GRIRMS如何在企业应用中应对Android隐私数

1、grirms如何在企业应用中应对android隐私数文/高森明晨cto：金晨android作为谷歌企业战略的重要组成部分，正在逐步推进随时随地为每个人提供信息这一目标的实现。谷歌的目标是让移动通讯不依赖于设备甚至平台。出于这个目的，android将补充而不会替代谷歌长期以来奉行的移动发展战略：通过与全球各地的手机制造商和移动运营商结成合作伙伴，开发既有用又有吸引力的移动服务，并推广这些产品。开放手机联盟的成立和android的推出是对手机形态的重大改变，在带来更大效益之前，还需要不小的耐心和高昂的投入。但是，我们认为全球移动用户从中能获得的潜在利益是值得付出这些努力的。同时，随着开放的开发平台

2、及基于java的开发模式日益成熟，越来越多的工程师或爱好者开发出了数以万计基于android个人或企业应用，其中绝大部分为免费的个人应用。android新设备的迅速普及，再加上消费者使用的移动应用的大量增多，都为移动解决方案从员工、工作组到工作流层面进入企业铺平了道路。android在企业应用中的推广意味着在无形中整个企业移动架构里，it经理将面临着更大、更复杂及更高要求的问题，这也要求高森明晨这样的领先移动解决方案提供商能够将整个行业移动应用提升到更高水平。android在企业应用中面临着一些实际的风险，对于需要高可靠性、安全性及鉴权模式的企业应用而言，必然是一种巨大的挑战。据美国媒体报道，

3、德国乌尔姆大学的3位研究员通过测试发现，超过99%的搭载android操作系统的智能手机能轻易地被移动黑客侵袭，侵袭者可以利用泄漏的数据假扮成手机用户本人，由于安全漏洞集中在clientlogin认证方面，凡是通过clientlogin认证进入的所有数据应用都存在被黑客袭击的可能。我们认为android的这个隐私泄露风险属于是个例，对此漏洞的发现却涉及着一个潜在的麻烦：基于linux内核并开放源代码的android系统对于很多linux黑客而言，提供了一个熟悉而透明的平台，通过代码分析、数据断点调试、数据流截获等常规软件调试手法，更多的漏洞将会被发现和利用。截至2010年年底，android已

4、获得包括摩托罗拉、htc、三星、华为、中兴、天宇等诸多手机厂商支持，拥有超过20万个游戏和应用程序。但这些软件中被恶意捆绑病毒代码的总比例也高达20%，不少黑客和广告联盟甚至借助植入病毒的形式赚取利润。当企业应用和五花八门的个人应用共存于一个手机平台时，如何保证企业应用存活于安全的净土上是非常重要的技术抉择。和个人应用最大的不同在于，企业应用中最为重要的部分是对于使用者、账号及设备接入企业服务器过程中的鉴权。这种鉴权象征着数据来源的合理性、对数据操作的可控性、获取企业数据的合法性。校验用户的方法目前在android平台上除了之前提到具有泄露风险的clientlogin外，并没有更好的支持。而c

5、lientlogin的方式对于google提供的企业服务之外的应用并没有太大的帮助。常见的用户名加密码的方式对于针对人员行为管理的企业应用明显具有一定的局限性，知道他人的用户名及密码意味着可以通过任何装有该应用的android手机在任何地方顶替其执行工作。android明显流淌着丰富个人应用的血统，在使用于企业应用时，高森明晨作为中国电信集团级系统集成商，高度借鉴和整合各种其他技术平台在此领域上的优势，形成了完整的企业级android安全性和部署解决方案，此技术方案被称为android企业应用安全框架(grandison enterprise security framework，以下简称ge

6、sf)。并将此方案推广至每个高森明晨为企业提供的涉及android手机的屏+端式解决方案中。gesf fat(安全认证令牌framework authorization token)gesf机制中存在四种不需要也不允许手机用户输入而自动形成的安全令牌(fat)：手机imei/esn串码、手机sim/uim卡imsi串码、应用标识码(appid)和手机号码(mdn)。其中，imei/esn是国际移动设备身份码的缩写，国际移动装备辨识码，是由15位数字组成的电子串号，它与每台手机一一对应，而且该码是全世界唯一的，每一只手机在组装完成后都将被赋予一组全球唯一的号码，这个号码从生产到交付使用都将被制造

7、生产的厂商所记录；国际移动用户识别码(imsi)是存储于手机sim/uim卡中作为国际上为唯一识别一个移动用户所分配的号码；应用标识码是高森明晨的企业应用在安装后初次运行时，为该应用生成的独一无二的18位识别码，由高森明晨的鉴权服务器维持着其唯一性，在未来的50年内都不可能出现重复；而手机号码在中国范围内是明显不可能重复的。这四种独一无二、几乎无法仿冒且和android操作系统无关的安全认证令牌在企业应用初次运行时被获取，并在手机号码在企业应用中鉴权后相互绑定，构成了一组对实际终端使用者的联合校验，确保其为合法的用户使用着非复制的通讯鉴权卡(sim/uim卡)通过授权的设备访问其权限内的数据。

8、用户不用输入任何鉴权信息，四种令牌都是在程序每次启动或涉及企业敏感数据操作时，gesf自动获取并和鉴权服务器校验而完成的。待添加的隐藏文字内容2gesf-fat具有两种模式，一种是注册模式，一种是校验模式。注册模式一般运行于首次系统登录或更换设备时，在此模式下，服务器端企业应用管理员必须参与其中，对注册的关键步骤予以审核和验证；而校验模式一般运行于每次系统开启时，系统经过注册模式成功执行后都会自动切换到校验模式，校验模式是全自动的过程，没有android手机用户需要和系统交互的部分，任何安全认证令牌的变更或异常都会抛出面向用户和企业信息化管理员的预警，并阻止用户登录直到管理员重新将此终端切换回

9、注册模式为止。gesf-fat在为使用者省去了繁琐的登录过程的同时，开创了一种和android操作系统无关的鉴权方式，将通讯网络、操作系统以及其他应用的风险与gesf保护下的企业应用风险隔离，从而达到人、网、机、应用合之为一的鉴权效果。gesf-csa(安全通路代理channel security agency)gesf中存在着一种不依赖于android自身网络安全机制的传输信道安全代理，简单的来说，这种构建于https协议之上的代理服务就像城市主干道上空的监控摄像头，观察着来往于服务器和android手机之间的数据交通。任何从服务器发出的数据包都会经过csa的封装和派送，csa在发送数据之前

10、会先告知手机一个通路的许可证，该许可证包含着将要发送的数据的大小，md5校验码、目标接收者的鉴权令牌和一个随机产生但不会重复的许可码，许可码是也是用来解密数据的唯一钥匙。android手机在接到csa的通路许可后，会根据自身的网路状况告知服务器其当前是否适合开始接收数据；根据令牌和许可证的有效性告知服务器其传输的合法性，csa在收到手机给予的确认后开始传输，手机应用在接收完毕后校验并根据数据的完整性决定是否要求重新发送。gesf-csa是一种双向的校验代理，在企业应用服务器发出请求的同时，企业应用的android客户端根据加密规则和其掌握的鉴权令牌也同样校验了服务器的合法性。csa的通路许可是一个简单的tcp/ip扩展包，而后续的数据却是每次变换着加密方式的https连接，这样的交互过程由于移动网络的特性，在很多时候甚至是异步的。对于入侵者来说，由于android漏洞而完成的单次数据信道监听或破解是可能的，但是，不停变化加密方式的数据通信无疑是不可能破解也不具有数据监听意义的。仿冒的服务器无法给予合理的加密数据或目标令牌，仿冒服务器的数据过程也是毫无意义的。由此，gesf就像是个数据的迷宫，无论android手机泄露了什么，对于获