[发明专利]一种基于电子签名的终端可信认证方法及其系统

权利要求书

1.一种基于电子签名的终端可信认证方法，其特征在于，包括以下步骤：

向管控中心发送终端应用对应的应用签名请求，所述管控中心根据所述应用签名请求对所述终端应用进行认证，并在认证通过后，所述管控中心对所述终端应用签发对应的签名证书；

创建虚拟安全域，并采用防火墙将网络划分为隔离区和非隔离区；

所述终端应用在所述虚拟安全域进行安装，在所述终端应用的安装过程中，所述虚拟安全域向所述管控中心发送验证请求，所述管控中心根据所述验证请求验证所述终端应用的签名证书是否合法；

若是，返回安装指令，使得所述终端应用在所述虚拟安全域中完成安装并启动，启动后的所述终端应用访问所述隔离区；

若否，返回阻止安装指令，并发送告警信息；

所述虚拟安全域对启动的所述终端应用进行监测，所述虚拟安全域中的所有终端应用的流量都通过防火墙，防火墙对所述虚拟安全域中的所述终端应用的流量进行监测，当所述终端应用的流量异常时，防火墙对出现异常的终端应用进行异常阻断处理，使得出现异常的终端应用与所述隔离区断开连接。

2.如权利要求1所述的基于电子签名的终端可信认证方法，其特征在于，所述虚拟安全域对启动的所述终端应用进行监测，所述虚拟安全域中的所有终端应用的流量都通过防火墙，防火墙对所述虚拟安全域中的所述终端应用的流量进行监测，当所述终端应用的流量异常时，防火墙对出现异常的终端应用进行异常阻断处理，使得出现异常的终端应用与所述隔离区断开连接，具体包括以下步骤：

所述虚拟安全域对启动的所述终端应用进行监测，所述虚拟安全域中的所有终端应用的流量都通过防火墙；

防火墙对所述虚拟安全域中的所述终端应用的流量进行监测，并将流量数据发送至所述管控中心，所述管控中心对流量数据进行分析，当所述终端应用的流量数据出现异常时，所述管控中心向防火墙下发阻断指令；

防火墙根据所述阻断指令切断出现异常的所述终端应用与所述隔离区之间的连接；

所述虚拟安全域对出现异常的所述终端应用进行告警处理。

3.如权利要求1所述的基于电子签名的终端可信认证方法，其特征在于，采用沙盒技术创建所述虚拟安全域，并将终端设备划分到所述虚拟安全域或正常办公域中。

4.如权利要求3所述的基于电子签名的终端可信认证方法，其特征在于，所述终端应用在所述虚拟安全域进行安装，在所述终端应用的安装过程中，所述虚拟安全域向所述管控中心发送验证请求，具体包括以下步骤；

所述终端应用在处于所述虚拟安全域的所述终端设备上进行安装时，所述虚拟安全域向所述管控中心发送验证请求。

5.如权利要求1所述的基于电子签名的终端可信认证方法，其特征在于，虚拟安全域中的数据加密方法采用对称加密和非对称加密中的至少一种。

6.如权利要求1所述的基于电子签名的终端可信认证方法，其特征在于，在所述终端应用在所述虚拟安全域进行安装之前，还包括：

将所述管控中心的签名程序集成到所述虚拟安全域中，所述签名程序用来对所述管控中心发送验证请求。

7.一种基于电子签名的终端可信认证系统，其特征在于，包括：虚拟安全域、防火墙、应用服务和管控中心，采用如权利要求1-6任一所述的终端可信认证方法。

8.如权利要求7所述的基于电子签名的终端可信认证系统，其特征在于，所述管控中心对所述签名证书进行签发、变更和注销管理。

9.如权利要求7所述的基于电子签名的终端可信认证系统，其特征在于，所述终端设备采用沙盒技术将设备划分到虚拟安全域或正常办公域中。