《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 設(shè)計應(yīng)用 > 通信模塊和計算主機分離場景下安全有效入網(wǎng)認證的研究
通信模塊和計算主機分離場景下安全有效入網(wǎng)認證的研究
電子技術(shù)應(yīng)用
王志宇1,趙榮輝1,張春慧1,蘇禹2
1.公安部第一研究所;2.中國信息安全研究院有限公司
摘要: 隨著5G、移動技術(shù)的不斷發(fā)展,移動終端的形態(tài)越來越多樣,具備移動接入能力的設(shè)備推動了萬物互聯(lián)時代的到來。移動終端從CDMA時代開始就已經(jīng)實現(xiàn)了機卡分離,全網(wǎng)通的出現(xiàn)使得計算主機和通信模塊進一步解耦。人們希望自己的移動終端可以在任何時間、任何地點接入任何網(wǎng)絡(luò)。無線技術(shù)之所以能夠?qū)崿F(xiàn)突飛猛進的發(fā)展,正是因為順應(yīng)了分工合作、各自發(fā)展這一趨勢。物聯(lián)網(wǎng)的時代,終端設(shè)備往往規(guī)格低、數(shù)量大,新技術(shù)、新頻段的不斷涌現(xiàn),導(dǎo)致主機和通信模塊發(fā)展不同步,終端組合式接入給移動安全提出新挑戰(zhàn)。探討了如何通過數(shù)字證書、安全管控等技術(shù)實現(xiàn)通信模塊和計算主機機分離場景下終端的入網(wǎng)認證。
中圖分類號:TP393 文獻標(biāo)志碼:A DOI: 10.16157/j.issn.0258-7998.245872
中文引用格式: 王志宇,趙榮輝,張春慧,等. 通信模塊和計算主機分離場景下安全有效入網(wǎng)認證的研究[J]. 電子技術(shù)應(yīng)用,2024,50(12):82-86.
英文引用格式: Wang Zhiyu,Zhao Ronghui,Zhang Chunhui,et al. Research on secure and effective network access authentication in the scenario of communication module being detached from the computing host[J]. Application of Electronic Technique,2024,50(12):82-86.
Research on secure and effective network access authentication in the scenario of communication module being detached from the computing host
Wang Zhiyu1,Zhao Ronghui1,Zhang Chunhui1,Su Yu2
1.First Research Institute of The Ministry of Public Security; 2.China Information Security Research Academy Co., Ltd.
Abstract: As 5G and mobile technologies continuously develop, various types of mobile devices are continuously emerging. Mobile devices have driven the advent of the era of the Internet of Things (IoT). Since CDMA technology appeared, SIM cards can be detached from the mobile devices. Host and communication modules have further decoupled after a phone can fit all kinds of carrier networks. People hope their mobile devices can access any network at any time and any place. It is well known that the rapid advancement of wireless technology is precisely due to its alignment with the trend of division of labor and independent development. In the era of IoT, terminal devices are often characterized by low specifications and large quantities. The continuous emergence of new technologies and frequency bands has resulted in asynchronous development between host devices and communication modules. This combination-based terminal access poses new challenges to mobile security. In this paper, how to utilize digital certificate, security control and other technologies to authenticate terminals in the scenario of communication module being detached from the computing host is discussed.
Key words : Internet of things;trusted computing;mobile police;wireless communication;network access authentication

引言

政府、公共安全、石油、電力等大行業(yè)都有建設(shè)專網(wǎng)的需求,但是網(wǎng)絡(luò)的建設(shè)和運維成本讓人望塵莫及。除去資金投入之外,還有巨大的智力投入,這使得眾多行業(yè)專網(wǎng)無法達到運營商級的高可靠、高安全水平。在這種情況下,所有行業(yè)專網(wǎng)都不得不或多或少地使用運營商的網(wǎng)絡(luò),特別是移動網(wǎng)絡(luò)。但是,運營商網(wǎng)絡(luò)最大的業(yè)務(wù)是公眾用戶的互聯(lián)網(wǎng)接入。與公眾業(yè)務(wù)混合承載的運營商網(wǎng)絡(luò)為專網(wǎng)安全引入了新挑戰(zhàn)。由于擔(dān)心對公眾用戶造成影響,運營商也可能無法落實行業(yè)用戶所有安全要求。因此專網(wǎng)側(cè)的網(wǎng)絡(luò)安全控制措施就顯得尤為重要。

對于公安領(lǐng)域來說,手機終端主要為多模專用終端,如智能手機型移動警務(wù)終端,這類專用終端參照GA/T 1466.1[1]和1466.2[2]的規(guī)定,要求終端具備國產(chǎn)自主安全計算平臺,具備可信驗證、終端管控、多維度綁定認證等安全能力。國際方面,早在2013年美國CIO委員會和國防部就為聯(lián)邦政府機構(gòu)工作人員推出了移動安全參考架構(gòu)[3],其中定義了多角色GFE(Government Furnished Equipment)終端的應(yīng)用場景和管控策略。

移動技術(shù)發(fā)展到5G之后,大量專用移動終端出現(xiàn),如無人機、智能眼鏡等。公安領(lǐng)域?qū)崙?zhàn)部門也有多形態(tài)單模專網(wǎng)終端的應(yīng)用需求,如筆記本終端、警用無人機、巡邏機器人等。這類終端的主機有的從來沒有通過移動鏈路接入過,有的是非通用操作系統(tǒng),無法安裝各種安全設(shè)施。同時,由于公安領(lǐng)域的特殊性,國家工信部無線電管理委員會還為公安分配了專用或優(yōu)先使用的頻段資源,如350 MHz公安窄帶數(shù)字集群通信系統(tǒng)頻段、340 MHz公安專用無線視頻傳輸系統(tǒng)頻段、1 430 MHz警用航空器頻段,以及未來的PWL頻段和國家公共安全與應(yīng)急專網(wǎng)頻段(700 MHz)等。通信模塊的升級換代與主機的發(fā)展存在不同步的問題,導(dǎo)致通信模塊與主機系統(tǒng)可分離的專網(wǎng)終端出現(xiàn)。

國際方面,2021年8月,美國國家安全局和中央安全署發(fā)布了移動接入方案v2.5[4],規(guī)定移動終端采用不可控網(wǎng)絡(luò)接入專網(wǎng)時,必須采用專用VPN設(shè)備或RD(Retransmission Device)重傳設(shè)備接入,專用VPN設(shè)備和RD設(shè)備與主機通過以太鏈路相連。

目前,移動警務(wù)已經(jīng)構(gòu)建的網(wǎng)絡(luò)安全接入設(shè)施大部分是針對于主機體統(tǒng)與通信模塊不可分離的智能手機。2024年發(fā)布的GA/T 2133.1[5]和2133.2[6]標(biāo)準(zhǔn)規(guī)定了通過外置通信模塊聯(lián)網(wǎng)的場景,對于終端使用外置通信模塊連網(wǎng)時的終端入網(wǎng)認證、安全管控等安全措施進行了規(guī)定。本文以筆記本電腦終端為例,探討終端如何通過可分離的外置通信模塊安全地連接專網(wǎng),開展警務(wù)應(yīng)用,其管控策略和入網(wǎng)控制方案可應(yīng)用于警用無人機、巡邏機器人等其他主機和通信模塊可分離的移動警務(wù)終端。


本文詳細內(nèi)容請下載:

http://ihrv.cn/resource/share/2000006253


作者信息:

王志宇1,趙榮輝1,張春慧1,蘇禹2

(1.公安部第一研究所,北京 100048;

2.中國信息安全研究院有限公司,北京 102209)


Magazine.Subscription.jpg

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。