CN115277237A - 移动终端接入企业内网的控制方法及装置 - Google Patents

移动终端接入企业内网的控制方法及装置 Download PDF

Info

Publication number
CN115277237A
CN115277237A CN202210917334.XA CN202210917334A CN115277237A CN 115277237 A CN115277237 A CN 115277237A CN 202210917334 A CN202210917334 A CN 202210917334A CN 115277237 A CN115277237 A CN 115277237A
Authority
CN
China
Prior art keywords
network access
mobile terminal
network
authentication
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210917334.XA
Other languages
English (en)
Inventor
李超艳
李谞玥
刘中豪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bank of China Ltd
Original Assignee
Bank of China Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bank of China Ltd filed Critical Bank of China Ltd
Priority to CN202210917334.XA priority Critical patent/CN115277237A/zh
Publication of CN115277237A publication Critical patent/CN115277237A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种移动终端接入企业内网的控制方法及装置,涉及大数据技术领域,其中该方法包括:接收移动终端的网络接入请求;比对网络接入请求中的网络接入信息与网络接入控制服务器中同步的准许接入网络的用户数据,进行网络接入认证;比对网络接入请求中用户身份信息与安全网关中同步的企业内网身份认证系统的认证用户身份信息,进行用户身份信息认证;从预先配置的全局安全策略获取用户身份信息对应的功能权限,对移动终端接入企业内网能够执行的功能进行用户权限信息认证;在三种认证均通过后,接收移动终端应用接入请求,通过建立的加密传输连接,进行移动终端与企业内网之间的数据交互。本发明可以降低网络安全风险。

Description

移动终端接入企业内网的控制方法及装置
技术领域
本发明涉及大数据技术领域,尤其涉及一种移动终端接入企业内网的控制方法及装置。
背景技术
本部分旨在为权利要求书中陈述的本发明实施例提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。
随着企业数字化转型的不断发展,移动化成为数字化转型的一个重要环节,尤其是这两年银行业非常关心移动化建设,一是通过员工手机设备进行移动化办公;二是通过配发设备开展移动金融服务,意在提高企业竞争力。但是,现有移动终端接入企业内网的方式,认证过程不完善,具有数据泄露、恶意软件、漏洞数量急剧增长的接入风险问题,存在较高的网络安全风险。
发明内容
本发明实施例提供一种移动终端接入企业内网的控制方法,用以避免产生接入风险问题,降低网络安全风险,该方法包括:
接收移动终端的网络接入请求,所述网络接入请求包括用户身份信息和网络接入信息;
通过比对网络接入请求中的网络接入信息与网络接入控制服务器中同步的准许接入网络的用户数据,对网络接入请求进行网络接入认证;
通过比对网络接入请求中用户身份信息与安全网关中同步的企业内网身份认证系统的认证用户身份信息,对网络接入请求进行用户身份信息认证;
从预先配置的全局安全策略获取用户身份信息对应的功能权限,对移动终端接入企业内网能够执行的功能进行用户权限信息认证;
在网络接入认证、用户身份信息认证、用户权限信息认证均通过后,接收移动终端应用接入请求,在移动终端与安全网关之间建立加密传输连接,进行移动终端与企业内网之间的数据交互。
本发明实施例还提供一种移动终端接入企业内网的控制装置,用以避免产生接入风险问题,降低网络安全风险,该装置包括:
请求接收模块,用于接收移动终端的网络接入请求,所述网络接入请求包括用户身份信息和网络接入信息;
网络接入认证模块,用于通过比对网络接入请求中的网络接入信息与网络接入控制服务器中同步的准许接入网络的用户数据,对网络接入请求进行网络接入认证;
用户身份信息认证模块,用于通过比对网络接入请求中用户身份信息与安全网关中同步的企业内网身份认证系统的认证用户身份信息,对网络接入请求进行用户身份信息认证;
用户权限信息认证模块,用于从预先配置的全局安全策略获取用户身份信息对应的功能权限,对移动终端接入企业内网能够执行的功能进行用户权限信息认证;
数据交互模块,用于在网络接入认证、用户身份信息认证、用户权限信息认证均通过后,接收移动终端应用接入请求,在移动终端与安全网关之间建立加密传输连接,进行移动终端与企业内网之间的数据交互。
本发明实施例还提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述移动终端接入企业内网的控制方法。
本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述移动终端接入企业内网的控制方法。
本发明实施例还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,所述计算机程序被处理器执行时实现上述移动终端接入企业内网的控制方法。
本发明实施例中,接收移动终端的网络接入请求,所述网络接入请求包括用户身份信息和网络接入信息;通过比对网络接入请求中的网络接入信息与网络接入控制服务器中同步的准许接入网络的用户数据,对网络接入请求进行网络接入认证;通过比对网络接入请求中用户身份信息与安全网关中同步的企业内网身份认证系统的认证用户身份信息,对网络接入请求进行用户身份信息认证;从预先配置的全局安全策略获取用户身份信息对应的功能权限,对移动终端接入企业内网能够执行的功能进行用户权限信息认证;在网络接入认证、用户身份信息认证、用户权限信息认证均通过后,接收移动终端应用接入请求,在移动终端与安全网关之间建立加密传输连接,进行移动终端与企业内网之间的数据交互。与现有技术中的技术方案相比,分别进行网络接入认证、用户身份信息认证、用户权限信息认证,只有在三种认证均通过后,才能进行移动终端与企业内网之间的数据交互,认证过程完善,能够确保只有合法用户、合规终端才能访问权限范围内的企业应用,避免产生数据泄露、恶意软件、漏洞数量急剧增长的接入风险问题,降低网络安全风险。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1为本发明实施例中提供的移动终端接入企业内网的控制方法的流程示意图;
图2为本发明实施例中提供的移动终端接入企业内网的控制方法的一具体实例图;
图3为本发明实施例中提供的移动终端接入企业内网的控制方法的一具体实例图;
图4为本发明实施例中提供的移动终端接入企业内网的控制方法的一具体实例图;
图5为本发明实施例中提供的移动终端接入企业内网的控制装置的结构示意图;
图6为本发明实施例中提供的移动终端接入企业内网的控制装置的一具体实例图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚明白,下面结合附图对本发明实施例做进一步详细说明。在此,本发明的示意性实施例及其说明用于解释本发明,但并不作为对本发明的限定。
本申请技术方案中对数据的获取、存储、使用、处理等均符合国家法律法规的相关规定。
经研究发现,随着移动互联网技术的蓬勃发展和互联网金融带来的巨大冲击,移动办公设备物理网络边界被打破、移动办公设备存在公私数据混杂的问题、随着手机病毒高速增长使移动设备成为渗透企业网络的跳板、移动设备易被窃或遗失存在数据泄密隐患,尤其是通过某些黑客类手段获取终端权限,利用伪造或中间人攻击等来攻击移动办公设备,造成数据泄露,存在很高的安全风险。亟需一种移动终端接入企业内网的控制方法,使得无论处于什么接入环境、通过什么接入方式、通过任意的移动设备均可实现身份的认证、权限的管理、终端安全检查、应用隧道加密、实现隔离、流控、扩展等非功能机制,确保只有合法的用户、合规的终端才能访问权限范围内的企业内网。
针对上述研究,本发明实施例提供了一种移动终端接入企业内网的控制方法,图1为本发明实施例中提供的移动终端接入企业内网的控制方法的流程示意图,如图1所示,该方法包括如下步骤:
步骤101:接收移动终端的网络接入请求,所述网络接入请求包括用户身份信息和网络接入信息;
步骤102:通过比对网络接入请求中的网络接入信息与网络接入控制服务器中同步的准许接入网络的用户数据,对网络接入请求进行网络接入认证;
步骤103:通过比对网络接入请求中用户身份信息与安全网关中同步的企业内网身份认证系统的认证用户身份信息,对网络接入请求进行用户身份信息认证;
步骤104:从预先配置的全局安全策略获取用户身份信息对应的功能权限,对移动终端接入企业内网能够执行的功能进行用户权限信息认证;
步骤105:在网络接入认证、用户身份信息认证、用户权限信息认证均通过后,接收移动终端应用接入请求,在移动终端与安全网关之间建立加密传输连接,进行移动终端与企业内网之间的数据交互。
由图1所示流程可知,本发明实施例中,接收移动终端的网络接入请求,所述网络接入请求包括用户身份信息和网络接入信息;通过比对网络接入请求中的网络接入信息与网络接入控制服务器中同步的准许接入网络的用户数据,对网络接入请求进行网络接入认证;通过比对网络接入请求中用户身份信息与安全网关中同步的企业内网身份认证系统的认证用户身份信息,对网络接入请求进行用户身份信息认证;从预先配置的全局安全策略获取用户身份信息对应的功能权限,对移动终端接入企业内网能够执行的功能进行用户权限信息认证;在网络接入认证、用户身份信息认证、用户权限信息认证均通过后,接收移动终端应用接入请求,在移动终端与安全网关之间建立加密传输连接,进行移动终端与企业内网之间的数据交互。与现有技术中的技术方案相比,分别进行网络接入认证、用户身份信息认证、用户权限信息认证,只有在三种认证均通过后,才能进行移动终端与企业内网之间的数据交互,能够确保只有合法用户、合规终端才能访问权限范围内的企业应用,避免产生数据泄露、恶意软件、漏洞数量急剧增长的接入风险问题,降低网络安全风险。
下面对上述步骤101至步骤105的执行过程加以详细介绍。
针对上述步骤101,接收移动终端的网络接入请求,所述网络接入请求包括用户身份信息和网络接入信息。
实施例中,用户身份信息例如可以包括用户名称,和/或,用户密码;网络接入信息包括:移动终端访问的服务器地址,和/或,移动终端访问的端口地址。
图2为本发明实施例中提供的移动终端接入企业内网的控制方法的一具体实例图,如图2所示,本例中,在接收移动终端的网络接入请求之前,还包括:
步骤201:选取操作系统和RADIUS安装文件,开通无线接入设备与网络接入控制服务器之间的网络;所述无线接入设备用于使移动终端接入网络;
步骤202:设置多个地区的域控服务器,将多个地区的域控服务器信息同步至网络接入控制服务器,作为网络接入的用户身份认证信息源;其中,域控服务器信息包括准许接入网络的用户数据;
步骤203:将网络接入控制服务器与无线802.1x网络中的无线控制器进行关联,开启无线802.1x网络,配置全局安全策略。
具体的,网络接入控制服务器是基于RADIUS(Remote Authentication Dial InUser Service,远程用户拨号认证系统)认证的服务器,主要用于无线网络接入控制,首先要准备操作系统以及RADIUS安装文件,开通无线接入设备与网络接入控制服务器之间的网络;具体的,网络接入控制服务器需要同步的域控服务器信息包括服务器地址、服务器端口、认证用户名、认证密码;具体的,将网络接入控制服务器与无线802.1x网络中的无线控制器进行关联,开启无线802.1x网络,例如可以是搭建无线控制器AC/AP,用于开启无线802.1x网络,网络接入控制服务器需要与AC/AP进行联动,并关联AC/AP的IP地址。
针对上述步骤102,通过比对网络接入请求中的网络接入信息与网络接入控制服务器中同步的准许接入网络的用户数据,对网络接入请求进行网络接入认证。
实施例中,通过比对网络接入请求中的网络接入信息与网络接入控制服务器中同步的准许接入网络的用户数据,对网络接入请求进行网络接入认证,如图3所示,可以包括:
步骤301:验证移动终端接入企业内网的共享密钥与网络接入控制服务器预先设置的共享密钥是否一致;
步骤302:在共享密钥一致时,查询网络接入请求中的网络接入信息与网络接入控制服务器同步的准许接入网络的用户数据是否一致;
步骤303:在网络接入请求中的网络接入信息与网络接入控制服务器同步的准许接入网络的用户数据一致时,确认网络接入认证通过。
具体的,在共享密钥一致时,例如可以查询网络接入请求中的用户名称、用户密码、访问的服务器地址、访问的端口地址与网络接入控制服务器同步的准许接入网络的用户数据是否一致。
其中,在网络接入请求中的网络接入信息与网络接入控制服务器同步的准许接入网络的用户数据一致时,例如还可以对用户身份信息进行二次确认,接收到移动终端的二次确认信息后,向移动终端发送接入接受通知消息,确认网络接入认证通过。
实施例中,通过比对网络接入请求中的网络接入信息与网络接入控制服务器中同步的准许接入网络的用户数据,对网络接入请求进行网络接入认证,如图4所示,还可以包括:
步骤401:在网络接入请求中的网络接入信息与网络接入控制服务器同步的准许接入网络的用户数据不一致时,确认网络接入认证失败。
其中,在确认网络接入认证失败时,拒绝并停止移动终端的网络接入请求,并将移动终端强制退出。
针对上述步骤103,通过比对网络接入请求中用户身份信息与安全网关中同步的企业内网身份认证系统的认证用户身份信息,对网络接入请求进行用户身份信息认证。
具体的,认证用户身份信息例如可以包括已认证用户名称、已认证用户密码、准许访问的服务器地址、准许访问的端口地址。
针对上述步骤104,从预先配置的全局安全策略获取用户身份信息对应的功能权限,对移动终端接入企业内网能够执行的功能进行用户权限信息认证。
在一个实施例中,预先配置的全局安全策略例如可以包括如下策略其中之一或任意组合:密码限制、设备功能性限制、自带应用程序限制、云服务限制、安全与隐私限制、单应用模式限制、存储加密限制。
具体的,根据预先配置的全局安全策略能够禁止移动终端安装应用程序、禁止卸载应用程序、禁止使用相机、禁止云服务(iCloud)、禁用Safari浏览器、禁用隔空投送(AirDrop)、禁用应用商店(AppStore)、禁止账户修改、禁止修改企业应用信任设置、禁止触控(Touch ID)解锁、禁用数字媒体播放应用程序(iTunes)、禁用蓝牙,保证统一认证、统一管理、统一运维。
针对上述步骤105,在网络接入认证、用户身份信息认证、用户权限信息认证均通过后,接收移动终端应用接入请求,在移动终端与安全网关之间建立加密传输连接,进行移动终端与企业内网之间的数据交互。
在一个实施例中,进行移动终端与企业内网之间的数据交互,例如可以包括:从网络接入请求中的网络接入信息提取统一资源定位符;根据统一资源定位符,识别移动终端所要访问的应用服务器;通过安全网关将企业内网的数据转发至移动终端所要访问的应用服务器,进行移动终端与企业内网之间的数据交互。
具体的,在接收移动终端应用接入请求时,调用应用层软件开发工具包(SDK);其中,通过安全网关将企业内网的数据转发至移动终端所要访问的应用服务器,进行移动终端与企业内网之间的数据交互,能够避免移动终端与企业内网之间的直接交互,实现了企业内网隐藏在安全网关后面,无需暴露企业内网任何服务器地址和端口信息,降低网络安全风险。
本发明实施例中还提供了一种移动终端接入企业内网的控制装置,如下面的实施例所述。由于该装置解决问题的原理与移动终端接入企业内网的控制方法相似,因此该装置的实施可以参见移动终端接入企业内网的控制方法的实施,重复之处不再赘述。
本发明实施例中提供了一种移动终端接入企业内网的控制装置,图5为本发明实施例中提供的移动终端接入企业内网的控制装置的结构示意图,如图5所示,该装置包括如下模块:
请求接收模块51,用于接收移动终端的网络接入请求,所述网络接入请求包括用户身份信息和网络接入信息;
网络接入认证模块52,用于通过比对网络接入请求中的网络接入信息与网络接入控制服务器中同步的准许接入网络的用户数据,对网络接入请求进行网络接入认证;
用户身份信息认证模块53,用于通过比对网络接入请求中用户身份信息与安全网关中同步的企业内网身份认证系统的认证用户身份信息,对网络接入请求进行用户身份信息认证;
用户权限信息认证模块54,用于从预先配置的全局安全策略获取用户身份信息对应的功能权限,对移动终端接入企业内网能够执行的功能进行用户权限信息认证;
数据交互模块55,用于在网络接入认证、用户身份信息认证、用户权限信息认证均通过后,接收移动终端应用接入请求,在移动终端与安全网关之间建立加密传输连接,进行移动终端与企业内网之间的数据交互。
图6为本发明实施例中提供的移动终端接入企业内网的控制装置的一具体实例图,如图6所示,本例中,移动终端接入企业内网的控制装置还包括:
配置模块61,用于请求接收模块51接收移动终端的网络接入请求之前:选取操作系统和RADIUS安装文件,开通无线接入设备与网络接入控制服务器之间的网络;所述无线接入设备用于使移动终端接入网络;设置多个地区的域控服务器,将多个地区的域控服务器信息同步至网络接入控制服务器,作为网络接入的用户身份认证信息源;其中,域控服务器信息包括准许接入网络的用户数据;将网络接入控制服务器与无线802.1x网络中的无线控制器进行关联,开启无线802.1x网络,配置全局安全策略。
在一个实施例中,用户身份信息包括:用户名称,和/或,用户密码;网络接入信息包括:移动终端访问的服务器地址,和/或,移动终端访问的端口地址。
在一个实施例中,网络接入认证模块52具体用于:验证移动终端接入企业内网的共享密钥与网络接入控制服务器预先设置的共享密钥是否一致;在共享密钥一致时,查询网络接入请求中的网络接入信息与网络接入控制服务器同步的准许接入网络的用户数据是否一致;在网络接入请求中的网络接入信息与网络接入控制服务器同步的准许接入网络的用户数据一致时,确认网络接入认证通过。
在一个实施例中,网络接入认证模块52还用于:在网络接入请求中的网络接入信息与网络接入控制服务器同步的准许接入网络的用户数据不一致时,确认网络接入认证失败。
在一个实施例中,预先配置的全局安全策略例如可以包括如下策略其中之一或任意组合:密码限制、设备功能性限制、自带应用程序限制、云服务限制、安全与隐私限制、单应用模式限制、存储加密限制。
在一个实施例中,数据交互模块55具体用于:从网络接入请求中的网络接入信息提取统一资源定位符;根据统一资源定位符,识别移动终端所要访问的应用服务器;通过安全网关将企业内网的数据转发至移动终端所要访问的应用服务器,进行移动终端与企业内网之间的数据交互。
本发明实施例还提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述移动终端接入企业内网的控制方法。
本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述移动终端接入企业内网的控制方法。
本发明实施例还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,所述计算机程序被处理器执行时实现上述移动终端接入企业内网的控制方法。
本发明实施例中,接收移动终端的网络接入请求,所述网络接入请求包括用户身份信息和网络接入信息;通过比对网络接入请求中的网络接入信息与网络接入控制服务器中同步的准许接入网络的用户数据,对网络接入请求进行网络接入认证;通过比对网络接入请求中用户身份信息与安全网关中同步的企业内网身份认证系统的认证用户身份信息,对网络接入请求进行用户身份信息认证;从预先配置的全局安全策略获取用户身份信息对应的功能权限,对移动终端接入企业内网能够执行的功能进行用户权限信息认证;在网络接入认证、用户身份信息认证、用户权限信息认证均通过后,接收移动终端应用接入请求,在移动终端与安全网关之间建立加密传输连接,进行移动终端与企业内网之间的数据交互。与现有技术中的技术方案相比,分别进行网络接入认证、用户身份信息认证、用户权限信息认证,只有在三种认证均通过后,才能进行移动终端与企业内网之间的数据交互,能够确保只有合法用户、合规终端才能访问权限范围内的企业应用,避免产生数据泄露、恶意软件、漏洞数量急剧增长的接入风险问题,降低网络安全风险。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (17)

1.一种移动终端接入企业内网的控制方法,其特征在于,包括:
接收移动终端的网络接入请求,所述网络接入请求包括用户身份信息和网络接入信息;
通过比对网络接入请求中的网络接入信息与网络接入控制服务器中同步的准许接入网络的用户数据,对网络接入请求进行网络接入认证;
通过比对网络接入请求中用户身份信息与安全网关中同步的企业内网身份认证系统的认证用户身份信息,对网络接入请求进行用户身份信息认证;
从预先配置的全局安全策略获取用户身份信息对应的功能权限,对移动终端接入企业内网能够执行的功能进行用户权限信息认证;
在网络接入认证、用户身份信息认证、用户权限信息认证均通过后,接收移动终端应用接入请求,在移动终端与安全网关之间建立加密传输连接,进行移动终端与企业内网之间的数据交互。
2.如权利要求1所述的移动终端接入企业内网的控制方法,其特征在于,在接收移动终端的网络接入请求之前,还包括:
选取操作系统和RADIUS安装文件,开通无线接入设备与网络接入控制服务器之间的网络;所述无线接入设备用于使移动终端接入网络;
设置多个地区的域控服务器,将多个地区的域控服务器信息同步至网络接入控制服务器,作为网络接入的用户身份认证信息源;其中,域控服务器信息包括准许接入网络的用户数据;
将网络接入控制服务器与无线802.1x网络中的无线控制器进行关联,开启无线802.1x网络,配置全局安全策略。
3.如权利要求1所述的移动终端接入企业内网的控制方法,其特征在于,用户身份信息包括:用户名称,和/或,用户密码;
网络接入信息包括:移动终端访问的服务器地址,和/或,移动终端访问的端口地址。
4.如权利要求1所述的移动终端接入企业内网的控制方法,其特征在于,通过比对网络接入请求中的网络接入信息与网络接入控制服务器中同步的准许接入网络的用户数据,对网络接入请求进行网络接入认证,包括:
验证移动终端接入企业内网的共享密钥与网络接入控制服务器预先设置的共享密钥是否一致;
在共享密钥一致时,查询网络接入请求中的网络接入信息与网络接入控制服务器同步的准许接入网络的用户数据是否一致;
在网络接入请求中的网络接入信息与网络接入控制服务器同步的准许接入网络的用户数据一致时,确认网络接入认证通过。
5.如权利要求4所述的移动终端接入企业内网的控制方法,其特征在于,还包括:
在网络接入请求中的网络接入信息与网络接入控制服务器同步的准许接入网络的用户数据不一致时,确认网络接入认证失败。
6.如权利要求1所述的移动终端接入企业内网的控制方法,其特征在于,预先配置的全局安全策略包括如下策略其中之一或任意组合:
密码限制、设备功能性限制、自带应用程序限制、云服务限制、安全与隐私限制、单应用模式限制、存储加密限制。
7.如权利要求1所述的移动终端接入企业内网的控制方法,其特征在于,进行移动终端与企业内网之间的数据交互,包括:
从网络接入请求中的网络接入信息提取统一资源定位符;
根据统一资源定位符,识别移动终端所要访问的应用服务器;
通过安全网关将企业内网的数据转发至移动终端所要访问的应用服务器,进行移动终端与企业内网之间的数据交互。
8.一种移动终端接入企业内网的控制装置,其特征在于,包括:
请求接收模块,用于接收移动终端的网络接入请求,所述网络接入请求包括用户身份信息和网络接入信息;
网络接入认证模块,用于通过比对网络接入请求中的网络接入信息与网络接入控制服务器中同步的准许接入网络的用户数据,对网络接入请求进行网络接入认证;
用户身份信息认证模块,用于通过比对网络接入请求中用户身份信息与安全网关中同步的企业内网身份认证系统的认证用户身份信息,对网络接入请求进行用户身份信息认证;
用户权限信息认证模块,用于从预先配置的全局安全策略获取用户身份信息对应的功能权限,对移动终端接入企业内网能够执行的功能进行用户权限信息认证;
数据交互模块,用于在网络接入认证、用户身份信息认证、用户权限信息认证均通过后,接收移动终端应用接入请求,在移动终端与安全网关之间建立加密传输连接,进行移动终端与企业内网之间的数据交互。
9.如权利要求8所述的移动终端接入企业内网的控制装置,其特征在于,还包括配置模块,用于请求接收模块接收移动终端的网络接入请求之前:
选取操作系统和RADIUS安装文件,开通无线接入设备与网络接入控制服务器之间的网络;所述无线接入设备用于使移动终端接入网络;
设置多个地区的域控服务器,将多个地区的域控服务器信息同步至网络接入控制服务器,作为网络接入的用户身份认证信息源;其中,域控服务器信息包括准许接入网络的用户数据;
将网络接入控制服务器与无线802.1x网络中的无线控制器进行关联,开启无线802.1x网络,配置全局安全策略。
10.如权利要求8所述的移动终端接入企业内网的控制装置,其特征在于,用户身份信息包括:
用户名称,和/或,用户密码;
网络接入信息包括:移动终端访问的服务器地址,和/或,移动终端访问的端口地址。
11.如权利要求8所述的移动终端接入企业内网的控制装置,其特征在于,网络接入认证模块具体用于:
验证移动终端接入企业内网的共享密钥与网络接入控制服务器预先设置的共享密钥是否一致;
在共享密钥一致时,查询网络接入请求中的网络接入信息与网络接入控制服务器同步的准许接入网络的用户数据是否一致;
在网络接入请求中的网络接入信息与网络接入控制服务器同步的准许接入网络的用户数据一致时,确认网络接入认证通过。
12.如权利要求11所述的移动终端接入企业内网的控制装置,其特征在于,网络接入认证模块还用于:
在网络接入请求中的网络接入信息与网络接入控制服务器同步的准许接入网络的用户数据不一致时,确认网络接入认证失败。
13.如权利要求8所述的移动终端接入企业内网的控制装置,其特征在于,预先配置的全局安全策略包括如下策略其中之一或任意组合:
密码限制、设备功能性限制、自带应用程序限制、云服务限制、安全与隐私限制、单应用模式限制、存储加密限制。
14.如权利要求8所述的移动终端接入企业内网的控制装置,其特征在于,数据交互模块具体用于:
从网络接入请求中的网络接入信息提取统一资源定位符;
根据统一资源定位符,识别移动终端所要访问的应用服务器;
通过安全网关将企业内网的数据转发至移动终端所要访问的应用服务器,进行移动终端与企业内网之间的数据交互。
15.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7任一项所述移动终端接入企业内网的控制方法。
16.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1至7任一项所述移动终端接入企业内网的控制方法。
17.一种计算机程序产品,其特征在于,所述计算机程序产品包括计算机程序,所述计算机程序被处理器执行时实现权利要求1至7任一项所述移动终端接入企业内网的控制方法。
CN202210917334.XA 2022-08-01 2022-08-01 移动终端接入企业内网的控制方法及装置 Pending CN115277237A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210917334.XA CN115277237A (zh) 2022-08-01 2022-08-01 移动终端接入企业内网的控制方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210917334.XA CN115277237A (zh) 2022-08-01 2022-08-01 移动终端接入企业内网的控制方法及装置

Publications (1)

Publication Number Publication Date
CN115277237A true CN115277237A (zh) 2022-11-01

Family

ID=83747733

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210917334.XA Pending CN115277237A (zh) 2022-08-01 2022-08-01 移动终端接入企业内网的控制方法及装置

Country Status (1)

Country Link
CN (1) CN115277237A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115622809A (zh) * 2022-12-14 2023-01-17 浙江中电远为科技有限公司 一种面向密柜应用场景的内外网安全隔离系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101378358A (zh) * 2008-09-19 2009-03-04 成都市华为赛门铁克科技有限公司 一种实现安全接入控制的方法及系统、服务器
CN114615328A (zh) * 2022-01-26 2022-06-10 北京美亚柏科网络安全科技有限公司 一种安全访问控制系统和方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101378358A (zh) * 2008-09-19 2009-03-04 成都市华为赛门铁克科技有限公司 一种实现安全接入控制的方法及系统、服务器
CN114615328A (zh) * 2022-01-26 2022-06-10 北京美亚柏科网络安全科技有限公司 一种安全访问控制系统和方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115622809A (zh) * 2022-12-14 2023-01-17 浙江中电远为科技有限公司 一种面向密柜应用场景的内外网安全隔离系统

Similar Documents

Publication Publication Date Title
CN113572738B (zh) 一种零信任网络架构及构建方法
US11223480B2 (en) Detecting compromised cloud-identity access information
CN112422532B (zh) 业务通信方法、系统、装置及电子设备
US9100403B2 (en) Apparatus and methods for providing authorized device access
US9692743B2 (en) Securing organizational computing assets over a network using virtual domains
US8971539B2 (en) Management of SSL certificate escrow
US20200186358A1 (en) Persistent network device authentication
AU2019236667A1 (en) System and method for decentralized identity management, authentication and authorization of applications
WO2006069599A1 (en) Remote access system and method for enabling a user to remotely access a terminal equipment from a subscriber terminal
US10848489B2 (en) Timestamp-based authentication with redirection
JP2015053674A (ja) パーソナルデバイスからネットワークに安全にアクセスする方法、パーソナルデバイス、ネットワークサーバ、およびアクセスポイント
Kravets et al. Mobile security solution for enterprise network
WO2020122977A1 (en) Timestamp-based authentication with redirection
JP2017152880A (ja) 認証システム、鍵処理連携方法、および、鍵処理連携プログラム
CN112016073B (zh) 一种服务器零信任连接架构的构建方法
CN114553540A (zh) 基于零信任的物联网系统、数据访问方法、装置及介质
US20200218819A1 (en) Sfs access control method and system, sfs and terminal device
CN115277237A (zh) 移动终端接入企业内网的控制方法及装置
CN115567310A (zh) 零信任模式下基于网络隐身的客户端安全分发方法
CN112422292B (zh) 一种网络安全防护方法、系统、设备及存储介质
CN115460015A (zh) 一种基于TOTP的Web应用的身份认证方法及系统
KR102355708B1 (ko) 블록체인 키를 이용한 사용자 인증 기반의 요청 처리 방법, 그 방법이 적용된 시스템
CN113407947A (zh) 一种云环境下面向移动终端用户的可信连接验证方法
EP3895043B1 (en) Timestamp-based authentication with redirection
US20230229752A1 (en) Attestation of application identity for inter-app communications

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination