陳楥帥

摘要：信息化的不斷發(fā)展衍生出各種功能不同的信息系統(tǒng)，實際使用中系統(tǒng)的安全問題尤為突出，需要對系統(tǒng)身份認證進一步地研究，通過WebService技術(shù)對不同系統(tǒng)進行統(tǒng)一校驗，增強系統(tǒng)的可靠性，通過一次性口令認證技術(shù)對系統(tǒng)安全保障問題進行分析。

關(guān)鍵詞：身份認證；WebService；統(tǒng)一校驗；一次性口令認證；系統(tǒng)安全

中圖分類號：TP311 文獻標識碼：A 文章編號：1009-3044（2016）10-0005-02

Abstract： The continuous development of information produced different kinds of functions of information system， the actual use of the system security problem is particularly prominent， need the further research of the identity authentication system， WebService technology of different system of unified verification， enhance the system's reliability， through a one-time password authentication technology of system security problems are analyzed.

Key words： identity authentication； WebService； unified verification； one-time password authentication； system security

1 概述

信息化時代，企事業(yè)單位的日常業(yè)務(wù)操作越來越依賴于信息系統(tǒng)，但是由于軟件功能的多樣性和某些軟件廠商在各自領(lǐng)域研發(fā)的狹隘性，導致操作者不得不使用多套系統(tǒng)，而不同系統(tǒng)的安全級別和身份校驗功能不盡相同，需要對身份認證進行進一步研究。

2系統(tǒng)身份認證

2.1 傳統(tǒng)系統(tǒng)身份認證

目前傳統(tǒng)信息系統(tǒng)身份認證通過校驗各自系統(tǒng)的用戶名加密碼實現(xiàn)。先由操作者設(shè)定密碼，然后訪問時錄入，并由系統(tǒng)完成身份認證。這種方式比較簡單，經(jīng)濟成本也較低。

2.2 傳統(tǒng)身份認證存在的問題

1）個人密碼安全問題：

如使用多個系統(tǒng)操作者需要分別設(shè)置密碼，如設(shè)置為相同密碼，因各自系統(tǒng)安全級別不同會有安全隱患（即知道一個密碼就知道全部系統(tǒng)密碼），如更改密碼也得到各個系統(tǒng)中進行修正，非常繁瑣。而設(shè)置為不同密碼則可能會遺忘密碼，造成麻煩。

2）管理者角度的安全問題：

當操作員因離職或不再使用相應(yīng)系統(tǒng)時，需要在各個系統(tǒng)中逐個刪除相應(yīng)用戶，如有遺漏存在安全風險。

對操作者登錄沒有統(tǒng)一的安全日志，管理者不能對敏感操作進行實時統(tǒng)一的監(jiān)控。

2.3 統(tǒng)一身份認證

統(tǒng)一身份認證即Universal Identity Authentication Service，是一種在保證整體安全性和可用性的基礎(chǔ)下進行身份認證的機制，為各種應(yīng)用系統(tǒng)以統(tǒng)一接口插入信息平臺提供有力的安全保障[1]。

統(tǒng)一身份認證可以集中存儲和管理用戶信息。對中央用戶資料數(shù)據(jù)庫進行統(tǒng)一的用戶添加、刪除、修改操作[2]，各個應(yīng)用系統(tǒng)做身份認證操作需校驗中央用戶資料數(shù)據(jù)庫中的密鑰。

3系統(tǒng)分析

3.1 架構(gòu)與模型分析

通過Web Services技術(shù)搭建平臺，集成各類接口和功能模塊[3]，每一個業(yè)務(wù)系統(tǒng)功能模塊都需要在中央數(shù)據(jù)庫中注冊一個唯一標識的ID號。

Web平臺為所集成的應(yīng)用提供了公用、高效、安全、的身份認證。利用中央用數(shù)據(jù)庫對各個業(yè)務(wù)系統(tǒng)的用戶信息進行集中管理，不僅對信息系統(tǒng)管理者帶來方便，還提高了系統(tǒng)的安全性。采用統(tǒng)一身份認證機制也避免了各種應(yīng)用子系統(tǒng)的重復(fù)開發(fā)，便于應(yīng)用系統(tǒng)的集成[4]，也從側(cè)面對解決信息孤島[5]問題給予幫助。

系統(tǒng)架構(gòu)模型圖如圖1所示。

3.2 系統(tǒng)流程分析

1）登錄身份認證

操作者使用經(jīng)中央用戶資料庫注冊后的用戶名和密碼來登錄相應(yīng)業(yè)務(wù)子系統(tǒng)。將系統(tǒng)模塊ID、系統(tǒng)模塊名稱、系統(tǒng)用戶名、系統(tǒng)密碼、操作類型拼成XML格式進行傳輸，WEB平臺按順序進行校驗，若不成功則返回‘0并在字符串中跟上相應(yīng)錯誤提示，若校驗成功，則返回‘1，業(yè)務(wù)子系統(tǒng)接收到此返回值后界面提示‘登錄成功，允許用戶登錄訪問并返回登錄電腦的IP地址、網(wǎng)卡地址、登錄時間，WEB平臺將此數(shù)據(jù)寫入中央用戶資料數(shù)據(jù)庫。

2）敏感操作認證

敏感操作包括修改密碼，授權(quán)登錄等，敏感操作需要進行一次性口令認證，即WEB平臺查詢到XML信息中操作類型為‘敏感操作類后，向短信機發(fā)起指令，短信機接收指令后生成兩個任務(wù)：

① 生成一次性口令，通過運營商（移動、電信、聯(lián)通）向中央數(shù)據(jù)庫該用戶所登記的手機號碼發(fā)送口令，如登記手機號為空或不在運營商服務(wù)范圍內(nèi)，則不發(fā)送口令，并向平臺發(fā)送錯誤信息。

② 發(fā)送短信的同時，通過平臺將驗證碼和生成時間寫入中央用戶數(shù)據(jù)庫，供操作者使用系統(tǒng)錄入短信驗證碼進行校驗。

3.3 系統(tǒng)內(nèi)部邏輯分析

1）所有需要使用系統(tǒng)的操作者都需在中央用戶服務(wù)器注冊賬號和密碼，密碼設(shè)置規(guī)則為必須八位以上且必須大小寫的英文字母，經(jīng)過MD5單向加密[6]后存入數(shù)據(jù)庫。

2）密碼如被update或insert操作后同時會取服務(wù)器時間記錄修改時間，每次做身份認證校驗時判斷修改時間和當前系統(tǒng)時間之差，若差值被密碼有效天數(shù)減去后的值在某一范圍內(nèi)，則WEB平臺返回“該用戶的密碼即將于X天內(nèi)過期”，各個業(yè)務(wù)子系統(tǒng)在該用戶每次登錄系統(tǒng)時提醒用戶修改密碼，彈出提示“您的密碼將于X天后過期，過期后將無法使用本系統(tǒng)，請及時在中央用戶系統(tǒng)中修改密碼”。

3）如果校驗該用戶的密碼已過期，則WEB平臺返回“您的密碼已過期，請進行重置”。

4）如連續(xù)輸錯5次密碼，將在中央數(shù)據(jù)庫鎖定該用戶，只能通過短信驗證的方式解鎖并重置。

5）授權(quán)登陸操作時必須同時進行授權(quán)者的密碼校驗和短信驗證碼校驗。

4 結(jié)束語

本文的研究分析可以對各個系統(tǒng)的身份認證進行集中管理，減少了數(shù)據(jù)冗余[7]，采用Web Services平臺屏蔽了不同軟件平臺的差異[8]，較有可拓展性，一般情況下要對身份認證增加規(guī)則無需對各個業(yè)務(wù)系統(tǒng)進行代碼調(diào)整，只需改進平臺服務(wù)。另外通過中央用戶數(shù)據(jù)庫的日志查詢，操作者可以看到所有自己賬號的登錄記錄和敏感操作記錄。

以上分析研究是將中央數(shù)據(jù)庫中經(jīng)MD5加密過的密碼通過算法解密為明文再與各系統(tǒng)傳入的XML信息中的密碼位進行驗證，在安全性方面還存在一些問題，應(yīng)該考慮先對中央數(shù)據(jù)庫使用WEB平臺給予的公鑰加密，WEB平臺再用自身的私鑰解密，對業(yè)務(wù)系統(tǒng)的請求增加令牌認證和防竊聽防篡改技術(shù)。但倘若并發(fā)認證的操作較多，會占用一定的系統(tǒng)資源也會影響身份認證的速度和效率，這些都是后續(xù)工作需要去研究解決的。

參考文獻：

[1] Justin Menga. CCSA NG：Check Point 認證安全管理員全息教程[M].北京：電子工業(yè)出版社，2003.

[2] 孫超， 陳鋼. 基于Agent 技術(shù)的統(tǒng)一身份認證系統(tǒng)[J].計算機應(yīng)用研究，2005，22（3）：138-140.

[3] 李愛華， 徐立臻. 基于ICE 技術(shù)的身份認證交互模型[J].計算機應(yīng)用，2005，25（3）：567-569.

[4] 張旗， 張水平. 基于Web Services 架構(gòu)的統(tǒng)一身份認證的設(shè)計與實現(xiàn)[J]. 空軍工程大學學報：自然科學版，2006，7（1）：75-79.

[5] 韋忠亮. 基于Web Services的高校信息孤島問題的研究[D].淮南：安徽理工大學，2011.

[6] 宋志強， 陳懷楚， 沈錫臣. 校園網(wǎng)統(tǒng)一身份認證結(jié)構(gòu)及基于此結(jié)構(gòu)的應(yīng)用漫游的實現(xiàn)[J].計算機工程與應(yīng)用，2002，38（20）：144-146.

[7] 曹敏年，張瑋，宋雪君. 統(tǒng)一身份認證平臺的數(shù)據(jù)交換機制與實現(xiàn)[J].上海理工大學學報，2006，28（3）：293-298.

[8] 岳昆，王曉玲，周傲英. Web服務(wù)核心支撐技術(shù)：研究綜述[J].軟件學報，2004，15（3）：428-442.