景 峰,徐澄宇,李 欣

(1.山西省电力公司,山西太原 030001;2.山西省通信公司,山西太原 030012)

通信加密与数字认证在企业信息系统的应用

景 峰1,徐澄宇1,李 欣2

(1.山西省电力公司,山西太原 030001;2.山西省通信公司,山西太原 030012)

分析了电力企业一体化信息系统通信与身份认证的安全需求,并提出了解决方法,阐述了在已建成的 “数字证书体系”和 “Novell目录系统”基础上,集成基于安全信息层的安全传输协议和基于数字证书X.509标准的双因子数字认证技术,实现了信息系统通信加密与增强认证。实践证明,该方案提高了三级及以上级别信息系统的安全性,并为建设支撑坚强智能电网的信息网络安全接入奠定了基础。

数字证书;通信加密;目录系统;用户认证

0 引言

随着电力企业信息一体化的快速推进,为解决各应用系统用户身份信息一致性与账号密码统一管理,山西省电力公司2007年通过 “信息系统身份认证与控制架构研究”项目,建成了基于微软活动目录与数字证书结合的应用系统认证体系,并在企业门户、办公自动化系统进行了实践应用。2008年建成基于Novell技术架构的全省集中式企业资源目录、身份目录和认证目录,实现了对门户等23个不同安全控制等级的应用系统统一资源控制和用户管理,以及与国家电网公司Novell目录纵向信任认证。2008年,信息系统等级保护建设启动,对信息系统提出了更高的身份鉴别和通信保密安全性要求,增强三级及以上信息系统的用户认证成为统一用户管理重点关注的课题。

1 信息安全问题及解决途径

目前,SG186企业一体化信息平台整合了23个子应用系统,通过Novell目录企业资源控制体系提供的登录控制模块对登录用户进行身份标识和鉴别,实现了 “用户名+密码”方式的企业门户单点登录和用户认证,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用,但仍存在如下问题。

a)集成在门户的各信息系统实现了基于 “用户名+密码”的认证方式,用户必须妥善保管用户名密码、使用强口令,存在非法使用他人登录信息系统处理信息业务的安全风险,不能满足等级保护建设“三级及以上信息系统应能提供两种以上的认证方式对用户进行身份识别和鉴别”的要求。

b)各不同安全级别的信息系统使用了同一个虚拟专用网络 (Virtual Private Network,简称VPN)业务通道混杂传输,客户端与服务器间的通信未使用加密协议,存在被恶意监听的安全风险,未能实现等级保护建设 “在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证”的要求。

c)尚未实现等级保护建设 “应对通信过程中的敏感信息字段进行加密”目标。

为此,提出了将现有的数字证书公钥基础设施认证体系 (Public Key Infrastructure,简称PKI)与Novell目录认证技术架构结合,建成基于第三方的数字证书的应用系统认证控制体系技术方案。该控制体系满足了对高安全控制级别信息系统被访问时、高风险级别用户访问信息系统时通信和认证的双重安全需求。登录高安全控制级别信息系统的用户必须使用合法授权的数字证书,高风险级别用户登录所有信息系统必须出示鉴别身份的数字证书,客户端到被保护的信息系统资源间的信息交互在全过程中使用加密传输。

2009年,山西省电力公司本部通过实践基于加密传输协议的数字证书增强认证体系,成功地解决了在混合数据传输的信息内网环境下用户访问数据时的安全问题,大大提高了用户在访问三级及以上信息系统时传输与认证的安全性。

2 安全传输与认证的技术方案要点

2.1 HTTPS协议

HT TPS协议(Security Hypertext Transfer Protocol,简称 HT TPS)是H TTP(Hypertext T ransfer Protocol,简称HTTP)协议的安全升级版,是采用了安全套结字层 (Secure Socket Layer,简称SSL)作为HTTP协议子层的一种安全访问协议。即HTTP下加入SSL层,SSL是HTTPS的安全基础,加密的详细内容需要通过SSL来完成。HT TPS协议的主要作用有两方面:一是建立一个信息安全通道,来保证数据传输的安全;二是确认网站的真实性。

虽然美国现在已经提出了128位的安全标准,但是由于相关限制出境等原因,目前Internet互联网上主流还是采用SSL协议使用40位关键字作为RC4流加密算法,HT TPS和SSL支持使用X.509数字认证标准。

2.2 数字证书

数字证书类似于现实生活中的身份证,是一个可以唯一标示个人身份的证明,数字证书是提供身份验证的一种权威性电子文档,用户可以通过数字证书来标识自己的身份,同时也可以辨别他人的身份是否合法安全。

在重要的礼仪场合中，“礼容”更呈现了行礼者的精神面貌，从而在某种程度上预示个人、家族的命运乃至一国的兴衰。无怪乎孟僖子病不能相礼而讲学之，并在临终前教导“礼，人之干也。无礼，无以立。(《左传》昭七年)。礼是立身行事的基本原则，《论语·季氏》的“不学礼，无以立”在当时大概是文化阶层的一种共识。执政者能否为礼，又成为影响“国之干”首要因素。因此，对执政者逾礼行为的规谏，往往上升到探讨礼的基本性质的话题。如隐五年公将至棠观鱼，臧僖伯谏曰：

数字证书基于X.509标准规范。而使用HTTPS和SSL能够很好地提供对X.509数字认证支持。一个X.509数字证书有两把密钥:一把是用户的专用密钥,另一把是其他用户都可利用的公共密钥。同时一个证书中还包含了用户电子邮件地址、在证书服务器上所在组织节点等相关的用户信息,这些都可以通过证书管理机构(Certificate Authority,简称CA)认证授权或者通过Novell自身比较完善的证书体系完成证书的颁发和维护。

2.3 数字证书与Novell目录服务系统集成后的认证流程

信息系统使用数字证书进行单点登录的认证流程见图1。

a)访问管理系统 (Access Manager,简称AM)系统中的访问网关 (Access Gateway,简称AG)服务器针对对应的应用系统配置反向代理和导入第三方提供或由AM自己颁发的根证书。

图1 某信息系统使用数字证书进行单点登录的认证流程图

b)用户访问某信息系统时,被重定向到AM系统要求用户进行身份验证。AM系统会要求用户出示含有AM颁发或被AM授权的第三方用户证书,在用户证书未被AM系统认证为合法证书前,用户将无法访问信息系统。用户访问到对应信息系统的验证页面后,AM系统会将对应信息系统的反向服务的证书作为信息系统证书出示给用户。用户的浏览器判断该证书合法性,如果合法,继续下一步,如不合法,提示用户该证书可能导致用户访问的内容没有被很好地保护。AM服务器要求用户出示用户电子证书 (USB-Key),用户提交后,读取在USB-Key中所存储的用户密钥,提示用户输入USB-Key的个人识别号码 (Personal Identification Number,简称PIN码),PIN码正确后,读出密钥,AM系统根据SSL认证时用户证书合法性的判断条件对用户证书的合法性进行判断。如果用户证书合法且AM系统没有再附加其他认证手段的情况下,用户认证成功。

c)当用户认证成功后,AM系统将代替用户去访问对应的信息系统,并完成对应信息系统的单点登录。

d)信息系统根据AM系统发送过来的请求将执行的结果返回给AM系统,通过AM系统缓存后再返回给用户。

在用户通过AM系统的SSL认证以及基本用户身份认证后,用户与AM系统间进行的通信将完全通过SSL加密进行传输,保证了用户传输的信息安全,并且再次通过用户双因子数字证书认证,更进一步保证了用户的账号安全。

2.4 Novell目录服务系统与数字证书属性匹配

通过第三方或者是Novell目录自己颁发给用户的数字证书,准确在目录中定位到相应的用户,从而获得该用户的相关信息来完成单点登录等后续操作是被保护信息系统实现增强认证的关键。证书实际上是一种包含了用户部分相关信息的特殊文档,为此通过Novell自身机制,在Novell的AM系统中实现用户存储在证书的属性与目录属性进行对应,只要在目录中保证与证书属性对应的属性是唯一的,即该用户的某一属性在目录中的所有用户中是唯一的,即可完成用户的定位。例如某用户在目录中存在一个唯一的电子邮件 (E-mail属性),可以通过用户存储在证书中的某一属性与mail属性进行对应或者属性匹配,只要确保用户的证书属性与目录属性一对一的对应,即可准确完成该用户在目录系统中的定位。注意若该用户的证书属性在目录中存在多对一的情况,即该属性在目录中存在多个匹配的用户则会定位失败。

Novell可提供四种可选的证书属性,实现与目录属性的对应匹配。

a)目录名称 (Directory Name):证书中保存的该用户在证书颁发机构所存储的用户路径。

b)邮件 (E-mail):用户证书中保存的用户电子邮件信息。

c)序列号与颁发者名称 (Serial Number and Issuer Name):用户证书的序列号与颁发机构所拼接的字符串。

d)主体名称 (Subject Name):证书中所保存的该用户的对象名称。

2.5 数字证书认证与目录单点登录功能的集成

目录系统的单点登录功能也是目录服务的一个关键功能,该功能可以完成针对特定资源的保护,可以完成基于角色的登录控制。

当目录系统完成与数字证书的集成工作之后,将会发挥更强大的访问控制和安全控制。与数字证书集成后,若用户在访问特定的资源,或者特定的角色在进行访问的时候,会要求用户出示其数字证书,必须通过了目录和数字证书的双重认证之后才能完成对应的访问操作。

经过以上的集成工作后,很好地对敏感数据的流通访问进行了控制,也可以保证高风险用户账号的安全性。即使高风险用户的账号被破解,但在登录或访问时未能出示对应的数字证书,也将会被拒绝访问。

3 结束语

基于H TTPS协议的通信加密与X.509标准规范的数字证书结合的信息系统增强认证解决方案,大大提高了山西电力企业一体化信息平台的访问安全控制水平。

用户与信息系统交互数据采用基于SSL的H TTPS安全协议进行通信加密,采用了40位的加密算法,即使在传输过程中数据被他人获取到,也无法完成数据的解密,保证了用户数据在传输过程中的安全性。

基于X.509标准规范的双因子数字证书很好地解决了身份同步与单点登录相关安全性问题,高风险用户在访问信息系统时必须出示证书进行安全认证,授权用户在访问三级及以上受控信息系统时必须出示数字证书并通过验证,满足了公司对信息系统身份认证安全性的需求。

作为电力信息系统用户认证与通信安全的成功实践,“统一认证+双因子数字证书+SSL通道加密”的解决方案,为下一步坚强智能电网的信息网络安全接入控制进行了有益尝试。

Application of Communications Encryption and Digital Authentication Technology in Enterprise Information System

JING Feng1,XU Cheng-yu1,LI-Xin2
(1.Shanxi Electric Power Company,Taiyuan,Shanxi 030001,China;
2.China Mobile Group Shanxi Go.,Ltd,Taiyuan,Shanxi 030012,China)

Security requirements on communication and authentication of enterprise integrated information system platform are analyzed,and solutions are proposed.On the basis of the“Digital certificate system” and“Novell directory system” completed,the communication encryption and enhanced authentication of the information system are implemented by integrating security protocols and the two-factor digital certificate technologies,based on secure socket layer and X.509 standards respectively.It is proved that,information system security of the three-level and above has been greatly increased,and the foundation is laid for supporting information system security access control of strong smart-grid.

digital certificates;communication encryption;directory system;user authentication

TP309.2

B

1671-0320(2010)04-0037-03

2010-04-12,

2010-06-23

景 峰 (1977-),男,山西平陆人,1998年毕业于太原理工大学环境与市政工程系供热通风与空调工程专业,工程师,从事信息安全管理与建设工作;

徐澄宇 (1975-),女,江苏如东人,1996年毕业于华北电力大学计算机应用系计算机应用专业,工程师,从事信息化管理与信息系统建设工作;

李 欣 (1968-),女,山西太原人,2006年毕业于北京邮电大学通信工程专业,工程师,从事集团客户售后支撑工作。