一种移动办公通信方法及系统与流程

1.本发明涉及移动办公领域，尤其涉及一种移动办公通信方法及系统。


背景技术：

2.移动化办公打破了传统有线网络边界的束缚，提高了工作效率、简化了工作流，给企事业单位带来了诸多便利。但企事业单位数据向移动终端设备延伸，不仅给设备、系统维护和管理带来了新挑战，同时也使企事业单位数据安全、信息安全暴露于新的隐患中。
3.因此，移动办公与公司内网办公相比，主要存在以下问题：
4.安全性问题：公司内网办公场景下，因为数据都是在内网流通，数据身安全性比较可控。而移动办公场景下，移动办公人员直接从外部访问企业内部数据，数据安全性容易受到威胁。就目前来说，现场监测用的无线接入设备单纯采用运营商apn专线进行安全防护，无法覆盖公用通信网络传输要求的安全措施，不能对接入终端进行身份认证，无法对终端的权限进行细粒度的划分。
5.访问速率问题：公司内网办公场景下，内网访问内部服务通常是高效访问的，访。但是在移动办公场景下，由于地址和网络的不确定性，跨网跨地区带来的网络不稳定影响非常大。


技术实现要素：

6.本发明实施例提供一种移动办公通信方法及系统，能有效解决现有技术中移动办公安全性低、访问速率低的问题。
7.为实现上述目的，本技术实施例的第一方面提供了一种本技术实施例的第一方面提供了一种，所述方法包括：
8.接收安全管理中心的管理策略；所述管理策略包括移动终端白名单；
9.接受记录于移动终端白名单中的移动终端的通信请求，向所述移动终端收集身份信息；
10.将所述移动终端上传的身份信息发送至所述安全管理中心进行身份认证；
11.当所述安全管理中心确认所述移动终端对应的身份信息属实后，与所述移动终端建立ipsec隧道；
12.通过所述ipsec隧道与所述移动终端进行数据交换。
13.在第一方面的一种可能的实现方式中，所述与所述移动终端建立ipsec隧道，具体包括：
14.向所述移动终端确认工作密钥，建立isakmp sa；所述移动终端的贴芯卡含有密钥库，所述密钥库包括所述工作密钥和会话密钥；
15.根据所述isakmp sa，建立ipsec sa，确定与所述移动终端通讯的ipsec安全策略和会话密钥。
16.在第一方面的一种可能的实现方式中，在所述通过所述ipsec隧道与所述移动终
端进行数据交换之后，还包括：
17.收集所述安全终端的操作行为、安全状况、和异常状况并整合成日志数据包；
18.将所述日志数据包上传至所述安全管理中心；
19.所述安全管理中心根据所述日志数据包生成操作行为日志、安全事件日志、异常事件日志。
20.在第一方面的一种可能的实现方式中，在所述通过所述ipsec隧道与所述移动终端进行数据交换之前，还包括：
21.与所述移动终端的贴芯卡一同采用加密算法对所述ipsec隧道形成的信道进行加密保护；所述加密算法包括非对称密码算法、对称密码算法、密码杂凑算法和随机数生成算法。
22.本技术实施例的第二方面提供了一种移动办公系统，所述系统包括：安全管理中心、安全网关和含有贴芯卡的移动终端；
23.所述安全管理中心布置于中心机房，用于下发管理策略以及对所述移动终端进行身份认证；
24.所述安全网关布置于和所述安全管理中心同一局域网下，所述安全网关的上行接入中心机房，与安全管理中心相连，所述安全网关的下行与外网连接；所述安全网关可以执行上述移动办公通信方法；
25.所述移动终端通过外网与所述安全网关通信连接，在接入移动办公系统之前需要通过所述安全管理中心认证进入移动终端白名单。
26.在第一方面的一种可能的实现方式中，所述安全管理中心具有日志审计模块，用于记录移动终端所有的系统事件；日志审计模块中的日志按照所述系统事件种类进行分类，分别为操作行为日志、安全事件日志、异常事件日志。
27.相比于现有技术，本发明实施例提供的一种移动办公通信方法及系统，采用安全管理中心，对从外网接入的移动终端进行身份识别、接入授权，采用双重认证避免未授权或未经过身份认证协的终端接入网络，同时采用国家密码管理局审批的算法，对建立的ipsec隧道进行安全保护。由于ipsec隧道专属于移动办公系统，中间避免访问很多不必要的路由节点，在访问速率也有一定保障。本发明在减少了无必要的有线线缆建设投入同时也提高了移动办公系统传输的安全性。
附图说明
28.图1是本发明一实施例提供的一种移动办公通信方法的流程示意图；
29.图2是本发明一实施例提供的一种移动办公通信系统的结构示意图。
具体实施方式
30.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
31.请参见图1，本发明一实施例提供了一种移动办公通信方法，所述方法包括：
32.s10、接收安全管理中心的管理策略；所述管理策略包括移动终端白名单。
33.s11、接受记录于移动终端白名单中的移动终端的通信请求，向所述移动终端收集身份信息。
34.s12、将所述移动终端上传的身份信息发送至所述安全管理中心进行身份认证。
35.s13、当所述安全管理中心确认所述移动终端对应的身份信息属实后，与所述移动终端建立ipsec隧道。
36.s14、通过所述ipsec隧道与所述移动终端进行数据交换。
37.需要说明的是，本实施例提供的移动办公通信方法应用于安全管理中心连接的安全网关上。安全网关可以布置于有线局域网环境中，也可以布置于无线局域网中，安全网关的上行通过光纤专线接入中心机房，与安全管理中心相连，接收安全管理中心的管理策略。
38.在本实施例中，安全管理中心负责管理安全网关的运行策略以及保存移动终端白名单、移动终端对应用户的身份信息。
39.在实际应用中，可以优先选择基于安全芯片的贴芯卡作为密码识别设备，此类贴芯卡厚度多为0.18mm左右，粘贴在手机sim卡上，为手机等移动智能设备提供高速的密码运算，可以满足应用数据的签名/验签、加密/解密等要求，保证传输信息的机密性、完整性和有效性，同时提供安全、完善的密钥管理机制。贴芯卡内含的可定制化智能卡操作系统(npcos)符合国家密码管理局相关规范要求，密码应用可通过调用贴芯卡提供的标准接口函数来使用贴芯卡的密码服务。
40.同时，采用身份令牌的硬件身份认证机制使得只有指定人员使用指定账号及指定设备接入受控网络，极大的提高了电网办公移动化的整体安全性。换言之，只有经过安全管理中心的授权名单认证和身份信息认证后，移动终端才能与安全网关建立ipsec隧道进而加入移动办公系统中，而且ipsec隧道受到加密算法的安全保护，从而能保证移动办公中数据交互的安全性。
41.相比起现有技术，本发明实施例提供的一种移动办公通信系统，采用安全管理中心10，对从外网接入的移动终端30进行身份识别、接入授权，采用双重认证避免未授权或未经过身份认证协的终端接入网络，同时采用国家密码管理局审批的算法，对建立的ipsec隧道进行安全保护。由于ipsec隧道专属于移动办公系统，中间避免访问很多不必要的路由节点，在访问速率也有一定保障。本发明在减少了无必要的有线线缆建设投入同时也提高了移动办公系统传输的安全性。
42.示例性地，s13中所述与所述移动终端建立ipsec隧道，具体包括：
43.s130、向所述移动终端确认工作密钥，建立isakmp sa；所述移动终端的贴芯卡含有密钥库，所述密钥库包括所述工作密钥和会话密钥。
44.s131、根据所述isakmp sa，建立ipsec sa，确定与所述移动终端通讯的ipsec安全策略和会话密钥。
45.本发明实施例遵循ipsec协议。通过ipsec在外网上建立安全可信的ipsec隧道，使得各移动终端能在安全的通信链路中进行安全的通信。
46.示例性地，在所述通过所述ipsec隧道与所述移动终端进行数据交换之后，还包括：
47.s14、收集所述安全终端的操作行为、安全状况、和异常状况并整合成日志数据包；
48.s15、将所述日志数据包上传至所述安全管理中心。
49.s16、所述安全管理中心根据所述日志数据包生成操作行为日志、安全事件日志、异常事件日志。
50.示例兴地，在所述通过所述ipsec隧道与所述移动终端进行数据交换之前，还包括：
51.s132、与所述移动终端的贴芯卡一同采用加密算法对所述ipsec隧道形成的信道进行加密保护；所述加密算法包括非对称密码算法、对称密码算法、密码杂凑算法和随机数生成算法。
52.本发明实施例采用的加密设备(贴芯卡、安全网关)都是由国家密码管理局批准密码设备，使用国家密码管理局批准的非对称密码算法、对称密码算法、密码杂凑算法和随机数生成算法，具体可以参照下表：
[0053][0054]
请参见图2，本发明实施例还提供一种移动办公系统，所述系统包括：安全管理中心10、安全网关20和含有贴芯卡的移动终端30。
[0055]
所述安全管理中心10布置于中心机房，用于下发管理策略以及对所述移动终端30进行身份认证。
[0056]
所述安全网关20布置于和所述安全管理中心10同一局域网下，所述安全网关20的上行接入中心机房，与安全管理中心10相连，所述安全网关20的下行与外网连接；所述安全网关20可以执行上述实施例提供的移动办公通信方法。
[0057]
所述移动终端30通过外网与所述安全网关20通信连接，在接入移动办公系统之前需要通过所述安全管理中心10认证进入移动终端白名单。
[0058]
示例性地，所述安全管理中心10具有日志审计模块，用于记录移动终端所有的系统事件；日志审计模块中的日志按照所述系统事件种类进行分类，分别为操作行为日志、安全事件日志、异常事件日志。
[0059]
本发明实施例采用安全管理中心10集中管控，通过下发管理策略(包含接入白名单)，利用白名单方式使得只有授权的终端(终端在白名单上)才能接入，同时系统具有审计功能，所有的系统事件都有相关的日志记录。日志按照事件种类进行分类，分别为操作行为日志、安全事件日志、异常事件日志，以便每件事件都可追溯审计。
[0060]
相比于现有技术，本发明实施例提供的一种移动办公通信系统，采用安全管理中心10，对从外网接入的移动终端30进行身份识别、接入授权，采用双重认证避免未授权或未经过身份认证协的终端接入网络，同时采用国家密码管理局审批的算法，对建立的ipsec隧
道进行安全保护。由于ipsec隧道专属于移动办公系统，中间避免访问很多不必要的路由节点，在访问速率也有一定保障。本发明在减少了无必要的有线线缆建设投入同时也提高了移动办公系统传输的安全性。
[0061]
以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也视为本发明的保护范围。