基于WEB的分级身份认证方案的研究与实现:身份认证系统

　　摘 要 随着网络技术的发展，网站中的数据被攻击、盗取的问题越来越严重。确保用户身份真实性，是保障网站中数据的安全性的首要问题。本文主要针对媒体传播类网站中数据的安全级别采用动画验证码、用户密钥分级身份认证方法，认定用户身份，保障网站的安全。
　　关键词 身份认证；动画验证码；用户密钥
　　中图分类号 TP393 文献标识码 A 文章编号 1673-9671-(2012)021-0110-02
　　
　　随着流媒体、多媒体信息和网络技术的发展，集图片、音频、视频为一体的媒体传播类网站也发展越来越多，越来越快。现今所有的多媒体传播网站都是以用户为基础，一般游客可以观看免费的多媒体文件，而对于收费或者带有知识产权的多媒体文件必须由用户在网站上注册、登录然后才能进行观看或者下载。为了保护多媒体文件提供者的知识产权和缴费用户权益，防止多媒体文件在网络传播中被肆意下载，识别用户的真实身份即身份认证是保护在WEB传播的多媒体文件的安全性的第一步，也是非常重要的一步。
　　1 WEB中用户身份认证需求分析
　　身份认证技术一般包括五种：用户所持标记认证（例如：智能卡等）、生物特征认证（例如：用户的声音、虹膜、指纹等）、动态口令、双向身份认证技术、用户所知认证（例如：用户名+密码）。对于媒体传播类网站的用户而言，采用外部硬件或者生物特征认证造价过高；采用动态口令和双向身份认证在实现起来比较困难；采用用户所知认证即用户名+密码的形式实现比较简单，但是其安全性不高。在媒体传播类网站中为了达到开发简单易行，用户使用方便的目的，应采用在用户所知认证这种身份认证技术，但是必须符合以下的一些标准：①用户名和密码的长度和复杂度要求适中，能被用户记住；②用户名和密码不能使用cookies等方法存储在客户计算机内；③合法用户可以自由的更改其密码；④用户的密码、密钥不能被管理员随意获取；⑤用户的密码、密钥不能在网络中以明文和文本的方式进行传输；⑥防止冒充的用户登录到服务器；⑦身份认证方案能防止揣测、篡改、窃取；⑧身份认证方案必须可靠并且可实现。
　　2 身份认证方案设计
　　在多媒体传播网站中的用户和数据可以根据情况划分为不同的级别。用户可分为游客和各级别会员，数据可以分为免费和付费多媒体文件。本文根据不同的用户访问不同的数据对于身份认证的需求也不同，设计出一套根据数据和用户级别不同的安全需求身份认证方案，即“用户名+密码+验证码+[动画验证码]+[用户密钥]”方式（其中“[]”中的内容表示根据情况使用）。
　　各级用户（包括游客）可以直接观看免费多媒体文件，游客如果需要在网站中下载免费多媒体文件，观看或下载收费多媒体文件，就必须先注册为该网站的会员。在注册时用户必须输入用户名、密码、用户密钥、邮箱、验证码等相关信息。注册提交信息时对密码采用MD5加密，并保存到数据库中；用户密钥采用加密算法进行加密后保存到数据库中。注册后，用户成功登录，具备了会员的身份。会员如果要下载免费多媒体文件或者了解收费多媒体文件必须先输入动画验证码。会员如果要收看和下载收费多媒体文件必须要先输入该用户的身份密钥，确认成功后方可进行相应的动作。如会员忘记了密码或者用户密钥，必须通过网站系统提交申请，网站系统生成新的用户密钥，并以邮件的形式发送给用户。具体方案如图1所示。
　　3 关键技术的实现
　　在“用户名+密码+验证码+[动画验证码]+[用户密钥]”分级身份认证中，最关键的就是实现动画验证码和用户密钥的加密、生成。
　　1）动画验证码的设计与实现。为了防止入侵者肆意下载媒体传播类网站中的文件和查看涉及到版权的数据，验证码的使用非常广泛。现在验证码主要采用的是图片形式，并加入了大量的干扰信息（例如：文字倾斜、变形、杂点等），但是随着图片识别技术（分割字符和抽取特征技术）的发展，普通图片验证码被破解的机率越来越大。本文提出的动画图片验证码[3]采用随机字符以简单的水平运动形式的动画图片，方便用户的查看和识别，又让攻击程序难以破解，其生成过程如图2所示。
　　图2 动画验证码生成流程图
　　动画图片验证码最重要的一是生成随机数。以ASP.NET为例，System.Random类中new random（随机种子）方法即可生成一个随机数。二是动画图片的形成。因为是动画图片验证码图片，所以该图片必须为GIF格式。ASP.NET提供了对GDI+基本图形的访问和操作功能，能生成BMP图片，然后把每张BMP图片作为GIF图片动画的帧，生成相应的GIF动画图片。
　　2）用户密钥的设计与实现。用户密钥由用户在注册时自行输入，然后经过加密算法对其加密然后通过密文传输保存到相应的数据库。由于用户密钥是由用户自行输入，为了防止知道算法的管理员窃取用户密钥，本文采用“用户密钥+密码+注册时间”三个元素相结合进行加密，然后再保存到数据库。这样就算是管理员对其解密，任然无法得到正确的用户密钥。其用户注册加密用户密钥的流程如图3，和用户使用用户密钥登录流程如图4所示。
　　在网站中对于数据加密算法一般有MD5、DES、3DES、AES等算法。AES是下一代的加密算法标准，速度快，安全级别高，目前 AES 标准的实现采用Rijndael 算法。以ASP.NET为例，在System.Security.Cryptography命名空间中包含了RijndaelManaged类，其CreateEncryptor方法创建对称加密器对象，用于加密；CreateDecryptor方法创建对称 Rijndael 解密器对象，用于解密。
　　4 总结
　　随着媒体传播类网站的快速发展，保障其网站中多媒体文件的知识产权和付费用户的利益成为了一个非常重要的问题。根据传播类网站中多媒体文件安全要求的级别，本文中提出了第一级：用户名+密码+验证码，第二级：动画验证码，第三级：用户密钥，这种“用户名+密码+验证码+[动画验证码]+[用户密钥]”分级身份认证方法，该方法实现简单易行，对于WEB中，根据不同级别数据的安全需求，提供不同的身份认证措施，能层层递进的保障网站中数据的安全。
　　
　　基金项目：湖南大众传媒职业技术学院院级科研课题《基于WEB的多媒体文件安全传播的研究与实现》（项目编号：11YJ16）。
　　
　　参考文献
　　[1]段正敏.身份认证技术研究与实现[D].重庆:重庆大学,2004.
　　[2]董黎波.WEB口令认证与口令保护方案的研究与设计[D].武汉：华中科技大学，2008：19-27.
　　[3]罗卓君.基于.NET的精品课程开发系统的研究与实现[D].长沙:湖南大学,2010.
　　[4]尹帮治.一种新的网站用户登录验证方案[J].微型电脑应用,2008,24(10).
　　[5]黄华.ASP.NET中加密和解密的实现方法[J].淮阴工学院学报,2005,14(1).

推荐访问:分级 身份认证 方案 研究