BYOD企業(yè)移動(dòng)設(shè)備管理技術(shù)

錢(qián)煜明 董振江 呂達(dá) 王蔚

提出了中興通訊自帶設(shè)備辦公（BYOD）解決方案。方案在終端層、接入層、控制層、應(yīng)用分別解決企業(yè)面臨的設(shè)備安全管理、應(yīng)用安全管理及數(shù)據(jù)安全問(wèn)題。終端層提供BYOD安全套件；接入層提供信令媒體接入網(wǎng)關(guān)和統(tǒng)一接入控制服務(wù)，提供移動(dòng)設(shè)備安全接入服務(wù)，并提供統(tǒng)一的設(shè)備鑒權(quán)認(rèn)證及用戶鑒權(quán)認(rèn)證；控制層用于控制移動(dòng)用戶及設(shè)備的行為模式；應(yīng)用層用于提供具體的企業(yè)移動(dòng)服務(wù)，包括通用的企業(yè)通信服務(wù)、企業(yè)辦公應(yīng)用支撐、虛擬桌面、企業(yè)網(wǎng)盤(pán)，以及企業(yè)業(yè)務(wù)相關(guān)的移動(dòng)應(yīng)用。

攜帶自己設(shè)備辦公；移動(dòng)設(shè)備管理；移動(dòng)應(yīng)用管理；安全策略；環(huán)境感知

This article describes ZTEs bring your own device （BYOD） solutions to device security management， application security management， and data security management at the terminal layer， access layer， and control layer. The terminal layer provides a BYOD security set. The access layer contains an access gateway and unified access control， which provides secure access for mobile devices and unified device and user authentication. At the control layer， mobile user and device behaviors are controlled. The application layer provides specific enterprise mobile services， including general business communications， corporate office application support， virtual desktop， enterprise network disk， and enterprise business-related mobile applications.

BYOD； MDM； MAM； security policy； scenario detection

隨著移動(dòng)Wi-Fi/3G/LTE網(wǎng)絡(luò)的快速發(fā)展、智能移動(dòng)終端日益普及和性能的極大提升，移動(dòng)應(yīng)用和服務(wù)不斷豐富，移動(dòng)辦公具備了條件。員工攜帶自己的設(shè)備辦公——自帶設(shè)備辦公（BYOD），帶來(lái)了全新的辦公體驗(yàn)：工作靈活、效率提升、企業(yè)成本節(jié)省。BYOD已成為未來(lái)企業(yè)發(fā)展的趨勢(shì)、業(yè)界的熱點(diǎn)。根據(jù)Forrester公司的統(tǒng)計(jì)數(shù)據(jù)顯示，2012年，37%的企業(yè)允許員工用自己的手機(jī)接入公司網(wǎng)絡(luò)，34%的企業(yè)允許員工的平板接入，比2011年增長(zhǎng)34%和30%。Gartner公司的報(bào)告中在對(duì)北美1 000家知名企業(yè)和學(xué)校的調(diào)研中，有72%的企業(yè)支持BYOD，15%計(jì)劃支持BYOD。預(yù)計(jì)到2014年，將有90%的企業(yè)支持BYOD，到2016年，38%企業(yè)停止提供辦公設(shè)備，2017年50%員工自帶設(shè)備上班。

BYOD帶來(lái)便利的同時(shí)，也對(duì)企業(yè)IT提出了如下的嚴(yán)峻挑戰(zhàn)：

（1）安全的挑戰(zhàn)

·企業(yè)員工的自有移動(dòng)終端不可避免地運(yùn)行在不安全的外部網(wǎng)絡(luò)，在采用網(wǎng)頁(yè)瀏覽、下載應(yīng)用、收發(fā)郵件等方式訪問(wèn)公司信息時(shí)，容易遭受惡意攻擊，很可能感染病毒或者被種植“木馬”，移動(dòng)終端再接入企業(yè)內(nèi)部網(wǎng)絡(luò)，會(huì)對(duì)內(nèi)部網(wǎng)絡(luò)安全構(gòu)成極大威脅，同時(shí)可能導(dǎo)致企業(yè)內(nèi)部的敏感數(shù)據(jù)被竊取。

·員工在設(shè)備上任意下載和安裝消費(fèi)類應(yīng)用，會(huì)降低系統(tǒng)的可靠性，引入安全風(fēng)險(xiǎn)，造成企業(yè)數(shù)據(jù)丟失或設(shè)備功能失效。

·智能移動(dòng)設(shè)備便攜性高、易丟失或被竊，會(huì)導(dǎo)致敏感商業(yè)信息的泄漏，對(duì)數(shù)據(jù)安全構(gòu)成極大威脅，還會(huì)給企業(yè)帶來(lái)法規(guī)遵從的風(fēng)險(xiǎn)。此外，移動(dòng)終端會(huì)被惡意或者被他人非授權(quán)使用，產(chǎn)生拷貝、下載或打印企業(yè)內(nèi)部敏感資料的風(fēng)險(xiǎn)。

（2）管理復(fù)雜度的挑戰(zhàn)

BYOD下企業(yè)需要員工使用移動(dòng)設(shè)備安全地訪問(wèn)企業(yè)網(wǎng)絡(luò)的內(nèi)部資源，能夠跨物理、虛擬、移動(dòng)和云環(huán)境自由地共享數(shù)據(jù)。如何統(tǒng)一管控眾多非統(tǒng)一標(biāo)準(zhǔn)、分散各處的移動(dòng)終端，在減少管理移動(dòng)設(shè)備復(fù)雜度的同時(shí)，降低企業(yè)部署成本，避免企業(yè)機(jī)密數(shù)據(jù)外泄，是一個(gè)重大挑戰(zhàn)。它對(duì)IT管理員的工作增加了巨大的復(fù)雜性，IT管理員疲于應(yīng)對(duì)各種安全問(wèn)題，為每種安全問(wèn)題考慮和購(gòu)買(mǎi)最新的工具，其中包括移動(dòng)設(shè)備管理、系統(tǒng)漏洞管理、數(shù)據(jù)加密保護(hù)等安全解決方案，這些最新工具和現(xiàn)有的反惡意軟件技術(shù)捆綁在一起，讓IT管理員管理網(wǎng)絡(luò)更為復(fù)雜。

（3）基礎(chǔ)設(shè)施擴(kuò)展的挑戰(zhàn)

如何簡(jiǎn)單、快捷地實(shí)現(xiàn)企業(yè)業(yè)務(wù)向移動(dòng)環(huán)境的遷移和部署，避免復(fù)雜的自開(kāi)發(fā)帶來(lái)的高成本，幫助企業(yè)IT部門(mén)應(yīng)對(duì)復(fù)雜的移動(dòng)環(huán)境已成為一大挑戰(zhàn)。BYOD改變了整個(gè)IT生態(tài)系統(tǒng)，特別是無(wú)線接入時(shí)，如何有效地部署企業(yè)無(wú)線網(wǎng)絡(luò)，解決動(dòng)態(tài)可擴(kuò)展問(wèn)題。如很多用戶攜帶多個(gè)移動(dòng)設(shè)備，不少設(shè)備會(huì)保持長(zhǎng)連接，定期“醒來(lái)”連接到網(wǎng)絡(luò)來(lái)檢查電子郵件和執(zhí)行其他定期更新，將使無(wú)線網(wǎng)絡(luò)接入點(diǎn)飽和成為一個(gè)普遍的問(wèn)題，帶來(lái)各種安全管理設(shè)施的增加與完善問(wèn)題，而且各種企業(yè)應(yīng)用的移植，需要同時(shí)解決用戶體驗(yàn)一致性問(wèn)題。這些挑戰(zhàn)是BYOD時(shí)代所特有的，采用傳統(tǒng)的方式很難得到解決。

1 BYOD需求分析

狹義的BYOD特指解決企業(yè)辦公移動(dòng)化所引發(fā)的移動(dòng)安全管理，包括移動(dòng)內(nèi)容安全，設(shè)備安全以及應(yīng)用安全。廣義的BYOD包括所有與企業(yè)移動(dòng)化相關(guān)的動(dòng)作。BYOD的內(nèi)涵如圖1所示。

1.1 企業(yè)業(yè)務(wù)移動(dòng)化的層次

企業(yè)對(duì)于業(yè)務(wù)移動(dòng)化，可分為3個(gè)層次需求，如圖2所示。

（1）第一層次需求

第一層次需求為通用辦公需求。完成業(yè)務(wù)移動(dòng)化的基礎(chǔ)需求，主要內(nèi)容包括：基本協(xié)同辦公需求，如郵件、內(nèi)部IM（即時(shí)消息）、公告、新聞、文檔查看/分發(fā)/管理、在線打印、BBS等；實(shí)時(shí)通信需求，如內(nèi)部IP電話、會(huì)議電話、視頻會(huì)議、數(shù)據(jù)共享、共享白板等。該層次需求是各企業(yè)的共性需求，與業(yè)務(wù)關(guān)系不密切。目前大多企業(yè)集中在第一層次。

（2）第二層次需求

第二層次需求為企業(yè)應(yīng)用移動(dòng)化需求。將企業(yè)特定的工作流由原來(lái)的桌面拓展到移動(dòng)設(shè)備，提供基于移動(dòng)終端的企業(yè)應(yīng)用。典型場(chǎng)景如倉(cāng)庫(kù)人員巡檢、出入庫(kù)管理、物流管理、銷售人員的銷售管理/簽到、領(lǐng)導(dǎo)的移動(dòng)公務(wù)審批、出差人員的差旅管理、交警現(xiàn)場(chǎng)執(zhí)法等等。這些辦公事項(xiàng)是與崗位具體業(yè)務(wù)流程密切相關(guān)，需要定制，并具有天然的移動(dòng)業(yè)務(wù)辦公需求，能極大提升辦公效率。一些通用的企業(yè)應(yīng)用HR、財(cái)務(wù)、IT系統(tǒng)等的移動(dòng)化也屬于第二層次需求。

（3）第三層次需求

第三層次需求為移動(dòng)設(shè)備永遠(yuǎn)在線、場(chǎng)景感知、業(yè)務(wù)隨場(chǎng)景平滑切換需求。第三層次是部分先進(jìn)企業(yè)或高安全性單位，企業(yè)需要全天候監(jiān)測(cè)員工的動(dòng)向，在企業(yè)高安全性場(chǎng)景，可以通過(guò)策略設(shè)置或者定制終端等綜合手段，強(qiáng)制在公司內(nèi)網(wǎng)、Wi-Fi/LTE/3G等移動(dòng)狀態(tài)、外部互聯(lián)網(wǎng)環(huán)境下執(zhí)行與互聯(lián)網(wǎng)等環(huán)境下動(dòng)態(tài)靈活的實(shí)施不同的安全網(wǎng)絡(luò)策略。例如有一些與企業(yè)部分安全級(jí)別高的密切相關(guān)的應(yīng)用只容許在特定工作場(chǎng)所（甚至是特定終端）啟用，而禁止在其他使用互聯(lián)網(wǎng)環(huán)境使用。隨著企業(yè)安全意識(shí)的提升和精細(xì)化管理的需求，實(shí)施第三層次的BYOD管理迫在眉睫，已成為必然的選擇。

1.2 移動(dòng)安全需求

業(yè)界一致認(rèn)為安全問(wèn)題是阻礙BYOD實(shí)施的主要問(wèn)題[1]，主要包括3方面：

（1）網(wǎng)絡(luò)接入安全

傳統(tǒng)的企業(yè)網(wǎng)絡(luò)相對(duì)封閉，有統(tǒng)一的網(wǎng)絡(luò)入口和出口，所有進(jìn)出內(nèi)部網(wǎng)絡(luò)的流量均可以被完全控制。隨著B(niǎo)YOD的實(shí)施，原來(lái)固定在企業(yè)內(nèi)部訪問(wèn)的終端設(shè)備，有部分設(shè)備需直接接入到公網(wǎng)中，脫離了企業(yè)原來(lái)的管控。如何保障在公共網(wǎng)絡(luò)的設(shè)備能夠安全、可靠、可信地訪問(wèn)企業(yè)服務(wù)成為一大問(wèn)題。今后企業(yè)業(yè)務(wù)部署到公有云環(huán)境會(huì)成為普遍現(xiàn)象[2]，這時(shí)無(wú)論是服務(wù)端還是客戶端有可能都脫離傳統(tǒng)的企業(yè)局域網(wǎng)范圍，網(wǎng)絡(luò)的接入安全問(wèn)題將更為突出。

（2）數(shù)字內(nèi)容安全

在傳統(tǒng)的PC機(jī)上，所有的內(nèi)容均物理位于企業(yè)范圍內(nèi)，可以通過(guò)各種物理和管理防護(hù)手段確保內(nèi)容安全。移動(dòng)設(shè)備上數(shù)字內(nèi)容如何保證安全就困難多了，更危險(xiǎn)的是移動(dòng)設(shè)備容易遺失或被第三方竊取，如何能夠保證用戶身份失效后數(shù)據(jù)也失效，就成為一個(gè)關(guān)鍵的安全問(wèn)題。BYOD對(duì)于內(nèi)容安全的基本需求如下：

·保證在移動(dòng)設(shè)備上的數(shù)據(jù)是加密存儲(chǔ)的，必須在經(jīng)過(guò)身份認(rèn)證后才能訪問(wèn)。

·設(shè)備遺失時(shí)數(shù)據(jù)可以被遠(yuǎn)程銷毀。

·移動(dòng)設(shè)備上，私人數(shù)據(jù)與公共數(shù)據(jù)必須存儲(chǔ)隔離、訪問(wèn)隔離。

·通用瀏覽器瀏覽的內(nèi)容會(huì)被緩存，因此必須提供安全瀏覽器，保證加密緩存的內(nèi)容。

·所有應(yīng)用保存的文件必須加密處理。

·移動(dòng)設(shè)備數(shù)據(jù)需要同步回云端服務(wù)器。

·阻止木馬病毒竊取資料。

·阻止非法USB接口獲取信息。

（3）設(shè)備安全

移動(dòng)終端設(shè)備因來(lái)源不可控，可能被內(nèi)嵌惡意程序。要確保啟動(dòng)企業(yè)應(yīng)用的設(shè)備環(huán)境是干凈的，無(wú)關(guān)應(yīng)用禁止運(yùn)行。企業(yè)需要對(duì)設(shè)備進(jìn)行管理和控制，確保只有經(jīng)過(guò)IT登記后的設(shè)備才能夠運(yùn)行企業(yè)應(yīng)用。管理人員可隨時(shí)跟蹤設(shè)備的狀態(tài)。設(shè)備的終端操作系統(tǒng)需要可控，有任何漏洞能夠遠(yuǎn)程打補(bǔ)丁。設(shè)備操作日志在合適的場(chǎng)景需要傳送回企業(yè)，確保安全審計(jì)的完整性。用戶丟失設(shè)備后，能夠及時(shí)遠(yuǎn)程鎖定設(shè)備或擦除設(shè)備信息以防公司機(jī)密外泄。

（4）傳輸安全

外部網(wǎng)絡(luò)環(huán)境下通信本身是不安全的，無(wú)線信號(hào)可能被截取，數(shù)字通信可能被中間的路由設(shè)備截取/篡改。在不安全的網(wǎng)絡(luò)中要安全地使用企業(yè)服務(wù)，需要在移動(dòng)終端與企業(yè)間構(gòu)建一條安全的傳輸通道。移動(dòng)通信有自己的特點(diǎn)，如信號(hào)不穩(wěn)定、網(wǎng)絡(luò)經(jīng)常中斷、終端耗電量要求等，導(dǎo)致傳統(tǒng)互聯(lián)網(wǎng)安全通道技術(shù)如VPN在移動(dòng)互聯(lián)網(wǎng)并不適用。

（5）應(yīng)用安全

企業(yè)應(yīng)用必須在安全的環(huán)境下運(yùn)行，才能保證應(yīng)用的可信性。新BYOD方案更加重視移動(dòng)應(yīng)用管理，只管理設(shè)備上的企業(yè)內(nèi)容和應(yīng)用，而非整個(gè)設(shè)備，提高員工效率同時(shí)保護(hù)隱私。企業(yè)對(duì)于應(yīng)用安全有如下要求：應(yīng)用必須通過(guò)安全的渠道分發(fā)，確保不被發(fā)行過(guò)程篡改或注入非法代碼—企業(yè)需要提供安全的應(yīng)用商店。企業(yè)應(yīng)用能夠擁有完善的生命周期管理，從應(yīng)用的分發(fā)，安裝，到使用，升級(jí)，銷毀都能夠做到全生命周期監(jiān)控。應(yīng)用啟動(dòng)過(guò)程需要對(duì)環(huán)境進(jìn)行檢測(cè)，典型的企業(yè)應(yīng)用需要獨(dú)立入口訪問(wèn)，數(shù)據(jù)與其他個(gè)人應(yīng)用能夠完全隔離。

1.3 企業(yè)應(yīng)用的移動(dòng)化整合

僅僅擁有BYOD系統(tǒng)是不足以完成企業(yè)移動(dòng)化改造的，必須對(duì)企業(yè)辦公系統(tǒng)進(jìn)行全面整合，才能夠適應(yīng)企業(yè)移動(dòng)辦公的要求，這個(gè)就是企業(yè)BYOD的外延，如圖3所示。

企業(yè)應(yīng)用移動(dòng)化，必須解決以下幾個(gè)問(wèn)題：

（1）IT策略整合

企業(yè)需要將移動(dòng)設(shè)備與傳統(tǒng)IT設(shè)備整合管理。一個(gè)用戶只需在一個(gè)地方設(shè)置一套固定策略，即可以統(tǒng)一管理歸屬于該用戶的所有設(shè)備資源，保證新增BYOD系統(tǒng)對(duì)已有IT投資的侵入性最小，能夠兼容整合各種企業(yè)策略管理方案。

（2）用戶身份系統(tǒng)整合

大部分企業(yè)都有內(nèi)部系統(tǒng)的單次登陸鑒權(quán)系統(tǒng)（SSO），對(duì)應(yīng)企業(yè)的組織架構(gòu)管理、群組管理、權(quán)限管理，用戶僅需要登錄一次就可以無(wú)縫地訪問(wèn)所有IT設(shè)施。BYOD系統(tǒng)為了保證對(duì)現(xiàn)有系統(tǒng)的無(wú)侵入性，必須提供適當(dāng)?shù)挠脩糸_(kāi)放能力接口，通過(guò)用戶數(shù)據(jù)或者接口同步，第一時(shí)間反映企業(yè)用戶關(guān)系、組織關(guān)系的變化，并能夠與其他IT設(shè)施協(xié)同工作。

（3）郵件系統(tǒng)整合

傳統(tǒng)的郵件訪問(wèn)都是通過(guò)瀏覽器或PC客戶端，郵件移動(dòng)化要求解決郵件及時(shí)推送到終端的問(wèn)題。傳統(tǒng)的郵件移動(dòng)化都是依賴專業(yè)的服務(wù)公司（如運(yùn)營(yíng)商及手機(jī)服務(wù)商）提供安全可靠的郵件推送服務(wù)。大規(guī)模的企業(yè)應(yīng)用移動(dòng)化不應(yīng)過(guò)分依賴于這些運(yùn)營(yíng)商及服務(wù)商，自建郵件推送平臺(tái)能夠更好地與企業(yè)郵件系統(tǒng)相互融合，或提供一些獨(dú)到的企業(yè)增值服務(wù)。

（4）Web應(yīng)用/企業(yè)應(yīng)用遷移

每個(gè)企業(yè)都有大量的定制或外購(gòu)Web應(yīng)用及企業(yè)應(yīng)用。為了業(yè)務(wù)移動(dòng)化，必須要將一部分Web業(yè)務(wù)/企業(yè)PC應(yīng)用遷移到手機(jī)，這是企業(yè)BYOD項(xiàng)目中難度最大的內(nèi)容。對(duì)于Web應(yīng)用，目前有一些中間件系統(tǒng)可以協(xié)助遷移，能夠部分減少工作量。企業(yè)PC應(yīng)用有兩種做法：移動(dòng)虛擬桌面方式，企業(yè)應(yīng)用不需改造，但對(duì)移動(dòng)設(shè)備的屏幕大小和分辨率有要求，太小了用戶體驗(yàn)會(huì)很槽糕；開(kāi)放接口二次開(kāi)發(fā)，這種方式效果較好，但工作量大。

（5）融合通信/會(huì)議系統(tǒng)

企業(yè)辦公移動(dòng)化后，IM終端需要支持移動(dòng)設(shè)備，提供數(shù)據(jù)實(shí)時(shí)推送能力及短信喚醒能力。會(huì)議系統(tǒng)如會(huì)議電話、桌面共享、電子白板、會(huì)議電視等也需要支持移動(dòng)終端接入。

（6）文檔管理

企業(yè)業(yè)務(wù)移動(dòng)化后，一方面?zhèn)鹘y(tǒng)大量的PC文檔需要能夠被移動(dòng)終端獲取、閱讀、修改。另一方面移動(dòng)終端會(huì)生成大量電子文檔，需要由服務(wù)端統(tǒng)一管理、備份、復(fù)制。對(duì)于移動(dòng)文檔管理需要提供對(duì)應(yīng)的終端加密技術(shù)，保證存儲(chǔ)在終端設(shè)備內(nèi)的文檔只有該終端是可讀的，即使泄漏出去也無(wú)法被其他設(shè)備讀取。這就涉及到DRM及移動(dòng)加密文件系統(tǒng)技術(shù)。

（7）社交與協(xié)作

企業(yè)內(nèi)的社交/協(xié)作工具，需要移動(dòng)終端與PC或Web進(jìn)行企業(yè)內(nèi)的互動(dòng)。如果需要遷移，方法與Web應(yīng)用/企業(yè)應(yīng)用遷移類似，可以通過(guò)移動(dòng)Web中間件或開(kāi)放接口方式進(jìn)行社交及協(xié)作服務(wù)遷移。

2 BYOD關(guān)鍵技術(shù)分析

下面介紹BYOD實(shí)施過(guò)程中需要用到的關(guān)鍵技術(shù)

2.1 數(shù)據(jù)安全技術(shù)

公鑰基礎(chǔ)設(shè)施（PKI）是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺(tái)，它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書(shū)管理體系。簡(jiǎn)單來(lái)說(shuō)，PKI就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI體系的核心是證書(shū)中心（CA）。通過(guò)CA統(tǒng)一生成證書(shū)，注銷證書(shū)，并通過(guò)各級(jí)RA實(shí)現(xiàn)證書(shū)的安全發(fā)放。用戶收到的證書(shū)包括公鑰和私鑰。每一對(duì)公鑰和私鑰可以完整認(rèn)證使用者的身份信息。PKI體系在BYOD中有重要作用，可以使用證書(shū)建立安全套接層-虛擬私有網(wǎng)絡(luò)（SSL-VPN）安全通道，如圖4所示。

SSL-VPN對(duì)比傳統(tǒng)VPN而言是一種輕量級(jí)的VPN[3-4]，在客戶端和服務(wù)端各設(shè)置一個(gè)代理服務(wù)。由代理服務(wù)負(fù)責(zé)建立安全套接層（SSL）通道，然后將應(yīng)用需要交互的數(shù)據(jù)通過(guò)加密SSL通道發(fā)送到對(duì)端，對(duì)端解密后交還給對(duì)應(yīng)的服務(wù)或終端。服務(wù)端的SSL-VPN由于需要面向大量終端的請(qǐng)求，一般使用獨(dú)立設(shè)備實(shí)現(xiàn)，而終端側(cè)一般將代理打包進(jìn)應(yīng)用，作為一個(gè)獨(dú)立的進(jìn)程，接收應(yīng)用利用應(yīng)用編程接口（API）發(fā)來(lái)的數(shù)據(jù)包，通過(guò)安全套接層管道發(fā)送給SSL-VPN網(wǎng)關(guān)設(shè)備。

使用證書(shū)進(jìn)行內(nèi)容簽名的過(guò)程如圖5所示。

為了保證數(shù)字內(nèi)容的真實(shí)性不被篡改，需要在內(nèi)容后附帶一個(gè)加密指紋。加密指紋是使用密鑰，對(duì)于內(nèi)容進(jìn)行校驗(yàn)后用私鑰加密，接收方使用公鑰驗(yàn)證內(nèi)容是否與簽名符合。

使用證書(shū)進(jìn)行數(shù)字內(nèi)容加密。與簽名流程類似，但目的不一樣，簽名是為了保證內(nèi)容不被篡改，加密是為了保證只有擁有合法密鑰的用戶才能夠閱讀。因此加密使用的是密鑰對(duì)中的公鑰對(duì)內(nèi)容進(jìn)行加密處理，生成密文后，只有通過(guò)合適的私鑰才能夠順利解開(kāi)密文。

2.2 策略管理技術(shù)

安全的策略管理包含幾部分內(nèi)容，如圖6所示。

·策略的定義與管理，這部分與傳統(tǒng)IT策略相同，移動(dòng)策略的4要素分別是時(shí)間、地點(diǎn)、應(yīng)用/系統(tǒng)/能力、權(quán)限。

·策略下發(fā)。將策略定義編碼后下發(fā)到終端，終端解碼后獲取策略。目前這部分標(biāo)準(zhǔn)有兩種：TR069和OMA DM。標(biāo)準(zhǔn)定義了策略交換協(xié)議及編碼格式。我們建議使用標(biāo)準(zhǔn)方式進(jìn)行策略下發(fā)，這對(duì)于第三方比較友好，而且很多終端設(shè)備已經(jīng)支持了這種設(shè)備管理協(xié)議。

·策略的執(zhí)行。下發(fā)后的策略必須在終端設(shè)備執(zhí)行才能夠使對(duì)應(yīng)的策略生效。在終端上有策略執(zhí)行引擎，不同操作系統(tǒng)下策略執(zhí)行引擎會(huì)有差別。

·執(zhí)行結(jié)果的反饋。策略執(zhí)行完成后還需要進(jìn)行反饋驗(yàn)證，確保策略已經(jīng)生效。管理員也能夠通過(guò)反饋通道隨時(shí)查詢到終端當(dāng)前的策略狀態(tài)。

·狀態(tài)統(tǒng)計(jì)與報(bào)告。在服務(wù)端需要定期統(tǒng)計(jì)策略執(zhí)行情況并生成安全報(bào)告。

2.3 環(huán)境感知技術(shù)

能夠有效地進(jìn)行環(huán)境感知是BYOD實(shí)施第三階段的前提條件。環(huán)境感知含義就是通過(guò)終端的各種傳感器，如麥克風(fēng)、攝像頭、加速度計(jì)、GPS、Wi-Fi接入點(diǎn)信息、3G信號(hào)場(chǎng)強(qiáng)等等，能夠判別出用戶所處環(huán)境并設(shè)置對(duì)應(yīng)策略。

單純通過(guò)這些傳感器進(jìn)行判斷還是相當(dāng)困難的，目前比較好的做法是采用用戶標(biāo)記及服務(wù)端輔助識(shí)別方式[5]。實(shí)現(xiàn)過(guò)程如下：

·事先在特定場(chǎng)所進(jìn)行環(huán)境變量采樣，將采樣的環(huán)境變量生成環(huán)境描述特征矩陣保存在服務(wù)端。

·移動(dòng)設(shè)備進(jìn)入預(yù)定義場(chǎng)所后，搜集傳感器信號(hào)，生成特征矩陣。

·移動(dòng)設(shè)備將采樣特征矩陣傳送給服務(wù)端，進(jìn)行比較。

·服務(wù)端比較移動(dòng)終端采樣特征矩陣與事先獲取的環(huán)境描述矩陣進(jìn)行適配，識(shí)別出移動(dòng)終端是否處于特定環(huán)境下。

·服務(wù)端將識(shí)別結(jié)果及對(duì)應(yīng)策略下發(fā)到移動(dòng)終端。

·移動(dòng)終端根據(jù)策略執(zhí)行相應(yīng)設(shè)定。

2.4 應(yīng)用隔離技術(shù)

移動(dòng)應(yīng)用在終端運(yùn)行過(guò)程中，需要確保首先應(yīng)用本身處于安全運(yùn)行環(huán)境，外界除非通過(guò)接口，否則無(wú)法干預(yù)應(yīng)用的運(yùn)行過(guò)程；其次應(yīng)用生成的數(shù)據(jù)只有應(yīng)用自己及可信的其他應(yīng)用可以進(jìn)行訪問(wèn)，非可信應(yīng)用無(wú)法訪問(wèn)。

對(duì)于移動(dòng)應(yīng)用隔離有3類方法

（1）操作系統(tǒng)層面

在Android操作系統(tǒng)中針對(duì)企業(yè)應(yīng)用設(shè)立一個(gè)安全層，安全層運(yùn)行的軟件與其他軟件隔離，即使手機(jī)受到病毒入侵，也無(wú)法訪問(wèn)獲取安全層的數(shù)據(jù)，安全層內(nèi)的應(yīng)用和數(shù)據(jù)可以通過(guò)授權(quán)的服務(wù)遠(yuǎn)程控制及銷毀。黑莓也提供類似功能。

（2）應(yīng)用層隔離

手機(jī)內(nèi)駐留一個(gè)BYOD應(yīng)用作為設(shè)備管理器權(quán)限運(yùn)行，該應(yīng)用可以管理手機(jī)內(nèi)其他應(yīng)用及策略。通過(guò)該應(yīng)用可以阻止非授權(quán)第三方應(yīng)用運(yùn)行，以及配置相關(guān)的應(yīng)用訪問(wèn)策略。另外，這種場(chǎng)景一般會(huì)寫(xiě)一個(gè)企業(yè)獨(dú)立的Launcher，該Launcher啟動(dòng)后只能夠看到企業(yè)應(yīng)用，而看不到第三方應(yīng)用，從而達(dá)到入口隔離的目的。

（3）應(yīng)用內(nèi)安全隔離

應(yīng)用訪問(wèn)本地存儲(chǔ)不直接寫(xiě)明文文件，而是通過(guò)加密函數(shù)寫(xiě)入密文。其他企業(yè)應(yīng)用使用相同的密鑰后，可以讀取密文并轉(zhuǎn)換回明文。非授權(quán)應(yīng)用沒(méi)有密鑰，沒(méi)有辦法讀取加密文件。

2.5 用戶與設(shè)備認(rèn)證技術(shù)

傳統(tǒng)的接入安全和訪問(wèn)控制多是以單次認(rèn)證為主，即僅在接入或者進(jìn)入企業(yè)信息系統(tǒng)內(nèi)部時(shí)，驗(yàn)證一次用戶的權(quán)限。在BYOD移動(dòng)辦公環(huán)境下，接入設(shè)備或者服務(wù)面臨數(shù)量眾多，不斷加入和離開(kāi)系統(tǒng)的各種設(shè)備，單次認(rèn)證是不夠的。設(shè)備可以通過(guò)已經(jīng)獲得認(rèn)證授權(quán)的端口、服務(wù)或設(shè)備進(jìn)入系統(tǒng)內(nèi)部，從而繞過(guò)接入控制的限制。非法用戶可以用這種方法獲得授權(quán)用戶的權(quán)限，對(duì)系統(tǒng)的安全造成嚴(yán)重威脅。如802.1X提供端口認(rèn)證，這在設(shè)備相對(duì)固定的情況下可以很好的保證接入安全，而在BYOD移動(dòng)辦公環(huán)境中，可能有很多設(shè)備不停地進(jìn)入到一個(gè)端口對(duì)應(yīng)的范圍。這種情況下，一個(gè)已通過(guò)一次性認(rèn)證的端口可能會(huì)被偽裝設(shè)備欺騙，并賦予對(duì)應(yīng)的設(shè)備訪問(wèn)企業(yè)內(nèi)網(wǎng)的權(quán)限。

用戶所持的移動(dòng)設(shè)備通常在經(jīng)過(guò)一次認(rèn)證，就獲得了持續(xù)訪問(wèn)企業(yè)內(nèi)網(wǎng)信息系統(tǒng)的權(quán)限。而移動(dòng)設(shè)備本身的訪問(wèn)控制不高，通常沒(méi)有安全保護(hù)（如使用簡(jiǎn)單的滑動(dòng)鎖）或僅有弱保護(hù)（如使用9點(diǎn)屏幕鎖）。同時(shí)，移動(dòng)設(shè)備很容遺失或被盜。在這種情況下，獲得移動(dòng)設(shè)備本身訪問(wèn)權(quán)限的人，可簡(jiǎn)單的繞過(guò)高級(jí)別的安全措施，并通過(guò)移動(dòng)設(shè)備，以移動(dòng)設(shè)備原擁有者的訪問(wèn)企業(yè)內(nèi)部信息系統(tǒng)。

綜上所述，要保證BYOD移動(dòng)辦公系統(tǒng)安全，必須提供對(duì)用戶身份持續(xù)驗(yàn)證技術(shù)。

對(duì)于移動(dòng)用戶與設(shè)備認(rèn)證，需要解決兩個(gè)問(wèn)題：設(shè)備可信、操作者可信。目前一般采用雙因子認(rèn)證或多因子認(rèn)證方式保證。設(shè)備加入企業(yè)網(wǎng)后，企業(yè)根據(jù)設(shè)備信息生成一對(duì)密鑰，其中私鑰以加密方式分發(fā)到設(shè)備，設(shè)備就與該私鑰綁定，可以通過(guò)密鑰交換策略認(rèn)證設(shè)備的可信性。

人員可信相對(duì)困難一些，最簡(jiǎn)單是通過(guò)輸入密碼來(lái)驗(yàn)證用戶身份。但為了達(dá)到持續(xù)驗(yàn)證目的，必然要求用戶定期輸入密碼，用戶體驗(yàn)很糟糕。頻繁的驗(yàn)證必須是被動(dòng)的，并且對(duì)用戶透明，否則會(huì)由于過(guò)于突兀和不方便而不能被用戶接受。

用戶的生理特征可以用來(lái)識(shí)別用戶，而且通常與具體的用戶緊密相關(guān)并難以偽造，因此一種可能的方法是使用生物識(shí)別技術(shù)。生物識(shí)別技術(shù)可以大致分為基于生理特征的生物識(shí)別和基于行為的生物識(shí)別[6]。移動(dòng)終端可識(shí)別的生理特征包括指紋、容貌、聲紋等，這些可以通過(guò)攝像頭、麥克風(fēng)等采集并進(jìn)行驗(yàn)證。

2.6 移動(dòng)桌面共享技術(shù)

通過(guò)移動(dòng)桌面共享能夠有效解決BYOD環(huán)境下，傳統(tǒng)PC客戶端應(yīng)用移植到移動(dòng)設(shè)備的問(wèn)題，并具備相當(dāng)程度的安全性。桌面共享目前主要基于VNC協(xié)議或RDP協(xié)議，需要重點(diǎn)解決的問(wèn)題是：帶寬占用、響應(yīng)的實(shí)時(shí)性。Windows桌面可采用RDP協(xié)議，傳送的是指令而非像素，帶寬占用較少，但對(duì)于Liunx等其他桌面選擇Tight壓縮VNC更合適。對(duì)于不需要交互的場(chǎng)景，可以選擇使用流媒體方式。在服務(wù)端將桌面信息轉(zhuǎn)換為媒體流，傳送到移動(dòng)終端進(jìn)行播放。該方案優(yōu)點(diǎn)是帶寬占用少，缺點(diǎn)是延遲較大。

關(guān)鍵技術(shù)包括：多用戶協(xié)同（白板/遠(yuǎn)程運(yùn)維下的桌面共享/會(huì)議情況下桌面共享）、服務(wù)器對(duì)大并發(fā)的支持、對(duì)不同瀏覽器的兼容、對(duì)更多工具/協(xié)議的支持、審計(jì)（屏幕錄像）。

2.7 RTCWeb實(shí)時(shí)多媒體通信技術(shù)

移動(dòng)設(shè)備品牌、型號(hào)、操作系統(tǒng)眾多，接入方式各異，支持的編碼格式也不同。解決BYOD異構(gòu)環(huán)境下的通信成為一個(gè)難題?；赪EB服務(wù)的RTCWeb輕量級(jí)多媒體通信成為BYOD環(huán)境下異構(gòu)通信的較好解決方案[7]。RTCWeb將多媒體協(xié)議做進(jìn)瀏覽器中，使用瀏覽器就能夠進(jìn)行電視電話會(huì)議、聊天、語(yǔ)音通話等，無(wú)需插件。一次開(kāi)發(fā)可以在多操作系統(tǒng)多終端使用，升級(jí)維護(hù)只需在服務(wù)側(cè)完成，對(duì)于移動(dòng)應(yīng)用來(lái)說(shuō)這是個(gè)非常適合的技術(shù)，能夠有效減少對(duì)于多種終端媒體格式編碼解碼的適配工作量。

3 中興通訊的BYOD解決

方案

針對(duì)企業(yè)移動(dòng)設(shè)備管理及企業(yè)應(yīng)用移動(dòng)化需求，中興通訊提供了完善的企業(yè)級(jí)BYOD解決方案，如圖7所示。

中興通訊的BYOD解決方案分為4個(gè)層次，解決企業(yè)BYOD面臨的設(shè)備安全管理、應(yīng)用安全管理及數(shù)據(jù)安全問(wèn)題。

（1）終端層

提供BYOD安全套件，包括企業(yè)應(yīng)用商店客戶端、MDM駐留服務(wù)、安全瀏覽器、企業(yè)安全場(chǎng)景切換工具、安全SDK等基礎(chǔ)功能組件，以及辦公應(yīng)用組件和企業(yè)應(yīng)用APP。能夠自動(dòng)根據(jù)企業(yè)場(chǎng)景切換可用應(yīng)用列表，企業(yè)應(yīng)用可以使用SDK建立安全SSL-VPN鏈接并進(jìn)行用戶統(tǒng)一的鑒權(quán)認(rèn)證。使用安全瀏覽器安全地訪問(wèn)企業(yè)內(nèi)部網(wǎng)站而不泄漏信息。

（2）接入層

提供信令媒體接入網(wǎng)關(guān)和統(tǒng)一接入控制服務(wù)，提供移動(dòng)設(shè)備安全接入服務(wù)，并提供統(tǒng)一的設(shè)備鑒權(quán)認(rèn)證及用戶鑒權(quán)認(rèn)證。接入層進(jìn)行數(shù)據(jù)加密服務(wù)，將內(nèi)部網(wǎng)絡(luò)非加密的網(wǎng)絡(luò)請(qǐng)求通過(guò)SSL-VPN轉(zhuǎn)換為安全加密通道發(fā)送到企業(yè)終端。

（3）控制層

用于控制移動(dòng)用戶及設(shè)備的行為模式。控制層提供企業(yè)應(yīng)用生命周期管理、應(yīng)用下發(fā)、升級(jí)及銷毀（MAM）、企業(yè)統(tǒng)一策略管理及下發(fā)、移動(dòng)設(shè)備管理監(jiān)控、用戶日志回收、企業(yè)統(tǒng)一用戶管理及用戶證書(shū)發(fā)放/回收。

（4）應(yīng)用層

用于提供具體的企業(yè)移動(dòng)服務(wù)，包括通用的企業(yè)通信服務(wù)、企業(yè)辦公應(yīng)用支撐、虛擬桌面、企業(yè)網(wǎng)盤(pán)，以及企業(yè)業(yè)務(wù)相關(guān)的移動(dòng)應(yīng)用。這些移動(dòng)應(yīng)用服務(wù)統(tǒng)一通過(guò)接入層接入，通過(guò)控制層分發(fā)并在終端上執(zhí)行。

中興通訊的BYOD解決方案較為完善地解決了當(dāng)前BYOD實(shí)施過(guò)程中存在各種關(guān)鍵問(wèn)題，是為用戶帶來(lái)部署簡(jiǎn)單、實(shí)施快捷經(jīng)濟(jì)、使用體驗(yàn)更佳的新一代BYOD方案。

4 結(jié)束語(yǔ)

企業(yè)員工自己攜帶設(shè)備辦公，為企業(yè)帶來(lái)了新的辦公體驗(yàn)，能夠有效提升企業(yè)效率，但也隨之帶來(lái)一系列IT管理問(wèn)題。目前BYOD領(lǐng)域新問(wèn)題新技術(shù)不斷涌現(xiàn)，還需要持續(xù)的研究，進(jìn)一步的完善。在企業(yè)實(shí)施BYOD的過(guò)程中，需要遵循循序漸進(jìn)的原則，從成熟技術(shù)開(kāi)始實(shí)施，并逐步積累相關(guān)技術(shù)及管理經(jīng)驗(yàn)，才能打造完整安全易用的企業(yè)無(wú)線辦公環(huán)境，讓員工和企業(yè)真正受益。

參考文獻(xiàn)

[1] MILLER K W， VOAS J， HURLBURT G F. BYOD： Security and Privacy Considerations [EB/OL]. [2013-08-21]. http：//ieeexplore.ieee.org/xpl/articleDetails.jsp？arnumber=6320585.

[2] LIU L， MOULIC R， SHEA D. Cloud Service Portal for Mobile Device Management [EB/OL]. [2013-06-25]. http：//libra.msra.cn/Publication/51021625.

[3] 馬軍鋒. SSL VPN技術(shù)原理及其應(yīng)用 [J]. 電信網(wǎng)技術(shù)， 2005，08：6-8.

[4] 周敬利，曾海鵬. SSL VPN服務(wù)器關(guān)鍵技術(shù)研究 [J]. 計(jì)算機(jī)工程與科學(xué)， 2005，06：7-9.

[5] 張艷紅. 云計(jì)算在移動(dòng)環(huán)境下的多融合服務(wù)研究 [J]. 電信工程技術(shù)與標(biāo)準(zhǔn)化， 2009，11：8-11.

[6] KHAN M K， ZHANG J S， WANG X M. Chaotic hash-based fingerprint biometric remote user authentication scheme on mobile devices [EB/OL]. [2013-09-11]. http：//www.sciencedirect.com/science/article/pii/S1084804509001192.

[7] ISOMAKI M. RTCweb Considerations for Mobile Devices July2012. [EB/OL]. [2013-07-16]. http：//tools.ietf.org/html/draft-isomaki-rtcweb-mobile-00.