移動計算環境下統一身份認證的智慧化重構

陳王盛

摘要：從智慧校園特征及移動計算快速發展視角出發，簡要分析了當前校園門戶應用中統一身份認證系統存在的一些問題，進而對其進行智慧化升級改造.首先借助智能手機的指紋識別來升級系統的身份識別技術，其次圍繞智能手機對系統的身份認證機制進行重新設計，從而實現系統的智慧化提升.

關鍵詞：智慧校園;移動計算;身份識別;統一身份認證;重構

中圖分類號：TP393.08? 文獻標識碼：A? 文章編號：1673-260X（2019）09-0062-04

當前，信息化校園正逐步向智慧校園邁進.智慧校園的特征是綜合運用云計算、物聯網、大數據、移動互聯等多種新興信息技術，改變師生與學校資源、環境的交互方式，從而實現以人為本的個性化創新服務[1，2，3].作為信息化校園整體應用服務的入口——信息門戶系統的智慧化程度是衡量校園信息化水平的一個重要指標，但從當前門戶系統的支撐應用——統一身份認證來看（以我校為例），其身份識別技術和認證機制自系統投入應用以來長期沒有更新，與信息技術的快速發展現狀嚴重不匹配，難以滿足校園用戶對智慧化服務的迫切需求.

另一方面，近幾年以智能手機為代表的移動計算的快速發展正不斷改變校園用戶原有的以PC端為核心的行為習慣，信息化校園的應用與服務也在不斷拓展或遷移到移動智能終端上.在這樣的背景下，對統一身份認證進行智慧化改造可以說是勢在必行.

1 身份識別技術的升級

身份識別技術是以特定信息來鑒別特定用戶實體的技術，可分為兩大類，一類是基于非生物特征信息（基于物品或私密知識）的識別技術，包括物理密鑰和數字密鑰.物理密鑰包括智能卡[4，5]、USBKEY[6，7]和身份證等，數字密鑰則包括字符密碼（包括字符口令、短信驗證碼等）與圖形密碼（包括條形碼、二維碼等）等.物理密鑰的優點是無需記憶、攜帶方便，缺點是制作設備復雜、容易丟失或損壞，數字密鑰的優缺點則正好與之相反，但是，二者有個共同的缺點是容易被仿冒，安全性不高.另一類是基于用戶生物特征信息的識別技術[8，9]，既有靜態的也有動態的，靜態信息可以采集自人的指紋[10，11]、臉[12，13]、虹膜[14，15]等，動態信息可以采集人的語音[16，17]和手勢[18，19]等.生物特征信息如指紋、人臉、虹膜這三種的優點是方便易得、仿冒困難，相應的身份識別技術安全性較高，而語音和手勢這兩種動態信息由于自身的外顯特性很難被安全利用.另外，一般來說生物特征身份識別技術相對于非生物特征技術對計算資源的需求通常會更多一些.

衡量一種身份識別技術的優劣既要看其識別率高低，還要考慮其實施的難易程度以及安全性如何.根據文獻[4-7，10-19]相關數據及實際應用情況，可以總結出幾種身份識別技術的主要特點，列于表1.

目前統一身份認證的身份識別技術（以我校為例）采用的是以用戶非生物特征信息為主的識別技術，主要有用戶賬號和密碼、手機號和短信驗證碼兩種.雖然這類技術識別準確、容易實現，但是缺點不少.首先，從用戶的角度來看，賬號密碼需要用戶主動記憶和輸入，非常容易記錯、輸錯;從運維人員的角度來看，賬號密碼遺忘等簡單問題也要耗費人力物力來處理，資源并沒有得到高效利用.其次，短信驗證碼方式雖不用記憶，但仍然需要用戶輸入，而且增加了一筆額外的通信費用，長期來看并不經濟.還有，這兩種身份識別技術的安全性也不高，很容易被竊取和利用.這些問題非常容易給廣大校園用戶帶來不良體驗.

為了解決統一身份認證現有身份識別技術的諸多不足，有必要對其進行升級更新，以構建更為人性化的身份認證服務.根據表1可以為統一身份認證選擇出更為適用的身份識別技術，容易看出，能夠兼顧效率和安全的是基于生物特征的身份識別技術，這其中又以指紋識別技術為最優.與其他生物識別技術相比，指紋識別所產生的數據量更小，其所需的存儲空間和計算資源占用都很小，所以時延小、效率高.其應用特點是完全不會給用戶增加記憶和輸入負擔，方便快捷，且出錯的可能性極小，唯一的缺點就是需要配備專門的指紋識別裝置.

顯然，單獨為一個身份認證應用而給所有用戶購置指紋識別裝備并不可行，而智能手機的出現逐漸打破了設備方面的僵局.不過智能手機在多大程度上能滿足身份認證對指紋識別的需求呢？這可以通過調查分析來加以確認.

利用“手機高級搜索-ZOL中關村在線”搜索工具，勾選相應條件，可以統計出從2014年起已上市的具備指紋識別功能的智能手機數量，統計結果如表2所列（因4G通信牌照是在2013年12月份才發放，故將統計的起始時間定在2014年，而表中的價格是搜索工具提供的參考報價）.

從表2的統計結果容易看出，2015年以來，具備指紋識別功能的智能手機不僅數量龐大，價格也越來越親民.按照國內居民2～3年的換機周期來推論，目前在用的智能手機幾乎均具備指紋識別功能，完全能夠滿足系統的使用需求.這樣的解決方案既不用給建設者及用戶增加額外的成本負擔，又非常契合當今用戶大量使用移動端的行為習慣.

因此，選擇指紋識別技術對統一身份認證應用進行重構升級在技術和設備上都有較大優勢.

2 身份認證機制的重構

當前信息化校園的門戶應用因終端的多樣化產生了以智能手機為代表的多樣化的移動計算客戶端應用，但總體的身份認證機制并沒有什么變化.根據文獻[20，21，22，23]描述及實際應用情況，現有以用戶名和密碼為主的身份認證機制主要包括以下三個信息交互過程（參看圖1）：

（1）發送身份認證請求：在能夠正常使用門戶集成的各項應用之前，用戶要先通過PC、手機等各終端的門戶應用客戶端統一身份認證界面手工輸入并提交相應的非生物特征身份信息（如用戶名和密碼、手機號和短信驗證碼等）至Web服務器，由此發出身份認證請求;

（2）身份信息驗證及響應：Web服務器接收到客戶端發來的請求信息后，立即將認證消息轉發給應用服務器，通過應用服務器將用戶提交的身份信息與數據庫服務器中存放的相應身份信息進行比對，得出用戶身份合法與否的結果，再由應用服務器和Web服務器生成響應頁面返回給相應的門戶應用客戶端;

（3）客戶端顯示用戶身份認證結果頁面：進入門戶或者提示錯誤信息.

身份認證機制的交互過程描述起來并不復雜，然而對用戶來說，同一個身份在不同終端應用中需要重復輸入并提交相同的身份信息，也就是說，現有的身份認證機制無法處理多終端用戶登錄門戶應用時的協同認證問題，效率低下.

前文已經論證身份識別升級利用的是智能手機的指紋識別技術，那么身份認證機制就應該緊密圍繞智能手機終端來重新設計.

以智能手機端為核心的多終端協同身份認證機制可以這樣來設計：

（1）首先由手機客戶端發起身份認證，即引導用戶在登錄門戶應用時優先采用手機端的指紋識別方式進行身份驗證，認證響應頁面由服務端返回手機客戶端進行顯示;

（2）其次，應遵循高效和安全的原則，采用某種方式來取代用戶名和密碼對使用其它終端登錄門戶應用的用戶進行快速身份認證，各終端的認證響應頁面由服務端返回各認證客戶端以便顯示.

要將這樣的設計變為現實需要解決兩個關鍵問題，一是如何將用戶由傳統的PC端登錄引導到手機端優先，二是采用什么認證方式來實現多終端協同的機制.

解決第一個問題需要重新設計各終端的門戶應用身份認證組件及頁面.首先，在移動端的身份認證頁面增加一個指紋識別身份認證組件，該組件布局在所有認證組件的最前方，這樣，登錄用戶最先面對的就是指紋認證方式，以實現自然引導，保留其他的身份認證方式可選可用，但布局靠后.其次，在其他終端的身份認證頁面以非常顯眼的方式提示用戶應優先從手機端登錄認證，但不做強制要求，這些終端仍然保留其他的身份認證方式可選可用.這些調整對用戶來說只是使用形式上的區別，所以不會讓用戶產生抵觸情緒.

第二個問題的解決方法可以參考時下十分流行的移動端掃描二維碼（以下簡稱掃碼）方式.眾所周知，配置了攝像頭的智能手機已經通過掃碼方式實現了很多功能應用，無論是打開網頁、下載軟件還是移動支付等，均極為方便快捷，掃碼方式也在很大程度上取代了傳統的手工輸入的信息獲取方式.具體實現方式是：首先，在智能手機的門戶應用客戶端中增加二維碼識別功能組件;其次，在其他終端客戶端身份認證頁面中增加二維碼展示功能組件;再次，在統一身份認證應用服務端增加身份認證二維碼生成的功能組件.

增加了相應的功能組件后，所實現的多終端協同身份認證機制的交互過程為（參看圖2）：

（1）手機客戶端應用顯示指紋優先的身份認證頁面，其他終端客戶端則展示由服務端生成的二維碼身份認證頁面，用戶首先被引導至手機端提交指紋;

（2）手機客戶端提交指紋身份認證請求;

（3）身份認證服務端對接收到的指紋身份信息進行驗證;

（4）認證結果響應頁面由服務端返回對應的手機客戶端以便顯示;

（5）手機客戶端身份認證成功后（指紋等任何身份認證方式），通過它掃描其他終端身份認證應用所展示的二維碼;

（6）手機客戶端代替其他終端向服務端提交二維碼身份認證請求;

（7）身份認證服務端對接收到的二維碼身份認證信息進行驗證;

（8）認證結果響應頁面由服務端返回相應的其他終端以便顯示;

（9、10）當指紋身份認證失效時，用戶可通過其他方式進行身份認證.

從上述的交互機制可以看出，在新的身份認證機制下，包括手機端的指紋輸入，用戶的所有操作都非常簡單且不容易出錯，真正實現了一次輸入、多終端協同的最優效果.重構后的身份認證充分借助了移動智能終端的先進計算能力，應用指紋識別及掃碼技術，能夠在多終端環境下實現安全高效的協同身份認證，使認證服務更為人性化、智慧化.

但是應該看到，二維碼身份認證需要智能手機終端配備攝像頭，可行性如何同樣需要進行調查確認.再次利用“手機高級搜索-ZOL中關村在線”搜索工具進行篩選，將同時具備指紋識別功能和攝像頭的智能手機數量做一個調查統計，可以得到表3的結果（表中的價格是搜索工具提供的參考報價）.

根據表3的統計結果，再將表2和表3做個比較，分析后容易得出結論，具備相應功能配置的智能手機是一種非常成熟普及的移動計算產品，完全能夠滿足新的身份認證機制的應用需求.

3 用戶指紋數據的處理

新的統一身份認證采用的是指紋識別身份驗證方式，但是原有系統數據庫中并沒有留存用戶這方面的信息，故必須要在工程實施中同步做好收集用戶指紋信息的基礎工作，并構建高效安全的用戶指紋數據庫.

項目建設過程中可以這樣來做：

（1）首先在原有的身份認證系統中增加采集用戶指紋數據的組件，布局上可以放置在認證系統界面更不顯眼的地方;

（2）其次，無論新老用戶，在其成功登錄門戶應用時，認證系統立即自動彈出指紋采集組件界面（采集組件可手動關閉并可設置不再自動彈出，并進行二次身份確認，比如可以通過短信驗證碼方式），提示需要采集用戶指紋信息以便進行后續的身份認證，從而引導用戶積極配合進行指紋信息的采集和留存工作;

（3）最后，統一身份認證系統對用戶提交的指紋數據經過標準化和加密處理后再保存到系統數據庫中.

4 結論

綜上，本文對在移動計算環境下如何實現信息化校園門戶應用——統一身份認證系統的智慧化提升進行了充分的分析、設計和討論，證明系統利用智能手機不僅可以實現身份識別技術的升級，還可以實現身份認證的多終端協同，使重構后的系統可以提供更為人性化的服務，更為符合智慧校園的特征要求.

5 討論

根據有關文獻報道，智能手機的指紋識別若使用不當仍然存在一定的安全隱患的[24，25，26]，原因在于用戶的智能手機和指紋可能被其他人所掌握和非法利用.不過在一般情況下，由于用戶都會將智能手機隨身攜帶，被非法利用的機會非常少，所以在這方面不會產生太大的問題.盡管如此，智慧校園的建設者和使用者仍然要遵循相關的安全規范利用.

另外，在收集處理用戶的指紋信息時需遵照相應的標準，比如公安部的指紋數據標準[27]，以滿足智慧校園的標準化要求.還可以向公安部門遞交認證申請[28]，以便充分利用公安部門已有的標準化公民指紋數據庫，系統更為精簡.

——————————

參考文獻：

〔1〕李有增，周全，釗劍.關于高校智慧校園建設的若干思考[J].中國電化教育，2018（01）：112-117.

〔2〕于長虹，王運武，馬武.智慧校園的智慧性設計研究[J].中國電化教育，2014（09）：7-12.

〔3〕胡欽太，鄭凱，林南暉.教育信息化的發展轉型：從“數字校園”到“智慧校園”[J].中國電化教育，2014（01）：35-39.

〔4〕趙森，甘慶晴，王曉明，余芳.多云環境下基于智能卡的認證方案[J].通信學報，2018，39（04）：131-138.

〔5〕V.M.Cordonnier，于增貴.智能卡：現在和未來的應用與技術[J].通信保密，1993（04）：44-52.

〔6〕王飛龍，尹青，郭玉東，莊寬.基于USBKey的身份認證系統設計與實現[J].信息工程大學學報，2016，17（01）：65-70.

〔7〕徐遠航.USBKey身份認證產品的產生與發展[J].計算機安全，2004（08）：44-45.

〔8〕陳亞瑞.智能計算與生物識別技術研究[J].天津科技大學學報，2015，30（04）：78.

〔9〕張敏貴，周德龍，潘泉，張洪才，張紹武.生物特征識別及研究現狀[J].生物物理學報，2002（02）：156-162.

〔10〕郭佳穎，解謙，陳詩洋.移動智能終端指紋識別率和識別處理時延測試方法[J].移動通信，2018，42（6）：1-6.

〔11〕顧陳磊，劉宇航，聶澤東，李景振，王磊.指紋識別技術發展現狀[J].中國生物醫學工程學報，2017，36（04）：470-482.

〔12〕劉萬軍，邴曉環，姜文濤，張晟翀，廣義并行2維復判別分析的人臉識別[J].中國圖象圖形學報，2018，23（9）：1359-1370.

〔13〕王金平.基于深度卷積稀疏自編碼分層網絡的人臉識別技術[J].太原理工大學學報，2018，49（05）：765-770.

〔14〕柯呈通，廖桂華.基于虹膜識別技術的身份驗證模型[J].計算機時代，2016（10）：15-17+21.

〔15〕程宇奇，葛微，陳彥平.虹膜身份識別技術[J].中國光學與應用光學，2009，2（04）：296-303.

〔16〕樊海花，穆春陽，馬行.基于多尺度熵和遺傳算法改進的語音識別技術[J].現代電子技術，2019，42（06）：126-131.

〔17〕曹晶晶，許潔萍，邵聖淇.多噪音環境下的語音識別技術研究[J/OL].計算機應用：1-5[2019-04-18].http：//kns.cnki.net/kcms/detail/51.1307.TP.20180312.1105.004.html.

〔18〕張哲，孫瑾，楊劉濤.融合多層卷積特征的雙視點手勢識別技術研究[J].小型微型計算機系統，2019，40（03）：646-650.

〔19〕熊俊濤，劉梓健，孫寶霞，俞守華，陳建國.基于視覺技術的手勢跟蹤與動作識別算法[J].計算機與現代化，2014（07）：75-79.

〔20〕胡建鵬.基于Portal的統一身份認證與系統集成研究[J].計算機工程與科學，2010，32（12）：30-33.

〔21〕馬榮飛.統一身份認證系統的研究與實現[J].計算機工程與科學，2009，31（02）：145-149.

〔22〕李小雪，吳中福，鐘將，李國柱.數字化校園中統一身份認證系統研究[J].計算機應用，2008（05）：1146-1148+1151.

〔23〕吳曉斌，張月琳.基于LDAP的校園網統一身份認證系統設計[J].華中科技大學學報（自然科學版），2003（S1）：332-334.

〔24〕溫婧.橘子皮能解指紋識別鎖？專家：不要給手機貼指紋貼[J].廣西質量監督導報，2018（02）：14-15.

〔25〕本刊綜合.手機指紋識別安全引爭議[J].發明與創新（A），2013（11）：17-19.

〔26〕鄭子榆.手機指紋識別技術安全嗎？[N].科技日報，2013-09-30（004）.

〔27〕張睿，李法杰.公安標準指紋識別技術在銀行業的兼容性應用[J].電子世界，2018（09）：199.

〔28〕陳曉紅.公安部將對指紋自動識別系統實施認證[J].認證技術，2011（07）：26.