基于國產動態密碼的認證系統平臺設計

張婕 馬琳 趙麗娜 倪金超 韓興旺 任樂

【摘要】? ? 隨著智能電網的快速發展，電力數據的采集、傳輸、存儲、訪問的信息安全越來越重要，信息安全的核心技術是加密技術。本設計采用動態密碼系統與靜態密碼相結合實現了高強度的雙因子動態認證。該國產動態密碼的認證系統具有安全性高、靈活性好、易用性強、高性能、高可用，且經濟實用等特性?？赏瑫r支持辦公OA、終端訪問、數據存儲、移動支付等不同應用領域。

【關鍵詞】? ? 信息安全? ? SM3 算法? ? 商用密碼? ? 加密算法

引言：

隨著智能電網的快速發展，電力數據的采集、傳輸、存儲、訪問的信息安全越來越重要[1-3]。根據GB/T22239-2019 《信息安全技 網絡安全等級保護基本要求》中對各級的信息系統的身份鑒別的要求，管理員用戶身份標識應具有不易被冒用的特點，口令應有復雜度要求并定期更換，應采用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別。

信息安全是建立在網絡安全之上，保證信息的安全。身份鑒別是信息安全的第一道門戶，通過身份鑒別獲取對應的資源訪問權限，結合電網信息系統告訴發展的趨勢，結合在實際應用中遇到的安全問題。本文主要在于保障信息在身份鑒別過程中如何保證安全性的前提下，提高身份認證與應用系統結合的便利性、底耦合性，同時解決管理人員在強身份鑒別過程中的應用性等問題。

一、主要技術

1.1 PKI 技術

PKI技術[4]就是利用公鑰理論和技術建立的提供信息安全服務的基礎設施，該體系在統一的安全認證標準和規范基礎上提供網上電子身份認證。一個標準的PKI域一般包括數字證書認證中心CA、審核注冊中心RA、密鑰管理中心KMC等關鍵組件。

1.2密鑰算法

密鑰算法大體分為對稱密鑰算法和非對稱密鑰算法兩種。對稱密鑰算法是一種類似口令加密的算法，加密方和解密方使用相同的密鑰對數據進行加解密的操作，實現數據的保護。非對稱密鑰算法使用兩個不同的密鑰：加密密鑰和解密密鑰。某用戶加密密鑰加密后所得的信息只能用該用戶的解密密鑰才能解密。

1.3單向散列函數[5]

散列算法是通過把一個叫做散列算法的單向數學函數應用于數據，其運算結果就是將任意長度的一塊數據轉換為一個定長的、不可逆轉的數字。通常用于數字簽名過程。

1.4國家商用密碼算法[6]

我國的國家商用密碼標準，包括SM1、SM2、SM3、SM4等。其中，SM1、SM4是對稱算法;SM2是非對稱算法;SM3是哈希算法。SM3算法是國家密碼管理局編制的一種商用密碼摘要算法，安全性與效率與SHA-256相當。

1.5動態口令

動態口令技術主要分為兩種，即同步口令技術和異步口令技術。其中，同步口令技術又分為時間同步口令和事件同步口令。

1.時間同步口令是基于令牌和服務器的時間同步，通過運算來生成一致的動態口令，基于時間同步的令牌，每60秒產生一個新口令;

2.事件同步口令是通過某一特定的事件次序及相同的種子值作為輸入，在算法中運算出一致的密碼。

3.異步口令在令牌和服務器之間除相同的算法外沒有需要進行同步的條件，故能夠有效的解決令牌失步的問題，降低對應用的影響，同時極大的增加了系統的可靠性。

本動態密碼認證系統平臺基于國家商用密碼標準SM3哈希算法，結合事件同步口令技術實現的動態密碼認證系統。具有低成本、易推廣、易使用的新型身份認證系統，其安全強度高于靜態口令，以類似于傳統靜態口令密碼的使用方式提供“一次一密”的密碼技術，為用戶提供身份認證安全保障。

二、認證系統組件

2.1 產品組件

動態密碼系統主要包括后臺管理模塊、驗證管理服務模塊、HttpServer服務模塊、通用工具包、Api接口、終端產品、輔助工具和終端產品等組成。

1.后臺管理模塊是整個動態密碼系統的統籌管理模塊，通過此管理模塊進行各種配置能將整個系統各個模塊進行有機組合，實現多種驗證流程。

2.驗證管理服務模塊是整個動態密碼系統的核心部分，主要由驗證服務、管理服務、Radius服務，可以根據需求選擇使用。其中，驗證管理服務是系統的核心部分，負責接收請求并完成動態密碼驗證服務的模塊;管理服務提供動態密碼卡管理服務，通過監聽端口接受用戶的請求（調用管理API），并將處理的結果返回給用戶，且有全面的日志記錄;Radius服務接受基于Radius協議的驗證服務。

3. Httpserver模塊是集成在動態密碼服務系統下的一個獨立運行的模塊，主要是為Netpass提供http請求服務，可以集成到NetPass服務器部署，也可以靈活部署到其他服務器上，可以開放公網端口。

4.通過工具包為封裝的中間件，包含數據包結構定義、數據包封裝解析、算法包、數據庫交互、配置文件讀寫等。

5.終端產品包括口令卡、手機口令、手機短信、動態令牌、高級令牌和移動App令牌等。

6. Api接口分為驗證Api和管理Api。Api接口是插件包，提供給客戶應用系統集成使用，客戶通過API與系統服務器交互實現業務流程。

2.2 應用模式

國產動態密碼認證系統的應用模式多種多樣，可以是在網絡應用系統原有的用戶名/口令驗證模式上，增加動態密碼的驗證，也可以手機客戶端、手機短信、動態令牌、高級令牌、移動app令牌等獲取動態密碼，并在登錄過程中使用。

動態密碼系統可獨立實現雙因素驗證，也可以和其他靜態密碼驗證系統組合實現雙因素驗證。

三、認證系統平臺

3.1 運行環境

動態密碼認證系統平臺采用Java語言編寫，可運行于各種Java兼容的平臺，支持Windows和Linux操作系統，支持MYSQL、DB2、ORACLE、SqlServer、Gbase8.5t、PostgerSql、Sybase等類型的數據庫。

應用程序接口（驗證API、管理API）有兩種類型：Java接口和C接口，C接口支持Windows和Linux操作系統。通過API訪問服務器實現種子獲取、綁定、驗證等功能。

3.2 總體框架

國產動態密碼認證系統平臺相關的動態口令系統框架圖如圖1所示。

動態令牌負責生成動態口令，認證系統負責驗證動態口令的正確性，密鑰管理系統負責動態令牌的密鑰管理，應用系統負責將動態口令按照指定的協議（報文）發送至認證系統進行認證。

3.3 系統平臺

國產動態密碼認證系統平臺是基于Java的WEB應用，部署在CentOS環境中。國產動態密碼認證系統平臺由管理員通過瀏覽器訪問，來發起各種操作。

國產動態密碼認證系統平臺主要提供以下功能：配置數據庫參數、配置服務器網絡設置、服務器管理、生產廠管理、管理員管理、口令卡策略管理、口令卡生成、口令卡管理、密鑰管理和日志管理。

首次登錄服務器需要進行初始化操作，在瀏覽器地址欄輸入口令卡生成服務器的地址，使用正確的用戶名/密碼進行登錄，登錄完成之后，會顯示系統主菜單，管理員可以選擇所需要完成的功能。如圖2所示：

1.系統配置。系統配置功能主要包括系統狀態、系統監控、網絡配置、數據庫配置、服務器管理、系統管理員管理、應用管理員管理、密鑰管理和HA管理。其中，密鑰管理功能是產生用來加密數據庫密鑰的RSA密鑰對，公鑰用于加密數據庫對稱密鑰，私鑰用于解密數據庫對稱密鑰。

2.策略管理。策略管理功能包括令牌類型管理和應用策略管理。令牌類型規定了口令卡的應用模式、使用策略和驗證策略等，通過對令牌類型的設置，完成口令卡的管理。應用策略管理實現同一個令牌在不同的場景下驗證策略不同。

3.用戶管理。用戶管理包括令牌管理、NAS管理、用戶組管理和令牌綁定。其中令牌管理包括對令牌的凍結、解凍、注銷、同步等操作。令牌綁定將用戶名與令牌號綁定在一起，用戶查詢時可以通過用戶號或令牌號，具有查詢、綁定和注銷等功能。

4.數據管理。數據管理功能主要包括批量產生卡、導入令牌文件、生成令牌文件、管理口令卡文件和數據歸檔等功能。

5.日志管理。日志管理主要包括日志設置、訪問、管理和錯誤日志。其中，錯誤日志記錄系統運行期間發生的各種錯誤，具有查看和導出功能。

6.生產廠管理。生產廠管理包括增加、更新和刪除生產功能。

7.統計監控。統計監控功能包括統計和監控功能。其中，統計功能主要實現令牌數量統計和交易數量統計;監控功能選擇要監控的指示、時間，系統自動生成圖表。

8.加密通道設置。國產動態密碼認證系統平臺支持明文傳輸、服務器單向加密和客戶端服務端雙向加密三種模式可選。

3.4 典型應用

動態密碼認證系統填補了證書、靜態口令之間的空白，在安全性、成本、易用性之間取得了一個平衡，可以有效彌補靜態口令的安全隱患，并且可以與靜態口令結合使用，滿足中等安全級別的認證要求。典型應用如圖3：

動態密碼認證系統向每一位用戶發放一個動態密碼卡，用戶每次訪問應用時，系統為用戶生成一次性的密碼序列，用戶只需要將其作為本次登錄的密碼輸入系統，即可完成登錄。

四、結束語

基于國產動態密碼的認證系統采用動態密碼系統與靜態密碼結合的應用，實現了高強度的雙因子動態認證。具有以下特點：

1.安全性：動態密碼隨機產生，無相關性，不可能從前一個密碼推導出其他密碼;

2.靈活性：支持多種業務應用模式、支持多種動態密碼和多種驗證機制;

3.高性能性：所使用的技術具有足夠的先進性和前瞻性，滿足未來應用的需求，實現對海量用戶和復雜應用的支持;

4.高可用：支持高可用性和負載均衡的集群部署，多個驗證服務器（管理服務器）可共享一個數據庫，實現更強大的性能，避免單點故障，提高可靠性;

5.經濟性：生產和更新成本低、使用成本低、易推廣、可定制動態密碼的使用期限。

總體來說，該國產動態密碼的認證系統可同時支持辦公OA、終端訪問、數據存儲、移動支付等不同應用。

參? 考? 文? 獻

[1] 王華忠.監控與數據采集（SCADA）系統及其應用[M].2 版.北京：電子工業出版社，2012.

[2] DUMONT D. Cyber security concerns of supervisory control and data acquisition （SCADA） systems [C]// Proceedings of2010 IEEE International Conference on Technologies for Home-land Security. Waltham：IEEE，2010：473-475.

[3] LIF，LUO B，LIU P. Secure information aggregation for smart grids using homomorphic encryption [C]// Proceedings of 2010 First IEEE International Conference on Smart Grid Communications. Gaithersburg：IEEE，2010：327-332.

[4] 吳瓊.基于PKI體系的信息安全技術研究[J].《現代計算機（專業版）》. 2007（3）：44-46;

[5] 陳志德，黃元石.混沌型單向散列函數[J].通信技術.2001（7）：96-98;

[6] 趙宇亮，胡威，張冰，毛一凡，張攀，宋文婷.國家商用密碼算法綜述[J].會議論文，2016：132-134;