使用过程中的身份认证安全问题

使用过程中的身份认证安全问题

0密码算法保护身份实名认证过程中的安全目前，国家主管部门也提出了“用户在信息披露、即时通信和其他网络服务服务时，必须提供真实的身份信息”例如，商品网络交互、虚拟娱乐、酒店、交通、邮政配送和其他信息业务需要向用户提供真实的身份信息并进行认证。但是在业务绑定、业务申请预订以及身份实名认证过程中，用户的实名身份信息若以明文形式存储、传输，很容易产生存储信息泄露、非法授权访问、非法窃听等安全问题。传统的“封堵查杀”，难以应对人为攻击，且容易被攻击者利用，采用密码算法实施主动免疫，能够及时的进行安全防护。目前国家大力推进实现关键核心技术的安全自主可控，因此，采用国产密码算法进行身份认证过程中的保密安全存储，能够在身份实名认证过程中加强安全保护强度，有助于实现整个认证过程的安全可控。本文提出基于身份证的网络实名认证方案以及采用国产密码算法的密码防护方案，利用身份证实现了网络身份认证过程，并保证了身份信息在获取、存储、实名认证、传输等全生命周期内的安全性。1基于身份的网络身份验证方案1.1业务平台架构本文提出了基于身份证的网络实名认证方案，该方案通过身份认证模块，能够实现用户信息在业务平台中脱敏存储，以及用户身份证和生物特征信息的认证过程。具体方案架构图如图1所示。图1中将认证设备分为信息获取模块、生物特征采集模块、身份认证模块以及安全存储模块四部分用户访问业务时，出示业务的用户名或者是身份证号，声称用户自身的身份。此时，认证设备中的身份认证模块将用户的身份信息与业务信息进行绑定，生成脱敏处理后的实名身份信息，并对信息进行签名、加密等操作，之后，将信息存储在业务平台的服务器中。依托身份证，用户在进行网络实名认证时，身份认证模块主要实现身份证真伪查验、人证一致性验证、身份真实性核验的功能。(1）确认身份是真实居民身份证验证安全控制模块(2）身份认证模块认证设备将生物特征采集模块实时采集得到的人像/指纹信息传递给身份认证模块，身份认证模块将人像信息与真伪查验成功后的身份证中的人像/指纹信息进行比对，从而完成人证一致性验证。(3）哈希运算的身份真实性比对身份认证模块读取身份证中的电子身份信息，利用哈希运算得到散列值，并将其与应用下发的实名信息进行比对，核验其是否为所声称的身份信息，比对成功后，完成身份真实性核验。1.2业务平台对用户个人信息进行脱敏处理和身份认证在用户进行网络实名认证过程中，认证设备获取人像/指纹等生物特征信息和身份证等实名认证信息，在身份认证模块中进行比对核验，输出其比对后的结果。实名认证过程具体流程如图2所示。用户业务申请阶段：(1）用户出示个人身份信息访问业务平台的相关业务及服务。(2）业务平台完成用户业务申请操作后，将用户的个人信息进行脱敏处理。脱敏处理后的信息可加密存储在业务平台中进行后续的操作。(3）业务平台要求，用户在操作相关业务前，需进行实名认证操作。业务平台将用户脱敏后的信息加密传输给认证设备，并缓存在认证设备的安全存储模块中。(4）认证通过后，用户可对业务平台中相关业务进行访问、修改等操作。用户的实名认证阶段：(1）用户出示身份证件进行实名认证时，身份认证模块通过调用居民身份证验证安全控制模块接口，查验出示身份证的真伪。(2）查验成功后，身份认证模块将读取身份证中的电子身份信息，将其与安全存储模块中存储的用户声称的脱敏个人信息进行比对，比对成功后，完成身份真实性核验。(3）身份认证模块将当前采集到的人像/指纹信息与身份证件中读取的人像/指纹信息进行比对，验证用户与持有证件的一致性，完成人证一致性验证(4）身份认证模块将比对结果传输给业务平台。(5）业务平台接收认证信息。若认证通过，则为用户提供相应的业务。2真实认证和密码保护方案2.1安全需求在上述的实名认证方案中，为保证用户身份在实名认证过程中的安全性，存在以下安全需求。(1）采集的信息进行攻击应保证采集信息的时效性，防止攻击者利用之前采集的信息进行攻击；应对身份证号、人像/指纹等个人信息进行数据脱敏处理操作，保证信息的安全性，防止采集过程中泄漏个人敏感信息。(2）信息存储流程应保证非必要信息不进行存储的原则，保证最少信息存储；应要求能够销毁暂存的个人敏感信息，保证被销毁的信息无法恢复，确保信息的机密性。(3）防止信息被盗窃和篡改应采用专用网络或建立加密通道方式保护个人敏感信息的通信，防止信息在传输过程中被窃取和篡改，保证信息在传输过程中的机密性和完整性；应保障传输过程中设备接口的安全，防止信息通过接口非法传输。(4）认证名认证过程应保证认证结果的不可否认性；保证身份认证过程中个人敏感信息的机密性、完整性和不可否认性。2.2份认证模块本节中使用国产密码算法，提出基于身份证的网络实名认证密码防护方案，保证身份信息在获取、存储、实名认证、传输等全生命周期内的安全性，实现身份信息的全密态传输和存储。其中，身份认证模块能够利用国产密码算法对身份信息进行密码安全防护，保证在实名认证过程中身份信息的机密性、完整性以及不可否认性对用户的身份证以及人像/指纹等生物特征信息进行认证操作时，密码防护方案以国产密码算法为基础支撑，通过信息获取模块、生物特征采集模块、身份认证模块和安全存储模块，保证身份信息在获取、存储、实名认证、传输整个生命周期内的安全性，并实现身份证真伪查验、人证一致性验证、身份真实性核验的功能。身份认证模块中内置了SM4密码算法、模块的证书以及对应的签名私钥，能够在整个实名认证过程中对身份信息提供密码安全保护3智能门禁管理平台目前，流动人口在线租住的实名工作难以全面落实。为了满足治安管理相关规定和要求，本节基于上述方案的核心思想，在不改变现有网络应用的认证方式与业务模式的前提下房间预订阶段：(1）租住人员出示账号、密码等身份信息访问网约租住业务客户端，业务客户端根据租住人员出示的身份信息进行网约租住平台的预订租住操作。(2）租住人员完成租住业务后，租住业务客户端将身份信息及其他开门辅助信息进行脱敏处理，利用脱敏加密SDK中的SM3国密算法形成身份信息摘要，并使用SM4国密算法加密、SM2国密算法签名。之后，将脱敏、加密的身份信息发送给智能门锁管理平台，并缓存到智能门锁的安全存储模块中用于身份的实名认证操作。(1）租住人员以身份证作为首选认证方式、现场采集的人像/指纹作为备选认证手段执行门锁实名认证操作，实现刷身份证进入房间。(2）智能门锁中的身份认证模块通过随机数挑战与响应机制、签名验签机制、读写访问控制机制对身份证的真伪进行查验。(3）查验成功后，身份认证模块读取智能门锁中缓存的租住人员预订信息，与当前出示的身份证中的电子身份信息进行比对，核验此时出示身份证的入住人员是否为预订时所声称的租住人员。(4）核验成功后，若附加生物特征现场采集比对，则身份认证模块将现场采集到的人像/指纹信息与真伪查验成功后的身份证中的人像/指纹信息进行“人证合一”比对，核验此时入住人员是否是该身份证的合法拥有者。(5）若（2)(3)(4）过程都核验成功后，则智能门锁执行开门操作，租住人员入住成功。4实名认证密码防护方案针对实名认证时存在的安全问题，结合目前的国家相关政策，本文提出了基于身份证的网络实名认证及密码防护方案。方案中采用身份认证模块，实现身份证真伪查验、人证一致性验证、身份真实性核验过程，保证用户身份的真实性。方案使用国密算法对用户的身份信息进行安全加密保护，确保身份信息在实名认证全生命周期内的安全性，保障身份信息的不可伪造性和不可篡改性。本文将实名认证密码防护方案应用于流动人口在线租住的实名认证场景中，实现了入住人员在网络预订、办理入住等阶段的实名认证过程，有利于对房屋租住的实名情况进行监管。此外，本方案还可以应用于其他实名认证业