(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210917334.X (22)申请日 2022.08.01 (71)申请人 中国银行股份有限公司 地址 100818 北京市西城区复兴门内大街1 号 (72)发明人 李超艳　李谞玥　刘中豪　 (74)专利代理 机构 北京三友知识产权代理有限 公司 11127 专利代理师 汤在彦　沈珍珠 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 移动终端接入企业内网的控制方法及装置 (57)摘要 本发明公开了一种移动终端接入企业内网 的控制方法及装置， 涉及大数据技术领域， 其中 该方法包括： 接收移动终端的网络接入请求； 比 对网络接入请求中的网络接入信息与网络接入 控制服务器中同步的准许接入网络的用户数据， 进行网络接入认 证； 比对网络接入请求中用户身 份信息与安全网关中同步的企业内网身份认证 系统的认证用户身份信息， 进行用户身份信息认 证； 从预先配置的全局安全策略获取用户身份信 息对应的功能权限， 对移动终端接入企业内网能 够执行的功能进行用户权限信息认证； 在三种认 证均通过后， 接收移动终端应用接入请求， 通过 建立的加密传输连接， 进行移动终端与企业内网 之间的数据交互。 本发明可以降低网络安全风 险。 权利要求书3页 说明书8页 附图5页 CN 115277237 A 2022.11.01 CN 115277237 A 1.一种移动终端接入企业内网的控制方法， 其特 征在于， 包括： 接收移动终端的网络接入请求， 所述网络接入请求包括用户身份信息和网络接入信 息； 通过比对网络接入请求中的网络接入信息与网络接入控制服务器中同步的准许接入 网络的用户数据， 对网络 接入请求进行网络 接入认证； 通过比对网络接入请求中用户身份信息与安全网关中同步的企业内网身份认证系统 的认证用户身份信息， 对网络 接入请求进行用户身份信息认证； 从预先配置的全局安全策略获取用户身份信 息对应的功能权限， 对移动终端接入企业 内网能够执 行的功能进行用户权限信息认证； 在网络接入认证、 用户身份信息认证、 用户权限信息认证均通过后， 接收移动终端应用 接入请求， 在移动终端与安全网关之间建立加密传输连接， 进行移动终端与企业内网之间 的数据交 互。 2.如权利要求1所述的移动终端接入企业内网的控制方法， 其特征在于， 在接收移动终 端的网络 接入请求之前， 还 包括： 选取操作系统和RADIUS安装文件， 开通无线接入设备与网络接入控制服务器之间的网 络； 所述无线接入设备用于使移动终端接入网络； 设置多个地区的域控服务器， 将多个地区的域控服务器信 息同步至网络接入控制服务 器， 作为网络接入的用户身份认证信息源； 其中， 域控服务器信息包括准许接入网络的用户 数据； 将网络接入控制服务器与无线802.1x网络中的无线控制器进行关联， 开启无线802.1x 网络， 配置全局安全策略。 3.如权利要求1所述的移动终端接入企业内网的控制方法， 其特征在于， 用户身份信 息 包括： 用户名称， 和/或， 用户密码； 网络接入信息包括： 移动终端访问的服 务器地址， 和/或， 移动终端访问的端口地址 。 4.如权利要求1所述的移动终端接入企业内网的控制方法， 其特征在于， 通过比对 网络 接入请求中的网络接入信息与网络接入控制服务器中同步的准许接入网络的用户数据， 对 网络接入请求进行网络 接入认证， 包括： 验证移动终端接入企业内网的共享密钥与网络接入控制服务器预先设置的共享密钥 是否一致； 在共享密钥一致 时， 查询网络接入请求中的网络接入信 息与网络接入控制服务器同步 的准许接入网络的用户数据是否一 致； 在网络接入请求中的网络接入信息与网络接入控制服务器同步的准许接入网络的用 户数据一 致时， 确认网络 接入认证通过。 5.如权利要求 4所述的移动终端接入企业内网的控制方法， 其特 征在于， 还 包括： 在网络接入请求中的网络接入信息与网络接入控制服务器同步的准许接入网络的用 户数据不 一致时， 确认网络 接入认证失败。 6.如权利要求1所述的移动终端接入企业内网的控制方法， 其特征在于， 预先配置的全 局安全策略包括如下 策略其中之一或任意组合： 密码限制、 设备功能性限制、 自带应用程序限制、 云服务限制、 安全与隐私限制、 单应用权　利　要　求　书 1/3 页 2 CN 115277237 A 2模式限制、 存 储加密限制。 7.如权利要求1所述的移动终端接入企业内网的控制方法， 其特征在于， 进行移动终端 与企业内网之间的数据交 互， 包括： 从网络接入请求中的网络 接入信息提取统一资源定位符； 根据统一资源定位符， 识别移动终端所要访问的应用服 务器； 通过安全网关将 企业内网的数据转发至移动终端所要访问的应用服务器， 进行移动终 端与企业内网之间的数据交 互。 8.一种移动终端接入企业内网的控制装置， 其特 征在于， 包括： 请求接收模块， 用于接收移动终端的网络接入请求， 所述网络接入请求包括用户身份 信息和网络 接入信息； 网络接入认证模块， 用于通过比对 网络接入请求中的网络接入信 息与网络接入控制服 务器中同步的准许接入网络的用户数据， 对网络 接入请求进行网络 接入认证； 用户身份信 息认证模块， 用于通过比对 网络接入请求中用户身份信 息与安全 网关中同 步的企业内网身份认证系统的认证用户身份信息， 对网络接入请求进行用户身份信息认 证； 用户权限信 息认证模块， 用于从预先配置的全局安全策略获取用户身份信 息对应的功 能权限， 对移动终端接入企业内网能够执 行的功能进行用户权限信息认证； 数据交互模块， 用于在网络接入认证、 用户身份信息认证、 用户权限信息认证均通过 后， 接收移动终端应用接入请求， 在移动终端与安全网关之间建立加密传输连接， 进 行移动 终端与企业内网之间的数据交 互。 9.如权利要求8所述的移动终端接入企业内网的控制装置， 其特征在于， 还包括配置模 块， 用于请求接收模块接收移动终端的网络 接入请求之前： 选取操作系统和RADIUS安装文件， 开通无线接入设备与网络接入控制服务器之间的网 络； 所述无线接入设备用于使移动终端接入网络； 设置多个地区的域控服务器， 将多个地区的域控服务器信 息同步至网络接入控制服务 器， 作为网络接入的用户身份认证信息源； 其中， 域控服务器信息包括准许接入网络的用户 数据； 将网络接入控制服务器与无线802.1x网络中的无线控制器进行关联， 开启无线802.1x 网络， 配置全局安全策略。 10.如权利要求8所述的移动终端接入企业内网的控制装置， 其特征在于， 用户身份信 息包括： 用户名称， 和/或， 用户密码； 网络接入信息包括： 移动终端访问的服 务器地址， 和/或， 移动终端访问的端口地址 。 11.如权利要求8所述的移动终端接入企业内网的控制装置， 其特征在于， 网络接入认 证模块具体用于： 验证移动终端接入企业内网的共享密钥与网络接入控制服务器预先设置的共享密钥 是否一致； 在共享密钥一致 时， 查询网络接入请求中的网络接入信 息与网络接入控制服务器同步 的准许接入网络的用户数据是否一 致；权　利　要　求　书 2/3 页 3 CN 115277237 A 3