身份認證技術論文大全11篇

緒論：寫作既是個人情感的抒發，也是對學術真理的探索，歡迎閱讀由發表云整理的11篇身份認證技術論文范文，希望它們能為您的寫作提供參考和啟發。

篇（1）

一、目前高校信息化建設現狀

隨著信息技術的發展，各個高校都高度重視信息化建設工作，“數字校園”即是將信息技術運用于教育改革過程形成的最新研究成果。在數字校園中，學校針對各種需求建設應用系統，力圖通過信息化來整合機構內的各種資源。但在實際信息化建設過程中，由于前期缺少統一規劃，并且高校系統軟件很少有做的很全或很專業的公司，基本上是學校各個部門各自為政，各自購買建設自己的信息系統。如教務處購買自己的教學管理系統，學生處購買單獨的學生綜合管理系統，圖書館有自己的借還書管理系統。

在多系統并存的情況下，校園網內每個用戶擁有多個密碼，用戶需要逐一登錄自己所要使用的應用系統，這給用戶造成了很大的不便，安全性存在嚴重隱患。同時，用戶的信息分散存儲于各個應用系統中，這不僅為用戶的正常使用也為應用系統的管理和維護增加了很大的麻煩，工作效率重復低下。為了解決這些問題，需要在多應用系統并存的情況下，實現應用系統間的用戶統一認證和信息共享。

二、統一身份認證在高校信息化建設中的重要作用

網絡信息系統的統一認證技術已經相當成熟，從門戶網站（如新浪）到企業內部網（如平安保險公司）都對原有的系統進行改造升級，使得不同歷史時期購進的信息系統能夠整合起來，進行統一認證，降低了管理成本同時又提高了信息系統的安全性，對用戶來說也解決了多賬戶多密碼難于記憶的問題。

目前，各大高校也在整合自己的網上資源，把各個獨立信息系統的認證統一起來，實現統一身份認證，通過統一規劃整合認證后的校園信息系統最大限度的減少用戶的帳號數，簡化登錄過程，實現一次登錄多點使用，實行統一管理，方便用戶的同時也極大的提高了信息系統的安全性。校園網內用戶只要登錄一次就可以訪問其它的網絡資源。可以說隨著高校信息化建設的發展，統一身份認證是重中之重，信息建設部門應做好統一規劃，后期的軟件開發應用必須和統一身份認證平臺對接。

三、基于LDAP的統一身份認證的建設與特點

統一身份認證平臺的目的是要解決不同的應用系統用戶名和口令不統一的問題，通過提供統一的授權機制及一套方便、安全的口令認證方法，讓用戶只要一套用戶名和口令就可以使用校園網絡上有權使用的所有應用系統。保證用戶通過網絡單點登錄或手機登錄方式進入系統。目前使用最多的是采用目錄訪問進行身份認證，此技術基于LDAP（輕量型目錄訪問協議），具有高效的查詢速度。利用LDAP 服務特性及WEB相關技術， 實現了對數字校園中用戶及網絡應用資源的統一開發管理。

統一身份認證平臺的開發功能如下：

1、目錄服務：目錄服務與現有系統集成在一起，充當一個集中化的身份信息庫，用于將學生、教師和其他人員的信息集中存儲。

2、統一認證：認證服務提供了平臺的核心基礎服務，用于對學生、教師和其他人員的數字化身份的認證。 　 3、身份管理：提供基本的組、用戶、用戶屬性、用戶類型、口令的維護功能

4、管理控制臺：承擔整個統一身份認證平臺的身份數據管理、系統服務管理、平臺運行管理工作，是整個平臺的集中管理控制中心。

基于目錄訪問協議的身份認證基于Linux系統下OPenLDAP設計，能夠批量導入加密后的用戶信息，打印明碼條發給用戶。然后圍繞認證數據庫進行各種應用程序設計，包括：基于瀏覽器界面的統一認證Web應用程序、基于窗口界面的登錄界面設計（用于桌面應用軟件等）、基于瀏覽器界面的統一認證后臺管理Web應用程序等等。

基于目錄訪問協議的身份認證優點很多，主要有：采用開源解決方案，不需另外購買商業軟件，可以在源碼的基礎上進行二次開發，能夠最大程度減少IT信息建設投入；采用OpenLDAP進行系統認證，一定程度上防止SQL注入攻擊，有效保護后臺數據安全；LDAP具有很高的查詢速度，保證認證查詢速度；采用Linux作為認證平臺，安全、穩定。

四、結束語

當然，統一身份認證在實際的建設過程中可能會遇到各種難點，主要是接口問題，如很多以前實施的應用系統現在開發商都聯系不到（這種情況各個高校都有），整合到認證系統中可能花的代價比重新開發或購買的成本還要高。所以在后期規劃中，要求系統供應商必須提供或開發和身份認證平臺統一的接口。

目前，經過統一規劃和投資，身份認證系統在蘇州大學已經基本完成，整合集成了教務、學工、人事、行政等各種信息服務，是數字化校園的信息集中展示平臺，也是校內重要業務系統的統一入口。經實際使用證明，它不僅提高了數字校園中各種應用系統的安全性、可靠性，也給用戶提供了極大的方便，同時方便了數字校園的用戶管理，具有很好的社會效益和經濟效益。

參考文獻

[1]openldap.org openldap官方網站

[2]宮恩輝，朱巧明，李培峰，史鑫.LDAP和Kerberos在統一身份認證中的應用[J].蘇州大學學報(自然科學版).2006年02期

篇（2）

 

SSL 是Security Socket Layer 的縮寫，稱為安全套接字，該協議是由Netscape 公司設計開發。使用SSL 可以對通訊內容進行加密，以防止監聽通訊內容，主要用于提高應用程序之間的數據的傳輸安全。SSL協議分為三個子協議：

（1）握手協議，用于協商客戶端和服務器之間會話的安全參數，完成客戶端和服務器的認證。

（2）記錄協議，用于交換應用數據，所有的傳輸數據都被封裝在記錄中，主要完成分組和組合，壓縮和解壓縮，以及消息認證和加密等功能。

（3）警告協議：用來為對等實體傳遞SSL的相關警告。

SSL協議的實現有Netscape開發的商用SSL包，還有在業界產生巨大影響的Open SSL軟件包。目前在國內的金融系統中，廣泛使用OPENSSL軟件包進行應用開發。

網上銀行因為考慮易用性，大部分采用單向SSL認證.單向認證 SSL 協議不需要客戶擁有 CA 證書。X509數字證書是SSL的重要環節，CA證書的任務就是確保客戶和服務器之間的會話，并且保證使用的密鑰是正確的。缺少了這個重要的環節，SSL中間人攻擊也就難免了。

現在的網上銀行因為考慮易用性，大部分采用單向SSL認證，這正是SSL中間人攻擊的理論依據。

對于SSL中間人攻擊，以CAIN工具軟件為例：

首先在SNIFFER窗口中進行一次本網段的掃描探測

很快找到所有當前跟在同一網段內的活動主機IP地址與其MAC地址的對應關系。今天我們要欺騙演示的實驗對象是192.168.121.199，這是另一臺的筆記本電腦IP地址。

獲取到IP地址與MAC地址的對應關系后，繼續到ARP的子窗口中，選擇添加欺騙主機在窗口左邊選中當前網絡的網關IP地址就是192.168.121.129，窗口右邊選中我們要欺騙的IP地址192.168.121.199，選中后直接確定生效。畢業論文，SSL協議。畢業論文，SSL協議。

然后在ARP-HTTPS的選擇樹中添加一個當前我們需要偽裝的HTTPS站點，選擇確定后CAIN會自動把這個站點的證書文件下載回來備用。畢業論文，SSL協議。

一切準備就緒后，就可以點擊CAIN工具欄中的ARP模式開始工作了。畢業論文，SSL協議。CAIN軟件在后臺采用第一章的ARP欺騙攻擊的方式將被欺騙主機與 HTTPS網站間的通訊切斷，在中間插入我們偽造的證書給被欺騙主機，同時偽裝成為中間人代替它與HTTPS站點通訊。CAIN在其中把所有的通訊數據包 進行加密解密再加密傳遞的過程，當然所有原始的訪問行為在這一過程中都被我們獲取到了。

對于被欺騙主機在實際打開IE訪問中，感覺不到任何異常本地顯示依然是安全的SSL128位加密，只是不知道所有的訪問行為在CAIN中都可以VIEW的方式來查看到了。

在VIEW的窗口中我們可以查看到所有通訊的訪問原始記錄，包括此臺筆記本的登陸帳號與口令信息。

網上銀行存在的攻擊風險歸其原因是SSL協議使用不健全導致，安全的解決方案建立以PKI技術為基礎的CA認證系統，加入已經在運行的可靠的CA。 CA體系建立或加入時，通過對網上交易系統的二次開發，將數字證書認證功能嵌入到整個網上交易過程中去，這將實現基于數字證書的身份認證、通信安全、數據安全和交易安全。

篇（3）

【中圖分類號】G420 【文獻標識碼】A 【論文編號】1009―8097(2010)09―0119―04

一 引言

現代遠程教育系統是以計算機軟硬件技術為基礎,通過互聯網向處于不同地域的用戶提供教育服務的信息系統。遠程用戶在獲得教育服務之前,通常需要通過系統的身份認證。目前來講,最常用的身份認證技術是基于用戶名/密碼的靜態認證技術。該身份認證技術起源于上個世紀70年代初[1],認證系統通過登記、注冊等方式事先保存合法用戶的用戶名和密碼;認證時,系統將用戶輸入的用戶名和密碼與對應合法用戶的用戶名和密碼進行匹配,以此來驗證用戶身份的合法性。在這種認證技術中,用戶名和密碼均以明文的方式進行傳輸和存儲,無法抵擋重放攻擊[2]。一種解決辦法是對密碼加密后再傳輸和存儲,只要加密算法夠可靠,就可以有效地防止重放攻擊。1992年,RIVEST R[3]提出了MD5(Message Digest 5)算法,該算法從理論上講具有不可逆性、離散型和唯一性[4],因此基于用戶名/密碼的靜態身份認證技術在應用了MD5算法后,其安全性可以得到較大的增強。然而王小云[5]等人在2004年8月召開的國際密碼學會議(Crypto 2004)上做了破譯MD5、HAVAL-128、 MD4和RIPEMD算法的報告,給出了一種高效的MD5碰撞[6]方法,可以在短時間內找到多個碰撞,這意味著如果攻擊者竊取到密文并且展開碰撞攻擊,則將有可能繞過認證,這又使得重放攻擊變為可能。

針對這個問題,本文提出了一種基于MD5分組變序的動態身份認證技術,該技術通過隨機數,對原MD5密文采用分組變序的方法生成偽MD5密文存儲到數據庫中,并且每次驗證成功后,再次生成隨機數重新分組變序,產生另一個偽MD5密文替換原偽MD5密文,以此實現了用戶密碼明文不變,但數據庫中密文隨認證次數不斷變化的功能,進一步增強基于MD5的靜態身份認證技術的安全性,從而更安全地保護遠程教育系統中的教育資源以及用戶的信息。

二 基于MD5分組變序的動態身份認證技術

傳統的基于MD5用戶名/密碼的靜態身份認證技術是將用戶的密碼進行MD5加密,再發送到服務器端進行存儲,這種方式的安全性主要取決于MD5算法本身。除了向用戶騙取密碼以外,要獲取真正的密碼,只有通過對密文碰撞來獲得,然而從理論上來講,如果要對一個MD5密文使用窮舉法進行碰撞破解,用一臺運算速度為10億次/秒的超級計算機,需要 年[6],即使使用效率較高的生日攻擊法[5],同樣的運算速度,仍需要58年的時間[6],而王小云等人提出的方法則可以在數小時之內找到一對碰撞[7],因此傳統的基于MD5用戶名/密碼的靜態身份認證技術已經不再安全。進一步分析,如果碰撞的對象并不是MD5值,那一切針對MD5的碰撞方法將不起作用。本文提出的基于MD5分組變序的動態身份認證技術的核心即在于動態地生成偽MD5密文,使針對MD5值的碰撞攻擊無效,從而在原基于MD5的身份認證技術的基礎上,進一步增強其安全性。

該身份認證技術的體系結構如圖1所示。

從圖中可以看出,所有關于用戶密碼的加密處理全部在客戶端完成,在網絡中僅傳輸用戶名、密鑰和加密后的偽MD5密文,而服務器端則為一個數據庫,僅起到存儲這些信息的功能,這么做既保證了網絡傳輸的安全性,對用戶的密碼又做到了消息級的加密[8]。

客戶端由密鑰生成、MD5加密、密文數組生成、偽MD5密文生成、偽MD5密文分割、密文數組比較六個模塊組成,這幾個模塊的不同組合構成了用戶注冊和認證過程。

1 用戶注冊階段

用戶注冊主要流程如圖2所示。

步驟1:用戶輸入用戶名和密碼,客戶端首先對密碼進行MD5加密操作,得到32位長度的MD5字符串,記為 ;同時執行密鑰生成程序,生成隨機數,記為 , ,且 為32的因數。

步驟2:執行MD5密文數組生成程序,將 按密鑰 的值為長度進行分組,將分組后的字符串存入字符串數組中,該字串符數組記為 。

步驟3:執行偽MD5密文生成程序,隨機變換 中元素的順序,依次把值從變序后的 中取出,生成新字符串,該字符串即偽MD5密文,記為 。

步驟4:客戶端將用戶名、密鑰和偽MD5密文 發送至服務端,并存儲到數據庫中。

從注冊的過程可以看出,該認證技術的動態性體現在密鑰 的隨機性上, 的不同使密文 分組的位置不同,從而使得最終得到的密文 也是不同的。然而生成的偽MD5字符串 ,來源于標準的MD5字符串,這就為認證提供了依據,但同時又不是MD5字符串,因此任何針對MD5算法進行的破解將不起作用。

2 用戶認證階段

用戶認證主要流程如圖3所示。

步驟1:待驗證用戶輸入用戶名和密碼,客戶端依然執行MD5程序,將用戶輸入的密碼進行MD5加密,生成待驗證密文,記為 ,同時將用戶名發送至服務器端。

步驟2:服務器端從數據庫中查詢是否存在該用戶名,不存在則認證失敗,存在則取出數據庫中的偽MD5密文 和密鑰 ,一起傳輸至客戶端。

步驟3:用密鑰 對待驗證的MD5字符串 執行客戶端MD5密文數組生成程序,得到待驗證的字符串數組中,該數組記為 ,同時執行偽MD5密文分割程序,以 為每組長度對 進行分組,每 位后加入“,”生成分割后的偽MD5字符串,記為 。

步驟4:執行密文數組比較程序,依次取出數組 中的值與 進行比較,如果 的每個元素都包含在 中,則通過認證,如果有一個不包含,則認證失敗。判斷的根據在于 本身只是對MD5字符串做了位置上的改變,如果待認證的口令正確,那么 中的每個元素都應該包含在 中的,但只要數組中有一個元素不包含在密文字符串中,就可以判斷認證失敗。

步驟5:如果驗證通過,則對 再重新執行一次分組變序操作,用得到的新的偽MD5密文和新密鑰替換原有的密文與密鑰,一起存入數據庫。

需要說明的是,本文給出的匹配方法并沒有直接把數據庫中的 和 的元素進行包含比較,而是以“,”分割后再比較,原因在于密文的長度為32,而數組中值的長度小于或等于32,那么不排除數組的值交叉包含于密文中的情況,假設密文是c4ca4238a0b923820dcc509a6f75849b,密鑰為16,則數組 的長度為2,再假設數組中的兩個值分別為a0b923820dcc509a,20dcc509a6f75849b,雖然這兩個值也都包含在密文中,但a0b923820dcc509a處于密文(c4ca4238-a0b923820dcc509a-6f75849b)的中間位置,而20dcc509a6f75849b處于密文(c4ca4238a0b9238-20dcc509a6f 75849b)的后半段,這種情況的出現有可能使匹配算法失效,反而造成認證的不精確。事實上標準的MD5字符串是多個16進制字符串的組合,而“,”是不可能出現在16進制字符串中的,采用“,”分組后再比較則可以有效地避免這種情況。

三 安全性驗證

本文為全文原貌 未安裝PDF瀏覽器用戶請先下載安裝 原版全文

以上認證技術是對單個MD5值進行分組變序,根據不同的 ,除去MD5值本身,每個MD5值能演變出 -1個偽MD5值,記為下式:

(1)

由于隨機數的存在,要還原得到真正的MD5值,只能通過暴力破解法來實現,對于單個MD5值,暴力破解的運算量為 ,同樣使用一臺運算量為10億次/秒的超級計算機,需要約 年。

由于偽MD5密文和密鑰K均在網絡中傳輸,如果攻擊者知道該算法,利用密鑰K進行攻擊,那么最終密文的安全性取決于變換的順序種類。變換的順序種類由密鑰K確定,K越小,順序種類越多,破解的運算量越大。

對于單個MD5值,當 時, ,即不存在偽MD5值, 不可取。

當 時, ,暴力破解的運算量僅為1,很容易還原得到原始MD5值,因此密鑰為16時,已經存在很大的安全隱患了。

當 時, ,暴力破解的運算量為23。

當 時, ,暴力破解的運算量為40319。

當 時, ,同樣使用一臺運算量為10億次/秒的超級計算機,需要約663457年。

當 時,暴力破解的運算量更是巨大的。

更進一步研究,該認證技術同樣適合對多個MD5值的組合進行分組變序,假設 為由 個 組成的長度為 的字符串,其中 。這種情況下,暴力破解的運算量為 ,這樣的運算量更是天文數字。而在知道該認證算法的情況下,暴力破解的運算量為 , , 可取的值更多,運算量更大。

對于應用該認證技術的系統來講,運算量僅僅取決于變序算法的復雜度,本文采取經典的洗牌算法[9]作為變序算法,以隨機數 作為變序的基礎,以保證每次交換順序后的結果與交換之前的不同,算法復雜度僅為數組的長度,即 。

實際應用時,當 , 時,最終生成的密文的安全性將是相當高的。而當 時,可選擇的 更多,安全性則更高,而同時對認證系統的運算量并不會有太大增加。

四 實驗分析

本實驗選擇瀏覽器/服務器作為運行模式,選擇JavaScript作為客戶端注冊、認證程序編寫語言,保證運算均在瀏覽器端完成,選擇Java作為服務器端數據庫訪問語言,選擇MySQL作為測試數據庫。假設密碼明文為888888,則MD5值為21218CCA77804D2BA1922C33E0151105,對比最終密文、密鑰做8次運算,其中第一次為注冊,后7次為認證,運算結果對比如表1所示。

從表1可以看出,最終生成的密文已經和原MD5值已經有較大的不同,即使是相同的密鑰,由于交換了順序,密文也是不同的,攻擊者即使得到這些密文,也是徒勞的。

五 結束語

本文通過分析目前遠程教育系統常用的身份認證技術的優缺點,以基于MD5的用戶名/密碼的靜態身份認證為基礎,提出了基于MD5分組變序的動態身份認證技術,該技術通過分組變序隨機地產生偽MD5密文,將偽MD5密文在客戶端和服務器端之間傳輸,并存儲到數據庫中,從而可以有效抵擋碰撞攻擊和重放攻擊,并且實現了數據庫中的密碼隨認證次數不斷變化,而對用戶透明的功能,進一步增強了原基于MD5的用戶名/密碼的靜態身份認證的安全性。同時,該技術僅僅是對經MD5加密后的密文進行再處理,與MD5算法本身并有沒有很大的關聯,因此具有一定的通用性,只要稍做修改,就可以用于任何基于不可逆算法的身份認證技術中,以起到在原有認證技術的基礎上,增加其安全性的作用。

參考文獻

[1] 曹雪菲.基于身份的認證協議的理論及應用研究[D].西安:電子科技大學,2008.

[2] Carles Garrigues, Nikos Migas, William Buchanan, et al. Protecting mobile agents from external replay attacks[J]. Journal of Systems and Software,2009,82(2):197-206.

[3] RIVEST R.RFC 1321 The MD5 Message-Digest Algorithm[S].Boston: MIT Laboratory for Computer Science and RSA DATA Security, Inc, 1992.

[4] 王津濤,覃尚毅,王冬梅.基于MD5的迭代冗余加密算法[J].計算機工程與設計,2007,28(1):41-42.

[5] Wang Xiaoyun, Feng Dengguo, Lai Xuejia, et al. Collisions for hash functions MD4, MD5 Haval-128 and RIPEMD[R].CRYPTO 2004, Cryptology ePrint Archive, 2004.

[6] Eric Thompson.MD5 collisions and the impact on computer forensics[J].Digital Investigation,2005,2(1): 36-40.

[7] 張裔智,趙毅,湯小斌.MD5算法研究[J].計算機科學, 2008,35(7):295-297.

[8] Paul Kearney.Message level security for web services[J].

篇（4）

 

現代高校的發展離不開信息技術，特別是隨著各高校學生人數急劇增加，新教學樓、新教室的不斷擴建，教學方式的多樣化等一系列因素使學校對多媒體、網絡教學、辦公應用系統等信息化技術依賴越來越大，數字化校園建設已經成為各高校信息化建設的重要任務之一。醫學院校在發展過程中也面臨著同樣的問題，需要對學校的教學、科研、管理等信息資源進行全面的整合，以實現統一的管理。

一、數字化校園的涵義及意義

在傳統觀念中數字化校園一直被認為只是由一個一卡通系統和多個應用系統組成，例如各種辦公系統、多媒體教學系統、人事系統和財務系統等。但由于各個系統中的信息，數據保存格式以及操作人員的權限設置都不一致，并且各系統由于開發商的不同很難做到統一的接口，系統間通訊困難，對于整個校園來講只是一個個“信息孤島”，造成大量冗余、錯誤的信息，因此這樣的“數字化校園”只是一個狹義的概念，并不能完全發揮信息化的優勢。而數字化校園真正的涵義是指以校園網絡為基礎，利用計算機、各種通訊手段對學校里各種辦公系統、多媒體教學系統進行統一的信息化管理，包括統一的身份認證、權限控制、教學資源管理以及對人事、財務、后勤等信息系統的統一管理等。數字化校園在時間和空間上都超越傳統意義上的校園，它是一個基于先進的信息化技術的虛擬校園，使現實的校園環境得到延伸[1]。

數字化校園的建設對于高校的管理和發展具有重要意義。首先，數字化校園是一個虛擬化的校園，它超越了時間和空間上的局限，使學校的跨地域業務得到有效開展，對學校建立創新型的教學模式，開放式的教育環境，多層次的管理方法都具有相當重要的意義。其次，數字化校園以網絡通訊為基礎，通過計算機處理大量的信息，使學校教工把一些查詢、統計、計算等工作交給計算機來完成，大大降低了工作量，提高了工作效率。再者，數字化校園成功解決了學校“信息孤島”的問題。數字化校園的成功實施，能把學校里各個分散的系統整合，實現數據的統一管理，避免出現數據的重復檢索、錄入。例如圖書館的圖書借閱系統，里面的人員信息不需要重新錄入，可以直接從人事處數據庫中調用，有效解決了數據的不一致問題。

二、國內外相關課題的研究現狀

“數字化”這個概念最先是由美國前副總統戈爾于1998年在美國加利福尼亞科學中心發表的題為《數字地球---21世紀認識地球的方式》（The Digital Earth:Understanding in our planet in the 21st Century）的報告中首次提到的，他提出了數字化地球的概念，此后，“數字化”名詞在全球流行開來，各行各業如數字化城市、數字化校園、數字化圖書館等名詞接二連三被提出。

近年來，校園數字化建設已經成為世界各國高校重點研究的課題之一。

在國外，英國信息教育技術走在前列。1998年1月英國啟動了全國學習網，利用網絡的高速優勢把學校、科研機構、圖書館等網站連為一體，為網絡教育開辟了途徑。2002年，英國全國學習網的網絡連接所有家庭、社區、學校、醫院、社會服務以及大眾媒體轉播系統、單位，基本能滿足學校教育、家庭教育、職業教育、終身教育和社會經濟發展的需求。

國內大學信息化基礎建設方面，在90年代初，建成校園網并通過CERNET建設與國際互聯網連接的大學總數不過10所左右。到1999年，已經有500余所大學建設了結構先進、功能完備的校園網絡。2002年，北京大學和香港大學共同啟動了亞洲地區第一個國際性的高等教育信息化研究項目，對亞洲地區各國高校信息化建設、發展的最新動態和信息，進行研究。

現階段醫學院校信息化建設所面臨的主要問題有：一是學校以醫學專業為主，信息化意識不強，缺乏專業的信息化建設人才隊伍；二是信息化建設各自為政，存在重復建設現象；三是信息化建設進程緩慢，沒有建立網上自動辦公系統和智能化決策支持系統。

三、數字化校園建設目標

醫學院校數字化建設的總體目標是建成一個適合學校校情的數字化校園模型，即“統一平臺+統一門戶+多應用系統”的建設模式，從而實現校內教學、管理、科研的全面信息化、網絡化。免費論文，整合。

1.統一平臺是指一個高性能的、負載均衡的、可擴展易維護的、高安全的應用軟件、硬件以及數據庫平臺。其中包括統一信息門戶平臺、統一身份認證平臺和統一公共數據平臺三大基礎平臺。

2.統一門戶是指要建成一個統一的、開放的、能提供信息共享并能提供多種應用服務的高效穩定的門戶中心。

3.多應用系統指為滿足各種教學、管理、科研等日常業務的需要而提供的各種信息化軟件、工具等，如教務系統、人事管理系統、財務系統、科研管理系統、學生管理系統等，這些系統從統一的數據庫平臺調用數據，共享規范標準格式的數據，提供統一的接口程序。

通過數字化校園的標準建設，集成現有的應用系統，在新需求下開發新的應用系統，從而實現校園的信息共享和傳遞，最終構建一個集教學、科研、管理、活動為一體的信息化環境，實現學校教育過程的全面信息化，從根本上提高教學質量、科研水平和管理水平。免費論文，整合。

四、數字化校園建設內容

數字化校園的建設是在現有網絡基礎設施的基礎上對校內所有信息化資源（包括各種應用系統、數據庫資源、認證系統等）進行全面整合的過程。數字化校園建設的各個環節必須互相緊扣，有計劃、有步驟地實施，確保各個環節協調發展。醫學院校的數字化校園建設可以結合自身特點，發展幾項特色項目，如虛擬實驗室、虛擬醫院、虛擬手術臺等。

數字化校園的總體架構設計包括基礎設施建設、統一身份認證平臺、應用系統建設

1、基礎設施建設

基礎設施建設包括基礎網絡平臺、弱電系統和IDC數據中心建設，是建設好數字化校園的基本保證，為數字校園提供最底層的網絡、硬件支持。

（1）基礎網絡平臺、弱電系統

（2）IDC數據中心

IDC數據中心是由一系列的硬件、軟件、相關網絡組成的整體，它作為全校數據流轉與交換的中心，主要包括主機系統、存儲系統、網絡系統、安全系統等硬件設備和數據庫系統、應用服務器、目錄服務器數據匯聚設備。

2、統一身份認證平臺

在數字化校園中，各個系統之間經常需要相互協作才能完成一項任務。但對于同一個用戶來說，如果不同的系統都要不同的登錄信息，并且要重復登錄，這就給用戶帶來極大的不便，也給系統加重了負擔。而所謂的統一身份認證就是對校內各個不同的應用系統采用統一的身份認證系統，為各應用系統的集成奠定基礎。

目前高校身份認證管理存在以下問題：

（1）由于目前校內各個系統都是分散管理，因此就難以統一管理用戶的賬號，這就難免會對一些賬號信息進行重復管理，增加管理成本。免費論文，整合。

（2）賬號的使用沒有落實到實名，一個賬號存在多人使用的現象，在出現安全事故時難以明確責任，因此在安全管理上存在漏洞。免費論文，整合。

（3）不同應用系統之間的認證模式和規范不同，安全等級劃分標準也不同，不便于全校的安全管理。免費論文，整合。

（4）一個用戶如要使用多個應用系統，就必須記憶多套賬號信息，并需重復登錄，給用戶的操作帶來極大的不變[2]。免費論文，整合。

3、應用系統建設

應用系統主要有一卡通系統、數字圖書館、教學系統、學工系統、人事系統、財務系統、精品課程等。

（1）一卡通系統

一卡通是數字化校園建設的重要內容，是校內各系統連接的樞紐。校園一卡通以校園網為基礎，集成各種計算機網絡設備、數據終端，以IC卡為載體實現校園管理的信息化。系統建成以后，將取代以前校內的各種卡證（如借書證、飯卡、工作證、學生證等），真正實現校內工作、學習、生活的“一卡通”。

（2）數字圖書館

數字圖書館是數字化校園的重要組成部分，它是指運用數字技術和信息技術把處于不同地理位置的信息資源進行整合存儲，并通過網絡向廣大讀者提供多媒體信息資源的虛擬化圖書館。數字圖書館不受地域空間的限制，能最大限度地共享各地信息資源。

（3）教學系統

教學系統主要有教務管理系統，它管理的對象主要有學生信息、教師信息、管理人員信息以及教學資源信息（如教室、多媒體等）。而它主要實現的功能有：排課、選課、考試安排、教學測評等[3]。

五．結束語

數字化校園已經成為建設現代化高校必須面臨的課題。數字化校園建成后，將很大程度上改變學校的教學、管理、科研等工作模式，更方便了校內的信息傳遞、共享。但國內醫學院校的數字化校園建設還有很長的一段路要走，必須在初期做好整體規劃，以學校的中心工作為出發點有計劃地實施。

參考文獻

[1]傅霖，張凡，江魁.高校數字校園探索與信息標準化建設[J].中國教育信息化，2007

[2]張應祥，吳健，孟彤.數字校園統一身份認證系統及管理平臺設計，2010

篇（5）

論文摘要：隨著移動存儲設備的廣泛應用，由其引發的信息泄漏等安全問題日益受到關注。針對目前移動存儲安全解決方案中利用用戶名和密碼進行身份認證的不足，本文提出了基于智能卡技術的安全管理方案。該方案將指紋特征作為判定移動存儲設備持有者身份的依據，同時通過智能卡技術實現了移動存儲設備與接入終端間的雙向認證，從源頭上杜絕了移動存儲設備帶來的安全隱患。

1引言

移動存儲設備因其體積小、容量大、使用靈活而應用廣泛，但其本身的“匿名性”給設備安全管理帶來了巨大挑戰，身份認證難、信息易泄露、常攜帶病毒等問題一直困擾著用戶和計算機系統安全人員。

在移動存儲的安全管理上應基于兩個層面：首先是移動存儲設備對用戶的身份認證，以確保移動存儲設備持有者身份的合法性；其次是移動存儲設備與接入終端間的雙向認證。目前，移動存儲的安全管理往往是基于用戶名和口令的身份認證方案，容易受到非法用戶“假冒身份”的攻擊，同時系統中所保存的口令表的安全性也難以保障，因此該方案存在較大的安全隱患。少數采用生物特征識別的安全方案也僅僅做到了第一個層面的身份認證，仍無法解決對移動存儲設備本身的身份認證以及移動存儲設備對接入終端的身份認證。然而，移動存儲設備和接入終端間雙向認證的必要性是顯而易見的，只有被終端信任的移動存儲設備才允許接入；同時，當終端也被移動存儲設備信任時，移動存儲設備和終端才能獲得彼此間相互讀寫的操作權限。只有實現上述的雙向認證，才能有效地在源頭杜絕移動存儲設備帶來的安全隱患。

本文描述了一種移動存儲安全管理方案，針對U盤和移動硬盤等移動存儲設備，基于智能卡技術，結合指紋識別模塊，解決了設備持有者的身份認證以及設備與接人終端間的雙向認證問題，并將設備持有者的指紋作為實名訪問信息記人審計系統，進一步完善了移動存儲的安全管理方案。

2基于指紋識別的用戶身份認證

指紋識別技術主要涉及指紋圖像采集、指紋圖像處理、特征提取、數據保存、特征值的比對和匹配等過程，典型的指紋識別系統如圖1所示。

圖1指紋識別系統

指紋圖像預處理的目的是去除指紋圖像中的噪音，將其轉化為一幅清晰的點線圖，便于提取正確的指紋特征。預處理影響指紋識別的效果，具有重要的意義。它分四步進行，即灰度濾波、二值化、二值去噪和細化。圖像細化后，采用細節點模板提取出指紋圖像的脊線末梢和脊線分支點的位置，將指紋認證問題轉化成為點模式匹配問題。

如圖2所示，移動存儲設備采用兼容多種設備接口的控制芯片、安全控制閃存芯片、大容量用戶標準Flash構成硬件基礎，以智能卡控制芯片為控制中心，結合指紋識別模塊，實現對設備持有者的身份認證；同時，結合大容量普通閃存存儲結構，實現數據存儲低層管理和數據存儲加密。

3基于智能卡技術的雙向認證

為加強系統認證安全性與可信性，在移動存儲設備內集成智能卡模塊，使之具備計笄能力，從而實現移動存儲設備與終端之問的雙向認證。移動存儲設備的身份文件存放于智能卡模塊中。身份文件是指存儲著移動存儲設備各項物理特征信息的私密文件，由于這些物理特征信息與個體緊密相聯，所以可以起到唯一鑒別該移動存儲設備的作用。

智能卡模塊提供對終端的認證，只有通過認證的終端才能訪問身份文件和移動存儲設備中的數據。將現有移動存儲設備硬件結構進行改造，在其中分別加人指紋處理模塊與智能卡模塊后的硬件結構如圖3所示。

智能卡模塊內置CPU、存儲器、加解密算法協處理器、隨機數發生器等硬件單元，及芯片操作系統(COS)、芯片文件系統等多個功能模塊。其內部具有安全數據存儲空間，用于存放移動存儲設備的身份文件。對該存儲空間的讀寫受身份認證機制保護，只有通過認證的用戶和終端才能對其進行訪問，并且操作必須通過定制的應用程序實現，用戶無法直接讀取。支持指紋認證的智能卡文件系統如圖4所示。

對終端的身份認證方式有多種，本方案采用沖擊一響應的認證方式_7]。需要驗證終端身份時，終端向智能卡模塊發送驗證請求，智能卡模塊接到此請求后產生一組隨機數發送給終端(稱為沖擊)。終端收到隨機數后，使用終端認證軟件內置的密鑰對該隨機數進行一次三重DES加密運算，并將得到的結果作為認證依據傳給智能卡模塊(稱為響應)，與此同時，智能卡模塊也使用該隨機數與內置的密鑰進行相同的密碼運算，若運算結果與終端傳回的響應結果相同，則通過認證。這種認證方式以對稱密碼為基礎，特點是實現簡單，運算速度快，安全性高，比較適合對移動存儲設備的認證。

在終端通過認證，取得移動存儲設備信任的前提下，終端通過智能卡模塊讀取移動存儲設備身份文件，對移動存儲設備進行準入認證。只有在雙向認證通過的情況下，移動存儲設備才能接入可信終端，進而在授權服務器分發的安全策略下與可信域終端進行正常的讀寫操作。

4移動存儲安全管理系統設計

在采用智能卡技術的基礎上，加入移動存儲安全管理系統，提供對移動存儲設備的接人控制，將認證體系擴展至計算機USB總線。

安全管理系統的認證體系示意圖如圖5所示。各終端首先需要加入某個信任域，在此之后可對移動存儲設備提供基于所在信任域的接入認證，如果終端沒有通過信任域認證，則不允許任何移動存儲設備接入。

授權認證服務器位于各信任域的公共區域中，為各信任域的終端提供移動存儲設備授權認證服務。它將設備授權給某個信任域后，該設備便成為該區域中的授權設備，可在該區域中任意一臺終端上使用；在其他區域使用時將被認為是未授權的，接入將被拒絕。隔離區中的終端與授權認證服務器不能通過網絡相連，從而保證了被隔離的終端不能夠使用移動存儲設備，防止安全隱患向外擴散。這種把安全域細分成不同信任域的整體設計可以最大限度地防止安全實體內敏感數據的任意傳播，大大降低涉密信息向外非法泄露的可能性。

終端移動設備認證軟件部署在網絡系統中的各臺終端上，實時監測終端上所有USB接口，探測接人的移動存儲設備。發現設備后，認證軟件將與接入設備進行相互認證，并與認證服務器通信，對設備進行認證，通過認證的設備被認為是當前信任域的授權設備，否則將被認為是未授權的。根據認證結果，允許或禁止移動設備接入。

4．1授權流程描述

服務器端授權軟件運行時，探測出所有連接到授權服務器上的移動存儲設備，并將結果報告給管理員。管理員指定需要授權的設備，填寫好授權區域、授權日期、授權人、授權有效期并錄入用戶指紋信息后，授權軟件開始對該移動存儲設備進行授權。

(1)獲取該設備的各項物理信息，這些信息具有特征標識，可以唯一地標識該設備；

(2)將收集到的物理信息和管理員輸入的授權區域、授權日期、授權人、授權有效期等信息以一定格式排列，并注入隨機字符，采用三重DES運算，生成身份文件；

(3)設置移動存儲設備中指紋模塊的指紋信息；

(4)將智能卡模塊中的認證密鑰設成與終端事先約定好的密鑰；

(5)將(3)中生成的身份文件存入智能卡模塊中的安全數據存儲空間。

4．2認證流程描述

圖6是移動存儲設備管理系統完成認證的整個流程，其步驟如下：

(1)終端認證軟件判斷當前終端所處區域，如果處于信任域中，掃描各USB端口狀態，判斷是否有新設備接人；如果處于隔離區，則拒絕任何USB移動設備接入。

(2)如果探測到新設備接入，智能卡CPU調用指紋處理模塊，接收并驗證用戶指紋。

(3)如果指紋認證通過，則終端向USB存儲設備發送認證請求；否則禁用該USB存儲設備。

(4)如果沒有收到USB存儲設備的智能卡模塊發來的隨機數，證明該設備是不符合系統硬件設計要求的，拒絕接入；如果收到隨機數，則進行沖擊一響應認證。如果沒有通過認證，證明該終端為非信任終端，智能卡模塊拒絕該設備接人終端。

(5)終端讀取智能卡模塊存儲的身份文件，并讀取該設備的各項物理信息，將身份文件、物理信息及終端所處的信任域信息發送至認證服務器進行認證。

(6)服務器認證軟件接收到終端發送來的信息后，將標識文件解密，得到授權區域、授權日期、授權人、授權有效期等信息。

①將解密得到的物理信息與終端發來的物理信息作比對，如果不相符，證明該標識文件是被復制或偽造的，向終端發送未通過認證的指令。

②如果①中認證通過，將解密得到的信任域信息與終端發來的信任域信息作比對，如果不相符，證明該移動存儲設備處于非授權區域中，向終端發送未通過認證的指令。

③如果②中認證通過，將解密得到的授權有效期與當前日期做比較，如果當前日期處于有效期內，向終端發送通過認證的指令；如果當前日期處于有效期外，向終端發送未通過認證的指令。

(7)終端接收認證服務器發來的指令，對USB設備執行允許或禁止接入的操作。如果USB設備被允許接入，則智能卡模塊將設備持有者指紋提交給認證服務器，作為已授權訪問記錄記入日志中。

(8)轉至(2)繼續探測新設備。

5安全性分析

本方案通過在移動存儲設備中加入指紋識別模塊和智能卡模塊，更安全可靠地解決了設備持有者身份認證問題以及移動存儲設備的“匿名性”問題，通過引入身份文件，實現了移動存儲設備的實名制認證。結合智能卡的相關技術，本方案從根本上解決了移動存儲設備與接入終端問的雙向認證問題，構建了雙方互信的安全傳輸環境。

基于信任域的劃分對設備進行授權管理，使整個系統能夠同時對終端和移動存儲設備提供接人控制，有效地阻止了安全威脅的傳播。在方案的具體實現上，有如下安全性考慮：

(1)移動存儲設備采用指紋識別的方式認證設備持有者身份，確保其身份的合法性；采用三重DES對稱加密的方式對終端進行認證，確保終端為運行認證軟件的合法授權終端，有效地避免了強力破解的可能性。

(2)移動存儲設備的物理信息各不相同，身份文件也是唯一確定的。身份文件采用三重DES加密的方式，加解密過　程全部在服務器端認證軟件中完成，密鑰不出服務器，避

免了密碼被截獲的可能性。身份文件存儲于智能卡模塊中的安全數據存儲區，受智能卡模塊軟硬件的雙重保護。方案保證了身份文件的唯一性、抗復制性和抗偽造性，任何非授權設備都無法通過破譯、復制、偽造等人侵手段冒名成為授權設備。

(3)認證服務器與隔離區中的終端相互隔離，只能被信任域中的終端訪問，保證了認證服務器的安全。

(4)雙向認證通過后，被授權的移動存儲設備將設備持有者的指紋記入授權服務器的訪問日志中，以便日后能夠準確地確定安全事故責任人。

篇（6）

中圖分類號：TP393.08

1 可信服務器的設計

1.1 系統結構

可信服務器主要有用戶請求響應模塊，用戶身份識別模塊，可信度量模塊，可信修復模塊，如圖1所示。用戶請求響應模塊響應客戶端的連接請求；用戶身份識別模塊記錄用戶的身份及可信屬性信息；可信度量模塊根據收集的客戶端可信屬性，計算出客戶端的可信值，并將可信值發送給決策機構；可信修復模塊對不可信的終端進行修復操作，其分為網絡接口模塊、用戶身份認證模塊、修復資源管理模塊。

圖1 系統結構

1.2 可信度量方法

定義1用戶可信度是允許用戶訪問服務器需滿足的最小可信度值，

如表1所示，終端A滿足系統的完整性安全策略，因而能順利的接入可信服務器。終端B不滿足系統的安全策略的第（2）、（3）條屬性，故需要可信修復后才可以再次進行可信接入認證。終端C沒有安裝TPM安全芯片，屬于終端系統的硬件問題，無法修復，所以可信服務器通知終端無法修復，直接隔離。終端D的操作系統版本不對，不滿足完整性安全策略第（1）條屬性，也無法進行修復，直接進行隔離。

測試結果表明：

（1）接入認證過程及可信修復模塊的功能都得到了正確的實現。

（2）可信服務器能有效防止不可信終端的接入，保證系統的安全可信。

（3）只有終端在身份認證成功后，且其完整性度量計算的可信度值滿足系統的可信度閾值，才允許其訪問可信服務器，而沒有滿足可信度閾值的終端將被隔離修復。

（4）可信服務器只能對終端的軟件相關的屬性進行修復，而不能修復終端硬件的不可信屬性，如是否安裝TPM安全芯片、操作系統是否符合等，符合預期。

3 結束語

本文設計并實現了可信服務器的基本功能，實現了可信服務器的核心功能可信修復應用，實現了身份認證、可信度量及可信修復功能。最后，對幾種不同配置情形的終端進行了測試，結果表明測試結果符合預期，具有可行性。

參考文獻：

[1]林闖，彭雪海.可信網絡研究[J].計算機學報，2005（05）：751-758.

[2]李興國，顧震蘇.基于可信網絡連接的安全接入技術[J].信息安全，2007（23）：28-29+46.

[3]David Challener（美）.可信計算[M].北京：機械工業出版社，2009.

篇（7）

高校各個部門相對獨立分散的業務系統通過數字化校園三大平臺進行統一整合和有效的集成，對集成數據制定統一的標準，實時更新各種數據信息，確保信息的一致性和提高信息的準確性，從而提升領導的決策水平和高校整體管理水平。數字化校園三大平臺不僅可以解決高校信息孤島的問題，規范業務流程，還能為高校師生提供“一站式”服務，提高工作效率。

1 信息化標準建設與公共數據平臺建設

現如今，高校各部門各司其職，根據需求建立各自的管理系統，缺乏數據統一標準和資源共享的意識。如果高校沒有建立統一的信息化標準，往往會導致數據資源的浪費。建設數字化校園三大平臺的主要目的是實現資源和數據共享以及將多個不關聯的系統統一成一個系統，實現各部門之間數據交互，方便信息管理，提高工作效率。所謂信息化標準，是指信息在產生、傳輸、交換和處理時采用統一的概念、傳輸和表達格式、術語以及規則。

公共數據平臺是建設信息門戶平臺和統一身份認證平臺的基礎，是數字化校園建設的重要組成部分。通過公共數據平臺，可以對學校各個部門的數據信息進行收集、管理和利用，可以有效解決“數據共享難、信息孤島”問題。公共數據庫是統一管理數字化校園中的各種結構化數據的平臺，具有建立和劃分面向具體業務的數據庫功能，可確保數據的一致性、完整性和安全性。通過數據集成平臺可以將教務處、財務處、學工處、人事處、科研處、圖書館等應用系統的數據庫集中到公共數據庫里，并保持所有應用數據的統一。

2 統一身份認證平臺建設

隨著教育信息化的發展，學校需求的應用系統越來越多，不利于網絡管理工作的開展。尤其是不同的應用系統其身份認證方式也不同，用戶人員需要掌握大量的登錄信息，經常會出現混淆登錄信息以及忘記登錄密碼的問題，降低了用戶的工作效率，同時也給網絡中心工作人員增加了不少的任務量。高校現有的業務系統大部分都是單獨授權、單獨認證和單獨的賬號管理的模式，這種模式已經不能滿足信息化快速發展的需求。因此，建設一個統一的、安全可靠的、集中式的身份認證和管理平臺是一項相當重要的任務。

統一身份認證平臺屬于信息門戶平臺的身份認證方面，可以支持多個業務系統間單點登錄（SSO），為各學校各個部門的業務系統提供集中式管理和安全認證機制，使得各種業務系統有效的整合和集成在一起。為了更好的使用系統和降低信息中心運維人員的工作負擔，統一身份認證平臺提供了自助密碼找回功能。

3 信息門戶平臺建設

信息門戶平臺是直接展現給用戶面前的，不僅可以及時的新聞通知，還可以提供管理、學習、生活等多方面的服務，增強了用戶體驗感，給全校師生帶來了便捷性。

在該平臺中，通過微博聚合方式將學校官方微博中的新聞、通知等信息推送到門敉站中。另外，學校目前擁有的業務系統如教務系統、財務系統、人事系統、科研系統、郵件系統、OA系統、校園一卡通、就業系統、迎新系統、離校系統等模塊也會集成到門戶網站中，并抽取OA待辦事項、圖書借閱情況、校園卡余額、教師的本月工資和公積金發送情況、站內信息未讀提醒等服務模塊。信息門戶管理平臺根據學校領導、普通教師以及學生需求的不同將信息門戶頁面展現的內容劃分成三種，例如，以學生身份作為用戶登錄進去，頁面中會增加成績查詢和已修學分信息，方便學生掌握自己的已修課程成績和學分情況。此外，用戶可以根據本身的愛好需求將一些應用模塊添加到首頁，對界面進行美化，增強用戶體驗感。

4 結束語

數字化校園三大平臺建設在計算機和網絡技術基礎之上將高校內部各個相對獨立分散的業務系統有效的集成在一起，有效的解決了信息孤島的問題，實現了數據共享，提高了高校整體管理水平和綜合實力，有助于學模式和觀念的轉變，更好的輔助學校領導決策。

參考文獻

[1]張應祥.高校數字校園信息標準設計研究[J].中國教育信息化，2010（05）：22-24.

[2]殷娜.數字化校園統一身份認證平臺的構建[J].計算機技術與發展，2014（08）.

[3]任婕.統一認證在校園門戶網站上的應用[J].江蘇教育學院學報：自然科學版，2010，26（12）：63-67.

篇（8）

中圖分類號：TP309 文獻標識碼：A DOI：10.3969/j.issn.1003-6970.2013.07.038

本文著錄格式：[1]馬萌，王全成，康乃林.Internet密鑰IKE協議安全性分析[J].軟件，2013，34（7）：112-114

0 引言

在開放性的網絡體系中，進行秘密、敏感信息傳遞時，首先要求通信雙方擁有共享密鑰，才能夠按照安全性需求對數據進行機密性、完整性和身份認證保護。為了應對Internet密鑰交換協議面臨的復雜多樣的網絡威脅和攻擊手段，本文詳細分析了IKE協議的基本思想和主要存在的四個方面的安全缺陷，為采取更加有效的信息安全技術和方法，堵塞可能的安全漏洞和隱患提供幫助，從而滿足日益增長的網絡安全應用要求。

1 IKE協議的基本思想

IKE協議吸取ISAKMP協議、OAKLEY協議和SKEME協議各自的特點組合而成[1]，同時還重新定義了兩種密鑰交換方式[1]。

一次典型的IKE密鑰協商交換可描述如下（第一階段采用主模式和公鑰簽名身份驗證）：

（1）SA載荷交換，協商認證算法、加密算法等，交換Cookies對；（2）KE載荷，Nonce載荷交換，提供計算共享密鑰的有關參數信息。（3）通信雙方分別計算共享密鑰參數。（4）通信雙方進行身份驗證，構建IKE SA；（5）進行IPSec SA載荷和選擇符信息交換，協商IPSec SA的驗證算法、加密算法，計算IPSec SA密鑰參數，構建IPSec SA。

由上可知，IKE 協議在兩個通信實體間之間實現密鑰協商的過程實際上分為2個階段。第一階段構建IKE SA，第二階段構建IPSec SA。

在第一階段，使用主模式或者積極模式，建立IKE SA，為通信實體之間建成安全的通信信道，為第二階段的密鑰協商提供安全保護服務。

第二階段，使用快速模式，依托第一階段創建的IKE SA通信信道，構建IPSec SA，為通信雙方之間的數據傳輸提供機密性、完整性和可靠。

兩個階段的IKE協商相對增加了系統的初始開銷，但是由于第一階段協商建立的SA可以為第二階段建立多個SA提供保護，從而簡化了第二階段的協商過程，結合第二階段SA協商總體數量較多的實際，仍然是節約了系統的資源。

在第一階段，當需要對協商雙方提供身份保護時使用主模式相對安全一些，而積極模式實現起來簡單一些，卻無法提供身份保護服務；第二階段使用的快速模式，在一個IKE SA的保護下可以同時進行多個協商；新組模式允許通信雙方根據安全性要求協商私有Oakley組，但新組模式既不屬于第一階段也不屬于第二階段，且必須在第一階段完成后方可進行。

2 IKE協議的交互流程

第一階段主模式或積極模式中，都支持數字簽名、預共享密鑰和公鑰加密等身份認證方法。不同的身份認證方式，身份認證的原理不同，傳遞的密鑰協商交換消息也有所不同。其中，數字簽名認證是利用公鑰加解密原理，由通信雙方生成數字簽名信息，再由另一方對數字簽名信息進行解密、比較，實現對通信雙方的身份認證；預共享密鑰認證是利用對稱密鑰加解密原理，由通信雙方利用私鑰對認證內容計算hash值，再將hash值發送給對方進行解密、比較，完成身份認證；公鑰加密認證仍然是利用了公鑰加解密原理，與數字簽名認證不同的是，由通信雙方利用對方的公鑰分別加密身份識別負載和當前時間負載的數據部分，然后根據對方返回的結果以確定對方的身份。公鑰加密認證方式有兩種，區別在于加解密的次數不同。

下面，我們以數字簽名為例，說明2個階段的具體協商流程。

2.1第一階段密鑰生成

3 IKE 協議的安全缺陷

目前針對IKE協議的安全性分析結果非常多，已發現的安全問題和隱患也非常多，歸納起來主要有以下幾類。

3.1 拒絕服務（DoS）攻擊

拒絕服務（DoS）攻擊是一種針對某些服務可用性的攻擊，是一種通過耗盡CPU、內存、帶寬以及磁盤空間等系統資源，來阻止或削弱對網絡、系統或應用程序的授權使用的行為[2]。更加形象直觀的解釋，是指攻擊者產生大量的請求數據包發往目標主機，迫使目標主機陷入對這些請求數據包的無效處理之中，從而消耗目標主機的內存、計算資源和網絡帶寬等有限資源，使目標主機正常響應速度降低或者徹底處于癱瘓狀態。DoS攻擊是目前黑客常用的攻擊方式之一。在Internet密鑰交換協議中，由于響應方要占用CPU和內存等進行大量的密集的模冪等復雜運算，而其存儲和計算能力是有限的，鑒于這一瓶頸問題的制約，極易遭到DoS攻擊。

雖然Internet密鑰交換協議采用了Cookie機制，可在一定程度上防止DoS攻擊，但Cookie數據的隨機性又極大的制約了其作用的發揮[3]。同時，更有分析認為Internet密鑰交換協議的Cookie機制會導致更加嚴重的DoS攻擊。因為協議規定Internet密鑰交換的響應方必須對已經驗證過的合法Cookie建立SA請求予以響應，攻擊者可以利用這一規定，直接復制以前的ISAKMP消息，不更改其Cookie數值并發送給響應方，而響應者需要大量CPU時間的運算后才能判別出發起者是非法的，從而無法從根本上防止DoS攻擊。

3.2 中間人攻擊

中間人攻擊是指通信實體在通信時，第三方攻擊者非法介入其中并與通信雙方建立會話密鑰，作為真實的通信實體間消息通信的中轉站，從而共享通信實體雙方的秘密信息。中間人攻擊的方法主要是對消息進行篡改、竊聽，重定向消息以及重放舊消息等[4]，是一種攻擊性很強的攻擊方式，屬于主動攻擊方式的一種[5]。

圖3.1詳細描述了中間人攻擊[6]，當Initiator與Responder進行D-H算法密鑰交換時，Initiator計算并發送公鑰X，Attacker竊取X，并假冒Responder發送公鑰Z給Initiator，從而完成一次D-H密鑰交換，雙方之間共享了一個密鑰。同理，Attacker和Responder之間也可以共享一個密鑰。這樣，當真正的通信雙方進行信息交換時，所有數據都經由Attacker中轉，而不會被發覺。

IKE協議的身份驗證機制可以有效防止中間人攻擊，但仍有一些缺陷。

3.3 身份隱藏保護缺陷

IKE協議第一階段有兩種模式、四種認證方式，其中一個主要目的就是要能夠提供發起方和響應方的身份隱藏保護功能，但是在積極模式下的數字簽名認證和預共享密鑰認證，以及主模式下的數字簽名認證都無法提供身份隱藏保護。例如，在第一階段主模式協商的數字簽名認證方式中，一個主動攻擊者就可以偽裝響應方的地址并與發起方協商D-H公開值，從而獲得發起方的身份信息[7]。

一般來說，在無法同時保護通信雙方身份的情況下，要優先考慮隱藏發起方的身份。因為絕大多數的響應方在IKE交換中都是作為服務的一方，而服務器的身份信息一般是公共的，所以可以認為保護發起方的身份要比保護響應方的身份要更為重要[8]。

3.4 其它安全缺陷

除了以上的安全缺陷外，IKE機制還存在一些其它的問題，如難以抗重放攻擊、新組模式定義多余等。

重放攻擊是指攻擊者采取網絡數據包提取等技術手段，對發起方和接收方之間的通信數據進行竊聽或者截取，獲得通信雙方之間的任意消息，然后將該消息重新發送給接收方，從而消耗網絡資源，甚至癱瘓通信網絡。在整個Internet密鑰交換過程當中，通信雙方都需要保存部分交換信息用來記錄數據交換情況，同時，當Cookies對建立以后，數據狀態信息可以用來表示數據交換狀態。此時，第三方攻擊者利用網上截獲的正常數據包進行重新發送，或者攻擊者截獲Cookies對后偽造假消息，由于該Cookies對是真實的，通信實體雙方仍然會對偽造的假消息進行處理，甚至再次解密消息，或者由于無法正常解密，從而發現消息不真實。這樣會使系統被迫處理大量無效的操作，降低處理效率，浪費大量系統計算和存儲資源。

4 結論

本文詳細分析了IKE協議的基本思想和主要存在的四個方面的安全缺陷，認為必須深入分析Internet密鑰交換協議面臨的復雜多樣的網絡威脅和攻擊手段，采取更加有效的信息安全技術和方法，不斷改進Internet密鑰交換協議，堵塞可能的安全漏洞和隱患，從而滿足日益增長的網絡安全應用要求。

參考文獻

[1] D.Harkins，D. Carrel.Internet key exchange. RFC 2409，Nov 1998.

[2] William Stallings，Lawrie Brown.計算機安全原理與實踐.北京：機械工業出版社，2008：166～180.

[3] 黃永鋒.IKE協議改進及其實現框架[碩士論文].鎮江：江蘇大學.2005.

[4]張紅旗.信息網絡安全.北京：清華大學出版社，2002：106～107.

[5]William Stallings著.網絡安全要素——應用與標準.北京：人民郵電出版社，2000.

篇（9）

0引言

由于網絡環境的特殊性，每一個投人使用的網絡應用系統都不可避免地面臨安全的威脅，因此，必須采取相應的安全措施。國內在信息安全方面已做了很多相關研究，但大多是單獨考慮資源保護或身份認證等某一方面，而對如何構建一個相對完善且通用的網絡應用系統信息安全解決方案研究不多。本文在iso提出的安全服務框架下，融合了數據加密、身份認證和訪問控制三種安全技術和機制，并充分考慮了系統安全性需求與可用性、成本等特性之間的平衡，提出了一個以信息資源傳輸和存儲安全保護、身份認證安全管理和資源訪問安全控制為基本要素的網絡應用系統信息安全模型，為加強中小型企業網絡應用系統安全性提供了一個比較簡單可行的方案。

1網絡應用系統信息安全模型設計

1.1信息安全模型總體設想

本文提出的網絡應用系統信息安全模型主要基于三個要素:信息資源傳輸和存儲安全保護，身份認證安全管理以及用戶對資源訪問的安全控制。wWW.133229.COm整個信息安全模型如圖1所示。模型利用過濾器來區分敏感數據與非敏感數據，對于非敏感數據直接以明文形式進人信息資源層處理，而對敏感數據則采用加密傳輸通道進行傳輸，且需要經過身份認證層與訪問控制層的控制后才能進人信息資源層。這樣的設計在保證了信息傳輸和存儲較高的安全性的同時，減少了身份認證層與訪問控制層的系統開銷，大大提高了系統的運行效率。而在信息資源層，則是通過備份機制、事務日志和使用常用加密算法對數據庫中數據進行處理，來保障信息傳輸和存儲的安全。

1.2身份認證層的設計

身份認證層主要包括兩部分:用戶身份認證和用戶注冊信息管理，采用了基于改進的挑戰/應答式動態口令認證機制。

目前使用比較普遍的是挑戰/應答式動態口令認證機制，每次認證時服務器端都給客戶端發送一個不同的“挑戰”字串，客戶端收到這個字串后，作出相應的”應答”。但是，標準的挑戰/應答動態口令認證機制具有攻擊者截獲隨機數從而假冒服務器和用戶，以及口令以明文形式存放在數據庫中易受攻擊兩個缺點。在本模型采用的改進的挑戰/應答式動態口令認證機制中，通過1.4節中論述的敏感數據加密通道對隨機數進行加密傳輸解決了上述第一個問題;通過在客戶端將用戶口令經mds算法散列運算并保存在服務器端數據庫解決了上述第二個問題，使得服務器在認證時只需要比對客戶端處理后傳來的加密字符串即可。方案的具體流程如下:

1)服務器端口令的保存當用戶在服務器端錄人注冊信息時，將用戶的密碼進行k次mds散列運算放在數據庫中。

2)用戶請求登錄服務器端開始執行口令驗證:當用戶請求登錄服務器時，web服務器在送出登錄頁面的同時產生一個隨機數并將其通過敏感數據加密傳輸通道發給客戶端。

3)客戶端mds口令的生成客戶端首先重復調用與服務器端同樣的mds運算k次，得到與保存在服務器端數據庫中的口令一致的消息摘要。然后，將從服務器傳來的隨機數與該口令相加后再調用客戶端的mds散列運算函數，將結果(mds口令)通過敏感數據加密傳輸通道傳送給服務器。

4)服務器端對mds口令的驗證服務器端收到客戶端傳來的用戶名和mds口令后，通過查詢數據庫，將已存儲的經過k次mds散列運算的口令與隨機數相加后同樣進行mds散列運算，并比較兩個結果是否相同，如相同則通過驗證，否則拒絕請求。整個用戶口令的生成和驗證過程如圖2所示。

1.3基于rbac的訪問控制層的設計

訪問控制層主要包括兩部分:權限驗證與授權和資源限制訪問，采用了基于角色的訪問控制機制。在rbac中引人角色的概念主要是為了分離用戶和訪間權限的直接聯系，根據組織中不同崗位及其職能，一個角色可以擁有多項權限，可以被賦予多個用戶;而一個權限也可以分配給多個角色。在這里，約束機制對角色和權限分配來說非常重要，本模型設計的約束機制主要包括以下幾方面:一是限制一個角色可以支持的最大用戶容量。如超級管理員這個角色對于應用系統非常重要，只允許授權給一個用戶，該角色的用戶容量就是1。二是設置互斥角色。即不允許將互相排斥的角色授權給同一個用戶。如客戶類的角色和管理員類的角色是互斥的。三是設置互斥功能權限。即不允許將互相排斥的功能權限授權給同一個角色。如客戶類角色查看自己銀行賬戶余額信息的權限與修改自己賬戶余額的權限就是互斥的。

數據庫結構設計是實現rbac的重要環節，良好的數據庫結構設計本身就可以表述rbac的要求。具體設計如下:

1)用戶信息表(user_info)保存用戶基本信息。其字段有用戶id(userid)、用戶名稱(username)、密碼(passw)、用戶類型(kind)。定義表中的kind數據項與role表中kind數據項具有相同的形式。將用戶進行分類后，當分配給用戶角色時可以指定用戶只能被分派到與其kind屬性相同的角色，這樣就可以實現角色的互斥約束。

2)角色信息表(role)、保存各個等級的角色定義信息。其字段有角色id(role_id)、角色名稱(rolename)、角色種類(kind)和角色描述(role_desc)okind數據項代表指定角色集合中的類別。

3)用戶/角色關系信息表(user_role)保存用戶和角色的對應關系，其字段有用戶id和角色id。當向user_role表中添加數據即給用戶分配角色時，要求user_info表中要分配角色的用戶數據元組中的kind數據項與role表中相應角色的元組kind數據項相同，以實現一定尺度上的角色互斥，避免用戶被賦予兩個不能同時擁有的角色類型。

4)權限信息表(permission)保存系統中規定的對系統信息資源所有操作權限集合。其字段有權限id(per_id)，操作許可(per)，資源id(pro_id)和權限描述(perdesc)。

5)角色/權限信息表(role_per)保存各個角色應擁有權限的集合。其字段有角色id和權限id。

6)系統信息資源秘密級別表(secretlevel)保存規定的系統信息資源的秘密級別。其字段有資源id，密級id(secrlev_id)和密級信息描述(secr_desc)。在客戶端和服務器端傳輸數據和存儲的過程中，通過查詢該表可以判斷哪些信息資源為敏感數據，從而決定對其實施相應的安全技術和機制。

7)角色繼承關系表(role_heir)存放表述各種角色之間繼承關系的信息。其字段有角色id，被繼承角色id(h_role_id)。角色繼承關系可以是一對一，一對多或多對多的，通過遍歷整個角色繼承關系表，就可以知道所有的角色繼承關系。

8)權限互斤表(mutexper)保存表述角色對應權限互斥關系的信息，其字段有權限id和互斥權限id。

1.4敏感數據加密傳輸通道的設計

設計敏感數據加密傳輸通道的目的是保障敏感信息在傳輸過程中的保密性與完整性。針對中小型企業網絡應用系統的特點，在充分對比各種數據加密傳輸解決方案的基礎上，從成本和效果兩方面出發，我們選擇3des加密算法對敏感數據進行加密。同時又結合了rsa算法對密鑰進行傳輸，從而解決了對稱加密算法缺乏非對稱加密算法}/}/公鑰的安全性這個問題。具體工作流程如下:

1)服務器端由rsa加密算法生成公鑰kspub和私鑰kspriv;

2)服務器端將公鑰kspub傳送給客戶端;

3)客戶端接收公鑰kspub，然后由3des加密算法生成對稱密鑰ksym，用kspub加密ksym;

4)客戶端將加密后的ksym傳送給服務器端;

5)服務器端用kspriv解密得到ksym;

6)敏感數據加密傳輸通道建立成功，服務器端和客戶端以ksym作為密鑰對敏感數據加/解密并傳輸。

1.5安全審計部分的設計

篇（10）

中圖分類號： TN99?34 文獻標識碼： A 文章編號： 1004?373X（2016）24?0022?04

Optimization improvement of key technology of cloud electronic identity management and authentication system

WANG Pengcheng， XIE Kunpeng

（Henan Institute of Finance， Zhengzhou 450000， China）

Abstract： There are high risk， low efficiency of database storage， high authentication error rate in the current identity management authentication technology. Therefore， a cloud electronic authentication management system is proposed. This system is mainly composed of authentication server， system server and cloud access server. The control agent module in the authentication server intercepts the data information that the user requests for authentication by resource server， and sends the data information to the certification service module. When the user enters into the information database， the files required by the user are encrypted and decrypted by the RSA system server module. The identity authentication relies on the user′s private key and authentication token. The data information is uploaded to the cloud access server for storage and transmission to complete the entire cloud electronic identity management and authentication. Partial functions， flow charts of file encryption and decryption in RSA module， as well as the power operation process of large numbers multiplication and large mathematical model in the verification process of RSA module are given in this paper. The experimental results shows that proposed identity management and authentication system has low energy consumption， high efficiency and high precision of data processing.

Keywords： identity management； identity authentication； RSA module； security

0 引 言

隨著電子信息技術的不斷發展，公共網絡服務、事務查詢等功能越來越多地出現在電子信息系統上。它可以為跨互聯網的用戶們提供安全快速的身份認證服務。電子信息系統給人們的生活帶來便捷，但隨之也存在電子信息技術安全性方面的問題[1?3]。其中的重要部分便是身份安全問題。構建一個安全性優良的電子身份信息管理和認證系統是目前相關專業人員的重點研究方向[4?6]。

目前的身份驗證方法都存在一些不足。如文獻[7]提出了OPEN ID身份信息處理系統，具體過程為讓用戶事先在網站上注冊個人信息，并且任何網站都可以使用OPEN ID進行登錄，對用戶身份進行認證。因為網站質量參差不齊，導致OPEN ID技術不穩定，安全風險也很大。文獻[8]提出單點登錄法，當用戶訪問任意的服務器，只要登錄過一次，通過其中的安全認證，那么下次用戶再訪問其他資源的時候則無需再次認證登錄。其缺點為安全性能太低，中央數據庫的管理代價較高。還會產生第三方服務器跨域問題。文獻[9]采用了OITF聯合身份管理系統，這種管理系統可以為多個應用系統進行身份認證，實現了跨域的單點登錄與身份管理。但由于身份安全級別的不同，安全認證的需求也不同，在多個應用系統中，要想使用統一的認證體系需要大量的開銷，極大地提高了成本。為了解決以上方法中存在的問題，本文設計了一種云電子身份管理認證系統。

1 云電子身份管理與認證系統設計

1.1 系統結構

云電子身份管理認證系統主要將數據庫中的用戶個人信息與各個應用系統的數據通過身份認證系統，來進行統一的管理、認證。首先，認證服務器將會對用戶的身份進行確認，認證服務器中的控制模塊截取用戶對資源服務器請求認證的數據信息，并將數據信息發送到認證服務模塊進行用戶身份認證。用戶進入到信息數據庫中后，需要通過系統服務器中的核心模塊，也就是RSA模塊對用戶所需文件進行加密解密處理，最終將數據信息上傳到云訪問服務器中，以完成整個電子身份認證管理過程。云電子身份管理與認證系統結構如圖1所示。

（1） 認證服務器。認證服務器含有控制模塊與認證服務模塊。其中，控制模塊截取用戶對資源服務器請求認證的數據信息，并將數據信息發送到認證服務模塊進行身份認證。認證服務器為身份認證系統與認證服務模塊之間必不可少的一環。為了在服務器交換數據信息時，用戶數據和認證服務器保持完全分離，需要使用控制模塊，它可以保護用戶個人信息的安全。而認證服務器在客戶端完成相應的身份信息認證工作。在后臺的信息數據庫里存儲了大量的用戶個人信息數據。為了保護用戶的個人信息安全，用戶與認證服務器各擁有一個RSA密鑰，RSA密鑰可以實現用戶與客戶端的互相驗證，用戶可以根據認證服務器的公鑰信息判斷驗證服務器身份是否合法。

（2） 認證客戶端。在每個公共網絡與內部網絡的未認證的用戶主機里都有一個認證客戶端，其是身份驗證系統的操作界面。

（3） 認證令牌。認證令牌是在進行身份認證時隨機生成的動態數字，經過函數計算能夠得到動態口令。身份驗證系統會將得到的動態口令與用戶的ID信息進行對比查詢，提交到認證模塊的服務器中，以此來驗證用戶的身份。在身份驗證系統中，每一位用戶都會得到一個認證令牌。

1.2 系統服務器結構設計

認證模塊、系統管理模塊、用戶模塊、RSA管理模塊以及數據庫管理模塊組成了完整的系統服務器。系統服務器依靠模塊化的部件，確保身份認證系統更具有擴展性、安全性。系統服務器構造如圖2所示。

整個系統服務器的基礎模塊為RSA模塊，其可進行RSA加密或解密，實現大數運算，根據其他模塊的需要來進行計劃調度。同樣可以進行計劃調度的還有數據庫管理模塊，它對用戶數據進行處理。用戶進入到信息數據庫中后，通過系統服務器中的RSA模塊，對用戶所需文件進行加密解密處理，依靠用戶私鑰和認證令牌實現身份認證，將數據信息上傳到云訪問服務器中進行存儲和傳遞。系統管理模塊為身份認證系統的核心，可對其他模塊進行協調并加載服務。

1.3 云訪問服務器

云訪問服務器給用戶提供存儲和共享數據信息，并進行數據傳輸功能。云訪問服務器的工作效率對于身份管理與認證系統有著很大的影響。云訪問服務器的結構圖如圖3所示。

由圖3可見，云訪問服務器分為用戶注冊、用戶登錄、添加刪除好友、文件上傳、文件下載和文件共享6個模塊。依靠云系統的龐大容量來滿足身份認證系統的擴展需求。數據庫中的數據進行加密后即可儲存在云系統中，進行過加密處理的文件除了用戶本人以外，無法被讀取，從而保證了整個身份認證系統的保密性、安全性。

2 身份管理與認證系統的軟件設計

2.1 RSA模塊功能設計

RSA模塊是云電子身份管理認證系統的核心模塊之一，其可以運算RSA算法，還可以對文件進行加密解密處理。RSA的性能影響著系統的性能，因為在身份驗證系統中，基本上所有的函數運算都需要RSA模塊來完成。下面為RSA模塊中的部分功能函數：

Clargent函數的功能為可以將大數進行計算，比如基本的加減乘除、模冪與位移的運算等。內存中大數的構造即為Clargent函數：

enum LIMIT{LENGTH = 0xFF}；

unsigned long _len；

unsigned long _data[LENGTH]；

其中：len是大數的總長度，大數的最大長度即為len×32=8 192 b，Data為總長度中每一位的具體數值。進行運算設計時，將2×32作為基底，以左邊代表低位，右邊代表高位。

下列函數都與大素數相關：

InitSmallPrimes代表素數測試模塊所用的初始化小素數表；

SmallPrimeTest代表對產生的大數p進行的小素數檢驗，檢驗通過后再對大數p進行RabinMiller測試；

RabinMillerTest代表對產生的大數p進行RabinMiller測試，若測試通過則認為大數p為素數；

下列是與密匙相關的一些函數：

GetCommonDivisor代表獲取到兩個大數的最大公約數；GetE代表生成私匙（n，e）；GetD代表生成公匙（n，d）；RSAEncrypt代表將數據進行RSA加密處理；RSADecrypt代表將數據進行RSA解密處理。

為了讓文件與數據的相互轉換變得更加簡單，RSA模塊在文件加密處理時將文件作為大數來運算。一般文件的大小基本都比理論上大數的總長度大，所以在進行文件轉換時需將文件分段處理，對文件進行分段加密處理，最后再連接成一個完整的文件。解密過程同加密過程完全相反。

下面是文件的解密流程，如圖4所示。由圖4可知，需進行加密解密處理的文件共兩個，其中，Encode text代表將對文件進行加密處理；Decode text代表將對文件進行解密處理。

2.2 RSA模塊進行大數乘法過程

為了實現大數和unsigned long類型的乘法，RSA模塊需要先列出一個函數式，然后依據函數式來反復調用這一模塊。設A為位數是m的大數，設B為unsigned long類型數，則最后大數A*B的運算過程為：

（1） 設C0=0，i=0

（2） 則可得Ri=Ai*B+Ci

（3） 如果 Ri>0xFFFFFFFF，Ci+1=Ri/0xFFFFFFFF，Ri=Ri&0xFFFFFFFF

（4） 如果Ri

（5） 如果i≥m，則結束

（6） i=i+1，重復步驟2

2.3 RSA模塊進行大數模冪運算過程

在RSA模塊進行電子身份認證運算過程中，私鑰與公鑰的值確定后，若想完成身份驗證并簽名，無論再進行發送還是接收都只需再運算一次，這種運算的過程稱之為模冪運算。構成模冪運算的為模乘運算，因為在RSA模塊中，大數位通常大于512 b，大數模冪的運算量則會很大。若想提高運算速度，需要簡化模冪算法，如下為簡化的大數模冪運算過程：

為了求得D=C15%N，因為a*b%n=（a%n）*（b% n）%n，那么可以得出：

C1=C*C%N=C2%N

C2=C1*C%N=C3%N

C3=C2*C2%N=C6%N

C4=C3*C%N=C7%N

C5=C4*C4%N=C14%N

C6=C5*C%N=C15%N

故可以將模冪運算e=15分解為6個模乘運算。通過分析上述函數式的規律可以得出e為任意值時，使用函數算法計算出D=Ce%N：

D=1

While e≥0

If （e非偶數）

D=D*C%N

D=D*D%N

e=e-1

If （e非奇數）

D=D*D%N

e=e/2

最終回到D

根據結果進行分析得知，D乘C的具體時間通過檢驗e的二進制各位數得出，并且在檢驗過程中，由左至右的檢測比較簡單，如下：

D=1

For i=n to 0

D=D*D%N

If e[i]=1

D=D*C%N

最終回到D

3 實驗分析

作為客戶端與服務器之間重要的數據傳輸設備，身份認證系統需要向用戶提供訪問服務。用戶是否能安全地登錄客戶端，對身份驗證系統有很高的要求，實驗對本文設計的云電子身份管理認證系統進行測試，驗證其性能。

3.1 測試準備

在實驗中本文采用了Avalanche 測試工具，其可模擬出大量的用戶對本文設計的身份管理與認證系統進行訪問，進而得出具體的實驗結果。為了避免客戶端和身份認證服務器在實驗身份認證過程中讀取的數據不同，采用Ethereal 抓包工具來抓取動態數據包，再對數據包進行解析。

3.2 測試結果

為了驗證本文提出方法的有效性，在各種不同條件下進行了多次測試，測試的結果如表1所示。通過表1可以得知：當最大并發數達到2 000，2 500，3 000時，本文設計的身份管理和認證系統CPU 消耗的最大值并未超過系統合理運行所要求的最大限度，當并發數達到很大的數值時，系統依舊可以正常運作；本文的身份管理和認證系統對于用戶要求響應的時間在220 ms左右，具有較高的認證效率；在測試過程中，當并發數值達到很大時，本文身份管理和認證系統對于數據處理的正確率也在99%以上。在身份認證系統中，由于系統軟件部分的運算速度有限，所以在對文件進行讀取和加密解密的過程中，對于函數式的運算性能要求十分苛刻。下面對本文提出的身份認證系統的文件加密解密運算執行時間進行性能檢測，結果如表2所示。

由圖5可知，對不同大小的文件分別進行加密和解密測試后的驗證結果顯示出文件的大小與文件加密解密的時間成正比，并且文件加密解密的所用時間都是ms級，非常微小。故本文提出的身份認證系統可以滿足用戶進行高效率身份認證的需求。

4 結 論

本文提出一種云電子身份管理認證系統，系統主要由認證服務器、系統服務器與云訪問服務器組成。實驗結果表明，提出身份管理和認證系統耗能低、認證效率高，具有較高的數據處理精度。

參考文獻

[1] 王群，李馥娟，錢煥延.云計算身份認證模型研究[J].電子技術應用，2015，41（2）：135?138.

[2] 朱莉蓉，陳寧江，何佩聰，等.基于動態信任管理的云用戶行為認證服務系統[J].廣西大學學報（自然科學版），2015，40（6）：1485?1493.

[3] 王文清，柴麗娜，陳萍，等.Shibboleth與CALIS統一認證云服務中心的跨域認證集成模式[J].國家圖書館學刊，2015，24（4）：45?50.

[4] 李丙戌，吳禮發，周振吉，等.基于信任的云計算身份管理模型設計與實現[J].計算機科學，2014，41（10）：144?148.

[5] 王雷，王平建，向繼.云存儲環境中的統一認證技術[J].中國科學院大學學報，2015，32（5）：682?688.

[6] 葉丹.云智能生活中的身份安全[J].五金科技，2014，42（5）：82?85.

篇（11）

中圖分類號:TP311 文獻標識碼:A文章編號:1009-3044(2009)13-3575-02

1 引言

隨著校園網絡建設的不斷發展,越來越多的高校都在進行數字化校園的建設。利用先進的信息化手段和工具,實現從環境、資源到活動的數字化,學校各部門、院系陸續建設了各種業務應用系統,如教務管理、人事管理、學籍管理、科研管理等等。其中不乏很多基于Web提供公共服務的系統,由于這些系統相互獨立,用戶在使用每個應用系統之前都必須進行相應的系統身份認證,為此用戶必須記住每一個系統的用戶名和密碼,這給用戶帶來諸多不便。特別是隨著系統的增多,出錯的可能性就會增加,用戶信息受到非法截獲和破壞的可能性也會增大,安全性就會相應降低。而且,用戶每訪問一個不同的應用系統,便需要重新登陸一次,嚴重影響了用戶的體驗同時不利于統一管理。

鑒于此,單點登錄技術應運而生,它是一套身份認證機制,用來實施在多個獨立的應用系統中,用戶只需要登錄一次就可以訪問所有相互信任的應用系統,無需再次登錄,避免了應用系統的重復開發和數據同步更新問題,便于系統之間的資源共享,促進網絡的應用和發展。對所有應用系統的訪問,都必須從一個單點進行登錄認證。成功通過認證的用戶可以訪問到所有的Web應用系統,切換時不受限制,增強了用戶體驗;本文介紹了單點登錄的認證機制,分析了單點登錄的實現模式,最后結合實踐實現了一套簡單高效的單點登錄系統。

2 SSO的認證機制

單點登錄(Single Sign On),簡稱為SSO,是目前比較流行的企業業務整合的解決方案之一。SSO的定義是在多個應用系統中,用戶只需要登錄一次就可以訪問所有相互信任的應用系統。它包括可以將這次主要的登錄映射到其他應用中用于同一個用戶的登錄的機制。SSO體系結構如圖1所示。

當用戶第一次訪問應用系統1的時候,因為還沒有登錄,會被引導到認證系統中進行登錄;根據用戶提供的登錄信息,認證系統進行身份效驗,如果通過效驗,應該返回給用戶一個認證的憑據――ticket;用戶再訪問別的應用的時候就會將這個ticket帶上,作為自己認證的憑據,應用系統接受到請求之后會把ticket送到認證系統進行效驗,檢查ticket的合法性。如果通過效驗,用戶就可以在不用再次登錄的情況下訪問應用系統2和應用系統3了。

3 SSO現有技術

目前市場上出現了眾多的SSO產品,例如Microsoft公司.net中的Passport, IBM WebSphere Portal Server, BEA的WebLogic,Netegrity SiteMinder,Oracle9 iAS Portal Server等。雖然每個SSO產品的實現機制都不盡相同,但這些產品的實現機制都遵循一種通用的模式。它由三個主要部分組成:入口檢查單元、身份認證單元和用戶憑證存儲單元。

WebSphere通過Cookie記錄認證信息,WebLogic則是通過Session共享認證信息。Cookie是一種客戶端機制,它存儲的內容主要包括:名字、值、過期時間、路徑和域,路徑與域結合在一起就構成了Cookie的作用范圍,因此用Cookie方式可實現SSO,但域名必須相同; Session是一種服務器端機制,當客戶端訪問服務器時,服務器為客戶端創建一個惟一的Session ID,以使在整個交互過程中始終保持狀態,而交互的信息則可由應用自行指定,因此用Session方式實現SSO,不能在多個瀏覽器之間實現單點登錄,但卻可以跨域。

4 系統設計與實現

本文在研究SSO技術的基礎上,采用登錄時自動生成在所有系統的驗證標志實現了一個簡單高效的單點登錄系統。目前我校在數字化校園建設的基礎上實現了本科學分制系統、研究生信息管理系統、選課系統、工會會員管理系統、研究生信息管理系統、二級學院信息管理系統、學分制信息交流平臺等一系列基于Web的信息系統,登錄用戶名都是采用校園一卡通的方式,用戶登錄不同系統每次都要輸入用戶名和密碼信息進行驗證,給用戶造成不便。由于LDAP查詢效率高,可以進行訪問控制以及含有豐富的API與各種應用系統對接,安裝管理維護也很簡單,所以校園網的單點登錄基于LDAP來實現。

實現方法為:將各個子系統的登錄頁面放置于框架頁面中,在框架的頁面隱藏其他子系統的登錄頁面,當點擊“登錄”時觸發JS事件把當前的用戶名/密碼提交到其他子系統的登陸頁面中。這樣一次登錄,其他所有系統也就登錄了。框架頁面如圖2所示:

首先在系統入口輸入用戶名、密碼進行登錄,從客戶端發送的認證請求通過統一身份認證接口到達LDAP服務器,LDAP服務器在目錄信息樹中查詢是否為合法身份,進行身份認證和根據身份授予相應的權限,通過統一身份認證接口返回給客戶端。成功登錄后,可以直接單擊相應子系統鏈接直接進入子系統,不需要再次輸入登錄信息,帶來了更好的用戶體驗。

主要代碼如下:

1) 系統入口端

if(!username.equals("")&&!pwd.equals("")){//表單輸入不為空

Cert cert = new Cert();

UserLogin userLogin = new UserLogin();

userLogin.setUid(username);

userLogin.setPassword(pwd);

userInfo=cert.checkUserInfo("", 6002, 5000, "210.35.207.160", "portal", "210.35.207.160", userLogin, 0);//以上對客戶端輸入進行統一身份認證

if(userInfo!=null){//用戶存在的話

getUid=userInfo.getUid();//得到一卡通號

session.setAttribute("username",getUid);//將用戶名放入Session

session.setAttribute("pwd",pwd); //將密碼放入Session

}}

研究生管理//單擊觸發JS事件將用戶名密碼提交到其他子系統中

function submit_to(url,target){

pageForm.action=url;

pageForm.target=target;

pageForm.submit();}

//提交表單的JS事件

2) 其他子系統端

String username=request.getParameter("username");

String pwd=request.getParameter("pwd");

loginform.username.value="";

loginform.password.value="";

loginform.submit();

5 結束語

本文在研究了單點登錄技術及其實現模式的基礎上,實現了一套簡單高效的單點登錄系統。使用戶只進行一次登錄認證,便能在所有應用系統之間自由穿行,而不需要進行多次身份認證,建立了一種更安全的登錄方式,將多個系統獨立的用戶管理融合為統一用戶管理。此方法幾乎可以不要修改過多的代碼,而且可以用于所有的多系統情況,可以跨平臺,跨服務器。簡單高效。缺點是登錄完后,如果沒有在各個子系統切換,那使用SESSION的子系統可能會發生超時現象?？梢栽谄渌酉到y包含文件中用IFRAME的方式包含其他子系統的更新在線狀態的頁面來解決,也可考慮基于Cookie的方式,這個有待于進一步研究。

參考文獻:

[1] 曾琴濤.基于Java平臺的Web應用系統單點登陸方案研究與實現[D].中國地質大學碩士學位論文,2008

[2] 皮曉東.單點登錄的研究與實現[J].計算機應用與軟件,2007(6).