談鐵路移動互聯(lián)網(wǎng)安全接入技術(shù)方案

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了談鐵路移動互聯(lián)網(wǎng)安全接入技術(shù)方案范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：本文研究的重點在于移動互聯(lián)網(wǎng)網(wǎng)絡接入安全、安全傳輸VPN以及進行安全防護的方法等，保障用戶和網(wǎng)絡之間的安全性，包括身份認證、隱私機密等各個方面，為建立移動互聯(lián)網(wǎng)安全體系提供理論上的參考和技術(shù)方面的支撐。

關鍵詞：移動互聯(lián)網(wǎng)；應用級SSL；VPN；隧道；VPDN；身份認證

鐵路無線接入其實就是在鐵路綜合信息網(wǎng)局域網(wǎng)終端應用無線技術(shù)，實現(xiàn)用戶終端網(wǎng)絡的無線接入。移動互聯(lián)網(wǎng)真正地實現(xiàn)了互聯(lián)網(wǎng)和移動通信之間的融合，用戶可以利用多種多樣的移動終端來連接網(wǎng)絡。無線接入技術(shù)和移動互聯(lián)網(wǎng)的應用越來越常見，在實際操作中經(jīng)常需要運用上述技術(shù)來開展業(yè)務，比如人員現(xiàn)場操作、機關辦事人員移動辦公、業(yè)務人員幫忙作出決策等。盡管引入上述先進技術(shù)可以有效提升工作效率，但是同時也使鐵路系統(tǒng)面臨著新的風險，在應用上述技術(shù)時如何做好安全防護工作一直是一個非常關鍵的問題，相關研究不夠系統(tǒng)，因此鐵路系統(tǒng)當前在運用兩項技術(shù)的同時迫切需要保障安全性。

1移動互聯(lián)網(wǎng)接入安全性分析

移動互聯(lián)網(wǎng)在發(fā)展過程中也面臨著一系列的問題，實際上這些問題都是由于移動終端、移動網(wǎng)絡、移動互聯(lián)網(wǎng)在應用中存在的風險導致的，常常會出現(xiàn)信息泄露、盜用、篡改、偽基站等各個方面的風險。

1.1不可信網(wǎng)絡傳輸

人們可以借助移動終端在任意一個場合或環(huán)境之下借助無線網(wǎng)絡或者互聯(lián)網(wǎng)進入自己的工作系統(tǒng)，當數(shù)據(jù)在網(wǎng)絡上進行傳輸?shù)臅r候，就面臨著來自各個方面的攻擊和竊聽風險。尤其通過移動設備，在公共場所辦公時，無線網(wǎng)“熱點”可能會帶來欺騙，誘導、監(jiān)視。黑客對用戶進行誘導、監(jiān)視，在用戶進行網(wǎng)上沖浪時盜取其賬號，獲取工作上的相關機密。

1.2不嚴密的應用管控

如今，企業(yè)很多業(yè)務都通過移動設備來進行，移動業(yè)務的發(fā)展速度已經(jīng)超過了信息安全的保障機制更新速度，各個應用沒有進行科學的安全性評測便向用戶開放，可能會使移動用戶借助網(wǎng)絡獲取機密程度高的一些數(shù)據(jù)。由于訪問權(quán)限設置的不合理性以及審計措施的不科學性，可能會導致一些嚴重的泄密事件[1]。

1.3主動或被動信息泄密

當利用移動終端辦理相關業(yè)務時，用戶便可以將系統(tǒng)中的數(shù)據(jù)下載到本地進行存儲，由于移動終端的位置不是確定的，而且很容易出現(xiàn)數(shù)據(jù)遺失和數(shù)據(jù)被交換的情況，導致數(shù)據(jù)信息很容易擴散，進一步提升了機密泄露的概率。為了使移動應用更加安全可靠，鐵路總公司需要構(gòu)建移動信息化平臺作為強有力的支撐，從傳輸、接入、終端等各個環(huán)節(jié)保障安全性，同時也要充分在信息數(shù)據(jù)和移動應用的安全方面做好防護，充分保障鐵路系統(tǒng)移動應用安全。

2鐵路移動互聯(lián)網(wǎng)接入安全防護方案

在鐵路移動信息化建設的發(fā)展初始階段，應用的數(shù)量不多，在移動應用安全保障方面，常常只對某個應用進行相應的設計，僅僅針對這一應用進行安全防護方面的投入，這就使得當移動應用數(shù)量增加時，會出現(xiàn)反復投入的情況，并且管理起來難度加大，目前已經(jīng)出現(xiàn)與移動信息化發(fā)展的腳步不相適應的情況。為了在鐵路系統(tǒng)中實現(xiàn)無線接入和移動互聯(lián)網(wǎng)安全接入，并且按照相應的技術(shù)規(guī)范，在充分保證安全性的前提下，盡量避免針對某一個應用單獨投入，有效地節(jié)約投資，對網(wǎng)絡架構(gòu)進行重構(gòu)和改善，保障移動終端的安全性，就需要在鐵路綜合信息網(wǎng)中構(gòu)建安全接入的平臺，完善基礎設施建設，使用戶和業(yè)務人員的需求得到充分的滿足，保障企業(yè)各項數(shù)據(jù)的安全性。鐵路移動公網(wǎng)安全接入平臺是建立在總公司和路局機關局域網(wǎng)外部服務網(wǎng)中的，包含了VPN接入網(wǎng)關和移動管理系統(tǒng)。在這一平臺中，用戶可以通過移動終端來接入網(wǎng)絡，同時還能保障接入安全，通過集中管理移動終端的方式進一步加強網(wǎng)絡接入的安全性，具體的邏輯架構(gòu)和拓撲結(jié)構(gòu)如下圖所示。本方案需要借助鐵路統(tǒng)一目錄服務平臺和PKI/CA，從傳輸、接入、應用三個角度對方案進行優(yōu)化，最大程度地降低無線接入的風險

2.1移動互聯(lián)網(wǎng)接入整體安全

用戶通過移動終端接入移動互聯(lián)網(wǎng)，安全接入平臺主要負責保障網(wǎng)絡接入安全。移動終端通過移動互聯(lián)網(wǎng)訪問外部服務網(wǎng)中的各種應用是通過VPN接入網(wǎng)關實現(xiàn)的，當用戶借助移動互聯(lián)網(wǎng)對圖1進行訪問時，要防止所有的移動應用都在網(wǎng)絡上展現(xiàn)出來，這樣可以有效降低被攻擊的風險。

2.1.1傳輸數(shù)據(jù)加密當用戶通過遠程VPN對企業(yè)內(nèi)部網(wǎng)絡服務器進行訪問時，數(shù)據(jù)傳輸?shù)倪^程可以劃分為三個階段，第一階段是客戶端和VPN網(wǎng)關之間的傳輸；第二階段是VPN網(wǎng)關到網(wǎng)絡安全平臺的傳輸；第三階段是平臺和內(nèi)部網(wǎng)絡應用服務器的傳輸，這一階段完全在內(nèi)網(wǎng)中進行由于內(nèi)網(wǎng)網(wǎng)絡需要借助網(wǎng)絡安全平臺進行接入，因此“內(nèi)網(wǎng)”數(shù)據(jù)傳輸安全性是能夠得到保障的[2]。而第一階段的數(shù)據(jù)傳輸則存在多個方面的安全風險，因此，就必須要采用采取一些有效的措施，防止信息數(shù)據(jù)在傳輸過程中被竊取或篡改。VPN安全接入網(wǎng)關可以通過多種算法來進行加密，相關的數(shù)據(jù)信息都處于加密的狀態(tài)，充分保障了數(shù)據(jù)在傳輸過程中的安全性。

2.1.2接入身份認證移動互聯(lián)網(wǎng)接入需要進行安全認證，這一過程需要借助安全平臺統(tǒng)一用戶目錄服務系統(tǒng)來進行。各個數(shù)據(jù)節(jié)點的信息會同步進行復制，從而使得系統(tǒng)中全部用戶能夠共享信息，同時還能使信息得到同步更新。所有用戶都可以利用相同的用戶名，在每一個已經(jīng)授權(quán)的安全接入平臺中登錄，這樣使用戶身份成為了唯一進入移動公網(wǎng)的證明。詳細的過程如圖3所示。要想給移動互聯(lián)網(wǎng)用戶進行授權(quán)，首先需要在內(nèi)網(wǎng)目錄服務器中針對移動互聯(lián)網(wǎng)建立一個專門的用戶小組，并且把已經(jīng)順利獲得授權(quán)的用戶拉入到這一組別中，從而完成授權(quán)。同時還可以在該組中設置管理員，利用訪問控制設置相關措施，使該用戶具備對訪問小組進行管理的能力。而且內(nèi)網(wǎng)目錄服務器中的信息可以復制到外網(wǎng)之中，通過各個路局信息節(jié)點的同步復制功能來實現(xiàn)數(shù)據(jù)同步。VPN接入網(wǎng)關和MDM服務器分別使用移動互聯(lián)網(wǎng)訪問組管理員賬戶從訪問組中獲取授權(quán)用戶的全部信息，并儲存在本地磁盤之中，這些用戶便稱之為LDAP用戶。移動終端訪問應用時，需要借助安全防護軟件和VPN接入網(wǎng)關構(gòu)建應用級SSLVPN隧道。在構(gòu)建隧道時，第一步需要認證用戶身份。認證可以有多重渠道，比如通過數(shù)字證書用戶名、口令、設備信息等。數(shù)字證書是中鐵CA給予的，并且對X.509字段進行了擴充，加入了UID字段，這一字段在整個網(wǎng)絡平臺上是唯一的。安全防護軟件會對這一字段進行讀取，用戶輸入對應的PIN進入系統(tǒng)之中，VPN接入網(wǎng)關負責對證書進行認證，然后將UID字段拎出來，和LDAP用戶進行比對，如果在LDAP用戶中成功找到該用戶，則完成認證。用戶完成認證之后，還必須完成移動終端管理安全策略和應用權(quán)限檢查，然后才可以對移動應用進行訪問。如果移動終端存在危險跡象，那么會阻止其連接網(wǎng)絡。通過和MDM之間的相互合作，只有完成身份認證，獲得授權(quán)，并且不會對安全性構(gòu)成威脅的移動終端，才能訪問外部服務網(wǎng)應用。

2.1.3細粒度的訪問控制VPN網(wǎng)關在進行訪問控制時可以采取網(wǎng)關源IP訪問、用戶訪問、用戶組訪問等方法。網(wǎng)關源IP訪問控制可以根據(jù)用戶源IP地址選擇允許或拒絕用戶接入網(wǎng)關。通過對用戶源IP地址訪問進行控制，對用戶可以接入的IP地址范圍進行約束，從而降低安全風險。用戶訪問和用戶組訪問控制可以對某些客戶制定其獨有的訪問控制，從用戶源和目的IP地址、端口、目的URL等幾個方面來限制用戶的訪問。通過配置訪問控制可以對已經(jīng)獲得授權(quán)的用戶在訪問時進一步對訪問進行控制。應用級SSLVPN能夠?qū)崿F(xiàn)基于URL、IP、端口的細粒度訪問控制。并且控制的粒度越小，內(nèi)網(wǎng)的信息數(shù)據(jù)越安全。該種類型的訪問控制使管理用戶在配置時更加方便和快捷。

2.2運營商3G／4G傳輸安全

移動終端接入鐵路外部服務網(wǎng)時可以采取兩種方法來實現(xiàn)，第一種是通過運營商的移動網(wǎng)絡來訪問互聯(lián)網(wǎng)，構(gòu)建應用級SSLVPN隧道，第二種方法是借助運營商的移動數(shù)據(jù)專用通道，通過SIM卡來訪問互聯(lián)網(wǎng)。這個專門的通道，也就是VPDN通道，它其實也是一種VPN業(yè)務，是移動運營商通過二層隧道協(xié)議技術(shù)來創(chuàng)建一個不和外界網(wǎng)絡相連通的網(wǎng)絡區(qū)域供用戶使用。用戶在這一網(wǎng)絡中只能借助運營商網(wǎng)絡對鐵路外部服務網(wǎng)進行訪問，不會進入到外部網(wǎng)絡中，能夠有效地保障數(shù)據(jù)的安全性。根據(jù)用戶所用的移動終端的種類，選擇適合自己的方式進行接入。通用終端只能選擇第一種方式進行接入，而不能通過第二種方式中的專用終端借助專用通道來訪問。移動終端無論采取上述兩種方法中的哪種來接入鐵路外部互聯(lián)網(wǎng)，都需要通過安全接入平臺來實現(xiàn)。移動終端和VPN接入網(wǎng)關需要構(gòu)建應用級SSLVPN隧道，這個隧道可以充分的保障數(shù)據(jù)傳輸?shù)陌踩?，并且將不同應用之間的數(shù)據(jù)進行分隔，使數(shù)據(jù)能夠在保密的狀態(tài)下進行傳輸。VPDN和SSLVPN隧道傳輸如圖4所示。SSLVPN或者IPSecVPN應用程序中，移動終端必須要裝有虛擬網(wǎng)卡，各個移動應用中的數(shù)據(jù)信息需要先通過它，然后才能進入到VPN通道中[3]。各個移動應用產(chǎn)生的數(shù)據(jù)信息在中轉(zhuǎn)過程中，面臨著安全方面的威脅，此時手機上其他的移動應用有可能會通過中轉(zhuǎn)過程竊取該應用的相關數(shù)據(jù)，從而出現(xiàn)信息泄露的情況。應用級SSLVPN接入網(wǎng)關可以有效地把客戶端和應用軟件聯(lián)系在一起，使用戶能夠方便快捷地使用移動終端上的應用軟件，同時還能夠增強SSL安全防護的水平，能夠有效地降低上面提到的安全風險，應用VPN報文封裝流程如圖5所示。在客戶端編程組件中，可以找到非常全面的應用層TCP/IP虛擬協(xié)議棧。因此，移動終端應用中的相關數(shù)據(jù)信息可以借助此協(xié)議棧對TCP/IP進行封裝，在應用內(nèi)部產(chǎn)生一個IP信息文件。也就表明，信息數(shù)據(jù)在MDM提供的應用VPN中傳輸過程是加密的。MDM的應用VPN能夠?qū)用艿腎P信息文件進行傳輸，這帶來了很大的便利性，MDM移動辦公安全防護方案中可以對全部基于IP協(xié)議的移動應用的數(shù)據(jù)傳輸提供安全保障，而不僅僅指對HTTP或者TCP協(xié)議移動用戶進行防護。應用級SSLVPN操作程序中，應用可以借助安全防護軟件中能夠保障信息傳輸安全的接口，在應用內(nèi)部便對其數(shù)據(jù)信息進行加密處理。數(shù)據(jù)信息只有經(jīng)過保密防護之后才能從移動應用中傳出，進入OS系統(tǒng)。因此，即便移動終端上出現(xiàn)了一些會對數(shù)據(jù)安全構(gòu)成威脅的應用，OS系統(tǒng)中已經(jīng)獲得的數(shù)據(jù)信息的安全性也能夠得到有效的保障，這些應用并不能竊取或監(jiān)聽到終端或互聯(lián)網(wǎng)相關信息。對比SSLVPN或者IPSecVPN，應用級SSLVPN可以對移動終端應用進行控制，能夠?qū)崿F(xiàn)更小的粒度，能夠更加全面的保護數(shù)據(jù)信息的安全性。

3結(jié)語

移動終端接入移動互聯(lián)網(wǎng)首先必須進行數(shù)字證書認證。過去這一過程較為繁瑣并且不夠靈活，本方案針對之前存在的問題對數(shù)字證書認證過程進行了改進，使過程更加的簡便，并且通過和用戶目錄服務平臺的合作，對用戶進行統(tǒng)一的授權(quán)。移動終端上的應用可以借助應用級VPN使各個應用之間的數(shù)據(jù)能夠分離開來，從而保障數(shù)據(jù)傳輸?shù)陌踩裕€能防止機密信息在移動終端上被竊取。

參考文獻：

[1]周峰.電力移動互聯(lián)網(wǎng)的運用與安全防護[J].中國電力企業(yè)管理，2019（36）：86.

[2]陳韶華.試論移動互聯(lián)網(wǎng)時代信息安全新技術(shù)的展望[J].網(wǎng)絡安全技術(shù)與應用，2019（11）：2-3.

[3]徐潔君.淺談當下移動互聯(lián)網(wǎng)技術(shù)的安全與應用[J].科技資訊，2019，17（16）：15-17.

作者：王文溥 李艷玲 趙曉麗 單位：長治學院