一种基于商用密码的终端MDM管理方法及系统
文献发布时间:2023-06-19 18:37:28
技术领域
本发明实施例涉及但不限于移动终端领域,具体而言,涉及但不限于一种基于商用密码的终端MDM管理方法及系统。
背景技术
在MDM(移动设备管控)中,很多应用场景下要求移动终端与服务端进行数据交互时产生数据传输安全性问题,尤其在警务工作环境下,当前大部分工作由桌面转向了移动端、线下办公转移到了线上办公,在这样的技术趋势背景下,MDM管理过程中产生的优化环境将助推智慧警务走向更多元化的应用场景。
然而,警务系统信息的安全是非常重要的,应该建立完整的网络安全防护机制以适应新时代下智慧警务办公的需求。由于缺少一套严格的认证机制,导致非法用户以及非法设备都能对系统进行访问,终端的安全性失去了保障。这不仅意味着重要信息由泄露的可能,同时,警务系统也面临着遭受不法分子篡改信息的可能,这对公共安全会产生极大的影响。一旦出现问题,会造成很严重的不良社会影响。所以既要实现警务人员移动办公的愿望,同时又要保证公安系统信息的安全,那就必须要对终端接入的安全性进行保障,建立安全可靠的的智慧警务安全机制。
发明内容
为解决上述技术问题,本发明提出了一种基于商用密码的终端MDM管理方法及系统。以解决现有的终端应用环境下的安全问题,通过对用户身份验证和设备验证的双重验证实现终端接入的安全性得到保障。
根据本发明的目的,本发明提出了一种基于商用密码的警务终端MDM管理方法,所述方法包括如下步骤:
MDM客户端接收用户输入的身份信息,对所述身份信息进行验证,若验证成功则向用户返回内容输入界面,基于该界面输入的内容获取类型以及身份信息,生成内容获取请求,通过商用密码算法对该内容获取请求进行加密,生成第一加密信息;
MDM服务端接收所述第一加密信息,通过商用密码算法进行解密,提取出身份信息以及内容获取类型,判断所述内容获取类型是否满足该身份信息的认证请求,若满足,则调取基于该内容获取类型匹配的内容,并返回所述MDM客户端,否则,直接向所述MDM客户端返回拒绝访问的第二响应消息。
优选的,在所述客户端接收用户输入的身份信息进行验证之前的步骤还包括,所述MDM客户端向所述MDM服务端发送设备接入请求,该设备接入请求中携带3A验证终端SIM卡IMSI号和密码,所述MDM服务端接收设备接入请求后进行IMSI号和密码的录入,并生成匹配的访问权限,将所述访问权限返回所述MDM客户端。
优选的,在所述客户端接收用户输入的身份信息进行验证之前的步骤还包括,所述MDM客户端周期性向所述MDM服务端发送设备权限访问请求,所述设备权限访问请求中携带所述MDM客户端标识码,所述MDM服务端接收到所述设备权限访问请求后,提取该访问请求中携带的MDM客户端标识码,并在MDM服务端中的数据表中进行匹配,判断是否更新MDM客户端的访问权限,若发生更新,则基于所述设备权限访问请求向所述MDM客户端返回权限变更的第一响应消息。
优选的,所述基于该界面输入的内容获取类型以及身份信息,生成内容获取请求的步骤之前还包括,接收用户基于界面输入的内容获取类型,并在本地判断该MDM客户端是否具有访问该内容获取类型的访问权限,若不具有该访问权限,则在访问的MDM客户端的界面显示具有访问权限的MDM客户端的标识。
优选的,所述MDM服务端接收所述第一加密信息,通过商用密码算法进行解密,提取出身份信息以及内容获取类型,判断所述内容获取类型是否满足该身份信息的认证请求,若满足,则调取基于该内容获取类型匹配的内容,并返回所述MDM客户端的步骤包括,所述MDM服务端接收所述第一加密信息后,通过商用密码算法进行解密,提取出身份信息以及内容获取类型,在所述MDM服务端进行访问请求轮询,判断该身份信息是否为首次请求内容获取类型,若非首次请求,则直接调用内容获取类型对应的内容,并经过商用密码算法加密后生成第二加密信息,并将所述第二加密信息返回所述MDM客户端。
优选的,判断该身份信息是否为首次请求内容获取类型,若为首次访问请求,则生成基于该首次访问请求的内容数据表,所述内容数据表记录所述身份信息、内容标识以及时间戳。
优选的,所述管理方法还包括,所述MDM服务端实时将所有生成的所述内容数据表存储至内容数据库中,并生成索引,所述索引包括内容中提取的关键词、身份信息以及时间戳。
根据本发明的目的,本发明还提出了一种基于商用密码的警务终端MDM管理系统,所述系统包括:
MDM客户端及MDM服务端,其中,
所述MDM客户端包括:
移动应用app:接收用户输入的身份信息,对所述身份信息进行验证,若验证成功则向用户返回内容输入界面,基于该界面输入的内容获取类型以及身份信息,生成内容获取请求,通过商用密码算法对该内容获取请求进行加密,生成第一加密信息;
移动终端密码模块:用于设置商用密码,通过商用密码算法对其部署的密码进行加解密,并供所述移动应用app调用;
所述MDM服务端包括:
移动应用服务器:接收所述第一加密信息,通过商用密码算法进行解密,提取出身份信息以及内容获取类型,判断所述内容获取类型是否满足该身份信息的认证请求,若满足,则调取基于该内容获取类型匹配的内容,并返回所述MDM客户端;
移动终端密码协作服务端:配合商用密码的加解密过程,进行密钥分割存储以及数字签名的协同运算,并基于所述移动应用app与移动应用服务器的交互实现内容的加密传输以及内容的解密获取过程。
优选的,所述MDM客户端包括权限认证模块,其中,所述权限认证模块包括:
用户权限认证模块,用于接收用户的身份信息录入、身份信息调取以及身份信息认证;
终端网络安全认证模块,用于终端信息录入、终端信息认证以及身份证书的签发和存储。
优选的,所述MDM服务端包括一数据库,用于存储内容数据表、内容、身份信息以及时间戳。
本发明提出了一种基于商用密码的终端MDM管理方法及系统,该方法包括MDM客户端与MDM服务端的数据交互过程,在数据交互过程中通过对请求的消息进行加密,并在服务端的解密实现数据交互过程的安全性,同时,本发明还设置了访问设备的权限认证过程,在用户访问所需要的内容时,根据其权限以及客户端的权限来实现访问请求的双向认证过程,有效的保障了终端接入的安全性,有效提升智慧警务安全机制。
附图说明
图1为本发明提出的基于商用密码的终端MDM管理方法流程图。
具体实施方式
为便于理解,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,一种基于商用密码的警务终端MDM管理方法,所述方法包括如下步骤:
P001.MDM客户端接收用户输入的身份信息,对所述身份信息进行验证,若验证成功则向用户返回内容输入界面;
P002.基于该界面输入的内容获取类型以及身份信息,生成内容获取请求,通过商用密码算法对该内容获取请求进行加密,生成第一加密信息;
P003.MDM服务端接收所述第一加密信息,通过商用密码算法进行解密,提取出身份信息以及内容获取类型;
P004.判断所述内容获取类型是否满足该身份信息的认证请求,若满足,则调取基于该内容获取类型匹配的内容,并返回所述MDM客户端,否则,直接向所述MDM客户端返回拒绝访问的第二响应消息。
在本实施例中,在所述MDM客户端接收用户输入的身份信息进行验证之前的步骤还包括,所述MDM客户端向所述MDM服务端发送设备接入请求,该设备接入请求中携带3A验证终端SIM卡IMSI号和密码,所述MDM服务端接收设备接入请求后进行IMSI号和密码的录入,并生成匹配的访问权限,将所述访问权限返回所述MDM客户端。
在本实施例中,在所述客户端接收用户输入的身份信息进行验证之前的步骤还包括,所述MDM客户端周期性向所述MDM服务端发送设备权限访问请求,所述设备权限访问请求中携带所述MDM客户端标识码,所述MDM服务端接收到所述设备权限访问请求后,提取该访问请求中携带的MDM客户端标识码,并在MDM服务端中的数据表中进行匹配,判断是否更新MDM客户端的访问权限,若发生更新,则基于所述设备权限访问请求向所述MDM客户端返回权限变更的第一响应消息。
在本实施例中,所述基于该界面输入的内容获取类型以及身份信息,生成内容获取请求的步骤之前还包括,接收用户基于界面输入的内容获取类型,并在本地判断该MDM客户端是否具有访问该内容获取类型的访问权限,若不具有该访问权限,则在访问的MDM客户端的界面显示具有访问权限的MDM客户端的标识。
在本实施例中,所述MDM服务端接收所述第一加密信息,通过商用密码算法进行解密,提取出身份信息以及内容获取类型,判断所述内容获取类型是否满足该身份信息的认证请求,若满足,则调取基于该内容获取类型匹配的内容,并返回所述MDM客户端的步骤包括,所述MDM服务端接收所述第一加密信息后,通过商用密码算法进行解密,提取出身份信息以及内容获取类型,在所述MDM服务端进行访问请求轮询,判断该身份信息是否为首次请求内容获取类型,若非首次请求,则直接调用内容获取类型对应的内容,并经过商用密码算法加密后生成第二加密信息,并将所述第二加密信息返回所述MDM客户端。
在本实施例中,判断该身份信息是否为首次请求内容获取类型,若为首次访问请求,则生成基于该首次访问请求的内容数据表,所述内容数据表记录所述身份信息、内容标识以及时间戳。
在本实施例中,管理方法还包括,所述MDM服务端实时将所有生成的所述内容数据表存储至内容数据库中,并生成索引,所述索引包括内容中提取的关键词、身份信息以及时间戳。
根据本发明的目的,本发明提出了一种基于商用密码的警务终端MDM管理系统,所述系统包括:
MDM客户端及MDM服务端,其中,
所述MDM客户端包括:
移动应用app:接收用户输入的身份信息,对所述身份信息进行验证,若验证成功则向用户返回内容输入界面,基于该界面输入的内容获取类型以及身份信息,生成内容获取请求,通过商用密码算法对该内容获取请求进行加密,生成第一加密信息;
移动终端密码模块:用于设置商用密码,通过商用密码算法对其部署的密码进行加解密,并供所述移动应用app调用;
所述MDM服务端包括:
移动应用服务器:接收所述第一加密信息,通过商用密码算法进行解密,提取出身份信息以及内容获取类型,判断所述内容获取类型是否满足该身份信息的认证请求,若满足,则调取基于该内容获取类型匹配的内容,并返回所述MDM客户端;
移动终端密码协作服务端:配合商用密码的加解密过程,进行密钥分割存储以及数字签名的协同运算,并基于所述移动应用app与移动应用服务器的交互实现内容的加密传输以及内容的解密获取过程。
在本实施例中,所述MDM客户端包括权限认证模块,其中,所述权限认证模块包括:
用户权限认证模块,用于接收用户的身份信息录入、身份信息调取以及身份信息认证;
终端网络安全认证模块,用于终端信息录入、终端信息认证以及身份证书的签发和存储。
所述MDM服务端包括一数据库,用于存储内容数据表、内容、身份信息以及时间戳。
对于本领域技术人员而言,显然本发明实施例不限于上述示范性实施例的细节,而且在不背离本发明实施例的精神或基本特征的情况下,能够以其他的具体形式实现本发明实施例。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明实施例的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明实施例内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。系统、装置或终端权利要求中陈述的多个单元、模块或装置也可以由同一个单元、模块或装置通过软件或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。
最后应说明的是,以上实施方式仅用以说明本发明实施例的技术方案而非限制,尽管参照以上较佳实施方式对本发明实施例进行了详细说明,本领域的普通技术人员应当理解,可以对本发明实施例的技术方案进行修改或等同替换都不应脱离本发明实施例的技术方案的精神和范围。