产品展示
摘要:通过移动安全方案建设,为应用提供强有力的安全支撑,包括:强身份认证,提高认证强度。采用PKI/CA数字证书认证高强度认证方式,消除未授权用户非法访问的风险。快捷认证,简化认证过程。提供适用于移动设备的快捷认证方式,包括指纹识别、手势、声纹、二维码认证等,简化用户认证过程。单点登录,一次认证全网通行。全场景兼容,移动端和PC端一体化。在移动终端替换传统USB KEY智能密码钥匙,并提供传统PC端所有应用场景支持。
关键词:电子政务、移动证书、数据安全、国密应用
1. 概述
1.1 背景
随着移动互联网的发展,移动办公模式逐渐被大众接受并得到了快速的发展。移动办公作为传统办公系统的无线扩展,可以与现有的办公系统无缝结合,使员工无论身处何地都可以高效的开展工作。智能终端所拥有的运算能力,可以支持邮件收发、公文审批以及个人事务处理等各种内部办公应用。随着全球经济一体化的发展,基于4G、5G移动互联网的移动办公已经成为现在企业信息化的重要标志,是继无纸化办公之后企业信息化的第二次革命浪潮。
移动办公给大众带来快捷、高效的办公体验的同时,也带来了一定的安全风险。移动互联在无线接入网络、移动终端、应用服务以及安全隐患上都即将面临着前所未有的挑战,手机病毒、垃圾短信、黑客攻击等现象逐渐暴露出来,给移动终端设备用户带来了非常头疼的问题。随着移动互联网的不断发展,已经进入到了全民移动互联的时代,移动应用安全问题也愈加的凸显出来,已经发展成为必须解决的安全问题。
1.2 目标
通过移动安全方案建设,主要目标如下:
1.强身份认证,提高认证强度
采用PKI/CA数字证书认证高强度认证方式,替代传统的用户名/口令认证方式,以确保登录的用户确实为授权的个体,消除未授权用户非法访问的风险。
2.快捷认证,简化认证过程
提供适用于移动设备的快捷认证方式,主要包括指纹识别、手势、声纹、二维码认证等,简化用户认证过程。
单点登录,一次认证全网通行
为多个应用系统提供单点登录功能,提升用户的办公效率。
3.全场景兼容,移动端和PC端一体化
在移动终端替换传统USB KEY智能密码钥匙,并提供传统PC端所有应用场景支持,如认证、签名/验证、加密/解密、时间戳、签章等。
2. 需求分析
针对移动办公场景中面临的安全问题,需要提供一套适用于移动设备的安全解决方案,帮助用户解决移动办公过程中涉及到的用户身份认证、访问控制、信息安全传输等问题。在保证安全的前提下,同时要能够给用户提供较好的操作体验。
移动互联网的发展促使越来越多的应用支持移动设备访问,如何简化用户的应用操作体验、提升应用访问效率,是移动安全产品需要重点考虑的问题。
在移动办公场景,需要产品可以满足如下需求:
1.身份认证需求
除了传统的用户名/口令认证方式外,必须提供高强度的身份认证方式,比如基于PKI/CA数字证书认证方式等,以确保登录的用户确实为授权的个体,消除未授权用户非法访问的风险。
2.快捷认证需求
基于移动办公的特殊使用场景,需要能够支持适用于移动设备的快捷认证方式,比如:指纹识别、手势、二维码认证等识别方式,简化用户认证过程。
3.单点登录需求
面对多个移动办公应用系统,需要支持多个应用系统的单点登录功能。当访问一个应用系统的时候需要进行身份认证,访问其他应用系统不需要再次认证,实现认同的统一,提升用户的办公效率。
4.全场景兼容需求
使用移动终端替换传统USB KEY外,需要兼容传统PC端所以应用场景,如认证、签名/验签、加密/解密、时间戳、签章等。
3. 技术方案
3.1 总体框架
图 1整体框架图
移动安全办公方案的目标是针对移动办公场景中面临的安全问题,为用户提供一套适用于移动办公的安全解决方案,帮助用户解决移动办公过程中涉及到的身份认证、访问控制、安全传输等问题。在保证安全性的前提下,同时为用户提供良好的操作体验。
在服务能力上,移动安全方案针对不同的应用场景提供多种服务能力和集成模式,包括App、SDK、Intent、URL Schema等,可以根据用户的实际需求和业务场景,选择合适的方式和应用系统进行结合。
在认证能力上,移动安全方案提供以数字证书认证技术为核心、其它认证技术为辅助的多种身份认证能力,满足不同场景下的用户的身份认证需求。
在业务能力上,移动安全方案从业务的安全性出发,提供电子认证、电子签名、电子签章等基于数字证书和密码技术的安全解决方案;从易用性和易维护角度出发,提供单点登录、远程解锁、消息推送、身份漫游等主要业务功能,为用户提供安全、便捷、易用的移动办公体验。
在基础服务上,通过部署数字证书服务、身份认证服务、签名/验签服务等系统,为移动办公提供安全服务支撑。
3.2 主要功能
1.PKI/CA认证中心
图 2 PKI/CA系统框架
PKI/CA认证中心,主要由CA中心、密钥管理中心(KMC)、证书注册机构(RA)、在线证书状态查询系统(OCSP)、时间戳系统(TSA)、目录服务系统(LDAP)组成,支持"双证书、双密钥、双中心、双管理"的部署模式。系统以PKI技术为基础,通过为网络虚拟空间中的用户、机构、服务、进程、设备等实体颁发数字证书,解决网络虚拟空间中实体身份的可信性。
2.边界安全接入
通过在用户内外网边界上部署安全边界接入网关,所有移动终端在接入内网前需要在边界接入网关上完成身份认证,只有成功认证后才能连接到内网业务系统,并且采用国密SSL进行通道加密,确保内网数据安全。
3.移动APP发布
移动APP客户端产品开发完成后进行统一发布,终端用户通过相应的发布渠道安装客户端。客户端发布方式主要提供以下三种:
1.移动安全管理系统发布
将开发完成后的客户端安装包发布到移动安全管理系统,终端用户通过该系统提供的门户功能可以快速安装客户端。系统提供手动下载安装和扫码安装两种方式,用户可根据实际情况选择相应的安装方式。
2.内部应用市场
将开发完成后的客户端安装包发布到企业内部应用市场,终端用户通过内部应用市场下载、安装客户端。
3.互联网应用市场
将开发完成后的客户端安装包发布到互联网应用市场,终端用户通过应用市场下载、安装客户端。
4.移动证书管理
部署移动证书制证系统MCS,与PKI/CA认证中心的RA系统进行连接,实现移动证书的申请、下载、更新、注销等功能。
移动证书的申请可以通过管理员集中录入、人事系统自动同步、用户自助录入等多种方式进行证书申请。
移动证书的下载主要通过短信发送证书凭证码、扫描证书二维码进行证书下载,也可以通过用户自助服务一键下载证书。
系统也支持一个用户有多个移动终端设备,给每个设备颁发一张证书,均代表同一用户身份。
5.移动证书安全存储
证书存储介质提供以下两种方式,用户可根据实际情况自行选择。
1.通过硬件存储介质存储,包括:TF卡、SD卡、蓝牙KEY、音频KEY等,支持将数字证书发到不同的硬件存储介质。
2.软件安全密码模块,功能和硬件TF卡等类似,提供密钥管理、密码运算等功能。吉大正元密码模块通过了国家密码管理局的检测,具备商用密码产品型号证书。密码模块支持使用移动端硬件设备作为随机数发生器,如(CPU、陀螺仪、摄像头、网卡),由于部分手机没有陀螺仪等硬件设备,系统也支持使用服务器作为随机数的随机源。
6.移动身份认证
在移动办公场景下,移动App使用安全级别较高的数字证书对用户进行身份验证。针对多个App认证的场景,吉大正元移动安全方案提供多样化的身份认证功能。具体如下:
(1)通过和吉安宝进行OAuth协议对接,实现统一认证、单点登录功能。
(2)移动APP通过集成SDK接口,实现基于数字证书的身份认证功能。
(3)移动端设备替换了PC端的USB KEY智能密码钥匙,PC端业务系统与吉大正元身份认证网关二维码认证功能集成,用户在PC端打开业务系统登录页面,通过移动端吉安宝扫一扫功能,实现用户身份认证。
(4)提供用户使用本人移动证书进行二维码认证,授权他人在PC端以自己身份访问系统,进行业务办理。例如用户A授权用户B,使用用户A的身份登录业务系统进行流程审批等操作。
(5)在移动端没有信号、没有移动网络的情况,可以使用手机生成动态令牌,用户在业务系统登录界面输入用户唯一标识、动态令牌进行身份认证。
7.移动数据签名/验签
通过移动端设备替换了PC端的智能密码钥匙,原来在PC端通过智能密码钥匙实现数据签名/验签,实现数据防篡改功能,在移动办公场景下,移动端APP与吉大正元数字签名服务器结合,通过扫描二维码或消息推送的方式实现数据签名、验证签名功能。
8.移动数据加密/解密
移动端APP与吉大正元数字签名服务器结合,通过扫描二维码或消息推送的方式实现数据加密、解密功能。
9.移动电子签章
通过将电子印章存储在密码模块或者印章服务器,移动端数字证书与吉大正元数字签名服务器结合,通过扫描二维码或消息推送的方式实现可视化电子签章功能,提高用户办事效率。
10.移动证书远程解锁
移动端密码模块是软件形态的智能密码钥匙,通过PIN码保护证书,使用过程中会出现忘记PIN码或者由于PIN码多次输入错误导致密码模块被锁的情况。用户可以通过自助申请进行远程解锁,审核方式可以由用户录入身份信息自动进行验证,也可以由管理员手动进行审核进行远程解锁。
4. 方案特色
图3 方案特色
5. 适用领域
电子政务、电子商务、物联网、金融、医疗和企事业单位等移动办公。
6. 产品清单
序号 | 模块名称 | 涉及产品 | 数量 |
1 | 证书管理 | 吉大正元SZT1902证书认证系统系列产品,包含: JIT CA Server V5.0 JIT RA Server V5.0 JIT OCSP V5.0 JIT Galaxy V5.0 JIT MCS V1.0 | 套 |
2 | 密码服务 | 吉大正元SJJ1947服务器密码机 吉大正元SHM1807移动智能终端安全密码模块 吉大正元SHM1904移动智能终端安全密码模块 吉大正元吉安宝V1.0 | 套 |
3 | 身份认证 | 吉大正元身份认证网关 G3000型/ G5000型 吉大正元统一身份认证平台V6.0 吉大正元统一用户管理系统IMS V6.0 | 套 |
4 | 签名验签 加密解密 | 吉大正元数字签名服务器 V3000型/ V5000型 | 套 |
5 | 移动管理 | 吉大正元移动安全管理系统V1.0 | 套 |
6 | 消息推送 | 腾讯、阿里消息推送服务器 | 套 |
7. 应用案例
四川省某政府单位
四川省某政法单位
四川省某市(州)政府
四川省国家电子政务外网
四川省某军工单位
长春吉大正元信息技术股份有限公司
联系人:饶黎
电 话:13540859597