電子政務移動辦公的身份認證

文/唐志恩

1 身份認證技術分析

身份認證就是在計算機網絡環境中確認操作者身份的過程，負責驗證用戶身份的真實性和合法性。主流的身份認證技術有用戶名+密碼、短信密碼、動態令牌、USB Key數字證書、軟件密碼模塊和生物識別認證等。

1.1 用戶名+密碼

這是一種最簡單、最原始的身份認證方式。只要在登錄時輸入正確的用戶名和密碼，就認為操作者是合法用戶。這種靜態密碼容易被猜測，在傳輸中很容易被截獲造成泄密。它是一種不安全的弱身份認證方式。

1.2 短信密碼

應用系統發起請求，后臺身份認證系統通過短信發送隨機數密碼到用戶注冊的手機上。用戶在登錄或者交易認證時輸入此動態密碼來驗證身份。短信密碼的生成與使用環境是分開的，安全性較高。

1.3 動態令牌

采用專門的密碼算法生成一個不可預測的隨機動態密碼，與認證服務器計算出的有效密碼比對，相同則通過認證，一個密碼只能使用一次。由于每次生成的密碼是無法預知的、是一次性的，所以動態令牌具有較高的安全性，屬于強身份認證。

手機令牌是移動互聯網時代的一種動態令牌系統，它是一種手機客戶端軟件，基于時間同步方式，每隔60秒產生一個隨機6位動態密碼，具有安全性高、使用簡單、無需攜帶令牌設備等優點，在電子商務、金融等行業應用較多。

1.4 USB Key數字證書

這是基于PKI/CA體系的高安全強度通用認證技術。采用軟硬件相結合、一次一密的強雙因子認證模式，證書及用戶的密鑰都存儲在這個USB Key硬件中。Key都用口令（PIN碼）來保護，該口令和硬件構成了身份認證的兩個必要因素，只有同時獲得Key和PIN碼才能通過認證，因此安全性很高。數字證書由第三方電子認證機構的CA系統簽發，能實現身份認證、傳輸加密和數字簽名等功能，廣泛應用于電子政務、電子商務和網上銀行等。

1.5 軟件密碼模塊

軟件密碼模塊是一款使用在移動端，用來保護信息系統的安全產品。現有商用密碼模塊都經過國家密碼管理局的測試，在技術合規性、算法安全性等方面能達到安全等級第二級要求。在移動終端應用場景下，無需借助額外的硬件設備即可實現身份認證、數字簽名、對稱及非對稱加密等密碼服務。可以在銀行、證券、互聯網金融、電子政務、移動辦公等場景中使用。

1.6 生物識別

它是通過生物個體唯一的、可自動識別和驗證的特征進行身份鑒別的一種新認證技術。將讀取的生物特征信息與數據庫中的用戶特征信息比對，如果一致則通過認證。主要有指紋識別、人臉識別、虹膜識別、視網膜識別、手掌靜脈識別等。生物識別在移動互聯網領域的應用逐漸增多，其中指紋識別和人臉識別使用最多。

2 電子政務移動辦公身份認證面臨的問題

電子政務移動辦公是指通過無線通信網絡，利用智能移動終端，隨時隨地接入政務應用系統，進行網上辦公和事務處理。電子政務移動辦公面臨著用戶認證、傳輸和抗抵賴等安全問題。根據《GB/T 35282-2017 信息安全技術電子政務移動辦公系統安全技術規范》，需要對移動終端身份鑒別和接入認證采取安全可靠的身份認證方式。

3 電子政務移動辦公的身份認證方式

基于上述身份認證技術分析和電子政務移動辦公的安全需求，傳統的“用戶名+密碼”方式已不滿足移動政務的安全要求。短信密碼雖然是較為安全的一種認證方式，但由于存在接收成功率不高、短信網關可能因為垃圾短信監管被意外關停等弊端，也不適用于移動政務的身份認證。動態令牌作為一種強認證方式在金融領域應用廣泛，但存在時間同步、統一性和通用性不好等問題，在移動政務領域應用有限。生物識別認證在安全性、便捷性方面有優勢，但生物特征信息數據庫在存儲和傳輸中存在用戶隱私泄露等風險，識別率問題也影響其在移動政務中的使用。

根據國家規范要求，在訪問政務應用和數據之前應采用數字證書進行雙因子強身份認證。適合電子政務移動辦公的身份認證方式主要是USB Key數字證書和軟件密碼模塊。

在移動互聯網環境下，傳統的硬件USB Key數字證書無法直接應用在移動終端上，目前出現了藍牙Key和TF卡等用來代替傳統USB-Key用于移動辦公的身份認證。它們都是將CA機構簽發的數字證書存儲在硬件Key中，并且支持國密算法，具有雙向認證機制及不可抵賴性，適合高安全性要求的移動政務。藍牙Key不僅可以用于智能手機、平板電腦等移動辦公終端還可以用于臺式電腦，結合移動辦公管控系統能夠實現對移動終端的強管控以滿足GB/T 35282-2017對電子政務移動辦公的要求。藍牙Key不僅能夠實現數字身份認證，還適用于各種應用場景的加密、數字簽名等功能。在電子政務領域，采用國家政務CA系統簽發的國密算法數字證書，標準統一、安全性高、通用性好，但不便攜帶。TF卡Key是將數字證書加密存儲在手機TF上，用戶不必單獨攜帶USB Key，但在其他終端上使用則需要對應用系統做定制開發，與二維碼配合使用來完成身份認證。在插卡手機本身以外的其他終端上使用時加密、簽名等功能受限，且需占用手機的一個卡槽位。

軟件密碼模塊具有與硬件Key相同的功能，能完成密碼運算并保證密鑰存儲和使用安全。只需在移動終端安裝密碼模塊就可實現硬件Key的功能，結合二維碼信息交互方式，能實現身份認證、加解密、簽名等。軟件密碼模塊擺脫了硬件的束縛，方便了用戶使用。由于這是一款新的安全產品，使用效果還有待驗證，在電子政務移動辦公領域應用還很少，但前景廣闊。

4 結束語

電子政務移動辦公需要嚴格的身份認證，在實踐中應根據政務系統的實際情況和應用場景，兼顧安全性、便利性選擇合適的移動身份認證手段，為電子政務的移動終端用戶提供一個安全可信的移動辦公環境。