毕业设计（论文）企业移动办公的安全接入研究及实现

《毕业设计（论文）企业移动办公的安全接入研究及实现》由会员分享，可在线阅读，更多相关《毕业设计（论文）企业移动办公的安全接入研究及实现（61页珍藏版）》请在装配图网上搜索。

1、企业移动办公的安全接入研究及实现作 者 姓 名： 导 师 姓 名： 学 科 门 类： 专 业 名 称：培 养 院 系： 完 成 时 间： 55摘要摘 要随着通信技术的不断发展，尤其是近年来3G无线网络的不断成熟，越来越多的企业工作人员，通过无线网络进行日常网上办公。随之而来的是无线网络的安全问题，由于本身无线公网就缺乏足够的加密条件，所以无线网络移动办公就会给安全性造成极大的问题。本课题就是针对这一安全问题而提出的，其主要目的是：系统解决移动终端通过公用移动通信网络接入企业信息网的安全接入问题，进而实现政府/企业信息网通过公用移动通信网络安全的无线移动延伸，为开放环境下的移动应用提供安全支撑平

2、台。本文的主要工作包括：（1）选用VPN及手机办公终端加固相结合的接入策略，满足移动办公终端无线安全接入要求。（2）选用认证鉴别管理中心支持下的三重防护安全体系架构，构建移动电子政务安全应用支撑平台，形成安全保护环境系统，该系统分为如下四个部分：移动安全终端、安全接入网关、移动代理服务平台和安全认证管理平台。（3）对手机办公终端加密技术进行了研究，选用专用密码芯片，加密手机选用商用密码芯片作为对称算法的运算器件，选用增强型智能IC卡作为公钥算法的运算器件，保证了密码算法的强度和算法运算的正确性；选用智能IC卡作为密钥管理器，保证了密钥的安全存放。（4）对手机办公终端应用系统进行了开发，实现了手

3、机办公终端的移动办公功能。关键字：安全接入平台 移动办公 接入标准AbstractAbstractWith the continuous development of communication technologies, particularly the 3G wireless network continues to mature in recent years, more and more enterprises staff works daily through the wireless network. Followed by a wireless network security,

4、 because of wireless public network lack of conditions of encryption, so Wireless office networks security issue will be largely. This paper is raised for this safety issue, and its main purpose is to solve the security access issues of mobile terminal access to corporate information network through

5、 the public mobile communication network, so as to realize the extension of the security government/corporate information networks based public mobile communication network,and to provide security support for mobile applications platform in the open environment. The major work of this paper includes

6、:1. Used access strategy of both VPN and mobile office terminal reinforcement to meet the requirements of Wireless mobile terminals secure access.2. Selected the security architecture of triple protection, which is passed Identification management centers certification. Set up the security of Mobile

7、 e-government application support platform. The formation of safety protection system, which is consists of four parts as follows: mobile security devices, security access gateways, service platforms and mobile agent security authentication management platform.3. The mobile terminal encryption techn

8、ology has been studied. Use special code chips. Mobile phone use symmetric algorithm computing devices based on commercial password encryption chip. Ensure the strength and correctness of cryptographic algorithms. Smart IC card used as a key manager to ensure the security of the keys stored.4. Devel

9、oped a mobile office applications terminals to realize the mobile terminals mobile office features.Key Words：Safety access platform，Mobile Office，Access Standard目录目 录1 引 言11.1 课题背景11.2 国内外研究现状11.2.1 无线接入安全机制11.2.2 可信计算21.2.3 移动安全接入与应用31.3移动安全接入需求51.3.1 公用移动通信网络的安全架构51.3.2 政府/企业移动接入的安全需求71.4 本章研究的内容8

10、2 安全接入技术研究92.1 安全接入技术研究92.1.1 VPDN/APN技术92.1.2 网络接入控制NAC102.1.3 网络接入保护NAP112.1.4 可信网络连接TNC132.2 安全接入技术分析152.3 本课题所选的安全接入技术152.4 本章小结163 安全接入系统组成与原理173.1 三重防护安全体系构173.2 可信密码卡与可信移动安全终端183.2.1 一体化通信加密卡183.2.2 安全SIM/UIM卡193.2.3 基于可信密码卡的可信移动终端193.3 安全接入网关213.3.1 安全接入网关213.4 典型应用场景和系统工作原理233.5 本章小结244 手机移

11、动办公终端设计254.1 手机办公终端选型254.1.1 技术性能要求254.1.2 网络制式264.1.3 移动终端技术参数264.1.4 移动办公终端效果图274.2 手机办公终端安全加固284.2.1 终端的安全设计284.2.2 密码算法294.2.3 密钥管理314.2.4 加密手机安全性设计与实现324.3 手机办公终端应用系统设计344.3.1 系统实现方式344.3.2 应用接入规范404.3.3 具体接口设计414.3.4 服务方接入服务设计424.3.5 服务方应用接入设计484.3.6 服务方接入设计494.3.7 终端交互设计514.4 功能测试与开发效果544.4.1

12、 安全功能测试与分析544.4.2 手机办公应用系统展示554.5 本章小结565 总结与展望57参考文献58致谢60个人简历 在学期间发表的学术论文及研究成果611 引言1 引 言1.1 课题背景我国的公共移动网络是一种无地域覆盖限制的数字通信资源，能提供较好的数据传输业务，而正在实施的3G实际数据传输速率更可达2M/384Kbps1。另一方面，近年来众多国家级信息化工程和大量的企业进行了信息化的建设，实现了企业办公信息化。由此可见，越来越多的企业选择了在3G无线网络环境下进行移动办公。随着通信技术的不断发展，3G无线网络的不断成熟，越来越多的企业工作人员，通过无线网络进行日常网上办公。随之

13、而来的是无线网络的安全问题，由于本身无线公网就缺乏足够的加密条件，所以无线网络移动办公就会给安全性造成极大的问题。本课题就是针对这一安全问题而提出的，其主要目的是：系统解决移动终端通过公用移动通信网络接入企业信息网的安全接入问题，进而实现政府/企业信息网通过公用移动通信网络安全的无线移动延伸，为开放环境下的移动应用提供安全支撑平台。1.2 国内外研究现状信息安全技术是目前研究的热点领域，特别是无线安全接入技术、可信计算、等级保护等方面的研究更是如此，这些技术从不同侧面都直接间接的影响到移动安全技术的发展。下面将对无线安全接入技术、可信计算和发展趋势进行讨论。1.2.1 无线接入安全机制随着通信

14、技术的不断发展，通信网络从2G迈向了3G，从有线发展到无线，从单一的有线网络发展到有线和无线相结合的混合网络、从有线网络的安全防护研究步入到无线网络的安全研究。近年来，关于无线网络的威胁层出不穷，为此，网络安全专家提出了一系列安全防御技术。但是这些防御技术从根本上都不能保证无线网络的安全，而我国最近提出了一种新的防御技术就是WAPI技术，具有良好的安全防御优点。WAPI技术的提出，大大解决了无线网络安全问题隐患，使无线网络安全加密技术上升到一个新的高度。比如在传输通道的加密方式和加密协议上，它采用的加密算法在理论和实际上是完全不可破解的，极大的提高了无线传输通道的安全性，使得无线数据传输在通道

15、链路上的安全得到了保证，安全传输变成了可能；另外在鉴别方式上，以前的终端设备和中间服务平台平台采用的是单向鉴别技术，而WAPI技术采用的是双向认证鉴别技术，大大的提高了终端接入的安全性。另外使用WPI技术可以使得网络的组网方式变得极其灵活，根据不同的用户需要，建设不同的网络环境，使得WAPI技术更加的灵活和市场化，它有一般如下几个网络环境:(1) 具有独立无线网络的用户，他们是自己建设的无线网络，具备相对的安全性和封闭性，使用统一密钥进行加密，安全性很高；(2) 公共无线网络，具有安全的无线网络中断，安全的接入网络，接入控制服务器里有ASU；(3) 普通居民和家庭的无线网络，具有独立的无线网络

16、终端，公用安全网关和无线网络，同样WAPI技术可以保证他们无线网络的安全性；(4) 企业的无线网络，它应该具备独立的中间服务平台，独立的安全网关，独立的无线网络用户，使用WAPI技术，使得企业的无线网络安全大大的得到了保证。由于WAPI技术的先进性和革命性，因此WAPI技术在我国的无线网络安全防御方面，占有重要地位。WAPI技术司我国信息产业的关键技术国家发展改革委员会2006年将其列为信息产业关键技术产业化专项，另外，WAPI技术的特点表明，公网移动安全技术并不能完全照搬WAPI技术。1.2.2 可信计算可信计算工作组（英文为Trusted Computing Group，TCG）给可信的定

17、义6：可信在数学上理解为是期望，以这种期望的形式，终端设备按照预先制定的目的以规定的方式进行运转。对不同的终端类型和平台，可信计算工作组提出了以下系列完整规范，例如终端电脑、小型服务器、手机、公共通信网、应用软件这些可信平台模块（TPM）7通常是被定义为硬件的方式，放到各种PC机里，它们是可信计算的基础。严格从物理角度来说，这些可信模块是一些软件，被用作安全代理，但是它们是以硬件的方式展现出来的。其实，可信计算平台作为一个安全的整体鉴别体系，来保护每个终端的安全性。可信计算技术的中心是可信平台模块,它具有密码运算功能和存储功能，是可信计算最重要的技术支持。由于它的存在，几乎所有可信平台的操作都

18、是需要授权后，才能进行操作。由于这种特性，可信计算平台的可信任程度就大大的提高。在TPM的机构里，比较重要的部分是安全微控制器,它具备密码运算功能。LPC总线将安全微控制器和PC芯片集结合在一起。TPM向TPM所有者提供密钥，并进行参数配置,加上相应的应用软件,就可以实现完成计算平台的用户身份认证、可靠性认证、安全认证和数字签名。信号输入和输出、散列消息认证码引擎与密码协处理器构成TPM。它的工作过程是这样的：首先使用芯片验证底层器件的完整性,如果底层器件完成，则进行系统的初始化，否则系统不能启动,然后对操作系统和BIOS进行逐一验证,如果操作系统完成，则就开始运行操作系统,否则操作系统不能运

19、行。最后,内置的加密模块会产生系统所需的各种密钥, 保证相应的应用模块安全。可信计算平台是按照如下过程实现的:第一建立一个信任根。它可以保证平台的管理安全。第二建立一条信任链。信任链由硬件平台、操作系统和应用组成,因此整个计算机系统都包含这种信任链。第三进行可信存储、测量和报告。TCG认为TPM可以由硬件或软件实现。可信计算研究在我国发展迅速，在沈昌祥院士领导下，我国基于TPCM芯片的可信计算标准框架已经通过国家按标委的初步审查，武汉瑞达8、中兴等符合TPCM的密码芯片相继推出1，2008年10月，我国第三届可信计算会议成功召开，更是有力的推动了可信计算在信息安全领域的应用。1.2.3 移动安

20、全接入与应用1.2.3.1 国内外现状及存在的问题随着无线网络带宽和网络质量的不断提升，使用移动终端无线上网的用户量不断增加，无线网络市场潜力巨大。由于移动终端的资源有限以及无线网络可靠性等问题的存在，WAP技术应运而生。在通向移动互联网的道路上，WAP以其在无线网络和无线应用中独特而新颖的解决思路在众多解决方案中脱颖而出10。WAP由一系列协议组成，用来标准化无线通信设备，例如：移动电话、移动终端。它负责将Internet和移动通信网络连接到一起，客观上已成为移动终端上网的标准。WAP将移动网络和Internet紧密的连接到一起，提供一种与网络种类、承运商和终端设备都无关的移动增值业务11。

21、移动用户可以像使用它们的台式计算机访问信息一样，用他们的袖珍移动设备访问Internet，从而在移动中随时随地在手机屏幕上浏览Internet上的内容，诸如收发电子邮件、查询数据、浏览金融信息、财经信息等。WAP是公开的全球无线协议标准，并且是基于现有的Internet标准制定的，它以现在的Internet标准及几个新的基于Internet的协议为依据，并依据无线环境的独特性进行了最佳化，也考虑到了无线网络的制约因素(CPU不太强、存储容量少、功耗受限、显示屏较小和不同的输入设备)。WAP提供了一套开放、统一的技术平台。它使用Internet或Intranet内容服务。因此保持了现有的拥有各种

22、开发经验的技术人员的平衡。例如：CGI、ASP、NSAPI、ISAPI、JAVA。WAP协议可以广泛地运用于GSM、CDMA、TDMA、3G等多种网络。它不依赖某种网络而存在，由WAP设计成独立的载体，可以使用各种设备获得最佳传送选择。WAP协议中最重要的就是无线传输层安全WTLS，无线安全传输层WTLS（Wireless Transport Layer Security）被广泛用于移动应用（如WAP）安全保护，是被专门设计用来与WAP配套使用的安全模块。WTLS是根据工业标准TLS Protocol9制定的安全协定，是设计使用在传输层之上的安全层，并针对无线网络环境中的连接方式、计算能力、带

23、宽限制等特点进行了必要的改造，并具有支持数据报服务、支持优化的分组大小以及动态密钥更新等特点。但是现阶段WAP技术在传输层的数据安全传输上存在着一直没有解决的问题：无法对端到端的设备提供安全保护12。目前对WTLS的研究主要集中在以下两个方面：（1）对WTLS握手协议的研究前人的研究有很多是对握手协议中密钥交换的研究，比如叶润国研究了利用ECMQV来增强密钥交换的方法和周永彬分析了在协商过程中可能出现的中间人攻击等问题，而Dongjin Kwak等人早在2003年就指出WTLS握手协议中存在着前向安全性和用户匿名性的安全漏洞。随后，他提出了改进后的基于ECDH密钥交换的WTLS握手协议和改进后

24、的基于RSA密钥交换的WTLS握手协议。但是在2005年，崔媛媛等人指出Dongjin Kwak提出的改进后的基于RSA密钥交换的WTLS握手协议并不能所预期的向前安全性，然后在文章中对该协议进行了改进，使得改进后的握手协议可以提供向前安全性。在2004年，邹学强等人提出了一个基于DH密钥交换方案的WTLS握手协议，这个协议同样改进了前向安全性和用户匿名性。（2）对WTLS仿真的研究对WTLS协议的仿真研究比较少。熊万安在2005年运用OPNET软件对WTLS协议与移动通信节点数的关系、WTLS协议与平均会话时间的关系以及WTLS协议与信道速率的关系都做了探讨。之后，谢湛在熊万安的基础上进一步

25、丰富了仿真的内容，探讨了WPKI再WTLS协议中运行的各种状况。无线辨识模组WIM（wireless identity module）是一种无法被篡改的装置，类似于GSM标准13,14里的SIM模组，用来支持WTLS协定及提供应用层面的安全功能：存放和处理使用者的身份认证信息。无线认证模块是电子识别证书的数据模块。它包括可信证书及客户机证书，提供WTLS交换信息、加密、解密及生成，签名所需的密码及算法。WIM模块可放置在SIM卡中，称为SWIM卡。在传输通道的安全加固上，同样要是用智能加密卡对其进行安全加固，因此WAPI技术中提出的WIM的技术，解决这个问题。它的过程如下：通信终端在WAP协议

26、下，与终端设备通过安全接入网关，进行通信。但是WTLS只对安全接入网关提供保护。因此，WAP怎么才能提供完整的端到端的安全保护，成为了人们研究的热门问题。1.2.3.2 发展趋势由于受到计算能力和存储资源的限制以及终端操作系统多样性的影响，移动应用移植和开发的复杂性和成本压力都面临着严重的挑战。具体需求表现在：移动安全方面，其发展趋势是必须满足等级保护的基本规范要求，必须符合我国密码管理规范的密码技术；移动应用方面，要能实现现有信息系统到移动应用的简单、低成本的快速移植。在移动应用安全方面，由沈昌祥院士为代表的我国信息安全知名专家倡导并提出的三部件安全体系架构已得到了国内、乃至国际安全专家学者

27、的认同，WAPI、TCG、TPM无一不体现出三部件安全体系架构的思想。平台采用认证鉴别管理中心支持下的三重防护安全体系架构，构建移动安全接入支撑平台，形成安全保护环境系统。1.3移动安全接入需求1.3.1 公用移动通信网络的安全架构公用移动通信网络，由网络接入完全、核心网域安全、用户域安全、应用域安全和安全特性可见性组成。图1.1是公用移动通信网络结构图：ME：移动设备 USIM:用户标识服务模块 SN:服务网络 HE:归属网络 AN：接入网络网络接入安全(I) 核心网域安全(II) 用户域安全（III） 应用域安全(IV) 安全特性可见性及可配置能力（V）图1.1 公用移动通信网络安全体系结

28、构图1)设备终端安全它主要在设备终端的网络接入部分形成有效安全保护，具有以下四个功能：传输信息在解密后，信息、数据不会发生丢失情况；可以对用户进行身份鉴别；可以实现用户的信息、位置、个人资料的保密性；对终端设备的接入，传输进行加密算法的安全加密，形成传输数据的不可破译；网络安全逐渐从有线网络安全发展到无线网络安全。3G无线网络安全将是新的安全技术研究领域。2)网络安全在所有安全防护，网络安全是重中之重。网络安全防护体系是一个综合的防护体系，目前现在所有的安全防御手段都不能从技术上保证网络安全体系的绝对安全，也无法解决这个问题。所以网络安全的加密防护，是一个综合和全面的安全防护体系。3)使用者网

29、络安全在目前的安全威胁中，最大的威胁来自于使用者的安全威胁。由于使用者自身的疏忽而造成的安全事故是非常的多的。要从以下几个方面来加强:首先，要对使用者的设备包括电脑、手机等移动终端的网络防御安全予以加强。不仅要进行统一的漏洞扫面、统一的桌面管理，还要定期对病毒进行扫描，防止出现病毒感染事件。其次，要加强对使用人员的安全防护意识和防护手段的培训，定期组织学习，了解当今计算机和手机危害病毒的主要形式，同时加强对设备终端的操作培训，以免违规操作感染不必要的病毒。4)网络中间服务安全由于目前企业信息网络构成是极其复杂，很多是有线网络和无线网络混合构成的。并且，企业信息网络具备强大的网络服务功能，会有许

30、多网络中间服务平台与大量的服务主机。因此，这些服务器的安全对企业自身的网络安全也是至关重要的，如何保护网络中间服务平台的安全，保障企业信息的畅通、安全传输，也是一个新的研究课题。5)网络参数配置安全办公人员在使用网络服务的时候，需要网络提供强大的服务，因此就需要提供强大的安全服务环境。1.3.2 政府/企业移动接入的安全需求 政务部门/企业通过无线移动网络延伸信息应用时，其安全需求主要是体现在应用域的安全、用户域的安全和安全特性可配置管理方面。移动接入安全不仅要解决移动终端、公网传输、移动应用、安全兼容等单一方面的安全需求，更要重视移动接入作为一个系统整体的安全需求，这些需求综合表现在：1）

31、传输安全u 端到端数据加密传输u 适合移动终端的认证措施u 主流移动终端的支持2） 明显的网络边界划分和相应的安全保障措施u 内部信息专网和移动接入网的边界划分和安全连接u 移动接入网和公用通信网络的边界划分和安全连接u 防内部敏感信息非授权外流3） 适合我国密码管理策略的密码算法配置u 硬实现的加密机制u 商用密码算法4） 支持多种安全接入方式u 在线接入u 短消息接入5） 支持主流通信手段u 3G/Wi-Fiu CDMA1x/EDGE/GPRSu GSM6） 支持的终端形式包括：u 手机u PDAu 笔记本7） 安全特性可配置管理u 统一配置、管理u 统一策略u 统一审计1.4 本章研究的

32、内容本文的主要任务是企业移动办公的安全接入研究及实现。研究在已有的3G无线网络系统中，不改变通信标准和协议的基础上，通过相应的安全接入技术（VPN），研究相应的安全接入系统，制定相应的手机终端加固策略，实现了无线网络的安全接入；通过对手机终端进行专用办公客户端的开发以及手机终端的安全加固，实现手机的移动办公功能。本文内容安排如下：第一章 简述了移动安全接入的现状，给出了课题的研究背景、意义和国内外现状。第二章 详细叙述了国内外现有的安全技术，并进行相应的安全接入分析，给出了课题的安全接入技术。第三章 详细叙述了安全接入系统的组成与原理。第四章 详细叙述了手机移动办公终端的设计。第五章 对本文所

33、做的工作进行总结和展望。3 安全接入系统组成与原理2 安全接入技术研究2.1 安全接入技术研究自防御网络架构（Self-defending Network Architecture）的最重要组成部分是安全接入技术。目前具有代表性的安全接入技术包括：移动通信网络提供的无线VPDN技术、APN (Access Point Network)技术，网络接入控制NAC技术，网络接入保护技术NAP以及TCG组织的可信网络连接TNC技术等。2.1.1 VPDN/APN技术VPN技术是利用隧道技术，通过在公用网络上建立逻辑隧道，对网络层进行加密以及采用口令保护、身份验证等措施而实现的，该技术允许移动终端通过公

34、用网络建立到专用网络的安全接入。无线VPDN(Virtual Private Dialup Network)技术16、APN技术是目前移动通信网络提供的虚拟私有网络（VPN）技术1819。VPDN是指移动终端通过CDMA1X分组域的接入认证，在分组数据服务节点(PackageData Service Node，PDSN)和专用网之间建立起专用隧道，终端经过分组网PDSN与专用网的边界设备LNS(L2TP Network Server)间建立起PPP(Point to Point Tunnel Protocol)连接，用户传输的数据流通过隧道到达专用网，就像用户直接通过专线连接到专用网一样17。

35、详细接入流程见图2.1：图2.1 VPDN业务实现流程图移动终端（ME）通过无线拨号方式和无线网络（RN）建立业务信道（TCH），通过分组控制功能(PCF)和分组数据服务节点（PDSN）建立连接，PDSN基于ME提供的用户名和口令向AAA（认证、鉴权、计费设备）提交RADIUS（Remote Authentication Dial In User Service）认证请求，当本次VPDN业务接入的认证通过后，PDSN得到用户对应的企业LNS地址，使PDSN与企业LNS之间建立隧道，然后进行企业用户的LCP（Link Control Protocol）协商，建立ME到专用网的PPP连接。VPDN

36、的技术特点是在PDSN和企业LNS之间建立二层链路隧道L2TP（Layer Two Tunnel Protocol），VPDN的用户接入认证基于用户名和口令，ME和RN之间的安全基于网络本身的安全性，RN和PDSN之间的连接基于CDMA骨干网络，通过在企业侧部署AAA可以实现IMSI号码和用户绑定来增加安全性。应该说VPDN具有较好的通信安全性。但对于移动通信环境下的网络接入而言，存在如下的担忧：VPDN没有建立端到端的安全隧道；采用了用户名加口令的认证方式，不如采用数字证书的强认证方式安全性高；由于采用密码算法的脆弱性，移动终端ME和RN之间无线信道存在一定的安全隐患；CDMA核心网安全架构

37、脆弱，面临着IP网络所固有的一系列问题；加密算法不支持我国自主加密算法。另外，VPDN仅仅考虑了传输安全，对终端安全基本上没有考虑，不能满足移动通信环境下的可信网络接入的需求。访问节点网络APN是GPRS/EDGE网络的一种虚拟专网技术。APN的业务流程和VPDN类似，最大不同是由GGSN（网关GPRS支持节点）和企业网关设备建立GRE（Generic Routing Encapsulation 通用路由封装协议）第三层安全隧道。2.1.2 网络接入控制NACNAC技术是Cisco公司提出的一个分布式控制、集中安全策略管理的架构，用以保证端点设备在接入网络前完全遵循本地网络内需要的安全策略22

38、。其中交换机、无线AP和路由器进行系统的分布式控制功能，这样如果通过用户通过服务器，才可以接入网络。如图2.2所示：图2.2 NAC网络接入控制NAC主要有以下部分组成：(1)可信代理（Cisco Trust Agent，CTA）。每一个终端用户设备（end-user,host）都要部署CTA，CTA可以从多个安全软件组成的客户端防御体系收集安全状态信息(如防毒软件、操作系统更新版本、信任关系等)，可信代理CTA将安全状态信息（Identity Posture）传送到网络中接入设备NAD(Network Access Device)，并由网络接入设备提交到策略服务器ACS(Access Con

39、trol Server)。(2)网络接入设备NAD：安全设备、路由器、交换机和无线接入点组成了网络安全设备。它们的主要功能是接入安全保护控制功能，设备主机必须拥有相应的安全凭证，通过策略服务器网络，才可进行网路的安全接入。(3)策略服务器ACS：负责评估来自网络接入设备的端点安全信息，网络接入设备接受终端计算机请求信息（包括安全状态信息），然后将信息传送到策略服务器，由策路服务器决策和判定：允许、拒绝、隔离或限制。(4)外部安全状态验证服务器（External Posture Validation Server）：完成安全状态确认并向策略服务器ACS返回一个安全状态令牌。(5)修补服务器（Re

40、mediation servers）：向不能满足网络接入条件的终端用户设备提供修补和升级服务。(6)用户标识库（user identity）。NAC通过网络基础设施强制所有希望获得网络计算资源的设备保持安全策略的一致性。通过NAC，可以只让符合安全策略的终端设备接入，拒绝不符合安全策略的终端设备接入，从而保证整个网络的安全。2.1.3 网络接入保护NAP网络接入保护NAP由微软提出，它通过健康策略合法校验（Health Policy Validation）的方法来判断接入网络的终端设备健康状态一致性（Health Policy Compliance），进而完成终端设备的接入控制23。NAP主要

41、有以下部分组成：(1) NAP终端。指支持NAP，需要接入特定网络的PC、笔记本等计算平台。包括：执行客户EC（NAP enforcement client components）、系统健康代理SHA（system health agent components）、NAP代理（NAP Agent）和API等组件。(2) NAP 执行点（NAP enforcement points）。网络接入设备，通过策略服务器NPS确认终端设备的健康策略，对于不符合当前系统运行状况要求的计算机，实行强制受限网络访问。NAP执行点由若干ES组件（NAP Enforcement Server components

42、）组成。(3) NAP健康策略服务器NPS（NAP health policy servers）。提供策略需求管理、健康策略验证、确认，并承担AAA（Authentication, Authorization, and Accounting）服务。包括：NPS服务、NAP管理服务、系统健康验证SHV（System Health Validator components）和API等组件。(4) 健康规格服务器（Health requirement servers）。能够提供满足健康策略的实时健康状态服务（例如一个反病毒软件最新版本跟踪）。(5) 受限网络（Restricted network）。

43、包含修补服务设备的逻辑隔离网络，为NAP终端提供修补服务。(6) 活动目录服务（Active Directory Domain Service）。存储发布证书、属性和群组策略设置等信息。向IPsec通信保护、802.1x24认证连接和远程VPN连接时需要活动目录服务的支持。NAP支持下的终端接入架构如图2.3所示：图2.3 NAP网络接入保护一个终端要接入指定网络，需要以下步骤：1）终端平台NAP代理通过健康代理组件SHA收集平台的健康状态，通过执行客户组件将健康信息发送到NAP执行点；2）NAP执行点接收EC发过来的相关信息，以RADIUS接入请求消息（Access- Request mes

44、sage）的形式发送到NAP策略服务器NPS；3）NPS服务组件验证终端的健康状态；4）NAP执行点根据NPS的验证结果决定是否允许终端接入；5）如果不能接入，则接入受限网络，进行修补，完善平台的健康状态。2.1.4 可信网络连接TNC可信网络连接TNC25由TCG组织制订，目的是保障具有TPM的终端与计算机网络的可信网络连接。可信网络连接通过网络访问请求，搜集和验证请求者的完整性信息，依据一定的安全策略对这些信息进行评估，决定是否允许请求者与网络连接，从而确保网络连接的可信性。TNC体系接入技术从设备终端到服务器的数据是可信的，因可以保证端对端的传输安全，其结构如图2.4所示。图2.4 TN

45、C结构可信网络连接TNC的实体（Entity）包括：1）访问请求者AR（Access Requestor），必须的实体。指拟接入保护网络的终端。2）策略决定点PDP(Policy Decision Point) ，必须的实体。基于策略决定是否接受AR的接入请求。3）策略执行点PEP(Policy Enforcement Point)，可选的实体。根据PDP的决定，决定是否允许AR的接入。4）元数据接入点MAP（the Metadata Access Point ），可选的实体。存储和发布AR的状态信息，以供PDP决策。5）流控制器和传感器（Flow Controllers and Sensor

46、s），可选的实体。流控制器基于MAP的信息执行网络活动控制；传感器检测网络的活动并向MAP提供信息。访问请求者AR试图接入保护网络，这个网络被策略执行点PEP保护，PEP根据策略决策点PDP的判定，决定是否允许AR接入被保护网络。访问请求者AR包括TNC客户（TNC-Client）、完整性度量采集器IMCS（Integrity Measurement Collectors）和完整性评估等组件，终端中的可信属性由IMCS负责收集。完整性度量验证器(Integrity Measurement Verifiers ,IMVS)与设备服务器构成了PDP。安策略终端和访问控制等安全策略技术指导PDP完成

47、进程工作。具体执行流程如下：（1）PDP上的TNC服务（TNC-Server）初始化完整性检测；（2）TNC客户利用IMCS收集宿主平台的完整性度量值；（3）TNC客户通过PEP把收集的完整性度量值发送到PDP的TNC服务；（4）IMVS将根据一定的策略安全对TNC-Serve完整性度量值判断，并将判定结果反馈给TNC-Server；（5）TNC-Server作出最后决定，把它发送给PEP和AR。以沈昌祥、张兴等组成的中国可信计算规范标准起草小组，对我国可信网络连接规范做了深入的研究，提出了基于三元对等鉴别的访问控制方法，对TCG的TNC规范做了修改，提出了三元对等可信网络连接规范，其框架如图

48、2.5：图2.5 三元对等的TNC网络连接架构123三元对等的可信网络连接架构中，存在三个实体：访问请求者、访问控制器和策略管理器，从上至下分为三个层次：完整性度量层、可信平台评估层和网络访问控制层。并引入了三元可扩展鉴别协议TePA-AC (Tri-element Extensible Authentication Protocol)、基于三元对等鉴别的访问控制方法（Access Control Method based on Tri-element Peer Authentication）。在网络访问控制层，网络访问请求者、网络访问控制者通过执行用户身份鉴别协议实现双向用户身份鉴别，策略管

49、理器作为可信的第三方提供鉴别服务。在可信平台评估层，可信网络连接客户端和可信网络连接服务端在策略管理器（可信第三方）的配合下，执行可信平台评估协议，实现访问请求者和访问控制器之间的双向可信平台评估（包括平台身份鉴别和平台完整性校验）。在可信平台评估过程中，不管哪个平台（访问请求者、访问控制者）身份未成功鉴别，均断开连接；否则，验证平台完整性校验是否成功通过。若平台完整性校验成功通过，访问请求者连接访问控制器并可访问保护网络。否则，接入隔离域对自身平台进行修补，修补后可重新进行可信平台评估过程。在完整性度量层，完整性收集者收集访问请求者和访问控制器的平台完整性度量值，完整性校验者校验这些平台完整

50、性度量值，并通过相关接口为可信平台评估层服务。2.2 安全接入技术分析VPDN、APN实际上是一种VPN，它是通过在公用移动通信网络上建立逻辑隧道，对网络层进行加密以及采用口令保护、身份验证等措施而实现的，该技术允许移动终端通过公网建立到专用网络的安全接入。但是，VPDN、APN仅仅是做了网络传输安全保护，对终端安全基本上没有考虑，不能满足移动通信环境下的可信网络接入的需求。NAC和NAP技术存在无法解决的技术缺陷，经过权威专家论证，使用两种技术都可能遭受终端计算机传播的恶意病毒的危害，从而危害无线网络的安全体系。另外NAC和NAP技术主要从移动终端获取数据，当设备终端感染病毒时，这两种技术都

51、检测不出来病毒攻击。因此，NAC和NAP无法确保终端、传输通道和设备服务器整体的安全，存在被病毒大规模攻击的可能性。一旦设备终端，感染了恶意病毒，同时NAC和NAP技术又无法检测出来，那么企业整体的网络安全体系将会受到极大的考验。TNC连接克服了NAC、NAP未关注终端可信的缺点，TNC要求验证请求者的完整性信息，策略服务器依据一定的安全策略对这些信息进行评估，决定是否允许请求者与网络连接，从而确保网络连接的可信性。但TCG规范的TNC仅仅关注对接入终端的完整性验证，没有考虑策略执行点遭到攻击、破坏时的安全问题，为此中国可信联盟提出了三元对等鉴别的访问控制方法，加强了策略执行点的完整性保护，但

52、其协议过于复杂。另一方面，可信网络连接对完整性管理问题论述不够，平台各组件的完整性参照值是可信度量的基准值，其制作、发布、获取和比较过程需要进行设计与实现，完整性管理问题解决不好，会造成可信平台各组件升级、改版后无法有效部署，从而限制可信平台的应用。2.3 本课题所选的安全接入技术由于VPN通道替代了传统的拨号访问，利用Internet公网资源作为企业专网的延续，节省昂贵的长途费用。VPN 乃是原有专线式企业专用广域网络的替代方案，VPN 并非改变原有广域网络的一些特性，如多重协议的支持、高可靠性及高扩充性，而是在更为符合成本效益的基础上来达到这些特性。VPN通过安全的数据通道将远程用户、公司

53、分支机构、公司业务伙伴等跟公司的企业网连接起来，构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在，仿佛所有的主机都处于一个网络之中。公共网络仿佛是只由本网络在独占使用，而事实上并非如此，所以称之为虚拟专用网。总之，VPN就是要实现：低成本的安全稳定互通。因此，本文的安全通道采用的是移动TD-SCDMA专用VPN，同时考虑到VPN通道不能保证终端的安全性，故需要在终端采取一定的安全加固措施，保证终端的安全性。2.4 本章小结本章主要是安全接入技术的研究。首先详细阐述了国内外主流的4种安全接入技术（VPN、NAC、NAP和TNC）的概念与接入原理，然后重点分析比较了4种安全接入技

54、术的优缺点。最后提出了VPN技术与移动终端安全加固相结合的安全接入策略。NAC和NAP技术存在无法解决的技术缺陷，经过权威专家论证，使用两种技术都可能遭受终端计算机传播的恶意病毒的危害，从而危害无线网络的安全体系。而TNC连接克服了NAC、NAP未关注终端可信的缺点：TNC要求验证请求者的完整性信息，策略服务器依据一定的安全策略对这些信息进行评估，决定是否允许请求者与网络连接，从而确保网络连接的可信性。但是可信网络协议过于复杂，并且可信网络连接对完整性管理问题论述不够，从而限制可信平台的应用。而VPN技术可以保证无线传输通道的安全性，但是不能保证移动终端的安全性。因此VPN技术与移动终端安全加

55、固相结合的安全接入策略既可以保证传输通道的安全性，又可以保证移动终端的安全性。3 安全接入系统组成与原理3 安全接入系统组成与原理政务部门/企业通过无线移动网络延伸信息应用时，其安全需求主要是体现在应用域的安全、用户域的安全和安全特性可配置管理方面。本文采用安全标记保护级的等级保护规范，基于自适应交互视图转换技术和符合我国密码管理规范的密码技术，在公用移动通信网络环境下，解决移动应用的安全技术、开发移植复杂性和开发技术成本压力等问题。3.1 三重防护安全体系构本文采用认证鉴别管理中心支持下的三重防护安全体系架构，构建移动电子政务安全应用支撑平台，形成安全保护环境系统，该系统分为如下四个部分：移

56、动安全终端、安全接入网关、移动代理服务平台和安全认证管理平台。各系统的主要功能如下：1）移动安全终端移动终端分三种，分别是基于TF密码卡的智能手机、基于USB一体化通信加密卡的笔记本终端和基于STK技术的安全SIM卡（短消息应用）。移动安全终端对现有Windows/Mobile操作系统进行安全增强，增加标记、强制访问控制等安全功能，增强身份鉴别机制的安全性，使其部分满足GB17859的三级要求。移动安全终端通过在操作系统核心层、系统层设置以强制访问控制为主体的系统安全机制，形成了一个严密牢固的防护层，通过对用户行为的控制，可以有效防止非授权用户访问和授权用户越权访问，保障系统的机密性和完整性安

57、全。移动安全终端通过密码服务中间件向上层应用提供安全服务；移动安全终端和安全接入网关之间形成虚拟安全传输通道。2）安全接入网关在安全增强的Linux操作系统的基础上，对基于公用移动通信网络传输的信息流进行封装，确保信息在传输过程中不会被非授权窃听和篡改。3）移动代理服务平台移动代理服务平台又称数据安全交换平台。平台对流入或流出政务信息网的信息进行安全检查，增强其强制访问控制功能，保障安全保护环境的安全性不会受到破坏，拒绝违背系统安全策略的信息流经过边界平台通过标准Web服务接口为现有电子政务信息系统提供实现办公和业务应用移动化的通信能力和管理能力。应用接入适配插件通过与现有电子政务信息系统耦合

58、，采用自适应交互视图转换技术，实现办公和业务应用的移动化。4）认证管理服务平台对安全保护环境中的移动安全终端、移动代理服务平台、安全接入网关的安全机制实施集中管理，包括标记管理、授权管理、策略管理等。3.2 3.2 可信密码卡与可信移动安全终端3.2.1 一体化通信加密卡一体化通信加密卡分三种形式，具体包括：安全PCMCIA卡、安全USB卡和车载USB卡三种。1、安全PCMCIA卡安全PCMCIA卡配置有专用算法芯片、RSA算法芯片以及相应的数据缓冲芯片和PCMCIA接口芯片，这些芯片在主控芯片的控制下完成密码服务，PCMCIA接口芯片主要提供数据加密卡与主机主板的接口及信号的转换，完成板卡的

59、数据与主机数据的交换。输入输出缓冲器完成PCMCIA总线到内部的数据缓冲，避免数据传输成为加密卡数据处理的瓶颈。同时，它也使PCMCIA总线对加密卡上的SRAM、FLASH不能直接访问，起到了安全隔离功能。主控芯片是安全PCMCIA的控制核心，内部包括FLASH存储区和RAM存储区，数据加密卡上的会话密钥密文、工作密钥明文的暂存在RAM区，加密卡上的工作密钥密文和公私钥对存储在FLASH区，并可以设置不可读出状态。安全PCMCIA卡在上电以后，首先进行初始化。初始化工作主要完成参数初始化、初始口令设置与口令认证、设备合法性认证和硬件正确性进行检查等工作。2、安全USB卡安全USB卡以32位安全

60、芯片为核心，其物理组成如图3.1：图3.1 安全USB卡的组成原理安全USB卡的工作原理类似安全PCMCIA卡，这里不再详述。3、车载USB卡车载USB卡是在安全USB卡的基础上增加抗震措施，并针对车载专用操作系统做了适应性处理。3.2.2 安全SIM/UIM卡安全SIM卡是用于移动终端通讯的SIM卡，和移动终端配合工作。安全SIM卡的核心部分是其中的卡片安全体系。卡片的安全体系从原理上可以分为安全状态、安全属性、安全机制、密码算法和密钥管理机制。1、安全状态安全状态是指卡在当前所处的一种安全级别。2、安全属性安全属性是指对某个文件进行某种操作时所必须满足的条件，也就是在进行某种操作时要求安全

61、状态寄存器的值是什么。安全属性又称访问权限，一种访问权限在建立该文件时用一个字节指定。3、安全机制安全机制是指某种安全状态转移为另一种安全状态所采用的方法和手段。4、密钥管理机制5、应用安全机制3.2.3 基于可信密码卡的可信移动终端移动终端分两种，分别是基于TF密码卡的智能手机、基于USB一体化通信加密卡的笔记本终端。移动安全终端的技术特点如下：1）TF密码模块、USB一体化通信加密卡作为系统可信的根，并由该可信根引导操作系统、内核模块的加载。2）标记：对系统中的重要进程、文件进行标记，支持敏感主客体在整个生命周期中其标记信息都是准确完整一致的。3）强制访问控制：支持BLP强制访问控制模型，

62、能够保护信息系统的机密性不受破坏。3）身份鉴别：基于可信硬件设备（TF密码模块、USB一体化通信加密卡）的安全身份鉴别机制，且可以通过安全的机制将身份与授权权限绑定。4）审计：对系统中所有违反安全策略的操作进行审计。5）数据完整性：通过自主和强制完整性策略，阻止非授权用户修改或破坏敏感信息。6）安全接入：基于可信硬件设备（TF密码模块、USB一体化通信加密卡）和安全接入网关间建立安全的传输通道移动安全终端的组成结构如图3.2所示：图3.2 移动安全终端组成结构TF密码卡基于专用安全芯片，和手机之间采用MacroSD（即TF）接口标准。USB一体化通信加密卡是面向笔记本安全接入的芯片加密和移动通

63、信系统，在存储个人数字身份证书和签名私钥，实现数字签名、签名验证和数据加解密等密码服务的同时，同一卡内实现移动通信服务。TF密码卡/USB一体化通信加密卡采用我国当前主流的商用密码分组算法进行数据加密传输,支持RSA、ECC公钥密码算法，支持GPRS/CDMA1x/3G等多种接入方式，可用作网络客户端信息安全识别载体，能提供标准的CSP服务，支持PKCS系列标准。移动安全终端通过级别检查调整控制安全代理模块，实现和安全认证管理平台、策略服务器以及其他终端平台之间的信息交互，包括标记信息的同步、安全策略的同步、可信证明的信息交互等。系统在启动过程中，安全代理模块负责从安全认证管理平台请求安全策略。资源访问控制执行模块获得主体对客体资源的访问请求，并将资源访问请求发送至访问控制决策模块对访问请求进行裁决，并将结果提交审计模块进行审计。移动终端将TF密码卡/USB一体化通信加密卡作为系统的可信根，通过修改系统的MBR模块，由可信密码卡对操作系统的关键文件进行检测，如发现更改则终止系统的启动，通过检测后，操作系统正常启动。操作启动过程中，自动加载文件过滤驱动，同时自动启用VPN与网络防火墙。启动完毕，用户正确登录后，正常使用计算机，但此时与文件相关的所有操作均需要通过文件过滤驱动的检测