基于安全芯片的电力物联网统一身份认证技术

北京智芯微电子科技有限公司/国家电网公司重点实验室/电力芯片设计分析实验室

王振林 陈奇辉 戴 铭 刘国营 张 兴

在信息安全领域身份认证是用户进入系统的第一道安全防线，也是电力物联网信息安全体系[1]中最基础、最重要的安全防护技术，身份认证技术目前广泛应用于电力物联网内外部用户、不同作业终端、不同应用场景下用户身份统一管理的全过程。

目前个人终端的身份认证是基于逻辑身份认证（个人账号），并没有将个人终端和自然人关联起来，个人终端鉴别方式较为单一，且个人口令遗失和被破解的风险较高，如果用户信息从终端丢失，或者逻辑认证信息被破解，并无法追踪到自然人行为，存在较大的安全隐患，另外，目前和个人有关的资源认证方式多种多样，给用户的记忆和使用带来极大不便。

本文结合电力物联网现有的安全架构[2]，分析了身份认证技术的发展现状和发展趋势，研究了基于安全芯片的电力物联网统一身份认证技术，并通过一个多业务的统一身份认证流程，验证了基于安全芯片的电力物联网统一身份认证技术的安全性和可靠性。

1 身份认证技术发展现状

身份认证技术又称作身份鉴别技术，是用户进入系统的第一道安全防线。用户登录系统，输入用户名和密码就是对用户身份进行鉴别。鉴别是验证某些信息真实性的过程，如用户身份、网址或数据源等。身份认证的方法一般依据以下三种基本情况或这三种情况的组合：所知、所有和特征。

所知即用户所知道的知识，常见的如口令等，该身份认证方法常将一个只有用户和系统知道的秘密信息，发送到系统中，据此鉴别用户身份；所有即用户所拥有的物品，如智能钥匙卡、SD 卡等，借助这些物品使系统鉴别用户；特征即用户所拥有的一些可被记录和比较的生理或举止方面的特征，这些特征能被观察和记录，通过与系统中存储的特征比较进行身份鉴别。目前，在电力物联网的身份认证安全应用中，针对“所知、所有、特征”三种情况，主要应用了以下四种身份认证方法[1]。

1.1 基于用户名/密码身份认证方法

用户名/密码身份认证方法，以用户名和密码作为验证依据，属于“所知”身份鉴别方法，也是目前大多数信息系统普遍采用的方法[3]。密码有两种生成方法：用户自主选择和系统自动产生。用户通常会选择与自己生活相关的信息，如生日、街道、车牌、电话号码等为密码，虽然便于记忆，但容易猜测和泄露。系统自动产生的密码，一般由随机数发生器自动生成，虽然不易猜测，但用户记忆困难，使用不便。

随着密码学理论的不断发展和计算机运算能力的提高，采用用户名/密码身份鉴别方法可能给信息系统带来一定的安全风险，入侵者可以通过多种途径和方法侵入系统。例如：密码猜测和破解、冒充合法计算机登录程序诱骗登录者泄露密码、通过网络嗅探器收集网络中的明文密码（如Telnet、FTP、POP3等协议中密码）等。因此，用户名/密码身份鉴别方法一般应用于安全级别比较低的信息系统，或者是一些临时的外部访问用户，通过该方法登录的用户，一般也只能获得较低的系统使用权限。

1.2 基于动态令牌的身份认证方法

动态令牌又被称作一次性口令（One Time Password，OTP），是依据用户私人身份信息和随机数产生随机变化的口令，使每次登录过程中传送的口令信息都不同，以提高登录过程中用户身份认证的安全性。

基于动态令牌的身份认证方法属于“所知”身份鉴别方法，在实际应用中，使用动态令牌专用硬件，实现“所知”加“所有”组合的“双因素”身份认证。该专属硬件通常内置电源、密码生成芯片和显示屏，密码芯片运行专门的密码算法，根据当时的时间或使用次数生成当前密码，并显示在显示屏上。用户使用时只需将动态令牌上显示的当前密码输入客户端，远程的认证服务器采用相同的算法计算当前的有效密码，即可实现身份认证。目前主流的动态令牌实现方式主要有四种，口令序列、基于时间、基于事件和基于挑战应答。

与用户名/密码身份认证方法相比，动态令牌具有安全性、动态性、随机性、易用性和可管理性几大特点，其密码不在网络中明文传输，可以有效防止攻击者窃听和密码的泄露，更加安全和可靠。但由于动态令牌系统一般采用专有算法实现，尚无完整的标准技术标准体系，后期的运行维护成本较高，也曾出现过，攻击者利用时钟同步漏洞，截获动态口令，伪造身份的安全事件。

1.3 基于数字证书的身份认证方法

基于数字证书的身份认证方法，目前是国内外公认的比较安全可靠的认证方法之一。在公钥密码体系（PKI）下，数字证书是一个由认证中心（CA）数字签名、包含拥有者身份信息和公开密钥信息的文件。最简单的证书包含一个公钥、名称以及证书授权中心的数字签名。通常证书中还包括密钥的有效期、发证机关名称、该证书的序列号等信息，证书的格式通常遵循X.509国际标准。

数字证书可以标识用户、设备或系统的合法身份，它可以存储在多种硬件介质中，常见的硬件介质有密码钥匙、SD 卡、智能卡等，这些硬件介质一般集成有安全芯片，可以实现数据加密、身份认证、数字签名等多种安全技术。基于硬件介质数字证书的身份认证方法，在使用过程中，用户需输入正确的PIN 码，才能进行身份认证。该PIN 码安全存储在硬件介质中，只有介质的拥有者知晓，无法用技术手段导出。因此基于硬件介质数字证书的身份认证方法满足身份鉴别方法中“所知”和“所有”的组合应用，实现了“拥有硬件介质，并知晓PIN 密码”的双因素身份鉴别，可以满足安全级别较高信息系统的安全身份认证需要。

数字证书和一对公、私钥相对应，公钥以明文的形式放到数字证书中，私钥为拥有者秘密掌握。CA中心通过对数字证书的数字签名，确保数字证书中信息的真实性，在电力物联网统一身份认证技术应用中，可以作为终端、员工、信息系统或设备的有效身份证明，满足电力物联网对内外部用户、不同作业终端、不同应用场景下的安全身份认证需要。

1.4 基于生物特征的身份认证方法

基于生物特征的身份认证技术[4]，根据人体各器官或者个人行为所具有唯一性来识别用户的身份，常见的生物特征鉴别技术有人脸识别、虹膜识别、声音识别、指纹识别、掌纹识别等。

由于能够提供更加安全、便捷的鉴别服务，近年来生物特征鉴别技术日渐兴起，在电力物联网中人员的生物特鉴别方法主要用到了人脸识别和指纹识别。与前面几种传统的身份认证技术相比，基于生物特征的身份认证方法具有以下特点：普偏性，即鉴别的特征是每个人都具有的；唯一性，每个人所拥有的特征都是独一无二的；稳定性，特征不易随时间、空间和环境的变化而变化；可比性，所选择的特征便于收集、测量和比较。

虽然基于生物特征的身份认证方法有很高的便利性和安全性，但其将技术所保护的信息资产价值与个人紧密绑定，增加了信息保管人的人身安全威胁，另外，生物特征的不可撤销性将造成生物特征数据一旦泄密，损失无法弥补的严重后果。在应用过程中，基于生物特征的身份认证方法，常作为辅助认证手段，应用于安全等级较高的信息系统中。

1.5 几种身份认证方法的对比

在上述四种身份认证方法中，用户名密码认证成熟度高但安全性有限；生物识别技术安全性和便利性都很高但尚在发展中，成熟度有待提升；动态令牌技术实现基于专有算法，只在特定领域有应用、尚不普及；基于硬件介质的数字证书在安全性、便利性和成熟度上相对均衡。

表1 几种身份认证方法的对比

通过对用户名/密码、动态令牌、基于硬件介质的数字证书、生物特征识别等几种主要身份认证技术的研究，从安全性、成本、便利性、可撤销性、成熟度等几个维度进行分析对比，本文最终选择基于硬件安全介质的数字证书身份认证技术实现电力物联网的统一身份认证。

2 统一身份认证技术流程

本文依托电力物联网现有PKI 体系签发的数字证书，通过一个多业务的统一身份认证流程，实现人员统一身份认证管理，用以验证基于硬件安全介质（封装安全芯片）的数字证书身份认证技术的安全性和可靠性。用于验证的数字证书硬件介质为内嵌安全芯片的安全SD 卡、密码钥匙和非接触式身份识别卡。

一个多业务的统一身份认证流程如下：

用户在物联终端插入已安装数字证书的硬件介质，请求登录信息系统，信息系统将认证请求转发给统一认证中心的认证服务器（CAS）；统一认证中心将随机生成一段信息R1并签名后返回给物联终端；物联终端应用程序验证硬件安全介质的Pin 码；物联终端通过后生成随机数R2，使用安全芯片的私钥对随机信息“R1+R2+安全芯片ID”进行签名，并连同用户的信息发送认证中心进行验证；认证服务器验证数字证书的有效性包括CA 签名信息、证书有效期、证书状态等，通过后验证硬件安全介质私钥对随机信息“R1+R2+安全芯片ID”签名的正确性，并比对物联终端与证书、安全芯片ID 的匹配性，匹配无误则认证通过，同意用户登录，否则拒绝登录；用户身份验证通过，访问应用系统相关服务，应用系统通过认证流程，将服务重新定向到统一认证中心的认证服务器（CAS）；认证服务器（CAS）查询数据库中该用户的相关访问权限信息，验证用户有无权限使用所请求的应用系统服务，如有权限通过数据加密和电子签名的方式向应用服务器提供允许用户访问的服务访问票据信息，该票据将作为用户统一认证和单点登录多个业务的唯一凭证。

用户完成多业务的统一身份认证流程，可以访问权限内的多业务应用。

在验证过程中本文采用基于安全芯片的电力物联统一身份认证技术来鉴别用户，实现对面向多业务人员的统一认证和灵活授权，并通过认证服务器对访问票据进行加密和签名，保障其在传输过程中的机密性、完整性和不可重放性，实现了安全高效的应用和良好的扩展。

综上，多身份认证技术融合是生物识别[5]、个人智能终端、可穿戴设备[6]等新兴技术逐步在PKI体系中推广应用，增加双因素乃至多因素认证时的可选技术手段，强化不同认证手段间技术实现的独立性和数据传输交换通道的独立性，确保特定密码学算法、特定通信信道和协议或特定硬件介质失效时，整个PKI 体系的安全防护等级不显著降低。

身份认证技术应用范围拓展需要解决如何降低身份认证机制的数据通信量和计算量，从而降低设备的性能要求和计算时间，在有限处理能力、低通信带宽的场景下实现有效身份识别，解决移动作业尤其是通信带宽受限的野外作业、大规模部署的物联网终端等场景下的身份认证需求。

在新技术引入方面，量子密码学和量子计算快速发展[7]，利用其在密钥分发、传输防窃听、超高速计算等方面的技术突破，能够更有效的解决公钥密码体系体系所面临的理论与技术实践难题，在公钥密码体系中应用前景广阔。但是量子密码学和量子计算尚处于验证阶段，暂不具备实用化和大规模推广的条件。

[1]陈意,王新霞,等.密码技术在工业互联网中的应用研究[J].中国信息化,2021,8.

[2]王栋,陈传鹏,等.新一代电力信息网络安全架构的思考[J].电力系统自动化,2016,2.

[3]乐宏彦.从新基建安全看高速密码技术应用的发展[J].信息安全与通信保密,2020,11.

[4]张富友,王琼霄,宋利.基于生物特征识别的统一身份认证系统研究[J].信息网络安全,2019,9.

[5]毛俊杰,刘鹏,李昌锋.基于人脸识别和生物特征的学生身份安全认证系统[J].电子设计工程, 2020,12.

[6]杜俊雄,陈伟,李雪妍.基于物联网设备指纹的情境认证方法[J].计算机应用,2019,2.

[7]江英华,张仕斌,等.具有双向身份认证的量子密钥分发协议[J].量子电子学报,2018,1.