基于“云+端”的移动警务安全架构探析

王国强

摘   要：文章针对目前移动警务终端安全隐患严重、信息孤岛问题突出、资源利用率低、可持续保障能力弱等问题，通过将基础设施资源云化、移动终端安全加固、终端接入统一安全管理等措施，探索基于“云+端”的移动警务安全架构，为移动警务的持续发展提供新的思路。

关键词：移动警务;云计算;可信执行环境;企业移动管理

中图分类号：TP3          文献标识码：J

Analysis on the security architecture of mobile police based on "cloud + mobile terminal"

Wang Guoqiang

（First Research Institute of the Ministry of Public Pecurity of PRC， BeiJing 100048）

Abstract： In the view of current problem of mobile police affairs， such as the security risks of mobile terminal， the problem of information island， the low resource utilization rate and the weak sustainable security ability， this paper explores the mobile police application based on "cloud + mobile terminal" through deployment of cloud computing， terminal security reinforcement， enterprise mobile management and other measures. The mode provides a new train of thought for the sustainable development of mobile police.

Key words： mobile police; cloud computing; trust execution environment; enterprise mobile management

1 引言

近年来，以移动智能终端为载体，依托3G、4G无线网络的移动办公业务模式逐渐成熟，及时、快速、高效、灵活逐步成为新一代移动办公系统的标签，“大整合、高共享、深应用”已成公安信息化发展的必然趋势。同时，随着“公安移动信息网”和“金盾工程二期”的快速推进，各地纷纷建设一批移动警务办公系统和互联网便民服务，移动警务发展如火如荼，但也存在着几个方面的问题。

一是国产智能终端核心技术受制于人。虽然国产手机在民用市场取得不菲的成绩，但终端自主化程度低，基础专利储备不足，智能终端的关键芯片、操作系统等核心技术受制于人的局面未得到改观。

二是智能终端安全隐患严重。广泛使用的Android系统手机，由于其开源性和不可避免的安全漏洞，存在着各种各样的安全隐患。甚至有部分厂商预留系统后门，恶意收集客户信息。

三是“信息孤岛”问题突出。低水平的重复建设，致使移动警务系统在信息共享方面缺乏统一的规范和标准，致使各个系统间存在信息壁垒，无法实现业务互联互通，“信息孤岛”问题突出。

四是基础资源动态扩展能力差。基础资源利用率低，资源储备和弹性伸缩能力不足，使得在面对高突发性、高流量、高密度的业务需求时无法满足。

五是移動警务信息系统持续发展保障能力弱。当前，各级公安机关系统管理和运维技术力量严重不足，维护手段落后，系统运行维护投入不足，移动警务信息系统持续发展保障能力弱。

六是安全保障不规范。缺乏统一的安全保障体系，安全防护各自为战，在实际工作中“重设备、轻管理”思想严重，致使各个应用系统安全防护不到位，安全事件层出不穷。

2  云计算技术

云计算是继分布式计算、网格计算、对等计算之后的一种新型计算模式。它以资源租用、应用托管、服务外包为核心，通过整合分布式资源，构建应对多种服务要求的计算环境，满足用户定制化需求，云计算的资源共享且高效利用的特点，实现了系统管理维护和服务使用的解耦，按需服务的理念得到了真正的体现，迅速成为计算机及技术发展的热点。云计算的主要特征涉及几个方面。

一是按需服务。用户可以按照自己的需要来选择不同的服务，减少不必要的浪费。

二是泛在接入。用户可以利用各种标准的终端（PC、笔记本电脑、智能手机、平板电脑等）通过网络访问云服务。

三是资源池化。利用虚拟化等技术，各种资源以资源池的方式，以多租户的形式为用户提供服务，资源的放置、管理与分配策略对用户透明。

四是高可靠性。云计算文件系统采用数据多副本容错机制、计算节点同构可互换等措施来保证服务的高可靠性。

五是高扩展性。服务的规模可以根据用户需求情况动态伸缩，满足应用和用户规模变化的需要。

六是经济性。云计算使得资源的利用率较传统架构大幅提升，同时云的自动化集中管理，降低了数据中心的管理成本。

3  TrustZone技术及其安全性分析

TrustZone（可信区域）技术是由ARM提供的一种可信执行环境（Trust Execution Environment，TEE）体系架构。TrustZone的思路是将ARM处理器进行扩展，增加相应的安全指令、安全配置逻辑，由硬件提供代码隔离技术，软件提供基本的安全服务和接口，通过将SoC的硬件和软件资源划分为安全（Secure World）和普通（Normal World）两个世界，所有安全性高的操作在安全世界执行（如指纹识别、密码处理、数据加解密、安全认证等），其余操作在普通世界执行（如用户操作系统、各种应用程序等），安全世界和普通世界通过一个名为Monitor Mode的模式进行转换，在对内核的功耗、性能和硅片面积不产生很大影响的前提下，为用户提供一个可信运行环境，来抵御各种可能的攻击，得到了业内的广泛认可，如图1所示。

TrustZone技术通过四种方式确保系统的安全。

（1）隔离所有 SoC 硬件和软件资源，使它们分别位于两个世界（用于安全子系统的安全世界以及用于存储其他所有内容的普通世界）中。

（2）系统总线提供了安全世界和普通世界的隔离机制，确保非安全核只能访问普通世界的系统资源，而安全核能访问所有资源。

（3）把敏感资源放在安全区域的设计，以及在安全的处理器内核中可靠运行软件可确保资产能够抵御众多潜在的攻击。

（4）通过在硬件中隔离安全敏感的外设，设计人员可限制需要通过安全评估的子系统的数目，从而在提交安全认证设备时节省成本。

4  基于“云+端”的移动警务安全架构

综合应用硬件超融合技术、虚拟化技术、云安全技术，采用主流开放的标准构建跨警种、跨厂家、跨网的移动警务云;部署移动警务安全管理平台EMM（Enterprise Mobile Management），实现移动警务终端和移动警务应用接入的安全管理;定制基于TruseZone加固的移动警务终端，实现移动警务终端有效管控和终端无痕。从“云”“管”“端”三个纬度实现移动警务全要素管理、全流程监控和动态安全防御，其业务模型图如图2所示。

4.1 移动警务云

采用超融合技术、云安全技术、软件定义技术等先进技术，遵照信息系统等级保护三级的相关标准要求，通过对现有基础设施资源的升级扩容，分安全等级虚拟计算资源池、存储资源池、数据资源池等服务资源，建设统一的安全保障体系和运维保障体系，按需为全警提供统一的移动警务应用服务SaaS、移动警务平台服务PaaS、移动警务基础设施服务IaaS，实现移动警务数据中心的物理分散、逻辑集中、资源弹性调度、按需服务，实现移动警务应用的云端部署和云化处理，具体架构图如图3所示。

移动警务基础设施服务IaaS：依托先进的SDN技术和安全域技术分安全等级为移动警务虚拟出计算资源池、网络资源池、存储资源池、安全资源池等基础资源池，为移动警务提供统一的、弹性的、云化的基础设施服务。

移动警务平台服务PaaS：整合移动警务的服务接口和数据资源，部署统一的应用商店、认证授权服务、工作流、数据总线等应用开发资源服务平台，云桌面、并行处理、多租户、容器等应用运行支撑服务平台。为移动警务应用提供统一认证授权、资源共享和运行支撑等基础平台服务。

移动警务应用服务SaaS：以SaaS的方式为全警提供警用地图、即时通讯软件、内部邮件、加密通信等基础共性软件，各警种也可以部署自己的定制开发应用。

4.2 移动警务安全管理平台

依托现有移动警务无线接入边界平台，部-省两级部署统一的移动警务安全管理平台，以“移动终端安全、网络传输安全、应用安全、数据安全”为核心，提供对用户、对移动终端、对应用、对敏感数据的全生命周期安全管理，确保移动警务可信可管可控，实现移动警务全要素管理、全流程管理和动态安全防御。在此基础上为全警提供统一应用商店、移动接入控制、移动运行监控等关键服务，打造完整全面的移动警务管控体系，即实现移动警务安全管理平台的统一部署，也满足“属地管理”的管理要求。

移动警务设备管理——提供设备注册、远程锁定、远程擦除、远程配置、越狱监控、状态监测、丢失保护、应用远程分发等多方位设备控制机制，确保多种移动终端设备能够遵从移动警务的管理。

移動警务应用管理——部署应用商店作为移动警务应用下载的唯一来源，对应用进行代码审计和数字签名，并为应用开发人员提供相关的封装工具和SDK，确保只有经过授权的应用才能在许可设备按照指定的策略运行。采用可信验签机制，确保只有来自制定来源的可靠（来源及完整性）APP和更新才允许安装。

移动警务数据管理——提供透明加密、远程删除和过期保护机制，有效隔离、监控和控制敏感信息的分发与访问，确保敏感数据仅可由通过安全的网络接入的可信终端阅读。

移动警务策略管理——提供移动终端、移动应用等安全要素的策略配置、下发和实时更新功能。

移动警务接入管理——移动警务采用基于证书的SSL VPN接入方案，从网络层确保数据的加密传输。

移动警务运行监控——与提供面向用户、应用、服务、接口等多维度的即时监控服务。

4.3 移动警务终端

利用TrustZone实现双系统的移动警务终端，在普通世界中运行普通系统（Android），在安全世界中运行安全系统（Android SE或其他TEE OS），分别用于个人使用和移动警务，两个系统能够同时运行，实时切换，但又是系统级的全面隔离，各自数据加密且相互隔离，如图4所示。

系统通过包括引导加载程序（Bootloader）、安全系统签名及相应的证书或密钥形成的信任链进行系统完整性校验，从而确保底层操作系统的完整性，保证系统版本不能被篡改，实现完备的可信度量、可信存储和可信报告机制，构建主动免疫、安全可靠的终端计算节点。

在网络层面，移动警务终端通过VPN等安全接入和传输加密，只能连接移动警务专网，无法访问互联网，以避免敏感信息外泄、病毒木马影响等，确保移动警务终端数据传输的机密性和完整性。

以数字身份证书为基础，辅以口令密码、生物特征、物理特征等标识与鉴别技术，对平台中涉及的人员、机构、设备、应用等访问对象进行标识与鉴别，采用以人体生物特征为主的人机认证和用户数字身份证书认证相结合的强认证机制，从根本上解决移动警务用户真实身份识别以及行为安全审计问题。

安全系统通过与移动警务安全管理系统（EMM）联动，综合应用单点登录、数据透明加密、安全策略动态更新、终端外设安全可控、业务数据终端无痕等安全功能，实现移动警务终端的安全接入和业务数据不落地，为移动警务应用提供可信的运行容器。

5 结束语

本文针对现有移动警务建设标准不统一、安全建设不规范、可持续保障能力弱等缺点，提出了基于“云+端”的移动警务安全架构，从统一标准规范体系、统一基础运行环境、统一安全保障体系、统一应用支撑平台、统一运维服务体系、统一监控体系六个方面，采用先进移动云计算技术，构建安全的移动警务云，探索移动警务应用的云端部署、云化计算，实现了应用的快速部署和瞬间更新，以及业务数据云端集中存放和管理。通过移动警务安全管理平台和基于TrustZone技术的定制终端的联动，实现移动警务终端从设备注册、认证接入到应用运行的全业务流程动态安全管控体系，建立一个由终端硬件、网络传输、应用与数据管理、云端管理组成的安全闭环。目前，公安系统研发的警务专用手机和安全手机，都是基于TrustZone技术+移动管理系统的典范，都有了一定规模的应用，但该架构的大规模应用，尚需解决几个问题。

一是终端的多样化发展问题。依托快速发展自主可控的软、硬件核心技术，包含芯片、自主操作系统以及安全应用，构建从硬件到软件，从底层到应用层，从端到云的终端安全生态体系，研制丰富多样的移动警务終端，满足移动警务快速发展的终端需求。

二是云计算技术安全问题。移动警务业务种类繁杂，安全等级各不相同，如何借助快速发展的自主可控云计算安全技术，实现移动警务业务和数据的安全隔离，解决移动警务云内敏感数据泄露的安全问题，需要进行进一步研究。

参考文献

[1] 卜振兴，洪卫军.公安警务云基础建设方案设计[J].中国人民公安大学学报（自然科学版），2016（1）：47-52.

[2] 丁滟，王怀民，史佩昌，等.可信云服务[J].计算机学报，2015，38（1）：133-149.

[3] 郑显义，李文，孟丹.TrustZone技术的分析与研究[J].计算机学报，2016（9）：1912 -1928.

[4] 郝先林，曾萍，胡荣磊.基于TrustZone技术的TEE安全方案的研究[J].北京电子科技学院学报，2016，24（2）：38-44.

[5] 吴德本，姚健，邓志武.云计算综述[R].全国城市有线电视业务&技术研讨会，2011.

[6] 章谦骅，章坚武.基于云安全技术的智慧政务云解决方案[J].电信科学，2017，33（3）：107-111.

[7] 周昕，刘衍斐.警务专用手机管理服务平台的设计与实现[J].警察技术，2016（2）：40-43.

[8] 周昕，陈妍，刘衍斐.警务专用手机ZD-P1[J].警察技术，2015（1）：57-65.