前言：想要寫出一篇引人入勝的文章？我們特意為您整理了談鐵路移動互聯(lián)網安全接入技術方案范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：本文研究的重點在于移動互聯(lián)網網絡接入安全、安全傳輸VPN以及進行安全防護的方法等，保障用戶和網絡之間的安全性，包括身份認證、隱私機密等各個方面，為建立移動互聯(lián)網安全體系提供理論上的參考和技術方面的支撐。

關鍵詞：移動互聯(lián)網；應用級SSL；VPN；隧道；VPDN；身份認證

鐵路無線接入其實就是在鐵路綜合信息網局域網終端應用無線技術，實現(xiàn)用戶終端網絡的無線接入。移動互聯(lián)網真正地實現(xiàn)了互聯(lián)網和移動通信之間的融合，用戶可以利用多種多樣的移動終端來連接網絡。無線接入技術和移動互聯(lián)網的應用越來越常見，在實際操作中經常需要運用上述技術來開展業(yè)務，比如人員現(xiàn)場操作、機關辦事人員移動辦公、業(yè)務人員幫忙作出決策等。盡管引入上述先進技術可以有效提升工作效率，但是同時也使鐵路系統(tǒng)面臨著新的風險，在應用上述技術時如何做好安全防護工作一直是一個非常關鍵的問題，相關研究不夠系統(tǒng)，因此鐵路系統(tǒng)當前在運用兩項技術的同時迫切需要保障安全性。

1移動互聯(lián)網接入安全性分析

移動互聯(lián)網在發(fā)展過程中也面臨著一系列的問題，實際上這些問題都是由于移動終端、移動網絡、移動互聯(lián)網在應用中存在的風險導致的，常常會出現(xiàn)信息泄露、盜用、篡改、偽基站等各個方面的風險。

1.1不可信網絡傳輸

人們可以借助移動終端在任意一個場合或環(huán)境之下借助無線網絡或者互聯(lián)網進入自己的工作系統(tǒng)，當數(shù)據在網絡上進行傳輸?shù)臅r候，就面臨著來自各個方面的攻擊和竊聽風險。尤其通過移動設備，在公共場所辦公時，無線網“熱點”可能會帶來欺騙，誘導、監(jiān)視。黑客對用戶進行誘導、監(jiān)視，在用戶進行網上沖浪時盜取其賬號，獲取工作上的相關機密。

1.2不嚴密的應用管控

如今，企業(yè)很多業(yè)務都通過移動設備來進行，移動業(yè)務的發(fā)展速度已經超過了信息安全的保障機制更新速度，各個應用沒有進行科學的安全性評測便向用戶開放，可能會使移動用戶借助網絡獲取機密程度高的一些數(shù)據。由于訪問權限設置的不合理性以及審計措施的不科學性，可能會導致一些嚴重的泄密事件[1]。

1.3主動或被動信息泄密

當利用移動終端辦理相關業(yè)務時，用戶便可以將系統(tǒng)中的數(shù)據下載到本地進行存儲，由于移動終端的位置不是確定的，而且很容易出現(xiàn)數(shù)據遺失和數(shù)據被交換的情況，導致數(shù)據信息很容易擴散，進一步提升了機密泄露的概率。為了使移動應用更加安全可靠，鐵路總公司需要構建移動信息化平臺作為強有力的支撐，從傳輸、接入、終端等各個環(huán)節(jié)保障安全性，同時也要充分在信息數(shù)據和移動應用的安全方面做好防護，充分保障鐵路系統(tǒng)移動應用安全。

2鐵路移動互聯(lián)網接入安全防護方案

在鐵路移動信息化建設的發(fā)展初始階段，應用的數(shù)量不多，在移動應用安全保障方面，常常只對某個應用進行相應的設計，僅僅針對這一應用進行安全防護方面的投入，這就使得當移動應用數(shù)量增加時，會出現(xiàn)反復投入的情況，并且管理起來難度加大，目前已經出現(xiàn)與移動信息化發(fā)展的腳步不相適應的情況。為了在鐵路系統(tǒng)中實現(xiàn)無線接入和移動互聯(lián)網安全接入，并且按照相應的技術規(guī)范，在充分保證安全性的前提下，盡量避免針對某一個應用單獨投入，有效地節(jié)約投資，對網絡架構進行重構和改善，保障移動終端的安全性，就需要在鐵路綜合信息網中構建安全接入的平臺，完善基礎設施建設，使用戶和業(yè)務人員的需求得到充分的滿足，保障企業(yè)各項數(shù)據的安全性。鐵路移動公網安全接入平臺是建立在總公司和路局機關局域網外部服務網中的，包含了VPN接入網關和移動管理系統(tǒng)。在這一平臺中，用戶可以通過移動終端來接入網絡，同時還能保障接入安全，通過集中管理移動終端的方式進一步加強網絡接入的安全性，具體的邏輯架構和拓撲結構如下圖所示。本方案需要借助鐵路統(tǒng)一目錄服務平臺和PKI/CA，從傳輸、接入、應用三個角度對方案進行優(yōu)化，最大程度地降低無線接入的風險

2.1移動互聯(lián)網接入整體安全

用戶通過移動終端接入移動互聯(lián)網，安全接入平臺主要負責保障網絡接入安全。移動終端通過移動互聯(lián)網訪問外部服務網中的各種應用是通過VPN接入網關實現(xiàn)的，當用戶借助移動互聯(lián)網對圖1進行訪問時，要防止所有的移動應用都在網絡上展現(xiàn)出來，這樣可以有效降低被攻擊的風險。

2.1.1傳輸數(shù)據加密當用戶通過遠程VPN對企業(yè)內部網絡服務器進行訪問時，數(shù)據傳輸?shù)倪^程可以劃分為三個階段，第一階段是客戶端和VPN網關之間的傳輸；第二階段是VPN網關到網絡安全平臺的傳輸；第三階段是平臺和內部網絡應用服務器的傳輸，這一階段完全在內網中進行由于內網網絡需要借助網絡安全平臺進行接入，因此“內網”數(shù)據傳輸安全性是能夠得到保障的[2]。而第一階段的數(shù)據傳輸則存在多個方面的安全風險，因此，就必須要采用采取一些有效的措施，防止信息數(shù)據在傳輸過程中被竊取或篡改。VPN安全接入網關可以通過多種算法來進行加密，相關的數(shù)據信息都處于加密的狀態(tài)，充分保障了數(shù)據在傳輸過程中的安全性。

2.1.2接入身份認證移動互聯(lián)網接入需要進行安全認證，這一過程需要借助安全平臺統(tǒng)一用戶目錄服務系統(tǒng)來進行。各個數(shù)據節(jié)點的信息會同步進行復制，從而使得系統(tǒng)中全部用戶能夠共享信息，同時還能使信息得到同步更新。所有用戶都可以利用相同的用戶名，在每一個已經授權的安全接入平臺中登錄，這樣使用戶身份成為了唯一進入移動公網的證明。詳細的過程如圖3所示。要想給移動互聯(lián)網用戶進行授權，首先需要在內網目錄服務器中針對移動互聯(lián)網建立一個專門的用戶小組，并且把已經順利獲得授權的用戶拉入到這一組別中，從而完成授權。同時還可以在該組中設置管理員，利用訪問控制設置相關措施，使該用戶具備對訪問小組進行管理的能力。而且內網目錄服務器中的信息可以復制到外網之中，通過各個路局信息節(jié)點的同步復制功能來實現(xiàn)數(shù)據同步。VPN接入網關和MDM服務器分別使用移動互聯(lián)網訪問組管理員賬戶從訪問組中獲取授權用戶的全部信息，并儲存在本地磁盤之中，這些用戶便稱之為LDAP用戶。移動終端訪問應用時，需要借助安全防護軟件和VPN接入網關構建應用級SSLVPN隧道。在構建隧道時，第一步需要認證用戶身份。認證可以有多重渠道，比如通過數(shù)字證書用戶名、口令、設備信息等。數(shù)字證書是中鐵CA給予的，并且對X.509字段進行了擴充，加入了UID字段，這一字段在整個網絡平臺上是唯一的。安全防護軟件會對這一字段進行讀取，用戶輸入對應的PIN進入系統(tǒng)之中，VPN接入網關負責對證書進行認證，然后將UID字段拎出來，和LDAP用戶進行比對，如果在LDAP用戶中成功找到該用戶，則完成認證。用戶完成認證之后，還必須完成移動終端管理安全策略和應用權限檢查，然后才可以對移動應用進行訪問。如果移動終端存在危險跡象，那么會阻止其連接網絡。通過和MDM之間的相互合作，只有完成身份認證，獲得授權，并且不會對安全性構成威脅的移動終端，才能訪問外部服務網應用。

2.1.3細粒度的訪問控制VPN網關在進行訪問控制時可以采取網關源IP訪問、用戶訪問、用戶組訪問等方法。網關源IP訪問控制可以根據用戶源IP地址選擇允許或拒絕用戶接入網關。通過對用戶源IP地址訪問進行控制，對用戶可以接入的IP地址范圍進行約束，從而降低安全風險。用戶訪問和用戶組訪問控制可以對某些客戶制定其獨有的訪問控制，從用戶源和目的IP地址、端口、目的URL等幾個方面來限制用戶的訪問。通過配置訪問控制可以對已經獲得授權的用戶在訪問時進一步對訪問進行控制。應用級SSLVPN能夠實現(xiàn)基于URL、IP、端口的細粒度訪問控制。并且控制的粒度越小，內網的信息數(shù)據越安全。該種類型的訪問控制使管理用戶在配置時更加方便和快捷。

2.2運營商3G／4G傳輸安全

移動終端接入鐵路外部服務網時可以采取兩種方法來實現(xiàn)，第一種是通過運營商的移動網絡來訪問互聯(lián)網，構建應用級SSLVPN隧道，第二種方法是借助運營商的移動數(shù)據專用通道，通過SIM卡來訪問互聯(lián)網。這個專門的通道，也就是VPDN通道，它其實也是一種VPN業(yè)務，是移動運營商通過二層隧道協(xié)議技術來創(chuàng)建一個不和外界網絡相連通的網絡區(qū)域供用戶使用。用戶在這一網絡中只能借助運營商網絡對鐵路外部服務網進行訪問，不會進入到外部網絡中，能夠有效地保障數(shù)據的安全性。根據用戶所用的移動終端的種類，選擇適合自己的方式進行接入。通用終端只能選擇第一種方式進行接入，而不能通過第二種方式中的專用終端借助專用通道來訪問。移動終端無論采取上述兩種方法中的哪種來接入鐵路外部互聯(lián)網，都需要通過安全接入平臺來實現(xiàn)。移動終端和VPN接入網關需要構建應用級SSLVPN隧道，這個隧道可以充分的保障數(shù)據傳輸?shù)陌踩?，并且將不同應用之間的數(shù)據進行分隔，使數(shù)據能夠在保密的狀態(tài)下進行傳輸。VPDN和SSLVPN隧道傳輸如圖4所示。SSLVPN或者IPSecVPN應用程序中，移動終端必須要裝有虛擬網卡，各個移動應用中的數(shù)據信息需要先通過它，然后才能進入到VPN通道中[3]。各個移動應用產生的數(shù)據信息在中轉過程中，面臨著安全方面的威脅，此時手機上其他的移動應用有可能會通過中轉過程竊取該應用的相關數(shù)據，從而出現(xiàn)信息泄露的情況。應用級SSLVPN接入網關可以有效地把客戶端和應用軟件聯(lián)系在一起，使用戶能夠方便快捷地使用移動終端上的應用軟件，同時還能夠增強SSL安全防護的水平，能夠有效地降低上面提到的安全風險，應用VPN報文封裝流程如圖5所示。在客戶端編程組件中，可以找到非常全面的應用層TCP/IP虛擬協(xié)議棧。因此，移動終端應用中的相關數(shù)據信息可以借助此協(xié)議棧對TCP/IP進行封裝，在應用內部產生一個IP信息文件。也就表明，信息數(shù)據在MDM提供的應用VPN中傳輸過程是加密的。MDM的應用VPN能夠對加密的IP信息文件進行傳輸，這帶來了很大的便利性，MDM移動辦公安全防護方案中可以對全部基于IP協(xié)議的移動應用的數(shù)據傳輸提供安全保障，而不僅僅指對HTTP或者TCP協(xié)議移動用戶進行防護。應用級SSLVPN操作程序中，應用可以借助安全防護軟件中能夠保障信息傳輸安全的接口，在應用內部便對其數(shù)據信息進行加密處理。數(shù)據信息只有經過保密防護之后才能從移動應用中傳出，進入OS系統(tǒng)。因此，即便移動終端上出現(xiàn)了一些會對數(shù)據安全構成威脅的應用，OS系統(tǒng)中已經獲得的數(shù)據信息的安全性也能夠得到有效的保障，這些應用并不能竊取或監(jiān)聽到終端或互聯(lián)網相關信息。對比SSLVPN或者IPSecVPN，應用級SSLVPN可以對移動終端應用進行控制，能夠實現(xiàn)更小的粒度，能夠更加全面的保護數(shù)據信息的安全性。

3結語

移動終端接入移動互聯(lián)網首先必須進行數(shù)字證書認證。過去這一過程較為繁瑣并且不夠靈活，本方案針對之前存在的問題對數(shù)字證書認證過程進行了改進，使過程更加的簡便，并且通過和用戶目錄服務平臺的合作，對用戶進行統(tǒng)一的授權。移動終端上的應用可以借助應用級VPN使各個應用之間的數(shù)據能夠分離開來，從而保障數(shù)據傳輸?shù)陌踩裕€能防止機密信息在移動終端上被竊取。

參考文獻：

[1]周峰.電力移動互聯(lián)網的運用與安全防護[J].中國電力企業(yè)管理，2019（36）：86.

[2]陳韶華.試論移動互聯(lián)網時代信息安全新技術的展望[J].網絡安全技術與應用，2019（11）：2-3.

[3]徐潔君.淺談當下移動互聯(lián)網技術的安全與應用[J].科技資訊，2019，17（16）：15-17.

作者：王文溥 李艷玲 趙曉麗 單位：長治學院