;
[0065]所述设置模块6,用于根据所述配置信息设置所述移动终端与网关之间通信的访问权限;
[0066]所述建立模块7,用于建立所述移动终端与网关的VPN安全通道。
[0067]从上述描述可知,本发明的有益效果在于:将网关按照安全级别进行划分,并根据身份验证为合法的移动终端的安全级别获取网关中安全级别相同的配置信息,根据配置信息设置移动终端与网关之间通信的访问权限,实现不同的身份信息拥有不同的访问权限,从而提升移动终端访问的安全性,且本发明提供的安全访问系统,操作简单、方便。
[0068]实施例一
[0069]本发明提供的一种安全访问方法,具体如下:
[0070]当企业移动用户使用移动终端需要访问企业服务器时,需要先在移动终端运行的软/硬件模块与网关建立VPN安全通道,建立VPN安全通道需要进行以下步骤:
[0071]移动终端通过网关向验证平台(即为移动安全管理员)提供用户身份、安全级别等验证信息,验证平台进行验证,返回验证结果给网关,网关上运行的软件模块根据验证平台返回的验证结果执行相应操作。若验证结果为非法(即为未通过),网关则拒绝移动终端访问并向移动终端返回验证结果;若验证结果为合法(即为通过),验证平台根据移动终端提供的安全级别进行相应的安全配置,网关执行验证平台配置的安全策略,设置所述移动终端与网关之间通信的访问权限,同时通过流量管理、应用交付、应用加速与安全等功能模块,实现移动终端与服务器的数据交互,同时保证数据交互过程的安全性与高速性。
[0072]在网关上安装有应用交付与流量管理模块、应用加速模块和应用安全模块;
[0073]应用交付与流量管理模块:利用内容交换、负载均衡、动态路由选择、访问控制列表等技术,整合硬件和软件系统,提供高质量的运营级别和高可用性,最终保障用户安全、高效地访问企业敏感数据。
[0074]所述内容交换,也称七层负载均衡技术。也就是主要通过报文中的真正有意义的应用层内容(如c00kie、HTTP header、请求URL等信息),然后根据内容交换设备设置的服务器选择方式,决定最终选择的服务器后将请求发送至该服务器上。内容交换设备起到了代理服务器的作用。内容交换使整个网络更“智能化”,例如能把对图片类的请求转发到图片服务器,对文字的请求转发到文字服务器上,极大提升了应用系统在网络层的灵活性;同时可以有效防止SYN Flood攻击,SYN攻击不会被转发到后端的服务器上,而是在负载均衡设备上就截止了,从而不会影响后台服务器的正常运营,使得网站更安全。
[0075]所述负载均衡就是使用网络四层信息(如IP地址、端口等)将访问请求分摊到多个操作单元上进行执行。例如,随着网站访问量的增加,单台服务器明显不能承担全部负荷,此时需要增加服务器来组成一个服务器集合,每台服务器都具有德等价地位,都可以单独对外提供服务而无需其他服务器辅助。现在的网络负载均衡对外只需提供一个IP地址(域名),当有请求发送到站点时,通过某种负载分担技术,根据报文中的目标地址和端口,再加上负载均衡设备设置的服务器选择方式,决定最终选择的内部服务器与请求客户端建立TCP连接,然后向该服务器发送Client请求的数据。这样就提供了一种扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。
[0076]所述动态路由选择是指路由器随着网络拓扑结构和通信流量的改变而自动调整的过程。与之相对的是静态路由选择,它需要路由器管理人员手工输入路由。动态路由选择就是节点的路由选择要依靠网络当前的状态信息来决定。这种策略能较好地适应网络流量、拓扑结构的变化,有利于改善网络的性能。但由于算法复杂,会增加网络的负担。例如,某站点是移动、电信双线接入,用户在访问时可能使用用户ISP网络响应会更快;同时还不能因为电信用户访问过多时都使用电信线路响应而造成网络拥塞,而另一移动网络流量却相差很大,此时要在两条线路间做好智能管理。另外当两条线路都比较拥挤时,还要优先保证关键业务可用。
[0077]所述访问控制列表是应用在主干线路上,用来过滤流量及保证网络安全阻止未授权的访问。它是一系列用来确定是否允许访问的条件的集合,主要任务是保证网络资源不被非法使用和访问。访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。在接收到访问请求时,可以根据数据包中的源IP地址、目标IP的机制等信息确定数据包是接收还是拒绝。例如,银行内容各个部门对各种文件的访问级别是不同的,人力资源部的计算机通常不允许访问资金营运部所属的文件,反之亦是如此。
[0078]应用加速模块:整合SSL卸载、应用压缩、应用缓存、TCP缓冲及优化等技术,通过基础设施优化,智能HTTP压缩,将服务器资源解放出来,确保高优先级应用得到优先处理,极大提高服务器性能及降低带宽成本。
[0079]应用安全模块:支持对拒绝服务(DoS)攻击的保护、安全内容隐藏、应用攻击过滤、HTTP重写、优先队列、浪涌保护等应用安全功能,添加了多项不能在网络其它地方实现的关键安全特性,全面保证服务器的数据安全。
[0080]实施例二
[0081]本实施例二是在实施例一的基础上对验证信息进一步限定为用户身份、访问内容、使用设备及设备状态,由访问内容、使用设备及设备状态决定安全级别。
[0082]综上所述,本发明提供的一种安全访问方法及系统,将网关按照安全级别进行划分,并根据身份验证为合法的移动终端的安全级别获取网关中安全级别相同的配置信息,根据配置信息设置移动终端与网关之间通信的访问权限,实现不同的身份信息拥有不同的访问权限,从而提升移动终端访问的安全性,且本发明提供的安全访问系统,操作简单、方便。由访问内容、使用设备及设备状态决定安全级别。在本发明的完整体系结构中,针对当前的解决方案中存在的问题,使用Active Directory微软组件或其它标准用户管理方式,解决移动终端与计算机客户端无法统一管理的问题,使得移动终端与计算机客户端实行同一标准,解决企业面对各类终端的统一管理问题。将所有的病毒防护、安全监测等操作全部交由移动安全网关处理,完全解决了移动终端的耗能高,资源占用高的问题,将移动终端的资源完全解放出来,极大的提高了移动终端的性能与续航能力。移动安全网关同时具有应用交付、应用加速与安全功能模块,对于增加数据交换速度,提高企业服务器安全性起到了极大的促进作用,解决了因为在移动终端和企业服务器之间加入其它设备所导致的访问速度变慢、延时等问题。
[0083]以上所述仅为本发明的实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等同变换,或直接或间接运用在相关的技术领域,均同理包括在本发明的专利保护范围内。
【主权项】
1.一种安全访问方法,其特征在于,包括: 移动终端发送身份验证信息经网关转发至验证平台;所述身份验证信息包括用户身份和安全级别; 所述验证平台对接收到的身份验证信息进行验证,得到验证结果后发送至网关; 所述网关判断接收到的验证结果是否合法,若合法,获取所述移动终端的安全级别; 在划分成不同安全级别的网关中获取与移动终端的安全级别相同的配置信息; 根据所述配置信息设置所述移动终端与网关之间通信的访问权限; 建立所述移动终端与网关的VPN安全通道。2.根据权利要求1所述的一种安全访问方法,其特征在于,所述身份验证信息还包括访问内容、使用终端和终端状态。3.根据权利要求2所述的一种安全访问方法,其特征在于,所述配置信息是根据移动终端发送的用户身份、访问内容、使用终端和终端状态分析得到。4.根据权利要求1所述的一种安全访问方法,其特征在于,所述访问权限的内容包括应用交付与流量管理、应用加速和应用安全。5.根据权利要求4所述的一种安全访问方法,其特征在于,所述应用交付与流量管理包括内容交换、负载均衡、动态路由选择和访问控制列表。6.根据权利要求4所述的一种安全访问方法,其特征在于,所述应用加速包括整合SSL卸载、应用压缩、应用缓存和TCP缓冲及优化。7.根据权利要求4所述的一种安全访问方法,其特征在于,所述应用安全包括拒绝服务攻击的保护、安全内容隐藏、应用攻击过滤、HTTP重写、优先队列和浪涌保护。8.一种安全访问系统,其特征在于,包括:发送模块、验证模块、判断模块、第一获取模块、第二获取模块、设置模块和建立模块; 所述发送模块,用于移动终端发送身份验证信息经网关转发至验证平台;所述身份验证信息包括用户身份和安全级别; 所述验证模块,用于所述验证平台对接收到的身份验证信息进行验证,得到验证结果后发送至网关; 所述判断模块,用于所述网关判断接收到的验证结果是否合法; 所述第一获取模块,用于若所述网关判断接收到的验证结果为合法时,获取所述移动终端的安全级别; 所述第二获取模块,用于在划分成不同安全级别的网关中获取与移动终端的安全级别相同的配置信息; 所述设置模块,用于根据所述配置信息设置所述移动终端与网关之间通信的访问权限; 所述建立模块,用于建立所述移动终端与网关的VPN安全通道。
【专利摘要】本发明涉及通信领域,尤其涉及一种安全访问方法及系统。将网关按照安全级别进行划分,并根据身份验证为合法的移动终端的安全级别获取网关中安全级别相同的配置信息,根据配置信息设置移动终端与网关之间通信的访问权限,实现不同的身份信息拥有不同的访问权限,从而提升移动终端访问的安全性,且本发明提供的安全访问方法及系统,操作简单、方便。
【IPC分类】H04L29/06
【公开号】CN105187380
【申请号】CN201510473512
【发明人】李 瑞, 张婷
【申请人】全球鹰(福建)网络科技有限公司
【公开日】2015年12月23日
【申请日】2015年8月5日