移动终端安全接入方法及系统与流程

本申请涉及专门适用于行政、商业、金融、管理、监督或预测目的的数据处理系统或方法领域，尤其涉及移动终端安全接入方法及系统。

背景技术：

移动政务是基于无线网络技术的新型电子政务模式，其不受网络拓扑结构限制、配置简单、应用灵活。移动政务借助移动终端设备，以便捷的方式随时随地提供服务。但是，由于移动通信自身的特点，与有线系统相比，移动政务系统存在很大的安全问题，主要表现在移动终端的安全、移动网络安全、移动应用安全三个方面。

中国专利公开CN103164828A描述了一种基于SaaS的电子政务系统，包括三层架构，分别为：网络层、应用层、数据层，所述网络包括政务外网、政务专网、政务内网。依照该发明提出的解决方案构建的电子政务系统能够达到业务敏捷性，使数据达到很好的数据共享及扩展性，能够让用户安全且方便地使用系统功能。然而，该申请中只描述了网络的安全，没有针对移动终端的安全进行防护，也没有对移动应用的安全进行安全防护。

技术实现要素：

为了克服现有技术中存在的不足，本发明要解决的技术问题是提供一种移动终端安全接入方法及系统，其能实现移动终端和移动应用的安全防护，避免来自移动终端和移动应用的安全威胁。

为解决上述技术问题，本发明移动终端安全接入方法，包括：

使移动终端在使用前仅能显示网络设置、企业移动管理EMM应用和虚拟专用网络VPN应用；

响应于已设置好网络，确定所述EMM应用是否已被激活；

响应于所述EMM应用已激活，使所述VPN应用能经虚拟专用网络访问工作内网。

作为本发明所述方法的改进，所述确定所述EMM应用是否已被激活包括：确定所述移动终端是否已获得访问工作内网的身份认证证书。

作为本发明所述方法的另一种改进，所述方法还包括：响应于所述EMM应用已激活，显示所述移动终端上的非VPN应用。

作为本发明所述方法的进一步改进，所述方法还包括：控制所述移动终端的防火墙端口，使得所述非VPN应用不能访问工作内网。

作为本发明所述方法的进一步的改进，所述方法还包括：控制所述移动终端的系统内的流量仅能通过虚拟专用网络隧道访问。

为解决上述技术问题，本发明移动终端安全接入系统，包括：

显示控制模块，用于使移动终端在使用前仅能显示网络设置、企业移动管理EMM应用和虚拟专用网络VPN应用；

激活确定模块，用于响应于已设置好网络，确定所述EMM应用是否已被激活；

访问控制模块，用于响应于所述EMM应用已激活，使所述VPN应用能经虚拟专用网络访问工作内网。

作为本发明所述系统的改进，所述激活确定模块包括：证书确定子模块，用于确定所述移动终端是否已获得访问工作内网的身份认证证书。

作为本发明所述系统的另一种改进，所述系统还包括：非VPN应用显示模块，用于响应于所述EMM应用已激活，显示所述移动终端上的非VPN应用。

作为本发明所述系统的进一步的改进，所述系统还包括：防火墙控制模块，用于控制所述移动终端的防火墙端口，使得所述非VPN应用不能访问工作内网。

作为本发明所述系统的进一步的改进，所述系统还包括：流量控制模块，用于控制所述移动终端的系统内的流量仅能通过虚拟专用网络隧道访问。

为解决上述技术问题，本发明的有形计算机可读介质，包括用于执行上述移动终端安全接入方法的计算机程序代码。

为解决上述技术问题，本发明提供一种装置，包括至少一个处理器；及至少一个存储器，含有计算机程序代码，所述至少一个存储器和所述计算机程序代码被配置为利用所述至少一个处理器使得所述装置执行本发明的移动终端安全接入方法的至少部分步骤。

按照本发明，移动终端的系统启动后，EMM应用激活之前，移动终端无法使用。只有经过EMM系统设备激活的终端设备才能获得相应的身份认证证书，访问工作内网。移动终端上的VPN应用只有通过VPN专网才能接入移动政务内网，与外部隔离，从而保证终端的安全。

结合附图阅读本发明实施方式的详细描述后，本发明的其它特点和优点将变得更加清楚。

附图说明

图1为根据本发明方法的一实施例的流程图。

图2为根据本发明系统的一实施例的结构示意图。

为清晰起见，这些附图均为示意性及简化的图，它们只给出了对于理解本发明所必要的细节，而省略其他细节。

具体实施方式

下面参照附图对本发明的实施方式和实施例进行详细说明。

通过下面给出的详细描述，本发明的适用范围将显而易见。然而，应当理解，在详细描述和具体例子表明本发明优选实施例的同时，它们仅为说明目的给出。

下面结合图1所示流程图对根据本发明的移动终端安全接入方法的一实施例的各步骤进行具体说明。

在步骤S102，使移动终端在使用前仅能显示网络设置、企业移动管理EMM应用和虚拟专用网络VPN应用。网络设置应用供用户进行网络设置。EMM应用用于将移动终端注册到EMM系统管理平台(服务器)及在成功注册后从EMM系统接收指令/策略和/或向EMM系统报告数据。VPN应用指该类应用仅能通过虚拟专用网络VPN访问政务数据中心。移动终端在激活EMM应用之前，终端桌面应用的数据源里只有网络设置、EMM应用和VPN应用，移动终端只能显示这三个应用。

在步骤S104，响应于已设置好网络，确定所述EMM应用是否已被激活。用户可通过点击EMM应用进行移动终端的注册而激活。EMM系统可以绑定移动终端SIM卡、序列号等，只有EMM系统内绑定的设备才能访问工作网。经过EMM系统设备激活的移动终端将获得相应的身份认证证书，从而可访问工作内网。因此，在实施例中，通过确定移动终端是否已获得访问工作内网的身份认证证书来确定EMM应用是否已激活。如果该移动终端已获得访问工作内网的身份认证证书，则表明该移动终端的EMM应用已激活，之后，处理进行到步骤S106。否则，处理进行到步骤S120，提示用户EMM应用尚未激活。

在步骤S106，响应于所述EMM应用已激活，使所述VPN应用能经虚拟专用网络访问政务工作内网。VPN应用向工作内网连接时，系统判断如果是VPN应用的ID，则放开权限，使其可以访问工作内网。

另外，移动终端操作系统还会通过提供系统漏洞扫描和检测、防越狱、安全审计、防火墙、多重访问控制、基于系统文件的加密平台、沙箱技术等一系列安全机制，防御入侵攻击，保证移动终端操作系统的安全性。

根据本发明方法的一种实施方式，响应于EMM应用已激活，还可显示移动终端上已经安装的其它非VPN应用。激活EMM应用时，可发一个信号给移动终端的桌面应用，桌面应用从系统安装包里获取所有的应用，并将数据源更新包含所有应用，这样移动终端启动后就能看到所有的应用了。从而使得移动终端即可用作移动政务终端，又可用作用户日常生活使用的终端，减少携带不便性。在该情形下，可通过移动终端的防火墙的端口控制，使得非VPN应用不能访问工作内网，保证政务数据的安全。通过系统防火墙策略，判断系统内的各个端口，除了VPN应用端口外，其余应用的端口都不能直接连接网络，包括Wi-Fi网络和移动网络，使得非VPN应用不能访问工作内网。

根据本发明方法的另一种实施方式，系统内的流量可强制通过VPN隧道访问，从而使得移动终端无法访问互联网，保证政务数据的安全。一旦虚拟专用网络隧道建立，在系统内建议一个虚拟专用网络隧道默认路由，移动终端的系统内所有的流量通过查看路由的各个网段，只有虚拟专用网络隧道建立的路由才能访问外网，从而使得移动终端的系统内的流量仅能通过虚拟专用网络隧道访问。

图2示出了根据本发明的移动终端安全接入系统的一实施例的结构示意图，该系统包括：显示控制模块202，用于使移动终端在使用前仅能显示网络设置、企业移动管理EMM应用和虚拟专用网络VPN应用；激活确定模块204，用于响应于已设置好网络，确定所述EMM应用是否已被激活；其中，所述激活确定模块包括证书确定子模块，用于确定所述移动终端是否已获得访问工作内网的身份认证证书；访问控制模块206，用于响应于所述EMM应用已激活，使所述VPN应用能经虚拟专用网络访问工作内网；非VPN应用显示模块208，用于响应于所述EMM应用已激活，显示所述移动终端上的非VPN应用；防火墙控制模块210，用于控制所述移动终端的防火墙端口，使得所述非VPN应用不能访问工作内网。

根据本发明系统的一种实施方式，所述系统还可包括流量控制模块，用于控制所述移动终端的系统内的流量仅能通过虚拟专用网络隧道访问。

在此所述的多个不同实施例或者其特定特征、结构或特性可在本发明的一个或多个实施方式中适当组合。另外，在某些情形下，只要适当，流程图中和/或流水处理描述的步骤顺序可修改，并不必须精确按照所描述的顺序执行。另外，本发明的多个不同方面可使用软件、硬件、固件或者其组合和/或执行所述功能的其它计算机实施的模块或装置进行实施。本发明的软件实施可包括保存在计算机可读介质中并由一个或多个处理器执行的可执行代码。计算机可读介质可包括计算机硬盘驱动器、ROM、RAM、闪存、便携计算机存储介质如CD-ROM、DVD-ROM、闪盘驱动器和/或例如具有通用串行总线(USB)接口的其它装置，和/或任何其它适当的有形或非短暂计算机可读介质或可执行代码可保存于其上并由处理器执行的计算机存储器。本发明可结合任何适当的操作系统使用。

除非明确指出，在此所用的单数形式“一”、“该”均包括复数含义(即具有“至少一”的意思)。应当进一步理解，说明书中使用的术语“具有”、“包括”和/或“包含”表明存在所述的特征、步骤、操作、元件和/或部件，但不排除存在或增加一个或多个其他特征、步骤、操作、元件、部件和/或其组合。如在此所用的术语“和/或”包括一个或多个列举的相关项目的任何及所有组合。

前面说明了本发明的一些优选实施例，但是应当强调的是，本发明不局限于这些实施例，而是可以本发明主题范围内的其它方式实现。本领域技术人员可以在本发明技术构思的启发和不脱离本发明内容的基础上对本发明作出各种变形和修改，这些变形或修改仍落入本发明的保护范围之内。