身份認證在河南水利電子政務系統中的應用

□張貴芳（河南省水利信息中心）

1.引言

河南省水利信息化經過多年的建設與發展，逐步建成了內部辦公、電子郵件、防汛信息查詢和工程管理等多套應用系統，這些應用系統在行政辦公和防汛抗旱等方面，發揮了不可替代的積極作用。隨著應用的普及與深入，應用系統牽涉的敏感數據越來越多，身份認證作為一種保護系統數據的有效手段，其作用越來越重要，近期建設的河南水利電子政務系統，靈活運用了多種身份認證技術，有效提高了系統安全性，保護了系統數據的安全。

河南省水利廳電子政務系統包括綜合辦公平臺和內網門戶、電子公文流轉、電子公文交換、電子文檔傳輸和共享、移動辦公和即時通訊等多套子系統，對系統用戶實現了統一管理和單點登錄，根據所要保護的數據的敏感程度，靈活采用了用戶名/口令和基于USBKEY的數字證書身份認證技術，既保證了系統數據的安全，又節省了投資。

河南省水利電子政務系統數據包含公開數據和非公開數據。對于公開數據我們需要做的是這些數據不被攻擊，那我們可以在硬件上設置障礙，比如入侵檢測、安全網關、VPN、防火墻等，這些措施都好比是桶壁，來保證數據不被攻擊。非公開信息，我們需要做的不僅僅防止這些數據被攻擊，而更重要的是防止這些數據不被盜取。盜取這些信息，需要找到入口進入。如何防止不被別人找到入口進入，就需要進行身份驗證。也就是說，身份認證好比是進入桶底的唯一路徑，只有它才能確認訪問者的合法性。安全有效的身份認證是保護系統安全的重要手段，身份認證是應用系統審查確認用戶身份的過程，進而決定該用戶是否擁有使用和訪問系統某種資源的權限。

2.身份認證

身份認證就是為了解決訪問者的物理身份和數字身份進行匹配的問題，防止系統用戶身份假冒，系統根據用戶的身份，確定用戶的操作權限，從而保護系統數據安全。常用的身份認證有五種：一是用戶名加密碼；二是IC卡智能認證；三是動態口令；四是生物特征；五是USBKEY認證。

用戶名/口令認證中的密碼屬于靜態的，并且在驗證過程中需要在計算機內存中和網絡中傳輸，每次驗證過程使用的驗證信息都是相同的，很容易駐留在計算機內存中的木馬程序或網絡中的監聽設備截獲被破解，這種身份認證方式只是通過符合一個條件來證明一個人的身份屬于單因子認證，所以很不安全，但是這種認證方式十分簡便，被廣為使用，目前大部分互聯網上的論壇、郵箱都是使用這種身份認證。

IC卡認證是通過在芯片中存有與用戶身份相關的數據，由合法用戶隨身攜帶，登錄時必須將IC卡插入專用的讀卡器讀取其中的信息，來驗證用戶的身份。我們最常見的就是銀行卡，它通過ATM機取錢時，使用的就是這種身份認證。IC卡硬件不可復制但是能夠保證用戶身份不會被仿冒，若IC卡丟失，需要補辦，方可使用。這種認證方式雖然相對于用戶名密碼認證來說相對安全，但是手續相對麻煩，成本較高，且每次從IC卡中讀取的數據是靜態的，通過內存掃描或網絡監聽等技術還是很容易截取到用戶的身份驗證信息。

動態口令認證是把用戶記憶的口令變成用戶所持有設備生成的且是按照一定規律不斷變化的口令，采用一次一密的方法，每個口令只能使用一次，有效地保證了用戶身份的真實可靠性。但這種方式用戶使用起來很不方便，每次登錄都要輸入沒有規律的一串密碼，而且，如果服務器與客戶端時鐘不能保持同步，就容易造成合法用戶無法正常登錄，影響系統的正常使用。

生物特征認證是指通過自動化技術利用人體的生理特征或者行為特征進行身份識別。比如指紋、虹膜、手掌、視網膜、臉、聲音、筆跡等等這些識別方式。這種認證方式不易遺忘或丟失；不易偽造或被盜；“隨身”攜帶，可以隨機使用，但卻因為這種認證需要的成本較高，終端設備也不容易攜帶，使用起來也不方便，目前只是在某些特殊領域使用。

USBKEY是一種硬件設備，可以插入USB接口，利用內置的密碼算法實現對用戶身份的認證，由于它具有安全的數據存儲空間，可以存儲用戶密鑰和數字證書等秘密數據，確保數據不被導出和復制，在其內部，可以進行各種運算，保證用戶秘密數據的安全。每一個USBKEY都有PIN碼（USBKEY的密碼）進行保護，PIN碼和硬件構成了用戶使用USBKEY的兩個必要因素，實現了軟硬件相結合，一次一密的強雙因數認證模式，能很好地解決安全性與易用性之間的矛盾。由于它是一種雙因子認證的模式，且使用方便，近年來發展的極其迅速。

3.身份認證在電子政務系統中的應用

河南水利電子政務系統采用了兩種身份認證方式：一個是用戶名加密碼的身份認證；一個是采用USBKEY技術進行用戶的身份認證。

用戶名加密碼的身份認證主要是用在綜合辦公系統方面，由于內網門戶系統中的信息是在局域網中公開的，屬于公開信息，基本上不需要什么身份驗證。綜合辦公系統、電子文檔傳輸和共享系統以及移動辦公系統里面的信息涉及到個人辦公，以及單位各部門不想對外公開的信息，我們就用用戶名加密碼的認證方式確保這部分非公開信息的安全性。

公文交換系統則比較復雜。電子公文交換系統的建設目的，就是按照統一的標準，在不同的政府部門之間進行電子公文的傳輸，并保證公文在傳遞過程中電子公文的安全性、單位與單位之間電子公文如何交換，還有不同單位之間的電子公文識別。采用XML及相關標準作為電子公文交換的核心表現，融入中心認證和數字簽名、傳輸加密等多種安全防范措施，構建安全、可靠、標準、開放的電子公文交換系統。

圖1 公文交換系統身份認證流程圖

圖2 數字證書發放流程設計圖

公文交換系統的身份認證是在公文交換服務器上配置服務器證書，建立用戶個人數字證書和用戶名之間的映射關系。認證過程采用SSL加密通道傳輸數據，但不要求驗證客戶端證書。河南省水利電子公文交換系統中的身份認證按照以下方案進行設計。該方案在用戶在瀏覽器上輸入網址，首先訪問系統的默認頁面，該頁面調用天威誠信PTA，然后列出用戶在USBKEY中所有的數字證書，讓用戶選擇證書進行登錄。PTA是個人信任代理，是一個可以應用于客戶端和服務器端的軟件包，完成對windows平臺證書操作的ActiveX空間，包括證書處理接口、加密/解密處理接口和數字簽名處理接口。當用戶點擊登錄按鈕后，PTA使用用戶選擇的證書對一段隨機數進行簽名，并以表單的方式提交到服務端進行處理。服務端對該簽名字串和隨機數進行簽名驗證，一旦驗證通過，將獲得簽名證書的X509Certificate對象。然后再調用SVM（數字簽名及驗證模塊）/CertUtils（一個類，功能是獲取證書）/CVM（證書驗證模塊）對證書進行有效性驗證，最后調用CPM（證書解析模塊）解析證書，實現證書登陸的功能。公文交換系統身份認證流程如圖1所示。

在上述身份認證方案中，CA子系統對用戶數字證書、服務器證書進行統一簽發、制作和發放。CA認證中心，又叫CA中心，負責產生、分配并管理數字證書的可信賴的第3方權威機構。個人數字證書符合X.509V3規范，將用戶的證書和私鑰存儲在USB KEY中，并為客戶端提供相應的驅動程序實現客戶端安全應用。USBKEY通過口令進行保護，用戶的數字證書、私鑰數據和USB KEY硬件進行綁定，數據一旦與此USBKEY分離，就不能通過CA服務器的驗證，從而增強了證書及私鑰的安全性。

用戶數字證書和私鑰的發放和安全管理是進行身份認證、保證用戶身份真實可靠的關鍵，該電子公文交換系統對數字證書發放流程設計圖如圖2所示。

4.結語

隨著信息化建設的不斷推進，河南省水利系統的應用系統越來越多，信息數據日益龐大，每個應用系統都分別建設各自的身份認證系統，由于這些系統互相獨立，用戶在使用每個應用系統之前都必須按照相應的系統身份進行登錄，這給用戶帶來了不少麻煩。不利于系統的推廣應用，也不能適應發展的需要。對信息資源整合，建立統一的用戶管理系統，靈活采用多種身份認證技術，結合PMI對各應用系統用戶權限進行統一管理，實現各個應用系統之間系統用戶的單點登陸，用戶只需在登錄時進行一次身份認證，就可以實現對多套相互信任的應用系統的自由訪問，而不需要進行重復的身份認證，不但節省了系統投資，加快系統開發速度，而且降低了用戶使用各應用系統的難度，有利于各應用系統的推廣應用，代表了今后身份認證技術應用的發展趨勢。