面向办公软件的身份认证系统的设计与实现

曲 佳

(承德石油高等专科学校信息中心，河北 承德 067000)

目前办公软件的身份认证技术主要有单因子认证、双因子认证、多因子认证、生物特征认证、数字认证。单因子认证知道一个条件即可;双因子认证本是指使用两种独立不相干的证据来证明身份的认证;多因子认证是三种以上不同因子结合的认证;数字认证是基于数字证书的认证，比如优盾;生物特征认证是利用生物本身的DNA、脸像、虹膜、指纹等来进行身份认证。这些认证方法都是以软硬件形式实现的，因此每种办公软件都需要单独实现认证功能。办公软件的认证模块单独提取后在开发办公软件时便不需要考虑。基于上述思想开发一套面向办公软件的身份认证系统，此身份认证系统利用三层结构的技术手段来实现一个面向办公软件身份认证的新方法。利用在办公软件中省略用户名、密码的认证方式可直接识别当事人的真实身份，方便、快捷、安全性高。

1 研究问题

面向办公软件的身份认证系统设计开发要求能够在办公自动化系统(OA)上确认用户身份，尽量屏蔽用户名、密码，能够提供数据接口供二次开发使用，用户使用该系统时可以根据电脑随机生成电子密码，相对办公自动化系统独立、携带方便。本系统科学地分析用户需求，运用先进的技术手段保证该软件系统得以分阶段实现，并在软件试运行的过程中不断完善和改进，最终完成一个符合办公软件的身份认证系统。

随着计算机网络技术的发展办公自动化软件(OA)带给人们极大的方便，相应的，无纸化也走进了广大企事业单位[1］。随着办公自动化软件(OA)的普及，所有企事业单位的文件及公函都是以电子形式存在的。所以领导干部和行政管理人员在办公自动化软件(OA)文件处理使用过程中，网络安全上主要面临三方面的问题:①在使用办公软件的同时如何保证使用者身份的真实性以及不可抵赖性。②单位领导干部如何通过办公软件对电子文件或合同进行签发。③如何克服传统的“用户名/口令”的安全隐患。由于三个问题的存在，大多数企事业单位的公文都要由当事人在纸面上签字、盖章。这样就减少了对办公自动化软件(OA)的利用率。虽然可以通过“数字签名”的方法来解决以上三个问题，但是难以使用、价格昂贵是一般企事业单位接受不了的。而通过本文所研发的“办公软件的身份认证系统”，则可有效地利用网络资源，控制成本，降低使用难度[2］。

2 系统的功能设计

本系统是利用计算机软件手段代替身份认证的一种技术。利用三层结构的技术手段来实现一个电子身份认证的新方法。通过此方法可以在办公自动化系统中不用输入“用户名/密码”手段就能够在办公自动化(OA)中识别当事人的真实身份，方便、快捷、安全性高。本系统结构采用后台数据库、中间层和客户端组成。适用于企业与事业单位。本软件可以与硬件结合也可以在计算机上单独使用节约成本，采用三层结构结构增强软件的安全性。通过自主开发的中间层有效隔离数据库增强安全性、可靠性。此软件通过微软最新的.NET实现可以部署在微软公司的任何操作系统上。通过中间层提供的接口可以方便用户进行软件的二次开发。本系统的客户端采用(用户名/密码)和本地随机密码(存储本地)认证机制，用户关闭客户端下线的同时可自动关闭服务器端的认证端口，并且由服务器端生成本地随机密码发送给客户端。客户端收到服务器发来的本地密码并存入本地的文件中以便下次登路使用以达到更佳安全的目的，携带方便可以放到优盘或其它硬件设备上[3］。

面向办公软件的身份认证系统的设计开发要求能够在办公自动化系统(OA)上确认用户身份，在办公自动化系统(OA)上尽量屏蔽用户名、密码，能够提供数据接口供二次开发使用，用户使用该系统时可以根据电脑随机生成电子验证码，相对办公自动化系统独立、携带方便。本系统科学地分析用户需求，运用先进的技术手段保证该软件系统得以分阶段实现，并在软件试运行的过程中不断完善和改进，最终完成一个符合办公软件的身份认证系统[4］。软件基于微软公司.NET4.0平台开发，适用于所有微软公司操作系统，方便可靠。

2.1 技术平台架构

本软件前端系统和中间层服务器采用微软公司的.NET4.0平台编写可以运行在装有.net framework 4.0的一切操作系统上。采用.net framework框架可以增强和保证系统代码的安全性和可靠性[5］。

本身份认证系统结构采用后台数据库、中间层和客户端组成，中间层由Web Service服务器和心跳服务器组成。本项目的中间层封装了一个透明的数据访问层。不仅可以实现潜在的数据安全，有效、方便的访问，并且可以快速适应的数据指标体系的变化，缩短基础数据的变化对系统响应时间，该中间件不但可以提供最基本的对象关系映射，还提供事务及事务回滚、连接检查、数据批量更新、实体缓存、在线监视、数据连接、存储过程执行等功能，并提供数据接口可进行二次开发以及扩展能力。后台数据库单独运行在一台服务器上与中间层软件分开，增强安全性，前端运行在客户电脑上。如图1所示。

2.2 客户端功能设计

客户端软件的作用主要是进行用户的身份验证和对自身行为的一种设定，也是接收管理员信息的一种工具。客户端软件拥有自主研发的三项密码认证系统:此系统由三种不同的密码机制组成。第一项密码可以采用手工输入方法也可采用非手工方法获取。第二项密码由中间层服务器每60 s随机生成一次然后发送给客户端。第三项密码是软件使用结束后由客户端软件随机生成然后存入本地文件中，在软件下次使用时调用。最后通过三项密码共同参于软件的安全认证来确保用户的真实性、安全性和可靠性。客户端软件还是检测中间层服务器的重要工具。它可以将中间层服务器的状态返回给用户，可以判断网络是否正常(见图2)。

2.3 中间层服务器设置

中间层服务器由Web Service服务器和心跳服务器组成。Web Service服务器负责提供IO接口供开发人员调用以便2次开发。心跳服务器负责监视用户端的行为以及用户端的状态。并且及时更新数据库。中间层服务器也是联系客户端和后台数据库的中间途径。在该系统中是最重要的组成部分(见图3)。

2.3.1 Web Service 服务器设计

为了兼容其它软件、提高软件的使用效率、减少软件2次开发的成本，本项目数据接口采用Web Service服务器，Web Service服务器主要是完成对数据的处理工作以及提供2次开发接口。

2.3.2 心跳服务器设计

心跳服务器是此系统中最重要的服务器。心跳服务器设计时主要从以下几方面进行考虑:

1)负责监控Web Service服务器的状态如果Web Service服务器异常则立刻发送信息给客户端。2)负责完成初始化数据库的工作，当心跳服务器启动时会初始化后台数据库。3)对后台数据库状态进行监控，如果后台数据库异常则发信息给客户端。4)负责接受客户端的请求，把客户端的信息加入到后台数据库中。5)查看客户端是否在线，如果在线不予理会。如果客户端下线则删除数据库中用户的内容(见图4)。6)动态向在线的客户端返回动态口令。7)动态分配网络端口保证网络安全。

心跳服务器最主要的是向每个客户端发送心跳包，心跳包就是在客户端和服务器间定时通知对方自己状态的一个自己定义的命令字，按照一定的时间间隔发送，类似于心跳，所以叫做心跳包。用来判断对方(设备、进程或其它网元)是否正常运行[6］。

本项目心跳服务器的作用主要是负责监测客户端程序是否在线，Web Server服务器是否正常，如果Web Service服务器不正常则会第一时间通知管理员。如果客户端程序突然下线或者掉线则第一时间做出反应，连接Web Server服务器，对数据库进行清理在线名单操作。本项目的心跳服务器还起到初始化数据库的作用。如果心跳服务器突然死机或者掉线，在下一次启动时会初始化数据库并第一时间通知客户端。

2.4 WEB页面解决方案

由于现在的办公自动化系统多数采用的B/S结构，所以本系统应用在WEB页面上使用时只需要安装自主开发的网络插件，需要调用Web Service服务器预留的数据接口与软件(客户端)结合使用，就可以进行身份认证，免去在界面上输入“用户名/密码”。在WEB页面上输入动态获得的验证码，便可自动登录到办公自动化系统中。结合AJAX技术，当用户退出出认证软件时，办公自动化系统将自动退出。可以达到软件(客户端)在办公自动化在的效果。如图5。

为了更好地让本软件与办公自动化系统衔接，本系统提供了一个网络插件。本网络插件利用微软公司的AJAX技术编写，主要由时钟控件、Script Manager控件、Update Panel控件组成。通过此控件隔断时间对Web Service服务器的在线状态接口扫描，判定客户端软件是否在线，如果判定在线则继续使用办公自动化系统。否则退出办公自动化系统。如图6所示。

3 系统软件实现重要方法

3.1 组合多维密码验证方法

组合验证:S=P(x)+F(x)+M(x)

其中S为验证的最终结果P(x)为手动输入的“用户名/密码”，F(x)为本地存储的验证码，M(x)随机生成的动态验证码。P(x):验证可以保护使用者的正确性。确保使用者的真实身份。F(x):验证客户端的独立性防止客户端被盗用。M(x):一定时间变换一次验证网络有效性防止信息被网络篡改

通过组合多维密码的验证方法，可有效防止信息篡改，保证使用人的独立性，完成电子认证。减少了使用难度。所有密码均采用MD5加密技术。

3.2 智能行为监控系统

此系统主要负责监控用户的行为状态，查看用户是否正在使用此软件，并将状态回馈给服务器。服务器根据状态对数据库做出指示。此系统还可以监控服务器的行为，将服务器的行为反馈给客户端，客户端通过服务器行为可判断出服务器是否正常工作，通过此系统还可以实时监控网络的状态(见图7)。

3.3 异构中间层服务器

此服务器由逻辑中间层(Web Service服务器)和状态中间层(心跳服务器)构成。逻辑中间层为系统的逻辑业务提供接口，用户可以根据自身的需求动态扩充业务接口。状态中间层服务器负责监视所有服务器的网络状态并及时反馈给管理员，还有记录用户登路信息的作用。逻辑中间层和状态中间层相互连接使中间层服务器更加稳定。

4 结语

现如今市面有很多身份认证软件，如农业银行的K宝，但是K宝软件必须从网上下载证书，使用。比较麻烦，往往有的时候不适合大众人群。普通的电子签名软件在架构上也非常的麻烦，需要大量的软、硬件。一个电子证书发放系统就需要庞大的硬件服务器，但是办公软件的身份认证系统仅仅需要一点成本就可以带来很大的效益。办公软件的身份认证系统通过强大的网络功能可以适用于网络各种环境[8］。对中小型企业办公、电子商务起到保驾护航的作用。而且此软件还可以用于机关企业以及学校。办公自动化软件(OA)的发展有赖于办公服务的模式和领域的创新，办公软件的身份认证系统的广泛使用和普及将给办公自动化软件(OA)带来生机和活力。可以加快办公自动化软件(OA)的普及和发展[9］。

本论文以电子身份认证技术、中间层技术做为研究对象，得到了密码组合技术及中间层软件的一些结论。密码组合技术加强了电子身份认证过程中的复杂因素。中间层软件技术更好的发挥了多层结构作用，数据库、Web Servers服务器与心跳服务器分布在不同的计算机上可大大减少服务器的负担，减少网络的吞吐量。本项目对办公自动化系统用户身份确认有着指导做用。另外本系统还可以降低安全软件的使用难度。

[1]杜鑫.高校数字图书馆IPSec VPN网络的实现[J］.承德石油高等专科学校学报，2014，16(2):69－71.

[2]刘应成.基于智能手机的导游系统设计[J］.计算机应用与软件，2014，31(11):248－250.

[3]李涛.电子签章技术及其在网络电子合同中的应用研究[D］.上海:上海交通大学，2005.

[4]李锐.基于XML和.NET技术的商用网站研究[D］.重庆:重庆大学，2002.

[5]叶菁.机场场务保障信息管理系统分析与设计——以新郑机场为个案[D］.天津:南开大学，2011.

[6]赵闯.构建数字化校园数据仓库的方案研究[D］.长春:东北师范大学，2009.

[7]高璐晓.云闪雷电探测网数据传输与远程监控的技术研究[D］.武汉:华中科技大学，2011.

[8]钟文晶.实时数据可靠传输与数据集成技术的研究[D］.北京:华北电力大学(北京)，2011.

[9]孙志坚.政务网隔离与监控技术研究与应用[D］.青岛:中国海洋大学，2010.