時間:2023-01-19 22:43:19
緒論:在尋找寫作靈感嗎?愛發表網為您精選了8篇身份認證技術論文,愿這些內容能夠啟迪您的思維,激發您的創作熱情,歡迎您的閱讀與分享!
關鍵詞:信息安全;身份認證;生物特征;組合認證;解決方案;性能分析
中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2011) 16-0000-02
Authentication Technology Research Overview
Zhang Yao
(Harbin Normal University,Computer Science and Information Engineering College,Harbin150025,China)
Abstract:Authentication technology is capable of sending and receiving side of information technology to identify the true identity,is to identify,verify that the network information system in the legitimacy and authenticity of the user identity,according to mandate access to system resources,and shut out illegal visitors.This article discusses the field of information security authentication technology status and development trend,for further improving the work has a certain theoretical significance.
Keywords:Information security;Authentication;Biometrics;
Combination of certification;Solutions;Performance analysis
網絡認證技術是網絡安全技術的重要組成部分之一。認證指的是證實被認證對象是否屬實和是否有效的一個過程,常常被用于通信雙方互相確認身份,以保證通信的安全。認證技術一般包括兩個方面的內容,分別是身份認證和信息認證。身份認證主要是通過對用戶身份的鑒別來實現對用戶權限的識別,限制低權限或者非法用戶的入侵。信息認證主要是用于驗證信息是否完整。本論文的研究主要偏重于對身份認證技術及其分析。主要側重以下幾個方面做分析。
一、身份認證的方法分析
身份認證主要是通過分析被認證者的身份、權限等相關的信息。除了認證者本人,任何其他人都無法進行仿造或者偽造身份。如果經過認證,被認證者擁有相關的權限和秘密,那么他就獲得了認證。身份認證的主要依據就是被認證方用于證明身份所用有的秘密。每個被認證者所擁有的身份認證秘密不同。常見的身份認證有兩種,第一種是基于物理安全性的身份認證方法。第二種是基于秘密信息的身份認證方法。
(一) 基于物理安全的身份認證方法
不同的身份認證方法基于不同的理論,但這些認證方法的共同點就是依據用戶知道的秘密信息。和這種認證方法相對照,另外一種利用用戶的特殊信息或者硬件信息來進行身份認證的。比如說從生物學角度考慮,利用聲音識別進行身份驗證,利用指紋進行身份驗證,利用人眼的虹膜進行身份驗證等。從硬件的角度考慮,常用的認證方法有通過智能卡來進行驗證,只有認證者擁有正確的卡,才可以被認證。當然,這種方法也有優缺點,這種智能卡可以有效的阻止和避免人為亂猜口令導致的密碼被破解,但也存在著只認卡不認人的缺陷,一旦智能卡因丟失被其他人撿到,則很容易被盜取身份。為防止出現這種情況,現在一般采用智能卡和口令結合的方式,比如現在最常用的銀行卡就是這種。
(二)基于秘密信息的身份認證方法
常見的有以下幾個方式:
1.通過進行用戶口令認證來核對身份信息,在剛建立系統的時候,系統已經預先為具有合法權限的用戶設定了用戶口令和密碼。當用戶通過登錄界面登錄時,登錄界面顯示用戶名和密碼輸入。客戶輸入用戶名和密碼以后,系統會對輸入的賬戶和密碼與系統原有的密碼進行核對如果完全一致,則認為是合法用戶,用戶身份得到認證。否則,就提示賬戶名或者密碼錯誤。用戶身份得不到認證。
2.單項認證,所謂單項認證,就是進行通信的雙方中,只有一方需要進行身份認證。上面所闡述的口令核對法本質上也是一種單項認證。只是這種認證方法還比較低級,沒有進行相應的密鑰分發操作。常見的涉及到密鑰分發操作的認證方案有兩類。分別是對稱密鑰加密方案和非對稱密鑰加密方案。對稱密鑰加密方案是指依靠第三方來進行認證,第三方就是一個統一的密鑰分發中心。通信雙方的密鑰分發和身份認證都要通過第三方來實現。另一種沒有第三方參與的加密體制成為非對稱密鑰加密體制。
3.雙向認證。雙向認證,是指需要通信雙方相互認證才可以實現雙方通信,通信雙方必須相互鑒別彼此的身份,并且經雙方驗證正確以后,才可以實現雙方的通信。在雙向認證中,最典型的就是Needham/Schroeder協議。
[1]Needham/Schroeder Protocol[1978]
AKDC:IDA||IDB||N1
KDCA:EKa[Ks||IDB||N1||EKb[Ks||IDA]]
AB:EKb[Ks||IDA]
BA:EKs[N2]
AB:EKs[f(N2)]
(其中f(N2)為N2的某一個函數,其他符號約定同上。)
4.身份的零知識證明通常在進行身份認證時,需要進行身份信息或者口令的傳輸。要想不傳輸這些信息就可以進行身份認證,就需要采用身份的零知識證明技術。所謂零知識證明就是指在進行用戶身份認證時,不需要傳輸相關的信息。這種認證機制就是當被認證的甲方為了讓認證方乙方確信自己的身份和權限但同時又不讓乙方得到自己的秘密信息而采用的一種機制。這種認證方法可以非常有效的防治第三方竊取信息。
二、身份認證的應用
(一)Kerberos認證服務
Kerberos是一種基于Needham和Schroeder[1978]模型的第三方認證服務Kerberos可信任的第三方就是Kerberos認證服務器。它通過把網絡劃分成不同的安全區域,并且在每個區域設立自己的安全服務器來實現相應的安全策略。在這些區域的認證具體實現過程如下:Kerberos通過向客戶和服務提供票和通信雙方的對話密鑰來證明自己的身份權限。其中Kerberos認證服務器負責簽發初始票,也就是客戶第一次得到的票。其他票都是由發票服務器負責簽發。同一個票可以在該票過期之前反復使用。當客戶需要讓服務方提供服務的時候,不但要自己生成僅可以使用一次的證,而且需要向服務方發送由發票服務器分發的。這兩個需要同時發送。
(二)HTTP中的身份認證
HTTP中的身份認證現在主要由三個常用的版本。分別是HTTP協議目前已經有了三個版本HTTP0.9、HTTP 1.0和HTTP 1.1,其中HTTP 0.9功能簡單,主要用來實現最基本的請求協議和回答協議。HTTP 1.0是目前應用比較廣泛的一個版本,它的功能相對來說非常完善。而且,通過Web服務器,就可以實現身份認證來實現訪問和控制。如果用戶向某個頁面發出請求或者運行某個CGI程序時,將會有訪問控制文件告訴用戶哪些可以訪問,哪些不可以訪問,訪問對象文件通常存在于訪問對象所在的目錄下面的。通過服務器讀取訪問控制文件,從而獲得相應的訪問控制信息。并且要求客戶通過輸入用戶名和口令進行身份驗證。通過訪問控制文件,Web服務器獲得相應的控制信息,用戶根據要求輸入用戶名和口令,如果經過編碼并且驗證以后,如果身份合法,服務方才發送回所請求的頁面或執行CGI程序。HTTP 1.1新增加的很多的報頭域。如果進行身份認證,不是以明文的方式進行傳遞口令,而是把口令進行散列變換,把口令轉化以后對它的摘要進行傳送。通過這種認證機制,可以避免攻擊者通過某種攻擊手段來獲取口令。即使經過多次攻擊,也無法進行破譯。即使是這樣,仍然不能保證摘要認證的足夠安全。和普通的認證方法一樣,這種方法也可能受到中間者的攻擊。要想更進一步確保口令安全,最好就是把HTTP的安全認證方式與Kerberos服務方式充分結合起來。
(三)IP中的身份認證
IP中的身份認證IP協議出于網絡層,因此不能獲取更高層的信息,IP中的身份認證無法通過基于用戶的身份認證來實現。主要是通過用戶所在IP地址的身份認證來實現。IP層的認證機構既要確保信息在傳遞過程中的數據完整性,又要確保通過數據組抱頭傳遞的信息的安全性。IPSec就是IP安全協議的簡稱,主要功能就是維護網絡層的安全和網絡成以下層的安全。通常情況下,它提供兩種安全機制。第一種是認證機制,通過這種認證機制,可以確保數據接收方能夠識別發送方的身份是否合法。而且還可以發現信息在傳輸過程中是否被惡意篡改;第二種是加密機制,通過對傳輸數據進行數據編碼來實現數據的加密機制。從而可以保證在信息的傳遞過程中,不會被他人竊取。IPSec的認證報頭(Authentication Header AH)協議定義了認證的應用方法,封裝安全負載(Encapsu-lating Security Payload,ESP)協議定義了加密和可選認證的應用方法。應用到具體的通信中去,需要根據實際情況選擇不同的加密機制和加密手段。AH和ESP都可以提供認證服務,相比較而言,AH提供的認證服務要強于ESP。
三、身份認證技術討論
身份認證技術討論,在前面幾部分內容中,對身份認證技術進行了理論分析和總結,并對他們的原理、機制和優缺點進行了比較。這里將根據自己的理解,深入考慮通過其他途徑來實現身份認證。數字簽名首先要保證身份驗證者信息的真實性,就是要確保信息不能偽造,這種方法非常類似于身份認證。身份認證的主要目的是要確保被認證者的身份和權限符合。因此,這里考慮通過數字簽名來實現身份認證。這里的技術難點就是必須要預先進行分發密鑰。如果不能提前進行密鑰分發,就不可能實現數字簽名。綜上可以看出,身份認證在整個安全要求中是首先要解決的技術問題。
參考文獻:
[1]William Stallings,孟慶樹等.密碼編碼學與網絡安全――原理與實踐(第四版)[M].電子工業出版社,2006,11
[2]袁德明.計算機網絡安全[M].電子工業出版社,2007,6
[3]楊英鵬.計算機網絡原理與實踐[M].電子工業出版社,2007,9
[4]李忠獻.認證理論與技術的發展[J].電子學報,1999
關鍵詞:身份認證;UEB Key;PKI體系;認證設計
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2008)23-930-02
Design Research of Authentication Client Based on USB Key under PKI System
ZHOU Hua-xiang
(Changsha Commerce & Tourism College, Changsha 410004, China)
Abstract: Due to universality and opening of the Internet,there're many hidden troubles of information security in the network, so, identity authentication has becomed the necessary measure to ensure the security. This paper compared and analyzed the relative merits of common classes of identity authentication, and on the basis of analysis, the authentication principle and its characteristics, and the authentication processing were also discussed, and after that, the identifying technology of USB Key with PKI system was designed from software and hardware detaily. All these design work and theory analysis is significative for enhance the security of the identifying authentication.
Key words: Identity authentication; USB Key; PKI System; Technology design
1 引言
當前,隨著計算機技術的飛速發展,利用因特網高科技手段進行經濟商業犯罪的現象已經屢見不鮮了,因此,如何采用更加安全的數據保護及加密技術,成為當前計算機工作者的研究熱點與重點。但是很多身份認證技術由于本身算法的漏洞而不穩定或可靠,使得很多不法之徒有機可乘。因此,發展更加安全的數據加密算法和身份認證技術,是關系到社會經濟穩定繁榮發展的關鍵,如何采用與設計更加安全的身份認證技術,成為當前計算機安全工作的重點。
現今,計算機及網絡系統中最常用到的身份認證技術主要有以下幾種:1)用戶名密碼方式認證;2)IC卡認證;3)動態口令認證;4)生物特征認證。
上述幾種身份認證方式,或認證方式過于簡單,或認證成本過高,或使用方法繁瑣,在推廣應用上都存在一定的限制因素;USB Key認證技術是一種方便、安全、經濟的身份認證技術,它采用軟硬件相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。
2 相關原理概述
2.1 PKI體系概述
PKI(Public Key Infrastructure)是一個用公鑰密碼體制來實現并提供安全服務的具有通用性的安全基礎設施,具有可信任的權威認證機構CA,在公鑰加密技術基礎上實現證書的產生、管理、存檔、發放以及證書作廢管理等功能,并包括實現這些功能的硬件、軟件、人力資源、相關政策和操作規范以及為PKI 體系中的各成員提供全部的安全服務。如實現通信中各實體的身份認證、數據保密性、數字完整性以及不可否認等。PKI必須具有認證機構CA、證書庫、密鑰備份及恢復系統、證書作廢處理系統、PKI 應用接口系統等主要組成部分。
2.2 USB Key認證原理
每個USB Key硬件都具有用戶PIN碼,以實現雙因子認證功能。USB Key內置單向散列算法(MD5) ,預先在USB Key和服務器中存儲一個證明用戶身份的密鑰,當需要在網絡上驗證用戶身份時,先由客戶端向服務器發出一個驗證請求。服務器接到此請求后生成一個隨機數并通過網絡傳輸給客戶端,客戶端將收到的隨機數提供給插在客戶端上的USB Key,由USB Key使用該隨機數與存儲在USB Key中的密鑰進行帶密鑰的單向散列運算(HMACMD5)并得到一個結果作為認證證據傳送給服務器,與此同時,服務器使用該隨機數與存儲在服務器數據庫中的該客戶密鑰進行HMAC- MD5運算,如果服務器的運算結果與客戶端傳回的響應結果相同,則認為客戶端是一個合法用戶。
3 基于PKI體系的USB Key認證客戶端的設計
3.1 總體設計
本方案基于USB接口,采用高性能的智能卡進行設計,把智能卡固有的安全性能和USB總線的即插即用、總線供電等優點結合起來,集二者之所長,研制出一種攜帶方便的PKI客戶端設備,集數據加密和數據存儲兩大功能為一體,在硬件級安全的基礎上完成身份認證、密鑰管理、證書存儲等功能。其系統結構框圖如圖1所示。
由圖1的結構可以發現,本論文研究的客戶端硬件模塊由智能卡和USB 讀卡器組成,采用智能卡芯片作為私鑰安全管理的載體,它包括私鑰的安全生成、存儲和使用。智能卡芯片中含有CPU ,可以通過運算來產生公私密鑰對,而且還含有一定的存儲空間,可以存儲私鑰和其它用戶資料。USB 讀卡器的主要功能是完成智能卡與主機的通信。
由于智能卡的存儲空間畢竟有限,對于需要進行密碼運算的大文件,無法一次完全導入智能卡設備中,為此,我們將一部分密碼運算的功能放在主機端的軟件模塊,以提高運算速度。
總體的設計思路是私鑰的密碼運算必須在智能卡中進行,而將一部分有可能對大文件進行的運算放在主機上來完成。這樣既保證了私鑰的生成、保存的高度安全性,又利用了主機容量大、運算快的優勢。
3.2 系統硬件設計
3.2.1 智能卡芯片的設計
智能卡芯片是USB KEY的核心,采用一個高性能的處理器芯片,除了含有一個MCU 外,還集成有專門進行密碼算法的協處理器,通過它可以提高密碼運算的速度。在軟件結構上,我們內置了一個卡內操作系統(COS) 以管理智能卡的所有軟硬件資源。COS 分為四個模塊:傳輸層模塊、文件管理層模塊、安全控制模塊和算法庫。
從整個安全策略、用戶的方便性、產品的創新性等幾點出發,客戶端的智能卡芯片中需要實現簽名、解密、RSA 密鑰對的產生、私鑰的保存及證書的驗證等主要功能。
驗證別人的證書,需要通過信任錨來完成。信任錨就是根CA 的公鑰。通過它,我們可以驗證在一個PKI 系統中所有的證書。由于主機的不安全性,如果將信任錨存儲在主機端,很容易被黑客替換成一個假的信任錨,這樣用戶就無法驗證別人證書的真偽。出于這樣的考慮,我們將信任錨存儲在智能卡中,由于智能卡芯片的硬件特性,駐留在里面的程序具有不可修改性,這樣就使數據(私鑰) 的保存和使用達到了硬件的安全級別,大大提高了PKI 系統的安全。
3.2.2 USB芯片的設計
由于用戶需要通過駐留在主機上的用戶程序來使用存儲在智能卡中的私鑰,為了使用的方便,我們將硬件模塊設計成一個目前流行的USB KEY模型,即通過USB 接口來實現主機軟件程序與智能卡的通訊。
USB 接口的設計由一個USB 芯片來實現。它主要有兩個功能,一是通過USB 協議完成與主機的通信;二是完成與智能卡的通訊。由于智能卡與外界的信息交換遵循ISO781623協議,所以USB 芯片的CPU 必須模擬一個781623 協議來實現兩者的通訊。
考慮到用戶在使用客戶端時的不安全性,如:在用戶使用完USB KEY時,可能忘記將它從主機上拔下來,這時如果遠程黑客通過駐留主機的木馬程序獲得了用戶的PIN ,就會在用戶無察覺的情況下,利用USB KEY來對任意的文件進行任意次的簽名,從而對合法用戶造成很大損失。為此,我們在USB 芯片上設計了一個按鍵,每次USB 芯片檢測到簽名操作的命令,便要求用戶手工按鍵,然后再將命令發送到智能卡里,由智能卡完成簽名運算。這樣合法用戶便可以控制簽名次數,將風險降到最低水平。
3.2.3 時間芯片的設計
無論證書還是私鑰,都有一定的生存期,過期后必須申請新的證書和私鑰。要求PKI 用戶以手工操作的方式來定期更新自己的證書是不現實的,用戶往往忘記自己證書過期的時間,常在認證失敗時才發現問題。為此,我們在USB 芯片上加載了一個時間芯片,用它來識別證書和私鑰過期的時間。
3.3 系統軟件設計
系統的軟件設計采用Client/Server模式,一個標準的服務流程為:客戶機提出請求,通過USB接口傳輸給USB接口控制器,USB接口控制器通過模擬7816協議來和智能卡進行通信,智能卡的片上操作系統COS收到該請求后,進行命令解釋,調度相應的功能模塊進行處理,然后將運算結果返回給USB接口控制器,最終傳遞給客戶機的應用程序,完成一次服務請求。
軟件程序的流程圖如圖2所示。
4 結束語
USB認證設備體積小巧、功能強大、價格低廉,可提供極高安全等級的認證和加密功能,有力地促進了PKI系統的實施,同時,它也可廣泛應用于要求個人身份認證、識別、數據加密、安全存儲等領域,應用前景廣泛。目前,對于身份認證技術的研究方興未艾,很多新的認證方式與認證技術正在出現,為人們的數據安全提供更加可靠的安全認證與保護。
展望將來,除了對基于PKI體系的USB Key認證方式繼續探討新的數據加密算法外,其他新的認證模式也正在興起,如基于生物特征的生物認證技術,以及目前處于研究熱潮的基于線上手寫簽名的身份認證技術,這些都將是安全性極高的認證手段。
參考文獻:
[1] 胡道元,閔京華.網絡安全[M].北京:清華大學出版社,2004.
[2] 蔡金清,萬振凱.統一口令網絡認證系統的分析與實現[J].天津:工業大學學報,2004,23(3):74-76.
[3] 關振勝.公鑰基礎設施PKI與認證機構CA[M].北京:電子工業出版社,2002.
【Abstract】With the rapid development of information technology, colleges expect the verification of candidate information can be more reliable, scientific and unified.. However,the lack of human resource, low information verification efficiency and instead of someone else in examination frequency, make the examination process is difficult to realize optimization. To overcome these drawbacks, the article takes the two-dimensional code as the information transmission interface, analyzes and designs the network architecture, logical structure and physical deployment of dimensional code authentication platform, provides a useful and practical reference for college to realize authentication informatization .
【P鍵詞】二維碼;高校;身份認證
【Keywords】two-dimensional code ; university; identity authentication
【中圖分類號】C39 【文獻標志碼】A 【文章編號】1673-1069(2017)04-0166-03
1 引言
高校作為人才的培養基地,一直以來都扮演著科教興國的重要角色,考試制度也順理成章的成為了檢閱人才的必備標桿。然而,社會上的不誠信現象屢見不鮮,加之社會信用體系不完善,客觀上助長了不誠信風氣。大學生作弊現象,代考現象日益加劇,使得考試成績的真實性每況愈下,經調查,
60. 4%的大學生想過考試作弊,39. 1% 的大學生自述曾有過作弊經歷。這種弄虛作假的行為嚴重威脅著國家政策的施行,也使得高校教育策略岌岌可危。為糾正各類教育考試中考生代考、作弊等行為,進一步加強考試環境的綜合治理,我們引入二維碼技術來進行考生身份認證。通過掃描二維碼將考生最新信息呈現給監考教師,防止了考生準考證信息因磨損失真、不完全、容易被篡改等現象而引起代考行為的發生,保證了信息的統一化、可靠化、科學化管理,實現了考生信息的動態更新。系統采用各種最新技術來提高用戶體驗,保證信息的安全性,一定程度上實現了功能和體驗的雙贏[1]。
2 二維碼技術的發展
二維碼是20世紀90年代興起的一種新技術,它是以某種特定的幾何圖形按一定規律在平面上分布組成黑白相間的圖形來記錄數據符號信息的技術。和一維碼相比較,二維碼不但具有存儲容量大、信息密度大(在一個不大的圖形內可存儲數字、英文、漢字、指紋、聲音和圖片等信息)、 采集速度快、制作成本低、糾錯能力強、安全性高等特點,還成功彌補了一維碼只能包含字母與數字的缺陷。它可以從水平軸X軸和縱軸Y軸即橫向和垂直兩個方向對信息進行存儲和處理,這樣既提高了條碼信息存儲量又加速了信息的處理速度等優點,也正是這些優勢使得它廣泛流行于各國各行業中。
我國對二維碼技術的研究開始于1993年,截至目前,條碼標準體系還尚顯單薄,具有自主知識產權和核心研發技術體系還很少,二維碼的推廣和發展受到了一定阻礙。但是隨著我國通信網絡的升級、智能手機的普及和民眾意識的轉變,二維碼的應用前景也漸漸明朗起來,在消化國外先進技術文化的基礎上,制定了一系列二維碼標準:如GB/T17172-1997《四一七條碼》,GB/T18284-2000《快速響應矩陣碼》,《二維碼網格矩陣碼(GM)》,《二維碼緊密矩陣碼(CM)》等,并已在我國的汽車行業自動化生產線、醫療急救服務卡、涉外專利案件收費、珠寶玉石飾品管理及銀行匯票上得到了應用。國內多家IT企業如阿里巴巴、騰訊、百度、新浪等對二維碼的試水,以及中國電信、中國聯通、中國移動等電信巨頭在二維碼手機應用領域的介入都充分顯示了二維碼應用在我國強勁的發展勢頭,我國也在不斷投入資源,鼓勵摸索前進,積極研究和開辟新的應用和領域。
通過文獻梳理和調查國內外關于二維碼技術的應用,我們發現高校對二維碼技術的應用仍處于啟蒙階段,同時,師生證件繁多、不易保管、信息不完整、易損壞、易仿制、丟失使得信息的傳遞存在極大的風險。鑒于二維碼的特點和應用,廣大師生已在日常生活中對其有了初步了解。開發基于二維碼技術的高校考生身份認證系統,生成包含高校師生身份認證名片,能夠在極大程度上推動高校信息化發展,確保信息的完整、真實、易用,做到誠信考試,有效規避代考作弊等行為[2]。
[論文摘 要]電子商務是新興商務形式,信息安全的保障是電子商務實施的前提。本文針對電子商務活動中存在的信息安全隱患問題,實施保障電子商務信息安全的數據加密技術、身份驗證技術、防火墻技術等技術性措施,完善電子商務發展的內外部環境,促進我國電子商務可持續發展。
隨著網絡的發展,電子商務的迅速崛起,使網絡成為國際競爭的新戰場。然而,由于網絡技術本身的缺陷,使得網絡社會的脆性大大增加,一旦計算機網絡受到攻擊不能正常運作時,整個社會就會陷入危機。所以,構筑安全的電子商務信息環境,愈來愈受到國際社會的高度關注。
一、電子商務中的信息安全技術
電子商務的信息安全在很大程度上依賴于技術的完善,包括密碼、鑒別、訪問控制、信息流控制、數據保護、軟件保護、病毒檢測及清除、內容分類識別和過濾、網絡隱患掃描、系統安全監測報警與審計等技術。
1.防火墻技術。防火墻主要是加強網絡之間的訪問控制, 防止外部網絡用戶以非法手段通過外部網絡進入內部網絡。
2.加密技術。數據加密就是按照確定的密碼算法將敏感的明文數據變換成難以識別的密文數據,當需要時可使用不同的密鑰將密文數據還原成明文數據。
3.數字簽名技術。數字簽名技術是將摘要用發送者的私鑰加密,與原文一起傳送給接收者,接收者只有用發送者的公鑰才能解密被加密的摘要。
4.數字時間戳技術。時間戳是一個經加密后形成的憑證文檔,包括需加時間戳的文件的摘要、dts 收到文件的日期與時間和dis 數字簽名,用戶首先將需要加時間的文件用hash編碼加密形成摘要,然后將該摘要發送到dts,dts 在加入了收到文件摘要的日期和時間信息后再對該文件加密,然后送回用戶。
二、電子商務安全防范措施
網絡安全是電子商務的基礎。網絡安全防范技術可以從數據的加密(解密)算法、安全的網絡協議、網絡防火墻、完善的安全管理制度、硬件的加密和物理保護、安全監聽系統和防病毒軟件等領域來進行考慮和完善。
1.防火墻技術
用過internet,企業可以從異地取回重要數據,同時又要面對 internet 帶來的數據安全的新挑戰和新危險:即客戶、推銷商、移動用戶、異地員工和內部員工的安全訪問;以及保護企業的機密信息不受黑客和工業間諜的入侵。因此,企業必須加筑安全的“壕溝”,而這個“壕溝”就是防火墻.防火墻系統決定了哪些內容服務可以被外界訪問;外界的哪些人可以訪問內部的服務以及哪些外部服務可以被內部人員訪問。防火墻必須只允許授權的數據通過,而且防火墻本身必須能夠免于滲透。
2. vpn技術
虛擬專用網簡稱vpn,指將物理上分布在不同地點的網絡通過公用骨干網聯接而形成邏輯上的虛擬“私”網,依靠ips或 nsp在安全隧道、用戶認證和訪問控制等相關技術的控制下達到與專用網絡類同的安全性能,從而實現基于 internet 安全傳輸重要信息的效應。目前vpn 主要采用四項技術來保證安全, 這四項技術分別是隧道技術、加解密技術、密鑰管理技術、使用者與設備身份認證技術。
3.數字簽名技術
為了保證數據和交易的安全、防止欺騙,確認交易雙方的真實身份,電子商務必須采用加密技術。數字簽名就是基于加密技術的,它的作用就是用來確定用戶是否是真實的。數字簽名就是通過一個單向哈希函數對要傳送的報文進行處理而得到的用以認證報文是否發生改變的一個字母數字串。發送者用自己的私鑰把數據加密后傳送給接收者,接收者用發送者的公鑰解開數據后,就可確認消息來自于誰,同時也是對發送者發送的信息真實性的一個證明,發送者對所發信息不可抵賴,從而實現信息的有效性和不可否認性。
三、電子商務的安全認證體系
隨著計算機的發展和社會的進步,通過網絡進行的電子商務活動當今社會越來越頻繁,身份認證是一個不得不解決的重要問題,它將直接關系到電子商務活動能否高效而有序地進行。認證體系在電子商務中至關重要,它是用戶獲得訪問權限的關鍵步驟。現代密碼的兩個最重要的分支就是加密和認證。加密目的就是防止敵方獲得機密信息。認證則是為了防止敵方的主動攻擊,包括驗證信息真偽及防止信息在通信過程被篡改刪除、插入、偽造及重放等。認證主要包括三個方面:消息認證、身份認證和數字簽名。
身份認證一般是通過對被認證對象(人或事)的一個或多個參數進行驗證。從而確定被認證對象是否名實相符或有效。這要求要驗證的參數與被認證對象之間應存在嚴格的對應關系,最好是惟一對應的。身份認證是安全系統中的第一道關卡。
數字證書是在互聯網通信中標志通信各方身份信息的一系列數據。提供了一種 internet 上驗證用戶身份的方式,其作用類似于司機的駕駛執照或身份證。它是由一個權威機構ca機構,又稱為證書授權(certificate authority)中心發行的,人們可以在網上用它識別彼此的身份。
四、結束語
安全實際上就是一種風險管理。任何技術手段都不能保證100%的安全。但是,安全技術可以降低系統遭到破壞、攻擊的風險。因此,為進一步促進電子商務體系的完善和行業的健康快速發展,必須在實際運用中解決電子商務中出現的各類問題,使電子商務系統相對更安全。電子商務的安全運行必須從多方面入手,僅在技術角度防范是遠遠不夠的,還必須完善電子商務立法,以規范飛速發展的電子商務現實中存在的各類問題,從而引導和促進我國電子商務快速健康發展。
參考文獻:
[1] 勞幗齡.電子商務的安全技術[m].北京:中國水利水電出版社,2005.
[2] 趙泉.網絡安全與電子商務[m].北京:清華大學出版社,2005.
[論文關鍵詞] 電子商務 信息安全 信息安全技術 數字認證 安全協議
[論文摘 要]電子商務是新興商務形式,信息安全的保障是電子商務實施的前提。本文針對電子商務活動中存在的信息安全隱患問題,實施保障電子商務信息安全的數據加密技術、身份驗證技術、防火墻技術等技術性措施,完善電子商務發展的內外部環境,促進我國電子商務可持續發展。
隨著網絡的發展,電子商務的迅速崛起,使網絡成為國際競爭的新戰場。然而,由于網絡技術本身的缺陷,使得網絡社會的脆性大大增加,一旦計算機網絡受到攻擊不能正常運作時,整個社會就會陷入危機。所以,構筑安全的電子商務信息環境,愈來愈受到國際社會的高度關注。
一、電子商務中的信息安全技術
電子商務的信息安全在很大程度上依賴于技術的完善,包括密碼、鑒別、訪問控制、信息流控制、數據保護、軟件保護、病毒檢測及清除、內容分類識別和過濾、網絡隱患掃描、系統安全監測報警與審計等技術。
1.防火墻技術。防火墻主要是加強網絡之間的訪問控制, 防止外部網絡用戶以非法手段通過外部網絡進入內部網絡。
2.加密技術。數據加密就是按照確定的密碼算法將敏感的明文數據變換成難以識別的密文數據,當需要時可使用不同的密鑰將密文數據還原成明文數據。
3.數字簽名技術。數字簽名技術是將摘要用發送者的私鑰加密,與原文一起傳送給接收者,接收者只有用發送者的公鑰才能解密被加密的摘要。
4.數字時間戳技術。時間戳是一個經加密后形成的憑證文檔,包括需加時間戳的文件的摘要、DTS 收到文件的日期與時間和DIS 數字簽名,用戶首先將需要加時間的文件用HASH編碼加密形成摘要,然后將該摘要發送到DTS,DTS 在加入了收到文件摘要的日期和時間信息后再對該文件加密,然后送回用戶。
二、電子商務安全防范措施
網絡安全是電子商務的基礎。網絡安全防范技術可以從數據的加密(解密)算法、安全的網絡協議、網絡防火墻、完善的安全管理制度、硬件的加密和物理保護、安全監聽系統和防病毒軟件等領域來進行考慮和完善。
1.防火墻技術
用過Internet,企業可以從異地取回重要數據,同時又要面對 Internet 帶來的數據安全的新挑戰和新危險:即客戶、推銷商、移動用戶、異地員工和內部員工的安全訪問;以及保護企業的機密信息不受黑客和工業間諜的入侵。因此,企業必須加筑安全的“壕溝”,而這個“壕溝”就是防火墻.防火墻系統決定了哪些內容服務可以被外界訪問;外界的哪些人可以訪問內部的服務以及哪些外部服務可以被內部人員訪問。防火墻必須只允許授權的數據通過,而且防火墻本身必須能夠免于滲透。
2. VPN技術
虛擬專用網簡稱VPN,指將物理上分布在不同地點的網絡通過公用骨干網聯接而形成邏輯上的虛擬“私”網,依靠IPS或 NSP在安全隧道、用戶認證和訪問控制等相關技術的控制下達到與專用網絡類同的安全性能,從而實現基于 Internet 安全傳輸重要信息的效應。目前VPN 主要采用四項技術來保證安全, 這四項技術分別是隧道技術、加解密技術、密鑰管理技術、使用者與設備身份認證技術。
3.數字簽名技術
為了保證數據和交易的安全、防止欺騙,確認交易雙方的真實身份,電子商務必須采用加密技術。數字簽名就是基于加密技術的,它的作用就是用來確定用戶是否是真實的。數字簽名就是通過一個單向哈希函數對要傳送的報文進行處理而得到的用以認證報文是否發生改變的一個字母數字串。發送者用自己的私鑰把數據加密后傳送給接收者,接收者用發送者的公鑰解開數據后,就可確認消息來自于誰,同時也是對發送者發送的信息真實性的一個證明,發送者對所發信息不可抵賴,從而實現信息的有效性和不可否認性。
三、電子商務的安全認證體系
隨著計算機的發展和社會的進步,通過網絡進行的電子商務活動當今社會越來越頻繁,身份認證是一個不得不解決的重要問題,它將直接關系到電子商務活動能否高效而有序地進行。認證體系在電子商務中至關重要,它是用戶獲得訪問權限的關鍵步驟。現代密碼的兩個最重要的分支就是加密和認證。加密目的就是防止敵方獲得機密信息。認證則是為了防止敵方的主動攻擊,包括驗證信息真偽及防止信息在通信過程被篡改刪除、插入、偽造及重放等。認證主要包括三個方面:消息認證、身份認證和數字簽名。
身份認證一般是通過對被認證對象(人或事)的一個或多個參數進行驗證。從而確定被認證對象是否名實相符或有效。這要求要驗證的參數與被認證對象之間應存在嚴格的對應關系,最好是惟一對應的。身份認證是安全系統中的第一道關卡。
數字證書是在互聯網通信中標志通信各方身份信息的一系列數據。提供了一種 Internet 上驗證用戶身份的方式,其作用類似于司機的駕駛執照或身份證。它是由一個權威機構CA機構,又稱為證書授權(Certificate Authority)中心發行的,人們可以在網上用它識別彼此的身份。
四、結束語
安全實際上就是一種風險管理。任何技術手段都不能保證100%的安全。但是,安全技術可以降低系統遭到破壞、攻擊的風險。因此,為進一步促進電子商務體系的完善和行業的健康快速發展,必須在實際運用中解決電子商務中出現的各類問題,使電子商務系統相對更安全。電子商務的安全運行必須從多方面入手,僅在技術角度防范是遠遠不夠的,還必須完善電子商務立法,以規范飛速發展的電子商務現實中存在的各類問題,從而引導和促進我國電子商務快速健康發展。
參考文獻
[1] 勞幗齡.電子商務的安全技術[M].北京:中國水利水電出版社,2005.
[2] 趙泉.網絡安全與電子商務[M].北京:清華大學出版社,2005.
論文摘要:隨著移動存儲設備的廣泛應用,由其引發的信息泄漏等安全問題日益受到關注。針對目前移動存儲安全解決方案中利用用戶名和密碼進行身份認證的不足,本文提出了基于智能卡技術的安全管理方案。該方案將指紋特征作為判定移動存儲設備持有者身份的依據,同時通過智能卡技術實現了移動存儲設備與接入終端間的雙向認證,從源頭上杜絕了移動存儲設備帶來的安全隱患。
1引言
移動存儲設備因其體積小、容量大、使用靈活而應用廣泛,但其本身的“匿名性”給設備安全管理帶來了巨大挑戰,身份認證難、信息易泄露、常攜帶病毒等問題一直困擾著用戶和計算機系統安全人員。
在移動存儲的安全管理上應基于兩個層面:首先是移動存儲設備對用戶的身份認證,以確保移動存儲設備持有者身份的合法性;其次是移動存儲設備與接入終端間的雙向認證。目前,移動存儲的安全管理往往是基于用戶名和口令的身份認證方案,容易受到非法用戶“假冒身份”的攻擊,同時系統中所保存的口令表的安全性也難以保障,因此該方案存在較大的安全隱患。少數采用生物特征識別的安全方案也僅僅做到了第一個層面的身份認證,仍無法解決對移動存儲設備本身的身份認證以及移動存儲設備對接入終端的身份認證。然而,移動存儲設備和接入終端間雙向認證的必要性是顯而易見的,只有被終端信任的移動存儲設備才允許接入;同時,當終端也被移動存儲設備信任時,移動存儲設備和終端才能獲得彼此間相互讀寫的操作權限。只有實現上述的雙向認證,才能有效地在源頭杜絕移動存儲設備帶來的安全隱患。
本文描述了一種移動存儲安全管理方案,針對U盤和移動硬盤等移動存儲設備,基于智能卡技術,結合指紋識別模塊,解決了設備持有者的身份認證以及設備與接人終端間的雙向認證問題,并將設備持有者的指紋作為實名訪問信息記人審計系統,進一步完善了移動存儲的安全管理方案。
2基于指紋識別的用戶身份認證
指紋識別技術主要涉及指紋圖像采集、指紋圖像處理、特征提取、數據保存、特征值的比對和匹配等過程,典型的指紋識別系統如圖1所示。
指紋識別系統
指紋圖像預處理的目的是去除指紋圖像中的噪音,將其轉化為一幅清晰的點線圖,便于提取正確的指紋特征。預處理影響指紋識別的效果,具有重要的意義。它分四步進行,即灰度濾波、二值化、二值去噪和細化。圖像細化后,采用細節點模板提取出指紋圖像的脊線末梢和脊線分支點的位置,將指紋認證問題轉化成為點模式匹配問題。
如圖2所示,移動存儲設備采用兼容多種設備接口的控制芯片、安全控制閃存芯片、大容量用戶標準Flash構成硬件基礎,以智能卡控制芯片為控制中心,結合指紋識別模塊,實現對設備持有者的身份認證;同時,結合大容量普通閃存存儲結構,實現數據存儲低層管理和數據存儲加密。
3基于智能卡技術的雙向認證
為加強系統認證安全性與可信性,在移動存儲設備內集成智能卡模塊,使之具備計笄能力,從而實現移動存儲設備與終端之問的雙向認證。移動存儲設備的身份文件存放于智能卡模塊中。身份文件是指存儲著移動存儲設備各項物理特征信息的私密文件,由于這些物理特征信息與個體緊密相聯,所以可以起到唯一鑒別該移動存儲設備的作用。
智能卡模塊提供對終端的認證,只有通過認證的終端才能訪問身份文件和移動存儲設備中的數據。將現有移動存儲設備硬件結構進行改造,在其中分別加人指紋處理模塊與智能卡模塊后的硬件結構如圖3所示。
智能卡模塊內置CPU、存儲器、加解密算法協處理器、隨機數發生器等硬件單元,及芯片操作系統(COS)、芯片文件系統等多個功能模塊。其內部具有安全數據存儲空間,用于存放移動存儲設備的身份文件。對該存儲空間的讀寫受身份認證機制保護,只有通過認證的用戶和終端才能對其進行訪問,并且操作必須通過定制的應用程序實現,用戶無法直接讀取。支持指紋認證的智能卡文件系統如圖4所示。
對終端的身份認證方式有多種,本方案采用沖擊一響應的認證方式_7]。需要驗證終端身份時,終端向智能卡模塊發送驗證請求,智能卡模塊接到此請求后產生一組隨機數發送給終端(稱為沖擊)。終端收到隨機數后,使用終端認證軟件內置的密鑰對該隨機數進行一次三重DES加密運算,并將得到的結果作為認證依據傳給智能卡模塊(稱為響應),與此同時,智能卡模塊也使用該隨機數與內置的密鑰進行相同的密碼運算,若運算結果與終端傳回的響應結果相同,則通過認證。這種認證方式以對稱密碼為基礎,特點是實現簡單,運算速度快,安全性高,比較適合對移動存儲設備的認證。
在終端通過認證,取得移動存儲設備信任的前提下,終端通過智能卡模塊讀取移動存儲設備身份文件,對移動存儲設備進行準入認證。只有在雙向認證通過的情況下,移動存儲設備才能接入可信終端,進而在授權服務器分發的安全策略下與可信域終端進行正常的讀寫操作。
4移動存儲安全管理系統設計
在采用智能卡技術的基礎上,加入移動存儲安全管理系統,提供對移動存儲設備的接人控制,將認證體系擴展至計算機USB總線。
安全管理系統的認證體系示意圖如圖5所示。各終端首先需要加入某個信任域,在此之后可對移動存儲設備提供基于所在信任域的接入認證,如果終端沒有通過信任域認證,則不允許任何移動存儲設備接入。
授權認證服務器位于各信任域的公共區域中,為各信任域的終端提供移動存儲設備授權認證服務。它將設備授權給某個信任域后,該設備便成為該區域中的授權設備,可在該區域中任意一臺終端上使用;在其他區域使用時將被認為是未授權的,接入將被拒絕。隔離區中的終端與授權認證服務器不能通過網絡相連,從而保證了被隔離的終端不能夠使用移動存儲設備,防止安全隱患向外擴散。這種把安全域細分成不同信任域的整體設計可以最大限度地防止安全實體內敏感數據的任意傳播,大大降低信息向外非法泄露的可能性。
終端移動設備認證軟件部署在網絡系統中的各臺終端上,實時監測終端上所有USB接口,探測接人的移動存儲設備。發現設備后,認證軟件將與接入設備進行相互認證,并與認證服務器通信,對設備進行認證,通過認證的設備被認為是當前信任域的授權設備,否則將被認為是未授權的。根據認證結果,允許或禁止移動設備接入。
4.1授權流程描述
服務器端授權軟件運行時,探測出所有連接到授權服務器上的移動存儲設備,并將結果報告給管理員。管理員指定需要授權的設備,填寫好授權區域、授權日期、授權人、授權有效期并錄入用戶指紋信息后,授權軟件開始對該移動存儲設備進行授權。
(1)獲取該設備的各項物理信息,這些信息具有特征標識,可以唯一地標識該設備;
(2)將收集到的物理信息和管理員輸入的授權區域、授權日期、授權人、授權有效期等信息以一定格式排列,并注入隨機字符,采用三重DES運算,生成身份文件;
(3)設置移動存儲設備中指紋模塊的指紋信息;
(4)將智能卡模塊中的認證密鑰設成與終端事先約定好的密鑰;
(5)將(3)中生成的身份文件存入智能卡模塊中的安全數據存儲空間。
4.2認證流程描述
圖6是移動存儲設備管理系統完成認證的整個流程,其步驟如下:
(1)終端認證軟件判斷當前終端所處區域,如果處于信任域中,掃描各USB端口狀態,判斷是否有新設備接人;如果處于隔離區,則拒絕任何USB移動設備接入。
(2)如果探測到新設備接入,智能卡CPU調用指紋處理模塊,接收并驗證用戶指紋。
(3)如果指紋認證通過,則終端向USB存儲設備發送認證請求;否則禁用該USB存儲設備。
(4)如果沒有收到USB存儲設備的智能卡模塊發來的隨機數,證明該設備是不符合系統硬件設計要求的,拒絕接入;如果收到隨機數,則進行沖擊一響應認證。如果沒有通過認證,證明該終端為非信任終端,智能卡模塊拒絕該設備接人終端。
(5)終端讀取智能卡模塊存儲的身份文件,并讀取該設備的各項物理信息,將身份文件、物理信息及終端所處的信任域信息發送至認證服務器進行認證。
(6)服務器認證軟件接收到終端發送來的信息后,將標識文件解密,得到授權區域、授權日期、授權人、授權有效期等信息。
①將解密得到的物理信息與終端發來的物理信息作比對,如果不相符,證明該標識文件是被復制或偽造的,向終端發送未通過認證的指令。
②如果①中認證通過,將解密得到的信任域信息與終端發來的信任域信息作比對,如果不相符,證明該移動存儲設備處于非授權區域中,向終端發送未通過認證的指令。
③如果②中認證通過,將解密得到的授權有效期與當前日期做比較,如果當前日期處于有效期內,向終端發送通過認證的指令;如果當前日期處于有效期外,向終端發送未通過認證的指令。
(7)終端接收認證服務器發來的指令,對USB設備執行允許或禁止接入的操作。如果USB設備被允許接入,則智能卡模塊將設備持有者指紋提交給認證服務器,作為已授權訪問記錄記入日志中。
(8)轉至(2)繼續探測新設備。
5安全性分析
本方案通過在移動存儲設備中加入指紋識別模塊和智能卡模塊,更安全可靠地解決了設備持有者身份認證問題以及移動存儲設備的“匿名性”問題,通過引入身份文件,實現了移動存儲設備的實名制認證。結合智能卡的相關技術,本方案從根本上解決了移動存儲設備與接入終端問的雙向認證問題,構建了雙方互信的安全傳輸環境。
基于信任域的劃分對設備進行授權管理,使整個系統能夠同時對終端和移動存儲設備提供接人控制,有效地阻止了安全威脅的傳播。在方案的具體實現上,有如下安全性考慮:
(1)移動存儲設備采用指紋識別的方式認證設備持有者身份,確保其身份的合法性;采用三重DES對稱加密的方式對終端進行認證,確保終端為運行認證軟件的合法授權終端,有效地避免了強力破解的可能性。
(2)移動存儲設備的物理信息各不相同,身份文件也是唯一確定的。身份文件采用三重DES加密的方式,加解密過程全部在服務器端認證軟件中完成,密鑰不出服務器,避免了密碼被截獲的可能性。身份文件存儲于智能卡模塊中的安全數據存儲區,受智能卡模塊軟硬件的雙重保護。方案保證了身份文件的唯一性、抗復制性和抗偽造性,任何非授權設備都無法通過破譯、復制、偽造等人侵手段冒名成為授權設備。
(3)認證服務器與隔離區中的終端相互隔離,只能被信任域中的終端訪問,保證了認證服務器的安全。
(4)雙向認證通過后,被授權的移動存儲設備將設備持有者的指紋記入授權服務器的訪問日志中,以便日后能夠準確地確定安全事故責任人。
綜上所述,通過指紋識別技術、智能卡技術、密碼學技術、芯片技術和嵌入式系統設計技術實現了安全可信的移動存儲。
關鍵詞:校園門戶平臺;圖書館管理系統;統一身份認證;信息門戶集成;共享數據集成;遠程數字資源
中圖分類號:TP393.07文獻標識碼:A
文章編號:1004-373X(2010)04-122-03
Research on Integration of Library Management System
Based on Campus Portal Platform
DAI Ying
(Network Information Center,Chang′an University,Xi′an,710064,China)
Abstract:Integrated library management system is focus of the work in building a digital campus,which is based on the portal platform and included uniform identity authentication integration,data integration and information sharing portal integration.Three major areas of the integrated objectives and methods are described,and the realization of practical technology solutions to access remote digital resources for which enable the staff to live in out of school through uniform identity authentication to visit it,which provide a reference for someone who engaged in this domain research work in other colleges and universities.
Keywords:campus portal platform;library management system;uniform identity authentication;integrated information portal;sharing of data integration;remote digital resource
0 引 言
校園門戶平臺是基于計算機網絡技術的一種管理平臺,它以一種全新的信息服務形式向高校內各種不同類型的群體提供個性化的服務。它將學校從環境(包括網絡、設備、教室等)、資源(諸如圖書、講義、課件等)到活動(包括教、學、管理、服務、辦公等)逐步數字化,形成一個數字空間,通過設立統一的用戶管理、統一的資源管理及統一的權限控制,學校建設成一個超越時間、空間的數字化校園[1]。
高校圖書館將為高校教學、科研提供文獻信息保障的學術性機構,在高校和社會上占有重要地位,尤其在數字化校園建設蓬勃發展的今天,圖書館以豐富的文獻信息資源、多樣的載體服務形式,進一步奠定和加強了其作為學校信息資源中心的地位[2]。因此,基于校園門戶平臺圖書館管理系統的集成工作成為當前數字化校園建設工作中的重要組成部分。在此針對我校圖書館管理系統在門戶平臺中的集成與功能實現方面進行相關的研究與探索,希望能對大家有所啟示。
1 我校圖書館管理系統概述以及其集成工作的必要性
我校圖書館文獻資源豐富、載體形式多樣、專業特色明顯,除擁有大量館藏圖書、期刊合訂本、中外文現刊外,還擁有超星、北大方正等20多萬種電子圖書,同時還提供給讀者萬方數據資源、中國期刊網、中文科技期刊數據庫、EI(工程索引)、UMI(美國博碩士論文全文數據庫)、ASCE(美國土木工程師協會數據庫)、OSA(劍橋科學文摘)等20種國內外著名中外文數據庫系統。
圖書館管理系統架構為B/S+C/S結構,其操作系統版本為Linux AS 4.0,數據庫版本為Oracle 9.2.0.4,業務系統開發語言:B/S部分為 PHP,C/S部分為 VB和VC,其Web網絡環境基于校園網,數據庫網絡環境為圖書館內網。由于其Web網絡環境基于校園網,因此外網用戶無法登錄該系統了解本人書刊借閱情況,影響其及時辦理書刊的預約、續借等手續;同時也無法進入中外文數據庫及電子圖書資源庫享用豐富的遠程數字資源,這對于居住在校園外或出差在外的教職工的工作生活造成一些困擾和不便。基于校園門戶平臺的圖書館管理系統的集成研究將著手解決諸如此類的問題,以期數字化校園建設工作更好地服務于廣大教職員工。
2 圖書館管理系統集成內容
基于門戶平臺的圖書館管理系統集成包括統一身份認證集成、共享數據集成和信息門戶集成三部分。
(1) 統一身份認證集成。通過確定統一身份認證系統的用戶權威身份信息,建立起統一的認證平臺,實現圖書館系統嵌入學校信息門戶中,通過單點登錄直接進入。屆時用戶通過統一身份認證帳號(校內教職工工資編號/學生學號)登錄信息門戶后,無需輸入圖書館系統帳號、密碼便可直接進入圖書館系統進行相關業務系統的使用。有效避免了用戶輸入不同訪問網址,記憶不同用戶名及密碼所帶來的不便和困擾[3]。
(2) 共享數據集成。共享數據集成是圖書館系統集成的核心所在,其集成目標為:實現公共數據庫自動從圖書館系統中抽取相關個人信息,并通過數據集成工具集成到公共數據庫中,使公共數據庫平臺成為全校范圍內惟一全面的數據源;數據集成后,提供個人圖書館信息門戶上的展現或供其他業務部門使用[4]。如圖1所示。
圖1 共享數據集成過程圖示
圖書館系統開放公共數據庫需要的源視圖讀權限,集成方式在抽取范圍上采用增量抽取;周期上采用定時同步,周期為一天;其采集方式通過數據集成平臺實現[5]。
(3) 信息門戶集成。基于圖書館系統實現統一身份認證及共享數據集成的基礎上,通過信息門戶為廣大師生提供統一的、個性化的圖書信息查詢服務。其集成方式通過開發單獨的Portlet在信息門戶上直接展現個人圖書借閱情況,預約圖書流轉信息以及圖書超期預警與罰款通知等[6]。
信息門戶集成的優點集中體現在基于共享數據集成實現的基礎上。因此它可以不完全依賴于圖書館系統本身,一旦圖書館數據庫發生故障,門戶上依然能夠滿足用戶個人圖書館歷史記錄的查詢需求,將其所帶來的不利因素降到最低點。個人圖書借閱信息展示截圖如圖2所示。
圖2 個人圖書借閱信息展示截圖
3 統一身份認證及校內遠程數字資源訪問功能實現方式
3.1 統一身份認證實現方式
圖書館管理系統Web查詢部分是基于PHP開發的,因此集成方式采用“PHP客戶端”集成方式。由開發人員提供PHP認證頭,圖書館管理系統據此修改其登錄模塊。認證頭程序主要校驗Cookie,判斷當前用戶是否已通過統一身份認證并在有效的會話期內,如通過驗證,則實現單點登錄[7]。單點登錄后,圖書館管理系統從統一身份認證中獲取用戶的基本信息(登錄名)。為保證用戶登錄號碼與統一身份認證平臺中的用戶一致,需要提供給圖書館系統認證程序接口,其具體實現步驟如下:
(1) 拷貝圖書館系統集成開發包,解開其中有關統一身份認證接口的相關程序,并放到相應的目錄下;
(2) 配置客戶端參數,更新client.properties中的參數:
ids.UserName=connetusername
ids.Password=connectpassword
IdentityManager.Proxy=IdentityManager:tcp-p 58000-h yourserverip
(3) 配置PHP
修改php.ini ,加入如下配置:
extensiondir = /***/***/lib
extension=libIdstarPhp.so
(4) 啟動 Apache
在啟動 apache前需要設置庫的加載路徑,如下:
export LDLIBRARYPATH=/***/***/lib
apachectl start
3.2 圖書館校內遠程數字資源訪問功能實現
圖書館校內遠程資源訪問功能實現是建立在統一身份認證集成基礎上,屬統一身份認證集成的一部分。長期以來居住在校外或出差在外的外網用戶無法在家中或外地遠程訪問學校圖書館中外文數據庫及電子圖書資源庫等校內遠程數字資源,給工作、生活帶來一定程度的不便,同時在某種程度上也造成資源的閑置與浪費。校園門戶系統的統一身份認證集成和訪問設置則實現了這部分用戶對于圖書館校內遠程數字資源的訪問[8,9]。圖書館校內資源遠程訪問流程圖如圖3所示。
圖3 圖書館校內資源遠程訪問流程圖
用戶通過配置服務器地址在校外訪問門戶網站,通過統一身份認證后進入信息門戶展示平臺,訪問校內資源;信息門戶平臺上設置中外文數據庫及電子圖書資源庫等校內遠程數字資源欄目,并提供完成遠程訪問所需要的批處理腳本文件,用戶解壓下載下來的批處理文件,雙擊其中的enableProxy.bat文件,完成該地址的設置;服務器根據用戶組的不同,分配相應的校內地址,使用戶直接進入校內遠程訪問資源欄目,點擊訪問所需的校內遠程數字資源;雙擊下載的disenableProxy.bat,即可取消該地址的設置,正常訪問門戶系統[10]。
4 結 語
基于校園門戶平臺圖書館管理系統的集成研究,在實現用戶統一身份認證的基礎上,方便了教職工及學生對圖書館管理系統的使用,尤其是圖書館遠程數字資源訪問功能的實現,給居住或出差在外的教職工的工作、學習、生活帶來很大的便利。同時,還考慮在門戶平臺上增加若干控件,方便用戶自行訂制相關個性化服務,如將有關新書報道、預約圖書、欠費預警及圖書超期罰款等信息以短消息形式即時在個人門戶上顯示,以期更好地服務于廣大師生。
參考文獻
[1]林三洲.數字化校園建設漫談[J].湖北經濟學院學報:人文社會科學版,2007,4(3):153-154.
[2]沈煜,裴艷慧.信息時代高校圖書館的作用和發展[J].晉圖學刊,2007(3):57-59.
[3]賀超波,陳啟買,歐陽輝.數字化校園門戶平臺統一身份認證的實現[J].現代計算機,2008(12):25-28.
[4]孫月洪.數據交換在數字化校園中的作用與實現[J].辦公自動化,2009(1):35-37.
[5]鄧英.數字化校園建設中公共數據整合方案研究[J].電腦知識與技術,2008(2):589-591.
[6]宮衛濤,馬自衛.數字圖書館門戶集成技術及其實現[J].現代圖書情報技術,2007(11): 23-27.
[7]張沖,武超,楊要科.校園網統身份認證系統的設計與實現[J].中原工學院學報,2008,19(4):68-71.
[8]張志美.數字圖書館數據集成研究[J].現代情報,2007,27(9):88-90.
關鍵詞:醫學院校,數字化校園,信息平臺,整合
現代高校的發展離不開信息技術,特別是隨著各高校學生人數急劇增加,新教學樓、新教室的不斷擴建,教學方式的多樣化等一系列因素使學校對多媒體、網絡教學、辦公應用系統等信息化技術依賴越來越大,數字化校園建設已經成為各高校信息化建設的重要任務之一。醫學院校在發展過程中也面臨著同樣的問題,需要對學校的教學、科研、管理等信息資源進行全面的整合,以實現統一的管理。
一、數字化校園的涵義及意義
在傳統觀念中數字化校園一直被認為只是由一個一卡通系統和多個應用系統組成,例如各種辦公系統、多媒體教學系統、人事系統和財務系統等。但由于各個系統中的信息,數據保存格式以及操作人員的權限設置都不一致,并且各系統由于開發商的不同很難做到統一的接口,系統間通訊困難,對于整個校園來講只是一個個“信息孤島”,造成大量冗余、錯誤的信息,因此這樣的“數字化校園”只是一個狹義的概念,并不能完全發揮信息化的優勢。而數字化校園真正的涵義是指以校園網絡為基礎,利用計算機、各種通訊手段對學校里各種辦公系統、多媒體教學系統進行統一的信息化管理,包括統一的身份認證、權限控制、教學資源管理以及對人事、財務、后勤等信息系統的統一管理等。數字化校園在時間和空間上都超越傳統意義上的校園,它是一個基于先進的信息化技術的虛擬校園,使現實的校園環境得到延伸[1]。
數字化校園的建設對于高校的管理和發展具有重要意義。首先,數字化校園是一個虛擬化的校園,它超越了時間和空間上的局限,使學校的跨地域業務得到有效開展,對學校建立創新型的教學模式,開放式的教育環境,多層次的管理方法都具有相當重要的意義。其次,數字化校園以網絡通訊為基礎,通過計算機處理大量的信息,使學校教工把一些查詢、統計、計算等工作交給計算機來完成,大大降低了工作量,提高了工作效率。再者,數字化校園成功解決了學校“信息孤島”的問題。數字化校園的成功實施,能把學校里各個分散的系統整合,實現數據的統一管理,避免出現數據的重復檢索、錄入。例如圖書館的圖書借閱系統,里面的人員信息不需要重新錄入,可以直接從人事處數據庫中調用,有效解決了數據的不一致問題。
二、國內外相關課題的研究現狀
“數字化”這個概念最先是由美國前副總統戈爾于1998年在美國加利福尼亞科學中心發表的題為《數字地球---21世紀認識地球的方式》(The Digital Earth:Understanding in our planet in the 21st Century)的報告中首次提到的,他提出了數字化地球的概念,此后,“數字化”名詞在全球流行開來,各行各業如數字化城市、數字化校園、數字化圖書館等名詞接二連三被提出。
近年來,校園數字化建設已經成為世界各國高校重點研究的課題之一。
在國外,英國信息教育技術走在前列。1998年1月英國啟動了全國學習網,利用網絡的高速優勢把學校、科研機構、圖書館等網站連為一體,為網絡教育開辟了途徑。2002年,英國全國學習網的網絡連接所有家庭、社區、學校、醫院、社會服務以及大眾媒體轉播系統、單位,基本能滿足學校教育、家庭教育、職業教育、終身教育和社會經濟發展的需求。
國內大學信息化基礎建設方面,在90年代初,建成校園網并通過CERNET建設與國際互聯網連接的大學總數不過10所左右。到1999年,已經有500余所大學建設了結構先進、功能完備的校園網絡。2002年,北京大學和香港大學共同啟動了亞洲地區第一個國際性的高等教育信息化研究項目,對亞洲地區各國高校信息化建設、發展的最新動態和信息,進行研究。
現階段醫學院校信息化建設所面臨的主要問題有:一是學校以醫學專業為主,信息化意識不強,缺乏專業的信息化建設人才隊伍;二是信息化建設各自為政,存在重復建設現象;三是信息化建設進程緩慢,沒有建立網上自動辦公系統和智能化決策支持系統。
三、數字化校園建設目標
醫學院校數字化建設的總體目標是建成一個適合學校校情的數字化校園模型,即“統一平臺+統一門戶+多應用系統”的建設模式,從而實現校內教學、管理、科研的全面信息化、網絡化。免費論文,整合。
1.統一平臺是指一個高性能的、負載均衡的、可擴展易維護的、高安全的應用軟件、硬件以及數據庫平臺。其中包括統一信息門戶平臺、統一身份認證平臺和統一公共數據平臺三大基礎平臺。
2.統一門戶是指要建成一個統一的、開放的、能提供信息共享并能提供多種應用服務的高效穩定的門戶中心。
3.多應用系統指為滿足各種教學、管理、科研等日常業務的需要而提供的各種信息化軟件、工具等,如教務系統、人事管理系統、財務系統、科研管理系統、學生管理系統等,這些系統從統一的數據庫平臺調用數據,共享規范標準格式的數據,提供統一的接口程序。
通過數字化校園的標準建設,集成現有的應用系統,在新需求下開發新的應用系統,從而實現校園的信息共享和傳遞,最終構建一個集教學、科研、管理、活動為一體的信息化環境,實現學校教育過程的全面信息化,從根本上提高教學質量、科研水平和管理水平。免費論文,整合。
四、數字化校園建設內容
數字化校園的建設是在現有網絡基礎設施的基礎上對校內所有信息化資源(包括各種應用系統、數據庫資源、認證系統等)進行全面整合的過程。數字化校園建設的各個環節必須互相緊扣,有計劃、有步驟地實施,確保各個環節協調發展。醫學院校的數字化校園建設可以結合自身特點,發展幾項特色項目,如虛擬實驗室、虛擬醫院、虛擬手術臺等。
數字化校園的總體架構設計包括基礎設施建設、統一身份認證平臺、應用系統建設
1、基礎設施建設
基礎設施建設包括基礎網絡平臺、弱電系統和IDC數據中心建設,是建設好數字化校園的基本保證,為數字校園提供最底層的網絡、硬件支持。
(1)基礎網絡平臺、弱電系統
(2)IDC數據中心
IDC數據中心是由一系列的硬件、軟件、相關網絡組成的整體,它作為全校數據流轉與交換的中心,主要包括主機系統、存儲系統、網絡系統、安全系統等硬件設備和數據庫系統、應用服務器、目錄服務器數據匯聚設備。
2、統一身份認證平臺
在數字化校園中,各個系統之間經常需要相互協作才能完成一項任務。但對于同一個用戶來說,如果不同的系統都要不同的登錄信息,并且要重復登錄,這就給用戶帶來極大的不便,也給系統加重了負擔。而所謂的統一身份認證就是對校內各個不同的應用系統采用統一的身份認證系統,為各應用系統的集成奠定基礎。
目前高校身份認證管理存在以下問題:
(1)由于目前校內各個系統都是分散管理,因此就難以統一管理用戶的賬號,這就難免會對一些賬號信息進行重復管理,增加管理成本。免費論文,整合。
(2)賬號的使用沒有落實到實名,一個賬號存在多人使用的現象,在出現安全事故時難以明確責任,因此在安全管理上存在漏洞。免費論文,整合。
(3)不同應用系統之間的認證模式和規范不同,安全等級劃分標準也不同,不便于全校的安全管理。免費論文,整合。
(4)一個用戶如要使用多個應用系統,就必須記憶多套賬號信息,并需重復登錄,給用戶的操作帶來極大的不變[2]。免費論文,整合。
3、應用系統建設
應用系統主要有一卡通系統、數字圖書館、教學系統、學工系統、人事系統、財務系統、精品課程等。
(1)一卡通系統
一卡通是數字化校園建設的重要內容,是校內各系統連接的樞紐。校園一卡通以校園網為基礎,集成各種計算機網絡設備、數據終端,以IC卡為載體實現校園管理的信息化。系統建成以后,將取代以前校內的各種卡證(如借書證、飯卡、工作證、學生證等),真正實現校內工作、學習、生活的“一卡通”。
(2)數字圖書館
數字圖書館是數字化校園的重要組成部分,它是指運用數字技術和信息技術把處于不同地理位置的信息資源進行整合存儲,并通過網絡向廣大讀者提供多媒體信息資源的虛擬化圖書館。數字圖書館不受地域空間的限制,能最大限度地共享各地信息資源。
(3)教學系統
教學系統主要有教務管理系統,它管理的對象主要有學生信息、教師信息、管理人員信息以及教學資源信息(如教室、多媒體等)。而它主要實現的功能有:排課、選課、考試安排、教學測評等[3]。
