基于移动智能终端的远程业务安全虚拟接入技术的研究

【摘要】基于移动终端的远程业务系统的建设已经成为电力行业必不可少的基础设施，如何快速的将现有应用移动化，减少投资成本，降低安全风险是摆在大家面前的迫切难题。本研究就是要开发高效、便捷、安全的基于移动智能终端虚拟化接入平台，通过虚拟化技术，采用SD智能存储卡作为硬件安全设备，利用运营商3G无线网络建立端到端安全的APN通道，实现对远程应用系统的安全访问。

【关键词】远程接入；虚拟化；APN

1.课题研究和开展背景

1.1 电力系统移动业务的需求日益旺盛

随着电力行业改革的不断深入，电网企业的经营管理模式也发生相应的变化，由过去单纯重视生产，逐渐向重视管理与效益转变。伴随经营管理模式的变化，电力企业的信息化投资水平逐年提高，信息化建设规模越来越大。但传统的办公室固定办公模式，限制了企业工作人员办事的灵活性，阻碍了办事效率，同时企业办事“移动性”越来越高，出差越来越频繁，对信息的接收及响应难免会出现滞后现象，而重要信息的时效性又很高，因此能够通过移动设备接收业务系统信息并处理业务成为企业的迫切需求。目前我局已有的业务系统，可以满足自身在固定场景下的办公需求，比如说公文处理、数据查询、生产流程审批、电子邮件、财务报表审批等等，但是由于有很多需要远程办公的情况，就需要将这些系统在移动终端上也能应用。

1.2 在不改变现有应用的情况下，如何快速的进行移动化接入。

近年来，珠海供电局建设了生产MIS，营销系统，OA系统，人力系统等系统，各种系统的开发模式不尽相同，既有C/S、也有B/S模式。这些应用系统的某些业务功能并不能在移动终端上直接运行，譬如说基于B/S模式的OA系统，它在开发的过程中采用了一些扩展插件（ActiveX），而这些插件只能在基于Windows系统的IE浏览器上运行，而在Android系统的浏览器上则无法运行，这样就造成了原有系统不能平滑的过渡到移动终端上。如果对每一个应用都进行移动化的改造，必将耗费大量的人力物力，造成资源的大量浪费。如何通过信息化手段解决上述问题，并更加有效的推进远程移动办公的进程呢？就是要避免对现有应用系统进行大规模改造，尽量采取非嵌入式的方式实现安全接入。

2.课题研究内容

开发基于3G无线网络的移动业务快速接入及与数字证书（PKI/CA）结合项目。移动办公用户必须登陆相应的门户站点才能访问内部资源，同时每个用户必须有自己的手机证书（SDkey方式），并享有访问内部各种资源的相应权限。采用移动终端访问珠海供电局内部应用的流程如下：

（1）通过手机终端、平板或手提电脑访问互联网；

（2）并采用证书通过SSL加密通道登录到设置在珠海供电局DMZ区的网关；

（3）通过网关再访问移动平台服务器（移动平台服务器预先设置了可以访问供电局相关应用系统的资源，如内部OA系统）；

（4）然后再通过移动平台的桌面映射用终端用户登录到内部系统。

网络结构图如图1所示：

2.1 移动接入虚拟化解决方案

本方案的核心是应用虚拟化服务，原有的应用到移动化平台服务器，相当于将应用映射到移动化平台服务器上，把运行的屏幕变动推送到移动终端；企业数据在应用服务器和安全移动平台之间的高速、安全的企业内网中传输交互，而推送往终端上显示的内容仅仅是运行的屏幕界面，因此终端与安全移动平台之间传送内容不包含企业数据，在根本上保证了传输的安全性。传输的屏幕界面是变化量并且经过128位加密，也一步增强了安全性。

由于数据交互被牢牢地限制在高速安全的企业内网，因此对于突发性的数据传输峰值也限制在高速内网中解决，而终端与平台间传输的屏幕变化则是稳定且经过压缩的，因此终端与平台之间的带宽要求比较低，这就使通过空中链路稳定的使用企业IT业务成为了可能。

以上的安全性和低带宽要求，使基于应用虚拟化的安全移动平台可以解决企业对安全性和移动化的要求，用户可以随时随地，通过空中链路安全稳定快捷的使用企业业务系统。

原来通过内网访问应用的方式，同样也可以通过平台访问，保持用户使用业务的一致性，由于终端不需要安装应用，数据的存储都在服务器上，因此，对于安全性要求高的企业，也可以解决内外网混用带来的问题。比如终端遭受攻击、感染病毒而丢失数据的危险，终端丢失时因为机密数据存放在终端上而导致泄密的危险等等。

2.2 智能存储卡提供端到端的安全

为适应移动环境的特点，本课题采用智能存储卡作为安全设备，提供鉴权认证和数据加密功能。智能存储卡是基于手机SD卡开发的新型移动安全设备，与传统USBKEY一样，内部包含智能卡芯片。智能存储卡存放个人密钥和数字证书，以及其他一些重要的数据，并限制通过特定接口访问。利用其中智能卡芯片的计算能力，可以在卡上进行密钥对的生成和卡上的签名与验证运算；同时，利用智能存储卡出色的安全机制，能够对存储在其中的数据提供强有力的安全保证，这样用户的私钥在整个生命周期内，都处在智能存储卡的保护之下。

2.3 移动终端客户端软件

开发基于不同操作系统平台（Android/IOS）的移动终端客户端软件，保证终端不需安装维护原应用系统的插件，并且在没经过授权的情况下系统数据不会存储（上下行）在客户端本地，保证终端在内外网混用情况下的安全性。

同时，该客户端软件还能实现对智能卡内数字证书的调用功能，包括密钥的访问、加密、签名等操作。

3.课题研究技术路线和关键技术

3.1 虚拟化技术

虚拟化（Virtualization）技术最早出现在20世纪60年代的IBM大型机系统，在70年代的System 370系列中逐渐流行起来，这些机器通过一种叫虚拟机监控器（Virtual Machine Monitor，VMM）的程序在物理硬件之上生成许多可以运行独立操作系统软件的虚拟机（Virtual Machine）实例。随着近年多核系统、集群、网格甚至云计算的广泛部署，虚拟化技术在商业应用上的优势日益体现，不仅降低了IT成本，而且还增强了系统安全性和可靠性，虚拟化的概念也逐渐深入到人们日常的工作与生活中。

在计算机科学领域中，虚拟化代表着对计算资源的抽象，而不仅仅局限于虚拟机的概念。例如对物理内存的抽象，产生了虚拟内存技术，使得应用程序认为其自身拥有连续可用的地址空间（Address Space），而实际上，应用程序的代码和数据可能是被分隔成多个碎片页或段），甚至被交换到磁盘、闪存等外部存储器上，即使物理内存不足，应用程序也能顺利执行。

3.2 智能存储卡调用技术

客户端安全中间件是一个基于智能存储卡的，为客户端提供身份认证、加/解密服务的安全连接中间件。此中间件是对安全网络连接、证书卡调用、密码学编程等接口的进一步封装，为上层应用提供一个简单、易用的接口。

现有移动操作系统提供的安全基础设施接口标准不统一，不利于开展大规模的移动安全应用。安全中间件是一个通用的、平台化的安全基础设施，可为移动互联网应用提供基于硬件设备的安全技术支撑，具有良好的通用性、扩展性、兼容性，可供第三方浏览器和客户端调用。

4.课题成果及实施成效

4.1 研发成果

本课题的目标是高效、快速、安全的基于无线网络的移动智能终端安全接入的研究与开发，通过虚拟化技术实现应用的快速移动化，采用智能存储卡作为硬件安全设备，通过3G无线网络建立端到端安全的VPN通道，实现对远程应用系统的安全访问。智能存储卡存放个人密钥和数字证书，提供鉴权认证和数据加密功能，并能够对存储在其中的数据提供强有力的安全保证。

移动终端通过安全客户端实现对智能存储卡证书的管理及调用。应用虚拟化技术，不需对现有应用进行任何改造，在最短的时间内将应用移动化，依靠端到端PKI证书解决方案，与3G手机平台和成熟商用的3G网络高度集成，使数据传输更加快捷，效率更高、信息安全更加有保障。

4.2 课题实施成效

通过该课题的研究，在移动智能终端通过虚拟化应用技术实现与原有业务系统快速无缝链接，将业务系统移植到移动智能终端，扩展了信息技术对企业生产经营的支持力度。信息技术人员不需要花费大量的精力对现有系统进行移动化改造，能迅速的将桌面应用改造为移动应用。远程移动办公变得更加安全、便捷、高效。

参考文献

[1]王淑江，王春海.虚拟技术应用实践[M].电子工业出版社.

[2]戴宗坤.VPN与网络安全[M].电子工业出版社.

作者简介：

赵爽（1982—），男，满族，黑龙江绥化人，大学本科，工程师，研究方向：计算机应用，信息安全管理。

赖翠君（1967—），女，广东紫金人，大学本科，高级工程师，研究方向：计算机应用，信息系统管理。

李建华（1983—），男，广东鹤山人，大学本科，工程师，研究方向：计算机应用，信息应用集成。