BYOD企业移动设备管理技术-最新资料.docx

BYOD企业移动设备管理技术提出了中兴通讯自带设备办公(BYOD)解决方案。方案在终端层、接入层、限制层、应用分别解决企业面临的设备平安管理、应用平安管理及数据平安问题。终端层供应BYOD平安套件;接入层供应信令媒体接入网关和统一接入限制服务，供应移动设备平安接入服务，并供应统一的设备鉴权认证及用户鉴权认证：限制层用于限制移动用户及设备的行为模式；应用层用于供应详细的企业移动服务，包括通用的企业通信服务、企业办公应用支撑、虚拟桌面、企业网盘，以及企业业务相关的移动应用。携带自己设备办公；移动设备管理；移动应用管理：平安策略；环境感知ThisarticledescribesZTE,Sbringyourowndevice(BYOD)solutionstodevicesecuritymanagement,applicationsecuritymanagement,anddatasecuritymanagementattheterminallayer,accesslayer,andcontrollayer.TheterminallayerprovidesaBYODsecurityset.Theaccess1ayercontainsanaccessgatewayandunifiedaccesscontrol>whichprovidessecureaccessformobi1edevicesandunifieddeviceanduserauthentication.Atthecontrollayer,mobiIeuseranddevicebehaviorsarecontro1led.Theapplicationlayerprovidesspecificenterprisemobi1eservices,includinggeneralbusinesscommunications,corporateofficeapplicationsupport,virtualdesktop,enterprisenetworkdisk,andenterprisebusiness-relatedmobi1eapplications.BYOD；MDM：MAM：securitypolicy：scenariodetection随着移动Wi-Fi3G1.TE网络的快速发展、智能移动终端日益普及和性能的极大提升，移动应用和服务不断丰富，移动办公具备了条件。员工携带自己的设备办公自带设备办公(BYOD),带来了全新的办公体验：工作敏捷、效率提升、企业成本节约。BYOD已成为将来企业发展的趋势、业界的热点。依据FOrreSter公司的统计数据显示，2012年，37席的企业允许员工用自己的手机接入公司网络，34%的企业允许员工的平板接入,比2011年增长34%和30%oGartner公司的报告中在对北美1OOO家知名企业和学校的调研中，有72%的企业支持BYoD,15%安排支持BYoDo预料到2014年,将有90%的企业支持BYOD,到2016年，38%企业停止供应办公设备，2017年50%员工自带设备上班。BYOD带来便利的同时,也对企业IT提出了如卜.的严峻挑战:(I)平安的挑战 企业员工的自有移动终端不行避开地运行在担心全的外部网络，在采纳网页阅读、下载应用、收发邮件等方式访问公司信息时，简洁遭遇恶意攻击，很可能感染病毒或者被种植“木马”，移动终端再接入企业内部网络，会对内部网络平安构成极大威逼，同时可能导致企业内部的敏感数据被窃取。 员工在设备上随意下载和安装消费类应用，会降低系统的牢靠性，引入平安风险，造成企业数据丢失或设备功能失效。 智能移动设备便携性高、易丢失或被窃，会导致敏感商业信息的泄漏，对数据平安构成极大威逼，还会给企业带来法规遵从的风险。此外，移动终端会被恶意或者被他人非授权运用，产生拷贝、卜载或打印企业内部敏感资料的风险。（2）管理困难度的挑战BYOD卜.企业须要员工运用移动设备平安地访问企业网络的内部资源，能够跨物理、虚拟、移动和云环境自由地共享数据。如何统一管控众多非统一标准、分散各处的移动终端，在削减管理移动设备困难度的同时，降低企业部署成本，避开企业机密数据外泄，是一个重大挑战。它对IT管理员的工作增加了巨大的困难性，IT管理员疲于应对各种平安问题，为每种平安问题考虑和购买最新的工具，其中包括移动设备管理、系统漏洞管理、数据加密爱护等平安解决方案，这些最新工具和现有的反恶意软件技术捆绑在一起，让IT管理员管理网络更为困难。（3）基础设施扩展的挑战如何简洁、快捷地实现企业业务向移动环境的迁移和部署，避开困难的自开发带来的高成本，帮助企业IT部门应对困难的移动环境已成为一大挑战。BYOD变更了整个Fr生态系统，特殊是无线接入时，如何有效地部署企业无线网络，解决动态可扩展问题。如许多用户携带多个移动设备，不少设备会保持长连接，定期“醒来”连接到网络来检查电子邮件和执行其他定期更新，将使无线网络接入点饱和成为一个普遍的问题，带来各种平安管理设施的增加与完善问题，而且各种企业应用的移植，须要同时解决用户体验一样性问题。这些挑战是BYoD时代所特有的，采纳传统的方式很难得到解决。1 BYOD需求分析狭义的BYOD特指解决企业办公移动化所引发的移动平安管理，包括移动内容平安，设备平安以及应用平安。广义的BYOD包括全部与企业移动化相关的动作。BYOD的内涵如图1所示。1.1 企业业务移动化的层次企业对于业务移动化，可分为3个层次需求，如图2所示。（1）第一层次需求第一层次需求为通用办公需求。完成业务移动化的基础需求，主要内容包括：基本协同办公需求，如邮件、内部IM（即时消息）、公告、新闻、文档查看/分发/管理、在线打印、BBS等；实时通信需求，如内部IP电话、会议电话、视频会议、数据共享、共享白板等。该层次需求是各企业的共性需求，与业务关系不亲密。目前大多企业集中在第一层次。（2）其次层次需求其次层次需求为企业应用移动化需求。将企业特定的工作流由原来的桌血拓展到移动设备，供应基于移动终端的企业应用。典型场景如仓底人员巡检、出入库管理、物流管理、销售人员的销售管理/签到、领导的移动公务审批、出差人员的差旅管理、交警现场执法等等。这些办公事项是与岗位详细业务流程亲密相关，须要定制，并具有自然的移动业务办公需求，能极大提升办公效率。一些通用的企业应用HR、财务、IT系统等的移动化也属于其次层次需求。（3）第三层次需求第三层次需求为移动设备恒久在线、场景感知、业务陨场景平滑切换需求。第三层次是部分先进企业或高平安性单位，企业须要全天候监测员工的动向，在企业高平安性场景，可以通过策略设置或者定制终端等综合手段，强制在公司内网、Wi-Fi1.TE3G等移动状态、外部互联网环境下执行与互联网等环境下动态敏捷的实施不同的平安网络策略。例如有一些与企业部分平安级别高的亲密相关的应用只容许在特定工作场所（甚至是特定终端）启用，而禁止在其他运用互联网环境运用。随着企业平安意识的提升和精细化管理的需求，实施第三层次的BYOD管理燃眉之急，已成为必定的选择。1.2 移动平安需求业界一样认为平安问题是阻碍BYOD实施的主要问题1,主要包括3方面：（1）网络接入平安传统的企业网络相对封闭，有统一的网络入口和出口，全部进出内部网络的流量均可以被完全限制。随着BYOD的实施，原来固定在企业内部访问的终端设备，有部分设备需干脆接入到公网中，脱离了企业原来的管控。如何保障在公共网络的设备能够平安、牢靠、可信地访问企业服务成为一大问题。今后企业业务部署到公有云环境会成为普遍现象2,这时无论是服务端还是客户端有可能都脱离传统的企业局域网范围，网络的接入平安问题将更为突出。(2)数字内容平安在传统的PC机上，全部的内容均物理位于企业范用内，可以通过各种物理和管理防护手段确保内容平安。移动设备上数字内容如何保证平安就困难多了，更危急的是移动设备简洁遗失或被第三方窃取，如何能够保证用户身份失效后数据也失效，就成为一个关键的平安问题。BYoD对于内容平安的基本需求如下： 保证在移动设备上的数据是加密存储的，必需在经过身份认证后才能访问。 设备遗失时数据可以被远程销毁。 移动设备上，私人数据与公共数据必需存储隔离、访问隔离。 通用阅读器阅读的内容会被缓存，因此必需供应平安阅读器，保证加密缓存的内容。 全部应用保存的文件必需加密处理。 移动设备数据须要同步同云端服务器。 阻挡木马病毒窃取资料。 阻挡非法USB接口获得信息、。（3）设备平安移动终端设备因来源不行控，可能被内嵌恶意程序。要确保启动企业应用的设备环境是干净的，无关应用禁止运行。企业须要对设备进行管理和限制，确保只有经过IT登记后的设备才能够运行企业应用。管理人员可随时跟踪设备的状态。设备的终端操作系统须要可控，有任何漏洞能够远程打补丁。设备操作日志在合适的场景须要传送回企业，确保平安审计的完整性。用户丢失设备后，能够刚好远程锁定设备或擦除设备信息以防公司机密外泄。（4）传输平安外部网络环境下通信本身是担心全的，无线信号可能被截取，数字通信可能被中间的路由设备截取/篡改。在担心全的网络中要平安地运用企业服务，须要在移动终端与企业间构建一条平安的传输通道。移动通信有自己的特点，如信号不稳定、网络常常中断、终端耗电量要求等，导致传统互联网平安通道技术如VPN在移动互联网并不适用。（5）应用平安企业应用必需在平安的环境下运行，才能保证应用的可信性。新BYOD方案更加重视移动应用管理，只管理设备上的企业内容和应用，而非整个设备，提高员工效率同时爱护隐私。企业对于应用平安有如下要求：应用必需通过平安的渠道分发，确保不被发行过程篡改或注入非法代码一企业须要供应平安的应用商店。企业应用能够拥有完善的生命周期管理，从应用的分发，安装，到运用，升级，销毁都能够做到全生命周期监控。应用启动过程须要对环境进行检测，典型的企业应用须要独立人口访问，数据与其他个人应用能够完全隔离。1.3企业应用的移动化整合仅仅拥有BYOD系统是不足以完成企业移动化改造的，必需对企业办公系统进行全面整合，才能够适应企业移动办公的要求，这个就是企业BYOD的外延，如图3所示。企业应用移动化，必需解决以下几个问题：（I）IT策略整合企业须要将移动设备与传统IT设备整合管理。一个用户只需在一个地方设置一套固定策略，即可以统一管理归属于该用户的全部设备资源，保证新增BYOD系统对已有IT投资的侵入性最小，能够兼容整合各种企业策略管理方案。（2）用户身份系统整合大部分企业都有内部系统的单次登陆鉴权系统（SSO）,对应企业的组织架构管理、群组管理、权限管理，用户仅须要登录一次就可以无缝地访问全部IT设施。BYOD系统为了保证对现有系统的无侵入性，必需供应适当的用户开放实力接口，通过用户数据或者接口同步，第一时间反映企业用户关系、组织关系的变更,并能够与其他IT设施协同工作。（3）邮件系统整合传统的邮件访问都是通过阅读器或PC客户端，邮件移动化要求解决邮件刚好推送到终端的问题。传统的邮件移动化都是依靠专业的服务公司（如运营商及手机服务商）供应平安牢靠的邮件推送服务。大规模的企业应用移动化不应过分依靠于这些运营商及服务商，自建邮件推送平台能够更好地与企业邮件系统相互融合，或供应一些独到的企业增值服务。（4） Web应用/企业应用迁移每个企业都有大量的定制或外购Web应用及企业应用。为了业务移动化,必须要将部分Web业务/企业PC应用迁移到手机,这是企业BYOD项目中难度最大的内容。对于Web应用，目前有一些中间件系统可以帮助迁移，能够部分削减工作量。企业PC应用有两种做法：移动虚拟桌面方式，企业应用不需改造，但对移动设备的屏幕大小和辨别率有要求，太小了用户体验会很糟糕；开放接口二次开发，这种方式效果较好，但工作量大。（5）融合通信/会议系统企业办公移动化后，IM终端须要支持移动设备，供应数据实时推送实力及短信唤醒实力。会议系统如会议电话、桌面共享、电子白板、会议电视等也须要支持移动终端接入。（6）文档管理企业业务移动化后，一方面传统大量的PC文档须要能够被移动终端获得、阅读、修改。另一方面移动终端会生成大量电子文档，须要由服务端统一管理、备份、复制。对于移动文档管理须要供应对应的终端加密技术，保证存储在终端设备内的文档只有该终端是可读的，即使泄漏出去也无法被其他设备读取。这就涉及到DKM及移动加密文件系统技术。（7）社交与协作企业内的社交/协作工具，须要移动终端与PC或Web进行企业内的互动。假如须要迁移，方法与Web应用/企业应用迁移类似，可以通过移动Web中间件或开放接口方式进行社交及协作服务迁移。2BYOD关键技术分析下面介绍BYOD实施过程中须要用到的关键技术2.1 数据平安技术公钥基础设施（PKI）是一种遵循既定标准的密钥管理平台,它能够为全部网络应用供应加密和数字签名等密码服务及所必需的密钥和证书管理体系。简洁来说，PKI就是利用公钥理论和技术建立的供应平安服务的基础设施。PKl体系的核心是证巾中心（CA）。通过CA统一生成证书，注销证书，并通过各级RA实现证巾的平安发放。用户收到的证书包括公钥和私钥。每一对公钥和私钥可以完整认证运用者的身份信息。PKI体系在BYOD中有重要作用，可以运用证书建立平安套接层-虚拟私有网络（SS1.-VPN）平安通道,如图4所示。SSI-VPN对比传统VPN而言是一种轻量级的VPN3-4,在客户端和服务端各设置一个代理服务。由代理服务负责建立平安套接层（SS1.）通道，然后将应用须要交互的数据通过加密SS1.通道发送到对端，对端解密后交还给对应的服务或终端。服务端的SS1.VPN由于须要面对大量终端的恳求,一般运用独立设备实现,而终端侧一般将代理打包进应用，作为一个独立的进程，接收应用利用应用编程接口（APl）发来的数据包，通过平安套接层管道发送给SS1.TPN网关设备。运用证书进行内容签名的过程如图5所示。为了保证数字内容的真实性不被篡改，须要在内容后附带一个加密指纹。加密指纹是运用密钥，对于内容进行校验后用私钥加密，接收方运用公钥验证内容是否与签名符合。运用证巾进行数字内容加密。与签名流程类似，但目的不一样，签名是为了保证内容不被篡改，加密是为了保证只有拥有合法密钥的用户才能够阅读。因此加密运用的足密钥对中的公钥对内容进行加密处理，生成密文后，只有通过合适的私钥才能够顺当解开密文。2.2 2策略管理技术平安的策略管理包含几部分内容，如图6所示。 策略的定义与管理，这部分与传统IT策略相同，移动策略的4要素分别是时间、地点、应用/系统/实力、权限。 策略卜.发。将策略定义编码后卜.发到终端，终端解码后获得策略。目前这部分标准有两种：TR069和OMADMo标准定义了策略交换协议及编码格式。我们建议运用标准方式进行策略F发，这对于第三方比较友好，而且许多终端设备已经支持了这种设备管理协议。 策略的执行。下发后的策略必需在终端设备执行才能够使对应的策略生效。在终端上有策略执行引擎，不同操作系统卜策略执行引擎会有差别。 执行结果的反馈。策略执行完成后还须要进行反馈验证，确保策略已经生效。管理员也能够通过反馈通道随时查询到终端当前的策略状态。 状态统计与报告。在服务端须要定期统计策略执行状况并生成平安报告。2.3 环境感知技术能够有效地进行环境感知是BYOD实施第三阶段的前提条件。环境感知含义就是通过终端的各种传感器，如麦克风、摄像头、加速度计、GPS.Wi-Fi接入点信息、3G信号场强等等，能够判别出用户所处环境并设置对应策略。单纯通过这些传感器进行推断还是相当困难的，目前比较好的做法是采纳用户标记及服务端协助识别方式5。实现过程如下： 事先在特定场所进行环境变量采样，将采样的环境变量生成环境描述特征矩阵保存在服务端。 移动设备进入预定义场所后，搜集传感器信号，生成特征矩阵。 移动设备将采样特征矩阵传送给服务端，进行比较。 服务端比较移动终端采样特征矩阵与事先获得的环境描述矩阵进行适配，识别出移动终端是否处于特定环境下。 服务端将识别结果及对应策略卜.发到移动终端。 移动终端依据策略执行相应设定。2.4 应用隔离技术移动应用在终端运行过程中，须要确保首先应用本身处于平安运行环境，外界除非通过接口，否则无法干预应用的运行过程:其次应用生成的数据只有应用自己及可信的其他应用可以进行访问，非可信应用无法访问。对于移动应用隔离有3类方法（1）操作系统层面在Android操作系统中针对企业应用设立一个平安层，平安层运行的软件与其他软件隔离，即使手机受到病毒入侵，也无法访问获得平安层的数据，平安层内的应用和数据可以通过授权的服务远程限制及销毁。黑薜也供应类似功能IJ（2）应用层隔离手机内驻留一个BYOD应用作为设备管理器权限运行，该应用可以管理手机内其他应用及策略。通过该应用可以阻挡非授权第三方应用运行，以及配置相关的应用访问策略。另外，这种场景一般会写一个企业独立的1.aUnCher,该1.auncher启动后只能够看到企业应用，而看不到第三方应用，从而达到人口隔离的目的。（3）应用内平安隔离应用访问本地存储不干脆写明文文件，而是通过加密函数写入密文。其他企业应用运用相同的密钥后，可以读取密文并转换何明文。非授权应用没有密钥，没有方法读取加密文件。2.5 用户与设备认证技术传统的接入平安和访问限制多是以单次认证为主，即仅在接入或者进入企业信息系统内部时，验证一次用户的权限。在BYOD移动办公环境下，接入设备或者服务面临数量众多，不断加入和离开系统的各种设备，单次认证是不够的。设备可以通过已经获得认证授权的端口、服务或设备进入系统内部，从而绕过接入限制的限制。非法用户可以用这种方法获得授权用户的权限，对系统的平安造成严峻威逼。如802.IX供应端口认证，这在设备相对固定的状况下可以很好的保证接入平安，而在BYOD移动办公环境中，可能有许多设备不停地进入到一个端口对应的范围。这种状况卜.，一个已通过一次性认证的端口可能会被伪装设备欺瞒，并给予对应的设备访问企业内网的权限。用户所持的移动设备通常在经过一次认证，就获得了持续访问企业内网信息系统的权限。而移动设备本身的访问限制不高，通常没有平安爱护（如运用简洁的滑动锁）或仅有弱爱护（如运用9点屏幕锁）。同时，移动设备很容遗失或被盗。在这种状况I获得移动设备本身访问权限的人，可简洁的绕过高级别的平安措施，并通过移动设备，以移动设备原拥有者的访问企业内部信息系统。综上所述，要保证BYOD移动办公系统平安，必需供应对用户身份持续验证技术。对于移动用户与设备认证，须要解决两个问题：设备可信、操作者可信。目前一般采纳双因子认证或多因子认证方式保证。设备加入企业网后，企业依据设备信息生成对密钥，其中私钥以加密方式分发到设备，设备就与该私钥绑定，可以通过密钥交换策略认证设备的可信性。人员可信相对困难一些，最简洁是通过输入密码来验证用户身份。但为了达到持续验证目的，必定要求用户定期输入密码，用户体验很糟糕。常见的验证必需是被动的，并且对用户透亮，否则会由于过于突兀和不便利而不能被用户接受。用户的生理特征可以用来识别用户，而且通常与详细的用户紧密相关并难以伪造，因此一种可能的方法是运用生物识别技术。生物识别技术可以大致分为基于生理特征的生物识别和基于行为的生物识别6,移动终端可识别的生理特征包括指纹、容貌、声纹等，这些可以通过摄像头、麦克风等采集并进行验证。2.6 移动桌面共享技术通过移动桌面共享能够有效解决BYOD环境卜,传统PC客户端应用移植到移动设备的问题，并具备相当程度的平安性。桌面共享目前主要基于VNC协议或RDP协议,须要重点解决的问题是：带宽占用、响应的实时性。WindowS桌面可采纳RI）P协议，传送的是指令而非像素，带宽占用较少，但对于1.iUnX等其他桌面选择Tight压缩VNC更合适。对于不须要交互的场景，可以选择运用流媒体方式。在服务端将桌面信息转换为媒体流，传送到移动终端进行播放。该方案优点是带宽占用少，缺点是延迟较大。关键技术包括：多用户协同（白板/远程运维卜.的桌面共享/会议状况下桌面共享）、服务器对大并发的支持、对不同阅读器的兼容、对更多工具/协议的支持、审计（屏幕录像）。2.7 RTeNeb实时多媒体通信技术移动设备品牌、型号、操作系统众多，接入方式各异，支持的编码格式也不同。解决BYOD异构环境下的通信成为一个难题。基于WEB服务的RTCWcb轻量级多媒体通信成为BYOD环境下异构通信的较好解决方案70RTCWeb将多媒体协议做进阅读器中，运用阅读器就能够进行电视电话会议、闲聊、语音通话等，无需插件。一次开发可以在多操作系统多终端运用，升级维护只需在服务侧完成，对于移动应用来说这是个特别适合的技术，能够有效削减对于多种终端媒体格式编码解码的适配工作量。3中兴通讯的BYOD解决方案针对企业移动设备管理及企业应用移动化需求，中兴通讯供应了完善的企业级BYOD解决方案，如图7所示。中兴通讯的BYOD解决方案分为4个层次，解决企业BYOD面临的设备平安管理、应用平安管理及数据平安问题。（1）终端层供应BYOD平安套件，包括企业应用商店客户端、MI）M驻留服务、平安阅读器、企业平安场景切换工具、平安SDK等基础功能组件，以及办公应用组件和企业应用APP。能够自动依据企业场景切换可用应用列表，企业应用可以运用SDK建立平安SS1.-VPN链接并进行用户统一的鉴权认证。运用平安阅读器平安地访问企业内部网站而不泄漏信息。（2）接入层供应信令媒体接入网关和统一接入限制服务，供应移动设备平安接入服务，并供应统一的设备鉴权认证及用户鉴权认证。接入层进行数据加密服务，将内部网络非加密的网络恳求通过SS1.-VPN转换为平安加密通道发送到企业终端。（3）限制层用于限制移动用户及设备的行为模式。限制层供应企业应用生命周期管理、应用卜发、升级及销毁（MAM）、企业统一策略管理及下发、移动设备管理监控、用户日志回收、企业统一用户管理及用户证书发放/回收。（4）应用层用于供应详细的企业移动服务，包括通用的企业通信服务、企业办公应用支撑、虚拟桌面、企业网盘，以及企业业务相关的移动应用。这些移动应用服务统一通过接入层接入，通过限制层分发并在终端上执行。中兴通讯的BYOD解决方案较为完善地解决了当前BYOD实施过程中存在各种关键问题，是为用户带来部署简洁、实施快捷经济、运用体验更佳的新一代BYOl）方案。4结束语企业员工自己携带设备办公，为企业带来了新的办公体验，能够有效提升企业效率，但也随之带来一系列IT管理问题。目前BYOD领域新问题新技术不断涌现，还须要持续的探讨，进步的完善。在企业实施BYOD的过程中，须要遵循按部就班的原则，从成熟技术起先实施，并逐步积累相关技术及管理阅历，才能打造完整平安易用的企业无线办公环境，让员工和企业真正受益。