郭劍鋒 郝玉軍

摘要：本文基于動態(tài)認證技術(shù)、手機實名制及移動終端的特性，提出了一套動態(tài)的認證體系，可屏蔽網(wǎng)絡(luò)的接入模式、接入方式等因素，實現(xiàn)對訪問者的身份認證，重點解決網(wǎng)站類應用在開放式訪問體系下被惡意攻擊的隱患，使得網(wǎng)站類應用的訪問可控，同時也可推動手機實名制的進一步發(fā)展。

關(guān)鍵詞：動態(tài)認證體系;手機實名制;接入模式

現(xiàn)狀描述

隨著網(wǎng)絡(luò)時代的到來，網(wǎng)絡(luò)化已經(jīng)成為企業(yè)信息化發(fā)展的大趨勢。人們在享受信息化帶來的眾多好處的同時，也面臨著網(wǎng)絡(luò)安全問題帶來的挑戰(zhàn)，特別是開放式訪問的網(wǎng)站系統(tǒng)、移動終端的大量使用，使得解決網(wǎng)絡(luò)信息安全問題成為當務之急。為了解決這些安全問題，各種安全機制、策略和工具被研究和應用，但很多工具的使用都只提供了部分的安全功能，如防火墻僅僅提供了邊界的防護及地址轉(zhuǎn)換的功能、IDS僅僅負責入侵的監(jiān)測和審計等、WAF僅僅針對web的訪問進行深度檢查和防護，而數(shù)字簽名等系統(tǒng)僅僅是對訪問的雙方進行身份認證，但都無法實現(xiàn)實名制的訪問，也即對攻擊的攻擊源的識別、身份的確認、預警等無法實現(xiàn)，因此造成了很多的系統(tǒng)被肆無忌憚地惡意攻擊。

這些安全隱患主要可以歸結(jié)為以下幾點：①每一種安全機制都有一定的應用范圍和應用環(huán)境;②安全工具的使用受到人為因素的影響;③系統(tǒng)的后門是傳統(tǒng)安全工具難以考慮到的地方;④黑客的攻擊手段在不斷地更新;⑤無法實名制進行審計、告警和跟蹤。

動態(tài)認證的描述

很多金融系統(tǒng)提供的個人銀行等功能，在認證中很普遍地使用了動態(tài)的認證系統(tǒng)，借助目前移動終端的大量使用，采用了手機的動態(tài)認證碼的方式，不僅陜捷、方便，同時在系統(tǒng)內(nèi)部將手機與系統(tǒng)賬戶綁定，提供了安全且有時效性的動態(tài)安全認證。但在目前的重要網(wǎng)站類應用中，僅僅采用金融系統(tǒng)中使用的動態(tài)認證方式還無法完全滿足安全的訪問要求，網(wǎng)站類訪問一般不會預先綁定相應的被訪問者的手機號碼，而手機號碼的實名制也剛剛開展，還有很多的手機號碼不是實名制存在。關(guān)鍵的問題是，在手機的短信認證過程中還會產(chǎn)生相應的信息費，如果訪問量很大，信息費就會很高，因此無法大規(guī)模應用。

而如果將“手機實名制+即時所在地+IP地址歸屬地”聯(lián)合認證，通過手機的實名制綁定訪問者的身份，通過即時所在地的檢查進行所在地和IP地址的聯(lián)合檢查，確定訪問者的所屬地，則能為系統(tǒng)的審計和被冒用的檢查提供相應的信息。手機實名制需要通過相應的手機實名制系統(tǒng)進行登記，將所有的訪問者通過實名制進行管理，對PC端進行實名制的綁定，同時也對移動終端進行綁定;即時所在地的查詢就是通過綁定的手機對訪問者進行即時所在地的檢查，同時檢查被訪問的IP所在地同即時所在地是否一致，最后基本確定誰在哪里進行的訪問，這對很多業(yè)務系統(tǒng)的使用，如電子政務的網(wǎng)上辦事大廳、民心網(wǎng)的網(wǎng)絡(luò)投訴受理、BBS系統(tǒng)的網(wǎng)絡(luò)跟帖的身份認證等都有相當大的幫助。

采用動態(tài)認證體系

通過上面的功能要求，可采用下述的動態(tài)認證體系進行開放式網(wǎng)絡(luò)的訪問認證。目前，網(wǎng)絡(luò)上的各種網(wǎng)站類的訪問很多都是無限制的、完全開放的。開放的訪問隨之而來的是安全問題突出，應用的訪問不可控，因此有必要改變現(xiàn)在的完全開放式訪問模式，增加相應的控制和認證層面，實現(xiàn)訪問安全可控。系統(tǒng)架構(gòu)如圖1所示。

增加相應的控制層面，實現(xiàn)安全策略中心的制訂、用戶接入的實名制認證等功能，使得原來開放式的訪問通過控制層面進行授權(quán)，那就是什么地區(qū)的用戶、什么類型的用戶可以訪問什么樣的權(quán)限。

1.認證流程

要實現(xiàn)上述三層的系統(tǒng)架構(gòu)，重點需要建設(shè)相應的控制層面，制訂統(tǒng)一的訪問接口。認證的過程包括客戶端到服務器的認證、服務器到手機實名制中心的認證以及手機實名制與客戶端的手機的互動過程（如圖2）。

用戶通過終端訪問某個網(wǎng)站類應用，在第一次訪問時服務器會給用戶推送一個認證的頁面，需要用戶輸入自己的手機號碼及當前所在地（此部分可以作為選擇項），發(fā)送給服務器，服務器根據(jù)用戶的手機號到手機實名制中心進行手機的實名制信息查詢，同時對用戶當前的位置信息進行查詢。如果該手機未到實名制中心登記，那么首先需要登記成功才能進一步操作，如果已經(jīng)登記了，那么手機實名制中心將用戶的當前所在地信息返回給服務器，服務器應用該信息，比對目前用戶的上網(wǎng)IP是不是在該用戶當前的所在地。如果比對不成功提示重新正確輸入相應的信息，如果三次都錯誤，那么將該用戶列入可疑名單，同時向告警中心發(fā)送相應的告警;如果比對成功，服務器向手機實名制中心發(fā)送相應的驗證碼，手機實名制中心將向相應的用戶推送相應的驗證碼，用戶最后輸入該驗證碼實現(xiàn)網(wǎng)絡(luò)的正常訪問。在手機實名制中心和手機用戶間，需要手機上安裝相應的手機實名制中心的APP，實現(xiàn)用戶跨區(qū)變動實時更新手機實名制中心的位置信息，也負責接收手機實名制中心下發(fā)的相關(guān)認證信息等。

2.相關(guān)說明

用戶訪問某個網(wǎng)站類應用時，首先發(fā)起實名制的認證，如果終端的IP不跨區(qū)變化，那么不需要重新進行認證，直至客戶端退出該網(wǎng)站應用的訪問頁面。手機實名制中心為用戶免費提供相應的手機客戶端軟件，同時，手機安裝相應的軟件。在位置發(fā)生變化時，將相應的手機號碼、位置信息發(fā)送給手機實名制中心，手機實名制中心也提供給相應的API接口，對每個網(wǎng)站類應用的ICP進行唯一性的認證，確保每個ICP都是唯一的接人號碼，且可實施強制的認證過程。

動態(tài)認證的相關(guān)問題研究

1.優(yōu)點

①可通過手機實名制實現(xiàn)Web訪問的實名制，便于審計、預警，規(guī)范網(wǎng)絡(luò)訪問行為，特別是針對可上傳的各類業(yè)務，都可以起到預警的功能，盡可能地避免虛假、信息的發(fā)布;

②可進行屬地化管理，如某個地市的政府部門的網(wǎng)上辦事大廳的在線業(yè)務，就可以限制只能是本地的用戶訪問、業(yè)務辦理，對異地的接入限定相應的訪問權(quán)限，避免網(wǎng)絡(luò)的惡意攻擊;

③可以對國外用戶的一些訪問進行限制，如沒有國內(nèi)手機實名制的用戶，可限定只能訪問最簡單的靜態(tài)網(wǎng)頁，無法實現(xiàn)數(shù)據(jù)的上傳，避免被國外的組織惡意攻擊、被利用等;

④可進一步完善手機實名制的體系，為更多的業(yè)務提供實名制的驗證功能;

⑤建立手機實名制認證系統(tǒng)，可以一次認證多系統(tǒng)接入，避免重復的認證;

⑥通過智能手機APP的互動，避免大量產(chǎn)生短信信息費的問題;

⑦可以解決目前大量免費的無認證接入終端的認證問題，如大量WIFI的無限制接入，屏蔽了接入的模式等;

⑧實名制訪問后，在訪問初期的頁面就可以進行提示，起到了預警、震懾的作用;

⑨對掃描類攻擊、網(wǎng)絡(luò)爬蟲的使用等都會有相應的限制，可有效地減少被網(wǎng)絡(luò)上泛濫的各種免費的滲透攻擊工具的攻擊。

針對移動終端類的訪問，在手機端的手機實名制中心的APP可以實現(xiàn)手機號碼及當前所屬的檢查，這樣可以不進行相應的認證。

2.不足及相應對策

①無智能手機的用戶的認證——針對此類用戶，在Server端可提供無需認證的免費頁面，無法實現(xiàn)交互類業(yè)務;

②針對國外的用戶訪問，無法實現(xiàn)手機實名制——可通過國內(nèi)的代理用戶實現(xiàn)，這就要求代理用戶必須實名制，同時代理的軟件可以提供源IP，且對國外的IP進行實時監(jiān)控和審計;

③對于國內(nèi)的計算機被國外某些組織當成“肉雞”利用的現(xiàn)象，一旦認證成功后訪問相應的Server，那么被控制的“肉雞”就可以攻擊相應的Server——可以通過手機實名制中心給手機端的APP推送相應的告警消息，及時檢查就可以避免更多的攻擊發(fā)生。手機實名制后，如果個人不重視自己的計算機的安全，被利用作為“肉雞”攻擊了相應的服務器，也要連帶承擔相應的責任，因此這也可以大大提高每個人的安全意識。如果能夠同電信運營商進行合作，對相應的“肉雞”網(wǎng)絡(luò)進行管控，通過SDN技術(shù)實現(xiàn)自動的安全策略限制，可以有效地解決目前大量被控的“肉雞”問題。

④手機被冒用的問題——由于有驗證碼的輸入過程，只有正確的手機號碼才能收到相應的驗證碼，才能通過相應的驗證碼進行正常的網(wǎng)絡(luò)訪問，因此，只要將實名制的手機號碼和APP的ID號唯一綁定，同時進行加密傳輸，就可以避免相應的冒用問題。

⑤手機實名制不準確的問題——在手機實名制中心無登記的用戶，首次訪問要提示用戶進行登記，如果無法進行實名制登記，即手機的機主姓名同手機號碼不是實名的，那么也可以通過該應用進一步完善和確認手機實名制，減少手機非實名制的問題。

3.政策層面的考慮

網(wǎng)絡(luò)訪問實名制的前提是手機實名制的建立和完善，國家需要建立相應的手機實名制中心，同各個電信運營商合作，實時進行更新，這需要國家層面相應政策、資金、技術(shù)的支持才能實現(xiàn)。

該認證體系結(jié)合了手機實名制的體系，通過智能終端的普及和應用，將移動終端、固定終端結(jié)合，屏蔽了網(wǎng)絡(luò)的接入模式、接入方式和接入地等因素，無論是免費的無任何認證的WIFI接入點，還是通過認證的家庭的ADSL、光纖、EPON接入，抑或是某個單位使用防火墻的NAT地址變換后的接入，都可以實現(xiàn)終端的實名制認證，為快速定位問題的人、攻擊等事件提供了可能，為全網(wǎng)的可管、可控提供了基礎(chǔ)，因此，建設(shè)手機實名制中心應作為國家的一項基礎(chǔ)工程開展，類似地DNS的架構(gòu)體系也可以在現(xiàn)在的DNS的基礎(chǔ)上進行功能擴展實現(xiàn)。