实验仿真教学平台系统开发中用户信息加密及身份认证

1、实验仿真教学平台系统开发中用户信息加密及身份认证摘要：针对目前仿真教学资源分散的现状，从整合院校的 仿真教学软件的目标出发，开发了仿真教学网络平台，鉴于 平台的实际使用价值，在系统开发过程中需要设置登录方 式，对用户信息进行加密与身份认证。主要介绍了系统开发 中登录方式、用户信息的加密与身份认证处理的实现过程。关键词：身份认证；session验证；信息安全中图分类号：tp309. 7文献标识码：a文章编号： 1672-7800 (2013) 001-0159-030引言实验仿真平台针对的用户是学院教师和学生，是为教师 和学生提供课程学习以及自主学习的平台，也可以用来为远 程教育服务，这些特点决

2、定了该系统的结构。其一，学生在 具备上网条件的地方，应该能够随时访问该系统的培训课 件；其二，系统要包括仿真实验这一块，这一块因仿真软件 的要求，可以允许校园网内用户下载安装此类软件进行特定 操作。因实验仿真平台为有偿使用，在登录过程中对用户权 限就会有把关。下面主要阐述了系统开发中登录方式、用户 信息的加密与身份认证处理的实现过程。1系统登录模块设计登录模块的作用主要是为了保证系统的安全性，让 合法的用户（管理员、教师和考生）使用该系统。用户在系 统中的操作请求包括登陆请求、下载请求、上传请求等，当 用户提交请求后，系统即进行处理。首先判断登录系统的用 户是否为合法用户，如果是合法用户，则可

3、以通过验证，按 请求要求进行相关操作；若不是，则不给登录。图1描述的 即是用户在系统中的操作过程。为了防止非法用户注册使用本系统，用户登录的工号或 学号和默认密码已预先在系统中保存，用户可以登录后修改 自己的密码。在系统确认后才能再填写相关资料，或修改相 关资料。用户所能进行的操作是根据用户的权限而定的。2系统管理模块实验仿真平台中的系统管理模块的主要功能是进行用 户管理、课程管理、素材管理和页面管理。用户管理的任务 是审核用户的身份，判定用户的角色。若登录者为学生，系 统在接收请求后将会弹出注册页面，在登陆者同意相关声明 条款后，输入正确的学号、姓名以及个人资料，就可以注册 成功。为了避免有

4、非法用户来注册，事先将合法用户的学号 导入系统，学生只有输入正确的学号，才能进行注册，否则 提示用户不能注册。图2描述的是学生注册过程。图1用户登录操作流程图2学生注册过程用户注册成功后，考虑到用户有时可能会忘记密码，本 系统为用户提供了取回密码操作。当用户发出取回密码的请 求后，将会弹出相应窗口，要求用户输入正确的用户名，再 要求用户回答找回密码的提示问题。若答案正确，系统会将 密码返回给接受密码的指定信箱；否则显示错误信息，无此 用户或密码回答问题错误。图3描述的是用户取回密码的过 程。图3用户取回密码过程该实验仿真平台为用户提供了文件下载功能，为了防止 非法用户利用有效资源，系统增加了第

5、二次确认用户身份的 功能。进行用户名与密码验证，若验证通过，则进行下一步 操作，检查链接是否空闲，如空闲，提交请求进行下载，否 则提示无空闲链接。若验证不通过，则无法下载。图4描述 的是用户下载文件的过程。图4用户下载文件3系统登录实现http协议是一种无联系或状态的协议，当用户连接一个 web服务器，请求一个页面，接收一个页面，然后脱离，所 有请求都被看作是唯一和独立的连接，与在它之前的连接无 任何关系。当用户从一个页面跳转到另外一个页面时，系统 无法跟踪其会话状态，变量的作用域就是页面范围。这就造 成在一个页面中生成的状态值，当转到另外一个页面时将会 消失。为了解决这个问题，asp通过服务

6、器为每位新用户创 建一个新的session对象来实现。该对象用sessionld属性 来标识。新会话开始时，服务器将产生的sessionld作为 cookie存储到用户的浏览器中作为会话标记，以后当用户请 求页面时，浏览器会发送sessionld给服务器，用来识别会 话。session对象在其集合中可以存储关于某个用户会话的 信息，这些信息一般是name、id等。存储在session对象 中的变量掌握着单一用户在某次会话中的信息，同时这些信 息在会话生命周期内对于站点下的所有页面都是可用的，不 会随着页面的跳转而消失。在系统平台中，需要对web页面进行访问控制，严格限 制非法的访问和盗链。但是

7、由于http协议的无状态性，使 得依靠http协议进行web页面的访问控制变得很难实现。 系统设计中主要利用用户名/ 口令校验的方法，在web页面 中进行会话验证，以实现web页面的安全访问控制。session是asp的内嵌对象，是用户级的全局变量，将 用户成功登录的信息记录到session中后，用户就可直接浏 览权限允许的页面。session对象存储特定用户会话所需的 信息。用户第一次登录网站时系统为其分配一个session, 用户在访问页面期间或在页面之间进行跳转时，存储在 session对象中的变量始终存在，不会被清除，只有当该用 户退出时，或者session的生命周期结束时信息才被清除

8、。 因此，在系统设计时可以采用判断session变量是否存在的 方式进行判别，如果存在，即表示用户已登录，否则未登录, 返回登陆页面。在首页面登录后，session记录登录用户：为防止非法用户多次登录尝试破解密码，程序设定最多 允许尝试3次，如用户成功登录，则要记录用户登录信息， 同时记录用户要访问的页面，以便登录后返回该页：如果数据库中存在该用户的信息，就把记录该用户成功 登录的信息标记到register变量中。成功登录后自动返回 用户要访问的页面：允许尝试登录3次，3次之内，如未登录成功，重定向 到注册页面register. aspo若超过3次仍未成功，则禁止访 问并同时显示错误页面err

9、or, asp：ifsession ( "lognumber")为防止非法用户跳过登录页面直接盗链到其它页面，在 其它页面头上进行session验证。当发现不存在会话用户时, 程序直接跳转到登录页面提醒用户进行登录。记录该页面的 路径到prescript变量中并强制客户登录：“true" thensession ( “prescript" ) =request. servervariables(“script_name")response, redirect "register. asp"endif%>4用户信息加密与

10、身份认证处理在实验仿真平台系统中，虽然数据是存放在数据库服务 器中的，但为了数据的安全，我们增设了对数据进行加密的 功能。对本文谈及的实验仿真教学平台而言，数据量比较大, 如果对所有数据都进行加密，系统的性能将会大幅下降，所 以考虑系统实施中对系统关键数据进行加密，主要包括用户 账号信息、学习信息、考生成绩信息等。系统设计时在登录 模块中重点对账户信息的安全性给予了处理。系统在设计用户模块时，要对用户密码这一块加强安全 考虑。使用md5加密算法来保护数据库中的重要数据，系统 在保存密码时先将传递的数据通过md5加密后才存入数据 库，这样在数据库中就能看到已经加密的信息，从而确保了 信息安全。因

11、md5算法对同一段明文加密得出的密文是唯一 且相同的，当有数据要和保存的数据进行比较时，可通过将 需要对比的数据进行md5加密后再对比。下面给出了系统中 登录模块的部分关键程序，登录模块程序实现的主要功能是 将用户输入的密码通过md5加密后与数据库中已存的经过 md5加密的数据进行比对，得出结果，如果是合法用户则判 断用户的不同级别，再进行不同的授权。用户通过表单登录后，将用户输入的数据和密码通过 md5加密后与数据库中已存的md5结果进行比对。若为合法 用户，则判定用户身份；若是管理员，则具有用户管理权限; 若是学生，则可以进行浏览查看。以上主要介绍了系统开发中登录方式、用户信息的加密 与身份认证处理的实现过程，以及实现过程中的关键技术。参考文献：1 郭加书，崔然，李岩，等高校数字化校园建设的研 究与实践j.中国高教研究，2007 (10).2 程秀丽.基于校园网的课程学习支持系统设计与应 用研究d.大连：辽宁师范大学，2009.3 黄军基于web2. 0的教师个人发展档案袋系统的设 计与实现d上海：华东师范大学，2009.4 向立文档案资源整