本发明专利技术公开一种移动终端安全接入平台,包括移动终端主机行为控制系统、移动终端安全检查模块、移动终端入网认证模块、移动终端安全通信模块和移动终端安全接入网关。本发明专利技术不依赖于网络接入方式,可以在任意基础网络上部署,而且可以实现端到端的安全保护;安全级别高,对终端站点间所有传输数据进行保护,而不管是哪类网络应用;平台在事实上将远程客户端“置于”企业内部网,使远程客户端拥有内部网用户一样的权限和操作功能。
【技术实现步骤摘要】
【专利摘要】本专利技术公开一种移动终端安全接入平台,包括移动终端主机行为控制系统、移动终端安全检查模块、移动终端入网认证模块、移动终端安全通信模块和移动终端安全接入网关。本专利技术不依赖于网络接入方式,可以在任意基础网络上部署,而且可以实现端到端的安全保护;安全级别高,对终端站点间所有传输数据进行保护,而不管是哪类网络应用;平台在事实上将远程客户端“置于”企业内部网,使远程客户端拥有内部网用户一样的权限和操作功能。【专利说明】一种移动终端安全接入平台
本专利技术涉及一种移动终端安全接入平台,尤其涉及的是移动终端接入内网时的一种认证、加密及访问控制等安全加固的实现。
技术介绍
对现有技术中的VPN技术进行分析如下:1、IPSec VPNIPSec安全协议是一个范围广泛、开放的虚拟专用网安全协议。基于IPSec的VPN不依赖于网络接入方式,它可以在任意基础网络上部署,而且可以实现端到端的安全保护。但IPSec VPN有一些局限性:①需要安装客户端软件,存在大量的安装、培训、升级、管理等工作,无形增加了用户的使用成本。②接入设备支持的种类少,以Desktop PC和Notebook PC为主,对手机、PDA、MAC、移动终端等设备的支持有局限性。③存在一些技术问题,如:NAT穿透、私有地址冲突等。④由于IPSec是网络层协议,安全隧道一旦建立,可以访问所有内部资源,存在一定的安全隐患。2、SSL VPNSSL VPN是以HTTPS为基础的VPN技术,工作在传输层和应用层之间。SSL VPN充分利用了 SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,可以为应用层之间的通信建立安全连接。但由于SSL VPN是基于Web浏览器的,可以很好的支持B/S应用,但对于C/S的应用支持不完善,由于很多企业C/S应用比较多,SSL VPN的使用受到了很大程度的限制。
技术实现思路
专利技术目的:针对现有技术中存在的问题,本专利技术提供一种基于虚拟化技术,使用安全通信协议,能够支持C/S应用的移动终端安全接入平台。所述平台不依赖于网络接入方式,可以在任意基础网络上部署,而且可以实现端到端的安全保护;安全级别高,对终端站点间所有传输数据进行保护,而不管是哪类网络应用;平台在事实上将远程客户端“置于”企业内部网,使远程客户端拥有内部网用户一样的权限和操作功能。技术方案:一种移动终端安全接入平台,它的系统架构包括:移动终端主机行为控制系统、移动终端安全检查模块、移动终端入网认证模块、移动终端安全通信模块和移动终端安全接入网关。1、移动终端主机行为控制系统 移动终端主机行为控制系统基于强制运行控制(MRC)技术,提供三级安全保护:普通级安全保护、专业级安全保护和强制级安全保护;所述普通级安全保护适于个人自由使用,不涉及敏感信息,能够有限阻止有特征的非法侵害,可以与其它防护软件配合使用;专业级安全保护适于具有一定信息安全基础的专业人员使用,除具有普通级的防护功能外,允许用户自行放行或阻止非信任进程;强制级保护仅允许运行规定的应用系统和访问特定的网页资源,对于规定以外的其它进程一律阻止;管理员可以根据具体应用系统的安全等级采取不同级别的保护,保证移动终端的安全接入。对于存储在终端上的重要数据,主机行为控制系统还提供加密保护,保证数据即使被拿走也看不懂,有效防止内网敏感信息的泄密。2、移动终端安全检查模块 移动终端访问内网资源前,需进行终端安全性检查,不符合检查策略的终端将禁止访问内网资源。安全检查模块对终端的操作系统版本、系统的补丁版本、系统的启动项、特殊位置的磁盘文件等进行严格检查,根据检查策略,安全接入网关在处理终端接入时,会先检查移动终端上是否具备上述一项或几项特征参数,依据检查结果判断是否允许该终端与安全接入网关建立安全隧道,同时判断出该终端的某些特征是否存在伪造信息,彻底杜绝不健康终端接入内网网络,确保移动终端接入的安全,从源头杜绝威胁。3、移动终端入网认证模块 实现在移动终端上增加入网认证模块,将权威机构签发的数字证书存放在具有安全加密功能和身份认证功能的硬件认证卡中,并为每一个外出办公的员工配备相应的硬件认证卡。移动终端在接入企业内网之前必须进行由硬件认证卡和内网CA认证服务器共同保证的身份认证,实现只有通过入网认证的终端才可以接入到企业内网中,防止接入的移动终端是被伪造过的非法用户。4、移动终端安全通信模块 移动终端安全通信模块的功能是使用安全通信协议与移动终端安全接入网关建立安全通道,保证传输数据的安全。安全通信模块通过与接入网关进行密钥交换算法、数据加密算法以及数据完整性检查算法的协商、客户端和服务端的双向认证以及确定会话密钥,建立安全通道,防止数据在传输过程中被窃听、篡改、破坏、插入重放攻击,保证数据传输的安全。5、移动终端安全接入网关 移动终端安全接入网关是安全接入平台的核心之一,负责建立安全通道和对用户进行访问控制,能够保证接入传输的安全和内部被访问的应用系统的安全。移动终端通过安全通信协议与安全接入网关建立安全通道,对传送的数据进行加密,防止数据在传送的过程中被截获、篡改和破坏。同时,安全接入网关还可以对移动终端的身份进行身份认证,保证终端的可信性。安全接入网关还能够保证用户在连入内网的同时断开与公网的连接,防止移动终端出现“一机两网”的情况,保证移动终端与企业内网之间的通信具有与企业内网同样的安全性。安全接入网关能够提供多种认证方式验证用户的身份,除了支持传统的Radius、AD、LDAP等认证方式外,还支持本地用户库、动态口令和数字证书等认证方式。对于不同安全域的用户,安全接入网关能够根据相应的规则对用户的访问权限进行控制,赋予用户最小的特权,保证用户只能访问与其自身的角色和权限相对应的内部资源,保证内部应用系统的安全。有益效果:与现有技术相比,本专利技术提供的移动终端安全接入平台具有如下优1.与现有的VPN产品相比,将信息安全防护划分为应用服务器安全、传输通道安全和终端安全三个主体进行理论研究和技术实现,与使平台的目的性更为明确。2.与现有的VPN产品使用标准通讯协议不同,本专利技术使用新型的安全网络协议,该协议配套了用户认证模式、密钥协商方式及国产加密算法,弥补了多项SSL/TLS通讯协议的安全隐患。3.根据电力企业信息网络的特点与应用系统的现状,及电力信息安全等级保护的要求,针对电力企业内部不同业务应用的需求,拥有针对移动办公安全接入、营销业务系统缴费终端安全接入的完整的技术体系和解决方案。4.平台的实现不需要改变网络结构,不需要修改防火墙配置和修改终端用户的配置。【专利附图】【附图说明】图1为本专利技术实施例移动终端安全接入平台系统架构图;图2为本专利技术实施例安全通信协议流程图;图3为本专利技术实施例的拓扑图。【具体实施方式】下面结合具体实施例,进一步阐明本专利技术,应理解这些实施例仅用于说明本专利技术而不用于限制本专利技术的范围,在阅读了本专利技术之后,本领域技术人员对本专利技术的各种等价形式的修改均落于本申请所附权利要求所限定的范围。如图1所示,移动终端安全接入平台,它的系统架构包括:移动终端主机行为控制系统、移动终端安全检查模块、移动终端入网认证模块、移动终端安全通信模块和移动终端安全接入网关。1、本文档来自技高网...
【技术保护点】
一种移动终端安全接入平台,其特征在于:包括移动终端主机行为控制系统、移动终端安全检查模块、移动终端入网认证模块、移动终端安全通信模块和移动终端安全接入网关。
【技术特征摘要】
【专利技术属性】
技术研发人员:吴克河,陈飞,崔文超,
申请(专利权)人:江苏华大天益电力科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。