CN103581184B - 移动终端访问企业内网服务器的方法和系统 - Google Patents
移动终端访问企业内网服务器的方法和系统 Download PDFInfo
- Publication number
- CN103581184B CN103581184B CN201310533208.5A CN201310533208A CN103581184B CN 103581184 B CN103581184 B CN 103581184B CN 201310533208 A CN201310533208 A CN 201310533208A CN 103581184 B CN103581184 B CN 103581184B
- Authority
- CN
- China
- Prior art keywords
- mobile terminal
- server
- corporate intranet
- certification
- authentication server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种移动终端访问企业内网服务器的方法和系统,所述方法包括:移动终端根据用户输入的企业内网服务器的登录指令,在确认与企业内网服务器建立的VPDN网络通道中建立了VPN网络通道后,向PKI认证服务器发送携带USB‑KEY的认证请求,向移动终端认证服务器发送携带MEID号的认证请求;移动终端在确认PKI认证服务器以及移动终端认证服务器返回的认证通过信息中携带的用户身份信息一致后,向企业内网服务器发送携带有用户身份信息的登录请求;企业内网服务器确定登录请求中的用户身份信息所对应的权限后,为用户开放对应用户身份信息的权限内的内网资源。应用本发明,可以提高访问企业内部网的安全性。
Description
技术领域
本发明涉及移动终端技术,尤其涉及一种移动终端访问企业内网服务器的方法和系统。
背景技术
随着科技的不断发展,数字化越来越深入生活,包括手机、平板电脑等在内的移动终端已然成为人们日常生活中的必需品,同时移动终端也因其便携性突破了固定范围内的、基于个人电脑的互联网服务,用户不但可以使用移动终端通过3G、4G网络、以及移动互联网登录主流网站的移动客户端进行网上冲浪,还可以通过VPN(Virtual Private Network,虚拟专用网络)技术访问企业内部网进行网上办公。
但是,在用户享受便利的同时,企业内部网也面临着安全方面挑战:由于网络传输隧道一旦建立,移动终端可以访问企业内部网内部网的全部资源,可能会出现泄密或是非法篡改等严重的安全问题。
基于上述原因,提出了一种基于用户授权、访问控制系统的框架的移动终端访问企业内部网的方法,具体地,由企业内部网安全管理员签发用户角色文件作为用户身份证书,用户预先在移动终端中存储该证书,访问企业内部网时向服务器发送携带有身份证书的验证请求,服务器对证书进行验证,验证通过后,移动终端可以访问企业内部网。
然而,上述方法中,由于安全管理员签发的用户角色文件的有效期通常较短,用户需要定期将新的文件的存储在移动终端中,并且,该方法仅对用户身份进行单次验证,假如该用户角色文件被非法盗取,盗取者可通过任一移动终端访问企业内部网。因此有必要提出一种安全性更高的访问企业内网服务器的方法。
发明内容
本发明实施例提供了一种移动终端访问企业内网服务器的方法和系统,用以提高访问的安全性。
根据本发明的一个方面,提供了一种移动终端访问企业内网服务器的方法,包括:
移动终端根据用户输入的所述企业内网服务器的登录指令,在确认与所述企业内网服务器建立了VPDN网络通道、在所述VPDN网络通道中建立了VPN网络通道后,向PKI认证服务器发送携带USB-KEY的认证请求,向移动终端认证服务器发送携带本移动终端的MEID号的认证请求;
所述移动终端在确认所述PKI认证服务器以及所述移动终端认证服务器返回的认证通过信息中携带的用户身份信息一致后,向所述企业内网服务器发送携带有所述用户身份信息的登录请求;
所述企业内网服务器确定所述登录请求中的用户身份信息所对应的权限后,为所述用户开放所述权限内的内网资源。
进一步,在确认与所述企业内网服务器建立了VPDN网络通道、在所述VPDN网络通道中建立了VPN网络通道之前,还包括:
所述移动终端检测是否与所述企业内网服务器建立了VPDN网络通道;若否,则建立与所述企业内网服务器之间的VPDN网络通道;
若移动终端检测与所述企业内网服务器建立了VPDN网络通道,则进一步检测是否建立了VPN网络通道;若检测没有建立VPN网络通道,则在所述VPDN网络通道中建立所述VPN网络通道。
进一步,在所述建立与所述企业内网服务器之间的VPDN网络通道具体包括:
所述移动终端根据所述企业内网服务器的VPDN号码发送拨号请求;
移动接入网中的GGSN根据接收的拨号请求向预先建立的所述GGSN与所述企业内网服务器之间的L2TP隧道发送隧道请求;
所述企业内网服务器接收到所述隧道请求后与所述移动终端建立PPP连接;
所述移动终端通过所述PPP连接向AAA认证服务器发送携带本移动终端的SIM卡号的认证请求;
在认证通过后,所述AAA认证服务器向所述移动终端返回携带用户身份信息的认证通过信息,以及为用户分配的使用所述VPDN网络通道的IP地址。
进一步,在所述向所述企业内网服务器发送携带有所述用户身份信息的登录请求之前,还包括:
所述移动终端确认所述AAA认证服务器返回的认证通过信息中的用户身份信息与所述PKI认证服务器以及所述移动终端认证服务器返回的认证通过信息中的用户身份信息一致。
根据本发明的另一个方面,还提供了一种移动终端访问企业内网服务器的系统,包括:移动终端、企业内网服务器、PKI认证服务器、移动终端认证服务器;其中,
所述移动终端用于根据用户输入的所述企业内网服务器的登录指令,在确认与所述企业内网服务器建立了VPDN网络通道、在所述VPDN网络通道中建立了VPN网络通道后,向PKI认证服务器发送携带USB-KEY的认证请求,向移动终端认证服务器发送携带本移动终端的MEID号的认证请求;并
在确认所述PKI认证服务器以及所述移动终端认证服务器返回的认证通过信息中携带的用户身份信息一致后,向所述企业内网服务器发送携带有所述用户身份信息的登录请求;
所述企业内网服务器确定所述登录请求中的用户身份信息所对应的权限后,为所述用户开放所述权限内的内网资源。
较佳地,所述移动终端还用于在确认与所述企业内网服务器建立了VPDN网络通道、在所述VPDN网络通道中建立了VPN网络通道之前,检测是否与所述企业内网服务器建立了VPDN网络通道;若否,则建立与所述企业内网服务器之间的VPDN网络通道;若检测与所述企业内网服务器建立了VPDN网络通道,则进一步检测是否建立了VPN网络通道;若检测没有建立VPN网络通道,则在所述VPDN网络通道中建立所述VPN网络通道。
较佳地,AAA认证服务器,用于在所述移动终端建立与所述企业内网服务器之间的VPDN网络通道的过程中,接收到携带所述移动终端的SIM卡号的认证请求后,若对接收的认证请求认证通过,则向所述移动终端返回携带用户身份信息的认证通过信息,以及为用户分配的使用所述VPDN网络通道的IP地址;以及
所述移动终端还用于确认所述AAA认证服务器返回的认证通过信息中的用户身份信息与所述所述PKI认证服务器以及所述移动终端认证服务器返回的认证通过信息中的用户身份信息一致后,向所述企业内网服务器发送携带有所述用户身份信息的登录请求。
较佳地,注册服务器,用于接收用户的注册信息,包括:用户身份信息、SIM卡号、移动终端的MEID号、USB-KEY;并将所述用户身份信息对应所述SIM卡号传输至所述AAA认证服务器;将所述用户身份信息对应所述移动终端的MEID号传输至所述移动终端认证服务器;将所述用户身份信息对应所述USB-KEY传输至PKI认证服务器;以及
所述系统还包括:设置于所述企业内网服务器与移动接入网之间的隔离网闸。
根据本发明的另一个方面,还提供了一种移动终端,包括:指令接收模块、通道检测模块、认证请求模块、登录模块;其中,
指令接收模块,用于接收到企业内网服务器的登录指令后,发送通道检测通知;
通道检测模块,用于接收到所述通道检测通知后,在检测确认与所述企业内网服务器建立了VPDN网络通道、在所述VPDN网络通道中建立了VPN网络通道后,发送认证请求通知;
认证请求模块,用于接收到所述认证请求通知后,向PKI认证服务器发送携带USB-KEY的认证请求,向移动终端认证服务器发送携带本移动终端的MEID号的认证请求;在确认所述PKI认证服务器以及所述移动终端认证服务器返回的认证通过信息中携带的用户身份信息一致后,发送登录通知;
登录模块,用于接收到所述登录通知后,向所述企业内网服务器发送携带有所述用户身份信息的登录请求;并在接收到返回的确认信息后,登录所述企业内网服务器。
较佳地,通道建立模块,用于接收到通道建立指令后,建立与所述企业内网服务器之间的VPDN网络通道,并在所述VPDN网络通道中建立所述VPN网络通道;以及所述通道建立模块在建立与所述企业内网服务器之间的VPDN网络通道过程中,向AAA认证服务器发送携带所述移动终端的SIM卡号的认证请求,在接收到携带用户身份信息的认证通过信息后,将该认证通过信息中的用户身份信息传送给所述认证请求模块;以及
所述认证请求模块具体用于在确认所述通道建立模块发送的用户身份信息,与所述PKI认证服务器以及所述移动终端认证服务器返回的认证通过信息中携带的用户身份信息一致后,发送所述登录通知。
本发明实施例的技术方案中,在移动终端已经建立VPN网络通道的基础上,移动终端向PKI认证服务器发送携带USB-KEY的认证请求,向移动终端认证服务器发送携带MEID号的认证请求,当认证通过并且PKI认证服务器、移动终端认证服务器以及AAA认证服务器105返回的认证通过信息中携带的用户身份信息一致时,才能向企业内网服务器发送登录请求,企业内网服务器为用户开放与用户身份信息对应的权限内的内网资源,这样,采用多重认证机制并设置访问权限,提高了访问企业内部网的安全性。
附图说明
图1为本发明实施例提供的移动终端访问企业内网服务器的系统的结构示意图;
图2为本发明实施例提供的移动终端访问企业内网服务器的方法流程示意图;
图3为本发明实施例提供的移动终端建立与企业内网服务器之间的VPDN网络通道的方法流程示意图;
图4为本发明实施例提供的移动终端的内部结构框图示意图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举出优选实施例,对本发明进一步详细说明。然而,需要说明的是,说明书中列出的许多细节仅仅是为了使读者对本发明的一个或多个方面有一个透彻的理解,即便没有这些特定的细节也可以实现本发明的这些方面。
本申请使用的“模块”、“系统”等术语旨在包括与计算机相关的实体,例如但不限于硬件、固件、软硬件组合、软件或者执行中的软件。例如,模块可以是,但并不仅限于:处理器上运行的进程、处理器、对象、可执行程序、执行的线程、程序和/或计算机。举例来说,计算设备上运行的应用程序和此计算设备都可以是模块。一个或多个模块可以位于执行中的一个进程和/或线程内。
本发明的发明人考虑到,在移动终端已经建立VPN网络通道的基础上,采用移动终端认证、用户认证、权限认证的多重认证机制,仅当移动终端的SIM(Subscriber Identity Module,客户识别模块)卡号、USB-Key(UniversalSerial Bus Key,硬件数字证书载体)、MEID(Mobile Equipment IDentifier,移动设备识别码)均通过服务器验证,并且确认服务器返回的验证通过信息中携带的用户身份信息均一致后,方可根据用户身份信息对应的权限对企业网内部网进行访问,提高访问企业内部网的安全性。
下面结合附图详细说明本发明的技术方案。
本发明实施例提供的移动终端访问企业内网服务器的系统的结构如图1所示。包括:移动终端101、企业内网服务器102、PKI(Pubic Key Infrastructure,公钥基础结构)认证服务器103、移动终端认证服务器104。
移动终端101根据用户输入的企业内网服务器的登录指令,在确认与企业内网服务器建立了VPDN(Virtual Private Dial-up Networks,虚拟专用拨号网)网络通道、在VPDN网络通道中建立了VPN网络通道后,向PKI认证服务器103发送携带USB-Key的认证请求,向移动终端认证服务器104发送携带本移动终端的MEID的认证请求;并在确认PKI认证服务器103以及移动终端认证服务器104返回的认证通过信息中携带的用户身份信息一致后,向企业内网服务器102发送携带有用户身份信息的登录请求。
企业内网服务器102确定登录请求中的用户身份信息所对应的权限后,为用户开放权限内的内网资源。
进一步,移动终端访问企业内网服务器的系统还包括:AAA认证服务器105、注册服务器106、设置于企业内网服务器104与移动接入网之间的隔离网闸(图中未标出);
其中,注册服务器接收管理员输入的用户的注册信息,包括:用户身份信息、SIM卡号、移动终端的MEID号、USB-KEY;并将用户身份信息对应的SIM卡号传输至AAA认证服务器;将用户身份信息对应移动终端的MEID号传输至移动终端认证服务器104;将用户身份信息对应的USB-KEY传输至PKI认证服务器103;
事实上,企业内部网的管理员根据认定为企业内部网合法访问用户的用户身份信息设置权限,具体地:如果该合法用户的用户身份信息为管理员,则将对应该身份信息的权限设置为一级;如果该合法用户的用户身份信息为员工,则将对应该身份信息的权限设置为二级;如果该合法用户的用户身份信息为访客,则将对应该身份信息的权限设置为三级;并将包括:用户身份信息、SIM卡号、移动终端的MEID号、USB-KEY在内的合法用户的注册信息发送给注册服务器106;
注册服务器106接收到管理员输入的用户的注册信息后,将用户身份信息对应的SIM卡号传输至AAA认证服务器105;将用户身份信息对应移动终端的MEID号传输至移动终端认证服务器104;将用户身份信息对应的USB-KEY传输至PKI认证服务器103;由上述服务器将接收的信息存储于本地合法用户信息数据库中,完成注册过程。
关于AAA(Authentication、Authorization、Accounting,验证、授权和记账)认证服务器功能详见本发明实施例提供的移动终端访问企业内网服务器的方法步骤的描述,该方法的流程如图2所示。包括如下步骤:
S201:移动终端101接收到用户输入的企业内网服务器102的登录指令后,检测是否与企业内网服务器102建立了VPDN网络通道。若是,执行S202;否则,移动终端接101建立与企业内网服务器102之间的VPDN网络通道。
本步骤中,移动终端101接收到用户通过移动终端自带的浏览器在地址栏内输入的企业内网服务器102的网址,也就是企业内网服务器102的登录指令后,检测是否与企业内网服务器102建立了VPDN网络通道;
如果移动终端101接检测出已与企业内网服务器102建立了VPDN网络通道,则执行S202;如果移动终端101检测出未与企业内网服务器102建立了VPDN网络通道,则立即建立与企业内网服务器102之间的VPDN网络通道。
S202:移动终端101检测是否建立了VPN网络通道。若是,执行S203;否则,在VPDN网络通道中建立VPN网络通道。
本步骤中,移动终端101在确定已经与企业内网服务器102建立了VPDN网络通道后,检测是否在VPDN网络通道中建立了VPN网络通道;
如果移动终端101检测出已经在VPDN网络通道中建立了VPN网络通道,则执行S203;如果移动终端101检测出未在VPDN网络通道中建立了VPN网络通道,则立即在VPDN网络通道中建立VPN网络通道。
其中,移动终端101在VPDN网络通道中建立VPN网络通道为本领域技术人员所熟知,此处不再赘述。
S203:移动终端101向PKI认证服务器103发送携带USB-KEY的认证请求,向移动终端认证服务器104发送携带本移动终端的MEID号的认证请求。
本步骤中,移动终端101根据用户输入的企业内网服务器102的登录指令,在确认与企业内网服务器102建立了VPDN网络通道、在VPDN网络通道中建立了VPN网络通道后,向PKI认证服务器103发送携带USB-KEY的认证请求,向移动终端认证服务器104发送携带本移动终端的MEID号的认证。
S204:移动终端101在确认PKI认证服务器103以及移动终端认证服务器104返回的认证通过信息中携带的用户身份信息一致后,向企业内网服务器102发送携带有用户身份信息的登录请求。
具体地,PKI认证服务器103接收到移动终端101发送的USB-KEY后,向本地合法用户信息数据库发送该USB-KEY的查询指令,如果查找到该USB-KEY则通过认证请求,并在通过移动终端101的认证请求后将与USB-KEY对应的用户信息携带在认证通过信息中向移动终端101向返回;移动终端认证服务器104接收到移动终端101发送的MEID号后,向本地合法用户信息数据库发送接收的MEID号的查找指令,如果查找到该MEID号则通过认证请求,并在通过移动终端101的认证请求后将与MEID号对应的用户信息携带在认证通过信息中向移动终端101向返回;AAA认证服务器105接收到移动终端101发送的SIM号后,向本地合法用户信息数据库发送接收的SIM号的查找指令,如果查找到该SIM号则通过认证请求,并在通过移动终端101的认证请求后将与SIM号对应的用户信息携带在认证通过信息中向移动终端101向返回(详见S305);移动终端101确认AAA认证服务器105、PKI认证服务器103以及移动终端认证服务器104返回的认证通过信息中的用户身份信息一致,则将该信息携带与登录请求中向企业内网服务器102发送;若移动终端101确认AAA认证服务器、PKI认证服务器103以及移动终端认证服务器104返回的认证通过信息中的用户身份信息不一致,则不能向企业内网服务器102发送登录请求。
S205:企业内网服务器102确定登录请求中的用户身份信息所对应的权限后,为用户开放该权限内的内网资源。
本步骤中,企业内网服务器104接收到登录请求中的用户身份信息后,确定与用户身份信息对应的权限,具体地,若判断用户身份信息对应的权限为三级,则只能浏览企业内部网的页面,不能下载文件以及填写资料;若判断用户身份信息对应的权限为二级,则不仅能浏览网页,下载文件,还可以填写并提交资料;若判断用户身份信息对应的权限为一级,则可以对企业内部网的内容进行修改。
上述S201中移动终端101建立与企业内网服务器102之间的VPDN网络通道的方法流程如图3所示。包括如下步骤:
S301:移动终端101根据企业内网服务器102的VPDN号码向移动接入网中的GGSN发送拨号请求。
S302:移动接入网中的GGSN根据接收的拨号请求向预先建立的GGSN与企业内网服务器102之间的L2TP数据链路层协议隧道发送隧道请求。
S303:企业内网服务器102通过L2TP隧道接收到隧道请求后与移动终端建立PPP(Point to Point Protocol,点到点协议)连接。
S304:移动终端101通过其与AAA认证服务器的PPP连接向AAA认证服务器发送携带本移动终端的SIM(Subscriber Identity Module,客户识别模块)卡号的认证请求。
S305:AAA认证服务器在认证通过后,向移动终端101返回携带用户身份信息的认证通过信息,以及为用户分配的使用VPDN网络通道的IP地址。
本发明实施例提供的移动终端的内部结构框图如图4所示,包括:指令接收模块401、通道检测模块402、认证请求模块403、登录模块404。
指令接收模块401接收到企业内网服务器的登录指令后,向通道检测模块402发送通道检测通知。
通道检测模块402接收到通道检测通知后,在检测确认与企业内网服务器建立了VPDN网络通道、在VPDN网络通道中建立了VPN网络通道后,向认证请求模块403发送认证请求通知。
认证请求模块403接收到认证请求通知后,向PKI认证服务器发送携带USB-KEY的认证请求,向移动终端认证服务器发送携带本移动终端的MEID号的认证请求;在确认PKI认证服务器以及移动终端认证服务器返回的认证通过信息中携带的用户身份信息一致后,向登录模块404发送登录通知。
登录模块404接收到登录通知后,向企业内网服务器发送携带有用户身份信息的登录请求;并在接收到返回的确认信息后,登录企业内网服务器。
进一步,移动终端还包括:通道建立模块405;
通道建立模块405接收到通道建立指令后,建立与企业内网服务器之间的VPDN网络通道,并在VPDN网络通道中建立VPN网络通道;以及通道建立模块405在建立与企业内网服务器之间的VPDN网络通道过程中,向AAA认证服务器发送携带移动终端的SIM卡号的认证请求,在接收到携带用户身份信息的认证通过信息后,将该认证通过信息中的用户身份信息传送给认证请求模块403。
相应地,认证请求模块403在确认通道建立模块发送405的用户身份信息,与PKI认证服务器以及移动终端认证服务器返回的认证通过信息中携带的用户身份信息一致后,发送登录通知。
本发明提供的技术方案中,在移动终端已经建立VPN网络通道的基础上,移动终端向PKI认证服务器发送携带USB-KEY的认证请求,向移动终端认证服务器发送携带MEID号的认证请求,当认证通过并且PKI认证服务器、移动终端认证服务器以及AAA认证服务器105返回的认证通过信息中携带的用户身份信息一致时,才能向企业内网服务器发送登录请求,企业内网服务器为用户开放与用户身份信息对应的权限内的内网资源,这样,采用多重认证机制并设置访问权限,提高了访问企业内部网的安全性。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读取存储介质中,如:ROM/RAM、磁碟、光盘等。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种移动终端访问企业内网服务器的方法,其特征在于,包括:
移动终端根据用户输入的所述企业内网服务器的登录指令,在确认与所述企业内网服务器建立了VPDN网络通道、在所述VPDN网络通道中建立了VPN网络通道后,向PKI认证服务器发送携带USB-KEY的认证请求,向移动终端认证服务器发送携带本移动终端的MEID号的认证请求;
所述移动终端在确认所述PKI认证服务器以及所述移动终端认证服务器返回的认证通过信息中携带的用户身份信息一致后,向所述企业内网服务器发送携带有所述用户身份信息的登录请求;
所述企业内网服务器确定所述登录请求中的用户身份信息所对应的权限后,为所述用户开放所述权限内的内网资源。
2.如权利要求1所述的方法,其特征在于,在确认与所述企业内网服务器建立了VPDN网络通道、在所述VPDN网络通道中建立了VPN网络通道之前,还包括:
所述移动终端检测是否与所述企业内网服务器建立了VPDN网络通道;若否,则建立与所述企业内网服务器之间的VPDN网络通道;
若移动终端检测与所述企业内网服务器建立了VPDN网络通道,则进一步检测是否建立了VPN网络通道;若检测没有建立VPN网络通道,则在所述VPDN网络通道中建立所述VPN网络通道。
3.如权利要求2所述的方法,其特征在于,所述建立与所述企业内网服务器之间的VPDN网络通道具体包括:
所述移动终端根据所述企业内网服务器的VPDN号码发送拨号请求;
移动接入网中的GGSN根据接收的拨号请求向预先建立的所述GGSN与所述企业内网服务器之间的L2TP隧道发送隧道请求;
所述企业内网服务器通过L2TP隧道接收到所述隧道请求后与所述移动终端建立PPP连接;
所述移动终端通过其与AAA认证服务器的PPP连接向AAA认证服务器发送携带本移动终端的SIM卡号的认证请求;
在认证通过后,所述AAA认证服务器向所述移动终端返回携带用户身份信息的认证通过信息,以及为用户分配的使用所述VPDN网络通道的IP地址。
4.如权利要求3所述的方法,其特征在于,在所述向所述企业内网服务器发送携带有所述用户身份信息的登录请求之前,还包括:
所述移动终端确认所述AAA认证服务器返回的认证通过信息中的用户身份信息与所述PKI认证服务器以及所述移动终端认证服务器返回的认证通过信息中的用户身份信息一致。
5.一种移动终端访问企业内网服务器的系统,其特征在于,包括:移动终端、企业内网服务器、PKI认证服务器、移动终端认证服务器;其中,
所述移动终端用于根据用户输入的所述企业内网服务器的登录指令,在确认与所述企业内网服务器建立了VPDN网络通道、在所述VPDN网络通道中建立了VPN网络通道后,向PKI认证服务器发送携带USB-KEY的认证请求,向移动终端认证服务器发送携带本移动终端的MEID号的认证请求;并在确认所述PKI认证服务器以及所述移动终端认证服务器返回的认证通过信息中携带的用户身份信息一致后,向所述企业内网服务器发送携带有所述用户身份信息的登录请求;
所述企业内网服务器确定所述登录请求中的用户身份信息所对应的权限后,为所述用户开放所述权限内的内网资源。
6.如权利要求5所述的系统,其特征在于,
所述移动终端还用于在确认与所述企业内网服务器建立了VPDN网络通道、在所述VPDN网络通道中建立了VPN网络通道之前,检测是否与所述企业内网服务器建立了VPDN网络通道;若否,则建立与所述企业内网服务器之间的VPDN网络通道;若检测与所述企业内网服务器建立了VPDN网络通道,则进一步检测是否建立了VPN网络通道;若检测没有建立VPN网络通道,则在所述VPDN网络通道中建立所述VPN网络通道。
7.如权利要求6所述的系统,其特征在于,还包括:
AAA认证服务器,用于在所述移动终端建立与所述企业内网服务器之间的VPDN网络通道的过程中,接收到携带所述移动终端的SIM卡号的认证请求后,若对接收的认证请求认证通过,则向所述移动终端返回携带用户身份信息的认证通过信息,以及为用户分配的使用所述VPDN网络通道的IP地址;以及
所述移动终端还用于确认所述AAA认证服务器返回的认证通过信息中的用户身份信息与所述所述PKI认证服务器以及所述移动终端认证服务器返回的认证通过信息中的用户身份信息一致后,向所述企业内网服务器发送携带有所述用户身份信息的登录请求。
8.如权利要求7所述的系统,其特征在于,还包括:
注册服务器,用于接收用户的注册信息,包括:用户身份信息、SIM卡号、移动终端的MEID号、USB-KEY;并将所述用户身份信息对应所述SIM卡号传输至所述AAA认证服务器;将所述用户身份信息对应所述移动终端的MEID号传输至所述移动终端认证服务器;将所述用户身份信息对应所述USB-KEY传输至PKI认证服务器;以及
所述系统还包括:设置于所述企业内网服务器与移动接入网之间的隔离网闸。
9.一种移动终端,其特征在于,包括:
指令接收模块,用于接收到企业内网服务器的登录指令后,发送通道检测通知;
通道检测模块,用于接收到所述通道检测通知后,在检测确认与所述企业内网服务器建立了VPDN网络通道、在所述VPDN网络通道中建立了VPN网络通道后,发送认证请求通知;
认证请求模块,用于接收到所述认证请求通知后,向PKI认证服务器发送携带USB-KEY的认证请求,向移动终端认证服务器发送携带本移动终端的MEID号的认证请求;在确认所述PKI认证服务器以及所述移动终端认证服务器返回的认证通过信息中携带的用户身份信息一致后,发送登录通知;
登录模块,用于接收到所述登录通知后,向所述企业内网服务器发送携带有所述用户身份信息的登录请求;并在接收到返回的确认信息后,登录所述企业内网服务器。
10.如权利要求9所述的终端,其特征在于,还包括:
通道建立模块,用于接收到通道建立指令后,建立与所述企业内网服务器之间的VPDN网络通道,并在所述VPDN网络通道中建立所述VPN网络通道;以及所述通道建立模块在建立与所述企业内网服务器之间的VPDN网络通道过程中,向AAA认证服务器发送携带所述移动终端的SIM卡号的认证请求,在接收到携带用户身份信息的认证通过信息后,将该认证通过信息中的用户身份信息传送给所述认证请求模块;以及
所述认证请求模块具体用于在确认所述通道建立模块发送的用户身份信息,与所述PKI认证服务器以及所述移动终端认证服务器返回的认证通过信息中携带的用户身份信息一致后,发送所述登录通知。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310533208.5A CN103581184B (zh) | 2013-10-31 | 2013-10-31 | 移动终端访问企业内网服务器的方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310533208.5A CN103581184B (zh) | 2013-10-31 | 2013-10-31 | 移动终端访问企业内网服务器的方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103581184A CN103581184A (zh) | 2014-02-12 |
| CN103581184B true CN103581184B (zh) | 2017-01-04 |
Family
ID=50052114
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310533208.5A Active CN103581184B (zh) | 2013-10-31 | 2013-10-31 | 移动终端访问企业内网服务器的方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103581184B (zh) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105142141A (zh) * | 2015-07-23 | 2015-12-09 | 攀钢集团攀枝花钢铁研究院有限公司 | 移动办公身份验证的终端设备、认证服务器、系统及方法 |
| CN105610810B (zh) * | 2015-12-23 | 2020-08-07 | 北京奇虎科技有限公司 | 一种数据处理方法、客户端和服务器 |
| CN105550577A (zh) * | 2015-12-31 | 2016-05-04 | 宇龙计算机通信科技(深圳)有限公司 | 一种终端容器安全的控制方法与系统 |
| US10362021B2 (en) * | 2016-05-31 | 2019-07-23 | Airwatch Llc | Device authentication based upon tunnel client network requests |
| CN106131239B (zh) * | 2016-07-22 | 2019-05-14 | 迈普通信技术股份有限公司 | 一种ip地址分配方法及装置 |
| CN107786551B (zh) * | 2017-10-18 | 2020-04-28 | 广东神马搜索科技有限公司 | 访问内网服务器的方法及控制访问内网服务器的装置 |
| CN107911821A (zh) * | 2017-11-08 | 2018-04-13 | 北京首信科技股份有限公司 | 虚拟专用拨号网络vpdn的接入方法及系统 |
| CN108632253B (zh) * | 2018-04-04 | 2021-09-10 | 平安科技(深圳)有限公司 | 基于移动终端的客户数据安全访问方法及装置 |
| CN109451497B (zh) * | 2018-11-23 | 2021-07-06 | Oppo广东移动通信有限公司 | 无线网络连接方法及装置、电子设备、存储介质 |
| CN109800568B (zh) * | 2018-12-29 | 2021-01-15 | 360企业安全技术(珠海)有限公司 | 文档文件的安全防护方法、客户端、系统及存储介质 |
| CN110430043B (zh) * | 2019-07-05 | 2022-11-08 | 视联动力信息技术股份有限公司 | 一种认证方法、系统及装置和存储介质 |
| CN110401679A (zh) * | 2019-08-27 | 2019-11-01 | 北京指掌易科技有限公司 | 基于网络环境的移动应用安全隧道建立的控制方法和装置 |
| CN110855639A (zh) * | 2019-10-29 | 2020-02-28 | 云深互联(北京)科技有限公司 | 浏览器内外网登录的控制方法、装置和设备 |
| CN113810345B (zh) * | 2020-06-15 | 2023-05-26 | 中国石油天然气股份有限公司 | 局域网web资源的访问方法及访问系统 |
| CN111988314A (zh) * | 2020-08-19 | 2020-11-24 | 杭州铂钰信息科技有限公司 | 一种动态部署网络安全服务的系统架构及其方法 |
| CN115879114B (zh) * | 2022-12-02 | 2023-09-08 | 深圳安巽科技有限公司 | 一种网站访问加密控制方法、系统及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1956441A (zh) * | 2005-10-28 | 2007-05-02 | 上海贝尔阿尔卡特股份有限公司 | 授权模式访问专用局域网的方法及其装置 |
| CN101192927A (zh) * | 2006-11-28 | 2008-06-04 | 中兴通讯股份有限公司 | 基于身份保密的授权与多重认证方法 |
| CN101894238A (zh) * | 2010-08-09 | 2010-11-24 | 中国人民解放军海军工程大学 | 基于双重认证的word文档电子印章系统及方法 |
| CN102685749A (zh) * | 2012-05-30 | 2012-09-19 | 杭州师范大学 | 面向移动终端的无线安全身份验证方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101236591B (zh) * | 2007-01-31 | 2011-08-24 | 联想(北京)有限公司 | 保证关键数据安全的方法、终端和安全芯片 |
-
2013
- 2013-10-31 CN CN201310533208.5A patent/CN103581184B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1956441A (zh) * | 2005-10-28 | 2007-05-02 | 上海贝尔阿尔卡特股份有限公司 | 授权模式访问专用局域网的方法及其装置 |
| CN101192927A (zh) * | 2006-11-28 | 2008-06-04 | 中兴通讯股份有限公司 | 基于身份保密的授权与多重认证方法 |
| CN101894238A (zh) * | 2010-08-09 | 2010-11-24 | 中国人民解放军海军工程大学 | 基于双重认证的word文档电子印章系统及方法 |
| CN102685749A (zh) * | 2012-05-30 | 2012-09-19 | 杭州师范大学 | 面向移动终端的无线安全身份验证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103581184A (zh) | 2014-02-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103581184B (zh) | 移动终端访问企业内网服务器的方法和系统 | |
| US7185360B1 (en) | System for distributed network authentication and access control | |
| CN101702717B (zh) | 一种Portal认证的方法、系统及设备 | |
| CN104270250B (zh) | 基于非对称全程加密的WiFi互联网上网连接认证方法 | |
| US20020157090A1 (en) | Automated updating of access points in a distributed network | |
| CN104202338B (zh) | 一种适用于企业级移动应用的安全接入方法 | |
| CN104144163B (zh) | 身份验证方法、装置及系统 | |
| CN101651682A (zh) | 一种安全认证的方法、系统和装置 | |
| CN103856332A (zh) | 一种多屏多因子便捷web身份认证的一对多账号映射绑定的实现方法 | |
| KR20090036562A (ko) | 네트워크에 대한 접근을 제어하기 위한 방법 및 시스템 | |
| CN106488453A (zh) | 一种portal认证的方法及系统 | |
| CN101986598B (zh) | 认证方法、服务器及系统 | |
| CN103986734B (zh) | 一种适用于高安全性业务系统的鉴权管理方法和系统 | |
| CN105871881A (zh) | 一种基于Openwrt路由器的Portal认证的方法 | |
| CN104837136B (zh) | 无线接入认证方法和装置 | |
| CN105681259A (zh) | 一种开放授权方法、装置及开放平台 | |
| CN109583154A (zh) | 一种基于Web中间件访问智能密码钥匙的系统及方法 | |
| CN108011873B (zh) | 一种基于集合覆盖的非法连接判断方法 | |
| CN102143492B (zh) | Vpn连接建立方法、移动终端、服务器 | |
| US20170118179A1 (en) | Method and apparatus for secure access of a service via customer premise equipment | |
| CN106454833A (zh) | 一种实现无线802.1x认证的方法及系统 | |
| CN107707560B (zh) | 认证方法、系统、网络接入设备及Portal服务器 | |
| CN105635148A (zh) | 一种Portal认证方法及装置 | |
| CN108712419A (zh) | 一种终端授权认证方法、系统及aaa服务器 | |
| CN102104872A (zh) | 安全访问wapi网络的方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |