目前,以智能手机和平板电脑为代表的移动终端产品取得了巨大的发展,在日常生活中逐渐普及,性能也逐渐可与传统电脑相媲美。越来越多的企业基于主流移动终端开发企业信息化办公平台,不仅提高了企业的生产效率,同时也解决了异地办公、应急处理等问题,极大增强了企业的综合管理能力与竞争力。
目前,企业信息化系统从网络访问方式划分,主要分为内部网访问和外部网访问。通常在企业内部,员工访问信息化系统基本通过内部网访问。在这种访问方式下,信息安全的风险相对较低,网络传输的数据往往经过简单加密,甚至不加密,系统的访问权限控制基本依靠用户名和密码。在外部网访问方式下,信息安全的风险则高了很多,员工访问信息化系统则需要使用VPN网络,或者通过HTTPs协议,网络传输的数据必须经过复杂加密才能保证信息安全。因此,为了更好地利用移动终端为企业服务,对于大多数企业而言,信息安全问题就需要得到妥善解决。针对此种状况,本文结合某大型国有航运企业的移动办公平台,提出了一种基于移动终端的企信息安全架构。
1.背景知识
1.1 移动终端系统简介
目前主流移动终端(手机、平板电脑等)的操作系统主要有IOS、Android(安卓)等。
IOS操作系统是由苹果公司为iPhone手机开发的操作系统,它同时也供iPad和iPod touch使用。IOS的系统架构分为4个层次:核心操作系统层、核心服务层、媒体层、可轻触层。IOS操作系统拥有极出色的安全性能,这是因为IOS上的每一款应用都运行于独立的“沙盒”之中。在IOS操作系统上开发应用,开发人员对于界面也无需过多考虑,因为iPhone和iPad的屏幕尺寸很有限。
Android(安卓)操作系统是一个以Linux为基础的半开放原始码作业系统,主要用于移动设备。安卓操作系统由Google公司成立的开放手持设备联盟(Open Handset Alliance,OHA)持续倡导与开发。安卓操作系统的安全性较IOS差一些,而且用安卓操作系统开发应用需要考虑多种界面设计,因为应用安卓操作系统的移动终端种类繁多。但是安卓操作系统是开源的,因而开发过程相对容易。
1.2 HTTPS协议简介
HTTPS(Hypertext Transfer Protocol over secure socketlayer)是加人了ssL层的HTTP协议。HTTPS协议需要使用经ssL加密传输的数据信息,所以HTTPS协议的安全基础是SSL。
HTTPS协议在使用过程中需要向CA申请证书,在数据传输过程中需要身份认证。使用HTTPS协议进行身份认证时,有单向认证和双向认证两种方式。单向认证是指客户端在通过HTTPS协议连接服务器时,只需要用到服务器的CA证书,只能保证数据传输过程的安全;而双向认证是指客户端除了需要用到服务器的CA证书外,还需要客户端的CA证书,这样在通过HTTPs协议进行网络数据传输时,既保证了数据传输过程的安全,同时也对客户端的身份进行了验证,从而比较适合于企业信息化的应用。
1.3 CA证书简介
CA(certifiCAte authority)是负责签发证书、认证证书、管理已颁发证书的第三方电子认证中心。CA具有合法性、中立性、权威性和公正性。它通过制定相应政策和具体步骤来验证、识别用户身份,并对用户证书进行签名,以此检验证书持有者的身份和公钥的拥有权,并且通过加解密的方法来实现网络数据交换的安全性。
目前CA证书可以由付费的CA证书认证中心获得,也可以利用免费的0penssL软件包自行生成获得,这是一种不错的选择。OpenssL支持Linux、Windows、BSD、Mac、VMS等平台,主要由密码算法库、SSL协议库和应用程序3部分组成。OpenssL提供的功能囊括了主要的密码算法、SSL协议和常用的密钥与证书封装管理功能。OpenssL提供的CA应用程序就是一个小型的证书管理中心,实现证书签发的整个流程和证书管理的大部分机制。
2.系统设计
2.1 系统总体设计
目前基于移动终端的企业移动办公平台主要应用在广域网中。移动终端利用无线网络,结合服务器证书和用户证书,使用HTTPS协议安全地对服务器进行访问。
应用场景如图1所示:
图1 企业信息安全架构应用场景图
基于移动终端的企业信息安全架构主要由服务器和客户端组成(如图2所示),其中服务器和客户端之间的通讯采用HTTPS协议。服务器端包括CA证书模块和权限控制模块,客户端包括证书申请模块和系统登录模块。
图2 企业信息安全架构图
2.2 CA证书模块和证书申请模块
CA证书模块和证书申请模块提供如下功能:
1)生成系统的CA证书和所有合法用户的CA证书。
在系统的服务器端,服务器预先为系统生成包含服务器公钥的唯一证书(该证书可供所有用户下载使用),同时服务器将生成的唯一私钥进行留存,配合服务器的证书将通过HTTPS协议访问的数据进行加密。
用户CA证书则根据移动办公平台上所有合法用户列表生成。生成所有的用户CA证书后,系统将用户和其对应的证书信息保存在服务器数据库中,供日后用户申请使用。
2)将系统的CA证书分发给所有用户,将合法用户的CA证书根据用户信息分配给对应的合法用户。
在移动终端上,当用户安装移动办公平台后,可以通过平台提供的服务器CA证书下载功能,直接获取服务器的CA证书,并按照系统提示,将证书安装在移动终端上。
当安装完毕服务器CA证书后,用户就可以申请其指定的证书了。用户将其账号信息发送给系统服务器,服务器端对账号信息进行验证,如果存在该账号,则会向绑定该账号的用户公司邮箱发送一封邮件,内含移动终端下载用户CA证书所需的验证码信息。验证码在指定时间内有效,使用一次后即失效。用户在移动终端处将验证信息发送给服务器后,如果通过服务器的验证,服务器则会将该合法用户的指定CA证书发送到移动终端上,至此完成了服务器和用户证书的分发功能。用户可以使用移动终端在身份验证成功后登录移动办公平台。
2.3 权限控制模块和系统登录模块
权限控制模块和系统登录模块提供如下功能:
1)根据用户CA证书检验用户是否有权登录系统。
当移动终端通过HTTPS协议连接服务器时,服务器会强制验证用户证书是否有效,如果通过验证,才会进一步处理移动终端发送来的数据信息。
2)根据用户CA证书检验登录系统的用户名是否为证书对应的合法用户。
当用户证书通过服务器验证后,服务器会根据用户证书中的信息,确定使用该移动终端的用户账号信息。通过对比发送来的用户名信息,就可以确定用户登录账号是否合法。这样就保证了移动终端上,用户只能使用自己的账号信息登录移动办公平台。
3)对于连续登录系统3次而无法通过用户名和密码验证的用户,禁止该用户在一段时间内访问系统。
当服务器连续3次验证用户账号信息失败时,服务器会禁止该用户在一定时间内访问系统。这样就保证了如果用户证书不慎丢失,非法用户也无法通过暴力破解的方式登录移动办公平台。
4)当用户移动终端发生丢失时,禁止该用户访问系统。移动终端使用过程中,经常可能发生丢失现象。当用户发现自己的移动终端丢失时,需要在第一时间通知公司的信息技术部门,将该用户账号冻结,这样即便别人得到移动终端,也无法继续访问系统,从而保障了移动办公平台的安全性。
3.系统展现和运行效果
目前某大型国有航运企业的信息技术中心已经成功完成其移动办公平台的研发工作。下面以iPhone移动终端为例,展示如何使用移动终端申请证书,从而实现移动终端通过HTTPS协议双向认证机制访问服务器:
1)用户进入移动办公平台,如果已经设置过证书,则直接输入用户名和密码即可登录平台;否则点击“重设证书”进入设置页面。
2)点击“安装CA证书”按钮,则自动下载服务器CA证书,下载完毕后用户根据提示完成证书安装。如果点击“下一步”,则会下载指定用户的CA证书。
3)用户向服务器提供其账号信息,服务器根据该信息向他发送一封邮件。
4)用户提供的账号信息被验证是合法有效的,服务器发送邮件完毕。
5)用户从邮件中获取验证码,向服务器提交该验证码。
6)系统提示下载用户证书成功。
通过以上6步,移动终端完成了证书配置过程,移动终端可以使用HTTPS协议双向认证机制连接服务器。合法用户输入其正确的用户名和密码后,即可登录移动办公平台,进行其工作。系统实际运行过程中,服务器和客户端运行状态稳定。
在客户端,如果用户不下载服务器CA证书或用户CA证书,则无法访问服务器。用户在下载自己的用户证书后如果使用别人的账号登录系统,则会提示无法登录系统。
本系统通过采用HTTPS协议双向认证机制,防止非法用户对网络传输的系统信息进行监听,并且在客户端有效避免了非法用户采用暴力破解方法对系统服务器进行攻击;通过采用用户CA证书,识别了登录系统的用户信息,有效解决了合法用户通过其他用户身份登录系统的问题。
4.结束语
移动办公日趋成为以后的主流工作方式。本文结合某大型国有航运企业的移动办公平台,提出一种基于移动终端的企业信息安全架构。该安全架构在实际运行过程中,通过采用HTTPS协议双向认证技术,有效提高了企业信息化系统的安全性,为企业日后将移动办公应用到移动终端提供了良好的解决方案。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:基于移动终端的企业信息安全架构设计与实现