北京智芯微電子科技有限公司/國家電網(wǎng)公司重點實驗室/電力芯片設(shè)計分析實驗室

王振林 陳奇輝 戴 銘 劉國營 張 興

在信息安全領(lǐng)域身份認證是用戶進入系統(tǒng)的第一道安全防線，也是電力物聯(lián)網(wǎng)信息安全體系[1]中最基礎(chǔ)、最重要的安全防護技術(shù)，身份認證技術(shù)目前廣泛應(yīng)用于電力物聯(lián)網(wǎng)內(nèi)外部用戶、不同作業(yè)終端、不同應(yīng)用場景下用戶身份統(tǒng)一管理的全過程。

目前個人終端的身份認證是基于邏輯身份認證（個人賬號），并沒有將個人終端和自然人關(guān)聯(lián)起來，個人終端鑒別方式較為單一，且個人口令遺失和被破解的風險較高，如果用戶信息從終端丟失，或者邏輯認證信息被破解，并無法追蹤到自然人行為，存在較大的安全隱患，另外，目前和個人有關(guān)的資源認證方式多種多樣，給用戶的記憶和使用帶來極大不便。

本文結(jié)合電力物聯(lián)網(wǎng)現(xiàn)有的安全架構(gòu)[2]，分析了身份認證技術(shù)的發(fā)展現(xiàn)狀和發(fā)展趨勢，研究了基于安全芯片的電力物聯(lián)網(wǎng)統(tǒng)一身份認證技術(shù)，并通過一個多業(yè)務(wù)的統(tǒng)一身份認證流程，驗證了基于安全芯片的電力物聯(lián)網(wǎng)統(tǒng)一身份認證技術(shù)的安全性和可靠性。

1 身份認證技術(shù)發(fā)展現(xiàn)狀

身份認證技術(shù)又稱作身份鑒別技術(shù)，是用戶進入系統(tǒng)的第一道安全防線。用戶登錄系統(tǒng)，輸入用戶名和密碼就是對用戶身份進行鑒別。鑒別是驗證某些信息真實性的過程，如用戶身份、網(wǎng)址或數(shù)據(jù)源等。身份認證的方法一般依據(jù)以下三種基本情況或這三種情況的組合：所知、所有和特征。

所知即用戶所知道的知識，常見的如口令等，該身份認證方法常將一個只有用戶和系統(tǒng)知道的秘密信息，發(fā)送到系統(tǒng)中，據(jù)此鑒別用戶身份；所有即用戶所擁有的物品，如智能鑰匙卡、SD 卡等，借助這些物品使系統(tǒng)鑒別用戶；特征即用戶所擁有的一些可被記錄和比較的生理或舉止方面的特征，這些特征能被觀察和記錄，通過與系統(tǒng)中存儲的特征比較進行身份鑒別。目前，在電力物聯(lián)網(wǎng)的身份認證安全應(yīng)用中，針對“所知、所有、特征”三種情況，主要應(yīng)用了以下四種身份認證方法[1]。

1.1 基于用戶名/密碼身份認證方法

用戶名/密碼身份認證方法，以用戶名和密碼作為驗證依據(jù)，屬于“所知”身份鑒別方法，也是目前大多數(shù)信息系統(tǒng)普遍采用的方法[3]。密碼有兩種生成方法：用戶自主選擇和系統(tǒng)自動產(chǎn)生。用戶通常會選擇與自己生活相關(guān)的信息，如生日、街道、車牌、電話號碼等為密碼，雖然便于記憶，但容易猜測和泄露。系統(tǒng)自動產(chǎn)生的密碼，一般由隨機數(shù)發(fā)生器自動生成，雖然不易猜測，但用戶記憶困難，使用不便。

隨著密碼學(xué)理論的不斷發(fā)展和計算機運算能力的提高，采用用戶名/密碼身份鑒別方法可能給信息系統(tǒng)帶來一定的安全風險，入侵者可以通過多種途徑和方法侵入系統(tǒng)。例如：密碼猜測和破解、冒充合法計算機登錄程序誘騙登錄者泄露密碼、通過網(wǎng)絡(luò)嗅探器收集網(wǎng)絡(luò)中的明文密碼（如Telnet、FTP、POP3等協(xié)議中密碼）等。因此，用戶名/密碼身份鑒別方法一般應(yīng)用于安全級別比較低的信息系統(tǒng)，或者是一些臨時的外部訪問用戶，通過該方法登錄的用戶，一般也只能獲得較低的系統(tǒng)使用權(quán)限。

1.2 基于動態(tài)令牌的身份認證方法

動態(tài)令牌又被稱作一次性口令（One Time Password，OTP），是依據(jù)用戶私人身份信息和隨機數(shù)產(chǎn)生隨機變化的口令，使每次登錄過程中傳送的口令信息都不同，以提高登錄過程中用戶身份認證的安全性。

基于動態(tài)令牌的身份認證方法屬于“所知”身份鑒別方法，在實際應(yīng)用中，使用動態(tài)令牌專用硬件，實現(xiàn)“所知”加“所有”組合的“雙因素”身份認證。該專屬硬件通常內(nèi)置電源、密碼生成芯片和顯示屏，密碼芯片運行專門的密碼算法，根據(jù)當時的時間或使用次數(shù)生成當前密碼，并顯示在顯示屏上。用戶使用時只需將動態(tài)令牌上顯示的當前密碼輸入客戶端，遠程的認證服務(wù)器采用相同的算法計算當前的有效密碼，即可實現(xiàn)身份認證。目前主流的動態(tài)令牌實現(xiàn)方式主要有四種，口令序列、基于時間、基于事件和基于挑戰(zhàn)應(yīng)答。

與用戶名/密碼身份認證方法相比，動態(tài)令牌具有安全性、動態(tài)性、隨機性、易用性和可管理性幾大特點，其密碼不在網(wǎng)絡(luò)中明文傳輸，可以有效防止攻擊者竊聽和密碼的泄露，更加安全和可靠。但由于動態(tài)令牌系統(tǒng)一般采用專有算法實現(xiàn)，尚無完整的標準技術(shù)標準體系，后期的運行維護成本較高，也曾出現(xiàn)過，攻擊者利用時鐘同步漏洞，截獲動態(tài)口令，偽造身份的安全事件。

1.3 基于數(shù)字證書的身份認證方法

基于數(shù)字證書的身份認證方法，目前是國內(nèi)外公認的比較安全可靠的認證方法之一。在公鑰密碼體系（PKI）下，數(shù)字證書是一個由認證中心（CA）數(shù)字簽名、包含擁有者身份信息和公開密鑰信息的文件。最簡單的證書包含一個公鑰、名稱以及證書授權(quán)中心的數(shù)字簽名。通常證書中還包括密鑰的有效期、發(fā)證機關(guān)名稱、該證書的序列號等信息，證書的格式通常遵循X.509國際標準。

數(shù)字證書可以標識用戶、設(shè)備或系統(tǒng)的合法身份，它可以存儲在多種硬件介質(zhì)中，常見的硬件介質(zhì)有密碼鑰匙、SD 卡、智能卡等，這些硬件介質(zhì)一般集成有安全芯片，可以實現(xiàn)數(shù)據(jù)加密、身份認證、數(shù)字簽名等多種安全技術(shù)?；谟布橘|(zhì)數(shù)字證書的身份認證方法，在使用過程中，用戶需輸入正確的PIN 碼，才能進行身份認證。該PIN 碼安全存儲在硬件介質(zhì)中，只有介質(zhì)的擁有者知曉，無法用技術(shù)手段導(dǎo)出。因此基于硬件介質(zhì)數(shù)字證書的身份認證方法滿足身份鑒別方法中“所知”和“所有”的組合應(yīng)用，實現(xiàn)了“擁有硬件介質(zhì)，并知曉PIN 密碼”的雙因素身份鑒別，可以滿足安全級別較高信息系統(tǒng)的安全身份認證需要。

數(shù)字證書和一對公、私鑰相對應(yīng)，公鑰以明文的形式放到數(shù)字證書中，私鑰為擁有者秘密掌握。CA中心通過對數(shù)字證書的數(shù)字簽名，確保數(shù)字證書中信息的真實性，在電力物聯(lián)網(wǎng)統(tǒng)一身份認證技術(shù)應(yīng)用中，可以作為終端、員工、信息系統(tǒng)或設(shè)備的有效身份證明，滿足電力物聯(lián)網(wǎng)對內(nèi)外部用戶、不同作業(yè)終端、不同應(yīng)用場景下的安全身份認證需要。

1.4 基于生物特征的身份認證方法

基于生物特征的身份認證技術(shù)[4]，根據(jù)人體各器官或者個人行為所具有唯一性來識別用戶的身份，常見的生物特征鑒別技術(shù)有人臉識別、虹膜識別、聲音識別、指紋識別、掌紋識別等。

由于能夠提供更加安全、便捷的鑒別服務(wù)，近年來生物特征鑒別技術(shù)日漸興起，在電力物聯(lián)網(wǎng)中人員的生物特鑒別方法主要用到了人臉識別和指紋識別。與前面幾種傳統(tǒng)的身份認證技術(shù)相比，基于生物特征的身份認證方法具有以下特點：普偏性，即鑒別的特征是每個人都具有的；唯一性，每個人所擁有的特征都是獨一無二的；穩(wěn)定性，特征不易隨時間、空間和環(huán)境的變化而變化；可比性，所選擇的特征便于收集、測量和比較。

雖然基于生物特征的身份認證方法有很高的便利性和安全性，但其將技術(shù)所保護的信息資產(chǎn)價值與個人緊密綁定，增加了信息保管人的人身安全威脅，另外，生物特征的不可撤銷性將造成生物特征數(shù)據(jù)一旦泄密，損失無法彌補的嚴重后果。在應(yīng)用過程中，基于生物特征的身份認證方法，常作為輔助認證手段，應(yīng)用于安全等級較高的信息系統(tǒng)中。

1.5 幾種身份認證方法的對比

在上述四種身份認證方法中，用戶名密碼認證成熟度高但安全性有限；生物識別技術(shù)安全性和便利性都很高但尚在發(fā)展中，成熟度有待提升；動態(tài)令牌技術(shù)實現(xiàn)基于專有算法，只在特定領(lǐng)域有應(yīng)用、尚不普及；基于硬件介質(zhì)的數(shù)字證書在安全性、便利性和成熟度上相對均衡。

表1 幾種身份認證方法的對比

通過對用戶名/密碼、動態(tài)令牌、基于硬件介質(zhì)的數(shù)字證書、生物特征識別等幾種主要身份認證技術(shù)的研究，從安全性、成本、便利性、可撤銷性、成熟度等幾個維度進行分析對比，本文最終選擇基于硬件安全介質(zhì)的數(shù)字證書身份認證技術(shù)實現(xiàn)電力物聯(lián)網(wǎng)的統(tǒng)一身份認證。

2 統(tǒng)一身份認證技術(shù)流程

本文依托電力物聯(lián)網(wǎng)現(xiàn)有PKI 體系簽發(fā)的數(shù)字證書，通過一個多業(yè)務(wù)的統(tǒng)一身份認證流程，實現(xiàn)人員統(tǒng)一身份認證管理，用以驗證基于硬件安全介質(zhì)（封裝安全芯片）的數(shù)字證書身份認證技術(shù)的安全性和可靠性。用于驗證的數(shù)字證書硬件介質(zhì)為內(nèi)嵌安全芯片的安全SD 卡、密碼鑰匙和非接觸式身份識別卡。

一個多業(yè)務(wù)的統(tǒng)一身份認證流程如下：

用戶在物聯(lián)終端插入已安裝數(shù)字證書的硬件介質(zhì)，請求登錄信息系統(tǒng)，信息系統(tǒng)將認證請求轉(zhuǎn)發(fā)給統(tǒng)一認證中心的認證服務(wù)器（CAS）；統(tǒng)一認證中心將隨機生成一段信息R1并簽名后返回給物聯(lián)終端；物聯(lián)終端應(yīng)用程序驗證硬件安全介質(zhì)的Pin 碼；物聯(lián)終端通過后生成隨機數(shù)R2，使用安全芯片的私鑰對隨機信息“R1+R2+安全芯片ID”進行簽名，并連同用戶的信息發(fā)送認證中心進行驗證；認證服務(wù)器驗證數(shù)字證書的有效性包括CA 簽名信息、證書有效期、證書狀態(tài)等，通過后驗證硬件安全介質(zhì)私鑰對隨機信息“R1+R2+安全芯片ID”簽名的正確性，并比對物聯(lián)終端與證書、安全芯片ID 的匹配性，匹配無誤則認證通過，同意用戶登錄，否則拒絕登錄；用戶身份驗證通過，訪問應(yīng)用系統(tǒng)相關(guān)服務(wù)，應(yīng)用系統(tǒng)通過認證流程，將服務(wù)重新定向到統(tǒng)一認證中心的認證服務(wù)器（CAS）；認證服務(wù)器（CAS）查詢數(shù)據(jù)庫中該用戶的相關(guān)訪問權(quán)限信息，驗證用戶有無權(quán)限使用所請求的應(yīng)用系統(tǒng)服務(wù)，如有權(quán)限通過數(shù)據(jù)加密和電子簽名的方式向應(yīng)用服務(wù)器提供允許用戶訪問的服務(wù)訪問票據(jù)信息，該票據(jù)將作為用戶統(tǒng)一認證和單點登錄多個業(yè)務(wù)的唯一憑證。

用戶完成多業(yè)務(wù)的統(tǒng)一身份認證流程，可以訪問權(quán)限內(nèi)的多業(yè)務(wù)應(yīng)用。

在驗證過程中本文采用基于安全芯片的電力物聯(lián)統(tǒng)一身份認證技術(shù)來鑒別用戶，實現(xiàn)對面向多業(yè)務(wù)人員的統(tǒng)一認證和靈活授權(quán)，并通過認證服務(wù)器對訪問票據(jù)進行加密和簽名，保障其在傳輸過程中的機密性、完整性和不可重放性，實現(xiàn)了安全高效的應(yīng)用和良好的擴展。

綜上，多身份認證技術(shù)融合是生物識別[5]、個人智能終端、可穿戴設(shè)備[6]等新興技術(shù)逐步在PKI體系中推廣應(yīng)用，增加雙因素乃至多因素認證時的可選技術(shù)手段，強化不同認證手段間技術(shù)實現(xiàn)的獨立性和數(shù)據(jù)傳輸交換通道的獨立性，確保特定密碼學(xué)算法、特定通信信道和協(xié)議或特定硬件介質(zhì)失效時，整個PKI 體系的安全防護等級不顯著降低。

身份認證技術(shù)應(yīng)用范圍拓展需要解決如何降低身份認證機制的數(shù)據(jù)通信量和計算量，從而降低設(shè)備的性能要求和計算時間，在有限處理能力、低通信帶寬的場景下實現(xiàn)有效身份識別，解決移動作業(yè)尤其是通信帶寬受限的野外作業(yè)、大規(guī)模部署的物聯(lián)網(wǎng)終端等場景下的身份認證需求。

在新技術(shù)引入方面，量子密碼學(xué)和量子計算快速發(fā)展[7]，利用其在密鑰分發(fā)、傳輸防竊聽、超高速計算等方面的技術(shù)突破，能夠更有效的解決公鑰密碼體系體系所面臨的理論與技術(shù)實踐難題，在公鑰密碼體系中應(yīng)用前景廣闊。但是量子密碼學(xué)和量子計算尚處于驗證階段，暫不具備實用化和大規(guī)模推廣的條件。

[1]陳意,王新霞,等.密碼技術(shù)在工業(yè)互聯(lián)網(wǎng)中的應(yīng)用研究[J].中國信息化,2021,8.

[2]王棟,陳傳鵬,等.新一代電力信息網(wǎng)絡(luò)安全架構(gòu)的思考[J].電力系統(tǒng)自動化,2016,2.

[3]樂宏彥.從新基建安全看高速密碼技術(shù)應(yīng)用的發(fā)展[J].信息安全與通信保密,2020,11.

[4]張富友,王瓊霄,宋利.基于生物特征識別的統(tǒng)一身份認證系統(tǒng)研究[J].信息網(wǎng)絡(luò)安全,2019,9.

[5]毛俊杰,劉鵬,李昌鋒.基于人臉識別和生物特征的學(xué)生身份安全認證系統(tǒng)[J].電子設(shè)計工程, 2020,12.

[6]杜俊雄,陳偉,李雪妍.基于物聯(lián)網(wǎng)設(shè)備指紋的情境認證方法[J].計算機應(yīng)用,2019,2.

[7]江英華,張仕斌,等.具有雙向身份認證的量子密鑰分發(fā)協(xié)議[J].量子電子學(xué)報,2018,1.