一种安全访问方法及系统的制作方法
【技术领域】
[0001]本发明涉及通信领域,尤其涉及一种安全访问方法及系统。
【背景技术】
[0002]随着智能终端的成熟与普及,以手机、平板电脑为代表的个人智能终端设备逐渐进入企业应用领域。据国际权威咨询公司Gartner的预测,到2014年90%的企业将会支持员工在个人移动终端上运行企业办公应用程序,员工使用个人智能终端设备办公已经成为一种无法逆转的潮流。这类被称为BYOD (Bring Your Own Device,自带设备办公)的现象为企业安全和管理带来了新的挑战:
[0003]1、企业员工的移动终端可以在任何时间、任何地点接入移动互联网或公共/家庭W1-Fi网络,移动终端中的企业数据也会暴露在来自互联网的攻击之下。
[0004]2、企业员工可以随意访问、存取企业数据,从而存在企业数据被个人非法上传、共享和外泄的风险。如存储在手机中的办公邮件、文件、图片、通信记录以及与业务内容有关的短信等,这些敏感信息的泄漏给企业带来极大的信息安全风险。
[0005]3、遗失或被窃移动终端,移动终端中所保存的企业敏感数据也因此面临泄密风险。
[0006]4、手机病毒呈指数式增长,移动终端成为渗透企业内网的跳板。
[0007]综上说明,商用移动终端通常工作在无法由企业或组织控制的外部和远端,能够访问企业的应用和敏感数据的终端可能被窃取、泄露,或者错误配置,从而把企业资产置于危险之中。
[0008]现在针对企业移动终端的安全问题主要有两种解决办法:
[0009]第一种解决方案依然着手于移动终端,通过在移动终端进行部署,在移动终端上划分出一个独立的区域,隔绝企业信息和个人信息,避免企业数据被第三方应用获取。其技术架构由移动终端APP和服务器控制台构成,控制台以企业私有云或公有云的方式,部署到企业内网的通用服务器或电脑上,实现移动终端管理、策略管理下发、企业应用管理等。APP则在移动终端上建立一个安全的工作区,工作区内的应用和数据受到保护,通过监测、加密等手段确保企业数据在移动终端上的安全。其结构体系如图1所示。
[0010]第二种解决办法由网关入手,在移动终端与企业服务器的连接中间设立一个网关,通过在网关上进行安全配置,使用移动终端在访问企业数据时经过网关,并且按照网关的安全配置访问允许其访问的数据,从而达到管理移动终端,保护企业数据的目的。
[0011]以上两种解决方案,均存在一定的不足,主要有以下问题:
[0012](I)在移动终端与公有云进行数据交互时增加了中间设备,增加了访问时间。
[0013](2)由于所有病毒防护、安全监测等操作均由移动终端进行,极大的增加了移动终端的负荷,导致移动终端性能降低、耗能增加。同时由于软件的更新由移动终端个人完成,若没有及时更新,同时会造成安全隐患。
[0014](3)如果办公区的一些文档需要调用个人区域的程序打开的话,那么信息也是从办公区跳转到个人区域,这依然会对企业信息安全造成极大的一个隐患。
[0015]综上所述,目前的解决方案还是存在安全性差且操作不方便的问题。
【发明内容】
[0016]本发明所要解决的技术问题是:提供一种安全性高、操作方便的安全访问方法及系统。
[0017]为了解决上述技术问题,本发明采用的技术方案为:
[0018]—种安全访问方法,包括:
[0019]移动终端发送身份验证信息经网关转发至验证平台;所述身份验证信息包括用户身份和安全级别;
[0020]所述验证平台对接收到的身份验证信息进行验证,得到验证结果后发送至网关;
[0021]所述网关判断接收到的验证结果是否合法,若合法,获取所述移动终端的安全级别;
[0022]在划分成不同安全级别的网关中获取与移动终端的安全级别相同的配置信息;
[0023]根据所述配置信息设置所述移动终端与网关之间通信的访问权限;
[0024]建立所述移动终端与网关的VPN安全通道。
[0025]本发明采用的另一技术方案为:
[0026]—种安全访问系统,包括:发送模块、验证模块、判断模块、第一获取模块、第二获取模块、设置模块和建立模块;
[0027]所述发送模块,用于移动终端发送身份验证信息经网关转发至验证平台;所述身份验证信息包括用户身份和安全级别;
[0028]所述验证模块,用于所述验证平台对接收到的身份验证信息进行验证,得到验证结果后发送至网关;
[0029]所述判断模块,用于所述网关判断接收到的验证结果是否合法;
[0030]所述第一获取模块,用于若所述网关判断接收到的验证结果为合法时,获取所述移动终端的安全级别;
[0031]所述第二获取模块,用于在划分成不同安全级别的网关中获取与移动终端的安全级别相同的配置信息;
[0032]所述设置模块,用于根据所述配置信息设置所述移动终端与网关之间通信的访问权限;
[0033]所述建立模块,用于建立所述移动终端与网关的VPN安全通道。
[0034]本发明的有益效果在于:将网关按照安全级别进行划分,并根据身份验证为合法的移动终端的安全级别获取网关中安全级别相同的配置信息,根据配置信息设置移动终端与网关之间通信的访问权限,实现不同的身份信息拥有不同的访问权限,从而提升移动终端访问的安全性,且本发明提供的安全访问方法及系统,操作简单、方便。
【附图说明】
[0035]图1为本发明【背景技术】的第一种解决方案的结构体系图;
[0036]图2为本发明的一种安全访问方法的步骤流程图;
[0037]图3为本发明的一种安全访问系统的结构示意图;
[0038]标号说明:
[0039]1、发送模块;2、验证模块;3、判断模块;4、第一获取模块;5、第二获取模块;6、设置模块;7、建立模块。
【具体实施方式】
[0040]为详细说明本发明的技术内容、所实现目的及效果,以下结合实施方式并配合附图予以说明。
[0041]本发明最关键的构思在于:对网关进行安全级别划分,并根据身份验证为合法的移动终端的安全级别获取网关中安全级别相同的配置信息,根据配置信息设置移动终端与网关之间通信的访问权限。
[0042]请参照图2,本发明提供的一种安全访问方法,包括:
[0043]移动终端发送身份验证信息经网关转发至验证平台;所述身份验证信息包括用户身份和安全级别;
[0044]所述验证平台对接收到的身份验证信息进行验证,得到验证结果后发送至网关;
[0045]所述网关判断接收到的验证结果是否合法,若合法,获取所述移动终端的安全级别;
[0046]在划分成不同安全级别的网关中获取与移动终端的安全级别相同的配置信息;
[0047]根据所述配置信息设置所述移动终端与网关之间通信的访问权限;
[0048]建立所述移动终端与网关的VPN安全通道。
[0049]从上述描述可知,本发明的有益效果在于:将网关按照安全级别进行划分,并根据身份验证为合法的移动终端的安全级别获取网关中安全级别相同的配置信息,根据配置信息设置移动终端与网关之间通信的访问权限,实现不同的身份信息拥有不同的访问权限,从而提升移动终端访问的安全性,且本发明提供的安全访问方法,操作简单、方便。
[0050]进一步的,所述身份验证信息还包括访问内容、使用终端和终端状态。
[0051]进一步的,所述配置信息是根据移动终端发送的用户身份、访问内容、使用终端和终端状态分析得到。
[0052]进一步的,所述访问权限的内容包括应用交付与流量管理、应用加速和应用安全。
[0053]进一步的,所述应用交付与流量管理包括内容交换、负载均衡、动态路由选择和访问控制列表。
[0054]由上述描述可知,利用内容交换、负载均衡、动态路由选择、访问控制列表等技术,整合硬件和软件系统,提供高质量的运营级别和高可用性,最终保障用户安全、高效地访问企业敏感数据。
[0055]进一步的,所述应用加速包括整合SSL卸载、应用压缩、应用缓存和TCP缓冲及优化。
[0056]由上述描述可知,整合SSL卸载、应用压缩、应用缓存、TCP缓冲及优化等技术,通过基础设施优化,智能HTTP压缩,将服务器资源解放出来,确保高优先级应用得到优先处理,极大提高服务器性能及降低带宽成本。
[0057]进一步的,所述应用安全包括拒绝服务攻击的保护、安全内容隐藏、应用攻击过滤、HTTP重写、优先队列和浪涌保护。
[0058]由上述描述可知,支持对拒绝服务(DoS)攻击的保护、安全内容隐藏、应用攻击过滤、HTTP重写、优先队列、浪涌保护等应用安全功能,添加了多项不能在网络其它地方实现的关键安全特性,全面保证服务器的数据安全。
[0059]请参阅图3,本发明提供的一种安全访问系统,包括:发送模块1、验证模块2、判断模块3、第一获取模块4、第二获取模块5、设置模块6和建立模块7 ;
[0060]所述发送模块1,用于移动终端发送身份验证信息经网关转发至验证平台;所述身份验证信息包括用户身份和安全级别;
[0061]所述验证模块2,用于所述验证平台对接收到的身份验证信息进行验证,得到验证结果后发送至网关;
[0062]所述判断模块3,用于所述网关判断接收到的验证结果是否合法;
[0063]所述第一获取模块4,用于若所述网关判断接收到的验证结果为合法时,获取所述移动终端的安全级别;
[0064]所述第二获取模块5,用于在划分成不同安全级别的网关中获取与移动终端的安全级别相同的配置信息