基于Android系統的企業級移動應用數據安全防護技術的研究與實現

[摘 要] 通過研發“基于Android的RFID數字識別系統”可以更好地解決當前企業級移動用戶數據傳輸安全系數不高的問題，通過利用非對稱加密算法來實現安全認證和加解密，實現了利用RFID介質進行密文存儲與傳送，保障了企業應用在移動辦公中的安全性和運行可靠性。

[關鍵詞] Android；RFID；企業級移動應用；數據安全

[中圖分類號] TP311.13 [文獻標識碼] A

1 數據安全防護現狀分析

傳統的數據防護技術主要是基于固網及個人電腦，在新形勢下，基于手機等智能移動終端開展辦公等相關業務的需求已變得較為迫切，并且業務需求尚不能得到滿足。另外，移動辦公帶來的新風險主要來自于三方面：一是移動智能終端自身安全機制，以及接入網絡的技術實現方式，使得企業內部的重要信息資源處于一種高風險的狀態，易受到外部的非法訪問；二是移動用戶通過公共網絡對總部信息網絡進行業務訪問時，數據包在開放的網絡中傳遞，易被竊聽或篡改，相對在局域網中或者專網中的數據傳輸需要更高的安全性；三是新型木馬的“攻擊性”與“目的性”日漸增強，存儲有價值數據的設備一旦被感染，后果非常嚴重。另外因設備丟失、被盜而衍生出來的數據泄密亦不可小覷。

2 系統的研究與開發

在當前企業級移動用戶的數據安全極具風險的背景下，由某煙草公司委托，鄭州升達經貿管理學院與北京天方恒銳科技有限公司共同為其開發了一套基于Android系統的企業級用戶移動應用的數據安全防護技術——“基于Android的RFID數字識別系統”。該系統可應用于企業管控一體化系統中，譬如“發卡服務、證書服務、密匙服務、RFID識別等數據安全防護體系。

2.1 主要研究內容

2.1.1 企業級移動應用中安全需求的調研和分析，企業級移動應用安全體系的梳理和設計，數據加密、強認證等基礎安全服務的建設。

2.1.2 完善服務器及移動應用安全服務體系，其內容涵蓋認證與授權、本地數據安全、鏈路數據安全、異常/突發情況的處理等。

2.1.3 形成覆蓋整個企業移動應用體系的安全服務體系，能夠在企業和員工兩個層面提供移動應用安全服務。

2.2 解決方案

2.2.1 項目實施進度

該項目由2011年8月開始，至2012年12月結束，主要分為四個階段：第一、分析Android系統在移動智能終端應用現狀；研究數據安全防護的技術指標；設計數據安全系統技術架構、系統認證流程和系統物理網絡拓撲結構；第二、建設企業主站層，即配備企業中心機房的相關設備，包括防火墻、強隔離裝置、CA服務器、接口服務器、應用服務器和數據庫服務器的軟硬件開發，為系統的正常運行提供安全保障；第三、為基層員工配備RFID電子工牌，采集員工個人信息，保證系統的授權訪問與數據安全。為企業管理層和決策者配發E人E本、手機、智能終端等移動終端設備，同時解決到辦公室PC機的安全接入以及企業二級單位和互聯網用戶的聯網需求問題；第四、系統硬件的統一配備檢測，軟件運行的測試以及技術指標的改善。

2.2.2 主要實現原理

該系統主要是通過將RFID技術運用到Android系統當中，來提高系統數據傳遞的安全性，通過內置超遠程UHF和HF多頻段RFID模塊可以讀寫基于EPC C1/G2，ISO18000-6B/6C協議的各種標簽。

其實現原理主要是通過接收來自電子標簽的微波反射信號，并將微波反射信號變換為數字信號傳送到信號處理模塊進行解碼處理。信號處理模塊主要負責對指令信號和電子標簽數據信號的處理。它接收來自管理系統的指令信號，將指令信號編碼后送到射頻接口，由射頻接口變換為微波信號發送出去；同時，它也接收來自射頻接口的電子標簽數據信號，將電子標簽數據信號解碼后送到Android管理系統。

2.2.3 應用

該系統于2013年1月由北京天方恒銳公司研制成功并開始投入使用，應用范圍包括資產管理、考勤管理、生產線在線人員監控、辦公區域內人員定位和移動應用平臺安全認證等。該系統的使用為企業應對信息化風險提供了新的技術手段，并通過這種新型物聯網技術的應用，讓企業能夠隨時隨地感知、測量、獲取和傳遞信息，實現了信息的有效對接，同時也讓使用者體會了什么是“更透徹的感知”。

2.3 系統優點分析

如此設計的系統主要有以下三個優點：第一、易于安裝部署。由于系統采用模塊化開發，因此能夠方便集成，易于安裝部署。第二、運行穩定。該系統運行穩定，可靠性高，可以在有效識別范圍內識別RFID信息。第三、提高了安卓系統的安全性。通過分別對用戶認證和機密數據頁面進行安全測試，在無RFID介質的情況下，系統成功地避免了非法用戶使用正確密碼登錄，而機密數據也需通過二次認證以后才能正常顯示。

該系統從移動終端用戶身份安全、移動終端網絡接入安全、網絡數據通信安全、應用訪問控制安全、數據存儲與訪問控制安全等多個環節，全面構建智能移動終端的數據安全防護體系，為企業級移動互聯網用戶提供信息安全保障，為企業量身打造更安全、更富有延展性的完整數據安全解決方案。從技術方面來講，支持分布式部署和多服務器集群，從而保證在智能終端等多個平臺中搭建統一、整體、完備的安全服務體系，與其他同類產品相比，具有更好的安全防護效果。

3 軟件功能檢測

2013年1月，在北京天方恒銳公司開發部部署了異構環境下基于Android的RFID數字識別系統，并進行了性能測試，檢驗測試環境包括數據庫服務器、應用服務器、安全認證服務器、Android平板電腦一臺、RFID電子工牌若干，以及無線路由器一個。

在檢測過程中，首先部署企業應用環境和無線路由器，測試數據庫服務器、應用服務器、安全服務器和無線局域網可以互聯互通，平板電腦可以通過無線網絡訪問應用服務器；其次進行RFID后臺發卡，并在證書服務器中注冊；第三步測試平板電腦借助RFID工牌進行安全性登錄測試；第四步RFID工牌注銷后系統拒絕登錄測試。表1列舉了部分的功能測試情況，可以看到該系統的主要功能都得到了很好的實現。

通過對Android系統平臺上企業級移動應用數據安全防護技術的研究，進而實現企業級用戶的管控一體化和移動指揮調度，最大化減少企業移動辦公和管理風險。當設備丟失時，由于實現RFID身份卡于平板電腦處于分離狀態，非法用戶無法僅靠口令登錄企業移動辦公平臺，更無法獲得敏感數據和下達非法調度指令。

4 總結

基于Android系統的RFID識別系統很好地利用了非對稱加密算法來實現安全認證和加解密，實現了利用RFID介質進行密文存儲與傳送，保障了企業應用在移動辦公中的安全性和運行可靠性。另外，該系統已經分別部署在北京天方恒銳公司、太原煙草公司等單位，并進行了多種應用，包括安全認證、員工考勤、生產線人數監控等，均取得良好效果。

該系統在實際使用中還存在一些不足：一是系統性能還有一定的優化空間，可優化安全認證模型，以降低系統開銷、提高性能指標；二是系統的加密智能終端與服務器、公司本部、二級單位以及互聯網間傳輸數據的防護還需要進一步優化，以提高系統的可靠性。

參考文獻：

[1]袁志堅等.Android平臺安全威脅及其應對策略[J].計算機技術與發展，2013，（09）.

[2]賀昕等.異構無線網絡切換技術[M].北京：北京郵電大學出版社，2008.

[3]汪濤.無線網絡技術導論[M].北京：清華大學出版社，2008.

作者簡介：焦陽（1985.2-），女，碩士，助教，研究方向：圖像處理與計算機應用。

李鑫（1980.1-），女，碩士，講師，主要研究方向：計算機網絡與通信。