一种适用于企业级移动应用的安全接入方法
【专利摘要】一种适用于企业级移动应用的安全接入方法,实施步骤为:1)入网许可;2)设备合法性验证;3)用户合法性验证;4)用户访问权限控制。本发明通过企业级移动应用的安全接入方法的实施,有效的防治了身份伪造、中间人挟持、信息窃取、重放攻击、信息篡改等移动应用的入侵手段,并有效了阻断了非法设备、个人或应用接入到企业网络,保障了企业移动应用的安全有效接入。
【专利说明】一种适用于企业级移动应用的安全接入方法
【技术领域】
[0001]本发明适用于企业级移动应用的安全接入,属于移动安全接入【技术领域】。
【背景技术】
[0002]随着我国3G网络和移动互联网的兴起,许多创新型移动应用,如移动办公、移动营销、移动作业等需求日渐强烈。各种各样的移动应用逐渐走入了企业级应用的范畴,一些企业和单位根据自身的业务需要定制了大量的移动应用。但移动应用的安全问题逐渐成为企业不得不面对的关键问题,什么样的应用可以接入?接入的设备合法吗?所有的设备都可以安装企业的应用并接入吗?合法设备如果丢失如何避免非法访问?这一系列问题摆在企业面前。部分企业采用的一些技术手段来保证移动应用接入的安全,有的采用身份验证的方式,有的采用移动终端安装安全助手之类的方法,但这些方法往往存在片面性,黑客可能通过身份伪造、信息窃听、重放攻击、信息篡改等攻击行为来攻克防御从而达到信息窃取、恶意攻击的目的。因此需要一整套企业级移动应用安全接入的解决办法。
[0003]本发明正是在这个背景下产生的,一种适用于企业级移动应用的安全接入方法从客户端到服务端,从设备到用户做到了全方位安全接入防护和管理。将移动应用平台的优势发挥出来,实现移动应用接入的集中管理和全面监控,加强安全防御能力,预防移动应用的身份伪造、信息窃听、重放攻击、信息篡改等黑客攻击行为,解决移动应用办公接入和移动终端安全,减少人力、物力的投入和降低运维难度,提供一条安全可靠的移动办公途径,提高办公与管理效率,满足国家信息安全等级保护、公司等不同层面的安全需求。
【发明内容】
[0004]本发明的目的在于克服移动应用接入安全缺陷,利用入网许可、设备合法性验证、用户合法性验证、用户访问权限控制的技术手段配合目前主流的移动终端(包括:安装了1S、Android、Windows Phone系统的智能终端、PDA、平板电脑)的使用,更加有效地保障移动应用的安全接入。
[0005]一种适用于企业级移动应用的安全接入方法,本发明实现步骤如下:
[0006]1.入网许可
[0007]通过APN接入点,运营商将验证电话号码、SIM卡信息,只有进行APN绑定过的用户才可以使用APN网络,其验证流程如下:
[0008]I)用户通过安装在智能终端上的移动应用门户软件发起APN登录请求;
[0009]2)根据请求中的APN,向运营商DNS服务器发出查询请求,找到与企业服务器平台连接的通道,并将用户请求送到企业网入口 ;
[0010]2.设备合法性认证
[0011]用户进行登录操作时,移动应用门户自动获取终端IMEI信息,随用户登录信息一起提交给服务端,服务端验证设备合法性;如不合法,则提示用户进行设备绑定或拒绝用户登录;其验证流程如下:
[0012]I)移动应用门户自动获取的MEI号,并和用户登录信息一并发送到的管理平台;
[0013]2)管理平台对MEI号和用户登录信息进行合法性验证;
[0014]3)验证通过允许用户登录移动应用门户,否则提示用户进行设备绑定或拒绝用户登录;
[0015]3.用户合法性认证
[0016]管理平台通过AD域验证接口,对移动应用门户提交的用户信息进行验证;AD域验证通过后,动态口令系统根据MEI号、AD域帐号和时间生成动态口令;系统将通过短信方式发送动态口令到用户终端;用户使用收到的动态口令(动态口令的默认有效时间为5分钟)和个人密码进行登录验证;管理平台将用户名和密码送入AD域进行校验;再次校验,将动态口令送入动态口令系统进行校验;验证通过后,进入移动应用门户;否则给用户提示或拒绝登录;其验证流程如下:
[0017]I)管理平台通过AD域验证接口对移动应用门户提交的用户信息进行验证;
[0018]2) AD域验证通过后,动态口令系统根据MEI号、AD域帐号和时间生成动态口令;
[0019]3)系统将通过短信方式发送动态口令到用户终端;
[0020]4)用户使用收到的动态口令(动态口令的默认有效时间为5分钟)和个人密码进行登录验证;
[0021 ] 5)管理平台将用户名和密码送入AD域进行校验再次校验,将动态口令送入动态口令系统进行校验;
[0022]6)验证通过后,进入移动应用门户;否则给用户提示或拒绝登录;
[0023]4.用户访问权限认证
[0024]用户在登录移动应用门户后,选择将要使用的移动应用子系统,还需要输入该移动应用子系统自身的帐号、密码,通过此验证后才能正常使用移动应用子系统;其验证流程如下:
[0025]I)用户进入移动应用门户,针对不同的移动应用子系统输入对应的用户名和密码;
[0026]2)移动应用门户将通过移动安全接入服务层和数据交换层对数据进行转换,再把用户请求提交给各子系统的移动应用子系统服务端进行认证;
[0027]3)移动应用子系统服务端验证通过后,用户可进入移动应用子系统做相关业务处理。
[0028]本发明的有益效果是,通过企业级移动应用的安全接入方法的实施,有效的防治了身份伪造、中间人挟持、信息窃取、重放攻击、信息篡改等移动应用的入侵手段。并有效了阻断了非法设备、个人或应用接入到企业网络,保障了企业移动应用的安全有效接入。
[0029]下面结合附图及实施例进一步阐述本
【发明内容】
。
【专利附图】
【附图说明】
[0030]图1为本发明系统安全架构示意图;
[0031]图2为本发明移动应用门户登录过程流程图;
[0032]图3为本发明移动应用子系统安全验证流程图;
[0033]图4为本发明MEI绑定子流程图。
【具体实施方式】
[0034]见图1,智能终端侧安全控制:由移动应用门户进行终端验证、访问控制、身份认证、使用权限控制,对本地数据进行加密存储。
[0035]运营商侧安全控制:APN入网许可验证,通过运营商的专线直接与企业机房连接,保证移动办公服务器到手机上的连接都是在公司内部网络,保障移动办公的数据在网络传输上的安全;通过APN接入点传输的数据进行加密传输。
[0036]移动应用安全控制:无线移动应用平台部署在企业原有的网络安全架构内(在防火墙之后),保证移动办公服务器在原有网络安全架构下运行,不需要改变原有的网络安全架构。同时与AD域进行集成,通过AD域完成身份验证;通过与SSL服务集成,对移动应用与服务器之间的交互数据进行加密传输。
[0037]内部应用安全控制:为现有业务系统基础上的移动应用子系统服务端(架设在内网),即为核心区。通过与策略路由器集成,控制移动终端只能根据预定策略访问指定的服务地址和端口。
[0038]应用流程:
[0039]根据无线移动应用平台的安全架构和应用流程要求,提出安全访问的应用流程设计,采用入网许可、设备合法、用户合法、权限合法四重验证,详细访问流程设计如下:
[0040]见图1,一种适用于企业级移动应用的安全接入方法,本发明特征是,实施步骤为:
[0041]I)入网许可:通过APN接入点,运营商将验证电话号码、SM卡信息,只有进行APN绑定过的用户才可以使用APN网络;,其验证流程如下:
[0042]a)用户通过安装在智能终端上的移动应用门户软件发起APN登录请求;
[0043]b)根据请求中的APN,向运营商DNS服务器发出查询请求,找到与企业服务器平台连接的通道,并将用户请求送到企业网入口 ;
[0044]2)设备合法性验证:用户进行登录操作时,移动应用门户自动获取终端MEI信息,随用户登录信息一起提交给服务端,服务端验证设备合法性;如不合法,则提示用户进行设备绑定或拒绝用户登录;其验证流程如下:
[0045]a)移动应用门户自动获取的MEI号,并和用户登录信息一并发送到的管理平台;
[0046]b)管理平台对MEI号和用户登录信息进行合法性验证;
[0047]c)验证通过允许用户登录移动应用门户,否则提示用户进行设备绑定或拒绝用户登录;
[0048]3)用户合法性验证:管理平台通过AD域验证接口对移动应用门户提交的用户信息进行验证;AD域验证通过后,动态口令系统根据MEI号、AD域帐号和时间生成动态口令;系统将通过短信方式发送动态口令到用户终端;用户使用收到的动态口令(动态口令的默认有效时间为5分钟)和个人密码进行登录验证;管理平台将用户名和密码送入AD域进行校验再次校验,将动态口令送入动态口令系统进行校验;验证通过后,进入移动应用门户;否则给用户提示或拒绝登录;
[0049]4)用户访问权限控制:用户在登录移动应用门户后,选择将要使用的移动应用子系统,还需要输入该移动应用子系统自身的帐号、密码,通过此验证后才能正常使用移动应用子系统;其验证流程如下:
[0050]a)用户进入移动应用门户,针对不同的移动应用子系统输入对应的用户名和密码;
[0051]b)移动应用门户将通过移动安全接入服务层和数据交换层对数据进行转换,再把用户请求提交给各子系统的移动应用子系统服务端进行认证;
[0052]c)移动应用子系统服务端验证通过后,用户可进入移动应用子系统做相关业务处理。
[0053]移动应用门户登录安全验证流程和移动应用子系统安全验证流程,本部分包括此两流程的流程图和节点说明,另附IMEI绑定子流程及其节点说明。
[0054]图2移动应用门户登录过程流程图,本图描述了用户登录移动应用门户的整个过程,其详细流程节点如下:
【权利要求】
1.一种适用于企业级移动应用的安全接入方法,其特征是,实施步骤为: 1)入网许可:通过APN接入点,运营商将验证电话号码、SM卡信息,只有进行APN绑定过的用户才可以使用APN网络;其验证流程如下: a)用户通过安装在智能终端上的移动应用门户软件发起APN登录请求; b)根据请求中的APN,向运营商DNS服务器发出查询请求,找到与企业服务器平台连接的通道,并将用户请求送到企业网入口 ; 2)设备合法性验证:用户进行登录操作时,移动应用门户自动获取终端MEI信息,随用户登录信息一起提交给服务端,服务端验证设备合法性;如不合法,则提示用户进行设备绑定或拒绝用户登录;其验证流程如下: a)移动应用门户自动获取的MEI号,并和用户登录信息一并发送到的管理平台; b)管理平台对MEI号和用户登录信息进行合法性验证; c)验证通过允许用户登录移动应用门户,否则提示用户进行设备绑定或拒绝用户登录; 3)用户合法性验证:管理平台通过AD域验证接口对移动应用门户提交的用户信息进行验证;AD域验证通过后,动态口令系统根据MEI号、AD域帐号和时间生成动态口令;系统将通过短信方式发送动态口令到用户终端;用户使用收到的动态口令和个人密码进行登录验证;管理平台将用户名和密码送入AD域进行校验;再次校验,将动态口令送入动态口令系统进行校验;验证通过后,进入移动应用门户;否则给用户提示或拒绝登录; 4)用户访问权限控制:用户在登录移动应用门户后,选择将要使用的移动应用子系统,还需要输入该移动应用子系统自身的帐号、密码,通过此验证后才能正常使用移动应用子系统;其验证流程如下: a)用户进入移动应用门户,针对不同的移动应用子系统输入对应的用户名和密码; b)移动应用门户将通过移动安全接入服务层和数据交换层对数据进行转换,再把用户请求提交给各子系统的移动应用子系统服务端进行认证; c)移动应用子系统服务端验证通过后,用户可进入移动应用子系统做相关业务处理。
【文档编号】H04L29/06GK104202338SQ201410491950
【公开日】2014年12月10日 申请日期:2014年9月23日 优先权日:2014年9月23日
【发明者】樊凯, 陈能, 余琳, 张劲松, 梁志宏, 肖巧, 郭俊岭, 杨宏焱, 黄文明 申请人:中国南方电网有限责任公司, 云南云电同方科技有限公司