摘要：論文提出了一種基于企業(yè)級(jí)內(nèi)外網(wǎng)應(yīng)用場(chǎng)景的非涉密登錄關(guān)鍵技術(shù)——“身份口令掃碼識(shí)別”復(fù)合技術(shù)，避免在一個(gè)平臺(tái)下面同時(shí)獲取帳號(hào)、密碼問題，同時(shí)避免在輸入過程中出現(xiàn)帳號(hào)密碼明文的問題。在使用過程中無需用戶輸入用戶賬號(hào)和密碼，通過“手機(jī)掃碼+動(dòng)態(tài)數(shù)字”方式驗(yàn)證，一鍵完成認(rèn)證登錄企業(yè)應(yīng)用。

　　關(guān)鍵詞：免密認(rèn)證；身份識(shí)別；強(qiáng)口令；軟件開發(fā)

　　中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

　　1引言

　　隨著企業(yè)信息化的不斷發(fā)展，越來越多的應(yīng)用在企業(yè)中構(gòu)建和運(yùn)行，然而，截至現(xiàn)在大多數(shù)企業(yè)應(yīng)用都是采用傳統(tǒng)的賬號(hào)和密碼進(jìn)行系統(tǒng)認(rèn)證登錄，對(duì)于系統(tǒng)使用者來說，需要記住很多系統(tǒng)的密碼，并且由于國家在信息安全方面的嚴(yán)格要求，很多交易類的系統(tǒng)在信息安全方面的要求尤為嚴(yán)格，因此，用戶需要記住很多系統(tǒng)的復(fù)雜密碼來登錄登錄系統(tǒng)，并且需要按要求進(jìn)行密碼過期修改和提醒。對(duì)于管理員來說，必須承擔(dān)保護(hù)密碼的責(zé)任，一旦密碼泄漏，對(duì)企業(yè)應(yīng)用的業(yè)務(wù)和信譽(yù)都是巨大打擊。另外目前網(wǎng)絡(luò)上存在大量的進(jìn)程盜號(hào)木馬、鍵盤記錄木馬、遠(yuǎn)程控制木馬、會(huì)話劫持木馬、釣魚程序等盜號(hào)程序，大量的賬號(hào)密碼丟失，造成了非常大的危害。

　　2企業(yè)級(jí)免密認(rèn)證系統(tǒng)需求

　　企業(yè)無密認(rèn)證解決方案能夠解決傳統(tǒng)以密碼為核心的認(rèn)證體系的諸多問題，解決傳統(tǒng)密碼問題，是企業(yè)完成認(rèn)證體系升級(jí)，實(shí)現(xiàn)去密碼化的關(guān)鍵。方案主要基于移動(dòng)及生物識(shí)別技術(shù)，提供如掃碼、指紋驗(yàn)證、動(dòng)態(tài)口令等多種認(rèn)證方式，解決如下問題：

　　1)賬號(hào)密碼使用安全；

　　2)賬號(hào)密碼無法被盜取；

　　3)服務(wù)器賬號(hào)密碼庫安全；

　　4)簡捷快速安全登錄；

　　5)內(nèi)外網(wǎng)數(shù)據(jù)安全隔離。

　　2.1技術(shù)難點(diǎn)

　　1)如何將用戶在移動(dòng)端的身份與內(nèi)網(wǎng)身份進(jìn)行綁定，關(guān)系著用戶使用門檻、便捷性的重要問題，鑒于所有用戶信息其實(shí)都存在于企業(yè)的內(nèi)部網(wǎng)絡(luò)，且與互聯(lián)網(wǎng)物理隔離，內(nèi)外身份的綁定是關(guān)鍵。

　　2)如何穿透內(nèi)外網(wǎng)，在內(nèi)外網(wǎng)物理隔離的情況下，需要將所有請(qǐng)求轉(zhuǎn)換成SQL數(shù)據(jù)，再由內(nèi)網(wǎng)權(quán)威身份中心處理后完成。

　　3)如何保證數(shù)據(jù)安全，需要設(shè)計(jì)身份中轉(zhuǎn)器，實(shí)現(xiàn)用戶的內(nèi)網(wǎng)帳號(hào)信息及實(shí)名用戶信息不曝露在DMZ區(qū)、外網(wǎng)。

　　2.2用戶角色

　　免密認(rèn)證系統(tǒng)主要解決用戶登錄的便捷性、安全性問題，同時(shí)解決企業(yè)的密碼管理難題，系統(tǒng)角色方包括普通用戶、系統(tǒng)運(yùn)維管理員、業(yè)務(wù)支持管理員、審計(jì)管理員。

　　3企業(yè)級(jí)免密認(rèn)證系統(tǒng)的設(shè)計(jì)

　　3.1架構(gòu)設(shè)計(jì)

　　本文提出了一種基于企業(yè)內(nèi)外網(wǎng)場(chǎng)景的非涉密登錄關(guān)鍵技術(shù)“身份口令掃碼身份識(shí)別”復(fù)合技術(shù)，克服了現(xiàn)有技術(shù)的困難，避免在一個(gè)平臺(tái)下面同時(shí)獲取帳號(hào)、密碼問題，在輸入過程中出現(xiàn)帳號(hào)密碼明文的問題，在使用過程中無需用戶輸入用戶賬號(hào)和密碼，通過“手機(jī)掃描+動(dòng)態(tài)數(shù)字”方式完成認(rèn)證，更加快捷、安全的登錄企業(yè)應(yīng)用系統(tǒng)。

　　1)在個(gè)人移動(dòng)設(shè)備上通過掃描二維碼，并且通過個(gè)人手機(jī)發(fā)送短信完成用戶身份信息的綁定。

　　2)用戶掃描登錄二維碼，手機(jī)會(huì)將安全認(rèn)證碼以及個(gè)人手機(jī)信息通過國密加密算法發(fā)送至移動(dòng)交互平臺(tái)。

　　3)移動(dòng)交互平臺(tái)根據(jù)傳遞過來的二維碼個(gè)人信息，判斷用戶是掃描的內(nèi)網(wǎng)還是外網(wǎng)認(rèn)證服務(wù)，進(jìn)行路由策略匹配。

　　4)如果是掃描外網(wǎng)的二維碼會(huì)請(qǐng)求外網(wǎng)權(quán)限平臺(tái)認(rèn)證服務(wù)，相反掃描內(nèi)網(wǎng)則通過隔離裝SQL穿透到內(nèi)網(wǎng)數(shù)據(jù)庫。

　　5)內(nèi)網(wǎng)認(rèn)證服務(wù)通過解析讀取內(nèi)網(wǎng)數(shù)據(jù)庫完成認(rèn)證服務(wù)流程。

　　6)如果認(rèn)證成功進(jìn)入內(nèi)網(wǎng)應(yīng)用，認(rèn)證失敗，返回錯(cuò)誤信息。

　　4企業(yè)級(jí)免密認(rèn)證系統(tǒng)的關(guān)鍵技術(shù)

　　1)內(nèi)外網(wǎng)安全交互技術(shù)

　　互聯(lián)網(wǎng)與外網(wǎng)邊界：通過統(tǒng)建外網(wǎng)安全交互平臺(tái)，實(shí)現(xiàn)移動(dòng)應(yīng)用的身份認(rèn)證、訪問控制、傳輸加密以及應(yīng)用過濾。

　　外網(wǎng)與內(nèi)網(wǎng)邊界：通過統(tǒng)建安全隔離裝置，基于數(shù)據(jù)庫代理訪問實(shí)現(xiàn)內(nèi)外網(wǎng)數(shù)據(jù)安全交互。

　　2)會(huì)話交互技術(shù)

　　通過移動(dòng)互聯(lián)支撐平臺(tái)提供的第三方安全加固技術(shù)，實(shí)現(xiàn)客戶端應(yīng)用防逆向、防篡改、反調(diào)試保護(hù)。與服務(wù)端接口交互采用安全token認(rèn)證，對(duì)交互數(shù)據(jù)長度類型進(jìn)行安全校驗(yàn)。

　　3)數(shù)據(jù)安全

　　移動(dòng)客戶端不存儲(chǔ)企業(yè)機(jī)密信息和用戶隱私數(shù)據(jù)，重要數(shù)據(jù)傳輸采用SSL協(xié)議結(jié)合SM2、SM3、SM4國密算法進(jìn)行加密傳輸和數(shù)字簽名。

　　4)二維碼編碼技術(shù)

　　數(shù)據(jù)分析：確定編碼的字符類型，按相應(yīng)的字符集轉(zhuǎn)換成符號(hào)字符；選擇糾錯(cuò)等級(jí)，在規(guī)格一定的條件下，糾錯(cuò)等級(jí)越高其真實(shí)數(shù)據(jù)的容量越小。

　　數(shù)據(jù)編碼：將數(shù)據(jù)字符轉(zhuǎn)換為位流，每8位一個(gè)碼字，整體構(gòu)成一個(gè)數(shù)據(jù)的碼字序列。其實(shí)知道這個(gè)數(shù)據(jù)碼字序列就知道了二維碼的數(shù)據(jù)內(nèi)容，如圖2所示。

　　5結(jié)束語

　　本文的重點(diǎn)是通過唯一身份信息綁定，通過用戶移動(dòng)端設(shè)備掃碼，在企業(yè)信息內(nèi)外網(wǎng)交換過程當(dāng)中使用信息安全隔離裝置，保證外網(wǎng)用戶不能夠直接操作內(nèi)網(wǎng)數(shù)據(jù)庫，最終形成一套“身份+二維碼”可信安全認(rèn)證方案，為信息系統(tǒng)行為安全策略制定、風(fēng)險(xiǎn)內(nèi)控提供有力的數(shù)據(jù)支撐，為提升企業(yè)網(wǎng)絡(luò)空間的安全防護(hù)把好入口。

　　參考文獻(xiàn)

　　[1]鄧榮.Linux平臺(tái)下基于OpenSSH的安全遠(yuǎn)程登錄服務(wù)的設(shè)計(jì)與實(shí)現(xiàn)[J].電腦知識(shí)與技術(shù)，2010，06(32)：8970-8971.

　　[2]楊浩淼.基于身份密碼學(xué)關(guān)鍵技術(shù)的研究及應(yīng)用[D].電子科技大學(xué)，2008.

　　[3]佚名.一種在使用銀行卡進(jìn)行交易時(shí)輸入密碼的方法及系統(tǒng)：，2005.

　　[4]羅東健.大規(guī)模存儲(chǔ)系統(tǒng)高可靠性關(guān)鍵技術(shù)研究[D].華中科技大學(xué)，2011.

　　[5]于英政.QR二維碼相關(guān)技術(shù)的研究[D].北京交通大學(xué)，2014.

　?。ㄋ拇ㄖ须妴⒚餍切畔⒓夹g(shù)有限公司，四川成都610000）

　　周平，劉廷峰，李江鑫

關(guān)注讀覽天下微信， 100萬篇深度好文， 等你來看……