一種移動查詢系統的終端及全系統數據安全保護方法
2023-06-20 14:44:01 1
專利名稱:一種移動查詢系統的終端及全系統數據安全保護方法
技術領域:
本發明涉及的是一種通訊信息安全系統及其處理方法,特別涉及的是一種 對應於移動查詢系統終端以及整個系統的數據安全保護方法。
背景技術:
本發明是針對北京工商綜合移動執法平臺提出的,其利用現代無線通信技 術的最新成果,實現移動查詢。在工商局現有的信息系統基礎上,無線網絡傳 輸速度的提高使無線通訊行業應用成為可能。過去一些行業使用了掌上電腦設 備,但是沒有通訊功能,信息獲取和採集達不到隨時隨地,現在雖然可以實現 了,但是對於查詢系統的數據安全保護,仍然是一個棘手的問題。
一般所指的網絡安全是一個完全不同的設計理念。安全網絡設計指的是通過 全盤的、整體性的安全措施為用戶提供一個集成的、具有很好擴展性和可用性 的數據通信網絡解決方案。在現在大多數的網絡設計中,安全措施只是作為零 散的、打補丁性質的手段被應用到網絡建設中,這些安全措施是零散的、未經 統一規劃的一些安全手段,不具有協調工作和自動控制的能力,難於滿足網絡 的性能優化、網絡擴展、靈活的業務應用要求。
常見的網絡方式實現物理隔離主要是採用了人工方式,難以滿足實時的需要。
常用的網際網路帶來很多病毒和攻擊,不具備安全性。
常用的傳輸方式採用明碼傳輸,安全係數低,容易被攻擊且容易被竊取且 網絡利用率不高。
一般的安全策略是採用用戶名密碼進行確認, 一旦用戶名名,密碼丟失將會 造成巨大損失。
為解決上述缺陷,本移動查詢系統的開發人員經過長期的研究和試驗終於 獲得了本創作。
發明內容
本發明的目的在於,提供一種移動查詢系統的終端及全系統數據安全保護 方法,用於克服上述的技術缺陷。
為實現上述目的,本發明釆用的技術方案在於,首先提供一種移動查詢系
統的終端及全系統數據安全保護方法,其包括
在每一終端設備上設置電子序列號,並與所述的國際移動用戶識別碼綁定; 每一終端設備上設置有用戶名和密碼。
其次提出了一種移動查詢系統採用的數據安全保護方法,其包括所述的 在終端部分釆取的數據安全保護,還包括在通訊層採用的數據安全保護以及 在業務層採取的數據安全保護,
所述的在終端部分採取的數據安全保護,包括在每一終端設備上設置電 子序列號,並與所述的國際移動用戶識別碼綁定;每一終端設備上設置有用戶 名和密碼;
在通訊層採用的數據安全保護,其包括採用虛擬撥號專用網絡專線接入 方式進行數據傳輸,並採用加密模式,還包括採用專用安全隔離機把專線以 外的數據通過不斷加密和解密的方法,隔開非法數據;採用交換機點對點的數 據流向安排和觸發,實現網絡數據的單向性;
所述加密模式,包括終端應用模塊將請求命令傳輸至終端加解密模塊, 由其加密程序進行加密處理,並加入加密密鑰算法衍生的字符串;傳輸至服務 器加解密模塊,由其解密程序進行解密處理,並加入由解密密鑰算法衍生出的 字符串傳輸至所述的伺服器應用模塊;伺服器應用模塊將從系統獲得數據信息, 傳輸至所述的獲得的伺服器加解密模塊,由其加密程序進行加密處理,並加入 加密密鑰算法衍生的字符串;傳輸至終端加解密模塊,由其解密程序進行解密 處理,並加入解密密鑰算法衍生的字符串;傳輸至終端;
在業務層採取的數據安全保護,其包括採用專用網閘把現在平臺和後臺 資料庫實現分開連接;
較佳的,採用了不對稱加密算法與對稱加密算法相結合的方法,所述的加 密程序包括的流程步驟如下
步驟a:輸入明文並將接收到的明文進行驗證;
步驟b:根據預先設定的規則,對明文進行檢驗,若出錯則執行上述步驟a,否則執行步驟C;
步驟c:對上述明文進行RSA加密處理,加入加密密鑰算法衍生的字符串; 步驟d:根據預先設定的規則,檢驗生成的密文是否出錯,若出錯則執行上 述步驟c,否則執行步驟e;
步驟e:對上述密文進行DES加密處理,
步驟f:根據預先設定的規則,檢驗新生成的密文是否出錯,若出錯則執行 上述步驟e,否則執行下述步驟g; 步驟g:輸出密文;
較佳的,採用了對稱加密算法與不對稱加密算法相結合的方法,所述的解 密程序包括的流程步驟如下
步驟a:輸入密文並進行DES解密處理;
步驟b:根據預先設定的規則,將上述處理後的數據進行檢驗,若有錯誤, 執行上述步驟a,否則執行下述步驟c;
步驟c:對上述DES解密處理後的數據進行RSA解密處理,並加入解密密 鑰算法衍生的字符串;
步驟d:對解密後的明文進行數據驗證處理;
步驟e:根據預先設定的規則,對上述驗證處理後的明文進行檢驗,若有錯 誤,執行上述步驟c,否則執行下述步驟f; 步驟f:輸出明文;
較佳的,所述的在通訊層採用的數據安全保護還包括設置不同的網絡類 型,其相互連接通過雙網卡的主機單向和點對點相連,經過驗證才能交換數據;
較佳的,所述的在終端部分採取的數據安全保護還包括在終端設備上使 用LINUX l喿作系統環境;
較佳的,所述的網絡包括無線網絡、虛擬專用網絡、後臺應用網絡和業 務層資料庫網絡。
本發明的優點在於,成本低,安全性高。
圖1為本發明移動查詢系統終端數據安全保護方法的結構簡圖2為本發明移動查詢系統的全系統數據安全保護方法的體系筒圖;圖3為本發明移動查詢系統的全系統數據安全保護方法的加密模式的總體 結構簡圖4為本發明中加密模式對應的加密程序的流程圖; 圖5為本發明中加密模式對應的解密程序的流程圖。
具體實施例方式
以下結合附圖,對本發明上述的和另外的技術特徵和優點作更詳細的說明。 請參閱圖1所示,其為本發明移動查詢系統終端數據安全保護方法的結構 簡圖,其在每一終端設備上設置電子序列號,並與所述的國際移動用戶識別碼 綁定;每一終端設備上設置有用戶名和密碼;登錄用戶必須驗證國際移動用戶 識別碼(IMSI號碼)、電子序列號(ESN號碼)、登錄用戶名、密碼——對應, 有一項不對,均為不合法的用戶。
所述的國際移動用戶識別碼(IMSI: International Mobile Subscriber Identification Number )是區別移動用戶的標誌,儲存在SIM卡中,可用於區別 移動用戶的有效信息,MSIN是移動用戶識別碼,用以識別某一移動通信網中的 移動用戶;
所述的電子序列號(Electronic Serial Number )是一個32bits長度的參數, 是手機的惟一標識,對於一般的用戶,ESN確實沒有什麼用處,但是從技術上 來說,它是一個非常重要的參數; 一方面,ESN在無線接口上被用來生成長PN 碼,作為擴頻和解括之用;另一方面,也是更為重要的作用,ESN是系統鑑權 中不可缺少的參數。
移動執法後臺系統捕獲用戶手機卡的國際移動用戶識別碼和終端的電子序 列號,在後臺用戶管理系統進行校驗,並配合系統的用戶名和密碼一同校驗, 四個參數全部正確係統可以正常使用,缺少任何一個參數系統都不可以正常使 用。通過上面四重認證達到終端安全的目的。
圖2為本發明移動查詢系統的全系統數據安全保護方法的體系簡圖;其除 了釆用上述在終端實施的安全方法,其還包括在通訊層採用的數據安全保護 以及在業務層採取的數據安全保護,其中,對於在通訊層釆用的數據安全保, 其主要包括CDMA 1X分組網的VPDN安全保障,專線式進行數據傳輸,並採 用加密模式,所述VPDN是虛擬撥號專用網絡(Virtual Private Dialup Network )的縮寫,與普通的VPDN不同之處在於,CDMA IX分組網的VPDN業務,體 現的是無線上網的概念,是利用中國聯通CDMA IX高速分組數據網絡為無線 移動用戶構建虛擬專用網絡,從而使集團用戶在任何地點都能夠通過CDMA IX 網絡,實現為職員和商業夥伴提供無縫和安全的連結。CDMA1X分組域根據網 絡自身的特點和集團的不同需求,為集團VPDN用戶提供有差異化的、安全可 靠的解決方案。
集團VPDN接入CDMA 1X分組網的方式有三種,分別是網際網路接入、 專線接入、虛擬專用網技術(MPLS VPN)的接入。
本發明釆用專線接入對於實時性、安全性要求較高的集團,如銀行和公 安的集團用戶,既要考慮CDMA IX分組域到集團網的帶寬需求,又要考慮傳 輸數據的安全保密性,因此採用專網接入的方式是最安全的選擇,既可以保證 流量帶寬又可以保證數據的安全,此種接入方式需要集團提供專線的租用費用, 與第一種方式相比集團要增加租用專線的投資。
本系統的建立集團VPDN專網首先要考慮VPDN業務安全性,VPDN集團 專網的安全機制主要採用隧道技術,在CDMA IX網絡部署VPDN業務時,採 用移動IP+歸屬代理(HA)技術在移動IP網絡HA與分組數據服務節點(PDSN) 間建立三層隧道技術實現VPDN業務的方式,與L2TP ( 二層隧道技術)技術相 比,在安全性和業務管理方面較有優勢,比較適用於為集團VPDN做業務託管, 並且用HA做路由器(LNS )與用路由器做LNS投資相同,因此用HA設備做 VPDN業務對集團和運營商來說都是比較好的選擇;
請參閱圖3所示,其為本發明移動查詢系統的全系統數據安全保護方法的 加密模式的總體結構簡圖;所述加密模式,其包括終端應用模塊將請求命令 傳輸至終端加解密模塊,由其加密程序進行加密處理,並加入加密密鑰算法衍 生的字符串;傳輸至伺服器加解密模塊,由其解密程序進行解密處理,並加入 由解密密鑰算法衍生出的字符串傳輸至所述的伺服器應用模塊;伺服器應用模 塊將從系統獲得數據信息,傳輸至所述的獲得的伺服器加解密模塊,由其加密 程序進行加密處理,並加入加密密鑰算法衍生的字符串;傳輸至終端加解密模 塊,由其解密程序進行解密處理,並加入解密密鑰算法衍生的字符串;傳輸至 終端。
請參閱圖4所示,其為本發明中加密模式對應的加密程序的流程圖;採用了不對稱加密算法與對稱加密算法相結合的方法,所述的加密程序包括的流程 步驟如下
步驟al:輸入明文並將接收到的明文進行驗證;
步驟bl:根據預先設定的規則,對明文進行檢驗,若出錯則執行上述步驟 al,否則執行步驟cl;
步驟cl:對上述明文進行RSA加密處理,加入加密密鑰算法衍生的字符串;
步驟dl:根據預先設定的規則,檢驗生成的密文是否出錯,若出錯則執行 上述步驟cl,否則執行步驟el;
步驟el:對上述密文進4亍DES加密處理,
步驟fl:根據預先設定的規則,檢驗新生成的密文是否出錯,若出錯則執 行上述步驟el,否則執行下述步驟gl; 步驟gl:輸出密文;
請參閱圖5所示,其為本發明中加密模式對應的解密程序的流程圖;採用 了對稱加密算法與不對稱加密算法相結合的方法,所述的解密程序包括的流程 步驟如下
步驟a2:輸入密文並進行DES解密處理;
步驟b2:根據預先設定的規則,將上述處理後的數據進行檢驗,若有錯誤, 執行上述步驟a2,否則執行下述步驟c2;
步驟c2:對上述DES解密處理後的數據進行RSA解密處理,並加入解密 密鑰算法衍生的字符串;
步驟d2:對解密後的明文進行數據驗證處理;
步驟e2:根據預先設定的規則,對上述驗證處理後的明文進行檢驗,若有 錯誤,執行上述步驟c2,否則執行下述步驟f2; 步驟f2:輸出明文;
在通訊層採用的數據安全保護還包括採用專用安全隔離機把專線以外的 數據通過不斷加密和解密的方法,隔開非法數據;通過採用交換機做點對點的 數據流向安排和觸發,實現網絡數據的單向性,兩臺手機之間只能通過單向鏈 接;通過不同網絡進行數據交互,現在移動查詢平臺網絡,同外網和業務層數 據庫內網不在一個網絡裡面,他們之間相連只是通過雙網卡的主才幾單向和點對 點相連,經過驗證才能交換數據,整個網絡由無線網絡、虛擬專用網絡、後臺應用網絡和業務層資料庫網絡構成。最後,該移動執法終端基於LINUX操作系 統環境開發出來的,在安全性上,本身就屏蔽了在空中和自身感染病毒的可能 性,所以安全性和穩定性更好。
在業務層採取的數據安全保護,其包括採用專用網閘把現在平臺和後臺 資料庫實現分開連接。
經過上述,終端、通訊層已經業務層的安全保護措施,實現整個查詢系統 的數據安全。
以上所述僅為本發明的較佳實施例,對本發明而言僅僅是說明性的,而非 限制性的。本專業技術人員理解,在本發明權利要求所限定的精神和範圍內可 對其進行許多改變,修改,甚至等效,但都將落入本發明的保護範圍內。
權利要求
1、一種移動查詢系統在終端部分採取的數據安全保護方法,其特徵在於,其包括在每一終端設備上設置電子序列號,並與所述的國際移動用戶識別碼綁定;每一終端設備上設置有用戶名和密碼。
2、 一種移動查詢系統的數據安全保護方法,其特徵在於,其包括所述的 在終端部分採取的數據安全保護,還包括在通訊層採用的數據安全保護以及 在業務層採取的數據安全保護,所述的在終端部分採取的數據安全保護,包括在每一終端設備上設置電 子序列號,並與所述的國際移動用戶識別碼綁定;每一終端設備上設置有用戶 名和密碼;在通訊層採用的數據安全保護,其包括採用虛擬撥號專用網絡專線接入 方式進行數據傳輸,並採用加密模式,還包括採用專用安全隔離機把專線以 外的數據通過不斷加密和解密的方法,隔開非法數據;採用交換機點對點的數 據流向安排和觸發,實現網絡數據的單向性;所述加密模式,包括終端應用模塊將請求命令傳輸至終端加解密模塊, 由其加密程序進行加密處理,並加入加密密鑰算法衍生的字符串;傳輸至服務 器加解密模塊,由其解密程序進行解密處理,並加入由解密密鑰算法衍生出的 字符串傳輸至所述的伺服器應用模塊;伺服器應用模塊將從系統獲得數據信息, 傳輸至所述的獲得的伺服器加解密模塊,由其加密程序進行加密處理,並加入 加密密鑰算法衍生的字符串;傳輸至終端加解密模塊,由其解密程序進行解密 處理,並加入解密密鑰算法衍生的字符串;傳輸至終端;在業務層採取的數據安全保護,其包括採用專用網閘把現在平臺和後臺 資料庫實現分開連接。
3、 根據權利要求2所述的移動查詢系統採用的數據安全保護方法,其特徵 在於,採用了不對稱加密算法與對稱加密算法相結合的方法,所述的加密程序 包括的流程步驟如下步驟a:輸入明文並將接收到的明文進行驗證;步驟b:根據預先設定的規則,對明文進行檢驗,若出錯則執行上述步驟a, 否則執行步驟c;步驟c:對上述明文進行RSA加密處理,加入加密密鑰算法衍生的字符串; 步驟d:根據預先設定的規則,檢驗生成的密文是否出錯,若出錯則執行上 述步驟c,否則執行步驟e;步驟e:對上述密文進行DES加密處理,步驟f:根據預先設定的規則,檢驗新生成的密文是否出錯,若出錯則執行 上述步驟e,否則^U於下述步驟g; 步驟g:輸出密文。
4、 根據權利要求2所述的移動查詢系統採用的數據安全保護方法,其特徵 在於,採用了對稱加密算法與不對稱加密算法相結合的方法,所述的解密程序 包括的流程步驟如下步驟a:輸入密文並進行DES解密處理;步驟b:根據預先設定的規則,將上述處理後的數據進行檢驗,若有錯誤, 執行上述步驟a,否則執行下述步驟c;步驟c:對上述DES解密處理後的數據進行RSA解密處理,並加入解密密 鑰算法衍生的字符串;步驟d:對解密後的明文進行數據^S正處理;步驟e:根據預先設定的規則,對上述驗證處理後的明文進行檢驗,若有錯 誤,執行上述步驟c,否則執行下述步驟f; 步驟f:輸出明文。
5、 根據權利要求2所述的移動查詢系統採用的數據安全保護方法,其特徵 在於,所述的在通訊層採用的數據安全保護還包括設置不同的網絡類型,其 相互連接通過雙網卡的主機單向和點對點相連,經過驗證才能交換數據。
6、 根據權利要求2所述的移動查詢系統採用的數據安全保護方法,其特徵 在於,所述的在終端部分採取的數據安全保護還包括在終端設備上使用LINUX 作業系統環境。
7、 根據權利要求5所述的移動查詢系統採用的數據安全保護方法,其特徵 在於,所述的網絡包括無線網絡、虛擬專用網絡、後臺應用網絡和業務層數 據庫網絡。
全文摘要
本發明為一種移動查詢系統的終端及全系統數據安全保護方法,其包括一種在終端部分採取的數據安全保護,即在每一終端設備上設置電子序列號,並與所述的國際移動用戶識別碼綁定;每一終端設備上設置有用戶名和密碼,在通訊層採用的數據安全保護,其包括採用虛擬撥號專用網絡專線接入方式進行數據傳輸,並採用加密模式,還包括採用專用安全隔離機把專線以外的數據通過不斷加密和解密的方法,隔開非法數據;採用交換機點對點的數據流向安排和觸發,實現網絡數據的單向性;在業務層採取的數據安全保護,採用專用網閘把現在平臺和後臺資料庫實現分開連接;從而達到成本低,安全係數高的目的。
文檔編號H04M3/493GK101316381SQ20071009976
公開日2008年12月3日 申請日期2007年5月30日 優先權日2007年5月30日
發明者王振宇 申請人:華源潤通(北京)科技有限公司