CN104754582A - 维护byod安全的客户端及方法 - Google Patents
维护byod安全的客户端及方法 Download PDFInfo
- Publication number
- CN104754582A CN104754582A CN201310752147.1A CN201310752147A CN104754582A CN 104754582 A CN104754582 A CN 104754582A CN 201310752147 A CN201310752147 A CN 201310752147A CN 104754582 A CN104754582 A CN 104754582A
- Authority
- CN
- China
- Prior art keywords
- management
- user
- mobile device
- service
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
Abstract
本发明公开了一种维护BYOD安全的客户端及方法。其中,该客户端包括:设备与用户身份认证模块,用于在确定接入的移动设备是合法设备的情况下,根据使用移动设备的用户从预置认证方式中选择的认证方式,对用户进行身份认证;移动设备管理系统,用于为移动设备的全生命周期提供管理操作,其中,管理操作包括:永远在线的推送消息服务。通过该客户端,可以保证被授权人员可以顺利进入企业系统进行办公,避免员工无法进入内网处理紧急问题的情况的发生。
Description
技术领域
本发明涉及通信领域,具体而言,涉及一种维护BYOD安全的客户端及方法。
背景技术
BYOD(Bring Your Own Device)指携带自己的设备办公。BYOD实现了5A智能办公(任何经过企业授权的员工(Anyone),可以通过任何智能设备(Any device),在任意时间(Anytime)、任意地点(Anywhere),访问公司的任何办公资源(Anything)),并创新性地增强了办公方案的安全性。
智能终端的普及、3G/4G移动通信技术的发展,促使了5A智能办公方案的诞生,开启了智能办公的新时代。移动办公使办公随时发生,提升了效率。传统办公方案存在的问题也迎刃而解:过去,员工不在公司时,无法获取公司的网络资源和相关信息,导致维护人员无法立即处理紧急故障、管理人员不能及时处理审批、在外销售人员不能获取最新库存信息等,进而对公司带来经济上的损失。BYOD办公方案,允许员工用自己的设备接入公司网络办公,及时处理各种问题。
移动办公在给我们带来便利的同时,也给我们带来了另外一个不容忽视的问题和挑战:信息安全。由于是员工的个人终端,这就涉及到两个方面的安全:一是企业信息安全,二是员工个人信息安全。对于企业信息安全,需要考虑对移动设备的安全管理,对接入系统的设备进行安全认证和管理,对企业资源访问者进行身份认证,同时企业还要保障企业网络不被攻击、企业数据不被拷贝窃取等。
企业信息安全固然重要,但BYOD办公所涉及到的终端是私人设备,需要顾及员工的个人隐私,过度监控会触及员工隐私红线,最终导致BYOD办公的夭折。如何平衡企业信息安全与员工信息安全,是BYOD急需有效解决的问题。只有解决了这个问题,企业和员工才能获得双赢,既提升员工满意度和工作效率,又不对公司信息安全造成影响,同时还能促进BYOD的发展。
针对如何平衡企业信息安全与员工信息安全的问题,现有的BYOD安全解决方案通常使用智能移动接入客户端的软件,但是该软件只对用户的用户名和密码作认证,并没有采取备用认证方式。当用户忘记认证用户名或密码时,就无法进入企业系统处理紧急事务,需要等待重新审批和认证完成才能重新进入系统,这期间可能会耽误宝贵的时间,甚至失去商机。
针对相关技术中BYOD安全解决方案无法有效平衡企业信息安全与员工信息安全的问题,目前尚未提出有效的解决方案。
发明内容
本发明提供了一种维护BYOD安全的客户端及方法,以至少解决上述问题。
根据本发明的一个方面,提供了一种维护BYOD安全的客户端,包括:设备与用户身份认证模块,用于在确定接入的移动设备是合法设备的情况下,根据使用移动设备的用户从预置认证方式中选择的认证方式,对用户进行身份认证;移动设备管理系统,用于为移动设备的全生命周期提供管理操作,其中,管理操作包括:永远在线的推送消息服务。
优选地,设备与用户身份认证模块包括:设备检测单元,用于将移动设备的用户标识ID上传至服务端进行合法性判断,接收服务端对移动设备的合法性判断结果,确定移动设备是否属于合法设备;用户身份认证单元,用于在用户选择用户名和密码的认证方式的情况下,将用户输入的用户名和密码信息加密上传至服务端进行验证,在用户选择基于人脸图像识别的认证方式的情况下,提示用户进行拍照以获取用户的人脸头像,将人脸头像加密上传至服务端与标准数据进行对比以得到验证结果。
优选地,管理操作还包括:设备资源管理、移动安全管理、移动应用管理以及其它管理;预置认证方式包括:用户名和密码的认证方式和基于人脸图像识别的认证方式。
优选地,设备资源管理包括:终端信息采集和管理、参数配置统计、告警维护,以及位置跟踪;移动安全管理包括:用户身份认证,访问控制,策略设置,数据擦除,证书管理,以及密钥管理;移动应用管理包括:应用发布,安装与升级管理,以及运行控制;其它管理包括:备份管理,测试管理,日志和报告,以及应用行为统计。
优选地,全生命周期包括以下阶段:注册阶段,包括:对设备和用户进行注册、设定初始密码,以及存储用户图像信息:接入控制阶段,包括:对设备和用户进行认证、下发安全策略,以及对用户进行分权限和分组操作;运行监管阶段,包括:当设备运行于企业场景时对设备进行监控、发布企业应用APP,以及下发公告信息;回收期阶段,包括:对丧失权限用户进行账号注销、设备注销,以及清除相应企业数据操作,对清除丢失设备的企业数据,以及对账号进行再分配。
优选地,移动设备管理系统包括:永远在线的推送消息平台,其中,永远在线的推送消息平台包括:永远在线引擎,用于为用户提供永远在线的和实时的IP消息推送服务。
优选地,永远在线的推送消息平台还包括:业务处理子系统,用于提供无线侧各接入点的汇聚功能,接纳并维护接入终端的长连接;鉴权子系统,用于对用户和业务提供商的接入进行鉴权,和对互联网业务和企业业务进行鉴权;支撑子系统,用于对在线业务数据进行统计分析、进行系统监控。
优选地,移动设备管理系统包括:开放设备平台客户端ODP-C和开放设备平台服务端ODP-S,其中,ODP-C,用于调用预先定义的与终端功能特性对应的管理对象和系统的应用程序编程接口API对终端的硬件进行控制,并通过系统的framework控制上层应用的安装和运行;ODP-S中集中了用于管理设备的业务逻辑,其中,业务逻辑包括:业务表现层、业务逻辑层、业务支撑平台和基础服务层。
优选地,业务表现层,用于提供业务接入的接口、用户操作的使用门户,以及应用的发布;业务逻辑层,用于实现设备信息采集、参数配置、备份与恢复、固件更新,以及应用管理;业务支撑平台包括:SyncML/XML协议解析器、OMA DM的协议族、证书发布管理,以及密钥生成管理;基础服务层包括:HTTP、FTP以及SNMP及应用层协议,数据库访问管理,SSL链接管理,消息服务。
根据本发明的另一方面,提供了一种维护BYOD安全的方法,包括:将移动设备的用户标识ID上传至服务端进行合法性判断,接收服务端对移动设备的合法性判断结果,确定移动设备是否属于合法设备;在确定接入的移动设备是合法设备的情况下,根据使用移动设备的用户从预置认证方式中选择的认证方式,对用户进行身份认证,其中,移动设备的全生命周期的管理操作由移动设备管理系统提供,管理操作包括:永远在线的推送消息服务。
优选地,管理操作还包括:设备资源管理、移动安全管理、移动应用管理以及其它管理;预置认证方式包括:用户名和密码的认证方式和基于人脸图像识别的认证方式。
通过本发明,采用在确定接入的移动设备是合法设备的情况下,根据使用移动设备的用户从预置认证方式中选择的用户名和密码的认证方式或基于人脸图像识别的认证方式,对用户进行身份认证的方式,解决了相关技术中BYOD安全解决方案无法有效平衡企业信息安全与员工信息安全的问题,可以保证被授权人员可以顺利进入企业系统进行办公,进而达到了避免员工无法进入内网处理紧急问题的情况的发生的效果。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的维护BYOD安全的客户端的结构框图;
图2是根据本发明实施例的优选维护BYOD安全的客户端的结构框图;
图3是根据本发明实施例的维护BYOD安全的方法流程图;
图4是根据本发明优选实施例的BYOD系统的安全结构示意图;
图5是根据本发明优选实施例的BYOD用户身份认证流程图;
图6是根据本发明优选实施例的BYOD生命周期的示意图;
图7是根据本发明优选实施例的消息推送平台的结构示意图;
图8是根据本发明优选实施例的MDM系统的逻辑示意图;
图9是根据本发明优选实施例的数据交互过程的示意图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
在BYOD应用场景中,针对如何有效平衡企业信息安全与员工信息安全的问题,现有技术并没有给出有效的解决方案,本发明实施例将提供一种新型的安全解决方案,以解决上述技术问题。本发明实施例的主要思想是融合一种基于人脸图像别的用户身份认证方式,当员工忘记用户名或密码,可以采用这种基于人脸图像别的用户身份认证方式进行身份鉴权以,以保证被授权人员可以顺利进入企业系统进行办公,避免员工无法进入内网处理紧急问题的情况的发生。同时,还提供一个安全的移动设备管理(MDM)系统(或模块集成),提供BYOD全生命周期的安全保障。
本发明实施例提供了一种维护BYOD安全的客户端。图1是根据本发明实施例的维护BYOD安全的客户端的结构框图,如图1所示,该客户端包括:设备与用户身份认证模块10和移动设备管理系统20。其中:
设备与用户身份认证模块10,用于在确定接入的移动设备是合法设备的情况下,根据使用移动设备的用户从预置认证方式中选择的认证方式,对用户进行身份认证;移动设备管理系统20,用于为移动设备的全生命周期提供管理操作,其中,管理操作包括:永远在线的推送消息服务。
图2是根据本发明实施例的优选维护BYOD安全的客户端的结构框图,如图2所示,在优选维护BYOD安全的客户端中,设备与用户身份认证模块10包括:设备检测单元12,用于将移动设备的用户标识ID上传至服务端进行合法性判断,接收服务端对移动设备的合法性判断结果,确定移动设备是否属于合法设备;用户身份认证单元14,用于在用户选择用户名和密码的认证方式的情况下,将用户输入的用户名和密码信息加密上传至服务端进行验证,在用户选择基于人脸图像识别的认证方式的情况下,提示用户进行拍照以获取用户的人脸头像,将人脸头像加密上传至服务端与标准数据进行对比以得到验证结果。
需要说明的是,在图1所示的维护BYOD安全的客户端和图2所示的优选维护BYOD安全的客户端的实现过程中:
管理操作还可以包括:设备资源管理、移动安全管理、移动应用管理以及其它管理;预置认证方式可以包括:用户名和密码的认证方式和基于人脸图像识别的认证方式。当然,在实际应用中,该维护BYOD安全的客户端中也可以预置其它的认证方式,例如目前比较常用的指纹识别技术。
设备资源管理可以包括:终端信息采集和管理、参数配置统计、告警维护,以及位置跟踪;移动安全管理包括:用户身份认证,访问控制,策略设置,数据擦除,证书管理,以及密钥管理;移动应用管理包括:应用发布,安装与升级管理,以及运行控制;其它管理包括:备份管理,测试管理,日志和报告,以及应用行为统计。
全生命周期可以包括以下阶段:注册阶段,包括:对设备和用户进行注册、设定初始密码,以及存储用户图像信息:接入控制阶段,包括:对设备和用户进行认证、下发安全策略,以及对用户进行分权限和分组操作;运行监管阶段,包括:当设备运行于企业场景时对设备进行监控、发布企业应用APP,以及下发公告信息;回收期阶段,包括:对丧失权限用户进行账号注销、设备注销,以及清除相应企业数据操作,对清除丢失设备的企业数据,以及对账号进行再分配。
移动设备管理系统可以包括:永远在线的推送消息平台,其中,永远在线的推送消息平台包括:永远在线引擎,用于为用户提供永远在线的和实时的IP消息推送服务。
永远在线的推送消息平台还可以包括:业务处理子系统,用于提供无线侧各接入点的汇聚功能,接纳并维护接入终端的长连接;鉴权子系统,用于对用户和业务提供商的接入进行鉴权,和对互联网业务和企业业务进行鉴权;支撑子系统,用于对在线业务数据进行统计分析、进行系统监控。
移动设备管理系统还可以包括:开放设备平台客户端ODP-C和开放设备平台服务端ODP-S,其中,ODP-C,用于调用预先定义的与终端功能特性对应的管理对象和系统的应用程序编程接口API对终端的硬件进行控制,并通过系统的framework控制上层应用的安装和运行;ODP-S中集中了用于管理设备的业务逻辑,其中,业务逻辑包括:业务表现层、业务逻辑层、业务支撑平台和基础服务层。
其中,业务表现层,用于提供业务接入的接口、用户操作的使用门户,以及应用的发布;业务逻辑层,用于实现设备信息采集、参数配置、备份与恢复、固件更新,以及应用管理;业务支撑平台包括:SyncML/XML协议解析器、OMA DM的协议族、证书发布管理,以及密钥生成管理;基础服务层包括:HTTP、FTP以及SNMP及应用层协议,数据库访问管理,SSL链接管理,消息服务。
本发明实施例还提供了一种维护BYOD安全的方法。图3是根据本发明实施例的维护BYOD安全的方法流程图,如图3所示,该方法主要包括以下步骤(步骤S302-步骤S304):
步骤S302,将移动设备的用户标识ID上传至服务端进行合法性判断,接收服务端对移动设备的合法性判断结果,确定移动设备是否属于合法设备;
步骤S304,在确定接入的移动设备是合法设备的情况下,根据使用移动设备的用户从预置认证方式中选择的认证方式,对用户进行身份认证,其中,移动设备的全生命周期的管理操作由移动设备管理系统提供,管理操作包括:永远在线的推送消息服务。
在本实施例中,管理操作还可以包括:设备资源管理、移动安全管理、移动应用管理以及其它管理;预置认证方式可以包括:用户名和密码的认证方式和基于人脸图像识别的认证方式。
在实际应用中,为了保证BYOD的安全性,可以设置安全沙箱隔离企业数据与用户数据,以保证企业数据就不能拷贝到用户数据中,用户数据也不能拷贝到企业数据中。通过这样的方式,可以防止用户数据中存在的木马等非法程序进入企业数据,污染企业数据环境,同时保证了个人数据不会流入企业环境,危及个人隐私。
当用户由个人应用场景切换至企业应用场景时,需要先对终端进行认证,将终端ID上传至服务端,服务端在确认是合法接入的终端后,再使用上述两种认证方式(用户名和密码认证、基于人脸图像识别的认证方式)之一对终端用户身份进行认证:(1)若用户选择用户名和密码的认证方式,客户端的软件可以携带加密的用户名和密码至服务端,由服务端进行比对确认身份正确后,再登录文档安全管理系统和安全邮箱,至此,用户可访问公司内部的资源。(2)若用户选择基于人脸图像识别的认证方式,终端可以提示用户即将进行拍照需要正脸对准摄像头,再自动开启拍照功能抓取照片后将照片(即上述人脸头像)上传至服务端与标准数据进行比对,以确认用户身份。
在实际应用中,移动设备管理系统可以支持对BYOD设备全生命周期的管理,其主要提供设备注册、安全策略配置、企业移动应用发布和升级、GPS定位、数据擦除、远程锁定与解锁等功能。另外,永远在线推送服务平台的引入,可以减少服务端网络开销,保障设备管理模块对设备的监管。
采用上述实施例提供的维护BYOD安全的客户端及方法,可以保证被授权人员可以顺利进入企业系统进行办公,进而达到了避免员工无法进入内网处理紧急问题的情况的发生的效果。
下面结合图4至图9以及优选实施例对上述实施例提供的维护BYOD安全的客户端及方法进行更加详细的描述和说明。
图4是根据本发明优选实施例的BYOD系统的安全结构示意图,如图4所示,BYOD系统的安全结构主要包括三大方面:数据安全管理、移动设备管理、设备与用户身份认证。
本优选实施例为用户提供一个统一的客户端,该客户端包含:MDM、虚拟专用网络(VirtualPrivate Network,简称VPN)、安全邮箱、文档安全工具、安全沙箱等一系列保障安全的应用,用户可以通过该客户端与服务端之间的交互获取认证和企业信息。通过该客户端,员工可以方便、快捷的接入企业环境,进行工作。
在本优选实施例中,企业会预先为员工注册设备和个人账号。注册需要的信息包括:设备唯一标识、员工登录账号和密码、员工人脸图像数据、员工权限分组信息、账号和设备的有效期等信息。注册后将这些信息存入服务器,以待后续认证操作和设备管理使用。
为了保证企业数据安全和个人隐私,本优选实施例采用安全沙箱技术,这样可以成功隔离企业数据和个人数据,企业不用担心企业数据进入个人数据,被员工泄露,员工也不再担心私人信息被企业获取,个人应用和企业应用不能互相访问,即,可以阻止企业与个人数据之间的传输。而且,企业数据不仅有隔离保护,还有加密保护,所有数据都由安全工具加密保存,用户需要通过身份人证,根据用户自身的权限,访问企业资源。例如,A项目组成员无法访问B项目组的资源,普通员工不能访问只为部长级以上员工开放的资源。
另外,客户端还提供防病毒安全防护工具,保证企业数据免受病毒的攻击。网络安全管理对网络进行监控,对企业无关或会对企业安全带来安全隐患的网站进行屏蔽,防止黑客的恶意攻击和企业数据通过网络泄露。在数据传输安全方面,可以通过网关和数据加密,防止数据被截取和恶意篡改。在员工由个人应用场景切换至企业应用场景时,需要通过双重身份认证(设备合法性检测、用户身份认证)。
需要说明的是,图1所示的BYOD系统的安全结构的另一个重要部分就是MDM(即移动设备管理)系统,正如前面所描述,其可以提供完整的设备生命周期管理,例如,当设备遗失时,MDM可以执行远程锁定、GPS定位、数据擦除、数据备份等操作,以保证数据的安全,还可以帮助找回设备。
具体地,MDM担任着BYOD全生命周期管理的重要任务,包括以下子功能:1、设备资源管理:终端信息采集和管理,参数配置统计,告警维护,位置跟踪;2、移动安全管理:身份鉴别,访问控制,策略设置,数据擦除,证书管理,密钥管理;3、移动应用管理:应用发布,安装与升级管理,运行控制;4、其它管理功能:备份管理,测试管理,日志和报告,应用行为统计,信息推送。
通过本优选实施例提供的两种身份认证方式,可以避免员工在用户忘记密码时,无法进入企业网而不能处理紧急任务的情况。
图5是根据本发明优选实施例的BYOD用户身份认证流程图,如图5所示,默认情况下采用用户名和密码方式认证,用户名和密码信息被加密上传至服务端进行验证。同时,用户也可以选择更换认证方式,采用人脸图像识别的方式认证。在用户选择人脸图像识别方式后,客户端会提示用户即将拍照抓取图像,请脸部正面对准摄像头。客户端会自动打开摄像机拍照,抓取照片后做灰度处理,再加密上传至服务器与标准数据作对比,最终得出认证结果。
图6是根据本发明优选实施例的BYOD生命周期的示意图,如图6所示,BYOD生命周期示意图主要包括四个阶段:注册、接入控制、运行监管、以及回收。其中,(1)注册阶段,对设备和用户进行注册,设定初始密码,存储用户图像信息;(2)接入控制阶段,对设备和用户身份进行认证、下发安全策略、对用户分权限和分组;(3)运行监管阶段,在设备运行于企业场景中,对设备进行监控、发布企业app、下发公告信息等;(4)回收期阶段,指对离职员工的设备进行账号和设备注销,清除企业数据等操作,对丢失的设备清除企业数据等。并对账号进行再分配。
为了缓解服务端的网络压力,并同时保证设备不脱离MDM的监管,本优选实施例引入了永远在线的消息推送平台,该平台包括两个部分:平台服务端,和终端侧的永远在线引擎(可以称之为终端中间件)。该平台负责接入移动互联网的永远在线业务,为用户提供永远在线的及时的IP推送业务,终端上应用通过永远在线引擎实现与平台侧的消息交互,实现链路的共享,降低网络侧的压力。其中,永远在线引擎是内置在终端上的服务进程,负责终端应用与平台之间的消息转发。
图7是根据本发明优选实施例的消息推送平台的结构示意图,如图7所示,消息推送平台的结构主要包括:
业务处理子系统406提供无线侧各接入点的汇聚功能,接纳并维护终端的长连接。同时负责长连接的唤醒,与长连接方式的Push相配合提供高效、稳定、及时的Push功能。
鉴权子系统407负责终端用户和业务提供商接入的鉴权以及互联网应用412和企业应用411的鉴权。
支撑子系统408负责在线业务数据的统计分析、系统监控、中间件的升级等功能。
推送平台通过与DNS的接口完成用户身份的查询。
推送平台通过与短信息网关401间的接口下发短信实现终端客户端403的程序唤醒功能。当平台和客户端存在网络连接时,可直接下发socket消息唤醒。
推送平台通过与业务运营支撑子系统409间的接口完成计费数据的传送以及用户开销户数据的同步。
推送平台通过与网管系统410的接口实现移动网管的接入。
平台服务端部署在特定的服务器上,终端侧永远在线引擎以客户端组件的形式引入BYOD客户端。当客户端第一次启动时,会先启动该组件,并向永远在线引擎发起注册。由于该组件是一个通用的模块,终端上的其他应用有可能已经引入,在BYOD客户端启动之前,终端如果有已经启动的永远在线引擎组件,则会比较BYOD客户端所带的引擎组件的版本和已经启动的引擎的版本,如果前者版本较高,则启动BYOD中的引擎组件,替换现已启动的,反之,BYOD客户端直接向已启动的引擎注册。永远在线引擎会携带设备的注册信息至平台侧,完成注册过程。
BYOD完成注册后,BYOD的服务端也需要完成到平台侧的注册。整个注册过程完成后,链接建立,BYOD服务端就可以通过推送平台下发NOTIFY消息至客户端,发起对客户端的管理,也可以下发公告信息至客户端。
图8是根据本发明优选实施例的MDM系统的逻辑示意图,如图8所示,MDM系统是基于移动互联网开发的平台,该平台是一种基于底层的分布式缓存等服务组件,并向上层产品提供统一开放的开发平台。开放设备平台客户端(ODP-C)是移动终端开发平台中的组件之一,其定义了一套与终端功能特性相对应的管理对象,负责调用系统API来对终端硬件进行控制;另外,其可以通过操作系统的framework控制上层应用的安装运行。开放设备平台服务端(ODP-S)运行在移动互联网开发平台的服务平台侧,其主要负责与ODP-C进行信息同步,以完成服务平台对移动终端的管理的指令下达和处理ODP-C的状态上报消息更改终端状态信息。需要说明的是,ODP-S集中了移动设备管理的主要业务逻辑,该业务逻辑又具体分为:业务表现层,业务逻辑层,业务支撑平台和基础服务层四个部分。其中,
(1)业务表现层,提供业务接入的接口和用户操作使用门户,另外,应用的发布也在这一层实现的;
(2)业务逻辑层,包含了完成业务流程的功能单元(支可扩展性配置),在开始阶段,这里主要实现了设备信息采集,参数配置,备份与恢复,固件更新,应用管理等功能单元;
(3)业务支撑平台,包含了SyncML/XML协议解析器,OMA DM的协议族,证书发布管理和密钥生成管理功能。
(4)基础服务,包含了通用应用服务的协议支撑,例如HTTP,FTP,SNMP及其它应用层协议,数据库访问管理,SSL链接管理,消息服务等等,这些都是业务支撑层的服务基础。
图9是根据本发明优选实施例的数据交互过程的示意图,如图9所示,该数据交互过程示包含两个阶段:
准备阶段:传递通知和鉴权信息,包含PACKAGE0(仅NOTIFY消息需要)、PACKAGE1、PACKAGE2;
管理阶段:管理阶段为指令下发,指令响应过程的信息交互,包含PACKAGE3和PACKAGE4,这两个PACKAGE在一次交互过程中可以有多个。
PACKAGE0
通过推送平台,下发服务器的NOTIFY消息至客户端,通知设备与服务器建立连接。终端已预先在推送平台注册,平台可根据终端唯一标识找到终端,下发消息。
PACKAGE1
设备在收到平台推送的NOTIFY消息后,携带设备信息和认证信息至服务端进行认证,开启一次新的会话。
PACKAGE2
服务器启动会话,向客户端发送管理指令Commands。
PACKAGE3
回复PACKAGE2中的Commands命令执行结果。
PACKAGE4
继续下发管理指令或者结束对话。
PACKAGE4之后仍有管理指令待下发时,重复多次下发PACKAGE3和PACKAGE3,直到所有指令下发完成。
通过上述优选实施例的实施,可以从设备合法性和用户身份认证、数据安全防护、设备管理三个方面保证了BYOD的应用安全,促进BYOD智能移动办公的推广,通过这样的方式,可以保证被授权人员可以顺利进入企业系统进行办公,避免员工无法进入内网处理紧急问题的情况的发生。
需要说明的是,上述各个模块是可以通过硬件来实现的。例如:一种处理器,包括上述各个模块,或者,上述各个模块分别位于一个处理器中。
在另外一个实施例中,还提供了一种软件,该软件用于执行上述实施例及优选实施方式中描述的技术方案。
在另外一个实施例中,还提供了一种存储介质,该存储介质中存储有上述软件,该存储介质包括但不限于:光盘、软盘、硬盘、可擦写存储器等。
从以上的描述中,可以看出,本发明实现了如下技术效果:从设备合法性和用户身份认证、数据安全防护、设备管理三个方面保证了BYOD的应用安全,促进BYOD智能移动办公的推广,提供两种用户身份认证方式来保证BYOD的安全和效率,从而实现了用户名加密码的认证方式和基于人脸图像识别的认证方式可以融合使用,尤其是对于基于人脸图像识别的认证方式,其可以在用户忘记密码时发挥重要作用,此时用户只需选择人脸识别认证方式,再用摄像头拍取照片,即可继续认证流程。通过这样的方式,可以保证被授权人员可以顺利进入企业系统进行办公,避免员工无法进入内网处理紧急问题的情况的发生。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (11)
1.一种维护BYOD安全的客户端,其特征在于,包括:
设备与用户身份认证模块,用于在确定接入的移动设备是合法设备的情况下,根据使用所述移动设备的用户从预置认证方式中选择的认证方式,对用户进行身份认证;
移动设备管理系统,用于为所述移动设备的全生命周期提供管理操作,其中,所述管理操作包括:永远在线的推送消息服务。
2.根据权利要求1所述的客户端,其特征在于,所述设备与用户身份认证模块包括:
设备检测单元,用于将所述移动设备的用户标识ID上传至服务端进行合法性判断,接收所述服务端对所述移动设备的合法性判断结果,确定所述移动设备是否属于合法设备;
用户身份认证单元,用于在用户选择所述用户名和密码的认证方式的情况下,将用户输入的用户名和密码信息加密上传至所述服务端进行验证,在用户选择所述基于人脸图像识别的认证方式的情况下,提示用户进行拍照以获取用户的人脸头像,将所述人脸头像加密上传至所述服务端与标准数据进行对比以得到验证结果。
3.根据权利要求1所述的客户端,其特征在于,
所述管理操作还包括:设备资源管理、移动安全管理、移动应用管理以及其它管理;
所述预置认证方式包括:用户名和密码的认证方式和基于人脸图像识别的认证方式。
4.根据权利要求3所述的客户端,其特征在于,
所述设备资源管理包括:终端信息采集和管理、参数配置统计、告警维护,以及位置跟踪;
所述移动安全管理包括:用户身份认证,访问控制,策略设置,数据擦除,证书管理,以及密钥管理;
所述移动应用管理包括:应用发布,安装与升级管理,以及运行控制;
所述其它管理包括:备份管理,测试管理,日志和报告,以及应用行为统计。
5.根据权利要求1所述的客户端,其特征在于,所述全生命周期包括以下阶段:
注册阶段,包括:对设备和用户进行注册、设定初始密码,以及存储用户图像信息:
接入控制阶段,包括:对设备和用户进行认证、下发安全策略,以及对用户进行分权限和分组操作;
运行监管阶段,包括:当设备运行于企业场景时对设备进行监控、发布企业应用APP,以及下发公告信息;
回收期阶段,包括:对丧失权限用户进行账号注销、设备注销,以及清除相应企业数据操作,对清除丢失设备的企业数据,以及对账号进行再分配。
6.根据权利要求1所述的客户端,其特征在于,所述移动设备管理系统包括:永远在线的推送消息平台,其中,所述永远在线的推送消息平台包括:
永远在线引擎,用于为用户提供永远在线的和实时的IP消息推送服务。
7.根据权利要求6所述的客户端,其特征在于,所述永远在线的推送消息平台还包括:
业务处理子系统,用于提供无线侧各接入点的汇聚功能,接纳并维护接入终端的长连接;
鉴权子系统,用于对用户和业务提供商的接入进行鉴权,和对互联网业务和企业业务进行鉴权;
支撑子系统,用于对在线业务数据进行统计分析、进行系统监控。
8.根据权利要求1至7中任一项所述的客户端,其特征在于,所述移动设备管理系统包括:
开放设备平台客户端ODP-C和开放设备平台服务端ODP-S,其中,
所述ODP-C,用于调用预先定义的与终端功能特性对应的管理对象和系统的应用程序编程接口API对终端的硬件进行控制,并通过系统的framework控制上层应用的安装和运行;
所述ODP-S中集中了用于管理设备的业务逻辑,其中,所述业务逻辑包括:业务表现层、业务逻辑层、业务支撑平台和基础服务层。
9.根据权利要求8所述的客户端,其特征在于,
所述业务表现层,用于提供业务接入的接口、用户操作的使用门户,以及应用的发布;
所述业务逻辑层,用于实现设备信息采集、参数配置、备份与恢复、固件更新,以及应用管理;
所述业务支撑平台包括:SyncML/XML协议解析器、OMA DM的协议族、证书发布管理,以及密钥生成管理;
所述基础服务层包括:HTTP、FTP以及SNMP及应用层协议,数据库访问管理,SSL链接管理,消息服务。
10.一种维护BYOD安全的方法,其特征在于,包括:
将移动设备的用户标识ID上传至服务端进行合法性判断,接收所述服务端对所述移动设备的合法性判断结果,确定所述移动设备是否属于合法设备;
在确定接入的移动设备是合法设备的情况下,根据使用所述移动设备的用户从预置认证方式中选择的认证方式,对用户进行身份认证,其中,所述移动设备的全生命周期的管理操作由移动设备管理系统提供,所述管理操作包括:永远在线的推送消息服务。
11.根据权利要求10所述的方法,其特征在于,
所述管理操作还包括:设备资源管理、移动安全管理、移动应用管理以及其它管理;
所述预置认证方式包括:用户名和密码的认证方式和基于人脸图像识别的认证方式。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310752147.1A CN104754582B (zh) | 2013-12-31 | 2013-12-31 | 维护byod安全的客户端及方法 |
| PCT/CN2014/079382 WO2014187393A1 (zh) | 2013-12-31 | 2014-06-06 | 维护byod安全的客户端及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310752147.1A CN104754582B (zh) | 2013-12-31 | 2013-12-31 | 维护byod安全的客户端及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104754582A true CN104754582A (zh) | 2015-07-01 |
| CN104754582B CN104754582B (zh) | 2019-10-11 |
Family
ID=51932941
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310752147.1A Active CN104754582B (zh) | 2013-12-31 | 2013-12-31 | 维护byod安全的客户端及方法 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN104754582B (zh) |
| WO (1) | WO2014187393A1 (zh) |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105162798A (zh) * | 2015-09-24 | 2015-12-16 | 西安未来国际信息股份有限公司 | 一种智能终端专有网络访问的安全认证方法 |
| CN105844142A (zh) * | 2016-03-16 | 2016-08-10 | 上海新炬网络信息技术有限公司 | 一种数据库帐号安全集中管控方法 |
| CN106375271A (zh) * | 2015-07-24 | 2017-02-01 | 宏正自动科技股份有限公司 | 网络应用服务装置及其运作方法 |
| CN106572112A (zh) * | 2016-11-09 | 2017-04-19 | 北京小米移动软件有限公司 | 访问控制方法及装置 |
| CN106647560A (zh) * | 2016-11-23 | 2017-05-10 | 中国南方电网有限责任公司 | 移动应用统一管理方法 |
| CN106713270A (zh) * | 2016-11-24 | 2017-05-24 | 北京康易联技术有限公司 | 一种进行信息验证的方法和设备 |
| CN107172008A (zh) * | 2017-04-01 | 2017-09-15 | 北京芯盾时代科技有限公司 | 一种在移动设备中进行多系统认证及同步的系统和方法 |
| CN107786486A (zh) * | 2016-08-18 | 2018-03-09 | 成都鼎桥通信技术有限公司 | 操作系统的激活方法及装置 |
| CN108076069A (zh) * | 2017-12-28 | 2018-05-25 | 武汉虹旭信息技术有限责任公司 | 基于Android平台的移动办公安全系统及其方法 |
| CN108073901A (zh) * | 2017-12-18 | 2018-05-25 | 武汉普利商用机器有限公司 | 一种人脸比对应用集成方法与系统 |
| CN108667843A (zh) * | 2018-05-14 | 2018-10-16 | 桂林电子科技大学 | 一种针对byod环境的信息安全保护系统与方法 |
| CN109842600A (zh) * | 2017-11-29 | 2019-06-04 | 中国移动通信集团山西有限公司 | 一种实现移动办公的方法、终端设备及mdm设备 |
| CN111061790A (zh) * | 2019-12-13 | 2020-04-24 | 江苏智谋科技有限公司 | 一种用于客户数据管理的信息采集系统及方法 |
| CN111093183A (zh) * | 2019-11-13 | 2020-05-01 | 华为技术有限公司 | 一种移动设备管理方法及设备 |
| CN113162905A (zh) * | 2021-02-26 | 2021-07-23 | 山东浪潮通软信息科技有限公司 | 一种企业移动设备的管控方法、设备及介质 |
| CN115225372A (zh) * | 2022-07-18 | 2022-10-21 | 镁佳(北京)科技有限公司 | 一种mqtt客户端接入方法、系统、装置及电子设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090258668A1 (en) * | 2008-04-14 | 2009-10-15 | Aruba Networks, Inc. | Enterprise location discovery in dual-mode phones |
| WO2010101697A2 (en) * | 2009-02-06 | 2010-09-10 | Oculis Labs, Inc. | Video-based privacy supporting system |
| CN102149153A (zh) * | 2010-07-15 | 2011-08-10 | 优视科技有限公司 | 一种用于移动通讯设备终端的网络自动切换方法及装置 |
| CN103297515A (zh) * | 2013-05-06 | 2013-09-11 | 北京启创卓越科技有限公司 | 移动办公系统 |
| CN103297470A (zh) * | 2012-02-29 | 2013-09-11 | 中国移动通信集团公司 | 永远在线业务的处理方法、应用服务器、用户终端和系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9058495B2 (en) * | 2013-05-16 | 2015-06-16 | Airwatch Llc | Rights management services integration with mobile device management |
-
2013
- 2013-12-31 CN CN201310752147.1A patent/CN104754582B/zh active Active
-
2014
- 2014-06-06 WO PCT/CN2014/079382 patent/WO2014187393A1/zh active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090258668A1 (en) * | 2008-04-14 | 2009-10-15 | Aruba Networks, Inc. | Enterprise location discovery in dual-mode phones |
| WO2010101697A2 (en) * | 2009-02-06 | 2010-09-10 | Oculis Labs, Inc. | Video-based privacy supporting system |
| CN102149153A (zh) * | 2010-07-15 | 2011-08-10 | 优视科技有限公司 | 一种用于移动通讯设备终端的网络自动切换方法及装置 |
| CN103297470A (zh) * | 2012-02-29 | 2013-09-11 | 中国移动通信集团公司 | 永远在线业务的处理方法、应用服务器、用户终端和系统 |
| CN103297515A (zh) * | 2013-05-06 | 2013-09-11 | 北京启创卓越科技有限公司 | 移动办公系统 |
Non-Patent Citations (2)
| Title |
|---|
| 钱煜明: "BYOD企业移动设备管理技术", 《ZTE TECHNOLOGY JOURNAL》 * |
| 陈铭: "超悦极限,畅享联接-华为BYOD移动办公解决方案", 《百度文库》 * |
Cited By (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106375271A (zh) * | 2015-07-24 | 2017-02-01 | 宏正自动科技股份有限公司 | 网络应用服务装置及其运作方法 |
| CN105162798A (zh) * | 2015-09-24 | 2015-12-16 | 西安未来国际信息股份有限公司 | 一种智能终端专有网络访问的安全认证方法 |
| CN105844142B (zh) * | 2016-03-16 | 2019-04-05 | 上海新炬网络技术有限公司 | 一种数据库帐号安全集中管控方法 |
| CN105844142A (zh) * | 2016-03-16 | 2016-08-10 | 上海新炬网络信息技术有限公司 | 一种数据库帐号安全集中管控方法 |
| CN107786486A (zh) * | 2016-08-18 | 2018-03-09 | 成都鼎桥通信技术有限公司 | 操作系统的激活方法及装置 |
| CN107786486B (zh) * | 2016-08-18 | 2020-03-24 | 成都鼎桥通信技术有限公司 | 操作系统的激活方法及装置 |
| CN106572112A (zh) * | 2016-11-09 | 2017-04-19 | 北京小米移动软件有限公司 | 访问控制方法及装置 |
| CN106647560A (zh) * | 2016-11-23 | 2017-05-10 | 中国南方电网有限责任公司 | 移动应用统一管理方法 |
| CN106713270A (zh) * | 2016-11-24 | 2017-05-24 | 北京康易联技术有限公司 | 一种进行信息验证的方法和设备 |
| CN107172008A (zh) * | 2017-04-01 | 2017-09-15 | 北京芯盾时代科技有限公司 | 一种在移动设备中进行多系统认证及同步的系统和方法 |
| CN107172008B (zh) * | 2017-04-01 | 2019-10-18 | 北京芯盾时代科技有限公司 | 一种在移动设备中进行多系统认证及同步的系统和方法 |
| CN109842600A (zh) * | 2017-11-29 | 2019-06-04 | 中国移动通信集团山西有限公司 | 一种实现移动办公的方法、终端设备及mdm设备 |
| CN109842600B (zh) * | 2017-11-29 | 2021-08-17 | 中国移动通信集团山西有限公司 | 一种实现移动办公的方法、终端设备及mdm设备 |
| CN108073901B (zh) * | 2017-12-18 | 2020-10-27 | 武汉普利商用机器有限公司 | 一种人脸比对应用集成方法与系统 |
| CN108073901A (zh) * | 2017-12-18 | 2018-05-25 | 武汉普利商用机器有限公司 | 一种人脸比对应用集成方法与系统 |
| CN108076069A (zh) * | 2017-12-28 | 2018-05-25 | 武汉虹旭信息技术有限责任公司 | 基于Android平台的移动办公安全系统及其方法 |
| CN108667843A (zh) * | 2018-05-14 | 2018-10-16 | 桂林电子科技大学 | 一种针对byod环境的信息安全保护系统与方法 |
| CN111093183A (zh) * | 2019-11-13 | 2020-05-01 | 华为技术有限公司 | 一种移动设备管理方法及设备 |
| US11863386B2 (en) | 2019-11-13 | 2024-01-02 | Huawei Technologies Co., Ltd. | Mobile device management method and device |
| CN111061790A (zh) * | 2019-12-13 | 2020-04-24 | 江苏智谋科技有限公司 | 一种用于客户数据管理的信息采集系统及方法 |
| CN113162905A (zh) * | 2021-02-26 | 2021-07-23 | 山东浪潮通软信息科技有限公司 | 一种企业移动设备的管控方法、设备及介质 |
| CN115225372A (zh) * | 2022-07-18 | 2022-10-21 | 镁佳(北京)科技有限公司 | 一种mqtt客户端接入方法、系统、装置及电子设备 |
| CN115225372B (zh) * | 2022-07-18 | 2024-02-13 | 镁佳(北京)科技有限公司 | 一种mqtt客户端接入方法、系统、装置及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104754582B (zh) | 2019-10-11 |
| WO2014187393A1 (zh) | 2014-11-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104754582B (zh) | 维护byod安全的客户端及方法 | |
| CN105027493B (zh) | 安全移动应用连接总线 | |
| US20180295137A1 (en) | Techniques for dynamic authentication in connection within applications and sessions | |
| US9240977B2 (en) | Techniques for protecting mobile applications | |
| CN108111473B (zh) | 混合云统一管理方法、装置和系统 | |
| CN109257209A (zh) | 一种数据中心服务器集中管理系统及方法 | |
| CN111314340B (zh) | 认证方法及认证平台 | |
| US20170317999A1 (en) | Security credential protection with cloud services | |
| CN112651011B (zh) | 运维系统登录验证方法、装置、设备以及计算机存储介质 | |
| CN108880822A (zh) | 一种身份认证方法、装置、系统及一种智能无线设备 | |
| JP2011522315A (ja) | 無人のアプリケーションのための認証されたデータベース接続 | |
| CN1981277A (zh) | 隔离系统 | |
| CN104704511A (zh) | 网络中自注册中qr码的使用 | |
| CN107872440B (zh) | 身份鉴权方法、装置和系统 | |
| EP3937040B1 (en) | Systems and methods for securing login access | |
| CN109547402B (zh) | 数据保护方法、装置、电子设备和可读存储介质 | |
| CN103780584A (zh) | 一种基于云计算的融合身份认证方法 | |
| CN110768963B (zh) | 一种分布式架构的可信安全管理平台 | |
| CN104243488B (zh) | 一种跨网站服务器的登录认证方法 | |
| CN113037736A (zh) | 一种认证鉴权方法、装置、系统及计算机存储介质 | |
| CN106453238B (zh) | 登录方法和系统、电子终端、公网服务器及私有云设备 | |
| CN109584421A (zh) | 一种基于国产安全芯片的智能门锁认证管理系统 | |
| CN105991524A (zh) | 家庭信息安全系统 | |
| KR20160012546A (ko) | 이동단말기의 원격제어시스템 | |
| CN110191115B (zh) | 一种远程数据共享和保护方法、服务器端、用户端及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20190812 Address after: 210012 Nanjing, Yuhuatai District, South Street, Bauhinia Road, No. 68 Applicant after: Nanjing Zhongxing Software Co., Ltd. Address before: 518057 Nanshan District science and technology, Guangdong Province, South Road, No. 55, No. Applicant before: ZTE Corporation |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |