN202010725131.1A priority Critical patent/CN111918284B/zh
Publication of CN111918284A publication Critical patent/CN111918284A/zh
Application granted granted Critical
Publication of CN111918284B publication Critical patent/CN111918284B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明提出一种基于安全通信模组的安全通信方法及系统,所述安全通信方法包括:安全移动终端通过安全通信模组与云平台的安全网关进行密钥协商后获得会话密钥,并进行策略文件的加密传输;安全通信模组根据策略文件进行防火墙策略配置;当访问互联网应用时:终端应用将访问互联网的数据发送至安全通信模组进行策略匹配;若第一策略匹配成功,安全通信模组则将访问互联网的数据发送至互联网应用进行联网处理;当访问云平台服务时:安全通信模组根据策略文件进行网关IP和监听端口配置;将访问云平台的业务数据发送至所述安全通信模组与第二策略文件进行策略匹配等;进而保证安全移动终端通过安全通信模组安全地访问互联网应用或者云平台。

Description

一种基于安全通信模组的安全通信方法及系统
技术领域
本发明涉及信息安全技术领域,具体涉及一种基于安全通信模组的安全通信方法及系统。
背景技术
随着移动网络的发展和智能终端性能的提升及普及,智能终端及基于无线通信、移动应用的用户量急剧增加,基于移动网络的功能服务也日益增强。特别是随着物联网技术的逐渐应用,移动终端通常需要远程接入云平台来进行智能设备的控制等操作,如用户通过移动终端可远程接入云平台进行智能家居、智能门锁的控制管理等操作。
然而,在用户通过移动终端远程接入云平台、访问互联网的应用场景时,通常都是通过公共互联网进行连接,会存在一些安全隐患,例如恶意分子非法接入云平台、数据传输容易被窃取或篡改等。因此如何使得用户能够通过移动终端可以安全地接入特定的云平台、访问互联网,且保证数据能够安全传输和有效的访问控制是目前急需解决的问题。
发明内容
本发明针对上述问题,有必要提供一种基于安全通信模组的安全通信方法及系统,通过将通信模组和安全芯片集成为一体,形成安全通信模组,使得用户能够通过移动终端的安全通信模组可以安全地接入特定的云平台、访问互联网,且保证数据能够安全传输和有效的访问控制。
本发明第一方面提出一种基于安全通信模组的安全通信方法,所述安全通信方法包括:
安全移动终端通过安全通信模组与云平台的安全网关进行密钥协商后获得会话密钥,并进行策略文件的加密传输;
所述安全通信模组根据所述策略文件进行防火墙策略配置;所述策略文件包括第一策略文件和/或第二策略文件;
当安全移动终端的终端应用访问互联网应用时:
所述安全移动终端的终端应用将访问互联网的数据发送至所述安全通信模组与第一策略文件进行策略匹配;
若第一策略匹配成功,所述安全通信模组则所述安全通信模组将所述访问互联网的数据发送至互联网应用进行联网处理;
当安全移动终端的终端应用访问云平台服务时:
所述安全移动终端的安全通信模组根据所述第二策略文件进行网关IP和监听端口配置;
所述安全移动终端的终端应用将访问云平台的业务数据发送至所述安全通信模组与第二策略文件进行策略匹配;
若第二策略匹配成功,所述终端应用将访问云平台的业务数据发送至所述安全通信模组进行数据端口监听;
所述终端应用通过安全通信模组与所述云平台的安全网关、业务服务器之间进行业务数据的加解密处理。
进一步的,在策略下发的过程中,安全移动终端通过安全通信模组与云平台的安全网关进行密钥协商后获得会话密钥,并进行策略文件的加密传输具体包括:
安全移动终端通过安全通信模组生成第一密钥协商参数,并发送至所述安全网关;其中,所述第一密钥协商参数至少包括生成的第一随机数信息和安全移动终端支持的密码算法类型;
所述安全网关接收所述第一密钥协商参数,在从所述密码算法类型中筛选出安全通信模组与安全网关之间使用的密码算法类型后,生成第二密钥协商参数并发送至所述安全通信模组;其中,所述第二密钥协商参数至少包括网关数字证书、生成的第二随机数和选中的密码算法;
所述安全通信模组接收所述第二密钥协商参数,对所述网关数字证书进行验证后,生成第三随机数并使用网关公钥进行加密后发送至所述安全网关;
所述安全网关使用其私钥进行解密后获得第三随机数;
所述安全移动终端通过所述安全通信模组、所述云平台通过所述安全网关分别使用选中的密码算法对所述第一随机数、第二随机数和第三随机数进行计算后生成双方通信的会话密钥;
所述安全网关配置转发规则的策略文件,并将所述策略文件通过所述会话密钥进行加密后发送至所述安全通信模组,所述安全通信模组通过所述会话密钥进行解密后获得所述策略文件。
进一步的,在访问互联网应用的过程中,安全移动终端的终端应用将访问互联网的数据发送至所述安全通信模组与第一策略文件进行策略匹配,具体包括:
终端应用将访问互联网的数据发送至所述安全通信模组;
所述安全通信模组根据配置的所述第一策略文件判断所述访问互联网的数据是否匹配相应的第一策略;
若安全移动终端的用户身份标识与允许访问互联网应用的身份权限匹配,且访问互联网的数据内容与允许访问互联网应用的内容权限匹配,则判断匹配成功,继续后续数据通信;否则,判断匹配失败,则向所述终端应用返回丢弃数据、访问失败的信息;
以及,
所述安全通信模组将所述访问互联网的数据发送至互联网应用进行联网处理之后还包括:所述互联网应用将访问结果通过所述安全通信模组返回至所述终端应用。
进一步的,在访问互联网应用的过程中,所述安全移动终端的终端应用将访问云平台的业务数据发送至所述安全通信模组与第二策略文件进行策略匹配,具体包括:
所述安全移动终端的终端应用将访问云平台的业务数据发送至所述安全通信模组;
所述安全通信模组根据配置的所述第二策略文件判断所述访问云平台的业务数据是否匹配相应的第二策略;
若安全移动终端的用户身份标识与允许访问安全网关和业务服务器的身份权限匹配,且访问云平台的业务数据内容与允许访问安全网关和业务服务器的内容权限匹配,则判断匹配成功,继续后续数据通信;否则,判断匹配失败,所述安全通信模组则向所述终端应用返回丢弃数据、访问失败的信息;
以及,在访问云平台服务的过程中,所述安全移动终端的终端应用通过安全通信模组与所述云平台的安全网关、业务服务器之间进行业务数据的加解密处理,具体包括:
所述安全通信模组通过所述会话密钥对业务数据进行加密后获得业务数据密文,并发送至所述安全网关;
所述安全网关通过所述会话密钥对所述业务数据的密文进行解密后,并转发至相应的业务服务器进行处理;
所述业务服务器将所述业务数据的响应结果返回至所述安全网关,所述安全网关通过所述会话密钥对所述响应结果进行加密后返回至所述安全通信模组;
所述安全通信模组通过所述会话密钥对所述响应结果的密文进行解密后,并发送至所述终端应用。
进一步的,在访问云平台服务的过程中,所述终端应用通过安全通信模组与所述云平台的安全网关、业务服务器之间进行业务数据的加解密处理之前,还包括:
所述安全移动终端的终端应用将登录云平台的请求数据发送至所述安全通信模组进行数据端口监听;
所述终端应用通过所述安全通信模组与所述云平台的安全网关之间进行平台登录请求的加解密传输;
其中,所述终端应用通过所述安全通信模组与所述云平台的安全网关之间进行平台登录请求的加解密传输,具体包括:
所述终端应用通过所述安全通信模组使用所述会话密钥对所述登录云平台的请求数据进行加密后发送至所述安全网关;
所述安全网关通过所述会话密钥对登录云平台的请求数据密文进行解密和处理后,将登录结果通过所述会话密钥进行加密后返回至所述安全通信模组;
所述安全通信模组通过所述会话密钥对所述登录结果的密文进行解密后,将登录结果返回至所述终端应用。
本发明第二方面还提出一种基于安全通信模组的安全通信系统,所述安全通信系统包括安全移动终端和云平台;所述安全移动终端包括有安全通信模组、终端应用、互联网应用,所述云平台包括有安全网关和业务服务器;所述安全移动终端和所述云平台通过网络进行通信连接;
在策略下发的过程中:
所述安全移动终端,用于通过所述安全通信模组与所述安全网关进行密钥协商后获得会话密钥,并进行策略文件的加密传输;
所述安全通信模组,用于根据所述策略文件进行防火墙策略配置;其中,所述策略文件包括第一策略文件和/或第二策略文件;
在访问互联网应用的过程中:
所述安全移动终端的终端应用,用于将访问互联网的数据发送至所述安全通信模组与第一策略文件进行策略匹配;
所述安全移动终端的安全通信模组,还用于在第一策略匹配成功后,将所述访问互联网的数据发送至互联网应用进行联网处理;
在访问云平台服务的过程中:
所述安全移动终端的安全通信模组,用于根据所述第二策略文件进行网关IP和监听端口配置;
所述安全移动终端的终端应用,用于将访问云平台的业务数据发送至所述安全通信模组与第二策略文件进行策略匹配;在第二策略匹配成功后,还用于将访问云平台的业务数据发送至所述安全通信模组进行数据端口监听;
所述终端应用,还用于通过安全通信模组与所述云平台的安全网关、业务服务器之间进行业务数据的加解密处理。
进一步的,所述安全移动终端,用于通过安全通信模组与云平台的安全网关进行密钥协商后获得会话密钥,并进行策略文件的加密传输,具体包括:
安全移动终端通过安全通信模组生成第一密钥协商参数,并发送至所述安全网关;其中,所述第一密钥协商参数至少包括生成的第一随机数信息和安全移动终端支持的密码算法类型;
所述安全网关接收所述第一密钥协商参数,在从所述密码算法类型中筛选出安全通信模组与安全网关之间使用的密码算法类型后,生成第二密钥协商参数并发送至所述安全通信模组;其中,所述第二密钥协商参数至少包括网关数字证书、生成的第二随机数和选中的密码算法;
所述安全通信模组接收所述第二密钥协商参数,对所述网关数字证书进行验证后,生成第三随机数并使用网关公钥进行加密后发送至所述安全网关;
所述安全网关使用其私钥进行解密后获得第三随机数;
所述安全移动终端通过所述安全通信模组、所述云平台通过所述安全网关分别使用选中的密码算法对所述第一随机数、第二随机数和第三随机数进行计算后生成双方通信的会话密钥;
所述安全网关配置转发规则的策略文件,并将所述策略文件通过所述会话密钥进行加密后发送至所述安全通信模组,所述安全通信模组通过所述会话密钥进行解密后获得所述策略文件。
进一步的,所述终端应用,用于将访问互联网的数据发送至所述安全通信模组与第一策略文件进行策略匹配具体包括:
安全移动终端的终端应用将访问互联网的数据发送至所述安全通信模组;
所述安全通信模组根据配置的所述第一策略文件判断所述访问互联网的数据是否匹配相应的策略;
若若安全移动终端的用户身份标识与允许访问互联网应用的身份权限匹配,且访问互联网的数据内容与允许访问互联网应用的内容权限匹配,则判断匹配成功,继续后续数据通信;否则,判断匹配失败,则向所述终端应用返回丢弃数据、访问失败的信息;
以及,
所述安全通信模组,用于将所述访问互联网的数据发送至互联网应用进行联网处理之后还包括:所述互联网应用将访问结果通过所述安全通信模组返回至所述终端应用。
进一步的,所述安全移动终端的终端应用,用于将访问云平台的业务数据发送至所述安全通信模组与第二策略文件进行策略匹配,具体包括:
所述安全移动终端的终端应用将访问云平台的业务数据发送至所述安全通信模组;
所述安全通信模组根据配置的所述第二策略文件判断所述访问云平台的业务数据是否匹配相应的第二策略;
若安全移动终端的用户身份标识与允许访问安全网关和业务服务器的身份权限匹配,且访问云平台的业务数据内容与允许访问安全网关和业务服务器的内容权限匹配,则判断匹配成功,继续后续数据通信;否则,判断匹配失败,所述安全通信模组则向所述终端应用返回丢弃数据、访问失败的信息;
以及,所述终端应用,用于通过安全通信模组与所述云平台的安全网关、业务服务器之间进行业务数据的加解密处理,具体包括:
所述安全通信模组通过所述会话密钥对业务数据进行加密后获得业务数据密文,并发送至所述安全网关;
所述安全网关通过所述会话密钥对所述业务数据的密文进行解密后,并转发至相应的业务服务器进行处理;
所述业务服务器将所述业务数据的响应结果返回至所述安全网关,所述安全网关通过所述会话密钥对所述响应结果进行加密后返回至所述安全通信模组;
所述安全通信模组通过所述会话密钥对所述响应结果的密文进行解密后,并发送至所述终端应用。
进一步的,所述终端应用,用于在通过安全通信模组与所述云平台的安全网关、业务服务器之间进行业务数据的加解密处理之前:
所述终端应用,还用于将登录云平台的请求数据发送至所述安全通信模组进行数据端口监听;
所述终端应用,还用于通过所述安全通信模组与所述云平台的安全网关之间进行平台登录请求的加解密传输,具体包括:
所述终端应用通过所述安全通信模组使用所述会话密钥对所述登录云平台的请求数据进行加密后发送至所述安全网关;
所述安全网关通过所述会话密钥对所述登录云平台的请求数据密文进行解密和处理后,并将登录结果通过所述会话密钥进行加密后返回至所述安全通信模组;
所述安全通信模组通过所述会话密钥对所述登录结果的密文进行解密后,将登录结果返回至所述终端应用。
本发明具有突出的实质性特点和显著的进步,具体的说:
(1)本发明安全移动终端通过安全通信模组与云平台的安全网关进行密钥协商后获得会话密钥,使得安全移动终端与云平台之间建立了安全通道,并且通过安全通道能够保证策略文件的加密传输,防止策略文件被非法窃取和篡改;进而保证安全移动终端通过安全通信模组安全地访问互联网应用或者云平台;
(2)本发明针对通过安全通信模组访问互联网应用时,安全通信模组根据策略文件进行防火墙策略配置;终端应用将访问互联网的数据发送至安全通信模组进行策略匹配;通过防火墙策略配置和匹配能够保证互联网访问的有效管控,防止非法用户数据访问互联网应用;访问互联网的数据通过安全策略文件可做到有限管控;
(3)安全通讯模组会对访问行为进行日志审计,并将审计结果定期上报给终端应用,方便进行事后审计;终端应用根据审计结果判断是否对策略文件进行更新;若审计结果包括预设事件类型,则依据该预设事件的内容对动态改变策略文件,以提高整个系统的通信安全;
(4)本发明针对通过安全通信模组访问特定的云平台服务时,安全通信模组根据策略文件进行网关IP和监听端口配置;所述安全移动终端的终端应用将访问云平台的业务数据发送至所述安全通信模组与第二策略文件进行策略匹配;若第二策略匹配成功,所述安全通信模组对所述访问云平台的业务数据进行数据端口监听;通过匹配能够保证云平台访问的有效管控,防止非法用户数据访问云平台;访问云平台的数据通过安全策略文件可做到有限管控;
同时,终端应用将访问云平台的业务数据发送至安全通信模组进行数据端口监听;使得安全通信模组根据下发的转发策略监听相应的端口,将云平台服务的业务数据通过确定的端口导入至建立的安全通道内;此外,终端应用通过安全通信模组与云平台的安全网关、业务服务器之间进行业务数据的加解密处理,能够保证安全移动终端和云平台之间业务数据的安全传输,避免非法窃取和篡改;
(5)本发明通过终端应用将登录云平台的请求数据发送至安全通信模组进行数据端口监听,保证了在用户进行业务数据的传输之前还需要进行平台登录的验证;终端应用通过安全通信模组与云平台的安全网关之间进行平台登录请求的加解密传输;平台登录的验证操作以及登录请求数据加密传输,避免非法用户进行云平台的登录。
本发明的附加方面和优点将在下面的描述部分中变得明显,或通过本发明的实践了解到。
附图说明
本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解,其中:
图1示出本发明一种基于安全通信模组的安全通信方法流程图;
图2示出本发明一种基于安全通信模组的安全通信方法中访问互联网应用的方法实施流程图;
图3示出本发明一种基于安全通信模组的安全通信方法中访问云平台服务的方法实施流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,当一个组件被认为是“连接”另一个组件,它可以是直接连接到另一个组件或者可能同时存在居中组件。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本发明。
如图1所示,本发明第一方面提出一种基于安全通信模组的安全通信方法,所述安全通信方法包括:策略下发的过程、访问互联网应用的过程和访问云平台服务的过程;
策略下发的过程:
安全移动终端通过安全通信模组与云平台的安全网关进行密钥协商后获得会话密钥,并进行策略文件的加密传输;
所述安全通信模组根据所述策略文件进行防火墙策略配置;其中,所述策略文件包括第一策略文件和/或第二策略文件;所述第一策略文件包括允许允许访问互联网应用的身份标识以及允许访问互联网应用的内容权限,所述第二策略文件包括允许访问安全网关和业务服务器的身份标识,允许访问安全网关和业务服务器的内容权限,以及安全通信模组与安全网关之间使用的安全通信端口;
访问互联网应用的过程:
当安全移动终端的终端应用访问云平台服务时:所述安全移动终端的终端应用将访问互联网的数据发送至所述安全通信模组与第一策略文件进行策略匹配;
若第一策略匹配成功,所述安全通信模组则将所述访问互联网的数据发送至互联网应用进行联网处理;
所述访问云平台服务的过程:
当安全移动终端的终端应用访问云平台服务时:所述安全移动终端的安全通信模组根据所述策略文件进行网关IP和监听端口配置;
所述安全移动终端的终端应用将访问云平台的业务数据发送至所述安全通信模组与第二策略文件进行策略匹配;
若第二策略匹配成功,所述终端应用对所述访问云平台的业务数据进行数据端口监听;
所述终端应用通过所述安全通信模组与所述云平台的安全网关、业务服务器之间进行业务数据的加解密处理。
需要说明的是,安全通信模组是将通信模组和安全模块合成为一体形成的,与传统的在移动终端上加入安全芯片或者采用TF密码卡等操作是有一定区别的,能够更好地为移动终端提供密码服务;安全模块包括安全芯片、安全SIM卡和安全软件密码模块等;安全通信模组至少包括3G/4G/5G安全通信模组、NB安全通信模组和其他类别的安全通信模组。
需要说明的是,访问互联网的数据通过安全策略文件可做到有限管控;另外安全通讯模组会对访问行为进行日志审计,并将审计结果定期上报给终端应用。终端应用根据审计结果判断是否对策略文件进行更新;若审计结果包括预设事件类型,则依据该预设事件的内容对动态改变策略文件,防止某个不安全点被重复攻击,以提高整个系统的通信安全。
具体的,在策略下发的过程中,安全移动终端通过安全通信模组与云平台的安全网关进行密钥协商后获得会话密钥,并进行策略文件的加密传输,具体包括:
安全移动终端通过安全通信模组生成第一密钥协商参数,并发送至所述安全网关;其中,所述第一密钥协商参数至少包括生成的第一随机数信息和安全移动终端支持的密码算法类型;
所述安全网关接收所述第一密钥协商参数,在从所述密码算法类型中筛选出安全通信模组与安全网关之间使用的密码算法类型后,生成第二密钥协商参数并发送至所述安全通信模组;其中,所述第二密钥协商参数至少包括网关数字证书、生成的第二随机数和选中的密码算法;
所述安全通信模组接收所述第二密钥协商参数,对所述网关数字证书进行验证后,生成第三随机数并使用网关公钥进行加密后发送至所述安全网关;
所述安全网关使用其私钥进行解密后获得第三随机数;
所述安全移动终端通过所述安全通信模组、所述云平台通过所述安全网关分别使用选中的密码算法对所述第一随机数、第二随机数和第三随机数进行计算后生成双方通信的会话密钥;
所述安全网关配置转发规则的策略文件,并将所述策略文件通过所述会话密钥进行加密后发送至所述安全通信模组,所述安全通信模组通过所述会话密钥进行解密后获得所述策略文件。
可以理解,所述第一密钥协商参数包含安全移动终端支持的密码算法类型,且密码算法类型包括一种或者一种以上的密码算法类型;所述安全网关接收所述第一密钥协商参数后,从安全移动终端支持的密码算法类型选出一种密码算法类型,以供所述安全移动终端与所述云平台之间密钥协商生成会话密钥使用。
需要说明的是,在密钥协商过程中,安全网关还可以请求获取安全移动终端用户的数字证书并进行相应的验证,从而实现双方之间的双向认证,以进一步提高通信安全可靠性。
如图2所示,在访问互联网应用的过程中,安全移动终端的终端应用将访问互联网的数据发送至所述安全通信模组与第一策略文件进行策略匹配,具体包括:
终端应用将访问互联网的数据发送至所述安全通信模组;
所述安全通信模组根据配置的所述第一策略文件判断所述访问互联网的数据是否匹配相应的策略;
若安全移动终端的用户身份标识与允许访问互联网应用的身份权限匹配,且访问互联网的数据内容与允许访问互联网应用的内容权限匹配,则判断匹配成功,继续后续数据通信;否则,判断匹配失败,所述安全通信模组则向所述终端应用返回丢弃数据、访问失败的信息;
以及,
所述安全通信模组将所述访问互联网的数据发送至互联网应用进行联网处理之后还包括:所述互联网应用将访问结果通过所述安全通信模组返回至所述终端应用。
进一步的,在访问互联网应用的过程中,所述安全移动终端的终端应用将访问云平台的业务数据发送至所述安全通信模组与第二策略文件进行策略匹配,具体包括:
所述安全移动终端的终端应用将访问云平台的业务数据发送至所述安全通信模组;
所述安全通信模组根据配置的所述第二策略文件判断所述访问云平台的业务数据是否匹配相应的第二策略;
若安全移动终端的用户身份标识与允许访问安全网关和业务服务器的身份权限匹配,且访问云平台的业务数据内容与允许访问安全网关和业务服务器的内容权限匹配,则判断匹配成功,继续后续数据通信;否则,判断匹配失败,所述安全通信模组则向所述终端应用返回丢弃数据、访问失败的信息;
如图3所示,在访问云平台服务的过程中,所述安全移动终端的终端应用通过安全通信模组与所述云平台的安全网关、业务服务器之间进行业务数据的加解密处理,具体包括:
所述安全通信模组通过所述会话密钥对业务数据进行加密后获得业务数据密文,并发送至所述安全网关;
所述安全网关通过所述会话密钥对所述业务数据的密文进行解密后,并转发至相应的业务服务器进行处理;
所述业务服务器将所述业务数据的响应结果返回至所述安全网关,所述安全网关通过所述会话密钥对所述响应结果进行加密后返回至所述安全通信模组;
所述安全通信模组通过所述会话密钥对所述响应结果的密文进行解密后,并发送至所述终端应用。
具体的,在访问云平台服务的过程中,所述终端应用通过安全通信模组与所述云平台的安全网关、业务服务器之间进行业务数据的加解密处理之前还包括:
所述安全移动终端的终端应用将登录云平台的请求数据发送至所述安全通信模组进行数据端口监听;
所述终端应用通过所述安全通信模组与所述云平台的安全网关之间进行平台登录请求的加解密传输;
其中,所述终端应用通过所述安全通信模组与所述云平台的安全网关之间进行平台登录请求的加解密传输,具体包括:
所述终端应用通过所述安全通信模组使用所述会话密钥对所述登录云平台的请求数据进行加密后发送至所述安全网关;
所述安全网关通过所述会话密钥对登录云平台的请求数据密文进行解密和处理后,将登录结果通过所述会话密钥进行加密后返回至所述安全通信模组;
所述安全通信模组通过所述会话密钥对所述登录结果的密文进行解密后,将登录结果返回至所述终端应用。
需要说明的是,除了进行云平台登录以后的访问控制,本发明通过终端应用将登录云平台的请求数据发送至安全通信模组进行数据端口监听,进行云平台登录以前的访问控制,防止非法登录;在用户进行业务数据的传输之前还需要进行平台登录的验证,且登录请求数据加密传输,避免非法用户进行云平台的登录。
在具体的实施例中,在进行策略下发之前还包括:安全移动终端用户向云平台进行设备信息的注册,注册完成后向安全移动终端用户返回设备ID,实现平台注册;终端应用配置设备ID,并通过安全通信模组向云平台发送数字证书申请,由云平台签发数字证书并通过安全通信模组返回至终端应用,实现终端证书配置。
需要说明的是,终端应用可支持访问安全通信模组的接口包括支持标准国密的接口、支持国密适配的接口、API接口、支持AT指令集的接口等;终端应用和安全通信模组之间可采用AT指令方式或者API调用SDK方式进行命令的传输等,包括云平台登录的验证、安全通道的打开关闭、调用安全通信模组的安全能力,实现数据加密等。
需要说明的是,终端应用的数据发送至通道的虚拟串口,安全通信模组负责监听相应的端口,将云平台服务的业务数据通过确定的端口导入至建立的安全通道内,并将数据进行加密后通过安全通道发送至云平台。安全通道对应的端口是通过策略文件下发配置的,而策略文件是云平台生成并通过会话密钥加密传输的,增强的通讯端口的安全性,使得攻击者无法探知云平台业务服务器的通讯端口,从而大大增强业务服务的安全性。
本发明第二方面还提出一种基于安全通信模组的安全通信系统,所述安全通信系统包括安全移动终端和云平台;所述安全移动终端包括有安全通信模组、终端应用、互联网应用,所述云平台包括有安全网关和业务服务器;所述安全移动终端和所述云平台通过网络进行通信连接;
在策略下发的过程中:
所述安全移动终端,用于通过所述安全通信模组与所述安全网关进行密钥协商后获得会话密钥,并进行策略文件的加密传输;
所述安全通信模组,用于根据所述策略文件进行防火墙策略配置;其中,所述策略文件包括第一策略文件和/或第二策略文件;
在访问互联网应用的过程中:
所述安全移动终端的终端应用,用于将访问互联网的数据发送至所述安全通信模组与第一策略文件进行策略匹配;
所述安全移动终端的安全通信模组,还用于在第一策略匹配成功后,将所述访问互联网的数据发送至互联网应用进行联网处理;
在访问云平台服务的过程中:
所述安全移动终端的安全通信模组,用于根据所述第二策略文件进行网关IP和监听端口配置;
所述安全移动终端的终端应用,用于将访问云平台的业务数据发送至所述安全通信模组与第二策略文件进行策略匹配;在第二策略匹配成功后,还用于将访问云平台的业务数据发送至所述安全通信模组进行数据端口监听;
所述安全移动终端的终端应用,还用于通过安全通信模组与所述云平台的安全网关、业务服务器之间进行业务数据的加解密处理。
具体的,所述安全移动终端,用于通过安全通信模组与云平台的安全网关进行密钥协商后获得会话密钥,并进行策略文件的加密传输,具体包括:
安全移动终端通过安全通信模组生成第一密钥协商参数,并发送至所述安全网关;其中,所述第一密钥协商参数至少包括生成的第一随机数信息和安全移动终端支持的密码算法类型;
所述安全网关接收所述第一密钥协商参数,在从所述密码算法类型中筛选出安全通信模组与安全网关之间使用的密码算法类型后,生成第二密钥协商参数并发送至所述安全通信模组;其中,所述第二密钥协商参数至少包括网关数字证书、生成的第二随机数和选中的密码算法;
所述安全通信模组接收所述第二密钥协商参数,对所述网关数字证书进行验证后,生成第三随机数并使用网关公钥进行加密后发送至所述安全网关;
所述安全网关使用其私钥进行解密后获得第三随机数;
所述安全移动终端通过所述安全通信模组、所述云平台通过所述安全网关分别使用选中的密码算法对所述第一随机数、第二随机数和第三随机数进行计算后生成双方通信的会话密钥;
所述安全网关配置转发规则的策略文件,并将所述策略文件通过所述会话密钥进行加密后发送至所述安全通信模组,所述安全通信模组通过所述会话密钥进行解密后获得所述策略文件。
具体的,所述终端应用,用于将访问互联网的数据发送至所述安全通信模组与第一策略文件进行策略匹配,具体包括:
安全移动终端的终端应用将访问互联网的数据发送至所述安全通信模组;
所述安全通信模组根据配置的所述第一策略文件判断所述访问互联网的数据是否匹配相应的策略;
若安全移动终端的用户身份标识与允许访问互联网应用的身份权限匹配,且访问互联网的数据内容与允许访问互联网应用的内容权限匹配,则判断匹配成功,继续后续数据通信;否则,判断匹配失败,所述安全通信模组则向所述终端应用返回丢弃数据、访问失败的信息;
以及,
所述安全通信模组,用于将所述访问互联网的数据发送至互联网应用进行联网处理之后还包括:所述互联网应用将访问结果通过所述安全通信模组返回至所述终端应用。
进一步的,所述安全移动终端的终端应用,用于将访问云平台的业务数据发送至所述安全通信模组与第二策略文件进行策略匹配,具体包括:
所述安全移动终端的终端应用将访问云平台的业务数据发送至所述安全通信模组;
所述安全通信模组根据配置的所述第二策略文件判断所述访问云平台的业务数据是否匹配相应的第二策略;
若安全移动终端的用户身份标识与允许访问安全网关和业务服务器的身份权限匹配,且访问云平台的业务数据内容与允许访问安全网关和业务服务器的内容权限匹配,则判断匹配成功,继续后续数据通信;否则,判断匹配失败,所述安全通信模组则向所述终端应用返回丢弃数据、访问失败的信息。
具体的,所述安全移动终端的终端应用,用于通过安全通信模组与所述云平台的安全网关、业务服务器之间进行业务数据的加解密处理,具体包括:
所述安全通信模组通过所述会话密钥对业务数据进行加密后获得业务数据密文,并发送至所述安全网关;
所述安全网关通过所述会话密钥对所述业务数据密文进行解密后,转发至相应的业务服务器进行处理;
所述业务服务器将所述业务数据的响应结果返回至所述安全网关,所述安全网关通过所述会话密钥对所述响应结果进行加密后返回至所述安全通信模组;
所述安全通信模组通过所述会话密钥对所述响应结果的密文进行解密后,并发送至所述终端应用。
具体的,所述安全移动终端的终端应用,用于在通过安全通信模组与所述云平台的安全网关、业务服务器之间进行业务数据的加解密处理之前:
所述安全移动终端的终端应用,还用于将登录云平台的请求数据发送至所述安全通信模组进行数据端口监听;
所述安全移动终端的终端应用,还用于通过所述安全通信模组与所述云平台的安全网关之间进行平台登录请求的加解密传输,具体包括:
所述终端应用通过所述安全通信模组使用所述会话密钥对所述登录云平台的请求数据进行加密后发送至所述安全网关;
所述安全网关通过所述会话密钥对所述登录云平台的请求数据密文进行解密和处理后,并将登录结果通过所述会话密钥进行加密后返回至所述安全通信模组;
所述安全通信模组通过所述会话密钥对所述登录结果的密文进行解密后,将登录结果返回至所述终端应用。
本发明安全移动终端通过安全通信模组与云平台的安全网关进行密钥协商后获得会话密钥,使得安全移动终端与云平台之间建立了安全通道,并且通过安全通道能够保证策略文件的加密传输,防止策略文件被非法窃取和篡改;
本发明针对通过安全通信模组访问互联网应用时,安全通信模组根据策略文件进行防火墙策略配置;终端应用将访问互联网的数据发送至安全通信模组进行策略匹配;通过防火墙策略配置和匹配能够保证互联网访问的有效管控,防止非法用户数据访问互联网应用;访问互联网的数据通过安全策略文件可做到有限管控,另外安全通讯模组会对访问行为进行日志审计,并将审计结果定期上报给终端应用,方便进行事后审计;
本发明针对通过安全通信模组访问特定的云平台服务时,安全通信模组根据策略文件进行网关IP和监听端口配置;终端应用将访问云平台的业务数据发送至安全通信模组进行数据端口监听;使得安全通信模组根据下发的转发策略监听相应的端口,将云平台服务的业务数据通过确定的端口导入至建立的安全通道内;此外,终端应用通过安全通信模组与云平台的安全网关、业务服务器之间进行业务数据的加解密处理,能够保证安全移动终端和云平台之间业务数据的安全传输,避免非法窃取和篡改;
本发明通过终端应用将登录云平台的请求数据发送至安全通信模组进行数据端口监听;终端应用通过安全通信模组与云平台的安全网关之间进行平台登录请求的加解密传输;保证了在用户进行业务数据的传输之前还需要进行平台登录的验证,且登录请求数据加密传输,避免非法用户进行云平台的登录。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种基于安全通信模组的安全通信方法,其特征在于,包括以下步骤:
安全移动终端通过安全通信模组与云平台的安全网关进行密钥协商后获得会话密钥,并进行策略文件的加密传输;
所述安全移动终端的安全通信模组根据所述策略文件进行防火墙策略配置;其中,所述策略文件包括第一策略文件和/或第二策略文件;
当安全移动终端的终端应用访问互联网应用时:
所述安全移动终端的终端应用将访问互联网的数据发送至所述安全通信模组与第一策略文件进行策略匹配;
若第一策略匹配成功,所述安全通信模组则将所述访问互联网的数据发送至互联网应用进行联网处理;
当安全移动终端的终端应用访问云平台服务时:
所述安全移动终端的安全通信模组根据所述第二策略文件进行网关IP和监听端口配置;
所述安全移动终端的终端应用将访问云平台的业务数据发送至所述安全通信模组与第二策略文件进行策略匹配;
若第二策略匹配成功,所述安全通信模组对所述访问云平台的业务数据进行数据端口监听;
所述终端应用通过所述安全通信模组与所述云平台的安全网关、业务服务器之间进行业务数据的加解密处理。
2.根据权利要求1所述的安全通信方法,其特征在于,在策略下发的过程中,安全移动终端通过安全通信模组与云平台的安全网关进行密钥协商后获得会话密钥,并进行策略文件的加密传输,具体包括:
安全移动终端通过安全通信模组生成第一密钥协商参数,并发送至所述安全网关;其中,所述第一密钥协商参数至少包括生成的第一随机数信息和安全移动终端支持的密码算法类型;
所述安全网关接收所述第一密钥协商参数,在从所述密码算法类型中筛选出安全通信模组与安全网关之间使用的密码算法类型后,生成第二密钥协商参数并发送至所述安全通信模组;其中,所述第二密钥协商参数至少包括网关数字证书、生成的第二随机数和选中的密码算法;
所述安全通信模组接收所述第二密钥协商参数,对所述网关数字证书进行验证后,生成第三随机数并使用网关公钥进行加密后发送至所述安全网关;
所述安全网关使用其私钥进行解密后获得第三随机数;
所述安全移动终端通过所述安全通信模组、所述云平台通过所述安全网关分别使用选中的密码算法对所述第一随机数、第二随机数和第三随机数进行计算后生成双方通信的会话密钥;
所述安全网关配置转发规则的策略文件,并将所述策略文件通过所述会话密钥进行加密后发送至所述安全通信模组,所述安全通信模组通过所述会话密钥进行解密后获得所述策略文件。
3.根据权利要求1所述的安全通信方法,其特征在于,在访问互联网应用的过程中,安全移动终端的终端应用将访问互联网的数据发送至所述安全通信模组与第一策略文件进行策略匹配,具体包括:
终端应用将访问互联网的数据发送至所述安全通信模组;
所述安全通信模组根据配置的所述第一策略文件判断所述访问互联网的数据是否匹配相应的第一策略;
若安全移动终端的用户身份标识与允许访问互联网应用的身份权限匹配,且访问互联网的数据内容与允许访问互联网应用的内容权限匹配,则判断匹配成功,继续后续数据通信;否则,判断匹配失败,所述安全通信模组则向所述终端应用返回丢弃数据、访问失败的信息;
以及,
所述安全通信模组将所述访问互联网的数据发送至互联网应用进行联网处理之后还包括:所述互联网应用将访问结果通过所述安全通信模组返回至所述终端应用。
4.根据权利要求1所述的安全通信方法,其特征在于,在访问互联网应用的过程中,所述安全移动终端的终端应用将访问云平台的业务数据发送至所述安全通信模组与第二策略文件进行策略匹配,具体包括:
所述安全移动终端的终端应用将访问云平台的业务数据发送至所述安全通信模组;
所述安全通信模组根据配置的所述第二策略文件判断所述访问云平台的业务数据是否匹配相应的第二策略;
若安全移动终端的用户身份标识与允许访问安全网关和业务服务器的身份权限匹配,且访问云平台的业务数据内容与允许访问安全网关和业务服务器的内容权限匹配,则判断匹配成功,继续后续数据通信;否则,判断匹配失败,所述安全通信模组则向所述终端应用返回丢弃数据、访问失败的信息;
以及,在访问云平台服务的过程中,所述安全移动终端的终端应用通过安全通信模组与所述云平台的安全网关、业务服务器之间进行业务数据的加解密处理,具体包括:
所述安全通信模组通过所述会话密钥对业务数据进行加密后获得业务数据密文,并发送至所述安全网关;
所述安全网关通过所述会话密钥对所述业务数据密文进行解密后,转发至相应的业务服务器进行处理;
所述业务服务器将所述业务数据的响应结果返回至所述安全网关,所述安全网关通过所述会话密钥对所述响应结果进行加密后返回至所述安全通信模组;
所述安全通信模组通过所述会话密钥对所述响应结果的密文进行解密后,发送至所述终端应用。
5.根据权利要求1所述的安全通信方法,其特征在于,在访问云平台服务的过程中,在所述终端应用通过安全通信模组与所述云平台的安全网关、业务服务器之间进行业务数据的加解密处理之前,还包括:
所述安全移动终端的终端应用将登录云平台的请求数据发送至所述安全通信模组进行数据端口监听;
所述终端应用通过所述安全通信模组与所述云平台的安全网关之间进行平台登录请求的加解密传输;
其中,所述终端应用通过所述安全通信模组与所述云平台的安全网关之间进行平台登录请求的加解密传输,具体包括:
所述终端应用通过所述安全通信模组使用所述会话密钥对所述登录云平台的请求数据进行加密后发送至所述安全网关;
所述安全网关通过所述会话密钥对登录云平台的请求数据密文进行解密和处理后,将登录结果通过所述会话密钥进行加密后返回至所述安全通信模组;
所述安全通信模组通过所述会话密钥对所述登录结果的密文进行解密后,将登录结果返回至所述终端应用。
6.一种基于安全通信模组的安全通信系统,其特征在于,所述安全通信系统包括安全移动终端和云平台;所述安全移动终端包括有安全通信模组、终端应用、互联网应用,所述云平台包括有安全网关和业务服务器;所述安全移动终端和所述云平台通过网络进行通信连接;
在策略下发的过程中:
所述安全移动终端,用于通过所述安全通信模组与所述安全网关进行密钥协商后获得会话密钥,并进行策略文件的加密传输;
所述安全通信模组,用于根据所述策略文件进行防火墙策略配置;其中,所述策略文件包括第一策略文件和/或第二策略文件;
在访问互联网应用的过程中:
所述安全移动终端的终端应用,用于将访问互联网的数据发送至所述安全通信模组与第一策略文件进行策略匹配;
所述安全移动终端的安全通信模组,还用于在第一策略匹配成功后,将所述访问互联网的数据发送至互联网应用进行联网处理;
在访问云平台服务的过程中:
所述安全移动终端的安全通信模组,用于根据所述第二策略文件进行网关IP和监听端口配置;
所述安全移动终端的终端应用,用于将访问云平台的业务数据发送至所述安全通信模组与第二策略文件进行策略匹配;在第二策略匹配成功后,还用于将访问云平台的业务数据发送至所述安全通信模组进行数据端口监听;
所述安全移动终端的终端应用,还用于通过安全通信模组与所述云平台的安全网关、业务服务器之间进行业务数据的加解密处理。
7.根据权利要求6所述的安全通信系统,其特征在于,所述安全移动终端,用于通过安全通信模组与云平台的安全网关进行密钥协商后获得会话密钥,并进行策略文件的加密传输,具体包括:
安全移动终端通过安全通信模组生成第一密钥协商参数,并发送至所述安全网关;其中,所述第一密钥协商参数至少包括生成的第一随机数信息和安全移动终端支持的密码算法类型;
所述安全网关接收所述第一密钥协商参数,在从所述密码算法类型中筛选出安全通信模组与安全网关之间使用的密码算法类型后,生成第二密钥协商参数并发送至所述安全通信模组;其中,所述第二密钥协商参数至少包括网关数字证书、生成的第二随机数和选中的密码算法;
所述安全通信模组接收所述第二密钥协商参数,对所述网关数字证书进行验证后,生成第三随机数并使用网关公钥进行加密后发送至所述安全网关;
所述安全网关使用其私钥进行解密后获得第三随机数;
所述安全移动终端通过所述安全通信模组、所述云平台通过所述安全网关分别使用选中的密码算法对所述第一随机数、第二随机数和第三随机数进行计算后生成双方通信的会话密钥;
所述安全网关配置转发规则的策略文件,并将所述策略文件通过所述会话密钥进行加密后发送至所述安全通信模组,所述安全通信模组通过所述会话密钥进行解密后获得所述策略文件。
8.根据权利要求6所述的安全通信系统,其特征在于,所述终端应用,用于将访问互联网的数据发送至所述安全通信模组与第一策略文件进行策略匹配,具体包括:
安全移动终端的终端应用将访问互联网的数据发送至所述安全通信模组;
所述安全通信模组根据配置的所述第一策略文件判断所述访问互联网的数据是否匹配相应的策略;
若安全移动终端的用户身份标识与允许访问互联网应用的身份权限匹配,且访问互联网的数据内容与允许访问互联网应用的内容权限匹配,则判断匹配成功,继续后续数据通信;否则,判断匹配失败,所述安全通信模组则向所述终端应用返回丢弃数据、访问失败的信息;
以及,
所述安全通信模组,用于在将所述访问互联网的数据发送至互联网应用进行联网处理之后还包括:所述互联网应用将访问结果通过所述安全通信模组返回至所述终端应用。
9.根据权利要求6所述的安全通信系统,其特征在于,所述安全移动终端的终端应用,用于将访问云平台的业务数据发送至所述安全通信模组与第二策略文件进行策略匹配,具体包括:
所述安全移动终端的终端应用将访问云平台的业务数据发送至所述安全通信模组;
所述安全通信模组根据配置的所述第二策略文件判断所述访问云平台的业务数据是否匹配相应的第二策略;
若安全移动终端的用户身份标识与允许访问安全网关和业务服务器的身份权限匹配,且访问云平台的业务数据内容与允许访问安全网关和业务服务器的内容权限匹配,则判断匹配成功,继续后续数据通信;否则,判断匹配失败,所述安全通信模组则向所述终端应用返回丢弃数据、访问失败的信息;
以及,所述安全移动终端的终端应用,用于通过安全通信模组与所述云平台的安全网关、业务服务器之间进行业务数据的加解密处理,具体包括:
所述安全通信模组通过所述会话密钥对业务数据进行加密后获得业务数据密文,并发送至所述安全网关;
所述安全网关通过所述会话密钥对所述业务数据密文进行解密后,转发至相应的业务服务器进行处理;
所述业务服务器将所述业务数据的响应结果返回至所述安全网关,所述安全网关通过所述会话密钥对所述响应结果进行加密后返回至所述安全通信模组;
所述安全通信模组通过所述会话密钥对所述响应结果的密文进行解密后,发送至所述终端应用。
10.根据权利要求6所述的安全通信系统,其特征在于,所述终端应用,用于在通过安全通信模组与所述云平台的安全网关、业务服务器之间进行业务数据的加解密处理之前:
所述终端应用,还用于将登录云平台的请求数据发送至所述安全通信模组进行数据端口监听;
所述终端应用,还用于通过所述安全通信模组与所述云平台的安全网关之间进行平台登录请求的加解密传输,具体包括:
所述终端应用通过所述安全通信模组使用所述会话密钥对所述登录云平台的请求数据进行加密后发送至所述安全网关;
所述安全网关通过所述会话密钥对所述登录云平台的请求数据密文进行解密和处理后,并将登录结果通过所述会话密钥进行加密后返回至所述安全通信模组;
所述安全通信模组通过所述会话密钥对所述登录结果的密文进行解密后,将登录结果返回至所述终端应用。
CN202010725131.1A 2020-07-24 2020-07-24 一种基于安全通信模组的安全通信方法及系统 Active CN111918284B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010725131.1A CN111918284B (zh) 2020-07-24 2020-07-24 一种基于安全通信模组的安全通信方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010725131.1A CN111918284B (zh) 2020-07-24 2020-07-24 一种基于安全通信模组的安全通信方法及系统

Publications (2)

Publication Number Publication Date
CN111918284A true CN111918284A (zh) 2020-11-10
CN111918284B CN111918284B (zh) 2022-02-11

Family

ID=73280770

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010725131.1A Active CN111918284B (zh) 2020-07-24 2020-07-24 一种基于安全通信模组的安全通信方法及系统

Country Status (1)

Country Link
CN (1) CN111918284B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113612775A (zh) * 2021-08-04 2021-11-05 西安思安云创科技有限公司 基于物联设备的4c远程控制安全防护方法、装置及系统
CN114244630A (zh) * 2022-02-15 2022-03-25 北京指掌易科技有限公司 一种通信方法、装置、设备以及存储介质
CN114268508A (zh) * 2021-12-30 2022-04-01 天翼物联科技有限公司 物联网设备安全接入方法、装置、设备及介质
CN117061115A (zh) * 2023-10-11 2023-11-14 腾讯科技(深圳)有限公司 密钥协商方法、装置、计算机设备和计算机可读存储介质
CN117479154A (zh) * 2023-12-25 2024-01-30 悠密科技(北京)有限公司 基于统一多域标识认证的办公终端数据处理方法与系统

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1787513A (zh) * 2004-12-07 2006-06-14 上海鼎安信息技术有限公司 安全远程访问系统和方法
WO2016193176A1 (en) * 2015-05-29 2016-12-08 Orange A remotely protected electronic device
CN108390851A (zh) * 2018-01-05 2018-08-10 郑州信大捷安信息技术股份有限公司 一种用于工业设备的安全远程控制系统及方法
CN108512862A (zh) * 2018-05-30 2018-09-07 博潮科技(北京)有限公司 基于无证书标识认证技术的物联网终端安全认证管控平台
CN108900530A (zh) * 2018-07-30 2018-11-27 郑州信大捷安信息技术股份有限公司 一种安全通信系统及方法
CN109802937A (zh) * 2018-11-30 2019-05-24 浙江远望信息股份有限公司 一种发现对智能终端设备tcp下ip欺骗攻击的方法
CN110784491A (zh) * 2019-11-13 2020-02-11 深圳前海智安信息科技有限公司 一种物联网安全管理系统
CN110972136A (zh) * 2018-09-29 2020-04-07 上海灵慧软件科技有限公司 物联网安全通信模组、终端、安全控制系统及认证方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1787513A (zh) * 2004-12-07 2006-06-14 上海鼎安信息技术有限公司 安全远程访问系统和方法
WO2016193176A1 (en) * 2015-05-29 2016-12-08 Orange A remotely protected electronic device
CN108390851A (zh) * 2018-01-05 2018-08-10 郑州信大捷安信息技术股份有限公司 一种用于工业设备的安全远程控制系统及方法
CN108512862A (zh) * 2018-05-30 2018-09-07 博潮科技(北京)有限公司 基于无证书标识认证技术的物联网终端安全认证管控平台
CN108900530A (zh) * 2018-07-30 2018-11-27 郑州信大捷安信息技术股份有限公司 一种安全通信系统及方法
CN110972136A (zh) * 2018-09-29 2020-04-07 上海灵慧软件科技有限公司 物联网安全通信模组、终端、安全控制系统及认证方法
CN109802937A (zh) * 2018-11-30 2019-05-24 浙江远望信息股份有限公司 一种发现对智能终端设备tcp下ip欺骗攻击的方法
CN110784491A (zh) * 2019-11-13 2020-02-11 深圳前海智安信息科技有限公司 一种物联网安全管理系统

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113612775A (zh) * 2021-08-04 2021-11-05 西安思安云创科技有限公司 基于物联设备的4c远程控制安全防护方法、装置及系统
CN113612775B (zh) * 2021-08-04 2023-04-07 西安思安云创科技有限公司 基于物联设备的4c远程控制安全防护方法、装置及系统
CN114268508A (zh) * 2021-12-30 2022-04-01 天翼物联科技有限公司 物联网设备安全接入方法、装置、设备及介质
CN114268508B (zh) * 2021-12-30 2023-08-18 天翼物联科技有限公司 物联网设备安全接入方法、装置、设备及介质
CN114244630A (zh) * 2022-02-15 2022-03-25 北京指掌易科技有限公司 一种通信方法、装置、设备以及存储介质
CN114244630B (zh) * 2022-02-15 2022-06-03 北京指掌易科技有限公司 一种通信方法、装置、设备以及存储介质
CN117061115A (zh) * 2023-10-11 2023-11-14 腾讯科技(深圳)有限公司 密钥协商方法、装置、计算机设备和计算机可读存储介质
CN117061115B (zh) * 2023-10-11 2024-02-02 腾讯科技(深圳)有限公司 密钥协商方法、装置、计算机设备和计算机可读存储介质
CN117479154A (zh) * 2023-12-25 2024-01-30 悠密科技(北京)有限公司 基于统一多域标识认证的办公终端数据处理方法与系统
CN117479154B (zh) * 2023-12-25 2024-04-05 悠密科技(北京)有限公司 基于统一多域标识认证的办公终端数据处理方法与系统

Also Published As

Publication number Publication date
CN111918284B (zh) 2022-02-11

Similar Documents

Publication Publication Date Title
CN111918284B (zh) 一种基于安全通信模组的安全通信方法及系统
US8904178B2 (en) System and method for secure remote access
JP4222834B2 (ja) 格納された鍵の入手および安全な配信により鍵サーバが認証される暗号鍵を格納する方法および装置
KR101047641B1 (ko) 보안 장치용 보안 및 프라이버시 강화
US8423768B2 (en) Method for controlling the location information for authentication of a mobile station
CN112260995A (zh) 接入认证方法、装置及服务器
TW200531493A (en) Method for authenticating applications
KR20060117319A (ko) 보안모듈을 이용한 애플리케이션의 보안 관리 방법
CN107426174A (zh) 一种可信执行环境的访问控制系统及方法
CN111614686B (zh) 一种密钥管理方法、控制器及系统
WO2019001834A1 (en) METHODS AND APPARATUSES FOR CONTROLLING ACCESS TO A NETWORK DEVICE FROM A USER DEVICE
CN115473655B (zh) 接入网络的终端认证方法、装置及存储介质
CN100579012C (zh) 一种终端用户安全接入软交换网络的方法
CN111416824B (zh) 一种网络接入认证控制系统
KR20090054774A (ko) 분산 네트워크 환경에서의 통합 보안 관리 방법
CN115835194B (zh) 一种nb-iot物联网终端安全接入系统及接入方法
CN117354032A (zh) 一种基于代码服务器的多重认证方法
CN116846614A (zh) 基于可信计算的mqtt协议消息安全处理方法及系统
WO2009124587A1 (en) Service reporting
CN113079506A (zh) 网络安全认证方法、装置及设备
CN114567479B (zh) 一种智能设备安全管控加固及监测预警方法
CN117376909A (zh) 一种基于通用引导架构的单包授权认证方法及系统
JP2006512806A5 (zh)
CN117319080A (zh) 隔离保密通信的移动终端及通信方法
CN117675175A (zh) 用于http的保密通信方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
PE01 Entry into force of the registration of the contract for pledge of patent right
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: A secure communication method and system based on secure communication modules

Granted publication date: 20220211

Pledgee: Bank of Zhengzhou Co.,Ltd. Zhongyuan Science and Technology City Sub branch

Pledgor: ZHENGZHOU XINDA JIEAN INFORMATION TECHNOLOGY Co.,Ltd.

Registration number: Y2024980013861