序論:速發(fā)表網(wǎng)結(jié)合其深厚的文秘經(jīng)驗(yàn),特別為您篩選了11篇身份認(rèn)證技術(shù)論文范文����。如果您需要更多原創(chuàng)資料�,歡迎隨時(shí)與我們的客服老師聯(lián)系,希望您能從中汲取靈感和知識(shí)!
篇1
一���、目前高校信息化建設(shè)現(xiàn)狀
隨著信息技術(shù)的發(fā)展���,各個(gè)高校都高度重視信息化建設(shè)工作,“數(shù)字校園”即是將信息技術(shù)運(yùn)用于教育改革過程形成的最新研究成果�。在數(shù)字校園中,學(xué)校針對(duì)各種需求建設(shè)應(yīng)用系統(tǒng)�����,力圖通過信息化來整合機(jī)構(gòu)內(nèi)的各種資源�����。但在實(shí)際信息化建設(shè)過程中���,由于前期缺少統(tǒng)一規(guī)劃���,并且高校系統(tǒng)軟件很少有做的很全或很專業(yè)的公司,基本上是學(xué)校各個(gè)部門各自為政���,各自購買建設(shè)自己的信息系統(tǒng)��。如教務(wù)處購買自己的教學(xué)管理系統(tǒng)�����,學(xué)生處購買單獨(dú)的學(xué)生綜合管理系統(tǒng)�����,圖書館有自己的借還書管理系統(tǒng)�����。
在多系統(tǒng)并存的情況下���,校園網(wǎng)內(nèi)每個(gè)用戶擁有多個(gè)密碼��,用戶需要逐一登錄自己所要使用的應(yīng)用系統(tǒng)����,這給用戶造成了很大的不便�,安全性存在嚴(yán)重隱患。同時(shí)��,用戶的信息分散存儲(chǔ)于各個(gè)應(yīng)用系統(tǒng)中����,這不僅為用戶的正常使用也為應(yīng)用系統(tǒng)的管理和維護(hù)增加了很大的麻煩,工作效率重復(fù)低下����。為了解決這些問題,需要在多應(yīng)用系統(tǒng)并存的情況下���,實(shí)現(xiàn)應(yīng)用系統(tǒng)間的用戶統(tǒng)一認(rèn)證和信息共享����。
二����、統(tǒng)一身份認(rèn)證在高校信息化建設(shè)中的重要作用
網(wǎng)絡(luò)信息系統(tǒng)的統(tǒng)一認(rèn)證技術(shù)已經(jīng)相當(dāng)成熟,從門戶網(wǎng)站(如新浪)到企業(yè)內(nèi)部網(wǎng)(如平安保險(xiǎn)公司)都對(duì)原有的系統(tǒng)進(jìn)行改造升級(jí)�����,使得不同歷史時(shí)期購進(jìn)的信息系統(tǒng)能夠整合起來�,進(jìn)行統(tǒng)一認(rèn)證,降低了管理成本同時(shí)又提高了信息系統(tǒng)的安全性����,對(duì)用戶來說也解決了多賬戶多密碼難于記憶的問題��。
目前��,各大高校也在整合自己的網(wǎng)上資源��,把各個(gè)獨(dú)立信息系統(tǒng)的認(rèn)證統(tǒng)一起來�����,實(shí)現(xiàn)統(tǒng)一身份認(rèn)證�,通過統(tǒng)一規(guī)劃整合認(rèn)證后的校園信息系統(tǒng)最大限度的減少用戶的帳號(hào)數(shù)��,簡化登錄過程��,實(shí)現(xiàn)一次登錄多點(diǎn)使用�����,實(shí)行統(tǒng)一管理�,方便用戶的同時(shí)也極大的提高了信息系統(tǒng)的安全性。校園網(wǎng)內(nèi)用戶只要登錄一次就可以訪問其它的網(wǎng)絡(luò)資源�����?�?梢哉f隨著高校信息化建設(shè)的發(fā)展,統(tǒng)一身份認(rèn)證是重中之重����,信息建設(shè)部門應(yīng)做好統(tǒng)一規(guī)劃��,后期的軟件開發(fā)應(yīng)用必須和統(tǒng)一身份認(rèn)證平臺(tái)對(duì)接���。
三��、基于LDAP的統(tǒng)一身份認(rèn)證的建設(shè)與特點(diǎn)
統(tǒng)一身份認(rèn)證平臺(tái)的目的是要解決不同的應(yīng)用系統(tǒng)用戶名和口令不統(tǒng)一的問題�,通過提供統(tǒng)一的授權(quán)機(jī)制及一套方便�、安全的口令認(rèn)證方法,讓用戶只要一套用戶名和口令就可以使用校園網(wǎng)絡(luò)上有權(quán)使用的所有應(yīng)用系統(tǒng)���。保證用戶通過網(wǎng)絡(luò)單點(diǎn)登錄或手機(jī)登錄方式進(jìn)入系統(tǒng)�����。目前使用最多的是采用目錄訪問進(jìn)行身份認(rèn)證�����,此技術(shù)基于LDAP(輕量型目錄訪問協(xié)議)����,具有高效的查詢速度。利用LDAP 服務(wù)特性及WEB相關(guān)技術(shù)����, 實(shí)現(xiàn)了對(duì)數(shù)字校園中用戶及網(wǎng)絡(luò)應(yīng)用資源的統(tǒng)一開發(fā)管理。
統(tǒng)一身份認(rèn)證平臺(tái)的開發(fā)功能如下:
1����、目錄服務(wù):目錄服務(wù)與現(xiàn)有系統(tǒng)集成在一起,充當(dāng)一個(gè)集中化的身份信息庫���,用于將學(xué)生�、教師和其他人員的信息集中存儲(chǔ)���。
2�、統(tǒng)一認(rèn)證:認(rèn)證服務(wù)提供了平臺(tái)的核心基礎(chǔ)服務(wù)�,用于對(duì)學(xué)生、教師和其他人員的數(shù)字化身份的認(rèn)證����。 3、身份管理:提供基本的組、用戶���、用戶屬性���、用戶類型、口令的維護(hù)功能
4�����、管理控制臺(tái):承擔(dān)整個(gè)統(tǒng)一身份認(rèn)證平臺(tái)的身份數(shù)據(jù)管理�����、系統(tǒng)服務(wù)管理��、平臺(tái)運(yùn)行管理工作�����,是整個(gè)平臺(tái)的集中管理控制中心�����。
基于目錄訪問協(xié)議的身份認(rèn)證基于Linux系統(tǒng)下OPenLDAP設(shè)計(jì)����,能夠批量導(dǎo)入加密后的用戶信息,打印明碼條發(fā)給用戶����。然后圍繞認(rèn)證數(shù)據(jù)庫進(jìn)行各種應(yīng)用程序設(shè)計(jì),包括:基于瀏覽器界面的統(tǒng)一認(rèn)證Web應(yīng)用程序��、基于窗口界面的登錄界面設(shè)計(jì)(用于桌面應(yīng)用軟件等)���、基于瀏覽器界面的統(tǒng)一認(rèn)證后臺(tái)管理Web應(yīng)用程序等等�。
基于目錄訪問協(xié)議的身份認(rèn)證優(yōu)點(diǎn)很多�����,主要有:采用開源解決方案����,不需另外購買商業(yè)軟件,可以在源碼的基礎(chǔ)上進(jìn)行二次開發(fā)��,能夠最大程度減少IT信息建設(shè)投入�����;采用OpenLDAP進(jìn)行系統(tǒng)認(rèn)證,一定程度上防止SQL注入攻擊�,有效保護(hù)后臺(tái)數(shù)據(jù)安全;LDAP具有很高的查詢速度���,保證認(rèn)證查詢速度����;采用Linux作為認(rèn)證平臺(tái)���,安全��、穩(wěn)定��。
四、結(jié)束語
當(dāng)然��,統(tǒng)一身份認(rèn)證在實(shí)際的建設(shè)過程中可能會(huì)遇到各種難點(diǎn)��,主要是接口問題����,如很多以前實(shí)施的應(yīng)用系統(tǒng)現(xiàn)在開發(fā)商都聯(lián)系不到(這種情況各個(gè)高校都有),整合到認(rèn)證系統(tǒng)中可能花的代價(jià)比重新開發(fā)或購買的成本還要高�����。所以在后期規(guī)劃中,要求系統(tǒng)供應(yīng)商必須提供或開發(fā)和身份認(rèn)證平臺(tái)統(tǒng)一的接口��。
目前���,經(jīng)過統(tǒng)一規(guī)劃和投資���,身份認(rèn)證系統(tǒng)在蘇州大學(xué)已經(jīng)基本完成,整合集成了教務(wù)�����、學(xué)工��、人事��、行政等各種信息服務(wù)��,是數(shù)字化校園的信息集中展示平臺(tái)�����,也是校內(nèi)重要業(yè)務(wù)系統(tǒng)的統(tǒng)一入口�����。經(jīng)實(shí)際使用證明,它不僅提高了數(shù)字校園中各種應(yīng)用系統(tǒng)的安全性����、可靠性,也給用戶提供了極大的方便�����,同時(shí)方便了數(shù)字校園的用戶管理���,具有很好的社會(huì)效益和經(jīng)濟(jì)效益����。
參考文獻(xiàn)
[1]openldap.org openldap官方網(wǎng)站
[2]宮恩輝���,朱巧明,李培峰�����,史鑫.LDAP和Kerberos在統(tǒng)一身份認(rèn)證中的應(yīng)用[J].蘇州大學(xué)學(xué)報(bào)(自然科學(xué)版).2006年02期
篇2
中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2011) 16-0000-02
Authentication Technology Research Overview
Zhang Yao
(Harbin Normal University,Computer Science and Information Engineering College,Harbin150025,China)
Abstract:Authentication technology is capable of sending and receiving side of information technology to identify the true identity,is to identify,verify that the network information system in the legitimacy and authenticity of the user identity,according to mandate access to system resources,and shut out illegal visitors.This article discusses the field of information security authentication technology status and development trend,for further improving the work has a certain theoretical significance.
Keywords:Information security;Authentication;Biometrics;
Combination of certification;Solutions;Performance analysis
網(wǎng)絡(luò)認(rèn)證技術(shù)是網(wǎng)絡(luò)安全技術(shù)的重要組成部分之一�。認(rèn)證指的是證實(shí)被認(rèn)證對(duì)象是否屬實(shí)和是否有效的一個(gè)過程����,常常被用于通信雙方互相確認(rèn)身份����,以保證通信的安全。認(rèn)證技術(shù)一般包括兩個(gè)方面的內(nèi)容��,分別是身份認(rèn)證和信息認(rèn)證����。身份認(rèn)證主要是通過對(duì)用戶身份的鑒別來實(shí)現(xiàn)對(duì)用戶權(quán)限的識(shí)別,限制低權(quán)限或者非法用戶的入侵�����。信息認(rèn)證主要是用于驗(yàn)證信息是否完整���。本論文的研究主要偏重于對(duì)身份認(rèn)證技術(shù)及其分析�����。主要側(cè)重以下幾個(gè)方面做分析�。
一���、身份認(rèn)證的方法分析
身份認(rèn)證主要是通過分析被認(rèn)證者的身份�����、權(quán)限等相關(guān)的信息�。除了認(rèn)證者本人,任何其他人都無法進(jìn)行仿造或者偽造身份���。如果經(jīng)過認(rèn)證���,被認(rèn)證者擁有相關(guān)的權(quán)限和秘密,那么他就獲得了認(rèn)證���。身份認(rèn)證的主要依據(jù)就是被認(rèn)證方用于證明身份所用有的秘密�����。每個(gè)被認(rèn)證者所擁有的身份認(rèn)證秘密不同����。常見的身份認(rèn)證有兩種�,第一種是基于物理安全性的身份認(rèn)證方法�。第二種是基于秘密信息的身份認(rèn)證方法�����。
(一) 基于物理安全的身份認(rèn)證方法
不同的身份認(rèn)證方法基于不同的理論��,但這些認(rèn)證方法的共同點(diǎn)就是依據(jù)用戶知道的秘密信息��。和這種認(rèn)證方法相對(duì)照����,另外一種利用用戶的特殊信息或者硬件信息來進(jìn)行身份認(rèn)證的�。比如說從生物學(xué)角度考慮,利用聲音識(shí)別進(jìn)行身份驗(yàn)證��,利用指紋進(jìn)行身份驗(yàn)證�,利用人眼的虹膜進(jìn)行身份驗(yàn)證等。從硬件的角度考慮�,常用的認(rèn)證方法有通過智能卡來進(jìn)行驗(yàn)證,只有認(rèn)證者擁有正確的卡�,才可以被認(rèn)證。當(dāng)然���,這種方法也有優(yōu)缺點(diǎn)�����,這種智能卡可以有效的阻止和避免人為亂猜口令導(dǎo)致的密碼被破解���,但也存在著只認(rèn)卡不認(rèn)人的缺陷�,一旦智能卡因丟失被其他人撿到�,則很容易被盜取身份。為防止出現(xiàn)這種情況�����,現(xiàn)在一般采用智能卡和口令結(jié)合的方式��,比如現(xiàn)在最常用的銀行卡就是這種�。
(二)基于秘密信息的身份認(rèn)證方法
常見的有以下幾個(gè)方式:
1.通過進(jìn)行用戶口令認(rèn)證來核對(duì)身份信息,在剛建立系統(tǒng)的時(shí)候�,系統(tǒng)已經(jīng)預(yù)先為具有合法權(quán)限的用戶設(shè)定了用戶口令和密碼。當(dāng)用戶通過登錄界面登錄時(shí)���,登錄界面顯示用戶名和密碼輸入�����??蛻糨斎胗脩裘兔艽a以后,系統(tǒng)會(huì)對(duì)輸入的賬戶和密碼與系統(tǒng)原有的密碼進(jìn)行核對(duì)如果完全一致��,則認(rèn)為是合法用戶���,用戶身份得到認(rèn)證。否則���,就提示賬戶名或者密碼錯(cuò)誤�����。用戶身份得不到認(rèn)證��。
2.單項(xiàng)認(rèn)證���,所謂單項(xiàng)認(rèn)證,就是進(jìn)行通信的雙方中�����,只有一方需要進(jìn)行身份認(rèn)證����。上面所闡述的口令核對(duì)法本質(zhì)上也是一種單項(xiàng)認(rèn)證。只是這種認(rèn)證方法還比較低級(jí),沒有進(jìn)行相應(yīng)的密鑰分發(fā)操作�����。常見的涉及到密鑰分發(fā)操作的認(rèn)證方案有兩類�。分別是對(duì)稱密鑰加密方案和非對(duì)稱密鑰加密方案。對(duì)稱密鑰加密方案是指依靠第三方來進(jìn)行認(rèn)證�����,第三方就是一個(gè)統(tǒng)一的密鑰分發(fā)中心�����。通信雙方的密鑰分發(fā)和身份認(rèn)證都要通過第三方來實(shí)現(xiàn)����。另一種沒有第三方參與的加密體制成為非對(duì)稱密鑰加密體制。
3.雙向認(rèn)證��。雙向認(rèn)證�����,是指需要通信雙方相互認(rèn)證才可以實(shí)現(xiàn)雙方通信����,通信雙方必須相互鑒別彼此的身份�����,并且經(jīng)雙方驗(yàn)證正確以后��,才可以實(shí)現(xiàn)雙方的通信。在雙向認(rèn)證中�,最典型的就是Needham/Schroeder協(xié)議。
[1]Needham/Schroeder Protocol[1978]
AKDC:IDA||IDB||N1
KDCA:EKa[Ks||IDB||N1||EKb[Ks||IDA]]
AB:EKb[Ks||IDA]
BA:EKs[N2]
AB:EKs[f(N2)]
(其中f(N2)為N2的某一個(gè)函數(shù)��,其他符號(hào)約定同上�����。)
4.身份的零知識(shí)證明通常在進(jìn)行身份認(rèn)證時(shí)����,需要進(jìn)行身份信息或者口令的傳輸。要想不傳輸這些信息就可以進(jìn)行身份認(rèn)證��,就需要采用身份的零知識(shí)證明技術(shù)����。所謂零知識(shí)證明就是指在進(jìn)行用戶身份認(rèn)證時(shí),不需要傳輸相關(guān)的信息。這種認(rèn)證機(jī)制就是當(dāng)被認(rèn)證的甲方為了讓認(rèn)證方乙方確信自己的身份和權(quán)限但同時(shí)又不讓乙方得到自己的秘密信息而采用的一種機(jī)制�。這種認(rèn)證方法可以非常有效的防治第三方竊取信息。
二��、身份認(rèn)證的應(yīng)用
(一)Kerberos認(rèn)證服務(wù)
Kerberos是一種基于Needham和Schroeder[1978]模型的第三方認(rèn)證服務(wù)Kerberos可信任的第三方就是Kerberos認(rèn)證服務(wù)器�。它通過把網(wǎng)絡(luò)劃分成不同的安全區(qū)域,并且在每個(gè)區(qū)域設(shè)立自己的安全服務(wù)器來實(shí)現(xiàn)相應(yīng)的安全策略���。在這些區(qū)域的認(rèn)證具體實(shí)現(xiàn)過程如下:Kerberos通過向客戶和服務(wù)提供票和通信雙方的對(duì)話密鑰來證明自己的身份權(quán)限��。其中Kerberos認(rèn)證服務(wù)器負(fù)責(zé)簽發(fā)初始票�����,也就是客戶第一次得到的票��。其他票都是由發(fā)票服務(wù)器負(fù)責(zé)簽發(fā)���。同一個(gè)票可以在該票過期之前反復(fù)使用。當(dāng)客戶需要讓服務(wù)方提供服務(wù)的時(shí)候��,不但要自己生成僅可以使用一次的證�,而且需要向服務(wù)方發(fā)送由發(fā)票服務(wù)器分發(fā)的。這兩個(gè)需要同時(shí)發(fā)送��。
(二)HTTP中的身份認(rèn)證
HTTP中的身份認(rèn)證現(xiàn)在主要由三個(gè)常用的版本。分別是HTTP協(xié)議目前已經(jīng)有了三個(gè)版本HTTP0.9�、HTTP 1.0和HTTP 1.1,其中HTTP 0.9功能簡單�,主要用來實(shí)現(xiàn)最基本的請(qǐng)求協(xié)議和回答協(xié)議。HTTP 1.0是目前應(yīng)用比較廣泛的一個(gè)版本����,它的功能相對(duì)來說非常完善。而且�,通過Web服務(wù)器,就可以實(shí)現(xiàn)身份認(rèn)證來實(shí)現(xiàn)訪問和控制���。如果用戶向某個(gè)頁面發(fā)出請(qǐng)求或者運(yùn)行某個(gè)CGI程序時(shí),將會(huì)有訪問控制文件告訴用戶哪些可以訪問�,哪些不可以訪問,訪問對(duì)象文件通常存在于訪問對(duì)象所在的目錄下面的�����。通過服務(wù)器讀取訪問控制文件�,從而獲得相應(yīng)的訪問控制信息。并且要求客戶通過輸入用戶名和口令進(jìn)行身份驗(yàn)證����。通過訪問控制文件��,Web服務(wù)器獲得相應(yīng)的控制信息��,用戶根據(jù)要求輸入用戶名和口令��,如果經(jīng)過編碼并且驗(yàn)證以后��,如果身份合法���,服務(wù)方才發(fā)送回所請(qǐng)求的頁面或執(zhí)行CGI程序。HTTP 1.1新增加的很多的報(bào)頭域��。如果進(jìn)行身份認(rèn)證�����,不是以明文的方式進(jìn)行傳遞口令�,而是把口令進(jìn)行散列變換,把口令轉(zhuǎn)化以后對(duì)它的摘要進(jìn)行傳送�。通過這種認(rèn)證機(jī)制,可以避免攻擊者通過某種攻擊手段來獲取口令���。即使經(jīng)過多次攻擊��,也無法進(jìn)行破譯��。即使是這樣�����,仍然不能保證摘要認(rèn)證的足夠安全��。和普通的認(rèn)證方法一樣�����,這種方法也可能受到中間者的攻擊����。要想更進(jìn)一步確保口令安全�����,最好就是把HTTP的安全認(rèn)證方式與Kerberos服務(wù)方式充分結(jié)合起來�。
(三)IP中的身份認(rèn)證
IP中的身份認(rèn)證IP協(xié)議出于網(wǎng)絡(luò)層�����,因此不能獲取更高層的信息��,IP中的身份認(rèn)證無法通過基于用戶的身份認(rèn)證來實(shí)現(xiàn)。主要是通過用戶所在IP地址的身份認(rèn)證來實(shí)現(xiàn)�����。IP層的認(rèn)證機(jī)構(gòu)既要確保信息在傳遞過程中的數(shù)據(jù)完整性��,又要確保通過數(shù)據(jù)組抱頭傳遞的信息的安全性�。IPSec就是IP安全協(xié)議的簡稱,主要功能就是維護(hù)網(wǎng)絡(luò)層的安全和網(wǎng)絡(luò)成以下層的安全���。通常情況下�����,它提供兩種安全機(jī)制�。第一種是認(rèn)證機(jī)制����,通過這種認(rèn)證機(jī)制,可以確保數(shù)據(jù)接收方能夠識(shí)別發(fā)送方的身份是否合法����。而且還可以發(fā)現(xiàn)信息在傳輸過程中是否被惡意篡改;第二種是加密機(jī)制���,通過對(duì)傳輸數(shù)據(jù)進(jìn)行數(shù)據(jù)編碼來實(shí)現(xiàn)數(shù)據(jù)的加密機(jī)制����。從而可以保證在信息的傳遞過程中,不會(huì)被他人竊取�。IPSec的認(rèn)證報(bào)頭(Authentication Header AH)協(xié)議定義了認(rèn)證的應(yīng)用方法,封裝安全負(fù)載(Encapsu-lating Security Payload����,ESP)協(xié)議定義了加密和可選認(rèn)證的應(yīng)用方法。應(yīng)用到具體的通信中去�,需要根據(jù)實(shí)際情況選擇不同的加密機(jī)制和加密手段。AH和ESP都可以提供認(rèn)證服務(wù)�,相比較而言,AH提供的認(rèn)證服務(wù)要強(qiáng)于ESP�����。
三���、身份認(rèn)證技術(shù)討論
身份認(rèn)證技術(shù)討論,在前面幾部分內(nèi)容中����,對(duì)身份認(rèn)證技術(shù)進(jìn)行了理論分析和總結(jié)��,并對(duì)他們的原理�、機(jī)制和優(yōu)缺點(diǎn)進(jìn)行了比較����。這里將根據(jù)自己的理解,深入考慮通過其他途徑來實(shí)現(xiàn)身份認(rèn)證�。數(shù)字簽名首先要保證身份驗(yàn)證者信息的真實(shí)性,就是要確保信息不能偽造���,這種方法非常類似于身份認(rèn)證����。身份認(rèn)證的主要目的是要確保被認(rèn)證者的身份和權(quán)限符合��。因此�����,這里考慮通過數(shù)字簽名來實(shí)現(xiàn)身份認(rèn)證�����。這里的技術(shù)難點(diǎn)就是必須要預(yù)先進(jìn)行分發(fā)密鑰。如果不能提前進(jìn)行密鑰分發(fā)��,就不可能實(shí)現(xiàn)數(shù)字簽名�。綜上可以看出,身份認(rèn)證在整個(gè)安全要求中是首先要解決的技術(shù)問題���。
參考文獻(xiàn):
[1]William Stallings,孟慶樹等.密碼編碼學(xué)與網(wǎng)絡(luò)安全――原理與實(shí)踐(第四版)[M].電子工業(yè)出版社,2006,11
[2]袁德明.計(jì)算機(jī)網(wǎng)絡(luò)安全[M].電子工業(yè)出版社,2007,6
[3]楊英鵬.計(jì)算機(jī)網(wǎng)絡(luò)原理與實(shí)踐[M].電子工業(yè)出版社,2007,9
篇3
中圖分類號(hào):TP39文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-3973 (2010) 05-044-02
1前 言
隨著信息與計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展,人類已經(jīng)迎來了信息時(shí)代����?����;ミB網(wǎng)的發(fā)展大大的改變了人們的生活�����。然而隨著這些新技術(shù)的日益普及,爆發(fā)出來的信息安全問題也越來越突出���。在享受互連網(wǎng)帶給人們便捷的同時(shí),這把雙刃劍也讓人們感受到了嚴(yán)峻的考驗(yàn)�����。大量的通過計(jì)算機(jī)網(wǎng)絡(luò)所實(shí)施的犯罪行為,讓人們防不勝防。人們有必要對(duì)采用更為安全的技術(shù)手段來保護(hù)自己的敏感信息和交易不被未經(jīng)過授權(quán)的他人截獲和盜取。其中最重要的一個(gè)措施就是采用身份認(rèn)證技術(shù)����。
2 常見身份認(rèn)證方式分析
身份認(rèn)證的范圍較廣,沒有統(tǒng)一的分類方法,根據(jù)身份認(rèn)證的發(fā)展情況和認(rèn)證方式的不同可以大致分為以下幾類:
2.1用戶名+口令的認(rèn)證方式
這是最簡單,最容易實(shí)現(xiàn)的認(rèn)證技術(shù),其優(yōu)點(diǎn)在于操作簡單,不需要任何附加設(shè)施,且成本低速度快。但是其缺點(diǎn)是安全性差,屬于單因子軟件認(rèn)證的方式��?��?共聹y攻擊性差,系統(tǒng)保存的是口令的明文形式,一旦被攻破,系統(tǒng)將受大極大威脅�。這種認(rèn)證方式屬于弱認(rèn)證方式��。
2.2 依靠生物特征識(shí)別的認(rèn)證方式
生物特征識(shí)別的認(rèn)證方式,是為了進(jìn)行身份識(shí)別而采用自動(dòng)化技術(shù)測量人的生物特征,并將該特征與數(shù)據(jù)庫的特征數(shù)據(jù)進(jìn)行比較,從而完成身份識(shí)別的方式��。因?yàn)椴煌娜司哂械南嗤纳锾卣鞯目赡苄允强梢院雎圆挥?jì)的����。所以從理論上來說,生物特征識(shí)別方式是最可靠的身份識(shí)別方式。它是以人的唯一的,可靠的,穩(wěn)定的特征為依據(jù)的����。目前比較成熟的可用于計(jì)算機(jī)系統(tǒng)的生物特征識(shí)別技術(shù)有:
(1)指紋身份認(rèn)證技術(shù)。通過分析指紋的全局或者局部特征,抽取詳盡的特征值來確認(rèn)身份;
(2) 聲紋身份識(shí)別技術(shù)����。也稱語音身份識(shí)別技術(shù);
(3)虹膜身份認(rèn)證技術(shù)。虹膜是人眼瞳孔和眼白之間的環(huán)壯組織。是人眼的可視部分����。是最可靠的人體終身身份標(biāo)識(shí)。虹膜識(shí)別在采集和精準(zhǔn)度方式具有明顯的優(yōu)勢(shì);
(4)簽名身份認(rèn)證技術(shù)�。是將人的手寫速度,筆順,壓力和圖象等人的個(gè)性化特征進(jìn)行比對(duì)。是全新的生物特征認(rèn)證技術(shù)����。它不用記憶,方便,易為人接受?�?捎糜谟?jì)算機(jī)登錄,信息網(wǎng)如網(wǎng),信用卡簽字等等�。
生物特征識(shí)別的認(rèn)證方式,雖然具有,不易遺忘丟失,防偽性能好,隨是隨地可用,不易偽造或者被盜等優(yōu)點(diǎn)。但是它還有一系列暫時(shí)不能克服的缺點(diǎn)��。表現(xiàn)在;技術(shù)不完全成熟,生物識(shí)別的準(zhǔn)確性和穩(wěn)定性急待提高���。研發(fā)成本高,產(chǎn)量小和識(shí)別設(shè)備成本高,現(xiàn)階段難以推廣和大規(guī)模應(yīng)用,對(duì)識(shí)別正確率沒有確切的結(jié)論,難以做到真正的唯一性,和安全性����。
2.3基于Kerberos的認(rèn)證方式
Kerberos是一種秘密密鑰網(wǎng)絡(luò)認(rèn)證協(xié)議��。是由美國麻省理工學(xué)院(MIT)開發(fā)的一項(xiàng)身份認(rèn)證技術(shù)����。它的思路對(duì)后來的身份認(rèn)證研究產(chǎn)生了很大的影響�����。它使用了數(shù)據(jù)加密標(biāo)準(zhǔn)DES(Data Encryption Standard)加密算法來進(jìn)行加密和認(rèn)證。Kerberos 設(shè)計(jì)的主要目的是解決在分布網(wǎng)絡(luò)環(huán)境下,服務(wù)器如何對(duì)使用某臺(tái)工作站接入的用戶進(jìn)行身份認(rèn)證���。Kerberos的安全不依賴于用戶登錄的主機(jī),而是依賴于幾個(gè)認(rèn)證服務(wù)器��。分別是:認(rèn)證服務(wù)器(AS),用于驗(yàn)證用戶登錄時(shí)的身份��。票據(jù)發(fā)放服務(wù)器(TGS),發(fā)放身份許可證明����。服務(wù)提供服務(wù)器(Server),客戶請(qǐng)求工作的執(zhí)行者�。
如下圖所示:
基于Kerberos認(rèn)證方式的缺點(diǎn):
(1) 它是以對(duì)稱的DES加密算法為基礎(chǔ),這使得在密鑰的交換,保存,管理上存在著較大的安全隱患。
(2)Kerberos不能有效的防止字典攻擊���。并且防止口令猜測攻擊的能力是很弱的�����。因?yàn)镵erberos的協(xié)議模型未對(duì)口令提供額外的保護(hù)�����。黑客或者攻擊者可以收集大量的許可證,通過有些計(jì)算和密鑰分析,進(jìn)行口令猜測����。倘若用戶選擇的口令不強(qiáng),則容易被攻破。
(3)Kerberos協(xié)議最初設(shè)計(jì)是用來提供認(rèn)證和密鑰交換的�����。不能用它來進(jìn)行數(shù)字簽名,沒有提供不可抵賴性的機(jī)制��。
(4)在分布式系統(tǒng)中,認(rèn)證中心錯(cuò)終復(fù)雜,域間的會(huì)話密鑰太多,給密鑰的管理,分配帶來麻煩����。
2.4基于PKI的身份認(rèn)證方式
PKI(Pubic Key Infrastructure)公鑰基礎(chǔ)設(shè)施是一種遵循一定標(biāo)準(zhǔn)的密鑰管理平臺(tái)。能夠?yàn)槟壳八械木W(wǎng)絡(luò)應(yīng)用透明的提供采用加密和數(shù)字簽名等密碼服務(wù)所必需的密鑰管理和證書管理���。它是現(xiàn)代電子商務(wù)和信息安全系統(tǒng)的主要技術(shù)之一�����。PKI做為新發(fā)展的安全技術(shù)和安全服務(wù)規(guī)范��。不僅能確保網(wǎng)絡(luò)數(shù)據(jù)的機(jī)密性,完整性,可用性,同時(shí)也可以解決通信雙方身份的真實(shí)性問題�。基于PKI的數(shù)字證書認(rèn)證方式可以有效的保護(hù)用戶的身份安全和數(shù)據(jù)安全����。在基于證書的安全通信中,數(shù)字證書是證明用戶身份合法和提供合法公鑰的憑證。是建立保密通信的基礎(chǔ)�����。因此數(shù)字證書的存儲(chǔ)與管理顯得非常重要���。本文正是在PKI體系的基礎(chǔ)上利用手機(jī)做為數(shù)字證書的載體,來實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證。
3基于手機(jī)的身份認(rèn)證方式
基于手機(jī)的身份認(rèn)證是基于PKI的身份認(rèn)證方式的一種改進(jìn)或者說發(fā)展�����。為了更方便的說明這種認(rèn)證方式的意義以及原理,特從以下幾個(gè)方面進(jìn)行分析��。
3.1現(xiàn)實(shí)需求分析
基于PKI的身份認(rèn)證方式是現(xiàn)階段公認(rèn)的保障信息網(wǎng)絡(luò)社會(huì)安全的最佳體系,是信息安全的核心���。數(shù)字證書的權(quán)威性和不可否任是PKI體系的基礎(chǔ)�。目前,國內(nèi)外通常的做法是利用USBKey 做為數(shù)字證書的載體�。例如中國建設(shè)銀行使用的網(wǎng)銀盾,中國工商銀行推出的U盾等。他們都是將數(shù)字證書存儲(chǔ)在USB Key中����。其優(yōu)點(diǎn)是較為安全可靠��。但其缺點(diǎn)是管理較為麻煩,攜帶起來容易丟失��。另外由于其工作原理是將數(shù)字證書固化在U盤里,證書不能實(shí)現(xiàn)遠(yuǎn)距離更新,實(shí)際使用起來,還是比較麻煩����。目前很多公司和機(jī)構(gòu)都開始研究下一代的證書存儲(chǔ)工具�。本論文正是在這樣一個(gè)現(xiàn)狀探索性采用人們常用的手機(jī)來作為數(shù)字證書的存儲(chǔ)和管理工具。并以此展開思考和研究����。
3.2理論基礎(chǔ)
PKI(Public Key Infrastructure )公鑰基礎(chǔ)設(shè)施,它是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺(tái),它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供數(shù)據(jù)加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書管理體系一種重要的身份認(rèn)證技術(shù)。是簡單來說,PKI就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施�。PKI技術(shù)是信息安全技術(shù)的核心,也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。PKI以公鑰密碼技術(shù)為基礎(chǔ),數(shù)字證書為媒介,結(jié)合對(duì)稱加密和非對(duì)稱加密技術(shù),將個(gè)人的標(biāo)識(shí)信息與各自的公鑰綁在一起,其主要目的是通過管理密鑰和證書,為用戶建立起一個(gè)安全��、可信的網(wǎng)絡(luò)運(yùn)行環(huán)境,使用戶可以在多種應(yīng)用環(huán)境下方便地使用加密和數(shù)字簽名技術(shù)在客戶端上驗(yàn)證用戶的身份,從而保證了互聯(lián)網(wǎng)上所傳輸信息的真實(shí)性�����、完整性����、機(jī)密性和不可否認(rèn)性��。
3.3 研究方案及系統(tǒng)組成
計(jì)算機(jī)要能準(zhǔn)確認(rèn)證用戶的身份,必須能準(zhǔn)確的識(shí)別用戶手機(jī)中的數(shù)字證書�。其中將數(shù)字證書從手機(jī)中導(dǎo)入到計(jì)算機(jī)上中是借助藍(lán)牙技術(shù)(也可以是紅外技術(shù))提供的數(shù)據(jù)傳輸通道���。并且因?yàn)閿?shù)字證書是通過藍(lán)牙技術(shù)無線傳輸?shù)?必須給這個(gè)通道加密,防止被非法用戶竊取�����。系統(tǒng)組成如下圖所示:
3.4關(guān)鍵問題及其解決方案
3.4.1系統(tǒng)中的關(guān)鍵問題
基于手機(jī)的身份認(rèn)證是依賴于手機(jī)這個(gè)載體,以數(shù)字證書為媒介,最終需要保證計(jì)算機(jī)對(duì)手機(jī)中的數(shù)字證書準(zhǔn)確識(shí)別�����。并且整個(gè)信息交換不被非授權(quán)的第三方截獲。因此整個(gè)系統(tǒng)有以下兩個(gè)關(guān)鍵問題���。
(1)數(shù)字證書在手機(jī)中的安全性問題���。數(shù)字證書是存放在手機(jī)的SD卡上的,要保證數(shù)字證書能方便的寫入到SD卡中,并使其具有加密功能,在遺失,被盜的情況下仍能確保數(shù)字證書不被非法利用。
(2)計(jì)算機(jī)要識(shí)別手機(jī)上的數(shù)字證書,或者說信息要在手機(jī)和計(jì)算機(jī)之間安全傳遞,必須有一個(gè)安全的通道�。雖然可以借助他們本身都帶有的藍(lán)牙功能,并且藍(lán)牙具有抗干擾性強(qiáng),成本低的特點(diǎn)。但是仍不能保證信息傳遞的絕對(duì)安全�����。還需要設(shè)計(jì)一傳輸協(xié)議來給他們之間的信息傳遞提供一個(gè)安全通道。
3.4.2關(guān)鍵問題的解決方案
(1)對(duì)于數(shù)字證書在手機(jī)中安全存儲(chǔ)的問題,可以考慮采用加密SD卡的方法�。Sandisk 公司近期研發(fā)了一種稱為TrustedFlash 的新技術(shù),可以在SD,Micro SD卡上實(shí)現(xiàn)加密。
a.安全加密:根據(jù)需要,可設(shè)定不同的加密方式和權(quán)限,支持采用AES,DESB和3DES的對(duì)稱密鑰身份驗(yàn)證及基于X���。509證書鏈的RSAC非對(duì)稱密鑰身份驗(yàn)證����。
b.支持?jǐn)?shù)字版權(quán)管理(DRM):可在支持硬件加密技術(shù)的不同主機(jī)間實(shí)現(xiàn)移動(dòng)��。
c.具有硬件加密技術(shù)的主機(jī)向下兼容常規(guī)的存儲(chǔ)卡,而硬件加密卡在非保護(hù)區(qū)域也可作為常規(guī)卡使用��。
d.主機(jī)(如手機(jī))只需要升級(jí)軟件來支持硬件加密技術(shù),不需要增加和更改硬件�����。主要應(yīng)用于數(shù)據(jù)安全存取,身份認(rèn)證及移動(dòng)電子商務(wù)����。
(2) 對(duì)于傳輸通道的設(shè)計(jì)?����?梢越梃b當(dāng)前的密碼協(xié)議SSL協(xié)議。SSL即安全套接字層(Secure Socket Layer)�����。它是網(wǎng)景公司(Netscape)開發(fā)的,主要應(yīng)用于保障Internet上數(shù)據(jù)傳輸之安全����。SSL協(xié)議可以分為兩層:SSL記錄協(xié)議和SSL握手協(xié)議。提供主要服務(wù)有:①認(rèn)證用戶和服務(wù)器,確保數(shù)據(jù)發(fā)送到正確的客戶機(jī)和服務(wù)器;②加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊取;③維護(hù)數(shù)據(jù)的完整性,確保數(shù)據(jù)在傳輸過程中不被改變����。認(rèn)證工作流程為:1)客戶端(C)向服務(wù)器(S)發(fā)送一個(gè)會(huì)話請(qǐng)求信息“你好”2)服務(wù)器根據(jù)客戶的信息確定是否需要生成新的主密鑰,如需要?jiǎng)t服務(wù)器在響應(yīng)客戶的“你好”信息時(shí)將包含生成主密鑰所需的信息;3)客戶根據(jù)收到的服務(wù)器響應(yīng)信息,產(chǎn)生一個(gè)主密鑰,并用服務(wù)器的公開密鑰加密后傳給服務(wù)器;4)服務(wù)器恢復(fù)該主密鑰,并返回給客戶一個(gè)用主密鑰認(rèn)證的信息,以此讓客戶認(rèn)證服務(wù)器。同樣手機(jī)和計(jì)算機(jī)之間的通信過程和上面相似�����。只是SSL是同過有線連接傳遞數(shù)據(jù),而本系統(tǒng)是通過藍(lán)牙技術(shù)無線傳遞,其工作原理完全相同��。
4小結(jié)與展望
本文開頭闡述了常見的身份認(rèn)證的方式,并分析了它們的優(yōu)缺點(diǎn)����。 目的是為了說明基于手機(jī)的身份認(rèn)證在整個(gè)身份認(rèn)證體系中所在的位置�。隨著手機(jī)業(yè)務(wù)的不斷發(fā)展。現(xiàn)在的手機(jī)已經(jīng)不僅是局限于傳統(tǒng)的通話業(yè)務(wù)��。越來越多的智能手機(jī)投入市場。它們大多可以安裝小型的操作系統(tǒng)具有較強(qiáng)的處理能力,如Symbian ���、Windows mobile����、Linux等手機(jī)操作系統(tǒng)�。這就為基于手機(jī)的身份認(rèn)證提供了很好的工具和平臺(tái)?����?梢灶A(yù)見USBKEY的功能將會(huì)被手機(jī)取代�。基于手機(jī)的身份認(rèn)證技術(shù)將能更好的服務(wù)于人民的生活����。
參考文獻(xiàn):
[1]馮國柱. PKI關(guān)鍵技術(shù)研究及其應(yīng)用[D].長沙:國防科學(xué)技術(shù)大學(xué),2006.
篇4
現(xiàn)代高校的發(fā)展離不開信息技術(shù),特別是隨著各高校學(xué)生人數(shù)急劇增加�,新教學(xué)樓、新教室的不斷擴(kuò)建��,教學(xué)方式的多樣化等一系列因素使學(xué)校對(duì)多媒體�����、網(wǎng)絡(luò)教學(xué)、辦公應(yīng)用系統(tǒng)等信息化技術(shù)依賴越來越大��,數(shù)字化校園建設(shè)已經(jīng)成為各高校信息化建設(shè)的重要任務(wù)之一���。醫(yī)學(xué)院校在發(fā)展過程中也面臨著同樣的問題���,需要對(duì)學(xué)校的教學(xué)、科研����、管理等信息資源進(jìn)行全面的整合,以實(shí)現(xiàn)統(tǒng)一的管理�。
一、數(shù)字化校園的涵義及意義
在傳統(tǒng)觀念中數(shù)字化校園一直被認(rèn)為只是由一個(gè)一卡通系統(tǒng)和多個(gè)應(yīng)用系統(tǒng)組成��,例如各種辦公系統(tǒng)��、多媒體教學(xué)系統(tǒng)�、人事系統(tǒng)和財(cái)務(wù)系統(tǒng)等。但由于各個(gè)系統(tǒng)中的信息����,數(shù)據(jù)保存格式以及操作人員的權(quán)限設(shè)置都不一致����,并且各系統(tǒng)由于開發(fā)商的不同很難做到統(tǒng)一的接口��,系統(tǒng)間通訊困難��,對(duì)于整個(gè)校園來講只是一個(gè)個(gè)“信息孤島”�����,造成大量冗余��、錯(cuò)誤的信息�����,因此這樣的“數(shù)字化校園”只是一個(gè)狹義的概念�����,并不能完全發(fā)揮信息化的優(yōu)勢(shì)��。而數(shù)字化校園真正的涵義是指以校園網(wǎng)絡(luò)為基礎(chǔ)����,利用計(jì)算機(jī)���、各種通訊手段對(duì)學(xué)校里各種辦公系統(tǒng)�����、多媒體教學(xué)系統(tǒng)進(jìn)行統(tǒng)一的信息化管理���,包括統(tǒng)一的身份認(rèn)證��、權(quán)限控制��、教學(xué)資源管理以及對(duì)人事�����、財(cái)務(wù)�����、后勤等信息系統(tǒng)的統(tǒng)一管理等���。數(shù)字化校園在時(shí)間和空間上都超越傳統(tǒng)意義上的校園,它是一個(gè)基于先進(jìn)的信息化技術(shù)的虛擬校園�����,使現(xiàn)實(shí)的校園環(huán)境得到延伸[1]���。
數(shù)字化校園的建設(shè)對(duì)于高校的管理和發(fā)展具有重要意義��。首先���,數(shù)字化校園是一個(gè)虛擬化的校園,它超越了時(shí)間和空間上的局限����,使學(xué)校的跨地域業(yè)務(wù)得到有效開展,對(duì)學(xué)校建立創(chuàng)新型的教學(xué)模式�,開放式的教育環(huán)境,多層次的管理方法都具有相當(dāng)重要的意義�����。其次��,數(shù)字化校園以網(wǎng)絡(luò)通訊為基礎(chǔ)��,通過計(jì)算機(jī)處理大量的信息��,使學(xué)校教工把一些查詢�����、統(tǒng)計(jì)、計(jì)算等工作交給計(jì)算機(jī)來完成��,大大降低了工作量��,提高了工作效率���。再者���,數(shù)字化校園成功解決了學(xué)校“信息孤島”的問題。數(shù)字化校園的成功實(shí)施���,能把學(xué)校里各個(gè)分散的系統(tǒng)整合���,實(shí)現(xiàn)數(shù)據(jù)的統(tǒng)一管理,避免出現(xiàn)數(shù)據(jù)的重復(fù)檢索�����、錄入��。例如圖書館的圖書借閱系統(tǒng),里面的人員信息不需要重新錄入���,可以直接從人事處數(shù)據(jù)庫中調(diào)用�,有效解決了數(shù)據(jù)的不一致問題�����。
二�、國內(nèi)外相關(guān)課題的研究現(xiàn)狀
“數(shù)字化”這個(gè)概念最先是由美國前副總統(tǒng)戈?duì)栍?998年在美國加利福尼亞科學(xué)中心發(fā)表的題為《數(shù)字地球---21世紀(jì)認(rèn)識(shí)地球的方式》(The Digital Earth:Understanding in our planet in the 21st Century)的報(bào)告中首次提到的�,他提出了數(shù)字化地球的概念,此后���,“數(shù)字化”名詞在全球流行開來��,各行各業(yè)如數(shù)字化城市����、數(shù)字化校園����、數(shù)字化圖書館等名詞接二連三被提出。
近年來�����,校園數(shù)字化建設(shè)已經(jīng)成為世界各國高校重點(diǎn)研究的課題之一。
在國外�����,英國信息教育技術(shù)走在前列����。1998年1月英國啟動(dòng)了全國學(xué)習(xí)網(wǎng),利用網(wǎng)絡(luò)的高速優(yōu)勢(shì)把學(xué)校�、科研機(jī)構(gòu)、圖書館等網(wǎng)站連為一體��,為網(wǎng)絡(luò)教育開辟了途徑���。2002年�����,英國全國學(xué)習(xí)網(wǎng)的網(wǎng)絡(luò)連接所有家庭��、社區(qū)��、學(xué)校���、醫(yī)院�����、社會(huì)服務(wù)以及大眾媒體轉(zhuǎn)播系統(tǒng)��、單位�����,基本能滿足學(xué)校教育、家庭教育�、職業(yè)教育、終身教育和社會(huì)經(jīng)濟(jì)發(fā)展的需求��。
國內(nèi)大學(xué)信息化基礎(chǔ)建設(shè)方面�,在90年代初,建成校園網(wǎng)并通過CERNET建設(shè)與國際互聯(lián)網(wǎng)連接的大學(xué)總數(shù)不過10所左右�。到1999年,已經(jīng)有500余所大學(xué)建設(shè)了結(jié)構(gòu)先進(jìn)����、功能完備的校園網(wǎng)絡(luò)。2002年�,北京大學(xué)和香港大學(xué)共同啟動(dòng)了亞洲地區(qū)第一個(gè)國際性的高等教育信息化研究項(xiàng)目,對(duì)亞洲地區(qū)各國高校信息化建設(shè)、發(fā)展的最新動(dòng)態(tài)和信息�����,進(jìn)行研究�����。
現(xiàn)階段醫(yī)學(xué)院校信息化建設(shè)所面臨的主要問題有:一是學(xué)校以醫(yī)學(xué)專業(yè)為主�,信息化意識(shí)不強(qiáng),缺乏專業(yè)的信息化建設(shè)人才隊(duì)伍��;二是信息化建設(shè)各自為政��,存在重復(fù)建設(shè)現(xiàn)象����;三是信息化建設(shè)進(jìn)程緩慢,沒有建立網(wǎng)上自動(dòng)辦公系統(tǒng)和智能化決策支持系統(tǒng)�。
三、數(shù)字化校園建設(shè)目標(biāo)
醫(yī)學(xué)院校數(shù)字化建設(shè)的總體目標(biāo)是建成一個(gè)適合學(xué)校校情的數(shù)字化校園模型����,即“統(tǒng)一平臺(tái)+統(tǒng)一門戶+多應(yīng)用系統(tǒng)”的建設(shè)模式,從而實(shí)現(xiàn)校內(nèi)教學(xué)����、管理���、科研的全面信息化、網(wǎng)絡(luò)化����。免費(fèi)論文,整合���。
1.統(tǒng)一平臺(tái)是指一個(gè)高性能的����、負(fù)載均衡的��、可擴(kuò)展易維護(hù)的�、高安全的應(yīng)用軟件���、硬件以及數(shù)據(jù)庫平臺(tái)�����。其中包括統(tǒng)一信息門戶平臺(tái)���、統(tǒng)一身份認(rèn)證平臺(tái)和統(tǒng)一公共數(shù)據(jù)平臺(tái)三大基礎(chǔ)平臺(tái)���。
2.統(tǒng)一門戶是指要建成一個(gè)統(tǒng)一的、開放的���、能提供信息共享并能提供多種應(yīng)用服務(wù)的高效穩(wěn)定的門戶中心�����。
3.多應(yīng)用系統(tǒng)指為滿足各種教學(xué)�、管理��、科研等日常業(yè)務(wù)的需要而提供的各種信息化軟件�����、工具等�����,如教務(wù)系統(tǒng)�����、人事管理系統(tǒng)、財(cái)務(wù)系統(tǒng)�����、科研管理系統(tǒng)�、學(xué)生管理系統(tǒng)等,這些系統(tǒng)從統(tǒng)一的數(shù)據(jù)庫平臺(tái)調(diào)用數(shù)據(jù)��,共享規(guī)范標(biāo)準(zhǔn)格式的數(shù)據(jù)���,提供統(tǒng)一的接口程序���。
通過數(shù)字化校園的標(biāo)準(zhǔn)建設(shè),集成現(xiàn)有的應(yīng)用系統(tǒng)�����,在新需求下開發(fā)新的應(yīng)用系統(tǒng)��,從而實(shí)現(xiàn)校園的信息共享和傳遞����,最終構(gòu)建一個(gè)集教學(xué)��、科研、管理��、活動(dòng)為一體的信息化環(huán)境�,實(shí)現(xiàn)學(xué)校教育過程的全面信息化,從根本上提高教學(xué)質(zhì)量�����、科研水平和管理水平�����。免費(fèi)論文�����,整合�。
四、數(shù)字化校園建設(shè)內(nèi)容
數(shù)字化校園的建設(shè)是在現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施的基礎(chǔ)上對(duì)校內(nèi)所有信息化資源(包括各種應(yīng)用系統(tǒng)����、數(shù)據(jù)庫資源、認(rèn)證系統(tǒng)等)進(jìn)行全面整合的過程�。數(shù)字化校園建設(shè)的各個(gè)環(huán)節(jié)必須互相緊扣,有計(jì)劃����、有步驟地實(shí)施�,確保各個(gè)環(huán)節(jié)協(xié)調(diào)發(fā)展�����。醫(yī)學(xué)院校的數(shù)字化校園建設(shè)可以結(jié)合自身特點(diǎn)��,發(fā)展幾項(xiàng)特色項(xiàng)目��,如虛擬實(shí)驗(yàn)室���、虛擬醫(yī)院����、虛擬手術(shù)臺(tái)等��。
數(shù)字化校園的總體架構(gòu)設(shè)計(jì)包括基礎(chǔ)設(shè)施建設(shè)����、統(tǒng)一身份認(rèn)證平臺(tái)、應(yīng)用系統(tǒng)建設(shè)
1��、基礎(chǔ)設(shè)施建設(shè)
基礎(chǔ)設(shè)施建設(shè)包括基礎(chǔ)網(wǎng)絡(luò)平臺(tái)���、弱電系統(tǒng)和IDC數(shù)據(jù)中心建設(shè)��,是建設(shè)好數(shù)字化校園的基本保證���,為數(shù)字校園提供最底層的網(wǎng)絡(luò)、硬件支持��。
(1)基礎(chǔ)網(wǎng)絡(luò)平臺(tái)���、弱電系統(tǒng)
(2)IDC數(shù)據(jù)中心
IDC數(shù)據(jù)中心是由一系列的硬件�、軟件�、相關(guān)網(wǎng)絡(luò)組成的整體,它作為全校數(shù)據(jù)流轉(zhuǎn)與交換的中心��,主要包括主機(jī)系統(tǒng)����、存儲(chǔ)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)��、安全系統(tǒng)等硬件設(shè)備和數(shù)據(jù)庫系統(tǒng)����、應(yīng)用服務(wù)器�、目錄服務(wù)器數(shù)據(jù)匯聚設(shè)備����。
2、統(tǒng)一身份認(rèn)證平臺(tái)
在數(shù)字化校園中�,各個(gè)系統(tǒng)之間經(jīng)常需要相互協(xié)作才能完成一項(xiàng)任務(wù)。但對(duì)于同一個(gè)用戶來說�����,如果不同的系統(tǒng)都要不同的登錄信息�����,并且要重復(fù)登錄�,這就給用戶帶來極大的不便,也給系統(tǒng)加重了負(fù)擔(dān)�。而所謂的統(tǒng)一身份認(rèn)證就是對(duì)校內(nèi)各個(gè)不同的應(yīng)用系統(tǒng)采用統(tǒng)一的身份認(rèn)證系統(tǒng),為各應(yīng)用系統(tǒng)的集成奠定基礎(chǔ)���。
目前高校身份認(rèn)證管理存在以下問題:
(1)由于目前校內(nèi)各個(gè)系統(tǒng)都是分散管理�����,因此就難以統(tǒng)一管理用戶的賬號(hào)���,這就難免會(huì)對(duì)一些賬號(hào)信息進(jìn)行重復(fù)管理,增加管理成本���。免費(fèi)論文��,整合���。
(2)賬號(hào)的使用沒有落實(shí)到實(shí)名,一個(gè)賬號(hào)存在多人使用的現(xiàn)象���,在出現(xiàn)安全事故時(shí)難以明確責(zé)任����,因此在安全管理上存在漏洞��。免費(fèi)論文���,整合�。
(3)不同應(yīng)用系統(tǒng)之間的認(rèn)證模式和規(guī)范不同�����,安全等級(jí)劃分標(biāo)準(zhǔn)也不同,不便于全校的安全管理�。免費(fèi)論文,整合�����。
(4)一個(gè)用戶如要使用多個(gè)應(yīng)用系統(tǒng)��,就必須記憶多套賬號(hào)信息�����,并需重復(fù)登錄�,給用戶的操作帶來極大的不變[2]。免費(fèi)論文����,整合。
3�����、應(yīng)用系統(tǒng)建設(shè)
應(yīng)用系統(tǒng)主要有一卡通系統(tǒng)���、數(shù)字圖書館��、教學(xué)系統(tǒng)�����、學(xué)工系統(tǒng)�����、人事系統(tǒng)���、財(cái)務(wù)系統(tǒng)、精品課程等�����。
(1)一卡通系統(tǒng)
一卡通是數(shù)字化校園建設(shè)的重要內(nèi)容���,是校內(nèi)各系統(tǒng)連接的樞紐�。校園一卡通以校園網(wǎng)為基礎(chǔ)���,集成各種計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備�、數(shù)據(jù)終端,以IC卡為載體實(shí)現(xiàn)校園管理的信息化�。系統(tǒng)建成以后,將取代以前校內(nèi)的各種卡證(如借書證���、飯卡����、工作證���、學(xué)生證等)��,真正實(shí)現(xiàn)校內(nèi)工作��、學(xué)習(xí)����、生活的“一卡通”�。
(2)數(shù)字圖書館
數(shù)字圖書館是數(shù)字化校園的重要組成部分,它是指運(yùn)用數(shù)字技術(shù)和信息技術(shù)把處于不同地理位置的信息資源進(jìn)行整合存儲(chǔ)�����,并通過網(wǎng)絡(luò)向廣大讀者提供多媒體信息資源的虛擬化圖書館�����。數(shù)字圖書館不受地域空間的限制,能最大限度地共享各地信息資源���。
(3)教學(xué)系統(tǒng)
教學(xué)系統(tǒng)主要有教務(wù)管理系統(tǒng)��,它管理的對(duì)象主要有學(xué)生信息�、教師信息�����、管理人員信息以及教學(xué)資源信息(如教室�����、多媒體等)�。而它主要實(shí)現(xiàn)的功能有:排課����、選課、考試安排�����、教學(xué)測評(píng)等[3]。
五.結(jié)束語
數(shù)字化校園已經(jīng)成為建設(shè)現(xiàn)代化高校必須面臨的課題����。數(shù)字化校園建成后,將很大程度上改變學(xué)校的教學(xué)�����、管理�、科研等工作模式,更方便了校內(nèi)的信息傳遞��、共享��。但國內(nèi)醫(yī)學(xué)院校的數(shù)字化校園建設(shè)還有很長的一段路要走�,必須在初期做好整體規(guī)劃,以學(xué)校的中心工作為出發(fā)點(diǎn)有計(jì)劃地實(shí)施��。
參考文獻(xiàn)
[1]傅霖����,張凡,江魁.高校數(shù)字校園探索與信息標(biāo)準(zhǔn)化建設(shè)[J].中國教育信息化���,2007
[2]張應(yīng)祥��,吳健���,孟彤.數(shù)字校園統(tǒng)一身份認(rèn)證系統(tǒng)及管理平臺(tái)設(shè)計(jì)����,2010
篇5
隨著網(wǎng)絡(luò)的發(fā)展��,電子商務(wù)的迅速崛起�,使網(wǎng)絡(luò)成為國際競爭的新戰(zhàn)場。然而,由于網(wǎng)絡(luò)技術(shù)本身的缺陷,使得網(wǎng)絡(luò)社會(huì)的脆性大大增加��,一旦計(jì)算機(jī)網(wǎng)絡(luò)受到攻擊不能正常運(yùn)作時(shí),整個(gè)社會(huì)就會(huì)陷入危機(jī)�。所以,構(gòu)筑安全的電子商務(wù)信息環(huán)境,愈來愈受到國際社會(huì)的高度關(guān)注。
一�����、電子商務(wù)中的信息安全技術(shù)
電子商務(wù)的信息安全在很大程度上依賴于技術(shù)的完善,包括密碼��、鑒別�����、訪問控制�、信息流控制、數(shù)據(jù)保護(hù)��、軟件保護(hù)���、病毒檢測及清除�、內(nèi)容分類識(shí)別和過濾��、網(wǎng)絡(luò)隱患掃描�����、系統(tǒng)安全監(jiān)測報(bào)警與審計(jì)等技術(shù)����。
1.防火墻技術(shù)。防火墻主要是加強(qiáng)網(wǎng)絡(luò)之間的訪問控制, 防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)���。
2.加密技術(shù)���。數(shù)據(jù)加密就是按照確定的密碼算法將敏感的明文數(shù)據(jù)變換成難以識(shí)別的密文數(shù)據(jù),當(dāng)需要時(shí)可使用不同的密鑰將密文數(shù)據(jù)還原成明文數(shù)據(jù)。
3.數(shù)字簽名技術(shù)����。數(shù)字簽名技術(shù)是將摘要用發(fā)送者的私鑰加密,與原文一起傳送給接收者,接收者只有用發(fā)送者的公鑰才能解密被加密的摘要��。
4.數(shù)字時(shí)間戳技術(shù)�。時(shí)間戳是一個(gè)經(jīng)加密后形成的憑證文檔�,包括需加時(shí)間戳的文件的摘要、dts 收到文件的日期與時(shí)間和dis 數(shù)字簽名�����,用戶首先將需要加時(shí)間的文件用hash編碼加密形成摘要����,然后將該摘要發(fā)送到dts,dts 在加入了收到文件摘要的日期和時(shí)間信息后再對(duì)該文件加密,然后送回用戶�����。
二�����、電子商務(wù)安全防范措施
網(wǎng)絡(luò)安全是電子商務(wù)的基礎(chǔ)�。網(wǎng)絡(luò)安全防范技術(shù)可以從數(shù)據(jù)的加密(解密)算法�、安全的網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)防火墻、完善的安全管理制度����、硬件的加密和物理保護(hù)、安全監(jiān)聽系統(tǒng)和防病毒軟件等領(lǐng)域來進(jìn)行考慮和完善�。
1.防火墻技術(shù)
用過internet,企業(yè)可以從異地取回重要數(shù)據(jù),同時(shí)又要面對(duì) internet 帶來的數(shù)據(jù)安全的新挑戰(zhàn)和新危險(xiǎn):即客戶、推銷商����、移動(dòng)用戶、異地員工和內(nèi)部員工的安全訪問;以及保護(hù)企業(yè)的機(jī)密信息不受黑客和工業(yè)間諜的入侵�。因此,企業(yè)必須加筑安全的“壕溝”,而這個(gè)“壕溝”就是防火墻.防火墻系統(tǒng)決定了哪些內(nèi)容服務(wù)可以被外界訪問;外界的哪些人可以訪問內(nèi)部的服務(wù)以及哪些外部服務(wù)可以被內(nèi)部人員訪問。防火墻必須只允許授權(quán)的數(shù)據(jù)通過����,而且防火墻本身必須能夠免于滲透。
2. vpn技術(shù)
虛擬專用網(wǎng)簡稱vpn,指將物理上分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng)聯(lián)接而形成邏輯上的虛擬“私”網(wǎng),依靠ips或 nsp在安全隧道��、用戶認(rèn)證和訪問控制等相關(guān)技術(shù)的控制下達(dá)到與專用網(wǎng)絡(luò)類同的安全性能,從而實(shí)現(xiàn)基于 internet 安全傳輸重要信息的效應(yīng)����。目前vpn 主要采用四項(xiàng)技術(shù)來保證安全, 這四項(xiàng)技術(shù)分別是隧道技術(shù)、加解密技術(shù)����、密鑰管理技術(shù)����、使用者與設(shè)備身份認(rèn)證技術(shù)��。
3.數(shù)字簽名技術(shù)
為了保證數(shù)據(jù)和交易的安全��、防止欺騙,確認(rèn)交易雙方的真實(shí)身份,電子商務(wù)必須采用加密技術(shù)�。數(shù)字簽名就是基于加密技術(shù)的,它的作用就是用來確定用戶是否是真實(shí)的。數(shù)字簽名就是通過一個(gè)單向哈希函數(shù)對(duì)要傳送的報(bào)文進(jìn)行處理而得到的用以認(rèn)證報(bào)文是否發(fā)生改變的一個(gè)字母數(shù)字串�����。發(fā)送者用自己的私鑰把數(shù)據(jù)加密后傳送給接收者,接收者用發(fā)送者的公鑰解開數(shù)據(jù)后,就可確認(rèn)消息來自于誰,同時(shí)也是對(duì)發(fā)送者發(fā)送的信息真實(shí)性的一個(gè)證明,發(fā)送者對(duì)所發(fā)信息不可抵賴,從而實(shí)現(xiàn)信息的有效性和不可否認(rèn)性��。
三���、電子商務(wù)的安全認(rèn)證體系
隨著計(jì)算機(jī)的發(fā)展和社會(huì)的進(jìn)步,通過網(wǎng)絡(luò)進(jìn)行的電子商務(wù)活動(dòng)當(dāng)今社會(huì)越來越頻繁,身份認(rèn)證是一個(gè)不得不解決的重要問題,它將直接關(guān)系到電子商務(wù)活動(dòng)能否高效而有序地進(jìn)行��。認(rèn)證體系在電子商務(wù)中至關(guān)重要,它是用戶獲得訪問權(quán)限的關(guān)鍵步驟?����,F(xiàn)代密碼的兩個(gè)最重要的分支就是加密和認(rèn)證�。加密目的就是防止敵方獲得機(jī)密信息��。認(rèn)證則是為了防止敵方的主動(dòng)攻擊,包括驗(yàn)證信息真?zhèn)渭胺乐剐畔⒃谕ㄐ胚^程被篡改刪除����、插入、偽造及重放等�。認(rèn)證主要包括三個(gè)方面:消息認(rèn)證、身份認(rèn)證和數(shù)字簽名���。
身份認(rèn)證一般是通過對(duì)被認(rèn)證對(duì)象(人或事)的一個(gè)或多個(gè)參數(shù)進(jìn)行驗(yàn)證����。從而確定被認(rèn)證對(duì)象是否名實(shí)相符或有效�。這要求要驗(yàn)證的參數(shù)與被認(rèn)證對(duì)象之間應(yīng)存在嚴(yán)格的對(duì)應(yīng)關(guān)系,最好是惟一對(duì)應(yīng)的。身份認(rèn)證是安全系統(tǒng)中的第一道關(guān)卡�。
數(shù)字證書是在互聯(lián)網(wǎng)通信中標(biāo)志通信各方身份信息的一系列數(shù)據(jù)。提供了一種 internet 上驗(yàn)證用戶身份的方式,其作用類似于司機(jī)的駕駛執(zhí)照或身份證�。它是由一個(gè)權(quán)威機(jī)構(gòu)ca機(jī)構(gòu),又稱為證書授權(quán)(certificate authority)中心發(fā)行的,人們可以在網(wǎng)上用它識(shí)別彼此的身份。
四��、結(jié)束語
安全實(shí)際上就是一種風(fēng)險(xiǎn)管理�。任何技術(shù)手段都不能保證100%的安全。但是,安全技術(shù)可以降低系統(tǒng)遭到破壞�、攻擊的風(fēng)險(xiǎn)。因此,為進(jìn)一步促進(jìn)電子商務(wù)體系的完善和行業(yè)的健康快速發(fā)展,必須在實(shí)際運(yùn)用中解決電子商務(wù)中出現(xiàn)的各類問題,使電子商務(wù)系統(tǒng)相對(duì)更安全�����。電子商務(wù)的安全運(yùn)行必須從多方面入手,僅在技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的,還必須完善電子商務(wù)立法,以規(guī)范飛速發(fā)展的電子商務(wù)現(xiàn)實(shí)中存在的各類問題,從而引導(dǎo)和促進(jìn)我國電子商務(wù)快速健康發(fā)展。
參考文獻(xiàn):
[1] 勞幗齡.電子商務(wù)的安全技術(shù)[m].北京:中國水利水電出版社,2005.
篇6
所謂電子商務(wù)(Electronic Commerce) 是利用計(jì)算機(jī)技術(shù)��、網(wǎng)絡(luò)技術(shù)和遠(yuǎn)程通信技術(shù), 實(shí)現(xiàn)整個(gè)商務(wù)(買賣)過程中的電子化����、數(shù)字化和網(wǎng)絡(luò)化。目前,因特網(wǎng)上影響交易最大的阻力就是交易安全問題, 據(jù)最新的中國互聯(lián)網(wǎng)發(fā)展統(tǒng)計(jì)報(bào)告顯示, 在被調(diào)查的人群中只有2.8%的人對(duì)網(wǎng)絡(luò)的安全性是感到很滿意的, 因此,電子商務(wù)的發(fā)展必須重視安全問題���。
一�、電子商務(wù)安全的要求
1�����、信息的保密性:指信息在存儲(chǔ)��、傳輸和處理過程中,不被他人竊取����。
2、信息的完整性:指確保收到的信息就是對(duì)方發(fā)送的信息,信息在存儲(chǔ)中不被篡改和破壞,保持與原發(fā)送信息的一致性�����。
3、 信息的不可否認(rèn)性:指信息的發(fā)送方不可否認(rèn)已經(jīng)發(fā)送的信息,接收方也不可否認(rèn)已經(jīng)收到的信息�。
4、 交易者身份的真實(shí)性:指交易雙方的身份是真實(shí)的,不是假冒的�。
5���、 系統(tǒng)的可靠性:指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)的硬件和軟件工作的可靠性�����。
在電子商務(wù)所需的幾種安全性要求中,以保密性�、完整性和不可否認(rèn)性最為關(guān)鍵���。電子商務(wù)安全性要求的實(shí)現(xiàn)涉及到以下多種安全技術(shù)的應(yīng)用��。
二�����、數(shù)據(jù)加密技術(shù)
將明文數(shù)據(jù)進(jìn)行某種變換,使其成為不可理解的形式,這個(gè)過程就是加密,這種不可理解的形式稱為密文�����。解密是加密的逆過程,即將密文還原成明文����。
(一)對(duì)稱密鑰加密與DES算法
對(duì)稱加密算法是指文件加密和解密使用一個(gè)相同秘密密鑰,也叫會(huì)話密鑰。目前世界上較為通用的對(duì)稱加密算法有RC4和DES��。這種加密算法的計(jì)算速度非?�??因此被廣泛應(yīng)用于對(duì)大量數(shù)據(jù)的加密過程��。
最具代表的對(duì)稱密鑰加密算法是美國國家標(biāo)準(zhǔn)局于1977年公布的由IBM公司提出DES (Data Encrypuon Standard)加密算法���。
(二)非對(duì)稱密鑰加密與RSA算法
為了克服對(duì)稱加密技術(shù)存在的密鑰管理和分發(fā)上的問題,1976年產(chǎn)生了密鑰管理更為簡化的非對(duì)稱密鑰密碼體系,也稱公鑰密碼體系(PublicKeyCrypt-system),用的最多是RSA算法,它是以三位發(fā)明者(Rivest�����、Shamir�、Adleman)姓名的第一個(gè)字母組合而成的�����。
在實(shí)踐中,為了保證電子商務(wù)系統(tǒng)的安全����、可靠以及使用效率,一般可以采用由RSA和DES相結(jié)合實(shí)現(xiàn)的綜合保密系統(tǒng)。
三、認(rèn)證技術(shù)
認(rèn)證技術(shù)是保證電子商務(wù)交易安全的一項(xiàng)重要技術(shù)�����。主要包括身份認(rèn)證和信息認(rèn)證����。前者用于鑒別用戶身份,后者用于保證通信雙方的不可抵賴性以及信息的完整性
(一)身份認(rèn)證
用戶身份認(rèn)證三種常用基本方式
1、口令方式
這種身份認(rèn)證方法操作十分簡單,但最不安全,因?yàn)槠浒踩詢H僅基于用戶口令的保密性,而用戶口令一般較短且容易猜測,不能抵御口令猜測攻擊,整個(gè)系統(tǒng)的安全容易受到威脅����。
2����、標(biāo)記方式
訪問系統(tǒng)資源時(shí),用戶必須持有合法的隨身攜帶的物理介質(zhì)(如存儲(chǔ)有用戶個(gè)性化數(shù)據(jù)的智能卡等)用于身份識(shí)別,訪問系統(tǒng)資源。
3�����、人體生物學(xué)特征方式
某些人體生物學(xué)特征,如指紋�、聲音、DNA圖案���、視網(wǎng)膜掃描圖案等等,這種方案一般造價(jià)較高,適用于保密程度很高的場合���。
加密技術(shù)解決信息的保密性問題,對(duì)于信息的完整性則可以用信息認(rèn)證方面的技術(shù)加以解決�。在某些情況下,信息認(rèn)證顯得比信息保密更為重要�����。
(二)數(shù)字摘要
數(shù)字摘要,也稱為安全Hash編碼法,簡稱SHA或MD5 ,是用來保證信息完整性的一項(xiàng)技術(shù)����。它是由Ron Rivest發(fā)明的一種單向加密算法,其加密結(jié)果是不能解密的。類似于人類的“指紋”,因此我們把這一串摘要而成的密文稱之為數(shù)字指紋,可以通過數(shù)字指紋鑒別其明文的真?zhèn)巍?/p>
(三)數(shù)字簽名
數(shù)字簽名建立在公鑰加密體制基礎(chǔ)上,是公鑰加密技術(shù)的另一類應(yīng)用���。它把公鑰加密技術(shù)和數(shù)字摘要結(jié)合起來,形成了實(shí)用的數(shù)字簽名技術(shù)�。
它的作用:確認(rèn)當(dāng)事人的身份,起到了簽名或蓋章的作用;能夠鑒別信息自簽發(fā)后到收到為止是否被篡改�����。
(四)數(shù)字時(shí)間戳
在電子交易中,時(shí)間和簽名同等重要��。數(shù)字時(shí)間戳技術(shù)是數(shù)字簽名技術(shù)一種變種的應(yīng)用,是由DTS服務(wù)機(jī)構(gòu)提供的電子商務(wù)安全服務(wù)項(xiàng)目,專門用于證明信息的發(fā)送時(shí)間����。包括三個(gè)部分:需加時(shí)間戳的文件的數(shù)字摘要;DTS機(jī)構(gòu)收到文件摘要的日期和時(shí)間; DTS機(jī)構(gòu)的數(shù)字簽名。
(五)認(rèn)證中心
認(rèn)證中心:(Certificate Authority,簡稱CA),也稱之為電子商務(wù)認(rèn)證中心,是承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù),能簽發(fā)數(shù)字證書,確認(rèn)用戶身份的�����、與具體交易行為無關(guān)的第三方權(quán)威機(jī)構(gòu)。認(rèn)證中心通常是企業(yè)性的服務(wù)機(jī)構(gòu),主要任務(wù)是受理證書的申請(qǐng)�、簽發(fā)和管理數(shù)字證書。其核心是公共密鑰基礎(chǔ)設(shè)(PKI)�。
我國現(xiàn)有的安全認(rèn)證體系(CA)在金融CA方面,根證書由中國人民銀行管理,根認(rèn)證管理一般是脫機(jī)管理;品牌認(rèn)證中心采用“統(tǒng)一品牌、聯(lián)合建設(shè)”的方針進(jìn)行��。在非金融CA方面,最初主要由中國電信負(fù)責(zé)建設(shè)�。
(六)數(shù)字證書
數(shù)字證書就是標(biāo)志網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù),用于證明某一主體(如個(gè)人用戶、服務(wù)器等)的身份以及其公鑰的合法性的一種權(quán)威性的電子文檔,由權(quán)威公正的第三方機(jī)構(gòu),即CA中心簽發(fā)�����。
以數(shù)字證書為核心的加密技術(shù)可以對(duì)網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密和解密��、數(shù)字簽名和簽名驗(yàn)證,確保網(wǎng)上傳遞信息的機(jī)密性����、完整性,以及交易實(shí)體身份的真實(shí)性,簽名信息的不可否認(rèn)性,從而保障網(wǎng)絡(luò)應(yīng)用的安全性���。
四����、電子商務(wù)的安全交易標(biāo)準(zhǔn)
(一)安全套接層協(xié)議
SSL (secure sockets layer)是由Netscape Communication公司是由設(shè)計(jì)開發(fā)的,其目的是通過在收發(fā)雙方建立安全通道來提高應(yīng)用程序間交換數(shù)據(jù)的安全性,從而實(shí)現(xiàn)瀏覽器和服務(wù)器(通常是Web服務(wù)器)之間的安全通信。
目前Microsoft和Netscape的瀏覽器都支持SSL,很多Web服務(wù)器也支持SSL���。SSL是一種利用公共密鑰技術(shù)的工業(yè)標(biāo)準(zhǔn),已經(jīng)廣泛用于Internet�����。
(二)安全電子交易協(xié)議
(Secure Electronic Transaction)它是由VISA和MasterCard兩大信用卡公司發(fā)起,會(huì)同IBM�����、Microsoft等信息產(chǎn)業(yè)巨頭于1997年6月正式制定的用于因特網(wǎng)事務(wù)處理的一種標(biāo)準(zhǔn)�。采用DES�、RC4等對(duì)稱加密體制加密要傳輸?shù)男畔?并用數(shù)字摘要和數(shù)字簽名技術(shù)來鑒別信息的真?zhèn)渭捌渫暾?目前已經(jīng)被廣為認(rèn)可而成了事實(shí)上的國際通用的網(wǎng)上支付標(biāo)準(zhǔn),其交易形態(tài)將成為未來電子商務(wù)的規(guī)范。
五�����、總結(jié)
網(wǎng)絡(luò)應(yīng)用以安全為本,只有充分掌握有關(guān)電子商務(wù)的技術(shù),才能使電子商務(wù)更好的為我們服務(wù)���。然而,如何利用這些技術(shù)仍是今后一段時(shí)間內(nèi)需要深入研究的課題����。
參考文獻(xiàn):
篇7
高校各個(gè)部門相對(duì)獨(dú)立分散的業(yè)務(wù)系統(tǒng)通過數(shù)字化校園三大平臺(tái)進(jìn)行統(tǒng)一整合和有效的集成�,對(duì)集成數(shù)據(jù)制定統(tǒng)一的標(biāo)準(zhǔn)��,實(shí)時(shí)更新各種數(shù)據(jù)信息���,確保信息的一致性和提高信息的準(zhǔn)確性,從而提升領(lǐng)導(dǎo)的決策水平和高校整體管理水平���。數(shù)字化校園三大平臺(tái)不僅可以解決高校信息孤島的問題�,規(guī)范業(yè)務(wù)流程�,還能為高校師生提供“一站式”服務(wù),提高工作效率�。
1 信息化標(biāo)準(zhǔn)建設(shè)與公共數(shù)據(jù)平臺(tái)建設(shè)
現(xiàn)如今,高校各部門各司其職�����,根據(jù)需求建立各自的管理系統(tǒng)����,缺乏數(shù)據(jù)統(tǒng)一標(biāo)準(zhǔn)和資源共享的意識(shí)��。如果高校沒有建立統(tǒng)一的信息化標(biāo)準(zhǔn)�,往往會(huì)導(dǎo)致數(shù)據(jù)資源的浪費(fèi)。建設(shè)數(shù)字化校園三大平臺(tái)的主要目的是實(shí)現(xiàn)資源和數(shù)據(jù)共享以及將多個(gè)不關(guān)聯(lián)的系統(tǒng)統(tǒng)一成一個(gè)系統(tǒng)����,實(shí)現(xiàn)各部門之間數(shù)據(jù)交互����,方便信息管理���,提高工作效率�����。所謂信息化標(biāo)準(zhǔn)����,是指信息在產(chǎn)生��、傳輸����、交換和處理時(shí)采用統(tǒng)一的概念、傳輸和表達(dá)格式����、術(shù)語以及規(guī)則。
公共數(shù)據(jù)平臺(tái)是建設(shè)信息門戶平臺(tái)和統(tǒng)一身份認(rèn)證平臺(tái)的基礎(chǔ)�����,是數(shù)字化校園建設(shè)的重要組成部分。通過公共數(shù)據(jù)平臺(tái)�����,可以對(duì)學(xué)校各個(gè)部門的數(shù)據(jù)信息進(jìn)行收集��、管理和利用��,可以有效解決“數(shù)據(jù)共享難����、信息孤島”問題。公共數(shù)據(jù)庫是統(tǒng)一管理數(shù)字化校園中的各種結(jié)構(gòu)化數(shù)據(jù)的平臺(tái)����,具有建立和劃分面向具體業(yè)務(wù)的數(shù)據(jù)庫功能,可確保數(shù)據(jù)的一致性���、完整性和安全性�。通過數(shù)據(jù)集成平臺(tái)可以將教務(wù)處�、財(cái)務(wù)處�、學(xué)工處�、人事處��、科研處�、圖書館等應(yīng)用系統(tǒng)的數(shù)據(jù)庫集中到公共數(shù)據(jù)庫里,并保持所有應(yīng)用數(shù)據(jù)的統(tǒng)一�����。
2 統(tǒng)一身份認(rèn)證平臺(tái)建設(shè)
隨著教育信息化的發(fā)展�,學(xué)校需求的應(yīng)用系統(tǒng)越來越多,不利于網(wǎng)絡(luò)管理工作的開展�。尤其是不同的應(yīng)用系統(tǒng)其身份認(rèn)證方式也不同,用戶人員需要掌握大量的登錄信息���,經(jīng)常會(huì)出現(xiàn)混淆登錄信息以及忘記登錄密碼的問題�,降低了用戶的工作效率�,同時(shí)也給網(wǎng)絡(luò)中心工作人員增加了不少的任務(wù)量。高?���,F(xiàn)有的業(yè)務(wù)系統(tǒng)大部分都是單獨(dú)授權(quán)、單獨(dú)認(rèn)證和單獨(dú)的賬號(hào)管理的模式����,這種模式已經(jīng)不能滿足信息化快速發(fā)展的需求����。因此�,建設(shè)一個(gè)統(tǒng)一的、安全可靠的�、集中式的身份認(rèn)證和管理平臺(tái)是一項(xiàng)相當(dāng)重要的任務(wù)。
統(tǒng)一身份認(rèn)證平臺(tái)屬于信息門戶平臺(tái)的身份認(rèn)證方面����,可以支持多個(gè)業(yè)務(wù)系統(tǒng)間單點(diǎn)登錄(SSO),為各學(xué)校各個(gè)部門的業(yè)務(wù)系統(tǒng)提供集中式管理和安全認(rèn)證機(jī)制��,使得各種業(yè)務(wù)系統(tǒng)有效的整合和集成在一起���。為了更好的使用系統(tǒng)和降低信息中心運(yùn)維人員的工作負(fù)擔(dān)���,統(tǒng)一身份認(rèn)證平臺(tái)提供了自助密碼找回功能。
3 信息門戶平臺(tái)建設(shè)
信息門戶平臺(tái)是直接展現(xiàn)給用戶面前的���,不僅可以及時(shí)的新聞通知���,還可以提供管理、學(xué)習(xí)、生活等多方面的服務(wù)����,增強(qiáng)了用戶體驗(yàn)感���,給全校師生帶來了便捷性���。
在該平臺(tái)中,通過微博聚合方式將學(xué)校官方微博中的新聞�����、通知等信息推送到門敉站中�����。另外�,學(xué)校目前擁有的業(yè)務(wù)系統(tǒng)如教務(wù)系統(tǒng)、財(cái)務(wù)系統(tǒng)��、人事系統(tǒng)�����、科研系統(tǒng)、郵件系統(tǒng)����、OA系統(tǒng)、校園一卡通�、就業(yè)系統(tǒng)、迎新系統(tǒng)���、離校系統(tǒng)等模塊也會(huì)集成到門戶網(wǎng)站中����,并抽取OA待辦事項(xiàng)��、圖書借閱情況�、校園卡余額、教師的本月工資和公積金發(fā)送情況����、站內(nèi)信息未讀提醒等服務(wù)模塊。信息門戶管理平臺(tái)根據(jù)學(xué)校領(lǐng)導(dǎo)�、普通教師以及學(xué)生需求的不同將信息門戶頁面展現(xiàn)的內(nèi)容劃分成三種,例如����,以學(xué)生身份作為用戶登錄進(jìn)去,頁面中會(huì)增加成績查詢和已修學(xué)分信息,方便學(xué)生掌握自己的已修課程成績和學(xué)分情況���。此外��,用戶可以根據(jù)本身的愛好需求將一些應(yīng)用模塊添加到首頁,對(duì)界面進(jìn)行美化�,增強(qiáng)用戶體驗(yàn)感。
4 結(jié)束語
數(shù)字化校園三大平臺(tái)建設(shè)在計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)基礎(chǔ)之上將高校內(nèi)部各個(gè)相對(duì)獨(dú)立分散的業(yè)務(wù)系統(tǒng)有效的集成在一起��,有效的解決了信息孤島的問題��,實(shí)現(xiàn)了數(shù)據(jù)共享�����,提高了高校整體管理水平和綜合實(shí)力���,有助于學(xué)模式和觀念的轉(zhuǎn)變����,更好的輔助學(xué)校領(lǐng)導(dǎo)決策�����。
參考文獻(xiàn)
[1]張應(yīng)祥.高校數(shù)字校園信息標(biāo)準(zhǔn)設(shè)計(jì)研究[J].中國教育信息化,2010(05):22-24.
[2]殷娜.數(shù)字化校園統(tǒng)一身份認(rèn)證平臺(tái)的構(gòu)建[J].計(jì)算機(jī)技術(shù)與發(fā)展�,2014(08).
[3]任婕.統(tǒng)一認(rèn)證在校園門戶網(wǎng)站上的應(yīng)用[J].江蘇教育學(xué)院學(xué)報(bào):自然科學(xué)版,2010����,26(12):63-67.
篇8
中圖分類號(hào):TP393.07文獻(xiàn)標(biāo)識(shí)碼:A
文章編號(hào):1004-373X(2010)04-122-03
Research on Integration of Library Management System
Based on Campus Portal Platform
DAI Ying
(Network Information Center,Chang′an University,Xi′an,710064,China)
Abstract:Integrated library management system is focus of the work in building a digital campus,which is based on the portal platform and included uniform identity authentication integration,data integration and information sharing portal integration.Three major areas of the integrated objectives and methods are described,and the realization of practical technology solutions to access remote digital resources for which enable the staff to live in out of school through uniform identity authentication to visit it,which provide a reference for someone who engaged in this domain research work in other colleges and universities.
Keywords:campus portal platform;library management system;uniform identity authentication;integrated information portal;sharing of data integration;remote digital resource
0 引 言
校園門戶平臺(tái)是基于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的一種管理平臺(tái),它以一種全新的信息服務(wù)形式向高校內(nèi)各種不同類型的群體提供個(gè)性化的服務(wù)。它將學(xué)校從環(huán)境(包括網(wǎng)絡(luò)���、設(shè)備����、教室等)�、資源(諸如圖書、講義��、課件等)到活動(dòng)(包括教��、學(xué)�����、管理�����、服務(wù)、辦公等)逐步數(shù)字化,形成一個(gè)數(shù)字空間,通過設(shè)立統(tǒng)一的用戶管理����、統(tǒng)一的資源管理及統(tǒng)一的權(quán)限控制,學(xué)校建設(shè)成一個(gè)超越時(shí)間、空間的數(shù)字化校園[1]�����。
高校圖書館將為高校教學(xué)�、科研提供文獻(xiàn)信息保障的學(xué)術(shù)性機(jī)構(gòu),在高校和社會(huì)上占有重要地位,尤其在數(shù)字化校園建設(shè)蓬勃發(fā)展的今天,圖書館以豐富的文獻(xiàn)信息資源�、多樣的載體服務(wù)形式,進(jìn)一步奠定和加強(qiáng)了其作為學(xué)校信息資源中心的地位[2]。因此,基于校園門戶平臺(tái)圖書館管理系統(tǒng)的集成工作成為當(dāng)前數(shù)字化校園建設(shè)工作中的重要組成部分����。在此針對(duì)我校圖書館管理系統(tǒng)在門戶平臺(tái)中的集成與功能實(shí)現(xiàn)方面進(jìn)行相關(guān)的研究與探索,希望能對(duì)大家有所啟示。
1 我校圖書館管理系統(tǒng)概述以及其集成工作的必要性
我校圖書館文獻(xiàn)資源豐富�、載體形式多樣、專業(yè)特色明顯,除擁有大量館藏圖書���、期刊合訂本����、中外文現(xiàn)刊外,還擁有超星�、北大方正等20多萬種電子圖書,同時(shí)還提供給讀者萬方數(shù)據(jù)資源�����、中國期刊網(wǎng)����、中文科技期刊數(shù)據(jù)庫�、EI(工程索引)、UMI(美國博碩士論文全文數(shù)據(jù)庫)�、ASCE(美國土木工程師協(xié)會(huì)數(shù)據(jù)庫)、OSA(劍橋科學(xué)文摘)等20種國內(nèi)外著名中外文數(shù)據(jù)庫系統(tǒng)�����。
圖書館管理系統(tǒng)架構(gòu)為B/S+C/S結(jié)構(gòu),其操作系統(tǒng)版本為Linux AS 4.0,數(shù)據(jù)庫版本為Oracle 9.2.0.4,業(yè)務(wù)系統(tǒng)開發(fā)語言:B/S部分為 PHP,C/S部分為 VB和VC,其Web網(wǎng)絡(luò)環(huán)境基于校園網(wǎng),數(shù)據(jù)庫網(wǎng)絡(luò)環(huán)境為圖書館內(nèi)網(wǎng)��。由于其Web網(wǎng)絡(luò)環(huán)境基于校園網(wǎng),因此外網(wǎng)用戶無法登錄該系統(tǒng)了解本人書刊借閱情況,影響其及時(shí)辦理書刊的預(yù)約�����、續(xù)借等手續(xù);同時(shí)也無法進(jìn)入中外文數(shù)據(jù)庫及電子圖書資源庫享用豐富的遠(yuǎn)程數(shù)字資源,這對(duì)于居住在校園外或出差在外的教職工的工作生活造成一些困擾和不便�。基于校園門戶平臺(tái)的圖書館管理系統(tǒng)的集成研究將著手解決諸如此類的問題,以期數(shù)字化校園建設(shè)工作更好地服務(wù)于廣大教職員工�����。
2 圖書館管理系統(tǒng)集成內(nèi)容
基于門戶平臺(tái)的圖書館管理系統(tǒng)集成包括統(tǒng)一身份認(rèn)證集成、共享數(shù)據(jù)集成和信息門戶集成三部分��。
(1) 統(tǒng)一身份認(rèn)證集成�����。通過確定統(tǒng)一身份認(rèn)證系統(tǒng)的用戶權(quán)威身份信息,建立起統(tǒng)一的認(rèn)證平臺(tái),實(shí)現(xiàn)圖書館系統(tǒng)嵌入學(xué)校信息門戶中,通過單點(diǎn)登錄直接進(jìn)入�。屆時(shí)用戶通過統(tǒng)一身份認(rèn)證帳號(hào)(校內(nèi)教職工工資編號(hào)/學(xué)生學(xué)號(hào))登錄信息門戶后,無需輸入圖書館系統(tǒng)帳號(hào)、密碼便可直接進(jìn)入圖書館系統(tǒng)進(jìn)行相關(guān)業(yè)務(wù)系統(tǒng)的使用�。有效避免了用戶輸入不同訪問網(wǎng)址,記憶不同用戶名及密碼所帶來的不便和困擾[3]。
(2) 共享數(shù)據(jù)集成��。共享數(shù)據(jù)集成是圖書館系統(tǒng)集成的核心所在,其集成目標(biāo)為:實(shí)現(xiàn)公共數(shù)據(jù)庫自動(dòng)從圖書館系統(tǒng)中抽取相關(guān)個(gè)人信息,并通過數(shù)據(jù)集成工具集成到公共數(shù)據(jù)庫中,使公共數(shù)據(jù)庫平臺(tái)成為全校范圍內(nèi)惟一全面的數(shù)據(jù)源;數(shù)據(jù)集成后,提供個(gè)人圖書館信息門戶上的展現(xiàn)或供其他業(yè)務(wù)部門使用[4]����。如圖1所示�。
圖1 共享數(shù)據(jù)集成過程圖示
圖書館系統(tǒng)開放公共數(shù)據(jù)庫需要的源視圖讀權(quán)限,集成方式在抽取范圍上采用增量抽取;周期上采用定時(shí)同步,周期為一天;其采集方式通過數(shù)據(jù)集成平臺(tái)實(shí)現(xiàn)[5]。
(3) 信息門戶集成��?��;趫D書館系統(tǒng)實(shí)現(xiàn)統(tǒng)一身份認(rèn)證及共享數(shù)據(jù)集成的基礎(chǔ)上,通過信息門戶為廣大師生提供統(tǒng)一的����、個(gè)性化的圖書信息查詢服務(wù)。其集成方式通過開發(fā)單獨(dú)的Portlet在信息門戶上直接展現(xiàn)個(gè)人圖書借閱情況,預(yù)約圖書流轉(zhuǎn)信息以及圖書超期預(yù)警與罰款通知等[6]�。
信息門戶集成的優(yōu)點(diǎn)集中體現(xiàn)在基于共享數(shù)據(jù)集成實(shí)現(xiàn)的基礎(chǔ)上。因此它可以不完全依賴于圖書館系統(tǒng)本身,一旦圖書館數(shù)據(jù)庫發(fā)生故障,門戶上依然能夠滿足用戶個(gè)人圖書館歷史記錄的查詢需求,將其所帶來的不利因素降到最低點(diǎn)���。個(gè)人圖書借閱信息展示截圖如圖2所示����。
圖2 個(gè)人圖書借閱信息展示截圖
3 統(tǒng)一身份認(rèn)證及校內(nèi)遠(yuǎn)程數(shù)字資源訪問功能實(shí)現(xiàn)方式
3.1 統(tǒng)一身份認(rèn)證實(shí)現(xiàn)方式
圖書館管理系統(tǒng)Web查詢部分是基于PHP開發(fā)的,因此集成方式采用“PHP客戶端”集成方式�����。由開發(fā)人員提供PHP認(rèn)證頭,圖書館管理系統(tǒng)據(jù)此修改其登錄模塊���。認(rèn)證頭程序主要校驗(yàn)Cookie,判斷當(dāng)前用戶是否已通過統(tǒng)一身份認(rèn)證并在有效的會(huì)話期內(nèi),如通過驗(yàn)證,則實(shí)現(xiàn)單點(diǎn)登錄[7]�。單點(diǎn)登錄后,圖書館管理系統(tǒng)從統(tǒng)一身份認(rèn)證中獲取用戶的基本信息(登錄名)���。為保證用戶登錄號(hào)碼與統(tǒng)一身份認(rèn)證平臺(tái)中的用戶一致,需要提供給圖書館系統(tǒng)認(rèn)證程序接口,其具體實(shí)現(xiàn)步驟如下:
(1) 拷貝圖書館系統(tǒng)集成開發(fā)包,解開其中有關(guān)統(tǒng)一身份認(rèn)證接口的相關(guān)程序,并放到相應(yīng)的目錄下;
(2) 配置客戶端參數(shù),更新client.properties中的參數(shù):
ids.UserName=connetusername
ids.Password=connectpassword
IdentityManager.Proxy=IdentityManager:tcp-p 58000-h yourserverip
(3) 配置PHP
修改php.ini ,加入如下配置:
extensiondir = /***/***/lib
extension=libIdstarPhp.so
(4) 啟動(dòng) Apache
在啟動(dòng) apache前需要設(shè)置庫的加載路徑,如下:
export LDLIBRARYPATH=/***/***/lib
apachectl start
3.2 圖書館校內(nèi)遠(yuǎn)程數(shù)字資源訪問功能實(shí)現(xiàn)
圖書館校內(nèi)遠(yuǎn)程資源訪問功能實(shí)現(xiàn)是建立在統(tǒng)一身份認(rèn)證集成基礎(chǔ)上,屬統(tǒng)一身份認(rèn)證集成的一部分���。長期以來居住在校外或出差在外的外網(wǎng)用戶無法在家中或外地遠(yuǎn)程訪問學(xué)校圖書館中外文數(shù)據(jù)庫及電子圖書資源庫等校內(nèi)遠(yuǎn)程數(shù)字資源,給工作、生活帶來一定程度的不便,同時(shí)在某種程度上也造成資源的閑置與浪費(fèi)�����。校園門戶系統(tǒng)的統(tǒng)一身份認(rèn)證集成和訪問設(shè)置則實(shí)現(xiàn)了這部分用戶對(duì)于圖書館校內(nèi)遠(yuǎn)程數(shù)字資源的訪問[8,9]。圖書館校內(nèi)資源遠(yuǎn)程訪問流程圖如圖3所示��。
圖3 圖書館校內(nèi)資源遠(yuǎn)程訪問流程圖
用戶通過配置服務(wù)器地址在校外訪問門戶網(wǎng)站,通過統(tǒng)一身份認(rèn)證后進(jìn)入信息門戶展示平臺(tái),訪問校內(nèi)資源;信息門戶平臺(tái)上設(shè)置中外文數(shù)據(jù)庫及電子圖書資源庫等校內(nèi)遠(yuǎn)程數(shù)字資源欄目,并提供完成遠(yuǎn)程訪問所需要的批處理腳本文件,用戶解壓下載下來的批處理文件,雙擊其中的enableProxy.bat文件,完成該地址的設(shè)置;服務(wù)器根據(jù)用戶組的不同,分配相應(yīng)的校內(nèi)地址,使用戶直接進(jìn)入校內(nèi)遠(yuǎn)程訪問資源欄目,點(diǎn)擊訪問所需的校內(nèi)遠(yuǎn)程數(shù)字資源;雙擊下載的disenableProxy.bat,即可取消該地址的設(shè)置,正常訪問門戶系統(tǒng)[10]���。
4 結(jié) 語
基于校園門戶平臺(tái)圖書館管理系統(tǒng)的集成研究,在實(shí)現(xiàn)用戶統(tǒng)一身份認(rèn)證的基礎(chǔ)上,方便了教職工及學(xué)生對(duì)圖書館管理系統(tǒng)的使用,尤其是圖書館遠(yuǎn)程數(shù)字資源訪問功能的實(shí)現(xiàn),給居住或出差在外的教職工的工作��、學(xué)習(xí)���、生活帶來很大的便利。同時(shí),還考慮在門戶平臺(tái)上增加若干控件,方便用戶自行訂制相關(guān)個(gè)性化服務(wù),如將有關(guān)新書報(bào)道����、預(yù)約圖書、欠費(fèi)預(yù)警及圖書超期罰款等信息以短消息形式即時(shí)在個(gè)人門戶上顯示,以期更好地服務(wù)于廣大師生���。
參考文獻(xiàn)
[1]林三洲.數(shù)字化校園建設(shè)漫談[J].湖北經(jīng)濟(jì)學(xué)院學(xué)報(bào):人文社會(huì)科學(xué)版,2007,4(3):153-154.
[2]沈煜,裴艷慧.信息時(shí)代高校圖書館的作用和發(fā)展[J].晉圖學(xué)刊,2007(3):57-59.
[3]賀超波,陳啟買,歐陽輝.數(shù)字化校園門戶平臺(tái)統(tǒng)一身份認(rèn)證的實(shí)現(xiàn)[J].現(xiàn)代計(jì)算機(jī),2008(12):25-28.
[4]孫月洪.數(shù)據(jù)交換在數(shù)字化校園中的作用與實(shí)現(xiàn)[J].辦公自動(dòng)化,2009(1):35-37.
[5]鄧英.數(shù)字化校園建設(shè)中公共數(shù)據(jù)整合方案研究[J].電腦知識(shí)與技術(shù),2008(2):589-591.
[6]宮衛(wèi)濤,馬自衛(wèi).數(shù)字圖書館門戶集成技術(shù)及其實(shí)現(xiàn)[J].現(xiàn)代圖書情報(bào)技術(shù),2007(11): 23-27.
[7]張沖,武超,楊要科.校園網(wǎng)統(tǒng)身份認(rèn)證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].中原工學(xué)院學(xué)報(bào),2008,19(4):68-71.
篇9
0引言
由于網(wǎng)絡(luò)環(huán)境的特殊性���,每一個(gè)投人使用的網(wǎng)絡(luò)應(yīng)用系統(tǒng)都不可避免地面臨安全的威脅�����,因此�,必須采取相應(yīng)的安全措施�����。國內(nèi)在信息安全方面已做了很多相關(guān)研究�,但大多是單獨(dú)考慮資源保護(hù)或身份認(rèn)證等某一方面�,而對(duì)如何構(gòu)建一個(gè)相對(duì)完善且通用的網(wǎng)絡(luò)應(yīng)用系統(tǒng)信息安全解決方案研究不多。本文在ISO提出的安全服務(wù)框架下����,融合了數(shù)據(jù)加密、身份認(rèn)證和訪問控制三種安全技術(shù)和機(jī)制�����,并充分考慮了系統(tǒng)安全性需求與可用性�����、成本等特性之間的平衡�,提出了一個(gè)以信息資源傳輸和存儲(chǔ)安全保護(hù)、身份認(rèn)證安全管理和資源訪問安全控制為基本要素的網(wǎng)絡(luò)應(yīng)用系統(tǒng)信息安全模型��,為加強(qiáng)中小型企業(yè)網(wǎng)絡(luò)應(yīng)用系統(tǒng)安全性提供了一個(gè)比較簡單可行的方案�����。
1網(wǎng)絡(luò)應(yīng)用系統(tǒng)信息安全模型設(shè)計(jì)
1.1信息安全模型總體設(shè)想
本文提出的網(wǎng)絡(luò)應(yīng)用系統(tǒng)信息安全模型主要基于三個(gè)要素:信息資源傳輸和存儲(chǔ)安全保護(hù),身份認(rèn)證安全管理以及用戶對(duì)資源訪問的安全控制�。整個(gè)信息安全模型如圖1所示。模型利用過濾器來區(qū)分敏感數(shù)據(jù)與非敏感數(shù)據(jù)�����,對(duì)于非敏感數(shù)據(jù)直接以明文形式進(jìn)人信息資源層處理�����,而對(duì)敏感數(shù)據(jù)則采用加密傳輸通道進(jìn)行傳輸�����,且需要經(jīng)過身份認(rèn)證層與訪問控制層的控制后才能進(jìn)人信息資源層�。這樣的設(shè)計(jì)在保證了信息傳輸和存儲(chǔ)較高的安全性的同時(shí),減少了身份認(rèn)證層與訪問控制層的系統(tǒng)開銷���,大大提高了系統(tǒng)的運(yùn)行效率�����。而在信息資源層,則是通過備份機(jī)制、事務(wù)日志和使用常用加密算法對(duì)數(shù)據(jù)庫中數(shù)據(jù)進(jìn)行處理����,來保障信息傳輸和存儲(chǔ)的安全。
1.2身份認(rèn)證層的設(shè)計(jì)
身份認(rèn)證層主要包括兩部分:用戶身份認(rèn)證和用戶注冊(cè)信息管理���,采用了基于改進(jìn)的挑戰(zhàn)/應(yīng)答式動(dòng)態(tài)口令認(rèn)證機(jī)制�����。
目前使用比較普遍的是挑戰(zhàn)/應(yīng)答式動(dòng)態(tài)口令認(rèn)證機(jī)制���,每次認(rèn)證時(shí)服務(wù)器端都給客戶端發(fā)送一個(gè)不同的“挑戰(zhàn)”字串,客戶端收到這個(gè)字串后�,作出相應(yīng)的”應(yīng)答”。但是���,標(biāo)準(zhǔn)的挑戰(zhàn)/應(yīng)答動(dòng)態(tài)口令認(rèn)證機(jī)制具有攻擊者截獲隨機(jī)數(shù)從而假冒服務(wù)器和用戶���,以及口令以明文形式存放在數(shù)據(jù)庫中易受攻擊兩個(gè)缺點(diǎn)。在本模型采用的改進(jìn)的挑戰(zhàn)/應(yīng)答式動(dòng)態(tài)口令認(rèn)證機(jī)制中���,通過1.4節(jié)中論述的敏感數(shù)據(jù)加密通道對(duì)隨機(jī)數(shù)進(jìn)行加密傳輸解決了上述第一個(gè)問題;通過在客戶端將用戶口令經(jīng)M DS算法散列運(yùn)算并保存在服務(wù)器端數(shù)據(jù)庫解決了上述第二個(gè)問題�����,使得服務(wù)器在認(rèn)證時(shí)只需要比對(duì)客戶端處理后傳來的加密字符串即可��。方案的具體流程如下:
1)服務(wù)器端口令的保存當(dāng)用戶在服務(wù)器端錄人注冊(cè)信息時(shí)�����,將用戶的密碼進(jìn)行K次M DS散列運(yùn)算放在數(shù)據(jù)庫中��。
2)用戶請(qǐng)求登錄服務(wù)器端開始執(zhí)行口令驗(yàn)證:當(dāng)用戶請(qǐng)求登錄服務(wù)器時(shí)�,Web服務(wù)器在送出登錄頁面的同時(shí)產(chǎn)生一個(gè)隨機(jī)數(shù)并將其通過敏感數(shù)據(jù)加密傳輸通道發(fā)給客戶端。
3)客戶端M DS口令的生成客戶端首先重復(fù)調(diào)用與服務(wù)器端同樣的MDS運(yùn)算K次���,得到與保存在服務(wù)器端數(shù)據(jù)庫中的口令一致的消息摘要��。然后����,將從服務(wù)器傳來的隨機(jī)數(shù)與該口令相加后再調(diào)用客戶端的M DS散列運(yùn)算函數(shù)����,將結(jié)果(M DS口令)通過敏感數(shù)據(jù)加密傳輸通道傳送給服務(wù)器。
4)服務(wù)器端對(duì)MDS口令的驗(yàn)證服務(wù)器端收到客戶端傳來的用戶名和MDS口令后��,通過查詢數(shù)據(jù)庫,將已存儲(chǔ)的經(jīng)過K次M DS散列運(yùn)算的口令與隨機(jī)數(shù)相加后同樣進(jìn)行M DS散列運(yùn)算���,并比較兩個(gè)結(jié)果是否相同,如相同則通過驗(yàn)證����,否則拒絕請(qǐng)求。整個(gè)用戶口令的生成和驗(yàn)證過程如圖2所示�����。
1.3基于RBAC的訪問控制層的設(shè)計(jì)
訪問控制層主要包括兩部分:權(quán)限驗(yàn)證與授權(quán)和資源限制訪問�,采用了基于角色的訪問控制機(jī)制。在RBAC中引人角色的概念主要是為了分離用戶和訪間權(quán)限的直接聯(lián)系��,根據(jù)組織中不同崗位及其職能���,一個(gè)角色可以擁有多項(xiàng)權(quán)限����,可以被賦予多個(gè)用戶;而一個(gè)權(quán)限也可以分配給多個(gè)角色����。在這里���,約束機(jī)制對(duì)角色和權(quán)限分配來說非常重要,本模型設(shè)計(jì)的約束機(jī)制主要包括以下幾方面:一是限制一個(gè)角色可以支持的最大用戶容量����。如超級(jí)管理員這個(gè)角色對(duì)于應(yīng)用系統(tǒng)非常重要,只允許授權(quán)給一個(gè)用戶�,該角色的用戶容量就是1。二是設(shè)置互斥角色���。即不允許將互相排斥的角色授權(quán)給同一個(gè)用戶��。如客戶類的角色和管理員類的角色是互斥的��。三是設(shè)置互斥功能權(quán)限���。即不允許將互相排斥的功能權(quán)限授權(quán)給同一個(gè)角色。如客戶類角色查看自己銀行賬戶余額信息的權(quán)限與修改自己賬戶余額的權(quán)限就是互斥的��。
數(shù)據(jù)庫結(jié)構(gòu)設(shè)計(jì)是實(shí)現(xiàn)RBAC的重要環(huán)節(jié)�,良好的數(shù)據(jù)庫結(jié)構(gòu)設(shè)計(jì)本身就可以表述RBAC的要求。具體設(shè)計(jì)如下:
1)用戶信息表(User_info)保存用戶基本信息��。其字段有用戶ID ( User ID )���、用戶名稱(Username )��、密碼(Passw )�����、用戶類型( Kind )���。定義表中的Kind數(shù)據(jù)項(xiàng)與Role表中Kind數(shù)據(jù)項(xiàng)具有相同的形式。將用戶進(jìn)行分類后����,當(dāng)分配給用戶角色時(shí)可以指定用戶只能被分派到與其Kind屬性相同的角色,這樣就可以實(shí)現(xiàn)角色的互斥約束�。
2)角色信息表(Role )、保存各個(gè)等級(jí)的角色定義信息�。其字段有角色I(xiàn)D ( Role_ID )、角色名稱(Rolename )�、角色種類( Kind)和角色描述(Role_ Desc ) o Kind數(shù)據(jù)項(xiàng)代表指定角色集合中的類別。
3)用戶/角色關(guān)系信息表(User_Role)保存用戶和角色的對(duì)應(yīng)關(guān)系�,其字段有用戶ID和角色I(xiàn)D。當(dāng)向User_Role表中添加數(shù)據(jù)即給用戶分配角色時(shí)�����,要求User_ info表中要分配角色的用戶數(shù)據(jù)元組中的Kind數(shù)據(jù)項(xiàng)與Role表中相應(yīng)角色的元組Kind數(shù)據(jù)項(xiàng)相同,以實(shí)現(xiàn)一定尺度上的角色互斥��,避免用戶被賦予兩個(gè)不能同時(shí)擁有的角色類型�����。
4)權(quán)限信息表(Permission)保存系統(tǒng)中規(guī)定的對(duì)系統(tǒng)信息資源所有操作權(quán)限集合�。其字段有權(quán)限ID ( Per_ID ),操作許可(Per)��,資源ID( Pro_ID)和權(quán)限描述(Per Desc )��。
5)角色/權(quán)限信息表(Role_ Per)保存各個(gè)角色應(yīng)擁有權(quán)限的集合����。其字段有角色I(xiàn)D和權(quán)限ID。
6)系統(tǒng)信息資源秘密級(jí)別表(SecretLevel)保存規(guī)定的系統(tǒng)信息資源的秘密級(jí)別���。其字段有資源ID���,密級(jí)ID ( SecrLev_ID)和密級(jí)信息描述(Secr_Desc )。在客戶端和服務(wù)器端傳輸數(shù)據(jù)和存儲(chǔ)的過程中�,通過查詢?cè)摫砜梢耘袛嗄男┬畔①Y源為敏感數(shù)據(jù),從而決定對(duì)其實(shí)施相應(yīng)的安全技術(shù)和機(jī)制�����。
7)角色繼承關(guān)系表(Role_ Heir)存放表述各種角色之間繼承關(guān)系的信息。其字段有角色I(xiàn)D��,被繼承角色I(xiàn)D ( H_Role_ID )�����。角色繼承關(guān)系可以是一對(duì)一�����,一對(duì)多或多對(duì)多的�����,通過遍歷整個(gè)角色繼承關(guān)系表����,就可以知道所有的角色繼承關(guān)系����。
8)權(quán)限互斤表(MutexPer)保存表述角色對(duì)應(yīng)權(quán)限互斥關(guān)系的信息,其字段有權(quán)限ID和互斥權(quán)限ID���。
1.4敏感數(shù)據(jù)加密傳輸通道的設(shè)計(jì)
設(shè)計(jì)敏感數(shù)據(jù)加密傳輸通道的目的是保障敏感信息在傳輸過程中的保密性與完整性�。針對(duì)中小型企業(yè)網(wǎng)絡(luò)應(yīng)用系統(tǒng)的特點(diǎn),在充分對(duì)比各種數(shù)據(jù)加密傳輸解決方案的基礎(chǔ)上����,從成本和效果兩方面出發(fā),我們選擇3DES加密算法對(duì)敏感數(shù)據(jù)進(jìn)行加密���。同時(shí)又結(jié)合了RSA算法對(duì)密鑰進(jìn)行傳輸�,從而解決了對(duì)稱加密算法缺乏非對(duì)稱加密算法}/}/公鑰的安全性這個(gè)問題��。具體工作流程如下:
1)服務(wù)器端由RSA加密算法生成公鑰KSpub和私鑰KSpriv;
2)服務(wù)器端將公鑰KSpub傳送給客戶端;
3)客戶端接收公鑰KSpub�����,然后由3DES加密算法生成對(duì)稱密鑰Ksym�,用KSpub加密Ksym ;
4)客戶端將加密后的Ksym傳送給服務(wù)器端;
5)服務(wù)器端用KSpriv解密得到Ksym ;
6)敏感數(shù)據(jù)加密傳輸通道建立成功,服務(wù)器端和客戶端以Ksym作為密鑰對(duì)敏感數(shù)據(jù)加/解密并傳輸����。
1.5安全審計(jì)部分的設(shè)計(jì)
篇10
中圖分類號(hào): TN99?34 文獻(xiàn)標(biāo)識(shí)碼: A 文章編號(hào): 1004?373X(2016)24?0022?04
Optimization improvement of key technology of cloud electronic identity management and authentication system
WANG Pengcheng, XIE Kunpeng
(Henan Institute of Finance���, Zhengzhou 450000�, China)
Abstract: There are high risk, low efficiency of database storage�, high authentication error rate in the current identity management authentication technology. Therefore, a cloud electronic authentication management system is proposed. This system is mainly composed of authentication server���, system server and cloud access server. The control agent module in the authentication server intercepts the data information that the user requests for authentication by resource server�����, and sends the data information to the certification service module. When the user enters into the information database����, the files required by the user are encrypted and decrypted by the RSA system server module. The identity authentication relies on the user′s private key and authentication token. The data information is uploaded to the cloud access server for storage and transmission to complete the entire cloud electronic identity management and authentication. Partial functions����, flow charts of file encryption and decryption in RSA module�, as well as the power operation process of large numbers multiplication and large mathematical model in the verification process of RSA module are given in this paper. The experimental results shows that proposed identity management and authentication system has low energy consumption, high efficiency and high precision of data processing.
Keywords: identity management�; identity authentication; RSA module���; security
0 引 言
隨著電子信息技術(shù)的不斷發(fā)展��,公共網(wǎng)絡(luò)服務(wù)�����、事務(wù)查詢等功能越來越多地出現(xiàn)在電子信息系統(tǒng)上�����。它可以為跨互聯(lián)網(wǎng)的用戶們提供安全快速的身份認(rèn)證服務(wù)����。電子信息系統(tǒng)給人們的生活帶來便捷,但隨之也存在電子信息技術(shù)安全性方面的問題[1?3]�。其中的重要部分便是身份安全問題。構(gòu)建一個(gè)安全性優(yōu)良的電子身份信息管理和認(rèn)證系統(tǒng)是目前相關(guān)專業(yè)人員的重點(diǎn)研究方向[4?6]����。
目前的身份驗(yàn)證方法都存在一些不足。如文獻(xiàn)[7]提出了OPEN ID身份信息處理系統(tǒng)�,具體過程為讓用戶事先在網(wǎng)站上注冊(cè)個(gè)人信息,并且任何網(wǎng)站都可以使用OPEN ID進(jìn)行登錄����,對(duì)用戶身份進(jìn)行認(rèn)證。因?yàn)榫W(wǎng)站質(zhì)量參差不齊�,導(dǎo)致OPEN ID技術(shù)不穩(wěn)定�����,安全風(fēng)險(xiǎn)也很大����。文獻(xiàn)[8]提出單點(diǎn)登錄法����,當(dāng)用戶訪問任意的服務(wù)器,只要登錄過一次��,通過其中的安全認(rèn)證���,那么下次用戶再訪問其他資源的時(shí)候則無需再次認(rèn)證登錄���。其缺點(diǎn)為安全性能太低,中央數(shù)據(jù)庫的管理代價(jià)較高��。還會(huì)產(chǎn)生第三方服務(wù)器跨域問題���。文獻(xiàn)[9]采用了OITF聯(lián)合身份管理系統(tǒng),這種管理系統(tǒng)可以為多個(gè)應(yīng)用系統(tǒng)進(jìn)行身份認(rèn)證�,實(shí)現(xiàn)了跨域的單點(diǎn)登錄與身份管理。但由于身份安全級(jí)別的不同,安全認(rèn)證的需求也不同�����,在多個(gè)應(yīng)用系統(tǒng)中�,要想使用統(tǒng)一的認(rèn)證體系需要大量的開銷,極大地提高了成本����。為了解決以上方法中存在的問題,本文設(shè)計(jì)了一種云電子身份管理認(rèn)證系統(tǒng)�。
1 云電子身份管理與認(rèn)證系統(tǒng)設(shè)計(jì)
1.1 系統(tǒng)結(jié)構(gòu)
云電子身份管理認(rèn)證系統(tǒng)主要將數(shù)據(jù)庫中的用戶個(gè)人信息與各個(gè)應(yīng)用系統(tǒng)的數(shù)據(jù)通過身份認(rèn)證系統(tǒng),來進(jìn)行統(tǒng)一的管理���、認(rèn)證��。首先�����,認(rèn)證服務(wù)器將會(huì)對(duì)用戶的身份進(jìn)行確認(rèn)��,認(rèn)證服務(wù)器中的控制模塊截取用戶對(duì)資源服務(wù)器請(qǐng)求認(rèn)證的數(shù)據(jù)信息����,并將數(shù)據(jù)信息發(fā)送到認(rèn)證服務(wù)模塊進(jìn)行用戶身份認(rèn)證。用戶進(jìn)入到信息數(shù)據(jù)庫中后����,需要通過系統(tǒng)服務(wù)器中的核心模塊,也就是RSA模塊對(duì)用戶所需文件進(jìn)行加密解密處理����,最終將數(shù)據(jù)信息上傳到云訪問服務(wù)器中,以完成整個(gè)電子身份認(rèn)證管理過程�。云電子身份管理與認(rèn)證系統(tǒng)結(jié)構(gòu)如圖1所示。
(1) 認(rèn)證服務(wù)器�����。認(rèn)證服務(wù)器含有控制模塊與認(rèn)證服務(wù)模塊��。其中�,控制模塊截取用戶對(duì)資源服務(wù)器請(qǐng)求認(rèn)證的數(shù)據(jù)信息,并將數(shù)據(jù)信息發(fā)送到認(rèn)證服務(wù)模塊進(jìn)行身份認(rèn)證���。認(rèn)證服務(wù)器為身份認(rèn)證系統(tǒng)與認(rèn)證服務(wù)模塊之間必不可少的一環(huán)��。為了在服務(wù)器交換數(shù)據(jù)信息時(shí)��,用戶數(shù)據(jù)和認(rèn)證服務(wù)器保持完全分離�,需要使用控制模塊���,它可以保護(hù)用戶個(gè)人信息的安全�。而認(rèn)證服務(wù)器在客戶端完成相應(yīng)的身份信息認(rèn)證工作����。在后臺(tái)的信息數(shù)據(jù)庫里存儲(chǔ)了大量的用戶個(gè)人信息數(shù)據(jù)。為了保護(hù)用戶的個(gè)人信息安全���,用戶與認(rèn)證服務(wù)器各擁有一個(gè)RSA密鑰�����,RSA密鑰可以實(shí)現(xiàn)用戶與客戶端的互相驗(yàn)證��,用戶可以根據(jù)認(rèn)證服務(wù)器的公鑰信息判斷驗(yàn)證服務(wù)器身份是否合法�����。
(2) 認(rèn)證客戶端�����。在每個(gè)公共網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)的未認(rèn)證的用戶主機(jī)里都有一個(gè)認(rèn)證客戶端��,其是身份驗(yàn)證系統(tǒng)的操作界面����。
(3) 認(rèn)證令牌。認(rèn)證令牌是在進(jìn)行身份認(rèn)證時(shí)隨機(jī)生成的動(dòng)態(tài)數(shù)字�����,經(jīng)過函數(shù)計(jì)算能夠得到動(dòng)態(tài)口令�。身份驗(yàn)證系統(tǒng)會(huì)將得到的動(dòng)態(tài)口令與用戶的ID信息進(jìn)行對(duì)比查詢,提交到認(rèn)證模塊的服務(wù)器中��,以此來驗(yàn)證用戶的身份�。在身份驗(yàn)證系統(tǒng)中,每一位用戶都會(huì)得到一個(gè)認(rèn)證令牌����。
1.2 系統(tǒng)服務(wù)器結(jié)構(gòu)設(shè)計(jì)
認(rèn)證模塊、系統(tǒng)管理模塊�、用戶模塊、RSA管理模塊以及數(shù)據(jù)庫管理模塊組成了完整的系統(tǒng)服務(wù)器���。系統(tǒng)服務(wù)器依靠模塊化的部件����,確保身份認(rèn)證系統(tǒng)更具有擴(kuò)展性、安全性��。系統(tǒng)服務(wù)器構(gòu)造如圖2所示��。
整個(gè)系統(tǒng)服務(wù)器的基礎(chǔ)模塊為RSA模塊�����,其可進(jìn)行RSA加密或解密�,實(shí)現(xiàn)大數(shù)運(yùn)算�����,根據(jù)其他模塊的需要來進(jìn)行計(jì)劃調(diào)度�����。同樣可以進(jìn)行計(jì)劃調(diào)度的還有數(shù)據(jù)庫管理模塊�,它對(duì)用戶數(shù)據(jù)進(jìn)行處理。用戶進(jìn)入到信息數(shù)據(jù)庫中后���,通過系統(tǒng)服務(wù)器中的RSA模塊����,對(duì)用戶所需文件進(jìn)行加密解密處理,依靠用戶私鑰和認(rèn)證令牌實(shí)現(xiàn)身份認(rèn)證����,將數(shù)據(jù)信息上傳到云訪問服務(wù)器中進(jìn)行存儲(chǔ)和傳遞。系統(tǒng)管理模塊為身份認(rèn)證系統(tǒng)的核心���,可對(duì)其他模塊進(jìn)行協(xié)調(diào)并加載服務(wù)����。
1.3 云訪問服務(wù)器
云訪問服務(wù)器給用戶提供存儲(chǔ)和共享數(shù)據(jù)信息����,并進(jìn)行數(shù)據(jù)傳輸功能。云訪問服務(wù)器的工作效率對(duì)于身份管理與認(rèn)證系統(tǒng)有著很大的影響���。云訪問服務(wù)器的結(jié)構(gòu)圖如圖3所示�。
由圖3可見�,云訪問服務(wù)器分為用戶注冊(cè)、用戶登錄�����、添加刪除好友、文件上傳�����、文件下載和文件共享6個(gè)模塊����。依靠云系統(tǒng)的龐大容量來滿足身份認(rèn)證系統(tǒng)的擴(kuò)展需求。數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行加密后即可儲(chǔ)存在云系統(tǒng)中����,進(jìn)行過加密處理的文件除了用戶本人以外��,無法被讀取����,從而保證了整個(gè)身份認(rèn)證系統(tǒng)的保密性、安全性�。
2 身份管理與認(rèn)證系統(tǒng)的軟件設(shè)計(jì)
2.1 RSA模塊功能設(shè)計(jì)
RSA模塊是云電子身份管理認(rèn)證系統(tǒng)的核心模塊之一,其可以運(yùn)算RSA算法��,還可以對(duì)文件進(jìn)行加密解密處理��。RSA的性能影響著系統(tǒng)的性能��,因?yàn)樵谏矸蒡?yàn)證系統(tǒng)中,基本上所有的函數(shù)運(yùn)算都需要RSA模塊來完成��。下面為RSA模塊中的部分功能函數(shù):
Clargent函數(shù)的功能為可以將大數(shù)進(jìn)行計(jì)算�,比如基本的加減乘除、模冪與位移的運(yùn)算等��。內(nèi)存中大數(shù)的構(gòu)造即為Clargent函數(shù):
enum LIMIT{LENGTH = 0xFF}�;
unsigned long _len;
unsigned long _data[LENGTH]��;
其中:len是大數(shù)的總長度����,大數(shù)的最大長度即為len×32=8 192 b,Data為總長度中每一位的具體數(shù)值�����。進(jìn)行運(yùn)算設(shè)計(jì)時(shí)�,將2×32作為基底,以左邊代表低位����,右邊代表高位。
下列函數(shù)都與大素?cái)?shù)相關(guān):
InitSmallPrimes代表素?cái)?shù)測試模塊所用的初始化小素?cái)?shù)表�;
SmallPrimeTest代表對(duì)產(chǎn)生的大數(shù)p進(jìn)行的小素?cái)?shù)檢驗(yàn)�����,檢驗(yàn)通過后再對(duì)大數(shù)p進(jìn)行RabinMiller測試���;
RabinMillerTest代表對(duì)產(chǎn)生的大數(shù)p進(jìn)行RabinMiller測試,若測試通過則認(rèn)為大數(shù)p為素?cái)?shù)�����;
下列是與密匙相關(guān)的一些函數(shù):
GetCommonDivisor代表獲取到兩個(gè)大數(shù)的最大公約數(shù)����;GetE代表生成私匙(n�����,e)�����;GetD代表生成公匙(n�,d);RSAEncrypt代表將數(shù)據(jù)進(jìn)行RSA加密處理�����;RSADecrypt代表將數(shù)據(jù)進(jìn)行RSA解密處理。
為了讓文件與數(shù)據(jù)的相互轉(zhuǎn)換變得更加簡單�,RSA模塊在文件加密處理時(shí)將文件作為大數(shù)來運(yùn)算。一般文件的大小基本都比理論上大數(shù)的總長度大�����,所以在進(jìn)行文件轉(zhuǎn)換時(shí)需將文件分段處理�,對(duì)文件進(jìn)行分段加密處理,最后再連接成一個(gè)完整的文件�。解密過程同加密過程完全相反。
下面是文件的解密流程�,如圖4所示。由圖4可知�,需進(jìn)行加密解密處理的文件共兩個(gè),其中��,Encode text代表將對(duì)文件進(jìn)行加密處理����;Decode text代表將對(duì)文件進(jìn)行解密處理。
2.2 RSA模塊進(jìn)行大數(shù)乘法過程
為了實(shí)現(xiàn)大數(shù)和unsigned long類型的乘法�,RSA模塊需要先列出一個(gè)函數(shù)式,然后依據(jù)函數(shù)式來反復(fù)調(diào)用這一模塊���。設(shè)A為位數(shù)是m的大數(shù)����,設(shè)B為unsigned long類型數(shù),則最后大數(shù)A*B的運(yùn)算過程為:
(1) 設(shè)C0=0��,i=0
(2) 則可得Ri=Ai*B+Ci
(3) 如果 Ri>0xFFFFFFFF���,Ci+1=Ri/0xFFFFFFFF�����,Ri=Ri&0xFFFFFFFF
(4) 如果Ri
(5) 如果i≥m����,則結(jié)束
(6) i=i+1����,重復(fù)步驟2
2.3 RSA模塊進(jìn)行大數(shù)模冪運(yùn)算過程
在RSA模塊進(jìn)行電子身份認(rèn)證運(yùn)算過程中���,私鑰與公鑰的值確定后���,若想完成身份驗(yàn)證并簽名�,無論再進(jìn)行發(fā)送還是接收都只需再運(yùn)算一次�,這種運(yùn)算的過程稱之為模冪運(yùn)算。構(gòu)成模冪運(yùn)算的為模乘運(yùn)算��,因?yàn)樵赗SA模塊中�,大數(shù)位通常大于512 b,大數(shù)模冪的運(yùn)算量則會(huì)很大����。若想提高運(yùn)算速度,需要簡化模冪算法����,如下為簡化的大數(shù)模冪運(yùn)算過程:
為了求得D=C15%N,因?yàn)閍*b%n=(a%n)*(b% n)%n�,那么可以得出:
C1=C*C%N=C2%N
C2=C1*C%N=C3%N
C3=C2*C2%N=C6%N
C4=C3*C%N=C7%N
C5=C4*C4%N=C14%N
C6=C5*C%N=C15%N
故可以將模冪運(yùn)算e=15分解為6個(gè)模乘運(yùn)算。通過分析上述函數(shù)式的規(guī)律可以得出e為任意值時(shí)����,使用函數(shù)算法計(jì)算出D=Ce%N:
D=1
While e≥0
If (e非偶數(shù))
D=D*C%N
D=D*D%N
e=e-1
If (e非奇數(shù))
D=D*D%N
e=e/2
最終回到D
根據(jù)結(jié)果進(jìn)行分析得知,D乘C的具體時(shí)間通過檢驗(yàn)e的二進(jìn)制各位數(shù)得出�,并且在檢驗(yàn)過程中,由左至右的檢測比較簡單��,如下:
D=1
For i=n to 0
D=D*D%N
If e[i]=1
D=D*C%N
最終回到D
3 實(shí)驗(yàn)分析
作為客戶端與服務(wù)器之間重要的數(shù)據(jù)傳輸設(shè)備�����,身份認(rèn)證系統(tǒng)需要向用戶提供訪問服務(wù)。用戶是否能安全地登錄客戶端��,對(duì)身份驗(yàn)證系統(tǒng)有很高的要求��,實(shí)驗(yàn)對(duì)本文設(shè)計(jì)的云電子身份管理認(rèn)證系統(tǒng)進(jìn)行測試�,驗(yàn)證其性能。
3.1 測試準(zhǔn)備
在實(shí)驗(yàn)中本文采用了Avalanche 測試工具����,其可模擬出大量的用戶對(duì)本文設(shè)計(jì)的身份管理與認(rèn)證系統(tǒng)進(jìn)行訪問,進(jìn)而得出具體的實(shí)驗(yàn)結(jié)果�。為了避免客戶端和身份認(rèn)證服務(wù)器在實(shí)驗(yàn)身份認(rèn)證過程中讀取的數(shù)據(jù)不同,采用Ethereal 抓包工具來抓取動(dòng)態(tài)數(shù)據(jù)包��,再對(duì)數(shù)據(jù)包進(jìn)行解析����。
3.2 測試結(jié)果
為了驗(yàn)證本文提出方法的有效性,在各種不同條件下進(jìn)行了多次測試�����,測試的結(jié)果如表1所示�����。通過表1可以得知:當(dāng)最大并發(fā)數(shù)達(dá)到2 000��,2 500�,3 000時(shí),本文設(shè)計(jì)的身份管理和認(rèn)證系統(tǒng)CPU 消耗的最大值并未超過系統(tǒng)合理運(yùn)行所要求的最大限度���,當(dāng)并發(fā)數(shù)達(dá)到很大的數(shù)值時(shí)��,系統(tǒng)依舊可以正常運(yùn)作���;本文的身份管理和認(rèn)證系統(tǒng)對(duì)于用戶要求響應(yīng)的時(shí)間在220 ms左右,具有較高的認(rèn)證效率���;在測試過程中��,當(dāng)并發(fā)數(shù)值達(dá)到很大時(shí)���,本文身份管理和認(rèn)證系統(tǒng)對(duì)于數(shù)據(jù)處理的正確率也在99%以上。在身份認(rèn)證系統(tǒng)中���,由于系統(tǒng)軟件部分的運(yùn)算速度有限���,所以在對(duì)文件進(jìn)行讀取和加密解密的過程中�����,對(duì)于函數(shù)式的運(yùn)算性能要求十分苛刻����。下面對(duì)本文提出的身份認(rèn)證系統(tǒng)的文件加密解密運(yùn)算執(zhí)行時(shí)間進(jìn)行性能檢測����,結(jié)果如表2所示。
由圖5可知�,對(duì)不同大小的文件分別進(jìn)行加密和解密測試后的驗(yàn)證結(jié)果顯示出文件的大小與文件加密解密的時(shí)間成正比,并且文件加密解密的所用時(shí)間都是ms級(jí)��,非常微小����。故本文提出的身份認(rèn)證系統(tǒng)可以滿足用戶進(jìn)行高效率身份認(rèn)證的需求。
4 結(jié) 論
本文提出一種云電子身份管理認(rèn)證系統(tǒng)�����,系統(tǒng)主要由認(rèn)證服務(wù)器、系統(tǒng)服務(wù)器與云訪問服務(wù)器組成�。實(shí)驗(yàn)結(jié)果表明���,提出身份管理和認(rèn)證系統(tǒng)耗能低����、認(rèn)證效率高��,具有較高的數(shù)據(jù)處理精度����。
參考文獻(xiàn)
[1] 王群,李馥娟�,錢煥延.云計(jì)算身份認(rèn)證模型研究[J].電子技術(shù)應(yīng)用,2015�,41(2):135?138.
[2] 朱莉蓉,陳寧江���,何佩聰�,等.基于動(dòng)態(tài)信任管理的云用戶行為認(rèn)證服務(wù)系統(tǒng)[J].廣西大學(xué)學(xué)報(bào)(自然科學(xué)版)����,2015,40(6):1485?1493.
[3] 王文清,柴麗娜�����,陳萍�����,等.Shibboleth與CALIS統(tǒng)一認(rèn)證云服務(wù)中心的跨域認(rèn)證集成模式[J].國家圖書館學(xué)刊���,2015���,24(4):45?50.
[4] 李丙戌,吳禮發(fā)��,周振吉��,等.基于信任的云計(jì)算身份管理模型設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)科學(xué)�����,2014���,41(10):144?148.
[5] 王雷���,王平建����,向繼.云存儲(chǔ)環(huán)境中的統(tǒng)一認(rèn)證技術(shù)[J].中國科學(xué)院大學(xué)學(xué)報(bào)�,2015��,32(5):682?688.
[6] 葉丹.云智能生活中的身份安全[J].五金科技��,2014����,42(5):82?85.
篇11
我國現(xiàn)階段的網(wǎng)上銀行指銀行通過信息網(wǎng)絡(luò)提供的金融服務(wù)。網(wǎng)上銀行支付在中國從1998年第一筆300元的訂單����,到2010年的10858億元的網(wǎng)上支付交易額,飛速發(fā)展�����,正在廣泛地滲透到人們生活的方方面面��。盡管各家銀行不斷對(duì)其網(wǎng)上銀行進(jìn)行升級(jí)��,但網(wǎng)上銀行盜詐事件仍時(shí)有發(fā)生。盜詐背后���,筆者認(rèn)為銀行應(yīng)負(fù)主要責(zé)任�����,因?yàn)榫W(wǎng)上銀行的身份認(rèn)證和銀行的服務(wù)意識(shí)存在問題�,其次責(zé)任是用戶的使用習(xí)慣����。
一、網(wǎng)上銀行身份認(rèn)證設(shè)備存在的問題
1.靜態(tài)密碼技術(shù)�����。銀行登錄方式分兩種���,一種是采用“卡號(hào)+密碼”的方式登錄�,此類技術(shù)代表為網(wǎng)上個(gè)人銀行大眾版�,卡號(hào)、密碼的保管非常重要���,如果卡號(hào)和密碼不慎被他人取得����,他人即可通過網(wǎng)上銀行大眾版通過轉(zhuǎn)賬、網(wǎng)上支付卡轉(zhuǎn)賬等方式竊取客戶賬戶資金��。另一種是采用“用戶名+登錄密碼”的方式登錄�,此種方式較為安全,在安全設(shè)計(jì)上有考慮到用戶的需要���,既滿足了用戶查詢相關(guān)信息的需要,又保證了用戶資料的安全�����,同時(shí)把查詢和支付�、轉(zhuǎn)賬等業(yè)務(wù)分開,增加安全系數(shù)��。
2.動(dòng)態(tài)口令卡���、動(dòng)態(tài)口令牌����、手機(jī)動(dòng)態(tài)口令�����。電子口令卡是指以矩陣形式印有若干字符串的卡片,每個(gè)字符串對(duì)應(yīng)一個(gè)唯一的坐標(biāo)����。使用電子銀行口令卡會(huì)存在卡片丟失或被窺視、拍照��、復(fù)印等非技術(shù)風(fēng)險(xiǎn)�;動(dòng)態(tài)口令牌是一種內(nèi)置電源、密碼生成芯片和顯示屏����、根據(jù)專門的算法每隔一定時(shí)間自動(dòng)更新動(dòng)態(tài)口令的專用硬件。2011年1月以來��,國內(nèi)多省市發(fā)生以“E令卡網(wǎng)上銀行升級(jí)”為名����,通過手機(jī)短信和制作克隆網(wǎng)站實(shí)施詐騙的案件。手機(jī)動(dòng)態(tài)口令是利用手機(jī)作為隨機(jī)密碼生成或者接受終端��,用戶在登錄應(yīng)用系統(tǒng)時(shí)候����,輸入手機(jī)上的生成或者接收到的密碼不停變化的隨機(jī)密碼�,但是手機(jī)的缺點(diǎn)是容易被監(jiān)聽����,被犯罪分子截取密碼。
3.證書用戶����。目前網(wǎng)上銀行應(yīng)用最普遍的基于PKI體系的數(shù)字簽名產(chǎn)品是USBKEY,它是一種USB接口的硬件設(shè)備��,內(nèi)置國密安全芯片��,有一定的存儲(chǔ)空間����,可以存儲(chǔ)用戶的私鑰以及數(shù)字證書�,利用USB Key內(nèi)置的公鑰算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證。第一代USBKEY產(chǎn)品解決了用戶私有信息的傳輸安全問題���,有效預(yù)防了基于釣魚網(wǎng)站的詐騙事件的發(fā)生�。但是在交換操作方面還存在隱患�,當(dāng)用戶長時(shí)間插入U(xiǎn)SBKEY時(shí),黑客可以通過木馬截獲PIN碼�,遠(yuǎn)程控制��,冒用客戶的USB Key進(jìn)行身份認(rèn)證�����,發(fā)生騙簽事件���。
二、網(wǎng)上銀行身份認(rèn)證方案及防范措施
1.認(rèn)證方案����。在現(xiàn)在的三種認(rèn)證方案中,可以說沒有哪一種是絕對(duì)的安全�。在網(wǎng)銀發(fā)展的初期,以市場推廣為主要訴求���,以方便性和高性價(jià)比來滿足市場初期需要�,對(duì)系統(tǒng)需求和身份認(rèn)證機(jī)制的安全性放在第二位來考慮����,因此首先出現(xiàn)的是基于靜態(tài)密碼的大眾版網(wǎng)上銀行。然而隨著利用釣魚網(wǎng)站進(jìn)行詐騙事件的逐漸增多���,國內(nèi)眾多商業(yè)銀行的身份認(rèn)證產(chǎn)品開始轉(zhuǎn)向推廣更加安全的USBKEY電子簽名設(shè)備����。但是隨著騙簽事件的增多,網(wǎng)上銀行何去何從�?借鑒國內(nèi)最好的網(wǎng)上第三方支付“支付寶”的身份認(rèn)證解決方案,本人認(rèn)為在現(xiàn)階段�,網(wǎng)上銀行應(yīng)該使用USBKEY+手機(jī)短信檢驗(yàn)碼的認(rèn)證方式,每一筆網(wǎng)上交易需要登錄密碼+支付密碼+U盾+U盾密碼+手機(jī)短信檢驗(yàn)碼完成�,非常安全。在未來的網(wǎng)上銀行身份認(rèn)證發(fā)展中��,可能會(huì)用到指紋液晶KEY方案����,用指紋液晶KEY登陸網(wǎng)銀是在KEY上進(jìn)行指紋認(rèn)證以代替從電腦鍵盤輸入PIN碼,并在KEY上顯示交易信息�����,從物理上徹底杜絕黑客攻擊的途徑��,從而有效防止網(wǎng)站釣魚�、遠(yuǎn)程挾持���、信息篡改����、騙簽等安全隱患。
2.防范措施�����。銀行應(yīng)該增強(qiáng)服務(wù)意識(shí)�,出現(xiàn)問題后,不要總是把問題都推到用戶身上�����,應(yīng)該多想想銀行本身的問題���,應(yīng)該多做一些事情服務(wù)好用戶����。例如對(duì)于USB Key騙簽事件����,銀行應(yīng)該在用戶進(jìn)行每一筆網(wǎng)上交易中給予適當(dāng)?shù)奶崾荆谛枰迦險(xiǎn)SB Key時(shí)�����,彈出對(duì)話框提示用戶插入,在完成交易后��,馬上彈出一個(gè)對(duì)話框��,提示用戶已經(jīng)完成交易���,請(qǐng)及時(shí)拔走USB Key�����,這樣做相信騙簽事件發(fā)生的機(jī)率會(huì)很低����。目前廣大網(wǎng)民對(duì)電子支付和網(wǎng)上銀行市場的認(rèn)知程度還很有限���,銀行在對(duì)用戶進(jìn)行網(wǎng)上銀行安全的宣傳��、推廣和教育上應(yīng)承擔(dān)相應(yīng)責(zé)任�����。例如本人作為工商銀行U盾客戶已經(jīng)有6年時(shí)間,在撰寫本論文時(shí)查閱大量資料,發(fā)現(xiàn)原來工商銀行早在2008年就已經(jīng)提供USBKEY+手機(jī)動(dòng)態(tài)檢驗(yàn)碼的認(rèn)證方式�����,但是本人及周圍對(duì)網(wǎng)上銀行安全性要求較高的用戶都不知情�。首先應(yīng)該選擇一種安全的支付方式,寧愿多支付安全成本����,保證資金安全,也不選擇安全性不好的支付方式���,同時(shí)應(yīng)該增強(qiáng)網(wǎng)上支付安全意識(shí)���,培養(yǎng)良好的網(wǎng)上支付習(xí)慣。
