面向新型智能手机的企业级移动应用平台（MES）体系研究与系统开发.doc

研发项目结题报告（上报集团版）项目名称及编号面向新型智能手机的企业级移动应用平台（MES）体系研究与系统开发主要研究单位及负责人（联系方式）其他研究单位及负责人（联系方式）是否集团级重点项目(是/否)是是否联合研发项目（是/否）； 是项目经费（万元）110项目起止时间2011年4月 2011年12月专业类别管理信息系统研究类别其他关键词索引（35个）智能终端，企业信息化，移动应用，系统开发该项目在研究单位内部的评审结果优秀该项目在研究单位内部的评审意见：专家组一致认为面向新型智能手机的企业级移动应用平台（MES）体系研究与系统开发项目在技术上与同类研究成果和产品相比具有较强的先进性，特别是在POSO机制的实现上具有部分开创性的成果，在公司内部取得了令人满意的经济效益和社会效益，并具有可推广的模式。项目研究成果简介： 在集团统一规划的“一网多包”的信息系统集中化建设模式中，手机类服务包是IT服务包中辅助类应用的重要组成，而提供移动企业级移动应用服务则是手机类服务包的主要业务之一。湖南移动信息系统部承担了集团委托的“企业级移动应用平台技术体系研究”相关工作，这将为手机类服务包的总体规划和设计奠定基础。同时，从湖南移动信息系统部在实际工作中收集的内部用户的需求来看，基于手机的办公系统（Email、OA等）具有非常迫切的实际需求；另外，从集团客户部挖掘的外部客户需求来看，基于手机的企业级管理信息系统也有较高的对外服务和推广价值。但是目前，不论是集团的手机综合服务平台、MAS平台，重点集中于Online模式下的应用适配、部署和展示等方面，难以满足内外部业务及外部推广的需求。按照基于内部应用和外部推广的需求，企业级移动应用平台体系的研究和系统开发工作主要包括：§ 针对当前应用广泛和市场份额不断上升的基于Android操作系统的智能手机，围绕企业级移动应用平台需要提供的重要信息和事务的及时推送（Push）、在线的信息化事务处理（Online）、企业信息的同步（Synchronization）、企业信息化的离线处理（Offline）等功能特征，以及强认证、数据加密、传输安全等安全机制，设计企业级移动应用平台的技术体系和平台架构，完成企业级移动应用平台的测试和开发，以实现对各种企业级移动应用的支撑；§ 将企业级移动应用平台与现有的移动办公、邮件、通信录等典型移动应用进行集成，验证和改进平台的功能特征和安全特性，保证其对内服务和对外推广的有效性。基于该企业级移动应用平台，可以基本消除各业务系统独立进行POSO功能服务和安全机制设计和开发的成本；另一方面，通过及时推送、离线处理等功能的提供，可以提高业务处理的效率，进而带来较大的经济效益。同时，企业级移动应用平台的部署，使得企业员工可以通过移动终端设备，实时、便捷地进行信息系统的接入，极大地促进企业信息系统的普及和接入水平，提高企业业务的信息化承载比，最终不仅实现湖南移动企业内部信息化水平的提升，而且为对外提供更好的企业移动信息化服务提供支撑。该项目的专利情况：名称：企业级移动应用环境中按需进行数据推送的方法和系统状态：正在申请该项目研究中发现的问题及今后工作建议：研究中发现企业级移动应用平台的安全和管理具有较强的实现价值，目前在本项目中完成了相关部分的研究工作，在今后的工作中需要对研究的成果进行深化落地，实现企业级移动应用平台的安全、高效、可管理。项目研究成果的主体内容（见表后）1 项目背景一方面在全球技术发展的大背景下，当企业间的竞争由产品、服务的竞争逐渐转化为时间、效率的竞争时，快速变化的外部环境、不断更新的信息资源、企业间即时的信息交流促使越来越多的企业把移动办公加入到信息化进程中。目前，移动办公用户正在以前所未有的速度膨胀，据IDC预测，到2011年全球移动办公人员将上升到10亿左右，到2013年超过12亿人将能实现移动办公模式，占全球办公总数的35%。未来，越来越多的企业员工将摆脱办公室的枷锁，通过智能手机等移动终端来处理日常事务。伴随着3G网络持续优化、智能终端快速投入市场和操作系统的不断更新，以及大量丰富的聚合服务的不断出现，移动办公业务已逐渐受到客户青睐。与此同时，随着移动设备、移动数据应用和服务的复杂性的不断攀升，问题也很快显现如何更好地提供移动办公服务、操作系统的增加对IT平台提出挑战，病毒感染、非法入侵、设备被盗或遗失给企业数据带来的安全隐患以及对于企业信息流动性造成的障碍、如何解决相关的管理问题等等。另一方面，集团“一网多包”集中化模式下创新性试点和示范的契机；按照集团领导的规划，中国移动将建设集中化的管理信息系统，通过“一网多包”的集中化建设模式，推动管理信息系统整体向云计算的演进。其中，手机类服务包是IT服务包中辅助类应用的重要组成。根据手机类服务包涵盖的和功能，考虑到中国移动作为“移动信息专家”的定位，提供移动企业级移动应用服务是手机类服务包的主要业务之一。此次课题，湖南移动信息系统部承担的企业级移动应用平台技术体系的研究工作，将为手机类服务包的总体规划和设计奠定基础；同时，企业级移动应用平台研发和验证，将作为手机类服务包的创新型试点，为集团手机类服务包的集中建设和推广起到示范性作用。具体地说，从湖南移动信息系统部在实际工作中收集的内部用户的需求来看，基于手机的办公系统（Email、OA等）具有非常迫切的实际需求从集团客户部挖掘的外部客户需求来看，基于手机的企业级管理信息系统也有较高的对外服务和推广价值。从企业级移动应用的最新技术发展来看，企业级移动应用需要具备三方面的技术特征：§ 安全（Security）：保障企业数据存储、数据传输的安全性，以及用户身份/权限的准确性等；防止手机丢失等意外情况对企业信息安全的影响；§ POSO四维功能服务机制：企业重要信息和事务的及时推送（Push），在线的事务处理（Online），两端双向的企业信息同步（Synchronization），离线时企业信息的起草、审阅以及处理（Offline）等；§ 统一管理（Management）：实现针对移动设备的企业级策略发布、软件管理与状态监控等完整的终端管理功能和技术体系；目前，不论是手机综合服务平台、MAS平台，还是其他省公司在开展的“多屏合一”的研究项目，重点主要集中于Online模式下的应用的适配、部署和展示等方面。然而，Online模式只是POSO四维功能服务机制中的一个维度，目前，在企业级移动应用的安全、完整的POSO服务机制等方面，并没有相关的研究和技术积累，与提供真正的企业级移动应用服务具有较大差距。可见，开展企业级移动应用平台研究、设计和开发具有一定的必要性和紧迫性。2 实现方案本课题针对企业移动应用中的安全问题以及POSO四维功能服务机制进行了相关的研究并给出实现方案，对其中的典型问题进行软件开发和相关的测试，接下来分部分进行展开描述。2.1 安全体系实现机制在本部分将对企业移动应用中的安全问题以及湖南移动企业移动应用安全体系实现机制进行介绍。2.1.1 企业级移动应用平台安全基础体系随着企业级移动信息化工作的不断深化，需要对基础之上的功能提出更高要求。针对企业级移动信息化的特殊性需求，例如多种智能手机操作系统共存，多样的移动终端设备，企业不断变化的员工数量，以及员工的终端里所装的不同程序，这些对企业IT管理人员提出了众多挑战，企业组织和企业用户将会面临如何保证企业数据和用户数据的安全性、如何保护企业级移动传输的消息、如何确保应用程序的有效可信等一系列安全问题。与此同时，外界的环境也在发生着变化，根据相关报道Android设备的新恶意软件数量在2011第二季度劲升76%，专业的安全公司McAfee也在2011年9月份推出了专业的企业级移动应用软件。而在国内，工信部也正在组织有关部门制订移动智能终端管理办法，完善移动智能终端的个人信息安全管理。结合企业移动应用的实际情况，以新环境下企业级移动信息化建设为契机，湖南移动开展了企业级移动信息化基础安全机制的研究。根据常见的企业级移动信息化所面临的安全威胁并结合湖南移动移动办公的相关需求，至少有以下几点安全问题：§ 非法人员的通过智能终端对企业应用的恶意访问和操作；§ 可使用企业级移动应用的智能终端的遗失或被盗所带来的数据安全问题；§ 企业级应用程序可能包含恶意代码；§ 保证智能终端安全接入企业应用网络；§ 企业级移动应用访问过程中可能遭遇黑客攻击；针对以上的安全问题，经过深入研究，对于企业级移动应用安全基础体系，按照用户的强认证和授权、数据存储的安全和加密、异常情况下数据的安全处理、数据链路的加密和数据传输的安全四个部分， 共分为八方面的建设目标；除此之外还有分段的网络体系架构、手机端对应用程序的控制等内容。由此得出企业级移动应用支撑平台基础安全功能架构如下图所示。图1.企业级移动应用支撑平台安全基础体系如上图所示，需要在企业级移动信息化中实现以下安全功能：1用户的强认证和授权§ 系统层的基于强密码的用户登录/接入§ 在企业级移动应用体系中的统一用户认证和权限管理；2数据存储的安全和加密§ 应用相关数据在客户端存储安全/加密；§ 企业级移动应用体系元数据和配置数据的安全；§ 企业级移动应用体系下发的IT策略的数据安全；3数据链路的加密和数据传输的安全§ 设备/客户端和应用/服务器两端，系统级数据链路的加密和数据传输安全§ 应用访问/接入相关数据的传输安全4异常情况下数据的安全处理§ OTA模式下移动设备相关数据的远程擦除（包括应用数据及系统存储两个方面）2.1.2 安全场景分析前一部分提出了企业级移动应用平台的安全基础体系，对于要实现的四大安全功能，在具体的应用场景中分别体现在以下三个有机部分上：u 企业用户手持的移动智能终端u 部署在企业内网的企业移动应用支撑平台服务器EMASP Serveru 组织内部各有机部分的之间的安全连接移动智能终端代表面向商务应用市场的智能移动设备，用户除了可以接收、查看、撰写电子邮件外，还具备查看 Office 文档、查询企业通讯录，以及听音乐、看视频等工作和娱乐功能。 EMASP Server是部署在企业内网的服务器软件，负责将部署在智能终端终端的企业移动应用和企业内部信息系统，如邮件服务器、即时消息服务器、OA和CRM等相连。同时，把部署在企业内网的EMASP Server和移动运营商网络中归属该企业的智能终端以及EMASP Server与企业内网的各项应用服务进行连接，从而实现有线和无线的互联。2.1.3 实现机制考虑以上安全需求以及企业级移动应用平台安全基础体系的功能架构，对应在整个企业级移动信息化生态体系中的实现途径如下图所示：图2 企业级移动应用平台安全体系实现机制其中上图中的编号所代表的示意分别为：1. 智能终端安全性2. 保护与智能终端相关的连接3. 加密EMASP Server与智能终端间传输的数据4. 保护应用服务器与EMASP Server的安全连接5. 管理EMASP Server的安全性6. 保护存储在EMASP Server组织环境中的数据如图所示，所有的安全场景都是建立在智能终端和EMASP Server这两个安全模块的基础之上，而安全体系中的四大安全功能都将体现在这些安全场景中。在企业级移动应用支撑平台安全体系实现机制中，使用了以下安全手段和技术：安全策略、认证、数字签名、应用层、传输层安全协议以及加密等安全手段和技术，其中涉及的加密、认证和数字签名算法包括3DES、AES、RC4、ECC、PKCS #5、密钥交换DH、SPEKE、SHA、HMAC等。因此在后续的研究中，安全功能的实现将分别从智能终端、平台内的连接以及EMASP Server来做分析。2.1.4 功能实现企业级移动应用平台安全体系旨在防止第三方（包括无线服务提供商）访问组织可能具有敏感性的信息。为帮助保护通过无线网络传输的数据，EMASP Server和智能终端使用加密手段来对其间所有点传输的数据进行保护。企业移动应用平台的安全功能实现主要包括以下三部分：一、 智能终端安全性n 终端激活§ 安全激活智能终端n 本地安全§ 通过IT策略管理智能终端§ 通过加密保护智能终端上的数据n 第三方扩展§ 管理第三方应用程序§ 保护Bluetooth连接§ 保护Wi-Fi连接安全二、 企业级移动应用安全平台的连接安全n 应用服务器与EMASP Server 安全连接n 智能终端安全连接§ 智能终端通过EMASP Server访问网络§ 智能终端通过其他方式连接Internetn 连接数据加密三、 EMASP Server安全性n EMASP Server安全特性 § IT安全策略§ 配置允许列表§ 分段网络体系架构n 数据安全保护§ 应用服务器数据安全§ EMASP Server 配置安全§ IT安全策略数据安全通过以上这些方面从而实现的企业级移动应用平台的安全功能可以归纳为以下几点：v 数据保护：企业级移动应用安全平台可保护组织中所有点间传输的数据及组织内部组件存储的数据。对智能终端上数据，需用密码、智能卡或同时使用两者对智能终端进行身份验证。v 密钥保护：智能终端可保护存储在其上的加密密钥及与加密密钥相关的内存信息。智能终端在智能终端被锁定时对加密密钥进行加密。v 控制连接：企业级移动应用安全平台可控制智能终端的蓝牙连接和从采Wi-Fi技术的智能终端到企业Wi-Fi网络的连接。还可控制能连接到EMASP Server的智能终端v 保护用于个人及工作用途的终端：当组织允许终端同时用于个人和工作用途时，企业级移动应用安全平台具有：§ 允许组织控制对终端上组织数据和应用程序的访问§ 帮助阻止危及组织数据§ 在用户访问个人数据和工作数据时，向其提供统一体验§ 在用户离开组织时，允许组织从个人设备删除组织数据和应用程序v 控制终端行为：可通过向智能终端发送服务器对终端管理命令、IT安全策略和应用程序控制策略来控制终端行为§ 可发送服务器对终端管理命令，以便锁定终端、永久删除工作数据、永久删除终端§ 用户信息和应用程序数据以及将终端设置恢复为默认值§ 向终端发送IT安全策略，以更改安全设置§ 可发送应用程序控制策略到终端以控制第三方应用程序是否可用或连接到终端接下来对以上安全功能作详细介绍2.1.4.1 智能终端安全性2.1.4.1.1 终端安全激活用户收到或购买了新的智能终端，需要IT部门进行激活以使用企业级应用。智能终端可以使用系统创建的激活密码生成设备传输密钥，同时对EMASP Server和服务器将互相进行身份验证。 1) 通过无线网络安全激活智能终端系统在EMASP Server上创建激活密码，并告知用户。还可使用IT安全策略配置密码要求（如持续时间、长度和强度），以指定密码样式和阻止特定密码。智能终端可使用激活密码生成设备传输密钥，设备传输密钥可验证用户的身份，旨在保护EMASP Server和智能终端之间的安全通信。2.1.4.1.2 智能终端本地安全性1) 通过IT策略管理智能终端 A. IT安全策略概述应用场景：EMASP Server将IT安全策略分配给智能终端以满足组织的安全策略需求以及设备用户的需求，实现方式一般为下发（可选执行）以及强制执行。IT安全策略按功能可划分为以下八个策略组：IT安全策略组织预配置策略组全局策略组应用程序策略组外设策略组密钥策略组安全策略组证书策略组连接策略组 B. IT安全策略示例重置智能终端设备密码应用场景：防止智能终端在没有设备密码或EMASP Server还未为终端生成IT安全策略私钥的情况下的基于硬件的攻击恢复出内容保护密钥；防止EMASP Server访问潜在恶意用户可用来恢复内容保护密钥的任何数据。解决方案：配置EMASP Server对智能终端的策略，用以远程重置智能终端密码。 说明：EMASP Server将”指定新设备密码并锁定设备”的策略发送到智能终端后， 执行如下操作用以重置终端密码：1. 使用IT安全策略公钥和素域中NIST推荐的521位椭圆曲线来生成加密密钥2. 使用加密密钥和新的设备密码（也是加密的）对内容保护密钥进行加密3. 将重建加密密钥所需的数据发送至智能终端重置时智能终端，不会提示用户旧的终端密码。 C. IT安全策略示例保护丢失或被盗的智能终端应用场景：当智能终端丢失和被盗时，须采取措施以防终端数据泄漏。解决方案：EMASP Server 可通过发送服务器端对终端的IT管理命令保护智能终端的敏感数据。例如，可使用这些命令来锁定终端，永久删除工作数据、用户信息和应用程序数据，并将终端设置返回为默认值。IT管理命令说明Specify new device password and lock device（指定新设备密码并锁定设备）适用场景：终端丢失时。此命令通过无线网络创建新密码和锁定终端。当终端用户找到设备后，系统可将新密码逐字告诉该用户。当用户解锁终端时，终端将提示用户接受或拒绝新密码。 Delete only the organization data and remove device（仅删除组织数据并删除设备）适用场景：当用户不再在企业移动应用的组织工作，且系统要从终端删除工作数据时。此命令将永久删除终端存储的所有工作数据并从EMASP Server删除该终端。所有个人数据仍保留在终端上。也可指定在终端删除所有工作数据后，是要从EMASP Server删除还是禁用用户账户。 Delete all device data and remove device（仅删除所有设备数据并删除设备） 适用场景：可将此命令发送给要分发给组织中另一个终端用户的设备，或将此命令发送给已丢失、且终端用户可恢复的设备。此命令将永久删除终端存储的所有用户信息和应用程序数据。使用此命令必须配置以下选项： 指定延迟，即在设备开始删除所有用户信息和应用程序数据前必须经过的时间 需要终端在接收此命令时返回其出厂默认设置指定是否允许用户停止从终端永久删除数据，并让设备在延迟期间不可用；也可指定在终端删除所有用户信息和应用程序数据后，是要从EMASP Server删除还是禁用用户账户2) 通过加密保护终端存储的数据 A. 加密保护终端存储数据概述应用场景：不同用途的密钥：用于加密密钥、用于加密本地数据，用于加密传输数据，用于加密和解密锁定状态下收到的消息，在智能终端设置Key Gernerator组件用于实现终端加密所需要的各种密钥的生成。 应用场景举例，如下表所示。密钥应用场景分析加密智能终端上的用户数据加密智能终端存储在媒体卡上的数据加密智能终端上的设备传输密钥保护智能终端的密码EMASP Solution可生成密钥，用于保护存储在智能终端上的数据以及设备和EMASP Server之间相互发送的数据，所有密钥类型及相互关系如下图：图3 密钥加解密关系密钥说明临时密钥由设备密码随机生成，可对ECC私钥、内容保护密钥进行加密内容保护密钥可在智能终端被锁定时加密终端上的用户数据ECC私钥可在用户解锁智能终端时解密数据ECC公钥用于加密智能终端被锁定时接收的已存储数据；消息密钥对智能终端收发的数据进行加密设备传输密钥可对消息密钥加密PIN加密密钥用于产生复杂化的PIN消息主体加密密钥当打开内容保护，主体加密密钥会加密设备传输密钥和终端被锁定时组织特定的PIN加密密钥2.1.4.1.3 第三方扩展安全性1) 管理第三方应用程序应用场景：智能终端上可配置多个第三方应用程序，若不加控制地安装的应用程序，并不限制应用程序可访问的资源，终端可能遭受恶意软件的侵害。解决方案：使用应用程序控制策略规则和代码签名来控制能否安装应用程序，并指定应用程序的权限。应用程序控制策略规则：§ 可使用应用程序控制策略规则指定应用程序能否在终端上访问： 数据或应用程序（例如消息收发、电话） 终端密钥存储区 用户验证器 API（它可进行驱动程序注册，故用户可以使用双因素身份验证对终端解锁）§ 可使用应用程序控制策略规则指定在终端上运行的应用程序能打开的连接类型（例如，本地连接、内部连接和外部连接）应用程序数字签名：§ 使用公钥加密法授权并验证应用程序代码的方法对应用程序进行签名证书注册：§ 可将EMASP Server配置为允许终端设备注册证书，以用于设备上任何启用PKI的应用程序或进程2) 保护智能终端的 Bluetooth连接 应用场景：打开Bluetooth连接后，可对Bluetooth连接中的终端进行的安全操作。 解决方案：智能终端会创建Bluetooth配置文件来指定终端和其他Bluetooth设备上的应用程序如何进行连接和通信。可使用IT安全策略来管理采用Bluetooth技术的智能终端。采用Bluetooth技术的终端拥有以下安全措施：§ 可设置关闭用于终端的Bluetooth无线技术§ 须在终端上请求与另一个Bluetooth设备的连接或配对，并键入密码（也称为 共享密钥）来完成配对§ 可指定是否对终端通过Bluetooth连接收发的数据进行加密§ 终端会在每次Bluetooth设备尝试与终端连接时提示用户3) 保护智能终端的Wi-Fi连接应用场景：智能终端打开Wi-Fi连接时，受到组织中各类基于连接过程的攻击。解决方案：除应用在企业移动应用环境中智能终端应具备的一般特性之外，采用Wi-Fi技术的智能终端还须具备如下安全功能方可保证其打开Wi-Fi连接的安全性。后续将对功能1、2、3、4、7涉及到的应用场景展开介绍。功能说明1、通过Wi-Fi网络的加密通信智能终端支持多种安全方法，这些方法可在终端和无线接入点或企业Wi-Fi网络的网络防火墙之间通过企业Wi-Fi网络对通信进行加密2、已展开的Wi-Fi和VPN配置设置组允许系统从智能终端控制Wi-Fi连接3、有限的连接采用Wi-Fi技术的智能终端可拒绝传入的连接，仅支持基础架构模式中的有限连接，并防止产生临时模式连接（也称为点对点）4、多个Wi-Fi和VPN配置文件用于满足用户在多个不同环境中的需求5、代理服务器智能终端支持使用透明代理服务器，系统可在企业Wi-Fi网络和终端之间进行配置6、软件令牌配置用于允许系统在智能终端上集中配置和管理软件令牌身份验证的初始值（如VPN连接）7、用户指定的配置设置和IT安全策略旨在简化配置用户指定的Wi-Fi和VPN信息（如用户ID和密码）8、无线备份Wi-Fi和VPN配置文件通过Wi-Fi连接对智能终端上的Wi-Fi和VPN配置文件进行无线备份允许用户在必要时恢复配置文件 A.保护采用Wi-Fi技术的智能终端和企业Wi-Fi网络的连接应用场景：智能终端打开与Wi-Fi网络的连接时，面临各类安全威胁。解决方案：当采用Wi-Fi技术的智能终端连接至使用IEEE 802.11标准的企业Wi-Fi网络。IEEE 802.11i标准将使用IEEE 802.1X标准来进行身份验证和密钥管理以保护企业Wi-Fi网络。该标准指定组织必须将PSK协议或IEEE 802.1X 标准用作Wi-Fi网络的访问控制方法。为了保护数据，可配置智能终端使其在访问企业Wi-Fi网络之前对企业Wi-Fi网络进行身份验证；也可配置智能终端和企业Wi-Fi网络，以便对它们相互间发送的所有通信进行加密。以此保护EMASP Server和智能终端间相互发送的所有消息数据和应用程序数据。 B.在采用 Wi-Fi 技术的 智能终端上使用 VPN应用场景：智能终端打开与Wi-Fi网络的连接后，需保护连接防止攻击。解决方案：VPN 是智能终端上支持的第三层安全方法。 VPN可在智能终端和组织的网络之间提供加密通道。 说明：如果组织环境中包括VPN如（IPSec VPN），则可配置采用Wi-Fi技术的智能终端，以对VPN进行身份验证，从而使其可访问企业Wi-Fi网络。VPN解决方案包括智能终端上的VPN客户端和 VPN 集中器。智能终端可使用VPN客户端对作为企业Wi-Fi网络网关的VPN集中器进行身份验证。 每个智能终端均具有内置VPN客户端，可支持若干VPN集中器。智能终端上的VPN客户端旨在使用强加密在VPN集中器上对其进行身份验证。它可在智能终端和VPN集中器之间创建加密通道，智能终端和企业Wi-Fi网络可使用此通道进行通信。C. EMASP Server保护敏感的Wi-Fi信息应用场景：智能终端打开与Wi-Fi网络连接后，连接所产生的敏感信息面临安全威胁。解决方案：要允许采用Wi-Fi技术的智能终端访问Wi-Fi网络，必须使用Wi-Fi配置文件、VPN 配置文件和IT安全策略将敏感的Wi-Fi信息（如加密密钥和密码）发送至智能终端。终端接收敏感的Wi-Fi信息后，智能终端将对加密密钥和密码进行加密，并将它们存储在第三方应用程序无法访问的区域的闪存中。EMASP Server将对其发送至智能终端的敏感Wi-Fi信息进行加密，并将敏感的Wi-Fi信息存储在Configuration Database组件中，以便使用访问控制和配置设置保护Configuration Database中的敏感Wi-Fi信息。2.1.4.2 企业级移动应用平台连接安全连接安全指企业级移动应用安全平台体系中各部分之间的连接过程安全和数据安全。在安全操作上主要涉及以下三方面： 1、连接双方之间的身份认证 2、连接链路的安全保证 3、连接数据的加密智能终端有多种连接连接网络的方式，用以连接到Internet或内部网的服务器上，如下图所示：图4 智能终端连接网络的方式2.1.4.2.1 应用服务器与EMASP Server安全连接应用场景：在EMASP Server与应用服务器的通信建立过程中，面临各种攻击威胁。解决方案：EMASP Server将支持相应的安全标准来保护其与应用服务器之间的链路安全。针对不同的应用，EMASP Server将支持相应的安全标准来保护与该应用服务器间的通信。以与邮件服务器的连接为例，如采用Microsoft Exchange邮件 服务器，则EMASP Server和Microsoft Exchange Server采用Microsoft Exchange Server RPC协议进行通信。通过Microsoft Exchange服务器和Microsoft Outlook之间的MAPI连接，系统可使用128位加密来加密RPC通信。2.1.4.2.2 智能终端安全连接1) 智能终端通过EMASP Server访问网络A. 智能终端与EMASP Server间的身份认证应用场景：EMASP Server与智能设备互发数据前，终端须先对EMASP Server进行身份验证，以保证连接和后续数据传输的安全。解决方案：在EMASP Server和智能终端可互发数据前，终端须通过验证设备传输密钥来对EMASP Server进行身份验证，故须在EMASP Server中设置的Key Generator组件用于各种加密密钥的生成，并设置Authentication Service组件完成与验证相关的工作，只有通过验证后方可打开已验证的连接。 Authentication Service组件不知道EMASP Server和终端共享的设备传输密钥值。注：此处用于验证的协议采用是两批Schnorr标识方案的椭圆曲线版本，验证协议的思想是使用NIST推荐的521位椭圆曲线组验证通信过程中涉及的由各方提供的点是否为椭圆曲线组的一部分。B. 智能终端与EMASP Server间的链路安全应用场景：用户使用智能设备访问Internet或组织的内部网，智能设备与EMASP Server间收发数据面临安全威胁。解决方案：设计安全协议，专用于保护智能设备发送给EMASP Server的消息。 注：EMASP Server采用HTTP、TCP/IP和该安全协议来帮助智能终端访问Internet或组织内部网中的数据。智能终端和EMASP Server共享同一会话密钥。该安全协议以CBC模式将AES-128与PKCS#5填充结合使用，以便对智能终端和EMASP Server使用会话密钥相互发送的数据进行加密和解密。2) 智能终端通过其他方式连接Internet应用场景：智能终端通过WAP网关、公共Wi-Fi接入点连接Internet时，也面临各种安全威胁。解决方案：可使用一些专有协议保护其连接的安全性，例如针对WAP网关的连接，终端支持WTLS，WTLS会对信息进行加密和解密、验证用户身份并提供数据完整性等。2.1.4.2.3 连接数据加密应用场景：EMASP Server与智能终端建立连接后即开始互发数据，组织环境中数据的传输面临各种安全威胁。解决方案：EMASP Server可对其与智能终端间传输数据使用传输层加密。此外根据具体应用的安全需求，可对面向该应用的具体连接提升安全性。1、在EMASP Server中配置Dispatcher组件，以完成输出数据的加密和压缩以及输入数据的解压缩和解密，EMASP Solution使用AES或3DES作为用于加密数据的对称密钥加密算法。2、提升具体应用的连接安全性方面，以应用邮件服务为例，如果组织消息收发环境支持高安全性的消息收发技术，如PGP加密或S/MIME加密，则可将企业移动应用方案配置为使用PGP加密或S/MIME加密方法对消息进行加密（在IT策略里配置相应的规则）以便EMASP Server将消息转发至收件人的电子邮件应用程序时保持加密状态。图5 连接数据加密注：由于应用服务器与EMASP Server是内网环境下的连接，因此具有较好的安全防护机制，对加密需求较弱，通常情况下不做加密考虑，所以此处重点讨论EMASP Server与智能终端间数据的安全性。2.1.4.3 EMASP Server安全性EMASP Server作为EMASP Solution的核心，它的安全性体现了整个企业级移动应用解决方案的安全特性。此部分将主要考虑两方面：1、EMASP Solution安全特性；2、Server数据安全保护EMASP Solution安全特性包括完善的IT安全策略、严谨的访问控制规则以及分段式的网络架构；数据安全保护则从应用服务器数据、EMASP配置数据、IT安全策略数据三部分来介绍。2.1.4.3.1 EMASP Solution安全特性1）IT安全策略应用场景：智能终端在移动应用环境中会面临各种威胁，需要设置多重安全规则增强其安全性。解决方案：EMASP Server可使用IT安全策略对终端进行控制保证安全性，这就需要在EMASP Server中设置Policy Service组件来管理IT安全策略、服务器端对终端的各种管理命令和配置允许访问列表等工作。当智能终端激活后，EMASP Server会自动将已分配至用户账户或组的IT安全策略发送至智能终端。注：IT安全策略可包括多种规则，如： 加密以及加密强度 使用密码或者通行短语 使用Bluetooth无线技术的连接 保护智能终端上的用户数据和设备传输密钥 控制智能终端资源（如相机或GPS），可用于第三方应用程序 2) 配置允许列表应用场景：智能终端访问EMASP Server时，需保证访问过程安全性。 解决方案：可为被访问的EMASP Server配置允许列表来确定哪些智能终端可以访问EMASP Server，保证访问过程的安全可控，通过无线网络激活智能终端时，符合允许列表中指定标准的智能终端才可与EMASP Server相关联。 注：可定义以下类型的允许访问列表： 特定的智能终端PIN 智能终端PIN 的范围 特定制造商 特定的智能终端型号3）分段网络体系架构应用场景：在企业移动应用安全方案实施的网络环境中存在恶意软件的传播威胁。 解决方案：可使用防火墙将组织的网络或局域网分段并创建分段的网络体系架构。每段均可管理特定EMASP Server组件的网络流量，通过滤出不流向此分段的数据，增强分段的安全性和性能。要在分段的网络体系架构中配置EMASP Server，必须在独立于承载其他组件的计算机的计算机上安装每个EMASP Server组件，然后将每台计算机放置在其所属网段中，这样的创建方式可防止潜在攻击从承载EMASP Server组件的计算机上蔓延至组织局域网内的其他计算机。注：分段的网络体系架构旨在隔离攻击并将其限制在一台计算机上。 如果在相应分段中安装了EMASP Server组件，则必须通过仅打开EMASP Server组件所用的端口号来允许其与其他组件通信。2.1.4.3.2 数据安全保护1）应用服务器数据安全应用场景：根据应用类型不同，存在着不同安全级别的数据类型，需要加以区别进行存储以保证数据安全性。解决方案：设计思想是根据应用的不同设置不同的数据安全级别。例如，安全级别较低的数据可混合存放；中等安全级别的数据，按照不同应用的数据存储在不同的位置进行区分；对于高安全级别的数据进一步细分，除不同应用的数据存储在不同位置外，同一应用的数据根据不同的数据类型存放不同位置2）EMASP Server 配置安全应用场景：EMASP Server需要设置Configuration Database组件来存储所有配置数据，并需对Configuration Database考虑两类安全问题，1）配置数据的本地安全；2）配置数据迁移后的擦除。解决方案：1）配置数据的本地安全：EMASP Server对存储在Configuration Database中数据的保护方案如下表；2）配置数据的备份和EMASP Server故障后的擦除：当EMASP Server发生故障后为保证系统的正常运行，须进行快速切换或恢复，故事先须对EMASP Server中的Configuration database组件的备份，并在服务器切换后对原配置数据进行擦除以防泄露。EMASP Server配置安全措施审计数据库服务器的连接删除不安全的旧安装文件保护数据库服务器免受Internet攻击使用密码保护SA帐户使用安全的文件系统设置数据库服务器的权限级别注：须备份和擦除的数据包括： 每个EMASP Serv