基于強身份認證的網絡應用單點登錄系統研究

摘 要：隨著我國計算機網絡的普及與發展，網絡信息安全問題也得到了社會各界的高度重視。網絡攻擊者通過多種途徑竊取網絡信息，給網絡信息的安全造成巨大威脅。因此，加大網絡信息安全保護力度刻不容緩。本文所介紹的方法是一種通過USB設備存儲加密算法和密鑰文件對用戶進行身份認證，從而實現自動登錄的單點登錄系統，通過對該系統的實現來為今后網絡信息安全的保證提供一定的參考依據。

關鍵詞：強身份認證；網絡應用；單點登錄

本文提出了一種安全、高效的自動單點登錄系統，利用密碼技術和身份認證技術對網絡信息進行保護，以期為今后網絡信息的安全提供一定的技術保障。

1 密碼技術

在信息安全保障系統中，密碼技術處于核心位置，是整個系統中至關重要的一部分。就當前信息安全系統中的密碼技術來看，主要包括兩大體制，即對稱密碼體制和非對稱密碼體制。其中，前者主要采取的是單個密鑰來實現對數據的加密和解密，具有計算量小和效率高等優點，適用于私人文件加密；而后者則采用取兩個密鑰，只有將二者配合使用，才能夠實現數據的加密和解密。由于后者具有不對稱性，因此，比較適用于分布式系統中的數據加密。

通常情況下，為了能夠更好的將這兩種體制的優點發揮出來，在系統的設計中，會將這兩種體制混合使用。在本文介紹的單點登錄系統的設計中，主要應用了一次一密密碼體制下的MD5_HMAC加密算法，這種加密算法具有運算簡單、效率高的特點，而且隨機串只能夠用一次。因此，即使攻擊者成功竊取了隨機串，那么也無法對密文進行破解。此外，由于該算法沒有已知的明文或密文作為參考，因此，即使窮盡法也無法猜測隨機串的準確性，為網絡信息安全提供了嚴密的保護。

2 身份認證技術

身份認證技術的主要任務是對意圖訪問的實體身份進行認證，通過認證程序查看意圖訪問者的身份是否與宣稱身份相一致，并在此基礎上實現對不同訪客的控制。身份認證技術主要分為兩種類型，即實體認證和數據起源認證。本系統所研究的主要是實體認證，在實體認證中，實體認證由參與某次會話或通信連接的一方提交，其身份一旦通過系統認證，便可以進行訪問。本文所介紹的通過USB設備存儲加密算法和密鑰文件對用戶進行身份認證的系統，其主要包括兩個模塊，即用戶注冊和用戶認證。

無論是哪一種類型的用戶，在登錄認證服務器進行認證之前，首先都要進行注冊，在注冊環節填寫個人信息。該系統對于此環節的設計任務主要包括三個部分：首先是初始化USB令牌，其次是登記注冊數據庫，最后是登記二級登錄憑證數據庫。通過對以上三項任務的實現，用戶便可順利完成用戶注冊。在完成注冊之后，用戶便可登錄系統進行訪問，用戶認證的流程圖如圖1所示：

3 網絡應用單點登錄

⑴單點登錄方案分析。雖然單點登錄系統已經被提出，但與其相關的方案卻并沒有形成一個統一的標準，本文主要綜合了兩種方案，第一種是Broker-based單點登錄方案，在該方案中設計了一個完成集中認證、用戶賬號管理的認證服務器、統一的用戶數據庫Broker為用戶提供能夠被用作用戶進一步訪問請求的電子身份憑證；第二種是Agent-based單點登錄方案，該方案中設計了一個代理程度，該程序會自動對不同應用進行身份認證，自動為用戶完成登錄過程。

⑵BrokerAgent-based單點登錄方案的實現。從圖中我們可以看出，BrokerAgent-based單點登錄方案的實現主要涉及了4大模塊，分別是認證服務器、注冊數據庫和二級登錄憑證數據庫、USB令牌和單點登錄客戶端。其中，認證服務器模塊主要用于認證的提供；注冊數據庫和二級登錄憑證數據庫模塊主要用于對用戶信息的存儲；USB令牌模塊主要負責二次登錄階段解密從二級登錄憑證數據庫中取得的用戶私鑰加密處理過的用戶名/密碼對；而單點登錄客戶端模塊則主要為用戶提供進行訪問地址的途徑，相當于方案中的Agent部分。

綜上所述，隨著計算機網絡在我國社會發展中的廣泛應用，網絡信息的安全也會面臨越來越多的威脅。本文所介紹的基于強身份認證的網絡應用單點登錄系統利用密碼技術、身份認證技術來對網絡信息進行加密，不僅性能穩定，而且安全性良好?？梢灶A見，在未來的時間里，該系統必然會有較好的前景。

[參考文獻]

[1]李馥娟.基于身份認證技術的系統數據安全保障方案探討[J].《信息網絡安全》，2009（06）.

[2]丁德勝，許建真，沈麗珍，余莉莉.基于強身份認證的網絡應用單點登錄系統研究[J].《計算機工程》，2006（07）.

[3]黃琛，李忠獻，楊義先，徐國勝.一種新的兼容多種身份認證方式的Web單點登錄方案[J].《北京郵電大學學報》，2006（05）.

[4]張穎江，鄭秋華，李臘元.單次登錄技術分析及集中身份認證平臺設計[J].《武漢理工大學學報（交通科學與工程版）》，2004（02）.