收藏
下载资源 加入会员免费下载

5G+安全云办公白皮书.pdf

返回 相关 举报
5G+安全云办公白皮书.pdf_第1页
第1页 / 共38页
5G+安全云办公白皮书.pdf_第2页
第2页 / 共38页
5G+安全云办公白皮书.pdf_第3页
第3页 / 共38页
5G+安全云办公白皮书.pdf_第4页
第4页 / 共38页
5G+安全云办公白皮书.pdf_第5页
第5页 / 共38页
亲,该文档总共38页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
5G+安 全 云 办 公 白 皮 书中 国 联 通深 信 服 科 技2019 年 5 月目 录1. 引 言 . 41.1. 移 动 化 办 公 趋 势 .41.2. 移 动 化 办 公 的 安 全 挑 战 .51.3. 5G带 来 移 动 办 公 新 体 验 .52. 5G+云 办 公 的 整 体 架 构 .62.1. 5G+云 办 公 的 整 体 架 构 .62.2. 端 到 端 的 数 据 加 密 .82.2.1. SSL 协 议 加 密 传 输 . 82.2.2. 支 持 国 产 商 用 密 码 标 准 .82.2.3. 量 子 加 密 技 术 .92.2.4. 硬 加 密 技 术 . 93. 用 户 终 端 层 .103.1. 固 定 办 公 场 所 接 入 .103.1.1. 5G场 景 的 桌 面 云 架 构 .103.1.2. 简 单 易 用 的 5G云 桌 面 .113.1.3. 极 致 体 验 的 5G云 桌 面 .123.1.4. 广 泛 兼 容 的 5G云 桌 面 .153.1.5. 显 卡 虚 拟 的 5G云 桌 面 .163.1.6. 安 全 可 控 的 5G云 桌 面 .163.2. 远 程 移 动 办 公 接 入 .183.2.1. 5G场 景 的 EMM架 构 .193.2.2. SSL传 输 加 密 .203.2.3. 移 动 安 全 工 作 域 .203.2.4. 设 备 可 信 准 入 .213.2.5. 移 动 安 全 隔 离 技 术 .213.2.6. 移 动 设 备 管 理 管 理 .233.2.7. 应 用 安 全 封 装 .233.2.8. 应 用 商 店 管 理 .244. 网 络 接 入 层 .244.1. SD-WAN组 网 . 244.1.1. 5G场 景 的 SD-WAN定 义 .244.1.2. SD-WAN的 主 要 功 能 .264.2. 切 片 网 络 特 性 .285. 边 缘 汇 聚 层 .295.1. 构 建 边 缘 云 的 最 佳 技 术 .295.2. 基 于 超 融 合 的 边 缘 云 架 构 .305.3. 边 缘 云 的 关 键 技 术 .305.4. 边 缘 云 管 理 技 术 .346. 数 据 中 心 层 .347. 5G云 办 公 的 几 种 典 型 场 景 .367.1. 固 定 办 公 场 景 .367.2. 移 动 办 公 场 景 .361.引 言1.1. 移 动 化 办 公 趋 势1999年 黑 莓 推 出 了 Push Mail移 动 邮 件 办 公 , 受 到 了 企 业 的 极 大 欢 迎 , 因 为邮 件 的 移 动 化 , 能 够 有 效 的 提 升 企 业 的 效 率 。 2007年 之 后 智 能 手 机 的 普 及 , 移 动化 更 进 一 步 , 移 动 化 从 邮 件 延 伸 到 了 OA、 营 销 、 统 一 通 信 等 基 础 协 作 类 应 用 。 随着 移 动 互 联 网 和 智 能 手 机 的 发 展 进 步 , 移 动 办 公 进 入 了 优 化 阶 段 , 从 最 开 始 的 基 础办 公 协 作 、 基 础 业 务 协 作 , 到 核 心 业 务 创 新 。企 业 移 动 化 阶 段 与 趋 势据 咨 询 机 构 IDC统 计 , 政 企 用 户 在 2017-2018年 的 规 划 向 核 心 业 务 的 移 动 化延 伸 , 例 如 CRM、 ERP、 自 动 销 售 系 统 、 BI系 统 等 ; 另 外 , 部 分 政 企 用 户 还 处 在基 础 业 务 协 作 阶 段 , 投 资 建 设 IM、 会 议 、 协 同 、 企 业 社 交 等 应 用 。 在 此 同 时 , 移动 安 全 的 建 设 投 入 最 大 , 可 见 政 企 用 户 认 为 安 全 问 题 是 企 业 移 动 化 的 前 提 。政 企 用 户 移 动 化 建 设 规 划 统 计1.2. 移 动 化 办 公 的 安 全 挑 战传 统 的 政 企 用 户 移 动 化 办 公 采 用 WLAN网 络 或 3G/4G接 入 , 在 终 端 管 理 与 接入 网 络 安 全 上 存 在 如 下 挑 战 :1. WLAN网 络 接 入 安 全 挑 战无 线 网 络 的 发 展 与 普 及 正 在 改 变 企 业 网 的 架 构 , 从 802.11a到 如 今 的802.11ac, 传 输 速 率 及 调 制 方 式 均 有 大 幅 的 提 升 , 但 企 业 网 对 网 络 安 全 及 业 务 管控 的 要 求 均 是 现 有 无 线 技 术 所 欠 缺 的 。 相 对 于 有 线 网 络 来 说 , 无 线 网 络 只 是 依 靠 电波 来 传 送 与 接 收 , 入 侵 者 可 以 通 过 高 灵 敏 的 接 收 设 备 来 进 行 破 坏 与 入 侵 。 传 统 无 线采 用 PSK认 证 方 式 存 在 严 重 的 安 全 缺 陷 , 各 种 破 解 手 段 众 多 , 对 于 企 业 而 言 , 可能 造 成 内 部 资 源 信 息 的 泄 露 。 同 时 , 一 旦 接 入 企 业 无 线 局 域 网 , 黑 客 通 过 简 单 的 方法 即 可 获 得 此 网 中 站 点 的 MAC地 址 , 然 后 利 用 这 些 MAC伪 装 地 址 进 行 更 进 一 步的 欺 骗 攻 击 。2. 3G/4G网 络 接 入 安 全 挑 战相 比 WLAN网 络 , 3G/4G网 络 拥 有 更 高 的 安 全 性 , 通 过 与 VPN的 配 合 , 能够 满 足 政 企 用 户 的 日 常 移 动 办 公 需 求 , 但 随 着 政 企 用 户 业 务 需 求 的 复 杂 度 逐 步 提 升 ,产 生 了 大 量 的 语 音 、 视 频 、 数 据 采 集 等 场 景 , 对 高 带 宽 与 实 时 性 提 出 了 跟 高 的 要 求 。4G网 络 理 论 值 可 达 每 秒 100M, 但 实 际 上 当 用 户 共 享 使 用 以 及 受 到 实 际 的 网 络 覆盖 影 响 时 , 实 际 访 问 速 率 均 受 影 响 , 无 法 承 载 高 带 宽 、 实 时 性 的 移 动 化 接 入 业 务 。3. 移 动 接 入 终 端 安 全 风 险政 企 用 户 业 务 移 动 化 时 终 端 也 会 带 来 诸 多 泄 密 风 险 , 如 设 备 丢 失 , USB 拷 贝 ,微 信 QQ 分 享 , 明 文 传 输 被 监 听 , 中 间 人 攻 击 , 入 侵 窃 取 服 务 器 机 密 文 件 等 等 ,防 不 胜 防 。 可 以 说 , 数 据 泄 密 问 题 也 是 移 动 办 公 建 设 的 拦 路 虎 。1.3. 5G 带 来 移 动 办 公 新 体 验5G作 为 下 一 代 移 动 技 术 , 可 实 现 10Gbps的 吞 吐 率 、 1ms的 端 到 端 时 延 , 支持 每 平 方 公 里 100万 连 接 , 在 500km/h时 速 下 依 然 可 以 正 常 连 接 , 另 外 还 有 网 络切 片 , 边 缘 计 算 , 毫 米 波 等 众 多 特 性 , 这 些 性 能 的 提 升 和 新 的 特 性 , 必 将 解 锁 全 新的 应 用 , 让 网 络 的 实 用 场 景 更 加 广 阔 , 而 这 些 应 用 是 在 4G时 代 不 可 能 或 者 不 实 用的 。 1. 更 安 全 的 移 动 办 公利 用 5G网 络 实 现 终 端 到 边 缘 云 端 及 远 端 的 端 到 端 互 联 , 通 过 VPN及 其 他 技术 进 行 数 据 的 加 密 , 解 决 了 移 动 办 公 的 安 全 问 题 , 能 够 加 速 政 企 客 户 的 关 键 业 务 的移 动 化 部 署 。2. 更 丰 富 的 移 动 场 景5G网 络 解 决 了 带 宽 与 实 时 性 的 问 题 , 无 论 是 固 定 场 所 办 公 大 楼 的 终 端 办 公 ,还 是 移 动 场 景 的 远 程 接 入 办 公 , 无 论 是 日 常 办 公 还 是 高 带 宽 的 视 频 、 数 据 采 集 场 景 ,均 可 利 用 5G网 络 接 入 。3. 更 简 洁 的 终 端 设 计利 用 5G网 络 的 边 缘 云 设 计 , 可 以 将 终 端 的 计 算 工 作 量 上 移 至 边 缘 云 节 点 , 终端 可 采 用 极 简 的 设 计 , 既 可 以 降 低 终 端 的 复 杂 度 减 轻 运 维 工 作 量 , 同 时 通 过 边 缘 云端 丰 富 的 策 略 保 障 了 数 据 的 安 全 性 , 降 低 了 数 据 泄 密 的 风 险 。2.5G+云 办 公 的 整 体 架 构2.1. 5G+云 办 公 的 整 体 架 构5G+云 办 公 利 用 5G网 络 接 入 技 术 , 提 供 从 终 端 到 接 入 网 络 、 边 缘 云 的 端 到 端解 决 方 案 , 能 够 满 足 政 企 用 户 多 场 景 的 移 动 办 公 需 求 。 5G+云 办 公 的 整 体 架 构 如 下 :一 、 用 户 终 端 层 :分 为 固 定 场 所 接 入 与 远 程 移 动 接 入 两 个 场 景 :1) 固 定 场 所 接 入 : 采 用 基 于 5G场 景 的 桌 面 云 为 分 支 提 供 办 公 解 决 方 案 , 在分 支 端 只 需 要 部 署 5G桌 面 云 终 端 即 可 , 在 边 缘 云 部 署 桌 面 云 服 务 器 , 通过 5G网 络 提 供 的 高 速 带 宽 满 足 桌 面 云 的 实 时 访 问 需 求 ;2) 远 程 移 动 接 入 : 当 用 户 端 采 用 笔 记 本 、 平 板 电 脑 、 手 机 等 远 程 接 入 时 , 在边 缘 云 部 署 移 动 安 全 管 理 平 台 EMM, 为 终 端 提 供 一 站 式 安 全 接 入 与 管 理解 决 方 案 , 解 决 移 动 终 端 的 安 全 接 入 问 题 ;二 、 网 络 接 入 层 :当 政 企 用 户 有 多 个 分 支 时 , 需 要 实 现 分 支 间 的 互 联 , 或 分 支 与 云 端 的 互 联 时 ,可 以 采 用 基 于 5G的 SD-WAN解 决 方 案 提 供 高 速 的 安 全 互 联 通 道 。三 、 边 缘 汇 聚 层 :在 边 缘 汇 聚 层 部 署 边 缘 化 , 融 合 了 桌 面 云 资 源 池 与 移 动 安 全 管 理 平 台 EMM,同 时 能 够 提 供 虚 拟 的 资 源 池 承 载 政 企 用 户 的 移 动 办 公 应 用 。使 用 边 缘 云 服 务 降 低 终 端 与 云 端 的 响 应 时 间 , 为 用 户 提 供 高 速 、 低 延 迟 的 接 入服 务 , 满 足 视 频 、 高 并 发 、 实 时 业 务 的 移 动 办 公 需 求 。四 、 数 据 中 心 层当 政 企 用 户 使 用 了 私 有 云 或 公 有 云 服 务 时 , 边 缘 云 的 移 动 办 公 应 用 还 可 以 通 过SD-WAN与 私 有 云 或 公 有 云 进 行 互 联 互 通 , 构 建 混 合 型 的 云 数 据 中 心 架 构 。2.2. 端 到 端 的 数 据 加 密2.2.1. SSL 协 议 加 密 传 输SSL VPN依 托 于 内 嵌 在 各 种 浏 览 器 当 中 SSL 协 议 ( RFC2246) 。 它 是 一 种安 全 可 靠 的 协 议 , 包 括 以 下 三 个 协 议 :握 手 协 议 : 客 户 和 服 务 器 之 间 相 互 鉴 别 -协 商 加 密 算 法 和 密 钥 -它 提 供 连 接 安 全性 , 有 三 个 特 点 身 份 鉴 别 , 至 少 对 一 方 实 现 鉴 别 , 也 可 以 是 双 向 鉴 别 协 商 得 到 的 共享 密 钥 是 安 全 的 , 中 间 人 不 能 够 知 道 协 商 过 程 是 可 靠 的 ;记 录 协 议 : SSL记 录 协 议 建 立 在 可 靠 的 传 输 协 议 ( 如 TCP) 之 上 它 提 供 连 接安 全 性 , 有 两 个 特 点 保 密 性 , 使 用 了 对 称 加 密 算 法 完 整 性 , 使 用 HMAC算 法 用 来封 装 高 层 的 协 议 ;警 告 协 议 : 这 个 协 议 用 于 每 时 示 在 什 么 时 候 发 生 了 错 误 或 两 个 主 机 之 间 的 会话 在 什 么 时 候 终 止 。通 过 SSL 协 议 将 IP 层 以 上 的 数 据 都 通 过 SSL 协 议 进 行 封 装 为 5G+云 办 公 提 供端 到 端 的 数 据 加 密 通 道 。2.2.2. 支 持 国 产 商 用 密 码 标 准数 据 加 密 是 信 息 安 全 体 系 中 重 要 的 安 全 保 障 环 节 , 随 着 科 技 的 不 断 发 展 , 常 用的 商 业 密 码 算 法 ( 如 DES,RSA,MD5 等 ) 已 确 认 可 被 破 解 。 密 码 技 术 存 在 短 板 , 安全 设 备 就 形 同 虚 设 , 只 有 采 用 相 对 安 全 的 密 码 算 法 , 才 实 现 真 正 的 网 络 安 全 。 因 此 ,国 家 密 码 管 理 局 出 台 了 新 的 密 码 算 法 ( SM1, SM2, SM3, SM4) 并 要 求 相 关 单 位选 用 国 产 商 用 密 码 标 准 。 5G+云 办 公 支 持 常 见 的 国 际 通 用 商 用 密 码 算 法 , 同 时 也 支持 国 密 局 规 定 的 国 产 商 用 密 码 标 准 , 全 面 保 障 用 户 的 业 务 安 全 。2.2.3. 量 子 加 密 技 术量 子 通 信 加 密 技 术 本 身 并 不 是 一 种 密 码 算 法 , 而 是 利 用 量 子 物 理 , 特 别 是 量 子纠 缠 的 神 奇 特 点 来 实 现 传 统 的 加 密 算 法 的 密 钥 协 商 ( 分 发 ) , 简 称 量 子 密 钥 分 发( Quantum Key Distribution, QKD) 。 由 于 这 种 特 点 , QKD 主 要 的 应 用 是 不 断 给用 户 更 新 密 钥 , 而 不 能 像 公 钥 密 码 体 制 那 样 进 行 数 字 签 名 和 用 户 身 份 认 证 。 通 信 双方 在 进 行 保 密 通 信 之 前 , 可 以 依 靠 QKD 系 统 来 “ 分 发 ” 这 次 加 密 算 法 所 使 用 的 密钥 。 由 于 量 子 纠 缠 状 态 的 “ 不 可 测 性 ” 这 一 基 本 物 理 定 律 的 保 障 , 使 得 人 们 从 理 论上 得 到 了 安 全 性 保 障 , 即 如 果 有 人 企 图 “ 偷 听 ” 密 钥 的 传 递 , 那 么 处 于 纠 缠 态 的 量子 对 就 会 发 生 坍 塌 , 从 而 让 通 信 双 方 得 知 此 次 密 钥 的 传 递 发 生 了 问 题 , 于 是 可 以 再次 协 商 、 再 次 传 递 。利 用 量 子 密 钥 作 为 会 话 密 钥 可 增 强 加 密 通 信 数 据 的 机 密 性 , 5G+云 办 公 可 支 持将 量 子 加 密 技 术 作 为 可 选 的 数 据 加 密 技 术 以 进 一 步 提 升 5G数 据 传 输 的 安 全 性 。2.2.4. 硬 加 密 技 术单 一 的 软 认 证 方 式 易 被 窃 取 , 为 了 进 一 步 提 高 身 份 认 证 的 安 全 性 , 基 于 5G的安 全 云 办 公 支 持 硬 件 特 性 的 加 密 认 证 技 术 , 可 以 利 用 硬 件 特 征 码 、 USBKey、 动 态令 牌 认 证 等 方 式 进 行 硬 件 加 密 。硬 件 特 征 码 加 密 通 过 终 端 的 硬 件 特 征 码 绑 定 实 现 硬 件 终 端 的 唯 一 标 识 。 通 过 获取 客 户 端 的 不 可 改 变 的 硬 件 信 息 , 如 CPU、 硬 盘 、 网 卡 等 信 息 生 成 数 字 证 书 , 并对 证 书 和 用 户 进 行 绑 定 实 现 用 户 身 份 的 唯 一 性 控 制 。基 于 数 字 证 书 的 USB KEY认 证 , 将 CA中 心 生 成 的 数 字 证 书 颁 发 给 USBKEY, 并 为 该 USB KEY设 置 PIN码 。 通 过 硬 件 存 储 数 字 证 书 +PIN码 的 方 式 保 证提 供 用 户 高 安 全 的 认 证 方 式 。 同 时 客 户 端 无 需 安 装 驱 动 即 可 使 用 USB KEY进 行 登录 认 证 , 大 大 提 高 了 客 户 端 使 用 的 易 用 性 。动 态 令 牌 认 证 也 是 技 术 领 先 的 一 种 硬 件 的 双 因 素 身 份 认 证 体 系 , 内 嵌 特 殊 运 算芯 片 , 以 事 件 同 步 的 技 术 手 段 , 通 过 符 合 国 际 安 全 认 可 的 OATH动 态 口 令 演 算 标准 , 使 用 HMAC-SHA1算 法 产 生 6位 动 态 数 字 进 行 一 次 一 密 的 方 式 认 证 。 由 于 实际 上 的 安 全 问 题 都 和 密 码 有 关 , 盗 窃 和 破 解 密 码 是 最 常 见 的 口 令 攻 击 手 段 , 因 此 动态 令 牌 很 好 的 解 决 了 以 上 问 题 , 为 用 户 的 使 用 提 供 了 极 高 的 安 全 性 保 证 。3.用 户 终 端 层3.1. 固 定 办 公 场 所 接 入在 5G出 现 之 前 , 政 企 用 户 的 信 息 化 建 设 几 乎 还 是 采 用 传 统 PC的 办 公 模 式 为主 , 而 传 统 PC属 于 独 立 计 算 模 式 , 操 作 系 统 、 应 用 程 序 及 数 据 都 与 每 台 硬 件 设 备紧 密 关 联 , 即 各 组 件 绑 定 于 每 台 用 户 PC上 , 只 要 其 中 一 个 环 节 出 现 问 题 , 桌 面 将无 法 正 常 使 用 。 所 以 长 期 以 来 , 新 桌 面 上 线 、 软 件 的 安 装 与 管 理 、 安 全 补 丁 的 复 杂部 署 、 系 统 升 级 的 版 本 冲 突 等 问 题 已 然 成 为 桌 面 PC面 临 的 最 大 挑 战 。 同 时 随 着PC需 求 量 不 断 增 加 , 桌 面 管 理 复 杂 度 将 呈 指 数 级 增 长 , 并 引 发 更 多 的 终 端 安 全 隐患 , 这 就 需 要 投 入 巨 大 的 精 力 及 成 本 加 以 解 决 。桌 面 云 的 出 现 解 决 了 PC终 端 管 理 的 问 题 , 但 由 于 带 宽 的 限 制 , 桌 面 云 还 需 要在 局 域 网 场 景 下 部 署 , 政 企 用 户 获 得 桌 面 云 的 成 本 较 高 、 运 维 压 力 较 大 , 影 响 了 用户 的 使 用 体 验 与 业 务 效 率 的 提 升 。5G出 现 后 将 改 变 这 一 局 面 , 在 用 户 端 仅 需 部 署 桌 面 云 瘦 终 端 即 可 , 后 端 服 务器 可 以 部 署 在 边 缘 云 节 点 , 用 户 可 以 快 速 获 取 桌 面 云 服 务 而 摆 脱 繁 重 的 运 维 工 作 量 。3.1.1. 5G场 景 的 桌 面 云 架 构
展开阅读全文
相关资源
相关搜索
资源标签

copyright@ 2017-2022 报告吧 版权所有
经营许可证编号:宁ICP备17002310号 | 增值电信业务经营许可证编号:宁B2-20200018  | 宁公网安备64010602000642