企業級免密認證系統開發實踐

周平，劉廷峰，李江鑫

（四川中電啟明星信息技術有限公司，四川成都 610000）

1 引言

隨著企業信息化的不斷發展，越來越多的應用在企業中構建和運行，然而，截至現在大多數企業應用都是采用傳統的賬號和密碼進行系統認證登錄，對于系統使用者來說，需要記住很多系統的密碼，并且由于國家在信息安全方面的嚴格要求，很多交易類的系統在信息安全方面的要求尤為嚴格，因此，用戶需要記住很多系統的復雜密碼來登錄登錄系統，并且需要按要求進行密碼過期修改和提醒。對于管理員來說，必須承擔保護密碼的責任，一旦密碼泄漏，對企業應用的業務和信譽都是巨大打擊。另外目前網絡上存在大量的進程盜號木馬、鍵盤記錄木馬、遠程控制木馬、會話劫持木馬、釣魚程序等盜號程序，大量的賬號密碼丟失，造成了非常大的危害。

2 企業級免密認證系統需求

企業無密認證解決方案能夠解決傳統以密碼為核心的認證體系的諸多問題，解決傳統密碼問題 ，是企業完成認證體系升級，實現去密碼化的關鍵。方案主要基于移動及生物識別技術，提供如掃碼、指紋驗證、動態口令等多種認證方式，解決如下問題：

1) 賬號密碼使用安全；

2) 賬號密碼無法被盜取；

3) 服務器賬號密碼庫安全；

4) 簡捷快速安全登錄；

5) 內外網數據安全隔離。

2.1 技術難點

1) 如何將用戶在移動端的身份與內網身份進行綁定，關系著用戶使用門檻、便捷性的重要問題，鑒于所有用戶信息其實都存在于企業的內部網絡，且與互聯網物理隔離，內外身份的綁定是關鍵。

2) 如何穿透內外網，在內外網物理隔離的情況下，需要將所有請求轉換成SQL數據，再由內網權威身份中心處理后完成。

高校應積極改善教學模式，積極采取主體教育的方式，強化教育有效性。在教學中，應充分重視學生的主體地位，尊重學生的“主角”位置，促進學生積極參與到課堂教學中，教師需要以輔導和引導的方式來調動學生的學習主動性與積極性，激發學生的創造能力。[6]

3) 如何保證數據安全，需要設計身份中轉器，實現用戶的內網帳號信息及實名用戶信息不曝露在DMZ區、外網。

2.2 用戶角色

免密認證系統主要解決用戶登錄的便捷性、安全性問題，同時解決企業的密碼管理難題，系統角色方包括普通用戶、系統運維管理員、業務支持管理員、審計管理員。

3 企業級免密認證系統的設計

3.1 架構設計

本文提出了一種基于企業內外網場景的非涉密登錄關鍵技術“身份口令掃碼身份識別”復合技術，克服了現有技術的困難，避免在一個平臺下面同時獲取帳號、密碼問題，在輸入過程中出現帳號密碼明文的問題，在使用過程中無需用戶輸入用戶賬號和密碼，通過“手機掃描+動態數字”方式完成認證，更加快捷、安全的登錄企業應用系統。

1) 在個人移動設備上通過掃描二維碼，并且通過個人手機發送短信完成用戶身份信息的綁定。

2) 用戶掃描登錄二維碼，手機會將安全認證碼以及個人手機信息通過國密加密算法發送至移動交互平臺。

3) 移動交互平臺根據傳遞過來的二維碼個人信息，判斷用戶是掃描的內網還是外網認證服務，進行路由策略匹配。

5) 內網認證服務通過解析讀取內網數據庫完成認證服務流程。

6) 如果認證成功進入內網應用，認證失敗，返回錯誤信息。

4 企業級免密認證系統的關鍵技術

1) 內外網安全交互技術

互聯網與外網邊界：通過統建外網安全交互平臺，實現移動應用的身份認證、訪問控制、傳輸加密以及應用過濾。

圖1 數字聯盟可信ID簡明邏輯圖

外網與內網邊界：通過統建安全隔離裝置，基于數據庫代理訪問實現內外網數據安全交互。

2) 會話交互技術

通過移動互聯支撐平臺提供的第三方安全加固技術，實現客戶端應用防逆向、防篡改、反調試保護。與服務端接口交互采用安全token認證，對交互數據長度類型進行安全校驗。

3) 數據安全

移動客戶端不存儲企業機密信息和用戶隱私數據，重要數據傳輸采用S S L協議結合SM2、SM3、SM4國密算法進行加密傳輸和數字簽名。

4) 二維碼編碼技術

數據分析：確定編碼的字符類型，按相應的字符集轉換成符號字符；選擇糾錯等級，在規格一定的條件下，糾錯等級越高其真實數據的容量越小。

數據編碼：將數據字符轉換為位流，每8位一個碼字，整體構成一個數據的碼字序列。其實知道這個數據碼字序列就知道了二維碼的數據內容，如圖2所示。

圖2 數據編碼

5 結束語

本文的重點是通過唯一身份信息綁定，通過用戶移動端設備掃碼，在企業信息內外網交換過程當中使用信息安全隔離裝置，保證外網用戶不能夠直接操作內網數據庫，最終形成一套“身份+二維碼”可信安全認證方案，為信息系統行為安全策略制定、風險內控提供有力的數據支撐，為提升企業網絡空間的安全防護把好入口。