序論:速發(fā)表網(wǎng)結(jié)合其深厚的文秘經(jīng)驗����,特別為您篩選了11篇身份認(rèn)證技術(shù)論文范文。如果您需要更多原創(chuàng)資料���,歡迎隨時與我們的客服老師聯(lián)系,希望您能從中汲取靈感和知識���!
篇1
一、目前高校信息化建設(shè)現(xiàn)狀
隨著信息技術(shù)的發(fā)展�,各個高校都高度重視信息化建設(shè)工作�����,“數(shù)字校園”即是將信息技術(shù)運(yùn)用于教育改革過程形成的最新研究成果��。在數(shù)字校園中��,學(xué)校針對各種需求建設(shè)應(yīng)用系統(tǒng)�,力圖通過信息化來整合機(jī)構(gòu)內(nèi)的各種資源�����。但在實際信息化建設(shè)過程中�,由于前期缺少統(tǒng)一規(guī)劃,并且高校系統(tǒng)軟件很少有做的很全或很專業(yè)的公司,基本上是學(xué)校各個部門各自為政�,各自購買建設(shè)自己的信息系統(tǒng)�。如教務(wù)處購買自己的教學(xué)管理系統(tǒng)�����,學(xué)生處購買單獨(dú)的學(xué)生綜合管理系統(tǒng)����,圖書館有自己的借還書管理系統(tǒng)。
在多系統(tǒng)并存的情況下����,校園網(wǎng)內(nèi)每個用戶擁有多個密碼�,用戶需要逐一登錄自己所要使用的應(yīng)用系統(tǒng)����,這給用戶造成了很大的不便����,安全性存在嚴(yán)重隱患。同時���,用戶的信息分散存儲于各個應(yīng)用系統(tǒng)中����,這不僅為用戶的正常使用也為應(yīng)用系統(tǒng)的管理和維護(hù)增加了很大的麻煩��,工作效率重復(fù)低下���。為了解決這些問題����,需要在多應(yīng)用系統(tǒng)并存的情況下�,實現(xiàn)應(yīng)用系統(tǒng)間的用戶統(tǒng)一認(rèn)證和信息共享���。
二、統(tǒng)一身份認(rèn)證在高校信息化建設(shè)中的重要作用
網(wǎng)絡(luò)信息系統(tǒng)的統(tǒng)一認(rèn)證技術(shù)已經(jīng)相當(dāng)成熟����,從門戶網(wǎng)站(如新浪)到企業(yè)內(nèi)部網(wǎng)(如平安保險公司)都對原有的系統(tǒng)進(jìn)行改造升級,使得不同歷史時期購進(jìn)的信息系統(tǒng)能夠整合起來���,進(jìn)行統(tǒng)一認(rèn)證����,降低了管理成本同時又提高了信息系統(tǒng)的安全性�,對用戶來說也解決了多賬戶多密碼難于記憶的問題。
目前��,各大高校也在整合自己的網(wǎng)上資源,把各個獨(dú)立信息系統(tǒng)的認(rèn)證統(tǒng)一起來,實現(xiàn)統(tǒng)一身份認(rèn)證�,通過統(tǒng)一規(guī)劃整合認(rèn)證后的校園信息系統(tǒng)最大限度的減少用戶的帳號數(shù),簡化登錄過程���,實現(xiàn)一次登錄多點使用,實行統(tǒng)一管理,方便用戶的同時也極大的提高了信息系統(tǒng)的安全性��。校園網(wǎng)內(nèi)用戶只要登錄一次就可以訪問其它的網(wǎng)絡(luò)資源��?��?梢哉f隨著高校信息化建設(shè)的發(fā)展�����,統(tǒng)一身份認(rèn)證是重中之重�����,信息建設(shè)部門應(yīng)做好統(tǒng)一規(guī)劃�����,后期的軟件開發(fā)應(yīng)用必須和統(tǒng)一身份認(rèn)證平臺對接���。
三���、基于LDAP的統(tǒng)一身份認(rèn)證的建設(shè)與特點
統(tǒng)一身份認(rèn)證平臺的目的是要解決不同的應(yīng)用系統(tǒng)用戶名和口令不統(tǒng)一的問題�,通過提供統(tǒng)一的授權(quán)機(jī)制及一套方便、安全的口令認(rèn)證方法�����,讓用戶只要一套用戶名和口令就可以使用校園網(wǎng)絡(luò)上有權(quán)使用的所有應(yīng)用系統(tǒng)。保證用戶通過網(wǎng)絡(luò)單點登錄或手機(jī)登錄方式進(jìn)入系統(tǒng)�����。目前使用最多的是采用目錄訪問進(jìn)行身份認(rèn)證��,此技術(shù)基于LDAP(輕量型目錄訪問協(xié)議)����,具有高效的查詢速度。利用LDAP 服務(wù)特性及WEB相關(guān)技術(shù)����, 實現(xiàn)了對數(shù)字校園中用戶及網(wǎng)絡(luò)應(yīng)用資源的統(tǒng)一開發(fā)管理��。
統(tǒng)一身份認(rèn)證平臺的開發(fā)功能如下:
1�、目錄服務(wù):目錄服務(wù)與現(xiàn)有系統(tǒng)集成在一起�����,充當(dāng)一個集中化的身份信息庫,用于將學(xué)生�����、教師和其他人員的信息集中存儲�����。
2�����、統(tǒng)一認(rèn)證:認(rèn)證服務(wù)提供了平臺的核心基礎(chǔ)服務(wù)�����,用于對學(xué)生、教師和其他人員的數(shù)字化身份的認(rèn)證��。 3�����、身份管理:提供基本的組、用戶、用戶屬性�、用戶類型���、口令的維護(hù)功能
4����、管理控制臺:承擔(dān)整個統(tǒng)一身份認(rèn)證平臺的身份數(shù)據(jù)管理��、系統(tǒng)服務(wù)管理�、平臺運(yùn)行管理工作,是整個平臺的集中管理控制中心����。
基于目錄訪問協(xié)議的身份認(rèn)證基于Linux系統(tǒng)下OPenLDAP設(shè)計,能夠批量導(dǎo)入加密后的用戶信息,打印明碼條發(fā)給用戶��。然后圍繞認(rèn)證數(shù)據(jù)庫進(jìn)行各種應(yīng)用程序設(shè)計���,包括:基于瀏覽器界面的統(tǒng)一認(rèn)證Web應(yīng)用程序、基于窗口界面的登錄界面設(shè)計(用于桌面應(yīng)用軟件等)�、基于瀏覽器界面的統(tǒng)一認(rèn)證后臺管理Web應(yīng)用程序等等。
基于目錄訪問協(xié)議的身份認(rèn)證優(yōu)點很多����,主要有:采用開源解決方案����,不需另外購買商業(yè)軟件�����,可以在源碼的基礎(chǔ)上進(jìn)行二次開發(fā)��,能夠最大程度減少IT信息建設(shè)投入�����;采用OpenLDAP進(jìn)行系統(tǒng)認(rèn)證,一定程度上防止SQL注入攻擊�,有效保護(hù)后臺數(shù)據(jù)安全���;LDAP具有很高的查詢速度�����,保證認(rèn)證查詢速度�����;采用Linux作為認(rèn)證平臺��,安全�、穩(wěn)定�����。
四�、結(jié)束語
當(dāng)然�����,統(tǒng)一身份認(rèn)證在實際的建設(shè)過程中可能會遇到各種難點�,主要是接口問題�����,如很多以前實施的應(yīng)用系統(tǒng)現(xiàn)在開發(fā)商都聯(lián)系不到(這種情況各個高校都有)���,整合到認(rèn)證系統(tǒng)中可能花的代價比重新開發(fā)或購買的成本還要高���。所以在后期規(guī)劃中,要求系統(tǒng)供應(yīng)商必須提供或開發(fā)和身份認(rèn)證平臺統(tǒng)一的接口����。
目前���,經(jīng)過統(tǒng)一規(guī)劃和投資����,身份認(rèn)證系統(tǒng)在蘇州大學(xué)已經(jīng)基本完成,整合集成了教務(wù)�����、學(xué)工、人事�、行政等各種信息服務(wù),是數(shù)字化校園的信息集中展示平臺��,也是校內(nèi)重要業(yè)務(wù)系統(tǒng)的統(tǒng)一入口����。經(jīng)實際使用證明��,它不僅提高了數(shù)字校園中各種應(yīng)用系統(tǒng)的安全性�����、可靠性,也給用戶提供了極大的方便��,同時方便了數(shù)字校園的用戶管理��,具有很好的社會效益和經(jīng)濟(jì)效益。
參考文獻(xiàn)
[1]openldap.org openldap官方網(wǎng)站
[2]宮恩輝���,朱巧明���,李培峰,史鑫.LDAP和Kerberos在統(tǒng)一身份認(rèn)證中的應(yīng)用[J].蘇州大學(xué)學(xué)報(自然科學(xué)版).2006年02期
篇2
中圖分類號:TP393.08 文獻(xiàn)標(biāo)識碼:A文章編號:1007-9599 (2011) 16-0000-02
Authentication Technology Research Overview
Zhang Yao
(Harbin Normal University,Computer Science and Information Engineering College,Harbin150025,China)
Abstract:Authentication technology is capable of sending and receiving side of information technology to identify the true identity,is to identify,verify that the network information system in the legitimacy and authenticity of the user identity,according to mandate access to system resources,and shut out illegal visitors.This article discusses the field of information security authentication technology status and development trend,for further improving the work has a certain theoretical significance.
Keywords:Information security;Authentication;Biometrics;
Combination of certification;Solutions;Performance analysis
網(wǎng)絡(luò)認(rèn)證技術(shù)是網(wǎng)絡(luò)安全技術(shù)的重要組成部分之一�。認(rèn)證指的是證實被認(rèn)證對象是否屬實和是否有效的一個過程���,常常被用于通信雙方互相確認(rèn)身份���,以保證通信的安全���。認(rèn)證技術(shù)一般包括兩個方面的內(nèi)容����,分別是身份認(rèn)證和信息認(rèn)證�。身份認(rèn)證主要是通過對用戶身份的鑒別來實現(xiàn)對用戶權(quán)限的識別�����,限制低權(quán)限或者非法用戶的入侵����。信息認(rèn)證主要是用于驗證信息是否完整�。本論文的研究主要偏重于對身份認(rèn)證技術(shù)及其分析。主要側(cè)重以下幾個方面做分析���。
一、身份認(rèn)證的方法分析
身份認(rèn)證主要是通過分析被認(rèn)證者的身份�����、權(quán)限等相關(guān)的信息。除了認(rèn)證者本人����,任何其他人都無法進(jìn)行仿造或者偽造身份����。如果經(jīng)過認(rèn)證����,被認(rèn)證者擁有相關(guān)的權(quán)限和秘密,那么他就獲得了認(rèn)證����。身份認(rèn)證的主要依據(jù)就是被認(rèn)證方用于證明身份所用有的秘密。每個被認(rèn)證者所擁有的身份認(rèn)證秘密不同��。常見的身份認(rèn)證有兩種�,第一種是基于物理安全性的身份認(rèn)證方法����。第二種是基于秘密信息的身份認(rèn)證方法����。
(一) 基于物理安全的身份認(rèn)證方法
不同的身份認(rèn)證方法基于不同的理論,但這些認(rèn)證方法的共同點就是依據(jù)用戶知道的秘密信息�。和這種認(rèn)證方法相對照����,另外一種利用用戶的特殊信息或者硬件信息來進(jìn)行身份認(rèn)證的�����。比如說從生物學(xué)角度考慮�,利用聲音識別進(jìn)行身份驗證,利用指紋進(jìn)行身份驗證���,利用人眼的虹膜進(jìn)行身份驗證等��。從硬件的角度考慮��,常用的認(rèn)證方法有通過智能卡來進(jìn)行驗證���,只有認(rèn)證者擁有正確的卡�����,才可以被認(rèn)證。當(dāng)然��,這種方法也有優(yōu)缺點�,這種智能卡可以有效的阻止和避免人為亂猜口令導(dǎo)致的密碼被破解��,但也存在著只認(rèn)卡不認(rèn)人的缺陷����,一旦智能卡因丟失被其他人撿到�,則很容易被盜取身份�����。為防止出現(xiàn)這種情況�����,現(xiàn)在一般采用智能卡和口令結(jié)合的方式�,比如現(xiàn)在最常用的銀行卡就是這種�����。
(二)基于秘密信息的身份認(rèn)證方法
常見的有以下幾個方式:
1.通過進(jìn)行用戶口令認(rèn)證來核對身份信息�,在剛建立系統(tǒng)的時候,系統(tǒng)已經(jīng)預(yù)先為具有合法權(quán)限的用戶設(shè)定了用戶口令和密碼�����。當(dāng)用戶通過登錄界面登錄時�,登錄界面顯示用戶名和密碼輸入����。客戶輸入用戶名和密碼以后�,系統(tǒng)會對輸入的賬戶和密碼與系統(tǒng)原有的密碼進(jìn)行核對如果完全一致�,則認(rèn)為是合法用戶�����,用戶身份得到認(rèn)證�。否則�����,就提示賬戶名或者密碼錯誤。用戶身份得不到認(rèn)證���。
2.單項認(rèn)證��,所謂單項認(rèn)證����,就是進(jìn)行通信的雙方中��,只有一方需要進(jìn)行身份認(rèn)證�。上面所闡述的口令核對法本質(zhì)上也是一種單項認(rèn)證����。只是這種認(rèn)證方法還比較低級���,沒有進(jìn)行相應(yīng)的密鑰分發(fā)操作��。常見的涉及到密鑰分發(fā)操作的認(rèn)證方案有兩類。分別是對稱密鑰加密方案和非對稱密鑰加密方案�。對稱密鑰加密方案是指依靠第三方來進(jìn)行認(rèn)證,第三方就是一個統(tǒng)一的密鑰分發(fā)中心�����。通信雙方的密鑰分發(fā)和身份認(rèn)證都要通過第三方來實現(xiàn)。另一種沒有第三方參與的加密體制成為非對稱密鑰加密體制��。
3.雙向認(rèn)證�。雙向認(rèn)證����,是指需要通信雙方相互認(rèn)證才可以實現(xiàn)雙方通信�����,通信雙方必須相互鑒別彼此的身份,并且經(jīng)雙方驗證正確以后����,才可以實現(xiàn)雙方的通信����。在雙向認(rèn)證中,最典型的就是Needham/Schroeder協(xié)議��。
[1]Needham/Schroeder Protocol[1978]
AKDC:IDA||IDB||N1
KDCA:EKa[Ks||IDB||N1||EKb[Ks||IDA]]
AB:EKb[Ks||IDA]
BA:EKs[N2]
AB:EKs[f(N2)]
(其中f(N2)為N2的某一個函數(shù),其他符號約定同上��。)
4.身份的零知識證明通常在進(jìn)行身份認(rèn)證時,需要進(jìn)行身份信息或者口令的傳輸。要想不傳輸這些信息就可以進(jìn)行身份認(rèn)證����,就需要采用身份的零知識證明技術(shù)。所謂零知識證明就是指在進(jìn)行用戶身份認(rèn)證時�,不需要傳輸相關(guān)的信息���。這種認(rèn)證機(jī)制就是當(dāng)被認(rèn)證的甲方為了讓認(rèn)證方乙方確信自己的身份和權(quán)限但同時又不讓乙方得到自己的秘密信息而采用的一種機(jī)制�。這種認(rèn)證方法可以非常有效的防治第三方竊取信息。
二�、身份認(rèn)證的應(yīng)用
(一)Kerberos認(rèn)證服務(wù)
Kerberos是一種基于Needham和Schroeder[1978]模型的第三方認(rèn)證服務(wù)Kerberos可信任的第三方就是Kerberos認(rèn)證服務(wù)器。它通過把網(wǎng)絡(luò)劃分成不同的安全區(qū)域�����,并且在每個區(qū)域設(shè)立自己的安全服務(wù)器來實現(xiàn)相應(yīng)的安全策略����。在這些區(qū)域的認(rèn)證具體實現(xiàn)過程如下:Kerberos通過向客戶和服務(wù)提供票和通信雙方的對話密鑰來證明自己的身份權(quán)限���。其中Kerberos認(rèn)證服務(wù)器負(fù)責(zé)簽發(fā)初始票�����,也就是客戶第一次得到的票��。其他票都是由發(fā)票服務(wù)器負(fù)責(zé)簽發(fā)�����。同一個票可以在該票過期之前反復(fù)使用�。當(dāng)客戶需要讓服務(wù)方提供服務(wù)的時候,不但要自己生成僅可以使用一次的證�,而且需要向服務(wù)方發(fā)送由發(fā)票服務(wù)器分發(fā)的�。這兩個需要同時發(fā)送�����。
(二)HTTP中的身份認(rèn)證
HTTP中的身份認(rèn)證現(xiàn)在主要由三個常用的版本����。分別是HTTP協(xié)議目前已經(jīng)有了三個版本HTTP0.9�����、HTTP 1.0和HTTP 1.1���,其中HTTP 0.9功能簡單,主要用來實現(xiàn)最基本的請求協(xié)議和回答協(xié)議����。HTTP 1.0是目前應(yīng)用比較廣泛的一個版本����,它的功能相對來說非常完善。而且,通過Web服務(wù)器����,就可以實現(xiàn)身份認(rèn)證來實現(xiàn)訪問和控制�。如果用戶向某個頁面發(fā)出請求或者運(yùn)行某個CGI程序時,將會有訪問控制文件告訴用戶哪些可以訪問�����,哪些不可以訪問�,訪問對象文件通常存在于訪問對象所在的目錄下面的�。通過服務(wù)器讀取訪問控制文件�,從而獲得相應(yīng)的訪問控制信息。并且要求客戶通過輸入用戶名和口令進(jìn)行身份驗證。通過訪問控制文件,Web服務(wù)器獲得相應(yīng)的控制信息�,用戶根據(jù)要求輸入用戶名和口令����,如果經(jīng)過編碼并且驗證以后�����,如果身份合法�,服務(wù)方才發(fā)送回所請求的頁面或執(zhí)行CGI程序�。HTTP 1.1新增加的很多的報頭域。如果進(jìn)行身份認(rèn)證���,不是以明文的方式進(jìn)行傳遞口令���,而是把口令進(jìn)行散列變換,把口令轉(zhuǎn)化以后對它的摘要進(jìn)行傳送�。通過這種認(rèn)證機(jī)制�,可以避免攻擊者通過某種攻擊手段來獲取口令�。即使經(jīng)過多次攻擊,也無法進(jìn)行破譯�。即使是這樣,仍然不能保證摘要認(rèn)證的足夠安全����。和普通的認(rèn)證方法一樣��,這種方法也可能受到中間者的攻擊�。要想更進(jìn)一步確保口令安全��,最好就是把HTTP的安全認(rèn)證方式與Kerberos服務(wù)方式充分結(jié)合起來。
(三)IP中的身份認(rèn)證
IP中的身份認(rèn)證IP協(xié)議出于網(wǎng)絡(luò)層�,因此不能獲取更高層的信息��,IP中的身份認(rèn)證無法通過基于用戶的身份認(rèn)證來實現(xiàn)。主要是通過用戶所在IP地址的身份認(rèn)證來實現(xiàn)。IP層的認(rèn)證機(jī)構(gòu)既要確保信息在傳遞過程中的數(shù)據(jù)完整性���,又要確保通過數(shù)據(jù)組抱頭傳遞的信息的安全性�。IPSec就是IP安全協(xié)議的簡稱���,主要功能就是維護(hù)網(wǎng)絡(luò)層的安全和網(wǎng)絡(luò)成以下層的安全���。通常情況下,它提供兩種安全機(jī)制��。第一種是認(rèn)證機(jī)制��,通過這種認(rèn)證機(jī)制���,可以確保數(shù)據(jù)接收方能夠識別發(fā)送方的身份是否合法��。而且還可以發(fā)現(xiàn)信息在傳輸過程中是否被惡意篡改���;第二種是加密機(jī)制���,通過對傳輸數(shù)據(jù)進(jìn)行數(shù)據(jù)編碼來實現(xiàn)數(shù)據(jù)的加密機(jī)制。從而可以保證在信息的傳遞過程中��,不會被他人竊取�����。IPSec的認(rèn)證報頭(Authentication Header AH)協(xié)議定義了認(rèn)證的應(yīng)用方法��,封裝安全負(fù)載(Encapsu-lating Security Payload�����,ESP)協(xié)議定義了加密和可選認(rèn)證的應(yīng)用方法�����。應(yīng)用到具體的通信中去���,需要根據(jù)實際情況選擇不同的加密機(jī)制和加密手段����。AH和ESP都可以提供認(rèn)證服務(wù)����,相比較而言�,AH提供的認(rèn)證服務(wù)要強(qiáng)于ESP�����。
三���、身份認(rèn)證技術(shù)討論
身份認(rèn)證技術(shù)討論����,在前面幾部分內(nèi)容中�,對身份認(rèn)證技術(shù)進(jìn)行了理論分析和總結(jié)���,并對他們的原理����、機(jī)制和優(yōu)缺點進(jìn)行了比較�����。這里將根據(jù)自己的理解�,深入考慮通過其他途徑來實現(xiàn)身份認(rèn)證。數(shù)字簽名首先要保證身份驗證者信息的真實性���,就是要確保信息不能偽造����,這種方法非常類似于身份認(rèn)證。身份認(rèn)證的主要目的是要確保被認(rèn)證者的身份和權(quán)限符合。因此��,這里考慮通過數(shù)字簽名來實現(xiàn)身份認(rèn)證�。這里的技術(shù)難點就是必須要預(yù)先進(jìn)行分發(fā)密鑰����。如果不能提前進(jìn)行密鑰分發(fā)����,就不可能實現(xiàn)數(shù)字簽名����。綜上可以看出���,身份認(rèn)證在整個安全要求中是首先要解決的技術(shù)問題����。
參考文獻(xiàn):
[1]William Stallings,孟慶樹等.密碼編碼學(xué)與網(wǎng)絡(luò)安全――原理與實踐(第四版)[M].電子工業(yè)出版社,2006,11
[2]袁德明.計算機(jī)網(wǎng)絡(luò)安全[M].電子工業(yè)出版社,2007,6
[3]楊英鵬.計算機(jī)網(wǎng)絡(luò)原理與實踐[M].電子工業(yè)出版社,2007,9
篇3
中圖分類號:TP39文獻(xiàn)標(biāo)識碼:A 文章編號:1007-3973 (2010) 05-044-02
1前 言
隨著信息與計算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展,人類已經(jīng)迎來了信息時代�����。互連網(wǎng)的發(fā)展大大的改變了人們的生活�����。然而隨著這些新技術(shù)的日益普及,爆發(fā)出來的信息安全問題也越來越突出���。在享受互連網(wǎng)帶給人們便捷的同時,這把雙刃劍也讓人們感受到了嚴(yán)峻的考驗����。大量的通過計算機(jī)網(wǎng)絡(luò)所實施的犯罪行為,讓人們防不勝防。人們有必要對采用更為安全的技術(shù)手段來保護(hù)自己的敏感信息和交易不被未經(jīng)過授權(quán)的他人截獲和盜取����。其中最重要的一個措施就是采用身份認(rèn)證技術(shù)���。
2 常見身份認(rèn)證方式分析
身份認(rèn)證的范圍較廣,沒有統(tǒng)一的分類方法,根據(jù)身份認(rèn)證的發(fā)展情況和認(rèn)證方式的不同可以大致分為以下幾類:
2.1用戶名+口令的認(rèn)證方式
這是最簡單,最容易實現(xiàn)的認(rèn)證技術(shù),其優(yōu)點在于操作簡單,不需要任何附加設(shè)施,且成本低速度快�����。但是其缺點是安全性差,屬于單因子軟件認(rèn)證的方式��?��?共聹y攻擊性差,系統(tǒng)保存的是口令的明文形式,一旦被攻破,系統(tǒng)將受大極大威脅���。這種認(rèn)證方式屬于弱認(rèn)證方式����。
2.2 依靠生物特征識別的認(rèn)證方式
生物特征識別的認(rèn)證方式,是為了進(jìn)行身份識別而采用自動化技術(shù)測量人的生物特征,并將該特征與數(shù)據(jù)庫的特征數(shù)據(jù)進(jìn)行比較,從而完成身份識別的方式����。因為不同的人具有的相同的生物特征的可能性是可以忽略不計的���。所以從理論上來說,生物特征識別方式是最可靠的身份識別方式����。它是以人的唯一的,可靠的,穩(wěn)定的特征為依據(jù)的����。目前比較成熟的可用于計算機(jī)系統(tǒng)的生物特征識別技術(shù)有:
(1)指紋身份認(rèn)證技術(shù)�����。通過分析指紋的全局或者局部特征,抽取詳盡的特征值來確認(rèn)身份;
(2) 聲紋身份識別技術(shù)����。也稱語音身份識別技術(shù);
(3)虹膜身份認(rèn)證技術(shù)。虹膜是人眼瞳孔和眼白之間的環(huán)壯組織���。是人眼的可視部分�����。是最可靠的人體終身身份標(biāo)識。虹膜識別在采集和精準(zhǔn)度方式具有明顯的優(yōu)勢;
(4)簽名身份認(rèn)證技術(shù)。是將人的手寫速度,筆順,壓力和圖象等人的個性化特征進(jìn)行比對�。是全新的生物特征認(rèn)證技術(shù)�����。它不用記憶,方便,易為人接受?�?捎糜谟嬎銠C(jī)登錄,信息網(wǎng)如網(wǎng),信用卡簽字等等。
生物特征識別的認(rèn)證方式,雖然具有,不易遺忘丟失,防偽性能好,隨是隨地可用,不易偽造或者被盜等優(yōu)點�。但是它還有一系列暫時不能克服的缺點�����。表現(xiàn)在;技術(shù)不完全成熟,生物識別的準(zhǔn)確性和穩(wěn)定性急待提高。研發(fā)成本高,產(chǎn)量小和識別設(shè)備成本高,現(xiàn)階段難以推廣和大規(guī)模應(yīng)用,對識別正確率沒有確切的結(jié)論,難以做到真正的唯一性,和安全性����。
2.3基于Kerberos的認(rèn)證方式
Kerberos是一種秘密密鑰網(wǎng)絡(luò)認(rèn)證協(xié)議��。是由美國麻省理工學(xué)院(MIT)開發(fā)的一項身份認(rèn)證技術(shù)�����。它的思路對后來的身份認(rèn)證研究產(chǎn)生了很大的影響。它使用了數(shù)據(jù)加密標(biāo)準(zhǔn)DES(Data Encryption Standard)加密算法來進(jìn)行加密和認(rèn)證�����。Kerberos 設(shè)計的主要目的是解決在分布網(wǎng)絡(luò)環(huán)境下,服務(wù)器如何對使用某臺工作站接入的用戶進(jìn)行身份認(rèn)證�����。Kerberos的安全不依賴于用戶登錄的主機(jī),而是依賴于幾個認(rèn)證服務(wù)器。分別是:認(rèn)證服務(wù)器(AS),用于驗證用戶登錄時的身份����。票據(jù)發(fā)放服務(wù)器(TGS),發(fā)放身份許可證明。服務(wù)提供服務(wù)器(Server),客戶請求工作的執(zhí)行者�。
如下圖所示:
基于Kerberos認(rèn)證方式的缺點:
(1) 它是以對稱的DES加密算法為基礎(chǔ),這使得在密鑰的交換,保存,管理上存在著較大的安全隱患���。
(2)Kerberos不能有效的防止字典攻擊��。并且防止口令猜測攻擊的能力是很弱的。因為Kerberos的協(xié)議模型未對口令提供額外的保護(hù)�����。黑客或者攻擊者可以收集大量的許可證,通過有些計算和密鑰分析,進(jìn)行口令猜測����。倘若用戶選擇的口令不強(qiáng),則容易被攻破��。
(3)Kerberos協(xié)議最初設(shè)計是用來提供認(rèn)證和密鑰交換的�。不能用它來進(jìn)行數(shù)字簽名,沒有提供不可抵賴性的機(jī)制�。
(4)在分布式系統(tǒng)中,認(rèn)證中心錯終復(fù)雜,域間的會話密鑰太多,給密鑰的管理,分配帶來麻煩。
2.4基于PKI的身份認(rèn)證方式
PKI(Pubic Key Infrastructure)公鑰基礎(chǔ)設(shè)施是一種遵循一定標(biāo)準(zhǔn)的密鑰管理平臺�����。能夠為目前所有的網(wǎng)絡(luò)應(yīng)用透明的提供采用加密和數(shù)字簽名等密碼服務(wù)所必需的密鑰管理和證書管理����。它是現(xiàn)代電子商務(wù)和信息安全系統(tǒng)的主要技術(shù)之一����。PKI做為新發(fā)展的安全技術(shù)和安全服務(wù)規(guī)范����。不僅能確保網(wǎng)絡(luò)數(shù)據(jù)的機(jī)密性,完整性,可用性,同時也可以解決通信雙方身份的真實性問題?����;赑KI的數(shù)字證書認(rèn)證方式可以有效的保護(hù)用戶的身份安全和數(shù)據(jù)安全����。在基于證書的安全通信中,數(shù)字證書是證明用戶身份合法和提供合法公鑰的憑證���。是建立保密通信的基礎(chǔ)���。因此數(shù)字證書的存儲與管理顯得非常重要��。本文正是在PKI體系的基礎(chǔ)上利用手機(jī)做為數(shù)字證書的載體,來實現(xiàn)對用戶身份的認(rèn)證�。
3基于手機(jī)的身份認(rèn)證方式
基于手機(jī)的身份認(rèn)證是基于PKI的身份認(rèn)證方式的一種改進(jìn)或者說發(fā)展。為了更方便的說明這種認(rèn)證方式的意義以及原理,特從以下幾個方面進(jìn)行分析。
3.1現(xiàn)實需求分析
基于PKI的身份認(rèn)證方式是現(xiàn)階段公認(rèn)的保障信息網(wǎng)絡(luò)社會安全的最佳體系,是信息安全的核心�。數(shù)字證書的權(quán)威性和不可否任是PKI體系的基礎(chǔ)�����。目前,國內(nèi)外通常的做法是利用USBKey 做為數(shù)字證書的載體��。例如中國建設(shè)銀行使用的網(wǎng)銀盾,中國工商銀行推出的U盾等。他們都是將數(shù)字證書存儲在USB Key中���。其優(yōu)點是較為安全可靠�。但其缺點是管理較為麻煩,攜帶起來容易丟失�����。另外由于其工作原理是將數(shù)字證書固化在U盤里,證書不能實現(xiàn)遠(yuǎn)距離更新,實際使用起來,還是比較麻煩���。目前很多公司和機(jī)構(gòu)都開始研究下一代的證書存儲工具���。本論文正是在這樣一個現(xiàn)狀探索性采用人們常用的手機(jī)來作為數(shù)字證書的存儲和管理工具�。并以此展開思考和研究。
3.2理論基礎(chǔ)
PKI(Public Key Infrastructure )公鑰基礎(chǔ)設(shè)施,它是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺,它能夠為所有網(wǎng)絡(luò)應(yīng)用提供數(shù)據(jù)加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書管理體系一種重要的身份認(rèn)證技術(shù)��。是簡單來說,PKI就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施��。PKI技術(shù)是信息安全技術(shù)的核心,也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)�����。PKI以公鑰密碼技術(shù)為基礎(chǔ),數(shù)字證書為媒介,結(jié)合對稱加密和非對稱加密技術(shù),將個人的標(biāo)識信息與各自的公鑰綁在一起,其主要目的是通過管理密鑰和證書,為用戶建立起一個安全���、可信的網(wǎng)絡(luò)運(yùn)行環(huán)境,使用戶可以在多種應(yīng)用環(huán)境下方便地使用加密和數(shù)字簽名技術(shù)在客戶端上驗證用戶的身份,從而保證了互聯(lián)網(wǎng)上所傳輸信息的真實性、完整性�、機(jī)密性和不可否認(rèn)性��。
3.3 研究方案及系統(tǒng)組成
計算機(jī)要能準(zhǔn)確認(rèn)證用戶的身份,必須能準(zhǔn)確的識別用戶手機(jī)中的數(shù)字證書�����。其中將數(shù)字證書從手機(jī)中導(dǎo)入到計算機(jī)上中是借助藍(lán)牙技術(shù)(也可以是紅外技術(shù))提供的數(shù)據(jù)傳輸通道��。并且因為數(shù)字證書是通過藍(lán)牙技術(shù)無線傳輸?shù)?必須給這個通道加密,防止被非法用戶竊取���。系統(tǒng)組成如下圖所示:
3.4關(guān)鍵問題及其解決方案
3.4.1系統(tǒng)中的關(guān)鍵問題
基于手機(jī)的身份認(rèn)證是依賴于手機(jī)這個載體,以數(shù)字證書為媒介,最終需要保證計算機(jī)對手機(jī)中的數(shù)字證書準(zhǔn)確識別。并且整個信息交換不被非授權(quán)的第三方截獲。因此整個系統(tǒng)有以下兩個關(guān)鍵問題�����。
(1)數(shù)字證書在手機(jī)中的安全性問題�。數(shù)字證書是存放在手機(jī)的SD卡上的,要保證數(shù)字證書能方便的寫入到SD卡中,并使其具有加密功能,在遺失,被盜的情況下仍能確保數(shù)字證書不被非法利用�。
(2)計算機(jī)要識別手機(jī)上的數(shù)字證書,或者說信息要在手機(jī)和計算機(jī)之間安全傳遞,必須有一個安全的通道�。雖然可以借助他們本身都帶有的藍(lán)牙功能,并且藍(lán)牙具有抗干擾性強(qiáng),成本低的特點。但是仍不能保證信息傳遞的絕對安全。還需要設(shè)計一傳輸協(xié)議來給他們之間的信息傳遞提供一個安全通道��。
3.4.2關(guān)鍵問題的解決方案
(1)對于數(shù)字證書在手機(jī)中安全存儲的問題,可以考慮采用加密SD卡的方法�����。Sandisk 公司近期研發(fā)了一種稱為TrustedFlash 的新技術(shù),可以在SD,Micro SD卡上實現(xiàn)加密����。
a.安全加密:根據(jù)需要,可設(shè)定不同的加密方式和權(quán)限,支持采用AES,DESB和3DES的對稱密鑰身份驗證及基于X���。509證書鏈的RSAC非對稱密鑰身份驗證。
b.支持?jǐn)?shù)字版權(quán)管理(DRM):可在支持硬件加密技術(shù)的不同主機(jī)間實現(xiàn)移動。
c.具有硬件加密技術(shù)的主機(jī)向下兼容常規(guī)的存儲卡,而硬件加密卡在非保護(hù)區(qū)域也可作為常規(guī)卡使用�。
d.主機(jī)(如手機(jī))只需要升級軟件來支持硬件加密技術(shù),不需要增加和更改硬件。主要應(yīng)用于數(shù)據(jù)安全存取,身份認(rèn)證及移動電子商務(wù)。
(2) 對于傳輸通道的設(shè)計����??梢越梃b當(dāng)前的密碼協(xié)議SSL協(xié)議�。SSL即安全套接字層(Secure Socket Layer)�����。它是網(wǎng)景公司(Netscape)開發(fā)的,主要應(yīng)用于保障Internet上數(shù)據(jù)傳輸之安全��。SSL協(xié)議可以分為兩層:SSL記錄協(xié)議和SSL握手協(xié)議。提供主要服務(wù)有:①認(rèn)證用戶和服務(wù)器,確保數(shù)據(jù)發(fā)送到正確的客戶機(jī)和服務(wù)器;②加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊取;③維護(hù)數(shù)據(jù)的完整性,確保數(shù)據(jù)在傳輸過程中不被改變。認(rèn)證工作流程為:1)客戶端(C)向服務(wù)器(S)發(fā)送一個會話請求信息“你好”2)服務(wù)器根據(jù)客戶的信息確定是否需要生成新的主密鑰,如需要則服務(wù)器在響應(yīng)客戶的“你好”信息時將包含生成主密鑰所需的信息;3)客戶根據(jù)收到的服務(wù)器響應(yīng)信息,產(chǎn)生一個主密鑰,并用服務(wù)器的公開密鑰加密后傳給服務(wù)器;4)服務(wù)器恢復(fù)該主密鑰,并返回給客戶一個用主密鑰認(rèn)證的信息,以此讓客戶認(rèn)證服務(wù)器��。同樣手機(jī)和計算機(jī)之間的通信過程和上面相似�����。只是SSL是同過有線連接傳遞數(shù)據(jù),而本系統(tǒng)是通過藍(lán)牙技術(shù)無線傳遞,其工作原理完全相同�����。
4小結(jié)與展望
本文開頭闡述了常見的身份認(rèn)證的方式,并分析了它們的優(yōu)缺點。 目的是為了說明基于手機(jī)的身份認(rèn)證在整個身份認(rèn)證體系中所在的位置�����。隨著手機(jī)業(yè)務(wù)的不斷發(fā)展?�,F(xiàn)在的手機(jī)已經(jīng)不僅是局限于傳統(tǒng)的通話業(yè)務(wù)����。越來越多的智能手機(jī)投入市場����。它們大多可以安裝小型的操作系統(tǒng)具有較強(qiáng)的處理能力,如Symbian ��、Windows mobile�����、Linux等手機(jī)操作系統(tǒng)。這就為基于手機(jī)的身份認(rèn)證提供了很好的工具和平臺�����。可以預(yù)見USBKEY的功能將會被手機(jī)取代�����?��;谑謾C(jī)的身份認(rèn)證技術(shù)將能更好的服務(wù)于人民的生活���。
參考文獻(xiàn):
[1]馮國柱. PKI關(guān)鍵技術(shù)研究及其應(yīng)用[D].長沙:國防科學(xué)技術(shù)大學(xué),2006.
篇4
現(xiàn)代高校的發(fā)展離不開信息技術(shù),特別是隨著各高校學(xué)生人數(shù)急劇增加,新教學(xué)樓�、新教室的不斷擴(kuò)建����,教學(xué)方式的多樣化等一系列因素使學(xué)校對多媒體��、網(wǎng)絡(luò)教學(xué)����、辦公應(yīng)用系統(tǒng)等信息化技術(shù)依賴越來越大,數(shù)字化校園建設(shè)已經(jīng)成為各高校信息化建設(shè)的重要任務(wù)之一����。醫(yī)學(xué)院校在發(fā)展過程中也面臨著同樣的問題���,需要對學(xué)校的教學(xué)����、科研�、管理等信息資源進(jìn)行全面的整合���,以實現(xiàn)統(tǒng)一的管理。
一�、數(shù)字化校園的涵義及意義
在傳統(tǒng)觀念中數(shù)字化校園一直被認(rèn)為只是由一個一卡通系統(tǒng)和多個應(yīng)用系統(tǒng)組成��,例如各種辦公系統(tǒng)��、多媒體教學(xué)系統(tǒng)����、人事系統(tǒng)和財務(wù)系統(tǒng)等。但由于各個系統(tǒng)中的信息�����,數(shù)據(jù)保存格式以及操作人員的權(quán)限設(shè)置都不一致�����,并且各系統(tǒng)由于開發(fā)商的不同很難做到統(tǒng)一的接口���,系統(tǒng)間通訊困難,對于整個校園來講只是一個個“信息孤島”�����,造成大量冗余����、錯誤的信息,因此這樣的“數(shù)字化校園”只是一個狹義的概念���,并不能完全發(fā)揮信息化的優(yōu)勢�����。而數(shù)字化校園真正的涵義是指以校園網(wǎng)絡(luò)為基礎(chǔ),利用計算機(jī)�����、各種通訊手段對學(xué)校里各種辦公系統(tǒng)、多媒體教學(xué)系統(tǒng)進(jìn)行統(tǒng)一的信息化管理�,包括統(tǒng)一的身份認(rèn)證、權(quán)限控制��、教學(xué)資源管理以及對人事����、財務(wù)����、后勤等信息系統(tǒng)的統(tǒng)一管理等���。數(shù)字化校園在時間和空間上都超越傳統(tǒng)意義上的校園��,它是一個基于先進(jìn)的信息化技術(shù)的虛擬校園�����,使現(xiàn)實的校園環(huán)境得到延伸[1]。
數(shù)字化校園的建設(shè)對于高校的管理和發(fā)展具有重要意義���。首先,數(shù)字化校園是一個虛擬化的校園��,它超越了時間和空間上的局限���,使學(xué)校的跨地域業(yè)務(wù)得到有效開展�����,對學(xué)校建立創(chuàng)新型的教學(xué)模式����,開放式的教育環(huán)境�����,多層次的管理方法都具有相當(dāng)重要的意義���。其次����,數(shù)字化校園以網(wǎng)絡(luò)通訊為基礎(chǔ)����,通過計算機(jī)處理大量的信息,使學(xué)校教工把一些查詢����、統(tǒng)計���、計算等工作交給計算機(jī)來完成���,大大降低了工作量,提高了工作效率。再者�,數(shù)字化校園成功解決了學(xué)校“信息孤島”的問題。數(shù)字化校園的成功實施,能把學(xué)校里各個分散的系統(tǒng)整合�,實現(xiàn)數(shù)據(jù)的統(tǒng)一管理���,避免出現(xiàn)數(shù)據(jù)的重復(fù)檢索���、錄入�。例如圖書館的圖書借閱系統(tǒng)��,里面的人員信息不需要重新錄入�����,可以直接從人事處數(shù)據(jù)庫中調(diào)用,有效解決了數(shù)據(jù)的不一致問題�����。
二、國內(nèi)外相關(guān)課題的研究現(xiàn)狀
“數(shù)字化”這個概念最先是由美國前副總統(tǒng)戈爾于1998年在美國加利福尼亞科學(xué)中心發(fā)表的題為《數(shù)字地球---21世紀(jì)認(rèn)識地球的方式》(The Digital Earth:Understanding in our planet in the 21st Century)的報告中首次提到的��,他提出了數(shù)字化地球的概念��,此后���,“數(shù)字化”名詞在全球流行開來,各行各業(yè)如數(shù)字化城市����、數(shù)字化校園���、數(shù)字化圖書館等名詞接二連三被提出�����。
近年來�����,校園數(shù)字化建設(shè)已經(jīng)成為世界各國高校重點研究的課題之一�����。
在國外,英國信息教育技術(shù)走在前列��。1998年1月英國啟動了全國學(xué)習(xí)網(wǎng)�����,利用網(wǎng)絡(luò)的高速優(yōu)勢把學(xué)校、科研機(jī)構(gòu)、圖書館等網(wǎng)站連為一體����,為網(wǎng)絡(luò)教育開辟了途徑���。2002年��,英國全國學(xué)習(xí)網(wǎng)的網(wǎng)絡(luò)連接所有家庭���、社區(qū)、學(xué)校����、醫(yī)院、社會服務(wù)以及大眾媒體轉(zhuǎn)播系統(tǒng)、單位����,基本能滿足學(xué)校教育、家庭教育����、職業(yè)教育、終身教育和社會經(jīng)濟(jì)發(fā)展的需求�。
國內(nèi)大學(xué)信息化基礎(chǔ)建設(shè)方面��,在90年代初�,建成校園網(wǎng)并通過CERNET建設(shè)與國際互聯(lián)網(wǎng)連接的大學(xué)總數(shù)不過10所左右���。到1999年�����,已經(jīng)有500余所大學(xué)建設(shè)了結(jié)構(gòu)先進(jìn)�����、功能完備的校園網(wǎng)絡(luò)����。2002年���,北京大學(xué)和香港大學(xué)共同啟動了亞洲地區(qū)第一個國際性的高等教育信息化研究項目,對亞洲地區(qū)各國高校信息化建設(shè)�����、發(fā)展的最新動態(tài)和信息��,進(jìn)行研究。
現(xiàn)階段醫(yī)學(xué)院校信息化建設(shè)所面臨的主要問題有:一是學(xué)校以醫(yī)學(xué)專業(yè)為主���,信息化意識不強(qiáng)�,缺乏專業(yè)的信息化建設(shè)人才隊伍�;二是信息化建設(shè)各自為政��,存在重復(fù)建設(shè)現(xiàn)象����;三是信息化建設(shè)進(jìn)程緩慢�����,沒有建立網(wǎng)上自動辦公系統(tǒng)和智能化決策支持系統(tǒng)�。
三��、數(shù)字化校園建設(shè)目標(biāo)
醫(yī)學(xué)院校數(shù)字化建設(shè)的總體目標(biāo)是建成一個適合學(xué)校校情的數(shù)字化校園模型�����,即“統(tǒng)一平臺+統(tǒng)一門戶+多應(yīng)用系統(tǒng)”的建設(shè)模式����,從而實現(xiàn)校內(nèi)教學(xué)���、管理����、科研的全面信息化�����、網(wǎng)絡(luò)化��。免費(fèi)論文��,整合�����。
1.統(tǒng)一平臺是指一個高性能的����、負(fù)載均衡的�����、可擴(kuò)展易維護(hù)的�����、高安全的應(yīng)用軟件�、硬件以及數(shù)據(jù)庫平臺��。其中包括統(tǒng)一信息門戶平臺���、統(tǒng)一身份認(rèn)證平臺和統(tǒng)一公共數(shù)據(jù)平臺三大基礎(chǔ)平臺。
2.統(tǒng)一門戶是指要建成一個統(tǒng)一的���、開放的��、能提供信息共享并能提供多種應(yīng)用服務(wù)的高效穩(wěn)定的門戶中心����。
3.多應(yīng)用系統(tǒng)指為滿足各種教學(xué)�、管理、科研等日常業(yè)務(wù)的需要而提供的各種信息化軟件�����、工具等,如教務(wù)系統(tǒng)、人事管理系統(tǒng)���、財務(wù)系統(tǒng)、科研管理系統(tǒng)�、學(xué)生管理系統(tǒng)等����,這些系統(tǒng)從統(tǒng)一的數(shù)據(jù)庫平臺調(diào)用數(shù)據(jù),共享規(guī)范標(biāo)準(zhǔn)格式的數(shù)據(jù)���,提供統(tǒng)一的接口程序�。
通過數(shù)字化校園的標(biāo)準(zhǔn)建設(shè),集成現(xiàn)有的應(yīng)用系統(tǒng)�,在新需求下開發(fā)新的應(yīng)用系統(tǒng)����,從而實現(xiàn)校園的信息共享和傳遞�,最終構(gòu)建一個集教學(xué)����、科研�����、管理�、活動為一體的信息化環(huán)境��,實現(xiàn)學(xué)校教育過程的全面信息化,從根本上提高教學(xué)質(zhì)量�����、科研水平和管理水平。免費(fèi)論文,整合�。
四��、數(shù)字化校園建設(shè)內(nèi)容
數(shù)字化校園的建設(shè)是在現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施的基礎(chǔ)上對校內(nèi)所有信息化資源(包括各種應(yīng)用系統(tǒng)����、數(shù)據(jù)庫資源�����、認(rèn)證系統(tǒng)等)進(jìn)行全面整合的過程。數(shù)字化校園建設(shè)的各個環(huán)節(jié)必須互相緊扣����,有計劃��、有步驟地實施���,確保各個環(huán)節(jié)協(xié)調(diào)發(fā)展��。醫(yī)學(xué)院校的數(shù)字化校園建設(shè)可以結(jié)合自身特點�,發(fā)展幾項特色項目��,如虛擬實驗室�、虛擬醫(yī)院���、虛擬手術(shù)臺等��。
數(shù)字化校園的總體架構(gòu)設(shè)計包括基礎(chǔ)設(shè)施建設(shè)�����、統(tǒng)一身份認(rèn)證平臺���、應(yīng)用系統(tǒng)建設(shè)
1����、基礎(chǔ)設(shè)施建設(shè)
基礎(chǔ)設(shè)施建設(shè)包括基礎(chǔ)網(wǎng)絡(luò)平臺、弱電系統(tǒng)和IDC數(shù)據(jù)中心建設(shè)�,是建設(shè)好數(shù)字化校園的基本保證,為數(shù)字校園提供最底層的網(wǎng)絡(luò)�����、硬件支持�。
(1)基礎(chǔ)網(wǎng)絡(luò)平臺、弱電系統(tǒng)
(2)IDC數(shù)據(jù)中心
IDC數(shù)據(jù)中心是由一系列的硬件�、軟件��、相關(guān)網(wǎng)絡(luò)組成的整體�����,它作為全校數(shù)據(jù)流轉(zhuǎn)與交換的中心,主要包括主機(jī)系統(tǒng)�����、存儲系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)����、安全系統(tǒng)等硬件設(shè)備和數(shù)據(jù)庫系統(tǒng)�、應(yīng)用服務(wù)器�、目錄服務(wù)器數(shù)據(jù)匯聚設(shè)備��。
2�����、統(tǒng)一身份認(rèn)證平臺
在數(shù)字化校園中,各個系統(tǒng)之間經(jīng)常需要相互協(xié)作才能完成一項任務(wù)��。但對于同一個用戶來說����,如果不同的系統(tǒng)都要不同的登錄信息�����,并且要重復(fù)登錄����,這就給用戶帶來極大的不便,也給系統(tǒng)加重了負(fù)擔(dān)�。而所謂的統(tǒng)一身份認(rèn)證就是對校內(nèi)各個不同的應(yīng)用系統(tǒng)采用統(tǒng)一的身份認(rèn)證系統(tǒng),為各應(yīng)用系統(tǒng)的集成奠定基礎(chǔ)�。
目前高校身份認(rèn)證管理存在以下問題:
(1)由于目前校內(nèi)各個系統(tǒng)都是分散管理,因此就難以統(tǒng)一管理用戶的賬號����,這就難免會對一些賬號信息進(jìn)行重復(fù)管理,增加管理成本��。免費(fèi)論文����,整合��。
(2)賬號的使用沒有落實到實名����,一個賬號存在多人使用的現(xiàn)象���,在出現(xiàn)安全事故時難以明確責(zé)任���,因此在安全管理上存在漏洞�。免費(fèi)論文��,整合。
(3)不同應(yīng)用系統(tǒng)之間的認(rèn)證模式和規(guī)范不同���,安全等級劃分標(biāo)準(zhǔn)也不同,不便于全校的安全管理�����。免費(fèi)論文�,整合。
(4)一個用戶如要使用多個應(yīng)用系統(tǒng)�,就必須記憶多套賬號信息,并需重復(fù)登錄,給用戶的操作帶來極大的不變[2]�。免費(fèi)論文�,整合��。
3��、應(yīng)用系統(tǒng)建設(shè)
應(yīng)用系統(tǒng)主要有一卡通系統(tǒng)�����、數(shù)字圖書館���、教學(xué)系統(tǒng)��、學(xué)工系統(tǒng)����、人事系統(tǒng)����、財務(wù)系統(tǒng)�����、精品課程等。
(1)一卡通系統(tǒng)
一卡通是數(shù)字化校園建設(shè)的重要內(nèi)容����,是校內(nèi)各系統(tǒng)連接的樞紐。校園一卡通以校園網(wǎng)為基礎(chǔ)�,集成各種計算機(jī)網(wǎng)絡(luò)設(shè)備�、數(shù)據(jù)終端���,以IC卡為載體實現(xiàn)校園管理的信息化����。系統(tǒng)建成以后��,將取代以前校內(nèi)的各種卡證(如借書證��、飯卡�����、工作證����、學(xué)生證等)���,真正實現(xiàn)校內(nèi)工作、學(xué)習(xí)�、生活的“一卡通”。
(2)數(shù)字圖書館
數(shù)字圖書館是數(shù)字化校園的重要組成部分,它是指運(yùn)用數(shù)字技術(shù)和信息技術(shù)把處于不同地理位置的信息資源進(jìn)行整合存儲�����,并通過網(wǎng)絡(luò)向廣大讀者提供多媒體信息資源的虛擬化圖書館��。數(shù)字圖書館不受地域空間的限制�,能最大限度地共享各地信息資源��。
(3)教學(xué)系統(tǒng)
教學(xué)系統(tǒng)主要有教務(wù)管理系統(tǒng)��,它管理的對象主要有學(xué)生信息���、教師信息、管理人員信息以及教學(xué)資源信息(如教室���、多媒體等)����。而它主要實現(xiàn)的功能有:排課�、選課���、考試安排���、教學(xué)測評等[3]。
五.結(jié)束語
數(shù)字化校園已經(jīng)成為建設(shè)現(xiàn)代化高校必須面臨的課題��。數(shù)字化校園建成后,將很大程度上改變學(xué)校的教學(xué)����、管理���、科研等工作模式,更方便了校內(nèi)的信息傳遞��、共享�����。但國內(nèi)醫(yī)學(xué)院校的數(shù)字化校園建設(shè)還有很長的一段路要走�����,必須在初期做好整體規(guī)劃��,以學(xué)校的中心工作為出發(fā)點有計劃地實施。
參考文獻(xiàn)
[1]傅霖,張凡�,江魁.高校數(shù)字校園探索與信息標(biāo)準(zhǔn)化建設(shè)[J].中國教育信息化�,2007
[2]張應(yīng)祥�����,吳健�����,孟彤.數(shù)字校園統(tǒng)一身份認(rèn)證系統(tǒng)及管理平臺設(shè)計,2010
篇5
隨著網(wǎng)絡(luò)的發(fā)展,電子商務(wù)的迅速崛起���,使網(wǎng)絡(luò)成為國際競爭的新戰(zhàn)場。然而,由于網(wǎng)絡(luò)技術(shù)本身的缺陷,使得網(wǎng)絡(luò)社會的脆性大大增加��,一旦計算機(jī)網(wǎng)絡(luò)受到攻擊不能正常運(yùn)作時,整個社會就會陷入危機(jī)。所以,構(gòu)筑安全的電子商務(wù)信息環(huán)境,愈來愈受到國際社會的高度關(guān)注��。
一、電子商務(wù)中的信息安全技術(shù)
電子商務(wù)的信息安全在很大程度上依賴于技術(shù)的完善,包括密碼、鑒別����、訪問控制、信息流控制��、數(shù)據(jù)保護(hù)、軟件保護(hù)��、病毒檢測及清除、內(nèi)容分類識別和過濾��、網(wǎng)絡(luò)隱患掃描��、系統(tǒng)安全監(jiān)測報警與審計等技術(shù)�。
1.防火墻技術(shù)。防火墻主要是加強(qiáng)網(wǎng)絡(luò)之間的訪問控制, 防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)��。
2.加密技術(shù)���。數(shù)據(jù)加密就是按照確定的密碼算法將敏感的明文數(shù)據(jù)變換成難以識別的密文數(shù)據(jù),當(dāng)需要時可使用不同的密鑰將密文數(shù)據(jù)還原成明文數(shù)據(jù)���。
3.數(shù)字簽名技術(shù)�����。數(shù)字簽名技術(shù)是將摘要用發(fā)送者的私鑰加密,與原文一起傳送給接收者,接收者只有用發(fā)送者的公鑰才能解密被加密的摘要。
4.數(shù)字時間戳技術(shù)���。時間戳是一個經(jīng)加密后形成的憑證文檔�����,包括需加時間戳的文件的摘要、dts 收到文件的日期與時間和dis 數(shù)字簽名,用戶首先將需要加時間的文件用hash編碼加密形成摘要���,然后將該摘要發(fā)送到dts,dts 在加入了收到文件摘要的日期和時間信息后再對該文件加密,然后送回用戶���。
二���、電子商務(wù)安全防范措施
網(wǎng)絡(luò)安全是電子商務(wù)的基礎(chǔ)�����。網(wǎng)絡(luò)安全防范技術(shù)可以從數(shù)據(jù)的加密(解密)算法���、安全的網(wǎng)絡(luò)協(xié)議��、網(wǎng)絡(luò)防火墻���、完善的安全管理制度��、硬件的加密和物理保護(hù)、安全監(jiān)聽系統(tǒng)和防病毒軟件等領(lǐng)域來進(jìn)行考慮和完善。
1.防火墻技術(shù)
用過internet,企業(yè)可以從異地取回重要數(shù)據(jù),同時又要面對 internet 帶來的數(shù)據(jù)安全的新挑戰(zhàn)和新危險:即客戶�、推銷商、移動用戶���、異地員工和內(nèi)部員工的安全訪問;以及保護(hù)企業(yè)的機(jī)密信息不受黑客和工業(yè)間諜的入侵����。因此,企業(yè)必須加筑安全的“壕溝”,而這個“壕溝”就是防火墻.防火墻系統(tǒng)決定了哪些內(nèi)容服務(wù)可以被外界訪問;外界的哪些人可以訪問內(nèi)部的服務(wù)以及哪些外部服務(wù)可以被內(nèi)部人員訪問��。防火墻必須只允許授權(quán)的數(shù)據(jù)通過����,而且防火墻本身必須能夠免于滲透���。
2. vpn技術(shù)
虛擬專用網(wǎng)簡稱vpn,指將物理上分布在不同地點的網(wǎng)絡(luò)通過公用骨干網(wǎng)聯(lián)接而形成邏輯上的虛擬“私”網(wǎng),依靠ips或 nsp在安全隧道、用戶認(rèn)證和訪問控制等相關(guān)技術(shù)的控制下達(dá)到與專用網(wǎng)絡(luò)類同的安全性能,從而實現(xiàn)基于 internet 安全傳輸重要信息的效應(yīng)����。目前vpn 主要采用四項技術(shù)來保證安全, 這四項技術(shù)分別是隧道技術(shù)��、加解密技術(shù)���、密鑰管理技術(shù)�����、使用者與設(shè)備身份認(rèn)證技術(shù)。
3.數(shù)字簽名技術(shù)
為了保證數(shù)據(jù)和交易的安全���、防止欺騙,確認(rèn)交易雙方的真實身份,電子商務(wù)必須采用加密技術(shù)���。數(shù)字簽名就是基于加密技術(shù)的,它的作用就是用來確定用戶是否是真實的����。數(shù)字簽名就是通過一個單向哈希函數(shù)對要傳送的報文進(jìn)行處理而得到的用以認(rèn)證報文是否發(fā)生改變的一個字母數(shù)字串��。發(fā)送者用自己的私鑰把數(shù)據(jù)加密后傳送給接收者,接收者用發(fā)送者的公鑰解開數(shù)據(jù)后,就可確認(rèn)消息來自于誰,同時也是對發(fā)送者發(fā)送的信息真實性的一個證明,發(fā)送者對所發(fā)信息不可抵賴,從而實現(xiàn)信息的有效性和不可否認(rèn)性�。
三、電子商務(wù)的安全認(rèn)證體系
隨著計算機(jī)的發(fā)展和社會的進(jìn)步,通過網(wǎng)絡(luò)進(jìn)行的電子商務(wù)活動當(dāng)今社會越來越頻繁,身份認(rèn)證是一個不得不解決的重要問題,它將直接關(guān)系到電子商務(wù)活動能否高效而有序地進(jìn)行�����。認(rèn)證體系在電子商務(wù)中至關(guān)重要,它是用戶獲得訪問權(quán)限的關(guān)鍵步驟?���,F(xiàn)代密碼的兩個最重要的分支就是加密和認(rèn)證。加密目的就是防止敵方獲得機(jī)密信息���。認(rèn)證則是為了防止敵方的主動攻擊,包括驗證信息真?zhèn)渭胺乐剐畔⒃谕ㄐ胚^程被篡改刪除�、插入�、偽造及重放等。認(rèn)證主要包括三個方面:消息認(rèn)證�����、身份認(rèn)證和數(shù)字簽名。
身份認(rèn)證一般是通過對被認(rèn)證對象(人或事)的一個或多個參數(shù)進(jìn)行驗證�����。從而確定被認(rèn)證對象是否名實相符或有效�����。這要求要驗證的參數(shù)與被認(rèn)證對象之間應(yīng)存在嚴(yán)格的對應(yīng)關(guān)系,最好是惟一對應(yīng)的�����。身份認(rèn)證是安全系統(tǒng)中的第一道關(guān)卡。
數(shù)字證書是在互聯(lián)網(wǎng)通信中標(biāo)志通信各方身份信息的一系列數(shù)據(jù)。提供了一種 internet 上驗證用戶身份的方式,其作用類似于司機(jī)的駕駛執(zhí)照或身份證。它是由一個權(quán)威機(jī)構(gòu)ca機(jī)構(gòu),又稱為證書授權(quán)(certificate authority)中心發(fā)行的,人們可以在網(wǎng)上用它識別彼此的身份���。
四���、結(jié)束語
安全實際上就是一種風(fēng)險管理。任何技術(shù)手段都不能保證100%的安全����。但是,安全技術(shù)可以降低系統(tǒng)遭到破壞、攻擊的風(fēng)險。因此,為進(jìn)一步促進(jìn)電子商務(wù)體系的完善和行業(yè)的健康快速發(fā)展,必須在實際運(yùn)用中解決電子商務(wù)中出現(xiàn)的各類問題,使電子商務(wù)系統(tǒng)相對更安全��。電子商務(wù)的安全運(yùn)行必須從多方面入手,僅在技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的,還必須完善電子商務(wù)立法,以規(guī)范飛速發(fā)展的電子商務(wù)現(xiàn)實中存在的各類問題,從而引導(dǎo)和促進(jìn)我國電子商務(wù)快速健康發(fā)展�。
參考文獻(xiàn):
[1] 勞幗齡.電子商務(wù)的安全技術(shù)[m].北京:中國水利水電出版社,2005.
篇6
所謂電子商務(wù)(Electronic Commerce) 是利用計算機(jī)技術(shù)���、網(wǎng)絡(luò)技術(shù)和遠(yuǎn)程通信技術(shù), 實現(xiàn)整個商務(wù)(買賣)過程中的電子化��、數(shù)字化和網(wǎng)絡(luò)化��。目前,因特網(wǎng)上影響交易最大的阻力就是交易安全問題, 據(jù)最新的中國互聯(lián)網(wǎng)發(fā)展統(tǒng)計報告顯示, 在被調(diào)查的人群中只有2.8%的人對網(wǎng)絡(luò)的安全性是感到很滿意的, 因此,電子商務(wù)的發(fā)展必須重視安全問題。
一、電子商務(wù)安全的要求
1���、信息的保密性:指信息在存儲����、傳輸和處理過程中,不被他人竊取。
2���、信息的完整性:指確保收到的信息就是對方發(fā)送的信息,信息在存儲中不被篡改和破壞,保持與原發(fā)送信息的一致性����。
3����、 信息的不可否認(rèn)性:指信息的發(fā)送方不可否認(rèn)已經(jīng)發(fā)送的信息,接收方也不可否認(rèn)已經(jīng)收到的信息。
4�����、 交易者身份的真實性:指交易雙方的身份是真實的,不是假冒的����。
5����、 系統(tǒng)的可靠性:指計算機(jī)及網(wǎng)絡(luò)系統(tǒng)的硬件和軟件工作的可靠性�。
在電子商務(wù)所需的幾種安全性要求中,以保密性�、完整性和不可否認(rèn)性最為關(guān)鍵�����。電子商務(wù)安全性要求的實現(xiàn)涉及到以下多種安全技術(shù)的應(yīng)用�。
二����、數(shù)據(jù)加密技術(shù)
將明文數(shù)據(jù)進(jìn)行某種變換,使其成為不可理解的形式,這個過程就是加密,這種不可理解的形式稱為密文����。解密是加密的逆過程,即將密文還原成明文�。
(一)對稱密鑰加密與DES算法
對稱加密算法是指文件加密和解密使用一個相同秘密密鑰,也叫會話密鑰���。目前世界上較為通用的對稱加密算法有RC4和DES�����。這種加密算法的計算速度非?����??因此被廣泛應(yīng)用于對大量數(shù)據(jù)的加密過程����。
最具代表的對稱密鑰加密算法是美國國家標(biāo)準(zhǔn)局于1977年公布的由IBM公司提出DES (Data Encrypuon Standard)加密算法��。
(二)非對稱密鑰加密與RSA算法
為了克服對稱加密技術(shù)存在的密鑰管理和分發(fā)上的問題,1976年產(chǎn)生了密鑰管理更為簡化的非對稱密鑰密碼體系,也稱公鑰密碼體系(PublicKeyCrypt-system),用的最多是RSA算法,它是以三位發(fā)明者(Rivest�����、Shamir��、Adleman)姓名的第一個字母組合而成的。
在實踐中,為了保證電子商務(wù)系統(tǒng)的安全�����、可靠以及使用效率,一般可以采用由RSA和DES相結(jié)合實現(xiàn)的綜合保密系統(tǒng)。
三���、認(rèn)證技術(shù)
認(rèn)證技術(shù)是保證電子商務(wù)交易安全的一項重要技術(shù)�����。主要包括身份認(rèn)證和信息認(rèn)證�。前者用于鑒別用戶身份,后者用于保證通信雙方的不可抵賴性以及信息的完整性
(一)身份認(rèn)證
用戶身份認(rèn)證三種常用基本方式
1、口令方式
這種身份認(rèn)證方法操作十分簡單,但最不安全,因為其安全性僅僅基于用戶口令的保密性,而用戶口令一般較短且容易猜測,不能抵御口令猜測攻擊,整個系統(tǒng)的安全容易受到威脅�。
2、標(biāo)記方式
訪問系統(tǒng)資源時,用戶必須持有合法的隨身攜帶的物理介質(zhì)(如存儲有用戶個性化數(shù)據(jù)的智能卡等)用于身份識別,訪問系統(tǒng)資源�。
3、人體生物學(xué)特征方式
某些人體生物學(xué)特征,如指紋、聲音�、DNA圖案���、視網(wǎng)膜掃描圖案等等,這種方案一般造價較高,適用于保密程度很高的場合��。
加密技術(shù)解決信息的保密性問題,對于信息的完整性則可以用信息認(rèn)證方面的技術(shù)加以解決。在某些情況下,信息認(rèn)證顯得比信息保密更為重要���。
(二)數(shù)字摘要
數(shù)字摘要,也稱為安全Hash編碼法,簡稱SHA或MD5 ,是用來保證信息完整性的一項技術(shù)���。它是由Ron Rivest發(fā)明的一種單向加密算法,其加密結(jié)果是不能解密的���。類似于人類的“指紋”,因此我們把這一串摘要而成的密文稱之為數(shù)字指紋,可以通過數(shù)字指紋鑒別其明文的真?zhèn)巍?/p>
(三)數(shù)字簽名
數(shù)字簽名建立在公鑰加密體制基礎(chǔ)上,是公鑰加密技術(shù)的另一類應(yīng)用�。它把公鑰加密技術(shù)和數(shù)字摘要結(jié)合起來,形成了實用的數(shù)字簽名技術(shù)。
它的作用:確認(rèn)當(dāng)事人的身份,起到了簽名或蓋章的作用;能夠鑒別信息自簽發(fā)后到收到為止是否被篡改��。
(四)數(shù)字時間戳
在電子交易中,時間和簽名同等重要��。數(shù)字時間戳技術(shù)是數(shù)字簽名技術(shù)一種變種的應(yīng)用,是由DTS服務(wù)機(jī)構(gòu)提供的電子商務(wù)安全服務(wù)項目,專門用于證明信息的發(fā)送時間。包括三個部分:需加時間戳的文件的數(shù)字摘要;DTS機(jī)構(gòu)收到文件摘要的日期和時間; DTS機(jī)構(gòu)的數(shù)字簽名����。
(五)認(rèn)證中心
認(rèn)證中心:(Certificate Authority,簡稱CA),也稱之為電子商務(wù)認(rèn)證中心,是承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù),能簽發(fā)數(shù)字證書,確認(rèn)用戶身份的����、與具體交易行為無關(guān)的第三方權(quán)威機(jī)構(gòu)。認(rèn)證中心通常是企業(yè)性的服務(wù)機(jī)構(gòu),主要任務(wù)是受理證書的申請、簽發(fā)和管理數(shù)字證書����。其核心是公共密鑰基礎(chǔ)設(shè)(PKI)��。
我國現(xiàn)有的安全認(rèn)證體系(CA)在金融CA方面,根證書由中國人民銀行管理,根認(rèn)證管理一般是脫機(jī)管理;品牌認(rèn)證中心采用“統(tǒng)一品牌、聯(lián)合建設(shè)”的方針進(jìn)行�。在非金融CA方面,最初主要由中國電信負(fù)責(zé)建設(shè)。
(六)數(shù)字證書
數(shù)字證書就是標(biāo)志網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù),用于證明某一主體(如個人用戶、服務(wù)器等)的身份以及其公鑰的合法性的一種權(quán)威性的電子文檔,由權(quán)威公正的第三方機(jī)構(gòu),即CA中心簽發(fā)����。
以數(shù)字證書為核心的加密技術(shù)可以對網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密和解密�、數(shù)字簽名和簽名驗證,確保網(wǎng)上傳遞信息的機(jī)密性、完整性,以及交易實體身份的真實性,簽名信息的不可否認(rèn)性,從而保障網(wǎng)絡(luò)應(yīng)用的安全性����。
四、電子商務(wù)的安全交易標(biāo)準(zhǔn)
(一)安全套接層協(xié)議
SSL (secure sockets layer)是由Netscape Communication公司是由設(shè)計開發(fā)的,其目的是通過在收發(fā)雙方建立安全通道來提高應(yīng)用程序間交換數(shù)據(jù)的安全性,從而實現(xiàn)瀏覽器和服務(wù)器(通常是Web服務(wù)器)之間的安全通信。
目前Microsoft和Netscape的瀏覽器都支持SSL,很多Web服務(wù)器也支持SSL�����。SSL是一種利用公共密鑰技術(shù)的工業(yè)標(biāo)準(zhǔn),已經(jīng)廣泛用于Internet�。
(二)安全電子交易協(xié)議
(Secure Electronic Transaction)它是由VISA和MasterCard兩大信用卡公司發(fā)起,會同IBM��、Microsoft等信息產(chǎn)業(yè)巨頭于1997年6月正式制定的用于因特網(wǎng)事務(wù)處理的一種標(biāo)準(zhǔn)��。采用DES�����、RC4等對稱加密體制加密要傳輸?shù)男畔?并用數(shù)字摘要和數(shù)字簽名技術(shù)來鑒別信息的真?zhèn)渭捌渫暾?目前已經(jīng)被廣為認(rèn)可而成了事實上的國際通用的網(wǎng)上支付標(biāo)準(zhǔn),其交易形態(tài)將成為未來電子商務(wù)的規(guī)范。
五��、總結(jié)
網(wǎng)絡(luò)應(yīng)用以安全為本,只有充分掌握有關(guān)電子商務(wù)的技術(shù),才能使電子商務(wù)更好的為我們服務(wù)�����。然而,如何利用這些技術(shù)仍是今后一段時間內(nèi)需要深入研究的課題�����。
參考文獻(xiàn):
篇7
高校各個部門相對獨(dú)立分散的業(yè)務(wù)系統(tǒng)通過數(shù)字化校園三大平臺進(jìn)行統(tǒng)一整合和有效的集成,對集成數(shù)據(jù)制定統(tǒng)一的標(biāo)準(zhǔn)��,實時更新各種數(shù)據(jù)信息,確保信息的一致性和提高信息的準(zhǔn)確性�����,從而提升領(lǐng)導(dǎo)的決策水平和高校整體管理水平。數(shù)字化校園三大平臺不僅可以解決高校信息孤島的問題��,規(guī)范業(yè)務(wù)流程,還能為高校師生提供“一站式”服務(wù),提高工作效率�。
1 信息化標(biāo)準(zhǔn)建設(shè)與公共數(shù)據(jù)平臺建設(shè)
現(xiàn)如今�,高校各部門各司其職���,根據(jù)需求建立各自的管理系統(tǒng)���,缺乏數(shù)據(jù)統(tǒng)一標(biāo)準(zhǔn)和資源共享的意識��。如果高校沒有建立統(tǒng)一的信息化標(biāo)準(zhǔn)����,往往會導(dǎo)致數(shù)據(jù)資源的浪費(fèi)�。建設(shè)數(shù)字化校園三大平臺的主要目的是實現(xiàn)資源和數(shù)據(jù)共享以及將多個不關(guān)聯(lián)的系統(tǒng)統(tǒng)一成一個系統(tǒng)���,實現(xiàn)各部門之間數(shù)據(jù)交互�,方便信息管理����,提高工作效率���。所謂信息化標(biāo)準(zhǔn)��,是指信息在產(chǎn)生�����、傳輸�、交換和處理時采用統(tǒng)一的概念����、傳輸和表達(dá)格式、術(shù)語以及規(guī)則���。
公共數(shù)據(jù)平臺是建設(shè)信息門戶平臺和統(tǒng)一身份認(rèn)證平臺的基礎(chǔ),是數(shù)字化校園建設(shè)的重要組成部分。通過公共數(shù)據(jù)平臺��,可以對學(xué)校各個部門的數(shù)據(jù)信息進(jìn)行收集�、管理和利用,可以有效解決“數(shù)據(jù)共享難���、信息孤島”問題�。公共數(shù)據(jù)庫是統(tǒng)一管理數(shù)字化校園中的各種結(jié)構(gòu)化數(shù)據(jù)的平臺��,具有建立和劃分面向具體業(yè)務(wù)的數(shù)據(jù)庫功能�,可確保數(shù)據(jù)的一致性、完整性和安全性���。通過數(shù)據(jù)集成平臺可以將教務(wù)處、財務(wù)處、學(xué)工處�����、人事處�����、科研處、圖書館等應(yīng)用系統(tǒng)的數(shù)據(jù)庫集中到公共數(shù)據(jù)庫里,并保持所有應(yīng)用數(shù)據(jù)的統(tǒng)一。
2 統(tǒng)一身份認(rèn)證平臺建設(shè)
隨著教育信息化的發(fā)展�,學(xué)校需求的應(yīng)用系統(tǒng)越來越多���,不利于網(wǎng)絡(luò)管理工作的開展。尤其是不同的應(yīng)用系統(tǒng)其身份認(rèn)證方式也不同�,用戶人員需要掌握大量的登錄信息���,經(jīng)常會出現(xiàn)混淆登錄信息以及忘記登錄密碼的問題,降低了用戶的工作效率�����,同時也給網(wǎng)絡(luò)中心工作人員增加了不少的任務(wù)量��。高?����,F(xiàn)有的業(yè)務(wù)系統(tǒng)大部分都是單獨(dú)授權(quán)�、單獨(dú)認(rèn)證和單獨(dú)的賬號管理的模式�,這種模式已經(jīng)不能滿足信息化快速發(fā)展的需求����。因此���,建設(shè)一個統(tǒng)一的��、安全可靠的、集中式的身份認(rèn)證和管理平臺是一項相當(dāng)重要的任務(wù)。
統(tǒng)一身份認(rèn)證平臺屬于信息門戶平臺的身份認(rèn)證方面����,可以支持多個業(yè)務(wù)系統(tǒng)間單點登錄(SSO)���,為各學(xué)校各個部門的業(yè)務(wù)系統(tǒng)提供集中式管理和安全認(rèn)證機(jī)制���,使得各種業(yè)務(wù)系統(tǒng)有效的整合和集成在一起�����。為了更好的使用系統(tǒng)和降低信息中心運(yùn)維人員的工作負(fù)擔(dān)�����,統(tǒng)一身份認(rèn)證平臺提供了自助密碼找回功能����。
3 信息門戶平臺建設(shè)
信息門戶平臺是直接展現(xiàn)給用戶面前的����,不僅可以及時的新聞通知���,還可以提供管理�、學(xué)習(xí)�、生活等多方面的服務(wù)�,增強(qiáng)了用戶體驗感�����,給全校師生帶來了便捷性����。
在該平臺中,通過微博聚合方式將學(xué)校官方微博中的新聞�����、通知等信息推送到門敉站中����。另外,學(xué)校目前擁有的業(yè)務(wù)系統(tǒng)如教務(wù)系統(tǒng)�、財務(wù)系統(tǒng)、人事系統(tǒng)��、科研系統(tǒng)�����、郵件系統(tǒng)�、OA系統(tǒng)、校園一卡通、就業(yè)系統(tǒng)、迎新系統(tǒng)��、離校系統(tǒng)等模塊也會集成到門戶網(wǎng)站中��,并抽取OA待辦事項����、圖書借閱情況、校園卡余額�、教師的本月工資和公積金發(fā)送情況�、站內(nèi)信息未讀提醒等服務(wù)模塊��。信息門戶管理平臺根據(jù)學(xué)校領(lǐng)導(dǎo)���、普通教師以及學(xué)生需求的不同將信息門戶頁面展現(xiàn)的內(nèi)容劃分成三種�����,例如,以學(xué)生身份作為用戶登錄進(jìn)去�����,頁面中會增加成績查詢和已修學(xué)分信息����,方便學(xué)生掌握自己的已修課程成績和學(xué)分情況�����。此外�����,用戶可以根據(jù)本身的愛好需求將一些應(yīng)用模塊添加到首頁�,對界面進(jìn)行美化�,增強(qiáng)用戶體驗感。
4 結(jié)束語
數(shù)字化校園三大平臺建設(shè)在計算機(jī)和網(wǎng)絡(luò)技術(shù)基礎(chǔ)之上將高校內(nèi)部各個相對獨(dú)立分散的業(yè)務(wù)系統(tǒng)有效的集成在一起��,有效的解決了信息孤島的問題,實現(xiàn)了數(shù)據(jù)共享,提高了高校整體管理水平和綜合實力����,有助于學(xué)模式和觀念的轉(zhuǎn)變�,更好的輔助學(xué)校領(lǐng)導(dǎo)決策�����。
參考文獻(xiàn)
[1]張應(yīng)祥.高校數(shù)字校園信息標(biāo)準(zhǔn)設(shè)計研究[J].中國教育信息化�,2010(05):22-24.
[2]殷娜.數(shù)字化校園統(tǒng)一身份認(rèn)證平臺的構(gòu)建[J].計算機(jī)技術(shù)與發(fā)展����,2014(08).
[3]任婕.統(tǒng)一認(rèn)證在校園門戶網(wǎng)站上的應(yīng)用[J].江蘇教育學(xué)院學(xué)報:自然科學(xué)版��,2010,26(12):63-67.
篇8
中圖分類號:TP393.07文獻(xiàn)標(biāo)識碼:A
文章編號:1004-373X(2010)04-122-03
Research on Integration of Library Management System
Based on Campus Portal Platform
DAI Ying
(Network Information Center,Chang′an University,Xi′an,710064,China)
Abstract:Integrated library management system is focus of the work in building a digital campus,which is based on the portal platform and included uniform identity authentication integration,data integration and information sharing portal integration.Three major areas of the integrated objectives and methods are described,and the realization of practical technology solutions to access remote digital resources for which enable the staff to live in out of school through uniform identity authentication to visit it,which provide a reference for someone who engaged in this domain research work in other colleges and universities.
Keywords:campus portal platform;library management system;uniform identity authentication;integrated information portal;sharing of data integration;remote digital resource
0 引 言
校園門戶平臺是基于計算機(jī)網(wǎng)絡(luò)技術(shù)的一種管理平臺,它以一種全新的信息服務(wù)形式向高校內(nèi)各種不同類型的群體提供個性化的服務(wù)���。它將學(xué)校從環(huán)境(包括網(wǎng)絡(luò)�、設(shè)備���、教室等)��、資源(諸如圖書���、講義�、課件等)到活動(包括教、學(xué)、管理��、服務(wù)���、辦公等)逐步數(shù)字化,形成一個數(shù)字空間,通過設(shè)立統(tǒng)一的用戶管理��、統(tǒng)一的資源管理及統(tǒng)一的權(quán)限控制,學(xué)校建設(shè)成一個超越時間���、空間的數(shù)字化校園[1]�。
高校圖書館將為高校教學(xué)、科研提供文獻(xiàn)信息保障的學(xué)術(shù)性機(jī)構(gòu),在高校和社會上占有重要地位,尤其在數(shù)字化校園建設(shè)蓬勃發(fā)展的今天,圖書館以豐富的文獻(xiàn)信息資源、多樣的載體服務(wù)形式,進(jìn)一步奠定和加強(qiáng)了其作為學(xué)校信息資源中心的地位[2]�����。因此,基于校園門戶平臺圖書館管理系統(tǒng)的集成工作成為當(dāng)前數(shù)字化校園建設(shè)工作中的重要組成部分�����。在此針對我校圖書館管理系統(tǒng)在門戶平臺中的集成與功能實現(xiàn)方面進(jìn)行相關(guān)的研究與探索,希望能對大家有所啟示�。
1 我校圖書館管理系統(tǒng)概述以及其集成工作的必要性
我校圖書館文獻(xiàn)資源豐富����、載體形式多樣、專業(yè)特色明顯,除擁有大量館藏圖書���、期刊合訂本����、中外文現(xiàn)刊外,還擁有超星����、北大方正等20多萬種電子圖書,同時還提供給讀者萬方數(shù)據(jù)資源、中國期刊網(wǎng)��、中文科技期刊數(shù)據(jù)庫��、EI(工程索引)���、UMI(美國博碩士論文全文數(shù)據(jù)庫)��、ASCE(美國土木工程師協(xié)會數(shù)據(jù)庫)��、OSA(劍橋科學(xué)文摘)等20種國內(nèi)外著名中外文數(shù)據(jù)庫系統(tǒng)。
圖書館管理系統(tǒng)架構(gòu)為B/S+C/S結(jié)構(gòu),其操作系統(tǒng)版本為Linux AS 4.0,數(shù)據(jù)庫版本為Oracle 9.2.0.4,業(yè)務(wù)系統(tǒng)開發(fā)語言:B/S部分為 PHP,C/S部分為 VB和VC,其Web網(wǎng)絡(luò)環(huán)境基于校園網(wǎng),數(shù)據(jù)庫網(wǎng)絡(luò)環(huán)境為圖書館內(nèi)網(wǎng)。由于其Web網(wǎng)絡(luò)環(huán)境基于校園網(wǎng),因此外網(wǎng)用戶無法登錄該系統(tǒng)了解本人書刊借閱情況,影響其及時辦理書刊的預(yù)約��、續(xù)借等手續(xù);同時也無法進(jìn)入中外文數(shù)據(jù)庫及電子圖書資源庫享用豐富的遠(yuǎn)程數(shù)字資源,這對于居住在校園外或出差在外的教職工的工作生活造成一些困擾和不便?��;谛@門戶平臺的圖書館管理系統(tǒng)的集成研究將著手解決諸如此類的問題,以期數(shù)字化校園建設(shè)工作更好地服務(wù)于廣大教職員工�����。
2 圖書館管理系統(tǒng)集成內(nèi)容
基于門戶平臺的圖書館管理系統(tǒng)集成包括統(tǒng)一身份認(rèn)證集成���、共享數(shù)據(jù)集成和信息門戶集成三部分�。
(1) 統(tǒng)一身份認(rèn)證集成����。通過確定統(tǒng)一身份認(rèn)證系統(tǒng)的用戶權(quán)威身份信息,建立起統(tǒng)一的認(rèn)證平臺,實現(xiàn)圖書館系統(tǒng)嵌入學(xué)校信息門戶中,通過單點登錄直接進(jìn)入。屆時用戶通過統(tǒng)一身份認(rèn)證帳號(校內(nèi)教職工工資編號/學(xué)生學(xué)號)登錄信息門戶后,無需輸入圖書館系統(tǒng)帳號、密碼便可直接進(jìn)入圖書館系統(tǒng)進(jìn)行相關(guān)業(yè)務(wù)系統(tǒng)的使用�。有效避免了用戶輸入不同訪問網(wǎng)址,記憶不同用戶名及密碼所帶來的不便和困擾[3]。
(2) 共享數(shù)據(jù)集成����。共享數(shù)據(jù)集成是圖書館系統(tǒng)集成的核心所在,其集成目標(biāo)為:實現(xiàn)公共數(shù)據(jù)庫自動從圖書館系統(tǒng)中抽取相關(guān)個人信息,并通過數(shù)據(jù)集成工具集成到公共數(shù)據(jù)庫中,使公共數(shù)據(jù)庫平臺成為全校范圍內(nèi)惟一全面的數(shù)據(jù)源;數(shù)據(jù)集成后,提供個人圖書館信息門戶上的展現(xiàn)或供其他業(yè)務(wù)部門使用[4]���。如圖1所示。
圖1 共享數(shù)據(jù)集成過程圖示
圖書館系統(tǒng)開放公共數(shù)據(jù)庫需要的源視圖讀權(quán)限,集成方式在抽取范圍上采用增量抽取;周期上采用定時同步,周期為一天;其采集方式通過數(shù)據(jù)集成平臺實現(xiàn)[5]�。
(3) 信息門戶集成?����;趫D書館系統(tǒng)實現(xiàn)統(tǒng)一身份認(rèn)證及共享數(shù)據(jù)集成的基礎(chǔ)上,通過信息門戶為廣大師生提供統(tǒng)一的�����、個性化的圖書信息查詢服務(wù)。其集成方式通過開發(fā)單獨(dú)的Portlet在信息門戶上直接展現(xiàn)個人圖書借閱情況,預(yù)約圖書流轉(zhuǎn)信息以及圖書超期預(yù)警與罰款通知等[6]��。
信息門戶集成的優(yōu)點集中體現(xiàn)在基于共享數(shù)據(jù)集成實現(xiàn)的基礎(chǔ)上��。因此它可以不完全依賴于圖書館系統(tǒng)本身,一旦圖書館數(shù)據(jù)庫發(fā)生故障,門戶上依然能夠滿足用戶個人圖書館歷史記錄的查詢需求,將其所帶來的不利因素降到最低點��。個人圖書借閱信息展示截圖如圖2所示。
圖2 個人圖書借閱信息展示截圖
3 統(tǒng)一身份認(rèn)證及校內(nèi)遠(yuǎn)程數(shù)字資源訪問功能實現(xiàn)方式
3.1 統(tǒng)一身份認(rèn)證實現(xiàn)方式
圖書館管理系統(tǒng)Web查詢部分是基于PHP開發(fā)的,因此集成方式采用“PHP客戶端”集成方式。由開發(fā)人員提供PHP認(rèn)證頭,圖書館管理系統(tǒng)據(jù)此修改其登錄模塊�。認(rèn)證頭程序主要校驗Cookie,判斷當(dāng)前用戶是否已通過統(tǒng)一身份認(rèn)證并在有效的會話期內(nèi),如通過驗證,則實現(xiàn)單點登錄[7]。單點登錄后,圖書館管理系統(tǒng)從統(tǒng)一身份認(rèn)證中獲取用戶的基本信息(登錄名)�。為保證用戶登錄號碼與統(tǒng)一身份認(rèn)證平臺中的用戶一致,需要提供給圖書館系統(tǒng)認(rèn)證程序接口,其具體實現(xiàn)步驟如下:
(1) 拷貝圖書館系統(tǒng)集成開發(fā)包,解開其中有關(guān)統(tǒng)一身份認(rèn)證接口的相關(guān)程序,并放到相應(yīng)的目錄下;
(2) 配置客戶端參數(shù),更新client.properties中的參數(shù):
ids.UserName=connetusername
ids.Password=connectpassword
IdentityManager.Proxy=IdentityManager:tcp-p 58000-h yourserverip
(3) 配置PHP
修改php.ini ,加入如下配置:
extensiondir = /***/***/lib
extension=libIdstarPhp.so
(4) 啟動 Apache
在啟動 apache前需要設(shè)置庫的加載路徑,如下:
export LDLIBRARYPATH=/***/***/lib
apachectl start
3.2 圖書館校內(nèi)遠(yuǎn)程數(shù)字資源訪問功能實現(xiàn)
圖書館校內(nèi)遠(yuǎn)程資源訪問功能實現(xiàn)是建立在統(tǒng)一身份認(rèn)證集成基礎(chǔ)上,屬統(tǒng)一身份認(rèn)證集成的一部分�。長期以來居住在校外或出差在外的外網(wǎng)用戶無法在家中或外地遠(yuǎn)程訪問學(xué)校圖書館中外文數(shù)據(jù)庫及電子圖書資源庫等校內(nèi)遠(yuǎn)程數(shù)字資源,給工作����、生活帶來一定程度的不便,同時在某種程度上也造成資源的閑置與浪費(fèi)����。校園門戶系統(tǒng)的統(tǒng)一身份認(rèn)證集成和訪問設(shè)置則實現(xiàn)了這部分用戶對于圖書館校內(nèi)遠(yuǎn)程數(shù)字資源的訪問[8,9]���。圖書館校內(nèi)資源遠(yuǎn)程訪問流程圖如圖3所示�����。
圖3 圖書館校內(nèi)資源遠(yuǎn)程訪問流程圖
用戶通過配置服務(wù)器地址在校外訪問門戶網(wǎng)站,通過統(tǒng)一身份認(rèn)證后進(jìn)入信息門戶展示平臺,訪問校內(nèi)資源;信息門戶平臺上設(shè)置中外文數(shù)據(jù)庫及電子圖書資源庫等校內(nèi)遠(yuǎn)程數(shù)字資源欄目,并提供完成遠(yuǎn)程訪問所需要的批處理腳本文件,用戶解壓下載下來的批處理文件,雙擊其中的enableProxy.bat文件,完成該地址的設(shè)置;服務(wù)器根據(jù)用戶組的不同,分配相應(yīng)的校內(nèi)地址,使用戶直接進(jìn)入校內(nèi)遠(yuǎn)程訪問資源欄目,點擊訪問所需的校內(nèi)遠(yuǎn)程數(shù)字資源;雙擊下載的disenableProxy.bat,即可取消該地址的設(shè)置,正常訪問門戶系統(tǒng)[10]�����。
4 結(jié) 語
基于校園門戶平臺圖書館管理系統(tǒng)的集成研究,在實現(xiàn)用戶統(tǒng)一身份認(rèn)證的基礎(chǔ)上,方便了教職工及學(xué)生對圖書館管理系統(tǒng)的使用,尤其是圖書館遠(yuǎn)程數(shù)字資源訪問功能的實現(xiàn),給居住或出差在外的教職工的工作、學(xué)習(xí)���、生活帶來很大的便利�。同時,還考慮在門戶平臺上增加若干控件,方便用戶自行訂制相關(guān)個性化服務(wù),如將有關(guān)新書報道�、預(yù)約圖書、欠費(fèi)預(yù)警及圖書超期罰款等信息以短消息形式即時在個人門戶上顯示,以期更好地服務(wù)于廣大師生�����。
參考文獻(xiàn)
[1]林三洲.數(shù)字化校園建設(shè)漫談[J].湖北經(jīng)濟(jì)學(xué)院學(xué)報:人文社會科學(xué)版,2007,4(3):153-154.
[2]沈煜,裴艷慧.信息時代高校圖書館的作用和發(fā)展[J].晉圖學(xué)刊,2007(3):57-59.
[3]賀超波,陳啟買,歐陽輝.數(shù)字化校園門戶平臺統(tǒng)一身份認(rèn)證的實現(xiàn)[J].現(xiàn)代計算機(jī),2008(12):25-28.
[4]孫月洪.數(shù)據(jù)交換在數(shù)字化校園中的作用與實現(xiàn)[J].辦公自動化,2009(1):35-37.
[5]鄧英.數(shù)字化校園建設(shè)中公共數(shù)據(jù)整合方案研究[J].電腦知識與技術(shù),2008(2):589-591.
[6]宮衛(wèi)濤,馬自衛(wèi).數(shù)字圖書館門戶集成技術(shù)及其實現(xiàn)[J].現(xiàn)代圖書情報技術(shù),2007(11): 23-27.
[7]張沖,武超,楊要科.校園網(wǎng)統(tǒng)身份認(rèn)證系統(tǒng)的設(shè)計與實現(xiàn)[J].中原工學(xué)院學(xué)報,2008,19(4):68-71.
篇9
0引言
由于網(wǎng)絡(luò)環(huán)境的特殊性�����,每一個投人使用的網(wǎng)絡(luò)應(yīng)用系統(tǒng)都不可避免地面臨安全的威脅�����,因此�,必須采取相應(yīng)的安全措施。國內(nèi)在信息安全方面已做了很多相關(guān)研究�����,但大多是單獨(dú)考慮資源保護(hù)或身份認(rèn)證等某一方面��,而對如何構(gòu)建一個相對完善且通用的網(wǎng)絡(luò)應(yīng)用系統(tǒng)信息安全解決方案研究不多���。本文在ISO提出的安全服務(wù)框架下�,融合了數(shù)據(jù)加密�、身份認(rèn)證和訪問控制三種安全技術(shù)和機(jī)制��,并充分考慮了系統(tǒng)安全性需求與可用性�����、成本等特性之間的平衡���,提出了一個以信息資源傳輸和存儲安全保護(hù)��、身份認(rèn)證安全管理和資源訪問安全控制為基本要素的網(wǎng)絡(luò)應(yīng)用系統(tǒng)信息安全模型��,為加強(qiáng)中小型企業(yè)網(wǎng)絡(luò)應(yīng)用系統(tǒng)安全性提供了一個比較簡單可行的方案。
1網(wǎng)絡(luò)應(yīng)用系統(tǒng)信息安全模型設(shè)計
1.1信息安全模型總體設(shè)想
本文提出的網(wǎng)絡(luò)應(yīng)用系統(tǒng)信息安全模型主要基于三個要素:信息資源傳輸和存儲安全保護(hù),身份認(rèn)證安全管理以及用戶對資源訪問的安全控制��。整個信息安全模型如圖1所示��。模型利用過濾器來區(qū)分敏感數(shù)據(jù)與非敏感數(shù)據(jù)�����,對于非敏感數(shù)據(jù)直接以明文形式進(jìn)人信息資源層處理���,而對敏感數(shù)據(jù)則采用加密傳輸通道進(jìn)行傳輸,且需要經(jīng)過身份認(rèn)證層與訪問控制層的控制后才能進(jìn)人信息資源層�。這樣的設(shè)計在保證了信息傳輸和存儲較高的安全性的同時��,減少了身份認(rèn)證層與訪問控制層的系統(tǒng)開銷����,大大提高了系統(tǒng)的運(yùn)行效率����。而在信息資源層����,則是通過備份機(jī)制、事務(wù)日志和使用常用加密算法對數(shù)據(jù)庫中數(shù)據(jù)進(jìn)行處理�����,來保障信息傳輸和存儲的安全。
1.2身份認(rèn)證層的設(shè)計
身份認(rèn)證層主要包括兩部分:用戶身份認(rèn)證和用戶注冊信息管理,采用了基于改進(jìn)的挑戰(zhàn)/應(yīng)答式動態(tài)口令認(rèn)證機(jī)制�。
目前使用比較普遍的是挑戰(zhàn)/應(yīng)答式動態(tài)口令認(rèn)證機(jī)制����,每次認(rèn)證時服務(wù)器端都給客戶端發(fā)送一個不同的“挑戰(zhàn)”字串��,客戶端收到這個字串后���,作出相應(yīng)的”應(yīng)答”���。但是�����,標(biāo)準(zhǔn)的挑戰(zhàn)/應(yīng)答動態(tài)口令認(rèn)證機(jī)制具有攻擊者截獲隨機(jī)數(shù)從而假冒服務(wù)器和用戶��,以及口令以明文形式存放在數(shù)據(jù)庫中易受攻擊兩個缺點�����。在本模型采用的改進(jìn)的挑戰(zhàn)/應(yīng)答式動態(tài)口令認(rèn)證機(jī)制中,通過1.4節(jié)中論述的敏感數(shù)據(jù)加密通道對隨機(jī)數(shù)進(jìn)行加密傳輸解決了上述第一個問題;通過在客戶端將用戶口令經(jīng)M DS算法散列運(yùn)算并保存在服務(wù)器端數(shù)據(jù)庫解決了上述第二個問題,使得服務(wù)器在認(rèn)證時只需要比對客戶端處理后傳來的加密字符串即可�����。方案的具體流程如下:
1)服務(wù)器端口令的保存當(dāng)用戶在服務(wù)器端錄人注冊信息時,將用戶的密碼進(jìn)行K次M DS散列運(yùn)算放在數(shù)據(jù)庫中���。
2)用戶請求登錄服務(wù)器端開始執(zhí)行口令驗證:當(dāng)用戶請求登錄服務(wù)器時�����,Web服務(wù)器在送出登錄頁面的同時產(chǎn)生一個隨機(jī)數(shù)并將其通過敏感數(shù)據(jù)加密傳輸通道發(fā)給客戶端。
3)客戶端M DS口令的生成客戶端首先重復(fù)調(diào)用與服務(wù)器端同樣的MDS運(yùn)算K次�,得到與保存在服務(wù)器端數(shù)據(jù)庫中的口令一致的消息摘要��。然后�����,將從服務(wù)器傳來的隨機(jī)數(shù)與該口令相加后再調(diào)用客戶端的M DS散列運(yùn)算函數(shù),將結(jié)果(M DS口令)通過敏感數(shù)據(jù)加密傳輸通道傳送給服務(wù)器�����。
4)服務(wù)器端對MDS口令的驗證服務(wù)器端收到客戶端傳來的用戶名和MDS口令后��,通過查詢數(shù)據(jù)庫����,將已存儲的經(jīng)過K次M DS散列運(yùn)算的口令與隨機(jī)數(shù)相加后同樣進(jìn)行M DS散列運(yùn)算�����,并比較兩個結(jié)果是否相同����,如相同則通過驗證����,否則拒絕請求��。整個用戶口令的生成和驗證過程如圖2所示。
1.3基于RBAC的訪問控制層的設(shè)計
訪問控制層主要包括兩部分:權(quán)限驗證與授權(quán)和資源限制訪問����,采用了基于角色的訪問控制機(jī)制��。在RBAC中引人角色的概念主要是為了分離用戶和訪間權(quán)限的直接聯(lián)系�,根據(jù)組織中不同崗位及其職能����,一個角色可以擁有多項權(quán)限��,可以被賦予多個用戶;而一個權(quán)限也可以分配給多個角色�。在這里�����,約束機(jī)制對角色和權(quán)限分配來說非常重要����,本模型設(shè)計的約束機(jī)制主要包括以下幾方面:一是限制一個角色可以支持的最大用戶容量����。如超級管理員這個角色對于應(yīng)用系統(tǒng)非常重要,只允許授權(quán)給一個用戶���,該角色的用戶容量就是1���。二是設(shè)置互斥角色���。即不允許將互相排斥的角色授權(quán)給同一個用戶�。如客戶類的角色和管理員類的角色是互斥的。三是設(shè)置互斥功能權(quán)限。即不允許將互相排斥的功能權(quán)限授權(quán)給同一個角色�。如客戶類角色查看自己銀行賬戶余額信息的權(quán)限與修改自己賬戶余額的權(quán)限就是互斥的�����。
數(shù)據(jù)庫結(jié)構(gòu)設(shè)計是實現(xiàn)RBAC的重要環(huán)節(jié)��,良好的數(shù)據(jù)庫結(jié)構(gòu)設(shè)計本身就可以表述RBAC的要求��。具體設(shè)計如下:
1)用戶信息表(User_info)保存用戶基本信息�����。其字段有用戶ID ( User ID )、用戶名稱(Username )���、密碼(Passw )���、用戶類型( Kind )。定義表中的Kind數(shù)據(jù)項與Role表中Kind數(shù)據(jù)項具有相同的形式�����。將用戶進(jìn)行分類后,當(dāng)分配給用戶角色時可以指定用戶只能被分派到與其Kind屬性相同的角色,這樣就可以實現(xiàn)角色的互斥約束����。
2)角色信息表(Role )���、保存各個等級的角色定義信息����。其字段有角色I(xiàn)D ( Role_ID )����、角色名稱(Rolename )�����、角色種類( Kind)和角色描述(Role_ Desc ) o Kind數(shù)據(jù)項代表指定角色集合中的類別�。
3)用戶/角色關(guān)系信息表(User_Role)保存用戶和角色的對應(yīng)關(guān)系,其字段有用戶ID和角色I(xiàn)D�。當(dāng)向User_Role表中添加數(shù)據(jù)即給用戶分配角色時��,要求User_ info表中要分配角色的用戶數(shù)據(jù)元組中的Kind數(shù)據(jù)項與Role表中相應(yīng)角色的元組Kind數(shù)據(jù)項相同����,以實現(xiàn)一定尺度上的角色互斥�����,避免用戶被賦予兩個不能同時擁有的角色類型。
4)權(quán)限信息表(Permission)保存系統(tǒng)中規(guī)定的對系統(tǒng)信息資源所有操作權(quán)限集合��。其字段有權(quán)限ID ( Per_ID )�,操作許可(Per)���,資源ID( Pro_ID)和權(quán)限描述(Per Desc )�����。
5)角色/權(quán)限信息表(Role_ Per)保存各個角色應(yīng)擁有權(quán)限的集合����。其字段有角色I(xiàn)D和權(quán)限ID���。
6)系統(tǒng)信息資源秘密級別表(SecretLevel)保存規(guī)定的系統(tǒng)信息資源的秘密級別��。其字段有資源ID,密級ID ( SecrLev_ID)和密級信息描述(Secr_Desc )�。在客戶端和服務(wù)器端傳輸數(shù)據(jù)和存儲的過程中,通過查詢該表可以判斷哪些信息資源為敏感數(shù)據(jù)�����,從而決定對其實施相應(yīng)的安全技術(shù)和機(jī)制。
7)角色繼承關(guān)系表(Role_ Heir)存放表述各種角色之間繼承關(guān)系的信息��。其字段有角色I(xiàn)D,被繼承角色I(xiàn)D ( H_Role_ID )���。角色繼承關(guān)系可以是一對一�����,一對多或多對多的,通過遍歷整個角色繼承關(guān)系表�����,就可以知道所有的角色繼承關(guān)系。
8)權(quán)限互斤表(MutexPer)保存表述角色對應(yīng)權(quán)限互斥關(guān)系的信息�,其字段有權(quán)限ID和互斥權(quán)限ID。
1.4敏感數(shù)據(jù)加密傳輸通道的設(shè)計
設(shè)計敏感數(shù)據(jù)加密傳輸通道的目的是保障敏感信息在傳輸過程中的保密性與完整性�。針對中小型企業(yè)網(wǎng)絡(luò)應(yīng)用系統(tǒng)的特點�����,在充分對比各種數(shù)據(jù)加密傳輸解決方案的基礎(chǔ)上�����,從成本和效果兩方面出發(fā)��,我們選擇3DES加密算法對敏感數(shù)據(jù)進(jìn)行加密���。同時又結(jié)合了RSA算法對密鑰進(jìn)行傳輸�����,從而解決了對稱加密算法缺乏非對稱加密算法}/}/公鑰的安全性這個問題。具體工作流程如下:
1)服務(wù)器端由RSA加密算法生成公鑰KSpub和私鑰KSpriv;
2)服務(wù)器端將公鑰KSpub傳送給客戶端;
3)客戶端接收公鑰KSpub,然后由3DES加密算法生成對稱密鑰Ksym����,用KSpub加密Ksym ;
4)客戶端將加密后的Ksym傳送給服務(wù)器端;
5)服務(wù)器端用KSpriv解密得到Ksym ;
6)敏感數(shù)據(jù)加密傳輸通道建立成功��,服務(wù)器端和客戶端以Ksym作為密鑰對敏感數(shù)據(jù)加/解密并傳輸。
1.5安全審計部分的設(shè)計
篇10
中圖分類號: TN99?34 文獻(xiàn)標(biāo)識碼: A 文章編號: 1004?373X(2016)24?0022?04
Optimization improvement of key technology of cloud electronic identity management and authentication system
WANG Pengcheng, XIE Kunpeng
(Henan Institute of Finance�����, Zhengzhou 450000, China)
Abstract: There are high risk�����, low efficiency of database storage��, high authentication error rate in the current identity management authentication technology. Therefore���, a cloud electronic authentication management system is proposed. This system is mainly composed of authentication server, system server and cloud access server. The control agent module in the authentication server intercepts the data information that the user requests for authentication by resource server, and sends the data information to the certification service module. When the user enters into the information database����, the files required by the user are encrypted and decrypted by the RSA system server module. The identity authentication relies on the user′s private key and authentication token. The data information is uploaded to the cloud access server for storage and transmission to complete the entire cloud electronic identity management and authentication. Partial functions����, flow charts of file encryption and decryption in RSA module, as well as the power operation process of large numbers multiplication and large mathematical model in the verification process of RSA module are given in this paper. The experimental results shows that proposed identity management and authentication system has low energy consumption�, high efficiency and high precision of data processing.
Keywords: identity management; identity authentication����; RSA module��; security
0 引 言
隨著電子信息技術(shù)的不斷發(fā)展�,公共網(wǎng)絡(luò)服務(wù)、事務(wù)查詢等功能越來越多地出現(xiàn)在電子信息系統(tǒng)上��。它可以為跨互聯(lián)網(wǎng)的用戶們提供安全快速的身份認(rèn)證服務(wù)��。電子信息系統(tǒng)給人們的生活帶來便捷,但隨之也存在電子信息技術(shù)安全性方面的問題[1?3]。其中的重要部分便是身份安全問題��。構(gòu)建一個安全性優(yōu)良的電子身份信息管理和認(rèn)證系統(tǒng)是目前相關(guān)專業(yè)人員的重點研究方向[4?6]��。
目前的身份驗證方法都存在一些不足��。如文獻(xiàn)[7]提出了OPEN ID身份信息處理系統(tǒng),具體過程為讓用戶事先在網(wǎng)站上注冊個人信息����,并且任何網(wǎng)站都可以使用OPEN ID進(jìn)行登錄���,對用戶身份進(jìn)行認(rèn)證���。因為網(wǎng)站質(zhì)量參差不齊����,導(dǎo)致OPEN ID技術(shù)不穩(wěn)定,安全風(fēng)險也很大。文獻(xiàn)[8]提出單點登錄法����,當(dāng)用戶訪問任意的服務(wù)器,只要登錄過一次,通過其中的安全認(rèn)證�,那么下次用戶再訪問其他資源的時候則無需再次認(rèn)證登錄。其缺點為安全性能太低,中央數(shù)據(jù)庫的管理代價較高���。還會產(chǎn)生第三方服務(wù)器跨域問題。文獻(xiàn)[9]采用了OITF聯(lián)合身份管理系統(tǒng)��,這種管理系統(tǒng)可以為多個應(yīng)用系統(tǒng)進(jìn)行身份認(rèn)證�����,實現(xiàn)了跨域的單點登錄與身份管理���。但由于身份安全級別的不同����,安全認(rèn)證的需求也不同,在多個應(yīng)用系統(tǒng)中���,要想使用統(tǒng)一的認(rèn)證體系需要大量的開銷�,極大地提高了成本���。為了解決以上方法中存在的問題,本文設(shè)計了一種云電子身份管理認(rèn)證系統(tǒng)��。
1 云電子身份管理與認(rèn)證系統(tǒng)設(shè)計
1.1 系統(tǒng)結(jié)構(gòu)
云電子身份管理認(rèn)證系統(tǒng)主要將數(shù)據(jù)庫中的用戶個人信息與各個應(yīng)用系統(tǒng)的數(shù)據(jù)通過身份認(rèn)證系統(tǒng)�����,來進(jìn)行統(tǒng)一的管理�、認(rèn)證���。首先����,認(rèn)證服務(wù)器將會對用戶的身份進(jìn)行確認(rèn)�����,認(rèn)證服務(wù)器中的控制模塊截取用戶對資源服務(wù)器請求認(rèn)證的數(shù)據(jù)信息���,并將數(shù)據(jù)信息發(fā)送到認(rèn)證服務(wù)模塊進(jìn)行用戶身份認(rèn)證�。用戶進(jìn)入到信息數(shù)據(jù)庫中后,需要通過系統(tǒng)服務(wù)器中的核心模塊����,也就是RSA模塊對用戶所需文件進(jìn)行加密解密處理,最終將數(shù)據(jù)信息上傳到云訪問服務(wù)器中����,以完成整個電子身份認(rèn)證管理過程��。云電子身份管理與認(rèn)證系統(tǒng)結(jié)構(gòu)如圖1所示��。
(1) 認(rèn)證服務(wù)器。認(rèn)證服務(wù)器含有控制模塊與認(rèn)證服務(wù)模塊���。其中��,控制模塊截取用戶對資源服務(wù)器請求認(rèn)證的數(shù)據(jù)信息,并將數(shù)據(jù)信息發(fā)送到認(rèn)證服務(wù)模塊進(jìn)行身份認(rèn)證���。認(rèn)證服務(wù)器為身份認(rèn)證系統(tǒng)與認(rèn)證服務(wù)模塊之間必不可少的一環(huán)。為了在服務(wù)器交換數(shù)據(jù)信息時,用戶數(shù)據(jù)和認(rèn)證服務(wù)器保持完全分離�,需要使用控制模塊��,它可以保護(hù)用戶個人信息的安全��。而認(rèn)證服務(wù)器在客戶端完成相應(yīng)的身份信息認(rèn)證工作��。在后臺的信息數(shù)據(jù)庫里存儲了大量的用戶個人信息數(shù)據(jù)�。為了保護(hù)用戶的個人信息安全�����,用戶與認(rèn)證服務(wù)器各擁有一個RSA密鑰�,RSA密鑰可以實現(xiàn)用戶與客戶端的互相驗證�����,用戶可以根據(jù)認(rèn)證服務(wù)器的公鑰信息判斷驗證服務(wù)器身份是否合法�。
(2) 認(rèn)證客戶端���。在每個公共網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)的未認(rèn)證的用戶主機(jī)里都有一個認(rèn)證客戶端,其是身份驗證系統(tǒng)的操作界面�。
(3) 認(rèn)證令牌����。認(rèn)證令牌是在進(jìn)行身份認(rèn)證時隨機(jī)生成的動態(tài)數(shù)字����,經(jīng)過函數(shù)計算能夠得到動態(tài)口令��。身份驗證系統(tǒng)會將得到的動態(tài)口令與用戶的ID信息進(jìn)行對比查詢�����,提交到認(rèn)證模塊的服務(wù)器中�����,以此來驗證用戶的身份。在身份驗證系統(tǒng)中����,每一位用戶都會得到一個認(rèn)證令牌��。
1.2 系統(tǒng)服務(wù)器結(jié)構(gòu)設(shè)計
認(rèn)證模塊����、系統(tǒng)管理模塊��、用戶模塊���、RSA管理模塊以及數(shù)據(jù)庫管理模塊組成了完整的系統(tǒng)服務(wù)器。系統(tǒng)服務(wù)器依靠模塊化的部件����,確保身份認(rèn)證系統(tǒng)更具有擴(kuò)展性��、安全性����。系統(tǒng)服務(wù)器構(gòu)造如圖2所示�����。
整個系統(tǒng)服務(wù)器的基礎(chǔ)模塊為RSA模塊�����,其可進(jìn)行RSA加密或解密�����,實現(xiàn)大數(shù)運(yùn)算����,根據(jù)其他模塊的需要來進(jìn)行計劃調(diào)度。同樣可以進(jìn)行計劃調(diào)度的還有數(shù)據(jù)庫管理模塊�,它對用戶數(shù)據(jù)進(jìn)行處理��。用戶進(jìn)入到信息數(shù)據(jù)庫中后,通過系統(tǒng)服務(wù)器中的RSA模塊�,對用戶所需文件進(jìn)行加密解密處理,依靠用戶私鑰和認(rèn)證令牌實現(xiàn)身份認(rèn)證����,將數(shù)據(jù)信息上傳到云訪問服務(wù)器中進(jìn)行存儲和傳遞�����。系統(tǒng)管理模塊為身份認(rèn)證系統(tǒng)的核心,可對其他模塊進(jìn)行協(xié)調(diào)并加載服務(wù)����。
1.3 云訪問服務(wù)器
云訪問服務(wù)器給用戶提供存儲和共享數(shù)據(jù)信息,并進(jìn)行數(shù)據(jù)傳輸功能��。云訪問服務(wù)器的工作效率對于身份管理與認(rèn)證系統(tǒng)有著很大的影響�����。云訪問服務(wù)器的結(jié)構(gòu)圖如圖3所示�。
由圖3可見���,云訪問服務(wù)器分為用戶注冊、用戶登錄、添加刪除好友����、文件上傳、文件下載和文件共享6個模塊�����。依靠云系統(tǒng)的龐大容量來滿足身份認(rèn)證系統(tǒng)的擴(kuò)展需求�����。數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行加密后即可儲存在云系統(tǒng)中,進(jìn)行過加密處理的文件除了用戶本人以外�,無法被讀取����,從而保證了整個身份認(rèn)證系統(tǒng)的保密性�、安全性�����。
2 身份管理與認(rèn)證系統(tǒng)的軟件設(shè)計
2.1 RSA模塊功能設(shè)計
RSA模塊是云電子身份管理認(rèn)證系統(tǒng)的核心模塊之一,其可以運(yùn)算RSA算法���,還可以對文件進(jìn)行加密解密處理���。RSA的性能影響著系統(tǒng)的性能���,因為在身份驗證系統(tǒng)中�����,基本上所有的函數(shù)運(yùn)算都需要RSA模塊來完成。下面為RSA模塊中的部分功能函數(shù):
Clargent函數(shù)的功能為可以將大數(shù)進(jìn)行計算�����,比如基本的加減乘除、模冪與位移的運(yùn)算等����。內(nèi)存中大數(shù)的構(gòu)造即為Clargent函數(shù):
enum LIMIT{LENGTH = 0xFF}�����;
unsigned long _len��;
unsigned long _data[LENGTH]��;
其中:len是大數(shù)的總長度��,大數(shù)的最大長度即為len×32=8 192 b���,Data為總長度中每一位的具體數(shù)值。進(jìn)行運(yùn)算設(shè)計時���,將2×32作為基底��,以左邊代表低位����,右邊代表高位�����。
下列函數(shù)都與大素數(shù)相關(guān):
InitSmallPrimes代表素數(shù)測試模塊所用的初始化小素數(shù)表���;
SmallPrimeTest代表對產(chǎn)生的大數(shù)p進(jìn)行的小素數(shù)檢驗�����,檢驗通過后再對大數(shù)p進(jìn)行RabinMiller測試�;
RabinMillerTest代表對產(chǎn)生的大數(shù)p進(jìn)行RabinMiller測試���,若測試通過則認(rèn)為大數(shù)p為素數(shù);
下列是與密匙相關(guān)的一些函數(shù):
GetCommonDivisor代表獲取到兩個大數(shù)的最大公約數(shù)���;GetE代表生成私匙(n,e)���;GetD代表生成公匙(n���,d)�����;RSAEncrypt代表將數(shù)據(jù)進(jìn)行RSA加密處理�;RSADecrypt代表將數(shù)據(jù)進(jìn)行RSA解密處理����。
為了讓文件與數(shù)據(jù)的相互轉(zhuǎn)換變得更加簡單�,RSA模塊在文件加密處理時將文件作為大數(shù)來運(yùn)算���。一般文件的大小基本都比理論上大數(shù)的總長度大,所以在進(jìn)行文件轉(zhuǎn)換時需將文件分段處理���,對文件進(jìn)行分段加密處理���,最后再連接成一個完整的文件����。解密過程同加密過程完全相反�����。
下面是文件的解密流程�,如圖4所示。由圖4可知��,需進(jìn)行加密解密處理的文件共兩個,其中�����,Encode text代表將對文件進(jìn)行加密處理�;Decode text代表將對文件進(jìn)行解密處理�。
2.2 RSA模塊進(jìn)行大數(shù)乘法過程
為了實現(xiàn)大數(shù)和unsigned long類型的乘法�����,RSA模塊需要先列出一個函數(shù)式,然后依據(jù)函數(shù)式來反復(fù)調(diào)用這一模塊�����。設(shè)A為位數(shù)是m的大數(shù),設(shè)B為unsigned long類型數(shù)���,則最后大數(shù)A*B的運(yùn)算過程為:
(1) 設(shè)C0=0�,i=0
(2) 則可得Ri=Ai*B+Ci
(3) 如果 Ri>0xFFFFFFFF,Ci+1=Ri/0xFFFFFFFF���,Ri=Ri&0xFFFFFFFF
(4) 如果Ri
(5) 如果i≥m,則結(jié)束
(6) i=i+1,重復(fù)步驟2
2.3 RSA模塊進(jìn)行大數(shù)模冪運(yùn)算過程
在RSA模塊進(jìn)行電子身份認(rèn)證運(yùn)算過程中,私鑰與公鑰的值確定后,若想完成身份驗證并簽名���,無論再進(jìn)行發(fā)送還是接收都只需再運(yùn)算一次���,這種運(yùn)算的過程稱之為模冪運(yùn)算��。構(gòu)成模冪運(yùn)算的為模乘運(yùn)算�,因為在RSA模塊中����,大數(shù)位通常大于512 b�����,大數(shù)模冪的運(yùn)算量則會很大�����。若想提高運(yùn)算速度�,需要簡化模冪算法,如下為簡化的大數(shù)模冪運(yùn)算過程:
為了求得D=C15%N����,因為a*b%n=(a%n)*(b% n)%n���,那么可以得出:
C1=C*C%N=C2%N
C2=C1*C%N=C3%N
C3=C2*C2%N=C6%N
C4=C3*C%N=C7%N
C5=C4*C4%N=C14%N
C6=C5*C%N=C15%N
故可以將模冪運(yùn)算e=15分解為6個模乘運(yùn)算�。通過分析上述函數(shù)式的規(guī)律可以得出e為任意值時���,使用函數(shù)算法計算出D=Ce%N:
D=1
While e≥0
If (e非偶數(shù))
D=D*C%N
D=D*D%N
e=e-1
If (e非奇數(shù))
D=D*D%N
e=e/2
最終回到D
根據(jù)結(jié)果進(jìn)行分析得知�����,D乘C的具體時間通過檢驗e的二進(jìn)制各位數(shù)得出��,并且在檢驗過程中���,由左至右的檢測比較簡單,如下:
D=1
For i=n to 0
D=D*D%N
If e[i]=1
D=D*C%N
最終回到D
3 實驗分析
作為客戶端與服務(wù)器之間重要的數(shù)據(jù)傳輸設(shè)備��,身份認(rèn)證系統(tǒng)需要向用戶提供訪問服務(wù)。用戶是否能安全地登錄客戶端�����,對身份驗證系統(tǒng)有很高的要求�,實驗對本文設(shè)計的云電子身份管理認(rèn)證系統(tǒng)進(jìn)行測試,驗證其性能���。
3.1 測試準(zhǔn)備
在實驗中本文采用了Avalanche 測試工具�,其可模擬出大量的用戶對本文設(shè)計的身份管理與認(rèn)證系統(tǒng)進(jìn)行訪問,進(jìn)而得出具體的實驗結(jié)果�����。為了避免客戶端和身份認(rèn)證服務(wù)器在實驗身份認(rèn)證過程中讀取的數(shù)據(jù)不同��,采用Ethereal 抓包工具來抓取動態(tài)數(shù)據(jù)包�����,再對數(shù)據(jù)包進(jìn)行解析��。
3.2 測試結(jié)果
為了驗證本文提出方法的有效性����,在各種不同條件下進(jìn)行了多次測試,測試的結(jié)果如表1所示���。通過表1可以得知:當(dāng)最大并發(fā)數(shù)達(dá)到2 000�����,2 500,3 000時����,本文設(shè)計的身份管理和認(rèn)證系統(tǒng)CPU 消耗的最大值并未超過系統(tǒng)合理運(yùn)行所要求的最大限度,當(dāng)并發(fā)數(shù)達(dá)到很大的數(shù)值時,系統(tǒng)依舊可以正常運(yùn)作����;本文的身份管理和認(rèn)證系統(tǒng)對于用戶要求響應(yīng)的時間在220 ms左右����,具有較高的認(rèn)證效率;在測試過程中,當(dāng)并發(fā)數(shù)值達(dá)到很大時��,本文身份管理和認(rèn)證系統(tǒng)對于數(shù)據(jù)處理的正確率也在99%以上����。在身份認(rèn)證系統(tǒng)中,由于系統(tǒng)軟件部分的運(yùn)算速度有限�����,所以在對文件進(jìn)行讀取和加密解密的過程中,對于函數(shù)式的運(yùn)算性能要求十分苛刻����。下面對本文提出的身份認(rèn)證系統(tǒng)的文件加密解密運(yùn)算執(zhí)行時間進(jìn)行性能檢測����,結(jié)果如表2所示����。
由圖5可知,對不同大小的文件分別進(jìn)行加密和解密測試后的驗證結(jié)果顯示出文件的大小與文件加密解密的時間成正比����,并且文件加密解密的所用時間都是ms級�����,非常微小。故本文提出的身份認(rèn)證系統(tǒng)可以滿足用戶進(jìn)行高效率身份認(rèn)證的需求����。
4 結(jié) 論
本文提出一種云電子身份管理認(rèn)證系統(tǒng),系統(tǒng)主要由認(rèn)證服務(wù)器���、系統(tǒng)服務(wù)器與云訪問服務(wù)器組成��。實驗結(jié)果表明�,提出身份管理和認(rèn)證系統(tǒng)耗能低����、認(rèn)證效率高���,具有較高的數(shù)據(jù)處理精度��。
參考文獻(xiàn)
[1] 王群���,李馥娟����,錢煥延.云計算身份認(rèn)證模型研究[J].電子技術(shù)應(yīng)用��,2015����,41(2):135?138.
[2] 朱莉蓉�����,陳寧江,何佩聰���,等.基于動態(tài)信任管理的云用戶行為認(rèn)證服務(wù)系統(tǒng)[J].廣西大學(xué)學(xué)報(自然科學(xué)版)���,2015����,40(6):1485?1493.
[3] 王文清�,柴麗娜,陳萍����,等.Shibboleth與CALIS統(tǒng)一認(rèn)證云服務(wù)中心的跨域認(rèn)證集成模式[J].國家圖書館學(xué)刊,2015����,24(4):45?50.
[4] 李丙戌��,吳禮發(fā),周振吉,等.基于信任的云計算身份管理模型設(shè)計與實現(xiàn)[J].計算機(jī)科學(xué)��,2014��,41(10):144?148.
[5] 王雷,王平建�����,向繼.云存儲環(huán)境中的統(tǒng)一認(rèn)證技術(shù)[J].中國科學(xué)院大學(xué)學(xué)報�����,2015����,32(5):682?688.
[6] 葉丹.云智能生活中的身份安全[J].五金科技,2014��,42(5):82?85.
篇11
我國現(xiàn)階段的網(wǎng)上銀行指銀行通過信息網(wǎng)絡(luò)提供的金融服務(wù)。網(wǎng)上銀行支付在中國從1998年第一筆300元的訂單,到2010年的10858億元的網(wǎng)上支付交易額����,飛速發(fā)展���,正在廣泛地滲透到人們生活的方方面面�����。盡管各家銀行不斷對其網(wǎng)上銀行進(jìn)行升級�,但網(wǎng)上銀行盜詐事件仍時有發(fā)生����。盜詐背后�,筆者認(rèn)為銀行應(yīng)負(fù)主要責(zé)任�,因為網(wǎng)上銀行的身份認(rèn)證和銀行的服務(wù)意識存在問題��,其次責(zé)任是用戶的使用習(xí)慣���。
一�、網(wǎng)上銀行身份認(rèn)證設(shè)備存在的問題
1.靜態(tài)密碼技術(shù)�。銀行登錄方式分兩種�,一種是采用“卡號+密碼”的方式登錄,此類技術(shù)代表為網(wǎng)上個人銀行大眾版���,卡號��、密碼的保管非常重要,如果卡號和密碼不慎被他人取得�,他人即可通過網(wǎng)上銀行大眾版通過轉(zhuǎn)賬�、網(wǎng)上支付卡轉(zhuǎn)賬等方式竊取客戶賬戶資金���。另一種是采用“用戶名+登錄密碼”的方式登錄�,此種方式較為安全��,在安全設(shè)計上有考慮到用戶的需要�����,既滿足了用戶查詢相關(guān)信息的需要,又保證了用戶資料的安全�����,同時把查詢和支付、轉(zhuǎn)賬等業(yè)務(wù)分開�����,增加安全系數(shù)���。
2.動態(tài)口令卡��、動態(tài)口令牌、手機(jī)動態(tài)口令��。電子口令卡是指以矩陣形式印有若干字符串的卡片����,每個字符串對應(yīng)一個唯一的坐標(biāo)���。使用電子銀行口令卡會存在卡片丟失或被窺視�、拍照����、復(fù)印等非技術(shù)風(fēng)險����;動態(tài)口令牌是一種內(nèi)置電源����、密碼生成芯片和顯示屏、根據(jù)專門的算法每隔一定時間自動更新動態(tài)口令的專用硬件���。2011年1月以來�,國內(nèi)多省市發(fā)生以“E令卡網(wǎng)上銀行升級”為名�,通過手機(jī)短信和制作克隆網(wǎng)站實施詐騙的案件。手機(jī)動態(tài)口令是利用手機(jī)作為隨機(jī)密碼生成或者接受終端����,用戶在登錄應(yīng)用系統(tǒng)時候,輸入手機(jī)上的生成或者接收到的密碼不停變化的隨機(jī)密碼�����,但是手機(jī)的缺點是容易被監(jiān)聽���,被犯罪分子截取密碼�����。
3.證書用戶���。目前網(wǎng)上銀行應(yīng)用最普遍的基于PKI體系的數(shù)字簽名產(chǎn)品是USBKEY�����,它是一種USB接口的硬件設(shè)備��,內(nèi)置國密安全芯片���,有一定的存儲空間,可以存儲用戶的私鑰以及數(shù)字證書��,利用USB Key內(nèi)置的公鑰算法實現(xiàn)對用戶身份的認(rèn)證�����。第一代USBKEY產(chǎn)品解決了用戶私有信息的傳輸安全問題����,有效預(yù)防了基于釣魚網(wǎng)站的詐騙事件的發(fā)生���。但是在交換操作方面還存在隱患�,當(dāng)用戶長時間插入USBKEY時,黑客可以通過木馬截獲PIN碼����,遠(yuǎn)程控制,冒用客戶的USB Key進(jìn)行身份認(rèn)證����,發(fā)生騙簽事件。
二��、網(wǎng)上銀行身份認(rèn)證方案及防范措施
1.認(rèn)證方案���。在現(xiàn)在的三種認(rèn)證方案中�����,可以說沒有哪一種是絕對的安全�。在網(wǎng)銀發(fā)展的初期����,以市場推廣為主要訴求,以方便性和高性價比來滿足市場初期需要���,對系統(tǒng)需求和身份認(rèn)證機(jī)制的安全性放在第二位來考慮�,因此首先出現(xiàn)的是基于靜態(tài)密碼的大眾版網(wǎng)上銀行。然而隨著利用釣魚網(wǎng)站進(jìn)行詐騙事件的逐漸增多����,國內(nèi)眾多商業(yè)銀行的身份認(rèn)證產(chǎn)品開始轉(zhuǎn)向推廣更加安全的USBKEY電子簽名設(shè)備。但是隨著騙簽事件的增多���,網(wǎng)上銀行何去何從���?借鑒國內(nèi)最好的網(wǎng)上第三方支付“支付寶”的身份認(rèn)證解決方案,本人認(rèn)為在現(xiàn)階段���,網(wǎng)上銀行應(yīng)該使用USBKEY+手機(jī)短信檢驗碼的認(rèn)證方式�����,每一筆網(wǎng)上交易需要登錄密碼+支付密碼+U盾+U盾密碼+手機(jī)短信檢驗碼完成�����,非常安全��。在未來的網(wǎng)上銀行身份認(rèn)證發(fā)展中�����,可能會用到指紋液晶KEY方案�����,用指紋液晶KEY登陸網(wǎng)銀是在KEY上進(jìn)行指紋認(rèn)證以代替從電腦鍵盤輸入PIN碼��,并在KEY上顯示交易信息���,從物理上徹底杜絕黑客攻擊的途徑,從而有效防止網(wǎng)站釣魚��、遠(yuǎn)程挾持�����、信息篡改�����、騙簽等安全隱患����。
2.防范措施��。銀行應(yīng)該增強(qiáng)服務(wù)意識��,出現(xiàn)問題后�,不要總是把問題都推到用戶身上�,應(yīng)該多想想銀行本身的問題,應(yīng)該多做一些事情服務(wù)好用戶�。例如對于USB Key騙簽事件,銀行應(yīng)該在用戶進(jìn)行每一筆網(wǎng)上交易中給予適當(dāng)?shù)奶崾?��,在需要插入USB Key時�,彈出對話框提示用戶插入��,在完成交易后���,馬上彈出一個對話框����,提示用戶已經(jīng)完成交易�,請及時拔走USB Key,這樣做相信騙簽事件發(fā)生的機(jī)率會很低�。目前廣大網(wǎng)民對電子支付和網(wǎng)上銀行市場的認(rèn)知程度還很有限,銀行在對用戶進(jìn)行網(wǎng)上銀行安全的宣傳、推廣和教育上應(yīng)承擔(dān)相應(yīng)責(zé)任�����。例如本人作為工商銀行U盾客戶已經(jīng)有6年時間��,在撰寫本論文時查閱大量資料����,發(fā)現(xiàn)原來工商銀行早在2008年就已經(jīng)提供USBKEY+手機(jī)動態(tài)檢驗碼的認(rèn)證方式��,但是本人及周圍對網(wǎng)上銀行安全性要求較高的用戶都不知情�����。首先應(yīng)該選擇一種安全的支付方式����,寧愿多支付安全成本,保證資金安全��,也不選擇安全性不好的支付方式����,同時應(yīng)該增強(qiáng)網(wǎng)上支付安全意識,培養(yǎng)良好的網(wǎng)上支付習(xí)慣��。
