电子政务移动办公身份认证

1身份认证技术分析

身份认证就是在计算机网络环境中确认操作者身份的过程，负责验证用户身份的真实性和合法性。主流的身份认证技术有用户名+密码、短信密码、动态令牌、USBKey数字证书、软件密码模块和生物识别认证等。1.1用户名+密码。这是一种最简单、最原始的身份认证方式。只要在登录时输入正确的用户名和密码，就认为操作者是合法用户。这种静态密码容易被猜测，在传输中很容易被截获造成泄密。它是一种不安全的弱身份认证方式。1.2短信密码。应用系统发起请求，后台身份认证系统通过短信发送随机数密码到用户注册的手机上。用户在登录或者交易认证时输入此动态密码来验证身份。短信密码的生成与使用环境是分开的，安全性较高。1.3动态令牌。采用专门的密码算法生成一个不可预测的随机动态密码，与认证服务器计算出的有效密码比对，相同则通过认证，一个密码只能使用一次。由于每次生成的密码是无法预知的、是一次性的，所以动态令牌具有较高的安全性，属于强身份认证。手机令牌是移动互联网时代的一种动态令牌系统，它是一种手机客户端软件，基于时间同步方式，每隔60秒产生一个随机6位动态密码，具有安全性高、使用简单、无需携带令牌设备等优点，在电子商务、金融等行业应用较多。1.4USBKey数字证书。这是基于PKI/CA体系的高安全强度通用认证技术。采用软硬件相结合、一次一密的强双因子认证模式，证书及用户的密钥都存储在这个USBKey硬件中。Key都用口令（PIN码）来保护，该口令和硬件构成了身份认证的两个必要因素，只有同时获得Key和PIN码才能通过认证，因此安全性很高。数字证书由第三方电子认证机构的CA系统签发，能实现身份认证、传输加密和数字签名等功能，广泛应用于电子政务、电子商务和网上银行等。1.5软件密码模块。软件密码模块是一款使用在移动端，用来保护信息系统的安全产品。现有商用密码模块都经过国家密码管理局的测试，在技术合规性、算法安全性等方面能达到安全等级第二级要求。在移动终端应用场景下，无需借助额外的硬件设备即可实现身份认证、数字签名、对称及非对称加密等密码服务。可以在银行、证券、互联网金融、电子政务、移动办公等场景中使用。1.6生物识别。它是通过生物个体唯一的、可自动识别和验证的特征进行身份鉴别的一种新认证技术。将读取的生物特征信息与数据库中的用户特征信息比对，如果一致则通过认证。主要有指纹识别、人脸识别、虹膜识别、视网膜识别、手掌静脉识别等。生物识别在移动互联网领域的应用逐渐增多，其中指纹识别和人脸识别使用最多。

2电子政务移动办公身份认证面临的问题

电子政务移动办公是指通过无线通信网络，利用智能移动终端，随时随地接入政务应用系统，进行网上办公和事务处理。电子政务移动办公面临着用户认证、传输和抗抵赖等安全问题。根据《GB/T35282-2017信息安全技术电子政务移动办公系统安全技术规范》，需要对移动终端身份鉴别和接入认证采取安全可靠的身份认证方式。

3电子政务移动办公的身份认证方式

基于上述身份认证技术分析和电子政务移动办公的安全需求，传统的“用户名+密码”方式已不满足移动政务的安全要求。短信密码虽然是较为安全的一种认证方式，但由于存在接收成功率不高、短信网关可能因为垃圾短信监管被意外关停等弊端，也不适用于移动政务的身份认证。动态令牌作为一种强认证方式在金融领域应用广泛，但存在时间同步、统一性和通用性不好等问题，在移动政务领域应用有限。生物识别认证在安全性、便捷性方面有优势，但生物特征信息数据库在存储和传输中存在用户隐私泄露等风险，识别率问题也影响其在移动政务中的使用。根据国家规范要求，在访问政务应用和数据之前应采用数字证书进行双因子强身份认证。适合电子政务移动办公的身份认证方式主要是USBKey数字证书和软件密码模块。在移动互联网环境下，传统的硬件USBKey数字证书无法直接应用在移动终端上，目前出现了蓝牙Key和TF卡等用来代替传统USB-Key用于移动办公的身份认证。它们都是将CA机构签发的数字证书存储在硬件Key中，并且支持国密算法，具有双向认证机制及不可抵赖性，适合高安全性要求的移动政务。蓝牙Key不仅可以用于智能手机、平板电脑等移动办公终端还可以用于台式电脑，结合移动办公管控系统能够实现对移动终端的强管控以满足GB/T35282-2017对电子政务移动办公的要求。蓝牙Key不仅能够实现数字身份认证，还适用于各种应用场景的加密、数字签名等功能。在电子政务领域，采用国家政务CA系统签发的国密算法数字证书，标准统一、安全性高、通用性好，但不便携带。TF卡Key是将数字证书加密存储在手机TF上，用户不必单独携带USBKey，但在其他终端上使用则需要对应用系统做定制开发，与二维码配合使用来完成身份认证。在插卡手机本身以外的其他终端上使用时加密、签名等功能受限，且需占用手机的一个卡槽位。软件密码模块具有与硬件Key相同的功能，能完成密码运算并保证密钥存储和使用安全。只需在移动终端安装密码模块就可实现硬件Key的功能，结合二维码信息交互方式，能实现身份认证、加解密、签名等。软件密码模块摆脱了硬件的束缚，方便了用户使用。由于这是一款新的安全产品，使用效果还有待验证，在电子政务移动办公领域应用还很少，但前景广阔。

4结束语

电子政务移动办公需要严格的身份认证，在实践中应根据政务系统的实际情况和应用场景，兼顾安全性、便利性选择合适的移动身份认证手段，为电子政务的移动终端用户提供一个安全可信的移动办公环境。

参考文献

[1]赵凯利,李丹仪,李强,马存庆.基于智能移动终端密码模块的身份认证方案实现[J].信息网络安全,2017(09):107-110.

[2]田野.基于数字证书的智能终端身份认证与单点登录的方法与实现[J].中国民航大学,2017.

[3]李瑛,郭建伟,杜丽萍,赵桂芬.基于组合对称密钥算法的移动终端身份认证方案研究[J].网络安全技术与应用,2016(01):94-95

作者:唐志恩 单位:四川省经济信息中心