南方電網(wǎng)數(shù)字電網(wǎng)研究院有限公司 陳禹旭 任昊文 黃焯恒

為解決傳統(tǒng)基于TrustZone接入方法在應(yīng)用到企業(yè)移動(dòng)網(wǎng)絡(luò)中存在接入時(shí)間消耗量大的問題,開展基于云計(jì)算的企業(yè)移動(dòng)安全接入研究。通過企業(yè)移動(dòng)信息數(shù)據(jù)可信度量、基于云計(jì)算的可信接入安全協(xié)議制定、企業(yè)移動(dòng)安全接入控制與安全傳輸,提出一種全新接入方法。通過實(shí)驗(yàn)證明,新的接入方法接入效率更高,可實(shí)現(xiàn)企業(yè)移動(dòng)網(wǎng)絡(luò)快速傳輸。

0 引言

云計(jì)算技術(shù)是指在移動(dòng)終端設(shè)備的支撐下,通過移動(dòng)應(yīng)用服務(wù)的方式,將處理的數(shù)據(jù)與存儲(chǔ)的數(shù)據(jù),以一種外包的方式調(diào)度給終端的綜合性技術(shù),通過此項(xiàng)技術(shù),可以降低設(shè)備移動(dòng)接入的資源,并在一定程度上減少操作端的開銷。相比傳統(tǒng)的PC技術(shù),云計(jì)算給予用戶的服務(wù)可以表現(xiàn)為“軟件即是服務(wù)”,因此,用戶在調(diào)用資源時(shí),可直接使用手機(jī)等智能終端設(shè)備,開啟遠(yuǎn)程服務(wù)的方式,對(duì)前端發(fā)出指令[1]。但伴隨著技術(shù)的普及化與生活化,企業(yè)移動(dòng)終端也面臨著一系列的安全問題,這些問題中除了涉及傳統(tǒng)云空間存在的問題之外,還出現(xiàn)了用戶個(gè)人信息、企業(yè)商業(yè)隱私信息被泄露的問題,這些問題均在某種層面上反映了我國云計(jì)算技術(shù)在應(yīng)用中仍存在一些不足或漏洞[2]。

1 基于云計(jì)算的企業(yè)移動(dòng)安全接入方法設(shè)計(jì)

1.1 企業(yè)移動(dòng)信息數(shù)據(jù)可信度量

為確保企業(yè)移動(dòng)通信數(shù)據(jù)在接入到企業(yè)網(wǎng)絡(luò)當(dāng)中時(shí)做到有據(jù)可依,首先針對(duì)企業(yè)移動(dòng)網(wǎng)絡(luò)在運(yùn)行過程中需要接入的各類信息數(shù)據(jù)進(jìn)行安全性驗(yàn)證,并完成可信度量,從而實(shí)現(xiàn)對(duì)移動(dòng)信息數(shù)據(jù)安全性的量化評(píng)價(jià)。如圖1所示企業(yè)移動(dòng)信息數(shù)據(jù)可信度量流程示意圖。

圖1 為企業(yè)移動(dòng)信息數(shù)據(jù)可信度量流程示意圖Fig.1 Schematic diagram of the credibility measurement process of enterprise mobile information data

按照?qǐng)D1所示內(nèi)容,首先在企業(yè)移動(dòng)網(wǎng)絡(luò)當(dāng)中建立可信根,并引入度量機(jī)制,構(gòu)建一個(gè)從企業(yè)移動(dòng)網(wǎng)絡(luò)底層可信根到上層應(yīng)用的完整信任鏈,并對(duì)企業(yè)移動(dòng)網(wǎng)絡(luò)環(huán)境中運(yùn)行的各類應(yīng)用服務(wù)提供安全保護(hù)。在度量的過程中,必須確保度量起點(diǎn)本身具備絕對(duì)的可信[3]。當(dāng)企業(yè)移動(dòng)網(wǎng)絡(luò)開始運(yùn)行后,信任鏈傳遞的執(zhí)行任務(wù)首先通過BIOS構(gòu)成一個(gè)完整的信任鏈,并在企業(yè)移動(dòng)網(wǎng)絡(luò)引導(dǎo)代碼可信驗(yàn)證之前,在BIOS當(dāng)中執(zhí)行核心信任度量根,同時(shí)將BIOS度量結(jié)果傳輸?shù)耐暾灾荡嬖赥PM當(dāng)中,以此完成對(duì)企業(yè)移動(dòng)信息數(shù)據(jù)的可信度量。

1.2 基于云計(jì)算的可信接入安全協(xié)議制定

現(xiàn)有企業(yè)移動(dòng)網(wǎng)絡(luò)運(yùn)行環(huán)境當(dāng)中,安全協(xié)議在移動(dòng)信息數(shù)據(jù)安全性方面無法滿足終端用戶的接入需要。因此,針對(duì)這一問題,在實(shí)現(xiàn)對(duì)企業(yè)移動(dòng)信息數(shù)據(jù)的可信度量后,利用云計(jì)算技術(shù),構(gòu)建在云環(huán)境當(dāng)中的可信接入認(rèn)證協(xié)議,即可新接入安全協(xié)議[4]。在該協(xié)議當(dāng)中引入三個(gè)階段,分別為用戶賬號(hào)注冊(cè)階段、登錄階段和安全認(rèn)證階段,其具體步驟為:

(1)用戶賬號(hào)注冊(cè)階段。用戶生成隨機(jī)數(shù)x,并將x與其對(duì)應(yīng)ID傳送到企業(yè)移動(dòng)網(wǎng)絡(luò)的運(yùn)行服務(wù)器當(dāng)中;通過服務(wù)器實(shí)現(xiàn)對(duì)傳送信息的檢查,并判斷傳送信息是否都存在與ID(new)當(dāng)中,若存在則直接重新注冊(cè);直到用戶傳送的ID不在ID(new)當(dāng)中時(shí)則由服務(wù)器將相應(yīng)的傳送信息存儲(chǔ)在智能卡當(dāng)中。

(2)登錄階段。由用戶手動(dòng)插入智能卡,并輸入相應(yīng)的ID和密碼,用戶可在登錄的過程中,由服務(wù)器完成公式(1)所示計(jì)算內(nèi)容:

公式(1)中,J表示為服務(wù)器生成的隨機(jī)數(shù);h表示為安全協(xié)議條件閾值;pw表示為用戶賬號(hào)密碼數(shù)據(jù)。根據(jù)上述公式計(jì)算,當(dāng)計(jì)算得出的結(jié)果J=1時(shí),則允許該用戶登錄到企業(yè)移動(dòng)網(wǎng)絡(luò)環(huán)境當(dāng)中,并進(jìn)行后續(xù)接入操作;若得出的結(jié)果J≠1時(shí),則終止該用戶登錄。

(3)安全認(rèn)證階段。在確定用戶賬號(hào)登錄信息后,為了確保接入安全性,需要對(duì)用戶賬號(hào)的身份信息進(jìn)行安全認(rèn)證。利用云計(jì)算的時(shí)間戳,檢測是否滿足如下公式(2):

公式(2)中,T'表示為時(shí)間戳;T表示為用戶登錄到企業(yè)移動(dòng)網(wǎng)絡(luò)當(dāng)中的實(shí)際登錄時(shí)間;VT表示為身份信息安全認(rèn)證的最大時(shí)間間隔。若滿足上述條件,則認(rèn)為該用戶的賬號(hào)身份信息通過安全認(rèn)證,可以實(shí)現(xiàn)接入;若不滿足上述條件,則立刻終止會(huì)話,禁止該用戶通過該賬號(hào)訪問企業(yè)移動(dòng)網(wǎng)絡(luò),并且禁止其一切接入行為。

1.3 企業(yè)移動(dòng)安全接入控制與安全傳輸

企業(yè)移動(dòng)安全接入控制與安全傳輸是確保企業(yè)移動(dòng)安全的核心,只有通過有效的接入控制手段,才能夠確保用戶接入過程中信息傳輸?shù)陌踩?。針?duì)上述基于云計(jì)算的可信接入安全協(xié)議,將其與IPSec協(xié)議進(jìn)行一體化設(shè)計(jì),采用兩種協(xié)議相結(jié)合的方式完成安全傳輸,其中IPSec協(xié)議主要應(yīng)用在網(wǎng)絡(luò)移動(dòng)環(huán)境的網(wǎng)絡(luò)層當(dāng)中,而可信接入安全協(xié)議應(yīng)用在網(wǎng)絡(luò)傳輸層和應(yīng)用層之間[5]。在用戶安全接入傳輸時(shí),通過各類安全設(shè)備的引入,實(shí)現(xiàn)網(wǎng)絡(luò)及防火墻,并充分利用防火墻的NAT功能,構(gòu)建一個(gè)全新的企業(yè)移動(dòng)接入網(wǎng)絡(luò),進(jìn)一步提高網(wǎng)絡(luò)的自適應(yīng)性和與其他網(wǎng)絡(luò)連接的靈活性。在用戶接入過程中,可通過引入第三方接入服務(wù)平臺(tái)的方式,為企業(yè)移動(dòng)用戶提供更高水平的認(rèn)證服務(wù),將其部署在企業(yè)移動(dòng)內(nèi)部網(wǎng)絡(luò)當(dāng)中,并利用ethl鏈實(shí)現(xiàn)連接,并由網(wǎng)關(guān)為其提供映射公網(wǎng)地址,使電放接入服務(wù)平臺(tái)能夠在公網(wǎng)當(dāng)中對(duì)企業(yè)移動(dòng)內(nèi)部網(wǎng)絡(luò)提供安全傳輸服務(wù)保障,并且不會(huì)出現(xiàn)第三方服務(wù)平臺(tái)出現(xiàn)異常運(yùn)行現(xiàn)象對(duì)企業(yè)移動(dòng)內(nèi)網(wǎng)造成影響的問題,實(shí)現(xiàn)企業(yè)移動(dòng)的安全接入。

2 實(shí)驗(yàn)論證分析

為實(shí)現(xiàn)對(duì)本文提出的基于云計(jì)算的企業(yè)移動(dòng)安全接入方法在實(shí)際應(yīng)用中能夠有效解決傳統(tǒng)基于TrustZone接入方法存在問題的進(jìn)一步驗(yàn)證,本文將兩種接入方法同時(shí)應(yīng)用到同一企業(yè)移動(dòng)網(wǎng)絡(luò)環(huán)境當(dāng)中,開展如下對(duì)比實(shí)驗(yàn)。為了更加清晰地對(duì)兩種接入方法性能對(duì)比,選擇將接入過程中各個(gè)操作的時(shí)間消耗作為評(píng)價(jià)指標(biāo),在不考慮移動(dòng)請(qǐng)求和相應(yīng)消息具體服務(wù)命令的情況下,取接入環(huán)節(jié)中不同操作100次運(yùn)行平均時(shí)間消耗值,構(gòu)建如表1所示兩種接入方法時(shí)間消耗情況對(duì)比表。

表1 兩種接入方法時(shí)間消耗情況對(duì)比表Tab.1 Comparison table of time consumption of two access methods

結(jié)合兩種接入方法時(shí)間消耗情況對(duì)比結(jié)果得出,在五種不同操作內(nèi)容中,基于云計(jì)算的接入方法明顯時(shí)間消耗更短,而TrustZone接入方法時(shí)間消耗最高達(dá)到了1.264,嚴(yán)重影響企業(yè)移動(dòng)網(wǎng)絡(luò)的運(yùn)行。因此,通過實(shí)驗(yàn)證明本文引入云計(jì)算后的企業(yè)移動(dòng)安全接入方法能夠在保證安全性的前提條件下,實(shí)現(xiàn)快速接入。

3 結(jié)語

在云計(jì)算技術(shù)的支撐下,社會(huì)發(fā)展走向了一個(gè)新的階段,與此同時(shí),與云計(jì)算相關(guān)的市場衍生產(chǎn)物正影響著人們的日常生活。此項(xiàng)技術(shù)為企業(yè)辦公與人們?nèi)粘Ｉ顜肀憷麠l件的同時(shí),也為企業(yè)安全建設(shè)提出了新的挑戰(zhàn)。為了解決問題,本文深入到對(duì)云計(jì)算的研究中,并基于云計(jì)算技術(shù)的應(yīng)用,設(shè)計(jì)一種針對(duì)企業(yè)的移動(dòng)安全接入方法,并在完成對(duì)方法的設(shè)計(jì)后,通過實(shí)驗(yàn)論證的方式,證明了設(shè)計(jì)的方法真實(shí)有效,致力于通過此種方式,為企業(yè)信息化建設(shè)工作的實(shí)施提供技術(shù)支撐。

引用

[1] 王峰,李興華,夏緒衛(wèi),等.基于改進(jìn)CPK的電網(wǎng)終端安全接入認(rèn)證技術(shù)研究[J].自動(dòng)化技術(shù)與應(yīng)用,2021,40(5):57-62.

[2] 王文溥,李艷玲,趙曉麗.鐵路移動(dòng)互聯(lián)網(wǎng)安全接入技術(shù)方案研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2021(3):74-76.

[3] 楊世欣.一種基于PMIPv6的移動(dòng)接入網(wǎng)關(guān)安全提升方案[J].單片機(jī)與嵌入式系統(tǒng)應(yīng)用,2019,19(6):25-27.

[4] 官麗,焦陽,張彩霞,等.電力監(jiān)控系統(tǒng)無線接入安全風(fēng)險(xiǎn)的模糊評(píng)估方法研究[J].能源與環(huán)保,2021,43(6):163-167.

[5] 雷霞.寬帶無線IP系統(tǒng)移動(dòng)終端的安全接入技術(shù)探析構(gòu)建[J].衛(wèi)星電視與寬帶多媒體,2020(5):52-53.