CN110401679A - 基于网络环境的移动应用安全隧道建立的控制方法和装置 - Google Patents
基于网络环境的移动应用安全隧道建立的控制方法和装置 Download PDFInfo
- Publication number
- CN110401679A CN110401679A CN201910793959.8A CN201910793959A CN110401679A CN 110401679 A CN110401679 A CN 110401679A CN 201910793959 A CN201910793959 A CN 201910793959A CN 110401679 A CN110401679 A CN 110401679A
- Authority
- CN
- China
- Prior art keywords
- tunnel
- address
- established
- mobile application
- application security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2592—Translation of Internet protocol [IP] addresses using tunnelling or encapsulation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本公开提供一种基于网络环境的移动应用安全隧道建立的控制方法和装置。该方法包括在通过虚拟安全域技术给应用封装安全隧道配置时,移动应用安全网关收到下发的隧道建立地址的地址约束范围;在虚拟安全域封装的应用启动时,移动应用安全网关确定隧道建立地址,将所确定的隧道建立地址对照地址约束范围进行判断,在地址约束范围内则建立安全隧道,否则不建立安全隧道。该装置包括地址约束范围下发单元、隧道建立判断单元和安全隧道建立单元。这种方法和装置可以做到在不同网络环境状态下,动态判断安全隧道是否建立。可以针对用户在企业内网办公无需进行隧道加密,从而提高了数据传输的效率,降低了对应用安全网关的性能压力。
Description
技术领域
本发明属于移动应用安全接入技术领域,具体涉及一种基于网络环境的移动应用安全隧道建立的控制方法和装置。
背景技术
在业务应用移动化中,为了防止数据被泄密、篡改,保证信息的完整性,移动办公应用通过安全隧道接入企业办公内网,对数据进行加密传输,通常是通过SDK或者沙箱封装的方式给应用(APP)加安全隧道壳,与应用安全网关建立加密隧道。但存在一些缺陷,不能根据网络环境动态地判断安全隧道的壳是否生效。例如用户在内网通过wifi接入的情况下,安全加壳的应用APP还需要通过公网与安全网关建立隧道,降低了应用网关的资源利用与数据传输的效率。
发明内容
针对现有技术存在的缺陷,本发明提供一种基于网络环境的移动应用安全隧道建立的控制方法和装置,可以有效解决用户在企业内网办公无需进行隧道加密的问题。
本发明采用的技术方案如下:
一方面,本发明提供一种基于网络环境的移动应用安全隧道建立的控制方法。所述基于网络环境的移动应用安全隧道建立的控制方法包括:在通过虚拟安全域技术给应用封装安全隧道配置时,移动应用安全网关收到下发的隧道建立地址的地址约束范围;在虚拟安全域封装的应用启动时,所述移动应用安全网关确定隧道建立地址,将所确定的所述隧道建立地址对照所述地址约束范围进行判断,在所述地址约束范围内则建立安全隧道,否则不建立安全隧道。
优选地,所述隧道建立地址为域名解析地址,所述地址约束范围为域名解析地址约束范围。
优选地,所述地址约束范围确定的原则是与在内网环境下域名解析的地址不同。
优选地,所述移动应用安全网关确定隧道建立地址包括:根据所述客户端所处的互联网环境自动进行域名解析,域名解析得到所述隧道建立地址。
优选地,所述建立安全隧道包括:所述虚拟安全域封装的应用通过所述移动应用安全网关向服务端协商证书认证,并接收所述服务端的应答;证书认证成功之后,所述虚拟安全域封装的应用通过所述移动应用安全网关向所述服务端协商账号密码认证,并接收所述服务端的应答;认证通过之后,在所述虚拟安全域封装的应用和所述服务端之间建立安全隧道。
另一方面,本发明提供一种基于网络环境的移动应用安全隧道建立的控制装置。所述基于网络环境的移动应用安全隧道建立的控制装置包括:地址约束范围下发单元,用于在通过虚拟安全域技术给应用封装安全隧道配置时,移动应用安全网关收到下发的隧道建立地址的地址约束范围;隧道建立判断单元,用于在虚拟安全域封装的应用启动时,所述移动应用安全网关确定隧道建立地址,将所确定的所述隧道建立地址对照所述地址约束范围进行判断;安全隧道建立单元,用于在所确定的所述隧道建立地址在所述地址约束范围内时,建立安全隧道。
优选地,所述隧道建立地址为域名解析地址,所述地址约束范围为域名解析地址约束范围。
优选地,所述地址约束范围确定的原则是与在内网环境下域名解析的地址不同。
优选地,所述隧道建立判断单元进一步用于根据所述客户端所处的互联网环境自动进行域名解析,域名解析得到所述隧道建立地址。
优选地,所述安全隧道建立单元包括:证书认证模块,用于在建立安全隧道之前,通过所述移动应用安全网关向服务端协商证书认证并接收所述服务端的应答;账号密码认证模块,用于在证书认证成功之后,通过所述移动应用安全网关向所述服务端协商账号密码认证并接收所述服务端的应答。
本公开提供的基于网络环境的移动应用安全隧道建立的控制方法和装置具有以下优点:
本公开提供的基于网络环境的移动应用安全隧道建立的控制方法和装置可以做到在不同网络环境状态下,动态判断安全隧道是否建立。可以针对用户在企业内网办公无需进行隧道加密,从而提高了数据传输的效率,降低了对应用安全网关的性能压力。
附图说明
图1为本公开一个实施例提供的基于网络环境的移动应用安全隧道建立的控制方法的流程图;
图2为本公开一个实施例提供的基于网络环境的移动应用安全隧道建立的控制方法在移动设备、网关和服务器之间的信息交互图;
图3为本公开一个实施例提供的建立安全隧道的方法的流程图;
图4为本公开一个实施例提供的基于网络环境的移动应用安全隧道建立的控制装置的结构示意图;
图5为本公开一个实施例提供的安全隧道建立单元的结构示意图。
具体实施方式
为了使本发明所解决的技术问题、技术方案以及有益效果更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
虚拟安全域(Virtual Security Area)技术是指基于移动操作系统底层技术对移动应用进行完整安全控制的技术,在无需获取应用源代码、无需对操作系统进行Root或越狱的情况下对应用进行容器化,建立一个可管理的、相对隔离的虚拟系统,作为构建在应用和系统、应用和应用之间的桥梁,从而对应用数据及用户使用行为等进行全方位的管理和保护。
图1为本公开一个实施例提供的基于网络环境的移动应用安全隧道建立的控制方法的流程图。图2为本公开一个实施例提供的基于网络环境的移动应用安全隧道建立的控制方法在移动设备、网关和服务器之间的信息交互图。如图1 和图2所示,该实施例的基于网络环境的移动应用安全隧道建立的控制方法包括如下步骤:
步骤110,在通过虚拟安全域技术给应用(APP)封装安全隧道配置时,移动应用安全网关收到下发的隧道建立地址的地址约束范围。
安全隧道建立的地址可以为域名形式,比如为IP地址。下发的地址约束范围可以为域名解析地址约束范围。
步骤120,在虚拟安全域封装的APP启动时,移动应用安全网关确定隧道建立地址,将所确定的隧道建立地址对照地址约束范围进行判断,在地址约束范围内则建立安全隧道,否则不建立安全隧道。
对于安全隧道建立的地址为域名形式的情况,在虚拟安全域封装的APP启动时进行域名解析,将解析得到的域名对照地址约束范围进行判断,在地址约束范围内则建立安全隧道,否则不建立安全隧道。
其中,地址约束范围确定的原则是与在内网环境下域名解析的地址不同。 VSA封装的APP在建立隧道的时候会进行域名解析,域名解析的地址是根据客户端(移动设备)所处的互联网环境自动解析。在实际网络环境的情况下,将隧道建立地址与域名解析的约束范围比较判断。如果是内网环境则不会建立安全隧道,直接访问业务系统;如果在地址约束范围内,即确定是外网环境,则建立安全隧道。
对于移动设备在企业外网的情况,安全隧道域名解析后的地址在地址约束范围内,则安全隧道正常建立,访问企业内网。对于移动设备在企业内网的情况,安全隧道域名解析后的地址为内网地址,在封装安全隧道配置时下发的域名解析地址约束范围内,安全隧道的壳就自动失效。因此,移动设备在内网的情况,安全隧道失效,可以直接访问业务系统,无需经过应用安全网关。
图3为本公开一个实施例提供的建立安全隧道的方法的流程图。如图3所示,如果需要建立安全隧道,该实施例提供的建立安全隧道的方法包括如下步骤:
1)VSA封装的应用通过移动应用安全网关向服务端协商证书认证;
2)通过移动应用安全网关接收服务端的应答;
3)证书认证成功之后,VSA封装的应用通过移动应用安全网关向服务端协商账号密码认证;
4)通过移动应用安全网关接收服务端的应答;
5)验证通过之后,在VSA封装的应用和服务端之间建立安全隧道。
该实施例的建立安全隧道的方法还可以包括在步骤1)和步骤2)之间的多次协商交换步骤。
图4为本公开一个实施例提供的基于网络环境的移动应用安全隧道建立的控制装置的结构示意图。如图4所示,该实施例的基于网络环境的移动应用安全隧道建立的控制装置包括地址约束范围下发单元410、隧道建立判断单元420 和安全隧道建立单元430。
地址约束范围下发单元410用于在通过虚拟安全域技术给应用封装安全隧道配置时,移动应用安全网关收到下发的隧道建立地址的地址约束范围。地址约束范围下发单元410的操作可以参照上面参考图1描述的步骤110的操作。
隧道建立判断单元420用于在虚拟安全域封装的应用启动时,移动应用安全网关确定隧道建立地址,将所确定的隧道建立地址对照地址约束范围进行判断。隧道建立判断单元420的操作可以参照上面参考图1描述的步骤120的操作。
安全隧道建立单元430用于在所确定的隧道建立地址在地址约束范围内时建立安全隧道。安全隧道建立单元430的操作可以参照上面参考图1描述的步骤 120的操作。
其中,隧道建立地址为域名解析地址,地址约束范围为域名解析地址约束范围。地址约束范围确定的原则是与在内网环境下域名解析的地址不同。隧道建立判断单元进一步用于根据客户端(移动设备)所处的互联网环境自动进行域名解析,域名解析得到隧道建立地址。
图5为本公开一个实施例提供的安全隧道建立单元的结构示意图。如图5所示,安全隧道建立单元430包括证书认证模块431和账号密码认证模块433。证书认证模块431用于在建立安全隧道之前,通过移动应用安全网关向服务端协商证书认证并接收服务端的应答。证书认证模块431的操作可以参照上面参考图3描述的步骤1)和步骤2)的操作。账号密码认证模块433用于在证书认证成功之后,通过移动应用安全网关向服务端协商账号密码认证并接收服务端的应答。账号密码认证模块433的操作可以参照上面参考图3描述的步骤3)和步骤4)的操作。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视本发明的保护范围。
Claims (10)
1.一种基于网络环境的移动应用安全隧道建立的控制方法,其特征在于,包括:
在通过虚拟安全域技术给应用封装安全隧道配置时,移动应用安全网关收到下发的隧道建立地址的地址约束范围;
在虚拟安全域封装的应用启动时,所述移动应用安全网关确定隧道建立地址,将所确定的所述隧道建立地址对照所述地址约束范围进行判断,在所述地址约束范围内则建立安全隧道,否则不建立安全隧道。
2.根据权利要求1所述的基于网络环境的移动应用安全隧道建立的控制方法,其特征在于,所述隧道建立地址为域名解析地址,所述地址约束范围为域名解析地址约束范围。
3.根据权利要求2所述的基于网络环境的移动应用安全隧道建立的控制方法,其特征在于,所述地址约束范围确定的原则是与在内网环境下域名解析的地址不同。
4.根据权利要求2所述的基于网络环境的移动应用安全隧道建立的控制方法,其特征在于,所述移动应用安全网关确定隧道建立地址包括:
根据所述客户端所处的互联网环境自动进行域名解析,域名解析得到所述隧道建立地址。
5.根据权利要求1所述的基于网络环境的移动应用安全隧道建立的控制方法,其特征在于,所述建立安全隧道包括:
所述虚拟安全域封装的应用通过所述移动应用安全网关向服务端协商证书认证,并接收所述服务端的应答;
证书认证成功之后,所述虚拟安全域封装的应用通过所述移动应用安全网关向所述服务端协商账号密码认证,并接收所述服务端的应答;
认证通过之后,在所述虚拟安全域封装的应用和所述服务端之间建立安全隧道。
6.一种基于网络环境的移动应用安全隧道建立的控制装置,其特征在于,包括:
地址约束范围下发单元,用于在通过虚拟安全域技术给应用封装安全隧道配置时,移动应用安全网关收到下发的隧道建立地址的地址约束范围;
隧道建立判断单元,用于在虚拟安全域封装的应用启动时,所述移动应用安全网关确定隧道建立地址,将所确定的所述隧道建立地址对照所述地址约束范围进行判断;
安全隧道建立单元,用于在所确定的所述隧道建立地址在所述地址约束范围内时,建立安全隧道。
7.根据权利要求6所述的基于网络环境的移动应用安全隧道建立的控制装置,其特征在于,所述隧道建立地址为域名解析地址,所述地址约束范围为域名解析地址约束范围。
8.根据权利要求7所述的基于网络环境的移动应用安全隧道建立的控制装置,其特征在于,所述地址约束范围确定的原则是与在内网环境下域名解析的地址不同。
9.根据权利要求7所述的基于网络环境的移动应用安全隧道建立的控制装置,其特征在于,所述隧道建立判断单元进一步用于根据所述客户端所处的互联网环境自动进行域名解析,域名解析得到所述隧道建立地址。
10.根据权利要求6所述的基于网络环境的移动应用安全隧道建立的控制装置,其特征在于,所述安全隧道建立单元包括:
证书认证模块,用于在建立安全隧道之前,通过所述移动应用安全网关向服务端协商证书认证并接收所述服务端的应答;
账号密码认证模块,用于在证书认证成功之后,通过所述移动应用安全网关向所述服务端协商账号密码认证并接收所述服务端的应答。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910793959.8A CN110401679A (zh) | 2019-08-27 | 2019-08-27 | 基于网络环境的移动应用安全隧道建立的控制方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910793959.8A CN110401679A (zh) | 2019-08-27 | 2019-08-27 | 基于网络环境的移动应用安全隧道建立的控制方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110401679A true CN110401679A (zh) | 2019-11-01 |
Family
ID=68329210
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910793959.8A Pending CN110401679A (zh) | 2019-08-27 | 2019-08-27 | 基于网络环境的移动应用安全隧道建立的控制方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110401679A (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101488902A (zh) * | 2009-02-25 | 2009-07-22 | 杭州华三通信技术有限公司 | 一种gre隧道的动态建立方法和设备 |
| CN102325016A (zh) * | 2011-10-18 | 2012-01-18 | 深圳市融创天下科技股份有限公司 | 一种建立数据通道的请求和应答方法、系统和终端设备 |
| CN102447752A (zh) * | 2012-02-09 | 2012-05-09 | 杭州华三通信技术有限公司 | 基于二层隧道协议的业务访问方法、系统和装置 |
| CN102904867A (zh) * | 2012-05-12 | 2013-01-30 | 杭州迪普科技有限公司 | 一种vpn权限控制方法及装置 |
| CN103581184A (zh) * | 2013-10-31 | 2014-02-12 | 中国电子科技集团公司第十五研究所 | 移动终端访问企业内网服务器的方法和系统 |
| US20150229490A1 (en) * | 2014-02-12 | 2015-08-13 | Hob Gmbh & Co. Kg | Communication system for transmittingunder a tunnel protocol between at least two data computers via a wide area network and a method for running such a communication system |
| CN109327454A (zh) * | 2018-11-01 | 2019-02-12 | 北京指掌易科技有限公司 | 一种基于用户、设备及应用的移动应用准入控制方法 |
-
2019
- 2019-08-27 CN CN201910793959.8A patent/CN110401679A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101488902A (zh) * | 2009-02-25 | 2009-07-22 | 杭州华三通信技术有限公司 | 一种gre隧道的动态建立方法和设备 |
| CN102325016A (zh) * | 2011-10-18 | 2012-01-18 | 深圳市融创天下科技股份有限公司 | 一种建立数据通道的请求和应答方法、系统和终端设备 |
| CN102447752A (zh) * | 2012-02-09 | 2012-05-09 | 杭州华三通信技术有限公司 | 基于二层隧道协议的业务访问方法、系统和装置 |
| CN102904867A (zh) * | 2012-05-12 | 2013-01-30 | 杭州迪普科技有限公司 | 一种vpn权限控制方法及装置 |
| CN103581184A (zh) * | 2013-10-31 | 2014-02-12 | 中国电子科技集团公司第十五研究所 | 移动终端访问企业内网服务器的方法和系统 |
| US20150229490A1 (en) * | 2014-02-12 | 2015-08-13 | Hob Gmbh & Co. Kg | Communication system for transmittingunder a tunnel protocol between at least two data computers via a wide area network and a method for running such a communication system |
| CN109327454A (zh) * | 2018-11-01 | 2019-02-12 | 北京指掌易科技有限公司 | 一种基于用户、设备及应用的移动应用准入控制方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9473469B2 (en) | Method and system for establishing a communications pipe between a personal security device and a remote computer system | |
| CN104144163B (zh) | 身份验证方法、装置及系统 | |
| EP1906584B1 (en) | Method, system and device for game data transmission | |
| CN108512862A (zh) | 基于无证书标识认证技术的物联网终端安全认证管控平台 | |
| CN109922160A (zh) | 一种基于电力物联网的终端安全接入方法、装置及系统 | |
| CN109587097A (zh) | 一种实现安全访问内部网络的系统、方法和装置 | |
| WO2016106560A1 (zh) | 一种实现远程接入的方法、装置及系统 | |
| CN101212374A (zh) | 实现校园网资源远程访问的方法和系统 | |
| CN107426174A (zh) | 一种可信执行环境的访问控制系统及方法 | |
| CN104168173A (zh) | 终端穿越私网与ims核心网中服务器通信的方法、装置及网络系统 | |
| CN107426339A (zh) | 一种数据连接通道的接入方法、装置及系统 | |
| CN102739684A (zh) | 一种基于虚拟IP地址的Portal认证方法及服务器 | |
| CN110392065A (zh) | 闪验号码认证sdk的实现方法及系统 | |
| CN109150800A (zh) | 一种登录访问方法、系统和存储介质 | |
| CN102571808A (zh) | 一种自助办税终端外网部署方法 | |
| CN103974248A (zh) | 在能力开放系统中的终端安全性保护方法、装置及系统 | |
| CN101986598A (zh) | 认证方法、服务器及系统 | |
| CN110022374A (zh) | 基于物联网的网络连接方法、装置、通信设备及存储介质 | |
| CN107864475A (zh) | 基于Portal+动态密码的WiFi快捷认证方法 | |
| CN104463584B (zh) | 实现移动端App安全支付的方法 | |
| CN111541776A (zh) | 一种基于物联网设备的安全通信装置及系统 | |
| CN107453861B (zh) | 一种基于ssh2协议的数据采集方法 | |
| CN104539587A (zh) | 一种用于物联网的物体接入和群组交互方法 | |
| CN106209522B (zh) | 基于令牌协议的令牌组网构建方法 | |
| CN114567470A (zh) | 一种基于sdk的多系统下密钥拆分验证系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191101 |
|
| RJ01 | Rejection of invention patent application after publication |