基于移動互聯網可信身份的云服務平臺建設

◆胡壽鵬 劉辛越

(1.電信科學技術研究院 北京 100089；2.北京創原天地科技有限公司 北京 100089)

1 引言

隨著移動智能終端的普及和電信運營商網絡的不斷升級提速，移動互聯網時代已經到來，由此給人們帶來了生活習慣和工作方式上的巨大變化，人們不僅在生活中越來越離不開移動智能終端，工作環境也開始向辦公室外延伸，對移動終端的依賴越來越明顯。但是移動互聯網在給人們帶來新的生活方式、工作方式的同時，也在安全方面衍生了更多的需求和新的挑戰，建立健全真正可信的移動互聯網身份體系已經迫在眉睫。

目前，基于公安、電信運營商、商業銀行的用戶實名信息庫已經逐步建立，國內的CA 電子認證服務規范與機構已經逐漸健全，但這些都只是移動互聯網可信身份體系最基本的前提。移動互聯網可信身份體系的構建還需要解決一個關鍵的問題：通過安全、合規和方便的電子認證和密碼技術實現用戶電子身份標識（密鑰）的真正安全落地使用。

2 平臺設計方案

本項目以北京創原自主知識產權的移動互聯網可信身份云服務平臺（下文又稱：手機盾云服務、手機盾）為關鍵技術應用，依托公安部全國公民身份信息庫、電信運營商實名用戶信息庫、商業銀行實名用戶信息庫以及全國的區域性和行業性CA 電子認證服務機構，構成了移動互聯網可信身份云服務基礎設施。

通過手機盾云服務提供安全、合規的軟件密碼模塊代替外掛的硬件密碼設備，依靠軟件密碼模塊相對于外掛硬件成本低、兼容性強等優勢，解決了安全可信的電子身份在服務海量用戶、強調用戶體驗、終端多樣不可控的移動互聯網環境中落地難這一關鍵問題。以此為基礎，在上游環節結合基于身份證、手機號、銀行卡的實名實現真實身份的在線核驗；在下游環節結合CA 電子認證服務機構簽發具備社會公信力的數字證書作為移動互聯網實體可信身份憑證，構建起了移動互聯網可信身份體系，為移動互聯網業務安全健康的發展提供了基礎和前提。

移動互聯網可信身份云服務基礎設施整體架構如圖1 所示。

圖1 基礎設施整體架構圖

3 技術創新點

手機盾用手機等移動終端實現傳統硬件KEY 的功能，不依賴硬件密碼芯片，用軟件實現密碼設備、密碼運算和CA 數字證書全部功能。手機盾兼顧了數字證書密鑰的安全性和用戶攜帶使用的便捷性，是《網絡安全法》所支持的安全、方便的電子身份認證技術。

（1）密鑰拆分

手機盾無法像硬件密碼設備那樣為密鑰創造一個安全存儲和運算的封閉的環境，所以手機盾采取的是“不讓密鑰出現”的策略，將密鑰“拆分”成為不同的密鑰因子。在密鑰生成時使用多種拆分因子生成公鑰，產生含有公鑰的證書請求。在進行私鑰運算時，多個拆分因子參與運算共同進行簽名或加密，保證在不重現完整私鑰的前提下，完成數字簽名、加密等操作，規避了私鑰被惡意程序直接跟蹤截取，防止內存分析攻擊風險，最大限度保證了用戶密鑰的使用安全。

（2）訪問控制

手機盾對密鑰的調用進行兩個層面的控制，用戶層面和應用層面。用戶層面的訪問控制是指手機盾在被使用時要驗證使用的人的正確性，手機盾要求用戶輸入證書PⅠN 碼并驗證或者驗證用戶的指紋。應用層面是指手機盾會利用應用代碼簽名驗證機制認證手機盾本身以及第三方業務應用的正確性，防止手機盾本身被篡改或者惡意應用偽裝成業務客戶端調用用戶密鑰。

（3）動態管控

手機盾從產品形態上包括手機盾前端密碼模塊和手機盾平臺兩部分。當發現前端的手機等移動終端發生丟失等異常情況時可以通過手機盾平臺將前端密碼模塊置為注銷狀態，丟失的手機盾將不能再使用。通過動態管控措施手機盾實現對數字簽名過程事中和事后風險事件的監控與響應。

通過以上介紹的密鑰拆分、訪問控制、動態管控等技術，手機盾構建了“人-設備-應用-平臺-狀態”五位一體的安全認證體系，只有正確的人在正確的設備上使用正確的應用連接正確的平臺且手機盾狀態正常的情況下才能完成有效的身份簽名。

4 項目經驗效果

該平臺已經應用在互聯網金融、電子簽約、互聯網醫療、車聯網、物聯網等新興領域。

手機盾與某CA 電子認證服務機構合作實現了數字證書在某省會城市移動社保中的應用，將用戶的社保ⅠD 號與一張數字證書在手機上綁定實現“電子社保卡”應用。參保用戶在手機上掛號、買藥可使用“電子社保卡”完成社保報銷費用的實時結算，為社保行業在移動互聯網的線上業務拓展與創新提供了核心密碼支撐。

手機盾與某CA 電子認證服務機構通力合作將移動數字證書使用在了某省工商全程無紙化中電子證照的調用授權環節，如股東對電子營業執照調用的簽名授權，確保了電子證照調用過程的安全。

手機盾與某CA 電子認證服務機構合作在某省實現了基于數字證書進行移動稅務申報的業務，手機盾對移動終端上提交的稅務表單進行數字簽名，進而將企業用戶財稅相關的部分業務遷移到移動終端上進行，在保障安全合規的前提下，極大地方便了企業和個人用戶處理財稅相關的業務。

5 結語

通過以上項目與應用在全國形成示范效應，為移動互聯網可信身份體系在電子政務、政企信息化、電子簽約等領域的建立健全打下了堅實基礎，為移動互聯網環境下用戶的身份與財產安全提供了有力保障，為政府服務形象的提升以及國家網絡可信身份戰略的順利施行作出了突出貢獻。