李曉林 廖黎敏

(北京唐密科技發(fā)展有限公司 北京 100084)(lixl@tanghuantech.com)

?

自主可控的網(wǎng)絡空間云認證服務的建設思路和實踐

李曉林 廖黎敏

(北京唐密科技發(fā)展有限公司 北京 100084)(lixl@tanghuantech.com)

身份認證是確保網(wǎng)絡空間架構整體安全的第1道門檻，隨著我國互聯(lián)網(wǎng)，尤其是移動互聯(lián)網(wǎng)等新型應用形態(tài)的快速普及，相應的網(wǎng)絡認證技術需求及應用研發(fā)也呈現(xiàn)出旺盛的多元化發(fā)展勢頭，移動化、服務化、多技術融合的、自適應的認證技術和服務模式是身份認證領域發(fā)展的新方向.通過具體案例的研究和分析，介紹了基于我國安全自主可控的認證技術的云認證服務的架構、服務模式、應用特點等，為互聯(lián)網(wǎng)+行業(yè)的認證平臺建設和應用提供可借鑒的基礎.網(wǎng)絡身份認證是網(wǎng)絡空間安全的基石，必須大力支持和發(fā)展具有自主知識產權的網(wǎng)絡空間身份認證技術，并借助互聯(lián)網(wǎng)+戰(zhàn)略促進在各行業(yè)的應用.

身份認證；認證服務；服務模式；動態(tài)口令

1 網(wǎng)絡空間認證技術研究現(xiàn)狀

1.1 網(wǎng)絡認證應用需求多元化

網(wǎng)絡空間認證是確保網(wǎng)絡空間架構整體安全的第1道門檻.一旦網(wǎng)絡身份被冒用或盜用，一切網(wǎng)絡安全技術和手段都是形同虛設.近年來，隨著我國互聯(lián)網(wǎng)技術迅速發(fā)展，尤其是移動互聯(lián)網(wǎng)的快速普及，相應的網(wǎng)絡認證技術需求及應用研發(fā)也呈現(xiàn)出旺盛的多元化發(fā)展勢頭，如移動數(shù)字證書、動態(tài)口令、短信驗證、指紋識別、人臉識別、視網(wǎng)膜識別、血液驗證等.

一方面，市場對新型的方便、快捷、安全、兼容性強的認證技術的需求非常大.比如，移動互聯(lián)網(wǎng)服務、移動互聯(lián)網(wǎng)金融等新型業(yè)務形態(tài)，要求認證技術同時滿足方便、快捷、安全的要求，而一次一變的動態(tài)口令的技術就是一個很好的選擇之一.

另一方面，認證技術也在向多技術融合的方向發(fā)展.認證不僅僅是一種技術的認證，往往是多渠道、多維度、多技術的聯(lián)合認證，比如常用的短信驗證碼與數(shù)字證書；生物特征與動態(tài)口令的結合.同時，認證不僅僅是針對主體身份的認證，也包括對網(wǎng)絡、內容、服務、設備等的可信認證，尤其是云計算、物聯(lián)網(wǎng)等新型應用模式的興起，主客體的實時接入、動態(tài)部署、在線移植、虛擬透明化等特征[1]，大幅度擴展了認證技術的應用深度和廣度.

1.2 網(wǎng)絡認證技術體系單一

目前，我國的網(wǎng)絡安全體系建設是在美國CA公司研發(fā)的數(shù)字證書的基礎上建立起來的，后來的PKI(public key infrastructure)技術體系[2]、IBC(identity-based cryptograph)技術體系、CPK(combined public key)技術體系[3]都是基于挑戰(zhàn)應答技術的基礎實現(xiàn)的.任何一項安全技術的應用都有其局限性，不同的場景不同的使用條件下某項技術使用是安全的.一個國家的安全保密技術體系建立在一項技術的基礎上是不科學的.

比如，我國目前網(wǎng)上銀行采用的認證技術和簽名技術都是美國公司專利技術，包括網(wǎng)上銀行用的U盾和動態(tài)口令令牌，U盾采用的是美國CA公司的PKI技術(U盤預裝數(shù)字認證證書，采用挑戰(zhàn)應答技術)，動態(tài)口令采用的是美國RSA公司的Securid技術(令牌1 min顯示1個密碼)，屬于單向認證技術.現(xiàn)有動態(tài)口令技術無法克服“盜號木馬”、“釣魚網(wǎng)站”、“網(wǎng)頁掛馬”、“重放攻擊”、“中間人攻擊”、“網(wǎng)頁劫持”、“更改時間戳”等攻擊方式，所以不適合在金融、電信、電商、政府、軍隊、軍工等高安全強度的單位使用和運營服務.

針對我國目前的技術現(xiàn)狀，應該提倡身份鑒別技術多元化，特別是安全技術越是新技術越能起到安全作用.在提出構建自主可控網(wǎng)絡空間同時兼容目前的國際互聯(lián)網(wǎng)(也是美國互聯(lián)網(wǎng))是我們面對的課題.自主可控技術和產品不是模仿、仿造和貼牌，而是擁有原創(chuàng)性發(fā)明核心關鍵技術作為支撐的技術和產品才配叫自主可控.

1.3 身份認證技術研究和應用

身份認證技術的研究和應用的發(fā)展大致經歷了4個階段(如圖1所示)：靜態(tài)密碼技術；數(shù)字證書和時間型動態(tài)口令技術；生物特征識別和事件動態(tài)口令；生物特征與動態(tài)口令融合的雙因素認證.每類認證技術的出現(xiàn)與應用都與特定的應用場景需求相聯(lián)系，隨著服務對象的多樣性和差異化特征越來越明顯，多種身份認證技術相互融合，取長補短，提供用戶可自選擇的安全性、便捷性相平衡的解決方案是未來的發(fā)展趨勢.

OMAT(one-time mutual Authentication technology), PIN(personal identification number), OTP(one-time password)圖1 認證技術發(fā)展歷程示例

下面專門分析數(shù)字證書、動態(tài)口令、生物特征(指紋和靜脈)3類身份認證技術的特點.

1) 數(shù)字證書.采用非對稱密鑰體系，一般情況下難于破解，總體安全性高，但是證書本身采用靜態(tài)密碼保護以及聯(lián)機使用的特點，導致容易被盜取使用.

2) 動態(tài)口令.采用對稱密碼體系，運算復雜度低，適用各種場景，有效平衡了安全性和便捷性的雙向需求.

3) 生物特征.不同的生物特征識別在安全性和便捷性上差異都比較大，同時只能適合特定的場景.比如指紋使用方便，但是易被克膜；靜脈識別安全性高，但是只能適用于公共場景，個人用戶往往使用成本高，不便捷.

我們將幾類常見的身份認證技術的主要特征進行對比,如表1所示：

表1 常見身份認證技術特征對比

1.4 事件同步的動態(tài)口令雙向技術

OMAT是一種具有自主知識產權的基于事件同步的動態(tài)口令雙向身份認證專利技術(專利授權號：200710195695.3[4])，利用高強度加密算法、應用事件激發(fā)和同步機制，實現(xiàn)用戶端和服務器端的雙向身份認證.該技術能夠防止現(xiàn)有的各種攻擊手段，并且能夠兼容現(xiàn)有的基于靜態(tài)口令認證的各種網(wǎng)絡應用系統(tǒng)，具有系統(tǒng)升級改造成本低、所需時間短、用戶使用習慣不需改變等優(yōu)點.

基于事件的動態(tài)口令雙向身份認證技術，原理如圖2所示.在系統(tǒng)設置的初始時刻，每一個系統(tǒng)用戶都與認證服務器設置了共享密鑰Ku和一個相同的狀態(tài)計數(shù)器值Nu(起同步作用，也可稱為同步計數(shù)器值).動態(tài)口令Pn加密函數(shù)在輸入為密鑰Ku和狀態(tài)計數(shù)器值Nu為n時的函數(shù)輸出值.即Pn=E(Ku,n)，其中：E()為函數(shù).

圖2 動態(tài)口令原理

采用認證服務器和客戶端的雙向認證技術，雙向認證的流程如圖3所示，分為3步：

1) 用戶提交帳號和靜態(tài)口令給認證服務器進行第1次身份認證；

2) 靜態(tài)口令認證通過后將同步計數(shù)器值加1，服務器將生成的動態(tài)口令傳送到用戶端，供用戶對服務器的身份進行認證；

圖4 OMAT動態(tài)口令認證過程

3) 用戶核對服務器顯示的動態(tài)口令是否與自己令牌產生的動態(tài)口令相同，相同則認證通過，向服務器提交下一次的動態(tài)口令進行身份認證.

圖3 OMAT動態(tài)口令認證原理

為了防御并發(fā)多個認證請求連接之類的攻擊方法，認證服務器需要在靜態(tài)口令認證成功后記錄本次連接用戶的IP地址.后續(xù)的動態(tài)口令認證中還要驗證這2次連接的IP地址是否相同，確保用戶與認證系統(tǒng)連接的唯一性.認證流程如圖4所示.

通過研究可以發(fā)現(xiàn)，現(xiàn)有系統(tǒng)的身份認證是服務器對用戶的單向認證，用戶沒有安全易行的方式來對服務器的真假進行鑒別，因此才造成“網(wǎng)絡釣魚”和各式各樣木馬病毒攻擊的泛濫，木馬病毒盜號技術模式如圖5所示.只有采用客戶端與服務器端的雙向認證，才能徹底防止“網(wǎng)絡釣魚”這樣的攻擊手段.

圖5 木馬病毒盜號技術模式

基于事件同步的動態(tài)口令雙向認證技術防止木馬病毒盜號的技術流程如圖6所示.

圖6 防止木馬病毒盜號的技術流程

基于事件同步的動態(tài)口令雙向認證技術防止釣魚網(wǎng)站攻擊的技術流程如圖7所示.

圖7 防止釣魚網(wǎng)站攻擊的技術流程

1.5 認證服務模式研究現(xiàn)狀

云認證是當前一個時髦話題.云認證服務平臺是借助互聯(lián)網(wǎng)、云計算服務模式，將認證技術和產品以服務的形態(tài)，向企業(yè)、公眾用戶提供的第三方認證服務平臺.云認證服務模式是互聯(lián)網(wǎng)+需求發(fā)展和應用在身份認證領域的具體體現(xiàn)，是促進 “大眾創(chuàng)業(yè)、萬眾創(chuàng)新”在身份認證領域的具體承載平臺之一.

當前各個行業(yè)如金融機構，它們的安全服務獨立建設和運營，導致規(guī)范和標準不統(tǒng)一、重復投資.而隨著安全需求越高越復雜，走獨自建設的老路明顯專業(yè)人才不足、公共資源浪費.建立統(tǒng)一的、專業(yè)化的、高水平的第三方運營服務機構，有利于提高安全服務質量和水平，降低金融業(yè)的服務成本.

云認證服務有利于解決當前普遍存在的“系統(tǒng)孤島”、“用戶孤島”問題[1]，促進用戶信息以用戶為中心的聚合，而不是綁定到特定的服務商平臺，從而有利于各領域面向專業(yè)信息的大數(shù)據(jù)平臺的建設和分析利用.

在互聯(lián)網(wǎng)這種開放的、不設防的、復雜的信息交互環(huán)境中，除了保障用戶賬戶信息和網(wǎng)上交易安全之外，如何有效界定網(wǎng)上銀行出現(xiàn)安全案件中的責任，是各家網(wǎng)絡服務商(如網(wǎng)上銀行)、相關監(jiān)管機構以及認證服務機構需要面對并妥善解決的問題.云認證作為第三方認證機構，為信息交互雙方承擔了網(wǎng)上信息安全的部分責任，對交易雙方都起到規(guī)避風險的作用.例如在出現(xiàn)網(wǎng)銀交易糾紛時，云認證服務平臺可以為當事人雙方提供相應的具有法律效力的第三方數(shù)據(jù)保全和司法舉證[5].

2 云認證服務平臺方案和應用

基于移動互聯(lián)網(wǎng)的動態(tài)口令云認證服務平臺(以下簡稱云認證平臺)是北京市中小企業(yè)發(fā)展專項資金支持的產業(yè)化項目，編號BA-108017-2013-0002.項目第1期總投入3000多萬元，已經建立區(qū)域性云認證試點中心.

項目的總體目標是由北京唐密科技發(fā)展有限公司牽頭，聯(lián)合清華大學、中國科學院等科研院所和企業(yè)，根據(jù)我國互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)發(fā)展規(guī)劃綱要和需求，面向全國范圍，采用統(tǒng)一規(guī)劃、分層建設、集中管控的策略，利用自主可控的身份認證和云計算技術，建設和運營統(tǒng)一的云認證安全服務平臺，為各級政府部門、企事業(yè)單位提供安全、便捷、高效的多因素相結合的電子認證服務，實現(xiàn)用戶訪問本地和遠程網(wǎng)絡服務滿足“五通”(一本通、一帳通、一令通、一章通、一證通)的一站式服務體驗[6]，整體提升我國互聯(lián)網(wǎng)服務的安全性.

2.1 軟件架構

云認證平臺具體實施時可以采用我國完全自主知識產權的動態(tài)口令OMAT技術和生物特征識別技術，為互聯(lián)網(wǎng)環(huán)境提供安全、便捷、高效的雙因素電子認證服務.

該平臺完全采用云計算架構，軟件總體架構分3個層次，包括客戶端、基礎服務系統(tǒng)、云數(shù)據(jù)管理平臺[7-8]，如圖8所示.

圖8 軟件架構

云數(shù)據(jù)管理平臺是確保認證平臺能在線擴展，支持十億級用戶、千萬級至億級并發(fā)訪問通量的關鍵部件.

云數(shù)據(jù)管理平臺是將地理上分布的各類數(shù)據(jù)源，通過封裝器(wrapper)封裝后安全接入到云數(shù)據(jù)管理平臺，在不移動數(shù)據(jù)源的物理位置的前提下，形成一個整合的、虛擬化、統(tǒng)一數(shù)據(jù)視圖的單一虛擬云數(shù)據(jù)庫，其具有動態(tài)一致、實時訪問、自主控制、單一系統(tǒng)映像等特點.用戶或應用程序可以通過標準的SQL語言訪問虛擬數(shù)據(jù)庫，獲得數(shù)據(jù)源的聚合查詢結果.云數(shù)據(jù)庫的優(yōu)點體現(xiàn)在以下方面：

1) 通過虛擬化技術實現(xiàn)物理數(shù)據(jù)源虛擬池化的分區(qū)管理.可以確保應用邏輯是直接基于邏輯數(shù)據(jù)源訪問，避免應用程序與具體部署的物理資源和訪問協(xié)議綁定在一起.通過映射的機制解決邏輯到物理的映射關系，從而確保應用的無縫移植性.

圖9 云認證平臺運營架構

2) 處理能力高擴展性.基于虛擬化的分區(qū)管理，原則上底層物理數(shù)據(jù)源在空間擴展(增加數(shù)據(jù)源、變更數(shù)據(jù)源、整合數(shù)據(jù)源)和在時間擴展(增加、變更部署硬件和基礎環(huán)境軟件結構)方面，均對上層應用邏輯不產生任何影響.

3) 平臺為應用邏輯提供統(tǒng)一、簡單的垂直訪問關系.通過對大規(guī)模數(shù)據(jù)源的虛擬化操作可以抽出共性部件和功能，隱藏底層數(shù)據(jù)源的分布、異構等細節(jié)問題，在邏輯層面的高度上達成一致.

4) 云數(shù)據(jù)平臺積累大數(shù)據(jù)管理和分析.云數(shù)據(jù)平臺可以統(tǒng)一管理和服務各種應用系統(tǒng)的數(shù)據(jù)資源，形成全業(yè)務、全過程的大數(shù)據(jù)服務平臺，借助數(shù)據(jù)業(yè)務挖掘分析，開發(fā)潛在服務及服務模式.

圖10 部署結構

2.2 運營架構

云認證平臺主體思想是將安全技術服務化，為互聯(lián)網(wǎng)環(huán)境提供基本的安全認證服務，如數(shù)字證書服務、動態(tài)口令服務、電子簽章服務、云數(shù)據(jù)加密服務、數(shù)據(jù)保全服務、用戶信用服務等安全服務，平臺運營架構如圖9所示.

2.3 部署結構

部署結構采用2級中心結構，如圖10所示.在1級中心建立集中的雙活的云認證數(shù)據(jù)中心，省級(區(qū)域)網(wǎng)絡建設獨立的分中心服務，省級(區(qū)域)數(shù)據(jù)定時同步到中央雙活數(shù)據(jù)中心.

2.4 應用模式

云認證平臺作為一個云服務產品，適用于各級政府部門以及網(wǎng)上金融、網(wǎng)絡游戲、電子商務、電子政務、移動支付等相關行業(yè)企業(yè)的電子認證需要.

用戶借助于云認證服務平臺，可以實現(xiàn)訪問本地和遠程服務時的“五通”滿足一站式服務的體驗，如圖11所示.

圖11 云認證服務“五通”使用模式

2.5 技術特點

1) 架構優(yōu)勢

云平臺化的優(yōu)勢：非解決方案云平臺，可復制、可推廣性強，單位云成本低.

國內的常見云平臺主要是通過利用各種硬件系統(tǒng)或(開源社區(qū)或商用軟件)組件產品搭建起來的，屬于解決方案型云平臺(也稱為拼裝式集成云平臺).這種云平臺的特點(如圖12所示)是：適合特定應用場景，可復制性和可推廣性較低，單位云成本較高，只在一定的頻譜范圍內，具有線性擴展性，只有達到一定程度的用戶規(guī)模后，單位成本才可能降下來.

圖12 云認證服務平臺單位成本發(fā)展對比趨勢

云認證平臺中的云數(shù)據(jù)管理平臺，具備線性擴展能力，通俗地說，從“麻雀”系統(tǒng)(單機)到“大象”平臺(云平臺)都能無縫地支持.在前期用戶規(guī)模比較小時，單位成本仍然較低，同時比較適合更多的應用場景，如公有云、私有云、混合云等.

通過基于云計算的數(shù)據(jù)庫虛擬化管理和訪問技術，可以很方便地實現(xiàn)云認證系統(tǒng)與傳統(tǒng)的其他應用系統(tǒng)之間異構數(shù)據(jù)對接和同步一致訪問.系統(tǒng)兼容各種主流的軟硬件平臺(包括國產自主的操作系統(tǒng)和數(shù)據(jù)庫平臺)，通過靈活的橫向擴展支持大規(guī)模用戶的身份認證.另外，在應用模式上支持與傳統(tǒng)的企業(yè)級應用、網(wǎng)格計算、云計算、物聯(lián)網(wǎng)等多種方式的集成和對接，提供硬件令牌、軟件令牌、手機令牌等多種客戶端認證產品.

總體上，云認證平臺具有安全性增強、對用戶體驗一致、兼容現(xiàn)有認證系統(tǒng)、附加成本低等特點.

2) 采用我國完全自主可控的身份認證技術

OMAT一次性雙向認證技術，是面向互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)的身份認證技術，是具有我國完全自主知識產權(專利號：ZL200710195695.3)的最新動態(tài)口令技術.

目前我國采用的認證技術和簽名技術大多是美國公司專利技術，包括網(wǎng)上銀行用的U盾和動態(tài)口令令牌，U盾采用的是美國CA公司的PKI技術(U盤預裝數(shù)字認證證書，采用挑戰(zhàn)應答技術)，動態(tài)口令采用的是美國RSA公司的Securid技術(令牌1min顯示1個密碼)，屬于單向認證技術.現(xiàn)有動態(tài)口令技術無法克服“盜號木馬”、“釣魚網(wǎng)站”、“網(wǎng)頁掛馬”、“重放攻擊”、“中間人攻擊”、“網(wǎng)頁劫持”、“更改時間戳”等攻擊方式，所以不適合在政府、金融、電信、電商等需要高安全強度的單位使用和運營服務.

針對我國目前的技術現(xiàn)狀，應該建設多元化身份鑒別技術服務平臺，特別是安全技術越是新技術越能起到安全作用.自主可控技術和產品不是模仿、仿造和貼牌，而是擁有原創(chuàng)性發(fā)明核心關鍵技術作為支撐的技術和產品才配叫自主可控.

3) 可以避免重放攻擊、瀏覽器劫持等中間攻擊、木馬盜號等安全風險

OMAT技術基于事件同步產生一次一變的動態(tài)口令，實現(xiàn)客戶端和服務端的雙向身份認證，技術原理和實現(xiàn)機制完全可以避免重放攻擊、瀏覽器劫持等中間攻擊、木馬盜號等安全風險，彌補了以數(shù)字證書為代表的第1代身份認證技術和以時間同步動態(tài)口令為代表的第2代身份認證技術的不足與漏洞.

傳統(tǒng)的靜態(tài)口令安全性低，不能適應網(wǎng)絡發(fā)展需要；而基于時間的動態(tài)口令技術由于存在時間窗口重放威脅、時鐘失調引起的用戶同步導致的系統(tǒng)癱瘓等問題，很難大規(guī)模部署應用.特別強調的是，目前國內其他動態(tài)口令技術本質上均是模仿美國RSA公司的基于時間同步的動態(tài)口令身份認證技術，一方面面臨“自主可控”的問題，另一方面，隨著計算能力的提高，RSA核心算法不斷面臨被破解的風險.

4) 打破了網(wǎng)絡認證技術體系單一的僵局

目前，我國的網(wǎng)絡安全體系建設是在美國CA公司研發(fā)的數(shù)字證書的基礎上建立起來的，后來的PKI技術體系、IBC技術體系、CPK技術體系都是基于挑戰(zhàn)應答技術的基礎實現(xiàn)的.特別是任何一項安全技術都有其應用的局限性，國家安全保密技術體系的建立離不開完備的網(wǎng)絡安全技術.身份鑒別技術特別作為網(wǎng)絡安全的技術基礎和信息安全的基石技術[9],是國家網(wǎng)絡安全的命脈.更需要采用我國自主研發(fā)、自主可控的身份認證技術.

目前移動電子政務發(fā)展迅速，我國自主研發(fā)的OMAT技術打破了只能依賴數(shù)字證書才能進行交易驗簽的限制，從而使得移動互聯(lián)網(wǎng)等便捷支付渠道同時具有交易驗簽能力.

5) 具有良好的兼容性與多樣性

現(xiàn)有電子身份認證形式多樣，接口多樣，包括靜態(tài)密碼、動態(tài)密碼、短信驗證碼、數(shù)字證書等，動態(tài)口令技術不是替換現(xiàn)有認證技術，而是對現(xiàn)有技術的補充和完善，具有良好的兼容性.

① 完全兼容我國自主商用密碼算法系列；

② 動態(tài)口令服務技術與現(xiàn)有系統(tǒng)業(yè)務具有良好的獨立性和兼容性，不需要對現(xiàn)有業(yè)務體系和流程進行大改；

③ 系統(tǒng)提供多種產品形式的令牌，包括硬件令牌、軟件令牌、指紋令牌、USBKey令牌、手機令牌等，使用方便快捷.

2.6 應用優(yōu)勢

1) 滿足新型應用形態(tài)對認證需求的多元化、安全性和便捷性

一方面，市場對新型的方便、快捷、安全、兼容性強的認證技術的需求非常廣泛.比如，移動電子政務網(wǎng)服務、移動互聯(lián)網(wǎng)金融等新型業(yè)務形態(tài)，要求認證技術同時滿足方便、快捷、安全的要求.傳統(tǒng)的數(shù)字證書，由于其聯(lián)機應用、算法復雜等特點，很不適合移動互聯(lián)網(wǎng)這種要求脫機、快捷服務、動態(tài)服務整合的計算平臺，相反，一次一變的OMAT動態(tài)口令的技術針對移動互聯(lián)網(wǎng)就是一個好的選擇.

另一方面，認證技術也在向多技術融合的方向發(fā)展.認證不僅僅是一種技術的認證，往往是多渠道、多維度、多技術的聯(lián)合認證，比如常用的靜態(tài)口令和短信驗證碼、數(shù)字證書和動態(tài)口令及生物鑒別和動態(tài)口令的結合.

2) 滿足無縫支持移動互聯(lián)網(wǎng)等新型服務模式

當前電子政務、金融業(yè)等普遍使用的數(shù)字證書(PKI)體系是聯(lián)機接觸式認證技術，不適用于移動互聯(lián)網(wǎng)、線下金融等新型快捷金融服務平臺.而動態(tài)口令技術不僅完全適用傳統(tǒng)互聯(lián)網(wǎng)，更特別適用于基于移動互聯(lián)網(wǎng)以智能手機為計算平臺的非接觸式在線支付，實現(xiàn)簡單、成本低、易用，應用前景廣泛.

① 動態(tài)口令這種脫機便捷使用方式，易于與各種芯片和設備集成，能有效服務于各種特殊的傳統(tǒng)互聯(lián)網(wǎng)無法有效服務的場所和人群.如與SIM卡、SE(安全單元)集成，使得智能手機內置口令牌，方便偏遠地區(qū)知識層次較低人群使用.

② 與射頻芯片集成，整合信息流、資金流、物流整條鏈的身份認證.

3) 動態(tài)口令技術是必然發(fā)展趨勢，具有廣闊市場需求和應用前景

信息技術、網(wǎng)絡技術、通信技術的快速發(fā)展，云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新型資源共享服務模式的出現(xiàn)，正快速促進信息流、資金流、物流跨區(qū)域、跨行業(yè)、跨系統(tǒng)的無縫整合，借助移動互聯(lián)網(wǎng)，以手機等移動智能終端為載體的計算平臺將為用戶帶來全新的一站式計算體驗.這種貫通多環(huán)節(jié)的“智慧系統(tǒng)”的發(fā)展促進未來主要由人為造成的安全因素變?yōu)橄到y(tǒng)對系統(tǒng)造成安全風險的變革，需要在各環(huán)節(jié)對接時的智能化和安全性之間把握最佳平衡，提供用戶自主交互控制能力.一次完整信息流程中通過動態(tài)綁定的各個環(huán)節(jié)，由于其不可預知性、實時性、一次性等特征自然需要動態(tài)口令認證技術.

從應用效率的角度來看，由于動態(tài)口令認證技術一般采用對稱加密算法或散列函數(shù)，算法的復雜性要大大低于非對稱加密算法，比基于PKI體系的數(shù)字證書驗證簽名的效率高幾百倍甚至上千倍.因此，動態(tài)口令技術更適合應用于大規(guī)模用戶的統(tǒng)一身份認證和大規(guī)模數(shù)據(jù)應用環(huán)境.

3 總 結

本文首先分析了互聯(lián)網(wǎng)+時代的應用背景和需求，針對我國網(wǎng)絡空間安全面臨的挑戰(zhàn)，提出了構建自主可控的網(wǎng)絡空間安全架構和建設思路.其中，網(wǎng)絡空間認證是確保網(wǎng)絡空間架構整體安全的第1道門檻，通過分析網(wǎng)絡身份認證技術的需求、研究和應用現(xiàn)狀、服務模式等，提出了具有我國完全自主知識產權的身份認證技術和云服務平臺的建設方案及應用實踐，為互聯(lián)網(wǎng)+行業(yè)的認證平臺建設和應用提供可借鑒的基礎.網(wǎng)絡身份認證是網(wǎng)絡空間安全的基石，必須大力支持和發(fā)展具有自主知識產權的網(wǎng)絡空間身份認證技術，并借助互聯(lián)網(wǎng)+戰(zhàn)略促進在各行業(yè)的應用.

[1]徐志偉, 李國杰. 普惠計算之十二要點[J]. 集成技術, 2012, 1(1): 20-25

[2]關振勝.公鑰基礎設施PKI與認證機構CA[M].北京:電子工業(yè)出版社,2002

[3]南湘浩,陳鐘.網(wǎng)絡安全技術概要[M].北京:國防工業(yè)出版社,2003

[4]李春林.基于多變量的動態(tài)密碼口令雙向認證的身份識別方法技術:中國,ZL200710195695.3[P].2009-06-26

[5]TheWhiteHouse.NationalStrategyforTrustedIdentitiesInCyberspace,EnhancingOnlineChoice,Efficiency,Security,andPrivacy[S].Washington:TheWhiteHouse,2011

[6]楊寧,李曉林.K∕G:一種網(wǎng)格的使用模式體系結構及應用[J].計算機研究與發(fā)展,2003,40(12):17201724

[7]李曉林.一種松耦合的信息網(wǎng)格體系結構及全生命周期評價[D].北京:中國科學院計算技術研究所,2005

[8]LiXiaolin,XuZhiwei,LiuXingwu.Community-basedmodelandaccesscontrolforinformationgrid[C]∕∕ProcofIEEE∕WICIntConfonWebIntelligence.Piscataway,NJ:IEEE,2003

[9]張世永.網(wǎng)絡安全原理與應用[M].5版.北京:科學出版社,2003:134141

李曉林

博士，主要從事大數(shù)據(jù)平臺研制及應用、物聯(lián)網(wǎng)數(shù)據(jù)加密與傳輸技術、身份認證技術及服務、系統(tǒng)集成等信息安全相關產品和服務的研制及推廣.

lixl@tanghuantech.com

廖黎敏

學士，主要從事產品管理模式研究、互聯(lián)網(wǎng)+、身份認證技術及服務等信息安全相關產品的設計管理及推廣.

liaolimin@tanghuantech.com

Building Method and Implementation of Cloud Authentication Servic in the Autonomous Controllable Network Space

Li Xiaolin and Liao Limin

(BeijingTangmiTechnologyDevelopmentCo.,Ltd.,Beijing100084)

Identity authentication is the first threshold to ensure the overall safety of network architecture space. With the rapid popularity of the Internet, especially the rapid popularity of mobile Internet and other new application forms, technical requirements for network authentication and corresponding application research and development shows a strong diversity of development momentum. Mobile Platform-based, service-oriented, technology integrated and adaptive authentication technology and service model are the new direction of research and development in the field of identity authentication. Through specific case studies and analysis, this paper introduces the architecture, service mode, and application characteristics of the cloud platform based on the independently controllable authentication technology. The case provides referential basis for the construction and application of authentication platform of Internet plus industry. Network identity authentication is the foundation of the network space safety. It is necessary to vigorously support and develop network space identity authentication technology with independent intellectual property rights, and promote its application in various industries with the help of Internet plus strategy.

identity authentication; authentication service; service mode; dynamic password

2015-07-15

北京市中小企業(yè)發(fā)展專項資金(BA-108017-2013-0002)

TP309