專利名稱:基于vpn的移動通訊終端安全訪問數(shù)據(jù)的方法及系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及到網(wǎng)絡安全領域,特別涉及到一種基于VPN的移動通訊終端安全訪問數(shù)據(jù)的方法及系統(tǒng)。
背景技術:
隨著移動互聯(lián)網(wǎng)和集成電路技術的飛速發(fā)展��,移動通訊終端已經(jīng)擁有了強大的處理能力�,正在從簡單的通話工具變?yōu)橐粋€綜合信息處理平臺。用戶通過移動通訊終端可以輕松的從網(wǎng)絡中下載和瀏覽各種類型的文件�����。移動通訊終端也成為了一種移動辦公的工具����,用戶可以使用移動通訊終端通過VPN(Virtual Private Network,虛擬專用網(wǎng)絡)訪問機構的內(nèi)網(wǎng)資源和數(shù)據(jù)來進行遠程辦公���。但移動通訊終端給用戶帶來辦公方便的同時�����,也增加了泄露公司內(nèi)部資料和機密數(shù)據(jù)的風險移動通訊終端通過VPN訪問內(nèi)網(wǎng)資源的同時�����,也可以訪問其他外部網(wǎng)絡�����。用戶可以有意識的隨時的將內(nèi)網(wǎng)重要資料發(fā)布到外部網(wǎng)絡上����。
發(fā)明內(nèi)容
本發(fā)明的主要目的為提供一種基于VPN的移動通訊終端安全訪問數(shù)據(jù)的方法和系統(tǒng),提高內(nèi)網(wǎng)資源的安全性��。本發(fā)明提出一種基于VPN的移動通訊終端安全訪問數(shù)據(jù)的方法�����,包括當數(shù)據(jù)安全裝置在所述移動通訊終端運行時����,所述數(shù)據(jù)安全裝置允許所述移動通訊終端訪問內(nèi)部網(wǎng)絡,且禁止所述移動通訊終端訪問外部網(wǎng)絡���;當數(shù)據(jù)安全裝置沒有在所述移動通訊終端運行時�����,VPN服務器禁止所述移動通訊終端訪問內(nèi)部網(wǎng)絡��。優(yōu)選地���,所述數(shù)據(jù)安全裝置運行包括所述數(shù)據(jù)安全裝置生成加密密鑰;根據(jù)所述加密密鑰對移動通訊終端內(nèi)數(shù)據(jù)進行加解密����。優(yōu)選地,所述數(shù)據(jù)安全裝置生成數(shù)據(jù)的加密密鑰包括當移動通訊終端訪問VPN資源時�,從VPN服務器下載所述移動通訊終端對應的密鑰;根據(jù)所述密鑰和移動通訊終端參數(shù)計算加密密鑰���;所述移動通訊終端參數(shù)包括移動通訊終端的國際移動設備身份碼IMEI信息和/或國際移動用戶識別碼IMSI信息�����。優(yōu)選地���,在執(zhí)行所述根據(jù)加密密鑰對移動通訊終端內(nèi)數(shù)據(jù)進行加解密之前,還包括將寫入移動通訊終端的數(shù)據(jù)重定向至預設的存儲空間��,所述預設的存儲空間為移動通訊終端指定空間或與移動通訊終端連接的存儲介質(zhì)�����。優(yōu)選地��,所述數(shù)據(jù)安全裝置運行還包括所述數(shù)據(jù)安全裝置根據(jù)預設的權限規(guī)則控制移動通訊終端對VPN資源的訪問���。
本發(fā)明還提出一種基于VPN的移動通訊終端安全訪問數(shù)據(jù)的系統(tǒng)��,包括VPN服務器和運行在移動通訊終端的數(shù)據(jù)安全裝置��,所述VPN服務器�,用于當所述數(shù)據(jù)安全裝置沒有在所述移動通訊終端運行時,禁止所述移動通訊終端訪問內(nèi)部網(wǎng)絡��;所述數(shù)據(jù)安全裝置�, 用于允許所述移動通訊終端訪問內(nèi)部網(wǎng)絡,且禁止所述移動通訊終端訪問外部網(wǎng)絡����。優(yōu)選地,所述數(shù)據(jù)安全裝置包括生成密鑰模塊�,用于生成加密密鑰; 加解密模塊�,用于根據(jù)所述加密密鑰對移動通訊終端內(nèi)數(shù)據(jù)進行加解密。優(yōu)選地��,所述生成密鑰模塊包括下載單元����,用于當移動通訊終端訪問VPN資源時,從VPN服務器下載所述移動通訊終端對應的密鑰�;計算單元�,用于根據(jù)所述密鑰和移動通訊終端參數(shù)計算加密密鑰��;所述移動通訊終端參數(shù)包括移動通訊終端的國際移動設備身份碼IMEI信息和/或國際移動用戶識別碼 IMSI信息�����。優(yōu)選地��,所述數(shù)據(jù)安全裝置還包括重定向模塊�����,用于將寫入移動通訊終端的數(shù)據(jù)重定向至預設的存儲空間���,所述預設的存儲空間為移動通訊終端指定空間或與移動通訊終端連接的存儲介質(zhì)。優(yōu)選地���,所述數(shù)據(jù)安全裝置還包括權限控制模塊�,用于根據(jù)預設的權限規(guī)則控制移動通訊終端對VPN資源的訪問��。本發(fā)明提出的一種基于VPN的移動通訊終端安全訪問數(shù)據(jù)的方法和系統(tǒng)���,在移動通訊終端上設置數(shù)據(jù)安全裝置�,該數(shù)據(jù)安全裝置結合VPN服務器,使移動通訊終端用戶無法在數(shù)據(jù)安全裝置關閉時通過網(wǎng)絡將受保護文件發(fā)送到外部網(wǎng)絡�����,而運行在數(shù)據(jù)安全裝置上的應用程序也無法通過訪問除VPN資源外的網(wǎng)絡��,將受保護文件發(fā)布到外網(wǎng)�。
圖1為本發(fā)明基于VPN的移動通訊終端安全訪問數(shù)據(jù)的方法一實施例的流程示意圖;圖2為本發(fā)明基于VPN的移動通訊終端安全訪問數(shù)據(jù)的方法一實施例中數(shù)據(jù)安全裝置運行的流程示意圖�����;圖3為本發(fā)明基于VPN的移動通訊終端安全訪問數(shù)據(jù)的方法一實施例中密鑰生成的流程示意圖�;圖4為本發(fā)明基于VPN的移動通訊終端安全訪問數(shù)據(jù)的方法一實施例中數(shù)據(jù)安全裝置運行的又一流程示意圖;圖5為本發(fā)明基于VPN的移動通訊終端安全訪問數(shù)據(jù)的方法一實施例中數(shù)據(jù)安全裝置運行的另一流程示意圖�;圖6為本發(fā)明基于VPN的移動通訊終端安全訪問數(shù)據(jù)的系統(tǒng)一實施例的結構示意圖;圖7為本發(fā)明基于VPN的移動通訊終端安全訪問數(shù)據(jù)的系統(tǒng)一實施例中數(shù)據(jù)安全裝置的結構示意圖�����;圖8為本發(fā)明基于VPN的移動通訊終端安全訪問數(shù)據(jù)的系統(tǒng)一實施例中生成密鑰模塊的結構示意圖�����;圖9為本發(fā)明基于VPN的移動通訊終端安全訪問數(shù)據(jù)的系統(tǒng)一實施例中數(shù)據(jù)安全裝置的又一結構示意圖;圖10為本發(fā)明基于VPN的移動通訊終端安全訪問數(shù)據(jù)的系統(tǒng)一實施例中數(shù)據(jù)安全裝置的另一結構示意圖���。本發(fā)明目的的實現(xiàn)��、功能特點及優(yōu)點將結合實施例���,參照附圖做進一步說明��。
具體實施例方式應當理解��,此處所描述的具體實施例僅僅用以解釋本發(fā)明�,并不用于限定本發(fā)明。參照圖1�,提出本發(fā)明一種基于VPN的移動通訊終端安全訪問數(shù)據(jù)的方法一實施例,包括步驟S10����、當數(shù)據(jù)安全裝置在所述移動通訊終端運行時,所述數(shù)據(jù)安全裝置允許所述移動通訊終端訪問內(nèi)部網(wǎng)絡���,且禁止所述移動通訊終端訪問外部網(wǎng)絡���;步驟S11、當數(shù)據(jù)安全裝置沒有在所述移動通訊終端運行時,VPN服務器禁止所述移動通訊終端訪問內(nèi)部網(wǎng)絡�。在本實施例中,為說明方便����,將沒有運行數(shù)據(jù)安全裝置的移動通訊終端環(huán)境稱為個人環(huán)境,將運行數(shù)據(jù)安全裝置的移動通訊終端環(huán)境稱為辦公環(huán)境����。用戶通過移動通訊終端接入VPN后,基于VPN的數(shù)據(jù)安全裝置會自動下載到移動通訊終端���,并自動安裝到移動通訊終端���,在后臺運行,為移動通訊終端提供一個文件系統(tǒng)訪問過濾層����,形成辦公環(huán)境。當辦公環(huán)境內(nèi)的應用程序使用網(wǎng)絡API函數(shù)訪問網(wǎng)絡的時候����,訪問行為首先被數(shù)據(jù)安全裝置攔截。數(shù)據(jù)安全裝置判斷訪問目的地址是否為授權給用戶的VPN內(nèi)網(wǎng)資源���。如果目的地址是授權的內(nèi)網(wǎng)地址��,則將數(shù)據(jù)通過VPN通道轉發(fā)給內(nèi)網(wǎng)���;如果目的地址是授權之外的地址�����,則直接禁止���。由于運行在個人環(huán)境內(nèi)的應用程序不會被數(shù)據(jù)安全裝置掛鉤�,所以個人環(huán)境發(fā)送網(wǎng)絡數(shù)據(jù)的目的地址即使為內(nèi)網(wǎng)地址,也不會被轉發(fā)到內(nèi)網(wǎng)��,因此無法訪問VPN內(nèi)網(wǎng)資源�。這樣就形成了辦公環(huán)境可以訪問內(nèi)網(wǎng)但無法訪問外網(wǎng),個人環(huán)境可以訪問外網(wǎng)但無法訪問內(nèi)網(wǎng)����,辦公環(huán)境和用戶個人環(huán)境無法進行網(wǎng)絡通訊的格局,從而實現(xiàn)了辦公環(huán)境和用戶個人環(huán)境的網(wǎng)絡隔離���。本實施例中���,在移動通訊終端上設置數(shù)據(jù)安全裝置����,該數(shù)據(jù)安全裝置結合VPN服務器����,使移動通訊終端用戶無法在數(shù)據(jù)安全裝置關閉時通過網(wǎng)絡將受保護文件發(fā)送到外部網(wǎng)絡,而運行在數(shù)據(jù)安全裝置上的應用程序也無法通過訪問除VPN資源外的網(wǎng)絡��,將受保護文件發(fā)布到外網(wǎng)��。參照圖2��,在一實施例中�,所述數(shù)據(jù)安全裝置運行包括步驟S20、所述數(shù)據(jù)安全裝置生成加密密鑰���;步驟S21����、根據(jù)所述加密密鑰對移動通訊終端內(nèi)數(shù)據(jù)進行加解密�����。當移動通訊終端接入VPN網(wǎng)絡時,所有移動通訊終端內(nèi)的應用程序訪問移動通訊終端的文件系統(tǒng)都必須通過數(shù)據(jù)安全裝置的文件系統(tǒng)訪問過濾層����,文件系統(tǒng)訪問過濾層根據(jù)不同的權限進行訪問控制。數(shù)據(jù)安全裝置生成一加密密鑰���,對在辦公環(huán)境下讀取或?qū)懭胍苿油ㄓ嵔K端的文件系統(tǒng)的數(shù)據(jù)進行加解密��。當運行在辦公環(huán)境中的應用程序?qū)懭胍苿油ㄓ嵔K端的文件系統(tǒng)時���,數(shù)據(jù)安全裝置使用加密密鑰對文件內(nèi)容進行加密。當運行在辦公環(huán)境中的應用程序需要讀取下載的文件的時候���,數(shù)據(jù)安全裝置使用加密密鑰對該文件內(nèi)容進行解密后得到明文數(shù)據(jù)輸出��。整個文件的加解密過程對用戶來說都是透明且自動完成的。本實施例中����,數(shù)據(jù)安全裝置對運行在辦公環(huán)境中的應用程序進行透明的文件加解密,所以運行在個人環(huán)境中的應用程序是無法通過解密讀取在辦公環(huán)境時已加密的數(shù)據(jù)����, 從而實現(xiàn)辦公環(huán)境和用戶個人環(huán)境的數(shù)據(jù)隔離��。參照圖3���,在上述實施例中,步驟S20可包括步驟S201���、當移動通訊終端訪問VPN資源時��,從VPN服務器下載所述移動通訊終端對應的密鑰����;每次移動通訊終端訪問VPN資源時�,數(shù)據(jù)安全裝置從VPN服務器下載一個與此移動通訊終端的VPN賬戶相關聯(lián)的唯一的密鑰。步驟S202���、根據(jù)所述密鑰和移動通訊終端參數(shù)計算加密密鑰�����;所述移動通訊終端參數(shù)包括移動通訊終端的IMEI信息和/或IMSI信息����。數(shù)據(jù)安全裝置將下載的密鑰與移動通訊終端的移動通訊終端參數(shù)共同生成加密密鑰���。移動通訊終端參數(shù)可以是IMEI信息和/或IMSI信息��,或其它可以參與加密密鑰計算的移動通訊終端參數(shù)���。本實施例中,移動通訊終端每次訪問VPN資源時�����,數(shù)據(jù)安全裝置根據(jù)下載的密鑰生成加密密鑰��,因此即使移動通訊終端丟失��,由于密鑰在不斷變化���,移動通訊終端內(nèi)的數(shù)據(jù)也不會泄密�����。參照圖4,在上述實施例中�����,在執(zhí)行步驟S21之前可進一步包括步驟S22、將寫入移動通訊終端的數(shù)據(jù)重定向至預設的存儲空間��,所述預設的存儲空間為移動通訊終端指定空間或與移動通訊終端連接的存儲介質(zhì)�����。當運行在辦公環(huán)境中的應用程序?qū)懭胍苿油ㄓ嵔K端內(nèi)文件(本實施例中��,這種文件稱為虛擬文件)時���,寫操作首先被數(shù)據(jù)安全裝置攔截�,數(shù)據(jù)安全裝置自動將對該文件的寫操作重定向到一預設的存儲空間(稱為真實文件)�����,預設的存儲空間可為移動通訊終端指定空間或與移動通訊終端連接的存儲介質(zhì)如SD卡��,并且使用加密密鑰對文件內(nèi)容進行加密��。同時�,數(shù)據(jù)安全裝置在該預設的存儲空間中保存真實文件與虛擬文件的對應關系數(shù)據(jù)。當運行在辦公環(huán)境中應用程序需要讀取下載的文件的時候����,數(shù)據(jù)安全裝置獲取虛擬文件對應的真實文件��,將虛擬文件的讀操作重定向到對應該預設的存儲空間中的真實文件上����,并且使用加密密鑰對真實文件內(nèi)容進行解密后得到明文數(shù)據(jù)輸出至上層應用程序����。刪除虛擬文件時,將會自動刪除對應的真實文件和相應的對應關系數(shù)據(jù)�。整個文件重定向、加解密過程對用戶來說都是透明且自動完成的��。本實施例中���,由于數(shù)據(jù)安全裝置只對運行在辦公環(huán)境中的應用程序進行透明的重定向����,所以運行在個人環(huán)境內(nèi)的應用程序在讀寫虛擬文件的時候��,讀寫行為首先被數(shù)據(jù)安全裝置攔截�。數(shù)據(jù)安全裝置不會將文件的讀寫操作重定向到真實文件,所以應用程序只是對虛擬文件的操作�����,并不能對真實文件進行操作�����,無法修改和獲取真實文件中的內(nèi)容��,進一步提高了移動通訊終端內(nèi)數(shù)據(jù)的安全性��。參照圖5��,在上述實施例中��,所述數(shù)據(jù)安全裝置運行還包括步驟S23�����、所述數(shù)據(jù)安全裝置根據(jù)預設的權限規(guī)則控制移動通訊終端對VPN資源的訪問��。
步驟S23可在步驟S20��、S2US22之前����、之后或同時,數(shù)據(jù)安全裝置為用戶提供一個辦公環(huán)境界面,界面上顯示了目前安裝在移動通訊終端上的應用程序圖標��。應用程序圖標可以根據(jù)預設的權限規(guī)則(通常是VPN下發(fā)的權限規(guī)則)來決定是否顯示�。只有通過點擊這些圖標運行起來的應用程序(這種應用程序稱為在辦公環(huán)境中運行的應用程序)才能允許訪問VPN內(nèi)網(wǎng)資源,但不能訪問除分配給用戶的 VPN內(nèi)網(wǎng)資源外的其他網(wǎng)絡資源��。而以其他方式運行的應用程序(這種應用程序稱為在個人環(huán)境中運行的應用程序)禁止訪問內(nèi)網(wǎng)資源����。本實施例中,數(shù)據(jù)安全裝置根據(jù)預設的權限規(guī)則決定辦公環(huán)境下哪些應用程序可以使用���,哪些應用程序不能使用�,以及哪些VPN資源可以訪問或不能訪問�����,進一步提高了移動通訊終端訪問數(shù)據(jù)的安全性�。參照圖6,提出本發(fā)明一種基于VPN的移動通訊終端安全訪問數(shù)據(jù)的系統(tǒng)一實施例�����,包括VPN服務器10和數(shù)據(jù)安全裝置20�����,所述VPN服務器10,用于當所述數(shù)據(jù)安全裝置 20沒有在所述移動通訊終端運行時�����,禁止所述移動通訊終端訪問內(nèi)部網(wǎng)絡��;所述數(shù)據(jù)安全裝置20���,用于允許所述移動通訊終端訪問內(nèi)部網(wǎng)絡,且禁止所述移動通訊終端訪問外部網(wǎng)在本實施例中�����,為說明方便����,將沒有運行數(shù)據(jù)安全裝置20的移動通訊終端環(huán)境稱為個人環(huán)境,將運行數(shù)據(jù)安全裝置20的移動通訊終端環(huán)境稱為辦公環(huán)境�。用戶通過移動通訊終端30接入VPN后,基于VPN的數(shù)據(jù)安全裝置20會自動下載到移動通訊終端30�����,并自動安裝到移動通訊終端30,在后臺運行�,為移動通訊終端30提供一個文件系統(tǒng)訪問過濾層, 形成辦公環(huán)境�����。當辦公環(huán)境內(nèi)的應用程序使用網(wǎng)絡API函數(shù)訪問網(wǎng)絡的時候����,訪問行為首先被數(shù)據(jù)安全裝置20攔截。數(shù)據(jù)安全裝置20判斷訪問目的地址是否為授權給用戶的VPN 內(nèi)網(wǎng)資源�。如果目的地址是授權的內(nèi)網(wǎng)地址,則將數(shù)據(jù)通過VPN通道轉發(fā)給內(nèi)網(wǎng)�;如果目的地址是授權之外的地址,則直接禁止��。由于運行在個人環(huán)境內(nèi)的應用程序不會被數(shù)據(jù)安全裝置20掛鉤�,所以個人環(huán)境發(fā)送網(wǎng)絡數(shù)據(jù)的目的地址即使為內(nèi)網(wǎng)地址,也不會被轉發(fā)到內(nèi)網(wǎng)�,因此無法訪問VPN內(nèi)網(wǎng)資源。這樣就形成了辦公環(huán)境可以訪問內(nèi)網(wǎng)但無法訪問外網(wǎng)����, 個人環(huán)境可以訪問外網(wǎng)但無法訪問內(nèi)網(wǎng),辦公環(huán)境和用戶個人環(huán)境無法進行網(wǎng)絡通訊的格局����,從而實現(xiàn)了辦公環(huán)境和用戶個人環(huán)境的網(wǎng)絡隔離����。本實施例中��,在移動通訊終端30上設置數(shù)據(jù)安全裝置20��,該數(shù)據(jù)安全裝置20結合 VPN服務器10��,使移動通訊終端用戶無法在數(shù)據(jù)安全裝置20關閉時通過網(wǎng)絡將受保護文件發(fā)送到外部網(wǎng)絡���,而運行在數(shù)據(jù)安全裝置20上的應用程序也無法通過訪問除VPN資源外的網(wǎng)絡,將受保護文件發(fā)布到外網(wǎng)���。參照圖7���,在一實施例中,數(shù)據(jù)安全裝置20包括生成密鑰模塊21�,用于生成加密密鑰;加解密模塊22�,用于根據(jù)所述加密密鑰對移動通訊終端30內(nèi)數(shù)據(jù)進行加解密。當移動通訊終端30接入VPN網(wǎng)絡時����,所有移動通訊終端30內(nèi)的應用程序訪問移動通訊終端30的文件系統(tǒng)都必須通過數(shù)據(jù)安全裝置20的文件系統(tǒng)訪問過濾層���,文件系統(tǒng)訪問過濾層根據(jù)不同的權限進行訪問控制。生成密鑰模塊21生成一加密密鑰���,加解密模塊 22對在辦公環(huán)境下讀取或?qū)懭胍苿油ㄓ嵔K端30的文件系統(tǒng)的數(shù)據(jù)進行加解密�����。當運行在辦公環(huán)境中的應用程序?qū)懭胍苿油ㄓ嵔K端30的文件系統(tǒng)時���,加解密模塊22使用加密密鑰對文件內(nèi)容進行加密。當運行在辦公環(huán)境中的應用程序需要讀取下載的文件的時候����,加解密模塊22使用加密密鑰對該文件內(nèi)容進行解密后得到明文數(shù)據(jù)輸出。整個文件的加解密過程對用戶來說都是透明且自動完成的���。本實施例中�����,數(shù)據(jù)安全裝置20對運行在辦公環(huán)境中的應用程序進行透明的文件加解密�����,所以運行在個人環(huán)境中的應用程序是無法通過解密讀取在辦公環(huán)境時已加密的數(shù)據(jù)��,從而實現(xiàn)辦公環(huán)境和用戶個人環(huán)境的數(shù)據(jù)隔離��。參照圖8��,在上述實施例中�����,生成密鑰模塊21包括下載單元211�,用于當移動通訊終端30訪問VPN資源時���,從VPN服務器10下載所述移動通訊終端30對應的密鑰����;計算單元212����,用于根據(jù)所述密鑰和移動通訊終端參數(shù)計算加密密鑰;所述移動通訊終端參數(shù)包括移動通訊終端30的IMEI信息和/或IMSI信息����。每次移動通訊終端30訪問VPN資源時����,下載單元211從VPN服務器10下載一個與此移動通訊終端30的VPN賬戶相關聯(lián)的唯一的密鑰��。計算單元212將下載的密鑰與移動通訊終端30的移動通訊終端參數(shù)共同生成加密密鑰��。移動通訊終端參數(shù)可以是IMEI信息和/或IMSI信息����,或其它可以參與加密密鑰計算的移動通訊終端參數(shù)。本實施例中���,移動通訊終端30每次訪問VPN資源時���,數(shù)據(jù)安全裝置20根據(jù)下載的密鑰生成加密密鑰,因此即使移動通訊終端30丟失�,由于密鑰在不斷變化,移動通訊終端 30內(nèi)的數(shù)據(jù)也不會泄密����。參照圖9,在上述實施例中,數(shù)據(jù)安全裝置20還包括重定向模塊23��,用于將寫入移動通訊終端30的數(shù)據(jù)重定向至預設的存儲空間��,所述預設的存儲空間為移動通訊終端30指定空間或與移動通訊終端30連接的存儲介質(zhì)�。當運行在辦公環(huán)境中的應用程序?qū)懭胍苿油ㄓ嵔K端30內(nèi)文件(本實施例中,這種文件稱為虛擬文件)時����,寫操作首先被重定向模塊23攔截,重定向模塊23自動將對該文件的寫操作重定向到一預設的存儲空間(稱為真實文件)��,預設的存儲空間可為移動通訊終端30指定空間或與移動通訊終端30連接的存儲介質(zhì)如SD卡��,并且使用加密密鑰對文件內(nèi)容進行加密��。同時����,重定向模塊23在該預設的存儲空間中保存真實文件與虛擬文件的對應關系數(shù)據(jù)����。當運行在辦公環(huán)境中應用程序需要讀取下載的文件的時候,重定向模塊23獲取虛擬文件對應的真實文件�,將虛擬文件的讀操作重定向到對應該預設的存儲空間中的真實文件上,并且使用加密密鑰對真實文件內(nèi)容進行解密后得到明文數(shù)據(jù)輸出至上層應用程序�����。刪除虛擬文件時,將會自動刪除對應的真實文件和相應的對應關系數(shù)據(jù)�。整個文件重定向、加解密過程對用戶來說都是透明且自動完成的����。本實施例中,由于數(shù)據(jù)安全裝置20只對運行在辦公環(huán)境中的應用程序進行透明的重定向���,所以運行在個人環(huán)境內(nèi)的應用程序在讀寫虛擬文件的時候�,讀寫行為首先被數(shù)據(jù)安全裝置20攔截�����。數(shù)據(jù)安全裝置20不會將文件的讀寫操作重定向到真實文件���,所以應用程序只是對虛擬文件的操作��,并不能對真實文件進行操作�����,無法修改和獲取真實文件中的內(nèi)容�����,進一步提高了數(shù)據(jù)的安全性�。參照圖10,在上述實施例中���,數(shù)據(jù)安全裝置20還包括權限控制模塊24���,用于根據(jù)預設的權限規(guī)則控制移動通訊終端30對VPN資源的訪問。數(shù)據(jù)安全裝置20為用戶提供一個辦公環(huán)境界面��,界面上顯示了目前安裝在移動通訊終端30上的應用程序圖標�。權限控制模塊M可以根據(jù)預設的權限規(guī)則(通常是VPN 下發(fā)的權限規(guī)則)來決定是否顯示。只有通過點擊這些圖標運行起來的應用程序(這種應用程序稱為在辦公環(huán)境中運行的應用程序)權限控制模塊M才能允許訪問VPN內(nèi)網(wǎng)資源����, 但不能訪問除分配給用戶的VPN內(nèi)網(wǎng)資源外的其他網(wǎng)絡資源。而以其他方式運行的應用程序(這種應用程序稱為在個人環(huán)境中運行的應用程序)被權限控制模塊M禁止訪問內(nèi)網(wǎng)資源�����。本實施例中����,數(shù)據(jù)安全裝置20根據(jù)預設的權限規(guī)則決定辦公環(huán)境下哪些應用程序可以使用,哪些應用程序不能使用���,以及哪些VPN資源可以訪問或不能訪問�����,進一步提高了移動通訊終端30訪問數(shù)據(jù)的安全性�����。以上所述僅為本發(fā)明的優(yōu)選實施例���,并非因此限制本發(fā)明的專利范圍,凡是利用本發(fā)明說明書及附圖內(nèi)容所作的等效結構或等效流程變換�����,或直接或間接運用在其他相關的技術領域����,均同理包括在本發(fā)明的專利保護范圍內(nèi)。
權利要求
1.一種基于VPN的移動通訊終端安全訪問數(shù)據(jù)的方法�,其特征在于��,包括當數(shù)據(jù)安全裝置在所述移動通訊終端運行時���,所述數(shù)據(jù)安全裝置允許所述移動通訊終端訪問內(nèi)部網(wǎng)絡,且禁止所述移動通訊終端訪問外部網(wǎng)絡����;當數(shù)據(jù)安全裝置沒有在所述移動通訊終端運行時,虛擬專用網(wǎng)絡VPN服務器禁止所述移動通訊終端訪問內(nèi)部網(wǎng)絡��。
2.如權利要求1所述的基于VPN的移動通訊終端安全訪問數(shù)據(jù)的方法�,其特征在于,所述數(shù)據(jù)安全裝置運行包括所述數(shù)據(jù)安全裝置生成加密密鑰���;根據(jù)所述加密密鑰對移動通訊終端內(nèi)數(shù)據(jù)進行加解密��。
3.如權利要求2所述的基于VPN的移動通訊終端安全訪問數(shù)據(jù)的方法���,其特征在于,所述數(shù)據(jù)安全裝置生成數(shù)據(jù)的加密密鑰包括當移動通訊終端訪問VPN資源時�,從VPN服務器下載所述移動通訊終端對應的密鑰;根據(jù)所述密鑰和移動通訊終端參數(shù)計算加密密鑰����;所述移動通訊終端參數(shù)包括移動通訊終端的國際移動設備身份碼IMEI信息和/或國際移動用戶識別碼IMSI信息���。
4.如權利要求2或3所述的基于VPN的移動通訊終端安全訪問數(shù)據(jù)的方法���,其特征在于�����,在執(zhí)行所述根據(jù)加密密鑰對移動通訊終端內(nèi)數(shù)據(jù)進行加解密之前��,還包括將寫入移動通訊終端的數(shù)據(jù)重定向至預設的存儲空間���,所述預設的存儲空間為移動通訊終端指定空間或與移動通訊終端連接的存儲介質(zhì)。
5.如權利要求1至3中任一項所述的基于VPN的移動通訊終端安全訪問數(shù)據(jù)的方法�����, 其特征在于�,所述數(shù)據(jù)安全裝置運行還包括所述數(shù)據(jù)安全裝置根據(jù)預設的權限規(guī)則控制移動通訊終端對VPN資源的訪問。
6.一種基于VPN的移動通訊終端安全訪問數(shù)據(jù)的系統(tǒng)���,其特征在于��,包括虛擬專用網(wǎng)絡VPN服務器和數(shù)據(jù)安全裝置���,所述VPN服務器�����,用于當所述數(shù)據(jù)安全裝置沒有在所述移動通訊終端運行時��,禁止所述移動通訊終端訪問內(nèi)部網(wǎng)絡��;所述數(shù)據(jù)安全裝置����,用于允許所述移動通訊終端訪問內(nèi)部網(wǎng)絡����,且禁止所述移動通訊終端訪問外部網(wǎng)絡。
7.如權利要求6所述的基于VPN的移動通訊終端安全訪問數(shù)據(jù)的系統(tǒng)���,其特征在于����,所述數(shù)據(jù)安全裝置包括生成密鑰模塊����,用于生成加密密鑰��;加解密模塊����,用于根據(jù)所述加密密鑰對移動通訊終端內(nèi)數(shù)據(jù)進行加解密�����。
8.如權利要求7所述的基于VPN的移動通訊終端安全訪問數(shù)據(jù)的系統(tǒng)���,其特征在于,所述生成密鑰模塊包括下載單元��,用于當移動通訊終端訪問VPN資源時�����,從VPN服務器下載所述移動通訊終端對應的密鑰����;計算單元,用于根據(jù)所述密鑰和移動通訊終端參數(shù)計算加密密鑰����;所述移動通訊終端參數(shù)包括移動通訊終端的國際移動設備身份碼IMEI信息和/或國際移動用戶識別碼IMSI fn息ο
9.如權利要求7或8所述的基于VPN的移動通訊終端安全訪問數(shù)據(jù)的系統(tǒng)��,其特征在于�����,所述數(shù)據(jù)安全裝置還包括重定向模塊���,用于將寫入移動通訊終端的數(shù)據(jù)重定向至預設的存儲空間,所述預設的存儲空間為移動通訊終端指定空間或與移動通訊終端連接的存儲介質(zhì)�。
10.如權利要求6至8中任一項所述的基于VPN的移動通訊終端安全訪問數(shù)據(jù)的系統(tǒng), 其特征在于��,所述數(shù)據(jù)安全裝置還包括權限控制模塊���,用于根據(jù)預設的權限規(guī)則控制移動通訊終端對VPN資源的訪問��。
全文摘要
本發(fā)明揭示了一種基于VPN的移動通訊終端安全訪問數(shù)據(jù)的方法��,包括當數(shù)據(jù)安全裝置在所述移動通訊終端運行時�,所述數(shù)據(jù)安全裝置允許所述移動通訊終端訪問內(nèi)部網(wǎng)絡����,且禁止所述移動通訊終端訪問外部網(wǎng)絡;當數(shù)據(jù)安全裝置沒有在所述移動通訊終端運行時,VPN服務器禁止所述移動通訊終端訪問內(nèi)部網(wǎng)絡���。本發(fā)明還提出了相應的系統(tǒng)�。本發(fā)明提出的一種基于VPN的移動通訊終端安全訪問數(shù)據(jù)的方法和系統(tǒng)����,在移動通訊終端上設置數(shù)據(jù)安全裝置,該數(shù)據(jù)安全裝置結合VPN服務器��,使移動通訊終端用戶無法在數(shù)據(jù)安全裝置關閉時通過網(wǎng)絡將受保護文件發(fā)送到外部網(wǎng)絡����,而運行在數(shù)據(jù)安全裝置上的應用程序也無法通過訪問除VPN資源外的網(wǎng)絡���,將受保護文件發(fā)布到外網(wǎng)�����。
文檔編號H04L29/06GK102185846SQ20111010577
公開日2011年9月14日 申請日期2011年4月26日 優(yōu)先權日2011年4月26日
發(fā)明者姜正文, 胡斌, 聞義勇 申請人:深信服網(wǎng)絡科技(深圳)有限公司