基于云計算的企業(yè)移動安全接入

南方電網(wǎng)數(shù)字電網(wǎng)研究院有限公司 陳禹旭 任昊文 黃焯恒

為解決傳統(tǒng)基于TrustZone接入方法在應(yīng)用到企業(yè)移動網(wǎng)絡(luò)中存在接入時間消耗量大的問題,開展基于云計算的企業(yè)移動安全接入研究。通過企業(yè)移動信息數(shù)據(jù)可信度量、基于云計算的可信接入安全協(xié)議制定、企業(yè)移動安全接入控制與安全傳輸,提出一種全新接入方法。通過實驗證明,新的接入方法接入效率更高,可實現(xiàn)企業(yè)移動網(wǎng)絡(luò)快速傳輸。

0 引言

云計算技術(shù)是指在移動終端設(shè)備的支撐下,通過移動應(yīng)用服務(wù)的方式,將處理的數(shù)據(jù)與存儲的數(shù)據(jù),以一種外包的方式調(diào)度給終端的綜合性技術(shù),通過此項技術(shù),可以降低設(shè)備移動接入的資源,并在一定程度上減少操作端的開銷。相比傳統(tǒng)的PC技術(shù),云計算給予用戶的服務(wù)可以表現(xiàn)為“軟件即是服務(wù)”,因此,用戶在調(diào)用資源時,可直接使用手機等智能終端設(shè)備,開啟遠程服務(wù)的方式,對前端發(fā)出指令[1]。但伴隨著技術(shù)的普及化與生活化,企業(yè)移動終端也面臨著一系列的安全問題,這些問題中除了涉及傳統(tǒng)云空間存在的問題之外,還出現(xiàn)了用戶個人信息、企業(yè)商業(yè)隱私信息被泄露的問題,這些問題均在某種層面上反映了我國云計算技術(shù)在應(yīng)用中仍存在一些不足或漏洞[2]。

1 基于云計算的企業(yè)移動安全接入方法設(shè)計

1.1 企業(yè)移動信息數(shù)據(jù)可信度量

為確保企業(yè)移動通信數(shù)據(jù)在接入到企業(yè)網(wǎng)絡(luò)當(dāng)中時做到有據(jù)可依,首先針對企業(yè)移動網(wǎng)絡(luò)在運行過程中需要接入的各類信息數(shù)據(jù)進行安全性驗證,并完成可信度量,從而實現(xiàn)對移動信息數(shù)據(jù)安全性的量化評價。如圖1所示企業(yè)移動信息數(shù)據(jù)可信度量流程示意圖。

圖1 為企業(yè)移動信息數(shù)據(jù)可信度量流程示意圖Fig.1 Schematic diagram of the credibility measurement process of enterprise mobile information data

按照圖1所示內(nèi)容,首先在企業(yè)移動網(wǎng)絡(luò)當(dāng)中建立可信根,并引入度量機制,構(gòu)建一個從企業(yè)移動網(wǎng)絡(luò)底層可信根到上層應(yīng)用的完整信任鏈,并對企業(yè)移動網(wǎng)絡(luò)環(huán)境中運行的各類應(yīng)用服務(wù)提供安全保護。在度量的過程中,必須確保度量起點本身具備絕對的可信[3]。當(dāng)企業(yè)移動網(wǎng)絡(luò)開始運行后,信任鏈傳遞的執(zhí)行任務(wù)首先通過BIOS構(gòu)成一個完整的信任鏈,并在企業(yè)移動網(wǎng)絡(luò)引導(dǎo)代碼可信驗證之前,在BIOS當(dāng)中執(zhí)行核心信任度量根,同時將BIOS度量結(jié)果傳輸?shù)耐暾灾荡嬖赥PM當(dāng)中,以此完成對企業(yè)移動信息數(shù)據(jù)的可信度量。

1.2 基于云計算的可信接入安全協(xié)議制定

現(xiàn)有企業(yè)移動網(wǎng)絡(luò)運行環(huán)境當(dāng)中,安全協(xié)議在移動信息數(shù)據(jù)安全性方面無法滿足終端用戶的接入需要。因此,針對這一問題,在實現(xiàn)對企業(yè)移動信息數(shù)據(jù)的可信度量后,利用云計算技術(shù),構(gòu)建在云環(huán)境當(dāng)中的可信接入認(rèn)證協(xié)議,即可新接入安全協(xié)議[4]。在該協(xié)議當(dāng)中引入三個階段,分別為用戶賬號注冊階段、登錄階段和安全認(rèn)證階段,其具體步驟為:

(1)用戶賬號注冊階段。用戶生成隨機數(shù)x,并將x與其對應(yīng)ID傳送到企業(yè)移動網(wǎng)絡(luò)的運行服務(wù)器當(dāng)中;通過服務(wù)器實現(xiàn)對傳送信息的檢查,并判斷傳送信息是否都存在與ID(new)當(dāng)中,若存在則直接重新注冊;直到用戶傳送的ID不在ID(new)當(dāng)中時則由服務(wù)器將相應(yīng)的傳送信息存儲在智能卡當(dāng)中。

(2)登錄階段。由用戶手動插入智能卡,并輸入相應(yīng)的ID和密碼,用戶可在登錄的過程中,由服務(wù)器完成公式(1)所示計算內(nèi)容:

公式(1)中,J表示為服務(wù)器生成的隨機數(shù);h表示為安全協(xié)議條件閾值;pw表示為用戶賬號密碼數(shù)據(jù)。根據(jù)上述公式計算,當(dāng)計算得出的結(jié)果J=1時,則允許該用戶登錄到企業(yè)移動網(wǎng)絡(luò)環(huán)境當(dāng)中,并進行后續(xù)接入操作;若得出的結(jié)果J≠1時,則終止該用戶登錄。

(3)安全認(rèn)證階段。在確定用戶賬號登錄信息后,為了確保接入安全性,需要對用戶賬號的身份信息進行安全認(rèn)證。利用云計算的時間戳,檢測是否滿足如下公式(2):

公式(2)中,T'表示為時間戳;T表示為用戶登錄到企業(yè)移動網(wǎng)絡(luò)當(dāng)中的實際登錄時間;VT表示為身份信息安全認(rèn)證的最大時間間隔。若滿足上述條件,則認(rèn)為該用戶的賬號身份信息通過安全認(rèn)證,可以實現(xiàn)接入;若不滿足上述條件,則立刻終止會話,禁止該用戶通過該賬號訪問企業(yè)移動網(wǎng)絡(luò),并且禁止其一切接入行為。

1.3 企業(yè)移動安全接入控制與安全傳輸

企業(yè)移動安全接入控制與安全傳輸是確保企業(yè)移動安全的核心,只有通過有效的接入控制手段,才能夠確保用戶接入過程中信息傳輸?shù)陌踩?。針對上述基于云計算的可信接入安全協(xié)議,將其與IPSec協(xié)議進行一體化設(shè)計,采用兩種協(xié)議相結(jié)合的方式完成安全傳輸,其中IPSec協(xié)議主要應(yīng)用在網(wǎng)絡(luò)移動環(huán)境的網(wǎng)絡(luò)層當(dāng)中,而可信接入安全協(xié)議應(yīng)用在網(wǎng)絡(luò)傳輸層和應(yīng)用層之間[5]。在用戶安全接入傳輸時,通過各類安全設(shè)備的引入,實現(xiàn)網(wǎng)絡(luò)及防火墻,并充分利用防火墻的NAT功能,構(gòu)建一個全新的企業(yè)移動接入網(wǎng)絡(luò),進一步提高網(wǎng)絡(luò)的自適應(yīng)性和與其他網(wǎng)絡(luò)連接的靈活性。在用戶接入過程中,可通過引入第三方接入服務(wù)平臺的方式,為企業(yè)移動用戶提供更高水平的認(rèn)證服務(wù),將其部署在企業(yè)移動內(nèi)部網(wǎng)絡(luò)當(dāng)中,并利用ethl鏈實現(xiàn)連接,并由網(wǎng)關(guān)為其提供映射公網(wǎng)地址,使電放接入服務(wù)平臺能夠在公網(wǎng)當(dāng)中對企業(yè)移動內(nèi)部網(wǎng)絡(luò)提供安全傳輸服務(wù)保障,并且不會出現(xiàn)第三方服務(wù)平臺出現(xiàn)異常運行現(xiàn)象對企業(yè)移動內(nèi)網(wǎng)造成影響的問題,實現(xiàn)企業(yè)移動的安全接入。

2 實驗論證分析

為實現(xiàn)對本文提出的基于云計算的企業(yè)移動安全接入方法在實際應(yīng)用中能夠有效解決傳統(tǒng)基于TrustZone接入方法存在問題的進一步驗證,本文將兩種接入方法同時應(yīng)用到同一企業(yè)移動網(wǎng)絡(luò)環(huán)境當(dāng)中,開展如下對比實驗。為了更加清晰地對兩種接入方法性能對比,選擇將接入過程中各個操作的時間消耗作為評價指標(biāo),在不考慮移動請求和相應(yīng)消息具體服務(wù)命令的情況下,取接入環(huán)節(jié)中不同操作100次運行平均時間消耗值,構(gòu)建如表1所示兩種接入方法時間消耗情況對比表。

表1 兩種接入方法時間消耗情況對比表Tab.1 Comparison table of time consumption of two access methods

結(jié)合兩種接入方法時間消耗情況對比結(jié)果得出,在五種不同操作內(nèi)容中,基于云計算的接入方法明顯時間消耗更短,而TrustZone接入方法時間消耗最高達到了1.264,嚴(yán)重影響企業(yè)移動網(wǎng)絡(luò)的運行。因此,通過實驗證明本文引入云計算后的企業(yè)移動安全接入方法能夠在保證安全性的前提條件下,實現(xiàn)快速接入。

3 結(jié)語

在云計算技術(shù)的支撐下,社會發(fā)展走向了一個新的階段,與此同時,與云計算相關(guān)的市場衍生產(chǎn)物正影響著人們的日常生活。此項技術(shù)為企業(yè)辦公與人們?nèi)粘Ｉ顜肀憷麠l件的同時,也為企業(yè)安全建設(shè)提出了新的挑戰(zhàn)。為了解決問題,本文深入到對云計算的研究中,并基于云計算技術(shù)的應(yīng)用,設(shè)計一種針對企業(yè)的移動安全接入方法,并在完成對方法的設(shè)計后,通過實驗論證的方式,證明了設(shè)計的方法真實有效,致力于通過此種方式,為企業(yè)信息化建設(shè)工作的實施提供技術(shù)支撐。

引用

[1] 王峰,李興華,夏緒衛(wèi),等.基于改進CPK的電網(wǎng)終端安全接入認(rèn)證技術(shù)研究[J].自動化技術(shù)與應(yīng)用,2021,40(5):57-62.

[2] 王文溥,李艷玲,趙曉麗.鐵路移動互聯(lián)網(wǎng)安全接入技術(shù)方案研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2021(3):74-76.

[3] 楊世欣.一種基于PMIPv6的移動接入網(wǎng)關(guān)安全提升方案[J].單片機與嵌入式系統(tǒng)應(yīng)用,2019,19(6):25-27.

[4] 官麗,焦陽,張彩霞,等.電力監(jiān)控系統(tǒng)無線接入安全風(fēng)險的模糊評估方法研究[J].能源與環(huán)保,2021,43(6):163-167.

[5] 雷霞.寬帶無線IP系統(tǒng)移動終端的安全接入技術(shù)探析構(gòu)建[J].衛(wèi)星電視與寬帶多媒體,2020(5):52-53.