专利名称:基于vpn的移动通讯终端安全访问数据的方法及系统的制作方法
技术领域:
本发明涉及到网络安全领域,特别涉及到一种基于VPN的移动通讯终端安全访问数据的方法及系统。
背景技术:
随着移动互联网和集成电路技术的飞速发展,移动通讯终端已经拥有了强大的处理能力,正在从简单的通话工具变为一个综合信息处理平台。用户通过移动通讯终端可以轻松的从网络中下载和浏览各种类型的文件。移动通讯终端也成为了一种移动办公的工具,用户可以使用移动通讯终端通过VPN(Virtual Private Network,虚拟专用网络)访问机构的内网资源和数据来进行远程办公。但移动通讯终端给用户带来办公方便的同时,也增加了泄露公司内部资料和机密数据的风险移动通讯终端通过VPN访问内网资源的同时,也可以访问其他外部网络。用户可以有意识的随时的将内网重要资料发布到外部网络上。
发明内容
本发明的主要目的为提供一种基于VPN的移动通讯终端安全访问数据的方法和系统,提高内网资源的安全性。本发明提出一种基于VPN的移动通讯终端安全访问数据的方法,包括当数据安全装置在所述移动通讯终端运行时,所述数据安全装置允许所述移动通讯终端访问内部网络,且禁止所述移动通讯终端访问外部网络;当数据安全装置没有在所述移动通讯终端运行时,VPN服务器禁止所述移动通讯终端访问内部网络。优选地,所述数据安全装置运行包括所述数据安全装置生成加密密钥;根据所述加密密钥对移动通讯终端内数据进行加解密。优选地,所述数据安全装置生成数据的加密密钥包括当移动通讯终端访问VPN资源时,从VPN服务器下载所述移动通讯终端对应的密钥;根据所述密钥和移动通讯终端参数计算加密密钥;所述移动通讯终端参数包括移动通讯终端的国际移动设备身份码IMEI信息和/或国际移动用户识别码IMSI信息。优选地,在执行所述根据加密密钥对移动通讯终端内数据进行加解密之前,还包括将写入移动通讯终端的数据重定向至预设的存储空间,所述预设的存储空间为移动通讯终端指定空间或与移动通讯终端连接的存储介质。优选地,所述数据安全装置运行还包括所述数据安全装置根据预设的权限规则控制移动通讯终端对VPN资源的访问。
本发明还提出一种基于VPN的移动通讯终端安全访问数据的系统,包括VPN服务器和运行在移动通讯终端的数据安全装置,所述VPN服务器,用于当所述数据安全装置没有在所述移动通讯终端运行时,禁止所述移动通讯终端访问内部网络;所述数据安全装置, 用于允许所述移动通讯终端访问内部网络,且禁止所述移动通讯终端访问外部网络。优选地,所述数据安全装置包括生成密钥模块,用于生成加密密钥; 加解密模块,用于根据所述加密密钥对移动通讯终端内数据进行加解密。优选地,所述生成密钥模块包括下载单元,用于当移动通讯终端访问VPN资源时,从VPN服务器下载所述移动通讯终端对应的密钥;计算单元,用于根据所述密钥和移动通讯终端参数计算加密密钥;所述移动通讯终端参数包括移动通讯终端的国际移动设备身份码IMEI信息和/或国际移动用户识别码 IMSI信息。优选地,所述数据安全装置还包括重定向模块,用于将写入移动通讯终端的数据重定向至预设的存储空间,所述预设的存储空间为移动通讯终端指定空间或与移动通讯终端连接的存储介质。优选地,所述数据安全装置还包括权限控制模块,用于根据预设的权限规则控制移动通讯终端对VPN资源的访问。本发明提出的一种基于VPN的移动通讯终端安全访问数据的方法和系统,在移动通讯终端上设置数据安全装置,该数据安全装置结合VPN服务器,使移动通讯终端用户无法在数据安全装置关闭时通过网络将受保护文件发送到外部网络,而运行在数据安全装置上的应用程序也无法通过访问除VPN资源外的网络,将受保护文件发布到外网。
图1为本发明基于VPN的移动通讯终端安全访问数据的方法一实施例的流程示意图;图2为本发明基于VPN的移动通讯终端安全访问数据的方法一实施例中数据安全装置运行的流程示意图;图3为本发明基于VPN的移动通讯终端安全访问数据的方法一实施例中密钥生成的流程示意图;图4为本发明基于VPN的移动通讯终端安全访问数据的方法一实施例中数据安全装置运行的又一流程示意图;图5为本发明基于VPN的移动通讯终端安全访问数据的方法一实施例中数据安全装置运行的另一流程示意图;图6为本发明基于VPN的移动通讯终端安全访问数据的系统一实施例的结构示意图;图7为本发明基于VPN的移动通讯终端安全访问数据的系统一实施例中数据安全装置的结构示意图;图8为本发明基于VPN的移动通讯终端安全访问数据的系统一实施例中生成密钥模块的结构示意图;图9为本发明基于VPN的移动通讯终端安全访问数据的系统一实施例中数据安全装置的又一结构示意图;图10为本发明基于VPN的移动通讯终端安全访问数据的系统一实施例中数据安全装置的另一结构示意图。本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施例方式应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。参照图1,提出本发明一种基于VPN的移动通讯终端安全访问数据的方法一实施例,包括步骤S10、当数据安全装置在所述移动通讯终端运行时,所述数据安全装置允许所述移动通讯终端访问内部网络,且禁止所述移动通讯终端访问外部网络;步骤S11、当数据安全装置没有在所述移动通讯终端运行时,VPN服务器禁止所述移动通讯终端访问内部网络。在本实施例中,为说明方便,将没有运行数据安全装置的移动通讯终端环境称为个人环境,将运行数据安全装置的移动通讯终端环境称为办公环境。用户通过移动通讯终端接入VPN后,基于VPN的数据安全装置会自动下载到移动通讯终端,并自动安装到移动通讯终端,在后台运行,为移动通讯终端提供一个文件系统访问过滤层,形成办公环境。当办公环境内的应用程序使用网络API函数访问网络的时候,访问行为首先被数据安全装置拦截。数据安全装置判断访问目的地址是否为授权给用户的VPN内网资源。如果目的地址是授权的内网地址,则将数据通过VPN通道转发给内网;如果目的地址是授权之外的地址,则直接禁止。由于运行在个人环境内的应用程序不会被数据安全装置挂钩,所以个人环境发送网络数据的目的地址即使为内网地址,也不会被转发到内网,因此无法访问VPN内网资源。这样就形成了办公环境可以访问内网但无法访问外网,个人环境可以访问外网但无法访问内网,办公环境和用户个人环境无法进行网络通讯的格局,从而实现了办公环境和用户个人环境的网络隔离。本实施例中,在移动通讯终端上设置数据安全装置,该数据安全装置结合VPN服务器,使移动通讯终端用户无法在数据安全装置关闭时通过网络将受保护文件发送到外部网络,而运行在数据安全装置上的应用程序也无法通过访问除VPN资源外的网络,将受保护文件发布到外网。参照图2,在一实施例中,所述数据安全装置运行包括步骤S20、所述数据安全装置生成加密密钥;步骤S21、根据所述加密密钥对移动通讯终端内数据进行加解密。当移动通讯终端接入VPN网络时,所有移动通讯终端内的应用程序访问移动通讯终端的文件系统都必须通过数据安全装置的文件系统访问过滤层,文件系统访问过滤层根据不同的权限进行访问控制。数据安全装置生成一加密密钥,对在办公环境下读取或写入移动通讯终端的文件系统的数据进行加解密。当运行在办公环境中的应用程序写入移动通讯终端的文件系统时,数据安全装置使用加密密钥对文件内容进行加密。当运行在办公环境中的应用程序需要读取下载的文件的时候,数据安全装置使用加密密钥对该文件内容进行解密后得到明文数据输出。整个文件的加解密过程对用户来说都是透明且自动完成的。本实施例中,数据安全装置对运行在办公环境中的应用程序进行透明的文件加解密,所以运行在个人环境中的应用程序是无法通过解密读取在办公环境时已加密的数据, 从而实现办公环境和用户个人环境的数据隔离。参照图3,在上述实施例中,步骤S20可包括步骤S201、当移动通讯终端访问VPN资源时,从VPN服务器下载所述移动通讯终端对应的密钥;每次移动通讯终端访问VPN资源时,数据安全装置从VPN服务器下载一个与此移动通讯终端的VPN账户相关联的唯一的密钥。步骤S202、根据所述密钥和移动通讯终端参数计算加密密钥;所述移动通讯终端参数包括移动通讯终端的IMEI信息和/或IMSI信息。数据安全装置将下载的密钥与移动通讯终端的移动通讯终端参数共同生成加密密钥。移动通讯终端参数可以是IMEI信息和/或IMSI信息,或其它可以参与加密密钥计算的移动通讯终端参数。本实施例中,移动通讯终端每次访问VPN资源时,数据安全装置根据下载的密钥生成加密密钥,因此即使移动通讯终端丢失,由于密钥在不断变化,移动通讯终端内的数据也不会泄密。参照图4,在上述实施例中,在执行步骤S21之前可进一步包括步骤S22、将写入移动通讯终端的数据重定向至预设的存储空间,所述预设的存储空间为移动通讯终端指定空间或与移动通讯终端连接的存储介质。当运行在办公环境中的应用程序写入移动通讯终端内文件(本实施例中,这种文件称为虚拟文件)时,写操作首先被数据安全装置拦截,数据安全装置自动将对该文件的写操作重定向到一预设的存储空间(称为真实文件),预设的存储空间可为移动通讯终端指定空间或与移动通讯终端连接的存储介质如SD卡,并且使用加密密钥对文件内容进行加密。同时,数据安全装置在该预设的存储空间中保存真实文件与虚拟文件的对应关系数据。当运行在办公环境中应用程序需要读取下载的文件的时候,数据安全装置获取虚拟文件对应的真实文件,将虚拟文件的读操作重定向到对应该预设的存储空间中的真实文件上,并且使用加密密钥对真实文件内容进行解密后得到明文数据输出至上层应用程序。删除虚拟文件时,将会自动删除对应的真实文件和相应的对应关系数据。整个文件重定向、加解密过程对用户来说都是透明且自动完成的。本实施例中,由于数据安全装置只对运行在办公环境中的应用程序进行透明的重定向,所以运行在个人环境内的应用程序在读写虚拟文件的时候,读写行为首先被数据安全装置拦截。数据安全装置不会将文件的读写操作重定向到真实文件,所以应用程序只是对虚拟文件的操作,并不能对真实文件进行操作,无法修改和获取真实文件中的内容,进一步提高了移动通讯终端内数据的安全性。参照图5,在上述实施例中,所述数据安全装置运行还包括步骤S23、所述数据安全装置根据预设的权限规则控制移动通讯终端对VPN资源的访问。
步骤S23可在步骤S20、S2US22之前、之后或同时,数据安全装置为用户提供一个办公环境界面,界面上显示了目前安装在移动通讯终端上的应用程序图标。应用程序图标可以根据预设的权限规则(通常是VPN下发的权限规则)来决定是否显示。只有通过点击这些图标运行起来的应用程序(这种应用程序称为在办公环境中运行的应用程序)才能允许访问VPN内网资源,但不能访问除分配给用户的 VPN内网资源外的其他网络资源。而以其他方式运行的应用程序(这种应用程序称为在个人环境中运行的应用程序)禁止访问内网资源。本实施例中,数据安全装置根据预设的权限规则决定办公环境下哪些应用程序可以使用,哪些应用程序不能使用,以及哪些VPN资源可以访问或不能访问,进一步提高了移动通讯终端访问数据的安全性。参照图6,提出本发明一种基于VPN的移动通讯终端安全访问数据的系统一实施例,包括VPN服务器10和数据安全装置20,所述VPN服务器10,用于当所述数据安全装置 20没有在所述移动通讯终端运行时,禁止所述移动通讯终端访问内部网络;所述数据安全装置20,用于允许所述移动通讯终端访问内部网络,且禁止所述移动通讯终端访问外部网在本实施例中,为说明方便,将没有运行数据安全装置20的移动通讯终端环境称为个人环境,将运行数据安全装置20的移动通讯终端环境称为办公环境。用户通过移动通讯终端30接入VPN后,基于VPN的数据安全装置20会自动下载到移动通讯终端30,并自动安装到移动通讯终端30,在后台运行,为移动通讯终端30提供一个文件系统访问过滤层, 形成办公环境。当办公环境内的应用程序使用网络API函数访问网络的时候,访问行为首先被数据安全装置20拦截。数据安全装置20判断访问目的地址是否为授权给用户的VPN 内网资源。如果目的地址是授权的内网地址,则将数据通过VPN通道转发给内网;如果目的地址是授权之外的地址,则直接禁止。由于运行在个人环境内的应用程序不会被数据安全装置20挂钩,所以个人环境发送网络数据的目的地址即使为内网地址,也不会被转发到内网,因此无法访问VPN内网资源。这样就形成了办公环境可以访问内网但无法访问外网, 个人环境可以访问外网但无法访问内网,办公环境和用户个人环境无法进行网络通讯的格局,从而实现了办公环境和用户个人环境的网络隔离。本实施例中,在移动通讯终端30上设置数据安全装置20,该数据安全装置20结合 VPN服务器10,使移动通讯终端用户无法在数据安全装置20关闭时通过网络将受保护文件发送到外部网络,而运行在数据安全装置20上的应用程序也无法通过访问除VPN资源外的网络,将受保护文件发布到外网。参照图7,在一实施例中,数据安全装置20包括生成密钥模块21,用于生成加密密钥;加解密模块22,用于根据所述加密密钥对移动通讯终端30内数据进行加解密。当移动通讯终端30接入VPN网络时,所有移动通讯终端30内的应用程序访问移动通讯终端30的文件系统都必须通过数据安全装置20的文件系统访问过滤层,文件系统访问过滤层根据不同的权限进行访问控制。生成密钥模块21生成一加密密钥,加解密模块 22对在办公环境下读取或写入移动通讯终端30的文件系统的数据进行加解密。当运行在办公环境中的应用程序写入移动通讯终端30的文件系统时,加解密模块22使用加密密钥对文件内容进行加密。当运行在办公环境中的应用程序需要读取下载的文件的时候,加解密模块22使用加密密钥对该文件内容进行解密后得到明文数据输出。整个文件的加解密过程对用户来说都是透明且自动完成的。本实施例中,数据安全装置20对运行在办公环境中的应用程序进行透明的文件加解密,所以运行在个人环境中的应用程序是无法通过解密读取在办公环境时已加密的数据,从而实现办公环境和用户个人环境的数据隔离。参照图8,在上述实施例中,生成密钥模块21包括下载单元211,用于当移动通讯终端30访问VPN资源时,从VPN服务器10下载所述移动通讯终端30对应的密钥;计算单元212,用于根据所述密钥和移动通讯终端参数计算加密密钥;所述移动通讯终端参数包括移动通讯终端30的IMEI信息和/或IMSI信息。每次移动通讯终端30访问VPN资源时,下载单元211从VPN服务器10下载一个与此移动通讯终端30的VPN账户相关联的唯一的密钥。计算单元212将下载的密钥与移动通讯终端30的移动通讯终端参数共同生成加密密钥。移动通讯终端参数可以是IMEI信息和/或IMSI信息,或其它可以参与加密密钥计算的移动通讯终端参数。本实施例中,移动通讯终端30每次访问VPN资源时,数据安全装置20根据下载的密钥生成加密密钥,因此即使移动通讯终端30丢失,由于密钥在不断变化,移动通讯终端 30内的数据也不会泄密。参照图9,在上述实施例中,数据安全装置20还包括重定向模块23,用于将写入移动通讯终端30的数据重定向至预设的存储空间,所述预设的存储空间为移动通讯终端30指定空间或与移动通讯终端30连接的存储介质。当运行在办公环境中的应用程序写入移动通讯终端30内文件(本实施例中,这种文件称为虚拟文件)时,写操作首先被重定向模块23拦截,重定向模块23自动将对该文件的写操作重定向到一预设的存储空间(称为真实文件),预设的存储空间可为移动通讯终端30指定空间或与移动通讯终端30连接的存储介质如SD卡,并且使用加密密钥对文件内容进行加密。同时,重定向模块23在该预设的存储空间中保存真实文件与虚拟文件的对应关系数据。当运行在办公环境中应用程序需要读取下载的文件的时候,重定向模块23获取虚拟文件对应的真实文件,将虚拟文件的读操作重定向到对应该预设的存储空间中的真实文件上,并且使用加密密钥对真实文件内容进行解密后得到明文数据输出至上层应用程序。删除虚拟文件时,将会自动删除对应的真实文件和相应的对应关系数据。整个文件重定向、加解密过程对用户来说都是透明且自动完成的。本实施例中,由于数据安全装置20只对运行在办公环境中的应用程序进行透明的重定向,所以运行在个人环境内的应用程序在读写虚拟文件的时候,读写行为首先被数据安全装置20拦截。数据安全装置20不会将文件的读写操作重定向到真实文件,所以应用程序只是对虚拟文件的操作,并不能对真实文件进行操作,无法修改和获取真实文件中的内容,进一步提高了数据的安全性。参照图10,在上述实施例中,数据安全装置20还包括权限控制模块24,用于根据预设的权限规则控制移动通讯终端30对VPN资源的访问。数据安全装置20为用户提供一个办公环境界面,界面上显示了目前安装在移动通讯终端30上的应用程序图标。权限控制模块M可以根据预设的权限规则(通常是VPN 下发的权限规则)来决定是否显示。只有通过点击这些图标运行起来的应用程序(这种应用程序称为在办公环境中运行的应用程序)权限控制模块M才能允许访问VPN内网资源, 但不能访问除分配给用户的VPN内网资源外的其他网络资源。而以其他方式运行的应用程序(这种应用程序称为在个人环境中运行的应用程序)被权限控制模块M禁止访问内网资源。本实施例中,数据安全装置20根据预设的权限规则决定办公环境下哪些应用程序可以使用,哪些应用程序不能使用,以及哪些VPN资源可以访问或不能访问,进一步提高了移动通讯终端30访问数据的安全性。以上所述仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
权利要求
1.一种基于VPN的移动通讯终端安全访问数据的方法,其特征在于,包括当数据安全装置在所述移动通讯终端运行时,所述数据安全装置允许所述移动通讯终端访问内部网络,且禁止所述移动通讯终端访问外部网络;当数据安全装置没有在所述移动通讯终端运行时,虚拟专用网络VPN服务器禁止所述移动通讯终端访问内部网络。
2.如权利要求1所述的基于VPN的移动通讯终端安全访问数据的方法,其特征在于,所述数据安全装置运行包括所述数据安全装置生成加密密钥;根据所述加密密钥对移动通讯终端内数据进行加解密。
3.如权利要求2所述的基于VPN的移动通讯终端安全访问数据的方法,其特征在于,所述数据安全装置生成数据的加密密钥包括当移动通讯终端访问VPN资源时,从VPN服务器下载所述移动通讯终端对应的密钥;根据所述密钥和移动通讯终端参数计算加密密钥;所述移动通讯终端参数包括移动通讯终端的国际移动设备身份码IMEI信息和/或国际移动用户识别码IMSI信息。
4.如权利要求2或3所述的基于VPN的移动通讯终端安全访问数据的方法,其特征在于,在执行所述根据加密密钥对移动通讯终端内数据进行加解密之前,还包括将写入移动通讯终端的数据重定向至预设的存储空间,所述预设的存储空间为移动通讯终端指定空间或与移动通讯终端连接的存储介质。
5.如权利要求1至3中任一项所述的基于VPN的移动通讯终端安全访问数据的方法, 其特征在于,所述数据安全装置运行还包括所述数据安全装置根据预设的权限规则控制移动通讯终端对VPN资源的访问。
6.一种基于VPN的移动通讯终端安全访问数据的系统,其特征在于,包括虚拟专用网络VPN服务器和数据安全装置,所述VPN服务器,用于当所述数据安全装置没有在所述移动通讯终端运行时,禁止所述移动通讯终端访问内部网络;所述数据安全装置,用于允许所述移动通讯终端访问内部网络,且禁止所述移动通讯终端访问外部网络。
7.如权利要求6所述的基于VPN的移动通讯终端安全访问数据的系统,其特征在于,所述数据安全装置包括生成密钥模块,用于生成加密密钥;加解密模块,用于根据所述加密密钥对移动通讯终端内数据进行加解密。
8.如权利要求7所述的基于VPN的移动通讯终端安全访问数据的系统,其特征在于,所述生成密钥模块包括下载单元,用于当移动通讯终端访问VPN资源时,从VPN服务器下载所述移动通讯终端对应的密钥;计算单元,用于根据所述密钥和移动通讯终端参数计算加密密钥;所述移动通讯终端参数包括移动通讯终端的国际移动设备身份码IMEI信息和/或国际移动用户识别码IMSI fn息ο
9.如权利要求7或8所述的基于VPN的移动通讯终端安全访问数据的系统,其特征在于,所述数据安全装置还包括重定向模块,用于将写入移动通讯终端的数据重定向至预设的存储空间,所述预设的存储空间为移动通讯终端指定空间或与移动通讯终端连接的存储介质。
10.如权利要求6至8中任一项所述的基于VPN的移动通讯终端安全访问数据的系统, 其特征在于,所述数据安全装置还包括权限控制模块,用于根据预设的权限规则控制移动通讯终端对VPN资源的访问。
全文摘要
本发明揭示了一种基于VPN的移动通讯终端安全访问数据的方法,包括当数据安全装置在所述移动通讯终端运行时,所述数据安全装置允许所述移动通讯终端访问内部网络,且禁止所述移动通讯终端访问外部网络;当数据安全装置没有在所述移动通讯终端运行时,VPN服务器禁止所述移动通讯终端访问内部网络。本发明还提出了相应的系统。本发明提出的一种基于VPN的移动通讯终端安全访问数据的方法和系统,在移动通讯终端上设置数据安全装置,该数据安全装置结合VPN服务器,使移动通讯终端用户无法在数据安全装置关闭时通过网络将受保护文件发送到外部网络,而运行在数据安全装置上的应用程序也无法通过访问除VPN资源外的网络,将受保护文件发布到外网。
文档编号H04L29/06GK102185846SQ20111010577
公开日2011年9月14日 申请日期2011年4月26日 优先权日2011年4月26日
发明者姜正文, 胡斌, 闻义勇 申请人:深信服网络科技(深圳)有限公司