时间:2023-01-19 22:43:19
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇身份认证技术论文,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
关键词:信息安全;身份认证;生物特征;组合认证;解决方案;性能分析
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 16-0000-02
Authentication Technology Research Overview
Zhang Yao
(Harbin Normal University,Computer Science and Information Engineering College,Harbin150025,China)
Abstract:Authentication technology is capable of sending and receiving side of information technology to identify the true identity,is to identify,verify that the network information system in the legitimacy and authenticity of the user identity,according to mandate access to system resources,and shut out illegal visitors.This article discusses the field of information security authentication technology status and development trend,for further improving the work has a certain theoretical significance.
Keywords:Information security;Authentication;Biometrics;
Combination of certification;Solutions;Performance analysis
网络认证技术是网络安全技术的重要组成部分之一。认证指的是证实被认证对象是否属实和是否有效的一个过程,常常被用于通信双方互相确认身份,以保证通信的安全。认证技术一般包括两个方面的内容,分别是身份认证和信息认证。身份认证主要是通过对用户身份的鉴别来实现对用户权限的识别,限制低权限或者非法用户的入侵。信息认证主要是用于验证信息是否完整。本论文的研究主要偏重于对身份认证技术及其分析。主要侧重以下几个方面做分析。
一、身份认证的方法分析
身份认证主要是通过分析被认证者的身份、权限等相关的信息。除了认证者本人,任何其他人都无法进行仿造或者伪造身份。如果经过认证,被认证者拥有相关的权限和秘密,那么他就获得了认证。身份认证的主要依据就是被认证方用于证明身份所用有的秘密。每个被认证者所拥有的身份认证秘密不同。常见的身份认证有两种,第一种是基于物理安全性的身份认证方法。第二种是基于秘密信息的身份认证方法。
(一) 基于物理安全的身份认证方法
不同的身份认证方法基于不同的理论,但这些认证方法的共同点就是依据用户知道的秘密信息。和这种认证方法相对照,另外一种利用用户的特殊信息或者硬件信息来进行身份认证的。比如说从生物学角度考虑,利用声音识别进行身份验证,利用指纹进行身份验证,利用人眼的虹膜进行身份验证等。从硬件的角度考虑,常用的认证方法有通过智能卡来进行验证,只有认证者拥有正确的卡,才可以被认证。当然,这种方法也有优缺点,这种智能卡可以有效的阻止和避免人为乱猜口令导致的密码被破解,但也存在着只认卡不认人的缺陷,一旦智能卡因丢失被其他人捡到,则很容易被盗取身份。为防止出现这种情况,现在一般采用智能卡和口令结合的方式,比如现在最常用的银行卡就是这种。
(二)基于秘密信息的身份认证方法
常见的有以下几个方式:
1.通过进行用户口令认证来核对身份信息,在刚建立系统的时候,系统已经预先为具有合法权限的用户设定了用户口令和密码。当用户通过登录界面登录时,登录界面显示用户名和密码输入。客户输入用户名和密码以后,系统会对输入的账户和密码与系统原有的密码进行核对如果完全一致,则认为是合法用户,用户身份得到认证。否则,就提示账户名或者密码错误。用户身份得不到认证。
2.单项认证,所谓单项认证,就是进行通信的双方中,只有一方需要进行身份认证。上面所阐述的口令核对法本质上也是一种单项认证。只是这种认证方法还比较低级,没有进行相应的密钥分发操作。常见的涉及到密钥分发操作的认证方案有两类。分别是对称密钥加密方案和非对称密钥加密方案。对称密钥加密方案是指依靠第三方来进行认证,第三方就是一个统一的密钥分发中心。通信双方的密钥分发和身份认证都要通过第三方来实现。另一种没有第三方参与的加密体制成为非对称密钥加密体制。
3.双向认证。双向认证,是指需要通信双方相互认证才可以实现双方通信,通信双方必须相互鉴别彼此的身份,并且经双方验证正确以后,才可以实现双方的通信。在双向认证中,最典型的就是Needham/Schroeder协议。
[1]Needham/Schroeder Protocol[1978]
AKDC:IDA||IDB||N1
KDCA:EKa[Ks||IDB||N1||EKb[Ks||IDA]]
AB:EKb[Ks||IDA]
BA:EKs[N2]
AB:EKs[f(N2)]
(其中f(N2)为N2的某一个函数,其他符号约定同上。)
4.身份的零知识证明通常在进行身份认证时,需要进行身份信息或者口令的传输。要想不传输这些信息就可以进行身份认证,就需要采用身份的零知识证明技术。所谓零知识证明就是指在进行用户身份认证时,不需要传输相关的信息。这种认证机制就是当被认证的甲方为了让认证方乙方确信自己的身份和权限但同时又不让乙方得到自己的秘密信息而采用的一种机制。这种认证方法可以非常有效的防治第三方窃取信息。
二、身份认证的应用
(一)Kerberos认证服务
Kerberos是一种基于Needham和Schroeder[1978]模型的第三方认证服务Kerberos可信任的第三方就是Kerberos认证服务器。它通过把网络划分成不同的安全区域,并且在每个区域设立自己的安全服务器来实现相应的安全策略。在这些区域的认证具体实现过程如下:Kerberos通过向客户和服务提供票和通信双方的对话密钥来证明自己的身份权限。其中Kerberos认证服务器负责签发初始票,也就是客户第一次得到的票。其他票都是由发票服务器负责签发。同一个票可以在该票过期之前反复使用。当客户需要让服务方提供服务的时候,不但要自己生成仅可以使用一次的证,而且需要向服务方发送由发票服务器分发的。这两个需要同时发送。
(二)HTTP中的身份认证
HTTP中的身份认证现在主要由三个常用的版本。分别是HTTP协议目前已经有了三个版本HTTP0.9、HTTP 1.0和HTTP 1.1,其中HTTP 0.9功能简单,主要用来实现最基本的请求协议和回答协议。HTTP 1.0是目前应用比较广泛的一个版本,它的功能相对来说非常完善。而且,通过Web服务器,就可以实现身份认证来实现访问和控制。如果用户向某个页面发出请求或者运行某个CGI程序时,将会有访问控制文件告诉用户哪些可以访问,哪些不可以访问,访问对象文件通常存在于访问对象所在的目录下面的。通过服务器读取访问控制文件,从而获得相应的访问控制信息。并且要求客户通过输入用户名和口令进行身份验证。通过访问控制文件,Web服务器获得相应的控制信息,用户根据要求输入用户名和口令,如果经过编码并且验证以后,如果身份合法,服务方才发送回所请求的页面或执行CGI程序。HTTP 1.1新增加的很多的报头域。如果进行身份认证,不是以明文的方式进行传递口令,而是把口令进行散列变换,把口令转化以后对它的摘要进行传送。通过这种认证机制,可以避免攻击者通过某种攻击手段来获取口令。即使经过多次攻击,也无法进行破译。即使是这样,仍然不能保证摘要认证的足够安全。和普通的认证方法一样,这种方法也可能受到中间者的攻击。要想更进一步确保口令安全,最好就是把HTTP的安全认证方式与Kerberos服务方式充分结合起来。
(三)IP中的身份认证
IP中的身份认证IP协议出于网络层,因此不能获取更高层的信息,IP中的身份认证无法通过基于用户的身份认证来实现。主要是通过用户所在IP地址的身份认证来实现。IP层的认证机构既要确保信息在传递过程中的数据完整性,又要确保通过数据组抱头传递的信息的安全性。IPSec就是IP安全协议的简称,主要功能就是维护网络层的安全和网络成以下层的安全。通常情况下,它提供两种安全机制。第一种是认证机制,通过这种认证机制,可以确保数据接收方能够识别发送方的身份是否合法。而且还可以发现信息在传输过程中是否被恶意篡改;第二种是加密机制,通过对传输数据进行数据编码来实现数据的加密机制。从而可以保证在信息的传递过程中,不会被他人窃取。IPSec的认证报头(Authentication Header AH)协议定义了认证的应用方法,封装安全负载(Encapsu-lating Security Payload,ESP)协议定义了加密和可选认证的应用方法。应用到具体的通信中去,需要根据实际情况选择不同的加密机制和加密手段。AH和ESP都可以提供认证服务,相比较而言,AH提供的认证服务要强于ESP。
三、身份认证技术讨论
身份认证技术讨论,在前面几部分内容中,对身份认证技术进行了理论分析和总结,并对他们的原理、机制和优缺点进行了比较。这里将根据自己的理解,深入考虑通过其他途径来实现身份认证。数字签名首先要保证身份验证者信息的真实性,就是要确保信息不能伪造,这种方法非常类似于身份认证。身份认证的主要目的是要确保被认证者的身份和权限符合。因此,这里考虑通过数字签名来实现身份认证。这里的技术难点就是必须要预先进行分发密钥。如果不能提前进行密钥分发,就不可能实现数字签名。综上可以看出,身份认证在整个安全要求中是首先要解决的技术问题。
参考文献:
[1]William Stallings,孟庆树等.密码编码学与网络安全――原理与实践(第四版)[M].电子工业出版社,2006,11
[2]袁德明.计算机网络安全[M].电子工业出版社,2007,6
[3]杨英鹏.计算机网络原理与实践[M].电子工业出版社,2007,9
[4]李忠献.认证理论与技术的发展[J].电子学报,1999
关键词:身份认证;UEB Key;PKI体系;认证设计
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)23-930-02
Design Research of Authentication Client Based on USB Key under PKI System
ZHOU Hua-xiang
(Changsha Commerce & Tourism College, Changsha 410004, China)
Abstract: Due to universality and opening of the Internet,there're many hidden troubles of information security in the network, so, identity authentication has becomed the necessary measure to ensure the security. This paper compared and analyzed the relative merits of common classes of identity authentication, and on the basis of analysis, the authentication principle and its characteristics, and the authentication processing were also discussed, and after that, the identifying technology of USB Key with PKI system was designed from software and hardware detaily. All these design work and theory analysis is significative for enhance the security of the identifying authentication.
Key words: Identity authentication; USB Key; PKI System; Technology design
1 引言
当前,随着计算机技术的飞速发展,利用因特网高科技手段进行经济商业犯罪的现象已经屡见不鲜了,因此,如何采用更加安全的数据保护及加密技术,成为当前计算机工作者的研究热点与重点。但是很多身份认证技术由于本身算法的漏洞而不稳定或可靠,使得很多不法之徒有机可乘。因此,发展更加安全的数据加密算法和身份认证技术,是关系到社会经济稳定繁荣发展的关键,如何采用与设计更加安全的身份认证技术,成为当前计算机安全工作的重点。
现今,计算机及网络系统中最常用到的身份认证技术主要有以下几种:1)用户名密码方式认证;2)IC卡认证;3)动态口令认证;4)生物特征认证。
上述几种身份认证方式,或认证方式过于简单,或认证成本过高,或使用方法繁琐,在推广应用上都存在一定的限制因素;USB Key认证技术是一种方便、安全、经济的身份认证技术,它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。
2 相关原理概述
2.1 PKI体系概述
PKI(Public Key Infrastructure)是一个用公钥密码体制来实现并提供安全服务的具有通用性的安全基础设施,具有可信任的权威认证机构CA,在公钥加密技术基础上实现证书的产生、管理、存档、发放以及证书作废管理等功能,并包括实现这些功能的硬件、软件、人力资源、相关政策和操作规范以及为PKI 体系中的各成员提供全部的安全服务。如实现通信中各实体的身份认证、数据保密性、数字完整性以及不可否认等。PKI必须具有认证机构CA、证书库、密钥备份及恢复系统、证书作废处理系统、PKI 应用接口系统等主要组成部分。
2.2 USB Key认证原理
每个USB Key硬件都具有用户PIN码,以实现双因子认证功能。USB Key内置单向散列算法(MD5) ,预先在USB Key和服务器中存储一个证明用户身份的密钥,当需要在网络上验证用户身份时,先由客户端向服务器发出一个验证请求。服务器接到此请求后生成一个随机数并通过网络传输给客户端,客户端将收到的随机数提供给插在客户端上的USB Key,由USB Key使用该随机数与存储在USB Key中的密钥进行带密钥的单向散列运算(HMACMD5)并得到一个结果作为认证证据传送给服务器,与此同时,服务器使用该随机数与存储在服务器数据库中的该客户密钥进行HMAC- MD5运算,如果服务器的运算结果与客户端传回的响应结果相同,则认为客户端是一个合法用户。
3 基于PKI体系的USB Key认证客户端的设计
3.1 总体设计
本方案基于USB接口,采用高性能的智能卡进行设计,把智能卡固有的安全性能和USB总线的即插即用、总线供电等优点结合起来,集二者之所长,研制出一种携带方便的PKI客户端设备,集数据加密和数据存储两大功能为一体,在硬件级安全的基础上完成身份认证、密钥管理、证书存储等功能。其系统结构框图如图1所示。
由图1的结构可以发现,本论文研究的客户端硬件模块由智能卡和USB 读卡器组成,采用智能卡芯片作为私钥安全管理的载体,它包括私钥的安全生成、存储和使用。智能卡芯片中含有CPU ,可以通过运算来产生公私密钥对,而且还含有一定的存储空间,可以存储私钥和其它用户资料。USB 读卡器的主要功能是完成智能卡与主机的通信。
由于智能卡的存储空间毕竟有限,对于需要进行密码运算的大文件,无法一次完全导入智能卡设备中,为此,我们将一部分密码运算的功能放在主机端的软件模块,以提高运算速度。
总体的设计思路是私钥的密码运算必须在智能卡中进行,而将一部分有可能对大文件进行的运算放在主机上来完成。这样既保证了私钥的生成、保存的高度安全性,又利用了主机容量大、运算快的优势。
3.2 系统硬件设计
3.2.1 智能卡芯片的设计
智能卡芯片是USB KEY的核心,采用一个高性能的处理器芯片,除了含有一个MCU 外,还集成有专门进行密码算法的协处理器,通过它可以提高密码运算的速度。在软件结构上,我们内置了一个卡内操作系统(COS) 以管理智能卡的所有软硬件资源。COS 分为四个模块:传输层模块、文件管理层模块、安全控制模块和算法库。
从整个安全策略、用户的方便性、产品的创新性等几点出发,客户端的智能卡芯片中需要实现签名、解密、RSA 密钥对的产生、私钥的保存及证书的验证等主要功能。
验证别人的证书,需要通过信任锚来完成。信任锚就是根CA 的公钥。通过它,我们可以验证在一个PKI 系统中所有的证书。由于主机的不安全性,如果将信任锚存储在主机端,很容易被黑客替换成一个假的信任锚,这样用户就无法验证别人证书的真伪。出于这样的考虑,我们将信任锚存储在智能卡中,由于智能卡芯片的硬件特性,驻留在里面的程序具有不可修改性,这样就使数据(私钥) 的保存和使用达到了硬件的安全级别,大大提高了PKI 系统的安全。
3.2.2 USB芯片的设计
由于用户需要通过驻留在主机上的用户程序来使用存储在智能卡中的私钥,为了使用的方便,我们将硬件模块设计成一个目前流行的USB KEY模型,即通过USB 接口来实现主机软件程序与智能卡的通讯。
USB 接口的设计由一个USB 芯片来实现。它主要有两个功能,一是通过USB 协议完成与主机的通信;二是完成与智能卡的通讯。由于智能卡与外界的信息交换遵循ISO781623协议,所以USB 芯片的CPU 必须模拟一个781623 协议来实现两者的通讯。
考虑到用户在使用客户端时的不安全性,如:在用户使用完USB KEY时,可能忘记将它从主机上拔下来,这时如果远程黑客通过驻留主机的木马程序获得了用户的PIN ,就会在用户无察觉的情况下,利用USB KEY来对任意的文件进行任意次的签名,从而对合法用户造成很大损失。为此,我们在USB 芯片上设计了一个按键,每次USB 芯片检测到签名操作的命令,便要求用户手工按键,然后再将命令发送到智能卡里,由智能卡完成签名运算。这样合法用户便可以控制签名次数,将风险降到最低水平。
3.2.3 时间芯片的设计
无论证书还是私钥,都有一定的生存期,过期后必须申请新的证书和私钥。要求PKI 用户以手工操作的方式来定期更新自己的证书是不现实的,用户往往忘记自己证书过期的时间,常在认证失败时才发现问题。为此,我们在USB 芯片上加载了一个时间芯片,用它来识别证书和私钥过期的时间。
3.3 系统软件设计
系统的软件设计采用Client/Server模式,一个标准的服务流程为:客户机提出请求,通过USB接口传输给USB接口控制器,USB接口控制器通过模拟7816协议来和智能卡进行通信,智能卡的片上操作系统COS收到该请求后,进行命令解释,调度相应的功能模块进行处理,然后将运算结果返回给USB接口控制器,最终传递给客户机的应用程序,完成一次服务请求。
软件程序的流程图如图2所示。
4 结束语
USB认证设备体积小巧、功能强大、价格低廉,可提供极高安全等级的认证和加密功能,有力地促进了PKI系统的实施,同时,它也可广泛应用于要求个人身份认证、识别、数据加密、安全存储等领域,应用前景广泛。目前,对于身份认证技术的研究方兴未艾,很多新的认证方式与认证技术正在出现,为人们的数据安全提供更加可靠的安全认证与保护。
展望将来,除了对基于PKI体系的USB Key认证方式继续探讨新的数据加密算法外,其他新的认证模式也正在兴起,如基于生物特征的生物认证技术,以及目前处于研究热潮的基于线上手写签名的身份认证技术,这些都将是安全性极高的认证手段。
参考文献:
[1] 胡道元,闵京华.网络安全[M].北京:清华大学出版社,2004.
[2] 蔡金清,万振凯.统一口令网络认证系统的分析与实现[J].天津:工业大学学报,2004,23(3):74-76.
[3] 关振胜.公钥基础设施PKI与认证机构CA[M].北京:电子工业出版社,2002.
【Abstract】With the rapid development of information technology, colleges expect the verification of candidate information can be more reliable, scientific and unified.. However,the lack of human resource, low information verification efficiency and instead of someone else in examination frequency, make the examination process is difficult to realize optimization. To overcome these drawbacks, the article takes the two-dimensional code as the information transmission interface, analyzes and designs the network architecture, logical structure and physical deployment of dimensional code authentication platform, provides a useful and practical reference for college to realize authentication informatization .
【P键词】二维码;高校;身份认证
【Keywords】two-dimensional code ; university; identity authentication
【中图分类号】C39 【文献标志码】A 【文章编号】1673-1069(2017)04-0166-03
1 引言
高校作为人才的培养基地,一直以来都扮演着科教兴国的重要角色,考试制度也顺理成章的成为了检阅人才的必备标杆。然而,社会上的不诚信现象屡见不鲜,加之社会信用体系不完善,客观上助长了不诚信风气。大学生作弊现象,代考现象日益加剧,使得考试成绩的真实性每况愈下,经调查,
60. 4%的大学生想过考试作弊,39. 1% 的大学生自述曾有过作弊经历。这种弄虚作假的行为严重威胁着国家政策的施行,也使得高校教育策略岌岌可危。为纠正各类教育考试中考生代考、作弊等行为,进一步加强考试环境的综合治理,我们引入二维码技术来进行考生身份认证。通过扫描二维码将考生最新信息呈现给监考教师,防止了考生准考证信息因磨损失真、不完全、容易被篡改等现象而引起代考行为的发生,保证了信息的统一化、可靠化、科学化管理,实现了考生信息的动态更新。系统采用各种最新技术来提高用户体验,保证信息的安全性,一定程度上实现了功能和体验的双赢[1]。
2 二维码技术的发展
二维码是20世纪90年代兴起的一种新技术,它是以某种特定的几何图形按一定规律在平面上分布组成黑白相间的图形来记录数据符号信息的技术。和一维码相比较,二维码不但具有存储容量大、信息密度大(在一个不大的图形内可存储数字、英文、汉字、指纹、声音和图片等信息)、 采集速度快、制作成本低、纠错能力强、安全性高等特点,还成功弥补了一维码只能包含字母与数字的缺陷。它可以从水平轴X轴和纵轴Y轴即横向和垂直两个方向对信息进行存储和处理,这样既提高了条码信息存储量又加速了信息的处理速度等优点,也正是这些优势使得它广泛流行于各国各行业中。
我国对二维码技术的研究开始于1993年,截至目前,条码标准体系还尚显单薄,具有自主知识产权和核心研发技术体系还很少,二维码的推广和发展受到了一定阻碍。但是随着我国通信网络的升级、智能手机的普及和民众意识的转变,二维码的应用前景也渐渐明朗起来,在消化国外先进技术文化的基础上,制定了一系列二维码标准:如GB/T17172-1997《四一七条码》,GB/T18284-2000《快速响应矩阵码》,《二维码网格矩阵码(GM)》,《二维码紧密矩阵码(CM)》等,并已在我国的汽车行业自动化生产线、医疗急救服务卡、涉外专利案件收费、珠宝玉石饰品管理及银行汇票上得到了应用。国内多家IT企业如阿里巴巴、腾讯、百度、新浪等对二维码的试水,以及中国电信、中国联通、中国移动等电信巨头在二维码手机应用领域的介入都充分显示了二维码应用在我国强劲的发展势头,我国也在不断投入资源,鼓励摸索前进,积极研究和开辟新的应用和领域。
通过文献梳理和调查国内外关于二维码技术的应用,我们发现高校对二维码技术的应用仍处于启蒙阶段,同时,师生证件繁多、不易保管、信息不完整、易损坏、易仿制、丢失使得信息的传递存在极大的风险。鉴于二维码的特点和应用,广大师生已在日常生活中对其有了初步了解。开发基于二维码技术的高校考生身份认证系统,生成包含高校师生身份认证名片,能够在极大程度上推动高校信息化发展,确保信息的完整、真实、易用,做到诚信考试,有效规避代考作弊等行为[2]。
[论文摘 要]电子商务是新兴商务形式,信息安全的保障是电子商务实施的前提。本文针对电子商务活动中存在的信息安全隐患问题,实施保障电子商务信息安全的数据加密技术、身份验证技术、防火墙技术等技术性措施,完善电子商务发展的内外部环境,促进我国电子商务可持续发展。
随着网络的发展,电子商务的迅速崛起,使网络成为国际竞争的新战场。然而,由于网络技术本身的缺陷,使得网络社会的脆性大大增加,一旦计算机网络受到攻击不能正常运作时,整个社会就会陷入危机。所以,构筑安全的电子商务信息环境,愈来愈受到国际社会的高度关注。
一、电子商务中的信息安全技术
电子商务的信息安全在很大程度上依赖于技术的完善,包括密码、鉴别、访问控制、信息流控制、数据保护、软件保护、病毒检测及清除、内容分类识别和过滤、网络隐患扫描、系统安全监测报警与审计等技术。
1.防火墙技术。防火墙主要是加强网络之间的访问控制, 防止外部网络用户以非法手段通过外部网络进入内部网络。
2.加密技术。数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据,当需要时可使用不同的密钥将密文数据还原成明文数据。
3.数字签名技术。数字签名技术是将摘要用发送者的私钥加密,与原文一起传送给接收者,接收者只有用发送者的公钥才能解密被加密的摘要。
4.数字时间戳技术。时间戳是一个经加密后形成的凭证文档,包括需加时间戳的文件的摘要、dts 收到文件的日期与时间和dis 数字签名,用户首先将需要加时间的文件用hash编码加密形成摘要,然后将该摘要发送到dts,dts 在加入了收到文件摘要的日期和时间信息后再对该文件加密,然后送回用户。
二、电子商务安全防范措施
网络安全是电子商务的基础。网络安全防范技术可以从数据的加密(解密)算法、安全的网络协议、网络防火墙、完善的安全管理制度、硬件的加密和物理保护、安全监听系统和防病毒软件等领域来进行考虑和完善。
1.防火墙技术
用过internet,企业可以从异地取回重要数据,同时又要面对 internet 带来的数据安全的新挑战和新危险:即客户、推销商、移动用户、异地员工和内部员工的安全访问;以及保护企业的机密信息不受黑客和工业间谍的入侵。因此,企业必须加筑安全的“壕沟”,而这个“壕沟”就是防火墙.防火墙系统决定了哪些内容服务可以被外界访问;外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过,而且防火墙本身必须能够免于渗透。
2. vpn技术
虚拟专用网简称vpn,指将物理上分布在不同地点的网络通过公用骨干网联接而形成逻辑上的虚拟“私”网,依靠ips或 nsp在安全隧道、用户认证和访问控制等相关技术的控制下达到与专用网络类同的安全性能,从而实现基于 internet 安全传输重要信息的效应。目前vpn 主要采用四项技术来保证安全, 这四项技术分别是隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。
3.数字签名技术
为了保证数据和交易的安全、防止欺骗,确认交易双方的真实身份,电子商务必须采用加密技术。数字签名就是基于加密技术的,它的作用就是用来确定用户是否是真实的。数字签名就是通过一个单向哈希函数对要传送的报文进行处理而得到的用以认证报文是否发生改变的一个字母数字串。发送者用自己的私钥把数据加密后传送给接收者,接收者用发送者的公钥解开数据后,就可确认消息来自于谁,同时也是对发送者发送的信息真实性的一个证明,发送者对所发信息不可抵赖,从而实现信息的有效性和不可否认性。
三、电子商务的安全认证体系
随着计算机的发展和社会的进步,通过网络进行的电子商务活动当今社会越来越频繁,身份认证是一个不得不解决的重要问题,它将直接关系到电子商务活动能否高效而有序地进行。认证体系在电子商务中至关重要,它是用户获得访问权限的关键步骤。现代密码的两个最重要的分支就是加密和认证。加密目的就是防止敌方获得机密信息。认证则是为了防止敌方的主动攻击,包括验证信息真伪及防止信息在通信过程被篡改删除、插入、伪造及重放等。认证主要包括三个方面:消息认证、身份认证和数字签名。
身份认证一般是通过对被认证对象(人或事)的一个或多个参数进行验证。从而确定被认证对象是否名实相符或有效。这要求要验证的参数与被认证对象之间应存在严格的对应关系,最好是惟一对应的。身份认证是安全系统中的第一道关卡。
数字证书是在互联网通信中标志通信各方身份信息的一系列数据。提供了一种 internet 上验证用户身份的方式,其作用类似于司机的驾驶执照或身份证。它是由一个权威机构ca机构,又称为证书授权(certificate authority)中心发行的,人们可以在网上用它识别彼此的身份。
四、结束语
安全实际上就是一种风险管理。任何技术手段都不能保证100%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。因此,为进一步促进电子商务体系的完善和行业的健康快速发展,必须在实际运用中解决电子商务中出现的各类问题,使电子商务系统相对更安全。电子商务的安全运行必须从多方面入手,仅在技术角度防范是远远不够的,还必须完善电子商务立法,以规范飞速发展的电子商务现实中存在的各类问题,从而引导和促进我国电子商务快速健康发展。
参考文献:
[1] 劳帼龄.电子商务的安全技术[m].北京:中国水利水电出版社,2005.
[2] 赵泉.网络安全与电子商务[m].北京:清华大学出版社,2005.
[论文关键词] 电子商务 信息安全 信息安全技术 数字认证 安全协议
[论文摘 要]电子商务是新兴商务形式,信息安全的保障是电子商务实施的前提。本文针对电子商务活动中存在的信息安全隐患问题,实施保障电子商务信息安全的数据加密技术、身份验证技术、防火墙技术等技术性措施,完善电子商务发展的内外部环境,促进我国电子商务可持续发展。
随着网络的发展,电子商务的迅速崛起,使网络成为国际竞争的新战场。然而,由于网络技术本身的缺陷,使得网络社会的脆性大大增加,一旦计算机网络受到攻击不能正常运作时,整个社会就会陷入危机。所以,构筑安全的电子商务信息环境,愈来愈受到国际社会的高度关注。
一、电子商务中的信息安全技术
电子商务的信息安全在很大程度上依赖于技术的完善,包括密码、鉴别、访问控制、信息流控制、数据保护、软件保护、病毒检测及清除、内容分类识别和过滤、网络隐患扫描、系统安全监测报警与审计等技术。
1.防火墙技术。防火墙主要是加强网络之间的访问控制, 防止外部网络用户以非法手段通过外部网络进入内部网络。
2.加密技术。数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据,当需要时可使用不同的密钥将密文数据还原成明文数据。
3.数字签名技术。数字签名技术是将摘要用发送者的私钥加密,与原文一起传送给接收者,接收者只有用发送者的公钥才能解密被加密的摘要。
4.数字时间戳技术。时间戳是一个经加密后形成的凭证文档,包括需加时间戳的文件的摘要、DTS 收到文件的日期与时间和DIS 数字签名,用户首先将需要加时间的文件用HASH编码加密形成摘要,然后将该摘要发送到DTS,DTS 在加入了收到文件摘要的日期和时间信息后再对该文件加密,然后送回用户。
二、电子商务安全防范措施
网络安全是电子商务的基础。网络安全防范技术可以从数据的加密(解密)算法、安全的网络协议、网络防火墙、完善的安全管理制度、硬件的加密和物理保护、安全监听系统和防病毒软件等领域来进行考虑和完善。
1.防火墙技术
用过Internet,企业可以从异地取回重要数据,同时又要面对 Internet 带来的数据安全的新挑战和新危险:即客户、推销商、移动用户、异地员工和内部员工的安全访问;以及保护企业的机密信息不受黑客和工业间谍的入侵。因此,企业必须加筑安全的“壕沟”,而这个“壕沟”就是防火墙.防火墙系统决定了哪些内容服务可以被外界访问;外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过,而且防火墙本身必须能够免于渗透。
2. VPN技术
虚拟专用网简称VPN,指将物理上分布在不同地点的网络通过公用骨干网联接而形成逻辑上的虚拟“私”网,依靠IPS或 NSP在安全隧道、用户认证和访问控制等相关技术的控制下达到与专用网络类同的安全性能,从而实现基于 Internet 安全传输重要信息的效应。目前VPN 主要采用四项技术来保证安全, 这四项技术分别是隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。
3.数字签名技术
为了保证数据和交易的安全、防止欺骗,确认交易双方的真实身份,电子商务必须采用加密技术。数字签名就是基于加密技术的,它的作用就是用来确定用户是否是真实的。数字签名就是通过一个单向哈希函数对要传送的报文进行处理而得到的用以认证报文是否发生改变的一个字母数字串。发送者用自己的私钥把数据加密后传送给接收者,接收者用发送者的公钥解开数据后,就可确认消息来自于谁,同时也是对发送者发送的信息真实性的一个证明,发送者对所发信息不可抵赖,从而实现信息的有效性和不可否认性。
三、电子商务的安全认证体系
随着计算机的发展和社会的进步,通过网络进行的电子商务活动当今社会越来越频繁,身份认证是一个不得不解决的重要问题,它将直接关系到电子商务活动能否高效而有序地进行。认证体系在电子商务中至关重要,它是用户获得访问权限的关键步骤。现代密码的两个最重要的分支就是加密和认证。加密目的就是防止敌方获得机密信息。认证则是为了防止敌方的主动攻击,包括验证信息真伪及防止信息在通信过程被篡改删除、插入、伪造及重放等。认证主要包括三个方面:消息认证、身份认证和数字签名。
身份认证一般是通过对被认证对象(人或事)的一个或多个参数进行验证。从而确定被认证对象是否名实相符或有效。这要求要验证的参数与被认证对象之间应存在严格的对应关系,最好是惟一对应的。身份认证是安全系统中的第一道关卡。
数字证书是在互联网通信中标志通信各方身份信息的一系列数据。提供了一种 Internet 上验证用户身份的方式,其作用类似于司机的驾驶执照或身份证。它是由一个权威机构CA机构,又称为证书授权(Certificate Authority)中心发行的,人们可以在网上用它识别彼此的身份。
四、结束语
安全实际上就是一种风险管理。任何技术手段都不能保证100%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。因此,为进一步促进电子商务体系的完善和行业的健康快速发展,必须在实际运用中解决电子商务中出现的各类问题,使电子商务系统相对更安全。电子商务的安全运行必须从多方面入手,仅在技术角度防范是远远不够的,还必须完善电子商务立法,以规范飞速发展的电子商务现实中存在的各类问题,从而引导和促进我国电子商务快速健康发展。
参考文献
[1] 劳帼龄.电子商务的安全技术[M].北京:中国水利水电出版社,2005.
[2] 赵泉.网络安全与电子商务[M].北京:清华大学出版社,2005.
论文摘要:随着移动存储设备的广泛应用,由其引发的信息泄漏等安全问题日益受到关注。针对目前移动存储安全解决方案中利用用户名和密码进行身份认证的不足,本文提出了基于智能卡技术的安全管理方案。该方案将指纹特征作为判定移动存储设备持有者身份的依据,同时通过智能卡技术实现了移动存储设备与接入终端间的双向认证,从源头上杜绝了移动存储设备带来的安全隐患。
1引言
移动存储设备因其体积小、容量大、使用灵活而应用广泛,但其本身的“匿名性”给设备安全管理带来了巨大挑战,身份认证难、信息易泄露、常携带病毒等问题一直困扰着用户和计算机系统安全人员。
在移动存储的安全管理上应基于两个层面:首先是移动存储设备对用户的身份认证,以确保移动存储设备持有者身份的合法性;其次是移动存储设备与接入终端间的双向认证。目前,移动存储的安全管理往往是基于用户名和口令的身份认证方案,容易受到非法用户“假冒身份”的攻击,同时系统中所保存的口令表的安全性也难以保障,因此该方案存在较大的安全隐患。少数采用生物特征识别的安全方案也仅仅做到了第一个层面的身份认证,仍无法解决对移动存储设备本身的身份认证以及移动存储设备对接入终端的身份认证。然而,移动存储设备和接入终端间双向认证的必要性是显而易见的,只有被终端信任的移动存储设备才允许接入;同时,当终端也被移动存储设备信任时,移动存储设备和终端才能获得彼此间相互读写的操作权限。只有实现上述的双向认证,才能有效地在源头杜绝移动存储设备带来的安全隐患。
本文描述了一种移动存储安全管理方案,针对U盘和移动硬盘等移动存储设备,基于智能卡技术,结合指纹识别模块,解决了设备持有者的身份认证以及设备与接人终端间的双向认证问题,并将设备持有者的指纹作为实名访问信息记人审计系统,进一步完善了移动存储的安全管理方案。
2基于指纹识别的用户身份认证
指纹识别技术主要涉及指纹图像采集、指纹图像处理、特征提取、数据保存、特征值的比对和匹配等过程,典型的指纹识别系统如图1所示。
指纹识别系统
指纹图像预处理的目的是去除指纹图像中的噪音,将其转化为一幅清晰的点线图,便于提取正确的指纹特征。预处理影响指纹识别的效果,具有重要的意义。它分四步进行,即灰度滤波、二值化、二值去噪和细化。图像细化后,采用细节点模板提取出指纹图像的脊线末梢和脊线分支点的位置,将指纹认证问题转化成为点模式匹配问题。
如图2所示,移动存储设备采用兼容多种设备接口的控制芯片、安全控制闪存芯片、大容量用户标准Flash构成硬件基础,以智能卡控制芯片为控制中心,结合指纹识别模块,实现对设备持有者的身份认证;同时,结合大容量普通闪存存储结构,实现数据存储低层管理和数据存储加密。
3基于智能卡技术的双向认证
为加强系统认证安全性与可信性,在移动存储设备内集成智能卡模块,使之具备计笄能力,从而实现移动存储设备与终端之问的双向认证。移动存储设备的身份文件存放于智能卡模块中。身份文件是指存储着移动存储设备各项物理特征信息的私密文件,由于这些物理特征信息与个体紧密相联,所以可以起到唯一鉴别该移动存储设备的作用。
智能卡模块提供对终端的认证,只有通过认证的终端才能访问身份文件和移动存储设备中的数据。将现有移动存储设备硬件结构进行改造,在其中分别加人指纹处理模块与智能卡模块后的硬件结构如图3所示。
智能卡模块内置CPU、存储器、加解密算法协处理器、随机数发生器等硬件单元,及芯片操作系统(COS)、芯片文件系统等多个功能模块。其内部具有安全数据存储空间,用于存放移动存储设备的身份文件。对该存储空间的读写受身份认证机制保护,只有通过认证的用户和终端才能对其进行访问,并且操作必须通过定制的应用程序实现,用户无法直接读取。支持指纹认证的智能卡文件系统如图4所示。
对终端的身份认证方式有多种,本方案采用冲击一响应的认证方式_7]。需要验证终端身份时,终端向智能卡模块发送验证请求,智能卡模块接到此请求后产生一组随机数发送给终端(称为冲击)。终端收到随机数后,使用终端认证软件内置的密钥对该随机数进行一次三重DES加密运算,并将得到的结果作为认证依据传给智能卡模块(称为响应),与此同时,智能卡模块也使用该随机数与内置的密钥进行相同的密码运算,若运算结果与终端传回的响应结果相同,则通过认证。这种认证方式以对称密码为基础,特点是实现简单,运算速度快,安全性高,比较适合对移动存储设备的认证。
在终端通过认证,取得移动存储设备信任的前提下,终端通过智能卡模块读取移动存储设备身份文件,对移动存储设备进行准入认证。只有在双向认证通过的情况下,移动存储设备才能接入可信终端,进而在授权服务器分发的安全策略下与可信域终端进行正常的读写操作。
4移动存储安全管理系统设计
在采用智能卡技术的基础上,加入移动存储安全管理系统,提供对移动存储设备的接人控制,将认证体系扩展至计算机USB总线。
安全管理系统的认证体系示意图如图5所示。各终端首先需要加入某个信任域,在此之后可对移动存储设备提供基于所在信任域的接入认证,如果终端没有通过信任域认证,则不允许任何移动存储设备接入。
授权认证服务器位于各信任域的公共区域中,为各信任域的终端提供移动存储设备授权认证服务。它将设备授权给某个信任域后,该设备便成为该区域中的授权设备,可在该区域中任意一台终端上使用;在其他区域使用时将被认为是未授权的,接入将被拒绝。隔离区中的终端与授权认证服务器不能通过网络相连,从而保证了被隔离的终端不能够使用移动存储设备,防止安全隐患向外扩散。这种把安全域细分成不同信任域的整体设计可以最大限度地防止安全实体内敏感数据的任意传播,大大降低信息向外非法泄露的可能性。
终端移动设备认证软件部署在网络系统中的各台终端上,实时监测终端上所有USB接口,探测接人的移动存储设备。发现设备后,认证软件将与接入设备进行相互认证,并与认证服务器通信,对设备进行认证,通过认证的设备被认为是当前信任域的授权设备,否则将被认为是未授权的。根据认证结果,允许或禁止移动设备接入。
4.1授权流程描述
服务器端授权软件运行时,探测出所有连接到授权服务器上的移动存储设备,并将结果报告给管理员。管理员指定需要授权的设备,填写好授权区域、授权日期、授权人、授权有效期并录入用户指纹信息后,授权软件开始对该移动存储设备进行授权。
(1)获取该设备的各项物理信息,这些信息具有特征标识,可以唯一地标识该设备;
(2)将收集到的物理信息和管理员输入的授权区域、授权日期、授权人、授权有效期等信息以一定格式排列,并注入随机字符,采用三重DES运算,生成身份文件;
(3)设置移动存储设备中指纹模块的指纹信息;
(4)将智能卡模块中的认证密钥设成与终端事先约定好的密钥;
(5)将(3)中生成的身份文件存入智能卡模块中的安全数据存储空间。
4.2认证流程描述
图6是移动存储设备管理系统完成认证的整个流程,其步骤如下:
(1)终端认证软件判断当前终端所处区域,如果处于信任域中,扫描各USB端口状态,判断是否有新设备接人;如果处于隔离区,则拒绝任何USB移动设备接入。
(2)如果探测到新设备接入,智能卡CPU调用指纹处理模块,接收并验证用户指纹。
(3)如果指纹认证通过,则终端向USB存储设备发送认证请求;否则禁用该USB存储设备。
(4)如果没有收到USB存储设备的智能卡模块发来的随机数,证明该设备是不符合系统硬件设计要求的,拒绝接入;如果收到随机数,则进行冲击一响应认证。如果没有通过认证,证明该终端为非信任终端,智能卡模块拒绝该设备接人终端。
(5)终端读取智能卡模块存储的身份文件,并读取该设备的各项物理信息,将身份文件、物理信息及终端所处的信任域信息发送至认证服务器进行认证。
(6)服务器认证软件接收到终端发送来的信息后,将标识文件解密,得到授权区域、授权日期、授权人、授权有效期等信息。
①将解密得到的物理信息与终端发来的物理信息作比对,如果不相符,证明该标识文件是被复制或伪造的,向终端发送未通过认证的指令。
②如果①中认证通过,将解密得到的信任域信息与终端发来的信任域信息作比对,如果不相符,证明该移动存储设备处于非授权区域中,向终端发送未通过认证的指令。
③如果②中认证通过,将解密得到的授权有效期与当前日期做比较,如果当前日期处于有效期内,向终端发送通过认证的指令;如果当前日期处于有效期外,向终端发送未通过认证的指令。
(7)终端接收认证服务器发来的指令,对USB设备执行允许或禁止接入的操作。如果USB设备被允许接入,则智能卡模块将设备持有者指纹提交给认证服务器,作为已授权访问记录记入日志中。
(8)转至(2)继续探测新设备。
5安全性分析
本方案通过在移动存储设备中加入指纹识别模块和智能卡模块,更安全可靠地解决了设备持有者身份认证问题以及移动存储设备的“匿名性”问题,通过引入身份文件,实现了移动存储设备的实名制认证。结合智能卡的相关技术,本方案从根本上解决了移动存储设备与接入终端问的双向认证问题,构建了双方互信的安全传输环境。
基于信任域的划分对设备进行授权管理,使整个系统能够同时对终端和移动存储设备提供接人控制,有效地阻止了安全威胁的传播。在方案的具体实现上,有如下安全性考虑:
(1)移动存储设备采用指纹识别的方式认证设备持有者身份,确保其身份的合法性;采用三重DES对称加密的方式对终端进行认证,确保终端为运行认证软件的合法授权终端,有效地避免了强力破解的可能性。
(2)移动存储设备的物理信息各不相同,身份文件也是唯一确定的。身份文件采用三重DES加密的方式,加解密过程全部在服务器端认证软件中完成,密钥不出服务器,避免了密码被截获的可能性。身份文件存储于智能卡模块中的安全数据存储区,受智能卡模块软硬件的双重保护。方案保证了身份文件的唯一性、抗复制性和抗伪造性,任何非授权设备都无法通过破译、复制、伪造等人侵手段冒名成为授权设备。
(3)认证服务器与隔离区中的终端相互隔离,只能被信任域中的终端访问,保证了认证服务器的安全。
(4)双向认证通过后,被授权的移动存储设备将设备持有者的指纹记入授权服务器的访问日志中,以便日后能够准确地确定安全事故责任人。
综上所述,通过指纹识别技术、智能卡技术、密码学技术、芯片技术和嵌入式系统设计技术实现了安全可信的移动存储。
关键词:校园门户平台;图书馆管理系统;统一身份认证;信息门户集成;共享数据集成;远程数字资源
中图分类号:TP393.07文献标识码:A
文章编号:1004-373X(2010)04-122-03
Research on Integration of Library Management System
Based on Campus Portal Platform
DAI Ying
(Network Information Center,Chang′an University,Xi′an,710064,China)
Abstract:Integrated library management system is focus of the work in building a digital campus,which is based on the portal platform and included uniform identity authentication integration,data integration and information sharing portal integration.Three major areas of the integrated objectives and methods are described,and the realization of practical technology solutions to access remote digital resources for which enable the staff to live in out of school through uniform identity authentication to visit it,which provide a reference for someone who engaged in this domain research work in other colleges and universities.
Keywords:campus portal platform;library management system;uniform identity authentication;integrated information portal;sharing of data integration;remote digital resource
0 引 言
校园门户平台是基于计算机网络技术的一种管理平台,它以一种全新的信息服务形式向高校内各种不同类型的群体提供个性化的服务。它将学校从环境(包括网络、设备、教室等)、资源(诸如图书、讲义、课件等)到活动(包括教、学、管理、服务、办公等)逐步数字化,形成一个数字空间,通过设立统一的用户管理、统一的资源管理及统一的权限控制,学校建设成一个超越时间、空间的数字化校园[1]。
高校图书馆将为高校教学、科研提供文献信息保障的学术性机构,在高校和社会上占有重要地位,尤其在数字化校园建设蓬勃发展的今天,图书馆以丰富的文献信息资源、多样的载体服务形式,进一步奠定和加强了其作为学校信息资源中心的地位[2]。因此,基于校园门户平台图书馆管理系统的集成工作成为当前数字化校园建设工作中的重要组成部分。在此针对我校图书馆管理系统在门户平台中的集成与功能实现方面进行相关的研究与探索,希望能对大家有所启示。
1 我校图书馆管理系统概述以及其集成工作的必要性
我校图书馆文献资源丰富、载体形式多样、专业特色明显,除拥有大量馆藏图书、期刊合订本、中外文现刊外,还拥有超星、北大方正等20多万种电子图书,同时还提供给读者万方数据资源、中国期刊网、中文科技期刊数据库、EI(工程索引)、UMI(美国博硕士论文全文数据库)、ASCE(美国土木工程师协会数据库)、OSA(剑桥科学文摘)等20种国内外著名中外文数据库系统。
图书馆管理系统架构为B/S+C/S结构,其操作系统版本为Linux AS 4.0,数据库版本为Oracle 9.2.0.4,业务系统开发语言:B/S部分为 PHP,C/S部分为 VB和VC,其Web网络环境基于校园网,数据库网络环境为图书馆内网。由于其Web网络环境基于校园网,因此外网用户无法登录该系统了解本人书刊借阅情况,影响其及时办理书刊的预约、续借等手续;同时也无法进入中外文数据库及电子图书资源库享用丰富的远程数字资源,这对于居住在校园外或出差在外的教职工的工作生活造成一些困扰和不便。基于校园门户平台的图书馆管理系统的集成研究将着手解决诸如此类的问题,以期数字化校园建设工作更好地服务于广大教职员工。
2 图书馆管理系统集成内容
基于门户平台的图书馆管理系统集成包括统一身份认证集成、共享数据集成和信息门户集成三部分。
(1) 统一身份认证集成。通过确定统一身份认证系统的用户权威身份信息,建立起统一的认证平台,实现图书馆系统嵌入学校信息门户中,通过单点登录直接进入。届时用户通过统一身份认证帐号(校内教职工工资编号/学生学号)登录信息门户后,无需输入图书馆系统帐号、密码便可直接进入图书馆系统进行相关业务系统的使用。有效避免了用户输入不同访问网址,记忆不同用户名及密码所带来的不便和困扰[3]。
(2) 共享数据集成。共享数据集成是图书馆系统集成的核心所在,其集成目标为:实现公共数据库自动从图书馆系统中抽取相关个人信息,并通过数据集成工具集成到公共数据库中,使公共数据库平台成为全校范围内惟一全面的数据源;数据集成后,提供个人图书馆信息门户上的展现或供其他业务部门使用[4]。如图1所示。
图1 共享数据集成过程图示
图书馆系统开放公共数据库需要的源视图读权限,集成方式在抽取范围上采用增量抽取;周期上采用定时同步,周期为一天;其采集方式通过数据集成平台实现[5]。
(3) 信息门户集成。基于图书馆系统实现统一身份认证及共享数据集成的基础上,通过信息门户为广大师生提供统一的、个性化的图书信息查询服务。其集成方式通过开发单独的Portlet在信息门户上直接展现个人图书借阅情况,预约图书流转信息以及图书超期预警与罚款通知等[6]。
信息门户集成的优点集中体现在基于共享数据集成实现的基础上。因此它可以不完全依赖于图书馆系统本身,一旦图书馆数据库发生故障,门户上依然能够满足用户个人图书馆历史记录的查询需求,将其所带来的不利因素降到最低点。个人图书借阅信息展示截图如图2所示。
图2 个人图书借阅信息展示截图
3 统一身份认证及校内远程数字资源访问功能实现方式
3.1 统一身份认证实现方式
图书馆管理系统Web查询部分是基于PHP开发的,因此集成方式采用“PHP客户端”集成方式。由开发人员提供PHP认证头,图书馆管理系统据此修改其登录模块。认证头程序主要校验Cookie,判断当前用户是否已通过统一身份认证并在有效的会话期内,如通过验证,则实现单点登录[7]。单点登录后,图书馆管理系统从统一身份认证中获取用户的基本信息(登录名)。为保证用户登录号码与统一身份认证平台中的用户一致,需要提供给图书馆系统认证程序接口,其具体实现步骤如下:
(1) 拷贝图书馆系统集成开发包,解开其中有关统一身份认证接口的相关程序,并放到相应的目录下;
(2) 配置客户端参数,更新client.properties中的参数:
ids.UserName=connetusername
ids.Password=connectpassword
IdentityManager.Proxy=IdentityManager:tcp-p 58000-h yourserverip
(3) 配置PHP
修改php.ini ,加入如下配置:
extensiondir = /***/***/lib
extension=libIdstarPhp.so
(4) 启动 Apache
在启动 apache前需要设置库的加载路径,如下:
export LDLIBRARYPATH=/***/***/lib
apachectl start
3.2 图书馆校内远程数字资源访问功能实现
图书馆校内远程资源访问功能实现是建立在统一身份认证集成基础上,属统一身份认证集成的一部分。长期以来居住在校外或出差在外的外网用户无法在家中或外地远程访问学校图书馆中外文数据库及电子图书资源库等校内远程数字资源,给工作、生活带来一定程度的不便,同时在某种程度上也造成资源的闲置与浪费。校园门户系统的统一身份认证集成和访问设置则实现了这部分用户对于图书馆校内远程数字资源的访问[8,9]。图书馆校内资源远程访问流程图如图3所示。
图3 图书馆校内资源远程访问流程图
用户通过配置服务器地址在校外访问门户网站,通过统一身份认证后进入信息门户展示平台,访问校内资源;信息门户平台上设置中外文数据库及电子图书资源库等校内远程数字资源栏目,并提供完成远程访问所需要的批处理脚本文件,用户解压下载下来的批处理文件,双击其中的enableProxy.bat文件,完成该地址的设置;服务器根据用户组的不同,分配相应的校内地址,使用户直接进入校内远程访问资源栏目,点击访问所需的校内远程数字资源;双击下载的disenableProxy.bat,即可取消该地址的设置,正常访问门户系统[10]。
4 结 语
基于校园门户平台图书馆管理系统的集成研究,在实现用户统一身份认证的基础上,方便了教职工及学生对图书馆管理系统的使用,尤其是图书馆远程数字资源访问功能的实现,给居住或出差在外的教职工的工作、学习、生活带来很大的便利。同时,还考虑在门户平台上增加若干控件,方便用户自行订制相关个性化服务,如将有关新书报道、预约图书、欠费预警及图书超期罚款等信息以短消息形式即时在个人门户上显示,以期更好地服务于广大师生。
参考文献
[1]林三洲.数字化校园建设漫谈[J].湖北经济学院学报:人文社会科学版,2007,4(3):153-154.
[2]沈煜,裴艳慧.信息时代高校图书馆的作用和发展[J].晋图学刊,2007(3):57-59.
[3]贺超波,陈启买,欧阳辉.数字化校园门户平台统一身份认证的实现[J].现代计算机,2008(12):25-28.
[4]孙月洪.数据交换在数字化校园中的作用与实现[J].办公自动化,2009(1):35-37.
[5]邓英.数字化校园建设中公共数据整合方案研究[J].电脑知识与技术,2008(2):589-591.
[6]宫卫涛,马自卫.数字图书馆门户集成技术及其实现[J].现代图书情报技术,2007(11): 23-27.
[7]张冲,武超,杨要科.校园网统身份认证系统的设计与实现[J].中原工学院学报,2008,19(4):68-71.
[8]张志美.数字图书馆数据集成研究[J].现代情报,2007,27(9):88-90.
关键词:医学院校,数字化校园,信息平台,整合
现代高校的发展离不开信息技术,特别是随着各高校学生人数急剧增加,新教学楼、新教室的不断扩建,教学方式的多样化等一系列因素使学校对多媒体、网络教学、办公应用系统等信息化技术依赖越来越大,数字化校园建设已经成为各高校信息化建设的重要任务之一。医学院校在发展过程中也面临着同样的问题,需要对学校的教学、科研、管理等信息资源进行全面的整合,以实现统一的管理。
一、数字化校园的涵义及意义
在传统观念中数字化校园一直被认为只是由一个一卡通系统和多个应用系统组成,例如各种办公系统、多媒体教学系统、人事系统和财务系统等。但由于各个系统中的信息,数据保存格式以及操作人员的权限设置都不一致,并且各系统由于开发商的不同很难做到统一的接口,系统间通讯困难,对于整个校园来讲只是一个个“信息孤岛”,造成大量冗余、错误的信息,因此这样的“数字化校园”只是一个狭义的概念,并不能完全发挥信息化的优势。而数字化校园真正的涵义是指以校园网络为基础,利用计算机、各种通讯手段对学校里各种办公系统、多媒体教学系统进行统一的信息化管理,包括统一的身份认证、权限控制、教学资源管理以及对人事、财务、后勤等信息系统的统一管理等。数字化校园在时间和空间上都超越传统意义上的校园,它是一个基于先进的信息化技术的虚拟校园,使现实的校园环境得到延伸[1]。
数字化校园的建设对于高校的管理和发展具有重要意义。首先,数字化校园是一个虚拟化的校园,它超越了时间和空间上的局限,使学校的跨地域业务得到有效开展,对学校建立创新型的教学模式,开放式的教育环境,多层次的管理方法都具有相当重要的意义。其次,数字化校园以网络通讯为基础,通过计算机处理大量的信息,使学校教工把一些查询、统计、计算等工作交给计算机来完成,大大降低了工作量,提高了工作效率。再者,数字化校园成功解决了学校“信息孤岛”的问题。数字化校园的成功实施,能把学校里各个分散的系统整合,实现数据的统一管理,避免出现数据的重复检索、录入。例如图书馆的图书借阅系统,里面的人员信息不需要重新录入,可以直接从人事处数据库中调用,有效解决了数据的不一致问题。
二、国内外相关课题的研究现状
“数字化”这个概念最先是由美国前副总统戈尔于1998年在美国加利福尼亚科学中心发表的题为《数字地球---21世纪认识地球的方式》(The Digital Earth:Understanding in our planet in the 21st Century)的报告中首次提到的,他提出了数字化地球的概念,此后,“数字化”名词在全球流行开来,各行各业如数字化城市、数字化校园、数字化图书馆等名词接二连三被提出。
近年来,校园数字化建设已经成为世界各国高校重点研究的课题之一。
在国外,英国信息教育技术走在前列。1998年1月英国启动了全国学习网,利用网络的高速优势把学校、科研机构、图书馆等网站连为一体,为网络教育开辟了途径。2002年,英国全国学习网的网络连接所有家庭、社区、学校、医院、社会服务以及大众媒体转播系统、单位,基本能满足学校教育、家庭教育、职业教育、终身教育和社会经济发展的需求。
国内大学信息化基础建设方面,在90年代初,建成校园网并通过CERNET建设与国际互联网连接的大学总数不过10所左右。到1999年,已经有500余所大学建设了结构先进、功能完备的校园网络。2002年,北京大学和香港大学共同启动了亚洲地区第一个国际性的高等教育信息化研究项目,对亚洲地区各国高校信息化建设、发展的最新动态和信息,进行研究。
现阶段医学院校信息化建设所面临的主要问题有:一是学校以医学专业为主,信息化意识不强,缺乏专业的信息化建设人才队伍;二是信息化建设各自为政,存在重复建设现象;三是信息化建设进程缓慢,没有建立网上自动办公系统和智能化决策支持系统。
三、数字化校园建设目标
医学院校数字化建设的总体目标是建成一个适合学校校情的数字化校园模型,即“统一平台+统一门户+多应用系统”的建设模式,从而实现校内教学、管理、科研的全面信息化、网络化。免费论文,整合。
1.统一平台是指一个高性能的、负载均衡的、可扩展易维护的、高安全的应用软件、硬件以及数据库平台。其中包括统一信息门户平台、统一身份认证平台和统一公共数据平台三大基础平台。
2.统一门户是指要建成一个统一的、开放的、能提供信息共享并能提供多种应用服务的高效稳定的门户中心。
3.多应用系统指为满足各种教学、管理、科研等日常业务的需要而提供的各种信息化软件、工具等,如教务系统、人事管理系统、财务系统、科研管理系统、学生管理系统等,这些系统从统一的数据库平台调用数据,共享规范标准格式的数据,提供统一的接口程序。
通过数字化校园的标准建设,集成现有的应用系统,在新需求下开发新的应用系统,从而实现校园的信息共享和传递,最终构建一个集教学、科研、管理、活动为一体的信息化环境,实现学校教育过程的全面信息化,从根本上提高教学质量、科研水平和管理水平。免费论文,整合。
四、数字化校园建设内容
数字化校园的建设是在现有网络基础设施的基础上对校内所有信息化资源(包括各种应用系统、数据库资源、认证系统等)进行全面整合的过程。数字化校园建设的各个环节必须互相紧扣,有计划、有步骤地实施,确保各个环节协调发展。医学院校的数字化校园建设可以结合自身特点,发展几项特色项目,如虚拟实验室、虚拟医院、虚拟手术台等。
数字化校园的总体架构设计包括基础设施建设、统一身份认证平台、应用系统建设
1、基础设施建设
基础设施建设包括基础网络平台、弱电系统和IDC数据中心建设,是建设好数字化校园的基本保证,为数字校园提供最底层的网络、硬件支持。
(1)基础网络平台、弱电系统
(2)IDC数据中心
IDC数据中心是由一系列的硬件、软件、相关网络组成的整体,它作为全校数据流转与交换的中心,主要包括主机系统、存储系统、网络系统、安全系统等硬件设备和数据库系统、应用服务器、目录服务器数据汇聚设备。
2、统一身份认证平台
在数字化校园中,各个系统之间经常需要相互协作才能完成一项任务。但对于同一个用户来说,如果不同的系统都要不同的登录信息,并且要重复登录,这就给用户带来极大的不便,也给系统加重了负担。而所谓的统一身份认证就是对校内各个不同的应用系统采用统一的身份认证系统,为各应用系统的集成奠定基础。
目前高校身份认证管理存在以下问题:
(1)由于目前校内各个系统都是分散管理,因此就难以统一管理用户的账号,这就难免会对一些账号信息进行重复管理,增加管理成本。免费论文,整合。
(2)账号的使用没有落实到实名,一个账号存在多人使用的现象,在出现安全事故时难以明确责任,因此在安全管理上存在漏洞。免费论文,整合。
(3)不同应用系统之间的认证模式和规范不同,安全等级划分标准也不同,不便于全校的安全管理。免费论文,整合。
(4)一个用户如要使用多个应用系统,就必须记忆多套账号信息,并需重复登录,给用户的操作带来极大的不变[2]。免费论文,整合。
3、应用系统建设
应用系统主要有一卡通系统、数字图书馆、教学系统、学工系统、人事系统、财务系统、精品课程等。
(1)一卡通系统
一卡通是数字化校园建设的重要内容,是校内各系统连接的枢纽。校园一卡通以校园网为基础,集成各种计算机网络设备、数据终端,以IC卡为载体实现校园管理的信息化。系统建成以后,将取代以前校内的各种卡证(如借书证、饭卡、工作证、学生证等),真正实现校内工作、学习、生活的“一卡通”。
(2)数字图书馆
数字图书馆是数字化校园的重要组成部分,它是指运用数字技术和信息技术把处于不同地理位置的信息资源进行整合存储,并通过网络向广大读者提供多媒体信息资源的虚拟化图书馆。数字图书馆不受地域空间的限制,能最大限度地共享各地信息资源。
(3)教学系统
教学系统主要有教务管理系统,它管理的对象主要有学生信息、教师信息、管理人员信息以及教学资源信息(如教室、多媒体等)。而它主要实现的功能有:排课、选课、考试安排、教学测评等[3]。
购物车(0)
