通信加密與數(shù)字認(rèn)證在企業(yè)信息系統(tǒng)的應(yīng)用

景 峰,徐澄宇,李 欣

(1.山西省電力公司,山西太原 030001;2.山西省通信公司,山西太原 030012)

通信加密與數(shù)字認(rèn)證在企業(yè)信息系統(tǒng)的應(yīng)用

景 峰1,徐澄宇1,李 欣2

(1.山西省電力公司,山西太原 030001;2.山西省通信公司,山西太原 030012)

分析了電力企業(yè)一體化信息系統(tǒng)通信與身份認(rèn)證的安全需求,并提出了解決方法,闡述了在已建成的 “數(shù)字證書(shū)體系”和 “Novell目錄系統(tǒng)”基礎(chǔ)上,集成基于安全信息層的安全傳輸協(xié)議和基于數(shù)字證書(shū)X.509標(biāo)準(zhǔn)的雙因子數(shù)字認(rèn)證技術(shù),實(shí)現(xiàn)了信息系統(tǒng)通信加密與增強(qiáng)認(rèn)證。實(shí)踐證明,該方案提高了三級(jí)及以上級(jí)別信息系統(tǒng)的安全性,并為建設(shè)支撐堅(jiān)強(qiáng)智能電網(wǎng)的信息網(wǎng)絡(luò)安全接入奠定了基礎(chǔ)。

數(shù)字證書(shū);通信加密;目錄系統(tǒng);用戶認(rèn)證

0 引言

隨著電力企業(yè)信息一體化的快速推進(jìn),為解決各應(yīng)用系統(tǒng)用戶身份信息一致性與賬號(hào)密碼統(tǒng)一管理,山西省電力公司2007年通過(guò) “信息系統(tǒng)身份認(rèn)證與控制架構(gòu)研究”項(xiàng)目,建成了基于微軟活動(dòng)目錄與數(shù)字證書(shū)結(jié)合的應(yīng)用系統(tǒng)認(rèn)證體系,并在企業(yè)門(mén)戶、辦公自動(dòng)化系統(tǒng)進(jìn)行了實(shí)踐應(yīng)用。2008年建成基于Novell技術(shù)架構(gòu)的全省集中式企業(yè)資源目錄、身份目錄和認(rèn)證目錄,實(shí)現(xiàn)了對(duì)門(mén)戶等23個(gè)不同安全控制等級(jí)的應(yīng)用系統(tǒng)統(tǒng)一資源控制和用戶管理,以及與國(guó)家電網(wǎng)公司Novell目錄縱向信任認(rèn)證。2008年,信息系統(tǒng)等級(jí)保護(hù)建設(shè)啟動(dòng),對(duì)信息系統(tǒng)提出了更高的身份鑒別和通信保密安全性要求,增強(qiáng)三級(jí)及以上信息系統(tǒng)的用戶認(rèn)證成為統(tǒng)一用戶管理重點(diǎn)關(guān)注的課題。

1 信息安全問(wèn)題及解決途徑

目前,SG186企業(yè)一體化信息平臺(tái)整合了23個(gè)子應(yīng)用系統(tǒng),通過(guò)Novell目錄企業(yè)資源控制體系提供的登錄控制模塊對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別,實(shí)現(xiàn)了 “用戶名+密碼”方式的企業(yè)門(mén)戶單點(diǎn)登錄和用戶認(rèn)證,保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識(shí),身份鑒別信息不易被冒用,但仍存在如下問(wèn)題。

a)集成在門(mén)戶的各信息系統(tǒng)實(shí)現(xiàn)了基于 “用戶名+密碼”的認(rèn)證方式,用戶必須妥善保管用戶名密碼、使用強(qiáng)口令,存在非法使用他人登錄信息系統(tǒng)處理信息業(yè)務(wù)的安全風(fēng)險(xiǎn),不能滿足等級(jí)保護(hù)建設(shè)“三級(jí)及以上信息系統(tǒng)應(yīng)能提供兩種以上的認(rèn)證方式對(duì)用戶進(jìn)行身份識(shí)別和鑒別”的要求。

b)各不同安全級(jí)別的信息系統(tǒng)使用了同一個(gè)虛擬專用網(wǎng)絡(luò) (Virtual Private Network,簡(jiǎn)稱VPN)業(yè)務(wù)通道混雜傳輸,客戶端與服務(wù)器間的通信未使用加密協(xié)議,存在被惡意監(jiān)聽(tīng)的安全風(fēng)險(xiǎn),未能實(shí)現(xiàn)等級(jí)保護(hù)建設(shè) “在通信雙方建立連接之前,應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證”的要求。

c)尚未實(shí)現(xiàn)等級(jí)保護(hù)建設(shè) “應(yīng)對(duì)通信過(guò)程中的敏感信息字段進(jìn)行加密”目標(biāo)。

為此,提出了將現(xiàn)有的數(shù)字證書(shū)公鑰基礎(chǔ)設(shè)施認(rèn)證體系 (Public Key Infrastructure,簡(jiǎn)稱PKI)與Novell目錄認(rèn)證技術(shù)架構(gòu)結(jié)合,建成基于第三方的數(shù)字證書(shū)的應(yīng)用系統(tǒng)認(rèn)證控制體系技術(shù)方案。該控制體系滿足了對(duì)高安全控制級(jí)別信息系統(tǒng)被訪問(wèn)時(shí)、高風(fēng)險(xiǎn)級(jí)別用戶訪問(wèn)信息系統(tǒng)時(shí)通信和認(rèn)證的雙重安全需求。登錄高安全控制級(jí)別信息系統(tǒng)的用戶必須使用合法授權(quán)的數(shù)字證書(shū),高風(fēng)險(xiǎn)級(jí)別用戶登錄所有信息系統(tǒng)必須出示鑒別身份的數(shù)字證書(shū),客戶端到被保護(hù)的信息系統(tǒng)資源間的信息交互在全過(guò)程中使用加密傳輸。

2009年,山西省電力公司本部通過(guò)實(shí)踐基于加密傳輸協(xié)議的數(shù)字證書(shū)增強(qiáng)認(rèn)證體系,成功地解決了在混合數(shù)據(jù)傳輸?shù)男畔?nèi)網(wǎng)環(huán)境下用戶訪問(wèn)數(shù)據(jù)時(shí)的安全問(wèn)題,大大提高了用戶在訪問(wèn)三級(jí)及以上信息系統(tǒng)時(shí)傳輸與認(rèn)證的安全性。

2 安全傳輸與認(rèn)證的技術(shù)方案要點(diǎn)

2.1 HTTPS協(xié)議

HT TPS協(xié)議(Security Hypertext Transfer Protocol,簡(jiǎn)稱 HT TPS)是H TTP(Hypertext T ransfer Protocol,簡(jiǎn)稱HTTP)協(xié)議的安全升級(jí)版,是采用了安全套結(jié)字層 (Secure Socket Layer,簡(jiǎn)稱SSL)作為HTTP協(xié)議子層的一種安全訪問(wèn)協(xié)議。即HTTP下加入SSL層,SSL是HTTPS的安全基礎(chǔ),加密的詳細(xì)內(nèi)容需要通過(guò)SSL來(lái)完成。HT TPS協(xié)議的主要作用有兩方面:一是建立一個(gè)信息安全通道,來(lái)保證數(shù)據(jù)傳輸?shù)陌踩?二是確認(rèn)網(wǎng)站的真實(shí)性。

雖然美國(guó)現(xiàn)在已經(jīng)提出了128位的安全標(biāo)準(zhǔn),但是由于相關(guān)限制出境等原因,目前Internet互聯(lián)網(wǎng)上主流還是采用SSL協(xié)議使用40位關(guān)鍵字作為RC4流加密算法,HT TPS和SSL支持使用X.509數(shù)字認(rèn)證標(biāo)準(zhǔn)。

2.2 數(shù)字證書(shū)

數(shù)字證書(shū)類似于現(xiàn)實(shí)生活中的身份證,是一個(gè)可以唯一標(biāo)示個(gè)人身份的證明,數(shù)字證書(shū)是提供身份驗(yàn)證的一種權(quán)威性電子文檔,用戶可以通過(guò)數(shù)字證書(shū)來(lái)標(biāo)識(shí)自己的身份,同時(shí)也可以辨別他人的身份是否合法安全。

在重要的禮儀場(chǎng)合中，“禮容”更呈現(xiàn)了行禮者的精神面貌，從而在某種程度上預(yù)示個(gè)人、家族的命運(yùn)乃至一國(guó)的興衰。無(wú)怪乎孟僖子病不能相禮而講學(xué)之，并在臨終前教導(dǎo)“禮，人之干也。無(wú)禮，無(wú)以立。(《左傳》昭七年)。禮是立身行事的基本原則，《論語(yǔ)·季氏》的“不學(xué)禮，無(wú)以立”在當(dāng)時(shí)大概是文化階層的一種共識(shí)。執(zhí)政者能否為禮，又成為影響“國(guó)之干”首要因素。因此，對(duì)執(zhí)政者逾禮行為的規(guī)諫，往往上升到探討禮的基本性質(zhì)的話題。如隱五年公將至棠觀魚(yú)，臧僖伯諫曰：

數(shù)字證書(shū)基于X.509標(biāo)準(zhǔn)規(guī)范。而使用HTTPS和SSL能夠很好地提供對(duì)X.509數(shù)字認(rèn)證支持。一個(gè)X.509數(shù)字證書(shū)有兩把密鑰:一把是用戶的專用密鑰,另一把是其他用戶都可利用的公共密鑰。同時(shí)一個(gè)證書(shū)中還包含了用戶電子郵件地址、在證書(shū)服務(wù)器上所在組織節(jié)點(diǎn)等相關(guān)的用戶信息,這些都可以通過(guò)證書(shū)管理機(jī)構(gòu)(Certificate Authority,簡(jiǎn)稱CA)認(rèn)證授權(quán)或者通過(guò)Novell自身比較完善的證書(shū)體系完成證書(shū)的頒發(fā)和維護(hù)。

2.3 數(shù)字證書(shū)與Novell目錄服務(wù)系統(tǒng)集成后的認(rèn)證流程

信息系統(tǒng)使用數(shù)字證書(shū)進(jìn)行單點(diǎn)登錄的認(rèn)證流程見(jiàn)圖1。

a)訪問(wèn)管理系統(tǒng) (Access Manager,簡(jiǎn)稱AM)系統(tǒng)中的訪問(wèn)網(wǎng)關(guān) (Access Gateway,簡(jiǎn)稱AG)服務(wù)器針對(duì)對(duì)應(yīng)的應(yīng)用系統(tǒng)配置反向代理和導(dǎo)入第三方提供或由AM自己頒發(fā)的根證書(shū)。

圖1 某信息系統(tǒng)使用數(shù)字證書(shū)進(jìn)行單點(diǎn)登錄的認(rèn)證流程圖

b)用戶訪問(wèn)某信息系統(tǒng)時(shí),被重定向到AM系統(tǒng)要求用戶進(jìn)行身份驗(yàn)證。AM系統(tǒng)會(huì)要求用戶出示含有AM頒發(fā)或被AM授權(quán)的第三方用戶證書(shū),在用戶證書(shū)未被AM系統(tǒng)認(rèn)證為合法證書(shū)前,用戶將無(wú)法訪問(wèn)信息系統(tǒng)。用戶訪問(wèn)到對(duì)應(yīng)信息系統(tǒng)的驗(yàn)證頁(yè)面后,AM系統(tǒng)會(huì)將對(duì)應(yīng)信息系統(tǒng)的反向服務(wù)的證書(shū)作為信息系統(tǒng)證書(shū)出示給用戶。用戶的瀏覽器判斷該證書(shū)合法性,如果合法,繼續(xù)下一步,如不合法,提示用戶該證書(shū)可能導(dǎo)致用戶訪問(wèn)的內(nèi)容沒(méi)有被很好地保護(hù)。AM服務(wù)器要求用戶出示用戶電子證書(shū) (USB-Key),用戶提交后,讀取在USB-Key中所存儲(chǔ)的用戶密鑰,提示用戶輸入U(xiǎn)SB-Key的個(gè)人識(shí)別號(hào)碼 (Personal Identification Number,簡(jiǎn)稱PIN碼),PIN碼正確后,讀出密鑰,AM系統(tǒng)根據(jù)SSL認(rèn)證時(shí)用戶證書(shū)合法性的判斷條件對(duì)用戶證書(shū)的合法性進(jìn)行判斷。如果用戶證書(shū)合法且AM系統(tǒng)沒(méi)有再附加其他認(rèn)證手段的情況下,用戶認(rèn)證成功。

c)當(dāng)用戶認(rèn)證成功后,AM系統(tǒng)將代替用戶去訪問(wèn)對(duì)應(yīng)的信息系統(tǒng),并完成對(duì)應(yīng)信息系統(tǒng)的單點(diǎn)登錄。

d)信息系統(tǒng)根據(jù)AM系統(tǒng)發(fā)送過(guò)來(lái)的請(qǐng)求將執(zhí)行的結(jié)果返回給AM系統(tǒng),通過(guò)AM系統(tǒng)緩存后再返回給用戶。

在用戶通過(guò)AM系統(tǒng)的SSL認(rèn)證以及基本用戶身份認(rèn)證后,用戶與AM系統(tǒng)間進(jìn)行的通信將完全通過(guò)SSL加密進(jìn)行傳輸,保證了用戶傳輸?shù)男畔踩?并且再次通過(guò)用戶雙因子數(shù)字證書(shū)認(rèn)證,更進(jìn)一步保證了用戶的賬號(hào)安全。

2.4 Novell目錄服務(wù)系統(tǒng)與數(shù)字證書(shū)屬性匹配

通過(guò)第三方或者是Novell目錄自己頒發(fā)給用戶的數(shù)字證書(shū),準(zhǔn)確在目錄中定位到相應(yīng)的用戶,從而獲得該用戶的相關(guān)信息來(lái)完成單點(diǎn)登錄等后續(xù)操作是被保護(hù)信息系統(tǒng)實(shí)現(xiàn)增強(qiáng)認(rèn)證的關(guān)鍵。證書(shū)實(shí)際上是一種包含了用戶部分相關(guān)信息的特殊文檔,為此通過(guò)Novell自身機(jī)制,在Novell的AM系統(tǒng)中實(shí)現(xiàn)用戶存儲(chǔ)在證書(shū)的屬性與目錄屬性進(jìn)行對(duì)應(yīng),只要在目錄中保證與證書(shū)屬性對(duì)應(yīng)的屬性是唯一的,即該用戶的某一屬性在目錄中的所有用戶中是唯一的,即可完成用戶的定位。例如某用戶在目錄中存在一個(gè)唯一的電子郵件 (E-mail屬性),可以通過(guò)用戶存儲(chǔ)在證書(shū)中的某一屬性與mail屬性進(jìn)行對(duì)應(yīng)或者屬性匹配,只要確保用戶的證書(shū)屬性與目錄屬性一對(duì)一的對(duì)應(yīng),即可準(zhǔn)確完成該用戶在目錄系統(tǒng)中的定位。注意若該用戶的證書(shū)屬性在目錄中存在多對(duì)一的情況,即該屬性在目錄中存在多個(gè)匹配的用戶則會(huì)定位失敗。

Novell可提供四種可選的證書(shū)屬性,實(shí)現(xiàn)與目錄屬性的對(duì)應(yīng)匹配。

a)目錄名稱 (Directory Name):證書(shū)中保存的該用戶在證書(shū)頒發(fā)機(jī)構(gòu)所存儲(chǔ)的用戶路徑。

b)郵件 (E-mail):用戶證書(shū)中保存的用戶電子郵件信息。

c)序列號(hào)與頒發(fā)者名稱 (Serial Number and Issuer Name):用戶證書(shū)的序列號(hào)與頒發(fā)機(jī)構(gòu)所拼接的字符串。

d)主體名稱 (Subject Name):證書(shū)中所保存的該用戶的對(duì)象名稱。

2.5 數(shù)字證書(shū)認(rèn)證與目錄單點(diǎn)登錄功能的集成

目錄系統(tǒng)的單點(diǎn)登錄功能也是目錄服務(wù)的一個(gè)關(guān)鍵功能,該功能可以完成針對(duì)特定資源的保護(hù),可以完成基于角色的登錄控制。

當(dāng)目錄系統(tǒng)完成與數(shù)字證書(shū)的集成工作之后,將會(huì)發(fā)揮更強(qiáng)大的訪問(wèn)控制和安全控制。與數(shù)字證書(shū)集成后,若用戶在訪問(wèn)特定的資源,或者特定的角色在進(jìn)行訪問(wèn)的時(shí)候,會(huì)要求用戶出示其數(shù)字證書(shū),必須通過(guò)了目錄和數(shù)字證書(shū)的雙重認(rèn)證之后才能完成對(duì)應(yīng)的訪問(wèn)操作。

經(jīng)過(guò)以上的集成工作后,很好地對(duì)敏感數(shù)據(jù)的流通訪問(wèn)進(jìn)行了控制,也可以保證高風(fēng)險(xiǎn)用戶賬號(hào)的安全性。即使高風(fēng)險(xiǎn)用戶的賬號(hào)被破解,但在登錄或訪問(wèn)時(shí)未能出示對(duì)應(yīng)的數(shù)字證書(shū),也將會(huì)被拒絕訪問(wèn)。

3 結(jié)束語(yǔ)

基于H TTPS協(xié)議的通信加密與X.509標(biāo)準(zhǔn)規(guī)范的數(shù)字證書(shū)結(jié)合的信息系統(tǒng)增強(qiáng)認(rèn)證解決方案,大大提高了山西電力企業(yè)一體化信息平臺(tái)的訪問(wèn)安全控制水平。

用戶與信息系統(tǒng)交互數(shù)據(jù)采用基于SSL的H TTPS安全協(xié)議進(jìn)行通信加密,采用了40位的加密算法,即使在傳輸過(guò)程中數(shù)據(jù)被他人獲取到,也無(wú)法完成數(shù)據(jù)的解密,保證了用戶數(shù)據(jù)在傳輸過(guò)程中的安全性。

基于X.509標(biāo)準(zhǔn)規(guī)范的雙因子數(shù)字證書(shū)很好地解決了身份同步與單點(diǎn)登錄相關(guān)安全性問(wèn)題,高風(fēng)險(xiǎn)用戶在訪問(wèn)信息系統(tǒng)時(shí)必須出示證書(shū)進(jìn)行安全認(rèn)證,授權(quán)用戶在訪問(wèn)三級(jí)及以上受控信息系統(tǒng)時(shí)必須出示數(shù)字證書(shū)并通過(guò)驗(yàn)證,滿足了公司對(duì)信息系統(tǒng)身份認(rèn)證安全性的需求。

作為電力信息系統(tǒng)用戶認(rèn)證與通信安全的成功實(shí)踐,“統(tǒng)一認(rèn)證+雙因子數(shù)字證書(shū)+SSL通道加密”的解決方案,為下一步堅(jiān)強(qiáng)智能電網(wǎng)的信息網(wǎng)絡(luò)安全接入控制進(jìn)行了有益嘗試。

Application of Communications Encryption and Digital Authentication Technology in Enterprise Information System

JING Feng1,XU Cheng-yu1,LI-Xin2
(1.Shanxi Electric Power Company,Taiyuan,Shanxi 030001,China;
2.China Mobile Group Shanxi Go.,Ltd,Taiyuan,Shanxi 030012,China)

Security requirements on communication and authentication of enterprise integrated information system platform are analyzed,and solutions are proposed.On the basis of the“Digital certificate system” and“Novell directory system” completed,the communication encryption and enhanced authentication of the information system are implemented by integrating security protocols and the two-factor digital certificate technologies,based on secure socket layer and X.509 standards respectively.It is proved that,information system security of the three-level and above has been greatly increased,and the foundation is laid for supporting information system security access control of strong smart-grid.

digital certificates;communication encryption;directory system;user authentication

TP309.2

B

1671-0320(2010)04-0037-03

2010-04-12,

2010-06-23

景 峰 (1977-),男,山西平陸人,1998年畢業(yè)于太原理工大學(xué)環(huán)境與市政工程系供熱通風(fēng)與空調(diào)工程專業(yè),工程師,從事信息安全管理與建設(shè)工作;

徐澄宇 (1975-),女,江蘇如東人,1996年畢業(yè)于華北電力大學(xué)計(jì)算機(jī)應(yīng)用系計(jì)算機(jī)應(yīng)用專業(yè),工程師,從事信息化管理與信息系統(tǒng)建設(shè)工作;

李 欣 (1968-),女,山西太原人,2006年畢業(yè)于北京郵電大學(xué)通信工程專業(yè),工程師,從事集團(tuán)客戶售后支撐工作。