基于生物特征识别技术的多因子身份认证方案在电子政务系统和通用政务云环境的应用案例

在国家顶层设计指引下,各地政府正在加速推进数字化转型。电子政务系统是国家政务机构自身数字化转型的基础架构。电子政务系统面向社会提供公共服务,也在各政务机构之间形成数据共享,但同时又存在大量分层级的信息管理要求。电子政务对数据安全的特殊需求实际上就是要合理地解决网络开放性与安全性之间的矛盾。

在一系列法律法规和等保分保的框架要求下,生物识别技术因其唯一性和便捷性在电子政务实人授权管理中广泛应用。业务在不同层级的政务单位中被审批授权和执行,如何使用一套技术机制监督和审计不同单位间数据流转的安全,河北数字财政的国拨项目实人管理系统给出了很好的示范;而数字广东通过创新的信息安全办公硬件,用对用户和开发者最友好的方式,克服了全省政务办公硬件终端复杂的困难,实现了政务SaaS云服务中通用的多因子的身份认证机制。

在国家顶层设计指引下,各地政府正在加速推进数字化转型。电子政务系统是国家政务机构自身数字化转型的基础架构。电子政务系统面向社会提供公共服务,也在各政务机构之间形成数据共享,但同时又存在大量分层级的信息管理要求。电子政务对数据安全的特殊需求实际上就是要合理地解决网络开放性与安全性之间的矛盾。

为更好应对数字政府时代数据开放带来的安全挑战,需要构建统一、协调、有效的数字政府安全保障体系,避免政务数据被非法泄露、篡改、伪造乃至删除,保障电子政务平台应用的平稳运行和自主可控。

对电子政务系统的使用者进行身份识别,不仅仅出于网络安全的目的,更是政务工作中对授权分层管理方式的要求。相比起口令、密码,生物特征识别技术因为其唯一性、不变性,很早就在电子政务安全领域得以应用。

传统的生物识别技术,按照国家《密码法》以及等级保护和分级保护的相关规定,被应用在高保密等级的政务单位或者单位中的机要岗位上。以证书为基础,同口令、PIN码等技术结合,构成了电子政务系统的强管控措施。但是在涉及不同层级的政务机构之间流转授权审批过程中,使用统一的生物识别系统进行集中管理的方式,还较为少见。

河北财政厅的“数字财政”试点,使用以生物识别技术为基础的多因子身份认证方案统一管理全省国拨财政资金的授权审批工作,并使用该技术追踪和审计全省范围内国拨财政资金的流转情况,生物识别的多因子身份认证使用者不仅涉及财政系统相关授权人,还包括使用国拨资金的各相关政务单位的对接人、使用人,是对强管控性业务系统多层级、多政务单位、多用户授权管理进行实人身份认证的典型应用。

另一方面,政务系统上云进程也方兴未艾,各种数据在云上进行交换,各类新兴政务应用也涉及在不同政务单位进行授权处理。同时,智能手机的广泛普及,大家已经养成了“face ID”“touch ID”这样便捷的身份认证习惯。如何在通用的政务云环境下搭建满足信创自主可控要求,同时又便捷安全的生物识别多因子身份认证方式成为了重要的需求。

广东省政务云运营商数字广东公司使用创新型办公硬件,把使用者的生物特征集成在日常办公使用的国密指纹鼠标内,政务SaaS的开发者不用再考虑复杂的认证方式,只需要遵循统一简单的接口标准即可调用政务云统一的多因子身份认证机制;而使用者也无需考虑复杂的办公硬件和操作系统环境,可直接使用鼠标实现政务应用的各种登录身份认证和操作授权审批,提出了在政务云环境下,生物识别技术多因子身份认证的新思路。

作为人民的“理财师”,河北省财政厅数字财政试点系统肩负着财政资金收缴、支付和管理的重任,关系到国家资金管理安全,需要不断加强内部控制建设,以提升财政资金管理的安全性和规范性。

随着财政厅对内部控制工作越来越重视,内部控制制度也在逐渐完善。身份认证作为数字财政试点系统中极为重要的一环,目前常用手段是以PKI(数字证书)技术为基础,通过“PIN码+数字证书”的方式实现网络应用中的身份确认、授权管理和责任认定等功能,但该身份认证方式还存在一定的安全隐患。

PIN码容易泄露丢失、USBKEY及PIN码交叉使用等情况,使得在业务系统应用过程中根本无法确认确保操作者身份的真实性,从而对用户登录、资金拨付等操作进行正确的授权管理,这就带来了严重的资金安全风险,无法保障资金及数据的安全。

为加强系统各环节资金拨付流转的安全性及数据的保密性,用内控管理夯实业务执行的规范性,提升应用登录操作的高效便捷性。河北省财政厅与亚略特达成合作,在以“PKI”为核心的安全认证体系上融合生物识别技术,利用指纹的唯一性、不可丢失、不可转借、不可破解等优势,解决传统身份验证环节的风险。

新的身份认证安全管理模式,通过CA认证体系实现对“数字证书”的使用和管理。同时构建全省统一指纹中心库,通过指纹认证体系解决“人”的精准管理问题。使用指纹USBKEY作为指纹认证及保护客户数字证书和私有密钥的安全载体,从系统登录身份认证到资金拨付确权管理、电子签章及签名、数据加密、安全审计等,每个环节都穿透“人、证”核验,最终实现多重应用效果,层层防护资金流转安全:

•系统登录更安全,实现人证合一。登录业务系统的政务人员身份认证及授权是数据安全管理的首要关口。新模式下,全体工作人员进入系统需通过指纹认证完成强身份鉴别,才可启动USBKEY内部的数字证书认证,实现用户账号、证书和指纹的绑定,确保实际操作人的真实身份,解决PIN码带来的安全隐患。

•内控确权管理,强化过程管控。将指纹识别引入数字签名机制,保证用户进入系统后的每一次权限操作仍需要指纹认证,保障每一次数字签名、签章都合法可靠,将资金流转过程的各个环节落实到相关人员,进一步压实执行主体责任,防止事后抵赖,逃责等现象,确保审计精准到人,更加有效地监管财政资金的流向和安全。

•指纹取代PIN码,提升系统登录便捷性。为加强账号的安全,PIN码是需要定期进行修改的,且要求必须以字母、数字、特殊字符、大小写等组合形式加强安全等级,虽然提升了安全性,但是日常维护工作十分繁琐,容易记混出错。采用指纹USBKEY替代PIN码,即插即用,一键登录,方便高效。

•指纹集中管理,确保指纹与KEY的唯一性。通过中心平台集中监管采集、下发指纹数据,对全体员工指纹进行统一的管理与授权,防止用户自己修改设备中的指纹数据,杜绝一人拥有多个KEY或多人共用一个KEY的现象,严防冒用顶替。

河北省财政厅基于生物识别技术的身份认证新模式充分发挥了“数字财政”理念,不断提出新思路,利用新的技术完善系统建设,多措并举保障国库支付资金安全,是电子政务数据安全管理能力提升的有效实践,为各省市区的数字政务建设提供了充足的经验参考。

与此同时,新的信创办公系统环境下,业务、应用、数据上云已经成为大趋势。2023年,在云上进行数字身份管理的场景需求上,亚略特和数字广东进行了新的尝试。与河北财政的敏感重要系统需要进行集中强管理的方式不同,数字广东需要应对全省各行各业,各种类型、纷繁多样的办公、行业应用系统,为不同的、独立的硬件系统环境、业务环境建立统一标准的、更加注重个人隐私安全和应用便捷的数字身份实名认证能力。在使用者身份认证问题上,数字广东面临诸多挑战:

•办公终端硬件软件配置复杂,除大量windows系统硬件还在使用中,广东省政务办公环境几乎覆盖了国内所有主流信创CPU、BIOS和操作系统,每一种组合都意味着新的适配工作量和几何级增加的开发难度。

•SaaS化的办公应用系统开发与升级频繁,全省统一的政务云环境下,新的政务应用不断推出,需要为不同的政务行业、持续增加和升级的各类政务系统提供统一的接口调用方案。

•政务云上各类应用的数据安全管理等级不同,用传统的保密思路建设统一身份认证中心模式,既无法应对“便捷+安全”的需要,也不能满足大量的普通政务系统用户的隐私信息保护诉求。

亚略特针对该项目需求与数字广东联合研发数字政府科技创新产品——国内首款信创国密指纹认证鼠标,提供“指纹片内存储比对+国密算法加密”双重防护的生物特征身份认证技术服务,并与数字广东统一身份认证平台对接,提供统一标准接口,只需要简单调用即可在终端登录、云桌面登录、业务应用系统访问授权等各类场景上实现无密码安全身份认证。该系统做到了:

•应用无局限

广东省政务云各类SaaS应用开发者商可以根据开发指南直接调用SDK,整个身份认证功能模块的开发过程大大简化。可基于办公管理需求在应用中设置认证环节调用鼠标指纹,用于电脑、政务系统登录身份认证和应用授权审批。

•电脑环境全适配

适配政务系统办公环境现状,全国首创同时支持Windows和各类广东政务环境使用的信创CPU+OS组合,并内置证书,可做到即插即用。

•安全有保障

在鼠标的生物识别安全芯片内,专门设置加密区进行生物特征的存储和比对工作,所有生物特征信息不出片,只返回比对结果,便捷的同时更保障了政务用户的隐私数据安全,便于在通用的政务办公环境中推广。

•全栈信创

国密鼠标中的生物识别安全芯片、算法、传感器,均已完全自主可控。

未来,亚略特将向更多的政务单位复制推广该项目案例解决方案,提供创新有效的电子政务网络数据安全保障技术,为数字政府建设纵深推进保驾护航。

THEEND

最新评论

更多
暂无评论