電子政務集成用戶可信度的PKI/PMI安全機制的研究

宋福英

（隴南師范高等專科學校電子商務學院，甘肅成縣　742500）

電子政務集成用戶可信度的PKI/PMI安全機制的研究

宋福英

（隴南師范高等專科學校電子商務學院，甘肅成縣742500）

據PKI來確定用戶身份的合法性，再據PMI來為用戶分配角色，這基本能滿足電子政務較高的安全需求。然而這種機制的安全性的一個重要前提是假設用戶提供的信息都是真實可信的。如何杜絕假冒用戶的非法訪問？在PKI/PMI安全機制中集成用戶可信度管理被證明是一個堅固、可靠、可管理的安全機制。

電子政務；用戶可信度；PKI/PMI

0　引 言

電子政務需要一種經授權后才能訪問政府機關網站的性能卓越、且可實施管理的安全機制。無論電子化申請/注冊，還是在線公務以及電子化政策的制定，都需要引入保密性、完整性、鑒權性和不可否認性。限制外界訪問重要信息和資源的傳統安全機制己無法滿足時下陸續增長的各類現實需求。

已有研究證明了：在電子政務外網采用帶有用戶可信度的PKI/PMI安全機制即是一個有效的技術解決方案。PKI能認證用戶的身份，PMI能證明用戶的權限，將PMI的屬性證書（AC）與公鑰證書（PKC）捆綁在一起，這樣既可以認證用戶身份，又可以分配具體的權限，實現認證與授權的分離［1］。

1　新安全機制拓撲結構

1.1拓撲結構

訪問控制是OSI網絡安全體系結構的一類安全服務［2］，其目的是對訪問行為進行合法性判斷，并允許或禁止這種訪問行為的發生。然而這種安全性的一個重要前提是假設用戶聲稱的身份是真實的，即用戶身份的表示與用戶本人是一致的。而目前確定用戶身份最常見的方法是采用基于用戶名及密碼的身份認證機制。在訪問控制應用中，尤其是在分布式系統中，這種方式存在的安全問題是：某個用戶的身份信息被他人非法獲取并篡改，冒充主體非法進入系統，從而使訪問控制模型失去安全防護作用，帶來極大安全隱患。針對這個問題，目前的解決辦法是采用審計或入侵檢測的方法［3］。但這只是一種事后檢測，冒充用戶對客體的操作已經發生，由其造成的損失在很多情況下是難于彌補的。而實時入侵檢測技術則往往會誤報或漏報非法用戶的入侵。

本文提出的帶有用戶可信度的PKI/PMI安全機制由一次性口令管理，身份認證、訪問控制模型、可信度計算、可信度控制及重新認證等模塊組成。具體地，設計實現基本原理如圖1所示。

圖1　帶有用戶可信度的集成PKI與PMI的安全機制Fig.1 PKI/PMI security mechanism integrated user credibility

為方便后續描述，約定：S表示主體，O表示客體。并作如下的定義：

訪問會話（Access Session）中，S得到訪問控制模塊許可之后，進入O所在的應用模塊到S退出這個模塊為止，此過程的邏輯映像稱為一次訪問會話。

針對傳統防火墻技術對內部威脅防范能力不足的問題，該機制對內部用戶實施可信度評估，通過對用戶的網上行為進行學習并建立習慣模式，對用戶請求實現了習慣行為模式匹配，據此來判斷用戶當前行為的異常程度，如果發現行為異常，則對該行為追加安全策略過濾；如果屬于禁止行為，則需要：

1）修訂用戶習慣行為文檔。

2）學習構造新的用戶行為模式：修改可信度表，降低用戶可信度，根據可信度級別做出處理。該方法能夠對來自網絡內部的行為執行有效的監控，預防可能出現的安全威脅。

1.2實現思路

該安全機制將PKI身份認證與PMI訪問控制這2種安全服務有效地結合起來。通過建立主體的可信度計算方法，實時檢測主體的可信度變化，當其下降到某個設定值后，采用一次性口令［4］方法對主體的身份進行重新認證。同時，在一次性口令實現中結合了基于公開密鑰的密碼序列處理，因此，能否通過一次性口令認證就反映了用戶身份的可信度。身份認證是保證用戶身份合法性及唯一性的方法，而訪問控制的有效性也需要建立在合法主體的基礎之上。有效地將兩者結合起來，發揮各自的優勢，能提高整個系統的安全性與靈活性。

2　系統模塊

本系統設計原則是：標準化、易配置、易管理、易擴展。系統中的PKI和PMI初始化為：上級對下級的管理主要體現在上級CA、AA簽發下級CA、AA的PKC和AC，并對下級證書負責。

2.1PKI/PMI模塊

本模塊的特點：

1）采用PKI/PMI雙證書體系結構，由PKI和PMI分別通過PKC和AC完成身份鑒別和權限管理的服務功能。但兩者并非對等關系，PMI的授權服務是建立在PKI提供的身份認證服務基礎之上的。

2）對AC采用“Pull”模式。這樣可沿用已有的通信協議，使系統的靈活性更大，同時避免了當用戶的PKC驗證都未通過，卻上傳了2張證書的錯誤，減少了用戶與代理驗證服務器之間不必要的通信開銷，加快了系統的執行效率。

3）2個系統在底層進行了一定程度的融合，雖然簽發AC的人與頒發PKC的可以毫無關聯，但如果這樣，代理驗證服務器就需要驗證2條獨立的證書路徑：PKC路徑和AC路徑。本方案使用同一個CA對屬性權威AA及其特權持有者頒發證書，無疑可以提高證書路徑的驗證效率。

2.2用戶可信度控制模塊

2.2.1可信度計算

主體可信度是這個安全機制的核心，可以通過如下幾種途徑獲得：

1）根據主體在進行身份認證時所獲得的信息來計算，包括主體通過認證的時間、主體的認證位置、主體所在的客戶機信息等。

2）根據主體在訪問客體時所表現出來的屬性計算，如在某個客體上的停留時間、在客體上的資料輸入方式等。

3）通過預測主體訪問客體的序列來計算預測主體下一步訪問中選擇某個客體的可能性，這可以作為主體可信度計算的參考值。

2.2.2基于可信度的控制

根據主體不同的可信度值，對其行為進行適當的控制，盡量減少錯誤判斷，同時又能拒絕冒充用戶訪問。該機制采用重新認證的方法解決這個問題。為了避免重新認證時，采用與首次身份認證所使用的密碼一樣，增加認證的可信度，這里使用一次性口令認證方法，其優點是關于竊聽者對主機上密碼文件的竊取具有很好的抵抗能力，因為密碼只在一段時間內有效，而且即使獲得了當前的密碼，也不可能知道下一次的密碼［5］。

一次性口令認證的兩個關鍵參數是：初始口令（某一個秘密串R）和所要生成的一次性口令個數N。通常情況下，這2個參數是由客戶端提出的。本文中，R可取主體在身份認證時設置的密碼，N則由主機隨機生成。一次性口令的生成及反饋算法描述如圖2所示。

圖2　基于可信度的控制算法Fig.2 Control algorithm based on user credibility

3　功能定義

3.1機制功能設計

1）PKI保證了身份的真實性。

2）PMI保證了權限控制的正確性。

3）用戶可信度控制保證了拒絕冒充用戶的訪問。

3.2各模塊功能描述

1）身份認證。采用基于用戶名及密碼的身份認證方式，允許或禁止用戶進入應用系統。向訪問控制模塊提供一個經過認證的、且代表用戶身份的用戶名，同時為可信度計算模塊提供計算可信度所必要的信息，如認證時間、認證地點以及運行環境等。

2）訪問控制。對主體的訪問請求進行判斷，得到是否允許訪問的結論。同時為可信度計算模塊提供在每個訪問行為前提下，對主體可信度計算的信息，如主體請求、訪問會話中的環境信息等。

3）可信度計算。對身份認證及訪問控制模塊提供的信息，實時計算主體的可信度，計算結果是動態的，隨著所得到的信息而變化。可信度是一個位于［-1，1］區間上的值，-1表示主體絕對不可信，1表示主體絕對可信。

4）可信度控制。根據主體當前的可信度及訪問控制模塊的判斷結果，決定主體的訪問請求是否繼續，是否要求對主體進行重新認證。

5）重新認證。按照一次性口令的認證方式，通知訪問控制模塊對主體進行重新認證。

6）一次性口令管理。生成當前訪問會話的一次性口令，加密并發送給客戶端。

3.3安全機制的創新

3.3.1身份認證與訪問控制的集成

1）接受并驗證用戶對PKC的請求，處理該請求，為用戶簽發PKC。

2）接受并驗證用戶對AC的請求，處理該請求，為用戶簽發AC。

3）實現對PKC整個生命周期包括撤銷、查詢、更新、存檔等操作的管理。

4）實現對AC整個生命周期包括撤銷、查詢、更新、存檔等操作的管理。

5）PKI與PMI的有機結合。

3.3.2基于可信度的控制

1）對用戶提供的相關信息進行采集和處理。

2）根據1）得出的可信度實現對用戶訪問的控制。

4　機制的安全性分析

該安全機制中，當主體的可信度下降到某個閾值之后，采用一次性口令認證方法進行重新認證，這能有效提高訪問控制對假冒用戶訪問的監測及控制能力，保證在用戶身份不確定情況下的安全性仍然具有較高的訪問控制能力。

該安全機制嚴格規定非信任網絡與可信任網絡的連接必須采用安全連接協議，廣泛使用了雙向認證的HTTP（SSL）協議。在客戶端與內網服務提供者之間建立無連接安全綁定。由于外代理沒有安全綁定中的必要信息，在外代理被攻擊者占領的極端惡劣的情況下，也無法與內網進行有效的通訊。因此，該模型能夠很好地保證密級不同的網絡之間的安全交互。特別適用于政務、公安等保密要求較高的單位，能夠為多種結構（C/S、B/S和Socket）同時提供安全控制服務。

5　結束語

電子政務因其較高的安全需求和內外網密級不同的特性，傳統的限制外界訪問的安全機制己無法滿足。帶有用戶可信度的PKI/PMI安全機制是一種經授權后才能訪問政府機關網站的堅固、可靠、可管理的安全機制。可最大限度杜絕假冒用戶對政務網的攻擊。

［1］宋福英.電子政務系統若干安全問題的研究［D］.蘭州：西北師范大學，2007.

［2］中國信息安全產品測評認證中心編著.信息安全理論與技術［M］.北京：人民郵電出版社，2013.

［3］鐘誠，趙躍華.信息安全概論［M］.武漢：武漢理工大學出版社，2009.

［4］邵力軍，張景，魏長華.人工智能基礎［M］.北京：科學出版社，2011.

［5］曹劍平，郭東輝.一種基于可信度計算的集成身份認證與訪問控制的安全機制［J］.計算機工程，2005，31（24）：30-32.

Research on PKI/PMI security mechanism integrated user credibility in E-government

SONG Fuying
（Department of Electronic Commerce，Longnan Teachers College，Chengxian Gansu 742500，China）

For the high level demand of security network，using PKI to determine the legitimacy of the user identity，according to the PMI to assign roles to user，however，an important preconditions for this kind of security is the assumption that the information provided by the user is true.How to prevent illegal access of fake user？Integrated user trust degree management in the PKI/PMI security mechanism has been proved to be a solid，reliable，manageable security system.

E-government；user trust degree；PKI/PMI

TP393

A

2095-2163（2016）03-0081-03

2016-05-09

宋福英（1975-），女，碩士，講師，主要研究方向：信息安全、計算機應用技術。