文/唐志恩
身份认证就是在计算机网络环境中确认操作者身份的过程,负责验证用户身份的真实性和合法性。主流的身份认证技术有用户名+密码、短信密码、动态令牌、USB Key数字证书、软件密码模块和生物识别认证等。
这是一种最简单、最原始的身份认证方式。只要在登录时输入正确的用户名和密码,就认为操作者是合法用户。这种静态密码容易被猜测,在传输中很容易被截获造成泄密。它是一种不安全的弱身份认证方式。
应用系统发起请求,后台身份认证系统通过短信发送随机数密码到用户注册的手机上。用户在登录或者交易认证时输入此动态密码来验证身份。短信密码的生成与使用环境是分开的,安全性较高。
采用专门的密码算法生成一个不可预测的随机动态密码,与认证服务器计算出的有效密码比对,相同则通过认证,一个密码只能使用一次。由于每次生成的密码是无法预知的、是一次性的,所以动态令牌具有较高的安全性,属于强身份认证。
手机令牌是移动互联网时代的一种动态令牌系统,它是一种手机客户端软件,基于时间同步方式,每隔60秒产生一个随机6位动态密码,具有安全性高、使用简单、无需携带令牌设备等优点,在电子商务、金融等行业应用较多。
这是基于PKI/CA体系的高安全强度通用认证技术。采用软硬件相结合、一次一密的强双因子认证模式,证书及用户的密钥都存储在这个USB Key硬件中。Key都用口令(PIN码)来保护,该口令和硬件构成了身份认证的两个必要因素,只有同时获得Key和PIN码才能通过认证,因此安全性很高。数字证书由第三方电子认证机构的CA系统签发,能实现身份认证、传输加密和数字签名等功能,广泛应用于电子政务、电子商务和网上银行等。
软件密码模块是一款使用在移动端,用来保护信息系统的安全产品。现有商用密码模块都经过国家密码管理局的测试,在技术合规性、算法安全性等方面能达到安全等级第二级要求。在移动终端应用场景下,无需借助额外的硬件设备即可实现身份认证、数字签名、对称及非对称加密等密码服务。可以在银行、证券、互联网金融、电子政务、移动办公等场景中使用。
它是通过生物个体唯一的、可自动识别和验证的特征进行身份鉴别的一种新认证技术。将读取的生物特征信息与数据库中的用户特征信息比对,如果一致则通过认证。主要有指纹识别、人脸识别、虹膜识别、视网膜识别、手掌静脉识别等。生物识别在移动互联网领域的应用逐渐增多,其中指纹识别和人脸识别使用最多。
电子政务移动办公是指通过无线通信网络,利用智能移动终端,随时随地接入政务应用系统,进行网上办公和事务处理。电子政务移动办公面临着用户认证、传输和抗抵赖等安全问题。根据《GB/T 35282-2017 信息安全技术电子政务移动办公系统安全技术规范》,需要对移动终端身份鉴别和接入认证采取安全可靠的身份认证方式。
基于上述身份认证技术分析和电子政务移动办公的安全需求,传统的“用户名+密码”方式已不满足移动政务的安全要求。短信密码虽然是较为安全的一种认证方式,但由于存在接收成功率不高、短信网关可能因为垃圾短信监管被意外关停等弊端,也不适用于移动政务的身份认证。动态令牌作为一种强认证方式在金融领域应用广泛,但存在时间同步、统一性和通用性不好等问题,在移动政务领域应用有限。生物识别认证在安全性、便捷性方面有优势,但生物特征信息数据库在存储和传输中存在用户隐私泄露等风险,识别率问题也影响其在移动政务中的使用。
根据国家规范要求,在访问政务应用和数据之前应采用数字证书进行双因子强身份认证。适合电子政务移动办公的身份认证方式主要是USB Key数字证书和软件密码模块。
在移动互联网环境下,传统的硬件USB Key数字证书无法直接应用在移动终端上,目前出现了蓝牙Key和TF卡等用来代替传统USB-Key用于移动办公的身份认证。它们都是将CA机构签发的数字证书存储在硬件Key中,并且支持国密算法,具有双向认证机制及不可抵赖性,适合高安全性要求的移动政务。蓝牙Key不仅可以用于智能手机、平板电脑等移动办公终端还可以用于台式电脑,结合移动办公管控系统能够实现对移动终端的强管控以满足GB/T 35282-2017对电子政务移动办公的要求。蓝牙Key不仅能够实现数字身份认证,还适用于各种应用场景的加密、数字签名等功能。在电子政务领域,采用国家政务CA系统签发的国密算法数字证书,标准统一、安全性高、通用性好,但不便携带。TF卡Key是将数字证书加密存储在手机TF上,用户不必单独携带USB Key,但在其他终端上使用则需要对应用系统做定制开发,与二维码配合使用来完成身份认证。在插卡手机本身以外的其他终端上使用时加密、签名等功能受限,且需占用手机的一个卡槽位。
软件密码模块具有与硬件Key相同的功能,能完成密码运算并保证密钥存储和使用安全。只需在移动终端安装密码模块就可实现硬件Key的功能,结合二维码信息交互方式,能实现身份认证、加解密、签名等。软件密码模块摆脱了硬件的束缚,方便了用户使用。由于这是一款新的安全产品,使用效果还有待验证,在电子政务移动办公领域应用还很少,但前景广阔。
电子政务移动办公需要严格的身份认证,在实践中应根据政务系统的实际情况和应用场景,兼顾安全性、便利性选择合适的移动身份认证手段,为电子政务的移动终端用户提供一个安全可信的移动办公环境。