侯昱輝，李宏宇，梁建輝，劉潤福，何靖剛

（中國鐵路蘭州局集團有限公司 信息技術(shù)所，蘭州 730000）

隨著智能移動終端的普及，移動辦公技術(shù)在各行各業(yè)得到廣泛應(yīng)用，鐵路行業(yè)緊跟時代步伐，在推動移動辦公應(yīng)用落地方面已取得一定進展。與此同時，鐵路各業(yè)務(wù)系統(tǒng)端口的暴露數(shù)量急劇增加，粗粒度訪問控制和智能移動終端數(shù)據(jù)泄露等安全挑戰(zhàn)也隨之而來[1-2]。

在鐵路行業(yè)傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)中，網(wǎng)絡(luò)邊界作為外部非安全網(wǎng)絡(luò)和內(nèi)部安全網(wǎng)絡(luò)的分界線，通常采用防火墻、入侵檢測系統(tǒng)和入侵防御系統(tǒng)來保證其安全性。白生江[3]提出主動型軍用網(wǎng)絡(luò)邊界防護系統(tǒng)，通過防火墻、入侵防御系統(tǒng)、蜜罐等安全產(chǎn)品間的聯(lián)動，促進軍用網(wǎng)絡(luò)安全穩(wěn)定運行，但會導(dǎo)致端口暴露，形成明顯的攻擊面[4]；許文淵[5]提出采用虛擬專用網(wǎng)絡(luò)（VPN ，Virtual Private Network）的接入認證及授權(quán)方式，實現(xiàn)鐵路數(shù)據(jù)通信網(wǎng)絡(luò)管理（簡稱：網(wǎng)管）復(fù)示終端與網(wǎng)管服務(wù)器端的可信任安全加密通信，但仍存在粗粒度訪問控制的問題；儲小寶[6]設(shè)計并實現(xiàn)智能移動終端敏感信息安全防護系統(tǒng)，但存在不同系統(tǒng)間適配困難的問題。綜上所述，傳統(tǒng)的網(wǎng)絡(luò)邊界管理模式已無法滿足數(shù)字時代的需求[7]。

基于上述問題，本文構(gòu)建基于零信任理念的鐵路智能移動終端管控平臺，研究如何利用零信任理念應(yīng)對鐵路系統(tǒng)中智能移動終端帶來的網(wǎng)絡(luò)安全挑戰(zhàn)，確保智能移動終端在鐵路網(wǎng)絡(luò)中的安全接入和受控使用，增強鐵路信息系統(tǒng)的安全性和穩(wěn)定性。

1 鐵路智能移動終端管控平臺

1.1 零信任理念概述

2004 年，耶利哥論壇（Jericho Forum）成立，并提出零信任的初步框架。隨后，John 正式提出“零信任”理念[8]。其核心思想是“從不信任”，無實體邊界概念，在用戶訪問資源的整個流程中，始終保持持續(xù)認證狀態(tài)，進行實時動態(tài)訪問控制。

目前，零信任理念在國內(nèi)外已得到廣泛認可和應(yīng)用。2017 年，Google 公司完成基于零信任理念的BeyondCorp 項目。2021 年，中國電子工業(yè)標(biāo)準(zhǔn)化技術(shù)協(xié)會發(fā)布國內(nèi)首個零信任技術(shù)實現(xiàn)標(biāo)準(zhǔn)——T/CESA 1165-2021《零信任系統(tǒng)技術(shù)規(guī)范》團體標(biāo)準(zhǔn)[9]。

1.2 平臺設(shè)計理念

鐵路智能移動終端管控平臺以零信任理念為理論基礎(chǔ)，以美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST，National Institute of Standards and Technology）的《零信任架構(gòu)》為理論架構(gòu)[10]，以軟件定義邊界（SDP，Software-Defined Perimeter）和統(tǒng)一終端管理（UEM，Unified Endpoint Management）為 技 術(shù) 架 構(gòu)[11]，實 現(xiàn)了用戶訪問業(yè)務(wù)場景的安全接入和受控使用。

1.3 平臺架構(gòu)

鐵路智能移動終端管控平臺包含客戶端和服務(wù)端2 部分，其中，服務(wù)端包含零信任控制中心和零信任代理網(wǎng)關(guān)。通過建立動態(tài)的、基于身份驗證的安全邊界，僅允許經(jīng)過驗證的用戶和設(shè)備訪問資源，增強網(wǎng)絡(luò)安全性。鐵路智能移動終端管控平臺架構(gòu)如圖1 所示。

圖1 鐵路智能移動終端管控平臺架構(gòu)

1.3.1 客戶端

客戶端等同于SDP 中的連接發(fā)起主機（IH ，Initial Host），負責(zé)與控制中心進行連接并驗證身份，與代理網(wǎng)關(guān)創(chuàng)建雙向加密連接，具有單包授權(quán)（SPA ，Single Packet Authorization）敲門、安全套接層（SSL，Secure Sockets Layer）隧道接入、終端環(huán)境檢測、可信應(yīng)用識別、數(shù)據(jù)隔離等功能?？蛻舳擞脩艨墒褂弥髁鞑僮飨到y(tǒng)的終端設(shè)備。

1.3.2 服務(wù)端

1.3.2.1 零信任控制中心

零信任控制中心可被看作是SDP 中的控制器（Controller），負責(zé)訪問授權(quán)的最終決策，通過對客戶端下發(fā)策略，可收集其狀態(tài)信息，具有用戶管理、終端管理、應(yīng)用管理、策略管理、自適應(yīng)認證、持續(xù)認證機制和策略引擎管理等控制功能，以上功能通過SPA 服務(wù)隱身。

UEM 技術(shù)架構(gòu)負責(zé)終端設(shè)備的全面管理和控制，包括設(shè)備配置、應(yīng)用程序管理、數(shù)據(jù)保護等功能，確保智能移動終端接入的安全性和合規(guī)性。除此之外，控制中心的開放應(yīng)用程序編程接口（API，Application Programming Interface）可與業(yè)務(wù)系統(tǒng)中現(xiàn)有的企業(yè)身份基礎(chǔ)設(shè)施進行對接和同步，如統(tǒng)一安全管理平臺解決方案（4A）和活動目錄/輕量目錄訪 問 協(xié)議（AD/LDAP，Active Directory/Lightweight Directory Access Protocol）。

1.3.2.2 零信任代理網(wǎng)關(guān)

零信任代理網(wǎng)關(guān)相當(dāng)于SDP 中的連接接受主機（AH ，Accept Host），負責(zé)執(zhí)行控制中心的授權(quán)決策，通常以邏輯串聯(lián)的方式部署在企業(yè)資源前端，實現(xiàn)業(yè)務(wù)資源暴露面整體收縮。外部用戶、終端無法直接訪問到企業(yè)資源，需要通過控制中心嚴格的身份認證和授權(quán)決策，再由代理網(wǎng)關(guān)通過加密傳輸代理訪問。零信任代理網(wǎng)關(guān)支持多種訪問協(xié)議代理，包 括： 7 層Web 代 理、 4 層TCP（ Transmission Control Protocol）代理和3 層IP 代理。

2 關(guān)鍵技術(shù)

2.1 端口隱身技術(shù)

端口隱身技術(shù)作為一種保護設(shè)備關(guān)鍵端口的方式，是SDP 的核心功能，通過端口敲門（PK ，Port Knocking）、SPA 技術(shù)等“先認證，后連接”的方式，解決“先連接，后認證”的傳統(tǒng)接入控制方式下，端口暴露的問題，使得端口隱藏在網(wǎng)絡(luò)中，以達到保護業(yè)務(wù)系統(tǒng)的目的。

本文采用端口隱身技術(shù)中的SPA 技術(shù)，對連接服務(wù)器的所有數(shù)據(jù)包進行認證授權(quán)，認證通過后服務(wù)器才會響應(yīng)連接請求，且無法直接從互聯(lián)網(wǎng)上連接和掃描，從而實現(xiàn)業(yè)務(wù)服務(wù)隱身，避免PK 技術(shù)中攻擊者通過監(jiān)測客戶端流量推測出正確敲門順序的缺陷。SPA 技術(shù)有基于用戶數(shù)據(jù)報協(xié)議的SPA（ UDP-based SPA， User Datagram Protocol-based SPA）、基于傳輸控制協(xié)議的SPA （TCP-based SPA，Transmission Control Protocol-based SPA） 和UDP+TCP SPA 3 種技術(shù)路線，本文使用的是UDP+TCP SPA 技術(shù)路線，該技術(shù)路線結(jié)合了另2 種技術(shù)路線的優(yōu)點。

用戶訪問前，客戶端需向服務(wù)端發(fā)送含有身份憑證的UDP SPA 敲門包，身份憑證中包含管理員分發(fā)給用戶的專屬安全碼，管理員可在將用戶與安全碼綁定的同時，給安全碼設(shè)置有效期，滿足運營維護人員的臨時接入需求，進一步提升用戶接入的安全性。

驗證身份成功后，服務(wù)端更新本地防火墻規(guī)則，開放短時間窗口，允許指定源IP 對設(shè)備TCP 端口的訪問，在后續(xù)的連接建立過程中，參照TCP SPA 流程完成傳輸層安全性協(xié)議（TLS，Transport Layer Security）協(xié)商。UDP+TCP SPA 時序圖如圖2 所示。

圖2 UDP+TCP SPA 時序圖

（1）客戶端向服務(wù)端提前發(fā)送DTLS 格式的UDP SPA 敲門包，敲門包中Payload 內(nèi)容包含用戶個人安全碼、隨機數(shù)、時間戳和終端設(shè)備MAC 地址等；

（2）服務(wù)端接收UDP SPA 敲門包后，驗證敲門包格式是否正確，若正確，則對Payload 進行解密及驗證，否則直接丟棄；

（3）驗證通過后，服務(wù)端更新設(shè)備本地防火墻規(guī)則，對合法設(shè)備的源IP 臨時（如60 s）開放TCP端口訪問權(quán)限；

（4）客戶端發(fā)起與零信任代理網(wǎng)關(guān)TCP 的連接請求，通過TCP 三次握手后，成功建立TCP 連接；

（5）客戶端發(fā)起TLS 協(xié)商，擴展字段中攜帶SPA 敲門包；

（6）服務(wù)端從擴展字段中解析出SPA 敲門包，對Payload 進行解密及驗證；

（7）驗證通過后，成功完成TLS 協(xié)商，建立SSL 加密傳輸隧道，開始傳輸業(yè)務(wù)數(shù)據(jù)。

2.2 持續(xù)認證技術(shù)

本文采用持續(xù)認證技術(shù)對訪問業(yè)務(wù)系統(tǒng)的用戶進行權(quán)限控制，支持基于用戶的訪問環(huán)境屬性、身份屬性、行為屬性、設(shè)備屬性的綜合分析，當(dāng)認證通過時，鐵路智能移動終端管控平臺授權(quán)用戶訪問業(yè)務(wù)系統(tǒng)資源，反之則阻斷訪問。通過動態(tài)調(diào)整用戶訪問權(quán)限[12]，確保業(yè)務(wù)系統(tǒng)面對風(fēng)險時可及時調(diào)整權(quán)限、抵御風(fēng)險。一定程度上解決傳統(tǒng)靜態(tài)權(quán)限控制技術(shù)存在的用戶訪問權(quán)限缺乏靈活性的問題。若上述某一用戶屬性發(fā)生變化，則需重新建立信任到授權(quán)訪問這一過程[13]，從而達到持續(xù)認證的效果，持續(xù)認證機制如圖3 所示。

圖3 持續(xù)認證機制

2.3 數(shù)據(jù)隔離及加密技術(shù)

2.3.1 數(shù)據(jù)隔離技術(shù)

數(shù)據(jù)隔離技術(shù)是一種阻止未經(jīng)授權(quán)用戶訪問敏感數(shù)據(jù)的安全措施。本文應(yīng)用數(shù)據(jù)隔離技術(shù)后，可在不同系統(tǒng)的終端設(shè)備上創(chuàng)建一個或多個與本地環(huán)境邏輯隔離的安全工作空間。數(shù)據(jù)在寫入磁盤時被自動加密存儲在數(shù)據(jù)隔離存儲區(qū)，空間內(nèi)應(yīng)用程序讀取數(shù)據(jù)時自動進行解密。該技術(shù)為工作空間中運行的軟件或應(yīng)用提供SSL 通信加密、寫入數(shù)據(jù)加密、剪切板拷貝控制和屏幕水印等數(shù)據(jù)保護功能。

2.3.2 雙密鑰機制加密技術(shù)

數(shù)據(jù)隔離存儲區(qū)內(nèi)的數(shù)據(jù)通過雙密鑰機制加密，比傳統(tǒng)的單密鑰更為安全可靠。雙密鑰由用戶密鑰和文件密鑰組成，使用該機制進行加密，即使在不同時間傳輸相同數(shù)據(jù)，加密后密文也不相同。一旦數(shù)據(jù)隔離存儲區(qū)被攻破，攻擊者只能拿到加密后的數(shù)據(jù)，顯著提升數(shù)據(jù)的安全性。

2.3.2.1 創(chuàng)建密鑰

用戶密鑰在服務(wù)端創(chuàng)建用戶時，由GUID 隨機算法基于服務(wù)端硬件設(shè)備信息生成[14]，具有唯一性。為保證用戶密鑰的安全，用戶密鑰只保存在服務(wù)端數(shù)據(jù)庫，不存儲在客戶端，用戶每次登錄時均須從服務(wù)端獲取用戶密鑰。

文件密鑰與用戶密鑰類似，作為數(shù)據(jù)的加密密鑰，在數(shù)據(jù)隔離存儲區(qū)內(nèi)寫入數(shù)據(jù)時，由GUID 隨機算法基于終端硬件信息生成，也具有唯一性。

2.3.2.2 加密及解密流程

（1）加密流程

根據(jù)當(dāng)前創(chuàng)建的文件，生成文件密鑰，為保護文件密鑰不被明文獲取，使用用戶密鑰對文件密鑰進行對稱加密，生成加密后的文件密鑰，并將其保存在文件頭部的偏移區(qū)中，雙密鑰機制加密流程如圖4 所示。

圖4 雙密鑰機制加密流程示意

（2）解密流程

從文件頭部獲取加密后的文件密鑰，使用用戶密鑰對其進行解密，還原出文件密鑰，再使用文件密鑰對數(shù)據(jù)進行解密。

3 應(yīng)用效果

基于零信任理念的鐵路智能移動終端管控平臺已在中國鐵路蘭州局集團有限公司（簡稱：蘭州局）投入使用。該平臺先后接入財務(wù)共享服務(wù)管理信息系統(tǒng)、蘭鐵新視界融媒體平臺、紅杉樹視頻會議等業(yè)務(wù)系統(tǒng)，在蘭州局的業(yè)務(wù)運營和信息安全方面取得良好的應(yīng)用效果，后續(xù)將進一步擴大應(yīng)用范圍，具體應(yīng)用效果如下。

3.1 收縮業(yè)務(wù)系統(tǒng)互聯(lián)網(wǎng)暴露面

鐵路智能移動終端管控平臺采用端口隱身技術(shù)和持續(xù)認證技術(shù)，嚴格控制智能移動終端的訪問權(quán)限，確保只有經(jīng)過身份驗證和授權(quán)的設(shè)備才能訪問業(yè)務(wù)系統(tǒng)。上述舉措有效收縮潛在的網(wǎng)絡(luò)暴露面，防范未經(jīng)授權(quán)的訪問，降低惡意入侵的風(fēng)險。

3.2 增強數(shù)據(jù)保護能力

鐵路智能移動終端管控平臺針對數(shù)據(jù)進行加密傳輸和存儲，防止敏感數(shù)據(jù)在傳輸和存儲過程中遭受竊取和篡改，增強數(shù)據(jù)保護能力，為蘭州局重要信息的保密性和完整性提供了有效保障。

3.3 提高業(yè)務(wù)效率

在鐵路智能移動終端管控平臺投入使用前，客戶端用戶登錄不同業(yè)務(wù)系統(tǒng)時，需進行多次身份認證。該平臺的應(yīng)用使得用戶僅需登錄一次，即可順利訪問授權(quán)的各個業(yè)務(wù)系統(tǒng)，更加高效地遠程訪問業(yè)務(wù)系統(tǒng)資源，顯著提高業(yè)務(wù)效率。

3.4 簡化綜合管理

鐵路智能移動終端管控平臺的應(yīng)用，簡化了對智能移動終端的綜合管理。通過該平臺，管理員可集中管理終端和用戶權(quán)限，實現(xiàn)添加、刪除或修改訪問權(quán)限等功能，并應(yīng)用全局策略，簡化管理流程，實現(xiàn)對智能移動終端的精細化管理。

4 結(jié)束語

本文結(jié)合零信任理念，設(shè)計了鐵路智能移動終端管控平臺，闡述了平臺架構(gòu)和關(guān)鍵技術(shù)，并對該平臺在蘭州局的應(yīng)用效果進行深入探討。該平臺實現(xiàn)了對鐵路智能移動終端的安全管控，有效地解決了鐵路行業(yè)面臨的智能移動終端安全接入和受控使用的問題，對建設(shè)網(wǎng)絡(luò)安全綜合防御體系具有一定的參考價值。在未來的研究和探索中，還將針對零信任理念、信任評估實時性與控制精度、信任算法等，進一步開展應(yīng)用實踐和技術(shù)創(chuàng)新。