專利名稱:一種安全性移動(dòng)辦公的方法和移動(dòng)安全設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域�,特別涉及一種安全性移動(dòng)辦公的方法和移動(dòng)安全設(shè)備。
背景技術(shù):
隨著無(wú)線網(wǎng)絡(luò)的發(fā)展��,移動(dòng)辦公應(yīng)用越來(lái)越普及����。它是繼電腦無(wú)紙化辦公、互聯(lián)網(wǎng)遠(yuǎn)程化辦公之后的新一代辦公模式����。移動(dòng)辦公又稱3A辦公��,即辦公人員可在任何時(shí)間 (Anytime)�����、任何地點(diǎn)(Anywhere)處理與業(yè)務(wù)相關(guān)的任何事情(Anything)。這種全新的辦公模式��,使得辦公人員擺脫了時(shí)間和空間的束縛�,可隨時(shí)隨地通過(guò)筆記本、手機(jī)等便攜終端高效迅捷地開(kāi)展工作�,尤其是對(duì)突發(fā)性、應(yīng)急性事件的處理�。但是,由于辦公人員通過(guò)筆記本���、手機(jī)等辦公時(shí)�,要經(jīng)過(guò)開(kāi)放的無(wú)線網(wǎng)絡(luò)接入政府或企業(yè)的內(nèi)部網(wǎng)����,信息在空中無(wú)線傳播,如果不加以保護(hù)����,將會(huì)導(dǎo)致信息的泄漏����、非法篡改��、 偽造機(jī)密信息��、非法入侵等嚴(yán)重的安全問(wèn)題����。尤其是在網(wǎng)絡(luò)安全威脅日益嚴(yán)重的今天,如何保證政府和企業(yè)網(wǎng)絡(luò)的信息安全成為移動(dòng)辦公系統(tǒng)要解決的首要問(wèn)題��。移動(dòng)辦公業(yè)務(wù)的具體實(shí)施可采用多種方式短信�����、彩信�、基于無(wú)線應(yīng)用協(xié)議 (Wireless Application Protocol, WAP)和基于網(wǎng)絡(luò)互聯(lián)協(xié)、議(InternetProtocol, IP)�。 但隨著IT技術(shù)的發(fā)展,面向IP的應(yīng)用已成為未來(lái)的發(fā)展趨勢(shì)��,基于IP的移動(dòng)辦公業(yè)務(wù)將得到更好的整合����,所以本專利主要討論基于無(wú)線IP業(yè)務(wù)的安全移動(dòng)辦公問(wèn)題���。傳統(tǒng)的基于無(wú)線IP業(yè)務(wù)的移動(dòng)辦公安全解決方案主要采用虛擬專用網(wǎng)絡(luò)(Virtual Private Network, VPN)技術(shù)。VPN技術(shù)是在一個(gè)公共的����、不安全的網(wǎng)絡(luò)環(huán)境中,建立一個(gè)虛擬的私有網(wǎng)絡(luò)�,手機(jī)、筆記本等移動(dòng)終端通過(guò)這個(gè)虛擬的私有網(wǎng)絡(luò)安全的接入企業(yè)內(nèi)部網(wǎng)絡(luò)���,為上層辦公業(yè)務(wù)的開(kāi)展創(chuàng)造基礎(chǔ)條件。在主流VPN技術(shù)中���,專門(mén)為IP提供安全服務(wù)而設(shè)計(jì)的基于IP安全協(xié)議的虛擬專用網(wǎng)(IP Security VPN, IPSec VPN)���,因其很高的安全性及其與IP網(wǎng)絡(luò)的完美融合,成為比較理想的選擇?,F(xiàn)有實(shí)現(xiàn)移動(dòng)客戶端向企業(yè)內(nèi)網(wǎng)安全通信時(shí),需要預(yù)先安裝IPkc VPN客戶端軟件����,將IPkc VPN客戶端軟件嵌入到操作系統(tǒng)的IP協(xié)議棧。對(duì)于開(kāi)放的操作系統(tǒng)來(lái)說(shuō)���,我們可以利用其提供的驅(qū)動(dòng)接口將IPkc VPN客戶端處理嵌入到已有的IP數(shù)據(jù)流中����,比如 Windows Ndis框架,Linux的Netfilter機(jī)制���。但對(duì)于嵌入式系統(tǒng)�,比如各種手機(jī)��、平板電腦來(lái)說(shuō)��,一方面�,由于其產(chǎn)品眾多,系統(tǒng)千差萬(wàn)別�����,有些系統(tǒng)的封閉性嚴(yán)重影響了 IPkc VPN 客戶端的實(shí)施����,導(dǎo)致無(wú)法滿足任何移動(dòng)終端都能進(jìn)行安全的移動(dòng)辦公這一需求;另一方面���, 由于面對(duì)嵌入式領(lǐng)域中的眾多系統(tǒng)����,需要為不同系統(tǒng)平臺(tái)開(kāi)發(fā)和安裝相應(yīng)的IPkc VPN客戶端軟件,也給移動(dòng)辦公系統(tǒng)的部署和安裝帶來(lái)管理上的問(wèn)題�,同時(shí)也對(duì)移動(dòng)終端的性能提出了更高的要求。隨著IT技術(shù)的不斷發(fā)展��,還會(huì)涌現(xiàn)出越來(lái)越多具備辦公業(yè)務(wù)處理能力的移動(dòng)終端�,這些移動(dòng)終端的個(gè)性化特征差異也會(huì)愈加突出。因此�,如何使各式各樣的移動(dòng)終端都能快捷、安全的接入企業(yè)內(nèi)網(wǎng)成為亟待解決的問(wèn)題�。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明提供一種安全性移動(dòng)辦公的方法和移動(dòng)安全設(shè)備�����。能夠使各種移動(dòng)終端快捷��、安全的接入企業(yè)內(nèi)網(wǎng)�。為解決上述技術(shù)問(wèn)題����,本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的一種安全性移動(dòng)辦公的方法,移動(dòng)安全設(shè)備與企業(yè)VPN網(wǎng)關(guān)建立安全隧道��,聯(lián)入企業(yè)內(nèi)網(wǎng);所述移動(dòng)安全設(shè)備與移動(dòng)終端通過(guò)Wi-Fi建立安全連接���,其中�����,所述移動(dòng)終端支持Wi-Fi����,所述方法包括移動(dòng)安全設(shè)備通過(guò)Wi-Fi網(wǎng)絡(luò)接收所述移動(dòng)終端向企業(yè)內(nèi)網(wǎng)發(fā)送的IP數(shù)據(jù)流���,進(jìn)行封裝并通過(guò)所述安全隧道將其發(fā)送給企業(yè)VPN網(wǎng)關(guān)�;移動(dòng)安全設(shè)備通過(guò)所述安全隧道接收所述企業(yè)VPN網(wǎng)關(guān)向所述移動(dòng)終端發(fā)送的 IP數(shù)據(jù)流��,進(jìn)行相應(yīng)的解封裝并通過(guò)所述Wi-Fi發(fā)送給所述移動(dòng)終端���。一種安全性移動(dòng)辦公的移動(dòng)安全設(shè)備��,所述移動(dòng)安全設(shè)備包括配置單元����、接收單元,處理單元和發(fā)送單元�����;所述配置單元�����,用于與企業(yè)VPN網(wǎng)關(guān)建立安全隧道����,聯(lián)入企業(yè)內(nèi)網(wǎng);與移動(dòng)終端通過(guò)Wi-Fi建立安全連接���,其中���,所述移動(dòng)終端支持Wi-Fi ;所述接收單元�����,用于通過(guò)所述配置單元與移動(dòng)終端建立的Wi-Fi接收所述移動(dòng)終端向企業(yè)內(nèi)網(wǎng)發(fā)送的IP數(shù)據(jù)流���;通過(guò)所述配置單元與企業(yè)VPN網(wǎng)關(guān)建立的安全隧道接收所述企業(yè)VPN網(wǎng)關(guān)向所述移動(dòng)終端發(fā)送的IP數(shù)據(jù)流;所述處理單元�����,用于當(dāng)所述接收單元接收所述移動(dòng)終端發(fā)送的IP數(shù)據(jù)流時(shí),將該 IP數(shù)據(jù)流進(jìn)行封裝�����;當(dāng)所述接收單元接收所述企業(yè)VPN網(wǎng)關(guān)發(fā)送的IP數(shù)據(jù)流時(shí)�����,將該IP數(shù)據(jù)流進(jìn)行相應(yīng)的解封裝��;所述發(fā)送單元�����,用于將所述處理單元進(jìn)行封裝的IP數(shù)據(jù)流通過(guò)所述配置單元與企業(yè)VPN網(wǎng)關(guān)建立的安全隧道發(fā)送給企業(yè)VPN網(wǎng)關(guān)����;將所述處理單元進(jìn)行相應(yīng)解封裝的IP 數(shù)據(jù)流通過(guò)所述配置單元與移動(dòng)終端建立的Wi-Fi發(fā)送給所述移動(dòng)終端。綜上所述�,本發(fā)明中在原有方案網(wǎng)絡(luò)模式的基礎(chǔ)上,在移動(dòng)終端與3G網(wǎng)絡(luò)之間增加一個(gè)移動(dòng)安全設(shè)備��。在移動(dòng)終端與企業(yè)內(nèi)網(wǎng)通信時(shí),先與企業(yè)VPN網(wǎng)關(guān)建立安全隧道�����,聯(lián)入企業(yè)內(nèi)網(wǎng)���,再與移動(dòng)終端使用Wi-Fi建立安全連接��,通過(guò)移動(dòng)安全設(shè)備完成移動(dòng)終端與企業(yè)內(nèi)網(wǎng)之間的通信����。能夠使各種移動(dòng)終端快捷��、安全的接入企業(yè)內(nèi)網(wǎng)����。
圖1為本發(fā)明實(shí)施例中安全性移動(dòng)辦公方法流程示意圖;圖2為個(gè)人移動(dòng)辦公網(wǎng)絡(luò)結(jié)構(gòu)示意圖���;圖3為兩個(gè)移動(dòng)終端接入企業(yè)內(nèi)網(wǎng)辦公組網(wǎng)示意圖�����;圖4為本發(fā)明具體實(shí)施例中安全性移動(dòng)辦公的移動(dòng)安全設(shè)備的結(jié)構(gòu)示意圖。
具體實(shí)施例方式為使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白�����,以下參照附圖并舉實(shí)施例���,對(duì)本發(fā)明所述方案作進(jìn)一步地詳細(xì)說(shuō)明����。
參見(jiàn)圖1�,圖1為本發(fā)明實(shí)施例中安全性移動(dòng)辦公方法流程示意圖。具體步驟為步驟101����,移動(dòng)安全設(shè)備與企業(yè)VPN網(wǎng)關(guān)建立安全隧道,聯(lián)入企業(yè)內(nèi)網(wǎng)���;與移動(dòng)終端通過(guò)Wi-Fi建立安全連接���,其中,移動(dòng)終端支持Wi-Fi�����。步驟102,移動(dòng)安全設(shè)備通過(guò)Wi-Fi網(wǎng)絡(luò)接收移動(dòng)終端向企業(yè)內(nèi)網(wǎng)發(fā)送的IP數(shù)據(jù)流��,進(jìn)行封裝并通過(guò)安全隧道將其發(fā)送給企業(yè)VPN網(wǎng)關(guān)�����。步驟103�����,移動(dòng)安全設(shè)備通過(guò)安全隧道接收企業(yè)VPN網(wǎng)關(guān)向移動(dòng)終端發(fā)送的IP數(shù)據(jù)流�����,進(jìn)行相應(yīng)的解封裝并通過(guò)Wi-Fi發(fā)送給移動(dòng)終端����。本實(shí)施例中移動(dòng)安全設(shè)備在處理IP數(shù)據(jù)時(shí)的功能同現(xiàn)有技術(shù)中的IPkcVPN客戶端軟件的功能一致,對(duì)IP數(shù)據(jù)流進(jìn)行封裝以及相應(yīng)的解封裝�����,以便封裝后的IP數(shù)據(jù)流在建立的安全隧道中安全傳送到對(duì)端�。下面結(jié)合附圖,舉具體實(shí)施例�,詳細(xì)說(shuō)明本發(fā)明的安全性移動(dòng)辦公方法的實(shí)現(xiàn)過(guò)程����。參見(jiàn)圖2���,圖2為個(gè)人移動(dòng)辦公網(wǎng)絡(luò)結(jié)構(gòu)示意圖。圖2中個(gè)人移動(dòng)安全網(wǎng)絡(luò)210中包括移動(dòng)安全設(shè)備211和移動(dòng)終端212�����,移動(dòng)終端212支持Wi-Fi ���;企業(yè)內(nèi)網(wǎng)220包括企業(yè) IPSec網(wǎng)關(guān)211和企業(yè)內(nèi)網(wǎng)服務(wù)器222��。這里的企業(yè)IPkc網(wǎng)關(guān)211為企業(yè)VPN網(wǎng)關(guān)���,由于采用IPkc VPN建立安全隧道,因此稱之為企業(yè)IPSec網(wǎng)關(guān)�,當(dāng)采用基于加密套接字層協(xié)議的虛擬專用網(wǎng)(SecureSockets Layer VPN, SSL VPN)建立安全隧道時(shí),則稱之為SSL網(wǎng)關(guān)���, 在本發(fā)明具體實(shí)施例中均以企業(yè)IPkc網(wǎng)關(guān)為例��。移動(dòng)安全設(shè)備211通過(guò)采用IPkc VPN或SSL VPN等技術(shù)與IPkc網(wǎng)關(guān)211建立安全隧道���,聯(lián)入企業(yè)內(nèi)網(wǎng)��,通過(guò)Wi-Fi連接移動(dòng)終端212���。移動(dòng)終端212借助Wi-Fi連接,就能夠輕松的接入企業(yè)內(nèi)部網(wǎng)220�。移動(dòng)安全設(shè)備211與移動(dòng)終端212通過(guò)Wi-Fi連接,Wi-Fi網(wǎng)絡(luò)的安全即移動(dòng)終端212與移動(dòng)安全設(shè)備211的通信安全����。在Wi-Fi網(wǎng)絡(luò)認(rèn)證方面,可以通過(guò)無(wú)線應(yīng)用協(xié)議預(yù)共享認(rèn)證(Wi-Fi Protected Access 2 Pre-SharedKey, WPA2-PSK)����,避免非法用戶通過(guò) Wi-Fi接入移動(dòng)安全設(shè)備。用戶定期的更換Wi-Fi連接的密碼�,使用復(fù)雜的WPA2-PSK密鑰, 以保證Wi-Fi端網(wǎng)絡(luò)的安全性���。使用該認(rèn)證機(jī)制為較佳保證Wi-Fi端網(wǎng)絡(luò)安全的方法�,但使用者可以根據(jù)具體使用情況���、環(huán)境確定使用相對(duì)安全的認(rèn)證機(jī)制�。當(dāng)移動(dòng)安全設(shè)備211接收到移動(dòng)終端212通過(guò)Wi-Fi網(wǎng)絡(luò)發(fā)來(lái)的IP數(shù)據(jù)流,移動(dòng)安全設(shè)備211將該IP數(shù)據(jù)流進(jìn)行封裝��,封裝包括加密和簽名�。其中,在IP數(shù)據(jù)流加密時(shí)����,通過(guò)臨時(shí)密鑰完整性協(xié)議(Temporal KeyIntegrity Protocol, TKIP)���、計(jì)數(shù)器模式密碼塊鏈消息完整碼協(xié)議(Counter-Mode/CBC-MAC Protocol, CCMP)(Wireless Robust Authenticated Protocol, WRAP)加密機(jī)制為數(shù)據(jù)進(jìn)行機(jī)密性服務(wù)����,保證合法用戶的連接信息不被泄露���。移動(dòng)安全設(shè)備211將封裝后的IP數(shù)據(jù)流通過(guò)自身與企業(yè)IPkc網(wǎng)關(guān)建立的安全隧道轉(zhuǎn)發(fā)給企業(yè)IPkc網(wǎng)關(guān)221�����,企業(yè)IPkc網(wǎng)關(guān)221將該IP數(shù)據(jù)流進(jìn)行相應(yīng)的解封裝���,并轉(zhuǎn)發(fā)給企業(yè)內(nèi)網(wǎng)服務(wù)器222。當(dāng)移動(dòng)安全設(shè)備211通過(guò)已建立的安全隧道接收企業(yè)IPkc網(wǎng)關(guān)221發(fā)送給移動(dòng)終端212的IP數(shù)據(jù)流時(shí)��,將該IP數(shù)據(jù)流進(jìn)行相應(yīng)的解封裝,即與在企業(yè)IPkc網(wǎng)關(guān)上對(duì)該 IP數(shù)據(jù)流進(jìn)行的封裝相對(duì)應(yīng)�。將解封裝的IP數(shù)據(jù)流通過(guò)Wi-Fi轉(zhuǎn)發(fā)給移動(dòng)終端212。
上述Wi-Fi網(wǎng)絡(luò)安全方式適用于個(gè)人移動(dòng)辦公用戶使用��,當(dāng)有兩個(gè)以上移動(dòng)終端需要接入一個(gè)Wi-Fi網(wǎng)絡(luò)進(jìn)行辦公時(shí)����,可以為每個(gè)移動(dòng)終端分配一個(gè)安全移動(dòng)設(shè)備來(lái)實(shí)現(xiàn)多個(gè)移動(dòng)終端的接入。本發(fā)明還提出一種較佳的兩個(gè)以上移動(dòng)終端接入一個(gè)Wi-Fi網(wǎng)絡(luò)進(jìn)行辦公方法��。當(dāng)然該方法也適用于一個(gè)移動(dòng)終端接入Wi-Fi網(wǎng)絡(luò)進(jìn)行辦公���。適用者在具體應(yīng)用時(shí)可以根據(jù)實(shí)際情況進(jìn)行選擇����、部署?��,F(xiàn)在以兩個(gè)移動(dòng)終端通過(guò)移動(dòng)安全設(shè)備接入企業(yè)內(nèi)網(wǎng)為例來(lái)說(shuō)明本發(fā)明具體實(shí)施例中安全性移動(dòng)辦公���。參見(jiàn)圖3,圖3為兩個(gè)移動(dòng)終端接入企業(yè)內(nèi)網(wǎng)辦公組網(wǎng)示意圖��。圖3中個(gè)人移動(dòng)安全網(wǎng)絡(luò)310中包括移動(dòng)安全設(shè)備311、移動(dòng)終端312和移動(dòng)終端313�,移動(dòng)終端312和移動(dòng)終端313支持Wi-Fi ;企業(yè)內(nèi)網(wǎng)320包括企業(yè)IPkc網(wǎng)關(guān)和數(shù)字認(rèn)證中心(CA)服務(wù)器322和AAA323�。移動(dòng)安全設(shè)備311通過(guò)基于數(shù)字簽名證書(shū)的IKE認(rèn)證與企業(yè)IPkc網(wǎng)關(guān)建立安全隧道,其中����,數(shù)字簽名證書(shū)為CA服務(wù)器322分別為移動(dòng)安全設(shè)備311、�、移動(dòng)終端312和移動(dòng)終端313頒發(fā)的。同時(shí)為企業(yè)IPkc網(wǎng)關(guān)321和AAA頒發(fā)����。具體實(shí)現(xiàn)可以為X. 509數(shù)字簽名證書(shū)�����。當(dāng)移動(dòng)終端通過(guò)Wi-Fi接入移動(dòng)安全設(shè)備時(shí)�����,被要求使用802. Ix基于傳輸層安全的擴(kuò)展身份認(rèn)證協(xié)議(EAP-TLS)或基于隧道傳輸層安全的擴(kuò)展身份認(rèn)證協(xié)議(EAP-TTLS) 認(rèn)證機(jī)制��。只有擁有合法數(shù)字證書(shū)的終端才能被企業(yè)內(nèi)部AAA服務(wù)器認(rèn)證通過(guò)��,與移動(dòng)終
端建立連接。為了保護(hù)數(shù)字簽名證書(shū)的安全使用�����,防止私鑰泄露以IC卡即電子鑰匙(KEY)��,為介質(zhì)進(jìn)行存儲(chǔ)保護(hù)�。移動(dòng)終端結(jié)合這種硬件KEY的接入方式,為移動(dòng)辦公網(wǎng)絡(luò)提供了更強(qiáng)的安全保護(hù)�����。建立IPSec安全隧道���,Wi-Fi安全連接后�,IP數(shù)據(jù)流的通信過(guò)程同圖2中個(gè)人移動(dòng)通信過(guò)程���,在這里不再贅述��?��;谕瑯拥陌l(fā)明構(gòu)思,本發(fā)明還提出一種安全性移動(dòng)辦公的移動(dòng)安全設(shè)備��,參見(jiàn)圖4,圖4為本發(fā)明具體實(shí)施例中安全性移動(dòng)辦公的移動(dòng)安全設(shè)備的結(jié)構(gòu)示意圖��。該移動(dòng)安全設(shè)備包括配置單元401���、接收單元402�����,處理單元403和發(fā)送單元404����。配置單元401���,用于與企業(yè)VPN網(wǎng)關(guān)建立安全隧道����,聯(lián)入企業(yè)內(nèi)網(wǎng)����;與移動(dòng)終端通過(guò)Wi-Fi建立安全連接�����,其中,該移動(dòng)終端支持Wi-Fi��。接收單元402����,用于通過(guò)配置單元401與移動(dòng)終端建立的Wi-Fi接收該移動(dòng)終端向企業(yè)內(nèi)網(wǎng)發(fā)送的IP數(shù)據(jù)流;通過(guò)配置單元401與企業(yè)VPN網(wǎng)關(guān)建立的安全隧道接收企業(yè) VPN網(wǎng)關(guān)向該移動(dòng)終端發(fā)送的IP數(shù)據(jù)流���。處理單元403�,用于當(dāng)接收單元402接收該移動(dòng)終端發(fā)送的IP數(shù)據(jù)流時(shí)�,將該IP 數(shù)據(jù)流進(jìn)行封裝;當(dāng)接收單元402接收企業(yè)VPN網(wǎng)關(guān)發(fā)送的IP數(shù)據(jù)流時(shí)����,將該IP數(shù)據(jù)流進(jìn)行相應(yīng)的解封裝。發(fā)送單元404��,用于將處理單元403進(jìn)行封裝的IP數(shù)據(jù)流通過(guò)配置單元401與企業(yè)VPN網(wǎng)關(guān)建立的安全隧道發(fā)送給企業(yè)VPN網(wǎng)關(guān)�����;將處理單元403進(jìn)行相應(yīng)解封裝的IP數(shù)據(jù)流通過(guò)配置單元401與移動(dòng)終端建立的Wi-Fi發(fā)送給該移動(dòng)終端�����。較佳地,配置單元401�����,用于通過(guò)IPkc VPN或SSL VPN與企業(yè)VPN網(wǎng)關(guān)建立IPSec或SSL安全隧道�����;通過(guò)采用802. Ix WPA2-PSK對(duì)所述移動(dòng)終端認(rèn)證��,若該移動(dòng)終端具有相同的預(yù)共享密鑰����,則認(rèn)證通過(guò),并與該移動(dòng)終端通過(guò)Wi-Fi建立安全連接��。較佳地�,處理單元402,用于對(duì)IP數(shù)據(jù)流進(jìn)行封裝包括對(duì)該IP數(shù)據(jù)流通過(guò)TKIP�、CCMP或 WRAP加密機(jī)制進(jìn)行加密。較佳地����,配置單元401���,進(jìn)一步用于通過(guò)基于數(shù)字簽名證書(shū)的IKE認(rèn)證與企業(yè)VPN網(wǎng)關(guān)建立安全隧道�����,其中���,數(shù)字簽名證書(shū)是由企業(yè)內(nèi)部CA服務(wù)器為移動(dòng)安全設(shè)備����、企業(yè)VPN網(wǎng)關(guān)和該移動(dòng)終端頒發(fā)的���。較佳地���,配置單元401,進(jìn)一步用于通過(guò)采用802. Ix EAP-TLS或EAP-TLLS對(duì)該移動(dòng)終端認(rèn)證��,若該移動(dòng)終端具有合法數(shù)字簽名證書(shū)則認(rèn)證通過(guò)��,自身所在移動(dòng)安全設(shè)備與該移動(dòng)終端通過(guò)Wi-Fi建立安全連接���,其中����,數(shù)字簽名證書(shū)是由企業(yè)內(nèi)部CA服務(wù)器為所述移動(dòng)終端頒發(fā)的。上述實(shí)施例的單元可以集成于一體��,也可以分離部署���;可以合并為一個(gè)單元�����,也可以進(jìn)一步拆分成多個(gè)子單元���。綜上所述,本發(fā)明的具體實(shí)施例中在原有方案網(wǎng)絡(luò)模式的基礎(chǔ)上��,在移動(dòng)終端與 3G網(wǎng)絡(luò)之間增加一個(gè)移動(dòng)安全設(shè)備�。在移動(dòng)終端與企業(yè)內(nèi)網(wǎng)通信時(shí),首先��,移動(dòng)安全設(shè)備采用IPkc VPN或SSL VPN技術(shù)與企業(yè)VPN網(wǎng)關(guān)建立安全隧道�����,聯(lián)入企業(yè)內(nèi)網(wǎng)��;然后�,移動(dòng)終端與移動(dòng)安全設(shè)備使用Wi-Fi建立安全連接,通過(guò)移動(dòng)安全設(shè)備透明的�、安全的接入企業(yè)內(nèi)網(wǎng)。由于只需要在移動(dòng)終端與3G網(wǎng)絡(luò)之間增加移動(dòng)安全設(shè)備���,通過(guò)移動(dòng)安全設(shè)備與企業(yè)內(nèi)網(wǎng)建立連接���,而無(wú)需在移動(dòng)終端安裝VPN客戶端程序,從而有效避免了因移動(dòng)終端的個(gè)性化特征差異帶來(lái)的VPN終端程序難于實(shí)施�,軟件兼容性等諸多問(wèn)題。能夠做到與現(xiàn)有移動(dòng)終端軟件的完全兼容�。任何支持Wi-Fi的移動(dòng)終端都可以通過(guò)這種方式安全的聯(lián)入企業(yè)內(nèi)網(wǎng),跟使用移動(dòng)終端沒(méi)有任何差別�,支持任何帶有Wi-Fi的移動(dòng)終端。無(wú)需安裝任何客戶端程序�����,打開(kāi)移動(dòng)安全設(shè)備��,即可聯(lián)入安全網(wǎng)絡(luò)��,實(shí)現(xiàn)真正的 “傻瓜式”安全���。而且對(duì)上層業(yè)務(wù)完全透明���,業(yè)務(wù)無(wú)需做任何特定的改動(dòng)�。以上所述���,僅為本發(fā)明的較佳實(shí)施例而已�,并非用于限定本發(fā)明的保護(hù)范圍�����。凡在本發(fā)明的精神和原則之內(nèi)�,所作的任何修改、等同替換���、改進(jìn)等�,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)����。
權(quán)利要求
1.一種安全性移動(dòng)辦公的方法,其特征在于���,移動(dòng)安全設(shè)備與企業(yè)虛擬專用網(wǎng)絡(luò)VPN 網(wǎng)關(guān)建立安全隧道�,聯(lián)入企業(yè)內(nèi)網(wǎng);所述移動(dòng)安全設(shè)備與移動(dòng)終端通過(guò)無(wú)線寬帶Wi-Fi建立安全連接�,其中,所述移動(dòng)終端支持Wi-Fi�����,所述方法包括移動(dòng)安全設(shè)備通過(guò)Wi-Fi網(wǎng)絡(luò)接收所述移動(dòng)終端向企業(yè)內(nèi)網(wǎng)發(fā)送的IP數(shù)據(jù)流����,進(jìn)行封裝并通過(guò)所述安全隧道將其發(fā)送給企業(yè)VPN網(wǎng)關(guān)��;移動(dòng)安全設(shè)備通過(guò)所述安全隧道接收所述企業(yè)VPN網(wǎng)關(guān)向所述移動(dòng)終端發(fā)送的IP數(shù)據(jù)流��,進(jìn)行相應(yīng)的解封裝并通過(guò)所述Wi-Fi發(fā)送給所述移動(dòng)終端�����。
2.根據(jù)權(quán)利要求1所述的方法���,其特征在于��,所述移動(dòng)安全設(shè)備與企業(yè)VPN網(wǎng)關(guān)建立安全隧道的方法為移動(dòng)安全設(shè)備通過(guò)基于IP安全協(xié)議的虛擬專用網(wǎng)IPkc VPN或基于加密套接字層協(xié)議的虛擬專用網(wǎng)SSL VPN與企業(yè)VPN網(wǎng)關(guān)建立IPSec或SSL安全隧道�����;所述移動(dòng)安全設(shè)備與移動(dòng)終端通過(guò)Wi-Fi建立安全連接的方法為移動(dòng)安全設(shè)備通過(guò)采用802. Ix無(wú)線應(yīng)用協(xié)議預(yù)共享認(rèn)證WPA2-PSK對(duì)所述移動(dòng)終端認(rèn)證��,若該移動(dòng)終端具有相同的預(yù)共享密鑰,則認(rèn)證通過(guò)�,并與該移動(dòng)終端通過(guò)Wi-Fi建立安全連接。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于�,所述封裝包括對(duì)所述IP數(shù)據(jù)流通過(guò)臨時(shí)密鑰完整性協(xié)議TKIP、計(jì)數(shù)器模式密碼塊鏈消息完整碼協(xié)議CCMP或無(wú)線健壯安全認(rèn)證協(xié)議WRAP加密機(jī)制進(jìn)行加密�。
4.根據(jù)權(quán)利要求1所述的方法����,其特征在于,所述移動(dòng)安全設(shè)備與企業(yè)VPN網(wǎng)關(guān)建立安全隧道的方法為移動(dòng)安全設(shè)備通過(guò)基于數(shù)字簽名證書(shū)的因特網(wǎng)密鑰交換協(xié)議IKE認(rèn)證與所述企業(yè)VPN 網(wǎng)關(guān)建立安全隧道,其中�����,所述數(shù)字簽名證書(shū)是由企業(yè)內(nèi)部數(shù)字證書(shū)認(rèn)證中心CA服務(wù)器為所述移動(dòng)安全設(shè)備���、所述企業(yè)VPN網(wǎng)關(guān)和所述移動(dòng)終端頒發(fā)的�。
5.根據(jù)權(quán)利要求4所述的方法���,其特征在于,所述移動(dòng)安全設(shè)備與移動(dòng)終端通過(guò)Wi-Fi建立安全連接的方法為移動(dòng)安全設(shè)備通過(guò)采用802. Ix基于傳輸層安全的擴(kuò)展身份認(rèn)證協(xié)議EAP-TLS或基于隧道傳輸層安全的擴(kuò)展身份認(rèn)證協(xié)議EAP-TLLS對(duì)所述移動(dòng)終端認(rèn)證�,若該移動(dòng)終端具有合法數(shù)字簽名證書(shū)則認(rèn)證通過(guò),并與該移動(dòng)終端通過(guò)Wi-Fi建立安全連接,其中�����,所述數(shù)字簽名證書(shū)是由企業(yè)內(nèi)部CA服務(wù)器為所述移動(dòng)終端頒發(fā)的。
6.一種安全性移動(dòng)辦公的移動(dòng)安全設(shè)備����,其特征在于�����,所述移動(dòng)安全設(shè)備包括配置單元����、接收單元��,處理單元和發(fā)送單元;所述配置單元���,用于與企業(yè)虛擬專用網(wǎng)VPN網(wǎng)關(guān)建立安全隧道��,聯(lián)入企業(yè)內(nèi)網(wǎng)���;與移動(dòng)終端通過(guò)無(wú)線寬帶Wi-Fi建立安全連接�,其中����,所述移動(dòng)終端支持Wi-Fi ;所述接收單元��,用于通過(guò)所述配置單元與移動(dòng)終端建立的Wi-Fi接收所述移動(dòng)終端向企業(yè)內(nèi)網(wǎng)發(fā)送的IP數(shù)據(jù)流���;通過(guò)所述配置單元與企業(yè)VPN網(wǎng)關(guān)建立的安全隧道接收所述企業(yè)VPN網(wǎng)關(guān)向所述移動(dòng)終端發(fā)送的IP數(shù)據(jù)流;所述處理單元����,用于當(dāng)所述接收單元接收所述移動(dòng)終端發(fā)送的IP數(shù)據(jù)流時(shí),將該IP數(shù)據(jù)流進(jìn)行封裝����;當(dāng)所述接收單元接收所述企業(yè)VPN網(wǎng)關(guān)發(fā)送的IP數(shù)據(jù)流時(shí)����,將該IP數(shù)據(jù)流進(jìn)行相應(yīng)的解封裝�����;所述發(fā)送單元���,用于將所述處理單元進(jìn)行封裝的IP數(shù)據(jù)流通過(guò)所述配置單元與企業(yè) VPN網(wǎng)關(guān)建立的安全隧道發(fā)送給企業(yè)VPN網(wǎng)關(guān)�����;將所述處理單元進(jìn)行相應(yīng)解封裝的IP數(shù)據(jù)流通過(guò)所述配置單元與移動(dòng)終端建立的Wi-Fi發(fā)送給所述移動(dòng)終端�。
7.根據(jù)權(quán)利要求6所述的移動(dòng)安全設(shè)備�,其特征在于,所述配置單元�����,用于通過(guò)基于IP安全協(xié)議的虛擬專用網(wǎng)IPkc VPN或基于加密套接字層協(xié)議的虛擬專用網(wǎng)SSL VPN與企業(yè)VPN網(wǎng)關(guān)建立IPkc或SSL安全隧道���;通過(guò)采用802. Ix 無(wú)線應(yīng)用協(xié)議預(yù)共享認(rèn)證WPA2-PSK對(duì)所述移動(dòng)終端認(rèn)證��,若該移動(dòng)終端具有相同的預(yù)共享密鑰��,則認(rèn)證通過(guò)���,并與該移動(dòng)終端通過(guò)Wi-Fi建立安全連接。
8.根據(jù)權(quán)利要求6所述的移動(dòng)安全設(shè)備�����,其特征在于����,所述處理單元�,用于對(duì)所述IP數(shù)據(jù)流進(jìn)行封裝包括對(duì)所述IP數(shù)據(jù)流通過(guò)臨時(shí)密鑰完整性協(xié)議TKIP��、計(jì)數(shù)器模式密碼塊鏈消息完整碼協(xié)議CCMP或無(wú)線健壯安全認(rèn)證協(xié)議WRAP 加密機(jī)制進(jìn)行加密�。
9.根據(jù)權(quán)利要求6所述的移動(dòng)安全設(shè)備�����,其特征在于�����,所述配置單元�,進(jìn)一步用于通過(guò)基于數(shù)字簽名證書(shū)的因特網(wǎng)密鑰交換協(xié)議IKE認(rèn)證與所述企業(yè)VPN網(wǎng)關(guān)建立IPSec或SSL安全隧道�����,其中,所述數(shù)字簽名證書(shū)是由企業(yè)內(nèi)部數(shù)字證書(shū)認(rèn)證中心CA服務(wù)器為所述移動(dòng)安全設(shè)備��、所述企業(yè)VPN網(wǎng)關(guān)和所述移動(dòng)終端頒發(fā)的���。
10.根據(jù)權(quán)利要求9所述的移動(dòng)安全設(shè)備��,其特征在于��,所述配置單元���,進(jìn)一步用于通過(guò)采用802. Ix基于傳輸層安全的擴(kuò)展身份認(rèn)證協(xié)議 EAP-TLS或基于隧道傳輸層安全的擴(kuò)展身份認(rèn)證協(xié)議EAP-TLLS對(duì)所述移動(dòng)終端認(rèn)證���,若該移動(dòng)終端具有合法數(shù)字簽名證書(shū)則認(rèn)證通過(guò)��,自身所在移動(dòng)安全設(shè)備與該移動(dòng)終端通過(guò) Wi-Fi建立安全連接���,其中,所述數(shù)字簽名證書(shū)是由企業(yè)內(nèi)部CA服務(wù)器為所述移動(dòng)終端頒發(fā)的��。
全文摘要
本發(fā)明公開(kāi)了一種安全性移動(dòng)辦公方法,與企業(yè)VPN網(wǎng)關(guān)建立安全隧道���,聯(lián)入企業(yè)內(nèi)網(wǎng)�;與移動(dòng)終端通過(guò)Wi-Fi建立安全連接,該方法包括通過(guò)Wi-Fi網(wǎng)絡(luò)接收移動(dòng)終端向企業(yè)內(nèi)網(wǎng)發(fā)送的IP數(shù)據(jù)流���,進(jìn)行封裝并通過(guò)建立的安全隧道將其發(fā)送給企業(yè)VPN網(wǎng)關(guān)�����;通過(guò)該安全隧道接收所述企業(yè)VPN網(wǎng)關(guān)向移動(dòng)終端發(fā)送的IP數(shù)據(jù)流��,進(jìn)行相應(yīng)的解封裝并通過(guò)所述Wi-Fi發(fā)送給移動(dòng)終端��?;谕瑯拥陌l(fā)明構(gòu)思����,本發(fā)明還提出一種移動(dòng)安全設(shè)備�����,能夠使各種移動(dòng)終端快捷、安全的接入企業(yè)網(wǎng)內(nèi)部�����。
文檔編號(hào)H04W12/08GK102348210SQ20111031802
公開(kāi)日2012年2月8日 申請(qǐng)日期2011年10月19日 優(yōu)先權(quán)日2011年10月19日
發(fā)明者吳飛, 權(quán)吉?dú)g 申請(qǐng)人:邁普通信技術(shù)股份有限公司