摘要：通过移动安全方案建设，为应用提供强有力的安全支撑，包括：强身份认证，提高认证强度。采用PKI/CA数字证书认证高强度认证方式，消除未授权用户非法访问的风险。快捷认证，简化认证过程。提供适用于移动设备的快捷认证方式，包括指纹识别、手势、声纹、二维码认证等，简化用户认证过程。单点登录，一次认证全网通行。全场景兼容，移动端和PC端一体化。在移动终端替换传统USB KEY智能密码钥匙，并提供传统PC端所有应用场景支持。

关键词：电子政务、移动证书、数据安全、国密应用

1. 概述

1.1 背景

随着移动互联网的发展，移动办公模式逐渐被大众接受并得到了快速的发展。移动办公作为传统办公系统的无线扩展，可以与现有的办公系统无缝结合，使员工无论身处何地都可以高效的开展工作。智能终端所拥有的运算能力，可以支持邮件收发、公文审批以及个人事务处理等各种内部办公应用。随着全球经济一体化的发展，基于4G、5G移动互联网的移动办公已经成为现在企业信息化的重要标志，是继无纸化办公之后企业信息化的第二次革命浪潮。

移动办公给大众带来快捷、高效的办公体验的同时，也带来了一定的安全风险。移动互联在无线接入网络、移动终端、应用服务以及安全隐患上都即将面临着前所未有的挑战，手机病毒、垃圾短信、黑客攻击等现象逐渐暴露出来，给移动终端设备用户带来了非常头疼的问题。随着移动互联网的不断发展，已经进入到了全民移动互联的时代，移动应用安全问题也愈加的凸显出来，已经发展成为必须解决的安全问题。

1.2 目标

通过移动安全方案建设，主要目标如下：

1.强身份认证，提高认证强度

采用PKI/CA数字证书认证高强度认证方式，替代传统的用户名/口令认证方式，以确保登录的用户确实为授权的个体，消除未授权用户非法访问的风险。

2.快捷认证，简化认证过程

提供适用于移动设备的快捷认证方式，主要包括指纹识别、手势、声纹、二维码认证等，简化用户认证过程。

单点登录，一次认证全网通行

为多个应用系统提供单点登录功能，提升用户的办公效率。

3.全场景兼容，移动端和PC端一体化

在移动终端替换传统USB KEY智能密码钥匙，并提供传统PC端所有应用场景支持，如认证、签名/验证、加密/解密、时间戳、签章等。

2. 需求分析

针对移动办公场景中面临的安全问题，需要提供一套适用于移动设备的安全解决方案，帮助用户解决移动办公过程中涉及到的用户身份认证、访问控制、信息安全传输等问题。在保证安全的前提下，同时要能够给用户提供较好的操作体验。

移动互联网的发展促使越来越多的应用支持移动设备访问，如何简化用户的应用操作体验、提升应用访问效率，是移动安全产品需要重点考虑的问题。

在移动办公场景，需要产品可以满足如下需求：

1.身份认证需求

除了传统的用户名/口令认证方式外，必须提供高强度的身份认证方式，比如基于PKI/CA数字证书认证方式等，以确保登录的用户确实为授权的个体，消除未授权用户非法访问的风险。

2.快捷认证需求

基于移动办公的特殊使用场景，需要能够支持适用于移动设备的快捷认证方式，比如：指纹识别、手势、二维码认证等识别方式，简化用户认证过程。

3.单点登录需求

面对多个移动办公应用系统，需要支持多个应用系统的单点登录功能。当访问一个应用系统的时候需要进行身份认证，访问其他应用系统不需要再次认证，实现认同的统一，提升用户的办公效率。

4.全场景兼容需求

使用移动终端替换传统USB KEY外，需要兼容传统PC端所以应用场景，如认证、签名/验签、加密/解密、时间戳、签章等。

3. 技术方案

3.1 总体框架

图 1整体框架图

移动安全办公方案的目标是针对移动办公场景中面临的安全问题，为用户提供一套适用于移动办公的安全解决方案，帮助用户解决移动办公过程中涉及到的身份认证、访问控制、安全传输等问题。在保证安全性的前提下，同时为用户提供良好的操作体验。

在服务能力上，移动安全方案针对不同的应用场景提供多种服务能力和集成模式，包括App、SDK、Intent、URL Schema等，可以根据用户的实际需求和业务场景，选择合适的方式和应用系统进行结合。

在认证能力上，移动安全方案提供以数字证书认证技术为核心、其它认证技术为辅助的多种身份认证能力，满足不同场景下的用户的身份认证需求。

在业务能力上，移动安全方案从业务的安全性出发，提供电子认证、电子签名、电子签章等基于数字证书和密码技术的安全解决方案；从易用性和易维护角度出发，提供单点登录、远程解锁、消息推送、身份漫游等主要业务功能，为用户提供安全、便捷、易用的移动办公体验。

在基础服务上，通过部署数字证书服务、身份认证服务、签名/验签服务等系统，为移动办公提供安全服务支撑。

3.2 主要功能

1.PKI/CA认证中心  

图 2 PKI/CA系统框架

PKI/CA认证中心，主要由CA中心、密钥管理中心(KMC)、证书注册机构(RA)、在线证书状态查询系统(OCSP)、时间戳系统（TSA）、目录服务系统（LDAP）组成，支持"双证书、双密钥、双中心、双管理"的部署模式。系统以PKI技术为基础，通过为网络虚拟空间中的用户、机构、服务、进程、设备等实体颁发数字证书，解决网络虚拟空间中实体身份的可信性。

2.边界安全接入

通过在用户内外网边界上部署安全边界接入网关，所有移动终端在接入内网前需要在边界接入网关上完成身份认证，只有成功认证后才能连接到内网业务系统，并且采用国密SSL进行通道加密，确保内网数据安全。

3.移动APP发布

移动APP客户端产品开发完成后进行统一发布，终端用户通过相应的发布渠道安装客户端。客户端发布方式主要提供以下三种：

1.移动安全管理系统发布

将开发完成后的客户端安装包发布到移动安全管理系统，终端用户通过该系统提供的门户功能可以快速安装客户端。系统提供手动下载安装和扫码安装两种方式，用户可根据实际情况选择相应的安装方式。

2.内部应用市场

将开发完成后的客户端安装包发布到企业内部应用市场，终端用户通过内部应用市场下载、安装客户端。

3.互联网应用市场

将开发完成后的客户端安装包发布到互联网应用市场，终端用户通过应用市场下载、安装客户端。

4.移动证书管理

部署移动证书制证系统MCS，与PKI/CA认证中心的RA系统进行连接，实现移动证书的申请、下载、更新、注销等功能。

移动证书的申请可以通过管理员集中录入、人事系统自动同步、用户自助录入等多种方式进行证书申请。

移动证书的下载主要通过短信发送证书凭证码、扫描证书二维码进行证书下载，也可以通过用户自助服务一键下载证书。

系统也支持一个用户有多个移动终端设备，给每个设备颁发一张证书，均代表同一用户身份。

5.移动证书安全存储

证书存储介质提供以下两种方式，用户可根据实际情况自行选择。

1.通过硬件存储介质存储，包括：TF卡、SD卡、蓝牙KEY、音频KEY等，支持将数字证书发到不同的硬件存储介质。

2.软件安全密码模块，功能和硬件TF卡等类似，提供密钥管理、密码运算等功能。吉大正元密码模块通过了国家密码管理局的检测，具备商用密码产品型号证书。密码模块支持使用移动端硬件设备作为随机数发生器，如（CPU、陀螺仪、摄像头、网卡），由于部分手机没有陀螺仪等硬件设备，系统也支持使用服务器作为随机数的随机源。

6.移动身份认证

在移动办公场景下，移动App使用安全级别较高的数字证书对用户进行身份验证。针对多个App认证的场景，吉大正元移动安全方案提供多样化的身份认证功能。具体如下：

（1）通过和吉安宝进行OAuth协议对接，实现统一认证、单点登录功能。

（2）移动APP通过集成SDK接口，实现基于数字证书的身份认证功能。

（3）移动端设备替换了PC端的USB KEY智能密码钥匙，PC端业务系统与吉大正元身份认证网关二维码认证功能集成，用户在PC端打开业务系统登录页面,通过移动端吉安宝扫一扫功能，实现用户身份认证。

（4）提供用户使用本人移动证书进行二维码认证，授权他人在PC端以自己身份访问系统，进行业务办理。例如用户A授权用户B，使用用户A的身份登录业务系统进行流程审批等操作。

（5）在移动端没有信号、没有移动网络的情况，可以使用手机生成动态令牌，用户在业务系统登录界面输入用户唯一标识、动态令牌进行身份认证。

7.移动数据签名/验签

通过移动端设备替换了PC端的智能密码钥匙，原来在PC端通过智能密码钥匙实现数据签名/验签，实现数据防篡改功能，在移动办公场景下，移动端APP与吉大正元数字签名服务器结合，通过扫描二维码或消息推送的方式实现数据签名、验证签名功能。

8.移动数据加密/解密

移动端APP与吉大正元数字签名服务器结合，通过扫描二维码或消息推送的方式实现数据加密、解密功能。

9.移动电子签章

通过将电子印章存储在密码模块或者印章服务器，移动端数字证书与吉大正元数字签名服务器结合，通过扫描二维码或消息推送的方式实现可视化电子签章功能，提高用户办事效率。

10.移动证书远程解锁

移动端密码模块是软件形态的智能密码钥匙，通过PIN码保护证书，使用过程中会出现忘记PIN码或者由于PIN码多次输入错误导致密码模块被锁的情况。用户可以通过自助申请进行远程解锁，审核方式可以由用户录入身份信息自动进行验证，也可以由管理员手动进行审核进行远程解锁。

4. 方案特色

图3 方案特色

5. 适用领域

电子政务、电子商务、物联网、金融、医疗和企事业单位等移动办公。

6. 产品清单

7. 应用案例

四川省某政府单位

四川省某政法单位

四川省某市(州)政府

四川省国家电子政务外网

四川省某军工单位

长春吉大正元信息技术股份有限公司

联系人：饶黎

电  话：13540859597