基于无线网络移动智能终端安全认证平台研究.docVIP

基于无线网络移动智能终端安全认证平台研究 　　【摘要】生产经营中存在的问题就是电网的安全性与移动信息化之间的矛盾，一方面要保障电网的安全运营，另一方面要提高工作效率。本研究就是要开发高效、便捷、安全的基于无线网络的移动智能终端安全认证平台，采用SD智能存储卡作为硬件安全设备，通过运营商3G无线网络建立端到端安全的APN通道，结合目前我局实施的的PKI/CA系统，实现对远程应用系统的安全访问。 　　【关键词】SD智能存储卡；安全认证平台；3G移动通信 　　1.项目研究和开展背景 　　电力系统移动信息化需求日益旺盛。伴随着社会发展步伐的加快，对企事业单位的服务水平、办事效率要求越来越高，而借助信息化手段来提高企事业单位的办事效率及服务水平，则是必然趋势。 　　随着社会信息化水平的提高，供电局部署了生产MIS，营销系统，OA系统，EIP/EAI等系统。但传统的办公室固定办公模式，限制了企业工作人员办事的灵活性，阻碍了办事效率，同时企业办事“移动性”越来越高，出差越来越频繁，对信息的接收及响应难免会出现滞后现象，而重要信息的时效性又很高，因此能够通过手持设备接收业务系统信息并处理业务成为企业的迫切需求；随着无线通讯技术的发展，3G网络正在普遍，实现远程、无线、高效、快捷的移动信息化成为可能。 　　目前企业已有的业务系统，可以满足自身在固定场景下的办公需求，比如说公文处理、领导简报、公告通知、电子邮件、通讯录查看等等，但是由于一些特殊情况，需要将这些功能同时支持移动场景下的应用： 　　领导公务繁忙，经常在外，需要有一种方式可以实时了解和查询单位管理工作的情况；在出现紧急情况时，办事员需要将事情尽快呈报领导，需要有一种可以在瞬间进行多文件、多资料信息传递的沟通工具；领导在外时，需要有一种方式快速有效地处理重要公文和其他政务，避免由于环境、条件等问题贻误工作。 　　一线工程抢修人修、维护人员能在工作现场第一时间查询权限内的相关信息，回传数据；目前生产经营中存在的问题就是电网的安全性与移动信息化之间的矛盾，一方面要保障电网的安全运营，另一方面要提高工作效率。如何为珠海市供电局信息化工作解决上述问题，并更加有效的推进？当前需要解决好以下问题：确保各级领导/出差人员/工程维护/抢修现场作业人员通过安全的无线接入方式接入内部电力应用系统，完成公文审批、信息浏览、数据录入等各项业务功能，完成移动信息化接入功能。 　　2.项目研究内容 　　开发基于WCDMA 3G无线网络网络的移动信息化与数字证书（PKI/CA）结合项目，启动手机中的移动信息化客户端软件，完成数字证书认证后，能登录应用系统主界面，点击不同的按钮，进入相应的办公页面，实现移动信息化，网络结构图如下图1： 　　2.1 移动信息化安全解决方案 　　本方案采用WCDMA 3G无线网络，移动办公终端使用专有的APN连接到中国联通WCDMA平台，并登录到VPN服务器；VPN服务器在验证完移动办公终端的有效性后，为合法者在中国联通WCDMA平台和客户内部网络之间建立路由；实际上，鉴于客户内部信息的机密性（对于无线传输网），设计为嵌套的VPN隧道，建立移动办公终端到客户内部网络的安全通道。客户内部网络的VPN采用具有内建CA功能的，这样将数字证书安装在移动办公终端，客户内部网络只与拥有合法证书的移动办公终端建立连接；在WCDMA网络和客户内部网络与外界的接入点处提供防火墙以配合VPN，提供不安全的内容过滤；在移动办公终端采用智能存储卡安全设备，主要用来封装、解封IPSec数据包，其中会用到获取到的数字证书。另外，再提供一定的内容过滤功能，以保障移动办公终端的安全。 　　移动环境中，终端的安全风险相对较低，而整个网络的开放性、灵活性较高，需要更强的身份认证与鉴权体系以及更加安全的数据传输通道。此外PC机上USB接口较为普及，而移动终端的通用接口是SD接口。 　　2.2 智能存储卡提供端到端的安全 　　为适应移动环境的特点，本研究采用智能存储卡作为安全设备，提供鉴权认证和数据加密功能。智能存储卡是基于手机SD卡开发的新型移动安全设备，与传统USBKEY一样，内部包含智能卡芯片。智能存储卡存放个人密钥和数字证书，以及其他一些重要的数据，并限制通过特定接口访问。利用其中智能卡芯片的计算能力，可以在卡上进行密钥对的生成和卡上的签名与验证运算；同时，利用智能存储卡出色的安全机制，能够对存储在其中的数据提供强有力的安全保证，这样用户的私钥在整个生命周期内，都处在智能存储卡的保护之下。 　　2.3 手机浏览器 　　采用智能存储卡为终端浏览器提供端到端安全服务，需要浏览器能够调用智能存储卡的加密和证书功能。 　　2.4 手机中间件 　　开发访问智能存储卡的中间件接口，为系统提供平