基于數字高校的安全認證系統的設計

2013-09-17 09:43:32費雄偉

網絡安全技術與應用 2013年9期

費雄偉

（湖南城市學院信息科學與工程學院湖南 413000）

0 引言

教育信息化促進了教育現代化發展，已成為歷史發展的必然。數字校園的建設隨著時代發生了顯著的變化。數字校園以一個開發的結構，提供資源共享和系統擴展。多種應用以引入到數字校園中，如教學信息管理系統，科研信息管理系統，學生成績管理系統，學校管理信息系統等等。學生和老師越來越依賴這些應用，享受著信息現代化的成果。但是，數字校園也面臨著多種威脅，因為它的開發性，網絡病毒，蠕蟲,網絡缺陷等其他新的攻擊方式變得越來越多。這些威脅造成數據毀壞，硬件故障，數據泄露，網絡癱瘓等事故時有發生，給學校和師生造成了很大的損失。因此數字校園的安全問題越來越突出，成為首要問題之一。

1 現狀分析

數字校園是一個大而復雜的intranet，它依據Web和Http模型提供多種網絡服務。在數字校園的建設中，易用和資源安全是一對矛盾且這對矛盾越來越顯著。因為數字校園具有很多不同的應用服務，隨著時間的發展應用仍在繼續增長。而不同的安全應用有它自己的安全管理機制，包括身份認證，權限管理，數據一致等。

對身份認證而言，不管是Internet還是數字校園，都基于用戶名和密碼對。也就是說，用戶以何種權限訪問特定的應用，完全由用戶輸入的用戶名和密碼對來確定。換句話說，每次用戶訪問特定的應用，都必須首先輸入用戶名和密碼。

從安全角度考慮，基于用戶名和密碼的認證需要每個應用具有認證能力和維護密碼數據庫。同一用戶在不同的服務上都需設置用戶名和密碼。由于數字校園存在多種應用服務，用戶就需要對應多的用戶名和密碼對來進行認證。但對用戶而言，為了能夠方便使用，就會使用重復的相同的或者簡單的密碼，如生日，姓名的拼音，電話號碼等。因此就容易被暴力攻擊或者軟件解碼。這增加了密碼被破解的可能性。

使用智能卡和個人信息碼的認證方式比用戶名和密碼對的認證方式具有更高的安全性。但是對不同的應用而言，仍舊需要輸入多次個人信息碼來進行身份認證。這對用戶而言，仍然不方便使用。尤其是對客服端軟件的通用瀏覽器而言，用戶名和密碼在Internet上以明文或者簡單的轉換方式進行傳輸。這也增加了用戶密碼泄露的可能。

用戶希望從以上方式中解放出來，只需一次用戶名和密碼，采用更加強大的認證方式能做到訪問數字校園中的多個應用。

生物特征認證基于唯一，可靠，穩定的人體的生物特征，采用強大的計算機和網絡技術出來圖像和模式識別來鑒別用戶的身份。每個人的生理或者行為特征是不同的。生物特征認證確實比基于用戶名和密碼或者個人認證碼得方式更加可靠。因為生物特征不需記憶，不會遺忘或者消失。將個人的指紋信息儲存在智能卡中，也方便攜帶。因此本文結合智能卡和指紋識別技術實現身份識別和設計了認證系統。

2 認證系統設計

這個身份認證系統的設計方案為用戶使用身份卡和指紋來鑒別自己。當用戶在認證系統中鑒別認證完成后，可以使用智能卡和唯一的指紋代替已存在的應用服務器中用戶名和密碼對。然而，應用服務器仍舊使用用戶名和密碼對來鑒別用戶和授權。因此，在認證系統設計過程中，我們必須為用戶設計一個唯一的身份ID，以完成對應的用戶名和密碼對的傳輸。在客戶端，用戶ID由智能卡和指紋來進行鑒別。智能卡讀取器安裝有指紋鑒別模塊。在服務器端，如果用戶通過智能卡和用戶ID比對指紋數據庫后，用戶ID改變為起始的用戶名和密碼。為了完成用戶ID到用戶名和密碼對的轉換，我們加入兩個軟件代理。它們分別位于客戶端和服務端以形成一次認證塊。如圖1所示：

3 身份認證過程

在內部網絡中，我們設置一個單獨的認證服務器，它的功能是分發內部用戶的身份卡，產生認證應用服務和認證用戶的身份。同時在房內安裝帶指紋鑒別模塊的智能卡讀取器，以完成識別用戶指紋和將用戶指紋和數據庫中的指紋進行比對，從而完成身份的確定。

圖1 一次認證塊

整個認證系統中有兩個代理，分別位于客戶端和服務端。客戶端代理安裝在內網的用戶計算機上，而服務端代理安裝在每個數字校園中的服務器上。客戶端代理的工作方式是讀取卡中的用戶認證身份，轉發用戶的信息請求或者登錄請求。服務器嗲了根據客戶端發來的服務請求建立用戶身份和用戶名的對應表。客戶端代理提供相同功能的動態鏈接庫給客戶端調用。對于數據請求，服務端代理一般直接傳輸到應用服務器，轉發服務器返回的響應數據，或者提供相同的動態鏈接庫的功能。

4 分析和結論

認證系統結合智能卡和指紋識別技術來執行身份認證，大大提供了用戶身份信息的安全度。該認證系統能夠做到了一次認證，多次使用數字校園服務，認證系統的易用性得到了加強。使用智能卡存儲私鑰和用戶指紋。由于指紋是人體的生物特征，不僅是唯一的而且終端用戶的自身的安全控制信息。可見認證系統的安全性也比用戶名和密碼對的方式更加好。因此該認證系統的設計做到了易用性和安全性，能夠滿足數字校園的認證需要，能夠很好地指導數字校園的建設。

[1]Yang Yang,Fang Chao,Liu Hui.Research on Technology of ARP Spoofing and ICMP Redirection Attak[J]. Computer Engineering,2008,34(2):103-104.

[2]Veridicom Inc. World Leader in Fingerprint Authentication Technology[DB/OL]. http://www.veridicom.com/, 2002.9.