CN115460602A - 基于零信任的移动终端安全解决方法 - Google Patents
基于零信任的移动终端安全解决方法 Download PDFInfo
- Publication number
- CN115460602A CN115460602A CN202211050361.8A CN202211050361A CN115460602A CN 115460602 A CN115460602 A CN 115460602A CN 202211050361 A CN202211050361 A CN 202211050361A CN 115460602 A CN115460602 A CN 115460602A
- Authority
- CN
- China
- Prior art keywords
- identification number
- commercial
- unique identification
- mobile terminal
- buvid
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/71—Hardware identity
Abstract
本发明涉及基于零信任的移动终端安全解决方法,包括步骤S1:采集移动终端的设备指纹;步骤S2:将步骤S1采集的设备指纹进行匹配验证,经匹配验证为同一设备方可允许访问,否则禁止访问。企业新员工的移动设备或新移动设备访问前,先到管理员处进行设备指纹的统一录入登记,完成企业员工移动设备的注册备案及可信设备的入库确认。本发明基于零信任原则,默认不信任企业网络内外的任何人、设备和系统,基于身份认证和授权重新构建访问控制的信任基础,从而确保身份可信、设备可信、应用可信和链路可信。
Description
技术领域
本发明涉及基于零信任的移动终端安全解决方法,属于设备身份验证技术领域。
背景技术
传统的IT安全策略(VPN和防火墙)会在企业网络周围形成一个边界,使经过身份验证的用户和设备能够轻松穿越网络并轻松访问资源。然而,由于公司中很多员工会进行远程办公和移动手机办公,并且公司大部分的资源会放在云上,仅依靠在网络周围形成一个边界的方法使得效率变得很低下,同时企业也会变得更加危险。
发明内容
为了解决上述技术问题,本发明提供一种基于零信任的移动终端安全解决方法,零信任代表了新一代的网络安全防护理念,它的关键在于打破默认的“信任”,用一句通俗的话来概括,就是“持续验证,永不信任”。默认不信任企业网络内外的任何人、设备和系统,基于身份认证和授权重新构建访问控制的信任基础,从而确保身份可信、设备可信、应用可信和链路可信。其具体技术方案如下:
基于零信任的移动终端安全解决方法,包括以下步骤:
步骤S1:采集移动终端的设备指纹。设备指纹是指可以用于唯一标识出该设备的设备特征或者独特的设备标识。设备指纹包括一些固有的、较难篡改的、唯一的设备标识,比如:设备的硬件ID、手机的IMEI号(国际移动设备识别码)、电脑的MAC地址(物理地址)等,这些设备唯一的标识符我们可以将其视为设备指纹。同时,我们将设备的名称、型号、形状、颜色、功能等各个特征结合起来也可以作为设备指纹。这就类似于我们在记忆人的时候,通常是通过人的长相、面部特征来记忆。
步骤S2:将步骤S1采集的设备指纹进行匹配验证,经匹配验证为同一设备方可允许访问,否则禁止访问。
进一步的,所述移动终端包括IOS平台和Android平台,通过设备采集系统调用接口采集设备指纹,所述IOS平台移动终端的设备指纹包括 model(型号)、brand(品牌)、totalspace(总存储空间)、idfa(广告唯一性标识)、language(系统语言)、country(地区)、sysname(系统名)、name(用户自定义名)、oid(所属运营商)、app_start_ts(应用程序首次启动时间)、app_channel_id(应用程序渠道标识)、buvid(商用唯一识别号码);
所述Android平台移动终端的设备指纹包括imei(国际移动设备识别码)、model(型号)、brand(品牌)、totalspace(总存储空间)、mem(总内存空间)、band(基带信息)、androidId(设备唯一识别码)、wifimac(无线局域网物理地址)、cpuModel(中央处理器型号)、sensor(传感器信息)、screen(屏幕分辨率)、camcnt(摄像头数量)、imsi(国际移动用户识别码)、oid(所属运营商)、app_start_ts(应用程序首次启动时间)、app_channel_id(应用程序渠道标识)、buvid(商用唯一识别号码)。
进一步的,所述IOS平台移动终端采集buvid(商用唯一识别号码)的具体步骤如下:
App(应用程序)启动;
执行App SDK(应用软件开发工具包),判断终端是否存在已有buvid(商用唯一识别号码);
若存在,则返回生成buvid(商用唯一识别号码);
若不存在,则尝试获取idfa(广告唯一性标识),判断idfa(广告唯一性标识)是否打开;
若打开,则MD5(散列函数)并持久化到keychain(密钥保存库)中,从IOS keyChain(密钥保存库)获取buvid(商用唯一识别号码);
若未打开,则判断UDID(唯一性设备标识)是否打开;
若打开,则持久化到keychain(密钥保存库)中,从IOS keyChain(密钥保存库)获取buvid(商用唯一识别号码);
若未打开,则返回生成buvid(商用唯一识别号码)。
进一步的,所述Android平台移动终端采集buvid(商用唯一识别号码)的具体步骤如下:
App(应用程序)启动;
执行App SDK(应用软件开发工具包),判断终端是否存在已有buvid(商用唯一识别号码);
若存在,则返回生成buvid(商用唯一识别号码);
若不存在,则尝试获取AndroidID(设备唯一识别码),判断获取是否合法;
若合法,则MD5(散列函数)并持久化,从本地存储或系统文件获取buvid(商用唯一识别号码);
若不合法,则尝试获取DeviceID(设备唯一识别码),判断是否获取到;
若获取到,则MD5(散列函数)并持久化,从本地存储或系统文件获取buvid(商用唯一识别号码);
若未获取到,则尝试获取UUID(通用唯一标示符),判断是否获取到;
若获取到,则持久化,从本地存储或系统文件获取buvid(商用唯一识别号码);
若未获取到,返回生成buvid(商用唯一识别号码)。
进一步的,所述步骤S2使用 JaccardSimilarity (杰卡德相似度) 进行匹配验证,JaccardSimilarity (杰卡德相似度) 是衡量两个集合相似度的一种指标,两个集合的交集除以两个集合的并集,所得的就是两个集合的相似度,值越大说明相似度越高。数学表达式是:
J(S,T)=|S ∩ T|/|S ∪ T|,
其中, S指的是历史设置的设备指纹字段集合, T指的是当下匹配验证时采集的设备指纹字段集合,
通过预设设备指纹的相似度值,如预设相似度为70%,具体可以根据实际需要调整,当下匹配验证时,若能达到一定的相似度则认为是同一设备,所述设备指纹采集的所有字段并不一定是等比例权重,可以根据需要提高部分字段比例,但是总比例权重累加不超100%,并加权之后进行匹配计算。
本发明的有益效果是:
现有解决方案只有移动设备资产的登记,无基于零信任的动态安全管理和风险评估,无动态授权和取消授权动作,传统移动设备只注重资产不注重安全。基于零信任原则,可以保障企业系统的三个“安全”:终端安全、链路安全和访问控制安全。零信任模型可以为当今困扰企业的各种攻击(包括盗窃公司资产和身份)提供强有力的保护,可以帮助企业实现以下方面的管理:
1、企业员工移动设备的注册备案及可信设备的入库确认:企业新员工的移动设备或新移动设备访问前,先到管理员处进行设备指纹的统一录入登记;
2、企业员工移动设备访问企业应用的安全风险管控:每次访问前,经验证为同一设备方可允许访问;
3、企业员工移动设备丢失的安全处置:员工主动挂失设备到管理员处,管理员主动登记相关人员设备,标记为丢失设备,同一移动硬件设备就无法登录公司业务系统,保障业务安全,保护公司数据,避免敏感公司信息在遗失设备上不良传播。
附图说明
图1是本发明IOS平台移动终端采集buvid(商用唯一识别号码)的的流程图;
图2是本发明Android平台移动终端采集buvid(商用唯一识别号码)的的流程图。
具体实施方式
现在结合附图对本发明作进一步详细的说明。
基于零信任的移动终端安全解决方法,企业新员工的移动设备或新移动设备访问前,先到管理员处进行设备指纹的统一录入登记,完成企业员工移动设备的注册备案及可信设备的入库确认;每次访问前,经验证为同一设备方可允许访问,完成企业员工移动设备访问企业应用的安全风险管控。包括以下步骤:
步骤S1:采集移动终端的设备指纹,移动终端包括IOS平台和Android平台,通过设备采集系统调用接口采集设备指纹。
IOS平台移动终端的设备指纹包括 model(型号)、brand(品牌)、totalspace(总存储空间)、idfa(广告唯一性标识)、language(系统语言)、country(地区)、sysname(系统名)、name(用户自定义名)、oid(所属运营商)、app_start_ts(应用程序首次启动时间)、app_channel_id(应用程序渠道标识)、buvid(商用唯一识别号码),
如图1所示,IOS平台移动终端采集buvid(商用唯一识别号码)的具体步骤如下:
App(应用程序)启动;
执行App SDK(应用软件开发工具包),判断终端是否存在已有buvid(商用唯一识别号码);
若存在,则返回生成buvid(商用唯一识别号码);
若不存在,则尝试获取idfa(广告唯一性标识),判断idfa(广告唯一性标识)是否打开;
若打开,则MD5(散列函数)并持久化到keychain(密钥保存库)中,从IOS keyChain(密钥保存库)获取buvid(商用唯一识别号码);
若未打开,则判断UDID(唯一性设备标识)是否打开;
若打开,则持久化到keychain(密钥保存库)中,从IOS keyChain(密钥保存库)获取buvid(商用唯一识别号码);
若未打开,则返回生成buvid(商用唯一识别号码)。
Android平台移动终端的设备指纹包括imei(国际移动设备识别码)、model(型号)、brand(品牌)、totalspace(总存储空间)、mem(总内存空间)、band(基带信息)、androidId(设备唯一识别码)、wifimac(无线局域网物理地址)、cpuModel(中央处理器型号)、sensor(传感器信息)、screen(屏幕分辨率)、camcnt(摄像头数量)、imsi(国际移动用户识别码)、oid(所属运营商)、app_start_ts(应用程序首次启动时间)、app_channel_id(应用程序渠道标识)、buvid(商用唯一识别号码)。
如图2所示,Android平台移动终端采集buvid(商用唯一识别号码)的具体步骤如下:
App(应用程序)启动;
执行App SDK(应用软件开发工具包),判断终端是否存在已有buvid(商用唯一识别号码);
若存在,则返回生成buvid(商用唯一识别号码);
若不存在,则尝试获取AndroidID(设备唯一识别码),判断获取是否合法;
若合法,则MD5(散列函数)并持久化,从本地存储或系统文件获取buvid(商用唯一识别号码);
若不合法,则尝试获取DeviceID(设备唯一识别码),判断是否获取到;
若获取到,则MD5(散列函数)并持久化,从本地存储或系统文件获取buvid(商用唯一识别号码);
若未获取到,则尝试获取UUID(通用唯一标示符),判断是否获取到;
若获取到,则持久化,从本地存储或系统文件获取buvid(商用唯一识别号码);
若未获取到,返回生成buvid(商用唯一识别号码)。
步骤S2:将步骤S1采集的设备指纹进行匹配验证,经匹配验证为同一设备方可允许访问,否则禁止访问。使用 JaccardSimilarity (杰卡德相似度) 进行匹配验证,数学表达式是:
J(S,T)=|S ∩ T|/|S ∪ T|,
其中, S指的是历史设置的设备指纹字段集合, T指的是当下匹配验证时采集的设备指纹字段集合,预设设备指纹的相似度值为70%,当下匹配验证时,若能达到70%的相似度则认为是同一设备。
若发生企业员工移动设备丢失的情况,员工主动挂失设备到管理员处,管理员主动登记相关人员设备,标记为丢失设备,同一移动硬件设备就无法登录公司业务系统,保障业务安全,保护公司数据,避免敏感公司信息在遗失设备上不良传播。
以上述依据本发明的理想实施例为启示,通过上述的说明内容,相关工作人员完全可以在不偏离本项发明技术思想的范围内,进行多样的变更以及修改。本项发明的技术性范围并不局限于说明书上的内容,必须要根据权利要求范围来确定其技术性范围。
Claims (5)
1.基于零信任的移动终端安全解决方法,其特征在于,包括以下步骤:
步骤S1:采集移动终端的设备指纹;
步骤S2:将步骤S1采集的设备指纹进行匹配验证,经匹配验证为同一设备方可允许访问,否则禁止访问。
2.根据权利要求1所述的基于零信任的移动终端安全解决方法,其特征在于:所述移动终端包括IOS平台和Android平台,所述IOS平台移动终端的设备指纹包括 model(型号)、brand(品牌)、totalspace(总存储空间)、idfa(广告唯一性标识)、language(系统语言)、country(地区)、sysname(系统名)、name(用户自定义名)、oid(所属运营商)、app_start_ts(应用程序首次启动时间)、app_channel_id(应用程序渠道标识)、buvid(商用唯一识别号码);
所述Android平台移动终端的设备指纹包括imei(国际移动设备识别码)、model(型号)、brand(品牌)、totalspace(总存储空间)、mem(总内存空间)、band(基带信息)、androidId(设备唯一识别码)、wifimac(无线局域网物理地址)、cpuModel(中央处理器型号)、sensor(传感器信息)、screen(屏幕分辨率)、camcnt(摄像头数量)、imsi(国际移动用户识别码)、oid(所属运营商)、app_start_ts(应用程序首次启动时间)、app_channel_id(应用程序渠道标识)、buvid(商用唯一识别号码)。
3.根据权利要求2所述的基于零信任的移动终端安全解决方法,其特征在于:所述IOS平台移动终端采集buvid(商用唯一识别号码)的具体步骤如下:
App(应用程序)启动;
执行App SDK(应用软件开发工具包),判断终端是否存在已有buvid(商用唯一识别号码);
若存在,则返回生成buvid(商用唯一识别号码);
若不存在,则尝试获取idfa(广告唯一性标识),判断idfa(广告唯一性标识)是否打开;
若打开,则MD5(散列函数)并持久化到keychain(密钥保存库)中,从IOS keyChain(密钥保存库)获取buvid(商用唯一识别号码);
若未打开,则判断UDID(唯一性设备标识)是否打开;
若打开,则持久化到keychain(密钥保存库)中,从IOS keyChain(密钥保存库)获取buvid(商用唯一识别号码);
若未打开,则返回生成buvid(商用唯一识别号码)。
4.根据权利要求2所述的基于零信任的移动终端安全解决方法,其特征在于:所述Android平台移动终端采集buvid(商用唯一识别号码)的具体步骤如下:
App(应用程序)启动;
执行App SDK(应用软件开发工具包),判断终端是否存在已有buvid(商用唯一识别号码);
若存在,则返回生成buvid(商用唯一识别号码);
若不存在,则尝试获取AndroidID(设备唯一识别码),判断获取是否合法;
若合法,则MD5(散列函数)并持久化,从本地存储或系统文件获取buvid(商用唯一识别号码);
若不合法,则尝试获取DeviceID(设备唯一识别码),判断是否获取到;
若获取到,则MD5(散列函数)并持久化,从本地存储或系统文件获取buvid(商用唯一识别号码);
若未获取到,则尝试获取UUID(通用唯一标示符),判断是否获取到;
若获取到,则持久化,从本地存储或系统文件获取buvid(商用唯一识别号码);
若未获取到,返回生成buvid(商用唯一识别号码)。
5.根据权利要求1所述的基于零信任的移动终端安全解决方法,其特征在于:所述步骤S2使用 JaccardSimilarity (杰卡德相似度) 进行匹配验证,数学表达式是:
J(S,T)=|S ∩ T|/|S ∪ T|,
其中, S指的是历史设置的设备指纹字段集合, T指的是当下匹配验证时采集的设备指纹字段集合,
通过预设设备指纹的相似度值,当下匹配验证时,若能达到一定的相似度则认为是同一设备。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211050361.8A CN115460602A (zh) | 2022-08-31 | 2022-08-31 | 基于零信任的移动终端安全解决方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211050361.8A CN115460602A (zh) | 2022-08-31 | 2022-08-31 | 基于零信任的移动终端安全解决方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115460602A true CN115460602A (zh) | 2022-12-09 |
Family
ID=84301488
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211050361.8A Pending CN115460602A (zh) | 2022-08-31 | 2022-08-31 | 基于零信任的移动终端安全解决方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115460602A (zh) |
-
2022
- 2022-08-31 CN CN202211050361.8A patent/CN115460602A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3863318A1 (en) | Use of geolocation to improve security while protecting privacy | |
EP3100171B1 (en) | Client authentication using social relationship data | |
CN108989346B (zh) | 基于账号隐匿的第三方有效身份托管敏捷认证访问方法 | |
US9197420B2 (en) | Using information in a digital certificate to authenticate a network of a wireless access point | |
US11277421B2 (en) | Systems and methods for detecting and thwarting attacks on an IT environment | |
US20130174239A1 (en) | Reinforced authentication system and method using context information at the time of access to mobile cloud service | |
US9871805B2 (en) | User authentication | |
US9730061B2 (en) | Network authentication | |
CN101444119A (zh) | 在移动通信设备上实施安全策略的系统 | |
US9332432B2 (en) | Methods and system for device authentication | |
US7974602B2 (en) | Fraud detection techniques for wireless network operators | |
US11824850B2 (en) | Systems and methods for securing login access | |
CN111797418B (zh) | 在线服务的控制方法、装置、服务终端、服务器和存储介质 | |
CN110943840A (zh) | 一种签名验证方法及系统 | |
US20180115896A1 (en) | Seamless unique user identification and management | |
CN116260656B (zh) | 基于区块链的零信任网络中主体可信认证方法和系统 | |
CN107995616B (zh) | 用户行为数据的处理方法以及装置 | |
KR20080038563A (ko) | 전자감시 방법 및 그 시스템 | |
US10708267B2 (en) | Method and associated processor for authentication | |
CN115460602A (zh) | 基于零信任的移动终端安全解决方法 | |
CN114553573A (zh) | 身份认证方法及装置 | |
US9215594B2 (en) | Subscriber data management | |
CN115811401A (zh) | 一种监管方法、装置及系统 | |
CN109995733B (zh) | 能力服务开放方法、装置、系统、设备及介质 | |
JP2013069016A (ja) | 情報漏洩防止装置及び制限情報生成装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |