网络应用前端中间件安全方案

◆蔡子凡 刘瑞鹏



网络应用前端中间件安全方案

◆蔡子凡 刘瑞鹏

(兴唐通信科技有限公司 北京 100191)

网络应用前端中间件是互联网+可信身份认证平台采集信息的前置终端。本文设计了一种网络应用前端中间件的安全方案，为前端中间件安全采集身份信息提供了端到端的保护能力。应用结果表明，本方案可以保证前端中间件采集信息的安全、可靠和不可抵赖，取得了良好的应用效果。

前端中间件；中间件安全

0 引言

互联网+可信身份认证平台依据“三据四不”的原则建设，依托于国家已有的第二代居民身份证体系，构建了“后台实名，前台匿名”的身份认证体系，既建立公民真实身份的网络映射，又不危及公民真实身份隐私，保障网络空间中的人、设备、数据等实体可信，实现网络行为可溯源，为解决“依法管网、依法办网、依法上网”奠定了基础。第三方网络应用基于认证平台提供的去隐私化的身份认证服务，认证用户身份，保证在网络空间活动的用户的后台实名。

由于网络空间中身份认证的远程性质，必须采用一些认证因素如PIN码和人像等个人隐私信息对远端人员进行其所声称身份与其真实身份的同一性验证，同时认证平台需要通过第三方网络应用采集用户的身份信息，为保证用户个人隐私信息不被第三方网络应用恶意使用，需要对前端采集的信息进行安全保护，防止：

（1）第三方网络应用收集公民隐私信息；

（2）传输过程中隐私信息被窃取。

因此认证平台需要将安全的、去隐私化的网络应用前端中间件提供给第三方网络应用采集待认证人的认证因素，保证用户身份的“前台匿名”。

下面各节主要描述网络应用前端中间件的构成和功能、网络应用前端中间件的安全加固方案及应用效果。

1 网络应用前端中间件

认证平台的网络应用前端中间件作为众多第三方网络应用前端系统内置的接口工具，用于连接外部设备采集待认证人的认证因素，并将采集的身份信息加密、脱敏处理，然后输出给第三方网络应用。

网络应用前端中间件按照功能分为三类：读卡器中间件、人像中间件和口令中间件。这三种中间件通过业务组件采集用户信息，通过内置的安全控件实现采集的认证信息的加密、去隐私化保护。网络应用前端中间件的结构如图1所示。

图1 网络应用前端中间件结构示意图

2 网络应用前端中间件安全控件

安全控件向网络前端中间件提供安全防护功能：签名验签服务和数据加密服务。安全控件的结构如图2所示。

图2 网络应用前端中间件安全控件结构图

如图所示，安全控件总体分为三层：接口层、功能层和引擎层。

接口层是外界调用安全控件的渠道，由于需要使用安全控件应用环境的多样化，接口层也需要提供不同环境的接口库。目前接口层支持三种类型的接口：iOS接口、Android接口和Windows接口。iOS接口适用于Mac OS环境和iOS系统环境；Android接口适用于安卓应用开发；Windows接口适用于Windows系统开发。

功能层向接口层提供服务接口，负责安全控件所有业务的实现。该层包括业务算法库，提供基于国密算法的签名验签服务和标准的国密算法加密服务。

引擎层包括OpenSSL算法引擎、国密算法引擎和硬件算法引擎。OpenSSL算法引擎提供基础的密码调用功能和数据格式定义及转换功能，国密算法引擎基于OpenSSL算法引擎实现，向功能层提供国密算法SM2、SM3和SM4的算法接口，硬件算法引擎基于硬件资源向功能层提供国密算法SM2、SM3和SM4的算法接口。

3 网络应用前端中间件安全设计机制

3.1 标准接口

网络应用前端中间件需要同认证平台进行通信，首先需要对认证平台进行身份验证。该验证通过非对称算法的验签进行。网络应用前端中间件需要向认证平台发送数据，为了保护发送的身份信息需要采用数字信封的方式对信息进行打包封装。

综合以上两点，本方案设计的接口如表1所示。

表1 标准接口

项目接口说明 终端安全控件验签验证身份认证平台下发数据的签名 身份信息数字信封加密对采集到的身份信息进行数字信封加密保护

验签接口接收平台下发的数据以及对应的签名值，依据国密SM2算法进行签名值的验证。身份信息数字信封加密接口接收认证平台下发的随机因子及前端中间件采集的公民身份信息，通过SM2算法标准的数字信封格式加密。

3.2 数据结构

采用不带签名的SM2算法数字信封，通过ASN.1格式描述如下所示：

EnvelopedData ::= SEQUENCE {

version Version,

recipientInfos Set of RecipientInfo,

encryptedContentInfo EncryptedContentInfo

}

数字信封数据由版本信息version、接收者信息recipientInfos和密文信息encryptedContentInfo三部分组成。版本信息为采用信封版本号；接受者信息为接收密文的接收方信息，为一个序列；密文信息为经对称密钥加密的消息密文，同样为一个序列。

3.3 数字信封算法

数字信封算法首先生成一个随机数作为对称密钥，采用SM4算法将传入的身份信息进行加密，然后通过平台公钥对该对称密钥加密，然后将相应的密文按照标准结构拼装到一起得到最终的数字信封报文。

4 结束语

本文设计了一种基于内置国密算法安全控件的网络身份应用前端中间件安全方案，通过标准化算法、标准化数据和标准化接口封装的方式保证了该方案的可行性和安全性，并已在“互联网+可信身份认证平台”项目中使用，取得了较好的应用效果。

[1]黄道丽，赵丽莉，金波等.互联网电子身份管理模式及法律保障[J].政法学刊，2011.

[2]贾铁军.网络安全实用技术[M].北京机械工业出版社，2011.

[3]胡传平，邹翔，杨明慧等.全球网络身份管理的现状与发展[M].人民邮电出版社，2014．

[4]左锋.信息安全体系模型研究[J].信息安全与保密通信，2010.

[5]刘熙胖，梁松涛.智能终端安全体系研究与应用[J].通讯世界，2015.

[6]胡一博，朱诗兵，李长青.移动智能终端安全体系研究[J].无线电工程，2017.

[7]搜狐网.“中关村安信网络身份认证产业联盟”正式成立 [EB/OL].http：//www.sohu.com/a/205980110_780769.

[8]百度百科.中间件[EB/OL].https：//baike. baidu. com/item/中间件/452240.

本项目由国家重点研发计划资助( No.2016YFC0801100)。