飞天诚信电子政务身份认证解决方案
来源:中国电子政务网 更新时间:2012-04-15

一、项目背景

随着信息技术在世界范围的迅猛发展,特别是互联网技术的普及应用,电子政务信息安全建设目前成为我国各级政府极为关注的问题。年初黄菊副总理在全国信息安全保障工作会议上指出,随着世界科学技术的迅猛发展和信息技术的广泛应用,迫切要求加强信息安全保障工作。要从促进经济发展、维护社会稳定、保障国家安全的高度,充分认识进一步加强信息安全保障工作的极端重要性,增强做好这项工作的紧迫感、责任感和自觉性。

电子政务作为信息网络的一个特殊应用领域,运行着大量需要保护的数据和信息,相对于企业信息化和电子商务,有自身特殊性:一是信息内容的高保密性、高敏感度;二是电子政务发挥行政监督力度;三是利用网络环境为社会提供公共服务。如果系统的安全性被破坏,造成敏感信息暴露或丢失,或网络被攻击等安全事件,产生的后果必然波及地区和整个国家,电子政务信息系统也必然成为信息间谍、敌对势力、恐怖集团、国家之间信息战攻击的目标。
    
因此,构建电子政务信息安全保障体系,事关国家政治、经济、国防安全和民族信息产业发展全局,缺乏安全保障的电子政务信息系统,不可能实现真正意义上的电子政务。

目前常见的身份认证方式主要有三种,最常见的是使用用户名加口令的方式,但这也是最原始、最不安全的身份确认方式,非常容易由于外部泄漏等原因或通过口令猜测、线路窃听、重放攻击等手段导致合法用户身份被伪造;第二种是生物特征识别技术(包括指纹、声音、手迹、虹膜等),该技术以人体唯一的生物特征为依据,具有很好的安全性和有效性,但实现的技术复杂,技术不成熟,实施成本昂贵,在应用推广中不具有现实意义;第三种也是现在电子政务和电子商务领域最流行的身份认证方式——基于USB Key的身份认证。

二、飞天身份认证产品的特点

1、  双因子认证

每一个ePass身份认证锁都具有硬件PIN码保护,PIN码和硬件构成了用户使用身份认证锁的两个必要因素,即所谓“双因子认证”。用户只有同时取得了锁和用户PIN码,才可以登陆商务网平台系统。即使用户的PIN码被泄漏,只要用户持有的认证锁不被盗取,合法用户的身份就不会被仿冒;如果用户的锁遗失,拾到者由于不知道用户PIN码,也无法仿冒合法用户的身份,如果非法使用者输错PIN码次数超过规定的限制,则防盗锁便会处于锁定状态。

2、  带有安全存储空间

ePass身份认证锁具有的安全数据存储空间,可以存储客户的登陆信息和密钥等秘密数据,外部应用对其上的存储器所存的数据访问都要通过智能微系统的判定,只有权限相符才允许访问。这样就能实现真正意义上的保护,杜绝了复制客户身份信息的可能性。

3、  硬件实现加密算法

ePass身份认证锁内置CPU或智能卡芯片,可以实现PKI体系中使用的数据摘要、数据加解密和签名的各种算法,加解密运算在锁内进行,保证了用户密钥不会出现在计算机内存中,从而杜绝了用户密钥被黑客截取的可能性。

4、便于携带,安全可靠

如拇指般大的ePass认证锁非常方便随身携带,可直接穿到钥匙链上,迎合了追求时尚客户的心里。锁的硬件不可复制,存于ePass认证锁存储器上的数据与对应的硬件进行了绑定加密,即便拆换两只同型号的ePass认证锁存储器也不能正常工作,使用拆片破解的方法也无法复制ePass认证锁内的信息,因此更显安全可靠。

三、USB Key身份认证系统的应用方式:

1、基于冲击-响应的双因子认证方式

当政府各部门之间审批需要在网络上验证用户身份时,先由客户端向服务器发出一个验证请求。服务器接到此请求后生成一个随机数并通过网络传输给客户端(此为冲击)。客户端将收到的随机数通过USB接口提供给ePass,由ePass使用该随机数与存储在ePass中的密钥进行MD5-HMAC运算并得到一个结果作为认证证据传给服务器(此为响应)。与此同时,服务器也使用该随机数与存储在服务器数据库中的该客户密钥进行MD5-HMAC运算,如果服务器的运算结果与客户端传回的响应结果相同,则认为客户端是一个合法用户。

密钥运算分别在ePass硬件和服务器中运行,不出现在客户端内存中,也不在网络上传输,由于MD5-HMAC算法是一个不可逆的算法,就是说知道密钥和运算用随机数就可以得到运算结果,而知道随机数和运算结果却无法计算出密钥,从而保护了密钥的安全,也就保护了用户身份的安全,最重要的是有效的防御了外界侦听、截获、窃取、破译等被动攻击和修改、伪造、破坏、冒充、病毒扩散等技术的主动攻击。

2、基于数字证书的认证方式

随着PKI技术日趋成熟,许多应用中开始使用数字证书进行身份认证与数字加密。数字证书是由权威公正的第三方机构即CA中心签发的,以数字证书为核心的加密技术,可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。

PKI即公共密钥体系,即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一个仅为本人所掌握的私有密钥(私钥),用它进行解密和签名;同时拥有一个公开密钥(公钥)用于文件发送者加密和接收者验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样,信息就可以安全无误地到达目的地了,即使被第三方截获,由于没有相应的私钥,也无法进行解密。

用户也可以采用自己的私钥对信息进行加密,接收者用发送者的公钥解密,由于私钥仅为用户本人所有,所以就能够确认该信息确实是由该用户发送的,此过程称之为数字签名。

USB Key作为数字证书的存储介质,可以保证数字证书不被复制,并可以实现所有数字证书的功能。

、飞天身份认证锁电子政务信息安全最好的选择

在建设电子政务系统,选择安全产品时首先考虑的因素必然是安全性,电子政务系统很多时候也是恶意攻击的重点目标,黑客技术在不断进步,安全系统的技术也必须具有不断升级的能力,安全产品的厂商必须具有持续的研发能力;可靠性也是选择安全产品时应考虑的重要因素。安全产品不应该成为系统的故障隐患;电子政务系统是有若干巨大而复杂的网络构成的,广泛的地域分布性要求网络安全系统必须能够适应大规模部署的情况,要求其使用的逻辑要简单,因为这个系统的使用人员绝大多数不具备安全方面的专业知识。

北京飞天诚信科技有限公司不断追踪国际先进技术,围绕智能卡操作系统,自主研发的ePass网络身份认证锁是飞天诚信公司在国内首家推出的USB接口身份认证锁,产品易于使用,外型小巧便于使用者随身携带,采用一体化封装工艺,防尘、防水、防静电等,它支持 Internet ExplorerOutlookOutlook ExpressNetscape Communicator 以及其它任何基于 Microsoft CAPI PKCS#11 标准的软件产品的 PKI 应用,可用于存储用户密钥及数字证书,与PKI技术紧密结合,把住了整个信息安全的第一关,为网络身份认证与授权提供了安全的解决方案。它已被广泛应用于电子政务、电子商务、金融、工商、税务等诸多领域。