基于物理隔离和密码技术实现安全移动办公系统的研究和应用

王永起+李强

[摘 要]本文从办公的移动性、安全性出发，采用物理隔离双硬盘、内嵌安全芯片的安全移动办公终端作为前端设备，采用IPSec协议对终端设备网络访问数据进行加密，同时采用云计算和虚拟化技术对后台数据进行存储，从而保证前台访问、中间网络和后台存储的有效结合和管控，既满足了移动办公方便、快捷地接入企事业单位办公网的互连需求，又防止办公终端直接接入互联网而导致的安全问题。

[关键词]物理隔离；安全芯片；虚拟化技术

doi：10.3969/j.issn.1673 - 0194.2017.12.082

[中图分类号]TN929.53；TP368.3 [文献标识码]A [文章编号]1673-0194（2017）12-0-03

0 引 言

移动互联技术的飞速发展和通信基础设施建设的日益成熟与普及，推动了移动终端的广泛应用。鉴于移动终端使用的方便性，移动终端正在大规模替代PC端进入工作型应用领域。在企事业单位办公领域，移动终端的应用有助于工作人员摆脱工作位置的束缚，能够更充分地利用时间，提高工作效率。另外，与PC终端比较，移动终端的成本更低廉，使用更简单，出现故障的概率更低，容易做到专业化和标准化，所以移动办公的普及已成必然趋势。

虽然移动办公给工作带来了诸多的便利，但由于普通的移动终端缺乏相应的安全措施，存在较高的安全风险，如携带病毒和木马、无线通信的传输风险、数据泄露风险、设备丢失风险、身份识别风险等。另外，移动办公可能导致企事业单位内网信息通过移动终端泄露，病毒、木马等可能通过移动终端进入企事业单位办公内网等，换言之，在企事业单位内外网之间信息安全受到挑战，保密性和可用性无法兼顾。因此，如何在安全的前提下实现企事业单位内外网数据的交互和便捷的移动办公，成为移动办公平台需要解决的核心问题。

为满足移动办公方便、快捷地接入企事业单位办公网的互连需求，同时防止办公终端直接从互联网接入而导致的安全问题，本文提出了架构在IPSec协议基础上，基于云计算和虚拟化技术的移动办公平台安全接入方案，能够有效避免移动办公应用面临的风险。

1 安全移动办公终端设计

1.1 物理隔离技术

物理隔离能消除潜在的网络威胁，满足网络对安全的要求，物理隔离技术在维护高安全级别网络的安全方面是首选的安全技术。

安全移动办公终端采用双硬盘物理隔离技术，如图1所示，使用双硬盘，一个3是2 G标准EMMC閃存盘，存储公网系统。公网系统同主流设备一样可以浏览互联网、可用于娱乐休闲。另一个是16 G加密硬盘，存储办公专网系统。专网系统无法打开Wifi、蓝牙，无法连接互联网，只能通过APN专线连接办公专网。通过终端上的控制开关，实现工作站在内外网下的双重工作状态，两个状态是完全物理隔离。当一个硬盘工作时，另一个硬盘处于断电不工作的状态，内网硬盘工作时，只有内网网线接入；外网硬盘工作时，只有外网网线接入。这样，内网数据与外网数据不存在电气通道，相互完全物理隔离。使用时，开机前通过一个选择开关，选定进入“内”或“外”工作方式，开机后，将相应启动“内”或“外”硬盘，并接入对应的“内”或“外”网线。使用中需要切换“内”或“外”工作方式时，则应正常退出关闭电源，再行选定选择开关，重新开机。这保证了同一台移动终端设备连入两个完全物理隔离的网络，同时又保证了两个网络不会因此产生任何连接，内外网硬盘各自安装独立的操纵系统，分别与内外网相对应。在同一时间内只有一个硬盘与相应的网络接通，另外一个硬盘关闭，其对应的网络也切断，从而实现内外网彻底的物理隔离。

由双硬盘构成的内网和外网环境各自独立，只能在相应的网络环境下工作，不能在一种网络环境下使用另一个环境使用的设备，这使安全隔离移动终端的集成度较高，使用起来更加方便、简单，也更加安全。

1.2 采用双网络

移动办公终端使用双SIM卡，公网使用Micro SIM卡及Nano卡，专网使用Nano SIM卡，通过在主板的BIOS中进行一些定制修改，将内外网络转化功能融入BIOS中。主板BIOS控制由双网卡和双硬盘构成的内网和外网环境各自独立，并只能在相应的网络环境下工作，不能在同一种网络环境下使用另一个环境使用的设备，这使安全隔离移动终端的集成度较高，更加方便使用，也更安全。

1.3 内置国密芯片

安全芯片是一款可以独立进行密钥生成，提供多种加密算法，支持公钥基础设施及数字签名等安全认证及保障功能的产品。作为智能终端的最底层安全保障，安全芯片的应用能有效防止黑客的攻击与破解，提高智能终端的安全性，保障用户个人信息和应用数据的安全。安全移动办公终端内置支持国密算法安全芯片，提供用户身份认证和数据加密功能，保证终端设备和用户的身份安全以及数据传输安全，终端采用自主研发的cos系统，防止系统“后门”泄密，保证系统的安全。

（1）身份认证。移动终端与云端进行通信，需要进行身份认证以完成登录、传输等操作。实现身份认证一般利用公钥签名完成用户的身份认证。身份认证包括身份识别与身份鉴定两个阶段，身份识别是指终端本地采集信息并与预存信息进行验证，而身份鉴定是将身份信息与应用及远端服务器进行对接。当身份识别通过时，移动终端对需要认证的信息进行签名，发送给服务器，服务器利用存储的用户公钥对该信息进行验签操作，若通过，则完成身份认证过程。如图2所示。

（2）数据加密。在用户身份认证通过后，两个客户端之间建立连接，传输数据都会先交由安全芯片进行加密，如图3所示。发送用户A发送的数据通过安全芯片进行加密后，以密文的形式进行发送，接收用户B对收到的密文交由安全芯片进行解密，从而获悉传输的数据，保证数据的传输安全。

2 安全移动办公终端平台

移动办公平台的核心设计思想是采用虚拟应用技术，分离应用的使用平台和运行平台。移动办公终端从应用运行设备变成纯粹的输入输出设备，通过无线网络远程操作企事业单位办公系统的各种应用和服务，从而实现用户的移动办公需求。

平台采用先进的云计算技术，通过架构在IPSec协议基础上的安全接入网关以及虚拟化手段，采用安全、可靠的硬件平台，无需改变现有企事业单位办公网的网络结构和应用模式，将企事业单位办公系统的本地应用、C/S应用、B/S应用（如Office软件、办公系统、办案系统等）平滑迁移到移动办公终端上，实现移动端和固定办公数据和文档的统一与共享，达到任何时间、任何地点进行办公的目的，是企事业单位实现移动办公的最佳解决方案。

3 拓扑结构

安全移动办公平台方案设计网络拓扑结构如图4所示，此网络拓扑不仅能够保证移动办公系统的数据安全性，同时也能快速将业务系统移植到移动办公终端系统上。

图4 移动办公平台网络拓扑图

根据图4移动办公平台网络拓扑图，在完全加密条件下，用户可通过安全移动办公终端进行办公操作。数据从终端到企事业单位办公网的处理过程如下：①数据在安全移动办公终端进行三次加密（协议层加密、VPN层加密、VPDN加密）后，通过运营商移动网络传输至安全接入区；②数据在离开运营商专用通道前进行一次解密（VPDN解密）后，进入安全接入区；③数据在安全接入网关进行一次解密（VPN解密）后，传输至安全隔离区；④数据在安全应用服务器进行最后一次解密（协议层解密）后，由安全隔离设备摆渡至企事业单位办公内网。

该部署架构有以下优点：①网络边界划分明确，在每一个网络边界都提供良好的安全保障；②数据传输过程中经过多层加密，传输安全有保障；③安全隔离区中的安全应用服务器受到安全接入网关的接入保护，没有经过认证的移动终端即使能连接到接入网，也无法访问相应的应用服务；④安全接入区和企事业单位办公内网通过安全隔离设备与安全应用服务器实现物理隔离，保证企事业单位办公网不受外部攻击。

4 安全移动办公平台的安全体系

4.1 数据安全

安全移动办公系统逻辑架构，如图5所示。

由图5可以看到，对企事业单位移动办公安全接入设计了包括终端加固、通信加密、身份认证、访问控制、办公安全、安全管理、日志审计等7大安全措施，共同构成安全、高效的移动办公安全接入体系。

（1）终端加固是针对移动办公终端在接入安全移动办公平台时存在多种安全风险提出的一系列防护措施，主要解决终端数据加密、操作系统可靠性、操作系统校验和验证、APP安装防护、终端多用途时的数据安全。包括：硬件加密設备；数据加密存储；使用开源操作系统；操作系统校验和验证；应用安装权限许可；通过操作系统强制自动还原机制实现安全的“一本多用”。

（2）通信加密要解决安全移动办公终端和安全应用服务器之间数据传输的安全，平台通过对安全移动办公终端传输的数据进行多次加密，保证数据传输过程的安全，通过多次加密，即使传输数据被截获，也无法获取数据的明文信息。

（3）身份认证包括终端启动认证、终端屏幕解锁认证、终端和安全接入网关身份认证、终端和安全应用服务器身份认证等功能。

终端（用户）和安全应用服务器建立连接前需要先进行身份认证，只有身份认证通过后，才能接入安全应用服务器进行移动办公，身份认证支持用户名+密码认证机制或者Windows AD域认证机制等多种认证机制。

（4）安全管理保证只有授权管理员可以对平台进行管理操作，包括用户/角色管理、应用管理、服务管理等管理功能。且管理员只能执行被授权的管理功能。

（5）访问控制使安全移动办公终端和用户只能在授权时间内访问授权范围内的资源或者应用，防止非授权访问和越权访问。

4.2 网络安全

通信加密主要解决安全移动办公终端和安全应用服务器之间数据传输的安全，基于支持国密算法的安全接入网关，实现安全移动办公终端到安全应用服务器端的通信加密，保证办公数据在传输过程中的机密性和完整性。多重加密如图6所示。

除了移动运营商提供的专用通道（APN/VPDN）外，在该通道上重新建立支持国密算法的VPN通道，对通信数据进行二次加密；另外，在协议上还可以进行协议层加密，即为第三层加密。通过以上层层加密，最大限度保证端到端数据传输的安全性，做到信道加密不依赖运营商专用通道，在支持高强度国密算法的基础上实现加密可控。

4.3 应用安全

系统采用先进的云技术，通过虚拟化技术把企事业单位现有的办公系统应用、Windows应用等平移到办公终端，把办公应用程序的人机交互逻辑（应用程序界面、键盘及鼠标的操作等）与办公系统计算逻辑进行隔离，移动终端只是作为企事业单位办公的输入和展示端，具体的办公处理逻辑还是在原来的办公系统中进行。另外，通过部署安全隔离设备可以实现企事业单位内外网之间的数据隔离。

安全安全移动办公系统提供Web管理界面，安全移动办公平台支持远端的主机通过Web页面进行日常管理工作，并对远端主机各平台之间的管理报文进行加密，保证管理操作安全有效。

安全移动办公平台采用严格的访问控制机制，保证终端用户（办公终端）对办公资源的访问安全可控，通过授权管理员对用户的访问控制策略进行配置，终端用户只能访问授权的系统应用，对受保护资源访问内容不能超出授权访问，还可以配置用户访问系统时段以及访问系统的次数。

5 结 语

安全移动办公终端满足了许多保密单位对机密信息的安全需求，诸如军事机构、政府机关、大型企业、科研院校等。随着网络化、信息化的迅猛发展，移动性、安全性的概念将不断深入各行业、各部门。安全移动办公终端设计方案，既充分保证了网络信息的安全性，又让用户实现了移动办公。

主要参考文献

[1]杨雪微.物理隔离数据交换系统的设计[D].上海：同济大学，2009.

[2]王宗岳.安全芯片在智能终端中的应用与分析[J].互联网天地，2016（8）.