互聯網用戶安全登錄平臺設計

陳柏生，吳可沾，楊育輝

（華僑大學 計算機科學與技術學院，福建 泉州 362021）

互聯網用戶安全登錄平臺設計

陳柏生，吳可沾，楊育輝

（華僑大學 計算機科學與技術學院，福建 泉州 362021）

設計一個開放的互聯網用戶數據中心Hagza開放平臺，對互聯網的用戶和應用資源進行有效整合.用戶可通過該平臺快捷地使用各種互聯網應用和高效地管理其網絡社交關系，而各種網絡應用則可借助該平臺快速地聚集優質用戶.基于表述性狀態轉移（REST）架構的風格設計，可降低系統實現的復雜性和保證良好的可擴展性，而通過P3P，OAuth，OpenID等復合認證體系，可保證用戶隱私和跨平臺調用的安全性.

Hagza開放平臺；互聯網；安全登錄；表述性狀態轉移；復合認證

日益增長的互聯網應用在給人們的生活帶來了諸多便利的同時，也給人們帶來了許多困擾 .首先，由于互聯網應用數量巨大且質量良莠不齊，用戶甄別和選擇優質網站是一個極困難的工作；其次，各種網絡應用彼此分離，各自為政，用戶不得不疲于應對千篇一律的注冊和登錄操作，以及隨之而來的大量網絡賬號的管理和維護 .而與此同時，各種互聯網應用服務也為如何更有效地聚集優質用戶而煩惱.基于此，本文設計和開發了一個開放的互聯網用戶數據中心Hagza開放平臺（Hagza open platform，簡稱HOP），旨在對互聯網的用戶和應用資源進行有效整合.

1 系統總體設計

HOP的最終目標是要建立一個互聯網用戶與應用資源整合平臺，故系統應具備開放性、可擴展性、分布式和安全性等特性.HOP系統主要由開放認證、外部（可選）應用、核心應用、開放API以及平臺管理等5大功能模塊組成，如圖1所示.其中：開放認證、外部應用和核心應用屬于用戶功能模塊；開放API模塊主要面向站內應用、第3方應用開發和第3方合作站點群；平臺管理只面向HOP的管理者.

圖1 HOP系統功能Fig.1 HOP system function

用戶功能模塊是HOP系統的核心部分，未注冊用戶可進入系統首頁進行注冊，也可以通過驗證已有第3方賬號進行快速登陸和注冊.已注冊用戶選擇進入登陸界面，進行通用登陸或第3方登陸.用戶登陸HOP平臺進行各種平臺操作，包括直接使用各項已注冊的OAuth應用，對信任的P3P站點進行登陸同步，以及對OpenID驗證進行認證授權.

2 基于REST風格的系統架構

HOP不僅支持站內應用，更支持第3方應用及第3方合作站點群 .因此，系統設計的首要難點就是跨平臺調用問題.表述性狀態轉移（representational state transfer，簡稱REST）是一種充分利用Web特性的分布式超媒體系統架構風格［1］.它將系統中所有信息抽象成資源，利用統一資源標識符URI定位和識別資源，并使用統一的抽象訪問接口實現異構平臺的互操作.REST的設計風格極大降低了應用組件的耦合度，使得系統設計更加簡潔清晰.HOP使用基于OAuth協議的REST架構實現安全的跨平臺交互，降低系統設計和實現的復雜度，并保證良好的可擴展性.

REST架構風格的核心是資源的URI表示，要求URI具有一定的意義和良好的結構.HOP系統設計的資源 URI及其映射主要包括：（1）核心應用，coreAppName.domain.com；（2）第3方應用，app－Name.app.domain.com；（3）系統 API，Api.domain.com／？method＝Resource.method＆format＝dataType；（4）系統應用代理服務器，www.domain.com／restfulapp？＃appHash；（5）通用認證登錄，www.domain.com／login.php；（6）可用認證方式，www.domain.com／auth／openid／rp｜op（OpenID 認證）和 www.domain.com／auth／p3p／op｜rp（P3P認證）；（7）用戶 URI，Username.domain.com.

HOP系統組件主要包括用戶代理、HOP應用API，HOP服務器、第3方應用API，其互操作機制如圖2所示.用戶通過代理訪問HOP應用；APP向HOP應用API發起認證請求，API服務器將對用戶執行一個標準的OAuth認證過程；在驗證通過后，API服務器攜帶安全的消息簽名向HOP服務器或者第3方的API終點服務器發起數據請求；API服務器驗證消息簽名，返回數據結果.OAuth認證是實現HOP組件互操作的核心，它提供對應用API的認證；同時，HOP也通過對用戶的認證，實現“一賬戶通行”的應用站點間自由穿行，而這個功能由OpenID認證提供.

圖2 HOP組件互操作機制Fig.2 HOP components and their inter－operation

3 開放認證模塊

開放認證模塊作為HOP開放性和可擴展性計劃的一部分，為用戶提供賬號資源的統一管理，并為第3方應用和第3方站點群共享可能的優質用戶資源.HOP的權限控制不僅面向用戶、網站管理員，還面向APP網絡應用，因此，要求HOP相比多數現有網絡應用具有更細粒度的權限控制功能.HOP聯合使用P3P，OpenID和OAuth等3種主流的網絡隱私保護策略協議，來實現用戶賬號登錄、退出的同步及用戶資料的多點共享.

P3P是萬維網聯盟（W3C）公布的一項隱私保護推薦標準［2］.圖3（a）為P3P的認證流程，有如下幾個步驟：（1）用戶訪問P3P依賴方，P3P依賴方嘗試讀取Cookie，如未讀取到有效的Cookie，則引導用戶進入待登陸界面；（2）執行P3P登陸同步，將所有信任的P3P依賴方站點寫入認證Cookie；（3）用戶返回P3P依賴方站點，P3P依賴方再次嘗試讀取Cookie，如讀取成功，則提示用戶登陸成功.

圖3 認證流程Fig.3 Certification process

OpenID是LiveJournal和SixApart開發的一套身份驗證系統［3］.與目前流行的網站帳號系統相比，它不局限于某一個網站或者網站群，可在任意OpenID應用網站中自由穿行.OpenID使用URI作為其在互聯網唯一的身份標識，URI由OpenID的提供方提供.用戶只需將自己的個人信息存儲在OpenID帳號的提供方，便能在任何需要的時候，安全快捷地授權給任何OpenID應用網站使用.

圖3（b）為OpenID的認證流程，有如下幾個步驟：（1）用戶通過代理訪問OpenID依賴方（replying party，RP），代理為其提供OpenID標識；（2）RP對OpenID標識執行自動發現，獲得其提供者（OpenID provider，OP）；（3）作為可選步驟，RP對OP做一個關聯請求，以便在此后的驗證中，使用關聯所獲得的句柄，對消息進行簽名，RP以HTTP重定向引導用戶進入OP的授權頁面；（3）如用戶未在OP通過身份認證，則OP向用戶瀏覽器返回登陸認證界面，否則提示用戶輸入密碼，進行登錄；（4）OP在通過用戶認證之后，引導用戶進入授權提示界面；（5）在獲得用戶授權之后，HOP攜帶認證用戶所授權的用戶數據，引導用戶進入RP的回調頁面；（6）用戶完成在RP的OpenID登錄，進入RP的服務界面，作為可選步驟，RP可再次定向至OP以確認認證結果.

OAuth協議致力于使網站和應用程序能夠在無須用戶透露其認證證書的情況下，通過API訪問某個Web服務的受保護資源［4］.OAuth為API認證提供了一個可自由實現且通用的方法.

圖3（c）為OAuth認證流程，有如下幾個步驟：（1）用戶訪問一個未獲OAuth認證的OAuth應用，OAuth應用以HTTP重定向至HOP OAuth認證系統；（2）若用戶未授權當前請求應用，則HOP OAuth認證系統引導用戶瀏覽器定向至OAuth授權界面；（3）若當前請求應用已獲得用戶授權，則由HOP OAuth認證系統攜帶認證，通過參數authorized＿token引導用戶瀏覽器重定向至OAuth應用的回調頁面（callback URI）；（4）OAuth應用依據authorized＿token和app＿key獲取所需的用戶數據，引導用戶進入應用服務界面.此后，在一個活躍周期里，OAuth應用可使用app＿key，authorized＿token，app＿mac（消息簽名）與HOP進行安全的數據交互.

4 結束語

設計了一個開放、安全和可擴展的互聯網用戶與應用資源整合平臺HOP，基于LAMP（Linux＋Apache＋MySQL＋PHP）平臺開發一個原型系統，并在校園網內進行了小范圍測試.今后工作將進一步擴展HOP站內應用，并將HOP系統在互聯網發布，進行更大范圍的測試和推廣.

［1］FIELDING R T.Architectural styles and the design of network－based software architectures［EB／OL］.［2000－03－16］http：／／www.ics.uci.edu／～fielding／pubs／dissertation／top.htm.

［2］CRANOR L F.P3PWeb隱私［M］.技橋，譯.北京：清華大學出版社，2004.

［3］OpenID group.OpenID authentication 2.0：Final［EB／OL］.［2007－12－6］http：／／openid.net／specs／openid－authentication－2＿0.html.

［4］HAMMER－LAHAV E.The OAuth 1.0protocol［EB／OL］.［2009－09－10］http：／／tools.ietf.org／html／rfc5849.

Design of the Secure Login Platform for Internet User

CHEN Bai－sheng，WU Ke－zhan，YANG Yu－hui
（College of Computer Science and Technology，Huaqiao University，Quanzhou 362021，China）

A Hagza open platform is designed.It presented an open user－centered internet platform to integrate internet resources of users and applications.With the help of the platform，users could easily use various internet applications and effectively manage their network social relationship，meanwhile applications could quickly accumulate potential users.The platform was schemed as RESTful infrastructure in order to reduce its realization complexity and maintain good scalability.It also secured users′privacy and inter－operation of applications by exploiting combined authentication system of P3P，OAuth and OpenID.

Hagza open platform；internet；secure login；representational state transfer；composite certification

陳志賢 英文審校：吳逢鐵）

TP 393

A

1000－5013（2011）06－0638－03

2010－10－21

陳柏生（1984－），男，講師，主要從事圖像處理與模式識別的研究.E－mail：samchen＠hqu.edu.cn.

國務院僑辦科研基金資助項目（10QZR06）