移動協同辦公平臺的安全網絡連接機制研究

李昀 陳誠 吳華瑞 韓笑 李慶學 楊寶祝

摘要：移動電子設備的普及為協同辦公平臺擴展提供了有效支撐，但開放的通信環境也對辦公數據和內網資源保護策略提出更高要求，研究移動設備的安全網絡連接機制是保障交互信息安全的基礎。文章針對移動辦公網絡接入缺乏移動終端可信環境認證的問題，引入移動可信模塊，在可信網絡連接架構下設計了安全接入協議模型，通過驗證移動辦公平臺與中間網關設備的身份有效性和平臺完整性，實現移動辦公網絡接入的訪問控制。

Abstract： The popularity of mobile electronic devices provides effective support for the expansion of collaborative office platform. However， the open communication environment also puts forward higher requirements for the protection of office data and Intranet resources. Studying the secure network connection mechanism of mobile devices is the basis of ensuring the communication information security. This paper introduces mobile trusted module and designs a secure access protocol model under the trusted network connection architecture. By verifying the identity validity and platform integrity of mobile office platform and intermediate gateway equipment， this model achieves access control of mobile office network access.

關鍵詞：移動協同辦公平臺;移動可信模塊;可信網絡架構;平臺完整性

Key words： mobile collaborative office platform;mobile trusted module;trusted connection architecture;platform integrity

中圖分類號：TN92? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文獻標識碼：A? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文章編號：1006-4311（2019）31-0231-04

0? 引言

隨著無線通信和移動信息技術的發展，將傳統協同辦公平臺與移動通信技術相結合，可以突破空間和時間的限制，令工作人員能夠在任何時間，任何地點訪問單位內網進行工作事務處理。移動協同辦公平臺通過移動設備進入企業內部的網絡服務系統，支持實時通信和快速決策。然而，大多數移動設備需要依托開放的網絡環境接入企業內網，容易遭受互聯網中的病毒、惡意代碼等安全攻擊，如果允許受攻擊或加密能力不足的移動設備訪問企業數據資源，可能導致這些數據面臨丟失或被盜的風險，對單位利益造成嚴重損害，因此研究可靠的網絡接入機制是保證移動辦公安全的基礎。傳統移動辦公安全機制主要關注每個網關或VPN設備的訪問控制和監控功能，通過對移動客戶端進行身份驗證和接入授權確保合法用戶的安全接入[1]。如文獻[2]研究了基于密碼技術對傳輸數據進行加密保護的移動辦公安全體系，文獻[3]則利用筆跡簽名的可信性搭建了移動辦公安全認證機制。但傳統方法始終沒有解決移動終端自身的安全性與可靠性認證問題，不能判斷合法用戶是否基于可靠的操作系統訪問內網。因此，本文考慮了在依賴可信環境的移動設備上構建移動協同辦公平臺，利用移動終端的平臺信息度量提高移動辦公安全性[4]。

可信平臺模塊（Trusted Platform Module，TPM）是獨立于主機操作系統的硬件安全技術，包含平臺完整性驗證、密碼管理等安全服務以及基于應用程序完整性驗證的訪問控制[5]。目前許多TPM產品已經發布并安裝在桌面和服務器計算機上，文獻[6]中討論了基于手機智能芯片構建可信平臺的實例，但TPM模塊主要用于PC電腦端，不適用于移動終端。可信計算集團（TCG）為了解決移動終端安全問題，于2003年發布了移動可信模塊（Mobile Trusted Module，MTM）規范。在TPM的基礎上，MTM將可信計算引入嵌入式系統，增加了一系列新命令與結構校驗移動平臺完整性[7]。文獻[8]-[10]基于MTM服務模塊進行票據驗證、車載通信與電子政務等安全應用程序與創新業務模型在移動環境中的可信應用。

本文根據某一科研單位業務需求，搭建了移動協同辦公平臺系統框架。在分析該系統安全網絡機制的基礎上，利用包含MTM模塊的移動終端，設計了可信連接架構（Trusted Connect Architecture，TCA）下的移動辦公平臺安全接入協議模型。該模型對可信終端與可信網絡進行平臺身份-平臺完整性-用戶身份的三層雙向認證，保證訪問內網資源的用戶具有合法身份和安全操作系統，是一種安全可靠的移動協同辦公平臺安全網絡接入機制。

1? 移動協同辦公平臺邏輯架構與安全方案設計

1.1 移動辦公平臺系統框架設計

移動辦公自動化作為無線領域的一個擴展應用，通過結合現代信息系統的優勢，采用數字簽名、電子郵戳、用戶鑒別與移動終端等技術實現數字化和移動化的辦公管理。本文設計了如圖1所示的移動協同辦公平臺建設總體框架。

該平臺框架采用分層結構，由界面表示、應用服務與數據訪問三個層次組成。界面表示層是移動協同辦公平臺客戶端，為用戶提供協同辦公平臺訪問的統一入口，其功能表示主要由能動態生成HTML頁面的servlet組成。通過Web Service，應用服務層進行業務響應，向業務邏輯組件傳達業務需求，從而訪問相應數據庫，服務于移動客戶端應用程序。如圖所示，移動協同辦公平臺和單位內部服務器中包含了財務、科研項目與個人工作事務等多種敏感數據，一旦被泄漏或篡改，單位與工作人員將遭受巨大損失。而移動辦公場景復雜多變，通信網絡同時具有開放性和脆弱性的特點，難以實時監督，容易遭受未授權用戶訪問、資源泄漏、重要信息篡改等網絡攻擊威脅。因此研究可信的安全網絡接入機制有助于保護工作人員和單位內網的辦公數據。

1.2 安全接入網絡拓撲設計

如圖2所示，移動協同辦公平臺主要通過3G/4G與無線局域網等公共網絡接入安全接入區。然后在安全服務器等安全設置的保護下對訪問用戶進行身份驗證，同時為合法授權的接入用戶提供服務接口，而網絡隔離區內網閘設備在邊界上統一管理數據交互，防止移動接入網與企業內網直接連接，對企業內網資源進行了物理隔離保護，降低了敏感資源泄漏的危險性。

但傳統移動辦公訪問控制策略主要由基于數字簽名和CA認證的身份驗證，缺乏對終端本身安全性和可靠性的衡量。TCA是我國GB/T 29828—2013標準所認證的可信網絡連接架構，作為可信平臺模塊（TPM、MTM等）的擴展，通過策略管理服務器集中管理訪問用戶和相關網絡設備的身份與平臺信息，收到移動辦公平臺服務請求后，根據評估策略驗證用戶終端和中間設備的身份合法性與平臺完整性，完成了雙向身份認證與雙向平臺可信性鑒定[11-13]。根據移動辦公的安全需求，平臺完整性度量策略主要包含操作系統、防火墻、殺毒軟件等組件的版本及運行狀態評估，如果平臺被惡意篡改，不法分子很容易在偽造的平臺中獲取用戶重要信息。TCA架構可保證訪問用戶和平臺的合法性與可靠性，對內網資源進行安全保護，因此，本文研究了基于TCA安全連接架構的移動辦公安全機制，該連接方案中認為移動辦公平臺所在終端與安全網關等設備具有包含MTM服務的智能芯片[14]。圖2由圖3模型簡化表示如下。

如圖所示，TCA采用三元對等實體鑒別機制，連接架構分別包含訪問請求者AR、訪問控制器AC和策略管理器PM等三個實體。AR是為建立安全可靠的網絡連接進行訪問請求的實體;NR根據PM的訪問策略可以控制AR的訪問請求;PM作為可信第三方在身份認證和完整性度量過程中對AR的網絡訪問請求執行預授權和持續授權。在移動辦公平臺網絡接入過程中，認為移動終端是訪問請求者，防火墻等設備是訪問控制者，安全服務器是策略管理器。

在網絡連接前，TNCC、TNCAP與EPS分別對上端完整性收集者IMC和完整性校驗者IMV進行初始化，當用戶嘗試辦公或辦公平臺需要發送通知公告時，觸發網絡連接請求，AR的網絡訪問請求者NAR向AC中的網絡訪問控制NAC發送連接請求;NAC收到連接請求后，與NAR和EPS進行AC、AR間的雙向用戶身份驗證;NAR和NAC向上端TNCC與TNCAP發送平臺鑒別請求，TNCAP與TNCC、EPS執行一輪或多輪平臺鑒別協議，從而完成AR與AC間的平臺鑒別;EPS則根據評估策略得到AR和AC的平臺完整性報告，并將其返回TNCC和TNCAP生成訪問策略（禁止/隔離/允許），再發送至NAR與NAC;根據用戶和平臺完整性評估生成的訪問策略，NAR決定是否接入網絡，NAC決定是否允許AR接入網絡，從而實現可信平臺的安全接入。其中IF-IM，IF-IMC，IF-IMV，IF-TNCCAP，IF-EPS，IF-TNT與IF-APS代表連接節點間的接口，定義節點間的信息傳輸協議。

綜上所述，本文研究的移動協同辦公平臺安全接入機制根據所需的安全標準度量訪問客戶端與相關網絡設備的平臺完整性，對不同的訪問請求生成對應的訪問策略，拒絕不安全訪問接入內網，允許安全可靠的用戶訪問企業內網資源，或隔離訪問客戶端以彌補各種安全漏洞，從而實現移動辦公平臺的訪問控制。

2? 移動協同辦公平臺的接入協議模型設計

根據上文所述，TCA安全連接架構下，安全服務管理器通過衡量移動辦公平臺的身份可信性和平臺完整性，生成對對應網絡訪問策略，從而提高了移動環境中辦公的安全性。但移動辦公平臺終端需通過安全網關等設備發送自身的用戶身份與平臺完整性信息，如果中間設備受到網絡攻擊，用戶賬號及平臺配置等數據易相互泄漏[12]，因此，本文設計了基于平臺身份-平臺完整性-用戶身份三層雙向認證的安全接入協議，在確定平臺身份可信的基礎上，通過密鑰協商得到AR與PM，AC與PM間不同的通信密鑰，利用通信密鑰進行平臺完整性認證和用戶身份認證，為敏感信息保護提供有效支撐。移動辦公平臺終端的接入協議具體模型如圖4所示。

①用戶需要登錄移動協同辦公平臺辦理公務時，AR向AC發送平臺公鑰CertAB、MTM模塊生成的時間戳TAR以及服務請求：

②AC收到AR的連接請求與公鑰信息后，同樣利用MTM模塊生成時間戳TAC，將自己的用戶公鑰CertAC與TAC發送到PM端：

③PM收到AC的訪問請求后，分別提取并驗證CertAR和CertAC的合法性。根據檢驗結論，PM生成RAC和RAR代表的身份報告，然后對RAC、RAR進行私鑰加密PK。PM向AC返回PM的公鑰證書，加密RAC、RAR與時間戳TPM：

④AC收到PM的返回信息后，提取并驗證。若驗證不通過，斷開網絡連接;驗證通過，則利用PM公鑰PkPM解密加密信息獲得RAR。如果RAR顯示AR平臺身份無效，AC斷開網絡連接，否則：

⑤AR根據PM公鑰提取RAC信息，若AC平臺驗證合法，則開始密鑰協商階段;

⑥通過MTM模塊隨機信號發生器，AR可獲得隨機數NonceR。AR依次用PM公鑰與自己的私鑰對NonceR進行加密，然后加密隨機數發送至AC：

⑦AC處MTM模塊生成隨機數NonceC，AC依次用PM公鑰與自己的私鑰加密NonceC，然后將收到的AR信息與加密隨機數同時發送至PM：

⑧PM收到協商請求后，分別利用AC和AR的公鑰與自己的私鑰共同提取隨機數NonceC和NonceR，提取成功PM則生成隨機數NonceP，根據隨機數生成與AR的通信密鑰PKPR及與AC的通信密鑰PKPC。并對NonceC與NonceP、NonceR與NonceP分開進行單向散列函數計算，得到哈希值HPC與HPR。PM對HPR、NonceP和HPC進行簽名后，返回AC：

⑨AC提取接收信息中的NonceP與HPC，并計算NonceP和本地NonceC的哈希值，通過與HPC對比驗證PM與AC的信息一致性，驗證通過，則生成通信密鑰PKPC，將其余信息發送至AR：

⑩同步驟9 相似，若驗證信息通過，AR生成通信密鑰PKPR;

{11}密鑰協商完成后，根據完整性度量策略，AR和AC利用MTM模塊分別收集自己的平臺信息MAR與MAC，將其進行通信密鑰簽名后發送至PM：

{12}PM解密接收信息后，根據評估策略與MAR、MAC驗證AC、AR的平臺完整性，并生成驗證結果ReAC與ReAR。通過通信密鑰簽名后，將驗證結果返回AC與AR：

{13}根據平臺完整性的驗證結果，AC與AR判斷是否需要斷開網絡連接，驗證成功則啟動用戶身份認證過程：

{14}若用戶身份認證成功，移動用戶可安全訪問企業內網資源。

接入過程中，該協議模型通過計算接收時間戳T與當前時間之差是否超過60s判斷請求合法性，若時間差大于60s，認為該請求是非法請求，斷開網絡連接，避免網絡重放攻擊。

3? 結論

移動協同辦公平臺令辦公人員能夠在任意環境中與工作單位進行實時信息交互，提高了工作效率與單位的快速管理決策能力。考慮到開放的網絡環境不利于個人與單位內網的敏感數據保護，本文通過引入移動可信模塊，設計了基于可信網絡連接架構的安全網絡接入協議模型。該協議模型在保證辦公系統終端與中間網絡設備平臺身份可信的基礎上，度量用戶身份合法性與平臺完整性，能夠避免用戶身份與平臺配置信息的泄漏。相較于傳統的移動辦公平臺接入方式，本文研究的安全協議增加了平臺完整性驗證過程，是更為安全可靠的移動辦公安全機制設計方案。

參考文獻：

[1]劉延芳，徐靜.基于Web Services稅務移動辦公平臺的設計[J].貴陽學院學報（自然科學版），2018，13（01）：24-27，32.

[2]任飛，宋濤，任靖.基于密碼的移動辦公安全能力體系構建[J].信息安全與通信保密，2018（05）：70-75.

[3]李承林，駱亮.基于原筆跡簽批的移動安全綜合政務協同云平臺研究與實現[J].通信技術，2018，51（04）：958-962.

[4]Bouzefrane S ， Thinh L V . Trusted Platforms to Secure Mobile Cloud Computing.[C]// High Performance Computing & Communications， IEEE Intl Symp on Cyberspace Safety & Security， IEEE Intl Conf on Embedded Software & Syst. IEEE， 2015.

[5]Schmidt A U ， Kuntze N ， Kasper M . On the Deployment of Mobile Trusted Modules[J]. Computer Science， 2007：3169-3174.

[6]Chengdu. Trusted Computing Based User Authentication for Mobile Equipment[J]. Chinese Journal of Computers， 2006， 29（8）：1255-1264.

[7]Kai， Xin， Guo. The Secure Boot of Embedded System Based on Mobile Trusted Module[C]// Second International Conference on Intelligent System Design & Engineering Application. IEEE， 2012.

[8]張晶.基于MTM的車載通信系統安全性研究與實現[D].吉林大學，2010.

[9]Kuntze N ， Schmidt A U . Trusted Ticket Systems and Applications[J]. Ifip International Federation for Information Processing， 2007， 232（3）：49-60.

[10]李曉明，劉芳，侯剛.基于可信網絡連接（TNC）的電子政務網絡安全接入架構研究[J].計算機安全，2013（07）：81-85.

[11]李國琴.TNC在等級保護中的應用研究[J].信息網絡安全，2012（04）：89-93.

[12]李明，李琴，張國強，顏湘.可信網絡連接架構TCA的實現及其應用[J].信息安全研究，2017，3（04）：332-338.

[13]高麗.可信連接網絡認證與評估協議研究[D].解放軍信息工程大學，2011.

[14]楊健，汪海航，Fui Fui Wong，于皓.一個面向智能電話的移動可信平臺設計[J].計算機科學，2012，39（08）：20-25.