[发明专利]一种安全访问方法及系统

说明书

技术领域

本发明涉及通信领域，尤其涉及一种安全访问方法及系统。

背景技术

随着智能终端的成熟与普及，以手机、平板电脑为代表的个人智能终端设备逐渐进入企业应用领域。据国际权威咨询公司Gartner的预测，到2014年90％的企业将会支持员工在个人移动终端上运行企业办公应用程序，员工使用个人智能终端设备办公已经成为一种无法逆转的潮流。这类被称为BYOD(BringYourOwnDevice，自带设备办公)的现象为企业安全和管理带来了新的挑战：

1、企业员工的移动终端可以在任何时间、任何地点接入移动互联网或公共/家庭Wi-Fi网络，移动终端中的企业数据也会暴露在来自互联网的攻击之下。

2、企业员工可以随意访问、存取企业数据，从而存在企业数据被个人非法上传、共享和外泄的风险。如存储在手机中的办公邮件、文件、图片、通信记录以及与业务内容有关的短信等，这些敏感信息的泄漏给企业带来极大的信息安全风险。

3、遗失或被窃移动终端，移动终端中所保存的企业敏感数据也因此面临泄密风险。

4、手机病毒呈指数式增长，移动终端成为渗透企业内网的跳板。

综上说明，商用移动终端通常工作在无法由企业或组织控制的外部和远端，能够访问企业的应用和敏感数据的终端可能被窃取、泄露，或者错误配置，从而把企业资产置于危险之中。

现在针对企业移动终端的安全问题主要有两种解决办法：

第一种解决方案依然着手于移动终端，通过在移动终端进行部署，在移动终端上划分出一个独立的区域，隔绝企业信息和个人信息，避免企业数据被第三方应用获取。其技术架构由移动终端APP和服务器控制台构成，控制台以企业私有云或公有云的方式，部署到企业内网的通用服务器或电脑上，实现移动终端管理、策略管理下发、企业应用管理等。APP则在移动终端上建立一个安全的工作区，工作区内的应用和数据受到保护，通过监测、加密等手段确保企业数据在移动终端上的安全。其结构体系如图1所示。

第二种解决办法由网关入手，在移动终端与企业服务器的连接中间设立一个网关，通过在网关上进行安全配置，使用移动终端在访问企业数据时经过网关，并且按照网关的安全配置访问允许其访问的数据，从而达到管理移动终端，保护企业数据的目的。

以上两种解决方案，均存在一定的不足，主要有以下问题：

(1)在移动终端与公有云进行数据交互时增加了中间设备，增加了访问时间。

(2)由于所有病毒防护、安全监测等操作均由移动终端进行，极大的增加了移动终端的负荷，导致移动终端性能降低、耗能增加。同时由于软件的更新由移动终端个人完成，若没有及时更新，同时会造成安全隐患。

(3)如果办公区的一些文档需要调用个人区域的程序打开的话，那么信息也是从办公区跳转到个人区域，这依然会对企业信息安全造成极大的一个隐患。

综上所述，目前的解决方案还是存在安全性差且操作不方便的问题。

发明内容

本发明所要解决的技术问题是：提供一种安全性高、操作方便的安全访问方法及系统。

为了解决上述技术问题，本发明采用的技术方案为：

一种安全访问方法，包括：

移动终端发送身份验证信息经网关转发至验证平台；所述身份验证信息包括用户身份和安全级别；

所述验证平台对接收到的身份验证信息进行验证，得到验证结果后发送至网关；

所述网关判断接收到的验证结果是否合法，若合法，获取所述移动终端的安全级别；

在划分成不同安全级别的网关中获取与移动终端的安全级别相同的配置信息；

根据所述配置信息设置所述移动终端与网关之间通信的访问权限；

建立所述移动终端与网关的VPN安全通道。

本发明采用的另一技术方案为：

一种安全访问系统，包括：发送模块、验证模块、判断模块、第一获取模块、第二获取模块、设置模块和建立模块；

所述发送模块，用于移动终端发送身份验证信息经网关转发至验证平台；所述身份验证信息包括用户身份和安全级别；

所述验证模块，用于所述验证平台对接收到的身份验证信息进行验证，得到验证结果后发送至网关；

所述判断模块，用于所述网关判断接收到的验证结果是否合法；

所述第一获取模块，用于若所述网关判断接收到的验证结果为合法时，获取所述移动终端的安全级别；

所述第二获取模块，用于在划分成不同安全级别的网关中获取与移动终端的安全级别相同的配置信息；