一種單點安全認證方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及安全認證領(lǐng)域��,尤其涉及一種單點安全認證方法及系統(tǒng)�����。
【背景技術(shù)】
[0002] 隨著智能終端的成熟與普及����,以手機��、平板電腦為代表的個人智能終端設(shè)備逐漸 進入企業(yè)應(yīng)用領(lǐng)域���。據(jù)國際權(quán)威咨詢公司Gartner的預(yù)測����,到2014年90%的企業(yè)將會支持 員工在個人移動設(shè)備上運行企業(yè)辦公應(yīng)用程序�,員工使用個人智能終端設(shè)備辦公已經(jīng)成為 一種無法逆轉(zhuǎn)的潮流。這類被稱為BYOD(BringYourOwnDevice�����,自帶設(shè)備辦公)的現(xiàn)象 為企業(yè)安全和管理帶來了新的挑戰(zhàn):
[0003] 1�、企業(yè)網(wǎng)絡(luò)邊界變得模糊,原有的邊界防御系統(tǒng)無法有效保護企業(yè)的數(shù)據(jù)安全。 企業(yè)員工的移動設(shè)備可以在任何時間����、任何地點接入移動互聯(lián)網(wǎng)或公共/家庭WiFi網(wǎng)絡(luò), 移動終端中的企業(yè)數(shù)據(jù)也會暴露在互聯(lián)網(wǎng)的攻擊之下�。
[0004] 2、個人應(yīng)用與企業(yè)應(yīng)用混用���,為企業(yè)帶來信息安全風險���。同一移動終端設(shè)備上既 有個人應(yīng)用,又有企業(yè)應(yīng)用和數(shù)據(jù)��,個人應(yīng)用可以隨意訪問����、存取企業(yè)數(shù)據(jù),從而存在企業(yè) 數(shù)據(jù)被個人非法上傳�����、共享和外泄的風險���。如存儲在手機中的辦公郵件����、文件、圖片��、通信記 錄以及與業(yè)務(wù)內(nèi)容有關(guān)的短信等���,這些敏感信息的泄漏給企業(yè)帶來極大的信息安全風險。
[0005] 3����、當前用戶密碼為了方便記憶和管理,一般只會將有意義的字符串作為密碼�����,安 全性很差�,無法自動生成隨機密鑰。
[0006] 4����、目前移動終端應(yīng)用訪問企業(yè)數(shù)據(jù)服務(wù)時,基本采用基于用戶名和密碼的驗證方 式�����,這種方式存在較大的安全隱患。
[0007] 5����、多數(shù)企業(yè)應(yīng)用中包含多個數(shù)據(jù)服務(wù),每個數(shù)據(jù)服務(wù)都需要相應(yīng)的訪問驗證���,當 移動終端應(yīng)用訪問多個企業(yè)數(shù)據(jù)服務(wù)時����,造成移動終端登錄管理的繁瑣��,同時對企業(yè)數(shù)據(jù) 安全造成更大的隱患��。
[0008] 6��、目前大多數(shù)企業(yè)應(yīng)用多采用移動終端和PC分離的管理模式���,這樣造成企業(yè)運 行與維護的工作負荷的增加�,浪費了較多的企業(yè)資源���,增加了企業(yè)的運維成本����。
[0009] 綜上所述,目前移動終端訪問企業(yè)數(shù)據(jù)庫過程中�����,存在安全性差����、操作繁瑣的問 題。
【發(fā)明內(nèi)容】
[0010] 本發(fā)明所要解決的技術(shù)問題是:提供一種安全性高�����、操作方便的單點安全認證方 法及系統(tǒng)���。
[0011] 為了解決上述技術(shù)問題,本發(fā)明采用的技術(shù)方案為:
[0012] -種單點安全認證方法���,包括:
[0013] 移動終端發(fā)送由單點安全認證網(wǎng)關(guān)分配的用戶名��、密碼以及身份證書至單點安全 認證網(wǎng)關(guān)���;所述身份證書包括安全認證模塊的標識;所述安全認證模塊為移動終端認證服 務(wù)��、Kerberos安全模塊、NTLM安全模塊�����、AD認證模塊���、SAML安全模塊或第三方認證模塊����;
[0014] 所述單點安全認證網(wǎng)關(guān)包括移動終端認證服務(wù)���、Kerberos安全模塊��、NTLM安全模 塊����、AD認證模塊���、SAML安全模塊和第三方認證模塊組成�����;
[0015] 提取所述身份證書中的標識��;
[0016] 根據(jù)所述標識選取單點安全認證網(wǎng)關(guān)中的安全認證模塊�;
[0017] 單點安全認證網(wǎng)關(guān)將接收到的用戶名、密碼以及身份證書發(fā)送至對應(yīng)的安全認證 模塊�����,驗證用戶登錄是否合法���;
[0018] 若驗證結(jié)果為合法����,所述移動終端通過所述安全認證模塊與企業(yè)數(shù)據(jù)庫建立VPN 安全連接���。
[0019] 本發(fā)明采用的另一技術(shù)方案為:
[0020] -種單點安全認證系統(tǒng),包括:發(fā)送模塊���、提取模塊�����、選取模塊����、驗證模塊和建立連 接豐吳塊;
[0021] 所述發(fā)送模塊�,用于移動終端發(fā)送由單點安全認證網(wǎng)關(guān)分配的用戶名、密碼以及 身份證書至單點安全認證網(wǎng)關(guān)��;所述身份證書包括安全認證模塊的標識�����;所述安全認證模 塊為移動終端認證服務(wù)��、Kerberos安全模塊�����、NTLM安全模塊���、AD認證模塊����、SAML安全模塊 或第三方認證模塊���;所述單點安全認證網(wǎng)關(guān)包括移動終端認證服務(wù)�����、Kerberos安全模塊��、 NTLM安全模塊�����、AD認證模塊���、SAML安全模塊和第三方認證模塊組成����;
[0022] 所述提取模塊��,用于提取所述身份證書中的標識�����;
[0023] 所述選取模塊����,用于根據(jù)所述標識選取單點安全認證網(wǎng)關(guān)中的安全認證模塊��;
[0024] 所述驗證模塊����,用于單點安全認證網(wǎng)關(guān)將接收到的用戶名����、密碼以及身份證書發(fā) 送至對應(yīng)的安全認證模塊�����,驗證用戶登錄是否合法�����;
[0025] 所述建立連接模塊���,用于若驗證結(jié)果為合法��,所述移動終端通過所述安全認證模 塊與企業(yè)數(shù)據(jù)庫建立VPN安全連接�。
[0026] 本發(fā)明的有益效果在于:傳統(tǒng)的身份認證模塊采用通用性較強的模塊��,可適用于 多種身份認證方式����,也因為通用性較強,而導致安全性較差。本發(fā)明的單點安全認證方法及 系統(tǒng)���,提供了單點安全認證網(wǎng)關(guān)�,該單點安全認證網(wǎng)關(guān)包括移動終端認證服務(wù)�����、Kerberos安 全模塊�、NTLM安全模塊、AD認證模塊��、SAML安全模塊和第三方認證模塊組成����,將身份認證方 式進行分類,提升單點安全認證網(wǎng)關(guān)的專用性�,進而提升身份認證的安全性,也為后續(xù)移動 終端訪問企業(yè)數(shù)據(jù)庫提供安全保障�。
【附圖說明】
[0027] 圖1為本發(fā)明單點安全認證方法的步驟流程圖;
[0028] 圖2為本發(fā)明單點安全認證系統(tǒng)的結(jié)構(gòu)示意圖�;
[0029] 標號說明:
[0030] 10、發(fā)送模塊��;20��、提取模塊��;30���、選取模塊����;40����、驗證模塊;50�����、建立連接模塊��。
【具體實施方式】
[0031] 為詳細說明本發(fā)明的技術(shù)內(nèi)容����、所實現(xiàn)目的及效果,以下結(jié)合實施方式并配合附 圖予以說明����。
[0032] 本發(fā)明最關(guān)鍵的構(gòu)思在于:在移動終端與企業(yè)數(shù)據(jù)庫之間增加了單點安全認證網(wǎng) 關(guān)�����,該單點安全認證網(wǎng)關(guān)包括移動終端認證服務(wù)�、Kerberos安全模塊�、NTLM安全模塊、AD認 證模塊�����、SAML安全模塊和第三方認證模塊組成�����,將身份認證方式進行分類���,提升單點安全認 證網(wǎng)關(guān)的專用性�,進而提升身份認證的安全性����。
[0033] 本發(fā)明涉及的技術(shù)術(shù)語解釋:
[0034]
[0035] 請參照圖1,本發(fā)明提供的一種單點安全認證方法�,包括:
[0036] 移動終端發(fā)送由單點安全認證網(wǎng)關(guān)分配的用戶名、密碼以及身份證書至單點安全 認證網(wǎng)關(guān)�;所述身份證書包括安全認證模塊的標識���;所述安全認證模塊為移動終端認證服 務(wù)��、Kerberos安全模塊��、NTLM安全模塊�����、AD認證模塊���、SAML安全模塊或第三方認證模塊���;
[0037] 所述單點安全認證網(wǎng)關(guān)包括移動終端認證服務(wù)、Kerberos安全模塊���、NTLM安全模 塊�����、AD認證模塊�����、SAML安全模塊和第三方認證模塊組成��;
[0038] 提取所述身份證書中的標識��;
[0039] 根據(jù)所述標識選取單點安全認證網(wǎng)關(guān)中的安全認證模塊��;
[0040] 單點安全認證網(wǎng)關(guān)將接收到的用戶名���、密碼以及身份證書發(fā)送至對應(yīng)的安全認證 模塊��,驗證用戶登錄是否合法���;
[0041] 若驗證結(jié)果為合法,所述移動終端通過所述安全認證模塊與企業(yè)數(shù)據(jù)庫建立VPN 安全連接����。
[0042] 從上述描述可知,本發(fā)明的有益效果在于:傳統(tǒng)的身份認證模塊采用通用性較強 的模塊�,可適用于多種身份認證方式,也因為通用性較強���,而導致安全性較差�����。本發(fā)明的單 點安全認證方法��,提供了單點安全認證網(wǎng)關(guān)��,該單點安全認證網(wǎng)關(guān)包括移動終端認證服務(wù)���、 Kerberos安全模塊、NTLM安全模塊�、AD認證模塊、SAML安全模塊和第三方認證模塊組成�����, 將身份認證方式進行分類����,提升單點安全認證網(wǎng)關(guān)的專用性,進而提升身份認證的安全性�, 也為后續(xù)移動終端訪問企業(yè)數(shù)據(jù)庫提供安全保障。
[0043] 進一步的����,在"所述移動終端通過對應(yīng)的安全認證模塊與企業(yè)數(shù)據(jù)庫建立VPN安 全連接"之后還包括:所述移動終端通過所述安全認證模塊訪問多個企業(yè)數(shù)據(jù)庫并獲取相 關(guān)數(shù)據(jù)。
[0044] 由上述描述可知����,通過所述安全認證模塊進行訪問操作��,因采用專用的安全認證 模塊�,可提升身份認證以及訪問過程�、獲取數(shù)據(jù)過程的安全性。
[0045] 進一步的�����,在"所述移動終端通過對應(yīng)的安全認證模塊與企業(yè)數(shù)據(jù)庫建立VPN安 全連接"之后還包括:所述單點安全認證網(wǎng)關(guān)包括安全認證定時模塊���,當超過預(yù)設(shè)時長時���, 斷開VPN安全連接后自動重新連接并獲得新的隨機共享密鑰。
[0046] 由上述描述可知�,通過預(yù)設(shè)時長,可實現(xiàn)動態(tài)的定期更新認證密碼�����,進一步提升安 全性�。
[0047] 進一步的,所述第三方認證模塊由為開發(fā)商提供統(tǒng)一的編程接口和集成第三方的 安全模塊組成。
[0048] 由上述描述可知��,增強了單點安全認證網(wǎng)關(guān)安全認證的動態(tài)擴展性�。
[0049] 請參閱圖2,本發(fā)明提供的一種單點安全認證系統(tǒng),包括:發(fā)送模塊10���、提取模塊 20���、選取模塊30、驗證模塊40和建立連接模塊50 ;
[0050] 所述發(fā)送模塊10,用于移動終端發(fā)送由單點安全認證網(wǎng)關(guān)分配的用戶名��、密碼以 及身份證書至單點安全認證網(wǎng)關(guān)�;所述身份證書包括安全認證模塊的標識����;所述安全認證 模塊為移動終端認證服務(wù)、Kerberos安全模塊�、NTLM安全模塊、AD認證模塊����、SAML安全模塊 或第三方認證模塊;所述單點安全認證網(wǎng)關(guān)包括移動終端認證服務(wù)�、Kerberos安全模塊、 NTLM安全模塊、AD認證模塊��、SAML安全模塊和第三方認證模塊組成�;
[0051] 所述提取模塊20