王俊姝石蕊

（國(guó)家廣播電影電視總局哈爾濱監(jiān)測(cè)臺(tái)，黑龍江 哈爾濱 150089）

隨著科技的進(jìn)步，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)廣泛應(yīng)用于企事業(yè)單位中，如何做好企事業(yè)單位中的計(jì)算機(jī)信息安全是困擾著用戶的難題，因此，身份認(rèn)證技術(shù)在確保計(jì)算機(jī)信息安全中起到了重要的作用。

1 身份認(rèn)證系統(tǒng)簡(jiǎn)介

身份認(rèn)證技術(shù)是在計(jì)算機(jī)網(wǎng)絡(luò)中確認(rèn)操作者身份的過(guò)程而產(chǎn)生的有效解決方法。 計(jì)算機(jī)網(wǎng)絡(luò)世界中一切信息包括用戶的身份信息都是用一組特定的數(shù)據(jù)來(lái)表示的，計(jì)算機(jī)只能識(shí)別用戶的數(shù)字身份，所有對(duì)用戶的授權(quán)也是針對(duì)用戶數(shù)字身份的授權(quán)。如何保證以數(shù)字身份進(jìn)行操作的操作者就是這個(gè)數(shù)字身份合法擁有者，也就是說(shuō)保證操作者的物理身份與數(shù)字身份相對(duì)應(yīng)，身份認(rèn)證技術(shù)就是為了解決這個(gè)問(wèn)題。作為防護(hù)網(wǎng)絡(luò)資產(chǎn)的第一道關(guān)口，身份認(rèn)證有著舉足輕重的作用，對(duì)用戶的身份認(rèn)證基本方法可以分為三種：（1）基于信息秘密的身份認(rèn)證；（2）基于信任物體的身份認(rèn)證；（3）基于生物特征的身份認(rèn)證。

近些年來(lái)，企事業(yè)單位的信息化程度進(jìn)一步提高，伴隨而來(lái)的是對(duì)于計(jì)算機(jī)信息安全的擔(dān)憂，而身份認(rèn)證技術(shù)作為計(jì)算機(jī)信息安全的大門(mén)，起著相當(dāng)重要的作用。因此，在企事業(yè)單位中推進(jìn)身份認(rèn)證機(jī)制，對(duì)計(jì)算機(jī)信息起到了有效的保護(hù)作用。在以往的信息安全防護(hù)中，由于各個(gè)電腦可能是不同的權(quán)限需要不同的密碼，使用者必須熟記多個(gè)賬戶名和密碼并需要重復(fù)登錄才能完成操作，相當(dāng)繁瑣。為了簡(jiǎn)化登錄同時(shí)提高計(jì)算機(jī)信息安全防護(hù)的能力，可以采用用戶身份認(rèn)證技術(shù)，通過(guò)在企事業(yè)單位建設(shè)的數(shù)字辦公網(wǎng)中加入身份認(rèn)證技術(shù)，將原有的計(jì)算機(jī)網(wǎng)絡(luò)資源整合成一套統(tǒng)一完整的系統(tǒng)，從而使用戶身份認(rèn)證技術(shù)在這一統(tǒng)一的系統(tǒng)簡(jiǎn)化登錄、提高效率和信息安全防護(hù)水平方面做出貢獻(xiàn)。

2 用戶身份認(rèn)證技術(shù)在計(jì)算機(jī)信息安全中的應(yīng)用

目前，計(jì)算機(jī)及網(wǎng)絡(luò)常用的身份認(rèn)證方式主要如下：（1）用戶名+密碼的登錄方式，這種方式是最簡(jiǎn)單也是最常用的方法；（2）通過(guò)IC卡認(rèn)證的方式；（3）使用動(dòng)態(tài)口令卡進(jìn)行身份認(rèn)證的方式；（4）生物特征認(rèn)證的方式：（5）USB Key認(rèn)證認(rèn)證的方式。以上這些都是身份認(rèn)證中較常采用的方式。

基于PHP的用戶身份認(rèn)證將會(huì)通過(guò)Web Service來(lái)使其能夠通過(guò)網(wǎng)絡(luò)進(jìn)行使用，即將原來(lái)的各個(gè)分散的登錄系統(tǒng)與數(shù)據(jù)庫(kù)進(jìn)行鏈接，使其能夠統(tǒng)一認(rèn)證、管理和授權(quán)。采用這種身份認(rèn)證技術(shù)的優(yōu)點(diǎn)如下：（1）基于原有的認(rèn)證系統(tǒng)進(jìn)行二次開(kāi)發(fā)，使其能夠?qū)⒃瓉?lái)分散的管理進(jìn)行統(tǒng)一、集中、有效的管理，這種在原來(lái)的系統(tǒng)上進(jìn)行開(kāi)發(fā)的方式不但能夠大幅降低開(kāi)發(fā)成本而且在原來(lái)的系統(tǒng)進(jìn)行開(kāi)發(fā)能夠減少修改原有系統(tǒng)造成的影響。（2）在登陸系統(tǒng)中只需要認(rèn)證一次，在進(jìn)行不同的權(quán)限的系統(tǒng)操作時(shí)不需用再次登陸。（3）將原先各個(gè)分散獨(dú)立的系統(tǒng)整合成一個(gè)統(tǒng)一的數(shù)據(jù)庫(kù)。（4）這種整合后的認(rèn)證系統(tǒng)在整合性和擴(kuò)展性方面具有良好的性能，在兼容性方面，能夠?qū)υ械臉I(yè)務(wù)和原有的用戶數(shù)據(jù)庫(kù)進(jìn)行良好的整合，在以后如果需要增加新的功能，只需要將現(xiàn)在的身份認(rèn)證的集成集中導(dǎo)入即可。（5）在設(shè)計(jì)身份認(rèn)證技術(shù)時(shí)，其應(yīng)用設(shè)計(jì)靈活，該身份認(rèn)證系統(tǒng)要能以多種方式加以運(yùn)用。

3 通過(guò)使用PHP作為基礎(chǔ)程序來(lái)設(shè)計(jì)互聯(lián)網(wǎng)身份認(rèn)證系統(tǒng)

基于PHP用戶身份認(rèn)證系統(tǒng)按照保障計(jì)算機(jī)信息安全的原則，將原有的身份認(rèn)證系統(tǒng)進(jìn)行整合，建立起統(tǒng)一的身份認(rèn)證系統(tǒng)，通過(guò)使用PHP技術(shù)來(lái)設(shè)計(jì)用戶身份認(rèn)證系統(tǒng)。管理對(duì) Web 頁(yè)面和應(yīng)用程序的安全訪問(wèn)是一個(gè)常見(jiàn)問(wèn)題，管理者希望允許哪些受信任的用戶訪問(wèn)數(shù)據(jù)，同時(shí)防止未經(jīng)授權(quán)的用戶獲得數(shù)據(jù)的訪問(wèn)權(quán)。大多數(shù)情況下，基于數(shù)據(jù)庫(kù)的身份驗(yàn)證是此類問(wèn)題的解決方案。

身份驗(yàn)證系統(tǒng)包含一個(gè)訪問(wèn)控制列表 (ACL)，該列表可列出用戶憑證并將其匹配到指定的系統(tǒng)權(quán)限。憑證通常是一個(gè)用戶名/口令對(duì)，憑證可以將用戶鏈接到系統(tǒng)權(quán)限。系統(tǒng)權(quán)限允許帳戶訪問(wèn)或修改數(shù)據(jù)，以及執(zhí)行子系統(tǒng)或子例行程序，帳戶可以是用戶、組或系統(tǒng)。如何在基于 PHP 的 Web 應(yīng)用程序中實(shí)現(xiàn)身份驗(yàn)證、如何設(shè)計(jì)和實(shí)現(xiàn)身份驗(yàn)證數(shù)據(jù)庫(kù)模型，以及在基于瀏覽器的應(yīng)用程序中計(jì)劃和管理用戶交互的過(guò)程如下：從Web 頁(yè)獲得憑證，并根據(jù) ACL 對(duì)其進(jìn)行驗(yàn)證。無(wú)論瀏覽器是否接受 Cookie，它們都可讓使用者正常工作?；?HTTP/HTTPS 和摘要 HTTP 方法都針對(duì)領(lǐng)域進(jìn)行驗(yàn)證（而不使用 Cookie），而會(huì)話管理至少需要寫(xiě)入一個(gè)會(huì)話 ID Cookie。當(dāng)使用者將會(huì)話 ID 作為URL的一部分發(fā)送時(shí)，URL重寫(xiě)會(huì)帶來(lái)一些安全風(fēng)險(xiǎn)，因?yàn)槟承┯脩艏磿r(shí)消息會(huì)URL發(fā)送給其他人，這樣其他人就可以劫持授權(quán)，以訪問(wèn)或泄漏機(jī)密數(shù)據(jù)。URL 重寫(xiě)的替代方法是，將會(huì)話 ID 置于呈現(xiàn)的 Web 頁(yè)面中作為隱藏域，盡管這會(huì)帶來(lái)某些漏洞，但比將會(huì)話附加到 URL的風(fēng)險(xiǎn)小。PHP 驗(yàn)證腳本接收用戶名和口令的名稱/值對(duì)，然后腳本將該名稱/值對(duì)與 ACL 中存儲(chǔ)的數(shù)據(jù)進(jìn)行比較。構(gòu)建身份管理數(shù)據(jù)模型可以很簡(jiǎn)單，也可以很復(fù)雜，最簡(jiǎn)單的模型是一個(gè)包含應(yīng)用程序 ACL 的表，更有效的身份驗(yàn)證解決方案應(yīng)該支持捕獲和挖掘用戶交互，這不同于為單個(gè)事件調(diào)用的 Web 頁(yè)面列表。較大的模型可讓使用者根據(jù)對(duì)模塊的運(yùn)行時(shí)調(diào)用來(lái)跟蹤已定義模塊的版本，實(shí)現(xiàn)模型的具體細(xì)節(jié)視使用者的目標(biāo)而異。如果 ACL 存儲(chǔ)在數(shù)據(jù)庫(kù)中，則意味著最初登錄和后續(xù)連接時(shí)需要執(zhí)行不同的身份驗(yàn)證。最初登錄時(shí)，將連接到數(shù)據(jù)庫(kù)，并從數(shù)據(jù)庫(kù)表中讀取用戶名和加密口令值；然后，將結(jié)果與已提交的明文用戶名和加密口令進(jìn)行比較；執(zhí)行后續(xù) Web 請(qǐng)求時(shí)，將連接到數(shù)據(jù)庫(kù)，讀取會(huì)話 ID，然后將結(jié)果與已提交的會(huì)話 ID 進(jìn)行比較。

本文就用戶身份認(rèn)證系統(tǒng)在計(jì)算機(jī)信息安全中應(yīng)用的必要性進(jìn)行了闡述，依據(jù)身份認(rèn)證技術(shù)原理，采用PHP腳本語(yǔ)言自動(dòng)提供動(dòng)態(tài)驗(yàn)證碼為用戶校驗(yàn)賬號(hào)和密碼，進(jìn)而實(shí)現(xiàn)了用戶身份認(rèn)證技術(shù)在計(jì)算機(jī)信息安全中的應(yīng)用。

[1]劉建良.淺談網(wǎng)絡(luò)安全身份認(rèn)證技術(shù)的研究分析[J].數(shù)字技術(shù)與應(yīng)用，2012（11）.