費雄偉

（湖南城市學院信息科學與工程學院 湖南 413000）

0 引言

教育信息化促進了教育現(xiàn)代化發(fā)展，已成為歷史發(fā)展的必然。數(shù)字校園的建設隨著時代發(fā)生了顯著的變化。數(shù)字校園以一個開發(fā)的結(jié)構(gòu)，提供資源共享和系統(tǒng)擴展。多種應用以引入到數(shù)字校園中，如教學信息管理系統(tǒng)，科研信息管理系統(tǒng)，學生成績管理系統(tǒng)，學校管理信息系統(tǒng)等等。學生和老師越來越依賴這些應用，享受著信息現(xiàn)代化的成果。但是，數(shù)字校園也面臨著多種威脅，因為它的開發(fā)性，網(wǎng)絡病毒，蠕蟲,網(wǎng)絡缺陷等其他新的攻擊方式變得越來越多。這些威脅造成數(shù)據(jù)毀壞，硬件故障，數(shù)據(jù)泄露，網(wǎng)絡癱瘓等事故時有發(fā)生，給學校和師生造成了很大的損失。因此數(shù)字校園的安全問題越來越突出，成為首要問題之一。

1 現(xiàn)狀分析

數(shù)字校園是一個大而復雜的intranet，它依據(jù)Web和Http模型提供多種網(wǎng)絡服務。在數(shù)字校園的建設中，易用和資源安全是一對矛盾且這對矛盾越來越顯著。因為數(shù)字校園具有很多不同的應用服務，隨著時間的發(fā)展應用仍在繼續(xù)增長。而不同的安全應用有它自己的安全管理機制，包括身份認證，權限管理，數(shù)據(jù)一致等。

對身份認證而言，不管是Internet還是數(shù)字校園，都基于用戶名和密碼對。也就是說，用戶以何種權限訪問特定的應用，完全由用戶輸入的用戶名和密碼對來確定。換句話說，每次用戶訪問特定的應用，都必須首先輸入用戶名和密碼。

從安全角度考慮，基于用戶名和密碼的認證需要每個應用具有認證能力和維護密碼數(shù)據(jù)庫。同一用戶在不同的服務上都需設置用戶名和密碼。由于數(shù)字校園存在多種應用服務，用戶就需要對應多的用戶名和密碼對來進行認證。但對用戶而言，為了能夠方便使用，就會使用重復的相同的或者簡單的密碼，如生日，姓名的拼音，電話號碼等。因此就容易被暴力攻擊或者軟件解碼。這增加了密碼被破解的可能性。

使用智能卡和個人信息碼的認證方式比用戶名和密碼對的認證方式具有更高的安全性。但是對不同的應用而言，仍舊需要輸入多次個人信息碼來進行身份認證。這對用戶而言，仍然不方便使用。尤其是對客服端軟件的通用瀏覽器而言，用戶名和密碼在Internet上以明文或者簡單的轉(zhuǎn)換方式進行傳輸。這也增加了用戶密碼泄露的可能。

用戶希望從以上方式中解放出來，只需一次用戶名和密碼，采用更加強大的認證方式能做到訪問數(shù)字校園中的多個應用。

生物特征認證基于唯一，可靠，穩(wěn)定的人體的生物特征，采用強大的計算機和網(wǎng)絡技術出來圖像和模式識別來鑒別用戶的身份。每個人的生理或者行為特征是不同的。生物特征認證確實比基于用戶名和密碼或者個人認證碼得方式更加可靠。因為生物特征不需記憶，不會遺忘或者消失。將個人的指紋信息儲存在智能卡中，也方便攜帶。因此本文結(jié)合智能卡和指紋識別技術實現(xiàn)身份識別和設計了認證系統(tǒng)。

2 認證系統(tǒng)設計

這個身份認證系統(tǒng)的設計方案為用戶使用身份卡和指紋來鑒別自己。當用戶在認證系統(tǒng)中鑒別認證完成后，可以使用智能卡和唯一的指紋代替已存在的應用服務器中用戶名和密碼對。然而，應用服務器仍舊使用用戶名和密碼對來鑒別用戶和授權。因此，在認證系統(tǒng)設計過程中，我們必須為用戶設計一個唯一的身份ID，以完成對應的用戶名和密碼對的傳輸。在客戶端，用戶ID由智能卡和指紋來進行鑒別。智能卡讀取器安裝有指紋鑒別模塊。在服務器端，如果用戶通過智能卡和用戶ID比對指紋數(shù)據(jù)庫后，用戶ID改變?yōu)槠鹗嫉挠脩裘兔艽a。為了完成用戶ID到用戶名和密碼對的轉(zhuǎn)換，我們加入兩個軟件代理。它們分別位于客戶端和服務端以形成一次認證塊。如圖1所示：

3 身份認證過程

在內(nèi)部網(wǎng)絡中，我們設置一個單獨的認證服務器，它的功能是分發(fā)內(nèi)部用戶的身份卡，產(chǎn)生認證應用服務和認證用戶的身份。同時在房內(nèi)安裝帶指紋鑒別模塊的智能卡讀取器，以完成識別用戶指紋和將用戶指紋和數(shù)據(jù)庫中的指紋進行比對，從而完成身份的確定。

圖1 一次認證塊

整個認證系統(tǒng)中有兩個代理，分別位于客戶端和服務端。客戶端代理安裝在內(nèi)網(wǎng)的用戶計算機上，而服務端代理安裝在每個數(shù)字校園中的服務器上?？蛻舳舜淼墓ぷ鞣绞绞亲x取卡中的用戶認證身份，轉(zhuǎn)發(fā)用戶的信息請求或者登錄請求。服務器嗲了根據(jù)客戶端發(fā)來的服務請求建立用戶身份和用戶名的對應表?？蛻舳舜硖峁┫嗤δ艿膭討B(tài)鏈接庫給客戶端調(diào)用。對于數(shù)據(jù)請求，服務端代理一般直接傳輸?shù)綉梅掌?，轉(zhuǎn)發(fā)服務器返回的響應數(shù)據(jù)，或者提供相同的動態(tài)鏈接庫的功能。

4 分析和結(jié)論

認證系統(tǒng)結(jié)合智能卡和指紋識別技術來執(zhí)行身份認證，大大提供了用戶身份信息的安全度。該認證系統(tǒng)能夠做到了一次認證，多次使用數(shù)字校園服務，認證系統(tǒng)的易用性得到了加強。使用智能卡存儲私鑰和用戶指紋。由于指紋是人體的生物特征，不僅是唯一的而且終端用戶的自身的安全控制信息。可見認證系統(tǒng)的安全性也比用戶名和密碼對的方式更加好。因此該認證系統(tǒng)的設計做到了易用性和安全性，能夠滿足數(shù)字校園的認證需要，能夠很好地指導數(shù)字校園的建設。

[1]Yang Yang,Fang Chao,Liu Hui.Research on Technology of ARP Spoofing and ICMP Redirection Attak[J]. Computer Engineering,2008,34(2):103-104.

[2]Veridicom Inc. World Leader in Fingerprint Authentication Technology[DB/OL]. http://www.veridicom.com/, 2002.9.