基于Android的无线办公安全接入系统设计

王志国 李航 曹巍

【摘 要】针对解决Android移动终端的安全接入企业内部办公网络及防治失泄密问题，提出了一种智能移动终端管理方案即无线办公安全接入系统，实现了身份认证、透明加密、安全白名单等功能，保证了智能移动终端存储数据的安全性，设计了对BYOD用户的权限管理，保证了BYOD用户操作行为的合法性。

【关键词】安全接入 Android BYOD

一、引言

当今智能移动终端不断发展，越来越多的员工倾向于使用智能移动终端取代计算机来处理公司数据，许多企业开始考虑允许员工自带智能设备使用企业内部应用，BYOD 模式应运而生。相比传统信息化的模式，BYOD环境主要存在四个方面的安全隐患：第一，BYOD是通过移动网络链路接入，天然处在一个开放的网络，而传统重要的信息系统都是通过企业内网接入；第二，BYOD使用的环境与传统信息化模式不一样，传统的大部分时间都在固定的办公场所，设备丢失可能性很小，BYOD通常使用移动智能终端，更加容易丢失；第三，BYOD使用的个人设备上往往同时安装很多个人的APP，而个人APP市场上的恶意软件多如牛毛，这就将企业数据置于失泄密的安全隐患之中；第四，BYOD用户会出现违规操作，越权访问企业数据，容易导致企业机密数据的泄露。

针对以上问题，我们提出了一种全新的智能移动终端管理方案——基于智能移动终端的无线办公安全接入系统 ，本系统实现身份认证和透明加密等功能，保证了智能移动终端存储数据的安全性；建立了安全软件白名单，杜绝恶意软件的使用；设计了对BYOD用户的权限管理，保证了BYOD用户操作行为的合法性。

二、系统总体设计

本系统由服务器端、智能移动终端、客户端组成。除了智能移动终端自身的安全验证外，服务器还可实时地监控智能移动终端，掌握智能移动终端的实时动态。

管理员对公司内网平台上的文件设定一定访问限制，用户根据自己的权限合理使用服务器平台上的信息。同时，管理员对智能移动终端上的数据进行实时监控，对终端和外界的每一次数据交互进行日志记录，根据安全软件白名单自动识别智能移动终端上的恶意软件，并强制卸载。管理员具有对一切服务器平台以及用户的信息进行管理的权限。而超级管理员能添加删除管理员。

新用户在进入某单位后，公司要对用户的智能移动终端进行注册，设定用户的信息并分配用户权限，在智能移动终端上统一安装客户端。用户的智能移动终端连入公司内部网络后，通过智能移动终端上的客户端认证后才能正常使用公司內部资源。

公司内部资源分别存储在服务器四个文件夹中，分别为不涉密文件夹、秘密文件夹、机密文件夹和绝密文件夹。而用户也分别具有四级权限，分别为一般权限、秘密级权限、机密级权限、绝密级权限。一般权限的用户只能访问不涉密文件夹，秘密级权限的用户可以访问秘密文件夹和普通文件夹，以此类推，绝密级用户具有访问所有文件夹的权限，文档也被设定相应的密级存储在相应的文件夹下。服务器上和智能移动终端中所存储的内部文件均已加密。服务器向智能移动终端上的客户端下发软件白名单，用户需要使用的安全软件均在白名单中，禁止使用任何不在白名单上的软件，杜绝恶意软件的使用；通过服务器实时更新客户端上每个应用的访问权限，极大程度保护终端上数据的安全性总体的结构。

三、关键技术设计

1.透明加解密技术

利用Hook技术实现Android上的透明加解密，主要方法是 Hook目标应用程序的open和close函数的符号存在的动态链接库，在open操作进行的时候，将密文文件分块解密到内存中，并将该内存中的文件标识符返回。在close操作进行的时候将内存中的明文加密到本地密文存储。

2.服务器架构设计

服务器端平台采用了基于J2EE架构的多层体系结构设计，实现了组件化设计理念，采用浏览器+中间件+应用服务器+数据库服务器的多层结构，显示逻辑、业务处理逻辑和数据访问逻辑分开，拥有完备的安全控制结构和通用的数据访问结构。实践表明基于J2EE架构的各类交易平台运行稳定、性能高、易于维护并具有良好的可扩展性和安全性。

3.本地文档访问控制设计

本系统的关键技术之一就是本地文件访问的安全控制。这项技术有效地保护了在本地对文档的访问安全，确保了文件在本地访问的安全。系统将文档的访问与透明加密以及权限验证成功整合，有效地实现文档访问的权限验证，防止了对文档的非法访问，加强了文档访问的安全性。主要流程是：首先用户访问请求，经过权限验证模块、环境可信验证模块以及完整性验证模块，请求通过后再通过透明加解密模块操作存储系统中的关键档案。

四、结论

本系统很大程度上适应了智能移动终端保密、方便管理、权限控制的需求，既方便了用户的使用也确保了公司内部信息的安全，构建了一个通用而安全的智能移动终端管理模式，可应用于政府部门、军队等高保密单位和对智能移动终端安全性及信息保密性要求较高的企业组织或单位，具有广泛的应用前景。

参考文献

[1]朱理森，张守连.计算机网络应用技术[M].北京：专利文献出版社，2001.

[2]谢希仁.计算机网络（第4版）[M].北京：电子工业出版社，2003.

[3]郑磊，马兆丰，顾明.基于文件系统过滤驱动的安全增强型加密系统技术研究[J].小型微型计算机系统，2007（7）：1181-1184.

[4]邵昱，萧蕴诗.基于文件系统过滤驱动器的加密软件设计[J].计算机应用，2005（5）：1151-1152.