一种移动终端安全防护系统与安全防护方法

一种移动终端安全防护系统与安全防护方法
【技术领域】
[0001]本发明涉及一种安全防护系统与安全防护方法，特别是一种移动终端安全防护系统与安全防护方法，属于安全防护领域。
【背景技术】
[0002]随着科技的日新月异发展，移动终端应用也日渐普遍，基于移动终端的办公、学习、娱乐等应用已然成为趋势。但同样移动终端普及也不可避免的带来一系列的问题，首先是可管理性，移动设备由于其便携性，其位置经常发生变化，因此，如何对其进行可控的管理，成为现在企业面临的一个重要问题，其次是可操控性，对于这些移动设备，有时需要往多台设备上发送数据与信息，但现在往往是一台台的操作，浪费了企业管理人员大量的精力，最后是信息安全隐患，尤其是对于具有敏感信息的企业，移动终端的安全防护愈显重要。
[0003]移动终端的防护无外两种方式，对照ISO模型图(如图1所示)而言，一种是在应用层防护，一种是在数据链路层防护，相对于软件层面的防护，物理链路层防护就显得更安全可靠。
[0004]目前普通移动终端的防护基本上在应用层处理，严重依赖安全软件，这种安全防护方式对于一般信息安全保护尚且可以，可是安全级别更高的涉密场景就无能为力了，该方法主要存在以下问题:
[0005](I)被动性防护:安全软件的防护属于被动式防护，病毒的发现永远滞后于病毒的查杀，并且安全防护的能力完全依赖于安全软件厂商的病毒特征库更新。
[0006](2)操作系统安全:操作系统存在的漏洞和后门使得操作系统很容易遭到攻击。
[0007](3)硬件安全:终端的丢失可能会造成隐秘数据的泄露和丢失。
[0008]安全性要求高的敏感环境中，出于安全考虑，移动终端基本摘除终端WIFI模块、外置SD卡，所有移动终端交互数据在一个封闭的局域网中与具有交互功能的公共机完成数据交互。此种设计在一定程度做到了安全防护(屏蔽了以上一般移动终端1、2、3条安全隐患)，但还是存在以下风险:
[0009](I)终端外接到其它电脑依然可以通过android的ADB工具获取终端中的信息。
[0010](2)终端外接到联网电脑，如果电脑安装DHCP的SERVER组件，那么DHCP会自动配置移动终端，导致终端带出到非敏感环境上网有泄露信息的风险。
[0011](3)终端的丢失后很容易窃取终端中的信息。

【发明内容】

[0012]本发明的技术解决问题是:克服现有技术的不足，提供了一种移动终端安全防护系统与安全防护方法，以移动终端为DHCP的SERVER端，服务器为DHCP的CLIENT端，并且通过移动终端控制与服务器之间的网络连接和设备认证，将安全防护由服务器端的被动防护转移到了移动终端的主动防护，最大程度移动终端的安全性，降低了移动终端中数据被窃取的可能性。
[0013]本发明的技术解决方案是:一种移动终端安全防护系统，包括:服务器、USB集线器和至少一个移动终端；
[0014]所述服务器通过USB集线器与移动终端连接；所述每台移动终端均具有一个预设IP,移动终端为DHCP的SERVER端，服务器为DHCP的CLIENT端，移动终端利用预设的IP控制与服务器之间网络的建立，并通过预设的配置信息实现与服务器的认证；所述服务器用于向移动终端发送数据，并从移动终端接收数据。
[0015]所述USB集线器为级联多口配置，包括主插槽和子插槽，主插槽与服务器的USB接口连接，子插槽通过USB线与移动终端连接；
[0016]所述每台移动终端的操作系统由Andr1d操作系统修改形成，所述修改包括:删除ADB模块，强制启用Selinux与全盘加密，强制使用USB进行网络通讯，在内核中增加网络接入控制服务。
[0017]所述移动终端利用预设的IP控制与服务器之间网络的建立，具体为:
[0018]移动终端通过USB集线器连接到服务器后，服务器USB接口探测到有设备连接并自动虚拟出网卡，服务器扫描到虚拟网卡后，服务器DHCP CLIENT向移动终端请求网络地址，移动终端DHCP SERVER接收服务器DHCP CLIENT发出的请求后，根据自身的预设IP为服务器的虚拟网卡分配一个IP，服务器根据接收到的IP设置虚拟网卡网络地址，设置完成后，服务器通过虚拟网卡与移动终端建立网络连接。
[0019]所述移动终端通过预设的配置信息实现与服务器的认证，具体为:服务器通过虚拟网卡与移动终端建立网路连接后，移动终端向服务器请求认证密码，并将服务器返回的认证密码与预设的配置信息进行匹配，若匹配成功，则移动终端与服务器之间进行数据传输，否则，移动终端主动断开网络连接。
[0020]所述服务器向移动终端发送的数据中包括服务器的防火墙策略，用于覆盖移动终端自身的防火墙策略。
[0021]所述服务器安装ubuntu操作系统。
[0022]所述移动终端去除了无线射频模块和Sd卡，并安装了经过加固的安全操作系统。
[0023]一种基于移动终端安全防护系统的安全防护方法，步骤如下:
[0024](I)从服务器获取认证密码，并生成相应的配置信息；
[0025](2)对移动终端进行初始化，设置每个移动终端的预设IP和安全服务器的IP，向移动终端注入用户防火墙策略，并将步骤(I)中生成的配置信息输入给移动终端；
[0026](3)利用USB集线器将服务器和移动终端进行连接；
[0027](4)移动终端利用预设的IP实现与服务器之间的网络连接，若连接成功，则进入步骤(5)，否则，重新尝试连接；
[0028](5)移动终端通过预设的配置信息与服务器进行认证，若认证成功，则进入步骤
(6)，否则，断开网络连接，对移动终端进行锁定，无法使用；
[0029](6)移动终端启用用户防火墙策略；
[0030](7)服务器向移动终端分发数据，并从移动终端读取数据。
[0031]本发明通过Android系统改造来实现对移动终端操作系统加固。终端设备与实物柜之间以HTTPS over USB近距离通信方式互联，服务器通过USB HUB支持多终端接入，终端接入时由终端为服务器分配动态IP，终端可以主动控制网络的通断。终端、柜服务器和平台服务器之间通过以太网交换机互联，并形成全设备IP互联。
[0032]本发明与现有技术相比的有益效果是:
[0033]本发明中的系统以移动终端为DHCP的SERVER端，服务器为DHCP的CLIENT端，并且通过移动终端控制与服务器之间的网络连接和设备认证，将安全防护由服务器端的被动防护转移到了移动终端的主动防护，最大程度移动终端的安全性，降低了移动终端中数据被窃取的可能性。通过网络接入控制，实现了移动终端只在可信网络中工作。
【附图说明】
[0034]图1为ISO模型图；
[0035]图2为现有移动终端的批量管理星形结构示意图；
[0036]图3为本发明中系统结构示意图；
[0037]图4为DHCP网络拓扑结构示意图；
[0038]图5为本发明中方法的流程图。
【具体实施方式】
[0039]下面结合附图对本发明的【具体实施方式】进行进一步的详细描述。
[0040]如图3所示为本发明的系统结构示意图，从图3可知，本发明提出的一种一种移动终端安全防护系统，其特征在于包括:服务器、USB集线器和至少一个移动终端；
[0041]所述服务器通过USB集线器与移动终端连接；所述每台移动终端均具有一个预设IP,移动终端为DHCP的SERVER端，服务器为DHCP的CLIENT端，移动终端利用预设的IP控制与服务器之间网络的建立，并通过预设的配置信息实现与服务器的认证；所述服务器用于向移动终端发送数据，并从移动终端接收数据。
[0042]所述USB集线器为级联多口配置，包括主插槽和子插槽，主插槽与服务器的USB接口连接，子插槽通过USB线与移动终端连接。
[0043]本发明中的系统通过控制外界到移动终端的入口来实现移动终端安全防护的解决方案，其主要措施包括:移动终端的操作系统改造、移动终端硬件改造和DHCP网络拓扑结构改造；
[0044]移动终端的操作系统改造具体为:每台移动终端的操作系统由Andr1d操作系统修改