基于虛擬化技術的移動辦公安全方案*

胡雪雷， 任飛， 李東（中國網安公司移動互聯網事業部創新中心，四川成都610041）

基于虛擬化技術的移動辦公安全方案*

胡雪雷， 任飛， 李東
（中國網安公司移動互聯網事業部創新中心，四川成都610041）

隨著智能手機、平板等終端設備的普及，基于PC的傳統辦公方式已逐步轉向利用智能終端設備的移動辦公。為解決這種新趨勢帶來的安全問題，業界提出了利用虛擬化技術在同一個智能手機、平板上運行兩套相互隔離操作系統的解決方案，同時滿足個人日常使用及移動辦公的需求。本文在現有解決方案基礎上進行改進，增加一個運行于后臺的專用監控系統，用于防護網絡攻擊和文件系統加密，進一步增強智能手機、平板在移動辦公方面的安全性。

虛擬化；隔離；移動辦公

［Abstract］With the popularity of smart phones or tablet，the traditional office based on PC gradually shifts to the use of smart terminal equipment mobile office.In order to solve the security problem of this new trend，virtualization technology is applied by the industry in the same smart phone or tablet，with two isolating systems operated，thus to satisfy the demand for personal daily use and t official business.In this paper，based on the existing solutions，an exclusive monitoring system operated in background is added to defend against network attacks and file system encryption，thus to further enhance the security of mobile office in smart terminal devices.

［Key words］virtualization；isolation；mobile office

0 引言

隨著技術的發展，智能手機、平板不再局限于個人日常生活、娛樂，已逐步融入到企業辦公領域。智能手機、平板在個人日常使用方面要求開放、自由，在企業辦公方面要求受控、保密，然而這兩種需求在同一個設備上無法并存。為解決這一問題，業界引入了基于虛擬化技術的雙系統解決方案。在同一個智能手機、平板上運行兩個獨立的操作系統［1］，分別用于個人使用、處理公務，但這種方案仍存在一些可改進之處。

1 概述

現有的移動辦公雙系統解決方案解決了智能手機、平板在個人使用與移動辦公安全性要求相互沖突的問題，但個人系統、辦公系統內部的安全性并沒有得到提升。比如，文件系統加密仍由當前操作系統負責，加密后文件系統被破解的風險仍然較高。在網絡防護方面，防火墻仍運行于操作系統內，系統被攻擊的風險仍然較高。

針對這些問題，本文在現有基礎上，將文件系統加密、網絡防火墻從個人、辦公系統中獨立出來，由獨立的系統來負責，從而進一步提升智能終端設備的安全性。

利用虛擬化技術，在智能手機、平板上運行三個系統——個人系統、辦公系統、監控系統。個人系統、辦公系統不再直接訪問物理網絡設備、物理存儲設備，相應的物理設備讀寫都由監控系統進行。監控系統獨立于其它兩個系統運行于后臺，除作為個人系統、辦公系統與外部網絡、文件系統之間交互的橋梁外，還負責防護網絡攻擊、文件系統加密。

2 茅統結構

本方案將整個系統分為四個部分：個人系統、辦公系統、監控系統、Hypervisor［2］。Hypervisor是整個系統的核心，運行于系統底層，個人系統、辦公系統、監控系統運行于上層。系統結構如圖1所示：

Hypervisor負責調度整個系統的運行，為上層系統提供虛擬硬件環境，保證上層系統獨立運行。為上層系統提供虛擬網絡，并提供虛擬網絡訪問接口，實現上層三個系統之間的網絡通信，接管個人系統、辦公系統對網絡設備的訪問。為上層系統提供數據通道及訪問數據通道接口，接管個人系統、辦公系統對物理存儲設備的訪問。接管上層系統中斷，向個人系統、辦公系統屏蔽物理網卡、物理存儲設備中斷，投遞虛擬網卡虛擬存儲設備中斷。

圖1 系統結構圖

個人系統、辦公系統可以是運行于智能手機、平板上的任意操作系統。但其訪問物理網絡、物理存儲設備的標準驅動程序需進行替換，改為本方案提出的虛擬設備驅動。通過虛擬設備驅動模擬虛擬網卡、虛擬存儲設備，在驅動中調用Hypervisor提供的網絡訪問接口、存儲設備訪問接口，同外部網絡、物理存儲設備進行交互。

個人系統、辦公系統、監控系統在內部形成一個虛擬局域網，監控系統成為局域網與外部網絡的網關。發送數據時，個人系統、辦公系統首先將數據經過虛擬網絡發送到監控系統，再由監控系統將數據發送到外部網絡；接收數據時，由監控系統從外部網絡接收數據，再通過虛擬網絡轉發到個人系統、辦公系統。寫文件時，個人系統、辦公系統首先將數據發送到監控系統，由監控系統寫到物理存儲設備中；讀文件時，首先由監控系統從物理存儲設備中讀取數據，再將數據返回給個人系統、辦公系統。

監控系統運行于后臺，可以是任意嵌入式實時系統。它負責和外部網絡進行交互，防護網絡攻擊；負責訪問文件系統，并對文件系統進行加密。

3 茅統設計

對于一個完整的虛擬化系統設計，包括系統虛擬化、內存虛擬化、中斷虛擬化、設備虛擬化、通信接口等模塊。系統虛擬化為上層系統提供虛擬硬件環境；內存虛擬化用于實現上層系統的內存空間隔離；中斷虛擬化用于管理上層系統可響應的物理中斷；設備虛擬化用于向上層系統提供虛擬設備；通信接口用于上層系統之間的通信。

本文不對虛擬化通用設計部分進行討論，重點論述和本方案相關的虛擬網卡設備、虛擬存儲設備、中斷管理等部分。

3.1 慮擬設備

虛擬設備包括虛擬網卡和虛擬存儲設備，運行于個人系統、辦公系統、監控系統。虛擬設備是本方案增強網絡安全、文件系統安全的關鏈。Hypervisor借助虛擬設備實現對上層系統網絡、文件系統訪問的接管，通過虛擬設備實現個人系統、辦公系統和監控系統的數據傳輸接口。

虛擬設備實現有兩種方式，一種是通過代碼模擬一個真實的物理設備，虛擬設備按照物理設備的規格，通過軟件模擬實現設備相關寄存器、通信接口。這種方式有一個好處，上層操作系統可以直接利用現有設備驅動運行。比如模擬一個8139網卡，個人系統、辦公系統就可以直接利用Realtek的8139網卡驅動運行。但這種方式存在不足之處，實現的代碼量較大，影響系統運行效率。

另外一種方式是利用操作系統設備驅動框架，在驅動寫硬件寄存器的接口中，調用Hypervisor提供的接口發送、接收數據。

虛擬網卡設備驅動的調用流程如圖2所示：

圖2 慮擬網卡設備驅動調用流程

虛擬存儲設備驅動調用方式如圖3所示：

圖3 慮擬網卡設備驅動調用流程

3.2 慮擬網絡

虛擬網絡是本方案增強網絡安全的橋梁。Hypervisor在個人系統、辦公系統、監控系統之間構建一個虛擬網絡。個人系統、辦公系統訪問網絡時，通過虛擬網卡將數據發送到虛擬交換網絡，監控系統通過虛擬網卡從虛擬交換機獲取網絡數據，最后通過物理網絡設備將數據發送出去；接收數據時，監控系統從物理網絡設備獲取網絡數據，然后經虛擬交換網絡將數據轉發到辦公系統、個人系統，如圖4所示：

圖4 慮擬網絡數據交互

3.3 慮擬存儲設備通信

為實現文件系統加密的隔離，需借助虛擬存儲設備截獲上層系統讀寫文件數據的操作。再通過Hypervisor提供的數據通信通道，實現個人系統、辦公系統和監控系統文件數據的傳輸。當個人系統、辦公系統向文件系統寫數據時，通過虛擬存儲設備將數據寫到通信通道，經由監控系統將數據寫到存儲設備；讀數據時，由監控系統從存儲設備讀取數據，再轉發到個人系統、辦公系統，如圖5所示。

圖5 慮擬存儲設備數據交互

3.4 中斷管理

Hypevisor需管理個人系統、辦公系統的中斷，對于個人系統、辦公系統直接使用的物理設備，可直接將物理中斷投遞到相應系統中；對于虛擬網卡、虛擬存儲等設備，在向個人系統、辦公系統發送數據時，Hypervisor需要模擬一個與虛擬網卡、存儲設備對應的中斷，投遞到相應系統；對于個人系統、辦公系統不需響應的設備中斷，Hypervisor需對其進行屏蔽。

比如，在個人系統中虛擬網卡中斷向量號是16，實際物理WIFI中斷向量號是20；在物理WIFI產生20號中斷時，Hypervisor需保證20號中斷不打斷個人系統的運行，將20號中斷直接投遞到監控系統，由監控系統直接響應物理WIFI中斷；當監控系統處理完網絡數據，向個人系統轉發時，Hypervisor需向個人系統投遞16號中斷。對于攝像頭類個人系統、辦公系統可訪問的設備，Hypervisor可直接將物理中斷投遞到個人系統、辦公系統。如圖6所示：

圖6 中斷管理

3.5 監控系統

監控系統是整個移動智能終端安全保障的關鏈。它應該具有一定的封閉性，在日常使用時對用戶不可見，用戶不能在其上安裝、卸載軟件。監控系統本身應該比較精簡，實時性強。

監控系統上需運行網絡防火墻，能夠攔截外部網絡的攻擊。在將數據寫到存儲設備的時候，監控系統需對進行加密。

4 結語

本文在現有移動辦公雙系統隔離安全解決方案基礎之上增加了運行于后臺的監控系統。在監控系統中對個人系統、辦公系統的文件數據進行加密，隔離整個加密過程，降低加密后文件系統被破解的風險。在監控系統中運行獨立于個人系統、辦公系統的網絡防火墻，形成一個統一的網關，降低個人系統、辦公系統受網絡攻擊的風險。通過以上兩種方式從整體上提升智能手機、平板在個人日常使用、辦公過程中的安全性。

［1］ David Jaramillo.Virtualization Techniques for Mobiles Systems ［D］.Florida：Florida Atlantic University，2013.

［2］ 鄧志.處理器虛擬化技術［M］.北京：電子工業出版社，2014：123.

Mobile Office Security Solution based on Virtuliaztion Technology

HU Xue-lei，REN Fei，LI Dong
（China Electronic Technology Cyber Information Security Co.Ltd.，Chengdu Sichuan 610041，China）

TP 316

A

1009-8054（2016）02-0106-03

2015-10-12

胡雪雷（1983—），男，學士，主要研究方向為系統安全；

任 飛（1982—），男，碩士，工程師，主要研究方向為信息安全；

李 東（1988—），男，學士，主要研究方向為系統安全；