虛擬專(zhuān)用網(wǎng)連接控制系統(tǒng)及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種無(wú)線通信終端的虛擬專(zhuān)用網(wǎng)連接控制技術(shù)���。
【背景技術(shù)】
[0002]盡管移動(dòng)終端具有易于攜帶及移動(dòng)的優(yōu)點(diǎn)���,但因安全上的問(wèn)題而使向公司內(nèi)部業(yè)務(wù)系統(tǒng)的接近被限制性地允許的情況居多�����。由于通常的個(gè)人計(jì)算機(jī)大部分被固定布置于公司內(nèi)部并且僅被用作業(yè)務(wù)專(zhuān)用,因此相對(duì)容易通過(guò)安全程序等設(shè)置來(lái)應(yīng)用安全策略�。然而,對(duì)于移動(dòng)終端而言��,由于大部分是使用個(gè)人所有的終端的自帶設(shè)備(BYOD:Bring Your OwnDevice)形態(tài)�����,因此安全策略的應(yīng)用具有局限性�����,尤其是當(dāng)在公司等機(jī)關(guān)外部通過(guò)移動(dòng)終端來(lái)連接公司內(nèi)部系統(tǒng)時(shí)可能發(fā)生信息泄露的問(wèn)題�����。
[0003]據(jù)此�,現(xiàn)有技術(shù)中�,針對(duì)設(shè)置于移動(dòng)終端的每一個(gè)業(yè)務(wù)用應(yīng)用程序在安全套接層(SSL:Secure Socket Layer)設(shè)定安全連接(Secure Connect1n)��,通過(guò)此來(lái)允許連接到公司內(nèi)部業(yè)務(wù)系統(tǒng)�����。然而���,在這種情況下�,存在各個(gè)業(yè)務(wù)用應(yīng)用程序都需要具備用于連接安全套接層的額外的安全環(huán)境的不便性��。
[0004]為了改善如上所述的問(wèn)題��,最近移動(dòng)終端的操作系統(tǒng)(OS)本身支持安全模式的情況在增加�����。在這種情況下���,移動(dòng)終端在內(nèi)部被分離為一般區(qū)域及安全區(qū)域�,設(shè)置于安全區(qū)域內(nèi)的應(yīng)用程序在一般區(qū)域中是不可以接入的��。經(jīng)過(guò)用于連接安全區(qū)域的額外的認(rèn)證步驟之后�����,移動(dòng)終端會(huì)在安全模式下工作,在安全模式下通過(guò)虛擬專(zhuān)用網(wǎng)(VPN =VirtualPrivate Network)來(lái)提供能夠連接到多種業(yè)務(wù)系統(tǒng)的環(huán)境�����,因此業(yè)務(wù)系統(tǒng)開(kāi)發(fā)者可通過(guò)VPN來(lái)安全地連接到公司內(nèi)部業(yè)務(wù)系統(tǒng)而無(wú)需針對(duì)每個(gè)業(yè)務(wù)用應(yīng)用程序?qū)崿F(xiàn)額外的安全環(huán)境�����。
[0005]此外�,通過(guò)在安全模式下工作中的移動(dòng)終端的VPN來(lái)連接到公司內(nèi)部業(yè)務(wù)系統(tǒng)的情況可分為以下兩種����。第一種為通過(guò)公司內(nèi)部網(wǎng)絡(luò)來(lái)連接的情況,第二種為在外部通過(guò)移動(dòng)通信網(wǎng)或者公共無(wú)線網(wǎng)絡(luò)(Public WiFi)來(lái)連接的情況���。即使是同一種安全模式��,也需要對(duì)終端處于公司內(nèi)部的情況和處于公司外部的情況的安全支持級(jí)別加以區(qū)分���。原因在于,在公司外部有可能將安全上的重要文件給外部人看����,而且也無(wú)法排除外部人使用終端的情況����。
[0006]【現(xiàn)有技術(shù)文獻(xiàn)】
[0007]【專(zhuān)利文獻(xiàn)】
[0008]韓國(guó)公開(kāi)專(zhuān)利公報(bào)第10-2008-0072004 號(hào)(2008.08.05.)
【發(fā)明內(nèi)容】
[0009]本發(fā)明的實(shí)施例旨在提供一種用于識(shí)別可連接到公司內(nèi)部業(yè)務(wù)系統(tǒng)的終端的連接環(huán)境���,并根據(jù)識(shí)別出的連接環(huán)境來(lái)應(yīng)用彼此不同級(jí)別的安全策略的裝置��。
[0010]根據(jù)本發(fā)明的示例性實(shí)施例�,提供一種虛擬專(zhuān)用網(wǎng)連接控制系統(tǒng)����,包括:第一VPN (Virtual Private Network)網(wǎng)關(guān);第二 VPN網(wǎng)關(guān)�����;無(wú)線局域網(wǎng)連接控制服務(wù)器����,感測(cè)通過(guò)所述第一 VPN(Virtual Private Network)網(wǎng)關(guān)而與公司內(nèi)部?jī)?nèi)聯(lián)網(wǎng)處于連接中的無(wú)線通信終端的公司內(nèi)部網(wǎng)絡(luò)連接;VPN設(shè)定變更服務(wù)器���,從所述無(wú)線局域網(wǎng)連接控制服務(wù)器接收所述無(wú)線通信終端的VPN設(shè)定變更請(qǐng)求���,并且根據(jù)所述VPN設(shè)定變更請(qǐng)求將所述無(wú)線通信終端控制為使所述無(wú)線通信終端當(dāng)前連接中的VPN網(wǎng)關(guān)變更為所述第二 VPN網(wǎng)關(guān)����。
[0011]所述虛擬專(zhuān)用網(wǎng)連接控制系統(tǒng)還包括:無(wú)線局域網(wǎng)控制器��,在所述無(wú)線通信終端試圖連接所述公司內(nèi)部網(wǎng)絡(luò)時(shí)�����,認(rèn)證所述無(wú)線通信終端�����;認(rèn)證服務(wù)器���,將用于認(rèn)證所述無(wú)線通信終端的認(rèn)證信息提供給所述無(wú)線局域網(wǎng)控制器,其中�����,所述無(wú)線局域網(wǎng)連接控制服務(wù)器可在由所述無(wú)線局域網(wǎng)控制器完成所述無(wú)線通信終端的認(rèn)證時(shí)判斷為所述無(wú)線通信終端連接到所述無(wú)線網(wǎng)絡(luò)��。
[0012]在完成所述無(wú)線通信終端的認(rèn)證時(shí)�����,所述認(rèn)證服務(wù)器將被認(rèn)證的所述無(wú)線通信終端的所述認(rèn)證信息提供給所述第二 VPN網(wǎng)關(guān)���,所述第二 VPN網(wǎng)關(guān)可利用接收到的所述認(rèn)證信息在所述無(wú)線通信終端連接所述第二 VPN網(wǎng)關(guān)時(shí)認(rèn)證所述無(wú)線通信終端���。
[0013]所述VPN設(shè)定變更服務(wù)器可以是移動(dòng)設(shè)備管理(MDM !Mobile DeviceManagement)服務(wù)器。
[0014]所述MDM服務(wù)器控制包含于所述無(wú)線通信終端的MDM客戶端而將所述無(wú)線通信終端的連接對(duì)象VPN網(wǎng)關(guān)變更為第二 VPN網(wǎng)關(guān)�����。
[0015]所述無(wú)線局域網(wǎng)連接控制服務(wù)器感測(cè)到所述無(wú)線通信終端與所述公司內(nèi)部網(wǎng)絡(luò)的連接中斷時(shí)�����,將所述無(wú)線通信終端的VPN設(shè)定再變更請(qǐng)求發(fā)送到所述VPN設(shè)定變更服務(wù)器���,所述VPN設(shè)定變更服務(wù)器可根據(jù)所述VPN設(shè)定再變更請(qǐng)求將所述無(wú)線通信終端控制為使所述無(wú)線通信終端當(dāng)前連接中的VPN網(wǎng)關(guān)變更為所述第一 VPN網(wǎng)關(guān)���。
[0016]根據(jù)本發(fā)明的另一個(gè)示例性實(shí)施例,提供一種無(wú)線通信終端�,包括:VPN客戶端,連接到第一 VPN (Virtual Private Network)網(wǎng)關(guān)而與所述第一 VPN網(wǎng)關(guān)形成虛擬專(zhuān)用網(wǎng);無(wú)線局域網(wǎng)客戶端�����,執(zhí)行與公司內(nèi)部網(wǎng)絡(luò)之間的無(wú)線網(wǎng)絡(luò)連接����;VPN設(shè)定變更模塊,在所述無(wú)線局域網(wǎng)客戶端的所述無(wú)線網(wǎng)絡(luò)連接完成時(shí)從所述VPN設(shè)定變更服務(wù)器接收包含第二VPN網(wǎng)關(guān)的連接地址的VPN網(wǎng)關(guān)控制請(qǐng)求���,并且根據(jù)接收到的所述VPN網(wǎng)關(guān)控制請(qǐng)求將所述VPN客戶端控制為使所述VPN客戶端當(dāng)前連接中的VPN網(wǎng)關(guān)變更為第二 VPN網(wǎng)關(guān)�。
[0017]所述VPN客戶端可在所述無(wú)線通信終端處于安全模式時(shí)形成所述虛擬專(zhuān)用網(wǎng)��。
[0018]所述VPN設(shè)定變更模塊可以是移動(dòng)設(shè)備管理(MDM:MobiIe Device Management)客戶端��,所述VPN設(shè)定變更服務(wù)器可以是MDM服務(wù)器�。
[0019]所述VPN客戶端可根據(jù)所述VPN設(shè)定變更模塊的控制來(lái)試圖連接到所述第二 VPN網(wǎng)關(guān),并且在所述試圖連接失敗時(shí)重新連接到所述第一 VPN網(wǎng)關(guān)��。
[0020]在所述無(wú)線局域網(wǎng)客戶端與所述無(wú)線網(wǎng)絡(luò)的連接中斷時(shí)�����,所述VPN設(shè)定變更模塊從所述VPN設(shè)定變更服務(wù)器再次接收VPN網(wǎng)關(guān)控制請(qǐng)求���,并且根據(jù)再次接收到的所述控制請(qǐng)求將所述VPN客戶端控制為使所述VPN客戶端當(dāng)前連接中的VPN網(wǎng)關(guān)再次變更為第一VPN網(wǎng)關(guān)�。
[0021]根據(jù)本發(fā)明的另一個(gè)示例性實(shí)施例���,提供一種無(wú)線通信終端���,包括:VPN客戶端,連接到第一 VPN (Virtual Private Network)網(wǎng)關(guān)而與所述第一 VPN網(wǎng)關(guān)形成虛擬專(zhuān)用網(wǎng)���;無(wú)線局域網(wǎng)客戶端�,執(zhí)行與公司內(nèi)部網(wǎng)絡(luò)之間的無(wú)線網(wǎng)絡(luò)連接����,在所述無(wú)線局域網(wǎng)客戶端的所述無(wú)線網(wǎng)絡(luò)連接完成時(shí)將所述VPN客戶端控制為使所述VPN客戶端當(dāng)前連接中的VPN網(wǎng)關(guān)變更為第二 VPN網(wǎng)關(guān)。
[0022]所述VPN客戶端可根據(jù)無(wú)線局域網(wǎng)客戶端的控制來(lái)試圖連接到所述第二 VPN網(wǎng)關(guān)����,并且在所述試圖連接失敗時(shí)重新連接到所述第一 VPN網(wǎng)關(guān)。
[0023]所述無(wú)線局域網(wǎng)客戶端可在與所述公司內(nèi)部網(wǎng)絡(luò)的所述無(wú)線網(wǎng)絡(luò)連接中斷時(shí)��,將所述VPN客戶端控制為使所述VPN客戶端當(dāng)前連接中的VPN網(wǎng)關(guān)再變更為所述第一 VPN網(wǎng)關(guān)�。
[0024]根據(jù)本發(fā)明的另一個(gè)示例性實(shí)施例,提供一種虛擬專(zhuān)用網(wǎng)連接控制方法���,包括如下步驟:無(wú)線局域網(wǎng)連接控制服務(wù)器感測(cè)通過(guò)第一VPN(Virtual Private Network)網(wǎng)關(guān)而與公司內(nèi)部?jī)?nèi)聯(lián)網(wǎng)處于連接中的無(wú)線通信終端的公司內(nèi)部網(wǎng)絡(luò)連接�;VPN設(shè)定變更服務(wù)器從所述無(wú)線局域網(wǎng)連接控制服務(wù)器接收所述無(wú)線通信終端的VPN設(shè)定變更請(qǐng)求;VPN設(shè)定變更服務(wù)器根據(jù)所述VPN設(shè)定變更請(qǐng)求將所述無(wú)線通信終端控制為使所述無(wú)線通信終端當(dāng)前連接中的VPN網(wǎng)關(guān)變更為所述第二 VPN網(wǎng)關(guān)�。
[0025]所述方法還包括如下步驟:在執(zhí)行感測(cè)所述公司內(nèi)部網(wǎng)絡(luò)連接的步驟之前,所述無(wú)線通信終端試圖連接所述公司內(nèi)部網(wǎng)絡(luò)時(shí)�����,無(wú)線局域網(wǎng)控制器從認(rèn)證服務(wù)器接收所述無(wú)線通信終端的認(rèn)證信息����;所述無(wú)線局域網(wǎng)控制器利用接收到的所述認(rèn)證信息來(lái)認(rèn)證所述無(wú)線通信終端,其中����,在感測(cè)所述公司內(nèi)部網(wǎng)絡(luò)連接的步驟中,可在由所述無(wú)線局域網(wǎng)控制器完成所述無(wú)線通信終端的認(rèn)證時(shí)判斷為所述無(wú)線通信終端連接到所述無(wú)線網(wǎng)絡(luò)����。
[0026]所述方法還包括如下步驟:在所述認(rèn)證的步驟之后,所述認(rèn)證服務(wù)器將被認(rèn)證的所述無(wú)線通信終端的所述認(rèn)證信息提供給所述第二 VPN網(wǎng)關(guān)����,其中�����,所述述第二 VPN網(wǎng)關(guān)可利用接收到的所述認(rèn)證信息在所述無(wú)線通信終端連接所述第二 VPN網(wǎng)關(guān)時(shí)認(rèn)證所述無(wú)線通信終端。
[0027]所述無(wú)線局域網(wǎng)連接控制服務(wù)器感測(cè)到所述無(wú)線通信終端與所述公司內(nèi)部網(wǎng)絡(luò)的連接中斷時(shí)�,將所述