基于国产商密算法移动安全接入系统的设计与实现

基于国产商密算法移动安全接入系统的设计与实现

杨一帆

国网沈阳供电公司辽宁省沈阳市110000

摘要：为了保证通信网络接入系统的安全性与可靠性，需要根据用户的需求和系统的安全，设计编制移动安全接入系统。目前互联网行业当中的虚拟专用网络（VPN），就为移动数据接入构建了安全传输隧道，提高了数据交互获取的安全性与可靠性。通过国产商密算法与国外数据加密算法进行比较，可见国产商密算法已经达到了一定的水准，通过对其不断的完善改进，可以促进国产商密算法国际化的发展。本文主要基于国产商密算法移动安全接入系统的设计与实现进行阐述。

关键词：国产商密算法；移动安全接入系统；设计与实现

引言：

在移动数据安全接入系统时，需要构建安全通道确保数据的安全可靠。在建构时主要通过VPN技术进行加密，提高数据接入的稳定性。该技术是基于基础知识，在公用网络基础上构建的虚拟专用网络，通过为移动数据接入提供网络安全协议的虚拟专用网络和安全套接层的虚拟专用网络，形成一个系统的网络层协议簇，确保IP用户的基础通信安全。

一、数据传输技术

为了保证数据安全传输，在接入系统设计时采取数据隧道传输进行加密控制。该系统的数据隧道传输有两种网络通信协议，在程序设计时保证一个网络通信协议可以封装另外一个网络通信协议，最终将数据包并进行隧道加密传输[1]。

该系统的数据隧道加密传输是网络系统中点对点的透明传输，为了保障数据传输的安全与可靠，因此采取了双层数据封装的加密方案，为数据传输提高安全保护，该保护机制即是文中提到的虚拟专用网络VPN技术。在该技术实际应用的过程中，不仅可以处理局域网和城域网的数据交互，并且可以应用于远程数据接入等工作当中，充分发挥了该技术的优势。该技术在公用网络的基础上，通过对网络数据进行加密封装对网络层进行新的定义，进而实现虚拟专用传输的目标，目前主要实现该工作目标的途径有SSLVPN和IPSDECVPN。

二、移动安全接入系统的设计分析

（一）框架设计

在接入系统设计时，首先进行总体框架的设计，从物理应用的角度可以将框架划分为以下几个组成部分：通信网络模块、安全接入区、移动终端等。其中在移动终端设备组建时，需要利用专业的TF加密卡进行硬件设备的升级，或者是智能手机与平板电脑。在该系统设计时，网络通信单元的路径构建主要利用WIFI和GPRS系统。在移动网络安全接入区设计时，为了保障数据接入系统的安全，需要在设计时增设数字认证处理服务器和证书管理系统，确保网络数据接入的安全与稳定。

（二）模块设计

在系统模块设计时，需要根据框架的组成进行规划。在上文中提出了框架的整体结构，依据该框架结构进行数据接入模块的设计。如数据移动客户端主要发生于智能手机和平板电脑等连接网络的电子设备上，在电子设备与网络进行数据交换时，存在很多的潜在安全隐患。为了科学的规避相关的安全隐患，可以进行通信隧道的设计，提高网络通信的安全性，合理的避免了数据接入网络系统过程中，出现数据丢失、数据破坏、数据窃取等问题的发生，提高网络接入系统的安全性[2]。

在安全接入区设计时，可以构建相关的数据安全处理模块，该工作模块的主要作用是负责用户的登录、用户的网络请求、数据的交互与转发。

（三）通信隧道设计

通信隧道的设计目标，主要是为了保证移动终端和接入网之间的数据传输安全与稳定。在移动通信数据传输时主要采取两种方式：公共网络和加密隧道。公共网络数据传输是最常用的一类通信路径，因此本文不在多做介绍。

加密隧道数据传输的理论出现，主要是为了提高数据传输的安全性，如国家内部的军事机密数据和核心战略机密数据等，为了保障数据传输的安全性与可靠性，需要对数据传输进行有效的加密控制。在进行隧道传输加密时主要采取以下的方式，专用网络传输、IPSECVPN技术通信传输、SSLVPN技术的数据传输[3]。

若是从通信隧道的构建成本方面进行考量，则专用网络通信隧道不宜建构。在通信隧道IPSECVPN构建之后，可以实现远程数据传输，且数据传输的速率较高。在构建数据通信隧道时，采取SSLVPN技术进行建设，可以保障对数据资源进行精细化的管理控制。通过对IPSECVPN技术传输隧道与SSLVPN技术隧道加密进行对比，可以发现两者处于不同的通信协议层，其中SSLVPN技术的通信协议处于隧道传输层以下，而IPSECVPN技术的网络通信协议处于传输层以上。而在国产商密算法的基础上构建的数据接入安全系统，则结合了IPSECVPN技术和SSLVPN技术的各自优势，提高了数据传输的安全性与可靠性。

（四）接入终端设计

在移动数据接入系统的接入终端设计时，第一，需要对相关的管理员进行终端管理，因为数据终端管理员的权限非常大，为了规避不法分子利用管理员的权限对网络通信协议进行肆意破坏。系统管理员在登记接入终端时，必须从接入系统的内网进行进入，且相关的系统终端管理员需要利用动态令牌的方式，对管理员的身份进行认证。

第二，则是对数据终端的认证，每一位接入数据终端的用户都需要对其身份进行合法验证，获取用户的唯一登录密目和动态的手机验证。通过严格的终端用户管理，可以避免其他用户非法进入网络终端，提高了企业网络运行的质量与安全。

第三，是对终端访问的资源进行一定管理，在安全接入网完成了用户身份认证之后，系统终端会根据进入终端用户的合法身份，给予相关的终端访问权限。而此用户仅可以在相应的权限内完成系统访问，无法进行越权访问系统资源。

三、移动安全接入系统的实现分析

在接入系统设计时，结合了IPSECVPN技术和SSLVPN技术的优点，并依据国产商密算法理论对SSL网络层协议进行了一定的改进优化，使其成为网络通信握手协议，根据数据通信完成虚拟网卡的数据隧道传输加密工作[4]。

在考虑到经济成本和系统安全等各类问题，在实现该接入系统时，以安卓移动客户端为实现平台。在该系统的应用层设计时，配合低层加密TK卡的储存功能，并利用VPN的虚拟专用系统，实现安卓客户端的数据传输加密通信目标。

在安全接入区构建时，需要利用多个服务器进行组建，同时考虑到服务器的经济成本和系统构建环境，可以将所有的安全接入区服务器机进行高度的整合，使其可以集中体现在一台服务器当中，提高了系统接入的安全性与可靠性。

在Windows7的计算机操控系统下，实现安全接入区的服务器性能。在系统内网建设时，可以将内网群集中在一台计算机电脑当中，同时在MyEclipse编程的工作环境配合下，确保安全接入系统的服务器可以实现预期的工作目标。

四、结束语

综上所述，在移动数据安全接入系统构建时，需要遵循国产商密算法的理论基础，同时分析现有数据传输系统的不同，融合IPSECVPN技术和SSLVPN技术的各自传输优势，构建握手协议的网络接入系统，提高接入系统的稳定性与安全性。

参考文献：

[1]崔传桢,田霞.得安,密码创新护航网络安全20年——基于网络强国背景下的得安集团信息安全及战略[J].信息安全研究,2018,310:866-878.

[2]杨宪萍.聚焦聚合聚力推进商密应用——对金融领域国产密码应用的几点思考[J].中国信息安全,2018,11:105-106.

[3]胡安然.聚焦信息安全前沿成果2015年全国商用密码展览会在北京召开[J].信息安全与通信保密,2018,01:72-75.

[4]逯欣.智能安全手机市场演绎群雄逐鹿卫士通携中国移动Mate8尊御版商密展独领风骚[J].信息安全与通信保密,2018,01:76-77.