CN104980338A - 基于移动智能终端的企业即时通讯安全应用系统 - Google Patents
基于移动智能终端的企业即时通讯安全应用系统 Download PDFInfo
- Publication number
- CN104980338A CN104980338A CN201510239663.3A CN201510239663A CN104980338A CN 104980338 A CN104980338 A CN 104980338A CN 201510239663 A CN201510239663 A CN 201510239663A CN 104980338 A CN104980338 A CN 104980338A
- Authority
- CN
- China
- Prior art keywords
- intelligent terminal
- mobile intelligent
- enterprise
- enterprise instant
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
本发明提供一种基于移动智能终端的企业即时通讯安全应用系统,其中移动智能终端的操作系统包括非安全执行域和安全执行域两个独立的程序域;移动智能终端的安全域包括VOIP功能模块。本发明的基于移动智能终端的企业即时通讯安全应用系统从软件和硬件两级保护系统的完整性,在启动阶段和运行阶段都可以对系统的完整性运行进行衡量;对企业即时通讯程序被恶意篡改的行为进行报告;当移动智能终端进入企业即时通讯系统时进行安全防护,提高了系统的抗攻击性;在企业即时通讯系统运行阶段检测系统的安全性,对关键参数和代码进行完整性度量。
Description
技术领域
本发明涉及通讯安全的技术领域,特别是涉及一种基于移动智能终端的企业即时通讯安全应用系统。
背景技术
在现有的移动智能终端上,安卓系统是当前应用最广泛的开源系统,同时也是各种恶意软件和病毒攻击的目标,其安全问题一直是最为关注的问题之一。
企业即时通讯(Enterprise Instant Messaging,EIM)是一种面向企业终端使用者的网络沟通工具服务。使用者可以通过安装了即时通信软件的终端机进行两人或多人之间的实时沟通。交流内容包括文字、界面、语音、视频及文件互发等。
现有技术中,基于移动智能终端的企业即时通讯在以下两种应用中存在着严重的安全问题。
1)基于局域网的PC和移动智能终端间的即时通讯应用
在企业内部,即时通讯一般是基于的IP的TCP或UPD协议,通过网络明文进行数据传输或VOIP语音传输。这种数据传输方式仅仅是完成了数据的搬运工作,并未对数据进行加密处理。因此数据很容易被黑客截获或篡改,从而存在一定的信息安全隐患。
2)基于企业内网(WIFI)的移动智能终端间的VOIP电话通讯应用
在基于企业的本地WiFi网络的VOIP语音通话应用中,一般采用SIP(Session InitiationProtocol,会话初始协议)。而SIP协议是基于文本方式的通信协议,在网络上采用明文的方式进行传输;同时语音包也是采用业内的标准音频编解码算法。鉴于此,通讯数据是很容易遭到黑客攻击而发生信息安全事故。
因此,如何实现基于移动智能终端的企业即时通讯的安全应用,以防止企业即时通讯在数据传输过程中被泄密、被篡改,是当前急待解决的问题。
发明内容
鉴于以上所述现有技术的缺点,本发明的目的在于提供一种基于移动智能终端的企业即时通讯安全应用系统,基于ARM TrustZone技术,将移动智能终端的操作系统划分为二个独立程序域:非安全执行域和安全执行域,并在智能移动终端的安全执行域中建立VOIP功能模块,从而实现局域网中的PC与移动智能终端间的即时安全通讯,以及企业内网中移动智能终端间的VOIP电话通信安全,在根本上保证企业即时通讯时的数据传输安全。
为实现上述目的及其他相关目的,本发明提供一种基于移动智能终端的企业即时通讯安全应用系统,移动智能终端的操作系统包括非安全执行域和安全执行域两个独立的程序域;移动智能终端的安全域包括VOIP功能模块。
根据上述的基于移动智能终端的企业即时通讯安全应用系统,其中:采用ARM TrustZone技术,将移动智能终端的操作系统划分为非安全执行域和安全执行域。
根据上述的基于移动智能终端的企业即时通讯安全应用系统,其中:所述非安全执行域运行用户级应用;所述安全执行域运行企业级应用。
根据上述的基于移动智能终端的企业即时通讯安全应用系统,其中:所述安全执行域和所述非安全执行域共同运行在一个操作系统下。
根据上述的基于移动智能终端的企业即时通讯安全应用系统,其中:所述VOIP功能模块用于建立移动智能终端与企业网络间的VPN链接、移动智能终端在注册服务器上的登记注册以及建立移动智能终端间的呼叫。
根据上述的基于移动智能终端的企业即时通讯安全应用系统,其中:所述安全执行域中包括加密模块和解密模块;所述加密模块用于对从移动智能终端的安全执行域中发出的数据进行加密处理;所述解密模块用于将从PC发送到移动智能终端的加密数据进行解密处理。
根据上述的基于移动智能终端的企业即时通讯安全应用系统,其中:基于局域网的PC和移动智能终端间进行即时通讯时,只有合法的移动智能终端才能接入企业的信息通信系统;所有从移动智能终端的安全执行域中发出的数据,都进行加密处理;所有由PC发送到移动智能终端的数据,都进行加密处理。
根据上述的基于移动智能终端的企业即时通讯安全应用系统,其中:基于企业内网进行移动智能终端间的VOIP电话通讯时,所有从安全执行域中发出的数据,都须进行加密处理;所有发送到安全执行域的数据,都须进行加密处理。
根据上述的基于移动智能终端的企业即时通讯安全应用系统,其中:所述移动智能终端包括智能手机、平板电脑和PDA。
如上所述,本发明的基于移动智能终端的企业即时通讯安全应用系统,具有以下有益效果:
(1)从软件和硬件两级保护系统的完整性,在启动阶段和运行阶段都可以对系统的完整性运行进行衡量;
(2)对企业即时通讯程序被恶意篡改的行为进行报告;
(3)当移动智能终端进入企业即时通讯系统时进行安全防护,提高了系统的抗攻击性;
(4)在企业即时通讯系统运行阶段检测系统的安全性,对关键参数和代码进行完整性度量。
附图说明
图1显示为本发明的基于移动智能终端的企业即时通讯安全应用系统中移动智能终端的内核安全域划分结构示意图;
图2显示为本发明的基于移动智能终端的企业即时通讯安全应用系统中VOIP功能模块的框架结构示意图;
图3显示为本发明的基于移动智能终端的企业即时通讯安全应用系统中PC与移动智能终端间安全通讯的框架示意图;
图4显示为本发明的基于移动智能终端的企业即时通讯安全应用系统中移动智能终端间安全通讯的框架示意图。
具体实施方式
以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。
需要说明的是,本实施例中所提供的图示仅以示意方式说明本发明的基本构想,遂图式中仅显示与本发明中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制,其实际实施时各组件的型态、数量及比例可为一种随意的改变,且其组件布局型态也可能更为复杂。
本发明的基于移动智能终端的企业即时通讯安全应用系统基于ARM TrustZone技术,将移动智能终端的智能操作系统划分为二个独立程序域:非安全执行域和安全执行域,其中,非安全执行域运行用户级应用,安全执行域用于运行企业级应用。
具体地,安全执行域和非安全执行域使用TrustZone技术实现隔离,共同运行在一个操作系统下。在移动智能终端的安全域中建立VOIP功能模块,并在其上建立安全的VPN链接、登记注册、建立呼叫等。
需要说明的是,本发明中所涉及的移动智能终端包括并不限于智能手机、平板电脑、PDA,以及其他具有数据处理功能终端设备。通常,智移动智能终端是指具有独立的操作系统,可以由用户自行安装软件、游戏等第三方服务商提供的程序,通过此类程序来不断对手持设备的功能进行扩充,并可以通过移动通讯网络来实现无线网络接入的这样一类终端设备。优选地,移动智能终端采用Android操作系统。
本发明的基于移动智能终端的企业即时通讯安全应用系统包括:
1)移动智能终端的操作系统包括非安全执行域和安全执行域两个独立的程序域。
具体地,通过ARM TrustZone技术方案,将移动智能终端的智能操作系统划分为二个独立程序域:非安全执行域和安全执行域,其中,非安全执行域运行用户级应用;安全执行域运行企业级应用。安全执行域和非安全执行域使用TrustZone技术实现隔离,共同运行在一个操作系统下。
TrustZone技术在系统单芯片内加入专属的安全核心,由硬件建构的存取控制方式支援两颗虚拟的处理器。这个方式可使得应用程式核心能够在两个状态之间切换,各个领域可以各自独立运作但却仍能使用同一颗内核。
其中,移动智能终端的两个程序域划分如图1所示。安全执行域和非安全执行执行域基于Linux内核提供的命名空间实现,具体采用TrustZone技术来实现执行域的划分。通过将移动智能终端的操作系统和各个应用程序划分到不同的执行域中,来实现个人应用环境和办公环境的强隔离。
2)移动智能终端的安全域包括VOIP功能模块。
具体地,在移动智能终端的安全域构建VOIP功能模块,并利用VOIP功能模块进行建立安全的VPN链接、登记注册、建立呼叫等操作。
VOIP功能模块的框架图如图4所示。具体地,VOIP功能模块的功能如下:
a)建立安全的VPN链接
移动智能终端通过VPN链接与企业网络建立连接。因此,移动智能终端与企业网络内所有其他终端的通信都是被加密的。
b)登记注册
VOIP通讯软件向注册服务器发送注册请求信息(REGISTER),该消息中携带了所有需要登记的信息。注册服务器收到注册请求消息后向移动智能终端发送回应消息,以告知其请求消息已收到。如果注册成功,就再向移动智能终端发送“200OK”消息。
c)建立呼叫
主叫方向VOIP代理服务器发送会话请求。VOIP代理服务器在收到会话请求后,向已注册的被叫方发送会话请求消息。被叫方在收到会话请求消息后,通过响铃等方式通知被叫用户。被叫用户应答后,向VOIP代理服务器返回应答消息,同时VOIP代理服务器将应答消息发送到主叫方。至此,主叫方与被叫方成功建立呼叫连接。
优选地,在安全执行域中还包括加密模块和解密模块。其中,加密模块用于对从移动智能终端的安全执行域中发出的数据进行加密处理;解密模块用于将从PC发送到移动智能终端的加密数据进行解密处理。
在实际使用中,本发明的基于移动智能终端的企业即时通讯安全应用系统,在如下两种典型的安全通讯应用,能够从根本上保证数据通讯的安全性。
一、基于局域网的PC和移动智能终端间的即时通讯应用
如图3所示,基于局域网的PC与移动智能终端进行通讯时,只有合法的用户才能接入企业的信息通信系统,并可以与PC机上的即时通讯应用进行安全通讯。其中,所有从移动智能终端的安全执行域中发出的数据,都会进行加密处理;所有由PC发送到移动智能终端的数据,都会进行加密处理,从而保证了在数据传输过程中不易被截取篡改,使得企业的内部数据信息交互安全性得到了有效的保证。。
另外,在企业的内部即时通讯软件中,首先需要有效地确认通信各方的身份,避免发生身份盗用的情况,从源头确保信息的安全;然后在移动智能终端通信数据在离开安全执行域时,须经过加密处理,以便从数据通道层面保护数据的安全,有效地保护企业的机密信息不被非法窃取,保障了PC机与移动智能终端间的企业办公通讯的安全。
二、基于企业内网(WIFI)的移动智能终端间的VOIP电话通讯应用
如图4所示,本发明在移动智能终端的安全执行域中加入VOIP功能模块,用于进行用户的识别、连接等操作。所有从安全执行域中发出的通讯数据,都须经过安全执行域的加密处理;所有发送到安全执行域的通讯数据,都须经过安全执行域的加密处理。通过上述方案保证了信息传输的安全,从而使得企业的内部数据信息交互安全性得到了有效的保证。
综上所述,本发明的基于移动智能终端的企业即时通讯安全应用系统从软件和硬件两级保护系统的完整性,在启动阶段和运行阶段都可以对系统的完整性运行进行衡量;对企业即时通讯程序被恶意篡改的行为进行报告;当移动智能终端进入企业即时通讯系统时进行安全防护,提高了系统的抗攻击性;在企业即时通讯系统运行阶段检测系统的安全性,对关键参数和代码进行完整性度量。所以,本发明有效克服了现有技术中的种种缺点而具高度产业利用价值。
上述实施例仅例示性说明本发明的原理及其功效,而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下,对上述实施例进行修饰或改变。因此,举凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变,仍应由本发明的权利要求所涵盖。
Claims (9)
1.一种基于移动智能终端的企业即时通讯安全应用系统,其特征在于:
移动智能终端的操作系统包括非安全执行域和安全执行域两个独立的程序域;
移动智能终端的安全域包括VOIP功能模块。
2.根据权利要求1所述的基于移动智能终端的企业即时通讯安全应用系统,其特征在于:采用ARM TrustZone技术,将移动智能终端的操作系统划分为非安全执行域和安全执行域。
3.根据权利要求1所述的基于移动智能终端的企业即时通讯安全应用系统,其特征在于:所述非安全执行域运行用户级应用;所述安全执行域运行企业级应用。
4.根据权利要求1所述的基于移动智能终端的企业即时通讯安全应用系统,其特征在于:所述安全执行域和所述非安全执行域共同运行在一个操作系统下。
5.根据权利要求1所述的基于移动智能终端的企业即时通讯安全应用系统,其特征在于:所述VOIP功能模块用于建立移动智能终端与企业网络间的VPN链接、移动智能终端在注册服务器上的登记注册以及建立移动智能终端间的呼叫。
6.根据权利要求1所述的基于移动智能终端的企业即时通讯安全应用系统,其特征在于:所述安全执行域中包括加密模块和解密模块;所述加密模块用于对从移动智能终端的安全执行域中发出的数据进行加密处理;所述解密模块用于将从PC发送到移动智能终端的加密数据进行解密处理。
7.根据权利要求1所述的基于移动智能终端的企业即时通讯安全应用系统,其特征在于:基于局域网的PC和移动智能终端间进行即时通讯时,只有合法的移动智能终端才能接入企业的信息通信系统;所有从移动智能终端的安全执行域中发出的数据,都进行加密处理;所有由PC发送到移动智能终端的数据,都进行加密处理。
8.根据权利要求1所述的基于移动智能终端的企业即时通讯安全应用系统,其特征在于:基于企业内网进行移动智能终端间的VOIP电话通讯时,所有从安全执行域中发出的数据,都须进行加密处理;所有发送到安全执行域的数据,都须进行加密处理。
9.根据权利要求1所述的基于移动智能终端的企业即时通讯安全应用系统,其特征在于:所述移动智能终端包括智能手机、平板电脑和PDA。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510239663.3A CN104980338A (zh) | 2015-05-12 | 2015-05-12 | 基于移动智能终端的企业即时通讯安全应用系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510239663.3A CN104980338A (zh) | 2015-05-12 | 2015-05-12 | 基于移动智能终端的企业即时通讯安全应用系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104980338A true CN104980338A (zh) | 2015-10-14 |
Family
ID=54276467
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510239663.3A Pending CN104980338A (zh) | 2015-05-12 | 2015-05-12 | 基于移动智能终端的企业即时通讯安全应用系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104980338A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105430150A (zh) * | 2015-12-24 | 2016-03-23 | 北京奇虎科技有限公司 | 一种实现安全通话的方法和装置 |
| CN105657697A (zh) * | 2015-12-24 | 2016-06-08 | 北京奇虎科技有限公司 | 一种保护短信安全的方法和装置 |
| CN106936686A (zh) * | 2015-12-31 | 2017-07-07 | 北京北信源软件股份有限公司 | 一种支持安全移动办公的即时通信平台 |
| CN108604991A (zh) * | 2016-07-12 | 2018-09-28 | 金主汉 | 能够检测应用程序篡改的双通道认证代理系统及其方法 |
| CN108737671A (zh) * | 2017-04-20 | 2018-11-02 | 中兴通讯股份有限公司 | 一种voip通信方法、装置、设备及家庭网关系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130219188A1 (en) * | 2012-02-16 | 2013-08-22 | Samsung Electronics Co. Ltd. | Apparatus and method for reproducing contents in electronic device |
| CN103390124A (zh) * | 2012-05-08 | 2013-11-13 | 迪斯克雷蒂克斯科技公司 | 安全输入和处理口令的设备、系统和方法 |
| CN104378381A (zh) * | 2014-11-27 | 2015-02-25 | 上海斐讯数据通信技术有限公司 | 智能终端企业邮件安全办公方法及系统 |
| CN104392188A (zh) * | 2014-11-06 | 2015-03-04 | 三星电子(中国)研发中心 | 一种安全数据存储方法和系统 |
| US20150121454A1 (en) * | 2013-10-29 | 2015-04-30 | Peter J. Cox | Voip and unified communication authentication mechanism using components of the subscriber identity module (sim) and related hardware and firmware equivalents in mobile devices. |
-
2015
- 2015-05-12 CN CN201510239663.3A patent/CN104980338A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130219188A1 (en) * | 2012-02-16 | 2013-08-22 | Samsung Electronics Co. Ltd. | Apparatus and method for reproducing contents in electronic device |
| CN103390124A (zh) * | 2012-05-08 | 2013-11-13 | 迪斯克雷蒂克斯科技公司 | 安全输入和处理口令的设备、系统和方法 |
| US20150121454A1 (en) * | 2013-10-29 | 2015-04-30 | Peter J. Cox | Voip and unified communication authentication mechanism using components of the subscriber identity module (sim) and related hardware and firmware equivalents in mobile devices. |
| CN104392188A (zh) * | 2014-11-06 | 2015-03-04 | 三星电子(中国)研发中心 | 一种安全数据存储方法和系统 |
| CN104378381A (zh) * | 2014-11-27 | 2015-02-25 | 上海斐讯数据通信技术有限公司 | 智能终端企业邮件安全办公方法及系统 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105430150A (zh) * | 2015-12-24 | 2016-03-23 | 北京奇虎科技有限公司 | 一种实现安全通话的方法和装置 |
| CN105657697A (zh) * | 2015-12-24 | 2016-06-08 | 北京奇虎科技有限公司 | 一种保护短信安全的方法和装置 |
| CN106936686A (zh) * | 2015-12-31 | 2017-07-07 | 北京北信源软件股份有限公司 | 一种支持安全移动办公的即时通信平台 |
| CN108604991A (zh) * | 2016-07-12 | 2018-09-28 | 金主汉 | 能够检测应用程序篡改的双通道认证代理系统及其方法 |
| CN108604991B (zh) * | 2016-07-12 | 2021-06-15 | 金主汉 | 能够检测应用程序篡改的双通道认证代理系统及其方法 |
| CN108737671A (zh) * | 2017-04-20 | 2018-11-02 | 中兴通讯股份有限公司 | 一种voip通信方法、装置、设备及家庭网关系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Mazurczyk et al. | Information hiding as a challenge for malware detection | |
| CN104980920B (zh) | 智能终端建立通信连接的方法及装置 | |
| WO2017162081A1 (zh) | 一种剪切板访问控制方法及系统、存储介质 | |
| CN104980338A (zh) | 基于移动智能终端的企业即时通讯安全应用系统 | |
| Shen et al. | An efficient and privacy-preserving location sharing mechanism | |
| EP4021048A1 (en) | Identity authentication method and apparatus | |
| CN103179128B (zh) | 安卓平台浏览器与网站服务器间的通信安全增强代理系统 | |
| CN102202299A (zh) | 一种基于3g/b3g的端到端语音加密系统的实现方法 | |
| CN103916394A (zh) | 公共wifi环境下的数据传输方法及系统 | |
| Arunkumar et al. | A review paper on preserving privacy in mobile environments | |
| CN107294968A (zh) | 一种音视频数据的监控方法和系统 | |
| Carvajal et al. | Detecting unprotected SIP-based Voice over IP traffic | |
| CN106060792B (zh) | 一种基于tpm加密的ip短消息收发方法 | |
| CN111246407A (zh) | 用于短信传输的数据加密、解密方法及装置 | |
| CN105790932A (zh) | 一种通过使用机器码为基础的加密方法 | |
| US20210377233A1 (en) | Mobile device system and method for preventing network signal interception and hacking | |
| CN111212017A (zh) | 一种面向智能终端的安全传输方法及系统 | |
| Ackermann et al. | Vulnerabilities and Security Limitations of current IP Telephony Systems | |
| CN112580056B (zh) | 一种终端设备、数据加密方法、解密方法、及电子设备 | |
| CN105430150B (zh) | 一种实现安全通话的方法和装置 | |
| KR20140123353A (ko) | 보안 메시지 전송 시스템, 이를 위한 장치 및 그의 보안 메시지 처리 방법 | |
| CN102780812B (zh) | 一种利用移动终端实现安全输入的方法和系统 | |
| Lal et al. | An architecture methodology for secure video conferencing | |
| Wu et al. | IoT Security Architecture | |
| Cheon et al. | Cyber-attack and Cybersecurity Design for a Smart Work System |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20151014 |