《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 設(shè)計(jì)應(yīng)用 > 通信模塊和計(jì)算主機(jī)分離場(chǎng)景下安全有效入網(wǎng)認(rèn)證的研究
通信模塊和計(jì)算主機(jī)分離場(chǎng)景下安全有效入網(wǎng)認(rèn)證的研究
電子技術(shù)應(yīng)用
王志宇1,趙榮輝1,張春慧1,蘇禹2
1.公安部第一研究所;2.中國(guó)信息安全研究院有限公司
摘要: 隨著5G、移動(dòng)技術(shù)的不斷發(fā)展,移動(dòng)終端的形態(tài)越來(lái)越多樣,具備移動(dòng)接入能力的設(shè)備推動(dòng)了萬(wàn)物互聯(lián)時(shí)代的到來(lái)。移動(dòng)終端從CDMA時(shí)代開(kāi)始就已經(jīng)實(shí)現(xiàn)了機(jī)卡分離,全網(wǎng)通的出現(xiàn)使得計(jì)算主機(jī)和通信模塊進(jìn)一步解耦。人們希望自己的移動(dòng)終端可以在任何時(shí)間、任何地點(diǎn)接入任何網(wǎng)絡(luò)。無(wú)線技術(shù)之所以能夠?qū)崿F(xiàn)突飛猛進(jìn)的發(fā)展,正是因?yàn)轫槕?yīng)了分工合作、各自發(fā)展這一趨勢(shì)。物聯(lián)網(wǎng)的時(shí)代,終端設(shè)備往往規(guī)格低、數(shù)量大,新技術(shù)、新頻段的不斷涌現(xiàn),導(dǎo)致主機(jī)和通信模塊發(fā)展不同步,終端組合式接入給移動(dòng)安全提出新挑戰(zhàn)。探討了如何通過(guò)數(shù)字證書、安全管控等技術(shù)實(shí)現(xiàn)通信模塊和計(jì)算主機(jī)機(jī)分離場(chǎng)景下終端的入網(wǎng)認(rèn)證。
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)志碼:A DOI: 10.16157/j.issn.0258-7998.245872
中文引用格式: 王志宇,趙榮輝,張春慧,等. 通信模塊和計(jì)算主機(jī)分離場(chǎng)景下安全有效入網(wǎng)認(rèn)證的研究[J]. 電子技術(shù)應(yīng)用,2024,50(12):82-86.
英文引用格式: Wang Zhiyu,Zhao Ronghui,Zhang Chunhui,et al. Research on secure and effective network access authentication in the scenario of communication module being detached from the computing host[J]. Application of Electronic Technique,2024,50(12):82-86.
Research on secure and effective network access authentication in the scenario of communication module being detached from the computing host
Wang Zhiyu1,Zhao Ronghui1,Zhang Chunhui1,Su Yu2
1.First Research Institute of The Ministry of Public Security; 2.China Information Security Research Academy Co., Ltd.
Abstract: As 5G and mobile technologies continuously develop, various types of mobile devices are continuously emerging. Mobile devices have driven the advent of the era of the Internet of Things (IoT). Since CDMA technology appeared, SIM cards can be detached from the mobile devices. Host and communication modules have further decoupled after a phone can fit all kinds of carrier networks. People hope their mobile devices can access any network at any time and any place. It is well known that the rapid advancement of wireless technology is precisely due to its alignment with the trend of division of labor and independent development. In the era of IoT, terminal devices are often characterized by low specifications and large quantities. The continuous emergence of new technologies and frequency bands has resulted in asynchronous development between host devices and communication modules. This combination-based terminal access poses new challenges to mobile security. In this paper, how to utilize digital certificate, security control and other technologies to authenticate terminals in the scenario of communication module being detached from the computing host is discussed.
Key words : Internet of things;trusted computing;mobile police;wireless communication;network access authentication

引言

政府、公共安全、石油、電力等大行業(yè)都有建設(shè)專網(wǎng)的需求,但是網(wǎng)絡(luò)的建設(shè)和運(yùn)維成本讓人望塵莫及。除去資金投入之外,還有巨大的智力投入,這使得眾多行業(yè)專網(wǎng)無(wú)法達(dá)到運(yùn)營(yíng)商級(jí)的高可靠、高安全水平。在這種情況下,所有行業(yè)專網(wǎng)都不得不或多或少地使用運(yùn)營(yíng)商的網(wǎng)絡(luò),特別是移動(dòng)網(wǎng)絡(luò)。但是,運(yùn)營(yíng)商網(wǎng)絡(luò)最大的業(yè)務(wù)是公眾用戶的互聯(lián)網(wǎng)接入。與公眾業(yè)務(wù)混合承載的運(yùn)營(yíng)商網(wǎng)絡(luò)為專網(wǎng)安全引入了新挑戰(zhàn)。由于擔(dān)心對(duì)公眾用戶造成影響,運(yùn)營(yíng)商也可能無(wú)法落實(shí)行業(yè)用戶所有安全要求。因此專網(wǎng)側(cè)的網(wǎng)絡(luò)安全控制措施就顯得尤為重要。

對(duì)于公安領(lǐng)域來(lái)說(shuō),手機(jī)終端主要為多模專用終端,如智能手機(jī)型移動(dòng)警務(wù)終端,這類專用終端參照GA/T 1466.1[1]和1466.2[2]的規(guī)定,要求終端具備國(guó)產(chǎn)自主安全計(jì)算平臺(tái),具備可信驗(yàn)證、終端管控、多維度綁定認(rèn)證等安全能力。國(guó)際方面,早在2013年美國(guó)CIO委員會(huì)和國(guó)防部就為聯(lián)邦政府機(jī)構(gòu)工作人員推出了移動(dòng)安全參考架構(gòu)[3],其中定義了多角色GFE(Government Furnished Equipment)終端的應(yīng)用場(chǎng)景和管控策略。

移動(dòng)技術(shù)發(fā)展到5G之后,大量專用移動(dòng)終端出現(xiàn),如無(wú)人機(jī)、智能眼鏡等。公安領(lǐng)域?qū)崙?zhàn)部門也有多形態(tài)單模專網(wǎng)終端的應(yīng)用需求,如筆記本終端、警用無(wú)人機(jī)、巡邏機(jī)器人等。這類終端的主機(jī)有的從來(lái)沒(méi)有通過(guò)移動(dòng)鏈路接入過(guò),有的是非通用操作系統(tǒng),無(wú)法安裝各種安全設(shè)施。同時(shí),由于公安領(lǐng)域的特殊性,國(guó)家工信部無(wú)線電管理委員會(huì)還為公安分配了專用或優(yōu)先使用的頻段資源,如350 MHz公安窄帶數(shù)字集群通信系統(tǒng)頻段、340 MHz公安專用無(wú)線視頻傳輸系統(tǒng)頻段、1 430 MHz警用航空器頻段,以及未來(lái)的PWL頻段和國(guó)家公共安全與應(yīng)急專網(wǎng)頻段(700 MHz)等。通信模塊的升級(jí)換代與主機(jī)的發(fā)展存在不同步的問(wèn)題,導(dǎo)致通信模塊與主機(jī)系統(tǒng)可分離的專網(wǎng)終端出現(xiàn)。

國(guó)際方面,2021年8月,美國(guó)國(guó)家安全局和中央安全署發(fā)布了移動(dòng)接入方案v2.5[4],規(guī)定移動(dòng)終端采用不可控網(wǎng)絡(luò)接入專網(wǎng)時(shí),必須采用專用VPN設(shè)備或RD(Retransmission Device)重傳設(shè)備接入,專用VPN設(shè)備和RD設(shè)備與主機(jī)通過(guò)以太鏈路相連。

目前,移動(dòng)警務(wù)已經(jīng)構(gòu)建的網(wǎng)絡(luò)安全接入設(shè)施大部分是針對(duì)于主機(jī)體統(tǒng)與通信模塊不可分離的智能手機(jī)。2024年發(fā)布的GA/T 2133.1[5]和2133.2[6]標(biāo)準(zhǔn)規(guī)定了通過(guò)外置通信模塊聯(lián)網(wǎng)的場(chǎng)景,對(duì)于終端使用外置通信模塊連網(wǎng)時(shí)的終端入網(wǎng)認(rèn)證、安全管控等安全措施進(jìn)行了規(guī)定。本文以筆記本電腦終端為例,探討終端如何通過(guò)可分離的外置通信模塊安全地連接專網(wǎng),開(kāi)展警務(wù)應(yīng)用,其管控策略和入網(wǎng)控制方案可應(yīng)用于警用無(wú)人機(jī)、巡邏機(jī)器人等其他主機(jī)和通信模塊可分離的移動(dòng)警務(wù)終端。


本文詳細(xì)內(nèi)容請(qǐng)下載:

http://theprogrammingfactory.com/resource/share/2000006253


作者信息:

王志宇1,趙榮輝1,張春慧1,蘇禹2

(1.公安部第一研究所,北京 100048;

2.中國(guó)信息安全研究院有限公司,北京 102209)


Magazine.Subscription.jpg

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。