给移动设备构筑铜墙铁壁

日期: 2008-08-21 作者:Daniel Taylor 来源:TechTarget中国 英文

移动设备作为移动应用概念的一个很重要的条件就是安全。今天的企业移动应用中几乎所有的电话业务、数据管理、电子邮件和其他各种应用全都是以移动设备作为载体,或使用移动设备进行管理,或使用移动设备的身份识别功能加以限制,或干脆就是使用移动设备的安全策略确保正常使用。所以,当我们谈到BlackBerry、移动VPN或其他的用户认证时,我们不难发现任何的这些企业移动应用都需要双向的认证,而移动设备的认证是其中必不可少的一部分。任何移动应用管理解决方案都应该提供多种安全认证集成的方式。

  企业的IT部门通常对自己内部的网络开发和网络安全管理有着相当成熟的技术和经验,可是当异构的网络设备访问企业网络时,换句……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

移动设备作为移动应用概念的一个很重要的条件就是安全。今天的企业移动应用中几乎所有的电话业务、数据管理、电子邮件和其他各种应用全都是以移动设备作为载体,或使用移动设备进行管理,或使用移动设备的身份识别功能加以限制,或干脆就是使用移动设备的安全策略确保正常使用。所以,当我们谈到BlackBerry、移动VPN或其他的用户认证时,我们不难发现任何的这些企业移动应用都需要双向的认证,而移动设备的认证是其中必不可少的一部分。任何移动应用管理解决方案都应该提供多种安全认证集成的方式。

  企业的IT部门通常对自己内部的网络开发和网络安全管理有着相当成熟的技术和经验,可是当异构的网络设备访问企业网络时,换句话说,当网络环境变得比现在复杂的时候,IT部门的这些技术和经验还适用吗?我们把移动环境与目前企业的网络环境叠加到一起,看看这么多的IT部门都面临的三选一的问题:选择一,使用移动设备的红外、蓝牙或其他的同步方式使移动设备和目前的网络建立互联,从而阻止移动环境融入万现有的网络环境;选择二,使用锁定的并且相当严格的管理让用户使用类似于BlackBerry等设备实现移动设备和网络的互联;选择三,使用笔记本电脑、3G网络和移动VPN的安全认证机制来实现移动设备安全的访问企业数据或应用。

  到底什么才是真正的企业移动应用?难道仅仅是一台笔记本电脑和一个3G上网卡?或是多部移动设备能够同时访问网络?以前这是技术发展考虑的问题,以后恐怕就是我们企业中IT部门考虑如何整合这些复杂移动应用的问题了。

  认证:运营商和企业的“中间地带”

  为了确保用户安全,我们必须要对用户们进行认证,这就是说,当一个用户要使用某一项移动应用服务的时候,我们必须先要对他的身份进行认证,以确保他可以享受这项服务。一旦用户的身份被确认,我们就可以让用户安全地使用这些服务了。说是简单,但实际上,做这件事情运营商和企业们却采用了不同的技术。在GSM网络里,SIM卡式用户身份识别的重要组成部分,但是在CDMA网络里或是在很多的企业内部网络里,并不使用SIM卡技术。对于IT部门来说,移动运营商的认证技术通常被作为一系列认证的开始,尽管其他的技术也可以做同样的事情(比如说设备的MAC地址认证技术)。

  基于Wi-Fi网络和WiMAX网络的服务都依赖于认证加密技术,这些常见的认证加密技术包括RADIVS(Remote Authentication Dial In User Service,远程用户拨号认证系统)技术、WPA(Wi-Fi Protected Access,Wi-Fi接入保护协议)技术、TKIP(Temporal Key Integrity Protocol,暂时密钥集成协议)技术以及其他一些认证技术等都被IT部门大量的使用着。现在运营商也介入了IT部门的认证技术,事情就变得不一样了。移动用户仍旧像以前一样经过多重身份认证登陆运营商或企业的网络享受他们应该享受到的服务,但是跟以往不同的是,用户在企业的认证需要做一个副本放到运营商处;而运营商的认证也要做一个副本放到企业IT部门里。

  副本的存在,实际上就是使得企业内部身份认证系统和公共网络服务的身份认证系统相互独立为两个不同的系统。移动数据服务显然是个很好的试验田,但是电话服务才是最好的出发点。移动运营商早就具备了能够为运营商和企业之间提供全球远程管理网络服务,但是这些网络身份认证对于企业来说大都很难部署(多半是因为费用太昂贵)。这样的结果就是一部企业Wi-Fi无线网络中的校园网手机,可以选择使用具有独立身份认证系统的企业网络或者是运营商提供的另一套身份验证体系的公共无线网络,或者在这两个网络中不停的切换。切换固然是耗费成本的,但是它却提供了两个网络之间的无缝互联。以前的解决方案里,我们的用户不得不有意识地在两个网络之间进行选择,现在没这个必要了,设备会自己选择“合适”的网络,但是什么是“合适的网络”呢?答案是付费的蜂窝网络。

  移动数据服务的关键问题就是:如果企业的IT部门想要对其用户进行管理(包括对用户进行远程管理)以便于提供更优质的企业资源支持,那么IT经理们就需要与公共网络运营商去共同管理用户的认证过程,因为对认证、身份和安全的管理需要基于对设备的管理(言外之意是,运营商控制着网络,而IT部门要想通过网络管理设备,就必须要把对设备的管理权分给网络运营商)。

  一个有关移动服务的例子

  举个例子,假设一个IT部门准备为它所在的企业的员工们提供企业电话服务。这项服务会把用户置身于一个既有企业Wi-Fi信号覆盖又有公共蜂窝信号覆盖的网络交集里(比方说校园、咖啡馆、远程VPN等等)。这种情况下,用户对使用哪一个网络不会只有一个选择,可是他只有一部移动电话和一个电话号码。于是这个用户的通话就必须要被分割成哪一个时间段是在Wi-Fi网络里完成的,哪一个时间段是在公共蜂窝网络里完成的,而用户通过手机发送的语音邮件也是如此。因此IT部门只能提供一个简化了的拨号程序和基于共用网络的路由呼叫了。

  今天,很多技术已经能够解决上述的部分问题了,但是最终它们的效果还是由企业网络与运营商网络的集成度来决定的。这是因为,目前的一部分移动应用依赖于运营商的身份认证技术,而还有一部分应用则是依赖于企业Wi-Fi身份验证技术。而对两个网络的集成而言关键是移动设备上具备集成运营商网络认证和企业身份认证的能力。而想要实现这一点,就必须对移动设备的协议规则和能力作出明确的定义。

  关于服务

  目前为企业员工提供移动服务,需要IT部门把他们对身份识别和用户认证的信息共享给移动运营商。要让这项工作卓有成效地开展,企业和运营商就一定要在规则、责任和子网划分等移动设备协议的问题上达成广泛的一致才行。

相关推荐