继移动支付、移动办公之后，移动政务服务逐渐成为人们生活的一部分。通过政务服务应用，人们刷刷脸、动动手指，就可以享受随时随地办事的便捷与高效。然而，复杂的移动应用环境给政务服务带来身份认证漏洞、数据传输泄露风险以及数据存储隐患等安全问题。

      针对些安全痛点，东进技术凭借在信息安全领域的技术积淀和应用创新，推出政务用户移动应用安全解决方案，从身份认证、数据传输与存储等多维度构建完善的安全防护体系。

      身份认证：多重防护，确保身份可信

      身份认证作为政务移动应用安全的首道防线，其重要性不言而喻。在大部分政务移动应用中，用户名与密码是最常用的身份认证方式，但这种方式容易遭受被木马程序截获导致密码泄露。尽管部分应用引入了短信验证码作为补充，但该方式也容易遭受短信劫持、暴力破解等攻击。

图：政务用户移动应用安全组网图

      针对于此，政务用户移动应用客户端集成东进技术协同签名系统客户端SDK，政务云上部署协同签名系统服务端和服务器密码机。在身份认证过程中，客户端使用协同签名算法对认证数据进行签名，服务端则使用SM2公钥对客户端发送过来的签名值进行验签操作。

      签名私钥由客户端私钥分量和服务端私钥分量两部分组成，在私钥分量的使用过程中，不合成私钥，有效保证了签名密钥的安全。

      敏感数据传输：双层保障，守护数据机密完整

      在数据传输过程中，政务应用涉及的用户身份凭证、个人隐私数据及业务敏感信息，如果敏感数据在传输过程中未进行有效加密处理，攻击者可通过在公共Wi-Fi环境中部署网络嗅探工具，轻易截获数据，可能对个人隐私造成重大威胁。

      由于敏感数据传输安全涉及到网络和通信安全、应用和数据安全两个层面，东进技术政务用户移动应用安全解决方案在这两个层面构建完善的安全机制。

      在网络和通信安全层面，政务云上部署SSL VPN网关，移动应用客户端集成SSL VPN客户端SDK。通过建立SSL安全通道，确保敏感数据在传输过程中的机密性和完整性。客户端敏感数据经SSL安全通道到达网关后，网关进行SSL卸载并转发给服务端，服务端响应数据也经网关加密后传回客户端。

      在应用和数据安全层面，移动应用客户端集成协同签名系统客户端SDK，政务云上部署云密码服务平台和云服务器密码机。客户端发送敏感数据时，调用SDK的数字信封打包接口加密数据；服务端收到密文后，调用云密码服务平台的解包接口解密。通过数字信封技术，进一步保障了敏感数据传输的机密性和完整性。

      敏感数据存储：加密校验，保障数据安全无忧

      对于数据存储环节，移动应用客户端和服务端均存在安全风险，如部分应用将用户生物特征模板、登录凭证等敏感数据以明文形式存储于本地数据库、日志文件或缓存目录中。移动应用服务端部分用户数据采用明文存储，且未实施完整性保护机制，遭攻击后数据易被篡改。对此，东进技术政务用户移动应用安全解决方案从移动应用客户端和服务端双向防护。

      在移动应用客户端，集成协同签名系统客户端SDK，调用加密接口对敏感数据进行加密，同时计算并存储MAC值。使用数据时，先校验MAC值，通过后再解密得到明文，确保客户端敏感数据的机密性和完整性。

      在移动应用服务端，政务云上部署云密码服务平台和云服务器密码机。服务端调用加密接口加密数据，计算并存储MAC值，使用数据时同样先校验MAC值再解密，保障服务端敏感数据的安全。

      在数字化转型浪潮中，移动政务服务应用以人为本，以安全为先，东进技术政务用户移动应用安全解决方案从身份认证、数据传输到数据存储等方面，构建了全方位、多层次的安全防护体系，为政务用户移动应用提供安全、可靠的运行环境，助力提升政务服务数字化水平，为政府部门和社会公众带来更多的实惠和便利。