J2EE結合USBKey實現雙因素認證的校園服務器關鍵技術研究

摘 要： 校園服務器的技術發展，要求校園服務器必須具備極佳的安全性，防止其被侵入導致數據丟失或者被破壞。傳統的身份認證存在許多弊端，而雙因素認證是將記憶性密碼和加強防護硬件結合，利用USB Key的不可讀、無法破解、篡改和復制的特點提高認證的強度。研究了基于J2EE平臺與USB Key結合的雙因素認證系統，有效地避免了傳統登錄密碼式的安全防護所帶來的問題，使得校園服務器的安全防護更加牢固。

關鍵詞： J2EE； USB Key； 雙因素認證； 校園服務器

中圖分類號： TN911?34 文獻標識碼： A 文章編號： 1004?373X（2016）11?0095?04

Abstract： With the technology development of campus server， the campus server should have excellent security to prevent data loss or damage due to the intrusion. The traditional identity authentication has a lot of disadvantages， so the dual?factor authentication combines the memory password and strengthened protection hardware. The USB Key is unreadable， and unable to crack， tamper and copy， so the characteristics of USB Key is used to improve the authentication intensity. The dual?factor authentication system based on J2EE platform and USB Key is studied. It can effectively avoid the safety protection problem of traditional log?in password method， and strengthen the security of campus server.

Keywords： J2EE； USB Key； dual?factor authentication； campus server

0 引 言

校園服務器在校園網絡管理中起著重要的作用。作為校園基礎設備，校園服務器的建設有利于學校科教研發、信息管理與外部交流合作等各項工作的開展。由于校園服務器上存儲著學校科研資料、教學資料以及學生個人信息等許多嚴格保密的信息，一旦校園服務器遭到入侵，使得這些信息泄露或者破壞將造成十分嚴重的后果，并且校園服務器的安全狀況與學校各項教學工作的開展關聯性太強，對服務器工作人員的安全技術要求較高。因此對于校園網絡安全問題的解決，應從問題的根本入手，需要不斷提高管理者的安全意識，將安全問題列入設計方案，并且不斷提高安全防護的技術措施，最大限度發揮安全措施的功能。目前，校園服務器的網絡安全技術，從根本上講都不能十分有效地防止校園服務被入侵。

雙因素認證是對傳統的靜態密碼系統的創新。該項技術融入了時間同步技術系統，從事件、密鑰與時間三個維度變量考慮，每次都會生成一個一次性的動態密碼。與傳統的靜態密碼相比，這樣的密碼是動態的，每一次的密碼都是不同的，同時動態密碼卡的密鑰存儲在服務器中是惟一的。在認證過程中，動態密碼的生成首先要依靠服務器與密碼卡中的密鑰，并結合事件與空間兩大參數，然后在同一個計算方程式的計算下產生，兩個密碼是相同的。在每次登錄中，由于時間和事件兩個維度的變量不同，所以任何兩次登錄之間產生的動態密碼都會不一樣。另外，動態密碼是隨機參數計算出來的，根本無法預測，也有效避免傳統的登錄密碼給校園服務器可能帶來的一系列安全問題。在引入雙因素認證方式之前，多數學校采用單因素認證方式，管理學校網絡，但其安全性難以得到保證，不能有效避免因口令欺騙、惡意入侵與人為破壞給學校帶來的經濟損失；因此將雙因素認證技術引入到校園服務器的安全防護中，能有效解決單因素認證方式帶來的安全隱患問題，同時也能防止口令在網絡平臺傳輸過程中被別人監聽，導致信息泄露的問題，更全面地保證了校園服務器的正常運行。

1 雙因素認證

1.1 雙因素認證技術介紹

在計算機行業當中，有三種使用者身份識別與認證方式：一是用戶的主觀記憶，就是用戶記住密鑰的認證內容，我們經常使用的登錄密碼就屬于此類；二是用戶借助特殊的認證和加強機制，這是在記憶的基礎上，再增加一個硬件的防護，人們使用的U盾屬于該類；三是用戶利用客觀存在的惟一特征作為密鑰認證內容，常使用的指紋和虹膜就是最為普遍的認證使用元素。將用戶現實中客觀存在的物體作為客戶自己的密鑰認證內容，這種認證方式的安全性和準確性都很高，而且十分便捷，不需要刻意地去記憶密碼，但是認證硬件的成本很高，無法使用于校園服務器終端的大面積普及使用。考慮到用戶使用的便捷性和服務器安全性，目前，校園普遍接受的身份認證方式主要采用雙因素特征的身份認證系統來開發。該方式有效性與安全性較強，如果將記憶性密碼和加強防護硬件結合，可以利用USB Key的不可讀、無法破解、篡改和復制的特點提高認證的強度；或者將現代生物技術因素與加強防護硬件相結合。從理論上看，這種方式是可行的，但在實際研發過程中受使用環境、技術等相關條件的限制，難以達到預期效果，不利于該種結合方式的普及。因此在雙因素身份認證系統的開發過程中主要將第一與第二要素相互結合，即USB Key與用戶密碼口令相結合。

1.2 雙因素安全認證協議的研發

雙因素認證系統在實際使用過程中，系統的使用者首先應到CA中心申請一個含私密鑰證書的USB Key并將其置于USB Key中，在服務器端，公密鑰存儲在密鑰庫中，在私密鑰和公密鑰之間有對應的關系，該關系存儲在服務器的登錄數據庫中。另外，USB Key中的密碼產生算法必須是經過有關部門審核批準的，在使用USB Key時用戶需要設置自己的PIN，用戶在登錄進行認證時，輸入PIN號，作為調用算法的口令，使密碼運算程序觸發，計算產生一個密碼，并將其發送給服務器。服務器收到該密碼后，利用公密鑰計算，產生一個與USB Key相同的密碼，這樣就完成了登錄認證。如果PIN號輸入錯誤，將無法計算生成密碼，也是無法進行登入認證。允許輸入錯誤的次數是有限的，超過限制就自動鎖死，只能通過服務器才可以解除鎖定。

2 校園服務器雙因素認證系統

隨著Internet的迅速發展，人們從網上獲得越來越多的信息，各式各樣的網絡服務器也伴隨著Internet的發展而迅速成長。對于學校300多臺計算機組成的局域網來說，使用現行Internet上的網絡服務器有很多不便之處。現在大多數學生上網不僅僅局限于聊天、游戲，更多的是想把自己所做的網頁、FLASH動畫、小說、詩歌等作品通過網絡讓別人看到，能欣賞到質量好一點的音樂、電影等。為了實現免費空間的提供、在本地網絡上看電影，聽音樂，校園服務器一般由Web服務器、FTP服務器、流媒體等組成。

2.1 J2EE組件技術

Java 2 Platform， Enterprise Edition簡稱J2EE，通常情況下J2EE平臺上主要含有四層：分別為Backend Enterprise Information System（即企業信息系統層），簡稱EIS層，其在后臺系統上；其次是Server端的兩層，Server?Side Business Logic（即企業營運邏輯層），簡稱EJB層，Server?Side Presentation（即使用者服務呈現層），簡稱Server層；最后是client端的Client?Side Presentation（即使用者界面呈現層），簡稱Client層。

J2EE平臺的優勢在于采用了多層分布的應用模式，功能實現準確靈活，軟件的不同組成部分能在不同的層內執行。同時，平臺上的J2EE Client層還能提供多種Client類別，包含在企業的防火墻外以及防火墻內的Client。Client端可以使用Java applications，Client端還可以結合JSP pages產生動態網頁或者配合電腦瀏覽器中的HTML生成靜態網頁，在Web層的配合下保證了Client處理的順利進行。Web層主要為Client處理呈現問是它所使用的通信協義為HTTP。Client數據的呈現采用HTML over HTTP較為合適，Client數據的交換使用XML over HTTP比較方便，對于呈現問題Client必須自行處理。在J2EE平臺上，與Client配合使用的還有EJB層，該層主要使用RMI?IIOP通信協義呈現運算軟件所指定的企業邏輯以及企業對象的界面，該協議是一種全方位運用協議，其為Client提供了便捷。通過RMI?IIOP通信協義的計算，Client可以直接存取EJB層中的服務。在系統運行的整個過程中，EIS層呈現數據最原始的觀點，隨后Client將實現企業的規劃與數據呈現工作，最終實現了系統功能的有序運行。J2EE體系結構如圖1所示。

2.2 PKCS 11 標準

RSA公司出臺了公開密鑰加密標準（PKCS）來滿足加密安全產品與應用程序之間的交互性這一需求；同時為解決軟件開發者的公開密鑰應用與不同服務器制造商的兼容和交互問題，PKCS系列標準中的PKCS 11標準順勢而生。該類型標準設計了一個通用的編程接口模型——Cryptoki tokens。目前，我國各大服務器生存廠商的服務器產品的PKCS 11接口都符合該公司的PKCS 11標準。

2.3 通用Crypto Ki接口模型的設計與運用。

Crypto Ki接口模型主要用于各種加密設備與應用程式的連接，目前普遍使用在PCMCIA卡、基于智能卡、智能軟盤上。使用Crypto Ki接口能為設備提供與設備細節無關的密碼令牌程式，這些設備在系統中通過大量的槽運行。在密碼設備的操作與執行上，該接口模型主要從設備中單個或多個必須執行密碼操作的程序開始，最后在多個或單個密碼設備上結束，流程簡單快捷。

2.4 硬件USB Key數字證書

在Sun公司發布J2SE 5.0后，建立了PKCS 11與Java的關系，以全新提供者的形式（Sun PKCS 11 Provider）將PKCS 11標準融入到J2SE 5.0中。與其他提供者不同的是該種形式沒有提供PKCS 11標準需要的密碼函數，而是建立了傳統PKCS 11 APIs與JCE（Java Cryptography Extension）APIs，JCA（Java Cryptography Architecture）之間的連接橋梁，方便了Java應用程序對JCE APIs與JCA的調用，利用Sun PKCS 11 Provider將其轉換為PKCS 11的標準函數（轉化需要一定的配置），最后再利用USB Key通信增強操作的安全性。Sun PKCS 11關系圖見圖2。

USB Key技術是新一代身份認證產品，該產品結合了現代智能卡技術、USB技術與密碼學技術，硬件與PIN碼是用戶使用USB Key的必要要素，每一個USB Key都會有相對應的硬件PIN碼保護。在使用過程中，產品用戶只有同時有用戶PIN碼與USB Key才能登入用戶界面，同時在USB Key中還設計了一定量數據存儲空間，主要方便用戶存儲用戶密鑰等保密性較強的數據，并且存儲的用戶密鑰不能導出，避免其他用戶采用復制等方式盜取用戶身份信息或數字證書。隨著網絡技術的進步，現在USB Key還設置有智能卡芯片或CPU，可以實現PKI體系的各種算法，主要用于數據摘要、簽名或數據加密解密，由于USB Key中有內置CPU，所有運算均在USB Key內部進行，確保用戶的密鑰不會出現在使用的機器當中，有效降低了黑客盜取用戶信息的機率，目前USB Key中主要支持3DES，SSF33，RSA等算法。

3 雙因素認證實現

3.1 認證技術

用戶身份認證通常情況下主要有兩種實現方式：一種為采用用戶密鑰認證內容，如口令或密碼實現；另一種則是運用特殊認證加強機制來實現，例如USB Key或指令令牌。而雙因素認證則是將這兩個因素結合起來使用。簡單來說，雙因素身份認證就是通過你所知道再加上你所能擁有的這兩個要素組合到一起才能發揮作用的身份認證系統。

該系統的服務器端硬件采用IBM PC服務器，系統是Windows 2003操作系統，LDAP服務器采用OpenLDAP，數據庫為Oracle 9i并結合J2EE （JBOSS 4.0.5）應用服務器；客戶端硬件設備是聯想PC工作站，工作站內存設置為DDR 2G，USB Key采用大明五洲卡，CPU為3.4 GHz，軟件運用JDK l.5?11。系統安全性主要依賴MD5和RSA算法，因此該系統的簽名使用RSA簽名函數、摘要值為MD5摘要函數。為確保系統信息傳輸的安全性，避免出現回放現象，簽名數據設置為用戶名加時間，回放時間不會同步；為了確保具有實際操作價值，該系統的認證機構是在 USB Key的J2EE雙因素認證技術下設置的，并在某J2EE支撐平臺測試成功，在多個業務的應用系統中得到了應用。

3.2 身份認證過程

基于超混沌理論身份認證協議過程如圖3所示。

（1） 登錄服務器用戶首先輸入用戶PIN號，運行客戶端的USB Key硬件，提取USB Key中存儲的認證信息，觸發運算程序，計算出一個動態密碼；

（2） 用戶向服務器發出認證請求，發送自己的認證用戶名和靜態密碼，USB Key向服務器發送認證信息；

（3） 服務器首先檢查用戶的用戶名和密碼是否合法，不合法，則認證失敗。如果合法，服務器讀取數據庫存儲的公密鑰，利用公密鑰作為初始值計算得到一個密碼，然后再用K密鑰加密得最終的認證密碼；

（4） 比較服務器生產的密碼與USB Key生產的密碼，如果另個密碼相同，則認證成功，如果兩個密碼不同，則認證失敗。

3.3 系統安全性能分析

（1） 登錄用戶在利用用戶名和靜態密碼登錄時，首先與手中的USB Key存儲的信息相結合，然后登錄服務器。在USB Key中存儲的認證信息是不斷更新的，只要登錄成功過一次，服務器會自動更新一次USB Key中的信息，保證其無法復制和破解。

（2） 登錄用戶記住的只是自己的用戶名和密碼，真正的服務器認證信息只存儲在USB Key硬件中。USB Key中的信息調用需要用戶的認證信息，若USB Key硬件丟失，在沒有用戶自己的個人用戶名和密碼的同時，無法調用USB Key的認證信息，也就無法登錄服務器，不會造成對服務器的入侵；若USB Key硬件和用戶的個人認證信息全丟失，由于USB Key的硬件中沒有服務器中的運算參數，也不參與服務器的運算，所以只對用戶個人信息有影響，不會導致服務器被攻擊和破壞。

（3） USB Key是不可復制和破譯的。因為每次產生的口令都是一次性，即本次產生的密碼下次將不再使用，這樣的認證機制確保攻擊者即使得到本次的認證信息，再次登錄時也無法登錄，必須使用新的認證信息。

4 結 語

校園服務器的重要性要求校園服務器必須具備極佳的安全性，防止其被侵入導致數據丟失或者被破壞。J2EE平臺結合USB Key的雙因素認證技術，十分有效地避免了傳統登錄密碼式的安全防護所帶來的問題，使得校園服務器的安全防護更加牢固。另一方面，隨著技術的不斷進步，人們對網絡服務器安全意識的不斷提高，J2EE平臺和USB Key結合的雙因素認證技術會越來越多地得到使用。本文在校園服務器上的實施也可以給未來的應用提供一定的參考價值。

參考文獻

[1] 賈英濤，鄭建德. J2EE平臺雙因素認證的設計與實現[J].廈門大學學報（自然科學版），2007（1）：43?46.

[2] 陶以政，吳志杰，唐定勇，等.基于USB Key的J2EE雙因素認證系統[J].兵工自動化，2009（9）：87?91.

[3] 徐亞東，蔣建國，齊美彬，等.基于單片機的USB安全鑰設計與實現[J].國外電子測量技術，2007，26（9）：66?69.

[4] 李婉婷.基于J2EE的安全中間件的研究與實現[J].計算機工程與設計，2005，26（6）：1548?1550.

[5] 宗華，李建民，萬長林.基于數字證書的Web身份認證機制的研究與實現[J].計算機與現代化，2005（6）：117?119.

[6] 褚新.基于USB Key身份識別在VPN中的研究與實現[J].福建電腦，2009（12）：117?118.

[7] 郭麗，張亞利.基于USBKEY的安全認證網關的設計[J].硅谷，2009（14）：48?49.

[8] 陶以政，吳志杰，定勇.基于J2EE的應用框架技術研究[J].計算機工程與設計，2007，28（2）：826?828.

[9] 劉曉華.J2EE企業級應用開發[M].北京：電子工業出版社，2003.

[10] 北京飛天誠信科技有限公司.飛天ePass系列USB Key身份認證技術[J].信息網絡安全，2004（11）：52.