本申請(qǐng)涉及專門適用于行政、商業(yè)、金融、管理、監(jiān)督或預(yù)測(cè)目的的數(shù)據(jù)處理系統(tǒng)或方法領(lǐng)域，尤其涉及移動(dòng)終端安全接入方法及系統(tǒng)。

背景技術(shù)：

移動(dòng)政務(wù)是基于無(wú)線網(wǎng)絡(luò)技術(shù)的新型電子政務(wù)模式，其不受網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)限制、配置簡(jiǎn)單、應(yīng)用靈活。移動(dòng)政務(wù)借助移動(dòng)終端設(shè)備，以便捷的方式隨時(shí)隨地提供服務(wù)。但是，由于移動(dòng)通信自身的特點(diǎn)，與有線系統(tǒng)相比，移動(dòng)政務(wù)系統(tǒng)存在很大的安全問題，主要表現(xiàn)在移動(dòng)終端的安全、移動(dòng)網(wǎng)絡(luò)安全、移動(dòng)應(yīng)用安全三個(gè)方面。

中國(guó)專利公開CN103164828A描述了一種基于SaaS的電子政務(wù)系統(tǒng)，包括三層架構(gòu)，分別為：網(wǎng)絡(luò)層、應(yīng)用層、數(shù)據(jù)層，所述網(wǎng)絡(luò)包括政務(wù)外網(wǎng)、政務(wù)專網(wǎng)、政務(wù)內(nèi)網(wǎng)。依照該發(fā)明提出的解決方案構(gòu)建的電子政務(wù)系統(tǒng)能夠達(dá)到業(yè)務(wù)敏捷性，使數(shù)據(jù)達(dá)到很好的數(shù)據(jù)共享及擴(kuò)展性，能夠讓用戶安全且方便地使用系統(tǒng)功能。然而，該申請(qǐng)中只描述了網(wǎng)絡(luò)的安全，沒有針對(duì)移動(dòng)終端的安全進(jìn)行防護(hù)，也沒有對(duì)移動(dòng)應(yīng)用的安全進(jìn)行安全防護(hù)。

技術(shù)實(shí)現(xiàn)要素：

為了克服現(xiàn)有技術(shù)中存在的不足，本發(fā)明要解決的技術(shù)問題是提供一種移動(dòng)終端安全接入方法及系統(tǒng)，其能實(shí)現(xiàn)移動(dòng)終端和移動(dòng)應(yīng)用的安全防護(hù)，避免來(lái)自移動(dòng)終端和移動(dòng)應(yīng)用的安全威脅。

為解決上述技術(shù)問題，本發(fā)明移動(dòng)終端安全接入方法，包括：

使移動(dòng)終端在使用前僅能顯示網(wǎng)絡(luò)設(shè)置、企業(yè)移動(dòng)管理EMM應(yīng)用和虛擬專用網(wǎng)絡(luò)VPN應(yīng)用；

響應(yīng)于已設(shè)置好網(wǎng)絡(luò)，確定所述EMM應(yīng)用是否已被激活；

響應(yīng)于所述EMM應(yīng)用已激活，使所述VPN應(yīng)用能經(jīng)虛擬專用網(wǎng)絡(luò)訪問工作內(nèi)網(wǎng)。

作為本發(fā)明所述方法的改進(jìn)，所述確定所述EMM應(yīng)用是否已被激活包括：確定所述移動(dòng)終端是否已獲得訪問工作內(nèi)網(wǎng)的身份認(rèn)證證書。

作為本發(fā)明所述方法的另一種改進(jìn)，所述方法還包括：響應(yīng)于所述EMM應(yīng)用已激活，顯示所述移動(dòng)終端上的非VPN應(yīng)用。

作為本發(fā)明所述方法的進(jìn)一步改進(jìn)，所述方法還包括：控制所述移動(dòng)終端的防火墻端口，使得所述非VPN應(yīng)用不能訪問工作內(nèi)網(wǎng)。

作為本發(fā)明所述方法的進(jìn)一步的改進(jìn)，所述方法還包括：控制所述移動(dòng)終端的系統(tǒng)內(nèi)的流量?jī)H能通過虛擬專用網(wǎng)絡(luò)隧道訪問。

為解決上述技術(shù)問題，本發(fā)明移動(dòng)終端安全接入系統(tǒng)，包括：

顯示控制模塊，用于使移動(dòng)終端在使用前僅能顯示網(wǎng)絡(luò)設(shè)置、企業(yè)移動(dòng)管理EMM應(yīng)用和虛擬專用網(wǎng)絡(luò)VPN應(yīng)用；

激活確定模塊，用于響應(yīng)于已設(shè)置好網(wǎng)絡(luò)，確定所述EMM應(yīng)用是否已被激活；

訪問控制模塊，用于響應(yīng)于所述EMM應(yīng)用已激活，使所述VPN應(yīng)用能經(jīng)虛擬專用網(wǎng)絡(luò)訪問工作內(nèi)網(wǎng)。

作為本發(fā)明所述系統(tǒng)的改進(jìn)，所述激活確定模塊包括：證書確定子模塊，用于確定所述移動(dòng)終端是否已獲得訪問工作內(nèi)網(wǎng)的身份認(rèn)證證書。

作為本發(fā)明所述系統(tǒng)的另一種改進(jìn)，所述系統(tǒng)還包括：非VPN應(yīng)用顯示模塊，用于響應(yīng)于所述EMM應(yīng)用已激活，顯示所述移動(dòng)終端上的非VPN應(yīng)用。

作為本發(fā)明所述系統(tǒng)的進(jìn)一步的改進(jìn)，所述系統(tǒng)還包括：防火墻控制模塊，用于控制所述移動(dòng)終端的防火墻端口，使得所述非VPN應(yīng)用不能訪問工作內(nèi)網(wǎng)。

作為本發(fā)明所述系統(tǒng)的進(jìn)一步的改進(jìn)，所述系統(tǒng)還包括：流量控制模塊，用于控制所述移動(dòng)終端的系統(tǒng)內(nèi)的流量?jī)H能通過虛擬專用網(wǎng)絡(luò)隧道訪問。

為解決上述技術(shù)問題，本發(fā)明的有形計(jì)算機(jī)可讀介質(zhì)，包括用于執(zhí)行上述移動(dòng)終端安全接入方法的計(jì)算機(jī)程序代碼。

為解決上述技術(shù)問題，本發(fā)明提供一種裝置，包括至少一個(gè)處理器；及至少一個(gè)存儲(chǔ)器，含有計(jì)算機(jī)程序代碼，所述至少一個(gè)存儲(chǔ)器和所述計(jì)算機(jī)程序代碼被配置為利用所述至少一個(gè)處理器使得所述裝置執(zhí)行本發(fā)明的移動(dòng)終端安全接入方法的至少部分步驟。

按照本發(fā)明，移動(dòng)終端的系統(tǒng)啟動(dòng)后，EMM應(yīng)用激活之前，移動(dòng)終端無(wú)法使用。只有經(jīng)過EMM系統(tǒng)設(shè)備激活的終端設(shè)備才能獲得相應(yīng)的身份認(rèn)證證書，訪問工作內(nèi)網(wǎng)。移動(dòng)終端上的VPN應(yīng)用只有通過VPN專網(wǎng)才能接入移動(dòng)政務(wù)內(nèi)網(wǎng)，與外部隔離，從而保證終端的安全。

結(jié)合附圖閱讀本發(fā)明實(shí)施方式的詳細(xì)描述后，本發(fā)明的其它特點(diǎn)和優(yōu)點(diǎn)將變得更加清楚。

附圖說(shuō)明

圖1為根據(jù)本發(fā)明方法的一實(shí)施例的流程圖。

圖2為根據(jù)本發(fā)明系統(tǒng)的一實(shí)施例的結(jié)構(gòu)示意圖。

為清晰起見，這些附圖均為示意性及簡(jiǎn)化的圖，它們只給出了對(duì)于理解本發(fā)明所必要的細(xì)節(jié)，而省略其他細(xì)節(jié)。

具體實(shí)施方式

下面參照附圖對(duì)本發(fā)明的實(shí)施方式和實(shí)施例進(jìn)行詳細(xì)說(shuō)明。

通過下面給出的詳細(xì)描述，本發(fā)明的適用范圍將顯而易見。然而，應(yīng)當(dāng)理解，在詳細(xì)描述和具體例子表明本發(fā)明優(yōu)選實(shí)施例的同時(shí)，它們僅為說(shuō)明目的給出。

下面結(jié)合圖1所示流程圖對(duì)根據(jù)本發(fā)明的移動(dòng)終端安全接入方法的一實(shí)施例的各步驟進(jìn)行具體說(shuō)明。

在步驟S102，使移動(dòng)終端在使用前僅能顯示網(wǎng)絡(luò)設(shè)置、企業(yè)移動(dòng)管理EMM應(yīng)用和虛擬專用網(wǎng)絡(luò)VPN應(yīng)用。網(wǎng)絡(luò)設(shè)置應(yīng)用供用戶進(jìn)行網(wǎng)絡(luò)設(shè)置。EMM應(yīng)用用于將移動(dòng)終端注冊(cè)到EMM系統(tǒng)管理平臺(tái)(服務(wù)器)及在成功注冊(cè)后從EMM系統(tǒng)接收指令/策略和/或向EMM系統(tǒng)報(bào)告數(shù)據(jù)。VPN應(yīng)用指該類應(yīng)用僅能通過虛擬專用網(wǎng)絡(luò)VPN訪問政務(wù)數(shù)據(jù)中心。移動(dòng)終端在激活EMM應(yīng)用之前，終端桌面應(yīng)用的數(shù)據(jù)源里只有網(wǎng)絡(luò)設(shè)置、EMM應(yīng)用和VPN應(yīng)用，移動(dòng)終端只能顯示這三個(gè)應(yīng)用。

在步驟S104，響應(yīng)于已設(shè)置好網(wǎng)絡(luò)，確定所述EMM應(yīng)用是否已被激活。用戶可通過點(diǎn)擊EMM應(yīng)用進(jìn)行移動(dòng)終端的注冊(cè)而激活。EMM系統(tǒng)可以綁定移動(dòng)終端SIM卡、序列號(hào)等，只有EMM系統(tǒng)內(nèi)綁定的設(shè)備才能訪問工作網(wǎng)。經(jīng)過EMM系統(tǒng)設(shè)備激活的移動(dòng)終端將獲得相應(yīng)的身份認(rèn)證證書，從而可訪問工作內(nèi)網(wǎng)。因此，在實(shí)施例中，通過確定移動(dòng)終端是否已獲得訪問工作內(nèi)網(wǎng)的身份認(rèn)證證書來(lái)確定EMM應(yīng)用是否已激活。如果該移動(dòng)終端已獲得訪問工作內(nèi)網(wǎng)的身份認(rèn)證證書，則表明該移動(dòng)終端的EMM應(yīng)用已激活，之后，處理進(jìn)行到步驟S106。否則，處理進(jìn)行到步驟S120，提示用戶EMM應(yīng)用尚未激活。

在步驟S106，響應(yīng)于所述EMM應(yīng)用已激活，使所述VPN應(yīng)用能經(jīng)虛擬專用網(wǎng)絡(luò)訪問政務(wù)工作內(nèi)網(wǎng)。VPN應(yīng)用向工作內(nèi)網(wǎng)連接時(shí)，系統(tǒng)判斷如果是VPN應(yīng)用的ID，則放開權(quán)限，使其可以訪問工作內(nèi)網(wǎng)。

另外，移動(dòng)終端操作系統(tǒng)還會(huì)通過提供系統(tǒng)漏洞掃描和檢測(cè)、防越獄、安全審計(jì)、防火墻、多重訪問控制、基于系統(tǒng)文件的加密平臺(tái)、沙箱技術(shù)等一系列安全機(jī)制，防御入侵攻擊，保證移動(dòng)終端操作系統(tǒng)的安全性。

根據(jù)本發(fā)明方法的一種實(shí)施方式，響應(yīng)于EMM應(yīng)用已激活，還可顯示移動(dòng)終端上已經(jīng)安裝的其它非VPN應(yīng)用。激活EMM應(yīng)用時(shí)，可發(fā)一個(gè)信號(hào)給移動(dòng)終端的桌面應(yīng)用，桌面應(yīng)用從系統(tǒng)安裝包里獲取所有的應(yīng)用，并將數(shù)據(jù)源更新包含所有應(yīng)用，這樣移動(dòng)終端啟動(dòng)后就能看到所有的應(yīng)用了。從而使得移動(dòng)終端即可用作移動(dòng)政務(wù)終端，又可用作用戶日常生活使用的終端，減少攜帶不便性。在該情形下，可通過移動(dòng)終端的防火墻的端口控制，使得非VPN應(yīng)用不能訪問工作內(nèi)網(wǎng)，保證政務(wù)數(shù)據(jù)的安全。通過系統(tǒng)防火墻策略，判斷系統(tǒng)內(nèi)的各個(gè)端口，除了VPN應(yīng)用端口外，其余應(yīng)用的端口都不能直接連接網(wǎng)絡(luò)，包括Wi-Fi網(wǎng)絡(luò)和移動(dòng)網(wǎng)絡(luò)，使得非VPN應(yīng)用不能訪問工作內(nèi)網(wǎng)。

根據(jù)本發(fā)明方法的另一種實(shí)施方式，系統(tǒng)內(nèi)的流量可強(qiáng)制通過VPN隧道訪問，從而使得移動(dòng)終端無(wú)法訪問互聯(lián)網(wǎng)，保證政務(wù)數(shù)據(jù)的安全。一旦虛擬專用網(wǎng)絡(luò)隧道建立，在系統(tǒng)內(nèi)建議一個(gè)虛擬專用網(wǎng)絡(luò)隧道默認(rèn)路由，移動(dòng)終端的系統(tǒng)內(nèi)所有的流量通過查看路由的各個(gè)網(wǎng)段，只有虛擬專用網(wǎng)絡(luò)隧道建立的路由才能訪問外網(wǎng)，從而使得移動(dòng)終端的系統(tǒng)內(nèi)的流量?jī)H能通過虛擬專用網(wǎng)絡(luò)隧道訪問。

圖2示出了根據(jù)本發(fā)明的移動(dòng)終端安全接入系統(tǒng)的一實(shí)施例的結(jié)構(gòu)示意圖，該系統(tǒng)包括：顯示控制模塊202，用于使移動(dòng)終端在使用前僅能顯示網(wǎng)絡(luò)設(shè)置、企業(yè)移動(dòng)管理EMM應(yīng)用和虛擬專用網(wǎng)絡(luò)VPN應(yīng)用；激活確定模塊204，用于響應(yīng)于已設(shè)置好網(wǎng)絡(luò)，確定所述EMM應(yīng)用是否已被激活；其中，所述激活確定模塊包括證書確定子模塊，用于確定所述移動(dòng)終端是否已獲得訪問工作內(nèi)網(wǎng)的身份認(rèn)證證書；訪問控制模塊206，用于響應(yīng)于所述EMM應(yīng)用已激活，使所述VPN應(yīng)用能經(jīng)虛擬專用網(wǎng)絡(luò)訪問工作內(nèi)網(wǎng)；非VPN應(yīng)用顯示模塊208，用于響應(yīng)于所述EMM應(yīng)用已激活，顯示所述移動(dòng)終端上的非VPN應(yīng)用；防火墻控制模塊210，用于控制所述移動(dòng)終端的防火墻端口，使得所述非VPN應(yīng)用不能訪問工作內(nèi)網(wǎng)。

根據(jù)本發(fā)明系統(tǒng)的一種實(shí)施方式，所述系統(tǒng)還可包括流量控制模塊，用于控制所述移動(dòng)終端的系統(tǒng)內(nèi)的流量?jī)H能通過虛擬專用網(wǎng)絡(luò)隧道訪問。

在此所述的多個(gè)不同實(shí)施例或者其特定特征、結(jié)構(gòu)或特性可在本發(fā)明的一個(gè)或多個(gè)實(shí)施方式中適當(dāng)組合。另外，在某些情形下，只要適當(dāng)，流程圖中和/或流水處理描述的步驟順序可修改，并不必須精確按照所描述的順序執(zhí)行。另外，本發(fā)明的多個(gè)不同方面可使用軟件、硬件、固件或者其組合和/或執(zhí)行所述功能的其它計(jì)算機(jī)實(shí)施的模塊或裝置進(jìn)行實(shí)施。本發(fā)明的軟件實(shí)施可包括保存在計(jì)算機(jī)可讀介質(zhì)中并由一個(gè)或多個(gè)處理器執(zhí)行的可執(zhí)行代碼。計(jì)算機(jī)可讀介質(zhì)可包括計(jì)算機(jī)硬盤驅(qū)動(dòng)器、ROM、RAM、閃存、便攜計(jì)算機(jī)存儲(chǔ)介質(zhì)如CD-ROM、DVD-ROM、閃盤驅(qū)動(dòng)器和/或例如具有通用串行總線(USB)接口的其它裝置，和/或任何其它適當(dāng)?shù)挠行位蚍嵌虝河?jì)算機(jī)可讀介質(zhì)或可執(zhí)行代碼可保存于其上并由處理器執(zhí)行的計(jì)算機(jī)存儲(chǔ)器。本發(fā)明可結(jié)合任何適當(dāng)?shù)牟僮飨到y(tǒng)使用。

除非明確指出，在此所用的單數(shù)形式“一”、“該”均包括復(fù)數(shù)含義(即具有“至少一”的意思)。應(yīng)當(dāng)進(jìn)一步理解，說(shuō)明書中使用的術(shù)語(yǔ)“具有”、“包括”和/或“包含”表明存在所述的特征、步驟、操作、元件和/或部件，但不排除存在或增加一個(gè)或多個(gè)其他特征、步驟、操作、元件、部件和/或其組合。如在此所用的術(shù)語(yǔ)“和/或”包括一個(gè)或多個(gè)列舉的相關(guān)項(xiàng)目的任何及所有組合。

前面說(shuō)明了本發(fā)明的一些優(yōu)選實(shí)施例，但是應(yīng)當(dāng)強(qiáng)調(diào)的是，本發(fā)明不局限于這些實(shí)施例，而是可以本發(fā)明主題范圍內(nèi)的其它方式實(shí)現(xiàn)。本領(lǐng)域技術(shù)人員可以在本發(fā)明技術(shù)構(gòu)思的啟發(fā)和不脫離本發(fā)明內(nèi)容的基礎(chǔ)上對(duì)本發(fā)明作出各種變形和修改，這些變形或修改仍落入本發(fā)明的保護(hù)范圍之內(nèi)。