行業短信URL安全管理方法研究

楊漢坤 李嵐霞

摘? 要：對短信鏈接安全管理方法進行研究，提供短信小程序安全管理方法，在事前提供短信小程序標準化域名，對行業短信中的URL進行統一的iframe封裝，并在行業客戶接入時為其分配中國移動SIM盾數字證書，確保接入的在線實名。其次設計短信小程序模板申請審核流程，行業客戶進行下發操作時使用SIM盾確認，核實操作者信息。最后用戶點擊短信小程序鏈接，可在底部菜單欄查看行業客戶的企業證書信息，并設置投訴入口，如遇可疑內容立即封堵。

關鍵詞：短信小程序;SIM盾;安全管控;URL鏈接

Abstract：This article researches the method of SMS link security management，provides SMS applet security management method. At first，provides standardized domain name of SMS applet，and encapsulates the URL in SMS with a unified iframe. When industry customers access，it assigns SIM shield digital certificate of China Mobile to ensure the online real name for access. Secondly，set up a SMS applet template application and review process，industry customers use SIM shield to confirm when it needs to verify operator information. Finally，when user clicks the link of SMS applet，he can view the enterprise certificate information in the bottom menu，and set up a complaint entrance，in case of any suspicious content，block it immediately.

Keywords：SMS applet;SIM shield;security control;URL link

0? 引? 言

據調研，自2014—2019年行業短信的下發量從4 135億條發展至超6 000億條，且呈進一步發展趨勢，成為運營商通信收入的主要來源。隨著移動互聯網的普及，人們在享受信息傳播的便利的同時，也面臨越來越嚴峻的信息安全風險，全網垃圾短信投訴率持續增長，根據網信辦舉報中心官方統計，2020年3—6月，該平臺月均受理網絡違法和不良信息舉報超1 400萬件。行業短信內容中多數包含URL鏈接，隨著業務的高速發展，URL鏈接也成了惡意開發者的攻擊對象，用戶收到短信點擊URL后，就可能在毫無意識的情況下被盜取個人信息。在與中國移動廣東公司的交流過程中了解到，目前暫無有效的技術手段對短信中的URL鏈接進行管控，人工管控的方式無法對海量的行業短信進行監控。在人力成本、技術水平有限的條件下，中國移動廣東公司目前只能限制行業短信文案中攜帶URL鏈接。

基于中國移動廣東公司對短信中URL鏈接的安全管控訴求，中移互聯網公司開展了研究工作，據調研，目前國內學者研究的課題大多為對短信文本的識別處理，技術手段上主要采取KNN算法和支持向量機等分類算法[1]，流程優化上則采用先審后發[2]、用戶分層級管控[3]等方式。但僅針對短信文本進行監控、過濾則無法完全消除隱患，因此，中移互聯網公司結合自有產品開展了短信鏈接安全管理方法的研究。

1? 研究現狀及主要研究內容

1.1? 研究現狀

1.1.1? 中國移動超級SIM卡技術現狀

中國移動超級SIM卡將SIM卡從底層硬件到上層應用進行了全面升級，增強SIM卡的安全性，提供密碼算法計算能力、SIM卡空間安全存儲能力和應用的動態能力，應用基礎層可將這些能力通過標準統一的API提供給上層應用，為用戶實現網絡身份認證功能[4]。

SIM盾是中移互聯網公司基于中國移動超級SIM卡安全芯片，結合PKI非對稱加密技術，可保證用戶的隱私、賬戶安全，采用數字簽名技術[5]，密鑰（PIN碼口令）存儲在SIM卡安全芯片中，不可復制和抵賴。使用時，密碼校驗在SIM卡內完成，無須接收任何短信驗證，有效避免木馬攔截和篡改。SIM卡利用非對稱加密、數字簽名和數字證書來保護應用、通信或事務處理的安全，用于通信防詐騙。密鑰采用加密短信通道傳輸，保障認證結果的安全性，不需額外的硬件，就能確保本機操作的身份認證[6]。

1.1.2? iframe技術概述

iframe是超文本標記語言（HTML）中的標記，用于實現網頁框架，可使用iframe對網頁進行結構上的拆分，類似frameset技術，但iframe相較于frameset技術而言，更為靈活便捷，可將其內嵌至網頁的任何地方，使用上也較為簡單，因此使用范圍較廣[7]。

1.1.3? 短信小程序概述

短信小程序是中移互聯網公司自主研發的產品，在短信內容中添加URL鏈接，將短信流量升級為互聯網流量，發揮中國移動優勢，融合短信通道、登錄認證、H5網頁為各組織的IT系統提供消息觸達服務，用戶可快速無感知的通過短信中的URL鏈接登錄到IT系統，使用iframe技術將企業客戶提供的原始URL鏈接封裝，實現底部菜單欄，企業客戶可以開展個性化的流量運營、活動宣傳和廣告展示。

1.2? 本文主要研究內容

本文核心是將中國移動SIM盾與iframe技術結合建立短信小程序鏈接安全管理機制，達到對短信鏈接的監控和管理，具體研究內容如下。

1.2.1? 短信小程序針對短信下發前的安全管理

為行業客戶提供短信小程序管理平臺，提交相應企業信息完成注冊后，通過中國移動SIM盾技術對接入短信小程序的行業客戶進行個人和企業的身份認證，并頒發數字證書。

1.2.2? 短信小程序針對短信下發操作的安全確認

行業客戶在進行短信下發操作時需將短信文本、原始URL鏈接提交至短信小程序管理平臺，平臺將短信內容生成統一模板，客戶可使用模板進行短信下發，下發時使用中國移動SIM盾進行用戶信息的確認及操作信息留存，平臺將原始URL鏈接使用iframe技術封裝后方可下發。

1.2.3? 短信小程序針對短信下發后的風控管理

用戶收到短信后，短信文本中的URL鏈接為中國移動使用iframe技術封裝后的標準域名，點擊URL鏈接可在框架底部菜單欄識別短信內容提供方，點擊菜單欄可查閱短信內容提供方證書情況，如發現異常可進行在線投訴，平臺接收異常后對URL鏈接進行立即關停并通過數字證書追溯行業客戶。

2? 短信小程序鏈接安全管理事前流程建立

2.1? 企業信息提交審核

企業或個人在短信小程序管理平臺注冊個人賬號，登錄平臺進行注冊。申請者根據主體類型（個人、企業、政府、媒體等）提交不同的主體信息。在短信小程序管理平臺注冊的企業需提供組織名稱、企業營業執照注冊號/統一社會信用代碼/商戶機構代碼、法定代表人姓名、法定代表人身份證號等信息，由短信小程序運營團隊成員完成基本的資料審核后，確認是否允許商戶正式注冊，正式注冊后可創建短信模板。短信小程序平臺企業信息填寫界面如圖1所示。

2.2? 數字證書驗真企業信息

短信小程序平臺管理員將企業注冊資料提交進行驗真，如驗真通過，則平臺向CA申請數字證書并在SIM盾保存，如企業未提交信息或信息有誤則無法生成數字證書。數字證書提供了在互聯網上驗證通信實體身份的方式，數字證書是由權威認證機構CA中心發行的，用于在網絡環境中識別對方的身份，作用相當于電子身份證，適用于個人和企業的身份認證。企業管理員在管理后臺可看到相應的商戶和個人證書信息，提升安全性，明確信息安全責任。信息驗真通過生成數字證書界面如圖2所示。

3? 短信小程序鏈接安全管理事中操作管控

3.1? 短信小程序模板生成及審核

企業通過短信小程序提供的管理平臺進行短信發送時，需要先進行短信模板的配置，配置的內容包括短信文案、下發的原始URL鏈接等信息，填寫完成后提交平臺運營管理員進行審核。運營管理員對每一個短信模板進行人工審核，通過以后才支持正式使用下發。短信小程序平臺模板審核操作界面如圖3所示。

3.2? SIM盾提升短信下發操作安全性

企業用戶進行短信下發時，需通過中國移動SIM盾生成的數字證書進行操作的實名確認，達到行為安全監測的目的。在線實名確認的具體流程為：用戶進行短信下發操作時，需向SIM盾發送操作請求，SIM盾中的JSSDK收到請求后檢查用戶手機號碼是否存在有效證書，如未申請證書則請求生成公私鑰對，返回公鑰信息后，攜帶公鑰信息通過短信小程序管理后臺服務端申請臨時證書，CA返回證書信息后，短信小程序服務端保存證書信息，并返回證書信息至JSSDK進行身份確認。如用戶手機號碼已申請證書則直接進行身份確認。數字證書嵌入短信小程序管理平臺業務操作環節，企業用戶進行敏感操作時可調用證書能力進行高安全級別的身份驗證，實現業務管理全流程安全可追溯。在線實名認證交互流程如圖4所示。

3.3? 短信鏈接iframe封裝

短信小程序管理平臺為企業提供短信鏈接iframe封裝方案，對企業提交的短信模板中的原始URL統一使用iframe技術進行封裝，封裝后的鏈接使用統一域名。在短信下發后，用戶點擊前看到的URL鏈接地址統一，采用10086.cn或hfx.net，加深用戶對短信小程序鏈接域名的印象，樹立安全可信形象的同時也能做到對URL鏈接的統一管控。使用iframe進行封裝后的URL鏈接效果如圖5所示。

4? 短信小程序鏈接安全管理事后行為追溯

4.1? 頁面信息溯源

短信小程序管理后臺對短信中的URL鏈接使用iframe技術進行統一封裝，在頁面添加底部菜單欄，將企業客戶的原始URL鏈接升級為短信小程序，用戶收到短信，點擊短信小程序鏈接后，頁面上方域名欄顯示統一域名，下方底部欄顯示應用提供方的企業名稱，名稱以行業客戶進行注冊時申請的數字證書信息為準，由iframe框架自動顯示。用戶還可以從底部菜單欄投訴查詢入口查閱企業詳細信息，同時為用戶提供直接投訴入口。具體底部欄樣式及企業信息頁面如圖6、圖7、圖8所示。

4.2? 違規信息關停封堵

企業向用戶下發的所有鏈接，均由短信小程序進行封裝，實現了鏈接可管可控。封裝后的鏈接可通過互聯網手段對外部鏈接內容進行安全監測，比如訪問門限告警、用戶投訴監控等，當頁面內容發生變化、訪問量過多或者投訴數量達到閾值時，觸發對頁面內容的安全掃描，防止出現非法的圖文及木馬等內容，一旦出現則可迅速對鏈接進行關停，頁面無法繼續訪問。同時提供用戶投訴舉報機制，用戶若打開短信小程序鏈接后發現內容異常，則可進入投訴入口對內容進行投訴，短信小程序管理平臺收到投訴后立即關停鏈接。實施關停操作后，通過企業留存在短信小程序管理平臺的數字證書可對企業進行相關查處，保證用戶的信息安全。投訴入口及鏈接關停操作界面如圖9、圖10、圖11所示。

5? 結? 論

在實際的行業短信URL鏈接管控工作中，可以通過本文提出的短信小程序鏈接安全管理方法，使用iframe技術進行URL鏈接的統一封裝和中國移動SIM盾在線數字證書，行業客戶接入前統一分配數字證書，鏈接封裝操作、短信下發操作時數字證書簽名確認，短信下發后做到可追溯、防抵賴，從事前、事中、事后三個方面實現對URL鏈接的全流程安全管控，目前中移互聯網公司已根據本文所述方法完成系統研發，并提供將系統提供至中國移動廣東公司試點使用，此方法對行業短信中非法URL鏈接的現象起到了良好的抑制作用，幫助降低用戶投訴率，提升用戶對行業短信中的URL鏈接的可信度，也通過技術手段降低了運營商使用人工審核方式進行管控的成本，實現接入應用、內容的可控可管。

參考文獻：

[1] 劉國香，張鈞鋒.垃圾短信分類方式的探討 [J].滄州師范專科學校學報，2011，27（4）：122-124.

[2] 廉曄.行業垃圾短信管控之先審后發功能研究與設計 [D].呼和浩特：內蒙古大學，2018.

[3] 馮天.行業垃圾短信管控之用戶分層分級功能研究與設計 [D].呼和浩特：內蒙古大學，2018.

[4] 佚名.中國移動發布超級SIM卡 [J].電子世界，2020（13）：4.

[5] 楊文清.淺談數字簽名與數字證書 [J].計算機產品與流通，2020（11）：286.

[6] 曹原銘，董昭，陳旭.基于SIM卡的統一認證技術研究 [J].電信工程技術與標準化，2015，28（4）：69-74.

[7] 石靜，劉欣亮.使用Iframe實現網頁之間數據的“隱形”傳送 [J].軟件導刊，2011，10（11）：141-142.

作者簡介：楊漢坤（1979—），男，漢族，湖北荊州人，部門副總經理，碩士研究生，研究方向：通信技術、計算機系統結構;通訊作者：李嵐霞（1993—），女，漢族，廣西南寧人，碩士研究生，研究方向：計算機技術。