基于移动智能终端的远程业务安全虚拟接入技术的研究

基于可信计算的移动智能终端安全技术基于可信计算的移动智能终端安全技术是一种基于硬件和软件的综合安全方案，旨在保护移动智能终端用户数据和系统安全。

可信计算是一种通过硬件和软件的协同工作来保护系统安全的理念，它确保在系统运行过程中所有的软件和数据都是经过验证和可信的。

在移动智能终端安全领域，可信计算技术有以下几个核心要素：1. 可信启动（Trusted Boot）：可信启动是指在移动智能终端启动过程中，确保系统软件和固件是经过验证和可信的。

这可以通过硬件级别的安全启动机制来实现，比如使用可信平台模块（TPM）来验证启动代码的完整性和真实性。

2. 可信执行环境（Trusted Execution Environment，TEE）：可信执行环境是指在移动智能终端中创建一个安全的执行环境，用于运行关键应用和保护敏感数据。

TEE通常是通过硬件辅助的安全区域（比如ARM的TrustZone技术）实现的，它可以防止恶意软件和攻击者对应用程序和数据进行篡改和窃取。

3. 可信存储（Trusted Storage）：可信存储用于在移动智能终端中存储敏感数据，确保数据的机密性和完整性。

可信存储可以通过加密和验证机制来实现，比如使用硬件加密引擎对数据进行加密和解密操作，同时使用数字签名来验证数据的完整性。

5. 可信应用程序（Trusted Applications）：在移动智能终端中运行的应用程序可能存在漏洞和恶意行为，因此需要确保应用程序的安全性。

可信应用程序通常是通过代码审核、漏洞扫描和权限控制来实现的，同时还可以使用沙盒技术来隔离应用程序和操作系统，防止恶意应用获取系统权限。

综上所述，基于可信计算的移动智能终端安全技术是一种综合的硬件和软件方案，能够保护移动智能终端用户数据和系统安全。

通过可信启动、可信执行环境、可信存储、可信网络通信和可信应用程序等技术，可以确保系统的完整性、机密性和可靠性，防止恶意软件和攻击者对系统进行篡改、窃取和滥用。

铁路站场局域网移动智能终端安全接入平台技术条件研究摘要：移动通信技术的发展，为铁路运输生产组织带来了新的更加高效快捷的解决方案，铁路站场局域网移动智能终端的试点和推广，将更加迅速的推动铁路物流企业朝着信息化智能化的方向发展，然而如何保障无线局域网终端的接入安全和传输安全，成为了这一应用快速推广的瓶颈。

移动终端作为移动互联网时代最主要的载体，面临着严峻的安全挑战。

关键词：无线局域网、移动智能终端、接入安全。

引言：本文结合铁路站场无线局域网移动智能终端接入安全基本情况，探讨铁路局域网移动智能终端安全接入平台建设基本技术要求。

1.术语和定义1.1铁路专网Wi-Fi铁路专网Wi-Fi是指为了满足铁路站场生产业务无线接入铁路综合信息网站场局域网的需要，在铁路站场区域内采用Wi-Fi技术构建的无线网络。

1.2铁路专网 LTE铁路专网LTE是指为了满足铁路站场生产业务无线接入铁路综合信息网站场局域网的需要，在铁路站场区域内釆用LTE技术构建的无线网络。

1.3铁路统一用户认证管理系统铁路统一用户认证管理系统为应用系统提供安全服务机制，实现用户管理、用户数据同步、用户认证、用户授权、单点登录、数字签名/验签和数据加密/解密功能。

2.平台结构2.1概述铁路站场局域网移动智能终端安全接入平台（以下简称安全接入平台），实现铁路移动智能终端通过铁路专网Wi-Fi或铁路专网LTE接入铁路综合信息网站场局域网的安全防护相关功能。

2.2安全接入平台组成一套完整的安全接入平台应由Wi-Fi接入认证服务器、Wi-Fi接入策略服务器、移动设备管理服务器、安全管理服务器、网络管理服务器、运维审计服务器、防火墙、IPS、WIPS等组成。

根据业务系统性能需求、组网需求的不同，服务器可选择物理服务器、虚拟服务器、服务器集群等不同实现方式。

各组成部分的部署与实现功能如下述：在铁路局内部服务网的运维管理区部署Wi-Fi接入认证服务器、Wi-Fi接入策略服务器、移动设备管理服务器和安全管理服务器。

基于5G LAN的自组网技术研究摘要:本文对基于5G LAN的自组网技术进行了研究。

5G LAN可以提供超高速率、超低延迟、海量设备连接等关键能力,将为自组网带来新的发展机遇。

本文首先介绍了5G LAN的技术特征,然后分析了5G LAN在自组网领域的应用场景,包括工业互联网、智能交通等领域的自组织小区网络。

接着,本文设计了基于5G LAN的自组网体系架构,并对关键技术如时间敏感业务调度、资源管理、安全防护等进行了详细阐述。

最后,本文展望了基于5G LAN的自组网的发展前景及面临的技术挑战,以期对该领域的进一步研究提供参考。

关键词: 5G LAN;自组网;体系架构;资源管理;安全防护引言5G LAN(Local Area Network)作为5G技术在局域网场景的应用,具有广阔的应用前景。

5G LAN可为工业互联网、智能交通等领域提供确定性低延迟的连接,支持海量物联网设备接入,实现自组网等关键能力。

研究基于5G LAN的自组网技术,对推进关键技术的创新与应用具有重要意义。

一、5G LAN技术分析1.1 5G LAN的概念及特征5G LAN是将5G核心网关键技术应用于局域网场景的产物,可提供比WiFi 6更高的峰值速率,更低的时延抖动,更高的连接密度和更佳的可靠性。

5G LAN可以通过软件定义网络实现网络切片,提供差异化的业务保障。

同时,5G LAN继承了5G的安全机制,可以提供端到端的连接安全性。

1.2 5G LAN与4G、WiFi的区别与4G相比,5G LAN可以提供更高的频谱效率、更低的传输延迟。

5G LAN支持更多的天线技术,可实现更高的数据速率。

与WiFi相比,5G LAN具有更高的可靠性、确定性和安全性,适合有严苛对可靠低延迟通信需求的关键应用场景。

二、5G LAN在自组网中的应用分析2.1 工业互联网随着工业互联网的发展,对工业系统的确定性和实时性提出了更高的要求。

5G LAN可以为工业互联网提供高速率、低延迟、高可靠的通信服务。

信息安全 • Information Security208 •电子技术与软件工程 Electronic Technology & Software Engineering 【关键词】移动办公 终端信息 安全管控无线网络基础设施建设使无线信号覆盖面积不断增大，无线信号与有线网络相对来说，移动办公由于接入用户业务内网与传统电子办公有很大区别，使用公共无线信道进行信息的传送，需要移动办公系统拥有更多的控制权，能够对移动通信智能终端信息技术加以掌控。

1 移动办公终端发展现状（1）通过业务内网的联系，移动化引入了很多新技术，但同时也带来了更多的安全问题，其中包括了移动终端无线网络存在窃听风险，通过无线设备窃听信息，存在更严重的泄露风险。

（2）由于移动终端缺乏有效的移动终端身份证机制，在接入权限上难以进行掌控。

尤其涉及到公共移动运营商网络时，非法终端和恶意客户可以任意的在没有授权基础上进行办公信息系统的异常访问，带来极大风险。

（3）移动终端的离散化加大了数据的监管。

信息难度，由于移动终端位于地理位置相对分散，移动终端在进行数据访问管理和跟踪上无法进行监管，容易造成办公数据的泄露。

2 移动办公终端进行防护的策略（1）首先基于场景的设置，无线安全态势应该受到感知，无线射频层面安全感知技术，使得黑客在无线射频层面异常新入时，能够对黑客进行威胁识别。

通过无线射频层面的分析，在射频环境内终端危险被及时地予以识别。

（2）终端漏洞一旦被恶意人员掌握，操作系统就会出现其他版本，甚至可以在高度定制的软件系统环境。

此时采用信息化建设的方式，加大网络和信息安全防护能力，采用各类安全日志告警信息，将传统的安全设备加以升级，将入侵行为带来的数据泄露和业务应用受阻的情况加以规避。

通过在场景下进行的网络威胁建模技术，强化安全设备清单，安全设备配置，网络拓扑以及漏洞扫描报告等安全防护措施。

（3）业务数据防止丢失可以根据终端类移动办公终端信息安全技术文/王筱倩型进行设置，例如USB 连接电脑不能插入等。

ipsecvpn安全接入技术要求与实施指南一、IPSec VPN概述IPSec VPN（Virtual Private Network，虚拟专用网络）是一种通过公共网络（如互联网）构建安全的加密通道，实现远程用户与内部网络的远程接入技术。

IPSec VPN技术在我国得到了广泛的应用，为企事业单位提供了便捷、安全的远程办公解决方案。

二、IPSec VPN安全接入技术要求1.设备要求为确保IPSec VPN的安全接入，需要选用具备高性能、稳定可靠、支持多种加密算法的VPN设备。

同时，设备应支持严格的身份认证和访问控制功能，以防止未经授权的用户接入。

2.网络架构要求IPSec VPN网络应采用星型拓扑结构，以降低网络故障对业务的影响。

同时，应合理规划VPN网关的部署位置，确保网络的可靠性和安全性。

3.安全策略要求针对VPN网络的特点，应制定合理的安全策略，包括数据加密、身份认证、访问控制、入侵检测等。

同时，要确保安全策略的实施和持续优化。

4.身份认证和授权要求对VPN用户进行严格的身份认证和授权，确保只有经过授权的用户才能访问内部网络资源。

同时，要实现用户权限的动态调整，以满足不同业务场景的需求。

三、IPSec VPN实施流程1.设备选型与部署根据实际需求选择合适的VPN设备，并进行部署。

部署过程中要确保设备之间的连接稳定，网络拓扑结构合理。

2.网络配置与优化对VPN网络进行配置，包括IP地址规划、路由策略、QoS设置等。

同时，根据实际网络状况进行优化，确保网络性能。

3.安全策略配置与监控配置VPN安全策略，包括数据加密、身份认证、访问控制等。

同时，建立完善的监控体系，对VPN网络的安全状态进行实时监控。

4.身份认证与授权配置配置用户身份认证和授权策略，确保只有授权用户才能访问内部网络资源。

5.测试与验收在IPSec VPN实施完毕后，进行详细的测试与验收，确保网络性能、安全性和稳定性满足要求。

四、IPSec VPN运维与管理1.日常监控对VPN网络进行日常监控，包括设备状态、安全事件、网络性能等。

基于大数据及移动智能终端的配网全过程管控系统应用探讨摘要：本文首先阐述了利用大数据及移动智能终端对配网全过程进行管控的动因，进一步分析了基于大数据及移动智能终端配网全过程管控的核心技术，并从基本框架介绍、基本功能分析、故障抢修环节、智能巡视功能等方面逐一阐述基于大数据及移动智能终端的配网全过程管控系统建设与应用的有效对策，仅供参考。

关键词：大数据；移动智能终端；配网全过程管控；管控系统前言：信息技术的发展改变了人们生产以及生活的方式，尤其是对于我国的电力事业而言，在部分业务之中引入信息化的智能技术，能够有效解决，班组较大、运维压力高、互动化管理水平较低的问题，因此本文则主要针对当前较为前沿的大数据及移动智能终端技术对配网的全过程管控，进行深入探究。

1利用大数据及移动智能终端对配网全过程进行管控的动因配网是电力作业之中分配电能的重要系统，随着我国经济社会的不断发展，人们对于电力的质量以及用量规模需求不断扩张，在此背景之下电力企业也面临着人力资源不足以及设备设施投入较多等问题，使得运维压力逐步加大，并且既有的相关业务停留在电话、短信通知等形式上，也无法满足标准化、实时化、精益化生产需求。

而通过大数据和移动智能终端技术的有机结合，便可以实现作业监管的全面覆盖，提高运维过程管控质量，从而实现作业直观化与数字化管理[1]。

2基于大数据及移动智能终端的配网全过程管控的核心技术2.1 APN网络平台安全接入技术大数据及移动终端智能技术的运用必须建立在网络系统之上，而网络环境存在着较多的不确定性，很有可能造成内部信息的丢失或者泄露。

因此则要通过安全的平台接入方式，保证内网和外网能够充分适应电力企业业务需求。

通过APN （Access Point Name网络接入技术），不仅能够满足移动智能终端的操作，还可以依照电力企业对网络安全特殊性的需求，建立专线APN，最大程度上地保证了数据信息的安全性，并且还能实现专网与内网信息数据的实时交换。

关于固定与移动融合技术和终端发展分析固定与移动融合(fmc)是指网络的业务提供与接入技术和终端设备相独立,其目标就是同样的业务可以由各种接入网获得,使用户通过不同的接入网络,获得相同的业务而享受相同的服务。

fmc并不一定意味着网络的物理融合,其主要特征是用户订阅的业务与接入点和终端无关,允许用户从固定或移动终端通过任何合适的接入点使用同一业务。

融合已逐渐成为通信的主要趋势,fmc是下一代通信网络的重要特征。

几种融合技术及终端介绍要实现固定网络与移动网络融合的功能,无线技术上采用蓝牙,wifi,或者用uma(unlicensed mobile access非授权移动接入),网络接入方面用公共交换电话网网关接入设备pstn ap(access point) 或者slp(sesslon lnitiationprotoc01)网关接入设备slp ap、uma网关接入设备都可以实现,具体应用时要看使用的对象,以及运营商服务的模式,还要考虑各个国家现有的网络基础结构,终端与网络性能的相互匹配等因素。

40)this.width=40" align=left vspace=>融合终端主要是指能够连接多种网络,用以提供固定和移动网络连接的智能终端,它为用户提供了最直接的业务体验。

从网络接入的角度看,实现固定与移动的融合主要可以通过两种途径来获得一种是通过接入固定网络的方式,另一种则是通过接入移动网络的方式。

而通过固定接入的途径又可分为利用蓝牙classl的无绳电话特性otp(cordless telephone profile),以及wifi或蓝牙作为接入技术而实现的volp sip客户端的特性两种。

就固定接入的方式而言,用户可以保留两个电话号码并接入宽带业务。

而移动接入的方式可以采用uma方式,uma利用vpn隧道传送移动的话音与短信等数据业务,其主要区别在于利用uma方式只保留一个电话号码,并可以实现移动与固定网络的通话时无缝切换。

基于虚拟现实的远程协作系统的设计与实现摘要本报告主要研究。

首先，我们分析了现有远程协作系统的局限性和不足之处，然后提出了基于虚拟现实的远程协作系统的设计方案。

在系统设计的基础上，我们实现了一个原型系统，并对系统进行了功能测试和性能评估。

研究结果表明，基于虚拟现实的远程协作系统在提高远程协作效率和用户体验方面具有巨大潜力。

第一章引言1.1研究背景随着信息技术的快速发展，远程协作已成为现代工作方式的重要组成部分。

然而，传统的远程协作工具如视频会议、实时聊天工具等，存在诸多局限性，无法满足复杂协作需求。

虚拟现实技术的出现为解决这一问题提供了新途径。

1.2研究目的本研究的目的是设计并实现一个基于虚拟现实的远程协作系统，以提高远程协作效率和用户体验。

第二章相关工作2.1 传统远程协作系统本节介绍传统远程协作系统的主要特点和局限性，探讨为何需要开发基于虚拟现实的远程协作系统。

2.2 虚拟现实技术本节介绍虚拟现实技术的基本原理和发展现状，探讨虚拟现实技术在远程协作中的应用潜力。

第三章系统设计3.1 需求分析本节对基于虚拟现实的远程协作系统的需求进行详细分析，明确系统的功能和性能要求。

3.2 系统架构本节介绍基于虚拟现实的远程协作系统的整体架构，包括客户端和服务器端的设计。

3.3 功能设计本节详细描述系统的各项功能设计，包括实时协作、空间定位、虚拟对象交互等功能。

3.4 用户界面设计本节介绍系统的用户界面设计原则和关键交互元素。

第四章系统实现4.1 技术选型本节对系统实现所需的关键技术进行评估和选择，包括虚拟现实引擎、网络通信框架等。

4.2 客户端实现本节详细介绍客户端的实现过程，包括用户界面开发、虚拟对象模型设计等。

4.3 服务器端实现本节详细介绍服务器端的实现过程，包括网络通信、数据同步、安全验证等。

第五章系统评估与分析5.1 功能测试通过对系统的各项功能进行测试，评估系统的功能完整性和稳定性。

5.2 性能评估通过对系统的性能进行评估，包括网络延迟、帧率等指标的测试，分析系统的性能优化空间。

1 移动虚拟专网概述本文主要从移动办公系统网络模型和移动虚拟专网建设方式两个方面密或传统代理型安全套接字协议（Secure SocketsLayer，SSL）传输层加密不同，VPN 客户端须实现所有终端业务IP 报文与公网间的逻辑隔离和加密保护。

1.1.2 公网传输服务区公网传输服务区由运营商网络基础设施组成，一端为企业总部业务服务区提供传统有线接入能力，一端为移动终端用户区提供多样的空口接入能力。

截至2021 年，国内运营商4G 基站建设已覆盖近100% 行政村，5G 基站已向下覆盖至所有地级市，中国移动还实现了全IPv6的国内移动互联网。

图1 中示意了公共Wi-Fi、4G、5G 三种主要的接入方式以及移动互联网和专网两种通道支撑方式，由于运营商无线接入网与有线核心网均独立演进发展，因此可以对移动VPN 的构建提供差异化服务标准的IP 承载网络，不影响移动VPN 的既有实现。

1.1.3 总部业务服务区总部业务服务区由业务服务器系统、局域网安防类系统、网络边界安防类系统等组成，具备与公网的隔离能力、与移动终端VPN 构建能力。

安防措施上，与传统利用公网构建企业分支与总部的VPN 的方法类似，VPN 网关作为独立设备需部署于局域网边界最外侧。

该服务区与运营商可通过传统互联网方式接入，也可采用专网方式接入。

1.2 移动虚拟专网建设方式移动虚拟专网建设的第一步是高安全性要求的行业或企业向运营商购买产品与服务。

其中包括终端所需的全球用户识别卡（UniversalSubscriber2 移动虚拟专网通信技术与数据业务安全性分析本文通过对常见移动VPN 通信技术的机理介绍以及各类移动VPN 对数据业务安全性保障能力方面的分析对比，引出本方案在安全通信方面改进的着力点。

2.1 常见移动VPN 通信技术智能终端厂商一般集成有常用移动VPN 客户端软件，通过购买服务，VPN 客户端软件可用于连接运营商的服务端设备，及符合协议标准的第三方VPN 服务公司的服务端设备。

北京邮电大学高等函授教育、远程教育《移动互联网与终端技术》综合练习题及答案适用于高等函授、远程教育：通信工程专业（专科）第一部分习题一、填空题：1. 移动互联网包括三个要素：__________、__________和__________。

2. 移动互联网技术体系主要涵盖六大技术产业领域：__________、__________、__________、__________、__________、__________。

3.一个完整的蜂窝移动通信系统主要由_______、_______、_______和_______四大子系统组成。

4. 逻辑信道可以分为_______信道和_______信道。

5. 第三代移动通信的3种主流技术标准分别为_______、_______、_______。

6. 采用WCDMA技术的典型代表是欧洲ETSI组织提出的_______系统。

7. Wi-Fi与WLAN的区别是WLAN标准是指无线局域网的_______标准，而Wi-Fi 是无线局域网产品的_______标准。

8. Internet是基于_______协议的网间网，也称为IP网络。

9.某IP地址为10011 10000，将其表示成点分十进制形式为_______。

10.云计算中的“云”可以再细分为“_______云”和“_______云”。

11. 业务平台的运营模式中，有一种现在用的比较多的方式是SP/CP与运营商合作，共同进行业务的运营。

其中SP是指_______提供商，CP是指_______提供商。

12. 运营支撑系统是指_______。

13. 一般而言，运营支撑系统包括两部分的内容：_______和_______。

14.移动互联网网络管理具有的特性包括：_________、_________、_________、_________。

15.由于内存是由_______构成的，没有机械装置，所以内存的读写速度远远高于外存。

可信移动企业安全环境企业移动终端安全管理解决方案探讨移动智能终端使用日益广泛•出货量越来越大–台式电脑基本停止增长–笔记本电脑、平板电脑经过初期的快速增长之后进入缓慢增长阶段–智能手机飞速增长•访问更多企业业务系统–电子邮件–OA、CRM、ERP等经营管理系统移动终端安全性越来越受重视•数据泄露的风险更高–和笔记本电脑等相比较，更易丢失–安全保护措施普遍较差，很多人的手机根本不设密码–由于智能手机价值更高，黑色产业链将目标向Android类终端转移•大量手机病毒传播者使用远程控制的手法，在中毒手机上安装推广软件、后台订购付费服务、窃取用户手机里的个人信息现有主要解决方案（MDM）(1)•操作系统支持–iOS、Android、Win8–以iOS和Android为主，被有意无意忽略的Wintel•主要功能–资产管理：信息采集、远程管理（设备定位）–接入管理：统一网络配置（802.1x接入、VPN接入）–软件管理：企业应用商店、黑白名单•安全管理–邮件安全•具有加密存储的邮件客户端，支持常见协议如Exchange/POP3/IMAP等–内容安全：加密存储、沙箱、虚拟机–远程数据安全：数据擦除、设备锁定现有主要解决方案（MDM）(2)•面临的困难–Android•版本“碎片化”，难以统一支持多版本–在中国，华为、中兴、宇龙酷派、小米等市场占有率高，使得版本更多•高质量的应用比较少，对开发者和厂商吸引力不足•运行在Java虚拟机中，无法对硬件、操作系统底层做进一步控制–iOS•封闭系统，开发应用难度较高•受限制非常多–无法后台运行–无法介入现有App的运行–ROOT权限问题，安全类软件，往往需要取得Root权限•ROOT权限的取得困难，使得系统的部署困难MDM类方案，根本的问题在于•在属于个人的设备（BYOD）上，要去做过多的控制–静默安装、删除软件，个人防火墙控制，服务控制等，往往需要Root权限或越狱–容易产生隐私冲突：如通信录、个人照片、聊天记录审计等•移动终端，最初的设计是以个人用户为目标–以减少操作复杂性为目标，缺乏企业级特性–近年来随着移动终端在企业的应用，苹果、三星等才逐步引入一些企业级特性•过多的OS版本（Android、iOS、Windows），开发和兼容性测试根本无从谈起–Android之上，各个厂商又有自己的版本–每个发行版本，又有子版本•国外MDM厂商的方案主要关注防止被动泄密–如防丢失之后的泄密，防入侵之后的泄密等–但基本无法解决中国企业最担心的（合法）使用者主动泄密的问题怎么办？•让上帝的归上帝，凯撒的归凯撒•BYOD设备–产权属于个人，决定了企业不适合在其上做过多的管理和控制–给BYOD设备一个准确的定位，员工自有设备，顺带用于处理单位的业务•给BYOD以合适的网络访问权限；•给BYOD以适度的管理控制；•以不侵犯员工隐私、不损害员工利益（违反保修规定）为前提；•主要关注防止被动泄密•核心业务系统，需要移动终端，怎么办？–单位负责采购终端，配发给员工•定制硬件系统、定制安卓OS系统、定制移动应用等•选择双系统的终端、定制安卓OS系统、定制移动应用等–既防止被动泄密，又防止主动泄密定制系统操作系统选择•iOS–封闭系统，无法定制•安卓–开源系统，可定制–存在一些已知风险和漏洞，需要解决安卓系统安全性分析•系统安全–Linux内核安全——主要关注驱动程序尤其是硬件驱动程序的安全–系统库安全——原生系统库可能存在漏洞–Dalvik虚拟机——可能通过不安全的字节码攻击虚拟机•应用安全–应用程序权限——终端用户无法判断哪些权限是必要的，带来隐患–利用安卓共享用户ID机制和相同签名证书获取权限–应用程序安装——多种途径，有一些途径可能带来风险–网络浏览器——恶意脚本攻击浏览器，获取浏览器的权限–数据库与SQL 注入——读取安卓系统数据库中敏感的数据–软件更新——更新系统到一个有已知漏洞的版本安卓系统风险与漏洞•已知安全风险–非法获取root权限–非法获取安卓系统权限–应用签名机制漏洞–密码安全问题–浏览器下载恶意软件–无线传送恶意软件–破坏性网站或链接–锁定SIM卡–丢失硬件组件或导致硬件功能紊乱▪潜在安全漏洞安卓源代码公开被发现的漏洞安卓原生系统库和Linux内核漏洞 应用框架漏洞应用程序授权漏洞文件系统漏洞通过网络传播的漏洞通过外设传输的漏洞定制安卓系统企业级安全特性•可信硬件–与有实力的硬件厂商合作定制–不允许终端用户刷ROM•可信操作系统–深度定制开源安卓操作系统，去掉不必要的组件和系统库–不允许终端用户获得root权限•可信应用软件–只能通过系统定制的应用商店安装应用软件–只能运行通过系统定制的应用商店安装的应用软件•可信通信信道–自动识别网络状况，选择最合适的接入方式安全的接入企业内网–既验证终端用户、设备信息，也验证接入的网络是否安全具体解决方案•定制硬件（不允许终端用户root和刷ROM）•定制安卓操作系统（不允许终端用户升级系统版本）•回收root权限（系统自身进程不受限）•仅能通过系统内置的应用商店安装应用程序，不允许通过其它任何方式安装第三方应用程序•只允许通过加密的或安全的网络信道访问相关业务系统•对外设进行管控•加密文件系统•强制安全策略，如：–强制自动锁屏–强制密码策略BYOD设备管理总体方案•准入控制–802.1X、Portal方式–按帐号给移动终端授权“所能访问的网络资源”–与联软UniNAC方案完全融合•提供无需Root权限的管理功能–注册服务管理–企业应用商店–远程管理•远程定位、远程锁屏、远程消息推送•远程查看设备信息•提供统一的移动终端APP安全开发框架•支持iOS/Android/Windows部署示意图UniMobile 主UniMobile备DBLDAPDBLDAP 无线接入点Internet网络准入控制器(主)VPN网络准入控制器(备)无线接入点业务应用系统部署方案简介•支持各种移动终端的管理•单通信服务器支持10万以上终端管理能力总体思路建设思路总体规划，顶层设计，分而治之，分步实施⏹最终建立一套集中统一的安全管控平台，涵盖：台式PC、笔记本电脑、平板电脑、员工智能手机在内的所有终端设备建立端到端的企业安全环境⏹对于不同来源的终端设备，采取不同的技术方案⏹移动终端、传输通道、企业应用之间，建立一个闭环体系⏹实现端到端的企业安全环境，确保企业的数据安全(2)安全应用(3)安全通道(1)安全计算环境(4)应用服务器数据受控移动终端端到端安全系统架构远程管理云存储（数据集中存储）安全网关定制App （适用于BYOD ）远程控制协议SRMPOver SSL虚拟化平台（移动操作系统）远程管理应用商店企业应用其它应用iPhone 、iPad Android Phone 、Android Pad Windows虚拟化远程控制客户端防止截屏拷贝虚拟化移动终端定制OS 系统（企业配发）加密存储文件系统安全合规管理远程锁定远程擦除远程外设远程防火墙应用商店移动安全SDK网络智能配置与准入身份验证VPN 接入无线802.1x 接入接入控制网络准入认证与合规性安全策略与合规性管理应用发布管理资产管理模块报表统计模块基础功能模块（客户端更新/权限/组织架构/监控等）可信移动终端计算环境移动终端管理系统技术方案•移动终端侧–基于Android操作系统4.4，进行定制–开发系统基于Google Nexus 7（实验系统，支持与其它厂商合作定制）•管理后台–管理系统：基于成熟产品管理后台，为移动终端管理优化–服务器：Linux服务器•主要创新点–大并发通信基础组件–在Android系统上，实现类似黑莓的安全性定制终端安全特性(1)•定制的移动终端，只能–接入特定的、经授权的网络–运行指定的软件–访问指定的应用服务器–在本地编辑、处理文档•文档在本地加密保存•只能在本地存储器和指定应用服务器间流转•以下操作，员工个人非授权不能进行–安装、卸载软件–访问非授权IP–访问USB、蓝牙设备端口定制终端安全特性-接入控制•智能识别网络场景–自动发现可信的网络SSID，自动接入–自动启动Portal认证–自动启动VPN客户端•双向验证设备与网络的证书•支持多要素关联绑定–用户帐户、设备、网络定制终端安全特性-OS定制•开机启动画面•文件系统加密•精简系统组件•关闭非必须外设端口•关闭非必须服务进程•桌面背景定制•企业集中控制的移动终端防火墙支持的移动终端硬件平台•原型系统基于Google Nexus 7开发•3G/4G通信模块，可选应用集成•企业应用商店（App Store）•移动终端基础管理功能–远程管理–设备信息–外设及端口管理•VPN Client•其它企业定制应用管理后台•基于Linux平台–OS、DB、应用中间件等，均基于开源系统定制•支持双机热备•系统容量–单通信服务器支持10万以上并发–支持分级部署和云部署模式•后台管理系统–策略设置–系统报表–审计信息部署示意图定制移动终端系统UniMobile主UniMobile备DBLDAPDBLDAP 无线接入点Internet网络准入控制器(主)VPN网络准入控制器(备)无线接入点业务应用系统演示•1、VPN连接演示•2、应用下载–安装一个APP，不提供其它应用商店•3、防火墙功能演示•4、本地文件加密演示•5、远程管理–远程定位–远程锁屏–远程消息推送–远程查看设备信息众筹方案介绍•需求•解决方案•定制产品•运营谢谢！。

239信息技术与安全Information Technology And Security电子技术与软件工程Electronic Technology & Software Engineering●基金项目：广西电网公司科技项目“基于可信计算的智能终端一体化安全防护技术研究”（GXKJXM20190302）。

1 研究背景及意义1.1 研究背景随着4G 、5G 移动通信网络以及移动智能终端的迅猛发展，特别是移动上网、移动应用等功能的普及，电网开始逐步利用移动智能移动终端（包括PDA 、智能手机、平板电脑等）、移动通信技术（4G 网络及GPS 定位技术）和虚拟网络技术（VPN 等）作为企业信息化的扩展，实现电力移动营销、移动作业、移动办公等业务[1]。

电网通信网络采取内外网络隔离，所有应用服务器在公司内网只能通过有线局域网接入方式进行访问，无线网络无法接入公司内网。

移动智能终端在接入应用系统时，内网和外网需要经常进行场景切换，且接入的业务应用可能存在大量的内外网数据交互，如何有效的在不同的工作场景保证移动智能终端以及终端上的应用数据安全[2]，是亟需解决的网络安全问题。

1.2 研究意义移动智能终端的使用，极大提升了应用的便利性，但同时也带来诸多安全隐患。

本文旨在从终端、应用、网络等层面全面分析，梳理移动智能终端面临的安全风险，研究基于可信计算技术的智能终端双系统隔离技术、可信保障技术、工作区安全防护技术、一体化可信管控技术等终端安全防护关键技术，构建智能终端可信安全防护体系，形成公司智能终端安全防护技术规范，以保障公司移动端安全营销、安全作业、安全办公。

对接入电网业务应用的移动智能终端进行全生命周期的管理，提高移动智能终端系统安全性。

同时为公司业务相关的移动应用构建安全的执行环境，从而提升移动终端上业务应用及数据的安全防护能力，降低敏感数据泄露的风险。

2 关键技术研究2.1 轻量级虚拟化安全隔离技术研究通过研究轻量级虚拟化安全隔离技术，实现移动智能终端双系统隔离，双系统隔离应用架构如图1所示。

2021年四川省科技计划项目申报指南：2.高新技术发展与产业化重点附件2高新技术发展与产业化重点研发项目申报指南总体要求：围绕推动高新技术产业发展，解决行业重大关键瓶颈技术制约问题，重点面向高端成长型产业、战略性新兴产业和我省优势特色产业，以企业为主体，鼓励产学研联合，支持龙头骨干企业、高新技术企业、创新型企业等和工程技术研究中心、高等院校、科研院所联合申报，支持产业技术创新联盟、产业技术研究院等新型研发组织申报，支持在高新技术产业园区、产业化示范基地和各市（州）布局的重大产业化项目。

实施周期：一般为两年，2021年1月至2021年12月。

支持额度：经费支持额度50―150万元，具体见指南有关说明。

重点领域：新一代信息技术、航空航天、先进能源电力、智能制造、先进轨道交通、节能环保、节能与新能源汽车、新材料、高新技术改造提升传统产业、市（州）重点产业等十大领域。

新一代信息技术一、高端集成电路与特色电子器件（一）有自主知识产权和重大产业化前景的芯片开发。

开发应用于5G及下一代WiFi 通信系统的毫米波射频前端SoC芯片，包括相控阵智能天线、T/R模块和射频采样ADC等。

开展极低功耗物联网IP平台和SoC芯片的产业化开发，其中重点实现MCU模拟平台和嵌入式存储技术等核心技术的产业化。

开发应用于保密手机等设备的低功耗Micro SD安全芯片，由自主CPU、运行算法及安全引擎、SRAM/Flash存储器等构成，实现保密信息安全可控。

开发应用于光纤通讯的高功率、高速EML激光器芯片，满足10Gb/s及以上通信标准和实用化要求。

有关说明：拟支持4项，每项支持经费不超过150万元，实施周期2021年1月至2021年12月。

要求企业牵头，鼓励产学研联合申报，自筹与申请经费比例不低于2:1。

二、基础核心软件（一）具备完全自主知识产权的应用软件开发环境及工具。

研究完整集成开发环境，集成代码编辑、代码分析、代码调试和图形用户界面工具等，支持软件的快速发布。