前言:中文期刊网精心挑选了身份认证技术论文范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
身份认证技术论文范文1
关键词:身份认证;UEB Key;PKI体系;认证设计
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)23-930-02
Design Research of Authentication Client Based on USB Key under PKI System
ZHOU Hua-xiang
(Changsha Commerce & Tourism College, Changsha 410004, China)
Abstract: Due to universality and opening of the Internet,there're many hidden troubles of information security in the network, so, identity authentication has becomed the necessary measure to ensure the security. This paper compared and analyzed the relative merits of common classes of identity authentication, and on the basis of analysis, the authentication principle and its characteristics, and the authentication processing were also discussed, and after that, the identifying technology of USB Key with PKI system was designed from software and hardware detaily. All these design work and theory analysis is significative for enhance the security of the identifying authentication.
Key words: Identity authentication; USB Key; PKI System; Technology design
1 引言
当前,随着计算机技术的飞速发展,利用因特网高科技手段进行经济商业犯罪的现象已经屡见不鲜了,因此,如何采用更加安全的数据保护及加密技术,成为当前计算机工作者的研究热点与重点。但是很多身份认证技术由于本身算法的漏洞而不稳定或可靠,使得很多不法之徒有机可乘。因此,发展更加安全的数据加密算法和身份认证技术,是关系到社会经济稳定繁荣发展的关键,如何采用与设计更加安全的身份认证技术,成为当前计算机安全工作的重点。
现今,计算机及网络系统中最常用到的身份认证技术主要有以下几种:1)用户名密码方式认证;2)IC卡认证;3)动态口令认证;4)生物特征认证。
上述几种身份认证方式,或认证方式过于简单,或认证成本过高,或使用方法繁琐,在推广应用上都存在一定的限制因素;USB Key认证技术是一种方便、安全、经济的身份认证技术,它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。
2 相关原理概述
2.1 PKI体系概述
PKI(Public Key Infrastructure)是一个用公钥密码体制来实现并提供安全服务的具有通用性的安全基础设施,具有可信任的权威认证机构CA,在公钥加密技术基础上实现证书的产生、管理、存档、发放以及证书作废管理等功能,并包括实现这些功能的硬件、软件、人力资源、相关政策和操作规范以及为PKI 体系中的各成员提供全部的安全服务。如实现通信中各实体的身份认证、数据保密性、数字完整性以及不可否认等。PKI必须具有认证机构CA、证书库、密钥备份及恢复系统、证书作废处理系统、PKI 应用接口系统等主要组成部分。
2.2 USB Key认证原理
每个USB Key硬件都具有用户PIN码,以实现双因子认证功能。USB Key内置单向散列算法(MD5) ,预先在USB Key和服务器中存储一个证明用户身份的密钥,当需要在网络上验证用户身份时,先由客户端向服务器发出一个验证请求。服务器接到此请求后生成一个随机数并通过网络传输给客户端,客户端将收到的随机数提供给插在客户端上的USB Key,由USB Key使用该随机数与存储在USB Key中的密钥进行带密钥的单向散列运算(HMACMD5)并得到一个结果作为认证证据传送给服务器,与此同时,服务器使用该随机数与存储在服务器数据库中的该客户密钥进行HMAC- MD5运算,如果服务器的运算结果与客户端传回的响应结果相同,则认为客户端是一个合法用户。
3 基于PKI体系的USB Key认证客户端的设计
3.1 总体设计
本方案基于USB接口,采用高性能的智能卡进行设计,把智能卡固有的安全性能和USB总线的即插即用、总线供电等优点结合起来,集二者之所长,研制出一种携带方便的PKI客户端设备,集数据加密和数据存储两大功能为一体,在硬件级安全的基础上完成身份认证、密钥管理、证书存储等功能。其系统结构框图如图1所示。
由图1的结构可以发现,本论文研究的客户端硬件模块由智能卡和USB 读卡器组成,采用智能卡芯片作为私钥安全管理的载体,它包括私钥的安全生成、存储和使用。智能卡芯片中含有CPU ,可以通过运算来产生公私密钥对,而且还含有一定的存储空间,可以存储私钥和其它用户资料。USB 读卡器的主要功能是完成智能卡与主机的通信。
由于智能卡的存储空间毕竟有限,对于需要进行密码运算的大文件,无法一次完全导入智能卡设备中,为此,我们将一部分密码运算的功能放在主机端的软件模块,以提高运算速度。
总体的设计思路是私钥的密码运算必须在智能卡中进行,而将一部分有可能对大文件进行的运算放在主机上来完成。这样既保证了私钥的生成、保存的高度安全性,又利用了主机容量大、运算快的优势。
3.2 系统硬件设计
3.2.1 智能卡芯片的设计
智能卡芯片是USB KEY的核心,采用一个高性能的处理器芯片,除了含有一个MCU 外,还集成有专门进行密码算法的协处理器,通过它可以提高密码运算的速度。在软件结构上,我们内置了一个卡内操作系统(COS) 以管理智能卡的所有软硬件资源。COS 分为四个模块:传输层模块、文件管理层模块、安全控制模块和算法库。
从整个安全策略、用户的方便性、产品的创新性等几点出发,客户端的智能卡芯片中需要实现签名、解密、RSA 密钥对的产生、私钥的保存及证书的验证等主要功能。
验证别人的证书,需要通过信任锚来完成。信任锚就是根CA 的公钥。通过它,我们可以验证在一个PKI 系统中所有的证书。由于主机的不安全性,如果将信任锚存储在主机端,很容易被黑客替换成一个假的信任锚,这样用户就无法验证别人证书的真伪。出于这样的考虑,我们将信任锚存储在智能卡中,由于智能卡芯片的硬件特性,驻留在里面的程序具有不可修改性,这样就使数据(私钥) 的保存和使用达到了硬件的安全级别,大大提高了PKI 系统的安全。
3.2.2 USB芯片的设计
由于用户需要通过驻留在主机上的用户程序来使用存储在智能卡中的私钥,为了使用的方便,我们将硬件模块设计成一个目前流行的USB KEY模型,即通过USB 接口来实现主机软件程序与智能卡的通讯。
USB 接口的设计由一个USB 芯片来实现。它主要有两个功能,一是通过USB 协议完成与主机的通信;二是完成与智能卡的通讯。由于智能卡与外界的信息交换遵循ISO781623协议,所以USB 芯片的CPU 必须模拟一个781623 协议来实现两者的通讯。
考虑到用户在使用客户端时的不安全性,如:在用户使用完USB KEY时,可能忘记将它从主机上拔下来,这时如果远程黑客通过驻留主机的木马程序获得了用户的PIN ,就会在用户无察觉的情况下,利用USB KEY来对任意的文件进行任意次的签名,从而对合法用户造成很大损失。为此,我们在USB 芯片上设计了一个按键,每次USB 芯片检测到签名操作的命令,便要求用户手工按键,然后再将命令发送到智能卡里,由智能卡完成签名运算。这样合法用户便可以控制签名次数,将风险降到最低水平。
3.2.3 时间芯片的设计
无论证书还是私钥,都有一定的生存期,过期后必须申请新的证书和私钥。要求PKI 用户以手工操作的方式来定期更新自己的证书是不现实的,用户往往忘记自己证书过期的时间,常在认证失败时才发现问题。为此,我们在USB 芯片上加载了一个时间芯片,用它来识别证书和私钥过期的时间。
3.3 系统软件设计
系统的软件设计采用Client/Server模式,一个标准的服务流程为:客户机提出请求,通过USB接口传输给USB接口控制器,USB接口控制器通过模拟7816协议来和智能卡进行通信,智能卡的片上操作系统COS收到该请求后,进行命令解释,调度相应的功能模块进行处理,然后将运算结果返回给USB接口控制器,最终传递给客户机的应用程序,完成一次服务请求。
软件程序的流程图如图2所示。
4 结束语
USB认证设备体积小巧、功能强大、价格低廉,可提供极高安全等级的认证和加密功能,有力地促进了PKI系统的实施,同时,它也可广泛应用于要求个人身份认证、识别、数据加密、安全存储等领域,应用前景广泛。目前,对于身份认证技术的研究方兴未艾,很多新的认证方式与认证技术正在出现,为人们的数据安全提供更加可靠的安全认证与保护。
展望将来,除了对基于PKI体系的USB Key认证方式继续探讨新的数据加密算法外,其他新的认证模式也正在兴起,如基于生物特征的生物认证技术,以及目前处于研究热潮的基于线上手写签名的身份认证技术,这些都将是安全性极高的认证手段。
参考文献:
[1] 胡道元,闵京华.网络安全[M].北京:清华大学出版社,2004.
[2] 蔡金清,万振凯.统一口令网络认证系统的分析与实现[J].天津:工业大学学报,2004,23(3):74-76.
[3] 关振胜.公钥基础设施PKI与认证机构CA[M].北京:电子工业出版社,2002.
身份认证技术论文范文2
[论文关键词] 电子商务 信息安全 信息安全技术 数字认证 安全协议
[论文摘 要]电子商务是新兴商务形式,信息安全的保障是电子商务实施的前提。本文针对电子商务活动中存在的信息安全隐患问题,实施保障电子商务信息安全的数据加密技术、身份验证技术、防火墙技术等技术性措施,完善电子商务发展的内外部环境,促进我国电子商务可持续发展。
随着网络的发展,电子商务的迅速崛起,使网络成为国际竞争的新战场。然而,由于网络技术本身的缺陷,使得网络社会的脆性大大增加,一旦计算机网络受到攻击不能正常运作时,整个社会就会陷入危机。所以,构筑安全的电子商务信息环境,愈来愈受到国际社会的高度关注。
一、电子商务中的信息安全技术
电子商务的信息安全在很大程度上依赖于技术的完善,包括密码、鉴别、访问控制、信息流控制、数据保护、软件保护、病毒检测及清除、内容分类识别和过滤、网络隐患扫描、系统安全监测报警与审计等技术。
1.防火墙技术。防火墙主要是加强网络之间的访问控制, 防止外部网络用户以非法手段通过外部网络进入内部网络。
2.加密技术。数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据,当需要时可使用不同的密钥将密文数据还原成明文数据。
3.数字签名技术。数字签名技术是将摘要用发送者的私钥加密,与原文一起传送给接收者,接收者只有用发送者的公钥才能解密被加密的摘要。
4.数字时间戳技术。时间戳是一个经加密后形成的凭证文档,包括需加时间戳的文件的摘要、DTS 收到文件的日期与时间和DIS 数字签名,用户首先将需要加时间的文件用HASH编码加密形成摘要,然后将该摘要发送到DTS,DTS 在加入了收到文件摘要的日期和时间信息后再对该文件加密,然后送回用户。
二、电子商务安全防范措施
网络安全是电子商务的基础。网络安全防范技术可以从数据的加密(解密)算法、安全的网络协议、网络防火墙、完善的安全管理制度、硬件的加密和物理保护、安全监听系统和防病毒软件等领域来进行考虑和完善。
1.防火墙技术
用过Internet,企业可以从异地取回重要数据,同时又要面对 Internet 带来的数据安全的新挑战和新危险:即客户、推销商、移动用户、异地员工和内部员工的安全访问;以及保护企业的机密信息不受黑客和工业间谍的入侵。因此,企业必须加筑安全的“壕沟”,而这个“壕沟”就是防火墙.防火墙系统决定了哪些内容服务可以被外界访问;外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过,而且防火墙本身必须能够免于渗透。
2. VPN技术
虚拟专用网简称VPN,指将物理上分布在不同地点的网络通过公用骨干网联接而形成逻辑上的虚拟“私”网,依靠IPS或 NSP在安全隧道、用户认证和访问控制等相关技术的控制下达到与专用网络类同的安全性能,从而实现基于 Internet 安全传输重要信息的效应。目前VPN 主要采用四项技术来保证安全, 这四项技术分别是隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。
3.数字签名技术
为了保证数据和交易的安全、防止欺骗,确认交易双方的真实身份,电子商务必须采用加密技术。数字签名就是基于加密技术的,它的作用就是用来确定用户是否是真实的。数字签名就是通过一个单向哈希函数对要传送的报文进行处理而得到的用以认证报文是否发生改变的一个字母数字串。发送者用自己的私钥把数据加密后传送给接收者,接收者用发送者的公钥解开数据后,就可确认消息来自于谁,同时也是对发送者发送的信息真实性的一个证明,发送者对所发信息不可抵赖,从而实现信息的有效性和不可否认性。
三、电子商务的安全认证体系
随着计算机的发展和社会的进步,通过网络进行的电子商务活动当今社会越来越频繁,身份认证是一个不得不解决的重要问题,它将直接关系到电子商务活动能否高效而有序地进行。认证体系在电子商务中至关重要,它是用户获得访问权限的关键步骤。现代密码的两个最重要的分支就是加密和认证。加密目的就是防止敌方获得机密信息。认证则是为了防止敌方的主动攻击,包括验证信息真伪及防止信息在通信过程被篡改删除、插入、伪造及重放等。认证主要包括三个方面:消息认证、身份认证和数字签名。
身份认证一般是通过对被认证对象(人或事)的一个或多个参数进行验证。从而确定被认证对象是否名实相符或有效。这要求要验证的参数与被认证对象之间应存在严格的对应关系,最好是惟一对应的。身份认证是安全系统中的第一道关卡。
数字证书是在互联网通信中标志通信各方身份信息的一系列数据。提供了一种 Internet 上验证用户身份的方式,其作用类似于司机的驾驶执照或身份证。它是由一个权威机构CA机构,又称为证书授权(Certificate Authority)中心发行的,人们可以在网上用它识别彼此的身份。
四、结束语
安全实际上就是一种风险管理。任何技术手段都不能保证100%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。因此,为进一步促进电子商务体系的完善和行业的健康快速发展,必须在实际运用中解决电子商务中出现的各类问题,使电子商务系统相对更安全。电子商务的安全运行必须从多方面入手,仅在技术角度防范是远远不够的,还必须完善电子商务立法,以规范飞速发展的电子商务现实中存在的各类问题,从而引导和促进我国电子商务快速健康发展。
参考文献
[1] 劳帼龄.电子商务的安全技术[M].北京:中国水利水电出版社,2005.
[2] 赵泉.网络安全与电子商务[M].北京:清华大学出版社,2005.
身份认证技术论文范文3
关键词:医学院校,数字化校园,信息平台,整合
现代高校的发展离不开信息技术,特别是随着各高校学生人数急剧增加,新教学楼、新教室的不断扩建,教学方式的多样化等一系列因素使学校对多媒体、网络教学、办公应用系统等信息化技术依赖越来越大,数字化校园建设已经成为各高校信息化建设的重要任务之一。医学院校在发展过程中也面临着同样的问题,需要对学校的教学、科研、管理等信息资源进行全面的整合,以实现统一的管理。
一、数字化校园的涵义及意义
在传统观念中数字化校园一直被认为只是由一个一卡通系统和多个应用系统组成,例如各种办公系统、多媒体教学系统、人事系统和财务系统等。但由于各个系统中的信息,数据保存格式以及操作人员的权限设置都不一致,并且各系统由于开发商的不同很难做到统一的接口,系统间通讯困难,对于整个校园来讲只是一个个“信息孤岛”,造成大量冗余、错误的信息,因此这样的“数字化校园”只是一个狭义的概念,并不能完全发挥信息化的优势。而数字化校园真正的涵义是指以校园网络为基础,利用计算机、各种通讯手段对学校里各种办公系统、多媒体教学系统进行统一的信息化管理,包括统一的身份认证、权限控制、教学资源管理以及对人事、财务、后勤等信息系统的统一管理等。数字化校园在时间和空间上都超越传统意义上的校园,它是一个基于先进的信息化技术的虚拟校园,使现实的校园环境得到延伸[1]。
数字化校园的建设对于高校的管理和发展具有重要意义。首先,数字化校园是一个虚拟化的校园,它超越了时间和空间上的局限,使学校的跨地域业务得到有效开展,对学校建立创新型的教学模式,开放式的教育环境,多层次的管理方法都具有相当重要的意义。其次,数字化校园以网络通讯为基础,通过计算机处理大量的信息,使学校教工把一些查询、统计、计算等工作交给计算机来完成,大大降低了工作量,提高了工作效率。再者,数字化校园成功解决了学校“信息孤岛”的问题。数字化校园的成功实施,能把学校里各个分散的系统整合,实现数据的统一管理,避免出现数据的重复检索、录入。例如图书馆的图书借阅系统,里面的人员信息不需要重新录入,可以直接从人事处数据库中调用,有效解决了数据的不一致问题。
二、国内外相关课题的研究现状
“数字化”这个概念最先是由美国前副总统戈尔于1998年在美国加利福尼亚科学中心发表的题为《数字地球---21世纪认识地球的方式》(The Digital Earth:Understanding in our planet in the 21st Century)的报告中首次提到的,他提出了数字化地球的概念,此后,“数字化”名词在全球流行开来,各行各业如数字化城市、数字化校园、数字化图书馆等名词接二连三被提出。
近年来,校园数字化建设已经成为世界各国高校重点研究的课题之一。
在国外,英国信息教育技术走在前列。1998年1月英国启动了全国学习网,利用网络的高速优势把学校、科研机构、图书馆等网站连为一体,为网络教育开辟了途径。2002年,英国全国学习网的网络连接所有家庭、社区、学校、医院、社会服务以及大众媒体转播系统、单位,基本能满足学校教育、家庭教育、职业教育、终身教育和社会经济发展的需求。
国内大学信息化基础建设方面,在90年代初,建成校园网并通过CERNET建设与国际互联网连接的大学总数不过10所左右。到1999年,已经有500余所大学建设了结构先进、功能完备的校园网络。2002年,北京大学和香港大学共同启动了亚洲地区第一个国际性的高等教育信息化研究项目,对亚洲地区各国高校信息化建设、发展的最新动态和信息,进行研究。
现阶段医学院校信息化建设所面临的主要问题有:一是学校以医学专业为主,信息化意识不强,缺乏专业的信息化建设人才队伍;二是信息化建设各自为政,存在重复建设现象;三是信息化建设进程缓慢,没有建立网上自动办公系统和智能化决策支持系统。
三、数字化校园建设目标
医学院校数字化建设的总体目标是建成一个适合学校校情的数字化校园模型,即“统一平台+统一门户+多应用系统”的建设模式,从而实现校内教学、管理、科研的全面信息化、网络化。免费论文,整合。
1.统一平台是指一个高性能的、负载均衡的、可扩展易维护的、高安全的应用软件、硬件以及数据库平台。其中包括统一信息门户平台、统一身份认证平台和统一公共数据平台三大基础平台。
2.统一门户是指要建成一个统一的、开放的、能提供信息共享并能提供多种应用服务的高效稳定的门户中心。
3.多应用系统指为满足各种教学、管理、科研等日常业务的需要而提供的各种信息化软件、工具等,如教务系统、人事管理系统、财务系统、科研管理系统、学生管理系统等,这些系统从统一的数据库平台调用数据,共享规范标准格式的数据,提供统一的接口程序。
通过数字化校园的标准建设,集成现有的应用系统,在新需求下开发新的应用系统,从而实现校园的信息共享和传递,最终构建一个集教学、科研、管理、活动为一体的信息化环境,实现学校教育过程的全面信息化,从根本上提高教学质量、科研水平和管理水平。免费论文,整合。
四、数字化校园建设内容
数字化校园的建设是在现有网络基础设施的基础上对校内所有信息化资源(包括各种应用系统、数据库资源、认证系统等)进行全面整合的过程。数字化校园建设的各个环节必须互相紧扣,有计划、有步骤地实施,确保各个环节协调发展。医学院校的数字化校园建设可以结合自身特点,发展几项特色项目,如虚拟实验室、虚拟医院、虚拟手术台等。
数字化校园的总体架构设计包括基础设施建设、统一身份认证平台、应用系统建设
1、基础设施建设
基础设施建设包括基础网络平台、弱电系统和IDC数据中心建设,是建设好数字化校园的基本保证,为数字校园提供最底层的网络、硬件支持。
(1)基础网络平台、弱电系统
(2)IDC数据中心
IDC数据中心是由一系列的硬件、软件、相关网络组成的整体,它作为全校数据流转与交换的中心,主要包括主机系统、存储系统、网络系统、安全系统等硬件设备和数据库系统、应用服务器、目录服务器数据汇聚设备。
2、统一身份认证平台
在数字化校园中,各个系统之间经常需要相互协作才能完成一项任务。但对于同一个用户来说,如果不同的系统都要不同的登录信息,并且要重复登录,这就给用户带来极大的不便,也给系统加重了负担。而所谓的统一身份认证就是对校内各个不同的应用系统采用统一的身份认证系统,为各应用系统的集成奠定基础。
目前高校身份认证管理存在以下问题:
(1)由于目前校内各个系统都是分散管理,因此就难以统一管理用户的账号,这就难免会对一些账号信息进行重复管理,增加管理成本。免费论文,整合。
(2)账号的使用没有落实到实名,一个账号存在多人使用的现象,在出现安全事故时难以明确责任,因此在安全管理上存在漏洞。免费论文,整合。
(3)不同应用系统之间的认证模式和规范不同,安全等级划分标准也不同,不便于全校的安全管理。免费论文,整合。
(4)一个用户如要使用多个应用系统,就必须记忆多套账号信息,并需重复登录,给用户的操作带来极大的不变[2]。免费论文,整合。
3、应用系统建设
应用系统主要有一卡通系统、数字图书馆、教学系统、学工系统、人事系统、财务系统、精品课程等。
(1)一卡通系统
一卡通是数字化校园建设的重要内容,是校内各系统连接的枢纽。校园一卡通以校园网为基础,集成各种计算机网络设备、数据终端,以IC卡为载体实现校园管理的信息化。系统建成以后,将取代以前校内的各种卡证(如借书证、饭卡、工作证、学生证等),真正实现校内工作、学习、生活的“一卡通”。
(2)数字图书馆
数字图书馆是数字化校园的重要组成部分,它是指运用数字技术和信息技术把处于不同地理位置的信息资源进行整合存储,并通过网络向广大读者提供多媒体信息资源的虚拟化图书馆。数字图书馆不受地域空间的限制,能最大限度地共享各地信息资源。
(3)教学系统
教学系统主要有教务管理系统,它管理的对象主要有学生信息、教师信息、管理人员信息以及教学资源信息(如教室、多媒体等)。而它主要实现的功能有:排课、选课、考试安排、教学测评等[3]。
身份认证技术论文范文4
关键词:安全技术环境;安全技术结构;异构网络安全威胁
中图分类号:TP202 文献标识码:A 文章编号:1007-9599 (2012) 17-0000-02
随着信息技术的不断发展,用户对传感器节点感知数据的安全与精准提出了高的要求,这就必须结合计算机网与无线传感器网,共同完成网络的协同工作。但在无线传感器网络的应用中,信息的安全问题显得尤为重要。为此,对于计算机网和无线传感器网,两者之间必须借助安全技术对数据进行传输。在这一方面,针对传感器网络最有有效的研究项目包括有智能尘埃、Smart-Its、Mote、灵巧传感器网络、网络中心站、SenWeb以及行为习性监控等。但面对无线传感器网和计算机网两种形式,两个异构网络之间的融合较为困难,且在安全技术的研究中,有效的实践和运用更为缺乏。
1 异构融合网络
1.1 网络的安全需求
(1)真实性:指消息的认证问题。某些时候,网络会受到攻击,且这些信息是虚假的,由于这种现象的影响,接收者须通过身份认证对正确的节点处发送过来的消息进行确认。
(2)机密性:在融合网络中,实现敏感数据的传输与存储问题。对于信息的获取,只有经授权的人才有一定的权利,通过物理通信信号进行消息的截获是不可行的。
(3)时效性:数据具有一定的时效性,对于最新收到的包的产生情况,网络节点可进行准确的判断。
(4)完整性:对于接收者所收到的信息不受到替换、篡改的确保,只能通过数据的完整性来实现,如果数据遭受篡改,接收者可以及时发现此问题。
1.2 网络安全的威胁
就节点特性以及拓扑结构而言,无线传感器网络较为特殊,在异构融合网络中,该网络是最为脆弱的,一般来说,针对无线传感器网络的协议层,攻击者发起攻击非常的简单,物理篡改与拥塞攻击在物理层中出现;非公平竞争、耗尽攻击碰撞攻击的威胁出现在链路层;HELLO泛洪攻击、选择性的转发、虫洞攻击、伪造确认、黑洞攻击、汇聚节点攻击为网络层的攻击;失步攻击与泛洪攻击发生在传输层等。
2 异构融合网络的安全
网络建立以及数据传输的整个阶段中,主要的安全保障都可以通过提出的异构融合网络安全技术来实现。这使得数据的身份的认证机制得到了强化,满足了传感器网络节能的要求,这样一来,数据传输的机密性就变得更高,而面对各协议层的攻击,所表现的防御能力非常的优越。
2.1 实现环境
异构融合网络安全技术包括计算机网端、虚网络、无线传感器,且三个部分必须具备特定的环境,形成的全网系结构才是非常安全的。在层次型路由协议中,无线传感器网端进行了有效运用;CPK密钥管理分发机制的运用,通过现场接触的方式,使得所有传感器节点都能够对自身的全网公钥矩阵和身份标识进行获取;当初始化工作在传感器网络拓扑中完成时,节点等待并进入本地簇内;为了促使之间的互联,通过WSNover TCP/IP协议就可以达成;IPSee安全体系协议在计算机网端得到使用。
2.2 异构融合网络技术的实现
(1)WSNS ee安全体系
簇头在有效的通信半径内,会对身份认证包进行广播,其中包括簇头身份标识和包内允许存放的节点入簇信息标识。为了避免恶意节点的伪装,簇头可借助私钥签名进行加密,确保身份认证包的安全和可靠。
簇头对身份认证包进行加密,而之后的身份认证包用L表示;节点入簇的信息标识用则通过S表示;另外,针对簇头节点,其身份标识为I;簇头节点的私钥为KsinkSSK。
当“身份认证包”被普通节点接收后,在公钥矩阵中会对簇头身份标识进行使用组合出簇头节点的公钥,“身份认证包”解密:
R={S,I}( KsinkSSK)( KsinPSK)
上列公式中,解密结果为R;加密前节点入簇的信息标识为S;簇头节点的私钥为KsinkSSK;簇头节点的公钥为KsinPSK。一般来说,一方面,存在有接收到的簇头,另一方面,存在有解密出的簇头,如果两者的身份标识一致,就成功实现了身份认证,如果不成功,就将该包丢弃。
针对簇头,有效完成安全初始化后,接收节点的入簇。普通节点对簇头进行“节点人簇包”的发送促使入簇的完成。节点身份标识与节点入簇信息在“节点入簇包”中存放。为有效避免恶意节点入簇,就要保证普通节点身份具有一定的合法性。就普通节点而言,其通过私钥签名加密“节点人簇包”进行实现:
L={P,I}(KnodeSSK)
普通节点对节点入簇包进行了加密,之后的节点入簇包借助L表示;而针对节点入簇信息,其加密之后用P表示;节点身份标识以及私钥分别用I和KnodeSSK表示。
针对簇头节点,当节点人簇包接收后,通过普通节点身份标识,在公钥矩阵中组合出普通节点的公钥,而“节点入簇包”的解密为:
节点入簇包的解密结果用R表示;针对节点入簇信息而言,其加密前的信息通过P表示;而节点的身份标识在公式中用为I指示;普通节点的公钥为KnodePSK;簇头节点的私钥为KnodeSSK。
当成功解密后,接收到的普通节点与解密出的普通节点的身份标识一致,就说明身份认证得到成功实现,节点入簇,反之该包丢弃。
(2)虚网络及计算机网络端
多个虚节点共同组成虚网络,来自各簇头节点的数据由虚节点进行接收,之后转至计算机网端。虚节点作为一体机具备了计算机、传感器节点,所以一般不会在各通信协议层发生攻击或威胁该节点的现象,通过IPSec机制的使用,计算机网端会安全可靠的进行数据的传输。
3 结束语
计算机网与无线传感器网的异构融合最为一种重要手段实现着对信息的获取,而安全可靠的传输信息数据,即是该技术广泛应用的重要因素。本为主要通过对安全融合模型、的研究实现思路的提出,对各部分关键技术的进一步发展提供了参考。
参考文献:
[1]王伟超.无线传感器网与计算机网融合的安全路由机制研究[D].武汉:通信指挥学院硕士学位论文,2009:55-75.
[2]孙利民,李建中,陈渝,等.无线传感器网络[M].清华大学出版社,2008.
身份认证技术论文范文5
论文摘要:随着信息化步伐的不断加快,计算机网络给人们带来了很大的便捷,但是与此同时也给人们带来了很大的隐患。计算机网络安全已经受到了人们的高度重视,人们也已经对其提出了很多防范策略,并且得到了很好的好评。
随着网络的日益发展以及计算机网络安全问题的不断出现,对网络安全防范粗略的研究必然成为必然趋势。计算机网络技术普遍的使用,使得人们在学习和工作中享受计算机网络带来的便捷的同时被越来越多的安全隐患所伤害。因此,计算机网络安全防范策略的研究和实施是网络化发展的必然趋势。
1 计算机网络安全存在的问题
1.1 计算机病毒较多
计算机病毒是一种人为编制的特殊程序代码,可将自己附着在其他程序代码上以便传播,可自我复制、隐藏和潜伏,并带有破坏数据、文件或系统的特殊功能。当前,计算机病毒是危害计算机网络安全最普遍的一种方法,同时其危害是非常大的,尤其是一些通过网络传播的流行性病毒,这些病毒不仅危害性大,而且传播速度非常快,传播形式多样,因此,要想彻底清除这些病毒是很困难的,因此,网络安全存在着巨大的隐患。
1.2 盗用IP地址
盗用IP地址现象非常普遍,这不仅影响了网络的正常运行,而且一般被盗用的地址权限都很高,因而也给用户造成了较大的经济损失。盗用IP地址就是指运用那些没有经过授权的IP地址,从而使得通过网上资源或隐藏身份进行破坏网络的行为的目的得以实现。目前,网络上经常会发生盗用IP地址,这不仅严重侵害了合法使用网络人员的合法权益,而且还导致网络安全和网络正常工作受到负面影响。
1.3 攻击者对网络进行非法访问和破坏
网络可分为内网和外网,网络受到攻击也分为来自外部的非法访问和网络攻击以及来自内部的非法访问和网络攻击。无论是哪种网络攻击都要经过三个步骤:搜集信息-目标的选择、实施攻击-上传攻击程序、下载用户数据。
1.4 垃圾邮件和病毒邮件泛滥
电子邮件系统是办公自动化系统的基本需求,随着信息化的快速发展,邮件系统的功能和技术已经非常成熟,但是也避免不了垃圾邮件和病毒邮件的传送。垃圾邮件和病毒邮件是全球问题,2011年初,俄罗斯在全球垃圾邮件市场上的份额增长了4%-5%。垃圾邮件和病毒邮件是破坏网络营销环境的罪魁之一,垃圾邮件影响了用户网上购物的信心,从而进一步危害到了电子商务网站的发展。垃圾邮件和病毒邮件对人们的影响不仅表现在时间上,而且也影响了安全。垃圾邮件和病毒邮件占用了大量的网络资源。使得正常的业务运作变得缓慢。另外,垃圾邮件与一些病毒和入侵等关系越来越密切,其已经成为黑客发动攻击的重要平台。
2 计算机网络安全的防范策略
2.1 计算机病毒的安全与防范技术
在网络环境下,防范计算机病毒仅采用单一的方法来进行已经无任何意义,要想彻底清除网络病毒,必须选择与网络适合的全方位防病毒产品。如果对互联网而言,除了需要网关的防病毒软件,还必须对上网计算机的安全进行强化;如果在防范内部局域网病毒时需要一个具有服务器操作系统平台的防病毒软件,这是远远不够的,还需要针对各种桌面操作系统的防病毒软件;如果在网络内部使用电子邮件进行信息交换时,为了识别出隐藏在电子邮件和附件中的病毒,还需要增加一套基于邮件服务器平台的邮件防病毒软件。由此可见,要想彻底的清除病毒,是需要使用全方位的防病毒产品进行配合。另外,在管理方面,要打击盗版,因为盗版软件很容易染上病毒,访问可靠的网站,在下载电子邮件附件时要先进行病毒扫描,确保无病毒后进行下载,最重要的是要对数据库数据随时进行备份。
2.2 身份认证技术
系统对用户身份证明的核查的过程就是身份认证,就是对用户是否具有它所请求资源的存储使用权进行查明。用户向系统出示自己的身份证明的过程就是所谓的身份识别。一般情况下,将身份认证和身份识别统称为身份认证。随着黑客或木马程序从网上截获密码的事件越来越多,用户关键信息被窃情况越来越多,用户已经越来越认识到身份认证这一技术的重要性。身份认证技术可以用于解决用户的物理身份和数字身份的一致性问题,给其他安全技术提供权限管理的依据。对于身份认证系统而言,合法用户的身份是否易于被其他人冒充,这是最重要的技术指标。用户身份如果被其他不法分子冒充,不仅会对合法用户的利益产生损害,而且还会对其他用户的利益甚至整个系统都产生危害。由此可知,身份认证不仅是授权控制的基础,而且还是整个信息安全体系的基础。身份认证技术有以下几种:基于口令的认证技术、给予密钥的认证鉴别技术、基于智能卡和智能密码钥匙 (UsBKEY)的认证技术、基于生物特征识别的认证技术。对于生物识别技术而言,其核心就是如何获取这些生物特征,并将之转换为数字信息、存储于计算机中,并且完成验证与识别个人身份是需要利用可靠的匹配算法来进行的。
2.3 入侵检测技术
入侵检测就是对网络入侵行为进行检测,入侵检测技术属于一种积极主动地安全保护技术,它对内部攻击、外部攻击以及误操作都提供了实时保护。入侵检测一般采用误用检测技术和异常监测技术。1)误用检测技术。这种检测技术是假设所有的入侵者的活动都能够表达为征或模式,对已知的入侵行为进行分析并且把相应的特征模型建立出来,这样就把对入侵行为的检测变成对特征模型匹配的搜索,如果与已知的入侵特征匹配,就断定是攻击,否则,便不是。对已知的攻击,误用入侵检测技术检测准确度较高,但是对已知攻击的变体或者是一些新型的攻击的检测准确度则不高。因此,要想保证系统检测能力的完备性是需要不断的升级模型才行。目前,在绝大多数的商业化入侵检测系统中,基本上都是采用这种检测技术构建。2)异常检测技术。异常检测技术假设所有入侵者活动都与正常用户的活动不同,分析正常用户的活动并且构建模型,把所有不同于正常模型的用户活动状态的数量统计出来,如果此活动与统计规律不相符,则表示可以是入侵行为。这种技术弥补了误用检测技术的不足,它能够检测到未知的入侵。但是,在许多环境中,建立正常用户活动模式的特征轮廓以及对活动的异常性进行报警的阈值的确定都是比较困难的,另外,不是所有的非法入侵活动都在统计规律上表示异常。今后对入侵检测技术的研究主要放在对异常监测技术方面。
另外,计算机网络安全防范策略还包括一些被动防范策略。被动式防范策略主要包括隐藏IP地址、关闭端口、更换管理员账户等,本文只对以上三种进行分析。1)隐藏IP地址。在网络安全方面,IP地址的作用是非常大的,如果IP地址被攻击者盗用,他就可以向这个IP发动各种进攻。用服务器能够实现IP地址的隐藏,服务器使用后,其他用户只能对服务器IP地址进行探测,而根本检测不到用户的IP地址,也就是说,隐藏IP地址的目的实现了,用户上网安全得到了很好的保护;2)关闭不必要的端口。一般情况下,黑客要想攻击你的计算机,首先对你的计算机端口进行扫描,如果安装了端口监视程序,这会有警告提示。另外,还可以通过关闭不必要的端口来解决此问题;3)更换管理员账户。管理员账户的权限最高,如果这个账户被攻击,那么危害将会很大。而截获管理员账户的密码又是黑客入侵常用的手段之一,因此,要对管理员账户进行重新配置。
3 结束语
计算机网络给人们带来便捷的同时也带了隐患,要想是计算机网络发挥出其更大的作用,人们必须对这些隐患采取一定的措施来进行防止。引起计算机网络安全问题的因素不同,所采取的防范策略也不同,因此,防范策略的实施和运用也不要盲目,否则不仅没有缓解网络安全问题,反而使得网络安全问题更加严重,人们受到更大的危害。
参考文献
[1] 林敏,李哲宇.影响计算机网络安全的因素探讨[J].科技资讯,2007,(20).
[2] 胡瑞卿,田杰荣.关于网络安全防护的几点思考[J].电脑知识与技术,2008(16).
[3] 王建军,李世英.计算机网络安全问题的分析与探讨[J].赤峰学院学报:自然科学版,2009(1).
[4] 华建军.计算机网络安全问题探究[J].科技信息,2007(9).
身份认证技术论文范文6
【关键词】流量识别;行为管理;单点登陆;IP/MAC绑定
一、前言
按照摩尔定律,IT产业已远超我们想象的速度在发展着。计算机从单机走向联网,人们对网络的需求也从原来的工作为主,逐步转向了电子商务、流媒体、大型游戏的等为代表的多媒体娱乐活动。相应的网络基础环境也发生了极大的变化:网络拓扑日益复杂,网络安全日益严峻,用户需求不断提高,应用热点越来越多变。而反观以TCP/IP协议为主的计算机网络,设计就是一个尽力而为的网络,决定了它本身就是一个不安全、低可靠性(靠TCP协议保证),并且可管理性较差的网络。黑客攻击、网络病毒、网络侦听、木马后门、拒绝服务(DDoS)等信息安全问题;网络服务阻塞、链路拥塞失效、其他硬件故障等可靠性问题;网络权限(AAA)控制、网络监控、数据统计等管理问题都日益严重。
本文对网络行为管理系统的现状进行了调研,根据企业战略和业务支撑系统的发展远景,提出了网络行为管理系统的技术框架和功能设计,并对所涉及的具体需进行研究、分析,旨在深入根据实际的应用需求提出一个合理的系统方案,使得系统能够适用于实际需求,成为高效可靠的系统,进一步提升信息化管理水平。
二、系统设计基本概况
本论文的研究目标是规划设计一套网络行为管理系统,期望能在将来的企业选型开发和设计中起到一定的启示作用。从其功能特性出发,我们需要了解系统实现的原理以及其涉及到的核心技术,并且指出了此类产品中存在的问题及其今后的发展方向,重点在于内容识别、流量识别、流量控制的实现,因此,如何提高识别的准确率,是研究最为广泛并且最有难度的一个课题,以此作为我们选择和定制此类产品的标准,同时配合此类产品独立开发一个支撑平台与之配套。
整个网络行为管理系统功能上分成四部分,具体拓扑结构如图1所示:
1.硬件平台:采用国内主流厂商的硬件平台,透明方式串联接入网络,具置位于核心交换机与出口防火墙之间。硬件平台主要进行内容识别、流量识别、流量控制的实现、用户IP/MAC的识别、用户认证以及策略的制定与实现。
2.数据中心:包括网管服务器、数据库、存储,记录各种应用行为,存储硬件平台提供监控、审计数据,并保存所有的系统日志。
3.支撑平台:提供人机接口界面,并通过此界面管理硬件平台、数据中心服务器、认证服务器、DHCP服务器;进行用户/用户组的管理,权限分配,并负责对数据中心、认证服务器、DHCP服务器、硬件平台的用户数据实时同步;权限定制与分发,根据不同用户、不同部门、不同使用范围差异化的进行网络使用权限划分。数据分析功能,对数据中心存储数据进行统计、查询、排序、审计等,获得网络活动状况的当前、历史情况。
4.DHCP服务器(认证):与数据中心数据库保持数据同步,同时控制DHCP服务进行IP地址自动分配,满足基于IP地址的用户终端设备管理,同时可以管理用户,实施ip/mac的绑定。
三、系统实现功能
网络行为管理系统建设规划需要考虑的两个首要问题。
首先,对于未来网络行为管理系统的建设,所面临的首要问题是如何满足日益增长、日益变化的网络应用状况,以及满足对产品性能及分析能力的需求,特别是对于企业的内部网络来说,更注重网络记账和网络控制功能。随着网络应用的逐渐增多,以及加密技术的不断进步,如何从海量数据中迅速而准确的识别各种应用数据,是一个很大的挑战。因此基于网络行为的、针对复杂应用的语义分析等技术也会逐渐被引入到网络行为管理产品中。
其次,网络行为管理系统具有较高的网络适应能力,适应各种网络拓扑环境新系统的部署不能更改原有网络的架构,不能破坏用户的网络基础设施规划,也不能影响到其他设备的性能,要做到无缝接入。因此,做到灵活接入是网络行为管理设备必须要做到的。
网络行为管理系统的设计实现功能主要包括访问控制、身份认证、监控审计、带宽流量管理、权限管理、IP和MAC管理、终端管理、查询统计。
1.访问控制
主要实现网页行为过滤、搜索关键字过滤、发帖关键字过滤、文件类型过滤、应用控制、反钓鱼网站功能、反钓鱼网站功能、加密管理、邮件管理。
2.身份认证
现今大多数企业的身份认证仍旧采用静态的用户名、明文密码认证方式,在身份认证过程中与认证设备交换的数据消息为明文方式,未进行DES等加密算法或者RSA散列算法的处理,导致的直接后果是用户名、口令等敏感数据很容易被截获和泄露。因此一套安全、稳定的身份认证对于一个成熟的企业网络是必不可少的,同时兼顾效率。
整个认证的流程如图2所示。
3.监控审计
访问控制功能主要决定了用户能做什么,而用户进行相关操作后,系统需要提供全面的、灵活的监控审计功能。
4.带宽流量管理
具体有以下几种的分配方式:主流业务优先分配,设置服务下限;非业务流量设置上限;基于用User/Group的流量分配;基于协议分类的流量分配;根据时间段进行分配:在不同的时间段对不同的业务类型进行调整,从而实现带宽资源利用率的最大化。
在实际使用中以上诸多流量分配方式混合应用。
5.权限管理
上网行为管理需要提供3A功能,可以通过用户帐号、IP、MAC的绑定功能,通过身份认证来实现对用户的互联网准入控制,防止未授权的人员使用单位网络。对于外来人员的互联网使用需求,可以通过额外的流程准入,提高网络使用的便捷性。
6.IP和MAC管理
IP地址是计算机的身份标识,是进行网络路由的门牌号码。在IP地址管理的基础上,需要增加MAC地址的管理。MAC地址是指的计算机网卡上内置的硬件信息,相对IP地址不容易更改,更重要的是可以建立IP地址与MAC地址的对应关系表,形成IP+MAC的记录项,这样当其中的任何一样放生改变时,即可认为有非法用户进入系统。
7.终端管理
分成两部分,包括用户管理和PC管理。
用户管理:现有的OA系统已经有了自己的用户信息库,而上网行为管理系统也有自己的用户信息库,两者并不相同。因此我们的支撑平台要建立一套用户信息库,主要内容来自于OA系统,并同步给上网行为管理系统设备,保证两边的数据一致性。
终端管理:因为我们的网络管理系统主要管理的是我们设备,当然最直接的就是pc终端。如何很好的对pc终端进行管理是衡量这个系统是否有效、是否有价值的一个标准。
8.查询统计
管理员可以通过数据中心的内容检索工具,从海量日志中进行实时查询、审计所需的日志记录,并生成,详细的报表和图形化统计结果,并且支持导出功能,以及电子邮件转发方便日常管理。
四、系统实现方式
网络行为管理系统由支撑平台(网络管理系统)、硬件平台)、DHCP服务平台、数据中心四大部分组成。其中,支撑平台包含了我的工作、信息查询、报表统计、系统维护;上网行为管理系统主要是根据需求和要求进行设备的采购;DHCP服务平台采用windows2003自带的DHCP服务,可以采用集群的方式。
支撑平台网络管理系统分别通过UDP客户端和Webservice客户端向两者发送用户和IP/MAC信息,以完成信息的三者同步。
1.硬件平台的实现
上网行为管理系统目前在市场上有很多成熟的产品,目前不仅国外的有,国内做的好的也不少,比如深信服的AC产品、天易成上网行为管理系统、瑞星的RAC上网行为管理系统等。同时这些产品都支持二次开发,而且性能上都很不错。
经过对各厂家多款设备全方面的比较,在实际系统实现中采用了深信服AC系列产品,利用其自带的流量识别算法,已经实现了访问控制、监察审计、带宽管理功能。
2.数据中心平台的实现
数据中心服务器采用Windows平台,运行IBM DB2数据库。此部分数据库包含两部分内容:硬件平台的日志记录,以及支撑平台的所有数据记录。
3.DHCP服务平台的实现
DHCP服务实现主要包括两方面,包括DHCP服务的配置和WEBSERVICE服务程序的编写。DHCP服务配置我们采用成熟的WINDOWS2003自带的DHCP服务,通过安装微软DHCP服务组件来实现。DHCP服务由服务器来负责,服务器会为用户接入提供DHCP的IP和MAC绑定设置。DHCP服务器提供的数据同步采用webservice服务方式。另外用JAVA开发一个WEBSERVICE接受数据并同时以命令方式操控DHCP服务。
4.支撑平台的实现
为了实现网络行为管理系统在前面所写的诸多功能,在系统外端需要有一个支撑平台来支撑整个网络行为管理系统的运行。这一段主要来讲如何开发一个支撑平台,通过此平台可以协助网络行为管理系统的正常运行。我们把此支撑平台称为网络管理平台。
网络管理平台主要功能包括用户信息维护、权限分配、设备信息维护,IP/MAC信息管理,后台接口、查询统计等功能。其中,支撑平台(网络管理系统)和上网行为管理中的人员数据同步的主要流程如图3所示。
