虚拟化移动办公平台的架构及安全控制方案
来源:数字技术与应用杂志 更新时间:2014-01-22
 
针对虚拟化移动办公,本文首先把移动办公系统分成五个部分:移动终端、移动通信网络、移动接入区、安全隔离、企业信息网,并对每个部分进行分析;其次,主要从虚拟专用网络、身份认证、数据传输、系统机制等方面提出详细的安全控制方案;最后,对本文的主要内容进行总结。本文的创新点:一、详细地介绍了十种认证方式,并给出了推荐;二、提出并分析了五种系统安全机制方案。
  1、引言
  为了使用户能够随时随地的进行信息交流,利用移动终端易携带、随时上网的特点,将办公系统完全移植到移动终端,可以很大的提高工作效率和工作水平,有效地进行科学管理,增大企业的竞争力。移动办公实现后,工作人员可以直接通过手机处理公文、查看信息、收看邮件和通知等。这种新的办公模式打破了传统办公存在的各种缺陷和问题,逐渐成为未来办公的发展趋势。实现这种新的办公模式,必须有一种新的技术,打破传统办公的各种缺陷及存在的问题,使各种应用完全移植到智能终端,而不改变人们的使用习惯。
  应用虚拟化技术的出现,使得移动办公得以实现,但是同时又面临着安全方面的问题,一旦智能终端丢失或是内部数据被截获,都会使企业面临无法估计的损失。因此,移动办公的安全成为企业更加关注的问题。
  2、虚拟化移动办公的原理及架构
  2.1 应用虚拟化
  应用虚拟化的基本原理:分离应用程序的计算和显示逻辑,即界面抽象化,而不用在用户端安装软件。当用户访问虚拟化后的应用时,用户端计算机只需把用户端人机交互数据传送给服务器端,由服务器端为用户开设独立的会话来运行应用程序的计算逻辑,并把处理后的显示逻辑传送回用户端,从而使得用户获得如同在本地运行应用程序一样的体验感受。
 130344025796830845_new.jpg (789×309)
 
  虚拟化移动办公的核心思想是将应用系统尽可能完整地从移动终端中分离出来。移动终端不需要安装任何应用软件,而是在移动应用发布平台的服务器上安装虚拟化软件和各种办公软件。所有数据都在应用发布平台上运行和处理,移动终端只显示应用运行的界面和屏幕刷新的方式,而移动终端也仅向平台发送键盘、鼠标的操作信息。
  2.2 虚拟化移动办公的架构
  如图1所示,我们将虚拟化移动办公架构分成五个部分:移动终端、移动通信网络、移动接入区、安全隔离、企业信息网网。
  (1)移动终端:移动终端处于企业办公区域之外,企业无法对移动用户或终端进行控制,因此,终端设备很容易受到病毒、木马等攻击,数据容易丢失,安全性比较低。
  (2)移动通信网络:根据网络架构、协议及网络标示的特点,选择安全可靠的移动接入方式,对移动通信网络采取必要的安全措施,可保证稳定可靠传输服务、减少安全风险、防止对企业安全接入及应用系统的攻击。
  (3)移动接入区:接入域包括防火墙、交换机、应用发布服务器、网关、设备认证管理、鉴别评估系统、监控管理、应用代理等。企业办公之外的终端都不能直接与内部域直接建立通信,都必须与移动接入域先建立通信,再由接入域代理通信。一旦发生恶意的攻击,也只能威胁到接入域中的设备,造成的损失很小。
  (4)安全隔离:网闸控制移动接入区与企业内网的网络通信,移动接入区的应用服务器不能与企业应用系统服务器直接进行通信,而是通过网闸对B/S应用通道进行HTTP协议剥离和内容过滤,实现移动接入区和企业信息网之间的数据安全交换。
  (5)企业信息网:企业信息网的设备包括路由器、服务器、应用系统、存储设备、数据等。由于企业的所有核心系统和数据都在企业内部域中,所以对此部分的安全性要求最高。为了实现以上移动办公架构的安全设计,下面主要从移动终端、移动通信网络、认证方式、数据传输安全、系统机制五个方面探讨移动办公的安全控制方案。
  3、安全控制方案
  3.1 网络安全
  除了通过防火墙、网闸等硬件设备保证网络的安全外,还可建立虚拟专用网提高企业数据传输的安全性。
  虚拟专用网(VPDN)技术:又称为虚拟专用拨号网,是VPN业务的一种。它通过在公用网中建立数字加密的虚拟专用隧道,达到与租用专线联网相当的专用通讯效果,并与单位内部网络相同的虚拟网(VPN)连接。获得身份认证的用户可以通过VPDN访问单位内部网,而公用网上未经许可的用户则无法访问。流动办公人员的电脑以任何物理通信线路连接公用网后可用VPDN方式与单位内部网联网。
  通过使用VPN技术,减少了企业信息被泄漏、窃取和篡改的安全风险,防止了对企业应用系统的攻击,提高了企业的可管理性,是一种有效的网络安全隔离措施。
  3.2 身份认证
  移动终端的认证方式有很多,如手机绑定、用户名密码、手机硬件特征码等,了进一步提高移动终端的安全性,也可将多种认证方式进行组合认证。
  3.2.1 手机绑定
  手机绑定是指手机串码和SIM卡的卡号绑定的用户,只能在绑定的手机上使用,机卡分离后不能使用。如果手机丢失,服务端则将手机串码从白名单中删除。
  3.2.2 用户名密码
  用户名密码是指用户账户与密码都固定的保存在后台服务器中。当用户登录系统时,输入自己的用户名和密码,系统通过核对用户输入的用户名、密码与系统内已有的合法用户信息是否匹配,来验证用户的身份。
  用户名密码验证的安全是依赖于数据库和认证函数的安全性,一旦数据库中存储的注册信息和认证函数被攻击或泄露,则后果不堪设想。
  3.2.3 动态口令认证
  动态口令认证是根据专门的算法生成一个不可预测的随机数字组合,每个密码只能使用一次,每次使用的密码由动态令牌产生。当启用短信认证功能后,移动办公人员通过浏览器接入请求认证时,网关会发一条包含随机序列号的短信到该用户手机。只要输入手机短信中正确的序列号,就可以安全地访问公司的内部资源。
  3.2.4 CA数字证书认证
  CA数字证书安装在移动客户端和服务器端,由CA签发和管理,采用非对称算法保证信息加密性、完整性、不可抵赖性,是进行身份验证的一种权威性电子文档。
  3.2.5 USBKey方式
  USBK ey方式是将移动用户的安全策略存储在类似U盘的USBKey(又名DKEY)中。移动客户端安装好客户端软件后,只需要插入DKEY,输入自己的密码就可以完成接入,这样就解决了客户端配置难的问题,实现了零配置,如同使用银行取款机一样安全方便。
  3.2.6 终端加密卡
  安全智能TF卡是用于对PDA、智能终端数据进行安全处理的TF卡,与终端配合工作。
  安全智能TF卡经国家密码管理局安全审查通过,配用SM1算法。安全TF卡提供的主要密码服务包括:
  (1)用于存储个人数字身份证书和签名私钥,为移动终端提供数字签名、签名验证和数据加解密等密码服务;
  (2)用于实现SM1算法和密钥管理,为移动终端提供基于SM1算法的数据加解密服务。
  智能手机/PDA终端配备了安全智能TF卡,安装安全客户端软件后,将具备以下功能:用户识别功能、信息安全存储功能、密码学运算功能、信息加解密封装、SM1密钥协商。
  3.2.7 硬件特征码认证
  硬件特征码就是手机固有的串号,VPN客户端连接成功前,需要通过安全检查程序对客户机进行安全检查。通过安全检查程序,完成对客户机硬件信息的提取,并生成特征码,并与VPN安全检查服务器上保存的特征码进行比对,只有一致时策略检查才算通过。一个账号可以设置对应一个硬件特征码(即只允许一个移动终端登陆)或几个硬件特征码(即允许一个账户使用固定的几台终端登陆)。
  3.2.8 SIM卡认证
  SIM卡叫用户识别卡,用来登记用户的重要数据和信息,用户的所有资料都保存在后台服务器中。当用户登录系统时,输入的SIM信息与存储在后台服务器中的数据进行比对,若为合法用户才可进行下一步操作。
  3.2.9 生物特征认证
  生物特征认证是根据每个人独一无二的生物特征来验证身份的技术,一般有指纹识别、脸部特征识别等。这种技术是根据物理特征来识别每个人的身份,安全性最高,但是由于目前生物特征识别技术还不够成熟,成本比较高,所以生物特征认证还具有较大的局限性。
  3.2.10 混合认证
  为了使认证体系更加的完善,可以将客户端的认证方式进行选择组合,最大限度地保证接入用户的合法性和企业内网资源的安全。可将用户名密码、数字证书认证、USBkey认证、终端加密卡认证、硬件特征码认证、SIM卡认证中的其中两种或三种认证方式进行绑定。
  通过以上对不同认证方式的分析,本文将推荐以下两种混合认证方式:(1)用户名、SIM卡与数字证书混合认证;(2)用户名与终端加密卡。
  3.3 数据传输安全
  数据内容采用256位AES高强度的数据加密体制,AES(高级加密标准)是目前业内公认的最安全对称密码算法。传输线路采用SSL(安全套接层)通道加密技术。SSL技术是通过CA数字证书,在移动终端与服务器端建立一条安全的网络传输通道以确保系统的整体安全。
  3.4 系统安全控制
  (1)分级分权管理:根据企业内部的管理形式,分为管理员和普通用户。管理员分为超级管理员和受限管理员,不同级别的管理员角色不同,然后根据每个用户的角色进行权限划分,设置每个用户能够访问的资源。基于分级分权的管理,为企业网络提供了较强的安全性。
  (2)终端访问控制:限制用户的系统登录时间,只有在规定的时间内才能登录VPN接入系统;限制系统登录IP和接入线路IP,保证接入的安全性。
  (3)防穷举攻击:允许用户每次登录尝试输入密码为三次,若连续三次输入密码错误,系统将自动断开与用户的连接,防止攻击者对用户密码的穷举攻击。
  (4)用户超时/过期控制:设置账号的有效期,有效期过后,则账号失败,用户无法继续登录;用户如果在指定的时间未操作,则注销该用户。
  (5)日志审计:移动办公系统对用户的操作进行记录和严格的审计,保证管理员能够实时的查看接入用户信息、访问的资源记录。同时也能对日志进行分析,对非法用户或用户的非法操作进行告警。
  4、结语
  本文的重点内容是从不同的方面提出虚拟化移动办公的安全控制方案:网络安全控制,主要是建立虚拟专用网络以及防火墙、网闸等安全隔离设备;移动终端安全,详细地介绍了动态口令、数字证书、硬件特征码、混合认证等多种认证方式;数据传输安全,通过AES数据加密和SSL通道加密两种方式,保证数据传输的安全;系统安全机制,提出了分级分权管理、终端访问控制、防穷举攻击、用户超时/过期控制、日志审计,并分别对其进行介绍。
  通过本文的安全控制方案,解决了企业移动办公的安全性问题,提高了企业的办公效率,同时也促进了更多行业领域对虚拟化移动办公的利用。