社会保障局应用动态密码技术实现双因素强身份认证解决方案.docx

《社会保障局应用动态密码技术实现双因素强身份认证解决方案.docx》由会员分享，可在线阅读，更多相关《社会保障局应用动态密码技术实现双因素强身份认证解决方案.docx（11页珍藏版）》请在第一文库网上搜索。

1、社会保障局医保系统应用动态口令认证技术实现双因素强身份认证技术建双方泰一、现状2二、面临的挑战32.1 静态密码的安全问题32.2 共用账号的问题32.3 帐号信息泄漏后导致的风险分析42.4 必须关注的责任厘清问题4三、建议解决方案43.1 方案设计的主要依据43.2 解决方案实现原理43.3 采用的技术标准53.4 解决方案53.4.1 解决方案示意图53.4.2 VPN和医保系统与安盟动态口令身份认证系统的整合63.4.3 与AD的关系63.4.4 短信密码触发机制73.5.4短信网关接口73.5 安全性与可靠性说明73.5.1 安全性保证73.5.2 可靠性保证93.6 方案实施后的意

2、义9四、本方案可扩展的其他应用104.1 基于SS1VPN的移动办公方面104.2 IT运维方面104.3 企业网上申报114.4 个人网上查询12一、现状医院、社康中心、药店等能够进行社保卡消费的场所都需要以一种安全的方式接入社会保障局下属的医保系统，接入有两种方式：1、通过专线接入，即通过当地卫生局接入到社保局的医保系统。这种接入方式适合于大型医院。2、通过SS1VPN接入，由于互联网是最容易获得的资源，大量民营医院、社康中心、药店等采用了VPN的方式接入到社保局的医保系统社保中心办理业务。已经通过卫生局专线接入的医院，社保局也会提供备用的VPN通道。为管理简单，社保局给医院、社康中心、药

3、店等每个单位只提供了一个帐号密码，即如某个医院有40名收银员，这40名收银员往往共用一个帐号信息。二、面临的挑战2.1 静态密码的安全问题1） 从技术上极易被泄露社保局的网络不再是一个封闭的网络，与互联网有各种各样的连接方式，而互联网上病毒、木马程序、黑客恶意软件泛滥，可以以各种隐蔽的方式驻留在计算机上，并可以以多种技术实现方式窃取账户信息，如果有人庆幸还没有发生这样的安全事件，那只有三种可能：一是你还没有觉察到，二是你还没有成为目标，三是你的账户还不重要。2） 在内部极易被猜测由于人的惰性，以及安全意识、安全习惯、安全责任和安全技术水平缺失，人们往往设置简单密码，且长期不更新，这在内部同事之

4、间极易猜测，由于账户命名规则统一，因此极易被别有用心的同事猜测完整的账户信息。3） 高权限账户往往密码设置简单一个实际情况是，往往拥有高权限账户的密码设置简单，电话或者是生日，极易被同事猜测.旬密码安全管理制度难以实施按照密码安全管理制度，需要设置足够复杂的密码（8位以上，数字、字母甚至字符混合）、定期修改（一般要求1个月更新一次），由于人固有的惰性，以及安全意识和习惯的缺失，这一制度实际上很难实施，特别是针对高权限账户。2.2 共用账号的问题前面提到，一个医院几十名收银员共用一个帐号密码，这几乎可以等同于没有帐号密码。2.3 帐号信息泄漏后导致的风险分析对于VPN接入而言，帐号信息泄漏后,非

5、授权人员将可以从外部通过互联网接入社保局医保系统,极有可能造成社保机密数据泄露、非授权违规操作、攻击破坏社保局内部数据资源等；而非授权人员如果进一步获得医保系统的帐号，则完全可以以此做非法的事情，如社保卡套现。同时也必须考虑符合国家重要信息系统等级保护条例中关于身份鉴别的合规要求。2.4 必须关注的责任厘清问题一旦因密码泄密发生非授权访问、泄密和违规操作，责任还是在IT部门，客户端往往可以因静态密码容易被猜测、在互联网上容易泄露、共用帐号信息等原因进行抵赖而逃避责任，最终IT部门无奈的面临责任不清或者责任不可追究的尴尬局面。三、建议解决方案3.1 方案设计的主要依据1）安全合规:根据国家重要信

6、息系统等级保护条例，对于等保二级以上的系统，应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别，其中一种具有不可复制和篡改。手机号码（手机号码卡）作为不可复制和篡改的个人持有物，通过与账户绑定后，能够作为唯一性的身份信息使用。2）良好的用户体验:由于人的惰性，以及安全意识和习惯，不愿也不可能设置、记忆和定期更新密码，短信动态密码只需要用户持有手机，并安全保管自己的手机，既可实现密码安全；登录过程也不改变原有的习惯，对客户端使用人员没有IT技能要求，只需要增加输入动态密码即可；对客户端环境没有要求，动态密码与客户端的应用环境无关，且无需任何安装客户端程序。3）技术安全保证:手机收到的短信密

7、码是通过专用加密算法计算得出，不可预测，只在一定期限内有效（一般3分钟），且使用一次即失效（即一次一密），具有足够的安全性保证。3.2 解决方案实现原理在传统的静态口令验证系统中，由于口令为“一次设置，重复使用”，由于口令的重复使用而增加了口令丢失和破解的危险性，降低了系统的安全系数，特别是在互联网环境下，黑客、木马和病毒泛滥，使得静态口令更加容易被泄露，造成企业信息系统和资源的非授权访问，导致直接经济损失和间接的信誉和商誉损失。所以，除了用户记忆的静态口令外，还需要增加一个物理因素，如令牌或者手机，这样采用你所知道的（记忆的静态密码）和你所拥有的（手机或者令牌）两个要素构成有效密码，实现严格

8、身份信息验证，而你所拥有的要素必须具有不可复制和篡改的性能。安盟动态口令认证系统即是依据上述原理实现的双因素强身份认证系统：1）以手机号码作为个人持有的信物，实现双因素强身份认证。动态密码依据种子密钥和时间，采用伪随机算法计算得出，不可预知和猜测，且手机号码卡具有不可复制和篡改的性能。而认证系统认为，只有持有合法的手机号码才可能接收到正确的动态密码密码，反过来说，只要输入了后台认证系统发出的当前时间点的正确动态密码，就可以认为持有可信的信物要素（即手机号码）。用户登录时，必须同时验证静态口令（般为AD中的密码）和手机上收到的动态密码，只有两者均正确时才能确认用户身份。2）动态密码只在一定的时间

9、窗口有效。时间作为动态密码产生的一个因子，每隔一定时间（常见为60妙）计算出一个动态口令，该密码只在一定的时间窗口内有效，增加了猜测密码和破解密码算法的难度。3）动态密码具有唯一性。动态密码产生的另一个因子是种子密钥，该密钥依据128位加密算法得出，具有全球性的唯性，因此依据种子密钥产生的动态密码在某一时间点上具有唯一性，即每个账户（绑定唯一的种子密钥）在某一时间点上产生的动态密码具有唯一性。4）一次一密。动态密码只有在当前时间点有效，且使用一次即失效，具有高强度安全性保证。3.3 采用的技术标准 信息技术安全技术实体鉴别第一部分:概述GB/T15483.1-1999 信息技术安全技术实体鉴别

10、第二部分:采用对称加密算法的机制GB/T15483.2-1997 信息技术安全技术信息技术安全性评估准则第二部分:安全功能要求GB/T18336.2-2001 信息技术安全技术信息技术安全性评估准则第三部分:安全保证要求GB/T18336.3-2001 计算机信息系统安全保护等级划分准则GB17859-19993.4 解决方案本方案采用动态密码技术实现VPN接入和登陆医保系统两个层面的双因素强身份认证,其中动态密码采用手机短信从社保局的短信网关发送到账户所绑定的手机。本方案认为手机号码卡具有不可复制和篡改的特性，且是实名制登记。本方案所涉及的接入方包括国营医院、民营医院、社康中心、医药连锁等凡

11、是可以进行医保消费的场所。3.4.1 解决方案示意图1 .嵌入安设认肝接IJ2 .用户O求的时候.通过安阳安盟身份认证系统AD域雇务器社保（医保）系统认iU勇D1.将VpN用户的静态甯码转发HAD域喷务XI:进行验证.并根楙AD城眼务2S的验iF结果给用户发送动忐密Fny信.2i用户的动出密句.卫生局认if接口,将用户的动态雷科险if指向安&身份认If系统3.根据安盟身份认讦展统返W的结果授予用户访何的权IM社康中心小型（民营）医院药店3.4.2 VPN和医保系统与安盟动态口令身份认证系统的整合1）采用SS1VPN的RADIUS挑战应答模式直接整合，只需要在SS1VPN中进行设置即可，无需实施

12、二次开发。2）在医保系统上整合动态口令认证需要实施二次开发以嵌入安盟认证接口API,在系统登录模块增加动态密码认证功能.即用户在登录系统的时候，需输入用户账号，静态密码和动态密码，医保系统会将账号名+静态密码和账号名+动态密码分别发送到医保系统本身及安盟身份认证系统上进行验证，只有两个验证都成功之后，用户才有权限进行系统。3.4.3 与AD的关系安盟动态口令身份认证系统通过1DAP协议实现与AD域的账户信息同步和静态密码认证。安盟动态口令身份认证系统需要创建、持有和维护一套账户信息，该信息从AD中同步获得，账户信息要素主要包括帐户名和手机号码，并在本系统中为该账户绑定相应的种子密钥。安盟动态口

13、令身份认证系统将SS1VPN提交的静态密码认证转发给AD认证，并将AD的认证结果反馈给SS1VPN。目前安盟身份认证系统己经与WindowsADNove11E-directory等实现整合。3.4.4 短信密码触发机制短信密码的获得一般有三种方式：1） RAD1US协议的挑战应答模式。2） WEB页面触发方式，即通过WEB页面提交帐户名和静态密码，认证通过后（AD认证）触发动态密码短信。3） WEB页面获取方式，即单独的动态密码获取页面，与登录界面无关。4）手机短信触发方式，即通过手机发送静态密码到特呼号码，安盟身份认证服务器接收到后，以手机号码作为账户识别标识，并通过AD认证静态密码，通过后

14、触发动态密码短信。考虑用户体验以及技术可实现性，本系统中，对于SS1VPN,采用第一种触发方式，将动态密码短信触发和静态密码认证整合在一个操作（用户输入帐户名和静态密码）中完成。安盟身份认证系统己经与QSC0、JUNIPER.ARRAY.Aventaik深信服等SS1VPN进行测试，可以实现第一种触发方式，即RADIUS挑战应答方式。3.5.4短信网关接口安盟身份认证系统支持目前主流的短信网关，如果用户采用的是非主流的短信网关，需要用户提供短信网关接口规范，安盟身份认证系统实施适应性开发即可实现与短信网关的接口。3.5安全性与可靠性说明3.5.1 安全性保证1）双因素认证机制安盟双因素认证系统

15、采用双因素认证机制来鉴别用户身份。用户登录时，除了一个记忆在头脑中的口令外，还必须提供他拥有的手机所接收到的动态密码。只有同时使用正确的用户PIN码和用户本人的动态口令才有可能进入网络，使网络安全性大大提高。2）动态密码的唯一性和安全性安盟身份认证系统采用伪随机算法，取当前时间和种子密钥产生动态密码，其中当前时间为同步因子，种子密钥是为了保证动态密码的唯一性和随机性的因子，时间相当于公钥，种子密钥相当于私钥，因此保证种子密钥的唯性和随机性是关键。安盟身份认证系统采用如下方法生成种子密钥和生命周期安全管理：（1）安盟公司应用私有随机算法产生100亿个随机数记录在数据库。该随机数应用私有随机算法保证其随机性和不可预测性；随机数生成时包含唯一连续的种子密钥序列号，以此来保证其唯一性。该数据库中的记录数量足够安盟公司使用IOO年以上，可以保证在足够长的时间内不必循环使用数据库中的随机数。（2）生产时，从上述数据库中抽取生产订单需要数量的随机数记录，抽取完后自动从数据库中删除抽取过的随机数。然后采用国密局128位的SM3杂凑算法对抽取的随机数进行循环加密，生成种子密钥，该加密算法具有不可逆性，可以保证种子密钥的安全性。（3）生产订单的一