辽宁省交通运输事务服务中心 刘春来

本文介绍了一种基于国密算法的数字认证证书的方式，建立起交通行业信息化应用统一身份管理系统。从当前面临的多系统身份管理混乱现状进行分析，提出了一种统一入口控制，统一身份认证，统一权限管理和统一行为审计的方法，实现了信息系统用户的集中统一管理，解决了各系统的用户信息不一致和不能统一管理认证的问题。

做好用户身份的管理，关系到人员信息安全和操作是否便捷。从系统整合的角度来看，应从整体上考虑用户身份管理，将其作为信息化的一项基础服务，并与用户管理紧密结合起来，实现用户统一管理与用户身份管理的同步。用户身份管理是一项基础服务，同时也对业务发展起到支撑作用。随着信息系统的日益复杂及业务对信息系统的高度依赖，需要将用户身份与角色延伸到业务领域，与角色进行整合，逐渐从身份管理过渡到身份治理。

1 交通行业信息化面临的问题

目前，辽宁省交通厅经过多年的信息化建设已经建成了一批比较成熟的应用系统，包括道路运政、政务办公、信用、物流公共信息平台等几十个系统。随着信息化的不断深入，未来还会增加更多的应用系统。应用系统普遍面临如下问题：

1.1 登录验证问题

各个系统都是通过用户名和静态口令验证方式登录系统，并且口令普遍偏弱、不定期修改密码等问题。易被截获和分析、猜测和破解，存在着极大的安全隐患。

1.2 系统管理问题

设备和应用系统等网络资产越来越多，每个资产各自独立拥有一套用户账号管理和权限管理，这些账号没有互联互通，非常容易混乱，系统管理员管理繁琐，往往为了减少工作而扩大用户权限范围。

1.3 系统登录的问题

每个系统都需要输入各自用户名、口令进行登录，为了方便记忆，有些用户将多个系统设置成相同口令，一旦口令泄露，所有系统不再安全。而且多套系统的访问地址不同、访问方式不同、登陆账号不同、权限也不尽相同，对于终端用户来说长期以往也产生了疲劳，进一步加剧了安全风险。

1.4 系统集中审计的问题

缺乏集中统一的访问审计，不利于对访问应用系统的人员和行为进行集中审计分析。分散了系统审计的工作界面，加大了相关人员的工作量，再结合前三点反应出的问题，即使进行审计分析，但是审计结果也无法达到预期效果。

2 基于国密算法的数字证书技术

数字证书也被称为“网络身份证”或“数字身份证”，是由证书认证中心（CA）发放并经过数字化签名的一种电子文件。其包含公开密钥所有者和公开密钥信息，可证明数字证书持有者的真实身份。数字证书的格式大部分采用X.509国标，其用户公钥证书由用户提出申请，CA制作和发放。CA在发放数字证书后会将发放的证书信息发布到目录服务器为中，用于证书状态的查询。

为了保障我国商用密码的安全，国家商用密码管理机构制订了包括SM1、SM2、SM3、SM4在内的多种密码标准。其中SM1和SM4是对称的算法，SM1算法由硬件方式实现，其算法不公开；SM2是非对称算法；SM3是哈希算法。

采用基于国密算法的数字证书技术，能够有效提高我国自主网络信息安全，有效阻止国际网络攻击和渗透，因此本系统采用SM2加密算法。在系统中，引入SM2加密算法，其原理如下：当客户端（B端）向服务器（C端）传输数据时，在B端使用C端的公钥对传输的信息数据进行加密处理并发送出去，C端接收到数据后使用私钥进行解密，并将解密数据进行业务处理。当B向C端请求数据时，系统向C发送公钥（每个用户都有个不同的公钥），C端使用该公钥对数据进行加密处理并发送出去，B端接收到数据后，再使用私钥进行解密操作实现请求数据结果的复现。

算法流程图如图1所示。

3 统一身份认证系统设计

图1 SM2算法流程图

图2 身份认证系统架构

随着信息技术的飞速发展，在享受着信息化和数字化带来便捷的同时，也产生了各类安全隐患。因此，建设具备高可靠性、高安全性的信息系统身份认证机制，保证用户身份的准确真实需要尽快解决。根据辽宁省交通厅目前的行业痛点和安全需求，本文提出了如图2所示的安全统一身份认证系统架构。

整个架构分为两个区域，DMZ区、应用区。DMZ区是主要用来和互联网进行交互的隔离区域，部署应用安全网关、RA代理服务器、WEB服务器等。应用区主要部署了统一认证身份管理系统、应用系统、动态密码系统、数字签名验签服务器，两个区域通过网闸进行隔离，实现了网络安全边界防护。身份认证的实现流程如下：

3.1 证书申请流程

（1）业务人员登录RA系统WEB管理页面；（2）填写证书注册信息，提交；（3）RA服务器明文方式将信息传送到RA前置代理；（4）RA前置代理与交通部安全代理服务器建立SSL连接，建立连接后将注册信息密文访问传送到安全代理服务器；（5）安全代理服务器以明文方式将信息传送证书认证系统；（6）证书认证系统接收证书注册信息，制作证书，按照原路返回给RA服务器；（7）RA服务器将证书写入USBKEY中，完成证书申请。

3.2 外部用户访问与登录应用系统流程-动态口令

（1）用户通过浏览器访问业务系统网址，在用户与安全网关之间建立安全https通道；（2）输入用户名与动态密码；（3）动态密码通过应用服务器发送到动态密码服务器；（4）动态密码服务器验证后，返回成功OR失败；（5）验证成功后，用户成功登录业务系统。

3.3 关键业务操作流程-数字签名

（1）用户成功登录系统；（2）提交关键信息，并对信息进行数字签名，并提交到后台业务系统；（3）业务系统接收到客户端发来的验签请求，调用签名服务器API接口，进行签名验证；（4）验证成功后，保障了关键信息的真实完整，进行下一步逻辑处理。

3.4 单点登录

（1）业务人员登录门户，系统会展示出有权限登录的系统；（2）业务人员点击对应业务系统，单点登录系统会代替业务人员填入系统用户名与密码同时跳转到对应业务中指定页面。

3.5 账号同步管理

当要增加用户或删除用户，系统管理员无需登录对应每个权限的操作系统逐一操作，只需要登录统一身份认证管理系统进行创建账户与删除账户操作，统一认证管理系统调用其他系统接口，账户信息会自动同步到对应系统中。

3.6 应用场景

经过整合后，辽宁省交通运输厅的公路、水路、港口、危货、两客一危、造价等所有信息系统实现了统一身份认证，在数据交互过程中，基于SM2算法，实现了数据交互的加密传输，保障了数据传输的安全，系统基于多因子的身份认证和统一权限控制，实现了每个账户的权限适当且唯一，不仅避免了多个系统用户名和口令，也实现了责任清晰，安全高效。

结束语：针对目前交通行业信息化系统面临系统多、系统分散、信息难以整合、身份认证困难、访问难以控制、账号管理混乱等问题，提出了基于国密算法的统一身份认证系统，实现了身份认证、访问控制灵活统一，极大的提高了网络信息安全防护水平，通过在交通厅的部署应用，实现了系统的集中统一管理和单点登录，提高了交通行业的业务和信息安全管理水平。下一步将探索行业数据治理和大数据的分析，实现系统和数据的集中统一管理，加快交通行业的数字化转型。