本申请公开了一种基于SSL协议的安全交互方法、系统及设备,主要涉及安全交互技术领域,用以解决现有的安全交互出现的省侧业务重复开发工作量大等问题。包括:网关SDK将移动应用的传输数据进行加密处理,并上传至第一接入网关;进行移动应用的身份认证;在身份认证合格后,建立国密通道;通过第一接入网关对接收到的加密数据进行解密处理;通过预设省侧平台获取预设总部平台下发的需求指令;将需求指令对应的解密数据加密传输至预设总部平台的第二接入网关;进行身份认证;将身份认证合格的上传数据发送至预设数据安全接入服务,进而获得二次解密数据;将二次解密数据发送至需求移动终端。本申请通过上述方法降低省侧业务重复开发工作量。发工作量。发工作量。
【技术实现步骤摘要】
一种基于SSL协议的安全交互方法及系统
[0001]本申请涉及安全交互
,尤其涉及一种基于SSL协议的安全交互方法及系统。
技术介绍
[0002]随着电力业务发展,数据成为支撑新型电力系统建设的关键要素。作为关键信息基础设施运营单位,公司管理着大量重要生产数据和高敏感用电客户信息数据,一旦发生业务数据丢失、泄露、破坏可能会造成公司日常经营决策和生产作业信息泄露,因此需提供充分的安全防护保证信息安全。
[0003]现有的安全防护以传统网络安全防护为主,通过(1)分区防护:通过网络分区对用户访问的权限进行严格认证和控制;(2)边界隔离:使用物理隔离装置保证数据传输安全性;(3)数据加密:数据加密保证数据被人截获后不能读懂其含义等措施保障传统数据存储、传输等环节的安全性。
[0004]但是,传统网络安全防护方法对应的移动终端上的移动应用与公司内部业务系统后台交互时需要开通访问互联网服务端口,互联网端口暴露会带来一定的安全风险;各网省公司移动应用的数据需要推送给总部公司,各移动应用均需针对总部数据安全接入组件单独定制开发,省侧业务重复开发工作量较大;此外,随着配电自动化系统、统一视频平台、边缘物联代理、融合终端的不断发展,只支持单一终端接入的安全接入网关无法满足现有需求。
技术实现思路
[0005]针对现有技术的上述不足,本专利技术提供一种基于SSL协议的安全交互方法及系统,以解决上述技术问题。
[0006]第一方面,本申请提供了一种基于SSL协议的安全交互方法,方法包括:根据国密算法,网关SDK将移动应用的传输数据进行加密处理,并上传加密数据至预设省侧平台的第一接入网关;基于加密数据中的身份信息,第一接入网关进行移动应用的身份认证;在身份认证合格后,通过第一接入网关和网关SDK建立国密通道,且国密通道采用基于国密算法的HTTPS协议;通过第一接入网关对接收到的加密数据进行解密处理,获得解密数据;通过预设省侧平台部署的数据推送代理服务,获取预设总部平台下发的需求指令;基于国密算法,将需求指令对应的解密数据加密传输至预设总部平台的第二接入网关;基于上传数据中的省侧身份信息,进行身份认证;将身份认证合格的上传数据发送至预设数据安全接入服务,进而获得二次解密数据;通过预设总部平台确定需求移动终端,以通过消息推送或数据拉取的方式,将二次解密数据发送至需求移动终端。
[0007]进一步地,根据国密算法,网关SDK将移动应用的传输数据进行加密处理,具体包括:生成随机sm4key,使用sm4key对传输数据进行国密加密处理,获得第一加密数据;其中,第一加密数据包含时间戳;使用国密算法中的sm3校验第一加密数据和时间戳的加密完整
性;使用国密算法中的sm2和sm2公钥对随机sm4key进行加密,获得sm4key加密数据;使用国密算法中的sm2对时间戳+sm4key加密数据+加密传输数据进行加密,获得加密数据。
[0008]进一步地,在网关SDK根据国密算法,将移动应用的传输数据进行加密处理,并上传加密数据至预设省侧平台的第一接入网关之前,方法还包括:在移动应用初始化网关SDK时,以参数形式提供配置信息;其中,配置信息至少包括网关连接信息、业务服务信息、代理端口信息;通过网关SDK建立安全连接API,以接入第一接入网关,并向第一接入网关上传身份信息,完成身份认证、密钥协商和建立加密传输通道;使网关依据身份信息设置访问控制权限,并生成本地代理端口;以使移动应用通过本地代理端口向网关SDK发送传输数据。
[0009]进一步地,通过第一接入网关对接收到的加密数据进行解密处理,获得解密数据,具体包括:使用国密算法中sm2的私钥对加密数据进行解密,获取加密传输数据和sm4key加密数据;使用国密算法中的sm3检验加密数据与预设消息摘要的一致性;若一致,对sm4key加密数据进行解密,获取sm4key;进而使用sm4key对加密数据进行解密,获取解密数据。
[0010]进一步地,方法还包括:通过编辑界面触发指令,进入网关SDK配置文件编辑界面;通过配置文件编辑界面,获取SSAGClient类的实例,并对实例进行初始化,以使网关SDK支持实例对应的代理模式。
[0011]进一步地,方法还包括:对网关SDK对应代码中的class文件进行混淆处理,以将class文件中的类名称、变量名称和方法名称替换为预设无意义的短变量。
[0012]第二方面,本申请提供了一种基于SSL协议的安全交互系统,系统包括:上传模块,用于根据国密算法,网关SDK将移动应用的传输数据进行加密处理,并上传加密数据至预设省侧平台的第一接入网关;获得模块,用于基于加密数据中的身份信息,第一接入网关进行移动应用的身份认证;在身份认证合格后,通过第一接入网关和网关SDK建立国密通道,且国密通道采用基于国密算法的HTTPS协议;通过第一接入网关对接收到的加密数据进行解密处理,获得解密数据;传输模块,用于通过预设省侧平台部署的数据推送代理服务,获取预设总部平台下发的需求指令;基于国密算法,将需求指令对应的解密数据加密传输至预设总部平台的第二接入网关;发送模块,用于基于上传数据中的省侧身份信息,进行身份认证;将身份认证合格的上传数据发送至预设数据安全接入服务,进而获得二次解密数据;通过预设总部平台确定需求移动终端,以通过消息推送或数据拉取的方式,将二次解密数据发送至需求移动终端。
[0013]第三方面,本申请提供了一种基于SSL协议的安全交互设备,设备包括:处理器;以及存储器,其上存储有可执行代码,当可执行代码被执行时,使得处理器执行如上述任一项的一种基于SSL协议的安全交互方法。
[0014]本领域技术人员能够理解的是,本专利技术至少具有如下有益效果:(1)可统一配置移动应用接入情况,移动应用通过调用安全接入网关SDK API,建立与省侧安全接入网关(第一接入网关)的安全隧道,并生成本地代理端口,移动应用即可通过与本地代理端口交互实现数据交互,这种交互方法提高了移动应用安全接入的便捷性,并减少了互联网端口暴露,提升了安全性。
[0015](2)本申请通过网省侧的预设数据推送代理服务和总部侧的预设数据安全接入服务,实现若干网省侧数据传输至总部侧;统一数据推送代理服务,统一处理网省侧与总部侧数据融合的问题,减少了省侧重复开发工作量,将数据融合与数据传输安全与业务解耦,国
密sm2和sm4混合加解密保证了传输安全。
[0016](3)本申请存在网关SDK配置文件编辑界面,通过编辑网关SDK的SSAGClient类的实例,实现支持各种终端接入,减少了终端接入的改造量。
附图说明
[0017]下面参照附图来描述本公开的部分实施例,附图中:图1是本申请实施例提供的一种基于SSL协议的安全交互方法流程图。
[0018]图2是本申请实施例提供的一种基于SSL协议的安全交互系统内部结构示意图。
[0019]图3是本申请实施例提供的一种基于SSL协议的安全交互系统内部结构示意图。
本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于SSL协议的安全交互方法,其特征在于,所述方法包括:根据国密算法,网关SDK将移动应用的传输数据进行加密处理,并上传所述加密数据至预设省侧平台的第一接入网关;基于加密数据中的身份信息,第一接入网关进行移动应用的身份认证;在身份认证合格后,通过第一接入网关和网关SDK建立国密通道,且所述国密通道采用基于国密算法的HTTPS协议;通过第一接入网关对接收到的加密数据进行解密处理,获得解密数据;通过预设省侧平台部署的数据推送代理服务,获取预设总部平台下发的需求指令;基于国密算法,将需求指令对应的解密数据加密传输至预设总部平台的第二接入网关;基于上传数据中的省侧身份信息,进行身份认证;将身份认证合格的上传数据发送至预设数据安全接入服务,进而获得二次解密数据;通过预设总部平台确定需求移动终端,以通过消息推送或数据拉取的方式,将二次解密数据发送至需求移动终端。2.根据权利要求1所述的基于SSL协议的安全交互方法,其特征在于,根据国密算法,网关SDK将移动应用的传输数据进行加密处理,具体包括:生成随机sm4key,使用sm4key对传输数据进行国密加密处理,获得第一加密数据;其中,所述第一加密数据包含时间戳;使用国密算法中的sm3校验第一加密数据和时间戳的加密完整性;使用国密算法中的sm2和sm2公钥对随机sm4key进行加密,获得sm4key加密数据;使用国密算法中的sm2对时间戳+sm4key加密数据+加密传输数据进行加密,获得加密数据。3.根据权利要求1所述的基于SSL协议的安全交互方法,其特征在于,在网关SDK根据国密算法,将移动应用的传输数据进行加密处理,并上传所述加密数据至预设省侧平台的第一接入网关之前,所述方法还包括:在移动应用初始化网关SDK时,以参数形式提供配置信息;其中,所述配置信息至少包括网关连接信息、业务服务信息、代理端口信息;通过网关SDK建立安全连接API,以接入第一接入网关,并向第一接入网关上传身份信息,完成身份认证、密钥协商和建立加密传输通道;使网关依据身份信息设置访问控制权限,并生成本地代理端口;以使移动应用通过本地代理端口向网关SDK发送传输数据。4.根据权利要求1所述的基于SSL协议的安全交互方法,其特征在于,...
【专利技术属性】
技术研发人员:张茜,段波伟,刘泽三,李晓珍,孟雨,王子恒,
申请(专利权)人:国网信息通信产业集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。