一種安全訪問方法及系統的制作方法

一種安全訪問方法及系統的制作方法
【技術領域】
[0001]本發明涉及通信領域，尤其涉及一種安全訪問方法及系統。
【背景技術】
[0002]隨著智能終端的成熟與普及，以手機、平板電腦為代表的個人智能終端設備逐漸進入企業應用領域。據國際權威咨詢公司Gartner的預測，到2014年90%的企業將會支持員工在個人移動終端上運行企業辦公應用程序，員工使用個人智能終端設備辦公已經成為一種無法逆轉的潮流。這類被稱為BYOD (Bring Your Own Device，自帶設備辦公)的現象為企業安全和管理帶來了新的挑戰:
[0003]1、企業員工的移動終端可以在任何時間、任何地點接入移動互聯網或公共/家庭W1-Fi網絡，移動終端中的企業數據也會暴露在來自互聯網的攻擊之下。
[0004]2、企業員工可以隨意訪問、存取企業數據，從而存在企業數據被個人非法上傳、共享和外泄的風險。如存儲在手機中的辦公郵件、文件、圖片、通信記錄以及與業務內容有關的短信等，這些敏感信息的泄漏給企業帶來極大的信息安全風險。
[0005]3、遺失或被竊移動終端，移動終端中所保存的企業敏感數據也因此面臨泄密風險。
[0006]4、手機病毒呈指數式增長，移動終端成為滲透企業內網的跳板。
[0007]綜上說明，商用移動終端通常工作在無法由企業或組織控制的外部和遠端，能夠訪問企業的應用和敏感數據的終端可能被竊取、泄露，或者錯誤配置，從而把企業資產置于危險之中。
[0008]現在針對企業移動終端的安全問題主要有兩種解決辦法:
[0009]第一種解決方案依然著手于移動終端，通過在移動終端進行部署，在移動終端上劃分出一個獨立的區域，隔絕企業信息和個人信息，避免企業數據被第三方應用獲取。其技術架構由移動終端APP和服務器控制臺構成，控制臺以企業私有云或公有云的方式，部署到企業內網的通用服務器或電腦上，實現移動終端管理、策略管理下發、企業應用管理等。APP則在移動終端上建立一個安全的工作區，工作區內的應用和數據受到保護，通過監測、加密等手段確保企業數據在移動終端上的安全。其結構體系如圖1所示。
[0010]第二種解決辦法由網關入手，在移動終端與企業服務器的連接中間設立一個網關，通過在網關上進行安全配置，使用移動終端在訪問企業數據時經過網關，并且按照網關的安全配置訪問允許其訪問的數據，從而達到管理移動終端，保護企業數據的目的。
[0011]以上兩種解決方案，均存在一定的不足，主要有以下問題:
[0012](I)在移動終端與公有云進行數據交互時增加了中間設備，增加了訪問時間。
[0013](2)由于所有病毒防護、安全監測等操作均由移動終端進行，極大的增加了移動終端的負荷，導致移動終端性能降低、耗能增加。同時由于軟件的更新由移動終端個人完成，若沒有及時更新，同時會造成安全隱患。
[0014](3)如果辦公區的一些文檔需要調用個人區域的程序打開的話，那么信息也是從辦公區跳轉到個人區域，這依然會對企業信息安全造成極大的一個隱患。
[0015]綜上所述，目前的解決方案還是存在安全性差且操作不方便的問題。

【發明內容】

[0016]本發明所要解決的技術問題是:提供一種安全性高、操作方便的安全訪問方法及系統。
[0017]為了解決上述技術問題，本發明采用的技術方案為:
[0018]—種安全訪問方法，包括:
[0019]移動終端發送身份驗證信息經網關轉發至驗證平臺；所述身份驗證信息包括用戶身份和安全級別；
[0020]所述驗證平臺對接收到的身份驗證信息進行驗證，得到驗證結果后發送至網關；
[0021]所述網關判斷接收到的驗證結果是否合法，若合法，獲取所述移動終端的安全級別；
[0022]在劃分成不同安全級別的網關中獲取與移動終端的安全級別相同的配置信息；
[0023]根據所述配置信息設置所述移動終端與網關之間通信的訪問權限；
[0024]建立所述移動終端與網關的VPN安全通道。
[0025]本發明采用的另一技術方案為:
[0026]—種安全訪問系統，包括:發送模塊、驗證模塊、判斷模塊、第一獲取模塊、第二獲取模塊、設置模塊和建立模塊；
[0027]所述發送模塊，用于移動終端發送身份驗證信息經網關轉發至驗證平臺；所述身份驗證信息包括用戶身份和安全級別；
[0028]所述驗證模塊，用于所述驗證平臺對接收到的身份驗證信息進行驗證，得到驗證結果后發送至網關；
[0029]所述判斷模塊，用于所述網關判斷接收到的驗證結果是否合法；
[0030]所述第一獲取模塊，用于若所述網關判斷接收到的驗證結果為合法時，獲取所述移動終端的安全級別；
[0031]所述第二獲取模塊，用于在劃分成不同安全級別的網關中獲取與移動終端的安全級別相同的配置信息；
[0032]所述設置模塊，用于根據所述配置信息設置所述移動終端與網關之間通信的訪問權限；
[0033]所述建立模塊，用于建立所述移動終端與網關的VPN安全通道。
[0034]本發明的有益效果在于:將網關按照安全級別進行劃分，并根據身份驗證為合法的移動終端的安全級別獲取網關中安全級別相同的配置信息，根據配置信息設置移動終端與網關之間通信的訪問權限，實現不同的身份信息擁有不同的訪問權限，從而提升移動終端訪問的安全性，且本發明提供的安全訪問方法及系統，操作簡單、方便。
【附圖說明】
[0035]圖1為本發明【背景技術】的第一種解決方案的結構體系圖；
[0036]圖2為本發明的一種安全訪問方法的步驟流程圖；
[0037]圖3為本發明的一種安全訪問系統的結構示意圖；
[0038]標號說明:
[0039]1、發送模塊；2、驗證模塊；3、判斷模塊；4、第一獲取模塊；5、第二獲取模塊；6、設置模塊；7、建立模塊。
【具體實施方式】
[0040]為詳細說明本發明的技術內容、所實現目的及效果，以下結合實施方式并配合附圖予以說明。
[0041]本發明最關鍵的構思在于:對網關進行安全級別劃分，并根據身份驗證為合法的移動終端的安全級別獲取網關中安全級別相同的配置信息，根據配置信息設置移動終端與網關之間通信的訪問權限。
[0042]請參照圖2，本發明提供的一種安全訪問方法，包括:
[0043]移動終端發送身份驗證信息經網關轉發至驗證平臺；所述身份驗證信息包括用戶身份和安全級別；
[0044]所述驗證平臺對接收到的身份驗證信息進行驗證，得到驗證結果后發送至網關；
[0045]所述網關判斷接收到的驗證結果是否合法，若合法，獲取所述移動終端的安全級別；
[0046]在劃分成不同安全級別的網關中獲取與移動終端的安全級別相同的配置信息；
[0047]根據所述配置信息設置所述移動終端與網關之間通信的訪問權限；
[0048]建立所述移動終端與網關的VPN安全通道。
[0049]從上述描述可知，本發明的有益效果在于:將網關按照安全級別進行劃分，并根據身份驗證為合法的移動終端的安全級別獲取網關中安全級別相同的配置信息，根據配置信息設置移動終端與網關之間通信的訪問權限，實現不同的身份信息擁有不同的訪問權限，從而提升移動終端訪問的安全性，且本發明提供的安全訪問方法，操作簡單、方便。
[0050]進一步的，所述身份驗證信息還包括訪問內容、使用終端和終端狀態。
[0051]進一步的，所述配置信息是根據移動終端發送的用戶身份、訪問內容、使用終端和終端狀態分析得到。
[0052]進一步的，所述訪問權限的內容包括應用交付與流量管理、應用加速和應用安全。
[0053]進一步的，所述應用交付與流量管理包括內容交換、負載均衡、動態路由選擇和訪問控制列表。
[0054]由上述描述可知，利用內容交換、負載均衡、動態路由選擇、訪問控制列表等技術，整合硬件和軟件系統，提供高質量的運營級別和高可用性，最終保障用戶安全、高效地訪問企業敏感數據。
[0055]進一步的，所述應用加速包括整合SSL卸載、應用壓縮、應用緩存和TCP緩沖及優化。
[0056]由上述描述可知，整合SSL卸載、應用壓縮、應用緩存、TCP緩沖及優化等技術，通過基礎設施優化，智能HTTP壓縮，將服務器資源解放出來，確保高優先級應用得到優先處理，極大提高服務器性能及降低帶寬成本。
[0057]進一步的，所述應用安全包括拒絕服務攻擊的保護、安全內容隱藏、應用攻擊過濾、HTTP重寫、優先隊列和浪涌保護。
[0058]由上述描述可知，支持對拒絕服務(DoS)攻擊的保護、安全內容隱藏、應用攻擊過濾、HTTP重寫、優先隊列、浪涌保護等應用安全功能，添加了多項不能在網絡其它地方實現的關鍵安全特性，全面保證服務器的數據安全。
[0059]請參閱圖3，本發明提供的一種安全訪問系統，包括:發送模塊1、驗證模塊2、判斷模塊3、第一獲取模塊4、第二獲取模塊5、設置模塊6和建立模塊7 ;
[0060]所述發送模塊1，用于移動終端發送身份驗證信息經網關轉發至驗證平臺；所述身份驗證信息包括用戶身份和安全級別；
[0061]所述驗證模塊2，用于所述驗證平臺對接收到的身份驗證信息進行驗證，得到驗證結果后發送至網關；
[0062]所述判斷模塊3，用于所述網關判斷接收到的驗證結果是否合法；
[0063]所述第一獲取模塊4，用于若所述網關判斷接收到的驗證結果為合法時，獲取所述移動終端的安全級別；
[0064]所述第二獲取模塊5，用于在劃分成不同安全級別的網關中獲取與移動終端的安全級別相同的配置信息