引论:我们为您整理了13篇身份认证技术论文范文,供您借鉴以丰富您的创作。它们是您写作时的宝贵资源,期望它们能够激发您的创作灵感,让您的文章更具深度。
篇1
0 引 言
随着互联网的不断壮大,越来越多的企业将自身的应用搬上网络,它们为企业争取了更多的客户,把握了更多的商机,获取了更多的利润。然而由于现有的应用系统开发模式及结构存在很大差异,这就使得企业与企业之间,企业内部部门之间的交互和协作变得越来越复杂。随着Web Services[1]技术的发展和广泛应用,其高效集成性、松散松散耦合性和实现简单等特点使得互操作和集成问题从层次上被简化。
Web Services是一套标准协议,它规定了应用程序如何在Web上实现互操作性,你可以使用任何一种编程语言,在任何一种平台上编写 Web Services。现在普遍应用的是通过HTTP请求发送SOAP[2] 消息,然后接收HTTP应答中包含的消息。由于SOAP消息是通过HTTP方式进行,所以其可以穿越大多数的防火墙,进行数据交换。
对于SOAP消息的机密性和完整性,普遍的做法是使用加密和签名,采用非对称秘钥理论,通过加密来保障消息的机密性,通过签名来保障消息的完整性;对于完善的用户身份认证机制,PKI[3]系统提供了有力的保障,它能够为用户颁发公私钥证书,通过公钥来明确用户的身份,用户在发送了签名过的SOAP消息时,己经表明了自己的身份,也无法抵赖,而且PKI系统与非对称秘钥理论完美的结合,通过私钥来对消息进行加密,通过公钥来对消息进行签名。有效地保障Web Services的安全。
1 WebServices的体系结构
Web Services体系结构是面向对象分析与设计的一种合理发展,同时也是电子商务解决方案中,面向体系结构、设计、实现与部署而采用的组件化的合理选择。这两种方式在复杂的大型系统中经受住了考验。和面向对象系统一样,封装、消息传递、动态绑定、服务描述和查询也是Web Services中的基本概念,而且, Web Services另外一个基本概念就是:所有东西都是服务,这些服务一个API供网络中的其他服务使用,并且封装了实现细节。
Web Services的体系结构是基于Web Services服务提供者、Web Services服务请求者、Web Services服务注册的不同操作来建立的。具体的Web Services体系结构模型如图1-1所示。
(1) Web服务提供者:Web服务的拥有者,它为其它服务和用户提供服务功能,服务提供者在实现服务之后可以服务,并且响应对于服务的调用请求;
(2) Web服务请求者:Web服务的使用者,它可以利用服务注册查找服务;
(3) Web服务注册:它的作用是将服务请求者与合适的服务提供者绑定在一起;
这三种不同的角色通过(publish )、查找(find )、绑定( bind )三种操作提供完整的Web Services功能。论文参考。Web Services是由服务描述所表达的接口,其接口的实现即为服务。服务和服务描述是支持Web服务的基本工件。服务在本质上是软件模块,它由服务提供者提供,部署在网络可访问的平台上。[4]
图1-1 Web Services体系结构示意图
2基于PKI的Web Services安全模型设计
2.1 整体框架图
Web Services在异构的分布式的环境下,对客户的身份认证就比较困难,当你去调用一个企业的Web Services时,这个企业Web Services可能又会去调用另一个企业Web Services如何在这种跨域的环境下实现Web Services的身份认证,
PKI公钥基础设施能够使计算机用户在无需事先协商的情况下,互相验证对方的身份[5],这对于Web Services下的身份认证提供了解决方法。我们的Web Services身份认证模型就是基于PKI完成的,如图2-1所示。客户端和服务器端都通过PKI系统来获取对方的公钥证书,通过PKI系统来检验公钥证书的有效性,并通过公钥证书来验证对方的身份。
图2-1基于PKI的Web Services身份认证模型
2.2系统设计
下面我们来具体介绍一下基于PKI的Web Services身份认证模型的运行流程。首先,我们做一些假设:
符号C表示Web Services的客户端;符号S表示Web Services的服务器端;符号M表示明文的SOAP消息;符号Dx(M)表示使用用户x的私钥对SOAP消息进行签名后的结果;符号Ex(M)表示使用用户x的公钥对SOAP消息进行加密后的结果。我们的Web Services身份认证流程是这样的:首先,我们的Web Services身份认证模型捕获客户端的SOAP请求消息M;接着,我们从PKI系统中获取服务器端的公钥Es,并用服务器端的公钥对SOAP消息进行加密,得到加密后的SOAP消息,Es(M);然后,我们使用客户端的私钥Dc,对SOAP消息进行签名,得到签名后的SOAP消息,Dc(Es(M));最后,我们将加密和签名的SOAP消息发送到Internet上。如图2-2所示。
图2-2发送SOAP请求消息
而在服务器端,我们的Web Services身份认证模型接收到客户短发送过来的加密、签名过的SOAP消息。首先,我们去PKI系统获取客户端的公钥Ec,并用客户端的公钥对SOAP消息进行签名验证,确认这个SOAP消息确实是这个客户发送过来的,并得到SOAP消息Ec(Dc(Es(M))) =Es(M);接着,我们使用服务器端的私钥Ds,对SOAP消息进行解密,得到明文SOAP消息Ds(Es(M))=M,最后,我们把这个明文SOAP消息发送给Web Services服务器,由Web Services服务器进行处理。如图2-3所示。同样地,如果需要的话,我们可以对Web Services处理过的SOAP应答消息做同样地安全处理。论文参考。
图2-3接收SOAP请求消息
3 结束语
随着Web Services的广泛使用,其明文传输消息的缺点制约了Web Services在企业级应用中的发展。论文参考。作为企业应用,必须保证的安全性有:消息的机密性,完整性,身份认证和权限控制,企业级的Web Services应用也必须要满足以上四点安全保障。而PKI是目前公认的解决大规模、分布式开放网络环境下信息安全问题最可行、有效的方法, 利用PKI技术可以方便地建立和维护一个可信的网络计算环境,保证Web Services有效、安全地进行。
参考文献:
[1] 胡方霞,曾一,高旻.Web Services 技术应用与探讨[J].计算机科学,2007,43(3):75-77.
[2] Pullen M J, Bruntlon R.Using Web services to integrate heterogeneous simulations in a gridenvironment[J]. Future Generation Computer Systems, 2004(9):98一99.
[3] Stefanos GritzalisPublic key infrastructure research and applications[ J].International Journal of Information Security Archive, 2006,5(1):1-2
[4] Bret Hartman,Donald J.Filnn.杨硕译.全面掌握Web服务安全性.清华大学出版社.2004
篇2
Authentication Technology Research Overview
Zhang Yao
(Harbin Normal University,Computer Science and Information Engineering College,Harbin150025,China)
Abstract:Authentication technology is capable of sending and receiving side of information technology to identify the true identity,is to identify,verify that the network information system in the legitimacy and authenticity of the user identity,according to mandate access to system resources,and shut out illegal visitors.This article discusses the field of information security authentication technology status and development trend,for further improving the work has a certain theoretical significance.
Keywords:Information security;Authentication;Biometrics;
Combination of certification;Solutions;Performance analysis
网络认证技术是网络安全技术的重要组成部分之一。认证指的是证实被认证对象是否属实和是否有效的一个过程,常常被用于通信双方互相确认身份,以保证通信的安全。认证技术一般包括两个方面的内容,分别是身份认证和信息认证。身份认证主要是通过对用户身份的鉴别来实现对用户权限的识别,限制低权限或者非法用户的入侵。信息认证主要是用于验证信息是否完整。本论文的研究主要偏重于对身份认证技术及其分析。主要侧重以下几个方面做分析。
一、身份认证的方法分析
身份认证主要是通过分析被认证者的身份、权限等相关的信息。除了认证者本人,任何其他人都无法进行仿造或者伪造身份。如果经过认证,被认证者拥有相关的权限和秘密,那么他就获得了认证。身份认证的主要依据就是被认证方用于证明身份所用有的秘密。每个被认证者所拥有的身份认证秘密不同。常见的身份认证有两种,第一种是基于物理安全性的身份认证方法。第二种是基于秘密信息的身份认证方法。
(一) 基于物理安全的身份认证方法
不同的身份认证方法基于不同的理论,但这些认证方法的共同点就是依据用户知道的秘密信息。和这种认证方法相对照,另外一种利用用户的特殊信息或者硬件信息来进行身份认证的。比如说从生物学角度考虑,利用声音识别进行身份验证,利用指纹进行身份验证,利用人眼的虹膜进行身份验证等。从硬件的角度考虑,常用的认证方法有通过智能卡来进行验证,只有认证者拥有正确的卡,才可以被认证。当然,这种方法也有优缺点,这种智能卡可以有效的阻止和避免人为乱猜口令导致的密码被破解,但也存在着只认卡不认人的缺陷,一旦智能卡因丢失被其他人捡到,则很容易被盗取身份。为防止出现这种情况,现在一般采用智能卡和口令结合的方式,比如现在最常用的银行卡就是这种。
(二)基于秘密信息的身份认证方法
常见的有以下几个方式:
1.通过进行用户口令认证来核对身份信息,在刚建立系统的时候,系统已经预先为具有合法权限的用户设定了用户口令和密码。当用户通过登录界面登录时,登录界面显示用户名和密码输入。客户输入用户名和密码以后,系统会对输入的账户和密码与系统原有的密码进行核对如果完全一致,则认为是合法用户,用户身份得到认证。否则,就提示账户名或者密码错误。用户身份得不到认证。
2.单项认证,所谓单项认证,就是进行通信的双方中,只有一方需要进行身份认证。上面所阐述的口令核对法本质上也是一种单项认证。只是这种认证方法还比较低级,没有进行相应的密钥分发操作。常见的涉及到密钥分发操作的认证方案有两类。分别是对称密钥加密方案和非对称密钥加密方案。对称密钥加密方案是指依靠第三方来进行认证,第三方就是一个统一的密钥分发中心。通信双方的密钥分发和身份认证都要通过第三方来实现。另一种没有第三方参与的加密体制成为非对称密钥加密体制。
3.双向认证。双向认证,是指需要通信双方相互认证才可以实现双方通信,通信双方必须相互鉴别彼此的身份,并且经双方验证正确以后,才可以实现双方的通信。在双向认证中,最典型的就是Needham/Schroeder协议。
[1]Needham/Schroeder Protocol[1978]
AKDC:IDA||IDB||N1
KDCA:EKa[Ks||IDB||N1||EKb[Ks||IDA]]
AB:EKb[Ks||IDA]
BA:EKs[N2]
AB:EKs[f(N2)]
(其中f(N2)为N2的某一个函数,其他符号约定同上。)
4.身份的零知识证明通常在进行身份认证时,需要进行身份信息或者口令的传输。要想不传输这些信息就可以进行身份认证,就需要采用身份的零知识证明技术。所谓零知识证明就是指在进行用户身份认证时,不需要传输相关的信息。这种认证机制就是当被认证的甲方为了让认证方乙方确信自己的身份和权限但同时又不让乙方得到自己的秘密信息而采用的一种机制。这种认证方法可以非常有效的防治第三方窃取信息。
二、身份认证的应用
(一)Kerberos认证服务
Kerberos是一种基于Needham和Schroeder[1978]模型的第三方认证服务Kerberos可信任的第三方就是Kerberos认证服务器。它通过把网络划分成不同的安全区域,并且在每个区域设立自己的安全服务器来实现相应的安全策略。在这些区域的认证具体实现过程如下:Kerberos通过向客户和服务提供票和通信双方的对话密钥来证明自己的身份权限。其中Kerberos认证服务器负责签发初始票,也就是客户第一次得到的票。其他票都是由发票服务器负责签发。同一个票可以在该票过期之前反复使用。当客户需要让服务方提供服务的时候,不但要自己生成仅可以使用一次的证,而且需要向服务方发送由发票服务器分发的。这两个需要同时发送。
(二)HTTP中的身份认证
HTTP中的身份认证现在主要由三个常用的版本。分别是HTTP协议目前已经有了三个版本HTTP0.9、HTTP 1.0和HTTP 1.1,其中HTTP 0.9功能简单,主要用来实现最基本的请求协议和回答协议。HTTP 1.0是目前应用比较广泛的一个版本,它的功能相对来说非常完善。而且,通过Web服务器,就可以实现身份认证来实现访问和控制。如果用户向某个页面发出请求或者运行某个CGI程序时,将会有访问控制文件告诉用户哪些可以访问,哪些不可以访问,访问对象文件通常存在于访问对象所在的目录下面的。通过服务器读取访问控制文件,从而获得相应的访问控制信息。并且要求客户通过输入用户名和口令进行身份验证。通过访问控制文件,Web服务器获得相应的控制信息,用户根据要求输入用户名和口令,如果经过编码并且验证以后,如果身份合法,服务方才发送回所请求的页面或执行CGI程序。HTTP 1.1新增加的很多的报头域。如果进行身份认证,不是以明文的方式进行传递口令,而是把口令进行散列变换,把口令转化以后对它的摘要进行传送。通过这种认证机制,可以避免攻击者通过某种攻击手段来获取口令。即使经过多次攻击,也无法进行破译。即使是这样,仍然不能保证摘要认证的足够安全。和普通的认证方法一样,这种方法也可能受到中间者的攻击。要想更进一步确保口令安全,最好就是把HTTP的安全认证方式与Kerberos服务方式充分结合起来。
(三)IP中的身份认证
IP中的身份认证IP协议出于网络层,因此不能获取更高层的信息,IP中的身份认证无法通过基于用户的身份认证来实现。主要是通过用户所在IP地址的身份认证来实现。IP层的认证机构既要确保信息在传递过程中的数据完整性,又要确保通过数据组抱头传递的信息的安全性。IPSec就是IP安全协议的简称,主要功能就是维护网络层的安全和网络成以下层的安全。通常情况下,它提供两种安全机制。第一种是认证机制,通过这种认证机制,可以确保数据接收方能够识别发送方的身份是否合法。而且还可以发现信息在传输过程中是否被恶意篡改;第二种是加密机制,通过对传输数据进行数据编码来实现数据的加密机制。从而可以保证在信息的传递过程中,不会被他人窃取。IPSec的认证报头(Authentication Header AH)协议定义了认证的应用方法,封装安全负载(Encapsu-lating Security Payload,ESP)协议定义了加密和可选认证的应用方法。应用到具体的通信中去,需要根据实际情况选择不同的加密机制和加密手段。AH和ESP都可以提供认证服务,相比较而言,AH提供的认证服务要强于ESP。
三、身份认证技术讨论
身份认证技术讨论,在前面几部分内容中,对身份认证技术进行了理论分析和总结,并对他们的原理、机制和优缺点进行了比较。这里将根据自己的理解,深入考虑通过其他途径来实现身份认证。数字签名首先要保证身份验证者信息的真实性,就是要确保信息不能伪造,这种方法非常类似于身份认证。身份认证的主要目的是要确保被认证者的身份和权限符合。因此,这里考虑通过数字签名来实现身份认证。这里的技术难点就是必须要预先进行分发密钥。如果不能提前进行密钥分发,就不可能实现数字签名。综上可以看出,身份认证在整个安全要求中是首先要解决的技术问题。
参考文献:
[1]William Stallings,孟庆树等.密码编码学与网络安全――原理与实践(第四版)[M].电子工业出版社,2006,11
[2]袁德明.计算机网络安全[M].电子工业出版社,2007,6
[3]杨英鹏.计算机网络原理与实践[M].电子工业出版社,2007,9
篇3
SSL 是Security Socket Layer 的缩写,称为安全套接字,该协议是由Netscape 公司设计开发。使用SSL 可以对通讯内容进行加密,以防止监听通讯内容,主要用于提高应用程序之间的数据的传输安全。SSL协议分为三个子协议:
(1)握手协议,用于协商客户端和服务器之间会话的安全参数,完成客户端和服务器的认证。
(2)记录协议,用于交换应用数据,所有的传输数据都被封装在记录中,主要完成分组和组合,压缩和解压缩,以及消息认证和加密等功能。
(3)警告协议:用来为对等实体传递SSL的相关警告。
SSL协议的实现有Netscape开发的商用SSL包,还有在业界产生巨大影响的Open SSL软件包。目前在国内的金融系统中,广泛使用OPENSSL软件包进行应用开发。
网上银行因为考虑易用性,大部分采用单向SSL认证.单向认证 SSL 协议不需要客户拥有 CA 证书。X509数字证书是SSL的重要环节,CA证书的任务就是确保客户和服务器之间的会话,并且保证使用的密钥是正确的。缺少了这个重要的环节,SSL中间人攻击也就难免了。
现在的网上银行因为考虑易用性,大部分采用单向SSL认证,这正是SSL中间人攻击的理论依据。
对于SSL中间人攻击,以CAIN工具软件为例:
首先在SNIFFER窗口中进行一次本网段的扫描探测
很快找到所有当前跟在同一网段内的活动主机IP地址与其MAC地址的对应关系。今天我们要欺骗演示的实验对象是192.168.121.199,这是另一台的笔记本电脑IP地址。
获取到IP地址与MAC地址的对应关系后,继续到ARP的子窗口中,选择添加欺骗主机在窗口左边选中当前网络的网关IP地址就是192.168.121.129,窗口右边选中我们要欺骗的IP地址192.168.121.199,选中后直接确定生效。毕业论文,SSL协议。毕业论文,SSL协议。
然后在ARP-HTTPS的选择树中添加一个当前我们需要伪装的HTTPS站点,选择确定后CAIN会自动把这个站点的证书文件下载回来备用。毕业论文,SSL协议。
一切准备就绪后,就可以点击CAIN工具栏中的ARP模式开始工作了。毕业论文,SSL协议。CAIN软件在后台采用第一章的ARP欺骗攻击的方式将被欺骗主机与 HTTPS网站间的通讯切断,在中间插入我们伪造的证书给被欺骗主机,同时伪装成为中间人代替它与HTTPS站点通讯。CAIN在其中把所有的通讯数据包 进行加密解密再加密传递的过程,当然所有原始的访问行为在这一过程中都被我们获取到了。
对于被欺骗主机在实际打开IE访问中,感觉不到任何异常本地显示依然是安全的SSL128位加密,只是不知道所有的访问行为在CAIN中都可以VIEW的方式来查看到了。
在VIEW的窗口中我们可以查看到所有通讯的访问原始记录,包括此台笔记本的登陆帐号与口令信息。
网上银行存在的攻击风险归其原因是SSL协议使用不健全导致,安全的解决方案建立以PKI技术为基础的CA认证系统,加入已经在运行的可靠的CA。 CA体系建立或加入时,通过对网上交易系统的二次开发,将数字证书认证功能嵌入到整个网上交易过程中去,这将实现基于数字证书的身份认证、通信安全、数据安全和交易安全。
篇4
网络环境的复杂性、多变性以及信息系统的脆弱性,决定了网络安全威胁的客观存在。当前,随着计算机技术的飞速发展,利用因特网高科技手段进行经济商业犯罪的现象已经屡见不鲜了,因此,如何采用更加安全的数据保护及加密技术,成为当前计算机工作者的研究热点与重点。网络安全技术,尤其是网络信息的安全,关系到网民、企业甚至是国家的信息安全。因此,发展更加安全的网络安全技术,是关系到社会经济稳定繁荣发展的关键,成为当前计算机安全工作的重点。
2.网络信息安全的风险来源
影响计算机网络安全的因索很多,既有自然因素,也有人为因素,其中人为因素危害较大,归结起来丰要以下几个方面:
(1)病毒感染
从“蠕虫”病毒开始到cih、爱虫病毒,病毒一直是计算机系统安全最直接的威胁。病毒依靠网络迅速传播,它很容易地通过服务器以软件下载、邮件接收等方式进入网络,窃取网络信息,造成很人的损失。
(2)来自网络外部的攻击
这是指来自局域网外部的恶意攻击,例如:有选择地破坏网络信息的有效性和完整性;伪装为合法用户进入网络并占用大量资源;修改网络数据、窃取、破译机密信息、破坏软件执行;在中间站点拦截和读取绝密信息等。
(3)来自网络内部的攻击
在局域网内部,一些非法用户冒用合法用户的口令以合法身份登陆网站后。窃取机密信息,破坏信息内容,造成应用系统无法运行。
(4)系统的漏洞及“后门”
操作系统及网络软件不可能是百分之百的无缺陷、无漏洞的。编程人员有时会在软件中留有漏洞。一旦这个疏漏被不法分子所知,就会借这个薄弱环节对整个网络系统进行攻击,大部分的黑客入侵网络事件就是由系统的“漏洞” 和“后门”所造成的。
3.网络信息安全的防护策略
现在网络信息安全的防护措施必不可少。从技术上来说,计算机网络安全主要由防病毒、入侵检测等多个安全组件组成,就此对我们常用的几项防护技术分别进行分析。
3.1防火墙技术
防火墙(ifrewal1)是指设置在不同网络或网络安全域之间的系列部件的组合,它越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入internet网络为甚。不同网络或网络安拿域之间信息都会经过它的过滤,防火墙就会根据自身的安全政策控制(允许、拒绝、监测)出入网络的信息流,而且它本身也具有较强的抗攻击能力,不会被病毒控制。防火墙可以阻j网络中的黑客来访问你的机器,防止他们篡改、拷贝、毁坏你的重要信息。它为网络信息的安全提供了很好的服务,为我们更安全地使用网络提供了很好的保障。
“防火墙”技术是指假设被保护网络具有明确定义的边界和服务而采取的一种安全保障技术,它通过监测、限制和更改通过“防火墙”的数据流,一方面尽可能地对外部网络屏蔽被保护网络的信息、结构,实现对内部网络的保护,以防“人放火”;另一方面对内屏蔽外部某些危险站点,防止“引火烧身”。因而,比较适合于相对独立、与外部网络互联单一、明确并且网络服务种类相对集中的统一互联网络系统。防火墙可对网络存取和访问进行监控审计,如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。除了安全作用,有的防火墙还支持具有internet服务特性的企业内部网络技术体系vpn。vpn,可以将分部在世界各地的lan或专用电子网有机地联成一个整体。这样一方面省去了专用通信线路,也达到了信息共享的目的。
3.2数据加密技术
数据加密技术是网络中最荩木的安伞技术,主要是通过对网络传输的信息进行数据加密来保障其安全性。加密是对网络上传输数据的访问权加强限制的一种技术。原始数据(也称为明文,plaintext)被加密设备(硬件或软件)和密钥加密而产生的经过编码的数据称为密文(ciphertext)。解密是加密的反向处理,是将密文还原为原始明文,但解秘者必须利用相同类型的加密设备和密钥,才能对密文进行解密。
3.3入侵检测技术
入侵检测系统(intrusiondetectionsystem,ids)是从多种计算机系统及网络系统中收集信息,再通过这些信息分析,对计算机和网络资源的恶意使用行为进行识别的网络信息安全系统。入侵检测系统具有多方面的功能:威慑、检测、响应、损失情况评估、攻击预测和起诉支持等。入侵检测技术是为保证计算机信息系统安全而设计与配置的一种能够及时发现并报告系统中朱授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
3.4病毒防护
可采用如下的方法或措施:
(1)合理设置杀毒软什,如果安装的杀毒软什具备扫描电邮件的功能,尽量将这些功能伞部打开;
(2)定期检查敏感文件;
(3)采取必要的病毒检测和监控措施;
(4)对新购的硬盘、软盘、软件等资源,使用前应先用病毒测试软件检查已知病毒,硬盘可以使用低级格式化(dos中的format格式化可以去抻软盘中的病毒,但不能清除硬盘引导的病毒);
(5)慎重对待邮件附件,如果收到邮件中有可执行文件(如.exe、.com等)或者带有“宏”的文杀一遍,确认没有病毒后再打开;
(6)及时升级邮件程序和操作系统,以修补所有已知的安全漏洞。
3.5身份认证技术
身份认证(authentication)是系统核查用户身份证明的过程,其实质是查明用户是否具仃它所请求资源的存储使用权。身份识别(identificaiion)是指用户向系统出示自己的身份证明的过程。这两项上作通常被称为身份认证。
身份认证至少应包括验证协议和授权协议。网络中的各种应用和计算机系统都需要通过身份认证来确认合法性,然后确定它的个人数据和特定权限。对于身份认证系统来说,合法用户的身份是否易于被别人冒充足它最重要的技术指标。用户身份被冒充不仪可能损害用户自身的利益,也可能损害其他用户的利益或整个系统。因此,身份认证是授权控制的基础。只有有效的身份认证,才能保证访问控制、安全审计、入侵防范等安全机制的有效实施。
篇5
一、电子商务中的信息安全技术
电子商务的信息安全在很大程度上依赖于技术的完善,包括密码、鉴别、访问控制、信息流控制、数据保护、软件保护、病毒检测及清除、内容分类识别和过滤、网络隐患扫描、系统安全监测报警与审计等技术。
1.防火墙技术。防火墙主要是加强网络之间的访问控制, 防止外部网络用户以非法手段通过外部网络进入内部网络。
2.加密技术。数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据,当需要时可使用不同的密钥将密文数据还原成明文数据。
3.数字签名技术。数字签名技术是将摘要用发送者的私钥加密,与原文一起传送给接收者,接收者只有用发送者的公钥才能解密被加密的摘要。
4.数字时间戳技术。时间戳是一个经加密后形成的凭证文档,包括需加时间戳的文件的摘要、dts 收到文件的日期与时间和dis 数字签名,用户首先将需要加时间的文件用hash编码加密形成摘要,然后将该摘要发送到dts,dts 在加入了收到文件摘要的日期和时间信息后再对该文件加密,然后送回用户。
二、电子商务安全防范措施
网络安全是电子商务的基础。网络安全防范技术可以从数据的加密(解密)算法、安全的网络协议、网络防火墙、完善的安全管理制度、硬件的加密和物理保护、安全监听系统和防病毒软件等领域来进行考虑和完善。
1.防火墙技术
用过internet,企业可以从异地取回重要数据,同时又要面对 internet 带来的数据安全的新挑战和新危险:即客户、推销商、移动用户、异地员工和内部员工的安全访问;以及保护企业的机密信息不受黑客和工业间谍的入侵。因此,企业必须加筑安全的“壕沟”,而这个“壕沟”就是防火墙.防火墙系统决定了哪些内容服务可以被外界访问;外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过,而且防火墙本身必须能够免于渗透。
2. vpn技术
虚拟专用网简称vpn,指将物理上分布在不同地点的网络通过公用骨干网联接而形成逻辑上的虚拟“私”网,依靠ips或 nsp在安全隧道、用户认证和访问控制等相关技术的控制下达到与专用网络类同的安全性能,从而实现基于 internet 安全传输重要信息的效应。目前vpn 主要采用四项技术来保证安全, 这四项技术分别是隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。
3.数字签名技术
为了保证数据和交易的安全、防止欺骗,确认交易双方的真实身份,电子商务必须采用加密技术。数字签名就是基于加密技术的,它的作用就是用来确定用户是否是真实的。数字签名就是通过一个单向哈希函数对要传送的报文进行处理而得到的用以认证报文是否发生改变的一个字母数字串。发送者用自己的私钥把数据加密后传送给接收者,接收者用发送者的公钥解开数据后,就可确认消息来自于谁,同时也是对发送者发送的信息真实性的一个证明,发送者对所发信息不可抵赖,从而实现信息的有效性和不可否认性。
三、电子商务的安全认证体系
随着计算机的发展和社会的进步,通过网络进行的电子商务活动当今社会越来越频繁,身份认证是一个不得不解决的重要问题,它将直接关系到电子商务活动能否高效而有序地进行。认证体系在电子商务中至关重要,它是用户获得访问权限的关键步骤。现代密码的两个最重要的分支就是加密和认证。加密目的就是防止敌方获得机密信息。认证则是为了防止敌方的主动攻击,包括验证信息真伪及防止信息在通信过程被篡改删除、插入、伪造及重放等。认证主要包括三个方面:消息认证、身份认证和数字签名。
身份认证一般是通过对被认证对象(人或事)的一个或多个参数进行验证。从而确定被认证对象是否名实相符或有效。这要求要验证的参数与被认证对象之间应存在严格的对应关系,最好是惟一对应的。身份认证是安全系统中的第一道关卡。
数字证书是在互联网通信中标志通信各方身份信息的一系列数据。提供了一种 internet 上验证用户身份的方式,其作用类似于司机的驾驶执照或身份证。它是由一个权威机构ca机构,又称为证书授权(certificate authority)中心发行的,人们可以在网上用它识别彼此的身份。
四、结束语
安全实际上就是一种风险管理。任何技术手段都不能保证100%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。因此,为进一步促进电子商务体系的完善和行业的健康快速发展,必须在实际运用中解决电子商务中出现的各类问题,使电子商务系统相对更安全。电子商务的安全运行必须从多方面入手,仅在技术角度防范是远远不够的,还必须完善电子商务立法,以规范飞速发展的电子商务现实中存在的各类问题,从而引导和促进我国电子商务快速健康发展。
参考文献:
[1] 劳帼龄.电子商务的安全技术[m].北京:中国水利水电出版社,2005.
篇6
1引言
移动存储设备因其体积小、容量大、使用灵活而应用广泛,但其本身的“匿名性”给设备安全管理带来了巨大挑战,身份认证难、信息易泄露、常携带病毒等问题一直困扰着用户和计算机系统安全人员。
在移动存储的安全管理上应基于两个层面:首先是移动存储设备对用户的身份认证,以确保移动存储设备持有者身份的合法性;其次是移动存储设备与接入终端间的双向认证。目前,移动存储的安全管理往往是基于用户名和口令的身份认证方案,容易受到非法用户“假冒身份”的攻击,同时系统中所保存的口令表的安全性也难以保障,因此该方案存在较大的安全隐患。少数采用生物特征识别的安全方案也仅仅做到了第一个层面的身份认证,仍无法解决对移动存储设备本身的身份认证以及移动存储设备对接入终端的身份认证。然而,移动存储设备和接入终端间双向认证的必要性是显而易见的,只有被终端信任的移动存储设备才允许接入;同时,当终端也被移动存储设备信任时,移动存储设备和终端才能获得彼此间相互读写的操作权限。只有实现上述的双向认证,才能有效地在源头杜绝移动存储设备带来的安全隐患。
本文描述了一种移动存储安全管理方案,针对U盘和移动硬盘等移动存储设备,基于智能卡技术,结合指纹识别模块,解决了设备持有者的身份认证以及设备与接人终端间的双向认证问题,并将设备持有者的指纹作为实名访问信息记人审计系统,进一步完善了移动存储的安全管理方案。
2基于指纹识别的用户身份认证
指纹识别技术主要涉及指纹图像采集、指纹图像处理、特征提取、数据保存、特征值的比对和匹配等过程,典型的指纹识别系统如图1所示。
图1指纹识别系统
指纹图像预处理的目的是去除指纹图像中的噪音,将其转化为一幅清晰的点线图,便于提取正确的指纹特征。预处理影响指纹识别的效果,具有重要的意义。它分四步进行,即灰度滤波、二值化、二值去噪和细化。图像细化后,采用细节点模板提取出指纹图像的脊线末梢和脊线分支点的位置,将指纹认证问题转化成为点模式匹配问题。
如图2所示,移动存储设备采用兼容多种设备接口的控制芯片、安全控制闪存芯片、大容量用户标准Flash构成硬件基础,以智能卡控制芯片为控制中心,结合指纹识别模块,实现对设备持有者的身份认证;同时,结合大容量普通闪存存储结构,实现数据存储低层管理和数据存储加密。
3基于智能卡技术的双向认证
为加强系统认证安全性与可信性,在移动存储设备内集成智能卡模块,使之具备计笄能力,从而实现移动存储设备与终端之问的双向认证。移动存储设备的身份文件存放于智能卡模块中。身份文件是指存储着移动存储设备各项物理特征信息的私密文件,由于这些物理特征信息与个体紧密相联,所以可以起到唯一鉴别该移动存储设备的作用。
智能卡模块提供对终端的认证,只有通过认证的终端才能访问身份文件和移动存储设备中的数据。将现有移动存储设备硬件结构进行改造,在其中分别加人指纹处理模块与智能卡模块后的硬件结构如图3所示。
智能卡模块内置CPU、存储器、加解密算法协处理器、随机数发生器等硬件单元,及芯片操作系统(COS)、芯片文件系统等多个功能模块。其内部具有安全数据存储空间,用于存放移动存储设备的身份文件。对该存储空间的读写受身份认证机制保护,只有通过认证的用户和终端才能对其进行访问,并且操作必须通过定制的应用程序实现,用户无法直接读取。支持指纹认证的智能卡文件系统如图4所示。
对终端的身份认证方式有多种,本方案采用冲击一响应的认证方式_7]。需要验证终端身份时,终端向智能卡模块发送验证请求,智能卡模块接到此请求后产生一组随机数发送给终端(称为冲击)。终端收到随机数后,使用终端认证软件内置的密钥对该随机数进行一次三重DES加密运算,并将得到的结果作为认证依据传给智能卡模块(称为响应),与此同时,智能卡模块也使用该随机数与内置的密钥进行相同的密码运算,若运算结果与终端传回的响应结果相同,则通过认证。这种认证方式以对称密码为基础,特点是实现简单,运算速度快,安全性高,比较适合对移动存储设备的认证。
在终端通过认证,取得移动存储设备信任的前提下,终端通过智能卡模块读取移动存储设备身份文件,对移动存储设备进行准入认证。只有在双向认证通过的情况下,移动存储设备才能接入可信终端,进而在授权服务器分发的安全策略下与可信域终端进行正常的读写操作。
4移动存储安全管理系统设计
在采用智能卡技术的基础上,加入移动存储安全管理系统,提供对移动存储设备的接人控制,将认证体系扩展至计算机USB总线。
安全管理系统的认证体系示意图如图5所示。各终端首先需要加入某个信任域,在此之后可对移动存储设备提供基于所在信任域的接入认证,如果终端没有通过信任域认证,则不允许任何移动存储设备接入。
授权认证服务器位于各信任域的公共区域中,为各信任域的终端提供移动存储设备授权认证服务。它将设备授权给某个信任域后,该设备便成为该区域中的授权设备,可在该区域中任意一台终端上使用;在其他区域使用时将被认为是未授权的,接入将被拒绝。隔离区中的终端与授权认证服务器不能通过网络相连,从而保证了被隔离的终端不能够使用移动存储设备,防止安全隐患向外扩散。这种把安全域细分成不同信任域的整体设计可以最大限度地防止安全实体内敏感数据的任意传播,大大降低涉密信息向外非法泄露的可能性。
终端移动设备认证软件部署在网络系统中的各台终端上,实时监测终端上所有USB接口,探测接人的移动存储设备。发现设备后,认证软件将与接入设备进行相互认证,并与认证服务器通信,对设备进行认证,通过认证的设备被认为是当前信任域的授权设备,否则将被认为是未授权的。根据认证结果,允许或禁止移动设备接入。
4.1授权流程描述
服务器端授权软件运行时,探测出所有连接到授权服务器上的移动存储设备,并将结果报告给管理员。管理员指定需要授权的设备,填写好授权区域、授权日期、授权人、授权有效期并录入用户指纹信息后,授权软件开始对该移动存储设备进行授权。
(1)获取该设备的各项物理信息,这些信息具有特征标识,可以唯一地标识该设备;
(2)将收集到的物理信息和管理员输入的授权区域、授权日期、授权人、授权有效期等信息以一定格式排列,并注入随机字符,采用三重DES运算,生成身份文件;
(3)设置移动存储设备中指纹模块的指纹信息;
(4)将智能卡模块中的认证密钥设成与终端事先约定好的密钥;
(5)将(3)中生成的身份文件存入智能卡模块中的安全数据存储空间。
4.2认证流程描述
图6是移动存储设备管理系统完成认证的整个流程,其步骤如下:
(1)终端认证软件判断当前终端所处区域,如果处于信任域中,扫描各USB端口状态,判断是否有新设备接人;如果处于隔离区,则拒绝任何USB移动设备接入。
(2)如果探测到新设备接入,智能卡CPU调用指纹处理模块,接收并验证用户指纹。
(3)如果指纹认证通过,则终端向USB存储设备发送认证请求;否则禁用该USB存储设备。
(4)如果没有收到USB存储设备的智能卡模块发来的随机数,证明该设备是不符合系统硬件设计要求的,拒绝接入;如果收到随机数,则进行冲击一响应认证。如果没有通过认证,证明该终端为非信任终端,智能卡模块拒绝该设备接人终端。
(5)终端读取智能卡模块存储的身份文件,并读取该设备的各项物理信息,将身份文件、物理信息及终端所处的信任域信息发送至认证服务器进行认证。
(6)服务器认证软件接收到终端发送来的信息后,将标识文件解密,得到授权区域、授权日期、授权人、授权有效期等信息。
①将解密得到的物理信息与终端发来的物理信息作比对,如果不相符,证明该标识文件是被复制或伪造的,向终端发送未通过认证的指令。
②如果①中认证通过,将解密得到的信任域信息与终端发来的信任域信息作比对,如果不相符,证明该移动存储设备处于非授权区域中,向终端发送未通过认证的指令。
③如果②中认证通过,将解密得到的授权有效期与当前日期做比较,如果当前日期处于有效期内,向终端发送通过认证的指令;如果当前日期处于有效期外,向终端发送未通过认证的指令。
(7)终端接收认证服务器发来的指令,对USB设备执行允许或禁止接入的操作。如果USB设备被允许接入,则智能卡模块将设备持有者指纹提交给认证服务器,作为已授权访问记录记入日志中。
(8)转至(2)继续探测新设备。
5安全性分析
本方案通过在移动存储设备中加入指纹识别模块和智能卡模块,更安全可靠地解决了设备持有者身份认证问题以及移动存储设备的“匿名性”问题,通过引入身份文件,实现了移动存储设备的实名制认证。结合智能卡的相关技术,本方案从根本上解决了移动存储设备与接入终端问的双向认证问题,构建了双方互信的安全传输环境。
基于信任域的划分对设备进行授权管理,使整个系统能够同时对终端和移动存储设备提供接人控制,有效地阻止了安全威胁的传播。在方案的具体实现上,有如下安全性考虑:
(1)移动存储设备采用指纹识别的方式认证设备持有者身份,确保其身份的合法性;采用三重DES对称加密的方式对终端进行认证,确保终端为运行认证软件的合法授权终端,有效地避免了强力破解的可能性。
(2)移动存储设备的物理信息各不相同,身份文件也是唯一确定的。身份文件采用三重DES加密的方式,加解密过 程全部在服务器端认证软件中完成,密钥不出服务器,避
免了密码被截获的可能性。身份文件存储于智能卡模块中的安全数据存储区,受智能卡模块软硬件的双重保护。方案保证了身份文件的唯一性、抗复制性和抗伪造性,任何非授权设备都无法通过破译、复制、伪造等人侵手段冒名成为授权设备。
(3)认证服务器与隔离区中的终端相互隔离,只能被信任域中的终端访问,保证了认证服务器的安全。
(4)双向认证通过后,被授权的移动存储设备将设备持有者的指纹记入授权服务器的访问日志中,以便日后能够准确地确定安全事故责任人。
篇7
一、电子商务安全的要求
1、信息的保密性:指信息在存储、传输和处理过程中,不被他人窃取。
2、信息的完整性:指确保收到的信息就是对方发送的信息,信息在存储中不被篡改和破坏,保持与原发送信息的一致性。
3、 信息的不可否认性:指信息的发送方不可否认已经发送的信息,接收方也不可否认已经收到的信息。
4、 交易者身份的真实性:指交易双方的身份是真实的,不是假冒的。
5、 系统的可靠性:指计算机及网络系统的硬件和软件工作的可靠性。
在电子商务所需的几种安全性要求中,以保密性、完整性和不可否认性最为关键。电子商务安全性要求的实现涉及到以下多种安全技术的应用。
二、数据加密技术
将明文数据进行某种变换,使其成为不可理解的形式,这个过程就是加密,这种不可理解的形式称为密文。解密是加密的逆过程,即将密文还原成明文。
(一)对称密钥加密与DES算法
对称加密算法是指文件加密和解密使用一个相同秘密密钥,也叫会话密钥。目前世界上较为通用的对称加密算法有RC4和DES。这种加密算法的计算速度非常快,因此被广泛应用于对大量数据的加密过程。
最具代表的对称密钥加密算法是美国国家标准局于1977年公布的由IBM公司提出DES (Data Encrypuon Standard)加密算法。
(二)非对称密钥加密与RSA算法
为了克服对称加密技术存在的密钥管理和分发上的问题,1976年产生了密钥管理更为简化的非对称密钥密码体系,也称公钥密码体系(PublicKeyCrypt-system),用的最多是RSA算法,它是以三位发明者(Rivest、Shamir、Adleman)姓名的第一个字母组合而成的。
在实践中,为了保证电子商务系统的安全、可靠以及使用效率,一般可以采用由RSA和DES相结合实现的综合保密系统。
三、认证技术
认证技术是保证电子商务交易安全的一项重要技术。主要包括身份认证和信息认证。前者用于鉴别用户身份,后者用于保证通信双方的不可抵赖性以及信息的完整性
(一)身份认证
用户身份认证三种常用基本方式
1、口令方式
这种身份认证方法操作十分简单,但最不安全,因为其安全性仅仅基于用户口令的保密性,而用户口令一般较短且容易猜测,不能抵御口令猜测攻击,整个系统的安全容易受到威胁。
2、标记方式
访问系统资源时,用户必须持有合法的随身携带的物理介质(如存储有用户个性化数据的智能卡等)用于身份识别,访问系统资源。
3、人体生物学特征方式
某些人体生物学特征,如指纹、声音、DNA图案、视网膜扫描图案等等,这种方案一般造价较高,适用于保密程度很高的场合。
加密技术解决信息的保密性问题,对于信息的完整性则可以用信息认证方面的技术加以解决。在某些情况下,信息认证显得比信息保密更为重要。
(二)数字摘要
数字摘要,也称为安全Hash编码法,简称SHA或MD5 ,是用来保证信息完整性的一项技术。它是由Ron Rivest发明的一种单向加密算法,其加密结果是不能解密的。类似于人类的“指纹”,因此我们把这一串摘要而成的密文称之为数字指纹,可以通过数字指纹鉴别其明文的真伪。
(三)数字签名
数字签名建立在公钥加密体制基础上,是公钥加密技术的另一类应用。它把公钥加密技术和数字摘要结合起来,形成了实用的数字签名技术。
它的作用:确认当事人的身份,起到了签名或盖章的作用;能够鉴别信息自签发后到收到为止是否被篡改。
(四)数字时间戳
在电子交易中,时间和签名同等重要。数字时间戳技术是数字签名技术一种变种的应用,是由DTS服务机构提供的电子商务安全服务项目,专门用于证明信息的发送时间。包括三个部分:需加时间戳的文件的数字摘要;DTS机构收到文件摘要的日期和时间; DTS机构的数字签名。
(五)认证中心
认证中心:(Certificate Authority,简称CA),也称之为电子商务认证中心,是承担网上安全电子交易认证服务,能签发数字证书,确认用户身份的、与具体交易行为无关的第三方权威机构。认证中心通常是企业性的服务机构,主要任务是受理证书的申请、签发和管理数字证书。其核心是公共密钥基础设(PKI)。
我国现有的安全认证体系(CA)在金融CA方面,根证书由中国人民银行管理,根认证管理一般是脱机管理;品牌认证中心采用“统一品牌、联合建设”的方针进行。在非金融CA方面,最初主要由中国电信负责建设。
(六)数字证书
数字证书就是标志网络用户身份信息的一系列数据,用于证明某一主体(如个人用户、服务器等)的身份以及其公钥的合法性的一种权威性的电子文档,由权威公正的第三方机构,即CA中心签发。
以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。
四、电子商务的安全交易标准
(一)安全套接层协议
SSL (secure sockets layer)是由Netscape Communication公司是由设计开发的,其目的是通过在收发双方建立安全通道来提高应用程序间交换数据的安全性,从而实现浏览器和服务器(通常是Web服务器)之间的安全通信。
目前Microsoft和Netscape的浏览器都支持SSL,很多Web服务器也支持SSL。SSL是一种利用公共密钥技术的工业标准,已经广泛用于Internet。
(二)安全电子交易协议
SET (Secure Electronic Transaction)它是由VISA和MasterCard两大信用卡公司发起,会同IBM、Microsoft等信息产业巨头于1997年6月正式制定的用于因特网事务处理的一种标准。采用DES、RC4等对称加密体制加密要传输的信息,并用数字摘要和数字签名技术来鉴别信息的真伪及其完整性,目前已经被广为认可而成了事实上的国际通用的网上支付标准,其交易形态将成为未来电子商务的规范。
五、总结
网络应用以安全为本,只有充分掌握有关电子商务的技术,才能使电子商务更好的为我们服务。然而,如何利用这些技术仍是今后一段时间内需要深入研究的课题。
篇8
文章编号:1004-373X(2010)04-122-03
Research on Integration of Library Management System
Based on Campus Portal Platform
DAI Ying
(Network Information Center,Chang′an University,Xi′an,710064,China)
Abstract:Integrated library management system is focus of the work in building a digital campus,which is based on the portal platform and included uniform identity authentication integration,data integration and information sharing portal integration.Three major areas of the integrated objectives and methods are described,and the realization of practical technology solutions to access remote digital resources for which enable the staff to live in out of school through uniform identity authentication to visit it,which provide a reference for someone who engaged in this domain research work in other colleges and universities.
Keywords:campus portal platform;library management system;uniform identity authentication;integrated information portal;sharing of data integration;remote digital resource
0 引 言
校园门户平台是基于计算机网络技术的一种管理平台,它以一种全新的信息服务形式向高校内各种不同类型的群体提供个性化的服务。它将学校从环境(包括网络、设备、教室等)、资源(诸如图书、讲义、课件等)到活动(包括教、学、管理、服务、办公等)逐步数字化,形成一个数字空间,通过设立统一的用户管理、统一的资源管理及统一的权限控制,学校建设成一个超越时间、空间的数字化校园[1]。
高校图书馆将为高校教学、科研提供文献信息保障的学术性机构,在高校和社会上占有重要地位,尤其在数字化校园建设蓬勃发展的今天,图书馆以丰富的文献信息资源、多样的载体服务形式,进一步奠定和加强了其作为学校信息资源中心的地位[2]。因此,基于校园门户平台图书馆管理系统的集成工作成为当前数字化校园建设工作中的重要组成部分。在此针对我校图书馆管理系统在门户平台中的集成与功能实现方面进行相关的研究与探索,希望能对大家有所启示。
1 我校图书馆管理系统概述以及其集成工作的必要性
我校图书馆文献资源丰富、载体形式多样、专业特色明显,除拥有大量馆藏图书、期刊合订本、中外文现刊外,还拥有超星、北大方正等20多万种电子图书,同时还提供给读者万方数据资源、中国期刊网、中文科技期刊数据库、EI(工程索引)、UMI(美国博硕士论文全文数据库)、ASCE(美国土木工程师协会数据库)、OSA(剑桥科学文摘)等20种国内外著名中外文数据库系统。
图书馆管理系统架构为B/S+C/S结构,其操作系统版本为Linux AS 4.0,数据库版本为Oracle 9.2.0.4,业务系统开发语言:B/S部分为 PHP,C/S部分为 VB和VC,其Web网络环境基于校园网,数据库网络环境为图书馆内网。由于其Web网络环境基于校园网,因此外网用户无法登录该系统了解本人书刊借阅情况,影响其及时办理书刊的预约、续借等手续;同时也无法进入中外文数据库及电子图书资源库享用丰富的远程数字资源,这对于居住在校园外或出差在外的教职工的工作生活造成一些困扰和不便。基于校园门户平台的图书馆管理系统的集成研究将着手解决诸如此类的问题,以期数字化校园建设工作更好地服务于广大教职员工。
2 图书馆管理系统集成内容
基于门户平台的图书馆管理系统集成包括统一身份认证集成、共享数据集成和信息门户集成三部分。
(1) 统一身份认证集成。通过确定统一身份认证系统的用户权威身份信息,建立起统一的认证平台,实现图书馆系统嵌入学校信息门户中,通过单点登录直接进入。届时用户通过统一身份认证帐号(校内教职工工资编号/学生学号)登录信息门户后,无需输入图书馆系统帐号、密码便可直接进入图书馆系统进行相关业务系统的使用。有效避免了用户输入不同访问网址,记忆不同用户名及密码所带来的不便和困扰[3]。
(2) 共享数据集成。共享数据集成是图书馆系统集成的核心所在,其集成目标为:实现公共数据库自动从图书馆系统中抽取相关个人信息,并通过数据集成工具集成到公共数据库中,使公共数据库平台成为全校范围内惟一全面的数据源;数据集成后,提供个人图书馆信息门户上的展现或供其他业务部门使用[4]。如图1所示。
图1 共享数据集成过程图示
图书馆系统开放公共数据库需要的源视图读权限,集成方式在抽取范围上采用增量抽取;周期上采用定时同步,周期为一天;其采集方式通过数据集成平台实现[5]。
(3) 信息门户集成。基于图书馆系统实现统一身份认证及共享数据集成的基础上,通过信息门户为广大师生提供统一的、个性化的图书信息查询服务。其集成方式通过开发单独的Portlet在信息门户上直接展现个人图书借阅情况,预约图书流转信息以及图书超期预警与罚款通知等[6]。
信息门户集成的优点集中体现在基于共享数据集成实现的基础上。因此它可以不完全依赖于图书馆系统本身,一旦图书馆数据库发生故障,门户上依然能够满足用户个人图书馆历史记录的查询需求,将其所带来的不利因素降到最低点。个人图书借阅信息展示截图如图2所示。
图2 个人图书借阅信息展示截图
3 统一身份认证及校内远程数字资源访问功能实现方式
3.1 统一身份认证实现方式
图书馆管理系统Web查询部分是基于PHP开发的,因此集成方式采用“PHP客户端”集成方式。由开发人员提供PHP认证头,图书馆管理系统据此修改其登录模块。认证头程序主要校验Cookie,判断当前用户是否已通过统一身份认证并在有效的会话期内,如通过验证,则实现单点登录[7]。单点登录后,图书馆管理系统从统一身份认证中获取用户的基本信息(登录名)。为保证用户登录号码与统一身份认证平台中的用户一致,需要提供给图书馆系统认证程序接口,其具体实现步骤如下:
(1) 拷贝图书馆系统集成开发包,解开其中有关统一身份认证接口的相关程序,并放到相应的目录下;
(2) 配置客户端参数,更新client.properties中的参数:
ids.UserName=connetusername
ids.Password=connectpassword
IdentityManager.Proxy=IdentityManager:tcp-p 58000-h yourserverip
(3) 配置PHP
修改php.ini ,加入如下配置:
extensiondir = /***/***/lib
extension=libIdstarPhp.so
(4) 启动 Apache
在启动 apache前需要设置库的加载路径,如下:
export LDLIBRARYPATH=/***/***/lib
apachectl start
3.2 图书馆校内远程数字资源访问功能实现
图书馆校内远程资源访问功能实现是建立在统一身份认证集成基础上,属统一身份认证集成的一部分。长期以来居住在校外或出差在外的外网用户无法在家中或外地远程访问学校图书馆中外文数据库及电子图书资源库等校内远程数字资源,给工作、生活带来一定程度的不便,同时在某种程度上也造成资源的闲置与浪费。校园门户系统的统一身份认证集成和访问设置则实现了这部分用户对于图书馆校内远程数字资源的访问[8,9]。图书馆校内资源远程访问流程图如图3所示。
图3 图书馆校内资源远程访问流程图
用户通过配置服务器地址在校外访问门户网站,通过统一身份认证后进入信息门户展示平台,访问校内资源;信息门户平台上设置中外文数据库及电子图书资源库等校内远程数字资源栏目,并提供完成远程访问所需要的批处理脚本文件,用户解压下载下来的批处理文件,双击其中的enableProxy.bat文件,完成该地址的设置;服务器根据用户组的不同,分配相应的校内地址,使用户直接进入校内远程访问资源栏目,点击访问所需的校内远程数字资源;双击下载的disenableProxy.bat,即可取消该地址的设置,正常访问门户系统[10]。
4 结 语
基于校园门户平台图书馆管理系统的集成研究,在实现用户统一身份认证的基础上,方便了教职工及学生对图书馆管理系统的使用,尤其是图书馆远程数字资源访问功能的实现,给居住或出差在外的教职工的工作、学习、生活带来很大的便利。同时,还考虑在门户平台上增加若干控件,方便用户自行订制相关个性化服务,如将有关新书报道、预约图书、欠费预警及图书超期罚款等信息以短消息形式即时在个人门户上显示,以期更好地服务于广大师生。
参考文献
[1]林三洲.数字化校园建设漫谈[J].湖北经济学院学报:人文社会科学版,2007,4(3):153-154.
[2]沈煜,裴艳慧.信息时代高校图书馆的作用和发展[J].晋图学刊,2007(3):57-59.
[3]贺超波,陈启买,欧阳辉.数字化校园门户平台统一身份认证的实现[J].现代计算机,2008(12):25-28.
[4]孙月洪.数据交换在数字化校园中的作用与实现[J].办公自动化,2009(1):35-37.
[5]邓英.数字化校园建设中公共数据整合方案研究[J].电脑知识与技术,2008(2):589-591.
[6]宫卫涛,马自卫.数字图书馆门户集成技术及其实现[J].现代图书情报技术,2007(11): 23-27.
[7]张冲,武超,杨要科.校园网统身份认证系统的设计与实现[J].中原工学院学报,2008,19(4):68-71.
篇9
本文著录格式:[1]马萌,王全成,康乃林.Internet密钥IKE协议安全性分析[J].软件,2013,34(7):112-114
0 引言
在开放性的网络体系中,进行秘密、敏感信息传递时,首先要求通信双方拥有共享密钥,才能够按照安全性需求对数据进行机密性、完整性和身份认证保护。为了应对Internet密钥交换协议面临的复杂多样的网络威胁和攻击手段,本文详细分析了IKE协议的基本思想和主要存在的四个方面的安全缺陷,为采取更加有效的信息安全技术和方法,堵塞可能的安全漏洞和隐患提供帮助,从而满足日益增长的网络安全应用要求。
1 IKE协议的基本思想
IKE协议吸取ISAKMP协议、OAKLEY协议和SKEME协议各自的特点组合而成[1],同时还重新定义了两种密钥交换方式[1]。
一次典型的IKE密钥协商交换可描述如下(第一阶段采用主模式和公钥签名身份验证):
(1)SA载荷交换,协商认证算法、加密算法等,交换Cookies对;(2)KE载荷,Nonce载荷交换,提供计算共享密钥的有关参数信息。(3)通信双方分别计算共享密钥参数。(4)通信双方进行身份验证,构建IKE SA;(5)进行IPSec SA载荷和选择符信息交换,协商IPSec SA的验证算法、加密算法,计算IPSec SA密钥参数,构建IPSec SA。
由上可知,IKE 协议在两个通信实体间之间实现密钥协商的过程实际上分为2个阶段。第一阶段构建IKE SA,第二阶段构建IPSec SA。
在第一阶段,使用主模式或者积极模式,建立IKE SA,为通信实体之间建成安全的通信信道,为第二阶段的密钥协商提供安全保护服务。
第二阶段,使用快速模式,依托第一阶段创建的IKE SA通信信道,构建IPSec SA,为通信双方之间的数据传输提供机密性、完整性和可靠。
两个阶段的IKE协商相对增加了系统的初始开销,但是由于第一阶段协商建立的SA可以为第二阶段建立多个SA提供保护,从而简化了第二阶段的协商过程,结合第二阶段SA协商总体数量较多的实际,仍然是节约了系统的资源。
在第一阶段,当需要对协商双方提供身份保护时使用主模式相对安全一些,而积极模式实现起来简单一些,却无法提供身份保护服务;第二阶段使用的快速模式,在一个IKE SA的保护下可以同时进行多个协商;新组模式允许通信双方根据安全性要求协商私有Oakley组,但新组模式既不属于第一阶段也不属于第二阶段,且必须在第一阶段完成后方可进行。
2 IKE协议的交互流程
第一阶段主模式或积极模式中,都支持数字签名、预共享密钥和公钥加密等身份认证方法。不同的身份认证方式,身份认证的原理不同,传递的密钥协商交换消息也有所不同。其中,数字签名认证是利用公钥加解密原理,由通信双方生成数字签名信息,再由另一方对数字签名信息进行解密、比较,实现对通信双方的身份认证;预共享密钥认证是利用对称密钥加解密原理,由通信双方利用私钥对认证内容计算hash值,再将hash值发送给对方进行解密、比较,完成身份认证;公钥加密认证仍然是利用了公钥加解密原理,与数字签名认证不同的是,由通信双方利用对方的公钥分别加密身份识别负载和当前时间负载的数据部分,然后根据对方返回的结果以确定对方的身份。公钥加密认证方式有两种,区别在于加解密的次数不同。
下面,我们以数字签名为例,说明2个阶段的具体协商流程。
2.1第一阶段密钥生成
3 IKE 协议的安全缺陷
目前针对IKE协议的安全性分析结果非常多,已发现的安全问题和隐患也非常多,归纳起来主要有以下几类。
3.1 拒绝服务(DoS)攻击
拒绝服务(DoS)攻击是一种针对某些服务可用性的攻击,是一种通过耗尽CPU、内存、带宽以及磁盘空间等系统资源,来阻止或削弱对网络、系统或应用程序的授权使用的行为[2]。更加形象直观的解释,是指攻击者产生大量的请求数据包发往目标主机,迫使目标主机陷入对这些请求数据包的无效处理之中,从而消耗目标主机的内存、计算资源和网络带宽等有限资源,使目标主机正常响应速度降低或者彻底处于瘫痪状态。DoS攻击是目前黑客常用的攻击方式之一。在Internet密钥交换协议中,由于响应方要占用CPU和内存等进行大量的密集的模幂等复杂运算,而其存储和计算能力是有限的,鉴于这一瓶颈问题的制约,极易遭到DoS攻击。
虽然Internet密钥交换协议采用了Cookie机制,可在一定程度上防止DoS攻击,但Cookie数据的随机性又极大的制约了其作用的发挥[3]。同时,更有分析认为Internet密钥交换协议的Cookie机制会导致更加严重的DoS攻击。因为协议规定Internet密钥交换的响应方必须对已经验证过的合法Cookie建立SA请求予以响应,攻击者可以利用这一规定,直接复制以前的ISAKMP消息,不更改其Cookie数值并发送给响应方,而响应者需要大量CPU时间的运算后才能判别出发起者是非法的,从而无法从根本上防止DoS攻击。
3.2 中间人攻击
中间人攻击是指通信实体在通信时,第三方攻击者非法介入其中并与通信双方建立会话密钥,作为真实的通信实体间消息通信的中转站,从而共享通信实体双方的秘密信息。中间人攻击的方法主要是对消息进行篡改、窃听,重定向消息以及重放旧消息等[4],是一种攻击性很强的攻击方式,属于主动攻击方式的一种[5]。
图3.1详细描述了中间人攻击[6],当Initiator与Responder进行D-H算法密钥交换时,Initiator计算并发送公钥X,Attacker窃取X,并假冒Responder发送公钥Z给Initiator,从而完成一次D-H密钥交换,双方之间共享了一个密钥。同理,Attacker和Responder之间也可以共享一个密钥。这样,当真正的通信双方进行信息交换时,所有数据都经由Attacker中转,而不会被发觉。
IKE协议的身份验证机制可以有效防止中间人攻击,但仍有一些缺陷。
3.3 身份隐藏保护缺陷
IKE协议第一阶段有两种模式、四种认证方式,其中一个主要目的就是要能够提供发起方和响应方的身份隐藏保护功能,但是在积极模式下的数字签名认证和预共享密钥认证,以及主模式下的数字签名认证都无法提供身份隐藏保护。例如,在第一阶段主模式协商的数字签名认证方式中,一个主动攻击者就可以伪装响应方的地址并与发起方协商D-H公开值,从而获得发起方的身份信息[7]。
一般来说,在无法同时保护通信双方身份的情况下,要优先考虑隐藏发起方的身份。因为绝大多数的响应方在IKE交换中都是作为服务的一方,而服务器的身份信息一般是公共的,所以可以认为保护发起方的身份要比保护响应方的身份要更为重要[8]。
3.4 其它安全缺陷
除了以上的安全缺陷外,IKE机制还存在一些其它的问题,如难以抗重放攻击、新组模式定义多余等。
重放攻击是指攻击者采取网络数据包提取等技术手段,对发起方和接收方之间的通信数据进行窃听或者截取,获得通信双方之间的任意消息,然后将该消息重新发送给接收方,从而消耗网络资源,甚至瘫痪通信网络。在整个Internet密钥交换过程当中,通信双方都需要保存部分交换信息用来记录数据交换情况,同时,当Cookies对建立以后,数据状态信息可以用来表示数据交换状态。此时,第三方攻击者利用网上截获的正常数据包进行重新发送,或者攻击者截获Cookies对后伪造假消息,由于该Cookies对是真实的,通信实体双方仍然会对伪造的假消息进行处理,甚至再次解密消息,或者由于无法正常解密,从而发现消息不真实。这样会使系统被迫处理大量无效的操作,降低处理效率,浪费大量系统计算和存储资源。
4 结论
本文详细分析了IKE协议的基本思想和主要存在的四个方面的安全缺陷,认为必须深入分析Internet密钥交换协议面临的复杂多样的网络威胁和攻击手段,采取更加有效的信息安全技术和方法,不断改进Internet密钥交换协议,堵塞可能的安全漏洞和隐患,从而满足日益增长的网络安全应用要求。
参考文献
[1] D.Harkins,D. Carrel.Internet key exchange. RFC 2409,Nov 1998.
[2] William Stallings,Lawrie Brown.计算机安全原理与实践.北京:机械工业出版社,2008:166~180.
[3] 黄永锋.IKE协议改进及其实现框架[硕士论文].镇江:江苏大学.2005.
[4]张红旗.信息网络安全.北京:清华大学出版社,2002:106~107.
[5]William Stallings著.网络安全要素——应用与标准.北京:人民邮电出版社,2000.
篇10
1 研究背景
近年来,全球的数据网络正以令人惊奇的速度发展,为信息的交流和经济的发展提供了高效的工具和便利的平台。随着电力建设的飞速发展,电力自动化数据网络也迅速扩大,正在向全面覆盖所有的电力企业迈进,电力系统数字化已是大势所趋。电力调度自动化系统、配电自动化系统、电量计费系统、电力市场技术支持系统及交易系统、电力客户服务中心系统、变电站自动化系统、发电厂监控系统、MIS 系统等,无一不是以高速的数据传输与交换为基本手段而建设的。电力自动化数据通信网络利用因特网、无线网等的工具和平台,在提高数据传输效率、减少开发维护工作量的同时,也带来了新的问题,这就是内部机密信息在网络上的泄密、以及被攻击破坏等。
随着计算机运算性能的提高,通信技术的不断发展,电力通信协议也在不断的改进,以适应通信数据类别、流量和实时性的要求。IEC60870规约系列规定了电力远动、继电保护数据、电能计费等多个方面的通信协议,甚至出现了104网络通信规约,以适应网络RTU在电力系统中的应用。各项信息安全技术也开始得到广泛的应用,但是仍然是以以下观点为基础开展的,电力数据网络的信息安全研究应该有所突破:
(1)电力通信网络的两个隔离。物理隔离作为国家的明文规定是建立在网络条件不如人意,网络威胁依然严重的情况下的,需要看到电力信息系统的开放性将是主流方向,基础研究应该突破这个框架开展一些前瞻性的工作。(2)重点防护监控系统,对通信数据网络的信息安全重视不足。虽然通信网络的安全威胁相比而言较小,但是由于电力通信对实时性和可靠性的要求,使得通信数据网络与电力监控系统的信息安全同等重要。(3)认为电力自动化通信没有安全问题,或者认为还不值得深入研究,电力信息使得任何安全研究都不能不重视其实时性的要求,因此自动化通信的信息安全研究开展不多,还需要进行大量的研究。
2 电力系统无线通信对于信息安全的需求
电力自动化管理系统无线网络中传输的数据非常混杂,从加密的技术角度来区分,可分为实时数据和非实时数据两类。
2.1 实时数据的数据特点
无线网络中传输的实时数据,其通信规约对时间的要求很严格,不允许较大的传输延迟;另一方面,实时数据的数据量相对较小,且数据流量比较稳定。主要包括:
(1)下行数据。包括遥控、遥调和保护装置及其他自动装置的整定值信息等。这类数据与设备状态相关,直接影响到电网的安全运行。安全要求和实时要求都很高。(2)上行数据。包括遥信、重要遥测、事件顺序记录(SOE)信息等。这类数据是电网稳定运行的判据,也是调度决策的依据,实时性要求很高。管理数据。如负荷管理、停电计划等管理信息系统(MIS)的重要管理数据。这类数据对保密性有一定要求。实时数据其数据流量稳定且时效性快,但是要求实时性高、可靠性高,其保密性和数据完整性的要求也高,因此对实时数据加密必须慎之又慎。
2.2 非实时数据的数据特点
无线网络中传输的非实时数据,其数据量一般较大,但时效性不高,可以允许一定的传输延迟。它主要包括电力设备的维护日志、电力用户的电能质量信息等。非实时数据实时性要求不高,但是对数据完整性和保密性有一定的要求,在数据加密中要注意选择合适的算法。
3 电力自动化系统的安全漏洞及解决方案
电力自动化应用系统,不论是电力负荷管理系统、电能量管理系统或是其它的应用系统,它的网络结构框图都可以归纳成图1所示。
3.1 中心站的安全隐患及解决方法
应用系统都有一个中心站,它包括前置机、服务器等硬件设备及配套的管理软件,它负责接收各个子站上传的数据并通过管理软件对数据进行分析、归纳和管理;另一方面,它也维护各个子站正常运行,并以下发命令的方式对子站进行操作管理;而且中心站还是本应用系统与其它的电力自动化应用系统进行数据共享和管理的一个数据接口。一般来说,中心站和子站之间以及中心站和其它应用系统之间的数据传输都是通过有线传输(如光纤)进行的。
中心站既是内部通信子站数据集中的一个节点,也是应用系统与外部进行数据收发的一个接口。只要攻击者侵入了该节点,整个系统的数据就相当于暴露在了入侵者的面前。而且一旦中心站出现了故障,即使其它的通信子站均运行正常,整个系统也无法正常工作了。正由于它的重要性和脆弱性,因此对于中心站就更是要进行重点防护。防火墙就是一种有效的网络安全保护措施,它可以按照用户事先规定好的方案控制信息的流入和流出,监督和控制使用者的操作。防火墙大量的应用于企业中,它可以作为不同网络或网络安全域之间的信息的出入口,能根据企业的安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,它能有效地监控内部网和 Internet之间的任何活动,保证内部网络的安全。
防火墙的目的是在内部、外部两个网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。一般的防火墙都可以达到以下目的:一是可以限制他人进入内部网络,过滤掉不安全服务和非法用户;二是防止入侵者接近你的防御设施;三是限定用户访问特殊站点;四是为监视Internet安全提供方便。由于防火墙假设了网络边界和服务,因此更适合于相对独立的网络,例如Intranet 等种类相对集中的网络。防火墙正在成为控制对网络系统访问的非常流行的方法。事实上,在Internet上的Web网站中,超过三分之一的Web网站都是由某种形式的防火墙加以保护,这是对黑客防范最严,安全性较强的一种方式,任何关键性的服务器,都建议放在防火墙之后。可见,防火墙处于可信网络和不可信网络边界的位置,是可信网络和不可信网络数据交换的“门户”,用来防止未经授权的通信进出被保护的内部网络,通过边界控制强化内部网络的安全策略,其性能、可用性、可靠性、安全性等指标在很大程度上决定了网络的传输效率和传输安全。防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理,从总体上来看,防火墙的基本功能有两个:一是隔离,使内部网络不与外部网络进行物理直接连接;二是访问控制,是进出内部网络的数据包按照安全策略有选择地转发。围绕这两个基本功能,大量与安全有关的网络技术和安全技术被综合进防火墙设备中,使防火墙地功能不断扩展,性能不断提高。概括地说,功能较完善的防火墙采用了以下安全技术:
3.1.1 多级的过滤控制技术
一般采用了三级过滤措施,并辅以鉴别手段。在分组过滤一级,能过滤掉所有的源路由分组和假冒的IP源地址;在应用级网关一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所有通用服务;在电路网关一级,实现内部主机与外部站点的透明连接,并对服务的通行实行严格控制。
3.1.2 网络地址转换技术(NAT)
利用NAT技术能透明地对所有内部地址作转换,使外部网络无法了解内部网络的拓扑信息,同时允许内部网络使用自己编的IP地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。
3.1.3 用户鉴别与加密
为了降低防火墙产品在Telnet、FTP等服务和远程管理上的安全风险,鉴别功能必不可少,防火墙采用一次性使用的口令字系统来作为用户的鉴别手段,并实现了对邮件的加密。
3.1.4 审计和告警
对网络事件进行审计,如果发现入侵行为将以发出邮件、声响等多种方式报警。为了加强自动化应用系统的安全水平,需要在系统与其它网络的接口之间设置一套防火墙设备。这样既能防止外来的访问者攻击系统,窃取或者篡改系统数据;同时也能防止内部数据未经允许流向外部网络。如图1所示,在公网通信中,除了自动化系统与其它应用系统的接口外,子站采集自终端的数据要发送到中心站,也要通过 Internet网络进行传输,这就给攻击者提供了一个侵入的端口。因此要在这两处均安装防火墙设备,来保证系统的安全运行。在专网通信中,由于整个通信网络是一个相对独立的网络,因此中心站了通信子站之间就不必加装防火墙了。
3.2 无线终端的安全防护手段
无论是哪种无线网络,都有若干数量的无线终端,它们是通信系统的最基本的组成结构,通过通信子站与中心站进行通信。因为无线终端的数据众多,也使它们往往成为系统安全漏洞所在。对于应用系统而言,保护系统信息安全与保护系统业务正常是同等重要的。保护系统信息安全首先必须保证信息访问的安全性,要让不该看到信息的人不能看到,不该操作信息的人不能操作。这方面,一是要依靠身份认证技术来给信息的访问加上一把锁,二是要通过适当的访问控制模型显式地准许或限制访问能力及范围。这就引出了两种信息安全技术:身份认证技术及访问控制技术。通过这两种技术手段,就能有效的解决以上的两个安全问题。对于自动化应用系统来说,系统内的终端用户只是采集电力用户数据并上传给服务器,并不存在越权访问系统信息的问题。因此采用身份认证技术就足以解决无线终端的信息保护问题了。
身份认证是指被认证对象向系统出示自己身份证明的过程,通常是获得系统服务所必须的第一道关卡。身份认证需要证实的是实体本身,而不是象消息认证那样证实其合法性、完整性。身份认证的过程一般会涉及到两方面的内容识别和验证。识别,就是要对系统中的每个合法注册的用户具有识别能力,要保证识别的有效性,必须保证任意两个不同的用户都不能具有相同的标识符。验证是指访问者声明自己的身份后,系统还必须对它声称的身份进行验证。标识符可以是非秘密的,而验证信息必须是秘密的。
身份认证系统有两方认证和三方认证两种形式两方认证系统由被认证对象和认证方组成,被认证对象出示证件,提出操作要求,认证方检验被认证对象所提供证件的合法性和有效性三方认证系统除了被认证对象和认证方外,还有一个仲裁者,由双方都信任的人充当仲裁和调节。建立一个身份认证系统的应满足的是:1)可识别率最大化:认证方正确识别合法被认证对象身份的概率最大化;2)可欺骗率最小化:攻击者伪装被认证对象欺骗认证方的成功率最小化;3)不可传递性:认证方不可以用被认证对象提供的信息来伪装被认证对象;4)计算有效性:实现身份认证所需的计算量要小;5)安全存储:实现身份认证所需的参数能够安全的存储;6)第三方可信赖性:在三方认证的系统中,第三方必须是双方都信任的人或组织或可信安全性身份认证系统所使用的算法的安全性是可证明和可信任的。
电力自动化系统内部使用身份认证技术,在每一个无线终端的实体上增加了一道安全防护,如图2 所示。在进行数据传输之前,验证对方是否是系统内的合法用户。可以防止入侵者伪装成内部用户,获取系统数据。
3.3 保护系统信息安全的常用方案-算法加密
除了以上的信息安全技术之外,算法加密技术是一种被普遍应用的安全技术。它在发送方将要发送的数据根据一定的算法进行加密,变成不可识别的密文;而在接收方通过对应的解密算法再将密文转化为明文。从而保证数据在传输过程中的保密性。
4 结论
该文研究了电力自动化无线通信系统中的信息安全问题。随着电力自动化无线通信技术的快速发展,对网络信息安全的要求也不断提高。无线通信技术有着其自身的特点,要求的安全解决方案也与其他不同。需要既保证无线信道的带宽,又要有效地提高系统的安全防护强度。
参考文献
[1] 孙毅,唐良瑞,杜丹.配电自动化中的通信网解决方案[J].燕山大学学报,2004,5(28):423-426.
篇11
一、网上银行身份认证设备存在的问题
1.静态密码技术。银行登录方式分两种,一种是采用“卡号+密码”的方式登录,此类技术代表为网上个人银行大众版,卡号、密码的保管非常重要,如果卡号和密码不慎被他人取得,他人即可通过网上银行大众版通过转账、网上支付卡转账等方式窃取客户账户资金。另一种是采用“用户名+登录密码”的方式登录,此种方式较为安全,在安全设计上有考虑到用户的需要,既满足了用户查询相关信息的需要,又保证了用户资料的安全,同时把查询和支付、转账等业务分开,增加安全系数。
2.动态口令卡、动态口令牌、手机动态口令。电子口令卡是指以矩阵形式印有若干字符串的卡片,每个字符串对应一个唯一的坐标。使用电子银行口令卡会存在卡片丢失或被窥视、拍照、复印等非技术风险;动态口令牌是一种内置电源、密码生成芯片和显示屏、根据专门的算法每隔一定时间自动更新动态口令的专用硬件。2011年1月以来,国内多省市发生以“E令卡网上银行升级”为名,通过手机短信和制作克隆网站实施诈骗的案件。手机动态口令是利用手机作为随机密码生成或者接受终端,用户在登录应用系统时候,输入手机上的生成或者接收到的密码不停变化的随机密码,但是手机的缺点是容易被监听,被犯罪分子截取密码。
3.证书用户。目前网上银行应用最普遍的基于PKI体系的数字签名产品是USBKEY,它是一种USB接口的硬件设备,内置国密安全芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥算法实现对用户身份的认证。第一代USBKEY产品解决了用户私有信息的传输安全问题,有效预防了基于钓鱼网站的诈骗事件的发生。但是在交换操作方面还存在隐患,当用户长时间插入USBKEY时,黑客可以通过木马截获PIN码,远程控制,冒用客户的USB Key进行身份认证,发生骗签事件。
二、网上银行身份认证方案及防范措施
1.认证方案。在现在的三种认证方案中,可以说没有哪一种是绝对的安全。在网银发展的初期,以市场推广为主要诉求,以方便性和高性价比来满足市场初期需要,对系统需求和身份认证机制的安全性放在第二位来考虑,因此首先出现的是基于静态密码的大众版网上银行。然而随着利用钓鱼网站进行诈骗事件的逐渐增多,国内众多商业银行的身份认证产品开始转向推广更加安全的USBKEY电子签名设备。但是随着骗签事件的增多,网上银行何去何从?借鉴国内最好的网上第三方支付“支付宝”的身份认证解决方案,本人认为在现阶段,网上银行应该使用USBKEY+手机短信检验码的认证方式,每一笔网上交易需要登录密码+支付密码+U盾+U盾密码+手机短信检验码完成,非常安全。在未来的网上银行身份认证发展中,可能会用到指纹液晶KEY方案,用指纹液晶KEY登陆网银是在KEY上进行指纹认证以代替从电脑键盘输入PIN码,并在KEY上显示交易信息,从物理上彻底杜绝黑客攻击的途径,从而有效防止网站钓鱼、远程挟持、信息篡改、骗签等安全隐患。
2.防范措施。银行应该增强服务意识,出现问题后,不要总是把问题都推到用户身上,应该多想想银行本身的问题,应该多做一些事情服务好用户。例如对于USB Key骗签事件,银行应该在用户进行每一笔网上交易中给予适当的提示,在需要插入USB Key时,弹出对话框提示用户插入,在完成交易后,马上弹出一个对话框,提示用户已经完成交易,请及时拔走USB Key,这样做相信骗签事件发生的机率会很低。目前广大网民对电子支付和网上银行市场的认知程度还很有限,银行在对用户进行网上银行安全的宣传、推广和教育上应承担相应责任。例如本人作为工商银行U盾客户已经有6年时间,在撰写本论文时查阅大量资料,发现原来工商银行早在2008年就已经提供USBKEY+手机动态检验码的认证方式,但是本人及周围对网上银行安全性要求较高的用户都不知情。首先应该选择一种安全的支付方式,宁愿多支付安全成本,保证资金安全,也不选择安全性不好的支付方式,同时应该增强网上支付安全意识,培养良好的网上支付习惯。
篇12
1 引言
随着校园网络建设的不断发展,越来越多的高校都在进行数字化校园的建设。利用先进的信息化手段和工具,实现从环境、资源到活动的数字化,学校各部门、院系陆续建设了各种业务应用系统,如教务管理、人事管理、学籍管理、科研管理等等。其中不乏很多基于Web提供公共服务的系统,由于这些系统相互独立,用户在使用每个应用系统之前都必须进行相应的系统身份认证,为此用户必须记住每一个系统的用户名和密码,这给用户带来诸多不便。特别是随着系统的增多,出错的可能性就会增加,用户信息受到非法截获和破坏的可能性也会增大,安全性就会相应降低。而且,用户每访问一个不同的应用系统,便需要重新登陆一次,严重影响了用户的体验同时不利于统一管理。
鉴于此,单点登录技术应运而生,它是一套身份认证机制,用来实施在多个独立的应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统,无需再次登录,避免了应用系统的重复开发和数据同步更新问题,便于系统之间的资源共享,促进网络的应用和发展。对所有应用系统的访问,都必须从一个单点进行登录认证。成功通过认证的用户可以访问到所有的Web应用系统,切换时不受限制,增强了用户体验;本文介绍了单点登录的认证机制,分析了单点登录的实现模式,最后结合实践实现了一套简单高效的单点登录系统。
2 SSO的认证机制
单点登录(Single Sign On),简称为SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。SSO体系结构如图1所示。
当用户第一次访问应用系统1的时候,因为还没有登录,会被引导到认证系统中进行登录;根据用户提供的登录信息,认证系统进行身份效验,如果通过效验,应该返回给用户一个认证的凭据――ticket;用户再访问别的应用的时候就会将这个ticket带上,作为自己认证的凭据,应用系统接受到请求之后会把ticket送到认证系统进行效验,检查ticket的合法性。如果通过效验,用户就可以在不用再次登录的情况下访问应用系统2和应用系统3了。
3 SSO现有技术
目前市场上出现了众多的SSO产品,例如Microsoft公司.net中的Passport, IBM WebSphere Portal Server, BEA的WebLogic,Netegrity SiteMinder,Oracle9 iAS Portal Server等。虽然每个SSO产品的实现机制都不尽相同,但这些产品的实现机制都遵循一种通用的模式。它由三个主要部分组成:入口检查单元、身份认证单元和用户凭证存储单元。
WebSphere通过Cookie记录认证信息,WebLogic则是通过Session共享认证信息。Cookie是一种客户端机制,它存储的内容主要包括:名字、值、过期时间、路径和域,路径与域结合在一起就构成了Cookie的作用范围,因此用Cookie方式可实现SSO,但域名必须相同; Session是一种服务器端机制,当客户端访问服务器时,服务器为客户端创建一个惟一的Session ID,以使在整个交互过程中始终保持状态,而交互的信息则可由应用自行指定,因此用Session方式实现SSO,不能在多个浏览器之间实现单点登录,但却可以跨域。
4 系统设计与实现
本文在研究SSO技术的基础上,采用登录时自动生成在所有系统的验证标志实现了一个简单高效的单点登录系统。目前我校在数字化校园建设的基础上实现了本科学分制系统、研究生信息管理系统、选课系统、工会会员管理系统、研究生信息管理系统、二级学院信息管理系统、学分制信息交流平台等一系列基于Web的信息系统,登录用户名都是采用校园一卡通的方式,用户登录不同系统每次都要输入用户名和密码信息进行验证,给用户造成不便。由于LDAP查询效率高,可以进行访问控制以及含有丰富的API与各种应用系统对接,安装管理维护也很简单,所以校园网的单点登录基于LDAP来实现。
实现方法为:将各个子系统的登录页面放置于框架页面中,在框架的页面隐藏其他子系统的登录页面,当点击“登录”时触发JS事件把当前的用户名/密码提交到其他子系统的登陆页面中。这样一次登录,其他所有系统也就登录了。框架页面如图2所示:
首先在系统入口输入用户名、密码进行登录,从客户端发送的认证请求通过统一身份认证接口到达LDAP服务器,LDAP服务器在目录信息树中查询是否为合法身份,进行身份认证和根据身份授予相应的权限,通过统一身份认证接口返回给客户端。成功登录后,可以直接单击相应子系统链接直接进入子系统,不需要再次输入登录信息,带来了更好的用户体验。
主要代码如下:
1) 系统入口端
if(!username.equals("")&&!pwd.equals("")){//表单输入不为空
Cert cert = new Cert();
UserLogin userLogin = new UserLogin();
userLogin.setUid(username);
userLogin.setPassword(pwd);
userInfo=cert.checkUserInfo("", 6002, 5000, "210.35.207.160", "portal", "210.35.207.160", userLogin, 0);//以上对客户端输入进行统一身份认证
if(userInfo!=null){//用户存在的话
getUid=userInfo.getUid();//得到一卡通号
session.setAttribute("username",getUid);//将用户名放入Session
session.setAttribute("pwd",pwd); //将密码放入Session
}}
研究生管理//单击触发JS事件将用户名密码提交到其他子系统中
function submit_to(url,target){
pageForm.action=url;
pageForm.target=target;
pageForm.submit();}
//提交表单的JS事件
2) 其他子系统端
String username=request.getParameter("username");
String pwd=request.getParameter("pwd");
loginform.username.value="";
loginform.password.value="";
loginform.submit();
5 结束语
本文在研究了单点登录技术及其实现模式的基础上,实现了一套简单高效的单点登录系统。使用户只进行一次登录认证,便能在所有应用系统之间自由穿行,而不需要进行多次身份认证,建立了一种更安全的登录方式,将多个系统独立的用户管理融合为统一用户管理。此方法几乎可以不要修改过多的代码,而且可以用于所有的多系统情况,可以跨平台,跨服务器。简单高效。缺点是登录完后,如果没有在各个子系统切换,那使用SESSION的子系统可能会发生超时现象。可以在其他子系统包含文件中用IFRAME的方式包含其他子系统的更新在线状态的页面来解决,也可考虑基于Cookie的方式,这个有待于进一步研究。
参考文献:
[1] 曾琴涛.基于Java平台的Web应用系统单点登陆方案研究与实现[D].中国地质大学硕士学位论文,2008
[2] 皮晓东.单点登录的研究与实现[J].计算机应用与软件,2007(6).
篇13
一、技术应用背景
目前国内大部分地区220KV和110KV变电站都已实现无人值班技术,进入了由集控中心统一监控阶段。一个集控中心一般监控7~10个变电站,变电站站内开关和刀闸操作都通过集控中心遥控操作。在运行监控特别是拉闸限电期间,集控中心的遥控操作非常频繁,夏季期间平均每天要通过遥控操作拉限电100多条次。在这些频繁操作中,目前集控中心监控系统采用“用户ID+密码”的方式进行用户身份认证和权限控制。每一步操作都需要输入操作人用户名、监护人用户名及相应密码,一方面这些步骤需要花费较多时间,使得调度指令执行不及时,且容易分散操作注意力;另一方面由于经常操作,密码比较简单,操作人员相互之间都知道,密码失去保密作用,容易发生操作人冒名监护人进行单人操作。这不但使集控中心监控系统存在安全隐患,更主要的是将对供电安全产生严重的安全威胁。为解决“用户ID+密码”认证方式所出现的弊端,故提出将指纹识别技术应用于集控中心监控系统,以实现用户对变电站设备进行控制前的身份认证。
二、指纹识别技术研究
每个人的指纹图案、断点和交叉点各不相同,呈现唯一性且终生不变。据此,我们就可以把一个人同他的指纹对应起来,通过他的指纹和预先保存的指纹数据进行比较,就可以验证他的真实身份,这就是指纹识别技术。指纹识别技术可称为人体密码,是模式识别领域中使用最早的,也是最为成熟的生物鉴定技术,它是集传感器技术、生物技术、电子技术、数字图像处理、模式识别于一体的高新技术。
(一)指纹识别方案设计
在用户登入电力监控系统前,首先集取集控中心操作人员指纹,本系统采用光电传感器作为指纹取像设备,并通过USB接口与监控系统服务器连接。指纹的图形及其他相关特征集取下来后传送至指纹采集程序中,经过运算及统计,在所采集图形中找出该指纹具有所谓“人人不同且终身不变的特性”的相关特征点,并将之数位化。其次在进行遥控操作时,当系统需要认证操作人用户身份时,可调用该指纹的数位化数据,并经运算、验证其与指纹数据库中的比对资料的相似程度,达到一定程度以上的统计相似度,即认为通过验证。然后通过同样的方法再验证监护人的指纹信息。只有操作用户和其监护人的指纹验证均通过,且不为同一人时,遥控操作程序才能继续执行。
(二)识别算法设计
在指纹识别过程中,我们把识别算法设计为3个步骤:图像预处、指纹特征提取和指纹比对。采集的指纹图像容易受到各种因素的影响而使图像质量变差,比如手指按压的方向和力度、皮肤的干湿程度、传感器的特征差异等。因此,指纹识别算法首先要对指纹图象进行预处理,以把有用的前景信息和背景区分开。在区分指纹的指纹区域和非指纹区域的指纹图像分割方法中,采用了基于块的指纹图像分割方法,这个算法将指纹图像分割成大小固定的小块,根据每一小块的特性确定该块是前景(指纹区)还是背景(非指纹区)。
经过研究分析,我们采用的识别算法为方差法进行图像分割。指纹图像的前景区域由指纹脊线和谷线组成,指纹脊线和谷线是黑白相间的纹理,因此方差比较大,而背景区域的灰度变化不大,因此方差比较小。基于这一特征,利用图像的局部方差对指纹图像进行分割,首先将指纹图像分成w*w的小块,计算每一块图像的平均灰度值,
aveg(k,l)=■,k=1,…,M;l=1,…,N;
其中g(i,j)是第(k,l)块中第i行第J列像素的灰度值。M,N是指纹图像行块数和列块数;再计算每一块图像的灰度方差:
var(k,l)=■,k=1,…,M;l=1,…,N;
对于每一块图像,当var(k,l)大于阂值T1时,将其设为前景,否则设为背景;最后用3*3邻域进行平滑,去除孤立图像块。然后采用基于块方向图计算的方向滤波;接着利用动态阀值法进行二值化处理,以把指纹灰度图像转化为仅用0、1表示的二值图像。对二值化后的二值图像进行细化可得到骨架图象。接下来的特征提取阶段采用模板匹配的方法获取细节特征点(端点、分叉点)的位置、方向和类型信息。最后特征匹配则采用基于细节特征点匹配的算法。其识别算法流程图如图1所示:
图1指纹识别算法流程
三、监控系统身份认证设计与实现
(一)数据库安全设计
通过两个方面实现数据库系统信息安全:一是数据库管理系统本身提供的用户名口令识别、使用权限控制、审计等管理措施;另一个就是靠应用程序设置的控制管理。作为数据库用户,最关心数据资料的安全,特别是用户权限问题。监控系统数据库安全管理主要分为以下几种:
1.用户权限。不同类型的用户授予不同的数据管理权限。一般将权限分为3类:数据库登陆权限、资源管理权限和数据库管理权限。
2.数据分类。同一类权限的用户,对数据库中数据管理和使用的范围是不同的。DBMS提供了将数据分类的功能,即建立视图,管理员把用户可查询的数据逻辑上归并起来,简称一个或多个视图,并赋予名称,再把该视图的查询权限授予该用户,也可以授予多个用户。这种数据分类可以进行得很细,其最小粒度是数据库二维表中一个交叉的元素。
3.审计功能。有两种方式,即用户审计和系统审计。用户审计时,DBMS的审计系统记下所有对自己表或视图进行访问的企图,包括成功的和不成功的,以及每次操作的用户名、时间、操作代码等信息。这些信息一般都被记录在数据字典(或叫系统表)里,利用这些信息用户可以进行审计分析。系统审计由系统管理员进行,其审计内容主要是系统一级命令和数据库客体的使用情况。
(二)身份认证方式设计
身份认证方式可设计为以下两类,认证方式可以是下面的任意一种,默认首选为指纹认证。
1.基于知识的方法来确定身份,如口令或PIN,这种身份认证方法的安全性仅仅基于用户口令或PIN的保密性。
2.基于他或她的独一无二的生理学的行为特征来确定身份即生物认证,如指纹认证。
(三)指纹识别身份认证的功能实现
1.需实现的功能。指纹识别功能与监控系统功能充分结合,利用监控系统数据库统一管理指纹信息,以实现以下功能:(1)能通过指纹识别出用户,并根据该用户所属的用户权限分配数据库操作权限;(2)指纹登记记录直接写入监控系统数据库,维护监控系统数据库时即可同时维护指纹库,不再需要单独维护指纹库;(3)所有监控系统的操作身份认证均可通过指纹认证,并详细记录操作日志;(4)读取操作人员指纹信息后与数据库中的建档信息进行比对,比对正确后再次读取监护人指纹信息,只有操作用户和其监护人的指纹验证均通过,且不为同一人时,遥控操作才能继续,从而确保控制操作安全。
2.指纹识别功能实现。基于集控中心ON2000系统开发的指纹采集接口程序利用C++语言在SDK集成开发境下开发。SDK软件包为软件开发提供了一个集成的设计开发环境,它有一个包括工程管理、源代码开发和基于JTAG调试功能的图形界面(GUI)。本数据库指纹身份认证系统实现以下功能:
(1)指纹图像获取。通过USB接口的指纹采集仪采集活体指纹图像。根据上面对指纹图像采集的分析,采用平面捺印指纹,以提高设别速度。采集的界面如图2所示:
图2指纹采集界面
(2)指纹保存。采集的指纹信息保存在监控系统的应用数据库中,做到了监控系统数据库统一管理和维护。同时将指纹图像进行了压缩,大容量的指纹数据库经过JPEG压缩后存储,以减少存储空间。数据库中的用户权限分配数据见表1:
表1用户权限分配数据表
(3)记录操作日志。集控中心监控系统数据库操作自动调用指纹身份认证程序,同时保留密码输入窗口,只有在指纹身份认证失败时,才可进入密码输入窗口。通过指纹身份认证进行的所有操作等同与通过密码身份认证的操作,并在监控系统应用数据库中记录详细的操作日志。操作日志记录所有用户的操作信息,对数据进行自动分类和自动检索。审计跟踪用户的活动,给管理员提供分析的依据。
(4)用户权限验证。根据指纹识别系统获取的用户信息,完成对运行人员的身份认证,确保在集控中心监控系统中操作人员为合法的运行值班人员,通过权限验证判断值班人员是否具备需要的权限,以及确保值班人员只能具备已经分配的功能权限。
四、结语该
该系统的实施有效防止单人违规操作、防止非授权人员进行恶意破坏操作,对电网安全运行提供技术保障,受到了用户的一致好评文章将指纹识别技术应用于集控中心监控系统,以实现用户对变电站设备进行控制前的身份认证。同时大大提高集控中心变电运行值班人员的工作效率,缩短遥控操作时间,特别在紧急限电时发挥了积极作用。
参考文献
[1]戴平阳.指纹识别技术研究进展[J].厦门大学学报(自然科学版),2002,41(6).
