目前,以智能手機和平板電腦為代表的移動終端產(chǎn)品取得了巨大的發(fā)展,在日常生活中逐漸普及,性能也逐漸可與傳統(tǒng)電腦相媲美。越來越多的企業(yè)基于主流移動終端開發(fā)企業(yè)信息化辦公平臺,不僅提高了企業(yè)的生產(chǎn)效率,同時也解決了異地辦公、應(yīng)急處理等問題,極大增強了企業(yè)的綜合管理能力與競爭力。
目前,企業(yè)信息化系統(tǒng)從網(wǎng)絡(luò)訪問方式劃分,主要分為內(nèi)部網(wǎng)訪問和外部網(wǎng)訪問。通常在企業(yè)內(nèi)部,員工訪問信息化系統(tǒng)基本通過內(nèi)部網(wǎng)訪問。在這種訪問方式下,信息安全的風(fēng)險相對較低,網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)往往經(jīng)過簡單加密,甚至不加密,系統(tǒng)的訪問權(quán)限控制基本依靠用戶名和密碼。在外部網(wǎng)訪問方式下,信息安全的風(fēng)險則高了很多,員工訪問信息化系統(tǒng)則需要使用VPN網(wǎng)絡(luò),或者通過HTTPs協(xié)議,網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)必須經(jīng)過復(fù)雜加密才能保證信息安全。因此,為了更好地利用移動終端為企業(yè)服務(wù),對于大多數(shù)企業(yè)而言,信息安全問題就需要得到妥善解決。針對此種狀況,本文結(jié)合某大型國有航運企業(yè)的移動辦公平臺,提出了一種基于移動終端的企信息安全架構(gòu)。
1.背景知識
1.1 移動終端系統(tǒng)簡介
目前主流移動終端(手機、平板電腦等)的操作系統(tǒng)主要有IOS、Android(安卓)等。
IOS操作系統(tǒng)是由蘋果公司為iPhone手機開發(fā)的操作系統(tǒng),它同時也供iPad和iPod touch使用。IOS的系統(tǒng)架構(gòu)分為4個層次:核心操作系統(tǒng)層、核心服務(wù)層、媒體層、可輕觸層。IOS操作系統(tǒng)擁有極出色的安全性能,這是因為IOS上的每一款應(yīng)用都運行于獨立的“沙盒”之中。在IOS操作系統(tǒng)上開發(fā)應(yīng)用,開發(fā)人員對于界面也無需過多考慮,因為iPhone和iPad的屏幕尺寸很有限。
Android(安卓)操作系統(tǒng)是一個以Linux為基礎(chǔ)的半開放原始碼作業(yè)系統(tǒng),主要用于移動設(shè)備。安卓操作系統(tǒng)由Google公司成立的開放手持設(shè)備聯(lián)盟(Open Handset Alliance,OHA)持續(xù)倡導(dǎo)與開發(fā)。安卓操作系統(tǒng)的安全性較IOS差一些,而且用安卓操作系統(tǒng)開發(fā)應(yīng)用需要考慮多種界面設(shè)計,因為應(yīng)用安卓操作系統(tǒng)的移動終端種類繁多。但是安卓操作系統(tǒng)是開源的,因而開發(fā)過程相對容易。
1.2 HTTPS協(xié)議簡介
HTTPS(Hypertext Transfer Protocol over secure socketlayer)是加人了ssL層的HTTP協(xié)議。HTTPS協(xié)議需要使用經(jīng)ssL加密傳輸?shù)臄?shù)據(jù)信息,所以HTTPS協(xié)議的安全基礎(chǔ)是SSL。
HTTPS協(xié)議在使用過程中需要向CA申請證書,在數(shù)據(jù)傳輸過程中需要身份認(rèn)證。使用HTTPS協(xié)議進行身份認(rèn)證時,有單向認(rèn)證和雙向認(rèn)證兩種方式。單向認(rèn)證是指客戶端在通過HTTPS協(xié)議連接服務(wù)器時,只需要用到服務(wù)器的CA證書,只能保證數(shù)據(jù)傳輸過程的安全;而雙向認(rèn)證是指客戶端除了需要用到服務(wù)器的CA證書外,還需要客戶端的CA證書,這樣在通過HTTPs協(xié)議進行網(wǎng)絡(luò)數(shù)據(jù)傳輸時,既保證了數(shù)據(jù)傳輸過程的安全,同時也對客戶端的身份進行了驗證,從而比較適合于企業(yè)信息化的應(yīng)用。
1.3 CA證書簡介
CA(certifiCAte authority)是負(fù)責(zé)簽發(fā)證書、認(rèn)證證書、管理已頒發(fā)證書的第三方電子認(rèn)證中心。CA具有合法性、中立性、權(quán)威性和公正性。它通過制定相應(yīng)政策和具體步驟來驗證、識別用戶身份,并對用戶證書進行簽名,以此檢驗證書持有者的身份和公鑰的擁有權(quán),并且通過加解密的方法來實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)交換的安全性。
目前CA證書可以由付費的CA證書認(rèn)證中心獲得,也可以利用免費的0penssL軟件包自行生成獲得,這是一種不錯的選擇。OpenssL支持Linux、Windows、BSD、Mac、VMS等平臺,主要由密碼算法庫、SSL協(xié)議庫和應(yīng)用程序3部分組成。OpenssL提供的功能囊括了主要的密碼算法、SSL協(xié)議和常用的密鑰與證書封裝管理功能。OpenssL提供的CA應(yīng)用程序就是一個小型的證書管理中心,實現(xiàn)證書簽發(fā)的整個流程和證書管理的大部分機制。
2.系統(tǒng)設(shè)計
2.1 系統(tǒng)總體設(shè)計
目前基于移動終端的企業(yè)移動辦公平臺主要應(yīng)用在廣域網(wǎng)中。移動終端利用無線網(wǎng)絡(luò),結(jié)合服務(wù)器證書和用戶證書,使用HTTPS協(xié)議安全地對服務(wù)器進行訪問。
應(yīng)用場景如圖1所示:
圖1 企業(yè)信息安全架構(gòu)應(yīng)用場景圖
基于移動終端的企業(yè)信息安全架構(gòu)主要由服務(wù)器和客戶端組成(如圖2所示),其中服務(wù)器和客戶端之間的通訊采用HTTPS協(xié)議。服務(wù)器端包括CA證書模塊和權(quán)限控制模塊,客戶端包括證書申請模塊和系統(tǒng)登錄模塊。
圖2 企業(yè)信息安全架構(gòu)圖
2.2 CA證書模塊和證書申請模塊
CA證書模塊和證書申請模塊提供如下功能:
1)生成系統(tǒng)的CA證書和所有合法用戶的CA證書。
在系統(tǒng)的服務(wù)器端,服務(wù)器預(yù)先為系統(tǒng)生成包含服務(wù)器公鑰的唯一證書(該證書可供所有用戶下載使用),同時服務(wù)器將生成的唯一私鑰進行留存,配合服務(wù)器的證書將通過HTTPS協(xié)議訪問的數(shù)據(jù)進行加密。
用戶CA證書則根據(jù)移動辦公平臺上所有合法用戶列表生成。生成所有的用戶CA證書后,系統(tǒng)將用戶和其對應(yīng)的證書信息保存在服務(wù)器數(shù)據(jù)庫中,供日后用戶申請使用。
2)將系統(tǒng)的CA證書分發(fā)給所有用戶,將合法用戶的CA證書根據(jù)用戶信息分配給對應(yīng)的合法用戶。
在移動終端上,當(dāng)用戶安裝移動辦公平臺后,可以通過平臺提供的服務(wù)器CA證書下載功能,直接獲取服務(wù)器的CA證書,并按照系統(tǒng)提示,將證書安裝在移動終端上。
當(dāng)安裝完畢服務(wù)器CA證書后,用戶就可以申請其指定的證書了。用戶將其賬號信息發(fā)送給系統(tǒng)服務(wù)器,服務(wù)器端對賬號信息進行驗證,如果存在該賬號,則會向綁定該賬號的用戶公司郵箱發(fā)送一封郵件,內(nèi)含移動終端下載用戶CA證書所需的驗證碼信息。驗證碼在指定時間內(nèi)有效,使用一次后即失效。用戶在移動終端處將驗證信息發(fā)送給服務(wù)器后,如果通過服務(wù)器的驗證,服務(wù)器則會將該合法用戶的指定CA證書發(fā)送到移動終端上,至此完成了服務(wù)器和用戶證書的分發(fā)功能。用戶可以使用移動終端在身份驗證成功后登錄移動辦公平臺。
2.3 權(quán)限控制模塊和系統(tǒng)登錄模塊
權(quán)限控制模塊和系統(tǒng)登錄模塊提供如下功能:
1)根據(jù)用戶CA證書檢驗用戶是否有權(quán)登錄系統(tǒng)。
當(dāng)移動終端通過HTTPS協(xié)議連接服務(wù)器時,服務(wù)器會強制驗證用戶證書是否有效,如果通過驗證,才會進一步處理移動終端發(fā)送來的數(shù)據(jù)信息。
2)根據(jù)用戶CA證書檢驗登錄系統(tǒng)的用戶名是否為證書對應(yīng)的合法用戶。
當(dāng)用戶證書通過服務(wù)器驗證后,服務(wù)器會根據(jù)用戶證書中的信息,確定使用該移動終端的用戶賬號信息。通過對比發(fā)送來的用戶名信息,就可以確定用戶登錄賬號是否合法。這樣就保證了移動終端上,用戶只能使用自己的賬號信息登錄移動辦公平臺。
3)對于連續(xù)登錄系統(tǒng)3次而無法通過用戶名和密碼驗證的用戶,禁止該用戶在一段時間內(nèi)訪問系統(tǒng)。
當(dāng)服務(wù)器連續(xù)3次驗證用戶賬號信息失敗時,服務(wù)器會禁止該用戶在一定時間內(nèi)訪問系統(tǒng)。這樣就保證了如果用戶證書不慎丟失,非法用戶也無法通過暴力破解的方式登錄移動辦公平臺。
4)當(dāng)用戶移動終端發(fā)生丟失時,禁止該用戶訪問系統(tǒng)。移動終端使用過程中,經(jīng)?赡馨l(fā)生丟失現(xiàn)象。當(dāng)用戶發(fā)現(xiàn)自己的移動終端丟失時,需要在第一時間通知公司的信息技術(shù)部門,將該用戶賬號凍結(jié),這樣即便別人得到移動終端,也無法繼續(xù)訪問系統(tǒng),從而保障了移動辦公平臺的安全性。
3.系統(tǒng)展現(xiàn)和運行效果
目前某大型國有航運企業(yè)的信息技術(shù)中心已經(jīng)成功完成其移動辦公平臺的研發(fā)工作。下面以iPhone移動終端為例,展示如何使用移動終端申請證書,從而實現(xiàn)移動終端通過HTTPS協(xié)議雙向認(rèn)證機制訪問服務(wù)器:
1)用戶進入移動辦公平臺,如果已經(jīng)設(shè)置過證書,則直接輸入用戶名和密碼即可登錄平臺;否則點擊“重設(shè)證書”進入設(shè)置頁面。
2)點擊“安裝CA證書”按鈕,則自動下載服務(wù)器CA證書,下載完畢后用戶根據(jù)提示完成證書安裝。如果點擊“下一步”,則會下載指定用戶的CA證書。
3)用戶向服務(wù)器提供其賬號信息,服務(wù)器根據(jù)該信息向他發(fā)送一封郵件。
4)用戶提供的賬號信息被驗證是合法有效的,服務(wù)器發(fā)送郵件完畢。
5)用戶從郵件中獲取驗證碼,向服務(wù)器提交該驗證碼。
6)系統(tǒng)提示下載用戶證書成功。
通過以上6步,移動終端完成了證書配置過程,移動終端可以使用HTTPS協(xié)議雙向認(rèn)證機制連接服務(wù)器。合法用戶輸入其正確的用戶名和密碼后,即可登錄移動辦公平臺,進行其工作。系統(tǒng)實際運行過程中,服務(wù)器和客戶端運行狀態(tài)穩(wěn)定。
在客戶端,如果用戶不下載服務(wù)器CA證書或用戶CA證書,則無法訪問服務(wù)器。用戶在下載自己的用戶證書后如果使用別人的賬號登錄系統(tǒng),則會提示無法登錄系統(tǒng)。
本系統(tǒng)通過采用HTTPS協(xié)議雙向認(rèn)證機制,防止非法用戶對網(wǎng)絡(luò)傳輸?shù)南到y(tǒng)信息進行監(jiān)聽,并且在客戶端有效避免了非法用戶采用暴力破解方法對系統(tǒng)服務(wù)器進行攻擊;通過采用用戶CA證書,識別了登錄系統(tǒng)的用戶信息,有效解決了合法用戶通過其他用戶身份登錄系統(tǒng)的問題。
4.結(jié)束語
移動辦公日趨成為以后的主流工作方式。本文結(jié)合某大型國有航運企業(yè)的移動辦公平臺,提出一種基于移動終端的企業(yè)信息安全架構(gòu)。該安全架構(gòu)在實際運行過程中,通過采用HTTPS協(xié)議雙向認(rèn)證技術(shù),有效提高了企業(yè)信息化系統(tǒng)的安全性,為企業(yè)日后將移動辦公應(yīng)用到移動終端提供了良好的解決方案。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:基于移動終端的企業(yè)信息安全架構(gòu)設(shè)計與實現(xiàn)
本文網(wǎng)址:http://www.ezxoed.cn/html/support/11121513488.html