移動數(shù)字證書遠(yuǎn)程安全管理研究

劉衍斐 盧煜 周昕

摘 要：論文首先總結(jié)分析了當(dāng)前主流的移動數(shù)字證書遠(yuǎn)程安全管理方案和面臨的安全威脅，針對存在的安全風(fēng)險和常見問題，闡述了相應(yīng)的各類安全技術(shù)，最后在綜合使用各類安全技術(shù)和多種保障手段的基礎(chǔ)上，給出了解決移動數(shù)字證書安全遠(yuǎn)程管理的途徑和思路，提出了解決當(dāng)前移動數(shù)字證書遠(yuǎn)程安全管理的新方案。

關(guān)鍵詞：移動數(shù)字證書；遠(yuǎn)程管理；身份認(rèn)證；移動安全

中圖分類號：TP309.7 文獻(xiàn)標(biāo)識碼：A

Abstract： This paper describes classic schemes， and analyzes the security threats in remote management of mobile digital certificate. The appropriate security solutions and ideas are given in this paper accordingly for the threats. Also， based on comprehensive use of various security technologies and methods， this paper presents a new security scheme to solve the security problems in remote management of mobile digital certificate.

Key words： mobile digital certificate； remote management； authentication； mobile security

1 引言

隨著移動通信和智能終端技術(shù)的迅速發(fā)展，智能終端已在社會的各個領(lǐng)域中得到廣泛的應(yīng)用，對人們的工作生活的影響也越來越大。特別是隨著近年來BYOD（Bring Your Own Device）的興起[1]，越來越多的政府、企事業(yè)單位等開始部署遠(yuǎn)程辦公系統(tǒng)，而為了保證在使用移動終端遠(yuǎn)程處理工作時的可控性和安全性，使用數(shù)字證書實現(xiàn)身份認(rèn)證和通信加密保護(hù)等，成為目前移動辦公安全方案的主流。

為了保證移動辦公的安全性，移動安全管理框架不斷涌現(xiàn)[2]，可提供多種遠(yuǎn)程管控功能，同使用VPN（Virtual Private Network）技術(shù)來保證遠(yuǎn)程通信的安全性[3，4]。但作為用戶身份認(rèn)證基礎(chǔ)的移動數(shù)字證書[5，6]，對其進(jìn)行遠(yuǎn)程安全管理的研究卻較少[7]，在實現(xiàn)過程中仍然存在一定的安全性或操作復(fù)雜等問題，而這將可能帶來嚴(yán)重的安全性后果，如用戶身份被冒用、信息被非法竊取和功能被濫用等。

本文全面分析了移動數(shù)字證書安全遠(yuǎn)程管理所面臨的各類安全威脅，針對存在的問題，分別給出了有針對性的安全解決辦法，并在綜合使用各類安全技術(shù)和多種保障手段的基礎(chǔ)上，提出了一種新的移動數(shù)字證書遠(yuǎn)程安全管理方案，新的安全方案能夠有效應(yīng)對各類安全威脅，提高移動數(shù)字證書管理的安全性。

2 傳統(tǒng)移動數(shù)字證書遠(yuǎn)程管理機(jī)制

當(dāng)前的移動數(shù)字證書遠(yuǎn)程管理系統(tǒng)一般包括移動終端證書管理APP（Application）和管理平臺兩部分，兩部分之間通過移動數(shù)據(jù)通信網(wǎng)絡(luò)或WiFi等無線網(wǎng)絡(luò)實現(xiàn)通信。移動終端證書管理APP運(yùn)行在智能手機(jī)、平板電腦等各類移動終端上提供證書管理服務(wù)；管理平臺則包括遠(yuǎn)程證書管理服務(wù)器、證書認(rèn)證中心（PKI/CA，Public Key Infrastructure/ Certificate Authority）等各類服務(wù)器，為了提高安全性，管理平臺還可能額外劃分出一個代理邊界區(qū)對外提供服務(wù)。移動數(shù)字證書遠(yuǎn)程管理系統(tǒng)的組成如圖1所示。

移動數(shù)字證書遠(yuǎn)程管理系統(tǒng)中主要工作可以分為證書申請和證書日常管理兩個部分。證書申請包括證書信息登記、數(shù)字證書請求和下發(fā)等步驟；證書日常管理包括數(shù)字證書的更新、吊銷/廢棄等內(nèi)容[8]。

證書申請是證書遠(yuǎn)程管理中的核心功能，也是后續(xù)日常管理的基礎(chǔ)。傳統(tǒng)的移動數(shù)字證書遠(yuǎn)程管理系統(tǒng)的證書申請流程主要包括幾個步驟：管理員導(dǎo)入用戶等信息至管理平臺；操作人員向管理平臺發(fā)送數(shù)字證書請求消息；管理平臺收到數(shù)字證書請求后對請求進(jìn)行審核，如果需要人工介入則會將申請信息上報由PKI管理員進(jìn)行審批；請求經(jīng)確認(rèn)合法后，管理平臺生成對應(yīng)的數(shù)字證書，返回成功響應(yīng)，完成首次證書申請，如圖2所示。

在申請流程中，證書請求的發(fā)起一般集中在特定的地點進(jìn)行，操作人員一般是管理員而非實際的用戶本人：通常是由管理員手動操作進(jìn)行證書申請后，將載有證書的密碼產(chǎn)品（如加密卡/UKey等）發(fā)放給實際的用戶使用。

對移動數(shù)字證書進(jìn)行日常管理，證書的吊銷/廢棄等管理操作，由管理員在管理平臺處進(jìn)行操作執(zhí)行，并可根據(jù)情況通知到終端證書管理APP；證書到期更新時，由終端證書APP連接管理平臺，獲取新的數(shù)字證書。

3 傳統(tǒng)移動數(shù)字證書遠(yuǎn)程管理問題分析

傳統(tǒng)移動數(shù)字證書遠(yuǎn)程管理面臨多種威脅，除了針對管理平臺、移動終端、終端證書管理APP的攻擊、針對通信的攻擊和功能流程實現(xiàn)的攻擊等外，在實際的證書管理實現(xiàn)流程中也存在一定的安全隱患。證書管理中的日常管理部分由于可以基于已有證書建立雙向認(rèn)證的安全連接來保證安全性，因此問題較少；但證書申請部分卻由于實現(xiàn)機(jī)制的限制，導(dǎo)致面臨大量難以克服的問題。本章節(jié)詳細(xì)了闡述了傳統(tǒng)移動數(shù)字證書遠(yuǎn)程管理中存在的各類安全威脅和問題。

傳統(tǒng)移動數(shù)字證書管理的證書申請部分主要采用管理員人工集中處理的方式實現(xiàn)，這種管理方式在實際的使用過程中存在諸多問題。

工作差錯多：少量管理員制發(fā)全部用戶的證書，而由于對實際用戶不熟悉，極易產(chǎn)生工作差錯，致使人為原因造成的身份冒用等各類問題大量出現(xiàn)。

環(huán)節(jié)復(fù)雜：對加密卡、密鑰鑰匙等使用專門工具進(jìn)行人工發(fā)證后，需要手工逐一標(biāo)識，逐級分發(fā)到對應(yīng)用戶。

維護(hù)難：當(dāng)發(fā)生移動終端設(shè)備、密碼模塊、證書的丟失或損壞時，需要逐級上報，由管理員再次進(jìn)行復(fù)雜的人工發(fā)證操作。

同時隨著密碼產(chǎn)品和密碼技術(shù)的升級改進(jìn)，傳統(tǒng)移動數(shù)字證書管理還面臨多方面新的挑戰(zhàn)。

密碼產(chǎn)品形態(tài)多樣化：具備更高的可靠性和性能優(yōu)勢的終端內(nèi)置安全芯片、TEE密碼模塊等密碼產(chǎn)品不斷出現(xiàn)，而這些產(chǎn)品由于密碼模塊與移動終端不能分離，因此很難通過傳統(tǒng)的密碼模塊由人工集中發(fā)證的方式管理。

PKI部署方式向中心集中式變化：隨著對安全的重視程度和統(tǒng)一管理的需求不斷提高，政府、大型企事業(yè)單位在建設(shè)部署云計算、大數(shù)據(jù)中心等的同時，開始向集中建設(shè)PKI轉(zhuǎn)變，而這種集中度的提高使傳統(tǒng)人工方式弊端更加明顯，同時帶來了分級授權(quán)管理、遠(yuǎn)程技術(shù)支持等各類問題。

傳統(tǒng)移動數(shù)字證書遠(yuǎn)程管理需要集中由管理員完成證書申請工作后，才能真正對證書更新、廢除等各類日常管理的遠(yuǎn)程操作進(jìn)行有效管理，致使面對上述問題和挑戰(zhàn)時，顯得力不從心，已逐漸難以滿足用戶對安全性和便利性的要求。

4 新型移動數(shù)字證書遠(yuǎn)程安全管理

傳統(tǒng)移動數(shù)字證書遠(yuǎn)程管理中存在的各類問題，其原因主要是采用了集中由管理員主導(dǎo)完成證書申請的工作機(jī)制，因此為了克服傳統(tǒng)方案的不足，新的移動數(shù)字證書遠(yuǎn)程管理方案應(yīng)改由實際的用戶自行遠(yuǎn)程進(jìn)行數(shù)字證書申請，以避免管理員人為失誤造成的安全問題和簡化管理的復(fù)雜度。但用戶自行遠(yuǎn)程進(jìn)行數(shù)字證書申請，又面臨如何有效進(jìn)行真實身份的遠(yuǎn)程識別認(rèn)證這一核心安全問題。

本章節(jié)將首先闡述移動數(shù)字證書遠(yuǎn)程管理中可能涉及到的遠(yuǎn)程身份認(rèn)證技術(shù)，并在深入分析遠(yuǎn)程身份認(rèn)證的基礎(chǔ)上，針對安全要求較高的場景，提出了一種新的移動數(shù)字證書遠(yuǎn)程管理安全方案，該方案使用多種遠(yuǎn)程身份識別技術(shù)對用戶的身份進(jìn)行有效識別，保證數(shù)字證書安全發(fā)放給合法用戶，具備較高的安全性。

4.1 遠(yuǎn)程身份認(rèn)證技術(shù)分析

移動數(shù)字證書本身是后續(xù)進(jìn)行各項移動辦公時的重要安全基礎(chǔ)，如果在進(jìn)行證書申請時用戶的身份安全無法得到保障，則可能導(dǎo)致用戶身份被冒用、信息被非法獲取、功能被惡意使用和合法用戶接入虛假管理平臺等嚴(yán)重問題的產(chǎn)生。目前在進(jìn)行遠(yuǎn)程身份認(rèn)證時可能使用的技術(shù)主要有幾項。

基于密碼技術(shù)的能夠防偽造、抗抵賴的密碼產(chǎn)品進(jìn)行身份認(rèn)證。密碼產(chǎn)品中應(yīng)包含可認(rèn)證的數(shù)字證書、密鑰等信息，使用的密碼算法包括對稱加密算法、數(shù)字簽名技術(shù)和其他密碼技術(shù)等，具體的產(chǎn)品形態(tài)包括加密芯片、加密TF卡、USBKey、U盾等。

基于人體生物特征作為用戶本體屬性進(jìn)行真實性身份認(rèn)證。人像、虹膜、聲紋及指紋等各類生物特征識別技術(shù)日益成熟，當(dāng)前對人像、指紋、聲紋等多種生物特征的識別準(zhǔn)確率已經(jīng)可以到達(dá)商用的水平，并開始逐步大規(guī)模在網(wǎng)絡(luò)支付、證券交易等各類服務(wù)中使用[9]。

基于動態(tài)口令的電子令牌等進(jìn)行身份認(rèn)證，電子令牌可以硬件形態(tài)提供用戶使用，具備持續(xù)自從更新口令的能力，比用戶靜態(tài)設(shè)置的口令安全性更高，目前已經(jīng)在銀行金融支付中得到廣泛的應(yīng)用。

基于用戶口令進(jìn)行身份認(rèn)證，為了提高安全性，用戶口令在設(shè)置時應(yīng)具備一定的復(fù)雜度。

基于短信驗證碼進(jìn)行身份認(rèn)證。

密碼產(chǎn)品除上述的加密芯片、加密TF卡等常規(guī)密碼產(chǎn)品外，居民身份證實際上也屬于一種特殊的可進(jìn)行身份認(rèn)證的密碼產(chǎn)品，具備較高的安全性。身份證是我國公民的法定身份證件，內(nèi)置的安全芯片，使用國產(chǎn)密碼算法，并具備加密通信能力。而人手一張、有通信能力和加密安全的特性，結(jié)合目前公安部的居民身份證掛失系統(tǒng)，為居民身份證參與遠(yuǎn)程身份認(rèn)證提供了有利條件。目前，已經(jīng)有基于身份證進(jìn)行網(wǎng)上身份認(rèn)證的相關(guān)服務(wù)出現(xiàn)，如互聯(lián)網(wǎng)+可信身份認(rèn)證平臺（CTID）等已經(jīng)開始運(yùn)營[10]。

遠(yuǎn)程身份識別認(rèn)證在具體實現(xiàn)時，其認(rèn)證因子的選擇根據(jù)安全要求的高低主要可以分為幾種情況。

安全要求較高：同時使用密碼產(chǎn)品和生物特征識別技術(shù)等進(jìn)行多因子認(rèn)證。

安全要求中等：同時使用生物特征識別技術(shù)、口令或短信驗證碼等進(jìn)行多因子認(rèn)證。

安全要求較低：使用口令或短信驗證碼等進(jìn)行認(rèn)證。

在為政府和大型企事業(yè)單位等提供移動數(shù)字證書的遠(yuǎn)程管理服務(wù)時，一般對安全性要求較高，因此應(yīng)考慮同時使用密碼產(chǎn)品和人體生物特征等進(jìn)行多因子認(rèn)證。而居民身份證核驗和人像識別在安全性、技術(shù)成熟度和便利性等方面具備明顯的優(yōu)勢，是當(dāng)前比較適合移動數(shù)字證書遠(yuǎn)程管理使用的身份認(rèn)證技術(shù)。

4.2 新的移動數(shù)字證書遠(yuǎn)程管理方案

移動數(shù)字證書遠(yuǎn)程管理的核心流程是數(shù)字證書申請，其實現(xiàn)過程與傳統(tǒng)數(shù)字證書最重要的區(qū)別在于需要實現(xiàn)遠(yuǎn)程身份認(rèn)證。因此本文提出了一種新的移動數(shù)字證書遠(yuǎn)程管理方案，在新方案中，遠(yuǎn)程身份認(rèn)證主要由身份證核驗和人像等生物特征識別兩種技術(shù)共同保證，配合可能的短信驗證碼、口令、設(shè)備信息檢查等，可以有效保證用戶身份的真實合法性，滿足政府和大型企事業(yè)單位等的安全性要求。

新方案的移動數(shù)字證書申請的實現(xiàn)過程涉及的對象包括移動終端上的證書管理APP（可調(diào)用終端密碼模塊）、管理平臺中的證書管理服務(wù)器（包含身份認(rèn)證功能）和PKI/CA系統(tǒng)，具體流程如圖3所示。

1） 管理員將用戶等信息導(dǎo)入管理平臺。

2） 終端證書管理APP與管理平臺的證書管理服務(wù)器之間基于TLS協(xié)議等建立安全連接，證書管理APP通過管理服務(wù)器的證書確認(rèn)平臺的合法性。

3） 終端證書管理APP采集人像等活體生物特征、身份證信息等數(shù)據(jù)，發(fā)送至證書管理服務(wù)器，由身份認(rèn)證模塊進(jìn)行身份證核驗和生物特征識別，認(rèn)證終端用戶的合法性，可輔助采用短信驗證碼、用戶口令、終端信息校驗等方式增強(qiáng)認(rèn)證。

4） 認(rèn)證成功后，終端證書管理APP生成并發(fā)送數(shù)字證書申請至證書管理服務(wù)器。

5） 證書管理服務(wù)器收到證書請求后，調(diào)用PKI/CA系統(tǒng)對本次證書申請操作進(jìn)行審核和簽發(fā)數(shù)字證書。

6） 證書管理服務(wù)器發(fā)送數(shù)字證書至終端證書管理APP，移動數(shù)字證書遠(yuǎn)程申請流程結(jié)束。

新的移動數(shù)字證書遠(yuǎn)程管理方案以居民身份證核驗和人像識別等技術(shù)結(jié)合為主的方式，在進(jìn)行實際的證書申請之前，首先實現(xiàn)了對用戶真實身份的可靠識別，從而有效避免移動數(shù)字證書遠(yuǎn)程管理帶來的各類安全隱患，提高證書申請過程中的安全性，保證數(shù)字證書安全下發(fā)到對應(yīng)的用戶。在實際使用過程中，可以根據(jù)需求，使用已具備合法數(shù)字證書的U盾、指紋或聲紋等代替身份證、人像等進(jìn)行遠(yuǎn)程身份認(rèn)證。

5 結(jié)束語

本文首先分析了當(dāng)前移動數(shù)字證書遠(yuǎn)程管理的主要實現(xiàn)方式，并從多個方面分析總結(jié)了數(shù)字證書遠(yuǎn)程管理需要解決的各類安全威脅和問題。針對存在的遠(yuǎn)程身份認(rèn)證等安全問題，總結(jié)分析了遠(yuǎn)程身份認(rèn)證相關(guān)技術(shù)和不同安全等級下對認(rèn)證技術(shù)的選擇要求。最后提出了一種新的移動數(shù)字證書遠(yuǎn)程管理方案，新方案綜合使用了身份證核驗、生物特征識別等多種安全技術(shù)，能夠有效提高移動數(shù)字證書遠(yuǎn)程管理的安全性，同時大幅簡化了移動證書管理實施的復(fù)雜度，保證了方案的安全性和可操作性。

參考文獻(xiàn)

[1] Ballagas R， Rohs M， Sheridan J G， et al. BYOD： Bring your own device[J]. Proceedings of the Workshop on Ubiquitous Display Environments Ubicomp，2004， 50（2）：43–53.

[2] Liu L， Moulic R， Shea D. Cloud Service Portal for Mobile Device Management[C]. IEEE， International Conference on E-Business Engineering. IEEE， 2010：474-478.

[3] Virtual Private Networking： An Overview[OL]. Microsoft TechNet.https：//docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-2000-server/bb742566（v=technet.10），2001.

[4] 曾紅霞， 朱泉.軍工企業(yè)移動辦公安全接入研究與應(yīng)用[J].網(wǎng)絡(luò)空間安全，2016（8）：42-45，49.

[5] Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List （CRL） Profile[S].RFC5280.https：//tools.ietf.org/html/rfc5280，2008.

[6] Federal Agency Use of Public Key Technology for Digital Signatures and Authentication[S].https：//nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-25.pdf，2000.

[7] 韓峰.無線網(wǎng)絡(luò)數(shù)字證書管理技術(shù)的研究[D].北京郵電大學(xué)，2007.

[8] William Stallings，白國強(qiáng)，等譯.網(wǎng)絡(luò)安全基礎(chǔ)應(yīng)用與標(biāo)準(zhǔn)（第5版）[M].清華大學(xué)出版社，2015.

[9] 移動金融基于聲紋識別的安全應(yīng)用技術(shù)規(guī)范[S].JR/T 0164-2018，2018.

[10] 王宇.電子身份證為公共服務(wù)“互聯(lián)網(wǎng)+”打基礎(chǔ)[J].計算機(jī)與網(wǎng)絡(luò)，2018（1）：11-11.