一種面向敏感身份的安全認(rèn)證方案

引言國家逐步建立軍人榮譽(yù)制度，推進(jìn)了軍隊(duì)人員在地方依法享受各類社會福利的制度發(fā)展，使得軍人身份在公共網(wǎng)絡(luò)中的身份真實(shí)性認(rèn)證成為一個(gè)迫切需要解決的問題。軍人身份的敏感性使軍人身份信息無法直接在公共網(wǎng)絡(luò)環(huán)境中使用，需要針對身份數(shù)據(jù)敏感性保護(hù)和身份認(rèn)證機(jī)制進(jìn)行有針對性的設(shè)計(jì)。本文設(shè)計(jì)的方案就是用于解決身份敏感人員在公共網(wǎng)絡(luò)環(huán)境下的身份認(rèn)證安全防護(hù)問題。安全風(fēng)險(xiǎn)分析身份敏感人員在公共網(wǎng)絡(luò)環(huán)境下的身份認(rèn)證面臨的安全風(fēng)險(xiǎn)如下。身份數(shù)據(jù)敏感性泄露。具有敏感性的身份數(shù)據(jù)在進(jìn)行跨網(wǎng)絡(luò)、跨系統(tǒng)應(yīng)用時(shí)，在數(shù)據(jù)處理的各個(gè)環(huán)節(jié)都會面臨數(shù)據(jù)被竊取和非法使用的風(fēng)險(xiǎn)，若造成數(shù)據(jù)泄露，將會給個(gè)人、機(jī)構(gòu)甚至國家?guī)頁p失和危害。身份假冒。身份敏感人員身份認(rèn)證為了保護(hù)個(gè)人身份信息的安全，個(gè)人身份信息不宜在系統(tǒng)中直接傳輸和存儲，從而增加了身份假冒的風(fēng)險(xiǎn)。大數(shù)據(jù)分析。身份敏感人員的身份數(shù)據(jù)在公共網(wǎng)絡(luò)環(huán)境中應(yīng)用時(shí)，一旦泄露，面臨著被分析出身份敏感人員的數(shù)量和規(guī)模等風(fēng)險(xiǎn)。方案設(shè)計(jì)方案從敏感身份數(shù)據(jù)的引接、數(shù)據(jù)處理和數(shù)據(jù)應(yīng)用多個(gè)環(huán)節(jié)，針對敏感身份數(shù)據(jù)的安全風(fēng)險(xiǎn)分別采取相應(yīng)的安全技術(shù)手段，保證既能基于敏感身份數(shù)據(jù)實(shí)現(xiàn)身份敏感人員在公共網(wǎng)絡(luò)環(huán)境下的身份認(rèn)證，又能保證敏感身份數(shù)據(jù)的安全，防止敏感身份泄露和其他安全威脅。2.1系統(tǒng)架構(gòu)系統(tǒng)架構(gòu)設(shè)計(jì)如圖1所示：圖１系統(tǒng)架構(gòu)設(shè)計(jì)

系統(tǒng)在架構(gòu)設(shè)計(jì)上以保護(hù)身份數(shù)據(jù)的敏感性為核心，在數(shù)據(jù)引接、數(shù)據(jù)處理和數(shù)據(jù)應(yīng)用多個(gè)層面采取相應(yīng)的安全技術(shù)手段，保證身份敏感人員的身份數(shù)據(jù)應(yīng)用于公共網(wǎng)絡(luò)環(huán)境中時(shí)，數(shù)據(jù)的產(chǎn)生、處理、分發(fā)、存儲以及應(yīng)用等各個(gè)環(huán)節(jié)的安全性。

2.2身份數(shù)據(jù)引接數(shù)據(jù)引接是指從身份敏感人員身份數(shù)據(jù)庫中根據(jù)實(shí)際應(yīng)用需求引接部分必需的基礎(chǔ)身份數(shù)據(jù)。數(shù)據(jù)引接包括以下流程。2.2.1數(shù)據(jù)過濾敏感身份數(shù)據(jù)庫通常部署在信息系統(tǒng)內(nèi)部網(wǎng)絡(luò)，為了保證數(shù)據(jù)的使用范圍，根據(jù)滿足應(yīng)用需求最低原則設(shè)置過濾條件，對引接的數(shù)據(jù)進(jìn)行安全過濾。過濾條件包括以下內(nèi)容。數(shù)據(jù)項(xiàng)過濾。針對身份認(rèn)證需求，設(shè)置引接的身份信息基礎(chǔ)數(shù)據(jù)項(xiàng)，包括姓名、性別、身份證號和基本身份屬性等。高敏感度數(shù)據(jù)過濾。針對部分身份敏感度較高的人員，設(shè)置特定的身份屬性過濾條件，對這類人員的身份數(shù)據(jù)進(jìn)行過濾，防止引接到外部公共網(wǎng)絡(luò)環(huán)境中。2.2.2數(shù)據(jù)分隔數(shù)據(jù)分隔是為了控制數(shù)據(jù)的應(yīng)用范圍，根據(jù)敏感身份數(shù)據(jù)的應(yīng)用范圍對數(shù)據(jù)進(jìn)行分隔，分隔后可以進(jìn)行不同的數(shù)據(jù)處理和存儲。2.2.3數(shù)據(jù)轉(zhuǎn)換引接的數(shù)據(jù)需要使用獨(dú)立的數(shù)據(jù)庫系統(tǒng)進(jìn)行存儲，通過對數(shù)據(jù)項(xiàng)的名稱、類型進(jìn)行轉(zhuǎn)換，建立新的數(shù)據(jù)信息庫。2.2.4數(shù)據(jù)存儲對分隔和轉(zhuǎn)換后的數(shù)據(jù)進(jìn)行安全存儲，并根據(jù)數(shù)據(jù)的敏感程度采取安全措施，包括數(shù)據(jù)庫加密、訪問控制和審計(jì)等。2.3身份數(shù)據(jù)處理數(shù)據(jù)處理是系統(tǒng)最重要的一個(gè)環(huán)境，需要實(shí)現(xiàn)敏感身份數(shù)據(jù)從敏感變成非敏感、從內(nèi)部系統(tǒng)遷移到外部系統(tǒng)。主要的安全技術(shù)手段是數(shù)據(jù)脫敏和數(shù)據(jù)安全分發(fā)。2.3.1數(shù)據(jù)脫敏敏感身份數(shù)據(jù)在外部公共網(wǎng)絡(luò)環(huán)境中應(yīng)用，必需采取安全、有效的數(shù)據(jù)脫敏⑴技術(shù)對數(shù)據(jù)進(jìn)行脫敏處理。數(shù)據(jù)脫敏目標(biāo)。數(shù)據(jù)脫敏目標(biāo)包括兩個(gè)方面：一是防止泄露數(shù)據(jù)的敏感性，即對敏感身份數(shù)據(jù)進(jìn)行脫密或去隱私化；二是防止對數(shù)據(jù)進(jìn)行敏感性分析，即對敏感身份數(shù)據(jù)去真實(shí)性。數(shù)據(jù)脫敏技術(shù)。敏感身份數(shù)據(jù)脫敏采用的技術(shù)手段和脫敏效果直接決定了身份敏感人員在公共網(wǎng)絡(luò)環(huán)境中基于用戶真實(shí)身份進(jìn)行網(wǎng)絡(luò)身份認(rèn)證是否符合安全保密要求。本方案采用的數(shù)據(jù)脫敏技術(shù)和處理流程如圖2所示。圖2敏感身份數(shù)據(jù)脫敏設(shè)計(jì)

數(shù)據(jù)脫敏采用基于數(shù)據(jù)脫敏引擎工作機(jī)制，通過數(shù)據(jù)脫敏算法和數(shù)據(jù)混淆算法對敏感身份數(shù)據(jù)進(jìn)行脫敏處理。數(shù)據(jù)脫敏采用不可逆的數(shù)據(jù)轉(zhuǎn)換機(jī)制對數(shù)據(jù)進(jìn)行脫密和去隱私化處理乳本方案采用哈希密碼運(yùn)算對敏感身份數(shù)據(jù)的重要身份屬性進(jìn)行數(shù)據(jù)處理，包括用戶姓名、身份證號以及移動電話號碼等?；诠Ｋ惴ǖ拿艽a運(yùn)算機(jī)制保證了脫敏處理后的數(shù)據(jù)具有不可恢復(fù)性，提供了很好的安全性保證。數(shù)據(jù)脫敏方法示例如表1所示。表1不可逆數(shù)據(jù)脫敏處理在數(shù)據(jù)脫敏處理之后，再對數(shù)據(jù)進(jìn)行混淆處理，數(shù)量的假數(shù)據(jù)，能夠防止對數(shù)據(jù)的數(shù)量、規(guī)模進(jìn)行分本方案釆用的數(shù)據(jù)混淆機(jī)制是根據(jù)實(shí)際數(shù)據(jù)增加一定析，進(jìn)一步保證數(shù)據(jù)的安全性?；煜龣C(jī)制如表2所示。表2數(shù)據(jù)混淆處理混淆數(shù)據(jù)的數(shù)量根據(jù)一定的比例隨機(jī)增加，保證難以對數(shù)據(jù)規(guī)模和具體數(shù)量進(jìn)行分析。2.3.2數(shù)據(jù)分發(fā)數(shù)據(jù)分發(fā)囹是把敏感身份數(shù)據(jù)從內(nèi)部系統(tǒng)安全傳遞到外部系統(tǒng)的過程。數(shù)據(jù)分發(fā)應(yīng)根據(jù)2個(gè)系統(tǒng)之間的網(wǎng)絡(luò)關(guān)系、安全等級差別等選擇不同的數(shù)據(jù)分發(fā)方式。本方案設(shè)計(jì)的數(shù)據(jù)分發(fā)方式如圖3所示。圖3身份數(shù)據(jù)安全分發(fā)設(shè)計(jì)采用數(shù)據(jù)擺渡機(jī)制實(shí)現(xiàn)敏感身份數(shù)據(jù)從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的安全分發(fā)，根據(jù)內(nèi)外網(wǎng)絡(luò)之間的安全等級選擇不同的數(shù)據(jù)擺渡機(jī)制。安全等級差別大時(shí)，選擇基于物理隔離的光盤擺渡機(jī)制；安全等級差別小時(shí)，可選擇基于單向傳送在線擺渡機(jī)制。2.4身份認(rèn)證應(yīng)用基于脫敏后的身份數(shù)據(jù)進(jìn)行身份核查和身份認(rèn)證等應(yīng)用時(shí)，在身份認(rèn)證令牌和身份認(rèn)證協(xié)議設(shè)計(jì)時(shí)需要采取特殊的機(jī)制。本方案采用基于動態(tài)密碼技術(shù)的多因素動態(tài)可重構(gòu)的(SuperOne-Time-Password,SOTP)身份認(rèn)證機(jī)制囹，實(shí)現(xiàn)敏感用戶身份的真實(shí)性核查和身份認(rèn)證，實(shí)現(xiàn)原理如圖4所示。圖4安全身份認(rèn)證工作原理將脫敏后的用戶身份數(shù)據(jù)與個(gè)人秘鑰數(shù)據(jù)進(jìn)行綁定，并通過密碼算法重構(gòu)機(jī)制生成個(gè)人算法，編譯成具有唯一性的個(gè)人算法庫，既個(gè)人身份認(rèn)證令牌。采用SOTP認(rèn)證機(jī)制叫可以不需要用戶身份的原始信息，很好地解決了敏感用戶身份認(rèn)證過程中用戶身份敏感性保護(hù)問題。安全性分析本方案針對敏感用戶身份認(rèn)證過程中的身份敏感性保護(hù)和認(rèn)證機(jī)制進(jìn)行了全面和有針對性的安全設(shè)計(jì)，為敏感用戶身份認(rèn)證提供了各環(huán)節(jié)的安全保證，其安全性分析如下。(1)方案針對敏感身份數(shù)據(jù)在身份認(rèn)證過程中的各環(huán)節(jié)采用了多種安全防護(hù)技術(shù)，從數(shù)據(jù)的產(chǎn)生到數(shù)據(jù)分發(fā)，通過對數(shù)據(jù)切割、脫敏以及轉(zhuǎn)換等,保證敏感身份數(shù)據(jù)進(jìn)入公共網(wǎng)絡(luò)環(huán)境時(shí)不再具有敏感屬性，且其敏感性具有不可恢復(fù)性。(2)釆用基于SOTP認(rèn)證機(jī)制作為敏感用戶身份認(rèn)證的實(shí)現(xiàn)，利用密碼機(jī)制的安全性保證，同時(shí)無需暴露敏感用戶的原始身份信息，解決了敏感用戶在公共網(wǎng)絡(luò)環(huán)境下的身份認(rèn)證敏感性保護(hù)問題。結(jié)語敏感用戶身份認(rèn)證安全防護(hù)的重點(diǎn)是防止身份認(rèn)證過程中的身份敏感性泄露。本方案主要是針對敏感用戶在公共網(wǎng)絡(luò)環(huán)境中的身份認(rèn)證進(jìn)行安全