序論:在您撰寫身份認(rèn)證技術(shù)論文時(shí)��,參考他人的優(yōu)秀作品可以開闊視野���,小編為您整理的7篇范文,希望這些建議能夠激發(fā)您的創(chuàng)作熱情�,引導(dǎo)您走向新的創(chuàng)作高度。
第1篇
關(guān)鍵詞:PKI�,身份認(rèn)證,WebServices�����,安全
0 引 言
隨著互聯(lián)網(wǎng)的不斷壯大�����,越來越多的企業(yè)將自身的應(yīng)用搬上網(wǎng)絡(luò)��,它們?yōu)槠髽I(yè)爭取了更多的客戶�,把握了更多的商機(jī),獲取了更多的利潤�����。然而由于現(xiàn)有的應(yīng)用系統(tǒng)開發(fā)模式及結(jié)構(gòu)存在很大差異,這就使得企業(yè)與企業(yè)之間��,企業(yè)內(nèi)部部門之間的交互和協(xié)作變得越來越復(fù)雜��。隨著Web Services[1]技術(shù)的發(fā)展和廣泛應(yīng)用�,其高效集成性、松散松散耦合性和實(shí)現(xiàn)簡單等特點(diǎn)使得互操作和集成問題從層次上被簡化���。
Web Services是一套標(biāo)準(zhǔn)協(xié)議����,它規(guī)定了應(yīng)用程序如何在Web上實(shí)現(xiàn)互操作性��,你可以使用任何一種編程語言�,在任何一種平臺(tái)上編寫 Web Services。現(xiàn)在普遍應(yīng)用的是通過HTTP請(qǐng)求發(fā)送SOAP[2] 消息�����,然后接收HTTP應(yīng)答中包含的消息�����。由于SOAP消息是通過HTTP方式進(jìn)行,所以其可以穿越大多數(shù)的防火墻���,進(jìn)行數(shù)據(jù)交換��。
對(duì)于SOAP消息的機(jī)密性和完整性�,普遍的做法是使用加密和簽名���,采用非對(duì)稱秘鑰理論�,通過加密來保障消息的機(jī)密性��,通過簽名來保障消息的完整性;對(duì)于完善的用戶身份認(rèn)證機(jī)制��,PKI[3]系統(tǒng)提供了有力的保障���,它能夠?yàn)橛脩纛C發(fā)公私鑰證書,通過公鑰來明確用戶的身份�,用戶在發(fā)送了簽名過的SOAP消息時(shí),己經(jīng)表明了自己的身份�����,也無法抵賴��,而且PKI系統(tǒng)與非對(duì)稱秘鑰理論完美的結(jié)合,通過私鑰來對(duì)消息進(jìn)行加密���,通過公鑰來對(duì)消息進(jìn)行簽名�。有效地保障Web Services的安全���。
1 WebServices的體系結(jié)構(gòu)
Web Services體系結(jié)構(gòu)是面向?qū)ο蠓治雠c設(shè)計(jì)的一種合理發(fā)展����,同時(shí)也是電子商務(wù)解決方案中��,面向體系結(jié)構(gòu)�、設(shè)計(jì)、實(shí)現(xiàn)與部署而采用的組件化的合理選擇�。這兩種方式在復(fù)雜的大型系統(tǒng)中經(jīng)受住了考驗(yàn)。和面向?qū)ο笙到y(tǒng)一樣����,封裝、消息傳遞����、動(dòng)態(tài)綁定、服務(wù)描述和查詢也是Web Services中的基本概念�����,而且, Web Services另外一個(gè)基本概念就是:所有東西都是服務(wù)��,這些服務(wù)一個(gè)API供網(wǎng)絡(luò)中的其他服務(wù)使用��,并且封裝了實(shí)現(xiàn)細(xì)節(jié)�。
Web Services的體系結(jié)構(gòu)是基于Web Services服務(wù)提供者、Web Services服務(wù)請(qǐng)求者����、Web Services服務(wù)注冊的不同操作來建立的。具體的Web Services體系結(jié)構(gòu)模型如圖1-1所示�����。
(1) Web服務(wù)提供者:Web服務(wù)的擁有者����,它為其它服務(wù)和用戶提供服務(wù)功能���,服務(wù)提供者在實(shí)現(xiàn)服務(wù)之后可以服務(wù)�����,并且響應(yīng)對(duì)于服務(wù)的調(diào)用請(qǐng)求����;
(2) Web服務(wù)請(qǐng)求者:Web服務(wù)的使用者,它可以利用服務(wù)注冊查找服務(wù)����;
(3) Web服務(wù)注冊:它的作用是將服務(wù)請(qǐng)求者與合適的服務(wù)提供者綁定在一起;
這三種不同的角色通過(publish )�、查找(find )、綁定( bind )三種操作提供完整的Web Services功能�。論文參考。Web Services是由服務(wù)描述所表達(dá)的接口�,其接口的實(shí)現(xiàn)即為服務(wù)。服務(wù)和服務(wù)描述是支持Web服務(wù)的基本工件�。服務(wù)在本質(zhì)上是軟件模塊,它由服務(wù)提供者提供�����,部署在網(wǎng)絡(luò)可訪問的平臺(tái)上�。[4]
圖1-1 Web Services體系結(jié)構(gòu)示意圖
2基于PKI的Web Services安全模型設(shè)計(jì)
2.1 整體框架圖
Web Services在異構(gòu)的分布式的環(huán)境下,對(duì)客戶的身份認(rèn)證就比較困難��,當(dāng)你去調(diào)用一個(gè)企業(yè)的Web Services時(shí)�����,這個(gè)企業(yè)Web Services可能又會(huì)去調(diào)用另一個(gè)企業(yè)Web Services如何在這種跨域的環(huán)境下實(shí)現(xiàn)Web Services的身份認(rèn)證,
PKI公鑰基礎(chǔ)設(shè)施能夠使計(jì)算機(jī)用戶在無需事先協(xié)商的情況下��,互相驗(yàn)證對(duì)方的身份[5]����,這對(duì)于Web Services下的身份認(rèn)證提供了解決方法。我們的Web Services身份認(rèn)證模型就是基于PKI完成的�����,如圖2-1所示�。客戶端和服務(wù)器端都通過PKI系統(tǒng)來獲取對(duì)方的公鑰證書����,通過PKI系統(tǒng)來檢驗(yàn)公鑰證書的有效性�����,并通過公鑰證書來驗(yàn)證對(duì)方的身份����。
圖2-1基于PKI的Web Services身份認(rèn)證模型
2.2系統(tǒng)設(shè)計(jì)
下面我們來具體介紹一下基于PKI的Web Services身份認(rèn)證模型的運(yùn)行流程��。首先�,我們做一些假設(shè):
符號(hào)C表示W(wǎng)eb Services的客戶端�;符號(hào)S表示W(wǎng)eb Services的服務(wù)器端;符號(hào)M表示明文的SOAP消息�;符號(hào)Dx(M)表示使用用戶x的私鑰對(duì)SOAP消息進(jìn)行簽名后的結(jié)果;符號(hào)Ex(M)表示使用用戶x的公鑰對(duì)SOAP消息進(jìn)行加密后的結(jié)果�����。我們的Web Services身份認(rèn)證流程是這樣的:首先��,我們的Web Services身份認(rèn)證模型捕獲客戶端的SOAP請(qǐng)求消息M;接著��,我們從PKI系統(tǒng)中獲取服務(wù)器端的公鑰Es��,并用服務(wù)器端的公鑰對(duì)SOAP消息進(jìn)行加密�,得到加密后的SOAP消息,Es(M);然后��,我們使用客戶端的私鑰Dc��,對(duì)SOAP消息進(jìn)行簽名�����,得到簽名后的SOAP消息,Dc(Es(M));最后��,我們將加密和簽名的SOAP消息發(fā)送到Internet上���。如圖2-2所示����。
圖2-2發(fā)送SOAP請(qǐng)求消息
而在服務(wù)器端�,我們的Web Services身份認(rèn)證模型接收到客戶短發(fā)送過來的加密、簽名過的SOAP消息�����。首先���,我們?nèi)KI系統(tǒng)獲取客戶端的公鑰Ec����,并用客戶端的公鑰對(duì)SOAP消息進(jìn)行簽名驗(yàn)證�����,確認(rèn)這個(gè)SOAP消息確實(shí)是這個(gè)客戶發(fā)送過來的�,并得到SOAP消息Ec(Dc(Es(M))) =Es(M);接著,我們使用服務(wù)器端的私鑰Ds��,對(duì)SOAP消息進(jìn)行解密�,得到明文SOAP消息Ds(Es(M))=M,最后�,我們把這個(gè)明文SOAP消息發(fā)送給Web Services服務(wù)器,由Web Services服務(wù)器進(jìn)行處理��。如圖2-3所示�����。同樣地��,如果需要的話���,我們可以對(duì)Web Services處理過的SOAP應(yīng)答消息做同樣地安全處理����。論文參考�。
圖2-3接收SOAP請(qǐng)求消息
3 結(jié)束語
隨著Web Services的廣泛使用,其明文傳輸消息的缺點(diǎn)制約了Web Services在企業(yè)級(jí)應(yīng)用中的發(fā)展����。論文參考���。作為企業(yè)應(yīng)用,必須保證的安全性有:消息的機(jī)密性�,完整性,身份認(rèn)證和權(quán)限控制���,企業(yè)級(jí)的Web Services應(yīng)用也必須要滿足以上四點(diǎn)安全保障�。而PKI是目前公認(rèn)的解決大規(guī)模����、分布式開放網(wǎng)絡(luò)環(huán)境下信息安全問題最可行、有效的方法, 利用PKI技術(shù)可以方便地建立和維護(hù)一個(gè)可信的網(wǎng)絡(luò)計(jì)算環(huán)境�,保證Web Services有效、安全地進(jìn)行����。
參考文獻(xiàn):
[1] 胡方霞,曾一���,高旻.Web Services 技術(shù)應(yīng)用與探討[J].計(jì)算機(jī)科學(xué),2007,43(3):75-77.
[2] Pullen M J, Bruntlon R.Using Web services to integrate heterogeneous simulations in a gridenvironment[J]. Future Generation Computer Systems, 2004(9):98一99.
[3] Stefanos GritzalisPublic key infrastructure research and applications[ J].International Journal of Information Security Archive, 2006,5(1):1-2
[4] Bret Hartman���,Donald J.Filnn.楊碩譯.全面掌握Web服務(wù)安全性.清華大學(xué)出版社.2004
[5J Zhang Mu, ZhangShunyi On the optin almulti-rate throughput formulticast withnetwork coding[J]. Journal of Electronics, 2006,23( 4): 584-589
第2篇
隨著網(wǎng)絡(luò)的不斷普及和電子商務(wù)的迅猛發(fā)展��,電子商務(wù)這種商務(wù)活動(dòng)新模式已經(jīng)逐漸改變了人們的經(jīng)濟(jì)活動(dòng)方式����、工作方式和生活本論文由整理提供方式�,越來越多的人們開始接受并喜愛網(wǎng)上購物����,可是,電子商務(wù)發(fā)展的瓶頸——安全問題依然是制約人們進(jìn)行電子商務(wù)交易的最大問題��,因此���,安全問題是電子商務(wù)的核心問題���,是實(shí)現(xiàn)和保證電子商務(wù)順利進(jìn)行的關(guān)鍵所在。校園電子商務(wù)是電子商務(wù)在校園環(huán)境下的具體應(yīng)用與實(shí)現(xiàn)���,其安全性也同樣是其發(fā)展所不容忽視的關(guān)鍵問題�����,因此應(yīng)當(dāng)著重研究��。
1校園電子商務(wù)概述
1.1校園電子商務(wù)的概念����。
校園電子商務(wù)是電子商務(wù)在校園這個(gè)特定環(huán)境下的具體應(yīng)用,它是指在校園范圍內(nèi)利用校園網(wǎng)絡(luò)基礎(chǔ)�����、計(jì)算機(jī)硬件�����、軟件和安全通信手段構(gòu)建的滿足于校本論文由整理提供園內(nèi)單位�、企業(yè)和個(gè)人進(jìn)行商務(wù)、工作�、學(xué)習(xí)、生活各方面活動(dòng)需要的一個(gè)高可用性��、伸縮性和安全性的計(jì)算機(jī)系統(tǒng)��。
1.2校園電子商務(wù)的特點(diǎn)��。
相對(duì)于一般電子商務(wù)�,校園電子商務(wù)具有客戶群本論文由整理提供穩(wěn)定、網(wǎng)絡(luò)環(huán)境優(yōu)良���、物流配送方便���、信用機(jī)制良好�、服務(wù)性大于盈利性等特點(diǎn)���,這些特點(diǎn)也是校園開展電子商務(wù)的優(yōu)勢所在。與傳統(tǒng)校園商務(wù)活動(dòng)相比�,校園電子商務(wù)的特點(diǎn)有:交易不受時(shí)間空間限制、快捷方便�、交易成本較低。
2校園電子商務(wù)的安全問題
2.1校園電子商務(wù)安全的內(nèi)容��。
校園電子商務(wù)安全內(nèi)容從整體上可分為兩大部分:校園網(wǎng)絡(luò)安全和校園支付交易安全�����。校園網(wǎng)絡(luò)安全內(nèi)容主要包括:計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全�����、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全��、數(shù)據(jù)庫安全等�����。校園支付交易安全的內(nèi)容涉及傳統(tǒng)校園商務(wù)活動(dòng)在校園網(wǎng)應(yīng)用時(shí)所產(chǎn)生的各種安全問題,如網(wǎng)上交易信息���、網(wǎng)上支付以及配送服務(wù)等��。
2.2校園電子商務(wù)安全威脅�。
校園電子商務(wù)安全威脅同樣來自網(wǎng)絡(luò)安全威脅與交易安全威脅��。然而���,網(wǎng)絡(luò)安全與交易安全并不是孤立的�����,而是密不可分且相輔相成的���,網(wǎng)絡(luò)安全是基礎(chǔ),是交易安全的保障����。校園網(wǎng)也是一個(gè)開放性的網(wǎng)絡(luò),它也面臨許許多多的安全威脅�����,比如:身份竊取、非本論文由整理提供授權(quán)訪問����、冒充合法用戶、數(shù)據(jù)竊取�����、破壞數(shù)據(jù)的完整性����、拒絕服務(wù)�、交易否認(rèn)、數(shù)據(jù)流分析���、旁路控制��、干擾系統(tǒng)正常運(yùn)行��、病毒與惡意攻擊�����、內(nèi)部人員的不規(guī)范使用和惡意破壞等��。校園網(wǎng)的開放性也使得基于它的交易活動(dòng)的安全性受到嚴(yán)重的威脅����,網(wǎng)上交易面臨的威脅可以歸納為:信息泄露、篡改信息���、假冒和交易抵賴�。信息泄露是非法用戶通過各種技術(shù)手段盜取或截獲交易信息致使信息的機(jī)密性遭到破壞����;篡改信息是非法用戶對(duì)交易信息插入、刪除或修改�����,破壞信息的完整性�;假冒是非法用戶冒充合法交易者以偽造交易信息;交易抵賴是交易雙方一方或否認(rèn)交易行為��,交易抵賴也是校園電子商務(wù)安全面臨的主要威脅之一����。
2.3校園電子商務(wù)安全的基本安全需求�����。
通過對(duì)校園電子商務(wù)安全威脅的分析�����,可以本論文由整理提供看出校園電子商務(wù)安全的基本要求是保證交易對(duì)象的身份真實(shí)性�、交易信息的保密性和完整性���、交易信息的有效性和交易信息的不可否認(rèn)性��。通過對(duì)校園電子商務(wù)系統(tǒng)的整體規(guī)劃可以提高其安全需求�。
3校園電子商務(wù)安全解決方案
3.1校園電子商務(wù)安全體系結(jié)構(gòu)���。
校園電子商務(wù)安全是一個(gè)復(fù)雜的系統(tǒng)工程,因此要從系統(tǒng)的角度對(duì)其進(jìn)行整體的規(guī)劃���。根據(jù)校園電子商務(wù)的安全需求��,通過對(duì)校園人文環(huán)境����、網(wǎng)絡(luò)環(huán)境、應(yīng)用系統(tǒng)及管理等各方面的統(tǒng)籌考慮和規(guī)劃���,再結(jié)合的電子商務(wù)的安全技術(shù)��,總結(jié)校園電子商務(wù)安全體系本論文由整理提供結(jié)構(gòu)���,如圖所示:
上述安全體系結(jié)構(gòu)中,人文環(huán)境層包括現(xiàn)有的電子商務(wù)法律法規(guī)以及校園電子商務(wù)特有的校園信息文化�����,它們綜合構(gòu)成了校園電子商務(wù)建設(shè)的大環(huán)境��;基礎(chǔ)設(shè)施層包括校園網(wǎng)���、虛擬專網(wǎng)VPN和認(rèn)證中心���;邏輯實(shí)體層包括校園一卡通、支付網(wǎng)關(guān)���、認(rèn)證服務(wù)器和本論文由整理提供交易服務(wù)器��;安全機(jī)制層包括加密技術(shù)�、認(rèn)證技術(shù)以及安全協(xié)議等電子商務(wù)安全機(jī)制;應(yīng)用系統(tǒng)層即校園電子商務(wù)平臺(tái)�����,包括網(wǎng)上交易���、支付和配送服務(wù)等���。
針對(duì)上述安全體系結(jié)構(gòu),具體的方案有:
(1)營造良好校園人文環(huán)境�����。加強(qiáng)大學(xué)生本論文由整理提供的道德教育���,培養(yǎng)校園電子商務(wù)參與者們的信息文化知識(shí)與素養(yǎng)��、增強(qiáng)高校師生的法律意識(shí)和道德觀念,共
同營造良好的校園電子商務(wù)人文環(huán)境��,防止人為惡意攻擊和破壞�。
(2)建立良好網(wǎng)上支付環(huán)境。目前我國高校大都建立了校園一卡通工程,校園電子商務(wù)系統(tǒng)可以采用一卡通或校園電子帳戶作為網(wǎng)上支付的載體而不需要與銀行等金融系統(tǒng)互聯(lián)�,由學(xué)校結(jié)算中心專門處理與金融機(jī)構(gòu)的業(yè)務(wù),可以大大提高校園網(wǎng)上支付的安全性�����。
(3)建立統(tǒng)一身份認(rèn)證系統(tǒng)��。建立校園統(tǒng)一身份認(rèn)證系統(tǒng)可以為校園電子商務(wù)系統(tǒng)提供安全認(rèn)證的功能��。
(4)組織物流配送團(tuán)隊(duì)����。校園師生居住地點(diǎn)相對(duì)集中,一般來說就在學(xué)校內(nèi)部或校園附近���,只需要很少的人員就可以解決物流配送問題���,而本論文由整理提供不需要委托第三方物流公司�,在校園內(nèi)建立一個(gè)物流配送團(tuán)隊(duì)就可以準(zhǔn)確及時(shí)的完成配送服務(wù)���。
3.2校園網(wǎng)絡(luò)安全對(duì)策�����。
保障校園網(wǎng)絡(luò)安全的主要措施有:
(1)防火墻技術(shù)��。利用防火墻技術(shù)來實(shí)現(xiàn)校園局域網(wǎng)的安全性���,以解決訪問控制問題�,使只有授權(quán)的校園合法用戶才能對(duì)校園網(wǎng)的資源進(jìn)行訪問本論文由整理提供�,防止來自外部互聯(lián)網(wǎng)對(duì)內(nèi)部網(wǎng)絡(luò)的破壞。
(2)病毒防治技術(shù)�。在任何網(wǎng)絡(luò)環(huán)境下,計(jì)算機(jī)病毒都具有不可估量的威脅性和破壞力���,校園網(wǎng)雖然是局域網(wǎng)��,可是免不了計(jì)算機(jī)病毒的威脅�,因此�����,加強(qiáng)病毒防治是保障校園網(wǎng)絡(luò)安全的重要環(huán)節(jié)���。
(3)VPN技術(shù)�����。目前�,我國高校大都已經(jīng)建立了校園一卡通工程����,如果能利用VPN技術(shù)建立校園一卡通專網(wǎng)就能大大提高校園信息安全、保證數(shù)據(jù)的本論文由整理提供安全傳輸�。有效保證了網(wǎng)絡(luò)的安全性和穩(wěn)定性且易于維護(hù)和改進(jìn)。
3.3交易信息安全對(duì)策��。
針對(duì)校園電子商務(wù)中交易信息安全問題�����,可以用電子商務(wù)的安全機(jī)制來解決���,例如數(shù)據(jù)加密技術(shù)����、認(rèn)證技術(shù)和安全協(xié)議技術(shù)等����。通過數(shù)據(jù)加密,可以保證信息的機(jī)密性��;通過采用數(shù)字摘要、數(shù)字簽名��、數(shù)字信封��、數(shù)字時(shí)間戳和數(shù)字證書等安全機(jī)制來解本論文由整理提供決信息的完整性和不可否認(rèn)性的問題��;通過安全協(xié)議方法�����,建立安全信息傳輸通道來保證電子商務(wù)交易過程和數(shù)據(jù)的安全��。
(1)數(shù)據(jù)加密技術(shù)�。加密技術(shù)是電子商務(wù)中最基本的信息安全防范措施,其原理是利用一定的加密算法來保證數(shù)據(jù)的機(jī)密���,主要有對(duì)稱加密和非對(duì)稱加密���。對(duì)稱加密是常規(guī)的以口令為基礎(chǔ)的技術(shù),加密運(yùn)算與解密運(yùn)算使用同樣的密鑰�。不對(duì)稱加密,即加密密鑰不同于解密密鑰����,加密密鑰公之于眾�,而解密密鑰不公開�����。
(2)認(rèn)證技術(shù)����。認(rèn)證技術(shù)是保證電子商務(wù)交易安全的一項(xiàng)重要技術(shù)�����,它是網(wǎng)上交易支付的前提�����,負(fù)責(zé)對(duì)交易各方的身份進(jìn)行確認(rèn)�。在校園電子商務(wù)本論文由整理提供中,網(wǎng)上交易認(rèn)證可以通過校園統(tǒng)一身份認(rèn)證系統(tǒng)(例如校園一卡通系統(tǒng))來進(jìn)行對(duì)交易各方的身份認(rèn)證�。
(3)安全協(xié)議技術(shù)。目前�,電子商務(wù)發(fā)展較成熟和實(shí)用的安全協(xié)議是SET和SSL協(xié)議。通過對(duì)SSL與SET兩種協(xié)議的比較和校園電子商務(wù)的需求分析���,校園電子商務(wù)更適合采用SSL協(xié)議�����。SSL位于傳輸層與應(yīng)用層之間��,能夠更好地封裝應(yīng)用層數(shù)據(jù)����,不用改變位于應(yīng)用層的應(yīng)用程序,對(duì)用戶是透明的��。而且SSL只需要通過一次“握手”過程就可以建立客戶與服務(wù)器之間的一條安全通信通道��,保證傳輸數(shù)據(jù)的安全���。
3.4基于一卡通的校園電子商務(wù)����。
目前��,我國高校校園網(wǎng)建設(shè)和校園一卡通工程建設(shè)逐步完善���,使用校園一卡通進(jìn)行校園電子商務(wù)的網(wǎng)上支付可以增強(qiáng)校園電子商務(wù)的支付安全����,可以避免或降低了使用銀行卡支付所出現(xiàn)的卡號(hào)被盜的風(fēng)險(xiǎn)等。同時(shí)�,使用校園一卡通作為校園電子支付載體的安全保障有:
(1)校園網(wǎng)是一個(gè)內(nèi)部網(wǎng)絡(luò),它自身已經(jīng)屏蔽了絕大多數(shù)來自公網(wǎng)的黑客攻擊及病毒入侵��,由于有防火墻及反病毒軟件等安全防范設(shè)施��,來自外部網(wǎng)絡(luò)人員的破壞可能性很小��。同時(shí)�����,校園一卡通中心有著良好的安全機(jī)制���,使得使用校園一卡通在校內(nèi)進(jìn)行網(wǎng)上支付被盜取賬號(hào)密碼等信息的可能性微乎其微。超級(jí)秘書網(wǎng)
(2)校園一卡通具有統(tǒng)一身份認(rèn)證系統(tǒng)��,能夠?qū)⑴c交易的各方進(jìn)行身份認(rèn)證�����,各方的交易活動(dòng)受到統(tǒng)一的審計(jì)和監(jiān)控���,統(tǒng)一身份認(rèn)證能夠保證網(wǎng)上工作環(huán)境的安全可靠���。校園網(wǎng)絡(luò)管理中對(duì)不同角色的用戶享有不同級(jí)別的授權(quán)����,使其網(wǎng)上活動(dòng)受到其身份的限制�,有效防止一些惡意事情的發(fā)生。同時(shí)���,由于校內(nèi)人員身份單一�,多為學(xué)生�����,交易中一旦發(fā)生糾紛����,身份容易確認(rèn),糾紛就容易解決�。
4結(jié)束語
開展校園電子商務(wù)是推進(jìn)校園信息化建設(shè)的重要內(nèi)容,隨著我國校園信息化建設(shè)的不斷深入�,目前已有許多高校開展了校園電子商務(wù),它極大的方便了校園內(nèi)師生員工的工作��、學(xué)習(xí)、生活����。可是與此同時(shí)���,安全問題成為制約校園電子商務(wù)發(fā)展的障礙��。因此���,如何建立一個(gè)安全、便捷的校園電子商務(wù)應(yīng)用環(huán)境�����,讓師生能夠方便可靠的進(jìn)行校園在線交易和網(wǎng)上支本論文由整理提供付�,是當(dāng)前校園電子商務(wù)發(fā)展要著重研究的關(guān)鍵問題�����。
第3篇
關(guān)鍵詞:校園網(wǎng) 規(guī)劃 信息化
中圖分類號(hào):TP393.18 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-9416(2016)12-0195-01
引言
在高校校園網(wǎng)建設(shè)中����,一個(gè)好的校園網(wǎng)絡(luò)接入身份系統(tǒng)是指能夠?yàn)閺V大師生提供安全���、便捷的接入服務(wù),主要表現(xiàn)三個(gè)方面:1)在具有多個(gè)校區(qū)的網(wǎng)絡(luò)環(huán)境中����,能夠提供可靠的身份認(rèn)證服務(wù);2)支持多種認(rèn)證方式�,如支持用戶漫游的分布認(rèn)證、單點(diǎn)登陸認(rèn)證等多種認(rèn)證方式��,用戶無論身處哪個(gè)校區(qū)�����,都可以一次接入認(rèn)證后即可訪問校內(nèi)多個(gè)業(yè)務(wù)系統(tǒng)����;3)具備大量的認(rèn)證用戶并發(fā)訪問認(rèn)證服務(wù)器時(shí)系統(tǒng)查以自動(dòng)調(diào)配內(nèi)存資源的能力(即具備良好的負(fù)載均衡能力。隨著我國高等職業(yè)院校的快速發(fā)展��,各高職院校不斷擴(kuò)大招生規(guī)模����,并啟動(dòng)新校區(qū)建設(shè)。各院校在統(tǒng)籌建設(shè)新��、老校區(qū)網(wǎng)絡(luò)建設(shè)時(shí),也都在研究安全���、可靠����、負(fù)載性能好的身份認(rèn)證系統(tǒng)�。本論文以某高職院校為例,設(shè)計(jì)了一個(gè)基于“三層架構(gòu)”的校園網(wǎng)身份認(rèn)證系統(tǒng)����,對(duì)高職院校開發(fā)校園網(wǎng)絡(luò)身份認(rèn)證系統(tǒng)具有一定的參考價(jià)值。
1 校園網(wǎng)身份認(rèn)證相關(guān)技術(shù)
1.1 Kerberosy認(rèn)證
Kerberosy認(rèn)證是在上世紀(jì)90年代伴隨萬維網(wǎng)的出現(xiàn)而誕生的經(jīng)典身份認(rèn)證技術(shù)�����。它提供了一種利用認(rèn)證服務(wù)器(AS)實(shí)現(xiàn)客戶端(Client)和服務(wù)器端(Server)相互J證的經(jīng)典思路�;為解決一次授權(quán)即實(shí)現(xiàn)多服務(wù)器登陸的問題��,Kerberosy認(rèn)證引入了票據(jù)授權(quán)服務(wù)(TGS - Ticket Granting Service)�����,省去了多次認(rèn)證的時(shí)空開銷��。因此,Kerberosy認(rèn)證包括認(rèn)證服務(wù)器(AS)��,客戶端(Client)和普通服務(wù)器(Server)�����、票據(jù)授權(quán)服務(wù)(TGS - Ticket Granting Service) 四個(gè)角色���。
1.2 LDAP:輕量級(jí)目錄訪問協(xié)議
輕量級(jí)目錄訪問協(xié)議 ����,是一種跨平臺(tái)的目錄服務(wù)技術(shù)����,位于TCP/IP協(xié)議的上層,提供標(biāo)準(zhǔn)的服務(wù)接口�����,因此具有平臺(tái)無關(guān)性�,采用樹狀模式存儲(chǔ)目錄信息,每一條目錄信息基于條目(Entry)�,條目在目錄全局中具有唯一的身份標(biāo)識(shí)并包含屬性信息(一般比較精短),方便快速檢索條目信息�����。由于身份認(rèn)證中傳遞的多數(shù)都為短文本(加密)信息,因此LDAP協(xié)議的特別適合身份認(rèn)證的需求�����,此特性使其在各種身份認(rèn)證技術(shù)中得到廣泛應(yīng)用����。
1.3 ICE中間件
Ice是Internet Communications Engine的簡稱,是一種面向?qū)ο蟮闹虚g件平臺(tái)����,支持面向?qū)ο蟮腞PC編程,其最初的目的是為了提供類似CORBA技術(shù)的強(qiáng)大功能�����,又能消除CORBA技術(shù)的復(fù)雜性���。該平臺(tái)為構(gòu)建面向?qū)ο蟮目蛻?服務(wù)器應(yīng)用提供了工具、API和庫支持�����。ICE平臺(tái)內(nèi)嵌負(fù)載均衡功能,對(duì)于分布大多個(gè)節(jié)點(diǎn)上的應(yīng)用服務(wù)提供多種負(fù)載均衡方案����,只需要通過XML配置文件即可完成負(fù)載均衡配置。配置項(xiàng)包括Type (負(fù)載均衡類型)�、Sampling interval(負(fù)載信息收集間隙)、Number of replicas(返回給客戶端的適配器個(gè)數(shù))�。
2 基于三層架構(gòu)的校園網(wǎng)身份認(rèn)證模型
2.1 統(tǒng)一身份認(rèn)證集成中存在的突出問題
目前,統(tǒng)一身份認(rèn)證主要有網(wǎng)關(guān)模型��、模型����、經(jīng)紀(jì)人模型等三種模型。網(wǎng)關(guān)模型中所有的應(yīng)用系統(tǒng)都放在認(rèn)證系統(tǒng)之后�,雖然提高了應(yīng)用系統(tǒng)的安全性,但也導(dǎo)致部分對(duì)用戶權(quán)限要求并不高的應(yīng)用系統(tǒng)不能很好地被用戶訪問����,比較典型的如各高校專門為學(xué)生下載視頻資源搭建的FTP應(yīng)用。因此網(wǎng)關(guān)模型對(duì)用戶訪問應(yīng)用系統(tǒng)資源具有一定的制約性��。模型是用戶通過服務(wù)器訪問不同的應(yīng)用系統(tǒng)�����,用戶的訪問權(quán)限由服務(wù)器控制,但用戶的登陸信息在本地存儲(chǔ)�,存在信息泄露的危險(xiǎn)。經(jīng)紀(jì)人模型不存在前兩種模型的缺點(diǎn)��,但需要生成電子身份標(biāo)識(shí)�,認(rèn)證開銷比較大,對(duì)認(rèn)證服務(wù)器性能要求較高�����。
2.2 “三層架構(gòu)”統(tǒng)一身份認(rèn)證模型的提出
本文結(jié)合某高職院校網(wǎng)絡(luò)實(shí)際�,提出了一種基于“應(yīng)用層、服務(wù)層��、數(shù)據(jù)層”的三層統(tǒng)一身份認(rèn)證模式��,該模式結(jié)合了LDAP����、Kerberosy認(rèn)證、ICE中間件三種身份認(rèn)證技術(shù)����。具體模型結(jié)構(gòu)如圖1所示。
應(yīng)用層主要是用戶(Client)端向應(yīng)用服務(wù)器(Service)發(fā)出訪問請(qǐng)求,應(yīng)用服務(wù)器在收到后���,將用戶身份信息,通過中間件認(rèn)證接口發(fā)送到認(rèn)證服務(wù)器層���,認(rèn)證服務(wù)層采用Kerberosy認(rèn)證�����,驗(yàn)證通過的用戶可獲得數(shù)據(jù)資源訪問授權(quán)�,通過LDAP技術(shù)�,實(shí)現(xiàn)用戶要訪問的數(shù)據(jù)資源目錄與LDAP目錄同步,減少用戶資源訪問等待時(shí)間�����。三層架構(gòu)的優(yōu)點(diǎn)顯而易見�����,將認(rèn)服服務(wù)器與應(yīng)用服務(wù)器分開�����,用戶不再直接訪問認(rèn)證服務(wù)器,減輕了認(rèn)證服務(wù)器的壓力����;LADP同步技術(shù)提高了數(shù)據(jù)訪問效率,提升了用戶體驗(yàn)�����;三層架構(gòu)更容易配置���。
3 結(jié)語
本文主要結(jié)合某高職院校校園網(wǎng)身份認(rèn)證的需求�����,介紹了統(tǒng)一身份身份認(rèn)證的相關(guān)技術(shù)����,提出了一種基于三層架構(gòu)的統(tǒng)一身份認(rèn)證技術(shù)����,包括應(yīng)用層、服務(wù)層�、數(shù)據(jù)層,具有邏輯結(jié)構(gòu)清晰��、訪問效率高、配置方便的明顯優(yōu)點(diǎn)��。通過在某高職院校校園網(wǎng)統(tǒng)統(tǒng)一身份認(rèn)證的應(yīng)用��,師生反映校園網(wǎng)登陸等待時(shí)間減少���,資源訪問更加高效,證實(shí)該方案對(duì)高職院校校園網(wǎng)統(tǒng)一身份證具有重要的參考意義��。
參考文獻(xiàn)
[1]周蘇�,王文.高職院校數(shù)字化校園的規(guī)劃及其網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)[J].信息化建設(shè),2015.
第4篇
論文摘要:隨著高校信息化建設(shè)的發(fā)展��,統(tǒng)一身份認(rèn)證平臺(tái)在數(shù)字化校園中發(fā)揮越來越重要的作用���,改變了高校信息系統(tǒng)各自為政�����、一個(gè)用戶N多個(gè)帳號(hào)或需要重復(fù)登錄的狀況����,實(shí)現(xiàn)單點(diǎn)登錄�,有限的提高了整個(gè)信息系統(tǒng)的安全性和用戶的工作效率����。而基于LDAP的統(tǒng)一身份認(rèn)證讓實(shí)際開發(fā)變的更加輕松���、可行性更高�����。
一��、目前高校信息化建設(shè)現(xiàn)狀
隨著信息技術(shù)的發(fā)展�,各個(gè)高校都高度重視信息化建設(shè)工作���,“數(shù)字校園”即是將信息技術(shù)運(yùn)用于教育改革過程形成的最新研究成果�����。在數(shù)字校園中�����,學(xué)校針對(duì)各種需求建設(shè)應(yīng)用系統(tǒng)��,力圖通過信息化來整合機(jī)構(gòu)內(nèi)的各種資源�����。但在實(shí)際信息化建設(shè)過程中���,由于前期缺少統(tǒng)一規(guī)劃����,并且高校系統(tǒng)軟件很少有做的很全或很專業(yè)的公司����,基本上是學(xué)校各個(gè)部門各自為政�,各自購買建設(shè)自己的信息系統(tǒng)。如教務(wù)處購買自己的教學(xué)管理系統(tǒng)�,學(xué)生處購買單獨(dú)的學(xué)生綜合管理系統(tǒng),圖書館有自己的借還書管理系統(tǒng)��。
在多系統(tǒng)并存的情況下��,校園網(wǎng)內(nèi)每個(gè)用戶擁有多個(gè)密碼��,用戶需要逐一登錄自己所要使用的應(yīng)用系統(tǒng)�����,這給用戶造成了很大的不便,安全性存在嚴(yán)重隱患����。同時(shí),用戶的信息分散存儲(chǔ)于各個(gè)應(yīng)用系統(tǒng)中���,這不僅為用戶的正常使用也為應(yīng)用系統(tǒng)的管理和維護(hù)增加了很大的麻煩���,工作效率重復(fù)低下。為了解決這些問題����,需要在多應(yīng)用系統(tǒng)并存的情況下,實(shí)現(xiàn)應(yīng)用系統(tǒng)間的用戶統(tǒng)一認(rèn)證和信息共享�。
二、統(tǒng)一身份認(rèn)證在高校信息化建設(shè)中的重要作用
網(wǎng)絡(luò)信息系統(tǒng)的統(tǒng)一認(rèn)證技術(shù)已經(jīng)相當(dāng)成熟��,從門戶網(wǎng)站(如新浪)到企業(yè)內(nèi)部網(wǎng)(如平安保險(xiǎn)公司)都對(duì)原有的系統(tǒng)進(jìn)行改造升級(jí)����,使得不同歷史時(shí)期購進(jìn)的信息系統(tǒng)能夠整合起來,進(jìn)行統(tǒng)一認(rèn)證�,降低了管理成本同時(shí)又提高了信息系統(tǒng)的安全性,對(duì)用戶來說也解決了多賬戶多密碼難于記憶的問題�����。
目前,各大高校也在整合自己的網(wǎng)上資源����,把各個(gè)獨(dú)立信息系統(tǒng)的認(rèn)證統(tǒng)一起來,實(shí)現(xiàn)統(tǒng)一身份認(rèn)證���,通過統(tǒng)一規(guī)劃整合認(rèn)證后的校園信息系統(tǒng)最大限度的減少用戶的帳號(hào)數(shù)���,簡化登錄過程,實(shí)現(xiàn)一次登錄多點(diǎn)使用�,實(shí)行統(tǒng)一管理��,方便用戶的同時(shí)也極大的提高了信息系統(tǒng)的安全性���。校園網(wǎng)內(nèi)用戶只要登錄一次就可以訪問其它的網(wǎng)絡(luò)資源�??梢哉f隨著高校信息化建設(shè)的發(fā)展,統(tǒng)一身份認(rèn)證是重中之重���,信息建設(shè)部門應(yīng)做好統(tǒng)一規(guī)劃����,后期的軟件開發(fā)應(yīng)用必須和統(tǒng)一身份認(rèn)證平臺(tái)對(duì)接。
三��、基于LDAP的統(tǒng)一身份認(rèn)證的建設(shè)與特點(diǎn)
統(tǒng)一身份認(rèn)證平臺(tái)的目的是要解決不同的應(yīng)用系統(tǒng)用戶名和口令不統(tǒng)一的問題���,通過提供統(tǒng)一的授權(quán)機(jī)制及一套方便�����、安全的口令認(rèn)證方法�,讓用戶只要一套用戶名和口令就可以使用校園網(wǎng)絡(luò)上有權(quán)使用的所有應(yīng)用系統(tǒng)��。保證用戶通過網(wǎng)絡(luò)單點(diǎn)登錄或手機(jī)登錄方式進(jìn)入系統(tǒng)���。目前使用最多的是采用目錄訪問進(jìn)行身份認(rèn)證�����,此技術(shù)基于LDAP(輕量型目錄訪問協(xié)議)��,具有高效的查詢速度���。利用LDAP 服務(wù)特性及WEB相關(guān)技術(shù)��, 實(shí)現(xiàn)了對(duì)數(shù)字校園中用戶及網(wǎng)絡(luò)應(yīng)用資源的統(tǒng)一開發(fā)管理��。
統(tǒng)一身份認(rèn)證平臺(tái)的開發(fā)功能如下:
1����、目錄服務(wù):目錄服務(wù)與現(xiàn)有系統(tǒng)集成在一起���,充當(dāng)一個(gè)集中化的身份信息庫����,用于將學(xué)生���、教師和其他人員的信息集中存儲(chǔ)�。
2�、統(tǒng)一認(rèn)證:認(rèn)證服務(wù)提供了平臺(tái)的核心基礎(chǔ)服務(wù)��,用于對(duì)學(xué)生�����、教師和其他人員的數(shù)字化身份的認(rèn)證。 3�、身份管理:提供基本的組、用戶�����、用戶屬性����、用戶類型、口令的維護(hù)功能
4��、管理控制臺(tái):承擔(dān)整個(gè)統(tǒng)一身份認(rèn)證平臺(tái)的身份數(shù)據(jù)管理�����、系統(tǒng)服務(wù)管理���、平臺(tái)運(yùn)行管理工作�����,是整個(gè)平臺(tái)的集中管理控制中心����。
基于目錄訪問協(xié)議的身份認(rèn)證基于Linux系統(tǒng)下OPenLDAP設(shè)計(jì),能夠批量導(dǎo)入加密后的用戶信息�����,打印明碼條發(fā)給用戶��。然后圍繞認(rèn)證數(shù)據(jù)庫進(jìn)行各種應(yīng)用程序設(shè)計(jì)���,包括:基于瀏覽器界面的統(tǒng)一認(rèn)證Web應(yīng)用程序����、基于窗口界面的登錄界面設(shè)計(jì)(用于桌面應(yīng)用軟件等)��、基于瀏覽器界面的統(tǒng)一認(rèn)證后臺(tái)管理Web應(yīng)用程序等等�。
基于目錄訪問協(xié)議的身份認(rèn)證優(yōu)點(diǎn)很多,主要有:采用開源解決方案����,不需另外購買商業(yè)軟件,可以在源碼的基礎(chǔ)上進(jìn)行二次開發(fā)�����,能夠最大程度減少IT信息建設(shè)投入��;采用OpenLDAP進(jìn)行系統(tǒng)認(rèn)證�����,一定程度上防止SQL注入攻擊�,有效保護(hù)后臺(tái)數(shù)據(jù)安全;LDAP具有很高的查詢速度����,保證認(rèn)證查詢速度;采用Linux作為認(rèn)證平臺(tái)��,安全�、穩(wěn)定。
四��、結(jié)束語
當(dāng)然��,統(tǒng)一身份認(rèn)證在實(shí)際的建設(shè)過程中可能會(huì)遇到各種難點(diǎn)�����,主要是接口問題�,如很多以前實(shí)施的應(yīng)用系統(tǒng)現(xiàn)在開發(fā)商都聯(lián)系不到(這種情況各個(gè)高校都有),整合到認(rèn)證系統(tǒng)中可能花的代價(jià)比重新開發(fā)或購買的成本還要高��。所以在后期規(guī)劃中,要求系統(tǒng)供應(yīng)商必須提供或開發(fā)和身份認(rèn)證平臺(tái)統(tǒng)一的接口�。
目前,經(jīng)過統(tǒng)一規(guī)劃和投資�����,身份認(rèn)證系統(tǒng)在蘇州大學(xué)已經(jīng)基本完成����,整合集成了教務(wù)、學(xué)工��、人事���、行政等各種信息服務(wù)���,是數(shù)字化校園的信息集中展示平臺(tái),也是校內(nèi)重要業(yè)務(wù)系統(tǒng)的統(tǒng)一入口�����。經(jīng)實(shí)際使用證明�����,它不僅提高了數(shù)字校園中各種應(yīng)用系統(tǒng)的安全性、可靠性���,也給用戶提供了極大的方便,同時(shí)方便了數(shù)字校園的用戶管理����,具有很好的社會(huì)效益和經(jīng)濟(jì)效益。
參考文獻(xiàn)
[1]openldap.org openldap官方網(wǎng)站
[2]宮恩輝�����,朱巧明����,李培峰,史鑫.LDAP和Kerberos在統(tǒng)一身份認(rèn)證中的應(yīng)用[J].蘇州大學(xué)學(xué)報(bào)(自然科學(xué)版).2006年02期
[3]張輝�,楊岳湘,汪詩林.數(shù)字校園中基于LDAP的統(tǒng)一用戶身份管理技術(shù)研究[J].計(jì)算機(jī)工程與科學(xué).2005年第27卷第1期
第5篇
關(guān)鍵詞:信息安全��;身份認(rèn)證�����;生物特征���;組合認(rèn)證��;解決方案�����;性能分析
中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2011) 16-0000-02
Authentication Technology Research Overview
Zhang Yao
(Harbin Normal University,Computer Science and Information Engineering College,Harbin150025,China)
Abstract:Authentication technology is capable of sending and receiving side of information technology to identify the true identity,is to identify,verify that the network information system in the legitimacy and authenticity of the user identity,according to mandate access to system resources,and shut out illegal visitors.This article discusses the field of information security authentication technology status and development trend,for further improving the work has a certain theoretical significance.
Keywords:Information security;Authentication;Biometrics;
Combination of certification;Solutions;Performance analysis
網(wǎng)絡(luò)認(rèn)證技術(shù)是網(wǎng)絡(luò)安全技術(shù)的重要組成部分之一����。認(rèn)證指的是證實(shí)被認(rèn)證對(duì)象是否屬實(shí)和是否有效的一個(gè)過程,常常被用于通信雙方互相確認(rèn)身份����,以保證通信的安全。認(rèn)證技術(shù)一般包括兩個(gè)方面的內(nèi)容�����,分別是身份認(rèn)證和信息認(rèn)證���。身份認(rèn)證主要是通過對(duì)用戶身份的鑒別來實(shí)現(xiàn)對(duì)用戶權(quán)限的識(shí)別��,限制低權(quán)限或者非法用戶的入侵�。信息認(rèn)證主要是用于驗(yàn)證信息是否完整�。本論文的研究主要偏重于對(duì)身份認(rèn)證技術(shù)及其分析��。主要側(cè)重以下幾個(gè)方面做分析�。
一���、身份認(rèn)證的方法分析
身份認(rèn)證主要是通過分析被認(rèn)證者的身份�����、權(quán)限等相關(guān)的信息。除了認(rèn)證者本人���,任何其他人都無法進(jìn)行仿造或者偽造身份�����。如果經(jīng)過認(rèn)證��,被認(rèn)證者擁有相關(guān)的權(quán)限和秘密�����,那么他就獲得了認(rèn)證��。身份認(rèn)證的主要依據(jù)就是被認(rèn)證方用于證明身份所用有的秘密����。每個(gè)被認(rèn)證者所擁有的身份認(rèn)證秘密不同。常見的身份認(rèn)證有兩種���,第一種是基于物理安全性的身份認(rèn)證方法����。第二種是基于秘密信息的身份認(rèn)證方法�。
(一) 基于物理安全的身份認(rèn)證方法
不同的身份認(rèn)證方法基于不同的理論,但這些認(rèn)證方法的共同點(diǎn)就是依據(jù)用戶知道的秘密信息��。和這種認(rèn)證方法相對(duì)照����,另外一種利用用戶的特殊信息或者硬件信息來進(jìn)行身份認(rèn)證的。比如說從生物學(xué)角度考慮����,利用聲音識(shí)別進(jìn)行身份驗(yàn)證,利用指紋進(jìn)行身份驗(yàn)證�����,利用人眼的虹膜進(jìn)行身份驗(yàn)證等。從硬件的角度考慮��,常用的認(rèn)證方法有通過智能卡來進(jìn)行驗(yàn)證�,只有認(rèn)證者擁有正確的卡,才可以被認(rèn)證�。當(dāng)然,這種方法也有優(yōu)缺點(diǎn)�,這種智能卡可以有效的阻止和避免人為亂猜口令導(dǎo)致的密碼被破解,但也存在著只認(rèn)卡不認(rèn)人的缺陷�,一旦智能卡因丟失被其他人撿到,則很容易被盜取身份�。為防止出現(xiàn)這種情況��,現(xiàn)在一般采用智能卡和口令結(jié)合的方式���,比如現(xiàn)在最常用的銀行卡就是這種�����。
(二)基于秘密信息的身份認(rèn)證方法
常見的有以下幾個(gè)方式:
1.通過進(jìn)行用戶口令認(rèn)證來核對(duì)身份信息��,在剛建立系統(tǒng)的時(shí)候�,系統(tǒng)已經(jīng)預(yù)先為具有合法權(quán)限的用戶設(shè)定了用戶口令和密碼�。當(dāng)用戶通過登錄界面登錄時(shí),登錄界面顯示用戶名和密碼輸入?����?蛻糨斎胗脩裘兔艽a以后�,系統(tǒng)會(huì)對(duì)輸入的賬戶和密碼與系統(tǒng)原有的密碼進(jìn)行核對(duì)如果完全一致,則認(rèn)為是合法用戶���,用戶身份得到認(rèn)證�����。否則�,就提示賬戶名或者密碼錯(cuò)誤��。用戶身份得不到認(rèn)證����。
2.單項(xiàng)認(rèn)證,所謂單項(xiàng)認(rèn)證��,就是進(jìn)行通信的雙方中��,只有一方需要進(jìn)行身份認(rèn)證���。上面所闡述的口令核對(duì)法本質(zhì)上也是一種單項(xiàng)認(rèn)證���。只是這種認(rèn)證方法還比較低級(jí)�����,沒有進(jìn)行相應(yīng)的密鑰分發(fā)操作���。常見的涉及到密鑰分發(fā)操作的認(rèn)證方案有兩類。分別是對(duì)稱密鑰加密方案和非對(duì)稱密鑰加密方案�。對(duì)稱密鑰加密方案是指依靠第三方來進(jìn)行認(rèn)證,第三方就是一個(gè)統(tǒng)一的密鑰分發(fā)中心�����。通信雙方的密鑰分發(fā)和身份認(rèn)證都要通過第三方來實(shí)現(xiàn)�。另一種沒有第三方參與的加密體制成為非對(duì)稱密鑰加密體制�����。
3.雙向認(rèn)證����。雙向認(rèn)證,是指需要通信雙方相互認(rèn)證才可以實(shí)現(xiàn)雙方通信,通信雙方必須相互鑒別彼此的身份����,并且經(jīng)雙方驗(yàn)證正確以后,才可以實(shí)現(xiàn)雙方的通信���。在雙向認(rèn)證中�,最典型的就是Needham/Schroeder協(xié)議���。
[1]Needham/Schroeder Protocol[1978]
AKDC:IDA||IDB||N1
KDCA:EKa[Ks||IDB||N1||EKb[Ks||IDA]]
AB:EKb[Ks||IDA]
BA:EKs[N2]
AB:EKs[f(N2)]
(其中f(N2)為N2的某一個(gè)函數(shù)�����,其他符號(hào)約定同上�����。)
4.身份的零知識(shí)證明通常在進(jìn)行身份認(rèn)證時(shí)����,需要進(jìn)行身份信息或者口令的傳輸���。要想不傳輸這些信息就可以進(jìn)行身份認(rèn)證���,就需要采用身份的零知識(shí)證明技術(shù)�。所謂零知識(shí)證明就是指在進(jìn)行用戶身份認(rèn)證時(shí)����,不需要傳輸相關(guān)的信息。這種認(rèn)證機(jī)制就是當(dāng)被認(rèn)證的甲方為了讓認(rèn)證方乙方確信自己的身份和權(quán)限但同時(shí)又不讓乙方得到自己的秘密信息而采用的一種機(jī)制�。這種認(rèn)證方法可以非常有效的防治第三方竊取信息。
二�����、身份認(rèn)證的應(yīng)用
(一)Kerberos認(rèn)證服務(wù)
Kerberos是一種基于Needham和Schroeder[1978]模型的第三方認(rèn)證服務(wù)Kerberos可信任的第三方就是Kerberos認(rèn)證服務(wù)器�����。它通過把網(wǎng)絡(luò)劃分成不同的安全區(qū)域�����,并且在每個(gè)區(qū)域設(shè)立自己的安全服務(wù)器來實(shí)現(xiàn)相應(yīng)的安全策略�。在這些區(qū)域的認(rèn)證具體實(shí)現(xiàn)過程如下:Kerberos通過向客戶和服務(wù)提供票和通信雙方的對(duì)話密鑰來證明自己的身份權(quán)限��。其中Kerberos認(rèn)證服務(wù)器負(fù)責(zé)簽發(fā)初始票��,也就是客戶第一次得到的票。其他票都是由發(fā)票服務(wù)器負(fù)責(zé)簽發(fā)��。同一個(gè)票可以在該票過期之前反復(fù)使用��。當(dāng)客戶需要讓服務(wù)方提供服務(wù)的時(shí)候��,不但要自己生成僅可以使用一次的證��,而且需要向服務(wù)方發(fā)送由發(fā)票服務(wù)器分發(fā)的����。這兩個(gè)需要同時(shí)發(fā)送。
(二)HTTP中的身份認(rèn)證
HTTP中的身份認(rèn)證現(xiàn)在主要由三個(gè)常用的版本��。分別是HTTP協(xié)議目前已經(jīng)有了三個(gè)版本HTTP0.9���、HTTP 1.0和HTTP 1.1�����,其中HTTP 0.9功能簡單����,主要用來實(shí)現(xiàn)最基本的請(qǐng)求協(xié)議和回答協(xié)議��。HTTP 1.0是目前應(yīng)用比較廣泛的一個(gè)版本,它的功能相對(duì)來說非常完善����。而且,通過Web服務(wù)器�����,就可以實(shí)現(xiàn)身份認(rèn)證來實(shí)現(xiàn)訪問和控制�。如果用戶向某個(gè)頁面發(fā)出請(qǐng)求或者運(yùn)行某個(gè)CGI程序時(shí),將會(huì)有訪問控制文件告訴用戶哪些可以訪問��,哪些不可以訪問����,訪問對(duì)象文件通常存在于訪問對(duì)象所在的目錄下面的。通過服務(wù)器讀取訪問控制文件�,從而獲得相應(yīng)的訪問控制信息。并且要求客戶通過輸入用戶名和口令進(jìn)行身份驗(yàn)證��。通過訪問控制文件��,Web服務(wù)器獲得相應(yīng)的控制信息�����,用戶根據(jù)要求輸入用戶名和口令����,如果經(jīng)過編碼并且驗(yàn)證以后,如果身份合法�,服務(wù)方才發(fā)送回所請(qǐng)求的頁面或執(zhí)行CGI程序。HTTP 1.1新增加的很多的報(bào)頭域����。如果進(jìn)行身份認(rèn)證,不是以明文的方式進(jìn)行傳遞口令��,而是把口令進(jìn)行散列變換�����,把口令轉(zhuǎn)化以后對(duì)它的摘要進(jìn)行傳送���。通過這種認(rèn)證機(jī)制����,可以避免攻擊者通過某種攻擊手段來獲取口令���。即使經(jīng)過多次攻擊���,也無法進(jìn)行破譯����。即使是這樣�,仍然不能保證摘要認(rèn)證的足夠安全。和普通的認(rèn)證方法一樣�,這種方法也可能受到中間者的攻擊。要想更進(jìn)一步確?��?诹畎踩?��,最好就是把HTTP的安全認(rèn)證方式與Kerberos服務(wù)方式充分結(jié)合起來。
(三)IP中的身份認(rèn)證
IP中的身份認(rèn)證IP協(xié)議出于網(wǎng)絡(luò)層��,因此不能獲取更高層的信息�����,IP中的身份認(rèn)證無法通過基于用戶的身份認(rèn)證來實(shí)現(xiàn)���。主要是通過用戶所在IP地址的身份認(rèn)證來實(shí)現(xiàn)����。IP層的認(rèn)證機(jī)構(gòu)既要確保信息在傳遞過程中的數(shù)據(jù)完整性,又要確保通過數(shù)據(jù)組抱頭傳遞的信息的安全性���。IPSec就是IP安全協(xié)議的簡稱,主要功能就是維護(hù)網(wǎng)絡(luò)層的安全和網(wǎng)絡(luò)成以下層的安全��。通常情況下��,它提供兩種安全機(jī)制��。第一種是認(rèn)證機(jī)制�,通過這種認(rèn)證機(jī)制,可以確保數(shù)據(jù)接收方能夠識(shí)別發(fā)送方的身份是否合法�����。而且還可以發(fā)現(xiàn)信息在傳輸過程中是否被惡意篡改�;第二種是加密機(jī)制,通過對(duì)傳輸數(shù)據(jù)進(jìn)行數(shù)據(jù)編碼來實(shí)現(xiàn)數(shù)據(jù)的加密機(jī)制����。從而可以保證在信息的傳遞過程中,不會(huì)被他人竊取�����。IPSec的認(rèn)證報(bào)頭(Authentication Header AH)協(xié)議定義了認(rèn)證的應(yīng)用方法,封裝安全負(fù)載(Encapsu-lating Security Payload����,ESP)協(xié)議定義了加密和可選認(rèn)證的應(yīng)用方法。應(yīng)用到具體的通信中去�����,需要根據(jù)實(shí)際情況選擇不同的加密機(jī)制和加密手段����。AH和ESP都可以提供認(rèn)證服務(wù),相比較而言�,AH提供的認(rèn)證服務(wù)要強(qiáng)于ESP。
三�、身份認(rèn)證技術(shù)討論
身份認(rèn)證技術(shù)討論,在前面幾部分內(nèi)容中����,對(duì)身份認(rèn)證技術(shù)進(jìn)行了理論分析和總結(jié),并對(duì)他們的原理���、機(jī)制和優(yōu)缺點(diǎn)進(jìn)行了比較��。這里將根據(jù)自己的理解�,深入考慮通過其他途徑來實(shí)現(xiàn)身份認(rèn)證。數(shù)字簽名首先要保證身份驗(yàn)證者信息的真實(shí)性���,就是要確保信息不能偽造�����,這種方法非常類似于身份認(rèn)證。身份認(rèn)證的主要目的是要確保被認(rèn)證者的身份和權(quán)限符合����。因此,這里考慮通過數(shù)字簽名來實(shí)現(xiàn)身份認(rèn)證���。這里的技術(shù)難點(diǎn)就是必須要預(yù)先進(jìn)行分發(fā)密鑰��。如果不能提前進(jìn)行密鑰分發(fā)����,就不可能實(shí)現(xiàn)數(shù)字簽名��。綜上可以看出��,身份認(rèn)證在整個(gè)安全要求中是首先要解決的技術(shù)問題。
參考文獻(xiàn):
[1]William Stallings,孟慶樹等.密碼編碼學(xué)與網(wǎng)絡(luò)安全――原理與實(shí)踐(第四版)[M].電子工業(yè)出版社,2006,11
[2]袁德明.計(jì)算機(jī)網(wǎng)絡(luò)安全[M].電子工業(yè)出版社,2007,6
[3]楊英鵬.計(jì)算機(jī)網(wǎng)絡(luò)原理與實(shí)踐[M].電子工業(yè)出版社,2007,9
[4]李忠獻(xiàn).認(rèn)證理論與技術(shù)的發(fā)展[J].電子學(xué)報(bào),1999
第6篇
關(guān)鍵詞:身份認(rèn)證�;UEB Key;PKI體系��;認(rèn)證設(shè)計(jì)
中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2008)23-930-02
Design Research of Authentication Client Based on USB Key under PKI System
ZHOU Hua-xiang
(Changsha Commerce & Tourism College, Changsha 410004, China)
Abstract: Due to universality and opening of the Internet�,there're many hidden troubles of information security in the network, so, identity authentication has becomed the necessary measure to ensure the security. This paper compared and analyzed the relative merits of common classes of identity authentication, and on the basis of analysis, the authentication principle and its characteristics, and the authentication processing were also discussed, and after that, the identifying technology of USB Key with PKI system was designed from software and hardware detaily. All these design work and theory analysis is significative for enhance the security of the identifying authentication.
Key words: Identity authentication; USB Key; PKI System; Technology design
1 引言
當(dāng)前,隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展�,利用因特網(wǎng)高科技手段進(jìn)行經(jīng)濟(jì)商業(yè)犯罪的現(xiàn)象已經(jīng)屢見不鮮了,因此���,如何采用更加安全的數(shù)據(jù)保護(hù)及加密技術(shù)�����,成為當(dāng)前計(jì)算機(jī)工作者的研究熱點(diǎn)與重點(diǎn)�。但是很多身份認(rèn)證技術(shù)由于本身算法的漏洞而不穩(wěn)定或可靠��,使得很多不法之徒有機(jī)可乘��。因此��,發(fā)展更加安全的數(shù)據(jù)加密算法和身份認(rèn)證技術(shù)��,是關(guān)系到社會(huì)經(jīng)濟(jì)穩(wěn)定繁榮發(fā)展的關(guān)鍵�����,如何采用與設(shè)計(jì)更加安全的身份認(rèn)證技術(shù)�,成為當(dāng)前計(jì)算機(jī)安全工作的重點(diǎn)���。
現(xiàn)今���,計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)中最常用到的身份認(rèn)證技術(shù)主要有以下幾種:1)用戶名密碼方式認(rèn)證�;2)IC卡認(rèn)證����;3)動(dòng)態(tài)口令認(rèn)證;4)生物特征認(rèn)證���。
上述幾種身份認(rèn)證方式����,或認(rèn)證方式過于簡單,或認(rèn)證成本過高,或使用方法繁瑣�����,在推廣應(yīng)用上都存在一定的限制因素��;USB Key認(rèn)證技術(shù)是一種方便���、安全、經(jīng)濟(jì)的身份認(rèn)證技術(shù)��,它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式�����,很好地解決了安全性與易用性之間的矛盾����。
2 相關(guān)原理概述
2.1 PKI體系概述
PKI(Public Key Infrastructure)是一個(gè)用公鑰密碼體制來實(shí)現(xiàn)并提供安全服務(wù)的具有通用性的安全基礎(chǔ)設(shè)施�����,具有可信任的權(quán)威認(rèn)證機(jī)構(gòu)CA�����,在公鑰加密技術(shù)基礎(chǔ)上實(shí)現(xiàn)證書的產(chǎn)生、管理、存檔��、發(fā)放以及證書作廢管理等功能,并包括實(shí)現(xiàn)這些功能的硬件、軟件、人力資源���、相關(guān)政策和操作規(guī)范以及為PKI 體系中的各成員提供全部的安全服務(wù)。如實(shí)現(xiàn)通信中各實(shí)體的身份認(rèn)證��、數(shù)據(jù)保密性�、數(shù)字完整性以及不可否認(rèn)等����。PKI必須具有認(rèn)證機(jī)構(gòu)CA、證書庫、密鑰備份及恢復(fù)系統(tǒng)�、證書作廢處理系統(tǒng)����、PKI 應(yīng)用接口系統(tǒng)等主要組成部分��。
2.2 USB Key認(rèn)證原理
每個(gè)USB Key硬件都具有用戶PIN碼��,以實(shí)現(xiàn)雙因子認(rèn)證功能�。USB Key內(nèi)置單向散列算法(MD5) ,預(yù)先在USB Key和服務(wù)器中存儲(chǔ)一個(gè)證明用戶身份的密鑰����,當(dāng)需要在網(wǎng)絡(luò)上驗(yàn)證用戶身份時(shí),先由客戶端向服務(wù)器發(fā)出一個(gè)驗(yàn)證請(qǐng)求�����。服務(wù)器接到此請(qǐng)求后生成一個(gè)隨機(jī)數(shù)并通過網(wǎng)絡(luò)傳輸給客戶端,客戶端將收到的隨機(jī)數(shù)提供給插在客戶端上的USB Key���,由USB Key使用該隨機(jī)數(shù)與存儲(chǔ)在USB Key中的密鑰進(jìn)行帶密鑰的單向散列運(yùn)算(HMACMD5)并得到一個(gè)結(jié)果作為認(rèn)證證據(jù)傳送給服務(wù)器����,與此同時(shí),服務(wù)器使用該隨機(jī)數(shù)與存儲(chǔ)在服務(wù)器數(shù)據(jù)庫中的該客戶密鑰進(jìn)行HMAC- MD5運(yùn)算��,如果服務(wù)器的運(yùn)算結(jié)果與客戶端傳回的響應(yīng)結(jié)果相同���,則認(rèn)為客戶端是一個(gè)合法用戶�。
3 基于PKI體系的USB Key認(rèn)證客戶端的設(shè)計(jì)
3.1 總體設(shè)計(jì)
本方案基于USB接口�����,采用高性能的智能卡進(jìn)行設(shè)計(jì)��,把智能卡固有的安全性能和USB總線的即插即用����、總線供電等優(yōu)點(diǎn)結(jié)合起來,集二者之所長�����,研制出一種攜帶方便的PKI客戶端設(shè)備��,集數(shù)據(jù)加密和數(shù)據(jù)存儲(chǔ)兩大功能為一體�,在硬件級(jí)安全的基礎(chǔ)上完成身份認(rèn)證�����、密鑰管理�����、證書存儲(chǔ)等功能����。其系統(tǒng)結(jié)構(gòu)框圖如圖1所示。
由圖1的結(jié)構(gòu)可以發(fā)現(xiàn)���,本論文研究的客戶端硬件模塊由智能卡和USB 讀卡器組成���,采用智能卡芯片作為私鑰安全管理的載體����,它包括私鑰的安全生成���、存儲(chǔ)和使用�。智能卡芯片中含有CPU ���,可以通過運(yùn)算來產(chǎn)生公私密鑰對(duì)���,而且還含有一定的存儲(chǔ)空間,可以存儲(chǔ)私鑰和其它用戶資料�。USB 讀卡器的主要功能是完成智能卡與主機(jī)的通信。
由于智能卡的存儲(chǔ)空間畢竟有限�����,對(duì)于需要進(jìn)行密碼運(yùn)算的大文件���,無法一次完全導(dǎo)入智能卡設(shè)備中����,為此,我們將一部分密碼運(yùn)算的功能放在主機(jī)端的軟件模塊��,以提高運(yùn)算速度���。
總體的設(shè)計(jì)思路是私鑰的密碼運(yùn)算必須在智能卡中進(jìn)行����,而將一部分有可能對(duì)大文件進(jìn)行的運(yùn)算放在主機(jī)上來完成��。這樣既保證了私鑰的生成�����、保存的高度安全性�����,又利用了主機(jī)容量大����、運(yùn)算快的優(yōu)勢�。
3.2 系統(tǒng)硬件設(shè)計(jì)
3.2.1 智能卡芯片的設(shè)計(jì)
智能卡芯片是USB KEY的核心�����,采用一個(gè)高性能的處理器芯片�����,除了含有一個(gè)MCU 外�����,還集成有專門進(jìn)行密碼算法的協(xié)處理器����,通過它可以提高密碼運(yùn)算的速度����。在軟件結(jié)構(gòu)上,我們內(nèi)置了一個(gè)卡內(nèi)操作系統(tǒng)(COS) 以管理智能卡的所有軟硬件資源���。COS 分為四個(gè)模塊:傳輸層模塊��、文件管理層模塊���、安全控制模塊和算法庫��。
從整個(gè)安全策略�、用戶的方便性�����、產(chǎn)品的創(chuàng)新性等幾點(diǎn)出發(fā)���,客戶端的智能卡芯片中需要實(shí)現(xiàn)簽名��、解密��、RSA 密鑰對(duì)的產(chǎn)生、私鑰的保存及證書的驗(yàn)證等主要功能��。
驗(yàn)證別人的證書�,需要通過信任錨來完成。信任錨就是根CA 的公鑰����。通過它,我們可以驗(yàn)證在一個(gè)PKI 系統(tǒng)中所有的證書��。由于主機(jī)的不安全性,如果將信任錨存儲(chǔ)在主機(jī)端����,很容易被黑客替換成一個(gè)假的信任錨,這樣用戶就無法驗(yàn)證別人證書的真?zhèn)?�。出于這樣的考慮����,我們將信任錨存儲(chǔ)在智能卡中,由于智能卡芯片的硬件特性��,駐留在里面的程序具有不可修改性�����,這樣就使數(shù)據(jù)(私鑰) 的保存和使用達(dá)到了硬件的安全級(jí)別����,大大提高了PKI 系統(tǒng)的安全。
3.2.2 USB芯片的設(shè)計(jì)
由于用戶需要通過駐留在主機(jī)上的用戶程序來使用存儲(chǔ)在智能卡中的私鑰����,為了使用的方便,我們將硬件模塊設(shè)計(jì)成一個(gè)目前流行的USB KEY模型�����,即通過USB 接口來實(shí)現(xiàn)主機(jī)軟件程序與智能卡的通訊。
USB 接口的設(shè)計(jì)由一個(gè)USB 芯片來實(shí)現(xiàn)�。它主要有兩個(gè)功能,一是通過USB 協(xié)議完成與主機(jī)的通信����;二是完成與智能卡的通訊。由于智能卡與外界的信息交換遵循ISO781623協(xié)議����,所以USB 芯片的CPU 必須模擬一個(gè)781623 協(xié)議來實(shí)現(xiàn)兩者的通訊。
考慮到用戶在使用客戶端時(shí)的不安全性����,如:在用戶使用完USB KEY時(shí),可能忘記將它從主機(jī)上拔下來����,這時(shí)如果遠(yuǎn)程黑客通過駐留主機(jī)的木馬程序獲得了用戶的PIN ���,就會(huì)在用戶無察覺的情況下�,利用USB KEY來對(duì)任意的文件進(jìn)行任意次的簽名���,從而對(duì)合法用戶造成很大損失��。為此���,我們在USB 芯片上設(shè)計(jì)了一個(gè)按鍵�����,每次USB 芯片檢測到簽名操作的命令�,便要求用戶手工按鍵�����,然后再將命令發(fā)送到智能卡里��,由智能卡完成簽名運(yùn)算�����。這樣合法用戶便可以控制簽名次數(shù)��,將風(fēng)險(xiǎn)降到最低水平�����。
3.2.3 時(shí)間芯片的設(shè)計(jì)
無論證書還是私鑰,都有一定的生存期��,過期后必須申請(qǐng)新的證書和私鑰����。要求PKI 用戶以手工操作的方式來定期更新自己的證書是不現(xiàn)實(shí)的,用戶往往忘記自己證書過期的時(shí)間�����,常在認(rèn)證失敗時(shí)才發(fā)現(xiàn)問題��。為此����,我們在USB 芯片上加載了一個(gè)時(shí)間芯片,用它來識(shí)別證書和私鑰過期的時(shí)間�。
3.3 系統(tǒng)軟件設(shè)計(jì)
系統(tǒng)的軟件設(shè)計(jì)采用Client/Server模式,一個(gè)標(biāo)準(zhǔn)的服務(wù)流程為:客戶機(jī)提出請(qǐng)求�,通過USB接口傳輸給USB接口控制器,USB接口控制器通過模擬7816協(xié)議來和智能卡進(jìn)行通信�,智能卡的片上操作系統(tǒng)COS收到該請(qǐng)求后,進(jìn)行命令解釋��,調(diào)度相應(yīng)的功能模塊進(jìn)行處理��,然后將運(yùn)算結(jié)果返回給USB接口控制器�����,最終傳遞給客戶機(jī)的應(yīng)用程序���,完成一次服務(wù)請(qǐng)求�����。
軟件程序的流程圖如圖2所示��。
4 結(jié)束語
USB認(rèn)證設(shè)備體積小巧�、功能強(qiáng)大�����、價(jià)格低廉���,可提供極高安全等級(jí)的認(rèn)證和加密功能�,有力地促進(jìn)了PKI系統(tǒng)的實(shí)施�,同時(shí),它也可廣泛應(yīng)用于要求個(gè)人身份認(rèn)證�、識(shí)別�����、數(shù)據(jù)加密��、安全存儲(chǔ)等領(lǐng)域����,應(yīng)用前景廣泛��。目前�,對(duì)于身份認(rèn)證技術(shù)的研究方興未艾,很多新的認(rèn)證方式與認(rèn)證技術(shù)正在出現(xiàn)����,為人們的數(shù)據(jù)安全提供更加可靠的安全認(rèn)證與保護(hù)。
展望將來����,除了對(duì)基于PKI體系的USB Key認(rèn)證方式繼續(xù)探討新的數(shù)據(jù)加密算法外,其他新的認(rèn)證模式也正在興起���,如基于生物特征的生物認(rèn)證技術(shù)��,以及目前處于研究熱潮的基于線上手寫簽名的身份認(rèn)證技術(shù)�,這些都將是安全性極高的認(rèn)證手段。
參考文獻(xiàn):
[1] 胡道元,閔京華.網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社,2004.
[2] 蔡金清,萬振凱.統(tǒng)一口令網(wǎng)絡(luò)認(rèn)證系統(tǒng)的分析與實(shí)現(xiàn)[J].天津:工業(yè)大學(xué)學(xué)報(bào),2004,23(3):74-76.
[3] 關(guān)振勝.公鑰基礎(chǔ)設(shè)施PKI與認(rèn)證機(jī)構(gòu)CA[M].北京:電子工業(yè)出版社,2002.
第7篇
【Abstract】With the rapid development of information technology�, colleges expect the verification of candidate information can be more reliable�����, scientific and unified.. However�,the lack of human resource, low information verification efficiency and instead of someone else in examination frequency�����, make the examination process is difficult to realize optimization. To overcome these drawbacks���, the article takes the two-dimensional code as the information transmission interface���, analyzes and designs the network architecture, logical structure and physical deployment of dimensional code authentication platform��, provides a useful and practical reference for college to realize authentication informatization .
【P鍵詞】二維碼��;高校���;身份認(rèn)證
【Keywords】two-dimensional code ���; university�����; identity authentication
【中圖分類號(hào)】C39 【文獻(xiàn)標(biāo)志碼】A 【文章編號(hào)】1673-1069(2017)04-0166-03
1 引言
高校作為人才的培養(yǎng)基地�,一直以來都扮演著科教興國的重要角色�����,考試制度也順理成章的成為了檢閱人才的必備標(biāo)桿�。然而,社會(huì)上的不誠信現(xiàn)象屢見不鮮����,加之社會(huì)信用體系不完善,客觀上助長了不誠信風(fēng)氣�����。大學(xué)生作弊現(xiàn)象����,代考現(xiàn)象日益加劇,使得考試成績的真實(shí)性每況愈下,經(jīng)調(diào)查���,
60. 4%的大學(xué)生想過考試作弊�����,39. 1% 的大學(xué)生自述曾有過作弊經(jīng)歷���。這種弄虛作假的行為嚴(yán)重威脅著國家政策的施行��,也使得高校教育策略岌岌可危�����。為糾正各類教育考試中考生代考��、作弊等行為�����,進(jìn)一步加強(qiáng)考試環(huán)境的綜合治理�����,我們引入二維碼技術(shù)來進(jìn)行考生身份認(rèn)證。通過掃描二維碼將考生最新信息呈現(xiàn)給監(jiān)考教師�,防止了考生準(zhǔn)考證信息因磨損失真、不完全����、容易被篡改等現(xiàn)象而引起代考行為的發(fā)生,保證了信息的統(tǒng)一化��、可靠化�����、科學(xué)化管理����,實(shí)現(xiàn)了考生信息的動(dòng)態(tài)更新。系統(tǒng)采用各種最新技術(shù)來提高用戶體驗(yàn)�����,保證信息的安全性�,一定程度上實(shí)現(xiàn)了功能和體驗(yàn)的雙贏[1]。
2 二維碼技術(shù)的發(fā)展
二維碼是20世紀(jì)90年代興起的一種新技術(shù)��,它是以某種特定的幾何圖形按一定規(guī)律在平面上分布組成黑白相間的圖形來記錄數(shù)據(jù)符號(hào)信息的技術(shù)�。和一維碼相比較��,二維碼不但具有存儲(chǔ)容量大���、信息密度大(在一個(gè)不大的圖形內(nèi)可存儲(chǔ)數(shù)字、英文�、漢字、指紋����、聲音和圖片等信息)、 采集速度快����、制作成本低����、糾錯(cuò)能力強(qiáng)、安全性高等特點(diǎn)���,還成功彌補(bǔ)了一維碼只能包含字母與數(shù)字的缺陷�。它可以從水平軸X軸和縱軸Y軸即橫向和垂直兩個(gè)方向?qū)π畔⑦M(jìn)行存儲(chǔ)和處理����,這樣既提高了條碼信息存儲(chǔ)量又加速了信息的處理速度等優(yōu)點(diǎn)���,也正是這些優(yōu)勢使得它廣泛流行于各國各行業(yè)中。
我國對(duì)二維碼技術(shù)的研究開始于1993年�����,截至目前��,條碼標(biāo)準(zhǔn)體系還尚顯單薄�����,具有自主知識(shí)產(chǎn)權(quán)和核心研發(fā)技術(shù)體系還很少��,二維碼的推廣和發(fā)展受到了一定阻礙�����。但是隨著我國通信網(wǎng)絡(luò)的升級(jí)�����、智能手機(jī)的普及和民眾意識(shí)的轉(zhuǎn)變�,二維碼的應(yīng)用前景也漸漸明朗起來,在消化國外先進(jìn)技術(shù)文化的基礎(chǔ)上�,制定了一系列二維碼標(biāo)準(zhǔn):如GB/T17172-1997《四一七條碼》�����,GB/T18284-2000《快速響應(yīng)矩陣碼》�,《二維碼網(wǎng)格矩陣碼(GM)》����,《二維碼緊密矩陣碼(CM)》等,并已在我國的汽車行業(yè)自動(dòng)化生產(chǎn)線�����、醫(yī)療急救服務(wù)卡�����、涉外專利案件收費(fèi)�����、珠寶玉石飾品管理及銀行匯票上得到了應(yīng)用���。國內(nèi)多家IT企業(yè)如阿里巴巴、騰訊�����、百度、新浪等對(duì)二維碼的試水�����,以及中國電信��、中國聯(lián)通����、中國移動(dòng)等電信巨頭在二維碼手機(jī)應(yīng)用領(lǐng)域的介入都充分顯示了二維碼應(yīng)用在我國強(qiáng)勁的發(fā)展勢頭,我國也在不斷投入資源��,鼓勵(lì)摸索前進(jìn)����,積極研究和開辟新的應(yīng)用和領(lǐng)域。
通過文獻(xiàn)梳理和調(diào)查國內(nèi)外關(guān)于二維碼技術(shù)的應(yīng)用���,我們發(fā)現(xiàn)高校對(duì)二維碼技術(shù)的應(yīng)用仍處于啟蒙階段���,同時(shí),師生證件繁多��、不易保管、信息不完整���、易損壞�、易仿制�、丟失使得信息的傳遞存在極大的風(fēng)險(xiǎn)。鑒于二維碼的特點(diǎn)和應(yīng)用�����,廣大師生已在日常生活中對(duì)其有了初步了解����。開發(fā)基于二維碼技術(shù)的高校考生身份認(rèn)證系統(tǒng)����,生成包含高校師生身份認(rèn)證名片,能夠在極大程度上推動(dòng)高校信息化發(fā)展�����,確保信息的完整����、真實(shí)、易用����,做到誠信考試,有效規(guī)避代考作弊等行為[2]���。
