一种面向敏感身份的安全认证方案

随着移动互联网应用的推广，以及军民融合的发展，身份敏感人员在移动互联网中进行各类个人业务办理时身份真实性认证的需求越来越迫切，身份敏感人员身份认证具有一定的特殊性，为身份敏感人员在公开网络中的身份认证设计安全实现方案，需要在分析敏感身份认证面临的主要安全风险基础上，采用多种技术手段为敏感身份认证各个环节实施安全防护，能够适用于身份敏感人员在公共社会活动中的网络身份认证，如军人在各类社会活动中享受优抚优待时的身份真实性核查。

国家逐步建立军人荣誉制度，推进了军队人员在地方依法享受各类社会福利的制度发展，使得军人身份在公共网络中的身份真实性认证成为一个迫切需要解决的问题。军人身份的敏感性使军人身份信息无法直接在公共网络环境中使用，需要针对身份数据敏感性保护和身份认证机制进行有针对性的设计。

本文设计的方案就是用于解决身份敏感人员在公共网络环境下的身份认证安全防护问题。

1.安全风险分析

身份敏感人员在公共网络环境下的身份认证面临的安全风险如下。

身份数据敏感性泄露。具有敏感性的身份数据在进行跨网络、跨系统应用时，在数据处理 的各个环节都会面临数据被窃取和非法使用的风 险，若造成数据泄露，将会给个人、机构甚至国家带来损失和危害。

身份假冒。身份敏感人员身份认证为了保护个人身份信息的安全，个人身份信息不宜在系 统中直接传输和存储，从而增加了身份假冒的风险。

大数据分析。身份敏感人员的身份数据 在公共网络环境中应用时，一旦泄露，面临着被分 析出身份敏感人员的数量和规模等风险。

2.方案设计

方案从敏感身份数据的引接、数据处理和数据应用多个环节，针对敏感身份数据的安全风险分别采取相应的安全技术手段，保证既能基于敏感身份 数据实现身份敏感人员在公共网络环境下的身份认证，又能保证敏感身份数据的安全，防止敏感身份 泄露和其他安全威胁。

2.1系统架构

系统架构设计如图1所示

系统在架构设计上以保护身份数据的敏感性为核心，在数据引接、数据处理和数据应用多个层面采取相应的安全技术手段，保证身份敏感人员的身份数据应用于公共网络环境中时，数据的产生、处理、分发、存储以及应用等各个环节的安全性。

2.2身份数据引接

数据引接是指从身份敏感人员身份数据库中根 据实际应用需求引接部分必需的基础身份数据。数 据引接包括以下流程。

2.2.1数据过濾

敏感身份数据库通常部署在信息系统内部网络，为了保证数据的使用范围，根据满足应用需求 最低原则设置过滤条件，对引接的数据进行安全过滤。过滤条件包括以下内容。

数据项过滤。针对身份认证需求，设置引接的身份信息基础数据项，包括姓名、性别、身份证号和基本身份属性等。

高敏感度数据过滤。针对部分身份敏感度较高的人员，设置特定的身份属性过滤条件，对这类人员的身份数据进行过滤，防止引接到外部公共网络环境中。

2.2.2数据分隔

数据分隔是为了控制数据的应用范围，根据敏 感身份数据的应用范围对数据进行分隔，分隔后可以进行不同的数据处理和存储。

2.2.3数据转换

引接的数据需要使用独立的数据库系统进行存 储，通过对数据项的名称、类型进行转换，建立新 的数据信息库。

2.2.4数据存储

对分隔和转换后的数据进行安全存储，并根据 数据的敏感程度采取安全措施，包括数据库加密、 访问控制和审计等。

2.3身份数据处理

数据处理是系统最重要的一个环境，需要实现 敏感身份数据从敏感变成非敏感、从内部系统迁移 到外部系统。主要的安全技术手段是数据脱敏和数据安全分发。

2.3.1数据脱敏

敏感身份数据在外部公共网络环境中应用，必需采取安全、有效的数据脱敏⑴技术对数据进行脱 敏处理。

数据脱敏目标。数据脱敏目标包括两个方面：一是防止泄露数据的敏感性，即对敏感身份 数据进行脱密或去隐私化；二是防止对数据进行敏感性分析，即对敏感身份数据去真实性。

数据脱敏技术。敏感身份数据脱敏采用 的技术手段和脱敏效果直接决定了身份敏感人员在 公共网络环境中基于用户真实身份进行网络身份认 证是否符合安全保密要求。本方案采用的数据脱敏技术和处理流程如图2所示。

图2敏感身份数据脱敏设计

数据脱敏采用基于数据脱敏引擎工作机制，通 过数据脱敏算法和数据混淆算法对敏感身份数据进行脱敏处理。

数据脱敏采用不可逆的数据转换机制对数据进行脱密和去隐私化处理乳本方案采用哈希密码运算对敏感身份数据的重要身份属性进行数据处理，包括用户姓名、身份证号以及移动电话号码等。

基于哈希算法的密码运算机制保证了脱敏处理后的数 据具有不可恢复性，提供了很好的安全性保证。数据脱敏方法示例如表1所示。

表1不可逆数据脱敏处理

在数据脱敏处理之后，再对数据进行混淆处理，数量的假数据，能够防止对数据的数量、规模进行分本方案釆用的数据混淆机制是根据实际数据增加一定析，进一步保证数据的安全性。混淆机制如表2所示。

表2数据混淆处理

混淆数据的数量根据一定的比例随机增加，保证难以对数据规模和具体数量进行分析。

2.3.2数据分发

数据分发囹是把敏感身份数据从内部系统安 全传递到外部系统的过程。数据分发应根据2个系 统之间的网络关系、安全等级差别等选择不同的 数据分发方式。本方案设计的数据分发方式如图3所示。

图3身份数据安全分发设计

采用数据摆渡机制实现敏感身份数据从内部网 络到外部网络的安全分发，根据内外网络之间的安全等级选择不同的数据摆渡机制。安全等级差别大时，选择基于物理隔离的光盘摆渡机制；安全等级差别小时，可选择基于单向传送在线摆渡机制。

2.4身份认证应用

基于脱敏后的身份数据进行身份核查和身份认证等应用时，在身份认证令牌和身份认证协议设 计时需要采取特殊的机制。

本方案采用基于动态密 码技术的多因素动态可重构的(Super One-Time- Password, SOTP )身份认证机制囹，实现敏感用户身 份的真实性核查和身份认证，实现原理如图4所示。

图4安全身份认证工作原理

将脱敏后的用户身份数据与个人秘钥数据进行绑定，并通过密码算法重构机制生成个人算法，编 译成具有唯一性的个人算法库，既个人身份认证令牌。采用SOTP认证机制叫可以不需要用户身份的原始信息，很好地解决了敏感用户身份认证过程中用户身份敏感性保护问题。

3.安全性分析

本方案针对敏感用户身份认证过程中的身份敏感性保护和认证机制进行了全面和有针对性的安全设计，为敏感用户身份认证提供了各环节的安全保证，其安全性分析如下。

(1)方案针对敏感身份数据在身份认证过程中的各环节采用了多种安全防护技术，从数据的产 生到数据分发，通过对数据切割、脱敏以及转换等, 保证敏感身份数据进入公共网络环境时不再具有敏 感属性，且其敏感性具有不可恢复性。

(2 )釆用基于SOTP认证机制作为敏感用户身份认证的实现，利用密码机制的安全性保证，同时 无需暴露敏感用户的原始身份信息，解决了敏感用户在公共网络环境下的身份认证敏感性保护问题。

结语

敏感用户身份认证安全防护的重点是防止身份认证过程中的身份敏感性泄露。本方案主要是针对 敏感用户在公共网络环境中的身份认证进行安全设计，方案适用于用户原始身份数据敏感性高且在公共网络环境进行身份认证时不宜暴露实际身份信息的安全身份认证应用。

在后续研究中将进一步对敏 感身份数据在公共网络中的安全共享进行研究，为互联网等公共网络安全、方便地使用政府、军队等敏感用户身份数据和为政企联合、军民融合提供信息安全保障。

唐绍军( 1976-),硕士，工程师， 主要研究方向为后勤信息化、大数据及应用；

盘善海(1973-),硕士，高级工程师, 主要研究方向为身份认证技术、网络安全技术及应用。

选自《通信技术》2019年第九期

声明：本文来自信息安全与通信保密杂志社，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。