实验仿真教学平台系统开发中用户信息加密及身份认证.doc

实验仿真教学平台系统开发中用户信息加密及身份认证摘要：针对目前仿真教学资源分散的现状，从整合院校的仿真教学软件的目标出发，开发了仿真教学网络平台，鉴于平台的实际使用价值，在系统开发过程中需要设置登录方式，对用户信息进行加密与身份认证。主要介绍了系统开发中登录方式、用户信息的加密与身份认证处理的实现过程。 关键词：身份认证；Session验证；信息安全 中图分类号：TP309.7文献标识码：A文章编号：1672-7800（2013）001-0159-03 0引言 实验仿真平台针对的用户是学院教师和学生，是为教师和学生提供课程学习以及自主学习的平台，也可以用来为远程教育服务，这些特点决定了该系统的结构。其一，学生在具备上网条件的地方，应该能够随时访问该系统的培训课件；其二，系统要包括仿真实验这一块，这一块因仿真软件的要求，可以允许校园网内用户下载安装此类软件进行特定操作。因实验仿真平台为有偿使用，在登录过程中对用户权限就会有把关。下面主要阐述了系统开发中登录方式、用户信息的加密与身份认证处理的实现过程。 1系统登录模块 设计登录模块的作用主要是为了保证系统的安全性，让合法的用户（管理员、教师和考生）使用该系统。用户在系统中的操作请求包括登陆请求、下载请求、上传请求等，当用户提交请求后，系统即进行处理。首先判断登录系统的用户是否为合法用户，如果是合法用户，则可以通过验证，按请求要求进行相关操作；若不是，则不给登录。图1描述的即是用户在系统中的操作过程。 为了防止非法用户注册使用本系统，用户登录的工号或学号和默认密码已预先在系统中保存，用户可以登录后修改自己的密码。在系统确认后才能再填写相关资料，或修改相关资料。用户所能进行的操作是根据用户的权限而定的。 2系统管理模块 实验仿真平台中的系统管理模块的主要功能是进行用户管理、课程管理、素材管理和页面管理。用户管理的任务是审核用户的身份，判定用户的角色。若登录者为学生，系统在接收请求后将会弹出注册页面，在登陆者同意相关声明条款后，输入正确的学号、姓名以及个人资料，就可以注册成功。为了避免有非法用户来注册，事先将合法用户的学号导入系统，学生只有输入正确的学号，才能进行注册，否则提示用户不能注册。图2描述的是学生注册过程。 图1用户登录操作流程 图2学生注册过程 用户注册成功后，考虑到用户有时可能会忘记密码，本系统为用户提供了取回密码操作。当用户发出取回密码的请求后，将会弹出相应窗口，要求用户输入正确的用户名，再要求用户回答找回密码的提示问题。若答案正确，系统会将密码返回给接受密码的指定信箱；否则显示错误信息，无此用户或密码回答问题错误。图3描述的是用户取回密码的过程。 图3用户取回密码过程 该实验仿真平台为用户提供了文件下载功能，为了防止非法用户利用有效资源，系统增加了第二次确认用户身份的功能。进行用户名与密码验证，若验证通过，则进行下一步操作，检查链接是否空闲，如空闲，提交请求进行下载，否则提示无空闲链接。若验证不通过，则无法下载。图4描述的是用户下载文件的过程。 图4用户下载文件 3系统登录实现 HTTP协议是一种无联系或状态的协议，当用户连接一个Web服务器，请求一个页面，接收一个页面，然后脱离，所有请求都被看作是唯一和独立的连接，与在它之前的连接无任何关系。当用户从一个页面跳转到另外一个页面时，系统无法跟踪其会话状态，变量的作用域就是页面范围。这就造成在一个页面中生成的状态值，当转到另外一个页面时将会消失。为了解决这个问题，ASP通过服务器为每位新用户创建一个新的Session对象来实现。该对象用SessionID属性来标识。新会话开始时，服务器将产生的SessionID作为Cookie存储到用户的浏览器中作为会话标记，以后当用户请求页面时，浏览器会发送SessionID给服务器，用来识别会话。Session对象在其集合中可以存储关于某个用户会话的信息，这些信息一般是name、id等。存储在Session对象中的变量掌握着单一用户在某次会话中的信息，同时这些信息在会话生命周期内对于站点下的所有页面都是可用的，不会随着页面的跳转而消失。 在系统平台中，需要对Web页面进行访问控制，严格限制非法的访问和盗链。但是由于HTTP协议的无状态性，使得依靠HTTP协议进行Web页面的访问控制变得很难实现。系统设计中主要利用用户名/口令校验的方法，在Web页面中进行会话验证，以实现Web页面的安全访问控制。 Session是ASP的内嵌对象，是用户级的全局变量，将用户成功登录的信息记录到Session中后，用户就可直接浏览权限允许的页面。Session对象存储特定用户会话所需的信息。