安全凭证方案
|
一、 需求背景 智能手机的飞速普及带动了手机应用的高速发展,各种应用如雨后春笋般不断涌现,用户可以使用的应用数量和质量不断提高。但同时各种应用安全问题,如用户信息泄露、账号被盗、非法计费等,严重影响了应用市场的健康发展。应用开发者如何找到有效的确定用户身份的手段,保证应用安全,解决目前存在的安全隐患,从而打消用户的安全顾虑,改善手机应用的使用体验,将促进应用的更快速推广和应用厂商利益的实现。 同时随着无线WLAN网络的大力兴建及用户免费体验,国内WLAN网络覆盖范围和使用用户迅速增长,WLAN将在未来承载着大量的数据业务。越来越多的手机用户通过WLAN网络接入并使用移动应用服务,但目前的WLAN接入无法识别和认证用户身份,无法做到可管可控,也存在很大的安全隐患。 移动CA中心提供基于数字证书技术的手机客户端安全凭证解决方案,能够在移动互联网上为用户建立可信、安全的公共数字身份,无论在任何网络环境下,手机用户登录手机业务客户端时,利用数字证书封装的安全凭证实现对用户身份的认证,安全凭证与用户的手机号码、终端硬件紧密绑定,实现网络环境的用户安全身份登录,同时保证移动应用本身和用户身份的可信,实现了基于PKI技术的手机客户端安全认证,对于打造安全可信的移动互联网环境具有重要的意义。 二、 解决方案
安全凭证解决方案产品实现分为IDP平台侧功能和客户端侧功能两大模块。IDP平台通过对外接口实现与外部设备、系统等的连接,通过内部的数据处理和服务器逻辑实现整体业务功能。客户端侧基于Agent和SDK的方式实现,Agent是客户端的公用服务,提供基础的安全平台支撑能力。SDK供各个业务客户端调用实现基于安全凭证的客户端功能。 解决方案主要分为客户端和安全凭证平台两大功能模块。客户端为手机客户端软件提供了基于安全凭证的支撑功能,安全凭证平台实现对业务功能的主要逻辑处理。 (1) 客户端侧功能 ◆ 密钥安全容器:用户密钥保护、算法保护、反编译、应用认证等保证客户端基于PKI技术的基础安全功能保护; ◆ 用户身份管理:对基于安全凭证的用户注册、用户身份绑定、用户登录、用户终端等进行管理,保证用户基于安全平台的身份安全 和唯一性; ◆ 用户安全凭证管理:以用户数字身份向安全凭证系统身份用户安全凭证,安全凭证存储在客户端; ◆ 数字签名/签名验证功能:调用用户数字身份进行信息签名,对安全凭证服务器返回的签名信息进行签名验证; ◆ 手机信息获取:如获取用户手机IMSI信息等,用于与安全凭证服务器交互时的认证; ◆ 随机数生成:生成业务交互时的随机数,保证与安全凭证服务器的交互安全。 客户端目前支持Android、Symbian、WM等移动终端操作系统。 (2) 安全凭证平台侧功能 安全凭证平台完成平台侧业务控制功能。处理实时类的业务逻辑,包括对第三方业务系统的令牌验证,与移动CA中心接口申请安全凭证,短信的收发处理等。系统包括四个模块:客户端接入子系统、接入鉴证子系统、管理门户子系统、应用接入子系统。平台侧主要功能如下。 ◆ 数字身份管理:根据用户手机号码等信息,发放和管理与手机信息唯一绑定的移动数字身份; ◆ 安全凭证管理:根据用户数字身份信息,管理用户的安全凭证,安全凭证与用户手机号码相关,在一个时间段内有效; ◆ 管理门户:包括应用签名、应用发布证书管理、开发者管理、系统参数配置子功能。 ◆ 安全按凭证验证:验证用户安全凭证的有效性,验证通过后,向业务平台返回用户手机号码等信息; ◆ 数字签名/签名验证:与手机客户端、业务系统、CA认证系统等交互数据的数字签名/签名验证(可选); ◆ 数据加密/解密:与手机客户端、业务系统、CA认证系统交互数据的数据加密/解密(可选); ◆ 证书保全:保存用户的移动数字身份,证书与用户手机号码、IMSI等信息相关 三、 方案特点 (1) 高安全性 ● 采用数字证书机制保障身份认证、业务处理的安全性; ● 安全凭证与手机硬件标识(IMSI、IMEI)相结合,防拷贝; ● 私钥安全存储在终端上,结合SID机制,实现:防止重放攻击、网络监听; (2) 便于集成 成熟稳定的服务端、客户端模块供业务系统集成,业务开发工作量很小; (3) 开放性 基于数字证书机制,具备将认证能力安全的开放给第三方合作伙伴的能力; 四、 目标客户 安全凭证适用于移动通讯网络环境、WLAN网络环境、互联网环境等各种网络接入环境,并支持手机、平板电脑、PC等各种用户终端设备,安全凭证方案适用于手机应用客户端开发企业、移动互联网公司、电信运营商等企业为第三方业务提供身份服务,包括可信身份、身份认证等服务。 五、 成功案例 |
