一种基于用户、设备及应用的移动应用准入控制方法与流程

本发明属于安全接入网关领域，具体涉及一种基于用户、设备及应用的移动应用准入控制方法。

背景技术：

移动办公中的设备、应用、网络、用户对于企业来说，都是未知不可控的，因此在实现移动安全保障时，需要多维度对访问内网的业务系统进行准入控制。移动设备本身可能被破解，并且可能安装各种未知风险的应用。传统的vpn解决方案中，将移动设备连接到企业后台时，不仅办公应用可以连接，这些安全性不确定的风险应用同样有能力连接到企业内网，从而为企业网络打开了多个不安全的入口。

技术实现要素：

为了克服现有技术的不足，本发明提出一种基于用户、设备及应用的移动应用准入控制方法，解决传统的vpn解决方案在将移动设备连接到企业后台时，办公应用可以连接的同时，那些安全性不确定的风险应用同样有能力连接到企业内网，从而为企业网络打开了多个不安全的入口的问题。

本发明为实现上述目的，采用以下技术方案实现：

一种基于用户、设备及应用的移动应用准入控制方法，包括以下步骤：

步骤1：通过沙箱应用获取移动终端的状态信息；

步骤2：通过沙箱应用获取mos或者emm的账号信息，通过认证后，与服务端建立安全传输通道；

步骤3：服务端根据用户及设备的状态信息，判断请求访问的移动应用是否合规，若合规，则该移动应用的访问准入通过，否则拒绝。

进一步地，作为优选技术方案，所述步骤1中，移动终端的状态信息包括设备类型、设备网络状态以及设备是否被破解。

进一步地，作为优选技术方案，所述设备类型包括android和ios，所述设备网络状态包括移动网络和wifi。

进一步地，作为优选技术方案，所述步骤1中，移动终端的状态信息还包括沙箱是否加壳以及应用需要访问的ip、域名是否正确。

进一步地，作为优选技术方案，所述步骤2中的安全隧道建立的具体过程为：

步骤2-1：沙箱应用向服务端协商证书认证；

步骤2-2：服务端应答与沙箱应用协商证书认证；

步骤2-3：证书认证成功后，沙箱应用向服务端协商用户密码认证；

步骤2-4：服务端应答与沙箱应用账号密码认证；

步骤2-5：验证通过，建立安全传输隧道。

进一步地，作为优选技术方案，所述步骤3中，服务端针对不同的移动应用，根据不同的用户、设备的不同状态信息，判断请求访问的移动应用是否合规。

本发明与现有技术相比，具有以下优点及有益效果：

(1)本发明可针对不用的应用建立独立互不干扰的应用级安全传输隧道，相对传统vpn接入更安全。

(2)本发明可以做到针对不同用户、应用、设备状态不同进行细粒度的准入控制，准入规则更精细。

(3)本发明针对安全隧道的建立可以自动识别用户，无需用户再次额外登录配置，接入方式更便捷。

附图说明

图1为本发明的准入控制原理框图；

图2为本发明的安全传输隧道建立过程示意图。

具体实施方式

下面结合实施例对本发明作进一步地详细说明，但本发明的实施方式不限于此。

实施例：

如图1所示，本实施例所述的一种基于用户、设备及应用的移动应用准入控制方法，包括以下步骤：

步骤1：通过沙箱应用获取移动终端的状态信息；

步骤2：通过沙箱应用获取mos或者emm的账号信息，通过认证后，与服务端建立安全传输通道；

步骤3：服务端根据用户及设备的状态信息，判断请求访问的移动应用是否合规，若合规，则该移动应用的访问准入通过，否则拒绝。

在本实施例中，移动终端的状态信息包括设备类型、设备网络状态以及设备是否被破解，具体地，设备类型包括android和ios，设备网络状态包括移动网络和wifi，当然移动终端的状态信息还包括沙箱是否加壳以及应用需要访问的ip、域名是否正确等。合规的条件可以自行在服务端管理界面配置，可以配置满足什么条件的终端android、ios，设备是否被破解、网络状态、应用是否沙箱加壳、应用需要访问的ip、域名是否正确等属性。例如可以配置实现：张三用户的邮件应用只有通过android的非破解设备，且使用沙箱加壳的邮件客户端可以正常使用。

本实施例的客户端与服务端有账号、密码、证书认证校验，都认证通过才能认证成功，客户端提交证书、用户名、密码，服务端协商校验。如图2所示，本实施例的安全隧道建立的具体过程为：

步骤2-1：沙箱应用向服务端协商证书认证；

步骤2-2：服务端应答与沙箱应用协商证书认证；

步骤2-3：证书认证成功后，沙箱应用向服务端协商用户密码认证；

步骤2-4：服务端应答与沙箱应用账号密码认证；

步骤2-5：验证通过，建立安全传输隧道。

上述步骤2-1与步骤2-2之间有多次协商交互过程。

以上所述，仅是本发明的较佳实施例，并非对本发明做任何形式上的限制，凡是依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化，均落入本发明的保护范围之内。

技术特征：

技术总结
本发明公开了一种基于用户、设备及应用的移动应用准入控制方法，包括以下步骤：步骤1：通过沙箱应用获取移动终端的状态信息；步骤2：通过沙箱应用获取MOS或者EMM的账号信息，通过认证后，与服务端建立安全传输通道；步骤3：服务端根据用户及设备的状态信息，判断请求访问的移动应用是否合规，若合规，则该移动应用的访问准入通过，否则拒绝。本发明采用上述方法，能够针对不用的应用建立独立互不干扰的应用级安全传输隧道，相对传统VPN接入更安全，自动识别用户，无需用户再次额外登录配置，接入方式更便捷。

技术研发人员：王伟;桂艳峰;丁俊一;陈电波;薛辛;李彪
受保护的技术使用者：北京指掌易科技有限公司
技术研发日：2018.11.01
技术公布日：2019.02.12