一種移動(dòng)終端安全接入平臺(tái)的制作方法
【專利摘要】本發(fā)明公開一種移動(dòng)終端安全接入平臺(tái),包括移動(dòng)終端主機(jī)行為控制系統(tǒng)、移動(dòng)終端安全檢查模塊、移動(dòng)終端入網(wǎng)認(rèn)證模塊、移動(dòng)終端安全通信模塊和移動(dòng)終端安全接入網(wǎng)關(guān)。本發(fā)明不依賴于網(wǎng)絡(luò)接入方式,可以在任意基礎(chǔ)網(wǎng)絡(luò)上部署,而且可以實(shí)現(xiàn)端到端的安全保護(hù);安全級(jí)別高,對(duì)終端站點(diǎn)間所有傳輸數(shù)據(jù)進(jìn)行保護(hù),而不管是哪類網(wǎng)絡(luò)應(yīng)用;平臺(tái)在事實(shí)上將遠(yuǎn)程客戶端“置于”企業(yè)內(nèi)部網(wǎng),使遠(yuǎn)程客戶端擁有內(nèi)部網(wǎng)用戶一樣的權(quán)限和操作功能。
【專利說明】一種移動(dòng)終端安全接入平臺(tái)
[0001]
【技術(shù)領(lǐng)域】
[0002]本發(fā)明涉及一種移動(dòng)終端安全接入平臺(tái),尤其涉及的是移動(dòng)終端接入內(nèi)網(wǎng)時(shí)的一種認(rèn)證、加密及訪問控制等安全加固的實(shí)現(xiàn)。
【背景技術(shù)】
[0003]對(duì)現(xiàn)有技術(shù)中的VPN技術(shù)進(jìn)行分析如下:
1、IPSec VPN
IPSec安全協(xié)議是一個(gè)范圍廣泛、開放的虛擬專用網(wǎng)安全協(xié)議?;贗PSec的VPN不依賴于網(wǎng)絡(luò)接入方式,它可以在任意基礎(chǔ)網(wǎng)絡(luò)上部署,而且可以實(shí)現(xiàn)端到端的安全保護(hù)。但I(xiàn)PSec VPN有一些局限性:
①需要安裝客戶端軟件,存在大量的安裝、培訓(xùn)、升級(jí)、管理等工作,無形增加了用戶的使用成本。
[0004]②接入設(shè)備支持的種類少,以Desktop PC和Notebook PC為主,對(duì)手機(jī)、PDA、MAC、
移動(dòng)終端等設(shè)備的支持有局限性。
[0005]③存在一些技術(shù)問題,如:NAT穿透、私有地址沖突等。
[0006]④由于IPSec是網(wǎng)絡(luò)層協(xié)議,安全隧道一旦建立,可以訪問所有內(nèi)部資源,存在一定的安全隱患。
[0007]2、SSL VPN
SSL VPN是以HTTPS為基礎(chǔ)的VPN技術(shù),工作在傳輸層和應(yīng)用層之間。SSL VPN充分利用了 SSL協(xié)議提供的基于證書的身份認(rèn)證、數(shù)據(jù)加密和消息完整性驗(yàn)證機(jī)制,可以為應(yīng)用層之間的通信建立安全連接。但由于SSL VPN是基于Web瀏覽器的,可以很好的支持B/S應(yīng)用,但對(duì)于C/S的應(yīng)用支持不完善,由于很多企業(yè)C/S應(yīng)用比較多,SSL VPN的使用受到了很大程度的限制。
【發(fā)明內(nèi)容】
[0008]發(fā)明目的:針對(duì)現(xiàn)有技術(shù)中存在的問題,本發(fā)明提供一種基于虛擬化技術(shù),使用安全通信協(xié)議,能夠支持C/S應(yīng)用的移動(dòng)終端安全接入平臺(tái)。所述平臺(tái)不依賴于網(wǎng)絡(luò)接入方式,可以在任意基礎(chǔ)網(wǎng)絡(luò)上部署,而且可以實(shí)現(xiàn)端到端的安全保護(hù);安全級(jí)別高,對(duì)終端站點(diǎn)間所有傳輸數(shù)據(jù)進(jìn)行保護(hù),而不管是哪類網(wǎng)絡(luò)應(yīng)用;平臺(tái)在事實(shí)上將遠(yuǎn)程客戶端“置于”企業(yè)內(nèi)部網(wǎng),使遠(yuǎn)程客戶端擁有內(nèi)部網(wǎng)用戶一樣的權(quán)限和操作功能。
[0009]技術(shù)方案:一種移動(dòng)終端安全接入平臺(tái),它的系統(tǒng)架構(gòu)包括:移動(dòng)終端主機(jī)行為控制系統(tǒng)、移動(dòng)終端安全檢查模塊、移動(dòng)終端入網(wǎng)認(rèn)證模塊、移動(dòng)終端安全通信模塊和移動(dòng)終端安全接入網(wǎng)關(guān)。
[0010]1、移動(dòng)終端主機(jī)行為控制系統(tǒng) 移動(dòng)終端主機(jī)行為控制系統(tǒng)基于強(qiáng)制運(yùn)行控制(MRC)技術(shù),提供三級(jí)安全保護(hù):普通級(jí)安全保護(hù)、專業(yè)級(jí)安全保護(hù)和強(qiáng)制級(jí)安全保護(hù);所述普通級(jí)安全保護(hù)適于個(gè)人自由使用,不涉及敏感信息,能夠有限阻止有特征的非法侵害,可以與其它防護(hù)軟件配合使用;專業(yè)級(jí)安全保護(hù)適于具有一定信息安全基礎(chǔ)的專業(yè)人員使用,除具有普通級(jí)的防護(hù)功能外,允許用戶自行放行或阻止非信任進(jìn)程;強(qiáng)制級(jí)保護(hù)僅允許運(yùn)行規(guī)定的應(yīng)用系統(tǒng)和訪問特定的網(wǎng)頁資源,對(duì)于規(guī)定以外的其它進(jìn)程一律阻止;管理員可以根據(jù)具體應(yīng)用系統(tǒng)的安全等級(jí)采取不同級(jí)別的保護(hù),保證移動(dòng)終端的安全接入。
[0011]對(duì)于存儲(chǔ)在終端上的重要數(shù)據(jù),主機(jī)行為控制系統(tǒng)還提供加密保護(hù),保證數(shù)據(jù)即使被拿走也看不懂,有效防止內(nèi)網(wǎng)敏感信息的泄密。
[0012]2、移動(dòng)終端安全檢查模塊
移動(dòng)終端訪問內(nèi)網(wǎng)資源前,需進(jìn)行終端安全性檢查,不符合檢查策略的終端將禁止訪問內(nèi)網(wǎng)資源。安全檢查模塊對(duì)終端的操作系統(tǒng)版本、系統(tǒng)的補(bǔ)丁版本、系統(tǒng)的啟動(dòng)項(xiàng)、特殊位置的磁盤文件等進(jìn)行嚴(yán)格檢查,根據(jù)檢查策略,安全接入網(wǎng)關(guān)在處理終端接入時(shí),會(huì)先檢查移動(dòng)終端上是否具備上述一項(xiàng)或幾項(xiàng)特征參數(shù),依據(jù)檢查結(jié)果判斷是否允許該終端與安全接入網(wǎng)關(guān)建立安全隧道,同時(shí)判斷出該終端的某些特征是否存在偽造信息,徹底杜絕不健康終端接入內(nèi)網(wǎng)網(wǎng)絡(luò),確保移動(dòng)終端接入的安全,從源頭杜絕威脅。
[0013]3、移動(dòng)終端入網(wǎng)認(rèn)證模塊
實(shí)現(xiàn)在移動(dòng)終端上增加入網(wǎng)認(rèn)證模塊,將權(quán)威機(jī)構(gòu)簽發(fā)的數(shù)字證書存放在具有安全加密功能和身份認(rèn)證功能的硬件認(rèn)證卡中,并為每一個(gè)外出辦公的員工配備相應(yīng)的硬件認(rèn)證卡。移動(dòng)終端在接入企業(yè)內(nèi)網(wǎng)之前必須進(jìn)行由硬件認(rèn)證卡和內(nèi)網(wǎng)CA認(rèn)證服務(wù)器共同保證的身份認(rèn)證,實(shí)現(xiàn)只有通過入網(wǎng)認(rèn)證的終端才可以接入到企業(yè)內(nèi)網(wǎng)中,防止接入的移動(dòng)終端是被偽造過的非法用戶。
[0014]4、移動(dòng)終端安全通信模塊
移動(dòng)終端安全通信模塊的功能是使用安全通信協(xié)議與移動(dòng)終端安全接入網(wǎng)關(guān)建立安全通道,保證傳輸數(shù)據(jù)的安全。安全通信模塊通過與接入網(wǎng)關(guān)進(jìn)行密鑰交換算法、數(shù)據(jù)加密算法以及數(shù)據(jù)完整性檢查算法的協(xié)商、客戶端和服務(wù)端的雙向認(rèn)證以及確定會(huì)話密鑰,建立安全通道,防止數(shù)據(jù)在傳輸過程中被竊聽、篡改、破壞、插入重放攻擊,保證數(shù)據(jù)傳輸?shù)陌踩?br>
[0015]5、移動(dòng)終端安全接入網(wǎng)關(guān)
移動(dòng)終端安全接入網(wǎng)關(guān)是安全接入平臺(tái)的核心之一,負(fù)責(zé)建立安全通道和對(duì)用戶進(jìn)行訪問控制,能夠保證接入傳輸?shù)陌踩蛢?nèi)部被訪問的應(yīng)用系統(tǒng)的安全。移動(dòng)終端通過安全通信協(xié)議與安全接入網(wǎng)關(guān)建立安全通道,對(duì)傳送的數(shù)據(jù)進(jìn)行加密,防止數(shù)據(jù)在傳送的過程中被截獲、篡改和破壞。同時(shí),安全接入網(wǎng)關(guān)還可以對(duì)移動(dòng)終端的身份進(jìn)行身份認(rèn)證,保證終端的可信性。
[0016]安全接入網(wǎng)關(guān)還能夠保證用戶在連入內(nèi)網(wǎng)的同時(shí)斷開與公網(wǎng)的連接,防止移動(dòng)終端出現(xiàn)“一機(jī)兩網(wǎng)”的情況,保證移動(dòng)終端與企業(yè)內(nèi)網(wǎng)之間的通信具有與企業(yè)內(nèi)網(wǎng)同樣的安全性。
[0017]安全接入網(wǎng)關(guān)能夠提供多種認(rèn)證方式驗(yàn)證用戶的身份,除了支持傳統(tǒng)的Radius、AD、LDAP等認(rèn)證方式外,還支持本地用戶庫、動(dòng)態(tài)口令和數(shù)字證書等認(rèn)證方式。對(duì)于不同安全域的用戶,安全接入網(wǎng)關(guān)能夠根據(jù)相應(yīng)的規(guī)則對(duì)用戶的訪問權(quán)限進(jìn)行控制,賦予用戶最小的特權(quán),保證用戶只能訪問與其自身的角色和權(quán)限相對(duì)應(yīng)的內(nèi)部資源,保證內(nèi)部應(yīng)用系統(tǒng)的安全。
[0018]有益效果:與現(xiàn)有技術(shù)相比,本發(fā)明提供的移動(dòng)終端安全接入平臺(tái)具有如下優(yōu)
1.與現(xiàn)有的VPN產(chǎn)品相比,將信息安全防護(hù)劃分為應(yīng)用服務(wù)器安全、傳輸通道安全和終端安全三個(gè)主體進(jìn)行理論研究和技術(shù)實(shí)現(xiàn),與使平臺(tái)的目的性更為明確。
[0019]2.與現(xiàn)有的VPN產(chǎn)品使用標(biāo)準(zhǔn)通訊協(xié)議不同,本發(fā)明使用新型的安全網(wǎng)絡(luò)協(xié)議,該協(xié)議配套了用戶認(rèn)證模式、密鑰協(xié)商方式及國(guó)產(chǎn)加密算法,彌補(bǔ)了多項(xiàng)SSL/TLS通訊協(xié)議的安全隱患。
[0020]3.根據(jù)電力企業(yè)信息網(wǎng)絡(luò)的特點(diǎn)與應(yīng)用系統(tǒng)的現(xiàn)狀,及電力信息安全等級(jí)保護(hù)的要求,針對(duì)電力企業(yè)內(nèi)部不同業(yè)務(wù)應(yīng)用的需求,擁有針對(duì)移動(dòng)辦公安全接入、營(yíng)銷業(yè)務(wù)系統(tǒng)繳費(fèi)終端安全接入的完整的技術(shù)體系和解決方案。
[0021]4.平臺(tái)的實(shí)現(xiàn)不需要改變網(wǎng)絡(luò)結(jié)構(gòu),不需要修改防火墻配置和修改終端用戶的配置。
【專利附圖】
【附圖說明】
[0022]圖1為本發(fā)明實(shí)施例移動(dòng)終端安全接入平臺(tái)系統(tǒng)架構(gòu)圖;
圖2為本發(fā)明實(shí)施例安全通信協(xié)議流程圖;
圖3為本發(fā)明實(shí)施例的拓?fù)鋱D。
【具體實(shí)施方式】
[0023]下面結(jié)合具體實(shí)施例,進(jìn)一步闡明本發(fā)明,應(yīng)理解這些實(shí)施例僅用于說明本發(fā)明而不用于限制本發(fā)明的范圍,在閱讀了本發(fā)明之后,本領(lǐng)域技術(shù)人員對(duì)本發(fā)明的各種等價(jià)形式的修改均落于本申請(qǐng)所附權(quán)利要求所限定的范圍。
[0024]如圖1所示,移動(dòng)終端安全接入平臺(tái),它的系統(tǒng)架構(gòu)包括:移動(dòng)終端主機(jī)行為控制系統(tǒng)、移動(dòng)終端安全檢查模塊、移動(dòng)終端入網(wǎng)認(rèn)證模塊、移動(dòng)終端安全通信模塊和移動(dòng)終端安全接入網(wǎng)關(guān)。
[0025]1、移動(dòng)終端主機(jī)行為控制系統(tǒng)
移動(dòng)終端主機(jī)行為控制系·統(tǒng)基于強(qiáng)制運(yùn)行控制(MRC)技術(shù),提供三級(jí)安全保護(hù):普通級(jí)安全保護(hù)、專業(yè)級(jí)安全保護(hù)和強(qiáng)制級(jí)安全保護(hù);所述普通級(jí)安全保護(hù)適于個(gè)人自由使用,不涉及敏感信息,能夠有限阻止有特征的非法侵害,可以與其它防護(hù)軟件配合使用;專業(yè)級(jí)安全保護(hù)適于具有一定信息安全基礎(chǔ)的專業(yè)人員使用,除具有普通級(jí)的防護(hù)功能外,允許用戶自行放行或阻止非信任進(jìn)程;強(qiáng)制級(jí)保護(hù)僅允許運(yùn)行規(guī)定的應(yīng)用系統(tǒng)和訪問特定的網(wǎng)頁資源,對(duì)于規(guī)定以外的其它進(jìn)程一律阻止;管理員可以根據(jù)具體應(yīng)用系統(tǒng)的安全等級(jí)采取不同級(jí)別的保護(hù),保證移動(dòng)終端的安全接入。
[0026]對(duì)于存儲(chǔ)在終端上的重要數(shù)據(jù),主機(jī)行為控制系統(tǒng)還將使用國(guó)產(chǎn)商密算法提供加密保護(hù),保證數(shù)據(jù)即使被拿走也看不懂,有效防止內(nèi)網(wǎng)敏感信息的泄密。
[0027]2、移動(dòng)終端安全檢查模塊 移動(dòng)終端訪問內(nèi)網(wǎng)資源前,需進(jìn)行終端安全性檢查,不符合檢查策略的終端將禁止訪問內(nèi)網(wǎng)資源。安全檢查模塊對(duì)終端的操作系統(tǒng)版本、系統(tǒng)的補(bǔ)丁版本、系統(tǒng)的啟動(dòng)項(xiàng)、特殊位置的磁盤文件等進(jìn)行嚴(yán)格檢查,根據(jù)檢查策略,安全接入網(wǎng)關(guān)在處理終端接入時(shí),會(huì)先檢查移動(dòng)終端上是否具備上述一項(xiàng)或幾項(xiàng)特征參數(shù),依據(jù)檢查結(jié)果判斷是否允許該終端與安全接入網(wǎng)關(guān)建立安全隧道,同時(shí)判斷出該終端的某些特征是否存在偽造信息,徹底杜絕不健康終端接入內(nèi)網(wǎng)網(wǎng)絡(luò),確保移動(dòng)終端接入的安全,從源頭杜絕威脅。
[0028]3、移動(dòng)終端入網(wǎng)認(rèn)證模塊
實(shí)現(xiàn)在移動(dòng)終端上增加入網(wǎng)認(rèn)證模塊,將權(quán)威機(jī)構(gòu)簽發(fā)的數(shù)字證書存放在具有安全加密功能和身份認(rèn)證功能的硬件認(rèn)證卡中,并為每一個(gè)外出辦公的員工配備相應(yīng)的硬件認(rèn)證卡。移動(dòng)終端在接入企業(yè)內(nèi)網(wǎng)之前必須進(jìn)行由硬件認(rèn)證卡和內(nèi)網(wǎng)CA認(rèn)證服務(wù)器共同保證的身份認(rèn)證,實(shí)現(xiàn)只有通過入網(wǎng)認(rèn)證的終端才可以接入到企業(yè)內(nèi)網(wǎng)中,防止接入的移動(dòng)終端是被偽造過的非法用戶。
[0029]4、移動(dòng)終端安全通信模塊
移動(dòng)終端安全通信模塊的功能是使用安全通信協(xié)議與移動(dòng)終端安全接入網(wǎng)關(guān)建立安全通道,保證傳輸數(shù)據(jù)的安全。安全通信模塊采用SSL協(xié)議與接入網(wǎng)關(guān)進(jìn)行密鑰交換算法、數(shù)據(jù)加密算法以及數(shù)據(jù)完整性檢查算法的協(xié)商、客戶端和服務(wù)端的雙向認(rèn)證以及確定會(huì)話密鑰,建立安全通道,防止數(shù)據(jù)在傳輸過程中被竊聽、篡改、破壞、插入重放攻擊,保證數(shù)據(jù)傳輸?shù)陌踩?。安全通信模塊與安全接入網(wǎng)關(guān)間建立安全通道的過程如附圖的圖2所示。
[0030]通信過程如下:
1)客戶端與網(wǎng)關(guān)建立初始化連接,協(xié)商出通信過程中使用的密鑰交換算法、數(shù)據(jù)加密算法以及數(shù)據(jù)完整性檢查算法;
2)網(wǎng)關(guān)返回服務(wù)器證書(證書中包含服務(wù)器公鑰);
3)客戶端生成私鑰,再通過私鑰生成會(huì)話密鑰,然后使用服務(wù)器公鑰將私鑰加密后傳輸給網(wǎng)關(guān);
4)網(wǎng)關(guān)使用服務(wù)器私鑰解密出客戶端的私鑰,并用解密出的私鑰生成相同的會(huì)話密
鑰;
5)以上握手階段完成后雙方使用相同的會(huì)話私鑰進(jìn)行數(shù)據(jù)通信。
[0031]5、移動(dòng)終端安全接入網(wǎng)關(guān)
移動(dòng)終端安全接入網(wǎng)關(guān)是安全接入平臺(tái)的核心之一,負(fù)責(zé)建立安全通道和對(duì)用戶進(jìn)行訪問控制,能夠保證接入傳輸?shù)陌踩蛢?nèi)部被訪問的應(yīng)用系統(tǒng)的安全。移動(dòng)終端通過安全通信協(xié)議與安全接入網(wǎng)關(guān)建立安全通道,對(duì)傳送的數(shù)據(jù)進(jìn)行加密,防止數(shù)據(jù)在傳送的過程中被截獲、篡改和破壞。同時(shí),安全接入網(wǎng)關(guān)還可以對(duì)移動(dòng)終端的身份進(jìn)行身份認(rèn)證,保證終端的可信性。
[0032]安全接入網(wǎng)關(guān)還能夠保證用戶在連入內(nèi)網(wǎng)的同時(shí)斷開與公網(wǎng)的連接,防止移動(dòng)終端出現(xiàn)“一機(jī)兩網(wǎng)”的情況,保證移動(dòng)終端與企業(yè)內(nèi)網(wǎng)之間的通信具有與企業(yè)內(nèi)網(wǎng)同樣的安全性。
[0033]安全接入網(wǎng)關(guān)能夠提供多種認(rèn)證方式驗(yàn)證用戶的身份,除了支持傳統(tǒng)的Radius、AD、LDAP等認(rèn)證方式外,還支持本地用戶庫、動(dòng)態(tài)口令和數(shù)字證書等認(rèn)證方式。對(duì)于不同安全域的用戶,安全接入網(wǎng)關(guān)能夠根據(jù)相應(yīng)的規(guī)則對(duì)用戶的訪問權(quán)限進(jìn)行控制,賦予用戶最小的特權(quán),保證用戶只能訪問與其自身的角色和權(quán)限相對(duì)應(yīng)的內(nèi)部資源,保證內(nèi)部應(yīng)用系統(tǒng)的安全。
[0034]具體實(shí)施拓?fù)淙鐖D3所示。在本實(shí)施中,各類移動(dòng)終端統(tǒng)一通過VPDN/APN專線通道等經(jīng)專線接入路由器、防火墻,通過筆記本接入網(wǎng)關(guān)進(jìn)入內(nèi)網(wǎng),再通過各業(yè)務(wù)系統(tǒng)提供的安全應(yīng)用接口進(jìn)行安全接入。此時(shí)防護(hù)邊界為VPDN/APN專線和內(nèi)網(wǎng)的邊界。
[0035]平臺(tái)部署時(shí),為實(shí)現(xiàn)終端的安全接入,接入鏈路拓?fù)浔仨殗?yán)格遵循安全接入網(wǎng)關(guān)、安全數(shù)據(jù)過濾系統(tǒng)、業(yè)務(wù)系統(tǒng)的方式,如果不能進(jìn)行明確的接入鏈路區(qū)分,必須進(jìn)行相應(yīng)的網(wǎng)絡(luò)拓?fù)涓脑旎蜻M(jìn)行接入平臺(tái)的分布式組件部署或利用增設(shè)前置機(jī)等方式實(shí)現(xiàn)業(yè)務(wù)分流。
【權(quán)利要求】
1.一種移動(dòng)終端安全接入平臺(tái),其特征在于:包括移動(dòng)終端主機(jī)行為控制系統(tǒng)、移動(dòng)終端安全檢查模塊、移動(dòng)終端入網(wǎng)認(rèn)證模塊、移動(dòng)終端安全通信模塊和移動(dòng)終端安全接入網(wǎng)關(guān)。
2.如權(quán)利要求1所述的移動(dòng)終端安全接入平臺(tái),其特征在于:所述移動(dòng)終端主機(jī)行為控制系統(tǒng)中,移動(dòng)終端主機(jī)行為控制系統(tǒng)基于強(qiáng)制運(yùn)行控制技術(shù),提供三級(jí)安全保護(hù):普通級(jí)安全保護(hù)、專業(yè)級(jí)安全保護(hù)和強(qiáng)制級(jí)安全保護(hù);對(duì)于存儲(chǔ)在終端上的重要數(shù)據(jù),主機(jī)行為控制系統(tǒng)還將使用國(guó)產(chǎn)商密算法提供加密保護(hù)。
3.如權(quán)利要求1所述的移動(dòng)終端安全接入平臺(tái),其特征在于:所述移動(dòng)終端安全檢查模塊中,移動(dòng)終端訪問內(nèi)網(wǎng)資源前,需進(jìn)行終端安全性檢查,不符合檢查策略的終端將禁止訪問內(nèi)網(wǎng)資源;安全檢查模塊對(duì)終端的操作系統(tǒng)版本、系統(tǒng)的補(bǔ)丁版本、系統(tǒng)的啟動(dòng)項(xiàng)、特殊位置的磁盤文件等進(jìn)行嚴(yán)格檢查,根據(jù)檢查策略,安全接入網(wǎng)關(guān)在處理終端接入時(shí),會(huì)先檢查移動(dòng)終端上是否具備上述一項(xiàng)或幾項(xiàng)特征參數(shù),依據(jù)檢查結(jié)果判斷是否允許該終端與安全接入網(wǎng)關(guān)建立安全隧道,同時(shí)判斷出該終端的某些特征是否存在偽造信息。
4.如權(quán)利要求1所述的移動(dòng)終端安全接入平臺(tái),其特征在于:移動(dòng)終端入網(wǎng)認(rèn)證模塊中,實(shí)現(xiàn)在移動(dòng)終端上增加入網(wǎng)認(rèn)證模塊,將權(quán)威機(jī)構(gòu)簽發(fā)的數(shù)字證書存放在具有安全加密功能和身份認(rèn)證功能的硬件認(rèn)證卡中,并為每一個(gè)外出辦公的員工配備相應(yīng)的硬件認(rèn)證卡;移動(dòng)終端在接入企業(yè)內(nèi)網(wǎng)之前必須進(jìn)行由硬件認(rèn)證卡和內(nèi)網(wǎng)CA認(rèn)證服務(wù)器共同保證的身份認(rèn)證,實(shí)現(xiàn)只有通過入網(wǎng)認(rèn)證的終端才可以接入到企業(yè)內(nèi)網(wǎng)中,防止接入的移動(dòng)終端是被偽造過的非法用戶。
5.如權(quán)利要求1所述的移動(dòng)終端安全接入平臺(tái),其特征在于:移動(dòng)終端安全通信模塊的功能是使用安全通信協(xié)議與移動(dòng)終端安全接入網(wǎng)關(guān)建立安全通道,保證傳輸數(shù)據(jù)的安全;安全通信模塊通過與接入網(wǎng)關(guān)進(jìn)行密鑰交換算法、數(shù)據(jù)加密算法以及數(shù)據(jù)完整性檢查算法的協(xié)商、客戶端和服務(wù)端的雙向認(rèn)證以及確定會(huì)話密鑰,建立安全通道,防止數(shù)據(jù)在傳輸過程中被竊聽、篡改、破壞、插入重放攻擊,保證數(shù)據(jù)傳輸?shù)陌踩?br>
6.如權(quán)利要求1所述的移動(dòng).終端安全接入平臺(tái),其特征在于:移動(dòng)終端安全接入網(wǎng)關(guān)是安全接入平臺(tái)的核心之一,負(fù)責(zé)建立安全通道和對(duì)用戶進(jìn)行訪問控制,能夠保證接入傳輸?shù)陌踩蛢?nèi)部被訪問的應(yīng)用系統(tǒng)的安全;移動(dòng)終端通過安全通信協(xié)議與安全接入網(wǎng)關(guān)建立安全通道,對(duì)傳送的數(shù)據(jù)進(jìn)行加密;同時(shí),安全接入網(wǎng)關(guān)還可以對(duì)移動(dòng)終端的身份進(jìn)行身份認(rèn)證,保證終端的可信性。
7.如權(quán)利要求2所述的移動(dòng)終端安全接入平臺(tái),其特征在于:所述普通級(jí)安全保護(hù)適于個(gè)人自由使用,不涉及敏感信息,能夠有限阻止有特征的非法侵害,可以與其它防護(hù)軟件配合使用;專業(yè)級(jí)安全保護(hù)適于具有一定信息安全基礎(chǔ)的專業(yè)人員使用,除具有普通級(jí)的防護(hù)功能外,允許用戶自行放行或阻止非信任進(jìn)程;強(qiáng)制級(jí)保護(hù)僅允許運(yùn)行規(guī)定的應(yīng)用系統(tǒng)和訪問特定的網(wǎng)頁資源,對(duì)于規(guī)定以外的其它進(jìn)程一律阻止;管理員可以根據(jù)具體應(yīng)用系統(tǒng)的安全等級(jí)采取不同級(jí)別的保護(hù),保證移動(dòng)終端的安全接入。
8.如權(quán)利要求6所述的移動(dòng)終端安全接入平臺(tái),其特征在于:安全接入網(wǎng)關(guān)還能夠保證用戶在連入內(nèi)網(wǎng)的同時(shí)斷開與公網(wǎng)的連接,防止移動(dòng)終端出現(xiàn)“一機(jī)兩網(wǎng)”的情況,保證移動(dòng)終端與企業(yè)內(nèi)網(wǎng)之間的通信具有與企業(yè)內(nèi)網(wǎng)同樣的安全性;安全接入網(wǎng)關(guān)能夠提供多種認(rèn)證方式驗(yàn)證用戶的身份,除了支持傳統(tǒng)的Radius、AD、LDAP等認(rèn)證方式外,還支持本地用戶庫、動(dòng)態(tài)口令和數(shù)字證書等認(rèn)證方式;對(duì)于不同安全域的用戶,安全接入網(wǎng)關(guān)能夠根據(jù)相應(yīng)的規(guī)則對(duì)用戶的訪問權(quán)限進(jìn)行控制,賦予用戶最小的特權(quán),保證用戶只能訪問與其自身的角色和權(quán)限相對(duì)應(yīng)的內(nèi)部資源,保證內(nèi)部應(yīng)用系統(tǒng) 的安全。
【文檔編號(hào)】H04L29/08GK103441991SQ201310350452
【公開日】2013年12月11日 申請(qǐng)日期:2013年8月12日 優(yōu)先權(quán)日:2013年8月12日
【發(fā)明者】吳克河, 陳飛, 崔文超 申請(qǐng)人:江蘇華大天益電力科技有限公司