王 欣， 張昕偉

(1.內蒙古化工職業(yè)學院,內蒙古 呼和浩特 010070;2.華北計算機系統(tǒng)工程研究所,北京 100083)

隨著移動互聯(lián)網的迅速發(fā)展，企業(yè)辦公網絡也逐步向移動終端方向發(fā)展，移動用戶希望能夠依托移動通信網絡接入到內部網絡。由于移動網絡應用的復雜性，原有的移動安全接入方案己不適合新的應用環(huán)境。隨著企業(yè)辦公網與外部交流業(yè)務的日益頻繁，越來越多的移動終端接入到企業(yè)辦公網中，管理人員難以控制外部用戶用來登錄到企業(yè)辦公網的終端設備；而如果允許用戶隨意使用移動終端接入網絡，極有可能在管理人員和系統(tǒng)維護人員毫不知情的情況下，某些不懷好意者通過無線移動終端設備侵入企業(yè)辦公網內部網絡，從而造成數據泄露、病毒傳播、數據攻擊等嚴重問題；同樣，如果合法用戶不及時升級系統(tǒng)補丁和病毒庫，或者安裝了不明來源的移動應用，都可能成為企業(yè)辦公網絡的安全隱患,給整個企業(yè)辦公的網絡安全造成沉重的打擊。

企業(yè)辦公網移動終端接入面臨的安全威脅主要集中在數據傳輸鏈路、移動終端、應用系統(tǒng)等方面。如移動終端通過移動通信網絡進行的各種攻擊、入侵或病毒植入等威脅；如果移動終端安裝不明來源的應用中植入的后門、漏洞等被不法分子啟用，將造成企業(yè)信息失控、終端設備故障，或者通過移動通信設備實現內外勾結，泄露企業(yè)內部重要信息等。因此，如何保證在使用移動終端設備的條件下，實現移動終端和企業(yè)辦公網絡之間數據共享和交換的安全性,成為當前亟待解決的重要問題。

目前，實現終端設備安全接入的主要思路是：移動終端設備在接入網絡之前，由接入控制系統(tǒng)根據企業(yè)預先設置的安全策略對其進行檢查，符合安全策略的允許接入，不符合的則不允許接入，這樣就實現了部分防護功能，及對非法接入設備的攔截，除非設備提供合法的安全策略，否則不允許接入。

目前針對移動終端安全接入的研究主要包括以下3種:微軟的網絡接入保護 NAP(Network Access Protection)技術、思科的網絡準入控制NAC(Network Admission Control)技術以及可信計算組織TCG (Trusted Computing Group)的可信網絡連接 TNC(Trusted Network Connect)技術。上述終端安全接入技術都會在終端接入網絡之前對其進行身份認證和完整性度量，只有終端可信并且遵循訪問策略時才允許其接入網絡。

本文將結合無線公開密鑰體系(WPKI)認證技術和可信網絡技術,建設企業(yè)辦公網移動終端安全接入系統(tǒng)，著重描述安全接入系統(tǒng)的總體架構和實現方案。

1 安全接入系統(tǒng)關鍵技術研究

企業(yè)辦公網移動終端安全接入系統(tǒng)是企業(yè)辦公網安全保障體系的重要組成部分，通過制定移動終端安全接入模式、方法和技術，建立企業(yè)辦公網移動終端安全接入系統(tǒng)，為企業(yè)辦公網安全保障體系的建立提供技術支撐,從而確保訪問企業(yè)資源的所有設備都是有效可控的，以實現對各種安全威脅的抵御，有效地阻止這些威脅對企業(yè)信息資源的影響。終端設備通過3G等移動通信網絡訪問企業(yè)網絡，必須達到系統(tǒng)規(guī)定的安全策略和規(guī)則條件，所有的接入設備通過安全的接入點接入網絡,可以及時發(fā)現、預防和消除由移動終端設備帶來的安全威脅，從而大大減少木馬和病毒等對企業(yè)網絡造成的威脅和影響。

1.1 企業(yè)辦公網移動終端接入工作模式

根據移動終端請求所訪問的數據位置的不同，企業(yè)辦公網移動接入的工作模式可分為以下兩類：

(1)將移動終端設備應用所訪問的數據和資源放在移動接入安全應用服務器上，這些接入服務器在企業(yè)辦公網信息資源之外，只用于移動終端訪問，然后通過使用數據同步和數據交換機制實現接入服務器和企業(yè)網絡信息資源服務器的數據同步。該模式下，系統(tǒng)的響應性能很好，但是數據時效性差，會造成資源過時，影響辦公的正常進行。

(2)通過代理的方式實現移動終端數據和資源的訪問，這種模式的實現方法是：將數據和資源統(tǒng)一放在企業(yè)辦公網內，移動終端向安全移動接入平臺的代理服務器發(fā)出請求，由代理向服務器發(fā)出請求，并返回數據給移動終端設備。該模式下數據的更新和同步及時，不影響正常的辦公流程，但是移動終端辦公所需的資源和請求都要通過代理中轉。

根據企業(yè)辦公網的需求，采用代理的方式實現移動終端設備接入的工作模式。

1.2 基于可信網絡的移動終端安全接入

采用可信網絡連接技術實現移動終端安全接入，形成網絡信任鏈模型M-TNC,使用可信網絡連接技術TNC(Trusted Network Connection),通過采用可信主機提供的終端技術，在移動通信網絡環(huán)境下實現移動終端訪問控制。

M-TNC的權限控制規(guī)則采用終端的完整性校驗來檢查終端的“可信度”。M-TNC的架構分為3類實體：終端訪問者AP(Access Point)、規(guī)則判定者 RJP(Rule Judgement Point)、規(guī)則定義者 RDP(Rule Defination Point)。終端訪問者就是移動終端訪問設備，請求服務器的資源；規(guī)則判定者和規(guī)則定義者就是移動終端安全接入控制系統(tǒng)。M-TNC將傳統(tǒng)的接入方式“先連接，后安全評估”變?yōu)椤跋劝踩u估，后連接”，能大大增強網絡接入的安全性。

(1)元素定義

定義1資源集R={ri|i=1…N}，企業(yè)辦公網絡的資源集合。

定義 2資源服務域 RS={R,SDP,AP,ISP}，R是企業(yè)網絡提供的資源集，RJP是絕對可信的規(guī)則判定者，RDP管理整個域的AP及協(xié)助網絡服務提供者ISP(Internet Service Provider)驗證M-TNC的可信性，同時受理其他域M-TNC的跨域服務請求消息。

(2)移動終端可信接入算法

算法1移動終端可信接入算法

移動終端可信接入機制如圖1所示。

圖1 移動終端可信接入機制

①//RDP根據AP的可信度制定相應的ACL規(guī)則：

②//AP請求接入：發(fā)出訪問請求，收集該終端的可信度評估值并發(fā)送給RJP，等待RJP對終端設備的可信度判定：

③//RDP完成對MTAM(Mobile Terminal Access Module)模塊的完整性及真實性驗證，負責為MTAM中的移動終端設備頒發(fā)可信證書：

④//RDP負責制定和分發(fā)AP的可信度判定規(guī)則，并對其證書進行驗證，以評估該接入設備的可信性：

對MTAM的身份進行鑒別，驗證AP證書的有效性，校驗AP設備的可信性：

(3)接入機制分析

MTAM向RDP注冊服務，申請RDP頒發(fā)的可信評估證書，獲得該證書后，MTAM即可與ISP進行交互，ISP通過驗證可信評估證書的合法性完成對MTAM的可信度評估[2]。

RDP獲得由移動終端可信判定中心CMJC簽發(fā)的可信證書，證書包含RDP的公鑰及CMJC簽名等信息，并通過安全途徑向移動終端等外部設備公布公鑰，每個移動終端的實體身份證書格式如下。

其中KPubA是移動終端A的公鑰，EKSCA是CMJC的私鑰，DateA是證書的頒發(fā)日期，LFA是證書的有效期。

圖2所示為MTAM與RDP建立連接，申請由RDP頒發(fā)的可信證書。連接建立前MTAM基于RDP進行完整性度量，MTAM與RDP協(xié)商完成MTAM與RDP間身份認證，該身份認證是雙向的，認證完成后RDP實現對MTAM平臺的可信度判定。通過身份認證和可信度判定的MTAM可以獲得RDP為其頒發(fā)的可信證書，在證書的有效時間內，終端用戶持該證書就可以與ISP建立服務連接。

圖2 MTAM向RDP注冊

通過請求Message消息MTAM與RDP進行Session會話建立前的協(xié)商，Nonce包含隨機數和時間戳，用來驗證發(fā)送的消息是否得到相應的回復，ID是MTAM的身份 ID號，MTAMPK是 MTAM的公鑰；RDPPK是 RDP的公鑰，RRDP是RDP產生的用于MTAM簽名的隨機數。

MTAM首先對隨機數RRDP進行簽名,并用RDP的公鑰對Certattr和其完整性度量值加密。加密后的數據和簽名值一起發(fā)送給RDP,其中RMTAM是MTAM產生的用于RDP簽名的隨機數,SIG(RSDP)是 MTAM對隨機數 RRDP的簽名值,Certattr是屬性證書,PCRSMTAM是MTAM的完整性度量信息。

RDP首先驗證MTAM簽名的真實和可靠性。RDP對消息進行解密，得到MTAM的相關信息,然后實現對MTAM的可信度判定，即驗證MTAM持有的屬性證書的合法性。判定通過后，RDP為MTAM頒發(fā)可信證書Certcredibility。其中SIG(RMTAM)是 RDP對隨機數 RMTAM的簽名值，Certcredibility是RDP頒發(fā)的可信證書。MTAM驗證RDP的證書及簽名，從而確定RDP的身份合法性。MTAM獲得可信證書后，就可以使用該證書向ISP申請服務，ISP通過驗證證書的合法性，完成對MTAM的可信性評估，為可信的MTAM提供服務。

2 安全接入系統(tǒng)架構

企業(yè)辦公網移動終端安全接入系統(tǒng)主要由WPKI系統(tǒng)模塊、身份認證控制系統(tǒng)、可信安全接入控制系統(tǒng)和可信判定系統(tǒng)四部分組成,如圖3所示。

圖3 企業(yè)辦公網移動終端安全接入系統(tǒng)架構

(1)WPKI系統(tǒng)模塊

WPKI是企業(yè)辦公網移動終端安全接入系統(tǒng)，提供安全服務的基礎，通過對所有移動終端訪問提供加密、證書頒發(fā)、證書管理等功能服務，實現移動終端的證書管理體系,及移動終端安全接入的可信證書的產生、管理、存儲、分發(fā)和撤銷等功能。

WPKI系統(tǒng)是企業(yè)辦公網移動終端安全接入系統(tǒng)服務的基礎，其組成部件如圖4所示。

圖4 WPKI組成

其中WPKI各組成部件的主要功能分別為:

①Mobile Device:WPKI中的移動終端設備，移動終端設備上安裝的應用提交接入請求，提供數字簽名和可信證書，并可以提交證書更新以及撤銷等請求。

②WAP/3G網關:用于連接無線和有線網絡，此部分由公共通信提供商來完成。

③WPKI Portal:提供用戶和CA之間的一個接口。

④CA(Certificate Authority)是 WPKI的信任基礎，是認證授權機構(即認證中心)，負責發(fā)放和管理數字證書的權威機構，承擔公鑰體系中公鑰的合法性檢驗的責任。

⑤證書數據庫：存放證書和證書失效清單 以便證書的存取和查詢[4]。

(2)身份認證控制模塊

采用MTAM的可信度判定規(guī)則，驗證終端的完整性校驗，檢查終端的可信度，并通過對接入的移動終端設備進行身份認證，并按照預先制定的ACL策略，保證只有合法的移動終端設備和終端應用才可以接入系統(tǒng)進行數據訪問。

(3)可信安全接入控制系統(tǒng)

安全接入控制系統(tǒng)主要研究基于可信接口的安全接入機制。按照接入點位置和功能，系統(tǒng)中設計的可信接口包括：終端可信接口、網關可信接口和網絡可信接口。

終端可信接口：終端可信接口是在移動終端設備上，采集終端設備的屬性信息，向RDP提供證書等相關信息。

網關可信接口：完成設備定位，終端設備監(jiān)控以及規(guī)則下發(fā)，與設備安全通信、安全應用信息交互等功能。

網絡可信接口：完成數據的安全傳輸。

(4)可信判定系統(tǒng)

對接入系統(tǒng)的移動終端設備進行可信度判定，并在終端設備訪問期間，根據設備認證信息及屬性信息，對設備進行周期輪詢，對移動終端進行可信度重新判定，確保移動終端訪問的安全性和可信性。

本文主要針對企業(yè)辦公網移動終端設備安全接入問題,研究了移動終端的安全接入技術，并構建了終端安全接入系統(tǒng)的總體架構。企業(yè)辦公網移動終端安全接入系統(tǒng)由WPKI系統(tǒng)模塊、身份認證控制模塊、可信安全接入控制系統(tǒng)和可信判定系統(tǒng)四部分組成。通過該系統(tǒng)架構，實現移動終端接入企業(yè)辦公網的安全性，為實現企業(yè)辦公網向移動終端設備延伸提供安全保障，為開放網絡環(huán)境下的移動辦公提供安全支撐。

[1]PARK M.A new user authentication protocol for mobile terminals in wireless network[C].Proceedings of the 7th International Conference on Mobile Data Management(MDM’06),2006.

[2]姜建，陳晨.基于多包接收的物理網絡編碼協(xié)同通信研究[J].電子技術應用，2013,39(7):109-110.

[3]DIETRICH K.An intergrated architecture for trusted computing for Java enabled embedded devices[C].STC′07.Alexandria,Virginia,USA.2007.

[4]雷勇，李薇.基于小世界與興趣相關度的P2P網絡搜索研究[J].微型機與應用，2012,31(18):42-43.