数字身份

数字身份（共10篇）

数字身份 篇1

一张IC卡、一个形似手机的识读器, 再加上一支新型耳标, 就能记录下一头家畜从出生到屠宰各个养殖环节的信息, 并上传到网络保存以备随时追查, 相当于给家畜办了一张“数字身份证”。昨天, 记者从北京市农业局获悉, 截至目前本市存栏的近300万头家畜, 都有了这样的“数字身份证”。

每个家畜耳标上的编码都是唯一的, 这就决定了“数字身份证”的唯一性。动物检疫员只需将IC卡插入识读器, 像刷卡一样在牲畜的耳标旁一刷, 该牲畜的饲养地、饲养人、每次防疫的情况等, 便全部显示在了识读器上, 将本次检疫的信息更新后, 再按动传输键, 几秒钟的工夫, 这些信息就“飞”到了农业部及市农业局的数据库里。

经过分类合并, 这样的数据如今已存储了近15万条, 涉及全市各个养殖场区的287万余头牲畜, 涵盖防疫、检疫、监督各个环节。"以前都是手写防疫档案, 防疫员不可能对几万头猪、羊进行完备的信息记录。如果畜产品出现问题, 就得从一大本一大本的信息记录簿里‘大海捞针’, 往往会因此贻误控制、消灭险情的最佳时间。市农业局相关负责人介绍说, 如今全市上千名基层检疫员, 人手一台识读器, 通过电子数据, 不出几分钟就能准确查出牲畜的出产地和责任人。

即使牲畜进了屠宰场, 这些数据依旧跟随, 直到其进入农贸市场、各大超市。一旦发生食品安全问题, 将市场的进货记录和牲畜的“数字身份证”一对照, 照样能够很快溯源。

每头新饲养的牲畜都要佩戴新耳标, 形成新的“数字身份证”。截至目前, 本市已累计发放耳标近800万枚。耳标中的识别信息, 全由国家统一发放。信息不匹配, 就无法进行正常的检验检疫、屠宰上市。这也使得企图仿制、假冒动物检疫合格证的不法商贩, 没了用武之地。

数字身份 篇2

您的网络身份证：数字证书

数字证书就是互联网通讯中标志通讯各方身份信息的一串数字，提供了一种在Internet上验证通信实体身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构——CA机构，又称为证书授权（Certificate Authority）中心发行的，人们可以在网上用它来识别对方的身份。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。

它以数字证书为核心的加密技术（加密传输、数字签名、数字信封等安全技术）可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性及交易的不可抵赖性。使用了数字证书，即使您发送的信息在网上被他人截获，甚至您丢失了个人的账户、密码等信息，仍可以保证您的账户、资金安全。目前国内中，CA买卖网的“MMEC可信电子合同订立系统”有着先进的数字证书互联互通技术，可采用PKI领域专有技术对缔约人持有的不同数字证书进行互认。

数字身份 篇3

关键词：文化身份认同；跨文化传播；数字时代；文化间性

中图分类号：G206文献标识码：ADOI：10.3963/j.issn.1671—6477.2009.04.030

在跨文化传播中，文化身份认同决定了传播主体的立足点并影响其传播实际，对之讨论具有理论和实践意义。数字技术不仅改变着传播实践，也影响着传播理论建设。对于数字时代跨文化传播中的文化身份认同问题的探讨，不仅要认清文化身份认同作为元问题的历史演变和现状，还需进一步认识到数字技术带来的理论和实践上的改变。

一、身份认同研究中的主体性发展及其组成要素

文化身份认同形成和演变的历程可以追溯到早期人类社会巫术信仰和仪式的孕育阶段。随着民族国家概念的确立，伴随着血缘关系和宗教信仰影响力的依然存在，民族国家开始成为文化身份认同的首要单元。至20世纪70年代，全球化进程加剧，民族国家和家庭的地位式微，文化遗产、传统伦理价值、社会理想、人生观和世界观对文化身份认同的影响弱化，种族、性别、族群作为文化身份认同的基本单元得以强调，大众媒介开始成为身份认同的主要来源。

在哲学意义上，身份认同问题可以追溯到一个“我是谁”的元问题，这个恒久问题从前苏格拉底时期到现代都有着追问的意义。进一步说，讨论自我和主体性的问题是身份认同问题的核心，尽管问题的答案在不同时期表现出多种维度。启蒙时代，既有笛卡尔的“我思故我在”的理念，将思想和身份视为同样实体性的存在，认为自主的主体能在其一生中都对自我的身份确定不移；也有洛克否定身份是与先验自我同样的实体性的存在的思想，认为个人的身份有赖于记忆而得以延续。现代哲学中，主体是固有的实体，自我是其内核。在自主的、先验的、普适的自我基础上形成的个体身份是抽象和固定的。在社会学意义上，主体性是个体与各种社会关系的互动中确立的。“他者”成为认识自我的重要参照。如在马克思主义看来，主体是特定历史阶段的产物，不同的主体由于处于不同的阶级地位会形成不同的认知、观念和行为方式。后现代哲学中，主体性则被完全消解，身份认同变得混乱。

理清身份认同问题，可从其组成要素或来源着手讨论。这包括：自然条件、生理心理机制和社会文化机制。自然条件如地理位置，汤因比的“挑战一回应说”大致可以说明自然条件对文明的影响，它对于塑造身份认同有着明显作用。例如我们在讨论固定印象时，以地域特征来区分的身份认同，如“南方人”之类的固定印象。生理机制如身体特征、血缘等，性别指向可以归于此类。心理机制则指个体的心理发展和社会化过程中人格的形成，这是一个动态的过程，在经历吸收成长和调整变化后而趋于稳定。社会文化机制是文化身份认同的最主要来源，包含了诸多宏观层面上的因素，如语言、文化遗产、价值观念体系、大众媒介等。这些来源对文化身份认同的影响并不是独立的，而是彼此勾连，相互影响。

由此，上述身份认同的变化发展可归宥于这三大来源的讨论范围之中。本文重点讨论的是社会文化机制层面。

二、同一与差异力量作用下的跨文化传播实践的不均衡发展

在跨文化传播中，同一性和差异作为两种基本力量，对文化自身的形成和发展起着始终的推动作用。同一保证了文化特质的“共享性”，形成可以与他文化相互区别的文化身份认同。差异性则是文化交流的原动力。在差异性的前提下，文化间才有了相互交流的必要和意义。辩证来看，这两种力量同时存在，在特定的历史时段，对于具体的文化实体，这两种力量有着侧重点，从长期来看则存在着起伏和消长。文化身份问题在文化实体内部的建构如果说是一个过程的话，那么最后的目的是要在与异文化交流中保持一个存在的意义，在此意义上，对内强调的多是文化的同一，对外则强调差异性。

尽管文化精神作为文化身份认同的重要核心对跨文化传播活动有着引领作用，我们无法将跨文化传播活动从社会实践中剥离出来，单纯讨论其在精神层面中的同异和融合。从宏观的角度来看，跨文化传播活动在人类历史上从未停止过。但由于前现代时期社会生产力的相对低下，跨文化传播的深度和广度无法同现代相比。各文化间传播活动的深入很容易让人推理出跨文化传播活动中同一力量要超过差异力量，产生“天下大同”的梦想。但现实却清楚地告诉我们历史不会“终结”，文化冲突接连不断，文化身份问题凸显。对于每一个具体的国家或文化实体来说，推广自身的文化价值观是经常的诉求，因此造成的客观现实是文化间的差异广泛存在。这不仅是由于历史传承的原因，还由于现时国家的政治利益和经济利益在影响着跨文化传播的具体活动，从而造成利益诉求带来的分割和相互排斥。文化霸权主义和文化原教旨主义总是有着存在的空间。

从历史角度来看过去的百年，在东西方的文化交流中，西方占优势和引领地位，在文化认同中起着范本的作用。文化本无优劣，西方文化的强势与其强调“科学”与“理性”的内核分不开，而这又与其时的社会发展相互促进，影响至今。从时空的角度来看，资本从本性上倾向于超越所有空间的限制，为创造交换的物质条件提供一个必需的结果，就是用时间的手段来打破空间。当我们进入一个所谓的“全球化”时代时，这一时代特征是用消灭时间差距的传播手段把世界压缩成一个没有地方性的平面，用一个时间来代替多个空间。这种时空关系由于传播权力分配的不平等，掌握着世界性传播网络资源的发达国家和地区的时间成为传播当中的世界时间，在某种意义上，也就等于取消了其它文化的存在。这成就了大众媒介在当今时代的核心地位，改变了传统的社会格局，出现了新的“文化帝国主义”。如媒介帝国主义所带来的偏狭的传播机制：跨国传媒公司的高度垄断和集中造成跨文化传播的“不对称性”以及文化同质性构成对文化多样性的威胁。20世纪70年代起，发展中国家就把建立“信息传播新秩序”与建立“国际经济新秩序”视为同等重要的问题，要求改变国际信息流通不平等、不均衡和不对称现象，但收效甚微。这样的抗争可以理解成发展中的民族国家在建立身份认同之时，发现其社会基础已被动摇，难以建立可区别于发达国家的价值诉求。

究其原因，上述问题的存在是由于跨文化传播活动中盛行着二元对立的思维模式，带来了认同的危机。这种危机不仅存在于不发达国家地区，同样存在于西方发达国家。以20世纪后期欧洲对日本(技术东方主义)的恐慌为例，日本的崛起是在现代工业社会的内核，如效率等基础上，辅

之以日本文化中的“忍者”精神。但它成为潜藏在西方潜意识中的危险形象，因为它破坏了西方和东方、现代和前现代单一的稳定关系。《东方学》的作者萨义德也分析过铭刻于帝国主义和殖民主义的论述和制度中，将“东方”展示为认识客体和权利客体的过程。

在现代性的建设中，技术一直是西方现代性的核心，技术被看作是通向未来的钥匙，西方担心失去自己的文化主导而极力维护自己的技术霸权。尽管存在数字鸿沟，数字技术在客观上提供了“去中心”的更大可能性，这势必会挑战所有处于中心地位的权威，从而带来文化身份认同的新变化。

三、数字技术的特点及其对跨文化传播的影响

如果说大众媒介时代已经给西方带来了身份认同上的危机，那么数字时代中，这些危机是将得以消除还是会被加深，对之讨论还需结合数字技术本身的特点及其对社会实践的影响。

数字技术带来的变化，本文认为主要表现在两方面：首先，个体对群体的挑战，导致群体主义的瓦解和威权控制的变形。数字技术的重要特征是改变了人们使用信息的传播方式。信息在储存、提取、复制等方面与传统“原子时代”已很不相同，时空的偏向不再是传播的主要限制。理论上，个体在传播权上获得了较之以往要大得多的传播空间。可以经过判断获得更的多信息，并重组成自己的信息源，从而在一定程度上摆脱对群体的依附。但同时必须看到，数字时代的控制不会消失。数字技术在个体使用层面上可以迅速推广并广泛使用。但对于核心技术的管理、维护、升级等方面却大多依赖于集团的力量。因此从发展的角度来看，虽然个体对数字技术的需求可以形成市场，从而促使利益集团推动数字技术的发展。但这势必又会加重个体对利益集团的依赖和被利益集团控制的存在。利益集团的控制已不同于传统社会中的直接和粗暴，而转向制造个体的部分“需求”，迎合受众，使其获得“满足感”。威权控制变得间接而温情。

其次，个体原子化的混乱造成经济利益纠结下的社会联合，重现资本的控制。个体的复杂性和不确定性，以及对群体依附“消失”后产生的“自由快感”，会造成身份认同的混乱。但同时，人的社会性决定了身份认同具有相当的吸引力。在自由和依附的张力之下，利益为主导的市场成为广泛被接受的主导力量。大众媒介时代的“注意力经济”模式使得个体无需直接付出资源，就能参与到媒介生产流程之中。形成新的媒介逻辑，即信息的实质常常服从于展示方法，服从于它在传播过程中的增值。消费主义变得更加流行，在其遮蔽下，利益集团最终还是获得了经济利益和控制权。数字时代，由于传播方式的改变和多元传播渠道造成传播效果的不确定性，传播局面由传统的自上而下的“领唱”转换成由下而上的“合奏”。从思想上来看，普适性的价值观虽不再处于统治地位，但不至于被颠覆。自由、平等、个人尊严等精神呈个体化，“理性”作为基本精神不会被湮灭。强调和包容个体发出声音的权利，是凸显主体精神的前提之一。从传播实践来看，从个人电脑到手提电脑、手机的广泛使用，移动技术打乱了很多交流模式。激化的、去中心化过程改变了交流的些许本质。例如所谓的“读图时代”中，语言表现形式可能不再首先是文字上的，而是偏向视觉。

这些变化同样体现在东西方的跨文化传播中。如前所述，西方是现代文化交流中的标杆。但是，如果说是西方创造了现代性，那么也是现代性创造了那个叫作“西方”的想象空间和认同。在现代化成为社会发展的主流时，西方也就成了想象中的范本。一旦西方自身失去作为范本的号召力，或是其内部出现认同的危机，势必会造成其对文化身份认同的调整。

反观西方的社会发展道路，并不是坦荡无崎的。在遭遇资源破坏、信仰危机等问题后，西方开始反思自身。这种文化反思推动人们更多地探索和研究非西方文化，出现西方文化的东方转型，将东方作为“他者”来参照认识自身。从思想上而言，是要重新确定或修正文化身份认同，而为在实践上促进了当代的跨文化传播。这一趋势首先关联于从二元对立思维方式向互动认知思维方式的转变。过去，“认知”所描述的是一个可信赖的主体去“认识”一个相对确定的客体，从而将它定义、划分、归类到已有的认识论框架之中。互动认知的思维方式与主体原则相对，强调“他者原则”；与确定性“普适原则”相对，强调不确定的“互动原则”，即强调主体和他者在认知过程中都有所改变，对主体和客体的深入认识都必须依靠从“他者”视角的观察和反思。在这种间性理论原则的观照下，重新审视东西方的跨文化传播，不难发现东西方只有在互动认知之中，才能保证发展的空间和动态以维护文化身份认同的现实基础。

有人认为，西方文化中有两种东方主义：一种是否定的、意识形态性的东方主义；一种是肯定的、乌托邦式的东方主义。前者的功能是整合、巩固权力和维护现实秩序；而后者具有颠覆性，超越并否定现实秩序。前者在建构帝国主义的政治经济与文化道德权力，使其在西方扩张事业中相互渗透，协调运作；后者却在拆解这种意识形态的权力结构，表现出西方文化传统中自我怀疑、自我超越的侧面。人类面对异己文化有五种态度：排外论、包容论、平行论、互相渗透论和多元论。前三种虽客观存在，但不具有理论上的可追求性，相互渗透论与多元论接近理想状态。但相互渗透论难以实现，因为不同文化间本质上具有不相容性和不可通约性；而多元论的本质是一元论的宽容态度。当今世界具有统治性的文化是西方现代科技文化，它表面上具有理性的宽容的多元化态度，但事实是西方现代科技文化在主导全球化浪潮，溶解其它文化。因此唯一的出路就是跨文化的问性智慧，即将他种文化当作是另一个自我，相互沟通、理解、渗透、建构，激发各自的创造力。

研究文化身份认同的具体方法，本文赞同一种“反思性”研究方法，即借助文本或表征的分析，了解社会本相和情境的存在特质，或追寻他们的形成过程。虽然在数字时代，复制技术使信息的获取和散发变得容易，文本呈“碎片”状，为追寻本相增加了难度，但不断地“反思”自我，以及对过程的剖析，有可能客观全面地认识真我和他者，这对个体而言是颇具操作性的可行方法。

四、结语

从文化身份认同理论的发展和现实演进来看，在数字时代，文化身份认同走向个体化，给主体带来更大的自由。宏观上，文化间性获得了更大的发展空间，也具有了不同以往的重要性。从技术上说，后结构主义和数字技术存在相关关系。差异的崇拜开始出现，我们共同的东西可能就是没有任何共同之处。差异性哲学导致文化身份认同的加强。但同时，数字技术也能造成霸权而削弱文化身份认同中的个体性。文化身份认同问题随社会发展变化具有持续的讨论意义。

[参考文献]

[1]石义彬.文化身份认同问题的历史和现状分析[M]//中国媒体发展研究报告：2007年卷.武汉：武汉大学出版社，2007:182-204.

[2]陈卫星.跨文化传播的全球化背景[J].国际新闻界，2001(2):11-14.

[3]车英.冲突与融合：全球化语境下跨文化传播的主旋律[J].武汉大学学报：哲学社会科学版，2004(4):570-576.

[4]莫利.认同的空间：全球媒介、电子世界景观和文化世界[M].司艳，译.南京：南京大学出版社，2001:227.

[5]乐黛云.西方的文化反思与东方转向[DB/OL].[2009-01-26].http://www.chinese-thought.org/shll/QQ6437.htm.

[6]周宁.走向“间性哲学”的跨文化研究[J].社会科学，2007(10):162-169.

[7]王明珂.反思性研究与当代中国民族认同[J].南京大学学报：社科版，2008(1):55-67.

基于数字水印的身份认证技术研究 篇4

“协同工作”的概念日益受到重视,其重要的原因是项目规模不断扩大,仅靠两三个人的力量已无法胜任。而要很好地实现协同工作就必须有相应的软件支持。在Office的各个组件中,已经开始加入了“协同工作”的功能,在Visual Studio.NET里也引入了相应的功能,但这些仍然是基于C/S模型的“协同工作”。P2P技术实现的协同工作是无需Server支持的,而且同样可以组合成Workgroup,在之上共享信息、提出问题、商讨解决方案等,提供更好的“协同工作”能力。

通信是协同工作得以实现的基本保障,通信的实现往往是分层的,根据国际标准化组织的开放系统互联模型的分层原则,我们认为协同工作的应用中主要成员有制作者、消费者和管理者[1]。通常,协同工作由少量制作者组成,他们是行为的发起者,而消费者数量较大,他们仅仅是被动的接受行为,管理者除负责协作系统的日常维护外,必要时可以控制整个协作系统。

本文提出利用数字水印技术,在发送的信息中嵌入与双方信息及传输内容相关的水印,可以防止第三方伪装成通信的任何一方进行欺骗行为,同时也能保证信息的完整性。

2 数字水印的认证原理

数字水印[2]是信息隐藏的一种方法,它是利用载体中的信息冗余,在不破坏或尽量少破坏原始载体的情况下,将信息隐藏其中。数字水印一般可分为:用于版权保护的鲁棒水印(Robust Watermarking)和用于防篡改的认证水印(Authentication Watermarking)。

现有的认证水印算法很多,主要包括易损水印和半易损水印两大类。易损水印[3]主要用于防止对原始信息的任何篡改,包括叠加噪声,滤波,有损压缩等等,因而可防止对原始信息的任何仿造。半易损水印[4]结合了易损水印和鲁棒水印的相似,半易损水印可以容忍一定程度的施加于嵌入了半易损水印的图像上的常见信号处理操作,如噪声叠加,有损压缩等。与易损水印相似,半易损水印具有定位篡改区域的能力。基于数字水印的认证系统通常包括三部分:水印的产生,水印的嵌入和水印的检测认证。认证水印系统的一般结构可用图1来表示。

认证水印系统首先利用一定的算法将来自宿主图像或外界的信息转变成水印信号,通过嵌入算法将其嵌入宿主图像i中,得到含有水印的图像I。其中i和I在人的知觉上没有明显差别,也就是不能损坏i的使用价值。将含有水印的图像I经过信道传输到信宿端,通过水印检测对接收到的图像进行认证,得到检测结果。检测时,要求仅仅通过可能被篡改的图像II,或者再加上水印信息w,即可判断图像II是否遭受到篡改,从而能检验其完整性,在实际应用中,往往在处理过程中,还需要使用密钥。

3 基于JXTA平台的数字水印系统认证方案

3.1 水印的嵌入与提取

由于目前数字水印的载体以图像居多,因此我们假设P2P协同工作的合法用户都具有能表明身份的图像,如徽章,印章等,而且考虑到P2P的动态性,为了加快水印处理速度,提高工作效率,我们在方案中采用直接在图像的空域嵌入水印的算法。原理如图2。

希望加入P2P协同工作的节点将协议的信息摘要作为水印信息嵌入到数字印章中,用于协作关系建立时的身份验证,采用的是对称的盲水印方案。如果直接采用对称水印技术,会存在一些问题,因为对称水印方案中水印嵌入的密钥同样用于水印检测,如果攻击者窃取了水印嵌入密钥,他就可以用该密钥来检测、甚至除去信息中的水印,为了避免这种情况的发生,我们在整个通信过程中采用非对称密钥体制予以辅助。非对称密钥体制是指通信双方不再共享相同的密钥,而是各自拥有一对密钥,一个“公钥”,在网络上公开给其他节点,一个“私钥”,对外界是保密的,私人拥有。加密和解密使用不同的密钥,所以不需要安全的信道来传送密钥,而只需要利用本地的密钥发生器(比如PGP)产生。因为有两对密钥,可以对嵌入水印的信息进行两次加密,弥补了对称水印技术方案的不足。

本算法采用非对称密钥体制,设协作的发起方,即制作者为P,其公钥为Kpv协作的接受方,即消费者为C,其公钥为Kcu,私钥为Kcv。双方的ID号可以用JXTA平台的group.getPeerID()函数获取。

1)第一步由制作者P进行处理,如图3所示:

制作者P生成一随机数a,利用自己的私钥对其签名(加密),即EKpv(a)然后用消费者C的公钥进行加密得到A,即A=EKcu(EKpv(a)),将A发送给消费者同时记录时间tp0和a。

2)第二步由消费者C进行处理,如图4所示:

消费者C收到A,利用自己的私钥进行解密,即DKcv(A),然后制作者P的公钥进行验证签名(解密)得到S,即S=DKpu(DKcvA));将s和自己的Peer ID进行Hash运算得到Q,即Q=h(s,PeerID),再对Q用消费者的私钥签名(加密),用制作者的公钥加密得到B,即B=EKpu(EKcv(Q));把B发送给制作者,并记录发送时间tco。

3)第三步由制作者进行处理,如图5所示:

制作者P收到B,并记录接收到的时间tp1,对B进行解密和验证签名,得到q,即q=DKcu(DKpv(Q)),为了不占用过多时间,必须设定一个时间的阈值,这里我们设阈值为Δtp为制作者允许的最大时间间隔,我们可以表示如下:

then(下一步操作)

else中断此次通信

4)第四步由制作者P对将要传输的协议内容(设为G)进行处理,如图6所示:

(1)计算G的MD5值,作为水印信息w;

(2)用q作为水印密钥,对水印信息,加密得到Wq;

(3)对载体图像I(在本算法中我们假设是表明用户身份的数字公章图像)作预处理,将Wq嵌入,得到IW;

(4)将IW插入到要传输的G中,得到GW,对GW进行加密得到GW*,即;

(5)将GW*发送给消费者。

5)第五步由消费者C进行处理,如图7所示:

消费者C收到GW*,对其进行解密,得到gw,即,并记录收到GW*的时间tc1,为了不浪费资源,必须根据网络情况设定一个时间的阈值,这里我们设阈值为Δtc为消费者允许的最大时间间隔,我们可以表示如下:

f(tc1-tc0≤Δtcandw=w')then(建立协作关系)

else中断此次通信

其中通过水印提取,得到Wq,利用Q从Wq中提出W,而W'则是计算所收到的文件内容的信息摘要得到。

在协议中嵌入水印的基本算法如图8所示。

先用MD5算法计算出要传输信息的信息摘要W,把贾作为水印信息,发送方产生一随机数a,用散列函数生成密钥q,用q对水印信息进行调制得到Wq,再将代嵌入到经过处理的载体图像(采用能表明用户身份的数字公章图像)上去,得到含水印的图像IW。这里的预处理是指经过某种变换域变换,如DTF,DCT和DWT变换。

双方的身份确认后,就可以进行协同工作,因为本文重在解决可信协作关系的建立问题,具体方法这里不再叙述。

3.2 水印的认证

在本算法中因为采用传输协议文件内容的信息摘要作为水印信息嵌入到数字公章图像中,它可以有效防止篡改,文件内容稍加改动,其MD5值就会与水印信息中的原值不同。协作的双方通过对提取出的水印进行检测,就可以判断出协议的内容是否被篡改了,同时可以确认对方身份。

比如多个节点之间要建立协作关系,协作的发起方向合法的协作者传送文件,对外是保密的。发起方相当于制作者P,合法协作者相当于消费者C,若有非法用户想窃取该机密文件(相当于攻击者E),他用不法手段窃取了合法协作者的私钥Kcv,伪装成合法协作者(消费者C),然后他截取了P发送过来的A,用合法协作者的私钥Kcv和发起方的公钥Kpu,可以解密得到b,但是他不知道该用于的Peer ID,因此无法获得正确的Q,设其生成Q',当P收到Q',解密得到q',然后他再用正确的ID和a进行Hash运算,显然这个值不等于q',此时,P就可以知道对方不是他要通信的对象,攻击者E伪装为合法的协作者失败。

若攻击者E想伪装成制作者P,向合法协作者提供虚假资料进行欺骗,同样,攻击者先截获合法协作者所生成的Q,直接将Q作为水印信息,但他不具备P的私钥Kpv,合法协作者C对接收到的GW解密后,计算得到的W不可能和W'相同,即合法协作者会认为信息无效,攻击者伪装成协作发起者失败。

该算法还可以防止不可否认性,即协作发起者P否认信息是由他发出的,以及否认资料是由他所提供的。因为C可以向公证机构出示P的随即数b和其ID,计算q,通过水印检测算法利用q可以把水印提取出来,从而验证传输的信息中存在与P对应的水印,这就说明随机数b确实由P生成,这样P就不能否认其之前的行为。因此协作的发起者必须对自己的行为负责,从而维护协作双方的利益。

参考文献

[1]张铁军,张玉清,战守义,张德华.Peer-to-Peer典型应用安全需求分析[J].计算机工程,2004,31(20):56-58.

[2]WANG Xian pei,YOUWenxia,WANG Quan de.A solution to electronic stamping for documents[A].Proceedings of International Sympo-sium on Future Software Technology.Wuhan,2002.

[3]Katzenbeisser S,Petitcolas F.信息隐藏技术——隐写术与水印[M].吴新秋,译.北京:人民邮电出版社,2001.

数字身份 篇5

文章来源：http://blog.sina.com.cn/s/blog_8747c67f01013ui5.html新浪博客

身份证号前6位代表的行政区域

北京市|110000,天津市|120000,河北省|130000,山西省|140000,内蒙古自治区|150000,辽宁省|210000,吉林省|220000,黑龙江省|230000,上海市|310000,江苏省|320000,浙江省|330000,安徽省|340000,福建省|350000,江西省|360000,山东省|370000,河南省|410000,湖北省|420000,湖南省|430000,广东省|440000,广西壮族自治区|450000,海南省|460000,重庆市|500000,四川省|510000,贵州省|520000,云南省|530000,西藏自治区|540000,陕西省|610000,甘肃省|620000,青海省|630000,宁夏回族自治区|640000,新疆维吾尔自治区|650000,台湾省(886)|710000,香港特别行政区(852)|810000,澳门特别行政区(853)|820000

数字身份 篇6

关键词：单点登录,轻量级目录协议,统一身份认证

从上世纪90年代开始, 随着个人计算机及互联网的不断普及和发展, 信息技术的应用和普及较早地在高校得以实现, 信息化促进了中国高等教育的飞速发展, 目前信息化建设正在向高校的教学、科研、管理等各个方面渗透和 普及。学校的各个部门都不同程度的购置或者研发了相关的信息管理系统来提高工作效率, 高等教育正在走向全面信息化。

从目前信息化应用系统的建设和使用情况来看, 由于高校的信息化是一个长期发展的过程, 不同的系统建设于不同的时期, 数据或资源积累的情况、使用的深度各不相同, 随着各个部门应用系统的建设的逐步深入, 各个部门之间的信息资源难以共享, 同时已经建成的和将要建成的各种数字校园应用系统存在不同的身份认证方式, 用户必须记住不同的账号和密码以及身份。因此, 要建设以目录服务和认证服务为基础的统一用户管理、授权管理和身份认证体系, 将组织信息、用户信息统一存储, 进行分级授权和集中身份认证, 规范应用系统的用户认证方式。提高应用系统的安全性和用户使用的方便性, 实现全部应用的单点登录[1]。

统一身份认证系统是数字化校园的重要组成部分, 为各个应用系统提供集中的身份认证服务和角色权限分配 , 用户只需记住单一的用户名和密码即可访问符合自身权限的应用系统, 从而提高数字化校园应用系统的安全性。通过指定相应的集中认证技术规范, 提供统一的应用系统用户管理接口, 最终实现所有系统用户认证的统一集中化管理, 做到真正意义的集中认证。统一身份认证系统为数字化校园的所有用户提供统一的身份确认与权限交付[2]。用户通过统一信息门户实现单点登录, 整体上避免重复记忆账号和密码。同时面对用户多重帐号的现状, 建立唯一的数字身份, 以及统一的授权机制及方便、安全的口令认证方法, 让用户只要一套用户名和口令就可以使用网络上自身权限范围内的的所有业务系统, 通过统一的安全审计管理, 提高系统整体安全性。

1 统一身份认证平台建设

建立统一的身份认证中心, 实现单点登录, 一个帐号和密码, 一次认证即可访问所授权的所有信息系统。

(1) 建立统一的集中身份认证库即统一身份数据中心 , 对数字化校园信息系统所有用户提供集中和统一管理, 同时根据各个业务应用系统的认证方式的不同提供各种灵活的认证机制。

(2) 在数字化校园信息系统集中身份认证库的基础上 , 通过身份管理技术实现身份库与各个现有业务应用系统 (门户、人事、教务、 学工等系统) 用户身份信息在满足数字化校园信息系统内部业务流程的规则前提下, 实现用户信息的自动同步处理等功能。

(3) 在数字化校园信息系统集中身份认证库基础上 , 提供基于单点登录, 使得用户只需要通过一次身份认证过程就可以访问具有相应权限的所有资源。通过统一身份认证的建设, 将为数字化校园信息系统的建设, 尤其是数字化校园信息系统安全控制与管理打下良好的基础。

2 统一身份认证集成

2.1统一用户身份集成与同步

建立CA (认证中心) 和LDAP (轻量级目录协议) 服务[3], 用户经门户登录学校公共数据库平台, 从一个功能进入到另一个功能应用时, 系统平台已根据用户的角色与权限完成对用户的一次性身份认证SSO (Single Sign On)。

统一用户身份集成首先要实现在各系统中的师生身份的统一, 教师一般用教师职工号, 学生一般用学号, 建立全校统一的 身份认证 库 , 身份认证 库存储在 目录服务 器中 (LDAP), 并实现与一卡通现有的身份转换。

用户身份的集成将利用数据中心数据交换的功能从用户身份的权威数据源 (教师身份信息的权威数据源在人事管理系统, 学生身份信息的权威数据源在招生管理系统或教务系统或学生工作管理系统) 抽取到身份库 (LDAP)。

(2) 通过统一身份认证系统中用户管理实现用户身份信息的同步。

对于学校若存在某些特殊应用系统, 还可以通过统一身份认证系统进行身份转换, 如: 全校其他系统都可以统一身份认证, 但某一系统因为特殊原因不能用教师职工号或学号作为统一身份, 则系统可以为其作身份转换。

3 统一身份认证平台简单流程

如图1所示。

4 CA 认证服务器 php 接口例程

数字身份 篇7

一张IC卡、一个形似手机的识读器, 再加上一支新型耳标, 就能记录下一头家畜从出生到屠宰各个养殖环节的信息, 并上传到网络保存以备随时追查, 相当于给家畜办了一张“数字身份证”。近日从北京市农业局获悉, 截至目前北京市存栏的近300万头家畜, 都有了这样的“数字身份证”。

每个家畜耳标上的编码都是唯一的, 动物检疫员只需将IC卡插入识读器, 像刷卡一样在牲畜的耳标旁一刷, 该牲畜的饲养地、饲养人、每次防疫的情况等, 便全部显示在了识读器上, 将本次检疫的信息更新后, 再按动传输键, 几秒钟的工夫, 这些信息就“飞”到了农业部及市农业局的数据库里。

北京市农业局相关负责人介绍说:“如今全市上千名基层检疫员, 人手一台识读器, 通过电子数据, 不出几分钟就能准确查出牲畜的出产地和责任人。”

数字身份 篇8

计算机网络和信息技术的迅速发展在促进了信息化快速发展的同时也带来了诸多新的安全问题和风险。身份认证系统作为信息系统的第一道安全关卡, 是保证只有合法用户才能访问信息系统, 进行信息读写的重要措施。

传统的用户名口令认证方式实现简单、成本低, 但由于密码是静态的数据, 在验证过程中需要在计算机内存中和网络中传输, 而每次验证使用的验证信息都是相同的, 很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。因此用户名口令认证方式一种是极不安全的身份认证方式, 已无法满足当前复杂网络环境下身份认证的安全需求。随着技术的发展, 又涌现出数字证书、动态口令、智能卡、生物识别等新的身份认证技术。

目前, 数字证书技术是最成熟、最安全的身份认证解决方法。《电子签名法》的颁布实施也表明了国家对数字证书技术的大力支持。此外, 数字证书具有保密性、完整性、真实性、不可否认性等特点, 使得数字证书身份认证正在被广泛采用。

二、数字证书技术在身份认证系统中的实现

数字证书身份认证的实现需要四个部分:CA系统 (数字证书认证系统) 、身份认证系统、应用系统、客户端认证组建和USBKey。

CA系统:可使用系统自建的CA也可使用第三方CA系统, 用于完成数字证书签发和管理。

身份认证系统:身份认证系统结合数字证书加密、挑战-响应认证机制和数字签名认证机制, 对用户身份进行强认证, 并对用户登录请求进行日志管理和审计。

应用系统:只需部署配置USBKey登录页面和认证通信包, 即可由认证服务器完成对用户登录认证请求的认证和用户身份的鉴别。

客户端认证组件和USBKey:每个用户使用存有自己证书和私钥的USBKey作为身份凭证, 客户端自动安装浏览器认证组件, 与浏览器无缝结合, 登录时自动驱动USBKey。

对于互联网中的应用系统, 可采用双向身份认证技术即服务器端对用户的身份认证以及客户端对服务器的身份进行认证。这样既可以完整地解决网络应用系统中通信双方的身份认证问题, 又可以避免假冒网站或恶意服务器伪装等安全问题。双向身份认证过程如下:

(1) 客户通过客户端请求访问服务器。

(2) 认证服务器收到客户请求后, 响应请求并向未通过认证的客户发送随机数。

(3) 客户收到服务器响应, 用私钥对认证服务器端发来的随机数签名, 同时读取自己的证书并产生随机数。

(4) 客户向应服务器, 发送自己的用户证书、客户端随机数和对服务器随机数的签名给认证服务器。

(5) 认证服务器使用用户证书, 验证对服务器随机数的签名是否正确, 并验证用户证书是否可信, 通常证书是否可信需验证用户证书是否为信任CA颁发的证书、是否在有效期限内和是否被CA注销, 其中验证证书是否被CA注销需要访问CA中心提供的证书查询验证服务系统。

(6) 验证不通过则拒绝用户登录, 验证通过后服务器从客户证书中提取身份信息, 如用户名称或证书序列号等。

(7) 查询系统数据库中的用户列表, 判断用户是否为注册的合法用户, 如果是则完成服务器对客户的身份认证, 否则拒绝用户登录。

(8) 服务器响应客户身份认证的同时, 返回服务器身份证书和对客户端随机数的签名给客户端。

(9) 客户端使用服务器身份证书, 验证对客户端随机数的签名是否正确, 同时验证服务器身份证书是否可信, 其验证过程与服务器端类似。

在实际应用中, 对于那些内部网络应用系统, 可以假定服务器是可信的, 为了提高认证效率, 可以简化认证流程, 只完成第 (1) ~第 (7) 步, 服务器验证用户身份即可。

三、数字证书身份认证系统的优势

数字证书技术在身份认证系统中应用的优势体现在以下几方面: (1) 安全性高

身份认证系统通过服务器和客户端分别产生仅对一次会话有效的真随机数, 可以有效抵御网络重放攻击;

结合对数字证书的验证和对会话随机数的签名与验签, 可以有效确认用户身份的真实性;

采用高强度RSA加密算法和SHA1摘要算法实现数字签名, 可以很好地抵御暴力攻击和防止网络窃听;

实现了真正的双向身份认证, 解决了通信双方的身份认证问题。 (2) 易于部署

数字证书身份认证系统与数字系证书认证系统、应用系统在结构上相对独立, 既利于部署、管理和维护, 又利于应用系统的升级和扩展;应用系统只需部署和配置USBkey登录页面、认证通信包和认证服务器, 无需重新开发即可轻松替换原有的认证方式, 提升应用系统的安全性。

(3) 使用简单

用户数字证书和私钥存储在USBKey中可随身携带, 同时私钥不可导出, 保证了私钥的唯一性。用户使用时只需要插上USBKey, 输入口令, 无需理解复杂的CA及数字证书、数字签名概念, 也无需复杂操作即可由客户端认证组件自动完成认证。

(4) 通用性强

数字证书身份认证既支持关键信息加密以提高认证效率, 也支持SSL标准协议;既可以为单个应用系统进行认证, 也可以支持多个应用系统的统一认证和单点登录, 具有良好的通用性和可扩展性。

参考文献

[1]季鹏.张永《基于数字签名的动态身份认证系统的设计》[期刊论文]-计算机工程与设计2008 (01)

[2]吕格莉.王东.戴冀《基于数字证书技术的增强型身份认证系统》[期刊论文]-计算机应用研究2006 (08)

数字身份 篇9

数字签名是一种以电子形式存储的消息签名的方法，是密码学的主要研究领域，在实际中广泛应用。它的安全性主要依赖于密钥的保密性，但目前的网络环境总是遭到各种攻击，几乎不可能完全保证密钥安全性。为了解决数字签名密钥泄露问题，Anderson[1]于1977年ACM CCS会议上提出前向安全数字签名FSS(Forward Secure Signature)的概念:即使当前签名密钥丢失，它仍然能够保证先前签名的安全有效性。随后，Bellar and Miner[2]设计了第一个前向安全数字签名方案，主要思想是将公钥生命周期分为T个时间段，每个时间段中相同的公钥对应着不同的私钥，利用目前的私钥可以计算出其后的私钥，但不能计算先前的私钥。即使目前的私钥泄露，攻击者仍无法伪造先前的数字签名。目前已经提出了多种前向安全数字签名方案[3,4,5,6]，国内关于这方面也取得很多研究进展[7,8,9,10]。基于身份的数字签名IBS(Identity Based Signature)由Shamir[11]首先提出，主要为了解决公钥基础设施PKI(Public Key Infrastructure)的密钥管理问题，验证者只需要利用签名者的身份信息，比如姓名和邮箱地址等，作为公钥验证签名的有效性，因此无需数字证书来认证签名者的身份和公钥。文献[12]提出一种类Schnorr轻量级基于身份的数字签名方案，文献[13]利用二次剩余构造了基于身份的数字签名方案，文献[14]在通用可组合安全性框架下证明了基于身份的数字签名方案的通用可组合安全性。结合前向安全和基于身份的数字签名方案，于是提出了基于身份的前向安全数字签名方案IBFSS(Identity Based Forward Secure Signature)[15,16,17]，旨在同时解决密钥管理以及密钥泄露的问题，具有重大的实际应用价值。

混沌系统由于其对初始值和参数的极端敏感性以及良好的伪随机特性，表现出与密码系统混淆和扩散的相似特征，为密码学发展提供了新的方向，成为密码学的重点研究领域，并且已经涌现了大量的基于混沌的密码算法[18]。2003年，Kocarev等人将实数域上的Chebyshev混沌映射用于公钥加密[19]。但由于实数域上的Chebyshev多项式具有周期特性，可用三角函数代换法进行攻击，因而该算法是不安全的[20,21]。于是Kocarev等将Chebyshev多项式的定义从实数域扩展到有限域[22]，设计了基于有限域Chebyshev多项式的Elgamal式公钥加密算法(Chebyshev-Elgamal)和RSA式公朗加密算法(Chebyshev-RSA)，极大地增强了算法的安全性。

本文基于Chebyshev公钥算法，构造了一个基于身份的前向安全数字签名方案。签名者只使用当前的私钥对信息进行签名，与先前密钥无关，并且利用密钥更新算法得到后继密钥，无需额外存储空间。验证者利用签名者身份信息，即可验证签名的有效性。分析表明，本文设计的基于身份的前向安全数字签名方案具有很高的安全性和良好的性能。现有的基于身份的前向安全数字签名方案非常少，本文主要的创新之处在于首次利用Chebyshev公钥算法设计了基于身份的前向安全数字签名方案，为其研究提供了新的思路。

1 预备知识

本节将介绍所涉及到一些基础知识，包括基于身份的前向安全数字签名算法和Chebyshev公钥算法，如下所示:

1.1 基于身份的前向安全数字签名

基于身份的前向安全数字签名(IBFSS)方案主要分为四个阶段:IBFSS=(IBFSS.setup,IBFSS.update,IBFSS.sign,IBFSS.verify)，如下所示:

(1)IBFSS.setup:密钥生成算法，根据输入的安全参数k和一个周期内的时段数T，生成所需要的公共参数和主密钥。签名者身份信息ID∈{0,1}*，连接ID和T，得到id=ID‖T。将id作为签名者公钥，并根据主密钥计算初始的私钥SK0。

(2)IBFSS.update:密钥更新算法，在当前的时间段i<T时，根据当前的私钥SKi，计算下一时段的私钥SKi+1。

(3)IBFSS.sign:数字签名算法，根据当前私钥SKi和待签名消息m，计算消息的签名Sign。

(4)IBFSS.verify:签名验证算法，根据签名者身份信息id和消息m的签名Sign进行验证，以判定签名是否有效。

1.2 Chebyshev混沌映射

下面介绍Chebysehv混沌映射以及离散对数难题DLP(Discrete Logarithm Problem)和Diffie-Hellman难题DHP(Diffie-Hellman Problem)基本概念。

定义1 n为一个正整数，x∈[-1,1],n阶Chebyshev多项式Tn(x):[-1,1]→[-1,1]定义如下:

它同时可以通过以下递归关系定义:

其中T0(x)=1 and T1(x)=x。

前3项Chebyshev多项式为:

Chebyshev多项式具有两项重要性质:半群属性和混沌属性。

(1)半群属性

其中r和s是正整数，x∈[-1,1]。

(2)混沌属性

当n>1时，Chebyshev多项式具有不变密度分布和正的李雅普诺夫指数λ=lnn>0，表明其混沌属性。

为了增强其安全性，Kocarev等[22]将Chebyshev多项式的定义从实数域扩展到有限域，如下所示:

其中n≥2,P是一个大素数，可以得到:

定义2离散对数难题是指(DLP):给定y，寻找整数s，使其满足Ts(x)=y。

定义3 Diffie-Hellman难题(DHP):给定Tr(x)和Ts(x)，计算Trs(x)。

Chebyshev公钥算法基于DLP和DHP难题，它们被认为是NP难题。

1.3 Chebyshev公钥密码算法

在文献[22]中，Kocarev等将Chebyshev多项式的定义从实数域扩展到有限域，设计了基于有限域Chebyshev多项式的Elgamal类型公钥加密算法和RSA类型公钥加密算法(ChebyshevRSA)。本文需要结合使用两种类型的公钥算法，下面分别予以介绍:

1)Elgamal类型公钥算法

(1)密钥生成:生成一个随机大整数N,x和s，并且x<N,s<N，计算A=Ts(x)mod N。则所得的公钥为(x,N,A)，私钥为s。

(2)消息加密:发送方首先把需要加密的消息转换成整数m(1<m<N)，选择一个随机数r,r<N。根据公钥(x,N,A)，计算B=Tr(x)mod N,X=mTr(A)mod N，然后将密文消息c=(B,X)发送给接收者。

(3)消息解密:接收到密文消息c后，解密者利用私钥s计算C=Ts(B)mod N，恢复出明文消息m=XC-1(mod N)。

2)RSA类型公钥算法

(1)密钥生成:生成两个不同大随机数p和q，计算N=pq和=(p2-1)(q2-1);选择一个随机数e，使得1<e<，并且gcd(e，)=1;计算整数d,1<d<，并且ed≡1(mod);生成的公钥即为(N,e)，私钥为d。

(2)消息加密:发送方把需要加密的消息转换成整数m(1<m<N)，根据公钥(N,e)，计算密文c=Te(m)(mod N)，并发给接收者。

(3)消息解密:收到密文c后，接收者利用私钥d计算m=Td(c)(mod N)，得到所发送的明文消息。

2 基于身份的前向安全数字签名方案

本方案的构造结合基于Chebyshev混沌映射的Elgamal类型和RSA类型公钥加密算法:Elgamal类型算法用来构建基于身份的公钥加钥算法，RSA类型算法则用来构建前向安全数字签名方案。如前面所述，它分为以下四个阶段:

1)密钥生成阶段(IBFSS.setup)

(1)生成两个不同的随机大素数p和q，它们应具有相同的位数。计算N=pq和=(p2-1)(q2-1);

(2)确定一个周期内时间段数T，选择T+1个随机整数ei(0≤i≤T)，使得1<ei<，并且gcd(ei，)=1。计算相应的整数di(0≤i≤T)，使得1<di<，并且eidi=1(mod)。计算d'i=Tei(di+1)(bmod N),e'i=Tdi(ei+1)(mod N),0≤i≤T-1;

(3)令id=ID‖T,ID为签名者身份信息和T为时间段数，构建单向Hash函数H:{0,1}*→P,P是一个集合P={x x∈Z,1<x<N}。

签名者公共参数为PP=(H,N)，公钥即为签名者的身份信息id，私钥为(e0,d0,e'i,d'i(0≤i≤T-1))。

2)密钥更新(IBFSS.update)

(1)如果0≤i≤T-1，计算

(2)如果i=T，重新运行密钥生成算法，初始化系统。

3)签名算法(IBFSS.sign)

(1)对于消息m，计算Hash函数h=H(m)。计算

(2)计算s=H(id)，选择一个随机整数r∈P，计算sig2=Tr(h)mod P和sig3=ei·Ts(Tr(h))mod N;

(3)签名消息即为Sign=(m,sig1,sig2,sig3)。

4)验证算法(IBFSS.verify)

(1)根据签名消息Sign，公共参数PP和公钥id，验证者计算h=H(m),s=H(id)。并由h和s，计算e'i=sig3·(Ts(Tr(h)))-1mod N;

(2)验证Te'i(s)(mod N)=H(m)。若两者相等，则表示签名有效，否则说明签名无效。

3 安全性分析

(1)算法安全性

本方案的安全性主要基于大整数因子分解难题和基于Chebyshev离散对数难题。

大整数分解问题是数论中一个重要的难题，在密码学中被广泛应用。RSA,Rabin,Blum Blum Shub等密码系统安全性主要依赖于大整数因子分解难题。该问题是极其重要的，也是许多数学家一直研究的问题。本方案中N=pq,N是公开参数，p和q是秘密参数，用来计算私钥ei和di(0≤i≤T)。基于大数数因子分解难题，不存在能在多项式时间内有效算法将N分解得到p和q，因而保证了私钥的安全性。

由前面可知，Chebyshev离散对数难题(DLP)可以表述为:给定x和y，寻找整数s，使其满足Ts(x)=y。基于Chebyshev的Elgamal类型公钥算法安全性主要基于该离散对数难题，它被认为是一个NP问题。本方案密钥更新过程中，，假设当前密钥ei+1和di+1泄露，基于该离散对数难题，攻击者无法计算前一时间段ei和di密钥，因此保证了算法的前向安全性。

(2)参数选择安全性

Chebyshev公钥算法的安全性取决于Chebyshev混沌多项式序列的性质，而Chebyshev多项式Tr(x)mod N的性质由参数x和N共同决定。下面讨论这些参数的选择对Chebyshev多项式序列以及对该密码体制的安全性的影响，并给出一些参数选择的原则。

为了增加分解的难度，N的值应该足够大，因此p和q应取较大的值，两者应该具有相同的位数，但值不能过于接近。x的取值也需要足够大。当时x=0,Tr(0)(mod N)=1,0,-1,0，周期为4;当x=1,Tr(1)(mod N)=1，周期为1;当x=N-1,Tr(N-1)(mod N)=1,p-1，周期为2。由于Tr(x)mod N的周期性，的选择应该避免这样一些特殊的取值。在基于Chebyshev的Elgamal类型算法中，需要选择一个随机数r,r<N。根据公钥(x,N,A),A=Ts(x)mod N，计算B=Tr(x)mod N,X=mTr(A)mod N，在随机选取r的过程中，需要保证(Tr(A))-1mod N存在，否则无法进行解密。

4 性能分析

本方案效率主要受高阶Chebyshev多项式的函数值计算影响，它不能利用递归数列直接计算，否则算法效率非常低。有两种快速计算的方法，分别如下:

第一种方法利用Cheyshev多项式的半群性质[19]，设它的阶数为:

则，因此需要{{迭代Chebyshev映射的次数就变为:次[19]。例如假设s=234516远小于，则只需要迭代(2-1)×34+(5-1)×16=98次，极大提高了计算效率，但是这该方法并不能对任意的s作简化计算，不是通用的计算方法。

第二种是计算Cheyshev多项式的一种通用快速算法，它需要将递归公式写成如下矩阵乘积形式[22]:

从上式可知，Tn(x)的计算转化为矩阵幂的计算，然后把n表示成二进制的形式，计算复杂度为O(logn)。文献[23]利用Cayley-Hamilton定理，提出了特征多项式方法，比矩阵幂算法效率高。文献[24]对矩阵幂算法和特征多项式算法进行了优化，并提出了新的矩阵特征值算法，进一步提升其计算效率。

下面根据文献[25]中的方法，通过一个签名周期内时间段数T分别对密钥生成、密钥更新、签名算法和验证算法的复杂度计算。将本文所提出的方案和现有的前向安全数字签名方案[25]、基于身份的前向安全数字签名方案[16]比较，如表1所示。

从表中可以看出，本方案在密钥生成阶段计算相对复杂，但在密钥更新、签名和验证阶段的效率有一定的优势，具有潜在的应用价值。

5 结语

数字身份 篇10

互联网迅速演进到Web2.0时代[1], 网络应用和互联网服务渗透到人们网络生活的方方面面。现有的互联网架构以IP协议为基础将不同的网络设备以简单的方式相连接, 这种方式并没有明确地说明相连设备所代表的使用者的身份, 而用户在进行个人通信和业务的时候需要在各个互联网服务上建立自己的身份标识[2], 这种在互联网上为使用某种服务而注册的身份或账户称为数字身份标识。

众多的网络应用/服务需要用户有一个数字身份标识才能使用。传统的互联网数字身份标识管理体系中, 每个网络应用或网站都有自己的一套用户身份标识管理和认证体系, 这给互联网用户带来了很多问题[3]:用户在每个应用服务的网站上都需要注册一个用户名和密码;用户可能无法注册到自己希望的用户名;管理多个登录信息 (用户名和密码) 令人头疼, 用户经常忘记在一些不常访问的网站上注册的用户名或者密码;用户要尽量把密码设置得不相同, 设置相同时会有安全上的风险或隐患。这种数字身份标识的管理和认证体系使得互联网的使用变得复杂化, 因此亟需一种更加通用便捷的互联网数字身份管理方法。正是在这种背景下, 出现了很多数字身份管理方案和框架, 如微软的Live Passport, Google Account, SAML 认证, CardSpace和OpenID等。OpenID是一个开放的基于互联网的开放轻量级的数据身份管理系统, 它所提供的认证框架可以有效地解决以上互联网传统的数字身份标识管理和认证所遇到的问题。

2 OpenID及其特征

OpenID是一个开放的、基于URI/URL的、去中心化的、以用户为中心的数字身份标识框架[4], OpenID 1.0标准最初是由Six Apart公司的首席架构师Brad Fitzpatrick在2005年制定的[5]。它起源于方便网志的阅读者在发表评论时的认证想法, 并逐渐延伸成为一个更广泛的互联网数字身份标识管理。通过OpenID, 任何人都能够使用一个URL在互联网上用统一的方式来认证自己。

2.1 基于URL的数字身份标识

互联网最原始的身份管理是由用户自选一个字母和数字混合作为用户身份标识ID, 后来为了节省用户选择ID的时间, 服务提供者让用户用自己的邮箱作为ID来注册。与以用户名和Email作为身份标识不同, OpenID是一个基于URI/URL的身份系统, 一个OpenID身份标识是一个简单的URL, 用户在登录一个网络应用/服务的时候输入的是一个URL作为用户名。

作为OpenID的这个URL可以是一个域名/子域名, 也可以是一个网络路径, 但前提是这个URL应能够在互联网上访问到。在用户点击登录按钮以后, OpenID认证协议所做的就是证明用户真正地拥有这个URL (身份) , 在完成认证的过程中, OpenID体系不需要传输密码。拥有一个OpenID, 就可以在所有开启OpenID支持的网站享受快速通行的权利, 再也不用忍受繁琐的注册、填写用户名和密码的讨厌登录方式的折磨了[6]。

2.2 去中心化的数字身份标识管理

OpenID采用身份管理认证服务和网络应用服务相分离的方法, 和其它大多数的身份认证系统的一个基本的不同是, OpenID是完全去中心化的。最终用户可以自由地选择他们要使用的认证服务器, 甚至如果需要, 他们可以搭建他们自己的认证服务器[7], 这样, 如果一个网络应用服务网站停止运营却不会影响认证系统。

如果用户选用的OpenID服务器停止服务了, 他完全可以选用新的OpenID服务器, 所要做的只是通过修改参数启用新的OpenID服务器提供认证和身份管理。去中心化的数字身份标识管理成功地分离了互联网服务和身份管理, 以一种简单的方法实现用户认证。

2.3 以用户为中心

OpenID是一个以用户为中心的身份标识管理框架, 在使用过程中, 最终用户实际上可以独立地管理和控制其个人标识信息PII (Personally Identifiable Information) 的传播与分发。

当一个URL的拥有者在OpenID认证服务器上注册的时候, 所提交的较完备的个人资料并不会被用户所要登录到的网络应用或服务的网站默认共享, OpenID框架中提供了共享用户信息的方法。一般情况下, 在第一次通过OpenID来登录某一启用OpenID支持的网络应用网站的时候, 依然存在着PII的传递, 网络应用的后台要为每一个登录用户建立一份个人资料, 这份资料的建立要从OpenID服务器处通过OpenID属性交换标准获取必要的信息, 而用户对分发什么样的信息有着完全的控制权。例如在登录认证的时候, 你的OpenID服务商会在页面中提示并确认允许所要登录的服务所要求获取你的哪些资料。在此情况下, 用户还能很方便地在OpenID服务提供方控制个人资料的共享力度, 例如Verisign提供的OpenID服务可以根据用户的PII资料组合成不同的Trust Profile, 用于向不同的支持OpenID网络应用或互联网服务传递[8]。

3 其于OpenID 的认证流程

OpenID认证协议是目前OpenID主要的规范。OpenID认证框架下, 一个最终用户在一个启用了OpenID支持的网站上OpenID的表单输入OpenID URL后, 这个网站会将用户定位到用户所使用的OpenID服务提供者, 在那里通过各种需要的凭证来进行登录并完成认证。认证完成以后, OpenID服务提供者服务器会将连同所需要的凭证一起将用户重定向到它先前所访问的网站, 从图 1详细的OpenID认证登录流程可以看出OpenID的认证过程涉及到至少四个方面的协作来完成:

1) 最终用户 (End User) :利用OpenID进行身份认证的互联网用户, 也可以指代用户所使用的浏览器。

2) 身份标识页 (Identity Page) :用户所拥有OpenID的URL地址以及其上所存放的文件。

3) OpenID依赖方 (Relying Party) :也叫作OpenID客户 (OpenID Customer) , 它指代启用了OpenID支持 (OpenID Enabled) 的网站。

4) OpenID身份标识服务提供者IDP (Identity Provider) :也作OpenID服务提供者、OpenID服务器、OpenID认证服务器, 作为用户个人信息的托管方, OpenID依赖方通过和它的加密交互实现对用户所提供身份标识的认证。

在IDP处注册OpenID服务的时候, 服务商往往已经分配并配置好了一个URL作为用户的OpenID。这个URL位置上的身份标识页的<head>标签内应该标明为其提供OpenID服务的认证服务地址, 以Verisign所提供的OpenID服务为例, 它分配给用户的形如username.pip.verisignlabs.com的URL作为OpenID, 身份标识页有下面的内容:

<link rel=″openid.server″ xhref=

″http://pip.verisignlabs. com/ server″/>

其中http://pip.verisignlabs.com/server就是Verisign所提供的IDP的认证服务地址。如果使用用户拥有的其它URL作为OpenID, 则可以通过修改身份标识页来启用代理。例如用户使用所拥有的www.liurunda.com作为OpenID, 则可以在身份标识页中的<head>标签中再加入下面的代码:

<link rel=″openid.delegate″ xhref=

″http://render.pip.verisignlabs.com″ />

上面的代码指示通过render.pip.verisignlabs.com来代替www.liurunda.com在OpenID服务器上进行认证, 也就是说用户所拥有的两个OpenID:www.liurunda.com和render.pip.verisignlabs.com具有同样的作用。

4 OpenID的应用和发展

4.1 OpenID的发展情况

从理念的提出到标准的制定, OpenID的发展十分迅速。2006年底 Myopenid.com和Livejournal.com等第一批免费的OpenID 服务提供者网站出现, 著名的安全认证服务提供商Verisign也于近期推出基于OpenID的“个人身份标识提供服务”PIP (Personal Identity Provider) [10]。除了这些新出现的OpenID服务提供者, 一些传统的互联网服务提供商也开始为自己的注册用户提供OpenID支持。例如AOL推出了基于OpenID1.1规范的OpenID服务, 所有的AOL/AIM用户都自动获得一个http://openid.aol.com /<screenName>的URL作为OpenID, 并通过AOL的OpenID服务器进行认证;比尔盖茨在2007年的RSA安全会议主题日上宣布微软在WS-*和CardSpace之外要支持去中心化的OpenID数字身份协议[11];idproxy.net则将yahoo ID系统和OpenID结合起来为用户提供OpenID认证服务[12]。越来越多网络应用开始提供OpenID登录, 如:Zooomr.com和Technorati.com等;WordPress的支持OpenID登录评论系统的插件已经提供下载;用于支持各种wiki的OpenID插件也被逐渐开发出来, 如DokuWiki的OpenID插件可以在Splitbrain.org上找到[13]。客户端工具也开始支持OpenID, 如正在开发中的Firefox的3.0版本将要提供对OpenID支持。一项统计表明, 目前世界范围内有约1, 200个站点提供或使用了OpenID服务, 涉及到七千五百万个用户, 而这一数字将可能分别发展到15, 000个站点和二亿五千万的用户[14]。

4.2 OpenID理念及发展所遇到的问题

OpenID框架本身是开放的, 任何人不能够拥有它, 或者打算通过他来挣钱, OpenID将最大限度地遵从最自由的授权方式来开发。OpenID的标准制定者希望通过社区的力量来扩大OpenID的使用和推广, 从而使更多的互联网用户从中受益[7]。

OpenID是一种基于互联网的全新数字身份管理理念, OpenID服务提供者本身并不是要争夺各个应用服务网站的用户资源, 它也不是要取代现有的网络应用用户数据库, 而是在现有的用户管理的基础上通过一个高层协议来实现以用户为中心的身份标识管理。通过给网络应用/服务分配共享用户达到方便用户注册和登录认证的目的。

在OpenID的框架下, 各个互联网服务将不再是闭门造车的方式去吸引用户, 而是将更多的精力放到如何把服务做好从而来赢得用户的访问, 因为用户已经在各个OpenID服务器上存在了。另外, 当用户在OpenID服务器登录以后, 则当用户访问其它OpenID服务器所信任的互联网服务时都不需要输入任何的凭证信息, 身份认证将在后台自动完成了。一个OpenID身份标识对于他所信任的网络应用来说, 用户获得了一个统一的通行证, 一次登录、全局登录, 即所谓的单点登录。相对于目前常用的各种“通行证”服务, OpenID所提供的单点登录超越了各个独立的运营商内部域, 同时它的免费和开放性是数字身份认证框架如Live Passport和Google Account所不能提供的。

作为社区成员共同开发和制定的一个开放标准, OpenID的规范目前还不是很完善, 目前现行的OpenID的规范是1.1版本, OpenID的2.0规范即将正式推出, 现行的1.1规范尚不支持很完整的登出机制。在有些情况下, 登录的速度和稳定性都有待改进。OpenID服务提供者是用户隐私资料的托管地, 对于大多数没有能力建立OpenID服务器的用户, 他就需要选择一个OpenID服务提供者来保存用户的隐私数据从而进行认证操作, 这时会产生很多相关亟待探讨的问题, 如对OpenID服务提供者的信任问题, 对数字身份标识的监管问题等都是很值得探讨的。

5 结 语

互联网统一数字身份标识管理的需求变得日益突出。OpenID提供了基于URI/URL、去中心化、以用户为中心的数字身份标识基础设施, 为互联网用户提供了轻量级的便利身份管理和认证方法。

经过近两年的发展, OpenID从最初的简单认证发展成为互联网上数字身份标识管理和认证的框架。目前, OpenID正在日趋成熟, 很多网站和网络应用开始支持OpenID, 它使得网络用户之间的交互更加方便。希望在不久的将来, OpenID框架有望成为互联网上的一个以用户为中心的基础设施的通用解决方案。