能智造与信息技术移动数据安全传输平台的设计与应用nginx ssl证书配置
夏红燕
(92146部队广东湛江524001)
摘 要:随着物联网和大数据平台技术的飞速发展,以及4G/5G的使用和普及,无线传输技术在带宽和速度
方面有了巨大的提升,移动交互模式不断深入企业应用的各个业务平台。但是,网络安全问题却日益加大,
信息安全传输将面临越来越严重的网络安全威胁。软件系统机构每年遭遇数次数据安全事故,这些安全隐
患造成软件平台系统出现中断、数据劫持、数据损坏等现象,严重影响了行业内正常的生产活动,给机构造成
大量经济损失,甚至是不可修复的数据损失。
关键词:加密算法移动互联数据安全平台数据通信
中图分类号:P631文献标识码:A文章编号:1674-098X(2022)08(c)-0074-03
1  移动通信数据安全现状
在信息化海量数据的快速发展过程中,网络数据交互需求正在以指数级别增长,大量的移动互联设备需要接入到企业信息服务平台中。在这种形势下,移动设备数据安全性、数据链路传输的安全性、服务平台的数据安全落地等诸多核心环节都需要必要的信息安全加固,保证用户的数据安全不会遭到泄露,同时,服务平台需要针对接入的移动终端设备进行必要的信息监控和审计,接入的数据链路要进行识别和认证。
移动通信数据安全不断被各行业关注。目前,大量的终端设备和手机采用Android操作系统平台,由于
Android操作系统采用Linux开源内核,Android操作系统也以其开放性的特点不断提升市场占有率[1],An⁃droid终端设备涉及生活、办公的各个方面。但是,由于Android应用市场的审核体制不够严格、应用开发权限控制不够合理、各大厂商不断自己定制ROM系统等多方面原因,Android手持设备包括手机终端经常出现安全隐患,Android应用容易遭受恶意攻击,甚至平台交互数据导致平台受到病毒攻击,导致数据丢失、数据劫持等安全问题[2]。
在这种严峻的安全威胁形势下,如何保证移动终端接入对象的数据安全性、建立可靠的数据传输链路,同时保证数据不被窃取,窃取数据无法解密,并且数据服务Sass平台可以实现对接入终端的认证、数据链路的认证、加密数据高效解密的同时,加强对终端的数据和操作的监控和授权等一系列安全威胁,已经成为企业信息化发展过程中亟待解决的问题。
2  移动数据安全传输平台设计
2.1  系统设计目标
为应用行业提供安全级别高、运行高效的通用数据安全平台,采用模块化、微服务化,终端数据和数据传输部分采用全组件模式,构建成为模块化、安全化性能优化的安全数据平台。
2.1.1 功能性目标
数据服务平台架构的设计和实现建设的整体过程必须针对信息传输部分进行安全加固,同时要求认证双方有较快的加解密过程,保证数据到达和处理端解析不过度影响终端平台运行效率[3]。本课题针对警用特殊业务行业特点提出涵盖终端、传输链路台、认证、存储整体数据安全架构,在功能使用方面,采用安全接入组件的形式,为其提供私有协议为数据传输加密,在终端和服务平台之间建立一条安全数据传输链路和通道,终端应用采用SDK形式,保证移动终端数据传输的安全性和高扩展性。
2.1.2 运行性能目标
移动数据安全平台对开发者终端和服务器提供的是SDK形式的安全组件,其交互主要通过数据安全接入平台,因此系统性能目标方便,主要包括两个方面。
(1)加密解密性能。终端平台交互需要将数据进行加密,数据交互双方需要通过CA中心进行身份认证,因此对本课题的数据加解密部分提出了高的要求,加解密过程必须在保证不过度影响开发者系统资源的
DOI:10.16660/jki.1674-098X.2203-5640-9638
作者简介:夏红燕(1980—),女,硕士,工程师,研究方向为有线通信技术。74
科技创新导报Science and Technology Innovation Herald
科技创新导报 Science and Technology Innovation Herald
智能智造与信息技前提下,实现高效率的系统运行。
(2)安全接入平台性能。安全接入平台承载所有
开发者应用的接入交互[4]
,提供开发者CA 认证、资源管理、认证管理、权限访问控制、数据监控服务等诸多高并发数据请求模式,因此,安全接入平台采用微服务架构模式,保证提供的每个业务点能够独立运行,并可以独立扩展硬件资源,应对瞬时高并发请求。
2.1.3 安全性目标
移动数据安全传输平台通过SDK 安全组件的形式,实现开发者的应用数据交互安全性、移动设备的监控,采用双向CA 认证机制和SSL 加密协议搭建数据交互的安全链路。
对于交互双方,采用双向身份认证机制,移动端确认数据来自自身接入的服务器,并且终端组件SDK 中提供SQLite 和本地文件存取加解密接口,保证落地数据的安全不被窃取。服务平台认证数据来着自身终端用户,服务端SDK 组件提供Basic 认证协议、CAS 认证支持、OAuth2认证协议、OpenID 认证协议等多种认证
协议支持[5]。
2.2  移动安全数据传输平台整体架构设计
移动数据安全传输平台整体平台架构主要包括3个部分,即安全接入平台、终端安全组件和服务平台安全组件。
(1)安全接入平台。其主要负责开发者应用开发接入、终端和服务端双向CA 认证、证书发放、双方密钥协商、密钥交换等安全相关功能,同时提供对移动端行为和日志数据进行监控等。
(2)移动端安全接入组件。其主要为开发者提供安全接入SDK ,开发者在进行终端开发过程中,通过SDK 接入安全平台,使用本平台提供的双向CA 认证、
终端数据安全加固、传输数据加密等服务。
(3)服务平台安全组件。其主要为开发者服务平台提供相关的安全认证相关功能,主要包括安全认证网关功能、数据加密解密网关功能、终端监控网关功能及统一化展示平台功能。
移动数据安全传输平台总体架构如图1所示。2.2.1 安全接入平台架构设计
移动数据安全传输平台整体架构采用三层模式:
底层基于Mysql 和Elastic Search 进行业务数据处理[6]
中间层采用Spring Cloud 微服务架构,将面向开放者的应用拆分成独立的应用服务,单独部署独立发展和完善各自的生态;最上层接口层采用Nginx ,结合Spring Cloud Gateway ,对API 接口、监控展示UI 及部分三方对接组件进行请求负载和必要网关处理。
(1)数据存储层。数据存储层充分考虑到未来一
段时间内业务数据量的发展情况,采用MySql ,结合
Elastic Search 及部分MongoDB 的组合模式。对于其他监控或者日志数据,系统将直接落地到非关系数据库
中,后期采用部分MongoDB 支持此类业务。
(2)应用架构层。应用层架构采用Spring Cloud 微服务生态,实现本平台应用接口服务治理,并发请求负载均衡、远程调用智能路由、服务错误熔断、系统运行监控等。计划开发部署包括开发者管理系统、应用管理系统、监控系统、CA 认证系统、授权代理系统、密钥交换系统等子系统,应用系统之间采用Feign 客户端模式进行HTTP 级别的RPC 远程调用,各个子系统针对业务场景的使用频度动态增加硬件资源。
(3)负载及接口层。接口及负载层主要基于
Nginx ,结合Spring Cloud Gateway 模式,实现高并发的应用请求负载处理、动态代理、接口安全限制、服务端路由等功能。
2.2.2 服务端安全组件架构设计
移动数据安全传输平台提供服务端SDK ,针对不同开发者的平台,本课题提供Java 、Php 、C#
版本的开发者SDK
,开发者将本课题提供的SDK 导入到自己的项目中即可,对接服务端安全组件架构如图2所示。
(1)安全网关组件。安全网关组件是为开发者提供的基于异步模式的服务端安全网关组件,该组件主
图1 移动安全数据传输平台总体架构图
图2 服务端安全组件架构图
75
科技创新导报Science and Technology Innovation Herald 能智造与信息技术
要提供基本的安全策略,主要针对常见SQL注入攻击防护、跨站脚本攻击(XSS)防护等常见Web攻击手段,同时提供针对CA认证功能认证移动端数据为可信来源。
(2)解密组件。针对移动端通过加密链路提供的加密数据进行数据解密,在数据进行解密之前,组件需要通过安全接入平台进行私钥获取完成密钥交换过程,同时,该组件对密钥进行缓存,保证不用每次都要请求安全接入平台。
(3)认证组件。对于移动端的请求,需要携带to⁃ken数据,认证组件对请求携带的token数据进行认证,认证通过后的数据被认为是可信数据。
(4)监控组件。对移动端请求进行行为监控,主要包括用户请求接口、请求频率、用户行为、请求错误率、接口限制等多样化的行为监控,该组件对开发者提供实时的可视化界面,并将数据同步到安全接入平台,进行更加精细化的数据分析。
(5)日志组件。记录用户行为日志,并提供开发者JSON结构的持久化接口、最近一段时间的缓存接口,开发者自由选择存储或者直接UI展示和检索。
(6)服务监控及展示组件。次组件主要针对开发者硬件资源进行监控,并将实时数据同步到数据安全平台。监控数据包括机器IP、端口、硬件型号、CPU使用率、内存使用率、系统进程数、应用线程数、数据带宽等,开发者可以直接接口调用进行直观的UI展示。
3  移动数据安全平台应用
所提出的移动数据安全传输平台通过对终端和服务平台双方提供SDK和VPN组件的形式,实现数据双向的CA认证和SSL加密协议的同时,对服务平台提供安全管理、认证策略、控制策略、访问控制等数据交换安全服务。
移动数据安全平台以SSL和TLS协议为基础,对交互数据进行再次封装、加密、压缩,然后数据流入SSL传输链路中。数据接收方采用CA认证和数字签名机制实现终端和平台双方双向安全认证,确保数据的安全性,防止恶意攻击和数据篡改等问题出现,为终端—平台数据通信提供强有力的安全保障。
该安全平台在保证安全性的同时,具有较高的通用性和便捷性,平台下的权限管理和组织管理可以动态配置,平台中的菜单项等可以动态配置,这样可以使用一套平台对应不同需求,即针对不同的特殊行业做不同的配置,灵活通用。
数据安全交互平台结合CA认证机制,并为下属CA签发公钥证书,对范围内密钥的产生、密钥的长度、证书的有效期规定及CRL等进行统筹管理。平台为接入的外网终端提供审计功能,为用户之间在网上传递信息的安全性、真实性、可靠性、完整性和不可抵赖性提供有力保障。
参考文献
[1]李平,何海浪.5G移动通信的关键技术及发展趋势
分析[J].科技风,2019(4):62.
[2]廖其彬,周星浩,徐显达,等.5G移动通信关键技术及
发展趋势分析[J].中国新通信,2019,21(3):126. [3]冯海浩.大数据分析在移动通信网络优化中的应用
研究[J].数字通信世界,2020(7):185-186.[4]YUE Y-G,HE P.A comprehensive survey on the reli⁃ability of mobile wireless sen-sor networks: Tax⁃onomy, challenges, and future directions[J].Informa⁃tion Fusion,2018,44:188-204.
[5]RAY P P.A survey on Internet of Things architectures [J].Journal of King Saud University-Computer and In⁃formation Sciences,2018,30(3):291-319. [6]金琦轩.跨数据中心网络数据传输调度研究[D].桂
林:电子科技大学,2021.
76

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。