DOI: 10.14489/vkit.2016.08.pp.044-051

Буй Н. З., Кравец А. Г., Нгуен Л. Т. Т.
(c. 44-51)

Аннотация. Рассмотрен основной процесс системы управления корпоративной мобильностью – регистрация нового мобильного устройства в данной системе. Представлено обеспечение информационной безопасности в процессе с помощью стандартов SAML 2.0 (Security Assertion Markup Language) и OAuth 2.0 (Open standard for Authorization), которое гарантирует сохранность важных данных корпорации, распределенную безопасность, корректные политики безопасности пользователей и блокирование обращений от неаутентифицированных устройств. Предложен безопасный удаленный процесс регистрации, контролирующий распределение агента через ID-регистрацию устройства со службой GCM (Google Cloud Messaging) во избежание несанкционированного распространения на неаутентифицированных устройствах. Минимизированы риски потерь критически важных данных и риски атак на систему за счет использования многофакторных аутентификаций устройства и пользователя (ID-регистрация, учетные данные пользователя, универсальный уникальный идентификатор устройства, информация подписи агента). Детально представлены операции, соответствующие процессу регистрации нового мобильного устройства под управлением операционной системы Google Android в системе управления корпоративной мобильностью.

Ключевые слова:  управление корпоративной мобильностью; информационная безопасность; процесс регистрации; аутентификация устройства; язык разметки декларации безопасности; открытый протокол авторизации.

Bui N. D., Kravets A. G., Nguyen L. T. T.
(pp. 44-51)

Abstract. This article discusses about secure over-the-air enrollment process new Google Android mobile devices in enterprise mobility management system, which consists of 7 steps: sending enrollment address to the user via e-mail and/or QR-code (Quick Response); mobile device is authenticated with EMM (Enterprise Mobility Management) server at received enrollment IP-address using the Web browser and/or QR-codes reader; EMM server checks the device type by checking User-Agent field in requested HTTP Header; EMM server authenticates the device using SAML 2.0 (Security Assertion Markup Language) standard; the device downloads corresponding agent from EMM server; the user installs the agent on the device; the device registers with EMM server and Push-notifications service (Google Cloud Messaging) using OAuth 2.0 standard (Open standard for Authorization). The contribution of this article is implementing the enrollment method with several advantages: improving the efficiency of enterprise users using personal mobile devices; controlling deployment agent on the mobile device according to the policy of different users/groups, thus avoiding the unacceptable proliferation, zoning and minimizing the security risks associated with mobile devices; the stored enrollment code of the device, is used to authenticate the device via EMM server and the notification service. The unregistered device cannot obtain the access code and cannot by pass the authentication step each time requesting data or accessing the system. The proposed the new mobile device enrollment method can be used with minimal changes for enroll devices running different operating systems, such as iOS, Windows Phone, Black Berry. In addition, the performance of the enrollment method new mobile device in the EMM system can be improved by replacing the request/ response model to asynchronous communication model or using parallel servers.

Keywords: Enterprise mobility management; Information security; Enrollment process; Authentication device; Security Assertion Markup Language; Open authorization protocol.


 Н. З. Буй, А. Г. Кравец, Л. Т. Т. Нгуен (Волгоградский государственный технический университет, Волгоград, Россия)


N. D. Bui, A. G. Kravets, L. T. T. Nguyen (Volgograd State Technical University, Volgograd, Russia)  


