基于“云+端”的移動警務(wù)安全架構(gòu)探析

王國強(qiáng)

摘? ?要：文章針對目前移動警務(wù)終端安全隱患嚴(yán)重、信息孤島問題突出、資源利用率低、可持續(xù)保障能力弱等問題，通過將基礎(chǔ)設(shè)施資源云化、移動終端安全加固、終端接入統(tǒng)一安全管理等措施，探索基于“云+端”的移動警務(wù)安全架構(gòu)，為移動警務(wù)的持續(xù)發(fā)展提供新的思路。

關(guān)鍵詞：移動警務(wù);云計(jì)算;可信執(zhí)行環(huán)境;企業(yè)移動管理

中圖分類號：TP3? ? ? ? ? 文獻(xiàn)標(biāo)識碼：J

Analysis on the security architecture of mobile police based on "cloud + mobile terminal"

Wang Guoqiang

（First Research Institute of the Ministry of Public Pecurity of PRC， BeiJing 100048）

Abstract： In the view of current problem of mobile police affairs， such as the security risks of mobile terminal， the problem of information island， the low resource utilization rate and the weak sustainable security ability， this paper explores the mobile police application based on "cloud + mobile terminal" through deployment of cloud computing， terminal security reinforcement， enterprise mobile management and other measures. The mode provides a new train of thought for the sustainable development of mobile police.

Key words： mobile police; cloud computing; trust execution environment; enterprise mobile management

1 引言

近年來，以移動智能終端為載體，依托3G、4G無線網(wǎng)絡(luò)的移動辦公業(yè)務(wù)模式逐漸成熟，及時、快速、高效、靈活逐步成為新一代移動辦公系統(tǒng)的標(biāo)簽，“大整合、高共享、深應(yīng)用”已成公安信息化發(fā)展的必然趨勢。同時，隨著“公安移動信息網(wǎng)”和“金盾工程二期”的快速推進(jìn)，各地紛紛建設(shè)一批移動警務(wù)辦公系統(tǒng)和互聯(lián)網(wǎng)便民服務(wù)，移動警務(wù)發(fā)展如火如荼，但也存在著幾個方面的問題。

一是國產(chǎn)智能終端核心技術(shù)受制于人。雖然國產(chǎn)手機(jī)在民用市場取得不菲的成績，但終端自主化程度低，基礎(chǔ)專利儲備不足，智能終端的關(guān)鍵芯片、操作系統(tǒng)等核心技術(shù)受制于人的局面未得到改觀。

二是智能終端安全隱患嚴(yán)重。廣泛使用的Android系統(tǒng)手機(jī)，由于其開源性和不可避免的安全漏洞，存在著各種各樣的安全隱患。甚至有部分廠商預(yù)留系統(tǒng)后門，惡意收集客戶信息。

三是“信息孤島”問題突出。低水平的重復(fù)建設(shè)，致使移動警務(wù)系統(tǒng)在信息共享方面缺乏統(tǒng)一的規(guī)范和標(biāo)準(zhǔn)，致使各個系統(tǒng)間存在信息壁壘，無法實(shí)現(xiàn)業(yè)務(wù)互聯(lián)互通，“信息孤島”問題突出。

四是基礎(chǔ)資源動態(tài)擴(kuò)展能力差。基礎(chǔ)資源利用率低，資源儲備和彈性伸縮能力不足，使得在面對高突發(fā)性、高流量、高密度的業(yè)務(wù)需求時無法滿足。

五是移動警務(wù)信息系統(tǒng)持續(xù)發(fā)展保障能力弱。當(dāng)前，各級公安機(jī)關(guān)系統(tǒng)管理和運(yùn)維技術(shù)力量嚴(yán)重不足，維護(hù)手段落后，系統(tǒng)運(yùn)行維護(hù)投入不足，移動警務(wù)信息系統(tǒng)持續(xù)發(fā)展保障能力弱。

六是安全保障不規(guī)范。缺乏統(tǒng)一的安全保障體系，安全防護(hù)各自為戰(zhàn)，在實(shí)際工作中“重設(shè)備、輕管理”思想嚴(yán)重，致使各個應(yīng)用系統(tǒng)安全防護(hù)不到位，安全事件層出不窮。

2? 云計(jì)算技術(shù)

云計(jì)算是繼分布式計(jì)算、網(wǎng)格計(jì)算、對等計(jì)算之后的一種新型計(jì)算模式。它以資源租用、應(yīng)用托管、服務(wù)外包為核心，通過整合分布式資源，構(gòu)建應(yīng)對多種服務(wù)要求的計(jì)算環(huán)境，滿足用戶定制化需求，云計(jì)算的資源共享且高效利用的特點(diǎn)，實(shí)現(xiàn)了系統(tǒng)管理維護(hù)和服務(wù)使用的解耦，按需服務(wù)的理念得到了真正的體現(xiàn)，迅速成為計(jì)算機(jī)及技術(shù)發(fā)展的熱點(diǎn)。云計(jì)算的主要特征涉及幾個方面。

一是按需服務(wù)。用戶可以按照自己的需要來選擇不同的服務(wù)，減少不必要的浪費(fèi)。

二是泛在接入。用戶可以利用各種標(biāo)準(zhǔn)的終端（PC、筆記本電腦、智能手機(jī)、平板電腦等）通過網(wǎng)絡(luò)訪問云服務(wù)。

三是資源池化。利用虛擬化等技術(shù)，各種資源以資源池的方式，以多租戶的形式為用戶提供服務(wù)，資源的放置、管理與分配策略對用戶透明。

四是高可靠性。云計(jì)算文件系統(tǒng)采用數(shù)據(jù)多副本容錯機(jī)制、計(jì)算節(jié)點(diǎn)同構(gòu)可互換等措施來保證服務(wù)的高可靠性。

五是高擴(kuò)展性。服務(wù)的規(guī)模可以根據(jù)用戶需求情況動態(tài)伸縮，滿足應(yīng)用和用戶規(guī)模變化的需要。

六是經(jīng)濟(jì)性。云計(jì)算使得資源的利用率較傳統(tǒng)架構(gòu)大幅提升，同時云的自動化集中管理，降低了數(shù)據(jù)中心的管理成本。

3? TrustZone技術(shù)及其安全性分析

TrustZone（可信區(qū)域）技術(shù)是由ARM提供的一種可信執(zhí)行環(huán)境（Trust Execution Environment，TEE）體系架構(gòu)。TrustZone的思路是將ARM處理器進(jìn)行擴(kuò)展，增加相應(yīng)的安全指令、安全配置邏輯，由硬件提供代碼隔離技術(shù)，軟件提供基本的安全服務(wù)和接口，通過將SoC的硬件和軟件資源劃分為安全（Secure World）和普通（Normal World）兩個世界，所有安全性高的操作在安全世界執(zhí)行（如指紋識別、密碼處理、數(shù)據(jù)加解密、安全認(rèn)證等），其余操作在普通世界執(zhí)行（如用戶操作系統(tǒng)、各種應(yīng)用程序等），安全世界和普通世界通過一個名為Monitor Mode的模式進(jìn)行轉(zhuǎn)換，在對內(nèi)核的功耗、性能和硅片面積不產(chǎn)生很大影響的前提下，為用戶提供一個可信運(yùn)行環(huán)境，來抵御各種可能的攻擊，得到了業(yè)內(nèi)的廣泛認(rèn)可，如圖1所示。

TrustZone技術(shù)通過四種方式確保系統(tǒng)的安全。

（1）隔離所有 SoC 硬件和軟件資源，使它們分別位于兩個世界（用于安全子系統(tǒng)的安全世界以及用于存儲其他所有內(nèi)容的普通世界）中。

（2）系統(tǒng)總線提供了安全世界和普通世界的隔離機(jī)制，確保非安全核只能訪問普通世界的系統(tǒng)資源，而安全核能訪問所有資源。

（3）把敏感資源放在安全區(qū)域的設(shè)計(jì)，以及在安全的處理器內(nèi)核中可靠運(yùn)行軟件可確保資產(chǎn)能夠抵御眾多潛在的攻擊。

（4）通過在硬件中隔離安全敏感的外設(shè)，設(shè)計(jì)人員可限制需要通過安全評估的子系統(tǒng)的數(shù)目，從而在提交安全認(rèn)證設(shè)備時節(jié)省成本。

4? 基于“云+端”的移動警務(wù)安全架構(gòu)

綜合應(yīng)用硬件超融合技術(shù)、虛擬化技術(shù)、云安全技術(shù)，采用主流開放的標(biāo)準(zhǔn)構(gòu)建跨警種、跨廠家、跨網(wǎng)的移動警務(wù)云;部署移動警務(wù)安全管理平臺EMM（Enterprise Mobile Management），實(shí)現(xiàn)移動警務(wù)終端和移動警務(wù)應(yīng)用接入的安全管理;定制基于TruseZone加固的移動警務(wù)終端，實(shí)現(xiàn)移動警務(wù)終端有效管控和終端無痕。從“云”“管”“端”三個緯度實(shí)現(xiàn)移動警務(wù)全要素管理、全流程監(jiān)控和動態(tài)安全防御，其業(yè)務(wù)模型圖如圖2所示。

4.1 移動警務(wù)云

采用超融合技術(shù)、云安全技術(shù)、軟件定義技術(shù)等先進(jìn)技術(shù)，遵照信息系統(tǒng)等級保護(hù)三級的相關(guān)標(biāo)準(zhǔn)要求，通過對現(xiàn)有基礎(chǔ)設(shè)施資源的升級擴(kuò)容，分安全等級虛擬計(jì)算資源池、存儲資源池、數(shù)據(jù)資源池等服務(wù)資源，建設(shè)統(tǒng)一的安全保障體系和運(yùn)維保障體系，按需為全警提供統(tǒng)一的移動警務(wù)應(yīng)用服務(wù)SaaS、移動警務(wù)平臺服務(wù)PaaS、移動警務(wù)基礎(chǔ)設(shè)施服務(wù)IaaS，實(shí)現(xiàn)移動警務(wù)數(shù)據(jù)中心的物理分散、邏輯集中、資源彈性調(diào)度、按需服務(wù)，實(shí)現(xiàn)移動警務(wù)應(yīng)用的云端部署和云化處理，具體架構(gòu)圖如圖3所示。

移動警務(wù)基礎(chǔ)設(shè)施服務(wù)IaaS：依托先進(jìn)的SDN技術(shù)和安全域技術(shù)分安全等級為移動警務(wù)虛擬出計(jì)算資源池、網(wǎng)絡(luò)資源池、存儲資源池、安全資源池等基礎(chǔ)資源池，為移動警務(wù)提供統(tǒng)一的、彈性的、云化的基礎(chǔ)設(shè)施服務(wù)。

移動警務(wù)平臺服務(wù)PaaS：整合移動警務(wù)的服務(wù)接口和數(shù)據(jù)資源，部署統(tǒng)一的應(yīng)用商店、認(rèn)證授權(quán)服務(wù)、工作流、數(shù)據(jù)總線等應(yīng)用開發(fā)資源服務(wù)平臺，云桌面、并行處理、多租戶、容器等應(yīng)用運(yùn)行支撐服務(wù)平臺。為移動警務(wù)應(yīng)用提供統(tǒng)一認(rèn)證授權(quán)、資源共享和運(yùn)行支撐等基礎(chǔ)平臺服務(wù)。

移動警務(wù)應(yīng)用服務(wù)SaaS：以SaaS的方式為全警提供警用地圖、即時通訊軟件、內(nèi)部郵件、加密通信等基礎(chǔ)共性軟件，各警種也可以部署自己的定制開發(fā)應(yīng)用。

4.2 移動警務(wù)安全管理平臺

依托現(xiàn)有移動警務(wù)無線接入邊界平臺，部-省兩級部署統(tǒng)一的移動警務(wù)安全管理平臺，以“移動終端安全、網(wǎng)絡(luò)傳輸安全、應(yīng)用安全、數(shù)據(jù)安全”為核心，提供對用戶、對移動終端、對應(yīng)用、對敏感數(shù)據(jù)的全生命周期安全管理，確保移動警務(wù)可信可管可控，實(shí)現(xiàn)移動警務(wù)全要素管理、全流程管理和動態(tài)安全防御。在此基礎(chǔ)上為全警提供統(tǒng)一應(yīng)用商店、移動接入控制、移動運(yùn)行監(jiān)控等關(guān)鍵服務(wù)，打造完整全面的移動警務(wù)管控體系，即實(shí)現(xiàn)移動警務(wù)安全管理平臺的統(tǒng)一部署，也滿足“屬地管理”的管理要求。

移動警務(wù)設(shè)備管理——提供設(shè)備注冊、遠(yuǎn)程鎖定、遠(yuǎn)程擦除、遠(yuǎn)程配置、越獄監(jiān)控、狀態(tài)監(jiān)測、丟失保護(hù)、應(yīng)用遠(yuǎn)程分發(fā)等多方位設(shè)備控制機(jī)制，確保多種移動終端設(shè)備能夠遵從移動警務(wù)的管理。

移動警務(wù)應(yīng)用管理——部署應(yīng)用商店作為移動警務(wù)應(yīng)用下載的唯一來源，對應(yīng)用進(jìn)行代碼審計(jì)和數(shù)字簽名，并為應(yīng)用開發(fā)人員提供相關(guān)的封裝工具和SDK，確保只有經(jīng)過授權(quán)的應(yīng)用才能在許可設(shè)備按照指定的策略運(yùn)行。采用可信驗(yàn)簽機(jī)制，確保只有來自制定來源的可靠（來源及完整性）APP和更新才允許安裝。

移動警務(wù)數(shù)據(jù)管理——提供透明加密、遠(yuǎn)程刪除和過期保護(hù)機(jī)制，有效隔離、監(jiān)控和控制敏感信息的分發(fā)與訪問，確保敏感數(shù)據(jù)僅可由通過安全的網(wǎng)絡(luò)接入的可信終端閱讀。

移動警務(wù)策略管理——提供移動終端、移動應(yīng)用等安全要素的策略配置、下發(fā)和實(shí)時更新功能。

移動警務(wù)接入管理——移動警務(wù)采用基于證書的SSL VPN接入方案，從網(wǎng)絡(luò)層確保數(shù)據(jù)的加密傳輸。

移動警務(wù)運(yùn)行監(jiān)控——與提供面向用戶、應(yīng)用、服務(wù)、接口等多維度的即時監(jiān)控服務(wù)。

4.3 移動警務(wù)終端

利用TrustZone實(shí)現(xiàn)雙系統(tǒng)的移動警務(wù)終端，在普通世界中運(yùn)行普通系統(tǒng)（Android），在安全世界中運(yùn)行安全系統(tǒng)（Android SE或其他TEE OS），分別用于個人使用和移動警務(wù)，兩個系統(tǒng)能夠同時運(yùn)行，實(shí)時切換，但又是系統(tǒng)級的全面隔離，各自數(shù)據(jù)加密且相互隔離，如圖4所示。

系統(tǒng)通過包括引導(dǎo)加載程序（Bootloader）、安全系統(tǒng)簽名及相應(yīng)的證書或密鑰形成的信任鏈進(jìn)行系統(tǒng)完整性校驗(yàn)，從而確保底層操作系統(tǒng)的完整性，保證系統(tǒng)版本不能被篡改，實(shí)現(xiàn)完備的可信度量、可信存儲和可信報告機(jī)制，構(gòu)建主動免疫、安全可靠的終端計(jì)算節(jié)點(diǎn)。

在網(wǎng)絡(luò)層面，移動警務(wù)終端通過VPN等安全接入和傳輸加密，只能連接移動警務(wù)專網(wǎng)，無法訪問互聯(lián)網(wǎng)，以避免敏感信息外泄、病毒木馬影響等，確保移動警務(wù)終端數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性。

以數(shù)字身份證書為基礎(chǔ)，輔以口令密碼、生物特征、物理特征等標(biāo)識與鑒別技術(shù)，對平臺中涉及的人員、機(jī)構(gòu)、設(shè)備、應(yīng)用等訪問對象進(jìn)行標(biāo)識與鑒別，采用以人體生物特征為主的人機(jī)認(rèn)證和用戶數(shù)字身份證書認(rèn)證相結(jié)合的強(qiáng)認(rèn)證機(jī)制，從根本上解決移動警務(wù)用戶真實(shí)身份識別以及行為安全審計(jì)問題。

安全系統(tǒng)通過與移動警務(wù)安全管理系統(tǒng)（EMM）聯(lián)動，綜合應(yīng)用單點(diǎn)登錄、數(shù)據(jù)透明加密、安全策略動態(tài)更新、終端外設(shè)安全可控、業(yè)務(wù)數(shù)據(jù)終端無痕等安全功能，實(shí)現(xiàn)移動警務(wù)終端的安全接入和業(yè)務(wù)數(shù)據(jù)不落地，為移動警務(wù)應(yīng)用提供可信的運(yùn)行容器。

5 結(jié)束語

本文針對現(xiàn)有移動警務(wù)建設(shè)標(biāo)準(zhǔn)不統(tǒng)一、安全建設(shè)不規(guī)范、可持續(xù)保障能力弱等缺點(diǎn)，提出了基于“云+端”的移動警務(wù)安全架構(gòu)，從統(tǒng)一標(biāo)準(zhǔn)規(guī)范體系、統(tǒng)一基礎(chǔ)運(yùn)行環(huán)境、統(tǒng)一安全保障體系、統(tǒng)一應(yīng)用支撐平臺、統(tǒng)一運(yùn)維服務(wù)體系、統(tǒng)一監(jiān)控體系六個方面，采用先進(jìn)移動云計(jì)算技術(shù)，構(gòu)建安全的移動警務(wù)云，探索移動警務(wù)應(yīng)用的云端部署、云化計(jì)算，實(shí)現(xiàn)了應(yīng)用的快速部署和瞬間更新，以及業(yè)務(wù)數(shù)據(jù)云端集中存放和管理。通過移動警務(wù)安全管理平臺和基于TrustZone技術(shù)的定制終端的聯(lián)動，實(shí)現(xiàn)移動警務(wù)終端從設(shè)備注冊、認(rèn)證接入到應(yīng)用運(yùn)行的全業(yè)務(wù)流程動態(tài)安全管控體系，建立一個由終端硬件、網(wǎng)絡(luò)傳輸、應(yīng)用與數(shù)據(jù)管理、云端管理組成的安全閉環(huán)。目前，公安系統(tǒng)研發(fā)的警務(wù)專用手機(jī)和安全手機(jī)，都是基于TrustZone技術(shù)+移動管理系統(tǒng)的典范，都有了一定規(guī)模的應(yīng)用，但該架構(gòu)的大規(guī)模應(yīng)用，尚需解決幾個問題。

一是終端的多樣化發(fā)展問題。依托快速發(fā)展自主可控的軟、硬件核心技術(shù)，包含芯片、自主操作系統(tǒng)以及安全應(yīng)用，構(gòu)建從硬件到軟件，從底層到應(yīng)用層，從端到云的終端安全生態(tài)體系，研制豐富多樣的移動警務(wù)終端，滿足移動警務(wù)快速發(fā)展的終端需求。

二是云計(jì)算技術(shù)安全問題。移動警務(wù)業(yè)務(wù)種類繁雜，安全等級各不相同，如何借助快速發(fā)展的自主可控云計(jì)算安全技術(shù)，實(shí)現(xiàn)移動警務(wù)業(yè)務(wù)和數(shù)據(jù)的安全隔離，解決移動警務(wù)云內(nèi)敏感數(shù)據(jù)泄露的安全問題，需要進(jìn)行進(jìn)一步研究。

參考文獻(xiàn)

[1] 卜振興，洪衛(wèi)軍.公安警務(wù)云基礎(chǔ)建設(shè)方案設(shè)計(jì)[J].中國人民公安大學(xué)學(xué)報（自然科學(xué)版），2016（1）：47-52.

[2] 丁滟，王懷民，史佩昌，等.可信云服務(wù)[J].計(jì)算機(jī)學(xué)報，2015，38（1）：133-149.

[3] 鄭顯義，李文，孟丹.TrustZone技術(shù)的分析與研究[J].計(jì)算機(jī)學(xué)報，2016（9）：1912 -1928.

[4] 郝先林，曾萍，胡榮磊.基于TrustZone技術(shù)的TEE安全方案的研究[J].北京電子科技學(xué)院學(xué)報，2016，24（2）：38-44.

[5] 吳德本，姚健，鄧志武.云計(jì)算綜述[R].全國城市有線電視業(yè)務(wù)&技術(shù)研討會，2011.

[6] 章謙驊，章堅(jiān)武.基于云安全技術(shù)的智慧政務(wù)云解決方案[J].電信科學(xué)，2017，33（3）：107-111.

[7] 周昕，劉衍斐.警務(wù)專用手機(jī)管理服務(wù)平臺的設(shè)計(jì)與實(shí)現(xiàn)[J].警察技術(shù)，2016（2）：40-43.

[8] 周昕，陳妍，劉衍斐.警務(wù)專用手機(jī)ZD-P1[J].警察技術(shù)，2015（1）：57-65.