基于零信任理念的铁路智能移动终端管控平台关键技术研究

侯昱辉，李宏宇，梁建辉，刘润福，何靖刚

（中国铁路兰州局集团有限公司 信息技术所，兰州 730000）

随着智能移动终端的普及，移动办公技术在各行各业得到广泛应用，铁路行业紧跟时代步伐，在推动移动办公应用落地方面已取得一定进展。与此同时，铁路各业务系统端口的暴露数量急剧增加，粗粒度访问控制和智能移动终端数据泄露等安全挑战也随之而来[1-2]。

在铁路行业传统的网络架构中，网络边界作为外部非安全网络和内部安全网络的分界线，通常采用防火墙、入侵检测系统和入侵防御系统来保证其安全性。白生江[3]提出主动型军用网络边界防护系统，通过防火墙、入侵防御系统、蜜罐等安全产品间的联动，促进军用网络安全稳定运行，但会导致端口暴露，形成明显的攻击面[4]；许文渊[5]提出采用虚拟专用网络（VPN ，Virtual Private Network）的接入认证及授权方式，实现铁路数据通信网络管理（简称：网管）复示终端与网管服务器端的可信任安全加密通信，但仍存在粗粒度访问控制的问题；储小宝[6]设计并实现智能移动终端敏感信息安全防护系统，但存在不同系统间适配困难的问题。综上所述，传统的网络边界管理模式已无法满足数字时代的需求[7]。

基于上述问题，本文构建基于零信任理念的铁路智能移动终端管控平台，研究如何利用零信任理念应对铁路系统中智能移动终端带来的网络安全挑战，确保智能移动终端在铁路网络中的安全接入和受控使用，增强铁路信息系统的安全性和稳定性。

1 铁路智能移动终端管控平台

1.1 零信任理念概述

2004 年，耶利哥论坛（Jericho Forum）成立，并提出零信任的初步框架。随后，John 正式提出“零信任”理念[8]。其核心思想是“从不信任”，无实体边界概念，在用户访问资源的整个流程中，始终保持持续认证状态，进行实时动态访问控制。

目前，零信任理念在国内外已得到广泛认可和应用。2017 年，Google 公司完成基于零信任理念的BeyondCorp 项目。2021 年，中国电子工业标准化技术协会发布国内首个零信任技术实现标准——T/CESA 1165-2021《零信任系统技术规范》团体标准[9]。

1.2 平台设计理念

铁路智能移动终端管控平台以零信任理念为理论基础，以美国国家标准与技术研究院（NIST，National Institute of Standards and Technology）的《零信任架构》为理论架构[10]，以软件定义边界（SDP，Software-Defined Perimeter）和统一终端管理（UEM，Unified Endpoint Management）为 技 术 架 构[11]，实 现了用户访问业务场景的安全接入和受控使用。

1.3 平台架构

铁路智能移动终端管控平台包含客户端和服务端2 部分，其中，服务端包含零信任控制中心和零信任代理网关。通过建立动态的、基于身份验证的安全边界，仅允许经过验证的用户和设备访问资源，增强网络安全性。铁路智能移动终端管控平台架构如图1 所示。

图1 铁路智能移动终端管控平台架构

1.3.1 客户端

客户端等同于SDP 中的连接发起主机（IH ，Initial Host），负责与控制中心进行连接并验证身份，与代理网关创建双向加密连接，具有单包授权（SPA ，Single Packet Authorization）敲门、安全套接层（SSL，Secure Sockets Layer）隧道接入、终端环境检测、可信应用识别、数据隔离等功能。客户端用户可使用主流操作系统的终端设备。

1.3.2 服务端

1.3.2.1 零信任控制中心

零信任控制中心可被看作是SDP 中的控制器（Controller），负责访问授权的最终决策，通过对客户端下发策略，可收集其状态信息，具有用户管理、终端管理、应用管理、策略管理、自适应认证、持续认证机制和策略引擎管理等控制功能，以上功能通过SPA 服务隐身。

UEM 技术架构负责终端设备的全面管理和控制，包括设备配置、应用程序管理、数据保护等功能，确保智能移动终端接入的安全性和合规性。除此之外，控制中心的开放应用程序编程接口（API，Application Programming Interface）可与业务系统中现有的企业身份基础设施进行对接和同步，如统一安全管理平台解决方案（4A）和活动目录/轻量目录访 问 协议（AD/LDAP，Active Directory/Lightweight Directory Access Protocol）。

1.3.2.2 零信任代理网关

零信任代理网关相当于SDP 中的连接接受主机（AH ，Accept Host），负责执行控制中心的授权决策，通常以逻辑串联的方式部署在企业资源前端，实现业务资源暴露面整体收缩。外部用户、终端无法直接访问到企业资源，需要通过控制中心严格的身份认证和授权决策，再由代理网关通过加密传输代理访问。零信任代理网关支持多种访问协议代理，包 括： 7 层Web 代 理、 4 层TCP（ Transmission Control Protocol）代理和3 层IP 代理。

2 关键技术

2.1 端口隐身技术

端口隐身技术作为一种保护设备关键端口的方式，是SDP 的核心功能，通过端口敲门（PK ，Port Knocking）、SPA 技术等“先认证，后连接”的方式，解决“先连接，后认证”的传统接入控制方式下，端口暴露的问题，使得端口隐藏在网络中，以达到保护业务系统的目的。

本文采用端口隐身技术中的SPA 技术，对连接服务器的所有数据包进行认证授权，认证通过后服务器才会响应连接请求，且无法直接从互联网上连接和扫描，从而实现业务服务隐身，避免PK 技术中攻击者通过监测客户端流量推测出正确敲门顺序的缺陷。SPA 技术有基于用户数据报协议的SPA（ UDP-based SPA， User Datagram Protocol-based SPA）、基于传输控制协议的SPA （TCP-based SPA，Transmission Control Protocol-based SPA） 和UDP+TCP SPA 3 种技术路线，本文使用的是UDP+TCP SPA 技术路线，该技术路线结合了另2 种技术路线的优点。

用户访问前，客户端需向服务端发送含有身份凭证的UDP SPA 敲门包，身份凭证中包含管理员分发给用户的专属安全码，管理员可在将用户与安全码绑定的同时，给安全码设置有效期，满足运营维护人员的临时接入需求，进一步提升用户接入的安全性。

验证身份成功后，服务端更新本地防火墙规则，开放短时间窗口，允许指定源IP 对设备TCP 端口的访问，在后续的连接建立过程中，参照TCP SPA 流程完成传输层安全性协议（TLS，Transport Layer Security）协商。UDP+TCP SPA 时序图如图2 所示。

图2 UDP+TCP SPA 时序图

（1）客户端向服务端提前发送DTLS 格式的UDP SPA 敲门包，敲门包中Payload 内容包含用户个人安全码、随机数、时间戳和终端设备MAC 地址等；

（2）服务端接收UDP SPA 敲门包后，验证敲门包格式是否正确，若正确，则对Payload 进行解密及验证，否则直接丢弃；

（3）验证通过后，服务端更新设备本地防火墙规则，对合法设备的源IP 临时（如60 s）开放TCP端口访问权限；

（4）客户端发起与零信任代理网关TCP 的连接请求，通过TCP 三次握手后，成功建立TCP 连接；

（5）客户端发起TLS 协商，扩展字段中携带SPA 敲门包；

（6）服务端从扩展字段中解析出SPA 敲门包，对Payload 进行解密及验证；

（7）验证通过后，成功完成TLS 协商，建立SSL 加密传输隧道，开始传输业务数据。

2.2 持续认证技术

本文采用持续认证技术对访问业务系统的用户进行权限控制，支持基于用户的访问环境属性、身份属性、行为属性、设备属性的综合分析，当认证通过时，铁路智能移动终端管控平台授权用户访问业务系统资源，反之则阻断访问。通过动态调整用户访问权限[12]，确保业务系统面对风险时可及时调整权限、抵御风险。一定程度上解决传统静态权限控制技术存在的用户访问权限缺乏灵活性的问题。若上述某一用户属性发生变化，则需重新建立信任到授权访问这一过程[13]，从而达到持续认证的效果，持续认证机制如图3 所示。

图3 持续认证机制

2.3 数据隔离及加密技术

2.3.1 数据隔离技术

数据隔离技术是一种阻止未经授权用户访问敏感数据的安全措施。本文应用数据隔离技术后，可在不同系统的终端设备上创建一个或多个与本地环境逻辑隔离的安全工作空间。数据在写入磁盘时被自动加密存储在数据隔离存储区，空间内应用程序读取数据时自动进行解密。该技术为工作空间中运行的软件或应用提供SSL 通信加密、写入数据加密、剪切板拷贝控制和屏幕水印等数据保护功能。

2.3.2 双密钥机制加密技术

数据隔离存储区内的数据通过双密钥机制加密，比传统的单密钥更为安全可靠。双密钥由用户密钥和文件密钥组成，使用该机制进行加密，即使在不同时间传输相同数据，加密后密文也不相同。一旦数据隔离存储区被攻破，攻击者只能拿到加密后的数据，显著提升数据的安全性。

2.3.2.1 创建密钥

用户密钥在服务端创建用户时，由GUID 随机算法基于服务端硬件设备信息生成[14]，具有唯一性。为保证用户密钥的安全，用户密钥只保存在服务端数据库，不存储在客户端，用户每次登录时均须从服务端获取用户密钥。

文件密钥与用户密钥类似，作为数据的加密密钥，在数据隔离存储区内写入数据时，由GUID 随机算法基于终端硬件信息生成，也具有唯一性。

2.3.2.2 加密及解密流程

（1）加密流程

根据当前创建的文件，生成文件密钥，为保护文件密钥不被明文获取，使用用户密钥对文件密钥进行对称加密，生成加密后的文件密钥，并将其保存在文件头部的偏移区中，双密钥机制加密流程如图4 所示。

图4 双密钥机制加密流程示意

（2）解密流程

从文件头部获取加密后的文件密钥，使用用户密钥对其进行解密，还原出文件密钥，再使用文件密钥对数据进行解密。

3 应用效果

基于零信任理念的铁路智能移动终端管控平台已在中国铁路兰州局集团有限公司（简称：兰州局）投入使用。该平台先后接入财务共享服务管理信息系统、兰铁新视界融媒体平台、红杉树视频会议等业务系统，在兰州局的业务运营和信息安全方面取得良好的应用效果，后续将进一步扩大应用范围，具体应用效果如下。

3.1 收缩业务系统互联网暴露面

铁路智能移动终端管控平台采用端口隐身技术和持续认证技术，严格控制智能移动终端的访问权限，确保只有经过身份验证和授权的设备才能访问业务系统。上述举措有效收缩潜在的网络暴露面，防范未经授权的访问，降低恶意入侵的风险。

3.2 增强数据保护能力

铁路智能移动终端管控平台针对数据进行加密传输和存储，防止敏感数据在传输和存储过程中遭受窃取和篡改，增强数据保护能力，为兰州局重要信息的保密性和完整性提供了有效保障。

3.3 提高业务效率

在铁路智能移动终端管控平台投入使用前，客户端用户登录不同业务系统时，需进行多次身份认证。该平台的应用使得用户仅需登录一次，即可顺利访问授权的各个业务系统，更加高效地远程访问业务系统资源，显著提高业务效率。

3.4 简化综合管理

铁路智能移动终端管控平台的应用，简化了对智能移动终端的综合管理。通过该平台，管理员可集中管理终端和用户权限，实现添加、删除或修改访问权限等功能，并应用全局策略，简化管理流程，实现对智能移动终端的精细化管理。

4 结束语

本文结合零信任理念，设计了铁路智能移动终端管控平台，阐述了平台架构和关键技术，并对该平台在兰州局的应用效果进行深入探讨。该平台实现了对铁路智能移动终端的安全管控，有效地解决了铁路行业面临的智能移动终端安全接入和受控使用的问题，对建设网络安全综合防御体系具有一定的参考价值。在未来的研究和探索中，还将针对零信任理念、信任评估实时性与控制精度、信任算法等，进一步开展应用实践和技术创新。