實驗仿真教學平臺系統(tǒng)開發(fā)中用戶信息加密及身份認證_第1頁
實驗仿真教學平臺系統(tǒng)開發(fā)中用戶信息加密及身份認證_第2頁
實驗仿真教學平臺系統(tǒng)開發(fā)中用戶信息加密及身份認證_第3頁
實驗仿真教學平臺系統(tǒng)開發(fā)中用戶信息加密及身份認證_第4頁
實驗仿真教學平臺系統(tǒng)開發(fā)中用戶信息加密及身份認證_第5頁
已閱讀5頁,還剩3頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、實驗仿真教學平臺系統(tǒng)開發(fā)中用戶信息加密及身份認證摘要:針對目前仿真教學資源分散的現(xiàn)狀,從整合院校的 仿真教學軟件的目標出發(fā),開發(fā)了仿真教學網(wǎng)絡(luò)平臺,鑒于 平臺的實際使用價值,在系統(tǒng)開發(fā)過程中需要設(shè)置登錄方 式,對用戶信息進行加密與身份認證。主要介紹了系統(tǒng)開發(fā) 中登錄方式、用戶信息的加密與身份認證處理的實現(xiàn)過程。關(guān)鍵詞:身份認證;session驗證;信息安全中圖分類號:tp309. 7文獻標識碼:a文章編號: 1672-7800 (2013) 001-0159-030引言實驗仿真平臺針對的用戶是學院教師和學生,是為教師 和學生提供課程學習以及自主學習的平臺,也可以用來為遠 程教育服務,這些特點決

2、定了該系統(tǒng)的結(jié)構(gòu)。其一,學生在 具備上網(wǎng)條件的地方,應該能夠隨時訪問該系統(tǒng)的培訓課 件;其二,系統(tǒng)要包括仿真實驗這一塊,這一塊因仿真軟件 的要求,可以允許校園網(wǎng)內(nèi)用戶下載安裝此類軟件進行特定 操作。因?qū)嶒灧抡嫫脚_為有償使用,在登錄過程中對用戶權(quán) 限就會有把關(guān)。下面主要闡述了系統(tǒng)開發(fā)中登錄方式、用戶 信息的加密與身份認證處理的實現(xiàn)過程。1系統(tǒng)登錄模塊設(shè)計登錄模塊的作用主要是為了保證系統(tǒng)的安全性,讓 合法的用戶(管理員、教師和考生)使用該系統(tǒng)。用戶在系 統(tǒng)中的操作請求包括登陸請求、下載請求、上傳請求等,當 用戶提交請求后,系統(tǒng)即進行處理。首先判斷登錄系統(tǒng)的用 戶是否為合法用戶,如果是合法用戶,則可

3、以通過驗證,按 請求要求進行相關(guān)操作;若不是,則不給登錄。圖1描述的 即是用戶在系統(tǒng)中的操作過程。為了防止非法用戶注冊使用本系統(tǒng),用戶登錄的工號或 學號和默認密碼已預先在系統(tǒng)中保存,用戶可以登錄后修改 自己的密碼。在系統(tǒng)確認后才能再填寫相關(guān)資料,或修改相 關(guān)資料。用戶所能進行的操作是根據(jù)用戶的權(quán)限而定的。2系統(tǒng)管理模塊實驗仿真平臺中的系統(tǒng)管理模塊的主要功能是進行用 戶管理、課程管理、素材管理和頁面管理。用戶管理的任務 是審核用戶的身份,判定用戶的角色。若登錄者為學生,系 統(tǒng)在接收請求后將會彈出注冊頁面,在登陸者同意相關(guān)聲明 條款后,輸入正確的學號、姓名以及個人資料,就可以注冊 成功。為了避免有

4、非法用戶來注冊,事先將合法用戶的學號 導入系統(tǒng),學生只有輸入正確的學號,才能進行注冊,否則 提示用戶不能注冊。圖2描述的是學生注冊過程。圖1用戶登錄操作流程圖2學生注冊過程用戶注冊成功后,考慮到用戶有時可能會忘記密碼,本 系統(tǒng)為用戶提供了取回密碼操作。當用戶發(fā)出取回密碼的請 求后,將會彈出相應窗口,要求用戶輸入正確的用戶名,再 要求用戶回答找回密碼的提示問題。若答案正確,系統(tǒng)會將 密碼返回給接受密碼的指定信箱;否則顯示錯誤信息,無此 用戶或密碼回答問題錯誤。圖3描述的是用戶取回密碼的過 程。圖3用戶取回密碼過程該實驗仿真平臺為用戶提供了文件下載功能,為了防止 非法用戶利用有效資源,系統(tǒng)增加了第

5、二次確認用戶身份的 功能。進行用戶名與密碼驗證,若驗證通過,則進行下一步 操作,檢查鏈接是否空閑,如空閑,提交請求進行下載,否 則提示無空閑鏈接。若驗證不通過,則無法下載。圖4描述 的是用戶下載文件的過程。圖4用戶下載文件3系統(tǒng)登錄實現(xiàn)http協(xié)議是一種無聯(lián)系或狀態(tài)的協(xié)議,當用戶連接一個 web服務器,請求一個頁面,接收一個頁面,然后脫離,所 有請求都被看作是唯一和獨立的連接,與在它之前的連接無 任何關(guān)系。當用戶從一個頁面跳轉(zhuǎn)到另外一個頁面時,系統(tǒng) 無法跟蹤其會話狀態(tài),變量的作用域就是頁面范圍。這就造 成在一個頁面中生成的狀態(tài)值,當轉(zhuǎn)到另外一個頁面時將會 消失。為了解決這個問題,asp通過服務

6、器為每位新用戶創(chuàng) 建一個新的session對象來實現(xiàn)。該對象用sessionld屬性 來標識。新會話開始時,服務器將產(chǎn)生的sessionld作為 cookie存儲到用戶的瀏覽器中作為會話標記,以后當用戶請 求頁面時,瀏覽器會發(fā)送sessionld給服務器,用來識別會 話。session對象在其集合中可以存儲關(guān)于某個用戶會話的 信息,這些信息一般是name、id等。存儲在session對象 中的變量掌握著單一用戶在某次會話中的信息,同時這些信 息在會話生命周期內(nèi)對于站點下的所有頁面都是可用的,不 會隨著頁面的跳轉(zhuǎn)而消失。在系統(tǒng)平臺中,需要對web頁面進行訪問控制,嚴格限 制非法的訪問和盜鏈。但是

7、由于http協(xié)議的無狀態(tài)性,使 得依靠http協(xié)議進行web頁面的訪問控制變得很難實現(xiàn)。 系統(tǒng)設(shè)計中主要利用用戶名/ 口令校驗的方法,在web頁面 中進行會話驗證,以實現(xiàn)web頁面的安全訪問控制。session是asp的內(nèi)嵌對象,是用戶級的全局變量,將 用戶成功登錄的信息記錄到session中后,用戶就可直接瀏 覽權(quán)限允許的頁面。session對象存儲特定用戶會話所需的 信息。用戶第一次登錄網(wǎng)站時系統(tǒng)為其分配一個session, 用戶在訪問頁面期間或在頁面之間進行跳轉(zhuǎn)時,存儲在 session對象中的變量始終存在,不會被清除,只有當該用 戶退出時,或者session的生命周期結(jié)束時信息才被清除

8、。 因此,在系統(tǒng)設(shè)計時可以采用判斷session變量是否存在的 方式進行判別,如果存在,即表示用戶已登錄,否則未登錄, 返回登陸頁面。在首頁面登錄后,session記錄登錄用戶:為防止非法用戶多次登錄嘗試破解密碼,程序設(shè)定最多 允許嘗試3次,如用戶成功登錄,則要記錄用戶登錄信息, 同時記錄用戶要訪問的頁面,以便登錄后返回該頁:如果數(shù)據(jù)庫中存在該用戶的信息,就把記錄該用戶成功 登錄的信息標記到register變量中。成功登錄后自動返回 用戶要訪問的頁面:允許嘗試登錄3次,3次之內(nèi),如未登錄成功,重定向 到注冊頁面register. aspo若超過3次仍未成功,則禁止訪 問并同時顯示錯誤頁面err

9、or, asp:ifsession ( "lognumber")為防止非法用戶跳過登錄頁面直接盜鏈到其它頁面,在 其它頁面頭上進行session驗證。當發(fā)現(xiàn)不存在會話用戶時, 程序直接跳轉(zhuǎn)到登錄頁面提醒用戶進行登錄。記錄該頁面的 路徑到prescript變量中并強制客戶登錄:“true" thensession ( “prescript" ) =request. servervariables(“script_name")response, redirect "register. asp"endif%>4用戶信息加密與

10、身份認證處理在實驗仿真平臺系統(tǒng)中,雖然數(shù)據(jù)是存放在數(shù)據(jù)庫服務 器中的,但為了數(shù)據(jù)的安全,我們增設(shè)了對數(shù)據(jù)進行加密的 功能。對本文談及的實驗仿真教學平臺而言,數(shù)據(jù)量比較大, 如果對所有數(shù)據(jù)都進行加密,系統(tǒng)的性能將會大幅下降,所 以考慮系統(tǒng)實施中對系統(tǒng)關(guān)鍵數(shù)據(jù)進行加密,主要包括用戶 賬號信息、學習信息、考生成績信息等。系統(tǒng)設(shè)計時在登錄 模塊中重點對賬戶信息的安全性給予了處理。系統(tǒng)在設(shè)計用戶模塊時,要對用戶密碼這一塊加強安全 考慮。使用md5加密算法來保護數(shù)據(jù)庫中的重要數(shù)據(jù),系統(tǒng) 在保存密碼時先將傳遞的數(shù)據(jù)通過md5加密后才存入數(shù)據(jù) 庫,這樣在數(shù)據(jù)庫中就能看到已經(jīng)加密的信息,從而確保了 信息安全。因

11、md5算法對同一段明文加密得出的密文是唯一 且相同的,當有數(shù)據(jù)要和保存的數(shù)據(jù)進行比較時,可通過將 需要對比的數(shù)據(jù)進行md5加密后再對比。下面給出了系統(tǒng)中 登錄模塊的部分關(guān)鍵程序,登錄模塊程序?qū)崿F(xiàn)的主要功能是 將用戶輸入的密碼通過md5加密后與數(shù)據(jù)庫中已存的經(jīng)過 md5加密的數(shù)據(jù)進行比對,得出結(jié)果,如果是合法用戶則判 斷用戶的不同級別,再進行不同的授權(quán)。用戶通過表單登錄后,將用戶輸入的數(shù)據(jù)和密碼通過 md5加密后與數(shù)據(jù)庫中已存的md5結(jié)果進行比對。若為合法 用戶,則判定用戶身份;若是管理員,則具有用戶管理權(quán)限; 若是學生,則可以進行瀏覽查看。以上主要介紹了系統(tǒng)開發(fā)中登錄方式、用戶信息的加密 與身份認證處理的實現(xiàn)過程,以及實現(xiàn)過程中的關(guān)鍵技術(shù)。參考文獻:1 郭加書,崔然,李巖,等高校數(shù)字化校園建設(shè)的研 究與實踐j.中國高教研究,2007 (10).2 程秀麗.基于校園網(wǎng)的課程學習支持系統(tǒng)設(shè)計與應 用研究d.大連:遼寧師范大學,2009.3 黃軍基于web2. 0的教師個人發(fā)展檔案袋系統(tǒng)的設(shè) 計與實現(xiàn)d上海:華東師范大學,2009.4 向立文檔案資源整

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論