□张贵芳(河南省水利信息中心)
河南省水利信息化经过多年的建设与发展,逐步建成了内部办公、电子邮件、防汛信息查询和工程管理等多套应用系统,这些应用系统在行政办公和防汛抗旱等方面,发挥了不可替代的积极作用。随着应用的普及与深入,应用系统牵涉的敏感数据越来越多,身份认证作为一种保护系统数据的有效手段,其作用越来越重要,近期建设的河南水利电子政务系统,灵活运用了多种身份认证技术,有效提高了系统安全性,保护了系统数据的安全。
河南省水利厅电子政务系统包括综合办公平台和内网门户、电子公文流转、电子公文交换、电子文档传输和共享、移动办公和即时通讯等多套子系统,对系统用户实现了统一管理和单点登录,根据所要保护的数据的敏感程度,灵活采用了用户名/口令和基于USBKEY的数字证书身份认证技术,既保证了系统数据的安全,又节省了投资。
河南省水利电子政务系统数据包含公开数据和非公开数据。对于公开数据我们需要做的是这些数据不被攻击,那我们可以在硬件上设置障碍,比如入侵检测、安全网关、VPN、防火墙等,这些措施都好比是桶壁,来保证数据不被攻击。非公开信息,我们需要做的不仅仅防止这些数据被攻击,而更重要的是防止这些数据不被盗取。盗取这些信息,需要找到入口进入。如何防止不被别人找到入口进入,就需要进行身份验证。也就是说,身份认证好比是进入桶底的唯一路径,只有它才能确认访问者的合法性。安全有效的身份认证是保护系统安全的重要手段,身份认证是应用系统审查确认用户身份的过程,进而决定该用户是否拥有使用和访问系统某种资源的权限。
身份认证就是为了解决访问者的物理身份和数字身份进行匹配的问题,防止系统用户身份假冒,系统根据用户的身份,确定用户的操作权限,从而保护系统数据安全。常用的身份认证有五种:一是用户名加密码;二是IC卡智能认证;三是动态口令;四是生物特征;五是USBKEY认证。
用户名/口令认证中的密码属于静态的,并且在验证过程中需要在计算机内存中和网络中传输,每次验证过程使用的验证信息都是相同的,很容易驻留在计算机内存中的木马程序或网络中的监听设备截获被破解,这种身份认证方式只是通过符合一个条件来证明一个人的身份属于单因子认证,所以很不安全,但是这种认证方式十分简便,被广为使用,目前大部分互联网上的论坛、邮箱都是使用这种身份认证。
IC卡认证是通过在芯片中存有与用户身份相关的数据,由合法用户随身携带,登录时必须将IC卡插入专用的读卡器读取其中的信息,来验证用户的身份。我们最常见的就是银行卡,它通过ATM机取钱时,使用的就是这种身份认证。IC卡硬件不可复制但是能够保证用户身份不会被仿冒,若IC卡丢失,需要补办,方可使用。这种认证方式虽然相对于用户名密码认证来说相对安全,但是手续相对麻烦,成本较高,且每次从IC卡中读取的数据是静态的,通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息。
动态口令认证是把用户记忆的口令变成用户所持有设备生成的且是按照一定规律不断变化的口令,采用一次一密的方法,每个口令只能使用一次,有效地保证了用户身份的真实可靠性。但这种方式用户使用起来很不方便,每次登录都要输入没有规律的一串密码,而且,如果服务器与客户端时钟不能保持同步,就容易造成合法用户无法正常登录,影响系统的正常使用。
生物特征认证是指通过自动化技术利用人体的生理特征或者行为特征进行身份识别。比如指纹、虹膜、手掌、视网膜、脸、声音、笔迹等等这些识别方式。这种认证方式不易遗忘或丢失;不易伪造或被盗;“随身”携带,可以随机使用,但却因为这种认证需要的成本较高,终端设备也不容易携带,使用起来也不方便,目前只是在某些特殊领域使用。
USBKEY是一种硬件设备,可以插入USB接口,利用内置的密码算法实现对用户身份的认证,由于它具有安全的数据存储空间,可以存储用户密钥和数字证书等秘密数据,确保数据不被导出和复制,在其内部,可以进行各种运算,保证用户秘密数据的安全。每一个USBKEY都有PIN码(USBKEY的密码)进行保护,PIN码和硬件构成了用户使用USBKEY的两个必要因素,实现了软硬件相结合,一次一密的强双因数认证模式,能很好地解决安全性与易用性之间的矛盾。由于它是一种双因子认证的模式,且使用方便,近年来发展的极其迅速。
河南水利电子政务系统采用了两种身份认证方式:一个是用户名加密码的身份认证;一个是采用USBKEY技术进行用户的身份认证。
用户名加密码的身份认证主要是用在综合办公系统方面,由于内网门户系统中的信息是在局域网中公开的,属于公开信息,基本上不需要什么身份验证。综合办公系统、电子文档传输和共享系统以及移动办公系统里面的信息涉及到个人办公,以及单位各部门不想对外公开的信息,我们就用用户名加密码的认证方式确保这部分非公开信息的安全性。
公文交换系统则比较复杂。电子公文交换系统的建设目的,就是按照统一的标准,在不同的政府部门之间进行电子公文的传输,并保证公文在传递过程中电子公文的安全性、单位与单位之间电子公文如何交换,还有不同单位之间的电子公文识别。采用XML及相关标准作为电子公文交换的核心表现,融入中心认证和数字签名、传输加密等多种安全防范措施,构建安全、可靠、标准、开放的电子公文交换系统。
图1 公文交换系统身份认证流程图
图2 数字证书发放流程设计图
公文交换系统的身份认证是在公文交换服务器上配置服务器证书,建立用户个人数字证书和用户名之间的映射关系。认证过程采用SSL加密通道传输数据,但不要求验证客户端证书。河南省水利电子公文交换系统中的身份认证按照以下方案进行设计。该方案在用户在浏览器上输入网址,首先访问系统的默认页面,该页面调用天威诚信PTA,然后列出用户在USBKEY中所有的数字证书,让用户选择证书进行登录。PTA是个人信任代理,是一个可以应用于客户端和服务器端的软件包,完成对windows平台证书操作的ActiveX空间,包括证书处理接口、加密/解密处理接口和数字签名处理接口。当用户点击登录按钮后,PTA使用用户选择的证书对一段随机数进行签名,并以表单的方式提交到服务端进行处理。服务端对该签名字串和随机数进行签名验证,一旦验证通过,将获得签名证书的X509Certificate对象。然后再调用SVM(数字签名及验证模块)/CertUtils(一个类,功能是获取证书)/CVM(证书验证模块)对证书进行有效性验证,最后调用CPM(证书解析模块)解析证书,实现证书登陆的功能。公文交换系统身份认证流程如图1所示。
在上述身份认证方案中,CA子系统对用户数字证书、服务器证书进行统一签发、制作和发放。CA认证中心,又叫CA中心,负责产生、分配并管理数字证书的可信赖的第3方权威机构。个人数字证书符合X.509V3规范,将用户的证书和私钥存储在USB KEY中,并为客户端提供相应的驱动程序实现客户端安全应用。USBKEY通过口令进行保护,用户的数字证书、私钥数据和USB KEY硬件进行绑定,数据一旦与此USBKEY分离,就不能通过CA服务器的验证,从而增强了证书及私钥的安全性。
用户数字证书和私钥的发放和安全管理是进行身份认证、保证用户身份真实可靠的关键,该电子公文交换系统对数字证书发放流程设计图如图2所示。
随着信息化建设的不断推进,河南省水利系统的应用系统越来越多,信息数据日益庞大,每个应用系统都分别建设各自的身份认证系统,由于这些系统互相独立,用户在使用每个应用系统之前都必须按照相应的系统身份进行登录,这给用户带来了不少麻烦。不利于系统的推广应用,也不能适应发展的需要。对信息资源整合,建立统一的用户管理系统,灵活采用多种身份认证技术,结合PMI对各应用系统用户权限进行统一管理,实现各个应用系统之间系统用户的单点登陆,用户只需在登录时进行一次身份认证,就可以实现对多套相互信任的应用系统的自由访问,而不需要进行重复的身份认证,不但节省了系统投资,加快系统开发速度,而且降低了用户使用各应用系统的难度,有利于各应用系统的推广应用,代表了今后身份认证技术应用的发展趋势。