基于零信任理念的铁路智能移动终端管控平台关键技术研究.pdf

1、基于零信任理念的铁路智能移动终端管控平台关键技术研究侯昱辉，李宏宇，梁建辉，刘润福，何靖刚（中国铁路兰州局集团有限公司信息技术所，兰州730000）摘要：为应对铁路日益增长的网络安全威胁和数据泄露风险，构建基于零信任理念的铁路智能移动终端管控平台。阐述平台的整体架构，研究端口隐身、持续认证和数据隔离等关键技术，为铁路智能移动终端提供精确的访问控制和全面的终端安全防护。该平台已应用于中国铁路兰州局集团有限公司，显著提升了其对智能移动终端的安全防护能力和管理水平。关键词：零信任；智能移动终端；端口隐身；持续认证；数据隔离中图分类号：U285.43:TP393文献标识码：ADOI：10.3969/j

2、.issn.1005-8451.2023.11.13Key technologies of railway intelligent mobile terminal control platformbased on zero trust conceptHOUYuhui，LIHongyu，LIANGJianhui，LIURunfu，HEJinggang(InstituteofInformationTechnology,ChinaRailwayLanzhouGroupCo.Ltd.,Lanzhou730000,China)Abstract:Inordertoaddressthegrowingnetw

3、orksecuritythreatsanddataleakagerisksofrailways,thispaperconstructedarailwayintelligentmobileterminalcontrolplatformbasedonthezerotrustconcept.Thepaperelaboratedontheoverallarchitectureoftheplatform,studiedkeytechnologiessuchasportstealth,continuouscertification,anddata isolation,which provided prec

4、ise access control and comprehensive terminal security protection for railwayintelligentmobileterminals.ThisplatformhasbeenappliedtoChinaRailwayLanzhouGroupCo.Ltd.,itsignificantlyimproveditssecurityprotectionabilityandmanagementlevelforintelligentmobileterminals.Keywords:zerotrust；intelligentmobilet

5、erminal；portstealth；continuouscertification；dataisolation随着智能移动终端的普及，移动办公技术在各行各业得到广泛应用，铁路行业紧跟时代步伐，在推动移动办公应用落地方面已取得一定进展。与此同时，铁路各业务系统端口的暴露数量急剧增加，粗粒度访问控制和智能移动终端数据泄露等安全挑战也随之而来1-2。在铁路行业传统的网络架构中，网络边界作为外部非安全网络和内部安全网络的分界线，通常采用防火墙、入侵检测系统和入侵防御系统来保证其安全性。白生江3提出主动型军用网络边界防护系统，通过防火墙、入侵防御系统、蜜罐等安全产品间的联动，促进军用网络安全稳定运行

6、，但会导致端口暴露，形成明显的攻击面4；许文渊5提出采用虚拟专用网络（VPN，VirtualPrivateNetwork）的接入认证及授权方式，实现铁路数据通信网络管理（简称：网管）复示终端与网管服务器端的可信任安全加密通信，但仍存在粗粒度访问控制的问题；储小宝6设计并实现智能移动终端敏感信息安全防护系统，但存在不同系统间适配困难的问题。综上所述，传统的网络边界管理模式已无法满足数字时代的需求7。基于上述问题，本文构建基于零信任理念的铁路智能移动终端管控平台，研究如何利用零信任理念应对铁路系统中智能移动终端带来的网络安全挑战，确保智能移动终端在铁路网络中的安全接入和受控使用，增强铁路信息系统的

7、安全性和稳定性。收稿日期：2023-07-31基金项目：2023 年度中国铁路兰州局集团有限公司科技研究开发计划（lzjky2023-082-1）作者简介：侯昱辉，助理工程师；李宏宇，助理工程师。第32卷 第11期Vol.32 No.11应用实践Application Practice文章编号：1005-8451（2023）11-0063-05RCA2023.11 总第 320 期631 铁路智能移动终端管控平台1.1 零信任理念概述2004 年，耶利哥论坛（JerichoForum）成立，并提出零信任的初步框架。随后，John 正式提出“零信任”理念8。其核心思想是“从不信任”，无实体边界概

8、念，在用户访问资源的整个流程中，始终保持持续认证状态，进行实时动态访问控制。目前，零信任理念在国内外已得到广泛认可和应用。2017 年，Google 公司完成基于零信任理念的BeyondCorp 项目。2021 年，中国电子工业标准化技术协会发布国内首个零信任技术实现标准T/CESA1165-2021零信任系统技术规范团体标准9。1.2 平台设计理念铁路智能移动终端管控平台以零信任理念为理论基础，以美国国家标准与技术研究院（NIST，NationalInstituteofStandardsandTechnology）的零信任架构为理论架构10，以软件定义边界（SDP，Software-Defi

9、nedPerimeter）和统一终端管理（UEM，UnifiedEndpointManagement）为技术架构11，实现了用户访问业务场景的安全接入和受控使用。1.3 平台架构铁路智能移动终端管控平台包含客户端和服务端 2 部分，其中，服务端包含零信任控制中心和零信任代理网关。通过建立动态的、基于身份验证的安全边界，仅允许经过验证的用户和设备访问资源，增强网络安全性。铁路智能移动终端管控平台架构如图 1 所示。企业资源终端设备零信任控制中心SPA 敲门SSL 隧道环境检测可信应用数据隔离零信任代理网关SPA服务隐身SSL隧道策略执行开放API用户管理终端管理应用管理自适应认证策略引擎7层 W

10、EB 代理4层 TCP 代理3层 IP 代理策略管理持续认证机制SPA服务隐身策略下发状态收集策略下发状态收集配置下发访问鉴权4A统一安全管理平台云端应用本地应用AD/LDAP活动目录/轻量目录访问协议客户端服务端企业身份基础设施图1铁路智能移动终端管控平台架构1.3.1客户端客户端等同于 SDP 中的连接发起主机（IH，InitialHost），负责与控制中心进行连接并验证身份，与代理网关创建双向加密连接，具有单包授权（SPA，SinglePacketAuthorization）敲门、安全套接层（SSL，SecureSocketsLayer）隧道接入、终端环境检测、可信应用识别、数据隔离等功

11、能。客户端用户可使用主流操作系统的终端设备。1.3.2服务端1.3.2.1零信任控制中心零信任控制中心可被看作是 SDP 中的控制器（Controller），负责访问授权的最终决策，通过对客户端下发策略，可收集其状态信息，具有用户管理、终端管理、应用管理、策略管理、自适应认证、持续认证机制和策略引擎管理等控制功能，以上功能通过 SPA 服务隐身。UEM 技术架构负责终端设备的全面管理和控制，包括设备配置、应用程序管理、数据保护等功能，确保智能移动终端接入的安全性和合规性。除此之外，控制中心的开放应用程序编程接口（API，应用实践2023年11月RCA642023.11 总第 320 期Appl

12、icationProgrammingInterface）可与业务系统中现有的企业身份基础设施进行对接和同步，如统一安全管理平台解决方案（4A）和活动目录/轻量目录访问协议（AD/LDAP，ActiveDirectory/LightweightDirectoryAccessProtocol）。1.3.2.2零信任代理网关零信任代理网关相当于 SDP 中的连接接受主机（AH，AcceptHost），负责执行控制中心的授权决策，通常以逻辑串联的方式部署在企业资源前端，实现业务资源暴露面整体收缩。外部用户、终端无法直接访问到企业资源，需要通过控制中心严格的身份认证和授权决策，再由代理网关通过加密传输代

13、理访问。零信任代理网关支持多种访问协议代理，包 括：7 层 Web 代 理、4 层 TCP（TransmissionControlProtocol）代理和 3 层 IP 代理。2 关键技术2.1 端口隐身技术端口隐身技术作为一种保护设备关键端口的方式，是 SDP 的核心功能，通过端口敲门（PK，PortKnocking）、SPA 技术等“先认证，后连接”的方式，解决“先连接，后认证”的传统接入控制方式下，端口暴露的问题，使得端口隐藏在网络中，以达到保护业务系统的目的。本文采用端口隐身技术中的 SPA 技术，对连接服务器的所有数据包进行认证授权，认证通过后服务器才会响应连接请求，且无法直接从互联

14、网上连接和扫描，从而实现业务服务隐身，避免 PK 技术中攻击者通过监测客户端流量推测出正确敲门顺序的缺 陷。SPA 技 术 有 基 于 用 户 数 据 报 协 议 的 SPA（UDP-based SPA，User Datagram Protocol-basedSPA）、基于传输控制协议的 SPA（TCP-basedSPA，Transmission Control Protocol-based SPA）和 UDP+TCPSPA3 种技术路线，本文使用的是 UDP+TCPSPA 技术路线，该技术路线结合了另 2 种技术路线的优点。用户访问前，客户端需向服务端发送含有身份凭证的 UDPSPA 敲门包

15、，身份凭证中包含管理员分发给用户的专属安全码，管理员可在将用户与安全码绑定的同时，给安全码设置有效期，满足运营维护人员的临时接入需求，进一步提升用户接入的安全性。验证身份成功后，服务端更新本地防火墙规则，开放短时间窗口，允许指定源 IP 对设备 TCP 端口的访问，在后续的连接建立过程中，参照 TCPSPA 流程完成传输层安全性协议（TLS，TransportLayerSecurity）协商。UDP+TCPSPA 时序图如图 2 所示。UDP 端口TCP 端口（1）发送DTLS SPA敲门包请求建立连接针对客户端请求的确认应答，并请求建立连接针对服务端请求的确认应答（5）客户端发出请求（扩展字

16、段中携带SPA敲门包）服务端回应客户端回应服务端再次回应断开连接UDP SPATCP SPA（2）SPA包验证（6）SPA包验证（3）验证通过，更新本地防火墙规则，允许临时访问TCP端口（7）建立TLS连接，传输业务数据（4）TCP 握手SPA验证通过，完成TLS协商SPA验证失败，断开连接临时开放，短时间窗口内允许连接，到期自动关闭零信任客户端零信任服务端图2UDP+TCPSPA 时序图（1）客户端向服务端提前发送 DTLS 格式的UDPSPA 敲门包，敲门包中 Payload 内容包含用户个人安全码、随机数、时间戳和终端设备 MAC 地址等；第32卷 第11期侯昱辉等：基于零信任理念的铁路

17、智能移动终端管控平台关键技术研究应用实践RCA2023.11 总第 320 期65（2）服务端接收 UDPSPA 敲门包后，验证敲门包格式是否正确，若正确，则对 Payload 进行解密及验证，否则直接丢弃；（3）验证通过后，服务端更新设备本地防火墙规则，对合法设备的源 IP 临时（如 60s）开放 TCP端口访问权限；（4）客户端发起与零信任代理网关 TCP 的连接请求，通过 TCP三次握手后，成功建立 TCP 连接；（5）客户端发起 TLS 协商，扩展字段中携带SPA 敲门包；（6）服务端从扩展字段中解析出 SPA 敲门包，对 Payload 进行解密及验证；（7）验证通过后，成功完成 T

18、LS 协商，建立SSL 加密传输隧道，开始传输业务数据。2.2 持续认证技术本文采用持续认证技术对访问业务系统的用户进行权限控制，支持基于用户的访问环境属性、身份属性、行为属性、设备属性的综合分析，当认证通过时，铁路智能移动终端管控平台授权用户访问业务系统资源，反之则阻断访问。通过动态调整用户访问权限12，确保业务系统面对风险时可及时调整权限、抵御风险。一定程度上解决传统静态权限控制技术存在的用户访问权限缺乏灵活性的问题。若上述某一用户属性发生变化，则需重新建立信任到授权访问这一过程13，从而达到持续认证的效果，持续认证机制如图 3 所示。图3持续认证机制2.3 数据隔离及加密技术2.3.1数

19、据隔离技术数据隔离技术是一种阻止未经授权用户访问敏感数据的安全措施。本文应用数据隔离技术后，可在不同系统的终端设备上创建一个或多个与本地环境逻辑隔离的安全工作空间。数据在写入磁盘时被自动加密存储在数据隔离存储区，空间内应用程序读取数据时自动进行解密。该技术为工作空间中运行的软件或应用提供 SSL 通信加密、写入数据加密、剪切板拷贝控制和屏幕水印等数据保护功能。2.3.2双密钥机制加密技术数据隔离存储区内的数据通过双密钥机制加密，比传统的单密钥更为安全可靠。双密钥由用户密钥和文件密钥组成，使用该机制进行加密，即使在不同时间传输相同数据，加密后密文也不相同。一旦数据隔离存储区被攻破，攻击者只能拿到

20、加密后的数据，显著提升数据的安全性。2.3.2.1创建密钥用户密钥在服务端创建用户时，由 GUID 随机算法基于服务端硬件设备信息生成14，具有唯一性。为保证用户密钥的安全，用户密钥只保存在服务端数据库，不存储在客户端，用户每次登录时均须从服务端获取用户密钥。文件密钥与用户密钥类似，作为数据的加密密钥，在数据隔离存储区内写入数据时，由 GUID 随机算法基于终端硬件信息生成，也具有唯一性。2.3.2.2加密及解密流程（1）加密流程根据当前创建的文件，生成文件密钥，为保护文件密钥不被明文获取，使用用户密钥对文件密钥进行对称加密，生成加密后的文件密钥，并将其保存在文件头部的偏移区中，双密钥机制加密

21、流程如图 4 所示。文件内容（明文）创建文件使用用户密钥加密使用文件密钥加密加密文件文件密钥文件密钥用户密钥1.写入文件密钥密文2.写入文件内容密文文件密钥（密文）文件内容（密文）写入文件头追加写入生成文件密钥图4双密钥机制加密流程示意（2）解密流程从文件头部获取加密后的文件密钥，使用用户密钥对其进行解密，还原出文件密钥，再使用文件密钥对数据进行解密。应用实践2023年11月RCA662023.11 总第 320 期3 应用效果基于零信任理念的铁路智能移动终端管控平台已在中国铁路兰州局集团有限公司（简称：兰州局）投入使用。该平台先后接入财务共享服务管理信息系统、兰铁新视界融媒体平台、红杉树视频

22、会议等业务系统，在兰州局的业务运营和信息安全方面取得良好的应用效果，后续将进一步扩大应用范围，具体应用效果如下。3.1 收缩业务系统互联网暴露面铁路智能移动终端管控平台采用端口隐身技术和持续认证技术，严格控制智能移动终端的访问权限，确保只有经过身份验证和授权的设备才能访问业务系统。上述举措有效收缩潜在的网络暴露面，防范未经授权的访问，降低恶意入侵的风险。3.2 增强数据保护能力铁路智能移动终端管控平台针对数据进行加密传输和存储，防止敏感数据在传输和存储过程中遭受窃取和篡改，增强数据保护能力，为兰州局重要信息的保密性和完整性提供了有效保障。3.3 提高业务效率在铁路智能移动终端管控平台投入使用前

23、，客户端用户登录不同业务系统时，需进行多次身份认证。该平台的应用使得用户仅需登录一次，即可顺利访问授权的各个业务系统，更加高效地远程访问业务系统资源，显著提高业务效率。3.4 简化综合管理铁路智能移动终端管控平台的应用，简化了对智能移动终端的综合管理。通过该平台，管理员可集中管理终端和用户权限，实现添加、删除或修改访问权限等功能，并应用全局策略，简化管理流程，实现对智能移动终端的精细化管理。4 结束语本文结合零信任理念，设计了铁路智能移动终端管控平台，阐述了平台架构和关键技术，并对该平台在兰州局的应用效果进行深入探讨。该平台实现了对铁路智能移动终端的安全管控，有效地解决了铁路行业面临的智能移动

24、终端安全接入和受控使用的问题，对建设网络安全综合防御体系具有一定的参考价值。在未来的研究和探索中，还将针对零信任理念、信任评估实时性与控制精度、信任算法等，进一步开展应用实践和技术创新。参考文献张宇，张妍.零信任研究综述 J.信息安全研究，2020，6（7）：608-614.1陈飔，李兴新，侯玉华.面向政企移动办公的信创云手机产品解决方案 J.邮电设计技术，2023（8）：5-8.2白生江.主动型军用网络边界防护系统研究 D.西安：西安电子科技大学，2010.3张涛，高建，黎臻，等.基于零信任架构的安全网关设计 J.网络安全技术与应用，2023（6）：2-4.4许文渊.基于 SSLVPN 协议

25、的客户端安全接入应用 J.铁路通信信号工程技术，2022，19（2）：35-37，50.5储小宝.基于 Android 系统的移动智能终端敏感信息保护技术研究与实现 D.北京：北京邮电大学，2015.6邹凯.从关基保护角度看政企网络边界安全管理 J.中国信息安全，2022（9）：62.7JohnKindervag.BuildSecurityintoYourNetworksDNA:TheZeroTrustNetworkArchitectureEB/OL.(2021-06-24)2023-07-31.https:/ SDP 部署方案研究 J.铁路计算机应用，2022，31（11）：41-47.11

26、张泽洲，王鹏.零信任安全架构研究综述 J.保密科学技术，2021（8）：8-16.12诸葛程晨，王群，刘家银，等.零信任网络综述 J.计算机工程与应用，2022，58（22）：12-29.13Ferreira R,Aguiar R,Matos A.Recognizing entities acrossprotocols with unified UUID discovery and asymmetrickeysC/2013 IEEE Global Communications Conference(GLOBECOM),9-13 December,2013,Atlanta,USA.NewYork,USA:IEEE,2013.2902-2908.14责任编辑李依诺第32卷 第11期侯昱辉等：基于零信任理念的铁路智能移动终端管控平台关键技术研究应用实践RCA2023.11 总第 320 期67