移动终端访问企业内网服务器的方法和系统技术方案

本发明专利技术公开了一种移动终端访问企业内网服务器的方法和系统，所述方法包括：移动终端根据用户输入的企业内网服务器的登录指令，在确认与企业内网服务器建立的VPDN网络通道中建立了VPN网络通道后，向PKI认证服务器发送携带USB-KEY的认证请求，向移动终端认证服务器发送携带MEID号的认证请求；移动终端在确认PKI认证服务器以及移动终端认证服务器返回的认证通过信息中携带的用户身份信息一致后，向企业内网服务器发送携带有用户身份信息的登录请求；企业内网服务器确定登录请求中的用户身份信息所对应的权限后，为用户开放对应用户身份信息的权限内的内网资源。应用本发明专利技术，可以提高访问企业内部网的安全性。

【技术实现步骤摘要】
移动终端访问企业内网服务器的方法和系统
本专利技术涉及移动终端技术，尤其涉及一种移动终端访问企业内网服务器的方法和系统。
技术介绍
随着科技的不断发展，数字化越来越深入生活，包括手机、平板电脑等在内的移动终端已然成为人们日常生活中的必需品，同时移动终端也因其便携性突破了固定范围内的、基于个人电脑的互联网服务，用户不但可以使用移动终端通过3G、4G网络、以及移动互联网登录主流网站的移动客户端进行网上冲浪，还可以通过VPN(VirtualPrivateNetwork，虚拟专用网络)技术访问企业内部网进行网上办公。但是，在用户享受便利的同时，企业内部网也面临着安全方面挑战：由于网络传输隧道一旦建立，移动终端可以访问企业内部网内部网的全部资源，可能会出现泄密或是非法篡改等严重的安全问题。基于上述原因，提出了一种基于用户授权、访问控制系统的框架的移动终端访问企业内部网的方法，具体地，由企业内部网安全管理员签发用户角色文件作为用户身份证书，用户预先在移动终端中存储该证书，访问企业内部网时向服务器发送携带有身份证书的验证请求，服务器对证书进行验证，验证通过后，移动终端可以访问企业内部网。然而，上述方法中，由于安全管理员签发的用户角色文件的有效期通常较短，用户需要定期将新的文件的存储在移动终端中，并且，该方法仅对用户身份进行单次验证，假如该用户角色文件被非法盗取，盗取者可通过任一移动终端访问企业内部网。因此有必要提出一种安全性更高的访问企业内网服务器的方法。
技术实现思路
本专利技术实施例提供了一种移动终端访问企业内网服务器的方法和系统，用以提高访问的安全性。根据本专利技术的一个方面，提供了一种移动终端访问企业内网服务器的方法，包括：移动终端根据用户输入的所述企业内网服务器的登录指令，在确认与所述企业内网服务器建立了VPDN网络通道、在所述VPDN网络通道中建立了VPN网络通道后，向PKI认证服务器发送携带USB-KEY的认证请求，向移动终端认证服务器发送携带本移动终端的MEID号的认证请求；所述移动终端在确认所述PKI认证服务器以及所述移动终端认证服务器返回的认证通过信息中携带的用户身份信息一致后，向所述企业内网服务器发送携带有所述用户身份信息的登录请求；所述企业内网服务器确定所述登录请求中的用户身份信息所对应的权限后，为所述用户开放所述权限内的内网资源。进一步，在确认与所述企业内网服务器建立了VPDN网络通道、在所述VPDN网络通道中建立了VPN网络通道之前，还包括：所述移动终端检测是否与所述企业内网服务器建立了VPDN网络通道；若否，则建立与所述企业内网服务器之间的VPDN网络通道；若移动终端检测与所述企业内网服务器建立了VPDN网络通道，则进一步检测是否建立了VPN网络通道；若检测没有建立VPN网络通道，则在所述VPDN网络通道中建立所述VPN网络通道。进一步，在所述建立与所述企业内网服务器之间的VPDN网络通道具体包括：所述移动终端根据所述企业内网服务器的VPDN号码发送拨号请求；移动接入网中的GGSN根据接收的拨号请求向预先建立的所述GGSN与所述企业内网服务器之间的L2TP隧道发送隧道请求；所述企业内网服务器接收到所述隧道请求后与所述移动终端建立PPP连接；所述移动终端通过所述PPP连接向AAA认证服务器发送携带本移动终端的SIM卡号的认证请求；在认证通过后，所述AAA认证服务器向所述移动终端返回携带用户身份信息的认证通过信息，以及为用户分配的使用所述VPDN网络通道的IP地址。进一步，在所述向所述企业内网服务器发送携带有所述用户身份信息的登录请求之前，还包括：所述移动终端确认所述AAA认证服务器返回的认证通过信息中的用户身份信息与所述PKI认证服务器以及所述移动终端认证服务器返回的认证通过信息中的用户身份信息一致。根据本专利技术的另一个方面，还提供了一种移动终端访问企业内网服务器的系统，包括：移动终端、企业内网服务器、PKI认证服务器、移动终端认证服务器；其中，所述移动终端用于根据用户输入的所述企业内网服务器的登录指令，在确认与所述企业内网服务器建立了VPDN网络通道、在所述VPDN网络通道中建立了VPN网络通道后，向PKI认证服务器发送携带USB-KEY的认证请求，向移动终端认证服务器发送携带本移动终端的MEID号的认证请求；并在确认所述PKI认证服务器以及所述移动终端认证服务器返回的认证通过信息中携带的用户身份信息一致后，向所述企业内网服务器发送携带有所述用户身份信息的登录请求；所述企业内网服务器确定所述登录请求中的用户身份信息所对应的权限后，为所述用户开放所述权限内的内网资源。较佳地，所述移动终端还用于在确认与所述企业内网服务器建立了VPDN网络通道、在所述VPDN网络通道中建立了VPN网络通道之前，检测是否与所述企业内网服务器建立了VPDN网络通道；若否，则建立与所述企业内网服务器之间的VPDN网络通道；若检测与所述企业内网服务器建立了VPDN网络通道，则进一步检测是否建立了VPN网络通道；若检测没有建立VPN网络通道，则在所述VPDN网络通道中建立所述VPN网络通道。较佳地，AAA认证服务器，用于在所述移动终端建立与所述企业内网服务器之间的VPDN网络通道的过程中，接收到携带所述移动终端的SIM卡号的认证请求后，若对接收的认证请求认证通过，则向所述移动终端返回携带用户身份信息的认证通过信息，以及为用户分配的使用所述VPDN网络通道的IP地址；以及所述移动终端还用于确认所述AAA认证服务器返回的认证通过信息中的用户身份信息与所述所述PKI认证服务器以及所述移动终端认证服务器返回的认证通过信息中的用户身份信息一致后，向所述企业内网服务器发送携带有所述用户身份信息的登录请求。较佳地，注册服务器，用于接收用户的注册信息，包括：用户身份信息、SIM卡号、移动终端的MEID号、USB-KEY；并将所述用户身份信息对应所述SIM卡号传输至所述AAA认证服务器；将所述用户身份信息对应所述移动终端的MEID号传输至所述移动终端认证服务器；将所述用户身份信息对应所述USB-KEY传输至PKI认证服务器；以及所述系统还包括：设置于所述企业内网服务器与移动接入网之间的隔离网闸。根据本专利技术的另一个方面，还提供了一种移动终端，包括：指令接收模块、通道检测模块、认证请求模块、登录模块；其中，指令接收模块，用于接收到企业内网服务器的登录指令后，发送通道检测通知；通道检测模块，用于接收到所述通道检测通知后，在检测确认与所述企业内网服务器建立了VPDN网络通道、在所述VPDN网络通道中建立了VPN网络通道后，发送认证请求通知；认证请求模块，用于接收到所述认证请求通知后，向PKI认证服务器发送携带USB-KEY的认证请求，向移动终端认证服务器发送携带本移动终端的MEID号的认证请求；在确认所述PKI认证服务器以及所述移动终端认证服务器返回的认证通过信息中携带的用户身份信息一致后，发送登录通知；登录模块，用于接收到所述登录通知后，向所述企业内网服务器发送携带有所述用户身份信息的登录请求；并在接收到返回的确认信息后，登录所述企业内网服务器。较佳地，通道建立模块，用于接收到通道建立指令后，建立与所述企业内网服务器之间本文档来自技高网...

【技术保护点】
一种移动终端访问企业内网服务器的方法，其特征在于，包括：移动终端根据用户输入的所述企业内网服务器的登录指令，在确认与所述企业内网服务器建立了VPDN网络通道、在所述VPDN网络通道中建立了VPN网络通道后，向PKI认证服务器发送携带USB?KEY的认证请求，向移动终端认证服务器发送携带本移动终端的MEID号的认证请求；所述移动终端在确认所述PKI认证服务器以及所述移动终端认证服务器返回的认证通过信息中携带的用户身份信息一致后，向所述企业内网服务器发送携带有所述用户身份信息的登录请求；所述企业内网服务器确定所述登录请求中的用户身份信息所对应的权限后，为所述用户开放所述权限内的内网资源。

【技术特征摘要】
1.一种移动终端访问企业内网服务器的方法，其特征在于，包括：移动终端根据用户输入的所述企业内网服务器的登录指令，在确认与所述企业内网服务器建立了VPDN网络通道、在所述VPDN网络通道中建立了VPN网络通道后，向PKI认证服务器发送携带USB-KEY的认证请求，向移动终端认证服务器发送携带本移动终端的MEID号的认证请求；所述移动终端在确认所述PKI认证服务器以及所述移动终端认证服务器返回的认证通过信息中携带的用户身份信息一致后，向所述企业内网服务器发送携带有所述用户身份信息的登录请求；所述企业内网服务器确定所述登录请求中的用户身份信息所对应的权限后，为所述用户开放所述权限内的内网资源。2.如权利要求1所述的方法，其特征在于，在确认与所述企业内网服务器建立了VPDN网络通道、在所述VPDN网络通道中建立了VPN网络通道之前，还包括：所述移动终端检测是否与所述企业内网服务器建立了VPDN网络通道；若否，则建立与所述企业内网服务器之间的VPDN网络通道；若移动终端检测与所述企业内网服务器建立了VPDN网络通道，则进一步检测是否建立了VPN网络通道；若检测没有建立VPN网络通道，则在所述VPDN网络通道中建立所述VPN网络通道。3.如权利要求2所述的方法，其特征在于，所述建立与所述企业内网服务器之间的VPDN网络通道具体包括：所述移动终端根据所述企业内网服务器的VPDN号码发送拨号请求；移动接入网中的GGSN根据接收的拨号请求向预先建立的所述GGSN与所述企业内网服务器之间的L2TP隧道发送隧道请求；所述企业内网服务器通过L2TP隧道接收到所述隧道请求后与所述移动终端建立PPP连接；所述移动终端通过其与AAA认证服务器的PPP连接向AAA认证服务器发送携带本移动终端的SIM卡号的认证请求；在认证通过后，所述AAA认证服务器向所述移动终端返回携带用户身份信息的认证通过信息，以及为用户分配的使用所述VPDN网络通道的IP地址。4.如权利要求3所述的方法，其特征在于，在所述向所述企业内网服务器发送携带有所述用户身份信息的登录请求之前，还包括：所述移动终端确认所述AAA认证服务器返回的认证通过信息中的用户身份信息与所述PKI认证服务器以及所述移动终端认证服务器返回的认证通过信息中的用户身份信息一致。5.一种移动终端访问企业内网服务器的系统，其特征在于，包括：移动终端、企业内网服务器、PKI认证服务器、移动终端认证服务器；其中，所述移动终端用于根据用户输入的所述企业内网服务器的登录指令，在确认与所述企业内网服务器建立了VPDN网络通道、在所述VPDN网络通道中建立了VPN网络通道后，向PKI认证服务器发送携带USB-KEY的认证请求，向移动终端认证服务器发送携带本移动终端的MEID号的认证请求；并在确认所述PKI认证服务器以及所述移动终端认证服务器返回的认证通过信息中携带的用户身份信息一致后，向所述企业内网服务器发送携带有所述用户身份信息的登录请求；所述企业内网服务器确定所述登录请求中的用户身份信息所对应的权限后，为所述用户开放所述权限内的内网资源。6.如权利要求5所述的系统，其特征在于，所述移动终端还用于在确认与所述企...

【专利技术属性】
技术研发人员：吴卫荣，徐华，李志雄，金辉，陈正中，马德强，王非，吴瑜，宋永华，史劲，舒张智，杨珍琪，
申请(专利权)人：中国电子科技集团公司第十五研究所，
类型：发明
国别省市：