曾 勇,馬 睿,汪 超,王營杰,夏海斌,虞 江
(1.中國電科網絡安全科技股份有限公司,四川 成都 610041;2.中國人民解放軍聯勤保障部隊,湖北 武漢 430010;3.中國人民解放軍93501 部隊,北京 100061)
0 引言
移動辦公越來越得到企事業單位的重視,已成為現代辦公的一種重要手段。但移動辦公面臨著假冒身份、非法接入、越權訪問以及信息泄密等安全風險,直接威脅移動辦公業務和數據的安全。傳統的安全解決辦法是以移動辦公系統為中心,在企業邊界上設置隔離認證區進行認證與訪問控制,把具有內、外網互聯需求的網絡劃分為內部網絡和外部網絡,認定內網是可信域[1]。隨著移動通信網絡的高速發展、移動智能終端性能的迅速提高和移動辦公技術的不斷更新,現代移動辦公與傳統移動辦公相比,出現了許多新的特點,主要表現在以下幾個方面:
一是由固定方式向移動化的辦公方式的改變[2],參與者從企業內部人員向企業外部協作人員外延,辦公系統的業務和數據逐步向云上遷移,導致移動辦公已打破傳統的企業物理邊界。
二是來自企業外部,特別是以零日攻擊(Zero Day,0Day)、高級長期威脅(Advanced Persistent Threat,APT)為代表的高級攻擊防不勝防。
三是企業內部缺乏足夠的安全訪問控制,往往因為非授權訪問、員工犯錯等原因,導致“合法用戶”可以越權訪問特定的業務和數據資源。
因此,現代的移動辦公網絡邊界已被打破,傳統的安全解決辦法已不再適用于現代移動辦公的安全需要。2010 年,John Kindervag 提出了零信任網絡的概念,其能夠在不依賴網絡傳輸層物理安全機制的前提下,有效保護網絡通信和業務訪問[3]。零信任網絡的宗旨是不再自動信任網絡內部和外部的任何人、事、物,在授權前對人、事、物都需要進行驗證[4],采取以用戶身份為中心,先認證后連接、動態授權和信息加密傳輸的安全設計,實現網絡通信和業務訪問安全。零信任網絡可有效解決基于網絡邊界防護的安全架構失效問題[5],業界研究人員也進行了大量的研究工作[6-10]。本文基于零信任網絡架構,研究適合移動辦公系統的身份認證及訪問控制機制,解決現代移動辦公系統中業務訪問面臨的安全問題。
1 零信任網絡
1.1 架構模型
零信任網絡架構模型分為控制平面和數據平面[1-2],如圖1 所示。
1.1.1 控制平面
控制平面包括多源輸入和策略判定。多源輸入包括身份管理系統、設備管理系統、安全管理系統、監測系統、風險分析、數據訪問策略和證書系統等,策略判定包括策略引擎和控制引擎。多源輸入為內嵌在控制平面內的信任評估算法提供輸入參數,策略引擎獲得信任評估算法評估結果并生成訪問策略,控制引擎提供訪問數據平面的控制權。
1.1.2 數據平面
數據平面包括用戶終端、安全代理和業務應用。用戶終端作為用戶訪問業務應用的操作平臺,業務應用的系統、數據等資源集中部署于業務應用服務器,安全代理部署在用戶終端與業務應用之間,為用戶訪問業務應用提供代理服務。
1.2 技術原理
零信任網絡打破現有網絡安全防護對內部網絡信任的理念,默認內部網絡與外部網絡一樣,都是不可信任和不安全的,對網絡中的任何人、任何設備、任何系統、任何應用進行的任何連接,都需要進行認證和根據當前狀態動態授權,實現訪問控制。從以系統為中心的安全防護轉變為以身份為中心的安全防護,對業務的訪問把現有的先連接后認證模式轉變為先認證后連接的新模式,即所有設備、用戶和應用的業務訪問都采用認證、授權和加密傳輸。具體實施原理如下:控制平面的信任評估算法利用多源輸入信息,計算獲得用戶的信任評估值和生成訪問策略;控制引擎根據策略引擎獲得的信任評估值和訪問策略,判定用戶是否可以訪問數據平面,并通知數據平面的安全代理;安全代理開啟用戶終端訪問業務應用的通道,用戶終端利用開啟的通道實現業務應用的訪問。
2 安全訪問機制
2.1 系統組成
移動辦公系統組成如圖2 所示,由終端區、安全控制區和辦公業務區組成,終端區包含手機、平板和筆記本電腦等各類移動終端設備,移動終端設備安裝有終端安全套件,終端安全套件可為移動終端提供安全保密服務,利用4G/5G/Wi-Fi 等無線網絡借助互聯網接入安全控制區,通過安全控制區實現對辦公業務區的訪問。其中,安全控制區包含動態信任評估系統、安全網關等設備,辦公業務區包含各類辦公應用服務器等設備。
圖2 移動辦公系統組成
2.2 工作原理
(1)移動終端通過系統注冊時約定的“敲門端口”,與動態信任評估系統之間建立連接,發送認證申請(簽名)給動態信任評估系統。
(2)動態信任評估系統,基于簽名和驗簽機制,對移動終端發送的認證申請簽名進行驗簽,辨識移動終端的身份合法性,從而實現身份認證。在認證過程中,基于移動終端的安全屬性、設備屬性等進行新一輪的信任評估,評估結果若不能達到信任評估要求,則動態信任評估系統就不能通過對移動終端的身份認證,按“放棄且不回應”原則丟棄移動終端的認證申請。
(3)通過身份認證的移動終端,由動態信任評估系統生成認證令牌和訪問控制安全策略(按需授權),同時分配一個安全網關的端口,移動終端通過該端口可與安全網關連接通信。一方面,動態信任評估系統把這些信息發送給安全網關;另一方面,動態信任評估系統對這些信息簽名,作為移動終端認證申請的響應信息,并反饋給移動終端。
(4)安全網關接收到動態信任評估系統發送的信息后,打開分配的安全網關端口(超時自動關閉),等待移動終端連接訪問。
(5)移動終端接收動態信任評估系統反饋的信息后,基于簽名和驗簽機制,對動態信任評估系統反饋的認證申請響應信息的簽名進行驗簽,辨識動態信任評估系統的身份合法性,從而實現身份認證;根據認證令牌、訪問控制安全策略和擬訪問辦公業務區的資源信息,生成訪問計劃;利用分配的安全網關的端口與安全網關建立連接,發送訪問計劃(簽名)給安全網關。
(6)安全網關利用認證令牌完成對移動終端的身份驗證,不能通過身份認證時,按“放棄且不回應”原則,不給移動終端反饋信息;通過認證后,給移動終端分配訪問辦公應用的地址及端口,生成訪問計劃的應答信息(簽名),并反饋給移動終端。
(7)移動終端接收安全網關反饋信息后,基于簽名和驗簽機制,對安全網關反饋的訪問計劃的應答信息的簽名進行驗簽,辨識安全網關的身份合法性,從而實現身份認證,同時獲得訪問辦公應用的地址及端口。
(8)移動終端借助安全網關,利用訪問辦公應用的地址及端口等信息與辦公業務區的辦公應用建立安全通道,實現對辦公應用的資源訪問。
2.3 安全訪問機制設計
基于零信任網絡架構進行安全訪問機制設計,主要體現在如下幾個方面:
(1)采用先認證后連接的安全策略。在移動終端與辦公應用之間建立訪問連接前,移動終端需通過動態信任評估系統、安全網關的兩次身份認證,認證通過方能建立訪問連接,否則無法連接辦公應用。移動終端與動態信任評估系統、安全網關之間采用雙向認證機制,實現身份的互 認證。
(2)建立動態信任評估機制[1],實行動態授權。動態信任評估系統利用信任評估算法,根據移動終端當前包括的用戶信息、位置、設備狀態、訪問信息、用戶行為等安全屬性和設備屬性,對移動終端信任值進行動態評估,實時調整移動終端的訪問控制安全策略,實現對移動終端的動態授權。信任評估算法計算獲得新的信任值,與對應基準值(動態變化)進行比較,結合所要訪問業務應用的屬性進行最終的判斷,確定用戶終端是否可以訪問辦公 應用。
(3)系統資源采用隱身機制,構建多重防線。移動終端與辦公應用之間建立三重防線。移動終端只有知道“敲門端口”才能訪問動態信任評估系統,構建第一重防線;移動終端只有知道動態信任評估系統分配的安全網關端口才能連接訪問安全網關,構建第二重防線;移動終端只有知道安全網關分配的辦公應用地址及端口才能訪問辦公應用,構建第三重防線。
(4)基于密碼技術,交互信息加密傳輸。移動終端與動態信任評估系統、安全網關之間交互的信息,包括認證、管理及安全屬性、設備屬性等,采用非對稱密碼機制對信息進行加密傳輸;移動終端與辦公應用之間基于安全套接字層協議(Security Socket Layer,SSL)構建虛擬專用網絡(Virtual Private Network,VPN),并建立遠程安全訪問通道SSL-VPN,進行信息加密傳輸,實現數據機密性、完整性保護和數據來源可認證性保護,確保數據傳輸安全。
3 實施方案
移動辦公系統工作流程分為設備配置和注冊、認證和授權及業務訪問控制三個階段。
3.1 設備配置和注冊
移動終端、動態信任評估系統和安全網關之間的身份認證和交互信息,需要采用非對稱密碼體制實現信息的加密傳輸,因此在系統建設部署時,可通過安全渠道對移動終端、動態信任評估系統、安全網關進行公鑰/私鑰對的設置以及對方公鑰設置,并且動態信任評估系統需要對管理的移動終端和安全網關進行注冊,注冊信息包括設備ID 號、用戶信息、用戶終端狀態、用戶與用戶終端綁定關系、用戶“敲門端口”號、根據用戶終端認證請求信息進行初次信任評估的評估值等。
3.2 認證和授權
設備配置和注冊后,移動終端與動態信任評估系統之間進行身份互認,并由動態信任評估系統定制移動終端的訪問控制安全策略,認證和授權流程如圖3 所示。
圖3 認證和授權流程
(1)身份認證。移動終端與動態信任評估系統之間,通過對對方的簽名進行驗簽,實現彼此的身份認證。
(2)隱身動態信任評估系統。動態信任評估系統訪問端口處于“關閉”狀態,用戶終端只有通過“敲門端口”才能與動態信任評估系統建立連接,丟棄不回應無效訪問信息包數據。
(3)動態信任評估。動態信任評估系統根據移動終端當前安全狀態信息,利用信任評估算法重新評估移動終端的信任值,根據評估值最終確定是否通過身份驗證,并生成移動終端訪問辦公應用的訪問控制安全策略。
(4)數據加密傳輸。移動終端與動態信任評估系統、動態信任評估系統與安全網關之間的數據傳輸,利用對方的公鑰對發送數據加密,利用己方的私鑰對接收數據解密,實現彼此之間交互數據安全傳輸。
3.3 業務訪問控制
在完成移動終端認證和授權的基礎上,移動終端與安全網關進行身份認證,并從安全網關獲得訪問辦公應用的地址及端口,最終實現業務訪問,業務訪問控制流程如圖4 所示。
圖4 業務訪問控制流程
(1)身份認證。利用用戶終端的訪問令牌信息,實現安全訪問網關對移動終端的身份認證;通過對安全網關的簽名進行驗簽,實現用戶終端對安全網關的身份認證。
(2)隱身安全網關。“關閉”安全網關訪問端口,用戶終端只能通過認證和授權過程中由動態信任評估系統分配的安全網關訪問端口,與安全網關建立連接,丟棄不回應無效訪問信息包數據。
(3)隱身辦公應用。用戶終端只能通過安全網關分配的辦公應用地址及端口與辦公應用之間建立連接通信。
(4)數據安全傳輸。移動終端與安全網關利用對方的公鑰對發送數據加密,利用己方的私鑰對接收數據解密,實現彼此之間交互數據安全傳輸;移動終端與辦公應用之間建立SSL-VPN安全通道,實現業務數據的安全傳輸。
3.4 安全性分析
本文對先認證后連接、身份認證、動態授權、資源隱身和數據加密傳輸五個方面進行了安全設計,可有效滿足零信任網絡移動辦公系統的安全需求。其安全性分析如下:
(1)先認證后連接。移動終端只有通過身份認證,方能獲得訪問辦公應用的地址和端口,防止未通過認證的移動終端連接訪問辦公應用,確保先認證后連接,有效規避非法用戶終端、0Day 病毒、APT 等惡意攻擊。
(2)兩次身份認證。通過對移動終端進行兩次身份認證設計,動態信任評估系統、安全網關分別對移動終端進行身份雙向識別,確保移動終端身份的合法性,防止非法終端接入。
(3)動態授權。通過動態信任評估系統對需要認證的移動終端進行信任評估設計,可按需向移動終端授權,動態調整訪問控制安全策略,可實現細粒度的權限控制,可有效避免移動終端權限過時和過度授予。
(4)資源隱身。通過三重防線設計,對系統資源進行隱身。在移動終端和動態信任評估系統、安全網關、辦公應用之間采用“專用”端口連接和采用丟棄不回應非法數據包策略,可有效減輕利用端口進行惡意攻擊,從而確保動態信任評估系統、安全網關、辦公應用等資源安全。
(5)數據加密傳輸。通過采用非對稱算法對控制平面數據加密、采用對稱算法對數據平面數據加密設計,在確保信息安全傳輸的同時,還提高了業務數據的加解密效率。
4 系統優勢
本文提出的系統的優勢如下文所述。
(1)有效解決現有辦公系統安全防護短板問題。移動辦公系統已打破傳統的網絡邊界,以邊界構建安全防護體系不再適用;默認內部網絡為可信域,無法控制內部人員越權訪問等安全問題;先連接后認證的應用模式,不能有效規避包括0Day、APT 等在內的各種高級網絡攻擊。針對以上問題,可采用基于零信任的移動辦公身份認證及訪問控制技術,構建移動辦公系統的新型安全防御體系。
(2)提升移動辦公系統的抗網絡攻擊能力。通過對移動終端的兩次身份雙向認證、關閉端口隱身網絡資源和非法訪問不予回應的安全設計,相對于利用訪問憑據訪問移動辦公系統的傳統方式,可有效杜絕利用端口掃描進行網絡攻擊,提升網絡安全防護能力。
(3)增強移動辦公系統的業務及數據安全。基于移動終端的安全屬性、辦公系統的數據屬性和訪問主體屬性,對移動終端的信任值采取動態信任評估、動態授權,可對用戶進行精細化的授權管理,降低辦公系統業務及數據泄露風險,從而保證移動辦公系統的業務及數據安全。
5 結語
本文提出的基于零信任的移動辦公身份認證及訪問控制技術,實現了零信任體系提供以身份為基石的業務安全訪問、持續信任評估和動態訪問控制[5]等關鍵能力,滿足零信任網絡的安全防護要求,可有效指導具有內、外網互聯需求的企業建設安全的移動辦公等業務網絡,特別適用于移動通信、云計算等場景應用。零信任網絡是未來業務應用的發展趨勢,但對傳統網絡邊界安全防護機制的打破不是一蹴而就的[10],同時也不能完全放棄已有的網絡安全技術而另起爐灶[1],需要與現有網絡安全技術如身份認證、訪問控制等和現有產品有機結合,穩步有序推動零信任網絡的實用化進程。
