CN104507087A - 移动办公的安全服务系统及安全服务方法 - Google Patents

移动办公的安全服务系统及安全服务方法 Download PDF

Info

Publication number
CN104507087A
CN104507087A CN201410810585.3A CN201410810585A CN104507087A CN 104507087 A CN104507087 A CN 104507087A CN 201410810585 A CN201410810585 A CN 201410810585A CN 104507087 A CN104507087 A CN 104507087A
Authority
CN
China
Prior art keywords
enterprise
mobile terminal
security
security domain
application
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201410810585.3A
Other languages
English (en)
Inventor
张月芳
朱为朋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Feixun Data Communication Technology Co Ltd
Original Assignee
Shanghai Feixun Data Communication Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Feixun Data Communication Technology Co Ltd filed Critical Shanghai Feixun Data Communication Technology Co Ltd
Priority to CN201410810585.3A priority Critical patent/CN104507087A/zh
Publication of CN104507087A publication Critical patent/CN104507087A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明提供一种移动办公的安全服务系统及安全服务方法,该安全服务系统包括:企业服务端;与所述企业服务端建立通信连接的移动终端,所述移动终端通过ARM Trust Zone技术而在操作系统中划分出独立的至少一安全域,在所述安全域内装载有通过企业认证的企业应用,如此,处于安全域的系统服务能帮助企业应用判断其是否处于安全域,从而使得企业应用能拒绝在不安全的移动终端上的运行,这样也就保证了不安全的移动终端不能运行企业应用,增强了移动办公的安全性,提高了企业应用的安全体验。

Description

移动办公的安全服务系统及安全服务方法
技术领域
本发明属于信息安全技术领域,特别是涉及一种移动办公的安全服务系统及安全服务方法。
背景技术
随着移动通信技术的快速发展以及生活质量的提高,以智能手机为代表的移动终端快速发展,称为人手必备的配置。随着智能手机成为人们手中的一个必备消费品,人们对智能手机的功能要求也越来越多,同时,对手机信息的安全性的关注也越来越高。在当下的智能手机中,虽然能够提供给用户各种各样的软件应用,游戏和娱乐。可是他们却漏掉了用户最重要的一点需求,那就是安全。
一方面,在私人安全方面,每个人都会有这样的体会,自己的信息,隐私莫名其妙的被一些不希望知道信息的个人、机构获得。
另一方面,智能手机平台在企业级市场应用时会存在以下的安全隐患:
1)移动终端进行网络通讯时,无论是通过WiFi还是运营商网络,如果通信数据被不法技术人员制造的伪基站或其他监听设备截获,企业秘密将受到极大威胁;
2)在目前的移动终端市场中,安卓平台占有绝对的优势,但是由于安卓系统是开源系统,不法分子能获取源代码,从而开发出具有针对性的恶意软件。这些恶意软件采用多种伪装和规避技术,引诱用户下载、逃避安全软件监测,在对用户造成伤害的同时,也给企业的秘密和安全带来了极大威胁。
3)企业在利用移动终端办公时,在系统层无法对员工的身份进行认证和无法保障企业应用环境的安全。
发明内容
本发明的目的在于提供一种移动办公的安全服务系统及安全服务方法,以解决现有技术中移动办公安全性较弱等问题。
本发明提供一种移动办公的安全服务系统,包括:企业服务端;与所述企业服务端建立通信连接的移动终端,所述移动终端通过ARM Trust Zone技术而在操作系统中划分出独立的至少一安全域,在所述安全域内装载有通过企业认证的企业应用。
可选地,所述移动终端的安全域中还构建有安全密钥,用于验证所述企业应用的装载位置的正确性和验证所述移动终端的合法性。
可选地,所述企业应用中设置有账号登陆页面。
可选地,所述移动终端是通过VPN连接方式而通信连接于所述企业服务端。
本发明另提供一种移动办公的安全服务方法,包括:通过ARM Trust Zone技术而在移动终端的操作系统中划分出独立的至少一安全域;在所述安全域内装载通过企业认证的企业应用;将所述移动终端与企业服务端建立通信连接,当使用所述企业应用时,进行安全启动,使得所述企业应用运行在所述安全域内。
可选地,所述移动办公的安全服务方法还包括在所述移动终端的安全域中构建安全密钥,用于验证所述企业应用的装载位置的正确性和验证所述移动终端的合法性。
可选地,所述企业应用中设置有账号登陆页面。
可选地,将所述移动终端与企业服务端建立通信连接,包括:通过VPN连接方式,将所述移动终端通信连接于所述企业服务端。
本发明提供的移动办公的安全服务系统及安全服务方法,通过Trust Zone技术而将移动终端的操作系统中划分出独立的至少一安全域,在所述安全域内装载通过企业认证的企业应用,如此,处于安全域的系统服务能帮助企业应用判断其是否处于安全域,从而使得企业应用能拒绝在不安全的移动终端上的运行,这样也就保证了不安全的移动终端不能运行企业应用,增强了移动办公的安全性,提高了企业应用的安全体验。
附图说明
图1为移动办公的安全服务系统在一个实施方式中的系统框图。
图2为在内核通过Trust Zone技术实现安全域的一个企业应用方案。
图3为本发明中密钥作用的结构图。
具体实施方式
以下通过特定的具体实施例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。
需要说明的是,本说明书所附图式所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定本发明可实施的限定条件,故不具技术上的实质意义,任何结构的修饰、比例关系的改变或大小的调整,在不影响本发明所能产生的功效及所能达成的目的下,均应仍落在本发明所揭示的技术内容得能涵盖的范围内。同时,本说明书中所引用的如“上”、“下”、“左”、“右”、“中间”及“一”等的用语,亦仅为便于叙述的明了,而非用以限定本发明可实施的范围,其相对关系的改变或调整,在无实质变更技术内容下,当亦视为本发明可实施的范畴。
请参阅图1,显示了移动办公的安全服务系统在一个实施方式中的系统框图。需说明的是,在本实施方式中,本发明移动办公的安全服务系统是企业应用于移动终端,所述移动终端为具有数据处理能力的便携式电子设备,内置有处理器、存储器、以及显示屏幕等,并具有网络连接功能(包括WiFi网络或3G、4G等移动通信网络)。
如图1所示,本发明移动办公的安全服务系统包括:企业服务端10和与企业服务端10建立通信连接的移动终端20。
企业服务端10,用于提供企业的业务服务。在本实施例中,企业服务端10可以是企业服务器或企业服务器群组,其所构建的即为企业内部网络。
移动终端20,用于与企业服务端10建立通信连接。在本实施例中,移动终端优选为例如:智能手机、个人数位助理PDA、平板电脑、车载终端、甚至是可穿戴式设备(例如智能手表)等。在以下实施例说明中,所述移动终端以智能手机为例进行说明。
特别地,在本发明中,移动终端20通过ARM Trust Zone技术而在操作系统中划分出独立的至少一安全域,在所述安全域内装载有通过企业认证的企业应用。需说明的是,所述安全域的数量可以是一个或独立的多个,且,该安全域只可安装通过企业安全认证的企业应用,对非法企业应用和没有通过企业认证的企业应用不能安装在此安全域中(具体请参阅图2,其显示了在内核通过Trust Zone技术实现安全域的一个企业应用方案)。在本发明中,移动终端20使用的是ARM Trust Zone平台,采用的是Android/Linux操作系统,但并不以此为限,例如iOS、Windows Phone、或者BlackBerry OS也是可选项。
另外,企业对其所有移动终端设备装载独立的密钥,所述密钥即构建于移动终端20的安全域内。所述安全密钥具有两方面的作用:一是帮助企业应用验证其本身的装载位置的正确性,即判断出企业应用是否被装载于安全域内;二是帮助企业服务端验证所述移动终端的合法性。因此,即使是企业内部员工也不能在非安全移动终端上运行企业应用,从而在技术层次上保证了企业应用运行环境的安全性。请参阅图3,其显示了本发明中密钥作用的结构图。
再有,所述企业应用中设置有账号登陆页面,在账号登陆页面,使用者需提供正确的账号和密码之后方能登陆所述企业应用。具体地,企业员工通过企业分发的员工账号登陆企业企业应用,员工账号与员工之间是一一对应关系,非企业用户则无法登陆。如此,通过员工账号,企业服务器就能很容易地识别出是哪个员工在进行何种操作。此外再配合前述中装载于安全域内的安全密钥,企业服务端能更具体地知道是哪一个员工通过哪一个移动终端进行了何种操作。
如上所述,移动终端20可与企业服务端10建立通信连接。在本实施例中,移动终端20是通过VPN连接方式而通信连接于企业服务端10。具体地,移动终端20中的企业企业应用通过VPN(Virtual Private Network,虚拟专用网络)与企业服务端10通信连接,VPN的作用在于在公用网络上建立一个企业专用的网络,在员工与企业服务器进行数据交互时,对数据包加密和对数据包目标地址进行转换,从而实现安全通讯的功能。由于VPN通道是经过高强度加密的,所以网络上的黑客无法截取或者篡改员工与企业的通信内容,从而保障了员工账号的安全性以及企业秘密。
本发明另提供一种移动办公的安全服务方法,需说明的是,在本实施方式中,本发明移动办公的安全服务系统是企业应用于移动终端,所述移动终端为具有数据处理能力的便携式电子设备,内置有处理器、存储器、以及显示屏幕等,并具有网络连接功能(包括WiFi网络或3G、4G等移动通信网络)。
本发明提供的移动办公的安全服务方法,可包括:
1)通过ARM Trust Zone技术而在移动终端的操作系统中划分出独立的至少一安全域。特别地,在本发明中,移动终端通过ARM Trust Zone技术而在操作系统中划分出独立的至少一安全域,在所述安全域内装载有通过企业认证的企业应用。需说明的是,所述安全域的数量可以是一个或独立的多个。
2)在所述安全域内装载通过企业认证的企业应用。
在本发明中,该安全域只可安装通过企业安全认证的企业应用,对非法企业应用和没有通过企业认证的企业应用不能安装在此安全域中。在本发明中,移动终端使用的是ARM TrustZone平台,采用的是Android/Linux操作系统,但并不以此为限,例如iOS、Windows Phone、或者BlackBerry OS也是可选项。
另外,企业对其所有移动终端设备装载独立的密钥,所述密钥即构建于移动终端的安全域内。所述安全密钥具有两方面的作用:一是帮助企业应用验证其本身的装载位置的正确性,即判断出企业应用是否被装载于安全域内;二是帮助企业服务端验证所述移动终端的合法性。因此,即使是企业内部员工也不能在非安全移动终端上运行企业应用,从而在技术层次上保证了企业应用运行环境的安全性。
再有,所述企业应用中设置有账号登陆页面,在账号登陆页面,使用者需提供正确的账号和密码之后方能登陆所述企业应用。具体地,企业员工通过企业分发的员工账号登陆企业企业应用,员工账号与员工之间是一一对应关系,非企业用户则无法登陆。如此,通过员工账号,企业服务器就能很容易地识别出是哪个员工在进行何种操作。此外再配合前述中装载于安全域内的安全密钥,企业服务端能更具体地知道是哪一个员工通过哪一个移动终端进行了何种操作。
3)将所述移动终端与企业服务端建立通信连接,当使用所述企业应用时,进行安全启动,使得所述企业应用运行在所述安全域内。
在本实施例中,移动终端是通过VPN连接方式而通信连接于企业服务端。具体地,移动终端中的企业企业应用通过VPN(Virtual Private Network,虚拟专用网络)与企业服务端通信连接,VPN的作用在于在公用网络上建立一个企业专用的网络,在员工与企业服务器进行数据交互时,对数据包加密和对数据包目标地址进行转换,从而实现安全通讯的功能。由于VPN通道是经过高强度加密的,所以网络上的黑客无法截取或者篡改员工与企业的通信内容,从而保障了员工账号的安全性以及企业秘密。
本发明提供的移动办公的安全服务系统及安全服务方法,通过Trust Zone技术而将移动终端的操作系统中划分出独立的至少一安全域,在所述安全域内装载通过企业认证的企业应用,如此,处于安全域的系统服务能帮助企业应用判断其是否处于安全域,从而使得企业应用能拒绝在不安全的移动终端上的运行,这样也就保证了不安全的移动终端不能运行企业应用,增强了移动办公的安全性,提高了企业应用的安全体验。
上述实施例仅例示性说明本发明的原理及其功效,而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下,对上述实施例进行修饰或改变。因此,举凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变,仍应由本发明的权利要求所涵盖。

Claims (8)

1.一种移动办公的安全服务系统,其特征在于,包括:
企业服务端;
与所述企业服务端建立通信连接的移动终端,所述移动终端通过ARM Trust Zone技术而在操作系统中划分出独立的至少一安全域,在所述安全域内装载有通过企业认证的企业应用。
2.根据权利要求1所述的安全服务系统,其特征在于,所述移动终端的安全域中还构建有安全密钥,用于验证所述企业应用的装载位置的正确性和验证所述移动终端的合法性。
3.根据权利要求1或2所述安全服务系统,其特征在于,所述企业应用中设置有账号登陆页面。
4.根据权利要求1所述的安全服务系统,其特征在于,所述移动终端是通过VPN连接方式而通信连接于所述企业服务端。
5.一种移动办公的安全服务方法,其特征在于,包括:
通过ARM Trust Zone技术而在移动终端的操作系统中划分出独立的至少一安全域;
在所述安全域内装载通过企业认证的企业应用;
将所述移动终端与企业服务端建立通信连接,当使用所述企业应用时,进行安全启动,使得所述企业应用运行在所述安全域内。
6.根据权利要求5所述的安全服务方法,其特征在于,还包括在所述移动终端的安全域中构建安全密钥,用于验证所述企业应用的装载位置的正确性和验证所述移动终端的合法性。
7.根据权利要求5或6所述的安全服务方法,其特征在于,所述企业应用中设置有账号登陆页面。
8.根据权利要求5所述的安全服务方法,其特征在于,将所述移动终端与企业服务端建立通信连接,包括:通过VPN连接方式,将所述移动终端通信连接于所述企业服务端。
CN201410810585.3A 2014-12-19 2014-12-19 移动办公的安全服务系统及安全服务方法 Pending CN104507087A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410810585.3A CN104507087A (zh) 2014-12-19 2014-12-19 移动办公的安全服务系统及安全服务方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410810585.3A CN104507087A (zh) 2014-12-19 2014-12-19 移动办公的安全服务系统及安全服务方法

Publications (1)

Publication Number Publication Date
CN104507087A true CN104507087A (zh) 2015-04-08

Family

ID=52948789

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410810585.3A Pending CN104507087A (zh) 2014-12-19 2014-12-19 移动办公的安全服务系统及安全服务方法

Country Status (1)

Country Link
CN (1) CN104507087A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104915584A (zh) * 2015-06-03 2015-09-16 深圳市沃特沃德科技有限公司 基于指纹特征的智能移动终端随机加解密系统
CN106375286A (zh) * 2016-08-29 2017-02-01 四川超腾达物联科技有限公司 基于安全域的企业网络安全防护系统
WO2017071296A1 (zh) * 2015-10-30 2017-05-04 深圳市中兴微电子技术有限公司 一种基于vpn的安全访问数据的方法、设备和系统
CN107545370A (zh) * 2017-09-06 2018-01-05 合肥蓝胖子科技有限公司 便携高效的移动办公系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101212753A (zh) * 2006-12-29 2008-07-02 法国无线电话公司 数据流的安全保护方法
CN101527637A (zh) * 2009-03-23 2009-09-09 北京安高科技有限公司 一种虚拟专有组织平台系统及方法
WO2011042892A1 (en) * 2009-10-09 2011-04-14 Nokia Corporation Platform security
CN102255725A (zh) * 2011-07-16 2011-11-23 山东省数字证书认证管理有限公司 随机混合密钥加解密方法
CN103164260A (zh) * 2011-12-15 2013-06-19 中国银联股份有限公司 用于移动终端的应用程序管理系统及方法
CN103441991A (zh) * 2013-08-12 2013-12-11 江苏华大天益电力科技有限公司 一种移动终端安全接入平台

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101212753A (zh) * 2006-12-29 2008-07-02 法国无线电话公司 数据流的安全保护方法
CN101527637A (zh) * 2009-03-23 2009-09-09 北京安高科技有限公司 一种虚拟专有组织平台系统及方法
WO2011042892A1 (en) * 2009-10-09 2011-04-14 Nokia Corporation Platform security
CN102255725A (zh) * 2011-07-16 2011-11-23 山东省数字证书认证管理有限公司 随机混合密钥加解密方法
CN103164260A (zh) * 2011-12-15 2013-06-19 中国银联股份有限公司 用于移动终端的应用程序管理系统及方法
CN103441991A (zh) * 2013-08-12 2013-12-11 江苏华大天益电力科技有限公司 一种移动终端安全接入平台

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104915584A (zh) * 2015-06-03 2015-09-16 深圳市沃特沃德科技有限公司 基于指纹特征的智能移动终端随机加解密系统
WO2017071296A1 (zh) * 2015-10-30 2017-05-04 深圳市中兴微电子技术有限公司 一种基于vpn的安全访问数据的方法、设备和系统
CN106656457A (zh) * 2015-10-30 2017-05-10 深圳市中兴微电子技术有限公司 一种基于vpn的安全访问数据的方法、设备和系统
CN106375286A (zh) * 2016-08-29 2017-02-01 四川超腾达物联科技有限公司 基于安全域的企业网络安全防护系统
CN107545370A (zh) * 2017-09-06 2018-01-05 合肥蓝胖子科技有限公司 便携高效的移动办公系统

Similar Documents

Publication Publication Date Title
US9705887B2 (en) Remote processsing of mobile applications
Jain et al. Addressing security and privacy risks in mobile applications
CN105340309B (zh) 具有多个操作模式的应用
CN104904178B (zh) 提供虚拟专用网络隧道的方法和设备及计算机可读介质
CN104903910B (zh) 控制移动装置对安全数据的访问
US9098696B2 (en) Appliqué providing a secure deployment environment (SDE) for a wireless communications device
US9223970B2 (en) Evaluating application integrity
US10887307B1 (en) Systems and methods for identifying users
CN104270250B (zh) 基于非对称全程加密的WiFi互联网上网连接认证方法
CN104838630A (zh) 基于策略的应用程序管理
CN105474677A (zh) 安全管理的位置和跟踪服务访问
CN105308923A (zh) 对具有多操作模式的应用的数据管理
CN106471783A (zh) 经由网关的企业系统认证和授权
CN105247526A (zh) 提供企业应用商店
CN111683054A (zh) 用于远程接入的方法和装置
CN107852585A (zh) 改进经包装应用程序的性能
CN104270465A (zh) 一种云存储的保护系统
CN104507087A (zh) 移动办公的安全服务系统及安全服务方法
US20210182440A1 (en) System for preventing access to sensitive information and related techniques
Harris et al. Mobile and connected device security considerations: A dilemma for small and medium enterprise business mobility?
CN105354482A (zh) 一种单点登录方法及装置
Ding et al. A framework of cloud-based virtual phones for secure intelligent information management
Sahd et al. Mobile technology risk management
Kleiner et al. Ensuring mobile device security and compliance at the workplace
Hazarika et al. The mobile-cloud computing (mcc) roadblocks

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
EXSB Decision made by sipo to initiate substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20150408