BYOD与安全:鱼与熊掌可兼得

以搭载android系统及苹果IOS系统为代表的移动智能终端的流行与普及让越来越多的企业员工喜欢将自己的移动智能终端设备应用到自己的工作上去,他们将自己的移动智能终端设备接入企业内部网络,在提高工作效率的同时,也给企业的信息安全管理带来了新的挑战。BYOD,已不仅仅只是一种潮流,也不会只是一时的流行。据相关调查显示,超过7成的企业认为在企业内部网络使用BYOD会增加企业信息安全问题,而接近8成的受访者表示,他们网络的个人设备     

基于加密SD卡的内网移动终端可信接入方案

为了解决因不可信移动终端非法接入内网导致的信息安全问题,设计了一种基于加密SD卡的内网移动终端可信接入方案。通过可信计算技术,以加密SD卡作为可信硬件设备实现了移动终端设备的可信启动、完整性验证与内网可信接入,并对接入后移动终端与内网的数据交互过程提供了一种加密通信安全存储机制。实验结果表明,该方案在不改变移动终端基本架构的前提下,较为高效地对移动终端进行安全性认证,并在一定程度上保护内网环境的安全。     

移动智能终端平台基于行为的远程证明方案

移动智能终端平台集通信、社交、网上购物、娱乐等众多功能于一身,恶意程序对相关服务的破坏可能威胁到用户财产和个人隐私的安全. 远程证明是可信计算的核心功能之一,它使得移动智能终端能向远程服务提供方证明平台运行状态的安全性. 传统的远程证明方案主要应用于计算机平台,无法很好的适应软件频繁更新、多方服务共同运行的移动智能终端环境. 针对移动智能终端环境的特点,本文设计了一种基于行为的远程证明方案,通过软件开发人员定义软件行为列表,终端系统强制实施行为限制,服务提供方自定义策略对终端环境进行验证的方式,满足了服务提供方保障其服务安全运行的需求. 方案原型的实现和评估表明本文方案兼具较强的安全能力和较高的性能.     

基于TrustZone的可信移动终端云服务安全接入方案

可信云架构为云计算用户提供了安全可信的云服务执行环境,保护了用户私有数据的计算与存储安全. 然而在移动云计算高速发展的今天, 仍然没有移动终端接入可信云服务的安全解决方案. 针对上述问题, 提出了一种可信移动终端云服务安全接入方案, 方案充分考虑了移动云计算应用背景, 利用ARM TrustZone硬件隔离技术构建可信移动终端, 保护云服务客户端及安全敏感操作在移动终端的安全执行, 结合物理不可克隆函数技术, 给出了移动终端密钥与敏感数据管理机制. 在此基础之上, 借鉴可信计算技术思想, 设计了云服务安全接入协议, 协议兼容可信云架构, 提供云服务端与移动客户端间的端到端认证. 分析了方案具备的6种安全属性, 给出了基于方案的移动云存储应用实例, 实现了方案的原型系统. 实验结果表明, 可信移动终端TCB较小, 方案具有良好的可扩展性和安全可控性, 整体运行效率较高.     

趋势科技发布移动终端安全战略

如今,随着智能终端和移动宽带技术的迅猛发展,智能手机、平板电脑、便携式PC等移动设备也在不断升级;并且,越来越多的企业员工将移动设备引入办公环境中,自带终端上班BYOD(Bring Your     

移动可信接入轻量级认证与评估协议

为增强移动终端可信网络接入认证与评估协议的可用性,降低网络通信负载及终端计算负载,提出一种轻量级的身份认证与平台鉴别评估协议。协议基于接入双方在首次接入时共享的认证密钥以及对方的可信平台配置信息,在不需要可信第三方参与的情况下,完成快速的身份认证与鉴别评估。协议减少了网络数据交换次数以及接入双方的计算工作量,在保证接入认证与评估所需的安全属性的同时,还增强了平台配置信息的机密性以及抵抗重放攻击的能力。安全性和性能分析表明,所提协议适合无线网络通信环境下的移动终端可信网络接入。     

基于可信网络连接的安全接入技术

在网络访问控制中,验证终端实体的完整性状态,对于网络安全具有十分重要的意义。而传统的网络安全解决方案对此却无能为力。利用可信网络连接技术,可以评估并认证终端实体的完整性状态和安全级别,当终端的完整性及其它安全属性达到系统安全策略的要求时,方可允许该终端接入网络,这就增强了网络系统的安全性和可信性。     

一种结合移动IP和SIP实现IP网络移动性管理的优化方案

本文提出了一种网络层和应用层相结合实现IP网络移动性管理的新方案。移动终端的固定IP地址作为数据传输的地址;当终端和所在子网使用的是不同的IP子网前缀时,使用转交地址形成隧道对数据进行收发;SIP地址作为用户帐号,是在应用层使用服务的地址,通过把它动态地和移动终端绑定来使用终端。方案中还提出了以SIP地址域的分级方式进行组织管理的用户数据库系统,定义了为子网中移动终端服务的区域代理。新方案能够对现役设备和协议改动较小的程度下,为下一代网络提供移动性管理。     

一种路由设备服务可信属性定义方法与可信路由协议设计

受主观意志和研发能力影响,路由设备生产商难以严格按其对用户承诺提供路由产品,导致设备及其组件中可能存在漏洞与后门,这将给核心网络带来严重的安全威胁。文章为此提出一种路由设备服务可信属性的定义和动态测量方法,并设计相应的可信路由协议,以优化核心网络服务可信属性,促进网络信息传输安全。文章首先分析核心网络范围内网络服务可信属性与信息传输安全的关系,论证通过量化路由设备服务可信属性,同时基于该属性设计可信路由协议,可实现设备资源受限条件下信息传输安全效益的最大化。其次引入"信任度"的概念定义路由设备服务可信属性,在设计基于设备信任度和当前互联网在用路由协议的域内域间可信路由协议的基础上,理论证明上述协议下最优可信路由的存在。接着提出一种基于分组可信路由与实际转发路径一致性检测的路由设备信任度动态量化技术。最后构造可信路由网络模型,检测可信路由协议的安全效益及其对传统路由开销的影响,结果显示可信路由可显著增加信息传输的安全性,其带来的传统路由开销的增长及路由变化的频率与幅度可容忍。     

企业安全面临的新难题

BYOD（Bring Your Own Device）指携带自己的设备办公,这些设备包括个人电脑、手机、平板等。而更多的情况指手机或平板这样的移动智能终端设备。许多企业开始考虑允许员工自带智能设备使用企业内部应用。企业的目标是在满足员工自身对于新科技和个性化追求的同时提高员工的工作效率,降低企业在移动终端上的成本和投入。但这同样意味着,企业的安全风险也增多了。     

基于谷歌Android系统的企业级安全防护方法

随着移动数据技术的进步和通信基础设施建设（如：3G等）的日益成熟与普及,越来越多员工已经不仅仅在办公室处理单位的日常事务,各企事业单位和移动办公人员用手机、PDA和笔记本等移动终端通过公共通信网络（CDMA／GPRS／WCDMA等）访问单位内部的资源和应用,但是,这种通过公共网络接入也给单位网络引入了新的安全威胁,而传统的终端VPN已经满足不了现有的智能手机／平板电脑等移动终端的安全接入需求;一方面,如何保证在开放网络中保障移动终端用户身份和接入安全、数据保密性以及网络边界完整性等安全接入要求,成了移动终端应用推广的重点关切问题,另一方面,由于移动终端容易丢失,如何保证移动终端内存储数据的安全性呢？一旦安全事件爆发,其危害性将远远大于计算机病毒。因此非常有必要深入研究移动终端面临的安全威胁和应对策略。     

XACML的移动应用安全策略及测试方法

随着移动互联网技术的发展,具有计算功能的移动终端被大量部署,并在大量移动应用的支撑下完成各项任务;愈来愈多的企业允许员工带着他们的个人设备进入工作环境(BYOD模式)。但不同的人员有不同的角色,不同的资源有不同的访问权限,敏感资源一旦被泄露,将可能给企业带来重大的损失。因此,要想全面支持BYOD,保障数据和系统的安全,需要相应移动应用对敏感资源的访问控制进行明确的规定,并在移动应用运行过程中执行。XACML是访问控制策略的统一描述语言,但目前还未见其对移动应用和BYOD的支持。提出基于XACML语言描述移动应用的访问控制策略,研究XACML访问控制策略的测试方法;在此基础上,面向BYOD,针对Android平台上的项目管理APP进行了实例研究,结果展示了所提方法的有效性。     

Novel access and remediation scheme in hierarchical trusted network

Trusted computing technology is expected to guarantee security for network and terminal in future communication environment. In this work, we introduce the concept of trusted attribute to build a novel framework for hierarchical trusted access and feasible remediation. The categorization of trusted attribute is justified primarily in terms of the point in the boot cycle of a system at which the respective attributes are measured. The concept of trusted attribute is extended to the notion of a “trusted grade” that is granted by a new added module so-called trusted level division function. Also we give a reasonable example of dividing trusted grades. We discuss the promising applications of our presented framework and the access procedure of terminal. The simulations show that by the proposed framework, not only the security and reliability of network can be ensured, but also the flexibility of terminal to access network is improved. And that the presented framework can provide necessary supports for interoperability of different equipment manufacturers. It also can be concluded that the presented remediation framework is easy to be deployed, by which the convenient and reliable remediation services are able to be offered to those terminals without achieving the security standards of local network.     

面向BYOD的流式移动应用分发系统

在目前BYOD解决方案实现方式中,程序、数据全部存储在移动设备中,安全保障主要依赖移动设备上复杂的访问控制;同时现有方案不能充分利用移动设备的位置信息进行权限管理。针对上述问题,结合应用流式的思想,设计并实现了一个流式移动应用分发系统——AS-Droid。其拥有基于位置信息进行灵活的应用授权、管理的能力,并且使用轻量级客户端。实验结果表明,系统在BYOD下具备可用性,健壮性及安全性。进一步实验数据表明,在应用下载、安装及启动过程中,AS-Droid系统比Android系统能够减少超过35%的时延及大约25%的流量消耗,同时两种系统能耗基本持平。     

智能移动系统的网络安全研究

随着移动技术的发展,越来越多人员已经不仅在办公室处理日常事务,他们已开始使用手机、PDA和笔记本等移动终端通过公共通信网络访问单位内部的资源和应用.但是,这种通过公共网络接入也给单位网络引入了新的安全威胁,而传统的终端VPN已经满足不了现有的智能手机/平板电脑等移动终端的安全接入需求：一方面,如何保证在开放网络中保障移动终端用户身份和接入安全、数据保密性以及移动通信传输过程的一致性和完整性等安全要求;另一方面,由于移动终端容易丢失,如何保证移动终端内存储数据的安全性.因此,本文对基于Android架构的移动系统安全体系及所面临的安全威胁进行阐述并提出一些相应的防范措施.     

面向网络隔离架构的业务流行为控制高可信交互框架

本文提出一种面向网络隔离架构的业务流行为控制的高可信交互框架,解决了企业互联网移动应用难以访问复杂安全架构下的高安全区业务数据的问题,确保了业务系统关键数据的安全.在网络安全防护要求下,引入移动接入网关,分解业务数据跨安全区交互过程,通过特殊的访问转换与通信方法,实现了业务数据通过各型隔离装置的安全、可信传输和业务流行为控制.该框架目前已在员工报销、考勤打卡、电力系统配网抢修、移动巡检等多个业务领域得到广泛应用.     

A trusted access method in software-defined network

In software-defined networks (SDN), most controllers do not have an established control function for endpoint users and access terminals to access network, which may lead to many attacks. In order to address the problem of security check on access terminals, a secure trusted access method in SDN is designed and implemented in this paper. The method includes an access architecture design and a security access authentication protocol. The access architecture combines the characteristics of the trusted access technology and SDN architecture, and enhances the access security of SDN. The security access authentication protocol specifies the specific structure and implementation of data exchange in the access process. The architecture and protocol implemented in this paper can complete the credibility judgment of the access device and user's identification. Furthermore, it provides different trusted users with different network access permissions. Experiments show that the proposed access method is more secure than the access method that is based on IP address, MAC address and user identity authentication only, thus can effectively guarantee the access security of SDN.