身份認證技術論文
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇身份認證技術論文范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
身份認證技術論文范文第1篇
關鍵詞:信息安全;身份認證;生物特征;組合認證;解決方案;性能分析
中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2011) 16-0000-02
Authentication Technology Research Overview
Zhang Yao
(Harbin Normal University,Computer Science and Information Engineering College,Harbin150025,China)
Abstract:Authentication technology is capable of sending and receiving side of information technology to identify the true identity,is to identify,verify that the network information system in the legitimacy and authenticity of the user identity,according to mandate access to system resources,and shut out illegal visitors.This article discusses the field of information security authentication technology status and development trend,for further improving the work has a certain theoretical significance.
Keywords:Information security;Authentication;Biometrics;
Combination of certification;Solutions;Performance analysis
網絡認證技術是網絡安全技術的重要組成部分之一。認證指的是證實被認證對象是否屬實和是否有效的一個過程,常常被用于通信雙方互相確認身份,以保證通信的安全。認證技術一般包括兩個方面的內容,分別是身份認證和信息認證。身份認證主要是通過對用戶身份的鑒別來實現對用戶權限的識別,限制低權限或者非法用戶的入侵。信息認證主要是用于驗證信息是否完整。本論文的研究主要偏重于對身份認證技術及其分析。主要側重以下幾個方面做分析。
一、身份認證的方法分析
身份認證主要是通過分析被認證者的身份、權限等相關的信息。除了認證者本人,任何其他人都無法進行仿造或者偽造身份。如果經過認證,被認證者擁有相關的權限和秘密,那么他就獲得了認證。身份認證的主要依據就是被認證方用于證明身份所用有的秘密。每個被認證者所擁有的身份認證秘密不同。常見的身份認證有兩種,第一種是基于物理安全性的身份認證方法。第二種是基于秘密信息的身份認證方法。
(一) 基于物理安全的身份認證方法
不同的身份認證方法基于不同的理論,但這些認證方法的共同點就是依據用戶知道的秘密信息。和這種認證方法相對照,另外一種利用用戶的特殊信息或者硬件信息來進行身份認證的。比如說從生物學角度考慮,利用聲音識別進行身份驗證,利用指紋進行身份驗證,利用人眼的虹膜進行身份驗證等。從硬件的角度考慮,常用的認證方法有通過智能卡來進行驗證,只有認證者擁有正確的卡,才可以被認證。當然,這種方法也有優缺點,這種智能卡可以有效的阻止和避免人為亂猜口令導致的密碼被破解,但也存在著只認卡不認人的缺陷,一旦智能卡因丟失被其他人撿到,則很容易被盜取身份。為防止出現這種情況,現在一般采用智能卡和口令結合的方式,比如現在最常用的銀行卡就是這種。
(二)基于秘密信息的身份認證方法
常見的有以下幾個方式:
1.通過進行用戶口令認證來核對身份信息,在剛建立系統的時候,系統已經預先為具有合法權限的用戶設定了用戶口令和密碼。當用戶通過登錄界面登錄時,登錄界面顯示用戶名和密碼輸入。客戶輸入用戶名和密碼以后,系統會對輸入的賬戶和密碼與系統原有的密碼進行核對如果完全一致,則認為是合法用戶,用戶身份得到認證。否則,就提示賬戶名或者密碼錯誤。用戶身份得不到認證。
2.單項認證,所謂單項認證,就是進行通信的雙方中,只有一方需要進行身份認證。上面所闡述的口令核對法本質上也是一種單項認證。只是這種認證方法還比較低級,沒有進行相應的密鑰分發操作。常見的涉及到密鑰分發操作的認證方案有兩類。分別是對稱密鑰加密方案和非對稱密鑰加密方案。對稱密鑰加密方案是指依靠第三方來進行認證,第三方就是一個統一的密鑰分發中心。通信雙方的密鑰分發和身份認證都要通過第三方來實現。另一種沒有第三方參與的加密體制成為非對稱密鑰加密體制。
3.雙向認證。雙向認證,是指需要通信雙方相互認證才可以實現雙方通信,通信雙方必須相互鑒別彼此的身份,并且經雙方驗證正確以后,才可以實現雙方的通信。在雙向認證中,最典型的就是Needham/Schroeder協議。
[1]Needham/Schroeder Protocol[1978]
AKDC:IDA||IDB||N1
KDCA:EKa[Ks||IDB||N1||EKb[Ks||IDA]]
AB:EKb[Ks||IDA]
BA:EKs[N2]
AB:EKs[f(N2)]
(其中f(N2)為N2的某一個函數,其他符號約定同上。)
4.身份的零知識證明通常在進行身份認證時,需要進行身份信息或者口令的傳輸。要想不傳輸這些信息就可以進行身份認證,就需要采用身份的零知識證明技術。所謂零知識證明就是指在進行用戶身份認證時,不需要傳輸相關的信息。這種認證機制就是當被認證的甲方為了讓認證方乙方確信自己的身份和權限但同時又不讓乙方得到自己的秘密信息而采用的一種機制。這種認證方法可以非常有效的防治第三方竊取信息。
二、身份認證的應用
(一)Kerberos認證服務
Kerberos是一種基于Needham和Schroeder[1978]模型的第三方認證服務Kerberos可信任的第三方就是Kerberos認證服務器。它通過把網絡劃分成不同的安全區域,并且在每個區域設立自己的安全服務器來實現相應的安全策略。在這些區域的認證具體實現過程如下:Kerberos通過向客戶和服務提供票和通信雙方的對話密鑰來證明自己的身份權限。其中Kerberos認證服務器負責簽發初始票,也就是客戶第一次得到的票。其他票都是由發票服務器負責簽發。同一個票可以在該票過期之前反復使用。當客戶需要讓服務方提供服務的時候,不但要自己生成僅可以使用一次的證,而且需要向服務方發送由發票服務器分發的。這兩個需要同時發送。
(二)HTTP中的身份認證
HTTP中的身份認證現在主要由三個常用的版本。分別是HTTP協議目前已經有了三個版本HTTP0.9、HTTP 1.0和HTTP 1.1,其中HTTP 0.9功能簡單,主要用來實現最基本的請求協議和回答協議。HTTP 1.0是目前應用比較廣泛的一個版本,它的功能相對來說非常完善。而且,通過Web服務器,就可以實現身份認證來實現訪問和控制。如果用戶向某個頁面發出請求或者運行某個CGI程序時,將會有訪問控制文件告訴用戶哪些可以訪問,哪些不可以訪問,訪問對象文件通常存在于訪問對象所在的目錄下面的。通過服務器讀取訪問控制文件,從而獲得相應的訪問控制信息。并且要求客戶通過輸入用戶名和口令進行身份驗證。通過訪問控制文件,Web服務器獲得相應的控制信息,用戶根據要求輸入用戶名和口令,如果經過編碼并且驗證以后,如果身份合法,服務方才發送回所請求的頁面或執行CGI程序。HTTP 1.1新增加的很多的報頭域。如果進行身份認證,不是以明文的方式進行傳遞口令,而是把口令進行散列變換,把口令轉化以后對它的摘要進行傳送。通過這種認證機制,可以避免攻擊者通過某種攻擊手段來獲取口令。即使經過多次攻擊,也無法進行破譯。即使是這樣,仍然不能保證摘要認證的足夠安全。和普通的認證方法一樣,這種方法也可能受到中間者的攻擊。要想更進一步確保口令安全,最好就是把HTTP的安全認證方式與Kerberos服務方式充分結合起來。
(三)IP中的身份認證
IP中的身份認證IP協議出于網絡層,因此不能獲取更高層的信息,IP中的身份認證無法通過基于用戶的身份認證來實現。主要是通過用戶所在IP地址的身份認證來實現。IP層的認證機構既要確保信息在傳遞過程中的數據完整性,又要確保通過數據組抱頭傳遞的信息的安全性。IPSec就是IP安全協議的簡稱,主要功能就是維護網絡層的安全和網絡成以下層的安全。通常情況下,它提供兩種安全機制。第一種是認證機制,通過這種認證機制,可以確保數據接收方能夠識別發送方的身份是否合法。而且還可以發現信息在傳輸過程中是否被惡意篡改;第二種是加密機制,通過對傳輸數據進行數據編碼來實現數據的加密機制。從而可以保證在信息的傳遞過程中,不會被他人竊取。IPSec的認證報頭(Authentication Header AH)協議定義了認證的應用方法,封裝安全負載(Encapsu-lating Security Payload,ESP)協議定義了加密和可選認證的應用方法。應用到具體的通信中去,需要根據實際情況選擇不同的加密機制和加密手段。AH和ESP都可以提供認證服務,相比較而言,AH提供的認證服務要強于ESP。
三、身份認證技術討論
身份認證技術討論,在前面幾部分內容中,對身份認證技術進行了理論分析和總結,并對他們的原理、機制和優缺點進行了比較。這里將根據自己的理解,深入考慮通過其他途徑來實現身份認證。數字簽名首先要保證身份驗證者信息的真實性,就是要確保信息不能偽造,這種方法非常類似于身份認證。身份認證的主要目的是要確保被認證者的身份和權限符合。因此,這里考慮通過數字簽名來實現身份認證。這里的技術難點就是必須要預先進行分發密鑰。如果不能提前進行密鑰分發,就不可能實現數字簽名。綜上可以看出,身份認證在整個安全要求中是首先要解決的技術問題。
參考文獻:
[1]William Stallings,孟慶樹等.密碼編碼學與網絡安全――原理與實踐(第四版)[M].電子工業出版社,2006,11
[2]袁德明.計算機網絡安全[M].電子工業出版社,2007,6
[3]楊英鵬.計算機網絡原理與實踐[M].電子工業出版社,2007,9
[4]李忠獻.認證理論與技術的發展[J].電子學報,1999
身份認證技術論文范文第2篇
[論文摘 要]電子商務是新興商務形式,信息安全的保障是電子商務實施的前提。本文針對電子商務活動中存在的信息安全隱患問題,實施保障電子商務信息安全的數據加密技術、身份驗證技術、防火墻技術等技術性措施,完善電子商務發展的內外部環境,促進我國電子商務可持續發展。
隨著網絡的發展,電子商務的迅速崛起,使網絡成為國際競爭的新戰場。然而,由于網絡技術本身的缺陷,使得網絡社會的脆性大大增加,一旦計算機網絡受到攻擊不能正常運作時,整個社會就會陷入危機。所以,構筑安全的電子商務信息環境,愈來愈受到國際社會的高度關注。
一、電子商務中的信息安全技術
電子商務的信息安全在很大程度上依賴于技術的完善,包括密碼、鑒別、訪問控制、信息流控制、數據保護、軟件保護、病毒檢測及清除、內容分類識別和過濾、網絡隱患掃描、系統安全監測報警與審計等技術。
1.防火墻技術。防火墻主要是加強網絡之間的訪問控制, 防止外部網絡用戶以非法手段通過外部網絡進入內部網絡。
2.加密技術。數據加密就是按照確定的密碼算法將敏感的明文數據變換成難以識別的密文數據,當需要時可使用不同的密鑰將密文數據還原成明文數據。
3.數字簽名技術。數字簽名技術是將摘要用發送者的私鑰加密,與原文一起傳送給接收者,接收者只有用發送者的公鑰才能解密被加密的摘要。
4.數字時間戳技術。時間戳是一個經加密后形成的憑證文檔,包括需加時間戳的文件的摘要、dts 收到文件的日期與時間和dis 數字簽名,用戶首先將需要加時間的文件用hash編碼加密形成摘要,然后將該摘要發送到dts,dts 在加入了收到文件摘要的日期和時間信息后再對該文件加密,然后送回用戶。
二、電子商務安全防范措施
網絡安全是電子商務的基礎。網絡安全防范技術可以從數據的加密(解密)算法、安全的網絡協議、網絡防火墻、完善的安全管理制度、硬件的加密和物理保護、安全監聽系統和防病毒軟件等領域來進行考慮和完善。
1.防火墻技術
用過internet,企業可以從異地取回重要數據,同時又要面對 internet 帶來的數據安全的新挑戰和新危險:即客戶、推銷商、移動用戶、異地員工和內部員工的安全訪問;以及保護企業的機密信息不受黑客和工業間諜的入侵。因此,企業必須加筑安全的“壕溝”,而這個“壕溝”就是防火墻.防火墻系統決定了哪些內容服務可以被外界訪問;外界的哪些人可以訪問內部的服務以及哪些外部服務可以被內部人員訪問。防火墻必須只允許授權的數據通過,而且防火墻本身必須能夠免于滲透。
2. vpn技術
虛擬專用網簡稱vpn,指將物理上分布在不同地點的網絡通過公用骨干網聯接而形成邏輯上的虛擬“私”網,依靠ips或 nsp在安全隧道、用戶認證和訪問控制等相關技術的控制下達到與專用網絡類同的安全性能,從而實現基于 internet 安全傳輸重要信息的效應。目前vpn 主要采用四項技術來保證安全, 這四項技術分別是隧道技術、加解密技術、密鑰管理技術、使用者與設備身份認證技術。
3.數字簽名技術
為了保證數據和交易的安全、防止欺騙,確認交易雙方的真實身份,電子商務必須采用加密技術。數字簽名就是基于加密技術的,它的作用就是用來確定用戶是否是真實的。數字簽名就是通過一個單向哈希函數對要傳送的報文進行處理而得到的用以認證報文是否發生改變的一個字母數字串。發送者用自己的私鑰把數據加密后傳送給接收者,接收者用發送者的公鑰解開數據后,就可確認消息來自于誰,同時也是對發送者發送的信息真實性的一個證明,發送者對所發信息不可抵賴,從而實現信息的有效性和不可否認性。
三、電子商務的安全認證體系
隨著計算機的發展和社會的進步,通過網絡進行的電子商務活動當今社會越來越頻繁,身份認證是一個不得不解決的重要問題,它將直接關系到電子商務活動能否高效而有序地進行。認證體系在電子商務中至關重要,它是用戶獲得訪問權限的關鍵步驟。現代密碼的兩個最重要的分支就是加密和認證。加密目的就是防止敵方獲得機密信息。認證則是為了防止敵方的主動攻擊,包括驗證信息真偽及防止信息在通信過程被篡改刪除、插入、偽造及重放等。認證主要包括三個方面:消息認證、身份認證和數字簽名。
身份認證一般是通過對被認證對象(人或事)的一個或多個參數進行驗證。從而確定被認證對象是否名實相符或有效。這要求要驗證的參數與被認證對象之間應存在嚴格的對應關系,最好是惟一對應的。身份認證是安全系統中的第一道關卡。
數字證書是在互聯網通信中標志通信各方身份信息的一系列數據。提供了一種 internet 上驗證用戶身份的方式,其作用類似于司機的駕駛執照或身份證。它是由一個權威機構ca機構,又稱為證書授權(certificate authority)中心發行的,人們可以在網上用它識別彼此的身份。
四、結束語
安全實際上就是一種風險管理。任何技術手段都不能保證100%的安全。但是,安全技術可以降低系統遭到破壞、攻擊的風險。因此,為進一步促進電子商務體系的完善和行業的健康快速發展,必須在實際運用中解決電子商務中出現的各類問題,使電子商務系統相對更安全。電子商務的安全運行必須從多方面入手,僅在技術角度防范是遠遠不夠的,還必須完善電子商務立法,以規范飛速發展的電子商務現實中存在的各類問題,從而引導和促進我國電子商務快速健康發展。
參考文獻:
[1] 勞幗齡.電子商務的安全技術[m].北京:中國水利水電出版社,2005.
[2] 趙泉.網絡安全與電子商務[m].北京:清華大學出版社,2005.
身份認證技術論文范文第3篇
關鍵詞:校園門戶平臺;圖書館管理系統;統一身份認證;信息門戶集成;共享數據集成;遠程數字資源
中圖分類號:TP393.07文獻標識碼:A
文章編號:1004-373X(2010)04-122-03
Research on Integration of Library Management System
Based on Campus Portal Platform
DAI Ying
(Network Information Center,Chang′an University,Xi′an,710064,China)
Abstract:Integrated library management system is focus of the work in building a digital campus,which is based on the portal platform and included uniform identity authentication integration,data integration and information sharing portal integration.Three major areas of the integrated objectives and methods are described,and the realization of practical technology solutions to access remote digital resources for which enable the staff to live in out of school through uniform identity authentication to visit it,which provide a reference for someone who engaged in this domain research work in other colleges and universities.
Keywords:campus portal platform;library management system;uniform identity authentication;integrated information portal;sharing of data integration;remote digital resource
0 引 言
校園門戶平臺是基于計算機網絡技術的一種管理平臺,它以一種全新的信息服務形式向高校內各種不同類型的群體提供個性化的服務。它將學校從環境(包括網絡、設備、教室等)、資源(諸如圖書、講義、課件等)到活動(包括教、學、管理、服務、辦公等)逐步數字化,形成一個數字空間,通過設立統一的用戶管理、統一的資源管理及統一的權限控制,學校建設成一個超越時間、空間的數字化校園[1]。
高校圖書館將為高校教學、科研提供文獻信息保障的學術性機構,在高校和社會上占有重要地位,尤其在數字化校園建設蓬勃發展的今天,圖書館以豐富的文獻信息資源、多樣的載體服務形式,進一步奠定和加強了其作為學校信息資源中心的地位[2]。因此,基于校園門戶平臺圖書館管理系統的集成工作成為當前數字化校園建設工作中的重要組成部分。在此針對我校圖書館管理系統在門戶平臺中的集成與功能實現方面進行相關的研究與探索,希望能對大家有所啟示。
1 我校圖書館管理系統概述以及其集成工作的必要性
我校圖書館文獻資源豐富、載體形式多樣、專業特色明顯,除擁有大量館藏圖書、期刊合訂本、中外文現刊外,還擁有超星、北大方正等20多萬種電子圖書,同時還提供給讀者萬方數據資源、中國期刊網、中文科技期刊數據庫、EI(工程索引)、UMI(美國博碩士論文全文數據庫)、ASCE(美國土木工程師協會數據庫)、OSA(劍橋科學文摘)等20種國內外著名中外文數據庫系統。
圖書館管理系統架構為B/S+C/S結構,其操作系統版本為Linux AS 4.0,數據庫版本為Oracle 9.2.0.4,業務系統開發語言:B/S部分為 PHP,C/S部分為 VB和VC,其Web網絡環境基于校園網,數據庫網絡環境為圖書館內網。由于其Web網絡環境基于校園網,因此外網用戶無法登錄該系統了解本人書刊借閱情況,影響其及時辦理書刊的預約、續借等手續;同時也無法進入中外文數據庫及電子圖書資源庫享用豐富的遠程數字資源,這對于居住在校園外或出差在外的教職工的工作生活造成一些困擾和不便。基于校園門戶平臺的圖書館管理系統的集成研究將著手解決諸如此類的問題,以期數字化校園建設工作更好地服務于廣大教職員工。
2 圖書館管理系統集成內容
基于門戶平臺的圖書館管理系統集成包括統一身份認證集成、共享數據集成和信息門戶集成三部分。
(1) 統一身份認證集成。通過確定統一身份認證系統的用戶權威身份信息,建立起統一的認證平臺,實現圖書館系統嵌入學校信息門戶中,通過單點登錄直接進入。屆時用戶通過統一身份認證帳號(校內教職工工資編號/學生學號)登錄信息門戶后,無需輸入圖書館系統帳號、密碼便可直接進入圖書館系統進行相關業務系統的使用。有效避免了用戶輸入不同訪問網址,記憶不同用戶名及密碼所帶來的不便和困擾[3]。
(2) 共享數據集成。共享數據集成是圖書館系統集成的核心所在,其集成目標為:實現公共數據庫自動從圖書館系統中抽取相關個人信息,并通過數據集成工具集成到公共數據庫中,使公共數據庫平臺成為全校范圍內惟一全面的數據源;數據集成后,提供個人圖書館信息門戶上的展現或供其他業務部門使用[4]。如圖1所示。
圖1 共享數據集成過程圖示
圖書館系統開放公共數據庫需要的源視圖讀權限,集成方式在抽取范圍上采用增量抽取;周期上采用定時同步,周期為一天;其采集方式通過數據集成平臺實現[5]。
(3) 信息門戶集成。基于圖書館系統實現統一身份認證及共享數據集成的基礎上,通過信息門戶為廣大師生提供統一的、個性化的圖書信息查詢服務。其集成方式通過開發單獨的Portlet在信息門戶上直接展現個人圖書借閱情況,預約圖書流轉信息以及圖書超期預警與罰款通知等[6]。
信息門戶集成的優點集中體現在基于共享數據集成實現的基礎上。因此它可以不完全依賴于圖書館系統本身,一旦圖書館數據庫發生故障,門戶上依然能夠滿足用戶個人圖書館歷史記錄的查詢需求,將其所帶來的不利因素降到最低點。個人圖書借閱信息展示截圖如圖2所示。
圖2 個人圖書借閱信息展示截圖
3 統一身份認證及校內遠程數字資源訪問功能實現方式
3.1 統一身份認證實現方式
圖書館管理系統Web查詢部分是基于PHP開發的,因此集成方式采用“PHP客戶端”集成方式。由開發人員提供PHP認證頭,圖書館管理系統據此修改其登錄模塊。認證頭程序主要校驗Cookie,判斷當前用戶是否已通過統一身份認證并在有效的會話期內,如通過驗證,則實現單點登錄[7]。單點登錄后,圖書館管理系統從統一身份認證中獲取用戶的基本信息(登錄名)。為保證用戶登錄號碼與統一身份認證平臺中的用戶一致,需要提供給圖書館系統認證程序接口,其具體實現步驟如下:
(1) 拷貝圖書館系統集成開發包,解開其中有關統一身份認證接口的相關程序,并放到相應的目錄下;
(2) 配置客戶端參數,更新client.properties中的參數:
ids.UserName=connetusername
ids.Password=connectpassword
IdentityManager.Proxy=IdentityManager:tcp-p 58000-h yourserverip
(3) 配置PHP
修改php.ini ,加入如下配置:
extensiondir = /***/***/lib
extension=libIdstarPhp.so
(4) 啟動 Apache
在啟動 apache前需要設置庫的加載路徑,如下:
export LDLIBRARYPATH=/***/***/lib
apachectl start
3.2 圖書館校內遠程數字資源訪問功能實現
圖書館校內遠程資源訪問功能實現是建立在統一身份認證集成基礎上,屬統一身份認證集成的一部分。長期以來居住在校外或出差在外的外網用戶無法在家中或外地遠程訪問學校圖書館中外文數據庫及電子圖書資源庫等校內遠程數字資源,給工作、生活帶來一定程度的不便,同時在某種程度上也造成資源的閑置與浪費。校園門戶系統的統一身份認證集成和訪問設置則實現了這部分用戶對于圖書館校內遠程數字資源的訪問[8,9]。圖書館校內資源遠程訪問流程圖如圖3所示。
圖3 圖書館校內資源遠程訪問流程圖
用戶通過配置服務器地址在校外訪問門戶網站,通過統一身份認證后進入信息門戶展示平臺,訪問校內資源;信息門戶平臺上設置中外文數據庫及電子圖書資源庫等校內遠程數字資源欄目,并提供完成遠程訪問所需要的批處理腳本文件,用戶解壓下載下來的批處理文件,雙擊其中的enableProxy.bat文件,完成該地址的設置;服務器根據用戶組的不同,分配相應的校內地址,使用戶直接進入校內遠程訪問資源欄目,點擊訪問所需的校內遠程數字資源;雙擊下載的disenableProxy.bat,即可取消該地址的設置,正常訪問門戶系統[10]。
4 結 語
基于校園門戶平臺圖書館管理系統的集成研究,在實現用戶統一身份認證的基礎上,方便了教職工及學生對圖書館管理系統的使用,尤其是圖書館遠程數字資源訪問功能的實現,給居住或出差在外的教職工的工作、學習、生活帶來很大的便利。同時,還考慮在門戶平臺上增加若干控件,方便用戶自行訂制相關個性化服務,如將有關新書報道、預約圖書、欠費預警及圖書超期罰款等信息以短消息形式即時在個人門戶上顯示,以期更好地服務于廣大師生。
參考文獻
[1]林三洲.數字化校園建設漫談[J].湖北經濟學院學報:人文社會科學版,2007,4(3):153-154.
[2]沈煜,裴艷慧.信息時代高校圖書館的作用和發展[J].晉圖學刊,2007(3):57-59.
[3]賀超波,陳啟買,歐陽輝.數字化校園門戶平臺統一身份認證的實現[J].現代計算機,2008(12):25-28.
[4]孫月洪.數據交換在數字化校園中的作用與實現[J].辦公自動化,2009(1):35-37.
[5]鄧英.數字化校園建設中公共數據整合方案研究[J].電腦知識與技術,2008(2):589-591.
[6]宮衛濤,馬自衛.數字圖書館門戶集成技術及其實現[J].現代圖書情報技術,2007(11): 23-27.
[7]張沖,武超,楊要科.校園網統身份認證系統的設計與實現[J].中原工學院學報,2008,19(4):68-71.
[8]張志美.數字圖書館數據集成研究[J].現代情報,2007,27(9):88-90.
身份認證技術論文范文第4篇
【關鍵詞】網上銀行;身份認證;防范措施
我國現階段的網上銀行指銀行通過信息網絡提供的金融服務。網上銀行支付在中國從1998年第一筆300元的訂單,到2010年的10858億元的網上支付交易額,飛速發展,正在廣泛地滲透到人們生活的方方面面。盡管各家銀行不斷對其網上銀行進行升級,但網上銀行盜詐事件仍時有發生。盜詐背后,筆者認為銀行應負主要責任,因為網上銀行的身份認證和銀行的服務意識存在問題,其次責任是用戶的使用習慣。
一、網上銀行身份認證設備存在的問題
1.靜態密碼技術。銀行登錄方式分兩種,一種是采用“卡號+密碼”的方式登錄,此類技術代表為網上個人銀行大眾版,卡號、密碼的保管非常重要,如果卡號和密碼不慎被他人取得,他人即可通過網上銀行大眾版通過轉賬、網上支付卡轉賬等方式竊取客戶賬戶資金。另一種是采用“用戶名+登錄密碼”的方式登錄,此種方式較為安全,在安全設計上有考慮到用戶的需要,既滿足了用戶查詢相關信息的需要,又保證了用戶資料的安全,同時把查詢和支付、轉賬等業務分開,增加安全系數。
2.動態口令卡、動態口令牌、手機動態口令。電子口令卡是指以矩陣形式印有若干字符串的卡片,每個字符串對應一個唯一的坐標。使用電子銀行口令卡會存在卡片丟失或被窺視、拍照、復印等非技術風險;動態口令牌是一種內置電源、密碼生成芯片和顯示屏、根據專門的算法每隔一定時間自動更新動態口令的專用硬件。2011年1月以來,國內多省市發生以“E令卡網上銀行升級”為名,通過手機短信和制作克隆網站實施詐騙的案件。手機動態口令是利用手機作為隨機密碼生成或者接受終端,用戶在登錄應用系統時候,輸入手機上的生成或者接收到的密碼不停變化的隨機密碼,但是手機的缺點是容易被監聽,被犯罪分子截取密碼。
3.證書用戶。目前網上銀行應用最普遍的基于PKI體系的數字簽名產品是USBKEY,它是一種USB接口的硬件設備,內置國密安全芯片,有一定的存儲空間,可以存儲用戶的私鑰以及數字證書,利用USB Key內置的公鑰算法實現對用戶身份的認證。第一代USBKEY產品解決了用戶私有信息的傳輸安全問題,有效預防了基于釣魚網站的詐騙事件的發生。但是在交換操作方面還存在隱患,當用戶長時間插入USBKEY時,黑客可以通過木馬截獲PIN碼,遠程控制,冒用客戶的USB Key進行身份認證,發生騙簽事件。
二、網上銀行身份認證方案及防范措施
1.認證方案。在現在的三種認證方案中,可以說沒有哪一種是絕對的安全。在網銀發展的初期,以市場推廣為主要訴求,以方便性和高性價比來滿足市場初期需要,對系統需求和身份認證機制的安全性放在第二位來考慮,因此首先出現的是基于靜態密碼的大眾版網上銀行。然而隨著利用釣魚網站進行詐騙事件的逐漸增多,國內眾多商業銀行的身份認證產品開始轉向推廣更加安全的USBKEY電子簽名設備。但是隨著騙簽事件的增多,網上銀行何去何從?借鑒國內最好的網上第三方支付“支付寶”的身份認證解決方案,本人認為在現階段,網上銀行應該使用USBKEY+手機短信檢驗碼的認證方式,每一筆網上交易需要登錄密碼+支付密碼+U盾+U盾密碼+手機短信檢驗碼完成,非常安全。在未來的網上銀行身份認證發展中,可能會用到指紋液晶KEY方案,用指紋液晶KEY登陸網銀是在KEY上進行指紋認證以代替從電腦鍵盤輸入PIN碼,并在KEY上顯示交易信息,從物理上徹底杜絕黑客攻擊的途徑,從而有效防止網站釣魚、遠程挾持、信息篡改、騙簽等安全隱患。
2.防范措施。銀行應該增強服務意識,出現問題后,不要總是把問題都推到用戶身上,應該多想想銀行本身的問題,應該多做一些事情服務好用戶。例如對于USB Key騙簽事件,銀行應該在用戶進行每一筆網上交易中給予適當的提示,在需要插入USB Key時,彈出對話框提示用戶插入,在完成交易后,馬上彈出一個對話框,提示用戶已經完成交易,請及時拔走USB Key,這樣做相信騙簽事件發生的機率會很低。目前廣大網民對電子支付和網上銀行市場的認知程度還很有限,銀行在對用戶進行網上銀行安全的宣傳、推廣和教育上應承擔相應責任。例如本人作為工商銀行U盾客戶已經有6年時間,在撰寫本論文時查閱大量資料,發現原來工商銀行早在2008年就已經提供USBKEY+手機動態檢驗碼的認證方式,但是本人及周圍對網上銀行安全性要求較高的用戶都不知情。首先應該選擇一種安全的支付方式,寧愿多支付安全成本,保證資金安全,也不選擇安全性不好的支付方式,同時應該增強網上支付安全意識,培養良好的網上支付習慣。
參考文獻
身份認證技術論文范文第5篇
關鍵詞: 網絡 安全 VPN 加密技術 防火墻技術
近年來,計算機網絡技術不斷發展,網絡應用逐漸普及,網絡已成為一個無處不在、無所不用的工具。越來越多的計算機用戶足不出戶則可訪問到全球網絡系統豐富的信息資源,經濟、文化、軍事和社會活動也強烈依賴于網絡,一個網絡化的社會已呈現在我們面前。
然而,隨著網絡應用的不斷增多,網絡安全問題也越來越突出,由于計算機網絡聯接形式的多樣性、終端分布的不均勻性、網絡的開放性和網絡資源的共享性等因素,致使計算機網絡容易遭受病毒、黑客、惡意軟件和其它不軌行為的攻擊。為確保信息的安全與暢通,研究計算機網絡的安全與防范措施已迫在眉捷。本人結合實際經驗,談一談網絡安全與防范技術。
一、目前信息系統技術安全的研究
1.信息安全現狀分析
隨著信息化進程的深入,信息安全己經引起人們的重視,但依然存在不少問題。一是安全技術保障體系尚不完善,許多企業、單位花了大量的金錢購買了信息安全設備,但是技術保障不成體系,達不到預想的目標;二是應急反應體系沒有經常化、制度化;三是企業、單位信息安全的標準、制度建設滯后。
對于網絡安全管理情況的調查:調查表明,近年來,使用單位對信息網絡安全管理工作的重視程度普遍提高,80%的被調查單位有專職或兼職的安全管理人員,12%的單位建立了安全組織,有2%的單位請信息安全服務企業提供專業化的安全服務。調查表明,認為單位信息網絡安全防護能力“較高”和“一般”的比較多,分別占44%。但是,被調查單位也普遍反映用戶安全觀念薄弱、安全管理員缺乏培訓、安全經費投入不足和安全產品不能滿足要求等問題,也說明目前安全管理水平和社會化服務的程度還比較低。
2.企業信息安全防范的任務
信息安全的任務是多方面的,根據當前信息安全的現狀,制定信息安全防范的任務主要是:
從安全技術上,進行全面的安全漏洞檢測和分析,針對檢測和分析的結果制定防范措施和完整的解決方案;正確配置防火墻、網絡防病毒軟件、入侵檢測系統、建立安全認證系統等安全系統。
從安全管理上,建立和完善安全管理規范和機制,切實加強和落實安全管理制度,增強安全防范意識。
信息安全防范要確保以下幾方面的安全。網絡安全:保障各種網絡資源(資源、實體、載體)穩定可靠地運行、受控合法地使用。信息安全:保障存儲、傳輸、應用的機密性(Confidentiality)、完整性(Integrity)、抗否認性(non-Repudiation),可用性(Availability)。其他安全:病毒防治、預防內部犯罪。
二、信息系統常見技術安全漏洞與技術安全隱患
每個系統都有漏洞,不論你在系統安全性上投入多少財力,攻擊者仍然可以發現一些可利用的特征和配置缺陷。發現一個已知的漏洞,遠比發現一個未知漏洞要容易的多,這就意味著:多數攻擊者所利用的都是常見的漏洞。這樣的話,采用適當的工具,就能在黑客利用這些常見漏洞之前,查出網絡的薄弱之處。漏洞大體上分為以下幾大類:
(1)權限攻擊。攻擊者無須一個賬號登錄到本地直接獲得遠程系統的管理員權限,通常通過攻擊以root身份執行的有缺陷的系統守護進程來完成。漏洞的絕大部分來源于緩沖區溢出,少部分來自守護進程本身的邏輯缺陷。
(2)讀取受限文件。攻擊者通過利用某些漏洞,讀取系統中他應該沒有權限的文件,這些文件通常是安全相關的。這些漏洞的存在可能是文件設置權限不正確,或者是特權進程對文件的不正確處理和意外dumpcore使受限文件的一部份dump到了core文件中。
(3)拒絕服務。攻擊者利用這類漏洞,無須登錄即可對系統發起拒絕服務攻擊,使系統或相關的應用程序崩潰或失去響應能力。這類漏洞通常是系統本身或其守護進程有缺陷或設置不正確造成的。
(4)口令恢復。因為采用了很弱的口令加密方式,使攻擊者可以很容易的分析出口令的加密方法,從而使攻擊者通過某種方法得到密碼后還原出明文來。
(5)服務器信息泄露。利用這類漏洞,攻擊者可以收集到對于進一步攻擊系統有用的信息。這類漏洞的產生主要是因為系統程序有缺陷,一般是對錯誤的不正確處理。
漏洞的存在是個客觀事實,但漏洞只能以一定的方式被利用,每個漏洞都要求攻擊處于網絡空間一個特定的位置,因此按攻擊的位置劃分,可能的攻擊方式分為以下四類:物理接觸、主機模式、客戶機模式、中間人方式。
三、信息系統的安全防范措施
1.防火墻技術
防火墻技術是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術,越來越多地應用于專用網絡與公用網絡的互聯環境之中,尤其以接入Internet網絡為甚。
防火墻是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監控了內部網和Internet之間的任何活動,保證了內部網絡的安全。
防火墻是網絡安全的屏障:一個防火墻(作為阻塞點、控制點)能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻,所以網絡環境變得更安全。防火墻可以強化網絡安全策略:通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上。對網絡存取和訪問進行監控審計:如果所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網絡使用情況的統計數據。防止內部信息的外泄:通過利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。除了安全作用,有的防火墻還支持具有Internet服務特性的企業內部網絡技術體系VPN。通過VPN,將企事業單位在地域上分布在全世界各地的LAN或專用子網,有機地聯成一個整體。不僅省去了專用通信線路,而且為信息共享提供了技術保障。
防火墻技術可根據防范的方式和側重點的不同而分為很多種類型,但總體來講可分為二大類:分組過濾、應用。
2.入侵檢測技術
IETF將一個入侵檢測系統分為四個組件:事件產生器(EventGenerators);事件分析器(EventAnalyzers);響應單元(ResponseUnits)和事件數據庫(EventDataBases)。事件產生器的目的是從整個計算環境中獲得事件,并向系統的其他部分提供此事件。事件分析器分析得到的數據,并產生分析結果。響應單元則是對分析結果做出反應的功能單元,它可以做出切斷連接、改變文件屬性等強烈反應,也可以只是簡單的報警。
根據檢測對象的不同,入侵檢測系統可分為主機型和網絡型。基于主機的監測。主機型入侵檢測系統就是以系統日志、應用程序日志等作為數據源,當然也可以通過其他手段(如監督系統調用)從所在的主機收集信息進行分析。主機型入侵檢測系統保護的一般是所在的系統。這種系統經常運行在被監測的系統之上,用以監測系統上正在運行的進程是否合法。最近出現的一種ID(IntrusionDetection):位于操作系統的內核之中并監測系統的最底層行為。所有這些系統最近已經可以被用于多種平臺。網絡型入侵檢測。它的數據源是網絡上的數據包。往往將一臺機子的網卡設于混雜模式(PromiseMode),對所有本網段內的數據包并進行信息收集,并進行判斷。
對各種事件進行分析,從中發現違反安全策略的行為是入侵檢測系統的核心功能。從技術上,入侵檢測分為兩類:一種基于標志(CSignature-Based),另一種基于異常情況(Abnormally-Based)。
3.認證中心(CA)與數字證書
互聯網的發展和信息技術的普及給人們的工作和生活帶來了前所未有的便利。然而,由于互聯網所具有的廣泛性和開放性,決定了互聯網不可避免地存在著信息安全隱患。為了防范信息安全風險,許多新的安全技術和規范不斷涌現,PKI(PublicKeyInfrastructure,公開密鑰基礎設施)即是其中一員。
PKI是在公開密鑰理論和技術基礎上發展起來的一種綜合安全平臺,能夠為所有網絡應用透明地提供采用加密和數字簽名等密碼服務所必需的密鑰和證書管理,從而達到保證網上傳遞信息的安全、真實、完整和不可抵賴的目的。利用PKI可以方便地建立和維護一個可信的網絡計算環境,從而使得人們在這個無法直接相互面對的環境里,能夠確認彼此的身份和所交換的信息,能夠安全地從事商務活動。目前,PKI技術己趨于成熟,其應用已覆蓋了從安全電子郵件、虛擬專用網絡(VPN),Web交互安全到電子商務、電子政務、電子事務安全的眾多領域,許多企業和個人已經從PKI技術的使用中獲得了巨大的收益。
在PKI體系中,CA(CertificateAuthority,認證中心)和數字證書是密不可分的兩個部分。認證中心又叫CA中心,它是負責產生、分配并管理數字證書的可信賴的第三方權威機構。認證中心是PKI安全體系的核心環節,因此又稱作PKI/CA。認證中心通常采用多層次的分級結構,上級認證中心負責簽發和管理下級認證中心的證書,最下一級的認證中心直接面向最終用戶。
數字證書,又叫“數字身份證”、“數字ID”,是由認證中心發放并經認證中心數字簽名的,包含公開密鑰擁有者以及公開密鑰相關信息的一種電子文件,可以用來證明數字證書持有者的真實身份。
4.身份認證
身份認證是指計算機及網絡系統確認操作者身份的過程。我們熟悉的如防火墻、入侵檢測、VPN、安全網關、安全目錄等,與身份認證系統有什么區別和聯系呢?我們從這些安全產品實現的功能來分析就明白了:防火墻保證了未經授權的用戶無法訪問相應的端口或使用相應的協議;入侵檢測系統能夠發現未經授權用戶攻擊系統的企圖;VPN在公共網絡上建立一個經過加密的虛擬的專用通道供經過授權的用戶使用;安全網關保證了用戶無法進入未經授權的網段,安全目錄保證了授權用戶能夠對存儲在系統中的資源迅速定位和訪問。
從木桶理論來看,這些安全產品就是組成木桶的一塊塊木板,則整個系統的安全性取決于最短的一塊木板。這些模塊在不同的層次上阻止了未經授權的用戶訪問系統,這些授權的對象都是用戶的數字身份。而身份認證模塊就相當于木桶的桶底,由它來保證物理身份和數字身份的統一,如果桶底是漏的,那桶壁上的木板再長也沒有用。因此,身份認證是整個信息安全體系最基礎的環節,身份安全是信息安全的基礎。
目前常見的身份認證方式主要有三種,第一種是使用用戶名加口令的方式,這時是最常見的,但這也是最原始、最不安全的身份確認方式,非常容易由于外部泄漏等原因或通過口令猜測、線路竊聽、重放攻擊等手段導致合法用戶身份被偽造;第二種是生物特征識別技術(包括指紋、聲音、手跡、虹膜等),該技術以人體唯一的生物特征為依據,具有很好的安全性和有效性,但實現的技術復雜,技術不成熟,實施成本昂貴,在應用推廣中不具有現實意義;第三種也是現在電子政務和電子商務領域最流行的身份認證方式――基于USBKey的身份認證。
四、結語
隨著計算機技術和通信技術的發展,信息系統將日益成為企業的重要信息交換手段。因此,認清信息系統的脆弱性和潛在威脅,采取必要的安全策略,對于保障信息系統的安全性將十分重要。同時,信息系統技術目前正處于蓬勃發展的階段,新技術層出不窮,其中也不可避免的存在一些漏洞,因此,進行信息系統安全防范要不斷追蹤新技術的應用情況,及時升級、完善自身的防御措施。
參考文獻 :
[1]賈晶,陳元,王麗娜編著,信息系統的安全與保密,第一版,1999.01,清華大學出版社
[2]EricMaiwald,Wi1liEducation,SecurityPlanning&DisasterRecovery,2003, Posts&TelecommunicationsPress,PP.86-94
[3]程勝利,談冉,熊文龍,程煌,計算機病毒及其防治技術,2004.09,清華大學出版社
[4]張小磊,計算機病毒診斷與防治,2003,中國環境科學出版社
[5]東軟集團有限公司,NetEye防火墻使用指南3.0,1-3
[6]段鋼,加密與解密,第二版,2004.01,電子工業出版社
[7]張劍,網絡安全防御系統的設計與實現,電子科技大學碩士學位論文,2001.01
[8]黑客防線2005精華奉獻本上、下冊,人民郵電出版社,2005
