【毕业学位论文】（Word原稿）多种环境下动态口令认证系统高效解决方案的研究与实现-电子科学与技术

密级： 保密期限： 硕士研究生 学位论文 题目： 多种环境下动态口令认证系统高效解决方案的研究与实现 学 号： 姓 名： 专业领域： 电子科学与技术 导 师： 学 院： 电 子工程学院 2013 年 01 月 06 多种环境下动态口令认证系统高效解决方案的研究与实现 i 独创性（或创新性）声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢中所罗 列的内容以外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名： 日期： 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即：研究生在校攻读学位期间论文工作的知识产权单位属北 京邮电大学。学校有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借阅；学校可以公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它复制手段保存、汇编学位论文。（保密的学位论文在解密后遵守此规定） 保密论文注释：本学位论文属于保密在 年解密后适用本授权书。非保密论文注释：本学位论文不属于保密范围，适用本授权书。 本人签名： 日期： 导师签名： 日期： 多种环境下动态口令认证系统高效解决方案的研究与实现 种环境下动态口令认证系统高效解决方案的研究与实现 摘 要 安全认证技术 动态口令 是一种安全便捷的 账号 防盗技术 。 由于一次一个口令，每次口令都不一样，所以相比于静态密码能够 有效保护交易和登录的认证安全 。 目前 架构在 统上，并 已广泛应用在网银、网游 及金融类企业内部 登陆认证等 方面。 由于 统 的 认证操作需要 从数据库中取 用户信息 并进行哈希运算， 随着用户数量的增加，高并发访问情况下认证操作响 应时间并不理想， 所以 如何有效 缩短系统处理时间很重要 。 由于不同的应用 环境 对于 认证 安全性的要求也不同，所以 针对不同的安全等级 设计出 在 安全性 、 吞吐率 、响应速度方面都相对优秀的高效解决方案目前 统迫切需 要解决的问题。 本文在深入研究了 用 系统各种性能优化方法的基础上， 给出了单服务器运行下 用的性能优化思路。 对不同类型应用中影响 能的因素分别作了理论分析和实验测试分析，在分析结果的基础上，研究了 术及 数据挖掘技术， 给出了 统在 不同安全等级的 应用场景 下， 如何 从数据访问方面 、程序处理流程方面、用户访问预测方面以及硬件服务器性能等方面 来 提升 证安全性、系统吞吐率以及响应速度的高效解决方案， 包括 全认证算法选择方案、 基于 术的数据库解决方案以及基于志挖掘的 用户访问预测 解决方案 等 ， 并 均 用 言 对这些方案进行了编码 实现 。之后又 用专业 化 性能测试工具 给出的方案进行了详细的性能测试 ， 包括规范化的测试 方案设计 、测试过程、技术细节、测 试结果及对测试结果的分析。 测试结果表明本文所提技术方案在 证系统吞吐率、响应时间方面都表现出色，性 能比原有系统有较大提升。 本文最后 对 所做工作进行了总结并对 高并发 统性能优化研究 方向以及用户身份认证机制研究前景 进行了展望。 关键词 ： 能优化， 日志 挖掘 ，性能测试 多种环境下动态口令认证系统高效解决方案的研究与实现 F is a a is so it of of TP on eb in TP do of of so to is of is so to TP to of is an to be TP of eb on to eb 多种环境下动态口令认证系统高效解决方案的研究与实现 iv TP on at TP of to TP of so on in of TP eb so on of of at in TP to of eb 多种环境下动态口令认证系统高效解决方案的研究与实现 v 目录 第一章 绪论 . 1 究目的及意义 . 1 究背景 . 2 究现状 . 2 文主要工作 . 3 文组织结构 . 4 第二章 统场景划分及主要性能影响因素分析 . 5 台介绍 . 5 统业务概述 . 6 台 体系架构 . 6 台功能架构 . 7 证系统业务流程 . 9 统性能优化 . 9 统性能优化概述 . 10 务器优化技术 . 10 务器优化思路 . 11 统应用场景划分及安全性分析 . 11 统应用场景划分 . 12 银身份认证安全性分析 . 12 统主要性能影响因素分析 . 15 态口令生成算法 . 15 据库数据存取 . 19 户访问的随机性 . 21 行环境 . 21 第三章 统不同安全等级高效解决方案的设计与实现 . 23 令生成算法的设计 . 23 法设计 . 23 态口令生成因子设计 . 23 多种环境下动态口令认证系统高效解决方案的研究与实现 据库设计 . 24 系型数据库表设计 . 24 于 统数据缓存方案设计 . 26 于日志挖掘的 统用户访问预测方案设计 . 30 据挖掘与 志挖掘 . 30 于 志挖掘的用户访问预测方案设计 . 31 部环境的调整方案 . 33 拟机性能优化 . 34 身优化 . 35 据库性能调优 . 36 第四章 性能测试 . 37 统性能衡量指标 . 37 吐率 . 37 应时间 . 37 发用户数 . 38 源利用率 . 38 用性能测试工具介绍 . 38 . 38 . 40 试流程 . 40 能测试脚本 . 41 试环境 . 46 统性能测试结果 . 46 化结果 . 46 户访问预测 方案性能测试结果 . 47 务器环境优化结果 . 48 体优化结果 . 49 试结果分析总结 . 50 第五章 总结与展望 . 51 作总结 . 51 足与展望 . 51 参考文献 . 53 致谢 . 55 攻读学位期间发表论文 . 56 多种环境下动态口令认证系统高效解决方案的研究与实现 1 第 一 章 绪论 究目的及意义 全称 也称动态口令 1， 即 每个口令只能使用一次，相比于传统静态密码是 一种安全便捷的 账号 防盗技术，可以有效保护交易和登录的认证安全， 目前 已 被广泛运用在网银、网游、电信运营商、电子商务、企业等应用领域 。 用于 产生 动态口令 并进行认证请求处理 的系统称为 统。 统包括基于时间、基于计数器以及基于挑战应答这三种方式的动态口令算法，而无论哪一种 认证操作 都需要首先 从数据库中取得用户的相应信息，包括 种子、集成电路卡号等数据信息 ，然后 再进行 哈希 运算，所以对于大量并发请求， 统就要大量操作 数据库，进行数据信息的查询与更新。 由于 统架构于 用之上， 而数据库操作往往是 统的性能瓶颈，通过 我们的性能测试结果， 也同样 发现数据库操作占据了大部分的系统处理时间，所以提升 统 数据访问层的性能至关重要。 由于 目前 统 用户数还比较有限，现阶段我们更关心的是口令认证操作的正确性、安全性，却没有 过多的 考虑过当用户数很多时，并发请求操作很频繁时，系统能否依然高效地运行。而实际的发展情况是动态口令认证系统为用户的登陆安全性带来了很大保证，而且操作简便， 绝大多数用户都给出了积极的反馈，所 以 统肯定会应用范围越来越广，用户数越来越多，当真正到达并发用户数上千，如果不改进我们现有的系统方案，想达到高效处理 是 不可能的。 由于 统都是架构 于 用之上的， 所以本文研究的目的 就 在于 如何利用现有的 统性能优化技术， 针对不同安全等级需求的多种应用环境下的 统， 在保证用户认证高安全性的前提下， 设计 出高并发 2请求 情况下系统 在 安全性 、 吞吐率 、响应速度方面都相对优秀的 的高效解决方案。 而且，本课题 的研究 不仅针对 统 提出了 高效解决方案，对具有类似特性的系统都具 有启发和指导意义。同时，为了验证方案的正确性和有效性，本课题做了详细深入的系统性能测试，用专业化的测试工具，按照专业化的测试流程对所提解决方案进行了 一系列的 压力测试，并对测试结果进行了分析 ，是对统 性能优化理论的一次深入研究，是性能优化理论在特定场合下的探索实践总结。 多种环境下动态口令认证系统高效解决方案的研究与实现 2 究背景 动态口令认证系统项目 应 运营商 、金融类企业等的身份安全认证需求而出现 ，目前 处于项目完善阶段，并 已开始商用，与之合作的厂商 已超过 10 个，主要集中在网银 身份 认证、网游 身份 认证、 移动支付身份认证、 企业内部登陆认证、电信自营业务身 份认证等方面。 动态口令认证系统架构于 用之上，运用 议进行通信， 据库服务器使用的是 动态口令认证系统基于 构 3，而 身是由许多项开发技术组合而成的，所以它是一项复杂的技术，具有非常大的多样性和灵活性，所以对于大多数程序开发人员来说，都不能完全的掌握，在运用的时候就不知道如何根据系统的需求和已有条件，使开发出来的 用性能最优化。可能的问题就是虽然实现了所需的业务功能，但是却埋下了性能隐患，比如程序的高耦合度使程序的修改 异常困难，程序运行效率也不会高，或者是对于轻量级的应用却使用的重量级的架构，使得运行效率差且容易出现问题。 在 功能完善的基础上 对现有动态口令认证系统进行性能测试时发现，系统性能并不是非常理想。 虽然 单 服务器压力测试，但服务器配置较高，从测试结果看，系统的性能优势没能体现出来，在并发 200 用户的情况下，服务器 用率还不到 50%，这说明 统出现了性能瓶颈。 所以，基于以上研究背景，找到系统性能瓶颈，优化整体系统架构方案是目前迫切需要解决的问题。 究现状 随着近年来互联网技术的飞速发展，互联网应 用越来越广泛，已经深入到我们日常生活中的方方面面。在互联网应用的体系架构中，由于 B/S 模式的应用架构具有较低的客户端硬件需求以及良好的可扩展性及可维护性，而且能够在较短的时间内开发完成，从而获得了广泛的应用。 之前用户量较少时，人们关注的重点是 用的功能特性，而 随着用户量的急速增长，应用服务器的性能显得愈发重要了。有关 务器性能优化方面的研究也逐渐多了起来，直到近几年成为普遍的研究热点。其研究成果还是比较显著的，在集群环境下，有负载均衡技术、镜像技术、多数据库技术等等，在单机性能优化方面，有 序优化方法、 器性能优化技术、数据库访问性能优化技术等。 多种环境下动态口令认证系统高效解决方案的研究与实现 3 虽然造成 统性能不佳的原因有很多，但通常来讲可归结为系统的架构设计、应用程序代码的编写、数据库的设计、 务器以及数据库服务器的部署等方面。 目前已有的优化技术主要集中在外部环境部署方面，很少有涉及到内部应用程序如何进行优化的方法和技术， 而 在 统性能优化中，最最重要的一点当属 应用 程序的功能 特性，因为我们做系统性能优化都要首先从应用程序入手，而应用程序又是服务于应用需求，所以根据系统特定的需求来设计服务架构，根据具体要求来编写 程序代码，从而在根源处提升应用程序的性能是最重要的。而具体应用需求决定了程序的功能，所以在 统性能优化方面优化的根本原则就是程序方面的优化。其次，在应用程序，应用架构已定的情况下，根据实际情况，对数据库设计方面，应用服务器配置方面、 件配置方面以及网络配置方面进行有针对性的调优操作，最终达到理想的优化效果。 文主要工作 本文 主要利用现有 统优化理论 结合 目前的 台项目 需求 ， 给出了在 安全等级需求不同的 应用环境下系统 在 安全性 、 吞吐率 、响应时间 方面 都相对优秀 的高效解决方案，并对其 进行了 码实现，接着又按照规划化的测试流程对所提方案进行了有效的有针对性的压力测试，同时对性能测试结果进行了详细的分析。 其主要研究内容如下： (1)在 分析 了 现有的 统性能优化的各种技术 的基础上 ， 给 出了单服务器运行环境下 用系统的性能优化思路 ， 为并发环境下 统 高效解决方案的设计 奠定理论基础。 (2)将 证系统在不同环境下的应用场景进行了划分， 按照安全等级需求划分成 了网银 认证 、移动支付 等高安全性需求应用场景及 网游认证 、 陆认证 等相对中等 安全性需求 场景 ， 论证了 证方案 的安全性有效性 ， 给出了 证 方案在 网银登陆 应用 场景下的适用范围， 并根据各自的 安全 需求等级 ，以及 统性能优化的理论进行了有针对性的 高效解决 方案设计， 主要保证系统 在 安全性 、 吞吐率 及响应时间 上 的高效性。方案设计包括了利用非关系型数据库与关系型数据库相融合的方式进行数据访问层处理的方案设计以及利用数据挖掘技术进行用户访问预测算法的方案设计等， 并 均对所提方案 进行了编码实现。 (3)在对多种应用环境下的解决方案进行实现后，使用 专业化 的测试工具，结合 专业化 的测试流程，详细设计并实现了针对 统认证操 作的性能测试脚本，并对所提方案进行了 有针对性 的压力测试。 (4)通过 性能测试 实验，记录了 各种优化方案在实施前与实施后系统 多种环境下动态口令认证系统高效解决方案的研究与实现 4 认证请求时 的响应时间、 系统吞吐率 等运行参数， 并 对测试结果 进行了详细的性能对比分析。 文组织结构 本文的章节安排如下 ： 第一章 绪论 给出了本文的课题研究目的及意义、 课题背景 、研究现状 以及本文的主要工作和本文的 结构安排 。 第二章 介绍了 本文的目标系统 态口令认证系统，并总结出了单服务器运行下 统性能优化的思路。将 统针对不同安全等级需求的不同应用场景进行了划分归纳， 并论证了 式在网银身份认证应用中的安全性可靠性，针对不同场景中 影响 统性能 的因素 进行了全面分析、实验，得出了可靠性较高的优化思路 。 第三章针对 第二章中对 统 划分的不同的应用场景 ， 分别设计了系统高效 解决 方案，包括 动态口令生成算法的设计、 数据库方面的设计、 户访问预测算法的设计以及系统 外部运行环境的参数设计等 。 第四章 根据 用系统性能测试流程进行了测试环境的部署、性能测试脚本的编写，并给出了关键部分代码，对第三章给出的系统改进方案进行了实际的压力测试，给出了详 细性能测试结果并对测试结果进行了深入的对比分析。 第五章对本文 所做 的主要工作进行了总结，对尚存在的一些待改进之处进行了分析，同时对 本文相关技术 的 研究 前景进行了展望。 多种环境下动态口令认证系统高效解决方案的研究与实现 5 第 二 章 统场景划分 及主要性能影响因素分析 本章首先介绍了 态口令认证系统的功能特性及平台架构，接着 在分析现有 务器优化技术的基础上 总结出了单服务器运行下 用的优化思路。然后 针对于不同的应用安全等级需求对 态口令认证系统的多种应用场景进行了划分归纳， 并论证了 式在网银身份认证应用中 的安全性有效性。 最后对于 统主要的性能影响因素进行了全面分析， 并进行了部分性能优化 对比 实验，得出了可靠性较高的优化思路，其 思路 主要集中在数据库访问层面、用户访问随机性方面、动态口令生成算法复杂度方面以及 用服务器运行环境因素方面的影响因素分析。 台介绍 本课题所针对的目标系统就是 应 运营商、金融类企业等的身份安全认证 需求而出现 的 态口令 认证系统 。目前该系统已与多家游戏厂商 及金融类企业合作，提供大量用户的登陆认证服务。 用的产生主要是源于通常的用户名 /密码指的是静态密码 ，即每次登陆都一样的密码，其存在的安全隐患很多，如被人恶意枚举攻破，或被人偷看以至下次用其假冒登陆，也有可能很多人为了容易记忆，使用的是自己的生日或其他有意义的数字，更容易被别人猜出，所以加强电子应用中个人登陆身份认证的有效性、安全性，是非常必要的。 称 即 一次性密码， 也 称 动态口令 4，指的是用特定的 加密 算法 根据不同的参数来 产生不同的口令 ，且每次 产生的口令只能使用一次 ， 相比于单纯使用静态密码，能够有效地保护用户的登陆安全 。 由于动态令牌 在 使用 方面的方便快捷性 ，目前 已 广泛应用在 陆 、网上银行、 电子商务等 各个需要登录身份认证的 领域。 由于 应用 统进行身份认证的各个领域对认证的 安全需求级别并不相同，所以针对不同的安全需求等级的应用场景使用同一种动态口令生成算法是不合理的，是不能达到算法层面上的高效的，这是动态口令认证系统存在的一个潜在问题。 统 架构于 用系统之上，使用的是 据库作为数据的持久化存储机制。其 认证操作 处理 主要是取得数据库中用户的相应认证信息， 然后对其认证因子进行 算，将得出的动态口令与 议中用户传过来的动态口 令相比较，看是否一致，如果一致则认证成功，否则认证失败， 多种环境下动态口令认证系统高效解决方案的研究与实现 6 陆。 所以对于大量的并发认证请求， 统就要大量的连接数据库进行访问，这是限制 统认证操作响应速度的瓶颈。 目前 统部署在双核高性能 务器上， 拟机使用的是 然是单服务器运行，但对于处理流程并不是很复杂的认证操作，系统显然没有发挥出应有的硬件优势， 统 业务概述 正如现实中需要身份证和签章等安全认证工具及 身份认证系统一样，互联网中更需要电子身份证和安全认证 5服务。 用的主要目标是保证用户登陆的身份认证，所以其应用模式一般是放置 务器在合作伙伴的后台系统中，当用户登陆时不仅要正确输入静态用户名和密码，同时还要输入移动终端上产生的动态口令，才能成功登陆系统。 目前 用最成熟的应属动态口令牌，即硬件令牌。它从技术角度分析包括以下三种形式：基于时间同步 、 基于事件同步 以及 挑战 /应答方式 6。 目前应用最广泛的当属时间同步型动态口令，其口令 每 60 秒变换一次，一个口令在认证过程中只使用一次，下次认 证时则更换使用另一个口令，使得不法分子难以 假冒合法用户的身份。 动态口令 牌的使用 非常 简单，用户只要根据 应用 系统的提示，输入 口令 牌当前显示的 6 位 /8 位 口令即可。 随着移动信息化技术应用的日益广泛与普及，手机已成为老百姓最为便捷的随身工具， 由于通 过移动终端产生动态口令使得用户使用、携带起来更加方便，所以就出现了手机令牌。 动态口令认证系统中的 手机令牌 分为 令牌与手机软件版令牌，由于 相对手机操作系统来讲，安全性更高，而且兼容性更好，所以获得了广泛应用。 台体系架构 从安全令牌产品长远发展策略出发，一方面充分结合电信全国性全网产品规划实现的成功模式，另一方面对此安全产品特有的市场需求与应用模式兼顾考虑，从而使平台的体系架构能满足长期发展的需要。 目前设计 的 平台体系架构 如下 ： 多种环境下动态口令认证系统高效解决方案的研究与实现 7 图 2 - 1 ，即中心管理系统，位于 整个平台的 最上层，用于管理平台 内 所有业务的登记，注册，服务状态备案等全局性信息管理。 ，是 台业务管 理系统，可管理所有 业务。它的作用是 转发 统与运营商短信网关发出 的 求 ，同时统计用户的业务操作请求 。 ，即认证系统，位于 最下层 ，负责 处理合作厂商服务器后台传过来 的认证请求 ，同时 统计 记录用户的认证操作日志 。 台功能架构 安全令牌平台功能模块如下图所示： 多种环境下动态口令认证系统高效解决方案的研究与实现 8 图 2台功能架构图 平台分为四个 部分 ： 1、 用户门户 用户门户是令牌用户体验令牌的直接入口，支持 户方式，提供个性化问题设置，通过 户可以为用户提供界面展示，提供第三方应用列表以及安全令牌使用的演示令牌业务展现、下载、搜索、使用等功能。提供用户自服务功能，用于用户自助修改个人资料信息，查询令牌使用记录，以及进行令牌保护密码解锁等。 2、 管理门户 管理门户是令牌运营管理的入口，主要包括两个门户：运 营管理门户、客服管理门户。运营管理门户为运营人员提供用户管理、应用管理、统计报表等功能。客服管理门户为客服人员提供查询、审核等功能。 3、 认证系统 提供算法管理、种子管理、令牌认证等多种功能，并开放相关接口，便于令牌业务集成。同时系统新增认证信息查询，数据统计分析，应用管理，节点管理，参数配置等功能。 多种环境下动态口令认证系统高效解决方案的研究与实现 9 认证系统 ，是直接与用户接触的系统，需要与用户操作进行实时响应，是需要高 安全性 、快速响应的，也正是 本课题讨论的重点。 4、 管理系统 提供用户管理、短信路由管理、应用管理、统计管理、订购结算、日志管理等功能。同时系统新增 系统节点管理和管理员信息设置功能。 证系统 业务流程 S I M 卡需 认 证 服 务 的 应 用 商业 务 管 理 系 统 认 证 系 统运 营 商