一種單點安全認證方法及系統(tǒng)的制作方法
【技術領域】
[0001] 本發(fā)明涉及安全認證領域�����,尤其涉及一種單點安全認證方法及系統(tǒng)。
【背景技術】
[0002] 隨著智能終端的成熟與普及�����,以手機�����、平板電腦為代表的個人智能終端設備逐漸 進入企業(yè)應用領域����。據(jù)國際權威咨詢公司Gartner的預測,到2014年90%的企業(yè)將會支持 員工在個人移動設備上運行企業(yè)辦公應用程序�����,員工使用個人智能終端設備辦公已經成為 一種無法逆轉的潮流����。這類被稱為BYOD(BringYourOwnDevice��,自帶設備辦公)的現(xiàn)象 為企業(yè)安全和管理帶來了新的挑戰(zhàn):
[0003] 1����、企業(yè)網絡邊界變得模糊���,原有的邊界防御系統(tǒng)無法有效保護企業(yè)的數(shù)據(jù)安全。 企業(yè)員工的移動設備可以在任何時間�、任何地點接入移動互聯(lián)網或公共/家庭WiFi網絡, 移動終端中的企業(yè)數(shù)據(jù)也會暴露在互聯(lián)網的攻擊之下�����。
[0004] 2��、個人應用與企業(yè)應用混用�,為企業(yè)帶來信息安全風險。同一移動終端設備上既 有個人應用�,又有企業(yè)應用和數(shù)據(jù),個人應用可以隨意訪問�、存取企業(yè)數(shù)據(jù),從而存在企業(yè) 數(shù)據(jù)被個人非法上傳�����、共享和外泄的風險����。如存儲在手機中的辦公郵件、文件�����、圖片、通信記 錄以及與業(yè)務內容有關的短信等��,這些敏感信息的泄漏給企業(yè)帶來極大的信息安全風險����。
[0005] 3、當前用戶密碼為了方便記憶和管理����,一般只會將有意義的字符串作為密碼,安 全性很差����,無法自動生成隨機密鑰。
[0006] 4�、目前移動終端應用訪問企業(yè)數(shù)據(jù)服務時,基本采用基于用戶名和密碼的驗證方 式�����,這種方式存在較大的安全隱患�。
[0007] 5�����、多數(shù)企業(yè)應用中包含多個數(shù)據(jù)服務,每個數(shù)據(jù)服務都需要相應的訪問驗證��,當 移動終端應用訪問多個企業(yè)數(shù)據(jù)服務時��,造成移動終端登錄管理的繁瑣�,同時對企業(yè)數(shù)據(jù) 安全造成更大的隱患。
[0008] 6��、目前大多數(shù)企業(yè)應用多采用移動終端和PC分離的管理模式���,這樣造成企業(yè)運 行與維護的工作負荷的增加�����,浪費了較多的企業(yè)資源��,增加了企業(yè)的運維成本�����。
[0009] 綜上所述���,目前移動終端訪問企業(yè)數(shù)據(jù)庫過程中��,存在安全性差�����、操作繁瑣的問 題�����。
【發(fā)明內容】
[0010] 本發(fā)明所要解決的技術問題是:提供一種安全性高�、操作方便的單點安全認證方 法及系統(tǒng)����。
[0011] 為了解決上述技術問題,本發(fā)明采用的技術方案為:
[0012] -種單點安全認證方法�,包括:
[0013] 移動終端發(fā)送由單點安全認證網關分配的用戶名、密碼以及身份證書至單點安全 認證網關�����;所述身份證書包括安全認證模塊的標識��;所述安全認證模塊為移動終端認證服 務��、Kerberos安全模塊���、NTLM安全模塊��、AD認證模塊�����、SAML安全模塊或第三方認證模塊�;
[0014] 所述單點安全認證網關包括移動終端認證服務���、Kerberos安全模塊��、NTLM安全模 塊�����、AD認證模塊���、SAML安全模塊和第三方認證模塊組成;
[0015] 提取所述身份證書中的標識����;
[0016] 根據(jù)所述標識選取單點安全認證網關中的安全認證模塊;
[0017] 單點安全認證網關將接收到的用戶名、密碼以及身份證書發(fā)送至對應的安全認證 模塊���,驗證用戶登錄是否合法��;
[0018] 若驗證結果為合法����,所述移動終端通過所述安全認證模塊與企業(yè)數(shù)據(jù)庫建立VPN 安全連接����。
[0019] 本發(fā)明采用的另一技術方案為:
[0020] -種單點安全認證系統(tǒng),包括:發(fā)送模塊��、提取模塊��、選取模塊��、驗證模塊和建立連 接豐吳塊�;
[0021] 所述發(fā)送模塊,用于移動終端發(fā)送由單點安全認證網關分配的用戶名�、密碼以及 身份證書至單點安全認證網關;所述身份證書包括安全認證模塊的標識��;所述安全認證模 塊為移動終端認證服務�����、Kerberos安全模塊、NTLM安全模塊����、AD認證模塊�����、SAML安全模塊 或第三方認證模塊���;所述單點安全認證網關包括移動終端認證服務�����、Kerberos安全模塊����、 NTLM安全模塊����、AD認證模塊、SAML安全模塊和第三方認證模塊組成�����;
[0022] 所述提取模塊,用于提取所述身份證書中的標識���;
[0023] 所述選取模塊�,用于根據(jù)所述標識選取單點安全認證網關中的安全認證模塊��;
[0024] 所述驗證模塊�����,用于單點安全認證網關將接收到的用戶名����、密碼以及身份證書發(fā) 送至對應的安全認證模塊,驗證用戶登錄是否合法�;
[0025] 所述建立連接模塊,用于若驗證結果為合法�,所述移動終端通過所述安全認證模 塊與企業(yè)數(shù)據(jù)庫建立VPN安全連接。
[0026] 本發(fā)明的有益效果在于:傳統(tǒng)的身份認證模塊采用通用性較強的模塊��,可適用于 多種身份認證方式��,也因為通用性較強�,而導致安全性較差����。本發(fā)明的單點安全認證方法及 系統(tǒng)����,提供了單點安全認證網關,該單點安全認證網關包括移動終端認證服務��、Kerberos安 全模塊��、NTLM安全模塊����、AD認證模塊�����、SAML安全模塊和第三方認證模塊組成���,將身份認證方 式進行分類�,提升單點安全認證網關的專用性��,進而提升身份認證的安全性�����,也為后續(xù)移動 終端訪問企業(yè)數(shù)據(jù)庫提供安全保障。
【附圖說明】
[0027] 圖1為本發(fā)明單點安全認證方法的步驟流程圖�����;
[0028] 圖2為本發(fā)明單點安全認證系統(tǒng)的結構示意圖����;
[0029] 標號說明:
[0030] 10、發(fā)送模塊�;20、提取模塊�;30、選取模塊��;40����、驗證模塊;50��、建立連接模塊����。
【具體實施方式】
[0031] 為詳細說明本發(fā)明的技術內容�����、所實現(xiàn)目的及效果�����,以下結合實施方式并配合附 圖予以說明��。
[0032] 本發(fā)明最關鍵的構思在于:在移動終端與企業(yè)數(shù)據(jù)庫之間增加了單點安全認證網 關��,該單點安全認證網關包括移動終端認證服務、Kerberos安全模塊�、NTLM安全模塊、AD認 證模塊�、SAML安全模塊和第三方認證模塊組成,將身份認證方式進行分類����,提升單點安全認 證網關的專用性,進而提升身份認證的安全性�����。
[0033] 本發(fā)明涉及的技術術語解釋:
[0034]
[0035] 請參照圖1����,本發(fā)明提供的一種單點安全認證方法�,包括:
[0036] 移動終端發(fā)送由單點安全認證網關分配的用戶名����、密碼以及身份證書至單點安全 認證網關;所述身份證書包括安全認證模塊的標識��;所述安全認證模塊為移動終端認證服 務�、Kerberos安全模塊、NTLM安全模塊����、AD認證模塊、SAML安全模塊或第三方認證模塊�;
[0037] 所述單點安全認證網關包括移動終端認證服務、Kerberos安全模塊�、NTLM安全模 塊、AD認證模塊���、SAML安全模塊和第三方認證模塊組成����;
[0038] 提取所述身份證書中的標識;
[0039] 根據(jù)所述標識選取單點安全認證網關中的安全認證模塊����;
[0040] 單點安全認證網關將接收到的用戶名、密碼以及身份證書發(fā)送至對應的安全認證 模塊���,驗證用戶登錄是否合法�����;
[0041] 若驗證結果為合法����,所述移動終端通過所述安全認證模塊與企業(yè)數(shù)據(jù)庫建立VPN 安全連接����。
[0042] 從上述描述可知�����,本發(fā)明的有益效果在于:傳統(tǒng)的身份認證模塊采用通用性較強 的模塊��,可適用于多種身份認證方式�,也因為通用性較強,而導致安全性較差��。本發(fā)明的單 點安全認證方法,提供了單點安全認證網關���,該單點安全認證網關包括移動終端認證服務��、 Kerberos安全模塊��、NTLM安全模塊��、AD認證模塊�����、SAML安全模塊和第三方認證模塊組成����, 將身份認證方式進行分類���,提升單點安全認證網關的專用性����,進而提升身份認證的安全性�����, 也為后續(xù)移動終端訪問企業(yè)數(shù)據(jù)庫提供安全保障。
[0043] 進一步的��,在"所述移動終端通過對應的安全認證模塊與企業(yè)數(shù)據(jù)庫建立VPN安 全連接"之后還包括:所述移動終端通過所述安全認證模塊訪問多個企業(yè)數(shù)據(jù)庫并獲取相 關數(shù)據(jù)����。
[0044] 由上述描述可知,通過所述安全認證模塊進行訪問操作���,因采用專用的安全認證 模塊�,可提升身份認證以及訪問過程����、獲取數(shù)據(jù)過程的安全性。
[0045] 進一步的�����,在"所述移動終端通過對應的安全認證模塊與企業(yè)數(shù)據(jù)庫建立VPN安 全連接"之后還包括:所述單點安全認證網關包括安全認證定時模塊�,當超過預設時長時�����, 斷開VPN安全連接后自動重新連接并獲得新的隨機共享密鑰。
[0046] 由上述描述可知����,通過預設時長,可實現(xiàn)動態(tài)的定期更新認證密碼�����,進一步提升安 全性�����。
[0047] 進一步的��,所述第三方認證模塊由為開發(fā)商提供統(tǒng)一的編程接口和集成第三方的 安全模塊組成����。
[0048] 由上述描述可知,增強了單點安全認證網關安全認證的動態(tài)擴展性�。
[0049] 請參閱圖2,本發(fā)明提供的一種單點安全認證系統(tǒng),包括:發(fā)送模塊10�、提取模塊 20、選取模塊30���、驗證模塊40和建立連接模塊50 ;
[0050] 所述發(fā)送模塊10,用于移動終端發(fā)送由單點安全認證網關分配的用戶名�、密碼以 及身份證書至單點安全認證網關;所述身份證書包括安全認證模塊的標識���;所述安全認證 模塊為移動終端認證服務����、Kerberos安全模塊����、NTLM安全模塊、AD認證模塊����、SAML安全模塊 或第三方認證模塊;所述單點安全認證網關包括移動終端認證服務�、Kerberos安全模塊、 NTLM安全模塊����、AD認證模塊、SAML安全模塊和第三方認證模塊組成��;
[0051] 所述提取模塊20