劉衍斐 盧煜 周昕

摘 要：論文首先總結(jié)分析了當(dāng)前主流的移動(dòng)數(shù)字證書遠(yuǎn)程安全管理方案和面臨的安全威脅，針對(duì)存在的安全風(fēng)險(xiǎn)和常見問題，闡述了相應(yīng)的各類安全技術(shù)，最后在綜合使用各類安全技術(shù)和多種保障手段的基礎(chǔ)上，給出了解決移動(dòng)數(shù)字證書安全遠(yuǎn)程管理的途徑和思路，提出了解決當(dāng)前移動(dòng)數(shù)字證書遠(yuǎn)程安全管理的新方案。

關(guān)鍵詞：移動(dòng)數(shù)字證書；遠(yuǎn)程管理；身份認(rèn)證；移動(dòng)安全

中圖分類號(hào)：TP309.7 文獻(xiàn)標(biāo)識(shí)碼：A

Abstract： This paper describes classic schemes， and analyzes the security threats in remote management of mobile digital certificate. The appropriate security solutions and ideas are given in this paper accordingly for the threats. Also， based on comprehensive use of various security technologies and methods， this paper presents a new security scheme to solve the security problems in remote management of mobile digital certificate.

Key words： mobile digital certificate； remote management； authentication； mobile security

1 引言

隨著移動(dòng)通信和智能終端技術(shù)的迅速發(fā)展，智能終端已在社會(huì)的各個(gè)領(lǐng)域中得到廣泛的應(yīng)用，對(duì)人們的工作生活的影響也越來越大。特別是隨著近年來BYOD（Bring Your Own Device）的興起[1]，越來越多的政府、企事業(yè)單位等開始部署遠(yuǎn)程辦公系統(tǒng)，而為了保證在使用移動(dòng)終端遠(yuǎn)程處理工作時(shí)的可控性和安全性，使用數(shù)字證書實(shí)現(xiàn)身份認(rèn)證和通信加密保護(hù)等，成為目前移動(dòng)辦公安全方案的主流。

為了保證移動(dòng)辦公的安全性，移動(dòng)安全管理框架不斷涌現(xiàn)[2]，可提供多種遠(yuǎn)程管控功能，同使用VPN（Virtual Private Network）技術(shù)來保證遠(yuǎn)程通信的安全性[3，4]。但作為用戶身份認(rèn)證基礎(chǔ)的移動(dòng)數(shù)字證書[5，6]，對(duì)其進(jìn)行遠(yuǎn)程安全管理的研究卻較少[7]，在實(shí)現(xiàn)過程中仍然存在一定的安全性或操作復(fù)雜等問題，而這將可能帶來嚴(yán)重的安全性后果，如用戶身份被冒用、信息被非法竊取和功能被濫用等。

本文全面分析了移動(dòng)數(shù)字證書安全遠(yuǎn)程管理所面臨的各類安全威脅，針對(duì)存在的問題，分別給出了有針對(duì)性的安全解決辦法，并在綜合使用各類安全技術(shù)和多種保障手段的基礎(chǔ)上，提出了一種新的移動(dòng)數(shù)字證書遠(yuǎn)程安全管理方案，新的安全方案能夠有效應(yīng)對(duì)各類安全威脅，提高移動(dòng)數(shù)字證書管理的安全性。

2 傳統(tǒng)移動(dòng)數(shù)字證書遠(yuǎn)程管理機(jī)制

當(dāng)前的移動(dòng)數(shù)字證書遠(yuǎn)程管理系統(tǒng)一般包括移動(dòng)終端證書管理APP（Application）和管理平臺(tái)兩部分，兩部分之間通過移動(dòng)數(shù)據(jù)通信網(wǎng)絡(luò)或WiFi等無線網(wǎng)絡(luò)實(shí)現(xiàn)通信。移動(dòng)終端證書管理APP運(yùn)行在智能手機(jī)、平板電腦等各類移動(dòng)終端上提供證書管理服務(wù)；管理平臺(tái)則包括遠(yuǎn)程證書管理服務(wù)器、證書認(rèn)證中心（PKI/CA，Public Key Infrastructure/ Certificate Authority）等各類服務(wù)器，為了提高安全性，管理平臺(tái)還可能額外劃分出一個(gè)代理邊界區(qū)對(duì)外提供服務(wù)。移動(dòng)數(shù)字證書遠(yuǎn)程管理系統(tǒng)的組成如圖1所示。

移動(dòng)數(shù)字證書遠(yuǎn)程管理系統(tǒng)中主要工作可以分為證書申請(qǐng)和證書日常管理兩個(gè)部分。證書申請(qǐng)包括證書信息登記、數(shù)字證書請(qǐng)求和下發(fā)等步驟；證書日常管理包括數(shù)字證書的更新、吊銷/廢棄等內(nèi)容[8]。

證書申請(qǐng)是證書遠(yuǎn)程管理中的核心功能，也是后續(xù)日常管理的基礎(chǔ)。傳統(tǒng)的移動(dòng)數(shù)字證書遠(yuǎn)程管理系統(tǒng)的證書申請(qǐng)流程主要包括幾個(gè)步驟：管理員導(dǎo)入用戶等信息至管理平臺(tái)；操作人員向管理平臺(tái)發(fā)送數(shù)字證書請(qǐng)求消息；管理平臺(tái)收到數(shù)字證書請(qǐng)求后對(duì)請(qǐng)求進(jìn)行審核，如果需要人工介入則會(huì)將申請(qǐng)信息上報(bào)由PKI管理員進(jìn)行審批；請(qǐng)求經(jīng)確認(rèn)合法后，管理平臺(tái)生成對(duì)應(yīng)的數(shù)字證書，返回成功響應(yīng)，完成首次證書申請(qǐng)，如圖2所示。

在申請(qǐng)流程中，證書請(qǐng)求的發(fā)起一般集中在特定的地點(diǎn)進(jìn)行，操作人員一般是管理員而非實(shí)際的用戶本人：通常是由管理員手動(dòng)操作進(jìn)行證書申請(qǐng)后，將載有證書的密碼產(chǎn)品（如加密卡/UKey等）發(fā)放給實(shí)際的用戶使用。

對(duì)移動(dòng)數(shù)字證書進(jìn)行日常管理，證書的吊銷/廢棄等管理操作，由管理員在管理平臺(tái)處進(jìn)行操作執(zhí)行，并可根據(jù)情況通知到終端證書管理APP；證書到期更新時(shí)，由終端證書APP連接管理平臺(tái)，獲取新的數(shù)字證書。

3 傳統(tǒng)移動(dòng)數(shù)字證書遠(yuǎn)程管理問題分析

傳統(tǒng)移動(dòng)數(shù)字證書遠(yuǎn)程管理面臨多種威脅，除了針對(duì)管理平臺(tái)、移動(dòng)終端、終端證書管理APP的攻擊、針對(duì)通信的攻擊和功能流程實(shí)現(xiàn)的攻擊等外，在實(shí)際的證書管理實(shí)現(xiàn)流程中也存在一定的安全隱患。證書管理中的日常管理部分由于可以基于已有證書建立雙向認(rèn)證的安全連接來保證安全性，因此問題較少；但證書申請(qǐng)部分卻由于實(shí)現(xiàn)機(jī)制的限制，導(dǎo)致面臨大量難以克服的問題。本章節(jié)詳細(xì)了闡述了傳統(tǒng)移動(dòng)數(shù)字證書遠(yuǎn)程管理中存在的各類安全威脅和問題。

傳統(tǒng)移動(dòng)數(shù)字證書管理的證書申請(qǐng)部分主要采用管理員人工集中處理的方式實(shí)現(xiàn)，這種管理方式在實(shí)際的使用過程中存在諸多問題。

工作差錯(cuò)多：少量管理員制發(fā)全部用戶的證書，而由于對(duì)實(shí)際用戶不熟悉，極易產(chǎn)生工作差錯(cuò)，致使人為原因造成的身份冒用等各類問題大量出現(xiàn)。

環(huán)節(jié)復(fù)雜：對(duì)加密卡、密鑰鑰匙等使用專門工具進(jìn)行人工發(fā)證后，需要手工逐一標(biāo)識(shí)，逐級(jí)分發(fā)到對(duì)應(yīng)用戶。

維護(hù)難：當(dāng)發(fā)生移動(dòng)終端設(shè)備、密碼模塊、證書的丟失或損壞時(shí)，需要逐級(jí)上報(bào)，由管理員再次進(jìn)行復(fù)雜的人工發(fā)證操作。

同時(shí)隨著密碼產(chǎn)品和密碼技術(shù)的升級(jí)改進(jìn)，傳統(tǒng)移動(dòng)數(shù)字證書管理還面臨多方面新的挑戰(zhàn)。

密碼產(chǎn)品形態(tài)多樣化：具備更高的可靠性和性能優(yōu)勢(shì)的終端內(nèi)置安全芯片、TEE密碼模塊等密碼產(chǎn)品不斷出現(xiàn)，而這些產(chǎn)品由于密碼模塊與移動(dòng)終端不能分離，因此很難通過傳統(tǒng)的密碼模塊由人工集中發(fā)證的方式管理。

PKI部署方式向中心集中式變化：隨著對(duì)安全的重視程度和統(tǒng)一管理的需求不斷提高，政府、大型企事業(yè)單位在建設(shè)部署云計(jì)算、大數(shù)據(jù)中心等的同時(shí)，開始向集中建設(shè)PKI轉(zhuǎn)變，而這種集中度的提高使傳統(tǒng)人工方式弊端更加明顯，同時(shí)帶來了分級(jí)授權(quán)管理、遠(yuǎn)程技術(shù)支持等各類問題。

傳統(tǒng)移動(dòng)數(shù)字證書遠(yuǎn)程管理需要集中由管理員完成證書申請(qǐng)工作后，才能真正對(duì)證書更新、廢除等各類日常管理的遠(yuǎn)程操作進(jìn)行有效管理，致使面對(duì)上述問題和挑戰(zhàn)時(shí)，顯得力不從心，已逐漸難以滿足用戶對(duì)安全性和便利性的要求。

4 新型移動(dòng)數(shù)字證書遠(yuǎn)程安全管理

傳統(tǒng)移動(dòng)數(shù)字證書遠(yuǎn)程管理中存在的各類問題，其原因主要是采用了集中由管理員主導(dǎo)完成證書申請(qǐng)的工作機(jī)制，因此為了克服傳統(tǒng)方案的不足，新的移動(dòng)數(shù)字證書遠(yuǎn)程管理方案應(yīng)改由實(shí)際的用戶自行遠(yuǎn)程進(jìn)行數(shù)字證書申請(qǐng)，以避免管理員人為失誤造成的安全問題和簡(jiǎn)化管理的復(fù)雜度。但用戶自行遠(yuǎn)程進(jìn)行數(shù)字證書申請(qǐng)，又面臨如何有效進(jìn)行真實(shí)身份的遠(yuǎn)程識(shí)別認(rèn)證這一核心安全問題。

本章節(jié)將首先闡述移動(dòng)數(shù)字證書遠(yuǎn)程管理中可能涉及到的遠(yuǎn)程身份認(rèn)證技術(shù)，并在深入分析遠(yuǎn)程身份認(rèn)證的基礎(chǔ)上，針對(duì)安全要求較高的場(chǎng)景，提出了一種新的移動(dòng)數(shù)字證書遠(yuǎn)程管理安全方案，該方案使用多種遠(yuǎn)程身份識(shí)別技術(shù)對(duì)用戶的身份進(jìn)行有效識(shí)別，保證數(shù)字證書安全發(fā)放給合法用戶，具備較高的安全性。

4.1 遠(yuǎn)程身份認(rèn)證技術(shù)分析

移動(dòng)數(shù)字證書本身是后續(xù)進(jìn)行各項(xiàng)移動(dòng)辦公時(shí)的重要安全基礎(chǔ)，如果在進(jìn)行證書申請(qǐng)時(shí)用戶的身份安全無法得到保障，則可能導(dǎo)致用戶身份被冒用、信息被非法獲取、功能被惡意使用和合法用戶接入虛假管理平臺(tái)等嚴(yán)重問題的產(chǎn)生。目前在進(jìn)行遠(yuǎn)程身份認(rèn)證時(shí)可能使用的技術(shù)主要有幾項(xiàng)。

基于密碼技術(shù)的能夠防偽造、抗抵賴的密碼產(chǎn)品進(jìn)行身份認(rèn)證。密碼產(chǎn)品中應(yīng)包含可認(rèn)證的數(shù)字證書、密鑰等信息，使用的密碼算法包括對(duì)稱加密算法、數(shù)字簽名技術(shù)和其他密碼技術(shù)等，具體的產(chǎn)品形態(tài)包括加密芯片、加密TF卡、USBKey、U盾等。

基于人體生物特征作為用戶本體屬性進(jìn)行真實(shí)性身份認(rèn)證。人像、虹膜、聲紋及指紋等各類生物特征識(shí)別技術(shù)日益成熟，當(dāng)前對(duì)人像、指紋、聲紋等多種生物特征的識(shí)別準(zhǔn)確率已經(jīng)可以到達(dá)商用的水平，并開始逐步大規(guī)模在網(wǎng)絡(luò)支付、證券交易等各類服務(wù)中使用[9]。

基于動(dòng)態(tài)口令的電子令牌等進(jìn)行身份認(rèn)證，電子令牌可以硬件形態(tài)提供用戶使用，具備持續(xù)自從更新口令的能力，比用戶靜態(tài)設(shè)置的口令安全性更高，目前已經(jīng)在銀行金融支付中得到廣泛的應(yīng)用。

基于用戶口令進(jìn)行身份認(rèn)證，為了提高安全性，用戶口令在設(shè)置時(shí)應(yīng)具備一定的復(fù)雜度。

基于短信驗(yàn)證碼進(jìn)行身份認(rèn)證。

密碼產(chǎn)品除上述的加密芯片、加密TF卡等常規(guī)密碼產(chǎn)品外，居民身份證實(shí)際上也屬于一種特殊的可進(jìn)行身份認(rèn)證的密碼產(chǎn)品，具備較高的安全性。身份證是我國公民的法定身份證件，內(nèi)置的安全芯片，使用國產(chǎn)密碼算法，并具備加密通信能力。而人手一張、有通信能力和加密安全的特性，結(jié)合目前公安部的居民身份證掛失系統(tǒng)，為居民身份證參與遠(yuǎn)程身份認(rèn)證提供了有利條件。目前，已經(jīng)有基于身份證進(jìn)行網(wǎng)上身份認(rèn)證的相關(guān)服務(wù)出現(xiàn)，如互聯(lián)網(wǎng)+可信身份認(rèn)證平臺(tái)（CTID）等已經(jīng)開始運(yùn)營[10]。

遠(yuǎn)程身份識(shí)別認(rèn)證在具體實(shí)現(xiàn)時(shí)，其認(rèn)證因子的選擇根據(jù)安全要求的高低主要可以分為幾種情況。

安全要求較高：同時(shí)使用密碼產(chǎn)品和生物特征識(shí)別技術(shù)等進(jìn)行多因子認(rèn)證。

安全要求中等：同時(shí)使用生物特征識(shí)別技術(shù)、口令或短信驗(yàn)證碼等進(jìn)行多因子認(rèn)證。

安全要求較低：使用口令或短信驗(yàn)證碼等進(jìn)行認(rèn)證。

在為政府和大型企事業(yè)單位等提供移動(dòng)數(shù)字證書的遠(yuǎn)程管理服務(wù)時(shí)，一般對(duì)安全性要求較高，因此應(yīng)考慮同時(shí)使用密碼產(chǎn)品和人體生物特征等進(jìn)行多因子認(rèn)證。而居民身份證核驗(yàn)和人像識(shí)別在安全性、技術(shù)成熟度和便利性等方面具備明顯的優(yōu)勢(shì)，是當(dāng)前比較適合移動(dòng)數(shù)字證書遠(yuǎn)程管理使用的身份認(rèn)證技術(shù)。

4.2 新的移動(dòng)數(shù)字證書遠(yuǎn)程管理方案

移動(dòng)數(shù)字證書遠(yuǎn)程管理的核心流程是數(shù)字證書申請(qǐng)，其實(shí)現(xiàn)過程與傳統(tǒng)數(shù)字證書最重要的區(qū)別在于需要實(shí)現(xiàn)遠(yuǎn)程身份認(rèn)證。因此本文提出了一種新的移動(dòng)數(shù)字證書遠(yuǎn)程管理方案，在新方案中，遠(yuǎn)程身份認(rèn)證主要由身份證核驗(yàn)和人像等生物特征識(shí)別兩種技術(shù)共同保證，配合可能的短信驗(yàn)證碼、口令、設(shè)備信息檢查等，可以有效保證用戶身份的真實(shí)合法性，滿足政府和大型企事業(yè)單位等的安全性要求。

新方案的移動(dòng)數(shù)字證書申請(qǐng)的實(shí)現(xiàn)過程涉及的對(duì)象包括移動(dòng)終端上的證書管理APP（可調(diào)用終端密碼模塊）、管理平臺(tái)中的證書管理服務(wù)器（包含身份認(rèn)證功能）和PKI/CA系統(tǒng)，具體流程如圖3所示。

1） 管理員將用戶等信息導(dǎo)入管理平臺(tái)。

2） 終端證書管理APP與管理平臺(tái)的證書管理服務(wù)器之間基于TLS協(xié)議等建立安全連接，證書管理APP通過管理服務(wù)器的證書確認(rèn)平臺(tái)的合法性。

3） 終端證書管理APP采集人像等活體生物特征、身份證信息等數(shù)據(jù)，發(fā)送至證書管理服務(wù)器，由身份認(rèn)證模塊進(jìn)行身份證核驗(yàn)和生物特征識(shí)別，認(rèn)證終端用戶的合法性，可輔助采用短信驗(yàn)證碼、用戶口令、終端信息校驗(yàn)等方式增強(qiáng)認(rèn)證。

4） 認(rèn)證成功后，終端證書管理APP生成并發(fā)送數(shù)字證書申請(qǐng)至證書管理服務(wù)器。

5） 證書管理服務(wù)器收到證書請(qǐng)求后，調(diào)用PKI/CA系統(tǒng)對(duì)本次證書申請(qǐng)操作進(jìn)行審核和簽發(fā)數(shù)字證書。

6） 證書管理服務(wù)器發(fā)送數(shù)字證書至終端證書管理APP，移動(dòng)數(shù)字證書遠(yuǎn)程申請(qǐng)流程結(jié)束。

新的移動(dòng)數(shù)字證書遠(yuǎn)程管理方案以居民身份證核驗(yàn)和人像識(shí)別等技術(shù)結(jié)合為主的方式，在進(jìn)行實(shí)際的證書申請(qǐng)之前，首先實(shí)現(xiàn)了對(duì)用戶真實(shí)身份的可靠識(shí)別，從而有效避免移動(dòng)數(shù)字證書遠(yuǎn)程管理帶來的各類安全隱患，提高證書申請(qǐng)過程中的安全性，保證數(shù)字證書安全下發(fā)到對(duì)應(yīng)的用戶。在實(shí)際使用過程中，可以根據(jù)需求，使用已具備合法數(shù)字證書的U盾、指紋或聲紋等代替身份證、人像等進(jìn)行遠(yuǎn)程身份認(rèn)證。

5 結(jié)束語

本文首先分析了當(dāng)前移動(dòng)數(shù)字證書遠(yuǎn)程管理的主要實(shí)現(xiàn)方式，并從多個(gè)方面分析總結(jié)了數(shù)字證書遠(yuǎn)程管理需要解決的各類安全威脅和問題。針對(duì)存在的遠(yuǎn)程身份認(rèn)證等安全問題，總結(jié)分析了遠(yuǎn)程身份認(rèn)證相關(guān)技術(shù)和不同安全等級(jí)下對(duì)認(rèn)證技術(shù)的選擇要求。最后提出了一種新的移動(dòng)數(shù)字證書遠(yuǎn)程管理方案，新方案綜合使用了身份證核驗(yàn)、生物特征識(shí)別等多種安全技術(shù)，能夠有效提高移動(dòng)數(shù)字證書遠(yuǎn)程管理的安全性，同時(shí)大幅簡(jiǎn)化了移動(dòng)證書管理實(shí)施的復(fù)雜度，保證了方案的安全性和可操作性。

參考文獻(xiàn)

[1] Ballagas R， Rohs M， Sheridan J G， et al. BYOD： Bring your own device[J]. Proceedings of the Workshop on Ubiquitous Display Environments Ubicomp，2004， 50（2）：43–53.

[2] Liu L， Moulic R， Shea D. Cloud Service Portal for Mobile Device Management[C]. IEEE， International Conference on E-Business Engineering. IEEE， 2010：474-478.

[3] Virtual Private Networking： An Overview[OL]. Microsoft TechNet.https：//docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-2000-server/bb742566（v=technet.10），2001.

[4] 曾紅霞， 朱泉.軍工企業(yè)移動(dòng)辦公安全接入研究與應(yīng)用[J].網(wǎng)絡(luò)空間安全，2016（8）：42-45，49.

[5] Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List （CRL） Profile[S].RFC5280.https：//tools.ietf.org/html/rfc5280，2008.

[6] Federal Agency Use of Public Key Technology for Digital Signatures and Authentication[S].https：//nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-25.pdf，2000.

[7] 韓峰.無線網(wǎng)絡(luò)數(shù)字證書管理技術(shù)的研究[D].北京郵電大學(xué)，2007.

[8] William Stallings，白國強(qiáng)，等譯.網(wǎng)絡(luò)安全基礎(chǔ)應(yīng)用與標(biāo)準(zhǔn)（第5版）[M].清華大學(xué)出版社，2015.

[9] 移動(dòng)金融基于聲紋識(shí)別的安全應(yīng)用技術(shù)規(guī)范[S].JR/T 0164-2018，2018.

[10] 王宇.電子身份證為公共服務(wù)“互聯(lián)網(wǎng)+”打基礎(chǔ)[J].計(jì)算機(jī)與網(wǎng)絡(luò)，2018（1）：11-11.