CN104202338B - 一种适用于企业级移动应用的安全接入方法 - Google Patents
一种适用于企业级移动应用的安全接入方法 Download PDFInfo
- Publication number
- CN104202338B CN104202338B CN201410491950.9A CN201410491950A CN104202338B CN 104202338 B CN104202338 B CN 104202338B CN 201410491950 A CN201410491950 A CN 201410491950A CN 104202338 B CN104202338 B CN 104202338B
- Authority
- CN
- China
- Prior art keywords
- user
- mobile solution
- enterprise
- mobile
- checking
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 41
- 238000010200 validation analysis Methods 0.000 claims abstract description 5
- 230000008569 process Effects 0.000 claims description 27
- 238000012795 verification Methods 0.000 claims description 7
- 230000005540 biological transmission Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
Landscapes
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种适用于企业级移动应用的安全接入方法,实施步骤为:1)入网许可;2)设备合法性验证;3)用户合法性验证;4)用户访问权限控制。本发明通过企业级移动应用的安全接入方法的实施,有效的防治了身份伪造、中间人挟持、信息窃取、重放攻击、信息篡改等移动应用的入侵手段,并有效了阻断了非法设备、个人或应用接入到企业网络,保障了企业移动应用的安全有效接入。
Description
技术领域
本发明适用于企业级移动应用的安全接入,属于移动安全接入技术领域。
背景技术
随着我国3G网络和移动互联网的兴起,许多创新型移动应用,如移动办公、移动营销、移动作业等需求日渐强烈。各种各样的移动应用逐渐走入了企业级应用的范畴,一些企业和单位根据自身的业务需要定制了大量的移动应用。但移动应用的安全问题逐渐成为企业不得不面对的关键问题,什么样的应用可以接入?接入的设备合法吗?所有的设备都可以安装企业的应用并接入吗?合法设备如果丢失如何避免非法访问?这一系列问题摆在企业面前。部分企业采用的一些技术手段来保证移动应用接入的安全,有的采用身份验证的方式,有的采用移动终端安装安全助手之类的方法,但这些方法往往存在片面性,黑客可能通过身份伪造、信息窃听、重放攻击、信息篡改等攻击行为来攻克防御从而达到信息窃取、恶意攻击的目的。因此需要一整套企业级移动应用安全接入的解决办法。
本发明正是在这个背景下产生的,一种适用于企业级移动应用的安全接入方法从客户端到服务端,从设备到用户做到了全方位安全接入防护和管理。将移动应用平台的优势发挥出来,实现移动应用接入的集中管理和全面监控,加强安全防御能力,预防移动应用的身份伪造、信息窃听、重放攻击、信息篡改等黑客攻击行为,解决移动应用办公接入和移动终端安全,减少人力、物力的投入和降低运维难度,提供一条安全可靠的移动办公途径,提高办公与管理效率,满足国家信息安全等级保护、公司等不同层面的安全需求。
发明内容
本发明的目的在于克服移动应用接入安全缺陷,利用入网许可、设备合法性验证、用户合法性验证、用户访问权限控制的技术手段配合目前主流的移动终端(包括:安装了IOS、Android、WindowsPhone系统的智能终端、PDA、平板电脑)的使用,更加有效地保障移动应用的安全接入。
一种适用于企业级移动应用的安全接入方法,本发明实现步骤如下:
1.入网许可
通过APN接入点,运营商将验证电话号码和SIM卡信息,只有进行APN绑定过的用户才可以使用APN网络,其验证流程如下:
1)用户通过安装在智能终端上的移动应用门户软件发起APN登录请求;
2)根据请求中的APN,向运营商DNS服务器发出查询请求,找到与企业服务器平台连接的通道,并将用户请求送到企业网入口;
2.设备合法性认证
用户进行登录操作时,移动应用门户自动获取终端IMEI信息,随用户登录信息一起提交给服务端,服务端验证设备合法性;如不合法,则提示用户进行设备绑定或拒绝用户登录;其验证流程如下:
1)移动应用门户自动获取的IMEI号,并和用户登录信息一并发送到的管理平台;
2)管理平台对IMEI号和用户登录信息进行合法性验证;
3)验证通过允许用户登录移动应用门户,否则提示用户进行设备绑定或拒绝用户登录;
3.用户合法性认证
管理平台通过AD域验证接口,对移动应用门户提交的用户信息进行验证;AD域验证通过后,动态口令系统根据IMEI号、AD域帐号和时间生成动态口令;系统将通过短信方式发送动态口令到用户终端;用户使用收到的动态口令(动态口令的默认有效时间为5分钟)和个人密码进行登录验证;管理平台将账号和密码送入AD域进行校验;再次校验,将动态口令送入动态口令系统进行校验;验证通过后,进入移动应用门户;否则给用户提示或拒绝登录;其验证流程如下:
1)管理平台通过AD域验证接口对移动应用门户提交的用户信息进行验证;
2)AD域验证通过后,动态口令系统根据IMEI号、AD域帐号和时间生成动态口令;
3)系统将通过短信方式发送动态口令到用户终端;
4)用户使用收到的动态口令(动态口令的默认有效时间为5分钟)和个人密码进行登录验证;
5)管理平台将用户名和密码送入AD域进行校验再次校验,将动态口令送入动态口令系统进行校验;
6)验证通过后,进入移动应用门户;否则给用户提示或拒绝登录;
4.用户访问权限认证
用户在登录移动应用门户后,选择将要使用的移动应用子系统,还需要输入该移动应用子系统自身的帐号和密码,通过此验证后才能正常使用移动应用子系统;其验证流程如下:
1)用户进入移动应用门户,针对不同的移动应用子系统输入对应的用户名和密码;
2)移动应用门户将通过移动安全接入服务层和数据交换层对数据进行转换,再把用户请求提交给各子系统的移动应用子系统服务端进行认证;
3)移动应用子系统服务端验证通过后,用户可进入移动应用子系统做相关业务处理。
本发明的有益效果是,通过企业级移动应用的安全接入方法的实施,有效的防治了身份伪造、中间人挟持、信息窃取、重放攻击、信息篡改等移动应用的入侵手段。并有效了阻断了非法设备、个人或应用接入到企业网络,保障了企业移动应用的安全有效接入。
下面结合附图及实施例进一步阐述本发明内容。
附图说明
图1为本发明系统安全架构示意图;
图2为本发明移动应用门户登录过程流程图;
图3为本发明移动应用子系统安全验证流程图;
图4为本发明IMEI绑定子流程图。
具体实施方式
见图1,智能终端侧安全控制:由移动应用门户进行终端验证、访问控制、身份认证、使用权限控制,对本地数据进行加密存储。
运营商侧安全控制:APN入网许可验证,通过运营商的专线直接与企业机房连接,保证移动办公服务器到手机上的连接都是在公司内部网络,保障移动办公的数据在网络传输上的安全;通过APN接入点传输的数据进行加密传输。
移动应用安全控制:无线移动应用平台部署在企业原有的网络安全架构内(在防火墙之后),保证移动办公服务器在原有网络安全架构下运行,不需要改变原有的网络安全架构。同时与AD域进行集成,通过AD域完成身份验证;通过与SSL服务集成,对移动应用与服务器之间的交互数据进行加密传输。
内部应用安全控制:为现有业务系统基础上的移动应用子系统服务端(架设在内网),即为核心区。通过与策略路由器集成,控制移动终端只能根据预定策略访问指定的服务地址和端口。
应用流程:
根据无线移动应用平台的安全架构和应用流程要求,提出安全访问的应用流程设计,采用入网许可、设备合法、用户合法、权限合法四重验证,详细访问流程设计如下:
见图1,一种适用于企业级移动应用的安全接入方法,本发明特征是,实施步骤为:
1)入网许可:通过APN接入点,运营商将验证电话号码和SIM卡信息,只有进行APN绑定过的用户才可以使用APN网络;其验证流程如下:
a)用户通过安装在智能终端上的移动应用门户软件发起APN登录请求;
b)根据请求中的APN,向运营商DNS服务器发出查询请求,找到与企业服务器平台连接的通道,并将用户请求送到企业网入口;
2)设备合法性验证:用户进行登录操作时,移动应用门户自动获取终端IMEI信息,随用户登录信息一起提交给服务端,服务端验证设备合法性;如不合法,则提示用户进行设备绑定或拒绝用户登录;其验证流程如下:
a)移动应用门户自动获取IMEI号,并和用户登录信息一并发送到管理平台;
b)管理平台对IMEI号和用户登录信息进行合法性验证;
c)验证通过允许用户登录移动应用门户,否则提示用户进行设备绑定或拒绝用户登录;
3)用户合法性验证:管理平台通过AD域验证接口对移动应用门户提交的用户信息进行验证;AD域验证通过后,动态口令系统根据IMEI号、AD域帐号和时间生成动态口令;系统将通过短信方式发送动态口令到用户终端;用户使用收到的动态口令(动态口令的默认有效时间为5分钟)和个人密码进行登录验证;管理平台将用户名和密码送入AD域进行校验再次校验,将动态口令送入动态口令系统进行校验;验证通过后,进入移动应用门户;否则给用户提示或拒绝登录;
4)用户访问权限控制:用户在登录移动应用门户后,选择将要使用的移动应用子系统,还需要输入该移动应用子系统自身的帐号和密码,通过此验证后才能正常使用移动应用子系统;其验证流程如下:
a)用户进入移动应用门户,针对不同的移动应用子系统输入对应的账号和密码;
b)移动应用门户将通过移动安全接入服务层和数据交换层对数据进行转换,再把用户请求提交给各子系统的移动应用子系统服务端进行认证;
c)移动应用子系统服务端验证通过后,用户可进入移动应用子系统做相关业务处理。
移动应用门户登录安全验证流程和移动应用子系统安全验证流程,本部分包括此两流程的流程图和节点说明,另附IMEI绑定子流程及其节点说明。
图2移动应用门户登录过程流程图,本图描述了用户登录移动应用门户的整个过程,其详细流程节点如下:
图3移动应用子系统安全验证流程,本图描述了用户登录各个移动应用子系统的整个流程,其详细流程节点如下:
图4IMEI绑定子流程图,本图描述了用户使用绑定移动终端的IMEI号码的整个操作流程,其详细流程节点如下:
Claims (1)
1.一种适用于企业级移动应用的安全接入方法,其特征是,实施步骤为:
1)入网许可:通过APN接入点,运营商将验证电话号码和SIM卡信息,只有进行APN绑定过的用户才可以使用APN网络;其验证流程如下:
a)用户通过安装在智能终端上的移动应用门户软件发起APN登录请求;
b)根据请求中的APN,向运营商DNS服务器发出查询请求,找到与企业服务器平台连接的通道,并将用户请求送到企业网入口;
2)设备合法性验证:用户进行登录操作时,移动应用门户自动获取终端IMEI信息,随用户登录信息一起提交给服务端,服务端验证设备合法性;如不合法,则提示用户进行设备绑定或拒绝用户登录;其验证流程如下:
a)移动应用门户自动获取IMEI号,并和用户登录信息一并发送到管理平台;
b)管理平台对IMEI号和用户登录信息进行合法性验证;
c)验证通过允许用户登录移动应用门户,否则提示用户进行设备绑定或拒绝用户登录;
3)用户合法性验证:管理平台通过AD域验证接口对移动应用门户提交的用户信息进行验证;AD域验证通过后,动态口令系统根据IMEI号、AD域帐号和时间生成动态口令;系统将通过短信方式发送动态口令到用户终端;用户使用收到的动态口令和个人密码进行登录验证;管理平台将账号和密码送入AD域进行校验;校验通过后再次校验,将动态口令送入动态口令系统进行校验;验证通过后,进入移动应用门户;否则给用户提示或拒绝登录;
4)用户访问权限控制:用户在登录移动应用门户后,选择将要使用的移动应用子系统,还需要输入该移动应用子系统自身的帐号和密码,通过此验证后才能正常使用移动应用子系统;其验证流程如下:
a)用户进入移动应用门户,针对不同的移动应用子系统输入对应的账号和密码;
b)移动应用门户将通过移动安全接入服务层和数据交换层对数据进行转换,再把用户请求提交给各子系统的移动应用子系统服务端进行认证;
c)移动应用子系统服务端验证通过后,用户可进入移动应用子系统做相关业务处理。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410491950.9A CN104202338B (zh) | 2014-09-23 | 2014-09-23 | 一种适用于企业级移动应用的安全接入方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410491950.9A CN104202338B (zh) | 2014-09-23 | 2014-09-23 | 一种适用于企业级移动应用的安全接入方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104202338A CN104202338A (zh) | 2014-12-10 |
CN104202338B true CN104202338B (zh) | 2016-01-20 |
Family
ID=52087563
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410491950.9A Active CN104202338B (zh) | 2014-09-23 | 2014-09-23 | 一种适用于企业级移动应用的安全接入方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104202338B (zh) |
Families Citing this family (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105142141A (zh) * | 2015-07-23 | 2015-12-09 | 攀钢集团攀枝花钢铁研究院有限公司 | 移动办公身份验证的终端设备、认证服务器、系统及方法 |
CN106550319B (zh) * | 2015-12-11 | 2020-10-30 | 南方科技大学 | Wi-Fi认证方法及系统 |
CN105764057A (zh) * | 2016-04-21 | 2016-07-13 | 北京元心科技有限公司 | 移动终端的注册方法及服务器平台 |
US10764279B2 (en) * | 2016-08-26 | 2020-09-01 | Centre For Development Of Telematics (C-Dot) | Method and an information appliance device for preventing security breach in information appliance device |
CN107147637B (zh) * | 2017-05-05 | 2019-01-08 | 腾讯科技(深圳)有限公司 | 一种任务执行请求处理方法、装置和计算机存储介质 |
CN108076069A (zh) * | 2017-12-28 | 2018-05-25 | 武汉虹旭信息技术有限责任公司 | 基于Android平台的移动办公安全系统及其方法 |
CN108632253B (zh) * | 2018-04-04 | 2021-09-10 | 平安科技(深圳)有限公司 | 基于移动终端的客户数据安全访问方法及装置 |
CN108966216B (zh) * | 2018-08-28 | 2021-07-30 | 云南电网有限责任公司电力科学研究院 | 一种应用于配电网的移动通信方法及系统 |
CN110311887A (zh) * | 2019-05-07 | 2019-10-08 | 重庆天蓬网络有限公司 | 基于企业多用户管理多Kubernetes集群的系统 |
CN110572395B (zh) * | 2019-09-09 | 2021-12-07 | 车智互联(北京)科技有限公司 | 一种身份验证方法和系统 |
CN112492602B (zh) * | 2020-11-19 | 2023-08-01 | 武汉武钢绿色城市技术发展有限公司 | 5g终端安全接入装置、系统及设备 |
CN114760195A (zh) * | 2020-12-29 | 2022-07-15 | 中国移动通信集团北京有限公司 | 一种网络接入点配置方法、装置、系统、设备及介质 |
CN113473458B (zh) * | 2021-05-10 | 2023-11-17 | 厦门市思芯微科技有限公司 | 一种设备接入方法、数据传输方法和计算机可读存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1866870A (zh) * | 2006-02-23 | 2006-11-22 | 华为技术有限公司 | 基于设备管理协议的软件合法性验证系统及验证方法 |
CN102333289A (zh) * | 2011-05-26 | 2012-01-25 | 迈普通信技术股份有限公司 | 基于短信的3g网络设备综合管理系统及方法 |
CN103581881A (zh) * | 2013-11-22 | 2014-02-12 | 中国联合网络通信集团有限公司 | 综合取号装置和网络侧获取用户手机号码的系统和方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7708194B2 (en) * | 2006-08-23 | 2010-05-04 | Verizon Patent And Licensing Inc. | Virtual wallet |
FR2935510B1 (fr) * | 2008-08-28 | 2010-12-10 | Oberthur Technologies | Procede d'echange de donnees entre deux entites electroniques |
-
2014
- 2014-09-23 CN CN201410491950.9A patent/CN104202338B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1866870A (zh) * | 2006-02-23 | 2006-11-22 | 华为技术有限公司 | 基于设备管理协议的软件合法性验证系统及验证方法 |
CN102333289A (zh) * | 2011-05-26 | 2012-01-25 | 迈普通信技术股份有限公司 | 基于短信的3g网络设备综合管理系统及方法 |
CN103581881A (zh) * | 2013-11-22 | 2014-02-12 | 中国联合网络通信集团有限公司 | 综合取号装置和网络侧获取用户手机号码的系统和方法 |
Also Published As
Publication number | Publication date |
---|---|
CN104202338A (zh) | 2014-12-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104202338B (zh) | 一种适用于企业级移动应用的安全接入方法 | |
US11831642B2 (en) | Systems and methods for endpoint management | |
US9578025B2 (en) | Mobile network-based multi-factor authentication | |
US8869253B2 (en) | Electronic system for securing electronic services | |
CN105530224B (zh) | 终端认证的方法和装置 | |
CN101227468B (zh) | 用于认证用户到网络的方法、设备和系统 | |
WO2017101729A1 (zh) | 一种基于物联网的设备操作方法及服务器 | |
US9887997B2 (en) | Web authentication using client platform root of trust | |
CN101986598B (zh) | 认证方法、服务器及系统 | |
CN101841525A (zh) | 安全接入方法、系统及客户端 | |
CN104158824A (zh) | 网络实名认证方法及系统 | |
WO2016188335A1 (zh) | 用户数据的访问控制方法、装置及系统 | |
CN104486322B (zh) | 终端接入认证授权方法及终端接入认证授权系统 | |
CN103902880A (zh) | 基于挑战应答型动态口令的Windows系统双因素认证方法 | |
CN107172038B (zh) | 一种用于提供安全服务的信息处理方法、平台、组件及系统 | |
CN103177203A (zh) | 一种电脑登陆管理系统 | |
KR20140043071A (ko) | 접속 시도 기기 인증 시스템 및 방법 | |
KR102209481B1 (ko) | 계정 키 페어 기반 계정 인증 서비스를 운영하는 방법과 시스템 및 이 방법을 기록한 컴퓨터로 읽을 수 있는 기록 매체 | |
CN103716366A (zh) | 云计算服务器接入系统及接入方法 | |
CN108574657B (zh) | 接入服务器的方法、装置、系统以及计算设备和服务器 | |
KR102199747B1 (ko) | Otp 기반의 가상키보드를 이용한 보안 방법 및 시스템 | |
KR101314695B1 (ko) | 전산망 보안 관리 시스템, 격실 서버, 및 보안 방법 | |
Kim et al. | Approach of secure authentication system for hybrid cloud service | |
US20240195797A1 (en) | Systems and Methods to Ensure Proximity of a Multi-Factor Authentication Device | |
RU2722393C2 (ru) | Телекоммуникационная система для осуществления в ней защищенной передачи данных и устройство, связанное с этой системой |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |