基于移动智能终端远程业务安全虚拟接入技术研究.docVIP

基于移动智能终端远程业务安全虚拟接入技术研究 　　【摘要】基于移动终端的远程业务系统的建设已经成为电力行业必不可少的基础设施，如何快速的将现有应用移动化，减少投资成本，降低安全风险是摆在大家面前的迫切难题。本研究就是要开发高效、便捷、安全的基于移动智能终端虚拟化接入平台，通过虚拟化技术，采用SD智能存储卡作为硬件安全设备，利用运营商3G无线网络建立端到端安全的APN通道，实现对远程应用系统的安全访问。 　　【关键词】远程接入；虚拟化；APN 　　1.课题研究和开展背景 　　1.1 电力系统移动业务的需求日益旺盛 　　随着电力行业改革的不断深入，电网企业的经营管理模式也发生相应的变化，由过去单纯重视生产，逐渐向重视管理与效益转变。伴随经营管理模式的变化，电力企业的信息化投资水平逐年提高，信息化建设规模越来越大。但传统的办公室固定办公模式，限制了企业工作人员办事的灵活性，阻碍了办事效率，同时企业办事“移动性”越来越高，出差越来越频繁，对信息的接收及响应难免会出现滞后现象，而重要信息的时效性又很高，因此能够通过移动设备接收业务系统信息并处理业务成为企业的迫切需求。目前我局已有的业务系统，可以满足自身在固定场景下的办公需求，比如说公文处理、数据查询、生产流程审批、电子邮件、财务报表审批等等，但是由于有很多需要远程办公的情况，就需要将这些系统在移动终端上也能应用。 　　1.2 在不改变现有应用的情况下，如何快速的进行移动化接入。 　　近年来，珠海供电局建设了生产MIS，营销系统，OA系统，人力系统等系统，各种系统的开发模式不尽相同，既有C/S、也有B/S模式。这些应用系统的某些业务功能并不能在移动终端上直接运行，譬如说基于B/S模式的OA系统，它在开发的过程中采用了一些扩展插件（ActiveX），而这些插件只能在基于Windows系统的IE浏览器上运行，而在Android系统的浏览器上则无法运行，这样就造成了原有系统不能平滑的过渡到移动终端上。如果对每一个应用都进行移动化的改造，必将耗费大量的人力物力，造成资源的大量浪费。如何通过信息化手段解决上述问题，并更加有??的推进远程移动办公的进程呢？就是要避免对现有应用系统进行大规模改造，尽量采取非嵌入式的方式实现安全接入。 　　2.课题研究内容 　　开发基于3G无线网络的移动业务快速接入及与数字证书（PKI/CA）结合项目。移动办公用户必须登陆相应的门户站点才能访问内部资源，同时每个用户必须有自己的手机证书（SDkey方式），并享有访问内部各种资源的相应权限。采用移动终端访问珠海供电局内部应用的流程如下： 　　（1）通过手机终端、平板或手提电脑访问互联网； 　　（2）并采用证书通过SSL加密通道登录到设置在珠海供电局DMZ区的网关； 　　（3）通过网关再访问移动平台服务器（移动平台服务器预先设置了可以访问供电局相关应用系统的资源，如内部OA系统）； 　　（4）然后再通过移动平台的桌面映射用终端用户登录到内部系统。 　　网络结构图如图1所示： 　　2.1 移动接入虚拟化解决方案 　　本方案的核心是应用虚拟化服务，原有的应用发布到移动化平台服务器，相当于将应用映射到移动化平台服务器上，把运行的屏幕变动推送到移动终端；企业数据在应用服务器和安全移动平台之间的高速、安全的企业内网中传输交互，而推送往终端上显示的内容仅仅是运行的屏幕界面，因此终端与安全移动平台之间传送内容不包含企业数据，在根本上保证了传输的安全性。传输的屏幕界面是变化量并且经过128位加密，也一步增强了安全性。 　　由于数据交互被牢牢地限制在高速安全的企业内网，因此对于突发性的数据传输峰值也限制在高速内网中解决，而终端与平台间传输的屏幕变化则是稳定且经过压缩的，因此终端与平台之间的带宽要求比较低，这就使通过空中链路稳定的使用企业IT业务成为了可能。 　　以上的安全性和低带宽要求，使基于应用虚拟化的安全移动平台可以解决企业对安全性和移动化的要求，用户可以随时随地，通过空中链路安全稳定快捷的使用企业业务系统。 　　原来通过内网访问应用的方式，同样也可以通过平台访问，保持用户使用业务的一致性，由于终端不需要安装应用，数据的存储都在服务器上，因此，对于安全性要求高的企业，也可以解决内外网混用带来的问题。比如终端遭受攻击、感染病毒而丢失数据的危险，终端丢失时因为机密数据存放在终端上而导致泄密的危险等等。 　　2.2 智能存储卡提供端到端的安全 　　为适应移动环境的特点，本课题采用智能存储卡作为安全设备，提供鉴权认证和数据加密功能。智能存储卡是基于手机SD卡开发的新型移动安全设备，与传统USBKEY一样，内部包含智能卡芯片。智能存储卡存放个人密钥和数字证书，以及其他一些重要的数据，并限制通过特定接口访问