周平，劉廷峰，李江鑫

（四川中電啟明星信息技術(shù)有限公司，四川成都 610000）

1 引言

隨著企業(yè)信息化的不斷發(fā)展，越來越多的應(yīng)用在企業(yè)中構(gòu)建和運行，然而，截至現(xiàn)在大多數(shù)企業(yè)應(yīng)用都是采用傳統(tǒng)的賬號和密碼進行系統(tǒng)認證登錄，對于系統(tǒng)使用者來說，需要記住很多系統(tǒng)的密碼，并且由于國家在信息安全方面的嚴格要求，很多交易類的系統(tǒng)在信息安全方面的要求尤為嚴格，因此，用戶需要記住很多系統(tǒng)的復雜密碼來登錄登錄系統(tǒng)，并且需要按要求進行密碼過期修改和提醒。對于管理員來說，必須承擔保護密碼的責任，一旦密碼泄漏，對企業(yè)應(yīng)用的業(yè)務(wù)和信譽都是巨大打擊。另外目前網(wǎng)絡(luò)上存在大量的進程盜號木馬、鍵盤記錄木馬、遠程控制木馬、會話劫持木馬、釣魚程序等盜號程序，大量的賬號密碼丟失，造成了非常大的危害。

2 企業(yè)級免密認證系統(tǒng)需求

企業(yè)無密認證解決方案能夠解決傳統(tǒng)以密碼為核心的認證體系的諸多問題，解決傳統(tǒng)密碼問題 ，是企業(yè)完成認證體系升級，實現(xiàn)去密碼化的關(guān)鍵。方案主要基于移動及生物識別技術(shù)，提供如掃碼、指紋驗證、動態(tài)口令等多種認證方式，解決如下問題：

1) 賬號密碼使用安全；

2) 賬號密碼無法被盜??；

3) 服務(wù)器賬號密碼庫安全；

4) 簡捷快速安全登錄；

5) 內(nèi)外網(wǎng)數(shù)據(jù)安全隔離。

2.1 技術(shù)難點

1) 如何將用戶在移動端的身份與內(nèi)網(wǎng)身份進行綁定，關(guān)系著用戶使用門檻、便捷性的重要問題，鑒于所有用戶信息其實都存在于企業(yè)的內(nèi)部網(wǎng)絡(luò)，且與互聯(lián)網(wǎng)物理隔離，內(nèi)外身份的綁定是關(guān)鍵。

2) 如何穿透內(nèi)外網(wǎng)，在內(nèi)外網(wǎng)物理隔離的情況下，需要將所有請求轉(zhuǎn)換成SQL數(shù)據(jù)，再由內(nèi)網(wǎng)權(quán)威身份中心處理后完成。

高校應(yīng)積極改善教學模式，積極采取主體教育的方式，強化教育有效性。在教學中，應(yīng)充分重視學生的主體地位，尊重學生的“主角”位置，促進學生積極參與到課堂教學中，教師需要以輔導和引導的方式來調(diào)動學生的學習主動性與積極性，激發(fā)學生的創(chuàng)造能力。[6]

3) 如何保證數(shù)據(jù)安全，需要設(shè)計身份中轉(zhuǎn)器，實現(xiàn)用戶的內(nèi)網(wǎng)帳號信息及實名用戶信息不曝露在DMZ區(qū)、外網(wǎng)。

2.2 用戶角色

免密認證系統(tǒng)主要解決用戶登錄的便捷性、安全性問題，同時解決企業(yè)的密碼管理難題，系統(tǒng)角色方包括普通用戶、系統(tǒng)運維管理員、業(yè)務(wù)支持管理員、審計管理員。

3 企業(yè)級免密認證系統(tǒng)的設(shè)計

3.1 架構(gòu)設(shè)計

本文提出了一種基于企業(yè)內(nèi)外網(wǎng)場景的非涉密登錄關(guān)鍵技術(shù)“身份口令掃碼身份識別”復合技術(shù)，克服了現(xiàn)有技術(shù)的困難，避免在一個平臺下面同時獲取帳號、密碼問題，在輸入過程中出現(xiàn)帳號密碼明文的問題，在使用過程中無需用戶輸入用戶賬號和密碼，通過“手機掃描+動態(tài)數(shù)字”方式完成認證，更加快捷、安全的登錄企業(yè)應(yīng)用系統(tǒng)。

1) 在個人移動設(shè)備上通過掃描二維碼，并且通過個人手機發(fā)送短信完成用戶身份信息的綁定。

2) 用戶掃描登錄二維碼，手機會將安全認證碼以及個人手機信息通過國密加密算法發(fā)送至移動交互平臺。

3) 移動交互平臺根據(jù)傳遞過來的二維碼個人信息，判斷用戶是掃描的內(nèi)網(wǎng)還是外網(wǎng)認證服務(wù)，進行路由策略匹配。

5) 內(nèi)網(wǎng)認證服務(wù)通過解析讀取內(nèi)網(wǎng)數(shù)據(jù)庫完成認證服務(wù)流程。

6) 如果認證成功進入內(nèi)網(wǎng)應(yīng)用，認證失敗，返回錯誤信息。

4 企業(yè)級免密認證系統(tǒng)的關(guān)鍵技術(shù)

1) 內(nèi)外網(wǎng)安全交互技術(shù)

互聯(lián)網(wǎng)與外網(wǎng)邊界：通過統(tǒng)建外網(wǎng)安全交互平臺，實現(xiàn)移動應(yīng)用的身份認證、訪問控制、傳輸加密以及應(yīng)用過濾。

圖1 數(shù)字聯(lián)盟可信ID簡明邏輯圖

外網(wǎng)與內(nèi)網(wǎng)邊界：通過統(tǒng)建安全隔離裝置，基于數(shù)據(jù)庫代理訪問實現(xiàn)內(nèi)外網(wǎng)數(shù)據(jù)安全交互。

2) 會話交互技術(shù)

通過移動互聯(lián)支撐平臺提供的第三方安全加固技術(shù)，實現(xiàn)客戶端應(yīng)用防逆向、防篡改、反調(diào)試保護。與服務(wù)端接口交互采用安全token認證，對交互數(shù)據(jù)長度類型進行安全校驗。

3) 數(shù)據(jù)安全

移動客戶端不存儲企業(yè)機密信息和用戶隱私數(shù)據(jù)，重要數(shù)據(jù)傳輸采用S S L協(xié)議結(jié)合SM2、SM3、SM4國密算法進行加密傳輸和數(shù)字簽名。

4) 二維碼編碼技術(shù)

數(shù)據(jù)分析：確定編碼的字符類型，按相應(yīng)的字符集轉(zhuǎn)換成符號字符；選擇糾錯等級，在規(guī)格一定的條件下，糾錯等級越高其真實數(shù)據(jù)的容量越小。

數(shù)據(jù)編碼：將數(shù)據(jù)字符轉(zhuǎn)換為位流，每8位一個碼字，整體構(gòu)成一個數(shù)據(jù)的碼字序列。其實知道這個數(shù)據(jù)碼字序列就知道了二維碼的數(shù)據(jù)內(nèi)容，如圖2所示。

圖2 數(shù)據(jù)編碼

5 結(jié)束語

本文的重點是通過唯一身份信息綁定，通過用戶移動端設(shè)備掃碼，在企業(yè)信息內(nèi)外網(wǎng)交換過程當中使用信息安全隔離裝置，保證外網(wǎng)用戶不能夠直接操作內(nèi)網(wǎng)數(shù)據(jù)庫，最終形成一套“身份+二維碼”可信安全認證方案，為信息系統(tǒng)行為安全策略制定、風險內(nèi)控提供有力的數(shù)據(jù)支撐，為提升企業(yè)網(wǎng)絡(luò)空間的安全防護把好入口。