网络实名认证

网络实名认证（共11篇）

网络实名认证 篇1

随着移动通信技术以及计算机网络技术的急速进步与越来越广泛的应用拓展, 移动互联网已经完全进入到了一个全新的发展阶段。移动互联网, 顾名思义, 分为两个组成部分, 分别为移动通信、以及互联网络技术。移动互联网将这两者紧密地、有机地结合起来, 使二者的优点共进互通, 为社会提供了异常新颖、便捷、丰富、高效、 全面的可利用资源。随着社会科学技术的不断发展与提高, 技术研发工作者们将目光逐渐聚集在移动通信网络的功能根本提供者———网络中来, 于是, 在一次又一次的网络更新换代中, 无线通信网络诞生了, 无线网络成为伴随着上述移动互联网共同发展进步的一大动力, 可以说, Wi Fi (无线通信网络) 将移动互联网带入了一个新时代。

1 Wi Fi 网络的实名认证

1.1 Wi Fi 网络实名制

网络实名制, 又称作网络身份管理, 顾名思义, 是一种推行实施真实身份信息上网、以及在网络上注册的维护网络运行的手段。网络实名制是我国政府提出的, 为构建和谐、稳定、积极向上的网络信息社会的一种积极尝试。网络实名制的推行, 能够有效地保障网络的真实性, 保障国家以及公民们的权益, 打击各种网络谣言的散布与传播, 防止非安全性的网络活动 (例如依据公众特点所形成的虚假广告、虚假交易买卖等等) 的产生, 遏制虚拟网络对人们精神的消极影响。例如, 网络用户在使用电子商务、网上银行、交友互学, 婚姻中介等等网站时, 需要提供真实可靠的用户个人信息, 从而对用户的经济进行适当的保护, 与此同时, 对我国社交网站和各大网络行为的安全可靠度也进行了适当的保障; 用户在微博、博客、论坛、贴吧等等网络媒体上进行各种相关的评论时, 使用实名制也可以对用户以及网络进行有效的保护, 从而有利于我国网络安全等部门进行有效的相关管理与监督, 从而防止不法分子做出有损用户个人以及国家相关方面的言论与行为。因此, Wi Fi网络实名制除了可以保障用户个人的信息不被不法分子获取作为违法乱纪的依据, 在很大程度上对我国建设客观、理性、自由、有序的网络环境, 从而更好地保护我国公民们的权益等等方面拥有着极大的积极影响与引导作用。

1.2 Wi Fi 网络的实名认证

Wi Fi网络的实名认证是对网络实名制的一种实施措施 ,Wi Fi网络的实名认证能够有效的遏制近年来急剧增加的网络谣言、网络欺诈等犯罪行为, 同时, 对公民在网络上的责任感的提升也大有益处, 能够有效地净化我国的网络环境、增强我国网络的信任度、提高我国网络安全性的保障。

2 传统方法的不足

在我国传统的互联网用户身份信息实名认证管理系统中,用户身份信息的实名认证管理体系根据每一个网站的不同而有所差异, 也就是说几乎没一个网站都有自己的用户身份信息实名认证管理体系。而每一个网站对于用户的个人身份信息的保护也都是不同的, 因此, 由于一些网站比较微小, 而且用户数量不多, 网络技术不够先进, 从而导致用户的个人信息遭到泄露的现象也就不可避免。

2.1 重复的身份信息提供

当用户使用某一个网站进行相关信息的索取或者其他操作时, 网站服务器会要求用户们输入自己的个人身份 信息 ,当用户使用多个网站进行操作, 或者同一名用户访问多个系统和网站时, 就必须要进行多次的身份信息的提供与 验证、进行多次注册和管理多套登录信息, 从而大大地提高了每一个网站的冗余度, 降低了网站的认证体系服务的效率。多用户也会产生很大的不便。

2.2 身份信息的安全保障问题

由于网站服务器大多使用的是开放的管理与服务策略, 因此, 自身系统的安全性以及在应对不同的网络问题时自身的抗攻击能力不能够进行严格的限定, 从而导致用户和网站服务器之间的双向认证很难实现, 用户的个人身份信息很难得到保障。

2.3 容易发生篡改攻击

用户所发送的个人身份信息是大多网站服务器所采用的认证流程的 关键环节 。而这一 环节的正 确进行主 要由TCP/IP(Transmission Control Protocol/Internet Protocol的简写 , 中译名为传输控制协议/因特网互联协议, 又名网络通讯协议, 是Internet最基本的协议、Internet国际互联网络的基础 , 由网络层的IP协议和传输层的TCP协议组成。) 地址映射的域名解析系统所决定。因此, 这一方面如果出现问题, 那么整个网络的安全性便会受到威胁。而现实情况是此系统存在着很严重的身份标识被篡改、被攻击等等安全问题和安全隐患。在大多数敏感的网络环境下, 若想将数以万计的网络服务器认证系统的安全性和可靠性提高到百分之一百变为现实是不可能实现的。与此同时, 对于每一个网站对于黑客入侵的检测与处理的能力也是不同的, 对于一些网络安全维护水平处于初级的网站, 一旦有黑客侵入到该网站的用户信息数据库服务器, 便会造成大量的用户个人身份信息被泄露, 从而导致极其严重的后果。

3 Wi Fi 网络的实名认证方法优化

3.1 方法概括

互联网实名认证体系的核心思想是用户提供个人身份信息进行实名认证, 利用网名进行上网。用户在公安机关进行上网注册时采用真实信息, 再经过一段时间的处理之后, 经过身份审核后, 公安机关会给每一个用户发一个唯一的网名。用户可以利用这个唯一的网名在网络上进行各种信息的索取与其他网络相关操作。通过这个途径, 任何单位、组织、或者个人都无法在互联网上通过网名获取用户的真实身份信息,同时也就保障了用户的个人身份信息不被泄露。另外, 只有通过授权的国家相关机构和人员才能够对用户的身份信息进行相关查询以及获取, 并且, 在查询或者获取的过程中, 操作人员的各项网络操作都会经过严格的审计和审查。在Wi Fi网络的实名认证方法中, 实名认证体系对认证基础设施提供的安全功能进行了服务化封装, 与此同时, 也在很大程度上屏蔽了安全认证基础设施的多种具体特性。通过这 种方法 ,在相同的认证服务接口 (一个自动化系统与另一个自动化系(WEP)、Wi Fi保护接入 (WPA)、端口访问控制技术、支持用户名和手机方式的改进型Web认证、HTTP拦截、以及HTTP重定向。

3.2 体系层次

Wi Fi网络的实名认证方法体系分为4个基本层次, 分别为:

(1) 数据层

数据层是Wi Fi网络的实名认证方法体系的最底层, 是用户数据存储、管理、发送信息的调用许可通知等等的基础设施。数据层采用分片云存储的构架, 提供自动化的存储服务,将各种不同类型的信息分散的存储在分布式数据处理系统中。数据层的附属功能还有很多, 例如, 数据层可以消除服务器单点故障, 从而为系统提供连续不间断的数据存取、数据校验、以及数据备份保护等等不可或缺的功能。

(2) 基础设施层

基础设施层是游湖数据和认证信息管理、分发、调用等等的基础功能设备, 是每一个Wi Fi网络的实名认证方法体系中的重要组成部分之一。基础设施层为所有网络用户的身份管理、信任凭据管理等等都提供了基本的支撑功能。认证的基础设施包括很多, 其中最重要的是公安系统提供的各项设施、各大信誉较好的公司、企事业单位、以及网站提供的认证基础设施。

(3) 服务层

服务层位于Wi Fi网络的实名认证方法体系的中间位置。服务层将底层的基础设施所实现的各项功能封装为标准的服务接口进行统一的发布, 各类业务系统作为服务使用者, 只要利用统一的服务接口标准中所规定的响应的定义调用方法,就可以对各种实名认证服务继续调用。除此之外, Wi Fi网络的实名认证方法体系采用SOA (面向服务的体系结构是一个组件模型, 它将应用程序的不同功能单元 (称为服务) 通过这些服务之间定义良好的接口和契约联系起来。) 的服务构架, 分布式的存储在信息应用系统中, 从而同各种类型的认证基础设施进行相应的联系与互通, 通过这种方式共同构建一个能够覆盖全国范围的Wi Fi网络下的实名认证系统。

(4) 应用层

应用层是Wi Fi网络的实名认证方法体系中的最上层, 是Wi Fi网络的实名认证方法体系设计的应用系统的综合 , 也是其下三层所提供服务的最终对象。当用户在进行注册时, 每一个应用系统都要求用户必须先调用实名认证服务系统所提供的用户注册服务接口, 从而实现用户以及对应的账户信息在公安系统中的实名注册, 接下来通过提供个人的身份信息来完成在自己所需要的业务系统中的账户注册。当用户在下一次访问该网站的时候, 用户便可以只需要通过账户或者网名进行登录网站来进行对网站的访问或者其他的相应操作, 而不需要再次在互联网上提供自己的身份信息, 大大地降低了用户的个人信息被泄露的可能性。除此之外, 因为上面提高的, 在服务层会屏蔽网络应用以及特定的认证基础设施联系, 从而能够形成覆盖全网的认证体系, 因此, Wi Fi网络的实名认证方法体系可以支持不同的认证模式、认证算法的用户再通过公安系统的认证授权之后, 可以合理地对相应的业务系统进行访问。

4 结语

Wi Fi网络的实名认证方法的改革与实施迫在眉睫 , 我国相关网络安全工作者需要在实施Wi Fi网络的实名认证方法的过程中, 不断地根据现实情况完善网络实名认证安全管理系统, 相关部门也应该尽快地完善网络安全的管理标准以及相应法律, 使用户能够放心地迎合Wi Fi网络的实名认证方法的推展, 实名制能够真正地为广大网络用户所接受并且进行使用, 达到引导我国的电子商务发展、提高我国社会 诚信度、促进我国社会健康发展等等方面的最终目的。

网络实名认证 篇2

认证机构：思科系统公司（Cisco Systems, Inc.），是世界领先的Intranet和Internet网

络互联厂商。思科公司的软硬件产品具有极大的通用性，使人们在任何时间、任何地点，通过任何型号的计算机系统，均可实现信息访问。

证书类别

■思科认证网络工程师（Cisco Certified Network Associate，CCNA）

认证简介：该认证可证明持证者已掌握网络的基本知识，能利用局域网和广域网的接口安

装和配置Cisco路由器、交换机及简单的LAN和WAN，提供初级的排除故障服务，提高

网络的性能和安全。

考试内容：主要为Cisco网络设备互连（ICND）。

考试题型：选择题、填空题。

认证难度：★★☆☆☆

■思科认证资深网络工程师（Cisco Certified Network Professional，CCNP）

认证简介：CCNP是Cisco认证体系中的一项中级认证，可证明持证者能使用复杂的协议

和技术，来安装、配置、操作网络，并具备诊断及排除故障的能力。

考试内容：涉及构建CISCO可扩建网络（BSCI）、CISCO多层交互网络（BCMSN）、CISCO

远程访问网络（BCRAN）及进行CISCO网络诊断（CIT）。

考试题型：选择题、填空题。

认证难度：★★★☆☆

■思科认证网络专家（Cisco Certified Internet Expert，CCIE）

认证简介：CCIE是Cisco认证体系中最高级别的认证，同时也是目前业界最顶级的IT认

证之一。CCIE可证明持证者能熟练安装、配置、操作和诊断复杂的路由局域网、路由广

域网、交换局域网和ATM

LANE网络以及拨号访问服务；诊断和解决网络故障；使用包/帧分析和Cisco调试工具等。

考试内容：包括笔试和实验考试两部分，笔试科目为“路由交换CCIE考试350-001”。

考试题型：选择题、填空题、实验操作题。

认证难度：★★★★★

Microsoft系列认证证书

认证机构：微软公司（Mircosoft），是世界个人和商用计算机软件行业的“巨无霸”，为用

户提供范围广泛的产品和服务。

证书类别

■微软认证系统管理员(Microsoft Certified Systems Administrator,MCSA）

认证简介：MCSA是为那些在Microsoft Windows 2003和Windows.NET

Server平台环境下，对现有网络及系统进行实施、管理、故障排除等工作的专业人员而设计的。

考试内容：主要涉及管理和维护Microsoft Windows Server 2003环境和网络架构；安装、配置和管理Microsoft Windows

2000 Professional；安装、配置和管理Microsoft SQL Server 2000企业版。

考试题型：多项选择题。

认证难度：★★☆☆☆

■微软认证系统工程师（Microsoft Certified Systems Engineer，MCSE）

认证简介：MCSE是业界认可最为广泛的IT认证之一，能证明持证者在设计、实现和管理大多数先进的Microsoft Windows操作系统和Microsoft服务器产品方面具有必要的技能。考试内容：在MCSA的基础上增加3门考试，主要包括设计实现和维护Microsoft Windows Server 2003网络架构以及活动目录架构。

考试题型：多项选择题。

认证难度：★★★☆☆

RED HAT系列认证证书

认证机构：Red Hat公司因“开放源代码”（Open Source）而崛起，如今已发展成为最大的Linux软件产品供应服务商。Red

Hat的认证配合产品以及求学者的不同学习需求，由浅至深，而且证书获得全球IT企业的普遍认可。

证书类别

■RED HAT认证工程师（Red Hat Certified Engineer，RHCE）

认证简介：RHCE认证的最大特点，是强调考生的实际操作能力，即要求考生完全根据Red Hat Linux平台上真正必要的各种网络服务进行安装、组态、除错及设定各种网络环境。

考试内容：由三部分组成，分别为2～4个系统的修复、50道多项选择题、对指定的系统完成安装和配置工作。

考试题型：多项选择题，实验操作题目。

认证难度：★★★★☆

华为系列认证证书

认证机构：华为技术有限公司专门从事通信网络技术与产品的研究、开发、生产与销售，是中国电信市场的主要供应商之一，目前正专注于3G、光网络、数据通信等几个领域，希望通过持续投入和努力成为这几个领域的全球领先者。

证书类别

■华为认证高级网络工程师（Huawei Certified Senior Network Engineer，HCSE）

认证简介：HCSE主要是为从事中大型园区网络的配置、维护及方案设计的专业人员设立的，全方位覆盖路由、交换、接入、VPN、VOIP、QOS等部署园区网络及实际设备配置维护所需的知识与技术。

考试内容：包括构建企业级路由网络、构建企业级交换网络、企业级网络方案设计。认证题型：多项选择题。

认证难度：★★★☆☆

NOVELL系列认证证书

认证机构：Novell也是全球IT业的“大腕”。据估计，全球约有5500万人与300万台Novell工作站联网。NOVELL的CAN、CNE、MasterCNE以及CIP认证，在业界具有很高的权威性。

证书类别

■Novell授权网络管理员（Certified Novell Adminis?鄄tration，CNA）

认证简介：CNA认证主要针对网络管理人员，证明持证者能为Netware和GroupWise的用户，包括专业公司、小型企业、工作组、各部门以及公司信息服务部门，提供个性化的现场管理技术支持。

考试内容：主要是Netware5系统管理。

考试题型：多项选择题。

认证难度：★★★☆☆

■Novell授权网络工程师（Certified Novell Engineer，CNE）

认证简介：认证主要针对帮助解决公司内部的网络管理问题和高级技术问题的技术人员。证明持证者能胜任利用TCP／IP协议设计网络互联，集中向服务器和客户机分配升级软件，设计、分析并集成一项NOVELL目录服务等方面的工作。

考试内容：包括NW4.11管理、高级系统管理、安装与配置、设计与实现、用NW4.11建立内网和网络技术6门课程。

考试题型：多项选择题。

认证难度：★★★★☆

证书含金量对比

■CISCO系列证书

Cisco在全球互联网业占据垄断地位，用户遍及政府、教育机构及各种行业。Cisco认证证书代表着高标准的专业技术水平，是网络专业人士的“全球通行证”。Cisco的网络管理系列认证还具有很强的渐进性，每本证书的含金量都极高。CCNA作为网络普及和扫盲性质的认证，是非常不错的入门证书。CCNP一贯享有“网络界本科文凭”的称号，考试难度位居中级网络认证之首，证书权威性可见一斑；CCIE今年已是第三次夺得“北美地区最佳认证冠军”，认证考试长达8小时的实验环节，使该证书的含金量极高，甚至被称为“网络界的博士学位”。

含金指数：★★★★★

■Microsoft系列证书

在今年的“北美地区最佳认证”排名中，MCSE位于亚军，关键在于其广泛的群众基础。MCSE操作系统应用广泛且兼容性强，一般的计算机爱好者通常都对它十分熟悉。对打算进入IT技术圈者来说，MCSE证书可帮助其打好基础，使其能更好地学习其他的IT知识，是进入IT业的“敲门砖”。由于一般稍具规模的单位都会面临局域网的组建和维护等问题，都需要这方面的人才，因此，MCSE认证拥有者的就业空间十分宽广，特别适合从事操作系统网管一职。

含金指数：★★★★☆

■RED HAT系列证书

RHCE是LINUX领域最具权威性的国际证书，证明持证者在LINUX方面具有独特的专业技能。从全球的状况看，随着越来越多的企业使用LINUX系统，RHCE正成为网络领域风头最劲的认证之一。但在国内，Linux的应用还不广泛，证书的含金量因此打了折扣。

含金指数：★★★☆☆

■华为系列证书

华为公司是国内企业，虽然在国际市场上的名声不如CISCO，但在国内市场大有赶超CISCO之势。近年来，华为开始在东南亚甚至欧洲、非洲设立分部，产品销售的国际化

体现了华为公司强大的经济实力和技术实力。正因为如此，鉴于华为的发展潜力，证书具有一定的投资价值。

含金指数：★★★☆☆

■NOVELL系列证书

Novell证书是计算机网络界公认的“就业绿卡”，是个人在网络技术领域的权威资格证明。Novell持证者是目前各大机构、IT公司、外资企业等争聘的对象，特别是那些使用NOVELL产品的企业。据统计，Novell持证者薪酬待遇要比未获认证的人员高出30%-50%。此外，Novell公司和各授权教育中心为持证人员提供强有力的技术支持，保持其在网络界的技术领先优势。

含金指数：★★★★☆

关于认证：特别提醒

参加认证注意三大原则

参加认证是提升专业能力的有效途径，但不同的认证项目有不同的侧重点和应用领域，适合不同工作需要的人员。而且，IT技术日新月异，参加认证不能一劳永逸，而应持续学习。上海银河金牌培训讲师顾清提醒说，参加网络技术认证需注意以下三大原则：

一、有的放矢最为重要

很多学员的选择带有很大的盲目性。比如，一些刚出校门的大学生，听了广告的鼓惑就轻易报了专业性极强的认证。其实，对学生来说，不宜选择华为这样比较偏的认证，而适合微软或思科第一级证书，这些认证项目的内容涉及厂商的独有技术不多，而是以相关领域的基础知识为主。作为较为资深的网络技术人员，则可根据应聘企业所采用的软件系统来选择认证项目。一般网络技术人员主要从事维护系统的正常运转、网站数据备份、安装和调试小型局域网等工作，因此思科的CCNA、微软的MCSE是最佳选择；网络工程师的主要职责是安装、配置和运行网络，同时维护网络的安全性，CCNP就很实用；网络架构师、高级网络工程师之类的职位，主要负责设计、运行一个大型的局域网或广域网，及整个网络的安全性能，CCIE毫无疑问是不二的选择。

二、循序渐进非常关键

一般而言，网络技术证书都有很多级别。尽管很多证书并不强求逐级报考，但事实证明，循序渐进确实能帮助考生提高学习效率和考试通过率。而且，考证书毕竟是为了提升能力，循序渐进更有利于积累实际操作经验，从而帮助考生真正成为企业青睐的网络技术专才。

三、及时更新很有必要

IT技术发展日新月异，特别是网络领域，因此，及时更新掌握的知识与技术，对保持自己的竞争优势十分重要。例如，最初拿到MCSE的人是针对WINDOWS2000的，随着微软公司放弃对2000版本的技术支持，很多企业用户不得不升级自己的操作系统，MCSE2000的含金量必然降低。这时，MCSE及时推出2003版本的考试，原先持有MCSE

从网吧网管到思科认证网络管理员 篇3

当时网吧用的无盘系统是BXP，是老板在外面请的一位技术员来进行维护，我当时就是问题多，有什么不懂都去问，但那个技术员不怎么想给我说，最后就直接给我说了句“你是来做事不是来学习的”，社会就是这样现实。我只有自己看资料摆弄服务器，先是把DHCP服务器弄得IP错乱，下面很多机器进行乱分配IP地址，很多无盘机器因为分配到同样的IP无法进行启动引导，那件事情让那个技术员很不满意我，但老板看我那么好学也就没说什么，后来有一次因为我把其中一台BXP无盘服务器的镜像包弄坏了导致整个网吧几十台机器基本上无法营业，第一份网管工作就这样结束了。

这次的网管经历带给了我很多的思考，首先就是不要只为自己学习而不顾对企业的影响，凡事要三思而后行，第二就是技术不是一朝一夕成就的，要耐心更要细心。虽然在这家网吧没有做很长时间，但也对我是一个宝贵的机会，可以说没有这次的经历也就没有我今天的成功。

随后，由于我朋友在电脑城当客户经理，认识一名网吧的老板需要一名技术网管，就推荐我去了。我的这位新的领导非常相信我，技术方面就全交给我负责，我非常高兴能得到这样的锻炼的机会，也给我日常工作减少了很多压力。由于当时我只对BXP略懂一二并不懂得如何制作BXP无盘，就自己照着网上的无盘制作教程来用客户机做实验，经过很多波折实验通过后，就着手把网吧的创世纪XP系统改造成了BXP2000系统。这一次客户反应都很好，老板也比较承认我的能力，可以说在这家网吧锻炼了我各方面的能力，也使我有了自信并下定决心向更高的方向发展。

2006年1月份时，我决定了去参加CCNA的专业培训，而且辞掉了网吧的工作。前后三个月的培训，但临近考试时，由于当时准备不是很充分就放弃了第一次机会，随后先后接了两家网吧的业务来做，从布线到无盘服务器及系统的制作还有网络设备的调试。经过4个月时间不断的工作，再次到成都银河教育中心重听一次CCNA（没通过考试可以进行重听），这次我是带着实际工作经验及工作中所遇到的问题来重新学习的，使我对课程内容理解更深刻。也使我顺利通过了CCNA的资格认证考试。

其实我建议每一次立志做网管的朋友都去学习CCNA，但是学习CCNA绝对不能为那一纸证书而去学习，靠背TK通过考试到头来证书和你的实际能力不符。我现在也在自学CCNP和CIW，因为我知道自己依然还差得很远，选择了这个行业就意味着你选择了终身学习。

我看到现在很多人都认为实践至上，不过这样的想法相当错误，我曾经也一度的认为实践至上，其结果就是自身技术始终只能停留在某个程度上停止不前，因为很多东西根本就理解不了。对原理都不了解怎么去创新呢？所以说理论指导实践，实践证明理论。技术的最终归宿始终还是在于应用，你的个人技术就是展现在遇到问题时是否可以去灵活运用自身所掌握的理论知识及所具备的实际技能水平来组合出解决方案。

纵然你没有任何天赋，也不如人家聪明，但是经过千百次的尝试与学习，我相信你一样也可以做得很出色。希望我的一些个人经历和学习过程能给大家带来一点帮助。

网络实名认证 篇4

一、网络出售实名认证支付账户现状

出售实名认证支付账户的服务,就是通过利用他人身份信息,帮助买家获得、使用实名认证为他人的网络支付账户。以“出售实名认证支付账户”为关键词进行搜索,可以找到大量相关网站。而在淘宝网中,诸如“微信绑卡”这样的支付账户实名认证服务,也以1至100元的价格存在。以一家名为“买号街”的虚拟账号买卖平台为例,该平台集结了大量实名认证支付账户的出售,包括支付宝、微信在内的多种网络支付账户,在上面都可以找到相关商品。

网上出售实名认证支付账户的服务主要有两种类型:一种是买家提供自己的网络支付账户,由商家提供身份证信息、手机号和银行卡信息(该银行卡仅为实名认证验证使用,并不参与到实际的网络支付活动中),帮助用户完成身份验证;另一种则是商家出售已经完成实名认证的网络支付账户,由买家绑定手机、银行卡等信息。如在“买号街”网站上,通过暗访一家名为“恐龙工作室”的商家客服表示,他们所卖的号,除了已经用他人身份信息完成实名认证外,没有绑定手机和银行卡,买回后可以根据自己的需要绑定,使用毫无障碍;另一家名为“琪莱小号批发”的商家,也提供类似的服务,表示买家买来这些账号用来干什么,与他无关。

二、网络出售实名认证支付账户行为产生的原因

(一)逃避资金监管,实施违法犯罪行为

账户实名制是反洗钱和反恐融资法律的基本要求,是经济金融活动和管理的基础,《办法》要求支付机构遵循“了解你的客户”原则,建立健全客户身份识别机制,能有效追踪资金出入的起点与终点,防范洗钱、恐怖融资、诈骗等活动,遏制违法犯罪行为。在网上购买实名制认证账户,有些可能出于洗钱等法律禁止的违法目的。

(二)担忧个人信息泄露

中国互联网协会发布的《2016中国网民权益保护调查报告》显示,我国54%的网民认为个人信息泄露情况严重,84%的网民曾亲身感受到因个人信息泄露带来的不良影响。部分用户担忧进行网络支付实名后泄露个人信息,从网络安全角度出发,选择了观望或从网上购买实名认证账户。

(三)部分人群难以独自完成认证活动

对于运用网络能力较弱的群体,如老年人、未成年人,虽有网络交易的需求,但受限于自身能力,若无协助难以完成认证工作,从网上直接购买实名认证账户则更为方便。

(四)部分境外用户实名认证难

《办法》针对境内用户和境外用户实名制认真的要求相同,但在实施过程中,部分境外用户因为长期生活在大陆以外,难以拥有大陆地区办理的银行卡或者通过其他方式验证。

三、网络出售实名认证支付账户存在的风险

(一)规避了网络支付实名制管理的要求

网络支付账户与金融体系的关系紧密,涉及面广,对用户财产安全、国家金融安全都有很大影响。买卖实名认证账户,与炒信行为中虚假认证账户行为基本一致,严重破坏了互联网认证体系和诚信体系,规避了网络支付业务管理办法中对于网络支付实名制管理的要求。

(二)存在较大的法律风险

用户借名、借身份进行网络支付账户实名认证,一方面,用户个人账户资金安全无法保障,另一方面,当用户账户被盗或密码遗失时,无法及时有效完成挂失。同时,还面临真正认证者主张权利或因债务被查封冻结的风险。另外,在买卖实名认证账户活动中用于出售的身份信息,倘若来源非法,可能涉及个人信息的民事侵权,甚至因非法获取、倒卖、泄露行为涉嫌非法获取公民个人信息罪。

四、政策建议

(一)严厉打击非法买卖实名制认证账户行为

中国人民银行作为支付清算监管部门,应联合工商、公安、网信等部门清理网络出现的买卖实名制认证账户的网站和商家,关闭非法网站,将提供该类服务的企业或个人列入诚信档案。

(二)建议推动多渠道交叉验证身份信息

4.微软网络工程师认证 篇5

上海英豪教育学院是上海著名一所IT培训学院，师资力量雄厚，有多名技术、经验丰富网络工程讲师，微软认证专家，采用理论加实践教学模式，让每个学员学习理论同时加强动手实践能力。

课程内容（124课时、2980元）

1、Windows 2008 管理及ISA防火墙管理（56课时）（Windows Server 2008

系统管理、Windows Server 2008网络管理、实现和管理Windows Server 2008的目录服务、Microsoft网络安全管理与设计等）。

2、SQL数据库课程内容（32课时）（SQL Server 基础知识、T-SQL基础、键和

约束、视图、存储过程和用户定义函数、触发器、安全性、SQL管理对象等）。

3、Exchang邮件服务器的管理、设计（16课时）（安装和升级到Exchange 2003

服务器、配置和管理Exchange 2003服务器、邮件服务器安全管理、配置和管理基于Internet协议的邮件客户端访问、设计高可靠性和可用性；设计内部组织连接等）

4、微软网络安全课程（20课时）（安全性设计概述、网络安全规划、识别来自网络

安全的威胁、分析安全风险、创建账户安全设计、创建身份验证安全设计、创建数据安全设计、创建数据传输安全设计规划和配置权限和身份认证策略；配置、发布和管理证书等）

学习方向

网络安全工程师、网络安全分析师、数据恢复工程师、网络构架工程师、网络集成工程师等。

考取证书

可考取微软认证MCSE网络工程师认证证书

联系方式

联系人：赵老师

地址：上海市黄浦区西藏中路120号4楼(上海市工人文化宫)

电话：***021-63612601

网络实名认证 篇6

关键词：智能农业;无线传感器节点;网络安全认证;椭圆曲线数字签名算法;优化

中图分类号： S126 文献标志码： A

文章编号：1002-1302（2015）04-0389-03

收稿日期：2015-01-07

基金项目：国家自然科学基金（编号：61272214）;辽宁省博士科研启动基金（编号：20121045）;辽宁省高等学校杰出青年学者成长计划（编号：LJQ2014066）。

作者简介：马少华（1988—），男，江苏大丰人，硕士研究生，从事物联网信息安全研究。E-mail：756918512@qq.com。

通信作者：张 兴，副教授，研究生导师，从事网络体系架构与协议、信息安全等研究。E-mail：zhang_xing@emails.bjut.edu.cn。

現代设施农业是适应市场化、集约化、国际化大生产的新型现代农业产业形态，是传统农业向现代高效农业转变过程的必然选择，设施农业发展状况在一定程度上反映了农业现代化水平[1-2]。大棚种植是设施农业中一个重要组成部分，具有利用适宜作物生长的环境温湿度和光合作用来控制植物生长的优点。由Eko节点构成的智能农业传感网能够收集对农作物影响非常大的土壤温湿度、光照等信息，通过无线多跳的ZigBee+4G方式传送到种植园主的手机上，方便其了解农作物生长的环境状况，以便采取有效措施促进生产。 目前，智能农业传感网已应用于国内外的种植园和果蔬大棚中，对农作物的生长管理、产品产量和质量提高具有显著效果，它的精度高、灵活性强、可靠性高、经济性好等优点使其在设施农业领域具有非常好的应用前景[3]。但是，如果智能农业传感网发给种植园主的是虚假信息或是被篡改的不真实信息，那么智能农业传感网非但不能对生产起促进作用，反而会耽误灌溉、施肥等有效时机，或使农作物的生长环境变得更糟。智能农业传感网的安全保障就变得至关重要。 通过分析可知，只要保证农业传感信息的来源可靠和在传输过程中不被篡改就足够了，而无需对这些信息进行保密。当前的问题是对称加密算法在信息加密方面非常有效，而在认证方面无法保证邻居之间对密钥的安全建立;非对称加密算法的开销非常大，不适合资源非常有限的无线传感器网络。ECC算法的实施有效解决了这一问题，但尚未见在Eko节点的IRIS平台上实施[4-5]。

为满足应用于大棚种植的无线传感器网络中节点认证的需求，本研究实现了在传感器IRIS平台上运行基于椭圆曲线加密体制的数字签名算法（ECDSA）;并加入7种优化算法，通过对它们测试、比较和分析，提出了一个适于大棚种植的节点认证方案，从而使签名和认证时间大大缩短，并确保该方案适用于资源有限的由Eko节点构成的智能农业传感网。

1 软硬件平台

1.1 硬件平台

现在得到应用的Eko节点为Crossbow公司产品，目前，该公司的WSN方面的产品已被MEMSIC公司收购。Eko传感器节点基于IRIS平台，其ROM空间为128 k字节，RAM空间为8 k字节;通信模块位于ISM免费频段2.4 GHz，并支持IEEE 802.15.4协议，数据的传输率为250 kb/s，最大可视传输距离超过了1 000 m（最大可视传输距离指无障碍情况下的通信，2008年，在北京北海两岸布置IRIS节点测试得到最大可视距离）;处理器芯片采用是低功耗的ATmega1281，其性能有利于进行数字签名中的大量复杂运算。

1.2 软件平台

Eko节点使用的是无线传感器平台所特有的开源操作系统TinyOS，由nesC编程语言编写。TinyOS是一款基于事件驱动型的操作系统，其特点是能很有效地调度各种组件，从而高效地完成各项系统功能。

2 ECDSA及其优化算法

2.1 ECC简介

椭圆加密算法（ECC）的数学基础是利用椭圆曲线上的有理点构成Abel加法群上椭圆离散对数的计算困难性，是目前公钥加密体制中对1 bit所提供加密强度最高的加密算法。ECC仅需使用160 bits的密钥长度就可获得等同于RSA加密算法采用密钥长度为1 024 bits的安全强度[4-6]。本研究采用160 bit的椭圆加密算法算法。

2.2 数字签名原理

所谓数字签名，就是只有消息的发送方才能产生的别人无法伪造的一段数字串，这段数字串同时也是对信息的发送方发送信息真实性的一个有效证明。数字签名一般通信过程如图1所示。 （1）节点A通过自己的私钥和数字签名生成算法对消息M进行签名，得到签名S，并附在消息M上。（2）节点B收到来自节点A的消息后，通过节点A的公钥和数字签名认证算法对收到的消息进行认证，根据返回的签名有效值来判断消息的真伪。

2.3 ECDSA数字签名方案

ECDSA数字签名方案是ECC和DSA的结合。整个签名过程与DSA类似，所不同的是签名、认证中采用的算法是ECC，最后的签名S为（r，s）（图1）。ECDSA数字签名生成算法和签名认证算法如下。（1）数字签名生成算法：记P=（x，y）。节点A选取一随机整数k满足1≤k

2.4 ECDSA的7种优化算法

ECDSA可划分为ECC算法模块和数字签名模块。其中ECC模块由大整数运算和椭圆曲线类组成，数字签名模块由数字签名的产生和认证组成。本研究选取4种优化大整数运算的算法（巴雷特减法算法[7]、混合乘法算法[8]、混合平方算法[9]、曲线优化算法[8]）、2种优化椭圆曲线的算法（射影平面坐标系[8]、滑动窗口[8]）和1种优化签名认证的算法（夏米尔技巧优化算法[9]）。由于本研究侧重于对各优化算法在 IRIS 节点上的性能分析，各优化算法具体知识可详见参考文献[8-9]。

nlc202309051243

3 ECDSA及7种优化算法的实现

3.1 ECDSA的实现

本研究设定消息长度为52 b，为提高测试结果的准确性，每个程序测试10次，试验结果取10次测试结果的算术平均值。测试结果见表1，ECDSA所占用的ROM和RAM在IRIS节点的承受范围之内，初始化所需的时间也较短，但签名生成所需时间和签名认证所需时间较长，特别是签名认证所需时间超过了1 min。

表1 ECDSA在IRIS节点上的测试结果

节点类型

所需空间（byte） 所需时间（s）

ROM RAM 初始化 签名生成 签名认证

IRIS 16 860 817 0.000 1 31.954 4 64.225 5

3.2 优化算法的测试

本研究对上述7种优化算法通过开关的方式来测试其在IRIS节点上所耗的ROM/RAM空间、初始化所需时间、签名产生时间和认证所需时间。

3.2.1 主要程序代码

##NN

CFLAGS+=-DBARRETT_REDUCTION #巴雷特减法

CFLAGS+=-DHYBRID_MULT #混合乘法

CFLAGS+=-DHYBRID_SQR #混合平方法

CFLAGS+=-DCURVE_OPT #曲线优化算法

##ECC

CFLAGS+=-DPROJECTIVE #射影平面坐标系

CFLAGS+=-DSLIDING_WIN #滑动窗口优化算法

##ECDSA

CFLAGS+=-DSHAMIR_TRICK #夏米爾技巧

3.2.2 7种优化算法的测试结果分析 由图2-a中虚线可知，初始化时间值较大的有巴雷特减法算法、滑动窗口算法、夏米尔技巧优化算法，其他算法初始化时间几乎为零。这是因为巴雷特减法算法、滑动窗口算法、夏米尔技巧优化算法需要进行预运算。而由实线发现，滑动窗口算法对初始化时间影响最大，几乎降低了50%的时间。因此，滑动窗口算法对初始化时间影响最大。

由图2-b、图2-c可知，射影平面坐标系优化算法对减少签名的产生和认证所需时间影响最大。由图2-b、图2-c中虚线可知，射影平面坐标系优化算法对产生签名和签名认证的效率提高3倍以上;结果表明，关闭射影平面坐标系优化算法会降低产生签名和签名认证的效率8倍以上。虽然射影平面坐标系优化算法很有效，但也是消耗ROM空间最多的算法。

夏米尔技巧优化算法也是提高签名认证效率较好的算法。由图2-c中虚线可知，夏米尔技巧优化算法对签名认证效率提高了2倍，但所需的ROM、RAM空间分别增加了548、634 b;而实线可知，关闭夏米尔技巧优化算法后，签名认证效率降低160%，但减少了2 204 b的ROM空间，而RAM值几乎没有减少，是因为当关闭夏米尔技巧优化时，滑动窗口算法被用于签名认证。

由图2-b、图2-c和图3中虚线可知，滑动窗口算法对产生签名的效率和签名认证的效率提高了1.2倍，但RAM值剧增了2.5倍;由图2-b、图2-c和图3中实线可知，关闭滑动窗口算法对产生签名的效率和签名认证的效率降低了130%，但节省了632b的RAM空间。

由图2-b、图2-c虚线可知，混合乘法、混合平方法和曲线优化算法对提高产生签名和签名认证的效率不大。而从图2-b、图2-c实线发现，以上3种优化算法分别对产生签名的效率提高了1. 8、1.6、2.1倍;对签名认证的效率分别提高了1.8、1.5、2.0倍。这是因为在产生签名和签名认证的运算中最耗时的运算为求逆运算，只有在开启射影平面坐标优化算法取缔求逆运算的情况下，才会使产生签名和签名认证运算中最耗时的运算变为模乘运算，这样才会使以上3种优化算法的优化效果明显。

由上述分析可知， 从消耗RAM空间的角度看，滑动窗口算法>夏米尔技巧算法>巴雷特减法>混合乘法=混合平

方法=曲线优化算法=射影平面坐标法;从消耗ROM空间的角度看，射影平面坐标法>巴雷特减法≈ 混合平方法>混合乘法>曲线优化算法≈夏米尔技巧算法>滑动窗口算法;从签名效率角度看，射影平面坐标法>曲线优化算法>混合乘法>混合平方法>滑动窗口算法>夏米尔技巧算法>巴雷特减法（图3）。

4 适合大棚种植的ECDSA方案

由于IRIS节点中RAM资源稀少，根据上述分析，切实可行方案有如下2种：方案一为选用混合平方法、混合乘法、曲线优化算法和射影平面坐标法;方案二为选用混合平方法、混合乘法、曲线优化算法、射影平面坐标法和巴雷特减法。2个方案的测试结果见表2。其中，方案一中RAM值为817 b，时间复杂度为7.286 8 s;方案二RAM值为909 b，时间复杂度为7.2818 s。比较结果显示，方案一较方案二RAM值小 92 b，而时间复杂度大0.005 s。综合大棚种植的特点， 方案一

表2 各方案在IRIS节点上测试结果

类别

空间复杂度（byte） 时间复杂度（s）

ROM RAM 初始化时间 签名时间 认证时间

方案1 21 594 817 0 2.424 9 4.861 9

方案2 23 022 909 0.006 5 2.418 4 4.856 9

是更为可取的方案选项。因此，适合大棚种植的ECDSA方案为混合平方法+混合乘法+曲线优化算法+射影平面坐标法。

5 结论

本研究主要创新点有2个方面：（1）将基于ECC加密算法的数字签名算法（ECDSA）在IRIS节点上实现，并测试ECDSA消耗的ROM/RAM空间、初始化时间、产生签名时间和签名认证时间;（2）通过开/关的方式，测试7种ECDSA的优化算法的ROM/RAM空间、初始化时间、产生签名时间和签名认证时间，并从空间复杂度（ROM/RAM空间）和时间复杂度（初始化所耗时间、产生签名所耗时间、签名认证所耗时间）比较各优化算法。通过测试与比较分析，提出了适合应用于大棚种植监测的无线传感器节点认证方案。

参考文献：

[1]戴起伟，曹 静，凡 燕，等. 面向现代设施农业应用的物联网技术模式设计[J]. 江苏农业学报，2012，28（5）：1173-1180.

[2]戴起伟，凡 燕，曹 静，等. 物联网技术与江苏智能农业产业发展[J]. 江苏农业科学，2011，39（5）：1-3.

[3]肖 婷，庄义庆，糜 林，等. 物联网传感技术在大棚草莓生产中的应用[J]. 江苏农业学报，2014，30（5）：1185-1187.

[4]张 兴，何泾沙，韦 潜. 无线传感器网络中节点移动场景下的密钥管理方法[J]. 东南大学学报：自然科学版，2011，41（2）：227-232.

[5]张 兴，何泾沙，韦 潜，等. 无线传感器网络中移动场景下的安全路由重构[J]. 北京工业大学学报，2012，38（9）：1377-1383.

[6]蔡 冰，叶 玲. 基于ECC数字签名的实现及优化[J]. 计算机工程，2009，35（19）：161-163.

[7]Menezes A J，van Oorschot P C，Vanstone S A. Handbook of Applied cryptography[M]. boca raton：crc press，1996：603-604.

[8]Gura N，Patel A，Wander A. Comparing elliptic curve cryptography and RSA on 8-bit CPUs[C]//Proceedings of the 2004 Workshop in Cryptographic Hardware and Embedded Systems.2004：119-132.

[9]Hankerson D，Menezes A，Vanstone S. Guide to elliptic curve cryptography[M]. Berlin：Springer，2004：75-152.

网络密码认证安全研究 篇7

关键词：浏览器插件,密码认证,钩子技术,散列函数,网络钓鱼

随着网络的快速发展, 各种各样的黑客攻击层出不穷, 对用户和网络造成巨大的安全风险。由于绝大多数网站采用表单提交密码的方式认证用户身份, 进而为之提供个性化服务, 一旦黑客通过某些技术窃取用户密码等重要信息, 那么黑客便可以用户合法的身份登录窃取用户信息等资料。密码认证安全的研究有2个方向, 一是基于客户端, 二是有服务器端参与。目前, 国内基于客户端的研究较少, 研究领域集中在交互协议方面来保护认证密码安全, 如一次性密码认证协议[1];国外在密码认证安全领域的研究有PwdHash[2]、Spoofgard[3]和Spyblock[4]等。在服务器的参与下, 引进交互认证协议可以较好地保护用户认证密码的安全, 但实际中各服务站点不可能全部支持该协议。为此, 本文分析国外几种基于客户端研究的优、缺点, 提出一种浏览器插件形式的客户端密码认证安全方法。

1 网络攻击

1.1 弱密码攻击

面对众多的Web服务网站, 用户为了便于记忆, 通常对不同网站设置易记且相同的密码, 由于网站安全等级参差不齐, 所以当用户在某网站的认证密码被窃取后, 在其他网站的信息安全也可能遭到威胁。认证密码的复杂度在一定程度上影响用户在该网站的信息安全, 甚至是其他网站的信息安全, 虽然一些网站在用户登录认证时, 用MD5对用户的密码进行散列处理, 但通过离线的字典攻击, 用户的明文密码仍能被破解。

1.2 键盘记录攻击

为了窃取用户的密码等信息, 运行在用户主机上的恶意程序利用挂钩监控原理都具备键盘记录功能, 其能够记录用户按键信息或浏览器页面密码栏中的数据, 直接或间接发送给黑客, 从而使得黑客窃取用户的密码等重要信息。以木马攻击为例, 它是目前最常见的键盘记录的载体, 能够控制对方的鼠标、键盘等, 能够监视屏幕显示信息、文件传递信息, 控制对方信息的发送和接收等。

1.3 Java Script脚本攻击

在文档对象模型 (DOM) 和其他浏览器的帮助下, Java Script能够完善客户端功能和网页的外观, 使网页更具有吸引力、互动性和较快响应速度。但是Java Script超强的能力也会给用户带来许多不便及安全威胁。一方面, 它能降低用户上网体验, 如弹出广告窗口和篡改浏览器配置;另一方面, 它又能被黑客利用窃取用户的敏感信息, 例如钓鱼攻击[5]。特别是在钓鱼攻击中, 它常被用来伪装钓鱼网站迷惑用户, 从而使黑客能够成功诱骗用户密码等敏感信息。用此种攻击的方式有键盘监视、窃取表单域、“域重写”等。

1.4 网络钓鱼

网络钓鱼通常利用含有虚假链接的电子邮件引诱用户访问一些和真实站点外观几乎一样的Web站点来进行网络诈骗, 意图引诱受骗者泄露自己的私人资料, 如信用卡号、银行卡密码、身份证号等内容[5]。钓鱼网站为了增强自身的可信度通常采用一些脚本技术隐藏容易暴露的线索, 例如, 修改URL、制作虚假的SSL、修改状态栏等。另一种形式的钓鱼攻击 (Spear Phishing) 能够向特定的组织或其内部员工发送电子邮件, 这种攻击效率更高, 且不易被反钓鱼工具捕获。当黑客“控制”了用户访问网站的习惯后, 使得用户增强了对网站的信任, 那么钓鱼攻击的成功率就会大大提升。

网络中还有其他攻击, 如嗅探攻击、会话劫持、“域中毒”、ARP欺骗攻击等, 这些攻击需要服务器的参与。

2 理论基础及相关技术

越来越多的服务商选择B/S架构, 通过用户密码识别用户身份, 为用户提供个性化服务。由于用户密码是用户身份识别的惟一标识, 拥有该密码就意味着拥有该账户的合法身份, 因此用户密码成为黑客攻击的首要目标。

2.1 浏览器插件

浏览器插件BHO是微软公司推出的作为浏览器对第三方程序员开放交互接口的业界标准, 是实现特定接口的COM组件。借助于BHO, 可以编写一个进程内COM对象, 注册于注册表中Browser Helper Object键下, 这个对象在每次启动时都会加载该对象, 这样该对象就会在与之相同的上下文中运行, 并对可用的窗口和模块进行任何行动, 其通常以工具栏的形式出现在浏览器中。在Browser Helper Object键下列出的每一个CLSID, IE都会在相同的进程空间, 比如在浏览器中, 调用Co Create Instance来启动一个新的BHO实例。如果这个BHO已经注册了自己的CLSID并且实现了IObjectwithSite接口, 那么这个被IE启动的BHO就传递了一个指针给IE浏览器的I-WebBrowser2接口。

通过这个接口, BHO可以控制并收到来自IE浏览器的事件及行为, 比如“后退”“前进”“刷新”等。利用BeforeNavigate2事件获取IE当前加载的URL, 提交的Data, 并且可以控制是否继续刷新页面。程序员也可以用代码控制浏览器行为及当前页面DOM的数据, 比如用户在表单栏中的数据。此外, BHO还能够安装钩子以监控一些消息和动作。本文就是利用BHO这个特性安装钩子程序, 进而抵御键盘记录等恶意软件对用户密码的攻击。

2.2 钩子技术

钩子 (Hook) 是Windows平台上的一种Windows消息处理机制, 它可以设置子程监视指定窗口的某种消息。当特定的消息发出, 在没有到达目的窗口前, 钩子程序就先捕获该消息, 即钩子函数先得到控制权。这时钩子函数既可以加工处理 (改变) 该消息, 也可以不作处理而继续传递该消息, 还可以强制结束消息的传递或发送一个其他消息到目的地。根据钩子对消息监视范围的不同, 分为系统钩子和线程钩子2类, 且线程钩子的优先级别高于系统钩子, 线程钩子只能监视本进程中某个指定线程的事件或消息, 系统钩子监视系统中所有线程的事件或消息。钩子子程是一个应用程序定义的回调函数, 编写好相应的功能函数后, 利用Set Windows Hook Ex () 函数便可以指定钩子、监控事件及钩子类型等。为了不影响用户获取键盘消息, 本文采用线程钩子, 也就是线程钩子只监视浏览器页面内的击键消息。

2.3 散列算法

散列算法就是把任意长度的输入通过一个不可逆的散列算法, 变换成固定长度的输出。由于Hash算法是单向的, 一旦数据被转换, 就无法再以确定的方法获得其原始值, 因此, 除了应用于数字签名外, 也广泛应用于加密和解密技术, 典型的算法如MD5和SHA-1。理论上无法从散列值恢复出原文信息, 但黑客通常使用“跑字典”的方式来破解散列值, 其成功率较高。为此, 本文采用带密钥的散列函数hmac_md5 (pwd, key) 对用户密码进行散列, 从而提高抵抗“跑字典”攻击的能力。密钥key选择了当前站点域名作为哈希密钥。在钓鱼页面中, 输入的密码将会和钓鱼页面的域名进行哈希运算, 而在合法页面中的密码和合法页面的域名哈希, 由于二者域名不同, 因此哈希值也不同, 结合密码指示灯便可更直观地警示用户输入密码时是否安全。

3 设计体系及流程

其由一个继承IObjectWithSite的COM组件、一个作为IE工具栏加载的接口以及其他几个响应工具栏组件的模块组成, 2个窗口类实现CWindowImpl的接口来定义工具栏的外观和用户交互的界面, 见图1。

Warn Bar, 当用户提交表单时检查表单action的值是否改变, 如果改变则向用户提示;Reflection Wnd, CWindowImpl类实现了一个透明窗口, 用来将用户消息传递到弹出的警示窗口;Pwd Tool Bar, CWindowImpl类定义了密码助手在工具栏中出现的形式, 用户的预置信息便保存在其中, 最后存储在注册表中。Warn Bar需要Pwd Tool Bar的信息来决定密码指示灯的颜色。

当IE浏览器启动后, 它调用IObjectWithSite接口中的SetSite方法初始化密码助手, 密码助手收到一个指向网页浏览器对象的指针, 并通过ReflectionWnd和Pwd Tool Bar使密码助手不断检查内容浏览器事件。IE的DWebBrowserEvents2类导出BeforeNavigate2和Document Complete事件处理程序。因为BeforeNavigate2事件发生在navigate事件之前, 这就使得Warn Bar在浏览器跳转之前获取表单的URL并有机会取消跳转页面。当键盘钩子侦测到密码键或密码前缀时, 密码助手判定当前活动元件是否是密码型控件, 若不是, 则警告用户;若是, 则密码助手截取所有键盘输入的可打印字符, 直到焦点离开该密码型元件域。键入的字符将会存放在密码助手指定的内存中, 当侦测到焦点离开密码型元件域后, 然后结合预置信息对用户键入的密码进行散列加密运算, 并放在该地址的内存中。这样也允许用户在密码栏中回退、删除密码, 而不会导致数据出错, 也不会影响用户上网体验。

在用户提交表单之前, 密码栏中一直存放的是键盘钩子返回的伪字符串 (并不是用户在该网站的真实认证密码) 。当用户提交表单时, 密码助手便可利用BeforeNavigate2处理程序拦截提交事件。由于IE浏览器不允许密码助手在BeforeNavigate2处理程序中直接编辑表单数据, 因此就需要撤销原始BeforeNavigate2事件, 并创建一个含有用户真实密码数据的新BeforeNavigate2事件。密码助手包含这么一个数据结构, 即用于识别BeforeNavigate2事件是被密码助手撤销, 还是被用户撤销, 避免密码助手重复转换表单中的数据, 使之进入死循环。

4 功能测试与分析

在IE浏览器6.0上安装密码助手后, 经测试, 键盘记录软件、脚本捕获的是伪字符串。在钓鱼攻击中, 假定http://localhost/Tlogin.aspx为真实网站, http://localhost/Flogin.aspx为钓鱼网站, 输入相同的认证密码登陆后, 发现数据库中存放了2个不同的散列值, 结果符合开发初的构想。将国外2个同类软件与密码助手对比分析可以得出, 密码助手优于其他2个软件 (见表1) 。

总之, 本文旨在研究一种基于客户端的密码认证安全的方法, 利用底层钩子优先捕获击键事件, 而浏览器插件最后捕获页面事件的特性, 设计了一种能够有效保护用户认证密码, 使其不受本地键盘记录、网页脚本、网络钓鱼等攻击的插件。鉴于Web服务的不确定性, 本文的设计未与服务器进行信息交互, 所以其还不能抵御网络嗅探、会话劫持、“域中毒”等攻击, 这也是本课题以后要研究的内容。

参考文献

[1]Bin Li, Shaohai Hu.A practical one-time password authentication im-plement on Internet[C].Hangzhou, 2006.

[2]Blake Ross Collin, Jackson Nick, Miyake.Stronger Password Authenti-cation Using Browser Extensions[EB/OL].http://crypto.stanford.edu/Pwd-Hash, 2008-12-20.

[3]Neil Chou, Robert Ledesma.Client-side defense against web-based i-dentity theft webspoof[EB/OL].http://crypto.stanford.edu/webspoof, 2008-03-25.

[4]Collin Jackson, Dan Boneh, John Mitchell.Spyware Resistant Web Au-thentication Using Virtual Machines spyblock[EB/OL].http://crypto.stan-ford.edu/spyblock/spyblock-2.pdf, 2008-12-30.

网络实名认证 篇8

目前实现多业务系统单点登录认证有两种体系结构,一种是采用中心数据库的方式对用户进行认证以实现多业务系统的单点登录认证系统,另一种方式是使用附加的认证消息实现多业务系统的单点登录。

1.1 采用中心用户管理数据库进行的单点登录联合认证系统

图1为使用中心数据库实现单点登录的认证系统体系架构。

该种单点登录的系统是用户在使用分布在不同域内的各种业务之前到中心知识库进行认证获得一个标识然后访问由该中心数据库负责认证的各种业务系统,一旦用户完成了一次认证后,用户在访问这些业务系统时不需要再进行认证。由于在该种结构数据库集中放置,这样造成了系统的安全性和可扩展性很难保证。为此该种单点登录系统架构主要用于单个组织或企业。而不适合在公众Internet上的多业务系统。

1.2 采用单点认证登录各业务系统确认认证结果实现单点登录的系统架构

图2示出了采用单点认证登录各业务系统确认认证结果实现单点登录的系统架构。采用该体系架构的单点登录认证方式是用户在一个域中的认证系统通过认证后,用户通过携带由对其进行认证的系统所提供相应凭证访问其他域的业务系统,其他域中的认证系统通过检查用户所携带的认证通过凭证确定是否为其提供相应的服务和允许用户使用相应的业务。通常情况下,在采用该种系统体系架构的系统正常工作前,不同域中的认证机构之间有通过凭证的相关协议。

采用该体系架构的单点登录认证系统进行认证时,用户在使用业务前首先在其所注册的域中进行认证,若认证后,认证机构发送其相应的认证信息,然后用户携带所获得的认证信息请求使用其他域的业务系统,被访问域的业务系统首先将用户所携带的认证信息转发给该业务系统所在域的认证机构,由该认证机构通过检查用户所携带的认证信息确定允许或拒绝用户的请求,获得允许的用户就可以访问其有权限访问的业务系统。

2 几种单点登录联合认证实现方法的比较

表1给出了单点登录实现方法的比较。

表1给出了两种具有代表性的实现单点等录联合认证的实现方式。第一种方式是在一个中心数据库中维护所有“用户”的认证信息,第二种方式是在每一个域中维护“用户”认证信息。Passport和liberty Alliance是采用中心数据库的单点认证方法。使用由微软公司开发的Passport,用户加入由微软公司管理的Passport服务器并通过提交其标识符进行认证。liberty Alliance的开发目标是根据ID为联合网络ID管理和业务制定标准。而Keberos,WS-security和SAML均是将认证信息附加到Web业务消息中来进行。Keberos是基于ticket来进行的。通过将ticket附加到SOAP消息中,用户的认证信息通过中间物被投递到目的域SAML是由OASIS规定的实现单点等录的标准规范。SAML规定安全令牌的类型并提供使用断言包含令牌的基于Web的单点等录。

3 SAML规定的单点登录联合认证技术

图3给出了SAML规定的单点登录联合认证流程。在SAML中规定了两个重要的角色,业务提供者(SP)和标识提供者(IdP)。在业务提供者中增加对SAML规定的断言进行相关处理的部分功能,在IdP中根据用户提交的相关标识信息等进行单点登录相关的断言的生成。

图4中给出了图3中规定的过程的具体流程表示。其中SAML请求者为业务提供者(SP),SAML响应者为标识提供者IdP。

4 联合认证应用情况和适用的领域

一些业务提供者为其应用提供了单点登录的联合认证。典型的应用和产品情况如下:

(1)分布在不同地点或由多个部门组成的机构所提供的多个不同地点的服务或多个部门的服务之间基于联合认证建立单点登录的业务提供者,如包含有15个学院的Texas大学在其15个学院和大学总部之间建立了基于联合认证的单点登录系统以方便各学院之间资源和应用系统的共享。

(2)由提供公共服务的政府部门,在其所组建的分布在不同地点提供公共服务的业务平台之间建立基于联合认证提供单点登录系统,如瑞典的IT和商务服务公司以及公共医疗咨询服务机构Logica,为使使用BIF(Basic Services for the Provision of Information)系统的各方共享患者的医疗信息组建基于联合Entegrity、Entrust、IBM、Identrus、Intrusic、Netegri-认证的单点登录系统。

(3)Google Apps针对web应用提供基于SAML的单点登录(SSO)服务。其中Google作为业务提供者提供Gmail和PSP(Partner Start Pages)业务。Google的其他合作者作为身份提供者。

(4)一些厂家开发了基于联合认证的身份管理相关的产品,这些厂家包括:

Entegrity、Entrust、IBM、Identrus、Intrusic、Netegrity、Oblix、RSA Security、Sun Microsystems

(5)Internet 2在其网络范围内组建基于联合认证系统以增强高等教育和研究机构之间的资源共享。

(6)英国电信运营商BT目前正在进行联合身份管理的系统试验,该系统将涉及到其所拥有的8百万Internet用户和企业消费者。

摘要：本文介绍IP网络业务单点登录技术、几种联合认证技术的比较以及基于SAML的联合认证技术,最后介绍联合认证技术的主要应用领域。

网络实名认证 篇9

1.1 IP网络上业务联合认证带来的便利

世界上的许多发明创造来源于仿生学,而虚拟世界(互联网世界)上的许多应用和规则来源于现实世界上已有的应用和规则。在现实世界中随着社会的发展和人们之间业务交往的不断增加,全球各国之间的合作交流越来越多,这不可避免地要有国家之间的人员往来,为保证各国安全,在有双边协议的国家和地区之间具有人员互访的相关政策,其中普遍使用的是护照和签证制度。下面以一个主权国家外的人员进入一个主权国家时需要进行的相关认证和授权流程:

(1)从人出生开始就针对每一个人做一些相关的身份档案(如出生证明等);

(2)根据其个人信息由国家的权威结构(如国家公安管理部门)认证并签发身份证件(身份证、护照等),并根据相关规定定期进行审查和核实工作;

(3)在某人需要获得某项许可(如进入国境)时,由相关的机关或管理部门(如大使馆等)针对申请人历史资料信息以及其他相关的政策或策略信息进行授权(如签证等);

(4)然后获得签证的人员可以在签证允许的范围内进入获得签证的国家。

在一个国家的公民获得进入某个其他需求进行签证国家的签证过程可以看出,其中一个公民的护照便是该公民的一个身份标识,在申请签证时所提交的相关材料与拟进入国家的相关政策为是否给予签证的策略,而所获得的签证便为对申请签证公民的授权。对于非生根签证成员国的签证而言,该签证仅可作为进入签发签证的一个国家,而对于生根签证成员国(即德国、法国、西班牙、葡萄牙、荷兰、比利时、卢森堡、意大利、希腊、奥地利、芬兰、挪威、冰岛、瑞典、丹麦)所给予的签证,则相当于“联合的”签证。

若将上面的现实社会中的签证获得过程对应于虚拟空间的认证和授权而言,非生根签证成员国的签证对应于访问一个业务系统需要进行一次认证,而申根国家的签证则对应于通过一个业务系统的认证和授权,并可以访问具有联合协议关系的其他业务系统的联合认证。而对于生根签证国家之间具有联合确认的给予签证的共同原则并在具体实施时使用,在得到生根签证的人员进入到生根成员国中非签证授权国时根据各国的要求需要进入该国的人员在规定的时间内到专门机构进行登记。生根签证的方便性给国家和个人都带来了很大的方便,为此加入到生根成员国的国家逐渐增加。

若将覆盖全球的Internet看作是一个虚拟的世界的话,则可以将在Internet网络上提供各种业务的IP网络业务系统类比于各个国家。在目前所采用的业务系统访问控制方式与进入各个国家前需要获得护照和签证相类似。由于IP网络上的业务系统的种类和数量远远超过现实社会中的国家的数量,为此在现实社会中在签证方面可以采用几个国家联合起来组成一个生根成员国组织,在虚拟世界中也以采用类似的方式在多个业务系统之间建立起一个联盟,每一个联盟的成员可以有独立的认证和授权系统,其结果可以根据联盟成员之间的协议相互认可。

1.2 IP网络业务联合认证基本需求

在IP网络上进行认证和鉴权与在现实社会上进行类似的认证和鉴权不同点在于,在现实社会中所有关于个人的认证和鉴权是通过个人的签名、个人的照片与本人对应与个人所在的单位以及共同工作的同事等来提供针对个人的一些证明材料,提供的证明材料通常是采用实物来进行。进行认证和鉴权可以采用面对面的方式进行。而在虚拟的网络世界中提供的相关的信息需要通过网络来传递、信息采用的格式和内容的写法需要采用共同遵守的格式和语法进行。目前已经组建了采用不同认证协议的认证和鉴权系统的各业务系统。为此在进行IP网络业务联合认证和鉴权时应考虑如下一些需求:

(1)需要规定各业务系统之间采用的共同认证结果等凭证语法和语言;

(2)需要规定各业务系统之间传递认证凭证等相关信息的封装格式和传输协议;

(3)需要规定进行联合认证系统之间进行联合认证的相关中间件的一致性;

(4)在使用联合认证时尽可能不改变业务系统已经组建的认证和鉴权系统;

(5)使用联合认证的各业务系统之间具有各方均认可的“联盟”协议。

2 IP网络业务联合认证发展背景

2.1 发展背景

事实上联合认证的思想并不是全新的理念,I-ETF的PKIX研究组所制定的一套基于X.509和PKI的第三方认证架构标准就是一个可应用于跨越平台提供相互认证的一种体系架构。我国也建设了基于PKI的CA认证中心,但由于基于PKI的认证系统价格问题和使用时的复杂性。目前基于PKI的认证体系应用与其他业务中仅是理论上的一种方法,很少将其应用于实际应用中。目前IP电话、IP视讯会议系统大多使用RADIUS认证系统实现对与会者的认证,其认证是在一个较为封闭的范围内进行,对于跨系统的认证还没有好的解决方案。

这种情况下自本世纪初,一些组织进行了联合标志管理和联合认证相关标准制定、产品研究、开发和应用试验等工作。

2.2 基本思想

对于每一个业务提供者和每一个内容提供者而言,他们均希望直接对用户进行管理以为用户更好的服务或从用户处获得最大的利益。为此在Internet这个虚拟的世界中,每一个提供有偿信息资源的Web业务提供者均以会员制方式或明码标价的方式从用户处收取相应的信息费用。对于一个用户而言若使用由不同信息提供者提供的服务需要到每一个信息提供者处注册并在使用所提供的业务时通过信息提供者的认证。因每一个信息提供者处均有其各自的认证系统,而传统的认证技术(如Radius协议、Diameter协议等)均是采用客户端—服务器的方式(该种方式非常适合于Web业务本身的客户端—服务器的业务提供方式)进行,故用户在每次使用一个信息提供者提供的业务时均需要进行一次认证。

在这种业务运行方式下,业界目前正在研究在多个信息提供者之间的联盟,在用户已经在这些信息提供者处注册后,信息提供者询问用户是否希望将其与另一个或几个信息提供者处的注册信息进行联合,以便在用户通过了一个信息提供者处的认证后通知与其有联盟关系的其他信息提供者,使得用户在使用其他信息提供者提供的业务时不需要重新进行认证。在这种联盟关系中信息提供者可以使用相同或不相同的认证方式,用户也可以在不同的信息提供者处采用不同的用户名和密码进行注册。

2.3 联合认证技术的实施需解决的相关问题

从“联合”一词本身来看就包含有了多个业务的提供者,而对于认证本身来讲需要使用某种认证技术。谈到联合,不同的业务提供者之间必须对其所提供服务的用户进行身份标识以区分用户的身份,出于隐私的考虑需要区分用户在现实社会中的身份和在网络上使用的临时身份,需要考虑经过认证的认证结果的表示形式以及在相互信任并具有协议的业务提供者之间进行传递所采用的相关协议,传输这些采用标准化的格式的认证结果的传输协议,描述用户及业务系统相关信息的元数据、对于相关协议的一致性检查方式、联合认证技术应用于不同业务环境下的应用配置。

与认证密切相关的问题是授权问题。业务认证的目的一方面是为了验证用户的身份以便对用户使用业务实施计费,另一方面是处于安全的原因,区分用户的不同身份来为用户提供不同种类以及有不同安全级别要求的业务。这就要求提供根据用户提供的信息区分用户的不同属性,根据针对用户不同属性的不同策略来为用户提供相应的业务或服务。这需要有标准化的描述不同策略的格式和方式。

3 IP网络业务联合认证技术发展状况

3.1 国外发展情况

国外在联合认证技术研究起步于2001年左右,现在有试验系统在运行,但还没有形成大规模产业。影响较大的项目有Internet2的Shibboleth项目和Liberty联盟计划,OASIS发布的SAML和XACML标记语言标准,以及Microsoft联合IBM制定的WS-Federation标准。

3.1.1 Shibboleth项目

Shibboleth项目是美国Internet2项目的一个,于2003年公布了1.0版本。研究内容主要为跨机构认证和授权框架,它定义了一种机构间的合作架构,通过一个联邦可以查询所有参加合作的单位。如果有人访问那些共享网络服务,共享服务将通过联邦通知该用户身份的管理者认证该身份。认证工作由身份管理者完成,不属于Shibboleth框架。认证通过后,共享服务将根据服务自身授权的要求向身份管理者提交属性请求,并根据返回的用户属性决定授权。授权工作由被访问的网络服务完成,也不属于Shibboleth框架。可以说,形容Shibboleth最好的词汇是“框架”,它只实现了建立联盟最主要的部分,具体的认证和授权工作都交给机构自己去完成。

Shibboleth的优点是非常灵活,缺点是联盟组织方式太过简单和松散,该项目目前主要应用在教学科研机构。Shibboleth从2003年开始应用于美国的一些大学,2005年该系统的推广得到快速发展,目前全球有超过500个地区在使用该系统,其中芬兰、瑞士、美国和英国等地区基于该项目分别建立了自己的机构联盟,仅美国的联盟InCommon中就有二十多所大学参加。另一个对Shibboleth比较感兴趣的研究方向是网格计算,Globus和Condor项目以此为基础分别开发了GridShib和CondorShib用于加强它们在跨机构合作时的安全管理。

3.1.2 Liberty联盟

Liberty联盟成立于2001年9月,到2006年3月有全球超过150家企业、非盈利组织和政府部门加入该联盟,包括SUN、IBM、Intel、HP、AOL等在网络安全领域国际领先的企业。与Shibboleth相比,Liberty计划提出了身份联合框架(Identity Federation Framework,ID-FF)、身份Web服务框架(Identity Web Services Framework,ID-WSF)、服务接口规范(Service Interface Specifications,ID-SIS)。可以说,Liberty的研究核心是用户身份(Identity),通过在多个身份认证机构之间建立一种信任关系缔结身份联盟,构成信任圈。这种信任关系让一个用户在一个网站登录,也可以访问另一个网站,实现了信任域内部的单点登录和简化登录(Single Sign On,Simplified Sign On,SSO)。

3.1.3 SAML

无论是Shibboleth项目还是Liberty联盟计划,虽然它们在实现跨机构的方式上各有侧重,在技术上却都采用了SAML语言,并且不同程度地影响了SAML语言和跨机构联合认证与授权技术标准的发展。SAML(Security Assertion Markup Language)是一种在不同安全域之间交换身份验证和授权凭证的标准,它主要规范了两部分内容:安全信息交换格式和交换方式。声明(Assertion)是SAML的基本数据对象,定义了需要交换的内容,包括认证声明、属性声明、授权决议声明3种形式。SAML同时定义了一组请求/应答,分别用于在安全实体间交换声明、身份识别符等信息。

致力于电子商务标准化的国际组织OASIS(Organization for the Advancement of Structured Information Standards,结构信息标准推进组织)在2002年5月公布了SAML1.0标准。在2005年公布了SAML2.0标准。并于2006年6月SAML 2.0作为ITU-T建议X.1141成为ITU-T的正式标准建议。SAML语言定义的初衷是安全信息交换,在它的1.0和1.x版本中体现得非常充分。但是,随着Shibboleth和Liberty对SAML的采用和这两个项目在跨域认证和授权以及单点登录方面的影响越来越大,SAML在它的2.0版本中引入了Liberty的身份联合框架ID-FF,与Shibboleth的关系也越来越密切。自身的完善为SAML带来了更为广阔的发展空间,在其他安全项目中也被广泛采用。

3.1.4 XACML

XACML(e Xtensible Access Control Markup Lan-guage)是OASIS在2003年通过的一种通用的访问控制策略语言,它提供了请求主体(用户)与请求目标(资源)的行为(请求)规则的语法(基于XML)。XACML对访问控制策略语言和请求/响应(request/response)两方面都进行了描述。一个请求消息包含进行访问控制决策所必须的属性信息,包括主体(subject)属性的子集、行为(action)的属性、所请求资源(resource)的属性及执行环境的属性集。策略决策机制会根据一组策略对该请求消息进行评估。一个策略由两部分组成:一个目标(target)和一组规则(rule)。目标就是策略实施的对象,而规则是规定请求者提供的属性进行运算的规则。对于访问控制决策可能需要多重策略和规则,XACML定义了许多规则组合算法,从而把多个决策结果组合得到一个结果。当一个请求消息按照策略被评估后,一个XACML响应消息就返回。这个响应消息既传递了一个访问控制决策信息,同时也含有请求者在使用资源时必须履行的义务(obligation)的信息。

XACML体系结构与SAML体系结构是紧密相关的。它们有很多相同的概念,要处理的问题域也在很大程度上重叠:验证、授权和访问控制。但是在同一问题域中,它们要解决的是不同的问题。SAML要解决的是验证,并提供一种机制,在协同实体间传递验证和授权决策,而XACML则专注于传递这些授权决策的机制。

SAML标准提供了允许第三方实体请求验证和授权信息的接口。内部如何处理这些授权请求则由XACML标准解决。XACML不但处理授权请求,而且还定义了一种机制,来创建进行授权决策所需的规则、策略和策略集的完整基础设施。SAML和XACML结合为本项目的实现提供了很好的技术基础。

3.1.5 WS-Federation

Microsoft和IBM是WS-Federation的主要开发者,WS-Federation是两家公司开发的多个Web服务规范之一。这项规范没有建立在SAML 1.x的基础之上,虽然它与SAML和自由联盟ID-FF相似。WS-Federation涵盖与自由联盟ID-FF 1.2同样广泛的功能性,包括对多边身份联邦、账户链接、SSO以及隐私保护的支持。并且同SAML和自由联盟一样,WS-Federation主要通过浏览器限制和一种交换安全令牌的请求/回答协议,实现其目标。

与Liberty联盟和SAML不同的是,WS-Federation对于用于联邦安全服务的令牌是中立的:不管它是用户名/口令字、Kerberos票据、X.509证书,还是SAML断言。这是由于WS-Federation参考了WS-Security并继承了这项规范对多种令牌的支持。目前WS-Federation规范已经由OASIS发布。由于其在实现功能上与SAML有很多相似之处,业界普遍认为WS-Federation规范与SAML将在一段时间内共存。

3.2 国内研究发展情况

国内也于近两年启动了跨机构联合认证和授权相关的试验研究,目前尚处于起步阶段。一直以来,跨高校的资源共享、特别是与国际上其他高校的资源共享是教育科研网络发展的主要目标之一,跨机构统一身份认证和授权技术的发展为这一目标的实现提供了基础。

2005年下半年,北京大学开始相关技术的研究,采用Shibboleth技术,先后与北京邮电大学、成都电子科技大学、清华大学进行了大学之间的身份互相认证和互相授权试验,并且已经完成了与部分大学内部统一身份认证和授权系统的衔接,实际部署跨校网络应用正在进展中。

国家发展改革委员会在2006年CNGI在其CNGI项目中将跨机构统一认证相关课题列为安全领域的研究课题,在2006年国家863项目也将研究与跨机构统一认证的项目作为安全领域的研究课题。目前相关的研究工作正在进展之中。

摘要：本文主要从IP网络业务联合认证所带来的便利和基本需求入手,介绍IP网络联合认证发展背景及国内外发展现状。

网络安全与身份认证 篇10

国际标准化组织将计算机安全定义为为数据处理系统建立和采取的技术和管理的安全保护, 保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露。计算机安全的内容应包括两方面即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护, 免于破坏、丢失等。逻辑安全包括信息完整性、保密性和可用性保密性指高级别信息仅在授权情况下流向低级别的客体完整性指信息不会被非授权修改, 信息保持一致性等可用性指合法用户的正常请求能及时、正确、安全地得到服务或回应。网络系统的安全涉及到平台的各个方面。按照网络的层模型, 网络安全体现在信息系统的以下几个层次物理层、链路层、网络层、操作系统、应用平台和应用系统。

2、网络安全应具备的功能

安全的网络系统一般应具备以下功能: (1) 访间控制 (2) 检查安全漏洞 (3) 攻击监控 (4) 加密通信信息 (5) 认证 (6) 备份和恢复 (7) 多层防御 (8) 隐藏内部信息 (9) 设立安全监控中心。

3、网络安全体系结构

按照现在通行的观点, 网络安全涉及到三个方面的内容网络硬件、网络操作系统即对于网络硬件的操作与控制、网络中的应用系统。若要实现网络的整体安全, 考虑上述三方面的安全问题也就足够了, 但事实上, 这种分析和归纳是不完整和不全面的, 因为无论是网络本身还是操作系统与应用程序, 它们最终都是要由人来操作和使用的, 所以还有一个重要的安全问题就是用户的安全性。目前, 五层次的网络系统安全体系理论已得到了国际网络安全界的广泛承认和支持。按照该理论, 在考虑网络安全问题过程中, 应该主要考虑以下五个方面的问题: (1) 网络层的安全性 (网络层安全性问题的核心在于网络是否得到控制, 每一个用户都会拥有一个独立的地址, 这一地址能够大致表明用户的来源所在地和来源系统。) (2) 系统的安全性 (主要考虑的问题有两个一是病毒对于网络的威胁;二是黑客对于网络的破坏和侵入。) (3) 用户的安全性 (用户的安全性问题, 所要考虑的问题是是否只有那些真正被授权的用户才能够使用系统中的资源和数据) (4) 应用程序安全性 (涉及两个方面的问题一是应用程序对数据的合法权限, 二是应用程序对用户的合法权限数据的安全性数据的安全性问题所要回答的问题是机密数据是否还处于机密状态。) (5) 数据的安全性 (数据的安全性问题所要回答的是:机密数据是否还处于机密状态。)

4、身份认证技术

从上述网络安全概念上可以看出, 认证技术是网络安全的重要手段, 用户认证系统主要是通过数字认证技术, 确认合法用户的身份, 从而提供相应的服务。

4.1 身份认证的基本步骤

决定真实的身份包括如下步骤:第一个步骤要给实体赋予身份, 并绑定身份, 决定身份的表现方式。目前, 可采用如下方式完成身份的赋予和表示 (1) 系统管理员为用户提供账号和口令 (2) 网络管理员为每台机器赋予IP地址 (3) 分配对称密钥的方法 (4) 分配公钥、私钥的方法 (5) 产生公钥的证书授权方法 (6) 安全人员建立名字和指纹序列的联系。可靠的身份认证, 是保护网络系统受到诸如伪装和内部人员修改攻击等破坏的第一步。第二个步骤通信和鉴证对实体的访问请求, 必须鉴证它的身份, 认证的基本模式可分为三类 (1) 用户到主机。 (2) 点对点认证。认证双方通过认证协议, 互相通信, 获得对方的认证信息, 完成身份认证工作。 (3) 第三方的认证。由充分信任的第三方提供认证信息。

使用安全的通信协议与认证服务器进行通信认证可采用的机制, 应分成简单和加密两种类型。简单性的认证机制, 通过比较被认证实体提供的信息和本地存储的对应信息而基于加密的认证机制, 则建立在加密协议对数据的加密处理的基础上。通信双方可能持有公共的密钥通常存储在硬件的令牌里从而实现挑战应答的协议, 完成认证。其它机制, 可以只是基于公钥和公钥同公钥证书之间的对应关系我们可分别举例如下:身份是本地定义的名字, 所有可能参与通信的对象的名字都在本地的一个把它们的身份同其公钥联系起来的可信的数据库当中使用所存储的公钥验证数字签名, 就可以实现身份的鉴别。

4.2 身份认证的基本方法

4.2.1 单因素认证方法

单因素认证方法, 通常采用如下形式当用户需要访问系统资源时, 系统提示用户输入用户名和口令系统采用加密方式或明文方式将用户名和口令传送到认证中心, 并和认证中心保存的用户信息进行比对。

4.2.2 双因素认证方法

在对安全性要求较高的网络系统中已经广泛采取了多种不同形式的双因素认证力一法。在实现方式上通常是将口令认证和其他认证方法相结合、目前流行的认证方式有以下几种类型: (1) 生物识别认证方法 (生物识别方法是利用操作人员的身体生物特征作为在网络上识别身份的要素。) (2) 智能卡识别方法 (每个系统用户都持有一张智能卡, 卡内存放系统预置的电子证书用户需要访问系统时需要将智能卡插人到终端的智能卡读写器中认证中心不仅要核对用户的口令, 同时要核对智能卡是否和登录用户的信息一致而且可以用智能卡对用户卜传的信息进行加密处理, 保证信息在网络传输的安全性。) (3) 时间同步动态口令 (每个系统用户都持有一只时间同步动态口令计算器。计算器内置时钟, 种子密钥和加密算法。) (4) 挑战、应答动态口令 (每个系统用户都持有一只挑战应答动态口令计算器, 计算器内置科子密钥和加密算法, 用户需要访问系统时, 认证系统首先提示输人用户名和静态口令。认证通过后系统在下传一个中心认证系统随机生成的挑战数, 通常为一个数字串, 用户将该挑战数输人到挑战应答计算器中, 挑战应答计算器利用内置的种子密钥和加密算法计算出相应的应答数, 通常也是一个数字串, 用户将该数宇串作为应答数上给认证中心。)

摘要：本文系统介绍了计算机网络安全的完整概念和内容, 详细分析了网络安全的体系结构, 并深入探讨了身份认证的基本方法及其实现。

关键词：网络安全,系统安全,用户安全,身份认证

参考文献

[1].Andrew S.Tanenbaum计算机网络[M].潘爱民译.北京:清华大学出版社2004

[2].康丽军.网络安全中的身份认证机制[J].山西:太原重型机械学院学报;2004 (01)

[3].曲毅.网络安全中身份认证技术的研究[J]淮海工学院学报;2001, (01)

[4].张彩莱.网络安全中身份认证[J]网络安全技术与应用;2001, (04)

网络安全与身份认证技术探究 篇11

随着全球信息化发展和Internet普及, 计算机网络成为社会生活中一个不或缺的工具。连接在网络上的信息系统经常面临各种复杂、严峻的安全威胁, 其安全问题日益突出。广义的网络安全指网络中涉及的所有安全问题, 涵盖系统安全、信息安全和通信安全。系统安全解决的是操作系统范畴的问题, 目的是为上层服务提供可靠的系统调用信息安全的重点是研究密码算法的设计和分析, 其目标是提供安全、高效、可靠的信息变换方法通信安全研究开放的网络环境中通信双方如何安全的传递信息。

目前网络通信主要提供五种安全服务, 即身份认证服务、访问控制服务、机密性服务、完整性服务和抗否认性服务, 所有的网络应用环境包括银行、电子交易、政府以及互联网本身都需要上述网络安全服务支持。

2. 身份认证在网络安全系统中的地位

身份认证用于实现网络通信双方身份的互相验证在网络安全中占据十分重要的位置。用户在访问网络系统之前首先经过身份认证系统识别身份然后访问监控器根据用户身份和授权数据库决定用户能否访问某个资源, 审计系统记录用户请求和行为, 同时入侵检测系统实时监控是否有入侵行为。可见身份认证是最基本的安全服务, 访问控制、审计等其它安全服务都要依赖于身份认证系统提供的用户身份信息。一旦身份认证系统被攻破, 那么系统所有安全措施将形同虚设。

由于身份认证的重要性, 其技术近年来得到飞速发展。从一般常用的静态口令、一次性口令, 到目前研究和开发上比较热的数字证书和生物特征技术。但是根据国外的应用情况以及从我国的国情出发, 一次性口令身份认证技术与其它几种技术比较起来, 由于其安全性高、使用方便、管理简单、成本便宜, 所以是具有广泛应用前景的一种强力身份认证技术。

3. 一次性口令认证

目前常用的身份认证机制大都是基于静态口令的, 该类系统为每个用户维护一个二元组信息 (用户ID、口令) , 登陆系统时用户输入自己的ID和口令, 认证服务器根据用户输入信息和自己维护的信息进行匹配来判断用户身份的合法性。

这种以静态口令为基础的常规身份认证方式能够为系统提供一定的安全保护, 而且操作简单。但是一旦口令泄露, 合法用户身份即可被冒充, 因此很不安全。并且很容易受到网络窃听、重放攻击、字典攻击、窥探等, 而通过更换密码和增加密码长度虽然可以暂保安全, 但是很不方便。

一次性口令又称动态口令, 它的主要思路是:在登录过程中加入不确定因素, 使每次登录传送的认证信息都不相同, 以提高登录过程安全性。例如:登录密码=MD5 (用户名+密码+时间) , 系统接收到登录口令后做一个验算即可验证用户的合法性。

认证阶段:当用户向认证服务器发出连接请求时, 认证服务器向用户提出挑战。挑战字符串由两部分组成:一部分是种子值, 它是系统分配给用户的具有唯一性的一个数值, 该值是非保密的;另一部分是迭代值, 它是认证服务器临时产生的动态变化数值。用户收到挑战后, 将种子值、迭代值和通行短语输入到“计算器”中进行计算, 并把结果作为应答返回认证服务器。认证服务器根据用户的通行短语计算出正确的应答, 然后与收到的用户认证信息进行比较以核实用户身份合法性。

用户通过网络传给认证服务器的口令是由种子值、迭代值和通行短语在“计算器”作用下的计算结果, 用户本身的通行短语并没有在网上传播。只要计算器足够复杂, 就很难从中提取出原始的通行短语, 从而有效地抵御了网络窃听攻击。迭代值总是不断变化, 这使得下次用户登录时的认证信息于上次不同, 从而有效地阻止了重放攻击。

4. 系统概述

本身份认证系统包括身份认证服务器、认证客户端和代理软件三部分。身份认证服务器存放各种用户的身份认证信息, 以及本地的一些安全参数信息, 在实际使用环境中将放置于企事业单位网络的内部网络, 受到防火墙的访问控制保护。认证客户端位于任何待认证的用户主机, 接收用户认证请求或口令修改请求, 执行相应认证协议或口令修改协议, 对请求进行处理后传送给身份认证服务器, 然后将结果返回客户端, 同时它还提供通信过程中的数据加、解密支持。代理软件位于服务器端, 对来自客户端的数据包进行处理, 如果是身份认证和口令修改请求, 则将其转送认证服务处理如果是资源访问请求, 则将其解密后转送网络接入服务器。在一次认证过程中, 用户在认证客户端输入认证口令信息, 作必要的密码处理之后, 发送给身份认证服务器。身份认证服务器验证用户认证信息的真实性, 合法用户在通过认证服务器的身份认证之后, 可以对网络中资源服务器的资源进行访问。

5. 协议流程

协议初始化阶段, 身份认证服务器在本地数据库中为每个用户创建一条包含如下字段的记录:<用户ID号、用户名N、用户口令的哈希值H (PW) >, 并用认证服务器的公钥对数据库字段加密。只有初始化后的用户才可能参与后续的身份认证以访问系统资源。

协议详细的实现过程如下:

用户输入用户名N, 向认证服务器发出认证请求。

认证服务器检索数据库, 若无与之匹配的N, 则拒绝认证请求;否则选择随机数y, 计算, 然后将R作为挑战信息传给用户, 同时提示用户输入口令。

用户将收到的值与自己计算的结果进行比较。如果二者相等, 则通过对认证服务器的验证, 登录成功;否则拒绝登录。

在此后的会话过程中, 双方使用作为会话密钥加、解密通信内容。

对于身份认证系统, 提供用户对口令的自主修改是它的一个基本功能, 可以有效防范口令猜测攻击, 增强认证系统安全性和稳健性。

修改口令协议如下:

用户将收到的值与自己计算的结果进行比较。如果二者相等, 则确认认证服务器己成功完成新口令的修改, 在随后的登录过程中需要启用新口令登录否则本次口令修改失败, 用户登录口令保持不变。

摘要：身份认证就是证实用户真实身份与其所声称的身份是否相符, 以防止非法用户通过身份欺诈访问系统资源的过程。一次性口令身份认证技术安全性高、使用方便、管理简单、成本便宜, 具有广泛的应用前景。一次性口令就是在登录过程中加入不确定因素, 使每次登录传送的认证信息都不相同, 以提高登录过程安全性。本文设计了一个一次性口令身份认证系统, 对网络结构工作流程密码算法等进行了详细论述。

关键词：网络安全,身份认证,口令

参考文献

[1]李金晶.关于网络安全中身份认证技术的探讨.科技进步与对策.科技进步与对策.2002.8.

[2]李涛, 欧宗瑛.基于个人特征的身份认证技术的发展与运用.计算机工程.2000.12.

[3]王小妮, 杨根兴.基于挑战/应答方式的身份认证系统的研究.北京机械工业学院学报.2003.4.