企业移动与端点安全管理
超级会员免费看
企业移动与端点设备安全管理全解析
1. 移动自组网的其他考量
在移动自组网中,有几个重要的流程需要我们进行深入考虑。
1.1 证书交换
加入网络的请求中,证书交换是关键的一环。证书被分配给设备,借助受信任的证书颁发机构(CA)实现身份验证。对于企业级安全(ELS)而言,证书通常存储在硬件中,比如硬件安全模块(HSM)或个人身份验证(PIV)卡。在进行低层交换时,设备的可信平台模块(TPM)是较为理想的存储位置。每台设备都配备了TPM或类似TPM的硬件证书与密钥存储系统,用于在必要时向网络或移动节点证明自身身份。
对于没有硬件存储功能的移动设备,可以使用派生凭证进行证书交换。这种派生凭证由企业内受信任的注册机构(RA)颁发,它与主凭证使用相同的原始认证。若主凭证因认证相关原因被撤销,派生凭证也会随之撤销,因为其认证已不再安全;但如果主凭证是因特定的凭证实例问题被撤销,派生凭证可能仍保持有效。派生凭证的撤销是否会导致主凭证的撤销,取决于具体的原因。
1.2 设备要求
允许加入企业网络的设备需经过企业注册和管理,并遵循相关使用限制。所有设备在硬件存储(最好是TPM)中都有公钥基础设施(PKI)证书(由CA颁发的PKI证书或派生证书)。在建立与端点设备管理服务的通道之前,设备和域控制器会进行基于PKI的双向相互认证。设备还可能包含一个或多个用户个人证书(由CA颁发的PKI证书或派生证书),这些证书在用户登录设备时会被激活。此外,设备可能需要在企业域中进行注册,并报告TPM的证明信息以及其他数据(如位置信息)。
加入网络并完成身份验证后,可能需要建立与远程网络的端点设备管理服务连接。这将提供一个IP层的
订阅专栏 解锁全文
扫一扫
1845
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
