基于電網業務的可信身份認證關鍵技術研究

尚守衛 陳佳 楊軍 范葉平

摘 要：本課題將結合電網核心業務的需求，深入研究基于生物特征識別的認證技術，探索顯式認證因子與隱式認證因子相結合的多因子認證技術，建立不同認證因子組合的安全模型。結合電網核心業務，探索多維度身份認證融合識別技術的研究，根據業務安全等級實現不同認證因子的策略組合。設計基于多因子的身份認證系統協議，實現基于大數據和行為分析的多級可信、多因子身份鑒別系統原型的研發。

關鍵詞：電網業務；身份認證；生物識別

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1671-2064（2018）20-0031-03

歐洲是最早啟動網絡身份認證的國家，早在1998年，歐盟就啟動了第五次技術發展和示范研究框架計劃（FP5），該框架圍繞電子政務、個人隱私保護等議題開展了網絡身份管理研究。此后，歐盟開始推動從認證模式制定到建立通用eID（Electronic Identity）框架到統一國家eID到歐盟承認國家eID到推動聯合eID管理的整個過程。截至目前，歐盟27個成員國已經全部制訂了有關網絡身份認證的規劃，并已有17個國家在本國內搭建了eID框架，但是泛歐洲的身份認證體系仍沒有建立。

美國的商業PKI基礎設施建設已經比較完善，并有相應的verisign等認證機構。較著名的認證機構有Verisign、Geotrust、Thawte、Globalsign、Comodo、Entrust、Equifax等。這些認證機構具有權威的身份鑒證流程、規范運營管理程序，以及良好的責任擔保和賠付保障制度，并且多數已經通過Webtrust審計，服務范圍涉及多個國家和地區。政府基礎設施也比較完善，有聯邦PKI等。2014年，Facebook提出了DeepFace[1]，利用卷積神經網絡和大規模人臉圖像進行人臉識別，在LFW上獲得了97.3%的精度，性能與人工識別不相上下。劉冀、王向軍等人采用虹膜圖像來進行虹膜識別[2]，谷歌2017年推出了BEGAN模型用于人臉數據集[3]。自動指紋識別系統（APIS）的發展，比較著名的有FBI系統、De La Rue Printrac系統、NEC系統、Morpho系統、Logica系統、Cogent系統等。2012年6月，谷歌首席架構師Jeff Dean和斯坦福大學教授Andrew Ng主導著名的Google Brain項目，采用16萬個CPU來構建一個深層神經網絡，并將其應用于圖像和語音的識別，最終大獲成功。在國內，中科院計算所山世光研究員帶領的人臉識別研究組研發的SeetaFace開源人臉識別引擎供學術界和工業界免費使用[4]。中國科學技術大學苗迪博士提出了多模態生物特征融合方法[5]、百度等科技公司在基于生物特征的身份識別方面已經深耕多年，搶占可信身份認證的市場。

1 電網核心業務可信身份認證關鍵技術研究內容

針對可信身份認證關鍵技術進行研究，重點研究面向不同應用場景的多維度身份認證融合識別技術，解決單一身份認證存在的復制和假冒問題；研究用戶真實身份證明與鑒別技術、身份授權與服務技術和大數據挖掘分析技術，保證用戶身份的真實性、完整性、匿名性和可追溯性，如圖1所示。

（1）研究具備隱私保護特性的電網核心業務實體真實身份證明與鑒別技術，研究具備身份聯合能力的統一身份管理、授權與服務技術。

研究當前電網核心業務實體特性，構建基于區塊鏈技術的身份標識模型，實現身份的量化定義，完成具備隱私保護的電網核心業務實體的身份模型的構建；研究基于生物特征的身份鑒別方法，實現實體真實身份的安全、高效證明與鑒別；研究身份聯合及統一身份管理技術發展現狀，結合當前身份聯合及統一身份管理技術的發展情況，設計具備身份聯合能力的統一身份管理體系，實現電網核心業務身份的統一身份管理、授權與服務技術。詳細研究內容如下：1）研究基于生物特征的身份鑒別技術，采用深度自編碼網絡的人臉識別技術，通過對稀疏性參數、隱藏層節點數量和隱藏層數量進行調節優化，實現人臉識別準確率的提升，確保身份認證的可靠性和安全性；2）研究生物特征加密技術，將用戶的生物特征信息與需要安全保存的密鑰信息進行融合處理，從而既安全保護了密鑰信息，又不會發生生物特征信息泄露或被盜取的情況；3）研究基于生物特征的統一身份管理、授權與服務技術，利用可信第三方的身份管理，解決不同業務系統中的身份信息不兼容不共享問題以及分散認證授權模式存在的許多弊端，保證用戶具有快速、可靠、安全訪問不同業務信息資源的能力。

（2）研究身份聯合與管理服務的互操作評估技術，研究電網核心業務實體行為追蹤溯源與安全審計技術。

研究身份聯合與管理服務的互操作評估技術，構建一種互操作評估框架，實現身份聯合組件與管理服務組件的互操作評估，為系統性能評估奠定基礎；研究電網核心業務實體行為追蹤溯源與安全審計技術，完成電網核心業務實體行為分析。詳細的研究內容如下：1）研究電網核心業務實體的行為追蹤溯源，實現用戶身份信息的全鏈路不可否認更新和追溯，保證數據傳輸和訪問的安全；2）研究身份聯合與管理服務的互操作評估技術，提出基于體系結構的互操作評估框架；3）研究安全審計技術，包含日志審計和行為審計，追溯分析安全攻擊軌跡，并能為實時防御提供手段。

（3）研究面向不同應用場景的多維度身份認證融合識別技術。

面向電網核心業務身份認證應用場景多樣化需求特點，開展多維度身份認證融合識別技術研究，以期克服單維度身份識別的諸多不足，有效的進行融合以提高性能和效率。主要包括多種生物特征融合身份識別技術研究和生物特征與非生物特征身份認證融合識別技術研究。詳細的研究內容如下：1）研究不同應用場景下的單域內多種身份認證融合識別技術，采用口令、證書等非生物特征與人臉、指紋等生物特征結合的身份認證方式，保證身份認證的高安全性；2）研究不同應用場景下的跨域間多種身份認證融合識別技術，采用人臉、指紋等多種生物特征識別的身份認證方式，在屏蔽不同域中身份認證方式差異性的同時提供形式統一、安全性強的身份認證。

（4）研究基于大數據和行為分析的多級可信、多因子身份鑒別系統與技術。

綜合大數據分析和可信行為分析，研究多因子身份認證方法及模型，開展基于大數據和行為分析的多級可信、多因子身份鑒別系統架構設計，研發基于大數據和行為分析的多級可信、多因子身份鑒別系統。詳細的研究內容如下：1）研究融合行為記錄的身份鑒別技術，利用對歷史行為記錄的大數據分析，可以在惡意用戶沒有進行任何破壞行為之前提前預測用戶的行為，降低因不信任帶來的監控和防范等額外開銷；2）研究多級可信、多因子身份鑒別系統，采用松散耦合的模塊化封裝設計，可提供多種身份認證方式模型，滿足不同安全等級、信任體系和運行模式的業務系統需求。

（5）研究適應不同場景的電網核心業務身份與屬性的可信程度評估評價標準與工具。

研究適用不同場景的身份信息可信程度評估理論與技術，研究適應不同場景的網絡身份與屬性的可信程度評價模型，實現安全屬性證明及發布機制，實現電網核心業務現場可信程度評估機制分析。詳細的研究內容如下：1）研究適應不同場景的電網核心業務身份與屬性的可信程度評價標準，構建評估規則庫；2）研究提出一種第三方認證中基于聚類思想的身份認證評估模型，設計適應不同場景的電網核心業務身份與屬性的可信程度評估評價工具，從橫向和縱向兩方面度量信任的程度，通過開發身份認證評估工具仿真驗證該模型能有效提高信任評估準確性，避免了惡意協同欺騙。

2 電網核心業務可信身份認證關鍵技術研究實施方案

2.1 技術路線圖

第一階段：課題準備階段：

步驟1：制定項目計劃。

根據項目研究內容編制項目工作計劃，主要內容包括劃分項目階段、明確項目進度、設置關鍵里程碑節點，并進行合作單位工作細分、確定項目任務單元的責任人、溝通方式以及各個階段交付成果、形式等內容。

步驟2：制定管理方案。

按照ISO9000及CMMI5項目管理規范及質量體系要求，結合本項目的實際情況，制定本項目各項管理規范，如： 項目計劃管理、需求分析和管理、軟件設計、軟件開發、項目實施、質量管理、溝通管理、風險管理等規范。

召開項目聯絡會，向項目參與人員和協作人員宣貫項目計劃、項目的管理方案。

第二階段：關鍵技術調研階段：

步驟1：制定調研計劃。

研究和分析電網核心業務可信身份標識、身份鑒別、隱私保護等技術，并編寫調研計劃。

步驟2：業務場景調研分析。

根據調研計劃開展可信身份認證技術調研、業務場景應用技術需求分析工作。

步驟3：生物識別、區塊鏈、深度學習、大數據等技術調研。

聯合科研院所、高校，調研可信身份認證框架模型、生物識別、區塊鏈、深度學習等關鍵技術，形成技術調研報告，包括國內外技術研究現狀、發展趨勢、技術架構、工作原理、關鍵技術、實施可行性等內容。

第三階段：關鍵技術攻關階段：

首先研究電網核心業務真實身份管理中身份的標識模型、量化定義和量化模型的建立，提出多維度身份認證技術和多形態、多域的聯合身份管理技術體系，提出不同應用場景下的多維度身份認證融合識別技術，完成基于大數據和行為分析的多級可信、多因子身份鑒別系統原型研發，實現包括證照、口令、生物特征等多種身份認證技術的無縫組合，解決單一身份認證存在的復制和假冒問題，保證用戶身份的真實性、完整性、匿名性和可追溯性利用可信度因子模型，對身份認證進行形式化描述，進而對其安全性進行邏輯分析，最后計算身份認證的可信度。

2.2 技術創新點

2.2.1 突破身份信息隱私保護技術

針對目前生物特征識別技術應用帶來的隱私性與安全性問題，本項目突破了已有工作要么不能完全保護用戶的隱私，要么帶來非常高的密鑰管理開銷的技術缺陷，提出基于生物特征結合密碼學方法的生物特征加密方法，不僅可以實現電網核心業務用戶身份的安全認證以及加密算法的高效性，而且可以確保用戶的身份信息不會被泄露，同時結合區塊鏈技術，實現用戶身份信息的全鏈路隱私保護和不可否認，提升身份信息的傳輸安全性，從而為電網用戶提供安全、高效并且隱私保護的數據共享服務。

2.2.2 提出多維度身份融合識別方法

針對單因素身份驗證方式存在的容易被暴力破解、被冒用等諸多問題，本項目研究提出單域內多種身份認證融合識別方法和跨域間多種身份認證融合識別方法，不僅可以提供多種可選安全認證方式，且可定義安全認證等級，可根據用戶角色權限及系統安全要求等多維度進行認證方式及策略的靈活配置，最大限度兼容電網核心業務現有身份認證系統，為電網用戶提供更為安全可靠的身份認證服務。

2.2.3 構建一套與公司業務發展相適應的可信身份認證通用模型

針對豐富多樣的電網核心業務應用場景，構建了一套可信身份認證通用模型，并設計統一的身份標識流程、身份認證流程和身份管理流程，實現基于上述策略的可信身份認證個性化、多樣化配置，根據不同的業務安全需求和可信程度，采用不同等級的可信身份認證服務，避免了不同業務應用場景中相同認證功能的重復冗余開發，節省了大量時間和成本，為不同業務場景的全覆蓋提供有效的批量化和定制化可信身份認證解決方案。

2.3 研究成果

通過研究基于生物特征的人員特征識別關鍵技術、基于圖像識別的人員著裝特征識別關鍵技術、基于生物特征識別和圖像識別技術的人員行為分析關鍵技術和基于可信身份認證的安全特征庫關鍵技術，實現實時安全態勢感知、安全風險分類、安全風險預警及過程全面管控，并結合電網核心業務典型應用模式，研發通用的基于可信身份認證的安全管控基礎平臺。

（1）研究電網核心業務實體真實身份證明與鑒別技術， 使其作為身份管理基礎的身份模型，支撐身份管理系統，完成維護身份全網唯一性和跨域一致性，記錄身份信息的使用，確定訪問身份數據的策略和流程等功能。

（2）構建了具備身份聯合能力的統一身份管理體系。身份標識是系統登錄賬號的統一數據集合，其結構為系統識別賬號所需認證信息的最小集合，是統一身份認證服務進行合法性驗證的數據基礎。身份標識信息不管理任何組織用戶形態的業務和自然屬性描述，不具備任何社會含義，是系統識別賬號原生對象的最根本表達。

（3）研究身份聯合與管理服務的互操作評估技術。提出一種基于體系結構的互操作性評估過程框架，框架包括4個評估過程和1個管理過程。分別是系統功能分析過程、系統連接性檢查過程、系統性能和行為度量過程、系統改進策略過程、互操作評估數據管理過程。

3 結語

通過本課題研究電網核心業務真實身份管理中身份的標識模型、量化定義和量化模型的建立，提出了多維度身份認證技術和多形態、多域的聯合身份管理技術體系，并完成基于大數據和行為分析的多級可信、多因子身份鑒別系統原型研發，實現包括證照、口令、生物特征等多種身份認證技術的無縫組合，解決單一身份認證存在的復制和假冒問題，保證用戶身份的真實性、完整性、匿名性和可追溯性，防止身份信息泄露，降低用戶身份信息被濫用誤用的風險，為電網不同業務場景的全覆蓋提供有效的批量化和定制化可信身份認證解決方案。

參考文獻

[1]Taigman Y， Yang M， Ranzato M A， et al. Deepface： Closing the gap to human-level performance in face verification[C]//Computer Vision and Pattern Recognition（CVPR）， 2014 IEEE Conference on.IEEE，2014：1701-1708.

[2]劉冀，王向軍.虹膜識別技術及應用[J].光學技術，2002，（05）：459-461+46.

[3]DavidBerthelot，ThomasSchumm，BEGAN：BoundaryEquilibriumGenerativeAdversarialNetworks.

[4]蘇煜，山世光，陳熙霖，高文.基于全局和局部特征集成的人臉識別[J].軟件學報，2010，（8）：1849-1862.

[5]苗迪.基于特征層與分數層的多模態生物特征融合[D].中國科學技術大學，2017.