身份認證技術(shù)在計算機信息安全中的應(yīng)用

王俊姝石蕊

（國家廣播電影電視總局哈爾濱監(jiān)測臺，黑龍江 哈爾濱 150089）

隨著科技的進步，計算機網(wǎng)絡(luò)已經(jīng)廣泛應(yīng)用于企事業(yè)單位中，如何做好企事業(yè)單位中的計算機信息安全是困擾著用戶的難題，因此，身份認證技術(shù)在確保計算機信息安全中起到了重要的作用。

1 身份認證系統(tǒng)簡介

身份認證技術(shù)是在計算機網(wǎng)絡(luò)中確認操作者身份的過程而產(chǎn)生的有效解決方法。 計算機網(wǎng)絡(luò)世界中一切信息包括用戶的身份信息都是用一組特定的數(shù)據(jù)來表示的，計算機只能識別用戶的數(shù)字身份，所有對用戶的授權(quán)也是針對用戶數(shù)字身份的授權(quán)。如何保證以數(shù)字身份進行操作的操作者就是這個數(shù)字身份合法擁有者，也就是說保證操作者的物理身份與數(shù)字身份相對應(yīng)，身份認證技術(shù)就是為了解決這個問題。作為防護網(wǎng)絡(luò)資產(chǎn)的第一道關(guān)口，身份認證有著舉足輕重的作用，對用戶的身份認證基本方法可以分為三種：（1）基于信息秘密的身份認證；（2）基于信任物體的身份認證；（3）基于生物特征的身份認證。

近些年來，企事業(yè)單位的信息化程度進一步提高，伴隨而來的是對于計算機信息安全的擔(dān)憂，而身份認證技術(shù)作為計算機信息安全的大門，起著相當(dāng)重要的作用。因此，在企事業(yè)單位中推進身份認證機制，對計算機信息起到了有效的保護作用。在以往的信息安全防護中，由于各個電腦可能是不同的權(quán)限需要不同的密碼，使用者必須熟記多個賬戶名和密碼并需要重復(fù)登錄才能完成操作，相當(dāng)繁瑣。為了簡化登錄同時提高計算機信息安全防護的能力，可以采用用戶身份認證技術(shù)，通過在企事業(yè)單位建設(shè)的數(shù)字辦公網(wǎng)中加入身份認證技術(shù)，將原有的計算機網(wǎng)絡(luò)資源整合成一套統(tǒng)一完整的系統(tǒng)，從而使用戶身份認證技術(shù)在這一統(tǒng)一的系統(tǒng)簡化登錄、提高效率和信息安全防護水平方面做出貢獻。

2 用戶身份認證技術(shù)在計算機信息安全中的應(yīng)用

目前，計算機及網(wǎng)絡(luò)常用的身份認證方式主要如下：（1）用戶名+密碼的登錄方式，這種方式是最簡單也是最常用的方法；（2）通過IC卡認證的方式；（3）使用動態(tài)口令卡進行身份認證的方式；（4）生物特征認證的方式：（5）USB Key認證認證的方式。以上這些都是身份認證中較常采用的方式。

基于PHP的用戶身份認證將會通過Web Service來使其能夠通過網(wǎng)絡(luò)進行使用，即將原來的各個分散的登錄系統(tǒng)與數(shù)據(jù)庫進行鏈接，使其能夠統(tǒng)一認證、管理和授權(quán)。采用這種身份認證技術(shù)的優(yōu)點如下：（1）基于原有的認證系統(tǒng)進行二次開發(fā)，使其能夠?qū)⒃瓉矸稚⒌墓芾磉M行統(tǒng)一、集中、有效的管理，這種在原來的系統(tǒng)上進行開發(fā)的方式不但能夠大幅降低開發(fā)成本而且在原來的系統(tǒng)進行開發(fā)能夠減少修改原有系統(tǒng)造成的影響。（2）在登陸系統(tǒng)中只需要認證一次，在進行不同的權(quán)限的系統(tǒng)操作時不需用再次登陸。（3）將原先各個分散獨立的系統(tǒng)整合成一個統(tǒng)一的數(shù)據(jù)庫。（4）這種整合后的認證系統(tǒng)在整合性和擴展性方面具有良好的性能，在兼容性方面，能夠?qū)υ械臉I(yè)務(wù)和原有的用戶數(shù)據(jù)庫進行良好的整合，在以后如果需要增加新的功能，只需要將現(xiàn)在的身份認證的集成集中導(dǎo)入即可。（5）在設(shè)計身份認證技術(shù)時，其應(yīng)用設(shè)計靈活，該身份認證系統(tǒng)要能以多種方式加以運用。

3 通過使用PHP作為基礎(chǔ)程序來設(shè)計互聯(lián)網(wǎng)身份認證系統(tǒng)

基于PHP用戶身份認證系統(tǒng)按照保障計算機信息安全的原則，將原有的身份認證系統(tǒng)進行整合，建立起統(tǒng)一的身份認證系統(tǒng)，通過使用PHP技術(shù)來設(shè)計用戶身份認證系統(tǒng)。管理對 Web 頁面和應(yīng)用程序的安全訪問是一個常見問題，管理者希望允許哪些受信任的用戶訪問數(shù)據(jù)，同時防止未經(jīng)授權(quán)的用戶獲得數(shù)據(jù)的訪問權(quán)。大多數(shù)情況下，基于數(shù)據(jù)庫的身份驗證是此類問題的解決方案。

身份驗證系統(tǒng)包含一個訪問控制列表 (ACL)，該列表可列出用戶憑證并將其匹配到指定的系統(tǒng)權(quán)限。憑證通常是一個用戶名/口令對，憑證可以將用戶鏈接到系統(tǒng)權(quán)限。系統(tǒng)權(quán)限允許帳戶訪問或修改數(shù)據(jù)，以及執(zhí)行子系統(tǒng)或子例行程序，帳戶可以是用戶、組或系統(tǒng)。如何在基于 PHP 的 Web 應(yīng)用程序中實現(xiàn)身份驗證、如何設(shè)計和實現(xiàn)身份驗證數(shù)據(jù)庫模型，以及在基于瀏覽器的應(yīng)用程序中計劃和管理用戶交互的過程如下：從Web 頁獲得憑證，并根據(jù) ACL 對其進行驗證。無論瀏覽器是否接受 Cookie，它們都可讓使用者正常工作。基本 HTTP/HTTPS 和摘要 HTTP 方法都針對領(lǐng)域進行驗證（而不使用 Cookie），而會話管理至少需要寫入一個會話 ID Cookie。當(dāng)使用者將會話 ID 作為URL的一部分發(fā)送時，URL重寫會帶來一些安全風(fēng)險，因為某些用戶即時消息會URL發(fā)送給其他人，這樣其他人就可以劫持授權(quán)，以訪問或泄漏機密數(shù)據(jù)。URL 重寫的替代方法是，將會話 ID 置于呈現(xiàn)的 Web 頁面中作為隱藏域，盡管這會帶來某些漏洞，但比將會話附加到 URL的風(fēng)險小。PHP 驗證腳本接收用戶名和口令的名稱/值對，然后腳本將該名稱/值對與 ACL 中存儲的數(shù)據(jù)進行比較。構(gòu)建身份管理數(shù)據(jù)模型可以很簡單，也可以很復(fù)雜，最簡單的模型是一個包含應(yīng)用程序 ACL 的表，更有效的身份驗證解決方案應(yīng)該支持捕獲和挖掘用戶交互，這不同于為單個事件調(diào)用的 Web 頁面列表。較大的模型可讓使用者根據(jù)對模塊的運行時調(diào)用來跟蹤已定義模塊的版本，實現(xiàn)模型的具體細節(jié)視使用者的目標而異。如果 ACL 存儲在數(shù)據(jù)庫中，則意味著最初登錄和后續(xù)連接時需要執(zhí)行不同的身份驗證。最初登錄時，將連接到數(shù)據(jù)庫，并從數(shù)據(jù)庫表中讀取用戶名和加密口令值；然后，將結(jié)果與已提交的明文用戶名和加密口令進行比較；執(zhí)行后續(xù) Web 請求時，將連接到數(shù)據(jù)庫，讀取會話 ID，然后將結(jié)果與已提交的會話 ID 進行比較。

本文就用戶身份認證系統(tǒng)在計算機信息安全中應(yīng)用的必要性進行了闡述，依據(jù)身份認證技術(shù)原理，采用PHP腳本語言自動提供動態(tài)驗證碼為用戶校驗賬號和密碼，進而實現(xiàn)了用戶身份認證技術(shù)在計算機信息安全中的應(yīng)用。

[1]劉建良.淺談網(wǎng)絡(luò)安全身份認證技術(shù)的研究分析[J].數(shù)字技術(shù)與應(yīng)用，2012（11）.