李昀 陳誠 吳華瑞 韓笑 李慶學(xué) 楊寶祝

摘要：移動電子設(shè)備的普及為協(xié)同辦公平臺擴展提供了有效支撐，但開放的通信環(huán)境也對辦公數(shù)據(jù)和內(nèi)網(wǎng)資源保護策略提出更高要求，研究移動設(shè)備的安全網(wǎng)絡(luò)連接機制是保障交互信息安全的基礎(chǔ)。文章針對移動辦公網(wǎng)絡(luò)接入缺乏移動終端可信環(huán)境認(rèn)證的問題，引入移動可信模塊，在可信網(wǎng)絡(luò)連接架構(gòu)下設(shè)計了安全接入?yún)f(xié)議模型，通過驗證移動辦公平臺與中間網(wǎng)關(guān)設(shè)備的身份有效性和平臺完整性，實現(xiàn)移動辦公網(wǎng)絡(luò)接入的訪問控制。

Abstract： The popularity of mobile electronic devices provides effective support for the expansion of collaborative office platform. However， the open communication environment also puts forward higher requirements for the protection of office data and Intranet resources. Studying the secure network connection mechanism of mobile devices is the basis of ensuring the communication information security. This paper introduces mobile trusted module and designs a secure access protocol model under the trusted network connection architecture. By verifying the identity validity and platform integrity of mobile office platform and intermediate gateway equipment， this model achieves access control of mobile office network access.

關(guān)鍵詞：移動協(xié)同辦公平臺;移動可信模塊;可信網(wǎng)絡(luò)架構(gòu);平臺完整性

Key words： mobile collaborative office platform;mobile trusted module;trusted connection architecture;platform integrity

中圖分類號：TN92? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文獻標(biāo)識碼：A? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文章編號：1006-4311（2019）31-0231-04

0? 引言

隨著無線通信和移動信息技術(shù)的發(fā)展，將傳統(tǒng)協(xié)同辦公平臺與移動通信技術(shù)相結(jié)合，可以突破空間和時間的限制，令工作人員能夠在任何時間，任何地點訪問單位內(nèi)網(wǎng)進行工作事務(wù)處理。移動協(xié)同辦公平臺通過移動設(shè)備進入企業(yè)內(nèi)部的網(wǎng)絡(luò)服務(wù)系統(tǒng)，支持實時通信和快速決策。然而，大多數(shù)移動設(shè)備需要依托開放的網(wǎng)絡(luò)環(huán)境接入企業(yè)內(nèi)網(wǎng)，容易遭受互聯(lián)網(wǎng)中的病毒、惡意代碼等安全攻擊，如果允許受攻擊或加密能力不足的移動設(shè)備訪問企業(yè)數(shù)據(jù)資源，可能導(dǎo)致這些數(shù)據(jù)面臨丟失或被盜的風(fēng)險，對單位利益造成嚴(yán)重?fù)p害，因此研究可靠的網(wǎng)絡(luò)接入機制是保證移動辦公安全的基礎(chǔ)。傳統(tǒng)移動辦公安全機制主要關(guān)注每個網(wǎng)關(guān)或VPN設(shè)備的訪問控制和監(jiān)控功能，通過對移動客戶端進行身份驗證和接入授權(quán)確保合法用戶的安全接入[1]。如文獻[2]研究了基于密碼技術(shù)對傳輸數(shù)據(jù)進行加密保護的移動辦公安全體系，文獻[3]則利用筆跡簽名的可信性搭建了移動辦公安全認(rèn)證機制。但傳統(tǒng)方法始終沒有解決移動終端自身的安全性與可靠性認(rèn)證問題，不能判斷合法用戶是否基于可靠的操作系統(tǒng)訪問內(nèi)網(wǎng)。因此，本文考慮了在依賴可信環(huán)境的移動設(shè)備上構(gòu)建移動協(xié)同辦公平臺，利用移動終端的平臺信息度量提高移動辦公安全性[4]。

可信平臺模塊（Trusted Platform Module，TPM）是獨立于主機操作系統(tǒng)的硬件安全技術(shù)，包含平臺完整性驗證、密碼管理等安全服務(wù)以及基于應(yīng)用程序完整性驗證的訪問控制[5]。目前許多TPM產(chǎn)品已經(jīng)發(fā)布并安裝在桌面和服務(wù)器計算機上，文獻[6]中討論了基于手機智能芯片構(gòu)建可信平臺的實例，但TPM模塊主要用于PC電腦端，不適用于移動終端。可信計算集團（TCG）為了解決移動終端安全問題，于2003年發(fā)布了移動可信模塊（Mobile Trusted Module，MTM）規(guī)范。在TPM的基礎(chǔ)上，MTM將可信計算引入嵌入式系統(tǒng)，增加了一系列新命令與結(jié)構(gòu)校驗移動平臺完整性[7]。文獻[8]-[10]基于MTM服務(wù)模塊進行票據(jù)驗證、車載通信與電子政務(wù)等安全應(yīng)用程序與創(chuàng)新業(yè)務(wù)模型在移動環(huán)境中的可信應(yīng)用。

本文根據(jù)某一科研單位業(yè)務(wù)需求，搭建了移動協(xié)同辦公平臺系統(tǒng)框架。在分析該系統(tǒng)安全網(wǎng)絡(luò)機制的基礎(chǔ)上，利用包含MTM模塊的移動終端，設(shè)計了可信連接架構(gòu)（Trusted Connect Architecture，TCA）下的移動辦公平臺安全接入?yún)f(xié)議模型。該模型對可信終端與可信網(wǎng)絡(luò)進行平臺身份-平臺完整性-用戶身份的三層雙向認(rèn)證，保證訪問內(nèi)網(wǎng)資源的用戶具有合法身份和安全操作系統(tǒng)，是一種安全可靠的移動協(xié)同辦公平臺安全網(wǎng)絡(luò)接入機制。

1? 移動協(xié)同辦公平臺邏輯架構(gòu)與安全方案設(shè)計

1.1 移動辦公平臺系統(tǒng)框架設(shè)計

移動辦公自動化作為無線領(lǐng)域的一個擴展應(yīng)用，通過結(jié)合現(xiàn)代信息系統(tǒng)的優(yōu)勢，采用數(shù)字簽名、電子郵戳、用戶鑒別與移動終端等技術(shù)實現(xiàn)數(shù)字化和移動化的辦公管理。本文設(shè)計了如圖1所示的移動協(xié)同辦公平臺建設(shè)總體框架。

該平臺框架采用分層結(jié)構(gòu)，由界面表示、應(yīng)用服務(wù)與數(shù)據(jù)訪問三個層次組成。界面表示層是移動協(xié)同辦公平臺客戶端，為用戶提供協(xié)同辦公平臺訪問的統(tǒng)一入口，其功能表示主要由能動態(tài)生成HTML頁面的servlet組成。通過Web Service，應(yīng)用服務(wù)層進行業(yè)務(wù)響應(yīng)，向業(yè)務(wù)邏輯組件傳達業(yè)務(wù)需求，從而訪問相應(yīng)數(shù)據(jù)庫，服務(wù)于移動客戶端應(yīng)用程序。如圖所示，移動協(xié)同辦公平臺和單位內(nèi)部服務(wù)器中包含了財務(wù)、科研項目與個人工作事務(wù)等多種敏感數(shù)據(jù)，一旦被泄漏或篡改，單位與工作人員將遭受巨大損失。而移動辦公場景復(fù)雜多變，通信網(wǎng)絡(luò)同時具有開放性和脆弱性的特點，難以實時監(jiān)督，容易遭受未授權(quán)用戶訪問、資源泄漏、重要信息篡改等網(wǎng)絡(luò)攻擊威脅。因此研究可信的安全網(wǎng)絡(luò)接入機制有助于保護工作人員和單位內(nèi)網(wǎng)的辦公數(shù)據(jù)。

1.2 安全接入網(wǎng)絡(luò)拓?fù)湓O(shè)計

如圖2所示，移動協(xié)同辦公平臺主要通過3G/4G與無線局域網(wǎng)等公共網(wǎng)絡(luò)接入安全接入?yún)^(qū)。然后在安全服務(wù)器等安全設(shè)置的保護下對訪問用戶進行身份驗證，同時為合法授權(quán)的接入用戶提供服務(wù)接口，而網(wǎng)絡(luò)隔離區(qū)內(nèi)網(wǎng)閘設(shè)備在邊界上統(tǒng)一管理數(shù)據(jù)交互，防止移動接入網(wǎng)與企業(yè)內(nèi)網(wǎng)直接連接，對企業(yè)內(nèi)網(wǎng)資源進行了物理隔離保護，降低了敏感資源泄漏的危險性。

但傳統(tǒng)移動辦公訪問控制策略主要由基于數(shù)字簽名和CA認(rèn)證的身份驗證，缺乏對終端本身安全性和可靠性的衡量。TCA是我國GB/T 29828—2013標(biāo)準(zhǔn)所認(rèn)證的可信網(wǎng)絡(luò)連接架構(gòu)，作為可信平臺模塊（TPM、MTM等）的擴展，通過策略管理服務(wù)器集中管理訪問用戶和相關(guān)網(wǎng)絡(luò)設(shè)備的身份與平臺信息，收到移動辦公平臺服務(wù)請求后，根據(jù)評估策略驗證用戶終端和中間設(shè)備的身份合法性與平臺完整性，完成了雙向身份認(rèn)證與雙向平臺可信性鑒定[11-13]。根據(jù)移動辦公的安全需求，平臺完整性度量策略主要包含操作系統(tǒng)、防火墻、殺毒軟件等組件的版本及運行狀態(tài)評估，如果平臺被惡意篡改，不法分子很容易在偽造的平臺中獲取用戶重要信息。TCA架構(gòu)可保證訪問用戶和平臺的合法性與可靠性，對內(nèi)網(wǎng)資源進行安全保護，因此，本文研究了基于TCA安全連接架構(gòu)的移動辦公安全機制，該連接方案中認(rèn)為移動辦公平臺所在終端與安全網(wǎng)關(guān)等設(shè)備具有包含MTM服務(wù)的智能芯片[14]。圖2由圖3模型簡化表示如下。

如圖所示，TCA采用三元對等實體鑒別機制，連接架構(gòu)分別包含訪問請求者AR、訪問控制器AC和策略管理器PM等三個實體。AR是為建立安全可靠的網(wǎng)絡(luò)連接進行訪問請求的實體;NR根據(jù)PM的訪問策略可以控制AR的訪問請求;PM作為可信第三方在身份認(rèn)證和完整性度量過程中對AR的網(wǎng)絡(luò)訪問請求執(zhí)行預(yù)授權(quán)和持續(xù)授權(quán)。在移動辦公平臺網(wǎng)絡(luò)接入過程中，認(rèn)為移動終端是訪問請求者，防火墻等設(shè)備是訪問控制者，安全服務(wù)器是策略管理器。

在網(wǎng)絡(luò)連接前，TNCC、TNCAP與EPS分別對上端完整性收集者IMC和完整性校驗者IMV進行初始化，當(dāng)用戶嘗試辦公或辦公平臺需要發(fā)送通知公告時，觸發(fā)網(wǎng)絡(luò)連接請求，AR的網(wǎng)絡(luò)訪問請求者NAR向AC中的網(wǎng)絡(luò)訪問控制NAC發(fā)送連接請求;NAC收到連接請求后，與NAR和EPS進行AC、AR間的雙向用戶身份驗證;NAR和NAC向上端TNCC與TNCAP發(fā)送平臺鑒別請求，TNCAP與TNCC、EPS執(zhí)行一輪或多輪平臺鑒別協(xié)議，從而完成AR與AC間的平臺鑒別;EPS則根據(jù)評估策略得到AR和AC的平臺完整性報告，并將其返回TNCC和TNCAP生成訪問策略（禁止/隔離/允許），再發(fā)送至NAR與NAC;根據(jù)用戶和平臺完整性評估生成的訪問策略，NAR決定是否接入網(wǎng)絡(luò)，NAC決定是否允許AR接入網(wǎng)絡(luò)，從而實現(xiàn)可信平臺的安全接入。其中IF-IM，IF-IMC，IF-IMV，IF-TNCCAP，IF-EPS，IF-TNT與IF-APS代表連接節(jié)點間的接口，定義節(jié)點間的信息傳輸協(xié)議。

綜上所述，本文研究的移動協(xié)同辦公平臺安全接入機制根據(jù)所需的安全標(biāo)準(zhǔn)度量訪問客戶端與相關(guān)網(wǎng)絡(luò)設(shè)備的平臺完整性，對不同的訪問請求生成對應(yīng)的訪問策略，拒絕不安全訪問接入內(nèi)網(wǎng)，允許安全可靠的用戶訪問企業(yè)內(nèi)網(wǎng)資源，或隔離訪問客戶端以彌補各種安全漏洞，從而實現(xiàn)移動辦公平臺的訪問控制。

2? 移動協(xié)同辦公平臺的接入?yún)f(xié)議模型設(shè)計

根據(jù)上文所述，TCA安全連接架構(gòu)下，安全服務(wù)管理器通過衡量移動辦公平臺的身份可信性和平臺完整性，生成對對應(yīng)網(wǎng)絡(luò)訪問策略，從而提高了移動環(huán)境中辦公的安全性。但移動辦公平臺終端需通過安全網(wǎng)關(guān)等設(shè)備發(fā)送自身的用戶身份與平臺完整性信息，如果中間設(shè)備受到網(wǎng)絡(luò)攻擊，用戶賬號及平臺配置等數(shù)據(jù)易相互泄漏[12]，因此，本文設(shè)計了基于平臺身份-平臺完整性-用戶身份三層雙向認(rèn)證的安全接入?yún)f(xié)議，在確定平臺身份可信的基礎(chǔ)上，通過密鑰協(xié)商得到AR與PM，AC與PM間不同的通信密鑰，利用通信密鑰進行平臺完整性認(rèn)證和用戶身份認(rèn)證，為敏感信息保護提供有效支撐。移動辦公平臺終端的接入?yún)f(xié)議具體模型如圖4所示。

①用戶需要登錄移動協(xié)同辦公平臺辦理公務(wù)時，AR向AC發(fā)送平臺公鑰CertAB、MTM模塊生成的時間戳TAR以及服務(wù)請求：

②AC收到AR的連接請求與公鑰信息后，同樣利用MTM模塊生成時間戳TAC，將自己的用戶公鑰CertAC與TAC發(fā)送到PM端：

③PM收到AC的訪問請求后，分別提取并驗證CertAR和CertAC的合法性。根據(jù)檢驗結(jié)論，PM生成RAC和RAR代表的身份報告，然后對RAC、RAR進行私鑰加密PK。PM向AC返回PM的公鑰證書，加密RAC、RAR與時間戳TPM：

④AC收到PM的返回信息后，提取并驗證。若驗證不通過，斷開網(wǎng)絡(luò)連接;驗證通過，則利用PM公鑰PkPM解密加密信息獲得RAR。如果RAR顯示AR平臺身份無效，AC斷開網(wǎng)絡(luò)連接，否則：

⑤AR根據(jù)PM公鑰提取RAC信息，若AC平臺驗證合法，則開始密鑰協(xié)商階段;

⑥通過MTM模塊隨機信號發(fā)生器，AR可獲得隨機數(shù)NonceR。AR依次用PM公鑰與自己的私鑰對NonceR進行加密，然后加密隨機數(shù)發(fā)送至AC：

⑦AC處MTM模塊生成隨機數(shù)NonceC，AC依次用PM公鑰與自己的私鑰加密NonceC，然后將收到的AR信息與加密隨機數(shù)同時發(fā)送至PM：

⑧PM收到協(xié)商請求后，分別利用AC和AR的公鑰與自己的私鑰共同提取隨機數(shù)NonceC和NonceR，提取成功PM則生成隨機數(shù)NonceP，根據(jù)隨機數(shù)生成與AR的通信密鑰PKPR及與AC的通信密鑰PKPC。并對NonceC與NonceP、NonceR與NonceP分開進行單向散列函數(shù)計算，得到哈希值HPC與HPR。PM對HPR、NonceP和HPC進行簽名后，返回AC：

⑨AC提取接收信息中的NonceP與HPC，并計算NonceP和本地NonceC的哈希值，通過與HPC對比驗證PM與AC的信息一致性，驗證通過，則生成通信密鑰PKPC，將其余信息發(fā)送至AR：

⑩同步驟9 相似，若驗證信息通過，AR生成通信密鑰PKPR;

{11}密鑰協(xié)商完成后，根據(jù)完整性度量策略，AR和AC利用MTM模塊分別收集自己的平臺信息MAR與MAC，將其進行通信密鑰簽名后發(fā)送至PM：

{12}PM解密接收信息后，根據(jù)評估策略與MAR、MAC驗證AC、AR的平臺完整性，并生成驗證結(jié)果ReAC與ReAR。通過通信密鑰簽名后，將驗證結(jié)果返回AC與AR：

{13}根據(jù)平臺完整性的驗證結(jié)果，AC與AR判斷是否需要斷開網(wǎng)絡(luò)連接，驗證成功則啟動用戶身份認(rèn)證過程：

{14}若用戶身份認(rèn)證成功，移動用戶可安全訪問企業(yè)內(nèi)網(wǎng)資源。

接入過程中，該協(xié)議模型通過計算接收時間戳T與當(dāng)前時間之差是否超過60s判斷請求合法性，若時間差大于60s，認(rèn)為該請求是非法請求，斷開網(wǎng)絡(luò)連接，避免網(wǎng)絡(luò)重放攻擊。

3? 結(jié)論

移動協(xié)同辦公平臺令辦公人員能夠在任意環(huán)境中與工作單位進行實時信息交互，提高了工作效率與單位的快速管理決策能力。考慮到開放的網(wǎng)絡(luò)環(huán)境不利于個人與單位內(nèi)網(wǎng)的敏感數(shù)據(jù)保護，本文通過引入移動可信模塊，設(shè)計了基于可信網(wǎng)絡(luò)連接架構(gòu)的安全網(wǎng)絡(luò)接入?yún)f(xié)議模型。該協(xié)議模型在保證辦公系統(tǒng)終端與中間網(wǎng)絡(luò)設(shè)備平臺身份可信的基礎(chǔ)上，度量用戶身份合法性與平臺完整性，能夠避免用戶身份與平臺配置信息的泄漏。相較于傳統(tǒng)的移動辦公平臺接入方式，本文研究的安全協(xié)議增加了平臺完整性驗證過程，是更為安全可靠的移動辦公安全機制設(shè)計方案。

參考文獻：

[1]劉延芳，徐靜.基于Web Services稅務(wù)移動辦公平臺的設(shè)計[J].貴陽學(xué)院學(xué)報（自然科學(xué)版），2018，13（01）：24-27，32.

[2]任飛，宋濤，任靖.基于密碼的移動辦公安全能力體系構(gòu)建[J].信息安全與通信保密，2018（05）：70-75.

[3]李承林，駱亮.基于原筆跡簽批的移動安全綜合政務(wù)協(xié)同云平臺研究與實現(xiàn)[J].通信技術(shù)，2018，51（04）：958-962.

[4]Bouzefrane S ， Thinh L V . Trusted Platforms to Secure Mobile Cloud Computing.[C]// High Performance Computing & Communications， IEEE Intl Symp on Cyberspace Safety & Security， IEEE Intl Conf on Embedded Software & Syst. IEEE， 2015.

[5]Schmidt A U ， Kuntze N ， Kasper M . On the Deployment of Mobile Trusted Modules[J]. Computer Science， 2007：3169-3174.

[6]Chengdu. Trusted Computing Based User Authentication for Mobile Equipment[J]. Chinese Journal of Computers， 2006， 29（8）：1255-1264.

[7]Kai， Xin， Guo. The Secure Boot of Embedded System Based on Mobile Trusted Module[C]// Second International Conference on Intelligent System Design & Engineering Application. IEEE， 2012.

[8]張晶.基于MTM的車載通信系統(tǒng)安全性研究與實現(xiàn)[D].吉林大學(xué)，2010.

[9]Kuntze N ， Schmidt A U . Trusted Ticket Systems and Applications[J]. Ifip International Federation for Information Processing， 2007， 232（3）：49-60.

[10]李曉明，劉芳，侯剛.基于可信網(wǎng)絡(luò)連接（TNC）的電子政務(wù)網(wǎng)絡(luò)安全接入架構(gòu)研究[J].計算機安全，2013（07）：81-85.

[11]李國琴.TNC在等級保護中的應(yīng)用研究[J].信息網(wǎng)絡(luò)安全，2012（04）：89-93.

[12]李明，李琴，張國強，顏湘.可信網(wǎng)絡(luò)連接架構(gòu)TCA的實現(xiàn)及其應(yīng)用[J].信息安全研究，2017，3（04）：332-338.

[13]高麗.可信連接網(wǎng)絡(luò)認(rèn)證與評估協(xié)議研究[D].解放軍信息工程大學(xué)，2011.

[14]楊健，汪海航，F(xiàn)ui Fui Wong，于皓.一個面向智能電話的移動可信平臺設(shè)計[J].計算機科學(xué)，2012，39（08）：20-25.