移動(dòng)OA系統(tǒng)的安全設(shè)計(jì)

陳軍　歐書琴

摘要：該文主要是研究移動(dòng)平臺(tái)上應(yīng)用系統(tǒng)的安全問(wèn)題，設(shè)計(jì)一種安全架構(gòu)來(lái)解決其訪問(wèn)和數(shù)據(jù)安全傳輸?shù)葐?wèn)題。在移動(dòng)終端上，利用某種安全客戶端軟件建立一條SSL VPN通道，實(shí)現(xiàn)數(shù)據(jù)安全傳輸，并為每一個(gè)移動(dòng)終端發(fā)放唯一的數(shù)字證書來(lái)對(duì)用戶進(jìn)行認(rèn)證，確保授權(quán)用戶正常的訪問(wèn)系統(tǒng)。

關(guān)鍵詞：移動(dòng)OA；信息安全；安全設(shè)計(jì)

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）12-2740-03

Safety Design of Mobile OA System

CHEN Jun， OU Shu-qin

（AnHui Province Statistics Bureau， Hefei 230001， China ）

Abstract： This paper mainly researches the application system security problem in the mobile platform， designs one kind of security construction to solve its problems which login and data security transmission. In the mobile termination， using a kind of security client software to establish SSL VPN channel， realizes the data security transmission， and comes for each mobile termination provide only numeral certificate to the user to carry on the authentication， guarantees the authorized users login system normally.

Key words： mobile OA； information security； safety design

隨著移動(dòng)3G網(wǎng)絡(luò)技術(shù)的發(fā)展，3G網(wǎng)絡(luò)的帶寬也得到很大的提升，各種應(yīng)用系統(tǒng)也能很順暢通過(guò)移動(dòng)3G網(wǎng)絡(luò)來(lái)傳輸數(shù)據(jù)業(yè)務(wù)。近幾年，智能手機(jī)終端迅猛發(fā)展，現(xiàn)在的手機(jī)在性能上已經(jīng)超越了幾年前的電腦，所以越來(lái)越多的應(yīng)用被搬到手機(jī)上來(lái)使用。很多大型企業(yè)和政府機(jī)關(guān)為了滿足移動(dòng)辦公的需要，同事提高辦公效率，于是開發(fā)適用于手機(jī)上使用的移動(dòng)辦公平臺(tái)，我們稱之為移動(dòng)OA。

一般地說(shuō)，OA系統(tǒng)主要是在內(nèi)網(wǎng)中發(fā)布通知通告、內(nèi)部郵件、文件流轉(zhuǎn)等辦公自動(dòng)化系統(tǒng)，所以只有內(nèi)部授權(quán)用戶才能登錄和使用該系統(tǒng)。如果將一個(gè)內(nèi)部的辦公系統(tǒng)發(fā)布到公共網(wǎng)絡(luò)中，系統(tǒng)的安全和權(quán)限的管理必須要得到有效的保證。

1 移動(dòng)終端的安全現(xiàn)狀

目前移動(dòng)終端使用的無(wú)非是谷歌的Android系統(tǒng)和蘋果的ios系統(tǒng)。這兩種系統(tǒng)采取多種安全機(jī)制來(lái)保護(hù)系統(tǒng)不受侵害，保護(hù)手機(jī)中的數(shù)據(jù)不被竊取，但是在商業(yè)利益的驅(qū)使下或者其他原因，攻擊者以各種不同的方式尋找系統(tǒng)漏洞，然后通過(guò)這些系統(tǒng)或者軟件的漏洞來(lái)達(dá)到攻擊的意圖，獲取有用的信息。

以Android系統(tǒng)為例，2009年11月出現(xiàn)的第一個(gè)運(yùn)行在該系統(tǒng)平臺(tái)上的惡意間諜軟件mobile spy，隨后惡意軟件和Android手機(jī)的市場(chǎng)占有份額一樣暴漲。國(guó)內(nèi)最大的手機(jī)安全廠商網(wǎng)秦發(fā)布《2013年上半年網(wǎng)秦全球手機(jī)安全報(bào)告》，2013年上半年查殺到手機(jī)惡意軟件51084款，同比2012年上半年增長(zhǎng)189%；2013年上半年感染手機(jī)2102萬(wàn)部，同比2012年上半年增長(zhǎng)63.8%。

蘋果ios系統(tǒng)和Android系統(tǒng)在設(shè)計(jì)的時(shí)候均采取了一定的安全措施，比如數(shù)字簽名，沙箱技術(shù)，權(quán)限管理等，但是這些是遠(yuǎn)遠(yuǎn)不能阻擋攻擊者的腳步，他們不斷的尋找安全漏洞，再加上很多用戶為了獲得更高的系統(tǒng)權(quán)限將手機(jī)越獄后使用。越獄或者是root后的手機(jī)讓原來(lái)的某些安全機(jī)制失去了作用，比如代碼簽名，沙箱等數(shù)據(jù)保護(hù)的功能。隨著智能手機(jī)用戶的不斷增多，針對(duì)手機(jī)的攻擊將越來(lái)越多，手機(jī)的信息安全會(huì)比計(jì)算機(jī)安全更加重要。

2 基于SSL和身份認(rèn)證的移動(dòng)OA系統(tǒng)

2.1 系統(tǒng)安全架構(gòu)設(shè)計(jì)

目前很多企業(yè)和政府部門把辦公系統(tǒng)擴(kuò)展到移動(dòng)平臺(tái)上，如何做好移動(dòng)終端在數(shù)據(jù)傳輸中的安全問(wèn)題是必須考慮的問(wèn)題。在無(wú)線網(wǎng)絡(luò)中，可以將SSL協(xié)議和身份認(rèn)證技術(shù)相結(jié)合來(lái)達(dá)到授權(quán)用戶的數(shù)據(jù)安全，移動(dòng)OA系統(tǒng)安全架構(gòu)總體設(shè)計(jì)見(jiàn)圖1。

2.2 SSL協(xié)議

SSL（Secure Socket Layer）協(xié)議是netscape公司研發(fā)，使用數(shù)據(jù)加密技術(shù)防止數(shù)據(jù)竊聽(tīng)和截取，保障數(shù)據(jù)在公共網(wǎng)絡(luò)上的傳輸安全。

SSL協(xié)議介于應(yīng)用層和傳輸層之間，它分為SSL記錄協(xié)議和握手協(xié)議，一是建立在TCP之上，為高層協(xié)議提供加密、封裝和壓縮等功能，二是在通訊開始之前進(jìn)行身份認(rèn)證，密鑰交換等功能。

目前，SSL協(xié)議采用40位關(guān)鍵詞的RC4流加密算法，并結(jié)合應(yīng)用層的HTTP被廣泛應(yīng)用在web瀏覽器和服務(wù)器間的安全傳輸協(xié)議，它使用HTTP在下層子層中嵌套SSL協(xié)議組成安全的http安全通道，并且支持x.509數(shù)字認(rèn)證來(lái)完成身份認(rèn)證。

2.3 基于PKI體系的CA認(rèn)證

PKI（Public key Infrastructure）公鑰基礎(chǔ)設(shè)施是提供全面的安全服務(wù)的基礎(chǔ)設(shè)施，包括硬件、軟件、人和策略的集合。它是一種普遍適用的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施，為各種應(yīng)用提供安全服務(wù)，包括認(rèn)證、身份識(shí)別、數(shù)字簽名和加密等。

數(shù)字證書是PKI中最基本的元素，所有的服務(wù)都是通過(guò)它來(lái)實(shí)現(xiàn)。在PKI體系中完成一整套的流程還要包括證書的認(rèn)證機(jī)構(gòu)（CA）、登記和批準(zhǔn)機(jī)構(gòu)（RA）以及存儲(chǔ)證書和發(fā)布服務(wù)。endprint

CA認(rèn)證機(jī)構(gòu)是電子商務(wù)認(rèn)證中心，PKI體系的核心，負(fù)責(zé)簽發(fā)證書和管理數(shù)字證書的權(quán)威機(jī)構(gòu)，并作為電子商務(wù)交易中受信任的第三方，承擔(dān)公鑰體系中公鑰的合法性檢驗(yàn)。

RA是注冊(cè)審核系統(tǒng)，邏輯上CA和RA是一個(gè)整體，系統(tǒng)主要完成證書的注冊(cè)申請(qǐng)，審批和證書管理等功能。除了根CA，每個(gè)下級(jí)CA都有一個(gè)RA機(jī)構(gòu)負(fù)責(zé)本機(jī)CA證書的申請(qǐng)和審核 ，RA機(jī)構(gòu)設(shè)置可以根據(jù)自己的行政管理機(jī)構(gòu)分成下下級(jí)RA或者是業(yè)務(wù)受理點(diǎn)，它們來(lái)負(fù)責(zé)證書申請(qǐng)和審核。

發(fā)布系統(tǒng)是PKI中的重要組成部分，它是由發(fā)布證書和CRL的證書發(fā)布系統(tǒng)、在線服務(wù)系統(tǒng)組成。CRL是采用標(biāo)準(zhǔn)的LDAP協(xié)議分發(fā)到LDAP服務(wù)器上，用來(lái)聲明已吊銷的數(shù)字證書，在線服務(wù)系統(tǒng)是提供給用戶在線注冊(cè)和查詢證書狀態(tài)的。

3 系統(tǒng)安裝和運(yùn)行效果

3.1 客戶端安裝

首先要在移動(dòng)終端上安裝安全客戶端，該客戶端主要一是用來(lái)發(fā)起ssl連接，打通ssl vpn隧道，二是將數(shù)字證書的信息配置到客戶端上，然后通過(guò)安全的ssl vpn通道將身份信息發(fā)送到認(rèn)證中心進(jìn)行認(rèn)證。其次是安裝OA客戶端，提供用戶登錄移動(dòng)辦公平臺(tái)處理公文等事務(wù)?？蛻舳伺渲媒缑嬉?jiàn)圖2。

安全客戶端安裝完成以后，進(jìn)入配置界面，點(diǎn)擊“設(shè)置”，在常規(guī)配置界面里配置服務(wù)器地址和端口，然后選擇加密設(shè)備的類型和個(gè)人的數(shù)字證書，還要輸入證書的密鑰，這里就是口令。退回到啟動(dòng)界面的，點(diǎn)擊“啟動(dòng)”，如果出現(xiàn)圖3的顯示結(jié)果，表示配置成功，能成功建立SSL安全隧道。

3.2 系統(tǒng)運(yùn)行效果

為了提高平臺(tái)的安全性，外部出口是接入到運(yùn)營(yíng)商的3G用戶專網(wǎng)，終端用戶通過(guò)3G網(wǎng)絡(luò)接入專用的APN。新建的APN提供鏈路接入的服務(wù)，但是不能理解成私有網(wǎng)絡(luò)，它仍然可以提供用戶訪問(wèn)其他的網(wǎng)絡(luò)資源，相比公共互聯(lián)網(wǎng)空間，這種網(wǎng)絡(luò)要安全性要提高一些。

用戶在第一次使用的時(shí)候必須根據(jù)設(shè)計(jì)規(guī)范新建一個(gè)專用的APN，用戶要將接入點(diǎn)調(diào)到新建的這個(gè)APN才能通過(guò)3G網(wǎng)絡(luò)訪問(wèn)系統(tǒng)。用戶登錄OA系統(tǒng)前需要將手機(jī)中的數(shù)據(jù)開關(guān)調(diào)試到新建的專用APN接入點(diǎn)，不能用運(yùn)營(yíng)商提供的CTWAP和CTNET接入點(diǎn)，否則安全客戶端不能建立SSL隧道，導(dǎo)致登錄失敗。圖4是沒(méi)有將接入點(diǎn)調(diào)到專用APN的登錄失敗的情況，圖5是登錄成功的界面

4 結(jié)束語(yǔ)

移動(dòng)OA的安全防護(hù)中利用加密技術(shù)和身份認(rèn)證技術(shù)是兩種最常用的手段，但是在手機(jī)登錄OA的過(guò)程中除了要驗(yàn)證用戶的合法性和對(duì)數(shù)據(jù)進(jìn)行加密以外，最好還能在訪問(wèn)內(nèi)部辦公系統(tǒng)的時(shí)候能阻斷手機(jī)的公共通道，提高內(nèi)網(wǎng)的安全，實(shí)現(xiàn)內(nèi)外網(wǎng)隧道分離。

參考文獻(xiàn)：

[1] 孫偉. Android 移動(dòng)終端操作系統(tǒng)的安全分析[J].軟件，2013，34（4）：105-108.

[2] PKI技術(shù)[EB/OL].http：//baike.baidu.com/link？url=LLYEcdaAmkbYWjzglYli6Z7mBkV2-L3g5_oEe_M2pP16NjUTYuHmRK9yI9mtxFQv.

[3] 吳晨剛.基于移動(dòng)終端的企業(yè)信息安全架構(gòu)設(shè)計(jì)與實(shí)現(xiàn)[J].理論研究，2013（5）：83-85.

[4] 尋大勇.SSL VPN 網(wǎng)絡(luò)安全技術(shù)的應(yīng)用研究[J].通信技術(shù)，2009，42（1）：248-250.endprint

CA認(rèn)證機(jī)構(gòu)是電子商務(wù)認(rèn)證中心，PKI體系的核心，負(fù)責(zé)簽發(fā)證書和管理數(shù)字證書的權(quán)威機(jī)構(gòu)，并作為電子商務(wù)交易中受信任的第三方，承擔(dān)公鑰體系中公鑰的合法性檢驗(yàn)。

RA是注冊(cè)審核系統(tǒng)，邏輯上CA和RA是一個(gè)整體，系統(tǒng)主要完成證書的注冊(cè)申請(qǐng)，審批和證書管理等功能。除了根CA，每個(gè)下級(jí)CA都有一個(gè)RA機(jī)構(gòu)負(fù)責(zé)本機(jī)CA證書的申請(qǐng)和審核 ，RA機(jī)構(gòu)設(shè)置可以根據(jù)自己的行政管理機(jī)構(gòu)分成下下級(jí)RA或者是業(yè)務(wù)受理點(diǎn)，它們來(lái)負(fù)責(zé)證書申請(qǐng)和審核。

發(fā)布系統(tǒng)是PKI中的重要組成部分，它是由發(fā)布證書和CRL的證書發(fā)布系統(tǒng)、在線服務(wù)系統(tǒng)組成。CRL是采用標(biāo)準(zhǔn)的LDAP協(xié)議分發(fā)到LDAP服務(wù)器上，用來(lái)聲明已吊銷的數(shù)字證書，在線服務(wù)系統(tǒng)是提供給用戶在線注冊(cè)和查詢證書狀態(tài)的。

3 系統(tǒng)安裝和運(yùn)行效果

3.1 客戶端安裝

首先要在移動(dòng)終端上安裝安全客戶端，該客戶端主要一是用來(lái)發(fā)起ssl連接，打通ssl vpn隧道，二是將數(shù)字證書的信息配置到客戶端上，然后通過(guò)安全的ssl vpn通道將身份信息發(fā)送到認(rèn)證中心進(jìn)行認(rèn)證。其次是安裝OA客戶端，提供用戶登錄移動(dòng)辦公平臺(tái)處理公文等事務(wù)?？蛻舳伺渲媒缑嬉?jiàn)圖2。

安全客戶端安裝完成以后，進(jìn)入配置界面，點(diǎn)擊“設(shè)置”，在常規(guī)配置界面里配置服務(wù)器地址和端口，然后選擇加密設(shè)備的類型和個(gè)人的數(shù)字證書，還要輸入證書的密鑰，這里就是口令。退回到啟動(dòng)界面的，點(diǎn)擊“啟動(dòng)”，如果出現(xiàn)圖3的顯示結(jié)果，表示配置成功，能成功建立SSL安全隧道。

3.2 系統(tǒng)運(yùn)行效果

為了提高平臺(tái)的安全性，外部出口是接入到運(yùn)營(yíng)商的3G用戶專網(wǎng)，終端用戶通過(guò)3G網(wǎng)絡(luò)接入專用的APN。新建的APN提供鏈路接入的服務(wù)，但是不能理解成私有網(wǎng)絡(luò)，它仍然可以提供用戶訪問(wèn)其他的網(wǎng)絡(luò)資源，相比公共互聯(lián)網(wǎng)空間，這種網(wǎng)絡(luò)要安全性要提高一些。

用戶在第一次使用的時(shí)候必須根據(jù)設(shè)計(jì)規(guī)范新建一個(gè)專用的APN，用戶要將接入點(diǎn)調(diào)到新建的這個(gè)APN才能通過(guò)3G網(wǎng)絡(luò)訪問(wèn)系統(tǒng)。用戶登錄OA系統(tǒng)前需要將手機(jī)中的數(shù)據(jù)開關(guān)調(diào)試到新建的專用APN接入點(diǎn)，不能用運(yùn)營(yíng)商提供的CTWAP和CTNET接入點(diǎn)，否則安全客戶端不能建立SSL隧道，導(dǎo)致登錄失敗。圖4是沒(méi)有將接入點(diǎn)調(diào)到專用APN的登錄失敗的情況，圖5是登錄成功的界面

4 結(jié)束語(yǔ)

移動(dòng)OA的安全防護(hù)中利用加密技術(shù)和身份認(rèn)證技術(shù)是兩種最常用的手段，但是在手機(jī)登錄OA的過(guò)程中除了要驗(yàn)證用戶的合法性和對(duì)數(shù)據(jù)進(jìn)行加密以外，最好還能在訪問(wèn)內(nèi)部辦公系統(tǒng)的時(shí)候能阻斷手機(jī)的公共通道，提高內(nèi)網(wǎng)的安全，實(shí)現(xiàn)內(nèi)外網(wǎng)隧道分離。

參考文獻(xiàn)：

[1] 孫偉. Android 移動(dòng)終端操作系統(tǒng)的安全分析[J].軟件，2013，34（4）：105-108.

[2] PKI技術(shù)[EB/OL].http：//baike.baidu.com/link？url=LLYEcdaAmkbYWjzglYli6Z7mBkV2-L3g5_oEe_M2pP16NjUTYuHmRK9yI9mtxFQv.

[3] 吳晨剛.基于移動(dòng)終端的企業(yè)信息安全架構(gòu)設(shè)計(jì)與實(shí)現(xiàn)[J].理論研究，2013（5）：83-85.

[4] 尋大勇.SSL VPN 網(wǎng)絡(luò)安全技術(shù)的應(yīng)用研究[J].通信技術(shù)，2009，42（1）：248-250.endprint

CA認(rèn)證機(jī)構(gòu)是電子商務(wù)認(rèn)證中心，PKI體系的核心，負(fù)責(zé)簽發(fā)證書和管理數(shù)字證書的權(quán)威機(jī)構(gòu)，并作為電子商務(wù)交易中受信任的第三方，承擔(dān)公鑰體系中公鑰的合法性檢驗(yàn)。

RA是注冊(cè)審核系統(tǒng)，邏輯上CA和RA是一個(gè)整體，系統(tǒng)主要完成證書的注冊(cè)申請(qǐng)，審批和證書管理等功能。除了根CA，每個(gè)下級(jí)CA都有一個(gè)RA機(jī)構(gòu)負(fù)責(zé)本機(jī)CA證書的申請(qǐng)和審核 ，RA機(jī)構(gòu)設(shè)置可以根據(jù)自己的行政管理機(jī)構(gòu)分成下下級(jí)RA或者是業(yè)務(wù)受理點(diǎn)，它們來(lái)負(fù)責(zé)證書申請(qǐng)和審核。

發(fā)布系統(tǒng)是PKI中的重要組成部分，它是由發(fā)布證書和CRL的證書發(fā)布系統(tǒng)、在線服務(wù)系統(tǒng)組成。CRL是采用標(biāo)準(zhǔn)的LDAP協(xié)議分發(fā)到LDAP服務(wù)器上，用來(lái)聲明已吊銷的數(shù)字證書，在線服務(wù)系統(tǒng)是提供給用戶在線注冊(cè)和查詢證書狀態(tài)的。

3 系統(tǒng)安裝和運(yùn)行效果

3.1 客戶端安裝

首先要在移動(dòng)終端上安裝安全客戶端，該客戶端主要一是用來(lái)發(fā)起ssl連接，打通ssl vpn隧道，二是將數(shù)字證書的信息配置到客戶端上，然后通過(guò)安全的ssl vpn通道將身份信息發(fā)送到認(rèn)證中心進(jìn)行認(rèn)證。其次是安裝OA客戶端，提供用戶登錄移動(dòng)辦公平臺(tái)處理公文等事務(wù)?？蛻舳伺渲媒缑嬉?jiàn)圖2。

安全客戶端安裝完成以后，進(jìn)入配置界面，點(diǎn)擊“設(shè)置”，在常規(guī)配置界面里配置服務(wù)器地址和端口，然后選擇加密設(shè)備的類型和個(gè)人的數(shù)字證書，還要輸入證書的密鑰，這里就是口令。退回到啟動(dòng)界面的，點(diǎn)擊“啟動(dòng)”，如果出現(xiàn)圖3的顯示結(jié)果，表示配置成功，能成功建立SSL安全隧道。

3.2 系統(tǒng)運(yùn)行效果

為了提高平臺(tái)的安全性，外部出口是接入到運(yùn)營(yíng)商的3G用戶專網(wǎng)，終端用戶通過(guò)3G網(wǎng)絡(luò)接入專用的APN。新建的APN提供鏈路接入的服務(wù)，但是不能理解成私有網(wǎng)絡(luò)，它仍然可以提供用戶訪問(wèn)其他的網(wǎng)絡(luò)資源，相比公共互聯(lián)網(wǎng)空間，這種網(wǎng)絡(luò)要安全性要提高一些。

用戶在第一次使用的時(shí)候必須根據(jù)設(shè)計(jì)規(guī)范新建一個(gè)專用的APN，用戶要將接入點(diǎn)調(diào)到新建的這個(gè)APN才能通過(guò)3G網(wǎng)絡(luò)訪問(wèn)系統(tǒng)。用戶登錄OA系統(tǒng)前需要將手機(jī)中的數(shù)據(jù)開關(guān)調(diào)試到新建的專用APN接入點(diǎn)，不能用運(yùn)營(yíng)商提供的CTWAP和CTNET接入點(diǎn)，否則安全客戶端不能建立SSL隧道，導(dǎo)致登錄失敗。圖4是沒(méi)有將接入點(diǎn)調(diào)到專用APN的登錄失敗的情況，圖5是登錄成功的界面

4 結(jié)束語(yǔ)

移動(dòng)OA的安全防護(hù)中利用加密技術(shù)和身份認(rèn)證技術(shù)是兩種最常用的手段，但是在手機(jī)登錄OA的過(guò)程中除了要驗(yàn)證用戶的合法性和對(duì)數(shù)據(jù)進(jìn)行加密以外，最好還能在訪問(wèn)內(nèi)部辦公系統(tǒng)的時(shí)候能阻斷手機(jī)的公共通道，提高內(nèi)網(wǎng)的安全，實(shí)現(xiàn)內(nèi)外網(wǎng)隧道分離。

參考文獻(xiàn)：

[1] 孫偉. Android 移動(dòng)終端操作系統(tǒng)的安全分析[J].軟件，2013，34（4）：105-108.

[2] PKI技術(shù)[EB/OL].http：//baike.baidu.com/link？url=LLYEcdaAmkbYWjzglYli6Z7mBkV2-L3g5_oEe_M2pP16NjUTYuHmRK9yI9mtxFQv.

[3] 吳晨剛.基于移動(dòng)終端的企業(yè)信息安全架構(gòu)設(shè)計(jì)與實(shí)現(xiàn)[J].理論研究，2013（5）：83-85.

[4] 尋大勇.SSL VPN 網(wǎng)絡(luò)安全技術(shù)的應(yīng)用研究[J].通信技術(shù)，2009，42（1）：248-250.endprint