● 摘要
智能手机、平板电脑等移动设备的普及使企业开始允许员工自带设备办公(Bring Your Own Device,BYOD),移动办公的便捷性与高效性也增大了企业信息安全的风险。员工个人设备的移动性和安全状态的不确定性,增加了企业移动设备管理的难度,为员工账户信息和商业敏感数据带来了泄露的风险。
针对以上问题,本文设计了BYOD方式下企业应用访问的安全机制。主要包括两个方面:对账户信息安全采用基于策略的双因子身份鉴别技术,确保用户身份的真实性;对企业内部敏感数据采用动态的数据监控与隔离机制,确保设备上的企业应用内部数据及外部数据不被设备上的第三方应用获取。
论文的主要工作如下:
针对移动设备的认证安全问题,提出基于安全策略的双因子身份鉴别机制,形式化描述了安全策略及“设备+口令”的鉴别因子组合,实现对用户和移动设备的双重认证。
提出一种基于随机软键盘的动态口令生成技术,利用移动平台的输入特点,设计具有随机布局和随机字键映射的双随机软键盘,解决身份鉴别中口令的安全威胁。
提出一种移动设备的敏感数据监控与隔离算法,对移动设备上敏感联系人及短信数据监听并隔离;全生命周期监控企业应用内部敏感数据,避免剪贴板等进程间通信造成数据泄露,并实现服务器端对移动设备上数据的远程擦除。
最后以Android系统为例,开发了移动办公安全软件客户端BYODroid,完成安全策略检测与执行、身份鉴别和数据隔离;同时在身份与访问管理系统(Identity and Access Management,IAM)上完成了服务器端功能,实现策略定制与设备管理。并实验验证了安全机制的有效性。