CN105187400B - 一种移动终端安全防护系统与安全防护方法 - Google Patents
一种移动终端安全防护系统与安全防护方法 Download PDFInfo
- Publication number
- CN105187400B CN105187400B CN201510494785.7A CN201510494785A CN105187400B CN 105187400 B CN105187400 B CN 105187400B CN 201510494785 A CN201510494785 A CN 201510494785A CN 105187400 B CN105187400 B CN 105187400B
- Authority
- CN
- China
- Prior art keywords
- mobile terminal
- server
- network
- default
- guard system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种移动终端安全防护系统与安全防护方法,所述系统包括服务器、USB集线器和至少一个移动终端;服务器通过USB集线器与移动终端连接;所述每台移动终端均具有一个预设IP,移动终端为DHCP的SERVER端,服务器为DHCP的CLIENT端,移动终端利用预设的IP控制与服务器之间网络的建立,并通过预设的配置信息实现与服务器的认证;服务器用于向移动终端发送数据,并从移动终端接收数据,安全防护方法基于安全防护系统对移动终端进行安全防护,本发明将安全防护由服务器端的被动防护转移到了移动终端的主动防护,最大程度移动终端的安全性,降低了移动终端中数据被窃取的可能性。
Description
技术领域
本发明涉及一种安全防护系统与安全防护方法,特别是一种移动终端安全防护系统与安全防护方法,属于安全防护领域。
背景技术
随着科技的日新月异发展,移动终端应用也日渐普遍,基于移动终端的办公、学习、娱乐等应用已然成为趋势。但同样移动终端普及也不可避免的带来一系列的问题,首先是可管理性,移动设备由于其便携性,其位置经常发生变化,因此,如何对其进行可控的管理,成为现在企业面临的一个重要问题,其次是可操控性,对于这些移动设备,有时需要往多台设备上发送数据与信息,但现在往往是一台台的操作,浪费了企业管理人员大量的精力,最后是信息安全隐患,尤其是对于具有敏感信息的企业,移动终端的安全防护愈显重要。
移动终端的防护无外两种方式,对照ISO模型图(如图1所示)而言,一种是在应用层防护,一种是在数据链路层防护,相对于软件层面的防护,物理链路层防护就显得更安全可靠。
目前普通移动终端的防护基本上在应用层处理,严重依赖安全软件,这种安全防护方式对于一般信息安全保护尚且可以,可是安全级别更高的涉密场景就无能为力了,该方法主要存在以下问题:
(1)被动性防护:安全软件的防护属于被动式防护,病毒的发现永远滞后于病毒的查杀,并且安全防护的能力完全依赖于安全软件厂商的病毒特征库更新。
(2)操作系统安全:操作系统存在的漏洞和后门使得操作系统很容易遭到攻击。
(3)硬件安全:终端的丢失可能会造成隐秘数据的泄露和丢失。
安全性要求高的敏感环境中,出于安全考虑,移动终端基本摘除终端WIFI模块、外置SD卡,所有移动终端交互数据在一个封闭的局域网中与具有交互功能的公共机完成数据交互。此种设计在一定程度做到了安全防护(屏蔽了以上一般移动终端1、2、3条安全隐患),但还是存在以下风险:
(1)终端外接到其它电脑依然可以通过android的ADB工具获取终端中的信息。
(2)终端外接到联网电脑,如果电脑安装DHCP的SERVER组件,那么DHCP会自动配置移动终端,导致终端带出到非敏感环境上网有泄露信息的风险。
(3)终端的丢失后很容易窃取终端中的信息。
发明内容
本发明的技术解决问题是:克服现有技术的不足,提供了一种移动终端安全防护系统与安全防护方法,以移动终端为DHCP的SERVER端,服务器为DHCP的CLIENT端,并且通过移动终端控制与服务器之间的网络连接和设备认证,将安全防护由服务器端的被动防护转移到了移动终端的主动防护,最大程度移动终端的安全性,降低了移动终端中数据被窃取的可能性。
本发明的技术解决方案是:一种移动终端安全防护系统,包括:服务器、USB集线器和至少一个移动终端;
所述服务器通过USB集线器与移动终端连接;所述每台移动终端均具有一个预设IP,移动终端为DHCP的SERVER端,服务器为DHCP的CLIENT端,移动终端利用预设的IP控制与服务器之间网络的建立,并通过预设的配置信息实现与服务器的认证;所述服务器用于向移动终端发送数据,并从移动终端接收数据。
所述USB集线器为级联多口配置,包括主插槽和子插槽,主插槽与服务器的USB接口连接,子插槽通过USB线与移动终端连接;
所述每台移动终端的操作系统由Andriod操作系统修改形成,所述修改包括:删除ADB模块,强制启用Selinux与全盘加密,强制使用USB进行网络通讯,在内核中增加网络接入控制服务。
所述移动终端利用预设的IP控制与服务器之间网络的建立,具体为:
移动终端通过USB集线器连接到服务器后,服务器USB接口探测到有设备连接并自动虚拟出网卡,服务器扫描到虚拟网卡后,服务器DHCP CLIENT向移动终端请求网络地址,移动终端DHCP SERVER接收服务器DHCP CLIENT发出的请求后,根据自身的预设IP为服务器的虚拟网卡分配一个IP,服务器根据接收到的IP设置虚拟网卡网络地址,设置完成后,服务器通过虚拟网卡与移动终端建立网络连接。
所述移动终端通过预设的配置信息实现与服务器的认证,具体为:服务器通过虚拟网卡与移动终端建立网路连接后,移动终端向服务器请求认证密码,并将服务器返回的认证密码与预设的配置信息进行匹配,若匹配成功,则移动终端与服务器之间进行数据传输,否则,移动终端主动断开网络连接。
所述服务器向移动终端发送的数据中包括服务器的防火墙策略,用于覆盖移动终端自身的防火墙策略。
所述服务器安装ubuntu操作系统。
所述移动终端去除了无线射频模块和sd卡,并安装了经过加固的安全操作系统。
一种基于移动终端安全防护系统的安全防护方法,步骤如下:
(1)从服务器获取认证密码,并生成相应的配置信息;
(2)对移动终端进行初始化,设置每个移动终端的预设IP和安全服务器的IP,向移动终端注入用户防火墙策略,并将步骤(1)中生成的配置信息输入给移动终端;
(3)利用USB集线器将服务器和移动终端进行连接;
(4)移动终端利用预设的IP实现与服务器之间的网络连接,若连接成功,则进入步骤(5),否则,重新尝试连接;
(5)移动终端通过预设的配置信息与服务器进行认证,若认证成功,则进入步骤(6),否则,断开网络连接,对移动终端进行锁定,无法使用;
(6)移动终端启用用户防火墙策略;
(7)服务器向移动终端分发数据,并从移动终端读取数据。
本发明通过Android系统改造来实现对移动终端操作系统加固。终端设备与实物柜之间以HTTPS over USB近距离通信方式互联,服务器通过USB HUB支持多终端接入,终端接入时由终端为服务器分配动态IP,终端可以主动控制网络的通断。终端、柜服务器和平台服务器之间通过以太网交换机互联,并形成全设备IP互联。
本发明与现有技术相比的有益效果是:
本发明中的系统以移动终端为DHCP的SERVER端,服务器为DHCP的CLIENT端,并且通过移动终端控制与服务器之间的网络连接和设备认证,将安全防护由服务器端的被动防护转移到了移动终端的主动防护,最大程度移动终端的安全性,降低了移动终端中数据被窃取的可能性。通过网络接入控制,实现了移动终端只在可信网络中工作。
附图说明
图1为ISO模型图;
图2为现有移动终端的批量管理星形结构示意图;
图3为本发明中系统结构示意图;
图4为DHCP网络拓扑结构示意图;
图5为本发明中方法的流程图。
具体实施方式
下面结合附图对本发明的具体实施方式进行进一步的详细描述。
如图3所示为本发明的系统结构示意图,从图3可知,本发明提出的一种一种移动终端安全防护系统,其特征在于包括:服务器、USB集线器和至少一个移动终端;
所述服务器通过USB集线器与移动终端连接;所述每台移动终端均具有一个预设IP,移动终端为DHCP的SERVER端,服务器为DHCP的CLIENT端,移动终端利用预设的IP控制与服务器之间网络的建立,并通过预设的配置信息实现与服务器的认证;所述服务器用于向移动终端发送数据,并从移动终端接收数据。
所述USB集线器为级联多口配置,包括主插槽和子插槽,主插槽与服务器的USB接口连接,子插槽通过USB线与移动终端连接。
本发明中的系统通过控制外界到移动终端的入口来实现移动终端安全防护的解决方案,其主要措施包括:移动终端的操作系统改造、移动终端硬件改造和DHCP网络拓扑结构改造;
移动终端的操作系统改造具体为:每台移动终端的操作系统由Andriod操作系统修改形成,所述修改包括:删除ADB模块,强制启用Selinux与全盘加密,强制使用USB进行网络通讯,确保移动终端与外界的唯一通讯链路只有USB;本系统对Android系统进行加固,通过全盘加密、Selinux强制启用、增加网络接入控制服务以实现操作系统安全。
移动终端硬件改造具体为:移动终端的安全芯片均采用国产芯片,且去除了无线射频模块和sd卡,以实现硬件安全。
DHCP网络拓扑结构改造具体为:通常移动终端的批量管理均采用星形结构,具体如图2所示,即DHCP网络拓扑结构都以服务器为DHCP作为SERVER端,其它网络节点为CLIENT端,SERVER端分配网络地址到其它节点以实现互联互通。
新定义DHCP网络拓扑结构正与通常结构相反,以移动终端作为DHCP的SERVER端,以服务器为CLIENT端,由此服务端网络地址完全受控于移动终端,这样有两个好处:
(1)移动终端可以控制与服务器的连接。具体为:
移动终端通过USB集线器连接到服务器后,服务器USB接口探测到有设备连接并自动虚拟出网卡,服务器扫描到虚拟网卡后,服务器DHCP CLIENT向移动终端请求网络地址,移动终端DHCP SERVER接收服务器DHCP CLIENT发出的请求后,根据自身的预设IP为服务器的虚拟网卡分配一个IP,服务器根据接收到的IP设置虚拟网卡网络地址,设置完成后,服务器通过虚拟网卡与移动终端建立网络连接。本系统通过主动接入控制来实现主动安全防护,保证设备自身远离高风险环境。
(2)移动终端可以控制与服务器之间的认证,从而决定是否进行数据传输,具体为:服务器通过虚拟网卡与移动终端建立网路连接后,移动终端向服务器请求认证密码,并将服务器返回的认证密码与预设的配置信息进行匹配,若匹配成功,则移动终端与服务器之间进行数据传输,否则,移动终端主动断开网络连接。服务器向移动终端发送的数据中包括服务器的防火墙策略,用于覆盖移动终端自身的防火墙策略。
本发明网络拓扑关系如图4所示,服务器安装ubuntu操作系统并具备DHCP(CLIENT)功能,自动生成的虚拟网卡(如:网卡USB0)中转服务器与移动终端数据信息;实物柜内置多台移动终端设备,每台终端设备具备DHCP(SERVER)功能。其运行原理为:当移动终端(如:移动终端1)通过USB集线器连接到服务器时,服务器USB接口探测有设备连接,ubuntu自动虚拟出网卡(如:网口USB1),ubuntu内置的NetworkManager扫描到网口USB1,此时服务器DHCP客户端发出设置网络地址请求,移动终端DHCP接受网络请求,查找终端设备定义的虚拟网络地址信息(包括IP、网关、子网掩码、DNS服务器等)回复到服务器,服务器DHCP根据回复信息设置虚拟网卡地址信息,到此服务器就可以通过虚拟网口(网口USB1)与移动终端1通讯了。
如图5所示为本发明中的方法流程图,从图5可知,本发明提出的一种安全防护方法,具体步骤为:
(1)从服务器获取认证密码,并生成相应的配置信息;
(2)对移动终端进行初始化,设置每个移动终端的预设IP和安全服务器的IP,向移动终端注入用户防火墙策略,并将步骤(1)中生成的配置信息输入给移动终端;
(3)利用USB集线器将服务器和移动终端进行连接;
(4)移动终端利用预设的IP实现与服务器之间的网络连接,若连接成功,则进入步骤(5),否则,重新尝试连接;
(5)移动终端通过预设的配置信息与服务器进行认证,若认证成功,则进入步骤(6),否则,断开网络连接,对移动终端进行锁定,无法使用;
(6)移动终端启用用户防火墙策略;
(7)服务器向移动终端分发数据,并从移动终端读取数据。
本发明说明书中未作详细描述的内容属于本领域专业技术人员的公知技术。
Claims (8)
1.一种移动终端安全防护系统,其特征在于包括:服务器、USB集线器和至少一个移动终端;
所述服务器通过USB集线器与移动终端连接;所述每台移动终端均具有一个预设IP,移动终端为DHCP的SERVER端,服务器为DHCP的CLIENT端,移动终端利用预设的IP控制与服务器之间网络的建立,并通过预设的配置信息实现与服务器的认证;所述服务器用于向移动终端发送数据,并从移动终端接收数据;
所述每台移动终端的操作系统由Andriod操作系统修改形成,所述修改包括:删除ADB模块,强制启用Selinux与全盘加密,强制使用USB进行网络通讯。
2.根据权利要求1所述的一种移动终端安全防护系统,其特征在于:所述USB集线器为级联多口配置,包括主插槽和子插槽,主插槽与服务器的USB接口连接,子插槽通过USB线与移动终端连接。
3.根据权利要求1所述的一种移动终端安全防护系统,其特征在于:所述移动终端利用预设的IP控制与服务器之间网络的建立,具体为:
移动终端通过USB集线器连接到服务器后,服务器USB接口探测到有设备连接并自动虚拟出网卡,服务器扫描到虚拟网卡后,服务器DHCP CLIENT向移动终端请求网络地址,移动终端DHCP SERVER接收服务器DHCP CLIENT发出的请求后,根据自身的预设IP为服务器的虚拟网卡分配一个IP,服务器根据接收到的IP设置虚拟网卡网络地址,设置完成后,服务器通过虚拟网卡与移动终端建立网络连接。
4.根据权利要求1所述的一种移动终端安全防护系统,其特征在于:所述移动终端通过预设的配置信息实现与服务器的认证,具体为:服务器通过虚拟网卡与移动终端建立网路连接后,移动终端向服务器请求认证密码,并将服务器返回的认证密码与预设的配置信息进行匹配,若匹配成功,则移动终端与服务器之间进行数据传输,否则,移动终端主动断开网络连接。
5.根据权利要求1所述的一种移动终端安全防护系统,其特征在于:所述服务器向移动终端发送的数据中包括服务器的防火墙策略,用于覆盖移动终端自身的防火墙策略。
6.根据权利要求1所述的一种移动终端安全防护系统,其特征在于:所述服务器安装ubuntu操作系统。
7.根据权利要求1所述的一种移动终端安全防护系统,其特征在于:所述移动终端去除了无线射频模块和sd卡。
8.一种基于权利要求1中移动终端安全防护系统的安全防护方法,其特征在于步骤如下:
(1)从服务器获取认证密码,并生成相应的配置信息;
(2)对移动终端进行初始化,设置每个移动终端的预设IP和安全服务器的IP,向移动终端注入用户防火墙策略,并将步骤(1)中生成的配置信息输入给移动终端;
(3)利用USB集线器将服务器和移动终端进行连接;
(4)移动终端利用预设的IP实现与服务器之间的网络连接,若连接成功,则进入步骤(5),否则,重新尝试连接;
(5)移动终端通过预设的配置信息与服务器进行认证,若认证成功,则进入步骤(6),否则,断开网络连接,对移动终端进行锁定,无法使用;
(6)移动终端启用用户防火墙策略;
(7)服务器向移动终端分发数据,并从移动终端读取数据。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510494785.7A CN105187400B (zh) | 2015-08-12 | 2015-08-12 | 一种移动终端安全防护系统与安全防护方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510494785.7A CN105187400B (zh) | 2015-08-12 | 2015-08-12 | 一种移动终端安全防护系统与安全防护方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105187400A CN105187400A (zh) | 2015-12-23 |
CN105187400B true CN105187400B (zh) | 2018-04-27 |
Family
ID=54909244
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510494785.7A Active CN105187400B (zh) | 2015-08-12 | 2015-08-12 | 一种移动终端安全防护系统与安全防护方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105187400B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113918575B (zh) * | 2021-12-06 | 2022-03-29 | 山东捷瑞数字科技股份有限公司 | 一种离线数据分级加锁机制的实现方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1458761A (zh) * | 2002-05-15 | 2003-11-26 | 华为技术有限公司 | 一种宽带网络接入方法 |
CN103179554A (zh) * | 2011-12-22 | 2013-06-26 | 中国移动通信集团广东有限公司 | 无线宽带网络接入控制方法、装置与网络设备 |
CN103685147A (zh) * | 2012-08-31 | 2014-03-26 | 中国联合网络通信集团有限公司 | 网络接入安全处理方法、设备及系统 |
EP2728835A1 (en) * | 2012-11-02 | 2014-05-07 | Yamaha Corporation | Music system control method |
CN104202714A (zh) * | 2014-08-05 | 2014-12-10 | 深圳市元征科技股份有限公司 | 相异操作系统的移动终端近距离通讯方法和系统 |
-
2015
- 2015-08-12 CN CN201510494785.7A patent/CN105187400B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1458761A (zh) * | 2002-05-15 | 2003-11-26 | 华为技术有限公司 | 一种宽带网络接入方法 |
CN103179554A (zh) * | 2011-12-22 | 2013-06-26 | 中国移动通信集团广东有限公司 | 无线宽带网络接入控制方法、装置与网络设备 |
CN103685147A (zh) * | 2012-08-31 | 2014-03-26 | 中国联合网络通信集团有限公司 | 网络接入安全处理方法、设备及系统 |
EP2728835A1 (en) * | 2012-11-02 | 2014-05-07 | Yamaha Corporation | Music system control method |
CN104202714A (zh) * | 2014-08-05 | 2014-12-10 | 深圳市元征科技股份有限公司 | 相异操作系统的移动终端近距离通讯方法和系统 |
Also Published As
Publication number | Publication date |
---|---|
CN105187400A (zh) | 2015-12-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101150594B (zh) | 一种移动蜂窝网络和无线局域网的统一接入方法及系统 | |
EP2814276B1 (en) | Access authentication method and device for wireless local area network hotspot | |
CN102724175B (zh) | 泛在绿色社区控制网络的远程通信安全管理架构与方法 | |
CN106302415A (zh) | 一种验证设备合法性和对合法设备自动配网的方法 | |
CN105101206A (zh) | 一种设备的wifi自动接入方法及系统 | |
CN100492991C (zh) | 网元管理的方法、系统及网元 | |
CN102255918A (zh) | 一种基于DHCP Option 82的用户接入权限控制方法 | |
CN103441984A (zh) | 安全无线网络中的动态认证 | |
CN104394051A (zh) | 智能家居控制系统和智能家居路由器 | |
CN101277308A (zh) | 一种隔离内外网络的方法、认证服务器及接入交换机 | |
WO2009037700A2 (en) | Remote computer access authentication using a mobile device | |
CN103441991A (zh) | 一种移动终端安全接入平台 | |
CN107404485A (zh) | 一种自验证云连接方法及其系统 | |
CN103222292A (zh) | 利用安全热点网络的动态帐户创建 | |
CN101986598B (zh) | 认证方法、服务器及系统 | |
CN108738019B (zh) | 融合网络中的用户认证方法及装置 | |
CN102185840B (zh) | 一种认证方法、设备及系统 | |
CN105516984A (zh) | 一种公共WiFi的安全接入系统 | |
CN105610839A (zh) | 一种终端接入网络的控制方法及装置 | |
CN107104958A (zh) | 管理私有云设备的方法、私有云和公有云设备及存储装置 | |
CN101984693A (zh) | 终端接入局域网的监控方法和监控装置 | |
CN112929881A (zh) | 一种应用于极简网络的机卡验证方法和相关设备 | |
CN106341815A (zh) | 一种无线连接方法、终端及ap | |
CN202652534U (zh) | 移动终端安全接入平台 | |
CN101188558B (zh) | 访问控制方法、单元及网络设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: 100081 Shenzhou building, South Avenue, Haidian District, Beijing, 402, Zhongguancun Applicant after: Leinas Technology (Beijing) Limited by Share Ltd Address before: 100081 Shenzhou building, South Avenue, Haidian District, Beijing, 402, Zhongguancun Applicant before: China Spacesat Co., Ltd. |
|
COR | Change of bibliographic data | ||
GR01 | Patent grant | ||
GR01 | Patent grant |