一种移动办公通信方法及系统技术方案

本发明专利技术公开了一种移动办公通信方法及系统，所述方法包括：接收安全管理中心的管理策略；所述管理策略包括移动终端白名单；接受记录于移动终端白名单中的移动终端的通信请求，向所述移动终端收集身份信息；将所述移动终端上传的身份信息发送至所述安全管理中心进行身份认证；当所述安全管理中心确认所述移动终端对应的身份信息属实后，与所述移动终端建立I PSec隧道；通过所述I PSec隧道与所述移动终端进行数据交换。采用本发明专利技术提供移动办公通信方法及系统实施例，能有效解决现有技术中移动办公安全性低、访问速率低的问题。访问速率低的问题。访问速率低的问题。

【技术实现步骤摘要】
一种移动办公通信方法及系统


[0001]本专利技术涉及移动办公领域，尤其涉及一种移动办公通信方法及系统。

技术介绍

[0002]移动化办公打破了传统有线网络边界的束缚，提高了工作效率、简化了工作流，给企事业单位带来了诸多便利。但企事业单位数据向移动终端设备延伸，不仅给设备、系统维护和管理带来了新挑战，同时也使企事业单位数据安全、信息安全暴露于新的隐患中。
[0003]因此，移动办公与公司内网办公相比，主要存在以下问题：
[0004]安全性问题：公司内网办公场景下，因为数据都是在内网流通，数据身安全性比较可控。而移动办公场景下，移动办公人员直接从外部访问企业内部数据，数据安全性容易受到威胁。就目前来说，现场监测用的无线接入设备单纯采用运营商APN专线进行安全防护，无法覆盖公用通信网络传输要求的安全措施，不能对接入终端进行身份认证，无法对终端的权限进行细粒度的划分。
[0005]访问速率问题：公司内网办公场景下，内网访问内部服务通常是高效访问的，访。但是在移动办公场景下，由于地址和网络的不确定性，跨网跨地区带来的网络不稳定影响非常大。

技术实现思路

[0006]本专利技术实施例提供一种移动办公通信方法及系统，能有效解决现有技术中移动办公安全性低、访问速率低的问题。
[0007]为实现上述目的，本申请实施例的第一方面提供了一种本申请实施例的第一方面提供了一种，所述方法包括：
[0008]接收安全管理中心的管理策略；所述管理策略包括移动终端白名单；
[0009]接受记录于移动终端白名单中的移动终端的通信请求，向所述移动终端收集身份信息；
[0010]将所述移动终端上传的身份信息发送至所述安全管理中心进行身份认证；
[0011]当所述安全管理中心确认所述移动终端对应的身份信息属实后，与所述移动终端建立IPSec隧道；
[0012]通过所述IPSec隧道与所述移动终端进行数据交换。
[0013]在第一方面的一种可能的实现方式中，所述与所述移动终端建立IPSec隧道，具体包括：
[0014]向所述移动终端确认工作密钥，建立ISAKMP SA；所述移动终端的贴芯卡含有密钥库，所述密钥库包括所述工作密钥和会话密钥；
[0015]根据所述ISAKMP SA，建立IPSEC SA，确定与所述移动终端通讯的IPSEC安全策略和会话密钥。
[0016]在第一方面的一种可能的实现方式中，在所述通过所述IPSec隧道与所述移动终
端进行数据交换之后，还包括：
[0017]收集所述安全终端的操作行为、安全状况、和异常状况并整合成日志数据包；
[0018]将所述日志数据包上传至所述安全管理中心；
[0019]所述安全管理中心根据所述日志数据包生成操作行为日志、安全事件日志、异常事件日志。
[0020]在第一方面的一种可能的实现方式中，在所述通过所述IPSec隧道与所述移动终端进行数据交换之前，还包括：
[0021]与所述移动终端的贴芯卡一同采用加密算法对所述IPSec隧道形成的信道进行加密保护；所述加密算法包括非对称密码算法、对称密码算法、密码杂凑算法和随机数生成算法。
[0022]本申请实施例的第二方面提供了一种移动办公系统，所述系统包括：安全管理中心、安全网关和含有贴芯卡的移动终端；
[0023]所述安全管理中心布置于中心机房，用于下发管理策略以及对所述移动终端进行身份认证；
[0024]所述安全网关布置于和所述安全管理中心同一局域网下，所述安全网关的上行接入中心机房，与安全管理中心相连，所述安全网关的下行与外网连接；所述安全网关可以执行上述移动办公通信方法；
[0025]所述移动终端通过外网与所述安全网关通信连接，在接入移动办公系统之前需要通过所述安全管理中心认证进入移动终端白名单。
[0026]在第一方面的一种可能的实现方式中，所述安全管理中心具有日志审计模块，用于记录移动终端所有的系统事件；日志审计模块中的日志按照所述系统事件种类进行分类，分别为操作行为日志、安全事件日志、异常事件日志。
[0027]相比于现有技术，本专利技术实施例提供的一种移动办公通信方法及系统，采用安全管理中心，对从外网接入的移动终端进行身份识别、接入授权，采用双重认证避免未授权或未经过身份认证协的终端接入网络，同时采用国家密码管理局审批的算法，对建立的IPSec隧道进行安全保护。由于IPSec隧道专属于移动办公系统，中间避免访问很多不必要的路由节点，在访问速率也有一定保障。本专利技术在减少了无必要的有线线缆建设投入同时也提高了移动办公系统传输的安全性。
附图说明
[0028]图1是本专利技术一实施例提供的一种移动办公通信方法的流程示意图；
[0029]图2是本专利技术一实施例提供的一种移动办公通信系统的结构示意图。
具体实施方式
[0030]下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0031]请参见图1，本专利技术一实施例提供了一种移动办公通信方法，所述方法包括：
[0032]S10、接收安全管理中心的管理策略；所述管理策略包括移动终端白名单。
[0033]S11、接受记录于移动终端白名单中的移动终端的通信请求，向所述移动终端收集身份信息。
[0034]S12、将所述移动终端上传的身份信息发送至所述安全管理中心进行身份认证。
[0035]S13、当所述安全管理中心确认所述移动终端对应的身份信息属实后，与所述移动终端建立IPSec隧道。
[0036]S14、通过所述IPSec隧道与所述移动终端进行数据交换。
[0037]需要说明的是，本实施例提供的移动办公通信方法应用于安全管理中心连接的安全网关上。安全网关可以布置于有线局域网环境中，也可以布置于无线局域网中，安全网关的上行通过光纤专线接入中心机房，与安全管理中心相连，接收安全管理中心的管理策略。
[0038]在本实施例中，安全管理中心负责管理安全网关的运行策略以及保存移动终端白名单、移动终端对应用户的身份信息。
[0039]在实际应用中，可以优先选择基于安全芯片的贴芯卡作为密码识别设备，此类贴芯卡厚度多为0.18mm左右，粘贴在手机SIM卡上，为手机等移动智能设备提供高速的密码运算，可以满足应用数据的签名/验签、加密/解密等要求，保证传输信息的机密性、完整性和有效性，同时提供安全、完善的密钥管理机制。贴芯卡内含的可定制化智能卡操作系统(NPCOS)符合国家密码管理局相关规范要求，密码应用可通过调用贴芯卡提供的标准接口函数来使用贴芯卡的密码服务。
[0040]同时，采用身份令牌的硬件身份认证机制使得只有指定人员使用指定账号及指定设备本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种移动办公通信方法，其特征在于，所述方法包括：接收安全管理中心的管理策略；所述管理策略包括移动终端白名单和身份认证策略；接受记录于移动终端白名单中的移动终端的通信请求，根据所述身份认证策略向所述移动终端收集身份信息；将所述移动终端上传的身份信息发送至所述安全管理中心进行身份认证；当所述安全管理中心确认所述移动终端对应的身份信息属实后，与所述移动终端建立IPSec隧道；通过所述IPSec隧道与所述移动终端进行数据交换。2.如权利要求1所述的一种移动办公通信方法，其特征在于，所述与所述移动终端建立IPSec隧道，具体包括：向所述移动终端确认工作密钥，建立ISAKMP SA；所述移动终端的贴芯卡含有密钥库，所述密钥库包括所述工作密钥和会话密钥；根据所述ISAKMP SA，建立IPSEC SA，确定与所述移动终端通讯的IPSEC安全策略和会话密钥。3.如权利要求1所述的一种移动办公通信方法，其特征在于，在所述通过所述IPSec隧道与所述移动终端进行数据交换之后，还包括：收集所述安全终端的操作行为、安全状况、和异常状况并整合成日志数据包；将所述日志数据包上传至所述安全管理中心；所述安全管理中心根据所述日志数据包生成操作行为日...

【专利技术属性】
技术研发人员：彭庆良，郑聪毅，何宇坤，
申请(专利权)人：广东纬德信息科技股份有限公司，
类型：发明
国别省市：