20、移动自组织网络与端点设备管理的安全策略解析

移动自组织网络与端点设备管理的安全策略解析

1. 移动自组织网络的其他考量

在移动自组织网络中，有几个重要的流程需要我们特别关注。

1.1 证书交换

加入网络的请求中，证书交换是关键的一环。证书被分配给设备，基于可信的证书颁发机构（CA）实现设备的身份验证。对于企业级安全（ELS）而言，证书通常存储在硬件中，如硬件安全模块（HSM）或个人身份验证智能卡（PIV Card）。在较低层的交换中，设备的可信平台模块（TPM）是首选的存储位置。每个设备都配备了TPM或类似的硬件证书与密钥存储设备，用于在必要时向网络或移动节点进行身份验证。

对于没有硬件存储设备的移动设备，可以使用派生凭证进行证书交换。这种派生凭证由企业内受信任的注册机构（RA）颁发，它与主凭证使用相同的原始认证。如果主凭证因认证相关原因被撤销，派生凭证也会随之撤销，因为其认证已不再安全。但如果主凭证是因特定于凭证实例的问题被撤销，派生凭证可能仍独立有效。派生凭证的撤销是否会导致主凭证的撤销，取决于具体的原因。

1.2 设备要求

允许加入企业网络的设备需要经过企业的注册和管理，并遵循相关的使用限制。所有设备的硬件存储（最好是TPM）中都应包含公钥基础设施（PKI）证书（由CA颁发的PKI证书或派生证书）。在建立与端点设备管理服务的通道之前，设备和域控制器要进行基于PKI的双向相互认证。设备还可能包含一个或多个用户证书（由CA颁发的PKI证书或派生证书），这些证书在用户登录设备时激活。设备可能需要在企业域中注册，并报告TPM的证明信息以及其他数据（如位置信息）。

加入网络并完成身份验证后，建立与远程网络的端点设备管理服务连接是个不错的选择