一種面向敏感身份的安全認證方案*

唐紹軍，盤善海

（1.軍委后勤保障部信息中心，北京 100842；2.中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引 言

國家逐步建立軍人榮譽制度，推進了軍隊人員在地方依法享受各類社會福利的制度發展，使得軍人身份在公共網絡中的身份真實性認證成為一個迫切需要解決的問題。軍人身份的敏感性使軍人身份信息無法直接在公共網絡環境中使用，需要針對身份數據敏感性保護和身份認證機制進行有針對性的設計。本文設計的方案就是用于解決身份敏感人員在公共網絡環境下的身份認證安全防護問題。

1 安全風險分析

身份敏感人員在公共網絡環境下的身份認證面臨的安全風險如下。

（1）身份數據敏感性泄露。具有敏感性的身份數據在進行跨網絡、跨系統應用時，在數據處理的各個環節都會面臨數據被竊取和非法使用的風險，若造成數據泄露，將會給個人、機構甚至國家帶來損失和危害。

（2）身份假冒。身份敏感人員身份認證為了保護個人身份信息的安全，個人身份信息不宜在系統中直接傳輸和存儲，從而增加了身份假冒的風險。

（3）大數據分析。身份敏感人員的身份數據在公共網絡環境中應用時，一旦泄露，面臨著被分析出身份敏感人員的數量和規模等風險。

2 方案設計

方案從敏感身份數據的引接、數據處理和數據應用多個環節，針對敏感身份數據的安全風險分別采取相應的安全技術手段，保證既能基于敏感身份數據實現身份敏感人員在公共網絡環境下的身份認證，又能保證敏感身份數據的安全，防止敏感身份泄露和其他安全威脅。

2.1 系統架構

系統架構設計如圖1所示。

圖1 系統架構

系統在架構設計上以保護身份數據的敏感性為核心，在數據引接、數據處理和數據應用多個層面采取相應的安全技術手段，保證身份敏感人員的身份數據應用于公共網絡環境中時，數據的產生、處理、分發、存儲以及應用等各個環節的安全性。

2.2 身份數據引接

數據引接是指從身份敏感人員身份數據庫中根據實際應用需求引接部分必需的基礎身份數據。數據引接包括以下流程。

2.2.1 數據過濾

敏感身份數據庫通常部署在信息系統內部網絡，為了保證數據的使用范圍，根據滿足應用需求最低原則設置過濾條件，對引接的數據進行安全過濾。過濾條件包括以下內容。

（1）數據項過濾。針對身份認證需求，設置引接的身份信息基礎數據項，包括姓名、性別、身份證號和基本身份屬性等。

（2）高敏感度數據過濾。針對部分身份敏感度較高的人員，設置特定的身份屬性過濾條件，對這類人員的身份數據進行過濾，防止引接到外部公共網絡環境中。

2.2.2 數據分隔

數據分隔是為了控制數據的應用范圍，根據敏感身份數據的應用范圍對數據進行分隔，分隔后可以進行不同的數據處理和存儲。

2.2.3 數據轉換

引接的數據需要使用獨立的數據庫系統進行存儲，通過對數據項的名稱、類型進行轉換，建立新的數據信息庫。

2.2.4 數據存儲

對分隔和轉換后的數據進行安全存儲，并根據數據的敏感程度采取安全措施，包括數據庫加密、訪問控制和審計等。

2.3 身份數據處理

數據處理是系統最重要的一個環境，需要實現敏感身份數據從敏感變成非敏感、從內部系統遷移到外部系統。主要的安全技術手段是數據脫敏和數據安全分發。

2.3.1 數據脫敏

敏感身份數據在外部公共網絡環境中應用，必需采取安全、有效的數據脫敏[1]技術對數據進行脫敏處理。

（1）數據脫敏目標。數據脫敏目標包括兩個方面：一是防止泄露數據的敏感性，即對敏感身份數據進行脫密或去隱私化；二是防止對數據進行敏感性分析，即對敏感身份數據去真實性。

（2）數據脫敏技術。敏感身份數據脫敏采用的技術手段和脫敏效果直接決定了身份敏感人員在公共網絡環境中基于用戶真實身份進行網絡身份認證是否符合安全保密要求。本方案采用的數據脫敏技術[2]和處理流程如圖2所示。

圖2 敏感身份數據脫敏設計

數據脫敏采用基于數據脫敏引擎工作機制，通過數據脫敏算法和數據混淆算法對敏感身份數據進行脫敏處理。

數據脫敏采用不可逆的數據轉換機制對數據進行脫密和去隱私化處理[3]。本方案采用哈希密碼運算對敏感身份數據的重要身份屬性進行數據處理，包括用戶姓名、身份證號以及移動電話號碼等。基于哈希算法的密碼運算機制保證了脫敏處理后的數據具有不可恢復性，提供了很好的安全性保證。數據脫敏方法示例如表1所示[4]。

表1 不可逆數據脫敏處理

在數據脫敏處理之后，再對數據進行混淆處理，本方案采用的數據混淆機制是根據實際數據增加一定數量的假數據，能夠防止對數據的數量、規模進行分析，進一步保證數據的安全性?；煜龣C制如表2所示。

表2 數據混淆處理

混淆數據的數量根據一定的比例隨機增加，保證難以對數據規模和具體數量進行分析。

2.3.2 數據分發

圖3 身份數據安全分發設計

數據分發[4]是把敏感身份數據從內部系統安全傳遞到外部系統的過程。數據分發應根據2個系統之間的網絡關系、安全等級差別等選擇不同的數據分發方式。本方案設計的數據分發方式如圖3所示。采用數據擺渡機制實現敏感身份數據從內部網絡到外部網絡的安全分發，根據內外網絡之間的安全等級選擇不同的數據擺渡機制。安全等級差別大時，選擇基于物理隔離的光盤擺渡機制；安全等級差別小時，可選擇基于單向傳送在線擺渡機制。

2.4 身份認證應用

圖4 安全身份認證工作原理

基于脫敏后的身份數據進行身份核查和身份認證等應用時，在身份認證令牌和身份認證協議設計時需要采取特殊的機制。本方案采用基于動態密碼技術的多因素動態可重構的（Super One-Time-Password，SOTP）身份認證機制[4]，實現敏感用戶身份的真實性核查和身份認證，實現原理如圖4所示。

將脫敏后的用戶身份數據與個人秘鑰數據進行綁定，并通過密碼算法重構機制生成個人算法，編譯成具有唯一性的個人算法庫，既個人身份認證令牌。采用SOTP認證機制[5]，可以不需要用戶身份的原始信息，很好地解決了敏感用戶身份認證過程中用戶身份敏感性保護問題。

3 安全性分析

本方案針對敏感用戶身份認證過程中的身份敏感性保護和認證機制進行了全面和有針對性的安全設計，為敏感用戶身份認證提供了各環節的安全保證，其安全性分析如下。

（1）方案針對敏感身份數據在身份認證過程中的各環節采用了多種安全防護技術，從數據的產生到數據分發，通過對數據切割、脫敏以及轉換等，保證敏感身份數據進入公共網絡環境時不再具有敏感屬性，且其敏感性具有不可恢復性。

（2）采用基于SOTP認證機制作為敏感用戶身份認證的實現，利用密碼機制的安全性保證，同時無需暴露敏感用戶的原始身份信息，解決了敏感用戶在公共網絡環境下的身份認證敏感性保護問題。

4 結 語

敏感用戶身份認證安全防護的重點是防止身份認證過程中的身份敏感性泄露。本方案主要是針對敏感用戶在公共網絡環境中的身份認證進行安全設計，方案適用于用戶原始身份數據敏感性高且在公共網絡環境進行身份認證時不宜暴露實際身份信息的安全身份認證應用。在后續研究中將進一步對敏感身份數據在公共網絡中的安全共享進行研究，為互聯網等公共網絡安全、方便地使用政府、軍隊等敏感用戶身份數據和為政企聯合、軍民融合提供信息安全保障。