實(shí)名制網(wǎng)絡(luò)中動(dòng)態(tài)認(rèn)證體系的研究

郭劍鋒 郝玉軍

摘要：本文基于動(dòng)態(tài)認(rèn)證技術(shù)、手機(jī)實(shí)名制及移動(dòng)終端的特性，提出了一套動(dòng)態(tài)的認(rèn)證體系，可屏蔽網(wǎng)絡(luò)的接入模式、接入方式等因素，實(shí)現(xiàn)對(duì)訪問者的身份認(rèn)證，重點(diǎn)解決網(wǎng)站類應(yīng)用在開放式訪問體系下被惡意攻擊的隱患，使得網(wǎng)站類應(yīng)用的訪問可控，同時(shí)也可推動(dòng)手機(jī)實(shí)名制的進(jìn)一步發(fā)展。

關(guān)鍵詞：動(dòng)態(tài)認(rèn)證體系;手機(jī)實(shí)名制;接入模式

現(xiàn)狀描述

隨著網(wǎng)絡(luò)時(shí)代的到來，網(wǎng)絡(luò)化已經(jīng)成為企業(yè)信息化發(fā)展的大趨勢(shì)。人們?cè)谙硎苄畔⒒瘞淼谋姸嗪锰幍耐瑫r(shí)，也面臨著網(wǎng)絡(luò)安全問題帶來的挑戰(zhàn)，特別是開放式訪問的網(wǎng)站系統(tǒng)、移動(dòng)終端的大量使用，使得解決網(wǎng)絡(luò)信息安全問題成為當(dāng)務(wù)之急。為了解決這些安全問題，各種安全機(jī)制、策略和工具被研究和應(yīng)用，但很多工具的使用都只提供了部分的安全功能，如防火墻僅僅提供了邊界的防護(hù)及地址轉(zhuǎn)換的功能、IDS僅僅負(fù)責(zé)入侵的監(jiān)測(cè)和審計(jì)等、WAF僅僅針對(duì)web的訪問進(jìn)行深度檢查和防護(hù)，而數(shù)字簽名等系統(tǒng)僅僅是對(duì)訪問的雙方進(jìn)行身份認(rèn)證，但都無法實(shí)現(xiàn)實(shí)名制的訪問，也即對(duì)攻擊的攻擊源的識(shí)別、身份的確認(rèn)、預(yù)警等無法實(shí)現(xiàn)，因此造成了很多的系統(tǒng)被肆無忌憚地惡意攻擊。

這些安全隱患主要可以歸結(jié)為以下幾點(diǎn)：①每一種安全機(jī)制都有一定的應(yīng)用范圍和應(yīng)用環(huán)境;②安全工具的使用受到人為因素的影響;③系統(tǒng)的后門是傳統(tǒng)安全工具難以考慮到的地方;④黑客的攻擊手段在不斷地更新;⑤無法實(shí)名制進(jìn)行審計(jì)、告警和跟蹤。

動(dòng)態(tài)認(rèn)證的描述

很多金融系統(tǒng)提供的個(gè)人銀行等功能，在認(rèn)證中很普遍地使用了動(dòng)態(tài)的認(rèn)證系統(tǒng)，借助目前移動(dòng)終端的大量使用，采用了手機(jī)的動(dòng)態(tài)認(rèn)證碼的方式，不僅陜捷、方便，同時(shí)在系統(tǒng)內(nèi)部將手機(jī)與系統(tǒng)賬戶綁定，提供了安全且有時(shí)效性的動(dòng)態(tài)安全認(rèn)證。但在目前的重要網(wǎng)站類應(yīng)用中，僅僅采用金融系統(tǒng)中使用的動(dòng)態(tài)認(rèn)證方式還無法完全滿足安全的訪問要求，網(wǎng)站類訪問一般不會(huì)預(yù)先綁定相應(yīng)的被訪問者的手機(jī)號(hào)碼，而手機(jī)號(hào)碼的實(shí)名制也剛剛開展，還有很多的手機(jī)號(hào)碼不是實(shí)名制存在。關(guān)鍵的問題是，在手機(jī)的短信認(rèn)證過程中還會(huì)產(chǎn)生相應(yīng)的信息費(fèi)，如果訪問量很大，信息費(fèi)就會(huì)很高，因此無法大規(guī)模應(yīng)用。

而如果將“手機(jī)實(shí)名制+即時(shí)所在地+IP地址歸屬地”聯(lián)合認(rèn)證，通過手機(jī)的實(shí)名制綁定訪問者的身份，通過即時(shí)所在地的檢查進(jìn)行所在地和IP地址的聯(lián)合檢查，確定訪問者的所屬地，則能為系統(tǒng)的審計(jì)和被冒用的檢查提供相應(yīng)的信息。手機(jī)實(shí)名制需要通過相應(yīng)的手機(jī)實(shí)名制系統(tǒng)進(jìn)行登記，將所有的訪問者通過實(shí)名制進(jìn)行管理，對(duì)PC端進(jìn)行實(shí)名制的綁定，同時(shí)也對(duì)移動(dòng)終端進(jìn)行綁定;即時(shí)所在地的查詢就是通過綁定的手機(jī)對(duì)訪問者進(jìn)行即時(shí)所在地的檢查，同時(shí)檢查被訪問的IP所在地同即時(shí)所在地是否一致，最后基本確定誰在哪里進(jìn)行的訪問，這對(duì)很多業(yè)務(wù)系統(tǒng)的使用，如電子政務(wù)的網(wǎng)上辦事大廳、民心網(wǎng)的網(wǎng)絡(luò)投訴受理、BBS系統(tǒng)的網(wǎng)絡(luò)跟帖的身份認(rèn)證等都有相當(dāng)大的幫助。

采用動(dòng)態(tài)認(rèn)證體系

通過上面的功能要求，可采用下述的動(dòng)態(tài)認(rèn)證體系進(jìn)行開放式網(wǎng)絡(luò)的訪問認(rèn)證。目前，網(wǎng)絡(luò)上的各種網(wǎng)站類的訪問很多都是無限制的、完全開放的。開放的訪問隨之而來的是安全問題突出，應(yīng)用的訪問不可控，因此有必要改變現(xiàn)在的完全開放式訪問模式，增加相應(yīng)的控制和認(rèn)證層面，實(shí)現(xiàn)訪問安全可控。系統(tǒng)架構(gòu)如圖1所示。

增加相應(yīng)的控制層面，實(shí)現(xiàn)安全策略中心的制訂、用戶接入的實(shí)名制認(rèn)證等功能，使得原來開放式的訪問通過控制層面進(jìn)行授權(quán)，那就是什么地區(qū)的用戶、什么類型的用戶可以訪問什么樣的權(quán)限。

1.認(rèn)證流程

要實(shí)現(xiàn)上述三層的系統(tǒng)架構(gòu)，重點(diǎn)需要建設(shè)相應(yīng)的控制層面，制訂統(tǒng)一的訪問接口。認(rèn)證的過程包括客戶端到服務(wù)器的認(rèn)證、服務(wù)器到手機(jī)實(shí)名制中心的認(rèn)證以及手機(jī)實(shí)名制與客戶端的手機(jī)的互動(dòng)過程（如圖2）。

用戶通過終端訪問某個(gè)網(wǎng)站類應(yīng)用，在第一次訪問時(shí)服務(wù)器會(huì)給用戶推送一個(gè)認(rèn)證的頁(yè)面，需要用戶輸入自己的手機(jī)號(hào)碼及當(dāng)前所在地（此部分可以作為選擇項(xiàng)），發(fā)送給服務(wù)器，服務(wù)器根據(jù)用戶的手機(jī)號(hào)到手機(jī)實(shí)名制中心進(jìn)行手機(jī)的實(shí)名制信息查詢，同時(shí)對(duì)用戶當(dāng)前的位置信息進(jìn)行查詢。如果該手機(jī)未到實(shí)名制中心登記，那么首先需要登記成功才能進(jìn)一步操作，如果已經(jīng)登記了，那么手機(jī)實(shí)名制中心將用戶的當(dāng)前所在地信息返回給服務(wù)器，服務(wù)器應(yīng)用該信息，比對(duì)目前用戶的上網(wǎng)IP是不是在該用戶當(dāng)前的所在地。如果比對(duì)不成功提示重新正確輸入相應(yīng)的信息，如果三次都錯(cuò)誤，那么將該用戶列入可疑名單，同時(shí)向告警中心發(fā)送相應(yīng)的告警;如果比對(duì)成功，服務(wù)器向手機(jī)實(shí)名制中心發(fā)送相應(yīng)的驗(yàn)證碼，手機(jī)實(shí)名制中心將向相應(yīng)的用戶推送相應(yīng)的驗(yàn)證碼，用戶最后輸入該驗(yàn)證碼實(shí)現(xiàn)網(wǎng)絡(luò)的正常訪問。在手機(jī)實(shí)名制中心和手機(jī)用戶間，需要手機(jī)上安裝相應(yīng)的手機(jī)實(shí)名制中心的APP，實(shí)現(xiàn)用戶跨區(qū)變動(dòng)實(shí)時(shí)更新手機(jī)實(shí)名制中心的位置信息，也負(fù)責(zé)接收手機(jī)實(shí)名制中心下發(fā)的相關(guān)認(rèn)證信息等。

2.相關(guān)說明

用戶訪問某個(gè)網(wǎng)站類應(yīng)用時(shí)，首先發(fā)起實(shí)名制的認(rèn)證，如果終端的IP不跨區(qū)變化，那么不需要重新進(jìn)行認(rèn)證，直至客戶端退出該網(wǎng)站應(yīng)用的訪問頁(yè)面。手機(jī)實(shí)名制中心為用戶免費(fèi)提供相應(yīng)的手機(jī)客戶端軟件，同時(shí)，手機(jī)安裝相應(yīng)的軟件。在位置發(fā)生變化時(shí)，將相應(yīng)的手機(jī)號(hào)碼、位置信息發(fā)送給手機(jī)實(shí)名制中心，手機(jī)實(shí)名制中心也提供給相應(yīng)的API接口，對(duì)每個(gè)網(wǎng)站類應(yīng)用的ICP進(jìn)行唯一性的認(rèn)證，確保每個(gè)ICP都是唯一的接人號(hào)碼，且可實(shí)施強(qiáng)制的認(rèn)證過程。

動(dòng)態(tài)認(rèn)證的相關(guān)問題研究

1.優(yōu)點(diǎn)

①可通過手機(jī)實(shí)名制實(shí)現(xiàn)Web訪問的實(shí)名制，便于審計(jì)、預(yù)警，規(guī)范網(wǎng)絡(luò)訪問行為，特別是針對(duì)可上傳的各類業(yè)務(wù)，都可以起到預(yù)警的功能，盡可能地避免虛假、信息的發(fā)布;

②可進(jìn)行屬地化管理，如某個(gè)地市的政府部門的網(wǎng)上辦事大廳的在線業(yè)務(wù)，就可以限制只能是本地的用戶訪問、業(yè)務(wù)辦理，對(duì)異地的接入限定相應(yīng)的訪問權(quán)限，避免網(wǎng)絡(luò)的惡意攻擊;

③可以對(duì)國(guó)外用戶的一些訪問進(jìn)行限制，如沒有國(guó)內(nèi)手機(jī)實(shí)名制的用戶，可限定只能訪問最簡(jiǎn)單的靜態(tài)網(wǎng)頁(yè)，無法實(shí)現(xiàn)數(shù)據(jù)的上傳，避免被國(guó)外的組織惡意攻擊、被利用等;

④可進(jìn)一步完善手機(jī)實(shí)名制的體系，為更多的業(yè)務(wù)提供實(shí)名制的驗(yàn)證功能;

⑤建立手機(jī)實(shí)名制認(rèn)證系統(tǒng)，可以一次認(rèn)證多系統(tǒng)接入，避免重復(fù)的認(rèn)證;

⑥通過智能手機(jī)APP的互動(dòng)，避免大量產(chǎn)生短信信息費(fèi)的問題;

⑦可以解決目前大量免費(fèi)的無認(rèn)證接入終端的認(rèn)證問題，如大量WIFI的無限制接入，屏蔽了接入的模式等;

⑧實(shí)名制訪問后，在訪問初期的頁(yè)面就可以進(jìn)行提示，起到了預(yù)警、震懾的作用;

⑨對(duì)掃描類攻擊、網(wǎng)絡(luò)爬蟲的使用等都會(huì)有相應(yīng)的限制，可有效地減少被網(wǎng)絡(luò)上泛濫的各種免費(fèi)的滲透攻擊工具的攻擊。

針對(duì)移動(dòng)終端類的訪問，在手機(jī)端的手機(jī)實(shí)名制中心的APP可以實(shí)現(xiàn)手機(jī)號(hào)碼及當(dāng)前所屬的檢查，這樣可以不進(jìn)行相應(yīng)的認(rèn)證。

2.不足及相應(yīng)對(duì)策

①無智能手機(jī)的用戶的認(rèn)證——針對(duì)此類用戶，在Server端可提供無需認(rèn)證的免費(fèi)頁(yè)面，無法實(shí)現(xiàn)交互類業(yè)務(wù);

②針對(duì)國(guó)外的用戶訪問，無法實(shí)現(xiàn)手機(jī)實(shí)名制——可通過國(guó)內(nèi)的代理用戶實(shí)現(xiàn)，這就要求代理用戶必須實(shí)名制，同時(shí)代理的軟件可以提供源IP，且對(duì)國(guó)外的IP進(jìn)行實(shí)時(shí)監(jiān)控和審計(jì);

③對(duì)于國(guó)內(nèi)的計(jì)算機(jī)被國(guó)外某些組織當(dāng)成“肉雞”利用的現(xiàn)象，一旦認(rèn)證成功后訪問相應(yīng)的Server，那么被控制的“肉雞”就可以攻擊相應(yīng)的Server——可以通過手機(jī)實(shí)名制中心給手機(jī)端的APP推送相應(yīng)的告警消息，及時(shí)檢查就可以避免更多的攻擊發(fā)生。手機(jī)實(shí)名制后，如果個(gè)人不重視自己的計(jì)算機(jī)的安全，被利用作為“肉雞”攻擊了相應(yīng)的服務(wù)器，也要連帶承擔(dān)相應(yīng)的責(zé)任，因此這也可以大大提高每個(gè)人的安全意識(shí)。如果能夠同電信運(yùn)營(yíng)商進(jìn)行合作，對(duì)相應(yīng)的“肉雞”網(wǎng)絡(luò)進(jìn)行管控，通過SDN技術(shù)實(shí)現(xiàn)自動(dòng)的安全策略限制，可以有效地解決目前大量被控的“肉雞”問題。

④手機(jī)被冒用的問題——由于有驗(yàn)證碼的輸入過程，只有正確的手機(jī)號(hào)碼才能收到相應(yīng)的驗(yàn)證碼，才能通過相應(yīng)的驗(yàn)證碼進(jìn)行正常的網(wǎng)絡(luò)訪問，因此，只要將實(shí)名制的手機(jī)號(hào)碼和APP的ID號(hào)唯一綁定，同時(shí)進(jìn)行加密傳輸，就可以避免相應(yīng)的冒用問題。

⑤手機(jī)實(shí)名制不準(zhǔn)確的問題——在手機(jī)實(shí)名制中心無登記的用戶，首次訪問要提示用戶進(jìn)行登記，如果無法進(jìn)行實(shí)名制登記，即手機(jī)的機(jī)主姓名同手機(jī)號(hào)碼不是實(shí)名的，那么也可以通過該應(yīng)用進(jìn)一步完善和確認(rèn)手機(jī)實(shí)名制，減少手機(jī)非實(shí)名制的問題。

3.政策層面的考慮

網(wǎng)絡(luò)訪問實(shí)名制的前提是手機(jī)實(shí)名制的建立和完善，國(guó)家需要建立相應(yīng)的手機(jī)實(shí)名制中心，同各個(gè)電信運(yùn)營(yíng)商合作，實(shí)時(shí)進(jìn)行更新，這需要國(guó)家層面相應(yīng)政策、資金、技術(shù)的支持才能實(shí)現(xiàn)。

該認(rèn)證體系結(jié)合了手機(jī)實(shí)名制的體系，通過智能終端的普及和應(yīng)用，將移動(dòng)終端、固定終端結(jié)合，屏蔽了網(wǎng)絡(luò)的接入模式、接入方式和接入地等因素，無論是免費(fèi)的無任何認(rèn)證的WIFI接入點(diǎn)，還是通過認(rèn)證的家庭的ADSL、光纖、EPON接入，抑或是某個(gè)單位使用防火墻的NAT地址變換后的接入，都可以實(shí)現(xiàn)終端的實(shí)名制認(rèn)證，為快速定位問題的人、攻擊等事件提供了可能，為全網(wǎng)的可管、可控提供了基礎(chǔ)，因此，建設(shè)手機(jī)實(shí)名制中心應(yīng)作為國(guó)家的一項(xiàng)基礎(chǔ)工程開展，類似地DNS的架構(gòu)體系也可以在現(xiàn)在的DNS的基礎(chǔ)上進(jìn)行功能擴(kuò)展實(shí)現(xiàn)。