基于國產(chǎn)動態(tài)密碼的認證系統(tǒng)平臺設(shè)計

張婕 馬琳 趙麗娜 倪金超 韓興旺 任樂

【摘要】? ? 隨著智能電網(wǎng)的快速發(fā)展，電力數(shù)據(jù)的采集、傳輸、存儲、訪問的信息安全越來越重要，信息安全的核心技術(shù)是加密技術(shù)。本設(shè)計采用動態(tài)密碼系統(tǒng)與靜態(tài)密碼相結(jié)合實現(xiàn)了高強度的雙因子動態(tài)認證。該國產(chǎn)動態(tài)密碼的認證系統(tǒng)具有安全性高、靈活性好、易用性強、高性能、高可用，且經(jīng)濟實用等特性。可同時支持辦公OA、終端訪問、數(shù)據(jù)存儲、移動支付等不同應用領(lǐng)域。

【關(guān)鍵詞】? ? 信息安全? ? SM3 算法? ? 商用密碼? ? 加密算法

引言：

隨著智能電網(wǎng)的快速發(fā)展，電力數(shù)據(jù)的采集、傳輸、存儲、訪問的信息安全越來越重要[1-3]。根據(jù)GB/T22239-2019 《信息安全技 網(wǎng)絡(luò)安全等級保護基本要求》中對各級的信息系統(tǒng)的身份鑒別的要求，管理員用戶身份標識應具有不易被冒用的特點，口令應有復雜度要求并定期更換，應采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進行身份鑒別。

信息安全是建立在網(wǎng)絡(luò)安全之上，保證信息的安全。身份鑒別是信息安全的第一道門戶，通過身份鑒別獲取對應的資源訪問權(quán)限，結(jié)合電網(wǎng)信息系統(tǒng)告訴發(fā)展的趨勢，結(jié)合在實際應用中遇到的安全問題。本文主要在于保障信息在身份鑒別過程中如何保證安全性的前提下，提高身份認證與應用系統(tǒng)結(jié)合的便利性、底耦合性，同時解決管理人員在強身份鑒別過程中的應用性等問題。

一、主要技術(shù)

1.1 PKI 技術(shù)

PKI技術(shù)[4]就是利用公鑰理論和技術(shù)建立的提供信息安全服務的基礎(chǔ)設(shè)施，該體系在統(tǒng)一的安全認證標準和規(guī)范基礎(chǔ)上提供網(wǎng)上電子身份認證。一個標準的PKI域一般包括數(shù)字證書認證中心CA、審核注冊中心RA、密鑰管理中心KMC等關(guān)鍵組件。

1.2密鑰算法

密鑰算法大體分為對稱密鑰算法和非對稱密鑰算法兩種。對稱密鑰算法是一種類似口令加密的算法，加密方和解密方使用相同的密鑰對數(shù)據(jù)進行加解密的操作，實現(xiàn)數(shù)據(jù)的保護。非對稱密鑰算法使用兩個不同的密鑰：加密密鑰和解密密鑰。某用戶加密密鑰加密后所得的信息只能用該用戶的解密密鑰才能解密。

1.3單向散列函數(shù)[5]

散列算法是通過把一個叫做散列算法的單向數(shù)學函數(shù)應用于數(shù)據(jù)，其運算結(jié)果就是將任意長度的一塊數(shù)據(jù)轉(zhuǎn)換為一個定長的、不可逆轉(zhuǎn)的數(shù)字。通常用于數(shù)字簽名過程。

1.4國家商用密碼算法[6]

我國的國家商用密碼標準，包括SM1、SM2、SM3、SM4等。其中，SM1、SM4是對稱算法;SM2是非對稱算法;SM3是哈希算法。SM3算法是國家密碼管理局編制的一種商用密碼摘要算法，安全性與效率與SHA-256相當。

1.5動態(tài)口令

動態(tài)口令技術(shù)主要分為兩種，即同步口令技術(shù)和異步口令技術(shù)。其中，同步口令技術(shù)又分為時間同步口令和事件同步口令。

1.時間同步口令是基于令牌和服務器的時間同步，通過運算來生成一致的動態(tài)口令，基于時間同步的令牌，每60秒產(chǎn)生一個新口令;

2.事件同步口令是通過某一特定的事件次序及相同的種子值作為輸入，在算法中運算出一致的密碼。

3.異步口令在令牌和服務器之間除相同的算法外沒有需要進行同步的條件，故能夠有效的解決令牌失步的問題，降低對應用的影響，同時極大的增加了系統(tǒng)的可靠性。

本動態(tài)密碼認證系統(tǒng)平臺基于國家商用密碼標準SM3哈希算法，結(jié)合事件同步口令技術(shù)實現(xiàn)的動態(tài)密碼認證系統(tǒng)。具有低成本、易推廣、易使用的新型身份認證系統(tǒng)，其安全強度高于靜態(tài)口令，以類似于傳統(tǒng)靜態(tài)口令密碼的使用方式提供“一次一密”的密碼技術(shù)，為用戶提供身份認證安全保障。

二、認證系統(tǒng)組件

2.1 產(chǎn)品組件

動態(tài)密碼系統(tǒng)主要包括后臺管理模塊、驗證管理服務模塊、HttpServer服務模塊、通用工具包、Api接口、終端產(chǎn)品、輔助工具和終端產(chǎn)品等組成。

1.后臺管理模塊是整個動態(tài)密碼系統(tǒng)的統(tǒng)籌管理模塊，通過此管理模塊進行各種配置能將整個系統(tǒng)各個模塊進行有機組合，實現(xiàn)多種驗證流程。

2.驗證管理服務模塊是整個動態(tài)密碼系統(tǒng)的核心部分，主要由驗證服務、管理服務、Radius服務，可以根據(jù)需求選擇使用。其中，驗證管理服務是系統(tǒng)的核心部分，負責接收請求并完成動態(tài)密碼驗證服務的模塊;管理服務提供動態(tài)密碼卡管理服務，通過監(jiān)聽端口接受用戶的請求（調(diào)用管理API），并將處理的結(jié)果返回給用戶，且有全面的日志記錄;Radius服務接受基于Radius協(xié)議的驗證服務。

3. Httpserver模塊是集成在動態(tài)密碼服務系統(tǒng)下的一個獨立運行的模塊，主要是為Netpass提供http請求服務，可以集成到NetPass服務器部署，也可以靈活部署到其他服務器上，可以開放公網(wǎng)端口。

4.通過工具包為封裝的中間件，包含數(shù)據(jù)包結(jié)構(gòu)定義、數(shù)據(jù)包封裝解析、算法包、數(shù)據(jù)庫交互、配置文件讀寫等。

5.終端產(chǎn)品包括口令卡、手機口令、手機短信、動態(tài)令牌、高級令牌和移動App令牌等。

6. Api接口分為驗證Api和管理Api。Api接口是插件包，提供給客戶應用系統(tǒng)集成使用，客戶通過API與系統(tǒng)服務器交互實現(xiàn)業(yè)務流程。

2.2 應用模式

國產(chǎn)動態(tài)密碼認證系統(tǒng)的應用模式多種多樣，可以是在網(wǎng)絡(luò)應用系統(tǒng)原有的用戶名/口令驗證模式上，增加動態(tài)密碼的驗證，也可以手機客戶端、手機短信、動態(tài)令牌、高級令牌、移動app令牌等獲取動態(tài)密碼，并在登錄過程中使用。

動態(tài)密碼系統(tǒng)可獨立實現(xiàn)雙因素驗證，也可以和其他靜態(tài)密碼驗證系統(tǒng)組合實現(xiàn)雙因素驗證。

三、認證系統(tǒng)平臺

3.1 運行環(huán)境

動態(tài)密碼認證系統(tǒng)平臺采用Java語言編寫，可運行于各種Java兼容的平臺，支持Windows和Linux操作系統(tǒng)，支持MYSQL、DB2、ORACLE、SqlServer、Gbase8.5t、PostgerSql、Sybase等類型的數(shù)據(jù)庫。

應用程序接口（驗證API、管理API）有兩種類型：Java接口和C接口，C接口支持Windows和Linux操作系統(tǒng)。通過API訪問服務器實現(xiàn)種子獲取、綁定、驗證等功能。

3.2 總體框架

國產(chǎn)動態(tài)密碼認證系統(tǒng)平臺相關(guān)的動態(tài)口令系統(tǒng)框架圖如圖1所示。

動態(tài)令牌負責生成動態(tài)口令，認證系統(tǒng)負責驗證動態(tài)口令的正確性，密鑰管理系統(tǒng)負責動態(tài)令牌的密鑰管理，應用系統(tǒng)負責將動態(tài)口令按照指定的協(xié)議（報文）發(fā)送至認證系統(tǒng)進行認證。

3.3 系統(tǒng)平臺

國產(chǎn)動態(tài)密碼認證系統(tǒng)平臺是基于Java的WEB應用，部署在CentOS環(huán)境中。國產(chǎn)動態(tài)密碼認證系統(tǒng)平臺由管理員通過瀏覽器訪問，來發(fā)起各種操作。

國產(chǎn)動態(tài)密碼認證系統(tǒng)平臺主要提供以下功能：配置數(shù)據(jù)庫參數(shù)、配置服務器網(wǎng)絡(luò)設(shè)置、服務器管理、生產(chǎn)廠管理、管理員管理、口令卡策略管理、口令卡生成、口令卡管理、密鑰管理和日志管理。

首次登錄服務器需要進行初始化操作，在瀏覽器地址欄輸入口令卡生成服務器的地址，使用正確的用戶名/密碼進行登錄，登錄完成之后，會顯示系統(tǒng)主菜單，管理員可以選擇所需要完成的功能。如圖2所示：

1.系統(tǒng)配置。系統(tǒng)配置功能主要包括系統(tǒng)狀態(tài)、系統(tǒng)監(jiān)控、網(wǎng)絡(luò)配置、數(shù)據(jù)庫配置、服務器管理、系統(tǒng)管理員管理、應用管理員管理、密鑰管理和HA管理。其中，密鑰管理功能是產(chǎn)生用來加密數(shù)據(jù)庫密鑰的RSA密鑰對，公鑰用于加密數(shù)據(jù)庫對稱密鑰，私鑰用于解密數(shù)據(jù)庫對稱密鑰。

2.策略管理。策略管理功能包括令牌類型管理和應用策略管理。令牌類型規(guī)定了口令卡的應用模式、使用策略和驗證策略等，通過對令牌類型的設(shè)置，完成口令卡的管理。應用策略管理實現(xiàn)同一個令牌在不同的場景下驗證策略不同。

3.用戶管理。用戶管理包括令牌管理、NAS管理、用戶組管理和令牌綁定。其中令牌管理包括對令牌的凍結(jié)、解凍、注銷、同步等操作。令牌綁定將用戶名與令牌號綁定在一起，用戶查詢時可以通過用戶號或令牌號，具有查詢、綁定和注銷等功能。

4.數(shù)據(jù)管理。數(shù)據(jù)管理功能主要包括批量產(chǎn)生卡、導入令牌文件、生成令牌文件、管理口令卡文件和數(shù)據(jù)歸檔等功能。

5.日志管理。日志管理主要包括日志設(shè)置、訪問、管理和錯誤日志。其中，錯誤日志記錄系統(tǒng)運行期間發(fā)生的各種錯誤，具有查看和導出功能。

6.生產(chǎn)廠管理。生產(chǎn)廠管理包括增加、更新和刪除生產(chǎn)功能。

7.統(tǒng)計監(jiān)控。統(tǒng)計監(jiān)控功能包括統(tǒng)計和監(jiān)控功能。其中，統(tǒng)計功能主要實現(xiàn)令牌數(shù)量統(tǒng)計和交易數(shù)量統(tǒng)計;監(jiān)控功能選擇要監(jiān)控的指示、時間，系統(tǒng)自動生成圖表。

8.加密通道設(shè)置。國產(chǎn)動態(tài)密碼認證系統(tǒng)平臺支持明文傳輸、服務器單向加密和客戶端服務端雙向加密三種模式可選。

3.4 典型應用

動態(tài)密碼認證系統(tǒng)填補了證書、靜態(tài)口令之間的空白，在安全性、成本、易用性之間取得了一個平衡，可以有效彌補靜態(tài)口令的安全隱患，并且可以與靜態(tài)口令結(jié)合使用，滿足中等安全級別的認證要求。典型應用如圖3：

動態(tài)密碼認證系統(tǒng)向每一位用戶發(fā)放一個動態(tài)密碼卡，用戶每次訪問應用時，系統(tǒng)為用戶生成一次性的密碼序列，用戶只需要將其作為本次登錄的密碼輸入系統(tǒng)，即可完成登錄。

四、結(jié)束語

基于國產(chǎn)動態(tài)密碼的認證系統(tǒng)采用動態(tài)密碼系統(tǒng)與靜態(tài)密碼結(jié)合的應用，實現(xiàn)了高強度的雙因子動態(tài)認證。具有以下特點：

1.安全性：動態(tài)密碼隨機產(chǎn)生，無相關(guān)性，不可能從前一個密碼推導出其他密碼;

2.靈活性：支持多種業(yè)務應用模式、支持多種動態(tài)密碼和多種驗證機制;

3.高性能性：所使用的技術(shù)具有足夠的先進性和前瞻性，滿足未來應用的需求，實現(xiàn)對海量用戶和復雜應用的支持;

4.高可用：支持高可用性和負載均衡的集群部署，多個驗證服務器（管理服務器）可共享一個數(shù)據(jù)庫，實現(xiàn)更強大的性能，避免單點故障，提高可靠性;

5.經(jīng)濟性：生產(chǎn)和更新成本低、使用成本低、易推廣、可定制動態(tài)密碼的使用期限。

總體來說，該國產(chǎn)動態(tài)密碼的認證系統(tǒng)可同時支持辦公OA、終端訪問、數(shù)據(jù)存儲、移動支付等不同應用。

參? 考? 文? 獻

[1] 王華忠.監(jiān)控與數(shù)據(jù)采集（SCADA）系統(tǒng)及其應用[M].2 版.北京：電子工業(yè)出版社，2012.

[2] DUMONT D. Cyber security concerns of supervisory control and data acquisition （SCADA） systems [C]// Proceedings of2010 IEEE International Conference on Technologies for Home-land Security. Waltham：IEEE，2010：473-475.

[3] LIF，LUO B，LIU P. Secure information aggregation for smart grids using homomorphic encryption [C]// Proceedings of 2010 First IEEE International Conference on Smart Grid Communications. Gaithersburg：IEEE，2010：327-332.

[4] 吳瓊.基于PKI體系的信息安全技術(shù)研究[J].《現(xiàn)代計算機（專業(yè)版）》. 2007（3）：44-46;

[5] 陳志德，黃元石.混沌型單向散列函數(shù)[J].通信技術(shù).2001（7）：96-98;

[6] 趙宇亮，胡威，張冰，毛一凡，張攀，宋文婷.國家商用密碼算法綜述[J].會議論文，2016：132-134;