可信云2014-2015年度云技术创新奖提名--华为


申请单位

华为软件技术有限公司

申报云奖类型

以下可多选
容器类
□容器虚拟化
□容器管理
□其他
计算类
□内核
□内存
□资源管理
□虚拟化
□其他
存储类
□块设备
□数据库
□缓存
□对象存储
□其他
网络类
□基础网络
□VPC
■外网接入
□CDN
□其他
安全类
□网络安全
■业务安全
□其他

申报技术

技术一

技术名称

网络 类 外网接入 子类 应用专属VPN 技术

创新点
(15分)

华为应用专属VPN方案包括移动终端安全SDK以及应用专属VPN网关两个组成部分,并附带对应的集成辅助工具软件;
华为移动终端安全SDK内置全球独有的轻量级、高效的应用层TCP/IP协议栈,可以和移动应用无缝集成,使得移动应用的数据不仅在网络传输时是安全加密的,而且在移动终端OS内部,在以移动应用与OS之间都是加密传输的。华为移动终端安全SDK提供的应用专属VPN通道不仅可以对上层应用的TCP层、http层的数据进行传输加密保护,同时对所有基于IP的应用数据均可进行传输加密保护。
华为应用专属VPN网关针对高时延、高丢包率的恶劣网络传输条件进行了针对性优化,可以在即保证安全传输的前提下同时达到很高的传输性能。
华为应用专属VPN方案提供辅助集成工具软件,可以简化Android、iOS移动应用集成安全SDK,即不需要修改Android、iOS的一行代码、不需要重新编译发布即可实现安全SDK的集成。

技术介绍
(15分)

传统SSL VPN或者IPSec VPN实现技术中,需要在移动终端上安装虚拟网卡,并且企业应用的数据报文需要经过虚拟网卡中转之后才能进入到VPN加密通道。在企业应用的数据经过虚拟网关中转时,存在安全风险——此时感染病毒或木马的应用,可以通过拦截虚拟网卡上的数据,获取到明文的企业应用信息。
AnyOffice采用应用层VPN实现技术。企业应用直接集成加密传输组件,在应用内即对数据进行加密,只有加密后的数据才从应用内传递到OS系统。因此,即使移动终端上存在被病毒或木马感染的恶意应用,也不能够从OS系统中获得明文的企业数据。
应用层TCP/IP虚拟协议栈是AnyOffice方案有别于其他厂家安全传输技术的关键。在AnyOffice中,应用的应用层数据能够通过虚拟协议栈封装TCP/IP头,形成一个新的IP报文并对其进行加密。安全协议栈的重要意义在于,AnyOffice能够对所有基于IP协议的企业应用(不管传输层是TCP还是UDP)提供安全传输保护,而不仅局限在基于HTTP或TCP协议的企业应用。

$EB$FXONIHVA7CMDRWVBX14

安全SDK通过华为公司的Dopra抽象层和各个具体的操作系统适配对接(目前,支持的操作系统包括iOS、Android、Windows、Symbian),屏蔽底层操作系统的差异。向上提供统一的本地加解密接口、数据加密传输接口,方便各类自研及第三方的应用集成,使之具备数据加密传输、本地数据加密等能力。其中"数据加密传输接口"又包括兼容标准SOCKET的安全通信接口、兼容HTTP的安全通信接口。
安全SDK的调用流程

$EB$FXONIHVA7CMDRWVBX14

第三方应用程序需要使用安全SDK的特性时,只需要在源代码中使用安全SDK提供的接口。这些接口接管了应用程序的网络通信、文件操作等功能,应用程序无需关心底层的加解密过程即可实现相应的功能。以加密通信为例,用户启动客户端应用程序,应用加载安全SDK,调用SDK提供的初始化接口设置SDK的运行环境,然后与AnyOffice网关之间自动建立起VPN加密隧道进行业务数据的传输,应用退出时,则应使用“运行环境清理接口”以清理初始化时做的设置。

技术特点
(10分)

1 AnyOffice应用专属VPN隧道AnyOffice能够对所有基于IP协议的企业应用(不管传输层是TCP还是UDP)提供安全传输保护,而不仅局限在基于HTTP或TCP协议的企业应用
2 AnyOffice 应用专属VPN网关针对高时延、高丢包率的网络进行了传输方法优化
3 AnyOffice 提供安全SDK集成辅助工具,能够对Android、iOS移动应用不修改代码即可完成安全SDK集成。

技术应用
(10分)

华为AnyOffice应用专属VPN隧道方案应用于EMM云中移动终端和租户业务网络之间的加密传输,可以对移动应用例如安全邮件、安全浏览器提供安全的、高效的传输加解密保护。

其它

其它需要说明的地方

技术二

技术名称

安全 类 业务安全 子类 技术

创新点
(15分)

华为AnyOffice移动办公EMM云为企业提供统一的移动办公入口和灵活的应用发布平台,在 “端、管、云”三点构筑核心能力;
华为AnyOffice移动办公EMM云基于平台和应用提供开放的生态系统,提供灵活的业务扩展能力

技术介绍
(15分)

华为AnyOffice移动办公解决方案安全架构如下图所示

Figure AnyOffice移动办公解决方案安全架构

$EB$FXONIHVA7CMDRWVBX14

华为AnyOffice移动办公EMM云为企业提供统一的移动办公入口和灵活的应用发布平台,在 “端、管、云”三点构筑核心能力;
在端侧,华为AnyOffice移动办公EMM云提供华为AnyOffice安全工作台应用,该应用作为企业在移动互联网的业务入口。企业用户只需要登录AnyOffice安全工作台,就可以很方便的访问各种企业移动应用,包括Native App和Web App。AnyOffice安全工作台通过应用入口容器和单点登录框架,实现所有应用SSO 的体验。企业用户全程仅一次登录,就可以自动访问各个企业移动应用,减少了输入,极大地提高了易用性和用户体验。AnyOffice安全工作台也提供应用消息中心,供各个企业移动应用使用。使企业摆脱对公网第三方消息服务器的依赖,既增强可靠性又规避安全风险。AnyOffice安全工作台提供移动安全沙箱能力,实现个人数据和企业数据的隔离,安全工作台内的企业移动应用数据不能通过复制/粘帖、截屏等方式泄密,对企业数据采用高强度加密手段防护,能做到即使数据被非法获取也不泄露明文信息。
AnyOffice安全工作台作为企业应用的统一入口,直观的将企业应用和个人应用进行分类,便于用户快速进入企业应用,提高工作效率。另外在进入安全工作平台的过程中,AnyOffice提供了用户身份认证、移动终端安全策略检查,作为入口,为应用提供了一层强有力的安全保障。
AnyOffice在管道安全环节,提供应用层VPN管道和安全协议栈,并开放功能强大而又容易集成的SDK给第三方应用。利用安全协议栈,每个应用的数据在从应用到传输层的过程中已经是密文,可以防范木马、病毒类非法应用,也能阻止嗅探类手段获取明文数据。采用应用层VPN管道技术,每个应用都独享一个安全隧道,可以确保数据传输的安全性。在应用层VPN中,有终端和网关两个核心控制点,这两个控制点相互关联,双向认证,高度安全,即使通过黑客类手段获取终端权限,利用伪造或中间人攻击等手段也无法突破网关的防护。
AnyOffice提供安全沙箱能力,通过安全沙箱实现个人和企业数据的隔离,对企业数据采用高强度加密手段防护,能做到即使数据被非法获取也无法获取明文信息。AnyOffice在移动终端OS的数据隔离基础上通过高强度的加密技术实现文件数据隔离。AnyOffice给上层企业应用提供透明的安全文件加解密接口,上层应用通过调用接口,可以方便地从加密沙箱中读取数据或者向加密沙箱中写入数据。数据在读取或者写入的同时完成加解密操作,上层应用不需要关注具体的加解密过程。沙箱内的数据在存储到存储介质上时是加密的,可避免明文信息被非法获取。
AnyOffice为企业提供云存储能力,通过存储API给应用提供数据存储、检索功能,应用的数据都存储在云中。 AnyOffice云存储方案自身完成数据的容灾、备份、分布式部署,从而避免每个应用都重复建设数据存储方案,既解放了应用,让应用聚焦于用户体验和业务创新,又实现了数据的统一管理。
Figure AnyOffice统一云存储平台

$EB$FXONIHVA7CMDRWVBX14

AnyOffice云存储平台面向用户提供基于对象的存储服务,用户所上传的数据以对象的形式存储在华为云存储系统的存储空间中,对象可以存放在不同或者同一个存储空间中,数据模型如下图所示。

Figure 云平台数据存储模型

$EB$FXONIHVA7CMDRWVBX14

对象数据实际存放在相同或者不同硬件存储设备的云存储节点中,对象元数据由统一的元数据节点管理。通过对对象元数据的管理,华为云存储平台可建立对象数据和用户映射关系。华为云存储平台的访问权限控制主要是通过配置存储空间和对象的访问控制列表ACL(Access Control List)来实现。所有的存储空间和对象在默认情况下,华为云存储平台只允许存储空间的创建者访问存储空间内的对象。用户也可以设置其他的访问策略,比如对一个对象可以设置公共访问策略,允许所有人对其都有读权限。华为云存储平台支持在创建存储空间或上传对象时可以同时设置存储空间或对象的权限控制策略。如果在创建存储空间或上传对象时没有设置权限控制策略,也可以在之后的操作中对已存在的存储空间或对象,使用ACL操作获取或更改策略。
办公EMM云基于平台和应用提供开放的生态系统,提供灵活的业务扩展能力。
AnyOffice移动办公平台是华为面向ISV以及华为合作伙伴提供的软件开发平台。在这个平台中,华为将安全沙箱、应用层VPN、MDM、云存储、用户状态以SDK的形式开放给行业ISV等合作方,以支持不同行业移动应用对AnyOffice的集成开发。借助AnyOffice开放的产品能力、标准化的接口以及预集成插件,ISV及合作伙伴更易于将成熟应用与AnyOffice融合,快速响应客户需求,提供安全、可靠的行业应用,构建差异化解决方案。

技术优势
(10分)

华为AnyOffice移动办公EMM云为企业提供统一的移动办公入口和灵活的应用发布平台,在 “端、管、云”三点构筑核心能力;
办公EMM云基于平台和应用提供开放的生态系统,提供灵活的业务扩展能力

技术应用
(10分)

申报技术达到了什么效果,并对可以应用的场景进行介绍,也可以举例说明

其它

其它需要说明的地方

申报总结

一段话自我推荐总结,最多300字

华为为企业客户提供市场领先的移动办公安全方案,使企业的安全管理变得简单、高效,为企业移动业务的覆盖打消顾虑,提高投资回报(ROI)。AnyOffice已经广泛应用于金融、政府、教育等多个行业,为超过100万的用户提供EMM服务。

距离大会开幕还有:

00天 00时 00分

服务热线

010-53318472
13910069174 赵旭

商务合作

010-68094572
13683646409 杨京京
13810759176 刘小瑞

媒体合作

010-82056610
18610809062 美丽

指导单位

工业和信息化部

主办单位

中国信息通信研究院
中国通信标准化协会

承办单位

数据中心联盟
云计算发展与政策论坛

协办单位

埃普威 中国IDC圈

合作伙伴(补充中)