密級： 保密期限： 碩士研究生 學(xué)位論文 題目： 多種環(huán)境下動態(tài)口令認(rèn)證系統(tǒng)高效解決方案的研究與實現(xiàn) 學(xué) 號： 姓 名： 專業(yè)領(lǐng)域： 電子科學(xué)與技術(shù) 導(dǎo) 師： 學(xué) 院： 電 子工程學(xué)院 2013 年 01 月 06 多種環(huán)境下動態(tài)口令認(rèn)證系統(tǒng)高效解決方案的研究與實現(xiàn) i 獨創(chuàng)性（或創(chuàng)新性）聲明 本人聲明所呈交的論文是本人在導(dǎo)師指導(dǎo)下進行的研究工作及取得的研究成果。盡我所知，除了文中特別加以標(biāo)注和致謝中所羅 列的內(nèi)容以外，論文中不包含其他人已經(jīng)發(fā)表或撰寫過的研究成果，也不包含為獲得北京郵電大學(xué)或其他教育機構(gòu)的學(xué)位或證書而使用過的材料。與我一同工作的同志對本研究所做的任何貢獻(xiàn)均已在論文中作了明確的說明并表示了謝意。 申請學(xué)位論文與資料若有不實之處，本人承擔(dān)一切相關(guān)責(zé)任。 本人簽名： 日期： 關(guān)于論文使用授權(quán)的說明 學(xué)位論文作者完全了解北京郵電大學(xué)有關(guān)保留和使用學(xué)位論文的規(guī)定，即：研究生在校攻讀學(xué)位期間論文工作的知識產(chǎn)權(quán)單位屬北 京郵電大學(xué)。學(xué)校有權(quán)保留并向國家有關(guān)部門或機構(gòu)送交論文的復(fù)印件和磁盤，允許學(xué)位論文被查閱和借閱；學(xué)校可以公布學(xué)位論文的全部或部分內(nèi)容，可以允許采用影印、縮印或其它復(fù)制手段保存、匯編學(xué)位論文。（保密的學(xué)位論文在解密后遵守此規(guī)定） 保密論文注釋：本學(xué)位論文屬于保密在 年解密后適用本授權(quán)書。非保密論文注釋：本學(xué)位論文不屬于保密范圍，適用本授權(quán)書。 本人簽名： 日期： 導(dǎo)師簽名： 日期： 多種環(huán)境下動態(tài)口令認(rèn)證系統(tǒng)高效解決方案的研究與實現(xiàn) 種環(huán)境下動態(tài)口令認(rèn)證系統(tǒng)高效解決方案的研究與實現(xiàn) 摘 要 安全認(rèn)證技術(shù) 動態(tài)口令 是一種安全便捷的 賬號 防盜技術(shù) 。 由于一次一個口令，每次口令都不一樣，所以相比于靜態(tài)密碼能夠 有效保護交易和登錄的認(rèn)證安全 。 目前 架構(gòu)在 統(tǒng)上，并 已廣泛應(yīng)用在網(wǎng)銀、網(wǎng)游 及金融類企業(yè)內(nèi)部 登陸認(rèn)證等 方面。 由于 統(tǒng) 的 認(rèn)證操作需要 從數(shù)據(jù)庫中取 用戶信息 并進行哈希運算， 隨著用戶數(shù)量的增加，高并發(fā)訪問情況下認(rèn)證操作響 應(yīng)時間并不理想， 所以 如何有效 縮短系統(tǒng)處理時間很重要 。 由于不同的應(yīng)用 環(huán)境 對于 認(rèn)證 安全性的要求也不同，所以 針對不同的安全等級 設(shè)計出 在 安全性 、 吞吐率 、響應(yīng)速度方面都相對優(yōu)秀的高效解決方案目前 統(tǒng)迫切需 要解決的問題。 本文在深入研究了 用 系統(tǒng)各種性能優(yōu)化方法的基礎(chǔ)上， 給出了單服務(wù)器運行下 用的性能優(yōu)化思路。 對不同類型應(yīng)用中影響 能的因素分別作了理論分析和實驗測試分析，在分析結(jié)果的基礎(chǔ)上，研究了 術(shù)及 數(shù)據(jù)挖掘技術(shù)， 給出了 統(tǒng)在 不同安全等級的 應(yīng)用場景 下， 如何 從數(shù)據(jù)訪問方面 、程序處理流程方面、用戶訪問預(yù)測方面以及硬件服務(wù)器性能等方面 來 提升 證安全性、系統(tǒng)吞吐率以及響應(yīng)速度的高效解決方案， 包括 全認(rèn)證算法選擇方案、 基于 術(shù)的數(shù)據(jù)庫解決方案以及基于志挖掘的 用戶訪問預(yù)測 解決方案 等 ， 并 均 用 言 對這些方案進行了編碼 實現(xiàn) 。之后又 用專業(yè) 化 性能測試工具 給出的方案進行了詳細(xì)的性能測試 ， 包括規(guī)范化的測試 方案設(shè)計 、測試過程、技術(shù)細(xì)節(jié)、測 試結(jié)果及對測試結(jié)果的分析。 測試結(jié)果表明本文所提技術(shù)方案在 證系統(tǒng)吞吐率、響應(yīng)時間方面都表現(xiàn)出色，性 能比原有系統(tǒng)有較大提升。 本文最后 對 所做工作進行了總結(jié)并對 高并發(fā) 統(tǒng)性能優(yōu)化研究 方向以及用戶身份認(rèn)證機制研究前景 進行了展望。 關(guān)鍵詞 ： 能優(yōu)化， 日志 挖掘 ，性能測試 多種環(huán)境下動態(tài)口令認(rèn)證系統(tǒng)高效解決方案的研究與實現(xiàn) F is a a is so it of of TP on eb in TP do of of so to is of is so to TP to of is an to be TP of eb on to eb 多種環(huán)境下動態(tài)口令認(rèn)證系統(tǒng)高效解決方案的研究與實現(xiàn) iv TP on at TP of to TP of so on in of TP eb so on of of at in TP to of eb 多種環(huán)境下動態(tài)口令認(rèn)證系統(tǒng)高效解決方案的研究與實現(xiàn) v 目錄 第一章 緒論 . 1 究目的及意義 . 1 究背景 . 2 究現(xiàn)狀 . 2 文主要工作 . 3 文組織結(jié)構(gòu) . 4 第二章 統(tǒng)場景劃分及主要性能影響因素分析 . 5 臺介紹 . 5 統(tǒng)業(yè)務(wù)概述 . 6 臺 體系架構(gòu) . 6 臺功能架構(gòu) . 7 證系統(tǒng)業(yè)務(wù)流程 . 9 統(tǒng)性能優(yōu)化 . 9 統(tǒng)性能優(yōu)化概述 . 10 務(wù)器優(yōu)化技術(shù) . 10 務(wù)器優(yōu)化思路 . 11 統(tǒng)應(yīng)用場景劃分及安全性分析 . 11 統(tǒng)應(yīng)用場景劃分 . 12 銀身份認(rèn)證安全性分析 . 12 統(tǒng)主要性能影響因素分析 . 15 態(tài)口令生成算法 . 15 據(jù)庫數(shù)據(jù)存取 . 19 戶訪問的隨機性 . 21 行環(huán)境 . 21 第三章 統(tǒng)不同安全等級高效解決方案的設(shè)計與實現(xiàn) . 23 令生成算法的設(shè)計 . 23 法設(shè)計 . 23 態(tài)口令生成因子設(shè)計 . 23 多種環(huán)境下動態(tài)口令認(rèn)證系統(tǒng)高效解決方案的研究與實現(xiàn) 據(jù)庫設(shè)計 . 24 系型數(shù)據(jù)庫表設(shè)計 . 24 于 統(tǒng)數(shù)據(jù)緩存方案設(shè)計 . 26 于日志挖掘的 統(tǒng)用戶訪問預(yù)測方案設(shè)計 . 30 據(jù)挖掘與 志挖掘 . 30 于 志挖掘的用戶訪問預(yù)測方案設(shè)計 . 31 部環(huán)境的調(diào)整方案 . 33 擬機性能優(yōu)化 . 34 身優(yōu)化 . 35 據(jù)庫性能調(diào)優(yōu) . 36 第四章 性能測試 . 37 統(tǒng)性能衡量指標(biāo) . 37 吐率 . 37 應(yīng)時間 . 37 發(fā)用戶數(shù) . 38 源利用率 . 38 用性能測試工具介紹 . 38 . 38 . 40 試流程 . 40 能測試腳本 . 41 試環(huán)境 . 46 統(tǒng)性能測試結(jié)果 . 46 化結(jié)果 . 46 戶訪問預(yù)測 方案性能測試結(jié)果 . 47 務(wù)器環(huán)境優(yōu)化結(jié)果 . 48 體優(yōu)化結(jié)果 . 49 試結(jié)果分析總結(jié) . 50 第五章 總結(jié)與展望 . 51 作總結(jié) . 51 足與展望 . 51 參考文獻(xiàn) . 53 致謝 . 55 攻讀學(xué)位期間發(fā)表論文 . 56 多種環(huán)境下動態(tài)口令認(rèn)證系統(tǒng)高效解決方案的研究與實現(xiàn) 1 第 一 章 緒論 究目的及意義 全稱 也稱動態(tài)口令 1， 即 每個口令只能使用一次，相比于傳統(tǒng)靜態(tài)密碼是 一種安全便捷的 賬號 防盜技術(shù)，可以有效保護交易和登錄的認(rèn)證安全， 目前 已 被廣泛運用在網(wǎng)銀、網(wǎng)游、電信運營商、電子商務(wù)、企業(yè)等應(yīng)用領(lǐng)域 。 用于 產(chǎn)生 動態(tài)口令 并進行認(rèn)證請求處理 的系統(tǒng)稱為 統(tǒng)。 統(tǒng)包括基于時間、基于計數(shù)器以及基于挑戰(zhàn)應(yīng)答這三種方式的動態(tài)口令算法，而無論哪一種 認(rèn)證操作 都需要首先 從數(shù)據(jù)庫中取得用戶的相應(yīng)信息，包括 種子、集成電路卡號等數(shù)據(jù)信息 ，然后 再進行 哈希 運算，所以對于大量并發(fā)請求， 統(tǒng)就要大量操作 數(shù)據(jù)庫，進行數(shù)據(jù)信息的查詢與更新。 由于 統(tǒng)架構(gòu)于 用之上， 而數(shù)據(jù)庫操作往往是 統(tǒng)的性能瓶頸，通過 我們的性能測試結(jié)果， 也同樣 發(fā)現(xiàn)數(shù)據(jù)庫操作占據(jù)了大部分的系統(tǒng)處理時間，所以提升 統(tǒng) 數(shù)據(jù)訪問層的性能至關(guān)重要。 由于 目前 統(tǒng) 用戶數(shù)還比較有限，現(xiàn)階段我們更關(guān)心的是口令認(rèn)證操作的正確性、安全性，卻沒有 過多的 考慮過當(dāng)用戶數(shù)很多時，并發(fā)請求操作很頻繁時，系統(tǒng)能否依然高效地運行。而實際的發(fā)展情況是動態(tài)口令認(rèn)證系統(tǒng)為用戶的登陸安全性帶來了很大保證，而且操作簡便， 絕大多數(shù)用戶都給出了積極的反饋，所 以 統(tǒng)肯定會應(yīng)用范圍越來越廣，用戶數(shù)越來越多，當(dāng)真正到達(dá)并發(fā)用戶數(shù)上千，如果不改進我們現(xiàn)有的系統(tǒng)方案，想達(dá)到高效處理 是 不可能的。 由于 統(tǒng)都是架構(gòu) 于 用之上的， 所以本文研究的目的 就 在于 如何利用現(xiàn)有的 統(tǒng)性能優(yōu)化技術(shù)， 針對不同安全等級需求的多種應(yīng)用環(huán)境下的 統(tǒng)， 在保證用戶認(rèn)證高安全性的前提下， 設(shè)計 出高并發(fā) 2請求 情況下系統(tǒng) 在 安全性 、 吞吐率 、響應(yīng)速度方面都相對優(yōu)秀的 的高效解決方案。 而且，本課題 的研究 不僅針對 統(tǒng) 提出了 高效解決方案，對具有類似特性的系統(tǒng)都具 有啟發(fā)和指導(dǎo)意義。同時，為了驗證方案的正確性和有效性，本課題做了詳細(xì)深入的系統(tǒng)性能測試，用專業(yè)化的測試工具，按照專業(yè)化的測試流程對所提解決方案進行了 一系列的 壓力測試，并對測試結(jié)果進行了分析 ，是對統(tǒng) 性能優(yōu)化理論的一次深入研究，是性能優(yōu)化理論在特定場合下的探索實踐總結(jié)。 多種環(huán)境下動態(tài)口令認(rèn)證系統(tǒng)高效解決方案的研究與實現(xiàn) 2 究背景 動態(tài)口令認(rèn)證系統(tǒng)項目 應(yīng) 運營商 、金融類企業(yè)等的身份安全認(rèn)證需求而出現(xiàn) ，目前 處于項目完善階段，并 已開始商用，與之合作的廠商 已超過 10 個，主要集中在網(wǎng)銀 身份 認(rèn)證、網(wǎng)游 身份 認(rèn)證、 移動支付身份認(rèn)證、 企業(yè)內(nèi)部登陸認(rèn)證、電信自營業(yè)務(wù)身 份認(rèn)證等方面。 動態(tài)口令認(rèn)證系統(tǒng)架構(gòu)于 用之上，運用 議進行通信， 據(jù)庫服務(wù)器使用的是 動態(tài)口令認(rèn)證系統(tǒng)基于 構(gòu) 3，而 身是由許多項開發(fā)技術(shù)組合而成的，所以它是一項復(fù)雜的技術(shù)，具有非常大的多樣性和靈活性，所以對于大多數(shù)程序開發(fā)人員來說，都不能完全的掌握，在運用的時候就不知道如何根據(jù)系統(tǒng)的需求和已有條件，使開發(fā)出來的 用性能最優(yōu)化。可能的問題就是雖然實現(xiàn)了所需的業(yè)務(wù)功能，但是卻埋下了性能隱患，比如程序的高耦合度使程序的修改 異常困難，程序運行效率也不會高，或者是對于輕量級的應(yīng)用卻使用的重量級的架構(gòu)，使得運行效率差且容易出現(xiàn)問題。 在 功能完善的基礎(chǔ)上 對現(xiàn)有動態(tài)口令認(rèn)證系統(tǒng)進行性能測試時發(fā)現(xiàn)，系統(tǒng)性能并不是非常理想。 雖然 單 服務(wù)器壓力測試，但服務(wù)器配置較高，從測試結(jié)果看，系統(tǒng)的性能優(yōu)勢沒能體現(xiàn)出來，在并發(fā) 200 用戶的情況下，服務(wù)器 用率還不到 50%，這說明 統(tǒng)出現(xiàn)了性能瓶頸。 所以，基于以上研究背景，找到系統(tǒng)性能瓶頸，優(yōu)化整體系統(tǒng)架構(gòu)方案是目前迫切需要解決的問題。 究現(xiàn)狀 隨著近年來互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，互聯(lián)網(wǎng)應(yīng) 用越來越廣泛，已經(jīng)深入到我們?nèi)粘Ｉ钪械姆椒矫婷?。在互?lián)網(wǎng)應(yīng)用的體系架構(gòu)中，由于 B/S 模式的應(yīng)用架構(gòu)具有較低的客戶端硬件需求以及良好的可擴展性及可維護性，而且能夠在較短的時間內(nèi)開發(fā)完成，從而獲得了廣泛的應(yīng)用。 之前用戶量較少時，人們關(guān)注的重點是 用的功能特性，而 隨著用戶量的急速增長，應(yīng)用服務(wù)器的性能顯得愈發(fā)重要了。有關(guān) 務(wù)器性能優(yōu)化方面的研究也逐漸多了起來，直到近幾年成為普遍的研究熱點。其研究成果還是比較顯著的，在集群環(huán)境下，有負(fù)載均衡技術(shù)、鏡像技術(shù)、多數(shù)據(jù)庫技術(shù)等等，在單機性能優(yōu)化方面，有 序優(yōu)化方法、 器性能優(yōu)化技術(shù)、數(shù)據(jù)庫訪問性能優(yōu)化技術(shù)等。 多種環(huán)境下動態(tài)口令認(rèn)證系統(tǒng)高效解決方案的研究與實現(xiàn) 3 雖然造成 統(tǒng)性能不佳的原因有很多，但通常來講可歸結(jié)為系統(tǒng)的架構(gòu)設(shè)計、應(yīng)用程序代碼的編寫、數(shù)據(jù)庫的設(shè)計、 務(wù)器以及數(shù)據(jù)庫服務(wù)器的部署等方面。 目前已有的優(yōu)化技術(shù)主要集中在外部環(huán)境部署方面，很少有涉及到內(nèi)部應(yīng)用程序如何進行優(yōu)化的方法和技術(shù)， 而 在 統(tǒng)性能優(yōu)化中，最最重要的一點當(dāng)屬 應(yīng)用 程序的功能 特性，因為我們做系統(tǒng)性能優(yōu)化都要首先從應(yīng)用程序入手，而應(yīng)用程序又是服務(wù)于應(yīng)用需求，所以根據(jù)系統(tǒng)特定的需求來設(shè)計服務(wù)架構(gòu)，根據(jù)具體要求來編寫 程序代碼，從而在根源處提升應(yīng)用程序的性能是最重要的。而具體應(yīng)用需求決定了程序的功能，所以在 統(tǒng)性能優(yōu)化方面優(yōu)化的根本原則就是程序方面的優(yōu)化。其次，在應(yīng)用程序，應(yīng)用架構(gòu)已定的情況下，根據(jù)實際情況，對數(shù)據(jù)庫設(shè)計方面，應(yīng)用服務(wù)器配置方面、 件配置方面以及網(wǎng)絡(luò)配置方面進行有針對性的調(diào)優(yōu)操作，最終達(dá)到理想的優(yōu)化效果。 文主要工作 本文 主要利用現(xiàn)有 統(tǒng)優(yōu)化理論 結(jié)合 目前的 臺項目 需求 ， 給出了在 安全等級需求不同的 應(yīng)用環(huán)境下系統(tǒng) 在 安全性 、 吞吐率 、響應(yīng)時間 方面 都相對優(yōu)秀 的高效解決方案，并對其 進行了 碼實現(xiàn)，接著又按照規(guī)劃化的測試流程對所提方案進行了有效的有針對性的壓力測試，同時對性能測試結(jié)果進行了詳細(xì)的分析。 其主要研究內(nèi)容如下： (1)在 分析 了 現(xiàn)有的 統(tǒng)性能優(yōu)化的各種技術(shù) 的基礎(chǔ)上 ， 給 出了單服務(wù)器運行環(huán)境下 用系統(tǒng)的性能優(yōu)化思路 ， 為并發(fā)環(huán)境下 統(tǒng) 高效解決方案的設(shè)計 奠定理論基礎(chǔ)。 (2)將 證系統(tǒng)在不同環(huán)境下的應(yīng)用場景進行了劃分， 按照安全等級需求劃分成 了網(wǎng)銀 認(rèn)證 、移動支付 等高安全性需求應(yīng)用場景及 網(wǎng)游認(rèn)證 、 陸認(rèn)證 等相對中等 安全性需求 場景 ， 論證了 證方案 的安全性有效性 ， 給出了 證 方案在 網(wǎng)銀登陸 應(yīng)用 場景下的適用范圍， 并根據(jù)各自的 安全 需求等級 ，以及 統(tǒng)性能優(yōu)化的理論進行了有針對性的 高效解決 方案設(shè)計， 主要保證系統(tǒng) 在 安全性 、 吞吐率 及響應(yīng)時間 上 的高效性。方案設(shè)計包括了利用非關(guān)系型數(shù)據(jù)庫與關(guān)系型數(shù)據(jù)庫相融合的方式進行數(shù)據(jù)訪問層處理的方案設(shè)計以及利用數(shù)據(jù)挖掘技術(shù)進行用戶訪問預(yù)測算法的方案設(shè)計等， 并 均對所提方案 進行了編碼實現(xiàn)。 (3)在對多種應(yīng)用環(huán)境下的解決方案進行實現(xiàn)后，使用 專業(yè)化 的測試工具，結(jié)合 專業(yè)化 的測試流程，詳細(xì)設(shè)計并實現(xiàn)了針對 統(tǒng)認(rèn)證操 作的性能測試腳本，并對所提方案進行了 有針對性 的壓力測試。 (4)通過 性能測試 實驗，記錄了 各種優(yōu)化方案在實施前與實施后系統(tǒng) 多種環(huán)境下動態(tài)口令認(rèn)證系統(tǒng)高效解決方案的研究與實現(xiàn) 4 認(rèn)證請求時 的響應(yīng)時間、 系統(tǒng)吞吐率 等運行參數(shù)， 并 對測試結(jié)果 進行了詳細(xì)的性能對比分析。 文組織結(jié)構(gòu) 本文的章節(jié)安排如下 ： 第一章 緒論 給出了本文的課題研究目的及意義、 課題背景 、研究現(xiàn)狀 以及本文的主要工作和本文的 結(jié)構(gòu)安排 。 第二章 介紹了 本文的目標(biāo)系統(tǒng) 態(tài)口令認(rèn)證系統(tǒng)，并總結(jié)出了單服務(wù)器運行下 統(tǒng)性能優(yōu)化的思路。將 統(tǒng)針對不同安全等級需求的不同應(yīng)用場景進行了劃分歸納， 并論證了 式在網(wǎng)銀身份認(rèn)證應(yīng)用中的安全性可靠性，針對不同場景中 影響 統(tǒng)性能 的因素 進行了全面分析、實驗，得出了可靠性較高的優(yōu)化思路 。 第三章針對 第二章中對 統(tǒng) 劃分的不同的應(yīng)用場景 ， 分別設(shè)計了系統(tǒng)高效 解決 方案，包括 動態(tài)口令生成算法的設(shè)計、 數(shù)據(jù)庫方面的設(shè)計、 戶訪問預(yù)測算法的設(shè)計以及系統(tǒng) 外部運行環(huán)境的參數(shù)設(shè)計等 。 第四章 根據(jù) 用系統(tǒng)性能測試流程進行了測試環(huán)境的部署、性能測試腳本的編寫，并給出了關(guān)鍵部分代碼，對第三章給出的系統(tǒng)改進方案進行了實際的壓力測試，給出了詳 細(xì)性能測試結(jié)果并對測試結(jié)果進行了深入的對比分析。 第五章對本文 所做 的主要工作進行了總結(jié)，對尚存在的一些待改進之處進行了分析，同時對 本文相關(guān)技術(shù) 的 研究 前景進行了展望。 多種環(huán)境下動態(tài)口令認(rèn)證系統(tǒng)高效解決方案的研究與實現(xiàn) 5 第 二 章 統(tǒng)場景劃分 及主要性能影響因素分析 本章首先介紹了 態(tài)口令認(rèn)證系統(tǒng)的功能特性及平臺架構(gòu)，接著 在分析現(xiàn)有 務(wù)器優(yōu)化技術(shù)的基礎(chǔ)上 總結(jié)出了單服務(wù)器運行下 用的優(yōu)化思路。然后 針對于不同的應(yīng)用安全等級需求對 態(tài)口令認(rèn)證系統(tǒng)的多種應(yīng)用場景進行了劃分歸納， 并論證了 式在網(wǎng)銀身份認(rèn)證應(yīng)用中 的安全性有效性。 最后對于 統(tǒng)主要的性能影響因素進行了全面分析， 并進行了部分性能優(yōu)化 對比 實驗，得出了可靠性較高的優(yōu)化思路，其 思路 主要集中在數(shù)據(jù)庫訪問層面、用戶訪問隨機性方面、動態(tài)口令生成算法復(fù)雜度方面以及 用服務(wù)器運行環(huán)境因素方面的影響因素分析。 臺介紹 本課題所針對的目標(biāo)系統(tǒng)就是 應(yīng) 運營商、金融類企業(yè)等的身份安全認(rèn)證 需求而出現(xiàn) 的 態(tài)口令 認(rèn)證系統(tǒng) 。目前該系統(tǒng)已與多家游戲廠商 及金融類企業(yè)合作，提供大量用戶的登陸認(rèn)證服務(wù)。 用的產(chǎn)生主要是源于通常的用戶名 /密碼指的是靜態(tài)密碼 ，即每次登陸都一樣的密碼，其存在的安全隱患很多，如被人惡意枚舉攻破，或被人偷看以至下次用其假冒登陸，也有可能很多人為了容易記憶，使用的是自己的生日或其他有意義的數(shù)字，更容易被別人猜出，所以加強電子應(yīng)用中個人登陸身份認(rèn)證的有效性、安全性，是非常必要的。 稱 即 一次性密碼， 也 稱 動態(tài)口令 4，指的是用特定的 加密 算法 根據(jù)不同的參數(shù)來 產(chǎn)生不同的口令 ，且每次 產(chǎn)生的口令只能使用一次 ， 相比于單純使用靜態(tài)密碼，能夠有效地保護用戶的登陸安全 。 由于動態(tài)令牌 在 使用 方面的方便快捷性 ，目前 已 廣泛應(yīng)用在 陸 、網(wǎng)上銀行、 電子商務(wù)等 各個需要登錄身份認(rèn)證的 領(lǐng)域。 由于 應(yīng)用 統(tǒng)進行身份認(rèn)證的各個領(lǐng)域?qū)φJ(rèn)證的 安全需求級別并不相同，所以針對不同的安全需求等級的應(yīng)用場景使用同一種動態(tài)口令生成算法是不合理的，是不能達(dá)到算法層面上的高效的，這是動態(tài)口令認(rèn)證系統(tǒng)存在的一個潛在問題。 統(tǒng) 架構(gòu)于 用系統(tǒng)之上，使用的是 據(jù)庫作為數(shù)據(jù)的持久化存儲機制。其 認(rèn)證操作 處理 主要是取得數(shù)據(jù)庫中用戶的相應(yīng)認(rèn)證信息， 然后對其認(rèn)證因子進行 算，將得出的動態(tài)口令與 議中用戶傳過來的動態(tài)口 令相比較，看是否一致，如果一致則認(rèn)證成功，否則認(rèn)證失敗， 多種環(huán)境下動態(tài)口令認(rèn)證系統(tǒng)高效解決方案的研究與實現(xiàn) 6 陸。 所以對于大量的并發(fā)認(rèn)證請求， 統(tǒng)就要大量的連接數(shù)據(jù)庫進行訪問，這是限制 統(tǒng)認(rèn)證操作響應(yīng)速度的瓶頸。 目前 統(tǒng)部署在雙核高性能 務(wù)器上， 擬機使用的是 然是單服務(wù)器運行，但對于處理流程并不是很復(fù)雜的認(rèn)證操作，系統(tǒng)顯然沒有發(fā)揮出應(yīng)有的硬件優(yōu)勢， 統(tǒng) 業(yè)務(wù)概述 正如現(xiàn)實中需要身份證和簽章等安全認(rèn)證工具及 身份認(rèn)證系統(tǒng)一樣，互聯(lián)網(wǎng)中更需要電子身份證和安全認(rèn)證 5服務(wù)。 用的主要目標(biāo)是保證用戶登陸的身份認(rèn)證，所以其應(yīng)用模式一般是放置 務(wù)器在合作伙伴的后臺系統(tǒng)中，當(dāng)用戶登陸時不僅要正確輸入靜態(tài)用戶名和密碼，同時還要輸入移動終端上產(chǎn)生的動態(tài)口令，才能成功登陸系統(tǒng)。 目前 用最成熟的應(yīng)屬動態(tài)口令牌，即硬件令牌。它從技術(shù)角度分析包括以下三種形式：基于時間同步 、 基于事件同步 以及 挑戰(zhàn) /應(yīng)答方式 6。 目前應(yīng)用最廣泛的當(dāng)屬時間同步型動態(tài)口令，其口令 每 60 秒變換一次，一個口令在認(rèn)證過程中只使用一次，下次認(rèn) 證時則更換使用另一個口令，使得不法分子難以 假冒合法用戶的身份。 動態(tài)口令 牌的使用 非常 簡單，用戶只要根據(jù) 應(yīng)用 系統(tǒng)的提示，輸入 口令 牌當(dāng)前顯示的 6 位 /8 位 口令即可。 隨著移動信息化技術(shù)應(yīng)用的日益廣泛與普及，手機已成為老百姓最為便捷的隨身工具， 由于通 過移動終端產(chǎn)生動態(tài)口令使得用戶使用、攜帶起來更加方便，所以就出現(xiàn)了手機令牌。 動態(tài)口令認(rèn)證系統(tǒng)中的 手機令牌 分為 令牌與手機軟件版令牌，由于 相對手機操作系統(tǒng)來講，安全性更高，而且兼容性更好，所以獲得了廣泛應(yīng)用。 臺體系架構(gòu) 從安全令牌產(chǎn)品長遠(yuǎn)發(fā)展策略出發(fā)，一方面充分結(jié)合電信全國性全網(wǎng)產(chǎn)品規(guī)劃實現(xiàn)的成功模式，另一方面對此安全產(chǎn)品特有的市場需求與應(yīng)用模式兼顧考慮，從而使平臺的體系架構(gòu)能滿足長期發(fā)展的需要。 目前設(shè)計 的 平臺體系架構(gòu) 如下 ： 多種環(huán)境下動態(tài)口令認(rèn)證系統(tǒng)高效解決方案的研究與實現(xiàn) 7 圖 2 - 1 ，即中心管理系統(tǒng)，位于 整個平臺的 最上層，用于管理平臺 內(nèi) 所有業(yè)務(wù)的登記，注冊，服務(wù)狀態(tài)備案等全局性信息管理。 ，是 臺業(yè)務(wù)管 理系統(tǒng)，可管理所有 業(yè)務(wù)。它的作用是 轉(zhuǎn)發(fā) 統(tǒng)與運營商短信網(wǎng)關(guān)發(fā)出 的 求 ，同時統(tǒng)計用戶的業(yè)務(wù)操作請求 。 ，即認(rèn)證系統(tǒng)，位于 最下層 ，負(fù)責(zé) 處理合作廠商服務(wù)器后臺傳過來 的認(rèn)證請求 ，同時 統(tǒng)計 記錄用戶的認(rèn)證操作日志 。 臺功能架構(gòu) 安全令牌平臺功能模塊如下圖所示： 多種環(huán)境下動態(tài)口令認(rèn)證系統(tǒng)高效解決方案的研究與實現(xiàn) 8 圖 2臺功能架構(gòu)圖 平臺分為四個 部分 ： 1、 用戶門戶 用戶門戶是令牌用戶體驗令牌的直接入口，支持 戶方式，提供個性化問題設(shè)置，通過 戶可以為用戶提供界面展示，提供第三方應(yīng)用列表以及安全令牌使用的演示令牌業(yè)務(wù)展現(xiàn)、下載、搜索、使用等功能。提供用戶自服務(wù)功能，用于用戶自助修改個人資料信息，查詢令牌使用記錄，以及進行令牌保護密碼解鎖等。 2、 管理門戶 管理門戶是令牌運營管理的入口，主要包括兩個門戶：運 營管理門戶、客服管理門戶。運營管理門戶為運營人員提供用戶管理、應(yīng)用管理、統(tǒng)計報表等功能?？头芾黹T戶為客服人員提供查詢、審核等功能。 3、 認(rèn)證系統(tǒng) 提供算法管理、種子管理、令牌認(rèn)證等多種功能，并開放相關(guān)接口，便于令牌業(yè)務(wù)集成。同時系統(tǒng)新增認(rèn)證信息查詢，數(shù)據(jù)統(tǒng)計分析，應(yīng)用管理，節(jié)點管理，參數(shù)配置等功能。 多種環(huán)境下動態(tài)口令認(rèn)證系統(tǒng)高效解決方案的研究與實現(xiàn) 9 認(rèn)證系統(tǒng) ，是直接與用戶接觸的系統(tǒng)，需要與用戶操作進行實時響應(yīng)，是需要高 安全性 、快速響應(yīng)的，也正是 本課題討論的重點。 4、 管理系統(tǒng) 提供用戶管理、短信路由管理、應(yīng)用管理、統(tǒng)計管理、訂購結(jié)算、日志管理等功能。同時系統(tǒng)新增 系統(tǒng)節(jié)點管理和管理員信息設(shè)置功能。 證系統(tǒng) 業(yè)務(wù)流程 S I M 卡需 認(rèn) 證 服 務(wù) 的 應(yīng) 用 商業(yè) 務(wù) 管 理 系 統(tǒng) 認(rèn) 證 系 統(tǒng)運 營 商