北京智芯微電子科技有限公司/國(guó)家電網(wǎng)公司重點(diǎn)實(shí)驗(yàn)室/電力芯片設(shè)計(jì)分析實(shí)驗(yàn)室

王振林 陳奇輝 戴 銘 劉國(guó)營(yíng) 張 興

在信息安全領(lǐng)域身份認(rèn)證是用戶進(jìn)入系統(tǒng)的第一道安全防線，也是電力物聯(lián)網(wǎng)信息安全體系[1]中最基礎(chǔ)、最重要的安全防護(hù)技術(shù)，身份認(rèn)證技術(shù)目前廣泛應(yīng)用于電力物聯(lián)網(wǎng)內(nèi)外部用戶、不同作業(yè)終端、不同應(yīng)用場(chǎng)景下用戶身份統(tǒng)一管理的全過程。

目前個(gè)人終端的身份認(rèn)證是基于邏輯身份認(rèn)證（個(gè)人賬號(hào)），并沒有將個(gè)人終端和自然人關(guān)聯(lián)起來，個(gè)人終端鑒別方式較為單一，且個(gè)人口令遺失和被破解的風(fēng)險(xiǎn)較高，如果用戶信息從終端丟失，或者邏輯認(rèn)證信息被破解，并無法追蹤到自然人行為，存在較大的安全隱患，另外，目前和個(gè)人有關(guān)的資源認(rèn)證方式多種多樣，給用戶的記憶和使用帶來極大不便。

本文結(jié)合電力物聯(lián)網(wǎng)現(xiàn)有的安全架構(gòu)[2]，分析了身份認(rèn)證技術(shù)的發(fā)展現(xiàn)狀和發(fā)展趨勢(shì)，研究了基于安全芯片的電力物聯(lián)網(wǎng)統(tǒng)一身份認(rèn)證技術(shù)，并通過一個(gè)多業(yè)務(wù)的統(tǒng)一身份認(rèn)證流程，驗(yàn)證了基于安全芯片的電力物聯(lián)網(wǎng)統(tǒng)一身份認(rèn)證技術(shù)的安全性和可靠性。

1 身份認(rèn)證技術(shù)發(fā)展現(xiàn)狀

身份認(rèn)證技術(shù)又稱作身份鑒別技術(shù)，是用戶進(jìn)入系統(tǒng)的第一道安全防線。用戶登錄系統(tǒng)，輸入用戶名和密碼就是對(duì)用戶身份進(jìn)行鑒別。鑒別是驗(yàn)證某些信息真實(shí)性的過程，如用戶身份、網(wǎng)址或數(shù)據(jù)源等。身份認(rèn)證的方法一般依據(jù)以下三種基本情況或這三種情況的組合：所知、所有和特征。

所知即用戶所知道的知識(shí)，常見的如口令等，該身份認(rèn)證方法常將一個(gè)只有用戶和系統(tǒng)知道的秘密信息，發(fā)送到系統(tǒng)中，據(jù)此鑒別用戶身份；所有即用戶所擁有的物品，如智能鑰匙卡、SD 卡等，借助這些物品使系統(tǒng)鑒別用戶；特征即用戶所擁有的一些可被記錄和比較的生理或舉止方面的特征，這些特征能被觀察和記錄，通過與系統(tǒng)中存儲(chǔ)的特征比較進(jìn)行身份鑒別。目前，在電力物聯(lián)網(wǎng)的身份認(rèn)證安全應(yīng)用中，針對(duì)“所知、所有、特征”三種情況，主要應(yīng)用了以下四種身份認(rèn)證方法[1]。

1.1 基于用戶名/密碼身份認(rèn)證方法

用戶名/密碼身份認(rèn)證方法，以用戶名和密碼作為驗(yàn)證依據(jù)，屬于“所知”身份鑒別方法，也是目前大多數(shù)信息系統(tǒng)普遍采用的方法[3]。密碼有兩種生成方法：用戶自主選擇和系統(tǒng)自動(dòng)產(chǎn)生。用戶通常會(huì)選擇與自己生活相關(guān)的信息，如生日、街道、車牌、電話號(hào)碼等為密碼，雖然便于記憶，但容易猜測(cè)和泄露。系統(tǒng)自動(dòng)產(chǎn)生的密碼，一般由隨機(jī)數(shù)發(fā)生器自動(dòng)生成，雖然不易猜測(cè)，但用戶記憶困難，使用不便。

隨著密碼學(xué)理論的不斷發(fā)展和計(jì)算機(jī)運(yùn)算能力的提高，采用用戶名/密碼身份鑒別方法可能給信息系統(tǒng)帶來一定的安全風(fēng)險(xiǎn)，入侵者可以通過多種途徑和方法侵入系統(tǒng)。例如：密碼猜測(cè)和破解、冒充合法計(jì)算機(jī)登錄程序誘騙登錄者泄露密碼、通過網(wǎng)絡(luò)嗅探器收集網(wǎng)絡(luò)中的明文密碼（如Telnet、FTP、POP3等協(xié)議中密碼）等。因此，用戶名/密碼身份鑒別方法一般應(yīng)用于安全級(jí)別比較低的信息系統(tǒng)，或者是一些臨時(shí)的外部訪問用戶，通過該方法登錄的用戶，一般也只能獲得較低的系統(tǒng)使用權(quán)限。

1.2 基于動(dòng)態(tài)令牌的身份認(rèn)證方法

動(dòng)態(tài)令牌又被稱作一次性口令（One Time Password，OTP），是依據(jù)用戶私人身份信息和隨機(jī)數(shù)產(chǎn)生隨機(jī)變化的口令，使每次登錄過程中傳送的口令信息都不同，以提高登錄過程中用戶身份認(rèn)證的安全性。

基于動(dòng)態(tài)令牌的身份認(rèn)證方法屬于“所知”身份鑒別方法，在實(shí)際應(yīng)用中，使用動(dòng)態(tài)令牌專用硬件，實(shí)現(xiàn)“所知”加“所有”組合的“雙因素”身份認(rèn)證。該專屬硬件通常內(nèi)置電源、密碼生成芯片和顯示屏，密碼芯片運(yùn)行專門的密碼算法，根據(jù)當(dāng)時(shí)的時(shí)間或使用次數(shù)生成當(dāng)前密碼，并顯示在顯示屏上。用戶使用時(shí)只需將動(dòng)態(tài)令牌上顯示的當(dāng)前密碼輸入客戶端，遠(yuǎn)程的認(rèn)證服務(wù)器采用相同的算法計(jì)算當(dāng)前的有效密碼，即可實(shí)現(xiàn)身份認(rèn)證。目前主流的動(dòng)態(tài)令牌實(shí)現(xiàn)方式主要有四種，口令序列、基于時(shí)間、基于事件和基于挑戰(zhàn)應(yīng)答。

與用戶名/密碼身份認(rèn)證方法相比，動(dòng)態(tài)令牌具有安全性、動(dòng)態(tài)性、隨機(jī)性、易用性和可管理性幾大特點(diǎn)，其密碼不在網(wǎng)絡(luò)中明文傳輸，可以有效防止攻擊者竊聽和密碼的泄露，更加安全和可靠。但由于動(dòng)態(tài)令牌系統(tǒng)一般采用專有算法實(shí)現(xiàn)，尚無完整的標(biāo)準(zhǔn)技術(shù)標(biāo)準(zhǔn)體系，后期的運(yùn)行維護(hù)成本較高，也曾出現(xiàn)過，攻擊者利用時(shí)鐘同步漏洞，截獲動(dòng)態(tài)口令，偽造身份的安全事件。

1.3 基于數(shù)字證書的身份認(rèn)證方法

基于數(shù)字證書的身份認(rèn)證方法，目前是國(guó)內(nèi)外公認(rèn)的比較安全可靠的認(rèn)證方法之一。在公鑰密碼體系（PKI）下，數(shù)字證書是一個(gè)由認(rèn)證中心（CA）數(shù)字簽名、包含擁有者身份信息和公開密鑰信息的文件。最簡(jiǎn)單的證書包含一個(gè)公鑰、名稱以及證書授權(quán)中心的數(shù)字簽名。通常證書中還包括密鑰的有效期、發(fā)證機(jī)關(guān)名稱、該證書的序列號(hào)等信息，證書的格式通常遵循X.509國(guó)際標(biāo)準(zhǔn)。

數(shù)字證書可以標(biāo)識(shí)用戶、設(shè)備或系統(tǒng)的合法身份，它可以存儲(chǔ)在多種硬件介質(zhì)中，常見的硬件介質(zhì)有密碼鑰匙、SD 卡、智能卡等，這些硬件介質(zhì)一般集成有安全芯片，可以實(shí)現(xiàn)數(shù)據(jù)加密、身份認(rèn)證、數(shù)字簽名等多種安全技術(shù)?；谟布橘|(zhì)數(shù)字證書的身份認(rèn)證方法，在使用過程中，用戶需輸入正確的PIN 碼，才能進(jìn)行身份認(rèn)證。該P(yáng)IN 碼安全存儲(chǔ)在硬件介質(zhì)中，只有介質(zhì)的擁有者知曉，無法用技術(shù)手段導(dǎo)出。因此基于硬件介質(zhì)數(shù)字證書的身份認(rèn)證方法滿足身份鑒別方法中“所知”和“所有”的組合應(yīng)用，實(shí)現(xiàn)了“擁有硬件介質(zhì)，并知曉PIN 密碼”的雙因素身份鑒別，可以滿足安全級(jí)別較高信息系統(tǒng)的安全身份認(rèn)證需要。

數(shù)字證書和一對(duì)公、私鑰相對(duì)應(yīng)，公鑰以明文的形式放到數(shù)字證書中，私鑰為擁有者秘密掌握。CA中心通過對(duì)數(shù)字證書的數(shù)字簽名，確保數(shù)字證書中信息的真實(shí)性，在電力物聯(lián)網(wǎng)統(tǒng)一身份認(rèn)證技術(shù)應(yīng)用中，可以作為終端、員工、信息系統(tǒng)或設(shè)備的有效身份證明，滿足電力物聯(lián)網(wǎng)對(duì)內(nèi)外部用戶、不同作業(yè)終端、不同應(yīng)用場(chǎng)景下的安全身份認(rèn)證需要。

1.4 基于生物特征的身份認(rèn)證方法

基于生物特征的身份認(rèn)證技術(shù)[4]，根據(jù)人體各器官或者個(gè)人行為所具有唯一性來識(shí)別用戶的身份，常見的生物特征鑒別技術(shù)有人臉識(shí)別、虹膜識(shí)別、聲音識(shí)別、指紋識(shí)別、掌紋識(shí)別等。

由于能夠提供更加安全、便捷的鑒別服務(wù)，近年來生物特征鑒別技術(shù)日漸興起，在電力物聯(lián)網(wǎng)中人員的生物特鑒別方法主要用到了人臉識(shí)別和指紋識(shí)別。與前面幾種傳統(tǒng)的身份認(rèn)證技術(shù)相比，基于生物特征的身份認(rèn)證方法具有以下特點(diǎn)：普偏性，即鑒別的特征是每個(gè)人都具有的；唯一性，每個(gè)人所擁有的特征都是獨(dú)一無二的；穩(wěn)定性，特征不易隨時(shí)間、空間和環(huán)境的變化而變化；可比性，所選擇的特征便于收集、測(cè)量和比較。

雖然基于生物特征的身份認(rèn)證方法有很高的便利性和安全性，但其將技術(shù)所保護(hù)的信息資產(chǎn)價(jià)值與個(gè)人緊密綁定，增加了信息保管人的人身安全威脅，另外，生物特征的不可撤銷性將造成生物特征數(shù)據(jù)一旦泄密，損失無法彌補(bǔ)的嚴(yán)重后果。在應(yīng)用過程中，基于生物特征的身份認(rèn)證方法，常作為輔助認(rèn)證手段，應(yīng)用于安全等級(jí)較高的信息系統(tǒng)中。

1.5 幾種身份認(rèn)證方法的對(duì)比

在上述四種身份認(rèn)證方法中，用戶名密碼認(rèn)證成熟度高但安全性有限；生物識(shí)別技術(shù)安全性和便利性都很高但尚在發(fā)展中，成熟度有待提升；動(dòng)態(tài)令牌技術(shù)實(shí)現(xiàn)基于專有算法，只在特定領(lǐng)域有應(yīng)用、尚不普及；基于硬件介質(zhì)的數(shù)字證書在安全性、便利性和成熟度上相對(duì)均衡。

表1 幾種身份認(rèn)證方法的對(duì)比

通過對(duì)用戶名/密碼、動(dòng)態(tài)令牌、基于硬件介質(zhì)的數(shù)字證書、生物特征識(shí)別等幾種主要身份認(rèn)證技術(shù)的研究，從安全性、成本、便利性、可撤銷性、成熟度等幾個(gè)維度進(jìn)行分析對(duì)比，本文最終選擇基于硬件安全介質(zhì)的數(shù)字證書身份認(rèn)證技術(shù)實(shí)現(xiàn)電力物聯(lián)網(wǎng)的統(tǒng)一身份認(rèn)證。

2 統(tǒng)一身份認(rèn)證技術(shù)流程

本文依托電力物聯(lián)網(wǎng)現(xiàn)有PKI 體系簽發(fā)的數(shù)字證書，通過一個(gè)多業(yè)務(wù)的統(tǒng)一身份認(rèn)證流程，實(shí)現(xiàn)人員統(tǒng)一身份認(rèn)證管理，用以驗(yàn)證基于硬件安全介質(zhì)（封裝安全芯片）的數(shù)字證書身份認(rèn)證技術(shù)的安全性和可靠性。用于驗(yàn)證的數(shù)字證書硬件介質(zhì)為內(nèi)嵌安全芯片的安全SD 卡、密碼鑰匙和非接觸式身份識(shí)別卡。

一個(gè)多業(yè)務(wù)的統(tǒng)一身份認(rèn)證流程如下：

用戶在物聯(lián)終端插入已安裝數(shù)字證書的硬件介質(zhì)，請(qǐng)求登錄信息系統(tǒng)，信息系統(tǒng)將認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)給統(tǒng)一認(rèn)證中心的認(rèn)證服務(wù)器（CAS）；統(tǒng)一認(rèn)證中心將隨機(jī)生成一段信息R1并簽名后返回給物聯(lián)終端；物聯(lián)終端應(yīng)用程序驗(yàn)證硬件安全介質(zhì)的Pin 碼；物聯(lián)終端通過后生成隨機(jī)數(shù)R2，使用安全芯片的私鑰對(duì)隨機(jī)信息“R1+R2+安全芯片ID”進(jìn)行簽名，并連同用戶的信息發(fā)送認(rèn)證中心進(jìn)行驗(yàn)證；認(rèn)證服務(wù)器驗(yàn)證數(shù)字證書的有效性包括CA 簽名信息、證書有效期、證書狀態(tài)等，通過后驗(yàn)證硬件安全介質(zhì)私鑰對(duì)隨機(jī)信息“R1+R2+安全芯片ID”簽名的正確性，并比對(duì)物聯(lián)終端與證書、安全芯片ID 的匹配性，匹配無誤則認(rèn)證通過，同意用戶登錄，否則拒絕登錄；用戶身份驗(yàn)證通過，訪問應(yīng)用系統(tǒng)相關(guān)服務(wù)，應(yīng)用系統(tǒng)通過認(rèn)證流程，將服務(wù)重新定向到統(tǒng)一認(rèn)證中心的認(rèn)證服務(wù)器（CAS）；認(rèn)證服務(wù)器（CAS）查詢數(shù)據(jù)庫中該用戶的相關(guān)訪問權(quán)限信息，驗(yàn)證用戶有無權(quán)限使用所請(qǐng)求的應(yīng)用系統(tǒng)服務(wù)，如有權(quán)限通過數(shù)據(jù)加密和電子簽名的方式向應(yīng)用服務(wù)器提供允許用戶訪問的服務(wù)訪問票據(jù)信息，該票據(jù)將作為用戶統(tǒng)一認(rèn)證和單點(diǎn)登錄多個(gè)業(yè)務(wù)的唯一憑證。

用戶完成多業(yè)務(wù)的統(tǒng)一身份認(rèn)證流程，可以訪問權(quán)限內(nèi)的多業(yè)務(wù)應(yīng)用。

在驗(yàn)證過程中本文采用基于安全芯片的電力物聯(lián)統(tǒng)一身份認(rèn)證技術(shù)來鑒別用戶，實(shí)現(xiàn)對(duì)面向多業(yè)務(wù)人員的統(tǒng)一認(rèn)證和靈活授權(quán)，并通過認(rèn)證服務(wù)器對(duì)訪問票據(jù)進(jìn)行加密和簽名，保障其在傳輸過程中的機(jī)密性、完整性和不可重放性，實(shí)現(xiàn)了安全高效的應(yīng)用和良好的擴(kuò)展。

綜上，多身份認(rèn)證技術(shù)融合是生物識(shí)別[5]、個(gè)人智能終端、可穿戴設(shè)備[6]等新興技術(shù)逐步在PKI體系中推廣應(yīng)用，增加雙因素乃至多因素認(rèn)證時(shí)的可選技術(shù)手段，強(qiáng)化不同認(rèn)證手段間技術(shù)實(shí)現(xiàn)的獨(dú)立性和數(shù)據(jù)傳輸交換通道的獨(dú)立性，確保特定密碼學(xué)算法、特定通信信道和協(xié)議或特定硬件介質(zhì)失效時(shí)，整個(gè)PKI 體系的安全防護(hù)等級(jí)不顯著降低。

身份認(rèn)證技術(shù)應(yīng)用范圍拓展需要解決如何降低身份認(rèn)證機(jī)制的數(shù)據(jù)通信量和計(jì)算量，從而降低設(shè)備的性能要求和計(jì)算時(shí)間，在有限處理能力、低通信帶寬的場(chǎng)景下實(shí)現(xiàn)有效身份識(shí)別，解決移動(dòng)作業(yè)尤其是通信帶寬受限的野外作業(yè)、大規(guī)模部署的物聯(lián)網(wǎng)終端等場(chǎng)景下的身份認(rèn)證需求。

在新技術(shù)引入方面，量子密碼學(xué)和量子計(jì)算快速發(fā)展[7]，利用其在密鑰分發(fā)、傳輸防竊聽、超高速計(jì)算等方面的技術(shù)突破，能夠更有效的解決公鑰密碼體系體系所面臨的理論與技術(shù)實(shí)踐難題，在公鑰密碼體系中應(yīng)用前景廣闊。但是量子密碼學(xué)和量子計(jì)算尚處于驗(yàn)證階段，暫不具備實(shí)用化和大規(guī)模推廣的條件。

[1]陳意,王新霞,等.密碼技術(shù)在工業(yè)互聯(lián)網(wǎng)中的應(yīng)用研究[J].中國(guó)信息化,2021,8.

[2]王棟,陳傳鵬,等.新一代電力信息網(wǎng)絡(luò)安全架構(gòu)的思考[J].電力系統(tǒng)自動(dòng)化,2016,2.

[3]樂宏彥.從新基建安全看高速密碼技術(shù)應(yīng)用的發(fā)展[J].信息安全與通信保密,2020,11.

[4]張富友,王瓊霄,宋利.基于生物特征識(shí)別的統(tǒng)一身份認(rèn)證系統(tǒng)研究[J].信息網(wǎng)絡(luò)安全,2019,9.

[5]毛俊杰,劉鵬,李昌鋒.基于人臉識(shí)別和生物特征的學(xué)生身份安全認(rèn)證系統(tǒng)[J].電子設(shè)計(jì)工程, 2020,12.

[6]杜俊雄,陳偉,李雪妍.基于物聯(lián)網(wǎng)設(shè)備指紋的情境認(rèn)證方法[J].計(jì)算機(jī)應(yīng)用,2019,2.

[7]江英華,張仕斌,等.具有雙向身份認(rèn)證的量子密鑰分發(fā)協(xié)議[J].量子電子學(xué)報(bào),2018,1.