需求背景

由于移動終端本身特點與使用環境和網絡開放的特殊性，移動應用系統面臨竊聽、破壞完整性、非授權訪問服務、否認使用/提供等風險。傳統的IT安全技術無法有效解決移動安全問題，移動應用需面對身份認證、網絡傳輸安全、防丟失破解、數據安全、國密化改造/等保合規性等一系列安全問題。

為了保障移動應用系統穩定、安全、合規、高效地持續運行，需要一整套成熟、高效的移動安全解決方案。

移動應用系統安全接入需求主要包括以下幾點：

n  數據傳輸的機密性與完整性 

n  移動用戶身份的合法性 

n  密鑰安全性 

n  密碼算法與密碼產品的合規性

在滿足上述安全需求的同時，必須充分考慮方案和產品的可行性，包括部署成本、范圍、周期、難易度、對現有系統影響等等，具體需求包括：

n  支持多種移動終端系統 

n  支持多種移動終端密碼模塊 

n  支持各種應用和網絡協議 

n  支持代碼集成改造或“零”修改 

n  支持多種網絡接入方式 

解決方案

本方案采用在移動終端安裝專用“安全接入APP”軟件（或將安全接入SDK集成到用戶業務APP）配合專用密碼模塊，后端在企業DMZ區域部署移動安全接入網關，前后端配合實現安全系統建設。

在前端移動終端上，安全接入APP（或SDK）通過調用密碼模塊，實現國密算法加密、解密以及關鍵數據數字簽名與身份驗證，同時與后端安全接入網關建立一條專用的加密隧道，實現辦公/業務APP數據請求能夠經由互聯網和運營商網絡通道，安全地送達總部數據中心，避免敏感或機密數據被黑客或非法用戶竊取、泄露以及篡改。

前端密碼模塊采用國密局認證過的專用模塊產品，支持多種接口和形式，包括：TF接口加密卡、SIM接口加密卡、藍牙加密卡、NM加密卡、二級軟模塊（手機盾）等國內各廠商產品和SKF接口。前端密碼模塊可以安全存儲用戶或設備的根密鑰、證書以及應用密碼，從根本上解決移動終端環境下敏感數據落地泄露的風險。

在后端部署的移動安全接入網關，一方面可對嘗試接入到數據中心的移動終端采用PKI公鑰證書體系進行多因素強身份認證，另一方面配合前端APP/SDK建立一條專屬加密通信隧道，保障上傳下載數據的安全；同時安全網關還可以根據用戶身份、角色、群組對其訪問的應用、服務器資源進行細粒度權限控制，防止越權訪問。

通過上述部署，即可便捷、高效、低成本地實現移動化信息安全接入與國密化改造，同時符合國家密碼管理規范。

方案優點

上述介紹的移動安全接入方案，具備多種優點和明顯優勢，體現在：

n  針對后端應用業務系統/服務平臺，完全“零”修改

n  針對前端移動應用/業務APP，支持完全“零”修改

n  針對前端移動應用/業務APP，支持一行代碼完成SDK調用，實現用戶完全無感，不改變用戶使用習慣

n  移動終端可選多種密碼模塊，支持多種接口和形式，包括：TF卡、SIM卡、藍牙、NM卡、二級軟模塊（手機盾）等，基本可以涵蓋市面上所有移動終端品牌和型號，并支持國內各密碼廠商的模塊產品和SKF標準接口

n  后端安全網關支持串接或并行旁路部署，可實現對現有網絡結構基本“零”影響

n  從前端到后端、從底層密碼模塊到上層應用安全協議，全部符合國密局規范和等級保護、密評認證的合規性要求

n  最快只需要一天，即可實現用戶移動終端和移動應用系統安全接入認證、加密以及國密化改造。