机关单位移动办公安全接入与实现研究

机关单位移动办公安全接入与实现研究

摘要：网络技术快速发展，移动办公模式将成为未来工作的主流。然而，由于无线公共网络本身就缺乏足够的加密条件，这使得移动办公的安全性问题也受到极大的挑战。本文主要是针对机关单位移动办公安全接入与实现进行研究，研究的意义在于在现有的无线网络系统的基础上，通过固定通信标准和通信协议，只仅仅改变相应的安全接入系统，从而实现机关单位移动办公安全的接入。

关键词：移动办公模式;无线公共网络;机关单位;移动办公安全接入技术

一、前言

移动办公安全方面的发展趋势必须满足等级保护的基本规范要求，必须符合我国密码管理规范。现今由我国沈昌祥院士为代表的著名信息安全专家提出的三部件安全体系架构已得到国内外专家学者的认同。

传输安全是机关单位移动办公安全接入的需求主要体现，同时还存在网络边界划分要明显和网络边界相对应的安全保障措施以及适合我国密码管理策略的密码算法配置，支持多种安全接入方式，支持主流通信手段，支持的终端形式包括，安全特性可配置管理。

二、移动办公安全接入

移动办公安全接入技术属于自防御网络架构的最重要组成部分。其中最具有代表性的移动办公安全接入技术有：VPND技术、APN技术以及NAC技术，NAP 技术以及TNC技术等。

VPND技术和APN技术均是VPN（虚拟私有网络）技术。均是利用隧道技术，对网络层实行加密以及采用口令保护身份验证等实行网络的安全接入。但VPND技术是在PDSN和机关单位之间建立二层链路隧道，它仅考虑了传输的安全，对终端安全基本没考虑。APN和VPND类似，但APN技术是由GGSN和企业网关设备建立第三层安全隧道。

NAC是网络接入控制，它是通过网络的基础设施强制那些希望获得网络计算资源的设备在安全策略上的保持一致性。NAC存在技术上的缺陷，在使用过程中有可能遭受终端计算机传播的恶意病毒，从而使得整个网络安全体系受到危害。网络接入保护NAP和NAC一样，也在技术上存在无法克服的缺陷，使用过程中也会受到终端计算机传播的恶意病毒，危害整个网络安全体系。

虽然可信网络连接TNC，克服了NAC、NAP未关注的关于终端可信的缺点的问题，但TNC仅仅关注的是对接入终端的机关单位信息的完整性的验证，并没有考虑假如策略执行点遭受到攻击以及破坏时的一些安全性的问题。

综上所述，本文采用VPN技术与移动办公终端安全加固相结合的安全接入策略，这样，既能够保证安全的传输通道，也可保证安全的移动办公终端。

三、机关单位的移动办公安全

机关单位是通过无线移动网络进行延伸信息的应用，安全需求主要表现在：安全的应用域和用户域以及安全的可配置管理。

1、三重防护的安全体系结构

三重防护安全体系架构包括：安全接入网关、移动代理服务平台和安全认证管理平台以及：移动安全终端四个部分。

各部分功能如下：移动安全终端可以实现对现有的操作系统进行安全增强，强制访问控制等，也可以实现操作系统的机密性和完整性的安全;安全接入网关能确保信息不会被恶意的窃听和篡改;移动代理服务平台（安全交换平台），能实现流入与流出的机关单位信息的安全监测，可增强系统的强制访问功能，保证机关单位移动办公安全接入的环境安全;认证管理服务平台可实现对移动代理服务平台、安全接入网关的安全机制以及移动安全终端实施集中管理，最终保证机关单位移动办公环境的安全。

2、机关单位移动办公安全的接入

VPN技术的系统支撑平台是在安全操作系统上，并在此基础上实现：对操作系统实现最小化的裁减工作;将机关单位移动办公安全接入技术用不到的系统关闭，将其有限化，进而剔除一些潜在的安全隐患;修改核心模块，并严格的控制IP包流向以及与网卡的所对应关系;增强内核，实现安全协议无缝的接入到内核中。

机关单位移动办公安全接入的VPN网关的主要功能模块时：应用部分的策略管理和密钥交换、核心态的加密库模块、数据报文封装模块和加密卡驱动，图1为机关单位移动帮安全接入VPN网关的组成框图：

图1 机关单位移动办公安全组成框图

策略管理首先是从安全管理中心下载相应的安全策略，然后确定IPSec的算法、设定密钥协商以及设定存储位置。密钥交换是一个服务运行，它的目的是实现用户的管理配置命名的处理以及对对方设备进行密码协商、同时还有对密钥载荷的加密处理。

密钥库模块可以实现如下的功能：可以实现完整安全协议、维护策略库和安全联盟。报文封装模块实现安全协议处理。由维护安全联盟得到加密算法和密钥，进而对数据包实行组织，并把要进行加密的报文和加密密钥等传送到加密卡进行驱动，有加密卡完成加密的报文的解密操作。

加密卡驱动，首先需要初始化，然后加密卡负责解释和执行机关单位所发出的命令，然后返回该机关单位的执行状态。

3、机关单位移动办公安全的实现

首先实现移动办公安全接入网关在管理IC卡的控制下开机启动;紧接着移动办公安全接入网关并利用身份认证机制登陆认证;APN用户先拨号接入移动运营商设定的APN;移动办公的终端可登陆移动办公安全接入网关，进而实现网络连接的建立;进行证书的鉴别;验证私钥，同时进行密钥协商;移动安全接入网关与机关单位协商，确定数据保密通信的密钥;机关单位通过移动服务代理实现信息网的访问;而移动服务代理通过交换平台进行信息交换;移动服务代理通过安全通道发送到机关单位;机关单位进行解密信息。如此可实现实现机关单位移动办公安全接入技术。且具有价格低廉，安全性高的特点。

四、总结

机关单位由于其结构性质的特殊性，因而对移动办公的安全性要求较高，因而对机关单位移动办公安全接入与实现的研究极其重要。选用VPN及终端加固相结合的接入策略，可实现移动安全接入的要求。但现今还有很多不足，因而这需要大家的共同努力。

参考文献：

[1] 彭小平.浅析移动通信技术的演进[J].通信技术.2009.（6）：16

[2] 无线认证保密基础设施（WAPI），中华人民共和国国家标准，GB15629111[S]12003

[3] 刘洋，于力.从护田协议中安全问题的分析[J].山东通信技术，2006，（26）：64-66