基于國密算法數(shù)字證書的統(tǒng)一身份管理在交通行業(yè)中的應(yīng)用

遼寧省交通運輸事務(wù)服務(wù)中心 劉春來

本文介紹了一種基于國密算法的數(shù)字認(rèn)證證書的方式，建立起交通行業(yè)信息化應(yīng)用統(tǒng)一身份管理系統(tǒng)。從當(dāng)前面臨的多系統(tǒng)身份管理混亂現(xiàn)狀進(jìn)行分析，提出了一種統(tǒng)一入口控制，統(tǒng)一身份認(rèn)證，統(tǒng)一權(quán)限管理和統(tǒng)一行為審計的方法，實現(xiàn)了信息系統(tǒng)用戶的集中統(tǒng)一管理，解決了各系統(tǒng)的用戶信息不一致和不能統(tǒng)一管理認(rèn)證的問題。

做好用戶身份的管理，關(guān)系到人員信息安全和操作是否便捷。從系統(tǒng)整合的角度來看，應(yīng)從整體上考慮用戶身份管理，將其作為信息化的一項基礎(chǔ)服務(wù)，并與用戶管理緊密結(jié)合起來，實現(xiàn)用戶統(tǒng)一管理與用戶身份管理的同步。用戶身份管理是一項基礎(chǔ)服務(wù)，同時也對業(yè)務(wù)發(fā)展起到支撐作用。隨著信息系統(tǒng)的日益復(fù)雜及業(yè)務(wù)對信息系統(tǒng)的高度依賴，需要將用戶身份與角色延伸到業(yè)務(wù)領(lǐng)域，與角色進(jìn)行整合，逐漸從身份管理過渡到身份治理。

1 交通行業(yè)信息化面臨的問題

目前，遼寧省交通廳經(jīng)過多年的信息化建設(shè)已經(jīng)建成了一批比較成熟的應(yīng)用系統(tǒng)，包括道路運政、政務(wù)辦公、信用、物流公共信息平臺等幾十個系統(tǒng)。隨著信息化的不斷深入，未來還會增加更多的應(yīng)用系統(tǒng)。應(yīng)用系統(tǒng)普遍面臨如下問題：

1.1 登錄驗證問題

各個系統(tǒng)都是通過用戶名和靜態(tài)口令驗證方式登錄系統(tǒng)，并且口令普遍偏弱、不定期修改密碼等問題。易被截獲和分析、猜測和破解，存在著極大的安全隱患。

1.2 系統(tǒng)管理問題

設(shè)備和應(yīng)用系統(tǒng)等網(wǎng)絡(luò)資產(chǎn)越來越多，每個資產(chǎn)各自獨立擁有一套用戶賬號管理和權(quán)限管理，這些賬號沒有互聯(lián)互通，非常容易混亂，系統(tǒng)管理員管理繁瑣，往往為了減少工作而擴(kuò)大用戶權(quán)限范圍。

1.3 系統(tǒng)登錄的問題

每個系統(tǒng)都需要輸入各自用戶名、口令進(jìn)行登錄，為了方便記憶，有些用戶將多個系統(tǒng)設(shè)置成相同口令，一旦口令泄露，所有系統(tǒng)不再安全。而且多套系統(tǒng)的訪問地址不同、訪問方式不同、登陸賬號不同、權(quán)限也不盡相同，對于終端用戶來說長期以往也產(chǎn)生了疲勞，進(jìn)一步加劇了安全風(fēng)險。

1.4 系統(tǒng)集中審計的問題

缺乏集中統(tǒng)一的訪問審計，不利于對訪問應(yīng)用系統(tǒng)的人員和行為進(jìn)行集中審計分析。分散了系統(tǒng)審計的工作界面，加大了相關(guān)人員的工作量，再結(jié)合前三點反應(yīng)出的問題，即使進(jìn)行審計分析，但是審計結(jié)果也無法達(dá)到預(yù)期效果。

2 基于國密算法的數(shù)字證書技術(shù)

數(shù)字證書也被稱為“網(wǎng)絡(luò)身份證”或“數(shù)字身份證”，是由證書認(rèn)證中心（CA）發(fā)放并經(jīng)過數(shù)字化簽名的一種電子文件。其包含公開密鑰所有者和公開密鑰信息，可證明數(shù)字證書持有者的真實身份。數(shù)字證書的格式大部分采用X.509國標(biāo)，其用戶公鑰證書由用戶提出申請，CA制作和發(fā)放。CA在發(fā)放數(shù)字證書后會將發(fā)放的證書信息發(fā)布到目錄服務(wù)器為中，用于證書狀態(tài)的查詢。

為了保障我國商用密碼的安全，國家商用密碼管理機(jī)構(gòu)制訂了包括SM1、SM2、SM3、SM4在內(nèi)的多種密碼標(biāo)準(zhǔn)。其中SM1和SM4是對稱的算法，SM1算法由硬件方式實現(xiàn)，其算法不公開；SM2是非對稱算法；SM3是哈希算法。

采用基于國密算法的數(shù)字證書技術(shù)，能夠有效提高我國自主網(wǎng)絡(luò)信息安全，有效阻止國際網(wǎng)絡(luò)攻擊和滲透，因此本系統(tǒng)采用SM2加密算法。在系統(tǒng)中，引入SM2加密算法，其原理如下：當(dāng)客戶端（B端）向服務(wù)器（C端）傳輸數(shù)據(jù)時，在B端使用C端的公鑰對傳輸?shù)男畔?shù)據(jù)進(jìn)行加密處理并發(fā)送出去，C端接收到數(shù)據(jù)后使用私鑰進(jìn)行解密，并將解密數(shù)據(jù)進(jìn)行業(yè)務(wù)處理。當(dāng)B向C端請求數(shù)據(jù)時，系統(tǒng)向C發(fā)送公鑰（每個用戶都有個不同的公鑰），C端使用該公鑰對數(shù)據(jù)進(jìn)行加密處理并發(fā)送出去，B端接收到數(shù)據(jù)后，再使用私鑰進(jìn)行解密操作實現(xiàn)請求數(shù)據(jù)結(jié)果的復(fù)現(xiàn)。

算法流程圖如圖1所示。

3 統(tǒng)一身份認(rèn)證系統(tǒng)設(shè)計

圖1 SM2算法流程圖

圖2 身份認(rèn)證系統(tǒng)架構(gòu)

隨著信息技術(shù)的飛速發(fā)展，在享受著信息化和數(shù)字化帶來便捷的同時，也產(chǎn)生了各類安全隱患。因此，建設(shè)具備高可靠性、高安全性的信息系統(tǒng)身份認(rèn)證機(jī)制，保證用戶身份的準(zhǔn)確真實需要盡快解決。根據(jù)遼寧省交通廳目前的行業(yè)痛點和安全需求，本文提出了如圖2所示的安全統(tǒng)一身份認(rèn)證系統(tǒng)架構(gòu)。

整個架構(gòu)分為兩個區(qū)域，DMZ區(qū)、應(yīng)用區(qū)。DMZ區(qū)是主要用來和互聯(lián)網(wǎng)進(jìn)行交互的隔離區(qū)域，部署應(yīng)用安全網(wǎng)關(guān)、RA代理服務(wù)器、WEB服務(wù)器等。應(yīng)用區(qū)主要部署了統(tǒng)一認(rèn)證身份管理系統(tǒng)、應(yīng)用系統(tǒng)、動態(tài)密碼系統(tǒng)、數(shù)字簽名驗簽服務(wù)器，兩個區(qū)域通過網(wǎng)閘進(jìn)行隔離，實現(xiàn)了網(wǎng)絡(luò)安全邊界防護(hù)。身份認(rèn)證的實現(xiàn)流程如下：

3.1 證書申請流程

（1）業(yè)務(wù)人員登錄RA系統(tǒng)WEB管理頁面；（2）填寫證書注冊信息，提交；（3）RA服務(wù)器明文方式將信息傳送到RA前置代理；（4）RA前置代理與交通部安全代理服務(wù)器建立SSL連接，建立連接后將注冊信息密文訪問傳送到安全代理服務(wù)器；（5）安全代理服務(wù)器以明文方式將信息傳送證書認(rèn)證系統(tǒng)；（6）證書認(rèn)證系統(tǒng)接收證書注冊信息，制作證書，按照原路返回給RA服務(wù)器；（7）RA服務(wù)器將證書寫入USBKEY中，完成證書申請。

3.2 外部用戶訪問與登錄應(yīng)用系統(tǒng)流程-動態(tài)口令

（1）用戶通過瀏覽器訪問業(yè)務(wù)系統(tǒng)網(wǎng)址，在用戶與安全網(wǎng)關(guān)之間建立安全https通道；（2）輸入用戶名與動態(tài)密碼；（3）動態(tài)密碼通過應(yīng)用服務(wù)器發(fā)送到動態(tài)密碼服務(wù)器；（4）動態(tài)密碼服務(wù)器驗證后，返回成功OR失敗；（5）驗證成功后，用戶成功登錄業(yè)務(wù)系統(tǒng)。

3.3 關(guān)鍵業(yè)務(wù)操作流程-數(shù)字簽名

（1）用戶成功登錄系統(tǒng)；（2）提交關(guān)鍵信息，并對信息進(jìn)行數(shù)字簽名，并提交到后臺業(yè)務(wù)系統(tǒng)；（3）業(yè)務(wù)系統(tǒng)接收到客戶端發(fā)來的驗簽請求，調(diào)用簽名服務(wù)器API接口，進(jìn)行簽名驗證；（4）驗證成功后，保障了關(guān)鍵信息的真實完整，進(jìn)行下一步邏輯處理。

3.4 單點登錄

（1）業(yè)務(wù)人員登錄門戶，系統(tǒng)會展示出有權(quán)限登錄的系統(tǒng)；（2）業(yè)務(wù)人員點擊對應(yīng)業(yè)務(wù)系統(tǒng)，單點登錄系統(tǒng)會代替業(yè)務(wù)人員填入系統(tǒng)用戶名與密碼同時跳轉(zhuǎn)到對應(yīng)業(yè)務(wù)中指定頁面。

3.5 賬號同步管理

當(dāng)要增加用戶或刪除用戶，系統(tǒng)管理員無需登錄對應(yīng)每個權(quán)限的操作系統(tǒng)逐一操作，只需要登錄統(tǒng)一身份認(rèn)證管理系統(tǒng)進(jìn)行創(chuàng)建賬戶與刪除賬戶操作，統(tǒng)一認(rèn)證管理系統(tǒng)調(diào)用其他系統(tǒng)接口，賬戶信息會自動同步到對應(yīng)系統(tǒng)中。

3.6 應(yīng)用場景

經(jīng)過整合后，遼寧省交通運輸廳的公路、水路、港口、危貨、兩客一危、造價等所有信息系統(tǒng)實現(xiàn)了統(tǒng)一身份認(rèn)證，在數(shù)據(jù)交互過程中，基于SM2算法，實現(xiàn)了數(shù)據(jù)交互的加密傳輸，保障了數(shù)據(jù)傳輸?shù)陌踩到y(tǒng)基于多因子的身份認(rèn)證和統(tǒng)一權(quán)限控制，實現(xiàn)了每個賬戶的權(quán)限適當(dāng)且唯一，不僅避免了多個系統(tǒng)用戶名和口令，也實現(xiàn)了責(zé)任清晰，安全高效。

結(jié)束語：針對目前交通行業(yè)信息化系統(tǒng)面臨系統(tǒng)多、系統(tǒng)分散、信息難以整合、身份認(rèn)證困難、訪問難以控制、賬號管理混亂等問題，提出了基于國密算法的統(tǒng)一身份認(rèn)證系統(tǒng)，實現(xiàn)了身份認(rèn)證、訪問控制靈活統(tǒng)一，極大的提高了網(wǎng)絡(luò)信息安全防護(hù)水平，通過在交通廳的部署應(yīng)用，實現(xiàn)了系統(tǒng)的集中統(tǒng)一管理和單點登錄，提高了交通行業(yè)的業(yè)務(wù)和信息安全管理水平。下一步將探索行業(yè)數(shù)據(jù)治理和大數(shù)據(jù)的分析，實現(xiàn)系統(tǒng)和數(shù)據(jù)的集中統(tǒng)一管理，加快交通行業(yè)的數(shù)字化轉(zhuǎn)型。