基于內(nèi)網(wǎng)或受限網(wǎng)絡(luò)范圍內(nèi)的WiFi實(shí)現(xiàn)無線網(wǎng)絡(luò)安全訪問控制

1、基于內(nèi)網(wǎng)或受限網(wǎng)絡(luò)范圍內(nèi)的WiFi實(shí)現(xiàn)無線網(wǎng)絡(luò)安全訪問控制一、 技術(shù)領(lǐng)域 本發(fā)明構(gòu)建無線網(wǎng)絡(luò)安全訪問控制平臺(tái)，實(shí)現(xiàn)移動(dòng)終端設(shè)備與內(nèi)網(wǎng)辦公系統(tǒng)之間的安全數(shù)據(jù)轉(zhuǎn)發(fā)、移動(dòng)設(shè)備身份識(shí)別、認(rèn)證管理、行為審計(jì)，確保移動(dòng)終端設(shè)備通過wifi網(wǎng)絡(luò)與內(nèi)網(wǎng)報(bào)表數(shù)據(jù)之間的數(shù)據(jù)交互的安全受控。 基于無線網(wǎng)絡(luò)安全訪問控制平臺(tái)，實(shí)現(xiàn)針對(duì)授權(quán)用戶及其綁定的授權(quán)移動(dòng)終端設(shè)備接入WiFi無線網(wǎng)絡(luò)使用移動(dòng)辦公功能及無線上網(wǎng)全程受控，防止任何未授權(quán)設(shè)備私自接入該WiFi無線網(wǎng)絡(luò)上網(wǎng)，并提供動(dòng)態(tài)路由策略管理。 實(shí)現(xiàn)移動(dòng)終端授權(quán)用戶僅且唯一訪問移動(dòng)辦公信息安全管控平臺(tái)指定企業(yè)網(wǎng)內(nèi)部服務(wù)器。二、 背景技術(shù)無線辦公是當(dāng)今高速發(fā)展的通信業(yè)與

2、IT業(yè)交融的產(chǎn)物，它將通信業(yè)在溝通上的便捷、在用戶上的規(guī)模，與IT業(yè)在軟件應(yīng)用上的成熟、在業(yè)務(wù)內(nèi)容上的豐富，完美結(jié)合到了一起，使之成為了繼電腦無紙化辦公、互聯(lián)網(wǎng)遠(yuǎn)程化辦公之后的新一代辦公模式。這種最新潮的辦公模式，通過在手機(jī)、平板電腦上安裝企業(yè)信息化軟件，使得手機(jī)和平板電腦也具備了和電腦一樣的辦公功能，而且它還擺脫了必須在固定場(chǎng)所固定設(shè)備上進(jìn)行辦公的限制，對(duì)企業(yè)管理者和商務(wù)人士提供了極大便利，為企業(yè)和政府的信息化建設(shè)提供了全新的思路和方向。它不僅使得辦公變得隨心、輕松，而且借助手機(jī)通信的便利性，使得使用者無論身處何種緊急情況下，都能高效迅捷地開展工作，對(duì)于突發(fā)性事件的處理、應(yīng)急性事件的部署有極

3、為重要的意義。無線辦公是一套建立以手機(jī)等便攜終端為載體實(shí)現(xiàn)的移動(dòng)信息化系統(tǒng)，該系統(tǒng)將智能手機(jī)、無線網(wǎng)絡(luò)、OA系統(tǒng)三者有機(jī)結(jié)合，開發(fā)出移動(dòng)辦公系統(tǒng)，實(shí)現(xiàn)任何辦公地點(diǎn)和辦公時(shí)間的無縫接入，提高了辦公效率。它可以連接客戶原有的各種IT系統(tǒng)，包括OA、郵件、ERP、以及其他各類個(gè)性業(yè)務(wù)系統(tǒng)，使手機(jī)也可以用以操作、瀏覽、管理公司的全部工作事務(wù)，也提供了一些無線環(huán)境下的新特性功能。其設(shè)計(jì)目標(biāo)是幫助用戶擺脫時(shí)間和空間的限制，隨時(shí)隨地隨意地處理工作，提高效率、增強(qiáng)協(xié)作。無線辦公是云計(jì)算技術(shù)、通信技術(shù)與終端硬件技術(shù)融合的產(chǎn)物，成為超越電腦無紙化辦公、互聯(lián)網(wǎng)遠(yuǎn)程化辦公之后的新一代辦公模式。對(duì)于無線辦公的未來發(fā)展前

4、景，無線辦公是大勢(shì)所趨。企業(yè)管理者及員工可通過業(yè)務(wù)管理平臺(tái)可創(chuàng)建與管理各種業(yè)務(wù)報(bào)表生成數(shù)據(jù)上報(bào)或查詢業(yè)務(wù)，并隨時(shí)隨地完成辦公流程及文件審批等操作。企業(yè)的員工可以通過手機(jī)或是移動(dòng)終端程序?qū)崟r(shí)的將各種業(yè)務(wù)數(shù)據(jù)按照企業(yè)管理者定義好的格式進(jìn)行填報(bào)或查詢。并且企業(yè)管理者可以將員工上報(bào)的數(shù)據(jù)在管理平臺(tái)中進(jìn)行統(tǒng)計(jì)分析或查詢，也可以導(dǎo)出到各種類型報(bào)表后再進(jìn)行處理。通過采用無線辦公系統(tǒng)企業(yè)可快速具備開展移動(dòng)商務(wù)的能力。員工可以不受時(shí)間與地點(diǎn)的限制隨時(shí)隨地的使用手機(jī)與公司總部進(jìn)行數(shù)據(jù)交互，并可直接將末端信息匯總送達(dá)頂層，減少信息的中間傳遞環(huán)節(jié)，使整個(gè)企業(yè)的數(shù)據(jù)流和業(yè)務(wù)流高速運(yùn)轉(zhuǎn)全面提升企業(yè)的整體工作效率。從而使企

5、業(yè)信息系統(tǒng)直接跨入移動(dòng)信息化時(shí)代，享受以人為中心的移動(dòng)信息系統(tǒng)所帶來的高效、便捷、人性化的用戶體驗(yàn)，真正實(shí)現(xiàn)無紙化辦公。三、發(fā)明內(nèi)容本發(fā)明設(shè)計(jì)原則：移動(dòng)終端（手機(jī)、平板電腦）在任何情況下都不能直接與無線訪問控制服務(wù)器系統(tǒng)建立直接訪問通道，所有移動(dòng)應(yīng)用業(yè)務(wù)全部由無線訪問控制服務(wù)器實(shí)現(xiàn)。移動(dòng)終端只能與無線訪問控制服務(wù)器服務(wù)器建立連接（通過公共3G或WiFi無線網(wǎng)絡(luò)），由無線訪問控制服務(wù)器實(shí)現(xiàn)移動(dòng)應(yīng)用協(xié)議轉(zhuǎn)換及數(shù)據(jù)交換。整套系統(tǒng)網(wǎng)關(guān)是通過標(biāo)準(zhǔn)服務(wù)器加管理軟件實(shí)現(xiàn)，前端的移動(dòng)終端和后臺(tái)的服務(wù)器，構(gòu)成了一套完整的無線網(wǎng)絡(luò)安全訪問控制平臺(tái)，如圖所示：（1）提供無線應(yīng)用安全管理功能，實(shí)現(xiàn)3G無線互聯(lián)網(wǎng)移動(dòng)終

6、端及內(nèi)網(wǎng)系統(tǒng)之間的安全受控?cái)?shù)據(jù)轉(zhuǎn)發(fā)。提供基于移動(dòng)終端IME唯一硬件標(biāo)識(shí)碼的身份識(shí)別管理及訪問權(quán)限控制功能模塊，達(dá)到硬件標(biāo)識(shí)碼識(shí)別率為100%；（2）提供移動(dòng)終端訪問行為審計(jì)，日志歷史追溯的功能，所有的訪問記錄均可保留，有效追溯訪問行為；（3）針對(duì)智能客戶端，系統(tǒng)提供數(shù)據(jù)推送服務(wù)，基于TCP/IP協(xié)議的網(wǎng)絡(luò)傳輸機(jī)制，全程實(shí)現(xiàn)數(shù)據(jù)基于RSA公私鑰模式的數(shù)據(jù)加密，根據(jù)客戶端不同的數(shù)據(jù)請(qǐng)求，實(shí)現(xiàn)移動(dòng)應(yīng)用業(yè)務(wù)與原有企業(yè)網(wǎng)之間的接口及協(xié)議轉(zhuǎn)換，并完成數(shù)據(jù)轉(zhuǎn)發(fā)； 移動(dòng)終端APP客戶端 提供一個(gè)統(tǒng)一的移動(dòng)終端APP客戶端程序。作為單一的移動(dòng)客戶端，是用戶和網(wǎng)絡(luò)、應(yīng)用的唯一交互界面，簡(jiǎn)潔的客戶端可降低管理和維護(hù)

7、復(fù)雜度。同時(shí)，APP客戶端是一個(gè)安全的移動(dòng)辦公工作臺(tái)。（1）可實(shí)現(xiàn)終端硬件和使用者身份（賬號(hào)）的綁定功能，并可將終端硬件信息、使用者賬號(hào)、當(dāng)前設(shè)備獲取的IP地址等信息發(fā)送到無線應(yīng)用安全管理平臺(tái)；（2）APP客戶端通過賬號(hào)和手機(jī)硬件一對(duì)一的綁定，綁定后的賬號(hào)只能在這個(gè)終端設(shè)備上使用，把APP客戶端安裝到其他未授權(quán)終端上，則賬號(hào)和密碼失效，系統(tǒng)無法登錄；（3）可實(shí)現(xiàn)細(xì)致的權(quán)限管理功能，通過終端設(shè)備和賬號(hào)驗(yàn)證后，可控制移動(dòng)辦公APP中的各種功能模塊是否針對(duì)該賬號(hào)和設(shè)備可用。移動(dòng)辦公APP客戶端中所涵蓋的各種功能模塊（如OA、各類報(bào)表、商情信息等）并不是是對(duì)所有用戶開放，可根據(jù)賬號(hào)和綁定的設(shè)備，對(duì)具體

8、的某項(xiàng)應(yīng)用功能做限制，允許某些功能能夠使用，其它的功能限制使用； （4）所有的數(shù)據(jù)信息全部在移動(dòng)終端上在線瀏覽查閱，不允許用戶下載各類數(shù)據(jù)文件到終端上保存；（5） 發(fā)生設(shè)備丟失或員工離職，為了防止數(shù)據(jù)泄密，必須向運(yùn)維管理部門辦理設(shè)備掛失或設(shè)備清退，無線訪問控制服務(wù)器將解除該終端設(shè)備及其對(duì)應(yīng)賬號(hào)的綁定關(guān)系，并將該終端設(shè)備設(shè)置為未授權(quán)狀態(tài)。該終端設(shè)備上的移動(dòng)辦公APP客戶端將失效，無法登錄系統(tǒng)，設(shè)備上沒有任何相關(guān)數(shù)據(jù)保留，做到安全保密； （6）針對(duì)公司敏感崗位的管理人員，定制基于安卓系統(tǒng)的手機(jī)，并預(yù)裝入智能移動(dòng)APP客戶端，并且可根據(jù)用戶需求，預(yù)裝其它企業(yè)應(yīng)用程序，定制手機(jī)可禁止安裝個(gè)人應(yīng)用，包括

9、能上什么網(wǎng)也可以根據(jù)需求嚴(yán)格限定的。 （7）通過移動(dòng)終端APP客戶端，可以實(shí)現(xiàn)對(duì)用戶的上網(wǎng)行為的審計(jì)。 專用WiFi無線網(wǎng)絡(luò)訪問控制專用WiFi無線網(wǎng)絡(luò)與通信公司網(wǎng)絡(luò)實(shí)現(xiàn)受控互聯(lián)，并配備智能網(wǎng)關(guān)與移動(dòng)應(yīng)用服務(wù)器實(shí)現(xiàn)聯(lián)動(dòng)，由移動(dòng)應(yīng)用服務(wù)器根據(jù)授權(quán)終端設(shè)備與其綁定的使用者賬號(hào)驗(yàn)證情況動(dòng)態(tài)為移動(dòng)終端設(shè)備下發(fā)安全路由策略，以實(shí)現(xiàn)對(duì)移動(dòng)終端設(shè)備授權(quán)接入專用WiFi網(wǎng)絡(luò)的完全動(dòng)態(tài)控制。 （1）用戶通過移動(dòng)終端獲取專用WiFi無線網(wǎng)絡(luò)IP地址，并通過移動(dòng)辦公APP客戶端進(jìn)行網(wǎng)絡(luò)登錄。WiFi無線網(wǎng)絡(luò)網(wǎng)關(guān)將根據(jù)移動(dòng)應(yīng)用服務(wù)器的身份驗(yàn)證結(jié)果對(duì)該移動(dòng)終端進(jìn)行動(dòng)態(tài)路由策略分配，確保移動(dòng)終端設(shè)備經(jīng)過系統(tǒng)驗(yàn)證授權(quán)后可以接入網(wǎng)絡(luò)，同時(shí)還能識(shí)別接入WiFi網(wǎng)絡(luò)的設(shè)備是否是手機(jī)、平板、筆記本、PC機(jī)（配置無線網(wǎng)卡）等設(shè)備類型，根據(jù)要求嚴(yán)格杜絕未授權(quán)手機(jī)、平板電腦及任何筆記本、PC等設(shè)備接入該WiFi無線網(wǎng)絡(luò)。 （2）WiFi無線網(wǎng)絡(luò)會(huì)與移動(dòng)終端設(shè)備建立實(shí)時(shí)心跳連接，隨時(shí)監(jiān)控接入無線網(wǎng)絡(luò)的移動(dòng)終端在線情況，當(dāng)該移動(dòng)終端設(shè)備離開WiFi無線網(wǎng)絡(luò)覆蓋范圍導(dǎo)致心跳連接中斷后，網(wǎng)關(guān)系統(tǒng)會(huì)自動(dòng)將動(dòng)態(tài)路由策略刪掉，以確保無線網(wǎng)絡(luò)