洪丹丹 冯兴利 徐墨 锁志海

摘 要：为解决移动门户系统有效识别用户真实身份与角色，并对用户敏感数据进行安全可靠的保护的问题，提出了将统一身份认证系统与移动门户对接并在数据转换及传输阶段采用MD5签名，保证数据的完整性和真实性，从而为iOS平台及Android平台用户同时提供安全性较高、差错率较小的移动服务。为降低移动数据流量和屏蔽系统差异，提出了使用中央数据转换器以轻量级数据格式完成移动客户端与后端数据库服务器交互的方式。

关键词：数据集成；移动门户；统一身份认证；MD5；iOS；Android

中图分类号：TP393.0 文献标识码：A 文章编号：2095-1302（2016）09-0067-03

0 引 言

由于目前基于Android和iOS系统的智能客户端设备功能日益强大，在为用户提供基于其真实身份与角色的一站式移动服务的同时，如何保证用户敏感数据的安全性和完整性，为各类移动客户端及移动应用系统提出了安全挑战[1，2]。

本文以CAS（Central Authentication System，CAS）统一身份认证系统为实名制技术支撑，采用MD5数字签名对系统敏感数据进行摘要加密处理，为用户提供真实可靠的移动信息服务，并对移动门户的系统架构、服务端数据集成、客户端工作流、数据安全控制四个方面进行了设计与实现。

1 系统架构设计

移动门户系统架构图如图1所示。本系统从逻辑上划分为数据层、中央数据集成平台、业务层、安全控制层、应用层共五部分。

数据层由各业务系统数据库组成，移动门户中所有数据均来源于此，各数据库之间相互独立，无业务交互。

中央数据集成平台由构成该平台所需的各类中间件或数据库组成。其功能是将来源于底层数据层的各类业务数据进行清洗、去重、数据交换、格式转换、语义注释等；再将处理好的数据经过共享代理机制为上层提供数据共享服务，并借助索引代理帮助上层服务检索其所需要的数据服务。

业务层基于中央数据集成平台提供的数据共享服务，开发建设各类移动应用供用户使用。如移动教务、移动科研、移动财务、公开课等各类移动应用。用户可通过安装在智能设备上的移动客户端享用该层提供的各种业务移动应用。

安全控制层与校内统一身份认证系统（CAS）对接，实现用户真实身份及角色的判断[3，4]，并根据其角色为移动客户端定制并推送个性化的安全移动服务，保证移动门户系统及用户数据安全。

2 关键技术实现

2.1 数据集成的实现

为屏蔽移动门户底层数据集成产生的来自数据库类型差异、运行平台差异、数据格式差异及数据加载方法差异等问题，本文设计了中央数据转换器用于屏蔽差异，实现数据共享归一化。在此转换器的协助下，移动客户端与后端服务的交互接口均采用轻量级JSON[5，6]接口，实现快速数据传输与共享[7]。

中央数据转换器如图2所示。针对只能提供共享数据库视图的系统，数据集成平台通过远程数据库连接读取视图数据，并将数据库视图信息整合成JSON格式Web Service接口；针对可以直接提供JSON格式的Web Service系统，数据转换器不转换该接口，直接将该接口注册在中央数据共享平台上，待上层应用需要时直接调用；对于可以提供XML格式的Web Service系统，数据转换器将XML转换成JSON轻量级接口，并注册在中央数据共享平台中，上层需要调用时直接使用；对于无法提供任何共享方式的系统，采用网络爬虫技术，定时从源系统中抓取所需信息，保存于中央数据共享平台的中央数据库中。待上层应用请求此类数据时，数据转换器将该类数据转换成JSON格式接口反馈给应用。

2.2 移动客户端数据工作流实现

移动客户端数据工作流实现如图3所示，本文移动客户端工作流实现途径有如下两种。

第一工作流：

（1）客户端首先加载PhoneGap，由其监听前端发来的JS XHR请求，然后由该XHR请求查看Callback监听线程。

（2）如果Callback中有数据，则立刻将此数据返回给客户端和XHR请求。

（3）如果Callback中无数据，则等待10 s之后反馈空数据给XHR请求。

第二工作流：

（1）当用户使用安装在智能设备上的客户端提出应用访问请求时，客户端程序首先判断该请求是否有数据操作请求。如果有，客户端立刻捕获该请求并进行处理。

（2）客户端捕获该请求后，判断该请求是不是同步请求。如果是同步请求，则将相关JSON数据串反馈给客户端立刻予以显示；如果该请求是异步请求，则创建一个Plugin调用线程，将请求结果存入Callback中。

（3）Callback监听数据请求线程，并判断Callback中是否已经有数据。如果Callback中有数据，则直接将数据反馈给客户端进行显示；如果Callback中没有数据，则等待10 s之后返回空数据。

2.3 MD5数字签名

在数据安全领域应用广泛的哈希函数有多种，其中MD5是最广泛之一，其在保护敏感信息完整性和真实性方面具有较好的保护率和较低的差错率[8]。本系统MD5算法实现的关键代码如下：

3 软件运行结果及检测

截止目前，本文的研究成果自上线投入使用以来，共为6253位苹果手机用户，9 667位安卓手机用户提供了信息共享服务，实现了平稳跨平台应用支持；在系统性能方面，苹果手机版总错误率仅占2.53%，安卓手机版总错误率仅占1.65%；实名制移动门户应用效果如图4所示。当用户认证通过后，客户端自动推送移动财务应用，帮助用户了解自身的敏感财务信息。移动门户苹果手机用户统计如图5所示。移动门户安卓手机用户统计如图6所示。

4 结 语

本文研究并提出的基于MD5签名及实名制认证的移动门户系统，解决了移动客户端对接高校内部核心业务的实名制认证问题；以MD5数字签名保证用户数据安全，并基于CAS系统保证了系统入口级和传输级安全；以中央数据转换器屏蔽系统差异，实现数据归一化和轻量级传输。

系统的不足之处在于需要开发更强大的后台数据挖掘功能和更高效的数据集成验证工作。下一步研究计划是开发基于客户端信息反馈的校园大数据分析[9]，实现智慧校园的建设目标。基于用户移动客户端的反馈数据挖掘分析校园用户消费行为、预测用户学习行为[10]，为校园决策层提供政策参考等。

参考文献

[1]赵婧，李鑫，邓凌娟，等.无线网络中身份认证协议选择方法[J].

（下转第页）

（上接第页）

计算机研究与发展， 2015（3）：671-680.

[2] Mishra D. Design and Analysis of a Provably Secure Multi-server Authentication Scheme[J].Wireless Personal Communications， 2016，86（3）：1095-1119.

[3] Chen H C， Violetta M A， Yang C Y. Contract RBAC in cloud computing[J].Journal of Supercomputing， 2013， 66（2）：1111-1131.

[4] Yang Zan， Wang Jian-xin， Yang Lin， et al. The RBAC model and implementation architecture in multi-domain environment[J].Electronic Commerce Research， 2013， 13（3）：273-289.

[5] Sarasa-Cabezuelo A， Sierra J L.Grammar-driven development of JSON processing applications[C]. 2013 Federated Conference on Computer Science and Information Systems （FedCSIS）. [S.l.]：IEEE， 2013：1557-1564.

[6] Abd El-Aziz A A， Kannan A. JSON encryption[C]. 2014 International Conference on Computer Communication and Informatics （ICCCI）. Coimbatore ：IEEE， 2014：1-6.

[7] Wehner P， Piberger C， GoHringer D. Using JSON to manage communication between services in the Internet of Things[C].2014 9th International Symposium on Reconfigurable and Communication-Centric Systems-on-Chip （ReCoSoC）. [S.l.]：IEEE， 2014：1-4.

[8]沈璇， 赵光耀， 李超，等. MD5加密模式的差分故障分析[J].应用科学学报， 2015， 33（5）：481-490.

[9]刘云峰， 李丽， 王素美，等.面向大数据的数据服务中心设计与应用研究[J].通信学报，2013， 34（S2）：170-174.

[10] Hughes G， Dobbins C. The utilization of data analysis techniques in predicting student performance in massive open online courses （MOOCs）[J].Research & Practice in Technology Enhanced Learning， 2015， 10（1）：1-8.