行业短信URL安全管理方法研究

杨汉坤 李岚霞

摘  要：对短信链接安全管理方法进行研究，提供短信小程序安全管理方法，在事前提供短信小程序标准化域名，对行业短信中的URL进行统一的iframe封装，并在行业客户接入时为其分配中国移动SIM盾数字证书，确保接入的在线实名。其次设计短信小程序模板申请审核流程，行业客户进行下发操作时使用SIM盾确认，核实操作者信息。最后用户点击短信小程序链接，可在底部菜单栏查看行业客户的企业证书信息，并设置投诉入口，如遇可疑内容立即封堵。

关键词：短信小程序;SIM盾;安全管控;URL链接

Abstract：This article researches the method of SMS link security management，provides SMS applet security management method. At first，provides standardized domain name of SMS applet，and encapsulates the URL in SMS with a unified iframe. When industry customers access，it assigns SIM shield digital certificate of China Mobile to ensure the online real name for access. Secondly，set up a SMS applet template application and review process，industry customers use SIM shield to confirm when it needs to verify operator information. Finally，when user clicks the link of SMS applet，he can view the enterprise certificate information in the bottom menu，and set up a complaint entrance，in case of any suspicious content，block it immediately.

Keywords：SMS applet;SIM shield;security control;URL link

0  引  言

據调研，自2014—2019年行业短信的下发量从4 135亿条发展至超6 000亿条，且呈进一步发展趋势，成为运营商通信收入的主要来源。随着移动互联网的普及，人们在享受信息传播的便利的同时，也面临越来越严峻的信息安全风险，全网垃圾短信投诉率持续增长，根据网信办举报中心官方统计，2020年3—6月，该平台月均受理网络违法和不良信息举报超1 400万件。行业短信内容中多数包含URL链接，随着业务的高速发展，URL链接也成了恶意开发者的攻击对象，用户收到短信点击URL后，就可能在毫无意识的情况下被盗取个人信息。在与中国移动广东公司的交流过程中了解到，目前暂无有效的技术手段对短信中的URL链接进行管控，人工管控的方式无法对海量的行业短信进行监控。在人力成本、技术水平有限的条件下，中国移动广东公司目前只能限制行业短信文案中携带URL链接。

基于中国移动广东公司对短信中URL链接的安全管控诉求，中移互联网公司开展了研究工作，据调研，目前国内学者研究的课题大多为对短信文本的识别处理，技术手段上主要采取KNN算法和支持向量机等分类算法[1]，流程优化上则采用先审后发[2]、用户分层级管控[3]等方式。但仅针对短信文本进行监控、过滤则无法完全消除隐患，因此，中移互联网公司结合自有产品开展了短信链接安全管理方法的研究。

1  研究现状及主要研究内容

1.1  研究现状

1.1.1  中国移动超级SIM卡技术现状

中国移动超级SIM卡将SIM卡从底层硬件到上层应用进行了全面升级，增强SIM卡的安全性，提供密码算法计算能力、SIM卡空间安全存储能力和应用的动态能力，应用基础层可将这些能力通过标准统一的API提供给上层应用，为用户实现网络身份认证功能[4]。

SIM盾是中移互联网公司基于中国移动超级SIM卡安全芯片，结合PKI非对称加密技术，可保证用户的隐私、账户安全，采用数字签名技术[5]，密钥（PIN码口令）存储在SIM卡安全芯片中，不可复制和抵赖。使用时，密码校验在SIM卡内完成，无须接收任何短信验证，有效避免木马拦截和篡改。SIM卡利用非对称加密、数字签名和数字证书来保护应用、通信或事务处理的安全，用于通信防诈骗。密钥采用加密短信通道传输，保障认证结果的安全性，不需额外的硬件，就能确保本机操作的身份认证[6]。

1.1.2  iframe技术概述

iframe是超文本标记语言（HTML）中的标记，用于实现网页框架，可使用iframe对网页进行结构上的拆分，类似frameset技术，但iframe相较于frameset技术而言，更为灵活便捷，可将其内嵌至网页的任何地方，使用上也较为简单，因此使用范围较广[7]。

1.1.3  短信小程序概述

短信小程序是中移互联网公司自主研发的产品，在短信内容中添加URL链接，将短信流量升级为互联网流量，发挥中国移动优势，融合短信通道、登录认证、H5网页为各组织的IT系统提供消息触达服务，用户可快速无感知的通过短信中的URL链接登录到IT系统，使用iframe技术将企业客户提供的原始URL链接封装，实现底部菜单栏，企业客户可以开展个性化的流量运营、活动宣传和广告展示。

1.2  本文主要研究内容

本文核心是将中国移动SIM盾与iframe技术结合建立短信小程序链接安全管理机制，达到对短信链接的监控和管理，具体研究内容如下。

1.2.1  短信小程序针对短信下发前的安全管理

为行业客户提供短信小程序管理平台，提交相应企业信息完成注册后，通过中国移动SIM盾技术对接入短信小程序的行业客户进行个人和企业的身份认证，并颁发数字证书。

1.2.2  短信小程序针对短信下发操作的安全确认

行业客户在进行短信下发操作时需将短信文本、原始URL链接提交至短信小程序管理平台，平台将短信内容生成统一模板，客户可使用模板进行短信下发，下发时使用中国移动SIM盾进行用户信息的确认及操作信息留存，平台将原始URL链接使用iframe技术封装后方可下发。

1.2.3  短信小程序针对短信下发后的风控管理

用户收到短信后，短信文本中的URL链接为中国移动使用iframe技术封装后的标准域名，点击URL链接可在框架底部菜单栏识别短信内容提供方，点击菜单栏可查阅短信内容提供方证书情况，如发现异常可进行在线投诉，平台接收异常后对URL链接进行立即关停并通过数字证书追溯行业客户。

2  短信小程序链接安全管理事前流程建立

2.1  企业信息提交审核

企业或个人在短信小程序管理平台注册个人账号，登录平台进行注册。申请者根据主体类型（个人、企业、政府、媒体等）提交不同的主体信息。在短信小程序管理平台注册的企业需提供组织名称、企业营业执照注册号/统一社会信用代码/商户机构代码、法定代表人姓名、法定代表人身份证号等信息，由短信小程序运营团队成员完成基本的资料审核后，确认是否允许商户正式注册，正式注册后可创建短信模板。短信小程序平台企业信息填写界面如图1所示。

2.2  数字证书验真企业信息

短信小程序平台管理员将企业注册资料提交进行验真，如验真通过，则平台向CA申请数字证书并在SIM盾保存，如企业未提交信息或信息有误则无法生成数字证书。数字证书提供了在互联网上验证通信实体身份的方式，数字证书是由权威认证机构CA中心发行的，用于在网络环境中识别对方的身份，作用相当于电子身份证，适用于个人和企业的身份认证。企业管理员在管理后台可看到相应的商户和个人证书信息，提升安全性，明确信息安全责任。信息验真通过生成数字证书界面如图2所示。

3  短信小程序链接安全管理事中操作管控

3.1  短信小程序模板生成及审核

企业通过短信小程序提供的管理平台进行短信发送时，需要先进行短信模板的配置，配置的内容包括短信文案、下发的原始URL链接等信息，填写完成后提交平台运营管理员进行审核。运营管理员对每一个短信模板进行人工审核，通过以后才支持正式使用下发。短信小程序平台模板审核操作界面如图3所示。

3.2  SIM盾提升短信下发操作安全性

企业用户进行短信下发时，需通过中国移动SIM盾生成的数字证书进行操作的实名确认，达到行为安全监测的目的。在线实名确认的具体流程为：用户进行短信下发操作时，需向SIM盾发送操作请求，SIM盾中的JSSDK收到请求后检查用户手机号码是否存在有效证书，如未申请证书则请求生成公私钥对，返回公钥信息后，携带公钥信息通过短信小程序管理后台服务端申请临时证书，CA返回证书信息后，短信小程序服务端保存证书信息，并返回证书信息至JSSDK进行身份确认。如用户手机号码已申请证书则直接进行身份确认。数字证书嵌入短信小程序管理平台业务操作环节，企业用户进行敏感操作时可调用证书能力进行高安全级别的身份验证，实现业务管理全流程安全可追溯。在线实名认证交互流程如图4所示。

3.3  短信链接iframe封装

短信小程序管理平台为企业提供短信链接iframe封装方案，对企业提交的短信模板中的原始URL统一使用iframe技术进行封装，封装后的链接使用统一域名。在短信下发后，用户点击前看到的URL链接地址统一，采用10086.cn或hfx.net，加深用户对短信小程序链接域名的印象，树立安全可信形象的同时也能做到对URL链接的统一管控。使用iframe进行封装后的URL链接效果如图5所示。

4  短信小程序链接安全管理事后行为追溯

4.1  页面信息溯源

短信小程序管理后台对短信中的URL链接使用iframe技术进行统一封装，在页面添加底部菜单栏，将企业客户的原始URL链接升级为短信小程序，用户收到短信，点击短信小程序链接后，页面上方域名栏显示统一域名，下方底部栏显示应用提供方的企业名称，名称以行业客户进行注册时申请的数字证书信息为准，由iframe框架自动显示。用户还可以从底部菜单栏投诉查询入口查阅企业详细信息，同时为用户提供直接投诉入口。具体底部栏样式及企业信息页面如图6、图7、图8所示。

4.2  违规信息关停封堵

企业向用户下发的所有链接，均由短信小程序进行封装，实现了链接可管可控。封装后的链接可通过互联网手段对外部链接内容进行安全监测，比如访问门限告警、用户投诉监控等，当页面内容发生变化、访问量过多或者投诉数量达到阈值时，触发对页面内容的安全扫描，防止出现非法的图文及木马等内容，一旦出现则可迅速对链接进行关停，頁面无法继续访问。同时提供用户投诉举报机制，用户若打开短信小程序链接后发现内容异常，则可进入投诉入口对内容进行投诉，短信小程序管理平台收到投诉后立即关停链接。实施关停操作后，通过企业留存在短信小程序管理平台的数字证书可对企业进行相关查处，保证用户的信息安全。投诉入口及链接关停操作界面如图9、图10、图11所示。

5  结  论

在实际的行业短信URL链接管控工作中，可以通过本文提出的短信小程序链接安全管理方法，使用iframe技术进行URL链接的统一封装和中国移动SIM盾在线数字证书，行业客户接入前统一分配数字证书，链接封装操作、短信下发操作时数字证书签名确认，短信下发后做到可追溯、防抵赖，从事前、事中、事后三个方面实现对URL链接的全流程安全管控，目前中移互联网公司已根据本文所述方法完成系统研发，并提供将系统提供至中国移动广东公司试点使用，此方法对行业短信中非法URL链接的现象起到了良好的抑制作用，帮助降低用户投诉率，提升用户对行业短信中的URL链接的可信度，也通过技术手段降低了运营商使用人工审核方式进行管控的成本，实现接入应用、内容的可控可管。

参考文献：

[1] 刘国香，张钧锋.垃圾短信分类方式的探讨 [J].沧州师范专科学校学报，2011，27（4）：122-124.

[2] 廉晔.行业垃圾短信管控之先审后发功能研究与设计 [D].呼和浩特：内蒙古大学，2018.

[3] 冯天.行业垃圾短信管控之用户分层分级功能研究与设计 [D].呼和浩特：内蒙古大学，2018.

[4] 佚名.中国移动发布超级SIM卡 [J].电子世界，2020（13）：4.

[5] 杨文清.浅谈数字签名与数字证书 [J].计算机产品与流通，2020（11）：286.

[6] 曹原铭，董昭，陈旭.基于SIM卡的统一认证技术研究 [J].电信工程技术与标准化，2015，28（4）：69-74.

[7] 石静，刘欣亮.使用Iframe实现网页之间数据的“隐形”传送 [J].软件导刊，2011，10（11）：141-142.

作者简介：杨汉坤（1979—），男，汉族，湖北荆州人，部门副总经理，硕士研究生，研究方向：通信技术、计算机系统结构;通讯作者：李岚霞（1993—），女，汉族，广西南宁人，硕士研究生，研究方向：计算机技术。