基于USBKey认证的分布式访问系统设计

1、2010年Vol.25 No.6基于USB Key认证的分布式访问系统设计周爱民宋爱林施晓雨(南京森林警察学院 江苏南京 210046摘要:本文以国家林业局重点科技项目的研究成果为例,介绍以USB Key认证的方式实现数字文献资源统一安全访问的方法。关键词:USB Key;数字文献;分布式访问中图分类号:G640 文献标识码:A 文章编号:1008-6757(201006-0075-02一、引言数字文献资源是指在因特网上以数字化形式存在的各种文献信息内容的集合,是经过一定程度加工、整理过的一个个相对独立的不同类型、不同学科的数字资源系统,但不包括网上无序的和自身没有控制的数字资源。1对于一个跨

2、地理区域广、数字资源异构性大、身份安全性要求高的资源服务系统,突破网络限制、统一管理资源、提供安全访问是迫切需要解决的问题。本文以森林公安数字化教育资源管理调度系统为例,介绍以USB Key验证原理为基础,结合Socket编程技术解决上述问题的思路与途径。二、系统概述(一项目背景随着信息技术的发展,人们通过网络实现终身学习已经成为非常普遍的现象,这也使得人们对数字文献需求越来越大,对质量的要求越来越高。笔者对森林公安行业做了一次全国性的调查2,从调查结果看,森林公安各地区发展比较不平衡,面向森林公安队伍建设的教育文献资源尤其是数字化的资源服务还比较缺乏。调查还显示,高校文献服务机构(如图书馆在

3、行业中的影响力不足,以行业高校为数字文献资源服务核心的共建共享体系还未建立,已有数字文献资源和即将建设的资源存在重复建设或利用率不足的问题。(二系统目标系统目标主要是为建立一个分布式的数字资源访问的系统,功能达到如下要求:1.资源提供单位作为服务节点,提供自己的特色资源。这些资源数据类型广泛,包括商业、自建或共建数据库等。服务方式多样,如互联网包库、内网镜像等。要求服务节点提供的这些服务能够突破内网和外网IP的限制,无屏障的访问权限内的资源。2.设立一个管理调度中心。一是能集中管理用户信息,并且验证用户的登录。二是能将集中发布系统的数字资源,建立资源与用户的关联关系,提供基于权限控制的定制服务

4、。3.安全方便的用户使用。一是应保证用户的身份应具有不可复制性,二是防止非法用户盗链使用,三是实现跨服务节点的用户登录,简化用户流程。三、系统设计(一设计思路笔者设计了一个分布式系统模型,如图1所示。系统基于MicroSoft .net Framework2.0平台开发,管理中心与用户之间的系统采用B/S结构,管理中心采用ASP.net开发页面。服务节点采用.net C#编写应用程序,负责与目标服务器的Socket交换。管理中心与服务节点之间是http协议通讯。1.用户通过浏览器登录系统,采用USB Key方案进行身份认证,该方式结合了现代密码学技术、智能卡技术和USB技术,采用一次一密的强双

5、因子认证模式,很好的解决了安全性和易用性之间的矛盾3。2.管理中心主要责任是:管理用户身份即凭证库;配置用户和资源的授权关联关系;身份认证管理,包括登录入口身份验证和访问资源前的权限验证两部分。3.服务节点工作为:验证用户USB Key合法性及访问库的授权关系;配置发布内网资源虚拟站点,通过Socket监听http请求,对用户请求和返回结果做转换处理。图1 (二系统流程图2图2显示的是基于时序图的系统流程简要描述。1.客户端访问管理中心门户,使用USB Key登录。验证程序检查USB Key中存储的密钥,正确则加载资源列表。2.用户根据定制规则请求访问某资源时,管理中心验证其授权关系,通过验证

6、则获得访问令牌。3.服务节点一直处于Socket监听状态,用户http请求将被截获,改写http数据包,增加JS代码,一是验证USB Key的合法性,二是读取和存储令牌。4.如果USBKey和令牌验证正确,则处理访问请求,从目的服务器获得的结果直接输出到客户端的浏览器。四、关键技术(一USB Key身份认证USB Key内置单片机或智能卡芯片,可存储数字证书和密钥,收稿日期:2010-09-15作者简介:周爱民(1963-,男,江苏淮安人,从事研究图书情报学方向的研究。宋爱林(1979-,男,江苏淮安人,从事系统管理,WEB开发的研究。施晓雨(1981-,男,江苏靖江人,从事网络开发,NET应

7、用的研究。基金项目:本文系国家林业局重点科学技术计划项目“森林公安数字化教育资源管理调度系统开发与应用”(项目编号:2007-10研究成果之一。南昌教育学院学报 高等教育752010年第25卷 第6期Design of distributed access system based on USBKey authenticationZhou Ai-min,Song Ai-lin,Shi Xiao-yu(Nanjing Forest Police College, Nanjing Jiangsu, 210046,ChinaAbstract: This paper introduced how to

8、 realize uniform access and secure access of digital document based on USBKey authentication with the result of key technological project of State Forestry as example .Key words: USBKey;digital document; distributed access责任编辑:李微数字信息进行加密和签名,保证信息传输的机密性、真实性、完整性和不可否认性,从而保证信息的安全传输4。USB Key主要有基于“冲击-响应”和基

9、于PKI的数字证书两种认证模式。以PKI数字证书为例,主要过程为:1.使用RSACryptoServiceProvider类分别生成公钥和私钥,公钥存储在USB Key中,私钥存储在服务器上;2.将用户身份信息存储在USB Key中,用户登录时,USB Key在内部完成用公钥对身份信息的加密形成数字证书,发送至服务器;3.服务器接收,用私钥完成对数字证书的解密,比对服务器中存储的用户身份信息,相同则说明用户合法。项目考虑B/S模式中浏览器不能直接读取本地物理设备,所以开发了驱动USB Key工作的ActiveX网页安全插件,用户只需要插入一次USB Key,后续工作中自动读取并验证。(二动态令

10、牌验证动态令牌源于动态口令技术,动态口令是根据专门的算法生成一个不可预测的随机数字组合,一个密码使用一次有效,目前被广泛运用在网银、网游、电信运营商、电子政务、企业等应用领域5。动态令牌即是用来生成动态口令终端。动态令牌从技术来分有三种形式,时间同步、事件同步、挑战/应答。本系统应选用基于事件同步的令牌,以用户点击服务地址请求访问为令牌生成的触发事件,使用MD5算法、哈希算法等混合算法加密解密,强制用户本地Cookie保存令牌。根据Cookie的生存期原理,只要浏览器不关闭,则此令牌一直有效,因此用户的后续访问不需要每次都请求管理中心授权,省去了用户重复登录的麻烦。(三基于Socket的通道服

11、务器数字文献资源的网络服务是B/S结构的,基于http协议通讯。http协议工作有4个步骤链接、请求、应答、关闭链接5:浏览器与服务器建立连接,打开一个Socket,浏览器通过Socket提交请求,结果通过http传回给Web浏览器,最后关闭连接。根据这个原理,可将本系统突破互联网IP限制访问内网资源的问题转变为搭建一个通道型服务器(tunne16的问题,主要工作过程为:(1为每一个内网资源分配一个服务端口;(2创建TcpListener类对象,监听某端口;(3监听端口,等待连接,得到与客户机连接的socket;(4从与Socket关联的输入流中读取客户机提交的请求信息;(5根据地址对照表替换

12、http请求的目标地址,创建一个SocketClient,将替换后的数据添加http头,发送给真实的目标Web服务器;(6得到目标服务器返回结果,执行与(5相反工作,使用SendToBrowser方法将数据输出到客户端浏览器,最后关闭Socket。在这过程中,http数据包实际上可以被改写,增加系统验证USB Key和令牌的代码。五、结语该系统的具体开发还整合了信息发布、可视化配置等辅助功能,软件在森林公安部分单位进行了有限的试用,反馈结果证明基本达到了项目设计的性能要求。从社会效益和经济效益角度看,该系统的使用对于合理有效的利用数字文献资源、统筹数字文献资源建设、防止大范围的重复浪费、满足森

13、林公安民警学习需求、提升个人的科技文化素质等具有十分重要的意义,具有向全国范围和其他行业推广的前景。参考文献:1宋爱林,周爱民,敖孔华,顾剑.全国森林公安机关数字文献资源应用及共享需求调查分析J.林业规划与调查,2009(08:93-96.2Henry Dreifus,Thomas Monk. Smart Cards -A Guide to Building andManaging Smart Card ApplicationsM.IEEE Computer Press,1997.3Matt Bishop.Introduction to ComputerSecurityM.California

14、:Addison Wesley publisher,2003.4动态令牌EB/OL.5WEB 浏览器工作原理EB/OL.blog/item/30d8d3163e94e719962b430b.html.6肖戈林.HTTP 协议技术探析J.江西通信科技,2001(03:16-24.The exploration on philosophy of life of contemporary university studentsLi Min(Suzhou Vcational University, Suzhou Jiangsu,215104,ChinaAbstract:The growth of un

15、iversity students has relationship with the development of China .The philosophy and the values of life ,reflects their contribution to the society.If university students can realize their own philosophy of life clearly,adjust their attitude of the life,they will be able to achieve the real happines

16、s they want , meanwhile ,make effects to the development of the society.Key words : university students; philosophy of life; development; happiness责任编辑:周志媛时,会成为及时行乐,这不仅是对快乐主义的一种偏见,同时,也会远离幸福。所以,追求享乐,不是快乐主义。快乐主义走向极端会是个人主义或是自私主义。变得只顾自己享乐,而忽略别人,甚至以别人的痛苦来换取自己的快乐。孙正聿教授说,生活,就是创造生命的意义。教育的宗旨则是培养爱和责任。现今大学生接受高等教育,生活在一个“地球村”的社会