自主可控的網絡空間云認證服務的建設思路和實踐

李曉林 廖黎敏

(北京唐密科技發展有限公司 北京 100084)(lixl@tanghuantech.com)

?

自主可控的網絡空間云認證服務的建設思路和實踐

李曉林 廖黎敏

(北京唐密科技發展有限公司 北京 100084)(lixl@tanghuantech.com)

身份認證是確保網絡空間架構整體安全的第1道門檻，隨著我國互聯網，尤其是移動互聯網等新型應用形態的快速普及，相應的網絡認證技術需求及應用研發也呈現出旺盛的多元化發展勢頭，移動化、服務化、多技術融合的、自適應的認證技術和服務模式是身份認證領域發展的新方向.通過具體案例的研究和分析，介紹了基于我國安全自主可控的認證技術的云認證服務的架構、服務模式、應用特點等，為互聯網+行業的認證平臺建設和應用提供可借鑒的基礎.網絡身份認證是網絡空間安全的基石，必須大力支持和發展具有自主知識產權的網絡空間身份認證技術，并借助互聯網+戰略促進在各行業的應用.

身份認證；認證服務；服務模式；動態口令

1 網絡空間認證技術研究現狀

1.1 網絡認證應用需求多元化

網絡空間認證是確保網絡空間架構整體安全的第1道門檻.一旦網絡身份被冒用或盜用，一切網絡安全技術和手段都是形同虛設.近年來，隨著我國互聯網技術迅速發展，尤其是移動互聯網的快速普及，相應的網絡認證技術需求及應用研發也呈現出旺盛的多元化發展勢頭，如移動數字證書、動態口令、短信驗證、指紋識別、人臉識別、視網膜識別、血液驗證等.

一方面，市場對新型的方便、快捷、安全、兼容性強的認證技術的需求非常大.比如，移動互聯網服務、移動互聯網金融等新型業務形態，要求認證技術同時滿足方便、快捷、安全的要求，而一次一變的動態口令的技術就是一個很好的選擇之一.

另一方面，認證技術也在向多技術融合的方向發展.認證不僅僅是一種技術的認證，往往是多渠道、多維度、多技術的聯合認證，比如常用的短信驗證碼與數字證書；生物特征與動態口令的結合.同時，認證不僅僅是針對主體身份的認證，也包括對網絡、內容、服務、設備等的可信認證，尤其是云計算、物聯網等新型應用模式的興起，主客體的實時接入、動態部署、在線移植、虛擬透明化等特征[1]，大幅度擴展了認證技術的應用深度和廣度.

1.2 網絡認證技術體系單一

目前，我國的網絡安全體系建設是在美國CA公司研發的數字證書的基礎上建立起來的，后來的PKI(public key infrastructure)技術體系[2]、IBC(identity-based cryptograph)技術體系、CPK(combined public key)技術體系[3]都是基于挑戰應答技術的基礎實現的.任何一項安全技術的應用都有其局限性，不同的場景不同的使用條件下某項技術使用是安全的.一個國家的安全保密技術體系建立在一項技術的基礎上是不科學的.

比如，我國目前網上銀行采用的認證技術和簽名技術都是美國公司專利技術，包括網上銀行用的U盾和動態口令令牌，U盾采用的是美國CA公司的PKI技術(U盤預裝數字認證證書，采用挑戰應答技術)，動態口令采用的是美國RSA公司的Securid技術(令牌1 min顯示1個密碼)，屬于單向認證技術.現有動態口令技術無法克服“盜號木馬”、“釣魚網站”、“網頁掛馬”、“重放攻擊”、“中間人攻擊”、“網頁劫持”、“更改時間戳”等攻擊方式，所以不適合在金融、電信、電商、政府、軍隊、軍工等高安全強度的單位使用和運營服務.

針對我國目前的技術現狀，應該提倡身份鑒別技術多元化，特別是安全技術越是新技術越能起到安全作用.在提出構建自主可控網絡空間同時兼容目前的國際互聯網(也是美國互聯網)是我們面對的課題.自主可控技術和產品不是模仿、仿造和貼牌，而是擁有原創性發明核心關鍵技術作為支撐的技術和產品才配叫自主可控.

1.3 身份認證技術研究和應用

身份認證技術的研究和應用的發展大致經歷了4個階段(如圖1所示)：靜態密碼技術；數字證書和時間型動態口令技術；生物特征識別和事件動態口令；生物特征與動態口令融合的雙因素認證.每類認證技術的出現與應用都與特定的應用場景需求相聯系，隨著服務對象的多樣性和差異化特征越來越明顯，多種身份認證技術相互融合，取長補短，提供用戶可自選擇的安全性、便捷性相平衡的解決方案是未來的發展趨勢.

OMAT(one-time mutual Authentication technology), PIN(personal identification number), OTP(one-time password)圖1 認證技術發展歷程示例

下面專門分析數字證書、動態口令、生物特征(指紋和靜脈)3類身份認證技術的特點.

1) 數字證書.采用非對稱密鑰體系，一般情況下難于破解，總體安全性高，但是證書本身采用靜態密碼保護以及聯機使用的特點，導致容易被盜取使用.

2) 動態口令.采用對稱密碼體系，運算復雜度低，適用各種場景，有效平衡了安全性和便捷性的雙向需求.

3) 生物特征.不同的生物特征識別在安全性和便捷性上差異都比較大，同時只能適合特定的場景.比如指紋使用方便，但是易被克膜；靜脈識別安全性高，但是只能適用于公共場景，個人用戶往往使用成本高，不便捷.

我們將幾類常見的身份認證技術的主要特征進行對比,如表1所示：

表1 常見身份認證技術特征對比

1.4 事件同步的動態口令雙向技術

OMAT是一種具有自主知識產權的基于事件同步的動態口令雙向身份認證專利技術(專利授權號：200710195695.3[4])，利用高強度加密算法、應用事件激發和同步機制，實現用戶端和服務器端的雙向身份認證.該技術能夠防止現有的各種攻擊手段，并且能夠兼容現有的基于靜態口令認證的各種網絡應用系統，具有系統升級改造成本低、所需時間短、用戶使用習慣不需改變等優點.

基于事件的動態口令雙向身份認證技術，原理如圖2所示.在系統設置的初始時刻，每一個系統用戶都與認證服務器設置了共享密鑰Ku和一個相同的狀態計數器值Nu(起同步作用，也可稱為同步計數器值).動態口令Pn加密函數在輸入為密鑰Ku和狀態計數器值Nu為n時的函數輸出值.即Pn=E(Ku,n)，其中：E()為函數.

圖2 動態口令原理

采用認證服務器和客戶端的雙向認證技術，雙向認證的流程如圖3所示，分為3步：

1) 用戶提交帳號和靜態口令給認證服務器進行第1次身份認證；

2) 靜態口令認證通過后將同步計數器值加1，服務器將生成的動態口令傳送到用戶端，供用戶對服務器的身份進行認證；

圖4 OMAT動態口令認證過程

3) 用戶核對服務器顯示的動態口令是否與自己令牌產生的動態口令相同，相同則認證通過，向服務器提交下一次的動態口令進行身份認證.

圖3 OMAT動態口令認證原理

為了防御并發多個認證請求連接之類的攻擊方法，認證服務器需要在靜態口令認證成功后記錄本次連接用戶的IP地址.后續的動態口令認證中還要驗證這2次連接的IP地址是否相同，確保用戶與認證系統連接的唯一性.認證流程如圖4所示.

通過研究可以發現，現有系統的身份認證是服務器對用戶的單向認證，用戶沒有安全易行的方式來對服務器的真假進行鑒別，因此才造成“網絡釣魚”和各式各樣木馬病毒攻擊的泛濫，木馬病毒盜號技術模式如圖5所示.只有采用客戶端與服務器端的雙向認證，才能徹底防止“網絡釣魚”這樣的攻擊手段.

圖5 木馬病毒盜號技術模式

基于事件同步的動態口令雙向認證技術防止木馬病毒盜號的技術流程如圖6所示.

圖6 防止木馬病毒盜號的技術流程

基于事件同步的動態口令雙向認證技術防止釣魚網站攻擊的技術流程如圖7所示.

圖7 防止釣魚網站攻擊的技術流程

1.5 認證服務模式研究現狀

云認證是當前一個時髦話題.云認證服務平臺是借助互聯網、云計算服務模式，將認證技術和產品以服務的形態，向企業、公眾用戶提供的第三方認證服務平臺.云認證服務模式是互聯網+需求發展和應用在身份認證領域的具體體現，是促進 “大眾創業、萬眾創新”在身份認證領域的具體承載平臺之一.

當前各個行業如金融機構，它們的安全服務獨立建設和運營，導致規范和標準不統一、重復投資.而隨著安全需求越高越復雜，走獨自建設的老路明顯專業人才不足、公共資源浪費.建立統一的、專業化的、高水平的第三方運營服務機構，有利于提高安全服務質量和水平，降低金融業的服務成本.

云認證服務有利于解決當前普遍存在的“系統孤島”、“用戶孤島”問題[1]，促進用戶信息以用戶為中心的聚合，而不是綁定到特定的服務商平臺，從而有利于各領域面向專業信息的大數據平臺的建設和分析利用.

在互聯網這種開放的、不設防的、復雜的信息交互環境中，除了保障用戶賬戶信息和網上交易安全之外，如何有效界定網上銀行出現安全案件中的責任，是各家網絡服務商(如網上銀行)、相關監管機構以及認證服務機構需要面對并妥善解決的問題.云認證作為第三方認證機構，為信息交互雙方承擔了網上信息安全的部分責任，對交易雙方都起到規避風險的作用.例如在出現網銀交易糾紛時，云認證服務平臺可以為當事人雙方提供相應的具有法律效力的第三方數據保全和司法舉證[5].

2 云認證服務平臺方案和應用

基于移動互聯網的動態口令云認證服務平臺(以下簡稱云認證平臺)是北京市中小企業發展專項資金支持的產業化項目，編號BA-108017-2013-0002.項目第1期總投入3000多萬元，已經建立區域性云認證試點中心.

項目的總體目標是由北京唐密科技發展有限公司牽頭，聯合清華大學、中國科學院等科研院所和企業，根據我國互聯網、移動互聯網發展規劃綱要和需求，面向全國范圍，采用統一規劃、分層建設、集中管控的策略，利用自主可控的身份認證和云計算技術，建設和運營統一的云認證安全服務平臺，為各級政府部門、企事業單位提供安全、便捷、高效的多因素相結合的電子認證服務，實現用戶訪問本地和遠程網絡服務滿足“五通”(一本通、一帳通、一令通、一章通、一證通)的一站式服務體驗[6]，整體提升我國互聯網服務的安全性.

2.1 軟件架構

云認證平臺具體實施時可以采用我國完全自主知識產權的動態口令OMAT技術和生物特征識別技術，為互聯網環境提供安全、便捷、高效的雙因素電子認證服務.

該平臺完全采用云計算架構，軟件總體架構分3個層次，包括客戶端、基礎服務系統、云數據管理平臺[7-8]，如圖8所示.

圖8 軟件架構

云數據管理平臺是確保認證平臺能在線擴展，支持十億級用戶、千萬級至億級并發訪問通量的關鍵部件.

云數據管理平臺是將地理上分布的各類數據源，通過封裝器(wrapper)封裝后安全接入到云數據管理平臺，在不移動數據源的物理位置的前提下，形成一個整合的、虛擬化、統一數據視圖的單一虛擬云數據庫，其具有動態一致、實時訪問、自主控制、單一系統映像等特點.用戶或應用程序可以通過標準的SQL語言訪問虛擬數據庫，獲得數據源的聚合查詢結果.云數據庫的優點體現在以下方面：

1) 通過虛擬化技術實現物理數據源虛擬池化的分區管理.可以確保應用邏輯是直接基于邏輯數據源訪問，避免應用程序與具體部署的物理資源和訪問協議綁定在一起.通過映射的機制解決邏輯到物理的映射關系，從而確保應用的無縫移植性.

圖9 云認證平臺運營架構

2) 處理能力高擴展性.基于虛擬化的分區管理，原則上底層物理數據源在空間擴展(增加數據源、變更數據源、整合數據源)和在時間擴展(增加、變更部署硬件和基礎環境軟件結構)方面，均對上層應用邏輯不產生任何影響.

3) 平臺為應用邏輯提供統一、簡單的垂直訪問關系.通過對大規模數據源的虛擬化操作可以抽出共性部件和功能，隱藏底層數據源的分布、異構等細節問題，在邏輯層面的高度上達成一致.

4) 云數據平臺積累大數據管理和分析.云數據平臺可以統一管理和服務各種應用系統的數據資源，形成全業務、全過程的大數據服務平臺，借助數據業務挖掘分析，開發潛在服務及服務模式.

圖10 部署結構

2.2 運營架構

云認證平臺主體思想是將安全技術服務化，為互聯網環境提供基本的安全認證服務，如數字證書服務、動態口令服務、電子簽章服務、云數據加密服務、數據保全服務、用戶信用服務等安全服務，平臺運營架構如圖9所示.

2.3 部署結構

部署結構采用2級中心結構，如圖10所示.在1級中心建立集中的雙活的云認證數據中心，省級(區域)網絡建設獨立的分中心服務，省級(區域)數據定時同步到中央雙活數據中心.

2.4 應用模式

云認證平臺作為一個云服務產品，適用于各級政府部門以及網上金融、網絡游戲、電子商務、電子政務、移動支付等相關行業企業的電子認證需要.

用戶借助于云認證服務平臺，可以實現訪問本地和遠程服務時的“五通”滿足一站式服務的體驗，如圖11所示.

圖11 云認證服務“五通”使用模式

2.5 技術特點

1) 架構優勢

云平臺化的優勢：非解決方案云平臺，可復制、可推廣性強，單位云成本低.

國內的常見云平臺主要是通過利用各種硬件系統或(開源社區或商用軟件)組件產品搭建起來的，屬于解決方案型云平臺(也稱為拼裝式集成云平臺).這種云平臺的特點(如圖12所示)是：適合特定應用場景，可復制性和可推廣性較低，單位云成本較高，只在一定的頻譜范圍內，具有線性擴展性，只有達到一定程度的用戶規模后，單位成本才可能降下來.

圖12 云認證服務平臺單位成本發展對比趨勢

云認證平臺中的云數據管理平臺，具備線性擴展能力，通俗地說，從“麻雀”系統(單機)到“大象”平臺(云平臺)都能無縫地支持.在前期用戶規模比較小時，單位成本仍然較低，同時比較適合更多的應用場景，如公有云、私有云、混合云等.

通過基于云計算的數據庫虛擬化管理和訪問技術，可以很方便地實現云認證系統與傳統的其他應用系統之間異構數據對接和同步一致訪問.系統兼容各種主流的軟硬件平臺(包括國產自主的操作系統和數據庫平臺)，通過靈活的橫向擴展支持大規模用戶的身份認證.另外，在應用模式上支持與傳統的企業級應用、網格計算、云計算、物聯網等多種方式的集成和對接，提供硬件令牌、軟件令牌、手機令牌等多種客戶端認證產品.

總體上，云認證平臺具有安全性增強、對用戶體驗一致、兼容現有認證系統、附加成本低等特點.

2) 采用我國完全自主可控的身份認證技術

OMAT一次性雙向認證技術，是面向互聯網、移動互聯網的身份認證技術，是具有我國完全自主知識產權(專利號：ZL200710195695.3)的最新動態口令技術.

目前我國采用的認證技術和簽名技術大多是美國公司專利技術，包括網上銀行用的U盾和動態口令令牌，U盾采用的是美國CA公司的PKI技術(U盤預裝數字認證證書，采用挑戰應答技術)，動態口令采用的是美國RSA公司的Securid技術(令牌1min顯示1個密碼)，屬于單向認證技術.現有動態口令技術無法克服“盜號木馬”、“釣魚網站”、“網頁掛馬”、“重放攻擊”、“中間人攻擊”、“網頁劫持”、“更改時間戳”等攻擊方式，所以不適合在政府、金融、電信、電商等需要高安全強度的單位使用和運營服務.

針對我國目前的技術現狀，應該建設多元化身份鑒別技術服務平臺，特別是安全技術越是新技術越能起到安全作用.自主可控技術和產品不是模仿、仿造和貼牌，而是擁有原創性發明核心關鍵技術作為支撐的技術和產品才配叫自主可控.

3) 可以避免重放攻擊、瀏覽器劫持等中間攻擊、木馬盜號等安全風險

OMAT技術基于事件同步產生一次一變的動態口令，實現客戶端和服務端的雙向身份認證，技術原理和實現機制完全可以避免重放攻擊、瀏覽器劫持等中間攻擊、木馬盜號等安全風險，彌補了以數字證書為代表的第1代身份認證技術和以時間同步動態口令為代表的第2代身份認證技術的不足與漏洞.

傳統的靜態口令安全性低，不能適應網絡發展需要；而基于時間的動態口令技術由于存在時間窗口重放威脅、時鐘失調引起的用戶同步導致的系統癱瘓等問題，很難大規模部署應用.特別強調的是，目前國內其他動態口令技術本質上均是模仿美國RSA公司的基于時間同步的動態口令身份認證技術，一方面面臨“自主可控”的問題，另一方面，隨著計算能力的提高，RSA核心算法不斷面臨被破解的風險.

4) 打破了網絡認證技術體系單一的僵局

目前，我國的網絡安全體系建設是在美國CA公司研發的數字證書的基礎上建立起來的，后來的PKI技術體系、IBC技術體系、CPK技術體系都是基于挑戰應答技術的基礎實現的.特別是任何一項安全技術都有其應用的局限性，國家安全保密技術體系的建立離不開完備的網絡安全技術.身份鑒別技術特別作為網絡安全的技術基礎和信息安全的基石技術[9],是國家網絡安全的命脈.更需要采用我國自主研發、自主可控的身份認證技術.

目前移動電子政務發展迅速，我國自主研發的OMAT技術打破了只能依賴數字證書才能進行交易驗簽的限制，從而使得移動互聯網等便捷支付渠道同時具有交易驗簽能力.

5) 具有良好的兼容性與多樣性

現有電子身份認證形式多樣，接口多樣，包括靜態密碼、動態密碼、短信驗證碼、數字證書等，動態口令技術不是替換現有認證技術，而是對現有技術的補充和完善，具有良好的兼容性.

① 完全兼容我國自主商用密碼算法系列；

② 動態口令服務技術與現有系統業務具有良好的獨立性和兼容性，不需要對現有業務體系和流程進行大改；

③ 系統提供多種產品形式的令牌，包括硬件令牌、軟件令牌、指紋令牌、USBKey令牌、手機令牌等，使用方便快捷.

2.6 應用優勢

1) 滿足新型應用形態對認證需求的多元化、安全性和便捷性

一方面，市場對新型的方便、快捷、安全、兼容性強的認證技術的需求非常廣泛.比如，移動電子政務網服務、移動互聯網金融等新型業務形態，要求認證技術同時滿足方便、快捷、安全的要求.傳統的數字證書，由于其聯機應用、算法復雜等特點，很不適合移動互聯網這種要求脫機、快捷服務、動態服務整合的計算平臺，相反，一次一變的OMAT動態口令的技術針對移動互聯網就是一個好的選擇.

另一方面，認證技術也在向多技術融合的方向發展.認證不僅僅是一種技術的認證，往往是多渠道、多維度、多技術的聯合認證，比如常用的靜態口令和短信驗證碼、數字證書和動態口令及生物鑒別和動態口令的結合.

2) 滿足無縫支持移動互聯網等新型服務模式

當前電子政務、金融業等普遍使用的數字證書(PKI)體系是聯機接觸式認證技術，不適用于移動互聯網、線下金融等新型快捷金融服務平臺.而動態口令技術不僅完全適用傳統互聯網，更特別適用于基于移動互聯網以智能手機為計算平臺的非接觸式在線支付，實現簡單、成本低、易用，應用前景廣泛.

① 動態口令這種脫機便捷使用方式，易于與各種芯片和設備集成，能有效服務于各種特殊的傳統互聯網無法有效服務的場所和人群.如與SIM卡、SE(安全單元)集成，使得智能手機內置口令牌，方便偏遠地區知識層次較低人群使用.

② 與射頻芯片集成，整合信息流、資金流、物流整條鏈的身份認證.

3) 動態口令技術是必然發展趨勢，具有廣闊市場需求和應用前景

信息技術、網絡技術、通信技術的快速發展，云計算、大數據、物聯網等新型資源共享服務模式的出現，正快速促進信息流、資金流、物流跨區域、跨行業、跨系統的無縫整合，借助移動互聯網，以手機等移動智能終端為載體的計算平臺將為用戶帶來全新的一站式計算體驗.這種貫通多環節的“智慧系統”的發展促進未來主要由人為造成的安全因素變為系統對系統造成安全風險的變革，需要在各環節對接時的智能化和安全性之間把握最佳平衡，提供用戶自主交互控制能力.一次完整信息流程中通過動態綁定的各個環節，由于其不可預知性、實時性、一次性等特征自然需要動態口令認證技術.

從應用效率的角度來看，由于動態口令認證技術一般采用對稱加密算法或散列函數，算法的復雜性要大大低于非對稱加密算法，比基于PKI體系的數字證書驗證簽名的效率高幾百倍甚至上千倍.因此，動態口令技術更適合應用于大規模用戶的統一身份認證和大規模數據應用環境.

3 總 結

本文首先分析了互聯網+時代的應用背景和需求，針對我國網絡空間安全面臨的挑戰，提出了構建自主可控的網絡空間安全架構和建設思路.其中，網絡空間認證是確保網絡空間架構整體安全的第1道門檻，通過分析網絡身份認證技術的需求、研究和應用現狀、服務模式等，提出了具有我國完全自主知識產權的身份認證技術和云服務平臺的建設方案及應用實踐，為互聯網+行業的認證平臺建設和應用提供可借鑒的基礎.網絡身份認證是網絡空間安全的基石，必須大力支持和發展具有自主知識產權的網絡空間身份認證技術，并借助互聯網+戰略促進在各行業的應用.

[1]徐志偉, 李國杰. 普惠計算之十二要點[J]. 集成技術, 2012, 1(1): 20-25

[2]關振勝.公鑰基礎設施PKI與認證機構CA[M].北京:電子工業出版社,2002

[3]南湘浩,陳鐘.網絡安全技術概要[M].北京:國防工業出版社,2003

[4]李春林.基于多變量的動態密碼口令雙向認證的身份識別方法技術:中國,ZL200710195695.3[P].2009-06-26

[5]TheWhiteHouse.NationalStrategyforTrustedIdentitiesInCyberspace,EnhancingOnlineChoice,Efficiency,Security,andPrivacy[S].Washington:TheWhiteHouse,2011

[6]楊寧,李曉林.K∕G:一種網格的使用模式體系結構及應用[J].計算機研究與發展,2003,40(12):17201724

[7]李曉林.一種松耦合的信息網格體系結構及全生命周期評價[D].北京:中國科學院計算技術研究所,2005

[8]LiXiaolin,XuZhiwei,LiuXingwu.Community-basedmodelandaccesscontrolforinformationgrid[C]∕∕ProcofIEEE∕WICIntConfonWebIntelligence.Piscataway,NJ:IEEE,2003

[9]張世永.網絡安全原理與應用[M].5版.北京:科學出版社,2003:134141

李曉林

博士，主要從事大數據平臺研制及應用、物聯網數據加密與傳輸技術、身份認證技術及服務、系統集成等信息安全相關產品和服務的研制及推廣.

lixl@tanghuantech.com

廖黎敏

學士，主要從事產品管理模式研究、互聯網+、身份認證技術及服務等信息安全相關產品的設計管理及推廣.

liaolimin@tanghuantech.com

Building Method and Implementation of Cloud Authentication Servic in the Autonomous Controllable Network Space

Li Xiaolin and Liao Limin

(BeijingTangmiTechnologyDevelopmentCo.,Ltd.,Beijing100084)

Identity authentication is the first threshold to ensure the overall safety of network architecture space. With the rapid popularity of the Internet, especially the rapid popularity of mobile Internet and other new application forms, technical requirements for network authentication and corresponding application research and development shows a strong diversity of development momentum. Mobile Platform-based, service-oriented, technology integrated and adaptive authentication technology and service model are the new direction of research and development in the field of identity authentication. Through specific case studies and analysis, this paper introduces the architecture, service mode, and application characteristics of the cloud platform based on the independently controllable authentication technology. The case provides referential basis for the construction and application of authentication platform of Internet plus industry. Network identity authentication is the foundation of the network space safety. It is necessary to vigorously support and develop network space identity authentication technology with independent intellectual property rights, and promote its application in various industries with the help of Internet plus strategy.

identity authentication; authentication service; service mode; dynamic password

2015-07-15

北京市中小企業發展專項資金(BA-108017-2013-0002)

TP309