序論:在您撰寫身份認證技術論文時,參考他人的優(yōu)秀作品可以開闊視野�,小編為您整理的7篇范文,希望這些建議能夠激發(fā)您的創(chuàng)作熱情�����,引導您走向新的創(chuàng)作高度���。
第1篇
關鍵詞:PKI�����,身份認證�,WebServices,安全
0 引 言
隨著互聯(lián)網的不斷壯大���,越來越多的企業(yè)將自身的應用搬上網絡�,它們?yōu)槠髽I(yè)爭取了更多的客戶���,把握了更多的商機�,獲取了更多的利潤���。然而由于現(xiàn)有的應用系統(tǒng)開發(fā)模式及結構存在很大差異����,這就使得企業(yè)與企業(yè)之間����,企業(yè)內部部門之間的交互和協(xié)作變得越來越復雜。隨著Web Services[1]技術的發(fā)展和廣泛應用���,其高效集成性����、松散松散耦合性和實現(xiàn)簡單等特點使得互操作和集成問題從層次上被簡化。
Web Services是一套標準協(xié)議��,它規(guī)定了應用程序如何在Web上實現(xiàn)互操作性�,你可以使用任何一種編程語言,在任何一種平臺上編寫 Web Services?,F(xiàn)在普遍應用的是通過HTTP請求發(fā)送SOAP[2] 消息,然后接收HTTP應答中包含的消息����。由于SOAP消息是通過HTTP方式進行,所以其可以穿越大多數(shù)的防火墻����,進行數(shù)據(jù)交換。
對于SOAP消息的機密性和完整性�,普遍的做法是使用加密和簽名���,采用非對稱秘鑰理論��,通過加密來保障消息的機密性���,通過簽名來保障消息的完整性;對于完善的用戶身份認證機制,PKI[3]系統(tǒng)提供了有力的保障��,它能夠為用戶頒發(fā)公私鑰證書,通過公鑰來明確用戶的身份�,用戶在發(fā)送了簽名過的SOAP消息時,己經表明了自己的身份���,也無法抵賴����,而且PKI系統(tǒng)與非對稱秘鑰理論完美的結合�����,通過私鑰來對消息進行加密���,通過公鑰來對消息進行簽名�����。有效地保障Web Services的安全����。
1 WebServices的體系結構
Web Services體系結構是面向對象分析與設計的一種合理發(fā)展����,同時也是電子商務解決方案中���,面向體系結構、設計���、實現(xiàn)與部署而采用的組件化的合理選擇����。這兩種方式在復雜的大型系統(tǒng)中經受住了考驗���。和面向對象系統(tǒng)一樣�,封裝��、消息傳遞�����、動態(tài)綁定���、服務描述和查詢也是Web Services中的基本概念,而且�, Web Services另外一個基本概念就是:所有東西都是服務,這些服務一個API供網絡中的其他服務使用,并且封裝了實現(xiàn)細節(jié)����。
Web Services的體系結構是基于Web Services服務提供者、Web Services服務請求者�、Web Services服務注冊的不同操作來建立的。具體的Web Services體系結構模型如圖1-1所示��。
(1) Web服務提供者:Web服務的擁有者����,它為其它服務和用戶提供服務功能,服務提供者在實現(xiàn)服務之后可以服務�����,并且響應對于服務的調用請求�;
(2) Web服務請求者:Web服務的使用者,它可以利用服務注冊查找服務���;
(3) Web服務注冊:它的作用是將服務請求者與合適的服務提供者綁定在一起�����;
這三種不同的角色通過(publish )�����、查找(find )���、綁定( bind )三種操作提供完整的Web Services功能�。論文參考��。Web Services是由服務描述所表達的接口�,其接口的實現(xiàn)即為服務。服務和服務描述是支持Web服務的基本工件��。服務在本質上是軟件模塊���,它由服務提供者提供���,部署在網絡可訪問的平臺上。[4]
圖1-1 Web Services體系結構示意圖
2基于PKI的Web Services安全模型設計
2.1 整體框架圖
Web Services在異構的分布式的環(huán)境下�,對客戶的身份認證就比較困難,當你去調用一個企業(yè)的Web Services時�,這個企業(yè)Web Services可能又會去調用另一個企業(yè)Web Services如何在這種跨域的環(huán)境下實現(xiàn)Web Services的身份認證,
PKI公鑰基礎設施能夠使計算機用戶在無需事先協(xié)商的情況下��,互相驗證對方的身份[5]����,這對于Web Services下的身份認證提供了解決方法。我們的Web Services身份認證模型就是基于PKI完成的���,如圖2-1所示�����?���?蛻舳撕头掌鞫硕纪ㄟ^PKI系統(tǒng)來獲取對方的公鑰證書���,通過PKI系統(tǒng)來檢驗公鑰證書的有效性�,并通過公鑰證書來驗證對方的身份����。
圖2-1基于PKI的Web Services身份認證模型
2.2系統(tǒng)設計
下面我們來具體介紹一下基于PKI的Web Services身份認證模型的運行流程。首先��,我們做一些假設:
符號C表示Web Services的客戶端����;符號S表示Web Services的服務器端��;符號M表示明文的SOAP消息��;符號Dx(M)表示使用用戶x的私鑰對SOAP消息進行簽名后的結果����;符號Ex(M)表示使用用戶x的公鑰對SOAP消息進行加密后的結果���。我們的Web Services身份認證流程是這樣的:首先����,我們的Web Services身份認證模型捕獲客戶端的SOAP請求消息M;接著�,我們從PKI系統(tǒng)中獲取服務器端的公鑰Es,并用服務器端的公鑰對SOAP消息進行加密����,得到加密后的SOAP消息,Es(M);然后���,我們使用客戶端的私鑰Dc�,對SOAP消息進行簽名����,得到簽名后的SOAP消息��,Dc(Es(M));最后����,我們將加密和簽名的SOAP消息發(fā)送到Internet上���。如圖2-2所示。
圖2-2發(fā)送SOAP請求消息
而在服務器端���,我們的Web Services身份認證模型接收到客戶短發(fā)送過來的加密���、簽名過的SOAP消息。首先��,我們去PKI系統(tǒng)獲取客戶端的公鑰Ec�,并用客戶端的公鑰對SOAP消息進行簽名驗證,確認這個SOAP消息確實是這個客戶發(fā)送過來的����,并得到SOAP消息Ec(Dc(Es(M))) =Es(M);接著,我們使用服務器端的私鑰Ds��,對SOAP消息進行解密���,得到明文SOAP消息Ds(Es(M))=M��,最后�����,我們把這個明文SOAP消息發(fā)送給Web Services服務器���,由Web Services服務器進行處理�。如圖2-3所示��。同樣地����,如果需要的話,我們可以對Web Services處理過的SOAP應答消息做同樣地安全處理�。論文參考。
圖2-3接收SOAP請求消息
3 結束語
隨著Web Services的廣泛使用����,其明文傳輸消息的缺點制約了Web Services在企業(yè)級應用中的發(fā)展。論文參考�����。作為企業(yè)應用,必須保證的安全性有:消息的機密性�,完整性,身份認證和權限控制�����,企業(yè)級的Web Services應用也必須要滿足以上四點安全保障��。而PKI是目前公認的解決大規(guī)模�����、分布式開放網絡環(huán)境下信息安全問題最可行�����、有效的方法, 利用PKI技術可以方便地建立和維護一個可信的網絡計算環(huán)境�����,保證Web Services有效���、安全地進行。
參考文獻:
[1] 胡方霞,曾一���,高旻.Web Services 技術應用與探討[J].計算機科學,2007,43(3):75-77.
[2] Pullen M J, Bruntlon R.Using Web services to integrate heterogeneous simulations in a gridenvironment[J]. Future Generation Computer Systems, 2004(9):98一99.
[3] Stefanos GritzalisPublic key infrastructure research and applications[ J].International Journal of Information Security Archive, 2006,5(1):1-2
[4] Bret Hartman�,Donald J.Filnn.楊碩譯.全面掌握Web服務安全性.清華大學出版社.2004
[5J Zhang Mu, ZhangShunyi On the optin almulti-rate throughput formulticast withnetwork coding[J]. Journal of Electronics, 2006,23( 4): 584-589
第2篇
隨著網絡的不斷普及和電子商務的迅猛發(fā)展���,電子商務這種商務活動新模式已經逐漸改變了人們的經濟活動方式����、工作方式和生活本論文由整理提供方式���,越來越多的人們開始接受并喜愛網上購物����,可是��,電子商務發(fā)展的瓶頸——安全問題依然是制約人們進行電子商務交易的最大問題����,因此,安全問題是電子商務的核心問題�����,是實現(xiàn)和保證電子商務順利進行的關鍵所在。校園電子商務是電子商務在校園環(huán)境下的具體應用與實現(xiàn)���,其安全性也同樣是其發(fā)展所不容忽視的關鍵問題�����,因此應當著重研究����。
1校園電子商務概述
1.1校園電子商務的概念��。
校園電子商務是電子商務在校園這個特定環(huán)境下的具體應用���,它是指在校園范圍內利用校園網絡基礎、計算機硬件�、軟件和安全通信手段構建的滿足于校本論文由整理提供園內單位、企業(yè)和個人進行商務���、工作��、學習����、生活各方面活動需要的一個高可用性、伸縮性和安全性的計算機系統(tǒng)����。
1.2校園電子商務的特點。
相對于一般電子商務�����,校園電子商務具有客戶群本論文由整理提供穩(wěn)定�����、網絡環(huán)境優(yōu)良�、物流配送方便、信用機制良好��、服務性大于盈利性等特點�,這些特點也是校園開展電子商務的優(yōu)勢所在。與傳統(tǒng)校園商務活動相比�,校園電子商務的特點有:交易不受時間空間限制、快捷方便�����、交易成本較低����。
2校園電子商務的安全問題
2.1校園電子商務安全的內容�����。
校園電子商務安全內容從整體上可分為兩大部分:校園網絡安全和校園支付交易安全�����。校園網絡安全內容主要包括:計算機網絡設備安全�����、計算機網絡系統(tǒng)安全�����、數(shù)據(jù)庫安全等。校園支付交易安全的內容涉及傳統(tǒng)校園商務活動在校園網應用時所產生的各種安全問題���,如網上交易信息�、網上支付以及配送服務等��。
2.2校園電子商務安全威脅��。
校園電子商務安全威脅同樣來自網絡安全威脅與交易安全威脅。然而�����,網絡安全與交易安全并不是孤立的���,而是密不可分且相輔相成的���,網絡安全是基礎,是交易安全的保障���。校園網也是一個開放性的網絡���,它也面臨許許多多的安全威脅,比如:身份竊取�、非本論文由整理提供授權訪問、冒充合法用戶��、數(shù)據(jù)竊取�、破壞數(shù)據(jù)的完整性、拒絕服務����、交易否認�����、數(shù)據(jù)流分析�、旁路控制�、干擾系統(tǒng)正常運行、病毒與惡意攻擊��、內部人員的不規(guī)范使用和惡意破壞等����。校園網的開放性也使得基于它的交易活動的安全性受到嚴重的威脅,網上交易面臨的威脅可以歸納為:信息泄露���、篡改信息����、假冒和交易抵賴����。信息泄露是非法用戶通過各種技術手段盜取或截獲交易信息致使信息的機密性遭到破壞�����;篡改信息是非法用戶對交易信息插入、刪除或修改��,破壞信息的完整性�����;假冒是非法用戶冒充合法交易者以偽造交易信息���;交易抵賴是交易雙方一方或否認交易行為��,交易抵賴也是校園電子商務安全面臨的主要威脅之一�����。
2.3校園電子商務安全的基本安全需求���。
通過對校園電子商務安全威脅的分析,可以本論文由整理提供看出校園電子商務安全的基本要求是保證交易對象的身份真實性�����、交易信息的保密性和完整性��、交易信息的有效性和交易信息的不可否認性�。通過對校園電子商務系統(tǒng)的整體規(guī)劃可以提高其安全需求��。
3校園電子商務安全解決方案
3.1校園電子商務安全體系結構�。
校園電子商務安全是一個復雜的系統(tǒng)工程���,因此要從系統(tǒng)的角度對其進行整體的規(guī)劃����。根據(jù)校園電子商務的安全需求�����,通過對校園人文環(huán)境�、網絡環(huán)境、應用系統(tǒng)及管理等各方面的統(tǒng)籌考慮和規(guī)劃�����,再結合的電子商務的安全技術�,總結校園電子商務安全體系本論文由整理提供結構,如圖所示:
上述安全體系結構中�����,人文環(huán)境層包括現(xiàn)有的電子商務法律法規(guī)以及校園電子商務特有的校園信息文化,它們綜合構成了校園電子商務建設的大環(huán)境��;基礎設施層包括校園網��、虛擬專網VPN和認證中心����;邏輯實體層包括校園一卡通���、支付網關����、認證服務器和本論文由整理提供交易服務器�;安全機制層包括加密技術、認證技術以及安全協(xié)議等電子商務安全機制����;應用系統(tǒng)層即校園電子商務平臺,包括網上交易����、支付和配送服務等。
針對上述安全體系結構���,具體的方案有:
(1)營造良好校園人文環(huán)境�。加強大學生本論文由整理提供的道德教育,培養(yǎng)校園電子商務參與者們的信息文化知識與素養(yǎng)���、增強高校師生的法律意識和道德觀念�����,共
同營造良好的校園電子商務人文環(huán)境��,防止人為惡意攻擊和破壞�����。
(2)建立良好網上支付環(huán)境���。目前我國高校大都建立了校園一卡通工程,校園電子商務系統(tǒng)可以采用一卡通或校園電子帳戶作為網上支付的載體而不需要與銀行等金融系統(tǒng)互聯(lián)��,由學校結算中心專門處理與金融機構的業(yè)務���,可以大大提高校園網上支付的安全性�。
(3)建立統(tǒng)一身份認證系統(tǒng)�。建立校園統(tǒng)一身份認證系統(tǒng)可以為校園電子商務系統(tǒng)提供安全認證的功能�����。
(4)組織物流配送團隊�。校園師生居住地點相對集中����,一般來說就在學校內部或校園附近���,只需要很少的人員就可以解決物流配送問題��,而本論文由整理提供不需要委托第三方物流公司��,在校園內建立一個物流配送團隊就可以準確及時的完成配送服務���。
3.2校園網絡安全對策。
保障校園網絡安全的主要措施有:
(1)防火墻技術����。利用防火墻技術來實現(xiàn)校園局域網的安全性,以解決訪問控制問題�,使只有授權的校園合法用戶才能對校園網的資源進行訪問本論文由整理提供,防止來自外部互聯(lián)網對內部網絡的破壞�。
(2)病毒防治技術。在任何網絡環(huán)境下,計算機病毒都具有不可估量的威脅性和破壞力���,校園網雖然是局域網�����,可是免不了計算機病毒的威脅���,因此,加強病毒防治是保障校園網絡安全的重要環(huán)節(jié)���。
(3)VPN技術����。目前�����,我國高校大都已經建立了校園一卡通工程����,如果能利用VPN技術建立校園一卡通專網就能大大提高校園信息安全、保證數(shù)據(jù)的本論文由整理提供安全傳輸�。有效保證了網絡的安全性和穩(wěn)定性且易于維護和改進�。
3.3交易信息安全對策���。
針對校園電子商務中交易信息安全問題��,可以用電子商務的安全機制來解決��,例如數(shù)據(jù)加密技術���、認證技術和安全協(xié)議技術等�����。通過數(shù)據(jù)加密�����,可以保證信息的機密性����;通過采用數(shù)字摘要、數(shù)字簽名����、數(shù)字信封�、數(shù)字時間戳和數(shù)字證書等安全機制來解本論文由整理提供決信息的完整性和不可否認性的問題���;通過安全協(xié)議方法���,建立安全信息傳輸通道來保證電子商務交易過程和數(shù)據(jù)的安全。
(1)數(shù)據(jù)加密技術�����。加密技術是電子商務中最基本的信息安全防范措施����,其原理是利用一定的加密算法來保證數(shù)據(jù)的機密,主要有對稱加密和非對稱加密���。對稱加密是常規(guī)的以口令為基礎的技術�����,加密運算與解密運算使用同樣的密鑰���。不對稱加密,即加密密鑰不同于解密密鑰�����,加密密鑰公之于眾,而解密密鑰不公開�。
(2)認證技術。認證技術是保證電子商務交易安全的一項重要技術���,它是網上交易支付的前提�����,負責對交易各方的身份進行確認�。在校園電子商務本論文由整理提供中��,網上交易認證可以通過校園統(tǒng)一身份認證系統(tǒng)(例如校園一卡通系統(tǒng))來進行對交易各方的身份認證���。
(3)安全協(xié)議技術。目前�,電子商務發(fā)展較成熟和實用的安全協(xié)議是SET和SSL協(xié)議。通過對SSL與SET兩種協(xié)議的比較和校園電子商務的需求分析�,校園電子商務更適合采用SSL協(xié)議。SSL位于傳輸層與應用層之間���,能夠更好地封裝應用層數(shù)據(jù)�,不用改變位于應用層的應用程序,對用戶是透明的����。而且SSL只需要通過一次“握手”過程就可以建立客戶與服務器之間的一條安全通信通道,保證傳輸數(shù)據(jù)的安全���。
3.4基于一卡通的校園電子商務�。
目前���,我國高校校園網建設和校園一卡通工程建設逐步完善�,使用校園一卡通進行校園電子商務的網上支付可以增強校園電子商務的支付安全�,可以避免或降低了使用銀行卡支付所出現(xiàn)的卡號被盜的風險等。同時����,使用校園一卡通作為校園電子支付載體的安全保障有:
(1)校園網是一個內部網絡,它自身已經屏蔽了絕大多數(shù)來自公網的黑客攻擊及病毒入侵��,由于有防火墻及反病毒軟件等安全防范設施��,來自外部網絡人員的破壞可能性很小�����。同時,校園一卡通中心有著良好的安全機制����,使得使用校園一卡通在校內進行網上支付被盜取賬號密碼等信息的可能性微乎其微。超級秘書網
(2)校園一卡通具有統(tǒng)一身份認證系統(tǒng)�,能夠對參與交易的各方進行身份認證,各方的交易活動受到統(tǒng)一的審計和監(jiān)控����,統(tǒng)一身份認證能夠保證網上工作環(huán)境的安全可靠。校園網絡管理中對不同角色的用戶享有不同級別的授權����,使其網上活動受到其身份的限制,有效防止一些惡意事情的發(fā)生����。同時�����,由于校內人員身份單一�����,多為學生,交易中一旦發(fā)生糾紛�����,身份容易確認���,糾紛就容易解決��。
4結束語
開展校園電子商務是推進校園信息化建設的重要內容��,隨著我國校園信息化建設的不斷深入�,目前已有許多高校開展了校園電子商務���,它極大的方便了校園內師生員工的工作���、學習、生活�����??墒桥c此同時,安全問題成為制約校園電子商務發(fā)展的障礙。因此�,如何建立一個安全、便捷的校園電子商務應用環(huán)境�,讓師生能夠方便可靠的進行校園在線交易和網上支本論文由整理提供付,是當前校園電子商務發(fā)展要著重研究的關鍵問題�����。
第3篇
關鍵詞:校園網 規(guī)劃 信息化
中圖分類號:TP393.18 文獻標識碼:A 文章編號:1007-9416(2016)12-0195-01
引言
在高校校園網建設中���,一個好的校園網絡接入身份系統(tǒng)是指能夠為廣大師生提供安全����、便捷的接入服務���,主要表現(xiàn)三個方面:1)在具有多個校區(qū)的網絡環(huán)境中��,能夠提供可靠的身份認證服務�����;2)支持多種認證方式����,如支持用戶漫游的分布認證��、單點登陸認證等多種認證方式�����,用戶無論身處哪個校區(qū)����,都可以一次接入認證后即可訪問校內多個業(yè)務系統(tǒng);3)具備大量的認證用戶并發(fā)訪問認證服務器時系統(tǒng)查以自動調配內存資源的能力(即具備良好的負載均衡能力�����。隨著我國高等職業(yè)院校的快速發(fā)展����,各高職院校不斷擴大招生規(guī)模,并啟動新校區(qū)建設���。各院校在統(tǒng)籌建設新�����、老校區(qū)網絡建設時����,也都在研究安全、可靠�����、負載性能好的身份認證系統(tǒng)��。本論文以某高職院校為例�,設計了一個基于“三層架構”的校園網身份認證系統(tǒng),對高職院校開發(fā)校園網絡身份認證系統(tǒng)具有一定的參考價值���。
1 校園網身份認證相關技術
1.1 Kerberosy認證
Kerberosy認證是在上世紀90年代伴隨萬維網的出現(xiàn)而誕生的經典身份認證技術����。它提供了一種利用認證服務器(AS)實現(xiàn)客戶端(Client)和服務器端(Server)相互J證的經典思路���;為解決一次授權即實現(xiàn)多服務器登陸的問題���,Kerberosy認證引入了票據(jù)授權服務(TGS - Ticket Granting Service),省去了多次認證的時空開銷�����。因此,Kerberosy認證包括認證服務器(AS)��,客戶端(Client)和普通服務器(Server)����、票據(jù)授權服務(TGS - Ticket Granting Service) 四個角色�。
1.2 LDAP:輕量級目錄訪問協(xié)議
輕量級目錄訪問協(xié)議 ,是一種跨平臺的目錄服務技術����,位于TCP/IP協(xié)議的上層,提供標準的服務接口����,因此具有平臺無關性,采用樹狀模式存儲目錄信息���,每一條目錄信息基于條目(Entry)���,條目在目錄全局中具有唯一的身份標識并包含屬性信息(一般比較精短),方便快速檢索條目信息�。由于身份認證中傳遞的多數(shù)都為短文本(加密)信息,因此LDAP協(xié)議的特別適合身份認證的需求�,此特性使其在各種身份認證技術中得到廣泛應用�。
1.3 ICE中間件
Ice是Internet Communications Engine的簡稱��,是一種面向對象的中間件平臺�����,支持面向對象的RPC編程���,其最初的目的是為了提供類似CORBA技術的強大功能�����,又能消除CORBA技術的復雜性����。該平臺為構建面向對象的客戶-服務器應用提供了工具��、API和庫支持����。ICE平臺內嵌負載均衡功能,對于分布大多個節(jié)點上的應用服務提供多種負載均衡方案����,只需要通過XML配置文件即可完成負載均衡配置���。配置項包括Type (負載均衡類型)、Sampling interval(負載信息收集間隙)��、Number of replicas(返回給客戶端的適配器個數(shù))�����。
2 基于三層架構的校園網身份認證模型
2.1 統(tǒng)一身份認證集成中存在的突出問題
目前��,統(tǒng)一身份認證主要有網關模型���、模型、經紀人模型等三種模型�����。網關模型中所有的應用系統(tǒng)都放在認證系統(tǒng)之后���,雖然提高了應用系統(tǒng)的安全性�����,但也導致部分對用戶權限要求并不高的應用系統(tǒng)不能很好地被用戶訪問����,比較典型的如各高校專門為學生下載視頻資源搭建的FTP應用。因此網關模型對用戶訪問應用系統(tǒng)資源具有一定的制約性����。模型是用戶通過服務器訪問不同的應用系統(tǒng),用戶的訪問權限由服務器控制�,但用戶的登陸信息在本地存儲,存在信息泄露的危險���。經紀人模型不存在前兩種模型的缺點�,但需要生成電子身份標識�����,認證開銷比較大����,對認證服務器性能要求較高。
2.2 “三層架構”統(tǒng)一身份認證模型的提出
本文結合某高職院校網絡實際����,提出了一種基于“應用層、服務層、數(shù)據(jù)層”的三層統(tǒng)一身份認證模式�����,該模式結合了LDAP�、Kerberosy認證、ICE中間件三種身份認證技術�����。具體模型結構如圖1所示����。
應用層主要是用戶(Client)端向應用服務器(Service)發(fā)出訪問請求��,應用服務器在收到后�����,將用戶身份信息��,通過中間件認證接口發(fā)送到認證服務器層�����,認證服務層采用Kerberosy認證,驗證通過的用戶可獲得數(shù)據(jù)資源訪問授權�����,通過LDAP技術�,實現(xiàn)用戶要訪問的數(shù)據(jù)資源目錄與LDAP目錄同步,減少用戶資源訪問等待時間��。三層架構的優(yōu)點顯而易見��,將認服服務器與應用服務器分開����,用戶不再直接訪問認證服務器,減輕了認證服務器的壓力�����;LADP同步技術提高了數(shù)據(jù)訪問效率��,提升了用戶體驗�����;三層架構更容易配置�����。
3 結語
本文主要結合某高職院校校園網身份認證的需求,介紹了統(tǒng)一身份身份認證的相關技術����,提出了一種基于三層架構的統(tǒng)一身份認證技術,包括應用層�����、服務層��、數(shù)據(jù)層���,具有邏輯結構清晰�、訪問效率高�、配置方便的明顯優(yōu)點�。通過在某高職院校校園網統(tǒng)統(tǒng)一身份認證的應用,師生反映校園網登陸等待時間減少��,資源訪問更加高效��,證實該方案對高職院校校園網統(tǒng)一身份證具有重要的參考意義��。
參考文獻
[1]周蘇,王文.高職院校數(shù)字化校園的規(guī)劃及其網絡系統(tǒng)的設計[J].信息化建設�,2015.
第4篇
論文摘要:隨著高校信息化建設的發(fā)展,統(tǒng)一身份認證平臺在數(shù)字化校園中發(fā)揮越來越重要的作用��,改變了高校信息系統(tǒng)各自為政��、一個用戶N多個帳號或需要重復登錄的狀況���,實現(xiàn)單點登錄�����,有限的提高了整個信息系統(tǒng)的安全性和用戶的工作效率�����。而基于LDAP的統(tǒng)一身份認證讓實際開發(fā)變的更加輕松����、可行性更高��。
一�����、目前高校信息化建設現(xiàn)狀
隨著信息技術的發(fā)展,各個高校都高度重視信息化建設工作����,“數(shù)字校園”即是將信息技術運用于教育改革過程形成的最新研究成果。在數(shù)字校園中���,學校針對各種需求建設應用系統(tǒng)���,力圖通過信息化來整合機構內的各種資源。但在實際信息化建設過程中�����,由于前期缺少統(tǒng)一規(guī)劃��,并且高校系統(tǒng)軟件很少有做的很全或很專業(yè)的公司�,基本上是學校各個部門各自為政,各自購買建設自己的信息系統(tǒng)����。如教務處購買自己的教學管理系統(tǒng)����,學生處購買單獨的學生綜合管理系統(tǒng)�����,圖書館有自己的借還書管理系統(tǒng)�。
在多系統(tǒng)并存的情況下�,校園網內每個用戶擁有多個密碼,用戶需要逐一登錄自己所要使用的應用系統(tǒng)�����,這給用戶造成了很大的不便�����,安全性存在嚴重隱患����。同時,用戶的信息分散存儲于各個應用系統(tǒng)中�����,這不僅為用戶的正常使用也為應用系統(tǒng)的管理和維護增加了很大的麻煩�,工作效率重復低下。為了解決這些問題����,需要在多應用系統(tǒng)并存的情況下����,實現(xiàn)應用系統(tǒng)間的用戶統(tǒng)一認證和信息共享����。
二、統(tǒng)一身份認證在高校信息化建設中的重要作用
網絡信息系統(tǒng)的統(tǒng)一認證技術已經相當成熟��,從門戶網站(如新浪)到企業(yè)內部網(如平安保險公司)都對原有的系統(tǒng)進行改造升級���,使得不同歷史時期購進的信息系統(tǒng)能夠整合起來��,進行統(tǒng)一認證���,降低了管理成本同時又提高了信息系統(tǒng)的安全性,對用戶來說也解決了多賬戶多密碼難于記憶的問題����。
目前,各大高校也在整合自己的網上資源����,把各個獨立信息系統(tǒng)的認證統(tǒng)一起來,實現(xiàn)統(tǒng)一身份認證����,通過統(tǒng)一規(guī)劃整合認證后的校園信息系統(tǒng)最大限度的減少用戶的帳號數(shù),簡化登錄過程�,實現(xiàn)一次登錄多點使用,實行統(tǒng)一管理��,方便用戶的同時也極大的提高了信息系統(tǒng)的安全性�。校園網內用戶只要登錄一次就可以訪問其它的網絡資源?�?梢哉f隨著高校信息化建設的發(fā)展���,統(tǒng)一身份認證是重中之重�,信息建設部門應做好統(tǒng)一規(guī)劃����,后期的軟件開發(fā)應用必須和統(tǒng)一身份認證平臺對接。
三��、基于LDAP的統(tǒng)一身份認證的建設與特點
統(tǒng)一身份認證平臺的目的是要解決不同的應用系統(tǒng)用戶名和口令不統(tǒng)一的問題���,通過提供統(tǒng)一的授權機制及一套方便���、安全的口令認證方法��,讓用戶只要一套用戶名和口令就可以使用校園網絡上有權使用的所有應用系統(tǒng)�����。保證用戶通過網絡單點登錄或手機登錄方式進入系統(tǒng)��。目前使用最多的是采用目錄訪問進行身份認證���,此技術基于LDAP(輕量型目錄訪問協(xié)議),具有高效的查詢速度���。利用LDAP 服務特性及WEB相關技術�����, 實現(xiàn)了對數(shù)字校園中用戶及網絡應用資源的統(tǒng)一開發(fā)管理����。
統(tǒng)一身份認證平臺的開發(fā)功能如下:
1���、目錄服務:目錄服務與現(xiàn)有系統(tǒng)集成在一起���,充當一個集中化的身份信息庫��,用于將學生、教師和其他人員的信息集中存儲��。
2��、統(tǒng)一認證:認證服務提供了平臺的核心基礎服務���,用于對學生��、教師和其他人員的數(shù)字化身份的認證���。 3、身份管理:提供基本的組���、用戶�、用戶屬性�、用戶類型、口令的維護功能
4�、管理控制臺:承擔整個統(tǒng)一身份認證平臺的身份數(shù)據(jù)管理、系統(tǒng)服務管理、平臺運行管理工作�����,是整個平臺的集中管理控制中心�。
基于目錄訪問協(xié)議的身份認證基于Linux系統(tǒng)下OPenLDAP設計,能夠批量導入加密后的用戶信息�����,打印明碼條發(fā)給用戶�。然后圍繞認證數(shù)據(jù)庫進行各種應用程序設計,包括:基于瀏覽器界面的統(tǒng)一認證Web應用程序�、基于窗口界面的登錄界面設計(用于桌面應用軟件等)、基于瀏覽器界面的統(tǒng)一認證后臺管理Web應用程序等等��。
基于目錄訪問協(xié)議的身份認證優(yōu)點很多��,主要有:采用開源解決方案����,不需另外購買商業(yè)軟件,可以在源碼的基礎上進行二次開發(fā)�����,能夠最大程度減少IT信息建設投入;采用OpenLDAP進行系統(tǒng)認證�,一定程度上防止SQL注入攻擊,有效保護后臺數(shù)據(jù)安全�;LDAP具有很高的查詢速度,保證認證查詢速度���;采用Linux作為認證平臺��,安全、穩(wěn)定���。
四���、結束語
當然,統(tǒng)一身份認證在實際的建設過程中可能會遇到各種難點�,主要是接口問題,如很多以前實施的應用系統(tǒng)現(xiàn)在開發(fā)商都聯(lián)系不到(這種情況各個高校都有)����,整合到認證系統(tǒng)中可能花的代價比重新開發(fā)或購買的成本還要高。所以在后期規(guī)劃中�,要求系統(tǒng)供應商必須提供或開發(fā)和身份認證平臺統(tǒng)一的接口。
目前�����,經過統(tǒng)一規(guī)劃和投資,身份認證系統(tǒng)在蘇州大學已經基本完成���,整合集成了教務��、學工���、人事、行政等各種信息服務���,是數(shù)字化校園的信息集中展示平臺�,也是校內重要業(yè)務系統(tǒng)的統(tǒng)一入口���。經實際使用證明�����,它不僅提高了數(shù)字校園中各種應用系統(tǒng)的安全性�、可靠性�,也給用戶提供了極大的方便,同時方便了數(shù)字校園的用戶管理��,具有很好的社會效益和經濟效益。
參考文獻
[1]openldap.org openldap官方網站
[2]宮恩輝�����,朱巧明����,李培峰,史鑫.LDAP和Kerberos在統(tǒng)一身份認證中的應用[J].蘇州大學學報(自然科學版).2006年02期
[3]張輝���,楊岳湘�,汪詩林.數(shù)字校園中基于LDAP的統(tǒng)一用戶身份管理技術研究[J].計算機工程與科學.2005年第27卷第1期
第5篇
關鍵詞:信息安全��;身份認證�;生物特征���;組合認證�����;解決方案���;性能分析
中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2011) 16-0000-02
Authentication Technology Research Overview
Zhang Yao
(Harbin Normal University,Computer Science and Information Engineering College,Harbin150025,China)
Abstract:Authentication technology is capable of sending and receiving side of information technology to identify the true identity,is to identify,verify that the network information system in the legitimacy and authenticity of the user identity,according to mandate access to system resources,and shut out illegal visitors.This article discusses the field of information security authentication technology status and development trend,for further improving the work has a certain theoretical significance.
Keywords:Information security;Authentication;Biometrics;
Combination of certification;Solutions;Performance analysis
網絡認證技術是網絡安全技術的重要組成部分之一�����。認證指的是證實被認證對象是否屬實和是否有效的一個過程�,常常被用于通信雙方互相確認身份��,以保證通信的安全���。認證技術一般包括兩個方面的內容�,分別是身份認證和信息認證�。身份認證主要是通過對用戶身份的鑒別來實現(xiàn)對用戶權限的識別,限制低權限或者非法用戶的入侵����。信息認證主要是用于驗證信息是否完整。本論文的研究主要偏重于對身份認證技術及其分析����。主要側重以下幾個方面做分析。
一�、身份認證的方法分析
身份認證主要是通過分析被認證者的身份、權限等相關的信息���。除了認證者本人���,任何其他人都無法進行仿造或者偽造身份�����。如果經過認證��,被認證者擁有相關的權限和秘密��,那么他就獲得了認證�����。身份認證的主要依據(jù)就是被認證方用于證明身份所用有的秘密�����。每個被認證者所擁有的身份認證秘密不同。常見的身份認證有兩種����,第一種是基于物理安全性的身份認證方法。第二種是基于秘密信息的身份認證方法�。
(一) 基于物理安全的身份認證方法
不同的身份認證方法基于不同的理論,但這些認證方法的共同點就是依據(jù)用戶知道的秘密信息���。和這種認證方法相對照���,另外一種利用用戶的特殊信息或者硬件信息來進行身份認證的���。比如說從生物學角度考慮,利用聲音識別進行身份驗證���,利用指紋進行身份驗證���,利用人眼的虹膜進行身份驗證等。從硬件的角度考慮��,常用的認證方法有通過智能卡來進行驗證���,只有認證者擁有正確的卡�,才可以被認證�。當然,這種方法也有優(yōu)缺點����,這種智能卡可以有效的阻止和避免人為亂猜口令導致的密碼被破解,但也存在著只認卡不認人的缺陷����,一旦智能卡因丟失被其他人撿到��,則很容易被盜取身份�。為防止出現(xiàn)這種情況���,現(xiàn)在一般采用智能卡和口令結合的方式����,比如現(xiàn)在最常用的銀行卡就是這種�����。
(二)基于秘密信息的身份認證方法
常見的有以下幾個方式:
1.通過進行用戶口令認證來核對身份信息�����,在剛建立系統(tǒng)的時候���,系統(tǒng)已經預先為具有合法權限的用戶設定了用戶口令和密碼。當用戶通過登錄界面登錄時���,登錄界面顯示用戶名和密碼輸入���?����?蛻糨斎胗脩裘兔艽a以后���,系統(tǒng)會對輸入的賬戶和密碼與系統(tǒng)原有的密碼進行核對如果完全一致,則認為是合法用戶���,用戶身份得到認證����。否則����,就提示賬戶名或者密碼錯誤。用戶身份得不到認證�����。
2.單項認證�,所謂單項認證,就是進行通信的雙方中,只有一方需要進行身份認證�。上面所闡述的口令核對法本質上也是一種單項認證。只是這種認證方法還比較低級��,沒有進行相應的密鑰分發(fā)操作�。常見的涉及到密鑰分發(fā)操作的認證方案有兩類。分別是對稱密鑰加密方案和非對稱密鑰加密方案��。對稱密鑰加密方案是指依靠第三方來進行認證���,第三方就是一個統(tǒng)一的密鑰分發(fā)中心���。通信雙方的密鑰分發(fā)和身份認證都要通過第三方來實現(xiàn)。另一種沒有第三方參與的加密體制成為非對稱密鑰加密體制�����。
3.雙向認證���。雙向認證���,是指需要通信雙方相互認證才可以實現(xiàn)雙方通信,通信雙方必須相互鑒別彼此的身份��,并且經雙方驗證正確以后,才可以實現(xiàn)雙方的通信�。在雙向認證中��,最典型的就是Needham/Schroeder協(xié)議���。
[1]Needham/Schroeder Protocol[1978]
AKDC:IDA||IDB||N1
KDCA:EKa[Ks||IDB||N1||EKb[Ks||IDA]]
AB:EKb[Ks||IDA]
BA:EKs[N2]
AB:EKs[f(N2)]
(其中f(N2)為N2的某一個函數(shù)����,其他符號約定同上��。)
4.身份的零知識證明通常在進行身份認證時�����,需要進行身份信息或者口令的傳輸���。要想不傳輸這些信息就可以進行身份認證�,就需要采用身份的零知識證明技術��。所謂零知識證明就是指在進行用戶身份認證時�,不需要傳輸相關的信息。這種認證機制就是當被認證的甲方為了讓認證方乙方確信自己的身份和權限但同時又不讓乙方得到自己的秘密信息而采用的一種機制����。這種認證方法可以非常有效的防治第三方竊取信息���。
二、身份認證的應用
(一)Kerberos認證服務
Kerberos是一種基于Needham和Schroeder[1978]模型的第三方認證服務Kerberos可信任的第三方就是Kerberos認證服務器���。它通過把網絡劃分成不同的安全區(qū)域�,并且在每個區(qū)域設立自己的安全服務器來實現(xiàn)相應的安全策略����。在這些區(qū)域的認證具體實現(xiàn)過程如下:Kerberos通過向客戶和服務提供票和通信雙方的對話密鑰來證明自己的身份權限。其中Kerberos認證服務器負責簽發(fā)初始票����,也就是客戶第一次得到的票。其他票都是由發(fā)票服務器負責簽發(fā)���。同一個票可以在該票過期之前反復使用��。當客戶需要讓服務方提供服務的時候�,不但要自己生成僅可以使用一次的證�,而且需要向服務方發(fā)送由發(fā)票服務器分發(fā)的。這兩個需要同時發(fā)送��。
(二)HTTP中的身份認證
HTTP中的身份認證現(xiàn)在主要由三個常用的版本。分別是HTTP協(xié)議目前已經有了三個版本HTTP0.9���、HTTP 1.0和HTTP 1.1���,其中HTTP 0.9功能簡單�,主要用來實現(xiàn)最基本的請求協(xié)議和回答協(xié)議。HTTP 1.0是目前應用比較廣泛的一個版本����,它的功能相對來說非常完善。而且��,通過Web服務器�����,就可以實現(xiàn)身份認證來實現(xiàn)訪問和控制�����。如果用戶向某個頁面發(fā)出請求或者運行某個CGI程序時����,將會有訪問控制文件告訴用戶哪些可以訪問��,哪些不可以訪問����,訪問對象文件通常存在于訪問對象所在的目錄下面的����。通過服務器讀取訪問控制文件,從而獲得相應的訪問控制信息����。并且要求客戶通過輸入用戶名和口令進行身份驗證。通過訪問控制文件����,Web服務器獲得相應的控制信息,用戶根據(jù)要求輸入用戶名和口令��,如果經過編碼并且驗證以后�,如果身份合法,服務方才發(fā)送回所請求的頁面或執(zhí)行CGI程序����。HTTP 1.1新增加的很多的報頭域。如果進行身份認證���,不是以明文的方式進行傳遞口令�����,而是把口令進行散列變換���,把口令轉化以后對它的摘要進行傳送�����。通過這種認證機制,可以避免攻擊者通過某種攻擊手段來獲取口令��。即使經過多次攻擊����,也無法進行破譯。即使是這樣���,仍然不能保證摘要認證的足夠安全��。和普通的認證方法一樣�����,這種方法也可能受到中間者的攻擊�。要想更進一步確保口令安全�,最好就是把HTTP的安全認證方式與Kerberos服務方式充分結合起來。
(三)IP中的身份認證
IP中的身份認證IP協(xié)議出于網絡層��,因此不能獲取更高層的信息�����,IP中的身份認證無法通過基于用戶的身份認證來實現(xiàn)��。主要是通過用戶所在IP地址的身份認證來實現(xiàn)�����。IP層的認證機構既要確保信息在傳遞過程中的數(shù)據(jù)完整性�,又要確保通過數(shù)據(jù)組抱頭傳遞的信息的安全性。IPSec就是IP安全協(xié)議的簡稱�����,主要功能就是維護網絡層的安全和網絡成以下層的安全�。通常情況下,它提供兩種安全機制。第一種是認證機制��,通過這種認證機制���,可以確保數(shù)據(jù)接收方能夠識別發(fā)送方的身份是否合法�。而且還可以發(fā)現(xiàn)信息在傳輸過程中是否被惡意篡改�����;第二種是加密機制�����,通過對傳輸數(shù)據(jù)進行數(shù)據(jù)編碼來實現(xiàn)數(shù)據(jù)的加密機制����。從而可以保證在信息的傳遞過程中�����,不會被他人竊取�。IPSec的認證報頭(Authentication Header AH)協(xié)議定義了認證的應用方法,封裝安全負載(Encapsu-lating Security Payload����,ESP)協(xié)議定義了加密和可選認證的應用方法�����。應用到具體的通信中去����,需要根據(jù)實際情況選擇不同的加密機制和加密手段���。AH和ESP都可以提供認證服務�,相比較而言�����,AH提供的認證服務要強于ESP�。
三、身份認證技術討論
身份認證技術討論����,在前面幾部分內容中,對身份認證技術進行了理論分析和總結���,并對他們的原理��、機制和優(yōu)缺點進行了比較�。這里將根據(jù)自己的理解,深入考慮通過其他途徑來實現(xiàn)身份認證��。數(shù)字簽名首先要保證身份驗證者信息的真實性����,就是要確保信息不能偽造,這種方法非常類似于身份認證����。身份認證的主要目的是要確保被認證者的身份和權限符合。因此����,這里考慮通過數(shù)字簽名來實現(xiàn)身份認證。這里的技術難點就是必須要預先進行分發(fā)密鑰����。如果不能提前進行密鑰分發(fā)����,就不可能實現(xiàn)數(shù)字簽名。綜上可以看出��,身份認證在整個安全要求中是首先要解決的技術問題。
參考文獻:
[1]William Stallings,孟慶樹等.密碼編碼學與網絡安全――原理與實踐(第四版)[M].電子工業(yè)出版社,2006,11
[2]袁德明.計算機網絡安全[M].電子工業(yè)出版社,2007,6
[3]楊英鵬.計算機網絡原理與實踐[M].電子工業(yè)出版社,2007,9
[4]李忠獻.認證理論與技術的發(fā)展[J].電子學報,1999
第6篇
關鍵詞:身份認證���;UEB Key�����;PKI體系�;認證設計
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2008)23-930-02
Design Research of Authentication Client Based on USB Key under PKI System
ZHOU Hua-xiang
(Changsha Commerce & Tourism College, Changsha 410004, China)
Abstract: Due to universality and opening of the Internet����,there're many hidden troubles of information security in the network, so, identity authentication has becomed the necessary measure to ensure the security. This paper compared and analyzed the relative merits of common classes of identity authentication, and on the basis of analysis, the authentication principle and its characteristics, and the authentication processing were also discussed, and after that, the identifying technology of USB Key with PKI system was designed from software and hardware detaily. All these design work and theory analysis is significative for enhance the security of the identifying authentication.
Key words: Identity authentication; USB Key; PKI System; Technology design
1 引言
當前,隨著計算機技術的飛速發(fā)展����,利用因特網高科技手段進行經濟商業(yè)犯罪的現(xiàn)象已經屢見不鮮了,因此��,如何采用更加安全的數(shù)據(jù)保護及加密技術���,成為當前計算機工作者的研究熱點與重點���。但是很多身份認證技術由于本身算法的漏洞而不穩(wěn)定或可靠,使得很多不法之徒有機可乘���。因此�����,發(fā)展更加安全的數(shù)據(jù)加密算法和身份認證技術���,是關系到社會經濟穩(wěn)定繁榮發(fā)展的關鍵���,如何采用與設計更加安全的身份認證技術,成為當前計算機安全工作的重點�����。
現(xiàn)今�����,計算機及網絡系統(tǒng)中最常用到的身份認證技術主要有以下幾種:1)用戶名密碼方式認證��;2)IC卡認證�;3)動態(tài)口令認證;4)生物特征認證�。
上述幾種身份認證方式�,或認證方式過于簡單��,或認證成本過高�����,或使用方法繁瑣����,在推廣應用上都存在一定的限制因素��;USB Key認證技術是一種方便��、安全�����、經濟的身份認證技術�,它采用軟硬件相結合、一次一密的強雙因子認證模式�����,很好地解決了安全性與易用性之間的矛盾����。
2 相關原理概述
2.1 PKI體系概述
PKI(Public Key Infrastructure)是一個用公鑰密碼體制來實現(xiàn)并提供安全服務的具有通用性的安全基礎設施��,具有可信任的權威認證機構CA����,在公鑰加密技術基礎上實現(xiàn)證書的產生�����、管理��、存檔���、發(fā)放以及證書作廢管理等功能��,并包括實現(xiàn)這些功能的硬件��、軟件���、人力資源、相關政策和操作規(guī)范以及為PKI 體系中的各成員提供全部的安全服務��。如實現(xiàn)通信中各實體的身份認證�、數(shù)據(jù)保密性、數(shù)字完整性以及不可否認等�����。PKI必須具有認證機構CA�、證書庫、密鑰備份及恢復系統(tǒng)�����、證書作廢處理系統(tǒng)����、PKI 應用接口系統(tǒng)等主要組成部分。
2.2 USB Key認證原理
每個USB Key硬件都具有用戶PIN碼���,以實現(xiàn)雙因子認證功能���。USB Key內置單向散列算法(MD5) ,預先在USB Key和服務器中存儲一個證明用戶身份的密鑰�,當需要在網絡上驗證用戶身份時,先由客戶端向服務器發(fā)出一個驗證請求����。服務器接到此請求后生成一個隨機數(shù)并通過網絡傳輸給客戶端,客戶端將收到的隨機數(shù)提供給插在客戶端上的USB Key��,由USB Key使用該隨機數(shù)與存儲在USB Key中的密鑰進行帶密鑰的單向散列運算(HMACMD5)并得到一個結果作為認證證據(jù)傳送給服務器,與此同時��,服務器使用該隨機數(shù)與存儲在服務器數(shù)據(jù)庫中的該客戶密鑰進行HMAC- MD5運算�����,如果服務器的運算結果與客戶端傳回的響應結果相同���,則認為客戶端是一個合法用戶�。
3 基于PKI體系的USB Key認證客戶端的設計
3.1 總體設計
本方案基于USB接口���,采用高性能的智能卡進行設計�����,把智能卡固有的安全性能和USB總線的即插即用�、總線供電等優(yōu)點結合起來��,集二者之所長�����,研制出一種攜帶方便的PKI客戶端設備,集數(shù)據(jù)加密和數(shù)據(jù)存儲兩大功能為一體����,在硬件級安全的基礎上完成身份認證、密鑰管理��、證書存儲等功能��。其系統(tǒng)結構框圖如圖1所示����。
由圖1的結構可以發(fā)現(xiàn)����,本論文研究的客戶端硬件模塊由智能卡和USB 讀卡器組成,采用智能卡芯片作為私鑰安全管理的載體����,它包括私鑰的安全生成、存儲和使用���。智能卡芯片中含有CPU ��,可以通過運算來產生公私密鑰對�,而且還含有一定的存儲空間,可以存儲私鑰和其它用戶資料��。USB 讀卡器的主要功能是完成智能卡與主機的通信���。
由于智能卡的存儲空間畢竟有限���,對于需要進行密碼運算的大文件,無法一次完全導入智能卡設備中���,為此�,我們將一部分密碼運算的功能放在主機端的軟件模塊����,以提高運算速度。
總體的設計思路是私鑰的密碼運算必須在智能卡中進行�,而將一部分有可能對大文件進行的運算放在主機上來完成。這樣既保證了私鑰的生成���、保存的高度安全性�,又利用了主機容量大����、運算快的優(yōu)勢。
3.2 系統(tǒng)硬件設計
3.2.1 智能卡芯片的設計
智能卡芯片是USB KEY的核心,采用一個高性能的處理器芯片�,除了含有一個MCU 外,還集成有專門進行密碼算法的協(xié)處理器����,通過它可以提高密碼運算的速度。在軟件結構上���,我們內置了一個卡內操作系統(tǒng)(COS) 以管理智能卡的所有軟硬件資源��。COS 分為四個模塊:傳輸層模塊�����、文件管理層模塊、安全控制模塊和算法庫���。
從整個安全策略����、用戶的方便性�����、產品的創(chuàng)新性等幾點出發(fā),客戶端的智能卡芯片中需要實現(xiàn)簽名�����、解密����、RSA 密鑰對的產生、私鑰的保存及證書的驗證等主要功能���。
驗證別人的證書����,需要通過信任錨來完成��。信任錨就是根CA 的公鑰��。通過它�,我們可以驗證在一個PKI 系統(tǒng)中所有的證書。由于主機的不安全性�,如果將信任錨存儲在主機端,很容易被黑客替換成一個假的信任錨���,這樣用戶就無法驗證別人證書的真?zhèn)?����。出于這樣的考慮����,我們將信任錨存儲在智能卡中,由于智能卡芯片的硬件特性�����,駐留在里面的程序具有不可修改性��,這樣就使數(shù)據(jù)(私鑰) 的保存和使用達到了硬件的安全級別���,大大提高了PKI 系統(tǒng)的安全��。
3.2.2 USB芯片的設計
由于用戶需要通過駐留在主機上的用戶程序來使用存儲在智能卡中的私鑰,為了使用的方便��,我們將硬件模塊設計成一個目前流行的USB KEY模型�,即通過USB 接口來實現(xiàn)主機軟件程序與智能卡的通訊。
USB 接口的設計由一個USB 芯片來實現(xiàn)��。它主要有兩個功能���,一是通過USB 協(xié)議完成與主機的通信�;二是完成與智能卡的通訊。由于智能卡與外界的信息交換遵循ISO781623協(xié)議���,所以USB 芯片的CPU 必須模擬一個781623 協(xié)議來實現(xiàn)兩者的通訊��。
考慮到用戶在使用客戶端時的不安全性���,如:在用戶使用完USB KEY時,可能忘記將它從主機上拔下來�,這時如果遠程黑客通過駐留主機的木馬程序獲得了用戶的PIN ,就會在用戶無察覺的情況下���,利用USB KEY來對任意的文件進行任意次的簽名��,從而對合法用戶造成很大損失����。為此��,我們在USB 芯片上設計了一個按鍵�,每次USB 芯片檢測到簽名操作的命令,便要求用戶手工按鍵�����,然后再將命令發(fā)送到智能卡里,由智能卡完成簽名運算��。這樣合法用戶便可以控制簽名次數(shù)�����,將風險降到最低水平����。
3.2.3 時間芯片的設計
無論證書還是私鑰,都有一定的生存期�,過期后必須申請新的證書和私鑰。要求PKI 用戶以手工操作的方式來定期更新自己的證書是不現(xiàn)實的����,用戶往往忘記自己證書過期的時間,常在認證失敗時才發(fā)現(xiàn)問題����。為此���,我們在USB 芯片上加載了一個時間芯片�����,用它來識別證書和私鑰過期的時間�����。
3.3 系統(tǒng)軟件設計
系統(tǒng)的軟件設計采用Client/Server模式�����,一個標準的服務流程為:客戶機提出請求��,通過USB接口傳輸給USB接口控制器��,USB接口控制器通過模擬7816協(xié)議來和智能卡進行通信��,智能卡的片上操作系統(tǒng)COS收到該請求后�����,進行命令解釋��,調度相應的功能模塊進行處理�,然后將運算結果返回給USB接口控制器,最終傳遞給客戶機的應用程序���,完成一次服務請求�����。
軟件程序的流程圖如圖2所示�。
4 結束語
USB認證設備體積小巧、功能強大���、價格低廉�,可提供極高安全等級的認證和加密功能�,有力地促進了PKI系統(tǒng)的實施,同時�����,它也可廣泛應用于要求個人身份認證����、識別、數(shù)據(jù)加密�、安全存儲等領域,應用前景廣泛�。目前,對于身份認證技術的研究方興未艾��,很多新的認證方式與認證技術正在出現(xiàn)���,為人們的數(shù)據(jù)安全提供更加可靠的安全認證與保護���。
展望將來,除了對基于PKI體系的USB Key認證方式繼續(xù)探討新的數(shù)據(jù)加密算法外��,其他新的認證模式也正在興起�����,如基于生物特征的生物認證技術�,以及目前處于研究熱潮的基于線上手寫簽名的身份認證技術,這些都將是安全性極高的認證手段�。
參考文獻:
[1] 胡道元,閔京華.網絡安全[M].北京:清華大學出版社,2004.
[2] 蔡金清,萬振凱.統(tǒng)一口令網絡認證系統(tǒng)的分析與實現(xiàn)[J].天津:工業(yè)大學學報,2004,23(3):74-76.
[3] 關振勝.公鑰基礎設施PKI與認證機構CA[M].北京:電子工業(yè)出版社,2002.
第7篇
【Abstract】With the rapid development of information technology, colleges expect the verification of candidate information can be more reliable����, scientific and unified.. However,the lack of human resource��, low information verification efficiency and instead of someone else in examination frequency�, make the examination process is difficult to realize optimization. To overcome these drawbacks, the article takes the two-dimensional code as the information transmission interface, analyzes and designs the network architecture�����, logical structure and physical deployment of dimensional code authentication platform����, provides a useful and practical reference for college to realize authentication informatization .
【P鍵詞】二維碼;高校��;身份認證
【Keywords】two-dimensional code �����; university���; identity authentication
【中圖分類號】C39 【文獻標志碼】A 【文章編號】1673-1069(2017)04-0166-03
1 引言
高校作為人才的培養(yǎng)基地����,一直以來都扮演著科教興國的重要角色��,考試制度也順理成章的成為了檢閱人才的必備標桿��。然而���,社會上的不誠信現(xiàn)象屢見不鮮�,加之社會信用體系不完善,客觀上助長了不誠信風氣�。大學生作弊現(xiàn)象�����,代考現(xiàn)象日益加劇�,使得考試成績的真實性每況愈下,經調查���,
60. 4%的大學生想過考試作弊�,39. 1% 的大學生自述曾有過作弊經歷�����。這種弄虛作假的行為嚴重威脅著國家政策的施行�,也使得高校教育策略岌岌可危。為糾正各類教育考試中考生代考����、作弊等行為,進一步加強考試環(huán)境的綜合治理�����,我們引入二維碼技術來進行考生身份認證。通過掃描二維碼將考生最新信息呈現(xiàn)給監(jiān)考教師���,防止了考生準考證信息因磨損失真�����、不完全����、容易被篡改等現(xiàn)象而引起代考行為的發(fā)生�����,保證了信息的統(tǒng)一化���、可靠化���、科學化管理,實現(xiàn)了考生信息的動態(tài)更新�。系統(tǒng)采用各種最新技術來提高用戶體驗,保證信息的安全性����,一定程度上實現(xiàn)了功能和體驗的雙贏[1]��。
2 二維碼技術的發(fā)展
二維碼是20世紀90年代興起的一種新技術�����,它是以某種特定的幾何圖形按一定規(guī)律在平面上分布組成黑白相間的圖形來記錄數(shù)據(jù)符號信息的技術�。和一維碼相比較���,二維碼不但具有存儲容量大、信息密度大(在一個不大的圖形內可存儲數(shù)字�����、英文�����、漢字�����、指紋�����、聲音和圖片等信息)、 采集速度快��、制作成本低�����、糾錯能力強�����、安全性高等特點���,還成功彌補了一維碼只能包含字母與數(shù)字的缺陷����。它可以從水平軸X軸和縱軸Y軸即橫向和垂直兩個方向對信息進行存儲和處理��,這樣既提高了條碼信息存儲量又加速了信息的處理速度等優(yōu)點��,也正是這些優(yōu)勢使得它廣泛流行于各國各行業(yè)中��。
我國對二維碼技術的研究開始于1993年����,截至目前����,條碼標準體系還尚顯單薄����,具有自主知識產權和核心研發(fā)技術體系還很少,二維碼的推廣和發(fā)展受到了一定阻礙�����。但是隨著我國通信網絡的升級�����、智能手機的普及和民眾意識的轉變��,二維碼的應用前景也漸漸明朗起來����,在消化國外先進技術文化的基礎上�,制定了一系列二維碼標準:如GB/T17172-1997《四一七條碼》,GB/T18284-2000《快速響應矩陣碼》��,《二維碼網格矩陣碼(GM)》,《二維碼緊密矩陣碼(CM)》等�����,并已在我國的汽車行業(yè)自動化生產線�、醫(yī)療急救服務卡、涉外專利案件收費�����、珠寶玉石飾品管理及銀行匯票上得到了應用�。國內多家IT企業(yè)如阿里巴巴、騰訊�����、百度�、新浪等對二維碼的試水,以及中國電信����、中國聯(lián)通、中國移動等電信巨頭在二維碼手機應用領域的介入都充分顯示了二維碼應用在我國強勁的發(fā)展勢頭��,我國也在不斷投入資源�,鼓勵摸索前進���,積極研究和開辟新的應用和領域。
通過文獻梳理和調查國內外關于二維碼技術的應用�,我們發(fā)現(xiàn)高校對二維碼技術的應用仍處于啟蒙階段,同時�,師生證件繁多、不易保管���、信息不完整�、易損壞���、易仿制��、丟失使得信息的傳遞存在極大的風險�。鑒于二維碼的特點和應用�����,廣大師生已在日常生活中對其有了初步了解��。開發(fā)基于二維碼技術的高??忌矸菡J證系統(tǒng)�����,生成包含高校師生身份認證名片,能夠在極大程度上推動高校信息化發(fā)展���,確保信息的完整�����、真實���、易用,做到誠信考試���,有效規(guī)避代考作弊等行為[2]����。
