基于物理隔離和密碼技術實現安全移動辦公系統的研究和應用

王永起+李強

[摘 要]本文從辦公的移動性、安全性出發，采用物理隔離雙硬盤、內嵌安全芯片的安全移動辦公終端作為前端設備，采用IPSec協議對終端設備網絡訪問數據進行加密，同時采用云計算和虛擬化技術對后臺數據進行存儲，從而保證前臺訪問、中間網絡和后臺存儲的有效結合和管控，既滿足了移動辦公方便、快捷地接入企事業單位辦公網的互連需求，又防止辦公終端直接接入互聯網而導致的安全問題。

[關鍵詞]物理隔離；安全芯片；虛擬化技術

doi：10.3969/j.issn.1673 - 0194.2017.12.082

[中圖分類號]TN929.53；TP368.3 [文獻標識碼]A [文章編號]1673-0194（2017）12-0-03

0 引 言

移動互聯技術的飛速發展和通信基礎設施建設的日益成熟與普及，推動了移動終端的廣泛應用。鑒于移動終端使用的方便性，移動終端正在大規模替代PC端進入工作型應用領域。在企事業單位辦公領域，移動終端的應用有助于工作人員擺脫工作位置的束縛，能夠更充分地利用時間，提高工作效率。另外，與PC終端比較，移動終端的成本更低廉，使用更簡單，出現故障的概率更低，容易做到專業化和標準化，所以移動辦公的普及已成必然趨勢。

雖然移動辦公給工作帶來了諸多的便利，但由于普通的移動終端缺乏相應的安全措施，存在較高的安全風險，如攜帶病毒和木馬、無線通信的傳輸風險、數據泄露風險、設備丟失風險、身份識別風險等。另外，移動辦公可能導致企事業單位內網信息通過移動終端泄露，病毒、木馬等可能通過移動終端進入企事業單位辦公內網等，換言之，在企事業單位內外網之間信息安全受到挑戰，保密性和可用性無法兼顧。因此，如何在安全的前提下實現企事業單位內外網數據的交互和便捷的移動辦公，成為移動辦公平臺需要解決的核心問題。

為滿足移動辦公方便、快捷地接入企事業單位辦公網的互連需求，同時防止辦公終端直接從互聯網接入而導致的安全問題，本文提出了架構在IPSec協議基礎上，基于云計算和虛擬化技術的移動辦公平臺安全接入方案，能夠有效避免移動辦公應用面臨的風險。

1 安全移動辦公終端設計

1.1 物理隔離技術

物理隔離能消除潛在的網絡威脅，滿足網絡對安全的要求，物理隔離技術在維護高安全級別網絡的安全方面是首選的安全技術。

安全移動辦公終端采用雙硬盤物理隔離技術，如圖1所示，使用雙硬盤，一個3是2 G標準EMMC閃存盤，存儲公網系統。公網系統同主流設備一樣可以瀏覽互聯網、可用于娛樂休閑。另一個是16 G加密硬盤，存儲辦公專網系統。專網系統無法打開Wifi、藍牙，無法連接互聯網，只能通過APN專線連接辦公專網。通過終端上的控制開關，實現工作站在內外網下的雙重工作狀態，兩個狀態是完全物理隔離。當一個硬盤工作時，另一個硬盤處于斷電不工作的狀態，內網硬盤工作時，只有內網網線接入；外網硬盤工作時，只有外網網線接入。這樣，內網數據與外網數據不存在電氣通道，相互完全物理隔離。使用時，開機前通過一個選擇開關，選定進入“內”或“外”工作方式，開機后，將相應啟動“內”或“外”硬盤，并接入對應的“內”或“外”網線。使用中需要切換“內”或“外”工作方式時，則應正常退出關閉電源，再行選定選擇開關，重新開機。這保證了同一臺移動終端設備連入兩個完全物理隔離的網絡，同時又保證了兩個網絡不會因此產生任何連接，內外網硬盤各自安裝獨立的操縱系統，分別與內外網相對應。在同一時間內只有一個硬盤與相應的網絡接通，另外一個硬盤關閉，其對應的網絡也切斷，從而實現內外網徹底的物理隔離。

由雙硬盤構成的內網和外網環境各自獨立，只能在相應的網絡環境下工作，不能在一種網絡環境下使用另一個環境使用的設備，這使安全隔離移動終端的集成度較高，使用起來更加方便、簡單，也更加安全。

1.2 采用雙網絡

移動辦公終端使用雙SIM卡，公網使用Micro SIM卡及Nano卡，專網使用Nano SIM卡，通過在主板的BIOS中進行一些定制修改，將內外網絡轉化功能融入BIOS中。主板BIOS控制由雙網卡和雙硬盤構成的內網和外網環境各自獨立，并只能在相應的網絡環境下工作，不能在同一種網絡環境下使用另一個環境使用的設備，這使安全隔離移動終端的集成度較高，更加方便使用，也更安全。

1.3 內置國密芯片

安全芯片是一款可以獨立進行密鑰生成，提供多種加密算法，支持公鑰基礎設施及數字簽名等安全認證及保障功能的產品。作為智能終端的最底層安全保障，安全芯片的應用能有效防止黑客的攻擊與破解，提高智能終端的安全性，保障用戶個人信息和應用數據的安全。安全移動辦公終端內置支持國密算法安全芯片，提供用戶身份認證和數據加密功能，保證終端設備和用戶的身份安全以及數據傳輸安全，終端采用自主研發的cos系統，防止系統“后門”泄密，保證系統的安全。

（1）身份認證。移動終端與云端進行通信，需要進行身份認證以完成登錄、傳輸等操作。實現身份認證一般利用公鑰簽名完成用戶的身份認證。身份認證包括身份識別與身份鑒定兩個階段，身份識別是指終端本地采集信息并與預存信息進行驗證，而身份鑒定是將身份信息與應用及遠端服務器進行對接。當身份識別通過時，移動終端對需要認證的信息進行簽名，發送給服務器，服務器利用存儲的用戶公鑰對該信息進行驗簽操作，若通過，則完成身份認證過程。如圖2所示。

（2）數據加密。在用戶身份認證通過后，兩個客戶端之間建立連接，傳輸數據都會先交由安全芯片進行加密，如圖3所示。發送用戶A發送的數據通過安全芯片進行加密后，以密文的形式進行發送，接收用戶B對收到的密文交由安全芯片進行解密，從而獲悉傳輸的數據，保證數據的傳輸安全。

2 安全移動辦公終端平臺

移動辦公平臺的核心設計思想是采用虛擬應用技術，分離應用的使用平臺和運行平臺。移動辦公終端從應用運行設備變成純粹的輸入輸出設備，通過無線網絡遠程操作企事業單位辦公系統的各種應用和服務，從而實現用戶的移動辦公需求。

平臺采用先進的云計算技術，通過架構在IPSec協議基礎上的安全接入網關以及虛擬化手段，采用安全、可靠的硬件平臺，無需改變現有企事業單位辦公網的網絡結構和應用模式，將企事業單位辦公系統的本地應用、C/S應用、B/S應用（如Office軟件、辦公系統、辦案系統等）平滑遷移到移動辦公終端上，實現移動端和固定辦公數據和文檔的統一與共享，達到任何時間、任何地點進行辦公的目的，是企事業單位實現移動辦公的最佳解決方案。

3 拓撲結構

安全移動辦公平臺方案設計網絡拓撲結構如圖4所示，此網絡拓撲不僅能夠保證移動辦公系統的數據安全性，同時也能快速將業務系統移植到移動辦公終端系統上。

圖4 移動辦公平臺網絡拓撲圖

根據圖4移動辦公平臺網絡拓撲圖，在完全加密條件下，用戶可通過安全移動辦公終端進行辦公操作。數據從終端到企事業單位辦公網的處理過程如下：①數據在安全移動辦公終端進行三次加密（協議層加密、VPN層加密、VPDN加密）后，通過運營商移動網絡傳輸至安全接入區；②數據在離開運營商專用通道前進行一次解密（VPDN解密）后，進入安全接入區；③數據在安全接入網關進行一次解密（VPN解密）后，傳輸至安全隔離區；④數據在安全應用服務器進行最后一次解密（協議層解密）后，由安全隔離設備擺渡至企事業單位辦公內網。

該部署架構有以下優點：①網絡邊界劃分明確，在每一個網絡邊界都提供良好的安全保障；②數據傳輸過程中經過多層加密，傳輸安全有保障；③安全隔離區中的安全應用服務器受到安全接入網關的接入保護，沒有經過認證的移動終端即使能連接到接入網，也無法訪問相應的應用服務；④安全接入區和企事業單位辦公內網通過安全隔離設備與安全應用服務器實現物理隔離，保證企事業單位辦公網不受外部攻擊。

4 安全移動辦公平臺的安全體系

4.1 數據安全

安全移動辦公系統邏輯架構，如圖5所示。

由圖5可以看到，對企事業單位移動辦公安全接入設計了包括終端加固、通信加密、身份認證、訪問控制、辦公安全、安全管理、日志審計等7大安全措施，共同構成安全、高效的移動辦公安全接入體系。

（1）終端加固是針對移動辦公終端在接入安全移動辦公平臺時存在多種安全風險提出的一系列防護措施，主要解決終端數據加密、操作系統可靠性、操作系統校驗和驗證、APP安裝防護、終端多用途時的數據安全。包括：硬件加密設備；數據加密存儲；使用開源操作系統；操作系統校驗和驗證；應用安裝權限許可；通過操作系統強制自動還原機制實現安全的“一本多用”。

（2）通信加密要解決安全移動辦公終端和安全應用服務器之間數據傳輸的安全，平臺通過對安全移動辦公終端傳輸的數據進行多次加密，保證數據傳輸過程的安全，通過多次加密，即使傳輸數據被截獲，也無法獲取數據的明文信息。

（3）身份認證包括終端啟動認證、終端屏幕解鎖認證、終端和安全接入網關身份認證、終端和安全應用服務器身份認證等功能。

終端（用戶）和安全應用服務器建立連接前需要先進行身份認證，只有身份認證通過后，才能接入安全應用服務器進行移動辦公，身份認證支持用戶名+密碼認證機制或者Windows AD域認證機制等多種認證機制。

（4）安全管理保證只有授權管理員可以對平臺進行管理操作，包括用戶/角色管理、應用管理、服務管理等管理功能。且管理員只能執行被授權的管理功能。

（5）訪問控制使安全移動辦公終端和用戶只能在授權時間內訪問授權范圍內的資源或者應用，防止非授權訪問和越權訪問。

4.2 網絡安全

通信加密主要解決安全移動辦公終端和安全應用服務器之間數據傳輸的安全，基于支持國密算法的安全接入網關，實現安全移動辦公終端到安全應用服務器端的通信加密，保證辦公數據在傳輸過程中的機密性和完整性。多重加密如圖6所示。

除了移動運營商提供的專用通道（APN/VPDN）外，在該通道上重新建立支持國密算法的VPN通道，對通信數據進行二次加密；另外，在協議上還可以進行協議層加密，即為第三層加密。通過以上層層加密，最大限度保證端到端數據傳輸的安全性，做到信道加密不依賴運營商專用通道，在支持高強度國密算法的基礎上實現加密可控。

4.3 應用安全

系統采用先進的云技術，通過虛擬化技術把企事業單位現有的辦公系統應用、Windows應用等平移到辦公終端，把辦公應用程序的人機交互邏輯（應用程序界面、鍵盤及鼠標的操作等）與辦公系統計算邏輯進行隔離，移動終端只是作為企事業單位辦公的輸入和展示端，具體的辦公處理邏輯還是在原來的辦公系統中進行。另外，通過部署安全隔離設備可以實現企事業單位內外網之間的數據隔離。

安全安全移動辦公系統提供Web管理界面，安全移動辦公平臺支持遠端的主機通過Web頁面進行日常管理工作，并對遠端主機各平臺之間的管理報文進行加密，保證管理操作安全有效。

安全移動辦公平臺采用嚴格的訪問控制機制，保證終端用戶（辦公終端）對辦公資源的訪問安全可控，通過授權管理員對用戶的訪問控制策略進行配置，終端用戶只能訪問授權的系統應用，對受保護資源訪問內容不能超出授權訪問，還可以配置用戶訪問系統時段以及訪問系統的次數。

5 結 語

安全移動辦公終端滿足了許多保密單位對機密信息的安全需求，諸如軍事機構、政府機關、大型企業、科研院校等。隨著網絡化、信息化的迅猛發展，移動性、安全性的概念將不斷深入各行業、各部門。安全移動辦公終端設計方案，既充分保證了網絡信息的安全性，又讓用戶實現了移動辦公。

主要參考文獻

[1]楊雪微.物理隔離數據交換系統的設計[D].上海：同濟大學，2009.

[2]王宗岳.安全芯片在智能終端中的應用與分析[J].互聯網天地，2016（8）.