深信服EasyApp-SDK解决方案 V2.0.doc

深信服科技有限公司深信服EasyAPP解决方案目录1前言22挑战22.1安全22.2快速的业务发布32.3体验33深信服EASYAPP方案介绍33.1简介33.2快速迭代33.3功能63.3.1身份认证63.3.2数据隔离与防泄密73.3.3链路加密73.3.4单边加速83.3.5威胁防护93.3.6权限控制103.3.7访问审计103.3.8管理安全104方案价值114.1安全的业务发布114.2良好的用户体验114.3快速开发迭代115典型案例125.1福建海事局提升政务效率，构建服务性政府125.2深圳国税在线发票打印系统提升企业发票打印事务效率121 前言随着移动互联浪潮的高速发展，越来越多的移动设备开始进入企业IT环境中。一方面，在全球化趋势下，企业的地理分布越来越广，员工移动性越来越高，内部联系越来越紧密，带来了跨地域和移动协同诉求；另一方面，也对企业在客户维护的质量和市场营销的效果提出更高的要求。企业信息移动化建设迫在眉睫，而企业级应用是企业信息移动化的重要承载体，企业级移动应用市场是一片广阔的蓝海。2 挑战以上趋势反应了一个令人振奋、日益凸显的现实。然而，对数据安全的质疑，快速的业务发布，以及关于员工隐私和自由的讨论，和员工使用体验的担忧，都使得企业决策者在移动化面前举棋不定。2.1 安全手机、平板电脑是公认的企业安全链中最薄弱的环节，从在过去的12个月，移动数据遭受的威胁上升了250%以上：l 移动设备的遗失或被冒用l 用户主动或无意识的信息泄露l 病毒、间谍软件或其他黑客攻击l 企业应用本身、防病毒软件及终端管理软件自身的漏洞或威胁l 网络中传输的数据被窃听或被篡改l 企业应用服务器直接暴露于互联网中的安全威胁企业移动的价值体现在通过提高员工的工作效率进而实现更大的企业盈利。但企业面临的安全风险不仅祸及本地数据、应用程序，还会危及到企业数据资产，给企业带来实际损失。因此，数据安全是抑制企业移动发展的关键因素之一。2.2 快速的业务发布由于移动终端和智能终端操作系统更新非常快速，远快于摩尔定律；例如在硬件终端上，从IPHONE到IPHONE5只用了不到5年，在操作系统方面，Android的1.0到Android的4.0也用了不到5年时间，几乎每个月都有新的操作系统版本和智能终端产生。因此如何安全快速的实现业务发布，实现快速的移动应用迭代，是每个IT管理员必须考虑的问题。2.3 体验微软9月份发布了以人为本，成就企业创新发展的技术白皮书，强调企业IT建设只有以人为本，关注人的需求，才能更好地释放人的创造力，从而借助IT为企业创造更大的价值。要实现这一目标的企业应用必须是：企业应用操作体验良好，且访问使用的高效的。移动应用对于企业而言，在乎的是它使用的稳定性，不轻易更换。价格的斗争、功能的多少，已经成为应用的基本条件。然而，如何保障企业能够持续、稳定、便捷、互通地使用移动应用产品，并拥有更好的用户体验，增强用户的粘度，增强用户体验才是企业移动应用核心竞争力。3 深信服EasyApp方案介绍3.1 简介深信服EasyApp方案，提供了一种在企业移动应用程序中快速集成VPN客户端模块的方案。用户通过集成SDK，配置深信服 SSL VPN网关即可实现从用户、终端、链路、服务端的全面的防护。3.2 快速迭代深信服EasyApp方案将传统的VPN模块的API接口进行全面封装，为用户提供仅需20行代码开发量的SDK包，即一年左右的程序员2天左右即可完成所有相关的编码和调试工作，比传统的VPN开发模块所需的工作量少了至少10倍。其中，Android平台SDK对外提供了通用的java接口，可以在google提供的Android模拟器和任意一款Android手机上调试和运行。iOS平台SDK对外提供了C/C+接口，同时也提供了obj-c的的包装接口，可以在任意一款真实iOS设备上调试和运行。下面为伪代码实现的示例，黑色和灰色部分为APP应用自身代码，蓝色部分为本方案需要添加的代码，绿色部分为备注文档。从蓝色代码数量来看，即说明20行代码即可实现VPN功能。深信服科技作为国内规模最大、创新能力最强的前沿网络设备供应商，旨在提供快速、智能的应用交付网络解决方案，帮助商业用户提升带宽价值。联系电话：/当MainActivity.java APP应用程序主进程函数中，初始化SDK实例（该步骤为必要步骤）public void onCreate(Bundle savedInstanceState) super.onCreate(savedInstanceState);setContentView(R.layout.activity_main);/ 开始初始化SDK实例SangforAuth.getInstance().init(this, this);/ 完成SDK实例初始化/ 以下为APP自身的初始化过程，与SDK无关，用省略号代替/ 该函数主要是配置SSLVPN网关的地址和端口参数（该步骤为必要步骤）private boolean initSslVpn() SangforAuth sfAuth = SangforAuth.getInstance();long host = ipToLong(61);int port = 443;sfAuth.vpnInit(host, port);return true;/ 如果APP需要关心SSLVPN隧道建立过程中异常时返回的状态信息，还需要实现一个SDK的回调函数。（该步骤为非必要步骤，可以不实现）Override public void vpnCallback(int vpnResult, int authType) SangforAuth sfAuth = SangforAuth.getInstance();switch (vpnResult) /具体异常事件请详见DEMO工程case IVpnDelegate.RESULT_VPN_INIT_FAIL:case IVpnDelegate.RESULT_VPN_INIT_SUCCESS:case IVpnDelegate.RESULT_VPN_AUTH_FAIL:case IVpnDelegate.RESULT_VPN_AUTH_SUCCESS:case IVpnDelegate.RESULT_VPN_AUTH_LOGOUT:/ 登陆SSLVPN和注销SSLVPN过程应该要像下面一样调用SDK提供的接口。public void onClick(View v) if (v.equals(mLoginBtn) doVpnLogin(IVpnDelegate.AUTH_TYPE_PASSWORD); else if (v.equals(mLogoutBtn) SangforNbAuth.getInstance().vpnLogout();/ 注销步骤为非必要步骤，可以不实现，不显式调用注销即可，则可以通过后台超时机制自动注销会话。 3.3 功能考虑企业移动应用的核心诉求数据安全，通过实现强身份认证、终端数据加密隔离、链路数据加密、权限控制与访问审计，这五个维度全面的保护从终端到服务端的安全。3.3.1 身份认证许多企业移动应用都是采用最简单的用户名密码进行验证。使用单一用户名密码进行验证存在帐号密码遭人盗用而导致越权访问的问题，尤其对于重要的应用系统如执法系统、销售系统等必须限定为特定终端、特定用户访问的核心系统，一旦遭遇用户名密码被盗窃，其后果所造成的威胁将是不可估量的。EasyApp方案支持至少6种认证方式，除了最基本的用户名密码认证之外，还支持硬件特征码、短信认证（短信猫和短信网关）；并可扩展支持数字证书、LDAP/AD、Radius/动态令牌 等第三方认证。硬件特征码认证：为了保证用户使用移动应用是限定在某一台智能终端上，避免因为用户帐号意外泄漏、帐号盗用导致数据的泄露问题，因此，需要对对登录终端进行绑定。而硬件特征码通过绑定手机MAC的方式实现，进而避免账号被盗用的风险。短信认证：一般来说，员工手机或PAD并不是由公司统一配发，且员工通常有几台智能终端，因此绑定固定的智能终端没有意义。这时候，需要绑定员工唯一的手机号作为安全保障。而短信认证很好的解决了这个问题，短信认证将为该用户自动生成一个6位的数字随机认证码，并以短信的方式发送到用户所绑定手机号码上，用户即可在认证界面上输入该6位认证码通过短信认证。短信认证很好的解决的一个员工使用多个智能终端认证便捷性的问题。3.3.2 数据隔离与防泄密某些核心系统中包含有较为重要、敏感的数据，然而移动应用使用环境的不可控等，移动终端的防泄密核心是防止恶意软件或病毒对于留存在本地的数据库、缓存文件的窃取，以及预防手机遗失带来的风险。如此一来，EasyApp为用户提供了本地防泄密功能，即把应用程序本地存储的文件（缓存文件、数据库、本地配置文件）加密存储在手机上。避免手机丢失后，保存在本地的数据泄露。3.3.3 链路加密移动应用都基于无线网络，而无线网络极容易被监听；在一些公共场所，黑客发布一个免费WIFI，10分钟即可破解一个用户登录网站、聊天工具等所有信息。 EasyApp方案中，客户会创建一个Hook模块，该Hook模块的功能是对网络connect和DNS域名解析操作进行拦截，并进行网络数据重定向，将企业应用数据重定向至VPN隧道，并采用标准商密或国密加密算法加密传输。这样，即使有人在网络节点上监听，也无法破译3.3.4 单边加速在无线网络中，网络容易被各种外界因素影响，下载速度、网络稳定性都比较差。因此如何进一步保障用户访问速度，提高用户访问体验？很多的组织机构已经部署了多条运营商的链路，然而互联网用户访问内部资源的时候还是体验很慢，究其原因在于，通过这类用户的网络在传输数据时都会存在一定的延时和丢包，必然造成访问速度变慢。传统解决方案主要是通过提升网络带宽和部署多链路的解决思路，甚至于通过部署链路负载均衡设备，来提升链路的访问速度以及稳定性。然而从本质上而言，这是一种治标不治本的方法，它不仅增加了更多带宽费用，而且没有解决链路质量的问题，更重要的是没有减少应用响应的时间，所以在大部分情况下访问速度还是得不到有效的提升。因此面对移动应用发布的问题，无疑需要一种快捷有效并且方便实施的解决方案。深信服SSL VPN的TCP单边加速功能，通过对拥塞算法做优化处理，解决一些TCP协议本身的缺陷，只需要在发布业务应用的中心端处部署SSL VPN设备，用户端无需任何的软件客户端或插件，对访问终端的设备形式，操作系统、浏览器种类等方面没有任何兼容性要求，对用户完全透明。而组织机构可以在不升级带宽的前提下，通过减少应用程序的响应时间，增强用户的访问体验，进而提升自身业务竞争力。深信服TCP单边加速技术都能够提升用户的至少30访问速度，进而改善移动应用的用户的访问体验。他包括几大技术的改进：拥塞避免能够快速的准确的预估出网络中可用带宽，并根据估计值确定拥塞避免窗口，从而最大限度的利用网络带宽。快速重传允许接收端通过使用 SACK TCP 选项指示最多四个接收数据的非邻接块。RFC 2883 定义用于确认重复的数据包的 SACK TCP 选项中的字段的额外使用。发送端可以通过此操作确定何时重传了不必要的段并调整其行为，以防今后不必要的重传。发送的重传越少，整体吞吐量越合理。快速恢复快速检测出丢包，并能快速准确重传该包，对时延较大，网络状况较差的情况能够有效的提升带宽利用率，通过更改快速恢复过程中发送端可以用来提高发送速率的方法，提供更大的吞吐量。 3.3.5 威胁防护对于仅仅使用了用户名密码进行认证的用户而言，最重要的就是保障密码的安全，而现代技术的发展使得许多黑客采用暴破登录的方式强攻密码，以已知的用户名为突破口盗取组织内部重要数据。深信服 SSL VPN支持终端用户的防暴破登录设置，通过同用户名登录防暴破和同IP登录防暴破设置彻底封杀已知用户名暴破登录和未知用户名暴破登录的种种可能。支持自定义设置封锁恢复时间。作为HTTPS服务器，所有SSL VPN都同样面临着DOS的威胁，所以大多数SSL VPN设备都需要前置防火墙保护其安全。而深信服 SSL VPN网关自身就是一个防火墙，集成了对DOS等攻击的防御手段。VPN安全网关可以限制内部局域网每个IP地址在一分钟内可发起的最大TCP连接数和发送的最大SYN包次数（数值可依据内网计算机数量自定义），及时有效阻断了由企业互联网外部计算机发起的DOS攻击行为，也避免了企业员工在使用移动终端时时不小心感染了病毒而造成DOS攻击给企业带来的损失。3.3.6 权限控制在应用访问权限的划分上，深信服 SSL VPN通过对内网应用以“资源”的方式进行定义，并基于“角色”将特定用户/用户组与相应的资源进行对应绑定，实现指定用户只能访问指定的应用的权限划分。对于采用HTML5技术活B/S架构的移动应用，往往需要做到URL级别细粒度的权限控制以防止核心数据的泄露，深信服 SSL VPN可支持URL细粒度用户授权。3.3.7 访问审计深信服 SSL VPN网关提供了管理日志和服务日志两大类型日志。管理日志可提供管理员访问、操作日志，服务日志提供信息、告警、调试、错误日志，方便管理员对系统进行诊断。3.3.8 管理安全当移动应用系统繁多，而总部SSL VPN接入带宽有限时，对于某些大流量如文件共享的应用访问将可能出现长连接抢占带宽的现象。核心业务得不到足够的带宽保障，导致关键业务的工作效率下降。深信服 SSL VPN通过流量限制、会话限制、全局会话限制功能，可实现基于用户/用户组的带宽、会话限制及保证，最大程度的合理分配带宽资源和应用资源。组织结构往往呈现多级、树形的架构。在设备中进行用户组建设的时候，需要最大的贴合到组织的架构进行用户管理，方便IT管理员直观的对所有用户进行SSL VPN访问控制管理。深信服 SSL VPN采用多达16级的用户组分级管理提高管理员的管理便利性。如下图所示，用户组的分级管理可依据组织的架构而设，并在用户属性上可选下级组是否继承上级组的关联角色、认证方式、流量及会话限制、日志审计记录、帐号过期时间、登录超时时间等设置。实现管理上的统一性，方便管理。4 方案价值4.1 安全的业务发布采用深信服EasyApp方