时间:2023-03-30 11:38:43
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇身份认证技术论文范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
一、目前高校信息化建设现状
随着信息技术的发展,各个高校都高度重视信息化建设工作,“数字校园”即是将信息技术运用于教育改革过程形成的最新研究成果。在数字校园中,学校针对各种需求建设应用系统,力图通过信息化来整合机构内的各种资源。但在实际信息化建设过程中,由于前期缺少统一规划,并且高校系统软件很少有做的很全或很专业的公司,基本上是学校各个部门各自为政,各自购买建设自己的信息系统。如教务处购买自己的教学管理系统,学生处购买单独的学生综合管理系统,图书馆有自己的借还书管理系统。
在多系统并存的情况下,校园网内每个用户拥有多个密码,用户需要逐一登录自己所要使用的应用系统,这给用户造成了很大的不便,安全性存在严重隐患。同时,用户的信息分散存储于各个应用系统中,这不仅为用户的正常使用也为应用系统的管理和维护增加了很大的麻烦,工作效率重复低下。为了解决这些问题,需要在多应用系统并存的情况下,实现应用系统间的用户统一认证和信息共享。
二、统一身份认证在高校信息化建设中的重要作用
网络信息系统的统一认证技术已经相当成熟,从门户网站(如新浪)到企业内部网(如平安保险公司)都对原有的系统进行改造升级,使得不同历史时期购进的信息系统能够整合起来,进行统一认证,降低了管理成本同时又提高了信息系统的安全性,对用户来说也解决了多账户多密码难于记忆的问题。
目前,各大高校也在整合自己的网上资源,把各个独立信息系统的认证统一起来,实现统一身份认证,通过统一规划整合认证后的校园信息系统最大限度的减少用户的帐号数,简化登录过程,实现一次登录多点使用,实行统一管理,方便用户的同时也极大的提高了信息系统的安全性。校园网内用户只要登录一次就可以访问其它的网络资源。可以说随着高校信息化建设的发展,统一身份认证是重中之重,信息建设部门应做好统一规划,后期的软件开发应用必须和统一身份认证平台对接。
三、基于LDAP的统一身份认证的建设与特点
统一身份认证平台的目的是要解决不同的应用系统用户名和口令不统一的问题,通过提供统一的授权机制及一套方便、安全的口令认证方法,让用户只要一套用户名和口令就可以使用校园网络上有权使用的所有应用系统。保证用户通过网络单点登录或手机登录方式进入系统。目前使用最多的是采用目录访问进行身份认证,此技术基于LDAP(轻量型目录访问协议),具有高效的查询速度。利用LDAP 服务特性及WEB相关技术, 实现了对数字校园中用户及网络应用资源的统一开发管理。
统一身份认证平台的开发功能如下:
1、目录服务:目录服务与现有系统集成在一起,充当一个集中化的身份信息库,用于将学生、教师和其他人员的信息集中存储。
2、统一认证:认证服务提供了平台的核心基础服务,用于对学生、教师和其他人员的数字化身份的认证。 3、身份管理:提供基本的组、用户、用户属性、用户类型、口令的维护功能
4、管理控制台:承担整个统一身份认证平台的身份数据管理、系统服务管理、平台运行管理工作,是整个平台的集中管理控制中心。
基于目录访问协议的身份认证基于Linux系统下OPenLDAP设计,能够批量导入加密后的用户信息,打印明码条发给用户。然后围绕认证数据库进行各种应用程序设计,包括:基于浏览器界面的统一认证Web应用程序、基于窗口界面的登录界面设计(用于桌面应用软件等)、基于浏览器界面的统一认证后台管理Web应用程序等等。
基于目录访问协议的身份认证优点很多,主要有:采用开源解决方案,不需另外购买商业软件,可以在源码的基础上进行二次开发,能够最大程度减少IT信息建设投入;采用OpenLDAP进行系统认证,一定程度上防止SQL注入攻击,有效保护后台数据安全;LDAP具有很高的查询速度,保证认证查询速度;采用Linux作为认证平台,安全、稳定。
四、结束语
当然,统一身份认证在实际的建设过程中可能会遇到各种难点,主要是接口问题,如很多以前实施的应用系统现在开发商都联系不到(这种情况各个高校都有),整合到认证系统中可能花的代价比重新开发或购买的成本还要高。所以在后期规划中,要求系统供应商必须提供或开发和身份认证平台统一的接口。
目前,经过统一规划和投资,身份认证系统在苏州大学已经基本完成,整合集成了教务、学工、人事、行政等各种信息服务,是数字化校园的信息集中展示平台,也是校内重要业务系统的统一入口。经实际使用证明,它不仅提高了数字校园中各种应用系统的安全性、可靠性,也给用户提供了极大的方便,同时方便了数字校园的用户管理,具有很好的社会效益和经济效益。
参考文献
[1]openldap.org openldap官方网站
[2]宫恩辉,朱巧明,李培峰,史鑫.LDAP和Kerberos在统一身份认证中的应用[J].苏州大学学报(自然科学版).2006年02期
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 16-0000-02
Authentication Technology Research Overview
Zhang Yao
(Harbin Normal University,Computer Science and Information Engineering College,Harbin150025,China)
Abstract:Authentication technology is capable of sending and receiving side of information technology to identify the true identity,is to identify,verify that the network information system in the legitimacy and authenticity of the user identity,according to mandate access to system resources,and shut out illegal visitors.This article discusses the field of information security authentication technology status and development trend,for further improving the work has a certain theoretical significance.
Keywords:Information security;Authentication;Biometrics;
Combination of certification;Solutions;Performance analysis
网络认证技术是网络安全技术的重要组成部分之一。认证指的是证实被认证对象是否属实和是否有效的一个过程,常常被用于通信双方互相确认身份,以保证通信的安全。认证技术一般包括两个方面的内容,分别是身份认证和信息认证。身份认证主要是通过对用户身份的鉴别来实现对用户权限的识别,限制低权限或者非法用户的入侵。信息认证主要是用于验证信息是否完整。本论文的研究主要偏重于对身份认证技术及其分析。主要侧重以下几个方面做分析。
一、身份认证的方法分析
身份认证主要是通过分析被认证者的身份、权限等相关的信息。除了认证者本人,任何其他人都无法进行仿造或者伪造身份。如果经过认证,被认证者拥有相关的权限和秘密,那么他就获得了认证。身份认证的主要依据就是被认证方用于证明身份所用有的秘密。每个被认证者所拥有的身份认证秘密不同。常见的身份认证有两种,第一种是基于物理安全性的身份认证方法。第二种是基于秘密信息的身份认证方法。
(一) 基于物理安全的身份认证方法
不同的身份认证方法基于不同的理论,但这些认证方法的共同点就是依据用户知道的秘密信息。和这种认证方法相对照,另外一种利用用户的特殊信息或者硬件信息来进行身份认证的。比如说从生物学角度考虑,利用声音识别进行身份验证,利用指纹进行身份验证,利用人眼的虹膜进行身份验证等。从硬件的角度考虑,常用的认证方法有通过智能卡来进行验证,只有认证者拥有正确的卡,才可以被认证。当然,这种方法也有优缺点,这种智能卡可以有效的阻止和避免人为乱猜口令导致的密码被破解,但也存在着只认卡不认人的缺陷,一旦智能卡因丢失被其他人捡到,则很容易被盗取身份。为防止出现这种情况,现在一般采用智能卡和口令结合的方式,比如现在最常用的银行卡就是这种。
(二)基于秘密信息的身份认证方法
常见的有以下几个方式:
1.通过进行用户口令认证来核对身份信息,在刚建立系统的时候,系统已经预先为具有合法权限的用户设定了用户口令和密码。当用户通过登录界面登录时,登录界面显示用户名和密码输入。客户输入用户名和密码以后,系统会对输入的账户和密码与系统原有的密码进行核对如果完全一致,则认为是合法用户,用户身份得到认证。否则,就提示账户名或者密码错误。用户身份得不到认证。
2.单项认证,所谓单项认证,就是进行通信的双方中,只有一方需要进行身份认证。上面所阐述的口令核对法本质上也是一种单项认证。只是这种认证方法还比较低级,没有进行相应的密钥分发操作。常见的涉及到密钥分发操作的认证方案有两类。分别是对称密钥加密方案和非对称密钥加密方案。对称密钥加密方案是指依靠第三方来进行认证,第三方就是一个统一的密钥分发中心。通信双方的密钥分发和身份认证都要通过第三方来实现。另一种没有第三方参与的加密体制成为非对称密钥加密体制。
3.双向认证。双向认证,是指需要通信双方相互认证才可以实现双方通信,通信双方必须相互鉴别彼此的身份,并且经双方验证正确以后,才可以实现双方的通信。在双向认证中,最典型的就是Needham/Schroeder协议。
[1]Needham/Schroeder Protocol[1978]
AKDC:IDA||IDB||N1
KDCA:EKa[Ks||IDB||N1||EKb[Ks||IDA]]
AB:EKb[Ks||IDA]
BA:EKs[N2]
AB:EKs[f(N2)]
(其中f(N2)为N2的某一个函数,其他符号约定同上。)
4.身份的零知识证明通常在进行身份认证时,需要进行身份信息或者口令的传输。要想不传输这些信息就可以进行身份认证,就需要采用身份的零知识证明技术。所谓零知识证明就是指在进行用户身份认证时,不需要传输相关的信息。这种认证机制就是当被认证的甲方为了让认证方乙方确信自己的身份和权限但同时又不让乙方得到自己的秘密信息而采用的一种机制。这种认证方法可以非常有效的防治第三方窃取信息。
二、身份认证的应用
(一)Kerberos认证服务
Kerberos是一种基于Needham和Schroeder[1978]模型的第三方认证服务Kerberos可信任的第三方就是Kerberos认证服务器。它通过把网络划分成不同的安全区域,并且在每个区域设立自己的安全服务器来实现相应的安全策略。在这些区域的认证具体实现过程如下:Kerberos通过向客户和服务提供票和通信双方的对话密钥来证明自己的身份权限。其中Kerberos认证服务器负责签发初始票,也就是客户第一次得到的票。其他票都是由发票服务器负责签发。同一个票可以在该票过期之前反复使用。当客户需要让服务方提供服务的时候,不但要自己生成仅可以使用一次的证,而且需要向服务方发送由发票服务器分发的。这两个需要同时发送。
(二)HTTP中的身份认证
HTTP中的身份认证现在主要由三个常用的版本。分别是HTTP协议目前已经有了三个版本HTTP0.9、HTTP 1.0和HTTP 1.1,其中HTTP 0.9功能简单,主要用来实现最基本的请求协议和回答协议。HTTP 1.0是目前应用比较广泛的一个版本,它的功能相对来说非常完善。而且,通过Web服务器,就可以实现身份认证来实现访问和控制。如果用户向某个页面发出请求或者运行某个CGI程序时,将会有访问控制文件告诉用户哪些可以访问,哪些不可以访问,访问对象文件通常存在于访问对象所在的目录下面的。通过服务器读取访问控制文件,从而获得相应的访问控制信息。并且要求客户通过输入用户名和口令进行身份验证。通过访问控制文件,Web服务器获得相应的控制信息,用户根据要求输入用户名和口令,如果经过编码并且验证以后,如果身份合法,服务方才发送回所请求的页面或执行CGI程序。HTTP 1.1新增加的很多的报头域。如果进行身份认证,不是以明文的方式进行传递口令,而是把口令进行散列变换,把口令转化以后对它的摘要进行传送。通过这种认证机制,可以避免攻击者通过某种攻击手段来获取口令。即使经过多次攻击,也无法进行破译。即使是这样,仍然不能保证摘要认证的足够安全。和普通的认证方法一样,这种方法也可能受到中间者的攻击。要想更进一步确保口令安全,最好就是把HTTP的安全认证方式与Kerberos服务方式充分结合起来。
(三)IP中的身份认证
IP中的身份认证IP协议出于网络层,因此不能获取更高层的信息,IP中的身份认证无法通过基于用户的身份认证来实现。主要是通过用户所在IP地址的身份认证来实现。IP层的认证机构既要确保信息在传递过程中的数据完整性,又要确保通过数据组抱头传递的信息的安全性。IPSec就是IP安全协议的简称,主要功能就是维护网络层的安全和网络成以下层的安全。通常情况下,它提供两种安全机制。第一种是认证机制,通过这种认证机制,可以确保数据接收方能够识别发送方的身份是否合法。而且还可以发现信息在传输过程中是否被恶意篡改;第二种是加密机制,通过对传输数据进行数据编码来实现数据的加密机制。从而可以保证在信息的传递过程中,不会被他人窃取。IPSec的认证报头(Authentication Header AH)协议定义了认证的应用方法,封装安全负载(Encapsu-lating Security Payload,ESP)协议定义了加密和可选认证的应用方法。应用到具体的通信中去,需要根据实际情况选择不同的加密机制和加密手段。AH和ESP都可以提供认证服务,相比较而言,AH提供的认证服务要强于ESP。
三、身份认证技术讨论
身份认证技术讨论,在前面几部分内容中,对身份认证技术进行了理论分析和总结,并对他们的原理、机制和优缺点进行了比较。这里将根据自己的理解,深入考虑通过其他途径来实现身份认证。数字签名首先要保证身份验证者信息的真实性,就是要确保信息不能伪造,这种方法非常类似于身份认证。身份认证的主要目的是要确保被认证者的身份和权限符合。因此,这里考虑通过数字签名来实现身份认证。这里的技术难点就是必须要预先进行分发密钥。如果不能提前进行密钥分发,就不可能实现数字签名。综上可以看出,身份认证在整个安全要求中是首先要解决的技术问题。
参考文献:
[1]William Stallings,孟庆树等.密码编码学与网络安全――原理与实践(第四版)[M].电子工业出版社,2006,11
[2]袁德明.计算机网络安全[M].电子工业出版社,2007,6
[3]杨英鹏.计算机网络原理与实践[M].电子工业出版社,2007,9
中图分类号:TP39文献标识码:A 文章编号:1007-3973 (2010) 05-044-02
1前 言
随着信息与计算机网络技术的发展,人类已经迎来了信息时代。互连网的发展大大的改变了人们的生活。然而随着这些新技术的日益普及,爆发出来的信息安全问题也越来越突出。在享受互连网带给人们便捷的同时,这把双刃剑也让人们感受到了严峻的考验。大量的通过计算机网络所实施的犯罪行为,让人们防不胜防。人们有必要对采用更为安全的技术手段来保护自己的敏感信息和交易不被未经过授权的他人截获和盗取。其中最重要的一个措施就是采用身份认证技术。
2 常见身份认证方式分析
身份认证的范围较广,没有统一的分类方法,根据身份认证的发展情况和认证方式的不同可以大致分为以下几类:
2.1用户名+口令的认证方式
这是最简单,最容易实现的认证技术,其优点在于操作简单,不需要任何附加设施,且成本低速度快。但是其缺点是安全性差,属于单因子软件认证的方式。抗猜测攻击性差,系统保存的是口令的明文形式,一旦被攻破,系统将受大极大威胁。这种认证方式属于弱认证方式。
2.2 依靠生物特征识别的认证方式
生物特征识别的认证方式,是为了进行身份识别而采用自动化技术测量人的生物特征,并将该特征与数据库的特征数据进行比较,从而完成身份识别的方式。因为不同的人具有的相同的生物特征的可能性是可以忽略不计的。所以从理论上来说,生物特征识别方式是最可靠的身份识别方式。它是以人的唯一的,可靠的,稳定的特征为依据的。目前比较成熟的可用于计算机系统的生物特征识别技术有:
(1)指纹身份认证技术。通过分析指纹的全局或者局部特征,抽取详尽的特征值来确认身份;
(2) 声纹身份识别技术。也称语音身份识别技术;
(3)虹膜身份认证技术。虹膜是人眼瞳孔和眼白之间的环壮组织。是人眼的可视部分。是最可靠的人体终身身份标识。虹膜识别在采集和精准度方式具有明显的优势;
(4)签名身份认证技术。是将人的手写速度,笔顺,压力和图象等人的个性化特征进行比对。是全新的生物特征认证技术。它不用记忆,方便,易为人接受。可用于计算机登录,信息网如网,信用卡签字等等。
生物特征识别的认证方式,虽然具有,不易遗忘丢失,防伪性能好,随是随地可用,不易伪造或者被盗等优点。但是它还有一系列暂时不能克服的缺点。表现在;技术不完全成熟,生物识别的准确性和稳定性急待提高。研发成本高,产量小和识别设备成本高,现阶段难以推广和大规模应用,对识别正确率没有确切的结论,难以做到真正的唯一性,和安全性。
2.3基于Kerberos的认证方式
Kerberos是一种秘密密钥网络认证协议。是由美国麻省理工学院(MIT)开发的一项身份认证技术。它的思路对后来的身份认证研究产生了很大的影响。它使用了数据加密标准DES(Data Encryption Standard)加密算法来进行加密和认证。Kerberos 设计的主要目的是解决在分布网络环境下,服务器如何对使用某台工作站接入的用户进行身份认证。Kerberos的安全不依赖于用户登录的主机,而是依赖于几个认证服务器。分别是:认证服务器(AS),用于验证用户登录时的身份。票据发放服务器(TGS),发放身份许可证明。服务提供服务器(Server),客户请求工作的执行者。
如下图所示:
基于Kerberos认证方式的缺点:
(1) 它是以对称的DES加密算法为基础,这使得在密钥的交换,保存,管理上存在着较大的安全隐患。
(2)Kerberos不能有效的防止字典攻击。并且防止口令猜测攻击的能力是很弱的。因为Kerberos的协议模型未对口令提供额外的保护。黑客或者攻击者可以收集大量的许可证,通过有些计算和密钥分析,进行口令猜测。倘若用户选择的口令不强,则容易被攻破。
(3)Kerberos协议最初设计是用来提供认证和密钥交换的。不能用它来进行数字签名,没有提供不可抵赖性的机制。
(4)在分布式系统中,认证中心错终复杂,域间的会话密钥太多,给密钥的管理,分配带来麻烦。
2.4基于PKI的身份认证方式
PKI(Pubic Key Infrastructure)公钥基础设施是一种遵循一定标准的密钥管理平台。能够为目前所有的网络应用透明的提供采用加密和数字签名等密码服务所必需的密钥管理和证书管理。它是现代电子商务和信息安全系统的主要技术之一。PKI做为新发展的安全技术和安全服务规范。不仅能确保网络数据的机密性,完整性,可用性,同时也可以解决通信双方身份的真实性问题。基于PKI的数字证书认证方式可以有效的保护用户的身份安全和数据安全。在基于证书的安全通信中,数字证书是证明用户身份合法和提供合法公钥的凭证。是建立保密通信的基础。因此数字证书的存储与管理显得非常重要。本文正是在PKI体系的基础上利用手机做为数字证书的载体,来实现对用户身份的认证。
3基于手机的身份认证方式
基于手机的身份认证是基于PKI的身份认证方式的一种改进或者说发展。为了更方便的说明这种认证方式的意义以及原理,特从以下几个方面进行分析。
3.1现实需求分析
基于PKI的身份认证方式是现阶段公认的保障信息网络社会安全的最佳体系,是信息安全的核心。数字证书的权威性和不可否任是PKI体系的基础。目前,国内外通常的做法是利用USBKey 做为数字证书的载体。例如中国建设银行使用的网银盾,中国工商银行推出的U盾等。他们都是将数字证书存储在USB Key中。其优点是较为安全可靠。但其缺点是管理较为麻烦,携带起来容易丢失。另外由于其工作原理是将数字证书固化在U盘里,证书不能实现远距离更新,实际使用起来,还是比较麻烦。目前很多公司和机构都开始研究下一代的证书存储工具。本论文正是在这样一个现状探索性采用人们常用的手机来作为数字证书的存储和管理工具。并以此展开思考和研究。
3.2理论基础
PKI(Public Key Infrastructure )公钥基础设施,它是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供数据加密和数字签名等密码服务及所必需的密钥和证书管理体系一种重要的身份认证技术。是简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。PKI以公钥密码技术为基础,数字证书为媒介,结合对称加密和非对称加密技术,将个人的标识信息与各自的公钥绑在一起,其主要目的是通过管理密钥和证书,为用户建立起一个安全、可信的网络运行环境,使用户可以在多种应用环境下方便地使用加密和数字签名技术在客户端上验证用户的身份,从而保证了互联网上所传输信息的真实性、完整性、机密性和不可否认性。
3.3 研究方案及系统组成
计算机要能准确认证用户的身份,必须能准确的识别用户手机中的数字证书。其中将数字证书从手机中导入到计算机上中是借助蓝牙技术(也可以是红外技术)提供的数据传输通道。并且因为数字证书是通过蓝牙技术无线传输的,必须给这个通道加密,防止被非法用户窃取。系统组成如下图所示:
3.4关键问题及其解决方案
3.4.1系统中的关键问题
基于手机的身份认证是依赖于手机这个载体,以数字证书为媒介,最终需要保证计算机对手机中的数字证书准确识别。并且整个信息交换不被非授权的第三方截获。因此整个系统有以下两个关键问题。
(1)数字证书在手机中的安全性问题。数字证书是存放在手机的SD卡上的,要保证数字证书能方便的写入到SD卡中,并使其具有加密功能,在遗失,被盗的情况下仍能确保数字证书不被非法利用。
(2)计算机要识别手机上的数字证书,或者说信息要在手机和计算机之间安全传递,必须有一个安全的通道。虽然可以借助他们本身都带有的蓝牙功能,并且蓝牙具有抗干扰性强,成本低的特点。但是仍不能保证信息传递的绝对安全。还需要设计一传输协议来给他们之间的信息传递提供一个安全通道。
3.4.2关键问题的解决方案
(1)对于数字证书在手机中安全存储的问题,可以考虑采用加密SD卡的方法。Sandisk 公司近期研发了一种称为TrustedFlash 的新技术,可以在SD,Micro SD卡上实现加密。
a.安全加密:根据需要,可设定不同的加密方式和权限,支持采用AES,DESB和3DES的对称密钥身份验证及基于X。509证书链的RSAC非对称密钥身份验证。
b.支持数字版权管理(DRM):可在支持硬件加密技术的不同主机间实现移动。
c.具有硬件加密技术的主机向下兼容常规的存储卡,而硬件加密卡在非保护区域也可作为常规卡使用。
d.主机(如手机)只需要升级软件来支持硬件加密技术,不需要增加和更改硬件。主要应用于数据安全存取,身份认证及移动电子商务。
(2) 对于传输通道的设计。可以借鉴当前的密码协议SSL协议。SSL即安全套接字层(Secure Socket Layer)。它是网景公司(Netscape)开发的,主要应用于保障Internet上数据传输之安全。SSL协议可以分为两层:SSL记录协议和SSL握手协议。提供主要服务有:①认证用户和服务器,确保数据发送到正确的客户机和服务器;②加密数据以防止数据中途被窃取;③维护数据的完整性,确保数据在传输过程中不被改变。认证工作流程为:1)客户端(C)向服务器(S)发送一个会话请求信息“你好”2)服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“你好”信息时将包含生成主密钥所需的信息;3)客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;4)服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。同样手机和计算机之间的通信过程和上面相似。只是SSL是同过有线连接传递数据,而本系统是通过蓝牙技术无线传递,其工作原理完全相同。
4小结与展望
本文开头阐述了常见的身份认证的方式,并分析了它们的优缺点。 目的是为了说明基于手机的身份认证在整个身份认证体系中所在的位置。随着手机业务的不断发展。现在的手机已经不仅是局限于传统的通话业务。越来越多的智能手机投入市场。它们大多可以安装小型的操作系统具有较强的处理能力,如Symbian 、Windows mobile、Linux等手机操作系统。这就为基于手机的身份认证提供了很好的工具和平台。可以预见USBKEY的功能将会被手机取代。基于手机的身份认证技术将能更好的服务于人民的生活。
参考文献:
[1]冯国柱. PKI关键技术研究及其应用[D].长沙:国防科学技术大学,2006.
现代高校的发展离不开信息技术,特别是随着各高校学生人数急剧增加,新教学楼、新教室的不断扩建,教学方式的多样化等一系列因素使学校对多媒体、网络教学、办公应用系统等信息化技术依赖越来越大,数字化校园建设已经成为各高校信息化建设的重要任务之一。医学院校在发展过程中也面临着同样的问题,需要对学校的教学、科研、管理等信息资源进行全面的整合,以实现统一的管理。
一、数字化校园的涵义及意义
在传统观念中数字化校园一直被认为只是由一个一卡通系统和多个应用系统组成,例如各种办公系统、多媒体教学系统、人事系统和财务系统等。但由于各个系统中的信息,数据保存格式以及操作人员的权限设置都不一致,并且各系统由于开发商的不同很难做到统一的接口,系统间通讯困难,对于整个校园来讲只是一个个“信息孤岛”,造成大量冗余、错误的信息,因此这样的“数字化校园”只是一个狭义的概念,并不能完全发挥信息化的优势。而数字化校园真正的涵义是指以校园网络为基础,利用计算机、各种通讯手段对学校里各种办公系统、多媒体教学系统进行统一的信息化管理,包括统一的身份认证、权限控制、教学资源管理以及对人事、财务、后勤等信息系统的统一管理等。数字化校园在时间和空间上都超越传统意义上的校园,它是一个基于先进的信息化技术的虚拟校园,使现实的校园环境得到延伸[1]。
数字化校园的建设对于高校的管理和发展具有重要意义。首先,数字化校园是一个虚拟化的校园,它超越了时间和空间上的局限,使学校的跨地域业务得到有效开展,对学校建立创新型的教学模式,开放式的教育环境,多层次的管理方法都具有相当重要的意义。其次,数字化校园以网络通讯为基础,通过计算机处理大量的信息,使学校教工把一些查询、统计、计算等工作交给计算机来完成,大大降低了工作量,提高了工作效率。再者,数字化校园成功解决了学校“信息孤岛”的问题。数字化校园的成功实施,能把学校里各个分散的系统整合,实现数据的统一管理,避免出现数据的重复检索、录入。例如图书馆的图书借阅系统,里面的人员信息不需要重新录入,可以直接从人事处数据库中调用,有效解决了数据的不一致问题。
二、国内外相关课题的研究现状
“数字化”这个概念最先是由美国前副总统戈尔于1998年在美国加利福尼亚科学中心发表的题为《数字地球---21世纪认识地球的方式》(The Digital Earth:Understanding in our planet in the 21st Century)的报告中首次提到的,他提出了数字化地球的概念,此后,“数字化”名词在全球流行开来,各行各业如数字化城市、数字化校园、数字化图书馆等名词接二连三被提出。
近年来,校园数字化建设已经成为世界各国高校重点研究的课题之一。
在国外,英国信息教育技术走在前列。1998年1月英国启动了全国学习网,利用网络的高速优势把学校、科研机构、图书馆等网站连为一体,为网络教育开辟了途径。2002年,英国全国学习网的网络连接所有家庭、社区、学校、医院、社会服务以及大众媒体转播系统、单位,基本能满足学校教育、家庭教育、职业教育、终身教育和社会经济发展的需求。
国内大学信息化基础建设方面,在90年代初,建成校园网并通过CERNET建设与国际互联网连接的大学总数不过10所左右。到1999年,已经有500余所大学建设了结构先进、功能完备的校园网络。2002年,北京大学和香港大学共同启动了亚洲地区第一个国际性的高等教育信息化研究项目,对亚洲地区各国高校信息化建设、发展的最新动态和信息,进行研究。
现阶段医学院校信息化建设所面临的主要问题有:一是学校以医学专业为主,信息化意识不强,缺乏专业的信息化建设人才队伍;二是信息化建设各自为政,存在重复建设现象;三是信息化建设进程缓慢,没有建立网上自动办公系统和智能化决策支持系统。
三、数字化校园建设目标
医学院校数字化建设的总体目标是建成一个适合学校校情的数字化校园模型,即“统一平台+统一门户+多应用系统”的建设模式,从而实现校内教学、管理、科研的全面信息化、网络化。免费论文,整合。
1.统一平台是指一个高性能的、负载均衡的、可扩展易维护的、高安全的应用软件、硬件以及数据库平台。其中包括统一信息门户平台、统一身份认证平台和统一公共数据平台三大基础平台。
2.统一门户是指要建成一个统一的、开放的、能提供信息共享并能提供多种应用服务的高效稳定的门户中心。
3.多应用系统指为满足各种教学、管理、科研等日常业务的需要而提供的各种信息化软件、工具等,如教务系统、人事管理系统、财务系统、科研管理系统、学生管理系统等,这些系统从统一的数据库平台调用数据,共享规范标准格式的数据,提供统一的接口程序。
通过数字化校园的标准建设,集成现有的应用系统,在新需求下开发新的应用系统,从而实现校园的信息共享和传递,最终构建一个集教学、科研、管理、活动为一体的信息化环境,实现学校教育过程的全面信息化,从根本上提高教学质量、科研水平和管理水平。免费论文,整合。
四、数字化校园建设内容
数字化校园的建设是在现有网络基础设施的基础上对校内所有信息化资源(包括各种应用系统、数据库资源、认证系统等)进行全面整合的过程。数字化校园建设的各个环节必须互相紧扣,有计划、有步骤地实施,确保各个环节协调发展。医学院校的数字化校园建设可以结合自身特点,发展几项特色项目,如虚拟实验室、虚拟医院、虚拟手术台等。
数字化校园的总体架构设计包括基础设施建设、统一身份认证平台、应用系统建设
1、基础设施建设
基础设施建设包括基础网络平台、弱电系统和IDC数据中心建设,是建设好数字化校园的基本保证,为数字校园提供最底层的网络、硬件支持。
(1)基础网络平台、弱电系统
(2)IDC数据中心
IDC数据中心是由一系列的硬件、软件、相关网络组成的整体,它作为全校数据流转与交换的中心,主要包括主机系统、存储系统、网络系统、安全系统等硬件设备和数据库系统、应用服务器、目录服务器数据汇聚设备。
2、统一身份认证平台
在数字化校园中,各个系统之间经常需要相互协作才能完成一项任务。但对于同一个用户来说,如果不同的系统都要不同的登录信息,并且要重复登录,这就给用户带来极大的不便,也给系统加重了负担。而所谓的统一身份认证就是对校内各个不同的应用系统采用统一的身份认证系统,为各应用系统的集成奠定基础。
目前高校身份认证管理存在以下问题:
(1)由于目前校内各个系统都是分散管理,因此就难以统一管理用户的账号,这就难免会对一些账号信息进行重复管理,增加管理成本。免费论文,整合。
(2)账号的使用没有落实到实名,一个账号存在多人使用的现象,在出现安全事故时难以明确责任,因此在安全管理上存在漏洞。免费论文,整合。
(3)不同应用系统之间的认证模式和规范不同,安全等级划分标准也不同,不便于全校的安全管理。免费论文,整合。
(4)一个用户如要使用多个应用系统,就必须记忆多套账号信息,并需重复登录,给用户的操作带来极大的不变[2]。免费论文,整合。
3、应用系统建设
应用系统主要有一卡通系统、数字图书馆、教学系统、学工系统、人事系统、财务系统、精品课程等。
(1)一卡通系统
一卡通是数字化校园建设的重要内容,是校内各系统连接的枢纽。校园一卡通以校园网为基础,集成各种计算机网络设备、数据终端,以IC卡为载体实现校园管理的信息化。系统建成以后,将取代以前校内的各种卡证(如借书证、饭卡、工作证、学生证等),真正实现校内工作、学习、生活的“一卡通”。
(2)数字图书馆
数字图书馆是数字化校园的重要组成部分,它是指运用数字技术和信息技术把处于不同地理位置的信息资源进行整合存储,并通过网络向广大读者提供多媒体信息资源的虚拟化图书馆。数字图书馆不受地域空间的限制,能最大限度地共享各地信息资源。
(3)教学系统
教学系统主要有教务管理系统,它管理的对象主要有学生信息、教师信息、管理人员信息以及教学资源信息(如教室、多媒体等)。而它主要实现的功能有:排课、选课、考试安排、教学测评等[3]。
五.结束语
数字化校园已经成为建设现代化高校必须面临的课题。数字化校园建成后,将很大程度上改变学校的教学、管理、科研等工作模式,更方便了校内的信息传递、共享。但国内医学院校的数字化校园建设还有很长的一段路要走,必须在初期做好整体规划,以学校的中心工作为出发点有计划地实施。
参考文献
[1]傅霖,张凡,江魁.高校数字校园探索与信息标准化建设[J].中国教育信息化,2007
[2]张应祥,吴健,孟彤.数字校园统一身份认证系统及管理平台设计,2010
随着网络的发展,电子商务的迅速崛起,使网络成为国际竞争的新战场。然而,由于网络技术本身的缺陷,使得网络社会的脆性大大增加,一旦计算机网络受到攻击不能正常运作时,整个社会就会陷入危机。所以,构筑安全的电子商务信息环境,愈来愈受到国际社会的高度关注。
一、电子商务中的信息安全技术
电子商务的信息安全在很大程度上依赖于技术的完善,包括密码、鉴别、访问控制、信息流控制、数据保护、软件保护、病毒检测及清除、内容分类识别和过滤、网络隐患扫描、系统安全监测报警与审计等技术。
1.防火墙技术。防火墙主要是加强网络之间的访问控制, 防止外部网络用户以非法手段通过外部网络进入内部网络。
2.加密技术。数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据,当需要时可使用不同的密钥将密文数据还原成明文数据。
3.数字签名技术。数字签名技术是将摘要用发送者的私钥加密,与原文一起传送给接收者,接收者只有用发送者的公钥才能解密被加密的摘要。
4.数字时间戳技术。时间戳是一个经加密后形成的凭证文档,包括需加时间戳的文件的摘要、dts 收到文件的日期与时间和dis 数字签名,用户首先将需要加时间的文件用hash编码加密形成摘要,然后将该摘要发送到dts,dts 在加入了收到文件摘要的日期和时间信息后再对该文件加密,然后送回用户。
二、电子商务安全防范措施
网络安全是电子商务的基础。网络安全防范技术可以从数据的加密(解密)算法、安全的网络协议、网络防火墙、完善的安全管理制度、硬件的加密和物理保护、安全监听系统和防病毒软件等领域来进行考虑和完善。
1.防火墙技术
用过internet,企业可以从异地取回重要数据,同时又要面对 internet 带来的数据安全的新挑战和新危险:即客户、推销商、移动用户、异地员工和内部员工的安全访问;以及保护企业的机密信息不受黑客和工业间谍的入侵。因此,企业必须加筑安全的“壕沟”,而这个“壕沟”就是防火墙.防火墙系统决定了哪些内容服务可以被外界访问;外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过,而且防火墙本身必须能够免于渗透。
2. vpn技术
虚拟专用网简称vpn,指将物理上分布在不同地点的网络通过公用骨干网联接而形成逻辑上的虚拟“私”网,依靠ips或 nsp在安全隧道、用户认证和访问控制等相关技术的控制下达到与专用网络类同的安全性能,从而实现基于 internet 安全传输重要信息的效应。目前vpn 主要采用四项技术来保证安全, 这四项技术分别是隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。
3.数字签名技术
为了保证数据和交易的安全、防止欺骗,确认交易双方的真实身份,电子商务必须采用加密技术。数字签名就是基于加密技术的,它的作用就是用来确定用户是否是真实的。数字签名就是通过一个单向哈希函数对要传送的报文进行处理而得到的用以认证报文是否发生改变的一个字母数字串。发送者用自己的私钥把数据加密后传送给接收者,接收者用发送者的公钥解开数据后,就可确认消息来自于谁,同时也是对发送者发送的信息真实性的一个证明,发送者对所发信息不可抵赖,从而实现信息的有效性和不可否认性。
三、电子商务的安全认证体系
随着计算机的发展和社会的进步,通过网络进行的电子商务活动当今社会越来越频繁,身份认证是一个不得不解决的重要问题,它将直接关系到电子商务活动能否高效而有序地进行。认证体系在电子商务中至关重要,它是用户获得访问权限的关键步骤。现代密码的两个最重要的分支就是加密和认证。加密目的就是防止敌方获得机密信息。认证则是为了防止敌方的主动攻击,包括验证信息真伪及防止信息在通信过程被篡改删除、插入、伪造及重放等。认证主要包括三个方面:消息认证、身份认证和数字签名。
身份认证一般是通过对被认证对象(人或事)的一个或多个参数进行验证。从而确定被认证对象是否名实相符或有效。这要求要验证的参数与被认证对象之间应存在严格的对应关系,最好是惟一对应的。身份认证是安全系统中的第一道关卡。
数字证书是在互联网通信中标志通信各方身份信息的一系列数据。提供了一种 internet 上验证用户身份的方式,其作用类似于司机的驾驶执照或身份证。它是由一个权威机构ca机构,又称为证书授权(certificate authority)中心发行的,人们可以在网上用它识别彼此的身份。
四、结束语
安全实际上就是一种风险管理。任何技术手段都不能保证100%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。因此,为进一步促进电子商务体系的完善和行业的健康快速发展,必须在实际运用中解决电子商务中出现的各类问题,使电子商务系统相对更安全。电子商务的安全运行必须从多方面入手,仅在技术角度防范是远远不够的,还必须完善电子商务立法,以规范飞速发展的电子商务现实中存在的各类问题,从而引导和促进我国电子商务快速健康发展。
参考文献:
[1] 劳帼龄.电子商务的安全技术[m].北京:中国水利水电出版社,2005.
所谓电子商务(Electronic Commerce) 是利用计算机技术、网络技术和远程通信技术, 实现整个商务(买卖)过程中的电子化、数字化和网络化。目前,因特网上影响交易最大的阻力就是交易安全问题, 据最新的中国互联网发展统计报告显示, 在被调查的人群中只有2.8%的人对网络的安全性是感到很满意的, 因此,电子商务的发展必须重视安全问题。
一、电子商务安全的要求
1、信息的保密性:指信息在存储、传输和处理过程中,不被他人窃取。
2、信息的完整性:指确保收到的信息就是对方发送的信息,信息在存储中不被篡改和破坏,保持与原发送信息的一致性。
3、 信息的不可否认性:指信息的发送方不可否认已经发送的信息,接收方也不可否认已经收到的信息。
4、 交易者身份的真实性:指交易双方的身份是真实的,不是假冒的。
5、 系统的可靠性:指计算机及网络系统的硬件和软件工作的可靠性。
在电子商务所需的几种安全性要求中,以保密性、完整性和不可否认性最为关键。电子商务安全性要求的实现涉及到以下多种安全技术的应用。
二、数据加密技术
将明文数据进行某种变换,使其成为不可理解的形式,这个过程就是加密,这种不可理解的形式称为密文。解密是加密的逆过程,即将密文还原成明文。
(一)对称密钥加密与DES算法
对称加密算法是指文件加密和解密使用一个相同秘密密钥,也叫会话密钥。目前世界上较为通用的对称加密算法有RC4和DES。这种加密算法的计算速度非常快,因此被广泛应用于对大量数据的加密过程。
最具代表的对称密钥加密算法是美国国家标准局于1977年公布的由IBM公司提出DES (Data Encrypuon Standard)加密算法。
(二)非对称密钥加密与RSA算法
为了克服对称加密技术存在的密钥管理和分发上的问题,1976年产生了密钥管理更为简化的非对称密钥密码体系,也称公钥密码体系(PublicKeyCrypt-system),用的最多是RSA算法,它是以三位发明者(Rivest、Shamir、Adleman)姓名的第一个字母组合而成的。
在实践中,为了保证电子商务系统的安全、可靠以及使用效率,一般可以采用由RSA和DES相结合实现的综合保密系统。
三、认证技术
认证技术是保证电子商务交易安全的一项重要技术。主要包括身份认证和信息认证。前者用于鉴别用户身份,后者用于保证通信双方的不可抵赖性以及信息的完整性
(一)身份认证
用户身份认证三种常用基本方式
1、口令方式
这种身份认证方法操作十分简单,但最不安全,因为其安全性仅仅基于用户口令的保密性,而用户口令一般较短且容易猜测,不能抵御口令猜测攻击,整个系统的安全容易受到威胁。
2、标记方式
访问系统资源时,用户必须持有合法的随身携带的物理介质(如存储有用户个性化数据的智能卡等)用于身份识别,访问系统资源。
3、人体生物学特征方式
某些人体生物学特征,如指纹、声音、DNA图案、视网膜扫描图案等等,这种方案一般造价较高,适用于保密程度很高的场合。
加密技术解决信息的保密性问题,对于信息的完整性则可以用信息认证方面的技术加以解决。在某些情况下,信息认证显得比信息保密更为重要。
(二)数字摘要
数字摘要,也称为安全Hash编码法,简称SHA或MD5 ,是用来保证信息完整性的一项技术。它是由Ron Rivest发明的一种单向加密算法,其加密结果是不能解密的。类似于人类的“指纹”,因此我们把这一串摘要而成的密文称之为数字指纹,可以通过数字指纹鉴别其明文的真伪。
(三)数字签名
数字签名建立在公钥加密体制基础上,是公钥加密技术的另一类应用。它把公钥加密技术和数字摘要结合起来,形成了实用的数字签名技术。
它的作用:确认当事人的身份,起到了签名或盖章的作用;能够鉴别信息自签发后到收到为止是否被篡改。
(四)数字时间戳
在电子交易中,时间和签名同等重要。数字时间戳技术是数字签名技术一种变种的应用,是由DTS服务机构提供的电子商务安全服务项目,专门用于证明信息的发送时间。包括三个部分:需加时间戳的文件的数字摘要;DTS机构收到文件摘要的日期和时间; DTS机构的数字签名。
(五)认证中心
认证中心:(Certificate Authority,简称CA),也称之为电子商务认证中心,是承担网上安全电子交易认证服务,能签发数字证书,确认用户身份的、与具体交易行为无关的第三方权威机构。认证中心通常是企业性的服务机构,主要任务是受理证书的申请、签发和管理数字证书。其核心是公共密钥基础设(PKI)。
我国现有的安全认证体系(CA)在金融CA方面,根证书由中国人民银行管理,根认证管理一般是脱机管理;品牌认证中心采用“统一品牌、联合建设”的方针进行。在非金融CA方面,最初主要由中国电信负责建设。
(六)数字证书
数字证书就是标志网络用户身份信息的一系列数据,用于证明某一主体(如个人用户、服务器等)的身份以及其公钥的合法性的一种权威性的电子文档,由权威公正的第三方机构,即CA中心签发。
以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。
四、电子商务的安全交易标准
(一)安全套接层协议
SSL (secure sockets layer)是由Netscape Communication公司是由设计开发的,其目的是通过在收发双方建立安全通道来提高应用程序间交换数据的安全性,从而实现浏览器和服务器(通常是Web服务器)之间的安全通信。
目前Microsoft和Netscape的浏览器都支持SSL,很多Web服务器也支持SSL。SSL是一种利用公共密钥技术的工业标准,已经广泛用于Internet。
(二)安全电子交易协议
(Secure Electronic Transaction)它是由VISA和MasterCard两大信用卡公司发起,会同IBM、Microsoft等信息产业巨头于1997年6月正式制定的用于因特网事务处理的一种标准。采用DES、RC4等对称加密体制加密要传输的信息,并用数字摘要和数字签名技术来鉴别信息的真伪及其完整性,目前已经被广为认可而成了事实上的国际通用的网上支付标准,其交易形态将成为未来电子商务的规范。
五、总结
网络应用以安全为本,只有充分掌握有关电子商务的技术,才能使电子商务更好的为我们服务。然而,如何利用这些技术仍是今后一段时间内需要深入研究的课题。
参考文献:
高校各个部门相对独立分散的业务系统通过数字化校园三大平台进行统一整合和有效的集成,对集成数据制定统一的标准,实时更新各种数据信息,确保信息的一致性和提高信息的准确性,从而提升领导的决策水平和高校整体管理水平。数字化校园三大平台不仅可以解决高校信息孤岛的问题,规范业务流程,还能为高校师生提供“一站式”服务,提高工作效率。
1 信息化标准建设与公共数据平台建设
现如今,高校各部门各司其职,根据需求建立各自的管理系统,缺乏数据统一标准和资源共享的意识。如果高校没有建立统一的信息化标准,往往会导致数据资源的浪费。建设数字化校园三大平台的主要目的是实现资源和数据共享以及将多个不关联的系统统一成一个系统,实现各部门之间数据交互,方便信息管理,提高工作效率。所谓信息化标准,是指信息在产生、传输、交换和处理时采用统一的概念、传输和表达格式、术语以及规则。
公共数据平台是建设信息门户平台和统一身份认证平台的基础,是数字化校园建设的重要组成部分。通过公共数据平台,可以对学校各个部门的数据信息进行收集、管理和利用,可以有效解决“数据共享难、信息孤岛”问题。公共数据库是统一管理数字化校园中的各种结构化数据的平台,具有建立和划分面向具体业务的数据库功能,可确保数据的一致性、完整性和安全性。通过数据集成平台可以将教务处、财务处、学工处、人事处、科研处、图书馆等应用系统的数据库集中到公共数据库里,并保持所有应用数据的统一。
2 统一身份认证平台建设
随着教育信息化的发展,学校需求的应用系统越来越多,不利于网络管理工作的开展。尤其是不同的应用系统其身份认证方式也不同,用户人员需要掌握大量的登录信息,经常会出现混淆登录信息以及忘记登录密码的问题,降低了用户的工作效率,同时也给网络中心工作人员增加了不少的任务量。高校现有的业务系统大部分都是单独授权、单独认证和单独的账号管理的模式,这种模式已经不能满足信息化快速发展的需求。因此,建设一个统一的、安全可靠的、集中式的身份认证和管理平台是一项相当重要的任务。
统一身份认证平台属于信息门户平台的身份认证方面,可以支持多个业务系统间单点登录(SSO),为各学校各个部门的业务系统提供集中式管理和安全认证机制,使得各种业务系统有效的整合和集成在一起。为了更好的使用系统和降低信息中心运维人员的工作负担,统一身份认证平台提供了自助密码找回功能。
3 信息门户平台建设
信息门户平台是直接展现给用户面前的,不仅可以及时的新闻通知,还可以提供管理、学习、生活等多方面的服务,增强了用户体验感,给全校师生带来了便捷性。
在该平台中,通过微博聚合方式将学校官方微博中的新闻、通知等信息推送到门敉站中。另外,学校目前拥有的业务系统如教务系统、财务系统、人事系统、科研系统、邮件系统、OA系统、校园一卡通、就业系统、迎新系统、离校系统等模块也会集成到门户网站中,并抽取OA待办事项、图书借阅情况、校园卡余额、教师的本月工资和公积金发送情况、站内信息未读提醒等服务模块。信息门户管理平台根据学校领导、普通教师以及学生需求的不同将信息门户页面展现的内容划分成三种,例如,以学生身份作为用户登录进去,页面中会增加成绩查询和已修学分信息,方便学生掌握自己的已修课程成绩和学分情况。此外,用户可以根据本身的爱好需求将一些应用模块添加到首页,对界面进行美化,增强用户体验感。
4 结束语
数字化校园三大平台建设在计算机和网络技术基础之上将高校内部各个相对独立分散的业务系统有效的集成在一起,有效的解决了信息孤岛的问题,实现了数据共享,提高了高校整体管理水平和综合实力,有助于学模式和观念的转变,更好的辅助学校领导决策。
参考文献
[1]张应祥.高校数字校园信息标准设计研究[J].中国教育信息化,2010(05):22-24.
[2]殷娜.数字化校园统一身份认证平台的构建[J].计算机技术与发展,2014(08).
[3]任婕.统一认证在校园门户网站上的应用[J].江苏教育学院学报:自然科学版,2010,26(12):63-67.
中图分类号:TP393.07文献标识码:A
文章编号:1004-373X(2010)04-122-03
Research on Integration of Library Management System
Based on Campus Portal Platform
DAI Ying
(Network Information Center,Chang′an University,Xi′an,710064,China)
Abstract:Integrated library management system is focus of the work in building a digital campus,which is based on the portal platform and included uniform identity authentication integration,data integration and information sharing portal integration.Three major areas of the integrated objectives and methods are described,and the realization of practical technology solutions to access remote digital resources for which enable the staff to live in out of school through uniform identity authentication to visit it,which provide a reference for someone who engaged in this domain research work in other colleges and universities.
Keywords:campus portal platform;library management system;uniform identity authentication;integrated information portal;sharing of data integration;remote digital resource
0 引 言
校园门户平台是基于计算机网络技术的一种管理平台,它以一种全新的信息服务形式向高校内各种不同类型的群体提供个性化的服务。它将学校从环境(包括网络、设备、教室等)、资源(诸如图书、讲义、课件等)到活动(包括教、学、管理、服务、办公等)逐步数字化,形成一个数字空间,通过设立统一的用户管理、统一的资源管理及统一的权限控制,学校建设成一个超越时间、空间的数字化校园[1]。
高校图书馆将为高校教学、科研提供文献信息保障的学术性机构,在高校和社会上占有重要地位,尤其在数字化校园建设蓬勃发展的今天,图书馆以丰富的文献信息资源、多样的载体服务形式,进一步奠定和加强了其作为学校信息资源中心的地位[2]。因此,基于校园门户平台图书馆管理系统的集成工作成为当前数字化校园建设工作中的重要组成部分。在此针对我校图书馆管理系统在门户平台中的集成与功能实现方面进行相关的研究与探索,希望能对大家有所启示。
1 我校图书馆管理系统概述以及其集成工作的必要性
我校图书馆文献资源丰富、载体形式多样、专业特色明显,除拥有大量馆藏图书、期刊合订本、中外文现刊外,还拥有超星、北大方正等20多万种电子图书,同时还提供给读者万方数据资源、中国期刊网、中文科技期刊数据库、EI(工程索引)、UMI(美国博硕士论文全文数据库)、ASCE(美国土木工程师协会数据库)、OSA(剑桥科学文摘)等20种国内外著名中外文数据库系统。
图书馆管理系统架构为B/S+C/S结构,其操作系统版本为Linux AS 4.0,数据库版本为Oracle 9.2.0.4,业务系统开发语言:B/S部分为 PHP,C/S部分为 VB和VC,其Web网络环境基于校园网,数据库网络环境为图书馆内网。由于其Web网络环境基于校园网,因此外网用户无法登录该系统了解本人书刊借阅情况,影响其及时办理书刊的预约、续借等手续;同时也无法进入中外文数据库及电子图书资源库享用丰富的远程数字资源,这对于居住在校园外或出差在外的教职工的工作生活造成一些困扰和不便。基于校园门户平台的图书馆管理系统的集成研究将着手解决诸如此类的问题,以期数字化校园建设工作更好地服务于广大教职员工。
2 图书馆管理系统集成内容
基于门户平台的图书馆管理系统集成包括统一身份认证集成、共享数据集成和信息门户集成三部分。
(1) 统一身份认证集成。通过确定统一身份认证系统的用户权威身份信息,建立起统一的认证平台,实现图书馆系统嵌入学校信息门户中,通过单点登录直接进入。届时用户通过统一身份认证帐号(校内教职工工资编号/学生学号)登录信息门户后,无需输入图书馆系统帐号、密码便可直接进入图书馆系统进行相关业务系统的使用。有效避免了用户输入不同访问网址,记忆不同用户名及密码所带来的不便和困扰[3]。
(2) 共享数据集成。共享数据集成是图书馆系统集成的核心所在,其集成目标为:实现公共数据库自动从图书馆系统中抽取相关个人信息,并通过数据集成工具集成到公共数据库中,使公共数据库平台成为全校范围内惟一全面的数据源;数据集成后,提供个人图书馆信息门户上的展现或供其他业务部门使用[4]。如图1所示。
图1 共享数据集成过程图示
图书馆系统开放公共数据库需要的源视图读权限,集成方式在抽取范围上采用增量抽取;周期上采用定时同步,周期为一天;其采集方式通过数据集成平台实现[5]。
(3) 信息门户集成。基于图书馆系统实现统一身份认证及共享数据集成的基础上,通过信息门户为广大师生提供统一的、个性化的图书信息查询服务。其集成方式通过开发单独的Portlet在信息门户上直接展现个人图书借阅情况,预约图书流转信息以及图书超期预警与罚款通知等[6]。
信息门户集成的优点集中体现在基于共享数据集成实现的基础上。因此它可以不完全依赖于图书馆系统本身,一旦图书馆数据库发生故障,门户上依然能够满足用户个人图书馆历史记录的查询需求,将其所带来的不利因素降到最低点。个人图书借阅信息展示截图如图2所示。
图2 个人图书借阅信息展示截图
3 统一身份认证及校内远程数字资源访问功能实现方式
3.1 统一身份认证实现方式
图书馆管理系统Web查询部分是基于PHP开发的,因此集成方式采用“PHP客户端”集成方式。由开发人员提供PHP认证头,图书馆管理系统据此修改其登录模块。认证头程序主要校验Cookie,判断当前用户是否已通过统一身份认证并在有效的会话期内,如通过验证,则实现单点登录[7]。单点登录后,图书馆管理系统从统一身份认证中获取用户的基本信息(登录名)。为保证用户登录号码与统一身份认证平台中的用户一致,需要提供给图书馆系统认证程序接口,其具体实现步骤如下:
(1) 拷贝图书馆系统集成开发包,解开其中有关统一身份认证接口的相关程序,并放到相应的目录下;
(2) 配置客户端参数,更新client.properties中的参数:
ids.UserName=connetusername
ids.Password=connectpassword
IdentityManager.Proxy=IdentityManager:tcp-p 58000-h yourserverip
(3) 配置PHP
修改php.ini ,加入如下配置:
extensiondir = /***/***/lib
extension=libIdstarPhp.so
(4) 启动 Apache
在启动 apache前需要设置库的加载路径,如下:
export LDLIBRARYPATH=/***/***/lib
apachectl start
3.2 图书馆校内远程数字资源访问功能实现
图书馆校内远程资源访问功能实现是建立在统一身份认证集成基础上,属统一身份认证集成的一部分。长期以来居住在校外或出差在外的外网用户无法在家中或外地远程访问学校图书馆中外文数据库及电子图书资源库等校内远程数字资源,给工作、生活带来一定程度的不便,同时在某种程度上也造成资源的闲置与浪费。校园门户系统的统一身份认证集成和访问设置则实现了这部分用户对于图书馆校内远程数字资源的访问[8,9]。图书馆校内资源远程访问流程图如图3所示。
图3 图书馆校内资源远程访问流程图
用户通过配置服务器地址在校外访问门户网站,通过统一身份认证后进入信息门户展示平台,访问校内资源;信息门户平台上设置中外文数据库及电子图书资源库等校内远程数字资源栏目,并提供完成远程访问所需要的批处理脚本文件,用户解压下载下来的批处理文件,双击其中的enableProxy.bat文件,完成该地址的设置;服务器根据用户组的不同,分配相应的校内地址,使用户直接进入校内远程访问资源栏目,点击访问所需的校内远程数字资源;双击下载的disenableProxy.bat,即可取消该地址的设置,正常访问门户系统[10]。
4 结 语
基于校园门户平台图书馆管理系统的集成研究,在实现用户统一身份认证的基础上,方便了教职工及学生对图书馆管理系统的使用,尤其是图书馆远程数字资源访问功能的实现,给居住或出差在外的教职工的工作、学习、生活带来很大的便利。同时,还考虑在门户平台上增加若干控件,方便用户自行订制相关个性化服务,如将有关新书报道、预约图书、欠费预警及图书超期罚款等信息以短消息形式即时在个人门户上显示,以期更好地服务于广大师生。
参考文献
[1]林三洲.数字化校园建设漫谈[J].湖北经济学院学报:人文社会科学版,2007,4(3):153-154.
[2]沈煜,裴艳慧.信息时代高校图书馆的作用和发展[J].晋图学刊,2007(3):57-59.
[3]贺超波,陈启买,欧阳辉.数字化校园门户平台统一身份认证的实现[J].现代计算机,2008(12):25-28.
[4]孙月洪.数据交换在数字化校园中的作用与实现[J].办公自动化,2009(1):35-37.
[5]邓英.数字化校园建设中公共数据整合方案研究[J].电脑知识与技术,2008(2):589-591.
[6]宫卫涛,马自卫.数字图书馆门户集成技术及其实现[J].现代图书情报技术,2007(11): 23-27.
[7]张冲,武超,杨要科.校园网统身份认证系统的设计与实现[J].中原工学院学报,2008,19(4):68-71.
0引言
由于网络环境的特殊性,每一个投人使用的网络应用系统都不可避免地面临安全的威胁,因此,必须采取相应的安全措施。国内在信息安全方面已做了很多相关研究,但大多是单独考虑资源保护或身份认证等某一方面,而对如何构建一个相对完善且通用的网络应用系统信息安全解决方案研究不多。本文在ISO提出的安全服务框架下,融合了数据加密、身份认证和访问控制三种安全技术和机制,并充分考虑了系统安全性需求与可用性、成本等特性之间的平衡,提出了一个以信息资源传输和存储安全保护、身份认证安全管理和资源访问安全控制为基本要素的网络应用系统信息安全模型,为加强中小型企业网络应用系统安全性提供了一个比较简单可行的方案。
1网络应用系统信息安全模型设计
1.1信息安全模型总体设想
本文提出的网络应用系统信息安全模型主要基于三个要素:信息资源传输和存储安全保护,身份认证安全管理以及用户对资源访问的安全控制。整个信息安全模型如图1所示。模型利用过滤器来区分敏感数据与非敏感数据,对于非敏感数据直接以明文形式进人信息资源层处理,而对敏感数据则采用加密传输通道进行传输,且需要经过身份认证层与访问控制层的控制后才能进人信息资源层。这样的设计在保证了信息传输和存储较高的安全性的同时,减少了身份认证层与访问控制层的系统开销,大大提高了系统的运行效率。而在信息资源层,则是通过备份机制、事务日志和使用常用加密算法对数据库中数据进行处理,来保障信息传输和存储的安全。
1.2身份认证层的设计
身份认证层主要包括两部分:用户身份认证和用户注册信息管理,采用了基于改进的挑战/应答式动态口令认证机制。
目前使用比较普遍的是挑战/应答式动态口令认证机制,每次认证时服务器端都给客户端发送一个不同的“挑战”字串,客户端收到这个字串后,作出相应的”应答”。但是,标准的挑战/应答动态口令认证机制具有攻击者截获随机数从而假冒服务器和用户,以及口令以明文形式存放在数据库中易受攻击两个缺点。在本模型采用的改进的挑战/应答式动态口令认证机制中,通过1.4节中论述的敏感数据加密通道对随机数进行加密传输解决了上述第一个问题;通过在客户端将用户口令经M DS算法散列运算并保存在服务器端数据库解决了上述第二个问题,使得服务器在认证时只需要比对客户端处理后传来的加密字符串即可。方案的具体流程如下:
1)服务器端口令的保存当用户在服务器端录人注册信息时,将用户的密码进行K次M DS散列运算放在数据库中。
2)用户请求登录服务器端开始执行口令验证:当用户请求登录服务器时,Web服务器在送出登录页面的同时产生一个随机数并将其通过敏感数据加密传输通道发给客户端。
3)客户端M DS口令的生成客户端首先重复调用与服务器端同样的MDS运算K次,得到与保存在服务器端数据库中的口令一致的消息摘要。然后,将从服务器传来的随机数与该口令相加后再调用客户端的M DS散列运算函数,将结果(M DS口令)通过敏感数据加密传输通道传送给服务器。
4)服务器端对MDS口令的验证服务器端收到客户端传来的用户名和MDS口令后,通过查询数据库,将已存储的经过K次M DS散列运算的口令与随机数相加后同样进行M DS散列运算,并比较两个结果是否相同,如相同则通过验证,否则拒绝请求。整个用户口令的生成和验证过程如图2所示。
1.3基于RBAC的访问控制层的设计
访问控制层主要包括两部分:权限验证与授权和资源限制访问,采用了基于角色的访问控制机制。在RBAC中引人角色的概念主要是为了分离用户和访间权限的直接联系,根据组织中不同岗位及其职能,一个角色可以拥有多项权限,可以被赋予多个用户;而一个权限也可以分配给多个角色。在这里,约束机制对角色和权限分配来说非常重要,本模型设计的约束机制主要包括以下几方面:一是限制一个角色可以支持的最大用户容量。如超级管理员这个角色对于应用系统非常重要,只允许授权给一个用户,该角色的用户容量就是1。二是设置互斥角色。即不允许将互相排斥的角色授权给同一个用户。如客户类的角色和管理员类的角色是互斥的。三是设置互斥功能权限。即不允许将互相排斥的功能权限授权给同一个角色。如客户类角色查看自己银行账户余额信息的权限与修改自己账户余额的权限就是互斥的。
数据库结构设计是实现RBAC的重要环节,良好的数据库结构设计本身就可以表述RBAC的要求。具体设计如下:
1)用户信息表(User_info)保存用户基本信息。其字段有用户ID ( User ID )、用户名称(Username )、密码(Passw )、用户类型( Kind )。定义表中的Kind数据项与Role表中Kind数据项具有相同的形式。将用户进行分类后,当分配给用户角色时可以指定用户只能被分派到与其Kind属性相同的角色,这样就可以实现角色的互斥约束。
2)角色信息表(Role )、保存各个等级的角色定义信息。其字段有角色ID ( Role_ID )、角色名称(Rolename )、角色种类( Kind)和角色描述(Role_ Desc ) o Kind数据项代表指定角色集合中的类别。
3)用户/角色关系信息表(User_Role)保存用户和角色的对应关系,其字段有用户ID和角色ID。当向User_Role表中添加数据即给用户分配角色时,要求User_ info表中要分配角色的用户数据元组中的Kind数据项与Role表中相应角色的元组Kind数据项相同,以实现一定尺度上的角色互斥,避免用户被赋予两个不能同时拥有的角色类型。
4)权限信息表(Permission)保存系统中规定的对系统信息资源所有操作权限集合。其字段有权限ID ( Per_ID ),操作许可(Per),资源ID( Pro_ID)和权限描述(Per Desc )。
5)角色/权限信息表(Role_ Per)保存各个角色应拥有权限的集合。其字段有角色ID和权限ID。
6)系统信息资源秘密级别表(SecretLevel)保存规定的系统信息资源的秘密级别。其字段有资源ID,密级ID ( SecrLev_ID)和密级信息描述(Secr_Desc )。在客户端和服务器端传输数据和存储的过程中,通过查询该表可以判断哪些信息资源为敏感数据,从而决定对其实施相应的安全技术和机制。
7)角色继承关系表(Role_ Heir)存放表述各种角色之间继承关系的信息。其字段有角色ID,被继承角色ID ( H_Role_ID )。角色继承关系可以是一对一,一对多或多对多的,通过遍历整个角色继承关系表,就可以知道所有的角色继承关系。
8)权限互斤表(MutexPer)保存表述角色对应权限互斥关系的信息,其字段有权限ID和互斥权限ID。
1.4敏感数据加密传输通道的设计
设计敏感数据加密传输通道的目的是保障敏感信息在传输过程中的保密性与完整性。针对中小型企业网络应用系统的特点,在充分对比各种数据加密传输解决方案的基础上,从成本和效果两方面出发,我们选择3DES加密算法对敏感数据进行加密。同时又结合了RSA算法对密钥进行传输,从而解决了对称加密算法缺乏非对称加密算法}/}/公钥的安全性这个问题。具体工作流程如下:
1)服务器端由RSA加密算法生成公钥KSpub和私钥KSpriv;
2)服务器端将公钥KSpub传送给客户端;
3)客户端接收公钥KSpub,然后由3DES加密算法生成对称密钥Ksym,用KSpub加密Ksym ;
4)客户端将加密后的Ksym传送给服务器端;
5)服务器端用KSpriv解密得到Ksym ;
6)敏感数据加密传输通道建立成功,服务器端和客户端以Ksym作为密钥对敏感数据加/解密并传输。
1.5安全审计部分的设计
中图分类号: TN99?34 文献标识码: A 文章编号: 1004?373X(2016)24?0022?04
Optimization improvement of key technology of cloud electronic identity management and authentication system
WANG Pengcheng, XIE Kunpeng
(Henan Institute of Finance, Zhengzhou 450000, China)
Abstract: There are high risk, low efficiency of database storage, high authentication error rate in the current identity management authentication technology. Therefore, a cloud electronic authentication management system is proposed. This system is mainly composed of authentication server, system server and cloud access server. The control agent module in the authentication server intercepts the data information that the user requests for authentication by resource server, and sends the data information to the certification service module. When the user enters into the information database, the files required by the user are encrypted and decrypted by the RSA system server module. The identity authentication relies on the user′s private key and authentication token. The data information is uploaded to the cloud access server for storage and transmission to complete the entire cloud electronic identity management and authentication. Partial functions, flow charts of file encryption and decryption in RSA module, as well as the power operation process of large numbers multiplication and large mathematical model in the verification process of RSA module are given in this paper. The experimental results shows that proposed identity management and authentication system has low energy consumption, high efficiency and high precision of data processing.
Keywords: identity management; identity authentication; RSA module; security
0 引 言
随着电子信息技术的不断发展,公共网络服务、事务查询等功能越来越多地出现在电子信息系统上。它可以为跨互联网的用户们提供安全快速的身份认证服务。电子信息系统给人们的生活带来便捷,但随之也存在电子信息技术安全性方面的问题[1?3]。其中的重要部分便是身份安全问题。构建一个安全性优良的电子身份信息管理和认证系统是目前相关专业人员的重点研究方向[4?6]。
目前的身份验证方法都存在一些不足。如文献[7]提出了OPEN ID身份信息处理系统,具体过程为让用户事先在网站上注册个人信息,并且任何网站都可以使用OPEN ID进行登录,对用户身份进行认证。因为网站质量参差不齐,导致OPEN ID技术不稳定,安全风险也很大。文献[8]提出单点登录法,当用户访问任意的服务器,只要登录过一次,通过其中的安全认证,那么下次用户再访问其他资源的时候则无需再次认证登录。其缺点为安全性能太低,中央数据库的管理代价较高。还会产生第三方服务器跨域问题。文献[9]采用了OITF联合身份管理系统,这种管理系统可以为多个应用系统进行身份认证,实现了跨域的单点登录与身份管理。但由于身份安全级别的不同,安全认证的需求也不同,在多个应用系统中,要想使用统一的认证体系需要大量的开销,极大地提高了成本。为了解决以上方法中存在的问题,本文设计了一种云电子身份管理认证系统。
1 云电子身份管理与认证系统设计
1.1 系统结构
云电子身份管理认证系统主要将数据库中的用户个人信息与各个应用系统的数据通过身份认证系统,来进行统一的管理、认证。首先,认证服务器将会对用户的身份进行确认,认证服务器中的控制模块截取用户对资源服务器请求认证的数据信息,并将数据信息发送到认证服务模块进行用户身份认证。用户进入到信息数据库中后,需要通过系统服务器中的核心模块,也就是RSA模块对用户所需文件进行加密解密处理,最终将数据信息上传到云访问服务器中,以完成整个电子身份认证管理过程。云电子身份管理与认证系统结构如图1所示。
(1) 认证服务器。认证服务器含有控制模块与认证服务模块。其中,控制模块截取用户对资源服务器请求认证的数据信息,并将数据信息发送到认证服务模块进行身份认证。认证服务器为身份认证系统与认证服务模块之间必不可少的一环。为了在服务器交换数据信息时,用户数据和认证服务器保持完全分离,需要使用控制模块,它可以保护用户个人信息的安全。而认证服务器在客户端完成相应的身份信息认证工作。在后台的信息数据库里存储了大量的用户个人信息数据。为了保护用户的个人信息安全,用户与认证服务器各拥有一个RSA密钥,RSA密钥可以实现用户与客户端的互相验证,用户可以根据认证服务器的公钥信息判断验证服务器身份是否合法。
(2) 认证客户端。在每个公共网络与内部网络的未认证的用户主机里都有一个认证客户端,其是身份验证系统的操作界面。
(3) 认证令牌。认证令牌是在进行身份认证时随机生成的动态数字,经过函数计算能够得到动态口令。身份验证系统会将得到的动态口令与用户的ID信息进行对比查询,提交到认证模块的服务器中,以此来验证用户的身份。在身份验证系统中,每一位用户都会得到一个认证令牌。
1.2 系统服务器结构设计
认证模块、系统管理模块、用户模块、RSA管理模块以及数据库管理模块组成了完整的系统服务器。系统服务器依靠模块化的部件,确保身份认证系统更具有扩展性、安全性。系统服务器构造如图2所示。
整个系统服务器的基础模块为RSA模块,其可进行RSA加密或解密,实现大数运算,根据其他模块的需要来进行计划调度。同样可以进行计划调度的还有数据库管理模块,它对用户数据进行处理。用户进入到信息数据库中后,通过系统服务器中的RSA模块,对用户所需文件进行加密解密处理,依靠用户私钥和认证令牌实现身份认证,将数据信息上传到云访问服务器中进行存储和传递。系统管理模块为身份认证系统的核心,可对其他模块进行协调并加载服务。
1.3 云访问服务器
云访问服务器给用户提供存储和共享数据信息,并进行数据传输功能。云访问服务器的工作效率对于身份管理与认证系统有着很大的影响。云访问服务器的结构图如图3所示。
由图3可见,云访问服务器分为用户注册、用户登录、添加删除好友、文件上传、文件下载和文件共享6个模块。依靠云系统的庞大容量来满足身份认证系统的扩展需求。数据库中的数据进行加密后即可储存在云系统中,进行过加密处理的文件除了用户本人以外,无法被读取,从而保证了整个身份认证系统的保密性、安全性。
2 身份管理与认证系统的软件设计
2.1 RSA模块功能设计
RSA模块是云电子身份管理认证系统的核心模块之一,其可以运算RSA算法,还可以对文件进行加密解密处理。RSA的性能影响着系统的性能,因为在身份验证系统中,基本上所有的函数运算都需要RSA模块来完成。下面为RSA模块中的部分功能函数:
Clargent函数的功能为可以将大数进行计算,比如基本的加减乘除、模幂与位移的运算等。内存中大数的构造即为Clargent函数:
enum LIMIT{LENGTH = 0xFF};
unsigned long _len;
unsigned long _data[LENGTH];
其中:len是大数的总长度,大数的最大长度即为len×32=8 192 b,Data为总长度中每一位的具体数值。进行运算设计时,将2×32作为基底,以左边代表低位,右边代表高位。
下列函数都与大素数相关:
InitSmallPrimes代表素数测试模块所用的初始化小素数表;
SmallPrimeTest代表对产生的大数p进行的小素数检验,检验通过后再对大数p进行RabinMiller测试;
RabinMillerTest代表对产生的大数p进行RabinMiller测试,若测试通过则认为大数p为素数;
下列是与密匙相关的一些函数:
GetCommonDivisor代表获取到两个大数的最大公约数;GetE代表生成私匙(n,e);GetD代表生成公匙(n,d);RSAEncrypt代表将数据进行RSA加密处理;RSADecrypt代表将数据进行RSA解密处理。
为了让文件与数据的相互转换变得更加简单,RSA模块在文件加密处理时将文件作为大数来运算。一般文件的大小基本都比理论上大数的总长度大,所以在进行文件转换时需将文件分段处理,对文件进行分段加密处理,最后再连接成一个完整的文件。解密过程同加密过程完全相反。
下面是文件的解密流程,如图4所示。由图4可知,需进行加密解密处理的文件共两个,其中,Encode text代表将对文件进行加密处理;Decode text代表将对文件进行解密处理。
2.2 RSA模块进行大数乘法过程
为了实现大数和unsigned long类型的乘法,RSA模块需要先列出一个函数式,然后依据函数式来反复调用这一模块。设A为位数是m的大数,设B为unsigned long类型数,则最后大数A*B的运算过程为:
(1) 设C0=0,i=0
(2) 则可得Ri=Ai*B+Ci
(3) 如果 Ri>0xFFFFFFFF,Ci+1=Ri/0xFFFFFFFF,Ri=Ri&0xFFFFFFFF
(4) 如果Ri
(5) 如果i≥m,则结束
(6) i=i+1,重复步骤2
2.3 RSA模块进行大数模幂运算过程
在RSA模块进行电子身份认证运算过程中,私钥与公钥的值确定后,若想完成身份验证并签名,无论再进行发送还是接收都只需再运算一次,这种运算的过程称之为模幂运算。构成模幂运算的为模乘运算,因为在RSA模块中,大数位通常大于512 b,大数模幂的运算量则会很大。若想提高运算速度,需要简化模幂算法,如下为简化的大数模幂运算过程:
为了求得D=C15%N,因为a*b%n=(a%n)*(b% n)%n,那么可以得出:
C1=C*C%N=C2%N
C2=C1*C%N=C3%N
C3=C2*C2%N=C6%N
C4=C3*C%N=C7%N
C5=C4*C4%N=C14%N
C6=C5*C%N=C15%N
故可以将模幂运算e=15分解为6个模乘运算。通过分析上述函数式的规律可以得出e为任意值时,使用函数算法计算出D=Ce%N:
D=1
While e≥0
If (e非偶数)
D=D*C%N
D=D*D%N
e=e-1
If (e非奇数)
D=D*D%N
e=e/2
最终回到D
根据结果进行分析得知,D乘C的具体时间通过检验e的二进制各位数得出,并且在检验过程中,由左至右的检测比较简单,如下:
D=1
For i=n to 0
D=D*D%N
If e[i]=1
D=D*C%N
最终回到D
3 实验分析
作为客户端与服务器之间重要的数据传输设备,身份认证系统需要向用户提供访问服务。用户是否能安全地登录客户端,对身份验证系统有很高的要求,实验对本文设计的云电子身份管理认证系统进行测试,验证其性能。
3.1 测试准备
在实验中本文采用了Avalanche 测试工具,其可模拟出大量的用户对本文设计的身份管理与认证系统进行访问,进而得出具体的实验结果。为了避免客户端和身份认证服务器在实验身份认证过程中读取的数据不同,采用Ethereal 抓包工具来抓取动态数据包,再对数据包进行解析。
3.2 测试结果
为了验证本文提出方法的有效性,在各种不同条件下进行了多次测试,测试的结果如表1所示。通过表1可以得知:当最大并发数达到2 000,2 500,3 000时,本文设计的身份管理和认证系统CPU 消耗的最大值并未超过系统合理运行所要求的最大限度,当并发数达到很大的数值时,系统依旧可以正常运作;本文的身份管理和认证系统对于用户要求响应的时间在220 ms左右,具有较高的认证效率;在测试过程中,当并发数值达到很大时,本文身份管理和认证系统对于数据处理的正确率也在99%以上。在身份认证系统中,由于系统软件部分的运算速度有限,所以在对文件进行读取和加密解密的过程中,对于函数式的运算性能要求十分苛刻。下面对本文提出的身份认证系统的文件加密解密运算执行时间进行性能检测,结果如表2所示。
由图5可知,对不同大小的文件分别进行加密和解密测试后的验证结果显示出文件的大小与文件加密解密的时间成正比,并且文件加密解密的所用时间都是ms级,非常微小。故本文提出的身份认证系统可以满足用户进行高效率身份认证的需求。
4 结 论
本文提出一种云电子身份管理认证系统,系统主要由认证服务器、系统服务器与云访问服务器组成。实验结果表明,提出身份管理和认证系统耗能低、认证效率高,具有较高的数据处理精度。
参考文献
[1] 王群,李馥娟,钱焕延.云计算身份认证模型研究[J].电子技术应用,2015,41(2):135?138.
[2] 朱莉蓉,陈宁江,何佩聪,等.基于动态信任管理的云用户行为认证服务系统[J].广西大学学报(自然科学版),2015,40(6):1485?1493.
[3] 王文清,柴丽娜,陈萍,等.Shibboleth与CALIS统一认证云服务中心的跨域认证集成模式[J].国家图书馆学刊,2015,24(4):45?50.
[4] 李丙戌,吴礼发,周振吉,等.基于信任的云计算身份管理模型设计与实现[J].计算机科学,2014,41(10):144?148.
[5] 王雷,王平建,向继.云存储环境中的统一认证技术[J].中国科学院大学学报,2015,32(5):682?688.
[6] 叶丹.云智能生活中的身份安全[J].五金科技,2014,42(5):82?85.
我国现阶段的网上银行指银行通过信息网络提供的金融服务。网上银行支付在中国从1998年第一笔300元的订单,到2010年的10858亿元的网上支付交易额,飞速发展,正在广泛地渗透到人们生活的方方面面。尽管各家银行不断对其网上银行进行升级,但网上银行盗诈事件仍时有发生。盗诈背后,笔者认为银行应负主要责任,因为网上银行的身份认证和银行的服务意识存在问题,其次责任是用户的使用习惯。
一、网上银行身份认证设备存在的问题
1.静态密码技术。银行登录方式分两种,一种是采用“卡号+密码”的方式登录,此类技术代表为网上个人银行大众版,卡号、密码的保管非常重要,如果卡号和密码不慎被他人取得,他人即可通过网上银行大众版通过转账、网上支付卡转账等方式窃取客户账户资金。另一种是采用“用户名+登录密码”的方式登录,此种方式较为安全,在安全设计上有考虑到用户的需要,既满足了用户查询相关信息的需要,又保证了用户资料的安全,同时把查询和支付、转账等业务分开,增加安全系数。
2.动态口令卡、动态口令牌、手机动态口令。电子口令卡是指以矩阵形式印有若干字符串的卡片,每个字符串对应一个唯一的坐标。使用电子银行口令卡会存在卡片丢失或被窥视、拍照、复印等非技术风险;动态口令牌是一种内置电源、密码生成芯片和显示屏、根据专门的算法每隔一定时间自动更新动态口令的专用硬件。2011年1月以来,国内多省市发生以“E令卡网上银行升级”为名,通过手机短信和制作克隆网站实施诈骗的案件。手机动态口令是利用手机作为随机密码生成或者接受终端,用户在登录应用系统时候,输入手机上的生成或者接收到的密码不停变化的随机密码,但是手机的缺点是容易被监听,被犯罪分子截取密码。
3.证书用户。目前网上银行应用最普遍的基于PKI体系的数字签名产品是USBKEY,它是一种USB接口的硬件设备,内置国密安全芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥算法实现对用户身份的认证。第一代USBKEY产品解决了用户私有信息的传输安全问题,有效预防了基于钓鱼网站的诈骗事件的发生。但是在交换操作方面还存在隐患,当用户长时间插入USBKEY时,黑客可以通过木马截获PIN码,远程控制,冒用客户的USB Key进行身份认证,发生骗签事件。
二、网上银行身份认证方案及防范措施
1.认证方案。在现在的三种认证方案中,可以说没有哪一种是绝对的安全。在网银发展的初期,以市场推广为主要诉求,以方便性和高性价比来满足市场初期需要,对系统需求和身份认证机制的安全性放在第二位来考虑,因此首先出现的是基于静态密码的大众版网上银行。然而随着利用钓鱼网站进行诈骗事件的逐渐增多,国内众多商业银行的身份认证产品开始转向推广更加安全的USBKEY电子签名设备。但是随着骗签事件的增多,网上银行何去何从?借鉴国内最好的网上第三方支付“支付宝”的身份认证解决方案,本人认为在现阶段,网上银行应该使用USBKEY+手机短信检验码的认证方式,每一笔网上交易需要登录密码+支付密码+U盾+U盾密码+手机短信检验码完成,非常安全。在未来的网上银行身份认证发展中,可能会用到指纹液晶KEY方案,用指纹液晶KEY登陆网银是在KEY上进行指纹认证以代替从电脑键盘输入PIN码,并在KEY上显示交易信息,从物理上彻底杜绝黑客攻击的途径,从而有效防止网站钓鱼、远程挟持、信息篡改、骗签等安全隐患。
2.防范措施。银行应该增强服务意识,出现问题后,不要总是把问题都推到用户身上,应该多想想银行本身的问题,应该多做一些事情服务好用户。例如对于USB Key骗签事件,银行应该在用户进行每一笔网上交易中给予适当的提示,在需要插入USB Key时,弹出对话框提示用户插入,在完成交易后,马上弹出一个对话框,提示用户已经完成交易,请及时拔走USB Key,这样做相信骗签事件发生的机率会很低。目前广大网民对电子支付和网上银行市场的认知程度还很有限,银行在对用户进行网上银行安全的宣传、推广和教育上应承担相应责任。例如本人作为工商银行U盾客户已经有6年时间,在撰写本论文时查阅大量资料,发现原来工商银行早在2008年就已经提供USBKEY+手机动态检验码的认证方式,但是本人及周围对网上银行安全性要求较高的用户都不知情。首先应该选择一种安全的支付方式,宁愿多支付安全成本,保证资金安全,也不选择安全性不好的支付方式,同时应该增强网上支付安全意识,培养良好的网上支付习惯。
