自主可控的网络空间云认证服务的建设思路和实践

李晓林 廖黎敏

(北京唐密科技发展有限公司 北京 100084)(lixl@tanghuantech.com)



自主可控的网络空间云认证服务的建设思路和实践

李晓林 廖黎敏

(北京唐密科技发展有限公司 北京 100084)(lixl@tanghuantech.com)

身份认证是确保网络空间架构整体安全的第1道门槛，随着我国互联网，尤其是移动互联网等新型应用形态的快速普及，相应的网络认证技术需求及应用研发也呈现出旺盛的多元化发展势头，移动化、服务化、多技术融合的、自适应的认证技术和服务模式是身份认证领域发展的新方向.通过具体案例的研究和分析，介绍了基于我国安全自主可控的认证技术的云认证服务的架构、服务模式、应用特点等，为互联网+行业的认证平台建设和应用提供可借鉴的基础.网络身份认证是网络空间安全的基石，必须大力支持和发展具有自主知识产权的网络空间身份认证技术，并借助互联网+战略促进在各行业的应用.

身份认证；认证服务；服务模式；动态口令

1 网络空间认证技术研究现状

1.1 网络认证应用需求多元化

网络空间认证是确保网络空间架构整体安全的第1道门槛.一旦网络身份被冒用或盗用，一切网络安全技术和手段都是形同虚设.近年来，随着我国互联网技术迅速发展，尤其是移动互联网的快速普及，相应的网络认证技术需求及应用研发也呈现出旺盛的多元化发展势头，如移动数字证书、动态口令、短信验证、指纹识别、人脸识别、视网膜识别、血液验证等.

一方面，市场对新型的方便、快捷、安全、兼容性强的认证技术的需求非常大.比如，移动互联网服务、移动互联网金融等新型业务形态，要求认证技术同时满足方便、快捷、安全的要求，而一次一变的动态口令的技术就是一个很好的选择之一.

另一方面，认证技术也在向多技术融合的方向发展.认证不仅仅是一种技术的认证，往往是多渠道、多维度、多技术的联合认证，比如常用的短信验证码与数字证书；生物特征与动态口令的结合.同时，认证不仅仅是针对主体身份的认证，也包括对网络、内容、服务、设备等的可信认证，尤其是云计算、物联网等新型应用模式的兴起，主客体的实时接入、动态部署、在线移植、虚拟透明化等特征[1]，大幅度扩展了认证技术的应用深度和广度.

1.2 网络认证技术体系单一

目前，我国的网络安全体系建设是在美国CA公司研发的数字证书的基础上建立起来的，后来的PKI(public key infrastructure)技术体系[2]、IBC(identity-based cryptograph)技术体系、CPK(combined public key)技术体系[3]都是基于挑战应答技术的基础实现的.任何一项安全技术的应用都有其局限性，不同的场景不同的使用条件下某项技术使用是安全的.一个国家的安全保密技术体系建立在一项技术的基础上是不科学的.

比如，我国目前网上银行采用的认证技术和签名技术都是美国公司专利技术，包括网上银行用的U盾和动态口令令牌，U盾采用的是美国CA公司的PKI技术(U盘预装数字认证证书，采用挑战应答技术)，动态口令采用的是美国RSA公司的Securid技术(令牌1 min显示1个密码)，属于单向认证技术.现有动态口令技术无法克服“盗号木马”、“钓鱼网站”、“网页挂马”、“重放攻击”、“中间人攻击”、“网页劫持”、“更改时间戳”等攻击方式，所以不适合在金融、电信、电商、政府、军队、军工等高安全强度的单位使用和运营服务.

针对我国目前的技术现状，应该提倡身份鉴别技术多元化，特别是安全技术越是新技术越能起到安全作用.在提出构建自主可控网络空间同时兼容目前的国际互联网(也是美国互联网)是我们面对的课题.自主可控技术和产品不是模仿、仿造和贴牌，而是拥有原创性发明核心关键技术作为支撑的技术和产品才配叫自主可控.

1.3 身份认证技术研究和应用

身份认证技术的研究和应用的发展大致经历了4个阶段(如图1所示)：静态密码技术；数字证书和时间型动态口令技术；生物特征识别和事件动态口令；生物特征与动态口令融合的双因素认证.每类认证技术的出现与应用都与特定的应用场景需求相联系，随着服务对象的多样性和差异化特征越来越明显，多种身份认证技术相互融合，取长补短，提供用户可自选择的安全性、便捷性相平衡的解决方案是未来的发展趋势.

OMAT(one-time mutual Authentication technology), PIN(personal identification number), OTP(one-time password)图1 认证技术发展历程示例

下面专门分析数字证书、动态口令、生物特征(指纹和静脉)3类身份认证技术的特点.

1) 数字证书.采用非对称密钥体系，一般情况下难于破解，总体安全性高，但是证书本身采用静态密码保护以及联机使用的特点，导致容易被盗取使用.

2) 动态口令.采用对称密码体系，运算复杂度低，适用各种场景，有效平衡了安全性和便捷性的双向需求.

3) 生物特征.不同的生物特征识别在安全性和便捷性上差异都比较大，同时只能适合特定的场景.比如指纹使用方便，但是易被克膜；静脉识别安全性高，但是只能适用于公共场景，个人用户往往使用成本高，不便捷.

我们将几类常见的身份认证技术的主要特征进行对比,如表1所示：

表1 常见身份认证技术特征对比

1.4 事件同步的动态口令双向技术

OMAT是一种具有自主知识产权的基于事件同步的动态口令双向身份认证专利技术(专利授权号：200710195695.3[4])，利用高强度加密算法、应用事件激发和同步机制，实现用户端和服务器端的双向身份认证.该技术能够防止现有的各种攻击手段，并且能够兼容现有的基于静态口令认证的各种网络应用系统，具有系统升级改造成本低、所需时间短、用户使用习惯不需改变等优点.

基于事件的动态口令双向身份认证技术，原理如图2所示.在系统设置的初始时刻，每一个系统用户都与认证服务器设置了共享密钥Ku和一个相同的状态计数器值Nu(起同步作用，也可称为同步计数器值).动态口令Pn加密函数在输入为密钥Ku和状态计数器值Nu为n时的函数输出值.即Pn=E(Ku,n)，其中：E()为函数.

图2 动态口令原理

采用认证服务器和客户端的双向认证技术，双向认证的流程如图3所示，分为3步：

1) 用户提交帐号和静态口令给认证服务器进行第1次身份认证；

2) 静态口令认证通过后将同步计数器值加1，服务器将生成的动态口令传送到用户端，供用户对服务器的身份进行认证；

图4 OMAT动态口令认证过程

3) 用户核对服务器显示的动态口令是否与自己令牌产生的动态口令相同，相同则认证通过，向服务器提交下一次的动态口令进行身份认证.

图3 OMAT动态口令认证原理

为了防御并发多个认证请求连接之类的攻击方法，认证服务器需要在静态口令认证成功后记录本次连接用户的IP地址.后续的动态口令认证中还要验证这2次连接的IP地址是否相同，确保用户与认证系统连接的唯一性.认证流程如图4所示.

通过研究可以发现，现有系统的身份认证是服务器对用户的单向认证，用户没有安全易行的方式来对服务器的真假进行鉴别，因此才造成“网络钓鱼”和各式各样木马病毒攻击的泛滥，木马病毒盗号技术模式如图5所示.只有采用客户端与服务器端的双向认证，才能彻底防止“网络钓鱼”这样的攻击手段.

图5 木马病毒盗号技术模式

基于事件同步的动态口令双向认证技术防止木马病毒盗号的技术流程如图6所示.

图6 防止木马病毒盗号的技术流程

基于事件同步的动态口令双向认证技术防止钓鱼网站攻击的技术流程如图7所示.

图7 防止钓鱼网站攻击的技术流程

1.5 认证服务模式研究现状

云认证是当前一个时髦话题.云认证服务平台是借助互联网、云计算服务模式，将认证技术和产品以服务的形态，向企业、公众用户提供的第三方认证服务平台.云认证服务模式是互联网+需求发展和应用在身份认证领域的具体体现，是促进 “大众创业、万众创新”在身份认证领域的具体承载平台之一.

当前各个行业如金融机构，它们的安全服务独立建设和运营，导致规范和标准不统一、重复投资.而随着安全需求越高越复杂，走独自建设的老路明显专业人才不足、公共资源浪费.建立统一的、专业化的、高水平的第三方运营服务机构，有利于提高安全服务质量和水平，降低金融业的服务成本.

云认证服务有利于解决当前普遍存在的“系统孤岛”、“用户孤岛”问题[1]，促进用户信息以用户为中心的聚合，而不是绑定到特定的服务商平台，从而有利于各领域面向专业信息的大数据平台的建设和分析利用.

在互联网这种开放的、不设防的、复杂的信息交互环境中，除了保障用户账户信息和网上交易安全之外，如何有效界定网上银行出现安全案件中的责任，是各家网络服务商(如网上银行)、相关监管机构以及认证服务机构需要面对并妥善解决的问题.云认证作为第三方认证机构，为信息交互双方承担了网上信息安全的部分责任，对交易双方都起到规避风险的作用.例如在出现网银交易纠纷时，云认证服务平台可以为当事人双方提供相应的具有法律效力的第三方数据保全和司法举证[5].

2 云认证服务平台方案和应用

基于移动互联网的动态口令云认证服务平台(以下简称云认证平台)是北京市中小企业发展专项资金支持的产业化项目，编号BA-108017-2013-0002.项目第1期总投入3000多万元，已经建立区域性云认证试点中心.

项目的总体目标是由北京唐密科技发展有限公司牵头，联合清华大学、中国科学院等科研院所和企业，根据我国互联网、移动互联网发展规划纲要和需求，面向全国范围，采用统一规划、分层建设、集中管控的策略，利用自主可控的身份认证和云计算技术，建设和运营统一的云认证安全服务平台，为各级政府部门、企事业单位提供安全、便捷、高效的多因素相结合的电子认证服务，实现用户访问本地和远程网络服务满足“五通”(一本通、一帐通、一令通、一章通、一证通)的一站式服务体验[6]，整体提升我国互联网服务的安全性.

2.1 软件架构

云认证平台具体实施时可以采用我国完全自主知识产权的动态口令OMAT技术和生物特征识别技术，为互联网环境提供安全、便捷、高效的双因素电子认证服务.

该平台完全采用云计算架构，软件总体架构分3个层次，包括客户端、基础服务系统、云数据管理平台[7-8]，如图8所示.

图8 软件架构

云数据管理平台是确保认证平台能在线扩展，支持十亿级用户、千万级至亿级并发访问通量的关键部件.

云数据管理平台是将地理上分布的各类数据源，通过封装器(wrapper)封装后安全接入到云数据管理平台，在不移动数据源的物理位置的前提下，形成一个整合的、虚拟化、统一数据视图的单一虚拟云数据库，其具有动态一致、实时访问、自主控制、单一系统映像等特点.用户或应用程序可以通过标准的SQL语言访问虚拟数据库，获得数据源的聚合查询结果.云数据库的优点体现在以下方面：

1) 通过虚拟化技术实现物理数据源虚拟池化的分区管理.可以确保应用逻辑是直接基于逻辑数据源访问，避免应用程序与具体部署的物理资源和访问协议绑定在一起.通过映射的机制解决逻辑到物理的映射关系，从而确保应用的无缝移植性.

图9 云认证平台运营架构

2) 处理能力高扩展性.基于虚拟化的分区管理，原则上底层物理数据源在空间扩展(增加数据源、变更数据源、整合数据源)和在时间扩展(增加、变更部署硬件和基础环境软件结构)方面，均对上层应用逻辑不产生任何影响.

3) 平台为应用逻辑提供统一、简单的垂直访问关系.通过对大规模数据源的虚拟化操作可以抽出共性部件和功能，隐藏底层数据源的分布、异构等细节问题，在逻辑层面的高度上达成一致.

4) 云数据平台积累大数据管理和分析.云数据平台可以统一管理和服务各种应用系统的数据资源，形成全业务、全过程的大数据服务平台，借助数据业务挖掘分析，开发潜在服务及服务模式.

图10 部署结构

2.2 运营架构

云认证平台主体思想是将安全技术服务化，为互联网环境提供基本的安全认证服务，如数字证书服务、动态口令服务、电子签章服务、云数据加密服务、数据保全服务、用户信用服务等安全服务，平台运营架构如图9所示.

2.3 部署结构

部署结构采用2级中心结构，如图10所示.在1级中心建立集中的双活的云认证数据中心，省级(区域)网络建设独立的分中心服务，省级(区域)数据定时同步到中央双活数据中心.

2.4 应用模式

云认证平台作为一个云服务产品，适用于各级政府部门以及网上金融、网络游戏、电子商务、电子政务、移动支付等相关行业企业的电子认证需要.

用户借助于云认证服务平台，可以实现访问本地和远程服务时的“五通”满足一站式服务的体验，如图11所示.

图11 云认证服务“五通”使用模式

2.5 技术特点

1) 架构优势

云平台化的优势：非解决方案云平台，可复制、可推广性强，单位云成本低.

国内的常见云平台主要是通过利用各种硬件系统或(开源社区或商用软件)组件产品搭建起来的，属于解决方案型云平台(也称为拼装式集成云平台).这种云平台的特点(如图12所示)是：适合特定应用场景，可复制性和可推广性较低，单位云成本较高，只在一定的频谱范围内，具有线性扩展性，只有达到一定程度的用户规模后，单位成本才可能降下来.

图12 云认证服务平台单位成本发展对比趋势

云认证平台中的云数据管理平台，具备线性扩展能力，通俗地说，从“麻雀”系统(单机)到“大象”平台(云平台)都能无缝地支持.在前期用户规模比较小时，单位成本仍然较低，同时比较适合更多的应用场景，如公有云、私有云、混合云等.

通过基于云计算的数据库虚拟化管理和访问技术，可以很方便地实现云认证系统与传统的其他应用系统之间异构数据对接和同步一致访问.系统兼容各种主流的软硬件平台(包括国产自主的操作系统和数据库平台)，通过灵活的横向扩展支持大规模用户的身份认证.另外，在应用模式上支持与传统的企业级应用、网格计算、云计算、物联网等多种方式的集成和对接，提供硬件令牌、软件令牌、手机令牌等多种客户端认证产品.

总体上，云认证平台具有安全性增强、对用户体验一致、兼容现有认证系统、附加成本低等特点.

2) 采用我国完全自主可控的身份认证技术

OMAT一次性双向认证技术，是面向互联网、移动互联网的身份认证技术，是具有我国完全自主知识产权(专利号：ZL200710195695.3)的最新动态口令技术.

目前我国采用的认证技术和签名技术大多是美国公司专利技术，包括网上银行用的U盾和动态口令令牌，U盾采用的是美国CA公司的PKI技术(U盘预装数字认证证书，采用挑战应答技术)，动态口令采用的是美国RSA公司的Securid技术(令牌1min显示1个密码)，属于单向认证技术.现有动态口令技术无法克服“盗号木马”、“钓鱼网站”、“网页挂马”、“重放攻击”、“中间人攻击”、“网页劫持”、“更改时间戳”等攻击方式，所以不适合在政府、金融、电信、电商等需要高安全强度的单位使用和运营服务.

针对我国目前的技术现状，应该建设多元化身份鉴别技术服务平台，特别是安全技术越是新技术越能起到安全作用.自主可控技术和产品不是模仿、仿造和贴牌，而是拥有原创性发明核心关键技术作为支撑的技术和产品才配叫自主可控.

3) 可以避免重放攻击、浏览器劫持等中间攻击、木马盗号等安全风险

OMAT技术基于事件同步产生一次一变的动态口令，实现客户端和服务端的双向身份认证，技术原理和实现机制完全可以避免重放攻击、浏览器劫持等中间攻击、木马盗号等安全风险，弥补了以数字证书为代表的第1代身份认证技术和以时间同步动态口令为代表的第2代身份认证技术的不足与漏洞.

传统的静态口令安全性低，不能适应网络发展需要；而基于时间的动态口令技术由于存在时间窗口重放威胁、时钟失调引起的用户同步导致的系统瘫痪等问题，很难大规模部署应用.特别强调的是，目前国内其他动态口令技术本质上均是模仿美国RSA公司的基于时间同步的动态口令身份认证技术，一方面面临“自主可控”的问题，另一方面，随着计算能力的提高，RSA核心算法不断面临被破解的风险.

4) 打破了网络认证技术体系单一的僵局

目前，我国的网络安全体系建设是在美国CA公司研发的数字证书的基础上建立起来的，后来的PKI技术体系、IBC技术体系、CPK技术体系都是基于挑战应答技术的基础实现的.特别是任何一项安全技术都有其应用的局限性，国家安全保密技术体系的建立离不开完备的网络安全技术.身份鉴别技术特别作为网络安全的技术基础和信息安全的基石技术[9],是国家网络安全的命脉.更需要采用我国自主研发、自主可控的身份认证技术.

目前移动电子政务发展迅速，我国自主研发的OMAT技术打破了只能依赖数字证书才能进行交易验签的限制，从而使得移动互联网等便捷支付渠道同时具有交易验签能力.

5) 具有良好的兼容性与多样性

现有电子身份认证形式多样，接口多样，包括静态密码、动态密码、短信验证码、数字证书等，动态口令技术不是替换现有认证技术，而是对现有技术的补充和完善，具有良好的兼容性.

① 完全兼容我国自主商用密码算法系列；

② 动态口令服务技术与现有系统业务具有良好的独立性和兼容性，不需要对现有业务体系和流程进行大改；

③ 系统提供多种产品形式的令牌，包括硬件令牌、软件令牌、指纹令牌、USBKey令牌、手机令牌等，使用方便快捷.

2.6 应用优势

1) 满足新型应用形态对认证需求的多元化、安全性和便捷性

一方面，市场对新型的方便、快捷、安全、兼容性强的认证技术的需求非常广泛.比如，移动电子政务网服务、移动互联网金融等新型业务形态，要求认证技术同时满足方便、快捷、安全的要求.传统的数字证书，由于其联机应用、算法复杂等特点，很不适合移动互联网这种要求脱机、快捷服务、动态服务整合的计算平台，相反，一次一变的OMAT动态口令的技术针对移动互联网就是一个好的选择.

另一方面，认证技术也在向多技术融合的方向发展.认证不仅仅是一种技术的认证，往往是多渠道、多维度、多技术的联合认证，比如常用的静态口令和短信验证码、数字证书和动态口令及生物鉴别和动态口令的结合.

2) 满足无缝支持移动互联网等新型服务模式

当前电子政务、金融业等普遍使用的数字证书(PKI)体系是联机接触式认证技术，不适用于移动互联网、线下金融等新型快捷金融服务平台.而动态口令技术不仅完全适用传统互联网，更特别适用于基于移动互联网以智能手机为计算平台的非接触式在线支付，实现简单、成本低、易用，应用前景广泛.

① 动态口令这种脱机便捷使用方式，易于与各种芯片和设备集成，能有效服务于各种特殊的传统互联网无法有效服务的场所和人群.如与SIM卡、SE(安全单元)集成，使得智能手机内置口令牌，方便偏远地区知识层次较低人群使用.

② 与射频芯片集成，整合信息流、资金流、物流整条链的身份认证.

3) 动态口令技术是必然发展趋势，具有广阔市场需求和应用前景

信息技术、网络技术、通信技术的快速发展，云计算、大数据、物联网等新型资源共享服务模式的出现，正快速促进信息流、资金流、物流跨区域、跨行业、跨系统的无缝整合，借助移动互联网，以手机等移动智能终端为载体的计算平台将为用户带来全新的一站式计算体验.这种贯通多环节的“智慧系统”的发展促进未来主要由人为造成的安全因素变为系统对系统造成安全风险的变革，需要在各环节对接时的智能化和安全性之间把握最佳平衡，提供用户自主交互控制能力.一次完整信息流程中通过动态绑定的各个环节，由于其不可预知性、实时性、一次性等特征自然需要动态口令认证技术.

从应用效率的角度来看，由于动态口令认证技术一般采用对称加密算法或散列函数，算法的复杂性要大大低于非对称加密算法，比基于PKI体系的数字证书验证签名的效率高几百倍甚至上千倍.因此，动态口令技术更适合应用于大规模用户的统一身份认证和大规模数据应用环境.

3 总 结

本文首先分析了互联网+时代的应用背景和需求，针对我国网络空间安全面临的挑战，提出了构建自主可控的网络空间安全架构和建设思路.其中，网络空间认证是确保网络空间架构整体安全的第1道门槛，通过分析网络身份认证技术的需求、研究和应用现状、服务模式等，提出了具有我国完全自主知识产权的身份认证技术和云服务平台的建设方案及应用实践，为互联网+行业的认证平台建设和应用提供可借鉴的基础.网络身份认证是网络空间安全的基石，必须大力支持和发展具有自主知识产权的网络空间身份认证技术，并借助互联网+战略促进在各行业的应用.

[1]徐志伟, 李国杰. 普惠计算之十二要点[J]. 集成技术, 2012, 1(1): 20-25

[2]关振胜.公钥基础设施PKI与认证机构CA[M].北京:电子工业出版社,2002

[3]南湘浩,陈钟.网络安全技术概要[M].北京:国防工业出版社,2003

[4]李春林.基于多变量的动态密码口令双向认证的身份识别方法技术:中国,ZL200710195695.3[P].2009-06-26

[5]TheWhiteHouse.NationalStrategyforTrustedIdentitiesInCyberspace,EnhancingOnlineChoice,Efficiency,Security,andPrivacy[S].Washington:TheWhiteHouse,2011

[6]杨宁,李晓林.K∕G:一种网格的使用模式体系结构及应用[J].计算机研究与发展,2003,40(12):17201724

[7]李晓林.一种松耦合的信息网格体系结构及全生命周期评价[D].北京:中国科学院计算技术研究所,2005

[8]LiXiaolin,XuZhiwei,LiuXingwu.Community-basedmodelandaccesscontrolforinformationgrid[C]∕∕ProcofIEEE∕WICIntConfonWebIntelligence.Piscataway,NJ:IEEE,2003

[9]张世永.网络安全原理与应用[M].5版.北京:科学出版社,2003:134141

李晓林

博士，主要从事大数据平台研制及应用、物联网数据加密与传输技术、身份认证技术及服务、系统集成等信息安全相关产品和服务的研制及推广.

lixl@tanghuantech.com

廖黎敏

学士，主要从事产品管理模式研究、互联网+、身份认证技术及服务等信息安全相关产品的设计管理及推广.

liaolimin@tanghuantech.com

Building Method and Implementation of Cloud Authentication Servic in the Autonomous Controllable Network Space

Li Xiaolin and Liao Limin

(BeijingTangmiTechnologyDevelopmentCo.,Ltd.,Beijing100084)

Identity authentication is the first threshold to ensure the overall safety of network architecture space. With the rapid popularity of the Internet, especially the rapid popularity of mobile Internet and other new application forms, technical requirements for network authentication and corresponding application research and development shows a strong diversity of development momentum. Mobile Platform-based, service-oriented, technology integrated and adaptive authentication technology and service model are the new direction of research and development in the field of identity authentication. Through specific case studies and analysis, this paper introduces the architecture, service mode, and application characteristics of the cloud platform based on the independently controllable authentication technology. The case provides referential basis for the construction and application of authentication platform of Internet plus industry. Network identity authentication is the foundation of the network space safety. It is necessary to vigorously support and develop network space identity authentication technology with independent intellectual property rights, and promote its application in various industries with the help of Internet plus strategy.

identity authentication; authentication service; service mode; dynamic password

2015-07-15

北京市中小企业发展专项资金(BA-108017-2013-0002)

TP309