移动协同办公平台的安全网络连接机制研究

李昀 陈诚 吴华瑞 韩笑 李庆学 杨宝祝

摘要：移动电子设备的普及为协同办公平台扩展提供了有效支撑，但开放的通信环境也对办公数据和内网资源保护策略提出更高要求，研究移动设备的安全网络连接机制是保障交互信息安全的基础。文章针对移动办公网络接入缺乏移动终端可信环境认证的问题，引入移动可信模块，在可信网络连接架构下设计了安全接入协议模型，通过验证移动办公平台与中间网关设备的身份有效性和平台完整性，实现移动办公网络接入的访问控制。

Abstract： The popularity of mobile electronic devices provides effective support for the expansion of collaborative office platform. However， the open communication environment also puts forward higher requirements for the protection of office data and Intranet resources. Studying the secure network connection mechanism of mobile devices is the basis of ensuring the communication information security. This paper introduces mobile trusted module and designs a secure access protocol model under the trusted network connection architecture. By verifying the identity validity and platform integrity of mobile office platform and intermediate gateway equipment， this model achieves access control of mobile office network access.

關键词：移动协同办公平台;移动可信模块;可信网络架构;平台完整性

Key words： mobile collaborative office platform;mobile trusted module;trusted connection architecture;platform integrity

中图分类号：TN92                                        文献标识码：A                                  文章编号：1006-4311（2019）31-0231-04

0  引言

随着无线通信和移动信息技术的发展，将传统协同办公平台与移动通信技术相结合，可以突破空间和时间的限制，令工作人员能够在任何时间，任何地点访问单位内网进行工作事务处理。移动协同办公平台通过移动设备进入企业内部的网络服务系统，支持实时通信和快速决策。然而，大多数移动设备需要依托开放的网络环境接入企业内网，容易遭受互联网中的病毒、恶意代码等安全攻击，如果允许受攻击或加密能力不足的移动设备访问企业数据资源，可能导致这些数据面临丢失或被盗的风险，对单位利益造成严重损害，因此研究可靠的网络接入机制是保证移动办公安全的基础。传统移动办公安全机制主要关注每个网关或VPN设备的访问控制和监控功能，通过对移动客户端进行身份验证和接入授权确保合法用户的安全接入[1]。如文献[2]研究了基于密码技术对传输数据进行加密保护的移动办公安全体系，文献[3]则利用笔迹签名的可信性搭建了移动办公安全认证机制。但传统方法始终没有解决移动终端自身的安全性与可靠性认证问题，不能判断合法用户是否基于可靠的操作系统访问内网。因此，本文考虑了在依赖可信环境的移动设备上构建移动协同办公平台，利用移动终端的平台信息度量提高移动办公安全性[4]。

可信平台模块（Trusted Platform Module，TPM）是独立于主机操作系统的硬件安全技术，包含平台完整性验证、密码管理等安全服务以及基于应用程序完整性验证的访问控制[5]。目前许多TPM产品已经发布并安装在桌面和服务器计算机上，文献[6]中讨论了基于手机智能芯片构建可信平台的实例，但TPM模块主要用于PC电脑端，不适用于移动终端。可信计算集团（TCG）为了解决移动终端安全问题，于2003年发布了移动可信模块（Mobile Trusted Module，MTM）规范。在TPM的基础上，MTM将可信计算引入嵌入式系统，增加了一系列新命令与结构校验移动平台完整性[7]。文献[8]-[10]基于MTM服务模块进行票据验证、车载通信与电子政务等安全应用程序与创新业务模型在移动环境中的可信应用。

本文根据某一科研单位业务需求，搭建了移动协同办公平台系统框架。在分析该系统安全网络机制的基础上，利用包含MTM模块的移动终端，设计了可信连接架构（Trusted Connect Architecture，TCA）下的移动办公平台安全接入协议模型。该模型对可信终端与可信网络进行平台身份-平台完整性-用户身份的三层双向认证，保证访问内网资源的用户具有合法身份和安全操作系统，是一种安全可靠的移动协同办公平台安全网络接入机制。

1  移动协同办公平台逻辑架构与安全方案设计

1.1 移动办公平台系统框架设计

移动办公自动化作为无线领域的一个扩展应用，通过结合现代信息系统的优势，采用数字签名、电子邮戳、用户鉴别与移动终端等技术实现数字化和移动化的办公管理。本文设计了如图1所示的移动协同办公平台建设总体框架。

该平台框架采用分层结构，由界面表示、应用服务与数据访问三个层次组成。界面表示層是移动协同办公平台客户端，为用户提供协同办公平台访问的统一入口，其功能表示主要由能动态生成HTML页面的servlet组成。通过Web Service，应用服务层进行业务响应，向业务逻辑组件传达业务需求，从而访问相应数据库，服务于移动客户端应用程序。如图所示，移动协同办公平台和单位内部服务器中包含了财务、科研项目与个人工作事务等多种敏感数据，一旦被泄漏或篡改，单位与工作人员将遭受巨大损失。而移动办公场景复杂多变，通信网络同时具有开放性和脆弱性的特点，难以实时监督，容易遭受未授权用户访问、资源泄漏、重要信息篡改等网络攻击威胁。因此研究可信的安全网络接入机制有助于保护工作人员和单位内网的办公数据。

1.2 安全接入网络拓扑设计

如图2所示，移动协同办公平台主要通过3G/4G与无线局域网等公共网络接入安全接入区。然后在安全服务器等安全设置的保护下对访问用户进行身份验证，同时为合法授权的接入用户提供服务接口，而网络隔离区内网闸设备在边界上统一管理数据交互，防止移动接入网与企业内网直接连接，对企业内网资源进行了物理隔离保护，降低了敏感资源泄漏的危险性。

但传统移动办公访问控制策略主要由基于数字签名和CA认证的身份验证，缺乏对终端本身安全性和可靠性的衡量。TCA是我国GB/T 29828—2013标准所认证的可信网络连接架构，作为可信平台模块（TPM、MTM等）的扩展，通过策略管理服务器集中管理访问用户和相关网络设备的身份与平台信息，收到移动办公平台服务请求后，根据评估策略验证用户终端和中间设备的身份合法性与平台完整性，完成了双向身份认证与双向平台可信性鉴定[11-13]。根据移动办公的安全需求，平台完整性度量策略主要包含操作系统、防火墙、杀毒软件等组件的版本及运行状态评估，如果平台被恶意篡改，不法分子很容易在伪造的平台中获取用户重要信息。TCA架构可保证访问用户和平台的合法性与可靠性，对内网资源进行安全保护，因此，本文研究了基于TCA安全连接架构的移动办公安全机制，该连接方案中认为移动办公平台所在终端与安全网关等设备具有包含MTM服务的智能芯片[14]。图2由图3模型简化表示如下。

如图所示，TCA采用三元对等实体鉴别机制，连接架构分别包含访问请求者AR、访问控制器AC和策略管理器PM等三个实体。AR是为建立安全可靠的网络连接进行访问请求的实体;NR根据PM的访问策略可以控制AR的访问请求;PM作为可信第三方在身份认证和完整性度量过程中对AR的网络访问请求执行预授权和持续授权。在移动办公平台网络接入过程中，认为移动终端是访问请求者，防火墙等设备是访问控制者，安全服务器是策略管理器。

在网络连接前，TNCC、TNCAP与EPS分别对上端完整性收集者IMC和完整性校验者IMV进行初始化，当用户尝试办公或办公平台需要发送通知公告时，触发网络连接请求，AR的网络访问请求者NAR向AC中的网络访问控制NAC发送连接请求;NAC收到连接请求后，与NAR和EPS进行AC、AR间的双向用户身份验证;NAR和NAC向上端TNCC与TNCAP发送平台鉴别请求，TNCAP与TNCC、EPS执行一轮或多轮平台鉴别协议，从而完成AR与AC间的平台鉴别;EPS则根据评估策略得到AR和AC的平台完整性报告，并将其返回TNCC和TNCAP生成访问策略（禁止/隔离/允许），再发送至NAR与NAC;根据用户和平台完整性评估生成的访问策略，NAR决定是否接入网络，NAC决定是否允许AR接入网络，从而实现可信平台的安全接入。其中IF-IM，IF-IMC，IF-IMV，IF-TNCCAP，IF-EPS，IF-TNT与IF-APS代表连接节点间的接口，定义节点间的信息传输协议。

综上所述，本文研究的移动协同办公平台安全接入机制根据所需的安全标准度量访问客户端与相关网络设备的平台完整性，对不同的访问请求生成对应的访问策略，拒绝不安全访问接入内网，允许安全可靠的用户访问企业内网资源，或隔离访问客户端以弥补各种安全漏洞，从而实现移动办公平台的访问控制。

2  移动协同办公平台的接入协议模型设计

根据上文所述，TCA安全连接架构下，安全服务管理器通过衡量移动办公平台的身份可信性和平台完整性，生成对对应网络访问策略，从而提高了移动环境中办公的安全性。但移动办公平台终端需通过安全网关等设备发送自身的用户身份与平台完整性信息，如果中间设备受到网络攻击，用户账号及平台配置等数据易相互泄漏[12]，因此，本文设计了基于平台身份-平台完整性-用户身份三层双向认证的安全接入协议，在确定平台身份可信的基础上，通过密钥协商得到AR与PM，AC与PM间不同的通信密钥，利用通信密钥进行平台完整性认证和用户身份认证，为敏感信息保护提供有效支撑。移动办公平台终端的接入协议具体模型如图4所示。

①用户需要登录移动协同办公平台办理公务时，AR向AC发送平台公钥CertAB、MTM模块生成的时间戳TAR以及服务请求：

②AC收到AR的连接请求与公钥信息后，同样利用MTM模块生成时间戳TAC，将自己的用户公钥CertAC与TAC发送到PM端：

③PM收到AC的访问请求后，分别提取并验证CertAR和CertAC的合法性。根据检验结论，PM生成RAC和RAR代表的身份报告，然后对RAC、RAR进行私钥加密PK。PM向AC返回PM的公钥证书，加密RAC、RAR与时间戳TPM：

④AC收到PM的返回信息后，提取并验证。若验证不通过，断开网络连接;验证通过，则利用PM公钥PkPM解密加密信息获得RAR。如果RAR显示AR平台身份无效，AC断开网络连接，否则：

⑤AR根据PM公钥提取RAC信息，若AC平台验证合法，则开始密钥协商阶段;

⑥通过MTM模块随机信号发生器，AR可获得随机数NonceR。AR依次用PM公钥与自己的私钥对NonceR进行加密，然后加密随机数发送至AC：

⑦AC处MTM模块生成随机数NonceC，AC依次用PM公钥与自己的私钥加密NonceC，然后将收到的AR信息与加密随机数同时发送至PM：

⑧PM收到协商请求后，分别利用AC和AR的公钥与自己的私钥共同提取随机数NonceC和NonceR，提取成功PM则生成随机数NonceP，根据随机数生成与AR的通信密钥PKPR及与AC的通信密钥PKPC。并对NonceC与NonceP、NonceR与NonceP分开进行单向散列函数计算，得到哈希值HPC与HPR。PM对HPR、NonceP和HPC进行签名后，返回AC：

⑨AC提取接收信息中的NonceP与HPC，并计算NonceP和本地NonceC的哈希值，通过与HPC对比验证PM与AC的信息一致性，验证通过，则生成通信密钥PKPC，将其余信息发送至AR：

⑩同步骤9 相似，若验证信息通过，AR生成通信密钥PKPR;

{11}密钥协商完成后，根据完整性度量策略，AR和AC利用MTM模块分别收集自己的平台信息MAR与MAC，将其进行通信密钥签名后发送至PM：

{12}PM解密接收信息后，根据评估策略与MAR、MAC验证AC、AR的平台完整性，并生成验证结果ReAC与ReAR。通过通信密钥签名后，将验证结果返回AC与AR：

{13}根据平台完整性的验证结果，AC与AR判断是否需要断开网络连接，验证成功则启动用户身份认证过程：

{14}若用户身份认证成功，移动用户可安全访问企业内网资源。

接入过程中，该协议模型通过计算接收时间戳T与当前时间之差是否超过60s判断请求合法性，若时间差大于60s，认为该请求是非法请求，断开网络连接，避免网络重放攻击。

3  结论

移动协同办公平台令办公人员能够在任意环境中与工作单位进行实时信息交互，提高了工作效率与单位的快速管理决策能力。考虑到开放的网络环境不利于个人与单位内网的敏感数据保护，本文通过引入移动可信模块，设计了基于可信网络连接架构的安全网络接入协议模型。该协议模型在保证办公系统终端与中间网络设备平台身份可信的基础上，度量用户身份合法性与平台完整性，能够避免用户身份与平台配置信息的泄漏。相较于传统的移动办公平台接入方式，本文研究的安全协议增加了平台完整性验证过程，是更为安全可靠的移动办公安全机制设计方案。

参考文献：

[1]刘延芳，徐静.基于Web Services税务移动办公平台的设计[J].贵阳学院学报（自然科学版），2018，13（01）：24-27，32.

[2]任飞，宋涛，任靖.基于密码的移动办公安全能力体系构建[J].信息安全与通信保密，2018（05）：70-75.

[3]李承林，骆亮.基于原笔迹签批的移动安全综合政务协同云平台研究与实现[J].通信技术，2018，51（04）：958-962.

[4]Bouzefrane S ， Thinh L V . Trusted Platforms to Secure Mobile Cloud Computing.[C]// High Performance Computing & Communications， IEEE Intl Symp on Cyberspace Safety & Security， IEEE Intl Conf on Embedded Software & Syst. IEEE， 2015.

[5]Schmidt A U ， Kuntze N ， Kasper M . On the Deployment of Mobile Trusted Modules[J]. Computer Science， 2007：3169-3174.

[6]Chengdu. Trusted Computing Based User Authentication for Mobile Equipment[J]. Chinese Journal of Computers， 2006， 29（8）：1255-1264.

[7]Kai， Xin， Guo. The Secure Boot of Embedded System Based on Mobile Trusted Module[C]// Second International Conference on Intelligent System Design & Engineering Application. IEEE， 2012.

[8]張晶.基于MTM的车载通信系统安全性研究与实现[D].吉林大学，2010.

[9]Kuntze N ， Schmidt A U . Trusted Ticket Systems and Applications[J]. Ifip International Federation for Information Processing， 2007， 232（3）：49-60.

[10]李晓明，刘芳，侯刚.基于可信网络连接（TNC）的电子政务网络安全接入架构研究[J].计算机安全，2013（07）：81-85.

[11]李国琴.TNC在等级保护中的应用研究[J].信息网络安全，2012（04）：89-93.

[12]李明，李琴，张国强，颜湘.可信网络连接架构TCA的实现及其应用[J].信息安全研究，2017，3（04）：332-338.

[13]高丽.可信连接网络认证与评估协议研究[D].解放军信息工程大学，2011.

[14]杨健，汪海航，Fui Fui Wong，于皓.一个面向智能电话的移动可信平台设计[J].计算机科学，2012，39（08）：20-25.