周平，劉廷峰，李江鑫

（四川中電啟明星信息技術(shù)有限公司，四川成都 610000）

1 引言

隨著企業(yè)信息化的不斷發(fā)展，越來(lái)越多的應(yīng)用在企業(yè)中構(gòu)建和運(yùn)行，然而，截至現(xiàn)在大多數(shù)企業(yè)應(yīng)用都是采用傳統(tǒng)的賬號(hào)和密碼進(jìn)行系統(tǒng)認(rèn)證登錄，對(duì)于系統(tǒng)使用者來(lái)說(shuō)，需要記住很多系統(tǒng)的密碼，并且由于國(guó)家在信息安全方面的嚴(yán)格要求，很多交易類的系統(tǒng)在信息安全方面的要求尤為嚴(yán)格，因此，用戶需要記住很多系統(tǒng)的復(fù)雜密碼來(lái)登錄登錄系統(tǒng)，并且需要按要求進(jìn)行密碼過(guò)期修改和提醒。對(duì)于管理員來(lái)說(shuō)，必須承擔(dān)保護(hù)密碼的責(zé)任，一旦密碼泄漏，對(duì)企業(yè)應(yīng)用的業(yè)務(wù)和信譽(yù)都是巨大打擊。另外目前網(wǎng)絡(luò)上存在大量的進(jìn)程盜號(hào)木馬、鍵盤記錄木馬、遠(yuǎn)程控制木馬、會(huì)話劫持木馬、釣魚(yú)程序等盜號(hào)程序，大量的賬號(hào)密碼丟失，造成了非常大的危害。

2 企業(yè)級(jí)免密認(rèn)證系統(tǒng)需求

企業(yè)無(wú)密認(rèn)證解決方案能夠解決傳統(tǒng)以密碼為核心的認(rèn)證體系的諸多問(wèn)題，解決傳統(tǒng)密碼問(wèn)題 ，是企業(yè)完成認(rèn)證體系升級(jí)，實(shí)現(xiàn)去密碼化的關(guān)鍵。方案主要基于移動(dòng)及生物識(shí)別技術(shù)，提供如掃碼、指紋驗(yàn)證、動(dòng)態(tài)口令等多種認(rèn)證方式，解決如下問(wèn)題：

1) 賬號(hào)密碼使用安全；

2) 賬號(hào)密碼無(wú)法被盜?。?/p>

3) 服務(wù)器賬號(hào)密碼庫(kù)安全；

4) 簡(jiǎn)捷快速安全登錄；

5) 內(nèi)外網(wǎng)數(shù)據(jù)安全隔離。

2.1 技術(shù)難點(diǎn)

1) 如何將用戶在移動(dòng)端的身份與內(nèi)網(wǎng)身份進(jìn)行綁定，關(guān)系著用戶使用門檻、便捷性的重要問(wèn)題，鑒于所有用戶信息其實(shí)都存在于企業(yè)的內(nèi)部網(wǎng)絡(luò)，且與互聯(lián)網(wǎng)物理隔離，內(nèi)外身份的綁定是關(guān)鍵。

2) 如何穿透內(nèi)外網(wǎng)，在內(nèi)外網(wǎng)物理隔離的情況下，需要將所有請(qǐng)求轉(zhuǎn)換成SQL數(shù)據(jù)，再由內(nèi)網(wǎng)權(quán)威身份中心處理后完成。

高校應(yīng)積極改善教學(xué)模式，積極采取主體教育的方式，強(qiáng)化教育有效性。在教學(xué)中，應(yīng)充分重視學(xué)生的主體地位，尊重學(xué)生的“主角”位置，促進(jìn)學(xué)生積極參與到課堂教學(xué)中，教師需要以輔導(dǎo)和引導(dǎo)的方式來(lái)調(diào)動(dòng)學(xué)生的學(xué)習(xí)主動(dòng)性與積極性，激發(fā)學(xué)生的創(chuàng)造能力。[6]

3) 如何保證數(shù)據(jù)安全，需要設(shè)計(jì)身份中轉(zhuǎn)器，實(shí)現(xiàn)用戶的內(nèi)網(wǎng)帳號(hào)信息及實(shí)名用戶信息不曝露在DMZ區(qū)、外網(wǎng)。

2.2 用戶角色

免密認(rèn)證系統(tǒng)主要解決用戶登錄的便捷性、安全性問(wèn)題，同時(shí)解決企業(yè)的密碼管理難題，系統(tǒng)角色方包括普通用戶、系統(tǒng)運(yùn)維管理員、業(yè)務(wù)支持管理員、審計(jì)管理員。

3 企業(yè)級(jí)免密認(rèn)證系統(tǒng)的設(shè)計(jì)

3.1 架構(gòu)設(shè)計(jì)

本文提出了一種基于企業(yè)內(nèi)外網(wǎng)場(chǎng)景的非涉密登錄關(guān)鍵技術(shù)“身份口令掃碼身份識(shí)別”復(fù)合技術(shù)，克服了現(xiàn)有技術(shù)的困難，避免在一個(gè)平臺(tái)下面同時(shí)獲取帳號(hào)、密碼問(wèn)題，在輸入過(guò)程中出現(xiàn)帳號(hào)密碼明文的問(wèn)題，在使用過(guò)程中無(wú)需用戶輸入用戶賬號(hào)和密碼，通過(guò)“手機(jī)掃描+動(dòng)態(tài)數(shù)字”方式完成認(rèn)證，更加快捷、安全的登錄企業(yè)應(yīng)用系統(tǒng)。

1) 在個(gè)人移動(dòng)設(shè)備上通過(guò)掃描二維碼，并且通過(guò)個(gè)人手機(jī)發(fā)送短信完成用戶身份信息的綁定。

2) 用戶掃描登錄二維碼，手機(jī)會(huì)將安全認(rèn)證碼以及個(gè)人手機(jī)信息通過(guò)國(guó)密加密算法發(fā)送至移動(dòng)交互平臺(tái)。

3) 移動(dòng)交互平臺(tái)根據(jù)傳遞過(guò)來(lái)的二維碼個(gè)人信息，判斷用戶是掃描的內(nèi)網(wǎng)還是外網(wǎng)認(rèn)證服務(wù)，進(jìn)行路由策略匹配。

5) 內(nèi)網(wǎng)認(rèn)證服務(wù)通過(guò)解析讀取內(nèi)網(wǎng)數(shù)據(jù)庫(kù)完成認(rèn)證服務(wù)流程。

6) 如果認(rèn)證成功進(jìn)入內(nèi)網(wǎng)應(yīng)用，認(rèn)證失敗，返回錯(cuò)誤信息。

4 企業(yè)級(jí)免密認(rèn)證系統(tǒng)的關(guān)鍵技術(shù)

1) 內(nèi)外網(wǎng)安全交互技術(shù)

互聯(lián)網(wǎng)與外網(wǎng)邊界：通過(guò)統(tǒng)建外網(wǎng)安全交互平臺(tái)，實(shí)現(xiàn)移動(dòng)應(yīng)用的身份認(rèn)證、訪問(wèn)控制、傳輸加密以及應(yīng)用過(guò)濾。

圖1 數(shù)字聯(lián)盟可信ID簡(jiǎn)明邏輯圖

外網(wǎng)與內(nèi)網(wǎng)邊界：通過(guò)統(tǒng)建安全隔離裝置，基于數(shù)據(jù)庫(kù)代理訪問(wèn)實(shí)現(xiàn)內(nèi)外網(wǎng)數(shù)據(jù)安全交互。

2) 會(huì)話交互技術(shù)

通過(guò)移動(dòng)互聯(lián)支撐平臺(tái)提供的第三方安全加固技術(shù)，實(shí)現(xiàn)客戶端應(yīng)用防逆向、防篡改、反調(diào)試保護(hù)。與服務(wù)端接口交互采用安全token認(rèn)證，對(duì)交互數(shù)據(jù)長(zhǎng)度類型進(jìn)行安全校驗(yàn)。

3) 數(shù)據(jù)安全

移動(dòng)客戶端不存儲(chǔ)企業(yè)機(jī)密信息和用戶隱私數(shù)據(jù)，重要數(shù)據(jù)傳輸采用S S L協(xié)議結(jié)合SM2、SM3、SM4國(guó)密算法進(jìn)行加密傳輸和數(shù)字簽名。

4) 二維碼編碼技術(shù)

數(shù)據(jù)分析：確定編碼的字符類型，按相應(yīng)的字符集轉(zhuǎn)換成符號(hào)字符；選擇糾錯(cuò)等級(jí)，在規(guī)格一定的條件下，糾錯(cuò)等級(jí)越高其真實(shí)數(shù)據(jù)的容量越小。

數(shù)據(jù)編碼：將數(shù)據(jù)字符轉(zhuǎn)換為位流，每8位一個(gè)碼字，整體構(gòu)成一個(gè)數(shù)據(jù)的碼字序列。其實(shí)知道這個(gè)數(shù)據(jù)碼字序列就知道了二維碼的數(shù)據(jù)內(nèi)容，如圖2所示。

圖2 數(shù)據(jù)編碼

5 結(jié)束語(yǔ)

本文的重點(diǎn)是通過(guò)唯一身份信息綁定，通過(guò)用戶移動(dòng)端設(shè)備掃碼，在企業(yè)信息內(nèi)外網(wǎng)交換過(guò)程當(dāng)中使用信息安全隔離裝置，保證外網(wǎng)用戶不能夠直接操作內(nèi)網(wǎng)數(shù)據(jù)庫(kù)，最終形成一套“身份+二維碼”可信安全認(rèn)證方案，為信息系統(tǒng)行為安全策略制定、風(fēng)險(xiǎn)內(nèi)控提供有力的數(shù)據(jù)支撐，為提升企業(yè)網(wǎng)絡(luò)空間的安全防護(hù)把好入口。