安全移动办公解决方案简析

赵 波

(中国联合网络通信有限公司吉林省分公司 长春130021)

1 概述

移动办公也称移动OA，是指以安全访问为前提，利用手机、PDA或笔记本电脑等移动终端通过互联网或无线网络访问企、事业单位办公系统，实现访问内网信息、处理公务的功能应用。与传统办公系统相比，移动办公摆脱了时间和场所的局限，随时随地处理公务，管理效率明显提高。

鉴于移动办公的使用方式，企、事业单位私密信息将在服务于全社会、开放、公众性的互联网或无线通信网络上传输与使用，信息安全性至关重要。

实现移动办公通常从以下4个方面考虑信息安全问题。

（1）内网信息的安全保护

OA系统涉及企、事业单位的整体概况、发展战略、财务状况、经营现状等众多私密信息，如不能有效保护，裸露于开放、公众性的互联网及无线通信网络上，会被非法用户或竞争对手侵入，危害极大。

（2）信息传输的安全性

OA系统借助公用通信网络访问内网信息，处理公务，开放、公众性的网络极易发生监听传输数据、入侵数据库、窃取有关资料等事件，如私密信息在网络传输过程中没有受到有效保护，一旦被窃取或篡改，危害同样是巨大的。

（3）员工身份识别与安全登录

OA系统根据使用单位内部管理职能和管理权限的不同，针对不同员工授予不同使用权限。由于移动办公人员在登录OA系统时,其使用的网络环境和终端比较复杂,如网吧、公用计算机等，基于传统用户名/密码方式的身份认证与授权,极有可能造成身份信息的泄露,增加他人非法访问OA系统的可能。如何保证移动办公人员在授权范围内使用OA系统，准确鉴别身份信息，防止他人或被木马软件伤害是安全移动办公系统的关键。

（4）信息的不可抵赖性

据权威机构调查显示，约70%的泄密事件来自于内部。OA系统承载着企、事业单位众多关键和私密信息。日常工作中，各部门确认、会签信息不断，各系统间信息交互频繁，而在此种环境下，又不可能像传统纸质文件一样有签字、盖章的痕迹，一旦出现问题，无法跟踪，更无法追究责任。为此，安全移动办公系统需建立信息使用与传输的抗抵赖机制。

2 安全移动办公的技术使用与解决方案

目前,安全移动办公的技术使用与解决方案主要有3种。

2.1 方案一：虚拟专网移动办公

该方案是运用 VPN（virtual private network，虚拟网)技术,在公众通信网络上建立专用网络实现移动办公的应用。之所以称之为虚拟网，是因为VPN网络中任意两用户间的数据传输不是通过传统通信网络中端到端的物理链路实现，而是通过架构在公用通信网络（如Internet等）之上的逻辑链路与逻辑网络实现。其主要功能是通过隧道(tunnel)或虚电路(virtual circuit)实现网络互联，支持用户安全管理，对网络实施监控、故障诊断等。由于企、事业单位的私密信息是在专用通信网络上传输与使用的，VPN防御能力强、安全性高，适用于政府、企业、事业单位总部与分支机构内部联网以及商业合作伙伴之间的网络互联。

（1）主要特点

· 建网快速方便：VPN网络内的任意用户，只要通过数据专线接入Internet后做相关配置即可。

· 投资少、风险小、节约成本：由于VPN中大量的网络管理及维护工作由通信运营商负责，节省了建设传统独立网络的投资，减少了企业自身运营及使用成本。

· 网络安全、可靠：通过在公用通信网络上建立逻辑隧道，使用网络层加密技术，有效防御了网络数据被修改和盗用，保证了用户数据的安全性及完整性。

（2）不足之处

用户必须在固定地点、固定场所使用，无法与目前丰富的网络应用兼容，发展空间受限。

2.2 方案二：无线接入移动办公

针对终端不同，安全防御技术与方案也不同。

（1）“笔记本＋无线网卡”方式

这种方式的移动办公是利用VPN防火墙技术，将企、事业单位的内网与无线通信网络隔离，用户通过账号/密码、“笔记本电脑+无线网卡（GPRS、CDMA、WCDMA）”终端，借助客户端软件，穿过VPN防火墙访问企业内网，实现公文办理、库存查询、客户资料查询等一般性功能。其主要特点是软件开发工作量少，客户端界面友好、信息量大，接入简单、易行；不足之处是终端（笔记本、无线网卡）携带不方便，公众场所待机时间短，安全性较低。

（2）手机智能客户端程序方式

这种方式是基于推送 (push)技术依靠GPRS、CDMA、WCDMA移动通信网络传输数据，通过安全链接将客户应用服务器上的内容（数据）请求推送到客户手机端，实现随时随地移动办公应用。其主要特点是支持推送办公、安全性高、速度快、功能强大、界面友好；不足之处是只支持特定的终端，建设成本与使用成本较高。

无线接入移动办公解决方案的便利性和广普性，使其适合于对信息安全要求不高的任何企、事业单位与个人。

2.3 方案三：“SSL VPN网关+数字证书”移动办公

该方案是通过SSLVPN（securitysocketlayervirtualprivate network，安全套接字层虚拟私有网）安全认证网关设备与数字证书技术相结合，透过互联网、无线通信网络实现移动办公应用。

SSL VPN安全认证网关是基于数字证书和SSL技术实现的独立安全系统，该系统可有效解决数据访问与传输中的身份认证、安全传输和访问内网信息的合法性问题。该设备布置在企、事业单位的内网，是内网与公用通信网络互联的惟一的通信接口设备。

移动办公人员通过数字证书，透过互联网或无线通信网络远程登录OA系统，完成移动办公终端与SSL VPN安全网关的双向认证，根据用户身份给予相应授权，实施访问控制，建立安全通道，访问内网信息。同时,为防止事后信息抵赖，移动办公人员在向系统提交敏感数据及行为操作时需要进行数字签名，由SSL VPN安全网关代理并进行签名验证、数据解密，再把数据传给相应的后台业务系统进行处理。

（1）主要特点

·技术先进、安全、方便：数字证书是承载证书使用者私密信息的电子性文档,它是由权威公正的第三方机构（即CA中心）签发。其核心加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性、不可抵赖性。使用数字证书后，即使发送的信息被他人截获，甚至丢失了个人账户、密码等信息，窃取者也无法破解和使用。

鉴于数字证书与SLL VPN安全网关设备组合的安全性、易用性,本方案可支持多网络、多终端、多用户使用，安全、方便。

·投资少、节约成本、建网快：CA认证中心签发数字证书，互联网、无线通信网络的建设与维护全部由专业机构和通信运营商负责，SSL VPN安全网关、OA系统也是由专业厂家研究、生产与维护的，使用者只要投资建设必要的OA系统，购置SSL VPN设备即可。一般情况下，设备到货即可开通使用，节约运营与使用成本。

·系统功能可扩展性强：数字证书技术在保障安全移动办公系统有效解决网络身份验证，信息传输的机密性、完整性和用户行为的不可抵赖性等网络安全问题的同时,为网络购物、安全支付预订等电子商务性应用提供了可能，符合消费趋向，发展空间巨大。

（2）不足之处

目前,数字证书的存储有3种形式：安全SD卡或安全 SIM卡、USB Key介质、电子性文档，前两种形式需硬件配合，而市场上与其相适配硬件的广普性不充分；各CA认证中心签发数字证书的互为兼容性等不够，用户认知度低。

综合以上方案，结合目前市场需求及技术实现，“数字证书+SSL VPN设备”模式是安全移动办公的最佳解决方案。

3 吉林联通安全移动办公解决方案与创新点

鉴于手机移动办公即“手机终端+内置数字证书+安全SD卡或安全SIM卡”模式对手机终端要求较高、安全SD卡或安全SIM卡广普性不够，且受网络环境及终端屏幕大小等条件限制，实际操作存在诸多不便因素。为此，吉林联通采用“电脑+数字证书+SSL VPN设备”模式组建安全移动办公系统。

3.1 系统结构

吉林联通“电脑+数字证书+SSL VPN”模式的安全移动办公系统采用4层架构体系：终端接入层、业务处理层、安全支撑层和系统应用层，如图1所示，吉林联通安全移动办公网络的拓扑如图2所示。

·终端接入层：使用安全移动办公系统的用户和终端，包括用户、上网终端（电脑、上网本、电脑+上网卡）和USB Key（存储数字证书的硬件）终端。

·业务处理层：使用系统用户的信息登记、数字证书签发、USB Key终端发放、宽带上网等必要使用条件的登记、受理与准备。

· 安全支撑层：以CA认证技术为核心，以SSL VPN为保护，以统一支付平台为应用的安全技术支撑系统。

· 系统应用层：用户计划访问的内网信息系统及网络应用，如企业OA系统、ERP系统、经营分析系统、营业系统、网络缴费、支付预订等网站。

· 吉林联通DCN（data communication network）：吉林联通覆盖全省业务、营业、计费、网管数据传输、多媒体通信、企业内部管理等系统的传输通道和通信控制平台，承载公司全部核心业务和企业信息系统的网络。企业员工主要是透过公用通信网访问该网信息。

·SSL VPN安全接入网关设备：实现用户透过公网访问吉林联通DCN网内信息的安全防御设备,该设备置于吉林省联通公司办公大楼与公司DCN接口处,以串行方式连接。

· 吉林数字证书签发审批机构：中国联通集团公司与CA中心下设并授权的吉林数字证书审批机构RA（registration authority），该机构负责证书申请者的信息录入、审核以及证书发放等工作，并对已发放的证书实施管理职能，是中国联通根CA证书发放、管理的延伸机构。

· 吉林联通支付预订网站（http://www.webjilin.com）：吉林联通公司自主研发建设网上交易系统的Web展示，该系统运用CA技术，以USB Key终端承载数字证书为网络身份识别，以第三方数字签名为交易依据，以“数字证书+密码”的双重保护机制为用户提供中国联通固话、宽带、手机、小灵通等业务缴费，网络冲印，鲜花、蛋糕、电子卡币订购等安全电子交易服务。

· 用户使用终端：“台式（笔记本）电脑、台式（笔记本）电脑+3G上网卡或3G上网本”+USB Key终端。

·用户接入网络：有线互联网 ADSL、FTTx，无线网络 WLAN、WCDMA、CDMA、TD-SCDMA 等公用通信网络。

3.2 数字证书存储模式的选择

数字证书分文件证书及USB Key两种存储模式。

（1）文件证书模式

该模式是指数字证书以电子文件形式存储在电脑中，用户通过互联网或无线网络访问网络办公外网地址后，系统提示用户文件证书存储的具体位置或在浏览器中选择所要使用的证书，由已安装的证书控件自动读出证书中的用户信息，将用户信息传给SSL VPN设备客户端，SSL VPN客户端自动与SSL VPN设备进行用户信息校验，校验无误后，便在用户与网络办公系统间架设了一条安全通道，用户可以通过这条通道访问内网信息并在办公系统中进行操作。

由于文件证书是存储在电脑硬盘中的，可被复制，安全性相对较低。另外，文件证书在受理、制作过程中，一般由指定管理员集中受理、制作和发放，不便于用户随时申请、随时获得。

（2）USB Key模式

该模式是指数字证书存储于安全硬件介质中，该硬件大小及外形如U盘，带有USB接口，所以也被称之为USB Key介质。

该模式下用户登录移动办公系统时，首先将存有用户证书的USB Key插入电脑USB口，输入USB Key保护密码，访问网络办公外网地址，证书控件与SSL VPN客户端配合自动完成用户信息校验，建立用户与企、事业单位网络办公系统的安全通道，用户在安全通道内登录办公系统，处理公务。

由于证书是存储在USB Key中的，不能被复制，并有USB Key密码保护，所以安全级别很高。吉林联通任意营业厅均可办理数字证书的申请与硬件发放、挂失、补办等手续，方便、简单，见表1。

综合以上分析，吉林联通采用USB Key硬件终端存储安全移动办公的数字证书，业务名称定为E盾，终端名称定为 IPASS(I PASS)。

3.3 使用方法及流程

3.3.1 使用条件

·具备接入互联网条件：用户到中国联通营业厅申办宽带接入、移动办公业务，申请数字证书，获取IPASS硬件终端。本方案支持 ADSL、FTTx、WLAN、WCDMA、CDMA、TD-SCDMA 等网络接入。

·上网硬件终端：电脑、电脑+上网卡或上网本等。

3.3.2 方法及流程

根据网络与终端的不同，提供两种接入网、4种使用终端的选择与使用。

（1）通过有线FTTx或ADSL方式接入互联网

在该场景下，用户以“台式（笔记本）电脑+USB Key”为接入终端，以FTTx或ADSL为宽带接入,通过互联网登录企业内网，处理公务。具体使用流程如下：

·电脑开机，登录互联网；

·在USB口上插入IPASS终端,输入终端保护密码；

·下载并安装数字证书及客户端软件(仅第一次使用时)。

吉林联通IPASS终端除可实现安全移动办公外，还具有网上缴费，鲜花、蛋糕、机票、酒店预订，数码冲印，文件箱等功能。为此IPASS客户端软件打开后有多种选择，这里仅以移动办公、联通业务网上缴费为例说明，如图3和图4所示。

选择1：安全移动办公。点击IPASS客户端软件中移动办公按钮,认证、确认用户身份，通过后进入吉林联通办公自动化系统，浏览信息、处理公务。

选择2：在输入USB Key终端保护密码后,点击IPASS客户端软件中的缴费按钮，登录联通业务缴费页面，缴费支付。

（2）通过无线 WLAN或 WCDMA（CDMA/TD-SCDMA）接入互联网

在该场景下，用户是使用“台式（笔记本）电脑+3G上网卡+IPASS终端”或“上网本+IPASS终端”登录互联网。上网后其使用流程，如在电脑上插入IPASS终端，通过IPASS客户端软件调用数字证书识别用户身份，使用专用SSL VPN隧道加密技术对数据传输的加密，进入吉林联通DCN，登录企业OA系统等操作与FTTx或ADSL接入场景相同，只是在宽带接入层面是无线网络。

表1 数字证书存储模式的对比分析

3.4 创新点

本方案在提供安全登录OA系统，实现移动办公外，还具有可对数字证书认证技术的用户身份进行识别，具有数据传输的安全性、完整性，行为的不可抵赖性等特点，在IPASS终端中内置了吉林联通员工个人资金账号及私密信息，在网络支付预订、中国联通业务网上缴费等方面进行了扩展性尝试，效果良好。

3.4.1 建设统一支付平台，实施用户资金管理

该平台逻辑结构分为业务层、支撑层和接口层，如图5所示。

·业务层：负责资金账户的管理、充值及支付等业务逻辑及管理。

·支撑层：支撑省统一支付平台的业务运营，包括业务流程管理、系统维护管理、计费和对账管理、统计分析、日志管理等。

·接口层：作为业务接入子系统，接口层是统一支付平台与各业务系统的接口，主要包括与集团级统一支付平台的接口，与营业系统、电子交易系统、CA接口、其他预留系统等业务的接口。

3.4.2 建设网上交易系统实现商户、用户、产品管理与展示

支付预订网站（http://www.webjilin.com）是吉林联通网上交易系统的Web展现，该系统除提供店铺管理、产品发布、商品搜索、用户注册、在线订购、订单管理、支付和配送管理、在线支付等外，还提供用户账户管理、资金管理、统计分析、资金明细、消费明细、邮费计算等功能，使用户可自行建立属于自己的网上店铺或商城。同时，后台通过Web界面实施管理的方式操作方便、实用，如商品发布、商品维护、订单处理、资金管理等操作。

操作系统：Windows Server 2003；

数据库：Oracle 9i；

开发工具：java+jsp；

通信协议：TCP/IP Socket。

3.4.3 统一支付平台与主要应用系统边界的划分

（1）与中国联通营业系统边界的划分

·业务管理：营业受理系统负责提供用户资金账户开户、销户、变更的受理功能和受理界面，向统一支付平台发出用户资金账户现金充值的请求。统一支付平台负责用户资金账户的管理和维护，营业系统提供与统一支付平台之间的对账、结算和充值功能接口，支持统一充值缴费业务的实现。

·用户：营业系统用户是指营业受理窗口管理的后付费业务用户，统一支付平台用户是指使用用户资金账户的用户。

·账户：后付费业务账户是指营业受理系统的业务账户，用户资金账户是指统一支付平台的用户账户。

·接口：包括用户资金账户的开户、销户、变更等接口，用户资金账户的现金充值接口，后付费用户账单查询、充值/缴费（用户资金账户缴费）、销账等接口，用户资金账户鉴权、扣费接口，对账和充值接口。

（2）与电子交易系统边界的划分

·业务管理：网上交易系统负责维护业务账户余额，统一支付平台管理的用户资金账户是网上交易系统业务账户资金来源之一，网上交易系统为统一支付平台提供余额查询接口和充值接口。

·用户：网上交易系统的用户是指网上交易系统的业务用户，统一支付平台的用户是指使用资金账户的用户。

·账户：网上交易系统账户是指网上交易系统的业务账户，用户资金账户是指统一支付平台的资金账户。

·接口：网上交易系统需为统一支付平台提供余额查询、充值、对账等接口。

3.4.4 用户资金账户的缴费与充值统一支付平台提供网银、营业厅现金、联通一卡充（10011）IVR语音3种缴费与充值服务。

3.4.5 举例

IPASS用户交费流程说明，如图6所示。流程描述如下。

·用户登录Web页面发起交费请求。

·Web向统一支付平台发送相关信息，统一支付平台向网上交易系统发起IPASS用户资金账户账单查询请求；

·网上交易系统向统一支付平台、统一支付平台向Web网站分别返回账单查询响应。

·IPASS用户资金账号的账单信息通过Web展示给用户；

·用户向Web发起资金账号付费请求；

·Web向统一支付平台发起资金账号付费请求，统一支付平台对用户身份等相关信息进行鉴权、扣款，并向网上交易系统发出用户资金账号的销账请求；

·网上交易向统一支付平台返回用户销账响应信息；

·统一支付平台向Web网站返回交费响应信息；

·Web网站向用户展示交费成功信息。