中文引用格式: 王志宇,趙榮輝,張春慧,等. 通信模塊和計(jì)算主機(jī)分離場(chǎng)景下安全有效入網(wǎng)認(rèn)證的研究[J]. 電子技術(shù)應(yīng)用,2024,50(12):82-86.
英文引用格式: Wang Zhiyu,Zhao Ronghui,Zhang Chunhui,et al. Research on secure and effective network access authentication in the scenario of communication module being detached from the computing host[J]. Application of Electronic Technique,2024,50(12):82-86.
引言
政府、公共安全、石油、電力等大行業(yè)都有建設(shè)專網(wǎng)的需求,但是網(wǎng)絡(luò)的建設(shè)和運(yùn)維成本讓人望塵莫及。除去資金投入之外,還有巨大的智力投入,這使得眾多行業(yè)專網(wǎng)無(wú)法達(dá)到運(yùn)營(yíng)商級(jí)的高可靠、高安全水平。在這種情況下,所有行業(yè)專網(wǎng)都不得不或多或少地使用運(yùn)營(yíng)商的網(wǎng)絡(luò),特別是移動(dòng)網(wǎng)絡(luò)。但是,運(yùn)營(yíng)商網(wǎng)絡(luò)最大的業(yè)務(wù)是公眾用戶的互聯(lián)網(wǎng)接入。與公眾業(yè)務(wù)混合承載的運(yùn)營(yíng)商網(wǎng)絡(luò)為專網(wǎng)安全引入了新挑戰(zhàn)。由于擔(dān)心對(duì)公眾用戶造成影響,運(yùn)營(yíng)商也可能無(wú)法落實(shí)行業(yè)用戶所有安全要求。因此專網(wǎng)側(cè)的網(wǎng)絡(luò)安全控制措施就顯得尤為重要。
對(duì)于公安領(lǐng)域來(lái)說(shuō),手機(jī)終端主要為多模專用終端,如智能手機(jī)型移動(dòng)警務(wù)終端,這類專用終端參照GA/T 1466.1[1]和1466.2[2]的規(guī)定,要求終端具備國(guó)產(chǎn)自主安全計(jì)算平臺(tái),具備可信驗(yàn)證、終端管控、多維度綁定認(rèn)證等安全能力。國(guó)際方面,早在2013年美國(guó)CIO委員會(huì)和國(guó)防部就為聯(lián)邦政府機(jī)構(gòu)工作人員推出了移動(dòng)安全參考架構(gòu)[3],其中定義了多角色GFE(Government Furnished Equipment)終端的應(yīng)用場(chǎng)景和管控策略。
移動(dòng)技術(shù)發(fā)展到5G之后,大量專用移動(dòng)終端出現(xiàn),如無(wú)人機(jī)、智能眼鏡等。公安領(lǐng)域?qū)崙?zhàn)部門也有多形態(tài)單模專網(wǎng)終端的應(yīng)用需求,如筆記本終端、警用無(wú)人機(jī)、巡邏機(jī)器人等。這類終端的主機(jī)有的從來(lái)沒(méi)有通過(guò)移動(dòng)鏈路接入過(guò),有的是非通用操作系統(tǒng),無(wú)法安裝各種安全設(shè)施。同時(shí),由于公安領(lǐng)域的特殊性,國(guó)家工信部無(wú)線電管理委員會(huì)還為公安分配了專用或優(yōu)先使用的頻段資源,如350 MHz公安窄帶數(shù)字集群通信系統(tǒng)頻段、340 MHz公安專用無(wú)線視頻傳輸系統(tǒng)頻段、1 430 MHz警用航空器頻段,以及未來(lái)的PWL頻段和國(guó)家公共安全與應(yīng)急專網(wǎng)頻段(700 MHz)等。通信模塊的升級(jí)換代與主機(jī)的發(fā)展存在不同步的問(wèn)題,導(dǎo)致通信模塊與主機(jī)系統(tǒng)可分離的專網(wǎng)終端出現(xiàn)。
國(guó)際方面,2021年8月,美國(guó)國(guó)家安全局和中央安全署發(fā)布了移動(dòng)接入方案v2.5[4],規(guī)定移動(dòng)終端采用不可控網(wǎng)絡(luò)接入專網(wǎng)時(shí),必須采用專用VPN設(shè)備或RD(Retransmission Device)重傳設(shè)備接入,專用VPN設(shè)備和RD設(shè)備與主機(jī)通過(guò)以太鏈路相連。
目前,移動(dòng)警務(wù)已經(jīng)構(gòu)建的網(wǎng)絡(luò)安全接入設(shè)施大部分是針對(duì)于主機(jī)體統(tǒng)與通信模塊不可分離的智能手機(jī)。2024年發(fā)布的GA/T 2133.1[5]和2133.2[6]標(biāo)準(zhǔn)規(guī)定了通過(guò)外置通信模塊聯(lián)網(wǎng)的場(chǎng)景,對(duì)于終端使用外置通信模塊連網(wǎng)時(shí)的終端入網(wǎng)認(rèn)證、安全管控等安全措施進(jìn)行了規(guī)定。本文以筆記本電腦終端為例,探討終端如何通過(guò)可分離的外置通信模塊安全地連接專網(wǎng),開(kāi)展警務(wù)應(yīng)用,其管控策略和入網(wǎng)控制方案可應(yīng)用于警用無(wú)人機(jī)、巡邏機(jī)器人等其他主機(jī)和通信模塊可分離的移動(dòng)警務(wù)終端。
本文詳細(xì)內(nèi)容請(qǐng)下載:
http://theprogrammingfactory.com/resource/share/2000006253
作者信息:
王志宇1,趙榮輝1,張春慧1,蘇禹2
(1.公安部第一研究所,北京 100048;
2.中國(guó)信息安全研究院有限公司,北京 102209)