身份認證技術論文匯總十篇
時間:2023-03-20 16:08:27
序論:好文章的創作是一個不斷探索和完善的過程,我們為您推薦十篇身份認證技術論文范例,希望它們能助您一臂之力,提升您的閱讀品質,帶來更深刻的閱讀感受。
篇(1)
中圖分類號:TP393.18 文獻標識碼:A 文章編號:1007-9416(2016)12-0195-01
引言
在高校校園網建設中,一個好的校園網絡接入身份系統是指能夠為廣大師生提供安全、便捷的接入服務,主要表現三個方面:1)在具有多個校區的網絡環境中,能夠提供可靠的身份認證服務;2)支持多種認證方式,如支持用戶漫游的分布認證、單點登陸認證等多種認證方式,用戶無論身處哪個校區,都可以一次接入認證后即可訪問校內多個業務系統;3)具備大量的認證用戶并發訪問認證服務器時系統查以自動調配內存資源的能力(即具備良好的負載均衡能力。隨著我國高等職業院校的快速發展,各高職院校不斷擴大招生規模,并啟動新校區建設。各院校在統籌建設新、老校區網絡建設時,也都在研究安全、可靠、負載性能好的身份認證系統。本論文以某高職院校為例,設計了一個基于“三層架構”的校園網身份認證系統,對高職院校開發校園網絡身份認證系統具有一定的參考價值。
1 校園網身份認證相關技術
1.1 Kerberosy認證
Kerberosy認證是在上世紀90年代伴隨萬維網的出現而誕生的經典身份認證技術。它提供了一種利用認證服務器(AS)實現客戶端(Client)和服務器端(Server)相互J證的經典思路;為解決一次授權即實現多服務器登陸的問題,Kerberosy認證引入了票據授權服務(TGS - Ticket Granting Service),省去了多次認證的時空開銷。因此,Kerberosy認證包括認證服務器(AS),客戶端(Client)和普通服務器(Server)、票據授權服務(TGS - Ticket Granting Service) 四個角色。
1.2 LDAP:輕量級目錄訪問協議
輕量級目錄訪問協議 ,是一種跨平臺的目錄服務技術,位于TCP/IP協議的上層,提供標準的服務接口,因此具有平臺無關性,采用樹狀模式存儲目錄信息,每一條目錄信息基于條目(Entry),條目在目錄全局中具有唯一的身份標識并包含屬性信息(一般比較精短),方便快速檢索條目信息。由于身份認證中傳遞的多數都為短文本(加密)信息,因此LDAP協議的特別適合身份認證的需求,此特性使其在各種身份認證技術中得到廣泛應用。
1.3 ICE中間件
Ice是Internet Communications Engine的簡稱,是一種面向對象的中間件平臺,支持面向對象的RPC編程,其最初的目的是為了提供類似CORBA技術的強大功能,又能消除CORBA技術的復雜性。該平臺為構建面向對象的客戶-服務器應用提供了工具、API和庫支持。ICE平臺內嵌負載均衡功能,對于分布大多個節點上的應用服務提供多種負載均衡方案,只需要通過XML配置文件即可完成負載均衡配置。配置項包括Type (負載均衡類型)、Sampling interval(負載信息收集間隙)、Number of replicas(返回給客戶端的適配器個數)。
2 基于三層架構的校園網身份認證模型
2.1 統一身份認證集成中存在的突出問題
目前,統一身份認證主要有網關模型、模型、經紀人模型等三種模型。網關模型中所有的應用系統都放在認證系統之后,雖然提高了應用系統的安全性,但也導致部分對用戶權限要求并不高的應用系統不能很好地被用戶訪問,比較典型的如各高校專門為學生下載視頻資源搭建的FTP應用。因此網關模型對用戶訪問應用系統資源具有一定的制約性。模型是用戶通過服務器訪問不同的應用系統,用戶的訪問權限由服務器控制,但用戶的登陸信息在本地存儲,存在信息泄露的危險。經紀人模型不存在前兩種模型的缺點,但需要生成電子身份標識,認證開銷比較大,對認證服務器性能要求較高。
2.2 “三層架構”統一身份認證模型的提出
本文結合某高職院校網絡實際,提出了一種基于“應用層、服務層、數據層”的三層統一身份認證模式,該模式結合了LDAP、Kerberosy認證、ICE中間件三種身份認證技術。具體模型結構如圖1所示。
應用層主要是用戶(Client)端向應用服務器(Service)發出訪問請求,應用服務器在收到后,將用戶身份信息,通過中間件認證接口發送到認證服務器層,認證服務層采用Kerberosy認證,驗證通過的用戶可獲得數據資源訪問授權,通過LDAP技術,實現用戶要訪問的數據資源目錄與LDAP目錄同步,減少用戶資源訪問等待時間。三層架構的優點顯而易見,將認服服務器與應用服務器分開,用戶不再直接訪問認證服務器,減輕了認證服務器的壓力;LADP同步技術提高了數據訪問效率,提升了用戶體驗;三層架構更容易配置。
3 結語
本文主要結合某高職院校校園網身份認證的需求,介紹了統一身份身份認證的相關技術,提出了一種基于三層架構的統一身份認證技術,包括應用層、服務層、數據層,具有邏輯結構清晰、訪問效率高、配置方便的明顯優點。通過在某高職院校校園網統統一身份認證的應用,師生反映校園網登陸等待時間減少,資源訪問更加高效,證實該方案對高職院校校園網統一身份證具有重要的參考意義。
參考文獻
篇(2)
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2008)23-930-02
Design Research of Authentication Client Based on USB Key under PKI System
ZHOU Hua-xiang
(Changsha Commerce & Tourism College, Changsha 410004, China)
Abstract: Due to universality and opening of the Internet,there're many hidden troubles of information security in the network, so, identity authentication has becomed the necessary measure to ensure the security. This paper compared and analyzed the relative merits of common classes of identity authentication, and on the basis of analysis, the authentication principle and its characteristics, and the authentication processing were also discussed, and after that, the identifying technology of USB Key with PKI system was designed from software and hardware detaily. All these design work and theory analysis is significative for enhance the security of the identifying authentication.
Key words: Identity authentication; USB Key; PKI System; Technology design
1 引言
當前,隨著計算機技術的飛速發展,利用因特網高科技手段進行經濟商業犯罪的現象已經屢見不鮮了,因此,如何采用更加安全的數據保護及加密技術,成為當前計算機工作者的研究熱點與重點。但是很多身份認證技術由于本身算法的漏洞而不穩定或可靠,使得很多不法之徒有機可乘。因此,發展更加安全的數據加密算法和身份認證技術,是關系到社會經濟穩定繁榮發展的關鍵,如何采用與設計更加安全的身份認證技術,成為當前計算機安全工作的重點。
現今,計算機及網絡系統中最常用到的身份認證技術主要有以下幾種:1)用戶名密碼方式認證;2)IC卡認證;3)動態口令認證;4)生物特征認證。
上述幾種身份認證方式,或認證方式過于簡單,或認證成本過高,或使用方法繁瑣,在推廣應用上都存在一定的限制因素;USB Key認證技術是一種方便、安全、經濟的身份認證技術,它采用軟硬件相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。
2 相關原理概述
2.1 PKI體系概述
PKI(Public Key Infrastructure)是一個用公鑰密碼體制來實現并提供安全服務的具有通用性的安全基礎設施,具有可信任的權威認證機構CA,在公鑰加密技術基礎上實現證書的產生、管理、存檔、發放以及證書作廢管理等功能,并包括實現這些功能的硬件、軟件、人力資源、相關政策和操作規范以及為PKI 體系中的各成員提供全部的安全服務。如實現通信中各實體的身份認證、數據保密性、數字完整性以及不可否認等。PKI必須具有認證機構CA、證書庫、密鑰備份及恢復系統、證書作廢處理系統、PKI 應用接口系統等主要組成部分。
2.2 USB Key認證原理
每個USB Key硬件都具有用戶PIN碼,以實現雙因子認證功能。USB Key內置單向散列算法(MD5) ,預先在USB Key和服務器中存儲一個證明用戶身份的密鑰,當需要在網絡上驗證用戶身份時,先由客戶端向服務器發出一個驗證請求。服務器接到此請求后生成一個隨機數并通過網絡傳輸給客戶端,客戶端將收到的隨機數提供給插在客戶端上的USB Key,由USB Key使用該隨機數與存儲在USB Key中的密鑰進行帶密鑰的單向散列運算(HMACMD5)并得到一個結果作為認證證據傳送給服務器,與此同時,服務器使用該隨機數與存儲在服務器數據庫中的該客戶密鑰進行HMAC- MD5運算,如果服務器的運算結果與客戶端傳回的響應結果相同,則認為客戶端是一個合法用戶。
3 基于PKI體系的USB Key認證客戶端的設計
3.1 總體設計
本方案基于USB接口,采用高性能的智能卡進行設計,把智能卡固有的安全性能和USB總線的即插即用、總線供電等優點結合起來,集二者之所長,研制出一種攜帶方便的PKI客戶端設備,集數據加密和數據存儲兩大功能為一體,在硬件級安全的基礎上完成身份認證、密鑰管理、證書存儲等功能。其系統結構框圖如圖1所示。
由圖1的結構可以發現,本論文研究的客戶端硬件模塊由智能卡和USB 讀卡器組成,采用智能卡芯片作為私鑰安全管理的載體,它包括私鑰的安全生成、存儲和使用。智能卡芯片中含有CPU ,可以通過運算來產生公私密鑰對,而且還含有一定的存儲空間,可以存儲私鑰和其它用戶資料。USB 讀卡器的主要功能是完成智能卡與主機的通信。
由于智能卡的存儲空間畢竟有限,對于需要進行密碼運算的大文件,無法一次完全導入智能卡設備中,為此,我們將一部分密碼運算的功能放在主機端的軟件模塊,以提高運算速度。
總體的設計思路是私鑰的密碼運算必須在智能卡中進行,而將一部分有可能對大文件進行的運算放在主機上來完成。這樣既保證了私鑰的生成、保存的高度安全性,又利用了主機容量大、運算快的優勢。
3.2 系統硬件設計
3.2.1 智能卡芯片的設計
智能卡芯片是USB KEY的核心,采用一個高性能的處理器芯片,除了含有一個MCU 外,還集成有專門進行密碼算法的協處理器,通過它可以提高密碼運算的速度。在軟件結構上,我們內置了一個卡內操作系統(COS) 以管理智能卡的所有軟硬件資源。COS 分為四個模塊:傳輸層模塊、文件管理層模塊、安全控制模塊和算法庫。
從整個安全策略、用戶的方便性、產品的創新性等幾點出發,客戶端的智能卡芯片中需要實現簽名、解密、RSA 密鑰對的產生、私鑰的保存及證書的驗證等主要功能。
驗證別人的證書,需要通過信任錨來完成。信任錨就是根CA 的公鑰。通過它,我們可以驗證在一個PKI 系統中所有的證書。由于主機的不安全性,如果將信任錨存儲在主機端,很容易被黑客替換成一個假的信任錨,這樣用戶就無法驗證別人證書的真偽。出于這樣的考慮,我們將信任錨存儲在智能卡中,由于智能卡芯片的硬件特性,駐留在里面的程序具有不可修改性,這樣就使數據(私鑰) 的保存和使用達到了硬件的安全級別,大大提高了PKI 系統的安全。
3.2.2 USB芯片的設計
由于用戶需要通過駐留在主機上的用戶程序來使用存儲在智能卡中的私鑰,為了使用的方便,我們將硬件模塊設計成一個目前流行的USB KEY模型,即通過USB 接口來實現主機軟件程序與智能卡的通訊。
USB 接口的設計由一個USB 芯片來實現。它主要有兩個功能,一是通過USB 協議完成與主機的通信;二是完成與智能卡的通訊。由于智能卡與外界的信息交換遵循ISO781623協議,所以USB 芯片的CPU 必須模擬一個781623 協議來實現兩者的通訊。
考慮到用戶在使用客戶端時的不安全性,如:在用戶使用完USB KEY時,可能忘記將它從主機上拔下來,這時如果遠程黑客通過駐留主機的木馬程序獲得了用戶的PIN ,就會在用戶無察覺的情況下,利用USB KEY來對任意的文件進行任意次的簽名,從而對合法用戶造成很大損失。為此,我們在USB 芯片上設計了一個按鍵,每次USB 芯片檢測到簽名操作的命令,便要求用戶手工按鍵,然后再將命令發送到智能卡里,由智能卡完成簽名運算。這樣合法用戶便可以控制簽名次數,將風險降到最低水平。
3.2.3 時間芯片的設計
無論證書還是私鑰,都有一定的生存期,過期后必須申請新的證書和私鑰。要求PKI 用戶以手工操作的方式來定期更新自己的證書是不現實的,用戶往往忘記自己證書過期的時間,常在認證失敗時才發現問題。為此,我們在USB 芯片上加載了一個時間芯片,用它來識別證書和私鑰過期的時間。
3.3 系統軟件設計
系統的軟件設計采用Client/Server模式,一個標準的服務流程為:客戶機提出請求,通過USB接口傳輸給USB接口控制器,USB接口控制器通過模擬7816協議來和智能卡進行通信,智能卡的片上操作系統COS收到該請求后,進行命令解釋,調度相應的功能模塊進行處理,然后將運算結果返回給USB接口控制器,最終傳遞給客戶機的應用程序,完成一次服務請求。
軟件程序的流程圖如圖2所示。
4 結束語
USB認證設備體積小巧、功能強大、價格低廉,可提供極高安全等級的認證和加密功能,有力地促進了PKI系統的實施,同時,它也可廣泛應用于要求個人身份認證、識別、數據加密、安全存儲等領域,應用前景廣泛。目前,對于身份認證技術的研究方興未艾,很多新的認證方式與認證技術正在出現,為人們的數據安全提供更加可靠的安全認證與保護。
展望將來,除了對基于PKI體系的USB Key認證方式繼續探討新的數據加密算法外,其他新的認證模式也正在興起,如基于生物特征的生物認證技術,以及目前處于研究熱潮的基于線上手寫簽名的身份認證技術,這些都將是安全性極高的認證手段。
參考文獻:
[1] 胡道元,閔京華.網絡安全[M].北京:清華大學出版社,2004.
[2] 蔡金清,萬振凱.統一口令網絡認證系統的分析與實現[J].天津:工業大學學報,2004,23(3):74-76.
篇(3)
SSL 是Security Socket Layer 的縮寫,稱為安全套接字,該協議是由Netscape 公司設計開發。使用SSL 可以對通訊內容進行加密,以防止監聽通訊內容,主要用于提高應用程序之間的數據的傳輸安全。SSL協議分為三個子協議:
(1)握手協議,用于協商客戶端和服務器之間會話的安全參數,完成客戶端和服務器的認證。
(2)記錄協議,用于交換應用數據,所有的傳輸數據都被封裝在記錄中,主要完成分組和組合,壓縮和解壓縮,以及消息認證和加密等功能。
(3)警告協議:用來為對等實體傳遞SSL的相關警告。
SSL協議的實現有Netscape開發的商用SSL包,還有在業界產生巨大影響的Open SSL軟件包。目前在國內的金融系統中,廣泛使用OPENSSL軟件包進行應用開發。
網上銀行因為考慮易用性,大部分采用單向SSL認證.單向認證 SSL 協議不需要客戶擁有 CA 證書。X509數字證書是SSL的重要環節,CA證書的任務就是確保客戶和服務器之間的會話,并且保證使用的密鑰是正確的。缺少了這個重要的環節,SSL中間人攻擊也就難免了。
現在的網上銀行因為考慮易用性,大部分采用單向SSL認證,這正是SSL中間人攻擊的理論依據。
對于SSL中間人攻擊,以CAIN工具軟件為例:
首先在SNIFFER窗口中進行一次本網段的掃描探測
很快找到所有當前跟在同一網段內的活動主機IP地址與其MAC地址的對應關系。今天我們要欺騙演示的實驗對象是192.168.121.199,這是另一臺的筆記本電腦IP地址。
獲取到IP地址與MAC地址的對應關系后,繼續到ARP的子窗口中,選擇添加欺騙主機在窗口左邊選中當前網絡的網關IP地址就是192.168.121.129,窗口右邊選中我們要欺騙的IP地址192.168.121.199,選中后直接確定生效。畢業論文,SSL協議。畢業論文,SSL協議。
然后在ARP-HTTPS的選擇樹中添加一個當前我們需要偽裝的HTTPS站點,選擇確定后CAIN會自動把這個站點的證書文件下載回來備用。畢業論文,SSL協議。
一切準備就緒后,就可以點擊CAIN工具欄中的ARP模式開始工作了。畢業論文,SSL協議。CAIN軟件在后臺采用第一章的ARP欺騙攻擊的方式將被欺騙主機與 HTTPS網站間的通訊切斷,在中間插入我們偽造的證書給被欺騙主機,同時偽裝成為中間人代替它與HTTPS站點通訊。CAIN在其中把所有的通訊數據包 進行加密解密再加密傳遞的過程,當然所有原始的訪問行為在這一過程中都被我們獲取到了。
對于被欺騙主機在實際打開IE訪問中,感覺不到任何異常本地顯示依然是安全的SSL128位加密,只是不知道所有的訪問行為在CAIN中都可以VIEW的方式來查看到了。
在VIEW的窗口中我們可以查看到所有通訊的訪問原始記錄,包括此臺筆記本的登陸帳號與口令信息。
網上銀行存在的攻擊風險歸其原因是SSL協議使用不健全導致,安全的解決方案建立以PKI技術為基礎的CA認證系統,加入已經在運行的可靠的CA。 CA體系建立或加入時,通過對網上交易系統的二次開發,將數字證書認證功能嵌入到整個網上交易過程中去,這將實現基于數字證書的身份認證、通信安全、數據安全和交易安全。
篇(4)
1、RSA加密算法及身份認證
目前網絡通信主要提供五種安全服務,即身份認證服務、訪問控制服務、機密、完整和抗否認。其中,身份認證作為安全應用系統的第一道防線,是最重要的安全服務,所有其它的安全服務都依賴于該服務,它的失敗可能導致整個系統的失敗。
網絡應用系統中通信雙方的身份認證問題,傳統的做法是采用用戶名加口令來驗證登錄用戶的身份,但是由于口令在使用過程中很容易被竊取、暴力攻擊和猜測,存在較大的安全隱患;另外這種認證方式只能完成單方面的身份認證,即只能解決服務器驗證客戶端身份的問題,無法解決客戶端驗證服務器身份的問題,因此不能完全滿足互聯網業務應用的需要。公鑰加密算法的安全性主要是基于復雜的數學難題。目前比較流行的主要有兩類[2]:一類是基于大整數因子分解系統,以RSA為典型代表,它是目前被研究和應用得最為廣泛的公鑰算法,經過長年的攻擊考驗,該算法已被普遍認為是目前最優秀的公鑰方案之一。
2、RSA工作原理[1]如下:
(1)任意選取兩個不同的大質數p和q,計算乘積r=p*q;
(2)任意選取一個大整數e,e與(p-1)*(q-1)互質,整數e用做加密密鑰。注意e的選取是很容易的,例如所有大于p和q的質數都可用.;
(3)確定解密密鑰d,由d*e=1 mod((p-1)*(q-1)),根據e,p和q可以容易地計算出d;
(4)公開整數r和e,但是不公開d;
(5)將明文P(假設P是一個小于r的整數)加密為密文C,計算方法為C=Pe mod r;
(6)將密文C解密為明文P,計算方法為P=cd mod r;
然而,只根據r和e(不是p和q)要計算出d是不可能的,因此,任何人都可對明文進行加密,但只有授權用戶(知道d)才可對密文解密。為了保證RSA的有效性,通常找兩個非常的大質數p和q。
3、基于RSA雙身份認證方案的設計
為了實現信息的網絡化管理,系統采用VC.NET結合SQL Server2000數據庫的解決方案,即將用戶數字證書等有關信息存放在SQL Server數據庫中。Windows2000中包括一個完整的PKI系統,文獻[3]給出了具體的設計及部署的過程。
3.1方案體系結構
系統采用B/S/D(Browser/Server)三層體系結構,即表示層(Browser)、功能層(Web Service)和數據服務層(DataBase Service);VC.NET通過ADO.NET訪問數據庫。對數據庫的訪問在Web服務器端完成,客戶端通過瀏覽器訪問Web服務器并運行其程序。
3.2 方案的實現過程
3.2.1建立數字證書
選取兩個大素數p和q,并且兩數的長度相等,以獲取最大程度的安全性。計算兩數的乘積n=p*q;隨機選取加密密鑰d,為滿足ed=1 mod(p-1)(q-1),則d=e-1 mod((p-1)(q-1)),d和n也互素;e是公鑰,d是私鑰,n是公開的。兩個素數p和q不再需要,可以被舍棄,但決不能泄露。假設生成了用戶A的密鑰對(eA,dA)和用戶B的密鑰對(eB,dB)。
用戶將私鑰d秘密保存,公鑰e交給一個管理仲裁機構認證中心,獲得自己的數字證書,然后將數字證書保存在自己的機器上,同時認證中心將合法用戶的數字證書保存在數據庫中,以便用戶查詢。用戶當與網絡上某個用戶通信需要進行身份認證時,將自己的數字證書發送給通信的對方。對方收到數字證書后,首先通過認證中心驗證其合法性。如果是合法的,就可以從證書中獲得需要的用戶公鑰,然后利用該公鑰驗證對方的身份;如果不合法,就可以終止通信。
3.2.2進行身份認證
第一步:用戶A對用戶B的認證
第二步:用戶B對用戶A的認證
A與B相互認證過程如圖1所示:
圖1
3.3方案的實驗
3.3.1運行環境:硬件與網絡環境:服務器能運行Windows XP、Windows NT4.0+Service Pack6及以上操作系統,建議使用586或以上的計算機。
系統軟件:操作系統Windows 2000、XP及以上版本,SQL Server2000。
運行環境:Microsoft Visual C++6.0,瀏覽器使用IE5.5及以上版本。
3.3.2代碼實現:在認證過程使用的加密和解密算法相同,已利用VisualC++6.0實現,另外簽名和驗證的算法也和加密算法相同,只是每次利用的秘鑰不同,這也是利用RSA算法進行認證的優勢。
4、結 論
RSA算法自公布以來經過20多年的發展和考驗,除了其速度稍慢之外至今尚未找到其它的缺陷,因此RSA算法的應用越來越廣泛。本文設計的是一種基于RSA,并通過VC++實現了基于該方案的系統,有效解決了身份認證困難復雜的問題,對具有該加密的身份認證系統類需求的應用有一定的實用價值。
參 考 文 獻:
[1] 郭拯危,繆亮. 一種改進的RSA算法的研究與實現.河南大學學報,2006,36(1):98~99
[2]王建兵.PKI數字證書在WEB系統中的安全應用.信息技術,2005,(1):40~44
篇(5)
[論文摘 要]電子商務是新興商務形式,信息安全的保障是電子商務實施的前提。本文針對電子商務活動中存在的信息安全隱患問題,實施保障電子商務信息安全的數據加密技術、身份驗證技術、防火墻技術等技術性措施,完善電子商務發展的內外部環境,促進我國電子商務可持續發展。
隨著網絡的發展,電子商務的迅速崛起,使網絡成為國際競爭的新戰場。然而,由于網絡技術本身的缺陷,使得網絡社會的脆性大大增加,一旦計算機網絡受到攻擊不能正常運作時,整個社會就會陷入危機。所以,構筑安全的電子商務信息環境,愈來愈受到國際社會的高度關注。
一、電子商務中的信息安全技術
電子商務的信息安全在很大程度上依賴于技術的完善,包括密碼、鑒別、訪問控制、信息流控制、數據保護、軟件保護、病毒檢測及清除、內容分類識別和過濾、網絡隱患掃描、系統安全監測報警與審計等技術。
1.防火墻技術。防火墻主要是加強網絡之間的訪問控制, 防止外部網絡用戶以非法手段通過外部網絡進入內部網絡。
2.加密技術。數據加密就是按照確定的密碼算法將敏感的明文數據變換成難以識別的密文數據,當需要時可使用不同的密鑰將密文數據還原成明文數據。
3.數字簽名技術。數字簽名技術是將摘要用發送者的私鑰加密,與原文一起傳送給接收者,接收者只有用發送者的公鑰才能解密被加密的摘要。
4.數字時間戳技術。時間戳是一個經加密后形成的憑證文檔,包括需加時間戳的文件的摘要、DTS 收到文件的日期與時間和DIS 數字簽名,用戶首先將需要加時間的文件用HASH編碼加密形成摘要,然后將該摘要發送到DTS,DTS 在加入了收到文件摘要的日期和時間信息后再對該文件加密,然后送回用戶。
二、電子商務安全防范措施
網絡安全是電子商務的基礎。網絡安全防范技術可以從數據的加密(解密)算法、安全的網絡協議、網絡防火墻、完善的安全管理制度、硬件的加密和物理保護、安全監聽系統和防病毒軟件等領域來進行考慮和完善。
1.防火墻技術
用過Internet,企業可以從異地取回重要數據,同時又要面對 Internet 帶來的數據安全的新挑戰和新危險:即客戶、推銷商、移動用戶、異地員工和內部員工的安全訪問;以及保護企業的機密信息不受黑客和工業間諜的入侵。因此,企業必須加筑安全的“壕溝”,而這個“壕溝”就是防火墻.防火墻系統決定了哪些內容服務可以被外界訪問;外界的哪些人可以訪問內部的服務以及哪些外部服務可以被內部人員訪問。防火墻必須只允許授權的數據通過,而且防火墻本身必須能夠免于滲透。
2. VPN技術
虛擬專用網簡稱VPN,指將物理上分布在不同地點的網絡通過公用骨干網聯接而形成邏輯上的虛擬“私”網,依靠IPS或 NSP在安全隧道、用戶認證和訪問控制等相關技術的控制下達到與專用網絡類同的安全性能,從而實現基于 Internet 安全傳輸重要信息的效應。目前VPN 主要采用四項技術來保證安全, 這四項技術分別是隧道技術、加解密技術、密鑰管理技術、使用者與設備身份認證技術。
3.數字簽名技術
為了保證數據和交易的安全、防止欺騙,確認交易雙方的真實身份,電子商務必須采用加密技術。數字簽名就是基于加密技術的,它的作用就是用來確定用戶是否是真實的。數字簽名就是通過一個單向哈希函數對要傳送的報文進行處理而得到的用以認證報文是否發生改變的一個字母數字串。發送者用自己的私鑰把數據加密后傳送給接收者,接收者用發送者的公鑰解開數據后,就可確認消息來自于誰,同時也是對發送者發送的信息真實性的一個證明,發送者對所發信息不可抵賴,從而實現信息的有效性和不可否認性。
三、電子商務的安全認證體系
隨著計算機的發展和社會的進步,通過網絡進行的電子商務活動當今社會越來越頻繁,身份認證是一個不得不解決的重要問題,它將直接關系到電子商務活動能否高效而有序地進行。認證體系在電子商務中至關重要,它是用戶獲得訪問權限的關鍵步驟。現代密碼的兩個最重要的分支就是加密和認證。加密目的就是防止敵方獲得機密信息。認證則是為了防止敵方的主動攻擊,包括驗證信息真偽及防止信息在通信過程被篡改刪除、插入、偽造及重放等。認證主要包括三個方面:消息認證、身份認證和數字簽名。
身份認證一般是通過對被認證對象(人或事)的一個或多個參數進行驗證。從而確定被認證對象是否名實相符或有效。這要求要驗證的參數與被認證對象之間應存在嚴格的對應關系,最好是惟一對應的。身份認證是安全系統中的第一道關卡。
數字證書是在互聯網通信中標志通信各方身份信息的一系列數據。提供了一種 Internet 上驗證用戶身份的方式,其作用類似于司機的駕駛執照或身份證。它是由一個權威機構CA機構,又稱為證書授權(Certificate Authority)中心發行的,人們可以在網上用它識別彼此的身份。
四、結束語
安全實際上就是一種風險管理。任何技術手段都不能保證100%的安全。但是,安全技術可以降低系統遭到破壞、攻擊的風險。因此,為進一步促進電子商務體系的完善和行業的健康快速發展,必須在實際運用中解決電子商務中出現的各類問題,使電子商務系統相對更安全。電子商務的安全運行必須從多方面入手,僅在技術角度防范是遠遠不夠的,還必須完善電子商務立法,以規范飛速發展的電子商務現實中存在的各類問題,從而引導和促進我國電子商務快速健康發展。
參考文獻
[1] 勞幗齡.電子商務的安全技術[M].北京:中國水利水電出版社,2005.
篇(6)
論文摘要:隨著移動存儲設備的廣泛應用,由其引發的信息泄漏等安全問題日益受到關注。針對目前移動存儲安全解決方案中利用用戶名和密碼進行身份認證的不足,本文提出了基于智能卡技術的安全管理方案。該方案將指紋特征作為判定移動存儲設備持有者身份的依據,同時通過智能卡技術實現了移動存儲設備與接入終端間的雙向認證,從源頭上杜絕了移動存儲設備帶來的安全隱患。
1引言
移動存儲設備因其體積小、容量大、使用靈活而應用廣泛,但其本身的“匿名性”給設備安全管理帶來了巨大挑戰,身份認證難、信息易泄露、常攜帶病毒等問題一直困擾著用戶和計算機系統安全人員。
在移動存儲的安全管理上應基于兩個層面:首先是移動存儲設備對用戶的身份認證,以確保移動存儲設備持有者身份的合法性;其次是移動存儲設備與接入終端間的雙向認證。目前,移動存儲的安全管理往往是基于用戶名和口令的身份認證方案,容易受到非法用戶“假冒身份”的攻擊,同時系統中所保存的口令表的安全性也難以保障,因此該方案存在較大的安全隱患。少數采用生物特征識別的安全方案也僅僅做到了第一個層面的身份認證,仍無法解決對移動存儲設備本身的身份認證以及移動存儲設備對接入終端的身份認證。然而,移動存儲設備和接入終端間雙向認證的必要性是顯而易見的,只有被終端信任的移動存儲設備才允許接入;同時,當終端也被移動存儲設備信任時,移動存儲設備和終端才能獲得彼此間相互讀寫的操作權限。只有實現上述的雙向認證,才能有效地在源頭杜絕移動存儲設備帶來的安全隱患。
本文描述了一種移動存儲安全管理方案,針對U盤和移動硬盤等移動存儲設備,基于智能卡技術,結合指紋識別模塊,解決了設備持有者的身份認證以及設備與接人終端間的雙向認證問題,并將設備持有者的指紋作為實名訪問信息記人審計系統,進一步完善了移動存儲的安全管理方案。
2基于指紋識別的用戶身份認證
指紋識別技術主要涉及指紋圖像采集、指紋圖像處理、特征提取、數據保存、特征值的比對和匹配等過程,典型的指紋識別系統如圖1所示。
圖1指紋識別系統
指紋圖像預處理的目的是去除指紋圖像中的噪音,將其轉化為一幅清晰的點線圖,便于提取正確的指紋特征。預處理影響指紋識別的效果,具有重要的意義。它分四步進行,即灰度濾波、二值化、二值去噪和細化。圖像細化后,采用細節點模板提取出指紋圖像的脊線末梢和脊線分支點的位置,將指紋認證問題轉化成為點模式匹配問題。
如圖2所示,移動存儲設備采用兼容多種設備接口的控制芯片、安全控制閃存芯片、大容量用戶標準Flash構成硬件基礎,以智能卡控制芯片為控制中心,結合指紋識別模塊,實現對設備持有者的身份認證;同時,結合大容量普通閃存存儲結構,實現數據存儲低層管理和數據存儲加密。
3基于智能卡技術的雙向認證
為加強系統認證安全性與可信性,在移動存儲設備內集成智能卡模塊,使之具備計笄能力,從而實現移動存儲設備與終端之問的雙向認證。移動存儲設備的身份文件存放于智能卡模塊中。身份文件是指存儲著移動存儲設備各項物理特征信息的私密文件,由于這些物理特征信息與個體緊密相聯,所以可以起到唯一鑒別該移動存儲設備的作用。
智能卡模塊提供對終端的認證,只有通過認證的終端才能訪問身份文件和移動存儲設備中的數據。將現有移動存儲設備硬件結構進行改造,在其中分別加人指紋處理模塊與智能卡模塊后的硬件結構如圖3所示。
智能卡模塊內置CPU、存儲器、加解密算法協處理器、隨機數發生器等硬件單元,及芯片操作系統(COS)、芯片文件系統等多個功能模塊。其內部具有安全數據存儲空間,用于存放移動存儲設備的身份文件。對該存儲空間的讀寫受身份認證機制保護,只有通過認證的用戶和終端才能對其進行訪問,并且操作必須通過定制的應用程序實現,用戶無法直接讀取。支持指紋認證的智能卡文件系統如圖4所示。
對終端的身份認證方式有多種,本方案采用沖擊一響應的認證方式_7]。需要驗證終端身份時,終端向智能卡模塊發送驗證請求,智能卡模塊接到此請求后產生一組隨機數發送給終端(稱為沖擊)。終端收到隨機數后,使用終端認證軟件內置的密鑰對該隨機數進行一次三重DES加密運算,并將得到的結果作為認證依據傳給智能卡模塊(稱為響應),與此同時,智能卡模塊也使用該隨機數與內置的密鑰進行相同的密碼運算,若運算結果與終端傳回的響應結果相同,則通過認證。這種認證方式以對稱密碼為基礎,特點是實現簡單,運算速度快,安全性高,比較適合對移動存儲設備的認證。
在終端通過認證,取得移動存儲設備信任的前提下,終端通過智能卡模塊讀取移動存儲設備身份文件,對移動存儲設備進行準入認證。只有在雙向認證通過的情況下,移動存儲設備才能接入可信終端,進而在授權服務器分發的安全策略下與可信域終端進行正常的讀寫操作。
4移動存儲安全管理系統設計
在采用智能卡技術的基礎上,加入移動存儲安全管理系統,提供對移動存儲設備的接人控制,將認證體系擴展至計算機USB總線。
安全管理系統的認證體系示意圖如圖5所示。各終端首先需要加入某個信任域,在此之后可對移動存儲設備提供基于所在信任域的接入認證,如果終端沒有通過信任域認證,則不允許任何移動存儲設備接入。
授權認證服務器位于各信任域的公共區域中,為各信任域的終端提供移動存儲設備授權認證服務。它將設備授權給某個信任域后,該設備便成為該區域中的授權設備,可在該區域中任意一臺終端上使用;在其他區域使用時將被認為是未授權的,接入將被拒絕。隔離區中的終端與授權認證服務器不能通過網絡相連,從而保證了被隔離的終端不能夠使用移動存儲設備,防止安全隱患向外擴散。這種把安全域細分成不同信任域的整體設計可以最大限度地防止安全實體內敏感數據的任意傳播,大大降低涉密信息向外非法泄露的可能性。
終端移動設備認證軟件部署在網絡系統中的各臺終端上,實時監測終端上所有USB接口,探測接人的移動存儲設備。發現設備后,認證軟件將與接入設備進行相互認證,并與認證服務器通信,對設備進行認證,通過認證的設備被認為是當前信任域的授權設備,否則將被認為是未授權的。根據認證結果,允許或禁止移動設備接入。
4.1授權流程描述
服務器端授權軟件運行時,探測出所有連接到授權服務器上的移動存儲設備,并將結果報告給管理員。管理員指定需要授權的設備,填寫好授權區域、授權日期、授權人、授權有效期并錄入用戶指紋信息后,授權軟件開始對該移動存儲設備進行授權。
(1)獲取該設備的各項物理信息,這些信息具有特征標識,可以唯一地標識該設備;
(2)將收集到的物理信息和管理員輸入的授權區域、授權日期、授權人、授權有效期等信息以一定格式排列,并注入隨機字符,采用三重DES運算,生成身份文件;
(3)設置移動存儲設備中指紋模塊的指紋信息;
(4)將智能卡模塊中的認證密鑰設成與終端事先約定好的密鑰;
(5)將(3)中生成的身份文件存入智能卡模塊中的安全數據存儲空間。
4.2認證流程描述
圖6是移動存儲設備管理系統完成認證的整個流程,其步驟如下:
(1)終端認證軟件判斷當前終端所處區域,如果處于信任域中,掃描各USB端口狀態,判斷是否有新設備接人;如果處于隔離區,則拒絕任何USB移動設備接入。
(2)如果探測到新設備接入,智能卡CPU調用指紋處理模塊,接收并驗證用戶指紋。
(3)如果指紋認證通過,則終端向USB存儲設備發送認證請求;否則禁用該USB存儲設備。
(4)如果沒有收到USB存儲設備的智能卡模塊發來的隨機數,證明該設備是不符合系統硬件設計要求的,拒絕接入;如果收到隨機數,則進行沖擊一響應認證。如果沒有通過認證,證明該終端為非信任終端,智能卡模塊拒絕該設備接人終端。
(5)終端讀取智能卡模塊存儲的身份文件,并讀取該設備的各項物理信息,將身份文件、物理信息及終端所處的信任域信息發送至認證服務器進行認證。
(6)服務器認證軟件接收到終端發送來的信息后,將標識文件解密,得到授權區域、授權日期、授權人、授權有效期等信息。
①將解密得到的物理信息與終端發來的物理信息作比對,如果不相符,證明該標識文件是被復制或偽造的,向終端發送未通過認證的指令。
②如果①中認證通過,將解密得到的信任域信息與終端發來的信任域信息作比對,如果不相符,證明該移動存儲設備處于非授權區域中,向終端發送未通過認證的指令。
③如果②中認證通過,將解密得到的授權有效期與當前日期做比較,如果當前日期處于有效期內,向終端發送通過認證的指令;如果當前日期處于有效期外,向終端發送未通過認證的指令。
(7)終端接收認證服務器發來的指令,對USB設備執行允許或禁止接入的操作。如果USB設備被允許接入,則智能卡模塊將設備持有者指紋提交給認證服務器,作為已授權訪問記錄記入日志中。
(8)轉至(2)繼續探測新設備。
5安全性分析
本方案通過在移動存儲設備中加入指紋識別模塊和智能卡模塊,更安全可靠地解決了設備持有者身份認證問題以及移動存儲設備的“匿名性”問題,通過引入身份文件,實現了移動存儲設備的實名制認證。結合智能卡的相關技術,本方案從根本上解決了移動存儲設備與接入終端問的雙向認證問題,構建了雙方互信的安全傳輸環境。
基于信任域的劃分對設備進行授權管理,使整個系統能夠同時對終端和移動存儲設備提供接人控制,有效地阻止了安全威脅的傳播。在方案的具體實現上,有如下安全性考慮:
(1)移動存儲設備采用指紋識別的方式認證設備持有者身份,確保其身份的合法性;采用三重DES對稱加密的方式對終端進行認證,確保終端為運行認證軟件的合法授權終端,有效地避免了強力破解的可能性。
(2)移動存儲設備的物理信息各不相同,身份文件也是唯一確定的。身份文件采用三重DES加密的方式,加解密過 程全部在服務器端認證軟件中完成,密鑰不出服務器,避
免了密碼被截獲的可能性。身份文件存儲于智能卡模塊中的安全數據存儲區,受智能卡模塊軟硬件的雙重保護。方案保證了身份文件的唯一性、抗復制性和抗偽造性,任何非授權設備都無法通過破譯、復制、偽造等人侵手段冒名成為授權設備。
(3)認證服務器與隔離區中的終端相互隔離,只能被信任域中的終端訪問,保證了認證服務器的安全。
(4)雙向認證通過后,被授權的移動存儲設備將設備持有者的指紋記入授權服務器的訪問日志中,以便日后能夠準確地確定安全事故責任人。
篇(7)
隨著高等教育的發展,智能化的數字化校園正成為眾多高校信息化推進的重要部分。論文格式。數字化校園是利用信息化手段和工具,將校園的各項資源、管理及服務流程數字化,形成校園的數字環境,使現實的校園環境憑借信息系統在時間和空間上得到延伸。
信息門戶平臺是一個面向全校師生的個性化應用集成和信息整合平臺,它為師生訪問數字化校園的應用服務和有關信息提供了方便快捷的統一入口。[1]該系統應擁有風格管理、頁面設置、日程安排、收藏夾等友好而又靈活的個性化設置功能;并通過深入的應用集成,把OA、人事、科研、教務、財務、教學測評、檔案等業務管理系統整合在一起;并提供了眾多工作、學習、生活方面的服務信息,例如:校車、校歷、校內電話黃頁、學校地圖、天氣、列車、航班等。
1 需求特點
由于信息門戶是一個統一入口,而用戶可以是擁有不同身份的人員,所以在用戶單點登錄后,無論是從操作方便還是安全方面考慮都只能針對不同的用戶,提供不同的界面,這就不得不提到信息門戶的首要特性:用戶化(Customization)。
l根據角色或者組織來提供能夠使用的功能。論文格式。比如學生可以選課,老師就不可以;
l根據角色或者組織來提供不同的界面外觀。
為了門戶適應個人的使用,用戶可以定制自己的個性化界面和內容,即個性化(Personalization)包括:
l調整頁面排版;
l再頁面中添加或者刪除頻道;
l可以定制自己喜歡的主題、顏色;
l支持不同的Client。
除此之外,為了與不同的系統集成,還應具有適應性(Adaptive);門戶的安全性(Secured)也是基本要求。
2 portal技術概述
門戶開發技術從動態頁面制作到界面與數據庫集成,并發展至今,所實現的價值和成本也都發展到一定規模,如圖一所示。Portal技術也作為一種主流的門戶開發技術收到重視。“ Portal ”一詞在英語中解釋為“入口,大門”,中文翻譯為“門戶”。論文格式。在 Sun 的 Portlet 技術規范 JSR-168 ( Java Specification Request 168 )中定義為: Portal 是基于 Web 的應用,通常提供個性化,單點登錄,整合不同資源的綜合信息展示平臺。
Portal 展現在最終用戶面前的是類似于 Web 網頁的 Portal 頁面,有些 Portal 主頁制作的更像是一個桌面系統的界面,更能獲得用戶的認可。
構成 Portal 頁面的是能夠建立和展現不同內容的一系列 Portlet 。 Portal 使用Portlet 作為可插拔用戶接口組件,提供信息系統的表示層。 Portlet 是部署在特定容器內用來生成動態內容的可重用 Web 組件。 Portlet 處理從Portal 傳遞來的用戶請求,動態生成輸出內容的一個片段,展現在 Portal 頁面的某個位置上。
圖一門戶發展歷程
3 門戶平臺開發流程
建立 Portal 應用系統的主要任務之一就是設計各式各樣的 Portlet 組件,實現應用系統的各種功能。雖然多數 Portal 系統會附送一些常用的 Portlet 組件,可以滿足一些公共服務需要,但跟工作事務和業務處理相關的大量Portlet 組件必須有專門人員進行細致的設計和開發。
Portlet 的設計開發有必要遵循 JSR-168 規范和 WSRP 標準,以適合各種類型的 Portal 服務器。在具體的實現上,也將會用到 WSDL 、 SOAP 和 UDDI 相關技術規范,以便同 Web 服務應用系統進行信息交互處理。
開發 Portlet 主要有兩種方法,一是借助于 Portal 產品商提供的可視化的預制開發工具,二是應用 Java 語言直接編程。預制開發工具為 Portlet 開發者提供了許多有益的幫助,如自動產生必要的配置文件,預制了程序代碼框架,提供所見即所得編輯和調試環境等等。但無論如何, Portlet 開發的重點是 Portlet 片段內容的產生和處理,主要以 JSP 為主配合 HTML 和JavaScript 等網頁開發技術,再借用 JSF ,Struts , Hibernate 等框架來簡化開發。
針對高校情況,雖然具體略有不同,但門戶系統的開發一般按照如下步驟來實現:
•獲取相關數據、確定硬件需求:
1)評估學校用戶數
2)評估學校機器數
3)預測上網峰值用戶數
4)預測使用門戶的峰值用戶數
5)預測門戶的峰值并發用戶數
6)由同時使用門戶的峰值用戶數決定
•設計部署方案:
1)根據相關數據和硬件設計部署方案
2)操作系統、AppServer、數據庫、身份認證系統、Portal的安裝
•調研需求:
1)需要的模塊
2)需要集成的資源
3)需要集成的數據
•應用開發
•調試部署:
1)開發機調試
2)部署到服務器
4 單點登錄和權限控制
單點登錄是為了方便用戶進入多個應用系統,減少用戶多次登錄,免除用戶記憶多套用戶名和密碼的麻煩。[2]
單點登錄涉及到兩個問題,一是身份認證,二是權限控制。
身份認證是 Portal 系統提供訪問控制的第一步,即確認用戶是誰,能否進入系統。通常要求用戶提供用戶名和口令,必要時要求提供用戶的數字證書,也可以配合使用 IC 卡、指紋等驗證手段。
權限控制或授權確定一個用戶的角色和級別,從而控制用戶的訪問許可,即決定用戶能查閱哪些資料,能進行哪些操作等等。 Java EE 架構采用了基于角色的訪問控制策略( RBAC )。 RBAC 的基本思想是把對用戶的授權劃分成兩個分配關系,即“用戶—角色”和“角色—權限”。 RBAC 的好處是便于應用系統的開發,使得程序設計相對獨立和透明化,只是在應用系統部署使用時才通過“角色”把“用戶”和“權限”關聯起來,而且對用戶和權限的調整配置容易實施。
用戶與角色之間是多對多的關系,即一個用戶可以被分配給多個角色,多個用戶也可以分配給同一個角色。
角色與權限之間也是多對多的關系,即一個權限可以與多個角色相關,一個角色也可以包含多重權限。
在用戶管理、身份認證和權限控制方面,無論是商業的或開源的 Portal 產品多數喜歡采用 LDAP ,當然也有的支持使用數據庫。 LDAP 的好處一是它可以方便的按類別存儲任何類型的數據信息;其二,它的樹形存儲結構類似于一個企事業單位的組織架構,容易對應;三是它同應用系統接口容易,各個 LDAP 產品的接口都一致無需特別配置;四是它對數據信息的訪問安全控制方便;五是它偏向于相對固定數據信息的查詢使用,效率較高,維護也方便。LDAP與portal之間的業務關系如圖二所示。
圖二系統業務層次
5 門戶系統架構與實現
Portal Server是整個Portal系統的運行支撐環境,是一個標準的Web 應用程序,運行于J2EE Application Server 環境中。在此基礎之上形成了能夠實現的系統技術架構。
圖三系統技術架構
在高等教育創新性需求的發展下,數字化校園正在向智能化與特色化方向發展,門戶系統的開發需要適應各高校的具體情況,更加靈活與方便地提供相應用戶所需的信息才是最重要的。
參考文獻[1].茅維華;唐守國;高淑娟;白雪松;楊虹;周斌.校園信息化關鍵技術平臺之研究與實踐[J].中山大學學報(自然科學版),2009/S1
[2].鄧志宏,蔡海濱,蔡悅華.基于數字化校園門戶的分布式身份認證系統研究[J].計算機工程與設計,2005,(08).
篇(8)
現代高校的發展離不開信息技術,特別是隨著各高校學生人數急劇增加,新教學樓、新教室的不斷擴建,教學方式的多樣化等一系列因素使學校對多媒體、網絡教學、辦公應用系統等信息化技術依賴越來越大,數字化校園建設已經成為各高校信息化建設的重要任務之一。醫學院校在發展過程中也面臨著同樣的問題,需要對學校的教學、科研、管理等信息資源進行全面的整合,以實現統一的管理。
一、數字化校園的涵義及意義
在傳統觀念中數字化校園一直被認為只是由一個一卡通系統和多個應用系統組成,例如各種辦公系統、多媒體教學系統、人事系統和財務系統等。但由于各個系統中的信息,數據保存格式以及操作人員的權限設置都不一致,并且各系統由于開發商的不同很難做到統一的接口,系統間通訊困難,對于整個校園來講只是一個個“信息孤島”,造成大量冗余、錯誤的信息,因此這樣的“數字化校園”只是一個狹義的概念,并不能完全發揮信息化的優勢。而數字化校園真正的涵義是指以校園網絡為基礎,利用計算機、各種通訊手段對學校里各種辦公系統、多媒體教學系統進行統一的信息化管理,包括統一的身份認證、權限控制、教學資源管理以及對人事、財務、后勤等信息系統的統一管理等。數字化校園在時間和空間上都超越傳統意義上的校園,它是一個基于先進的信息化技術的虛擬校園,使現實的校園環境得到延伸[1]。
數字化校園的建設對于高校的管理和發展具有重要意義。首先,數字化校園是一個虛擬化的校園,它超越了時間和空間上的局限,使學校的跨地域業務得到有效開展,對學校建立創新型的教學模式,開放式的教育環境,多層次的管理方法都具有相當重要的意義。其次,數字化校園以網絡通訊為基礎,通過計算機處理大量的信息,使學校教工把一些查詢、統計、計算等工作交給計算機來完成,大大降低了工作量,提高了工作效率。再者,數字化校園成功解決了學校“信息孤島”的問題。數字化校園的成功實施,能把學校里各個分散的系統整合,實現數據的統一管理,避免出現數據的重復檢索、錄入。例如圖書館的圖書借閱系統,里面的人員信息不需要重新錄入,可以直接從人事處數據庫中調用,有效解決了數據的不一致問題。
二、國內外相關課題的研究現狀
“數字化”這個概念最先是由美國前副總統戈爾于1998年在美國加利福尼亞科學中心發表的題為《數字地球---21世紀認識地球的方式》(The Digital Earth:Understanding in our planet in the 21st Century)的報告中首次提到的,他提出了數字化地球的概念,此后,“數字化”名詞在全球流行開來,各行各業如數字化城市、數字化校園、數字化圖書館等名詞接二連三被提出。
近年來,校園數字化建設已經成為世界各國高校重點研究的課題之一。
在國外,英國信息教育技術走在前列。1998年1月英國啟動了全國學習網,利用網絡的高速優勢把學校、科研機構、圖書館等網站連為一體,為網絡教育開辟了途徑。2002年,英國全國學習網的網絡連接所有家庭、社區、學校、醫院、社會服務以及大眾媒體轉播系統、單位,基本能滿足學校教育、家庭教育、職業教育、終身教育和社會經濟發展的需求。
國內大學信息化基礎建設方面,在90年代初,建成校園網并通過CERNET建設與國際互聯網連接的大學總數不過10所左右。到1999年,已經有500余所大學建設了結構先進、功能完備的校園網絡。2002年,北京大學和香港大學共同啟動了亞洲地區第一個國際性的高等教育信息化研究項目,對亞洲地區各國高校信息化建設、發展的最新動態和信息,進行研究。
現階段醫學院校信息化建設所面臨的主要問題有:一是學校以醫學專業為主,信息化意識不強,缺乏專業的信息化建設人才隊伍;二是信息化建設各自為政,存在重復建設現象;三是信息化建設進程緩慢,沒有建立網上自動辦公系統和智能化決策支持系統。
三、數字化校園建設目標
醫學院校數字化建設的總體目標是建成一個適合學校校情的數字化校園模型,即“統一平臺+統一門戶+多應用系統”的建設模式,從而實現校內教學、管理、科研的全面信息化、網絡化。免費論文,整合。
1.統一平臺是指一個高性能的、負載均衡的、可擴展易維護的、高安全的應用軟件、硬件以及數據庫平臺。其中包括統一信息門戶平臺、統一身份認證平臺和統一公共數據平臺三大基礎平臺。
2.統一門戶是指要建成一個統一的、開放的、能提供信息共享并能提供多種應用服務的高效穩定的門戶中心。
3.多應用系統指為滿足各種教學、管理、科研等日常業務的需要而提供的各種信息化軟件、工具等,如教務系統、人事管理系統、財務系統、科研管理系統、學生管理系統等,這些系統從統一的數據庫平臺調用數據,共享規范標準格式的數據,提供統一的接口程序。
通過數字化校園的標準建設,集成現有的應用系統,在新需求下開發新的應用系統,從而實現校園的信息共享和傳遞,最終構建一個集教學、科研、管理、活動為一體的信息化環境,實現學校教育過程的全面信息化,從根本上提高教學質量、科研水平和管理水平。免費論文,整合。
四、數字化校園建設內容
數字化校園的建設是在現有網絡基礎設施的基礎上對校內所有信息化資源(包括各種應用系統、數據庫資源、認證系統等)進行全面整合的過程。數字化校園建設的各個環節必須互相緊扣,有計劃、有步驟地實施,確保各個環節協調發展。醫學院校的數字化校園建設可以結合自身特點,發展幾項特色項目,如虛擬實驗室、虛擬醫院、虛擬手術臺等。
數字化校園的總體架構設計包括基礎設施建設、統一身份認證平臺、應用系統建設
1、基礎設施建設
基礎設施建設包括基礎網絡平臺、弱電系統和IDC數據中心建設,是建設好數字化校園的基本保證,為數字校園提供最底層的網絡、硬件支持。
(1)基礎網絡平臺、弱電系統
(2)IDC數據中心
IDC數據中心是由一系列的硬件、軟件、相關網絡組成的整體,它作為全校數據流轉與交換的中心,主要包括主機系統、存儲系統、網絡系統、安全系統等硬件設備和數據庫系統、應用服務器、目錄服務器數據匯聚設備。
2、統一身份認證平臺
在數字化校園中,各個系統之間經常需要相互協作才能完成一項任務。但對于同一個用戶來說,如果不同的系統都要不同的登錄信息,并且要重復登錄,這就給用戶帶來極大的不便,也給系統加重了負擔。而所謂的統一身份認證就是對校內各個不同的應用系統采用統一的身份認證系統,為各應用系統的集成奠定基礎。
目前高校身份認證管理存在以下問題:
(1)由于目前校內各個系統都是分散管理,因此就難以統一管理用戶的賬號,這就難免會對一些賬號信息進行重復管理,增加管理成本。免費論文,整合。
(2)賬號的使用沒有落實到實名,一個賬號存在多人使用的現象,在出現安全事故時難以明確責任,因此在安全管理上存在漏洞。免費論文,整合。
(3)不同應用系統之間的認證模式和規范不同,安全等級劃分標準也不同,不便于全校的安全管理。免費論文,整合。
(4)一個用戶如要使用多個應用系統,就必須記憶多套賬號信息,并需重復登錄,給用戶的操作帶來極大的不變[2]。免費論文,整合。
3、應用系統建設
應用系統主要有一卡通系統、數字圖書館、教學系統、學工系統、人事系統、財務系統、精品課程等。
(1)一卡通系統
一卡通是數字化校園建設的重要內容,是校內各系統連接的樞紐。校園一卡通以校園網為基礎,集成各種計算機網絡設備、數據終端,以IC卡為載體實現校園管理的信息化。系統建成以后,將取代以前校內的各種卡證(如借書證、飯卡、工作證、學生證等),真正實現校內工作、學習、生活的“一卡通”。
(2)數字圖書館
數字圖書館是數字化校園的重要組成部分,它是指運用數字技術和信息技術把處于不同地理位置的信息資源進行整合存儲,并通過網絡向廣大讀者提供多媒體信息資源的虛擬化圖書館。數字圖書館不受地域空間的限制,能最大限度地共享各地信息資源。
(3)教學系統
篇(9)
中圖分類號:TP309 文獻標識碼:A DOI:10.3969/j.issn.1003-6970.2013.07.038
本文著錄格式:[1]馬萌,王全成,康乃林.Internet密鑰IKE協議安全性分析[J].軟件,2013,34(7):112-114
0 引言
在開放性的網絡體系中,進行秘密、敏感信息傳遞時,首先要求通信雙方擁有共享密鑰,才能夠按照安全性需求對數據進行機密性、完整性和身份認證保護。為了應對Internet密鑰交換協議面臨的復雜多樣的網絡威脅和攻擊手段,本文詳細分析了IKE協議的基本思想和主要存在的四個方面的安全缺陷,為采取更加有效的信息安全技術和方法,堵塞可能的安全漏洞和隱患提供幫助,從而滿足日益增長的網絡安全應用要求。
1 IKE協議的基本思想
IKE協議吸取ISAKMP協議、OAKLEY協議和SKEME協議各自的特點組合而成[1],同時還重新定義了兩種密鑰交換方式[1]。
一次典型的IKE密鑰協商交換可描述如下(第一階段采用主模式和公鑰簽名身份驗證):
(1)SA載荷交換,協商認證算法、加密算法等,交換Cookies對;(2)KE載荷,Nonce載荷交換,提供計算共享密鑰的有關參數信息。(3)通信雙方分別計算共享密鑰參數。(4)通信雙方進行身份驗證,構建IKE SA;(5)進行IPSec SA載荷和選擇符信息交換,協商IPSec SA的驗證算法、加密算法,計算IPSec SA密鑰參數,構建IPSec SA。
由上可知,IKE 協議在兩個通信實體間之間實現密鑰協商的過程實際上分為2個階段。第一階段構建IKE SA,第二階段構建IPSec SA。
在第一階段,使用主模式或者積極模式,建立IKE SA,為通信實體之間建成安全的通信信道,為第二階段的密鑰協商提供安全保護服務。
第二階段,使用快速模式,依托第一階段創建的IKE SA通信信道,構建IPSec SA,為通信雙方之間的數據傳輸提供機密性、完整性和可靠。
兩個階段的IKE協商相對增加了系統的初始開銷,但是由于第一階段協商建立的SA可以為第二階段建立多個SA提供保護,從而簡化了第二階段的協商過程,結合第二階段SA協商總體數量較多的實際,仍然是節約了系統的資源。
在第一階段,當需要對協商雙方提供身份保護時使用主模式相對安全一些,而積極模式實現起來簡單一些,卻無法提供身份保護服務;第二階段使用的快速模式,在一個IKE SA的保護下可以同時進行多個協商;新組模式允許通信雙方根據安全性要求協商私有Oakley組,但新組模式既不屬于第一階段也不屬于第二階段,且必須在第一階段完成后方可進行。
2 IKE協議的交互流程
第一階段主模式或積極模式中,都支持數字簽名、預共享密鑰和公鑰加密等身份認證方法。不同的身份認證方式,身份認證的原理不同,傳遞的密鑰協商交換消息也有所不同。其中,數字簽名認證是利用公鑰加解密原理,由通信雙方生成數字簽名信息,再由另一方對數字簽名信息進行解密、比較,實現對通信雙方的身份認證;預共享密鑰認證是利用對稱密鑰加解密原理,由通信雙方利用私鑰對認證內容計算hash值,再將hash值發送給對方進行解密、比較,完成身份認證;公鑰加密認證仍然是利用了公鑰加解密原理,與數字簽名認證不同的是,由通信雙方利用對方的公鑰分別加密身份識別負載和當前時間負載的數據部分,然后根據對方返回的結果以確定對方的身份。公鑰加密認證方式有兩種,區別在于加解密的次數不同。
下面,我們以數字簽名為例,說明2個階段的具體協商流程。
2.1第一階段密鑰生成
3 IKE 協議的安全缺陷
目前針對IKE協議的安全性分析結果非常多,已發現的安全問題和隱患也非常多,歸納起來主要有以下幾類。
3.1 拒絕服務(DoS)攻擊
拒絕服務(DoS)攻擊是一種針對某些服務可用性的攻擊,是一種通過耗盡CPU、內存、帶寬以及磁盤空間等系統資源,來阻止或削弱對網絡、系統或應用程序的授權使用的行為[2]。更加形象直觀的解釋,是指攻擊者產生大量的請求數據包發往目標主機,迫使目標主機陷入對這些請求數據包的無效處理之中,從而消耗目標主機的內存、計算資源和網絡帶寬等有限資源,使目標主機正常響應速度降低或者徹底處于癱瘓狀態。DoS攻擊是目前黑客常用的攻擊方式之一。在Internet密鑰交換協議中,由于響應方要占用CPU和內存等進行大量的密集的模冪等復雜運算,而其存儲和計算能力是有限的,鑒于這一瓶頸問題的制約,極易遭到DoS攻擊。
雖然Internet密鑰交換協議采用了Cookie機制,可在一定程度上防止DoS攻擊,但Cookie數據的隨機性又極大的制約了其作用的發揮[3]。同時,更有分析認為Internet密鑰交換協議的Cookie機制會導致更加嚴重的DoS攻擊。因為協議規定Internet密鑰交換的響應方必須對已經驗證過的合法Cookie建立SA請求予以響應,攻擊者可以利用這一規定,直接復制以前的ISAKMP消息,不更改其Cookie數值并發送給響應方,而響應者需要大量CPU時間的運算后才能判別出發起者是非法的,從而無法從根本上防止DoS攻擊。
3.2 中間人攻擊
中間人攻擊是指通信實體在通信時,第三方攻擊者非法介入其中并與通信雙方建立會話密鑰,作為真實的通信實體間消息通信的中轉站,從而共享通信實體雙方的秘密信息。中間人攻擊的方法主要是對消息進行篡改、竊聽,重定向消息以及重放舊消息等[4],是一種攻擊性很強的攻擊方式,屬于主動攻擊方式的一種[5]。
圖3.1詳細描述了中間人攻擊[6],當Initiator與Responder進行D-H算法密鑰交換時,Initiator計算并發送公鑰X,Attacker竊取X,并假冒Responder發送公鑰Z給Initiator,從而完成一次D-H密鑰交換,雙方之間共享了一個密鑰。同理,Attacker和Responder之間也可以共享一個密鑰。這樣,當真正的通信雙方進行信息交換時,所有數據都經由Attacker中轉,而不會被發覺。
IKE協議的身份驗證機制可以有效防止中間人攻擊,但仍有一些缺陷。
3.3 身份隱藏保護缺陷
IKE協議第一階段有兩種模式、四種認證方式,其中一個主要目的就是要能夠提供發起方和響應方的身份隱藏保護功能,但是在積極模式下的數字簽名認證和預共享密鑰認證,以及主模式下的數字簽名認證都無法提供身份隱藏保護。例如,在第一階段主模式協商的數字簽名認證方式中,一個主動攻擊者就可以偽裝響應方的地址并與發起方協商D-H公開值,從而獲得發起方的身份信息[7]。
一般來說,在無法同時保護通信雙方身份的情況下,要優先考慮隱藏發起方的身份。因為絕大多數的響應方在IKE交換中都是作為服務的一方,而服務器的身份信息一般是公共的,所以可以認為保護發起方的身份要比保護響應方的身份要更為重要[8]。
3.4 其它安全缺陷
除了以上的安全缺陷外,IKE機制還存在一些其它的問題,如難以抗重放攻擊、新組模式定義多余等。
重放攻擊是指攻擊者采取網絡數據包提取等技術手段,對發起方和接收方之間的通信數據進行竊聽或者截取,獲得通信雙方之間的任意消息,然后將該消息重新發送給接收方,從而消耗網絡資源,甚至癱瘓通信網絡。在整個Internet密鑰交換過程當中,通信雙方都需要保存部分交換信息用來記錄數據交換情況,同時,當Cookies對建立以后,數據狀態信息可以用來表示數據交換狀態。此時,第三方攻擊者利用網上截獲的正常數據包進行重新發送,或者攻擊者截獲Cookies對后偽造假消息,由于該Cookies對是真實的,通信實體雙方仍然會對偽造的假消息進行處理,甚至再次解密消息,或者由于無法正常解密,從而發現消息不真實。這樣會使系統被迫處理大量無效的操作,降低處理效率,浪費大量系統計算和存儲資源。
4 結論
本文詳細分析了IKE協議的基本思想和主要存在的四個方面的安全缺陷,認為必須深入分析Internet密鑰交換協議面臨的復雜多樣的網絡威脅和攻擊手段,采取更加有效的信息安全技術和方法,不斷改進Internet密鑰交換協議,堵塞可能的安全漏洞和隱患,從而滿足日益增長的網絡安全應用要求。
參考文獻
[1] D.Harkins,D. Carrel.Internet key exchange. RFC 2409,Nov 1998.
[2] William Stallings,Lawrie Brown.計算機安全原理與實踐.北京:機械工業出版社,2008:166~180.
[3] 黃永鋒.IKE協議改進及其實現框架[碩士論文].鎮江:江蘇大學.2005.
[4]張紅旗.信息網絡安全.北京:清華大學出版社,2002:106~107.
[5]William Stallings著.網絡安全要素——應用與標準.北京:人民郵電出版社,2000.
篇(10)
隨著金融信息化程度越來越高和計算機知識的普及、利用計算機犯罪的問題越來越突出.金融業務的安全性面陸著前所未有的嚴峻挑戰。而諸多事實警示我們,在金融安全工作中外患固應嚴陣以待內患更須防微杜漸。如何降低銀行業內部信息系統風險有效提高生產系統的安全性是目前各家金融機構普遍存在的問題。中國郵政儲蓄業務和匯兌業務在實現了電子化管理之后其業務處理能力得到了極大的發展。但是隨著信息化程度的提高也增加了系統的不安全因素,尤其是信息采集、系統訪問安全成為各項安全中的關鍵問題。一直以來郵政儲蓄采用密碼方式對系統的人員權限進行身份控制。然而密碼極容易泄露記憶麻煩、發生問題責任不清而且對于網絡黑客、別有用心的訪問者來說竊取、破譯合法訪問者的密碼比較容易由此更容易引發資金案件。因為密碼驗證方式存在一個致命的弱點二不能準確標識密碼使用者就是密碼所有者本人口提高信息系統的安全性管理是根本.技術是保障。如何利用高科技手段建立一套省時、省力而又行之有效的計算機信息管理系統.把各級管理者們從“擔心出金融案件的憂慮和煩惱‘’中解脫出來呢,近幾年來指紋技術的成熟和廠泛應用為這個想法的實現提供了可能。指紋技術除了在公安和警用等專業領域廣泛應用外逐漸應用到了民用領域派生出一系列的產品.如:指紋考勤機、指紋門禁機、指紋鎖指紋口盤等。2003年開始指紋技術在金融行業開始得到應用用來解決金融安全問題防范操作風險的發生。
郵政儲蓄指紋系統2006年吧月天津郵政儲蓄啟動柜員身份認證系統的建設.在儲蓄統版系統中使用指紋萬式對網點柜員的登陸和授權進行風險控制。
技術可行性分析
(1)應用性:與其他生物技術相比指紋技術成熟、使用簡單
(2)易用性:指紋不存在遺忘丟失情況用來驗證身份萬便、快捷:
(3)安全性真正實現‘識別人而不是識別物
(4)可實施性:提供多種授權方式解決非現場授權問題、如授權、集中授權手機短信授權等
(5)別經濟性川生價比高、一機多用(儲蓄系統與電子匯兌系統可共用)、一次投資長期受益(無需冗余大量備用設備)
(6)可擴展性:考慮到今后業務的發展為新業務接入預留了開放接口。為郵政業務擴展、新業務新產品的開發提供了增值平臺。
經濟效益可行性分析
(1)管理成本:指紋驗證身份不用攜帶任何載體。給設備管理部門減少了工作壓力。只要保證建檔指紋的真實性,把對幾千人的管理轉變為對幾十個指紋系統管理員的管理大大降低管理成本;
(2)監督功能:指紋系統的統計分析功能.方便了管理者對業務數據和人員工作情況的查詢監督實現減員增效擴大監督范圍提高效率;
(3)風險成本與潛在效益:指紋驗證身份后權責分明,避免內部資金案件風險還可為外部客戶提供指紋儲蓄等服務為郵政吸引更多客戶帶來潛在效益。
指紋系統應用
指紋系統邏輯結構包括郵政金融業務系統和指紋認證系統兩部分系統之間通過接口互相調用、通訊實現業務系統內部人員的身份認證,如圖1所示。天津郵政儲蓄指紋認證系統包括認證和管理兩大部分:認證部分實現本地和遠程的指紋身份驗證;管理部分完成指紋設備、人員信息的管理。管理系統劃分為省中心指紋管理系統、區縣指紋管理系統、網點指紋管理系統。目前,天津郵政儲蓄統一的指紋身份認證平臺,可以為多個信息系統提供人員身份確認功能,凡需要驗證身份的環節指紋中心均可以提供指紋驗證功能.真正實現了身份認證流程的一體化。此外該身份認證系統操作流程規范,對業務系統人員的指紋、身份級別等信息集中存放、操作流程一致實現了數據共享,便于統一管理。
指紋系統應用效果
至2006年年底,天津郵政儲蓄361個網點全部采用指紋系統驗證系統登陸和業務授權者身份所有儲蓄操作員、班組長、支局長實現了用指紋進行簽到/退。天津郵儲指紋系統上線至今已有1年半的時間.運行狀況良好達到預期的效果:
(1)有效杜絕了過去由于操作性風險導致的金融案件。采用指紋技術后柜員操作及授權業務只能是當事人操作完全杜絕了替代和非法授權的情況發生。
(2)由于是對本人指紋進行采集和識別,因而別人無法窺視、盜竊他人密碼,從而切斷了非正常途徑傳送密碼的可能(防止高智商作案)
(3)提高工作速度,指紋錄入及識別大約1秒這比手工輸入密碼要快。柜員和主管都不用費時定期更換密碼,也不必用其他手段來保護密碼
