污染源自动监测系统中的安全认证设计与实践

叶新辉 黄 欢 权冠宇 黄健 沈苑中 吴哲

摘 要 随着 密码法 网络安全法 等法律法规的颁布与实施 作为生态环境业务开展的核心应用 污染源自动监测系统应开展相应的商用密码应用改造 文章结合浙江省污染源自动监测系统商用密码应用的实践过程 介绍了安全认证技术的应用点 并验证了安全认证技术应用模式的可行性

关键词 商用密码 安全认证 污染源自动监测

中图法分类号tp319   文献标识码a

１ 引言

自２０２０ 年以来，相关部门出台了《密码法》，为信息系统的商用密码应用提供法律依据，并颁布了商用密码相关的政策性文件，其中《关键信息基础设施保护条例》第三十八条规定“国家政务信息系统等网络与信息系统，其运营者应当使用商用密码进行保护，制定商用密码应用方案，配备必要的资金和专业人员，同步规划、同步建设、同步运行商用密码保障系统，自行或者委托商用密码检测机构开展商用密码应用安全性评估”，《国家政务信息化项目管理办法》（国办发〔２０１９〕５７ 号）第十五条规定“项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求，同步规划、同步建设、同步运行密码保障系统并定期进行评估”。

污染源自动监测业务中数据流转复杂，各个参与实体的身份鉴别机制各有不同，各自承擔的安全风险也不一样，身份鉴别安全系数不足的应用系统易成为攻击者的攻击对象，从而影响整个监测业务的数据安全。作为网络安全核心技术，商用密码技术具有易于实现身份鉴别的天然优势。本文结合浙江省相关部门污染源自动监测系统商用密码应用实践的过程，介绍了安全认证技术的应用点，提出了安全认证技术应用模式的可行性，以供商用密码应用改造参考。

２ 安全认证现状

在传统的安全认证系统中常见的安全认证主要方式包括静态口令认证、动态口令认证、智能卡认证、ＵＳＢ?ｋｅｙ 认证、生物特征认证等。静态口令认证由于其实现简单而得到了广泛的应用，然而这类方案存在口令复杂度低、易猜测、易遗忘等问题，难以提供较高的安全性；动态口令认证采取“一次一密”的认证方式，在用户需要认证时，通过某种手段将动态口令同步给用户，只有持有该同步设备的用户能成功认证，但此类认证方式存在同步设备丢失或被盗后产生的身份冒用问题；智能卡是一种不可复制的硬件，在用户需要认证时，可以通过智能卡与读取设备的交互实现认证，但该方式仍然存在设备丢失或被盗后产生的身份冒用问题；ＵＳＢ?ｋｅｙ 认证是一种以ＵＳＢ 设备为载体，采用软硬件结合的认证方式，认证时需要将ＵＳＢ?ｋｅｙ 插入接口并输入ＰＩＮ 码激活ｋｅｙ 中的身份信息，利用密码算法实现安全认证是一种双因子安全认证方式，在ｋｅｙ 丢失或被盗的情况下，ＰＩＮ 码的二次校验可提高攻击者盗用身份的难度；生物特征认证是指采用指纹、声纹、虹膜等生物信息验证用户身份，但用户生物信息仍然能被攻击者模仿［１］ ，同时容易因用户意外受伤或病症导致合法用户认证受阻；跨应用通信前的应用认证也是防止三方假冒的重要安全认证方式，常见的一般采取国际通用的ＳＳＬ 协议实现通信身份互认［２］ 。

近年来，商用密码应用安全性在政务领域开始受到关注，系统中所应用的安全认证技术也需要实现一系列的更新迭代［３］ 。于光华等［４］ 提出了一种基于云平台的物联网多因子远程安全认证方法。赖韬等［５］提出了一种融合人脸特征与密码算法的安全认证系统。王振宇等［６］ 提出了一种轻量级的匿名物联网认证方案。然而，现有的文献着重研究了安全认证过程并对其进行相应的安全认证，但在具体的安全认证应用方式上有所欠缺，因此本文结合污染源自动监测系统提出了多场景的应用模式，结合实践情况解决污染源自动监测系统中的安全认证安全问题。

３ 安全认证应用

污染源自动监测系统具有跨地域广、跨应用多、参与人员设备多的特点。为实现覆盖全域的统一认证管理，集成公钥基础设施，基于ＳＭ２ 数字签名安全认证，提供一种高效且安全的认证方案。基于ＳＭ２ 数字签名的安全认证方案主要由商用密码基础设施与多维安全认证模块组成。商用密码基础设施提供证书的申请、下载、查询及吊销列表的管理操作。多维安全认证模块具有用户模块与服务模块，用户模块根据应用场景提供多维用户身份判定方式，判断通过后发送签名信息至服务模块，服务模块查询证书有效性后对用户身份与签名信息进行校验。网络通信采用商用密码ＳＳＬ 协议［７］ 通信，从而确保通信过程的真实性、完整性、机密性。

根据污染源自动监测系统的业务数据流转过程，安全认证主要在人员、设备以及跨部门的应用程序之间开展。污染源自动监测系统中人员安全认证应用在数据采集、设备运维、数据审核与发布、行为审批等应用场景，根据场景的安全需求集成特定的安全认证方式。在进行数据采集、设备运维等日常操作时，考虑到认证的安全性与易用性，为用户提供了静态口令认证、动态口令认证以及支持多种触发方式的ＳＭ２ 数字证书认证，认证方式可以自由组合。在审批、发布等关键操作环节中可采取二次签名验证，以提高关键操作安全性。另外，污染源自动监测系统包含大量的数据采集设备，在数据采集设备与数据中心处理系统数据传输前需要开展安全认证，在跨部门之间的数据传输前同样需要开展安全认证，２ 种应用场景均采取商用密码ＳＳＬ 协议中的双向安全认证。参与安全认证的人员、设备，以及跨部门的应用程序事先向商用密码基础设施申请数字证书，并将证书妥善保管，随后在身份互认阶段互换签名证书、加密证书、签名原文、签名值等信息校验对方身份。

４ 安全认证应用模式

污染源自动监测系统安全认证改造应用点数量众多，各服务提供单位和运行环境不一致，逐一设计安全认证应用改造方案成本较高。在经过调研后，根据实际情况将应用点分为２ 大类，对有应用更新团队支持的易改造应用点，结合场景提供接口与函数库实现安全认证改造；针对产品化的固态应用点，提供软件密码模块程序实现安全认证，该软件密码模块程序的运行环境根据具体环境定制设计，其输入、输出的数据结构根据对接应用的接口定制，利用商用密码基础设施提供的密码服务能力满足安全认证需求。

污染源自动监测系统由上位机与现场机构成［８］ 。其中，上位机部署在监测中心，通过传输网络与现场机通信，向监测人员提供查询、处理、展示等功能。现场机位于前端监测站点，提供监测、存储、通信传输等功能。上位机中的数据处理软件易于二次开发，因此集成商用密码基础设施提供的远程密码应用接口与定制化函数库实现安全认证，是一种便捷高效的应用模式，可以实现包含多维安全认证、数据加解密、数字签名、电子签章等在内的多种商用密码应用。现场机部署于被监测单位的监测站中，负责数据初步采集工作。现场机是一种标准化的软硬件一体产品，难以集成接口或函数库实现二次开发，其还提供参数配置功能，使用软件密码模块程序承担现场机与上位机之间的身份互认是一种可行的应用模式。

密码模块程序基于商用密码基础设施提供的真随机源、密钥管理、证书管理和协同密码运算实现密码运算，分别运行于上位机和现场机，其形态包含程序、函数库等，为通信双方提供安全认证服务。现场机与上位机的产品化软件应用修改配置即可。此外，配套的密码模块管理端提供对现场机密码模块的集中管理功能，可自动发现短暂离线、长期失联的异常，并及时通知运维人员处理，从而降低现场机运维成本。

５ 实践情况

根据上述应用模式，本文对污染源自动监测系统进行了安全认证改造，并以舟山船舶制造厂的污染源自动监测站点为试点，其中现场机的设备为工控機，其操作系统为ＣｅｎｔＯＳ ６，２ 核ＣＰＵ，２ ＧＢ 内存。上位机部署于浙江省政务云上， 操作系统为ＷｉｎｄｏｗｓＳｅｒｖｅｒ ２０１２，１６ 核ＣＰＵ，１６ ＧＢ 内存。

５．１ 人员安全认证

针对监测系统中的登录功能，原先提供的身份鉴别的安全等级不足，经过改造后，安全认证提供静态与动态口令结合的方式、ＳＭ２ 数字证书安全认证２ 种认证方式。

（１）静态与动态安全认证组合。

静态口令校验密码改造采用集成函数库的方式实现，以下将此函数库称为认证模块。认证模块实现了基于商用密码的认证逻辑，在用户注册时，系统将用户的口令输入到模块中，模块调用密码基础设施的双随机源，输出杂凑值与盐值，系统将其与用户标识符一一对应存储；在用户校验时，系统根据用户输入的标识符读取到的杂凑值、盐值和用户输入口令作为参数输入到认证模块中，经认证模块计算后输出用户认证结果。集成函数库如图１ 所示。

动态口令校验采用接口调用的方式，即将动态口令生成改为直接调用商用密码基础设施的真随机数接口，调用时携带随机数长度，从返回指定长度的真随机数后，将真随机数作为验证码交由运营商发送短信，并做短期存储以备校验。静态与动态口令在试运行３ 个月内，认证功能运行良好，共计认证１ ９４２ 次。

（２）ＳＭ２ 数字证书安全认证。

基于ＳＭ２ 的数字证书认证采用集成函数库的方式实现，其函数库内部实现逻辑参考标准，数字证书是由浙江省数字安全证书管理有限公司签发的用户证书。在应用时提供ＰＩＮ 码、ＵＳＢ?ＫＥＹ 等多种触发方式调用本地库模块与商用密码基础设施实现安全认证。该认证方式只需统一安全认证系统集成并调用库模块，库模块在认证校验后以回调软件系统接口的方式返回认证结果。

ＳＭ２ 数字证书安全认证在试运行３ 个月内，认证功能运行良好，共计认证２ ０５４ 次。

５．２ 二次安全认证

对污染源自动监测系统业务中的数据进行定期补录操作，提供二次安全认证改造，保证操作用户身份的真实性和操作行为的不可否认。数据补录的操作签名以集成函数库的方式实现，该函数库的执行逻辑基于数据补录业务逻辑深度定制。函数库主要负责实现签名过程，验证签名值等。

二次安全认证在试运行３ 个月内，认证功能运行良好，共计认证２７３ 次。

５．３ 设备认证

设备认证采取安装部署密码模块程序实现，运维人员在上位机与现场机上安装密码模块程序，模块激活后，再修改数采软件配置，密码模块将承担现场机的安全认证工作。调整原先软件的配置参数即可实现设备安全认证。

设备认证在试运行３ 个月内，试运行设备数１，认证功能运转良好，传输数据２６３ ＭＢ。

６ 结束语

本文介绍了污染源自动监测系统集成安全认证的设计与实践，由于污染源自动监测系统的特殊性，常规的安全认证改造方式并不完全适用于该业务系统，于是本文提出了一种混合应用模式，采取接口、函数库以及软件密码模块的改造模式开展安全认证应用。新的安全认证应用具有以下优点：第一，均采用商用密码算法，密码算法强度高；第二，安全认证结合污染源自动监测系统业务需求设计，在关键应用处开展二次安全认证，提高关键操作安全性；第三，成品现场机的安全认证应用模式改造成本低，并提供了集中管理与自动发现功能，降低了维护成本。

参考文献：

［１］ 周小军，王凌强，郭玉霞，等．基于生物特征识别的身份认证及相关安全问题研究［Ｊ］．工业仪表与自动化装置，２０１８（４）：１６?２０

［２］ 杨皓云，王俊峰，刘嘉勇，等．ＳＳＬ 协议隐蔽通道的研究与实现［Ｊ］．计算机工程与应用，２０２０，５６（２０）：６７?７２．

［３］ “商用密码应用安全性评估工作研讨会”顺利召开［Ｊ］．信息网络安全，２０２１，２１（２）：９４．

［４］ 于光华，夏魁良，辛明远，王诗莹．基于云平台物联网的多因子远程身份认证方法［Ｊ］．计算机应用与软件，２０２２，３９（１１）：３１０?３１６＋３４３．

［５］ 赖韬，冷青松，魏雨汐，等．融合人脸特征与密码算法的身份认证系统［Ｊ］．电讯技术，２０２２，６２（９）：１２８４?１２９１．

［６］ 王振宇，郭阳，李少青，等．面向轻量级物联网设备的高效匿名身份认证协议设计［Ｊ］．通信学报，２０２２，４３（７）：４９?６１．

［７］ 国家密码管理局． ＧＭ／ Ｔ００２４?２０１４． ＳＳＬ?ＶＰＮ 技术规范［Ｓ］．北京：中国标准出版社，２０１４．

［８］ 西安交大长天软件股份有限公司，环境保护部信息中心，中国环境监测总站．ＨＪ２１２?２０１７．污染物在线监控（监测）系统数据传输标准［ Ｓ］． 北京：中国标准出版社，２０１７．

作者简介：

叶新辉（ １９６９—）， 本科， 高级工程师， 研究方向： 环境工程。

吴哲（１９８８—），本科，工程师，研究方向：环境工程信息化和网络安全（通信作者）。