基于内网或受限网络范围内的WiFi实现无线网络安全访问控制

1、基于内网或受限网络范围内的WiFi实现无线网络安全访问控制一、 技术领域 本发明构建无线网络安全访问控制平台，实现移动终端设备与内网办公系统之间的安全数据转发、移动设备身份识别、认证管理、行为审计，确保移动终端设备通过wifi网络与内网报表数据之间的数据交互的安全受控。 基于无线网络安全访问控制平台，实现针对授权用户及其绑定的授权移动终端设备接入WiFi无线网络使用移动办公功能及无线上网全程受控，防止任何未授权设备私自接入该WiFi无线网络上网，并提供动态路由策略管理。 实现移动终端授权用户仅且唯一访问移动办公信息安全管控平台指定企业网内部服务器。二、 背景技术无线办公是当今高速发展的通信业与

2、IT业交融的产物，它将通信业在沟通上的便捷、在用户上的规模，与IT业在软件应用上的成熟、在业务内容上的丰富，完美结合到了一起，使之成为了继电脑无纸化办公、互联网远程化办公之后的新一代办公模式。这种最新潮的办公模式，通过在手机、平板电脑上安装企业信息化软件，使得手机和平板电脑也具备了和电脑一样的办公功能，而且它还摆脱了必须在固定场所固定设备上进行办公的限制，对企业管理者和商务人士提供了极大便利，为企业和政府的信息化建设提供了全新的思路和方向。它不仅使得办公变得随心、轻松，而且借助手机通信的便利性，使得使用者无论身处何种紧急情况下，都能高效迅捷地开展工作，对于突发性事件的处理、应急性事件的部署有极

3、为重要的意义。无线办公是一套建立以手机等便携终端为载体实现的移动信息化系统，该系统将智能手机、无线网络、OA系统三者有机结合，开发出移动办公系统，实现任何办公地点和办公时间的无缝接入，提高了办公效率。它可以连接客户原有的各种IT系统，包括OA、邮件、ERP、以及其他各类个性业务系统，使手机也可以用以操作、浏览、管理公司的全部工作事务，也提供了一些无线环境下的新特性功能。其设计目标是帮助用户摆脱时间和空间的限制，随时随地随意地处理工作，提高效率、增强协作。无线办公是云计算技术、通信技术与终端硬件技术融合的产物，成为超越电脑无纸化办公、互联网远程化办公之后的新一代办公模式。对于无线办公的未来发展前

4、景，无线办公是大势所趋。企业管理者及员工可通过业务管理平台可创建与管理各种业务报表生成数据上报或查询业务，并随时随地完成办公流程及文件审批等操作。企业的员工可以通过手机或是移动终端程序实时的将各种业务数据按照企业管理者定义好的格式进行填报或查询。并且企业管理者可以将员工上报的数据在管理平台中进行统计分析或查询，也可以导出到各种类型报表后再进行处理。通过采用无线办公系统企业可快速具备开展移动商务的能力。员工可以不受时间与地点的限制随时随地的使用手机与公司总部进行数据交互，并可直接将末端信息汇总送达顶层，减少信息的中间传递环节，使整个企业的数据流和业务流高速运转全面提升企业的整体工作效率。从而使企

5、业信息系统直接跨入移动信息化时代，享受以人为中心的移动信息系统所带来的高效、便捷、人性化的用户体验，真正实现无纸化办公。三、发明内容本发明设计原则：移动终端（手机、平板电脑）在任何情况下都不能直接与无线访问控制服务器系统建立直接访问通道，所有移动应用业务全部由无线访问控制服务器实现。移动终端只能与无线访问控制服务器服务器建立连接（通过公共3G或WiFi无线网络），由无线访问控制服务器实现移动应用协议转换及数据交换。整套系统网关是通过标准服务器加管理软件实现，前端的移动终端和后台的服务器，构成了一套完整的无线网络安全访问控制平台，如图所示：（1）提供无线应用安全管理功能，实现3G无线互联网移动终

6、端及内网系统之间的安全受控数据转发。提供基于移动终端IME唯一硬件标识码的身份识别管理及访问权限控制功能模块，达到硬件标识码识别率为100%；（2）提供移动终端访问行为审计，日志历史追溯的功能，所有的访问记录均可保留，有效追溯访问行为；（3）针对智能客户端，系统提供数据推送服务，基于TCP/IP协议的网络传输机制，全程实现数据基于RSA公私钥模式的数据加密，根据客户端不同的数据请求，实现移动应用业务与原有企业网之间的接口及协议转换，并完成数据转发； 移动终端APP客户端 提供一个统一的移动终端APP客户端程序。作为单一的移动客户端，是用户和网络、应用的唯一交互界面，简洁的客户端可降低管理和维护

7、复杂度。同时，APP客户端是一个安全的移动办公工作台。（1）可实现终端硬件和使用者身份（账号）的绑定功能，并可将终端硬件信息、使用者账号、当前设备获取的IP地址等信息发送到无线应用安全管理平台；（2）APP客户端通过账号和手机硬件一对一的绑定，绑定后的账号只能在这个终端设备上使用，把APP客户端安装到其他未授权终端上，则账号和密码失效，系统无法登录；（3）可实现细致的权限管理功能，通过终端设备和账号验证后，可控制移动办公APP中的各种功能模块是否针对该账号和设备可用。移动办公APP客户端中所涵盖的各种功能模块（如OA、各类报表、商情信息等）并不是是对所有用户开放，可根据账号和绑定的设备，对具体

8、的某项应用功能做限制，允许某些功能能够使用，其它的功能限制使用； （4）所有的数据信息全部在移动终端上在线浏览查阅，不允许用户下载各类数据文件到终端上保存；（5） 发生设备丢失或员工离职，为了防止数据泄密，必须向运维管理部门办理设备挂失或设备清退，无线访问控制服务器将解除该终端设备及其对应账号的绑定关系，并将该终端设备设置为未授权状态。该终端设备上的移动办公APP客户端将失效，无法登录系统，设备上没有任何相关数据保留，做到安全保密； （6）针对公司敏感岗位的管理人员，定制基于安卓系统的手机，并预装入智能移动APP客户端，并且可根据用户需求，预装其它企业应用程序，定制手机可禁止安装个人应用，包括

9、能上什么网也可以根据需求严格限定的。 （7）通过移动终端APP客户端，可以实现对用户的上网行为的审计。 专用WiFi无线网络访问控制专用WiFi无线网络与通信公司网络实现受控互联，并配备智能网关与移动应用服务器实现联动，由移动应用服务器根据授权终端设备与其绑定的使用者账号验证情况动态为移动终端设备下发安全路由策略，以实现对移动终端设备授权接入专用WiFi网络的完全动态控制。 （1）用户通过移动终端获取专用WiFi无线网络IP地址，并通过移动办公APP客户端进行网络登录。WiFi无线网络网关将根据移动应用服务器的身份验证结果对该移动终端进行动态路由策略分配，确保移动终端设备经过系统验证授权后可以接入网络，同时还能识别接入WiFi网络的设备是否是手机、平板、笔记本、PC机（配置无线网卡）等设备类型，根据要求严格杜绝未授权手机、平板电脑及任何笔记本、PC等设备接入该WiFi无线网络。 （2）WiFi无线网络会与移动终端设备建立实时心跳连接，随时监控接入无线网络的移动终端在线情况，当该移动终端设备离开WiFi无线网络覆盖范围导致心跳连接中断后，网关系统会自动将动态路由策略删掉，以确保无线网络