[发明专利]基于SDN的移动数据安全保护系统及方法

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及基于SDN的移动数据安全保护系统及方法。

背景技术

随着BYOD的兴起，政府、企业使用移动智能终端处理事务的增加，移动智能终端上的数据安全保密性问题越来越受到重视。但在同一台移动智能终端上运行着办公应用和私人应用，一旦移动应用未授权读取及修改政府、企业数据就可能造成政府或企业机密泄露，造成安全威胁。现在急需从移动智能终端上对政府、企业数据的读取、修改、复制、删除操作进行有效控制，确保组织的移动数据的保密性。

我国现有的MDM产品中移动终端数据保护主要有明朝万达的(安元)chinasec移动安全管理平台，主要通过文件加密加VPN安全传输来实现。所有从内部网络发送到移动终端的数据均加密，在移动终端通过产品的客户端输入密码认证后，才可对数据进行操作。

申请号为201110105772.8的发明专利申请揭示了一种基于VPN的移动通讯终端安全访问数据的方法，包括：当数据安全装置在所述移动通讯终端运行时，所述数据安全装置允许所述移动通讯终端访问内部网络，且禁止所述移动通讯终端访问外部网络；当数据安全装置没有在所述移动通讯终端运行时，VPN服务器禁止所述移动通讯终端访问内部网络。该发明还提出了相应的系统。该发明提出的一种基于VPN的移动通讯终端安全访问数据的方法和系统，在移动通讯终端上设置数据安全装置，该数据安全装置结合VPN服务器，使移动通讯终端用户无法在数据安全装置关闭时通过网络将受保护文件发送到外部网络，而运行在数据安全装置上的应用程序也无法通过访问除VPN资源外的网络，将受保护文件发布到外网。

目前此技术对所有通过移动网关传输到移动智能终端的数据都采用加密和VPN的传输方式，并且在终端安装客户端进行控制，不能对数据进行细粒度的区分隔离，并对资源的耗用较大。在此类解决方案中，机密数据需要单个或小范围的指定，然后通过移动网关加密后传输到移动智能终端。用户若遵守行政要求而下载访问企业数据，则相关的数据的安全得不到保障。

我国现有的个人移动终端数据保护主要有腾讯手机管家、360手机安全卫士等产品，均使用文件保密箱的方法。用户将指定的数据放入“保险箱”，当移动应用对这些数据进行访问操作时对此应用进行权限验证(用户输入密码验证)，判别后授权应用对所有数据进行操作，以实现对移动数据保密性的控制。

目前此技术只能实现对数据粗粒度的控制。不仅每个敏感数据都需要用户手动添加到文件保密箱内，而且每次使用该敏感数据时都需要用户手动输入密码。数据的保密性级别十分单调，只分为“保密”、“不保密”这2个级别；数据的保密性也不强，一旦密码泄露或其它应用通过某一移动应用获得数据操作权限，则所有的数据都得不到有效保护；此外这些敏感数据只能在移动终端上得到保护，一旦取得合法权限的应用将其发送到本移动终端之外则不能再对此敏感数据进行保护。

此类解决方案只适用于用户主动的对机密数据进行保护，不适用于政府、企业组织需要强制进行数据保护的应用场景。

专利号为ZL200680052439.2的发明专利描述一种用于向移动单元/终端安全传送医疗数据的方法，其中可通过网络中的中央服务器使用来自患者的定期医生的编码医疗数据。所述方法包括下述步骤：定购编码信息到移动单元/终端的传送，其中请求被发送给中央服务器；在中央服务器中生成包含医疗数据的编码信息，用户验证自身之后，把加密和编码格式的信息从所述服务器传送给移动单元/终端；在移动单元/终端中存储和保护编码信息；把编码信息转换成可读格式，其中用户利用从移动单元/终端发送给服务器的个人代码验证自身，由此在所述服务器中核实所述ID，并且把该编码信息发送给服务器以供解码；和把明文形式的图片从服务器传送给移动单元。

专利号为ZL200510070601.0的发明专利公开了实现移动通信设备的数据安全传输的装置和方法。该装置可以通过无线移动通信设备接口单元可拆卸地连接于GSM或CDMA网无线移动通信设备上。该装置由七部分组成：主控单元，数据编译码CODEC单元，数据压缩编码解码单元，非对称加密单元，对称加密单元，供电单元，无线移动通信设备接口单元等。该装置利用现有的GSM或CDMA无线网络，通过改进的没有CA的PKI非对称密码体制来进行身份认证和会话密钥传递，通过会话密钥对数据进行加密处理，然后将加密后的数据利用网络支持的电路交换数据业务进行传输，同时在接受端进行逆处理，从而实现端对端的保密通信功能。由于对SIM卡的捆绑处理，本发明的特点是即使某一用户的移动通信设备丢失也不会影响整个集团用户的使用。