目前，以智能手機(jī)和平板電腦為代表的移動(dòng)終端產(chǎn)品取得了巨大的發(fā)展，在日常生活中逐漸普及，性能也逐漸可與傳統(tǒng)電腦相媲美。越來(lái)越多的企業(yè)基于主流移動(dòng)終端開(kāi)發(fā)企業(yè)信息化辦公平臺(tái)，不僅提高了企業(yè)的生產(chǎn)效率，同時(shí)也解決了異地辦公、應(yīng)急處理等問(wèn)題，極大增強(qiáng)了企業(yè)的綜合管理能力與競(jìng)爭(zhēng)力。

　　目前，企業(yè)信息化系統(tǒng)從網(wǎng)絡(luò)訪問(wèn)方式劃分，主要分為內(nèi)部網(wǎng)訪問(wèn)和外部網(wǎng)訪問(wèn)。通常在企業(yè)內(nèi)部，員工訪問(wèn)信息化系統(tǒng)基本通過(guò)內(nèi)部網(wǎng)訪問(wèn)。在這種訪問(wèn)方式下，信息安全的風(fēng)險(xiǎn)相對(duì)較低，網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)往往經(jīng)過(guò)簡(jiǎn)單加密，甚至不加密，系統(tǒng)的訪問(wèn)權(quán)限控制基本依靠用戶名和密碼。在外部網(wǎng)訪問(wèn)方式下，信息安全的風(fēng)險(xiǎn)則高了很多，員工訪問(wèn)信息化系統(tǒng)則需要使用VPN網(wǎng)絡(luò)，或者通過(guò)HTTPs協(xié)議，網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)必須經(jīng)過(guò)復(fù)雜加密才能保證信息安全。因此，為了更好地利用移動(dòng)終端為企業(yè)服務(wù)，對(duì)于大多數(shù)企業(yè)而言，信息安全問(wèn)題就需要得到妥善解決。針對(duì)此種狀況，本文結(jié)合某大型國(guó)有航運(yùn)企業(yè)的移動(dòng)辦公平臺(tái)，提出了一種基于移動(dòng)終端的企信息安全架構(gòu)。

 1.背景知識(shí)

　　1.1 移動(dòng)終端系統(tǒng)簡(jiǎn)介

　　目前主流移動(dòng)終端(手機(jī)、平板電腦等)的操作系統(tǒng)主要有IOS、Android(安卓)等。

　　IOS操作系統(tǒng)是由蘋(píng)果公司為iPhone手機(jī)開(kāi)發(fā)的操作系統(tǒng)，它同時(shí)也供iPad和iPod touch使用。IOS的系統(tǒng)架構(gòu)分為4個(gè)層次：核心操作系統(tǒng)層、核心服務(wù)層、媒體層、可輕觸層。IOS操作系統(tǒng)擁有極出色的安全性能，這是因?yàn)镮OS上的每一款應(yīng)用都運(yùn)行于獨(dú)立的“沙盒”之中。在IOS操作系統(tǒng)上開(kāi)發(fā)應(yīng)用，開(kāi)發(fā)人員對(duì)于界面也無(wú)需過(guò)多考慮，因?yàn)閕Phone和iPad的屏幕尺寸很有限。

　　Android(安卓)操作系統(tǒng)是一個(gè)以Linux為基礎(chǔ)的半開(kāi)放原始碼作業(yè)系統(tǒng)，主要用于移動(dòng)設(shè)備。安卓操作系統(tǒng)由Google公司成立的開(kāi)放手持設(shè)備聯(lián)盟(Open Handset Alliance，OHA)持續(xù)倡導(dǎo)與開(kāi)發(fā)。安卓操作系統(tǒng)的安全性較IOS差一些，而且用安卓操作系統(tǒng)開(kāi)發(fā)應(yīng)用需要考慮多種界面設(shè)計(jì)，因?yàn)閼?yīng)用安卓操作系統(tǒng)的移動(dòng)終端種類(lèi)繁多。但是安卓操作系統(tǒng)是開(kāi)源的，因而開(kāi)發(fā)過(guò)程相對(duì)容易。

　　1.2 HTTPS協(xié)議簡(jiǎn)介

　　HTTPS(Hypertext Transfer Protocol over secure socketlayer)是加人了ssL層的HTTP協(xié)議。HTTPS協(xié)議需要使用經(jīng)ssL加密傳輸?shù)臄?shù)據(jù)信息，所以HTTPS協(xié)議的安全基礎(chǔ)是SSL。

　　HTTPS協(xié)議在使用過(guò)程中需要向CA申請(qǐng)證書(shū)，在數(shù)據(jù)傳輸過(guò)程中需要身份認(rèn)證。使用HTTPS協(xié)議進(jìn)行身份認(rèn)證時(shí)，有單向認(rèn)證和雙向認(rèn)證兩種方式。單向認(rèn)證是指客戶端在通過(guò)HTTPS協(xié)議連接服務(wù)器時(shí)，只需要用到服務(wù)器的CA證書(shū)，只能保證數(shù)據(jù)傳輸過(guò)程的安全；而雙向認(rèn)證是指客戶端除了需要用到服務(wù)器的CA證書(shū)外，還需要客戶端的CA證書(shū)，這樣在通過(guò)HTTPs協(xié)議進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)傳輸時(shí)，既保證了數(shù)據(jù)傳輸過(guò)程的安全，同時(shí)也對(duì)客戶端的身份進(jìn)行了驗(yàn)證，從而比較適合于企業(yè)信息化的應(yīng)用。

　　1.3 CA證書(shū)簡(jiǎn)介

　　CA(certifiCAte authority)是負(fù)責(zé)簽發(fā)證書(shū)、認(rèn)證證書(shū)、管理已頒發(fā)證書(shū)的第三方電子認(rèn)證中心。CA具有合法性、中立性、權(quán)威性和公正性。它通過(guò)制定相應(yīng)政策和具體步驟來(lái)驗(yàn)證、識(shí)別用戶身份，并對(duì)用戶證書(shū)進(jìn)行簽名，以此檢驗(yàn)證書(shū)持有者的身份和公鑰的擁有權(quán)，并且通過(guò)加解密的方法來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)交換的安全性。

　　目前CA證書(shū)可以由付費(fèi)的CA證書(shū)認(rèn)證中心獲得，也可以利用免費(fèi)的0penssL軟件包自行生成獲得，這是一種不錯(cuò)的選擇。OpenssL支持Linux、Windows、BSD、Mac、VMS等平臺(tái)，主要由密碼算法庫(kù)、SSL協(xié)議庫(kù)和應(yīng)用程序3部分組成。OpenssL提供的功能囊括了主要的密碼算法、SSL協(xié)議和常用的密鑰與證書(shū)封裝管理功能。OpenssL提供的CA應(yīng)用程序就是一個(gè)小型的證書(shū)管理中心，實(shí)現(xiàn)證書(shū)簽發(fā)的整個(gè)流程和證書(shū)管理的大部分機(jī)制。

　　2.系統(tǒng)設(shè)計(jì)

　　2.1 系統(tǒng)總體設(shè)計(jì)

　　目前基于移動(dòng)終端的企業(yè)移動(dòng)辦公平臺(tái)主要應(yīng)用在廣域網(wǎng)中。移動(dòng)終端利用無(wú)線網(wǎng)絡(luò)，結(jié)合服務(wù)器證書(shū)和用戶證書(shū)，使用HTTPS協(xié)議安全地對(duì)服務(wù)器進(jìn)行訪問(wèn)。

　　應(yīng)用場(chǎng)景如圖1所示：

圖1 企業(yè)信息安全架構(gòu)應(yīng)用場(chǎng)景圖

　　基于移動(dòng)終端的企業(yè)信息安全架構(gòu)主要由服務(wù)器和客戶端組成(如圖2所示)，其中服務(wù)器和客戶端之間的通訊采用HTTPS協(xié)議。服務(wù)器端包括CA證書(shū)模塊和權(quán)限控制模塊，客戶端包括證書(shū)申請(qǐng)模塊和系統(tǒng)登錄模塊。

圖2 企業(yè)信息安全架構(gòu)圖

　　2.2 CA證書(shū)模塊和證書(shū)申請(qǐng)模塊

　　CA證書(shū)模塊和證書(shū)申請(qǐng)模塊提供如下功能：

　　1)生成系統(tǒng)的CA證書(shū)和所有合法用戶的CA證書(shū)。

　　在系統(tǒng)的服務(wù)器端，服務(wù)器預(yù)先為系統(tǒng)生成包含服務(wù)器公鑰的唯一證書(shū)(該證書(shū)可供所有用戶下載使用)，同時(shí)服務(wù)器將生成的唯一私鑰進(jìn)行留存，配合服務(wù)器的證書(shū)將通過(guò)HTTPS協(xié)議訪問(wèn)的數(shù)據(jù)進(jìn)行加密。

　　用戶CA證書(shū)則根據(jù)移動(dòng)辦公平臺(tái)上所有合法用戶列表生成。生成所有的用戶CA證書(shū)后，系統(tǒng)將用戶和其對(duì)應(yīng)的證書(shū)信息保存在服務(wù)器數(shù)據(jù)庫(kù)中，供日后用戶申請(qǐng)使用。

　　2)將系統(tǒng)的CA證書(shū)分發(fā)給所有用戶，將合法用戶的CA證書(shū)根據(jù)用戶信息分配給對(duì)應(yīng)的合法用戶。

　　在移動(dòng)終端上，當(dāng)用戶安裝移動(dòng)辦公平臺(tái)后，可以通過(guò)平臺(tái)提供的服務(wù)器CA證書(shū)下載功能，直接獲取服務(wù)器的CA證書(shū)，并按照系統(tǒng)提示，將證書(shū)安裝在移動(dòng)終端上。

　　當(dāng)安裝完畢服務(wù)器CA證書(shū)后，用戶就可以申請(qǐng)其指定的證書(shū)了。用戶將其賬號(hào)信息發(fā)送給系統(tǒng)服務(wù)器，服務(wù)器端對(duì)賬號(hào)信息進(jìn)行驗(yàn)證，如果存在該賬號(hào)，則會(huì)向綁定該賬號(hào)的用戶公司郵箱發(fā)送一封郵件，內(nèi)含移動(dòng)終端下載用戶CA證書(shū)所需的驗(yàn)證碼信息。驗(yàn)證碼在指定時(shí)間內(nèi)有效，使用一次后即失效。用戶在移動(dòng)終端處將驗(yàn)證信息發(fā)送給服務(wù)器后，如果通過(guò)服務(wù)器的驗(yàn)證，服務(wù)器則會(huì)將該合法用戶的指定CA證書(shū)發(fā)送到移動(dòng)終端上，至此完成了服務(wù)器和用戶證書(shū)的分發(fā)功能。用戶可以使用移動(dòng)終端在身份驗(yàn)證成功后登錄移動(dòng)辦公平臺(tái)。

　　2.3 權(quán)限控制模塊和系統(tǒng)登錄模塊

　　權(quán)限控制模塊和系統(tǒng)登錄模塊提供如下功能：

　　1)根據(jù)用戶CA證書(shū)檢驗(yàn)用戶是否有權(quán)登錄系統(tǒng)。

　　當(dāng)移動(dòng)終端通過(guò)HTTPS協(xié)議連接服務(wù)器時(shí)，服務(wù)器會(huì)強(qiáng)制驗(yàn)證用戶證書(shū)是否有效，如果通過(guò)驗(yàn)證，才會(huì)進(jìn)一步處理移動(dòng)終端發(fā)送來(lái)的數(shù)據(jù)信息。

    2)根據(jù)用戶CA證書(shū)檢驗(yàn)登錄系統(tǒng)的用戶名是否為證書(shū)對(duì)應(yīng)的合法用戶。

　　當(dāng)用戶證書(shū)通過(guò)服務(wù)器驗(yàn)證后，服務(wù)器會(huì)根據(jù)用戶證書(shū)中的信息，確定使用該移動(dòng)終端的用戶賬號(hào)信息。通過(guò)對(duì)比發(fā)送來(lái)的用戶名信息，就可以確定用戶登錄賬號(hào)是否合法。這樣就保證了移動(dòng)終端上，用戶只能使用自己的賬號(hào)信息登錄移動(dòng)辦公平臺(tái)。

　　3)對(duì)于連續(xù)登錄系統(tǒng)3次而無(wú)法通過(guò)用戶名和密碼驗(yàn)證的用戶，禁止該用戶在一段時(shí)間內(nèi)訪問(wèn)系統(tǒng)。

　　當(dāng)服務(wù)器連續(xù)3次驗(yàn)證用戶賬號(hào)信息失敗時(shí)，服務(wù)器會(huì)禁止該用戶在一定時(shí)間內(nèi)訪問(wèn)系統(tǒng)。這樣就保證了如果用戶證書(shū)不慎丟失，非法用戶也無(wú)法通過(guò)暴力破解的方式登錄移動(dòng)辦公平臺(tái)。

　　4)當(dāng)用戶移動(dòng)終端發(fā)生丟失時(shí)，禁止該用戶訪問(wèn)系統(tǒng)。移動(dòng)終端使用過(guò)程中，經(jīng)常可能發(fā)生丟失現(xiàn)象。當(dāng)用戶發(fā)現(xiàn)自己的移動(dòng)終端丟失時(shí)，需要在第一時(shí)間通知公司的信息技術(shù)部門(mén)，將該用戶賬號(hào)凍結(jié)，這樣即便別人得到移動(dòng)終端，也無(wú)法繼續(xù)訪問(wèn)系統(tǒng)，從而保障了移動(dòng)辦公平臺(tái)的安全性。

　　3.系統(tǒng)展現(xiàn)和運(yùn)行效果

　　目前某大型國(guó)有航運(yùn)企業(yè)的信息技術(shù)中心已經(jīng)成功完成其移動(dòng)辦公平臺(tái)的研發(fā)工作。下面以iPhone移動(dòng)終端為例，展示如何使用移動(dòng)終端申請(qǐng)證書(shū)，從而實(shí)現(xiàn)移動(dòng)終端通過(guò)HTTPS協(xié)議雙向認(rèn)證機(jī)制訪問(wèn)服務(wù)器：

　　1)用戶進(jìn)入移動(dòng)辦公平臺(tái)，如果已經(jīng)設(shè)置過(guò)證書(shū)，則直接輸入用戶名和密碼即可登錄平臺(tái)；否則點(diǎn)擊“重設(shè)證書(shū)”進(jìn)入設(shè)置頁(yè)面。

　　2)點(diǎn)擊“安裝CA證書(shū)”按鈕，則自動(dòng)下載服務(wù)器CA證書(shū)，下載完畢后用戶根據(jù)提示完成證書(shū)安裝。如果點(diǎn)擊“下一步”，則會(huì)下載指定用戶的CA證書(shū)。

　　3)用戶向服務(wù)器提供其賬號(hào)信息，服務(wù)器根據(jù)該信息向他發(fā)送一封郵件。

　　4)用戶提供的賬號(hào)信息被驗(yàn)證是合法有效的，服務(wù)器發(fā)送郵件完畢。

　　5)用戶從郵件中獲取驗(yàn)證碼，向服務(wù)器提交該驗(yàn)證碼。

　　6)系統(tǒng)提示下載用戶證書(shū)成功。

　　通過(guò)以上6步，移動(dòng)終端完成了證書(shū)配置過(guò)程，移動(dòng)終端可以使用HTTPS協(xié)議雙向認(rèn)證機(jī)制連接服務(wù)器。合法用戶輸入其正確的用戶名和密碼后，即可登錄移動(dòng)辦公平臺(tái)，進(jìn)行其工作。系統(tǒng)實(shí)際運(yùn)行過(guò)程中，服務(wù)器和客戶端運(yùn)行狀態(tài)穩(wěn)定。

　　在客戶端，如果用戶不下載服務(wù)器CA證書(shū)或用戶CA證書(shū)，則無(wú)法訪問(wèn)服務(wù)器。用戶在下載自己的用戶證書(shū)后如果使用別人的賬號(hào)登錄系統(tǒng)，則會(huì)提示無(wú)法登錄系統(tǒng)。

    本系統(tǒng)通過(guò)采用HTTPS協(xié)議雙向認(rèn)證機(jī)制，防止非法用戶對(duì)網(wǎng)絡(luò)傳輸?shù)南到y(tǒng)信息進(jìn)行監(jiān)聽(tīng)，并且在客戶端有效避免了非法用戶采用暴力破解方法對(duì)系統(tǒng)服務(wù)器進(jìn)行攻擊；通過(guò)采用用戶CA證書(shū)，識(shí)別了登錄系統(tǒng)的用戶信息，有效解決了合法用戶通過(guò)其他用戶身份登錄系統(tǒng)的問(wèn)題。

　　4.結(jié)束語(yǔ)

　　移動(dòng)辦公日趨成為以后的主流工作方式。本文結(jié)合某大型國(guó)有航運(yùn)企業(yè)的移動(dòng)辦公平臺(tái)，提出一種基于移動(dòng)終端的企業(yè)信息安全架構(gòu)。該安全架構(gòu)在實(shí)際運(yùn)行過(guò)程中，通過(guò)采用HTTPS協(xié)議雙向認(rèn)證技術(shù)，有效提高了企業(yè)信息化系統(tǒng)的安全性，為企業(yè)日后將移動(dòng)辦公應(yīng)用到移動(dòng)終端提供了良好的解決方案。
 

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴(lài)品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標(biāo)題：基于移動(dòng)終端的企業(yè)信息安全架構(gòu)設(shè)計(jì)與實(shí)現(xiàn)

本文網(wǎng)址：http://www.guhuozai8.cn/html/support/11121513488.html