陳楥帥

摘要：信息化的不斷發(fā)展衍生出各種功能不同的信息系統(tǒng)，實(shí)際使用中系統(tǒng)的安全問題尤為突出，需要對(duì)系統(tǒng)身份認(rèn)證進(jìn)一步地研究，通過(guò)WebService技術(shù)對(duì)不同系統(tǒng)進(jìn)行統(tǒng)一校驗(yàn)，增強(qiáng)系統(tǒng)的可靠性，通過(guò)一次性口令認(rèn)證技術(shù)對(duì)系統(tǒng)安全保障問題進(jìn)行分析。

關(guān)鍵詞：身份認(rèn)證；WebService；統(tǒng)一校驗(yàn)；一次性口令認(rèn)證；系統(tǒng)安全

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）10-0005-02

Abstract： The continuous development of information produced different kinds of functions of information system， the actual use of the system security problem is particularly prominent， need the further research of the identity authentication system， WebService technology of different system of unified verification， enhance the system's reliability， through a one-time password authentication technology of system security problems are analyzed.

Key words： identity authentication； WebService； unified verification； one-time password authentication； system security

1 概述

信息化時(shí)代，企事業(yè)單位的日常業(yè)務(wù)操作越來(lái)越依賴于信息系統(tǒng)，但是由于軟件功能的多樣性和某些軟件廠商在各自領(lǐng)域研發(fā)的狹隘性，導(dǎo)致操作者不得不使用多套系統(tǒng)，而不同系統(tǒng)的安全級(jí)別和身份校驗(yàn)功能不盡相同，需要對(duì)身份認(rèn)證進(jìn)行進(jìn)一步研究。

2系統(tǒng)身份認(rèn)證

2.1 傳統(tǒng)系統(tǒng)身份認(rèn)證

目前傳統(tǒng)信息系統(tǒng)身份認(rèn)證通過(guò)校驗(yàn)各自系統(tǒng)的用戶名加密碼實(shí)現(xiàn)。先由操作者設(shè)定密碼，然后訪問時(shí)錄入，并由系統(tǒng)完成身份認(rèn)證。這種方式比較簡(jiǎn)單，經(jīng)濟(jì)成本也較低。

2.2 傳統(tǒng)身份認(rèn)證存在的問題

1）個(gè)人密碼安全問題：

如使用多個(gè)系統(tǒng)操作者需要分別設(shè)置密碼，如設(shè)置為相同密碼，因各自系統(tǒng)安全級(jí)別不同會(huì)有安全隱患（即知道一個(gè)密碼就知道全部系統(tǒng)密碼），如更改密碼也得到各個(gè)系統(tǒng)中進(jìn)行修正，非常繁瑣。而設(shè)置為不同密碼則可能會(huì)遺忘密碼，造成麻煩。

2）管理者角度的安全問題：

當(dāng)操作員因離職或不再使用相應(yīng)系統(tǒng)時(shí)，需要在各個(gè)系統(tǒng)中逐個(gè)刪除相應(yīng)用戶，如有遺漏存在安全風(fēng)險(xiǎn)。

對(duì)操作者登錄沒有統(tǒng)一的安全日志，管理者不能對(duì)敏感操作進(jìn)行實(shí)時(shí)統(tǒng)一的監(jiān)控。

2.3 統(tǒng)一身份認(rèn)證

統(tǒng)一身份認(rèn)證即Universal Identity Authentication Service，是一種在保證整體安全性和可用性的基礎(chǔ)下進(jìn)行身份認(rèn)證的機(jī)制，為各種應(yīng)用系統(tǒng)以統(tǒng)一接口插入信息平臺(tái)提供有力的安全保障[1]。

統(tǒng)一身份認(rèn)證可以集中存儲(chǔ)和管理用戶信息。對(duì)中央用戶資料數(shù)據(jù)庫(kù)進(jìn)行統(tǒng)一的用戶添加、刪除、修改操作[2]，各個(gè)應(yīng)用系統(tǒng)做身份認(rèn)證操作需校驗(yàn)中央用戶資料數(shù)據(jù)庫(kù)中的密鑰。

3系統(tǒng)分析

3.1 架構(gòu)與模型分析

通過(guò)Web Services技術(shù)搭建平臺(tái)，集成各類接口和功能模塊[3]，每一個(gè)業(yè)務(wù)系統(tǒng)功能模塊都需要在中央數(shù)據(jù)庫(kù)中注冊(cè)一個(gè)唯一標(biāo)識(shí)的ID號(hào)。

Web平臺(tái)為所集成的應(yīng)用提供了公用、高效、安全、的身份認(rèn)證。利用中央用數(shù)據(jù)庫(kù)對(duì)各個(gè)業(yè)務(wù)系統(tǒng)的用戶信息進(jìn)行集中管理，不僅對(duì)信息系統(tǒng)管理者帶來(lái)方便，還提高了系統(tǒng)的安全性。采用統(tǒng)一身份認(rèn)證機(jī)制也避免了各種應(yīng)用子系統(tǒng)的重復(fù)開發(fā)，便于應(yīng)用系統(tǒng)的集成[4]，也從側(cè)面對(duì)解決信息孤島[5]問題給予幫助。

系統(tǒng)架構(gòu)模型圖如圖1所示。

3.2 系統(tǒng)流程分析

1）登錄身份認(rèn)證

操作者使用經(jīng)中央用戶資料庫(kù)注冊(cè)后的用戶名和密碼來(lái)登錄相應(yīng)業(yè)務(wù)子系統(tǒng)。將系統(tǒng)模塊ID、系統(tǒng)模塊名稱、系統(tǒng)用戶名、系統(tǒng)密碼、操作類型拼成XML格式進(jìn)行傳輸，WEB平臺(tái)按順序進(jìn)行校驗(yàn)，若不成功則返回‘0并在字符串中跟上相應(yīng)錯(cuò)誤提示，若校驗(yàn)成功，則返回‘1，業(yè)務(wù)子系統(tǒng)接收到此返回值后界面提示‘登錄成功，允許用戶登錄訪問并返回登錄電腦的IP地址、網(wǎng)卡地址、登錄時(shí)間，WEB平臺(tái)將此數(shù)據(jù)寫入中央用戶資料數(shù)據(jù)庫(kù)。

2）敏感操作認(rèn)證

敏感操作包括修改密碼，授權(quán)登錄等，敏感操作需要進(jìn)行一次性口令認(rèn)證，即WEB平臺(tái)查詢到XML信息中操作類型為‘敏感操作類后，向短信機(jī)發(fā)起指令，短信機(jī)接收指令后生成兩個(gè)任務(wù)：

① 生成一次性口令，通過(guò)運(yùn)營(yíng)商（移動(dòng)、電信、聯(lián)通）向中央數(shù)據(jù)庫(kù)該用戶所登記的手機(jī)號(hào)碼發(fā)送口令，如登記手機(jī)號(hào)為空或不在運(yùn)營(yíng)商服務(wù)范圍內(nèi)，則不發(fā)送口令，并向平臺(tái)發(fā)送錯(cuò)誤信息。

② 發(fā)送短信的同時(shí)，通過(guò)平臺(tái)將驗(yàn)證碼和生成時(shí)間寫入中央用戶數(shù)據(jù)庫(kù)，供操作者使用系統(tǒng)錄入短信驗(yàn)證碼進(jìn)行校驗(yàn)。

3.3 系統(tǒng)內(nèi)部邏輯分析

1）所有需要使用系統(tǒng)的操作者都需在中央用戶服務(wù)器注冊(cè)賬號(hào)和密碼，密碼設(shè)置規(guī)則為必須八位以上且必須大小寫的英文字母，經(jīng)過(guò)MD5單向加密[6]后存入數(shù)據(jù)庫(kù)。

2）密碼如被update或insert操作后同時(shí)會(huì)取服務(wù)器時(shí)間記錄修改時(shí)間，每次做身份認(rèn)證校驗(yàn)時(shí)判斷修改時(shí)間和當(dāng)前系統(tǒng)時(shí)間之差，若差值被密碼有效天數(shù)減去后的值在某一范圍內(nèi)，則WEB平臺(tái)返回“該用戶的密碼即將于X天內(nèi)過(guò)期”，各個(gè)業(yè)務(wù)子系統(tǒng)在該用戶每次登錄系統(tǒng)時(shí)提醒用戶修改密碼，彈出提示“您的密碼將于X天后過(guò)期，過(guò)期后將無(wú)法使用本系統(tǒng)，請(qǐng)及時(shí)在中央用戶系統(tǒng)中修改密碼”。

3）如果校驗(yàn)該用戶的密碼已過(guò)期，則WEB平臺(tái)返回“您的密碼已過(guò)期，請(qǐng)進(jìn)行重置”。

4）如連續(xù)輸錯(cuò)5次密碼，將在中央數(shù)據(jù)庫(kù)鎖定該用戶，只能通過(guò)短信驗(yàn)證的方式解鎖并重置。

5）授權(quán)登陸操作時(shí)必須同時(shí)進(jìn)行授權(quán)者的密碼校驗(yàn)和短信驗(yàn)證碼校驗(yàn)。

4 結(jié)束語(yǔ)

本文的研究分析可以對(duì)各個(gè)系統(tǒng)的身份認(rèn)證進(jìn)行集中管理，減少了數(shù)據(jù)冗余[7]，采用Web Services平臺(tái)屏蔽了不同軟件平臺(tái)的差異[8]，較有可拓展性，一般情況下要對(duì)身份認(rèn)證增加規(guī)則無(wú)需對(duì)各個(gè)業(yè)務(wù)系統(tǒng)進(jìn)行代碼調(diào)整，只需改進(jìn)平臺(tái)服務(wù)。另外通過(guò)中央用戶數(shù)據(jù)庫(kù)的日志查詢，操作者可以看到所有自己賬號(hào)的登錄記錄和敏感操作記錄。

以上分析研究是將中央數(shù)據(jù)庫(kù)中經(jīng)MD5加密過(guò)的密碼通過(guò)算法解密為明文再與各系統(tǒng)傳入的XML信息中的密碼位進(jìn)行驗(yàn)證，在安全性方面還存在一些問題，應(yīng)該考慮先對(duì)中央數(shù)據(jù)庫(kù)使用WEB平臺(tái)給予的公鑰加密，WEB平臺(tái)再用自身的私鑰解密，對(duì)業(yè)務(wù)系統(tǒng)的請(qǐng)求增加令牌認(rèn)證和防竊聽防篡改技術(shù)。但倘若并發(fā)認(rèn)證的操作較多，會(huì)占用一定的系統(tǒng)資源也會(huì)影響身份認(rèn)證的速度和效率，這些都是后續(xù)工作需要去研究解決的。

參考文獻(xiàn)：

[1] Justin Menga. CCSA NG：Check Point 認(rèn)證安全管理員全息教程[M].北京：電子工業(yè)出版社，2003.

[2] 孫超， 陳鋼. 基于Agent 技術(shù)的統(tǒng)一身份認(rèn)證系統(tǒng)[J].計(jì)算機(jī)應(yīng)用研究，2005，22（3）：138-140.

[3] 李愛華， 徐立臻. 基于ICE 技術(shù)的身份認(rèn)證交互模型[J].計(jì)算機(jī)應(yīng)用，2005，25（3）：567-569.

[4] 張旗， 張水平. 基于Web Services 架構(gòu)的統(tǒng)一身份認(rèn)證的設(shè)計(jì)與實(shí)現(xiàn)[J]. 空軍工程大學(xué)學(xué)報(bào)：自然科學(xué)版，2006，7（1）：75-79.

[5] 韋忠亮. 基于Web Services的高校信息孤島問題的研究[D].淮南：安徽理工大學(xué)，2011.

[6] 宋志強(qiáng)， 陳懷楚， 沈錫臣. 校園網(wǎng)統(tǒng)一身份認(rèn)證結(jié)構(gòu)及基于此結(jié)構(gòu)的應(yīng)用漫游的實(shí)現(xiàn)[J].計(jì)算機(jī)工程與應(yīng)用，2002，38（20）：144-146.

[7] 曹敏年，張瑋，宋雪君. 統(tǒng)一身份認(rèn)證平臺(tái)的數(shù)據(jù)交換機(jī)制與實(shí)現(xiàn)[J].上海理工大學(xué)學(xué)報(bào)，2006，28（3）：293-298.

[8] 岳昆，王曉玲，周傲英. Web服務(wù)核心支撐技術(shù)：研究綜述[J].軟件學(xué)報(bào)，2004，15（3）：428-442.