智能终端网络安全防护设计

2012年第 l2期 计 算 机 与 现 代 化 JISUANJI YU XIANDAIHUA 总第208期 文章编号：1006-2475(2012)12-0106-04 智能终端网络安全防护设计 黄益彬 ，吕 洋 ，杨维永 (1．国网电力科学研究院，江苏 南京 210003；2．苏州供电公司，江苏 苏州 215004) 摘要：近年来，随着GPRS／3G／WiFi等无线通信技术的发展 ，越来越多的采集终端开始采用无线通信方式进行信息的传 输，在满足智能化、互动化需求的同时，也带来了相应的安全问题。本文通过分析无线传输存在的一些安全隐患，结合智 能终端的应用环境及特点，设计一种经济、适用的智能终端安全防护 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 。 关键词：安全防护；智能终端；SSL VPN；IPSec VPN 中图分类号：TP309．2 文献标识码：A doi：10．3969／j．issn．1006—2475．2012．12．028 Network Security Protection Design of Intelligent Terminal HUANG Yi—bin ，LU Yang ，YANG Wei．yong (1．State Grid Electric Power Research Institute，Nanjing 21flXB，China；2．Suzhou Power Supply Company，Suzhou 215(D4，China) Abstract：In recent years，along with the development of wireless communication technology such as GPRS／3G／WiFi，more and more collective terminal uses wireless communication for their inform ation transfer．These meet the intelligence and interactive re— quest，but bring up security problem．This paper through the analysis of some existing wireless transmission security hidden dan— ger，combines with the application of intelligent term inal environment and its characteristics，an economic and appropriate securi· ty protection scheme of intelligent terminal is designed． Key words：security protection；intelligent terminal；SSL VPN；IPSee VPN 0 引 言 传统的信息采集终端一般都是通过有线／专线的 方式进行通信的，这种通信方式成本较高，且受地理 环境的限制较大。而且，部分有线／专线通信采用的 是类似串口的通信方式，数据传输速度低，无法满足 智能化、互动化对大量数据的传输需求。随着无线通 信技术的发展，GPRS／3G／WiFi等无线通信技术 日趋 成熟，且无线通信受地理环境的影响小，传输速度越 来越快 ，使用成本也越来越低，被越来越多的智能终 端所使用。如用电信息采集中的电量采集终端，移动 办公中使用的智能手机、PDA等都是通过无线通信 方式进行数据通信的。 然而，相对于有线／专线通信而言，无线通信由于 暴露面更大，更容易受到外界的攻击。虽然无线通信 自身提供了一定的安全功能，但是无法抵御集团式攻 击对通信数据的窃取、篡改。只有解决了通信数据的 机密性、完整性等一系列安全问题，才能保证智能终 端的安全使用。 针对上述分析，本文设计一种针对无线通信方式 下的智能终端网络安全的防护方案，为智能终端利用 无线通信方式进行安全数据传输提供了解决方法。 1 总体安全防护设计 信息传输的安全，主要是解决通信双方的身份认 证和数据加密问题。身份认证解决的是通信双方的 互信问题，一般通过非对称算法来实现，如 RSA、 DSA、ECC、SM2等；数据加密解决的是数据传输过程 中的机密性、完整性问题，一般通过对称算法来实现， 如DES、3DES、AES、SM1等。考虑到 SM1、SM2是国 家密码局制定并推荐的算法，是今后国内安全产品采 用的首选，本设计的对称算法、非对称算法分别采用 SM1和 SM2。 智能终端的网络拓扑一般都是“一对多”模式 ， 收稿日期：2012-09-26 作者简介：黄益彬(1982．)，男，江苏南京人，国网电力科学研究院工程师，硕士，研究方向：电力系统网络与信息安全；吕洋 (1979一)，男，江苏苏州人，苏州供电公司工程师，本科，研究方向：电力系统自动化；杨维永(1978．)，男，江苏宿迁人，高级工 程师，硕士，研究方向：电力系统网络与信息安全。 2012年第 12期 黄益彬等：智能终端网络安全防护设计 107 即一个主站应用系统 +大量的智能终端 ，且都是以主 站系统作为服务端。由于主站应用系统需要处理的 数据量很大，如果在主站应用系统里添加安全防护功 能，必然会影响应用系统的性能，因此，可以考虑在主 站使用额外的硬件设备来专门处理安全防护相关的 工作。对于终端而言，由于处理的数据量有限，因此 可以将安全防护的功能集成到原有的终端设备里。 下面给出智能终端网络安全防护设计的总体结构图 (如图 1所示 )。 智能手机 l 图 l 智能终端网络安全防护设计总体结构 其中，智能终端的安全防护功能采用安全芯片、 安全 USBKey或安全 TF卡的方式实现，主站的网络 安全防护功能采用额外的硬件网关实现，安全防护模 式采用 SSL VPN模式，下面分别进行详细介绍。 2 硬件设计 对于智能终端来说，可在软件上实现 SM2算法， 但速度较慢，而且由于 SM1算法未公开，无法以软件 形式实现，只能以IP核的形式存在于芯片中。因此， 比较好的方法是由第三方的安全模块来提供身份认 证和数据加密所涉及的 SM1、SM2算法的功能，智能 终端只需要调用算法即可。 根据使用场景和方式的不同，智能终端可分为固 定式智能终端和移动智能终端两类。添加安全防护 功能需要充分考虑不同类型的智能终端的功耗要求、 使用环境、改造难易等因素。 对于固定式智能终端，本设计采用集成有 SM1、 SM2功能的安全芯片。这样一方面在功耗上能够满 足要求，另一方面，由于芯片直接焊接在终端板子上， 增加了可靠性，能够适应固定式智能终端的恶劣应用 环境。 目前 ，集成有 SM1、SM2功能的安全芯片在国内 已有所应用，这类芯片一般含有 ISO7816、SPI、USB 等接口与硬件主板连接。ISO7816接口速度较慢，早 期的一些基于单片机的终端使用得较多，对于固定式 智能终端来说，由于需要使用芯片进行加解密的数据 量较大，不宜采用此接口。SPI接 口速度上能够满足 智能终端的需求，而且一般固定式智能终端都是嵌人 式系统，都带有 SPI接口，因此，比较适合采用。USB 接口速度更快，能够完全发挥安全芯片的性能，但是 有些固定式智能终端上没有 USB接 口，且如果需要 集成 USB接口功能，原有硬件改动会较大。总之，可 以根据原有固定式智能终端的硬件改造难度、通信速 度要求等，选择合适的接口与安全芯片连接。 对于移动智能终端，考虑到移动智能终端进行硬 件改造的难度较大，因此需要利用移动智能终端自身 提供的一些硬件接口连接安全模块。目前，智能手机 和 PDA一般都有 TF卡接口，而笔记本都有 USB接 口。因此，对于智能手机和 PDA，本设计采用安全 TF 卡提供安全防护功能，对于笔记本，则采用安全 US— BKey提供安全防护功能。 对于主站侧，由于需要处理的数据量大，本设计 采用额外的硬件网关来实现安全防护的功能。硬件 网关采用高速的硬件密码卡实现 SM1、SM2加解密运 算，这样一方面能够保证主站侧的数据加解密速度， 另一方面，由于对主站的业务系统完全透明，避免了 主站业务程序的改造。 3 软件设计 软件上主要是采用建立 VPN隧道进行数据加密 的方式。目前，常用的建立 VPN隧道的模式有 IPSec VPN和 SSL VPN两种。其中IPSec VPN是基于网络 层的，而 SSL VPN是基于应用层的，如图2所示。 面园 回 回 蹩 竹 I UDP l TCP I 输 ÷ 囤 墨 图2 IPSec VPN和SSL VPN在协议栈中的位置 3．1 工作模式 IPSec VPN是基于网络层的数据加密通信，一般 采用部署 IPSec VPN网关或使用专用软件的方式。 计 算 机 与 现 代 化 2012年第l2期 对于终端侧来说，额外部署 IPSec VPN网关成本太 高，而如果使用专用软件将 IPSec的功能集成到智能 终端里，则终端的改造难度较大。另外，不管使用何 种方式，IPSec VPN的维护都比较困难，对维护人员 的要求较高。因此，智能终端不适合采用此种模式。 SSL VPN工作在 TCP层之上，是基于应用层的 数据加密通信模式，SSL VPN一般有“终端一网关”模 式和“网关．网关”模式两种，其典型的部署结构如图 3所示。 — 母 终端一网关模式 C二至丑砸嚣口 固 }。9关一9c9关模式 图3 SSL VPN典型部署结构 SSL VPN由于工作 在 TCP层之上，因此，SSL VPN网关采用的都是 TCP代理的实现 机制 综治信访维稳工作机制反恐怖工作机制企业员工晋升机制公司员工晋升机制员工晋升机制图 。对于 “终端一网关”模式来说，终端侧需要 自己实现 SSL VPN的功能。由于“终端一网关”模式在终端侧不需 要额外使用 SSL VPN网关，比较适合终端多的应用 场景，因此，本设计采用“终端一网关”模式。 3．2 交互流程 下面以“终端一网关”模式为例，说明报文交互流 程(如图4所示)。 ①建立TCP连接 ②进行SSL认证， 出会话密钥 ③连接主站应用 ⑤数据传输 协商 请求 接应用 据传输 图4 “终端一网关”模式报文交互流程 整个报文交互流程分为两大部分：(1)终端与 SSL VPN网关建立 SSL连接。(2)终端通过SSL VPN 网关与主站应用进行数据交互。详细的过程如下： ①终端与SSL VPN网关建立普通的TCP连接； ②终端和 SSL VPN网关在普通 TCP连接的基础 上进行SSL认证，建立SSL连接，并协商出会话密钥， 协商出的会话密钥用于后续通信过程中的数据加解 密； 步骤①一②为终端与SSL VPN网关建立SSL连 接的过程。 ③终端准备发送数据到主站应用之前，需要和主 站应用建立虚拟连接。终端将连接信息(如主站应 用的IP、端口等)加密，并封装成SSL数据包(TCP的 负载)，发送到 SSL VPN网关 (终端 SSL VPN网 关)； @SSL VPN网关收到SSL数据包之后，进行解 密，发现是连接信息，根据解密出的连接信息，建立 SSL VPN网关与主站应用之间的TCP连接(SSL VPN 网关 主站应用)； ⑤SSL VPN网关将连接成功结果返 回给终端 (SSL VPN网关 终端)； ⑥此时终端可以向主站应用发送数据了。终端将 数据MSG加密，连同一些必要的附加信息封装成SSL 数据包发送给SSL VPN网关(终端—》SSL VPN网关)； @SSL VPN网关收到SSL数据包，解密后得到明 文数据MSG，根据附加信息，将明文数据MSG转发给 主站应用(SSL VPN网关 主站应用)； ⑧主站应用收到数据后，将明文的应答数据发送 给 SSL VPN网关(主站应用--)SSL VPN网关)； ~SSL VPN网关将主站应用的应答数据加密，连 同一些附加信息封装成SSL数据包发送给终端(SSL VPN网关 终端)； ⑩终端解密得到明文数据。 步骤③一⑩为终端和主站应用的虚拟连接建立 与数据通信过程。 由以上的过程可知，SSL VPN对应用不是完全透 明的，对于终端侧，应用需要实现 SSL VPN的功能； 对于网关侧，SSL VPN网关需要做 TCP代理，主站侧 由于有 SSL VPN网关，因此主站的应用无需改造。 3．3 与普通 SSL VPN的比较 普通的SSL VPN，如 HTFPS等，其终端的每一个 应用都会与服务端的SSL VPN网关或代理服务器建 立一个SSL VPN通道，这样当终端应用很多的时候， SSL VPN网关或代理服务器需要维护的SSL连接就 会很多，影响性能。而本文采用的 SSL VPN在软件 设计上采用的是一个终端与SSL网关建立一个SSL VPN通道与此终端相关的应用都走这个 SSL VPN通 道，虽然在软件实现上较普通的 SSL VPN要复杂一 些，但是由于精简了SSL VPN的连接数，使得系统能 够连接上更多的终端。 2012年第 12期 黄益彬等：智能终端网络安全防护设计 109 4 结束语 随着智能小区、智慧城市、物联网的建设，智能终 端被越来越广泛地使用，而信息的采集与传输是智能 终端的重要内容。本文通过分析当前国际国内的密 码算法使用情况、加密通信使用方式，依照国家密码 局对国内安全产品的最新要求，结合智能终端的使用 环境与特点，设计一种经济、可行的解决智能终端网 络安全通信的方案，并论证方案的可行性。 参考文献 ： [1] 李峰．采用三级密钥体系实现校园卡密钥管理子系统 [J]．网络安全技术与应用，2010(2)：10—12． [2] 徐家臻，陈莘萌．基于 IPSec与基于 SSL的 VPN的比较 与分析[J]．计算机工程与设计，2004，25(4)：586488． [3] 郭延玲，牛少彰．SSL VPN原理与安全性研究[EB／ OL]．http：／／www．paper．edu．cn，2006-01~0． [4] 国家密码管理局．SM2椭圆曲线公钥密码算法[EB／ OL]．http：／／www．oscca．gov．cn，2010-12—17． [5] 刘平，谭武征，黄敏，等．SSL VPN技术规范[EB／OL]． http：／／www．oscca．gov．cn，2009-01。14． [6] 杨光，耿贵宁，都婧，等．物联网安全威胁与措施[J]． 清华大学学报 ：自然科学版，2011，51(10)：1335—1340． [7] 周敬利，王宇，余胜生．SSL VPN中动态密码的研究与 应用[J]．计算机应用研究，2006，23(8)：89~0，94． [8] 徐娜，韦卫．基于安全芯片的可信平台设计与实现[J]． 计算机应用研究，2006，23(8)：117·119． [9] 徐震，刘韧，于爱民，等．智能电网中的移动应用安全技 术[J]．电力系统自动化，2012，36(16)：82-87． [1O]王智辉．移动办公系统中的安全对策[J]．计算机光盘 软件与应用，2011(13)：71J2． [11]黄志成．无线局域网安全分析[J]．计算机光盘软件与 应用，2010(6)：76_77． [12]李菁 ，曹秀英．安全无线局域网增强媒体接入控制功能 的关键技术及实现[J]．东南大学学报：自然科学版， 2004，34(6)：729J33． [13]徐魁，蒋璃瀛．基于 GSM／GPRS通信的抄表系统[J]． 电力系统自动化，2004 ，28(17)：94-96． [14]姜奇，马建峰，李光松，等．基于 WAPI的WLAN与 3G 网络安全融合[J]．计算机学报，2010，33(9)：1675— 1685． (上接 第102页) [8] 杨文杰，刘浩学．基于Web的印刷企业资源 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 (ERP) 系统的开发与实施[J]．北京印刷学院学报，2007，15 (2)：28-31． [9] 黄孝章，乔东亮，杨文杰．基于 项目管理 工程项目管理制度介绍工程项目管理课程设计政府投资项目管理意见建设工程项目管理合同工程项目管理培训总结 的印刷 ERP系 统设计方法研究[J]．包装工程，2006，27(5)：207—208． [10]郭利．基于C／S和B／S混合结构的印刷管理信息系统 研究[J]．科技资讯，2007(29)：5849． [11]李伟红，龚卫国，马任飞，等．基于C／S和B／S的大中型 商场后台的设计与实现[J]．计算机应用研究，2004 (5)：94-96，162． [12]杨文杰，刘浩学．基于B／S方式的印刷ERP软件系统分 析[J]．包装工程，2004，25(3)：92-93． [13]张志刚，黄军勤，顾桓．论包装企业 ERP模型及设计 [J]．包装工程，2006，27(2)：258-259，276． [14]曹阳，顾桓，李志敏，等．基于．NET的B／S灵巧系统的 开发与应用[J]．科技情报开发与经济，2006，16(3)： 243-244． [15]科霍斯罗维．ASP．NET&IIS7高级编程[M]．窦朝晖译． 北京：清华大学出版社，2008． [16]微软公司．SQL Server联机从书[M]．微软公司，2007． [17]微软公司．．NET Framework 2．0程序设计[M]．北京： 高等教育出版社 ，2007． [18]黄海．ASP．NET2．0全程指南[M]．北京：电子工业出 版社，2008． [19]刘乃丽．完全 手册 华为质量管理手册 下载焊接手册下载团建手册下载团建手册下载ld手册下载 ASP．NET 2．0网路开发详解[M]． 北京：电子工业出版社，2008． [20]王玉国．基于SOA的印刷管理系统研究[D]．长春：吉 林大学，2008 [21]夏研，李辉．通用印刷企业管理信息系统的设计与开发 [J]．微计算机信息，2008，24(2-3)：16—18． [22]姚志强，陈文博，沈媛．基于Web Services架构的CSCW 应用研究[J]．计算机工程与应用，2005(3)：132-136． [23]杨恒宇．基于 SOA的Web应用系统的研究与实现 [D]．合肥：合肥工业大学，2006．