安全移動(dòng)辦公解決方案

1、安全移動(dòng)辦公解決方案北京微通新成網(wǎng)絡(luò)科技有限公司北京微通新成網(wǎng)絡(luò)科技有限公司2011年年目錄一、背景分析二、解決方案思路三、架構(gòu)與技術(shù)介紹四、展望移動(dòng)互聯(lián)網(wǎng)等產(chǎn)業(yè)發(fā)展的新機(jī)遇 隨著互聯(lián)網(wǎng)、移動(dòng)通信及消費(fèi)類智能電子產(chǎn)品的快速發(fā)展，以及國內(nèi)外在3G網(wǎng)絡(luò)、云計(jì)算和物聯(lián)網(wǎng)等領(lǐng)域的著重投入，不僅給傳統(tǒng)ISP/SP和運(yùn)營商帶來了新的挑戰(zhàn)，也給企業(yè)和行業(yè)的IT應(yīng)用帶來了新機(jī)遇：n 3G移動(dòng)互聯(lián)網(wǎng)越來越普遍的3G接入服務(wù)，使業(yè)務(wù)處理有機(jī)會(huì)打破有線網(wǎng)絡(luò)邊界的傳統(tǒng)束縛，提高工作效率并帶來更多的業(yè)務(wù)機(jī)會(huì)；n 云計(jì)算隨著云計(jì)算概念逐漸被廣泛接受并得到基礎(chǔ)設(shè)施投入，更多的業(yè)務(wù)和數(shù)據(jù)可以在云端服務(wù)器處理，并通過便攜移動(dòng)終

2、端訪問；n 智能電子產(chǎn)品隨著Apple iphone/ipad以及Android、WP7等智能移動(dòng)終端在消費(fèi)市場(chǎng)迅速成為主流，智能移動(dòng)終端及其交互模式逐漸被接受，促進(jìn)了使用此類設(shè)備處理業(yè)務(wù)的需求，同時(shí)保證了設(shè)備在市場(chǎng)上的充足供給；n 物聯(lián)網(wǎng)隨著物聯(lián)網(wǎng)概念及其相關(guān)產(chǎn)業(yè)的發(fā)展，對(duì)分布式的數(shù)據(jù)采集、處理與管理的需求也會(huì)逐漸出現(xiàn)，因此需要移動(dòng)式的處理系統(tǒng)及交互終端。智能移動(dòng)終端帶來的“后PC時(shí)代” Apple IOS與Android等新興移動(dòng)系統(tǒng)的快速崛起，在傳統(tǒng)筆記本/臺(tái)式機(jī)之外，從手機(jī)的基礎(chǔ)上走出了一條新發(fā)展之路，特別是智能平板設(shè)備促成了“后PC時(shí)代”的到來：n Apple iphone/ipad

3、的品牌效應(yīng)，是智能終端成為被廣泛接受的主流；n 開放的Android平臺(tái)與國內(nèi)強(qiáng)大“山寨”生產(chǎn)能力的結(jié)合，帶來了智能終端在市場(chǎng)上可保證的充足供給，并有了“按需定制”的可能性。Iphone/ipadAndroid手機(jī)/平板淘寶網(wǎng)上的千元Android平板觸摸屏帶來的便捷交互方式 “憤怒的小鳥”等游戲的流行，使消費(fèi)者迅速接受基于觸摸屏的“指、點(diǎn)、劃”等便捷交互方式，特別對(duì)不熟悉鼠標(biāo)/鍵盤操作的中老年使用者體現(xiàn)出巨大親和力。HTML5打破了C/S與B/S的邊界 HTML5標(biāo)準(zhǔn)的普及，以及支持HTML5標(biāo)準(zhǔn)的瀏覽器逐漸成熟，可以快速部署的跨平臺(tái)富媒體客戶端逐漸成為移動(dòng)互聯(lián)網(wǎng)乃至PC桌面應(yīng)用的主流：n基

4、于HTML標(biāo)準(zhǔn)的B/S模式已逐漸成為企業(yè)應(yīng)用的主流，特別是其具有的免安裝部署特性；nC/S模式應(yīng)用通常能夠提供更友好的界面和響應(yīng)速度，但是安裝部署以及客戶端適應(yīng)性會(huì)帶來較大的挑戰(zhàn)；n隨著主流瀏覽器支持能力的持續(xù)優(yōu)化，基于HTML5/CSS3標(biāo)準(zhǔn)的富媒體客戶端越來越得到普及，特別適用于需要便捷交互方式、跨平臺(tái)支持和快速響應(yīng)的智能移動(dòng)終端應(yīng)用。n Canvas API實(shí)時(shí)2D圖像繪制與渲染；n 實(shí)時(shí)多媒體音視頻播放；n Web Storage比Cookie強(qiáng)大的本地信息存儲(chǔ)；n File API本地文件處理；n 離線支持指定離線使用應(yīng)用所需要在本地緩存的文件；n 文檔中不同組件間的消息通信；n W

5、eb Socket直接進(jìn)行TCP/IP訪問；n 其它新特性HTML5（示例） 目前部分HTML5已能夠達(dá)到超越桌面應(yīng)用的展示效果與用戶體驗(yàn)，而且還出現(xiàn)了適用于移動(dòng)終端的HTML5框架。目錄一、背景分析二、解決方案思路三、架構(gòu)與技術(shù)介紹四、展望迫切的移動(dòng)辦公需求 隨著移動(dòng)互聯(lián)網(wǎng)及以ipad為代表的智能移動(dòng)終端快速普及，包括銀行、證券、保險(xiǎn)以及大型企業(yè)內(nèi)也出現(xiàn)了較為迫切的移動(dòng)辦公需求：n 寬帶與3G網(wǎng)絡(luò)的普及，使在公務(wù)旅途乃至家庭中辦公具有了網(wǎng)絡(luò)傳輸?shù)谋ＷC，因此也自然地引出了擺脫工位束縛進(jìn)行“全天候”辦公、提高時(shí)間利用效率的需求；n 移動(dòng)互聯(lián)網(wǎng)、移動(dòng)內(nèi)聯(lián)網(wǎng)乃至移動(dòng)物聯(lián)網(wǎng)的推廣，是采用便攜設(shè)備在移動(dòng)

6、狀態(tài)下進(jìn)行業(yè)務(wù)具備了可實(shí)現(xiàn)性；n Iphone/ipad/GalaxyTab等移動(dòng)終端設(shè)備漸漸成為主流，其便捷的使用方式也日益吸引著企業(yè)用戶嘗試將其應(yīng)用到工作相關(guān)的領(lǐng)域 。移動(dòng)辦公目前遇到的瓶頸 但是目前移動(dòng)辦公應(yīng)用在推廣的過程中還是面臨著一些瓶頸，而解決這些問題也正是IT服務(wù)提供商的機(jī)遇：n 如何保障安全由于移動(dòng)辦公將打破傳統(tǒng)有線網(wǎng)絡(luò)邊界束縛，因此如何在無線及移動(dòng)網(wǎng)絡(luò)上確保信息與業(yè)務(wù)的安全，是企業(yè)用戶對(duì)移動(dòng)辦公的最大顧慮；n 企業(yè)結(jié)構(gòu)兼容移動(dòng)互聯(lián)網(wǎng)應(yīng)用正在從消費(fèi)市場(chǎng)向企業(yè)市場(chǎng)轉(zhuǎn)移，目前大量移動(dòng)互聯(lián)應(yīng)用尚未全面考慮與企業(yè)IT架構(gòu)的融合，因此如何與企業(yè)IT架構(gòu)保持兼容、實(shí)現(xiàn)企業(yè)級(jí)移動(dòng)辦公應(yīng)用，也

7、是企業(yè)IT管理部門的重要顧慮；n 結(jié)合行業(yè)經(jīng)驗(yàn)企業(yè)應(yīng)用比消費(fèi)市場(chǎng)更注重IT應(yīng)用與生產(chǎn)運(yùn)營實(shí)際情況的結(jié)合，因此如何行業(yè)的信息化應(yīng)用經(jīng)驗(yàn)，是企業(yè)用戶在推動(dòng)移動(dòng)辦公等新型應(yīng)用前會(huì)重點(diǎn)關(guān)注的問題。 例如目前ipad設(shè)備與PKI認(rèn)證系統(tǒng)兼容問題； 例如深層次上ipad設(shè)備處理保密信息時(shí)的可靠性問題； 例如目前金融機(jī)構(gòu)對(duì)移動(dòng)設(shè)備安全性的顧慮。安全移動(dòng)辦公解決方案的定位 我們通過對(duì)發(fā)展趨勢(shì)與行業(yè)應(yīng)用的調(diào)研，提出安全移動(dòng)辦公解決方案的定位如下：n 以具有底層硬件安全設(shè)備的智能化移動(dòng)終端作為客戶端工具；n 使用整合了安全體系的智能服務(wù)器所提供的內(nèi)容轉(zhuǎn)換、頁面重構(gòu)、服務(wù)調(diào)用、數(shù)據(jù)處理和信息存儲(chǔ)等服務(wù)；n 向用戶提

8、供安全的、與業(yè)務(wù)需求相適應(yīng)的移動(dòng)服務(wù)功能；n 從而向用戶提供更友好、更方便的用戶體驗(yàn)，提高電子化業(yè)務(wù)處理方式的接受程度，并協(xié)助用戶以更高的效率完成工作。 競(jìng)爭(zhēng)優(yōu)勢(shì)結(jié)合硬件安全設(shè)備的整體安全解決方案； 業(yè)務(wù)機(jī)會(huì)可拓展的服務(wù)端與客戶端架構(gòu)體系； 后續(xù)價(jià)值用戶對(duì)持續(xù)支持服務(wù)的高粘著度。目錄一、背景分析二、解決方案思路三、架構(gòu)與技術(shù)介紹四、展望應(yīng)用架構(gòu)安全架構(gòu)示意圖嘗試從端到端的視角分析傳輸及應(yīng)用兩層的安全機(jī)制，其中客戶端的安全插件、安全庫、安全驅(qū)動(dòng)和安全硬件是實(shí)現(xiàn)身份認(rèn)證、保證安全性的基礎(chǔ)：15通信技術(shù)用戶移動(dòng)應(yīng)用平臺(tái)外網(wǎng)通信加密化外網(wǎng)通信加密化內(nèi)網(wǎng)通信代理化內(nèi)網(wǎng)通信代理化關(guān)鍵提交簽名化關(guān)鍵提交簽名

9、化提交核心數(shù)據(jù)加密化提交核心數(shù)據(jù)加密化終端終端安全網(wǎng)關(guān)服務(wù)端技術(shù)n 對(duì)于可提供數(shù)據(jù)服務(wù)的應(yīng)用，采用SOA機(jī)構(gòu)，即EBS（數(shù)據(jù)轉(zhuǎn)換、路由等），接口（Web Service、）。n 對(duì)于需要從頁面級(jí)進(jìn)行集成的應(yīng)用，采用Apache作為反向代理服務(wù)器，編寫插件，將數(shù)據(jù)流調(diào)用外部的Java、XLT等技術(shù)，進(jìn)行頁面重組。n 通過與集團(tuán)身份管理與認(rèn)證系統(tǒng)集成，建立每個(gè)用戶在所有系統(tǒng)中的用戶映射關(guān)系，并單點(diǎn)登錄到各系統(tǒng)?？蛻舳思夹g(shù)在安全移動(dòng)辦公客戶端上主要采用了以下技術(shù)：n 基于WebKit引擎的HTML5/CSS3頁面渲染技術(shù)；n 利用Android的Intent消息體系建立的插件體系；n 利用原筆跡手寫

10、技術(shù)實(shí)現(xiàn)的輸入插件；n 以SDKey為核心硬件安全模塊，貫穿全系統(tǒng)各層次并與終端設(shè)備緊密集成的加密安全體系：n安全算法支持：RSA（1024位）、DES/3DES、ECC（192位）、3DES-MAC、 ISO3309_CRC16、隨機(jī)數(shù)生成器、SHA-1、MD5；n支持卡內(nèi)產(chǎn)生RSA密鑰對(duì)（1024位），平均時(shí)間2s；n3DES加密運(yùn)算速率：50s；nECC（192位簽名）生成/驗(yàn)證：20ms/40ms；n能夠存放至少5個(gè)以上容器，支持一個(gè)容量雙證書，預(yù)留10K安全區(qū)空間給用戶存放私有信息；n安全芯片通過國際EAL5+安全認(rèn)證；n由核心權(quán)威安全部門研制開發(fā)?？蛻舳税踩夹g(shù)n 客戶端文件及文件

11、夾加密n 客戶端郵件加密n 客戶端身份認(rèn)證客戶端安全技術(shù)文件及文件夾加密應(yīng)用程序初始化服務(wù)接口后，可以調(diào)用字節(jié)流加解密接口、文件加解密接口以及文件夾加解密接口。客戶端安全技術(shù)文件加密原型客戶端安全技術(shù)文件夾加密原型客戶端安全技術(shù)郵件加密郵件加解密功能需集成在Android郵件客戶端中，因?yàn)锳ndroid郵件客戶端沒有類似插件機(jī)制，所以需要定制開發(fā)一款帶有加解密功能的郵件客戶端程序。郵件加解密功能，主要可以分為兩類，郵件本地加解密和郵件傳輸加解密。郵件加解密一期目標(biāo)：實(shí)現(xiàn)本地加密存儲(chǔ)，實(shí)現(xiàn)郵件內(nèi)容和附件加密傳送，采用國際標(biāo)準(zhǔn)算法。郵件加解密二期目標(biāo)：調(diào)用TF卡或USBKEY中的國密算法進(jìn)行加解密?？蛻舳税踩夹g(shù)郵件加密原型客戶端安全技術(shù)身份認(rèn)證n 和聲音、走路姿勢(shì)、笑容等生物特征一樣，每個(gè)人在鍵盤上擊鍵的特征具有獨(dú)特和唯一的特征。n 和PC鍵盤類似，在平板電腦上的虛擬鍵盤上，也可以基于用戶輸入用戶名和密碼的節(jié)奏進(jìn)行身份識(shí)別。n 既能快速準(zhǔn)確識(shí)別用戶身份，又能節(jié)約部署和維護(hù)成本?？蛻舳税踩夹g(shù)身份認(rèn)證原型目錄一、背景分析二、解決方案思路三、架構(gòu)與技術(shù)介紹四、展望行業(yè)應(yīng)用推廣的展望 以移動(dòng)辦公解決方案的框架體系和技術(shù)儲(chǔ)備為基礎(chǔ)，可以向具有移動(dòng)業(yè)務(wù)處理需求的各個(gè)領(lǐng)域拓展：n 面向金融機(jī)構(gòu)移動(dòng)業(yè)務(wù)終端