资源描述
移动警务系统
处理方案
目 录
目 录 1
1. 引言 3
2. 系统概述 5
2.1. 系统描述 5
2.2. 系统应用形式 6
2.3. 设计标准 6
2.4. 设计依据 7
2.5. 技术路线 8
3. 系统总体架构 9
3.1. 系统组成 9
3.2. 系统总体架构 10
3.3. 系统接入模式 11
3.4. 系统网络拓扑 13
3.5. 系统应用示意 16
4. 系统功效描述 17
4.1. 移动警务安全接入平台 17
4.1.1. 安全体系 17
4.1.2. 安全功效实现 19
4.2. 移动警务应用平台 41
4.2.1. 短消息终端应用 41
4.2.2. GPRS/EDGE/WCDMA在线终端应用 44
4.2.3. 笔记本终端在线应用 57
4.3. 移动警务信息管理平台 57
5. 系统配置清单 59
5.1. 硬件配置清单 59
5.2. 软件配置清单 61
5.3. 设备选型参考表 62
6. 系统建设 64
6.1. 建设模式 64
6.1.1. 公安系统出资建设 64
6.1.2. 运行商出资建设 64
6.1.3. 合作建设模式 64
6.2. 机房建设要求 64
6.2.1. 机房基础要求 64
6.2.2. UPS电源 65
6.2.3. 机房空调 65
6.2.4. 机房防雷 66
6.2.5. 接地系统 66
6.2.6. 消防系统 67
6.3. 实施安排 67
6.3.1. 项目分工 67
6.3.2. 进度安排 68
7. 售后服务 71
7.1. 售后服务承诺 71
7.2. 培训方案 71
7.3. 培训具体安排 71
7.4. 培训相关事宜 72
8. 力扬视讯移动警务系统特点 73
8.1. 安全可靠 73
8.2. 双向协同 73
8.3. 支持多媒体 74
8.4. 应用全方位 74
8.5. 功效积木式 74
附:力扬视讯企业介绍 75
1. 引言
近几年来,伴随科技强警战略实施和“金盾工程”建设开展,各地公安行业在治安、刑侦、交巡警等部门分别建成了各自信息管理系统,这些信息系统建设和应用,提升了公安信息资源综合利用水平,为公安各部门之间实现信息共享提供了数据基础。针对基层民警警务活动含有移动性强、突发性强、任务紧急性强等特点,民警在实战中更多地是在移动状态下来面对不一样警情和大量复杂信息进行综合性分析,所以迫切需要公安信息应用向无线方向延伸。
依据公安在工作中面临问题和现实需求,公安部门早在就建设了一套经过手机短信息进行公安信息查询和传输公安移动警务应用系统,不过伴随计算技术和通信技术发展,和公安业务对新技术手段(图片、图像)应用,现有短信警务系统已经不能满足公安行业日益增加信息查询、上传和多种图片图像资料传输需求。所以,怎样在新形式下,为公安一线民警配置一个便于携带、操作简单又能处理实际问题移动警务信息终端,一线民警工作时可使用手持终端经过GPRS/EDGE/WCDMA网络接入公安信息网,进行警务信息查询、传输和交互,实时对现场数据进行采集、和数据可数据进行比对和对现场事故进行处罚处理等操作,实现民警现场执法取证和源头化管理。提升一线民警工作效率、减轻工作压力,愈加好服务于城市社会管理和交通管理。
同时因为一线民警需要查询和交互警务信息运行于公安信息网中,这就需要民警使用移动终端经过移动公网访问公安信息网公安、车辆信息系统进行信息和数据交互。这么一个数据存取和交互过程将给公安信息系统带来可能隐患:在基于公用移动通信网络民警信息交互过程中,非法用户在能够接收到无线移动信号任何地方全部能够经过公共移动网络提议对公安信息网攻击,无须授权即可使用网络服务,这不仅会占用宝贵无线信道资源,降低正当用户服务质量,而且别有用心人还能够利用这一漏洞进入到公安信息网内部窃取敏感信息,给公安工作增加可怕地隐患和危险。
所以,要实现和满足公安行业移动应用要求,首先要处理好移动设备安全接入和信息安全交互问题。建立符合公安部要求安全接入系统,经过实时在线方法等多个通讯方法和接入方法下,完成终端经过公网接入,实现公安信息网基于GSM/GPRS/EDGE/WCDMA 等公网移动延伸和拓展,可满足警务信息查询、录入需求,完成公安信息综合查询、刑侦信息、交通管理、小区警务等基础警务功效。
本方案将依据国家相关政策、法规和标准、规范,仅仅围绕公安行业移动信息化需求,结合我企业多年来在公安行业移动应用建设积累宝贵经验进行描述,供系统建设单位决议、参考。
2. 系统概述
2.1. 系统描述
公安信息移动接入及应用系统通常称为“警务通”,是公安信息综合业务系统无线延伸,依靠公用移动通信网络(GSM/GPRS/CDMA/3G)为通道,方便于携带手机、PDA、笔记本电脑为终端,经过多媒体(包含文本、图片、语音、视频等数据)形式,在保障安全前提下,实现公安综合业务信息无线沟通和无线传输,使公安信息能够覆盖通常移动通信网络通达任何地方,达成公安部“三A”要求,即:任何地点,任何时间及任何方法全部能够保障信息通畅,是金盾工程关键建设内容之一。
公安信息移动接入及应用系统是科技强警具体表现。系统投资经济、应用广泛,既能够经过支持GPRS/EDGE/WCDMA无线传输功效智能手机、PDA和笔记本电脑,实现实时在线综合查询和业务处理;也能够利用现有装备更换一枚安全手机卡,为每个公安干警提供移动警务信息服务。系统可使公安干警如虎添翼,大大提升工作效率,在维护治安、震慑犯罪、服务百姓等方面发挥巨大作用。
整个系统分为移动警务安全接入平台和移动警务应用平台两部分。技术规范和标准符合公安部下发《公安信息移动接入及应用系统建设技术指导书》和《移动警务B/S应用安全接入规范》要求。
移动警务安全接入平台采取由国家密码管理局同意生产, 由公安部信通局主持,力扬视讯负担研发“SQY42公网移动接入及安全认证系统”。该系统采取国家密码管理局配发公安专用密码算法;采取符合国家商用密码产品标准安全SIM卡、安全智能TF卡、USB安全存放加密卡等终端产品;终端设备可采取一般手机、智能手机、PDA、专用设备、笔记本电脑等。共分为三种接入模式:SQY42-A短消息安全接入系统、SQY42-B GPRS/CDMA安全接入系统、SQY42-C IP安全接入系统。
移动警务应用平台依据公安业务需要确定功效。现在,移动警务关键应用功效包含:公安信息综合查询及业务查询功效、交通违法信息实时录入和处理功效、小区警务功效、治安警务功效、短信群呼和协查通报功效、公安信息公众服务功效、公安信息自动语音查询功效等,其中公安信息综合查询是移动警务必需提供基础功效。整个系统由系统硬件、系统软件和应用软件组成。
2.2. 系统应用形式
1、应用方法:
l 手机短消息应用
l GPRS/EDGE/WCDMA实时在线应用
l 无线笔记本实时在线应用
2、安全接入方法
l 短消息安全接入
l GPRS/EDGE/WCDMA安全接入
l IP 安全接入
3、支持终端类型
l 一般手机
l 智能手机、PDA
l 无线笔记本及上网本
l 车载终端
2.3. 设计标准
n 标准化、规范化标准
系统设计严格遵照公安部、省公安厅相关政策、法规和标准、规范。
n 保密安全性标准
系统设计依据公安部相关要求,建立严格、可靠安全管理机制,确保系统高安全性。
n 稳定高效性标准
系统设计采取优异技术手段和体系架构,确保产品高稳定性和高效性。
n 优异兼容性标准
系统设计充足考虑设备、终端异构性、高中低端需求,能够尽可能多兼容现有设备、终端。
n 便捷可扩展性标准
系统设计便于用户使用,不需要进行长久、复杂培训即可方便应用。同时系统建设要含有一定扩展性,以满足不一样用户个性化需求。
n 统一计划、分步实施标准
系统建设宜采取统一计划,分步实施建设标准。逐步完善、分步实施来完成公安信息应用,以应用带发展,以效益促应用,逐步实现公安信息移动应用多种功效。
2.4. 设计依据
n 《公安信息公网移动接入及应用系统建设技术指导书》及《公安信息移动接入及应用系统建设技术指导书管理暂行要求》(公信通[]541号)
n 《移动警务B/S应用安全接入规范》
n 国家密码管理局《商用密码产品使用管理要求》(第8号文)
n 《金盾工程总体方案设计》
n 《金盾工程安全保障体系总体设计方案》
n 《公安部综合查询系统建设任务书》
n 《公网(GPRS/CDMA)移动应用信息系统试点项目实施方案》
n 《公网(GPRS/CDMA)移动应用信息系统试点建设任务书》
n 公安部69号令《道路交通安全违法行为处理程序要求》
n 公安部111号令《机动车驾驶证申领和使用要求》
n 公安部72号令《机动车登记要求》
2.5. 技术路线
n 系统采取了基于SOA架构web service和移动VPN技术相结合第三代移动访问技术,使得系统安全性和交互能力有了极大提升。
n 系统同时融合了无线接入、身份认证、信息加密等多个移动通讯、信息处理和计算机网络最新前沿技术,以专网和无线通讯技术为依靠,为一线值勤警务执法人员提供了一个跨业务数据库、跨地理阻隔现代化移动办公机制。
n 建立全方位、多层次安全服务体系,确保系统身份认证、访问控制、信息安全、网络隔离、日志审计、病毒防范和系统管理安全机制。
n 采取多层应用体系结构,采取中间件、组件等优异技术来进行移动终端应用程序、接入系统管理平台、后台信息交换系统建设。
n 含有丰富移动接入终端支持,提供通用一般手机、智能手机、PDA、笔记本等多个模式警务通应用。
n 系统严格根据《公安信息公网移动接入及应用系统建设技术指导书》、《公安信息移动接入及应用系统建设技术指导书管理暂行要求》及《移动警务B/S应用安全接入规范》进行设计,采取通用标准和接口规范,可无缝集成不一样厂商应用系统,含有良好扩展性和兼容性。
3. 系统总体架构
3.1. 系统组成
移动警务安全接入及应用系统由移动终端、移动通信网、移动接入区、安全隔离区、公安信息网等五大部分组成。
图3.1 移动警务安全接入及应用系统组成示意图
移动终端:包含一般手机、智能手机、含有无线功效PDA、便携电脑、车载移动设备等可移动终端;
移动通信网:采取基础运行商GSM/GPRS/EDGE/WCDMA移动通信网络;
移动接入区:由移动接入服务平台和移动应用服务平台组成,实现移动安全接入及移动应用服务;
安全隔离区:是采取经国家保密部门认证并由公安部相关部门同意使用安全隔离产品;
公安信息网:为移动应用提供信息和服务支持。
3.2. 系统总体架构
图3.2 移动警务安全接入及应用系统总体架构
第一层是终端接入层:包含公安信息移动应用所使用一般手机、智能手机、PDA、车载移动设备、便携电脑等多种移动终端设备。
第二层是移动通信网络:采取基础运行商GSM/GPRS/EDGE/WCDMA移动通信网络。
第三层是移动接入服务平台,负责警务移动终端安全接入,同时将移动终端多种业务请求传输到接入网应用服务平台,并转换成网络安全隔离设备要求数据格式,提交给网络安全隔离设备,进入公安内网应用服务平台实现直接访问服务,同时还提供身份验证、安全审计、防病毒、入侵检测等网络安全服务。
第四层是放在移动接入网内移动应用服务平台,在网络安全隔离层外,由网络安全隔离数据接口、移动接入服务平台数据接口、统一移动终端验证、用户身份认证代理、数据包封装/解析、会话管理、安全审计、数据接口、服务接口、系统管理等功效模块组成,负责处理来自移动接入平台移动应用请求转递和应答。
第五层是网络安全隔离层,它使得公安信息网和移动接入网在任何一个时刻全部不会直接相互连接。它在实现公安信息网和移动接入网隔离同时,还负责公安信息网和移动接入网之间数据传输和转发。
第六层是放在公安信息网内移动应用服务平台和移动数据同时模块。在网络安全隔离层内,移动应用服务平台响应并处理来自移动接入网移动应用请求,移动数据同时模块向外网应用数据库提供数据。移动应用服务平台依靠各类公安信息应用系统,共同完成多种移动业务处理。公安信息移动接入及应用系统也可经过请求服务或数据接口方法取得公安信息网内已经有应用系统服务支持。
第七层是应用支撑平台,它是面向应用程序,是为应用系统提供运行环境。应用支撑平台中认证系统对用户提供统一认证,实现一点登录全网漫游。
第八层是系统运行环境:包含计算机网络、主机、数据库、应用中间件环境,它为公安公网移动接入及应用系统提供了物理上确保。
图中左、右、中三部分分别为安全保障体系、运行管理体系和标准规范体系,它们一直贯穿于该图各个层面。对各层面访问操作、运行管理、开发设计进行有效控制和规范,确保和维护各个层次正常有序地工作。
3.3. 系统接入模式
A模式:移动应用所需数据放在移动接入网内,移动终端只能访问移动接入网内数据,移动接入网数据经过数据同时更新机制完成数据更新;该模式有很好系统响应性能,但因为移动接入网内数据库和公安信息网内数据库之间要经过网络安全隔离设备定时刷新、同时,所以数据新鲜度和应用范围受到影响。
图3.3 A模式应用示意图
B模式:移动应用所需数据放在公安信息网内,移动终端经过访问移动接入网内应用代理服务器,取得数据服务;应用代理服务器经过网络隔离设备访问公安信息网;该模式提供信息新鲜度比较高,应用范围大,它实时获取公安信息网内数据,经过移动终端采集到业务数据也能够立即提交到公安信息网内数据库,但因为全部请求和结果全部要经过中间代理服务器和网络安全隔离设备转发,所以,对系统响应性能有影响。
图3.4 B模式应用示意图
综合考虑系统响应性能和数据新鲜度和应用范围,本系统建设中应将A、B两种接入模式组合使用,通常查询类使用A模式,如综合查询等业务,所需数据放在设置于移动接入网内数据库服务器中,终端可直接访问接入区内数据,有很好系统响应性能;考虑到业务处理时对实时性要求,对业务处理类应用使用B模式:应用所需数据放在公安信息网内,终端经过访问接入区内应用代理服务器,取得数据服务,应用代理服务器经过网络隔离设备访问公安信息网。这种模式提供信息新鲜度比较高,应用范围广,它实时获取公安信息网内数据,经过终端采集到业务数据也能够立即提交到公安信息网内数据库,但因为全部请求和结果全部要经过中间代理服务器和网络安全隔离设备转发,所以,对系统响应性能稍有影响。
3.4. 系统网络拓扑
依据《公安信息公网移动接入及应用系统建设技术指导书》及《公安信息移动接入及应用系统建设技术指导书管理暂行要求》(公信通[]541号)、《移动警务B/S应用安全接入规范》,公安移动警务安全接入及应用系统网络拓扑结构以下图所表示:
图3.5 移动警务安全接入及应用系统网络拓扑
由上图能够看出,移动警务安全接入和应用系统由移动接入终端、移动通信网络、安全接入区、安全隔离区和公安信息网等五大部分组成。
移动警务安全接入和应用设备包含移动终端和安全组件(安全SIM卡、安全智能TF卡、USB安全存放加密卡、车载密码卡)、防火墙、接入网关群组、B/S应用管理系统、B/S应用代理系统、设备证书管理中心、判别评定管理系统、隔离网闸、监控管理探针、监控管理和级联络统、移动应用服务器群组和数据应用代理系统。上述设备分为移动警务安全接入设备和移动警务应用设备,其中安全接入设备又分为专用安全设备和通用安全设备。
专用安全设备包含终端安全组件、接入网关、B/S应用管理系统、B/S应用代理系统、判别评定管理系统、监控管理探针、监控管理和级联络统等。其中,终端安全组件、接入网关、判别评定管理系统组成加密传输系统已经取得国家密码管理局同意商用密码产品型号证书,全部专用安全设备严格遵照公安部科技信息化局相关技术规范,并经过了公安部科技信息化局认可和立案。
通用安全设备包含防火墙、设备证书管理中心、隔离网闸等,这些设备均采取已取得计算机信息系统安全专用产品销售许可证和商用密码产品型号证书厂家品牌,并经过公安部相关部门认可。各地公安认为必需时,能够增加其它安全防护设备。
该网络拓扑结构有以下特点:
ü 网络边界划分明确,在每一个网络边界全部提供良好安全保障;
ü 当地基础运行商对公安移动查询用户提供了专用虚网,只有绑定手机用户才能够连接到公安移动应用服务网络;
ü 公安移动接入网络经过路由器和专线连接到当地基础运行商移动服务主干网络;
ü 公安移动终端用户拨号到专用APN,经当地基础运行商提供虚拟专用私网连接到公安移动接入网;当地基础运行商给公安移动接入网服务器分配IP地址是私网地址,不是公网地址,无法直接和Internet相连,这种方法优点是加强了系统安全性,不会直接收到互联网用户攻击;
ü 公安移动接入网中移动应用服务器受到SQY42 安全接入系统接入保护,没有经过认证移动终端即使能连接到接入网,也无法访问对应应用服务;
ü 移动接入网和当地公安信息网经过安全隔离和信息交换系统实现逻辑隔离,确保公安信息网络不受外部攻击;
ü 这种方案充足利用了当地基础运行商安全方法,但系统安全性能关键靠终端安全组件、安全接入系统、安全隔离和信息交换系统等设备保护,符合公安部指导思想。
3.5. 系统应用示意
图3.6 力扬视讯移动警务安全接入平台应用示意
首先,配置了安全加密卡和安装了安全用户端各类移动终端经过移动通信网络以不一样通信方法(短消息、GPRS/EDGE/WCDMA在线)经过终端发送链接请求;
安全接入网关在收到终端连接请求后,在判别评定管理系统配合下对移动终端进行身份认证;
终端身份认证经过后,安全接入网关和移动终端协商会话密钥(即此次通信采取何种加密算法,通常采取国密算法SM1。);
密钥协商完成后,安全接入网关建立了一条移动终端到移动应用服务器之间加密安全通道;
经过布署在移动应用服务器各类应用服务模块,移动终端和移动应用服务器之间实现了数据安全通信和传输。
同时,针对笔记本终端可信安全防护,依据公安部及用户实际安全要求,配置一定安全防护策略,判别评定管理系统经过布署在笔记本终端可信终端安全防护程序实时监测笔记本终端运行情况,立即阻止笔记本非法行为。
4. 系统功效描述
公安信息移动接入及应用系统通常称为“警务通”,是公安信息综合业务系统无线延伸,依靠公用移动通信网络(GSM/GPRS/EDGE/WCDMA)为通道,方便于携带手机、PDA、笔记本电脑为终端,经过多媒体(包含文本、图片、语音、视频等数据)形式,在保障安全前提下,实现公安综合业务信息无线沟通和无线传输,使公安信息能够覆盖通常移动通信网络通达任何地方,是金盾工程关键建设内容之一。
依据公安部下发《公安信息移动接入及应用系统建设技术指导书》和《移动警务B/S应用安全接入规范》中技术规范和标准,经过对公安行业对移动应用真实需求,整个系统分为移动警务安全接入平台、移动警务应用平台、移动警务信息管理平台三部分。
4.1. 移动警务安全接入平台
移动警务作为公安这一特殊行业信息移动应用,保障其信息传输安全是系统建设首要条件。公安部公金盾[]240号《相关做好公安信息移动接入及应用系统安全建设通知》明确指出:“公安信息化和公安工作特点决定了公安机关建设公安信息移动接入及应用系统必需性,要建设移动接入及应用系统就必需处理好安全和加密问题。”
4.1.1. 安全体系
因为终端移动性、使用场景开放性和不可监督性、无线传输安全脆弱性、网络环境复杂性,这就要求移动警务安全接入采取包含“终端加固”、“信道加密”、“认证接入”、“访问控制”、“网闸隔离”、“级联监控”和“安全管理”等七大安全方法,见图4.1。七大安全方法环环相扣,缺一不可,共同组成独立完整安全接入体系。
图4.1 公安信息公网移动接入安全体系架构
终端加固。基于硬件密码对终端进行安全加固,确保终端计算环境、资源和网络访问安全和控制。
信道加密。基于中国密码管理局同意公安机关专用密码算法实现移动终端到移动接入区端到端通信加密,确保公安信息在传输过程中机密性和完整性。加密信道建立在基础运行商提供辅助安全方法(APN)之上。
认证接入。基于移动警务身份证书实现移动终端和移动接入区接入设备之间双向身份认证,确保持有正当身份证书移动终端才能接入移动接入区,预防正当移动终端接入非法网络。
访问控制。在移动警务B/S应用模式下,访问控制确保公安信息网资源只能被授权终端访问,并对异常访问进行阻断。
网闸隔离。实现移动接入区和公安信息网之间网络隔离。针对移动警务B/S应用模式,对出入公安信息网HTTP数据进行协议剥离和内容过滤;针对移动警务C/S应用模式,实现移动接入区和公安信息网之间数据信息交换。
安全管理。对移动警务系统安全策略进行统一管理,确保系统安全策略安全性和一致性。
级联监控。对移动警务系统进行统一监控、审计和管理,发觉系统异常,立即调整系统安全策略,确保整个系统安全。向移动警务监管中心上报相关信息。
4.1.2. 安全功效实现
力扬视讯移动警务安全接入平台围绕SQY42安全体系,从可信终端、终端接入、安全认证和管理、网络监管、边界安全等方面建立起了多层次、全方位安全接入平台。确保了整个平台从终端接入、终端访问、通信应用、网络行为等整体安全。
4.1.2.1. 移动终端安全
移动终端安全关键经过配置移动终端安全组件来确保终端安全可信。
针对一般手机、智能手机或PDA、笔记本、车载终端等不一样类型移动终端,我企业分别生产了安全SIM卡、安全智能TF卡、USB安全存放加密卡、车载加密卡等安全组件。
安全SIM卡、安全智能TF卡、USB安全存放加密卡、车载加密卡是SQY42安全接入系统关键组成部分,也是SQY42系统基础组成部分。作为移动终端安全承载模块,安全SIM卡、安全智能TF卡、USB安全存放加密卡、车载加密卡不仅配合后台判别评定管理系统完成移动终端安全接入和身份认证功效,还和SQY42密码机共同完成信息传送中加解密功效;同时负责移动终端通讯功效,包含语音、短消息、数据传送、IP包形式无线上网等移动终端正常通讯功效。
4.1.2.1.1手机终端安全
一、手机终端分类
移动终端是移动警务应用具体承载者之一,关键包含:手持设备、车载专用终端和笔记本三类。手持设备包含:一般手机、智能手机/PDA和专用手持设备等;车载专用终端指配置在标准警用巡查车上专用信息终端设备;笔记本指笔记本电脑和多种上网本。
1、手机终端根据手机功效能够分为:
一般手机:含有基础短信、语音通话功效。
智能手机/PDA:拥有操作系统平台和丰富扩展接口,支持存放扩展卡、蓝牙、GPRS等基础功效。
2、根据使用移动网络类型,手机终端又可分为:
GSM手机终端:指支持并使用GSM网络手机终端。
GRPS手机终端:指支持GPRS/EDGE网络手机终端。
3G手机终端:指支持WCDMA网络手机终端。
3、根据手机终端所使用操作系统类型,手机终端又可分为:
Windows Mobile手机终端:指使用Window Mobile操作系统手机终端,系统现在支持Window Mobile5.0以上版本。
Window CE手机终端:指使用Window CE操作系统手机终端,系统现在可支持Window CE 6.0以上版本。
Symbian手机终端:指使用Symbian操作系统手机终端,系统现在可支持Symbian S60第3版。
Andriod手机终端:指使用Andriod操作系统手机终端。
其它手机终端:指使用其它操作系统智能手机终端,如使用Linux、Briew等操作系统手机终端。
二、移动终端安全组件
移动终端安全组件提供对移动接入密码服务和系统安全加固功效,包含终端安全卡和安全加固组件。移动警务以B/S应用模式工作时,必需配置终端安全加固组件。
终端安全卡用于配合多种移动终端完成数据加解密、数字署名和署名验证、消息摘要和消息完整性检验等操作。卡内必需支持商用分组密码算法SM1和RSA公钥密码算法。为适应不一样类型移动终端,移动警务接入终端安全卡现在有安全SIM卡、TF和 USB等接口形式安全卡。移动终端经过安装终端加固组件实现安全防护,安全防护方法不能被旁路或失效。
1、一般手机安全
一般手机安全关键经过配置安全SIM卡来实现。
安全SIM卡由力扬视讯和制卡商共同开发完成,并经过国家商业密码局安全审核,除含有一般SIM卡正常通讯功效外,在卡上集成了加密芯片和身份认证芯片,负责完成SQY42安全接入系统中-A短消息子系统安全接入功效,负责移动终端端身份认证和数据加解密工作。安全SIM卡中采取国家密码管理局对SQY42系统审核批复商业密码算法,符合国家对信息公网安全移动接入要求和规范。
安全SIM卡在不增加终端设备情况下完成移动数据接入中短消息、GPRS方法下安全接入和移动应用,支持市场上主流终端,无移动接入网络限制;同时,简单更换安全 SIM卡成本投入相对极少,在移动电子政务/电子商务大面积应用推广中有很强优势。
2、智能手机/PDA终端安全
智能手机/PDA终端安全关键经过配置安全智能TF卡来实现。
安全智能TF卡是用于对PC、PDA、智能终端数据进行安全处理TF卡,和终端配合工作。
安全智能TF卡经国家密码管理局安全审查经过,配用SM1算法。安全TF卡提供关键密码服务包含:(1)用于存放个人数字身份证书和署名私钥,为移动终端提供数字署名、署名验证和数据加解密等密码服务;(2)用于实现SM1算法和密钥管理,为移动终端提供基于SM1算法数据加解密服务。
智能手机/PDA终端配置了安全智能TF卡,安装安全用户端软件后,将含有以下功效:
1、用户识别功效
安全智能TF卡提供基于PIN码用户识别功效,正当用户能够设置和修改用户口令,非法用户无法经过口令验证,所以也无法使用移动应用功效;另外,PIN码验证提供防暴力破解功效,口令最多连续重试3次,连续3次以上错误输入口令将造成安全TF卡PIN码被锁定。
2、信息安全存放功效
安全智能TF卡经过访问控制应提供两个层次安全存放功效。一个是密钥等关键信息安全存放,该信息存放对访问进行了特殊标识;对称密钥信息加密存放,必需经过用户身份识别后才能进行读写。另一个是用户敏感信息安全存放,只有经过验证正当用户才能访问加密信息。
3、密码学运算功效
安全智能TF卡关键提供密码学运算关键有:随机数生成、SM1加解密,HASH计算,HMAC计算等。支持1024位RSA算法产生、加解密及署名功效。
4、信息加解密封装
安全智能TF卡对需要加解密信息利用SM1密钥和SM1加解密功效根据定义格式进行完整性和机密性封状和解封,该功效实现信息加密。
5、SM1密钥协商
安全智能TF卡经过证书和SSL安全接入网关进行身份认证,并用专有安全认证密钥协商协议进行SM1密钥协商,该功效是实现信息加密基础。
支持终端平台类型:
l Window Mobile5.0以上
l Symbian S60第三版、第五版
l Window CE6.0以上
l Brwe3.15
l Andriod1.5/2.0/2.2
4.1.2.1.2车载终端安全
因为车载终端是经过借助GPRS/EDGE/WCDMA网络实现无线安全接入,能够经过安全用户端经过SQY42-B安全接入网关实现安全接入。
车载终端安全关键经过配置车载保密卡来实现。
车载保密卡是专门针对车载移动设备开发研制含有加密、通信功效安全保密卡。除了不含有存放功效外,其它身份认证和信息加解密功效和安全智能TF卡基础类似。现在,该保密卡关键用于部分定制设备集成。
4.1.2.1.3笔记本终端安全
笔记本终端安全关键经过配置USB安全存放加密卡来实现。
USB安全存放加密卡是一个符合USB接口标准密码产品,是整个PKI安全认证体系关键组成部分,它首先配合应用及安全认证系统提供基于SM1密码算法加密、解密功效,支持CBC、ECB、OFB、CBC-MAC等多个操作模式;提供基于RSA1024非对称密码算法加密、解密、署名、验证等功效;提供基于SHA1和SHA256算法杂凑功效;提供密钥安全存放和管理和经过口令机制实现权限管理。其次做为独立产品为用户提供磁盘文件加密存放功效;同时还提供了对终端设备进行安全加固功效,包含基于引导系统进程控制,网络过滤,端口安全控制等。
所以,USB安全存放加密卡提供功效归纳起来关键包含三大部分:密码服务、加密存放和终端安全加固。
1、密码服务
密码服务基于已经过国家密码管理局审查经过SJK0921T密码卡COS系统,具体包含:存放个人数字身份证书和署名私钥,为终端设备提供数字署名、署名验证和数据加解密等密码服务;和实现SM1算法和密钥管理,为终端设备提供基于SM1算法数据加解密服务。该服务是需要配合整个安全认证体系来实现。
2、加密存放
透明磁盘加密功效。将关键信息加密存放在USB安全存放加密卡加密区中。写入USB盘时对文件进行加密存放,从盘内读出时对文件解密,实现透明加密存放。
3、终端安全加固
终端安全加固关键用来实现对终端系统进行安全加固。关键包含:安全引导、系统检验、安全策略设置等基础功效。
现在,力扬视讯针对笔记本终端安全加固关键采取两种策略:
1)在笔记本上安装可信安全终端加固用户端组件,和布署在判别评定管理服务器上终端加固管理系统前后端协同,经过对笔记本进程监测、网络行为监测、端口及外设监测、文件保护等,实现对笔记本终端安全加固。
2)在USB盘中集成XPE操作系统,使笔记本终端能够直接从USB盘开启,不使用笔记本现有硬盘及操作系统,USB盘内操作系统能够依据用户需求进行定制,并能够经过后端终端加固管理系统针对每个用户定制不一样安全策略,同时XPE操作系统本身集成终端加固用户端组件,所以,较之第1)种方法安全性、可靠性更高。
4.1.2.2. 移动通信网络安全
移动警务安全接入对移动通信网络要求,包含:
1、提供移动通信网络到移动接入区APN专线接入,确保稳定可靠传输服务;
2、提供必需网络安全隔离方法,建立公安APN虚拟专用网络,降低公安信息被泄漏、窃取和篡改安全风险;
3、采取必需防范方法,预防对移动警务安全接入及应用系统攻击;对网络安全事件调查、发觉和处理进行主动配合,并提供相关保障方法和承诺。
在本方案中,移动通信网络采取基础运行商GSM/GPRS/EDGE/WCDMA通信网络。为了确保网络接入安全,预防非授权用户非法接入和攻击,系统采取APN接入方法,用户经过拨号,经基础运行商提供虚拟专用私网连到公安安全接入网;基础运行商给公安安全接入网服务器分配IP地址应是私网地址,不是公网地址,不能直接和Internet相连,确保系统安全性。
4.1.2.3. 安全接入区安全
安全接入区包含边界保护、移动警务安全接入服务和移动警务应用服务三大部分。
4.1.2.3.1边界保护
安全接入区边界防护用于增强移动接入区本身安全性,由防火墙等设备负担。
一、防火墙
防火墙本身能够提供完整访问控制功效,能够自由地采取路由、透明及混合等多个方法集成到用户网络环境中,为用户网络提供强大安全保护功效。同时,用户还能够经过原有网络管理平台(如SNMP管理器或日志服务器)对防火墙运行情况进行查询、监控和日志分析。另外,防火墙还提供了和其它厂家安全产品联动功效(如入侵检测系统),极大地方便了系统功效扩展。
通常防火墙含有以下特点:
1.采取多接口设计,含有良好网络应用可扩展性。
2.高效应用层访问控制。传统应用层控制采取代理技术,系统需频繁地在系统关键和应用层和进程之间切换,消耗了大量系统资源,影响性能。网络卫士防火墙采取核检测技术,深度过滤应用深度过滤策略在系统内核实现应用层过滤,并能够实现基于会话认证。
3.灵活管理。实现了TOPSEC 防火墙管理协议,管理员能够从防火墙任何接口登录防火墙,实现类似交换机设备中央管理。
4.全新管理端口协议。该协议实现了在防火墙唯一服务端口上同时运行多个管理事务服务。
5.支持基于TOPSEC 协议IDS 和反病毒联动。实现TOPSEC 联动协议,可和基于TOPSEC 协议IDS 和反病毒产品进行联动,提供智能网络安全保护。
6.高性能内容过滤。系统关键层实现传输内容还原、安全检测,实现高性能TOPSEC 内容安全协议,支持病毒检测和垃圾邮件过滤。
7.系统升级和容错。防火墙能够经过命令行方法进行系统升级,同时防火墙采取双系统设计,在主系统发生故障时,用户能够在开启时选择BACKUP 方法,用备份系统引导系统。
4.1.2.3.2移动警务安全接入服务
移动警务安全接入服务确保正当终端接入,实现移动终端认证接入、端到端信道加密、B/S应用访问控制等安全接入和控制功效,同时提供终端和接入设备身份注册、终端安全评定和管理服务、安全策略统一管理和监控管理信息搜集等功效。移动警务安全接入服务平台由接入网关群组、B/S应用管理系统、设备证书管理中心、判别评定管理系统、监控管理探针等设备组成。
一、接入网关群组
接入网关群组包含IPSec VPN网关、SSL VPN网关和安全短消息网关。基于移动警务身份证书实现和移动终端双向认证,确保移动公网传输信息机密性、完整性和不可抵赖性。
平台通信和应用安全关键经过SQY42安全体系来实现。
通信安全经过应采取安全密钥管理方案、可靠加密算法和数据加密封装传输实现了通信过程机密性和完整性。密钥管理方案应经过了国家密码管理局教授安全性审查,认定为安全密码管理方案。而且数据加密封装和传输协议也经过国家密码管理局教授审查,认定为安全传输协议。
经过安全SIM卡、安全智能TF卡、USB安全存放加密卡、车载加密卡、安全接入网关实现信息在移动公网传输中通信安全。
应用安全关键经过建立严格安全认证和管理机制,实现应用层次用户认证和授权管理;而且经过对应用层用户识别和权限管理,对不一样警种和职级开放不一样应用访问权限;应用层用户审计功效对分析应用使用正当性提供了监督和分析。
1、SQY42-A安全短消息接入网关
短消息分为SMS(Short Messaging Service短消息服务)和MMS(Multimedia Messaging Service,多媒体消息业务)是一个手机终端广泛支持通信方法,能有效处理移动信息应用基础需求,是TCP/IP传输模式有效补充。基于STK菜单信息移动接入及应用系统可覆盖每一个使用者,使用简单、成本低,尤其是3G业务开通后,信息长度不再受限制且能够实现即时在线传输,速度和效率全部会大幅度提升。这种通信方法要实现端(移动终端)到端(后台网络)安全机制,保护短消息应用信息安全,只能采取自定义应用层安全传输协议和内容密码卡制,SQY42-A子系统很好处理了这个问题。
1)、SQY42-A子系统逻辑组成:
图4.2 SQY42-A短消息安全接入系统逻辑组成
SQY42-A短消息安全接入系统由安全SIM卡(或安全智能TF卡)、SQY42-A短消息安全接入网关两部分组成。关键用来完成支持GSM/GPRS/EDGE/WCDMA通讯一般手机和智能手机终端经过短消息方法安全接入及移动应用。
安全SIM卡(安全智能TF卡)必需插入手机终端才能工作,安全SIM卡(安全智能TF卡)和手机终端共同组成移动安全终端(又称移动终端)。安全SIM卡(安全智能TF卡)中配置有公钥、分组密码算法,能够安全存放这两种算法需要密钥,使用这两种算法应用程序能够安装、运行在安全SIM卡(安全智能TF卡)上。移动终端安全应用在安全SIM卡(安全智能TF卡)中实现
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
