BYOD企业移动设备管理技术

提出了中兴通讯自带设备办公（BYOD）解决方案。方案在终端层、接入层、控制层、应用分别解决企业面临的设备安全管理、应用安全管理及数据安全问题。终端层提供BYOD安全套件；接入层提供信令媒体接入网关和统一接入控制服务，提供移动设备安全接入服务，并提供统一的设备鉴权认证及用户鉴权认证；控制层用于控制移动用户及设备的行为模式；应用层用于提供具体的企业移动服务，包括通用的企业通信服务、企业办公应用支撑、虚拟桌面、企业网盘，以及企业业务相关的移动应用。

携带自己设备办公；移动设备管理；移动应用管理；安全策略；环境感知

This article describes ZTE’s bring your own device （BYOD） solutions to device security management， application security management， and data security management at the terminal layer， access layer， and control layer. The terminal layer provides a BYOD security set. The access layer contains an access gateway and unified access control， which provides secure access for mobile devices and unified device and user authentication. At the control layer， mobile user and device behaviors are controlled. The application layer provides specific enterprise mobile services， including general business communications， corporate office application support， virtual desktop， enterprise network disk， and enterprise business-related mobile applications.

BYOD； MDM； MAM； security policy； scenario detection

随着移动Wi-Fi/3G/LTE网络的快速发展、智能移动终端日益普及和性能的极大提升，移动应用和服务不断丰富，移动办公具备了条件。员工携带自己的设备办公——自带设备办公（BYOD），带来了全新的办公体验：工作灵活、效率提升、企业成本节省。BYOD已成为未来企业发展的趋势、业界的热点。根据Forrester公司的统计数据显示，2012年，37%的企业允许员工用自己的手机接入公司网络，34%的企业允许员工的平板接入，比2011年增长34%和30%。Gartner公司的报告中在对北美1 000家知名企业和学校的调研中，有72%的企业支持BYOD，15%计划支持BYOD。预计到2014年，将有90%的企业支持BYOD，到2016年，38%企业停止提供办公设备，2017年50%员工自带设备上班。

BYOD带来便利的同时，也对企业IT提出了如下的严峻挑战：

（1）安全的挑战

·企业员工的自有移动终端不可避免地运行在不安全的外部网络，在采用网页浏览、下载应用、收发邮件等方式访问公司信息时，容易遭受恶意攻击，很可能感染病毒或者被种植“木马”，移动终端再接入企业内部网络，会对内部网络安全构成极大威胁，同时可能导致企业内部的敏感数据被窃取。

·员工在设备上任意下载和安装消费类应用，会降低系统的可靠性，引入安全风险，造成企业数据丢失或设备功能失效。

·智能移动设备便携性高、易丢失或被窃，会导致敏感商业信息的泄漏，对数据安全构成极大威胁，还会给企业带来法规遵从的风险。此外，移动终端会被恶意或者被他人非授权使用，产生拷贝、下载或打印企业内部敏感资料的风险。

（2）管理复杂度的挑战

BYOD下企业需要员工使用移动设备安全地访问企业网络的内部资源，能够跨物理、虚拟、移动和云环境自由地共享数据。如何统一管控众多非统一标准、分散各处的移动终端，在减少管理移动设备复杂度的同时，降低企业部署成本，避免企业机密数据外泄，是一个重大挑战。它对IT管理员的工作增加了巨大的复杂性，IT管理员疲于应对各种安全问题，为每种安全问题考虑和购买最新的工具，其中包括移动设备管理、系统漏洞管理、数据加密保护等安全解决方案，这些最新工具和现有的反恶意软件技术捆绑在一起，让IT管理员管理网络更为复杂。

（3）基础设施扩展的挑战

如何简单、快捷地实现企业业务向移动环境的迁移和部署，避免复杂的自开发带来的高成本，帮助企业IT部门应对复杂的移动环境已成为一大挑战。BYOD改变了整个IT生态系统，特别是无线接入时，如何有效地部署企业无线网络，解决动态可扩展问题。如很多用户携带多个移动设备，不少设备会保持长连接，定期“醒来”连接到网络来检查电子邮件和执行其他定期更新，将使无线网络接入点饱和成为一个普遍的问题，带来各种安全管理设施的增加与完善问题，而且各种企业应用的移植，需要同时解决用户体验一致性问题。这些挑战是BYOD时代所特有的，采用传统的方式很难得到解决。

1 BYOD需求分析

狭义的BYOD特指解决企业办公移动化所引发的移动安全管理，包括移动内容安全，设备安全以及应用安全。广义的BYOD包括所有与企业移动化相关的动作。BYOD的内涵如图1所示。

1.1 企业业务移动化的层次

企业对于业务移动化，可分为3个层次需求，如图2所示。

（1）第一层次需求

第一层次需求为通用办公需求。完成业务移动化的基础需求，主要内容包括：基本协同办公需求，如邮件、内部IM（即时消息）、公告、新闻、文档查看/分发/管理、在线打印、BBS等；实时通信需求，如内部IP电话、会议电话、视频会议、数据共享、共享白板等。该层次需求是各企业的共性需求，与业务关系不密切。目前大多企业集中在第一层次。

（2）第二层次需求

第二层次需求为企业应用移动化需求。将企业特定的工作流由原来的桌面拓展到移动设备，提供基于移动终端的企业应用。典型场景如仓库人员巡检、出入库管理、物流管理、销售人员的销售管理/签到、领导的移动公务审批、出差人员的差旅管理、交警现场执法等等。这些办公事项是与岗位具体业务流程密切相关，需要定制，并具有天然的移动业务办公需求，能极大提升办公效率。一些通用的企业应用HR、财务、IT系统等的移动化也属于第二层次需求。

（3）第三层次需求

第三层次需求为移动设备永远在线、场景感知、业务随场景平滑切换需求。第三层次是部分先进企业或高安全性单位，企业需要全天候监测员工的动向，在企业高安全性场景，可以通过策略设置或者定制终端等综合手段，强制在公司内网、Wi-Fi/LTE/3G等移动状态、外部互联网环境下执行与互联网等环境下动态灵活的实施不同的安全网络策略。例如有一些与企业部分安全级别高的密切相关的应用只容许在特定工作场所（甚至是特定终端）启用，而禁止在其他使用互联网环境使用。随着企业安全意识的提升和精细化管理的需求，实施第三层次的BYOD管理迫在眉睫，已成为必然的选择。

1.2 移动安全需求

业界一致认为安全问题是阻碍BYOD实施的主要问题[1]，主要包括3方面：

（1）网络接入安全

传统的企业网络相对封闭，有统一的网络入口和出口，所有进出内部网络的流量均可以被完全控制。随着BYOD的实施，原来固定在企业内部访问的终端设备，有部分设备需直接接入到公网中，脱离了企业原来的管控。如何保障在公共网络的设备能够安全、可靠、可信地访问企业服务成为一大问题。今后企业业务部署到公有云环境会成为普遍现象[2]，这时无论是服务端还是客户端有可能都脱离传统的企业局域网范围，网络的接入安全问题将更为突出。

（2）数字内容安全

在传统的PC机上，所有的内容均物理位于企业范围内，可以通过各种物理和管理防护手段确保内容安全。移动设备上数字内容如何保证安全就困难多了，更危险的是移动设备容易遗失或被第三方窃取，如何能够保证用户身份失效后数据也失效，就成为一个关键的安全问题。BYOD对于内容安全的基本需求如下：

·保证在移动设备上的数据是加密存储的，必须在经过身份认证后才能访问。

·设备遗失时数据可以被远程销毁。

·移动设备上，私人数据与公共数据必须存储隔离、访问隔离。

·通用浏览器浏览的内容会被缓存，因此必须提供安全浏览器，保证加密缓存的内容。

·所有应用保存的文件必须加密处理。

·移动设备数据需要同步回云端服务器。

·阻止木马病毒窃取资料。

·阻止非法USB接口获取信息。

（3）设备安全

移动终端设备因来源不可控，可能被内嵌恶意程序。要确保启动企业应用的设备环境是干净的，无关应用禁止运行。企业需要对设备进行管理和控制，确保只有经过IT登记后的设备才能够运行企业应用。管理人员可随时跟踪设备的状态。设备的终端操作系统需要可控，有任何漏洞能够远程打补丁。设备操作日志在合适的场景需要传送回企业，确保安全审计的完整性。用户丢失设备后，能够及时远程锁定设备或擦除设备信息以防公司机密外泄。

（4）传输安全

外部网络环境下通信本身是不安全的，无线信号可能被截取，数字通信可能被中间的路由设备截取/篡改。在不安全的网络中要安全地使用企业服务，需要在移动终端与企业间构建一条安全的传输通道。移动通信有自己的特点，如信号不稳定、网络经常中断、终端耗电量要求等，导致传统互联网安全通道技术如VPN在移动互联网并不适用。

（5）应用安全

企业应用必须在安全的环境下运行，才能保证应用的可信性。新BYOD方案更加重视移动应用管理，只管理设备上的企业内容和应用，而非整个设备，提高员工效率同时保护隐私。企业对于应用安全有如下要求：应用必须通过安全的渠道分发，确保不被发行过程篡改或注入非法代码—企业需要提供安全的应用商店。企业应用能够拥有完善的生命周期管理，从应用的分发，安装，到使用，升级，销毁都能够做到全生命周期监控。应用启动过程需要对环境进行检测，典型的企业应用需要独立入口访问，数据与其他个人应用能够完全隔离。

1.3 企业应用的移动化整合

仅仅拥有BYOD系统是不足以完成企业移动化改造的，必须对企业办公系统进行全面整合，才能够适应企业移动办公的要求，这个就是企业BYOD的外延，如图3所示。

企业应用移动化，必须解决以下几个问题：

（1）IT策略整合

企业需要将移动设备与传统IT设备整合管理。一个用户只需在一个地方设置一套固定策略，即可以统一管理归属于该用户的所有设备资源，保证新增BYOD系统对已有IT投资的侵入性最小，能够兼容整合各种企业策略管理方案。

（2）用户身份系统整合

大部分企业都有内部系统的单次登陆鉴权系统（SSO），对应企业的组织架构管理、群组管理、权限管理，用户仅需要登录一次就可以无缝地访问所有IT设施。BYOD系统为了保证对现有系统的无侵入性，必须提供适当的用户开放能力接口，通过用户数据或者接口同步，第一时间反映企业用户关系、组织关系的变化，并能够与其他IT设施协同工作。

（3）邮件系统整合

传统的邮件访问都是通过浏览器或PC客户端，邮件移动化要求解决邮件及时推送到终端的问题。传统的邮件移动化都是依赖专业的服务公司（如运营商及手机服务商）提供安全可靠的邮件推送服务。大规模的企业应用移动化不应过分依赖于这些运营商及服务商，自建邮件推送平台能够更好地与企业邮件系统相互融合，或提供一些独到的企业增值服务。

（4）Web应用/企业应用迁移

每个企业都有大量的定制或外购Web应用及企业应用。为了业务移动化，必须要将一部分Web业务/企业PC应用迁移到手机，这是企业BYOD项目中难度最大的内容。对于Web应用，目前有一些中间件系统可以协助迁移，能够部分减少工作量。企业PC应用有两种做法：移动虚拟桌面方式，企业应用不需改造，但对移动设备的屏幕大小和分辨率有要求，太小了用户体验会很槽糕；开放接口二次开发，这种方式效果较好，但工作量大。

（5）融合通信/会议系统

企业办公移动化后，IM终端需要支持移动设备，提供数据实时推送能力及短信唤醒能力。会议系统如会议电话、桌面共享、电子白板、会议电视等也需要支持移动终端接入。

（6）文档管理

企业业务移动化后，一方面传统大量的PC文档需要能够被移动终端获取、阅读、修改。另一方面移动终端会生成大量电子文档，需要由服务端统一管理、备份、复制。对于移动文档管理需要提供对应的终端加密技术，保证存储在终端设备内的文档只有该终端是可读的，即使泄漏出去也无法被其他设备读取。这就涉及到DRM及移动加密文件系统技术。

（7）社交与协作

企业内的社交/协作工具，需要移动终端与PC或Web进行企业内的互动。如果需要迁移，方法与Web应用/企业应用迁移类似，可以通过移动Web中间件或开放接口方式进行社交及协作服务迁移。

2 BYOD关键技术分析

下面介绍BYOD实施过程中需要用到的关键技术

2.1 数据安全技术

公钥基础设施（PKI）是一种遵循既定标准的密钥管理平台，它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI体系的核心是证书中心（CA）。通过CA统一生成证书，注销证书，并通过各级RA实现证书的安全发放。用户收到的证书包括公钥和私钥。每一对公钥和私钥可以完整认证使用者的身份信息。PKI体系在BYOD中有重要作用，可以使用证书建立安全套接层-虚拟私有网络（SSL-VPN）安全通道，如图4所示。

SSL-VPN对比传统VPN而言是一种轻量级的VPN[3-4]，在客户端和服务端各设置一个服务。由服务负责建立安全套接层（SSL）通道，然后将应用需要交互的数据通过加密SSL通道发送到对端，对端解密后交还给对应的服务或终端。服务端的SSL-VPN由于需要面向大量终端的请求，一般使用独立设备实现，而终端侧一般将打包进应用，作为一个独立的进程，接收应用利用应用编程接口（API）发来的数据包，通过安全套接层管道发送给SSL-VPN网关设备。

使用证书进行内容签名的过程如图5所示。

为了保证数字内容的真实性不被篡改，需要在内容后附带一个加密指纹。加密指纹是使用密钥，对于内容进行校验后用私钥加密，接收方使用公钥验证内容是否与签名符合。

使用证书进行数字内容加密。与签名流程类似，但目的不一样，签名是为了保证内容不被篡改，加密是为了保证只有拥有合法密钥的用户才能够阅读。因此加密使用的是密钥对中的公钥对内容进行加密处理，生成密文后，只有通过合适的私钥才能够顺利解开密文。

2.2 策略管理技术

安全的策略管理包含几部分内容，如图6所示。

·策略的定义与管理，这部分与传统IT策略相同，移动策略的4要素分别是时间、地点、应用/系统/能力、权限。

·策略下发。将策略定义编码后下发到终端，终端解码后获取策略。目前这部分标准有两种：TR069和OMA DM。标准定义了策略交换协议及编码格式。我们建议使用标准方式进行策略下发，这对于第三方比较友好，而且很多终端设备已经支持了这种设备管理协议。

·策略的执行。下发后的策略必须在终端设备执行才能够使对应的策略生效。在终端上有策略执行引擎，不同操作系统下策略执行引擎会有差别。

·执行结果的反馈。策略执行完成后还需要进行反馈验证，确保策略已经生效。管理员也能够通过反馈通道随时查询到终端当前的策略状态。

·状态统计与报告。在服务端需要定期统计策略执行情况并生成安全报告。

2.3 环境感知技术

能够有效地进行环境感知是BYOD实施第三阶段的前提条件。环境感知含义就是通过终端的各种传感器，如麦克风、摄像头、加速度计、GPS、Wi-Fi接入点信息、3G信号场强等等，能够判别出用户所处环境并设置对应策略。

单纯通过这些传感器进行判断还是相当困难的，目前比较好的做法是采用用户标记及服务端辅助识别方式[5]。实现过程如下：

·事先在特定场所进行环境变量采样，将采样的环境变量生成环境描述特征矩阵保存在服务端。

·移动设备进入预定义场所后，搜集传感器信号，生成特征矩阵。

·移动设备将采样特征矩阵传送给服务端，进行比较。

·服务端比较移动终端采样特征矩阵与事先获取的环境描述矩阵进行适配，识别出移动终端是否处于特定环境下。

·服务端将识别结果及对应策略下发到移动终端。

·移动终端根据策略执行相应设定。

2.4 应用隔离技术

移动应用在终端运行过程中，需要确保首先应用本身处于安全运行环境，外界除非通过接口，否则无法干预应用的运行过程；其次应用生成的数据只有应用自己及可信的其他应用可以进行访问，非可信应用无法访问。

对于移动应用隔离有3类方法

（1）操作系统层面

在Android操作系统中针对企业应用设立一个安全层，安全层运行的软件与其他软件隔离，即使手机受到病毒入侵，也无法访问获取安全层的数据，安全层内的应用和数据可以通过授权的服务远程控制及销毁。黑莓也提供类似功能。

（2）应用层隔离

手机内驻留一个BYOD应用作为设备管理器权限运行，该应用可以管理手机内其他应用及策略。通过该应用可以阻止非授权第三方应用运行，以及配置相关的应用访问策略。另外，这种场景一般会写一个企业独立的Launcher，该Launcher启动后只能够看到企业应用，而看不到第三方应用，从而达到入口隔离的目的。

（3）应用内安全隔离

应用访问本地存储不直接写明文文件，而是通过加密函数写入密文。其他企业应用使用相同的密钥后，可以读取密文并转换回明文。非授权应用没有密钥，没有办法读取加密文件。

2.5 用户与设备认证技术

传统的接入安全和访问控制多是以单次认证为主，即仅在接入或者进入企业信息系统内部时，验证一次用户的权限。在BYOD移动办公环境下，接入设备或者服务面临数量众多，不断加入和离开系统的各种设备，单次认证是不够的。设备可以通过已经获得认证授权的端口、服务或设备进入系统内部，从而绕过接入控制的限制。非法用户可以用这种方法获得授权用户的权限，对系统的安全造成严重威胁。如802.1X提供端口认证，这在设备相对固定的情况下可以很好的保证接入安全，而在BYOD移动办公环境中，可能有很多设备不停地进入到一个端口对应的范围。这种情况下，一个已通过一次性认证的端口可能会被伪装设备欺骗，并赋予对应的设备访问企业内网的权限。

用户所持的移动设备通常在经过一次认证，就获得了持续访问企业内网信息系统的权限。而移动设备本身的访问控制不高，通常没有安全保护（如使用简单的滑动锁）或仅有弱保护（如使用9点屏幕锁）。同时，移动设备很容遗失或被盗。在这种情况下，获得移动设备本身访问权限的人，可简单的绕过高级别的安全措施，并通过移动设备，以移动设备原拥有者的访问企业内部信息系统。

综上所述，要保证BYOD移动办公系统安全，必须提供对用户身份持续验证技术。

对于移动用户与设备认证，需要解决两个问题：设备可信、操作者可信。目前一般采用双因子认证或多因子认证方式保证。设备加入企业网后，企业根据设备信息生成一对密钥，其中私钥以加密方式分发到设备，设备就与该私钥绑定，可以通过密钥交换策略认证设备的可信性。

人员可信相对困难一些，最简单是通过输入密码来验证用户身份。但为了达到持续验证目的，必然要求用户定期输入密码，用户体验很糟糕。频繁的验证必须是被动的，并且对用户透明，否则会由于过于突兀和不方便而不能被用户接受。

用户的生理特征可以用来识别用户，而且通常与具体的用户紧密相关并难以伪造，因此一种可能的方法是使用生物识别技术。生物识别技术可以大致分为基于生理特征的生物识别和基于行为的生物识别[6]。移动终端可识别的生理特征包括指纹、容貌、声纹等，这些可以通过摄像头、麦克风等采集并进行验证。

2.6 移动桌面共享技术

通过移动桌面共享能够有效解决BYOD环境下，传统PC客户端应用移植到移动设备的问题，并具备相当程度的安全性。桌面共享目前主要基于VNC协议或RDP协议，需要重点解决的问题是：带宽占用、响应的实时性。Windows桌面可采用RDP协议，传送的是指令而非像素，带宽占用较少，但对于Liunx等其他桌面选择Tight压缩VNC更合适。对于不需要交互的场景，可以选择使用流媒体方式。在服务端将桌面信息转换为媒体流，传送到移动终端进行播放。该方案优点是带宽占用少，缺点是延迟较大。

关键技术包括：多用户协同（白板/远程运维下的桌面共享/会议情况下桌面共享）、服务器对大并发的支持、对不同浏览器的兼容、对更多工具/协议的支持、审计（屏幕录像）。

2.7 RTCWeb实时多媒体通信技术

移动设备品牌、型号、操作系统众多，接入方式各异，支持的编码格式也不同。解决BYOD异构环境下的通信成为一个难题。基于WEB服务的RTCWeb轻量级多媒体通信成为BYOD环境下异构通信的较好解决方案[7]。RTCWeb将多媒体协议做进浏览器中，使用浏览器就能够进行电视电话会议、聊天、语音通话等，无需插件。一次开发可以在多操作系统多终端使用，升级维护只需在服务侧完成，对于移动应用来说这是个非常适合的技术，能够有效减少对于多种终端媒体格式编码解码的适配工作量。

3 中兴通讯的BYOD解决

方案

针对企业移动设备管理及企业应用移动化需求，中兴通讯提供了完善的企业级BYOD解决方案，如图7所示。

中兴通讯的BYOD解决方案分为4个层次，解决企业BYOD面临的设备安全管理、应用安全管理及数据安全问题。

（1）终端层

提供BYOD安全套件，包括企业应用商店客户端、MDM驻留服务、安全浏览器、企业安全场景切换工具、安全SDK等基础功能组件，以及办公应用组件和企业应用APP。能够自动根据企业场景切换可用应用列表，企业应用可以使用SDK建立安全SSL-VPN链接并进行用户统一的鉴权认证。使用安全浏览器安全地访问企业内部网站而不泄漏信息。

（2）接入层

提供信令媒体接入网关和统一接入控制服务，提供移动设备安全接入服务，并提供统一的设备鉴权认证及用户鉴权认证。接入层进行数据加密服务，将内部网络非加密的网络请求通过SSL-VPN转换为安全加密通道发送到企业终端。

（3）控制层

用于控制移动用户及设备的行为模式。控制层提供企业应用生命周期管理、应用下发、升级及销毁（MAM）、企业统一策略管理及下发、移动设备管理监控、用户日志回收、企业统一用户管理及用户证书发放/回收。

（4）应用层

用于提供具体的企业移动服务，包括通用的企业通信服务、企业办公应用支撑、虚拟桌面、企业网盘，以及企业业务相关的移动应用。这些移动应用服务统一通过接入层接入，通过控制层分发并在终端上执行。

中兴通讯的BYOD解决方案较为完善地解决了当前BYOD实施过程中存在各种关键问题，是为用户带来部署简单、实施快捷经济、使用体验更佳的新一代BYOD方案。

4 结束语

企业员工自己携带设备办公，为企业带来了新的办公体验，能够有效提升企业效率，但也随之带来一系列IT管理问题。目前BYOD领域新问题新技术不断涌现，还需要持续的研究，进一步的完善。在企业实施BYOD的过程中，需要遵循循序渐进的原则，从成熟技术开始实施，并逐步积累相关技术及管理经验，才能打造完整安全易用的企业无线办公环境，让员工和企业真正受益。

参考文献

[1] MILLER K W， VOAS J， HURLBURT G F. BYOD： Security and Privacy Considerations [EB/OL]. [2013-08-21]. http：///xpl/articleDetails.jsp？arnumber=6320585.

[2] LIU L， MOULIC R， SHEA D. Cloud Service Portal for Mobile Device Management [EB/OL]. [2013-06-25]. http：///Publication/51021625.

[3] 马军锋. SSL VPN技术原理及其应用 [J]. 电信网技术， 2005，08：6-8.

[4] 周敬利，曾海鹏. SSL VPN服务器关键技术研究 [J]. 计算机工程与科学， 2005，06：7-9.

[5] 张艳红. 云计算在移动环境下的多融合服务研究 [J]. 电信工程技术与标准化， 2009，11：8-11.

[6] KHAN M K， ZHANG J S， WANG X M. Chaotic hash-based fingerprint biometric remote user authentication scheme on mobile devices [EB/OL]. [2013-09-11]. http：///science/article/pii/S1084804509001192.

[7] ISOMAKI M. RTCweb Considerations for Mobile Devices July2012. [EB/OL]. [2013-07-16]. http：///html/draft-isomaki-rtcweb-mobile-00.