胡雪雷， 任飛， 李東（中國網(wǎng)安公司移動(dòng)互聯(lián)網(wǎng)事業(yè)部創(chuàng)新中心，四川成都610041）

基于虛擬化技術(shù)的移動(dòng)辦公安全方案*

胡雪雷， 任飛， 李東
（中國網(wǎng)安公司移動(dòng)互聯(lián)網(wǎng)事業(yè)部創(chuàng)新中心，四川成都610041）

隨著智能手機(jī)、平板等終端設(shè)備的普及，基于PC的傳統(tǒng)辦公方式已逐步轉(zhuǎn)向利用智能終端設(shè)備的移動(dòng)辦公。為解決這種新趨勢(shì)帶來的安全問題，業(yè)界提出了利用虛擬化技術(shù)在同一個(gè)智能手機(jī)、平板上運(yùn)行兩套相互隔離操作系統(tǒng)的解決方案，同時(shí)滿足個(gè)人日常使用及移動(dòng)辦公的需求。本文在現(xiàn)有解決方案基礎(chǔ)上進(jìn)行改進(jìn)，增加一個(gè)運(yùn)行于后臺(tái)的專用監(jiān)控系統(tǒng)，用于防護(hù)網(wǎng)絡(luò)攻擊和文件系統(tǒng)加密，進(jìn)一步增強(qiáng)智能手機(jī)、平板在移動(dòng)辦公方面的安全性。

虛擬化；隔離；移動(dòng)辦公

［Abstract］With the popularity of smart phones or tablet，the traditional office based on PC gradually shifts to the use of smart terminal equipment mobile office.In order to solve the security problem of this new trend，virtualization technology is applied by the industry in the same smart phone or tablet，with two isolating systems operated，thus to satisfy the demand for personal daily use and t official business.In this paper，based on the existing solutions，an exclusive monitoring system operated in background is added to defend against network attacks and file system encryption，thus to further enhance the security of mobile office in smart terminal devices.

［Key words］virtualization；isolation；mobile office

0 引言

隨著技術(shù)的發(fā)展，智能手機(jī)、平板不再局限于個(gè)人日常生活、娛樂，已逐步融入到企業(yè)辦公領(lǐng)域。智能手機(jī)、平板在個(gè)人日常使用方面要求開放、自由，在企業(yè)辦公方面要求受控、保密，然而這兩種需求在同一個(gè)設(shè)備上無法并存。為解決這一問題，業(yè)界引入了基于虛擬化技術(shù)的雙系統(tǒng)解決方案。在同一個(gè)智能手機(jī)、平板上運(yùn)行兩個(gè)獨(dú)立的操作系統(tǒng)［1］，分別用于個(gè)人使用、處理公務(wù)，但這種方案仍存在一些可改進(jìn)之處。

1 概述

現(xiàn)有的移動(dòng)辦公雙系統(tǒng)解決方案解決了智能手機(jī)、平板在個(gè)人使用與移動(dòng)辦公安全性要求相互沖突的問題，但個(gè)人系統(tǒng)、辦公系統(tǒng)內(nèi)部的安全性并沒有得到提升。比如，文件系統(tǒng)加密仍由當(dāng)前操作系統(tǒng)負(fù)責(zé)，加密后文件系統(tǒng)被破解的風(fēng)險(xiǎn)仍然較高。在網(wǎng)絡(luò)防護(hù)方面，防火墻仍運(yùn)行于操作系統(tǒng)內(nèi)，系統(tǒng)被攻擊的風(fēng)險(xiǎn)仍然較高。

針對(duì)這些問題，本文在現(xiàn)有基礎(chǔ)上，將文件系統(tǒng)加密、網(wǎng)絡(luò)防火墻從個(gè)人、辦公系統(tǒng)中獨(dú)立出來，由獨(dú)立的系統(tǒng)來負(fù)責(zé)，從而進(jìn)一步提升智能終端設(shè)備的安全性。

利用虛擬化技術(shù)，在智能手機(jī)、平板上運(yùn)行三個(gè)系統(tǒng)——個(gè)人系統(tǒng)、辦公系統(tǒng)、監(jiān)控系統(tǒng)。個(gè)人系統(tǒng)、辦公系統(tǒng)不再直接訪問物理網(wǎng)絡(luò)設(shè)備、物理存儲(chǔ)設(shè)備，相應(yīng)的物理設(shè)備讀寫都由監(jiān)控系統(tǒng)進(jìn)行。監(jiān)控系統(tǒng)獨(dú)立于其它兩個(gè)系統(tǒng)運(yùn)行于后臺(tái)，除作為個(gè)人系統(tǒng)、辦公系統(tǒng)與外部網(wǎng)絡(luò)、文件系統(tǒng)之間交互的橋梁外，還負(fù)責(zé)防護(hù)網(wǎng)絡(luò)攻擊、文件系統(tǒng)加密。

2 茅統(tǒng)結(jié)構(gòu)

本方案將整個(gè)系統(tǒng)分為四個(gè)部分：個(gè)人系統(tǒng)、辦公系統(tǒng)、監(jiān)控系統(tǒng)、Hypervisor［2］。Hypervisor是整個(gè)系統(tǒng)的核心，運(yùn)行于系統(tǒng)底層，個(gè)人系統(tǒng)、辦公系統(tǒng)、監(jiān)控系統(tǒng)運(yùn)行于上層。系統(tǒng)結(jié)構(gòu)如圖1所示：

Hypervisor負(fù)責(zé)調(diào)度整個(gè)系統(tǒng)的運(yùn)行，為上層系統(tǒng)提供虛擬硬件環(huán)境，保證上層系統(tǒng)獨(dú)立運(yùn)行。為上層系統(tǒng)提供虛擬網(wǎng)絡(luò)，并提供虛擬網(wǎng)絡(luò)訪問接口，實(shí)現(xiàn)上層三個(gè)系統(tǒng)之間的網(wǎng)絡(luò)通信，接管個(gè)人系統(tǒng)、辦公系統(tǒng)對(duì)網(wǎng)絡(luò)設(shè)備的訪問。為上層系統(tǒng)提供數(shù)據(jù)通道及訪問數(shù)據(jù)通道接口，接管個(gè)人系統(tǒng)、辦公系統(tǒng)對(duì)物理存儲(chǔ)設(shè)備的訪問。接管上層系統(tǒng)中斷，向個(gè)人系統(tǒng)、辦公系統(tǒng)屏蔽物理網(wǎng)卡、物理存儲(chǔ)設(shè)備中斷，投遞虛擬網(wǎng)卡虛擬存儲(chǔ)設(shè)備中斷。

圖1 系統(tǒng)結(jié)構(gòu)圖

個(gè)人系統(tǒng)、辦公系統(tǒng)可以是運(yùn)行于智能手機(jī)、平板上的任意操作系統(tǒng)。但其訪問物理網(wǎng)絡(luò)、物理存儲(chǔ)設(shè)備的標(biāo)準(zhǔn)驅(qū)動(dòng)程序需進(jìn)行替換，改為本方案提出的虛擬設(shè)備驅(qū)動(dòng)。通過虛擬設(shè)備驅(qū)動(dòng)模擬虛擬網(wǎng)卡、虛擬存儲(chǔ)設(shè)備，在驅(qū)動(dòng)中調(diào)用Hypervisor提供的網(wǎng)絡(luò)訪問接口、存儲(chǔ)設(shè)備訪問接口，同外部網(wǎng)絡(luò)、物理存儲(chǔ)設(shè)備進(jìn)行交互。

個(gè)人系統(tǒng)、辦公系統(tǒng)、監(jiān)控系統(tǒng)在內(nèi)部形成一個(gè)虛擬局域網(wǎng)，監(jiān)控系統(tǒng)成為局域網(wǎng)與外部網(wǎng)絡(luò)的網(wǎng)關(guān)。發(fā)送數(shù)據(jù)時(shí)，個(gè)人系統(tǒng)、辦公系統(tǒng)首先將數(shù)據(jù)經(jīng)過虛擬網(wǎng)絡(luò)發(fā)送到監(jiān)控系統(tǒng)，再由監(jiān)控系統(tǒng)將數(shù)據(jù)發(fā)送到外部網(wǎng)絡(luò)；接收數(shù)據(jù)時(shí)，由監(jiān)控系統(tǒng)從外部網(wǎng)絡(luò)接收數(shù)據(jù)，再通過虛擬網(wǎng)絡(luò)轉(zhuǎn)發(fā)到個(gè)人系統(tǒng)、辦公系統(tǒng)。寫文件時(shí)，個(gè)人系統(tǒng)、辦公系統(tǒng)首先將數(shù)據(jù)發(fā)送到監(jiān)控系統(tǒng)，由監(jiān)控系統(tǒng)寫到物理存儲(chǔ)設(shè)備中；讀文件時(shí)，首先由監(jiān)控系統(tǒng)從物理存儲(chǔ)設(shè)備中讀取數(shù)據(jù)，再將數(shù)據(jù)返回給個(gè)人系統(tǒng)、辦公系統(tǒng)。

監(jiān)控系統(tǒng)運(yùn)行于后臺(tái)，可以是任意嵌入式實(shí)時(shí)系統(tǒng)。它負(fù)責(zé)和外部網(wǎng)絡(luò)進(jìn)行交互，防護(hù)網(wǎng)絡(luò)攻擊；負(fù)責(zé)訪問文件系統(tǒng)，并對(duì)文件系統(tǒng)進(jìn)行加密。

3 茅統(tǒng)設(shè)計(jì)

對(duì)于一個(gè)完整的虛擬化系統(tǒng)設(shè)計(jì)，包括系統(tǒng)虛擬化、內(nèi)存虛擬化、中斷虛擬化、設(shè)備虛擬化、通信接口等模塊。系統(tǒng)虛擬化為上層系統(tǒng)提供虛擬硬件環(huán)境；內(nèi)存虛擬化用于實(shí)現(xiàn)上層系統(tǒng)的內(nèi)存空間隔離；中斷虛擬化用于管理上層系統(tǒng)可響應(yīng)的物理中斷；設(shè)備虛擬化用于向上層系統(tǒng)提供虛擬設(shè)備；通信接口用于上層系統(tǒng)之間的通信。

本文不對(duì)虛擬化通用設(shè)計(jì)部分進(jìn)行討論，重點(diǎn)論述和本方案相關(guān)的虛擬網(wǎng)卡設(shè)備、虛擬存儲(chǔ)設(shè)備、中斷管理等部分。

3.1 慮擬設(shè)備

虛擬設(shè)備包括虛擬網(wǎng)卡和虛擬存儲(chǔ)設(shè)備，運(yùn)行于個(gè)人系統(tǒng)、辦公系統(tǒng)、監(jiān)控系統(tǒng)。虛擬設(shè)備是本方案增強(qiáng)網(wǎng)絡(luò)安全、文件系統(tǒng)安全的關(guān)鏈。Hypervisor借助虛擬設(shè)備實(shí)現(xiàn)對(duì)上層系統(tǒng)網(wǎng)絡(luò)、文件系統(tǒng)訪問的接管，通過虛擬設(shè)備實(shí)現(xiàn)個(gè)人系統(tǒng)、辦公系統(tǒng)和監(jiān)控系統(tǒng)的數(shù)據(jù)傳輸接口。

虛擬設(shè)備實(shí)現(xiàn)有兩種方式，一種是通過代碼模擬一個(gè)真實(shí)的物理設(shè)備，虛擬設(shè)備按照物理設(shè)備的規(guī)格，通過軟件模擬實(shí)現(xiàn)設(shè)備相關(guān)寄存器、通信接口。這種方式有一個(gè)好處，上層操作系統(tǒng)可以直接利用現(xiàn)有設(shè)備驅(qū)動(dòng)運(yùn)行。比如模擬一個(gè)8139網(wǎng)卡，個(gè)人系統(tǒng)、辦公系統(tǒng)就可以直接利用Realtek的8139網(wǎng)卡驅(qū)動(dòng)運(yùn)行。但這種方式存在不足之處，實(shí)現(xiàn)的代碼量較大，影響系統(tǒng)運(yùn)行效率。

另外一種方式是利用操作系統(tǒng)設(shè)備驅(qū)動(dòng)框架，在驅(qū)動(dòng)寫硬件寄存器的接口中，調(diào)用Hypervisor提供的接口發(fā)送、接收數(shù)據(jù)。

虛擬網(wǎng)卡設(shè)備驅(qū)動(dòng)的調(diào)用流程如圖2所示：

圖2 慮擬網(wǎng)卡設(shè)備驅(qū)動(dòng)調(diào)用流程

虛擬存儲(chǔ)設(shè)備驅(qū)動(dòng)調(diào)用方式如圖3所示：

圖3 慮擬網(wǎng)卡設(shè)備驅(qū)動(dòng)調(diào)用流程

3.2 慮擬網(wǎng)絡(luò)

虛擬網(wǎng)絡(luò)是本方案增強(qiáng)網(wǎng)絡(luò)安全的橋梁。Hypervisor在個(gè)人系統(tǒng)、辦公系統(tǒng)、監(jiān)控系統(tǒng)之間構(gòu)建一個(gè)虛擬網(wǎng)絡(luò)。個(gè)人系統(tǒng)、辦公系統(tǒng)訪問網(wǎng)絡(luò)時(shí)，通過虛擬網(wǎng)卡將數(shù)據(jù)發(fā)送到虛擬交換網(wǎng)絡(luò)，監(jiān)控系統(tǒng)通過虛擬網(wǎng)卡從虛擬交換機(jī)獲取網(wǎng)絡(luò)數(shù)據(jù)，最后通過物理網(wǎng)絡(luò)設(shè)備將數(shù)據(jù)發(fā)送出去；接收數(shù)據(jù)時(shí)，監(jiān)控系統(tǒng)從物理網(wǎng)絡(luò)設(shè)備獲取網(wǎng)絡(luò)數(shù)據(jù)，然后經(jīng)虛擬交換網(wǎng)絡(luò)將數(shù)據(jù)轉(zhuǎn)發(fā)到辦公系統(tǒng)、個(gè)人系統(tǒng)，如圖4所示：

圖4 慮擬網(wǎng)絡(luò)數(shù)據(jù)交互

3.3 慮擬存儲(chǔ)設(shè)備通信

為實(shí)現(xiàn)文件系統(tǒng)加密的隔離，需借助虛擬存儲(chǔ)設(shè)備截獲上層系統(tǒng)讀寫文件數(shù)據(jù)的操作。再通過Hypervisor提供的數(shù)據(jù)通信通道，實(shí)現(xiàn)個(gè)人系統(tǒng)、辦公系統(tǒng)和監(jiān)控系統(tǒng)文件數(shù)據(jù)的傳輸。當(dāng)個(gè)人系統(tǒng)、辦公系統(tǒng)向文件系統(tǒng)寫數(shù)據(jù)時(shí)，通過虛擬存儲(chǔ)設(shè)備將數(shù)據(jù)寫到通信通道，經(jīng)由監(jiān)控系統(tǒng)將數(shù)據(jù)寫到存儲(chǔ)設(shè)備；讀數(shù)據(jù)時(shí)，由監(jiān)控系統(tǒng)從存儲(chǔ)設(shè)備讀取數(shù)據(jù)，再轉(zhuǎn)發(fā)到個(gè)人系統(tǒng)、辦公系統(tǒng)，如圖5所示。

圖5 慮擬存儲(chǔ)設(shè)備數(shù)據(jù)交互

3.4 中斷管理

Hypevisor需管理個(gè)人系統(tǒng)、辦公系統(tǒng)的中斷，對(duì)于個(gè)人系統(tǒng)、辦公系統(tǒng)直接使用的物理設(shè)備，可直接將物理中斷投遞到相應(yīng)系統(tǒng)中；對(duì)于虛擬網(wǎng)卡、虛擬存儲(chǔ)等設(shè)備，在向個(gè)人系統(tǒng)、辦公系統(tǒng)發(fā)送數(shù)據(jù)時(shí)，Hypervisor需要模擬一個(gè)與虛擬網(wǎng)卡、存儲(chǔ)設(shè)備對(duì)應(yīng)的中斷，投遞到相應(yīng)系統(tǒng)；對(duì)于個(gè)人系統(tǒng)、辦公系統(tǒng)不需響應(yīng)的設(shè)備中斷，Hypervisor需對(duì)其進(jìn)行屏蔽。

比如，在個(gè)人系統(tǒng)中虛擬網(wǎng)卡中斷向量號(hào)是16，實(shí)際物理WIFI中斷向量號(hào)是20；在物理WIFI產(chǎn)生20號(hào)中斷時(shí)，Hypervisor需保證20號(hào)中斷不打斷個(gè)人系統(tǒng)的運(yùn)行，將20號(hào)中斷直接投遞到監(jiān)控系統(tǒng)，由監(jiān)控系統(tǒng)直接響應(yīng)物理WIFI中斷；當(dāng)監(jiān)控系統(tǒng)處理完網(wǎng)絡(luò)數(shù)據(jù)，向個(gè)人系統(tǒng)轉(zhuǎn)發(fā)時(shí)，Hypervisor需向個(gè)人系統(tǒng)投遞16號(hào)中斷。對(duì)于攝像頭類個(gè)人系統(tǒng)、辦公系統(tǒng)可訪問的設(shè)備，Hypervisor可直接將物理中斷投遞到個(gè)人系統(tǒng)、辦公系統(tǒng)。如圖6所示：

圖6 中斷管理

3.5 監(jiān)控系統(tǒng)

監(jiān)控系統(tǒng)是整個(gè)移動(dòng)智能終端安全保障的關(guān)鏈。它應(yīng)該具有一定的封閉性，在日常使用時(shí)對(duì)用戶不可見，用戶不能在其上安裝、卸載軟件。監(jiān)控系統(tǒng)本身應(yīng)該比較精簡，實(shí)時(shí)性強(qiáng)。

監(jiān)控系統(tǒng)上需運(yùn)行網(wǎng)絡(luò)防火墻，能夠攔截外部網(wǎng)絡(luò)的攻擊。在將數(shù)據(jù)寫到存儲(chǔ)設(shè)備的時(shí)候，監(jiān)控系統(tǒng)需對(duì)進(jìn)行加密。

4 結(jié)語

本文在現(xiàn)有移動(dòng)辦公雙系統(tǒng)隔離安全解決方案基礎(chǔ)之上增加了運(yùn)行于后臺(tái)的監(jiān)控系統(tǒng)。在監(jiān)控系統(tǒng)中對(duì)個(gè)人系統(tǒng)、辦公系統(tǒng)的文件數(shù)據(jù)進(jìn)行加密，隔離整個(gè)加密過程，降低加密后文件系統(tǒng)被破解的風(fēng)險(xiǎn)。在監(jiān)控系統(tǒng)中運(yùn)行獨(dú)立于個(gè)人系統(tǒng)、辦公系統(tǒng)的網(wǎng)絡(luò)防火墻，形成一個(gè)統(tǒng)一的網(wǎng)關(guān)，降低個(gè)人系統(tǒng)、辦公系統(tǒng)受網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。通過以上兩種方式從整體上提升智能手機(jī)、平板在個(gè)人日常使用、辦公過程中的安全性。

［1］ David Jaramillo.Virtualization Techniques for Mobiles Systems ［D］.Florida：Florida Atlantic University，2013.

［2］ 鄧志.處理器虛擬化技術(shù)［M］.北京：電子工業(yè)出版社，2014：123.

Mobile Office Security Solution based on Virtuliaztion Technology

HU Xue-lei，REN Fei，LI Dong
（China Electronic Technology Cyber Information Security Co.Ltd.，Chengdu Sichuan 610041，China）

TP 316

A

1009-8054（2016）02-0106-03

2015-10-12

胡雪雷（1983—），男，學(xué)士，主要研究方向?yàn)橄到y(tǒng)安全；

任 飛（1982—），男，碩士，工程師，主要研究方向?yàn)樾畔踩?/p>

李 東（1988—），男，學(xué)士，主要研究方向?yàn)橄到y(tǒng)安全；