CN201355862Y - 一种短信安全接入网关 - Google Patents
一种短信安全接入网关 Download PDFInfo
- Publication number
- CN201355862Y CN201355862Y CNU2008201538083U CN200820153808U CN201355862Y CN 201355862 Y CN201355862 Y CN 201355862Y CN U2008201538083 U CNU2008201538083 U CN U2008201538083U CN 200820153808 U CN200820153808 U CN 200820153808U CN 201355862 Y CN201355862 Y CN 201355862Y
- Authority
- CN
- China
- Prior art keywords
- module
- short message
- note
- access gateway
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Abstract
本实用新型公开一种短信安全接入网关,它包括:一短信收发模块;一业务解释模块;一加解密传输模块;一身份认证和授权访问模块及一配置审计管理模块;本实用新型的短信安全接入网关,在实现常规行业应用中的短信应用接入的基础上实现了短信接入的安全性,将短信应用扩展到对信息内容敏感的特殊行业,而且不需要运营商对移动公共网络设施进行任何调整和修改,实现本实用新型的目的。
Description
技术领域
本实用新型涉及一种接入网关,特别涉及一种适用于短信应用接入技术,在原有短信接入的基础上增加安全属性的短信安全接入网关。
具体是一种实现手机终端身份认证、短信加密传输、信息授权访问和审计的安全接入网关。
背景技术
随着手机的普及,目前国内外基于短信的行业应用广泛普及,基于短信协议的应用系统较多,大量的行业应用在迅速推广,移动运营商也专门围绕短信的行业应用展开相关的产业推广,例如采用短信业务可以准确传递会议通知等各种办公消息。在服务行业中,短信则可以为用户提供各种信息提示服务,简化程序,提升服务质量等。
但是,由于短信通信是建立在移动公共网络基础上,其安全性不能得到保障。目前,已有专门针对短信通信的攻击工具,可以实现短信的窃听、伪造等攻击。
在特殊行业应用中,其传输信息均为敏感信息,需要在普通的短信应用增加安全性要求,必须确保终端和用户的可认证性,短信传输的保密性和完整性。还需进一步实现信息内容访问进行控制和审计,做到信息访问可控可管。
因此,迫切需求提供一种在普通短信业务基础上实现安全通信的短信安全接入网关,实现对信息的机密性、完整性和可认证性。
实用新型内容
本实用新型所要解决的技术问题在于提供一种短信安全接入网关,采用了身份认证、加密传输、访问控制和安全审计等安全技术,在常规短信通信的基础上实现了加密短信传输,并且在短信行业应用中对信息内容的访问进行控制和审计实现访问控制。
本实用新型所要解决的技术问题可以通过以下技术方案来实现:
一种短信安全接入网关,其特征在于,它包括:
一与移动运营商网络进行短信收发的短信收发模块;
一用于解析从所述短信收发模块接收的短信指令并完成对应操作的业务解释模块;
一通过对短信进行格式封装实现短信加密传输的加解密传输模块;
一通过手机SIM卡的ICCID和手机号作为身份识别标志在手机终端和短信安全接入网关之间进行身份认证的身份认证和授权访问模块;及
一对所述短信安全接入网关进行配置管理和业务数据的监测审计的配置审计管理模块;所述短信收发模块依次连接所述业务解释模块和加解密传输模块,所述业务解释模块通过所述身份认证和授权访问模块与所述配置审计管理模块连接。
所述加解密传输模块设置有与外界应用系统进行数据交换的业务应用接口。
所述短信封装格式包括安全标识、版本号、类型、消息认证码、数据长度和业务数据。
所述配置和审计管理模块的记录格式包括时间、终端标识、消息类型、消息内容和操作结果。
本实用新型的短信安全接入网关,在实现常规行业应用中的短信应用接入的基础上实现了短信接入的安全性,将短信应用扩展到于对信息内容敏感的特殊行业,而且不需要运营商对移动公共网络设施进行任何调整和修改,实现本实用新型的目的。
附图说明
图1为本实用新型的短信安全接入网关的结构框图;
图2为本实用新型的业务解释模块的实施框图。
具体实施方法
为了使本实用新型实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本实用新型。
如图1所示,一种短信安全接入网关,它包括:短信收发模块1、业务解释模块2、加解密传输模块3、身份认证和授权访问模块4及配置审计管理模块5,加解密传输模块3通过业务应用接口31与外界应用系统进行数据交换。
所述短信安全接入网关通过短信收发模块1与移动营运商网络进行短信的收发,由短信收发模块1通过加密短信协议实现与移动营运商网络的加密短信收发。
如图1所示,图中MO(Mobile Originate)为用户上行消息,MT(MobileTerminated)为所述短信安全接入网关下行消息。
业务解释模块2用于解析从短信收发模块1接收的用户通过移动营运商网络发送过来的短信信息指令,完成相应的操作后再以短信方式将操作结果发回用户,业务解释模块2的具体实现步骤参见图2所示。
如图2所示,第一步,业务解释模块2从短信收发模块1接收的用户通过移动营运商网络发送过来的短信的业务队列中获得用户上行消息;第二步,检查第一步中获得的用户上行消息是否为安全指令,如果不是则返回第一步,如果是则进行下一步;第三步,检查用户上行信息为安全指令后,进行相应的操作,操作包括业务请求、密钥协商和过程密钥协商。
若进行业务请求,首先对用户上行消息进行解密,根据用户上行信息找寻相应的Web Service服务,如果找不到相应的Web Service服务则返回到第一步,如果找到相应的Web Service服务,则将用户上行信息发送给相应的Web Service服务并等待响应,响应后加密响应信息并放入所述短信安全接入网关下行消息队列中由短信收发模块1通过加密短信协议经移动营运商网络发回给用户。
若进行过程密钥协商,则产生过程密钥及验证因子,再用所述短信安全接入网关的私钥进行签名,用用户手机卡公钥进行加密,放入所述短信安全接入网关下行消息队列中由短信收发模块1通过加密短信协议经移动营运商网络发回给用户。
若进行密钥协商,则通过用户手机卡公钥进行校验,用所述短信安全接入网关的私钥进行解密,比较验证因子,如果验证因子一致,则返回第一步,如果验证因子不一致,则重新进行协商,进行过程密钥协商。
加解密传输模块3对从短信收发模块1接收的用户通过移动营运商网络发送过来的短信进行格式封装实现短信加密传输,短信封装格式见表1,包括安全标识、版本号、类型、消息认证码、数据长度和业务数据。
表1短信封装格式对照表
已确认的接入终端依据标识获得对称加解密密钥,采用此密钥利用加密传输方案对消息进行加解密。接收的密文短信经解密后转化为明文短信,发送的消息明文经加密后封装成密文短信发送到接入终端。
其中,加密算法采用CBC(Cipher Block Chaining)模式的3DES(DataEncryption Standard)对称密码算法。消息认证码MAC(Message AuthenticationCode)算法采用DES-CBC算法,结果只采用DES计算结果的初始4字节。
解密后的明文短信进行解析,确认需要访问的资源描述。根据终端的身份信息,查阅映射表[终端<->地域]获得终端的地域信息。查阅映射表[终端<->角色]获得终端的角色属性。根据资源描述查阅映射表[地域<->资源]获得资源的地域信息。比较判断资源的地域属性是否属于终端的地域属性范围,若是则地域属性检验通过,否则拒绝终端访问该信息资源。地域属性检验通过之后,根据终端的角色属性查阅映射表[角色<->权限<->资源],确定接入终端权限属性,根据该属性判断对资源的访问是否禁止或者允许。若权限符合,则完成信息访问并返回信息结果,信息结果经过加密后发送给接入终端。
身份认证和授权访问模块4在手机终端和短信安全接入网关之间进行身份认证,手机终端通过手机SIM卡的ICCID和手机号作为身份识别标志,在手机终端和短信安全接入网关之间的短信内容中对该身份识别标志进行RSA签名认证。手机终端的SIM卡具有RSA运算功能并且具备RSA密钥对的生成功能。
短信安全接入网关首先建立基本数据库。对角色进行描述并建库;对地域描述并建库;对信息资源进行描述并建库,对资源采用URL描述;对接入终端进行描述并建库,用ICCID和手机号对终端标识。
建立映射表:
终端<->角色
角色<->权限<->资源
地域<->资源
终端<->地域
访问控制实施时,对终端按照地域和角色进行区分,将权限设置为三种类型:禁止、查询、录入和查录。资源描述通过URL(Uniform Resource Locator)描述。建立以下映射表:
终端<->角色
角色<->权限<->资源
可以根据以上映射,实现终端<->权限<->资源的映射。
建立以下映射表:
地域<->资源
终端<->地域
可以根据以上映射,实现终端<->资源的地域属性检查。只要终端的地域属性不在资源地域属性范围,则终端对资源的访问将被禁止。
短信安全接入网关按照身份认证方案,验证身份标识的RSA签名,并确认接入终端的身份标识(ICCID和手机号),对无法确认或者身份标识不完整的终端,将拒绝后续通信。
配置审计管理模块5主要实现所述短信安全接入网关的配置管理和业务数据的监测审计。对所接收和发送的信息进行消息认证码校验,若校验码正确,则消息的完整性可以确定,对消息解密并记录消息明文内容和消息类型。否则消息的完整性不能确保,记录的消息类型则为不完整,且消息标识内容为空,消息内容记录原始内容。记录格式按照表2格式进行记录,包括时间、终端标识、消息类型、消息内容和操作结果。
表2配置审计管理模块5记录格式对照表
所有消息认证码为上述判断过程,均形成审计信息记录在库。
以上显示和描述了本实用新型的基本原理和主要特征及其优点。本行业的技术人员应该了解,本实用新型不受上述实施例的限制,上述实施例和说明书中描述的只是说明本实用新型的原理,在不脱离本实用新型精神和范围的前提下,本实用新型还会有各种变化和改进,这些变化和改进都落入要求保护的本实用新型范围内。本实用新型要求保护范围由所附的权利要求书及其等效物界定。
Claims (2)
1、一种短信安全接入网关,其特征在于,它包括:
一与移动运营商网络进行短信收发的短信收发模块;
一用于解析从所述短信收发模块接收的短信指令并完成对应操作的业务解释模块;
一通过对短信进行格式封装实现短信加密传输的加解密传输模块;
一通过手机SIM卡的ICCID和手机号作为身份识别标志在手机终端和短信安全接入网关之间进行身份认证的身份认证和授权访问模块;及
一对所述短信安全接入网关进行配置管理和业务数据的监测审计的配置审计管理模块;所述短信收发模块依次连接所述业务解释模块和加解密传输模块,所述业务解释模块通过所述身份认证和授权访问模块与所述配置审计管理模块连接。
2、如权利要求1所述的短信安全接入网关,其特征在于,所述加解密传输模块设置有与外界应用系统进行数据交换的业务应用接口。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNU2008201538083U CN201355862Y (zh) | 2008-10-08 | 2008-10-08 | 一种短信安全接入网关 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNU2008201538083U CN201355862Y (zh) | 2008-10-08 | 2008-10-08 | 一种短信安全接入网关 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN201355862Y true CN201355862Y (zh) | 2009-12-02 |
Family
ID=41412202
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNU2008201538083U Expired - Lifetime CN201355862Y (zh) | 2008-10-08 | 2008-10-08 | 一种短信安全接入网关 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN201355862Y (zh) |
-
2008
- 2008-10-08 CN CNU2008201538083U patent/CN201355862Y/zh not_active Expired - Lifetime
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103812871B (zh) | 一种基于移动终端应用程序安全应用的开发方法及系统 | |
| CN101247407B (zh) | 网络认证服务系统和方法 | |
| CN101662765B (zh) | 手机短信保密系统及方法 | |
| CN101720071B (zh) | 基于安全sim卡的短消息两阶段加密传输和安全存储方法 | |
| US8499156B2 (en) | Method for implementing encryption and transmission of information and system thereof | |
| US20090305673A1 (en) | Secure short message service (sms) communications | |
| CN103533539A (zh) | 虚拟sim卡参数管理方法及装置 | |
| CN101247356B (zh) | Dhcp消息传送的方法及系统 | |
| CN103297437A (zh) | 一种移动智能终端安全访问服务器的方法 | |
| CN101742508A (zh) | 一种wapi终端与应用服务器传输文件的系统及方法 | |
| US7913096B2 (en) | Method and system for the cipher key controlled exploitation of data resources, related network and computer program products | |
| CN101296138B (zh) | 一种无线终端配置生成方法、系统及其装置 | |
| CN105516943A (zh) | 一种基于国产商用密码芯片的短信加密系统及其实现方法 | |
| WO2012131659A1 (en) | A system and a method enabling secure transmission of sms | |
| CN1925401B (zh) | 互联网接入系统及接入方法 | |
| WO2007018476A1 (en) | Hybrid cryptographic approach to mobile messaging | |
| CN103916834A (zh) | 一种用户独享密钥的短信加密方法和系统 | |
| CN102170638A (zh) | 一种空中挂失的方法和设备 | |
| CN101859453A (zh) | 一种基于短信的智能卡挂失方法及系统 | |
| CN103945348A (zh) | 一种非对称密钥短信加密方法和系统 | |
| CN105262759A (zh) | 一种加密通信的方法和系统 | |
| CN1695362B (zh) | 对预订模块的保密访问 | |
| CN107070653A (zh) | 一种pos交易加密系统、方法、posp前置服务器和pos终端 | |
| EP1437024B1 (en) | Method and arrangement in a communications network | |
| CN201355862Y (zh) | 一种短信安全接入网关 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CX01 | Expiry of patent term |
Granted publication date: 20091202 |
|
| CX01 | Expiry of patent term |