《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信与网络 > 设计应用 > 通信模块和计算主机分离场景下安全有效入网认证的研究
通信模块和计算主机分离场景下安全有效入网认证的研究
电子技术应用
王志宇1,赵荣辉1,张春慧1,苏禹2
1.公安部第一研究所;2.中国信息安全研究院有限公司
摘要: 随着5G、移动技术的不断发展,移动终端的形态越来越多样,具备移动接入能力的设备推动了万物互联时代的到来。移动终端从CDMA时代开始就已经实现了机卡分离,全网通的出现使得计算主机和通信模块进一步解耦。人们希望自己的移动终端可以在任何时间、任何地点接入任何网络。无线技术之所以能够实现突飞猛进的发展,正是因为顺应了分工合作、各自发展这一趋势。物联网的时代,终端设备往往规格低、数量大,新技术、新频段的不断涌现,导致主机和通信模块发展不同步,终端组合式接入给移动安全提出新挑战。探讨了如何通过数字证书、安全管控等技术实现通信模块和计算主机机分离场景下终端的入网认证。
中圖分類號:TP393 文獻(xiàn)標(biāo)志碼:A DOI: 10.16157/j.issn.0258-7998.245872
中文引用格式: 王志宇,趙榮輝,張春慧,等. 通信模塊和計(jì)算主機(jī)分離場景下安全有效入網(wǎng)認(rèn)證的研究[J]. 電子技術(shù)應(yīng)用,2024,50(12):82-86.
英文引用格式: Wang Zhiyu,Zhao Ronghui,Zhang Chunhui,et al. Research on secure and effective network access authentication in the scenario of communication module being detached from the computing host[J]. Application of Electronic Technique,2024,50(12):82-86.
Research on secure and effective network access authentication in the scenario of communication module being detached from the computing host
Wang Zhiyu1,Zhao Ronghui1,Zhang Chunhui1,Su Yu2
1.First Research Institute of The Ministry of Public Security; 2.China Information Security Research Academy Co., Ltd.
Abstract: As 5G and mobile technologies continuously develop, various types of mobile devices are continuously emerging. Mobile devices have driven the advent of the era of the Internet of Things (IoT). Since CDMA technology appeared, SIM cards can be detached from the mobile devices. Host and communication modules have further decoupled after a phone can fit all kinds of carrier networks. People hope their mobile devices can access any network at any time and any place. It is well known that the rapid advancement of wireless technology is precisely due to its alignment with the trend of division of labor and independent development. In the era of IoT, terminal devices are often characterized by low specifications and large quantities. The continuous emergence of new technologies and frequency bands has resulted in asynchronous development between host devices and communication modules. This combination-based terminal access poses new challenges to mobile security. In this paper, how to utilize digital certificate, security control and other technologies to authenticate terminals in the scenario of communication module being detached from the computing host is discussed.
Key words : Internet of things;trusted computing;mobile police;wireless communication;network access authentication

引言

政府、公共安全、石油、電力等大行業(yè)都有建設(shè)專網(wǎng)的需求,但是網(wǎng)絡(luò)的建設(shè)和運(yùn)維成本讓人望塵莫及。除去資金投入之外,還有巨大的智力投入,這使得眾多行業(yè)專網(wǎng)無法達(dá)到運(yùn)營商級的高可靠、高安全水平。在這種情況下,所有行業(yè)專網(wǎng)都不得不或多或少地使用運(yùn)營商的網(wǎng)絡(luò),特別是移動(dòng)網(wǎng)絡(luò)。但是,運(yùn)營商網(wǎng)絡(luò)最大的業(yè)務(wù)是公眾用戶的互聯(lián)網(wǎng)接入。與公眾業(yè)務(wù)混合承載的運(yùn)營商網(wǎng)絡(luò)為專網(wǎng)安全引入了新挑戰(zhàn)。由于擔(dān)心對公眾用戶造成影響,運(yùn)營商也可能無法落實(shí)行業(yè)用戶所有安全要求。因此專網(wǎng)側(cè)的網(wǎng)絡(luò)安全控制措施就顯得尤為重要。

對于公安領(lǐng)域來說,手機(jī)終端主要為多模專用終端,如智能手機(jī)型移動(dòng)警務(wù)終端,這類專用終端參照GA/T 1466.1[1]和1466.2[2]的規(guī)定,要求終端具備國產(chǎn)自主安全計(jì)算平臺,具備可信驗(yàn)證、終端管控、多維度綁定認(rèn)證等安全能力。國際方面,早在2013年美國CIO委員會(huì)和國防部就為聯(lián)邦政府機(jī)構(gòu)工作人員推出了移動(dòng)安全參考架構(gòu)[3],其中定義了多角色GFE(Government Furnished Equipment)終端的應(yīng)用場景和管控策略。

移動(dòng)技術(shù)發(fā)展到5G之后,大量專用移動(dòng)終端出現(xiàn),如無人機(jī)、智能眼鏡等。公安領(lǐng)域?qū)崙?zhàn)部門也有多形態(tài)單模專網(wǎng)終端的應(yīng)用需求,如筆記本終端、警用無人機(jī)、巡邏機(jī)器人等。這類終端的主機(jī)有的從來沒有通過移動(dòng)鏈路接入過,有的是非通用操作系統(tǒng),無法安裝各種安全設(shè)施。同時(shí),由于公安領(lǐng)域的特殊性,國家工信部無線電管理委員會(huì)還為公安分配了專用或優(yōu)先使用的頻段資源,如350 MHz公安窄帶數(shù)字集群通信系統(tǒng)頻段、340 MHz公安專用無線視頻傳輸系統(tǒng)頻段、1 430 MHz警用航空器頻段,以及未來的PWL頻段和國家公共安全與應(yīng)急專網(wǎng)頻段(700 MHz)等。通信模塊的升級換代與主機(jī)的發(fā)展存在不同步的問題,導(dǎo)致通信模塊與主機(jī)系統(tǒng)可分離的專網(wǎng)終端出現(xiàn)。

國際方面,2021年8月,美國國家安全局和中央安全署發(fā)布了移動(dòng)接入方案v2.5[4],規(guī)定移動(dòng)終端采用不可控網(wǎng)絡(luò)接入專網(wǎng)時(shí),必須采用專用VPN設(shè)備或RD(Retransmission Device)重傳設(shè)備接入,專用VPN設(shè)備和RD設(shè)備與主機(jī)通過以太鏈路相連。

目前,移動(dòng)警務(wù)已經(jīng)構(gòu)建的網(wǎng)絡(luò)安全接入設(shè)施大部分是針對于主機(jī)體統(tǒng)與通信模塊不可分離的智能手機(jī)。2024年發(fā)布的GA/T 2133.1[5]和2133.2[6]標(biāo)準(zhǔn)規(guī)定了通過外置通信模塊聯(lián)網(wǎng)的場景,對于終端使用外置通信模塊連網(wǎng)時(shí)的終端入網(wǎng)認(rèn)證、安全管控等安全措施進(jìn)行了規(guī)定。本文以筆記本電腦終端為例,探討終端如何通過可分離的外置通信模塊安全地連接專網(wǎng),開展警務(wù)應(yīng)用,其管控策略和入網(wǎng)控制方案可應(yīng)用于警用無人機(jī)、巡邏機(jī)器人等其他主機(jī)和通信模塊可分離的移動(dòng)警務(wù)終端。


本文詳細(xì)內(nèi)容請下載:

http://m.ihrv.cn/resource/share/2000006253


作者信息:

王志宇1,趙榮輝1,張春慧1,蘇禹2

(1.公安部第一研究所,北京 100048;

2.中國信息安全研究院有限公司,北京 102209)


Magazine.Subscription.jpg

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。