[发明专利]应用流量管理、应用加速和安全的企业移动安全网关方法

说明书

技术领域

本发明涉及流量管理、应用交付、应用加速与安全等领域，特别涉及利用不同网络环境及各种手持移动终端访问敏感数据时的数据安全与交互。

背景技术

随着智能终端的成熟与普及，以手机、平板电脑为代表的个人智能终端设备逐渐进入企业应用领域。据国际权威咨询公司Gartner的预测，到2014年90％的企业将会支持员工在个人移动设备上运行企业办公应用程序，员工使用个人智能终端设备办公已经成为一种无法逆转的潮流。这类被称为BYOD(Bring Your Own Device，自带设备办公)的现象为企业安全和管理带来了新的挑战：

1.企业员工的移动设备可以在任何时间、任何地点接入移动互联网或公共/家庭Wi-Fi网络，移动终端中的企业数据也会暴露在来自互联网的攻击之下。

2.企业员工可以随意访问、存取企业数据，从而存在企业数据被个人非法上传、共享和外泄的风险。如存储在手机中的办公邮件、文件、图片、通信记录以及与业务内容有关的短信等，这些敏感信息的泄漏给企业带来极大的信息安全风险。

3.遗失或被窃移动设备，移动设备中所保存的企业敏感数据也因此面临泄密风险。

4.手机病毒呈指数式增长，移动设备成为渗透企业内网的跳板。

商用移动设备通常工作在无法由企业或组织控制的外部和远端，能够访问企业的应用和敏感数据的设备可能被窃取、泄露，或者错误配置，从而把企业资产置于危险之中。

现在的针对企业移动安全问题主要有两种解决办法：

第一种解决方案依然着手于终端，通过在终端进行部署，在移动设备上划分出一个独立的区域，隔绝企业信息和个人信息，避免企业数据被第三方应用获取。其技术架构由移动端APP和服务器端控制台构成，控制台以企业私有云或公有云的方式，部署到企业内网的通用服务器或电脑上，实现移动终端管理、策略管理下发、企业应用管理等。APP则在移动终端上建立一个安全的工作区，工作区内的应用和数据受到保护，通过监测、加密等手段确保企业数据在移动终端上的安全。其结构体系如图1所示。

第二种解决办法由网关入手，在移动终端与企业服务器的连接中间设立一个网关，通过在网关上进行安全配置，使用移动终端在访问企业数据时经过网关，并且按照网关的安全配置访问允许其访问的数据，从而达到管理移动设备，保护企业数据的目的。

以上两种解决方案，均存在一定的不足，主要有以下问题：

(1)目前的解用户决方案仅适用于移动终端，而不能有效的移植到使用规模更大，使用率更高的计算机终端。

(2)由于防护措施均作用于移动终端，并且没有使用标准用户管理体系，故而在管理上存在极大的困难，无法有效集中管理用户和移动设备。

(3)在移动终端与公有云进行数据交互时增加了中间设备，增加了访问时间。

(4)由于所有病毒防护、安全监测等操作均由移动终端进行，极大的增加了移动终端的负荷，导致移动终端性能降低、耗能增加。同时由于软件的更新由移动终端个人完成，若没有及时更新，同时会造成安全隐患。

(5)如果办公区的一些文档需要调用个人区域的程序打开的话，那么信息也是从办公区跳转到个人区域，这依然会对企业信息安全造成极大的一个隐患。

发明内容

本发明要解决的技术问题在于避免上述现在技术的不足之处，而提出一种应用流量管理、应用加速和安全的企业移动安全网关方法。在不改变企业现在的网络结构的情况下，可以快速、安全地把在各种不同网络环境下访问企业敏感数据的各类移动终端进行统一标准管理，达到保护设备、管理设备、控制数据的作用。

本发明解决所述技术问题可以通过采用以下技术方案来实现：

应用流量管理、应用加速和安全的企业移动安全网关方法，利用在移动终端上运行的软件模块和在交换机的运行的软件模块，实现移动终端与服务器端的应用交付，主要包括以下步骤：

(1)在移动终端上运行的软件模块向网关上运行的软件模块发送移动终端的身份验证信息；

(2)移动终端的身份验证信息经网关上运行的软件模块传输到移动安全管理员.

(3)移动安全管理员对接收到的身份认证信息进行验证，并且将验证结果传输回网关；

(4)网关接收移动安全管理员的验证结果，并根据验证结果进行对应的操作；

(5)移动终端根据网关划分的不同安全级别，其访问策略相应配置允许的企业数据；网关上运行的软件模块内嵌有应用交付与流量管理模块、应用加速模块和应用安全模块，用于保护设备、管理设备及控制数据。