信息系统身份认证的分析与研究
2016-06-16陈楥帅
陈楥帅
摘要:信息化的不断发展衍生出各种功能不同的信息系统,实际使用中系统的安全问题尤为突出,需要对系统身份认证进一步地研究,通过WebService技术对不同系统进行统一校验,增强系统的可靠性,通过一次性口令认证技术对系统安全保障问题进行分析。
关键词:身份认证;WebService;统一校验;一次性口令认证;系统安全
中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2016)10-0005-02
Abstract: The continuous development of information produced different kinds of functions of information system, the actual use of the system security problem is particularly prominent, need the further research of the identity authentication system, WebService technology of different system of unified verification, enhance the system's reliability, through a one-time password authentication technology of system security problems are analyzed.
Key words: identity authentication; WebService; unified verification; one-time password authentication; system security
1 概述
信息化时代,企事业单位的日常业务操作越来越依赖于信息系统,但是由于软件功能的多样性和某些软件厂商在各自领域研发的狭隘性,导致操作者不得不使用多套系统,而不同系统的安全级别和身份校验功能不尽相同,需要对身份认证进行进一步研究。
2系统身份认证
2.1 传统系统身份认证
目前传统信息系统身份认证通过校验各自系统的用户名加密码实现。先由操作者设定密码,然后访问时录入,并由系统完成身份认证。这种方式比较简单,经济成本也较低。
2.2 传统身份认证存在的问题
1)个人密码安全问题:
如使用多个系统操作者需要分别设置密码,如设置为相同密码,因各自系统安全级别不同会有安全隐患(即知道一个密码就知道全部系统密码),如更改密码也得到各个系统中进行修正,非常繁琐。而设置为不同密码则可能会遗忘密码,造成麻烦。
2)管理者角度的安全问题:
当操作员因离职或不再使用相应系统时,需要在各个系统中逐个删除相应用户,如有遗漏存在安全风险。
对操作者登录没有统一的安全日志,管理者不能对敏感操作进行实时统一的监控。
2.3 统一身份认证
统一身份认证即Universal Identity Authentication Service,是一种在保证整体安全性和可用性的基础下进行身份认证的机制,为各种应用系统以统一接口插入信息平台提供有力的安全保障[1]。
统一身份认证可以集中存储和管理用户信息。对中央用户资料数据库进行统一的用户添加、删除、修改操作[2],各个应用系统做身份认证操作需校验中央用户资料数据库中的密钥。
3系统分析
3.1 架构与模型分析
通过Web Services技术搭建平台,集成各类接口和功能模块[3],每一个业务系统功能模块都需要在中央数据库中注册一个唯一标识的ID号。
Web平台为所集成的应用提供了公用、高效、安全、的身份认证。利用中央用数据库对各个业务系统的用户信息进行集中管理,不仅对信息系统管理者带来方便,还提高了系统的安全性。采用统一身份认证机制也避免了各种应用子系统的重复开发,便于应用系统的集成[4],也从侧面对解决信息孤岛[5]问题给予帮助。
系统架构模型图如图1所示。
3.2 系统流程分析
1)登录身份认证
操作者使用经中央用户资料库注册后的用户名和密码来登录相应业务子系统。将系统模块ID、系统模块名称、系统用户名、系统密码、操作类型拼成XML格式进行传输,WEB平台按顺序进行校验,若不成功则返回‘0并在字符串中跟上相应错误提示,若校验成功,则返回‘1,业务子系统接收到此返回值后界面提示‘登录成功,允许用户登录访问并返回登录电脑的IP地址、网卡地址、登录时间,WEB平台将此数据写入中央用户资料数据库。
2)敏感操作认证
敏感操作包括修改密码,授权登录等,敏感操作需要进行一次性口令认证,即WEB平台查询到XML信息中操作类型为‘敏感操作类后,向短信机发起指令,短信机接收指令后生成两个任务:
① 生成一次性口令,通过运营商(移动、电信、联通)向中央数据库该用户所登记的手机号码发送口令,如登记手机号为空或不在运营商服务范围内,则不发送口令,并向平台发送错误信息。
② 发送短信的同时,通过平台将验证码和生成时间写入中央用户数据库,供操作者使用系统录入短信验证码进行校验。
3.3 系统内部逻辑分析
1)所有需要使用系统的操作者都需在中央用户服务器注册账号和密码,密码设置规则为必须八位以上且必须大小写的英文字母,经过MD5单向加密[6]后存入数据库。
2)密码如被update或insert操作后同时会取服务器时间记录修改时间,每次做身份认证校验时判断修改时间和当前系统时间之差,若差值被密码有效天数减去后的值在某一范围内,则WEB平台返回“该用户的密码即将于X天内过期”,各个业务子系统在该用户每次登录系统时提醒用户修改密码,弹出提示“您的密码将于X天后过期,过期后将无法使用本系统,请及时在中央用户系统中修改密码”。
3)如果校验该用户的密码已过期,则WEB平台返回“您的密码已过期,请进行重置”。
4)如连续输错5次密码,将在中央数据库锁定该用户,只能通过短信验证的方式解锁并重置。
5)授权登陆操作时必须同时进行授权者的密码校验和短信验证码校验。
4 结束语
本文的研究分析可以对各个系统的身份认证进行集中管理,减少了数据冗余[7],采用Web Services平台屏蔽了不同软件平台的差异[8],较有可拓展性,一般情况下要对身份认证增加规则无需对各个业务系统进行代码调整,只需改进平台服务。另外通过中央用户数据库的日志查询,操作者可以看到所有自己账号的登录记录和敏感操作记录。
以上分析研究是将中央数据库中经MD5加密过的密码通过算法解密为明文再与各系统传入的XML信息中的密码位进行验证,在安全性方面还存在一些问题,应该考虑先对中央数据库使用WEB平台给予的公钥加密,WEB平台再用自身的私钥解密,对业务系统的请求增加令牌认证和防窃听防篡改技术。但倘若并发认证的操作较多,会占用一定的系统资源也会影响身份认证的速度和效率,这些都是后续工作需要去研究解决的。
参考文献:
[1] Justin Menga. CCSA NG:Check Point 认证安全管理员全息教程[M].北京:电子工业出版社,2003.
[2] 孙超, 陈钢. 基于Agent 技术的统一身份认证系统[J].计算机应用研究,2005,22(3):138-140.
[3] 李爱华, 徐立臻. 基于ICE 技术的身份认证交互模型[J].计算机应用,2005,25(3):567-569.
[4] 张旗, 张水平. 基于Web Services 架构的统一身份认证的设计与实现[J]. 空军工程大学学报:自然科学版,2006,7(1):75-79.
[5] 韦忠亮. 基于Web Services的高校信息孤岛问题的研究[D].淮南:安徽理工大学,2011.
[6] 宋志强, 陈怀楚, 沈锡臣. 校园网统一身份认证结构及基于此结构的应用漫游的实现[J].计算机工程与应用,2002,38(20):144-146.
[7] 曹敏年,张玮,宋雪君. 统一身份认证平台的数据交换机制与实现[J].上海理工大学学报,2006,28(3):293-298.
[8] 岳昆,王晓玲,周傲英. Web服务核心支撑技术:研究综述[J].软件学报,2004,15(3):428-442.