移动计算环境下统一身份认证的智慧化重构

陈王盛

摘要：从智慧校园特征及移动计算快速发展视角出发，简要分析了当前校园门户应用中统一身份认证系统存在的一些问题，进而对其进行智慧化升级改造.首先借助智能手机的指纹识别来升级系统的身份识别技术，其次围绕智能手机对系统的身份认证机制进行重新设计，从而实现系统的智慧化提升.

关键词：智慧校园;移动计算;身份识别;统一身份认证;重构

中图分类号：TP393.08  文献标识码：A  文章编号：1673-260X（2019）09-0062-04

当前，信息化校园正逐步向智慧校园迈进.智慧校园的特征是综合运用云计算、物联网、大数据、移动互联等多种新兴信息技术，改变师生与学校资源、环境的交互方式，从而实现以人为本的个性化创新服务[1，2，3].作为信息化校园整体应用服务的入口——信息门户系统的智慧化程度是衡量校园信息化水平的一个重要指标，但从当前门户系统的支撑应用——统一身份认证来看（以我校为例），其身份识别技术和认证机制自系统投入应用以来长期没有更新，与信息技术的快速发展现状严重不匹配，难以满足校园用户对智慧化服务的迫切需求.

另一方面，近几年以智能手机为代表的移动计算的快速发展正不断改变校园用户原有的以PC端为核心的行为习惯，信息化校园的应用与服务也在不断拓展或迁移到移动智能终端上.在这样的背景下，对统一身份认证进行智慧化改造可以说是势在必行.

1 身份识别技术的升级

身份识别技术是以特定信息来鉴别特定用户实体的技术，可分为两大类，一类是基于非生物特征信息（基于物品或私密知识）的识别技术，包括物理密钥和数字密钥.物理密钥包括智能卡[4，5]、USBKEY[6，7]和身份证等，数字密钥则包括字符密码（包括字符口令、短信验证码等）与图形密码（包括条形码、二维码等）等.物理密钥的优点是无需记忆、携带方便，缺点是制作设备复杂、容易丢失或损坏，数字密钥的优缺点则正好与之相反，但是，二者有个共同的缺点是容易被仿冒，安全性不高.另一类是基于用户生物特征信息的识别技术[8，9]，既有静态的也有动态的，静态信息可以采集自人的指纹[10，11]、脸[12，13]、虹膜[14，15]等，动态信息可以采集人的语音[16，17]和手势[18，19]等.生物特征信息如指纹、人脸、虹膜这三种的优点是方便易得、仿冒困难，相应的身份识别技术安全性较高，而语音和手势这两种动态信息由于自身的外显特性很难被安全利用.另外，一般来说生物特征身份识别技术相对于非生物特征技术对计算资源的需求通常会更多一些.

衡量一种身份识别技术的优劣既要看其识别率高低，还要考虑其实施的难易程度以及安全性如何.根据文献[4-7，10-19]相关数据及实际应用情况，可以总结出几种身份识别技术的主要特点，列于表1.

目前统一身份认证的身份识别技术（以我校为例）采用的是以用户非生物特征信息为主的识别技术，主要有用户账号和密码、手机号和短信验证码两种.虽然这类技术识别准确、容易实现，但是缺点不少.首先，从用户的角度来看，账号密码需要用户主动记忆和输入，非常容易记错、输错;从运维人员的角度来看，账号密码遗忘等简单问题也要耗费人力物力来处理，资源并没有得到高效利用.其次，短信验证码方式虽不用记忆，但仍然需要用户输入，而且增加了一笔额外的通信费用，长期来看并不经济.还有，这两种身份识别技术的安全性也不高，很容易被窃取和利用.这些问题非常容易给广大校园用户带来不良体验.

为了解决统一身份认证现有身份识别技术的诸多不足，有必要对其进行升级更新，以构建更为人性化的身份认证服务.根据表1可以为统一身份认证选择出更为适用的身份识别技术，容易看出，能够兼顾效率和安全的是基于生物特征的身份识别技术，这其中又以指纹识别技术为最优.与其他生物识别技术相比，指纹识别所产生的数据量更小，其所需的存储空间和计算资源占用都很小，所以时延小、效率高.其应用特点是完全不会给用户增加记忆和输入负担，方便快捷，且出错的可能性极小，唯一的缺点就是需要配备专门的指纹识别装置.

显然，单独为一个身份认证应用而给所有用户购置指纹识别装备并不可行，而智能手机的出现逐渐打破了设备方面的僵局.不过智能手机在多大程度上能满足身份认证对指纹识别的需求呢？这可以通过调查分析来加以确认.

利用“手机高级搜索-ZOL中关村在线”搜索工具，勾选相应条件，可以统计出从2014年起已上市的具备指纹识别功能的智能手机数量，统计结果如表2所列（因4G通信牌照是在2013年12月份才发放，故将统计的起始时间定在2014年，而表中的价格是搜索工具提供的参考报价）.

从表2的统计结果容易看出，2015年以来，具备指纹识别功能的智能手机不仅数量庞大，价格也越来越亲民.按照国内居民2～3年的换机周期来推论，目前在用的智能手机几乎均具备指纹识别功能，完全能够满足系统的使用需求.这样的解决方案既不用给建设者及用户增加额外的成本负担，又非常契合当今用户大量使用移动端的行为习惯.

因此，选择指纹识别技术对统一身份认证应用进行重构升级在技术和设备上都有较大优势.

2 身份认证机制的重构

当前信息化校园的门户应用因终端的多样化产生了以智能手机为代表的多样化的移动计算客户端应用，但总体的身份认证机制并没有什么变化.根据文献[20，21，22，23]描述及实际应用情况，现有以用户名和密码为主的身份认证机制主要包括以下三个信息交互过程（参看图1）：

（1）发送身份认证请求：在能够正常使用门户集成的各項应用之前，用户要先通过PC、手机等各终端的门户应用客户端统一身份认证界面手工输入并提交相应的非生物特征身份信息（如用户名和密码、手机号和短信验证码等）至Web服务器，由此发出身份认证请求;

（2）身份信息验证及响应：Web服务器接收到客户端发来的请求信息后，立即将认证消息转发给应用服务器，通过应用服务器将用户提交的身份信息与数据库服务器中存放的相应身份信息进行比对，得出用户身份合法与否的结果，再由应用服务器和Web服务器生成响应页面返回给相应的门户应用客户端;

（3）客户端显示用户身份认证结果页面：进入门户或者提示错误信息.

身份认证机制的交互过程描述起来并不复杂，然而对用户来说，同一个身份在不同终端应用中需要重复输入并提交相同的身份信息，也就是说，现有的身份认证机制无法处理多终端用户登录门户应用时的协同认证问题，效率低下.

前文已经论证身份识别升级利用的是智能手机的指纹识别技术，那么身份认证机制就应该紧密围绕智能手机终端来重新设计.

以智能手机端为核心的多终端协同身份认证机制可以这样来设计：

（1）首先由手机客户端发起身份认证，即引导用户在登录门户应用时优先采用手机端的指纹识别方式进行身份验证，认证响应页面由服务端返回手机客户端进行显示;

（2）其次，应遵循高效和安全的原则，采用某种方式来取代用户名和密码对使用其它终端登录门户应用的用户进行快速身份认证，各终端的认证响应页面由服务端返回各认证客户端以便显示.

要将这样的设计变为现实需要解决两个关键问题，一是如何将用户由传统的PC端登录引导到手机端优先，二是采用什么认证方式来实现多终端协同的机制.

解决第一个问题需要重新设计各终端的门户应用身份认证组件及页面.首先，在移动端的身份认证页面增加一个指纹识别身份认证组件，该组件布局在所有认证组件的最前方，这样，登录用户最先面对的就是指纹认证方式，以实现自然引导，保留其他的身份认证方式可选可用，但布局靠后.其次，在其他终端的身份认证页面以非常显眼的方式提示用户应优先从手机端登录认证，但不做强制要求，这些终端仍然保留其他的身份认证方式可选可用.这些调整对用户来说只是使用形式上的区别，所以不会让用户产生抵触情绪.

第二个问题的解决方法可以参考时下十分流行的移动端扫描二维码（以下简称扫码）方式.众所周知，配置了摄像头的智能手机已经通过扫码方式实现了很多功能应用，无论是打开网页、下载软件还是移动支付等，均极为方便快捷，扫码方式也在很大程度上取代了传统的手工输入的信息获取方式.具体实现方式是：首先，在智能手机的门户应用客户端中增加二维码识别功能组件;其次，在其他终端客户端身份认证页面中增加二维码展示功能组件;再次，在统一身份认证应用服务端增加身份认证二维码生成的功能组件.

增加了相应的功能组件后，所实现的多终端协同身份认证机制的交互过程为（参看图2）：

（1）手机客户端应用显示指纹优先的身份认证页面，其他终端客户端则展示由服务端生成的二维码身份认证页面，用户首先被引导至手机端提交指纹;

（2）手机客户端提交指纹身份认证请求;

（3）身份认证服务端对接收到的指纹身份信息进行验证;

（4）认证结果响应页面由服务端返回对应的手机客户端以便显示;

（5）手机客户端身份认证成功后（指纹等任何身份认证方式），通过它扫描其他终端身份认证应用所展示的二维码;

（6）手机客户端代替其他终端向服务端提交二维码身份认证请求;

（7）身份认证服务端对接收到的二维码身份认证信息进行验证;

（8）认证结果响应页面由服务端返回相应的其他终端以便显示;

（9、10）当指纹身份认证失效时，用户可通过其他方式进行身份认证.

从上述的交互机制可以看出，在新的身份认证机制下，包括手机端的指纹输入，用户的所有操作都非常简单且不容易出错，真正实现了一次输入、多终端协同的最优效果.重构后的身份认证充分借助了移动智能终端的先进计算能力，应用指纹识别及扫码技术，能够在多终端环境下实现安全高效的协同身份认证，使认证服务更为人性化、智慧化.

但是应该看到，二维码身份认证需要智能手机终端配备摄像头，可行性如何同样需要进行调查确认.再次利用“手机高级搜索-ZOL中关村在线”搜索工具进行筛选，将同时具备指纹识别功能和摄像头的智能手机数量做一个调查统计，可以得到表3的结果（表中的价格是搜索工具提供的参考报价）.

根据表3的统计结果，再将表2和表3做个比较，分析后容易得出结论，具备相应功能配置的智能手机是一种非常成熟普及的移动计算产品，完全能够满足新的身份认证机制的应用需求.

3 用户指纹数据的处理

新的统一身份认证采用的是指纹识别身份验证方式，但是原有系统数据库中并没有留存用户这方面的信息，故必须要在工程实施中同步做好收集用户指纹信息的基础工作，并构建高效安全的用户指纹数据库.

项目建设过程中可以这样来做：

（1）首先在原有的身份认证系统中增加采集用户指纹数据的组件，布局上可以放置在认证系统界面更不显眼的地方;

（2）其次，无论新老用户，在其成功登录门户应用时，认证系统立即自动弹出指纹采集组件界面（采集组件可手动关闭并可设置不再自动弹出，并进行二次身份确认，比如可以通过短信验证码方式），提示需要采集用户指纹信息以便进行后续的身份认证，从而引导用户积极配合进行指纹信息的采集和留存工作;

（3）最后，统一身份认证系统对用户提交的指纹数据经过标准化和加密处理后再保存到系统数据库中.

4 结论

综上，本文对在移动计算环境下如何实现信息化校园门户应用——统一身份认證系统的智慧化提升进行了充分的分析、设计和讨论，证明系统利用智能手机不仅可以实现身份识别技术的升级，还可以实现身份认证的多终端协同，使重构后的系统可以提供更为人性化的服务，更为符合智慧校园的特征要求.

5 讨论

根据有关文献报道，智能手机的指纹识别若使用不当仍然存在一定的安全隐患的[24，25，26]，原因在于用户的智能手机和指纹可能被其他人所掌握和非法利用.不过在一般情况下，由于用户都会将智能手机随身携带，被非法利用的机会非常少，所以在这方面不会产生太大的问题.尽管如此，智慧校园的建设者和使用者仍然要遵循相关的安全规范利用.

另外，在收集处理用户的指纹信息时需遵照相应的标准，比如公安部的指纹数据标准[27]，以满足智慧校园的标准化要求.还可以向公安部门递交认证申请[28]，以便充分利用公安部门已有的标准化公民指纹数据库，系统更为精简.

——————————

参考文献：

〔1〕李有增，周全，钊剑.关于高校智慧校园建设的若干思考[J].中国电化教育，2018（01）：112-117.

〔2〕于长虹，王运武，马武.智慧校园的智慧性设计研究[J].中国电化教育，2014（09）：7-12.

〔3〕胡钦太，郑凯，林南晖.教育信息化的发展转型：从“数字校园”到“智慧校园”[J].中国电化教育，2014（01）：35-39.

〔4〕赵森，甘庆晴，王晓明，余芳.多云环境下基于智能卡的认证方案[J].通信学报，2018，39（04）：131-138.

〔5〕V.M.Cordonnier，于增贵.智能卡：现在和未来的应用与技术[J].通信保密，1993（04）：44-52.

〔6〕王飞龙，尹青，郭玉东，庄宽.基于USBKey的身份认证系统设计与实现[J].信息工程大学学报，2016，17（01）：65-70.

〔7〕徐远航.USBKey身份认证产品的产生与发展[J].计算机安全，2004（08）：44-45.

〔8〕陈亚瑞.智能计算与生物识别技术研究[J].天津科技大学学报，2015，30（04）：78.

〔9〕张敏贵，周德龙，潘泉，张洪才，张绍武.生物特征识别及研究现状[J].生物物理学报，2002（02）：156-162.

〔10〕郭佳颖，解谦，陈诗洋.移动智能终端指纹识别率和识别处理时延测试方法[J].移动通信，2018，42（6）：1-6.

〔11〕顾陈磊，刘宇航，聂泽东，李景振，王磊.指纹识别技术发展现状[J].中国生物医学工程学报，2017，36（04）：470-482.

〔12〕刘万军，邴晓环，姜文涛，张晟翀，广义并行2维复判别分析的人脸识别[J].中国图象图形学报，2018，23（9）：1359-1370.

〔13〕王金平.基于深度卷积稀疏自编码分层网络的人脸识别技术[J].太原理工大学学报，2018，49（05）：765-770.

〔14〕柯呈通，廖桂华.基于虹膜识别技术的身份验证模型[J].计算机时代，2016（10）：15-17+21.

〔15〕程宇奇，葛微，陈彦平.虹膜身份识别技术[J].中国光学与应用光学，2009，2（04）：296-303.

〔16〕樊海花，穆春阳，马行.基于多尺度熵和遗传算法改进的语音识别技术[J].现代电子技术，2019，42（06）：126-131.

〔17〕曹晶晶，许洁萍，邵聖淇.多噪音环境下的语音识别技术研究[J/OL].计算机应用：1-5[2019-04-18].http：//kns.cnki.net/kcms/detail/51.1307.TP.20180312.1105.004.html.

〔18〕张哲，孙瑾，杨刘涛.融合多层卷积特征的双视点手势识别技术研究[J].小型微型计算机系统，2019，40（03）：646-650.

〔19〕熊俊涛，刘梓健，孙宝霞，俞守华，陈建国.基于视觉技术的手势跟踪与动作识别算法[J].计算机与现代化，2014（07）：75-79.

〔20〕胡建鹏.基于Portal的统一身份认证与系统集成研究[J].计算机工程与科学，2010，32（12）：30-33.

〔21〕马荣飞.统一身份认证系统的研究与实现[J].计算机工程与科学，2009，31（02）：145-149.

〔22〕李小雪，吳中福，钟将，李国柱.数字化校园中统一身份认证系统研究[J].计算机应用，2008（05）：1146-1148+1151.

〔23〕吴晓斌，张月琳.基于LDAP的校园网统一身份认证系统设计[J].华中科技大学学报（自然科学版），2003（S1）：332-334.

〔24〕温婧.橘子皮能解指纹识别锁？专家：不要给手机贴指纹贴[J].广西质量监督导报，2018（02）：14-15.

〔25〕本刊综合.手机指纹识别安全引争议[J].发明与创新（A），2013（11）：17-19.

〔26〕郑子榆.手机指纹识别技术安全吗？[N].科技日报，2013-09-30（004）.

〔27〕张睿，李法杰.公安标准指纹识别技术在银行业的兼容性应用[J].电子世界，2018（09）：199.

〔28〕陈晓红.公安部将对指纹自动识别系统实施认证[J].认证技术，2011（07）：26.