王 欣, 张昕伟
(1.内蒙古化工职业学院,内蒙古 呼和浩特 010070;2.华北计算机系统工程研究所,北京 100083)
随着移动互联网的迅速发展,企业办公网络也逐步向移动终端方向发展,移动用户希望能够依托移动通信网络接入到内部网络。由于移动网络应用的复杂性,原有的移动安全接入方案己不适合新的应用环境。随着企业办公网与外部交流业务的日益频繁,越来越多的移动终端接入到企业办公网中,管理人员难以控制外部用户用来登录到企业办公网的终端设备;而如果允许用户随意使用移动终端接入网络,极有可能在管理人员和系统维护人员毫不知情的情况下,某些不怀好意者通过无线移动终端设备侵入企业办公网内部网络,从而造成数据泄露、病毒传播、数据攻击等严重问题;同样,如果合法用户不及时升级系统补丁和病毒库,或者安装了不明来源的移动应用,都可能成为企业办公网络的安全隐患,给整个企业办公的网络安全造成沉重的打击。
企业办公网移动终端接入面临的安全威胁主要集中在数据传输链路、移动终端、应用系统等方面。如移动终端通过移动通信网络进行的各种攻击、入侵或病毒植入等威胁;如果移动终端安装不明来源的应用中植入的后门、漏洞等被不法分子启用,将造成企业信息失控、终端设备故障,或者通过移动通信设备实现内外勾结,泄露企业内部重要信息等。因此,如何保证在使用移动终端设备的条件下,实现移动终端和企业办公网络之间数据共享和交换的安全性,成为当前亟待解决的重要问题。
目前,实现终端设备安全接入的主要思路是:移动终端设备在接入网络之前,由接入控制系统根据企业预先设置的安全策略对其进行检查,符合安全策略的允许接入,不符合的则不允许接入,这样就实现了部分防护功能,及对非法接入设备的拦截,除非设备提供合法的安全策略,否则不允许接入。
目前针对移动终端安全接入的研究主要包括以下3种:微软的网络接入保护 NAP(Network Access Protection)技术、思科的网络准入控制NAC(Network Admission Control)技术以及可信计算组织TCG (Trusted Computing Group)的可信网络连接 TNC(Trusted Network Connect)技术。上述终端安全接入技术都会在终端接入网络之前对其进行身份认证和完整性度量,只有终端可信并且遵循访问策略时才允许其接入网络。
本文将结合无线公开密钥体系(WPKI)认证技术和可信网络技术,建设企业办公网移动终端安全接入系统,着重描述安全接入系统的总体架构和实现方案。
企业办公网移动终端安全接入系统是企业办公网安全保障体系的重要组成部分,通过制定移动终端安全接入模式、方法和技术,建立企业办公网移动终端安全接入系统,为企业办公网安全保障体系的建立提供技术支撑,从而确保访问企业资源的所有设备都是有效可控的,以实现对各种安全威胁的抵御,有效地阻止这些威胁对企业信息资源的影响。终端设备通过3G等移动通信网络访问企业网络,必须达到系统规定的安全策略和规则条件,所有的接入设备通过安全的接入点接入网络,可以及时发现、预防和消除由移动终端设备带来的安全威胁,从而大大减少木马和病毒等对企业网络造成的威胁和影响。
根据移动终端请求所访问的数据位置的不同,企业办公网移动接入的工作模式可分为以下两类:
(1)将移动终端设备应用所访问的数据和资源放在移动接入安全应用服务器上,这些接入服务器在企业办公网信息资源之外,只用于移动终端访问,然后通过使用数据同步和数据交换机制实现接入服务器和企业网络信息资源服务器的数据同步。该模式下,系统的响应性能很好,但是数据时效性差,会造成资源过时,影响办公的正常进行。
(2)通过代理的方式实现移动终端数据和资源的访问,这种模式的实现方法是:将数据和资源统一放在企业办公网内,移动终端向安全移动接入平台的代理服务器发出请求,由代理向服务器发出请求,并返回数据给移动终端设备。该模式下数据的更新和同步及时,不影响正常的办公流程,但是移动终端办公所需的资源和请求都要通过代理中转。
根据企业办公网的需求,采用代理的方式实现移动终端设备接入的工作模式。
采用可信网络连接技术实现移动终端安全接入,形成网络信任链模型M-TNC,使用可信网络连接技术TNC(Trusted Network Connection),通过采用可信主机提供的终端技术,在移动通信网络环境下实现移动终端访问控制。
M-TNC的权限控制规则采用终端的完整性校验来检查终端的“可信度”。M-TNC的架构分为3类实体:终端访问者AP(Access Point)、规则判定者 RJP(Rule Judgement Point)、规则定义者 RDP(Rule Defination Point)。终端访问者就是移动终端访问设备,请求服务器的资源;规则判定者和规则定义者就是移动终端安全接入控制系统。M-TNC将传统的接入方式“先连接,后安全评估”变为“先安全评估,后连接”,能大大增强网络接入的安全性。
(1)元素定义
定义1资源集R={ri|i=1…N},企业办公网络的资源集合。
定义 2资源服务域 RS={R,SDP,AP,ISP},R是企业网络提供的资源集,RJP是绝对可信的规则判定者,RDP管理整个域的AP及协助网络服务提供者ISP(Internet Service Provider)验证M-TNC的可信性,同时受理其他域M-TNC的跨域服务请求消息。
(2)移动终端可信接入算法
算法1移动终端可信接入算法
移动终端可信接入机制如图1所示。
图1 移动终端可信接入机制
①//RDP根据AP的可信度制定相应的ACL规则:
②//AP请求接入:发出访问请求,收集该终端的可信度评估值并发送给RJP,等待RJP对终端设备的可信度判定:
③//RDP完成对MTAM(Mobile Terminal Access Module)模块的完整性及真实性验证,负责为MTAM中的移动终端设备颁发可信证书:
④//RDP负责制定和分发AP的可信度判定规则,并对其证书进行验证,以评估该接入设备的可信性:
对MTAM的身份进行鉴别,验证AP证书的有效性,校验AP设备的可信性:
(3)接入机制分析
MTAM向RDP注册服务,申请RDP颁发的可信评估证书,获得该证书后,MTAM即可与ISP进行交互,ISP通过验证可信评估证书的合法性完成对MTAM的可信度评估[2]。
RDP获得由移动终端可信判定中心CMJC签发的可信证书,证书包含RDP的公钥及CMJC签名等信息,并通过安全途径向移动终端等外部设备公布公钥,每个移动终端的实体身份证书格式如下。
其中KPubA是移动终端A的公钥,EKSCA是CMJC的私钥,DateA是证书的颁发日期,LFA是证书的有效期。
图2所示为MTAM与RDP建立连接,申请由RDP颁发的可信证书。连接建立前MTAM基于RDP进行完整性度量,MTAM与RDP协商完成MTAM与RDP间身份认证,该身份认证是双向的,认证完成后RDP实现对MTAM平台的可信度判定。通过身份认证和可信度判定的MTAM可以获得RDP为其颁发的可信证书,在证书的有效时间内,终端用户持该证书就可以与ISP建立服务连接。
图2 MTAM向RDP注册
通过请求Message消息MTAM与RDP进行Session会话建立前的协商,Nonce包含随机数和时间戳,用来验证发送的消息是否得到相应的回复,ID是MTAM的身份 ID号,MTAMPK是 MTAM的公钥;RDPPK是 RDP的公钥,RRDP是RDP产生的用于MTAM签名的随机数。
MTAM首先对随机数RRDP进行签名,并用RDP的公钥对Certattr和其完整性度量值加密。加密后的数据和签名值一起发送给RDP,其中RMTAM是MTAM产生的用于RDP签名的随机数,SIG(RSDP)是 MTAM对随机数 RRDP的签名值,Certattr是属性证书,PCRSMTAM是MTAM的完整性度量信息。
RDP首先验证MTAM签名的真实和可靠性。RDP对消息进行解密,得到MTAM的相关信息,然后实现对MTAM的可信度判定,即验证MTAM持有的属性证书的合法性。判定通过后,RDP为MTAM颁发可信证书Certcredibility。其中SIG(RMTAM)是 RDP对随机数 RMTAM的签名值,Certcredibility是RDP颁发的可信证书。MTAM验证RDP的证书及签名,从而确定RDP的身份合法性。MTAM获得可信证书后,就可以使用该证书向ISP申请服务,ISP通过验证证书的合法性,完成对MTAM的可信性评估,为可信的MTAM提供服务。
企业办公网移动终端安全接入系统主要由WPKI系统模块、身份认证控制系统、可信安全接入控制系统和可信判定系统四部分组成,如图3所示。
图3 企业办公网移动终端安全接入系统架构
(1)WPKI系统模块
WPKI是企业办公网移动终端安全接入系统,提供安全服务的基础,通过对所有移动终端访问提供加密、证书颁发、证书管理等功能服务,实现移动终端的证书管理体系,及移动终端安全接入的可信证书的产生、管理、存储、分发和撤销等功能。
WPKI系统是企业办公网移动终端安全接入系统服务的基础,其组成部件如图4所示。
图4 WPKI组成
其中WPKI各组成部件的主要功能分别为:
①Mobile Device:WPKI中的移动终端设备,移动终端设备上安装的应用提交接入请求,提供数字签名和可信证书,并可以提交证书更新以及撤销等请求。
②WAP/3G网关:用于连接无线和有线网络,此部分由公共通信提供商来完成。
③WPKI Portal:提供用户和CA之间的一个接口。
④CA(Certificate Authority)是 WPKI的信任基础,是认证授权机构(即认证中心),负责发放和管理数字证书的权威机构,承担公钥体系中公钥的合法性检验的责任。
⑤证书数据库:存放证书和证书失效清单 以便证书的存取和查询[4]。
(2)身份认证控制模块
采用MTAM的可信度判定规则,验证终端的完整性校验,检查终端的可信度,并通过对接入的移动终端设备进行身份认证,并按照预先制定的ACL策略,保证只有合法的移动终端设备和终端应用才可以接入系统进行数据访问。
(3)可信安全接入控制系统
安全接入控制系统主要研究基于可信接口的安全接入机制。按照接入点位置和功能,系统中设计的可信接口包括:终端可信接口、网关可信接口和网络可信接口。
终端可信接口:终端可信接口是在移动终端设备上,采集终端设备的属性信息,向RDP提供证书等相关信息。
网关可信接口:完成设备定位,终端设备监控以及规则下发,与设备安全通信、安全应用信息交互等功能。
网络可信接口:完成数据的安全传输。
(4)可信判定系统
对接入系统的移动终端设备进行可信度判定,并在终端设备访问期间,根据设备认证信息及属性信息,对设备进行周期轮询,对移动终端进行可信度重新判定,确保移动终端访问的安全性和可信性。
本文主要针对企业办公网移动终端设备安全接入问题,研究了移动终端的安全接入技术,并构建了终端安全接入系统的总体架构。企业办公网移动终端安全接入系统由WPKI系统模块、身份认证控制模块、可信安全接入控制系统和可信判定系统四部分组成。通过该系统架构,实现移动终端接入企业办公网的安全性,为实现企业办公网向移动终端设备延伸提供安全保障,为开放网络环境下的移动办公提供安全支撑。
[1]PARK M.A new user authentication protocol for mobile terminals in wireless network[C].Proceedings of the 7th International Conference on Mobile Data Management(MDM’06),2006.
[2]姜建,陈晨.基于多包接收的物理网络编码协同通信研究[J].电子技术应用,2013,39(7):109-110.
[3]DIETRICH K.An intergrated architecture for trusted computing for Java enabled embedded devices[C].STC′07.Alexandria,Virginia,USA.2007.
[4]雷勇,李薇.基于小世界与兴趣相关度的P2P网络搜索研究[J].微型机与应用,2012,31(18):42-43.