中文引用格式: 王志宇,趙榮輝,張春慧,等. 通信模塊和計算主機分離場景下安全有效入網認證的研究[J]. 電子技術應用,2024,50(12):82-86.
英文引用格式: Wang Zhiyu,Zhao Ronghui,Zhang Chunhui,et al. Research on secure and effective network access authentication in the scenario of communication module being detached from the computing host[J]. Application of Electronic Technique,2024,50(12):82-86.
引言
政府、公共安全、石油、電力等大行業(yè)都有建設專網的需求,但是網絡的建設和運維成本讓人望塵莫及。除去資金投入之外,還有巨大的智力投入,這使得眾多行業(yè)專網無法達到運營商級的高可靠、高安全水平。在這種情況下,所有行業(yè)專網都不得不或多或少地使用運營商的網絡,特別是移動網絡。但是,運營商網絡最大的業(yè)務是公眾用戶的互聯(lián)網接入。與公眾業(yè)務混合承載的運營商網絡為專網安全引入了新挑戰(zhàn)。由于擔心對公眾用戶造成影響,運營商也可能無法落實行業(yè)用戶所有安全要求。因此專網側的網絡安全控制措施就顯得尤為重要。
對于公安領域來說,手機終端主要為多模專用終端,如智能手機型移動警務終端,這類專用終端參照GA/T 1466.1[1]和1466.2[2]的規(guī)定,要求終端具備國產自主安全計算平臺,具備可信驗證、終端管控、多維度綁定認證等安全能力。國際方面,早在2013年美國CIO委員會和國防部就為聯(lián)邦政府機構工作人員推出了移動安全參考架構[3],其中定義了多角色GFE(Government Furnished Equipment)終端的應用場景和管控策略。
移動技術發(fā)展到5G之后,大量專用移動終端出現(xiàn),如無人機、智能眼鏡等。公安領域實戰(zhàn)部門也有多形態(tài)單模專網終端的應用需求,如筆記本終端、警用無人機、巡邏機器人等。這類終端的主機有的從來沒有通過移動鏈路接入過,有的是非通用操作系統(tǒng),無法安裝各種安全設施。同時,由于公安領域的特殊性,國家工信部無線電管理委員會還為公安分配了專用或優(yōu)先使用的頻段資源,如350 MHz公安窄帶數(shù)字集群通信系統(tǒng)頻段、340 MHz公安專用無線視頻傳輸系統(tǒng)頻段、1 430 MHz警用航空器頻段,以及未來的PWL頻段和國家公共安全與應急專網頻段(700 MHz)等。通信模塊的升級換代與主機的發(fā)展存在不同步的問題,導致通信模塊與主機系統(tǒng)可分離的專網終端出現(xiàn)。
國際方面,2021年8月,美國國家安全局和中央安全署發(fā)布了移動接入方案v2.5[4],規(guī)定移動終端采用不可控網絡接入專網時,必須采用專用VPN設備或RD(Retransmission Device)重傳設備接入,專用VPN設備和RD設備與主機通過以太鏈路相連。
目前,移動警務已經構建的網絡安全接入設施大部分是針對于主機體統(tǒng)與通信模塊不可分離的智能手機。2024年發(fā)布的GA/T 2133.1[5]和2133.2[6]標準規(guī)定了通過外置通信模塊聯(lián)網的場景,對于終端使用外置通信模塊連網時的終端入網認證、安全管控等安全措施進行了規(guī)定。本文以筆記本電腦終端為例,探討終端如何通過可分離的外置通信模塊安全地連接專網,開展警務應用,其管控策略和入網控制方案可應用于警用無人機、巡邏機器人等其他主機和通信模塊可分離的移動警務終端。
本文詳細內容請下載:
http://m.jysgc.com/resource/share/2000006253
作者信息:
王志宇1,趙榮輝1,張春慧1,蘇禹2
(1.公安部第一研究所,北京 100048;
2.中國信息安全研究院有限公司,北京 102209)
