移动办公的安全服务系统及安全服务方法
【专利摘要】本发明提供一种移动办公的安全服务系统及安全服务方法,该安全服务系统包括:企业服务端;与所述企业服务端建立通信连接的移动终端,所述移动终端通过ARM Trust Zone技术而在操作系统中划分出独立的至少一安全域,在所述安全域内装载有通过企业认证的企业应用,如此,处于安全域的系统服务能帮助企业应用判断其是否处于安全域,从而使得企业应用能拒绝在不安全的移动终端上的运行,这样也就保证了不安全的移动终端不能运行企业应用,增强了移动办公的安全性,提高了企业应用的安全体验。
【专利说明】移动办公的安全服务系统及安全服务方法
【技术领域】
[0001]本发明属于信息安全【技术领域】,特别是涉及一种移动办公的安全服务系统及安全服务方法。
【背景技术】
[0002]随着移动通信技术的快速发展以及生活质量的提高,以智能手机为代表的移动终端快速发展,称为人手必备的配置。随着智能手机成为人们手中的一个必备消费品,人们对智能手机的功能要求也越来越多,同时,对手机信息的安全性的关注也越来越高。在当下的智能手机中,虽然能够提供给用户各种各样的软件应用,游戏和娱乐。可是他们却漏掉了用户最重要的一点需求,那就是安全。
[0003]一方面,在私人安全方面,每个人都会有这样的体会,自己的信息,隐私莫名其妙的被一些不希望知道信息的个人、机构获得。
[0004]另一方面,智能手机平台在企业级市场应用时会存在以下的安全隐患:
[0005]I)移动终端进行网络通讯时,无论是通过WiFi还是运营商网络,如果通信数据被不法技术人员制造的伪基站或其他监听设备截获,企业秘密将受到极大威胁;
[0006]2)在目前的移动终端市场中,安卓平台占有绝对的优势,但是由于安卓系统是开源系统,不法分子能获取源代码,从而开发出具有针对性的恶意软件。这些恶意软件采用多种伪装和规避技术,引诱用户下载、逃避安全软件监测,在对用户造成伤害的同时,也给企业的秘密和安全带来了极大威胁。
[0007]3)企业在利用移动终端办公时,在系统层无法对员工的身份进行认证和无法保障企业应用环境的安全。
【发明内容】
[0008]本发明的目的在于提供一种移动办公的安全服务系统及安全服务方法,以解决现有技术中移动办公安全性较弱等问题。
[0009]本发明提供一种移动办公的安全服务系统,包括:企业服务端;与所述企业服务端建立通信连接的移动终端,所述移动终端通过ARM Trust Zone技术而在操作系统中划分出独立的至少一安全域,在所述安全域内装载有通过企业认证的企业应用。
[0010]可选地,所述移动终端的安全域中还构建有安全密钥,用于验证所述企业应用的装载位置的正确性和验证所述移动终端的合法性。
[0011 ] 可选地,所述企业应用中设置有账号登陆页面。
[0012]可选地,所述移动终端是通过VPN连接方式而通信连接于所述企业服务端。
[0013]本发明另提供一种移动办公的安全服务方法,包括:通过ARM Trust Zone技术而在移动终端的操作系统中划分出独立的至少一安全域;在所述安全域内装载通过企业认证的企业应用;将所述移动终端与企业服务端建立通信连接,当使用所述企业应用时,进行安全启动,使得所述企业应用运行在所述安全域内。
[0014]可选地,所述移动办公的安全服务方法还包括在所述移动终端的安全域中构建安全密钥,用于验证所述企业应用的装载位置的正确性和验证所述移动终端的合法性。
[0015]可选地,所述企业应用中设置有账号登陆页面。
[0016]可选地,将所述移动终端与企业服务端建立通信连接,包括:通过VPN连接方式,将所述移动终端通信连接于所述企业服务端。
[0017]本发明提供的移动办公的安全服务系统及安全服务方法,通过Trust Zone技术而将移动终端的操作系统中划分出独立的至少一安全域,在所述安全域内装载通过企业认证的企业应用,如此,处于安全域的系统服务能帮助企业应用判断其是否处于安全域,从而使得企业应用能拒绝在不安全的移动终端上的运行,这样也就保证了不安全的移动终端不能运行企业应用,增强了移动办公的安全性,提高了企业应用的安全体验。
【专利附图】
【附图说明】
[0018]图1为移动办公的安全服务系统在一个实施方式中的系统框图。
[0019]图2为在内核通过Trust Zone技术实现安全域的一个企业应用方案。
[0020]图3为本发明中密钥作用的结构图。
【具体实施方式】
[0021]以下通过特定的具体实施例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的【具体实施方式】加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。
[0022]需要说明的是,本说明书所附图式所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定本发明可实施的限定条件,故不具技术上的实质意义,任何结构的修饰、比例关系的改变或大小的调整,在不影响本发明所能产生的功效及所能达成的目的下,均应仍落在本发明所揭示的技术内容得能涵盖的范围内。同时,本说明书中所引用的如“上”、“下”、“左”、“右”、“中间”及“一”等的用语,亦仅为便于叙述的明了,而非用以限定本发明可实施的范围,其相对关系的改变或调整,在无实质变更技术内容下,当亦视为本发明可实施的范畴。
[0023]请参阅图1,显示了移动办公的安全服务系统在一个实施方式中的系统框图。需说明的是,在本实施方式中,本发明移动办公的安全服务系统是企业应用于移动终端,所述移动终端为具有数据处理能力的便携式电子设备,内置有处理器、存储器、以及显示屏幕等,并具有网络连接功能(包括WiFi网络或3G、4G等移动通信网络)。
[0024]如图1所示,本发明移动办公的安全服务系统包括:企业服务端10和与企业服务端10建立通信连接的移动终端20。
[0025]企业服务端10,用于提供企业的业务服务。在本实施例中,企业服务端10可以是企业服务器或企业服务器群组,其所构建的即为企业内部网络。
[0026]移动终端20,用于与企业服务端10建立通信连接。在本实施例中,移动终端优选为例如:智能手机、个人数位助理PDA、平板电脑、车载终端、甚至是可穿戴式设备(例如智能手表)等。在以下实施例说明中,所述移动终端以智能手机为例进行说明。
[0027]特别地,在本发明中,移动终端20通过ARM Trust Zone技术而在操作系统中划分出独立的至少一安全域,在所述安全域内装载有通过企业认证的企业应用。需说明的是,所述安全域的数量可以是一个或独立的多个,且,该安全域只可安装通过企业安全认证的企业应用,对非法企业应用和没有通过企业认证的企业应用不能安装在此安全域中(具体请参阅图2,其显示了在内核通过Trust Zone技术实现安全域的一个企业应用方案)。在本发明中,移动终端20使用的是ARM Trust Zone平台,采用的是Android/Linux操作系统,但并不以此为限,例如1S、Windows Phone、或者BlackBerry OS也是可选项。
[0028]另外,企业对其所有移动终端设备装载独立的密钥,所述密钥即构建于移动终端20的安全域内。所述安全密钥具有两方面的作用:一是帮助企业应用验证其本身的装载位置的正确性,即判断出企业应用是否被装载于安全域内;二是帮助企业服务端验证所述移动终端的合法性。因此,即使是企业内部员工也不能在非安全移动终端上运行企业应用,从而在技术层次上保证了企业应用运行环境的安全性。请参阅图3,其显示了本发明中密钥作用的结构图。
[0029]再有,所述企业应用中设置有账号登陆页面,在账号登陆页面,使用者需提供正确的账号和密码之后方能登陆所述企业应用。具体地,企业员工通过企业分发的员工账号登陆企业企业应用,员工账号与员工之间是一一对应关系,非企业用户则无法登陆。如此,通过员工账号,企业服务器就能很容易地识别出是哪个员工在进行何种操作。此外再配合前述中装载于安全域内的安全密钥,企业服务端能更具体地知道是哪一个员工通过哪一个移动终端进行了何种操作。
[0030]如上所述,移动终端20可与企业服务端10建立通信连接。在本实施例中,移动终端20是通过VPN连接方式而通信连接于企业服务端10。具体地,移动终端20中的企业企业应用通过VPN (Virtual Private Network,虚拟专用网络)与企业服务端10通信连接,VPN的作用在于在公用网络上建立一个企业专用的网络,在员工与企业服务器进行数据交互时,对数据包加密和对数据包目标地址进行转换,从而实现安全通讯的功能。由于VPN通道是经过高强度加密的,所以网络上的黑客无法截取或者篡改员工与企业的通信内容,从而保障了员工账号的安全性以及企业秘密。
[0031]本发明另提供一种移动办公的安全服务方法,需说明的是,在本实施方式中,本发明移动办公的安全服务系统是企业应用于移动终端,所述移动终端为具有数据处理能力的便携式电子设备,内置有处理器、存储器、以及显示屏幕等,并具有网络连接功能(包括WiFi网络或3G、4G等移动通信网络)。
[0032]本发明提供的移动办公的安全服务方法,可包括:
[0033]1)通过ARM Trust Zone技术而在移动终端的操作系统中划分出独立的至少一安全域。特别地,在本发明中,移动终端通过ARM Trust Zone技术而在操作系统中划分出独立的至少一安全域,在所述安全域内装载有通过企业认证的企业应用。需说明的是,所述安全域的数量可以是一个或独立的多个。
[0034]2)在所述安全域内装载通过企业认证的企业应用。
[0035]在本发明中,该安全域只可安装通过企业安全认证的企业应用,对非法企业应用和没有通过企业认证的企业应用不能安装在此安全域中。在本发明中,移动终端使用的是ARM Trust Zone平台,采用的是Android/Linux操作系统,但并不以此为限,例如1S、Windows Phone、或者 BlackBerry OS 也是可选项。
[0036]另外,企业对其所有移动终端设备装载独立的密钥,所述密钥即构建于移动终端的安全域内。所述安全密钥具有两方面的作用:一是帮助企业应用验证其本身的装载位置的正确性,即判断出企业应用是否被装载于安全域内;二是帮助企业服务端验证所述移动终端的合法性。因此,即使是企业内部员工也不能在非安全移动终端上运行企业应用,从而在技术层次上保证了企业应用运行环境的安全性。
[0037]再有,所述企业应用中设置有账号登陆页面,在账号登陆页面,使用者需提供正确的账号和密码之后方能登陆所述企业应用。具体地,企业员工通过企业分发的员工账号登陆企业企业应用,员工账号与员工之间是一一对应关系,非企业用户则无法登陆。如此,通过员工账号,企业服务器就能很容易地识别出是哪个员工在进行何种操作。此外再配合前述中装载于安全域内的安全密钥,企业服务端能更具体地知道是哪一个员工通过哪一个移动终端进行了何种操作。
[0038]3)将所述移动终端与企业服务端建立通信连接,当使用所述企业应用时,进行安全启动,使得所述企业应用运行在所述安全域内。
[0039]在本实施例中,移动终端是通过VPN连接方式而通信连接于企业服务端。具体地,移动终端中的企业企业应用通过VPN(Virtual Private Network,虚拟专用网络)与企业服务端通信连接,VPN的作用在于在公用网络上建立一个企业专用的网络,在员工与企业服务器进行数据交互时,对数据包加密和对数据包目标地址进行转换,从而实现安全通讯的功能。由于VPN通道是经过高强度加密的,所以网络上的黑客无法截取或者篡改员工与企业的通信内容,从而保障了员工账号的安全性以及企业秘密。
[0040]本发明提供的移动办公的安全服务系统及安全服务方法,通过Trust Zone技术而将移动终端的操作系统中划分出独立的至少一安全域,在所述安全域内装载通过企业认证的企业应用,如此,处于安全域的系统服务能帮助企业应用判断其是否处于安全域,从而使得企业应用能拒绝在不安全的移动终端上的运行,这样也就保证了不安全的移动终端不能运行企业应用,增强了移动办公的安全性,提高了企业应用的安全体验。
[0041]上述实施例仅例示性说明本发明的原理及其功效,而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下,对上述实施例进行修饰或改变。因此,举凡所属【技术领域】中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变,仍应由本发明的权利要求所涵盖。
【权利要求】
1.一种移动办公的安全服务系统,其特征在于,包括: 企业服务端; 与所述企业服务端建立通信连接的移动终端,所述移动终端通过ARM Trust Zone技术而在操作系统中划分出独立的至少一安全域,在所述安全域内装载有通过企业认证的企业应用。
2.根据权利要求1所述的安全服务系统,其特征在于,所述移动终端的安全域中还构建有安全密钥,用于验证所述企业应用的装载位置的正确性和验证所述移动终端的合法性。
3.根据权利要求1或2所述安全服务系统,其特征在于,所述企业应用中设置有账号登陆页面。
4.根据权利要求1所述的安全服务系统,其特征在于,所述移动终端是通过VPN连接方式而通信连接于所述企业服务端。
5.一种移动办公的安全服务方法,其特征在于,包括: 通过ARM Trust Zone技术而在移动终端的操作系统中划分出独立的至少一安全域; 在所述安全域内装载通过企业认证的企业应用; 将所述移动终端与企业服务端建立通信连接,当使用所述企业应用时,进行安全启动,使得所述企业应用运行在所述安全域内。
6.根据权利要求5所述的安全服务方法,其特征在于,还包括在所述移动终端的安全域中构建安全密钥,用于验证所述企业应用的装载位置的正确性和验证所述移动终端的合法性。
7.根据权利要求5或6所述的安全服务方法,其特征在于,所述企业应用中设置有账号登陆页面。
8.根据权利要求5所述的安全服务方法,其特征在于,将所述移动终端与企业服务端建立通信连接,包括:通过VPN连接方式,将所述移动终端通信连接于所述企业服务端。
【文档编号】H04W12/06GK104507087SQ201410810585
【公开日】2015年4月8日 申请日期:2014年12月19日 优先权日:2014年12月19日
【发明者】张月芳, 朱为朋 申请人:上海斐讯数据通信技术有限公司