基于强身份认证的网络应用单点登录的策略分析

　　摘 要：随着我国计算机网络的普及与发展，网络信息安全问题也得到了社会各界的高度重视。网络攻击者通过多种途径窃取网络信息，给网络信息的安全造成巨大威胁。因此，加大网络信息安全保护力度刻不容缓。本文所介绍的方法是一种通过USB设备存储加密算法和密钥文件对用户进行身份认证，从而实现自动登录的单点登录系统，通过对该系统的实现来为今后网络信息安全的保证提供一定的参考依据。
　　关键词：强身份认证；网络应用；单点登录
　　本文提出了一种安全、高效的自动单点登录系统，利用密码技术和身份认证技术对网络信息进行保护，以期为今后网络信息的安全提供一定的技术保障。
　　1 密码技术
　　在信息安全保障系统中，密码技术处于核心位置，是整个系统中至关重要的一部分。就当前信息安全系统中的密码技术来看，主要包括两大体制，即对称密码体制和非对称密码体制。其中，前者主要采取的是单个密钥来实现对数据的加密和解密，具有计算量小和效率高等优点，适用于私人文件加密；而后者则采用取两个密钥，只有将二者配合使用，才能够实现数据的加密和解密。由于后者具有不对称性，因此，比较适用于分布式系统中的数据加密。
　　通常情况下，为了能够更好的将这两种体制的优点发挥出来，在系统的设计中，会将这两种体制混合使用。在本文介绍的单点登录系统的设计中，主要应用了一次一密密码体制下的MD5_HMAC加密算法，这种加密算法具有运算简单、效率高的特点，而且随机串只能够用一次。因此，即使攻击者成功窃取了随机串，那么也无法对密文进行破解。此外，由于该算法没有已知的明文或密文作为参考，因此，即使穷尽法也无法猜测随机串的准确性，为网络信息安全提供了严密的保护。
　　2 身份认证技术
　　身份认证技术的主要任务是对意图访问的实体身份进行认证，通过认证程序查看意图访问者的身份是否与宣称身份相一致，并在此基础上实现对不同访客的控制。身份认证技术主要分为两种类型，即实体认证和数据起源认证。本系统所研究的主要是实体认证，在实体认证中，实体认证由参与某次会话或通信连接的一方提交，其身份一旦通过系统认证，便可以进行访问。本文所介绍的通过USB设备存储加密算法和密钥文件对用户进行身份认证的系统，其主要包括两个模块，即用户注册和用户认证。
　　无论是哪一种类型的用户，在登录认证服务器进行认证之前，首先都要进行注册，在注册环节填写个人信息。该系统对于此环节的设计任务主要包括三个部分：首先是初始化USB令牌，其次是登记注册数据库，最后是登记二级登录凭证数据库。通过对以上三项任务的实现，用户便可顺利完成用户注册。在完成注册之后，用户便可登录系统进行访问，用户认证的流程图如图1所示：
　　3 网络应用单点登录
　　⑴单点登录方案分析。虽然单点登录系统已经被提出，但与其相关的方案却并没有形成一个统一的标准，本文主要综合了两种方案，第一种是Broker-based单点登录方案，在该方案中设计了一个完成集中认证、用户账号管理的认证服务器、统一的用户数据库Broker为用户提供能够被用作用户进一步访问请求的电子身份凭证；第二种是Agent-based单点登录方案，该方案中设计了一个代理程度，该程序会自动对不同应用进行身份认证，自动为用户完成登录过程。
　　⑵Broker&Agent-based单点登录方案的实现。从图中我们可以看出，Broker&Agent-based单点登录方案的实现主要涉及了4大模块，分别是认证服务器、注册数据库和二级登录凭证数据库、USB令牌和单点登录客户端。其中，认证服务器模块主要用于认证的提供；注册数据库和二级登录凭证数据库模块主要用于对用户信息的存储；USB令牌模块主要负责二次登录阶段解密从二级登录凭证数据库中取得的用户私钥加密处理过的用户名/密码对；而单点登录客户端模块则主要为用户提供进行访问地址的途径，相当于方案中的Agent部分。
　　综上所述，随着计算机网络在我国社会发展中的广泛应用，网络信息的安全也会面临越来越多的威胁。本文所介绍的基于强身份认证的网络应用单点登录系统利用密码技术、身份认证技术来对网络信息进行加密，不仅性能稳定，而且安全性良好。可以预见，在未来的时间里，该系统必然会有较好的前景。
　　[参考文献]
　　[1]李馥娟.基于身份认证技术的系统数据安全保障方案探讨[J].《信息网络安全》，2009（06）.
　　[2]丁德胜，许建真，沈丽珍，余莉莉.基于强身份认证的网络应用单点登录系统研究[J].《计算机工程》，2006（07）.