一种无线终端安全接入信息内网的系统及方法

一种无线终端安全接入信息内网的系统及方法
【专利摘要】本发明公开了一种无线终端安全接入信息内网的系统及方法，设置移动接入网关、安全接入网关、集中监控系统、身份认证系统和安全数据过滤系统，有效解决无线终端安全接入信息内网的途径，保障了信息传输的安全性、完整性和可用性。本发明无线终端安全接入信息内网的方法利用终端安全加固、网络运营商专用APN通道、防火墙设备、安全接入网关、安全数据过滤系统、身份认证系统、数字证书、集中监控行为审计等技术，保障了信息传输的安全性、完整性和可用性，确保了无线终端数据安全可控接入信息内网。
【专利说明】一种无线终端安全接入信息内网的系统及方法

【技术领域】
[0001]本发明属于信息安全【技术领域】，尤其涉及一种无线终端安全接入信息内网的系统及方法。

【背景技术】
[0002]随着智能电网和SG_ERP(国家电网资源计划)的建设，对国家电网公司信息安全的机密性、完整性和可用性提出了更高的要求。目前，各类应用系统已逐步采用移动作业终端接入方式通过GPRS/CDMA/3G等无线接入技术和信息内网进行数据交换。在这种形势下，如何保证各类分散的接入对象安全、可信地连入电力信息网络，同时保证机密数据不会遭到泄露，并且实现对接入对象和操作的监控与审计，已成为支撑当前公司SG-ERP发展的基础动力。同时，未来智能电网更加复杂的接入环境、多样灵活的接入方式、数量庞大的接入终端对信息的安全、可信、可控的接入都提出了新的要求。
[0003]目前，传统的接入信息内网的系统及方法存在智能化和安全性低、容易泄露机密数据、接入效果差的问题。


【发明内容】

[0004]本发明实施例的目的在于提供一种无线终端安全接入信息内网的系统及方法，旨在解决目前，传统的接入信息内网的系统及方法存在智能化和安全性低、容易泄露机密数据、接入效果差的问题。
[0005]本发明实施例是这样实现的，一种无线终端安全接入信息内网的系统，包括安全终端层、安全通道层、和业务访问层，安全接入层设置在业务访问层之间，安全接入层包括:集中监控系统、第一交换机、身份认证系统、安全数据过滤系统、第二交换机、移动接入网关、安全接入网关、防火墙、接入交换机；
[0006]第一交换机设置在应用实现对安全接入平台有效的管控流程和机制集中监管系统和身份认证系统之间，用于对接入终端进行身份认证和识别的身份认证系统设置在第一交换机的右侧，用于实现对终端访问信息内网业务系统的行为的安全审查，对交换数据的内容检查过滤，提供对整个数据交换行为的完整审计安全的数据过滤系统设置在第一交换机的下端，第二交换机设置在安全数据过滤系统的下端，用于各类无线终端的安全接入，并在终端与网关之间建立加密隧道，对传输数据进行加密通讯的移动接入网关设置在第二交换机的左侧，用于各类无线终端的安全接入，并在终端与网关之间建立加密隧道，对传输数据进行加密通讯的安全接入网关设置在第二交换机的右侧，防火墙设置在第二交换机的下端，接入交换机设置在防火墙的下端。
[0007]进一步，移动接入网关、安全接入网关部署在无线公网的网络边界上。
[0008]进一步，数据过滤系统提供对整个数据交换行为的完整审计，包括数据来源、交换发生时间、数据交换的目标、数据交换,确保终端对信息内网的业务的安全访问。
[0009]进一步，接入终端采用数字证书、用户名/ 口令、设备特征等进行身份认证，在接入网关侧对接入终端的数字证书做安全检查，实现对各种接入对象如人员、主机、移动终端的高强度身份认证。
[0010]进一步，集中监管系统实现对安全接入平台中的各类接入终端、网络通道、应用系统的全面的监测、分析、评估，监管管理模块采用图形化的展现形式，直观的反应当前平台的运行情况。
[0011]进一步，安全终端层设置在无线终端安全接入信息内网的系统的最底端，安全通道层设置在安全终端层和安全接入层之间，业务访问层设置在安全接入层的上端。
[0012]进一步，安全终端层包括:数据采集终端、移动办公终端、PDA智能手机；
[0013]数据采集终端设置在安全终端层的最左侧，移动办公终端设置在数据采集终端和PDA智能手机之间，PDA智能手机设置在移动办公终端的右侧；
[0014]安全通道层包括:APN通道和运营商内部网络；
[0015]APN通道设置在接入交换机和运营商内部网络之间，运营商内部网络设置在APN通道的下端，集中监控系统设置在安全接入层的左上侧；
[0016]安全接入层包括:集中监控系统、第一交换机、身份认证系统、安全数据过滤系统、第二交换机、移动接入网关、安全接入网关、防火墙、接入交换机；
[0017]第一交换机设置在集中监管系统和身份认证系统之间，身份认证系统设置在第一交换机的右侧，安全数据过滤系统设置在第一交换机的下端，第二交换机设置在安全数据过滤系统的下端，移动接入网关设置在第二交换机的左侧，安全接入网关设置在第二交换机的右侧，防火墙设置在第二交换机的下端，接入交换机设置在防火墙的下端。
[0018]本发明实施例的另一目的在于提供一种无线终端安全接入信息内网的方法，该无线终端安全接入信息内网的方法包括以下步骤:
[0019]步骤一，进行身份认证；
[0020]步骤二，进行集中监管；
[0021]步骤三，将数据过滤系统部署在移动接入网关和安全接入网关上；
[0022]步骤四，在终端与网关之间建立加密隧道；
[0023]步骤五，对各类终端和业务访问实现安全接入。
[0024]进一步，步骤一中的进行身份认证是指利用身份认证系统对接入的终端进行身份认证和识别，接入终端采用数字证书、用户名/ 口令、设备特征进行身份认证，在接入网关侧对接入终端的数字证书做安全检查，实现对各种接入对象如人员、主机、移动终端的高强度身份认证；
[0025]步骤二中的进行集中监管是利用集中监管系统实现对安全接入平台有效的管控流程和机制，实现对安全接入平台中的各类接入终端、网络通道、应用系统的全面的监测、分析、评估，监管管理模块采用图形化的展现形式，直观的反应当前平台的运行情况；
[0026]步骤三中的将数据过滤系统部署在移动接入网关和安全接入网关上是将数据过滤系统分别部署在移动接入网关和安全接入网关之后，实现对终端访问信息内网业务系统的行为的安全审查，对交换数据的内容检查过滤，提供对整个数据交换行为的完整审计，包括数据来源、交换发生时间、数据交换的目标、数据交换。
[0027]进一步，步骤四中的在终端与网关之间建立加密隧道是将移动接入网关、安全接入网关部署在无线公网的网络边界上，用于各类无线终端的安全接入，并在终端与网关之间建立加密隧道，对传输数据进行加密通讯；
[0028]步骤五中的对各类终端和业务访问实现安全接入是通过数据交换系统、身份认证系统和集中监管系统对PDA、智能手机、笔记本/台式机的3G无线网卡、采集终端各类无线设备终端的过滤、认证和监管，实现安全终端层和业务访问层之间信息数据的安全接入过程。
[0029]本发明提供的无线终端安全接入信息内网的系统及方法，利用该系统无线终端在与信息内网通过互联网进行数据通信时，可有效保证通信数据安全。通过设置移动接入网关、安全接入网关、集中监控系统、身份认证系统和安全数据过滤系统，有效解决无线终端安全接入信息内网的途径，保障了信息传输的安全性、完整性和可用性。本发明无线终端安全接入信息内网的方法利用终端安全加固、网络运营商专用APN通道、防火墙设备、安全接入网关、安全数据过滤系统、身份认证系统、数字证书、集中监控行为审计等技术，保障了信息传输的安全性、完整性和可用性，确保了无线终端数据安全可控接入信息内网。

【专利附图】

【附图说明】
[0030]图1是本发明实施例提供的无线终端安全接入信息内网的系统结构示意图；
[0031]图中:1、安全终端层；1_1、数据采集终端；1_2、移动办公终端；1_3、PDA智能手机；
2、安全通道层；2-1、APN通道；2-2、运营商内部网络；3、安全接入层；3_1、集中监控系统；3-2、第一交换机；3-3、身份认证系统；3-4、安全数据过滤系统；3-5、第二交换机；3_6、移动接入网关；3-7、安全接入网关；3-8、防火墙；3-9、接入交换机；4、业务访问层；
[0032]图2是本发明实施例提供的无线终端安全接入信息内网的方法流程图。

【具体实施方式】
[0033]为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
[0034]下面结合附图及具体实施例对本发明的应用原理作进一步描述。
[0035]如图1所示，本发明实施例的无线终端安全接入信息内网的系统主要由:安全终端层1、安全通道层2、安全接入层3和业务访问层4 ；
[0036]安全终端层I设置在无线终端安全接入信息内网的系统的最底端，安全通道层2设置在安全终端层I和安全接入层3之间，安全接入层3设置在安全通道层2和业务访问层4之间，业务访问层4设置在安全接入层3的上端；
[0037]安全终端层I包括:数据采集终端1-1、移动办公终端1-2、PDA智能手机1_3 ；
[0038]数据采集终端1-1设置在安全终端层I的最左侧，移动办公终端1-2设置在数据米集终端1_1和PDA智能手机1-3之间，PDA智能手机1-3设置在移动办公终端1-2的右侧；
[0039]安全通道层2主要包括:APN通道2-1和运营商内部网络2_2 ；
[0040]APN通道2-1设置在接入交换机3-9和运营商内部网络2_2之间,运营商内部网络2-2设置在APN通道2-1的下端，集中监控系统2-1设置在安全接入层3的左上侧；
[0041]安全接入层3包括:集中监控系统3-1、第一交换机3-2、身份认证系统3_3、安全数据过滤系统3-4、第二交换机3-5、移动接入网关3-6、安全接入网关3-7、防火墙3-8、接入交换机3-9 ；
[0042]第一交换机3-2设置在集中监管系统3-1和身份认证系统3-3之间，身份认证系统3-3设置在第一交换机3-2的右侧，安全数据过滤系统3-4设置在第一交换机3-2的下端，第二交换机3-5设置在安全数据过滤系统3-4的下端，移动接入网关3-6设置在第二交换机3-5的左侧，安全接入网关3-7设置在第二交换机3-5的右侧，防火墙3-8设置在第二交换机3-5的下端，接入交换机3-9设置在防火墙3-8的下端。
[0043]如图2所示，一种无线终端安全接入信息内网的方法，该方法步骤流程包括进行身份认证S201、进行集中监管S202、将数据过滤系统部署在移动接入网关和安全接入网关上S203、在终端与网关之间建立加密隧道S204、对各类终端和业务访问实现安全接入S205 ；
[0044]进行身份认证S201是指利用身份认证系统对接入的终端进行身份认证和识别，接入终端采用数字证书、用户名/ 口令、设备特征等进行身份认证，在接入网关侧对接入终端的数字证书做安全检查，实现对各种接入对象如人员、主机、移动终端等的高强度身份认证，保障传输信息的安全性、完整性和不可抵赖性；
[0045]进行集中监管S202是指利用集中监管系统实现对安全接入平台有效的管控流程和机制，实现对安全接入平台中的各类接入终端、网络通道、应用系统的全面的监测、分析、评估，监管管理模块采用图形化的展现形式，直观的反应当前平台的运行情况，实现对各类接入终端的接入管理；
[0046]将数据过滤系统部署在移动接入网关和安全接入网关上S203是指将数据过滤系统分别部署在移动接入网关和安全接入网关之后，实现对终端访问信息内网业务系统的行为的安全审查，对交换数据的内容检查过滤,提供对整个数据交换行为的完整审计,包括数据来源、交换发生时间、数据交换的目标、数据交换的内容等方面，确保终端对信息内网的业务的安全访问；
[0047]在终端与网关之间建立加密隧道S204是指将移动接入网关、安全接入网关部署在无线公网的网络边界上，用于各类无线终端的安全接入，并在终端与网关之间建立加密隧道，对传输数据进行加密通讯；
[0048]对各类终端和业务访问实现安全接入S205是指通过数据交换系统、身份认证系统和集中监管系统对PDA、智能手机、笔记本/台式机(3G无线网卡)、采集终端等各类无线设备终端的过滤、认证和监管，实现安全终端层和业务访问层之间信息数据的安全接入过程。
[0049]本发明的具体实施例:包括三类网关，数据交换系统，身份认证系统和集中监管系统；终端侧为各类无线设备，如PDA、智能手机、笔记本/台式机(3G无线网卡)、采集终端等;
[0050]移动接入网关、安全接入网关部署在无线公网的网络边界上，用于各类无线终端的安全接入。并在终端与网关之间建立加密隧道，对传输数据进行加密通讯；
[0051]数据过滤系统部署在两个网关之后，实现对终端访问信息内网业务系统的行为的安全审查,对交换数据的内容检查过滤,提供对整个数据交换行为的完整审计,包括数据来源、交换发生时间、数据交换的目标、数据交换的内容等方面,确保终端对信息内网的业务的安全访问；
[0052]身份认证系统对接入的终端进行身份认证和识别，接入终端采用数字证书、用户名/ 口令、设备特征等进行身份认证，在接入网关侧对接入终端的数字证书做安全检查，实现对各种接入对象如人员、主机、移动终端等的高强度身份认证，保障传输信息的安全性、完整性和不可抵赖性；
[0053]集中监管系统实现对安全接入平台有效的管控流程和机制，实现对安全接入平台中的各类接入终端、网络通道、应用系统的全面的监测、分析、评估。监管管理模块采用图形化的展现形式，直观的反应当前平台的运行情况，实现对各类接入终端的接入管理。
[0054]本发明的工作原理:
[0055]如图2所示，一种无线终端安全接入信息内网的方法步骤流程包括进行身份认证S201、进行集中监管S202、将数据过滤系统部署在移动接入网关和安全接入网关上S203、在终端与网关之间建立加密隧道S204、对各类终端和业务访问实现安全接入S205 ;进行身份认证S201是指利用身份认证系统对接入的终端进行身份认证和识别，接入终端采用数字证书、用户名/ 口令、设备特征等进行身份认证，在接入网关侧对接入终端的数字证书做安全检查，实现对各种接入对象如人员、主机、移动终端等的高强度身份认证，保障传输信息的安全性、完整性和不可抵赖性；进行集中监管S202是指利用集中监管系统实现对安全接入平台有效的管控流程和机制，实现对安全接入平台中的各类接入终端、网络通道、应用系统的全面的监测、分析、评估，监管管理模块采用图形化的展现形式，直观的反应当前平台的运行情况，实现对各类接入终端的接入管理；将数据过滤系统部署在移动接入网关和安全接入网关上S203是指将数据过滤系统分别部署在移动接入网关和安全接入网关之后，实现对终端访问信息内网业务系统的行为的安全审查，对交换数据的内容检查过滤，提供对整个数据交换行为的完整审计,包括数据来源、交换发生时间、数据交换的目标、数据交换的内容等方面，确保终端对信息内网的业务的安全访问；在终端与网关之间建立加密隧道S204是指将移动接入网关、安全接入网关部署在无线公网的网络边界上，用于各类无线终端的安全接入，并在终端与网关之间建立加密隧道，对传输数据进行加密通讯；对各类终端和业务访问实现安全接入S205是指通过数据交换系统、身份认证系统和集中监管系统对PDA、智能手机、笔记本/台式机(3G无线网卡)、采集终端等各类无线设备终端的过滤、认证和监管，实现安全终端层和业务访问层之间信息数据的安全接入过程。
[0056]本发明保障了信息传输的安全性、完整性和可用性，确保了无线终端数据安全可控接入信息内网。
[0057]以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。
【权利要求】
1.一种无线终端安全接入信息内网的方法，通过该系统无线终端可通过物联网安全可靠的与信息内网进行数据通信，其特征在于，该无线终端安全接入信息内网的方法包括以下步骤: 步骤一，进行身份认证； 步骤二，进行集中监管； 步骤三，将数据过滤系统部署在移动接入网关和安全接入网关上； 步骤四，在终端与网关之间建立加密隧道； 步骤五，对各类终端和业务访问实现安全接入。
2.如权利要求1所述的无线终端安全接入信息内网的方法，其特征在于，步骤一中的进行身份认证是指利用身份认证系统对接入的终端进行身份认证和识别，接入终端采用数字证书、用户名/ 口令、设备特征进行身份认证，在接入网关侧对接入终端的数字证书做安全检查,实现对各种接入对象如人员、主机、移动终端的高强度身份认证； 步骤二中的进行集中监管是利用集中监管系统实现对安全接入平台有效的管控流程和机制，实现对安全接入平台中的各类接入终端、网络通道、应用系统的全面的监测、分析、评估，监管管理模块采用图形化的展现形式，直观的反应当前平台的运行情况； 步骤三中的将数据过滤系统部署在移动接入网关和安全接入网关上是将数据过滤系统分别部署在移动接入网关和安全接入网关之后，实现对终端访问信息内网业务系统的行为的安全审查，对交换数据的内容检查过滤，提供对整个数据交换行为的完整审计，包括数据来源、交换发生时间、数据交换的目标、数据交换。
3.如权利要求1所述的无线终端安全接入信息内网的方法，其特征在于，步骤四中的在终端与网关之间建立加密隧道是将移动接入网关、安全接入网关部署在无线公网的网络边界上，用于各类无线终端的安全接入，并在终端与网关之间建立加密隧道，对传输数据进行加密通讯； 步骤五中的对各类终端和业务访问实现安全接入是通过数据交换系统、身份认证系统和集中监管系统对PDA、智能手机、笔记本/台式机的3G无线网卡、采集终端各类无线设备终端的过滤、认证和监管，实现安全终端层和业务访问层之间信息数据的安全接入过程。
4.一种无线终端安全接入信息内网的系统，通过该系统无线终端可通过物联网安全的接入信息内网；该系统包括安全终端层、安全通道层、和业务访问层，其特征在于，安全接入层设置在业务访问层之间，安全接入层包括:集中监控系统、第一交换机、身份认证系统、安全数据过滤系统、第二交换机、移动接入网关、安全接入网关、防火墙、接入交换机； 第一交换机设置在应用实现对安全接入平台有效的管控流程和机制集中监管系统和身份认证系统之间，用于对接入终端进行身份认证和识别的身份认证系统设置在第一交换机的右侧，用于实现对终端访问信息内网业务系统的行为的安全审查，对交换数据的内容检查过滤，提供对整个数据交换行为的完整审计安全的数据过滤系统设置在第一交换机的下端，第二交换机设置在安全数据过滤系统的下端，用于各类无线终端的安全接入，并在终端与网关之间建立加密隧道，对传输数据进行加密通讯的移动接入网关设置在第二交换机的左侧，用于各类无线终端的安全接入，并在终端与网关之间建立加密隧道，对传输数据进行加密通讯的安全接入网关设置在第二交换机的右侧，防火墙设置在第二交换机的下端，接入交换机设置在防火墙的下端。
5.如权利要求4所述的无线终端安全接入信息内网的系统，其特征在于，移动接入网关、安全接入网关部署在无线公网的网络边界上。
6.如权利要求4所述的无线终端安全接入信息内网的系统，其特征在于，数据过滤系统提供对整个数据交换行为的完整审计，包括数据来源、交换发生时间、数据交换的目标、数据交换，确保终端对信息内网的业务的安全访问。
7.如权利要求4所述的无线终端安全接入信息内网的系统，其特征在于，接入终端采用数字证书、用户名/ 口令、设备特征等进行身份认证，在接入网关侧对接入终端的数字证书做安全检查，实现对各种接入对象如人员、主机、移动终端的高强度身份认证。
8.如权利要求4所述的无线终端安全接入信息内网的系统，其特征在于，集中监管系统实现对安全接入平台中的各类接入终端、网络通道、应用系统的全面的监测、分析、评估，监管管理模块采用图形化的展现形式，直观的反应当前平台的运行情况。
9.如权利要求4所述的无线终端安全接入信息内网的系统，其特征在于，安全终端层设置在无线终端安全接入信息内网的系统的最底端，安全通道层设置在安全终端层和安全接入层之间，业务访问层设置在安全接入层的上端。
10.如权利要求4所述的无线终端安全接入信息内网的系统，其特征在于，安全终端层包括:数据采集终端、移动办公终端、PDA智能手机； 数据采集终端设置在安全终端层的最左侧，移动办公终端设置在数据采集终端和PDA智能手机之间，PDA智能手机设置在移动办公终端的右侧； 安全通道层包括:APN通道和运营商内部网络； APN通道设置在接入交换机和运营商内部网络之间，运营商内部网络设置在APN通道的下端，集中监控系统设置在安全接入层的左上侧； 安全接入层包括:集中监控系统、第一交换机、身份认证系统、安全数据过滤系统、第二交换机、移动接入网关、安全接入网关、防火墙、接入交换机； 第一交换机设置在集中监管系统和身份认证系统之间，身份认证系统设置在第一交换机的右侧，安全数据过滤系统设置在第一交换机的下端，第二交换机设置在安全数据过滤系统的下端，移动接入网关设置在第二交换机的左侧，安全接入网关设置在第二交换机的右侧，防火墙设置在第二交换机的下端，接入交换机设置在防火墙的下端。
【文档编号】H04W12/08GK104135729SQ201410367903
【公开日】2014年11月5日 申请日期:2014年7月30日 优先权日:2014年7月30日
【发明者】张国强, 林永峰, 陈亮, 唐萍, 刘亚丽, 刘云, 陈培育, 胡晓辉 申请人:国家电网公司, 国网天津市电力公司