安全功能概觀
白皮書
發行日期:2001 年 3 月
更新日期:04/2/2001
有關最新資訊,請參閱 https://www.microsoft.com/miserver
簡介
根據保守估計,在 2002 年之前,全球將有 6 到 8 億的 Internet 行動電話使用數量。公司希望員工能夠隨時隨地存取重要資料,因此消費者的要求,造就了高頻寬無線網路的發展。員工經常需要在路上或家裡工作,他們需要利用行動電話隨時決定商業決策、有效服務客戶、以及跟上辦公室的步調。但是隨著無線網路和裝置逐漸普及,公司也希望能夠將現在對有線網路中公司資料整合性和機密性的保護能力,同樣適用在無線網路上。任何保證可以存取公司內部網路的無線方案,都必須加上具有下列條件的技術:
- 保護使用者 ID 和密碼,不受未經授權使用者的侵犯。
- 避免讓公司資料曝光。
- 容許公司維護低成本的運算架構擁有權 (TCO) 。
Microsoft® Mobile Information 2001 Server 企業版 (MMIS-EE) 和 Microsoft Mobile Information 2001 Server 個人版 (MMIS-CE) 是 Microsoft 新推出的一組行動式應用程式伺服器,主要在提供公司所要求的加強式安全保護。這兩種伺服器可以讓使用者隨時存取公司資料,包括以 Microsoft Exchange 儲存的資訊,以及儲存在公司內部網路的資訊。「行動式資訊伺服器」(Mobile Information Server) 可搭配目前所用的行動式裝置,而且隨著市面手機和行動式裝置越複雜,其功能就越豐富。最開始推出的「行動式資訊伺服器」,支援具有瀏覽功能的 Wireless Access Protocol (WAP) 1.1 手機,以及可以接收「簡訊傳送系統」 (Short Messaging System,SMS) 達到通知效果的裝置。未來即將推出的版本以及廠商所附的加強功能,還可讓「行動式資訊伺服器」除了支援各種無線裝置 (包括智慧型手機 (Smartphones)、個人數位助理 (PDA,如 Pocket PC) 和雙向式呼叫器 (如e RIM Blackberry)) 之外,還支援多種標準 (包括 WAP 和 HTML 在內)。
Microsoft 一直以在 Windows® 產品中支援標準安全通訊協定的做法,大力促使公司在有線網路建立端對端的安全保護。舉個例說,「點對點通道通訊協定」 (Point-to-Point Tunneling Protocol,PPTP) 和「Internet 通訊協定安全保護」(Internet Protocol Security,IPSec) 在 Windows 2000 當中就是標準的通訊協定。以現今的無線工業安全限制來說,結合 Windows 2000 的「Microsoft 行動式資訊伺服器」所提供的安全保護,可說無人能出其右了。除此之外,Microsoft 更提供幾種 MMIS 部署方式,將安全外曝率降到最低。未來 MMIS 還會從行動式裝置到企業資料和應用程式之間,提供端對端的安全保護。
為什麼無線就是不一樣
無線媒體一直都是「沒有範圍的」,換句話說,很難維護其安全性。只要在收音機數據機傳輸資訊時,任何人都可以從中攔截。比方說,在引進數位蜂巢式系統之前,複製手機的風氣相當猖獗。未經授權的使用者只要準備一個接收器和一個便宜的解碼設備,就可以竊用合法使用者的手機號碼。雖然數位式無線網路所提供的保護比較完善,但無線連結仍不是很安全,因此如何有效保護資料,就成了非常重要的課題。
無線網路速度較慢,較容易發生傳輸錯誤,而且潛伏率也比有線網路更高。因此,針對有線網路設計的解決方案,不見得適用於無線網路。舉個例說,不是所有的無線網路都支援標準的 Internet 通訊協定,如「傳輸控制通訊協定」(Transmission Control Protocol,TCP) 就是。為了解決這些問題,業界團體開發了新的通訊協定,並且引介新的架構,將無線閘道伺服器作為三層架構的中層。「無線應用程式通訊協定」(Wireless Application Protocol,WAP) 討論區 (Microsoft 是其中一個成員),就引進了一組最適合用在無線網路的通訊協定,以彌補現有 Internet 標準通訊協定的不足。
行動式應用程式伺服器在無線通信部份,套用一組無線通訊協定和安全保護原則,而在有線通信部份,則套用一組傳統通訊協定和安全保護原則。行動式應用程式伺服器層次可以由一個伺服器或多個不同管理網域的伺服器組成。比方說,在現今的無線環境當中,中層可以包含一個持有人的 WAP 伺服器,將資料傳送到無線裝置;以及一部執行「行動式資訊伺服器」的電腦,作為公司內部網路的行動式應用程式伺服器使用。這類網路的通信作業都是透過一系列的躍點進行的。
行動式資訊伺服器安全保護概觀
Microsoft 的目標是在無線方案中,提供與目前有線方案同樣的端對端隱密功能 — 中層無線閘道伺服器不應該影響驗證或隱密功能。WAP 手機目前並不支援進階驗證和加密方法,如 Secure Sockets Layer (SSL) 或端對端的「無線傳輸層次安全保護」(Wireless Transport Layer Security,WTLS),因此最初發行的「行動式資訊伺服器」,是依賴躍點接著躍點的加密作業達到瀏覽的目的。但是,有好幾種原則和部署技術都可以大幅加強安全保護。未來的 MMIS 加強以及協力廠商方案供應商,都可以加強目前的安全保護模型,包括端對端的安全保護模型在內。安全保護實施將會針對「行動式資訊伺服器」的通知和瀏覽案例加以說明。
通知的安全保護
「行動式資訊伺服器」企業版會傳送通知訊息給持有人的網路,再轉送到持有人的「簡訊服務中心」(Short Message Service Center,SMSC),最後再傳到行動式裝置。下面是從 MMIS-EE 傳送通知到持有人可能採用的組態:
不以 MMIS-CE 傳送通知給持有人
通知訊息是透過 SMTP,在 Internet 傳給持有人的基本架構,包括一個前端處理器和 SMSC 在內。這個組態很容易實施,但是功能和安全保護卻不強,下文將就這一點加以討論。
.gif)
以 MMIS-CE 傳送通知給持有人
通知訊息是透過 Internet,從 MMIS-EE 傳送到持有人的 MMIS-CE 伺服器,在兩種 MMIS 版本之間建立一個安全的 IPSec 連結。這個組態是在企業 (MMIS-EE) 和持有人 (MMIS-CE) 之間的連線使用 IPSec 加密,而大幅加強安全保護。不過,IPSec 加密要求必須具備一個由可靠憑證授權機構所發出的有效數位憑證。如果持有人提不出有效的憑證,企業就必須取得一個持有人能夠接受的憑證。還有另一個做法 (這個做法比較昂貴) 就是使用專線,例如租用線路。
.gif)
.gif)
.gif)
以 MMIS-CE 傳送通知給持有人的優點
除了使用 IPSec 原則來加強安全保護之外,MMIS-CE 還執行其他有利的功能,例如,將訊息回條認證傳回 MMIS-EE;接收從 SMSC 傳回的訊息回條認證;將訊息以最好的方式設定格式,以便傳到 SMSC;以及提升從 MMIS 企業版發出的通知資料流量。MMIS-CE 摘錄了持有人網路供企業使用,讓企業得以將精力和資源擺在行動式應用程式基本架構上。
安全的瀏覽
利用「行動式資訊伺服器」來瀏覽以及與公司網路資源產生互動,其處理程序與傳送通知不一樣,而且有它自己的安全考量。從裝置瀏覽網路,與以 Web 瀏覽器 (如 Internet Explorer) 瀏覽網頁有點類似,不過其安全顧慮更多,因為行動式瀏覽會牽涉到無線網路。
下面這個例子所示範的,是從行動式裝置到「行動式資訊伺服器」的瀏覽路徑。從 WAP 裝置到「行動式資訊伺服器」的瀏覽要求,是先當作「無線工作階段通訊協定」(WSP) 要求,傳到持有人的「無線存取通訊協定」(Wireless Access Protocol,WAP) 閘道。大部份的 WAP 瀏覽器和閘道都支援「無線傳輸層次安全保護」(Wireless Transport Layer Security,WTLS),也就是說,來自這些裝置的資料,是從該裝置在空中安全的傳送到 WAP 閘道。WAP 閘道會將要求轉換為 HTTP 或 HTTPS (工作階段將利用 secure sockets layer (SSL) 加密),然後透過 Internet 與 MMIS 企業版伺服器建立工作階段。
.gif)
然後 MMIS 將工作階段與 Exchange、適當的應用程式、內部網路網站或資料庫連接起來。雖然登入所用的使用者憑證,一定會在每一個躍點加密,但它們卻在 WAP 閘道從 WTLS 轉換到 SSL 時,顯示為文字 (所有的 WAP 閘道都繼承了這項功能)。持有人積極的為客戶提供高度的安全保障,並且密切保護 WAP 閘道存取的安全,不讓憑證顯示為文字,因而降低「空降部隊」入侵的可能性。
請注意 為了在持有人和企業 MMIS 伺服器之間建立 SSL 工作階段,管理員必須先在 MMIS 伺服器上,安裝來自可靠憑證提供機構授與的有效憑證。
安全的部署方式
為降低「空降部隊」入侵的風險,Microsoft 更進一步的提供好幾個部署方式,給予更強的安全保護。下面就是「行動式資訊伺服器」所支援的幾種安全部署方式:
- 標準帳戶
- 無線帳戶
- 輔助網域中的無線帳戶
- Access 使用者
標準帳戶
在這個部署方式當中,行動式使用者是利用現有的公司使用者 ID 和密碼來登入。這是所能實施和維護的拓樸中最簡單的一種,但如果「空降部隊」趁著 WTLS-SSL 轉換時入侵,那麼曝光的使用者登入憑證就會被重複利用,存取公司網路。
另一個缺點是,行動式使用者必須被迫使用他們的公司密碼 (通常這些密碼都又冗長又複雜,很難在行動式裝置的鍵台上輸入)。對於安全顧慮不高的公司,倒是可以採用這個方式。即使沒有什麼「空降部隊」入侵風險,下面我們還是要討論進階的安全選項。 無線帳戶
這個方法可以為同一網域中的每一個無線使用者,建立一個輔助帳戶作為使用者帳戶。輔助帳戶的別名與一般使用者帳戶一樣,只是後面多了一個 –W 字尾。因此當使用者 jsmith 被設定為無線使用者時,同一個網域 jsmith 當中,會自動建立一個帳戶叫做 jsmith-W。這個帳戶的權限比較有限,比方說,只能存取使用者的 Exchange 2000 郵箱。當使用者從無線裝置瀏覽時,他們要輸入的是一般使用者 ID 以及無線帳戶的密碼。雖然您可以限制無線使用者的存取權,但他們還是可以存取每一個人都能夠存取的資料。管理員也可以讓所有的使用者存取資源,但是當無線帳戶使用者利用他們的無線帳戶來進行存取時則除外。 輔助網域中的無線帳戶
跟前面一樣,當使用者被授與無線存取權時,會以指定的無線字尾建立新的帳戶。但這個方式的新帳戶是在另外的輔助網域當中建立的。使用輔助網域來管理無線帳戶,有下面兩個主要優點:
簡化帳戶模型 每一個使用者都有新的無線帳戶,您可能不希望讓那些帳戶攪亂主要網域。如果將它們另外放在輔助網域當中加以隔離,那麼在進行一般網域管理作業時,不必管理無線帳戶。
可以使用行動式 "PIN" 密碼 在行動式裝置輸入又長又複雜的密碼實在不方便,最好能夠讓使用者輸入簡單的 "PIN" 類型密碼就好,例如,四個數字或是一個簡單的單字。由於密碼原則是在網域層次執行,因此將輔助帳戶移到另外一個網域,不但可以讓使用者輸入 PIN,同時也可以在主要網域保留複雜密碼的要求。
下圖所示範的,是虛構 Contoso 網域中的現有使用者帳戶、輔助網域中的相關輔助帳戶、以及所要資料來源 (在此是指使用者的 Exchange 2000 郵箱) 之間的關係。
.gif)
存取使用者
採用這個方式時,無線使用者是透過一個特殊的「Access 使用者」帳戶所代理,來存取公司資源。只含無線帳戶的無線網域,是在與公司網域完全分開的樹系當中設定,而且只建立單向信任 (公司網域不信任無線網域)。而行動式使用者帳戶則是在無線網域中。
當行動式使用者要求存取時,接收瀏覽要求的「行動式資訊伺服器」,會向不受信任的樹系發出 LDAP 要求,驗證使用者的身份。如果使用者在裝置上輸入的使用者名稱和密碼,符合輔助樹系中無線帳戶的使用者名稱和密碼,LDAP 要求就會順利過關。如果 LDAP 要求過關,「行動式資訊伺服器」便會用「存取使用者」帳戶來處理這項要求。如果 LDAP 要求失敗,「行動式資訊伺服器」便會拒絕要求。由於輔助樹系中的使用者帳戶,並不受到主要樹系的信任,而且「存取使用者」帳戶是在「行動式資訊伺服器」下執行,因此即使無線帳戶憑證受到危害,也不會產生安全風險 (除非是在無線裝置上存取可用的無線資源,那就另當別論了)。這是因為如果憑證在 WAP 閘道被竊,它們不會對應到具有公司網路權限的使用者。但是,因為「存取使用者」帳戶可能有權存取許多網路資源 (例如,好幾個使用者的郵箱),最好還是採取額外的措施,確保這個帳戶憑證不受到危害。
安全的內部網路瀏覽
MMIS 具有一種設備,可讓管理員限制哪些內部網路網站可以透過「行動式資訊伺服器」,從行動式裝置加以存取。預設的情況是不讓人存取所有的內部網路網站。MMIS 主控台可讓管理員選擇性的容許存取一些明確選定的內部網路伺服器,或是所有的內部網路伺服器。雖然內部網路瀏覽可以用在上述任何一種安全部署,但它在「存取使用者」拓樸中,卻只能進行有限的運作。
在「單網域和可靠網域」拓樸中,管理員可以設定伺服器,容許行動式使用者存取所有行動式帳戶有權存取的內部網路網站。尤其是,所有的行動式帳戶都具有「經過驗證的使用者」權限,可以存取公司網域中的「每個人」網站。此外,行動式使用者也可以被授與明確的存取權,根據行動式使用者 ID 來存取其他網站。
在「交換-存取使用者」拓樸這個案例當中,預設情況是拒絕所有網站的內部網路存取權,而且管理員也必須明確加上一份 MMIS 交換-存取帳戶可以存取的網域清單 (這份清單負責代理帳戶)。雖然「交換-存取使用者」只會用交換-存取使用者憑證存取這些網站,但這些網域還是可以用「每個人」權限加以設定。
將行動式資訊伺服器置於「非武裝區」(Demilitarized Zone,DMZ)
「行動式資訊伺服器」是透過 Internet 連到持有人的網路上,因此「行動式資訊伺服器」一定會外曝於 Internet 資料流。與其他 Internet 伺服器的情形一樣,此舉也會產生許多安全問題。為了保護網路的其他部份,最好能夠將「行動式資訊伺服器」電腦,放在另外由路由器連結的子網路 (有時又稱為 DMZ) 上,與網路的其他部份隔離開來。下圖所示範的,就是輔助帳戶網域控制站相對於整體「行動式資訊伺服器」基本架構的建議位置。
.gif)
本圖所示範的,是與資料來源 (此處是指 Exchange 2000) 以及「行動式資訊伺服器」同一網域的主要使用者帳戶網域控制站。MMIS 必須具備這項組態。整個基本架構都必須具有高速的 LAN 連線,才能在無線裝置之間提供合理的通知和回應時間。從網路安全保護的角度來看,部署 DMZ 是很重要的觀念。本圖所示範的,是一個由路由器分成兩個子網路的網站。這些路由器可以是硬體和 (或) 軟體方案;不管您用的是哪一種方案,都應該能夠拒絕特定的連接埠存取權,並且建立 DMZ 基本架構才行。您必須在內部和外部路由器上開啟某些特定的連接埠,才能讓「行動式資訊伺服器」在週邊網路上正常運作。連接埠的基本需求,有一部份是根據您的 MMIS 部署而定 – 其他詳細資訊,請參閱「行動式資訊伺服器安裝」文件。 安全建議事項
對於有高度安全顧慮的企業而言,「行動式資訊伺服器」有下面四種建議的部署方式:
- 在 MMIS-EE 和 MMIS-CE 之間實施 IPSec 原則,以便安全的發出通知。
- 實施 HTTPS,以便從 WAP 閘道到 MMIS-EE 安全的進行瀏覽。
- 使用無線帳戶 (輔助網域或「存取使用者」拓樸)。
- 在 DMZ 中隔離 MMIS。
未來的方向
在使用現今的無線裝置和技術時,Mobile Information 2001 Server 可以提供最高度的安全性和隱私性。未來推出的「行動式資訊伺服器」將搭配行動式裝置用的 Microsoft 軟體,提供更進一步的安全選項,解決「空降部隊」入侵的問題。
端對端 SSL 連線
使用 Microsoft 軟體的行動式裝置 (例如 Microsoft Mobile Explorer 和 Microsoft 的智慧形電話軟體平台 (又稱為「Stinger」)) 以及其他支援 SSL 的裝置,都可以利用端對端 SSL 到「行動式資訊伺服器」的連線,連到公司資料和應用程式。
端對端 WTLS 連線
具有 WAP 瀏覽器的行動式裝置,也可以利用端對端 WTLS 安全保護,安全的進行瀏覽 - 為了達到這項功能,未來的 MMIS 版次會加入 WAP 通訊協定處理功能。
其他 MMIS 應用程式的安全選項如下:
- Passport,這項服務可讓使用者以單個使用者帳戶名稱和密碼,來存取參與的網站,如 MSN®、Hotmail®、Expedia 和 Buy.com。Passport 含有您可以選用的「錢包」服務,讓使用者儲存信用卡號碼、送貨地址、以及其他線上購物時所需要的機密資訊。所有的 passport 交易都是透過安全的 SSL 連線進行。
- 公開金鑰架構 (PKI),這是一組共同合作的元件,可提供私人資料的數位簽名和加密功能。憑證授權機構是以可用於企業和持有人連線的數位憑證,提供額外的安全保護。
- 智慧卡,這是 PKI 的主要元件,可提供防止外竊的儲存區來存放機密資料,並且在桌上型電腦和行動式裝置之間移轉使用者憑證。
Microsoft 知道隨著無線 Internet 越來越普及,隱密性對於企業和一般使用者來說也越來越重要。因此,Microsoft 會繼續研究更強大的安全保護,在未來的 Mobile Information 2001 Server 當中加入最新的隱密技術,提供使用者安全、隱密、和經過驗證的存取權,來存取各種後端內容。
- 其他產品詳細資訊,請參閱:https://www.microsoft.com/miserver/
這是一份初步文件,在最後上市之前,可能會再大幅更動。本文僅供參考用,Microsoft 不在本文當中做任何明示或暗示的保證。本文中的資訊可隨時更改,而不另行通知。使用者將全部負擔使用本文件,或是使用本文件所產生的風險。本文件所提的公司、組織、產品、人物和事件範例皆屬虛構。與實際的公司、組織、產品、人物或事件,絕無任何影射或關聯。使用者必須遵守相關的版權法規定。即使沒有版權限制,凡未經 Microsoft Corporation 書面同意,皆不得擅自複製本書任一部份,亦不得將本書任一部份存放或導入擷取系統,或以任何格式或任何方式 (電子、機械、影印、記錄等) 或任何用途加以散佈。
Microsoft 對於本書內容具有專利權、專利申請權、商標、版權、或其他智慧財產權。除非任何 Microsoft 書面授權合約當中明確提及,否則出版本書,並不代表允許您使用這些專利權、商標、版權或其他智慧財產權。