CN114885331A - 基于通信模组的网络接入控制方法、系统及存储介质 - Google Patents

基于通信模组的网络接入控制方法、系统及存储介质 Download PDF

Info

Publication number
CN114885331A
CN114885331A CN202210815344.2A CN202210815344A CN114885331A CN 114885331 A CN114885331 A CN 114885331A CN 202210815344 A CN202210815344 A CN 202210815344A CN 114885331 A CN114885331 A CN 114885331A
Authority
CN
China
Prior art keywords
software
communication module
network connection
connection management
management software
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210815344.2A
Other languages
English (en)
Other versions
CN114885331B (zh
Inventor
朱思成
曾姝彦
胡悦
王智慧
段钧宝
孟萨出拉
张慧
韩金侠
张瑞兵
马宝娟
滕玲
董方云
刘恒
汪莞乔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Electric Power Research Institute Co Ltd CEPRI
Original Assignee
China Electric Power Research Institute Co Ltd CEPRI
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Electric Power Research Institute Co Ltd CEPRI filed Critical China Electric Power Research Institute Co Ltd CEPRI
Priority to CN202210815344.2A priority Critical patent/CN114885331B/zh
Publication of CN114885331A publication Critical patent/CN114885331A/zh
Application granted granted Critical
Publication of CN114885331B publication Critical patent/CN114885331B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/37Managing security policies for mobile devices or for controlling mobile applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/70Reducing energy consumption in communication networks in wireless communication networks
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种基于通信模组的网络接入控制方法、系统及存储介质,方法包括:在通信模组内部预置网络连接管理软件,集成安全算法以及访问控制功能;网络连接管理软件打开本端特定连接端口并监听上位机软件连接请求;上位机发起数据拨号建立网络连接,拨号成功之后,上位机应用通信模组内的网络连接管理软件,并将待接入软件特征值以及签名发送到网络连接管理软件,网络连接管理软件校验待接入软件合法性,验证通过后,将业务数据流描述发送给通信模组内的网络连接管理软件,网络连接管理软件配置访问控制功能,使能相关业务数据流进行流入或流出。本发明能够阻止非法应用通过模组接连网络,降低非法应用攻击网络风险,同时便于应用功能及时更新迭代。

Description

基于通信模组的网络接入控制方法、系统及存储介质
技术领域
本发明属于电力业务终端安全入网技术领域,具体涉及一种基于通信模组的网络接入控制方法、系统及存储介质。
背景技术
随着新型电力系统的发展,为保证安全性,电力业务终端(例如负荷控制终端)需要通过定制蜂窝模组接入专用网络或公网。终端在网络接入过程中首先需要通信模组/SIM卡与蜂窝移动网络之间进行网络鉴权,若业务终端进行网络鉴权后就可以电力业务系统主站通信,且在通信过程中没有安全防护措施,某些恶意终端可以通过海量物联网模组发起恶意攻击。
目前,无线蜂窝网络鉴权包括网络注册过程中SIM鉴权、模组设备校验以及数据链路激活过程中用户名/密码验证。上述鉴权过程完成后,网络一般不会在对后续具体应用数据再做额外检查。目前日益增多的电力业务终端通过无线通信模组接入网络,如不采用接入控制措施,业务数据通过完成网络鉴权后的通信模组后,将直接流向电力业务主站系统。若恶意终端发起网络攻击,将极大影响网络可用性与系统安全。因此直接在通信模组侧防范恶意攻击很有意义。现有技术中的一种方案通过网络服务器完成客户端应用合法性校验,需要客户端应用首先连接到服务器,然后再通过认证过程判断应用合法性,如TLS/SSL中认证流程。如果有应用通过海量的通信模组发起恶意的认证请求则可能导致服务器负荷过重,合法客户端服务请求将被拒绝。另一种方案为模组预置或者通过网络安全网关获取防火墙策略,过滤模组收发数据包,如专利申请CN111918284A公开了一种基于安全通信模组的安全通信方法及系统,模组通过网络服务器获取防火墙策略,无法根据上位机应用连接需求做灵活配置,这导致在上位机应用新增业务时可能由于模组没有及时更新防火墙策略导致业务失败。
发明内容
本发明的目的在于针对上述现有技术中的问题,提供一种基于通信模组的网络接入控制方法、系统及存储介质,模组内部支持安全算法以及访问控制功能,在网络鉴权后可能够对业务场景内上位机(业务终端)的应用进行合法性校验,阻止非法应用通过模组接连网络,降低非法应用攻击网络风险;校验通过的合法应用可以直接与模组交互使能相关的业务数据流,无需再通过网络更新访问控制策略,便于应用功能及时更新迭代。
为了实现上述目的,本发明有如下的技术方案:
第一方面,提供一种基于通信模组的网络接入控制方法,包括:
上位机发送数据拨号建立网络连接,
在所述拨号成功时,所述上位机应用通信模组内的网络连接管理软件,并将待接入软件特征值以及签名发送到网络连接管理软件,网络连接管理软件校验待接入软件合法性,验证通过后,将业务数据流描述发送给通信模组内的网络连接管理软件,网络连接管理软件配置访问控制功能,使能相关业务数据流进行流入或流出。
作为本发明基于通信模组的网络接入控制方法的一种优选方案,还包括在通信模组内部预置网络连接管理软件,集成安全算法以及访问控制功能的步骤,所述在通信模组内部预置网络连接管理软件的步骤,包括基于SM2椭圆曲线公钥加密算法生成数字签名密钥对以及加密密钥对,通信模组生产过程中将签名密钥公钥以及加密密钥私钥固化到通信模组安全存储区域或eSIM/安全二合一芯片,不可擦除且外部不可读取。
作为本发明基于通信模组的网络接入控制方法的一种优选方案,所述上位机应用通信模组内的网络连接管理软件,并将待接入软件特征值以及签名发送到网络连接管理软件,网络连接管理软件校验待接入软件合法性的步骤,包括对于可信软件,通过国密SM3密码杂凑算法根据待接入软件二进制镜像获取HASH值,使用SM2椭圆曲线公钥加密算法通过签名私钥根据待接入软件镜像HASH值以及待接入软件内置的特定USER ID进行签名;输出签名信息数据量大小固定,内容包括签名值、加密密钥对公钥以及签名信息HASH值,所述签名信息HASH值使用SM3密码杂凑算法对签名值、加密密钥对公钥和USER ID关键信息计算得出,使用签名信息HASH值完成可信软件对签名信息的有效性校验。
作为本发明基于通信模组的网络接入控制方法的一种优选方案,所述使用签名信息HASH值完成可信软件对签名信息的有效性校验的步骤,包括上位机可信软件读取签名信息并通过SM3密码杂凑算法根据软件内置的USER ID和签名值、加密密钥对公钥、签名信息HASH值校验签名信息,若校验失败,则待接入软件直接退出;否则,待接入软件通过网关地址以及基于TCP或UDP协议的特定端口连接到通信模组内的网络连接管理软件。
作为本发明基于通信模组的网络接入控制方法的一种优选方案,所述将业务数据流描述发送给通信模组内的网络连接管理软件的步骤,包括上位机可信软件生成随机共享密钥,并通过签名信息中的加密密钥对公钥使用SM2椭圆曲线公钥加密算法加密后发送给通信模组内的网络连接管理软件,通信模组内的网络连接管理软件使用SM2椭圆曲线公钥加密算法通过内置加密密钥对私钥解密获取共享密钥,随后待接入软件与通信模组内的网络连接管理软件通过共享密钥和SM4分组密码算法加密连接收发的信息。
作为本发明基于通信模组的网络接入控制方法的一种优选方案,所述网络连接管理软件校验待接入软件合法性的步骤,如果验证通过,则待接入软件定时触发心跳包保持连接有效性,所述的心跳包为在客户端和服务器间定时通知对方自己状态的一个自定义命令字;如果通信模组内的网络连接管理软件连续丢失心跳包的次数超过预设门限值,则判断网络连接失效,关闭当前网络连接并禁用网络连接对应的业务数据流。
作为本发明基于通信模组的网络接入控制方法的一种优选方案,还包括网络连接管理软件打开本端特定连接端口并监听上位机软件连接请求的步骤,所述连接端口为IP、TCP或UDP端口。
作为本发明基于通信模组的网络接入控制方法的一种优选方案,所述网络连接管理软件配置访问控制功能的步骤,默认访问控制功能的配置仅使能有限服务。
作为本发明基于通信模组的网络接入控制方法的一种优选方案,在所述拨号成功时,通信模组分配IP和网关地址给上位机,通信模组将网关地址设置为通信模组地址;
待接入软件发起业务连接前,首先将业务数据流描述,包括本端端口、协议类型、远端服务器地址、端口信息发送到通信模组内的网络连接管理软件,请求使能业务流通路;
通信模组内的网络连接管理软件根据业务数据流描述信息配置访问控制功能,使能相关业务数据流进行流入或流出,并返回结果给待接入软件;待接入软件收到网络连接管理软件返回的业务流通路使能成功应答后,正常建立业务连接,收发业务数据。
第二方面,提供一种基于通信模组的网络接入控制系统,包括:
网络连接建立模块,用于上位机发送数据拨号建立网络连接;
软件合法性验证模块,用于在所述拨号成功时,所述上位机应用通信模组内的网络连接管理软件,并将待接入软件特征值以及签名发送到网络连接管理软件,网络连接管理软件校验待接入软件合法性,验证通过后,将业务数据流描述发送给通信模组内的网络连接管理软件,网络连接管理软件配置访问控制功能,使能相关业务数据流进行流入或流出。
作为本发明基于通信模组的网络接入控制系统的一种优选方案,还包括网络连接管理软件预置模块,用于在通信模组内部预置网络连接管理软件,集成安全算法以及访问控制功能;所述网络连接管理软件预置模块基于SM2椭圆曲线公钥加密算法生成数字签名密钥对以及加密密钥对,通信模组生产过程中将签名密钥公钥以及加密密钥私钥固化到通信模组安全存储区域或eSIM/安全二合一芯片,不可擦除且外部不可读取。
作为本发明基于通信模组的网络接入控制系统的一种优选方案,所述软件合法性验证模块校验待接入软件合法性时,对于可信软件,通过国密SM3密码杂凑算法根据待接入软件二进制镜像获取HASH值,使用SM2椭圆曲线公钥加密算法通过签名私钥根据待接入软件镜像HASH值以及待接入软件内置的特定USER ID进行签名;输出签名信息数据量大小固定,内容包括签名值、加密密钥对公钥以及签名信息HASH值,所述签名信息HASH值使用SM3密码杂凑算法对签名值、加密密钥对公钥和USER ID关键信息计算得出,使用签名信息HASH值完成可信软件对签名信息的有效性校验。
作为本发明基于通信模组的网络接入控制系统的一种优选方案,所述软件合法性验证模块对签名信息的有效性校验时,上位机可信软件读取签名信息并通过SM3密码杂凑算法根据软件内置的USER ID和签名值、加密密钥对公钥、签名信息HASH值校验签名信息,若校验失败,则待接入软件直接退出;否则,待接入软件通过网关地址以及基于TCP或UDP协议的特定端口连接到通信模组内的网络连接管理软件。
作为本发明基于通信模组的网络接入控制系统的一种优选方案,所述软件合法性验证模块将业务数据流描述发送给通信模组内的网络连接管理软件时,上位机可信软件生成随机共享密钥,并通过签名信息中的加密密钥对公钥使用SM2椭圆曲线公钥加密算法加密后发送给通信模组内的网络连接管理软件,网络连接管理软件使用SM2椭圆曲线公钥加密算法通过内置加密密钥对私钥解密获取共享密钥,随后待接入软件与通信模组内的网络连接管理软件通过共享密钥和SM4分组密码算法加密连接收发的信息。
作为本发明基于通信模组的网络接入控制系统的一种优选方案,所述软件合法性验证模块校验待接入软件合法性时,如果验证通过,则待接入软件定时触发心跳包保持连接有效性,所述的心跳包为在客户端和服务器间定时通知对方自己状态的一个自定义命令字;如果通信模组内的网络连接管理软件连续丢失心跳包的次数超过预设门限值,则判断网络连接失效,关闭当前网络连接并禁用网络连接对应的业务数据流。
作为本发明基于通信模组的网络接入控制系统的一种优选方案,所述通信模组内的网络连接管理软件打开本端特定连接端口并监听上位机软件连接请求,所述连接端口为IP、TCP或UDP端口。
作为本发明基于通信模组的网络接入控制系统的一种优选方案,所述软件合法性验证模块默认访问控制功能的配置仅使能有限服务。
作为本发明基于通信模组的网络接入控制系统的一种优选方案,所述软件合法性验证模块在所述拨号成功时,通信模组分配IP和网关地址给上位机,通信模组将网关地址设置为通信模组地址;待接入软件发起业务连接前,首先将业务数据流描述,包括本端端口、协议类型、远端服务器地址、端口信息发送到通信模组内的网络连接管理软件,请求使能业务流通路;通信模组内的网络连接管理软件根据业务数据流描述信息配置访问控制功能,使能相关业务数据流进行流入或流出,并返回结果给待接入软件;待接入软件收到网络连接管理软件返回的业务流通路使能成功应答后,正常建立业务连接,收发业务数据。
第三方面,提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面所述基于通信模组的网络接入控制方法。
相较于现有技术,本发明第一方面至少具有如下的有益效果:
本发明方法增加通信模组对上位机应用合法性认证以及访问控制机制,待接入软件与通信模组之间首先通过加密连接建立过程以及应用合法性认证过程验证双方合法性。合法应用可以根据功能需求直接请求通信模组使能特定业务数据流流入或流出,无需通过网络侧配置或更新访问控制策略,应用升级增加功能无需协调网络侧配合。对于非法应用,将无法建立与通信模组之间的加密连接,或者在应用合法性验证失败后连接被关闭,因此无法使能相关业务流数,从而可以有效防止非法应用访问网络,降低网络被攻击风险。
可以理解的是,上述第二方面至第四方面的有益效果可以参见上述第一方面中的相关描述,在此不再赘述。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1 本发明实施例基于通信模组的网络接入控制方法流程图;
图2 本发明实施例上位机可信软件验证与业务建立过程示意图;
图3 本发明实施例基于通信模组的网络接入控制系统结构框图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本申请的实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本申请。在其它情况中,省略对众所周知的系统、装置、电路以及方法的详细说明,以免不必要的细节妨碍本申请的描述。
另外,在本申请说明书和所附权利要求书的描述中,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
电力行业对终端接入的安全性要求较高,为使多源融合通信技术适配和提升电力业务采集、具备可靠支撑和安全调控能力,有效避免非法终端接入的风险,需要给多样化业务终端定制专用的蜂窝模组接入专用网络,如何保证专网的安全是电力行业特别关注的问题。本发明提出的基于通信模组的网络接入控制方法,可以有效防止非法应用通过通信模组访问网络,降低网络被非法终端接入造成电网系统被攻击的风险。且本发明提出的方法可以应用于所有通信模组,避免其他行业对非法终端接入的风险,提高终端接入的安全性。
参见图1,本发明实施例提出的一种基于通信模组的网络接入控制方法,包括:
步骤一、上位机发送数据拨号建立网络连接;
步骤二、在所述拨号成功时,所述上位机应用通信模组内的网络连接管理软件,并将待接入软件特征值以及签名发送到网络连接管理软件,网络连接管理软件校验待接入软件合法性,验证通过后,将业务数据流描述发送给通信模组内的网络连接管理软件,网络连接管理软件配置访问控制功能,使能相关业务数据流进行流入或流出。
请参阅图2,以国密SM2椭圆曲线公钥密码/SM3密码杂凑算法/SM4分组密码算法为例,本发明实施例基于通信模组的网络接入控制方法具体如下:
还包括在通信模组内部预置网络连接管理软件,集成安全算法以及访问控制功能的步骤。
在通信模组内部预置网络连接管理软件时,基于国密SM2椭圆曲线公钥密码算法生成数字签名密钥对以及加密密钥对,模组生产过程中将签名密钥公钥以及加密密钥私钥固化到通信模组安全存储区域或eSIM/安全二合一芯片,不可擦除且外部不可读取。
步骤二所述上位机应用通信模组内的网络连接管理软件,并将待接入软件特征值以及签名发送到网络连接管理软件,网络连接管理软件校验待接入软件合法性的步骤,对于可信软件通过国密SM3密码杂凑算法根据应用软件二进制镜像获取HASH值。使用SM2椭圆曲线公钥密码数字签名算法通过签名私钥根据应用软件镜像HASH值以及应用软件内置的特定USER ID进行签名。输出签名信息数据量大小固定,内容包括签名值、加密密钥对公钥以及签名信息HASH值等。其中签名信息HASH值是使用SM3密码杂凑算法对签名值、加密密钥对公钥和USER ID关键信息计算得出,用于可信应用对签名信息的有效性校验。签名信息将附加到二进制应用尾部生成签名软件并集成至上位机系统。
通信模组集成连接管理软件,集成安全算法以及访问控制功能,访问控制是基于预定安全规则来监视和控制传入和传出网络流量实现,流入流出的所有网络通信均要经过访问控制单元,该单元对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。网络连接管理软件打开本端特定IP(TCP或UDP)端口,并监听待接入软件连接请求。默认访问控制配置仅使能DNS/ICMP等有限服务,其他业务数据包禁止转发到网络。
在一种可能的实施方式中,步骤一由上位机发送数据拨号建立网络连接,通信模组分配IP和网关地址给上位机,通信模组将网关地址设置为通信模组地址。
步骤二在上位机应用通信模组内的网络连接管理软件,并将待接入软件特征值以及签名发送到网络连接管理软件,网络连接管理软件校验待接入软件合法性的步骤中,上位机可信应用读取应用签名信息并通过SM3密码杂凑算法根据应用内置的USER ID和签名值、加密密钥对公钥,签名信息HASH值校验签名信息。校验失败,则应用直接退出;否则,上位机可信应用通过网关地址以及特定端口(基于TCP或UDP协议)连接到通信模组内的网络管理软件。上位机可信应用生成随机共享密钥并通过签名信息中的加密密钥对公钥使用SM2椭圆曲线公钥加密算法加密后发送给通信模组内的网络连接管理软件。通信模组内的网络连接管理软件使用SM2椭圆曲线公钥加密算法通过内置加密密钥对私钥解密获取共享密钥。随后待接入软件与模组网络管理软件通过该共享密钥和SM4分组密码算法加密该连接收发的信息。待接入软件与模组内的网络管理软件接口消息定义可参考如下:
ModuleSecInterfaceMSG
{
MsgLength 消息长度
SeqNo 序列号,初始为随机值。发起方逐次递增,请求与响应需要匹配
MSGType 消息类型,请求/响应/指示
MsgID 消息ID
MsgBody 消息体,加密连接建立后,消息体会被加密
}
对于可信软件,随后发起加密连接建立过程如下:上位机可信应用首先生成随机共享密钥并通过签名信息中的加密密钥对公钥使用SM2公钥加密算法加密,将加密后的共享密钥数据通过后发送给模组网络管理软软件。对应消息体参考如下:
ModuleSecInterfaceSetupReq
{
CShareKey 加密后的共享密钥
}
通信模组内的网络连接管理软件使用SM2算法通过内置加密密钥对私钥解密CShareKey获取共享密钥,并返回ModuleSecInterfaceSetupRsp。对应消息体参考如下:
ModuleSecInterfaceSetupRsp
{
ResultCode 结果码
Hellow 通过SM4算法使用共享密钥加密后“Hellow”字串密文,请求端根据此字串确认加密协商完成
}
随后待接入软件与通信模组内的网络连接管理软件通过该共享密钥和SM4分组密码算法加密该连接收发的信息。
待接入软件通过加密连接将应用二进制(不包括签名尾信息)HASH值,软件特定UESR ID以及签名值发送到通信模组内的网络连接管理软件,对应消息体参考如下:
ModuleSecInterfaceAuthReq
{
USERID
HASH
SIGNATURE
}
通信模组内的网络连接管理软件通过内置公钥,软件特定UESR ID,HASH值,签名值使用SM2椭圆曲线公钥密码数字签名算法验证签名有效性,并返回给上位机应用验证结果,对应消息体参考如下:
ModuleSecInterfaceAuthRsp
{
ResultCode 结果码
}
如果验证失败,通信模组内的网络连接管理软件关闭当前连接;如果验证通过,待接入软件需要定时触发心跳包保持连接有效性。其中,心跳包就是在客户端和服务器间定时通知对方自己状态的一个自己定义的命令字,按照一定的时间间隔发送,类似于心跳,所以叫做心跳包。心跳包对应消息体参考如下:
ModuleSecInterfaceHeatIndication
{
HeatBeatMagic 心跳魔术字
}
心跳保持过程中,如果通信模组内的网络连接管理软件连续丢失心跳包次数超过预设门限值,则判断该连接失效,关闭当前连接并禁用该连接对应的业务数据流。
待接入软件发起业务连接前,首先将业务数据流描述,如本端端口、协议类型、远端服务器地址、端口信息发送到通信模组内的网络连接管理软件,请求使能业务流通路。对应消息体参考如下:
ModuleSecInterfaceFlowControlReq
{
OptionCode 增加/删除
ProtoOrFlowID 增加时为协议类型,删除时为数据流ID
LocalPort 本端端口
RemotePort 远端端口
LocalIP 本端地址
RemoteIP 远端地址
}
通信模组内的网络连接管理软件根据业务数据流描述信息,配置访问控制策略,使能业务流数据流入/流出,并返回结果给上位机应用。响应消息体参考如下:
ModuleSecInterfaceFlowControRsp
{
ResultCode 结果码
FlowID 数据流ID
}
待接入软件收到通信模组内的网络连接管理软件返回的业务流通路使能成功应答后,正常建立业务连接,收发业务数据。
本发明提出的基于通信模组实施应用合法性校验以及控制应用接入网络方案,在模组完成网络鉴权后,通过内置安全算法(可基于eSIM/安全二合一芯片实现)以及具有访问控制功能的安全通信模组保证可信应用数据传输。终端应用与电力业务主站发起网络连接前首先需要通过模组合法性验证,只有验证通过的应用数据才会被模组转发到网络。该方法可有效防止非法应用通过通信模组的非法接入,降低电网新型电力系统被攻击的风险。
请参阅图3,本发明另一实施例还提出一种基于通信模组的网络接入控制系统,包括:
网络连接建立模块,用于上位机发送数据拨号建立网络连接;
软件合法性验证模块,用于在所述拨号成功时,所述上位机应用通信模组内的网络连接管理软件,并将待接入软件特征值以及签名发送到网络连接管理软件,网络连接管理软件校验待接入软件合法性,验证通过后,将业务数据流描述发送给通信模组内的网络连接管理软件,网络连接管理软件配置访问控制功能,使能相关业务数据流进行流入或流出。
在一种可能的实施方式中,还包括网络连接管理软件预置模块,用于在通信模组内部预置网络连接管理软件,集成安全算法以及访问控制功能;
网络连接管理软件预置模块基于SM2椭圆曲线公钥加密算法生成数字签名密钥对以及加密密钥对,通信模组生产过程中将签名密钥公钥以及加密密钥私钥固化到通信模组安全存储区域或eSIM/安全二合一芯片,不可擦除且外部不可读取。
在一种可能的实施方式中,软件合法性验证模块校验待接入软件合法性时,对于可信软件,通过国密SM3密码杂凑算法根据待接入软件二进制镜像获取HASH值,使用SM2椭圆曲线公钥加密算法通过签名私钥根据待接入软件镜像HASH值以及待接入软件内置的特定USER ID进行签名;输出签名信息数据量大小固定,内容包括签名值、加密密钥对公钥以及签名信息HASH值,所述签名信息HASH值使用SM3密码杂凑算法对签名值、加密密钥对公钥和USER ID关键信息计算得出,使用签名信息HASH值完成可信软件对签名信息的有效性校验。
在一种可能的实施方式中,软件合法性验证模块对签名信息的有效性校验时,上位机可信软件读取签名信息并通过SM3密码杂凑算法根据软件内置的USER ID和签名值、加密密钥对公钥、签名信息HASH值校验签名信息,若校验失败,则待接入软件直接退出;否则,待接入软件通过网关地址以及基于TCP或UDP协议的特定端口连接到通信模组内的网络连接管理软件。
在一种可能的实施方式中,软件合法性验证模块将业务数据流描述发送给通信模组内的网络连接管理软件时,上位机可信软件生成随机共享密钥,并通过签名信息中的加密密钥对公钥使用SM2椭圆曲线公钥加密算法加密后发送给通信模组内的网络连接管理软件,网络连接管理软件使用SM2椭圆曲线公钥加密算法通过内置加密密钥对私钥解密获取共享密钥,随后待接入软件与通信模组内的网络连接管理软件通过共享密钥和SM4分组密码算法加密连接收发的信息。
在一种可能的实施方式中,软件合法性验证模块校验待接入软件合法性时,如果验证通过,则待接入软件定时触发心跳包保持连接有效性,所述的心跳包为在客户端和服务器间定时通知对方自己状态的一个自定义命令字;如果通信模组内的网络连接管理软件连续丢失心跳包的次数超过预设门限值,则判断网络连接失效,关闭当前网络连接并禁用网络连接对应的业务数据流。
在一种可能的实施方式中,通信模组内的网络连接管理软件打开本端特定连接端口并监听上位机软件连接请求,所述连接端口为IP、TCP或UDP端口。
在一种可能的实施方式中,软件合法性验证模块默认访问控制功能的配置仅使能DNS/ICMP等有限服务,其他业务数据包禁止转发到网络。
在一种可能的实施方式中,软件合法性验证模块在所述拨号成功时,通信模组分配IP和网关地址给上位机,通信模组将网关地址设置为通信模组地址;待接入软件发起业务连接前,首先将业务数据流描述,包括本端端口、协议类型、远端服务器地址、端口信息发送到通信模组内的网络连接管理软件,请求使能业务流通路;通信模组内的网络连接管理软件根据业务数据流描述信息配置访问控制功能,使能相关业务数据流进行流入或流出,并返回结果给待接入软件;待接入软件收到网络连接管理软件返回的业务流通路使能成功应答后,正常建立业务连接,收发业务数据。
本发明的另一实施例还提出一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现所述基于通信模组的网络接入控制方法。
所述计算机程序包括计算机程序代码,计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读存储介质可以包括:能够携带所述计算机程序代码的任何实体或装置、介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器、随机存取存储器、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。为了便于说明,以上内容仅示出了与本发明实施例相关的部分,具体技术细节未揭示的,请参照本发明实施例方法部分。该计算机可读存储介质是非暂时性的,可以存储在各种电子设备形成的存储装置当中,能够实现本发明实施例方法记载的执行过程。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)和计算机程序产品的流程图和/或方框图来描述的。应理解为可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者等同替换,而未脱离本发明精神和范围的任何修改或者等同替换,其均应涵盖在本发明的权利要求保护范围之内。

Claims (19)

1.一种基于通信模组的网络接入控制方法,其特征在于,包括:
上位机发送数据拨号建立网络连接;
在所述拨号成功时,所述上位机应用通信模组内的网络连接管理软件,并将待接入软件特征值以及签名发送到网络连接管理软件,网络连接管理软件校验待接入软件合法性,验证通过后,将业务数据流描述发送给通信模组内的网络连接管理软件,网络连接管理软件配置访问控制功能,使能相关业务数据流进行流入或流出。
2.根据权利要求1所述基于通信模组的网络接入控制方法,其特征在于,还包括在通信模组内部预置网络连接管理软件,集成安全算法以及访问控制功能的步骤,所述在通信模组内部预置网络连接管理软件的步骤,包括基于SM2椭圆曲线公钥加密算法生成数字签名密钥对以及加密密钥对,通信模组生产过程中将签名密钥公钥以及加密密钥私钥固化到通信模组安全存储区域或eSIM/安全二合一芯片,不可擦除且外部不可读取。
3.根据权利要求2所述基于通信模组的网络接入控制方法,其特征在于,所述上位机应用通信模组内的网络连接管理软件,并将待接入软件特征值以及签名发送到网络连接管理软件,网络连接管理软件校验待接入软件合法性的步骤,包括对于可信软件,通过国密SM3密码杂凑算法根据待接入软件二进制镜像获取HASH值,使用SM2椭圆曲线公钥加密算法通过签名私钥根据待接入软件镜像HASH值以及待接入软件内置的特定USER ID进行签名;输出签名信息数据量大小固定,内容包括签名值、加密密钥对公钥以及签名信息HASH值,所述签名信息HASH值使用SM3密码杂凑算法对签名值、加密密钥对公钥和USER ID关键信息计算得出,使用签名信息HASH值完成可信软件对签名信息的有效性校验。
4.根据权利要求3所述基于通信模组的网络接入控制方法,其特征在于,所述使用签名信息HASH值完成可信软件对签名信息的有效性校验的步骤,包括上位机可信软件读取签名信息并通过SM3密码杂凑算法根据软件内置的USER ID和签名值、加密密钥对公钥、签名信息HASH值校验签名信息,若校验失败,则待接入软件直接退出;否则,待接入软件通过网关地址以及基于TCP或UDP协议的特定端口连接到通信模组内的网络连接管理软件。
5.根据权利要求4所述基于通信模组的网络接入控制方法,其特征在于,所述将业务数据流描述发送给通信模组内的网络连接管理软件的步骤,包括上位机可信软件生成随机共享密钥,并通过签名信息中的加密密钥对公钥使用SM2椭圆曲线公钥加密算法加密后发送给通信模组内的网络连接管理软件,通信模组内的网络连接管理软件使用SM2椭圆曲线公钥加密算法通过内置加密密钥对私钥解密获取共享密钥,随后待接入软件与通信模组内的网络连接管理软件通过共享密钥和SM4分组密码算法加密连接收发的信息。
6.根据权利要求1所述基于通信模组的网络接入控制方法,其特征在于,所述网络连接管理软件校验待接入软件合法性的步骤,如果验证通过,则待接入软件定时触发心跳包保持连接有效性,所述的心跳包为在客户端和服务器间定时通知对方自己状态的一个自定义命令字;如果通信模组内的网络连接管理软件连续丢失心跳包的次数超过预设门限值,则判断网络连接失效,关闭当前网络连接并禁用网络连接对应的业务数据流。
7.根据权利要求1所述基于通信模组的网络接入控制方法,其特征在于,还包括网络连接管理软件打开本端特定连接端口并监听上位机软件连接请求的步骤,所述连接端口为IP、TCP或UDP端口。
8.根据权利要求1所述基于通信模组的网络接入控制方法,其特征在于,所述网络连接管理软件配置访问控制功能的步骤,默认访问控制功能的配置仅使能有限服务。
9.根据权利要求1所述基于通信模组的网络接入控制方法,其特征在于,在所述拨号成功时,通信模组分配IP和网关地址给上位机,通信模组将网关地址设置为通信模组地址;
待接入软件发起业务连接前,将业务数据流描述,包括本端端口、协议类型、远端服务器地址、端口信息发送到通信模组内的网络连接管理软件,请求使能业务流通路;
通信模组内的网络连接管理软件根据业务数据流描述信息配置访问控制功能,使能相关业务数据流进行流入或流出,并返回结果给待接入软件;待接入软件收到网络连接管理软件返回的业务流通路使能成功应答后,正常建立业务连接,收发业务数据。
10.一种基于通信模组的网络接入控制系统,其特征在于,包括:
网络连接建立模块,用于上位机发送数据拨号建立网络连接;
软件合法性验证模块,用于在所述拨号成功时,所述上位机应用通信模组内的网络连接管理软件,并将待接入软件特征值以及签名发送到网络连接管理软件,网络连接管理软件校验待接入软件合法性,验证通过后,将业务数据流描述发送给通信模组内的网络连接管理软件,网络连接管理软件配置访问控制功能,使能相关业务数据流进行流入或流出。
11.根据权利要求10所述基于通信模组的网络接入控制系统,其特征在于,还包括网络连接管理软件预置模块,用于在通信模组内部预置网络连接管理软件,集成安全算法以及访问控制功能;所述网络连接管理软件预置模块基于SM2椭圆曲线公钥加密算法生成数字签名密钥对以及加密密钥对,通信模组生产过程中将签名密钥公钥以及加密密钥私钥固化到通信模组安全存储区域或eSIM/安全二合一芯片,不可擦除且外部不可读取。
12.根据权利要求11所述基于通信模组的网络接入控制系统,其特征在于,所述软件合法性验证模块校验待接入软件合法性时,对于可信软件,通过国密SM3密码杂凑算法根据待接入软件二进制镜像获取HASH值,使用SM2椭圆曲线公钥加密算法通过签名私钥根据待接入软件镜像HASH值以及待接入软件内置的特定USER ID进行签名;输出签名信息数据量大小固定,内容包括签名值、加密密钥对公钥以及签名信息HASH值,所述签名信息HASH值使用SM3密码杂凑算法对签名值、加密密钥对公钥和USER ID关键信息计算得出,使用签名信息HASH值完成可信软件对签名信息的有效性校验。
13.根据权利要求12所述基于通信模组的网络接入控制系统,其特征在于,所述软件合法性验证模块对签名信息的有效性校验时,上位机可信软件读取签名信息并通过SM3密码杂凑算法根据软件内置的USER ID和签名值、加密密钥对公钥、签名信息HASH值校验签名信息,若校验失败,则待接入软件直接退出;否则,待接入软件通过网关地址以及基于TCP或UDP协议的特定端口连接到通信模组内的网络连接管理软件。
14.根据权利要求13所述基于通信模组的网络接入控制系统,其特征在于,所述软件合法性验证模块将业务数据流描述发送给通信模组内的网络连接管理软件时,上位机可信软件生成随机共享密钥,并通过签名信息中的加密密钥对公钥使用SM2椭圆曲线公钥加密算法加密后发送给通信模组内的网络连接管理软件,网络连接管理软件使用SM2椭圆曲线公钥加密算法通过内置加密密钥对私钥解密获取共享密钥,随后待接入软件与通信模组内的网络连接管理软件通过共享密钥和SM4分组密码算法加密连接收发的信息。
15.根据权利要求10所述基于通信模组的网络接入控制系统,其特征在于,所述软件合法性验证模块校验待接入软件合法性时,如果验证通过,则待接入软件定时触发心跳包保持连接有效性,所述的心跳包为在客户端和服务器间定时通知对方自己状态的一个自定义命令字;如果通信模组内的网络连接管理软件连续丢失心跳包的次数超过预设门限值,则判断网络连接失效,关闭当前网络连接并禁用网络连接对应的业务数据流。
16.根据权利要求10所述基于通信模组的网络接入控制系统,其特征在于,所述通信模组内的网络连接管理软件打开本端特定连接端口并监听上位机软件连接请求,所述连接端口为IP、TCP或UDP端口。
17.根据权利要求10所述基于通信模组的网络接入控制系统,其特征在于,所述软件合法性验证模块默认访问控制功能的配置仅使能有限服务。
18.根据权利要求10所述基于通信模组的网络接入控制系统,其特征在于,所述软件合法性验证模块在所述拨号成功时,通信模组分配IP和网关地址给上位机,通信模组将网关地址设置为通信模组地址;待接入软件发起业务连接前,首先将业务数据流描述,包括本端端口、协议类型、远端服务器地址、端口信息发送到通信模组内的网络连接管理软件,请求使能业务流通路;通信模组内的网络连接管理软件根据业务数据流描述信息配置访问控制功能,使能相关业务数据流进行流入或流出,并返回结果给待接入软件;待接入软件收到网络连接管理软件返回的业务流通路使能成功应答后,正常建立业务连接,收发业务数据。
19.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至9中任一项所述基于通信模组的网络接入控制方法。
CN202210815344.2A 2022-07-12 2022-07-12 基于通信模组的网络接入控制方法、系统及存储介质 Active CN114885331B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210815344.2A CN114885331B (zh) 2022-07-12 2022-07-12 基于通信模组的网络接入控制方法、系统及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210815344.2A CN114885331B (zh) 2022-07-12 2022-07-12 基于通信模组的网络接入控制方法、系统及存储介质

Publications (2)

Publication Number Publication Date
CN114885331A true CN114885331A (zh) 2022-08-09
CN114885331B CN114885331B (zh) 2023-07-18

Family

ID=82683041

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210815344.2A Active CN114885331B (zh) 2022-07-12 2022-07-12 基于通信模组的网络接入控制方法、系统及存储介质

Country Status (1)

Country Link
CN (1) CN114885331B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105074713A (zh) * 2013-03-15 2015-11-18 赛门铁克公司 用于当连接至网络时识别安全应用程序的系统和方法
CN107294992A (zh) * 2017-07-04 2017-10-24 上海斐讯数据通信技术有限公司 一种终端设备的应用程序客户端的认证方法和装置
CN107579966A (zh) * 2017-08-28 2018-01-12 新华三技术有限公司 远程访问内网的控制方法、装置、系统和终端设备
CN109309690A (zh) * 2018-12-28 2019-02-05 中国人民解放军国防科技大学 一种基于报文认证码的软件白名单控制方法
CN111787006A (zh) * 2020-06-30 2020-10-16 北京经纬恒润科技有限公司 一种安全应用的访问控制方法及系统
KR102309116B1 (ko) * 2021-09-07 2021-10-08 프라이빗테크놀로지 주식회사 데이터 플로우 기반 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105074713A (zh) * 2013-03-15 2015-11-18 赛门铁克公司 用于当连接至网络时识别安全应用程序的系统和方法
CN107294992A (zh) * 2017-07-04 2017-10-24 上海斐讯数据通信技术有限公司 一种终端设备的应用程序客户端的认证方法和装置
CN107579966A (zh) * 2017-08-28 2018-01-12 新华三技术有限公司 远程访问内网的控制方法、装置、系统和终端设备
CN109309690A (zh) * 2018-12-28 2019-02-05 中国人民解放军国防科技大学 一种基于报文认证码的软件白名单控制方法
CN111787006A (zh) * 2020-06-30 2020-10-16 北京经纬恒润科技有限公司 一种安全应用的访问控制方法及系统
KR102309116B1 (ko) * 2021-09-07 2021-10-08 프라이빗테크놀로지 주식회사 데이터 플로우 기반 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법

Also Published As

Publication number Publication date
CN114885331B (zh) 2023-07-18

Similar Documents

Publication Publication Date Title
US10943005B2 (en) Secure authentication of devices for internet of things
US10158991B2 (en) Method and system for managing security keys for user and M2M devices in a wireless communication network environment
US20200295933A1 (en) Method and system for managing application security keys for user and M2M devices in a wireless communication network environment
AU2004297933B2 (en) System and method for provisioning and authenticating via a network
US8738898B2 (en) Provision of secure communications connection using third party authentication
US11582233B2 (en) Secure authentication of devices for Internet of Things
EP1976322A1 (en) An authentication method
EP2296392A1 (en) Authentication method, re-certification method and communication device
JP2012110009A (ja) エンティティの認証と暗号化キー生成の機密保護されたリンクのための方法と構成
US11316670B2 (en) Secure communications using network access identity
US11228428B2 (en) Mitigation of problems arising from SIM key leakage
CN104735037B (zh) 一种网络认证方法、装置及系统
CN104243452A (zh) 一种云计算访问控制方法及系统
CN114885331B (zh) 基于通信模组的网络接入控制方法、系统及存储介质
Jain et al. SAP: a low-latency protocol for mitigating evil twin attacks and high computation overhead in WI-FI networks
Tiejun et al. M-commerce security solution based on the 3rd generation mobile communication
Aminmoghadam et al. A forward secure PKI-based UMTS-AKA with tunneling authentication
Payal GSM: Improvement of Authentication and Encryption Algorithms
Mobarhan et al. Evaluation of Security Attacks on Different Mobile Communication Systems
Parne et al. PASE-AKA: Performance and Security Enhanced AKA Protocol for UMTS Network
CN117376909A (zh) 一种基于通用引导架构的单包授权认证方法及系统
CN116347445A (zh) 一种基于非3gpp网元安全协议通道建立方法、传输方法和系统
CN114006696A (zh) 通信方法、装置、系统及计算机可读存储介质
Weltevreden State-of-the-art on CDMA2000 Security Support

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant