專利名稱:一種安全性移動辦公的方法和移動安全設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域����,特別涉及一種安全性移動辦公的方法和移動安全設(shè)備。
背景技術(shù):
隨著無線網(wǎng)絡(luò)的發(fā)展���,移動辦公應(yīng)用越來越普及����。它是繼電腦無紙化辦公�����、互聯(lián)網(wǎng)遠程化辦公之后的新一代辦公模式����。移動辦公又稱3A辦公,即辦公人員可在任何時間 (Anytime)、任何地點(Anywhere)處理與業(yè)務(wù)相關(guān)的任何事情(Anything)�����。這種全新的辦公模式���,使得辦公人員擺脫了時間和空間的束縛��,可隨時隨地通過筆記本�、手機等便攜終端高效迅捷地開展工作���,尤其是對突發(fā)性�、應(yīng)急性事件的處理���。但是����,由于辦公人員通過筆記本�����、手機等辦公時��,要經(jīng)過開放的無線網(wǎng)絡(luò)接入政府或企業(yè)的內(nèi)部網(wǎng)�,信息在空中無線傳播,如果不加以保護�����,將會導(dǎo)致信息的泄漏�����、非法篡改��、 偽造機密信息�、非法入侵等嚴重的安全問題。尤其是在網(wǎng)絡(luò)安全威脅日益嚴重的今天���,如何保證政府和企業(yè)網(wǎng)絡(luò)的信息安全成為移動辦公系統(tǒng)要解決的首要問題��。移動辦公業(yè)務(wù)的具體實施可采用多種方式短信��、彩信���、基于無線應(yīng)用協(xié)議 (Wireless Application Protocol, WAP)和基于網(wǎng)絡(luò)互聯(lián)協(xié)、議(InternetProtocol, IP)��。 但隨著IT技術(shù)的發(fā)展,面向IP的應(yīng)用已成為未來的發(fā)展趨勢���,基于IP的移動辦公業(yè)務(wù)將得到更好的整合���,所以本專利主要討論基于無線IP業(yè)務(wù)的安全移動辦公問題。傳統(tǒng)的基于無線IP業(yè)務(wù)的移動辦公安全解決方案主要采用虛擬專用網(wǎng)絡(luò)(Virtual Private Network, VPN)技術(shù)����。VPN技術(shù)是在一個公共的、不安全的網(wǎng)絡(luò)環(huán)境中���,建立一個虛擬的私有網(wǎng)絡(luò)��,手機��、筆記本等移動終端通過這個虛擬的私有網(wǎng)絡(luò)安全的接入企業(yè)內(nèi)部網(wǎng)絡(luò)�,為上層辦公業(yè)務(wù)的開展創(chuàng)造基礎(chǔ)條件����。在主流VPN技術(shù)中����,專門為IP提供安全服務(wù)而設(shè)計的基于IP安全協(xié)議的虛擬專用網(wǎng)(IP Security VPN, IPSec VPN)��,因其很高的安全性及其與IP網(wǎng)絡(luò)的完美融合��,成為比較理想的選擇?�,F(xiàn)有實現(xiàn)移動客戶端向企業(yè)內(nèi)網(wǎng)安全通信時�,需要預(yù)先安裝IPkc VPN客戶端軟件��,將IPkc VPN客戶端軟件嵌入到操作系統(tǒng)的IP協(xié)議棧�。對于開放的操作系統(tǒng)來說,我們可以利用其提供的驅(qū)動接口將IPkc VPN客戶端處理嵌入到已有的IP數(shù)據(jù)流中�,比如 Windows Ndis框架,Linux的Netfilter機制����。但對于嵌入式系統(tǒng),比如各種手機��、平板電腦來說��,一方面����,由于其產(chǎn)品眾多,系統(tǒng)千差萬別�,有些系統(tǒng)的封閉性嚴重影響了 IPkc VPN 客戶端的實施����,導(dǎo)致無法滿足任何移動終端都能進行安全的移動辦公這一需求�;另一方面, 由于面對嵌入式領(lǐng)域中的眾多系統(tǒng)��,需要為不同系統(tǒng)平臺開發(fā)和安裝相應(yīng)的IPkc VPN客戶端軟件����,也給移動辦公系統(tǒng)的部署和安裝帶來管理上的問題,同時也對移動終端的性能提出了更高的要求��。隨著IT技術(shù)的不斷發(fā)展�,還會涌現(xiàn)出越來越多具備辦公業(yè)務(wù)處理能力的移動終端,這些移動終端的個性化特征差異也會愈加突出��。因此����,如何使各式各樣的移動終端都能快捷、安全的接入企業(yè)內(nèi)網(wǎng)成為亟待解決的問題�����。
發(fā)明內(nèi)容
有鑒于此�,本發(fā)明提供一種安全性移動辦公的方法和移動安全設(shè)備。能夠使各種移動終端快捷��、安全的接入企業(yè)內(nèi)網(wǎng)����。為解決上述技術(shù)問題,本發(fā)明的技術(shù)方案是這樣實現(xiàn)的一種安全性移動辦公的方法����,移動安全設(shè)備與企業(yè)VPN網(wǎng)關(guān)建立安全隧道,聯(lián)入企業(yè)內(nèi)網(wǎng)���;所述移動安全設(shè)備與移動終端通過Wi-Fi建立安全連接���,其中,所述移動終端支持Wi-Fi���,所述方法包括移動安全設(shè)備通過Wi-Fi網(wǎng)絡(luò)接收所述移動終端向企業(yè)內(nèi)網(wǎng)發(fā)送的IP數(shù)據(jù)流���,進行封裝并通過所述安全隧道將其發(fā)送給企業(yè)VPN網(wǎng)關(guān);移動安全設(shè)備通過所述安全隧道接收所述企業(yè)VPN網(wǎng)關(guān)向所述移動終端發(fā)送的 IP數(shù)據(jù)流���,進行相應(yīng)的解封裝并通過所述Wi-Fi發(fā)送給所述移動終端�。一種安全性移動辦公的移動安全設(shè)備,所述移動安全設(shè)備包括配置單元��、接收單元����,處理單元和發(fā)送單元;所述配置單元��,用于與企業(yè)VPN網(wǎng)關(guān)建立安全隧道�����,聯(lián)入企業(yè)內(nèi)網(wǎng)����;與移動終端通過Wi-Fi建立安全連接,其中�����,所述移動終端支持Wi-Fi �����;所述接收單元,用于通過所述配置單元與移動終端建立的Wi-Fi接收所述移動終端向企業(yè)內(nèi)網(wǎng)發(fā)送的IP數(shù)據(jù)流�;通過所述配置單元與企業(yè)VPN網(wǎng)關(guān)建立的安全隧道接收所述企業(yè)VPN網(wǎng)關(guān)向所述移動終端發(fā)送的IP數(shù)據(jù)流;所述處理單元�����,用于當(dāng)所述接收單元接收所述移動終端發(fā)送的IP數(shù)據(jù)流時�,將該 IP數(shù)據(jù)流進行封裝����;當(dāng)所述接收單元接收所述企業(yè)VPN網(wǎng)關(guān)發(fā)送的IP數(shù)據(jù)流時,將該IP數(shù)據(jù)流進行相應(yīng)的解封裝���;所述發(fā)送單元�����,用于將所述處理單元進行封裝的IP數(shù)據(jù)流通過所述配置單元與企業(yè)VPN網(wǎng)關(guān)建立的安全隧道發(fā)送給企業(yè)VPN網(wǎng)關(guān)�;將所述處理單元進行相應(yīng)解封裝的IP 數(shù)據(jù)流通過所述配置單元與移動終端建立的Wi-Fi發(fā)送給所述移動終端����。綜上所述,本發(fā)明中在原有方案網(wǎng)絡(luò)模式的基礎(chǔ)上���,在移動終端與3G網(wǎng)絡(luò)之間增加一個移動安全設(shè)備�。在移動終端與企業(yè)內(nèi)網(wǎng)通信時,先與企業(yè)VPN網(wǎng)關(guān)建立安全隧道����,聯(lián)入企業(yè)內(nèi)網(wǎng),再與移動終端使用Wi-Fi建立安全連接���,通過移動安全設(shè)備完成移動終端與企業(yè)內(nèi)網(wǎng)之間的通信����。能夠使各種移動終端快捷����、安全的接入企業(yè)內(nèi)網(wǎng)。
圖1為本發(fā)明實施例中安全性移動辦公方法流程示意圖����;圖2為個人移動辦公網(wǎng)絡(luò)結(jié)構(gòu)示意圖;圖3為兩個移動終端接入企業(yè)內(nèi)網(wǎng)辦公組網(wǎng)示意圖�;圖4為本發(fā)明具體實施例中安全性移動辦公的移動安全設(shè)備的結(jié)構(gòu)示意圖。
具體實施例方式為使本發(fā)明的目的���、技術(shù)方案及優(yōu)點更加清楚明白���,以下參照附圖并舉實施例�,對本發(fā)明所述方案作進一步地詳細說明��。
參見圖1����,圖1為本發(fā)明實施例中安全性移動辦公方法流程示意圖。具體步驟為步驟101����,移動安全設(shè)備與企業(yè)VPN網(wǎng)關(guān)建立安全隧道����,聯(lián)入企業(yè)內(nèi)網(wǎng);與移動終端通過Wi-Fi建立安全連接�,其中,移動終端支持Wi-Fi�����。步驟102���,移動安全設(shè)備通過Wi-Fi網(wǎng)絡(luò)接收移動終端向企業(yè)內(nèi)網(wǎng)發(fā)送的IP數(shù)據(jù)流�,進行封裝并通過安全隧道將其發(fā)送給企業(yè)VPN網(wǎng)關(guān)。步驟103�,移動安全設(shè)備通過安全隧道接收企業(yè)VPN網(wǎng)關(guān)向移動終端發(fā)送的IP數(shù)據(jù)流,進行相應(yīng)的解封裝并通過Wi-Fi發(fā)送給移動終端��。本實施例中移動安全設(shè)備在處理IP數(shù)據(jù)時的功能同現(xiàn)有技術(shù)中的IPkcVPN客戶端軟件的功能一致�,對IP數(shù)據(jù)流進行封裝以及相應(yīng)的解封裝,以便封裝后的IP數(shù)據(jù)流在建立的安全隧道中安全傳送到對端�。下面結(jié)合附圖,舉具體實施例�,詳細說明本發(fā)明的安全性移動辦公方法的實現(xiàn)過程。參見圖2��,圖2為個人移動辦公網(wǎng)絡(luò)結(jié)構(gòu)示意圖�。圖2中個人移動安全網(wǎng)絡(luò)210中包括移動安全設(shè)備211和移動終端212,移動終端212支持Wi-Fi �;企業(yè)內(nèi)網(wǎng)220包括企業(yè) IPSec網(wǎng)關(guān)211和企業(yè)內(nèi)網(wǎng)服務(wù)器222。這里的企業(yè)IPkc網(wǎng)關(guān)211為企業(yè)VPN網(wǎng)關(guān)���,由于采用IPkc VPN建立安全隧道�����,因此稱之為企業(yè)IPSec網(wǎng)關(guān)��,當(dāng)采用基于加密套接字層協(xié)議的虛擬專用網(wǎng)(SecureSockets Layer VPN, SSL VPN)建立安全隧道時��,則稱之為SSL網(wǎng)關(guān)����, 在本發(fā)明具體實施例中均以企業(yè)IPkc網(wǎng)關(guān)為例。移動安全設(shè)備211通過采用IPkc VPN或SSL VPN等技術(shù)與IPkc網(wǎng)關(guān)211建立安全隧道���,聯(lián)入企業(yè)內(nèi)網(wǎng)��,通過Wi-Fi連接移動終端212��。移動終端212借助Wi-Fi連接����,就能夠輕松的接入企業(yè)內(nèi)部網(wǎng)220�。移動安全設(shè)備211與移動終端212通過Wi-Fi連接�,Wi-Fi網(wǎng)絡(luò)的安全即移動終端212與移動安全設(shè)備211的通信安全。在Wi-Fi網(wǎng)絡(luò)認證方面��,可以通過無線應(yīng)用協(xié)議預(yù)共享認證(Wi-Fi Protected Access 2 Pre-SharedKey, WPA2-PSK)�����,避免非法用戶通過 Wi-Fi接入移動安全設(shè)備���。用戶定期的更換Wi-Fi連接的密碼�����,使用復(fù)雜的WPA2-PSK密鑰�, 以保證Wi-Fi端網(wǎng)絡(luò)的安全性。使用該認證機制為較佳保證Wi-Fi端網(wǎng)絡(luò)安全的方法��,但使用者可以根據(jù)具體使用情況����、環(huán)境確定使用相對安全的認證機制。當(dāng)移動安全設(shè)備211接收到移動終端212通過Wi-Fi網(wǎng)絡(luò)發(fā)來的IP數(shù)據(jù)流����,移動安全設(shè)備211將該IP數(shù)據(jù)流進行封裝,封裝包括加密和簽名����。其中,在IP數(shù)據(jù)流加密時����,通過臨時密鑰完整性協(xié)議(Temporal KeyIntegrity Protocol, TKIP)、計數(shù)器模式密碼塊鏈消息完整碼協(xié)議(Counter-Mode/CBC-MAC Protocol, CCMP)(Wireless Robust Authenticated Protocol, WRAP)加密機制為數(shù)據(jù)進行機密性服務(wù)�,保證合法用戶的連接信息不被泄露�����。移動安全設(shè)備211將封裝后的IP數(shù)據(jù)流通過自身與企業(yè)IPkc網(wǎng)關(guān)建立的安全隧道轉(zhuǎn)發(fā)給企業(yè)IPkc網(wǎng)關(guān)221�,企業(yè)IPkc網(wǎng)關(guān)221將該IP數(shù)據(jù)流進行相應(yīng)的解封裝����,并轉(zhuǎn)發(fā)給企業(yè)內(nèi)網(wǎng)服務(wù)器222。當(dāng)移動安全設(shè)備211通過已建立的安全隧道接收企業(yè)IPkc網(wǎng)關(guān)221發(fā)送給移動終端212的IP數(shù)據(jù)流時����,將該IP數(shù)據(jù)流進行相應(yīng)的解封裝,即與在企業(yè)IPkc網(wǎng)關(guān)上對該 IP數(shù)據(jù)流進行的封裝相對應(yīng)����。將解封裝的IP數(shù)據(jù)流通過Wi-Fi轉(zhuǎn)發(fā)給移動終端212。
上述Wi-Fi網(wǎng)絡(luò)安全方式適用于個人移動辦公用戶使用����,當(dāng)有兩個以上移動終端需要接入一個Wi-Fi網(wǎng)絡(luò)進行辦公時�,可以為每個移動終端分配一個安全移動設(shè)備來實現(xiàn)多個移動終端的接入。本發(fā)明還提出一種較佳的兩個以上移動終端接入一個Wi-Fi網(wǎng)絡(luò)進行辦公方法�。當(dāng)然該方法也適用于一個移動終端接入Wi-Fi網(wǎng)絡(luò)進行辦公。適用者在具體應(yīng)用時可以根據(jù)實際情況進行選擇�、部署?���,F(xiàn)在以兩個移動終端通過移動安全設(shè)備接入企業(yè)內(nèi)網(wǎng)為例來說明本發(fā)明具體實施例中安全性移動辦公�����。參見圖3�����,圖3為兩個移動終端接入企業(yè)內(nèi)網(wǎng)辦公組網(wǎng)示意圖��。圖3中個人移動安全網(wǎng)絡(luò)310中包括移動安全設(shè)備311���、移動終端312和移動終端313���,移動終端312和移動終端313支持Wi-Fi ;企業(yè)內(nèi)網(wǎng)320包括企業(yè)IPkc網(wǎng)關(guān)和數(shù)字認證中心(CA)服務(wù)器322和AAA323��。移動安全設(shè)備311通過基于數(shù)字簽名證書的IKE認證與企業(yè)IPkc網(wǎng)關(guān)建立安全隧道�,其中,數(shù)字簽名證書為CA服務(wù)器322分別為移動安全設(shè)備311��、��、移動終端312和移動終端313頒發(fā)的。同時為企業(yè)IPkc網(wǎng)關(guān)321和AAA頒發(fā)���。具體實現(xiàn)可以為X. 509數(shù)字簽名證書���。當(dāng)移動終端通過Wi-Fi接入移動安全設(shè)備時,被要求使用802. Ix基于傳輸層安全的擴展身份認證協(xié)議(EAP-TLS)或基于隧道傳輸層安全的擴展身份認證協(xié)議(EAP-TTLS) 認證機制����。只有擁有合法數(shù)字證書的終端才能被企業(yè)內(nèi)部AAA服務(wù)器認證通過,與移動終
端建立連接�����。為了保護數(shù)字簽名證書的安全使用��,防止私鑰泄露以IC卡即電子鑰匙(KEY)��,為介質(zhì)進行存儲保護�����。移動終端結(jié)合這種硬件KEY的接入方式���,為移動辦公網(wǎng)絡(luò)提供了更強的安全保護�����。建立IPSec安全隧道�����,Wi-Fi安全連接后����,IP數(shù)據(jù)流的通信過程同圖2中個人移動通信過程����,在這里不再贅述?���;谕瑯拥陌l(fā)明構(gòu)思,本發(fā)明還提出一種安全性移動辦公的移動安全設(shè)備����,參見圖4,圖4為本發(fā)明具體實施例中安全性移動辦公的移動安全設(shè)備的結(jié)構(gòu)示意圖��。該移動安全設(shè)備包括配置單元401、接收單元402��,處理單元403和發(fā)送單元404�����。配置單元401�,用于與企業(yè)VPN網(wǎng)關(guān)建立安全隧道,聯(lián)入企業(yè)內(nèi)網(wǎng)���;與移動終端通過Wi-Fi建立安全連接���,其中,該移動終端支持Wi-Fi����。接收單元402,用于通過配置單元401與移動終端建立的Wi-Fi接收該移動終端向企業(yè)內(nèi)網(wǎng)發(fā)送的IP數(shù)據(jù)流��;通過配置單元401與企業(yè)VPN網(wǎng)關(guān)建立的安全隧道接收企業(yè) VPN網(wǎng)關(guān)向該移動終端發(fā)送的IP數(shù)據(jù)流���。處理單元403���,用于當(dāng)接收單元402接收該移動終端發(fā)送的IP數(shù)據(jù)流時�����,將該IP 數(shù)據(jù)流進行封裝;當(dāng)接收單元402接收企業(yè)VPN網(wǎng)關(guān)發(fā)送的IP數(shù)據(jù)流時�,將該IP數(shù)據(jù)流進行相應(yīng)的解封裝。發(fā)送單元404��,用于將處理單元403進行封裝的IP數(shù)據(jù)流通過配置單元401與企業(yè)VPN網(wǎng)關(guān)建立的安全隧道發(fā)送給企業(yè)VPN網(wǎng)關(guān)�;將處理單元403進行相應(yīng)解封裝的IP數(shù)據(jù)流通過配置單元401與移動終端建立的Wi-Fi發(fā)送給該移動終端。較佳地�����,配置單元401���,用于通過IPkc VPN或SSL VPN與企業(yè)VPN網(wǎng)關(guān)建立IPSec或SSL安全隧道���;通過采用802. Ix WPA2-PSK對所述移動終端認證,若該移動終端具有相同的預(yù)共享密鑰��,則認證通過����,并與該移動終端通過Wi-Fi建立安全連接。較佳地,處理單元402�����,用于對IP數(shù)據(jù)流進行封裝包括對該IP數(shù)據(jù)流通過TKIP�、CCMP或 WRAP加密機制進行加密。較佳地��,配置單元401���,進一步用于通過基于數(shù)字簽名證書的IKE認證與企業(yè)VPN網(wǎng)關(guān)建立安全隧道�,其中��,數(shù)字簽名證書是由企業(yè)內(nèi)部CA服務(wù)器為移動安全設(shè)備�、企業(yè)VPN網(wǎng)關(guān)和該移動終端頒發(fā)的。較佳地��,配置單元401����,進一步用于通過采用802. Ix EAP-TLS或EAP-TLLS對該移動終端認證,若該移動終端具有合法數(shù)字簽名證書則認證通過�����,自身所在移動安全設(shè)備與該移動終端通過Wi-Fi建立安全連接,其中���,數(shù)字簽名證書是由企業(yè)內(nèi)部CA服務(wù)器為所述移動終端頒發(fā)的���。上述實施例的單元可以集成于一體,也可以分離部署����;可以合并為一個單元�����,也可以進一步拆分成多個子單元�。綜上所述,本發(fā)明的具體實施例中在原有方案網(wǎng)絡(luò)模式的基礎(chǔ)上����,在移動終端與 3G網(wǎng)絡(luò)之間增加一個移動安全設(shè)備。在移動終端與企業(yè)內(nèi)網(wǎng)通信時����,首先,移動安全設(shè)備采用IPkc VPN或SSL VPN技術(shù)與企業(yè)VPN網(wǎng)關(guān)建立安全隧道����,聯(lián)入企業(yè)內(nèi)網(wǎng)�����;然后�����,移動終端與移動安全設(shè)備使用Wi-Fi建立安全連接�,通過移動安全設(shè)備透明的�����、安全的接入企業(yè)內(nèi)網(wǎng)���。由于只需要在移動終端與3G網(wǎng)絡(luò)之間增加移動安全設(shè)備��,通過移動安全設(shè)備與企業(yè)內(nèi)網(wǎng)建立連接�,而無需在移動終端安裝VPN客戶端程序,從而有效避免了因移動終端的個性化特征差異帶來的VPN終端程序難于實施,軟件兼容性等諸多問題����。能夠做到與現(xiàn)有移動終端軟件的完全兼容�。任何支持Wi-Fi的移動終端都可以通過這種方式安全的聯(lián)入企業(yè)內(nèi)網(wǎng)����,跟使用移動終端沒有任何差別�,支持任何帶有Wi-Fi的移動終端。無需安裝任何客戶端程序�����,打開移動安全設(shè)備�,即可聯(lián)入安全網(wǎng)絡(luò),實現(xiàn)真正的 “傻瓜式”安全���。而且對上層業(yè)務(wù)完全透明,業(yè)務(wù)無需做任何特定的改動��。以上所述��,僅為本發(fā)明的較佳實施例而已��,并非用于限定本發(fā)明的保護范圍����。凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改�����、等同替換、改進等���,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)����。
權(quán)利要求
1.一種安全性移動辦公的方法��,其特征在于�����,移動安全設(shè)備與企業(yè)虛擬專用網(wǎng)絡(luò)VPN 網(wǎng)關(guān)建立安全隧道����,聯(lián)入企業(yè)內(nèi)網(wǎng);所述移動安全設(shè)備與移動終端通過無線寬帶Wi-Fi建立安全連接����,其中,所述移動終端支持Wi-Fi����,所述方法包括移動安全設(shè)備通過Wi-Fi網(wǎng)絡(luò)接收所述移動終端向企業(yè)內(nèi)網(wǎng)發(fā)送的IP數(shù)據(jù)流����,進行封裝并通過所述安全隧道將其發(fā)送給企業(yè)VPN網(wǎng)關(guān)����;移動安全設(shè)備通過所述安全隧道接收所述企業(yè)VPN網(wǎng)關(guān)向所述移動終端發(fā)送的IP數(shù)據(jù)流,進行相應(yīng)的解封裝并通過所述Wi-Fi發(fā)送給所述移動終端����。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于�,所述移動安全設(shè)備與企業(yè)VPN網(wǎng)關(guān)建立安全隧道的方法為移動安全設(shè)備通過基于IP安全協(xié)議的虛擬專用網(wǎng)IPkc VPN或基于加密套接字層協(xié)議的虛擬專用網(wǎng)SSL VPN與企業(yè)VPN網(wǎng)關(guān)建立IPSec或SSL安全隧道;所述移動安全設(shè)備與移動終端通過Wi-Fi建立安全連接的方法為移動安全設(shè)備通過采用802. Ix無線應(yīng)用協(xié)議預(yù)共享認證WPA2-PSK對所述移動終端認證�����,若該移動終端具有相同的預(yù)共享密鑰����,則認證通過���,并與該移動終端通過Wi-Fi建立安全連接���。
3.根據(jù)權(quán)利要求1所述的方法��,其特征在于�����,所述封裝包括對所述IP數(shù)據(jù)流通過臨時密鑰完整性協(xié)議TKIP��、計數(shù)器模式密碼塊鏈消息完整碼協(xié)議CCMP或無線健壯安全認證協(xié)議WRAP加密機制進行加密���。
4.根據(jù)權(quán)利要求1所述的方法,其特征在于���,所述移動安全設(shè)備與企業(yè)VPN網(wǎng)關(guān)建立安全隧道的方法為移動安全設(shè)備通過基于數(shù)字簽名證書的因特網(wǎng)密鑰交換協(xié)議IKE認證與所述企業(yè)VPN 網(wǎng)關(guān)建立安全隧道��,其中��,所述數(shù)字簽名證書是由企業(yè)內(nèi)部數(shù)字證書認證中心CA服務(wù)器為所述移動安全設(shè)備��、所述企業(yè)VPN網(wǎng)關(guān)和所述移動終端頒發(fā)的��。
5.根據(jù)權(quán)利要求4所述的方法�,其特征在于�,所述移動安全設(shè)備與移動終端通過Wi-Fi建立安全連接的方法為移動安全設(shè)備通過采用802. Ix基于傳輸層安全的擴展身份認證協(xié)議EAP-TLS或基于隧道傳輸層安全的擴展身份認證協(xié)議EAP-TLLS對所述移動終端認證,若該移動終端具有合法數(shù)字簽名證書則認證通過,并與該移動終端通過Wi-Fi建立安全連接���,其中��,所述數(shù)字簽名證書是由企業(yè)內(nèi)部CA服務(wù)器為所述移動終端頒發(fā)的��。
6.一種安全性移動辦公的移動安全設(shè)備����,其特征在于����,所述移動安全設(shè)備包括配置單元、接收單元��,處理單元和發(fā)送單元���;所述配置單元����,用于與企業(yè)虛擬專用網(wǎng)VPN網(wǎng)關(guān)建立安全隧道���,聯(lián)入企業(yè)內(nèi)網(wǎng);與移動終端通過無線寬帶Wi-Fi建立安全連接,其中�,所述移動終端支持Wi-Fi ;所述接收單元���,用于通過所述配置單元與移動終端建立的Wi-Fi接收所述移動終端向企業(yè)內(nèi)網(wǎng)發(fā)送的IP數(shù)據(jù)流����;通過所述配置單元與企業(yè)VPN網(wǎng)關(guān)建立的安全隧道接收所述企業(yè)VPN網(wǎng)關(guān)向所述移動終端發(fā)送的IP數(shù)據(jù)流�����;所述處理單元����,用于當(dāng)所述接收單元接收所述移動終端發(fā)送的IP數(shù)據(jù)流時,將該IP數(shù)據(jù)流進行封裝����;當(dāng)所述接收單元接收所述企業(yè)VPN網(wǎng)關(guān)發(fā)送的IP數(shù)據(jù)流時,將該IP數(shù)據(jù)流進行相應(yīng)的解封裝���;所述發(fā)送單元��,用于將所述處理單元進行封裝的IP數(shù)據(jù)流通過所述配置單元與企業(yè) VPN網(wǎng)關(guān)建立的安全隧道發(fā)送給企業(yè)VPN網(wǎng)關(guān)����;將所述處理單元進行相應(yīng)解封裝的IP數(shù)據(jù)流通過所述配置單元與移動終端建立的Wi-Fi發(fā)送給所述移動終端。
7.根據(jù)權(quán)利要求6所述的移動安全設(shè)備��,其特征在于��,所述配置單元�����,用于通過基于IP安全協(xié)議的虛擬專用網(wǎng)IPkc VPN或基于加密套接字層協(xié)議的虛擬專用網(wǎng)SSL VPN與企業(yè)VPN網(wǎng)關(guān)建立IPkc或SSL安全隧道�����;通過采用802. Ix 無線應(yīng)用協(xié)議預(yù)共享認證WPA2-PSK對所述移動終端認證��,若該移動終端具有相同的預(yù)共享密鑰�,則認證通過,并與該移動終端通過Wi-Fi建立安全連接��。
8.根據(jù)權(quán)利要求6所述的移動安全設(shè)備����,其特征在于,所述處理單元�����,用于對所述IP數(shù)據(jù)流進行封裝包括對所述IP數(shù)據(jù)流通過臨時密鑰完整性協(xié)議TKIP��、計數(shù)器模式密碼塊鏈消息完整碼協(xié)議CCMP或無線健壯安全認證協(xié)議WRAP 加密機制進行加密��。
9.根據(jù)權(quán)利要求6所述的移動安全設(shè)備���,其特征在于���,所述配置單元,進一步用于通過基于數(shù)字簽名證書的因特網(wǎng)密鑰交換協(xié)議IKE認證與所述企業(yè)VPN網(wǎng)關(guān)建立IPSec或SSL安全隧道��,其中��,所述數(shù)字簽名證書是由企業(yè)內(nèi)部數(shù)字證書認證中心CA服務(wù)器為所述移動安全設(shè)備��、所述企業(yè)VPN網(wǎng)關(guān)和所述移動終端頒發(fā)的��。
10.根據(jù)權(quán)利要求9所述的移動安全設(shè)備��,其特征在于���,所述配置單元�,進一步用于通過采用802. Ix基于傳輸層安全的擴展身份認證協(xié)議 EAP-TLS或基于隧道傳輸層安全的擴展身份認證協(xié)議EAP-TLLS對所述移動終端認證,若該移動終端具有合法數(shù)字簽名證書則認證通過����,自身所在移動安全設(shè)備與該移動終端通過 Wi-Fi建立安全連接,其中��,所述數(shù)字簽名證書是由企業(yè)內(nèi)部CA服務(wù)器為所述移動終端頒發(fā)的����。
全文摘要
本發(fā)明公開了一種安全性移動辦公方法,與企業(yè)VPN網(wǎng)關(guān)建立安全隧道���,聯(lián)入企業(yè)內(nèi)網(wǎng)�����;與移動終端通過Wi-Fi建立安全連接�,該方法包括通過Wi-Fi網(wǎng)絡(luò)接收移動終端向企業(yè)內(nèi)網(wǎng)發(fā)送的IP數(shù)據(jù)流�����,進行封裝并通過建立的安全隧道將其發(fā)送給企業(yè)VPN網(wǎng)關(guān)�����;通過該安全隧道接收所述企業(yè)VPN網(wǎng)關(guān)向移動終端發(fā)送的IP數(shù)據(jù)流,進行相應(yīng)的解封裝并通過所述Wi-Fi發(fā)送給移動終端��?;谕瑯拥陌l(fā)明構(gòu)思�����,本發(fā)明還提出一種移動安全設(shè)備���,能夠使各種移動終端快捷�、安全的接入企業(yè)網(wǎng)內(nèi)部�。
文檔編號H04W12/08GK102348210SQ20111031802
公開日2012年2月8日 申請日期2011年10月19日 優(yōu)先權(quán)日2011年10月19日
發(fā)明者吳飛, 權(quán)吉歡 申請人:邁普通信技術(shù)股份有限公司