[发明专利]一种移动应用访问企业数据的单点安全认证方法

说明书

技术领域

本发明涉及计算机网络通信领域中的安全认证方法，尤其涉及一种在移动终端应用单点安全认证网关访问企业数据服务的过程中，如何支持动态、透明和安全的认证方法。

背景技术

随着智能终端的成熟与普及，以手机、平板电脑为代表的个人智能终端设备逐渐进入企业应用领域。据国际权威咨询公司Gartner的预测，到2014年90％的企业将会支持员工在个人移动设备上运行企业办公应用程序，员工使用个人智能终端设备办公已经成为一种无法逆转的潮流。这类被称为BYOD(Bring Your Own Device，自带设备办公)的现象为企业安全和管理带来了新的挑战：

(1)企业网络边界变得模糊，原有的边界防御系统无法有效保护企业的数据安全。企业员工的移动设备可以在任何时间、任何地点接入移动互联网或公共/家庭WiFi网络，移动终端中的企业数据也会暴露在互联网的攻击之下。

(2)个人应用与企业应用混用，为企业带来信息安全风险。同一移动终端设备上既有个人应用，又有企业应用和数据，个人应用可以随意访问、存取企业数据，从而存在企业数据被个人非法上传、共享和外泄的风险。如存储在手机中的办公邮件、文件、图片、通信记录以及与业务内容有关的短信等，这些敏感信息的泄漏给企业带来极大的信息安全风险。

(3)当前用户密码为了方便记忆和管理，一般只会将有意义的字符串作为密码，安全性很差，无法自动生成随机密钥。

(4)目前移动终端应用访问企业数据服务时，基本采用基于用户名和密码的验证方式，这种方式存在较大的安全隐患。

(5)多数企业应用中包含多个数据服务，每个数据服务都需要相应的访问验证，当移动终端应用访问多个企业数据服务时，造成移动终端登录管理的繁琐，同时对企业数据安全造成更大的隐患。

(6)目前大多数企业应用多采用移动终端和PC分离的管理模式，这样造成企业运行与维护的工作负荷的增加，浪费了较多的企业资源，增加了企业的运维成本。

发明内容

本发明的目的是为了增强移动终端应用访问企业数据服务的安全性和便捷性，提供一种认证方法。移动终端应用通过单点安全认证网关获取到用户名、密码和唯一的身份证书，可以透明的安全访问企业内部的多个数据服务，简化了移动终端应用在访问多个企业服务时地登录管理，同时增强了企业内部的数据安全。

本发明采用的技术方案如下：

一种移动应用访问企业数据的单点安全认证方法，将整个单点安全认证网关作为企业的安全认证代理实体，为移动终端应用设置自身的用户名、密码和身份证书，具体包括以下步骤：

(1)单点安全认证网关为移动终端应用分配全局的用户名、密码以及身份证书，作为移动终端在企业网络中的唯一标识；

(2)单点安全认证网关按需动态的配置多个安全认证模块，提供动态可靠的安全认证组合策略，消除单个安全验证模块存在的不足，并按需启用安全认证模块；

(3)由安全认证模块实现与对应企业数据服务进行连接，并进行安全认证协议交互，建立移动终端应用与企业数据服务之间的信任关系；

(4)单点安全认证网关为移动终端应用与企业数据服务建立VPN安全连接；

(5)移动终端应用通过单点安全认证网关访问企业数据服务。所述安全认证模块包括Kerberos模块、NTLM模块、SAML模块或第三方认证模块，或者以上模块的任意组合。

进一步地，单点安全认证网关如果需要支持动态的定期更新认证密码，另配置有安全认证定时模块，当定时器超时的时候，自动的与相应的企业数据服务重新连接并进行安全认证协议交互，使得双方获得新的随机共享密钥。

所述第三方认证模块为开发商提供统一的编程接口，集成第三方的安全模块，增强了单点安全认证网关安全认证技术的动态扩展性。

本发明是基于主流安全认证协议(Kerberos、NTLM、SAML和第三方认证服务)的安全特性基础上，提出了适合于移动终端应用访问企业数据服务的动态、透明和安全的认证的解决方法。移动终端应用只需单点登录单点安全认证网关，便可以透明的安全访问企业内部的多个数据服务，为移动终端应用访问多个数据服务建立单一的安全验证，大大弥补了本技术领域目前认证方法的不足，同时实现了动态更新认证密钥的安全特性。

附图说明

下面结合附图对本发明进一步详细地说明：

图1是现有移动终端应用访问企业数据服务的验证示意图；

图2是本发明移动终端应用单点安全访问企业数据服务的网络模型；