劉國榮，劉東鑫，汪來富，沈軍，金華敏

（中國電信股份有限公司廣州研究院，廣東 廣州 510630）

基于共享式存儲的智能終端數(shù)字簽名方案

劉國榮，劉東鑫，汪來富，沈軍，金華敏

（中國電信股份有限公司廣州研究院，廣東 廣州 510630）

在傳統(tǒng)互聯(lián)網(wǎng)中，USB key+數(shù)字證書是最成熟的應用安全保障技術，但在移動互聯(lián)網(wǎng)領域，由于智能終端接口等方面的限制，證書難以直接使用。探討了在智能終端使用智能卡作為數(shù)字證書存儲介質(zhì)，支持多個數(shù)字證書，通過統(tǒng)一的管理，為多個應用共享使用，降低證書在智能終端上的使用門檻，并分析了方案的安全性，探討了數(shù)字證書與指紋識別技術相結(jié)合，提升用戶使用便利性的方案。

智能終端；數(shù)字證書；認證；安全

1 引言

隨著移動互聯(lián)網(wǎng)開放化、終端智能化和應用豐富化，傳統(tǒng)互聯(lián)網(wǎng)的安全問題也在威脅著移動互聯(lián)網(wǎng)應用。移動電子商務、移動辦公等行業(yè)應用由于使用的特殊性，對安全具有很高的要求，特別是對用戶身份的驗證、交易安全的保障。然而，由于手機終端限制，傳統(tǒng)互聯(lián)網(wǎng)成熟的安全保障技術在移動互聯(lián)網(wǎng)上應用時存在較多限制，制約了業(yè)務發(fā)展。以手機銀行為例，目前與身份驗證相關的主要技術見表1。

除數(shù)字證書外，表1中其他技術僅具備身份驗證功能，而數(shù)字證書能提供交易過程的機密性、完整性、身份驗證以及不可抵賴性的安全保障，特別是采用USB key存儲數(shù)字證書的方式是安全性最高、在傳統(tǒng)互聯(lián)網(wǎng)領域最成熟的應用安全保障技術。但由于手機系統(tǒng)、端口等的差異性，在手機端應用USB key存在諸多限制：USB并非手機的標配端口，應用提供商針對手機發(fā)放各種接口的key、定制不同終端底層驅(qū)動，成本較高，用戶針對不同應用攜帶、使用多個介質(zhì)也不方便，目前僅有少數(shù)銀行試點。

實際上，安全問題制約了手機銀行的進一步發(fā)展，CFCA（中國金融認證中心）最新發(fā)布的《2016中國電子銀行調(diào)查報告》[1]顯示，安全因素是個人手機銀行發(fā)展的主要障礙之一，如圖1所示。手機銀行、手機支付局限于小額支付領域，也與其安全保障措施的現(xiàn)狀有關。

表1 手機銀行身份驗證技術

圖1 用戶不開通手機銀行的原因

2 數(shù)字證書在智能終端應用需求

我國于2005年實施的 《電子簽名法》（2015年修正）解決了電子環(huán)境下用戶身份的法律地位問題，賦予電子簽名與文本簽名同等的法律效力。其中，基于PKI（public key infastructure，公鑰基礎設施）/CA的數(shù)字簽名是最為成熟、應用最廣泛的電子簽名技術。

PKI是基于公鑰理論和技術建立起來的安全體系，是提供信息安全服務具有普遍性的安全基礎設施[2]。該體系在統(tǒng)一的安全認證標準和規(guī)范基礎上，提供了在線身份認證、加密和數(shù)字簽名等服務，還提供了所必須的密鑰和證書管理體系，是CA認證、數(shù)字證書、數(shù)字簽名以及相關安全應用組件的集合。PKI的核心是解決信息網(wǎng)絡空間中的信任問題，確定信息網(wǎng)絡中行為主體身份的唯一性、真實性和合法性，是解決網(wǎng)上身份認證、信息完整性和抗抵賴等安全問題的技術保障體系。PKI可滿足信息機密性、完整性、身份認證及不可抵賴性的要求，是電子交易的關鍵保障技術。

智能終端環(huán)境下應用數(shù)字證書的主要難題是私鑰的安全存儲及簽名安全計算，智能卡雖可滿足要求，但在智能終端應用受到限制。針對智能終端環(huán)境下接口、智能卡片資源有限的問題，GP（Global Platform）制定了多應用智能卡規(guī)范[3]，可同時運行、動態(tài)更新管理智能卡，賦予了發(fā)卡方與業(yè)務合作伙伴共享卡片的管理功能。GP智能卡架構(gòu)如圖2所示。

圖2 GP智能卡架構(gòu)

GP智能卡規(guī)范為多應用共存提供了靈活性，但也存在以下問題：多應用的動態(tài)下載、共同執(zhí)行增加了智能卡自身的安全風險，運行環(huán)境或加載應用的漏洞可能被利用，危及其他應用，如德國SRLabs的Karsten Nohl在第30屆混沌計算大會上演示了針對SIM卡的攻擊，利用其漏洞，成功在卡上安裝惡意applet，獲取卡內(nèi)的關鍵信息；GP智能卡作為通用標準，重點關注多應用、多業(yè)務支持的通用性和靈活性，難以針對數(shù)字簽名這類計算強度較高的應用進行優(yōu)化，在多個數(shù)字簽名應用同時安裝的情況下，不僅功能重復、性能也難以優(yōu)化；應用提供方須維護卡內(nèi)applet程序，開發(fā)、維護成本較高。

本文旨在采用一種面向智能終端使用數(shù)字證書共享存儲的安全方案，通過提供PKI服務支撐基礎，降低智能終端各類應用使用PKI服務的門檻。

根據(jù)手機應用環(huán)境的特點和用戶的需求，手機PKI支持方案，應能滿足以下要求。

（1）多應用支持

由于接口限制，使用時更換手機key極為不便，甚至不可能（如內(nèi)置芯片）。隨著移動互聯(lián)網(wǎng)的發(fā)展，應用將越來越豐富，用戶具有訪問多個應用的需求，手機key應能滿足該需求，提供多應用支持。

（2）可管可控

在支持多個PKI應用的情況下，不同應用之間相互隔離，可以確保使用的合法性、私鑰的安全性，對方案能否應用至關重要。同時，對業(yè)務的可管可控、數(shù)字證書引入的控制、使用情況的監(jiān)控，也是運營的關鍵。

（3）開放性

目前，國內(nèi)有數(shù)十家開展PKI服務的第三方CA認證機構(gòu)，也有不少實力較強的SP（service provider，服務提供商）自建了CA，為內(nèi)部應用或自己開展的業(yè)務提供PKI支持。運營商不應也不可能限制SP對CA的選擇，因此方案應具有開放性，不能局限于對某個CA的支持。

（4）標準化

根據(jù)開放性的要求，手機key應遵循標準，提供基于X.509標準CA證書及RSA、SHA-1等主流算法的支持。

（5）其他要求

方案改造和管理的工作量、使用的方便性，也是方案能否吸引SP和用戶的重要因素，因此，應盡量減少SP改造和管理工作、提高用戶使用的方便性。

3 基于共享式存儲的智能終端數(shù)字認證方案

本文將數(shù)字證書私鑰的共享式存儲介質(zhì)稱為手機key，手機key支持多組證書，通過平臺統(tǒng)一管理，為多個應用共享使用。在方案提供的PKI的支持下，SP可方便地提供基于PKI的身份認證、交易簽名、數(shù)據(jù)加密功能，提高應用的安全性，如圖3所示。

手機key可以是外置式的智能卡，如SD/TF、mini USB、藍牙接口的智能卡、手機SIM/UIM卡，或內(nèi)置的安全芯片，如TrustZone安全區(qū)。提供的主要功能包括以下幾點。

（1）證書加載

將SP的證書加載到手機key，并生成對應的個人公私鑰對、加載經(jīng)簽名的個人證書；手機key可獨立存儲多組證書，為多個應用服務。

（2）身份認證

用戶與SP應用使用數(shù)字證書相互驗證對方身份，其中，客戶端采用數(shù)字證書和PIN碼或指紋識別等雙因素認證。

（3）交易簽名

對客戶的關鍵交易信息進行數(shù)字簽名，確保交易的不可抵賴性。

圖3 基于手機key的PKI應用架構(gòu)

（4）數(shù)據(jù)加密

利用公鑰算法為用戶安全分發(fā)密鑰，在特定的使用場合，可擴展移動終端的計算能力，支持符合國家密碼管理要求的加密算法。

為支持多個SP共享，手機key應能存儲多組數(shù)字證書及其私鑰。同時，由于多個SP具有訪問手機key的權(quán)限，對SP證書的有效管理，包括加載、使用的權(quán)限管理，以確保證書和私鑰的安全性，成為方案的關鍵。本方案采用多個數(shù)字證書組和 SP準入認證機制來實施對 SP的管理。

證書組包括SP證書、SP頒發(fā)給用戶的個人證書及私鑰，是用于個人和SP間相互認證的憑證。證書組存儲于手機key的安全存儲區(qū)，其中，私鑰在卡內(nèi)生成，且不能從卡內(nèi)讀取出來。

（1）SP證書

由CA頒發(fā)給SP的數(shù)字證書，私鑰由SP保存，用于驗證SP身份。SP在使用手機key進行加密或簽名前，必須出示身份信息。手機key用存儲的證書驗證SP身份，通過后才能為SP提供加密和數(shù)字簽名等功能。

（2）客戶證書/私鑰

SP或由SP信任的CA頒發(fā)給用戶的數(shù)字證書及私鑰，在用戶訪問SP時提供身份驗證和交易簽名等功能。

（3）管理證書

管理證書組是特殊的證書組，預制于手機key中，作為SP準入控制機制的可信根。

智能卡支持多組證書，證書組的存儲形式見表2。

表2 手機key證書示意

初始狀態(tài)下，手機key僅包括管理證書組。為了對SP實施有效的管理、確保用戶證書的安全性，方案引入了SP準入認證機制：只有經(jīng)key管理方認可、通過認證的SP，才能使用手機key提供相應的服務。實現(xiàn)上，通過SP證書組的加載來實施準入控制，即SP證書在加載進手機key之前，必須經(jīng)過管理平臺的認證。

認證流程如圖4所示，具體有以下步驟。

步驟1 初始狀態(tài)下，手機key內(nèi)置管理證書組，手機與管理平臺間建立初始信任關系。

步驟2 SP與key管理方簽署協(xié)議，允許其使用手機key開展基于PKI的服務，SP系統(tǒng)與管理平臺建立信任關系。

步驟3終端與SP首次通信時，SP身份須經(jīng)管理平臺驗證，通過后，手機key加載SP證書，建立對SP的信任。

步驟4手機key基于對SP的信任，接收SP指令，生成對應于該SP的個人證書公私鑰對，經(jīng)CA簽發(fā)后，按傳統(tǒng)流程（如客戶號、驗證碼下載）加載個人證書到手機key，建立與SP的雙向信任關系。

此后，SP在需要用戶終端使用手機key提供的服務時，提供身份驗證信息，手機key驗證后，即可使用其加密、數(shù)字簽名等功能。

4 安全性分析

本方案為SP開展基于PKI的服務提供支撐基礎，以提高SP應用的安全性，因此，方案自身的安全性尤為重要，尤其是手機key的共享機制，允許多個SP證書共存于同一個存儲介質(zhì)，對安全性具有更高的要求。

方案在充分利用PKI、智能卡安全機制的基礎上，采用了信任鏈傳遞機制將SP證書組加載到手機key中，并在證書加載和使用過程中，采用雙向認證、雙因素認證等多種安全措施。以下分別對信任鏈傳遞、雙向認證、防重放攻擊等關鍵安全機制進行分析。

4.1 信任鏈傳遞

所謂信任鏈傳遞機制，是利用key管理方的管理證書組作為可信根，SP證書加載指令由該證書組簽名、經(jīng)管理平臺認證后，確認SP可信，將SP證書加載到手機key；然后利用對SP證書的信任，確認SP頒發(fā)的個人證書可信，并將個人證書加載到手機key。利用信任鏈的傳遞機制，實現(xiàn)SP證書組的加載，如圖5所示。

圖4 SP準入認證流程

圖5 信任鏈傳遞流程

信任鏈傳遞的關鍵步驟如下所示。

（1）管理證書組

管理證書組作為信任鏈的可信根，其安全性是機制安全的基礎。由于管理證書在手機key初始化時寫入，頒發(fā)給用戶的個人根證書/私鑰在卡內(nèi)生成，不允許用戶讀取、修改，使用過程中也不會出卡，可以確保其安全。

（2）SP證書加載

SP證書加載前，由終端提交給管理平臺驗證，通過以后才能加載。在PKI體系中，證書是公開的且經(jīng)CA簽署，不必擔心被竊取和篡改的風險。傳輸過程中的主要威脅是身份仿冒，為了應對該風險，手機 key和管理平臺間交互的消息，發(fā)送方須對消息簽名，接收方用對方的證書驗證消息的合法性，確保消息來源可靠，可以有效防范身份仿冒攻擊。因此，SP證書加載過程的安全機制，可以確保只有合法的SP證書才能被加載到手機key中。

（3）個人證書頒發(fā)

個人證書的頒發(fā)，包括公私鑰對生成、證書簽署以及證書的加載。該過程須確保私鑰的安全性以及個人證書（公鑰）與真實身份的對應。面臨的主要威脅包括私鑰竊取、身份仿冒和重放攻擊。與SP證書相同，個人證書不必擔心被竊取和篡改，但不同的是，證書簽署之前所產(chǎn)生的公鑰需防范被篡改的風險。

個人證書頒發(fā)過程在SP證書加載之后完成，安全性由SP證書結(jié)合傳統(tǒng)的證書安全發(fā)放流程來保障。

（1）私鑰安全

私鑰安全性由智能卡的安全機制保證，即公私鑰對在卡內(nèi)生成，私鑰存儲、計算都在卡內(nèi)完成，永不出卡，不允許從外部讀取、篡改，可確保其安全性。

（2）用戶身份驗證

個人證書頒發(fā)時，通過用戶的參考號、授權(quán)碼（簡稱兩碼）來驗證用戶身份，兩碼采用傳統(tǒng)的PKI安全發(fā)放渠道獲得。該渠道一般為離線方式，用戶事先到SP處申請PKI安全服務，SP審核用戶身份后，將兩碼以密封信件交給用戶。用戶請求簽署個人證書時，SP據(jù)此確認用戶身份，將用戶的公鑰與其提交的個人信息進行關聯(lián)。兩碼具有有效期，且僅能使用一次，SP和用戶需共同保證兩碼發(fā)放的安全。

（3）SP身份驗證

SP下發(fā)指令前，均需對指令進行簽名，手機key收到指令后首先驗證消息簽名，確認消息來源可靠。

（4）公鑰防篡改

數(shù)字證書的防篡改機制是由CA簽名建立的，但在簽署之前，公鑰存在被篡改的風險。為此，采用以下兩個措施來防范：

· 要求SP與終端之間建立安全連接，如采用HTTPS，公鑰簽名請求與用戶身份驗證在同一個會話中完成，這些機制可降低公鑰被篡改的風險；

· 手機key在接收到SP加載證書指令、驗證消息可靠后，進一步檢查證書的公鑰與發(fā)送前的原始公鑰的一致性，由于原始公鑰存在卡內(nèi)，外部無法篡改，因此，只要兩者相同，可以確認公鑰未被篡改，從而確認個人證書的有效性；同時，證書經(jīng)CA簽署之后，下發(fā)過程中可防篡改，因此，可確認SP、CA保留的證書未被篡改，是與用戶真實身份相符、與手機key私鑰對應的證書。

綜上所述，本文方案可以保證運營商證書組、SP證書的加載和個人證書的頒發(fā)過程的安全性，確保只有合法的SP證書以及該SP頒發(fā)的個人證書才能加載到手機key。

4.2 雙向認證

由于手機key供多個SP共享使用，必須能夠識別并隔離不同SP的請求，以選擇對應的證書組，為此，SP發(fā)送指令、要求手機key提供服務前，須提供自己的身份信息，即SP用其私鑰對所發(fā)送的指令簽名。手機key接到消息后，首先驗證消息的合法性，確認消息來源于可信的SP，然后才選擇該SP頒發(fā)的個人證書及私鑰提供身份認證、數(shù)字簽名等服務。

雙向認證機制在隔離識別 SP證書的同時，也提高了 SP應用的安全性，為用戶提供防范釣魚攻擊的手段。

4.3 雙因素認證

手機key存在丟失的可能，對于長期在線的key，還可能被遠程控制。為防范盜用風險，需采用雙因素認證，驗證使用者身份。常用的是PIN碼保護，但PIN碼存在泄露風險，甚至可被惡意程序自動操作。除了所持有的物品（手機key）、所知道的內(nèi)容（PIN碼），雙因素認證還可對使用者所擁有的特征進行驗證，如指紋等生物特征識別技術，目前在中高端手機上已廣泛使用，在安全環(huán)境中，采用手機key+生物特征識別技術的驗證方案，可提升驗證過程的安全性和便利性。

以指紋識別為例，方案的處理過程如圖6所示。

圖6 雙因素認證處理過程

系統(tǒng)組件包括網(wǎng)絡側(cè)的應用服務器、CA中心，終端側(cè)的應用客戶端、證書服務、指紋識別服務以及證書服務代理等組件，其中，私鑰存儲、證書服務、指紋識別服務等運算過程在可信執(zhí)行環(huán)境（TEE）、TrustZone、SD/TF智能卡等安全環(huán)境完成。

以身份驗證為例，典型的處理流程如下：

（1）應用客戶端與服務器進行正常交互；

（2）驗證環(huán)節(jié)，應用服務器生成隨機字符串、發(fā)起身份驗證請求，應用客戶端將該請求經(jīng)代理發(fā)送給安全環(huán)境的證書服務代理；

（3）證書服務代理將請求發(fā)送給指紋識別服務，并提示用戶進行操作；

（4）用戶完成指紋識別驗證，通過后，將結(jié)果反饋給證書服務代理；

（5）證書服務代理根據(jù)指紋驗證結(jié)果，請求證書服務；

（6）證書服務對請求內(nèi)容，即隨機字符串等內(nèi)容進行簽名，并將簽名結(jié)果經(jīng)客戶端返回給應用服務器；

（7）服務器利用證書公鑰對結(jié)果進行驗證，從而確定用戶身份。

本文方案中，數(shù)字證書私鑰存儲、服務請求、運算過程在安全環(huán)境中進行，保障證書私鑰的安全性。同時，由于數(shù)字證書加解密、簽名等服務前須經(jīng)指紋識別驗證用戶身份，指紋特征采集、驗證過程在安全環(huán)境中，確保是用戶本人操作，從而可保證數(shù)字證書簽名的有效性，防范數(shù)字證書一直在線以及雙因素認證失效、證書被惡意程序盜用等風險，兼具了公鑰技術的安全性和指紋識別的便利性。

5 結(jié)束語

本文提出的基于共享式存儲的智能終端數(shù)字認證方案，通過管理平臺對安全介質(zhì)的管控及信任鏈傳遞機制，建立SP與用戶的信任關系，實現(xiàn)數(shù)字證書的遠程寫入，在單一的手機安全介質(zhì)中實現(xiàn)多數(shù)字證書的共享，為SP提供基于PKI的安全服務，降低手機上使用數(shù)字證書進行應用安全保障的難度。最后從信任鏈傳遞、雙向認證、雙因素認證等方面分析了方案的安全性，并通過與指紋識別的結(jié)合，提升用戶使用的方便性。

[1]中國金融認證中心.2016中國電子銀行調(diào)查報告[R/OL]. (2016-12-08)[2017-01-16].http：//www.199it.com/archives/544560. html.2016. CFCA.2016 China e-bank survey report[R/OL].(2016-12-08) [2017-01-16].http：//www.199it.com/archives/544560.html.2016.

[2]關振勝.公鑰基礎設施PKI與認證機構(gòu)CA[M].北京：電子工業(yè)出版社,2002. GUAN Z S.PKI&CA security institution[M].Beijing：Publishing House of Electronics Industry,2002.

[3]Global Platform.Global Platform卡片規(guī)范[S].2006. Global Platform.Global Platform card specification[S].2006.

A digital signature scheme based on shared key in intelligent terminal

LIU Guorong,LIU Dongxin,WANG Laifu,SHEN Jun,JIN Huamin
Guangzhou Research Institute of China Telecom Co.,Ltd.,Guangzhou 510630,China

In traditional internet,digital certificate in USB key is the most mature technology of application security assurance.But it is difficult to use in mobile internet,because of the restriction of intelligent terminal interface.A digital signature scheme based on shared key in intelligent terminal was discussed to lower the threshold.The shared key supported multiple digital certificates,and was shared by multiple applications through the unified management.After that,the security of the scheme was analyzed,and a scheme integrated digital certificate and fingerprint identification was discussed to enhance user convenience.

intelligent terminal,digital certificate,authentication,security

TP393

A

10.11959/j.issn.1000-0801.2017049

劉國榮（1978-），男，中國電信股份有限公司廣州研究院高級工程師，主要研究方向為移動互聯(lián)網(wǎng)安全、云計算安全。

劉東鑫（1985-），男，中國電信股份有限公司廣州研究院工程師，獲 CCIE、CISSP和CISA等認證，主要研究方向為網(wǎng)絡與信息安全、大數(shù)據(jù)安全。

汪來富（1976-），男，中國電信股份有限公司廣州研究院高級工程師，主要研究方向為大數(shù)據(jù)安全、云計算安全、網(wǎng)絡安全。

沈軍（1976-），女，中國電信股份有限公司廣州研究院高級工程師，主要研究方向為云計算大數(shù)據(jù)安全及移動互聯(lián)網(wǎng)安全。

金華敏（1972-），男，中國電信股份有限公司廣州研究院高級工程師，主要研究方向為IP網(wǎng)、云計算、大數(shù)據(jù)安全、網(wǎng)絡安全。

2017-01-20；

2017-02-16

國家高技術研究發(fā)展計劃（“863”計劃）基金資助項目（No.2015AA017205）

Foundation Item：The National High Technology Research and Development Program of China(863 Program)(No.2015AA017205)