用户需求一、项目概况东莞市公安局大朗分局为满足警务人员在外执行公务时，移动终端经过安全认证后，可随时通过无线网络远程登录公安局内网，访问移动警务平台。

公安局内网属于公安内部应用的专网，任何接入都需严格保证高安全、高保密性。

为满足客户的移动警务应用需求，警务人员的移动终端通过运营商的无线网络，连接到公安外网后，需经过一套高安全的接入平台，才能连接到公安内网，从而访问公安移动警务平台。

二、项目方案概述、接入平台网络结构移动警务应用从移动终端一直连接到公安内网，形成一个高安全性通道，该整个通道构建由移动终端、移动通信网络、移动接入区、安全隔离区与公安信息网等五大部分组成。

本项目需向投标人采购移动终端及通道服务。

接入平台的网络结构如下图所示：．接入平台网络拓朴示意图、移动终端每个用户需要配备一台智能手机/专用终端，这些移动终端需要使用相关的移动警务数字证书。

智能手机/专用终端通过在线（TCP/IP）的方式访问平台内移动应用服务器、查询/浏览/上报相关警务信息。

需要在移动终端上安装安全接入网关客户端软件（手机类操作系统每一系列下面又分若干的子版本，分布针对不同的操作系统和其不同版本），并且使用移动警务数字证书（智能手机/专用终端使用TF 卡接口式移动警务数字证书）。

移动警务数字证书结合安全接入网关客户端软件实现移动终端与安全接入网关之间的双向身份认证，并建立VPN通道，并且对传输的数据进行基于采用SM算法的硬件芯片实现端对端加解密，通过路由和虚拟子网的功能将移动终端的应用报文通过VPN通道加密传输。

、移动警务数字证书移动警务数字证书通过身份认证系统为其颁发的数字证书实现和安全接入网关之间的身份认证，通过内置的加密芯片实现和安全接入接入网关之间信息加密传输。

实现对接入用户的识别、密码学运算、信息加解密封装、SM密钥协商等功能。

、移动通信网络第1页共4页移动通信网络是指公共移动通信运营商提供的移动通信数据承载网络，为了保障公安移动信息的安全传输，平台对移动通信网络的要求包括：、提供移动通信网络到移动接入区的专线接入，保证稳定可靠的传输服务；、必须建立公安虚拟专用网络，减少公安信息被泄漏、窃取和篡改的安全风险；、建立防止对公安信息移动接入及应用系统与其它相关系统发动任何形式攻击的防范措施；、对攻击防御、网络安全事件调查、安全问题的发现和解决等各项工作进行积极配合，并且有保障措施和承诺为此参与提供承载移动警务数据传输通信网络的移动通信运营商都需针对公安信息公网移动接入及应用系统建设和使用需求，提供覆盖面广、高速、稳定、安全的速通信承载网络，即：承载网络覆盖面广，基本上不存在盲区，满足民警深入基层执法办案的需要；该承载网络的数据传输能力，要能够满足移动警务应用的需要。

、移动接入区移动接入区主要实现移动安全接入与移动应用服务。

这里部署了防火墙、安全接入网关等安全设备。

.防火墙防火墙采用通用产品，功能主要是实施安全策略，确保接入区域免受网络攻击。

其安全策略中只允许VPN数据包通过。

.安全接入网关安全接入网关可为智能手机/专用终端提供虚拟网接入业务。

它能实现移动终端和网关之间的数据通过VPN隧道加密传输，实现数据传输的完整性和机密性，能提供网关和设备之间的身份认证，密钥安全存储和运算，密钥协商、加密传输，虚地址路由，接入用户管理，配置管理，集中审计等功能。

支持SM、SM、SM、SM密码算法。

）身份认证功能安全接入网关对接入用户的身份进行认证，认证技术采用RSA公私密钥对，用户身份标识采用RSA签名和验证算法，安全强度高。

只有被授权可以远程接入VPN网关并且通过认证的用户才能接入内网。

）密钥安全存储安全接入接入网关，实现了RSA密钥对的产生，RSA私钥安全存储， SM密钥安全存储。

加密卡提供多种密码学运算，主要包括：随机数生成，HASH计算，RSA签名，RSA验证，SM加解密，HMAC计算。

加密卡还提供基于TF接口和用户口令的双因素用户认证机制。

只有拥有合法TF加密卡以及有用户口令的用户才能操作和使用加密卡。

）密钥协商安全接入接入网关采用标准SSL握手协议进行对称密钥协商。

对双方的身份采用基于RSA签名和验证的数字签名认证。

）加密传输安全接入接入网关，可以支持各种网络介入模式，如专线、ADSL、ISDN和PSTN等。

SSL隧道封装采用了HMAC和SM加密技术确保报文在传输中的完整性和机密性。

可以支持所有基于C/S应用。

）虚地址路由功能安全接入接入网关采用了虚拟地址技术，为每个接入终端分配虚拟地址，接入终端通过该虚拟地址与网关之间构建一个虚拟内网环境，能支持各种架构的内网拓扑结构。

通过配置VPN网关和相关的路由器等网络设备，可以支持单网段，多网段等各种复杂的内网环境。

）接入用户管理安全接入接入网关提供接入用户的管理功能，包括接入允许，接入权限，接入用户之间的相互访问控制。

管理员通过管理界面能够控制接入用户是否接入，限制接入用户在接入终端的网络访问，限制用户只能访问VPN网络，其它网络资源不能访问。

可以限制已建立VPN通道的接入终端之间的相互访问。

）配置管理安全接入网关提供了基于GUI的配置管理功能，包括用户验证、网络配置、加密参数配置和接入参数配置等配置功能。

配置管理能够通过用户名和口令的方式对配置管理员的身份进行验证。

）集中审计安全接入网关提供了对集中监控与审计系统的集中上报日志功能。

VPN用户的上线，验证，离线等日志信息将被自动导入到平台监管探针，进而报送至集中监控与审计系统。

.数据应用代理和数据应用管理系统与移动接入区的应用代理系统配合使用，实现安全数据交换。

..数据交换功能）支持多种数据库的单、双向数据交换●同构数据源数据交换：安全平台两边需要交换数据的数据库为同一厂家的数据库。

●异构数据源数据交换：安全平台两边需要交换数据的数据库为不同厂家的数据库。

●单向数据交换：通过安全平台的数据为单向流动，即只需将平台一边数据库的数据发生的变更，单向同步到另一边指定数据库中去。

●双向数据交换：通过安全平台的数据是双向的，即平台两边任一边数据库中的数据发生了变更，都需要向另一边数据库中进行同步。

●一对一数据交换：安全平台两边各存在一台数据库进行同步操作。

●多对一数据交换：安全平台一边存在多个数据库系统，向另一边一个数据库进行数据同步。

●实时同步和定时复制：根据配置实时将安全平台一侧数据库数据发生的变化同步到平台另一侧指定的数据库中或者将安全平台一侧数据库发生变化的数据在指定的时间开始对平台另一侧数据库进行复制。

）支持多种文件传输协议的文件同步；●能够支持文件夹的新增同步；●能够支持奉献模式的文件同步（文件复制成功后源文件删除）；●能够支持先备份后同步（同步时不覆盖目标文件）；●能够支持双向文件同步；●支持文件类型限定功能；●支持各种自动触发方式，能实时、定时或手动地启动备份同步任务；●能够支持独立的多任务模式，可以对多个不同的文件夹进行不同的备份或同步；）统一数据服务统一数据服务实现异构数据源的注册、整合和转换，将不同数据源数据整合到统一数据库中，减少数据服务的复杂性和差异性，为应用提供统一的数据服务接口。

数据应用代理系统采用统一的webservice接口为应用提供数据服务。

解析应用传来的XML文档，判断应用的查询对象或录入对象对应的外部数据源对象是哪种类型，然后调用每种类型对应的处理模块执行查询和录入操作，并将结果封装为回复XML文档。

）简化的开发包支持数据应用代理系统向第三方应用开发商提供了更简单易用的开发包，包括java jar包和windows DLL 两种方式。

客户端开发包使得外部访问者能够通过各个方法实现完整的数据访问功能，而不再必须通过按照复杂的XML标准进行数据的解析、处理等。

..代理通信功能）网闸HTTP限制处理有些网闸按照安全策略要求只允许开放HTTP通道，C/S原始报文会被拦截。

为顺利地将C/S应用报文摆渡过网闸，应用客户端到应用服务器的C/S报文需要在前置服务器进行HTTP封装，以便顺利通过网闸，到了后置服务器再拆封，恢复原始C/S报文，由C/S应用服务器进行处理；应用服务器到应用客户端的应答报文则通过反向的C/S报文封装和拆封通过网闸。

）网闸单向请求处理有些网闸只允许从移动接入网向信息内网主动发起请求报文，部分业务应用需要反向发起请求时就会被网闸阻断。

C/S应用代理系统可以通过网闸上的“逻辑变向”摆渡这样的业务报文：来自应用客户端的C/S请求报文到了后置服务器，会先存入请求队列，由前置服务器主动发起轮询，将C/S请求从前后机请求队列中依次拉出，再传递给C/S应用服务器。

）代理方式支持●端口转发：在CS应用代理系统上注册需要访问的目标服务器IP、端口和该服务对应的本机监听端口，客户端访问访问该目标服务器在CS上注册的监听端口，CS将该数据转给目标服务器；●上下文转换：在CS应用代理系统上注册要访问的目标URL地址和该地址对应的CS监听端口，客户端访问该目标服务器在CS上注册的监听端口，CS将该数据转给目标URL。

●非透明模式：需要在客户端浏览器配置代理服务器，代理服务器地址为C/S应用管理服务器外网IP，端口为C/S应用代理系统对外提供的服务端口。

在CS应用代理系统上注册。

..请求响应内容的信息过滤：就是对通过权限检查，成功调用的信息进行响应标题和内容的信息过滤，只有被允许的合法和非限定的信息才能进行信息传输访问。

..应用身份认证●调用者IP地址的认证：通过调用者的登录IP地址认证，限定非法IP登录地址，达到安全接入限制的目的。

●调用者身份认证：在调用者通过接入接口检查，其身份必须要服务管理器中的用户信息进行校验，校验身份成功，才能进入下一步调用权限检查。

..应用授权访问服务管理就是进行服务接口的管理，主要实现如下功能：●服务的注册：主要就是对基于业务逻辑层的信息，进行登记处理，便于调用者工作时进行调用。

●服务的映射：服务的映射主要体现在接入接口名称、接入方法名称等进行关联映射，在进行安全接入时，保证系统访问安全性。

●调用者管理：调用者管理主要就是对使用用户的信息登记。

●服务调用授权：针对调用者调用接口方法和内容的授权，保证具体哪些用户有权利来进行指定的资源访问。

●服务发布：这是服务管理器中资源授权的最后一步，通过调用者名称、调用接口名称、接入方法名称一一映射，达到服务调用的最终安全目的。

●服务列表的查看：进行服务发布信息的查看，通过查看，了解到具体哪些数据安全调用共享。

为确保外部移动终端安全，平台采用身份认证系统对用户进行发证和授权。

与内网的PKI/PMI系统相独立身份认证系统集成CA和LDAP功能，可以为移动终端和安全接入接入网关签发和注销移动警务身份证书。