当前位置:首页 >> IT/计算机 >>

BlackBerry平台安全性


高效安全的无线解决方案 BlackBerry企业解决方案 BlackBerry企业解决方案

高效安全的无线解决方案—BlackBerry企业解决方案 企业解决方案 高效安全的无线解决方案 企业解 议程: ? BlackBerry解决方案概要 ? BlackBerry解决方案安全特征

BlackBerry 平台 以无线的方式维护企业应用程序 平台:以无线的方式维护企业应用程序
企业内部网络访问 企业内部网络 邮件及 个人信息管 个人信息管理 邮件及/个人信息管理
? Microsoft Exchange ? Lotus Notes Domino ? Novell Groupwise
? SAP ? Oracle/Siebel ? IBM Websphere ? .NET ? JAVA Client ? Web Services: XML, SOAP, WSDL ? Secure Browser: HTML, XML,CHTML

语音系统
? Legacy PBX ? IP PBX ? Hybrid Systems

实时协作
? Lotus Sametime ? Microsoft Live Communication Server ? Novell Groupwise IM

BlackBerry企业解决方案(BES)架构 企业解决方案( 企业解决方案 )

企业邮件服务器 经BES压缩为一个大 小为 2k的信息包并 加密 向外发起连接: 端口3101 * 双向安全通道

BlackBerry Connect Devices

企业应用服务器 BlackBerry 企业服务器

Internet RIM系统 系统

BlackBerry设备 设备

MDS (移动数据系统 移动数据系统) 移动数据系统

移动无线网络

Web服务器 服务器

BlackBerry企业解决方案 安全特征 企业解决方案-安全特征 企业解决方案
BlackBerry 高级安全特征 1
BlackBerry设备(device)安全

2

数据传输(transit)安全

3

数据存储(store)安全

4

企业策略控制 (Enforce corporate policies)

BlackBerry企业解决方案 高级安全特征 企业解决方案-高级安全特征 企业解决方案

BlackBerry设备安全

BlackBerry企业解决方案 高级安全特征 企业解决方案-高级安全特征 企业解决方案 BlackBerry设备安全 BlackBerry设备通过以下手段保障安全: ? ? ? ? ? ? ? ? ? 对BlackBerry设备上的Java?应用开发进行控制 蓝牙技术安全 密码保护 安全超时 主密钥(master encryption key)重生成 SIM卡安全 应用程序控制 端对端加密(Peer-to-peer encryption) 智能卡支持

BlackBerry企业解决方案 高级安全特征 企业解决方案-高级安全特征 企业解决方案 BlackBerry设备安全
对BlackBerry设备上的Java?应用开发进行控制

? 第三方应用程序要访问固有存储(persistent storage)、用户数据, 或同其他程序通讯,只能通过特定API实现。 ? 使用这些敏感API的应用程序,必须经过RIM的数字签名。 ? 管理员可使用应用程序策略控制第三方应用程序权限。

BlackBerry企业解决方案 高级安全特征 企业解决方案-高级安全特征 企业解决方案 BlackBerry设备安全 蓝牙技术安全 (BlackBerry Device Software 4.0或以上) ? 在BlackBerry设备上,蓝牙功能默认关闭。 ? 连接其他蓝牙设备时,使用配对密码配对。 ? 默认地,每次有蓝牙设备试图联入,BlackBerry设备会提示用户。

BlackBerry企业解决方案 高级安全特征 企业解决方案-高级安全特征 企业解决方案 BlackBerry设备安全 蓝牙技术安全 (BlackBerry Device Software 4.0或以上) ? 用户可指定蓝牙连接是否需要加密。 ? 管理员可使用IT策略管理BlackBerry设备蓝牙功能。 ? 默认状态下,可发现模式(discoverable mode)是禁用的。

BlackBerry企业解决方案 高级安全特征 企业解决方案-高级安全特征 企业解决方案 BlackBerry设备安全 密码保护 ? 是验证BlackBerry设备用户的最常用方式 ? 管理员可使用IT策略来强制BlackBerry用户打开密码保护

BlackBerry企业解决方案 高级安全特征 企业解决方案-高级安全特征 企业解决方案 BlackBerry设备安全 安全超时 ? BlackBerry设备自动锁定前空闲的时间(分钟) ? BlackBerry设备保持锁定,直到用户输入密码 ? 可由管理员通过IT策略设置,或在BlackBerry设备上设置

BlackBerry企业解决方案 高级安全特征 企业解决方案-高级安全特征 企业解决方案 BlackBerry设备安全 生成主加密密钥(master encryption key) ? BlackBerry设备用户可在设备上操作,或使用桌面管理器,随时重 新生成主加密密钥 ? 管理员可向设备发送无线命令,指令BlackBerry设备重新生成主加 BlackBerry 密密钥 ? 在企业激活过程中,主加密密钥也会重新生成

BlackBerry企业解决方案 高级安全特征 企业解决方案-高级安全特征 企业解决方案 BlackBerry设备安全 SIM卡安全 ? SIM卡可设置密码 ? 必须正确输入密码,SIM才能正常工作 ? 3次输入密码失败,SIM卡需要由运营商解锁

BlackBerry企业解决方案 高级安全特征 企业解决方案-高级安全特征 企业解决方案
BlackBerry设备安全 端到端加密(peer-to-peer encryption) ? 加密/解密密钥只能被BlackBerry设备以 及BES服务器获取(端到端),网络传输中 的第三方无法解密数据 ? 如果组织知道这个端到端加密密钥已经被 破坏/窃取,则应当重新生成密钥。

BlackBerry企业解决方案 高级安全特征 企业解决方案-高级安全特征 企业解决方案 BlackBerry设备安全 智能卡(Smart card)支持 ? 提供强认证和256 AES加密 ? 双因素认证(Two factor authentication) ? BlackBerry智能卡读卡器与具备蓝牙功能的BlackBerry设备 使用安全配对密钥配对

BlackBerry企业解决方案 高级安全特征 企业解决方案-高级安全特征 企业解决方案

数据传输(transit)安全

BlackBerry企业解决方案 高级安全特征 企业解决方案-高级安全特征 企业解决方案 数据传输安全 BlackBerry企业解决方案(BlackBerry Enterprise Solution)提供了下列 特性保证数据传输安全: ? BlackBerry Router身份认证 ? SRP(Server Routing Protocol)身份认证 ? BlackBerry MDS Connection Service身份认证 ? BlackBerry对称密钥加密算法 ? 基于角色的管理 ? PGP和S/MIME邮件加密支持

BlackBerry企业解决方案 高级安全特征 企业解决方案-高级安全特征 企业解决方案 数据传输安全 BlackBerry Router身份认证协议 ? 在BlackBerry Router向BlackBerry设备发送数据前,设备必须先向 BES服务器验证自己的身份 ? BlackBerry Router使用一个独特的验证协议来验证BlackBerry设备 用户是一个合法用户 ? BlackBerry Router作为一个网守(gate-keeper),它要确认BES服务 器和BlackBerry设备间能共享同一个密钥,但BlackBerry Router并 不知道这个密钥。

BlackBerry企业解决方案 高级安全特征 企业解决方案-高级安全特征 企业解决方案 数据传输安全 Server Routing Protocol (SRP) 身份认证 ? BES服务器使用SRP协议,通过防火墙向外发起同BlackBerry Infrastructure双向通信的连接。由于是BES向外发起连接,防火墙 不需要打开任何端口 ? BES和BlackBerry Infrastructure 之间使用SRP认证密钥和SRP ID来 建立安全连接

BlackBerry企业解决方案 高级安全特征 企业解决方案-高级安全特征 企业解决方案 数据传输安全 BlackBerry MDS Connection Service身份认证 BlackBerry MDS Connection Service支持下列身份认证方式: ? Massachusetts Institute of Technology (MIT) Kerberos? ? NT LAN Manager (Microsoft SMB) ? Basic Authentication(http明文, 例http://usr:pwd@xxx.com) ? LTPA (Lightweight Third-Party Authentication, IBM WS & Domino) ? 双因素认证(Two-factor Authentication)

BlackBerry企业解决方案 高级安全特征 企业解决方案-高级安全特征 企业解决方案 数据传输安全 ? BlackBerry对称密钥加密算法
? 主密钥(Master encryption key) ? 每个BlackBerry设备使用不同的主密钥 ? 存储在BES服务器上及BlackBerry设备上的主密钥必须匹配 BES BlackBerry ? 如果存储的密钥不匹配,则BlackBerry设备和BES无法做解密

BlackBerry企业解决方案 高级安全特征 企业解决方案-高级安全特征 企业解决方案 数据传输安全 ? BlackBerry对称密钥加密算法
? BlackBerry加密消息的标准加密算法 ? 从BlackBerry设备用户发送email消息,到BES服务器接收消息的全 过程 ? 从BES服务器发送消息给BlackBerry设备,到用户在BlackBerry设备 上阅读该消息的全过程

BlackBerry加密 加密

路由信息(Routing Info)明文传送,包括BES的SRP和手机PIN 每个数据报有各自的随机会话密钥(Session Key) 主密钥(Master Key)仅加密随机会话密钥

BlackBerry加密 加密
BES服务器与BlackBerry设备间所有通信使用256位的AES或3DES算法加密 加密的应用类型包括:
? Web应用 ? 自定制的C-S应用程序 ? Web Service集成应用

BlackBerry企业解决方案 高级安全特征 企业解决方案-高级安全特征 企业解决方案 数据传输安全 PGP安全 ? 在发送者和接收者之间邮件的全过程中,提供了一层附加的安全保 证。 ? 从发送者发送邮件起,到接收者阅读消息的全程,保证了消息的可 验证性(authenticity)、机密性(confidentiality),并维持一致性 (integrity)。 ? BlackBerry企业解决方案提供PGP支持包

BlackBerry企业解决方案 高级安全特征 企业解决方案-高级安全特征 企业解决方案 数据传输安全 S/MIME安全 ? 类似PGP ,从发送者发送邮件起,到接收者阅读消息的全程, S/MIME保证了消息的可验证性(authenticity)、机密性 (confidentiality),并维持一致性(integrity)。 ? BlackBerry企业解决方案提供S/MIME支持包 ? 可配合大多数S/MIME邮件客户端,包括Microsoft Outlook?, Microsoft Outlook Express, 以及IBM? Lotus Notes?

BlackBerry企业解决方案 高级安全特征 企业解决方案-高级安全特征 企业解决方案
S/MIME或PGP加密 或 加密
消息服务器 Internet 防火墙 消息服务 器

防火墙 BES服务器

BES服务器

3DES / AES 加密

BlackBerry 设备

BlackBerry 设备

S/MIME加密 消息流 加密-消息流 加密

设备上使用S/MIME 在BlackBerry设备上使用 设备上使用
?CertSync是桌面管理器的一个组件,用户可以使用它将私钥从PC导入 BlackBerry设备 ?证书搜索程序使用LDAP无线地(OTA)获取证书 ?在BlackBerry设备上,可在选项-安全选项-高级安全选项-证书中查看已 安装在设备上的证书

私钥符号

证书状态 符号

设备上使用S/MIME 在BlackBerry设备上使用 设备上使用
收发消息 ? 在“编码”域(“Encoding” field)指定编码方式 ? 在“发送方式”域(“Send Using”)要先选定“desktop” ? 消息列表中以特别图标标示S/MIME消息 ? 收件人的证书如果未下载到BlackBerry设备上,会自动下载。

设备上使用S/MIME 在BlackBerry设备上使用 设备上使用
收发消息(续) ? 左侧竖线显示了签名和加密的覆盖范围 ? 如果证书不在设备上,设备会自动搜索(LDAP)并下载证书,以检查 证书状态

S/MIME应用举例 应用举例
查看S/MIME消息

S/MIME的管理策略 的管理策略
IT策略包含许多S/MIME控制策略,例如:
? 强制用户验证 ? 公钥强度限制 ? 强制数字和加密签名 ? 限制内容加密算法

BlackBerry蓝牙智能卡读卡器 蓝牙智能卡读卡器
支持双因素认证,支持使用证书, 以BlackBerry智能卡读卡器支持私钥使用 第三方供应商可扩展:
? ? ? ? ? ? ? ? 应用BlackBerry JDK所包含的API 使用BlackBerry智能卡的应用程序 开发新的智能卡驱动程序 新的智能卡读卡器 强制智能卡使用 锁定/解锁设备 强制S/MIME使用 验证超时

可通过IT策略控制:

支持:
? BlackBerry智能卡读卡器 ? Apriva或IPC智能卡读卡器

BlackBerry上的 上的TLS and SSL支持 上的 支持 对提供这种支持的网站,你可以通过输入“https” 开头的地址 访问。
? 同桌面浏览器类似 ? 按“c”可显示连接设置

BlackBerry上的 上的TLS and SSL支持 上的 支持
所有在BlackBerry设备和BES服务器之间传输的网页浏览和应用程序数据都 经过3DES或AES算法加密 BlackBerry浏览器访问安全网站(HTTPS),可选择代理模式(proxy mode)及 手持设备模式(handheld mode)
? 代理模式: BES上的MDS组件代替浏览器进行TLS或SSL协商 ? 手持设备模式: 传统的端到端TLS/SSL加密(BlackBerry设备和安全网站之间)

BlackBerry上的 上的TLS and SSL支持 上的 支持
代理模式
? ? ? ? BES服务器代替BlackBerry设备处理SSL握手并建立SSL连接 BES服务器把网站服务器发送来的数据解密,再用AES/3DES重新加密 BES服务器和网站服务器之间的通信通过SSL或TLS加密 BlackBerry设备和BES服务器之间的通信并不通过SSL/TLS加密,而是通过端对端 的AES/3DES加密

AES or

BlackBerry上的 上的TLS and SSL支持 上的 支持
手持设备模式
? HTTP流量在BlackBerry设备和网站服务器之间全程SSL/TLS加密。在BlackBerry 设备和BES之间的流量同时采用AES/3DES进行双重加密。 ? BES无需解密SSL/TLS数据。

AES or

BlackBerry企业解决方案 高级安全特征 企业解决方案-高级安全特征 企业解决方案

数据存储(stored)安全

BlackBerry企业解决方案 高级安全特征 企业解决方案-高级安全特征 企业解决方案 数据存储安全 BlackBerry企业解决方案具备下列数据存储安全特征: ? 用无线IT命令保护丢失、被窃,或被替换BlackBerry上的数据安全 ? 密码保护器 ? BlackBerry设备擦除 ? BlackBerry设备内存清除 BlackBerry ? 内容保护 ? 媒体卡(MicroSD Card)安全 ? 邮件服务器数据安全

BlackBerry企业解决方案 高级安全特征 企业解决方案-高级安全特征 企业解决方案 数据存储安全 无线IT命令 系统管理员可用无线IT命令控制BlackBerry设备的大多数安全特性。 这些IT命令包括: ? 擦除数据和禁用设备 ? 重置密码和锁定设备 ? 设置主人信息 ? 指定和重新发送IT策略

BlackBerry企业解决方案 高级安全特征 企业解决方案-高级安全特征 企业解决方案 数据存储安全 密码保护器 ? 加密保护BlackBerry设备上的敏感数据,如密码。 ? 密码保护器内存储的信息以256位AES加密。 256 AES ? 用户正确输入密码保护器密码后,存储的信息才被解密。

BlackBerry企业解决方案 高级安全特征 企业解决方案-高级安全特征 企业解决方案 数据存储安全 BlackBerry设备擦除 ? 删除数据,主密钥,内容保护密钥。 ? 内存被重写。 ? IT策略绑定被删除,但是已生效的IT策略设置不删除。

BlackBerry企业解决方案 高级安全特征 企业解决方案-高级安全特征 企业解决方案 数据存储安全 内存清除 ? 内存清除程序清除缓存,并执行安全的垃圾回收
? 证书信息、剪贴板、联系人缓存、内容保护缓存、加密邮件缓存等

? 下列情况下,内存清除程序自动激活:
? ? ? ? ? BlackBerry设备与桌面同步完成 用户锁定BlackBerry设备 BlackBerry设备锁定并空闲了一段指定的时间之后 用户修改了时间或时区 关机

BlackBerry企业解决方案 高级安全特征 企业解决方案-高级安全特征 企业解决方案 数据存储安全 内容保护 ? 打开后,BlackBerry设备上的内容会被256位AES加密保护 ? 默认关闭 ? 加密邮件、日历(calendar)、备忘录(memo)、任务(task)、联系人 (contact)、自动文本(auto text)、浏览器内容

BlackBerry企业解决方案 高级安全特征 企业解决方案-高级安全特征 企业解决方案 数据存储安全 媒体卡(MicroSD Card)安全 ? 对插到BlackBerry设备上的媒体卡,媒体卡加密可以保护其上存储 的数据 ? 可用媒体卡加密密钥(随机生成)加密,或设备密码(即锁屏密码)加 密,或两者。

BlackBerry企业解决方案 高级安全特征 企业解决方案-高级安全特征 企业解决方案 数据存储安全 邮件服务器数据安全 特点: ? Microsoft Exchange server: 同BlackBerry设备用户有关的信息,利 用Exchange Server自带的安全功能,存储在Exchange Server上的 隐藏文件夹 ? IBM Lotus Domino? server: 使用Domino自带的安全功能。特别是, 个人数据库的安全由数据库访问控制列表(ACL)控制。 ? Novell? GroupWise? server: 使用信任应用程序密钥(trusted application key)与Novell GroupWise server建立连接

BlackBerry企业解决方案 高级安全特征 企业解决方案-高级安全特征 企业解决方案

企业策略控制 (Enforce corporate policies)

BlackBerry企业解决方案 高级安全特征 企业解决方案-高级安全特征 企业解决方案 企业策略控制(Enforce corporate policies) BES提供下列企业策略: ? IT策略 ? 应用程序控制策略 ? MDS策略 ? 企业服务策略

BlackBerry企业解决方案 高级安全特征 企业解决方案-高级安全特征 企业解决方案 企业策略控制 IT策略 ? 是一整套规则,管理员用以控制BlackBerry设备,或一组设备,或 一个BlackBerry域 ? 默认IT策略应当是最安全的 ? 详情请参考《BlackBerry Enterprise Server Policy Reference Guide》

BlackBerry企业解决方案 高级安全特征 企业解决方案-高级安全特征 企业解决方案

BlackBerry企业解决方案 高级安全特征 企业解决方案-高级安全特征 企业解决方案 企业策略控制 应用程序控制策略 ? 允许或阻止在BlackBerry设备上安装第三方程序,并限制第三方程 序的权限。 ? 系统管理员定义应用程序策略前,必须先创建软件配置。 ? 详情请参考《BlackBerry Enterprise Server Policy Reference Guide》

BlackBerry企业解决方案 高级安全特征 企业解决方案-高级安全特征 企业解决方案

BlackBerry企业解决方案 高级安全特征 企业解决方案-高级安全特征 企业解决方案 企业策略控制 MDS策略 ? 允许或阻止在BlackBerry设备上安装MDS Studio应用程序 ? 定义是否允许BlackBerry设备用户自行升级MDS runtime软件。 BlackBerry MDS runtime

BlackBerry企业解决方案 高级安全特征 企业解决方案-高级安全特征 企业解决方案

BlackBerry企业解决方案 高级安全特征 企业解决方案-高级安全特征 企业解决方案 企业策略控制 企业服务策略,需要BES 4.1或以上 ? 系统管理员可定义规则,控制哪些BlackBerry设备用户可连接BES ? 该策略可针对特定用户屏蔽

BlackBerry企业解决方案 高级安全特征 企业解决方案-高级安全特征 企业解决方案 企业策略控制 基于角色的管理,需要BES 4.1或以上 ? 可创建多种角色的管理帐户 ? 每个角色具有特定的权限,执行和工作职责有关的特定管理任务 ? 可降低安全风险,避免支持人员使用全权管理员功能

BlackBerry企业解决方案 高级安全特征 企业解决方案-高级安全特征 企业解决方案 BlackBerry企业解决方案安全最佳实践 1. 确保对BlackBerry设备实施了安全策略 2. 针对不同组织制定合适的安全策略 3. 保护数据传输 4. 保护数据存储 5. 保护BlackBerry配置数据库 6. 保护BlackBerry MDS Connection Service 7. 保护BlackBerry设备以避免病毒和恶意软件

BlackBerry企业解决方案 高级安全特征 企业解决方案-高级安全特征 企业解决方案 BlackBerry企业解决方案安全最佳实践 1. 确保对BlackBerry设备实施了安全策略
? ? ? ? 用IT策略强制用户打开密码保护,强制使用复杂密码,和密码过期设 置。 对需要使用双因素认证的组织,邮件的数字签名和加密应当使用智能 卡。 需要邮件数字签名和加密的组织,应当使用S/MIME或PGP 支持包。 使用企业服务策略以控制哪些BlackBerry设备可连接到BES服务器。

BlackBerry企业解决方案 高级安全特征 企业解决方案-高级安全特征 企业解决方案 BlackBerry企业解决方案安全最佳实践 2. 针对不同组织制定合适的安全策略
? ? ? ? ? IT策略提供了对BlackBerry企业解决方案各方面的粒度控制。使用IT策 略,组织可以控制自己的安全。 默认IT策略应当配置为最安全的。 所有的安全决定应当有对应的IT策略对应。 IT策略和应用程序控制策略应当对所有BlackBerry设备用户都设置。 IT策略应当强制执行,并反映组织内各团队的需要。

BlackBerry企业解决方案 高级安全特征 企业解决方案-高级安全特征 企业解决方案 BlackBerry企业解决方案安全最佳实践 3. 保护数据传输
? ? ? ? ? BES服务器应当放置在防火墙以后,而非DMZ 考虑对BES和BlackBerry设备间的所有传输使用AES传输层加密 如有需要,使用智能卡、S/MIME技术、PGP技术,或Lotus Notes内置 加密以提供一层额外的安全保护。 BlackBerry设备访问Internet时,基于SSL/TLS的HTTP可提供附加的验 证和安全 连接到无线WAP网关时,WTLS(Wireless Transport Layer Security)协 议可提供一层额外的安全保护。

BlackBerry企业解决方案 高级安全特征 企业解决方案-高级安全特征 企业解决方案 BlackBerry企业解决方案安全最佳实践 4. 保护数据存储
? 使用IT策略强制用户启用内容保护。

?

使用IT命令对被盗或丢失的设备进行安全擦除。

?

可移动存储上的数据应当密码保护,且可加密以增加额外安全保障。

BlackBerry企业解决方案 高级安全特征 企业解决方案-高级安全特征 企业解决方案 BlackBerry企业解决方案安全最佳实践 5. 保护BlackBerry配置数据库 ? BlackBerry配置数据库安全应当定义:
? ? ? ? ? ? 谁是许可访问的 在哪里验证用户密码,如何验证 对用户授予的权限级别 用户允许运行的命令 用户可以读且/或更改的数据 用户可以创建,更改,且/或删除的数据库对象

BlackBerry企业解决方案 高级安全特征 企业解决方案-高级安全特征 企业解决方案 BlackBerry企业解决方案安全最佳实践 6. 保护BlackBerry MDS Connection Service ? 设置适合组织的验证方式,包括Kerberos, NT LAN Manager (NTLM), Basic Authentication, LTPA (Lightweight Third- Party Authentication),或双因素认证。

BlackBerry企业解决方案 高级安全特征 企业解决方案-高级安全特征 企业解决方案 BlackBerry企业解决方案安全最佳实践 7. 保护BlackBerry设备以避免病毒和恶意软件
? 使用IT策略、应用程序控制策略和代码签名,控制第三方程序对 BlackBerry设备资源和程序的访问,来减少恶意软件破坏。 为避免潜在攻击的扩散,可考虑把不同的BES组件部署在不同子网,以 隔离并限制网络攻击。

?


相关文章:
安全擦除黑莓手机
安全擦除黑莓手机 - 如何安全擦除黑莓手机 1.选项 2.安全选项 3.安全擦除 4.选择擦除内容 5.输入 blackberry,点擦除。
更多相关标签: