唐绍军，盘善海

（1.军委后勤保障部信息中心，北京 100842；2.中国电子科技集团公司第三十研究所，四川 成都 610041）

0 引 言

国家逐步建立军人荣誉制度，推进了军队人员在地方依法享受各类社会福利的制度发展，使得军人身份在公共网络中的身份真实性认证成为一个迫切需要解决的问题。军人身份的敏感性使军人身份信息无法直接在公共网络环境中使用，需要针对身份数据敏感性保护和身份认证机制进行有针对性的设计。本文设计的方案就是用于解决身份敏感人员在公共网络环境下的身份认证安全防护问题。

1 安全风险分析

身份敏感人员在公共网络环境下的身份认证面临的安全风险如下。

（1）身份数据敏感性泄露。具有敏感性的身份数据在进行跨网络、跨系统应用时，在数据处理的各个环节都会面临数据被窃取和非法使用的风险，若造成数据泄露，将会给个人、机构甚至国家带来损失和危害。

（2）身份假冒。身份敏感人员身份认证为了保护个人身份信息的安全，个人身份信息不宜在系统中直接传输和存储，从而增加了身份假冒的风险。

（3）大数据分析。身份敏感人员的身份数据在公共网络环境中应用时，一旦泄露，面临着被分析出身份敏感人员的数量和规模等风险。

2 方案设计

方案从敏感身份数据的引接、数据处理和数据应用多个环节，针对敏感身份数据的安全风险分别采取相应的安全技术手段，保证既能基于敏感身份数据实现身份敏感人员在公共网络环境下的身份认证，又能保证敏感身份数据的安全，防止敏感身份泄露和其他安全威胁。

2.1 系统架构

系统架构设计如图1所示。

图1 系统架构

系统在架构设计上以保护身份数据的敏感性为核心，在数据引接、数据处理和数据应用多个层面采取相应的安全技术手段，保证身份敏感人员的身份数据应用于公共网络环境中时，数据的产生、处理、分发、存储以及应用等各个环节的安全性。

2.2 身份数据引接

数据引接是指从身份敏感人员身份数据库中根据实际应用需求引接部分必需的基础身份数据。数据引接包括以下流程。

2.2.1 数据过滤

敏感身份数据库通常部署在信息系统内部网络，为了保证数据的使用范围，根据满足应用需求最低原则设置过滤条件，对引接的数据进行安全过滤。过滤条件包括以下内容。

（1）数据项过滤。针对身份认证需求，设置引接的身份信息基础数据项，包括姓名、性别、身份证号和基本身份属性等。

（2）高敏感度数据过滤。针对部分身份敏感度较高的人员，设置特定的身份属性过滤条件，对这类人员的身份数据进行过滤，防止引接到外部公共网络环境中。

2.2.2 数据分隔

数据分隔是为了控制数据的应用范围，根据敏感身份数据的应用范围对数据进行分隔，分隔后可以进行不同的数据处理和存储。

2.2.3 数据转换

引接的数据需要使用独立的数据库系统进行存储，通过对数据项的名称、类型进行转换，建立新的数据信息库。

2.2.4 数据存储

对分隔和转换后的数据进行安全存储，并根据数据的敏感程度采取安全措施，包括数据库加密、访问控制和审计等。

2.3 身份数据处理

数据处理是系统最重要的一个环境，需要实现敏感身份数据从敏感变成非敏感、从内部系统迁移到外部系统。主要的安全技术手段是数据脱敏和数据安全分发。

2.3.1 数据脱敏

敏感身份数据在外部公共网络环境中应用，必需采取安全、有效的数据脱敏[1]技术对数据进行脱敏处理。

（1）数据脱敏目标。数据脱敏目标包括两个方面：一是防止泄露数据的敏感性，即对敏感身份数据进行脱密或去隐私化；二是防止对数据进行敏感性分析，即对敏感身份数据去真实性。

（2）数据脱敏技术。敏感身份数据脱敏采用的技术手段和脱敏效果直接决定了身份敏感人员在公共网络环境中基于用户真实身份进行网络身份认证是否符合安全保密要求。本方案采用的数据脱敏技术[2]和处理流程如图2所示。

图2 敏感身份数据脱敏设计

数据脱敏采用基于数据脱敏引擎工作机制，通过数据脱敏算法和数据混淆算法对敏感身份数据进行脱敏处理。

数据脱敏采用不可逆的数据转换机制对数据进行脱密和去隐私化处理[3]。本方案采用哈希密码运算对敏感身份数据的重要身份属性进行数据处理，包括用户姓名、身份证号以及移动电话号码等。基于哈希算法的密码运算机制保证了脱敏处理后的数据具有不可恢复性，提供了很好的安全性保证。数据脱敏方法示例如表1所示[4]。

表1 不可逆数据脱敏处理

在数据脱敏处理之后，再对数据进行混淆处理，本方案采用的数据混淆机制是根据实际数据增加一定数量的假数据，能够防止对数据的数量、规模进行分析，进一步保证数据的安全性。混淆机制如表2所示。

表2 数据混淆处理

混淆数据的数量根据一定的比例随机增加，保证难以对数据规模和具体数量进行分析。

2.3.2 数据分发

图3 身份数据安全分发设计

数据分发[4]是把敏感身份数据从内部系统安全传递到外部系统的过程。数据分发应根据2个系统之间的网络关系、安全等级差别等选择不同的数据分发方式。本方案设计的数据分发方式如图3所示。采用数据摆渡机制实现敏感身份数据从内部网络到外部网络的安全分发，根据内外网络之间的安全等级选择不同的数据摆渡机制。安全等级差别大时，选择基于物理隔离的光盘摆渡机制；安全等级差别小时，可选择基于单向传送在线摆渡机制。

2.4 身份认证应用

图4 安全身份认证工作原理

基于脱敏后的身份数据进行身份核查和身份认证等应用时，在身份认证令牌和身份认证协议设计时需要采取特殊的机制。本方案采用基于动态密码技术的多因素动态可重构的（Super One-Time-Password，SOTP）身份认证机制[4]，实现敏感用户身份的真实性核查和身份认证，实现原理如图4所示。

将脱敏后的用户身份数据与个人秘钥数据进行绑定，并通过密码算法重构机制生成个人算法，编译成具有唯一性的个人算法库，既个人身份认证令牌。采用SOTP认证机制[5]，可以不需要用户身份的原始信息，很好地解决了敏感用户身份认证过程中用户身份敏感性保护问题。

3 安全性分析

本方案针对敏感用户身份认证过程中的身份敏感性保护和认证机制进行了全面和有针对性的安全设计，为敏感用户身份认证提供了各环节的安全保证，其安全性分析如下。

（1）方案针对敏感身份数据在身份认证过程中的各环节采用了多种安全防护技术，从数据的产生到数据分发，通过对数据切割、脱敏以及转换等，保证敏感身份数据进入公共网络环境时不再具有敏感属性，且其敏感性具有不可恢复性。

（2）采用基于SOTP认证机制作为敏感用户身份认证的实现，利用密码机制的安全性保证，同时无需暴露敏感用户的原始身份信息，解决了敏感用户在公共网络环境下的身份认证敏感性保护问题。

4 结 语

敏感用户身份认证安全防护的重点是防止身份认证过程中的身份敏感性泄露。本方案主要是针对敏感用户在公共网络环境中的身份认证进行安全设计，方案适用于用户原始身份数据敏感性高且在公共网络环境进行身份认证时不宜暴露实际身份信息的安全身份认证应用。在后续研究中将进一步对敏感身份数据在公共网络中的安全共享进行研究，为互联网等公共网络安全、方便地使用政府、军队等敏感用户身份数据和为政企联合、军民融合提供信息安全保障。