铁路移动智能安全管理平台研究

祁振亚，刘军杰，王红伟 ，陈 勋

（1.北京经纬信息技术有限公司，北京 100081；2.中国铁道科学研究院集团有限公司 电子计算技术研究所，北京 100081）

随着移动互联网的发展，移动App已渗透到各行各业，与人们的工作、生活息息相关。我国工信部发布的数据显示，截至2019年12月底，我国市场上监测到的移动App数量为367万款，仅12月份，我国第三方App商店和苹果App商店的新上架移动App就达17万款。铁路领域信息系统移动化建设高速发展，而铁路工作人员的移动终端若发生病毒入侵、丢失或被盗，可导致内部系统面临数据泄露、数据篡改或非法攻击等威胁，给铁路行业带来难以估量的损失。

移动智能设备爆发式增长，厂商众多， 只读存储器（ROM，Read-Only Memory）更新速度参差不齐，国内安卓系统碎片化问题严重，这些给铁路移动信息安全管理带来了较大挑战。

当前，网络安全等级保护（简称：等级保护）进入2.0时代。等级保护制度已成为新时期国家网络安全的基本国策和基本制度[1]。建立一套完整的、符合等级保护要求的终端安全管理体系，保证铁路移动智能终端的信息安全势在必行。

本文利用虚拟安全域（VSA，Virtual Security Area）技术[2]，结合安全网关（MAG，Mobile Application Security Gate）[3]技术及动态加密通道（DEC，Dynamic Encryption Channel）技术建设一套完善的铁路移动智能安全管理平台（MISMP，Railway Mobile Intelligence Safety Management Platform），实现铁路企业移动终端的统一认证、有效管理，保障铁路业务高效化，管控方式细致化，数据传输安全化，为铁路移动App提供多角度的安全保障，为铁路移动App办公安全保驾护航。

1 平台设计

1.1 平台架构

MISMP的架构如图1所示。

图1 平台架构设计

MISMP的架构设计分为4层，分别为用户交互层、业务功能接口发布层、业务微服务[4]层及支撑环境服务层。

用户交互层可提供与本平台相关的业务模块操作功能及公共平台管理页面；业务功能接口发布层负责将功能服务以Http RESTFul接口的形式供各终端调用；业务微服务层分为2部分服务职能，平台业务相关职能和公共支撑能力相关职能，前者用于实现具体平台功能相关的微服务，后者用于实现通用的逻辑功能；支撑环境服务层负责为平台提供基础环境服务，如内存缓存服务、数据库服务、集群管理、认证中心、消息推送服务、日志收集处理等。

1.2 平台能力

结合铁路行业移动终端实际需求，本平台的主要能力包括业务能力、管控能力及安全传输能力，为各业务App提供多角度的安全保障。

1.2.1 业务能力

（1）快速安全加固

平台基于移动App加固技术及铁路移动业务软件源码安全保密需求，由用户提供Android/iOS Native应用、H5应用、混合应用，可快速集成防静态工具分析、Dex文件保护、So文件加壳[5]、内存保护、反调试、签名校验等多项安全功能，解决核心代码被反编译，请求协议被伪造，应用程序包被植入恶意代码等诸多安全问题。

（2）数据安全隔离

平台在移动设备上创建VSA，对VSA内的App权限和用户使用行为进行全方位的管理和保护，实现用户私人数据与工作业务数据的安全隔离，在保障铁路行业数据安全传输与存储的同时，提升用户的移动办公体验。

（3）安全内网访问

本文设计并建立了MAG代理机制，在实现互联网用户安全访问内网服务资源的同时，规避企业内网服务器直接暴露在互联网所带来的安全隐患，做到内网资源、网络结构对外不直接可见，增强内部资源服务器的安全性。

（4）内网资源零改造

基于SSL/TLS加密协议[6]，MAG在提供网关功能服务的同时支持TCP协议内网资源服务，适配原有内网资源的协议形势，从而达成内网资源的零改造，最大程度地降低安全改造的成本。

1.2.2 管控能力

（1）基于App的策略配置

MAG集成调用平台的VSA应用，可批量指定App准入策略，也可针对每一个业务App，灵活配置安全接入策略，便于管理人员进行运维管理。

（2）多角度的权限准入

只有用户、设备、App均符合企业信息化安全要求才能接入企业内网。MAG的准入控制模块可识别访问请求信息中的用户身份信息、设备信息、App信息，针对不同用户使用的设备信息和应用信息，准确设置拦截过滤规则，确保只有用户、设备和App均符合规范要求的请求才能通过，对不满足规范要求的进行拦截。

1.2.3 安全传输能力

（1）SSL协议加密传输

平台的安全通道采用SSL/TLS协议，加密算法需支持AES256、SM4，确保所有数据在一个安全、可信的通道中传输，防止数据在传输过程中被非法窃取或篡改，保障企业数据传输通道的安全性。

（2）SSL双向认证保护

用户与MAG建立安全通道，除了普通的用户名、密码或者短信认证外，还需做双向的证书认证。需要客户端与服务端证书认证通过后才能建立安全通道，增强用户身份认证的安全性。

（3）支持商业密码算法

数据加密是信息安全体系中重要的安保环节，随着科技的不断发展，常用的商业密码算法，如DES、RSA、MD5等，已确认可被破解。MAG需要支持国际通用的商业密码算法AES256，保障用户的数据传输安全。

（4）应用级安全通道

App自动封装后，具备安全接入能力。业务App只需关注其业务能力，不需要在App集成联调方案层面重复投入，降低技术难度以及开发成本。针对不同的App建立不同的安全通道，实现通道传输的微隔离。

2 关键技术

2.1 移动互联网区

2.1.1 VSA技术

VSA 技术是通过在系统底层实现移动App安全保护能力的技术，无需获取App源码及设备Root权限，在设备内部形成一个VSA，在该VSA中可实现铁路行业各种移动业务的安全运行。

VSA由策略控制模块和VSA引擎模块构成。策略控制模块负责对整个App运行进行安全管理并配置具体的策略内容，包括 DLP模块、网络安全访问、上网内容审计、功能安全调用、隐私保护等，根据铁路业务需求配置不同的安全策略，对App进行全方位、个性化的保护。VSA 引擎根据配置的App权限对其针对性的请求进行安全判别，在保证App正常运行的情况下，阻断不安全请求，防止机密信息外泄和外部方式对该类信息的截取。 VSA技术原理如图2所示。

2.1.2 HTML5跨平台技术

铁路行业开发人员在面对同一需求时往往需要开发2套App程序（Android版、iOS版），以满足不同设备、不同操作系统的需求。

为了节约开发时间及资源，平台结合HTML5[7-8]技术开发了MISMP JS-SDK[9]组件，界面可通过MISMP WebView显示到手机上，技术架构如图3所示。

图2 VSA技术原理

MISMP WebView组件对系统浏览器控件作扩展和封装，使WebView组件可访问设备自身API，并可调用MISMP其他组件接口，打通MISMP组件和WebView之间的交互通道，让二次开发人员更好的开发HTML5应用。通过MISMP JS-SDK组件，开发人员只需开发一套HTML5页面，即可实现在Android和iOS设备上的跨平台展示。HTML5调用时序及技术原理如图4所示。

图3 HTML5跨平台技术架构

图4 HTML5调用时序及技术原理

（1）将用户开发的Web App部署到平台服务器；

（2）启动MISMP客户端，通过WebView加载页面；

（3）页面调用MISMP JS-SDK接口；

（4）MISMP JS-SDK组件通过MISMP JS引擎调用MISMP能力组件；

（5）MISMP通过JS API,调用操作系统自身接口或者MISMP能力接口；

（6）返回结果通过JS逻辑处理，并在平台UI上显示。

2.2 网络隔离区

本文将平台的MAG服务器部署在铁路网络的隔离区（DMZ，Demiliatarized Zone）中,可使工作人员的移动智能终端在不切换内外网的前提下安全使用内网移动App。从而保障移动办公App的后台服务部署在内网，排除从互联网直接访问带来的风险隐患。DMZ安全通道中使用了DEC技术。

应用级安全加密通道是保障移动终端安全的核心，加密方式更是安全通道的重中之重。动态密钥库属于白盒加密。白盒加密[10]是指，可在白盒环境下抵御攻击的一种特殊加密方法。通常，算法和密钥是独立的，白盒加密是将算法和密钥结合在一起，由算法和密钥生成加密表、解密表。安全通道通过查找加密表来加密，通过查找解密表来解密，不再依赖于原有的加解密算法和密钥。

动态秘钥库保留加密、解密密码表，将加密算法、密钥表里选密钥的算法和密钥表3者分离开来。保证密钥选取算法的安全至关重要，该算法需进行高强度的混淆并使用C语言来编写，进行防反编译和防调试处理。

本地预制密钥库，密钥库为一个密钥字符串数组，数组存放在加密文件中，通过解密代码读取文件解析获得密钥。

平台在客户端和服务端都需要设计密钥选择算法，并随机定义一个密码表，这样密码表就算被攻破，也无法知晓用哪些字符进行解密。算法使用C语言编写，并编译成动态链接库供客户端和服务端使用，且具备防反编译和防动态调试功能，具体过程如下：

（1）获取密码表，根据对称加密算法和密码表版本号，获取本地的密码表；

（2）根据时间戳和随机字符串裁剪，获取到密钥开始索引；

（3）根据开始索引号从超长密码字符串中向后移8 bit，获取到本次交易对称加密密钥；

（4）获取到本次交易的对称密钥后，客户端即可使用该密钥进行对称加密，服务端采用同样的算法，取本地密钥后进行对称解密。

因为平台加密方式为对称加密，只有选取密钥需花费较少时间，在服务器内存中的耗时可忽略不计，所以平台的并发性能够得到保证。

3 结束语

基于智能终端安全管控、传输链路安全加密、移动业务安全准入的MISMP可实现铁路业务移动终端的安全防护。平台可提供面向用户、设备、App和容器的全方位安全防护，统一的VSA与个人应用空间完全隔离，在保障员工的个人隐私不被侵犯的同时，防止工作数据泄露，保护铁路数据安全。平台可在用户无感知状态下，实现铁路日常移动办公设备的安全管理，显著提升终端设备的信息安全，有效降低企业管理成本，可为铁路行业移动终端的信息安全建设提供参考。