基于國密算法數字證書的統一身份管理在交通行業中的應用

遼寧省交通運輸事務服務中心 劉春來

本文介紹了一種基于國密算法的數字認證證書的方式，建立起交通行業信息化應用統一身份管理系統。從當前面臨的多系統身份管理混亂現狀進行分析，提出了一種統一入口控制，統一身份認證，統一權限管理和統一行為審計的方法，實現了信息系統用戶的集中統一管理，解決了各系統的用戶信息不一致和不能統一管理認證的問題。

做好用戶身份的管理，關系到人員信息安全和操作是否便捷。從系統整合的角度來看，應從整體上考慮用戶身份管理，將其作為信息化的一項基礎服務，并與用戶管理緊密結合起來，實現用戶統一管理與用戶身份管理的同步。用戶身份管理是一項基礎服務，同時也對業務發展起到支撐作用。隨著信息系統的日益復雜及業務對信息系統的高度依賴，需要將用戶身份與角色延伸到業務領域，與角色進行整合，逐漸從身份管理過渡到身份治理。

1 交通行業信息化面臨的問題

目前，遼寧省交通廳經過多年的信息化建設已經建成了一批比較成熟的應用系統，包括道路運政、政務辦公、信用、物流公共信息平臺等幾十個系統。隨著信息化的不斷深入，未來還會增加更多的應用系統。應用系統普遍面臨如下問題：

1.1 登錄驗證問題

各個系統都是通過用戶名和靜態口令驗證方式登錄系統，并且口令普遍偏弱、不定期修改密碼等問題。易被截獲和分析、猜測和破解，存在著極大的安全隱患。

1.2 系統管理問題

設備和應用系統等網絡資產越來越多，每個資產各自獨立擁有一套用戶賬號管理和權限管理，這些賬號沒有互聯互通，非常容易混亂，系統管理員管理繁瑣，往往為了減少工作而擴大用戶權限范圍。

1.3 系統登錄的問題

每個系統都需要輸入各自用戶名、口令進行登錄，為了方便記憶，有些用戶將多個系統設置成相同口令，一旦口令泄露，所有系統不再安全。而且多套系統的訪問地址不同、訪問方式不同、登陸賬號不同、權限也不盡相同，對于終端用戶來說長期以往也產生了疲勞，進一步加劇了安全風險。

1.4 系統集中審計的問題

缺乏集中統一的訪問審計，不利于對訪問應用系統的人員和行為進行集中審計分析。分散了系統審計的工作界面，加大了相關人員的工作量，再結合前三點反應出的問題，即使進行審計分析，但是審計結果也無法達到預期效果。

2 基于國密算法的數字證書技術

數字證書也被稱為“網絡身份證”或“數字身份證”，是由證書認證中心（CA）發放并經過數字化簽名的一種電子文件。其包含公開密鑰所有者和公開密鑰信息，可證明數字證書持有者的真實身份。數字證書的格式大部分采用X.509國標，其用戶公鑰證書由用戶提出申請，CA制作和發放。CA在發放數字證書后會將發放的證書信息發布到目錄服務器為中，用于證書狀態的查詢。

為了保障我國商用密碼的安全，國家商用密碼管理機構制訂了包括SM1、SM2、SM3、SM4在內的多種密碼標準。其中SM1和SM4是對稱的算法，SM1算法由硬件方式實現，其算法不公開；SM2是非對稱算法；SM3是哈希算法。

采用基于國密算法的數字證書技術，能夠有效提高我國自主網絡信息安全，有效阻止國際網絡攻擊和滲透，因此本系統采用SM2加密算法。在系統中，引入SM2加密算法，其原理如下：當客戶端（B端）向服務器（C端）傳輸數據時，在B端使用C端的公鑰對傳輸的信息數據進行加密處理并發送出去，C端接收到數據后使用私鑰進行解密，并將解密數據進行業務處理。當B向C端請求數據時，系統向C發送公鑰（每個用戶都有個不同的公鑰），C端使用該公鑰對數據進行加密處理并發送出去，B端接收到數據后，再使用私鑰進行解密操作實現請求數據結果的復現。

算法流程圖如圖1所示。

3 統一身份認證系統設計

圖1 SM2算法流程圖

圖2 身份認證系統架構

隨著信息技術的飛速發展，在享受著信息化和數字化帶來便捷的同時，也產生了各類安全隱患。因此，建設具備高可靠性、高安全性的信息系統身份認證機制，保證用戶身份的準確真實需要盡快解決。根據遼寧省交通廳目前的行業痛點和安全需求，本文提出了如圖2所示的安全統一身份認證系統架構。

整個架構分為兩個區域，DMZ區、應用區。DMZ區是主要用來和互聯網進行交互的隔離區域，部署應用安全網關、RA代理服務器、WEB服務器等。應用區主要部署了統一認證身份管理系統、應用系統、動態密碼系統、數字簽名驗簽服務器，兩個區域通過網閘進行隔離，實現了網絡安全邊界防護。身份認證的實現流程如下：

3.1 證書申請流程

（1）業務人員登錄RA系統WEB管理頁面；（2）填寫證書注冊信息，提交；（3）RA服務器明文方式將信息傳送到RA前置代理；（4）RA前置代理與交通部安全代理服務器建立SSL連接，建立連接后將注冊信息密文訪問傳送到安全代理服務器；（5）安全代理服務器以明文方式將信息傳送證書認證系統；（6）證書認證系統接收證書注冊信息，制作證書，按照原路返回給RA服務器；（7）RA服務器將證書寫入USBKEY中，完成證書申請。

3.2 外部用戶訪問與登錄應用系統流程-動態口令

（1）用戶通過瀏覽器訪問業務系統網址，在用戶與安全網關之間建立安全https通道；（2）輸入用戶名與動態密碼；（3）動態密碼通過應用服務器發送到動態密碼服務器；（4）動態密碼服務器驗證后，返回成功OR失敗；（5）驗證成功后，用戶成功登錄業務系統。

3.3 關鍵業務操作流程-數字簽名

（1）用戶成功登錄系統；（2）提交關鍵信息，并對信息進行數字簽名，并提交到后臺業務系統；（3）業務系統接收到客戶端發來的驗簽請求，調用簽名服務器API接口，進行簽名驗證；（4）驗證成功后，保障了關鍵信息的真實完整，進行下一步邏輯處理。

3.4 單點登錄

（1）業務人員登錄門戶，系統會展示出有權限登錄的系統；（2）業務人員點擊對應業務系統，單點登錄系統會代替業務人員填入系統用戶名與密碼同時跳轉到對應業務中指定頁面。

3.5 賬號同步管理

當要增加用戶或刪除用戶，系統管理員無需登錄對應每個權限的操作系統逐一操作，只需要登錄統一身份認證管理系統進行創建賬戶與刪除賬戶操作，統一認證管理系統調用其他系統接口，賬戶信息會自動同步到對應系統中。

3.6 應用場景

經過整合后，遼寧省交通運輸廳的公路、水路、港口、危貨、兩客一危、造價等所有信息系統實現了統一身份認證，在數據交互過程中，基于SM2算法，實現了數據交互的加密傳輸，保障了數據傳輸的安全，系統基于多因子的身份認證和統一權限控制，實現了每個賬戶的權限適當且唯一，不僅避免了多個系統用戶名和口令，也實現了責任清晰，安全高效。

結束語：針對目前交通行業信息化系統面臨系統多、系統分散、信息難以整合、身份認證困難、訪問難以控制、賬號管理混亂等問題，提出了基于國密算法的統一身份認證系統，實現了身份認證、訪問控制靈活統一，極大的提高了網絡信息安全防護水平，通過在交通廳的部署應用，實現了系統的集中統一管理和單點登錄，提高了交通行業的業務和信息安全管理水平。下一步將探索行業數據治理和大數據的分析，實現系統和數據的集中統一管理，加快交通行業的數字化轉型。