侯昱輝，李宏宇，梁建輝，劉潤(rùn)福，何靖剛

（中國(guó)鐵路蘭州局集團(tuán)有限公司 信息技術(shù)所，蘭州 730000）

隨著智能移動(dòng)終端的普及，移動(dòng)辦公技術(shù)在各行各業(yè)得到廣泛應(yīng)用，鐵路行業(yè)緊跟時(shí)代步伐，在推動(dòng)移動(dòng)辦公應(yīng)用落地方面已取得一定進(jìn)展。與此同時(shí)，鐵路各業(yè)務(wù)系統(tǒng)端口的暴露數(shù)量急劇增加，粗粒度訪問(wèn)控制和智能移動(dòng)終端數(shù)據(jù)泄露等安全挑戰(zhàn)也隨之而來(lái)[1-2]。

在鐵路行業(yè)傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)中，網(wǎng)絡(luò)邊界作為外部非安全網(wǎng)絡(luò)和內(nèi)部安全網(wǎng)絡(luò)的分界線，通常采用防火墻、入侵檢測(cè)系統(tǒng)和入侵防御系統(tǒng)來(lái)保證其安全性。白生江[3]提出主動(dòng)型軍用網(wǎng)絡(luò)邊界防護(hù)系統(tǒng)，通過(guò)防火墻、入侵防御系統(tǒng)、蜜罐等安全產(chǎn)品間的聯(lián)動(dòng)，促進(jìn)軍用網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行，但會(huì)導(dǎo)致端口暴露，形成明顯的攻擊面[4]；許文淵[5]提出采用虛擬專用網(wǎng)絡(luò)（VPN ，Virtual Private Network）的接入認(rèn)證及授權(quán)方式，實(shí)現(xiàn)鐵路數(shù)據(jù)通信網(wǎng)絡(luò)管理（簡(jiǎn)稱：網(wǎng)管）復(fù)示終端與網(wǎng)管服務(wù)器端的可信任安全加密通信，但仍存在粗粒度訪問(wèn)控制的問(wèn)題；儲(chǔ)小寶[6]設(shè)計(jì)并實(shí)現(xiàn)智能移動(dòng)終端敏感信息安全防護(hù)系統(tǒng)，但存在不同系統(tǒng)間適配困難的問(wèn)題。綜上所述，傳統(tǒng)的網(wǎng)絡(luò)邊界管理模式已無(wú)法滿足數(shù)字時(shí)代的需求[7]。

基于上述問(wèn)題，本文構(gòu)建基于零信任理念的鐵路智能移動(dòng)終端管控平臺(tái)，研究如何利用零信任理念應(yīng)對(duì)鐵路系統(tǒng)中智能移動(dòng)終端帶來(lái)的網(wǎng)絡(luò)安全挑戰(zhàn)，確保智能移動(dòng)終端在鐵路網(wǎng)絡(luò)中的安全接入和受控使用，增強(qiáng)鐵路信息系統(tǒng)的安全性和穩(wěn)定性。

1 鐵路智能移動(dòng)終端管控平臺(tái)

1.1 零信任理念概述

2004 年，耶利哥論壇（Jericho Forum）成立，并提出零信任的初步框架。隨后，John 正式提出“零信任”理念[8]。其核心思想是“從不信任”，無(wú)實(shí)體邊界概念，在用戶訪問(wèn)資源的整個(gè)流程中，始終保持持續(xù)認(rèn)證狀態(tài)，進(jìn)行實(shí)時(shí)動(dòng)態(tài)訪問(wèn)控制。

目前，零信任理念在國(guó)內(nèi)外已得到廣泛認(rèn)可和應(yīng)用。2017 年，Google 公司完成基于零信任理念的BeyondCorp 項(xiàng)目。2021 年，中國(guó)電子工業(yè)標(biāo)準(zhǔn)化技術(shù)協(xié)會(huì)發(fā)布國(guó)內(nèi)首個(gè)零信任技術(shù)實(shí)現(xiàn)標(biāo)準(zhǔn)——T/CESA 1165-2021《零信任系統(tǒng)技術(shù)規(guī)范》團(tuán)體標(biāo)準(zhǔn)[9]。

1.2 平臺(tái)設(shè)計(jì)理念

鐵路智能移動(dòng)終端管控平臺(tái)以零信任理念為理論基礎(chǔ)，以美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST，National Institute of Standards and Technology）的《零信任架構(gòu)》為理論架構(gòu)[10]，以軟件定義邊界（SDP，Software-Defined Perimeter）和統(tǒng)一終端管理（UEM，Unified Endpoint Management）為 技 術(shù) 架 構(gòu)[11]，實(shí) 現(xiàn)了用戶訪問(wèn)業(yè)務(wù)場(chǎng)景的安全接入和受控使用。

1.3 平臺(tái)架構(gòu)

鐵路智能移動(dòng)終端管控平臺(tái)包含客戶端和服務(wù)端2 部分，其中，服務(wù)端包含零信任控制中心和零信任代理網(wǎng)關(guān)。通過(guò)建立動(dòng)態(tài)的、基于身份驗(yàn)證的安全邊界，僅允許經(jīng)過(guò)驗(yàn)證的用戶和設(shè)備訪問(wèn)資源，增強(qiáng)網(wǎng)絡(luò)安全性。鐵路智能移動(dòng)終端管控平臺(tái)架構(gòu)如圖1 所示。

圖1 鐵路智能移動(dòng)終端管控平臺(tái)架構(gòu)

1.3.1 客戶端

客戶端等同于SDP 中的連接發(fā)起主機(jī)（IH ，Initial Host），負(fù)責(zé)與控制中心進(jìn)行連接并驗(yàn)證身份，與代理網(wǎng)關(guān)創(chuàng)建雙向加密連接，具有單包授權(quán)（SPA ，Single Packet Authorization）敲門、安全套接層（SSL，Secure Sockets Layer）隧道接入、終端環(huán)境檢測(cè)、可信應(yīng)用識(shí)別、數(shù)據(jù)隔離等功能?？蛻舳擞脩艨墒褂弥髁鞑僮飨到y(tǒng)的終端設(shè)備。

1.3.2 服務(wù)端

1.3.2.1 零信任控制中心

零信任控制中心可被看作是SDP 中的控制器（Controller），負(fù)責(zé)訪問(wèn)授權(quán)的最終決策，通過(guò)對(duì)客戶端下發(fā)策略，可收集其狀態(tài)信息，具有用戶管理、終端管理、應(yīng)用管理、策略管理、自適應(yīng)認(rèn)證、持續(xù)認(rèn)證機(jī)制和策略引擎管理等控制功能，以上功能通過(guò)SPA 服務(wù)隱身。

UEM 技術(shù)架構(gòu)負(fù)責(zé)終端設(shè)備的全面管理和控制，包括設(shè)備配置、應(yīng)用程序管理、數(shù)據(jù)保護(hù)等功能，確保智能移動(dòng)終端接入的安全性和合規(guī)性。除此之外，控制中心的開(kāi)放應(yīng)用程序編程接口（API，Application Programming Interface）可與業(yè)務(wù)系統(tǒng)中現(xiàn)有的企業(yè)身份基礎(chǔ)設(shè)施進(jìn)行對(duì)接和同步，如統(tǒng)一安全管理平臺(tái)解決方案（4A）和活動(dòng)目錄/輕量目錄訪 問(wèn) 協(xié)議（AD/LDAP，Active Directory/Lightweight Directory Access Protocol）。

1.3.2.2 零信任代理網(wǎng)關(guān)

零信任代理網(wǎng)關(guān)相當(dāng)于SDP 中的連接接受主機(jī)（AH ，Accept Host），負(fù)責(zé)執(zhí)行控制中心的授權(quán)決策，通常以邏輯串聯(lián)的方式部署在企業(yè)資源前端，實(shí)現(xiàn)業(yè)務(wù)資源暴露面整體收縮。外部用戶、終端無(wú)法直接訪問(wèn)到企業(yè)資源，需要通過(guò)控制中心嚴(yán)格的身份認(rèn)證和授權(quán)決策，再由代理網(wǎng)關(guān)通過(guò)加密傳輸代理訪問(wèn)。零信任代理網(wǎng)關(guān)支持多種訪問(wèn)協(xié)議代理，包 括： 7 層Web 代 理、 4 層TCP（ Transmission Control Protocol）代理和3 層IP 代理。

2 關(guān)鍵技術(shù)

2.1 端口隱身技術(shù)

端口隱身技術(shù)作為一種保護(hù)設(shè)備關(guān)鍵端口的方式，是SDP 的核心功能，通過(guò)端口敲門（PK ，Port Knocking）、SPA 技術(shù)等“先認(rèn)證，后連接”的方式，解決“先連接，后認(rèn)證”的傳統(tǒng)接入控制方式下，端口暴露的問(wèn)題，使得端口隱藏在網(wǎng)絡(luò)中，以達(dá)到保護(hù)業(yè)務(wù)系統(tǒng)的目的。

本文采用端口隱身技術(shù)中的SPA 技術(shù)，對(duì)連接服務(wù)器的所有數(shù)據(jù)包進(jìn)行認(rèn)證授權(quán)，認(rèn)證通過(guò)后服務(wù)器才會(huì)響應(yīng)連接請(qǐng)求，且無(wú)法直接從互聯(lián)網(wǎng)上連接和掃描，從而實(shí)現(xiàn)業(yè)務(wù)服務(wù)隱身，避免PK 技術(shù)中攻擊者通過(guò)監(jiān)測(cè)客戶端流量推測(cè)出正確敲門順序的缺陷。SPA 技術(shù)有基于用戶數(shù)據(jù)報(bào)協(xié)議的SPA（ UDP-based SPA， User Datagram Protocol-based SPA）、基于傳輸控制協(xié)議的SPA （TCP-based SPA，Transmission Control Protocol-based SPA） 和UDP+TCP SPA 3 種技術(shù)路線，本文使用的是UDP+TCP SPA 技術(shù)路線，該技術(shù)路線結(jié)合了另2 種技術(shù)路線的優(yōu)點(diǎn)。

用戶訪問(wèn)前，客戶端需向服務(wù)端發(fā)送含有身份憑證的UDP SPA 敲門包，身份憑證中包含管理員分發(fā)給用戶的專屬安全碼，管理員可在將用戶與安全碼綁定的同時(shí)，給安全碼設(shè)置有效期，滿足運(yùn)營(yíng)維護(hù)人員的臨時(shí)接入需求，進(jìn)一步提升用戶接入的安全性。

驗(yàn)證身份成功后，服務(wù)端更新本地防火墻規(guī)則，開(kāi)放短時(shí)間窗口，允許指定源IP 對(duì)設(shè)備TCP 端口的訪問(wèn)，在后續(xù)的連接建立過(guò)程中，參照TCP SPA 流程完成傳輸層安全性協(xié)議（TLS，Transport Layer Security）協(xié)商。UDP+TCP SPA 時(shí)序圖如圖2 所示。

圖2 UDP+TCP SPA 時(shí)序圖

（1）客戶端向服務(wù)端提前發(fā)送DTLS 格式的UDP SPA 敲門包，敲門包中Payload 內(nèi)容包含用戶個(gè)人安全碼、隨機(jī)數(shù)、時(shí)間戳和終端設(shè)備MAC 地址等；

（2）服務(wù)端接收UDP SPA 敲門包后，驗(yàn)證敲門包格式是否正確，若正確，則對(duì)Payload 進(jìn)行解密及驗(yàn)證，否則直接丟棄；

（3）驗(yàn)證通過(guò)后，服務(wù)端更新設(shè)備本地防火墻規(guī)則，對(duì)合法設(shè)備的源IP 臨時(shí)（如60 s）開(kāi)放TCP端口訪問(wèn)權(quán)限；

（4）客戶端發(fā)起與零信任代理網(wǎng)關(guān)TCP 的連接請(qǐng)求，通過(guò)TCP 三次握手后，成功建立TCP 連接；

（5）客戶端發(fā)起TLS 協(xié)商，擴(kuò)展字段中攜帶SPA 敲門包；

（6）服務(wù)端從擴(kuò)展字段中解析出SPA 敲門包，對(duì)Payload 進(jìn)行解密及驗(yàn)證；

（7）驗(yàn)證通過(guò)后，成功完成TLS 協(xié)商，建立SSL 加密傳輸隧道，開(kāi)始傳輸業(yè)務(wù)數(shù)據(jù)。

2.2 持續(xù)認(rèn)證技術(shù)

本文采用持續(xù)認(rèn)證技術(shù)對(duì)訪問(wèn)業(yè)務(wù)系統(tǒng)的用戶進(jìn)行權(quán)限控制，支持基于用戶的訪問(wèn)環(huán)境屬性、身份屬性、行為屬性、設(shè)備屬性的綜合分析，當(dāng)認(rèn)證通過(guò)時(shí)，鐵路智能移動(dòng)終端管控平臺(tái)授權(quán)用戶訪問(wèn)業(yè)務(wù)系統(tǒng)資源，反之則阻斷訪問(wèn)。通過(guò)動(dòng)態(tài)調(diào)整用戶訪問(wèn)權(quán)限[12]，確保業(yè)務(wù)系統(tǒng)面對(duì)風(fēng)險(xiǎn)時(shí)可及時(shí)調(diào)整權(quán)限、抵御風(fēng)險(xiǎn)。一定程度上解決傳統(tǒng)靜態(tài)權(quán)限控制技術(shù)存在的用戶訪問(wèn)權(quán)限缺乏靈活性的問(wèn)題。若上述某一用戶屬性發(fā)生變化，則需重新建立信任到授權(quán)訪問(wèn)這一過(guò)程[13]，從而達(dá)到持續(xù)認(rèn)證的效果，持續(xù)認(rèn)證機(jī)制如圖3 所示。

圖3 持續(xù)認(rèn)證機(jī)制

2.3 數(shù)據(jù)隔離及加密技術(shù)

2.3.1 數(shù)據(jù)隔離技術(shù)

數(shù)據(jù)隔離技術(shù)是一種阻止未經(jīng)授權(quán)用戶訪問(wèn)敏感數(shù)據(jù)的安全措施。本文應(yīng)用數(shù)據(jù)隔離技術(shù)后，可在不同系統(tǒng)的終端設(shè)備上創(chuàng)建一個(gè)或多個(gè)與本地環(huán)境邏輯隔離的安全工作空間。數(shù)據(jù)在寫(xiě)入磁盤(pán)時(shí)被自動(dòng)加密存儲(chǔ)在數(shù)據(jù)隔離存儲(chǔ)區(qū)，空間內(nèi)應(yīng)用程序讀取數(shù)據(jù)時(shí)自動(dòng)進(jìn)行解密。該技術(shù)為工作空間中運(yùn)行的軟件或應(yīng)用提供SSL 通信加密、寫(xiě)入數(shù)據(jù)加密、剪切板拷貝控制和屏幕水印等數(shù)據(jù)保護(hù)功能。

2.3.2 雙密鑰機(jī)制加密技術(shù)

數(shù)據(jù)隔離存儲(chǔ)區(qū)內(nèi)的數(shù)據(jù)通過(guò)雙密鑰機(jī)制加密，比傳統(tǒng)的單密鑰更為安全可靠。雙密鑰由用戶密鑰和文件密鑰組成，使用該機(jī)制進(jìn)行加密，即使在不同時(shí)間傳輸相同數(shù)據(jù)，加密后密文也不相同。一旦數(shù)據(jù)隔離存儲(chǔ)區(qū)被攻破，攻擊者只能拿到加密后的數(shù)據(jù)，顯著提升數(shù)據(jù)的安全性。

2.3.2.1 創(chuàng)建密鑰

用戶密鑰在服務(wù)端創(chuàng)建用戶時(shí)，由GUID 隨機(jī)算法基于服務(wù)端硬件設(shè)備信息生成[14]，具有唯一性。為保證用戶密鑰的安全，用戶密鑰只保存在服務(wù)端數(shù)據(jù)庫(kù)，不存儲(chǔ)在客戶端，用戶每次登錄時(shí)均須從服務(wù)端獲取用戶密鑰。

文件密鑰與用戶密鑰類似，作為數(shù)據(jù)的加密密鑰，在數(shù)據(jù)隔離存儲(chǔ)區(qū)內(nèi)寫(xiě)入數(shù)據(jù)時(shí)，由GUID 隨機(jī)算法基于終端硬件信息生成，也具有唯一性。

2.3.2.2 加密及解密流程

（1）加密流程

根據(jù)當(dāng)前創(chuàng)建的文件，生成文件密鑰，為保護(hù)文件密鑰不被明文獲取，使用用戶密鑰對(duì)文件密鑰進(jìn)行對(duì)稱加密，生成加密后的文件密鑰，并將其保存在文件頭部的偏移區(qū)中，雙密鑰機(jī)制加密流程如圖4 所示。

圖4 雙密鑰機(jī)制加密流程示意

（2）解密流程

從文件頭部獲取加密后的文件密鑰，使用用戶密鑰對(duì)其進(jìn)行解密，還原出文件密鑰，再使用文件密鑰對(duì)數(shù)據(jù)進(jìn)行解密。

3 應(yīng)用效果

基于零信任理念的鐵路智能移動(dòng)終端管控平臺(tái)已在中國(guó)鐵路蘭州局集團(tuán)有限公司（簡(jiǎn)稱：蘭州局）投入使用。該平臺(tái)先后接入財(cái)務(wù)共享服務(wù)管理信息系統(tǒng)、蘭鐵新視界融媒體平臺(tái)、紅杉樹(shù)視頻會(huì)議等業(yè)務(wù)系統(tǒng)，在蘭州局的業(yè)務(wù)運(yùn)營(yíng)和信息安全方面取得良好的應(yīng)用效果，后續(xù)將進(jìn)一步擴(kuò)大應(yīng)用范圍，具體應(yīng)用效果如下。

3.1 收縮業(yè)務(wù)系統(tǒng)互聯(lián)網(wǎng)暴露面

鐵路智能移動(dòng)終端管控平臺(tái)采用端口隱身技術(shù)和持續(xù)認(rèn)證技術(shù)，嚴(yán)格控制智能移動(dòng)終端的訪問(wèn)權(quán)限，確保只有經(jīng)過(guò)身份驗(yàn)證和授權(quán)的設(shè)備才能訪問(wèn)業(yè)務(wù)系統(tǒng)。上述舉措有效收縮潛在的網(wǎng)絡(luò)暴露面，防范未經(jīng)授權(quán)的訪問(wèn)，降低惡意入侵的風(fēng)險(xiǎn)。

3.2 增強(qiáng)數(shù)據(jù)保護(hù)能力

鐵路智能移動(dòng)終端管控平臺(tái)針對(duì)數(shù)據(jù)進(jìn)行加密傳輸和存儲(chǔ)，防止敏感數(shù)據(jù)在傳輸和存儲(chǔ)過(guò)程中遭受竊取和篡改，增強(qiáng)數(shù)據(jù)保護(hù)能力，為蘭州局重要信息的保密性和完整性提供了有效保障。

3.3 提高業(yè)務(wù)效率

在鐵路智能移動(dòng)終端管控平臺(tái)投入使用前，客戶端用戶登錄不同業(yè)務(wù)系統(tǒng)時(shí)，需進(jìn)行多次身份認(rèn)證。該平臺(tái)的應(yīng)用使得用戶僅需登錄一次，即可順利訪問(wèn)授權(quán)的各個(gè)業(yè)務(wù)系統(tǒng)，更加高效地遠(yuǎn)程訪問(wèn)業(yè)務(wù)系統(tǒng)資源，顯著提高業(yè)務(wù)效率。

3.4 簡(jiǎn)化綜合管理

鐵路智能移動(dòng)終端管控平臺(tái)的應(yīng)用，簡(jiǎn)化了對(duì)智能移動(dòng)終端的綜合管理。通過(guò)該平臺(tái)，管理員可集中管理終端和用戶權(quán)限，實(shí)現(xiàn)添加、刪除或修改訪問(wèn)權(quán)限等功能，并應(yīng)用全局策略，簡(jiǎn)化管理流程，實(shí)現(xiàn)對(duì)智能移動(dòng)終端的精細(xì)化管理。

4 結(jié)束語(yǔ)

本文結(jié)合零信任理念，設(shè)計(jì)了鐵路智能移動(dòng)終端管控平臺(tái)，闡述了平臺(tái)架構(gòu)和關(guān)鍵技術(shù)，并對(duì)該平臺(tái)在蘭州局的應(yīng)用效果進(jìn)行深入探討。該平臺(tái)實(shí)現(xiàn)了對(duì)鐵路智能移動(dòng)終端的安全管控，有效地解決了鐵路行業(yè)面臨的智能移動(dòng)終端安全接入和受控使用的問(wèn)題，對(duì)建設(shè)網(wǎng)絡(luò)安全綜合防御體系具有一定的參考價(jià)值。在未來(lái)的研究和探索中，還將針對(duì)零信任理念、信任評(píng)估實(shí)時(shí)性與控制精度、信任算法等，進(jìn)一步開(kāi)展應(yīng)用實(shí)踐和技術(shù)創(chuàng)新。