1移动办公平台安全体系结构设计

针对移动办公平台安全威胁，必须采取相应的安全策略，才能保障该交通电子政务平台的安全有效运行。在网络传输方面，本平台采用传输通道加密策略，以保障传输信息的机密性，防止信息被非法侦听和盗取。在身份认证方面，本平台采用自定义的安全认证策略，采取公钥基础设施体系的二级强身份认证和授权策略，并且通过专网专用、访问控制、网络隔离等安全策略构成独立可靠的安全接入体系，并通过远程访问的RAP服务，使得移动智能手机或平板电脑中不存储任何数据，以保证移动智能终端的安全性。

2安全技术研究针

对交通电子政务移动办公平台的安全体系结构，进行相关关键技术的研究。该安全体系结构主要针对该平台可能遭受到的安全威胁采取安全策略进行防御构建。包括采用单点登录和身份认证进行访问控制，采用专网专线和隧道加密进行网络隔离，采用RAP服务进行移动智能终端加固，采用基于角色的授权进行分组授权。

2.1单点登录技术研究该平台是

在目前正在运行的交通数字化办公平台的基础上构建的，由网络视频会议系统、电子政务办公自动化系统、在线计费管理系统、交通运输GPS监测系统等子系统构成，系统间联系比较松散，数据相关性不强。而且每个子系统都有自己的安全保障体系和认证策略，这不仅给管理带来的巨大负担，也给系统安全造成了一定程度的隐患。而采用单点登录技术，用户只需要登陆一次，就可以在相互信任的子系统间进行跳转，而不需要重复输入用户名和密码。这种统一的管理方式既提高了系统的访问效率，也加强了平台的安全访问控制。(1)如果用户首先想访问应用系统1，则需要提供诸如用户名和密码等登录信息给认证服务器;(2)如果登录信息正确，则认证服务器会返回给该用户数字证书，并将网页链接从统一门户重定向到应用系统1;(3)如果该用户想访问其他应用系统，则不需要重新登录，只需要给认证服务器提供数字证书;(4)认证服务器对提交的数字证书进行真伪验证，如果验证通过，则可以对其他的应用系统进行访问。从上述步骤可以很容易看到，用户只需要登录一次即可访问所有子系统，从而实现单点登录。

2.2安全接入技术研究在对各

3G移动网络技术进行细致研究的基础上，选择适合本平台的安全专网接入技术。由基础电信运营商分配独立的接入点与交通电子政务平台进行连接。电信运营商与交通信息中心的路由器采用私有IP进行通信。只要是合法的用户，都能够高速地通过移动专网专线接入内网，而非法的用户则被限制在内网之外。在接入时，为了保证内网与公网的绝对隔离，限制内网的合法用户访问公网，从而更好地保证内网数据的机密性。为了保证专网专用传输的私有性，在移动专网上采用虚拟拨号业务，采用SSL隧道传输协议，从而建立一条秘密通道，使信息的传输不会受到外界干扰，保证内网信息被安全高效的访问。

2.3认证策略研究身份认证

策略和单点登录是协同工作的。在移动专网中配置了认证服务器，通过数字证书进行身份认证，以对抗移动平台中可能出现的抵赖威胁。在身份认证策略中，首先应该配置虚拟专用网安全网关，以保证只有合法的用户才可以通过认证安全接入，同时还提供了隧道加密压缩、安全访问控制能功能;然后进行在线终端和智能移动终端的身份注册和管理服务功能;还需要配置系统的认证体系，以进行数字证书的发放。身份认证基于非对称密钥机制进行证书的签发，证书采用公钥进行加密，在证书验证的过程中使用私钥进行解密，以使非法的用户不能进入内网。

2.4分组授权和日志

跟踪研究为了实现更加细粒度的访问控制权限，本平台采用分组授权机制进行权限的控制，各组根据行政机构进行划分，不同组别的用户具有不同的访问权限。而且，该平台的访问控制权限的粒度可以细化到页面中的按钮，这可以通过设置权限字符串序列进行实现。通过权限控制，保证了平台的安全性和私有数据的保密性。同时，该平台利用日志跟踪管理，记录访问该平台用户的访问时间、逗留时间、用户名、访问IP、执行操作等具体信息，从而保证如果发生非法操作，能够通过日志管理追溯到具体的责任人，加固了平台的安全。而且，需要按时将日志信息备份防止日志丢失或被非法篡改。

3结束语

本文主要对交通电子政务3G移动安全办公安全技术进行研究，在对本平台可能会遭受的安全威胁进行分析的基础上，构建平台安全体系结构，并对安全接入技术、单点登陆技术、身份认证策略和分组授权等关键技术进行研究。该平台能够在真正意义上实现电子政务的移动办公，通过移动专网和安全保障策略保证交通电子政务移动平台的安全高效运行。

作者：杨茹单位：黑龙江工程学院