曾 勇，馬 睿，汪 超，王營杰，夏海斌，虞 江

（1.中國電科網絡安全科技股份有限公司，四川 成都 610041；2.中國人民解放軍聯(lián)勤保障部隊，湖北 武漢 430010；3.中國人民解放軍93501 部隊，北京 100061）

0 引言

移動辦公越來越得到企事業(yè)單位的重視，已成為現(xiàn)代辦公的一種重要手段。但移動辦公面臨著假冒身份、非法接入、越權訪問以及信息泄密等安全風險，直接威脅移動辦公業(yè)務和數(shù)據的安全。傳統(tǒng)的安全解決辦法是以移動辦公系統(tǒng)為中心，在企業(yè)邊界上設置隔離認證區(qū)進行認證與訪問控制，把具有內、外網互聯(lián)需求的網絡劃分為內部網絡和外部網絡，認定內網是可信域[1]。隨著移動通信網絡的高速發(fā)展、移動智能終端性能的迅速提高和移動辦公技術的不斷更新，現(xiàn)代移動辦公與傳統(tǒng)移動辦公相比，出現(xiàn)了許多新的特點，主要表現(xiàn)在以下幾個方面：

一是由固定方式向移動化的辦公方式的改變[2]，參與者從企業(yè)內部人員向企業(yè)外部協(xié)作人員外延，辦公系統(tǒng)的業(yè)務和數(shù)據逐步向云上遷移，導致移動辦公已打破傳統(tǒng)的企業(yè)物理邊界。

二是來自企業(yè)外部，特別是以零日攻擊（Zero Day,0Day）、高級長期威脅（Advanced Persistent Threat，APT）為代表的高級攻擊防不勝防。

三是企業(yè)內部缺乏足夠的安全訪問控制，往往因為非授權訪問、員工犯錯等原因，導致“合法用戶”可以越權訪問特定的業(yè)務和數(shù)據資源。

因此，現(xiàn)代的移動辦公網絡邊界已被打破，傳統(tǒng)的安全解決辦法已不再適用于現(xiàn)代移動辦公的安全需要。2010 年，John Kindervag 提出了零信任網絡的概念，其能夠在不依賴網絡傳輸層物理安全機制的前提下，有效保護網絡通信和業(yè)務訪問[3]。零信任網絡的宗旨是不再自動信任網絡內部和外部的任何人、事、物，在授權前對人、事、物都需要進行驗證[4]，采取以用戶身份為中心，先認證后連接、動態(tài)授權和信息加密傳輸?shù)陌踩O計，實現(xiàn)網絡通信和業(yè)務訪問安全。零信任網絡可有效解決基于網絡邊界防護的安全架構失效問題[5]，業(yè)界研究人員也進行了大量的研究工作[6-10]。本文基于零信任網絡架構，研究適合移動辦公系統(tǒng)的身份認證及訪問控制機制，解決現(xiàn)代移動辦公系統(tǒng)中業(yè)務訪問面臨的安全問題。

1 零信任網絡

1.1 架構模型

零信任網絡架構模型分為控制平面和數(shù)據平面[1-2]，如圖1 所示。

1.1.1 控制平面

控制平面包括多源輸入和策略判定。多源輸入包括身份管理系統(tǒng)、設備管理系統(tǒng)、安全管理系統(tǒng)、監(jiān)測系統(tǒng)、風險分析、數(shù)據訪問策略和證書系統(tǒng)等，策略判定包括策略引擎和控制引擎。多源輸入為內嵌在控制平面內的信任評估算法提供輸入參數(shù)，策略引擎獲得信任評估算法評估結果并生成訪問策略，控制引擎提供訪問數(shù)據平面的控制權。

1.1.2 數(shù)據平面

數(shù)據平面包括用戶終端、安全代理和業(yè)務應用。用戶終端作為用戶訪問業(yè)務應用的操作平臺，業(yè)務應用的系統(tǒng)、數(shù)據等資源集中部署于業(yè)務應用服務器，安全代理部署在用戶終端與業(yè)務應用之間，為用戶訪問業(yè)務應用提供代理服務。

1.2 技術原理

零信任網絡打破現(xiàn)有網絡安全防護對內部網絡信任的理念，默認內部網絡與外部網絡一樣，都是不可信任和不安全的，對網絡中的任何人、任何設備、任何系統(tǒng)、任何應用進行的任何連接，都需要進行認證和根據當前狀態(tài)動態(tài)授權，實現(xiàn)訪問控制。從以系統(tǒng)為中心的安全防護轉變?yōu)橐陨矸轂橹行牡陌踩雷o，對業(yè)務的訪問把現(xiàn)有的先連接后認證模式轉變?yōu)橄日J證后連接的新模式，即所有設備、用戶和應用的業(yè)務訪問都采用認證、授權和加密傳輸。具體實施原理如下：控制平面的信任評估算法利用多源輸入信息，計算獲得用戶的信任評估值和生成訪問策略；控制引擎根據策略引擎獲得的信任評估值和訪問策略，判定用戶是否可以訪問數(shù)據平面，并通知數(shù)據平面的安全代理；安全代理開啟用戶終端訪問業(yè)務應用的通道，用戶終端利用開啟的通道實現(xiàn)業(yè)務應用的訪問。

2 安全訪問機制

2.1 系統(tǒng)組成

移動辦公系統(tǒng)組成如圖2 所示，由終端區(qū)、安全控制區(qū)和辦公業(yè)務區(qū)組成，終端區(qū)包含手機、平板和筆記本電腦等各類移動終端設備，移動終端設備安裝有終端安全套件，終端安全套件可為移動終端提供安全保密服務，利用4G/5G/Wi-Fi 等無線網絡借助互聯(lián)網接入安全控制區(qū)，通過安全控制區(qū)實現(xiàn)對辦公業(yè)務區(qū)的訪問。其中，安全控制區(qū)包含動態(tài)信任評估系統(tǒng)、安全網關等設備，辦公業(yè)務區(qū)包含各類辦公應用服務器等設備。

圖2 移動辦公系統(tǒng)組成

2.2 工作原理

（1）移動終端通過系統(tǒng)注冊時約定的“敲門端口”，與動態(tài)信任評估系統(tǒng)之間建立連接，發(fā)送認證申請（簽名）給動態(tài)信任評估系統(tǒng)。

（2）動態(tài)信任評估系統(tǒng)，基于簽名和驗簽機制，對移動終端發(fā)送的認證申請簽名進行驗簽，辨識移動終端的身份合法性，從而實現(xiàn)身份認證。在認證過程中，基于移動終端的安全屬性、設備屬性等進行新一輪的信任評估，評估結果若不能達到信任評估要求，則動態(tài)信任評估系統(tǒng)就不能通過對移動終端的身份認證，按“放棄且不回應”原則丟棄移動終端的認證申請。

（3）通過身份認證的移動終端，由動態(tài)信任評估系統(tǒng)生成認證令牌和訪問控制安全策略（按需授權），同時分配一個安全網關的端口，移動終端通過該端口可與安全網關連接通信。一方面，動態(tài)信任評估系統(tǒng)把這些信息發(fā)送給安全網關；另一方面，動態(tài)信任評估系統(tǒng)對這些信息簽名，作為移動終端認證申請的響應信息，并反饋給移動終端。

（4）安全網關接收到動態(tài)信任評估系統(tǒng)發(fā)送的信息后，打開分配的安全網關端口（超時自動關閉），等待移動終端連接訪問。

（5）移動終端接收動態(tài)信任評估系統(tǒng)反饋的信息后，基于簽名和驗簽機制，對動態(tài)信任評估系統(tǒng)反饋的認證申請響應信息的簽名進行驗簽，辨識動態(tài)信任評估系統(tǒng)的身份合法性，從而實現(xiàn)身份認證；根據認證令牌、訪問控制安全策略和擬訪問辦公業(yè)務區(qū)的資源信息，生成訪問計劃；利用分配的安全網關的端口與安全網關建立連接，發(fā)送訪問計劃（簽名）給安全網關。

（6）安全網關利用認證令牌完成對移動終端的身份驗證，不能通過身份認證時，按“放棄且不回應”原則，不給移動終端反饋信息；通過認證后，給移動終端分配訪問辦公應用的地址及端口，生成訪問計劃的應答信息（簽名），并反饋給移動終端。

（7）移動終端接收安全網關反饋信息后，基于簽名和驗簽機制，對安全網關反饋的訪問計劃的應答信息的簽名進行驗簽，辨識安全網關的身份合法性，從而實現(xiàn)身份認證，同時獲得訪問辦公應用的地址及端口。

（8）移動終端借助安全網關，利用訪問辦公應用的地址及端口等信息與辦公業(yè)務區(qū)的辦公應用建立安全通道，實現(xiàn)對辦公應用的資源訪問。

2.3 安全訪問機制設計

基于零信任網絡架構進行安全訪問機制設計，主要體現(xiàn)在如下幾個方面：

（1）采用先認證后連接的安全策略。在移動終端與辦公應用之間建立訪問連接前，移動終端需通過動態(tài)信任評估系統(tǒng)、安全網關的兩次身份認證，認證通過方能建立訪問連接，否則無法連接辦公應用。移動終端與動態(tài)信任評估系統(tǒng)、安全網關之間采用雙向認證機制，實現(xiàn)身份的互 認證。

（2）建立動態(tài)信任評估機制[1]，實行動態(tài)授權。動態(tài)信任評估系統(tǒng)利用信任評估算法，根據移動終端當前包括的用戶信息、位置、設備狀態(tài)、訪問信息、用戶行為等安全屬性和設備屬性，對移動終端信任值進行動態(tài)評估，實時調整移動終端的訪問控制安全策略，實現(xiàn)對移動終端的動態(tài)授權。信任評估算法計算獲得新的信任值，與對應基準值（動態(tài)變化）進行比較，結合所要訪問業(yè)務應用的屬性進行最終的判斷，確定用戶終端是否可以訪問辦公 應用。

（3）系統(tǒng)資源采用隱身機制，構建多重防線。移動終端與辦公應用之間建立三重防線。移動終端只有知道“敲門端口”才能訪問動態(tài)信任評估系統(tǒng)，構建第一重防線；移動終端只有知道動態(tài)信任評估系統(tǒng)分配的安全網關端口才能連接訪問安全網關，構建第二重防線；移動終端只有知道安全網關分配的辦公應用地址及端口才能訪問辦公應用，構建第三重防線。

（4）基于密碼技術，交互信息加密傳輸。移動終端與動態(tài)信任評估系統(tǒng)、安全網關之間交互的信息，包括認證、管理及安全屬性、設備屬性等，采用非對稱密碼機制對信息進行加密傳輸；移動終端與辦公應用之間基于安全套接字層協(xié)議（Security Socket Layer,SSL）構建虛擬專用網絡（Virtual Private Network，VPN），并建立遠程安全訪問通道SSL-VPN，進行信息加密傳輸，實現(xiàn)數(shù)據機密性、完整性保護和數(shù)據來源可認證性保護，確保數(shù)據傳輸安全。

3 實施方案

移動辦公系統(tǒng)工作流程分為設備配置和注冊、認證和授權及業(yè)務訪問控制三個階段。

3.1 設備配置和注冊

移動終端、動態(tài)信任評估系統(tǒng)和安全網關之間的身份認證和交互信息，需要采用非對稱密碼體制實現(xiàn)信息的加密傳輸，因此在系統(tǒng)建設部署時，可通過安全渠道對移動終端、動態(tài)信任評估系統(tǒng)、安全網關進行公鑰/私鑰對的設置以及對方公鑰設置，并且動態(tài)信任評估系統(tǒng)需要對管理的移動終端和安全網關進行注冊，注冊信息包括設備ID 號、用戶信息、用戶終端狀態(tài)、用戶與用戶終端綁定關系、用戶“敲門端口”號、根據用戶終端認證請求信息進行初次信任評估的評估值等。

3.2 認證和授權

設備配置和注冊后，移動終端與動態(tài)信任評估系統(tǒng)之間進行身份互認，并由動態(tài)信任評估系統(tǒng)定制移動終端的訪問控制安全策略，認證和授權流程如圖3 所示。

圖3 認證和授權流程

（1）身份認證。移動終端與動態(tài)信任評估系統(tǒng)之間，通過對對方的簽名進行驗簽，實現(xiàn)彼此的身份認證。

（2）隱身動態(tài)信任評估系統(tǒng)。動態(tài)信任評估系統(tǒng)訪問端口處于“關閉”狀態(tài)，用戶終端只有通過“敲門端口”才能與動態(tài)信任評估系統(tǒng)建立連接，丟棄不回應無效訪問信息包數(shù)據。

（3）動態(tài)信任評估。動態(tài)信任評估系統(tǒng)根據移動終端當前安全狀態(tài)信息，利用信任評估算法重新評估移動終端的信任值，根據評估值最終確定是否通過身份驗證，并生成移動終端訪問辦公應用的訪問控制安全策略。

（4）數(shù)據加密傳輸。移動終端與動態(tài)信任評估系統(tǒng)、動態(tài)信任評估系統(tǒng)與安全網關之間的數(shù)據傳輸，利用對方的公鑰對發(fā)送數(shù)據加密，利用己方的私鑰對接收數(shù)據解密，實現(xiàn)彼此之間交互數(shù)據安全傳輸。

3.3 業(yè)務訪問控制

在完成移動終端認證和授權的基礎上，移動終端與安全網關進行身份認證，并從安全網關獲得訪問辦公應用的地址及端口，最終實現(xiàn)業(yè)務訪問，業(yè)務訪問控制流程如圖4 所示。

圖4 業(yè)務訪問控制流程

（1）身份認證。利用用戶終端的訪問令牌信息，實現(xiàn)安全訪問網關對移動終端的身份認證；通過對安全網關的簽名進行驗簽，實現(xiàn)用戶終端對安全網關的身份認證。

（2）隱身安全網關?！瓣P閉”安全網關訪問端口，用戶終端只能通過認證和授權過程中由動態(tài)信任評估系統(tǒng)分配的安全網關訪問端口，與安全網關建立連接，丟棄不回應無效訪問信息包數(shù)據。

（3）隱身辦公應用。用戶終端只能通過安全網關分配的辦公應用地址及端口與辦公應用之間建立連接通信。

（4）數(shù)據安全傳輸。移動終端與安全網關利用對方的公鑰對發(fā)送數(shù)據加密，利用己方的私鑰對接收數(shù)據解密，實現(xiàn)彼此之間交互數(shù)據安全傳輸；移動終端與辦公應用之間建立SSL-VPN安全通道，實現(xiàn)業(yè)務數(shù)據的安全傳輸。

3.4 安全性分析

本文對先認證后連接、身份認證、動態(tài)授權、資源隱身和數(shù)據加密傳輸五個方面進行了安全設計，可有效滿足零信任網絡移動辦公系統(tǒng)的安全需求。其安全性分析如下：

（1）先認證后連接。移動終端只有通過身份認證，方能獲得訪問辦公應用的地址和端口，防止未通過認證的移動終端連接訪問辦公應用，確保先認證后連接，有效規(guī)避非法用戶終端、0Day 病毒、APT 等惡意攻擊。

（2）兩次身份認證。通過對移動終端進行兩次身份認證設計，動態(tài)信任評估系統(tǒng)、安全網關分別對移動終端進行身份雙向識別，確保移動終端身份的合法性，防止非法終端接入。

（3）動態(tài)授權。通過動態(tài)信任評估系統(tǒng)對需要認證的移動終端進行信任評估設計，可按需向移動終端授權，動態(tài)調整訪問控制安全策略，可實現(xiàn)細粒度的權限控制，可有效避免移動終端權限過時和過度授予。

（4）資源隱身。通過三重防線設計，對系統(tǒng)資源進行隱身。在移動終端和動態(tài)信任評估系統(tǒng)、安全網關、辦公應用之間采用“專用”端口連接和采用丟棄不回應非法數(shù)據包策略，可有效減輕利用端口進行惡意攻擊，從而確保動態(tài)信任評估系統(tǒng)、安全網關、辦公應用等資源安全。

（5）數(shù)據加密傳輸。通過采用非對稱算法對控制平面數(shù)據加密、采用對稱算法對數(shù)據平面數(shù)據加密設計，在確保信息安全傳輸?shù)耐瑫r，還提高了業(yè)務數(shù)據的加解密效率。

4 系統(tǒng)優(yōu)勢

本文提出的系統(tǒng)的優(yōu)勢如下文所述。

（1）有效解決現(xiàn)有辦公系統(tǒng)安全防護短板問題。移動辦公系統(tǒng)已打破傳統(tǒng)的網絡邊界，以邊界構建安全防護體系不再適用；默認內部網絡為可信域，無法控制內部人員越權訪問等安全問題；先連接后認證的應用模式，不能有效規(guī)避包括0Day、APT 等在內的各種高級網絡攻擊。針對以上問題，可采用基于零信任的移動辦公身份認證及訪問控制技術，構建移動辦公系統(tǒng)的新型安全防御體系。

（2）提升移動辦公系統(tǒng)的抗網絡攻擊能力。通過對移動終端的兩次身份雙向認證、關閉端口隱身網絡資源和非法訪問不予回應的安全設計，相對于利用訪問憑據訪問移動辦公系統(tǒng)的傳統(tǒng)方式，可有效杜絕利用端口掃描進行網絡攻擊，提升網絡安全防護能力。

（3）增強移動辦公系統(tǒng)的業(yè)務及數(shù)據安全。基于移動終端的安全屬性、辦公系統(tǒng)的數(shù)據屬性和訪問主體屬性，對移動終端的信任值采取動態(tài)信任評估、動態(tài)授權，可對用戶進行精細化的授權管理，降低辦公系統(tǒng)業(yè)務及數(shù)據泄露風險，從而保證移動辦公系統(tǒng)的業(yè)務及數(shù)據安全。

5 結語

本文提出的基于零信任的移動辦公身份認證及訪問控制技術，實現(xiàn)了零信任體系提供以身份為基石的業(yè)務安全訪問、持續(xù)信任評估和動態(tài)訪問控制[5]等關鍵能力，滿足零信任網絡的安全防護要求，可有效指導具有內、外網互聯(lián)需求的企業(yè)建設安全的移動辦公等業(yè)務網絡，特別適用于移動通信、云計算等場景應用。零信任網絡是未來業(yè)務應用的發(fā)展趨勢，但對傳統(tǒng)網絡邊界安全防護機制的打破不是一蹴而就的[10]，同時也不能完全放棄已有的網絡安全技術而另起爐灶[1]，需要與現(xiàn)有網絡安全技術如身份認證、訪問控制等和現(xiàn)有產品有機結合，穩(wěn)步有序推動零信任網絡的實用化進程。