談鐵路移動(dòng)互聯(lián)網(wǎng)安全接入技術(shù)方案

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了談鐵路移動(dòng)互聯(lián)網(wǎng)安全接入技術(shù)方案范文，希望能給你帶來(lái)靈感和參考，敬請(qǐng)閱讀。

摘要：本文研究的重點(diǎn)在于移動(dòng)互聯(lián)網(wǎng)網(wǎng)絡(luò)接入安全、安全傳輸VPN以及進(jìn)行安全防護(hù)的方法等，保障用戶和網(wǎng)絡(luò)之間的安全性，包括身份認(rèn)證、隱私機(jī)密等各個(gè)方面，為建立移動(dòng)互聯(lián)網(wǎng)安全體系提供理論上的參考和技術(shù)方面的支撐。

關(guān)鍵詞：移動(dòng)互聯(lián)網(wǎng)；應(yīng)用級(jí)SSL；VPN；隧道；VPDN；身份認(rèn)證

鐵路無(wú)線接入其實(shí)就是在鐵路綜合信息網(wǎng)局域網(wǎng)終端應(yīng)用無(wú)線技術(shù)，實(shí)現(xiàn)用戶終端網(wǎng)絡(luò)的無(wú)線接入。移動(dòng)互聯(lián)網(wǎng)真正地實(shí)現(xiàn)了互聯(lián)網(wǎng)和移動(dòng)通信之間的融合，用戶可以利用多種多樣的移動(dòng)終端來(lái)連接網(wǎng)絡(luò)。無(wú)線接入技術(shù)和移動(dòng)互聯(lián)網(wǎng)的應(yīng)用越來(lái)越常見，在實(shí)際操作中經(jīng)常需要運(yùn)用上述技術(shù)來(lái)開展業(yè)務(wù)，比如人員現(xiàn)場(chǎng)操作、機(jī)關(guān)辦事人員移動(dòng)辦公、業(yè)務(wù)人員幫忙作出決策等。盡管引入上述先進(jìn)技術(shù)可以有效提升工作效率，但是同時(shí)也使鐵路系統(tǒng)面臨著新的風(fēng)險(xiǎn)，在應(yīng)用上述技術(shù)時(shí)如何做好安全防護(hù)工作一直是一個(gè)非常關(guān)鍵的問題，相關(guān)研究不夠系統(tǒng)，因此鐵路系統(tǒng)當(dāng)前在運(yùn)用兩項(xiàng)技術(shù)的同時(shí)迫切需要保障安全性。

1移動(dòng)互聯(lián)網(wǎng)接入安全性分析

移動(dòng)互聯(lián)網(wǎng)在發(fā)展過程中也面臨著一系列的問題，實(shí)際上這些問題都是由于移動(dòng)終端、移動(dòng)網(wǎng)絡(luò)、移動(dòng)互聯(lián)網(wǎng)在應(yīng)用中存在的風(fēng)險(xiǎn)導(dǎo)致的，常常會(huì)出現(xiàn)信息泄露、盜用、篡改、偽基站等各個(gè)方面的風(fēng)險(xiǎn)。

1.1不可信網(wǎng)絡(luò)傳輸

人們可以借助移動(dòng)終端在任意一個(gè)場(chǎng)合或環(huán)境之下借助無(wú)線網(wǎng)絡(luò)或者互聯(lián)網(wǎng)進(jìn)入自己的工作系統(tǒng)，當(dāng)數(shù)據(jù)在網(wǎng)絡(luò)上進(jìn)行傳輸?shù)臅r(shí)候，就面臨著來(lái)自各個(gè)方面的攻擊和竊聽風(fēng)險(xiǎn)。尤其通過移動(dòng)設(shè)備，在公共場(chǎng)所辦公時(shí)，無(wú)線網(wǎng)“熱點(diǎn)”可能會(huì)帶來(lái)欺騙，誘導(dǎo)、監(jiān)視。黑客對(duì)用戶進(jìn)行誘導(dǎo)、監(jiān)視，在用戶進(jìn)行網(wǎng)上沖浪時(shí)盜取其賬號(hào)，獲取工作上的相關(guān)機(jī)密。

1.2不嚴(yán)密的應(yīng)用管控

如今，企業(yè)很多業(yè)務(wù)都通過移動(dòng)設(shè)備來(lái)進(jìn)行，移動(dòng)業(yè)務(wù)的發(fā)展速度已經(jīng)超過了信息安全的保障機(jī)制更新速度，各個(gè)應(yīng)用沒有進(jìn)行科學(xué)的安全性評(píng)測(cè)便向用戶開放，可能會(huì)使移動(dòng)用戶借助網(wǎng)絡(luò)獲取機(jī)密程度高的一些數(shù)據(jù)。由于訪問權(quán)限設(shè)置的不合理性以及審計(jì)措施的不科學(xué)性，可能會(huì)導(dǎo)致一些嚴(yán)重的泄密事件[1]。

1.3主動(dòng)或被動(dòng)信息泄密

當(dāng)利用移動(dòng)終端辦理相關(guān)業(yè)務(wù)時(shí)，用戶便可以將系統(tǒng)中的數(shù)據(jù)下載到本地進(jìn)行存儲(chǔ)，由于移動(dòng)終端的位置不是確定的，而且很容易出現(xiàn)數(shù)據(jù)遺失和數(shù)據(jù)被交換的情況，導(dǎo)致數(shù)據(jù)信息很容易擴(kuò)散，進(jìn)一步提升了機(jī)密泄露的概率。為了使移動(dòng)應(yīng)用更加安全可靠，鐵路總公司需要構(gòu)建移動(dòng)信息化平臺(tái)作為強(qiáng)有力的支撐，從傳輸、接入、終端等各個(gè)環(huán)節(jié)保障安全性，同時(shí)也要充分在信息數(shù)據(jù)和移動(dòng)應(yīng)用的安全方面做好防護(hù)，充分保障鐵路系統(tǒng)移動(dòng)應(yīng)用安全。

2鐵路移動(dòng)互聯(lián)網(wǎng)接入安全防護(hù)方案

在鐵路移動(dòng)信息化建設(shè)的發(fā)展初始階段，應(yīng)用的數(shù)量不多，在移動(dòng)應(yīng)用安全保障方面，常常只對(duì)某個(gè)應(yīng)用進(jìn)行相應(yīng)的設(shè)計(jì)，僅僅針對(duì)這一應(yīng)用進(jìn)行安全防護(hù)方面的投入，這就使得當(dāng)移動(dòng)應(yīng)用數(shù)量增加時(shí)，會(huì)出現(xiàn)反復(fù)投入的情況，并且管理起來(lái)難度加大，目前已經(jīng)出現(xiàn)與移動(dòng)信息化發(fā)展的腳步不相適應(yīng)的情況。為了在鐵路系統(tǒng)中實(shí)現(xiàn)無(wú)線接入和移動(dòng)互聯(lián)網(wǎng)安全接入，并且按照相應(yīng)的技術(shù)規(guī)范，在充分保證安全性的前提下，盡量避免針對(duì)某一個(gè)應(yīng)用單獨(dú)投入，有效地節(jié)約投資，對(duì)網(wǎng)絡(luò)架構(gòu)進(jìn)行重構(gòu)和改善，保障移動(dòng)終端的安全性，就需要在鐵路綜合信息網(wǎng)中構(gòu)建安全接入的平臺(tái)，完善基礎(chǔ)設(shè)施建設(shè)，使用戶和業(yè)務(wù)人員的需求得到充分的滿足，保障企業(yè)各項(xiàng)數(shù)據(jù)的安全性。鐵路移動(dòng)公網(wǎng)安全接入平臺(tái)是建立在總公司和路局機(jī)關(guān)局域網(wǎng)外部服務(wù)網(wǎng)中的，包含了VPN接入網(wǎng)關(guān)和移動(dòng)管理系統(tǒng)。在這一平臺(tái)中，用戶可以通過移動(dòng)終端來(lái)接入網(wǎng)絡(luò)，同時(shí)還能保障接入安全，通過集中管理移動(dòng)終端的方式進(jìn)一步加強(qiáng)網(wǎng)絡(luò)接入的安全性，具體的邏輯架構(gòu)和拓?fù)浣Y(jié)構(gòu)如下圖所示。本方案需要借助鐵路統(tǒng)一目錄服務(wù)平臺(tái)和PKI/CA，從傳輸、接入、應(yīng)用三個(gè)角度對(duì)方案進(jìn)行優(yōu)化，最大程度地降低無(wú)線接入的風(fēng)險(xiǎn)

2.1移動(dòng)互聯(lián)網(wǎng)接入整體安全

用戶通過移動(dòng)終端接入移動(dòng)互聯(lián)網(wǎng)，安全接入平臺(tái)主要負(fù)責(zé)保障網(wǎng)絡(luò)接入安全。移動(dòng)終端通過移動(dòng)互聯(lián)網(wǎng)訪問外部服務(wù)網(wǎng)中的各種應(yīng)用是通過VPN接入網(wǎng)關(guān)實(shí)現(xiàn)的，當(dāng)用戶借助移動(dòng)互聯(lián)網(wǎng)對(duì)圖1進(jìn)行訪問時(shí)，要防止所有的移動(dòng)應(yīng)用都在網(wǎng)絡(luò)上展現(xiàn)出來(lái)，這樣可以有效降低被攻擊的風(fēng)險(xiǎn)。

2.1.1傳輸數(shù)據(jù)加密當(dāng)用戶通過遠(yuǎn)程VPN對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)服務(wù)器進(jìn)行訪問時(shí)，數(shù)據(jù)傳輸?shù)倪^程可以劃分為三個(gè)階段，第一階段是客戶端和VPN網(wǎng)關(guān)之間的傳輸；第二階段是VPN網(wǎng)關(guān)到網(wǎng)絡(luò)安全平臺(tái)的傳輸；第三階段是平臺(tái)和內(nèi)部網(wǎng)絡(luò)應(yīng)用服務(wù)器的傳輸，這一階段完全在內(nèi)網(wǎng)中進(jìn)行由于內(nèi)網(wǎng)網(wǎng)絡(luò)需要借助網(wǎng)絡(luò)安全平臺(tái)進(jìn)行接入，因此“內(nèi)網(wǎng)”數(shù)據(jù)傳輸安全性是能夠得到保障的[2]。而第一階段的數(shù)據(jù)傳輸則存在多個(gè)方面的安全風(fēng)險(xiǎn)，因此，就必須要采用采取一些有效的措施，防止信息數(shù)據(jù)在傳輸過程中被竊取或篡改。VPN安全接入網(wǎng)關(guān)可以通過多種算法來(lái)進(jìn)行加密，相關(guān)的數(shù)據(jù)信息都處于加密的狀態(tài)，充分保障了數(shù)據(jù)在傳輸過程中的安全性。

2.1.2接入身份認(rèn)證移動(dòng)互聯(lián)網(wǎng)接入需要進(jìn)行安全認(rèn)證，這一過程需要借助安全平臺(tái)統(tǒng)一用戶目錄服務(wù)系統(tǒng)來(lái)進(jìn)行。各個(gè)數(shù)據(jù)節(jié)點(diǎn)的信息會(huì)同步進(jìn)行復(fù)制，從而使得系統(tǒng)中全部用戶能夠共享信息，同時(shí)還能使信息得到同步更新。所有用戶都可以利用相同的用戶名，在每一個(gè)已經(jīng)授權(quán)的安全接入平臺(tái)中登錄，這樣使用戶身份成為了唯一進(jìn)入移動(dòng)公網(wǎng)的證明。詳細(xì)的過程如圖3所示。要想給移動(dòng)互聯(lián)網(wǎng)用戶進(jìn)行授權(quán)，首先需要在內(nèi)網(wǎng)目錄服務(wù)器中針對(duì)移動(dòng)互聯(lián)網(wǎng)建立一個(gè)專門的用戶小組，并且把已經(jīng)順利獲得授權(quán)的用戶拉入到這一組別中，從而完成授權(quán)。同時(shí)還可以在該組中設(shè)置管理員，利用訪問控制設(shè)置相關(guān)措施，使該用戶具備對(duì)訪問小組進(jìn)行管理的能力。而且內(nèi)網(wǎng)目錄服務(wù)器中的信息可以復(fù)制到外網(wǎng)之中，通過各個(gè)路局信息節(jié)點(diǎn)的同步復(fù)制功能來(lái)實(shí)現(xiàn)數(shù)據(jù)同步。VPN接入網(wǎng)關(guān)和MDM服務(wù)器分別使用移動(dòng)互聯(lián)網(wǎng)訪問組管理員賬戶從訪問組中獲取授權(quán)用戶的全部信息，并儲(chǔ)存在本地磁盤之中，這些用戶便稱之為L(zhǎng)DAP用戶。移動(dòng)終端訪問應(yīng)用時(shí)，需要借助安全防護(hù)軟件和VPN接入網(wǎng)關(guān)構(gòu)建應(yīng)用級(jí)SSLVPN隧道。在構(gòu)建隧道時(shí)，第一步需要認(rèn)證用戶身份。認(rèn)證可以有多重渠道，比如通過數(shù)字證書用戶名、口令、設(shè)備信息等。數(shù)字證書是中鐵CA給予的，并且對(duì)X.509字段進(jìn)行了擴(kuò)充，加入了UID字段，這一字段在整個(gè)網(wǎng)絡(luò)平臺(tái)上是唯一的。安全防護(hù)軟件會(huì)對(duì)這一字段進(jìn)行讀取，用戶輸入對(duì)應(yīng)的PIN進(jìn)入系統(tǒng)之中，VPN接入網(wǎng)關(guān)負(fù)責(zé)對(duì)證書進(jìn)行認(rèn)證，然后將UID字段拎出來(lái)，和LDAP用戶進(jìn)行比對(duì)，如果在LDAP用戶中成功找到該用戶，則完成認(rèn)證。用戶完成認(rèn)證之后，還必須完成移動(dòng)終端管理安全策略和應(yīng)用權(quán)限檢查，然后才可以對(duì)移動(dòng)應(yīng)用進(jìn)行訪問。如果移動(dòng)終端存在危險(xiǎn)跡象，那么會(huì)阻止其連接網(wǎng)絡(luò)。通過和MDM之間的相互合作，只有完成身份認(rèn)證，獲得授權(quán)，并且不會(huì)對(duì)安全性構(gòu)成威脅的移動(dòng)終端，才能訪問外部服務(wù)網(wǎng)應(yīng)用。

2.1.3細(xì)粒度的訪問控制VPN網(wǎng)關(guān)在進(jìn)行訪問控制時(shí)可以采取網(wǎng)關(guān)源IP訪問、用戶訪問、用戶組訪問等方法。網(wǎng)關(guān)源IP訪問控制可以根據(jù)用戶源IP地址選擇允許或拒絕用戶接入網(wǎng)關(guān)。通過對(duì)用戶源IP地址訪問進(jìn)行控制，對(duì)用戶可以接入的IP地址范圍進(jìn)行約束，從而降低安全風(fēng)險(xiǎn)。用戶訪問和用戶組訪問控制可以對(duì)某些客戶制定其獨(dú)有的訪問控制，從用戶源和目的IP地址、端口、目的URL等幾個(gè)方面來(lái)限制用戶的訪問。通過配置訪問控制可以對(duì)已經(jīng)獲得授權(quán)的用戶在訪問時(shí)進(jìn)一步對(duì)訪問進(jìn)行控制。應(yīng)用級(jí)SSLVPN能夠?qū)崿F(xiàn)基于URL、IP、端口的細(xì)粒度訪問控制。并且控制的粒度越小，內(nèi)網(wǎng)的信息數(shù)據(jù)越安全。該種類型的訪問控制使管理用戶在配置時(shí)更加方便和快捷。

2.2運(yùn)營(yíng)商3G／4G傳輸安全

移動(dòng)終端接入鐵路外部服務(wù)網(wǎng)時(shí)可以采取兩種方法來(lái)實(shí)現(xiàn)，第一種是通過運(yùn)營(yíng)商的移動(dòng)網(wǎng)絡(luò)來(lái)訪問互聯(lián)網(wǎng)，構(gòu)建應(yīng)用級(jí)SSLVPN隧道，第二種方法是借助運(yùn)營(yíng)商的移動(dòng)數(shù)據(jù)專用通道，通過SIM卡來(lái)訪問互聯(lián)網(wǎng)。這個(gè)專門的通道，也就是VPDN通道，它其實(shí)也是一種VPN業(yè)務(wù)，是移動(dòng)運(yùn)營(yíng)商通過二層隧道協(xié)議技術(shù)來(lái)創(chuàng)建一個(gè)不和外界網(wǎng)絡(luò)相連通的網(wǎng)絡(luò)區(qū)域供用戶使用。用戶在這一網(wǎng)絡(luò)中只能借助運(yùn)營(yíng)商網(wǎng)絡(luò)對(duì)鐵路外部服務(wù)網(wǎng)進(jìn)行訪問，不會(huì)進(jìn)入到外部網(wǎng)絡(luò)中，能夠有效地保障數(shù)據(jù)的安全性。根據(jù)用戶所用的移動(dòng)終端的種類，選擇適合自己的方式進(jìn)行接入。通用終端只能選擇第一種方式進(jìn)行接入，而不能通過第二種方式中的專用終端借助專用通道來(lái)訪問。移動(dòng)終端無(wú)論采取上述兩種方法中的哪種來(lái)接入鐵路外部互聯(lián)網(wǎng)，都需要通過安全接入平臺(tái)來(lái)實(shí)現(xiàn)。移動(dòng)終端和VPN接入網(wǎng)關(guān)需要構(gòu)建應(yīng)用級(jí)SSLVPN隧道，這個(gè)隧道可以充分的保障數(shù)據(jù)傳輸?shù)陌踩?，并且將不同?yīng)用之間的數(shù)據(jù)進(jìn)行分隔，使數(shù)據(jù)能夠在保密的狀態(tài)下進(jìn)行傳輸。VPDN和SSLVPN隧道傳輸如圖4所示。SSLVPN或者IPSecVPN應(yīng)用程序中，移動(dòng)終端必須要裝有虛擬網(wǎng)卡，各個(gè)移動(dòng)應(yīng)用中的數(shù)據(jù)信息需要先通過它，然后才能進(jìn)入到VPN通道中[3]。各個(gè)移動(dòng)應(yīng)用產(chǎn)生的數(shù)據(jù)信息在中轉(zhuǎn)過程中，面臨著安全方面的威脅，此時(shí)手機(jī)上其他的移動(dòng)應(yīng)用有可能會(huì)通過中轉(zhuǎn)過程竊取該應(yīng)用的相關(guān)數(shù)據(jù)，從而出現(xiàn)信息泄露的情況。應(yīng)用級(jí)SSLVPN接入網(wǎng)關(guān)可以有效地把客戶端和應(yīng)用軟件聯(lián)系在一起，使用戶能夠方便快捷地使用移動(dòng)終端上的應(yīng)用軟件，同時(shí)還能夠增強(qiáng)SSL安全防護(hù)的水平，能夠有效地降低上面提到的安全風(fēng)險(xiǎn)，應(yīng)用VPN報(bào)文封裝流程如圖5所示。在客戶端編程組件中，可以找到非常全面的應(yīng)用層TCP/IP虛擬協(xié)議棧。因此，移動(dòng)終端應(yīng)用中的相關(guān)數(shù)據(jù)信息可以借助此協(xié)議棧對(duì)TCP/IP進(jìn)行封裝，在應(yīng)用內(nèi)部產(chǎn)生一個(gè)IP信息文件。也就表明，信息數(shù)據(jù)在MDM提供的應(yīng)用VPN中傳輸過程是加密的。MDM的應(yīng)用VPN能夠?qū)用艿腎P信息文件進(jìn)行傳輸，這帶來(lái)了很大的便利性，MDM移動(dòng)辦公安全防護(hù)方案中可以對(duì)全部基于IP協(xié)議的移動(dòng)應(yīng)用的數(shù)據(jù)傳輸提供安全保障，而不僅僅指對(duì)HTTP或者TCP協(xié)議移動(dòng)用戶進(jìn)行防護(hù)。應(yīng)用級(jí)SSLVPN操作程序中，應(yīng)用可以借助安全防護(hù)軟件中能夠保障信息傳輸安全的接口，在應(yīng)用內(nèi)部便對(duì)其數(shù)據(jù)信息進(jìn)行加密處理。數(shù)據(jù)信息只有經(jīng)過保密防護(hù)之后才能從移動(dòng)應(yīng)用中傳出，進(jìn)入OS系統(tǒng)。因此，即便移動(dòng)終端上出現(xiàn)了一些會(huì)對(duì)數(shù)據(jù)安全構(gòu)成威脅的應(yīng)用，OS系統(tǒng)中已經(jīng)獲得的數(shù)據(jù)信息的安全性也能夠得到有效的保障，這些應(yīng)用并不能竊取或監(jiān)聽到終端或互聯(lián)網(wǎng)相關(guān)信息。對(duì)比SSLVPN或者IPSecVPN，應(yīng)用級(jí)SSLVPN可以對(duì)移動(dòng)終端應(yīng)用進(jìn)行控制，能夠?qū)崿F(xiàn)更小的粒度，能夠更加全面的保護(hù)數(shù)據(jù)信息的安全性。

3結(jié)語(yǔ)

移動(dòng)終端接入移動(dòng)互聯(lián)網(wǎng)首先必須進(jìn)行數(shù)字證書認(rèn)證。過去這一過程較為繁瑣并且不夠靈活，本方案針對(duì)之前存在的問題對(duì)數(shù)字證書認(rèn)證過程進(jìn)行了改進(jìn)，使過程更加的簡(jiǎn)便，并且通過和用戶目錄服務(wù)平臺(tái)的合作，對(duì)用戶進(jìn)行統(tǒng)一的授權(quán)。移動(dòng)終端上的應(yīng)用可以借助應(yīng)用級(jí)VPN使各個(gè)應(yīng)用之間的數(shù)據(jù)能夠分離開來(lái)，從而保障數(shù)據(jù)傳輸?shù)陌踩?，還能防止機(jī)密信息在移動(dòng)終端上被竊取。

參考文獻(xiàn)：

[1]周峰.電力移動(dòng)互聯(lián)網(wǎng)的運(yùn)用與安全防護(hù)[J].中國(guó)電力企業(yè)管理，2019（36）：86.

[2]陳韶華.試論移動(dòng)互聯(lián)網(wǎng)時(shí)代信息安全新技術(shù)的展望[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（11）：2-3.

[3]徐潔君.淺談當(dāng)下移動(dòng)互聯(lián)網(wǎng)技術(shù)的安全與應(yīng)用[J].科技資訊，2019，17（16）：15-17.

作者：王文溥 李艷玲 趙曉麗 單位：長(zhǎng)治學(xué)院