劉道群，孫慶和

（1.重慶理工大學 重慶 400054；2.中國聯(lián)合網(wǎng)絡(luò)通信有限公司重慶市分公司 重慶 400042）

1 引言

隨著3G行業(yè)的不斷發(fā)展以及人們對隨時隨地辦公需求的日益強烈，基于3G的移動辦公業(yè)務(wù)日益受到重視，3G移動辦公已經(jīng)進入政府、公安、金融以及連鎖等行業(yè)。

移動辦公是以“簡單、實用、使用不受地點限制”為設(shè)計理念開發(fā)的辦公自動化系統(tǒng)，可以在移動條件下使用手持設(shè)備通過移動網(wǎng)絡(luò)訪問單位內(nèi)部的信息系統(tǒng)[1]，完成以前必須在桌面PC上處理的工作，如公文審批、收發(fā)郵件等。

3G移動辦公網(wǎng)絡(luò)部署方案是基于運營商提供的3G移動通信網(wǎng)絡(luò)，在移動狀態(tài)下，通過筆記本電腦、智能移動終端等實現(xiàn)查詢、審批、回復(fù)、確認等辦公操作，使辦公信息可以隨時隨地地進行交流互動，整體運作更加協(xié)調(diào)。這種最新的辦公模式通過在手機等移動終端設(shè)備上安裝企業(yè)信息化軟件，使手機具備和電腦一樣的辦公功能，為企業(yè)和政府信息化建設(shè)提供了全新的思路。

由于移動辦公以有線和移動網(wǎng)絡(luò)為承載網(wǎng)絡(luò)，所以面臨著有線和移動網(wǎng)絡(luò)通信中的雙重安全風險[2]；同時，移動辦公運行著大量需要保護的數(shù)據(jù)和信息，特別是公安、金融等信息敏感行業(yè)中的移動辦公系統(tǒng)，數(shù)據(jù)和信息的安全性顯得特別重要，如果敏感信息泄漏，必將導(dǎo)致嚴重的后果，因此安全性是信息敏感行業(yè)大規(guī)模應(yīng)用3G移動辦公的最大障礙。

2 3G移動辦公面臨的安全威脅

IP網(wǎng)絡(luò)面臨的安全隱患，如病毒傳播、主機遭受攻擊、網(wǎng)絡(luò)通信數(shù)據(jù)被非法劫持甚至篡改，3G移動辦公同樣存在；同時由于3G移動辦公網(wǎng)絡(luò)架構(gòu)的開放性，用戶身份認證、內(nèi)網(wǎng)數(shù)據(jù)泄密等安全性問題顯的尤為突出。在信息敏感行業(yè)中，3G移動辦公面臨的安全威脅潛伏在數(shù)據(jù)安全、數(shù)據(jù)完整性、信息傳輸、身份認證和事后追蹤等各個環(huán)節(jié)，主要表現(xiàn)在以下幾個方面。

（1）信息機密性和完整性

移動辦公人員系統(tǒng)環(huán)境復(fù)雜，信息流轉(zhuǎn)頻繁，經(jīng)常會通過公網(wǎng)與內(nèi)網(wǎng)的應(yīng)用系統(tǒng)進行敏感信息的交互，這些數(shù)據(jù)在開放的網(wǎng)絡(luò)環(huán)境中傳輸時有可能被截取，被非法用戶惡意篡改，導(dǎo)致信息發(fā)送與接收不一致，從而用戶和系統(tǒng)之間產(chǎn)生信息的差異，嚴重的會影響到雙方的正確判斷。

（2）信息傳輸?shù)陌踩?/p>

基于3G的移動辦公系統(tǒng)的數(shù)據(jù)傳輸過程包括無線傳輸和有線傳輸。無線傳輸采用3G網(wǎng)絡(luò)，雖然有加密標準和規(guī)范，但手機號碼、SIM卡有被克隆的可能，存在數(shù)據(jù)泄露的安全隱患；在有線網(wǎng)絡(luò)中，互聯(lián)網(wǎng)的開放、公眾性使得極易發(fā)生監(jiān)聽傳輸數(shù)據(jù)、入侵數(shù)據(jù)庫等事件，若敏感信息在網(wǎng)絡(luò)傳輸中沒有受到有效保護，一旦被竊取或篡改，將造成很大的危害。

（3）身份認證

移動辦公人員在登錄系統(tǒng)時，系統(tǒng)應(yīng)該能夠依據(jù)其身份授予不同的訪問操作權(quán)限，使其能夠進行相應(yīng)授權(quán)內(nèi)的操作，以避免假冒身份進行越權(quán)操作，但基于傳統(tǒng)的用戶名/密碼方式的身份認證安全強度不高，易被破解或截獲，從而增加了非法訪問系統(tǒng)的可能性。短信動態(tài)密碼與靜態(tài)用戶名/口令結(jié)合的身份認證方式，無法解決SIM卡克隆和手機丟失后造成的身份泄露問題。因此必須通過有效方式，保證對系統(tǒng)用戶的身份強鑒別。

（4）信息抗抵賴

在電子化的網(wǎng)絡(luò)環(huán)境中，如果沒有有效的手段保證電子數(shù)據(jù)共享和傳輸?shù)目沟仲?，誰都可以否認自己共享或傳輸過的電子數(shù)據(jù)。一旦出現(xiàn)問題，將沒有任何有效的證據(jù)，對肇事者進行追究。目前大多數(shù)通過用戶名/密碼、手機號、IP地址等信息確認用戶行為，這些信息容易泄漏，大多不是實名信息，且沒有簽名機制，很難追查到人[3]。

3 安全體系架構(gòu)

由于終端的移動性、使用場景的開放性和不可監(jiān)督性、無線傳輸安全的脆弱性、網(wǎng)絡(luò)環(huán)境的復(fù)雜性，基于3G的移動辦公安全問題無處不在。為解決以上安全問題，本文采用終端加固、信道加密、認證接入、訪問控制和網(wǎng)閘隔離5大安全措施共同構(gòu)成獨立完整的安全接入體系，如圖1所示。

終端加固：基于硬件密碼對終端進行安全加固，保證終端計算環(huán)境、資源和網(wǎng)絡(luò)訪問的安全和控制。

信道加密：采用密碼算法實現(xiàn)移動終端到移動接入?yún)^(qū)端到端的通信加密，保證內(nèi)網(wǎng)信息在傳輸過程中的機密性和完整性。加密信道建立在通信運營商提供的APN專線之上。

認證接入：實現(xiàn)移動終端和移動接入?yún)^(qū)接入設(shè)備之間的雙向身份認證，保證持有合法身份證書的移動終端能接入移動接入?yún)^(qū)。

訪問控制：保證內(nèi)網(wǎng)信息資源只能被授權(quán)的終端訪問，并對異常的訪問進行阻斷。

網(wǎng)閘隔離：實現(xiàn)移動接入?yún)^(qū)和內(nèi)網(wǎng)之間的網(wǎng)絡(luò)隔離，對出入內(nèi)網(wǎng)的數(shù)據(jù)進行協(xié)議剝離和內(nèi)容過濾。

圖1 移動辦公接入安全體系架構(gòu)

4 安全解決方案

以某政府單位移動辦公應(yīng)用為例，介紹一個端到端、安全可靠的移動辦公解決方案，采用圖1所示的安全體系架構(gòu)，將移動辦公網(wǎng)絡(luò)分成5個不同的區(qū)域（移動終端、移動通信網(wǎng)、移動接入?yún)^(qū)、安全隔離區(qū)和內(nèi)網(wǎng)），如圖2所示。

對不同的區(qū)域采用不同的安全措施，通過3G網(wǎng)絡(luò)訪問內(nèi)部的辦公系統(tǒng)、業(yè)務(wù)系統(tǒng)以及內(nèi)部核心資源時，采取適當?shù)男畔踩呗?，在為合法的訪問提供方便的同時，又能防止內(nèi)網(wǎng)信息資源被非法竊取，具體安全措施介紹如下。

4.1 移動終端加固

客戶端的安全通過運營商USIM卡或TF卡配合VPN客戶端軟件安全功能實現(xiàn)。運營商USIM卡本身并不只作單純的接入功能，在安全性方面采用了改進的加密算法，密鑰長度增加至128 bit；同時增加了對網(wǎng)絡(luò)的認證功能，這種雙向認證可以有效防止黑客對卡片的攻擊；另外，USIM卡支持二次開發(fā)，在USIM卡中配置安全信息，從網(wǎng)絡(luò)訪問、用戶身份認證、信息加密等方面實現(xiàn)了接入客戶端系統(tǒng)公網(wǎng)路段的數(shù)據(jù)保密傳輸功能。

安全USIM卡或TF卡與移動VPN客戶端軟件配合，接入VPN安全網(wǎng)關(guān)對用戶采用口令的方式進行驗證，只有口令驗證通過后才能進行內(nèi)網(wǎng)查詢操作，查看存儲在客戶端的內(nèi)網(wǎng)信息。

安全USIM卡或TF卡的安全存儲功能，確保了密鑰和敏感信息的安全存儲。遺失的安全USIM卡或TF卡通過管理員在VPN安全網(wǎng)關(guān)發(fā)送遠程遙毀指令將其內(nèi)網(wǎng)功能銷毀，并且將存儲的密鑰和加密短信等內(nèi)容擦除。

4.2 專用APN及隧道加密

在移動接入?yún)^(qū)，采用專用APN，類似行業(yè)專用的3G無線局域網(wǎng)，由運營商分配獨立的接入點，并部署一條專線連接運營商GGSN與該單位內(nèi)網(wǎng)，運營商GGSN和客戶端路由器之間采用私有IP進行通信。在專用APN白名單中的用戶，可以高速地通過APN專線接入內(nèi)網(wǎng)。采用專用APN，限制非法用戶加入該APN，關(guān)閉合法用戶訪問公網(wǎng)權(quán)限，從而使內(nèi)網(wǎng)信息與Internet完全隔離，保障了內(nèi)網(wǎng)信息的機密性。

為了保證專用APN的數(shù)據(jù)業(yè)務(wù)在運營商IP核心網(wǎng)中傳輸?shù)牡乃接行?，在專用APN專線上啟用虛擬撥號網(wǎng)（VPDN）業(yè)務(wù)，利用安全的L2TP隧道傳輸協(xié)議，在現(xiàn)有的撥號網(wǎng)絡(luò)上構(gòu)建一條虛擬、不受外界干擾的專用通道，從而能夠安全地訪問內(nèi)部網(wǎng)資源。

4.3 網(wǎng)絡(luò)隔離

安全隔離區(qū)采用網(wǎng)絡(luò)隔離技術(shù)和設(shè)備，進一步保證高安全性網(wǎng)絡(luò)環(huán)境。網(wǎng)絡(luò)隔離設(shè)備在理論和實踐上均要比防火墻高一個安全級別，它把外網(wǎng)接口和內(nèi)網(wǎng)接口從一套操作系統(tǒng)中分離出來[4]，然后在兩套主機系統(tǒng)之間通過不可路由的協(xié)議進行數(shù)據(jù)交換，即便黑客攻破了外網(wǎng)系統(tǒng)，仍然無法控制內(nèi)網(wǎng)系統(tǒng)，從而達到了更高的安全級別。

網(wǎng)絡(luò)隔離采用專用通信硬件、專有安全協(xié)議、加密驗證機制及應(yīng)用層數(shù)據(jù)提取和鑒別認證技術(shù)，進行不同安全級別網(wǎng)絡(luò)之間的數(shù)據(jù)交換，徹底阻斷了網(wǎng)絡(luò)間的直接TCP/IP連接，同時對網(wǎng)間通信的雙方、內(nèi)容、過程施以嚴格的身份認證、內(nèi)容過濾、安全審計等多種安全防護機制，從而保證了網(wǎng)間數(shù)據(jù)交換的安全、可控，杜絕了操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議自身漏洞帶來的安全風險。

圖2 移動辦公網(wǎng)絡(luò)組網(wǎng)方案

4.4 身份認證

為了解決信息抵賴及身份認證安全隱患，在移動接入?yún)^(qū)和內(nèi)部網(wǎng)絡(luò)分別安裝了認證服務(wù)器，采取用戶名/密碼與USIM卡卡號綁定以及數(shù)字證書等多重認證措施。

首先，在移動接入?yún)^(qū)配置VPN安全網(wǎng)關(guān)，該網(wǎng)關(guān)與移動終端使用的USIM卡或TF卡共同保證合法終端的接入，實現(xiàn)移動終端的認證接入、端到端信道加密、應(yīng)用訪問控制等安全接入和控制功能，同時提供終端和接入設(shè)備身份注冊與管理服務(wù)等功能。

其次，配置系統(tǒng)的CA體系，完成數(shù)字證書的簽發(fā)、管理及整個安全系統(tǒng)的配置及管理；在安全認證管理系統(tǒng)的支持下，對移動終端進行基于公鑰證書的身份認證，保證非授權(quán)的用戶不能接入某政府單位內(nèi)網(wǎng)。數(shù)字證書存儲個人身份信息及簽名私鑰，為移動終端提供數(shù)字簽名、簽名驗證和數(shù)據(jù)加解密等密碼服務(wù)。

5 結(jié)束語

隨著3G網(wǎng)絡(luò)覆蓋范圍的擴大，基于3G的移動辦公在各行業(yè)得到了廣泛的應(yīng)用，3G移動辦公的安全性迫切需要系統(tǒng)的解決方案。本文基于安全USIM卡、專用APN、數(shù)字證書認證、網(wǎng)絡(luò)隔離等技術(shù)，提出了3G移動辦公安全解決方案，通過終端加固、信道加密、認證接入、訪問控制和網(wǎng)閘隔離等5大安全措施解決了移動辦公安全問題，實現(xiàn)了移動終端通過運營商公用移動網(wǎng)絡(luò)與單位內(nèi)網(wǎng)的信息交換。該方案解決了移動終端、公網(wǎng)傳輸、內(nèi)網(wǎng)保護等方面的安全需求，將移動接入作為一個系統(tǒng)整體的安全需求，建立一個全方位、多層次的安全服務(wù)體系，確保系統(tǒng)的身份認證、訪問控制、信息安全、網(wǎng)絡(luò)隔離、日志審計、病毒防范以及系統(tǒng)管理的安全。

1 唐寧,蔣紅源,楊恒.基于3G運營商的移動辦公系統(tǒng)應(yīng)用和分析.電信科學,2009,25(10A):35～38

2 鄧霄博,杜勇,朱偉光.基于3G網(wǎng)絡(luò)的企業(yè)數(shù)據(jù)通信安全方案.電信科學,2010,26(8):102～106

3 趙波.安全移動辦公解決方案簡析.電信科學,2010,26(10):167～174

4 厲京運,趙卓.基于WPKI的移動OA安全平臺的研究與設(shè)計.計算機工程與設(shè)計,2010,31(3):472～479

5 陳強,付強,張勇.淺談網(wǎng)絡(luò)隔離技術(shù).北方交通,2010(4):195～197

6 “網(wǎng)絡(luò)隔離”安全技術(shù)發(fā)展方向概述.http://www.huacolor.com/article/737.html