通信模块和计算主机分离场景下安全有效入网认证的研究-AET-电子技术应用

通信模块和计算主机分离场景下安全有效入网认证的研究

电子技术应用

王志宇1，赵荣辉1，张春慧1，苏禹2

1.公安部第一研究所；2.中国信息安全研究院有限公司

摘要： 随着5G、移动技术的不断发展，移动终端的形态越来越多样，具备移动接入能力的设备推动了万物互联时代的到来。移动终端从CDMA时代开始就已经实现了机卡分离，全网通的出现使得计算主机和通信模块进一步解耦。人们希望自己的移动终端可以在任何时间、任何地点接入任何网络。无线技术之所以能够实现突飞猛进的发展，正是因为顺应了分工合作、各自发展这一趋势。物联网的时代，终端设备往往规格低、数量大，新技术、新频段的不断涌现，导致主机和通信模块发展不同步，终端组合式接入给移动安全提出新挑战。探讨了如何通过数字证书、安全管控等技术实现通信模块和计算主机机分离场景下终端的入网认证。

关键词： 物联网可信计算移动警务无线通信入网认证

中图分类号：TP393 文献标志码：A DOI: 10.16157/j.issn.0258-7998.245872
中文引用格式： 王志宇，赵荣辉，张春慧，等. 通信模块和计算主机分离场景下安全有效入网认证的研究[J]. 电子技术应用，2024，50(12)：82-86.
英文引用格式： Wang Zhiyu，Zhao Ronghui，Zhang Chunhui，et al. Research on secure and effective network access authentication in the scenario of communication module being detached from the computing host[J]. Application of Electronic Technique，2024，50(12)：82-86.

Research on secure and effective network access authentication in the scenario of communication module being detached from the computing host

Wang Zhiyu1，Zhao Ronghui1，Zhang Chunhui1，Su Yu2

1.First Research Institute of The Ministry of Public Security； 2.China Information Security Research Academy Co.， Ltd.

Abstract： As 5G and mobile technologies continuously develop, various types of mobile devices are continuously emerging. Mobile devices have driven the advent of the era of the Internet of Things (IoT). Since CDMA technology appeared, SIM cards can be detached from the mobile devices. Host and communication modules have further decoupled after a phone can fit all kinds of carrier networks. People hope their mobile devices can access any network at any time and any place. It is well known that the rapid advancement of wireless technology is precisely due to its alignment with the trend of division of labor and independent development. In the era of IoT, terminal devices are often characterized by low specifications and large quantities. The continuous emergence of new technologies and frequency bands has resulted in asynchronous development between host devices and communication modules. This combination-based terminal access poses new challenges to mobile security. In this paper, how to utilize digital certificate, security control and other technologies to authenticate terminals in the scenario of communication module being detached from the computing host is discussed.

Key words : Internet of things；trusted computing；mobile police；wireless communication；network access authentication

引言

政府、公共安全、石油、电力等大行业都有建设专网的需求，但是网络的建设和运维成本让人望尘莫及。除去资金投入之外，还有巨大的智力投入，这使得众多行业专网无法达到运营商级的高可靠、高安全水平。在这种情况下，所有行业专网都不得不或多或少地使用运营商的网络，特别是移动网络。但是，运营商网络最大的业务是公众用户的互联网接入。与公众业务混合承载的运营商网络为专网安全引入了新挑战。由于担心对公众用户造成影响，运营商也可能无法落实行业用户所有安全要求。因此专网侧的网络安全控制措施就显得尤为重要。

对于公安领域来说，手机终端主要为多模专用终端，如智能手机型移动警务终端，这类专用终端参照GA/T 1466.1[1]和1466.2[2]的规定，要求终端具备国产自主安全计算平台，具备可信验证、终端管控、多维度绑定认证等安全能力。国际方面，早在2013年美国CIO委员会和国防部就为联邦政府机构工作人员推出了移动安全参考架构[3]，其中定义了多角色GFE（Government Furnished Equipment）终端的应用场景和管控策略。

移动技术发展到5G之后，大量专用移动终端出现，如无人机、智能眼镜等。公安领域实战部门也有多形态单模专网终端的应用需求，如笔记本终端、警用无人机、巡逻机器人等。这类终端的主机有的从来没有通过移动链路接入过，有的是非通用操作系统，无法安装各种安全设施。同时，由于公安领域的特殊性，国家工信部无线电管理委员会还为公安分配了专用或优先使用的频段资源，如350 MHz公安窄带数字集群通信系统频段、340 MHz公安专用无线视频传输系统频段、1 430 MHz警用航空器频段，以及未来的PWL频段和国家公共安全与应急专网频段（700 MHz）等。通信模块的升级换代与主机的发展存在不同步的问题，导致通信模块与主机系统可分离的专网终端出现。

国际方面，2021年8月，美国国家安全局和中央安全署发布了移动接入方案v2.5[4]，规定移动终端采用不可控网络接入专网时，必须采用专用VPN设备或RD（Retransmission Device）重传设备接入，专用VPN设备和RD设备与主机通过以太链路相连。

目前，移动警务已经构建的网络安全接入设施大部分是针对于主机体统与通信模块不可分离的智能手机。2024年发布的GA/T 2133.1[5]和2133.2[6]标准规定了通过外置通信模块联网的场景，对于终端使用外置通信模块连网时的终端入网认证、安全管控等安全措施进行了规定。本文以笔记本电脑终端为例，探讨终端如何通过可分离的外置通信模块安全地连接专网，开展警务应用，其管控策略和入网控制方案可应用于警用无人机、巡逻机器人等其他主机和通信模块可分离的移动警务终端。

本文详细内容请下载：

https://www.chinaaet.com/resource/share/2000006253

作者信息：

王志宇1，赵荣辉1，张春慧1，苏禹2

（1.公安部第一研究所，北京 100048；

2.中国信息安全研究院有限公司，北京 102209）

Magazine.Subscription.jpg

原创声明：此内容为AET网站原创，未经授权禁止转载。

相关内容