唐紹軍，盤善海

（1.軍委后勤保障部信息中心，北京 100842；2.中國(guó)電子科技集團(tuán)公司第三十研究所，四川 成都 610041）

0 引 言

國(guó)家逐步建立軍人榮譽(yù)制度，推進(jìn)了軍隊(duì)人員在地方依法享受各類社會(huì)福利的制度發(fā)展，使得軍人身份在公共網(wǎng)絡(luò)中的身份真實(shí)性認(rèn)證成為一個(gè)迫切需要解決的問(wèn)題。軍人身份的敏感性使軍人身份信息無(wú)法直接在公共網(wǎng)絡(luò)環(huán)境中使用，需要針對(duì)身份數(shù)據(jù)敏感性保護(hù)和身份認(rèn)證機(jī)制進(jìn)行有針對(duì)性的設(shè)計(jì)。本文設(shè)計(jì)的方案就是用于解決身份敏感人員在公共網(wǎng)絡(luò)環(huán)境下的身份認(rèn)證安全防護(hù)問(wèn)題。

1 安全風(fēng)險(xiǎn)分析

身份敏感人員在公共網(wǎng)絡(luò)環(huán)境下的身份認(rèn)證面臨的安全風(fēng)險(xiǎn)如下。

（1）身份數(shù)據(jù)敏感性泄露。具有敏感性的身份數(shù)據(jù)在進(jìn)行跨網(wǎng)絡(luò)、跨系統(tǒng)應(yīng)用時(shí)，在數(shù)據(jù)處理的各個(gè)環(huán)節(jié)都會(huì)面臨數(shù)據(jù)被竊取和非法使用的風(fēng)險(xiǎn)，若造成數(shù)據(jù)泄露，將會(huì)給個(gè)人、機(jī)構(gòu)甚至國(guó)家?guī)?lái)?yè)p失和危害。

（2）身份假冒。身份敏感人員身份認(rèn)證為了保護(hù)個(gè)人身份信息的安全，個(gè)人身份信息不宜在系統(tǒng)中直接傳輸和存儲(chǔ)，從而增加了身份假冒的風(fēng)險(xiǎn)。

（3）大數(shù)據(jù)分析。身份敏感人員的身份數(shù)據(jù)在公共網(wǎng)絡(luò)環(huán)境中應(yīng)用時(shí)，一旦泄露，面臨著被分析出身份敏感人員的數(shù)量和規(guī)模等風(fēng)險(xiǎn)。

2 方案設(shè)計(jì)

方案從敏感身份數(shù)據(jù)的引接、數(shù)據(jù)處理和數(shù)據(jù)應(yīng)用多個(gè)環(huán)節(jié)，針對(duì)敏感身份數(shù)據(jù)的安全風(fēng)險(xiǎn)分別采取相應(yīng)的安全技術(shù)手段，保證既能基于敏感身份數(shù)據(jù)實(shí)現(xiàn)身份敏感人員在公共網(wǎng)絡(luò)環(huán)境下的身份認(rèn)證，又能保證敏感身份數(shù)據(jù)的安全，防止敏感身份泄露和其他安全威脅。

2.1 系統(tǒng)架構(gòu)

系統(tǒng)架構(gòu)設(shè)計(jì)如圖1所示。

圖1 系統(tǒng)架構(gòu)

系統(tǒng)在架構(gòu)設(shè)計(jì)上以保護(hù)身份數(shù)據(jù)的敏感性為核心，在數(shù)據(jù)引接、數(shù)據(jù)處理和數(shù)據(jù)應(yīng)用多個(gè)層面采取相應(yīng)的安全技術(shù)手段，保證身份敏感人員的身份數(shù)據(jù)應(yīng)用于公共網(wǎng)絡(luò)環(huán)境中時(shí)，數(shù)據(jù)的產(chǎn)生、處理、分發(fā)、存儲(chǔ)以及應(yīng)用等各個(gè)環(huán)節(jié)的安全性。

2.2 身份數(shù)據(jù)引接

數(shù)據(jù)引接是指從身份敏感人員身份數(shù)據(jù)庫(kù)中根據(jù)實(shí)際應(yīng)用需求引接部分必需的基礎(chǔ)身份數(shù)據(jù)。數(shù)據(jù)引接包括以下流程。

2.2.1 數(shù)據(jù)過(guò)濾

敏感身份數(shù)據(jù)庫(kù)通常部署在信息系統(tǒng)內(nèi)部網(wǎng)絡(luò)，為了保證數(shù)據(jù)的使用范圍，根據(jù)滿足應(yīng)用需求最低原則設(shè)置過(guò)濾條件，對(duì)引接的數(shù)據(jù)進(jìn)行安全過(guò)濾。過(guò)濾條件包括以下內(nèi)容。

（1）數(shù)據(jù)項(xiàng)過(guò)濾。針對(duì)身份認(rèn)證需求，設(shè)置引接的身份信息基礎(chǔ)數(shù)據(jù)項(xiàng)，包括姓名、性別、身份證號(hào)和基本身份屬性等。

（2）高敏感度數(shù)據(jù)過(guò)濾。針對(duì)部分身份敏感度較高的人員，設(shè)置特定的身份屬性過(guò)濾條件，對(duì)這類人員的身份數(shù)據(jù)進(jìn)行過(guò)濾，防止引接到外部公共網(wǎng)絡(luò)環(huán)境中。

2.2.2 數(shù)據(jù)分隔

數(shù)據(jù)分隔是為了控制數(shù)據(jù)的應(yīng)用范圍，根據(jù)敏感身份數(shù)據(jù)的應(yīng)用范圍對(duì)數(shù)據(jù)進(jìn)行分隔，分隔后可以進(jìn)行不同的數(shù)據(jù)處理和存儲(chǔ)。

2.2.3 數(shù)據(jù)轉(zhuǎn)換

引接的數(shù)據(jù)需要使用獨(dú)立的數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行存儲(chǔ)，通過(guò)對(duì)數(shù)據(jù)項(xiàng)的名稱、類型進(jìn)行轉(zhuǎn)換，建立新的數(shù)據(jù)信息庫(kù)。

2.2.4 數(shù)據(jù)存儲(chǔ)

對(duì)分隔和轉(zhuǎn)換后的數(shù)據(jù)進(jìn)行安全存儲(chǔ)，并根據(jù)數(shù)據(jù)的敏感程度采取安全措施，包括數(shù)據(jù)庫(kù)加密、訪問(wèn)控制和審計(jì)等。

2.3 身份數(shù)據(jù)處理

數(shù)據(jù)處理是系統(tǒng)最重要的一個(gè)環(huán)境，需要實(shí)現(xiàn)敏感身份數(shù)據(jù)從敏感變成非敏感、從內(nèi)部系統(tǒng)遷移到外部系統(tǒng)。主要的安全技術(shù)手段是數(shù)據(jù)脫敏和數(shù)據(jù)安全分發(fā)。

2.3.1 數(shù)據(jù)脫敏

敏感身份數(shù)據(jù)在外部公共網(wǎng)絡(luò)環(huán)境中應(yīng)用，必需采取安全、有效的數(shù)據(jù)脫敏[1]技術(shù)對(duì)數(shù)據(jù)進(jìn)行脫敏處理。

（1）數(shù)據(jù)脫敏目標(biāo)。數(shù)據(jù)脫敏目標(biāo)包括兩個(gè)方面：一是防止泄露數(shù)據(jù)的敏感性，即對(duì)敏感身份數(shù)據(jù)進(jìn)行脫密或去隱私化；二是防止對(duì)數(shù)據(jù)進(jìn)行敏感性分析，即對(duì)敏感身份數(shù)據(jù)去真實(shí)性。

（2）數(shù)據(jù)脫敏技術(shù)。敏感身份數(shù)據(jù)脫敏采用的技術(shù)手段和脫敏效果直接決定了身份敏感人員在公共網(wǎng)絡(luò)環(huán)境中基于用戶真實(shí)身份進(jìn)行網(wǎng)絡(luò)身份認(rèn)證是否符合安全保密要求。本方案采用的數(shù)據(jù)脫敏技術(shù)[2]和處理流程如圖2所示。

圖2 敏感身份數(shù)據(jù)脫敏設(shè)計(jì)

數(shù)據(jù)脫敏采用基于數(shù)據(jù)脫敏引擎工作機(jī)制，通過(guò)數(shù)據(jù)脫敏算法和數(shù)據(jù)混淆算法對(duì)敏感身份數(shù)據(jù)進(jìn)行脫敏處理。

數(shù)據(jù)脫敏采用不可逆的數(shù)據(jù)轉(zhuǎn)換機(jī)制對(duì)數(shù)據(jù)進(jìn)行脫密和去隱私化處理[3]。本方案采用哈希密碼運(yùn)算對(duì)敏感身份數(shù)據(jù)的重要身份屬性進(jìn)行數(shù)據(jù)處理，包括用戶姓名、身份證號(hào)以及移動(dòng)電話號(hào)碼等?；诠Ｋ惴ǖ拿艽a運(yùn)算機(jī)制保證了脫敏處理后的數(shù)據(jù)具有不可恢復(fù)性，提供了很好的安全性保證。數(shù)據(jù)脫敏方法示例如表1所示[4]。

表1 不可逆數(shù)據(jù)脫敏處理

在數(shù)據(jù)脫敏處理之后，再對(duì)數(shù)據(jù)進(jìn)行混淆處理，本方案采用的數(shù)據(jù)混淆機(jī)制是根據(jù)實(shí)際數(shù)據(jù)增加一定數(shù)量的假數(shù)據(jù)，能夠防止對(duì)數(shù)據(jù)的數(shù)量、規(guī)模進(jìn)行分析，進(jìn)一步保證數(shù)據(jù)的安全性?；煜龣C(jī)制如表2所示。

表2 數(shù)據(jù)混淆處理

混淆數(shù)據(jù)的數(shù)量根據(jù)一定的比例隨機(jī)增加，保證難以對(duì)數(shù)據(jù)規(guī)模和具體數(shù)量進(jìn)行分析。

2.3.2 數(shù)據(jù)分發(fā)

圖3 身份數(shù)據(jù)安全分發(fā)設(shè)計(jì)

數(shù)據(jù)分發(fā)[4]是把敏感身份數(shù)據(jù)從內(nèi)部系統(tǒng)安全傳遞到外部系統(tǒng)的過(guò)程。數(shù)據(jù)分發(fā)應(yīng)根據(jù)2個(gè)系統(tǒng)之間的網(wǎng)絡(luò)關(guān)系、安全等級(jí)差別等選擇不同的數(shù)據(jù)分發(fā)方式。本方案設(shè)計(jì)的數(shù)據(jù)分發(fā)方式如圖3所示。采用數(shù)據(jù)擺渡機(jī)制實(shí)現(xiàn)敏感身份數(shù)據(jù)從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的安全分發(fā)，根據(jù)內(nèi)外網(wǎng)絡(luò)之間的安全等級(jí)選擇不同的數(shù)據(jù)擺渡機(jī)制。安全等級(jí)差別大時(shí)，選擇基于物理隔離的光盤擺渡機(jī)制；安全等級(jí)差別小時(shí)，可選擇基于單向傳送在線擺渡機(jī)制。

2.4 身份認(rèn)證應(yīng)用

圖4 安全身份認(rèn)證工作原理

基于脫敏后的身份數(shù)據(jù)進(jìn)行身份核查和身份認(rèn)證等應(yīng)用時(shí)，在身份認(rèn)證令牌和身份認(rèn)證協(xié)議設(shè)計(jì)時(shí)需要采取特殊的機(jī)制。本方案采用基于動(dòng)態(tài)密碼技術(shù)的多因素動(dòng)態(tài)可重構(gòu)的（Super One-Time-Password，SOTP）身份認(rèn)證機(jī)制[4]，實(shí)現(xiàn)敏感用戶身份的真實(shí)性核查和身份認(rèn)證，實(shí)現(xiàn)原理如圖4所示。

將脫敏后的用戶身份數(shù)據(jù)與個(gè)人秘鑰數(shù)據(jù)進(jìn)行綁定，并通過(guò)密碼算法重構(gòu)機(jī)制生成個(gè)人算法，編譯成具有唯一性的個(gè)人算法庫(kù)，既個(gè)人身份認(rèn)證令牌。采用SOTP認(rèn)證機(jī)制[5]，可以不需要用戶身份的原始信息，很好地解決了敏感用戶身份認(rèn)證過(guò)程中用戶身份敏感性保護(hù)問(wèn)題。

3 安全性分析

本方案針對(duì)敏感用戶身份認(rèn)證過(guò)程中的身份敏感性保護(hù)和認(rèn)證機(jī)制進(jìn)行了全面和有針對(duì)性的安全設(shè)計(jì)，為敏感用戶身份認(rèn)證提供了各環(huán)節(jié)的安全保證，其安全性分析如下。

（1）方案針對(duì)敏感身份數(shù)據(jù)在身份認(rèn)證過(guò)程中的各環(huán)節(jié)采用了多種安全防護(hù)技術(shù)，從數(shù)據(jù)的產(chǎn)生到數(shù)據(jù)分發(fā)，通過(guò)對(duì)數(shù)據(jù)切割、脫敏以及轉(zhuǎn)換等，保證敏感身份數(shù)據(jù)進(jìn)入公共網(wǎng)絡(luò)環(huán)境時(shí)不再具有敏感屬性，且其敏感性具有不可恢復(fù)性。

（2）采用基于SOTP認(rèn)證機(jī)制作為敏感用戶身份認(rèn)證的實(shí)現(xiàn)，利用密碼機(jī)制的安全性保證，同時(shí)無(wú)需暴露敏感用戶的原始身份信息，解決了敏感用戶在公共網(wǎng)絡(luò)環(huán)境下的身份認(rèn)證敏感性保護(hù)問(wèn)題。

4 結(jié) 語(yǔ)

敏感用戶身份認(rèn)證安全防護(hù)的重點(diǎn)是防止身份認(rèn)證過(guò)程中的身份敏感性泄露。本方案主要是針對(duì)敏感用戶在公共網(wǎng)絡(luò)環(huán)境中的身份認(rèn)證進(jìn)行安全設(shè)計(jì)，方案適用于用戶原始身份數(shù)據(jù)敏感性高且在公共網(wǎng)絡(luò)環(huán)境進(jìn)行身份認(rèn)證時(shí)不宜暴露實(shí)際身份信息的安全身份認(rèn)證應(yīng)用。在后續(xù)研究中將進(jìn)一步對(duì)敏感身份數(shù)據(jù)在公共網(wǎng)絡(luò)中的安全共享進(jìn)行研究，為互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)安全、方便地使用政府、軍隊(duì)等敏感用戶身份數(shù)據(jù)和為政企聯(lián)合、軍民融合提供信息安全保障。