CN104767621B - 一种移动应用访问企业数据的单点安全认证方法 - Google Patents
一种移动应用访问企业数据的单点安全认证方法 Download PDFInfo
- Publication number
- CN104767621B CN104767621B CN201510179510.4A CN201510179510A CN104767621B CN 104767621 B CN104767621 B CN 104767621B CN 201510179510 A CN201510179510 A CN 201510179510A CN 104767621 B CN104767621 B CN 104767621B
- Authority
- CN
- China
- Prior art keywords
- business data
- authentication
- mobile terminal
- point safety
- safety authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Abstract
本发明公开了一种移动应用访问企业数据的单点安全认证方法。其中,单点安全认证网关支持多种主流的安全认证协议,包括Kerberos、NTLM、SAML等,同时为第三方认证模块提供统一的编程接口。单点安全认证网关为移动终端应用设置自身的用户名、密码和身份证书,通过按需配置的安全认证协议就可以完成移动终端应用与企业数据服务之间动态、透明和安全的认证。同时,单点安全认证网关可以定期的与企业数据服务进行安全交互,更新密钥,这样很好的实现了移动终端应用与企业数据服务之间动态更新认证密钥的安全特性,确保了企业数据的安全,降低了企业数据泄漏的风险。
Description
技术领域
本发明涉及计算机网络通信领域中的安全认证方法,尤其涉及一种在移动终端应用单点安全认证网关访问企业数据服务的过程中,如何支持动态、透明和安全的认证方法。
背景技术
随着智能终端的成熟与普及,以手机、平板电脑为代表的个人智能终端设备逐渐进入企业应用领域。据国际权威咨询公司Gartner的预测,到2014年90%的企业将会支持员工在个人移动设备上运行企业办公应用程序,员工使用个人智能终端设备办公已经成为一种无法逆转的潮流。这类被称为BYOD(Bring Your Own Device,自带设备办公)的现象为企业安全和管理带来了新的挑战:
(1)企业网络边界变得模糊,原有的边界防御系统无法有效保护企业的数据安全。企业员工的移动设备可以在任何时间、任何地点接入移动互联网或公共/家庭WiFi网络,移动终端中的企业数据也会暴露在互联网的攻击之下。
(2)个人应用与企业应用混用,为企业带来信息安全风险。同一移动终端设备上既有个人应用,又有企业应用和数据,个人应用可以随意访问、存取企业数据,从而存在企业数据被个人非法上传、共享和外泄的风险。如存储在手机中的办公邮件、文件、图片、通信记录以及与业务内容有关的短信等,这些敏感信息的泄漏给企业带来极大的信息安全风险。
(3)当前用户密码为了方便记忆和管理,一般只会将有意义的字符串作为密码,安全性很差,无法自动生成随机密钥。
(4)目前移动终端应用访问企业数据服务时,基本采用基于用户名和密码的验证方式,这种方式存在较大的安全隐患。
(5)多数企业应用中包含多个数据服务,每个数据服务都需要相应的访问验证,当移动终端应用访问多个企业数据服务时,造成移动终端登录管理的繁琐,同时对企业数据安全造成更大的隐患。
(6)目前大多数企业应用多采用移动终端和PC分离的管理模式,这样造成企业运行与维护的工作负荷的增加,浪费了较多的企业资源,增加了企业的运维成本。
发明内容
本发明的目的是为了增强移动终端应用访问企业数据服务的安全性和便捷性,提供一种认证方法。移动终端应用通过单点安全认证网关获取到用户名、密码和唯一的身份证书,可以透明的安全访问企业内部的多个数据服务,简化了移动终端应用在访问多个企业服务时地登录管理,同时增强了企业内部的数据安全。
本发明采用的技术方案如下:
一种移动应用访问企业数据的单点安全认证方法,将整个单点安全认证网关作为企业的安全认证代理实体,为移动终端应用设置自身的用户名、密码和身份证书,具体包括以下步骤:
(1)单点安全认证网关为移动终端应用分配全局的用户名、密码以及身份证书,作为移动终端在企业网络中的唯一标识;
(2)单点安全认证网关按需动态的配置多个安全认证模块,提供动态可靠的安全认证组合策略,消除单个安全验证模块存在的不足,并按需启用安全认证模块;
(3)由安全认证模块实现与对应企业数据服务进行连接,并进行安全认证协议交互,建立移动终端应用与企业数据服务之间的信任关系;
(4)单点安全认证网关为移动终端应用与企业数据服务建立VPN安全连接;
(5)移动终端应用通过单点安全认证网关访问企业数据服务。所述安全认证模块包括Kerberos模块、NTLM模块、SAML模块或第三方认证模块,或者以上模块的任意组合。
进一步地,单点安全认证网关如果需要支持动态的定期更新认证密码,另配置有安全认证定时模块,当定时器超时的时候,自动的与相应的企业数据服务重新连接并进行安全认证协议交互,使得双方获得新的随机共享密钥。
所述第三方认证模块为开发商提供统一的编程接口,集成第三方的安全模块,增强了单点安全认证网关安全认证技术的动态扩展性。
本发明是基于主流安全认证协议(Kerberos、NTLM、SAML和第三方认证服务)的安全特性基础上,提出了适合于移动终端应用访问企业数据服务的动态、透明和安全的认证的解决方法。移动终端应用只需单点登录单点安全认证网关,便可以透明的安全访问企业内部的多个数据服务,为移动终端应用访问多个数据服务建立单一的安全验证,大大弥补了本技术领域目前认证方法的不足,同时实现了动态更新认证密钥的安全特性。
附图说明
下面结合附图对本发明进一步详细地说明:
图1是现有移动终端应用访问企业数据服务的验证示意图;
图2是本发明移动终端应用单点安全访问企业数据服务的网络模型;
图3是移动终端应用访问企业数据服务的对称认证的配置方法及处理流程示意图。
具体实施方式
如图2所示,本发明移动终端应用单点认证技术访问企业数据服务的网络模型。单点安全认证网关是由移动终端认证服务、Kerberos安全模块、NTLM安全模块、AD认证模块、SAML安全模块和第三方认证模块组成,其中Kerberos安全模块、NTLM安全模块、AD认证模块、SAML安全模块和第三方认证模块可按需进行配置。移动终端应用通过Internet发送用户名、密码以及身份证书到单点安全认证网关;单点安全认证网关使用移动终端认证服务进行安全验证;单点安全认证网关为合法的移动终端应用和所访问的企业数据服务(S1,S2,……)建立可信任的VPN安全连接进行数据访问。在企业内部网络中的PC应用通过单点安全认证网关中的AD认证模块验证其身份是否合法;单点安全认证网关为PC应用与其访问的企业数据服务(S1,S2,……)建立安全连接进行数据访问。
如图3所示,本发明移动终端应用访问企业数据服务的对称认证的配置方法及处理流程为:
(1)移动终端发送用户名、密码以及身份证书等验证信息;
(2)单点安全认证网关验证用户登录是否合法;
(3)如果是合法登录,则按需启用安全认证服务;
(4)单点安全认证网关为移动终端应用与企业数据服务建立VPN安全连接,连接成功后,移动终端应用即可访问企业数据服务。
本发明的特点在于:动态支持多种主流安全认证协议,可由用户按需配置相应的安全认证模块,是一种适合于移动终端应用与企业数据服务之间动态、透明和安全的认证方法。在本发明中,将整个单点安全认证网关作为企业的安全认证代理实体,为移动终端应用设置自身的用户名、密码和身份证书,单点安全认证网关通过配置的安全认证模块实现移动终端应用与企业数据服务之间的安全交互,移动终端应用可以通过单点安全认证网关安全的访问多个企业数据服务,很好的实现了在移动终端应用和企业数据服务之间动态、透明的安全特性。
Claims (3)
1.一种移动应用访问企业数据的单点安全认证方法,其特征在于,将整个单点安全认证网关作为企业的安全认证代理实体,为移动终端应用设置自身的用户名、密码和身份证书,具体包括以下步骤:
(1)单点安全认证网关为移动终端应用分配全局的用户名、密码以及身份证书,作为移动终端在企业网络中的唯一标识;
(2)单点安全认证网关按需动态的配置多个安全认证模块,提供动态可靠的安全认证组合策略,并按需启用安全认证模块;
(3)由安全认证模块实现与对应企业数据服务进行连接,并进行安全认证协议交互,建立移动终端应用与企业数据服务之间的信任关系;
(4)单点安全认证网关为移动终端应用与企业数据服务建立VPN安全连接;
(5)移动终端应用通过单点安全认证网关访问企业数据服务;单点安全认证网关另配置有安全认证定时模块,支持动态的定期更新认证密码,当定时器超时的时候,自动的与相应的企业数据服务重新连接并进行安全认证协议交互,使得双方获得新的随机共享密钥。
2.根据权利要求1所述的一种移动应用访问企业数据的单点安全认证方法,其特征在于,所述安全认证模块包括Kerberos模块、NTLM模块、SAML模块或第三方认证模块,或者以上模块的任意组合。
3.根据权利要求2所述的一种移动应用访问企业数据的单点安全认证方法,其特征在于,所述第三方认证模块为开发商提供统一的编程接口,集成第三方的安全模块,增强了单点安全认证网关安全认证技术的动态扩展性。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510179510.4A CN104767621B (zh) | 2015-04-16 | 2015-04-16 | 一种移动应用访问企业数据的单点安全认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510179510.4A CN104767621B (zh) | 2015-04-16 | 2015-04-16 | 一种移动应用访问企业数据的单点安全认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104767621A CN104767621A (zh) | 2015-07-08 |
| CN104767621B true CN104767621B (zh) | 2018-04-10 |
Family
ID=53649254
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510179510.4A Expired - Fee Related CN104767621B (zh) | 2015-04-16 | 2015-04-16 | 一种移动应用访问企业数据的单点安全认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104767621B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105025035A (zh) * | 2015-08-05 | 2015-11-04 | 全球鹰(福建)网络科技有限公司 | 一种单点安全认证方法及系统 |
| CN105391724B (zh) * | 2015-11-25 | 2019-04-16 | 用友网络科技股份有限公司 | 用于信息系统的授权管理方法及授权管理装置 |
| CN108462706B (zh) * | 2018-03-06 | 2022-05-03 | 武汉理工大学 | 一种单点登录方法及系统 |
| CN109150880B (zh) * | 2018-08-22 | 2022-02-22 | 深圳市人民政府金融发展服务办公室 | 数据报送方法、装置及计算机可读存储介质 |
| CN113922982A (zh) * | 2021-08-31 | 2022-01-11 | 网宿科技股份有限公司 | 登录方法、电子设备及计算机可读存储介质 |
| CN114422258A (zh) * | 2022-01-25 | 2022-04-29 | 百安居信息技术(上海)有限公司 | 一种基于多认证协议的单点登录方法、介质及电子设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1700638A (zh) * | 2004-05-18 | 2005-11-23 | 江苏省电力公司 | 借助安全认证网关的企业网安全接入方法 |
| CN101064717A (zh) * | 2006-04-26 | 2007-10-31 | 北京华科广通信息技术有限公司 | 信息系统或设备的安全防护系统及其工作方法 |
| CN101207485A (zh) * | 2007-08-15 | 2008-06-25 | 深圳市同洲电子股份有限公司 | 对用户进行统一身份安全认证的系统及其方法 |
| CN101232373A (zh) * | 2007-01-26 | 2008-07-30 | 同济大学 | 基于asp模式的网络化制造安全集成系统 |
| CN103297437A (zh) * | 2013-06-20 | 2013-09-11 | 中国软件与技术服务股份有限公司 | 一种移动智能终端安全访问服务器的方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10176335B2 (en) * | 2012-03-20 | 2019-01-08 | Microsoft Technology Licensing, Llc | Identity services for organizations transparently hosted in the cloud |
-
2015
- 2015-04-16 CN CN201510179510.4A patent/CN104767621B/zh not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1700638A (zh) * | 2004-05-18 | 2005-11-23 | 江苏省电力公司 | 借助安全认证网关的企业网安全接入方法 |
| CN101064717A (zh) * | 2006-04-26 | 2007-10-31 | 北京华科广通信息技术有限公司 | 信息系统或设备的安全防护系统及其工作方法 |
| CN101232373A (zh) * | 2007-01-26 | 2008-07-30 | 同济大学 | 基于asp模式的网络化制造安全集成系统 |
| CN101207485A (zh) * | 2007-08-15 | 2008-06-25 | 深圳市同洲电子股份有限公司 | 对用户进行统一身份安全认证的系统及其方法 |
| CN103297437A (zh) * | 2013-06-20 | 2013-09-11 | 中国软件与技术服务股份有限公司 | 一种移动智能终端安全访问服务器的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104767621A (zh) | 2015-07-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104767621B (zh) | 一种移动应用访问企业数据的单点安全认证方法 | |
| CN104158824B (zh) | 网络实名认证方法及系统 | |
| US8869253B2 (en) | Electronic system for securing electronic services | |
| US9125055B1 (en) | Systems and methods for authenticating users accessing unsecured WiFi access points | |
| US8495195B1 (en) | Cookie preservation when switching devices | |
| US8973122B2 (en) | Token based two factor authentication and virtual private networking system for network management and security and online third party multiple network management method | |
| US9055055B1 (en) | Provisioning account credentials via a trusted channel | |
| KR101243713B1 (ko) | 무선랜 접속 장치 및 그 동작 방법 | |
| US20150326560A1 (en) | Registration and network access control | |
| CN108028845A (zh) | 使用导出凭证注册企业移动装置管理服务 | |
| CN101610502B (zh) | 基于移动应用门户的不同业务系统移动信息化整合的方法 | |
| CN108881309A (zh) | 大数据平台的访问方法、装置、电子设备及可读存储介质 | |
| US8689303B1 (en) | Cookie-handling gateway | |
| CN110247758A (zh) | 密码管理的方法、装置及密码管理器 | |
| TW201909072A (zh) | 電子帳戶的掛失、解掛、業務管理方法、裝置及設備 | |
| Ahn et al. | User authentication platform using provisioning in cloud computing environment | |
| CN103905408A (zh) | 一种信息的获取方法和设备 | |
| CN102420808B (zh) | 一种在电信网上营业厅实现单点登录的方法 | |
| CN103401686A (zh) | 一种用户互联网身份认证系统及其应用方法 | |
| CN103414719A (zh) | 基于安全的通讯录管理系统及方法 | |
| CN102255979A (zh) | 一种接入服务器的方法和系统 | |
| CN105025035A (zh) | 一种单点安全认证方法及系统 | |
| Jana et al. | Management of identity and credentials in mobile cloud environment | |
| CN102083066B (zh) | 统一安全认证的方法和系统 | |
| CN107508810A (zh) | 一种基于移动办公应用的认证管理方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180410 Termination date: 20210416 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |