基于物理隔離和密碼技術(shù)實現(xiàn)安全移動辦公系統(tǒng)的研究和應(yīng)用

王永起+李強

[摘 要]本文從辦公的移動性、安全性出發(fā)，采用物理隔離雙硬盤、內(nèi)嵌安全芯片的安全移動辦公終端作為前端設(shè)備，采用IPSec協(xié)議對終端設(shè)備網(wǎng)絡(luò)訪問數(shù)據(jù)進行加密，同時采用云計算和虛擬化技術(shù)對后臺數(shù)據(jù)進行存儲，從而保證前臺訪問、中間網(wǎng)絡(luò)和后臺存儲的有效結(jié)合和管控，既滿足了移動辦公方便、快捷地接入企事業(yè)單位辦公網(wǎng)的互連需求，又防止辦公終端直接接入互聯(lián)網(wǎng)而導(dǎo)致的安全問題。

[關(guān)鍵詞]物理隔離；安全芯片；虛擬化技術(shù)

doi：10.3969/j.issn.1673 - 0194.2017.12.082

[中圖分類號]TN929.53；TP368.3 [文獻標(biāo)識碼]A [文章編號]1673-0194（2017）12-0-03

0 引 言

移動互聯(lián)技術(shù)的飛速發(fā)展和通信基礎(chǔ)設(shè)施建設(shè)的日益成熟與普及，推動了移動終端的廣泛應(yīng)用。鑒于移動終端使用的方便性，移動終端正在大規(guī)模替代PC端進入工作型應(yīng)用領(lǐng)域。在企事業(yè)單位辦公領(lǐng)域，移動終端的應(yīng)用有助于工作人員擺脫工作位置的束縛，能夠更充分地利用時間，提高工作效率。另外，與PC終端比較，移動終端的成本更低廉，使用更簡單，出現(xiàn)故障的概率更低，容易做到專業(yè)化和標(biāo)準(zhǔn)化，所以移動辦公的普及已成必然趨勢。

雖然移動辦公給工作帶來了諸多的便利，但由于普通的移動終端缺乏相應(yīng)的安全措施，存在較高的安全風(fēng)險，如攜帶病毒和木馬、無線通信的傳輸風(fēng)險、數(shù)據(jù)泄露風(fēng)險、設(shè)備丟失風(fēng)險、身份識別風(fēng)險等。另外，移動辦公可能導(dǎo)致企事業(yè)單位內(nèi)網(wǎng)信息通過移動終端泄露，病毒、木馬等可能通過移動終端進入企事業(yè)單位辦公內(nèi)網(wǎng)等，換言之，在企事業(yè)單位內(nèi)外網(wǎng)之間信息安全受到挑戰(zhàn)，保密性和可用性無法兼顧。因此，如何在安全的前提下實現(xiàn)企事業(yè)單位內(nèi)外網(wǎng)數(shù)據(jù)的交互和便捷的移動辦公，成為移動辦公平臺需要解決的核心問題。

為滿足移動辦公方便、快捷地接入企事業(yè)單位辦公網(wǎng)的互連需求，同時防止辦公終端直接從互聯(lián)網(wǎng)接入而導(dǎo)致的安全問題，本文提出了架構(gòu)在IPSec協(xié)議基礎(chǔ)上，基于云計算和虛擬化技術(shù)的移動辦公平臺安全接入方案，能夠有效避免移動辦公應(yīng)用面臨的風(fēng)險。

1 安全移動辦公終端設(shè)計

1.1 物理隔離技術(shù)

物理隔離能消除潛在的網(wǎng)絡(luò)威脅，滿足網(wǎng)絡(luò)對安全的要求，物理隔離技術(shù)在維護高安全級別網(wǎng)絡(luò)的安全方面是首選的安全技術(shù)。

安全移動辦公終端采用雙硬盤物理隔離技術(shù)，如圖1所示，使用雙硬盤，一個3是2 G標(biāo)準(zhǔn)EMMC閃存盤，存儲公網(wǎng)系統(tǒng)。公網(wǎng)系統(tǒng)同主流設(shè)備一樣可以瀏覽互聯(lián)網(wǎng)、可用于娛樂休閑。另一個是16 G加密硬盤，存儲辦公專網(wǎng)系統(tǒng)。專網(wǎng)系統(tǒng)無法打開Wifi、藍牙，無法連接互聯(lián)網(wǎng)，只能通過APN專線連接辦公專網(wǎng)。通過終端上的控制開關(guān)，實現(xiàn)工作站在內(nèi)外網(wǎng)下的雙重工作狀態(tài)，兩個狀態(tài)是完全物理隔離。當(dāng)一個硬盤工作時，另一個硬盤處于斷電不工作的狀態(tài)，內(nèi)網(wǎng)硬盤工作時，只有內(nèi)網(wǎng)網(wǎng)線接入；外網(wǎng)硬盤工作時，只有外網(wǎng)網(wǎng)線接入。這樣，內(nèi)網(wǎng)數(shù)據(jù)與外網(wǎng)數(shù)據(jù)不存在電氣通道，相互完全物理隔離。使用時，開機前通過一個選擇開關(guān)，選定進入“內(nèi)”或“外”工作方式，開機后，將相應(yīng)啟動“內(nèi)”或“外”硬盤，并接入對應(yīng)的“內(nèi)”或“外”網(wǎng)線。使用中需要切換“內(nèi)”或“外”工作方式時，則應(yīng)正常退出關(guān)閉電源，再行選定選擇開關(guān)，重新開機。這保證了同一臺移動終端設(shè)備連入兩個完全物理隔離的網(wǎng)絡(luò)，同時又保證了兩個網(wǎng)絡(luò)不會因此產(chǎn)生任何連接，內(nèi)外網(wǎng)硬盤各自安裝獨立的操縱系統(tǒng)，分別與內(nèi)外網(wǎng)相對應(yīng)。在同一時間內(nèi)只有一個硬盤與相應(yīng)的網(wǎng)絡(luò)接通，另外一個硬盤關(guān)閉，其對應(yīng)的網(wǎng)絡(luò)也切斷，從而實現(xiàn)內(nèi)外網(wǎng)徹底的物理隔離。

由雙硬盤構(gòu)成的內(nèi)網(wǎng)和外網(wǎng)環(huán)境各自獨立，只能在相應(yīng)的網(wǎng)絡(luò)環(huán)境下工作，不能在一種網(wǎng)絡(luò)環(huán)境下使用另一個環(huán)境使用的設(shè)備，這使安全隔離移動終端的集成度較高，使用起來更加方便、簡單，也更加安全。

1.2 采用雙網(wǎng)絡(luò)

移動辦公終端使用雙SIM卡，公網(wǎng)使用Micro SIM卡及Nano卡，專網(wǎng)使用Nano SIM卡，通過在主板的BIOS中進行一些定制修改，將內(nèi)外網(wǎng)絡(luò)轉(zhuǎn)化功能融入BIOS中。主板BIOS控制由雙網(wǎng)卡和雙硬盤構(gòu)成的內(nèi)網(wǎng)和外網(wǎng)環(huán)境各自獨立，并只能在相應(yīng)的網(wǎng)絡(luò)環(huán)境下工作，不能在同一種網(wǎng)絡(luò)環(huán)境下使用另一個環(huán)境使用的設(shè)備，這使安全隔離移動終端的集成度較高，更加方便使用，也更安全。

1.3 內(nèi)置國密芯片

安全芯片是一款可以獨立進行密鑰生成，提供多種加密算法，支持公鑰基礎(chǔ)設(shè)施及數(shù)字簽名等安全認證及保障功能的產(chǎn)品。作為智能終端的最底層安全保障，安全芯片的應(yīng)用能有效防止黑客的攻擊與破解，提高智能終端的安全性，保障用戶個人信息和應(yīng)用數(shù)據(jù)的安全。安全移動辦公終端內(nèi)置支持國密算法安全芯片，提供用戶身份認證和數(shù)據(jù)加密功能，保證終端設(shè)備和用戶的身份安全以及數(shù)據(jù)傳輸安全，終端采用自主研發(fā)的cos系統(tǒng)，防止系統(tǒng)“后門”泄密，保證系統(tǒng)的安全。

（1）身份認證。移動終端與云端進行通信，需要進行身份認證以完成登錄、傳輸?shù)炔僮?。實現(xiàn)身份認證一般利用公鑰簽名完成用戶的身份認證。身份認證包括身份識別與身份鑒定兩個階段，身份識別是指終端本地采集信息并與預(yù)存信息進行驗證，而身份鑒定是將身份信息與應(yīng)用及遠端服務(wù)器進行對接。當(dāng)身份識別通過時，移動終端對需要認證的信息進行簽名，發(fā)送給服務(wù)器，服務(wù)器利用存儲的用戶公鑰對該信息進行驗簽操作，若通過，則完成身份認證過程。如圖2所示。

（2）數(shù)據(jù)加密。在用戶身份認證通過后，兩個客戶端之間建立連接，傳輸數(shù)據(jù)都會先交由安全芯片進行加密，如圖3所示。發(fā)送用戶A發(fā)送的數(shù)據(jù)通過安全芯片進行加密后，以密文的形式進行發(fā)送，接收用戶B對收到的密文交由安全芯片進行解密，從而獲悉傳輸?shù)臄?shù)據(jù)，保證數(shù)據(jù)的傳輸安全。

2 安全移動辦公終端平臺

移動辦公平臺的核心設(shè)計思想是采用虛擬應(yīng)用技術(shù)，分離應(yīng)用的使用平臺和運行平臺。移動辦公終端從應(yīng)用運行設(shè)備變成純粹的輸入輸出設(shè)備，通過無線網(wǎng)絡(luò)遠程操作企事業(yè)單位辦公系統(tǒng)的各種應(yīng)用和服務(wù)，從而實現(xiàn)用戶的移動辦公需求。

平臺采用先進的云計算技術(shù)，通過架構(gòu)在IPSec協(xié)議基礎(chǔ)上的安全接入網(wǎng)關(guān)以及虛擬化手段，采用安全、可靠的硬件平臺，無需改變現(xiàn)有企事業(yè)單位辦公網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用模式，將企事業(yè)單位辦公系統(tǒng)的本地應(yīng)用、C/S應(yīng)用、B/S應(yīng)用（如Office軟件、辦公系統(tǒng)、辦案系統(tǒng)等）平滑遷移到移動辦公終端上，實現(xiàn)移動端和固定辦公數(shù)據(jù)和文檔的統(tǒng)一與共享，達到任何時間、任何地點進行辦公的目的，是企事業(yè)單位實現(xiàn)移動辦公的最佳解決方案。

3 拓撲結(jié)構(gòu)

安全移動辦公平臺方案設(shè)計網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖4所示，此網(wǎng)絡(luò)拓撲不僅能夠保證移動辦公系統(tǒng)的數(shù)據(jù)安全性，同時也能快速將業(yè)務(wù)系統(tǒng)移植到移動辦公終端系統(tǒng)上。

圖4 移動辦公平臺網(wǎng)絡(luò)拓撲圖

根據(jù)圖4移動辦公平臺網(wǎng)絡(luò)拓撲圖，在完全加密條件下，用戶可通過安全移動辦公終端進行辦公操作。數(shù)據(jù)從終端到企事業(yè)單位辦公網(wǎng)的處理過程如下：①數(shù)據(jù)在安全移動辦公終端進行三次加密（協(xié)議層加密、VPN層加密、VPDN加密）后，通過運營商移動網(wǎng)絡(luò)傳輸至安全接入?yún)^(qū)；②數(shù)據(jù)在離開運營商專用通道前進行一次解密（VPDN解密）后，進入安全接入?yún)^(qū)；③數(shù)據(jù)在安全接入網(wǎng)關(guān)進行一次解密（VPN解密）后，傳輸至安全隔離區(qū)；④數(shù)據(jù)在安全應(yīng)用服務(wù)器進行最后一次解密（協(xié)議層解密）后，由安全隔離設(shè)備擺渡至企事業(yè)單位辦公內(nèi)網(wǎng)。

該部署架構(gòu)有以下優(yōu)點：①網(wǎng)絡(luò)邊界劃分明確，在每一個網(wǎng)絡(luò)邊界都提供良好的安全保障；②數(shù)據(jù)傳輸過程中經(jīng)過多層加密，傳輸安全有保障；③安全隔離區(qū)中的安全應(yīng)用服務(wù)器受到安全接入網(wǎng)關(guān)的接入保護，沒有經(jīng)過認證的移動終端即使能連接到接入網(wǎng)，也無法訪問相應(yīng)的應(yīng)用服務(wù)；④安全接入?yún)^(qū)和企事業(yè)單位辦公內(nèi)網(wǎng)通過安全隔離設(shè)備與安全應(yīng)用服務(wù)器實現(xiàn)物理隔離，保證企事業(yè)單位辦公網(wǎng)不受外部攻擊。

4 安全移動辦公平臺的安全體系

4.1 數(shù)據(jù)安全

安全移動辦公系統(tǒng)邏輯架構(gòu)，如圖5所示。

由圖5可以看到，對企事業(yè)單位移動辦公安全接入設(shè)計了包括終端加固、通信加密、身份認證、訪問控制、辦公安全、安全管理、日志審計等7大安全措施，共同構(gòu)成安全、高效的移動辦公安全接入體系。

（1）終端加固是針對移動辦公終端在接入安全移動辦公平臺時存在多種安全風(fēng)險提出的一系列防護措施，主要解決終端數(shù)據(jù)加密、操作系統(tǒng)可靠性、操作系統(tǒng)校驗和驗證、APP安裝防護、終端多用途時的數(shù)據(jù)安全。包括：硬件加密設(shè)備；數(shù)據(jù)加密存儲；使用開源操作系統(tǒng)；操作系統(tǒng)校驗和驗證；應(yīng)用安裝權(quán)限許可；通過操作系統(tǒng)強制自動還原機制實現(xiàn)安全的“一本多用”。

（2）通信加密要解決安全移動辦公終端和安全應(yīng)用服務(wù)器之間數(shù)據(jù)傳輸?shù)陌踩?，平臺通過對安全移動辦公終端傳輸?shù)臄?shù)據(jù)進行多次加密，保證數(shù)據(jù)傳輸過程的安全，通過多次加密，即使傳輸數(shù)據(jù)被截獲，也無法獲取數(shù)據(jù)的明文信息。

（3）身份認證包括終端啟動認證、終端屏幕解鎖認證、終端和安全接入網(wǎng)關(guān)身份認證、終端和安全應(yīng)用服務(wù)器身份認證等功能。

終端（用戶）和安全應(yīng)用服務(wù)器建立連接前需要先進行身份認證，只有身份認證通過后，才能接入安全應(yīng)用服務(wù)器進行移動辦公，身份認證支持用戶名+密碼認證機制或者Windows AD域認證機制等多種認證機制。

（4）安全管理保證只有授權(quán)管理員可以對平臺進行管理操作，包括用戶/角色管理、應(yīng)用管理、服務(wù)管理等管理功能。且管理員只能執(zhí)行被授權(quán)的管理功能。

（5）訪問控制使安全移動辦公終端和用戶只能在授權(quán)時間內(nèi)訪問授權(quán)范圍內(nèi)的資源或者應(yīng)用，防止非授權(quán)訪問和越權(quán)訪問。

4.2 網(wǎng)絡(luò)安全

通信加密主要解決安全移動辦公終端和安全應(yīng)用服務(wù)器之間數(shù)據(jù)傳輸?shù)陌踩?，基于支持國密算法的安全接入網(wǎng)關(guān)，實現(xiàn)安全移動辦公終端到安全應(yīng)用服務(wù)器端的通信加密，保證辦公數(shù)據(jù)在傳輸過程中的機密性和完整性。多重加密如圖6所示。

除了移動運營商提供的專用通道（APN/VPDN）外，在該通道上重新建立支持國密算法的VPN通道，對通信數(shù)據(jù)進行二次加密；另外，在協(xié)議上還可以進行協(xié)議層加密，即為第三層加密。通過以上層層加密，最大限度保證端到端數(shù)據(jù)傳輸?shù)陌踩?，做到信道加密不依賴運營商專用通道，在支持高強度國密算法的基礎(chǔ)上實現(xiàn)加密可控。

4.3 應(yīng)用安全

系統(tǒng)采用先進的云技術(shù)，通過虛擬化技術(shù)把企事業(yè)單位現(xiàn)有的辦公系統(tǒng)應(yīng)用、Windows應(yīng)用等平移到辦公終端，把辦公應(yīng)用程序的人機交互邏輯（應(yīng)用程序界面、鍵盤及鼠標(biāo)的操作等）與辦公系統(tǒng)計算邏輯進行隔離，移動終端只是作為企事業(yè)單位辦公的輸入和展示端，具體的辦公處理邏輯還是在原來的辦公系統(tǒng)中進行。另外，通過部署安全隔離設(shè)備可以實現(xiàn)企事業(yè)單位內(nèi)外網(wǎng)之間的數(shù)據(jù)隔離。

安全安全移動辦公系統(tǒng)提供Web管理界面，安全移動辦公平臺支持遠端的主機通過Web頁面進行日常管理工作，并對遠端主機各平臺之間的管理報文進行加密，保證管理操作安全有效。

安全移動辦公平臺采用嚴格的訪問控制機制，保證終端用戶（辦公終端）對辦公資源的訪問安全可控，通過授權(quán)管理員對用戶的訪問控制策略進行配置，終端用戶只能訪問授權(quán)的系統(tǒng)應(yīng)用，對受保護資源訪問內(nèi)容不能超出授權(quán)訪問，還可以配置用戶訪問系統(tǒng)時段以及訪問系統(tǒng)的次數(shù)。

5 結(jié) 語

安全移動辦公終端滿足了許多保密單位對機密信息的安全需求，諸如軍事機構(gòu)、政府機關(guān)、大型企業(yè)、科研院校等。隨著網(wǎng)絡(luò)化、信息化的迅猛發(fā)展，移動性、安全性的概念將不斷深入各行業(yè)、各部門。安全移動辦公終端設(shè)計方案，既充分保證了網(wǎng)絡(luò)信息的安全性，又讓用戶實現(xiàn)了移動辦公。

主要參考文獻

[1]楊雪微.物理隔離數(shù)據(jù)交換系統(tǒng)的設(shè)計[D].上海：同濟大學(xué)，2009.

[2]王宗岳.安全芯片在智能終端中的應(yīng)用與分析[J].互聯(lián)網(wǎng)天地，2016（8）.