??

技術領域

本發明涉及一種移動終端安全接入平臺，尤其涉及的是移動終端接入內網時的一種認證、加密及訪問控制等安全加固的實現。?

背景技術

對現有技術中的VPN技術進行分析如下：?

1、IPSec?VPN

IPSec安全協議是一個范圍廣泛、開放的虛擬專用網安全協議。基于IPSec的VPN不依賴于網絡接入方式，它可以在任意基礎網絡上部署，而且可以實現端到端的安全保護。但IPSec?VPN有一些局限性：

①??需要安裝客戶端軟件，存在大量的安裝、培訓、升級、管理等工作，無形增加了用戶的使用成本。

②??接入設備支持的種類少，以Desktop?PC和Notebook?PC為主，對手機、PDA、MAC、移動終端等設備的支持有局限性。?

③??存在一些技術問題，如：NAT穿透、私有地址沖突等。?

④??由于IPSec是網絡層協議，安全隧道一旦建立，可以訪問所有內部資源，存在一定的安全隱患。?

2、SSL?VPN?

SSL?VPN是以HTTPS為基礎的VPN技術，工作在傳輸層和應用層之間。SSL?VPN充分利用了SSL協議提供的基于證書的身份認證、數據加密和消息完整性驗證機制，可以為應用層之間的通信建立安全連接。但由于SSL?VPN是基于Web瀏覽器的，可以很好的支持B/S應用，但對于C/S的應用支持不完善，由于很多企業C/S應用比較多，SSL?VPN的使用受到了很大程度的限制。

發明內容

發明目的：針對現有技術中存在的問題，本發明提供一種基于虛擬化技術，使用安全通信協議，能夠支持C/S應用的移動終端安全接入平臺。所述平臺不依賴于網絡接入方式，可以在任意基礎網絡上部署，而且可以實現端到端的安全保護；安全級別高，對終端站點間所有傳輸數據進行保護，而不管是哪類網絡應用；平臺在事實上將遠程客戶端“置于”企業內部網，使遠程客戶端擁有內部網用戶一樣的權限和操作功能。?

技術方案：一種移動終端安全接入平臺，它的系統架構包括：移動終端主機行為控制系統、移動終端安全檢查模塊、移動終端入網認證模塊、移動終端安全通信模塊和移動終端安全接入網關。?

1、移動終端主機行為控制系統?

移動終端主機行為控制系統基于強制運行控制(MRC)技術，提供三級安全保護：普通級安全保護、專業級安全保護和強制級安全保護；所述普通級安全保護適于個人自由使用，不涉及敏感信息，能夠有限阻止有特征的非法侵害，可以與其它防護軟件配合使用；專業級安全保護適于具有一定信息安全基礎的專業人員使用，除具有普通級的防護功能外，允許用戶自行放行或阻止非信任進程；強制級保護僅允許運行規定的應用系統和訪問特定的網頁資源，對于規定以外的其它進程一律阻止；管理員可以根據具體應用系統的安全等級采取不同級別的保護，保證移動終端的安全接入。?

對于存儲在終端上的重要數據，主機行為控制系統還提供加密保護，保證數據即使被拿走也看不懂，有效防止內網敏感信息的泄密。?

2、移動終端安全檢查模塊?

移動終端訪問內網資源前，需進行終端安全性檢查，不符合檢查策略的終端將禁止訪問內網資源。安全檢查模塊對終端的操作系統版本、系統的補丁版本、系統的啟動項、特殊位置的磁盤文件等進行嚴格檢查，根據檢查策略，安全接入網關在處理終端接入時，會先檢查移動終端上是否具備上述一項或幾項特征參數，依據檢查結果判斷是否允許該終端與安全接入網關建立安全隧道，同時判斷出該終端的某些特征是否存在偽造信息，徹底杜絕不健康終端接入內網網絡，確保移動終端接入的安全，從源頭杜絕威脅。

3、移動終端入網認證模塊?

實現在移動終端上增加入網認證模塊，將權威機構簽發的數字證書存放在具有安全加密功能和身份認證功能的硬件認證卡中，并為每一個外出辦公的員工配備相應的硬件認證卡。移動終端在接入企業內網之前必須進行由硬件認證卡和內網CA認證服務器共同保證的身份認證，實現只有通過入網認證的終端才可以接入到企業內網中，防止接入的移動終端是被偽造過的非法用戶。

4、移動終端安全通信模塊?