前言:我们精心挑选了数篇优质身份认证技术论文文章,供您阅读参考。期待这些文章能为您带来启发,助您在写作的道路上更上一层楼。
随着网络的不断普及和电子商务的迅猛发展,电子商务这种商务活动新模式已经逐渐改变了人们的经济活动方式、工作方式和生活本论文由整理提供方式,越来越多的人们开始接受并喜爱网上购物,可是,电子商务发展的瓶颈——安全问题依然是制约人们进行电子商务交易的最大问题,因此,安全问题是电子商务的核心问题,是实现和保证电子商务顺利进行的关键所在。校园电子商务是电子商务在校园环境下的具体应用与实现,其安全性也同样是其发展所不容忽视的关键问题,因此应当着重研究。
1校园电子商务概述
1.1校园电子商务的概念。
校园电子商务是电子商务在校园这个特定环境下的具体应用,它是指在校园范围内利用校园网络基础、计算机硬件、软件和安全通信手段构建的满足于校本论文由整理提供园内单位、企业和个人进行商务、工作、学习、生活各方面活动需要的一个高可用性、伸缩性和安全性的计算机系统。
1.2校园电子商务的特点。
相对于一般电子商务,校园电子商务具有客户群本论文由整理提供稳定、网络环境优良、物流配送方便、信用机制良好、服务性大于盈利性等特点,这些特点也是校园开展电子商务的优势所在。与传统校园商务活动相比,校园电子商务的特点有:交易不受时间空间限制、快捷方便、交易成本较低。
2校园电子商务的安全问题
2.1校园电子商务安全的内容。
校园电子商务安全内容从整体上可分为两大部分:校园网络安全和校园支付交易安全。校园网络安全内容主要包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。校园支付交易安全的内容涉及传统校园商务活动在校园网应用时所产生的各种安全问题,如网上交易信息、网上支付以及配送服务等。
2.2校园电子商务安全威胁。
校园电子商务安全威胁同样来自网络安全威胁与交易安全威胁。然而,网络安全与交易安全并不是孤立的,而是密不可分且相辅相成的,网络安全是基础,是交易安全的保障。校园网也是一个开放性的网络,它也面临许许多多的安全威胁,比如:身份窃取、非本论文由整理提供授权访问、冒充合法用户、数据窃取、破坏数据的完整性、拒绝服务、交易否认、数据流分析、旁路控制、干扰系统正常运行、病毒与恶意攻击、内部人员的不规范使用和恶意破坏等。校园网的开放性也使得基于它的交易活动的安全性受到严重的威胁,网上交易面临的威胁可以归纳为:信息泄露、篡改信息、假冒和交易抵赖。信息泄露是非法用户通过各种技术手段盗取或截获交易信息致使信息的机密性遭到破坏;篡改信息是非法用户对交易信息插入、删除或修改,破坏信息的完整性;假冒是非法用户冒充合法交易者以伪造交易信息;交易抵赖是交易双方一方或否认交易行为,交易抵赖也是校园电子商务安全面临的主要威胁之一。
2.3校园电子商务安全的基本安全需求。
通过对校园电子商务安全威胁的分析,可以本论文由整理提供看出校园电子商务安全的基本要求是保证交易对象的身份真实性、交易信息的保密性和完整性、交易信息的有效性和交易信息的不可否认性。通过对校园电子商务系统的整体规划可以提高其安全需求。
3校园电子商务安全解决方案
3.1校园电子商务安全体系结构。
校园电子商务安全是一个复杂的系统工程,因此要从系统的角度对其进行整体的规划。根据校园电子商务的安全需求,通过对校园人文环境、网络环境、应用系统及管理等各方面的统筹考虑和规划,再结合的电子商务的安全技术,总结校园电子商务安全体系本论文由整理提供结构,如图所示:
上述安全体系结构中,人文环境层包括现有的电子商务法律法规以及校园电子商务特有的校园信息文化,它们综合构成了校园电子商务建设的大环境;基础设施层包括校园网、虚拟专网VPN和认证中心;逻辑实体层包括校园一卡通、支付网关、认证服务器和本论文由整理提供交易服务器;安全机制层包括加密技术、认证技术以及安全协议等电子商务安全机制;应用系统层即校园电子商务平台,包括网上交易、支付和配送服务等。
针对上述安全体系结构,具体的方案有:
(1)营造良好校园人文环境。加强大学生本论文由整理提供的道德教育,培养校园电子商务参与者们的信息文化知识与素养、增强高校师生的法律意识和道德观念,共
同营造良好的校园电子商务人文环境,防止人为恶意攻击和破坏。
(2)建立良好网上支付环境。目前我国高校大都建立了校园一卡通工程,校园电子商务系统可以采用一卡通或校园电子帐户作为网上支付的载体而不需要与银行等金融系统互联,由学校结算中心专门处理与金融机构的业务,可以大大提高校园网上支付的安全性。
(3)建立统一身份认证系统。建立校园统一身份认证系统可以为校园电子商务系统提供安全认证的功能。
(4)组织物流配送团队。校园师生居住地点相对集中,一般来说就在学校内部或校园附近,只需要很少的人员就可以解决物流配送问题,而本论文由整理提供不需要委托第三方物流公司,在校园内建立一个物流配送团队就可以准确及时的完成配送服务。
3.2校园网络安全对策。
保障校园网络安全的主要措施有:
(1)防火墙技术。利用防火墙技术来实现校园局域网的安全性,以解决访问控制问题,使只有授权的校园合法用户才能对校园网的资源进行访问本论文由整理提供,防止来自外部互联网对内部网络的破坏。
(2)病毒防治技术。在任何网络环境下,计算机病毒都具有不可估量的威胁性和破坏力,校园网虽然是局域网,可是免不了计算机病毒的威胁,因此,加强病毒防治是保障校园网络安全的重要环节。
(3)VPN技术。目前,我国高校大都已经建立了校园一卡通工程,如果能利用VPN技术建立校园一卡通专网就能大大提高校园信息安全、保证数据的本论文由整理提供安全传输。有效保证了网络的安全性和稳定性且易于维护和改进。
3.3交易信息安全对策。
针对校园电子商务中交易信息安全问题,可以用电子商务的安全机制来解决,例如数据加密技术、认证技术和安全协议技术等。通过数据加密,可以保证信息的机密性;通过采用数字摘要、数字签名、数字信封、数字时间戳和数字证书等安全机制来解本论文由整理提供决信息的完整性和不可否认性的问题;通过安全协议方法,建立安全信息传输通道来保证电子商务交易过程和数据的安全。
(1)数据加密技术。加密技术是电子商务中最基本的信息安全防范措施,其原理是利用一定的加密算法来保证数据的机密,主要有对称加密和非对称加密。对称加密是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥。不对称加密,即加密密钥不同于解密密钥,加密密钥公之于众,而解密密钥不公开。
(2)认证技术。认证技术是保证电子商务交易安全的一项重要技术,它是网上交易支付的前提,负责对交易各方的身份进行确认。在校园电子商务本论文由整理提供中,网上交易认证可以通过校园统一身份认证系统(例如校园一卡通系统)来进行对交易各方的身份认证。
(3)安全协议技术。目前,电子商务发展较成熟和实用的安全协议是SET和SSL协议。通过对SSL与SET两种协议的比较和校园电子商务的需求分析,校园电子商务更适合采用SSL协议。SSL位于传输层与应用层之间,能够更好地封装应用层数据,不用改变位于应用层的应用程序,对用户是透明的。而且SSL只需要通过一次“握手”过程就可以建立客户与服务器之间的一条安全通信通道,保证传输数据的安全。
3.4基于一卡通的校园电子商务。
目前,我国高校校园网建设和校园一卡通工程建设逐步完善,使用校园一卡通进行校园电子商务的网上支付可以增强校园电子商务的支付安全,可以避免或降低了使用银行卡支付所出现的卡号被盗的风险等。同时,使用校园一卡通作为校园电子支付载体的安全保障有:
(1)校园网是一个内部网络,它自身已经屏蔽了绝大多数来自公网的黑客攻击及病毒入侵,由于有防火墙及反病毒软件等安全防范设施,来自外部网络人员的破坏可能性很小。同时,校园一卡通中心有着良好的安全机制,使得使用校园一卡通在校内进行网上支付被盗取账号密码等信息的可能性微乎其微。超级秘书网
(2)校园一卡通具有统一身份认证系统,能够对参与交易的各方进行身份认证,各方的交易活动受到统一的审计和监控,统一身份认证能够保证网上工作环境的安全可靠。校园网络管理中对不同角色的用户享有不同级别的授权,使其网上活动受到其身份的限制,有效防止一些恶意事情的发生。同时,由于校内人员身份单一,多为学生,交易中一旦发生纠纷,身份容易确认,纠纷就容易解决。
4结束语
开展校园电子商务是推进校园信息化建设的重要内容,随着我国校园信息化建设的不断深入,目前已有许多高校开展了校园电子商务,它极大的方便了校园内师生员工的工作、学习、生活。可是与此同时,安全问题成为制约校园电子商务发展的障碍。因此,如何建立一个安全、便捷的校园电子商务应用环境,让师生能够方便可靠的进行校园在线交易和网上支本论文由整理提供付,是当前校园电子商务发展要着重研究的关键问题。
关键词:校园网 规划 信息化
中图分类号:TP393.18 文献标识码:A 文章编号:1007-9416(2016)12-0195-01
引言
在高校校园网建设中,一个好的校园网络接入身份系统是指能够为广大师生提供安全、便捷的接入服务,主要表现三个方面:1)在具有多个校区的网络环境中,能够提供可靠的身份认证服务;2)支持多种认证方式,如支持用户漫游的分布认证、单点登陆认证等多种认证方式,用户无论身处哪个校区,都可以一次接入认证后即可访问校内多个业务系统;3)具备大量的认证用户并发访问认证服务器时系统查以自动调配内存资源的能力(即具备良好的负载均衡能力。随着我国高等职业院校的快速发展,各高职院校不断扩大招生规模,并启动新校区建设。各院校在统筹建设新、老校区网络建设时,也都在研究安全、可靠、负载性能好的身份认证系统。本论文以某高职院校为例,设计了一个基于“三层架构”的校园网身份认证系统,对高职院校开发校园网络身份认证系统具有一定的参考价值。
1 校园网身份认证相关技术
1.1 Kerberosy认证
Kerberosy认证是在上世纪90年代伴随万维网的出现而诞生的经典身份认证技术。它提供了一种利用认证服务器(AS)实现客户端(Client)和服务器端(Server)相互J证的经典思路;为解决一次授权即实现多服务器登陆的问题,Kerberosy认证引入了票据授权服务(TGS - Ticket Granting Service),省去了多次认证的时空开销。因此,Kerberosy认证包括认证服务器(AS),客户端(Client)和普通服务器(Server)、票据授权服务(TGS - Ticket Granting Service) 四个角色。
1.2 LDAP:轻量级目录访问协议
轻量级目录访问协议 ,是一种跨平台的目录服务技术,位于TCP/IP协议的上层,提供标准的服务接口,因此具有平台无关性,采用树状模式存储目录信息,每一条目录信息基于条目(Entry),条目在目录全局中具有唯一的身份标识并包含属性信息(一般比较精短),方便快速检索条目信息。由于身份认证中传递的多数都为短文本(加密)信息,因此LDAP协议的特别适合身份认证的需求,此特性使其在各种身份认证技术中得到广泛应用。
1.3 ICE中间件
Ice是Internet Communications Engine的简称,是一种面向对象的中间件平台,支持面向对象的RPC编程,其最初的目的是为了提供类似CORBA技术的强大功能,又能消除CORBA技术的复杂性。该平台为构建面向对象的客户-服务器应用提供了工具、API和库支持。ICE平台内嵌负载均衡功能,对于分布大多个节点上的应用服务提供多种负载均衡方案,只需要通过XML配置文件即可完成负载均衡配置。配置项包括Type (负载均衡类型)、Sampling interval(负载信息收集间隙)、Number of replicas(返回给客户端的适配器个数)。
2 基于三层架构的校园网身份认证模型
2.1 统一身份认证集成中存在的突出问题
目前,统一身份认证主要有网关模型、模型、经纪人模型等三种模型。网关模型中所有的应用系统都放在认证系统之后,虽然提高了应用系统的安全性,但也导致部分对用户权限要求并不高的应用系统不能很好地被用户访问,比较典型的如各高校专门为学生下载视频资源搭建的FTP应用。因此网关模型对用户访问应用系统资源具有一定的制约性。模型是用户通过服务器访问不同的应用系统,用户的访问权限由服务器控制,但用户的登陆信息在本地存储,存在信息泄露的危险。经纪人模型不存在前两种模型的缺点,但需要生成电子身份标识,认证开销比较大,对认证服务器性能要求较高。
2.2 “三层架构”统一身份认证模型的提出
本文结合某高职院校网络实际,提出了一种基于“应用层、服务层、数据层”的三层统一身份认证模式,该模式结合了LDAP、Kerberosy认证、ICE中间件三种身份认证技术。具体模型结构如图1所示。
应用层主要是用户(Client)端向应用服务器(Service)发出访问请求,应用服务器在收到后,将用户身份信息,通过中间件认证接口发送到认证服务器层,认证服务层采用Kerberosy认证,验证通过的用户可获得数据资源访问授权,通过LDAP技术,实现用户要访问的数据资源目录与LDAP目录同步,减少用户资源访问等待时间。三层架构的优点显而易见,将认服服务器与应用服务器分开,用户不再直接访问认证服务器,减轻了认证服务器的压力;LADP同步技术提高了数据访问效率,提升了用户体验;三层架构更容易配置。
3 结语
本文主要结合某高职院校校园网身份认证的需求,介绍了统一身份身份认证的相关技术,提出了一种基于三层架构的统一身份认证技术,包括应用层、服务层、数据层,具有逻辑结构清晰、访问效率高、配置方便的明显优点。通过在某高职院校校园网统统一身份认证的应用,师生反映校园网登陆等待时间减少,资源访问更加高效,证实该方案对高职院校校园网统一身份证具有重要的参考意义。
参考文献
[1]周苏,王文.高职院校数字化校园的规划及其网络系统的设计[J].信息化建设,2015.
论文摘要:随着高校信息化建设的发展,统一身份认证平台在数字化校园中发挥越来越重要的作用,改变了高校信息系统各自为政、一个用户N多个帐号或需要重复登录的状况,实现单点登录,有限的提高了整个信息系统的安全性和用户的工作效率。而基于LDAP的统一身份认证让实际开发变的更加轻松、可行性更高。
一、目前高校信息化建设现状
随着信息技术的发展,各个高校都高度重视信息化建设工作,“数字校园”即是将信息技术运用于教育改革过程形成的最新研究成果。在数字校园中,学校针对各种需求建设应用系统,力图通过信息化来整合机构内的各种资源。但在实际信息化建设过程中,由于前期缺少统一规划,并且高校系统软件很少有做的很全或很专业的公司,基本上是学校各个部门各自为政,各自购买建设自己的信息系统。如教务处购买自己的教学管理系统,学生处购买单独的学生综合管理系统,图书馆有自己的借还书管理系统。
在多系统并存的情况下,校园网内每个用户拥有多个密码,用户需要逐一登录自己所要使用的应用系统,这给用户造成了很大的不便,安全性存在严重隐患。同时,用户的信息分散存储于各个应用系统中,这不仅为用户的正常使用也为应用系统的管理和维护增加了很大的麻烦,工作效率重复低下。为了解决这些问题,需要在多应用系统并存的情况下,实现应用系统间的用户统一认证和信息共享。
二、统一身份认证在高校信息化建设中的重要作用
网络信息系统的统一认证技术已经相当成熟,从门户网站(如新浪)到企业内部网(如平安保险公司)都对原有的系统进行改造升级,使得不同历史时期购进的信息系统能够整合起来,进行统一认证,降低了管理成本同时又提高了信息系统的安全性,对用户来说也解决了多账户多密码难于记忆的问题。
目前,各大高校也在整合自己的网上资源,把各个独立信息系统的认证统一起来,实现统一身份认证,通过统一规划整合认证后的校园信息系统最大限度的减少用户的帐号数,简化登录过程,实现一次登录多点使用,实行统一管理,方便用户的同时也极大的提高了信息系统的安全性。校园网内用户只要登录一次就可以访问其它的网络资源。可以说随着高校信息化建设的发展,统一身份认证是重中之重,信息建设部门应做好统一规划,后期的软件开发应用必须和统一身份认证平台对接。
三、基于LDAP的统一身份认证的建设与特点
统一身份认证平台的目的是要解决不同的应用系统用户名和口令不统一的问题,通过提供统一的授权机制及一套方便、安全的口令认证方法,让用户只要一套用户名和口令就可以使用校园网络上有权使用的所有应用系统。保证用户通过网络单点登录或手机登录方式进入系统。目前使用最多的是采用目录访问进行身份认证,此技术基于LDAP(轻量型目录访问协议),具有高效的查询速度。利用LDAP 服务特性及WEB相关技术, 实现了对数字校园中用户及网络应用资源的统一开发管理。
统一身份认证平台的开发功能如下:
1、目录服务:目录服务与现有系统集成在一起,充当一个集中化的身份信息库,用于将学生、教师和其他人员的信息集中存储。
2、统一认证:认证服务提供了平台的核心基础服务,用于对学生、教师和其他人员的数字化身份的认证。 3、身份管理:提供基本的组、用户、用户属性、用户类型、口令的维护功能
4、管理控制台:承担整个统一身份认证平台的身份数据管理、系统服务管理、平台运行管理工作,是整个平台的集中管理控制中心。
基于目录访问协议的身份认证基于Linux系统下OPenLDAP设计,能够批量导入加密后的用户信息,打印明码条发给用户。然后围绕认证数据库进行各种应用程序设计,包括:基于浏览器界面的统一认证Web应用程序、基于窗口界面的登录界面设计(用于桌面应用软件等)、基于浏览器界面的统一认证后台管理Web应用程序等等。
基于目录访问协议的身份认证优点很多,主要有:采用开源解决方案,不需另外购买商业软件,可以在源码的基础上进行二次开发,能够最大程度减少IT信息建设投入;采用OpenLDAP进行系统认证,一定程度上防止SQL注入攻击,有效保护后台数据安全;LDAP具有很高的查询速度,保证认证查询速度;采用Linux作为认证平台,安全、稳定。
四、结束语
当然,统一身份认证在实际的建设过程中可能会遇到各种难点,主要是接口问题,如很多以前实施的应用系统现在开发商都联系不到(这种情况各个高校都有),整合到认证系统中可能花的代价比重新开发或购买的成本还要高。所以在后期规划中,要求系统供应商必须提供或开发和身份认证平台统一的接口。
目前,经过统一规划和投资,身份认证系统在苏州大学已经基本完成,整合集成了教务、学工、人事、行政等各种信息服务,是数字化校园的信息集中展示平台,也是校内重要业务系统的统一入口。经实际使用证明,它不仅提高了数字校园中各种应用系统的安全性、可靠性,也给用户提供了极大的方便,同时方便了数字校园的用户管理,具有很好的社会效益和经济效益。
参考文献
[1]openldap.org openldap官方网站
[2]宫恩辉,朱巧明,李培峰,史鑫.LDAP和Kerberos在统一身份认证中的应用[J].苏州大学学报(自然科学版).2006年02期
[3]张辉,杨岳湘,汪诗林.数字校园中基于LDAP的统一用户身份管理技术研究[J].计算机工程与科学.2005年第27卷第1期
论文关键词:一卡通系统,校园
1、引言
现如今的校园是一个信息时代的校园,信息化已经成为一个重要标志,因此,信息化校园也就离不开信息化的管理。在这个日新月异的时代,提高管理水平和工作效率便离成功近了一步。校园信息化建设,便是有力推进校园管理和教学水平发挥的关键一步。管理信息化水平成为衡量学校总体水平的重要指标之一。随着计算机技术和网络技术的迅速发展,一卡通系统已经走入了绝大部分校园,为每一个人带来全新、方便的现代化生活,而院校管理将日趋简化,工作效率将逐步提高。
2、一卡通系统的需求分析
从业务上来说,校园一卡通系统利用智能非接触式IC卡的功能强大和能够脱机交易等优点,在校园网的支持下,可在校内一卡通行毕业论文怎么写,具有支付交易、身份识别、个人信息查询等功能。在学校内实现电子钱包的支付交易功能。校园卡可作为电子钱包使用,可在学校各校区内现金交易点进行支付交易,逐渐免去现金流通。为校内使用证件的各种应用提供身份认证的功能,实现校园管理功能。校园卡可记录个人的各类基本档案,校园卡系统可共享身份信息、黑(白)名单库等信息资源。因此,校园卡可验证持卡人的身份,实现图书借阅,门禁考勤、停车场等身份认证,从而代替以前的各种证件,使学校管理更加规范期刊网。
从功能上来说,校园一卡通主要具有储蓄、取款、消费、身份认证、个人信息查询等功能,其应用覆盖校区综合消费系统,包括收、缴费及各类款项支取,校内各类小额消费;以及信息查询系统,包括身份认证,管理信息查询及统计分析等。
3、一卡通系统的功能
一卡通系统使用端主要功能是利用智能非接触式的IC卡,以卡代币,通过校园卡内电子钱包,持卡人可以在所有校区内任意消费网点以卡结算,实现电子化货币数字化结算。实现各校区内餐厅、医疗、小卖部、超市、商场所有消费场所一卡通用。校园卡可在表面印有持卡人身份标识在校内以卡代证,作为持卡人身份证明,如学生证、教师证、工作证身份证件使用。以及身份识别、图书管理、电脑上机、门禁等领域的贯通使用,数据共享,一卡贯通。
一卡通系统的管理端主要管理以下功能:
(1)系统初始:包括系统的注册、单位名称的初始、人员信息的导入等
(2)发卡、充值:对单位人员进行发卡、充值,并实现补卡、挂失、解挂、修正错误等
(3)补助:补助报表的生成、审核、下发补助等
(4)人员管理:对人员资料的管理、人员结算、人员查询,人员消费设备的管理等
(5)报表管理:实现各种报表毕业论文怎么写,用于财务对帐、入帐等;
(6)结算管理:操作员、收银员结算、业主结算等
(7)查询管理:主要用于用户查询,可以查询消费明细;用于管理者查询可以查询整个系统的消费、管理等状况
(8)权限管理:所有权限都由管理员分配,每个操作员根据自身的情况,可以设置不同的管理权限。
(9)水控管理:用于管理公共澡堂、公寓的出水管理
(10)消费管理:用于食堂、小卖部等刷卡消费管理
(11)第三方系统接入:用于教务、图书馆、机房等子系统的接入;如教务子系统在教学活动中的信息收集、管理。并可以辅助完成教学计划制定,课程安排,学生选课,成绩管理等教学活动。
4、展望
校园信息化建设是一项基础性和长期性的工作,因此,没有一所学校能够一步到位地实现所有项目的信息化建设。校园一卡通项目中的各项内容相互联系而又互不干扰,学校可以因应自己的需求选择先投入某些项目的建设,几年后再逐步完善其他项目的建设,当学校新增一个项目的时候并无需再为学生办理新卡片,而只需在原有的卡片上写入新的程序即可,既避免了购置新卡片而造成的资源浪费,又可以让学生享受到学校后勤高效、方便的管理服务。一卡通系统必将给我们带来全新的学习、生活和工作模式。
参考文献:
[1]何冠星。浅谈基于一卡通系统的校园信息化建设。新西部,2009(6)
[2]史岳鹏,费晓飞。校园一卡通系统的需求分析研究。郑州牧业工程高等专科学校学报。2008(11)
关 键 词:密码体制;RSA算法;身份认证;公钥
1、RSA加密算法及身份认证
目前网络通信主要提供五种安全服务,即身份认证服务、访问控制服务、机密、完整和抗否认。其中,身份认证作为安全应用系统的第一道防线,是最重要的安全服务,所有其它的安全服务都依赖于该服务,它的失败可能导致整个系统的失败。
网络应用系统中通信双方的身份认证问题,传统的做法是采用用户名加口令来验证登录用户的身份,但是由于口令在使用过程中很容易被窃取、暴力攻击和猜测,存在较大的安全隐患;另外这种认证方式只能完成单方面的身份认证,即只能解决服务器验证客户端身份的问题,无法解决客户端验证服务器身份的问题,因此不能完全满足互联网业务应用的需要。公钥加密算法的安全性主要是基于复杂的数学难题。目前比较流行的主要有两类[2]:一类是基于大整数因子分解系统,以RSA为典型代表,它是目前被研究和应用得最为广泛的公钥算法,经过长年的攻击考验,该算法已被普遍认为是目前最优秀的公钥方案之一。
2、RSA工作原理[1]如下:
(1)任意选取两个不同的大质数p和q,计算乘积r=p*q;
(2)任意选取一个大整数e,e与(p-1)*(q-1)互质,整数e用做加密密钥。注意e的选取是很容易的,例如所有大于p和q的质数都可用.;
(3)确定解密密钥d,由d*e=1 mod((p-1)*(q-1)),根据e,p和q可以容易地计算出d;
(4)公开整数r和e,但是不公开d;
(5)将明文P(假设P是一个小于r的整数)加密为密文C,计算方法为C=Pe mod r;
(6)将密文C解密为明文P,计算方法为P=cd mod r;
然而,只根据r和e(不是p和q)要计算出d是不可能的,因此,任何人都可对明文进行加密,但只有授权用户(知道d)才可对密文解密。为了保证RSA的有效性,通常找两个非常的大质数p和q。
3、基于RSA双身份认证方案的设计
为了实现信息的网络化管理,系统采用VC.NET结合SQL Server2000数据库的解决方案,即将用户数字证书等有关信息存放在SQL Server数据库中。Windows2000中包括一个完整的PKI系统,文献[3]给出了具体的设计及部署的过程。
3.1方案体系结构
系统采用B/S/D(Browser/Server)三层体系结构,即表示层(Browser)、功能层(Web Service)和数据服务层(DataBase Service);VC.NET通过ADO.NET访问数据库。对数据库的访问在Web服务器端完成,客户端通过浏览器访问Web服务器并运行其程序。
3.2 方案的实现过程
3.2.1建立数字证书
选取两个大素数p和q,并且两数的长度相等,以获取最大程度的安全性。计算两数的乘积n=p*q;随机选取加密密钥d,为满足ed=1 mod(p-1)(q-1),则d=e-1 mod((p-1)(q-1)),d和n也互素;e是公钥,d是私钥,n是公开的。两个素数p和q不再需要,可以被舍弃,但决不能泄露。假设生成了用户A的密钥对(eA,dA)和用户B的密钥对(eB,dB)。
用户将私钥d秘密保存,公钥e交给一个管理仲裁机构认证中心,获得自己的数字证书,然后将数字证书保存在自己的机器上,同时认证中心将合法用户的数字证书保存在数据库中,以便用户查询。用户当与网络上某个用户通信需要进行身份认证时,将自己的数字证书发送给通信的对方。对方收到数字证书后,首先通过认证中心验证其合法性。如果是合法的,就可以从证书中获得需要的用户公钥,然后利用该公钥验证对方的身份;如果不合法,就可以终止通信。
3.2.2进行身份认证
第一步:用户A对用户B的认证
第二步:用户B对用户A的认证
A与B相互认证过程如图1所示:
图1
3.3方案的实验
3.3.1运行环境:硬件与网络环境:服务器能运行Windows XP、Windows NT4.0+Service Pack6及以上操作系统,建议使用586或以上的计算机。
系统软件:操作系统Windows 2000、XP及以上版本,SQL Server2000。
运行环境:Microsoft Visual C++6.0,浏览器使用IE5.5及以上版本。
3.3.2代码实现:在认证过程使用的加密和解密算法相同,已利用VisualC++6.0实现,另外签名和验证的算法也和加密算法相同,只是每次利用的秘钥不同,这也是利用RSA算法进行认证的优势。
4、结 论
RSA算法自公布以来经过20多年的发展和考验,除了其速度稍慢之外至今尚未找到其它的缺陷,因此RSA算法的应用越来越广泛。本文设计的是一种基于RSA,并通过VC++实现了基于该方案的系统,有效解决了身份认证困难复杂的问题,对具有该加密的身份认证系统类需求的应用有一定的实用价值。
参 考 文 献:
[1] 郭拯危,缪亮. 一种改进的RSA算法的研究与实现.河南大学学报,2006,36(1):98~99
[2]王建兵.PKI数字证书在WEB系统中的安全应用.信息技术,2005,(1):40~44
[3]高蕾,郑建德.基于PKI的高校安全教务管理研究.厦门大学学报,2006,5月:305~307
关键词:医学院校,数字化校园,信息平台,整合
现代高校的发展离不开信息技术,特别是随着各高校学生人数急剧增加,新教学楼、新教室的不断扩建,教学方式的多样化等一系列因素使学校对多媒体、网络教学、办公应用系统等信息化技术依赖越来越大,数字化校园建设已经成为各高校信息化建设的重要任务之一。医学院校在发展过程中也面临着同样的问题,需要对学校的教学、科研、管理等信息资源进行全面的整合,以实现统一的管理。
一、数字化校园的涵义及意义
在传统观念中数字化校园一直被认为只是由一个一卡通系统和多个应用系统组成,例如各种办公系统、多媒体教学系统、人事系统和财务系统等。但由于各个系统中的信息,数据保存格式以及操作人员的权限设置都不一致,并且各系统由于开发商的不同很难做到统一的接口,系统间通讯困难,对于整个校园来讲只是一个个“信息孤岛”,造成大量冗余、错误的信息,因此这样的“数字化校园”只是一个狭义的概念,并不能完全发挥信息化的优势。而数字化校园真正的涵义是指以校园网络为基础,利用计算机、各种通讯手段对学校里各种办公系统、多媒体教学系统进行统一的信息化管理,包括统一的身份认证、权限控制、教学资源管理以及对人事、财务、后勤等信息系统的统一管理等。数字化校园在时间和空间上都超越传统意义上的校园,它是一个基于先进的信息化技术的虚拟校园,使现实的校园环境得到延伸[1]。
数字化校园的建设对于高校的管理和发展具有重要意义。首先,数字化校园是一个虚拟化的校园,它超越了时间和空间上的局限,使学校的跨地域业务得到有效开展,对学校建立创新型的教学模式,开放式的教育环境,多层次的管理方法都具有相当重要的意义。其次,数字化校园以网络通讯为基础,通过计算机处理大量的信息,使学校教工把一些查询、统计、计算等工作交给计算机来完成,大大降低了工作量,提高了工作效率。再者,数字化校园成功解决了学校“信息孤岛”的问题。数字化校园的成功实施,能把学校里各个分散的系统整合,实现数据的统一管理,避免出现数据的重复检索、录入。例如图书馆的图书借阅系统,里面的人员信息不需要重新录入,可以直接从人事处数据库中调用,有效解决了数据的不一致问题。
二、国内外相关课题的研究现状
“数字化”这个概念最先是由美国前副总统戈尔于1998年在美国加利福尼亚科学中心发表的题为《数字地球---21世纪认识地球的方式》(The Digital Earth:Understanding in our planet in the 21st Century)的报告中首次提到的,他提出了数字化地球的概念,此后,“数字化”名词在全球流行开来,各行各业如数字化城市、数字化校园、数字化图书馆等名词接二连三被提出。
近年来,校园数字化建设已经成为世界各国高校重点研究的课题之一。
在国外,英国信息教育技术走在前列。1998年1月英国启动了全国学习网,利用网络的高速优势把学校、科研机构、图书馆等网站连为一体,为网络教育开辟了途径。2002年,英国全国学习网的网络连接所有家庭、社区、学校、医院、社会服务以及大众媒体转播系统、单位,基本能满足学校教育、家庭教育、职业教育、终身教育和社会经济发展的需求。
国内大学信息化基础建设方面,在90年代初,建成校园网并通过CERNET建设与国际互联网连接的大学总数不过10所左右。到1999年,已经有500余所大学建设了结构先进、功能完备的校园网络。2002年,北京大学和香港大学共同启动了亚洲地区第一个国际性的高等教育信息化研究项目,对亚洲地区各国高校信息化建设、发展的最新动态和信息,进行研究。
现阶段医学院校信息化建设所面临的主要问题有:一是学校以医学专业为主,信息化意识不强,缺乏专业的信息化建设人才队伍;二是信息化建设各自为政,存在重复建设现象;三是信息化建设进程缓慢,没有建立网上自动办公系统和智能化决策支持系统。
三、数字化校园建设目标
医学院校数字化建设的总体目标是建成一个适合学校校情的数字化校园模型,即“统一平台+统一门户+多应用系统”的建设模式,从而实现校内教学、管理、科研的全面信息化、网络化。免费论文,整合。
1.统一平台是指一个高性能的、负载均衡的、可扩展易维护的、高安全的应用软件、硬件以及数据库平台。其中包括统一信息门户平台、统一身份认证平台和统一公共数据平台三大基础平台。
2.统一门户是指要建成一个统一的、开放的、能提供信息共享并能提供多种应用服务的高效稳定的门户中心。
3.多应用系统指为满足各种教学、管理、科研等日常业务的需要而提供的各种信息化软件、工具等,如教务系统、人事管理系统、财务系统、科研管理系统、学生管理系统等,这些系统从统一的数据库平台调用数据,共享规范标准格式的数据,提供统一的接口程序。
通过数字化校园的标准建设,集成现有的应用系统,在新需求下开发新的应用系统,从而实现校园的信息共享和传递,最终构建一个集教学、科研、管理、活动为一体的信息化环境,实现学校教育过程的全面信息化,从根本上提高教学质量、科研水平和管理水平。免费论文,整合。
四、数字化校园建设内容
数字化校园的建设是在现有网络基础设施的基础上对校内所有信息化资源(包括各种应用系统、数据库资源、认证系统等)进行全面整合的过程。数字化校园建设的各个环节必须互相紧扣,有计划、有步骤地实施,确保各个环节协调发展。医学院校的数字化校园建设可以结合自身特点,发展几项特色项目,如虚拟实验室、虚拟医院、虚拟手术台等。
数字化校园的总体架构设计包括基础设施建设、统一身份认证平台、应用系统建设
1、基础设施建设
基础设施建设包括基础网络平台、弱电系统和IDC数据中心建设,是建设好数字化校园的基本保证,为数字校园提供最底层的网络、硬件支持。
(1)基础网络平台、弱电系统
(2)IDC数据中心
IDC数据中心是由一系列的硬件、软件、相关网络组成的整体,它作为全校数据流转与交换的中心,主要包括主机系统、存储系统、网络系统、安全系统等硬件设备和数据库系统、应用服务器、目录服务器数据汇聚设备。
2、统一身份认证平台
在数字化校园中,各个系统之间经常需要相互协作才能完成一项任务。但对于同一个用户来说,如果不同的系统都要不同的登录信息,并且要重复登录,这就给用户带来极大的不便,也给系统加重了负担。而所谓的统一身份认证就是对校内各个不同的应用系统采用统一的身份认证系统,为各应用系统的集成奠定基础。
目前高校身份认证管理存在以下问题:
(1)由于目前校内各个系统都是分散管理,因此就难以统一管理用户的账号,这就难免会对一些账号信息进行重复管理,增加管理成本。免费论文,整合。
(2)账号的使用没有落实到实名,一个账号存在多人使用的现象,在出现安全事故时难以明确责任,因此在安全管理上存在漏洞。免费论文,整合。
(3)不同应用系统之间的认证模式和规范不同,安全等级划分标准也不同,不便于全校的安全管理。免费论文,整合。
(4)一个用户如要使用多个应用系统,就必须记忆多套账号信息,并需重复登录,给用户的操作带来极大的不变[2]。免费论文,整合。
3、应用系统建设
应用系统主要有一卡通系统、数字图书馆、教学系统、学工系统、人事系统、财务系统、精品课程等。
(1)一卡通系统
一卡通是数字化校园建设的重要内容,是校内各系统连接的枢纽。校园一卡通以校园网为基础,集成各种计算机网络设备、数据终端,以IC卡为载体实现校园管理的信息化。系统建成以后,将取代以前校内的各种卡证(如借书证、饭卡、工作证、学生证等),真正实现校内工作、学习、生活的“一卡通”。
(2)数字图书馆
数字图书馆是数字化校园的重要组成部分,它是指运用数字技术和信息技术把处于不同地理位置的信息资源进行整合存储,并通过网络向广大读者提供多媒体信息资源的虚拟化图书馆。数字图书馆不受地域空间的限制,能最大限度地共享各地信息资源。
(3)教学系统
教学系统主要有教务管理系统,它管理的对象主要有学生信息、教师信息、管理人员信息以及教学资源信息(如教室、多媒体等)。而它主要实现的功能有:排课、选课、考试安排、教学测评等[3]。
五.结束语
数字化校园已经成为建设现代化高校必须面临的课题。数字化校园建成后,将很大程度上改变学校的教学、管理、科研等工作模式,更方便了校内的信息传递、共享。但国内医学院校的数字化校园建设还有很长的一段路要走,必须在初期做好整体规划,以学校的中心工作为出发点有计划地实施。
参考文献
[1]傅霖,张凡,江魁.高校数字校园探索与信息标准化建设[J].中国教育信息化,2007
[2]张应祥,吴健,孟彤.数字校园统一身份认证系统及管理平台设计,2010
[3]胡艳梅,羊牧.医学院校数字化校园系统结构设计[J]. 中国现代教育装备,2007
【关键词】PKI;数字签名算法;加密解密
一、PKI系统基本组成
PKI是一个以公钥密码技术为基础,数字证书为媒介,结合对称加密和非对称加密技术,将个人的信息和公钥绑在一起的系统。其主要目的是通过管理密钥和证书,为用户建立一个安全、可信的网络应用环境,使用户可以在网络上方便地使用加密和数字签名技术,在Internet上验证通信双方身份,从而保证了互联网上所传输信息的真实性、完整性、机密性和不可否认性。完整的PKI系统包括一个RA中心、CA中心、用户终端系统EE、证书/CRL资料库和秘钥管理系统。
二、PKI系统提供的服务
PKI作为安全基础设施,主要提供的服务有保密、身份认证服务、验证信息完整以及电子商务中的不可抵赖。
1.保密
所谓保密就是提供信息的保密,包括存储文件和传输信息的保密性,所有需要保密的信息都加密,这样即使被攻击者获取到也只是密文形式,攻击者没有解密密钥,无法得到信息的真实内容,从而实现了对信息的保护。PKI提供了保密,并且这个服务对于所有用户都是透明的。
2.身份认证服务
PKI的认证服务在ITU-TX.509标准中定义为强鉴别服务,即采用公开密钥技术、数字签名技术和安全的认证协议进行强鉴别的服务。
3.完整
完整就是保证数据在保存或传输过程中没有被非法篡改,PKI体系中采用对信息的信息摘要进行数字签名的方式验证信息的完整性。
4.不可抵赖
不可抵赖是对参与者对做过某件事提供一个不可抵赖的证据。在PKI体系中,发送方的数字签名就是不可抵赖的证据。
三、基于PKI的数字签名的实现
基于PKI的数字签名,用户首先向PKI的RA中心注册自己的信息,RA审核用户信息,审核通过则向CA中心发起证书申请请求,CA中心为用户生成秘钥对,私钥私密保存好,公钥和用户信息打包并用CA私钥进行数字签名,形成数字证书并在CA服务器的证书列表,用户到证书列表查看并下载证书。
假设用户A要向用户B发送信息M,用户A首先对信息进行哈希函数h运算得到M的信息摘要hA,再用自己的私钥DA对hA进行加密得到数字签名Sig(hA)。将明文M、数字签名Sig(hA)以及A的证书CertA组成信息包,用B的公钥EB加密得到密文C并传送给B。其中数字签名与信息原文一起保存,私钥DA只有用户A拥有,因此别人不可能伪造A的数字签名;又由于B的私钥只有B拥有,所以只有B可以解密该信息包,这样就保证了信息的保密性。
四、基于PKI体系结构的数字签名安全性分析
从基于PKI数字签名的实现过程和验证过程中我们知道,数字签名的安全性取决于以下几点:
1.CA服务器确实安全可靠,用户的证书不会被篡改。CA服务器的安全性主要包括物理安全和系统安全。所谓物理安全是指CA服务器放置在物理环境安全的地方,不会有水、火、虫害、灰尘等的危害;系统安全是指服务器系统的安全,可以由计算机安全技术与防火墙技术实现。
2.用户私钥确实被妥善管理,没有被篡改或泄露。现在采用的技术是USB Key或智能卡存储用户私钥,并由用户用口令方式保护私钥,而且实现了私钥不出卡,要用私钥必须插卡,从技术实现了私钥不会被篡改和泄露。
3.数字签名方案的安全性好。基于PKI公钥加密技术的数字签名是建立在一些难解的数学难题的基础上,其中基于RSA算法的签名方案应用最多。RSA算法是基于大数分解的困难性,目前当模数达到1024位时,分解其因子几乎是不可能的,未来十年内也是安全的。但是由于RSA算法保存了指数运算的特性,RSA不能抵御假冒攻击,就算攻击者不能破解密钥,也可进行假冒攻击实现消息破译和骗取用户签名。
六、总结
在电子商务交易的过程中,PKI系统是降低电子商务交易风险的一种常用且有效的方法,本文介绍了PKI系统的组成,PKI系统提供的服务,分析了基于PKI通信的安全性,其安全主要通过数字证书和数字签名来实现,而数字签名的安全性则主要依赖于签名方案,在研究和分析现有数字签名方案的基础上提出了改进的新方案,即添加随机因子和时间戳的RSA签名方案,新方案增加了通信双方交互次数,虽然系统效率有所降低,但提高了方案的安全性,并且新方案既可保证信息的保密性、完整性,又使得通信双方都具备了不可抵赖性,具有很高安全性和较强的实用意义。
参考文献
[1]刘颖.基于身份的数字签名的研究[D].西安电子科技大学硕士学位论文,2006,1.
[2]段保护.一种改进的基于时间戳的数字签名方案[D].长沙理工大学硕士学位论文,2009,3.
[3]陈昕.基于一次性口令的身份认证系统研究及实现[D].南京信息工程大学硕士学位论文,2009,5.
[4]潘恒.电子商务环境下基于PKI的信任问题研究[D].信息工程大学博士学位论文,2006,10.
[5]张宁.电子商务安全性分析[D].北京邮电大学硕士研究生学位论文,2007,3.
[6]任晓东.基于PKI的认证中心研究与实现[D].西南交通大学硕士学位论文,2008,5.
关键词:化校园,portlet,门户平台
随着高等教育的发展,智能化的数字化校园正成为众多高校信息化推进的重要部分。论文格式。数字化校园是利用信息化手段和工具,将校园的各项资源、管理及服务流程数字化,形成校园的数字环境,使现实的校园环境凭借信息系统在时间和空间上得到延伸。
信息门户平台是一个面向全校师生的个性化应用集成和信息整合平台,它为师生访问数字化校园的应用服务和有关信息提供了方便快捷的统一入口。[1]该系统应拥有风格管理、页面设置、日程安排、收藏夹等友好而又灵活的个性化设置功能;并通过深入的应用集成,把OA、人事、科研、教务、财务、教学测评、档案等业务管理系统整合在一起;并提供了众多工作、学习、生活方面的服务信息,例如:校车、校历、校内电话黄页、学校地图、天气、列车、航班等。
1 需求特点
由于信息门户是一个统一入口,而用户可以是拥有不同身份的人员,所以在用户单点登录后,无论是从操作方便还是安全方面考虑都只能针对不同的用户,提供不同的界面,这就不得不提到信息门户的首要特性:用户化(Customization)。
l根据角色或者组织来提供能够使用的功能。论文格式。比如学生可以选课,老师就不可以;
l根据角色或者组织来提供不同的界面外观。
为了门户适应个人的使用,用户可以定制自己的个性化界面和内容,即个性化(Personalization)包括:
l调整页面排版;
l再页面中添加或者删除频道;
l可以定制自己喜欢的主题、颜色;
l支持不同的Client。
除此之外,为了与不同的系统集成,还应具有适应性(Adaptive);门户的安全性(Secured)也是基本要求。
2 portal技术概述
门户开发技术从动态页面制作到界面与数据库集成,并发展至今,所实现的价值和成本也都发展到一定规模,如图一所示。Portal技术也作为一种主流的门户开发技术收到重视。“ Portal ”一词在英语中解释为“入口,大门”,中文翻译为“门户”。论文格式。在 Sun 的 Portlet 技术规范 JSR-168 ( Java Specification Request 168 )中定义为: Portal 是基于 Web 的应用,通常提供个性化,单点登录,整合不同资源的综合信息展示平台。
Portal 展现在最终用户面前的是类似于 Web 网页的 Portal 页面,有些 Portal 主页制作的更像是一个桌面系统的界面,更能获得用户的认可。
构成 Portal 页面的是能够建立和展现不同内容的一系列 Portlet 。 Portal 使用Portlet 作为可插拔用户接口组件,提供信息系统的表示层。 Portlet 是部署在特定容器内用来生成动态内容的可重用 Web 组件。 Portlet 处理从Portal 传递来的用户请求,动态生成输出内容的一个片段,展现在 Portal 页面的某个位置上。
图一门户发展历程
3 门户平台开发流程
建立 Portal 应用系统的主要任务之一就是设计各式各样的 Portlet 组件,实现应用系统的各种功能。虽然多数 Portal 系统会附送一些常用的 Portlet 组件,可以满足一些公共服务需要,但跟工作事务和业务处理相关的大量Portlet 组件必须有专门人员进行细致的设计和开发。
Portlet 的设计开发有必要遵循 JSR-168 规范和 WSRP 标准,以适合各种类型的 Portal 服务器。在具体的实现上,也将会用到 WSDL 、 SOAP 和 UDDI 相关技术规范,以便同 Web 服务应用系统进行信息交互处理。
开发 Portlet 主要有两种方法,一是借助于 Portal 产品商提供的可视化的预制开发工具,二是应用 Java 语言直接编程。预制开发工具为 Portlet 开发者提供了许多有益的帮助,如自动产生必要的配置文件,预制了程序代码框架,提供所见即所得编辑和调试环境等等。但无论如何, Portlet 开发的重点是 Portlet 片段内容的产生和处理,主要以 JSP 为主配合 HTML 和JavaScript 等网页开发技术,再借用 JSF ,Struts , Hibernate 等框架来简化开发。
针对高校情况,虽然具体略有不同,但门户系统的开发一般按照如下步骤来实现:
•获取相关数据、确定硬件需求:
1)评估学校用户数
2)评估学校机器数
3)预测上网峰值用户数
4)预测使用门户的峰值用户数
5)预测门户的峰值并发用户数
6)由同时使用门户的峰值用户数决定
•设计部署方案:
1)根据相关数据和硬件设计部署方案
2)操作系统、AppServer、数据库、身份认证系统、Portal的安装
•调研需求:
1)需要的模块
2)需要集成的资源
3)需要集成的数据
•应用开发
•调试部署:
1)开发机调试
2)部署到服务器
4 单点登录和权限控制
单点登录是为了方便用户进入多个应用系统,减少用户多次登录,免除用户记忆多套用户名和密码的麻烦。[2]
单点登录涉及到两个问题,一是身份认证,二是权限控制。
身份认证是 Portal 系统提供访问控制的第一步,即确认用户是谁,能否进入系统。通常要求用户提供用户名和口令,必要时要求提供用户的数字证书,也可以配合使用 IC 卡、指纹等验证手段。
权限控制或授权确定一个用户的角色和级别,从而控制用户的访问许可,即决定用户能查阅哪些资料,能进行哪些操作等等。 Java EE 架构采用了基于角色的访问控制策略( RBAC )。 RBAC 的基本思想是把对用户的授权划分成两个分配关系,即“用户—角色”和“角色—权限”。 RBAC 的好处是便于应用系统的开发,使得程序设计相对独立和透明化,只是在应用系统部署使用时才通过“角色”把“用户”和“权限”关联起来,而且对用户和权限的调整配置容易实施。
用户与角色之间是多对多的关系,即一个用户可以被分配给多个角色,多个用户也可以分配给同一个角色。
角色与权限之间也是多对多的关系,即一个权限可以与多个角色相关,一个角色也可以包含多重权限。
在用户管理、身份认证和权限控制方面,无论是商业的或开源的 Portal 产品多数喜欢采用 LDAP ,当然也有的支持使用数据库。 LDAP 的好处一是它可以方便的按类别存储任何类型的数据信息;其二,它的树形存储结构类似于一个企事业单位的组织架构,容易对应;三是它同应用系统接口容易,各个 LDAP 产品的接口都一致无需特别配置;四是它对数据信息的访问安全控制方便;五是它偏向于相对固定数据信息的查询使用,效率较高,维护也方便。LDAP与portal之间的业务关系如图二所示。
图二系统业务层次
5 门户系统架构与实现
Portal Server是整个Portal系统的运行支撑环境,是一个标准的Web 应用程序,运行于J2EE Application Server 环境中。在此基础之上形成了能够实现的系统技术架构。
图三系统技术架构
在高等教育创新性需求的发展下,数字化校园正在向智能化与特色化方向发展,门户系统的开发需要适应各高校的具体情况,更加灵活与方便地提供相应用户所需的信息才是最重要的。
参考文献[1].茅维华;唐守国;高淑娟;白雪松;杨虹;周斌.校园信息化关键技术平台之研究与实践[J].中山大学学报(自然科学版),2009/S1
[2].邓志宏,蔡海滨,蔡悦华.基于数字化校园门户的分布式身份认证系统研究[J].计算机工程与设计,2005,(08).
[3].赖维玮.信息化门户系统在校园数字化建设中的应用研究[J].科技广场,2009/09
【关键词】数字化校园 三大平台
高校各个部门相对独立分散的业务系统通过数字化校园三大平台进行统一整合和有效的集成,对集成数据制定统一的标准,实时更新各种数据信息,确保信息的一致性和提高信息的准确性,从而提升领导的决策水平和高校整体管理水平。数字化校园三大平台不仅可以解决高校信息孤岛的问题,规范业务流程,还能为高校师生提供“一站式”服务,提高工作效率。
1 信息化标准建设与公共数据平台建设
现如今,高校各部门各司其职,根据需求建立各自的管理系统,缺乏数据统一标准和资源共享的意识。如果高校没有建立统一的信息化标准,往往会导致数据资源的浪费。建设数字化校园三大平台的主要目的是实现资源和数据共享以及将多个不关联的系统统一成一个系统,实现各部门之间数据交互,方便信息管理,提高工作效率。所谓信息化标准,是指信息在产生、传输、交换和处理时采用统一的概念、传输和表达格式、术语以及规则。
公共数据平台是建设信息门户平台和统一身份认证平台的基础,是数字化校园建设的重要组成部分。通过公共数据平台,可以对学校各个部门的数据信息进行收集、管理和利用,可以有效解决“数据共享难、信息孤岛”问题。公共数据库是统一管理数字化校园中的各种结构化数据的平台,具有建立和划分面向具体业务的数据库功能,可确保数据的一致性、完整性和安全性。通过数据集成平台可以将教务处、财务处、学工处、人事处、科研处、图书馆等应用系统的数据库集中到公共数据库里,并保持所有应用数据的统一。
2 统一身份认证平台建设
随着教育信息化的发展,学校需求的应用系统越来越多,不利于网络管理工作的开展。尤其是不同的应用系统其身份认证方式也不同,用户人员需要掌握大量的登录信息,经常会出现混淆登录信息以及忘记登录密码的问题,降低了用户的工作效率,同时也给网络中心工作人员增加了不少的任务量。高校现有的业务系统大部分都是单独授权、单独认证和单独的账号管理的模式,这种模式已经不能满足信息化快速发展的需求。因此,建设一个统一的、安全可靠的、集中式的身份认证和管理平台是一项相当重要的任务。
统一身份认证平台属于信息门户平台的身份认证方面,可以支持多个业务系统间单点登录(SSO),为各学校各个部门的业务系统提供集中式管理和安全认证机制,使得各种业务系统有效的整合和集成在一起。为了更好的使用系统和降低信息中心运维人员的工作负担,统一身份认证平台提供了自助密码找回功能。
3 信息门户平台建设
信息门户平台是直接展现给用户面前的,不仅可以及时的新闻通知,还可以提供管理、学习、生活等多方面的服务,增强了用户体验感,给全校师生带来了便捷性。
在该平台中,通过微博聚合方式将学校官方微博中的新闻、通知等信息推送到门敉站中。另外,学校目前拥有的业务系统如教务系统、财务系统、人事系统、科研系统、邮件系统、OA系统、校园一卡通、就业系统、迎新系统、离校系统等模块也会集成到门户网站中,并抽取OA待办事项、图书借阅情况、校园卡余额、教师的本月工资和公积金发送情况、站内信息未读提醒等服务模块。信息门户管理平台根据学校领导、普通教师以及学生需求的不同将信息门户页面展现的内容划分成三种,例如,以学生身份作为用户登录进去,页面中会增加成绩查询和已修学分信息,方便学生掌握自己的已修课程成绩和学分情况。此外,用户可以根据本身的爱好需求将一些应用模块添加到首页,对界面进行美化,增强用户体验感。
4 结束语
数字化校园三大平台建设在计算机和网络技术基础之上将高校内部各个相对独立分散的业务系统有效的集成在一起,有效的解决了信息孤岛的问题,实现了数据共享,提高了高校整体管理水平和综合实力,有助于学模式和观念的转变,更好的辅助学校领导决策。
参考文献
[1]张应祥.高校数字校园信息标准设计研究[J].中国教育信息化,2010(05):22-24.
[2]殷娜.数字化校园统一身份认证平台的构建[J].计算机技术与发展,2014(08).
[3]任婕.统一认证在校园门户网站上的应用[J].江苏教育学院学报:自然科学版,2010,26(12):63-67.
[4]刘夏,高荣芳,王学龙,任长林.数字化校园三大平台建设研究[J].软件导刊,2016(05).
关键词 安全 CA认证中心 身份认证 数字证书 PKI
中图分类号:D63 文献标识码:A
1CA认证概述
随着Internet的发展,电子商务的兴起,经常需要在开放网络环境中不明身份的实体之间通信,安全问题也因此日益突出。为确保网上电子商务交易的顺利进行,必须在通信网络中建立并维持一种可信任的安全环境和机制。一个完整的电子商务系统主要包括商家、支付系统和认证机构,而认证机构是整个电子商务系统的关键。认证机构主要通过发放数字证书来识别网上参与交易各方的身份,并通过加密证书对传输的数据进行加密,从而保证信息的安全性、完整性和交易的不可抵赖性。
为了解决在Internet上开展电子商务的安全问题,切实保障网上交易和支付的安全,世界各国在经过多年研究后,初步形成了一套完整的解决方案,其中最重要的内容就是建立一套完整的电子商务安全认证体系。电子商务安全认证体系的核心机构就是认证中心(CA)。认证中心作为一个权威、公正、可信的第三方机构,它的建设是电子商务最重要的基础设施之一,也是电子商务大规模发展的根本保证。
所谓CA(Certificate Authority)认证中心,它是采用PKI(Public key Infrastructure)公开密钥基础架构技术,专门提供网络身份认证服务,负责签发和管理数字证书,且具有权威性和公正性的第三方信任机构,它的作用就像我们现实生活中颁发证件的公司,如护照办理机构。目前国内的CA认证中心主要分为区域性CA认证中心和行业性CA认证中心两大类。
一个典型的CA系统包括安全服务器、注册机构RA、CA服务器、LDAP目录服务器和数据库服务器等。
2CA认证技术在电子政务上的应用
网络认证技术是网络安全技术的重要组成部分之一。其基本思想是通过验证被认证对象的属性来达到确认被认证对象是否真实有效的目的,被认证对象的属性可以是口令、数字签名或者像指纹、声音、视网膜这样的生理特征。以下介绍CA认证系统的有关技术及其典型应用。
2.1公钥基础设施PKI
公钥基础设施PKI(Public Key Infrastructure)又叫公钥体系,是一种利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范,从广义上讲,所有提供公钥加密和数字签名服务的系统,都可以叫做PKI系统。PKI的主要目的是通过自动管理密钥和数字证书,来为用户建立起一个安全的网络运行环境,使用户可以在多种应用环境下方便地使用加密和数字签名技术,从而保证网上数据的机密性、完整性、有效性。PKI由公开密钥加密技术、数字证书、认证机构CA及相关的安全策略等基本成分共同组成。一个典型、完整、有效的PKI应用系统至少应包含如下几个部分:(1)CA认证机构,(2)X.500目录服务器,(3)具有高强度密码算法(如SSL)的安全www服务器,(4)Web安全通信平台,(5)自行开发的安全应用系统,综上所述,在PKI中最重要的核心部分就是认证机构CA。
CA身份认证系统基于PKI理论体系构建,由认证服务器、管理服务器、客户端安全认证组件和SecurSecureKey(USB智能卡)组成,支持B/S结构和C/S结构的应用系统。系统中每一个用户发一个SecurSecureKey,其中存储有代表用户身份的数字证书和私钥文件,用户在登录系统时,插上SecurSecureKey,通过安全加密通讯信道与远程身份认证服务器通讯,由认证服务器完成对用户身份的认证,并得到当前用户的身份以及系统的授权信息。
(1)用户在计算机USB接口上插入包含自己证书和私钥的SecurSecureKey,访问系统登录页面。
(2)服务器接受登录请求,并产生一个临时随机数,发送到客户端。
(3)用户输入SecurSecureKey访问口令,点击“登录”按钮。
(4)客户端对服务器发来的随机数以及用户的身份信息利用SecurSecureKey硬件进行加密,并对加密结果做数字签名,将结果发送到服务器。
(5)应用服务器接收到客户端发来的数据后,执行验证过程。
(6)应用服务器根据认证服务器的返回结果决定登录是否成功。
2.2系统功能特点
(1)安全有效的身份认证
(2)易于操作和使用
(3)自动检测并加密指定关键信息
2.3 CA认证技术在电子政务中应用
在某区电子政务的一站式访问系统中,网上申请驾照、网上申请准生证等模块,都用到了基于CA认证技术实现身份认证的技术。
(1)基于CA认证技术实现身份认证的前提条件
首先要有认证中心CA实施的支持,即交易各方能够申请到自己的数字证书,能够从认证中心获得证书库信息和证书撤销列表,并对其进行有效性和完整性验证,交易各方面都能够支持系统所需的加密算法,摘要算法等。
(2)建立通信模型
在传输文件前,首先进行身份认证和密钥协商、身份认证,一是验证对方的证书是否有效,即证书是否过期,是否已被撤销等;二是要评估当前用户,在文件传输中的访问权限。
(3)加载数字证书身份认证模块的程序设计
对于安全认证系统来说,在程序设计中加载数字证书,来实现其通信各方面的身份认证和发送者行为的时候无法否认性,在如下方案中采用了安全套接层(SSL)传输方式。
加载数字证书的身份认证模块:
①创建会话连接使用的协议。
②申请SSL会话的环境CTX。
③SSL使用TCP协议,需要把SSL attach捆绑到已经连接的套接层上。
④SSL握手协议。
⑤握手成功后,得到对方的数字证书,与从认证中心CA获得的数字证书比较。两个证书如果不同,断开连接请求,结束会话;如果相同,对方的身份得到确认。
⑥通讯结束后,需要释放前面申请的SSL资源。
(4)系统安全认证分析(单向认证)
①通信身份的认证
通信过程开始时,服务器向浏览器发送自己的数字证书,浏览器从认证中心CA获取数字证书,浏览器使用认证中心CA系统的公开密钥解开服务器的数字证书,从而得到服务器的身份和公开密钥,二者进行比较后,确认服务器是否为真,完成身份认证。
②不可否认性
通信过程中,信息的摘要要是使用发送方自己的私有密钥进行签字的,除发送者自己以外,其他人无法知道签名者的私有密钥,所以确定了发送的行为无法再事后否认。
3结论
论文摘要:近年来,随着邮政储蓄多项新业务、新系统的开发、建设和上线,邮政金融信息化蓬勃发展,金融系统安全逐渐成为一个关键性问题。2006年,邮政金融开始启动柜员安全认证工程,天津邮政储蓄使用指纹技术对系统柜员身份进行认证,开创了天津银行业领域使用生物技术防范风险的先河。
随着金融信息化程度越来越高和计算机知识的普及、利用计算机犯罪的问题越来越突出.金融业务的安全性面陆着前所未有的严峻挑战。而诸多事实警示我们,在金融安全工作中外患固应严阵以待内患更须防微杜渐。如何降低银行业内部信息系统风险有效提高生产系统的安全性是目前各家金融机构普遍存在的问题。中国邮政储蓄业务和汇兑业务在实现了电子化管理之后其业务处理能力得到了极大的发展。但是随着信息化程度的提高也增加了系统的不安全因素,尤其是信息采集、系统访问安全成为各项安全中的关键问题。一直以来邮政储蓄采用密码方式对系统的人员权限进行身份控制。然而密码极容易泄露记忆麻烦、发生问题责任不清而且对于网络黑客、别有用心的访问者来说窃取、破译合法访问者的密码比较容易由此更容易引发资金案件。因为密码验证方式存在一个致命的弱点二不能准确标识密码使用者就是密码所有者本人口提高信息系统的安全性管理是根本.技术是保障。如何利用高科技手段建立一套省时、省力而又行之有效的计算机信息管理系统.把各级管理者们从“担心出金融案件的忧虑和烦恼‘’中解脱出来呢,近几年来指纹技术的成熟和厂泛应用为这个想法的实现提供了可能。指纹技术除了在公安和警用等专业领域广泛应用外逐渐应用到了民用领域派生出一系列的产品.如:指纹考勤机、指纹门禁机、指纹锁指纹口盘等。2003年开始指纹技术在金融行业开始得到应用用来解决金融安全问题防范操作风险的发生。
邮政储蓄指纹系统2006年吧月天津邮政储蓄启动柜员身份认证系统的建设.在储蓄统版系统中使用指纹万式对网点柜员的登陆和授权进行风险控制。
技术可行性分析
(1)应用性:与其他生物技术相比指纹技术成熟、使用简单
(2)易用性:指纹不存在遗忘丢失情况用来验证身份万便、快捷:
(3)安全性真正实现‘识别人而不是识别物
(4)可实施性:提供多种授权方式解决非现场授权问题、如授权、集中授权手机短信授权等
(5)别经济性川生价比高、一机多用(储蓄系统与电子汇兑系统可共用)、一次投资长期受益(无需冗余大量备用设备)
(6)可扩展性:考虑到今后业务的发展为新业务接入预留了开放接口。为邮政业务扩展、新业务新产品的开发提供了增值平台。
经济效益可行性分析
(1)管理成本:指纹验证身份不用携带任何载体。给设备管理部门减少了工作压力。只要保证建档指纹的真实性,把对几千人的管理转变为对几十个指纹系统管理员的管理大大降低管理成本;
(2)监督功能:指纹系统的统计分析功能.方便了管理者对业务数据和人员工作情况的查询监督实现减员增效扩大监督范围提高效率;
(3)风险成本与潜在效益:指纹验证身份后权责分明,避免内部资金案件风险还可为外部客户提供指纹储蓄等服务为邮政吸引更多客户带来潜在效益。
指纹系统应用
指纹系统逻辑结构包括邮政金融业务系统和指纹认证系统两部分系统之间通过接口互相调用、通讯实现业务系统内部人员的身份认证,如图1所示。天津邮政储蓄指纹认证系统包括认证和管理两大部分:认证部分实现本地和远程的指纹身份验证;管理部分完成指纹设备、人员信息的管理。管理系统划分为省中心指纹管理系统、区县指纹管理系统、网点指纹管理系统。目前,天津邮政储蓄统一的指纹身份认证平台,可以为多个信息系统提供人员身份确认功能,凡需要验证身份的环节指纹中心均可以提供指纹验证功能.真正实现了身份认证流程的一体化。此外该身份认证系统操作流程规范,对业务系统人员的指纹、身份级别等信息集中存放、操作流程一致实现了数据共享,便于统一管理。
指纹系统应用效果
至2006年年底,天津邮政储蓄361个网点全部采用指纹系统验证系统登陆和业务授权者身份所有储蓄操作员、班组长、支局长实现了用指纹进行签到/退。天津邮储指纹系统上线至今已有1年半的时间.运行状况良好达到预期的效果:
(1)有效杜绝了过去由于操作性风险导致的金融案件。采用指纹技术后柜员操作及授权业务只能是当事人操作完全杜绝了替代和非法授权的情况发生。
(2)由于是对本人指纹进行采集和识别,因而别人无法窥视、盗窃他人密码,从而切断了非正常途径传送密码的可能(防止高智商作案)
(3)提高工作速度,指纹录入及识别大约1秒这比手工输入密码要快。柜员和主管都不用费时定期更换密码,也不必用其他手段来保护密码
(4)该系统应用简单.不用对使用者作过多要求易学易用。
关键词: 身份管理; 身份认证; RSA模块; 安全性
中图分类号: TN99?34 文献标识码: A 文章编号: 1004?373X(2016)24?0022?04
Optimization improvement of key technology of cloud electronic identity management and authentication system
WANG Pengcheng, XIE Kunpeng
(Henan Institute of Finance, Zhengzhou 450000, China)
Abstract: There are high risk, low efficiency of database storage, high authentication error rate in the current identity management authentication technology. Therefore, a cloud electronic authentication management system is proposed. This system is mainly composed of authentication server, system server and cloud access server. The control agent module in the authentication server intercepts the data information that the user requests for authentication by resource server, and sends the data information to the certification service module. When the user enters into the information database, the files required by the user are encrypted and decrypted by the RSA system server module. The identity authentication relies on the user′s private key and authentication token. The data information is uploaded to the cloud access server for storage and transmission to complete the entire cloud electronic identity management and authentication. Partial functions, flow charts of file encryption and decryption in RSA module, as well as the power operation process of large numbers multiplication and large mathematical model in the verification process of RSA module are given in this paper. The experimental results shows that proposed identity management and authentication system has low energy consumption, high efficiency and high precision of data processing.
Keywords: identity management; identity authentication; RSA module; security
0 引 言
随着电子信息技术的不断发展,公共网络服务、事务查询等功能越来越多地出现在电子信息系统上。它可以为跨互联网的用户们提供安全快速的身份认证服务。电子信息系统给人们的生活带来便捷,但随之也存在电子信息技术安全性方面的问题[1?3]。其中的重要部分便是身份安全问题。构建一个安全性优良的电子身份信息管理和认证系统是目前相关专业人员的重点研究方向[4?6]。
目前的身份验证方法都存在一些不足。如文献[7]提出了OPEN ID身份信息处理系统,具体过程为让用户事先在网站上注册个人信息,并且任何网站都可以使用OPEN ID进行登录,对用户身份进行认证。因为网站质量参差不齐,导致OPEN ID技术不稳定,安全风险也很大。文献[8]提出单点登录法,当用户访问任意的服务器,只要登录过一次,通过其中的安全认证,那么下次用户再访问其他资源的时候则无需再次认证登录。其缺点为安全性能太低,中央数据库的管理代价较高。还会产生第三方服务器跨域问题。文献[9]采用了OITF联合身份管理系统,这种管理系统可以为多个应用系统进行身份认证,实现了跨域的单点登录与身份管理。但由于身份安全级别的不同,安全认证的需求也不同,在多个应用系统中,要想使用统一的认证体系需要大量的开销,极大地提高了成本。为了解决以上方法中存在的问题,本文设计了一种云电子身份管理认证系统。
1 云电子身份管理与认证系统设计
1.1 系统结构
云电子身份管理认证系统主要将数据库中的用户个人信息与各个应用系统的数据通过身份认证系统,来进行统一的管理、认证。首先,认证服务器将会对用户的身份进行确认,认证服务器中的控制模块截取用户对资源服务器请求认证的数据信息,并将数据信息发送到认证服务模块进行用户身份认证。用户进入到信息数据库中后,需要通过系统服务器中的核心模块,也就是RSA模块对用户所需文件进行加密解密处理,最终将数据信息上传到云访问服务器中,以完成整个电子身份认证管理过程。云电子身份管理与认证系统结构如图1所示。
(1) 认证服务器。认证服务器含有控制模块与认证服务模块。其中,控制模块截取用户对资源服务器请求认证的数据信息,并将数据信息发送到认证服务模块进行身份认证。认证服务器为身份认证系统与认证服务模块之间必不可少的一环。为了在服务器交换数据信息时,用户数据和认证服务器保持完全分离,需要使用控制模块,它可以保护用户个人信息的安全。而认证服务器在客户端完成相应的身份信息认证工作。在后台的信息数据库里存储了大量的用户个人信息数据。为了保护用户的个人信息安全,用户与认证服务器各拥有一个RSA密钥,RSA密钥可以实现用户与客户端的互相验证,用户可以根据认证服务器的公钥信息判断验证服务器身份是否合法。
(2) 认证客户端。在每个公共网络与内部网络的未认证的用户主机里都有一个认证客户端,其是身份验证系统的操作界面。
(3) 认证令牌。认证令牌是在进行身份认证时随机生成的动态数字,经过函数计算能够得到动态口令。身份验证系统会将得到的动态口令与用户的ID信息进行对比查询,提交到认证模块的服务器中,以此来验证用户的身份。在身份验证系统中,每一位用户都会得到一个认证令牌。
1.2 系统服务器结构设计
认证模块、系统管理模块、用户模块、RSA管理模块以及数据库管理模块组成了完整的系统服务器。系统服务器依靠模块化的部件,确保身份认证系统更具有扩展性、安全性。系统服务器构造如图2所示。
整个系统服务器的基础模块为RSA模块,其可进行RSA加密或解密,实现大数运算,根据其他模块的需要来进行计划调度。同样可以进行计划调度的还有数据库管理模块,它对用户数据进行处理。用户进入到信息数据库中后,通过系统服务器中的RSA模块,对用户所需文件进行加密解密处理,依靠用户私钥和认证令牌实现身份认证,将数据信息上传到云访问服务器中进行存储和传递。系统管理模块为身份认证系统的核心,可对其他模块进行协调并加载服务。
1.3 云访问服务器
云访问服务器给用户提供存储和共享数据信息,并进行数据传输功能。云访问服务器的工作效率对于身份管理与认证系统有着很大的影响。云访问服务器的结构图如图3所示。
由图3可见,云访问服务器分为用户注册、用户登录、添加删除好友、文件上传、文件下载和文件共享6个模块。依靠云系统的庞大容量来满足身份认证系统的扩展需求。数据库中的数据进行加密后即可储存在云系统中,进行过加密处理的文件除了用户本人以外,无法被读取,从而保证了整个身份认证系统的保密性、安全性。
2 身份管理与认证系统的软件设计
2.1 RSA模块功能设计
RSA模块是云电子身份管理认证系统的核心模块之一,其可以运算RSA算法,还可以对文件进行加密解密处理。RSA的性能影响着系统的性能,因为在身份验证系统中,基本上所有的函数运算都需要RSA模块来完成。下面为RSA模块中的部分功能函数:
Clargent函数的功能为可以将大数进行计算,比如基本的加减乘除、模幂与位移的运算等。内存中大数的构造即为Clargent函数:
enum LIMIT{LENGTH = 0xFF};
unsigned long _len;
unsigned long _data[LENGTH];
其中:len是大数的总长度,大数的最大长度即为len×32=8 192 b,Data为总长度中每一位的具体数值。进行运算设计时,将2×32作为基底,以左边代表低位,右边代表高位。
下列函数都与大素数相关:
InitSmallPrimes代表素数测试模块所用的初始化小素数表;
SmallPrimeTest代表对产生的大数p进行的小素数检验,检验通过后再对大数p进行RabinMiller测试;
RabinMillerTest代表对产生的大数p进行RabinMiller测试,若测试通过则认为大数p为素数;
下列是与密匙相关的一些函数:
GetCommonDivisor代表获取到两个大数的最大公约数;GetE代表生成私匙(n,e);GetD代表生成公匙(n,d);RSAEncrypt代表将数据进行RSA加密处理;RSADecrypt代表将数据进行RSA解密处理。
为了让文件与数据的相互转换变得更加简单,RSA模块在文件加密处理时将文件作为大数来运算。一般文件的大小基本都比理论上大数的总长度大,所以在进行文件转换时需将文件分段处理,对文件进行分段加密处理,最后再连接成一个完整的文件。解密过程同加密过程完全相反。
下面是文件的解密流程,如图4所示。由图4可知,需进行加密解密处理的文件共两个,其中,Encode text代表将对文件进行加密处理;Decode text代表将对文件进行解密处理。
2.2 RSA模块进行大数乘法过程
为了实现大数和unsigned long类型的乘法,RSA模块需要先列出一个函数式,然后依据函数式来反复调用这一模块。设A为位数是m的大数,设B为unsigned long类型数,则最后大数A*B的运算过程为:
(1) 设C0=0,i=0
(2) 则可得Ri=Ai*B+Ci
(3) 如果 Ri>0xFFFFFFFF,Ci+1=Ri/0xFFFFFFFF,Ri=Ri&0xFFFFFFFF
(4) 如果Ri
(5) 如果i≥m,则结束
(6) i=i+1,重复步骤2
2.3 RSA模块进行大数模幂运算过程
在RSA模块进行电子身份认证运算过程中,私钥与公钥的值确定后,若想完成身份验证并签名,无论再进行发送还是接收都只需再运算一次,这种运算的过程称之为模幂运算。构成模幂运算的为模乘运算,因为在RSA模块中,大数位通常大于512 b,大数模幂的运算量则会很大。若想提高运算速度,需要简化模幂算法,如下为简化的大数模幂运算过程:
为了求得D=C15%N,因为a*b%n=(a%n)*(b% n)%n,那么可以得出:
C1=C*C%N=C2%N
C2=C1*C%N=C3%N
C3=C2*C2%N=C6%N
C4=C3*C%N=C7%N
C5=C4*C4%N=C14%N
C6=C5*C%N=C15%N
故可以将模幂运算e=15分解为6个模乘运算。通过分析上述函数式的规律可以得出e为任意值时,使用函数算法计算出D=Ce%N:
D=1
While e≥0
If (e非偶数)
D=D*C%N
D=D*D%N
e=e-1
If (e非奇数)
D=D*D%N
e=e/2
最终回到D
根据结果进行分析得知,D乘C的具体时间通过检验e的二进制各位数得出,并且在检验过程中,由左至右的检测比较简单,如下:
D=1
For i=n to 0
D=D*D%N
If e[i]=1
D=D*C%N
最终回到D
3 实验分析
作为客户端与服务器之间重要的数据传输设备,身份认证系统需要向用户提供访问服务。用户是否能安全地登录客户端,对身份验证系统有很高的要求,实验对本文设计的云电子身份管理认证系统进行测试,验证其性能。
3.1 测试准备
在实验中本文采用了Avalanche 测试工具,其可模拟出大量的用户对本文设计的身份管理与认证系统进行访问,进而得出具体的实验结果。为了避免客户端和身份认证服务器在实验身份认证过程中读取的数据不同,采用Ethereal 抓包工具来抓取动态数据包,再对数据包进行解析。
3.2 测试结果
为了验证本文提出方法的有效性,在各种不同条件下进行了多次测试,测试的结果如表1所示。通过表1可以得知:当最大并发数达到2 000,2 500,3 000时,本文设计的身份管理和认证系统CPU 消耗的最大值并未超过系统合理运行所要求的最大限度,当并发数达到很大的数值时,系统依旧可以正常运作;本文的身份管理和认证系统对于用户要求响应的时间在220 ms左右,具有较高的认证效率;在测试过程中,当并发数值达到很大时,本文身份管理和认证系统对于数据处理的正确率也在99%以上。在身份认证系统中,由于系统软件部分的运算速度有限,所以在对文件进行读取和加密解密的过程中,对于函数式的运算性能要求十分苛刻。下面对本文提出的身份认证系统的文件加密解密运算执行时间进行性能检测,结果如表2所示。
由图5可知,对不同大小的文件分别进行加密和解密测试后的验证结果显示出文件的大小与文件加密解密的时间成正比,并且文件加密解密的所用时间都是ms级,非常微小。故本文提出的身份认证系统可以满足用户进行高效率身份认证的需求。
4 结 论
本文提出一种云电子身份管理认证系统,系统主要由认证服务器、系统服务器与云访问服务器组成。实验结果表明,提出身份管理和认证系统耗能低、认证效率高,具有较高的数据处理精度。
参考文献
[1] 王群,李馥娟,钱焕延.云计算身份认证模型研究[J].电子技术应用,2015,41(2):135?138.
[2] 朱莉蓉,陈宁江,何佩聪,等.基于动态信任管理的云用户行为认证服务系统[J].广西大学学报(自然科学版),2015,40(6):1485?1493.
[3] 王文清,柴丽娜,陈萍,等.Shibboleth与CALIS统一认证云服务中心的跨域认证集成模式[J].国家图书馆学刊,2015,24(4):45?50.
[4] 李丙戌,吴礼发,周振吉,等.基于信任的云计算身份管理模型设计与实现[J].计算机科学,2014,41(10):144?148.
[5] 王雷,王平建,向继.云存储环境中的统一认证技术[J].中国科学院大学学报,2015,32(5):682?688.
[6] 叶丹.云智能生活中的身份安全[J].五金科技,2014,42(5):82?85.
[7] 王崇霞,丁颜,刘倩,等.云计算环境的联盟身份认证方案设计[J].应用科学学报,2015,33(2):215?222.
[关键词]电子资源;资源共享;知识产权;版权保护
从“维普的著作权侵权案”到“百度的MP3版权门”[1~2],从“万方学位论文侵权案”[3~4]到“讯雷的版权认领”[5~6],再到“中国知网学位论文版权征集”,一次又一次地给我们敲响了警钟。当前数字资源、电子资源或者说虚拟资源的版权问题仍然存在着不少问题。作者、出版社、数据服务商、图书馆、读者之间是一个知识传递的链条,在这一传递过程中,版权会以不同形式出现。如何解决电子资源的版权纠纷,是目前电子资源面临的一个比较棘手的问题,这一问题同时牵扯到电子资源服务商、出版社、图书馆和作者四方面权益,因此值得大家关注。
1 电子资源版权模式
电子资源版权模式主要由授权方式和实现技术两部分组成,其常见的几类如下。
1.1 电子图书
1.1.1方正Apabi教参电子图书版权模式。
(1)授权方式。方正Apabi教参电子图书以分成的方式取得出版单位的授权,与出版社签订电子版权使用协议,作者授权由出版单位负责解决和处理。这种版权解决方式商业化气氛更浓[7]。
(2)实现技术。方正Apabi教参电子图书以数字版权保护(DRM)技术为核心,在保护作者、出版社、发行者、图书馆和读者共同利益的基础上,为整个过程中的各个角色提供所需软件。出版社可以很方便地制作和出版电子书,读者可以通过互联网买书、借还书、在本地机器上阅读。
1.1.2 书生之家版权模式。
(1)授权方式。书生之家从出版社和作者两个方面入手,同时取得出版单位和作者的授权。一般是通过为出版单位提供有关服务来换取授权[7]。
(2)实现技术。采用书生数字图书馆系统相关技术,通过专门的阅读器进行控制,版权保护方面也采取DRM技术,防止了文献被复制、篡改和二次传播的可能。
1.1.3 超星数字图书馆版权模式。
(1)授权方式。超星数字图书馆通过征集作者授权的方式获取有关授权,预先使用并预留适当比例的版税,如果作者有异议,与作者商谈并取得作者授权;如果作者不同意,支付已使用版税并将其作品撤除。同时,还委托版权保护中心代收代转一部分版税。目前已有部分作者及出版社与超星公司签约,但仍然存在相当大的版权隐患[7]。
(2)实现技术。采用超星PDG技术和数字版权保护(DRM)技术,通过有关技术限制打印、传播和永久下载。
1.2 学位论文
1.2.1 万方学位论文版权模式。
(1)授权方式。万方的学位论文数据库是受中国科学技术信息研究所(以下简称“中信所”)委托进行加工、建设和对图书馆提供馆藏服务的,由中信所与授予单位合作取得论文的使用权。这种授权是中信所与学校之间的授权,与具体的作者关系不大,存在很大的弊端。万方的“学位论文侵权案”就是这个弊端造成的。
为了弥补这一漏洞,万方数据公司目前又增加了直接授权模式,以期更好地规范和解决博、硕士论文的相关使用授权,具体内容为征集作者授权,并给作者、导师和授予单位一定的版权费用,作为对以上授权模式的补充。
(2)实现技术。大部分数据是通过扫描后加工而成,可通过OCR进行识别,部分具有双悉技术,此外还有一部分数据是由作者直接提交的电子版本。所有数据都加工为PDF格式,需要IP认证和身份认证,资源需要PDF专用阅览器打开。
1.2.2中国知网版权模式。
(1)授权方式。学位论文采取与作者直接签约的方式,并支付作者、导师及相关单位有关报酬,由作者提交电子版,并有作者的电子出版授权书。
(2)实现技术。所有数据都制成中国知网学位论文专用格式,需要用中国知网专用的CAJ阅读器打开,用户认证方式有多种,包括IP地址认证方式、个人账号认证方式、包库方式,等等。
1.3 期刊论文
目前提供期刊论文全文服务的电子资源服务商主要有三家:中国知网、万方数据和重庆维普,其版权处理模式基本相同,只是采用的技术不同而已。
(1)授权方式。与出版社采取签订电子版权协议的方式,与作者之间采取由出版社在向作者发录稿通知时预先声明的方式,如果不愿意被收录的论文作者要进行说明,否则按默认处理,即授权被有关数据库收录。同时,出版社可与多个电子资源服务商同时签订电子版授权协议。
(2)实现技术。电子资源服务商从出版社得到资源的电子版后,利用自己的加工系统对电子资源进行加工制成自己专用的电子文档,然后通过自己的平台进行。从中国知网、万方数据和重庆维普国内三家有名的电子资源服务商来看,一般不采用DRM技术,只是通过身份认证和IP地址来限制最终的使用者。
2 比较分析
电子资源的版权授权模式和实现技术可以通过表1进行汇总和比较,从中可以看出电子资源的版权模式有三种变化趋势。
(1)授权方式由出版单位授权逐渐向作者授权转变。万方的学位论文版权纠纷,更加促进了这一过程的转变。对于新出版的电子资源要做到从源头处理好相关版权,对于已经出版的版权关系不明确的或者根本就没有授权的电子资源通过版权认领的方式获取授权。
(2)资源文件由扫描版向真正的电子版转变。真正的电子版具有三方面的特点:一是电子资源的质量得到了提高,如资源页面没有污点、放大后字体不失真等;二是可以对电子版的文件进行重新排版,以更好地适应读者的计算机阅读方式;三是可以在电子文件中直接嵌入有关技术,并与相关的身份认证技术相结合,以便更好地保护电子资源的版权。
(3)身份认证技术由简单的密码认证、IP认证向数字证书认证技术转变。随着计算机技术和网络技术的发展,简单的密码认证和IP认证技术已经不能保障电子资源数据库的安全,极易造成电子资源被非法用户访问和使用,使合法用户的权益得不到保障,使电子资源的版权得不到保护。随着数字证书认证技术的出现和完善,这些非法用户必将被挡在系统之外,电子资源的版权也会得到很好的保护。
3 电子资源版权保护中应注意的问题及建议
3.1 应注意的问题
3.1.1目前,绝大多数期刊出版社只与电子资源服务商之间签署授权的协议,忽视或者模糊著作权所有者一些应有的合法权益。出版社一般不与作者签署正规授权协议,只是通过录稿通知的相关附加条款或者在出版物上一些声明进行约定,作者处于极为被动的地位,主要表现在两个方面:第一,在录稿通知上加入一条数据库收录的声明,以此来获得电子版的使用权;其二就是在期刊的某一个位置上进行声明,如“本刊已被××数据库所收录,您的文章如果不想被收录请与出版社联系”等声明。这种现象应引起我们的思考。另外,期刊电子资源存在的隐性版权问题还有很多,如无DRM保护,电子文档可以无限次数的复制、无限次数的传递。
3.1.2《中华人民共和国著作权法》是从1991年6月1日开始实施的,2001年10月进行了修订,在第二章第一节第十二条中加入了信息网络传播权[8],第一次把电子资源网络传播权的保护正式写入法律。如何对待和妥善处理2001年10月《著作权法》修订前的电子资源版权问题,需要电子资源服务商高度重视。目前不少电子资源服务商都采取版权认领的方式进行处理,重新与作者签订有关版权授权协议。
3.1.3版权归属不明确,包括多作者版权划分和作者与所属机构之间的版权划分两种情况,这两种情况也极易造成版权的纠纷。如万方学位论文,是学校提交给国家学位论文法定收藏单位中信所的,而中信所只具有收藏的权限和部分特定用户使用的权限。中信所只在与学校签署共建中国学位论文数据库协议的条件下,就把其权限扩大到商业化范畴,这是不妥的,易造成一些技术和成果资料的流失。
3.1.4文献收藏、特定用户有限利用与商业化使用之间界限不明确。如万方的“学位论文诉讼案”,就是这种界限不明确造成的。
3.1.5使用权授予多个电子资源服务商,造成资源的重复性加工和浪费。目前的电子资源大部分由出版社把使用权授予多个电子资源服务商,各服务商对资源进行各自不同的加工,读者使用电子资源时必须使用电子资源服务商专用的阅览器。
3.2 电子资源版权保护的一些建议
电子资源版权保护不仅仅是技术层面的保护,而是一个涉及多方面的保护体系,这一体系主要包括以下几个方面。
3.2.1在法律保护中,国家要有相关的法律制度和条约予以保障。这方面制度的制定是一个循序渐进的过程,随着电子资源应用的日益广泛,这方面的保障制度应逐渐完善。
3.2.2提高与电子资源有关的参与者对版权的认知程度。电子资源的参与者主要包括作者、出版社、电子资源服务商以及最终的读者,只有这些参与者认知程度提高了,版权保护才能很好地贯彻和执行。同时,参与者认知程度的提高是一个循序渐进的过程,各参与者之间要互相理解和配合。
3.2.3从技术上加强对电子资源版权的保护。主要依靠计算机技术和网络技术对电子资源的使用范围、读者、使用时间、使用方式等加以限制,也就是现在都在采用的DRM技术,主要包括数字证书认证技术、IP地址限制技术、电子资源加工技术等。随着计算机技术的发展,对电子资源在技术上的保护应该不存在什么问题。
3.2.4对电子资源的传播存储形式也需制定一定的规范和标准,不能任由电子资源服务商各自为政、自定标准。建议国家相关部门制定电子资源传播存储强制性行业标准,由出版社或者出版社委托的单位完成电子资源的标准化加工,然后出售其电子资源。此时电子资源服务商的作用就相当于纸质图书的书商,只起到一个中介作用。
3.2.5对2001年10月《著作权法》修订前的电子资源版权问题,出版社和电子资源服务商要双管齐下,尽可能与作者签署授权协议,对暂时无法取得联系的,可以继续采用版权认领方式进行。
3.2.6建议电子资源版权可以借鉴成熟的专利知识保护体系进行保护。专利制度是以技术的公开换取法律上对技术的保护,电子资源可以借鉴这一成熟模式对其版权进行保护,即以资源的公开换取法律上对资源的保护。
4 结 语
总之,各种电子资源版权纠纷的出现并不是一些孤立、偶然的事件,而是一种新事物的出现与现有制度以及人们认知相对滞后的矛盾造成的。主要体现在:一是有关法律制度不完善或者不健全,对出现的一些特殊情况不能妥善处理;二是电子资源服务商本身存在的一些问题,造成一些版权上的疏忽;三是用户对版权的认识上不到位,出现的一些侵权行为。相信随着法律制度的逐步完善健全,作者、出版社、电子资源服务商、图书馆、读者等参与者在版权方面的法律意识逐渐提高,电子资源的版权问题会得到合理妥善的解决。
[参考文献]
[1] 柳华芳.百度版权门是中国互联网的拐点[EB/OL].[2008-06-18].blog.chinabyte.com/blog/fanggege/archive/2008/06/18/86133.html.
[2] 陆建平.百度深陷版权门:莫当炮灰 和平解决[EB/OL]. [2008-12-05].tech.163.com/05/1018/09/20B9SUVR000915HL.html.
[3] 何春中.谁在吞噬我们呕心沥血的学位论文[N].中国青年报,2008-11-27(6).
[4] 何春中.学位论文的著作权保护何去何从[N].中国青年报,2008-11-27(6).
[5] 抽身“版权门”?迅雷举办“版权认领” [EB/OL].[2008-12-05].publish.it168.com/2007/0427/20070427045101.shtml.
[6] 迅雷支持正版 版权认领对策[EB/OL].[2008-12-05].xunlei.limxyz.com/copyright.htm.
【关键词】前缀码;AES;认证方案
随着移动通信网络的高速发展,移动电子商务、电子现金、手机网络银行等业务的兴起,移动通信网络中的各种攻击及欺诈行为也更加猖獗和频繁,移动信息安全的重要性与保密性也变得更加前所未有的重要。在网络通信环境中,身份认证是网络安全的第一道防线,高效便捷的身份认证方式是移动通信技术安全性的重要保证[1]。在网络安全领域,广泛使用的身份认证形式主要有证书认证[2]和口令认证[3]两种方式。口令认证是一种轻量级的认证方案,口令认证分为静态口令[4]和动态口令[5~6]两种,静态口令由于存在多种安全问题已逐渐被业界淘汰,动态口令也已经很难满足目前复杂的网络环境。证书认证需要权威的第三方证书授权中心(CA)颁发证书,相比于口令认证方式,证书认证方式安全级别更高,能够抵御多种攻击及欺诈方式,但证书认证方式对通信双方资源要求较高,更为复杂,而且需要权威的第三方认证授权中心,所以在移动通信网络中使用传统的证书认证方式和口令认证都不是最有效的解决方案。AES(AdvancedEncryptionStandard)是一种高级加密标准,在密码学中一般又称为Rijndael算法,AES算法具有非常高的安全性,但近年来依然有被攻击的案例,例如使用Square攻击。而新型基于前缀码的AES算法可通过前缀码对Square攻击法输入的不同明文的译码来改变轮子密钥的顺序,使轮子密钥的使用顺序与输入的明文相关,从而使自身具有抵抗Square攻击的能力,不影响算法效率的前提下,能很极大提高AES算法的安全性[7],并且相对于其他高级加密算法,例如RSA等非对称加密算法,基于前缀码的AES算法更加灵活高效,更适用于移动通信网络。综合对比分析传统认证方式的优缺点,本文提出了一种安全强度更高的基于前缀码AES加密动态口令认证方案,新方案可以保障通信双方进行安全的双向认证,并且每次会话都通过基于前缀码的AES算法建立新的通信信道。
1新型AES认证方案设计
1.1符号及标识
O:用户;F:服务器;T:用户标识;MM:口令;+:加法;:异或;H(x):哈希函数;n:第n次认证;N:表示随机数;Nn:第n次认证的随机数。
1.2认证过程
(1)在注册过程中,用户输入T和MM,生成随机数N0,计算R0=H(T,MMN0),将T和R0传送至服务器F。服务器F使用基于前缀码的AES算法为用户O计算分配共享密钥KAES,同时分配另一共享密钥KOF,用户O保存KAES与KOF,并从此刻起,认证过程所有数据都通过共享密码KAES加密后再传送,收到数据都先通过KAES解密后再处理。(2)O与F计算整数g、大素数m,O保存与F的共享密钥KOF,m,g,N0。(3)F存储O的T、R0、KOF、m、g。(4)O进行第n次登录过程时,O的认证数据有T,MM和Nn,F保存的对应认证数据是Rn。(5)O进行登录时,生成随机数XU<n,并计算:YO=gXomodm然后O用KOF加密YO得到KOF(YO),O发送T,KOF(YO)给F。O存放随机数XO。(6)F收到O的消息后在本地数据库查询T所对应的共享密钥,再用对应的共享密钥解密KOF(YO)得到YO。然后F生成一个随机数Xs<n,并计算:YF=gXFmodmF用KOF加密YF得到KOF(YF),并计算R=YFYO,F存储随机数XF。F发送R,KOF(YF)给O。(7)O收到后F返回的数据后用KOF解密得到YF,再使用YF与R做异或运算,将结果与YO比较,不等则认证失败,终止认证登陆,相等就计算Rn=H(T,MMNn),同时生成另一个随机数Nn+1并保存,O再用Nn+1计算:Rn+1=H(T,MMNn+1),Mn+1=H(T,Rn+1),其中Rn+1作为下一次的认证数据。用数据Rn、Rn+1和Mn+1计算α=Rn+1(Mn+1+Rn),β=Mn+1Rn。(8)O将α,β和T传送给F。(9)F收到α,β和T后,从认证数据数据库中取得与T相对应的Rn,然后计算:βRn=Mn+1RnRn=Mn+1,得到Mn+1,再用Rn和上式得到的Mn+1计算:α(Mn+1+Rn)=Rn+1(Mn+1+Rn)(Mn+1+Rn)=Mn+1,得到的Rn+1和T计算Mn+1′=H(T,Rn+1)。(10)F对Mn+1′与Mn+1的值进行比较,若相等,则F通过对O的身份认证,否则拒绝O登录。同时F计算:Kn=(YF)Xomodm并将Kn作为新的会话密钥,加密服务器和用户之间的会话信息。(11)收到F发送的允许登录消息后,O计算第n次的会话密钥Kn′:Kn′=(YO)XFmodm则有:Kn=(YF)Xomodm=gXFXomodm=(YO)XFmodm=Kn′在用户通过认证登陆服务器后,用Kn做会话密钥建立安全通信信道与服务器通信。
2总结
新型AES认证方案结合了口令认证及前缀码AES加密算法的优势,不仅能够保证服务器对用户的身份认证,也能够有效的实现用户对服务器真伪的认证。通过新型AES算法加密后的会话信道能够保证所有信息在安全环境下传输,并能确保传输信息为原始信息,有效防御中间人攻击及欺诈攻击,使攻击者无法在通信过程中删除消息、注入错误消息、修改消息。新型AES认证方案综合考虑了算法及方案复杂度问题,使用灵活的异或运算来处理部分数据,大大提高了计算效率,同时又使用基于前缀码的AES算法来保证数据安全性。新型AES认证方案每次认证产生的随机数、认证口令和会话密钥都不相同并且一次有效,能够保证重要数据的新鲜性,因此对重放攻击也有很强的抵御能力。
综上所述,新型AES认证方案安全高效,适用于安全性要求较高的移动网络环境中。
作者:孙浩然 单位:日照市第一中学
参考文献
[1]戴云,范平志.入侵检测系统研究综述[J].计算机工程与应用,2002,38(4):17~19.
[2]鞠宏伟,李凤银,禹继国.基于RSA的证实数字签名方案[J].计算机应用研究,2008(1):93~95.
[3]索望.一次性口令身份认证方案的设计与实现[D].四川:四川大学(硕士学位论文),2005:29~32.
[4]王顺满,吴长奇,张笈,等.无线局域网的安全问题[J].无线电通信技术,2003(5):19~21.
[5]LAMPORTL.PasswordAuthenticationwithInsecureCommunication[J].CommunicationsoftheACM,1981,24(11):770~772.
论文关键词:CA认证体系;信息安全;数字证书;公钥
一、CA概述
CA是CeritficateAuthoirty的缩写,通常翻译成认证权威或者认证中心,是负责发放和管理数字证书的权威机构,并承担电子商务公钥体系中公钥的合法性检验的责任。
CA认证系统是一个大的网络环境,从功能上基本可以划分为CA、RA和WP。核心系统和CA放在一个单独的封闭空间中,为了保证运行的绝对安全,其人员及制度都应有严格的规定,并且系统设计为离线网络。CA的功能是在收到来自RA的证书请求时颁发证书。一般的个人证书发放过程都是自动进行,无须人工干预。
二、对外经济贸易大学CA认证体系的规划和建设
(一)背景
对外经济贸易大学是教育部直属的全国重点大学,国家“211工程”首批重点建设高校,大学校园网始建于1997年,经历了建设、调整和完善的阶段。截止目前为止校内所有建筑物全部光纤接入到网络与教育技术中心,网络设备400余台,信息点数近17000个,实现了所有办公楼及宿舍楼的上网需求。各部门相关业务系统也在逐渐完善,信息系统在日常工作中的使用频率在迅速提升,与此同时,学校全面实施信息化校园(一期)建设,搭建了统一数据库平台、建立统一身份认证系统并建立了统一信息平台门户,基本实现各系统的信息共享。对外经济贸易大学的校园网建设成已基本形成了运行比较稳定、速度比较快捷、应用比较广泛、相对安全可靠的网络,为全校的教学和科研活动提供了坚实的保障。
然而,单纯的用户名/口令身份认证方式已经不足以保证用户登陆系统的身份安全性,在学校信息化建设相对稳定成熟的基础上,我们考虑在校园网中建立一套完整的CA数字证书认证系统,通CA认证,把用户的公钥和用户的其他标识信息捆绑在一起,其中包括用户名个人信息以及电子邮件地址等,以实现在网络上验证用户的真实身份。在开放网络上实现密钥的自动管理,保证网上数据的安全传输。并制定有针对性的相关运维策略,按照学校实际情况,颁发给校园内用户标识个人身份的数字证书,使用户利用数字证书登录业务系统,替代原有的用户名/口令登录方式。真正做到既简便了用户的登陆操作,又进一步提升了业务系统的安全性。
(二)建设原则
结合学校各业务系统自身应用的现实情况,在相关国际标准的指导下,对外经贸大学CA认证系统建设项目的总体设计和实施都将依据国家有关信息安全政策法规,根据项目的实际需要和高校信息化建设的实际情况,依靠科学技术,依靠科学管理的思想进行设计;将长远规划和当前建设相结合,安全可行和方便适用相结合。因此,项目的研究和实施遵循以下原则:符合国家有关规定的原则、坚持继承、发展、创新的原则、坚持以人为本、方便适用的原则、需求、风险、成本折衷原则、坚持统一标准、规范建设的原则、技术与管理相结合原则和保护已有投资、易于扩展的原则。
(三)建设内容
考虑CA身份认证系统在国内建设的相关情况以及结合对外经贸大学各业务系统的应用现实情况,对外经贸大学CA认证系统建设项目的建设内容如下:
1.制订标准规范
制定符合对外经贸大学自身特色的标准规范,指导对外经贸CA安全认证体系的建设、推广、使用,保证系统的高效管理和使用,保证系统之问的互联互通。
2.建设对外经贸大学的CA安全认证体系
所建立的CA认证系统面向全校8000余名在校学生及1500名教职员工提供全面证书安全认证服务,认证系统将具备万张级别的数字证书签发管理能力,使整个校园信息化体系得到进一步完善,从安全性方面保证数字化校园网络的高效、可靠运行,为对外经贸大学涉及的多套教学及办公业务系统提供完善的数字证书服务。
3.数字证书与业务系统的结合
①与公文系统的结合
建设一套电子签章平台,来管理发放相关人员的电子印章,可以实现在OA审批流转系统中对审批电子文档的盖章确认,包括对签章人的身份确认,对审批文档的防篡改,以及盖章行为的不可抵赖。由于具备了真实性、完整性及可追溯性的安全机制,极大的推动了信息化系统中无纸化办公的可靠性。
②与其他业务系统的结合
另外一种情况是业务系统不是流转公文,而是流转各种业务数据,比如合同、申报数据、审批表格等应用系统。由于业务系统情况千差万别,不能用一个盖章、签字软件与其结合,因此需要具体业务具体分析,学校将对于签章、签名系统提供二次开发接口,系统调用这些接口,实现电子签章、电子签名的应用。
4.其他拓展功能建设
作为安全基础设施的CA认证系统,在建成后其颁发的数字证书不仅使用于对系统的安全登录,同时还包括一系列拓展功能。包括身份认证、数字签名/验签、数据加/解密、安全传输、应用支撑、安全审计等等。随着校园网整个信息化系统的功能完善,信息安全体系建设的跟进就显得尤为必要。
三、结论