CN115277237A - 移动终端接入企业内网的控制方法及装置 - Google Patents
移动终端接入企业内网的控制方法及装置 Download PDFInfo
- Publication number
- CN115277237A CN115277237A CN202210917334.XA CN202210917334A CN115277237A CN 115277237 A CN115277237 A CN 115277237A CN 202210917334 A CN202210917334 A CN 202210917334A CN 115277237 A CN115277237 A CN 115277237A
- Authority
- CN
- China
- Prior art keywords
- network access
- mobile terminal
- network
- authentication
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 43
- 230000001360 synchronised effect Effects 0.000 claims abstract description 39
- 230000003993 interaction Effects 0.000 claims abstract description 27
- 230000006870 function Effects 0.000 claims abstract description 26
- 230000005540 biological transmission Effects 0.000 claims abstract description 11
- 238000004590 computer program Methods 0.000 claims description 30
- 238000003860 storage Methods 0.000 claims description 13
- 238000012545 processing Methods 0.000 claims description 6
- 238000009434 installation Methods 0.000 claims description 5
- 238000010586 diagram Methods 0.000 description 17
- 230000008569 process Effects 0.000 description 3
- 230000009466 transformation Effects 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000149 penetrating effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种移动终端接入企业内网的控制方法及装置,涉及大数据技术领域,其中该方法包括:接收移动终端的网络接入请求;比对网络接入请求中的网络接入信息与网络接入控制服务器中同步的准许接入网络的用户数据,进行网络接入认证;比对网络接入请求中用户身份信息与安全网关中同步的企业内网身份认证系统的认证用户身份信息,进行用户身份信息认证;从预先配置的全局安全策略获取用户身份信息对应的功能权限,对移动终端接入企业内网能够执行的功能进行用户权限信息认证;在三种认证均通过后,接收移动终端应用接入请求,通过建立的加密传输连接,进行移动终端与企业内网之间的数据交互。本发明可以降低网络安全风险。
Description
技术领域
本发明涉及大数据技术领域,尤其涉及一种移动终端接入企业内网的控制方法及装置。
背景技术
本部分旨在为权利要求书中陈述的本发明实施例提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。
随着企业数字化转型的不断发展,移动化成为数字化转型的一个重要环节,尤其是这两年银行业非常关心移动化建设,一是通过员工手机设备进行移动化办公;二是通过配发设备开展移动金融服务,意在提高企业竞争力。但是,现有移动终端接入企业内网的方式,认证过程不完善,具有数据泄露、恶意软件、漏洞数量急剧增长的接入风险问题,存在较高的网络安全风险。
发明内容
本发明实施例提供一种移动终端接入企业内网的控制方法,用以避免产生接入风险问题,降低网络安全风险,该方法包括:
接收移动终端的网络接入请求,所述网络接入请求包括用户身份信息和网络接入信息;
通过比对网络接入请求中的网络接入信息与网络接入控制服务器中同步的准许接入网络的用户数据,对网络接入请求进行网络接入认证;
通过比对网络接入请求中用户身份信息与安全网关中同步的企业内网身份认证系统的认证用户身份信息,对网络接入请求进行用户身份信息认证;
从预先配置的全局安全策略获取用户身份信息对应的功能权限,对移动终端接入企业内网能够执行的功能进行用户权限信息认证;
在网络接入认证、用户身份信息认证、用户权限信息认证均通过后,接收移动终端应用接入请求,在移动终端与安全网关之间建立加密传输连接,进行移动终端与企业内网之间的数据交互。
本发明实施例还提供一种移动终端接入企业内网的控制装置,用以避免产生接入风险问题,降低网络安全风险,该装置包括:
请求接收模块,用于接收移动终端的网络接入请求,所述网络接入请求包括用户身份信息和网络接入信息;
网络接入认证模块,用于通过比对网络接入请求中的网络接入信息与网络接入控制服务器中同步的准许接入网络的用户数据,对网络接入请求进行网络接入认证;
用户身份信息认证模块,用于通过比对网络接入请求中用户身份信息与安全网关中同步的企业内网身份认证系统的认证用户身份信息,对网络接入请求进行用户身份信息认证;
用户权限信息认证模块,用于从预先配置的全局安全策略获取用户身份信息对应的功能权限,对移动终端接入企业内网能够执行的功能进行用户权限信息认证;
数据交互模块,用于在网络接入认证、用户身份信息认证、用户权限信息认证均通过后,接收移动终端应用接入请求,在移动终端与安全网关之间建立加密传输连接,进行移动终端与企业内网之间的数据交互。
本发明实施例还提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述移动终端接入企业内网的控制方法。
本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述移动终端接入企业内网的控制方法。
本发明实施例还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,所述计算机程序被处理器执行时实现上述移动终端接入企业内网的控制方法。
本发明实施例中,接收移动终端的网络接入请求,所述网络接入请求包括用户身份信息和网络接入信息;通过比对网络接入请求中的网络接入信息与网络接入控制服务器中同步的准许接入网络的用户数据,对网络接入请求进行网络接入认证;通过比对网络接入请求中用户身份信息与安全网关中同步的企业内网身份认证系统的认证用户身份信息,对网络接入请求进行用户身份信息认证;从预先配置的全局安全策略获取用户身份信息对应的功能权限,对移动终端接入企业内网能够执行的功能进行用户权限信息认证;在网络接入认证、用户身份信息认证、用户权限信息认证均通过后,接收移动终端应用接入请求,在移动终端与安全网关之间建立加密传输连接,进行移动终端与企业内网之间的数据交互。与现有技术中的技术方案相比,分别进行网络接入认证、用户身份信息认证、用户权限信息认证,只有在三种认证均通过后,才能进行移动终端与企业内网之间的数据交互,认证过程完善,能够确保只有合法用户、合规终端才能访问权限范围内的企业应用,避免产生数据泄露、恶意软件、漏洞数量急剧增长的接入风险问题,降低网络安全风险。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1为本发明实施例中提供的移动终端接入企业内网的控制方法的流程示意图;
图2为本发明实施例中提供的移动终端接入企业内网的控制方法的一具体实例图;
图3为本发明实施例中提供的移动终端接入企业内网的控制方法的一具体实例图;
图4为本发明实施例中提供的移动终端接入企业内网的控制方法的一具体实例图;
图5为本发明实施例中提供的移动终端接入企业内网的控制装置的结构示意图;
图6为本发明实施例中提供的移动终端接入企业内网的控制装置的一具体实例图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚明白,下面结合附图对本发明实施例做进一步详细说明。在此,本发明的示意性实施例及其说明用于解释本发明,但并不作为对本发明的限定。
本申请技术方案中对数据的获取、存储、使用、处理等均符合国家法律法规的相关规定。
经研究发现,随着移动互联网技术的蓬勃发展和互联网金融带来的巨大冲击,移动办公设备物理网络边界被打破、移动办公设备存在公私数据混杂的问题、随着手机病毒高速增长使移动设备成为渗透企业网络的跳板、移动设备易被窃或遗失存在数据泄密隐患,尤其是通过某些黑客类手段获取终端权限,利用伪造或中间人攻击等来攻击移动办公设备,造成数据泄露,存在很高的安全风险。亟需一种移动终端接入企业内网的控制方法,使得无论处于什么接入环境、通过什么接入方式、通过任意的移动设备均可实现身份的认证、权限的管理、终端安全检查、应用隧道加密、实现隔离、流控、扩展等非功能机制,确保只有合法的用户、合规的终端才能访问权限范围内的企业内网。
针对上述研究,本发明实施例提供了一种移动终端接入企业内网的控制方法,图1为本发明实施例中提供的移动终端接入企业内网的控制方法的流程示意图,如图1所示,该方法包括如下步骤:
步骤101:接收移动终端的网络接入请求,所述网络接入请求包括用户身份信息和网络接入信息;
步骤102:通过比对网络接入请求中的网络接入信息与网络接入控制服务器中同步的准许接入网络的用户数据,对网络接入请求进行网络接入认证;
步骤103:通过比对网络接入请求中用户身份信息与安全网关中同步的企业内网身份认证系统的认证用户身份信息,对网络接入请求进行用户身份信息认证;
步骤104:从预先配置的全局安全策略获取用户身份信息对应的功能权限,对移动终端接入企业内网能够执行的功能进行用户权限信息认证;
步骤105:在网络接入认证、用户身份信息认证、用户权限信息认证均通过后,接收移动终端应用接入请求,在移动终端与安全网关之间建立加密传输连接,进行移动终端与企业内网之间的数据交互。
由图1所示流程可知,本发明实施例中,接收移动终端的网络接入请求,所述网络接入请求包括用户身份信息和网络接入信息;通过比对网络接入请求中的网络接入信息与网络接入控制服务器中同步的准许接入网络的用户数据,对网络接入请求进行网络接入认证;通过比对网络接入请求中用户身份信息与安全网关中同步的企业内网身份认证系统的认证用户身份信息,对网络接入请求进行用户身份信息认证;从预先配置的全局安全策略获取用户身份信息对应的功能权限,对移动终端接入企业内网能够执行的功能进行用户权限信息认证;在网络接入认证、用户身份信息认证、用户权限信息认证均通过后,接收移动终端应用接入请求,在移动终端与安全网关之间建立加密传输连接,进行移动终端与企业内网之间的数据交互。与现有技术中的技术方案相比,分别进行网络接入认证、用户身份信息认证、用户权限信息认证,只有在三种认证均通过后,才能进行移动终端与企业内网之间的数据交互,能够确保只有合法用户、合规终端才能访问权限范围内的企业应用,避免产生数据泄露、恶意软件、漏洞数量急剧增长的接入风险问题,降低网络安全风险。
下面对上述步骤101至步骤105的执行过程加以详细介绍。
针对上述步骤101,接收移动终端的网络接入请求,所述网络接入请求包括用户身份信息和网络接入信息。
实施例中,用户身份信息例如可以包括用户名称,和/或,用户密码;网络接入信息包括:移动终端访问的服务器地址,和/或,移动终端访问的端口地址。
图2为本发明实施例中提供的移动终端接入企业内网的控制方法的一具体实例图,如图2所示,本例中,在接收移动终端的网络接入请求之前,还包括:
步骤201:选取操作系统和RADIUS安装文件,开通无线接入设备与网络接入控制服务器之间的网络;所述无线接入设备用于使移动终端接入网络;
步骤202:设置多个地区的域控服务器,将多个地区的域控服务器信息同步至网络接入控制服务器,作为网络接入的用户身份认证信息源;其中,域控服务器信息包括准许接入网络的用户数据;
步骤203:将网络接入控制服务器与无线802.1x网络中的无线控制器进行关联,开启无线802.1x网络,配置全局安全策略。
具体的,网络接入控制服务器是基于RADIUS(Remote Authentication Dial InUser Service,远程用户拨号认证系统)认证的服务器,主要用于无线网络接入控制,首先要准备操作系统以及RADIUS安装文件,开通无线接入设备与网络接入控制服务器之间的网络;具体的,网络接入控制服务器需要同步的域控服务器信息包括服务器地址、服务器端口、认证用户名、认证密码;具体的,将网络接入控制服务器与无线802.1x网络中的无线控制器进行关联,开启无线802.1x网络,例如可以是搭建无线控制器AC/AP,用于开启无线802.1x网络,网络接入控制服务器需要与AC/AP进行联动,并关联AC/AP的IP地址。
针对上述步骤102,通过比对网络接入请求中的网络接入信息与网络接入控制服务器中同步的准许接入网络的用户数据,对网络接入请求进行网络接入认证。
实施例中,通过比对网络接入请求中的网络接入信息与网络接入控制服务器中同步的准许接入网络的用户数据,对网络接入请求进行网络接入认证,如图3所示,可以包括:
步骤301:验证移动终端接入企业内网的共享密钥与网络接入控制服务器预先设置的共享密钥是否一致;
步骤302:在共享密钥一致时,查询网络接入请求中的网络接入信息与网络接入控制服务器同步的准许接入网络的用户数据是否一致;
步骤303:在网络接入请求中的网络接入信息与网络接入控制服务器同步的准许接入网络的用户数据一致时,确认网络接入认证通过。
具体的,在共享密钥一致时,例如可以查询网络接入请求中的用户名称、用户密码、访问的服务器地址、访问的端口地址与网络接入控制服务器同步的准许接入网络的用户数据是否一致。
其中,在网络接入请求中的网络接入信息与网络接入控制服务器同步的准许接入网络的用户数据一致时,例如还可以对用户身份信息进行二次确认,接收到移动终端的二次确认信息后,向移动终端发送接入接受通知消息,确认网络接入认证通过。
实施例中,通过比对网络接入请求中的网络接入信息与网络接入控制服务器中同步的准许接入网络的用户数据,对网络接入请求进行网络接入认证,如图4所示,还可以包括:
步骤401:在网络接入请求中的网络接入信息与网络接入控制服务器同步的准许接入网络的用户数据不一致时,确认网络接入认证失败。
其中,在确认网络接入认证失败时,拒绝并停止移动终端的网络接入请求,并将移动终端强制退出。
针对上述步骤103,通过比对网络接入请求中用户身份信息与安全网关中同步的企业内网身份认证系统的认证用户身份信息,对网络接入请求进行用户身份信息认证。
具体的,认证用户身份信息例如可以包括已认证用户名称、已认证用户密码、准许访问的服务器地址、准许访问的端口地址。
针对上述步骤104,从预先配置的全局安全策略获取用户身份信息对应的功能权限,对移动终端接入企业内网能够执行的功能进行用户权限信息认证。
在一个实施例中,预先配置的全局安全策略例如可以包括如下策略其中之一或任意组合:密码限制、设备功能性限制、自带应用程序限制、云服务限制、安全与隐私限制、单应用模式限制、存储加密限制。
具体的,根据预先配置的全局安全策略能够禁止移动终端安装应用程序、禁止卸载应用程序、禁止使用相机、禁止云服务(iCloud)、禁用Safari浏览器、禁用隔空投送(AirDrop)、禁用应用商店(AppStore)、禁止账户修改、禁止修改企业应用信任设置、禁止触控(Touch ID)解锁、禁用数字媒体播放应用程序(iTunes)、禁用蓝牙,保证统一认证、统一管理、统一运维。
针对上述步骤105,在网络接入认证、用户身份信息认证、用户权限信息认证均通过后,接收移动终端应用接入请求,在移动终端与安全网关之间建立加密传输连接,进行移动终端与企业内网之间的数据交互。
在一个实施例中,进行移动终端与企业内网之间的数据交互,例如可以包括:从网络接入请求中的网络接入信息提取统一资源定位符;根据统一资源定位符,识别移动终端所要访问的应用服务器;通过安全网关将企业内网的数据转发至移动终端所要访问的应用服务器,进行移动终端与企业内网之间的数据交互。
具体的,在接收移动终端应用接入请求时,调用应用层软件开发工具包(SDK);其中,通过安全网关将企业内网的数据转发至移动终端所要访问的应用服务器,进行移动终端与企业内网之间的数据交互,能够避免移动终端与企业内网之间的直接交互,实现了企业内网隐藏在安全网关后面,无需暴露企业内网任何服务器地址和端口信息,降低网络安全风险。
本发明实施例中还提供了一种移动终端接入企业内网的控制装置,如下面的实施例所述。由于该装置解决问题的原理与移动终端接入企业内网的控制方法相似,因此该装置的实施可以参见移动终端接入企业内网的控制方法的实施,重复之处不再赘述。
本发明实施例中提供了一种移动终端接入企业内网的控制装置,图5为本发明实施例中提供的移动终端接入企业内网的控制装置的结构示意图,如图5所示,该装置包括如下模块:
请求接收模块51,用于接收移动终端的网络接入请求,所述网络接入请求包括用户身份信息和网络接入信息;
网络接入认证模块52,用于通过比对网络接入请求中的网络接入信息与网络接入控制服务器中同步的准许接入网络的用户数据,对网络接入请求进行网络接入认证;
用户身份信息认证模块53,用于通过比对网络接入请求中用户身份信息与安全网关中同步的企业内网身份认证系统的认证用户身份信息,对网络接入请求进行用户身份信息认证;
用户权限信息认证模块54,用于从预先配置的全局安全策略获取用户身份信息对应的功能权限,对移动终端接入企业内网能够执行的功能进行用户权限信息认证;
数据交互模块55,用于在网络接入认证、用户身份信息认证、用户权限信息认证均通过后,接收移动终端应用接入请求,在移动终端与安全网关之间建立加密传输连接,进行移动终端与企业内网之间的数据交互。
图6为本发明实施例中提供的移动终端接入企业内网的控制装置的一具体实例图,如图6所示,本例中,移动终端接入企业内网的控制装置还包括:
配置模块61,用于请求接收模块51接收移动终端的网络接入请求之前:选取操作系统和RADIUS安装文件,开通无线接入设备与网络接入控制服务器之间的网络;所述无线接入设备用于使移动终端接入网络;设置多个地区的域控服务器,将多个地区的域控服务器信息同步至网络接入控制服务器,作为网络接入的用户身份认证信息源;其中,域控服务器信息包括准许接入网络的用户数据;将网络接入控制服务器与无线802.1x网络中的无线控制器进行关联,开启无线802.1x网络,配置全局安全策略。
在一个实施例中,用户身份信息包括:用户名称,和/或,用户密码;网络接入信息包括:移动终端访问的服务器地址,和/或,移动终端访问的端口地址。
在一个实施例中,网络接入认证模块52具体用于:验证移动终端接入企业内网的共享密钥与网络接入控制服务器预先设置的共享密钥是否一致;在共享密钥一致时,查询网络接入请求中的网络接入信息与网络接入控制服务器同步的准许接入网络的用户数据是否一致;在网络接入请求中的网络接入信息与网络接入控制服务器同步的准许接入网络的用户数据一致时,确认网络接入认证通过。
在一个实施例中,网络接入认证模块52还用于:在网络接入请求中的网络接入信息与网络接入控制服务器同步的准许接入网络的用户数据不一致时,确认网络接入认证失败。
在一个实施例中,预先配置的全局安全策略例如可以包括如下策略其中之一或任意组合:密码限制、设备功能性限制、自带应用程序限制、云服务限制、安全与隐私限制、单应用模式限制、存储加密限制。
在一个实施例中,数据交互模块55具体用于:从网络接入请求中的网络接入信息提取统一资源定位符;根据统一资源定位符,识别移动终端所要访问的应用服务器;通过安全网关将企业内网的数据转发至移动终端所要访问的应用服务器,进行移动终端与企业内网之间的数据交互。
本发明实施例还提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述移动终端接入企业内网的控制方法。
本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述移动终端接入企业内网的控制方法。
本发明实施例还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,所述计算机程序被处理器执行时实现上述移动终端接入企业内网的控制方法。
本发明实施例中,接收移动终端的网络接入请求,所述网络接入请求包括用户身份信息和网络接入信息;通过比对网络接入请求中的网络接入信息与网络接入控制服务器中同步的准许接入网络的用户数据,对网络接入请求进行网络接入认证;通过比对网络接入请求中用户身份信息与安全网关中同步的企业内网身份认证系统的认证用户身份信息,对网络接入请求进行用户身份信息认证;从预先配置的全局安全策略获取用户身份信息对应的功能权限,对移动终端接入企业内网能够执行的功能进行用户权限信息认证;在网络接入认证、用户身份信息认证、用户权限信息认证均通过后,接收移动终端应用接入请求,在移动终端与安全网关之间建立加密传输连接,进行移动终端与企业内网之间的数据交互。与现有技术中的技术方案相比,分别进行网络接入认证、用户身份信息认证、用户权限信息认证,只有在三种认证均通过后,才能进行移动终端与企业内网之间的数据交互,能够确保只有合法用户、合规终端才能访问权限范围内的企业应用,避免产生数据泄露、恶意软件、漏洞数量急剧增长的接入风险问题,降低网络安全风险。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (17)
1.一种移动终端接入企业内网的控制方法,其特征在于,包括:
接收移动终端的网络接入请求,所述网络接入请求包括用户身份信息和网络接入信息;
通过比对网络接入请求中的网络接入信息与网络接入控制服务器中同步的准许接入网络的用户数据,对网络接入请求进行网络接入认证;
通过比对网络接入请求中用户身份信息与安全网关中同步的企业内网身份认证系统的认证用户身份信息,对网络接入请求进行用户身份信息认证;
从预先配置的全局安全策略获取用户身份信息对应的功能权限,对移动终端接入企业内网能够执行的功能进行用户权限信息认证;
在网络接入认证、用户身份信息认证、用户权限信息认证均通过后,接收移动终端应用接入请求,在移动终端与安全网关之间建立加密传输连接,进行移动终端与企业内网之间的数据交互。
2.如权利要求1所述的移动终端接入企业内网的控制方法,其特征在于,在接收移动终端的网络接入请求之前,还包括:
选取操作系统和RADIUS安装文件,开通无线接入设备与网络接入控制服务器之间的网络;所述无线接入设备用于使移动终端接入网络;
设置多个地区的域控服务器,将多个地区的域控服务器信息同步至网络接入控制服务器,作为网络接入的用户身份认证信息源;其中,域控服务器信息包括准许接入网络的用户数据;
将网络接入控制服务器与无线802.1x网络中的无线控制器进行关联,开启无线802.1x网络,配置全局安全策略。
3.如权利要求1所述的移动终端接入企业内网的控制方法,其特征在于,用户身份信息包括:用户名称,和/或,用户密码;
网络接入信息包括:移动终端访问的服务器地址,和/或,移动终端访问的端口地址。
4.如权利要求1所述的移动终端接入企业内网的控制方法,其特征在于,通过比对网络接入请求中的网络接入信息与网络接入控制服务器中同步的准许接入网络的用户数据,对网络接入请求进行网络接入认证,包括:
验证移动终端接入企业内网的共享密钥与网络接入控制服务器预先设置的共享密钥是否一致;
在共享密钥一致时,查询网络接入请求中的网络接入信息与网络接入控制服务器同步的准许接入网络的用户数据是否一致;
在网络接入请求中的网络接入信息与网络接入控制服务器同步的准许接入网络的用户数据一致时,确认网络接入认证通过。
5.如权利要求4所述的移动终端接入企业内网的控制方法,其特征在于,还包括:
在网络接入请求中的网络接入信息与网络接入控制服务器同步的准许接入网络的用户数据不一致时,确认网络接入认证失败。
6.如权利要求1所述的移动终端接入企业内网的控制方法,其特征在于,预先配置的全局安全策略包括如下策略其中之一或任意组合:
密码限制、设备功能性限制、自带应用程序限制、云服务限制、安全与隐私限制、单应用模式限制、存储加密限制。
7.如权利要求1所述的移动终端接入企业内网的控制方法,其特征在于,进行移动终端与企业内网之间的数据交互,包括:
从网络接入请求中的网络接入信息提取统一资源定位符;
根据统一资源定位符,识别移动终端所要访问的应用服务器;
通过安全网关将企业内网的数据转发至移动终端所要访问的应用服务器,进行移动终端与企业内网之间的数据交互。
8.一种移动终端接入企业内网的控制装置,其特征在于,包括:
请求接收模块,用于接收移动终端的网络接入请求,所述网络接入请求包括用户身份信息和网络接入信息;
网络接入认证模块,用于通过比对网络接入请求中的网络接入信息与网络接入控制服务器中同步的准许接入网络的用户数据,对网络接入请求进行网络接入认证;
用户身份信息认证模块,用于通过比对网络接入请求中用户身份信息与安全网关中同步的企业内网身份认证系统的认证用户身份信息,对网络接入请求进行用户身份信息认证;
用户权限信息认证模块,用于从预先配置的全局安全策略获取用户身份信息对应的功能权限,对移动终端接入企业内网能够执行的功能进行用户权限信息认证;
数据交互模块,用于在网络接入认证、用户身份信息认证、用户权限信息认证均通过后,接收移动终端应用接入请求,在移动终端与安全网关之间建立加密传输连接,进行移动终端与企业内网之间的数据交互。
9.如权利要求8所述的移动终端接入企业内网的控制装置,其特征在于,还包括配置模块,用于请求接收模块接收移动终端的网络接入请求之前:
选取操作系统和RADIUS安装文件,开通无线接入设备与网络接入控制服务器之间的网络;所述无线接入设备用于使移动终端接入网络;
设置多个地区的域控服务器,将多个地区的域控服务器信息同步至网络接入控制服务器,作为网络接入的用户身份认证信息源;其中,域控服务器信息包括准许接入网络的用户数据;
将网络接入控制服务器与无线802.1x网络中的无线控制器进行关联,开启无线802.1x网络,配置全局安全策略。
10.如权利要求8所述的移动终端接入企业内网的控制装置,其特征在于,用户身份信息包括:
用户名称,和/或,用户密码;
网络接入信息包括:移动终端访问的服务器地址,和/或,移动终端访问的端口地址。
11.如权利要求8所述的移动终端接入企业内网的控制装置,其特征在于,网络接入认证模块具体用于:
验证移动终端接入企业内网的共享密钥与网络接入控制服务器预先设置的共享密钥是否一致;
在共享密钥一致时,查询网络接入请求中的网络接入信息与网络接入控制服务器同步的准许接入网络的用户数据是否一致;
在网络接入请求中的网络接入信息与网络接入控制服务器同步的准许接入网络的用户数据一致时,确认网络接入认证通过。
12.如权利要求11所述的移动终端接入企业内网的控制装置,其特征在于,网络接入认证模块还用于:
在网络接入请求中的网络接入信息与网络接入控制服务器同步的准许接入网络的用户数据不一致时,确认网络接入认证失败。
13.如权利要求8所述的移动终端接入企业内网的控制装置,其特征在于,预先配置的全局安全策略包括如下策略其中之一或任意组合:
密码限制、设备功能性限制、自带应用程序限制、云服务限制、安全与隐私限制、单应用模式限制、存储加密限制。
14.如权利要求8所述的移动终端接入企业内网的控制装置,其特征在于,数据交互模块具体用于:
从网络接入请求中的网络接入信息提取统一资源定位符;
根据统一资源定位符,识别移动终端所要访问的应用服务器;
通过安全网关将企业内网的数据转发至移动终端所要访问的应用服务器,进行移动终端与企业内网之间的数据交互。
15.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7任一项所述移动终端接入企业内网的控制方法。
16.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1至7任一项所述移动终端接入企业内网的控制方法。
17.一种计算机程序产品,其特征在于,所述计算机程序产品包括计算机程序,所述计算机程序被处理器执行时实现权利要求1至7任一项所述移动终端接入企业内网的控制方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210917334.XA CN115277237A (zh) | 2022-08-01 | 2022-08-01 | 移动终端接入企业内网的控制方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210917334.XA CN115277237A (zh) | 2022-08-01 | 2022-08-01 | 移动终端接入企业内网的控制方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115277237A true CN115277237A (zh) | 2022-11-01 |
Family
ID=83747733
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210917334.XA Pending CN115277237A (zh) | 2022-08-01 | 2022-08-01 | 移动终端接入企业内网的控制方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115277237A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115622809A (zh) * | 2022-12-14 | 2023-01-17 | 浙江中电远为科技有限公司 | 一种面向密柜应用场景的内外网安全隔离系统 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101378358A (zh) * | 2008-09-19 | 2009-03-04 | 成都市华为赛门铁克科技有限公司 | 一种实现安全接入控制的方法及系统、服务器 |
CN114615328A (zh) * | 2022-01-26 | 2022-06-10 | 北京美亚柏科网络安全科技有限公司 | 一种安全访问控制系统和方法 |
-
2022
- 2022-08-01 CN CN202210917334.XA patent/CN115277237A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101378358A (zh) * | 2008-09-19 | 2009-03-04 | 成都市华为赛门铁克科技有限公司 | 一种实现安全接入控制的方法及系统、服务器 |
CN114615328A (zh) * | 2022-01-26 | 2022-06-10 | 北京美亚柏科网络安全科技有限公司 | 一种安全访问控制系统和方法 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115622809A (zh) * | 2022-12-14 | 2023-01-17 | 浙江中电远为科技有限公司 | 一种面向密柜应用场景的内外网安全隔离系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113572738B (zh) | 一种零信任网络架构及构建方法 | |
US11223480B2 (en) | Detecting compromised cloud-identity access information | |
CN112422532B (zh) | 业务通信方法、系统、装置及电子设备 | |
US9100403B2 (en) | Apparatus and methods for providing authorized device access | |
US9692743B2 (en) | Securing organizational computing assets over a network using virtual domains | |
US8971539B2 (en) | Management of SSL certificate escrow | |
US20200186358A1 (en) | Persistent network device authentication | |
AU2019236667A1 (en) | System and method for decentralized identity management, authentication and authorization of applications | |
WO2006069599A1 (en) | Remote access system and method for enabling a user to remotely access a terminal equipment from a subscriber terminal | |
US10848489B2 (en) | Timestamp-based authentication with redirection | |
JP2015053674A (ja) | パーソナルデバイスからネットワークに安全にアクセスする方法、パーソナルデバイス、ネットワークサーバ、およびアクセスポイント | |
Kravets et al. | Mobile security solution for enterprise network | |
WO2020122977A1 (en) | Timestamp-based authentication with redirection | |
JP2017152880A (ja) | 認証システム、鍵処理連携方法、および、鍵処理連携プログラム | |
CN112016073B (zh) | 一种服务器零信任连接架构的构建方法 | |
CN114553540A (zh) | 基于零信任的物联网系统、数据访问方法、装置及介质 | |
US20200218819A1 (en) | Sfs access control method and system, sfs and terminal device | |
CN115277237A (zh) | 移动终端接入企业内网的控制方法及装置 | |
CN115567310A (zh) | 零信任模式下基于网络隐身的客户端安全分发方法 | |
CN112422292B (zh) | 一种网络安全防护方法、系统、设备及存储介质 | |
CN115460015A (zh) | 一种基于TOTP的Web应用的身份认证方法及系统 | |
KR102355708B1 (ko) | 블록체인 키를 이용한 사용자 인증 기반의 요청 처리 방법, 그 방법이 적용된 시스템 | |
CN113407947A (zh) | 一种云环境下面向移动终端用户的可信连接验证方法 | |
EP3895043B1 (en) | Timestamp-based authentication with redirection | |
US20230229752A1 (en) | Attestation of application identity for inter-app communications |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |