寬帶門戶網(wǎng)站身份認證系統(tǒng)設計

寬帶門戶網(wǎng)站身份認證系統(tǒng)設計摘要研究了湖南鐵通寬帶門戶網(wǎng)站身份認證系統(tǒng)的功能需求，從統(tǒng)一認證、認證平安性和通用性等方面提出了一套全面的解決方案。方案利用集中用戶管理實現(xiàn)統(tǒng)一認證；利用“一次一密〞，兩次認證的方式實現(xiàn)良好的平安性；利用EBSERVIES架構(gòu)實現(xiàn)系統(tǒng)的通用性。關(guān)鍵詞統(tǒng)一身份認證；時間戳；ebServies1背景在以前，寬帶的速度是吸引用戶的根本原因。當寬帶用戶以前所未有的速度成倍增長的時候，價格和速度已不是影響網(wǎng)民上網(wǎng)的主要因素，沒有豐富的內(nèi)容用戶就不能真正享受“寬帶之旅〞。湖南鐵通從各個不同的內(nèi)容提供商手中獲得多種內(nèi)容效勞，這些效勞在窄帶情況下用戶享用起來比擬困難，比方在線下載、VD點播、在線游戲等。然后通過寬帶門戶網(wǎng)站進展集成，再提供應用戶。用戶通過訪問寬帶門戶網(wǎng)站可以享受到多種內(nèi)容效勞。要想從用戶處獲取使用內(nèi)容的費用，寬帶門戶網(wǎng)站就必需要有一個良好的認證計費系統(tǒng)，本文主要闡述身份認證系統(tǒng)的設計。2身份認證系統(tǒng)的目的功能通過對整個寬帶門戶網(wǎng)站的需求分析，確定了身份認證系統(tǒng)必須具備以下的功能：a)提供統(tǒng)一的認證途徑。寬帶門戶網(wǎng)站的各個內(nèi)容效勞系統(tǒng)是從不同的內(nèi)容提供商手中獲得的，每個系統(tǒng)都有各自的用戶系統(tǒng)和認證方式。讓用戶每訪問一個內(nèi)容效勞系統(tǒng)就需要登錄一次，顯然是用戶難以承受的認證方式。因此身份認證系統(tǒng)要提供一個統(tǒng)一的身份認證，讓用戶一次登錄，可以訪問全網(wǎng)的資源b)系統(tǒng)具有良好的可擴展性和可集成性。寬帶門戶網(wǎng)站在開展過程中還會不斷地提供新的內(nèi)容效勞，這就要求身份認證系統(tǒng)具有良好的擴展性和可集成性，不僅能支持現(xiàn)有的內(nèi)容業(yè)務系統(tǒng)及其現(xiàn)有的用戶系統(tǒng)，當有新的內(nèi)容業(yè)務系統(tǒng)被部署或開發(fā)的時候，這個統(tǒng)一身份認證效勞可以作為它的身份認證模塊的形式工作，也就是說，新的內(nèi)容業(yè)務系統(tǒng)可以不自帶用戶系統(tǒng)，可以通過集成該效勞的形式來實現(xiàn)等價的功能。)系統(tǒng)提供跨平臺認證的功能。各個內(nèi)容業(yè)務系統(tǒng)各有特點，分別運行在不同的平臺上，都要能和身份認證系統(tǒng)交互，這就要求身份認證系統(tǒng)提供跨平臺認證的功能。d)系統(tǒng)具有良好的平安性。由于使用內(nèi)容業(yè)務系統(tǒng)，用戶要付費，身份認證系統(tǒng)要保障用戶的平安。3解決方案3.1統(tǒng)一認證的兩種方式統(tǒng)一身份認證系統(tǒng)的核心思想是將用戶統(tǒng)一存儲,對應用系統(tǒng)統(tǒng)一受權(quán),標準內(nèi)容業(yè)務系統(tǒng)的用戶認證方式,從而到達進步整個系統(tǒng)的整體性、可管理性和平安性的效果。內(nèi)容業(yè)務系統(tǒng)要想判斷某一用戶是否可以訪問自己，必須和身份認證系統(tǒng)進展交互。由身份認證系統(tǒng)負責對用戶進展集中認證。用戶訪問內(nèi)容效勞系統(tǒng)可以有兩種方式：通過寬帶門戶網(wǎng)站訪問內(nèi)容效勞系統(tǒng)，或者是直接訪問內(nèi)容效勞系統(tǒng)。根據(jù)這兩種訪問方式身份認證系統(tǒng)要提供兩種認證方式。第一種認證方式：用戶直接登陸內(nèi)容業(yè)務系統(tǒng)，內(nèi)容業(yè)務系統(tǒng)將用戶提供的用戶名/密碼等轉(zhuǎn)發(fā)給統(tǒng)一身份認證效勞以檢驗其是否通過受權(quán)。流程如圖1所示圖1第一種身份認證方式第二種認證方式：用戶首先登錄統(tǒng)一身份認證系統(tǒng)，驗證其是否為合法注冊用戶，假如是合法用戶可獲取權(quán)限值。由于合法用戶不一定開通了所有的內(nèi)容效勞，所以使用這個權(quán)限值訪問內(nèi)容業(yè)務系統(tǒng)時，內(nèi)容業(yè)務系統(tǒng)將根據(jù)該權(quán)限值與統(tǒng)一身份認證效勞進展交互，以檢驗訪問的合法性。流程如圖2所示圖2第二種身份認證方式3.2平安方案假如將身份驗證憑據(jù)以明文形式從客戶端傳遞到效勞器，在同一網(wǎng)絡的某臺主機上裝備有根本網(wǎng)絡監(jiān)控軟件的攻擊者可以捕獲傳遞的信息并獲取用戶的名稱和密碼。對于這種平安威脅，身份認證系統(tǒng)對用戶名和口令進展加密，防止以明文的形式在網(wǎng)絡上傳輸。但是威脅仍然存在，對于普通的加密算法，攻擊者會有方法解密從而獲取用戶口令。即使是采用加強的加密算法，攻擊者一時無法解密，也可以施行會話重放攻擊。對于這種平安威脅，一種解決的方法是，當執(zhí)行關(guān)鍵操作時，重新進展身份認證。比方，當用戶通過身份驗證后，可以進入VD點播的頁面；當用戶指定播放某一VD影片時，系統(tǒng)要求用戶重新輸入用戶名、口令進展再一次驗證。但是這樣做，會讓用戶頻繁輸入用戶名、口令，并不可齲更好的做法是：采取結(jié)合DES算法，采用參加時間戳基于D5摘要算法的一次一密方法對訪問用戶的口令進展加密，把用戶名、口令和時間戳一起進展加密傳輸，即使攻擊者進展重放攻擊，由于時間戳已經(jīng)改變，就不能通過認證。并且在執(zhí)行關(guān)鍵操作時，由內(nèi)容業(yè)務系統(tǒng)到身份認證系統(tǒng)再次進展驗證，而不需要用戶重新輸入用戶名和口令。以用戶以第一種方式登錄VD點播系統(tǒng)為例，詳細流程由圖3所示：圖3加密認證流程流程描繪如下：1〕用戶登錄時將用戶名、口令提交給VD系統(tǒng)；VD系統(tǒng)將用戶名轉(zhuǎn)發(fā)給身份認證系統(tǒng)。2〕VD系統(tǒng)將用戶名、口令和時間戳一起加密后形成字符串PD。3〕同時，身份認證系統(tǒng)根據(jù)得到用戶名查得用戶的注冊密碼，并把用戶名、注冊密碼、時間戳一起加密后形成字符串PASS。4〕VD系統(tǒng)把PD發(fā)送給身份認證系統(tǒng)。身份認證系統(tǒng)比擬兩者是否一致5〕假如一致那么允許用戶進入VD系統(tǒng)的頁面。用戶選擇觀看的影片6〕VD系統(tǒng)再次生成PD，身份認證系統(tǒng)再次生成PASS，并再次比擬兩者是否一致。假如一致，那么播放影片3.3通用接口為了能讓運行在不同的平臺上的內(nèi)容業(yè)務系統(tǒng)都可以訪問身份認證系統(tǒng)，并且讓身份認證系統(tǒng)可以不斷地集成新的內(nèi)容業(yè)務系統(tǒng)，當身份認證系統(tǒng)統(tǒng)一認證功能和平安方面的功能后實現(xiàn)以后，我們利用EBSERVIES技術(shù)架構(gòu)，把身份認證系統(tǒng)轉(zhuǎn)換成身份認證效勞。該效勞把身份認證系統(tǒng)提供的各項功能用SDL語言描繪成通用的效勞接口，在這個接口中描繪了身份認證效勞提供應內(nèi)容業(yè)務系統(tǒng)使用的一個函數(shù)，該函數(shù)的入口參數(shù)是用戶名、用戶口令和內(nèi)容業(yè)務系統(tǒng)的ID；出口參數(shù)是該用戶能否訪問該內(nèi)容業(yè)務系統(tǒng)的字符串。以下是身份認證接口的SDL描繪：?xlversin="1.0"ending="UTF-8"?definitinsnae="railayhelperRetEinterfae"targetNaespae=".railayhelper./definitins/railayhelperReteInterfae"xlns="sheas.xlsap.rg/sdl/"xlns:tns=".railayhelper./definitins/railayhelperReteInterfae"xlns:xsd=".3.rg/2001/XLShea"xlns:sap="sheas.xlsap.rg/sdl/sap/"essagenae="lginRequest"partnae="userid"type="xsd:string"/partnae="passrd"type="xsd:string"/partnae="servieid"type="xsd:string"http://essageessagenae="lginRespnse"partnae="result"type="xsd:string"http://essageprtTypenae="railayhelperJavaPrtType"peratinnae="lgin"inputnae="lginRequest"essage="tns:lginRequest"/utputnae="lginRespnse"essage="tns:lginRespnse"http://peratin/prtTypebindingnae="railayhelperBinding"type="tns:railayhelperJavaPrtType"sap:bindingstyle="rp"transprt="sheas.xlsap.rg/sap/"/peratinnae="lgin"sap:peratinsapAtin=""style="rp"/inputnae="lginRequest"sap:bdyuse="ended"endingStyle="sheas.xlsap.rg/sap/ending/"naespae="tepuri.rg/reatr.javabean.railayhelper"http://inpututputnae="lginRespnse"sap:bdyuse="ended"endingStyle="sheas.xlsap.rg/sap/ending/"naespae="tepuri.rg/reatr.javabean.railayhelper"http://utput/peratin/binding/definitins在這個接口中描繪了身份認證效勞提供的lgin函數(shù)，該效勞的入口參數(shù)為：userid為用戶名、passrd為用戶名、口令和時間戳一起加密后得到的字符串PD、servieid內(nèi)容業(yè)務系統(tǒng)編號，返回值是否允許用戶登錄該內(nèi)容業(yè)務系統(tǒng)的字符串。不管內(nèi)容業(yè)務系統(tǒng)運行在何種平臺上，只要根據(jù)SDL接口的描繪和SAP協(xié)議標準，把用戶名和PD用SAP消息發(fā)送給身份認證效勞，身份認證效勞就會把認證結(jié)果用SAP消息返回個內(nèi)容業(yè)務系統(tǒng)。內(nèi)容業(yè)務系統(tǒng)不必理解認證效勞是怎樣實現(xiàn)的，從而實現(xiàn)跨平臺的通用認證。4完畢語上述的寬帶門戶網(wǎng)站的身份認證方案已經(jīng)實際應用于了湖南鐵通寬帶門戶網(wǎng)站，獲得了良好的效果。參考文獻[1]張建偉，李鑫，張梅峰.基于D5算法的身份鑒別技術(shù)的研究與實現(xiàn)[J].計算機工程,2022,(3):118-119[2]irsftrpratin.eb平安威脅與對策[EB/L],[3]尹遜玉.廣電綜合寬帶門戶網(wǎng)站及流媒體工程建立要點分析[J].現(xiàn)代電視技術(shù),2022,(9):65-71[4]柴曉路.ebServieaseStudy:統(tǒng)一身份認證效勞[EB/L],[5]王芝虎,葛聲,張力軍.企業(yè)級Javaeb效勞的研究與實現(xiàn)[J].計算機應用研究,2022,(1):128-133[6]沈斌1,史鳴杰2.統(tǒng)一身份認證平臺的設計[J].南京師范大學學報,2022(6):73-7