通信加密與數字認證在企業信息系統的應用

景 峰,徐澄宇,李 欣

(1.山西省電力公司,山西太原 030001;2.山西省通信公司,山西太原 030012)

通信加密與數字認證在企業信息系統的應用

景 峰1,徐澄宇1,李 欣2

(1.山西省電力公司,山西太原 030001;2.山西省通信公司,山西太原 030012)

分析了電力企業一體化信息系統通信與身份認證的安全需求,并提出了解決方法,闡述了在已建成的 “數字證書體系”和 “Novell目錄系統”基礎上,集成基于安全信息層的安全傳輸協議和基于數字證書X.509標準的雙因子數字認證技術,實現了信息系統通信加密與增強認證。實踐證明,該方案提高了三級及以上級別信息系統的安全性,并為建設支撐堅強智能電網的信息網絡安全接入奠定了基礎。

數字證書;通信加密;目錄系統;用戶認證

0 引言

隨著電力企業信息一體化的快速推進,為解決各應用系統用戶身份信息一致性與賬號密碼統一管理,山西省電力公司2007年通過 “信息系統身份認證與控制架構研究”項目,建成了基于微軟活動目錄與數字證書結合的應用系統認證體系,并在企業門戶、辦公自動化系統進行了實踐應用。2008年建成基于Novell技術架構的全省集中式企業資源目錄、身份目錄和認證目錄,實現了對門戶等23個不同安全控制等級的應用系統統一資源控制和用戶管理,以及與國家電網公司Novell目錄縱向信任認證。2008年,信息系統等級保護建設啟動,對信息系統提出了更高的身份鑒別和通信保密安全性要求,增強三級及以上信息系統的用戶認證成為統一用戶管理重點關注的課題。

1 信息安全問題及解決途徑

目前,SG186企業一體化信息平臺整合了23個子應用系統,通過Novell目錄企業資源控制體系提供的登錄控制模塊對登錄用戶進行身份標識和鑒別,實現了 “用戶名+密碼”方式的企業門戶單點登錄和用戶認證,保證應用系統中不存在重復用戶身份標識,身份鑒別信息不易被冒用,但仍存在如下問題。

a)集成在門戶的各信息系統實現了基于 “用戶名+密碼”的認證方式,用戶必須妥善保管用戶名密碼、使用強口令,存在非法使用他人登錄信息系統處理信息業務的安全風險,不能滿足等級保護建設“三級及以上信息系統應能提供兩種以上的認證方式對用戶進行身份識別和鑒別”的要求。

b)各不同安全級別的信息系統使用了同一個虛擬專用網絡 (Virtual Private Network,簡稱VPN)業務通道混雜傳輸,客戶端與服務器間的通信未使用加密協議,存在被惡意監聽的安全風險,未能實現等級保護建設 “在通信雙方建立連接之前,應用系統應利用密碼技術進行會話初始化驗證”的要求。

c)尚未實現等級保護建設 “應對通信過程中的敏感信息字段進行加密”目標。

為此,提出了將現有的數字證書公鑰基礎設施認證體系 (Public Key Infrastructure,簡稱PKI)與Novell目錄認證技術架構結合,建成基于第三方的數字證書的應用系統認證控制體系技術方案。該控制體系滿足了對高安全控制級別信息系統被訪問時、高風險級別用戶訪問信息系統時通信和認證的雙重安全需求。登錄高安全控制級別信息系統的用戶必須使用合法授權的數字證書,高風險級別用戶登錄所有信息系統必須出示鑒別身份的數字證書,客戶端到被保護的信息系統資源間的信息交互在全過程中使用加密傳輸。

2009年,山西省電力公司本部通過實踐基于加密傳輸協議的數字證書增強認證體系,成功地解決了在混合數據傳輸的信息內網環境下用戶訪問數據時的安全問題,大大提高了用戶在訪問三級及以上信息系統時傳輸與認證的安全性。

2 安全傳輸與認證的技術方案要點

2.1 HTTPS協議

HT TPS協議(Security Hypertext Transfer Protocol,簡稱 HT TPS)是H TTP(Hypertext T ransfer Protocol,簡稱HTTP)協議的安全升級版,是采用了安全套結字層 (Secure Socket Layer,簡稱SSL)作為HTTP協議子層的一種安全訪問協議。即HTTP下加入SSL層,SSL是HTTPS的安全基礎,加密的詳細內容需要通過SSL來完成。HT TPS協議的主要作用有兩方面:一是建立一個信息安全通道,來保證數據傳輸的安全;二是確認網站的真實性。

雖然美國現在已經提出了128位的安全標準,但是由于相關限制出境等原因,目前Internet互聯網上主流還是采用SSL協議使用40位關鍵字作為RC4流加密算法,HT TPS和SSL支持使用X.509數字認證標準。

2.2 數字證書

數字證書類似于現實生活中的身份證,是一個可以唯一標示個人身份的證明,數字證書是提供身份驗證的一種權威性電子文檔,用戶可以通過數字證書來標識自己的身份,同時也可以辨別他人的身份是否合法安全。

在重要的禮儀場合中，“禮容”更呈現了行禮者的精神面貌，從而在某種程度上預示個人、家族的命運乃至一國的興衰。無怪乎孟僖子病不能相禮而講學之，并在臨終前教導“禮，人之干也。無禮，無以立。(《左傳》昭七年)。禮是立身行事的基本原則，《論語·季氏》的“不學禮，無以立”在當時大概是文化階層的一種共識。執政者能否為禮，又成為影響“國之干”首要因素。因此，對執政者逾禮行為的規諫，往往上升到探討禮的基本性質的話題。如隱五年公將至棠觀魚，臧僖伯諫曰：

數字證書基于X.509標準規范。而使用HTTPS和SSL能夠很好地提供對X.509數字認證支持。一個X.509數字證書有兩把密鑰:一把是用戶的專用密鑰,另一把是其他用戶都可利用的公共密鑰。同時一個證書中還包含了用戶電子郵件地址、在證書服務器上所在組織節點等相關的用戶信息,這些都可以通過證書管理機構(Certificate Authority,簡稱CA)認證授權或者通過Novell自身比較完善的證書體系完成證書的頒發和維護。

2.3 數字證書與Novell目錄服務系統集成后的認證流程

信息系統使用數字證書進行單點登錄的認證流程見圖1。

a)訪問管理系統 (Access Manager,簡稱AM)系統中的訪問網關 (Access Gateway,簡稱AG)服務器針對對應的應用系統配置反向代理和導入第三方提供或由AM自己頒發的根證書。

圖1 某信息系統使用數字證書進行單點登錄的認證流程圖

b)用戶訪問某信息系統時,被重定向到AM系統要求用戶進行身份驗證。AM系統會要求用戶出示含有AM頒發或被AM授權的第三方用戶證書,在用戶證書未被AM系統認證為合法證書前,用戶將無法訪問信息系統。用戶訪問到對應信息系統的驗證頁面后,AM系統會將對應信息系統的反向服務的證書作為信息系統證書出示給用戶。用戶的瀏覽器判斷該證書合法性,如果合法,繼續下一步,如不合法,提示用戶該證書可能導致用戶訪問的內容沒有被很好地保護。AM服務器要求用戶出示用戶電子證書 (USB-Key),用戶提交后,讀取在USB-Key中所存儲的用戶密鑰,提示用戶輸入USB-Key的個人識別號碼 (Personal Identification Number,簡稱PIN碼),PIN碼正確后,讀出密鑰,AM系統根據SSL認證時用戶證書合法性的判斷條件對用戶證書的合法性進行判斷。如果用戶證書合法且AM系統沒有再附加其他認證手段的情況下,用戶認證成功。

c)當用戶認證成功后,AM系統將代替用戶去訪問對應的信息系統,并完成對應信息系統的單點登錄。

d)信息系統根據AM系統發送過來的請求將執行的結果返回給AM系統,通過AM系統緩存后再返回給用戶。

在用戶通過AM系統的SSL認證以及基本用戶身份認證后,用戶與AM系統間進行的通信將完全通過SSL加密進行傳輸,保證了用戶傳輸的信息安全,并且再次通過用戶雙因子數字證書認證,更進一步保證了用戶的賬號安全。

2.4 Novell目錄服務系統與數字證書屬性匹配

通過第三方或者是Novell目錄自己頒發給用戶的數字證書,準確在目錄中定位到相應的用戶,從而獲得該用戶的相關信息來完成單點登錄等后續操作是被保護信息系統實現增強認證的關鍵。證書實際上是一種包含了用戶部分相關信息的特殊文檔,為此通過Novell自身機制,在Novell的AM系統中實現用戶存儲在證書的屬性與目錄屬性進行對應,只要在目錄中保證與證書屬性對應的屬性是唯一的,即該用戶的某一屬性在目錄中的所有用戶中是唯一的,即可完成用戶的定位。例如某用戶在目錄中存在一個唯一的電子郵件 (E-mail屬性),可以通過用戶存儲在證書中的某一屬性與mail屬性進行對應或者屬性匹配,只要確保用戶的證書屬性與目錄屬性一對一的對應,即可準確完成該用戶在目錄系統中的定位。注意若該用戶的證書屬性在目錄中存在多對一的情況,即該屬性在目錄中存在多個匹配的用戶則會定位失敗。

Novell可提供四種可選的證書屬性,實現與目錄屬性的對應匹配。

a)目錄名稱 (Directory Name):證書中保存的該用戶在證書頒發機構所存儲的用戶路徑。

b)郵件 (E-mail):用戶證書中保存的用戶電子郵件信息。

c)序列號與頒發者名稱 (Serial Number and Issuer Name):用戶證書的序列號與頒發機構所拼接的字符串。

d)主體名稱 (Subject Name):證書中所保存的該用戶的對象名稱。

2.5 數字證書認證與目錄單點登錄功能的集成

目錄系統的單點登錄功能也是目錄服務的一個關鍵功能,該功能可以完成針對特定資源的保護,可以完成基于角色的登錄控制。

當目錄系統完成與數字證書的集成工作之后,將會發揮更強大的訪問控制和安全控制。與數字證書集成后,若用戶在訪問特定的資源,或者特定的角色在進行訪問的時候,會要求用戶出示其數字證書,必須通過了目錄和數字證書的雙重認證之后才能完成對應的訪問操作。

經過以上的集成工作后,很好地對敏感數據的流通訪問進行了控制,也可以保證高風險用戶賬號的安全性。即使高風險用戶的賬號被破解,但在登錄或訪問時未能出示對應的數字證書,也將會被拒絕訪問。

3 結束語

基于H TTPS協議的通信加密與X.509標準規范的數字證書結合的信息系統增強認證解決方案,大大提高了山西電力企業一體化信息平臺的訪問安全控制水平。

用戶與信息系統交互數據采用基于SSL的H TTPS安全協議進行通信加密,采用了40位的加密算法,即使在傳輸過程中數據被他人獲取到,也無法完成數據的解密,保證了用戶數據在傳輸過程中的安全性。

基于X.509標準規范的雙因子數字證書很好地解決了身份同步與單點登錄相關安全性問題,高風險用戶在訪問信息系統時必須出示證書進行安全認證,授權用戶在訪問三級及以上受控信息系統時必須出示數字證書并通過驗證,滿足了公司對信息系統身份認證安全性的需求。

作為電力信息系統用戶認證與通信安全的成功實踐,“統一認證+雙因子數字證書+SSL通道加密”的解決方案,為下一步堅強智能電網的信息網絡安全接入控制進行了有益嘗試。

Application of Communications Encryption and Digital Authentication Technology in Enterprise Information System

JING Feng1,XU Cheng-yu1,LI-Xin2
(1.Shanxi Electric Power Company,Taiyuan,Shanxi 030001,China;
2.China Mobile Group Shanxi Go.,Ltd,Taiyuan,Shanxi 030012,China)

Security requirements on communication and authentication of enterprise integrated information system platform are analyzed,and solutions are proposed.On the basis of the“Digital certificate system” and“Novell directory system” completed,the communication encryption and enhanced authentication of the information system are implemented by integrating security protocols and the two-factor digital certificate technologies,based on secure socket layer and X.509 standards respectively.It is proved that,information system security of the three-level and above has been greatly increased,and the foundation is laid for supporting information system security access control of strong smart-grid.

digital certificates;communication encryption;directory system;user authentication

TP309.2

B

1671-0320(2010)04-0037-03

2010-04-12,

2010-06-23

景 峰 (1977-),男,山西平陸人,1998年畢業于太原理工大學環境與市政工程系供熱通風與空調工程專業,工程師,從事信息安全管理與建設工作;

徐澄宇 (1975-),女,江蘇如東人,1996年畢業于華北電力大學計算機應用系計算機應用專業,工程師,從事信息化管理與信息系統建設工作;

李 欣 (1968-),女,山西太原人,2006年畢業于北京郵電大學通信工程專業,工程師,從事集團客戶售后支撐工作。