基于零信任理念的鐵路智能移動終端管控平臺關鍵技術研究

侯昱輝，李宏宇，梁建輝，劉潤福，何靖剛

（中國鐵路蘭州局集團有限公司 信息技術所，蘭州 730000）

隨著智能移動終端的普及，移動辦公技術在各行各業得到廣泛應用，鐵路行業緊跟時代步伐，在推動移動辦公應用落地方面已取得一定進展。與此同時，鐵路各業務系統端口的暴露數量急劇增加，粗粒度訪問控制和智能移動終端數據泄露等安全挑戰也隨之而來[1-2]。

在鐵路行業傳統的網絡架構中，網絡邊界作為外部非安全網絡和內部安全網絡的分界線，通常采用防火墻、入侵檢測系統和入侵防御系統來保證其安全性。白生江[3]提出主動型軍用網絡邊界防護系統，通過防火墻、入侵防御系統、蜜罐等安全產品間的聯動，促進軍用網絡安全穩定運行，但會導致端口暴露，形成明顯的攻擊面[4]；許文淵[5]提出采用虛擬專用網絡（VPN ，Virtual Private Network）的接入認證及授權方式，實現鐵路數據通信網絡管理（簡稱：網管）復示終端與網管服務器端的可信任安全加密通信，但仍存在粗粒度訪問控制的問題；儲小寶[6]設計并實現智能移動終端敏感信息安全防護系統，但存在不同系統間適配困難的問題。綜上所述，傳統的網絡邊界管理模式已無法滿足數字時代的需求[7]。

基于上述問題，本文構建基于零信任理念的鐵路智能移動終端管控平臺，研究如何利用零信任理念應對鐵路系統中智能移動終端帶來的網絡安全挑戰，確保智能移動終端在鐵路網絡中的安全接入和受控使用，增強鐵路信息系統的安全性和穩定性。

1 鐵路智能移動終端管控平臺

1.1 零信任理念概述

2004 年，耶利哥論壇（Jericho Forum）成立，并提出零信任的初步框架。隨后，John 正式提出“零信任”理念[8]。其核心思想是“從不信任”，無實體邊界概念，在用戶訪問資源的整個流程中，始終保持持續認證狀態，進行實時動態訪問控制。

目前，零信任理念在國內外已得到廣泛認可和應用。2017 年，Google 公司完成基于零信任理念的BeyondCorp 項目。2021 年，中國電子工業標準化技術協會發布國內首個零信任技術實現標準——T/CESA 1165-2021《零信任系統技術規范》團體標準[9]。

1.2 平臺設計理念

鐵路智能移動終端管控平臺以零信任理念為理論基礎，以美國國家標準與技術研究院（NIST，National Institute of Standards and Technology）的《零信任架構》為理論架構[10]，以軟件定義邊界（SDP，Software-Defined Perimeter）和統一終端管理（UEM，Unified Endpoint Management）為 技 術 架 構[11]，實 現了用戶訪問業務場景的安全接入和受控使用。

1.3 平臺架構

鐵路智能移動終端管控平臺包含客戶端和服務端2 部分，其中，服務端包含零信任控制中心和零信任代理網關。通過建立動態的、基于身份驗證的安全邊界，僅允許經過驗證的用戶和設備訪問資源，增強網絡安全性。鐵路智能移動終端管控平臺架構如圖1 所示。

圖1 鐵路智能移動終端管控平臺架構

1.3.1 客戶端

客戶端等同于SDP 中的連接發起主機（IH ，Initial Host），負責與控制中心進行連接并驗證身份，與代理網關創建雙向加密連接，具有單包授權（SPA ，Single Packet Authorization）敲門、安全套接層（SSL，Secure Sockets Layer）隧道接入、終端環境檢測、可信應用識別、數據隔離等功能。客戶端用戶可使用主流操作系統的終端設備。

1.3.2 服務端

1.3.2.1 零信任控制中心

零信任控制中心可被看作是SDP 中的控制器（Controller），負責訪問授權的最終決策，通過對客戶端下發策略，可收集其狀態信息，具有用戶管理、終端管理、應用管理、策略管理、自適應認證、持續認證機制和策略引擎管理等控制功能，以上功能通過SPA 服務隱身。

UEM 技術架構負責終端設備的全面管理和控制，包括設備配置、應用程序管理、數據保護等功能，確保智能移動終端接入的安全性和合規性。除此之外，控制中心的開放應用程序編程接口（API，Application Programming Interface）可與業務系統中現有的企業身份基礎設施進行對接和同步，如統一安全管理平臺解決方案（4A）和活動目錄/輕量目錄訪 問 協議（AD/LDAP，Active Directory/Lightweight Directory Access Protocol）。

1.3.2.2 零信任代理網關

零信任代理網關相當于SDP 中的連接接受主機（AH ，Accept Host），負責執行控制中心的授權決策，通常以邏輯串聯的方式部署在企業資源前端，實現業務資源暴露面整體收縮。外部用戶、終端無法直接訪問到企業資源，需要通過控制中心嚴格的身份認證和授權決策，再由代理網關通過加密傳輸代理訪問。零信任代理網關支持多種訪問協議代理，包 括： 7 層Web 代 理、 4 層TCP（ Transmission Control Protocol）代理和3 層IP 代理。

2 關鍵技術

2.1 端口隱身技術

端口隱身技術作為一種保護設備關鍵端口的方式，是SDP 的核心功能，通過端口敲門（PK ，Port Knocking）、SPA 技術等“先認證，后連接”的方式，解決“先連接，后認證”的傳統接入控制方式下，端口暴露的問題，使得端口隱藏在網絡中，以達到保護業務系統的目的。

本文采用端口隱身技術中的SPA 技術，對連接服務器的所有數據包進行認證授權，認證通過后服務器才會響應連接請求，且無法直接從互聯網上連接和掃描，從而實現業務服務隱身，避免PK 技術中攻擊者通過監測客戶端流量推測出正確敲門順序的缺陷。SPA 技術有基于用戶數據報協議的SPA（ UDP-based SPA， User Datagram Protocol-based SPA）、基于傳輸控制協議的SPA （TCP-based SPA，Transmission Control Protocol-based SPA） 和UDP+TCP SPA 3 種技術路線，本文使用的是UDP+TCP SPA 技術路線，該技術路線結合了另2 種技術路線的優點。

用戶訪問前，客戶端需向服務端發送含有身份憑證的UDP SPA 敲門包，身份憑證中包含管理員分發給用戶的專屬安全碼，管理員可在將用戶與安全碼綁定的同時，給安全碼設置有效期，滿足運營維護人員的臨時接入需求，進一步提升用戶接入的安全性。

驗證身份成功后，服務端更新本地防火墻規則，開放短時間窗口，允許指定源IP 對設備TCP 端口的訪問，在后續的連接建立過程中，參照TCP SPA 流程完成傳輸層安全性協議（TLS，Transport Layer Security）協商。UDP+TCP SPA 時序圖如圖2 所示。

圖2 UDP+TCP SPA 時序圖

（1）客戶端向服務端提前發送DTLS 格式的UDP SPA 敲門包，敲門包中Payload 內容包含用戶個人安全碼、隨機數、時間戳和終端設備MAC 地址等；

（2）服務端接收UDP SPA 敲門包后，驗證敲門包格式是否正確，若正確，則對Payload 進行解密及驗證，否則直接丟棄；

（3）驗證通過后，服務端更新設備本地防火墻規則，對合法設備的源IP 臨時（如60 s）開放TCP端口訪問權限；

（4）客戶端發起與零信任代理網關TCP 的連接請求，通過TCP 三次握手后，成功建立TCP 連接；

（5）客戶端發起TLS 協商，擴展字段中攜帶SPA 敲門包；

（6）服務端從擴展字段中解析出SPA 敲門包，對Payload 進行解密及驗證；

（7）驗證通過后，成功完成TLS 協商，建立SSL 加密傳輸隧道，開始傳輸業務數據。

2.2 持續認證技術

本文采用持續認證技術對訪問業務系統的用戶進行權限控制，支持基于用戶的訪問環境屬性、身份屬性、行為屬性、設備屬性的綜合分析，當認證通過時，鐵路智能移動終端管控平臺授權用戶訪問業務系統資源，反之則阻斷訪問。通過動態調整用戶訪問權限[12]，確保業務系統面對風險時可及時調整權限、抵御風險。一定程度上解決傳統靜態權限控制技術存在的用戶訪問權限缺乏靈活性的問題。若上述某一用戶屬性發生變化，則需重新建立信任到授權訪問這一過程[13]，從而達到持續認證的效果，持續認證機制如圖3 所示。

圖3 持續認證機制

2.3 數據隔離及加密技術

2.3.1 數據隔離技術

數據隔離技術是一種阻止未經授權用戶訪問敏感數據的安全措施。本文應用數據隔離技術后，可在不同系統的終端設備上創建一個或多個與本地環境邏輯隔離的安全工作空間。數據在寫入磁盤時被自動加密存儲在數據隔離存儲區，空間內應用程序讀取數據時自動進行解密。該技術為工作空間中運行的軟件或應用提供SSL 通信加密、寫入數據加密、剪切板拷貝控制和屏幕水印等數據保護功能。

2.3.2 雙密鑰機制加密技術

數據隔離存儲區內的數據通過雙密鑰機制加密，比傳統的單密鑰更為安全可靠。雙密鑰由用戶密鑰和文件密鑰組成，使用該機制進行加密，即使在不同時間傳輸相同數據，加密后密文也不相同。一旦數據隔離存儲區被攻破，攻擊者只能拿到加密后的數據，顯著提升數據的安全性。

2.3.2.1 創建密鑰

用戶密鑰在服務端創建用戶時，由GUID 隨機算法基于服務端硬件設備信息生成[14]，具有唯一性。為保證用戶密鑰的安全，用戶密鑰只保存在服務端數據庫，不存儲在客戶端，用戶每次登錄時均須從服務端獲取用戶密鑰。

文件密鑰與用戶密鑰類似，作為數據的加密密鑰，在數據隔離存儲區內寫入數據時，由GUID 隨機算法基于終端硬件信息生成，也具有唯一性。

2.3.2.2 加密及解密流程

（1）加密流程

根據當前創建的文件，生成文件密鑰，為保護文件密鑰不被明文獲取，使用用戶密鑰對文件密鑰進行對稱加密，生成加密后的文件密鑰，并將其保存在文件頭部的偏移區中，雙密鑰機制加密流程如圖4 所示。

圖4 雙密鑰機制加密流程示意

（2）解密流程

從文件頭部獲取加密后的文件密鑰，使用用戶密鑰對其進行解密，還原出文件密鑰，再使用文件密鑰對數據進行解密。

3 應用效果

基于零信任理念的鐵路智能移動終端管控平臺已在中國鐵路蘭州局集團有限公司（簡稱：蘭州局）投入使用。該平臺先后接入財務共享服務管理信息系統、蘭鐵新視界融媒體平臺、紅杉樹視頻會議等業務系統，在蘭州局的業務運營和信息安全方面取得良好的應用效果，后續將進一步擴大應用范圍，具體應用效果如下。

3.1 收縮業務系統互聯網暴露面

鐵路智能移動終端管控平臺采用端口隱身技術和持續認證技術，嚴格控制智能移動終端的訪問權限，確保只有經過身份驗證和授權的設備才能訪問業務系統。上述舉措有效收縮潛在的網絡暴露面，防范未經授權的訪問，降低惡意入侵的風險。

3.2 增強數據保護能力

鐵路智能移動終端管控平臺針對數據進行加密傳輸和存儲，防止敏感數據在傳輸和存儲過程中遭受竊取和篡改，增強數據保護能力，為蘭州局重要信息的保密性和完整性提供了有效保障。

3.3 提高業務效率

在鐵路智能移動終端管控平臺投入使用前，客戶端用戶登錄不同業務系統時，需進行多次身份認證。該平臺的應用使得用戶僅需登錄一次，即可順利訪問授權的各個業務系統，更加高效地遠程訪問業務系統資源，顯著提高業務效率。

3.4 簡化綜合管理

鐵路智能移動終端管控平臺的應用，簡化了對智能移動終端的綜合管理。通過該平臺，管理員可集中管理終端和用戶權限，實現添加、刪除或修改訪問權限等功能，并應用全局策略，簡化管理流程，實現對智能移動終端的精細化管理。

4 結束語

本文結合零信任理念，設計了鐵路智能移動終端管控平臺，闡述了平臺架構和關鍵技術，并對該平臺在蘭州局的應用效果進行深入探討。該平臺實現了對鐵路智能移動終端的安全管控，有效地解決了鐵路行業面臨的智能移動終端安全接入和受控使用的問題，對建設網絡安全綜合防御體系具有一定的參考價值。在未來的研究和探索中，還將針對零信任理念、信任評估實時性與控制精度、信任算法等，進一步開展應用實踐和技術創新。