摘 要：針對網絡開放的橋梁焊接質量監(jiān)控系統(tǒng)存在非法訪問、口令易泄露等問題，研究一種雙因素身份認證方法。基于系統(tǒng)安全分析、可信完整性度量和分層管理原則，提出基于口令和指紋生物特征相融合的雙因素身份認證方法，在橋梁焊接質量監(jiān)控系統(tǒng)增加身份認證程序，通過訪問者的口令和指紋特征生成用戶身份識別信息，與預存儲在認證服務器端身份憑證數據庫中的用戶身份信息進行比對，完成身份認證。實驗結果表明該方法身份認證通過率總體在98.8%以上，可準確驗證操作用戶身份，可推廣應用到其他監(jiān)控系統(tǒng)中。

關鍵詞：監(jiān)控；雙因素；身份認證

文獻標志碼：A 文章編號：1674-5124（2017）03-0117-04

Abstract： In view of existing problems of bridge welding quality monitoring system access to the Internet such as illegal access and password vulnerability， a method of two-factor authentication is proposed. Based on principles of system security analysis， trusted integrity measurement and layered management， a method of two-factor authentication based on the fusion of password and fingerprint feature is proposed. By adding an identity authentication program for bridge welding quality monitoring system and generating the user’s identity information from the user’s password and fingerprint feature， the method can match the user’s identity information with the identity information stored in the authentication server in advance to finish identity authentication process. Test results show that identity validation pass rate is over 98.8% and the method can correctly verify the user’s identity， thus it can be applied to other monitoring systems.

Keywords： monitoring； two-factor； identity authentication

0 引 言

鋼構橋梁焊接質量優(yōu)劣直接影響橋梁使用狀況與壽命，關系到國家財產與人民生命安全。橋梁焊接質量監(jiān)控系統(tǒng)能自動快速檢測橋梁焊接缺陷，并智能評定焊縫缺陷質量，方法靈活、高效[1]。隨著檢測系統(tǒng)智能化、網絡化發(fā)展，焊接質量監(jiān)控系統(tǒng)的可信性越來越重要，其中身份認證是提高橋梁焊接質量監(jiān)控系統(tǒng)可信的重要手段，基于秘密知識驗證[2-4]、生物特征鑒別[5-7]、基于非對稱加密秘鑰身份認證方法[8-9]是目前主要身份認證方法，各種方法具有不同特點與應用便利性。本文結合各種身份認證方法的特點與橋梁焊接質量監(jiān)控系統(tǒng)操作的便利性、安全性，對訪問者身份認證實行分層管理，不同操作權限采取不同身份認證技術，從而防止對橋梁焊接質量監(jiān)控系統(tǒng)非法操作，提高系統(tǒng)可信度。

1 橋梁焊接質量監(jiān)控系統(tǒng)可信分析

圖1為一般橋梁焊接質量監(jiān)控系統(tǒng)的結構框圖。智能U盤作為插件接入超聲波探傷儀，探測儀操作者將探測結果數據存儲到U盤，同時U盤直接把探測數據通過GPRS發(fā)送到Web數據服務器，服務器端具備探索數據解碼功能，將數據二次處理用于歷史存儲與可視化視圖設計，并針對數據需求設計相應Web站點，供具備瀏覽器終端的設備遠程查看。可以看出，一般橋梁焊接質量監(jiān)控系統(tǒng)開放性使其變得更脆弱，系統(tǒng)的非法訪問、數據篡改等將會導致系統(tǒng)工作異常、檢測結果不可信[10]。

橋梁焊接質量監(jiān)控系統(tǒng)的可信度是指該監(jiān)控系統(tǒng)可以按照用戶的期望方式工作，正確執(zhí)行測量控制、系統(tǒng)配置等功能，并產生可信測量結構的能力[11]。根據相關數據分析，橋梁焊接質量監(jiān)控系統(tǒng)可信度威脅因素及其對應的可信技術如圖2所示。

身份認證是橋梁焊接質量監(jiān)控系統(tǒng)訪問、操作的第1層安全機制，是防止非法訪問的第1道關卡，只有通過身份認證的訪問者才能夠訪問和操作系統(tǒng)，身份冒充是引起橋梁焊接質量監(jiān)控系統(tǒng)用戶身份可信度降低的重要因素，要提高訪問者身份可信度，應減少或消除身份認證漏洞。

2 橋梁焊接質量監(jiān)控系統(tǒng)身份認證流程

橋梁焊接質量監(jiān)控系統(tǒng)的身份認證確保操作者具有合法、真實身份，可通過監(jiān)控系統(tǒng)訪問者身份屬性產生相關身份標識與預存儲在認證服務器中被訪問者的身份數據進行匹配驗證來確定被認證方所聲稱身份的真?zhèn)蝃11]，圖3為基于身份認證的橋梁焊接質量監(jiān)控系統(tǒng)框架圖。

根據不同應用場景和系統(tǒng)操作權限，對橋梁焊接質量監(jiān)控系統(tǒng)身份認證進行分層處理，圖4為基于分層管理原則的橋梁焊接質量監(jiān)控系統(tǒng)身份認證構架。對于不涉及橋梁焊接質量監(jiān)控系統(tǒng)安全的訪問引入基于口令的單因素身份認證；對于涉及系統(tǒng)安全的訪問引入基于口令+指紋特征的雙因素身份認證技術。

2.1 單因素身份注冊與驗證

圖5為橋梁焊接質量監(jiān)控系統(tǒng)訪問者單因素身份注冊與驗證流程。橋梁焊接質量監(jiān)控系統(tǒng)訪問者ID和口令PW融合計算的得到UID，然后使用MD5算法[12-13]生成的信息摘要UZY即為訪問者身份認證標識信息，發(fā)送到認證服務器身份憑證數據庫中儲存。身份憑證信息UZY是經過MD5散列變換后的數據，網絡即使被竊聽，攻擊者也無法從截獲的信息推出用戶口令。

訪問者身份驗證在登錄階段，通過認證服務器對訪問者身份憑證的合法性、真實性進行確認，證實訪問者身份和所聲稱的身份是否相符，與身份認證注冊階段不同的是，訪問者登錄時生成的標識信息與認證服務器中預存的該ID用戶身份標識信息進行比對匹配，并將認證結果在用戶端顯示。

2.2 雙因素身份注冊與驗證

圖6為橋梁焊接質量監(jiān)控系統(tǒng)訪問者雙因素身份注冊與驗證流程。訪問者ID和口令PW融合計算后的MD5信息摘要UZY，指紋采集儀上獲取橋梁焊接質量監(jiān)控系統(tǒng)訪問者指紋信息，軟件提取指紋特征向量組，使用RSA加密算法對指紋向量特征W加密得到密文E=f（Wi），指紋特征密文E和用戶信息摘要UZY即為訪問者身份認證標識信息，發(fā)送到認證服務器的身份憑證數據庫中儲存[14-15]。此訪問者身份認證標識信息具有訪問者ID、口令PW和指紋特征向量組W等參數狀態(tài)表征，具有良好的唯一性、防猜測性，可有效防止身份冒充，從而避免數據修改、參數更改等非正常操作。

訪問者登錄時生成的標識信息與認證服務器中預存的用戶身份標識信息進行比對匹配，在用戶端顯示認證結果。

3 實驗測試

搭建實驗平臺，對橋梁焊接質量監(jiān)控系統(tǒng)身份認證功能進行驗證。指紋采集儀采用中正科技FPR622光學指紋采集儀；操作終端硬件采用英特爾i5 CPU和2G內存，軟件為Win7 64位操作系統(tǒng)；認證服務器端硬件采用英特爾i5 CPU和4G內存，軟件為Win7 64位操作系統(tǒng)、Microsoft SQL Sever 2012數據庫。

在操作終端打開監(jiān)控系統(tǒng)軟件，對不同訪問者ID、口令PW及指紋進行注冊；然后分別通過正確注冊信息、不同訪問者ID、口令PW及指紋情況驗證系統(tǒng)認證過程，具體測試結果如表1、表2所示。

4 結束語

根據應用場景和操作權限等級不同，橋梁焊接質量監(jiān)控系統(tǒng)身份認證采取分層管理，在保證系統(tǒng)操作便利性的同時，提高了系統(tǒng)的安全性?；诳诹?指紋特征的雙因素身份認證方法產生的用戶身份標識信息具有用戶ID、口令和指紋的參數狀態(tài)表征，可有效避免參數修改等危險操作，提高了系統(tǒng)可信度。相對于USB key等基于證物身份認證技術，基于口令+指紋特征的雙因素身份認證方法不需隨身攜帶證物，提高了系統(tǒng)操作便利性；同時雙因素身份認證方法可移植到其他監(jiān)控系統(tǒng)。

參考文獻

[1] 蓋登宇，李洪宇. 基于虛擬儀器的焊接電信號測控系統(tǒng)研究進展[J]. 電子測量技術，2013，36（7）：74-77.

[2] ISLAM S H， BISWAS G P. Design of improved password authentication and update scheme based on elliptic curve cryptography[J]. Mathematical Computer Modelling，2013，57（11-12）：2703-2717.

[3] JUNG J W， LEE， D H， KIM J Y， et al. Cryptanalysis and improvement of efficient password-based user authentication scheme using hash function[C]∥International Conference on Ubiquitous Information Management and Communication ACM，2016.

[4] 章思宇，黃保青，白雪松，等. 基于動態(tài)口令的增強身份認證[J]. 華東師范大學學報（自然科學版），2015（S1）：246-251.

[5] 苑瑋琦，劉博. 基于空域與頻域穩(wěn)定特征融合的離焦虹膜識別[J]. 儀器儀表學報，2013，34（10）：2300-2308.

[6] MONDAL S， BOURS P. A computational approach to the continuous authentication biometric system[J]. Information Sciences an In-ternational Journal，2015，304（C）：28-53.

[7] 林森，吳微，苑瑋琦. 采用紋理近鄰模式的掌靜脈生物特征識別研究[J]. 儀器儀表學報，2015，36（10）：2330-2338.

[8] LAGHARI A， WAHEED-UR-REHMAN， MEMON Z A. Biometric authen-tication technique using smartphone sensor[C]∥2016 13th Inter-national Bhurban Conference on Applied Sciences and Technology（IBCAST）. IEEE，2016.

[9] LIU Y， PENG Y， WANG B， et al. IOT secure transmission based on integration of IBE and PKI/CA[J]. International Journal of Control Automation，2013（6）.

[10] PANG S T， INSPUR G C. Network authentication tech-nology based on public key system[J]. Telecommunications Science，2016.

[11] 陳耿新，黃堅，劉桂雄. 基于可信k-NN的面向EMC浪涌測試多狀態(tài)燈模式識別[J]. 電子測量與儀器學報，2015，29（11）：1718-1724.

[12] 劉桂雄，徐欽桂，文元美，等. 網絡化測控系統(tǒng)可信技術及應用[M]. 北京：清華大學出版社，2014：97-109.

[13] 劉桂雄，張龍，徐欽桂. 基于改進SHA-1物聯網監(jiān)測節(jié)點完整性驗證與增強方法[J]. 中國測試，2013，39（1）：80-83.

[14] BORITZ J E. IS practitioners views on core concepts of information integrity[J]. International Journal of Accounting Information Systems，2013（6）：260-279.

[15] CHAVAN S， MUNDADA P， PAL D. Fingerprint authentication using Gabor filter based matching algorithm[C]∥Technologies for Sustainable Development（ICTSD）， 2015 International Conference on IEEE，2015：1-6.

（編輯：劉楊）