移动安全解决方案
移动安全解决方案针对IT移动化出现的新特性,将面向设备的移动管理扩展至面向用户的移动管理。本方案覆盖了移动设备的注册、使用、注销;移动设备的检测,如越狱设备、取得root权限设备;移动设备登录上下文检测,如只有在可行WIFI或者合理地理位置才允许登录;移动设备上的用户自服务功能;移动设备上App的单点登录功能等。

随着移动化的推进,企业建立了各类型的App,这些App之间本身产生了信息孤岛,而用户也必须在各App上独立登录、独立退出,即使他们使用的是相同的企业账号。此外随着用户使用自己的设备进行办公,企业将不得不面对那些他们不能完全控制的设备,而这些设备又有可能在不够安全的家庭网络或者公共WIFI上进行登录。在这些新挑战下,本司提出了面向用户的移动解决方案。该解决方案的介绍如下:

1. 移动设备生命周期管理

移动设备支持注册、激活、运行、丢失、禁用等多种生命周期形态,其中设备的注册采用自动化注册模式,即用户登录认证通过之后,将由SDK自动将设备信息注册到访问控制服务器;而设备的激活、运行、禁用、丢失均由访问控制服务统一控制,或根据策略自动做生命周期转换,或根据管理手工进行设定,其中禁用或者丢失的设备将不能够进行App登录和App使用,从而达到保护设备,尤其是保护企业数据的安全。

下面是设备注册的示意图:
1) 用户使用静态密码进行登录
2) 访问控制服务器检测用户认证,如果认证通过,则下发配置策略到SDK
3) Smart SDK自动上传允许的设备信息

其中Smart SDK与访问控制服务器之间通道采用HTTPS加密传输,而本地信息同样进行加密存储。

设备状态变化示意如下,其中设备变化方式可以随企业要求不同而进行不同的配置:
2. 设备登录上下文检测

由于移动设备在绝大多数使用情况下归属于个人,该设备可能会被用户越狱或者取得root权限。此时设备的安全性将会降低,Smart SDK将会检测到设备安全信息的变化,从而根据策略决定用户是否能够继续使用App。

同时,设备的安全信息包括了IMEI, IMSI,MAC,Operator,APPName,可信WIFI等信息,此种信息的变化均可以被检测到,从而确定用户的使用环境是否安全,从而决定用户是否能够继续使用App。
3. App单点登录

设备上App使用两种方式进行单点登录:SDK登录和App登录

A. SDK登录方式
1) App1登录,采用自有界面登录,将用户名和密码发送给认证代理校验;
2) 认证代理到访问控制服务器申请Token;
3) 访问控制服务器返回Token;
4) 认证代理到访问控制服务器校验Token;
5) 访问控制服务器返回Token校验结果;
6) 认证代理返回给App1登录名称;
7) 用户点击App2进行登录,App2询问认证代理是否已经登录;
8) 认证代理到访问控制服务器校验Token;
9) 访问控制服务器返回Token校验结果;
10) 认证代理返回给App2登录名称。

B. App登录方式
1) App1登录,将请求转到认证门户;
2) 在认证门户上面输入用户名和密码后,模块到访问控制服务器申请Token;
3) 访问控制服务器返回Token;
4) 认证门户到访问控制服务器校验Token;
5) 访问控制服务器返回Token校验结果;
6) 认证门户返回给App1登录名称;
7) 用户点击App2进行登录,App2询问认证门户;
8) 认证门户到访问控制服务器校验Token;
9) 访问控制服务器返回Token校验结果;
10) 认证门户返回给App2登录名称。