電子政務(wù)集成用戶可信度的PKI/PMI安全機制的研究

宋福英

（隴南師范高等專科學校電子商務(wù)學院，甘肅成縣　742500）

電子政務(wù)集成用戶可信度的PKI/PMI安全機制的研究

宋福英

（隴南師范高等專科學校電子商務(wù)學院，甘肅成縣742500）

據(jù)PKI來確定用戶身份的合法性，再據(jù)PMI來為用戶分配角色，這基本能滿足電子政務(wù)較高的安全需求。然而這種機制的安全性的一個重要前提是假設(shè)用戶提供的信息都是真實可信的。如何杜絕假冒用戶的非法訪問？在PKI/PMI安全機制中集成用戶可信度管理被證明是一個堅固、可靠、可管理的安全機制。

電子政務(wù)；用戶可信度；PKI/PMI

0　引 言

電子政務(wù)需要一種經(jīng)授權(quán)后才能訪問政府機關(guān)網(wǎng)站的性能卓越、且可實施管理的安全機制。無論電子化申請/注冊，還是在線公務(wù)以及電子化政策的制定，都需要引入保密性、完整性、鑒權(quán)性和不可否認性。限制外界訪問重要信息和資源的傳統(tǒng)安全機制己無法滿足時下陸續(xù)增長的各類現(xiàn)實需求。

已有研究證明了：在電子政務(wù)外網(wǎng)采用帶有用戶可信度的PKI/PMI安全機制即是一個有效的技術(shù)解決方案。PKI能認證用戶的身份，PMI能證明用戶的權(quán)限，將PMI的屬性證書（AC）與公鑰證書（PKC）捆綁在一起，這樣既可以認證用戶身份，又可以分配具體的權(quán)限，實現(xiàn)認證與授權(quán)的分離［1］。

1　新安全機制拓撲結(jié)構(gòu)

1.1拓撲結(jié)構(gòu)

訪問控制是OSI網(wǎng)絡(luò)安全體系結(jié)構(gòu)的一類安全服務(wù)［2］，其目的是對訪問行為進行合法性判斷，并允許或禁止這種訪問行為的發(fā)生。然而這種安全性的一個重要前提是假設(shè)用戶聲稱的身份是真實的，即用戶身份的表示與用戶本人是一致的。而目前確定用戶身份最常見的方法是采用基于用戶名及密碼的身份認證機制。在訪問控制應(yīng)用中，尤其是在分布式系統(tǒng)中，這種方式存在的安全問題是：某個用戶的身份信息被他人非法獲取并篡改，冒充主體非法進入系統(tǒng)，從而使訪問控制模型失去安全防護作用，帶來極大安全隱患。針對這個問題，目前的解決辦法是采用審計或入侵檢測的方法［3］。但這只是一種事后檢測，冒充用戶對客體的操作已經(jīng)發(fā)生，由其造成的損失在很多情況下是難于彌補的。而實時入侵檢測技術(shù)則往往會誤報或漏報非法用戶的入侵。

本文提出的帶有用戶可信度的PKI/PMI安全機制由一次性口令管理，身份認證、訪問控制模型、可信度計算、可信度控制及重新認證等模塊組成。具體地，設(shè)計實現(xiàn)基本原理如圖1所示。

圖1　帶有用戶可信度的集成PKI與PMI的安全機制Fig.1 PKI/PMI security mechanism integrated user credibility

為方便后續(xù)描述，約定：S表示主體，O表示客體。并作如下的定義：

訪問會話（Access Session）中，S得到訪問控制模塊許可之后，進入O所在的應(yīng)用模塊到S退出這個模塊為止，此過程的邏輯映像稱為一次訪問會話。

針對傳統(tǒng)防火墻技術(shù)對內(nèi)部威脅防范能力不足的問題，該機制對內(nèi)部用戶實施可信度評估，通過對用戶的網(wǎng)上行為進行學習并建立習慣模式，對用戶請求實現(xiàn)了習慣行為模式匹配，據(jù)此來判斷用戶當前行為的異常程度，如果發(fā)現(xiàn)行為異常，則對該行為追加安全策略過濾；如果屬于禁止行為，則需要：

1）修訂用戶習慣行為文檔。

2）學習構(gòu)造新的用戶行為模式：修改可信度表，降低用戶可信度，根據(jù)可信度級別做出處理。該方法能夠?qū)碜跃W(wǎng)絡(luò)內(nèi)部的行為執(zhí)行有效的監(jiān)控，預防可能出現(xiàn)的安全威脅。

1.2實現(xiàn)思路

該安全機制將PKI身份認證與PMI訪問控制這2種安全服務(wù)有效地結(jié)合起來。通過建立主體的可信度計算方法，實時檢測主體的可信度變化，當其下降到某個設(shè)定值后，采用一次性口令［4］方法對主體的身份進行重新認證。同時，在一次性口令實現(xiàn)中結(jié)合了基于公開密鑰的密碼序列處理，因此，能否通過一次性口令認證就反映了用戶身份的可信度。身份認證是保證用戶身份合法性及唯一性的方法，而訪問控制的有效性也需要建立在合法主體的基礎(chǔ)之上。有效地將兩者結(jié)合起來，發(fā)揮各自的優(yōu)勢，能提高整個系統(tǒng)的安全性與靈活性。

2　系統(tǒng)模塊

本系統(tǒng)設(shè)計原則是：標準化、易配置、易管理、易擴展。系統(tǒng)中的PKI和PMI初始化為：上級對下級的管理主要體現(xiàn)在上級CA、AA簽發(fā)下級CA、AA的PKC和AC，并對下級證書負責。

2.1PKI/PMI模塊

本模塊的特點：

1）采用PKI/PMI雙證書體系結(jié)構(gòu)，由PKI和PMI分別通過PKC和AC完成身份鑒別和權(quán)限管理的服務(wù)功能。但兩者并非對等關(guān)系，PMI的授權(quán)服務(wù)是建立在PKI提供的身份認證服務(wù)基礎(chǔ)之上的。

2）對AC采用“Pull”模式。這樣可沿用已有的通信協(xié)議，使系統(tǒng)的靈活性更大，同時避免了當用戶的PKC驗證都未通過，卻上傳了2張證書的錯誤，減少了用戶與代理驗證服務(wù)器之間不必要的通信開銷，加快了系統(tǒng)的執(zhí)行效率。

3）2個系統(tǒng)在底層進行了一定程度的融合，雖然簽發(fā)AC的人與頒發(fā)PKC的可以毫無關(guān)聯(lián)，但如果這樣，代理驗證服務(wù)器就需要驗證2條獨立的證書路徑：PKC路徑和AC路徑。本方案使用同一個CA對屬性權(quán)威AA及其特權(quán)持有者頒發(fā)證書，無疑可以提高證書路徑的驗證效率。

2.2用戶可信度控制模塊

2.2.1可信度計算

主體可信度是這個安全機制的核心，可以通過如下幾種途徑獲得：

1）根據(jù)主體在進行身份認證時所獲得的信息來計算，包括主體通過認證的時間、主體的認證位置、主體所在的客戶機信息等。

2）根據(jù)主體在訪問客體時所表現(xiàn)出來的屬性計算，如在某個客體上的停留時間、在客體上的資料輸入方式等。

3）通過預測主體訪問客體的序列來計算預測主體下一步訪問中選擇某個客體的可能性，這可以作為主體可信度計算的參考值。

2.2.2基于可信度的控制

根據(jù)主體不同的可信度值，對其行為進行適當?shù)目刂疲M量減少錯誤判斷，同時又能拒絕冒充用戶訪問。該機制采用重新認證的方法解決這個問題。為了避免重新認證時，采用與首次身份認證所使用的密碼一樣，增加認證的可信度，這里使用一次性口令認證方法，其優(yōu)點是關(guān)于竊聽者對主機上密碼文件的竊取具有很好的抵抗能力，因為密碼只在一段時間內(nèi)有效，而且即使獲得了當前的密碼，也不可能知道下一次的密碼［5］。

一次性口令認證的兩個關(guān)鍵參數(shù)是：初始口令（某一個秘密串R）和所要生成的一次性口令個數(shù)N。通常情況下，這2個參數(shù)是由客戶端提出的。本文中，R可取主體在身份認證時設(shè)置的密碼，N則由主機隨機生成。一次性口令的生成及反饋算法描述如圖2所示。

圖2　基于可信度的控制算法Fig.2 Control algorithm based on user credibility

3　功能定義

3.1機制功能設(shè)計

1）PKI保證了身份的真實性。

2）PMI保證了權(quán)限控制的正確性。

3）用戶可信度控制保證了拒絕冒充用戶的訪問。

3.2各模塊功能描述

1）身份認證。采用基于用戶名及密碼的身份認證方式，允許或禁止用戶進入應(yīng)用系統(tǒng)。向訪問控制模塊提供一個經(jīng)過認證的、且代表用戶身份的用戶名，同時為可信度計算模塊提供計算可信度所必要的信息，如認證時間、認證地點以及運行環(huán)境等。

2）訪問控制。對主體的訪問請求進行判斷，得到是否允許訪問的結(jié)論。同時為可信度計算模塊提供在每個訪問行為前提下，對主體可信度計算的信息，如主體請求、訪問會話中的環(huán)境信息等。

3）可信度計算。對身份認證及訪問控制模塊提供的信息，實時計算主體的可信度，計算結(jié)果是動態(tài)的，隨著所得到的信息而變化。可信度是一個位于［-1，1］區(qū)間上的值，-1表示主體絕對不可信，1表示主體絕對可信。

4）可信度控制。根據(jù)主體當前的可信度及訪問控制模塊的判斷結(jié)果，決定主體的訪問請求是否繼續(xù)，是否要求對主體進行重新認證。

5）重新認證。按照一次性口令的認證方式，通知訪問控制模塊對主體進行重新認證。

6）一次性口令管理。生成當前訪問會話的一次性口令，加密并發(fā)送給客戶端。

3.3安全機制的創(chuàng)新

3.3.1身份認證與訪問控制的集成

1）接受并驗證用戶對PKC的請求，處理該請求，為用戶簽發(fā)PKC。

2）接受并驗證用戶對AC的請求，處理該請求，為用戶簽發(fā)AC。

3）實現(xiàn)對PKC整個生命周期包括撤銷、查詢、更新、存檔等操作的管理。

4）實現(xiàn)對AC整個生命周期包括撤銷、查詢、更新、存檔等操作的管理。

5）PKI與PMI的有機結(jié)合。

3.3.2基于可信度的控制

1）對用戶提供的相關(guān)信息進行采集和處理。

2）根據(jù)1）得出的可信度實現(xiàn)對用戶訪問的控制。

4　機制的安全性分析

該安全機制中，當主體的可信度下降到某個閾值之后，采用一次性口令認證方法進行重新認證，這能有效提高訪問控制對假冒用戶訪問的監(jiān)測及控制能力，保證在用戶身份不確定情況下的安全性仍然具有較高的訪問控制能力。

該安全機制嚴格規(guī)定非信任網(wǎng)絡(luò)與可信任網(wǎng)絡(luò)的連接必須采用安全連接協(xié)議，廣泛使用了雙向認證的HTTP（SSL）協(xié)議。在客戶端與內(nèi)網(wǎng)服務(wù)提供者之間建立無連接安全綁定。由于外代理沒有安全綁定中的必要信息，在外代理被攻擊者占領(lǐng)的極端惡劣的情況下，也無法與內(nèi)網(wǎng)進行有效的通訊。因此，該模型能夠很好地保證密級不同的網(wǎng)絡(luò)之間的安全交互。特別適用于政務(wù)、公安等保密要求較高的單位，能夠為多種結(jié)構(gòu)（C/S、B/S和Socket）同時提供安全控制服務(wù)。

5　結(jié)束語

電子政務(wù)因其較高的安全需求和內(nèi)外網(wǎng)密級不同的特性，傳統(tǒng)的限制外界訪問的安全機制己無法滿足。帶有用戶可信度的PKI/PMI安全機制是一種經(jīng)授權(quán)后才能訪問政府機關(guān)網(wǎng)站的堅固、可靠、可管理的安全機制。可最大限度杜絕假冒用戶對政務(wù)網(wǎng)的攻擊。

［1］宋福英.電子政務(wù)系統(tǒng)若干安全問題的研究［D］.蘭州：西北師范大學，2007.

［2］中國信息安全產(chǎn)品測評認證中心編著.信息安全理論與技術(shù)［M］.北京：人民郵電出版社，2013.

［3］鐘誠，趙躍華.信息安全概論［M］.武漢：武漢理工大學出版社，2009.

［4］邵力軍，張景，魏長華.人工智能基礎(chǔ)［M］.北京：科學出版社，2011.

［5］曹劍平，郭東輝.一種基于可信度計算的集成身份認證與訪問控制的安全機制［J］.計算機工程，2005，31（24）：30-32.

Research on PKI/PMI security mechanism integrated user credibility in E-government

SONG Fuying
（Department of Electronic Commerce，Longnan Teachers College，Chengxian Gansu 742500，China）

For the high level demand of security network，using PKI to determine the legitimacy of the user identity，according to the PMI to assign roles to user，however，an important preconditions for this kind of security is the assumption that the information provided by the user is true.How to prevent illegal access of fake user？Integrated user trust degree management in the PKI/PMI security mechanism has been proved to be a solid，reliable，manageable security system.

E-government；user trust degree；PKI/PMI

TP393

A

2095-2163（2016）03-0081-03

2016-05-09

宋福英（1975-），女，碩士，講師，主要研究方向：信息安全、計算機應(yīng)用技術(shù)。