一、概述

“移动一证通”解决方案是北京安软天地科技有限公司提出的在移动安全领域的创新方案，主要体现在以下三点：

首先，方案全部采用国产商用密码技术，符合政策要求，合法合规；

其次，采用基于发明专利的协同密钥技术开发的手机盾产品（软件形态的终端密码设备），提供了移动端密钥安全存储和密码运算的基础支撑环境，摆脱了移动端采用硬件密码设备（TF卡/SIM卡、蓝牙key/音频key等硬件形态的终端密码设备）“使用不便、难以在实际应用中推广”的限制；

再次，实现移动端“密钥安全存储、证书管理、身份认证、访问控制、加密传输、交易防抵赖、加密存储”等全面的密码功能，保护移动应用全方位的使用，真正实现了“移动一证通”安全保护的目标。

方案架构如下图所示：

图 “移动一证通”示意图

各组成部分说明如下：

1. PKI基础设施（CA数字证书系统）为每一个移动用户发放国密数字证书，并采用密钥分割技术，用户移动终端只保存部分私钥信息。

2. 移动端用户通过手机盾密码模块提供的安全机制进行业务登录。

3. 移动安全接入平台提供安全接入、身份认证、访问控制、加密传输等功能。

4. 手机盾服务器（云签名管理服务器）提供分散密钥、协同数字签名功能，保证移动端身份真实性和交易的不可抵赖性。

5. 应用安全支撑平台提供业务使用过程中的交易安全、数据安全保障。

二、用户需求

随着移动终端和移动互联网应用逐步深入和广泛，电子政务中未来越来越多的关键应用系统通过移动终端和移动互联网实现，如何解决移动开放终端和开放网络带来的信息安全问题，为用户和组织实现无所不在无时不在的应用保驾护航，是移动电子政务的关键问题。

移动电子政务应用安全解决方案基于PKI/CA体系，为用户提供移动终端上的数字证书发放、手机盾安全存储、身份安全认证、移动通讯加密、数字签名等完整的应用安全方案，从而满足用户在移动电子政务应用过程中面临的身份真实认证、数据完整性和机密性保护、不可抵赖性等方面的需求。

移动电子政务是基于移动网络的远程业务，如移动OA等，安全需求分析如下：

1. 满足操作者身份真实性的需求；
2. 满足远程用户远程安全访问的需求；
3. 满足关键交防抵赖、防篡改、责任可追溯需求。

三、解决方案

根据对以上安全需求的分析，本次移动一证通解决方案中使用到的设备概述如下：

1. 建立基础PKI/CA基础认证平台。 采用数字证书认证系统和相关产品建设基础认证平台，给移动电子政务用户提供“网络身份证”，即“数字证书”作为用户身份的唯一标识，用强身份认证手段来保证用户身份的真实性；
2. 采用手机盾技术， 实现手机端证书安全存储功能。手机盾部署在移动端（手机/平板）上，部署的软件安全模块，达到硬件U盾的安全级别，实现相同的功能。
3. 采用“移动安全认证网关”， 实现以下三个功能：
   • 1） 登录认证功能。不改造应用系统，将认证网关部署于电子政务系统之前，实现对用户登录时对其数字证书的认证功能。
   • 2） 远程安全传输功能。防止数据在传输中被截听和窃取。
   • 3） 单点登录功能。即登录“移动安全认证网关”即可登入“电子政务系统”（避免两次登录）。
4. 4. 采用签名验签服务器， 实现防抵赖功能。采用签名验证服务器，在服务器端和移动端部署，保证交易和操作的防抵赖、防篡改、不可否认性。
5. 5. 移动终端安全中间件。 认证、签名、加密等应用安全功能，在移动端都支持以移动终端安全中间件（SDK模式）提供，支持Android和iOS等移动终端主流操作系统，SDK与业务APP进行无缝集成。

四、网络拓扑

图 整体部署拓扑示意图