實名制網絡中動態認證體系的研究

郭劍鋒 郝玉軍

摘要：本文基于動態認證技術、手機實名制及移動終端的特性，提出了一套動態的認證體系，可屏蔽網絡的接入模式、接入方式等因素，實現對訪問者的身份認證，重點解決網站類應用在開放式訪問體系下被惡意攻擊的隱患，使得網站類應用的訪問可控，同時也可推動手機實名制的進一步發展。

關鍵詞：動態認證體系;手機實名制;接入模式

現狀描述

隨著網絡時代的到來，網絡化已經成為企業信息化發展的大趨勢。人們在享受信息化帶來的眾多好處的同時，也面臨著網絡安全問題帶來的挑戰，特別是開放式訪問的網站系統、移動終端的大量使用，使得解決網絡信息安全問題成為當務之急。為了解決這些安全問題，各種安全機制、策略和工具被研究和應用，但很多工具的使用都只提供了部分的安全功能，如防火墻僅僅提供了邊界的防護及地址轉換的功能、IDS僅僅負責入侵的監測和審計等、WAF僅僅針對web的訪問進行深度檢查和防護，而數字簽名等系統僅僅是對訪問的雙方進行身份認證，但都無法實現實名制的訪問，也即對攻擊的攻擊源的識別、身份的確認、預警等無法實現，因此造成了很多的系統被肆無忌憚地惡意攻擊。

這些安全隱患主要可以歸結為以下幾點：①每一種安全機制都有一定的應用范圍和應用環境;②安全工具的使用受到人為因素的影響;③系統的后門是傳統安全工具難以考慮到的地方;④黑客的攻擊手段在不斷地更新;⑤無法實名制進行審計、告警和跟蹤。

動態認證的描述

很多金融系統提供的個人銀行等功能，在認證中很普遍地使用了動態的認證系統，借助目前移動終端的大量使用，采用了手機的動態認證碼的方式，不僅陜捷、方便，同時在系統內部將手機與系統賬戶綁定，提供了安全且有時效性的動態安全認證。但在目前的重要網站類應用中，僅僅采用金融系統中使用的動態認證方式還無法完全滿足安全的訪問要求，網站類訪問一般不會預先綁定相應的被訪問者的手機號碼，而手機號碼的實名制也剛剛開展，還有很多的手機號碼不是實名制存在。關鍵的問題是，在手機的短信認證過程中還會產生相應的信息費，如果訪問量很大，信息費就會很高，因此無法大規模應用。

而如果將“手機實名制+即時所在地+IP地址歸屬地”聯合認證，通過手機的實名制綁定訪問者的身份，通過即時所在地的檢查進行所在地和IP地址的聯合檢查，確定訪問者的所屬地，則能為系統的審計和被冒用的檢查提供相應的信息。手機實名制需要通過相應的手機實名制系統進行登記，將所有的訪問者通過實名制進行管理，對PC端進行實名制的綁定，同時也對移動終端進行綁定;即時所在地的查詢就是通過綁定的手機對訪問者進行即時所在地的檢查，同時檢查被訪問的IP所在地同即時所在地是否一致，最后基本確定誰在哪里進行的訪問，這對很多業務系統的使用，如電子政務的網上辦事大廳、民心網的網絡投訴受理、BBS系統的網絡跟帖的身份認證等都有相當大的幫助。

采用動態認證體系

通過上面的功能要求，可采用下述的動態認證體系進行開放式網絡的訪問認證。目前，網絡上的各種網站類的訪問很多都是無限制的、完全開放的。開放的訪問隨之而來的是安全問題突出，應用的訪問不可控，因此有必要改變現在的完全開放式訪問模式，增加相應的控制和認證層面，實現訪問安全可控。系統架構如圖1所示。

增加相應的控制層面，實現安全策略中心的制訂、用戶接入的實名制認證等功能，使得原來開放式的訪問通過控制層面進行授權，那就是什么地區的用戶、什么類型的用戶可以訪問什么樣的權限。

1.認證流程

要實現上述三層的系統架構，重點需要建設相應的控制層面，制訂統一的訪問接口。認證的過程包括客戶端到服務器的認證、服務器到手機實名制中心的認證以及手機實名制與客戶端的手機的互動過程（如圖2）。

用戶通過終端訪問某個網站類應用，在第一次訪問時服務器會給用戶推送一個認證的頁面，需要用戶輸入自己的手機號碼及當前所在地（此部分可以作為選擇項），發送給服務器，服務器根據用戶的手機號到手機實名制中心進行手機的實名制信息查詢，同時對用戶當前的位置信息進行查詢。如果該手機未到實名制中心登記，那么首先需要登記成功才能進一步操作，如果已經登記了，那么手機實名制中心將用戶的當前所在地信息返回給服務器，服務器應用該信息，比對目前用戶的上網IP是不是在該用戶當前的所在地。如果比對不成功提示重新正確輸入相應的信息，如果三次都錯誤，那么將該用戶列入可疑名單，同時向告警中心發送相應的告警;如果比對成功，服務器向手機實名制中心發送相應的驗證碼，手機實名制中心將向相應的用戶推送相應的驗證碼，用戶最后輸入該驗證碼實現網絡的正常訪問。在手機實名制中心和手機用戶間，需要手機上安裝相應的手機實名制中心的APP，實現用戶跨區變動實時更新手機實名制中心的位置信息，也負責接收手機實名制中心下發的相關認證信息等。

2.相關說明

用戶訪問某個網站類應用時，首先發起實名制的認證，如果終端的IP不跨區變化，那么不需要重新進行認證，直至客戶端退出該網站應用的訪問頁面。手機實名制中心為用戶免費提供相應的手機客戶端軟件，同時，手機安裝相應的軟件。在位置發生變化時，將相應的手機號碼、位置信息發送給手機實名制中心，手機實名制中心也提供給相應的API接口，對每個網站類應用的ICP進行唯一性的認證，確保每個ICP都是唯一的接人號碼，且可實施強制的認證過程。

動態認證的相關問題研究

1.優點

①可通過手機實名制實現Web訪問的實名制，便于審計、預警，規范網絡訪問行為，特別是針對可上傳的各類業務，都可以起到預警的功能，盡可能地避免虛假、信息的發布;

②可進行屬地化管理，如某個地市的政府部門的網上辦事大廳的在線業務，就可以限制只能是本地的用戶訪問、業務辦理，對異地的接入限定相應的訪問權限，避免網絡的惡意攻擊;

③可以對國外用戶的一些訪問進行限制，如沒有國內手機實名制的用戶，可限定只能訪問最簡單的靜態網頁，無法實現數據的上傳，避免被國外的組織惡意攻擊、被利用等;

④可進一步完善手機實名制的體系，為更多的業務提供實名制的驗證功能;

⑤建立手機實名制認證系統，可以一次認證多系統接入，避免重復的認證;

⑥通過智能手機APP的互動，避免大量產生短信信息費的問題;

⑦可以解決目前大量免費的無認證接入終端的認證問題，如大量WIFI的無限制接入，屏蔽了接入的模式等;

⑧實名制訪問后，在訪問初期的頁面就可以進行提示，起到了預警、震懾的作用;

⑨對掃描類攻擊、網絡爬蟲的使用等都會有相應的限制，可有效地減少被網絡上泛濫的各種免費的滲透攻擊工具的攻擊。

針對移動終端類的訪問，在手機端的手機實名制中心的APP可以實現手機號碼及當前所屬的檢查，這樣可以不進行相應的認證。

2.不足及相應對策

①無智能手機的用戶的認證——針對此類用戶，在Server端可提供無需認證的免費頁面，無法實現交互類業務;

②針對國外的用戶訪問，無法實現手機實名制——可通過國內的代理用戶實現，這就要求代理用戶必須實名制，同時代理的軟件可以提供源IP，且對國外的IP進行實時監控和審計;

③對于國內的計算機被國外某些組織當成“肉雞”利用的現象，一旦認證成功后訪問相應的Server，那么被控制的“肉雞”就可以攻擊相應的Server——可以通過手機實名制中心給手機端的APP推送相應的告警消息，及時檢查就可以避免更多的攻擊發生。手機實名制后，如果個人不重視自己的計算機的安全，被利用作為“肉雞”攻擊了相應的服務器，也要連帶承擔相應的責任，因此這也可以大大提高每個人的安全意識。如果能夠同電信運營商進行合作，對相應的“肉雞”網絡進行管控，通過SDN技術實現自動的安全策略限制，可以有效地解決目前大量被控的“肉雞”問題。

④手機被冒用的問題——由于有驗證碼的輸入過程，只有正確的手機號碼才能收到相應的驗證碼，才能通過相應的驗證碼進行正常的網絡訪問，因此，只要將實名制的手機號碼和APP的ID號唯一綁定，同時進行加密傳輸，就可以避免相應的冒用問題。

⑤手機實名制不準確的問題——在手機實名制中心無登記的用戶，首次訪問要提示用戶進行登記，如果無法進行實名制登記，即手機的機主姓名同手機號碼不是實名的，那么也可以通過該應用進一步完善和確認手機實名制，減少手機非實名制的問題。

3.政策層面的考慮

網絡訪問實名制的前提是手機實名制的建立和完善，國家需要建立相應的手機實名制中心，同各個電信運營商合作，實時進行更新，這需要國家層面相應政策、資金、技術的支持才能實現。

該認證體系結合了手機實名制的體系，通過智能終端的普及和應用，將移動終端、固定終端結合，屏蔽了網絡的接入模式、接入方式和接入地等因素，無論是免費的無任何認證的WIFI接入點，還是通過認證的家庭的ADSL、光纖、EPON接入，抑或是某個單位使用防火墻的NAT地址變換后的接入，都可以實現終端的實名制認證，為快速定位問題的人、攻擊等事件提供了可能，為全網的可管、可控提供了基礎，因此，建設手機實名制中心應作為國家的一項基礎工程開展，類似地DNS的架構體系也可以在現在的DNS的基礎上進行功能擴展實現。