雙因素身份認(rèn)證在橋梁焊接質(zhì)量監(jiān)控系統(tǒng)中的應(yīng)用

摘 要：針對(duì)網(wǎng)絡(luò)開放的橋梁焊接質(zhì)量監(jiān)控系統(tǒng)存在非法訪問、口令易泄露等問題，研究一種雙因素身份認(rèn)證方法?；谙到y(tǒng)安全分析、可信完整性度量和分層管理原則，提出基于口令和指紋生物特征相融合的雙因素身份認(rèn)證方法，在橋梁焊接質(zhì)量監(jiān)控系統(tǒng)增加身份認(rèn)證程序，通過訪問者的口令和指紋特征生成用戶身份識(shí)別信息，與預(yù)存儲(chǔ)在認(rèn)證服務(wù)器端身份憑證數(shù)據(jù)庫中的用戶身份信息進(jìn)行比對(duì)，完成身份認(rèn)證。實(shí)驗(yàn)結(jié)果表明該方法身份認(rèn)證通過率總體在98.8%以上，可準(zhǔn)確驗(yàn)證操作用戶身份，可推廣應(yīng)用到其他監(jiān)控系統(tǒng)中。

關(guān)鍵詞：監(jiān)控；雙因素；身份認(rèn)證

文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1674-5124（2017）03-0117-04

Abstract： In view of existing problems of bridge welding quality monitoring system access to the Internet such as illegal access and password vulnerability， a method of two-factor authentication is proposed. Based on principles of system security analysis， trusted integrity measurement and layered management， a method of two-factor authentication based on the fusion of password and fingerprint feature is proposed. By adding an identity authentication program for bridge welding quality monitoring system and generating the user’s identity information from the user’s password and fingerprint feature， the method can match the user’s identity information with the identity information stored in the authentication server in advance to finish identity authentication process. Test results show that identity validation pass rate is over 98.8% and the method can correctly verify the user’s identity， thus it can be applied to other monitoring systems.

Keywords： monitoring； two-factor； identity authentication

0 引 言

鋼構(gòu)橋梁焊接質(zhì)量?jī)?yōu)劣直接影響橋梁使用狀況與壽命，關(guān)系到國(guó)家財(cái)產(chǎn)與人民生命安全。橋梁焊接質(zhì)量監(jiān)控系統(tǒng)能自動(dòng)快速檢測(cè)橋梁焊接缺陷，并智能評(píng)定焊縫缺陷質(zhì)量，方法靈活、高效[1]。隨著檢測(cè)系統(tǒng)智能化、網(wǎng)絡(luò)化發(fā)展，焊接質(zhì)量監(jiān)控系統(tǒng)的可信性越來越重要，其中身份認(rèn)證是提高橋梁焊接質(zhì)量監(jiān)控系統(tǒng)可信的重要手段，基于秘密知識(shí)驗(yàn)證[2-4]、生物特征鑒別[5-7]、基于非對(duì)稱加密秘鑰身份認(rèn)證方法[8-9]是目前主要身份認(rèn)證方法，各種方法具有不同特點(diǎn)與應(yīng)用便利性。本文結(jié)合各種身份認(rèn)證方法的特點(diǎn)與橋梁焊接質(zhì)量監(jiān)控系統(tǒng)操作的便利性、安全性，對(duì)訪問者身份認(rèn)證實(shí)行分層管理，不同操作權(quán)限采取不同身份認(rèn)證技術(shù)，從而防止對(duì)橋梁焊接質(zhì)量監(jiān)控系統(tǒng)非法操作，提高系統(tǒng)可信度。

1 橋梁焊接質(zhì)量監(jiān)控系統(tǒng)可信分析

圖1為一般橋梁焊接質(zhì)量監(jiān)控系統(tǒng)的結(jié)構(gòu)框圖。智能U盤作為插件接入超聲波探傷儀，探測(cè)儀操作者將探測(cè)結(jié)果數(shù)據(jù)存儲(chǔ)到U盤，同時(shí)U盤直接把探測(cè)數(shù)據(jù)通過GPRS發(fā)送到Web數(shù)據(jù)服務(wù)器，服務(wù)器端具備探索數(shù)據(jù)解碼功能，將數(shù)據(jù)二次處理用于歷史存儲(chǔ)與可視化視圖設(shè)計(jì)，并針對(duì)數(shù)據(jù)需求設(shè)計(jì)相應(yīng)Web站點(diǎn)，供具備瀏覽器終端的設(shè)備遠(yuǎn)程查看?？梢钥闯觯话銟蛄汉附淤|(zhì)量監(jiān)控系統(tǒng)開放性使其變得更脆弱，系統(tǒng)的非法訪問、數(shù)據(jù)篡改等將會(huì)導(dǎo)致系統(tǒng)工作異常、檢測(cè)結(jié)果不可信[10]。

橋梁焊接質(zhì)量監(jiān)控系統(tǒng)的可信度是指該監(jiān)控系統(tǒng)可以按照用戶的期望方式工作，正確執(zhí)行測(cè)量控制、系統(tǒng)配置等功能，并產(chǎn)生可信測(cè)量結(jié)構(gòu)的能力[11]。根據(jù)相關(guān)數(shù)據(jù)分析，橋梁焊接質(zhì)量監(jiān)控系統(tǒng)可信度威脅因素及其對(duì)應(yīng)的可信技術(shù)如圖2所示。

身份認(rèn)證是橋梁焊接質(zhì)量監(jiān)控系統(tǒng)訪問、操作的第1層安全機(jī)制，是防止非法訪問的第1道關(guān)卡，只有通過身份認(rèn)證的訪問者才能夠訪問和操作系統(tǒng)，身份冒充是引起橋梁焊接質(zhì)量監(jiān)控系統(tǒng)用戶身份可信度降低的重要因素，要提高訪問者身份可信度，應(yīng)減少或消除身份認(rèn)證漏洞。

2 橋梁焊接質(zhì)量監(jiān)控系統(tǒng)身份認(rèn)證流程

橋梁焊接質(zhì)量監(jiān)控系統(tǒng)的身份認(rèn)證確保操作者具有合法、真實(shí)身份，可通過監(jiān)控系統(tǒng)訪問者身份屬性產(chǎn)生相關(guān)身份標(biāo)識(shí)與預(yù)存儲(chǔ)在認(rèn)證服務(wù)器中被訪問者的身份數(shù)據(jù)進(jìn)行匹配驗(yàn)證來確定被認(rèn)證方所聲稱身份的真?zhèn)蝃11]，圖3為基于身份認(rèn)證的橋梁焊接質(zhì)量監(jiān)控系統(tǒng)框架圖。

根據(jù)不同應(yīng)用場(chǎng)景和系統(tǒng)操作權(quán)限，對(duì)橋梁焊接質(zhì)量監(jiān)控系統(tǒng)身份認(rèn)證進(jìn)行分層處理，圖4為基于分層管理原則的橋梁焊接質(zhì)量監(jiān)控系統(tǒng)身份認(rèn)證構(gòu)架。對(duì)于不涉及橋梁焊接質(zhì)量監(jiān)控系統(tǒng)安全的訪問引入基于口令的單因素身份認(rèn)證；對(duì)于涉及系統(tǒng)安全的訪問引入基于口令+指紋特征的雙因素身份認(rèn)證技術(shù)。

2.1 單因素身份注冊(cè)與驗(yàn)證

圖5為橋梁焊接質(zhì)量監(jiān)控系統(tǒng)訪問者單因素身份注冊(cè)與驗(yàn)證流程。橋梁焊接質(zhì)量監(jiān)控系統(tǒng)訪問者ID和口令PW融合計(jì)算的得到UID，然后使用MD5算法[12-13]生成的信息摘要UZY即為訪問者身份認(rèn)證標(biāo)識(shí)信息，發(fā)送到認(rèn)證服務(wù)器身份憑證數(shù)據(jù)庫中儲(chǔ)存。身份憑證信息UZY是經(jīng)過MD5散列變換后的數(shù)據(jù)，網(wǎng)絡(luò)即使被竊聽，攻擊者也無法從截獲的信息推出用戶口令。

訪問者身份驗(yàn)證在登錄階段，通過認(rèn)證服務(wù)器對(duì)訪問者身份憑證的合法性、真實(shí)性進(jìn)行確認(rèn)，證實(shí)訪問者身份和所聲稱的身份是否相符，與身份認(rèn)證注冊(cè)階段不同的是，訪問者登錄時(shí)生成的標(biāo)識(shí)信息與認(rèn)證服務(wù)器中預(yù)存的該ID用戶身份標(biāo)識(shí)信息進(jìn)行比對(duì)匹配，并將認(rèn)證結(jié)果在用戶端顯示。

2.2 雙因素身份注冊(cè)與驗(yàn)證

圖6為橋梁焊接質(zhì)量監(jiān)控系統(tǒng)訪問者雙因素身份注冊(cè)與驗(yàn)證流程。訪問者ID和口令PW融合計(jì)算后的MD5信息摘要UZY，指紋采集儀上獲取橋梁焊接質(zhì)量監(jiān)控系統(tǒng)訪問者指紋信息，軟件提取指紋特征向量組，使用RSA加密算法對(duì)指紋向量特征W加密得到密文E=f（Wi），指紋特征密文E和用戶信息摘要UZY即為訪問者身份認(rèn)證標(biāo)識(shí)信息，發(fā)送到認(rèn)證服務(wù)器的身份憑證數(shù)據(jù)庫中儲(chǔ)存[14-15]。此訪問者身份認(rèn)證標(biāo)識(shí)信息具有訪問者ID、口令PW和指紋特征向量組W等參數(shù)狀態(tài)表征，具有良好的唯一性、防猜測(cè)性，可有效防止身份冒充，從而避免數(shù)據(jù)修改、參數(shù)更改等非正常操作。

訪問者登錄時(shí)生成的標(biāo)識(shí)信息與認(rèn)證服務(wù)器中預(yù)存的用戶身份標(biāo)識(shí)信息進(jìn)行比對(duì)匹配，在用戶端顯示認(rèn)證結(jié)果。

3 實(shí)驗(yàn)測(cè)試

搭建實(shí)驗(yàn)平臺(tái)，對(duì)橋梁焊接質(zhì)量監(jiān)控系統(tǒng)身份認(rèn)證功能進(jìn)行驗(yàn)證。指紋采集儀采用中正科技FPR622光學(xué)指紋采集儀；操作終端硬件采用英特爾i5 CPU和2G內(nèi)存，軟件為Win7 64位操作系統(tǒng)；認(rèn)證服務(wù)器端硬件采用英特爾i5 CPU和4G內(nèi)存，軟件為Win7 64位操作系統(tǒng)、Microsoft SQL Sever 2012數(shù)據(jù)庫。

在操作終端打開監(jiān)控系統(tǒng)軟件，對(duì)不同訪問者ID、口令PW及指紋進(jìn)行注冊(cè)；然后分別通過正確注冊(cè)信息、不同訪問者ID、口令PW及指紋情況驗(yàn)證系統(tǒng)認(rèn)證過程，具體測(cè)試結(jié)果如表1、表2所示。

4 結(jié)束語

根據(jù)應(yīng)用場(chǎng)景和操作權(quán)限等級(jí)不同，橋梁焊接質(zhì)量監(jiān)控系統(tǒng)身份認(rèn)證采取分層管理，在保證系統(tǒng)操作便利性的同時(shí)，提高了系統(tǒng)的安全性?；诳诹?指紋特征的雙因素身份認(rèn)證方法產(chǎn)生的用戶身份標(biāo)識(shí)信息具有用戶ID、口令和指紋的參數(shù)狀態(tài)表征，可有效避免參數(shù)修改等危險(xiǎn)操作，提高了系統(tǒng)可信度。相對(duì)于USB key等基于證物身份認(rèn)證技術(shù)，基于口令+指紋特征的雙因素身份認(rèn)證方法不需隨身攜帶證物，提高了系統(tǒng)操作便利性；同時(shí)雙因素身份認(rèn)證方法可移植到其他監(jiān)控系統(tǒng)。

參考文獻(xiàn)

[1] 蓋登宇，李洪宇. 基于虛擬儀器的焊接電信號(hào)測(cè)控系統(tǒng)研究進(jìn)展[J]. 電子測(cè)量技術(shù)，2013，36（7）：74-77.

[2] ISLAM S H， BISWAS G P. Design of improved password authentication and update scheme based on elliptic curve cryptography[J]. Mathematical Computer Modelling，2013，57（11-12）：2703-2717.

[3] JUNG J W， LEE， D H， KIM J Y， et al. Cryptanalysis and improvement of efficient password-based user authentication scheme using hash function[C]∥International Conference on Ubiquitous Information Management and Communication ACM，2016.

[4] 章思宇，黃保青，白雪松，等. 基于動(dòng)態(tài)口令的增強(qiáng)身份認(rèn)證[J]. 華東師范大學(xué)學(xué)報(bào)（自然科學(xué)版），2015（S1）：246-251.

[5] 苑瑋琦，劉博. 基于空域與頻域穩(wěn)定特征融合的離焦虹膜識(shí)別[J]. 儀器儀表學(xué)報(bào)，2013，34（10）：2300-2308.

[6] MONDAL S， BOURS P. A computational approach to the continuous authentication biometric system[J]. Information Sciences an In-ternational Journal，2015，304（C）：28-53.

[7] 林森，吳微，苑瑋琦. 采用紋理近鄰模式的掌靜脈生物特征識(shí)別研究[J]. 儀器儀表學(xué)報(bào)，2015，36（10）：2330-2338.

[8] LAGHARI A， WAHEED-UR-REHMAN， MEMON Z A. Biometric authen-tication technique using smartphone sensor[C]∥2016 13th Inter-national Bhurban Conference on Applied Sciences and Technology（IBCAST）. IEEE，2016.

[9] LIU Y， PENG Y， WANG B， et al. IOT secure transmission based on integration of IBE and PKI/CA[J]. International Journal of Control Automation，2013（6）.

[10] PANG S T， INSPUR G C. Network authentication tech-nology based on public key system[J]. Telecommunications Science，2016.

[11] 陳耿新，黃堅(jiān)，劉桂雄. 基于可信k-NN的面向EMC浪涌測(cè)試多狀態(tài)燈模式識(shí)別[J]. 電子測(cè)量與儀器學(xué)報(bào)，2015，29（11）：1718-1724.

[12] 劉桂雄，徐欽桂，文元美，等. 網(wǎng)絡(luò)化測(cè)控系統(tǒng)可信技術(shù)及應(yīng)用[M]. 北京：清華大學(xué)出版社，2014：97-109.

[13] 劉桂雄，張龍，徐欽桂. 基于改進(jìn)SHA-1物聯(lián)網(wǎng)監(jiān)測(cè)節(jié)點(diǎn)完整性驗(yàn)證與增強(qiáng)方法[J]. 中國(guó)測(cè)試，2013，39（1）：80-83.

[14] BORITZ J E. IS practitioners views on core concepts of information integrity[J]. International Journal of Accounting Information Systems，2013（6）：260-279.

[15] CHAVAN S， MUNDADA P， PAL D. Fingerprint authentication using Gabor filter based matching algorithm[C]∥Technologies for Sustainable Development（ICTSD）， 2015 International Conference on IEEE，2015：1-6.

（編輯：劉楊）