南方电网数字电网研究院有限公司 陈禹旭 任昊文 黄焯恒
为解决传统基于TrustZone接入方法在应用到企业移动网络中存在接入时间消耗量大的问题,开展基于云计算的企业移动安全接入研究。通过企业移动信息数据可信度量、基于云计算的可信接入安全协议制定、企业移动安全接入控制与安全传输,提出一种全新接入方法。通过实验证明,新的接入方法接入效率更高,可实现企业移动网络快速传输。
云计算技术是指在移动终端设备的支撑下,通过移动应用服务的方式,将处理的数据与存储的数据,以一种外包的方式调度给终端的综合性技术,通过此项技术,可以降低设备移动接入的资源,并在一定程度上减少操作端的开销。相比传统的PC技术,云计算给予用户的服务可以表现为“软件即是服务”,因此,用户在调用资源时,可直接使用手机等智能终端设备,开启远程服务的方式,对前端发出指令[1]。但伴随着技术的普及化与生活化,企业移动终端也面临着一系列的安全问题,这些问题中除了涉及传统云空间存在的问题之外,还出现了用户个人信息、企业商业隐私信息被泄露的问题,这些问题均在某种层面上反映了我国云计算技术在应用中仍存在一些不足或漏洞[2]。
为确保企业移动通信数据在接入到企业网络当中时做到有据可依,首先针对企业移动网络在运行过程中需要接入的各类信息数据进行安全性验证,并完成可信度量,从而实现对移动信息数据安全性的量化评价。如图1所示企业移动信息数据可信度量流程示意图。
图1 为企业移动信息数据可信度量流程示意图Fig.1 Schematic diagram of the credibility measurement process of enterprise mobile information data
按照图1所示内容,首先在企业移动网络当中建立可信根,并引入度量机制,构建一个从企业移动网络底层可信根到上层应用的完整信任链,并对企业移动网络环境中运行的各类应用服务提供安全保护。在度量的过程中,必须确保度量起点本身具备绝对的可信[3]。当企业移动网络开始运行后,信任链传递的执行任务首先通过BIOS构成一个完整的信任链,并在企业移动网络引导代码可信验证之前,在BIOS当中执行核心信任度量根,同时将BIOS度量结果传输的完整性值存在TPM当中,以此完成对企业移动信息数据的可信度量。
现有企业移动网络运行环境当中,安全协议在移动信息数据安全性方面无法满足终端用户的接入需要。因此,针对这一问题,在实现对企业移动信息数据的可信度量后,利用云计算技术,构建在云环境当中的可信接入认证协议,即可新接入安全协议[4]。在该协议当中引入三个阶段,分别为用户账号注册阶段、登录阶段和安全认证阶段,其具体步骤为:
(1)用户账号注册阶段。用户生成随机数x,并将x与其对应ID传送到企业移动网络的运行服务器当中;通过服务器实现对传送信息的检查,并判断传送信息是否都存在与ID(new)当中,若存在则直接重新注册;直到用户传送的ID不在ID(new)当中时则由服务器将相应的传送信息存储在智能卡当中。
(2)登录阶段。由用户手动插入智能卡,并输入相应的ID和密码,用户可在登录的过程中,由服务器完成公式(1)所示计算内容:
公式(1)中,J表示为服务器生成的随机数;h表示为安全协议条件阈值;pw表示为用户账号密码数据。根据上述公式计算,当计算得出的结果J=1时,则允许该用户登录到企业移动网络环境当中,并进行后续接入操作;若得出的结果J≠1时,则终止该用户登录。
(3)安全认证阶段。在确定用户账号登录信息后,为了确保接入安全性,需要对用户账号的身份信息进行安全认证。利用云计算的时间戳,检测是否满足如下公式(2):
公式(2)中,T'表示为时间戳;T表示为用户登录到企业移动网络当中的实际登录时间;VT表示为身份信息安全认证的最大时间间隔。若满足上述条件,则认为该用户的账号身份信息通过安全认证,可以实现接入;若不满足上述条件,则立刻终止会话,禁止该用户通过该账号访问企业移动网络,并且禁止其一切接入行为。
企业移动安全接入控制与安全传输是确保企业移动安全的核心,只有通过有效的接入控制手段,才能够确保用户接入过程中信息传输的安全性。针对上述基于云计算的可信接入安全协议,将其与IPSec协议进行一体化设计,采用两种协议相结合的方式完成安全传输,其中IPSec协议主要应用在网络移动环境的网络层当中,而可信接入安全协议应用在网络传输层和应用层之间[5]。在用户安全接入传输时,通过各类安全设备的引入,实现网络及防火墙,并充分利用防火墙的NAT功能,构建一个全新的企业移动接入网络,进一步提高网络的自适应性和与其他网络连接的灵活性。在用户接入过程中,可通过引入第三方接入服务平台的方式,为企业移动用户提供更高水平的认证服务,将其部署在企业移动内部网络当中,并利用ethl链实现连接,并由网关为其提供映射公网地址,使电放接入服务平台能够在公网当中对企业移动内部网络提供安全传输服务保障,并且不会出现第三方服务平台出现异常运行现象对企业移动内网造成影响的问题,实现企业移动的安全接入。
为实现对本文提出的基于云计算的企业移动安全接入方法在实际应用中能够有效解决传统基于TrustZone接入方法存在问题的进一步验证,本文将两种接入方法同时应用到同一企业移动网络环境当中,开展如下对比实验。为了更加清晰地对两种接入方法性能对比,选择将接入过程中各个操作的时间消耗作为评价指标,在不考虑移动请求和相应消息具体服务命令的情况下,取接入环节中不同操作100次运行平均时间消耗值,构建如表1所示两种接入方法时间消耗情况对比表。
表1 两种接入方法时间消耗情况对比表Tab.1 Comparison table of time consumption of two access methods
结合两种接入方法时间消耗情况对比结果得出,在五种不同操作内容中,基于云计算的接入方法明显时间消耗更短,而TrustZone接入方法时间消耗最高达到了1.264,严重影响企业移动网络的运行。因此,通过实验证明本文引入云计算后的企业移动安全接入方法能够在保证安全性的前提条件下,实现快速接入。
在云计算技术的支撑下,社会发展走向了一个新的阶段,与此同时,与云计算相关的市场衍生产物正影响着人们的日常生活。此项技术为企业办公与人们日常生活带来便利条件的同时,也为企业安全建设提出了新的挑战。为了解决问题,本文深入到对云计算的研究中,并基于云计算技术的应用,设计一种针对企业的移动安全接入方法,并在完成对方法的设计后,通过实验论证的方式,证明了设计的方法真实有效,致力于通过此种方式,为企业信息化建设工作的实施提供技术支撑。
引用
[1] 王峰,李兴华,夏绪卫,等.基于改进CPK的电网终端安全接入认证技术研究[J].自动化技术与应用,2021,40(5):57-62.
[2] 王文溥,李艳玲,赵晓丽.铁路移动互联网安全接入技术方案研究[J].网络安全技术与应用,2021(3):74-76.
[3] 杨世欣.一种基于PMIPv6的移动接入网关安全提升方案[J].单片机与嵌入式系统应用,2019,19(6):25-27.
[4] 官丽,焦阳,张彩霞,等.电力监控系统无线接入安全风险的模糊评估方法研究[J].能源与环保,2021,43(6):163-167.
[5] 雷霞.宽带无线IP系统移动终端的安全接入技术探析构建[J].卫星电视与宽带多媒体,2020(5):52-53.