身份认证技术论文精品(七篇)
时间:2023-03-23 15:14:15
序论:写作是一种深度的自我表达。它要求我们深入探索自己的思想和情感,挖掘那些隐藏在内心深处的真相,好投稿为您带来了七篇身份认证技术论文范文,愿它们成为您写作过程中的灵感催化剂,助力您的创作。
篇(1)
关键词:校园网 规划 信息化
中图分类号:TP393.18 文献标识码:A 文章编号:1007-9416(2016)12-0195-01
引言
在高校校园网建设中,一个好的校园网络接入身份系统是指能够为广大师生提供安全、便捷的接入服务,主要表现三个方面:1)在具有多个校区的网络环境中,能够提供可靠的身份认证服务;2)支持多种认证方式,如支持用户漫游的分布认证、单点登陆认证等多种认证方式,用户无论身处哪个校区,都可以一次接入认证后即可访问校内多个业务系统;3)具备大量的认证用户并发访问认证服务器时系统查以自动调配内存资源的能力(即具备良好的负载均衡能力。随着我国高等职业院校的快速发展,各高职院校不断扩大招生规模,并启动新校区建设。各院校在统筹建设新、老校区网络建设时,也都在研究安全、可靠、负载性能好的身份认证系统。本论文以某高职院校为例,设计了一个基于“三层架构”的校园网身份认证系统,对高职院校开发校园网络身份认证系统具有一定的参考价值。
1 校园网身份认证相关技术
1.1 Kerberosy认证
Kerberosy认证是在上世纪90年代伴随万维网的出现而诞生的经典身份认证技术。它提供了一种利用认证服务器(AS)实现客户端(Client)和服务器端(Server)相互J证的经典思路;为解决一次授权即实现多服务器登陆的问题,Kerberosy认证引入了票据授权服务(TGS - Ticket Granting Service),省去了多次认证的时空开销。因此,Kerberosy认证包括认证服务器(AS),客户端(Client)和普通服务器(Server)、票据授权服务(TGS - Ticket Granting Service) 四个角色。
1.2 LDAP:轻量级目录访问协议
轻量级目录访问协议 ,是一种跨平台的目录服务技术,位于TCP/IP协议的上层,提供标准的服务接口,因此具有平台无关性,采用树状模式存储目录信息,每一条目录信息基于条目(Entry),条目在目录全局中具有唯一的身份标识并包含属性信息(一般比较精短),方便快速检索条目信息。由于身份认证中传递的多数都为短文本(加密)信息,因此LDAP协议的特别适合身份认证的需求,此特性使其在各种身份认证技术中得到广泛应用。
1.3 ICE中间件
Ice是Internet Communications Engine的简称,是一种面向对象的中间件平台,支持面向对象的RPC编程,其最初的目的是为了提供类似CORBA技术的强大功能,又能消除CORBA技术的复杂性。该平台为构建面向对象的客户-服务器应用提供了工具、API和库支持。ICE平台内嵌负载均衡功能,对于分布大多个节点上的应用服务提供多种负载均衡方案,只需要通过XML配置文件即可完成负载均衡配置。配置项包括Type (负载均衡类型)、Sampling interval(负载信息收集间隙)、Number of replicas(返回给客户端的适配器个数)。
2 基于三层架构的校园网身份认证模型
2.1 统一身份认证集成中存在的突出问题
目前,统一身份认证主要有网关模型、模型、经纪人模型等三种模型。网关模型中所有的应用系统都放在认证系统之后,虽然提高了应用系统的安全性,但也导致部分对用户权限要求并不高的应用系统不能很好地被用户访问,比较典型的如各高校专门为学生下载视频资源搭建的FTP应用。因此网关模型对用户访问应用系统资源具有一定的制约性。模型是用户通过服务器访问不同的应用系统,用户的访问权限由服务器控制,但用户的登陆信息在本地存储,存在信息泄露的危险。经纪人模型不存在前两种模型的缺点,但需要生成电子身份标识,认证开销比较大,对认证服务器性能要求较高。
2.2 “三层架构”统一身份认证模型的提出
本文结合某高职院校网络实际,提出了一种基于“应用层、服务层、数据层”的三层统一身份认证模式,该模式结合了LDAP、Kerberosy认证、ICE中间件三种身份认证技术。具体模型结构如图1所示。
应用层主要是用户(Client)端向应用服务器(Service)发出访问请求,应用服务器在收到后,将用户身份信息,通过中间件认证接口发送到认证服务器层,认证服务层采用Kerberosy认证,验证通过的用户可获得数据资源访问授权,通过LDAP技术,实现用户要访问的数据资源目录与LDAP目录同步,减少用户资源访问等待时间。三层架构的优点显而易见,将认服服务器与应用服务器分开,用户不再直接访问认证服务器,减轻了认证服务器的压力;LADP同步技术提高了数据访问效率,提升了用户体验;三层架构更容易配置。
3 结语
本文主要结合某高职院校校园网身份认证的需求,介绍了统一身份身份认证的相关技术,提出了一种基于三层架构的统一身份认证技术,包括应用层、服务层、数据层,具有逻辑结构清晰、访问效率高、配置方便的明显优点。通过在某高职院校校园网统统一身份认证的应用,师生反映校园网登陆等待时间减少,资源访问更加高效,证实该方案对高职院校校园网统一身份证具有重要的参考意义。
参考文献
[1]周苏,王文.高职院校数字化校园的规划及其网络系统的设计[J].信息化建设,2015.
篇(2)
关 键 词:密码体制;RSA算法;身份认证;公钥
1、RSA加密算法及身份认证
目前网络通信主要提供五种安全服务,即身份认证服务、访问控制服务、机密、完整和抗否认。其中,身份认证作为安全应用系统的第一道防线,是最重要的安全服务,所有其它的安全服务都依赖于该服务,它的失败可能导致整个系统的失败。
网络应用系统中通信双方的身份认证问题,传统的做法是采用用户名加口令来验证登录用户的身份,但是由于口令在使用过程中很容易被窃取、暴力攻击和猜测,存在较大的安全隐患;另外这种认证方式只能完成单方面的身份认证,即只能解决服务器验证客户端身份的问题,无法解决客户端验证服务器身份的问题,因此不能完全满足互联网业务应用的需要。公钥加密算法的安全性主要是基于复杂的数学难题。目前比较流行的主要有两类[2]:一类是基于大整数因子分解系统,以RSA为典型代表,它是目前被研究和应用得最为广泛的公钥算法,经过长年的攻击考验,该算法已被普遍认为是目前最优秀的公钥方案之一。
2、RSA工作原理[1]如下:
(1)任意选取两个不同的大质数p和q,计算乘积r=p*q;
(2)任意选取一个大整数e,e与(p-1)*(q-1)互质,整数e用做加密密钥。注意e的选取是很容易的,例如所有大于p和q的质数都可用.;
(3)确定解密密钥d,由d*e=1 mod((p-1)*(q-1)),根据e,p和q可以容易地计算出d;
(4)公开整数r和e,但是不公开d;
(5)将明文P(假设P是一个小于r的整数)加密为密文C,计算方法为C=Pe mod r;
(6)将密文C解密为明文P,计算方法为P=cd mod r;
然而,只根据r和e(不是p和q)要计算出d是不可能的,因此,任何人都可对明文进行加密,但只有授权用户(知道d)才可对密文解密。为了保证RSA的有效性,通常找两个非常的大质数p和q。
3、基于RSA双身份认证方案的设计
为了实现信息的网络化管理,系统采用VC.NET结合SQL Server2000数据库的解决方案,即将用户数字证书等有关信息存放在SQL Server数据库中。Windows2000中包括一个完整的PKI系统,文献[3]给出了具体的设计及部署的过程。
3.1方案体系结构
系统采用B/S/D(Browser/Server)三层体系结构,即表示层(Browser)、功能层(Web Service)和数据服务层(DataBase Service);VC.NET通过ADO.NET访问数据库。对数据库的访问在Web服务器端完成,客户端通过浏览器访问Web服务器并运行其程序。
3.2 方案的实现过程
3.2.1建立数字证书
选取两个大素数p和q,并且两数的长度相等,以获取最大程度的安全性。计算两数的乘积n=p*q;随机选取加密密钥d,为满足ed=1 mod(p-1)(q-1),则d=e-1 mod((p-1)(q-1)),d和n也互素;e是公钥,d是私钥,n是公开的。两个素数p和q不再需要,可以被舍弃,但决不能泄露。假设生成了用户A的密钥对(eA,dA)和用户B的密钥对(eB,dB)。
用户将私钥d秘密保存,公钥e交给一个管理仲裁机构认证中心,获得自己的数字证书,然后将数字证书保存在自己的机器上,同时认证中心将合法用户的数字证书保存在数据库中,以便用户查询。用户当与网络上某个用户通信需要进行身份认证时,将自己的数字证书发送给通信的对方。对方收到数字证书后,首先通过认证中心验证其合法性。如果是合法的,就可以从证书中获得需要的用户公钥,然后利用该公钥验证对方的身份;如果不合法,就可以终止通信。
3.2.2进行身份认证
第一步:用户A对用户B的认证
第二步:用户B对用户A的认证
A与B相互认证过程如图1所示:
图1
3.3方案的实验
3.3.1运行环境:硬件与网络环境:服务器能运行Windows XP、Windows NT4.0+Service Pack6及以上操作系统,建议使用586或以上的计算机。
系统软件:操作系统Windows 2000、XP及以上版本,SQL Server2000。
运行环境:Microsoft Visual C++6.0,浏览器使用IE5.5及以上版本。
3.3.2代码实现:在认证过程使用的加密和解密算法相同,已利用VisualC++6.0实现,另外签名和验证的算法也和加密算法相同,只是每次利用的秘钥不同,这也是利用RSA算法进行认证的优势。
4、结 论
RSA算法自公布以来经过20多年的发展和考验,除了其速度稍慢之外至今尚未找到其它的缺陷,因此RSA算法的应用越来越广泛。本文设计的是一种基于RSA,并通过VC++实现了基于该方案的系统,有效解决了身份认证困难复杂的问题,对具有该加密的身份认证系统类需求的应用有一定的实用价值。
参 考 文 献:
[1] 郭拯危,缪亮. 一种改进的RSA算法的研究与实现.河南大学学报,2006,36(1):98~99
[2]王建兵.PKI数字证书在WEB系统中的安全应用.信息技术,2005,(1):40~44
[3]高蕾,郑建德.基于PKI的高校安全教务管理研究.厦门大学学报,2006,5月:305~307
篇(3)
关键词:化校园,portlet,门户平台
随着高等教育的发展,智能化的数字化校园正成为众多高校信息化推进的重要部分。论文格式。数字化校园是利用信息化手段和工具,将校园的各项资源、管理及服务流程数字化,形成校园的数字环境,使现实的校园环境凭借信息系统在时间和空间上得到延伸。
信息门户平台是一个面向全校师生的个性化应用集成和信息整合平台,它为师生访问数字化校园的应用服务和有关信息提供了方便快捷的统一入口。[1]该系统应拥有风格管理、页面设置、日程安排、收藏夹等友好而又灵活的个性化设置功能;并通过深入的应用集成,把OA、人事、科研、教务、财务、教学测评、档案等业务管理系统整合在一起;并提供了众多工作、学习、生活方面的服务信息,例如:校车、校历、校内电话黄页、学校地图、天气、列车、航班等。
1 需求特点
由于信息门户是一个统一入口,而用户可以是拥有不同身份的人员,所以在用户单点登录后,无论是从操作方便还是安全方面考虑都只能针对不同的用户,提供不同的界面,这就不得不提到信息门户的首要特性:用户化(Customization)。
l根据角色或者组织来提供能够使用的功能。论文格式。比如学生可以选课,老师就不可以;
l根据角色或者组织来提供不同的界面外观。
为了门户适应个人的使用,用户可以定制自己的个性化界面和内容,即个性化(Personalization)包括:
l调整页面排版;
l再页面中添加或者删除频道;
l可以定制自己喜欢的主题、颜色;
l支持不同的Client。
除此之外,为了与不同的系统集成,还应具有适应性(Adaptive);门户的安全性(Secured)也是基本要求。
2 portal技术概述
门户开发技术从动态页面制作到界面与数据库集成,并发展至今,所实现的价值和成本也都发展到一定规模,如图一所示。Portal技术也作为一种主流的门户开发技术收到重视。“ Portal ”一词在英语中解释为“入口,大门”,中文翻译为“门户”。论文格式。在 Sun 的 Portlet 技术规范 JSR-168 ( Java Specification Request 168 )中定义为: Portal 是基于 Web 的应用,通常提供个性化,单点登录,整合不同资源的综合信息展示平台。
Portal 展现在最终用户面前的是类似于 Web 网页的 Portal 页面,有些 Portal 主页制作的更像是一个桌面系统的界面,更能获得用户的认可。
构成 Portal 页面的是能够建立和展现不同内容的一系列 Portlet 。 Portal 使用Portlet 作为可插拔用户接口组件,提供信息系统的表示层。 Portlet 是部署在特定容器内用来生成动态内容的可重用 Web 组件。 Portlet 处理从Portal 传递来的用户请求,动态生成输出内容的一个片段,展现在 Portal 页面的某个位置上。
图一门户发展历程
3 门户平台开发流程
建立 Portal 应用系统的主要任务之一就是设计各式各样的 Portlet 组件,实现应用系统的各种功能。虽然多数 Portal 系统会附送一些常用的 Portlet 组件,可以满足一些公共服务需要,但跟工作事务和业务处理相关的大量Portlet 组件必须有专门人员进行细致的设计和开发。
Portlet 的设计开发有必要遵循 JSR-168 规范和 WSRP 标准,以适合各种类型的 Portal 服务器。在具体的实现上,也将会用到 WSDL 、 SOAP 和 UDDI 相关技术规范,以便同 Web 服务应用系统进行信息交互处理。
开发 Portlet 主要有两种方法,一是借助于 Portal 产品商提供的可视化的预制开发工具,二是应用 Java 语言直接编程。预制开发工具为 Portlet 开发者提供了许多有益的帮助,如自动产生必要的配置文件,预制了程序代码框架,提供所见即所得编辑和调试环境等等。但无论如何, Portlet 开发的重点是 Portlet 片段内容的产生和处理,主要以 JSP 为主配合 HTML 和JavaScript 等网页开发技术,再借用 JSF ,Struts , Hibernate 等框架来简化开发。
针对高校情况,虽然具体略有不同,但门户系统的开发一般按照如下步骤来实现:
•获取相关数据、确定硬件需求:
1)评估学校用户数
2)评估学校机器数
3)预测上网峰值用户数
4)预测使用门户的峰值用户数
5)预测门户的峰值并发用户数
6)由同时使用门户的峰值用户数决定
•设计部署方案:
1)根据相关数据和硬件设计部署方案
2)操作系统、AppServer、数据库、身份认证系统、Portal的安装
•调研需求:
1)需要的模块
2)需要集成的资源
3)需要集成的数据
•应用开发
•调试部署:
1)开发机调试
2)部署到服务器
4 单点登录和权限控制
单点登录是为了方便用户进入多个应用系统,减少用户多次登录,免除用户记忆多套用户名和密码的麻烦。[2]
单点登录涉及到两个问题,一是身份认证,二是权限控制。
身份认证是 Portal 系统提供访问控制的第一步,即确认用户是谁,能否进入系统。通常要求用户提供用户名和口令,必要时要求提供用户的数字证书,也可以配合使用 IC 卡、指纹等验证手段。
权限控制或授权确定一个用户的角色和级别,从而控制用户的访问许可,即决定用户能查阅哪些资料,能进行哪些操作等等。 Java EE 架构采用了基于角色的访问控制策略( RBAC )。 RBAC 的基本思想是把对用户的授权划分成两个分配关系,即“用户—角色”和“角色—权限”。 RBAC 的好处是便于应用系统的开发,使得程序设计相对独立和透明化,只是在应用系统部署使用时才通过“角色”把“用户”和“权限”关联起来,而且对用户和权限的调整配置容易实施。
用户与角色之间是多对多的关系,即一个用户可以被分配给多个角色,多个用户也可以分配给同一个角色。
角色与权限之间也是多对多的关系,即一个权限可以与多个角色相关,一个角色也可以包含多重权限。
在用户管理、身份认证和权限控制方面,无论是商业的或开源的 Portal 产品多数喜欢采用 LDAP ,当然也有的支持使用数据库。 LDAP 的好处一是它可以方便的按类别存储任何类型的数据信息;其二,它的树形存储结构类似于一个企事业单位的组织架构,容易对应;三是它同应用系统接口容易,各个 LDAP 产品的接口都一致无需特别配置;四是它对数据信息的访问安全控制方便;五是它偏向于相对固定数据信息的查询使用,效率较高,维护也方便。LDAP与portal之间的业务关系如图二所示。
图二系统业务层次
5 门户系统架构与实现
Portal Server是整个Portal系统的运行支撑环境,是一个标准的Web 应用程序,运行于J2EE Application Server 环境中。在此基础之上形成了能够实现的系统技术架构。
图三系统技术架构
在高等教育创新性需求的发展下,数字化校园正在向智能化与特色化方向发展,门户系统的开发需要适应各高校的具体情况,更加灵活与方便地提供相应用户所需的信息才是最重要的。
参考文献[1].茅维华;唐守国;高淑娟;白雪松;杨虹;周斌.校园信息化关键技术平台之研究与实践[J].中山大学学报(自然科学版),2009/S1
[2].邓志宏,蔡海滨,蔡悦华.基于数字化校园门户的分布式身份认证系统研究[J].计算机工程与设计,2005,(08).
[3].赖维玮.信息化门户系统在校园数字化建设中的应用研究[J].科技广场,2009/09
篇(4)
论文摘要:近年来,随着邮政储蓄多项新业务、新系统的开发、建设和上线,邮政金融信息化蓬勃发展,金融系统安全逐渐成为一个关键性问题。2006年,邮政金融开始启动柜员安全认证工程,天津邮政储蓄使用指纹技术对系统柜员身份进行认证,开创了天津银行业领域使用生物技术防范风险的先河。
随着金融信息化程度越来越高和计算机知识的普及、利用计算机犯罪的问题越来越突出.金融业务的安全性面陆着前所未有的严峻挑战。而诸多事实警示我们,在金融安全工作中外患固应严阵以待内患更须防微杜渐。如何降低银行业内部信息系统风险有效提高生产系统的安全性是目前各家金融机构普遍存在的问题。中国邮政储蓄业务和汇兑业务在实现了电子化管理之后其业务处理能力得到了极大的发展。但是随着信息化程度的提高也增加了系统的不安全因素,尤其是信息采集、系统访问安全成为各项安全中的关键问题。一直以来邮政储蓄采用密码方式对系统的人员权限进行身份控制。然而密码极容易泄露记忆麻烦、发生问题责任不清而且对于网络黑客、别有用心的访问者来说窃取、破译合法访问者的密码比较容易由此更容易引发资金案件。因为密码验证方式存在一个致命的弱点二不能准确标识密码使用者就是密码所有者本人口提高信息系统的安全性管理是根本.技术是保障。如何利用高科技手段建立一套省时、省力而又行之有效的计算机信息管理系统.把各级管理者们从“担心出金融案件的忧虑和烦恼‘’中解脱出来呢,近几年来指纹技术的成熟和厂泛应用为这个想法的实现提供了可能。指纹技术除了在公安和警用等专业领域广泛应用外逐渐应用到了民用领域派生出一系列的产品.如:指纹考勤机、指纹门禁机、指纹锁指纹口盘等。2003年开始指纹技术在金融行业开始得到应用用来解决金融安全问题防范操作风险的发生。
邮政储蓄指纹系统2006年吧月天津邮政储蓄启动柜员身份认证系统的建设.在储蓄统版系统中使用指纹万式对网点柜员的登陆和授权进行风险控制。
技术可行性分析
(1)应用性:与其他生物技术相比指纹技术成熟、使用简单
(2)易用性:指纹不存在遗忘丢失情况用来验证身份万便、快捷:
(3)安全性真正实现‘识别人而不是识别物
(4)可实施性:提供多种授权方式解决非现场授权问题、如授权、集中授权手机短信授权等
(5)别经济性川生价比高、一机多用(储蓄系统与电子汇兑系统可共用)、一次投资长期受益(无需冗余大量备用设备)
(6)可扩展性:考虑到今后业务的发展为新业务接入预留了开放接口。为邮政业务扩展、新业务新产品的开发提供了增值平台。
经济效益可行性分析
(1)管理成本:指纹验证身份不用携带任何载体。给设备管理部门减少了工作压力。只要保证建档指纹的真实性,把对几千人的管理转变为对几十个指纹系统管理员的管理大大降低管理成本;
(2)监督功能:指纹系统的统计分析功能.方便了管理者对业务数据和人员工作情况的查询监督实现减员增效扩大监督范围提高效率;
(3)风险成本与潜在效益:指纹验证身份后权责分明,避免内部资金案件风险还可为外部客户提供指纹储蓄等服务为邮政吸引更多客户带来潜在效益。
指纹系统应用
指纹系统逻辑结构包括邮政金融业务系统和指纹认证系统两部分系统之间通过接口互相调用、通讯实现业务系统内部人员的身份认证,如图1所示。天津邮政储蓄指纹认证系统包括认证和管理两大部分:认证部分实现本地和远程的指纹身份验证;管理部分完成指纹设备、人员信息的管理。管理系统划分为省中心指纹管理系统、区县指纹管理系统、网点指纹管理系统。目前,天津邮政储蓄统一的指纹身份认证平台,可以为多个信息系统提供人员身份确认功能,凡需要验证身份的环节指纹中心均可以提供指纹验证功能.真正实现了身份认证流程的一体化。此外该身份认证系统操作流程规范,对业务系统人员的指纹、身份级别等信息集中存放、操作流程一致实现了数据共享,便于统一管理。
指纹系统应用效果
至2006年年底,天津邮政储蓄361个网点全部采用指纹系统验证系统登陆和业务授权者身份所有储蓄操作员、班组长、支局长实现了用指纹进行签到/退。天津邮储指纹系统上线至今已有1年半的时间.运行状况良好达到预期的效果:
(1)有效杜绝了过去由于操作性风险导致的金融案件。采用指纹技术后柜员操作及授权业务只能是当事人操作完全杜绝了替代和非法授权的情况发生。
(2)由于是对本人指纹进行采集和识别,因而别人无法窥视、盗窃他人密码,从而切断了非正常途径传送密码的可能(防止高智商作案)
(3)提高工作速度,指纹录入及识别大约1秒这比手工输入密码要快。柜员和主管都不用费时定期更换密码,也不必用其他手段来保护密码
(4)该系统应用简单.不用对使用者作过多要求易学易用。
篇(5)
【关键词】前缀码;AES;认证方案
随着移动通信网络的高速发展,移动电子商务、电子现金、手机网络银行等业务的兴起,移动通信网络中的各种攻击及欺诈行为也更加猖獗和频繁,移动信息安全的重要性与保密性也变得更加前所未有的重要。在网络通信环境中,身份认证是网络安全的第一道防线,高效便捷的身份认证方式是移动通信技术安全性的重要保证[1]。在网络安全领域,广泛使用的身份认证形式主要有证书认证[2]和口令认证[3]两种方式。口令认证是一种轻量级的认证方案,口令认证分为静态口令[4]和动态口令[5~6]两种,静态口令由于存在多种安全问题已逐渐被业界淘汰,动态口令也已经很难满足目前复杂的网络环境。证书认证需要权威的第三方证书授权中心(CA)颁发证书,相比于口令认证方式,证书认证方式安全级别更高,能够抵御多种攻击及欺诈方式,但证书认证方式对通信双方资源要求较高,更为复杂,而且需要权威的第三方认证授权中心,所以在移动通信网络中使用传统的证书认证方式和口令认证都不是最有效的解决方案。AES(AdvancedEncryptionStandard)是一种高级加密标准,在密码学中一般又称为Rijndael算法,AES算法具有非常高的安全性,但近年来依然有被攻击的案例,例如使用Square攻击。而新型基于前缀码的AES算法可通过前缀码对Square攻击法输入的不同明文的译码来改变轮子密钥的顺序,使轮子密钥的使用顺序与输入的明文相关,从而使自身具有抵抗Square攻击的能力,不影响算法效率的前提下,能很极大提高AES算法的安全性[7],并且相对于其他高级加密算法,例如RSA等非对称加密算法,基于前缀码的AES算法更加灵活高效,更适用于移动通信网络。综合对比分析传统认证方式的优缺点,本文提出了一种安全强度更高的基于前缀码AES加密动态口令认证方案,新方案可以保障通信双方进行安全的双向认证,并且每次会话都通过基于前缀码的AES算法建立新的通信信道。
1新型AES认证方案设计
1.1符号及标识
O:用户;F:服务器;T:用户标识;MM:口令;+:加法;:异或;H(x):哈希函数;n:第n次认证;N:表示随机数;Nn:第n次认证的随机数。
1.2认证过程
(1)在注册过程中,用户输入T和MM,生成随机数N0,计算R0=H(T,MMN0),将T和R0传送至服务器F。服务器F使用基于前缀码的AES算法为用户O计算分配共享密钥KAES,同时分配另一共享密钥KOF,用户O保存KAES与KOF,并从此刻起,认证过程所有数据都通过共享密码KAES加密后再传送,收到数据都先通过KAES解密后再处理。(2)O与F计算整数g、大素数m,O保存与F的共享密钥KOF,m,g,N0。(3)F存储O的T、R0、KOF、m、g。(4)O进行第n次登录过程时,O的认证数据有T,MM和Nn,F保存的对应认证数据是Rn。(5)O进行登录时,生成随机数XU<n,并计算:YO=gXomodm然后O用KOF加密YO得到KOF(YO),O发送T,KOF(YO)给F。O存放随机数XO。(6)F收到O的消息后在本地数据库查询T所对应的共享密钥,再用对应的共享密钥解密KOF(YO)得到YO。然后F生成一个随机数Xs<n,并计算:YF=gXFmodmF用KOF加密YF得到KOF(YF),并计算R=YFYO,F存储随机数XF。F发送R,KOF(YF)给O。(7)O收到后F返回的数据后用KOF解密得到YF,再使用YF与R做异或运算,将结果与YO比较,不等则认证失败,终止认证登陆,相等就计算Rn=H(T,MMNn),同时生成另一个随机数Nn+1并保存,O再用Nn+1计算:Rn+1=H(T,MMNn+1),Mn+1=H(T,Rn+1),其中Rn+1作为下一次的认证数据。用数据Rn、Rn+1和Mn+1计算α=Rn+1(Mn+1+Rn),β=Mn+1Rn。(8)O将α,β和T传送给F。(9)F收到α,β和T后,从认证数据数据库中取得与T相对应的Rn,然后计算:βRn=Mn+1RnRn=Mn+1,得到Mn+1,再用Rn和上式得到的Mn+1计算:α(Mn+1+Rn)=Rn+1(Mn+1+Rn)(Mn+1+Rn)=Mn+1,得到的Rn+1和T计算Mn+1′=H(T,Rn+1)。(10)F对Mn+1′与Mn+1的值进行比较,若相等,则F通过对O的身份认证,否则拒绝O登录。同时F计算:Kn=(YF)Xomodm并将Kn作为新的会话密钥,加密服务器和用户之间的会话信息。(11)收到F发送的允许登录消息后,O计算第n次的会话密钥Kn′:Kn′=(YO)XFmodm则有:Kn=(YF)Xomodm=gXFXomodm=(YO)XFmodm=Kn′在用户通过认证登陆服务器后,用Kn做会话密钥建立安全通信信道与服务器通信。
2总结
新型AES认证方案结合了口令认证及前缀码AES加密算法的优势,不仅能够保证服务器对用户的身份认证,也能够有效的实现用户对服务器真伪的认证。通过新型AES算法加密后的会话信道能够保证所有信息在安全环境下传输,并能确保传输信息为原始信息,有效防御中间人攻击及欺诈攻击,使攻击者无法在通信过程中删除消息、注入错误消息、修改消息。新型AES认证方案综合考虑了算法及方案复杂度问题,使用灵活的异或运算来处理部分数据,大大提高了计算效率,同时又使用基于前缀码的AES算法来保证数据安全性。新型AES认证方案每次认证产生的随机数、认证口令和会话密钥都不相同并且一次有效,能够保证重要数据的新鲜性,因此对重放攻击也有很强的抵御能力。
综上所述,新型AES认证方案安全高效,适用于安全性要求较高的移动网络环境中。
作者:孙浩然 单位:日照市第一中学
参考文献
[1]戴云,范平志.入侵检测系统研究综述[J].计算机工程与应用,2002,38(4):17~19.
[2]鞠宏伟,李凤银,禹继国.基于RSA的证实数字签名方案[J].计算机应用研究,2008(1):93~95.
[3]索望.一次性口令身份认证方案的设计与实现[D].四川:四川大学(硕士学位论文),2005:29~32.
[4]王顺满,吴长奇,张笈,等.无线局域网的安全问题[J].无线电通信技术,2003(5):19~21.
[5]LAMPORTL.PasswordAuthenticationwithInsecureCommunication[J].CommunicationsoftheACM,1981,24(11):770~772.
篇(6)
摘要:以适应校园数字化建设的客观需要,构建具有综合功能的财务管理信息系统为目标,应用系统分析和相关分析方法,分析了当前及今后一个时期内高校财务信息管理在数字化校园环境支撑下出现的新的应用特点和功能扩展需求,探讨了新形势下高校财务管理信息化的规划设计要素。
关键词:数字化校园;财务管理;管理信息系统;规划分析
财务管理是高等学校正常运行和事业发展的重要内容,也是与校园生活密不可分的基本环节。在校园数字化的进程中,无论是有关师生员工个人的财务信息,还是有关项目经费管理等对公财务信息,都是数字校园的重要资源。校园数字化建设中,应当充分重视财务管理的信息资源作用,通过系统设计将其纳人数字化校园建设的总体规划之中。
一、校园卡系统的一般功能概述校园数字化通常以校园“一卡通”系统建设作为切入点。校园卡系统作为数字校园的基础环境和支撑平台,其构架完全服从于数字校园建设的整体规划,成为数字校园中有机的、重要的组成部分。校园卡系统既是数字校园的数据信息存储、管理和处理中心,也是整个数字校园的核心引擎。在该平台下,各相关应用系统以构件方式存在并运行其上,相关数据和信息按照数字校园规定的数据交换与共享规范在校园网络上满足各子系统的数据交换、数据同步与数据共享需要。
在当前的技术条件下,校园卡系统通常由一张校园卡和一张相对应的银行卡作为使用媒介来实现系统功能。校园卡具有校内身份认证和电子消费两类基本功能。
(1)多证合一、以卡代证:将学生证、教师工作证、医疗证、借书证、出入证等数字化为校园卡身份信息,一卡实现校内各种需要的身份认证功能。
(2)身份认证公共信息管理:通过校园卡中心数据库,实现学生、教职工的身份档案的数字化和网络化,确保校园网络信息传递的真实性、安全性、可靠性和完整性。
(3)基于统一身份认证的应用服务:透过校园卡的统一身份认证管理,进一步为使用者提供相应的目录服务,即基于校园数字资源统一组织和应用集成所形成的各种校园网络化应用服务,包括信息分级、办公自动化数据交换、校园管理信息系统数据共享等。
(4)以卡代票、以卡代币、刷卡消费:取代以往校内使用的各种票据,如饭票、水票、洗澡票、上机票等,以校园卡的“电子钱包”功能满足师生员工的校内消费和费用缴纳需要。
(5)校内消费资金统一归集:通过分布于校园内各消费点的POS终端,在实现校内消费刷卡支付的同时,实现了校内资金流动的统一归集,在技术手段上满足了学校对下属经营服务单位的财务监管需要。
与校园卡身份信息直接绑定的银行卡,除了具有一般银行卡相同的金融服务功能以外,增加了个人银行账户与校园卡“电子钱包”账户之间的自助圈存转账服务功能,满足校园卡持卡人校内消费资金自行划转的需要。
二、数字校园环境下财务管理信息化的应用特点
1.财务管理信息是数字校园目录服务重要的公共数据资源。高等学校的财务管理信息,不仅是财务管理部门业务处理的自然结果,更是学校教育事业开展和日常运行中有关经济活动的信息记录,其中包含的对公以及对师生员工个人的校内信息资源都极其丰富,是校园数字化不可或缺的重要公共数据资源;数字校园环境中许多的应用目录服务和相关的办公自动化系统都离不开财务管理信息的数据资源支撑。
2.校园数字化为财务管理信息化提供了更加完备的数据管理手段。校园卡系统具备了校园数据信息存储、管理和处理中心的功能,能够实现基于网络的个人身份认证,以及校内部门关联信息的数据交换、数据同步与数据共享;所提供的管理信息更加丰富和完善。合理有效地利用校园卡信息来完善财务管理业务,应是财务管理信息化升级改造优先考虑的因素。
3.财务管理信息目录服务以标准化和关联信息完备的会计核算管理信息为基础。在数字化校园环境下,财务管理方面的信息服务体现在财务信息分级目录服务和构建基于中心数据库的集成应用型财务管理信息系统两方面。能否有效地实现这些信息服务功能,作为基本信息源的会计核算管理信息的有效性、完备性和可关联性便是至关成败的决定性因素。在这种新的管理需求下,会计核算管理信息系统应当以构建集成应用型财务综合管理信息系统为目标,科学、合理地规划账目管理的科目信息和项目信息,使得每一笔账目记录附带必要和有效的管理信息。
4.财务管理信息目录服务是基于中心数据库的集成应用型管理信息系统。与会计核算管理信息系统自成一体的封闭特征不同,基于数字化校园环境的财务综合管理信息系统需要通过与不同管理部门之间的数据共享与数据交换(数据同步)来实现目录服务,其逻辑关系如图1所示。在这种方式下,需要通过Web服务方式将财务综合管理所需的各方共享数据引入财务管理信息系统;同时也需要将相关的财务数据反馈给中心数据库,并保持相关数据的同步。
5.集成权限管理与身份认证平台是财务管理信息目录服务的安全门户。除了需要基于校园卡的统一身份认证管理以外,财务管理信息目录服务需要强化用户访问的权限管理。能够与校园卡系统平台和财务管理信息系统进行集成,实现身份认证和权限管理双重功能的集成身份认证环境,包括统一权限管理、身份验证、单点登录、密码管理、LDAP外部认证等,应是财务管理信息目录服务的安全门户。6.银校紧密合作方能形成与管理信息化服务相适应的现金流动管理模式。通过校园卡与个人银行卡的绑定对应关系,可以方便地将师生员工的收人类现金发放自动存人个人银行卡;涉及财务报销的现金支付,可以实现现金的自动人卡。通过校园卡系统的“电子钱包”自助圈存功能,将个人银行卡中的金额自主“圈人”校园卡,满足持卡人的校内消费需要。对于学生费用的收缴,按照同样的做法,还可通过网上银行自主缴费的方式予以实现。在与银行紧密合作实现这些功能的基础上,学校财务管理将大幅度减少现金的流动和不必要的中间环节,建立起与信息化社会相适应的现金管理模式。
三、数字校园环境下财务管理信息系统的基本架构在校园卡系统信息技术平台的支撑下,学校财务管理的功能和内涵将产生较大的扩展,除了会计核算管理系统需要随着校园信息化的要求不断完善外,更需要顺应校园数字化的要求,按照数字校园建设总体规划和信息标准化的要求规划财务综合管理功能,布局财务综合管理信息系统与中心数据库及相关管理信息系统的数据共享与数据交换内容,构建可实施跨部门、具有综合管理功能的财务管理信息系统。
四、基于校园卡平台的财务管理信息系统功能规划在图2所示的系统构架下,学校财务管理信息系统的外延大为扩展,形成了融合会计核算管理账务信息和校园卡系统有用信息,通过数据交换与信息共享来共同支撑的网络化管理信息系统。通过融合和利用来自多方面的管理信息,财务管理信息系统也由原来因具体业务而设的单一功能管理程序变成了在统一信息平台上、以功能模块形式构成的一体化管理信息系统。
1.基本账务管理方面。在按会计核算规范进一步完善科目管理信息的基础上,会计核算管理系统需要参照校园数字化标准之规定,科学合理地设置收支账目的项目信息,使得任何一笔账目记录既对应相应的科目,又附带相关的管理信息。智能凭证系统作为财务管理其他功能模块与会计核算管理系统项目关联的桥梁,将报账业务之外的其他账目自动纳入核算管理账务系统。自由报表系统用以灵活定制和输出各种需要的管理报表。
2.发放类财务管理方面。在校园卡数据平台的信息支持下,财务管理中涉及教师的工资、津贴、酬金发放,以及学生奖、助学金及各种补助发放,学生费用收取等业务,将改变以往依靠手工传递数据信息的落后方式,通过校园卡系统的数据交换、数据同步手段把相关数据直接导入管理子系统;通过与校园卡绑定的银行卡信息将应发金额直接进入个人账户,准确、安全地实现对个人的现金发放业务;通过智能凭证系统将发放结果导入财务核算账务系统,如此形成一个完整、准确、快捷的现金发放管理数据链。
3.财务信息方面。将校园卡系统的身份认证功能与会计核算管理系统的项目管理功能有机结合,形成基于校园网络统一身份认证和集成权限管理的账务信息查询与统计功能,构成财务信息分级平台。通过对校园卡持卡人不同角色访问权限的控制,身份信息直接关联到与角色相对应的财务管理项目信息,持卡人即可实时、方便地从校园网上查询或统计其所管理项目的账务信息或个人财务信息;通过自由定义统计表报,可对项目执行情况实时分析,满足不同层次的管理需要。
4.综合性财务管理方面。当前技术条件下,实现跨部门管理的综合性财务业务主要包括联网授权与网络报账、现金报销的自动划转、学生网上自主缴费、校内消费网点结算与分账、专项投资执行的一体化综合管理等。
篇(7)
关键词:电子商务安全解决之策
一移动电子商务存在的安全问题分析
移动电子商务由于利用了很多新兴的设备和技术,因此带来了很多新的安全问题。在传统电子商务中,很多顾客和企业由于担心因安全问题蒙受损失而一直对这种高效便捷的商务方式持观望态度。而移动电子商务除包含大部分传统电子商务所面临的各种安全问题外,由于自身的移动性所带来的一些相关特性又产生了大量全新的安全问题。总的来说,移动电子商务的安全面临着技术、管理和法律几个方面的挑战,与传统电子商务相比,其安全问题更加复杂,解决起来难度更大。
1.无线窃听
传统的有线网络是利用通信电缆作为传播介质,这些介质大部分处于地下等一些比较安全的场所,因此中间的传输区域相对是受控制的。而在无线通信网络中,所有的通信内容(如移动用户的通话信息、身份信息、位置信息、数据信息等)都是通过无线信道传送的,无线信道是一个开放性信道,是利用无线电波进行传播的,在无线网络中的信号很容易受到拦截并被解码,只要具有适当的无线接收设备就可以很容易实现无线监听,而且很难被发现。
2.非授权访问数据
非授权访问是指未经授权的主体获得了访问网络资源的机会,并有可能篡改信息资源。攻击者能在服务网内窃听、非授权访问用户的敏感数据。这种访问通常是通过在不安全信道上截取正在传输的信息或者利用技术及产品中固有的弱点来实现。
3.假冒攻击
在无线通信网络中,移动站必须通过无线信道传送其身份信息,以便于网络控制中心以及其他移动站能够正确鉴别它的身份。由于无线信道传送的任何信息都可能被窃听,当攻击者截获到一个合法用户的身份信息时,他就可以利用这个身份信息来假冒该合法用户,这就是所谓的身份假冒攻击。另外,主动攻击者还可以假冒网络控制中心。如在移动通信网络中,主动攻击者可能假冒网络基站来欺骗移动用户,以此手段获得移动用户的身份信息,从而假冒该移动用户身份。
4.移动终端的安全管理问题
很多用户容易将比较机密的个人资料或商业信息存储在移动设备当中,如PIN码、银行帐号甚至密码等,原因是这些移动设备可以随身携带,数据和信息便于查找。但是由于移动设备体积较小,而且没有建筑、门锁和看管保证的物理边界安全,因此很容易丢失和被窃。很多用户对他们的移动设备没有设置密码保护,对存储信息没有备份,在这种情况下丢失数据或被他人恶意盗用,都将会造成很大的损失。
二电子商务安全管理的解决之策
1.身份认证技术
信息安全的一个重要方面是保证通信双方身份的真实性,即防止攻击者对系统进行主动攻击,如假冒用户等。身份认证是防止攻击者主动攻击的一个重要技术,它对于开放环境别是无线通信中各种信息的安全有重要作用。认证的主要目的,第一验证消息发送者和接收者的真伪,第二验证消息的完整性,验证消息在传送或存储过程中是否被篡改、重放或延迟等。口令是最简单的身份认证技术,安全性较差,因此有一次性口令等多种技术来提高它的安全性。利用密码技术,特别是公钥密码技术可以获得安全性较高的身份认证功能。保密和认证是信息系统安全的两个重要方面,它们是两个不同属性的问题,一般来说,认证不能自动提供保密,保密不能自然地提供认证功能。
2.WPKI技术
在有线通信中,电子商务交易的一个重要安全保障是PKI。PKI的系统概念、安全操作流程、密钥、证书等同样也适用于解决移动电子商务交易的安全问题,但在应用PKI的同时要考虑到移动通信环境的特点,并据此对PKI技术进行改进。
3.安全管理模型的建立及实施
对移动电子商务系统的管理过程是一个动态的管理过程,是一个循环反复、螺旋上升的过程,论文尝试建立一个“闭环”管理模型,将安全管理的各个阶段融入于模型之中,然后不断连续审查整个过程,发现问题时及时更新,及时解决,以便形成越来越完善的安全系统。
制定一套完整的安全方案一套完整的安全方案是实现移动电子商务系统安全的有力保障,移动服务提供商应结合自己实际状况,从人力、物力、财力等各方面做好部署与配置。由于
安全方案涉及到了安全理论、安全产品、网络技术、系统技术实现等多方面专业技能,并且要求有较高的认知能力,因此可以聘请专业安全顾问公司来完成,大多安全顾问公司在做安全方案方面有着丰富的经验,能够制定出符合需要的合理的安全方案来。
4.制定并贯彻安全管理制度
在对系统安全方案和系统安全处理的同时,还必须制定出一套完整的安全管理制度,如外来人员网络访问制度、服务器机房出入管理制度、管理员网络维护管理制度等等。以此来约束普通用户等网络访问者,督促管理员很好地完成自身的工作,增强大家的网络安全意识,防止因粗心大意或不贯彻制度而导致安全事故。尤其要注意制度的监督贯彻执行,否则就形同虚设。
