产品展示

移动安全解决方案
2021-02-23 10:25:45

摘要:通过移动安全方案建设,为应用提供强有力的安全支撑,包括:强身份认证,提高认证强度。采用PKI/CA数字证书认证高强度认证方式,消除未授权用户非法访问的风险。快捷认证,简化认证过程。提供适用于移动设备的快捷认证方式,包括指纹识别、手势、声纹、二维码认证等,简化用户认证过程。单点登录,一次认证全网通行。全场景兼容,移动端和PC端一体化。在移动终端替换传统USB KEY智能密码钥匙,并提供传统PC端所有应用场景支持。

关键词:电子政务、移动证书、数据安全、国密应用


1. 概述

1.1 背景

随着移动互联网的发展,移动办公模式逐渐被大众接受并得到了快速的发展。移动办公作为传统办公系统的无线扩展,可以与现有的办公系统无缝结合,使员工无论身处何地都可以高效的开展工作。智能终端所拥有的运算能力,可以支持邮件收发、公文审批以及个人事务处理等各种内部办公应用。随着全球经济一体化的发展,基于4G、5G移动互联网的移动办公已经成为现在企业信息化的重要标志,是继无纸化办公之后企业信息化的第二次革命浪潮。

移动办公给大众带来快捷、高效的办公体验的同时,也带来了一定的安全风险。移动互联在无线接入网络、移动终端、应用服务以及安全隐患上都即将面临着前所未有的挑战,手机病毒、垃圾短信、黑客攻击等现象逐渐暴露出来,给移动终端设备用户带来了非常头疼的问题。随着移动互联网的不断发展,已经进入到了全民移动互联的时代,移动应用安全问题也愈加的凸显出来,已经发展成为必须解决的安全问题。

1.2 目标

通过移动安全方案建设,主要目标如下:

1.强身份认证,提高认证强度

采用PKI/CA数字证书认证高强度认证方式,替代传统的用户名/口令认证方式,以确保登录的用户确实为授权的个体,消除未授权用户非法访问的风险。

2.快捷认证,简化认证过程

提供适用于移动设备的快捷认证方式,主要包括指纹识别、手势、声纹、二维码认证等,简化用户认证过程。

单点登录,一次认证全网通行

为多个应用系统提供单点登录功能,提升用户的办公效率。

3.全场景兼容,移动端和PC端一体化

在移动终端替换传统USB KEY智能密码钥匙,并提供传统PC端所有应用场景支持,如认证、签名/验证、加密/解密、时间戳、签章等。

2. 需求分析

针对移动办公场景中面临的安全问题,需要提供一套适用于移动设备的安全解决方案,帮助用户解决移动办公过程中涉及到的用户身份认证、访问控制、信息安全传输等问题。在保证安全的前提下,同时要能够给用户提供较好的操作体验。

移动互联网的发展促使越来越多的应用支持移动设备访问,如何简化用户的应用操作体验、提升应用访问效率,是移动安全产品需要重点考虑的问题。

在移动办公场景,需要产品可以满足如下需求:

1.身份认证需求

除了传统的用户名/口令认证方式外,必须提供高强度的身份认证方式,比如基于PKI/CA数字证书认证方式等,以确保登录的用户确实为授权的个体,消除未授权用户非法访问的风险。

2.快捷认证需求

基于移动办公的特殊使用场景,需要能够支持适用于移动设备的快捷认证方式,比如:指纹识别、手势、二维码认证等识别方式,简化用户认证过程。

3.单点登录需求

面对多个移动办公应用系统,需要支持多个应用系统的单点登录功能。当访问一个应用系统的时候需要进行身份认证,访问其他应用系统不需要再次认证,实现认同的统一,提升用户的办公效率。

4.全场景兼容需求

使用移动终端替换传统USB KEY外,需要兼容传统PC端所以应用场景,如认证、签名/验签、加密/解密、时间戳、签章等。

3. 技术方案

3.1 总体框架

1整体框架图


移动安全办公方案的目标是针对移动办公场景中面临的安全问题,为用户提供一套适用于移动办公的安全解决方案,帮助用户解决移动办公过程中涉及到的身份认证、访问控制、安全传输等问题。在保证安全性的前提下,同时为用户提供良好的操作体验。

在服务能力上,移动安全方案针对不同的应用场景提供多种服务能力和集成模式,包括App、SDK、Intent、URL Schema等,可以根据用户的实际需求和业务场景,选择合适的方式和应用系统进行结合。

在认证能力上,移动安全方案提供以数字证书认证技术为核心、其它认证技术为辅助的多种身份认证能力,满足不同场景下的用户的身份认证需求。

在业务能力上,移动安全方案从业务的安全性出发,提供电子认证、电子签名、电子签章等基于数字证书和密码技术的安全解决方案;从易用性和易维护角度出发,提供单点登录、远程解锁、消息推送、身份漫游等主要业务功能,为用户提供安全、便捷、易用的移动办公体验。

在基础服务上,通过部署数字证书服务、身份认证服务、签名/验签服务等系统,为移动办公提供安全服务支撑。

3.2 主要功能

1.PKI/CA认证中心  

2 PKI/CA系统框架


PKI/CA认证中心,主要由CA中心、密钥管理中心(KMC)、证书注册机构(RA)、在线证书状态查询系统(OCSP)、时间戳系统(TSA)、目录服务系统(LDAP)组成,支持"双证书、双密钥、双中心、双管理"的部署模式。系统以PKI技术为基础,通过为网络虚拟空间中的用户、机构、服务、进程、设备等实体颁发数字证书,解决网络虚拟空间中实体身份的可信性。

2.边界安全接入

通过在用户内外网边界上部署安全边界接入网关,所有移动终端在接入内网前需要在边界接入网关上完成身份认证,只有成功认证后才能连接到内网业务系统,并且采用国密SSL进行通道加密,确保内网数据安全。

3.移动APP发布

移动APP客户端产品开发完成后进行统一发布,终端用户通过相应的发布渠道安装客户端。客户端发布方式主要提供以下三种:

1.移动安全管理系统发布

将开发完成后的客户端安装包发布到移动安全管理系统,终端用户通过该系统提供的门户功能可以快速安装客户端。系统提供手动下载安装和扫码安装两种方式,用户可根据实际情况选择相应的安装方式。

2.内部应用市场

将开发完成后的客户端安装包发布到企业内部应用市场,终端用户通过内部应用市场下载、安装客户端。

3.互联网应用市场

将开发完成后的客户端安装包发布到互联网应用市场,终端用户通过应用市场下载、安装客户端。

4.移动证书管理

部署移动证书制证系统MCS,与PKI/CA认证中心的RA系统进行连接,实现移动证书的申请、下载、更新、注销等功能。

移动证书的申请可以通过管理员集中录入、人事系统自动同步、用户自助录入等多种方式进行证书申请。

移动证书的下载主要通过短信发送证书凭证码、扫描证书二维码进行证书下载,也可以通过用户自助服务一键下载证书。

系统也支持一个用户有多个移动终端设备,给每个设备颁发一张证书,均代表同一用户身份。

5.移动证书安全存储

证书存储介质提供以下两种方式,用户可根据实际情况自行选择。

1.通过硬件存储介质存储,包括:TF卡、SD卡、蓝牙KEY、音频KEY等,支持将数字证书发到不同的硬件存储介质。

2.软件安全密码模块,功能和硬件TF卡等类似,提供密钥管理、密码运算等功能。吉大正元密码模块通过了国家密码管理局的检测,具备商用密码产品型号证书。密码模块支持使用移动端硬件设备作为随机数发生器,如(CPU、陀螺仪、摄像头、网卡),由于部分手机没有陀螺仪等硬件设备,系统也支持使用服务器作为随机数的随机源。

6.移动身份认证

在移动办公场景下,移动App使用安全级别较高的数字证书对用户进行身份验证。针对多个App认证的场景,吉大正元移动安全方案提供多样化的身份认证功能。具体如下:

(1)通过和吉安宝进行OAuth协议对接,实现统一认证、单点登录功能。

(2)移动APP通过集成SDK接口,实现基于数字证书的身份认证功能。

(3)移动端设备替换了PC端的USB KEY智能密码钥匙,PC端业务系统与吉大正元身份认证网关二维码认证功能集成,用户在PC端打开业务系统登录页面,通过移动端吉安宝扫一扫功能,实现用户身份认证。

(4)提供用户使用本人移动证书进行二维码认证,授权他人在PC端以自己身份访问系统,进行业务办理。例如用户A授权用户B,使用用户A的身份登录业务系统进行流程审批等操作。

(5)在移动端没有信号、没有移动网络的情况,可以使用手机生成动态令牌,用户在业务系统登录界面输入用户唯一标识、动态令牌进行身份认证。

7.移动数据签名/验签

通过移动端设备替换了PC端的智能密码钥匙,原来在PC端通过智能密码钥匙实现数据签名/验签,实现数据防篡改功能,在移动办公场景下,移动端APP与吉大正元数字签名服务器结合,通过扫描二维码或消息推送的方式实现数据签名、验证签名功能。

8.移动数据加密/解密

移动端APP与吉大正元数字签名服务器结合,通过扫描二维码或消息推送的方式实现数据加密、解密功能。

9.移动电子签章

通过将电子印章存储在密码模块或者印章服务器,移动端数字证书与吉大正元数字签名服务器结合,通过扫描二维码或消息推送的方式实现可视化电子签章功能,提高用户办事效率。

10.移动证书远程解锁

移动端密码模块是软件形态的智能密码钥匙,通过PIN码保护证书,使用过程中会出现忘记PIN码或者由于PIN码多次输入错误导致密码模块被锁的情况。用户可以通过自助申请进行远程解锁,审核方式可以由用户录入身份信息自动进行验证,也可以由管理员手动进行审核进行远程解锁。

4. 方案特色

图3 方案特色

5. 适用领域

电子政务、电子商务、物联网、金融、医疗和企事业单位等移动办公。


6. 产品清单

序号

模块名称

涉及产品

数量

1

证书管理

吉大正元SZT1902证书认证系统系列产品,包含:

JIT CA Server V5.0

JIT RA Server V5.0

JIT OCSP V5.0

JIT Galaxy V5.0

JIT MCS V1.0

2

密码服务

吉大正元SJJ1947服务器密码机

吉大正元SHM1807移动智能终端安全密码模块

吉大正元SHM1904移动智能终端安全密码模块

吉大正元吉安宝V1.0

3

身份认证

吉大正元身份认证网关 G3000型/ G5000型

吉大正元统一身份认证平台V6.0

吉大正元统一用户管理系统IMS V6.0

4

签名验签

加密解密

吉大正元数字签名服务器 V3000型/ V5000型

5

移动管理

吉大正元移动安全管理系统V1.0

6

消息推送

腾讯、阿里消息推送服务器

7. 应用案例

四川省某政府单位

四川省某政法单位

四川省某市(州)政府

四川省国家电子政务外网

四川省某军工单位




长春吉大正元信息技术股份有限公司

联系人:饶黎

电  话:13540859597