[发明专利]一种移动终端的安全接入系统及方法

权利要求书

1.一种移动终端的安全接入系统，其特征在于，包括：移动终端、安全接入网关、CA服务系统和业务系统；

所述移动终端，用于存储密钥并基于预先定义的应用层通信协议为与业务系统交互的数据提供加/解密服务；

所述安全接入网关，用于为CA服务系统提供独立通道，还用于与移动终端进行密钥协商；

所述CA服务系统，用于基于安全接入网关提供的独立通道为移动终端提供安全证书服务；

所述业务系统：基于预先定义的应用层通信协议实现与移动终端的双向数据交互。

2.如权利要求1所述的系统，其特征在于，所述应用层通信协议的格式为S,L,CID,SID,R,DATA,F,E，其中S为帧起始字符，L为报文长度，CID为客户端身份标识，SID为业务标识，R为保留字段，DATA为数据负载，F为帧校验和，E为帧结束字符。

3.如权利要求1所述的系统，其特征在于，所述移动终端包括移动终端SDK和移动终端APP；

所述移动终端SDK用于对秘钥进行安全存储，以及基于预先定义的应用层通信协议为所述移动终端APP与业务系统之间交互的数据提供加/解密服务。

4.如权利要求3所述的系统，其特征在于，所述移动终端SDK，包括：

安全容器、证书申请、密钥协商和SDK接口；

所述安全容器，用于当移动终端SDK中不存在公钥时，为移动终端生成并存储公钥和私钥；

所述证书申请，用于基于所述移动终端的公钥、设备号和用户身份信息生成证书请求，并基于所述证书请求从CA服务系统中获得安全证书；

所述密钥协商，用于基于证书和公钥与安全接入网关进行双向身份认证；

所述SDK接口，用于向所述移动终端APP提供读写服务。

5.如权利要求4所述的系统，其特征在于，所述安全容器包括：

密钥存储子模块，用于当没有硬件条件支持时，开辟存储空间进行密钥存储；还用于当安全容器中不存在密钥时，产生密钥，并以用户身份信息作为种子密钥存储新产生的密钥；以及当安全容器中存在密钥时，以用户身份信息来激活密钥；

加密算法子模块，用于为加密服务提供国密算法；

算法接口子模块，用于提供密钥导入接口、私钥生成接口、公钥导出接口、私钥签名接口和公钥加密接口。

6.如权利要求1所述的系统，其特征在于，所述安全接入网关包括：通信前置服务组件、接入网关和通信后置服务组件；所述通信前置服务组件设置在移动终端和接入网关之间，所述通信后置服务组件设置在接入网关和业务系统之间；

所述通信前置服务组件，用于将海量移动终端的接入请求进行汇聚并转发给接入网关；

所述接入网关，用于将上行数据解密后转发给通信后置服务组件，上行数据加密后转发给通信前置服务组件；

所述通信后置服务组件，用于为接入网关的数据提供落地服务，将业务数据转交给业务系统。

7.如权利要求6所述的系统，其特征在于，所述通信前置服务组件，具体用于当海量移动终端接入到接入网关时，通信前置服务组件接入海量移动终端的socket链路，通过CID构建链路会话，将海量移动终端的Socket请求汇聚成少量的Socket请求转发给接入网关。

8.如权利要求6所述的系统，其特征在于，所述通信后置服务组件，具体用于通过Socket与接入网关建立连接，通过业务标识SID，分发数据至各业务系统。

9.如权利要求1所述的系统，其特征在于，所述移动终端为电力移动终端。

10.一种移动终端的安全接入方法，其特征在于，包括：

通过独立通道从CA服务系统中获取安全证书；

基于预先定义的应用层协议为移动终端与业务系统之间交互的数据提供加/解密服务；

基于移动终端中存储的密钥和所述安全证书与安全接入网关之间进行密钥协商，实现移动终端与业务系统之间的数据交互。