《社保局医院接入平台采用安盟动态口令双因素强身份认证建议方案书.docx》由会员分享,可在线阅读,更多相关《社保局医院接入平台采用安盟动态口令双因素强身份认证建议方案书.docx(10页珍藏版)》请在第一文库网上搜索。
1、社保局医院接入平台采用动态口令(手机短信模式)实现双因素强身份认证建双方案书1现状描述32面临的挑战32.1 静态密码的安全问题32.2 账户信息泄漏后导致的风险分析32.3 必须关注的责任厘清问题43建议解决方案43.1 方案设计的主要依据43.2 解决方案实现原理43.3 采用的技术标准53.4 解决方案示意图63.5 解决方案技术说明63.5.1 与SS1VPN和应用系统的认证整合63.5.2 与AD的关系63.5.3 短信密码触发机制63.5.4 短信网关接口73.6 安全性与可靠性说明73.6.1 安全性保证73.6.2 可靠性保证93.7 用户登录体验94方案实施后的意义101现状
2、描述社保局的医院接入平台普遍采用SS1VPN的方式接入,医院从互联网通过SS1VPN接入社保局医保平台访问内网资源和应用系统,通过SS1VPN作为数据通道加密,考虑医院接入医保平台实施医保账户划帐邓交易操作的安全性,需要加强接入客户端的身份验证。目前医院接入医保平台采用静态密码进行身份验证,而静态密码不能满足技术安全性要求和国家重要信息系统等级保护条例中的有关要求。2面临的挑战2.1 静态密码的安全问题1) 从技术上极易被泄露由于医院接入社保局的医保平台通过互联网接入,而互联网上病毒、木马程序、黑客恶意软件泛滥,可以以各种隐蔽的方式驻留在计算机上,并可以以多种技术实现方式窃取账户信息,如果有人
3、庆幸还没有发生这样的安全事件,那只有三种可能:一是你还没有觉察到,二是你还没有成为目标,三是你的账户还不重要。2) 在内部极易被猜测由于人的惰性,以及安全意识、安全习惯、安全责任和安全技术水平缺失,人们往往设置简单密码,且长期不更新,这在内部同事之间极易猜测,由于账户命名规则统一,因此极易被别有用心的同事猜测完整的账户信息。3) 高权限账户往往密码设置简单一个实际情况是,往往拥有高权限账户的领导的密码设置简单,电话或者是生日,极易被下属员工猜测。4) 密码安全管理制度难以实施按照密码安全管理制度,需要设置足够复杂的密码(8位以上,数字、字母甚至字符混合)、定期修改(一般要求1个月更新一次),由
4、于人固有的惰性,以及安全意识和习惯的缺失,这一制度实际上很难实施,特别是针对高权限账户(如领导)。2.2 账户信息泄漏后导致的风险分析医院接入社保涉及社保帐号划帐等关键交易,非授权帐号的交易操作将导致不可预计的风险,一方面是社保账户的安全性,二是社保局医保平台的安全性将受到质疑。同时也必须考虑社保平台符合国家重要信息系统等级保护条例中关于身份鉴别的合规要求。2.3 必须关注的责任厘清问题一旦因密码泄密发生非授权访问、泄密和违规操作,责任还是在IT部门,一是对于领导,IT部门只可能自己承担责任,领导可以责怪IT部门为什么不采用技术手段保护密码安全;二是对于其他账户,员工可以因静态密码容易被猜测等
5、原因进行抵赖而不负责任,最终IT部门无奈的面临责任不清或者责任不可追究的尴尬局面。3建议解决方案本方案拟采用动态密码实现医院接入社保局医保平台安全接入的双因素强身份认证,其中动态密码采用手机短信模式。3.1 方案设计的主要依据1)安全合规:根据国家重要信息系统等级保护条例,对于等保二级以上的系统,应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别,其中一种具有不可复制和篡改。手机号码(手机号码卡)作为不可复制和篡改的个人持有物,通过与账户绑定后,能够作为唯一性的身份信息使用。2)良好的用户体验:由于人的惰性,以及安全意识和习惯,不愿也不可能设置、记忆和定期更新密码,短信动态密码只需要用户
6、持有手机,并安全保管自己的手机,既可实现密码安全;登录过程也不改变原有的习惯,对客户端使用人员没有IT技能要求,只需要增加输入动态密码即可;对客户端环境没有要求,动态密码与客户端的应用环境无关,且无需任何安装客户端程序。3)技术安全保证:手机收到的短信密码是通过专用加密算法计算得出,不可预测,只在一定期限内有效(一般3分钟),且使用一次即失效(即一次一密),具有足够的安全性保证。3.2 解决方案实现原理在传统的静态口令验证系统中,由于口令为“一次设置,重复使用”,由于口令的重复使用而增加了口令丢失和破解的危险性,降低了系统的安全系数,特别是在互联网环境下,黑客、木马和病毒泛滥,使得静态口令更加
7、容易被泄露,造成企业信息系统和资源的非授权访问,导致直接经济损失和间接的信誉和商誉损失。所以,除了用户记忆的静态口令外,还需要增加一个物理因素,如令牌或者手机,这样采用你所知道的(记忆的静态密码)和你所拥有的(手机或者令牌)两个要素构成有效密码,实现严格身份信息验证,而你所拥有的要素必须具有不可复制和篡改的性能。安盟动态口令认证系统即是依据上述原理实现的双因素强身份认证系统:1)以手机号码作为个人持有的信物,实现双因素强身份认证。动态密码依据种子密钥和时间,采用伪随机算法计算得出,不可预知和猜测,且手机号码卡具有不可复制和篡改的性能。而认证系统认为,只有持有合法的手机号码才可能接收到正确的动态
8、密码密码,反过来说,只要输入了后台认证系统发出的当前时间点的正确动态密码,就可以认为持有可信的信物要素(即手机号码)。用户登录时,必须同时验证静态口令(一般为AD中的密码)和手机上收到的动态密码,只有两者均正确时才能确认用户身份。2)动态密码只在一定的时间窗口有效。时间作为动态密码产生的一个因子,每隔定时间(常见为60妙)计算出一个动态口令,该密码只在一定的时间窗口内有效,增加了猜测密码和破解密码算法的难度。3)动态密码具有唯一性。动态密码产生的另一个因子是种子密钥,该密钥依据128位加密算法得出,具有全球性的唯一性,因此依据种子密钥产生的动态密码在某一时间点上具有唯一性,即每个账户(绑定唯一
9、的种子密钥)在某一时间点上产生的动态密码具有唯一性。4)一次一密。动态密码只有在当前时间点有效,且使用一次即失效,具有高强度安全性保证。3.3 采用的技术标准 信息技术安全技术实体鉴别第一部分:概述GB/T15483.1-1999 信息技术安全技术实体鉴别第二部分:采用对称加密算法的机制GB/T15483.2-1997 信息技术安全技术信息技术安全性评估准则第二部分:安全功能要求GB/T18336.2-2001 信息技术安全技术信息技术安全性评估准则第三部分:安全保证要求GB/T18336.3-2001 计算机信息系统安全保护等级划分准则GB17859-19993.4 解决方案示意图授权访问资
10、源ternetSS1VPN防火墙身份认证RAD1US协议社保局医保平台医院客户端动态密码短信安盟动态J2一认证服务11集中授权AD服务器:-统一贼户管理-静态密码认证除态密码认证1DAP协议I眯户信息同步1DAP协议短信网关发送动态密码短信3.5 解决方案技术说明3.5.1 与SS1VPN和应用系统的认证整合SS1VPN:采用SS1VPN的RAD1US挑战应答模式直接整合,只需要在SS1VPN中进行设置即可,无需实施二次开发。办公应用系统:在应用系统中嵌入安盟认证API,触发动态密码短信和实现账户名、静态密码和动态密码的身份验证。安盟公司提供适应用户应用系统版本的AP1版本。3.5.2 与AD
11、的关系安盟动态口令身份认证系统通过1DAP协议实现与AD域的账户信息同步和静态密码认证。安盟动态口令身份认证系统需要创建、持有和维护一套账户信息,该信息从AD中同步获得,账户信息要素主要包括帐户名和手机号码,并在本系统中为该账户绑定相应的种子密钥。安盟动态口令身份认证系统将SS1VPN提交的静态密码认证转发给AD认证,并将AD的认证结果反馈给SS1VPNo目前安盟身份认证系统已经与WindowsAD、Nove11E-directory等实现整合。3.5.3 短信密码触发机制短信密码的获得一般有三种方式:1) RAD1US协议的挑战应答模式。2) WEB页面触发方式,即通过WEB页面提交帐户名和
12、静态密码,认证通过后(AD认证)触发动态密码短信。3) WEB页面获取方式,即单独的动态密码获取页面,与登录界面无关。4)手机短信触发方式,即通过手机发送静态密码到特呼号码,安盟身份认证服务器接收到后,以手机号码作为账户识别标识,并通过AD认证静态密码,通过后触发动态密码短信。考虑用户体验以及技术可实现性,本系统中,对于SS1VPN,采用第一种触发方式,将动态密码短信触发和静态密码认证整合在一个操作(用户输入帐户名和静态密码)中完成;对于应用系统,采用第二种触发方式,也是将动态密码短信触发和静态密码认证整合在一个操作(用户输入帐户名和静态密码)中完成。安盟身份认证系统已经与C1SC0、JUNI
13、PER.ARRAY.AventaiK深信服等SS1VPN进行测试,可以实现第一种触发方式,即RADIUS挑战应答方式。3.5.4 短信网关接口安盟身份认证系统支持目前主流的短信网关,如果用户采用的是非主流的短信网关,需要用户提供短信网关接口规范,安盟身份认证系统实施适应性开发即可实现与短信网关的接口。3.6 安全性与可靠性说明3.6.1 安全性保证1)双因素认证机制安盟双因素认证系统采用双因素认证机制来鉴别用户身份。用户登录时,除了一个记忆在头脑中的口令外,还必须提供他拥有的手机所接收到的动态密码。只有同时使用正确的用户PIN码和用户本人的动态口令才有可能进入网络,使网络安全性大大提高。2)动
14、态密码的唯一性和安全性安盟身份认证系统采用伪随机算法,取当前时间和种子密钥产生动态密码,其中当前时间为同步因子,种子密钥是为了保证动态密码的唯一性和随机性的因子,时间相当于公钥,种子密钥相当于私钥,因此保证种子密钥的唯一性和随机性是关键。安盟身份认证系统采用如下方法生成种子密钥和生命周期安全管理:(I)安盟公司应用私有随机算法产生100亿个随机数记录在数据库。该随机数应用私有随机算法保证其随机性和不可预测性;随机数生成时包含唯连续的种子密钥序列号,以此来保证其唯一性。该数据库中的记录数量足够安盟公司使用IOO年以上,可以保证在足够长的时间内不必循环使用数据库中的随机数。(2)生产时,从上述数据
15、库中抽取生产订单需要数量的随机数记录,抽取完后自动从数据库中删除抽取过的随机数。然后采用国密局128位的SM3杂凑算法对抽取的随机数进行循环加密,生成种子密钥,该加密算法具有不可逆性,可以保证种子密钥的安全性。(3)生产订单的批种子密钥生成后,通过私有加密算法加密打包,只有最终用户通过电话核实必要的信息后,才能获得密码解密,保证物流过程中的种子密钥安全。(4)种子密钥一经导入安盟身份认证系统,不可导出,并强烈建议用户将种子密钥光盘和解密密码保存在足够安全的地方,如保险柜等,保证在用户处种子密钥的安全管理。安全性方面,动态口令为68位,因此,同一时间产生相同动态口令的概率为10-8到o-6,考虑到用户48位的PIN码,同一时间产生相同双因素动态口令的概率将下降为IO,到101。据此概率,加上有限的时间窗口(一般为3分钟),可以保证动态密码不可预测和破解,具有足够的安全性。同时,手机号码(SD1卡)是不可复制和篡改的可信的第二身份信息要素,与相应的账户名绑定,接收从后台生成的动态密码,这一动态密码根据时间而变化,每60秒生成一个不同的动态密码,且只在当前事件窗口有效,通过后台认证服务器认证其有效性,如果某个用户提供了一个正确的动态口令,就