实名制网络中动态认证体系的研究.docx

实名制网络中动态认证体系的研究

郭剑锋郝玉军

摘要：本文基于动态认证技术、手机实名制及移动终端的特性，提出了一套动态的认证体系，可屏蔽网络的接入模式、接入方式等因素，实现对访问者的身份认证，重点解决网站类应用在开放式访问体系下被恶意攻击的隐患，使得网站类应用的访问可控，同时也可推动手机实名制的进一步发展。

随着网络时代的到来，网络化已经成为企业信息化发展的大趋势。人们在享受信息化带来的众多好处的同时，也面临着网络安全问题带来的挑战，特别是开放式访问的网站系统、移动终端的大量使用，使得解决网络信息安全问题成为当务之急。为了解决这些安全问题，各种安全机制、策略和工具被研究和应用，但很多工具的使用都只提供了部分的安全功能，如防火墙仅仅提供了边界的防护及地址转换的功能、IDS仅仅负责入侵的监测和审计等、WAF仅仅针对web的访问进行深度检查和防护，而数字签名等系统仅仅是对访问的双方进行身份认证，但都无法实现实名制的访问，也即对攻击的攻击源的识别、身份的确认、预警等无法实现，因此造成了很多的系统被肆无忌惮地恶意攻击。

这些安全隐患主要可以归结为以下几点：①每一种安全机制都有一定的应用范围和应用环境;②安全工具的使用受到人为因素的影响;③系统的后门是传统安全工具难以考虑到的地方;④黑客的攻击手段在不断地更新;⑤无法实名制进行审计、告警和跟踪。

很多金融系统提供的个人银行等功能，在认证中很普遍地使用了动态的认证系统，借助目前移动终端的大量使用，采用了手机的动态认证码的方式，不仅陕捷、方便，同时在系统内部将手机与系统账户绑定，提供了安全且有时效性的动态安全认证。但在目前的重要网站类应用中，仅仅采用金融系统中使用的动态认证方式还无法完全满足安全的访问要求，网站类访问一般不会预先绑定相应的被访问者的手机号码，而手机号码的实名制也刚刚开展，还有很多的手机号码不是实名制存在。关键的问题是，在手机的短信认证过程中还会产生相应的信息费，如果访问量很大，信息费就会很高，因此无法大规模应用。

而如果将“手机实名制+即时所在地+IP地址归属地”联合认证，通过手机的实名制绑定访问者的身份，通过即时所在地的检查进行所在地和IP地址的联合检查，确定访问者的所属地，则能为系统的审计和被冒用的检查提供相应的信息。手机实名制需要通过相应的手机实名制系统进行登记，将所有的访问者通过实名制进行管理，对PC端进行实名制的绑定，同时也对移动终端进行绑定;即时所在地的查询就是通过绑定的手机对访问者进行即时所在地的检查，同时检查被访问的IP所在地同即时所在地是否一致，最后基本确定谁在哪里进行的访问，这对很多业务系统的使用，如电子政务的网上办事大厅、民心网的网络投诉受理、BBS系统的网络跟帖的身份认证等都有相当大的帮助。

通过上面的功能要求，可采用下述的动态认证体系进行开放式网络的访问认证。目前，网络上的各种网站类的访问很多都是无限制的、完全开放的。开放的访问随之而来的是安全问题突出，应用的访问不可控，因此有必要改变现在的完全开放式访问模式，增加相应的控制和认证层面，实现访问安全可控。系统架构如图1所示。

增加相应的控制层面，实现安全策略中心的制订、用户接入的实名制认证等功能，使得原来开放式的访问通过控制层面进行授权，那就是什么地区的用户、什么类型的用户可以访问什么样的权限。

1.认证流程

要实现上述三层的系统架构，重点需要建设相应的控制层面，制订统一的访问接口。认证的过程包括客户端到服务器的认证、服务器到手机实名制中心的认证以及手机实名制与客户端的手机的互动过程（如图2）。

用户通过终端访问某个网站类应用，在第一次访问时服务器会给用户推送一个认证的页面，需要用户输入自己的手机号码及当前所在地（此部分可以作为选择项），发送给服务器，服务器根据用户的手机号到手机实名制中心进行手机的实名制信息查询，同时对用户当前的位置信息进行查询。如果该手机未到实名制中心登记，那么首先需要登记成功才能进一步操作，如果已经登记了，那么手机实名制中心将用户的当前所在地信息返回给服务器，服务器应用该信息，比對目前用户的上网IP是不是在该用户当前的所在地。如果比对不成功提示重新正确输入相应的信息，如果三次都错误，那么将该用户列入可疑名单，同时向告警中心发送相应的告警;如果比对成功，服务器向手机实名制中心发送相应的验证码，手机实名制中心将向相应的用户推送相应的验证码，用户最后输入该验证码实现网络的正常访问。在手机实名制中心和手机用户间，需要手机上安装相应的手机实名制中心的APP，实现用户跨区变动实时更新手机实名制中心的位置信息，也负责接收手机实名制中心下发的相关认证信息等。

2.相关说明

用户访问某个网站类应用时，首先发起实名制的认证，如果终端的IP不跨区变化，那么不需要重新进行认证，直至客户端退出该网站应