手机盾就是用手机实现传统U盾功能,不依赖硬件密码芯片,用软件实现密码设备、密码运算和CA数字证书全部功能。
机盾是针对移动互联网应用身份认证、电子签名需求推出的移动应用安全产品,基于智能移动终端密码安全模块所提供的密钥分割及协同签名算法,保证了在移动环境下私钥的存储及运算安全。
手机盾为银行、互联网金融、电子商务、电子政务、移动办公、智慧城市等移动互联网应用提供了密码运算支撑能力,用于身份认证、电子签名、数据保护等。
手机盾产品可以满足移动应用的三种安全要求:
不可否认性:身份认证: 个人用户能够在业务 APP 上实现基于数字证书的强身份认证;
不可否认性: 经过用户通过手机终端签名的结果,保证发送出去的信息是用户的操作,防止操作被抵赖,可以作为事后追溯责任的依据;
安全性: 代替原有的 USBKey,用户智能手机即可达到硬件介质的安全级别,同时还要兼顾易用性和用户体验;
手机盾产品包括手机盾移动终端模块和手机盾服务系统两个组成部分,产品结构如下图所示:

手机盾移动终端模块:手机盾移动终端模块集成了智能移动终端密码安全模块。智能移动终端密码安全模块部署在智能终端的软件安全模块, 使用分割密钥算法进行协同签名,支持国产密码SM2算法,为移动端包括(Android和iOS系)的手机、平板提供终端密钥的安全存储、身份认证、数字签名、证书安全等功能。手机盾移动终端模块形态是SDK和APP方式,支持Android和iOS等移动终端主流操作系统。SDK能够和业务APP进行无缝集成。
智能终端安全密码模块产品功能介绍如下:
1.证书管理
移动终端密码模块通过CA基础设施,为移动用户发放数字证书,初始化时需要生成私钥并下载证书,终端密码模块基于协同密钥机制,支持私钥的分散存储和加密保护,保证软证书介质的安全性,避免全部用户私钥被非法获取引发的非法接入及身份冒用风险。
2.设备绑定
设备初次时,需要将当前移动终端和用户身份进行绑定,通过硬件指纹特征码技术,保证设备的唯一性,如果用户更换终端设备,需要手工解绑。
3.协同签名
在登录认证和电子签名环节,由移动端存储的密钥成分和云签名端的密钥成分俩部分共同运算完成,符合国家密码管理局移动端应用安全规范。
4.SDK集成
提供SDK和独立APP两种形态,支持以组件的方式嵌入用户APP;
5.支持多操作系统
同时支持Android和IOS操作系统。
手机盾服务器(云签名服务器)产品功能介绍如下:
1.密钥管理
云签名服务器提供协同密钥生成、更新等管理功能。密钥安全为云签名服务安全的基础。
2.协同签名
云签名服务器能够和智能终端安全密码模块完成协同签名流程,提供数据签名与验证功能,签名结果为原始的裸签名值,可满足对签名操作的灵活性要求。
3.签名验证
云签名服务器提供消息签名与验证功能,签名结果为PKCS7格式的消息,可满足对签名操作的易用性要求。
4.证书验证功能
云签名服务器提供证书验证功能。证书验证时检查证书是否处在有效期、是否被信任的CA签发,同时通过CRL或OCSP检查证书状态是否正常。
5.证书解析功能
云签名服务器提供证书解析功能。证书解析可返回证书有效期、证书序列号、证书所有者信息和证书签发者信息等。
6.证书管理功能
证书管理功能可完成CA证书及连接参数管理、CRL管理、生成证书请求、签名证书导入、应用证书管理、用户证书管理;
7.支持多种开发语言
API支持JAVA、C、C++、.Net等多种开发语言。协同签名API为应用系统提供实现协同签名服务的函数,可实现签名、验签、证书验证、证书解析等处理。
8.高可用性功能
支持双机热备与负载均衡,可实现多台时间服务器的部署,避免单点故障,提高可靠性,确保签发效率。
手机盾移动终端模块通过独立APP或者SDK的形式,同业务APP进行集成。手机盾服务系统部署在网络服务区,可通过移动互联网和客户端进行通讯。手机盾服务系统可以进行双机热备,保证系统的高可用性。
手机盾产品部署如下图所示:

-
=============内容区4==============
