自主可控的網(wǎng)絡(luò)空間云認證服務(wù)的建設(shè)思路和實踐

李曉林 廖黎敏

(北京唐密科技發(fā)展有限公司 北京 100084)(lixl@tanghuantech.com)

?

自主可控的網(wǎng)絡(luò)空間云認證服務(wù)的建設(shè)思路和實踐

李曉林 廖黎敏

(北京唐密科技發(fā)展有限公司 北京 100084)(lixl@tanghuantech.com)

身份認證是確保網(wǎng)絡(luò)空間架構(gòu)整體安全的第1道門檻，隨著我國互聯(lián)網(wǎng)，尤其是移動互聯(lián)網(wǎng)等新型應(yīng)用形態(tài)的快速普及，相應(yīng)的網(wǎng)絡(luò)認證技術(shù)需求及應(yīng)用研發(fā)也呈現(xiàn)出旺盛的多元化發(fā)展勢頭，移動化、服務(wù)化、多技術(shù)融合的、自適應(yīng)的認證技術(shù)和服務(wù)模式是身份認證領(lǐng)域發(fā)展的新方向.通過具體案例的研究和分析，介紹了基于我國安全自主可控的認證技術(shù)的云認證服務(wù)的架構(gòu)、服務(wù)模式、應(yīng)用特點等，為互聯(lián)網(wǎng)+行業(yè)的認證平臺建設(shè)和應(yīng)用提供可借鑒的基礎(chǔ).網(wǎng)絡(luò)身份認證是網(wǎng)絡(luò)空間安全的基石，必須大力支持和發(fā)展具有自主知識產(chǎn)權(quán)的網(wǎng)絡(luò)空間身份認證技術(shù)，并借助互聯(lián)網(wǎng)+戰(zhàn)略促進在各行業(yè)的應(yīng)用.

身份認證；認證服務(wù)；服務(wù)模式；動態(tài)口令

1 網(wǎng)絡(luò)空間認證技術(shù)研究現(xiàn)狀

1.1 網(wǎng)絡(luò)認證應(yīng)用需求多元化

網(wǎng)絡(luò)空間認證是確保網(wǎng)絡(luò)空間架構(gòu)整體安全的第1道門檻.一旦網(wǎng)絡(luò)身份被冒用或盜用，一切網(wǎng)絡(luò)安全技術(shù)和手段都是形同虛設(shè).近年來，隨著我國互聯(lián)網(wǎng)技術(shù)迅速發(fā)展，尤其是移動互聯(lián)網(wǎng)的快速普及，相應(yīng)的網(wǎng)絡(luò)認證技術(shù)需求及應(yīng)用研發(fā)也呈現(xiàn)出旺盛的多元化發(fā)展勢頭，如移動數(shù)字證書、動態(tài)口令、短信驗證、指紋識別、人臉識別、視網(wǎng)膜識別、血液驗證等.

一方面，市場對新型的方便、快捷、安全、兼容性強的認證技術(shù)的需求非常大.比如，移動互聯(lián)網(wǎng)服務(wù)、移動互聯(lián)網(wǎng)金融等新型業(yè)務(wù)形態(tài)，要求認證技術(shù)同時滿足方便、快捷、安全的要求，而一次一變的動態(tài)口令的技術(shù)就是一個很好的選擇之一.

另一方面，認證技術(shù)也在向多技術(shù)融合的方向發(fā)展.認證不僅僅是一種技術(shù)的認證，往往是多渠道、多維度、多技術(shù)的聯(lián)合認證，比如常用的短信驗證碼與數(shù)字證書；生物特征與動態(tài)口令的結(jié)合.同時，認證不僅僅是針對主體身份的認證，也包括對網(wǎng)絡(luò)、內(nèi)容、服務(wù)、設(shè)備等的可信認證，尤其是云計算、物聯(lián)網(wǎng)等新型應(yīng)用模式的興起，主客體的實時接入、動態(tài)部署、在線移植、虛擬透明化等特征[1]，大幅度擴展了認證技術(shù)的應(yīng)用深度和廣度.

1.2 網(wǎng)絡(luò)認證技術(shù)體系單一

目前，我國的網(wǎng)絡(luò)安全體系建設(shè)是在美國CA公司研發(fā)的數(shù)字證書的基礎(chǔ)上建立起來的，后來的PKI(public key infrastructure)技術(shù)體系[2]、IBC(identity-based cryptograph)技術(shù)體系、CPK(combined public key)技術(shù)體系[3]都是基于挑戰(zhàn)應(yīng)答技術(shù)的基礎(chǔ)實現(xiàn)的.任何一項安全技術(shù)的應(yīng)用都有其局限性，不同的場景不同的使用條件下某項技術(shù)使用是安全的.一個國家的安全保密技術(shù)體系建立在一項技術(shù)的基礎(chǔ)上是不科學(xué)的.

比如，我國目前網(wǎng)上銀行采用的認證技術(shù)和簽名技術(shù)都是美國公司專利技術(shù)，包括網(wǎng)上銀行用的U盾和動態(tài)口令令牌，U盾采用的是美國CA公司的PKI技術(shù)(U盤預(yù)裝數(shù)字認證證書，采用挑戰(zhàn)應(yīng)答技術(shù))，動態(tài)口令采用的是美國RSA公司的Securid技術(shù)(令牌1 min顯示1個密碼)，屬于單向認證技術(shù).現(xiàn)有動態(tài)口令技術(shù)無法克服“盜號木馬”、“釣魚網(wǎng)站”、“網(wǎng)頁掛馬”、“重放攻擊”、“中間人攻擊”、“網(wǎng)頁劫持”、“更改時間戳”等攻擊方式，所以不適合在金融、電信、電商、政府、軍隊、軍工等高安全強度的單位使用和運營服務(wù).

針對我國目前的技術(shù)現(xiàn)狀，應(yīng)該提倡身份鑒別技術(shù)多元化，特別是安全技術(shù)越是新技術(shù)越能起到安全作用.在提出構(gòu)建自主可控網(wǎng)絡(luò)空間同時兼容目前的國際互聯(lián)網(wǎng)(也是美國互聯(lián)網(wǎng))是我們面對的課題.自主可控技術(shù)和產(chǎn)品不是模仿、仿造和貼牌，而是擁有原創(chuàng)性發(fā)明核心關(guān)鍵技術(shù)作為支撐的技術(shù)和產(chǎn)品才配叫自主可控.

1.3 身份認證技術(shù)研究和應(yīng)用

身份認證技術(shù)的研究和應(yīng)用的發(fā)展大致經(jīng)歷了4個階段(如圖1所示)：靜態(tài)密碼技術(shù)；數(shù)字證書和時間型動態(tài)口令技術(shù)；生物特征識別和事件動態(tài)口令；生物特征與動態(tài)口令融合的雙因素認證.每類認證技術(shù)的出現(xiàn)與應(yīng)用都與特定的應(yīng)用場景需求相聯(lián)系，隨著服務(wù)對象的多樣性和差異化特征越來越明顯，多種身份認證技術(shù)相互融合，取長補短，提供用戶可自選擇的安全性、便捷性相平衡的解決方案是未來的發(fā)展趨勢.

OMAT(one-time mutual Authentication technology), PIN(personal identification number), OTP(one-time password)圖1 認證技術(shù)發(fā)展歷程示例

下面專門分析數(shù)字證書、動態(tài)口令、生物特征(指紋和靜脈)3類身份認證技術(shù)的特點.

1) 數(shù)字證書.采用非對稱密鑰體系，一般情況下難于破解，總體安全性高，但是證書本身采用靜態(tài)密碼保護以及聯(lián)機使用的特點，導(dǎo)致容易被盜取使用.

2) 動態(tài)口令.采用對稱密碼體系，運算復(fù)雜度低，適用各種場景，有效平衡了安全性和便捷性的雙向需求.

3) 生物特征.不同的生物特征識別在安全性和便捷性上差異都比較大，同時只能適合特定的場景.比如指紋使用方便，但是易被克膜；靜脈識別安全性高，但是只能適用于公共場景，個人用戶往往使用成本高，不便捷.

我們將幾類常見的身份認證技術(shù)的主要特征進行對比,如表1所示：

表1 常見身份認證技術(shù)特征對比

1.4 事件同步的動態(tài)口令雙向技術(shù)

OMAT是一種具有自主知識產(chǎn)權(quán)的基于事件同步的動態(tài)口令雙向身份認證專利技術(shù)(專利授權(quán)號：200710195695.3[4])，利用高強度加密算法、應(yīng)用事件激發(fā)和同步機制，實現(xiàn)用戶端和服務(wù)器端的雙向身份認證.該技術(shù)能夠防止現(xiàn)有的各種攻擊手段，并且能夠兼容現(xiàn)有的基于靜態(tài)口令認證的各種網(wǎng)絡(luò)應(yīng)用系統(tǒng)，具有系統(tǒng)升級改造成本低、所需時間短、用戶使用習(xí)慣不需改變等優(yōu)點.

基于事件的動態(tài)口令雙向身份認證技術(shù)，原理如圖2所示.在系統(tǒng)設(shè)置的初始時刻，每一個系統(tǒng)用戶都與認證服務(wù)器設(shè)置了共享密鑰Ku和一個相同的狀態(tài)計數(shù)器值Nu(起同步作用，也可稱為同步計數(shù)器值).動態(tài)口令Pn加密函數(shù)在輸入為密鑰Ku和狀態(tài)計數(shù)器值Nu為n時的函數(shù)輸出值.即Pn=E(Ku,n)，其中：E()為函數(shù).

圖2 動態(tài)口令原理

采用認證服務(wù)器和客戶端的雙向認證技術(shù)，雙向認證的流程如圖3所示，分為3步：

1) 用戶提交帳號和靜態(tài)口令給認證服務(wù)器進行第1次身份認證；

2) 靜態(tài)口令認證通過后將同步計數(shù)器值加1，服務(wù)器將生成的動態(tài)口令傳送到用戶端，供用戶對服務(wù)器的身份進行認證；

圖4 OMAT動態(tài)口令認證過程

3) 用戶核對服務(wù)器顯示的動態(tài)口令是否與自己令牌產(chǎn)生的動態(tài)口令相同，相同則認證通過，向服務(wù)器提交下一次的動態(tài)口令進行身份認證.

圖3 OMAT動態(tài)口令認證原理

為了防御并發(fā)多個認證請求連接之類的攻擊方法，認證服務(wù)器需要在靜態(tài)口令認證成功后記錄本次連接用戶的IP地址.后續(xù)的動態(tài)口令認證中還要驗證這2次連接的IP地址是否相同，確保用戶與認證系統(tǒng)連接的唯一性.認證流程如圖4所示.

通過研究可以發(fā)現(xiàn)，現(xiàn)有系統(tǒng)的身份認證是服務(wù)器對用戶的單向認證，用戶沒有安全易行的方式來對服務(wù)器的真假進行鑒別，因此才造成“網(wǎng)絡(luò)釣魚”和各式各樣木馬病毒攻擊的泛濫，木馬病毒盜號技術(shù)模式如圖5所示.只有采用客戶端與服務(wù)器端的雙向認證，才能徹底防止“網(wǎng)絡(luò)釣魚”這樣的攻擊手段.

圖5 木馬病毒盜號技術(shù)模式

基于事件同步的動態(tài)口令雙向認證技術(shù)防止木馬病毒盜號的技術(shù)流程如圖6所示.

圖6 防止木馬病毒盜號的技術(shù)流程

基于事件同步的動態(tài)口令雙向認證技術(shù)防止釣魚網(wǎng)站攻擊的技術(shù)流程如圖7所示.

圖7 防止釣魚網(wǎng)站攻擊的技術(shù)流程

1.5 認證服務(wù)模式研究現(xiàn)狀

云認證是當(dāng)前一個時髦話題.云認證服務(wù)平臺是借助互聯(lián)網(wǎng)、云計算服務(wù)模式，將認證技術(shù)和產(chǎn)品以服務(wù)的形態(tài)，向企業(yè)、公眾用戶提供的第三方認證服務(wù)平臺.云認證服務(wù)模式是互聯(lián)網(wǎng)+需求發(fā)展和應(yīng)用在身份認證領(lǐng)域的具體體現(xiàn)，是促進 “大眾創(chuàng)業(yè)、萬眾創(chuàng)新”在身份認證領(lǐng)域的具體承載平臺之一.

當(dāng)前各個行業(yè)如金融機構(gòu)，它們的安全服務(wù)獨立建設(shè)和運營，導(dǎo)致規(guī)范和標準不統(tǒng)一、重復(fù)投資.而隨著安全需求越高越復(fù)雜，走獨自建設(shè)的老路明顯專業(yè)人才不足、公共資源浪費.建立統(tǒng)一的、專業(yè)化的、高水平的第三方運營服務(wù)機構(gòu)，有利于提高安全服務(wù)質(zhì)量和水平，降低金融業(yè)的服務(wù)成本.

云認證服務(wù)有利于解決當(dāng)前普遍存在的“系統(tǒng)孤島”、“用戶孤島”問題[1]，促進用戶信息以用戶為中心的聚合，而不是綁定到特定的服務(wù)商平臺，從而有利于各領(lǐng)域面向?qū)I(yè)信息的大數(shù)據(jù)平臺的建設(shè)和分析利用.

在互聯(lián)網(wǎng)這種開放的、不設(shè)防的、復(fù)雜的信息交互環(huán)境中，除了保障用戶賬戶信息和網(wǎng)上交易安全之外，如何有效界定網(wǎng)上銀行出現(xiàn)安全案件中的責(zé)任，是各家網(wǎng)絡(luò)服務(wù)商(如網(wǎng)上銀行)、相關(guān)監(jiān)管機構(gòu)以及認證服務(wù)機構(gòu)需要面對并妥善解決的問題.云認證作為第三方認證機構(gòu)，為信息交互雙方承擔(dān)了網(wǎng)上信息安全的部分責(zé)任，對交易雙方都起到規(guī)避風(fēng)險的作用.例如在出現(xiàn)網(wǎng)銀交易糾紛時，云認證服務(wù)平臺可以為當(dāng)事人雙方提供相應(yīng)的具有法律效力的第三方數(shù)據(jù)保全和司法舉證[5].

2 云認證服務(wù)平臺方案和應(yīng)用

基于移動互聯(lián)網(wǎng)的動態(tài)口令云認證服務(wù)平臺(以下簡稱云認證平臺)是北京市中小企業(yè)發(fā)展專項資金支持的產(chǎn)業(yè)化項目，編號BA-108017-2013-0002.項目第1期總投入3000多萬元，已經(jīng)建立區(qū)域性云認證試點中心.

項目的總體目標是由北京唐密科技發(fā)展有限公司牽頭，聯(lián)合清華大學(xué)、中國科學(xué)院等科研院所和企業(yè)，根據(jù)我國互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)發(fā)展規(guī)劃綱要和需求，面向全國范圍，采用統(tǒng)一規(guī)劃、分層建設(shè)、集中管控的策略，利用自主可控的身份認證和云計算技術(shù)，建設(shè)和運營統(tǒng)一的云認證安全服務(wù)平臺，為各級政府部門、企事業(yè)單位提供安全、便捷、高效的多因素相結(jié)合的電子認證服務(wù)，實現(xiàn)用戶訪問本地和遠程網(wǎng)絡(luò)服務(wù)滿足“五通”(一本通、一帳通、一令通、一章通、一證通)的一站式服務(wù)體驗[6]，整體提升我國互聯(lián)網(wǎng)服務(wù)的安全性.

2.1 軟件架構(gòu)

云認證平臺具體實施時可以采用我國完全自主知識產(chǎn)權(quán)的動態(tài)口令OMAT技術(shù)和生物特征識別技術(shù)，為互聯(lián)網(wǎng)環(huán)境提供安全、便捷、高效的雙因素電子認證服務(wù).

該平臺完全采用云計算架構(gòu)，軟件總體架構(gòu)分3個層次，包括客戶端、基礎(chǔ)服務(wù)系統(tǒng)、云數(shù)據(jù)管理平臺[7-8]，如圖8所示.

圖8 軟件架構(gòu)

云數(shù)據(jù)管理平臺是確保認證平臺能在線擴展，支持十億級用戶、千萬級至億級并發(fā)訪問通量的關(guān)鍵部件.

云數(shù)據(jù)管理平臺是將地理上分布的各類數(shù)據(jù)源，通過封裝器(wrapper)封裝后安全接入到云數(shù)據(jù)管理平臺，在不移動數(shù)據(jù)源的物理位置的前提下，形成一個整合的、虛擬化、統(tǒng)一數(shù)據(jù)視圖的單一虛擬云數(shù)據(jù)庫，其具有動態(tài)一致、實時訪問、自主控制、單一系統(tǒng)映像等特點.用戶或應(yīng)用程序可以通過標準的SQL語言訪問虛擬數(shù)據(jù)庫，獲得數(shù)據(jù)源的聚合查詢結(jié)果.云數(shù)據(jù)庫的優(yōu)點體現(xiàn)在以下方面：

1) 通過虛擬化技術(shù)實現(xiàn)物理數(shù)據(jù)源虛擬池化的分區(qū)管理.可以確保應(yīng)用邏輯是直接基于邏輯數(shù)據(jù)源訪問，避免應(yīng)用程序與具體部署的物理資源和訪問協(xié)議綁定在一起.通過映射的機制解決邏輯到物理的映射關(guān)系，從而確保應(yīng)用的無縫移植性.

圖9 云認證平臺運營架構(gòu)

2) 處理能力高擴展性.基于虛擬化的分區(qū)管理，原則上底層物理數(shù)據(jù)源在空間擴展(增加數(shù)據(jù)源、變更數(shù)據(jù)源、整合數(shù)據(jù)源)和在時間擴展(增加、變更部署硬件和基礎(chǔ)環(huán)境軟件結(jié)構(gòu))方面，均對上層應(yīng)用邏輯不產(chǎn)生任何影響.

3) 平臺為應(yīng)用邏輯提供統(tǒng)一、簡單的垂直訪問關(guān)系.通過對大規(guī)模數(shù)據(jù)源的虛擬化操作可以抽出共性部件和功能，隱藏底層數(shù)據(jù)源的分布、異構(gòu)等細節(jié)問題，在邏輯層面的高度上達成一致.

4) 云數(shù)據(jù)平臺積累大數(shù)據(jù)管理和分析.云數(shù)據(jù)平臺可以統(tǒng)一管理和服務(wù)各種應(yīng)用系統(tǒng)的數(shù)據(jù)資源，形成全業(yè)務(wù)、全過程的大數(shù)據(jù)服務(wù)平臺，借助數(shù)據(jù)業(yè)務(wù)挖掘分析，開發(fā)潛在服務(wù)及服務(wù)模式.

圖10 部署結(jié)構(gòu)

2.2 運營架構(gòu)

云認證平臺主體思想是將安全技術(shù)服務(wù)化，為互聯(lián)網(wǎng)環(huán)境提供基本的安全認證服務(wù)，如數(shù)字證書服務(wù)、動態(tài)口令服務(wù)、電子簽章服務(wù)、云數(shù)據(jù)加密服務(wù)、數(shù)據(jù)保全服務(wù)、用戶信用服務(wù)等安全服務(wù)，平臺運營架構(gòu)如圖9所示.

2.3 部署結(jié)構(gòu)

部署結(jié)構(gòu)采用2級中心結(jié)構(gòu)，如圖10所示.在1級中心建立集中的雙活的云認證數(shù)據(jù)中心，省級(區(qū)域)網(wǎng)絡(luò)建設(shè)獨立的分中心服務(wù)，省級(區(qū)域)數(shù)據(jù)定時同步到中央雙活數(shù)據(jù)中心.

2.4 應(yīng)用模式

云認證平臺作為一個云服務(wù)產(chǎn)品，適用于各級政府部門以及網(wǎng)上金融、網(wǎng)絡(luò)游戲、電子商務(wù)、電子政務(wù)、移動支付等相關(guān)行業(yè)企業(yè)的電子認證需要.

用戶借助于云認證服務(wù)平臺，可以實現(xiàn)訪問本地和遠程服務(wù)時的“五通”滿足一站式服務(wù)的體驗，如圖11所示.

圖11 云認證服務(wù)“五通”使用模式

2.5 技術(shù)特點

1) 架構(gòu)優(yōu)勢

云平臺化的優(yōu)勢：非解決方案云平臺，可復(fù)制、可推廣性強，單位云成本低.

國內(nèi)的常見云平臺主要是通過利用各種硬件系統(tǒng)或(開源社區(qū)或商用軟件)組件產(chǎn)品搭建起來的，屬于解決方案型云平臺(也稱為拼裝式集成云平臺).這種云平臺的特點(如圖12所示)是：適合特定應(yīng)用場景，可復(fù)制性和可推廣性較低，單位云成本較高，只在一定的頻譜范圍內(nèi)，具有線性擴展性，只有達到一定程度的用戶規(guī)模后，單位成本才可能降下來.

圖12 云認證服務(wù)平臺單位成本發(fā)展對比趨勢

云認證平臺中的云數(shù)據(jù)管理平臺，具備線性擴展能力，通俗地說，從“麻雀”系統(tǒng)(單機)到“大象”平臺(云平臺)都能無縫地支持.在前期用戶規(guī)模比較小時，單位成本仍然較低，同時比較適合更多的應(yīng)用場景，如公有云、私有云、混合云等.

通過基于云計算的數(shù)據(jù)庫虛擬化管理和訪問技術(shù)，可以很方便地實現(xiàn)云認證系統(tǒng)與傳統(tǒng)的其他應(yīng)用系統(tǒng)之間異構(gòu)數(shù)據(jù)對接和同步一致訪問.系統(tǒng)兼容各種主流的軟硬件平臺(包括國產(chǎn)自主的操作系統(tǒng)和數(shù)據(jù)庫平臺)，通過靈活的橫向擴展支持大規(guī)模用戶的身份認證.另外，在應(yīng)用模式上支持與傳統(tǒng)的企業(yè)級應(yīng)用、網(wǎng)格計算、云計算、物聯(lián)網(wǎng)等多種方式的集成和對接，提供硬件令牌、軟件令牌、手機令牌等多種客戶端認證產(chǎn)品.

總體上，云認證平臺具有安全性增強、對用戶體驗一致、兼容現(xiàn)有認證系統(tǒng)、附加成本低等特點.

2) 采用我國完全自主可控的身份認證技術(shù)

OMAT一次性雙向認證技術(shù)，是面向互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)的身份認證技術(shù)，是具有我國完全自主知識產(chǎn)權(quán)(專利號：ZL200710195695.3)的最新動態(tài)口令技術(shù).

目前我國采用的認證技術(shù)和簽名技術(shù)大多是美國公司專利技術(shù)，包括網(wǎng)上銀行用的U盾和動態(tài)口令令牌，U盾采用的是美國CA公司的PKI技術(shù)(U盤預(yù)裝數(shù)字認證證書，采用挑戰(zhàn)應(yīng)答技術(shù))，動態(tài)口令采用的是美國RSA公司的Securid技術(shù)(令牌1min顯示1個密碼)，屬于單向認證技術(shù).現(xiàn)有動態(tài)口令技術(shù)無法克服“盜號木馬”、“釣魚網(wǎng)站”、“網(wǎng)頁掛馬”、“重放攻擊”、“中間人攻擊”、“網(wǎng)頁劫持”、“更改時間戳”等攻擊方式，所以不適合在政府、金融、電信、電商等需要高安全強度的單位使用和運營服務(wù).

針對我國目前的技術(shù)現(xiàn)狀，應(yīng)該建設(shè)多元化身份鑒別技術(shù)服務(wù)平臺，特別是安全技術(shù)越是新技術(shù)越能起到安全作用.自主可控技術(shù)和產(chǎn)品不是模仿、仿造和貼牌，而是擁有原創(chuàng)性發(fā)明核心關(guān)鍵技術(shù)作為支撐的技術(shù)和產(chǎn)品才配叫自主可控.

3) 可以避免重放攻擊、瀏覽器劫持等中間攻擊、木馬盜號等安全風(fēng)險

OMAT技術(shù)基于事件同步產(chǎn)生一次一變的動態(tài)口令，實現(xiàn)客戶端和服務(wù)端的雙向身份認證，技術(shù)原理和實現(xiàn)機制完全可以避免重放攻擊、瀏覽器劫持等中間攻擊、木馬盜號等安全風(fēng)險，彌補了以數(shù)字證書為代表的第1代身份認證技術(shù)和以時間同步動態(tài)口令為代表的第2代身份認證技術(shù)的不足與漏洞.

傳統(tǒng)的靜態(tài)口令安全性低，不能適應(yīng)網(wǎng)絡(luò)發(fā)展需要；而基于時間的動態(tài)口令技術(shù)由于存在時間窗口重放威脅、時鐘失調(diào)引起的用戶同步導(dǎo)致的系統(tǒng)癱瘓等問題，很難大規(guī)模部署應(yīng)用.特別強調(diào)的是，目前國內(nèi)其他動態(tài)口令技術(shù)本質(zhì)上均是模仿美國RSA公司的基于時間同步的動態(tài)口令身份認證技術(shù)，一方面面臨“自主可控”的問題，另一方面，隨著計算能力的提高，RSA核心算法不斷面臨被破解的風(fēng)險.

4) 打破了網(wǎng)絡(luò)認證技術(shù)體系單一的僵局

目前，我國的網(wǎng)絡(luò)安全體系建設(shè)是在美國CA公司研發(fā)的數(shù)字證書的基礎(chǔ)上建立起來的，后來的PKI技術(shù)體系、IBC技術(shù)體系、CPK技術(shù)體系都是基于挑戰(zhàn)應(yīng)答技術(shù)的基礎(chǔ)實現(xiàn)的.特別是任何一項安全技術(shù)都有其應(yīng)用的局限性，國家安全保密技術(shù)體系的建立離不開完備的網(wǎng)絡(luò)安全技術(shù).身份鑒別技術(shù)特別作為網(wǎng)絡(luò)安全的技術(shù)基礎(chǔ)和信息安全的基石技術(shù)[9],是國家網(wǎng)絡(luò)安全的命脈.更需要采用我國自主研發(fā)、自主可控的身份認證技術(shù).

目前移動電子政務(wù)發(fā)展迅速，我國自主研發(fā)的OMAT技術(shù)打破了只能依賴數(shù)字證書才能進行交易驗簽的限制，從而使得移動互聯(lián)網(wǎng)等便捷支付渠道同時具有交易驗簽?zāi)芰?

5) 具有良好的兼容性與多樣性

現(xiàn)有電子身份認證形式多樣，接口多樣，包括靜態(tài)密碼、動態(tài)密碼、短信驗證碼、數(shù)字證書等，動態(tài)口令技術(shù)不是替換現(xiàn)有認證技術(shù)，而是對現(xiàn)有技術(shù)的補充和完善，具有良好的兼容性.

① 完全兼容我國自主商用密碼算法系列；

② 動態(tài)口令服務(wù)技術(shù)與現(xiàn)有系統(tǒng)業(yè)務(wù)具有良好的獨立性和兼容性，不需要對現(xiàn)有業(yè)務(wù)體系和流程進行大改；

③ 系統(tǒng)提供多種產(chǎn)品形式的令牌，包括硬件令牌、軟件令牌、指紋令牌、USBKey令牌、手機令牌等，使用方便快捷.

2.6 應(yīng)用優(yōu)勢

1) 滿足新型應(yīng)用形態(tài)對認證需求的多元化、安全性和便捷性

一方面，市場對新型的方便、快捷、安全、兼容性強的認證技術(shù)的需求非常廣泛.比如，移動電子政務(wù)網(wǎng)服務(wù)、移動互聯(lián)網(wǎng)金融等新型業(yè)務(wù)形態(tài)，要求認證技術(shù)同時滿足方便、快捷、安全的要求.傳統(tǒng)的數(shù)字證書，由于其聯(lián)機應(yīng)用、算法復(fù)雜等特點，很不適合移動互聯(lián)網(wǎng)這種要求脫機、快捷服務(wù)、動態(tài)服務(wù)整合的計算平臺，相反，一次一變的OMAT動態(tài)口令的技術(shù)針對移動互聯(lián)網(wǎng)就是一個好的選擇.

另一方面，認證技術(shù)也在向多技術(shù)融合的方向發(fā)展.認證不僅僅是一種技術(shù)的認證，往往是多渠道、多維度、多技術(shù)的聯(lián)合認證，比如常用的靜態(tài)口令和短信驗證碼、數(shù)字證書和動態(tài)口令及生物鑒別和動態(tài)口令的結(jié)合.

2) 滿足無縫支持移動互聯(lián)網(wǎng)等新型服務(wù)模式

當(dāng)前電子政務(wù)、金融業(yè)等普遍使用的數(shù)字證書(PKI)體系是聯(lián)機接觸式認證技術(shù)，不適用于移動互聯(lián)網(wǎng)、線下金融等新型快捷金融服務(wù)平臺.而動態(tài)口令技術(shù)不僅完全適用傳統(tǒng)互聯(lián)網(wǎng)，更特別適用于基于移動互聯(lián)網(wǎng)以智能手機為計算平臺的非接觸式在線支付，實現(xiàn)簡單、成本低、易用，應(yīng)用前景廣泛.

① 動態(tài)口令這種脫機便捷使用方式，易于與各種芯片和設(shè)備集成，能有效服務(wù)于各種特殊的傳統(tǒng)互聯(lián)網(wǎng)無法有效服務(wù)的場所和人群.如與SIM卡、SE(安全單元)集成，使得智能手機內(nèi)置口令牌，方便偏遠地區(qū)知識層次較低人群使用.

② 與射頻芯片集成，整合信息流、資金流、物流整條鏈的身份認證.

3) 動態(tài)口令技術(shù)是必然發(fā)展趨勢，具有廣闊市場需求和應(yīng)用前景

信息技術(shù)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)的快速發(fā)展，云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新型資源共享服務(wù)模式的出現(xiàn)，正快速促進信息流、資金流、物流跨區(qū)域、跨行業(yè)、跨系統(tǒng)的無縫整合，借助移動互聯(lián)網(wǎng)，以手機等移動智能終端為載體的計算平臺將為用戶帶來全新的一站式計算體驗.這種貫通多環(huán)節(jié)的“智慧系統(tǒng)”的發(fā)展促進未來主要由人為造成的安全因素變?yōu)橄到y(tǒng)對系統(tǒng)造成安全風(fēng)險的變革，需要在各環(huán)節(jié)對接時的智能化和安全性之間把握最佳平衡，提供用戶自主交互控制能力.一次完整信息流程中通過動態(tài)綁定的各個環(huán)節(jié)，由于其不可預(yù)知性、實時性、一次性等特征自然需要動態(tài)口令認證技術(shù).

從應(yīng)用效率的角度來看，由于動態(tài)口令認證技術(shù)一般采用對稱加密算法或散列函數(shù)，算法的復(fù)雜性要大大低于非對稱加密算法，比基于PKI體系的數(shù)字證書驗證簽名的效率高幾百倍甚至上千倍.因此，動態(tài)口令技術(shù)更適合應(yīng)用于大規(guī)模用戶的統(tǒng)一身份認證和大規(guī)模數(shù)據(jù)應(yīng)用環(huán)境.

3 總 結(jié)

本文首先分析了互聯(lián)網(wǎng)+時代的應(yīng)用背景和需求，針對我國網(wǎng)絡(luò)空間安全面臨的挑戰(zhàn)，提出了構(gòu)建自主可控的網(wǎng)絡(luò)空間安全架構(gòu)和建設(shè)思路.其中，網(wǎng)絡(luò)空間認證是確保網(wǎng)絡(luò)空間架構(gòu)整體安全的第1道門檻，通過分析網(wǎng)絡(luò)身份認證技術(shù)的需求、研究和應(yīng)用現(xiàn)狀、服務(wù)模式等，提出了具有我國完全自主知識產(chǎn)權(quán)的身份認證技術(shù)和云服務(wù)平臺的建設(shè)方案及應(yīng)用實踐，為互聯(lián)網(wǎng)+行業(yè)的認證平臺建設(shè)和應(yīng)用提供可借鑒的基礎(chǔ).網(wǎng)絡(luò)身份認證是網(wǎng)絡(luò)空間安全的基石，必須大力支持和發(fā)展具有自主知識產(chǎn)權(quán)的網(wǎng)絡(luò)空間身份認證技術(shù)，并借助互聯(lián)網(wǎng)+戰(zhàn)略促進在各行業(yè)的應(yīng)用.

[1]徐志偉, 李國杰. 普惠計算之十二要點[J]. 集成技術(shù), 2012, 1(1): 20-25

[2]關(guān)振勝.公鑰基礎(chǔ)設(shè)施PKI與認證機構(gòu)CA[M].北京:電子工業(yè)出版社,2002

[3]南湘浩,陳鐘.網(wǎng)絡(luò)安全技術(shù)概要[M].北京:國防工業(yè)出版社,2003

[4]李春林.基于多變量的動態(tài)密碼口令雙向認證的身份識別方法技術(shù):中國,ZL200710195695.3[P].2009-06-26

[5]TheWhiteHouse.NationalStrategyforTrustedIdentitiesInCyberspace,EnhancingOnlineChoice,Efficiency,Security,andPrivacy[S].Washington:TheWhiteHouse,2011

[6]楊寧,李曉林.K∕G:一種網(wǎng)格的使用模式體系結(jié)構(gòu)及應(yīng)用[J].計算機研究與發(fā)展,2003,40(12):17201724

[7]李曉林.一種松耦合的信息網(wǎng)格體系結(jié)構(gòu)及全生命周期評價[D].北京:中國科學(xué)院計算技術(shù)研究所,2005

[8]LiXiaolin,XuZhiwei,LiuXingwu.Community-basedmodelandaccesscontrolforinformationgrid[C]∕∕ProcofIEEE∕WICIntConfonWebIntelligence.Piscataway,NJ:IEEE,2003

[9]張世永.網(wǎng)絡(luò)安全原理與應(yīng)用[M].5版.北京:科學(xué)出版社,2003:134141

李曉林

博士，主要從事大數(shù)據(jù)平臺研制及應(yīng)用、物聯(lián)網(wǎng)數(shù)據(jù)加密與傳輸技術(shù)、身份認證技術(shù)及服務(wù)、系統(tǒng)集成等信息安全相關(guān)產(chǎn)品和服務(wù)的研制及推廣.

lixl@tanghuantech.com

廖黎敏

學(xué)士，主要從事產(chǎn)品管理模式研究、互聯(lián)網(wǎng)+、身份認證技術(shù)及服務(wù)等信息安全相關(guān)產(chǎn)品的設(shè)計管理及推廣.

liaolimin@tanghuantech.com

Building Method and Implementation of Cloud Authentication Servic in the Autonomous Controllable Network Space

Li Xiaolin and Liao Limin

(BeijingTangmiTechnologyDevelopmentCo.,Ltd.,Beijing100084)

Identity authentication is the first threshold to ensure the overall safety of network architecture space. With the rapid popularity of the Internet, especially the rapid popularity of mobile Internet and other new application forms, technical requirements for network authentication and corresponding application research and development shows a strong diversity of development momentum. Mobile Platform-based, service-oriented, technology integrated and adaptive authentication technology and service model are the new direction of research and development in the field of identity authentication. Through specific case studies and analysis, this paper introduces the architecture, service mode, and application characteristics of the cloud platform based on the independently controllable authentication technology. The case provides referential basis for the construction and application of authentication platform of Internet plus industry. Network identity authentication is the foundation of the network space safety. It is necessary to vigorously support and develop network space identity authentication technology with independent intellectual property rights, and promote its application in various industries with the help of Internet plus strategy.

identity authentication; authentication service; service mode; dynamic password

2015-07-15

北京市中小企業(yè)發(fā)展專項資金(BA-108017-2013-0002)

TP309