基于Android的無線辦公安全接入系統設計

王志國 李航 曹巍

【摘 要】針對解決Android移動終端的安全接入企業內部辦公網絡及防治失泄密問題，提出了一種智能移動終端管理方案即無線辦公安全接入系統，實現了身份認證、透明加密、安全白名單等功能，保證了智能移動終端存儲數據的安全性，設計了對BYOD用戶的權限管理，保證了BYOD用戶操作行為的合法性。

【關鍵詞】安全接入 Android BYOD

一、引言

當今智能移動終端不斷發展，越來越多的員工傾向于使用智能移動終端取代計算機來處理公司數據，許多企業開始考慮允許員工自帶智能設備使用企業內部應用，BYOD 模式應運而生。相比傳統信息化的模式，BYOD環境主要存在四個方面的安全隱患：第一，BYOD是通過移動網絡鏈路接入，天然處在一個開放的網絡，而傳統重要的信息系統都是通過企業內網接入；第二，BYOD使用的環境與傳統信息化模式不一樣，傳統的大部分時間都在固定的辦公場所，設備丟失可能性很小，BYOD通常使用移動智能終端，更加容易丟失；第三，BYOD使用的個人設備上往往同時安裝很多個人的APP，而個人APP市場上的惡意軟件多如牛毛，這就將企業數據置于失泄密的安全隱患之中；第四，BYOD用戶會出現違規操作，越權訪問企業數據，容易導致企業機密數據的泄露。

針對以上問題，我們提出了一種全新的智能移動終端管理方案——基于智能移動終端的無線辦公安全接入系統 ，本系統實現身份認證和透明加密等功能，保證了智能移動終端存儲數據的安全性；建立了安全軟件白名單，杜絕惡意軟件的使用；設計了對BYOD用戶的權限管理，保證了BYOD用戶操作行為的合法性。

二、系統總體設計

本系統由服務器端、智能移動終端、客戶端組成。除了智能移動終端自身的安全驗證外，服務器還可實時地監控智能移動終端，掌握智能移動終端的實時動態。

管理員對公司內網平臺上的文件設定一定訪問限制，用戶根據自己的權限合理使用服務器平臺上的信息。同時，管理員對智能移動終端上的數據進行實時監控，對終端和外界的每一次數據交互進行日志記錄，根據安全軟件白名單自動識別智能移動終端上的惡意軟件，并強制卸載。管理員具有對一切服務器平臺以及用戶的信息進行管理的權限。而超級管理員能添加刪除管理員。

新用戶在進入某單位后，公司要對用戶的智能移動終端進行注冊，設定用戶的信息并分配用戶權限，在智能移動終端上統一安裝客戶端。用戶的智能移動終端連入公司內部網絡后，通過智能移動終端上的客戶端認證后才能正常使用公司內部資源。

公司內部資源分別存儲在服務器四個文件夾中，分別為不涉密文件夾、秘密文件夾、機密文件夾和絕密文件夾。而用戶也分別具有四級權限，分別為一般權限、秘密級權限、機密級權限、絕密級權限。一般權限的用戶只能訪問不涉密文件夾，秘密級權限的用戶可以訪問秘密文件夾和普通文件夾，以此類推，絕密級用戶具有訪問所有文件夾的權限，文檔也被設定相應的密級存儲在相應的文件夾下。服務器上和智能移動終端中所存儲的內部文件均已加密。服務器向智能移動終端上的客戶端下發軟件白名單，用戶需要使用的安全軟件均在白名單中，禁止使用任何不在白名單上的軟件，杜絕惡意軟件的使用；通過服務器實時更新客戶端上每個應用的訪問權限，極大程度保護終端上數據的安全性總體的結構。

三、關鍵技術設計

1.透明加解密技術

利用Hook技術實現Android上的透明加解密，主要方法是 Hook目標應用程序的open和close函數的符號存在的動態鏈接庫，在open操作進行的時候，將密文文件分塊解密到內存中，并將該內存中的文件標識符返回。在close操作進行的時候將內存中的明文加密到本地密文存儲。

2.服務器架構設計

服務器端平臺采用了基于J2EE架構的多層體系結構設計，實現了組件化設計理念，采用瀏覽器+中間件+應用服務器+數據庫服務器的多層結構，顯示邏輯、業務處理邏輯和數據訪問邏輯分開，擁有完備的安全控制結構和通用的數據訪問結構。實踐表明基于J2EE架構的各類交易平臺運行穩定、性能高、易于維護并具有良好的可擴展性和安全性。

3.本地文檔訪問控制設計

本系統的關鍵技術之一就是本地文件訪問的安全控制。這項技術有效地保護了在本地對文檔的訪問安全，確保了文件在本地訪問的安全。系統將文檔的訪問與透明加密以及權限驗證成功整合，有效地實現文檔訪問的權限驗證，防止了對文檔的非法訪問，加強了文檔訪問的安全性。主要流程是：首先用戶訪問請求，經過權限驗證模塊、環境可信驗證模塊以及完整性驗證模塊，請求通過后再通過透明加解密模塊操作存儲系統中的關鍵檔案。

四、結論

本系統很大程度上適應了智能移動終端保密、方便管理、權限控制的需求，既方便了用戶的使用也確保了公司內部信息的安全，構建了一個通用而安全的智能移動終端管理模式，可應用于政府部門、軍隊等高保密單位和對智能移動終端安全性及信息保密性要求較高的企業組織或單位，具有廣泛的應用前景。

參考文獻

[1]朱理森，張守連.計算機網絡應用技術[M].北京：專利文獻出版社，2001.

[2]謝希仁.計算機網絡（第4版）[M].北京：電子工業出版社，2003.

[3]鄭磊，馬兆豐，顧明.基于文件系統過濾驅動的安全增強型加密系統技術研究[J].小型微型計算機系統，2007（7）：1181-1184.

[4]邵昱，蕭蘊詩.基于文件系統過濾驅動器的加密軟件設計[J].計算機應用，2005（5）：1151-1152.