移动应用系统安全管理平台解决方案概述1

1 移动应用系统安全管理平台方案概述移动应用系统安全管理平台方案概述 1 1 系统建设背景系统建设背景 近日 无线城市规划的出台促进了 无线应用系统快速发展 因此 作为各种无线应用系统的核心基础 安全管理问题 也变得越来越重要 对无 线应用系统安全管理方面的建设具有时间紧迫性 2011 年 Comodo Gucci 和花期银行等国际公司的无线应用都相继发生了 一系列安全事故 这些安全事故都造成了巨大的经济损失 我市各单位的无线 应用系统 特别是政务系统和办公系统 中的数据往往都是需要保密的 一旦 泄露后果不堪设想 此外 各单位应用系统的离散独立建设和管理 会带来巨 大的建设 管理成本 造成资源浪费 例如 某单位如果不使用独立物理专线 无线应用的性能可能会难以接受 但是 如果建设将为这个单位带来巨额的专 线使用费用 且容易出现专线资源的浪费 综合政府无线城市规划的要求和各单位实际建设无线应用系统遇到的问题 本项目将重点解决我市各种无线应用系统的统一安全管理和网络资源统筹优化 问题 其重点目标是在不改变各单位已有无线应用系统结构和物理联网的基础 上 建立基于 SSL VPN 的移动应用安全管理平台 在逻辑和应用层面上将各单 位移动应用系统纳入一个安全的使用范围 在移动应用系统各层面和关键节点 上提供完善的防护和管理机制 最大限度的保障用户数据安全 同时 提供一 个统一的 VPN MSC 客户端来实现用户的单点登陆管理 简化用户的操作步骤 以及降低各单位离散管理带来的安全隐患 1 2 项目建设基础项目建设基础分析分析 随着智能手机 平板电脑等移动设备的出现 移动互联网这一新兴事物蓬 勃发展 移动平台正式进入大众市场 当然 在这一发展过程中 也会遭遇一 些成长的难题 比如安全问题和营收模式等 不过无论如何 移动互联网时代 正在来临 根据 2011 年知名风投公司 KPCB Kleiner Perkins Caufield Byers 发 布的 移动互联网趋势报告 显示 全球 ipad iphone ipod 累计销售量达到 7500 万台 而 Android 系统移动平台更是达到 2 亿台 智能手机和平板电脑 的销售量已经超过了笔记本和台式机的销量 在这个背景下 我国的移动互联 网用户已经达到世界首位 移动互联网促使我国社交网络加速向移动网络发展 移动商务和移动广告突飞猛进 移动政务开始流行 随着信息技术的不断发展 特别是改革开放以来 整个社会的信息化水平 迅速提升 各级政府部门也在不断地加快推进办公自动化和电子政务领域的建 设 整个国家以及各单位的政务处理实时性和简洁性都大大提高 可是 传统 的办公和政务系统只能守在电脑旁才能进行操作 而领导的日常工作需要经常 外出 例如 下基层 外出开会与汇报工作 视察与验收建设项目等 因此 为了解决这个突出矛盾 突破我国政务处理的时间和空间局限性 基于移动互 联网的移动办公和政务系统在我国开始普及 在此背景下 本项目的建设基础 主要是各单位的移动应用系统 包括移动办公和移动政务系统等 目前 我 2 市移动应用系统包含的主要基础资源包括 一 各单位数据中心各单位数据中心 政府数据中心机房提供电子政务和办公系统的网络接入 机房配置有 OLTP 和 OLAP 数据服务器 双路市电 UPS 柴油发电机 精密空调 消防 视频监控等多项保障措施 目前 各单位数据中心机房已为移动电子政务和办 公应用提供了良好的数据支持和管理机制 二 中间服务器中间服务器 中间件服务器是位于数据中心和应用软件客户端之间的通用服务 通过将 复杂的移动通信协议和移动信息化应用处理技术封装起来 为企业 政府的移 动信息化建设提供一套标准化 简单的开发环境和应用服务 它主要用于实现 与原有的 PC 应用系统的无缝整合与快速部署 从而完成对原有应用系统的移 动化 目前 我市移动应用系统的中间件服务器主要是用于封装数据提取操作 和信息处理操作 大体包括三种方式 基于 HTTP Socket SOAP RMI 等网络协议的持久化框架如 hibernate myBatis 等 优点是可以快速生成 SQL 查询语句并得到查询结果 缺点是对海量数据处理的性能不足 网页提取与解析 这种方式的优势是单位原有的 Web 应用系统无需改 造 就能转变为手机客户端可以识别的终端数据 从而完成业务系统的快速 安全地移动化 缺陷是速度上会比用 HTTP Socket SOAP RMI 的查询语句直接 传输方式慢 WebService Web Service 是一个应用组件 它逻辑性的为其他应用程序 提供数据与服务 各应用程序通过网络协议和规定的一些标准数据格式 Http XML Soap 来访问 Web Service 通过 Web Service 内部执行得到所需结 果 Web Service 可以执行从简单的请求到复杂商务处理的任何功能 其优点是 跨平台 支持复杂数据和业务的传递 且容易实现加密传输 缺点是对服务器 性能要求较高 消耗大 三 移动应用终端移动应用终端 目前 xx 市移动应用系统的手机终端既包括 C S 模式也有 B S 模式 四 其它可利用资源其它可利用资源 xx 云计算中心云计算中心 目前 xx 云计算资源可以提供基于 X86 64 位主流处理器 搭建的云计算服务平台 提供无限 CPU Licenses 的 MS SQL Server2008 企业版 数据库环境 云计算资源可动态扩容 CA 认证中心 认证中心 xx 省数字证书认证管理中心是全省统一的数字证书认证服 务机构 提供电子签名信任服务 可信网站服务 安全电子邮件服务 时间认 证服务 电子签章系统服务 电子证据保全系统服务 可实现网上业务的身份 验证 确保信息的保密性 完整性和网上行为的抗抵赖性 综上所述 当前 xx 相关单位以各自职能和业务为核心建成了一批与电子 政务和办公相关的移动应用系统 大多数部门实现了随时随地办公 摆脱了物 理网络的限制 节省了办公费用 提高了工作效率 但是 由于这些系统的离 3 散性 导致它们普遍存在安全隐患 而且网络资源使用成本高 无法进行统筹 优化 基于这个原因 研究如何利用各部门已有的移动应用资源 建立移用应 用系统安全管理平台 为各单位的移动应用系统提供统一的 透明的安全管理 和网络性能优化服务具有十分重要的现实意义和时间的紧迫性 1 3 总体架构总体架构设计设计 根据系统建设的要求 本系统设计中将遵循以下原则 1 遵从性 符合我省移动城市相关政策 为实现移动城市提供保障和支撑 2 安全性 全面 统一地对我市主要政府和企事业单位的移动应用系统进行安全 防护和管理 抵御各种恶意入侵和非法信息窃取 规范用户的访问及 使用 保证重要信息流通 3 可用性 避免重复建设和对原有系统改建造成的浪费 保证原有系统加入安全 管理平台后 各项功能的正常运行 并确保业务的快速恢复 4 可管理性 通过最小的管理负担 达到最大的管理效能 确保提供完善的安全审 计报告 5 性能 在不显著增加各单位无线应用系统投入正本和改变物理网络结构的前 提下 优化网络资源 减少各无线应用系统的响应时间 在以上四大原则的基础上 本系统总体架构需要满足在尽量不改变各部门 原有移动应用系统和物理网络结构的基础上 利用 VPN 原理 在逻辑层面上 对各部门应用系统进行安全防护和管理 主要包括 统一的 VPN MSC Mobile Smart Client 智能客户端 智能单点 VPN 入口管理 无线传输安全管理 接 入安全管理 VPN 内网联接及网间加速 系统总体架构图如下 GPRS WCDMA 专专用用VPN 入入口口 独立物理专线 移移动动应应用用VPN 单单位位一一 移移动动电电子子 政政务务和和办办公公系系统统 苹果手机 苹果平板 其它手机与平板 VPN MSC智能 客户端 无线信号基站 无无线线传传输输过过程程安安全全管管理理 独立物理专线 SSL VPN 加密传输 身身份份认认证证访访问问控控制制 攻攻击击防防护护 数据检查 防火墙 入口服务器 接接入入安安全全管管理理 备用内部服务器 内网防火墙 安全隔离网 闸 物理隔离 单单位位n 移移动动电电子子 政政务务和和办办公公系系统统 VPN服务器 云云计计算算中中心心 Internet SSL VPN 加密传输 Android手机 Android平板 移移动动应应用用安安全全管管理理平平台台 CDN 加加速速 安安全全审审计计 图一 系统总体架构图图一 系统总体架构图 4 1 4 各功能模块介绍各功能模块介绍 一 VPN MSC 智能客户终端智能客户终端 本系统的 VPN MSC 智能客户端是将 VPN 客户机原理和 MSC 技术相接结 合 MSC Mobile Smart Client 跨平台移动智能客户端 包括一套开发语言和 覆盖所有手机平台的客户端虚拟机 可以支持 Windows phone iOS Android Symbian 包括 symbian S603 Symbian S605 Symbian3 Linux Blackberry Ophone Brew Wap xHtml 等 它采 用一种介于 C S 结构和 B S 结构之间的网络结构模式 集 C S 和 B S 的优势于 一身 可屏蔽手机终端的差异性 具有多终端支持能力和业务的快速更新能力 本系统 VPN MSC 智能客户终端的结构如下所示 安全支撑层 移动客户端 系统平台 SSL VPN通信管理 用户访问控制层 手机号 手机设备串号 密码 Windows Phone iOS Android Symbian Linux Blackberry Ophone Brew Wap xHtml 客户端虚拟机中间语言接口 业务层 统一界面展现机制政务处理提醒智能升级智能映射 SKIP密钥管理 移动防毒软件接口 APN接入管理 存储安全防护移动设备防盗 图二图二 VPN MSC 智能客户终端结构图智能客户终端结构图 用户访问控制层用户访问控制层通过手机号 密码 手机设备串号多重绑定对用户身份进 行判断 看是否有资格接入移动应用 VPN 业务层业务层主要用于支撑用户对各自移动应用系统业务的使用 主要包括 智能映射智能映射 当用户获准进入移动应用 VPN 智能映射模块可以透明地帮 助用户进入各自部门的移动应用系统 例如 旅游局用户可以通过 VPN MSC 直接进入旅游局建立的移动应用系统 统一界面展现机制统一界面展现机制 基于 MSC 特性 统一界面展现机制可以在统一风 格的窗口中同时支持各部门原有系统的 C S 和 B S 用户端界面 政务处理提醒政务处理提醒 当用户出现紧急政务需要处理时 VPN MSC 终端将提醒 用户及时处理 5 智能升级智能升级 当有新版本程序时 终端会自动接收服务器发来的推送 PUSH 并建议安装升级 安全支撑层安全支撑层用于各部门移动应用系统在客户端的安全管理与控制 主要包 括 SSL VPN 通信管理 通信管理 SSL VPN 通信管理是 VPN MSC 客户端的关键核心 由 于 iOS 浏览器不支持第三方插件 特别是 PKI 插件 以及基于本安全管理系统 的特殊客户群考虑 本项目必须专门开发集成 SSL VPN 的客户端 以支持跨平 台的 SSL VPN 安全通信 VPN Virtual Private Network 即虚拟专用网 是指利 用开放的公共网络资源建立私有传输通路 将远程的分支机构 商业伙伴 移 动办公人员等连接起来 并且提供安全的端到端的数据通信的一种技术 它有 两层含义 第一 它是 虚拟的 即用户实际上并不存在一个独立专用的网 络 既不需要建设或租用专线 也不需要装备专用的设备 而是架构在公用网 络服务商所提供的网络平台 如 Internet ATM Frame Relay 等之上的逻辑网 络 用户数据在逻辑链路中传输 第二 它是 专用的 相对于 公用的 来说 它强调私有性和安全可靠性 SSL 是一种在套接层上的安全协议 它支 持数据全程加密传输 是远程用户访问敏感数据的最安全 最简单的解决途径 与 IPSec 相比 SSL VPN 部署更加简单 方便 本项目 SSL VPN 通信管理模块需 要研究如何通过建立 SSL 的记录子协议 握手子协议和 PKI 体系 解决客户终 端对以下功能的支持 身份认证身份认证 基于握手协议和 PKI 体系 实现 VPN MSC 客户终端和 VPN 入口服务器之间的相互身份认证 PKI 体系中的 CA 可以利用 xx 省数字 证书认证管理中心提供的发证和证书管理服务 通信数据加密通信数据加密 实现 VPN MSC 客户端和 VPN 入口服务器之间的加密算 法 密钥的协商与管理 和数据的加密传输 通信数据完整性检验通信数据完整性检验 研究应用 PKI 中的数字签名或 MAC 技术 对信 息内容进行检测 防止被篡改 不可否认 不可否认 研究如何利用数字签名和收条技术实现数据和文件的发送方 的不可否认性 不可否认性可以证实消息发送方是唯一可能的发送者 发送者不能否认发送过消息 不可否认性的一个特征是采用公钥技术 当使用公钥技术时 发送方用私钥产生一个数字签名随消息一起发送 接收方用发送者的公钥来验证数字签名 由于在理论上只有发送者才唯 一拥有私钥 也只有发送者才可能产生该数字签名 所以只要数字签名 通过验证 发送者就不能否认曾发送过该消息 SKIP 密钥管理密钥管理 密钥管理技术的主要任务是保证在公用数据网上安全地 传递密钥而不被窃取 本项目实用 SKIP 的 Diffie Hellman 演算法则 在网络 上传输密钥 同时 本项目需要支持动态密钥更新 也就是 在通信过程中 数据流被划分成一个个 数据块 每一个 数据块 都使用不同的密钥加密 这可以保证万一攻击者中途截取了部分通信数据流和相应的密钥后 也不 会危及到所有其余的通信信息的安全 APN 接入管理接入管理 实现自动接入移动运营商提供的物理专线 存储安全服务存储安全服务 提供移动设备本地加密数据库和云存储服务 利用 xx 市 云计算中心 手机加密数据库需要实现不可拷贝 可以通过本系统内置的防 盗系统远程销毁 6 移动防毒软件接口移动防毒软件接口 用于建议 提醒用户安装移动设备防病毒软件 例如 symtantec 等 移动设备防盗移动设备防盗 是本项目嵌入 VPN MSC 智能客户终端的一款防盗子系统 它隐藏地存在于移动设备中 用户一旦在客户端开启 将实现以下功能 移动设备被非法挪动时 会大音量报警 关机 拔出耳机或 USB 延长线时进行大音量报警 定位手机的使用位置 可远程发送隐蔽指令对移动设备本地加密数据库进行删除和屏蔽特定用 户进入移动应用系统 VPN 二 传输过程安全管理传输过程安全管理 图三展示了 VPN MSC 和 VPN 入口服务器数据安全通信的总体策略 SSL 使用公开密钥体制和 X 509 数字证书技术保护信息传输的机密性和完整性 SSL 安全功能组件包括三部分 认证 在连接两端对服务器或同时对服务器和客 户端进行验证 加密 对通信进行加密 只有经过加密的双方才能交换信息并 相互识别 完整性检验 进行信息内容检测 防止被篡改 VPN MSC 客客户户端端 SSL VPN 通信管理 PKI体系 握手子协议 记录子协议 CA组件 RA组件 数字签名 MAC CRL VPN 入入口口服服务务器器 SSL VPN 通信管理 PKI体系 身份认证 访问控制 攻击防护 数据检验 SKIP 密码套件 1 发送握手请求 3 认证握手 4 协商 4 数据通信 2 响应握手请求 图三 图三 VPN MSC 客户端与客户端与 VPN 入口服务器之间的数据安全通信管理入口服务器之间的数据安全通信管理 主要包括以下几个重要阶段 1 认证阶段认证阶段 首先客户端在 TCP 建立后向 VPN 入口服务器发送握手请求 VPN 入口服务器作出相应 然后 VPN MSC 客户端将要求身份认证 服务器 端将发送自己的 X 509 数字证书来让客户端对其进行认证并同时发送密钥 交换信息 然后 VPN 服务器会发出认证要求给客户端 客户端响应请求 并发送数字证书和密钥交换信息给 VPN 入口服务器 如果认证不成功 将 取消握手操作 2 协商阶段协商阶段 VPN MSC 客户端与 VPN 入口服务器之间握手成功后 双方将协 商确定用于加密本次会话过程的一组密码套件和要使用的对称密钥 认证 7 和协商阶段将确定协议版本 会话标识 压缩和加密算法 3 数据通信阶段数据通信阶段 双方使用协商的加密算法和加密密钥进行秘密通信 4 访问控制访问控制 VPN 入口服务器的访问控制模块将根据身份证书中的手机号 通过 VPN 服务器 为用户找到其所在部门的移动应用系统并建立连接 5 安全防护 安全防护 包括病毒数据防护 防穷举防护 垃圾数据攻击防护 6 数据检验数据检验 双向检验来自客户端和 VPN 服务器的数据完整性 三 VPN 服务器服务器 VPN 服务器在本项目中主要负责逻辑连接各单位的移动应用服务器 并管 理数据的加密传入与传出 在本项目中 需要提供一台基于 Windows NT 或 Windows2000 Server 的 VPN 服务器 它拥有一个公用的 IP 地址 客户端在成 功通过入口服务器和内外防火墙后与 VPN 服务器进行连接 然后通过 VPN 服 务器与各单位的移动应用服务器进行通信 另外 将 VPN 服务器和用户事件采集器与关联器进行连接 用户事件采 集器和关联器可以进行用户事件的规格化 过滤 合并 关联 存贮 监控和管理操 作 这样一来 通过 VPN 服务器上软硬件的结合 可以对用户的操作进行严 格的审计和报警 保证管理员和高级用户可以查看以往的操作日志 也可以对 日志分析 查看系统是否曾遭到攻击 四 安全隔离网闸安全隔离网闸 用安全隔离网闸进行物理隔离 本项目中 安全隔离网闸在网路间进行的 安全适度的信息交换是在网络之间不存在链路层连接的情况下进行的 安全隔 离网闸直接处理网络间的应用层数据 利用存储转发的方法进行应用数据的交 换 在交换的同时 对应用数据进行的各种安全检查 五 CDN Content Delivery Network 网间加速 网间加速 在本系统覆盖的网络范围内 做 CDN 网间加速 其基本思路是尽可能避 开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节 使内容传输的更 快 更稳定 通过在网络各处放置节点服务器 在现有的互联网基础之上 构 建一层智能虚拟网络 CDN 系统能够实时地根据网络流量和各节点的连接 负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用 户最近的服务节点上 1 5 总结总结 移动应用系统安全管理平台的研发 将成功实现在移动应用系统各层面 各关键节点上的统一安全防护和管理 同时一体化的管理平台也为在避免每个 单位都拉一条专线的情况下 显著提高各单位移动应用系统网络性能 最大化 利用现有网络资源 提供了有效的解决途径 在安全方面在安全方面 1 客户端安全管理客户端安全管理 包括 8 SSL VPN 客户端的支持 专用的 SSL VPN 客户端彻底解决了普通 SSL VPN 直接使用浏览器而引入的各种浏览器的安全漏洞 基于 PKI 体系 构建了完善的加密 解密 身份认证以及完整性与不可 否认性检查等安全防护与管理机制 支持动态密钥更新机制 APN 接入管理帮用户自动接入物理专线 存储安全服务 实现本地移动设备数据库的加密管理和不可拷贝特性 以及在移动设备遗失后的远程销毁能力 内置 隐藏的移动设备防盗子系统 一旦设置运行 将在手机