計算機信息安全中應用用戶身份認證技術的探討

(濟南市保密技術中心 山東 濟南 250099)

前言

用戶身份認證技術，是在操作信息系統的同時，核對操作者與訪問者的身份，對不符合訪問及操作權限的情況加以屏蔽，以保障信息安全的一種技術。身份認證技術的應用可確保實際操作者與對應數據身份的一致性。隨著時代的發展，用戶身份認證技術已經日漸普及，滲透到工作生活的各個環節。

一、主流身份認證方式

目前，我國計算機信息安全中，用戶身份認證技術的應用主要集中在5個方面：(1)賬號及密碼搭配的身份認證，這一認證方式是最為常見，也是應用時間跨度最長的認證方式；(2)IC卡認證方式，該方式通常應用于身份認證、銀行金融、電信通訊、公共交通及車輛管理等方面，其應用范圍在不斷拓展，包括第二代身份證、SIM卡、停車卡等各種應用領域，IC卡認證模式憑借其便捷性、安全性等優勢在信息安全領域發揮了極大作用；(3)動態認證，包括動態密碼、動態認證碼、動態校驗碼及動態口令等，隨著智能移動設備的日益普及，手機動態短信認證碼的應用也愈發普遍；(4)生物認證，包括指紋認證、面部識別、虹膜識別等，生物識別技術的應用也隨著智能移動通訊設備的普及而迅速普及開來，主要體現在指紋及面部識別手機解鎖、指紋識別門鎖、虹膜保險柜等；(5)UK認證，也被成為U盾認證技術，該技術主要通過USB連接計算機，可實現密碼認證，具備較高的安全效果，是對當前信息安全的重要保障措施。

二、基于PHP的身份認證技術

除以上常用身份認證技術之外，還可采用基于PHP的計算機系統用戶身份認證技術，以網絡為媒介，啟動身份認證技術，整合信息系統中各種分散數據庫及登錄系統，實現統一化、集中式的授權、認證與管理。基于PHP的認證技術的應用，可實現對于用戶身份認證系統的二次開發，并實現分散化數據的有效整合與集中管理，可有效見減少既有系統開發與身份認證時所需要消耗的成本，并避免對于信息系統的影響。在實際應用中，只需要進行以此認證與登錄，在完成認證之后，無論訪問何種資料，都無需進行二次登錄，用戶登錄流程被簡化。基于PHP的技術的應用，可實現對于分散化信息的整合，形成大的數據庫，在信息數據統一管理過程中，如果需要進行功能擴展，可首先認證身份，并導入資料。在實際的應用中，還需對基于PHP的身份認證系統加以健全和完善，以確保系統的靈活性。

三、LDAP+SSL/TLS身份認證技術

云技術的應用，已經成為目前信息技術應用與發展的重要方向，為保障云技術應用的安全性，可打造云安全服務系統，并采用LDAP+SSL/TLS認證技術。所謂LDAP，就是輕量級目錄訪問協議(Lightweight Directory Access Protocol)，該協議采用樹狀結構實現對于用戶信息的存儲，并結合各種條目與組織單元對與用戶身份信息的關聯信息，比如部門及相關人員等信息。組織單元包括子單元，可實現進一步的類型細分。可利用LDAP協議，對用戶信息相關的各種目錄、子樹、屬性集等相關條件作為控制對象，對用戶身份加以認證。除了LDAP協議之外，還可采用AD技術，以SSL/TLS為基礎，搭建安全通道，可雙向認證客戶端及服務器端。在實際應用中，SSL/TLS通過數據價目，以避免數據信息傳輸技通訊過程中的信息失真、信息泄露等問題。該身份認證技術可與即時通訊系統相結合，確保全部用戶身份認證的統一性與一致性。基于系統應用的安全性需求，可采用聯合認證的方式，將其中一種及認證方式作為主要認證方式，其他認證方式為輔助。

四、802.1x認證協議

802.1x認證協議基于Client/Server訪問限制及身份認證，可通過對接入端口的用戶設備加以限制與制約，可在未獲得交換機或LAN業務之前，通過連接交換機端口，認證用戶設備。如果認證未通過，則設備連接交換機端口只允許拓展協議認證數據通過；而身份認證協議通過，則以太網端口允許一般數據通過。

802.1x認證協議基于以外網，是一種二層協議，因此無需采用高性能設備，系統搭建成本就可以有效控制，同時，該協議借用拓展認證協議，在實際應用時具備良好的延展性，可兼容傳統PPP認證體系。802.1x認證協議采用可控及不可控端口相結合的邏輯功能，可拆分業務及認證。802.1x認證協議的應用可以實現系統搭建成本及系統部署成本的降低，實現多元化的業務支持。

結語：計算機信息系統應用過程中，為保障信息安全，通過用戶身份認證技術，可有效限制訪問人員的身份及權限，以此降低系統運行中的安全隱患，減少系統信息泄露與被篡改的可能性。另外，身份認證技術在計算機信息安全中的應用，還需要基于新的技術應用要求，不斷探索新的技術發展方向，簡化身份認證技術的應用，合理分配身份使用權限。