移動數字證書遠程安全管理研究

劉衍斐 盧煜 周昕

摘 要：論文首先總結分析了當前主流的移動數字證書遠程安全管理方案和面臨的安全威脅，針對存在的安全風險和常見問題，闡述了相應的各類安全技術，最后在綜合使用各類安全技術和多種保障手段的基礎上，給出了解決移動數字證書安全遠程管理的途徑和思路，提出了解決當前移動數字證書遠程安全管理的新方案。

關鍵詞：移動數字證書；遠程管理；身份認證；移動安全

中圖分類號：TP309.7 文獻標識碼：A

Abstract： This paper describes classic schemes， and analyzes the security threats in remote management of mobile digital certificate. The appropriate security solutions and ideas are given in this paper accordingly for the threats. Also， based on comprehensive use of various security technologies and methods， this paper presents a new security scheme to solve the security problems in remote management of mobile digital certificate.

Key words： mobile digital certificate； remote management； authentication； mobile security

1 引言

隨著移動通信和智能終端技術的迅速發展，智能終端已在社會的各個領域中得到廣泛的應用，對人們的工作生活的影響也越來越大。特別是隨著近年來BYOD（Bring Your Own Device）的興起[1]，越來越多的政府、企事業單位等開始部署遠程辦公系統，而為了保證在使用移動終端遠程處理工作時的可控性和安全性，使用數字證書實現身份認證和通信加密保護等，成為目前移動辦公安全方案的主流。

為了保證移動辦公的安全性，移動安全管理框架不斷涌現[2]，可提供多種遠程管控功能，同使用VPN（Virtual Private Network）技術來保證遠程通信的安全性[3，4]。但作為用戶身份認證基礎的移動數字證書[5，6]，對其進行遠程安全管理的研究卻較少[7]，在實現過程中仍然存在一定的安全性或操作復雜等問題，而這將可能帶來嚴重的安全性后果，如用戶身份被冒用、信息被非法竊取和功能被濫用等。

本文全面分析了移動數字證書安全遠程管理所面臨的各類安全威脅，針對存在的問題，分別給出了有針對性的安全解決辦法，并在綜合使用各類安全技術和多種保障手段的基礎上，提出了一種新的移動數字證書遠程安全管理方案，新的安全方案能夠有效應對各類安全威脅，提高移動數字證書管理的安全性。

2 傳統移動數字證書遠程管理機制

當前的移動數字證書遠程管理系統一般包括移動終端證書管理APP（Application）和管理平臺兩部分，兩部分之間通過移動數據通信網絡或WiFi等無線網絡實現通信。移動終端證書管理APP運行在智能手機、平板電腦等各類移動終端上提供證書管理服務；管理平臺則包括遠程證書管理服務器、證書認證中心（PKI/CA，Public Key Infrastructure/ Certificate Authority）等各類服務器，為了提高安全性，管理平臺還可能額外劃分出一個代理邊界區對外提供服務。移動數字證書遠程管理系統的組成如圖1所示。

移動數字證書遠程管理系統中主要工作可以分為證書申請和證書日常管理兩個部分。證書申請包括證書信息登記、數字證書請求和下發等步驟；證書日常管理包括數字證書的更新、吊銷/廢棄等內容[8]。

證書申請是證書遠程管理中的核心功能，也是后續日常管理的基礎。傳統的移動數字證書遠程管理系統的證書申請流程主要包括幾個步驟：管理員導入用戶等信息至管理平臺；操作人員向管理平臺發送數字證書請求消息；管理平臺收到數字證書請求后對請求進行審核，如果需要人工介入則會將申請信息上報由PKI管理員進行審批；請求經確認合法后，管理平臺生成對應的數字證書，返回成功響應，完成首次證書申請，如圖2所示。

在申請流程中，證書請求的發起一般集中在特定的地點進行，操作人員一般是管理員而非實際的用戶本人：通常是由管理員手動操作進行證書申請后，將載有證書的密碼產品（如加密卡/UKey等）發放給實際的用戶使用。

對移動數字證書進行日常管理，證書的吊銷/廢棄等管理操作，由管理員在管理平臺處進行操作執行，并可根據情況通知到終端證書管理APP；證書到期更新時，由終端證書APP連接管理平臺，獲取新的數字證書。

3 傳統移動數字證書遠程管理問題分析

傳統移動數字證書遠程管理面臨多種威脅，除了針對管理平臺、移動終端、終端證書管理APP的攻擊、針對通信的攻擊和功能流程實現的攻擊等外，在實際的證書管理實現流程中也存在一定的安全隱患。證書管理中的日常管理部分由于可以基于已有證書建立雙向認證的安全連接來保證安全性，因此問題較少；但證書申請部分卻由于實現機制的限制，導致面臨大量難以克服的問題。本章節詳細了闡述了傳統移動數字證書遠程管理中存在的各類安全威脅和問題。

傳統移動數字證書管理的證書申請部分主要采用管理員人工集中處理的方式實現，這種管理方式在實際的使用過程中存在諸多問題。

工作差錯多：少量管理員制發全部用戶的證書，而由于對實際用戶不熟悉，極易產生工作差錯，致使人為原因造成的身份冒用等各類問題大量出現。

環節復雜：對加密卡、密鑰鑰匙等使用專門工具進行人工發證后，需要手工逐一標識，逐級分發到對應用戶。

維護難：當發生移動終端設備、密碼模塊、證書的丟失或損壞時，需要逐級上報，由管理員再次進行復雜的人工發證操作。

同時隨著密碼產品和密碼技術的升級改進，傳統移動數字證書管理還面臨多方面新的挑戰。

密碼產品形態多樣化：具備更高的可靠性和性能優勢的終端內置安全芯片、TEE密碼模塊等密碼產品不斷出現，而這些產品由于密碼模塊與移動終端不能分離，因此很難通過傳統的密碼模塊由人工集中發證的方式管理。

PKI部署方式向中心集中式變化：隨著對安全的重視程度和統一管理的需求不斷提高，政府、大型企事業單位在建設部署云計算、大數據中心等的同時，開始向集中建設PKI轉變，而這種集中度的提高使傳統人工方式弊端更加明顯，同時帶來了分級授權管理、遠程技術支持等各類問題。

傳統移動數字證書遠程管理需要集中由管理員完成證書申請工作后，才能真正對證書更新、廢除等各類日常管理的遠程操作進行有效管理，致使面對上述問題和挑戰時，顯得力不從心，已逐漸難以滿足用戶對安全性和便利性的要求。

4 新型移動數字證書遠程安全管理

傳統移動數字證書遠程管理中存在的各類問題，其原因主要是采用了集中由管理員主導完成證書申請的工作機制，因此為了克服傳統方案的不足，新的移動數字證書遠程管理方案應改由實際的用戶自行遠程進行數字證書申請，以避免管理員人為失誤造成的安全問題和簡化管理的復雜度。但用戶自行遠程進行數字證書申請，又面臨如何有效進行真實身份的遠程識別認證這一核心安全問題。

本章節將首先闡述移動數字證書遠程管理中可能涉及到的遠程身份認證技術，并在深入分析遠程身份認證的基礎上，針對安全要求較高的場景，提出了一種新的移動數字證書遠程管理安全方案，該方案使用多種遠程身份識別技術對用戶的身份進行有效識別，保證數字證書安全發放給合法用戶，具備較高的安全性。

4.1 遠程身份認證技術分析

移動數字證書本身是后續進行各項移動辦公時的重要安全基礎，如果在進行證書申請時用戶的身份安全無法得到保障，則可能導致用戶身份被冒用、信息被非法獲取、功能被惡意使用和合法用戶接入虛假管理平臺等嚴重問題的產生。目前在進行遠程身份認證時可能使用的技術主要有幾項。

基于密碼技術的能夠防偽造、抗抵賴的密碼產品進行身份認證。密碼產品中應包含可認證的數字證書、密鑰等信息，使用的密碼算法包括對稱加密算法、數字簽名技術和其他密碼技術等，具體的產品形態包括加密芯片、加密TF卡、USBKey、U盾等。

基于人體生物特征作為用戶本體屬性進行真實性身份認證。人像、虹膜、聲紋及指紋等各類生物特征識別技術日益成熟，當前對人像、指紋、聲紋等多種生物特征的識別準確率已經可以到達商用的水平，并開始逐步大規模在網絡支付、證券交易等各類服務中使用[9]。

基于動態口令的電子令牌等進行身份認證，電子令牌可以硬件形態提供用戶使用，具備持續自從更新口令的能力，比用戶靜態設置的口令安全性更高，目前已經在銀行金融支付中得到廣泛的應用。

基于用戶口令進行身份認證，為了提高安全性，用戶口令在設置時應具備一定的復雜度。

基于短信驗證碼進行身份認證。

密碼產品除上述的加密芯片、加密TF卡等常規密碼產品外，居民身份證實際上也屬于一種特殊的可進行身份認證的密碼產品，具備較高的安全性。身份證是我國公民的法定身份證件，內置的安全芯片，使用國產密碼算法，并具備加密通信能力。而人手一張、有通信能力和加密安全的特性，結合目前公安部的居民身份證掛失系統，為居民身份證參與遠程身份認證提供了有利條件。目前，已經有基于身份證進行網上身份認證的相關服務出現，如互聯網+可信身份認證平臺（CTID）等已經開始運營[10]。

遠程身份識別認證在具體實現時，其認證因子的選擇根據安全要求的高低主要可以分為幾種情況。

安全要求較高：同時使用密碼產品和生物特征識別技術等進行多因子認證。

安全要求中等：同時使用生物特征識別技術、口令或短信驗證碼等進行多因子認證。

安全要求較低：使用口令或短信驗證碼等進行認證。

在為政府和大型企事業單位等提供移動數字證書的遠程管理服務時，一般對安全性要求較高，因此應考慮同時使用密碼產品和人體生物特征等進行多因子認證。而居民身份證核驗和人像識別在安全性、技術成熟度和便利性等方面具備明顯的優勢，是當前比較適合移動數字證書遠程管理使用的身份認證技術。

4.2 新的移動數字證書遠程管理方案

移動數字證書遠程管理的核心流程是數字證書申請，其實現過程與傳統數字證書最重要的區別在于需要實現遠程身份認證。因此本文提出了一種新的移動數字證書遠程管理方案，在新方案中，遠程身份認證主要由身份證核驗和人像等生物特征識別兩種技術共同保證，配合可能的短信驗證碼、口令、設備信息檢查等，可以有效保證用戶身份的真實合法性，滿足政府和大型企事業單位等的安全性要求。

新方案的移動數字證書申請的實現過程涉及的對象包括移動終端上的證書管理APP（可調用終端密碼模塊）、管理平臺中的證書管理服務器（包含身份認證功能）和PKI/CA系統，具體流程如圖3所示。

1） 管理員將用戶等信息導入管理平臺。

2） 終端證書管理APP與管理平臺的證書管理服務器之間基于TLS協議等建立安全連接，證書管理APP通過管理服務器的證書確認平臺的合法性。

3） 終端證書管理APP采集人像等活體生物特征、身份證信息等數據，發送至證書管理服務器，由身份認證模塊進行身份證核驗和生物特征識別，認證終端用戶的合法性，可輔助采用短信驗證碼、用戶口令、終端信息校驗等方式增強認證。

4） 認證成功后，終端證書管理APP生成并發送數字證書申請至證書管理服務器。

5） 證書管理服務器收到證書請求后，調用PKI/CA系統對本次證書申請操作進行審核和簽發數字證書。

6） 證書管理服務器發送數字證書至終端證書管理APP，移動數字證書遠程申請流程結束。

新的移動數字證書遠程管理方案以居民身份證核驗和人像識別等技術結合為主的方式，在進行實際的證書申請之前，首先實現了對用戶真實身份的可靠識別，從而有效避免移動數字證書遠程管理帶來的各類安全隱患，提高證書申請過程中的安全性，保證數字證書安全下發到對應的用戶。在實際使用過程中，可以根據需求，使用已具備合法數字證書的U盾、指紋或聲紋等代替身份證、人像等進行遠程身份認證。

5 結束語

本文首先分析了當前移動數字證書遠程管理的主要實現方式，并從多個方面分析總結了數字證書遠程管理需要解決的各類安全威脅和問題。針對存在的遠程身份認證等安全問題，總結分析了遠程身份認證相關技術和不同安全等級下對認證技術的選擇要求。最后提出了一種新的移動數字證書遠程管理方案，新方案綜合使用了身份證核驗、生物特征識別等多種安全技術，能夠有效提高移動數字證書遠程管理的安全性，同時大幅簡化了移動證書管理實施的復雜度，保證了方案的安全性和可操作性。

參考文獻

[1] Ballagas R， Rohs M， Sheridan J G， et al. BYOD： Bring your own device[J]. Proceedings of the Workshop on Ubiquitous Display Environments Ubicomp，2004， 50（2）：43–53.

[2] Liu L， Moulic R， Shea D. Cloud Service Portal for Mobile Device Management[C]. IEEE， International Conference on E-Business Engineering. IEEE， 2010：474-478.

[3] Virtual Private Networking： An Overview[OL]. Microsoft TechNet.https：//docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-2000-server/bb742566（v=technet.10），2001.

[4] 曾紅霞， 朱泉.軍工企業移動辦公安全接入研究與應用[J].網絡空間安全，2016（8）：42-45，49.

[5] Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List （CRL） Profile[S].RFC5280.https：//tools.ietf.org/html/rfc5280，2008.

[6] Federal Agency Use of Public Key Technology for Digital Signatures and Authentication[S].https：//nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-25.pdf，2000.

[7] 韓峰.無線網絡數字證書管理技術的研究[D].北京郵電大學，2007.

[8] William Stallings，白國強，等譯.網絡安全基礎應用與標準（第5版）[M].清華大學出版社，2015.

[9] 移動金融基于聲紋識別的安全應用技術規范[S].JR/T 0164-2018，2018.

[10] 王宇.電子身份證為公共服務“互聯網+”打基礎[J].計算機與網絡，2018（1）：11-11.