信息系统中的认证技术

信息系统中的认证技术（精选8篇）

信息系统中的认证技术 篇1

0 引言

近几年随着信息化应用程度的深入, 在信息系统中身份识别的安全机制成为首要解决的问题。针对实际应用中对用户身份认证方式的不同需求, 可以分为以下两个方面: (1) 确保登录信息系统的最高权限用户确实是用户本人, 要求一个强因子或者双因子的身份认证机制; (2) 确保真实合法的一般用户可以快速访问信息系统中授权的部分资源, 要求一个快速身份认证机制。第一方面的认证问题可以通过指纹识别与对口令的混沌加密相结合的双因子身份认证方式很好的解决, 而智能卡及读卡器在另一个方面解决了一般用户快速进行合法用户身份验证的问题, 将两者结合起来可以更好地解决信息系统中不同等级需求用户身份的可信问题。本文根据信息系统当中使用的不同等级用户, 结合指纹识别, 混度密码学及智能卡的特点提出一种有效的多种身份认证相结合的体系。

1 指纹识别、混沌加密及智能卡基本原理

1.1 指纹识别技术的基本原理

指纹识别技术是通过计算机实现的身份识别手段, 也是当今应用最为广泛的生物特征识别技术。指纹是人手指的图案、断点和交叉点上各种不相同的纹路。几乎所有指纹识别算法都是先建立指纹库, 识别指纹时, 在指纹库中查找, 并匹配指纹的特征。为了提高指纹的对比速度, 先将指纹的特征分为全局特征和局部特征。指纹的全局特征是指用人眼直接就可以观察到的特征, 包括指纹的纹型、模式区、核心点、三角点、纹数等。局部特征是指指纹上节点的特征。在进行指纹匹配时, 先匹配指纹的全局特征, 再匹配指纹的局部特征。要进行指纹识别的前提是进行指纹提取, 本系统指纹图像的提取主要通过电容式传感器。电容式指纹传感器在半导体金属阵列上能结合大约100, 000个电容传感器, 其外面是绝缘的表面, 人类的指纹由紧密相邻的凹凸纹路构成, 通过对每个像素点上利用标准参考放电电流, 然后由参考电流放电。处于指纹的凸起下的像素 (电容量高) 放电较慢, 而处于指 (电容量低) 放电较快。这种不同的放电率可纹的凹处下的像素通过采样保持 (S/H) 电路检测并转换成一个8 bit的灰度数字图像, 这种检测方法对指纹凸起和低凹具有较高的敏感性, 并可形成非常好的原始指纹图像。通过图1所示的过程, 采用相应的软件算法可以进行指纹识别。这种软件采集原始纹图像, 将图像信息数字化并提取其中的细节模板, 然后进行测试, 确定提取的细节模板是否与参考模板吻合。

1.2 混沌加密

混沌是指确定性系统中出现的类似随机的过程。这种过程是非周期的, 整体上稳定而在局部上具有扩张性。由于混沌信号的隐蔽性、不可预测性、高度复杂性和易于实现等特性, 使得其适用于保密通信。混沌序列加密属于序列密码加密, 其加密原理与序列密码加密原理相似, 不同点在于一般的序列密码是利用移位寄存器为基础的电路来产生伪随机序列作为密钥序列, 而混沌序列加密是利用混沌系统迭代产生混沌序列作为密钥序列, 其加/解密原理如图2所示。其中{Mi}为明文数据流, {Ci}为密文数据流, {Ki}为密钥流。

1.3 智能卡

智能卡是一种镶嵌有单片机芯片的卡, 本系统采用目前应用最广的无线智能卡, 此智能卡又称射频卡是一种无源 (免供电) 内藏感应线圈和特殊密匙数码的密码卡, 它利用双向无线电射频技术, 完成卡的数码识别, 亦即代表了持卡人的身份和相关信息。为了支持一卡多用的安全使用, 允许多个应用在智能卡中下载其特殊用户命令, 对相应的存储区域设立地址比较寄存器, 在用户模式时, 程序的访问要受地址比较寄存器的限制。只有地址比较寄存器所规定的地址空间才可被访问。以实现多个应用的隔离, 使得每一应用只能访问其自身的数据或用户命令, 而不能访问其他应用的数据或命令。下面介绍一下智能卡的对称鉴别体制, 机理:采用DES算法, 共享一个共同的密钥K, 其鉴别过程如图3所示。其中X′=f (K, R) 为加密运算, R′=f (K, X′) 为解密运算。

2 基于电话信息系统身份认证机制的设计与实现

2.1 针对电话信息系统中身份认证的设计

目前, 在传统电话系统的应用中, 对于外拨电话的用户主要使用接触式IC卡或卡密进行外拨, 而对于使用应用操作系统进行系统管理的用户, 安全访问还是通过口令密码实现。但是一般的接触式IC卡存在一些问题: (1) 接触式IC卡没有身份认证机制容易丢失或被盗取而类似的201卡进行身份认证的过程比较复杂; (2) 不利于对用户管理, 特别是对用户的外拨权限进行限制。而口令密码存在以下问题: (1) 密码一般是保存在文件或者数据库相关字段当中, 一旦入侵者打开文件或者进入数据库相关表会给用户带来安全隐患; (2) 用户向系统输入的是明文形式的口令, 攻击者可从通信线路截取用户的口令; (3) 用户无法检验系统的身份, 可能被虚假的系统骗取了正确的口令或其他有价值的信息。

智能卡身份认证和指纹识别认证技术具有不同特点, 这要求仔细权衡两者的安全性和方便性指标, 发挥各自的优势。本文针对电话信息系统不同用户安全等级需求, 研究并提出一种针对不同权限用户的多种身份认证体系, 以满足电话系统当中对用户身份认证的安全性、可靠性和灵活性要求。系统框图如图4, 针对最高权限管理员, 采取先将提取的指纹特征与指纹库指纹进行匹配, 认证通过后进行口令的输入, 经过Logistic映射混沌加密的口令与数据库服务器中的加密口令进行对比, 如果一致则完成身份的认证过程进入电话系统的管理界面。针对需要快速拨打电话的普通用户, 采取通过电话机内置的读卡器读出射频卡中用户ID与口令, 与数据库中存储的相关字段进行对比, 如果通过即完成身份识别, 提示用户根据授权电话进行外拨。

由于电话系统当中系统管理员可以对电话资费, 每个特定用户拨打号码的权限等等进行设置, 那么就需要一个强因子的身份认证方式对系统管理员的身份认证进行验证, 对电话系统最高管理权限的身份认证流程框图如图5所示。众所周知, 指纹具有惟一性、不变性、便携性的优点, 利用指纹则可以惟一鉴别一个人的身份。通过指纹识别技术加上对口令的混沌加密方式就能真正实现人与证的统一。通过两个强因子验证用户身份, 既可防外贼, 又可防内贼, 安全强度大为提高。对于普通用户拨打电话的身份认证流程框图如图6所示。无线智能卡中存有犯人的ID编号与密钥, 犯人通过电话机上的读卡器读取密钥进行对称鉴别体制的身份识别, 通过认证后取出对应存储扇区中的ID编号提交到数据库服务器, 以ID编号为关键字找到犯人受限的外拨电话号码及外拨权限等相关信息进行外拨电话。这样即可以有效的对普通用户的外拨权限进行限制, 而且可以解决智能卡被盗或遗失等问题。

2.2 电话系统中指纹与智能卡的编程实现方式

本系统指纹识别通过厂家提供指纹设备与智能卡读卡器各种接口方式的动态库, 指纹认证服务器提供标准的认证服务接口, 系统扩展只需在新的系统中加入指纹设备的驱动, 并根据指纹认证服务器接口提交认证请求, 即可完成其他系统接入到指纹识别系统中。其中指纹识别三种动态库接口为:

(1) int verify_finger (char*finger Tz, char*finger Mb1, char*finger Mb2, char*finger Mb3, char*finger Mb4, int level) 进行指纹比对;

(2) int verify_clerk_finger (char*finger Tz, char*clerkcode, char*finger Mb1, char*finger Mb2, char*finger Mb3, char*finger Mb4, int level) 进行特定人员指纹比对;

(3) char*find_clerk_finger (char*finger Tz, int level) 进行查找人员指纹。

智能卡读写函数操作方法, 由oem Phone.dll和Card Func.dll两个文件构成, 使用时直接调用oem Phone.dll。使用时在读写卡之前先打开端口Open Comm。卡操作函数中提供寻卡函数 (Find Card) , 如果发现读卡器上有卡, 该函数返回卡序列号。电话卡管理使用Manage Oem Phone Card, 电话参数卡使用Manage Oem Phone Para管理, 在读写完卡之后可以让读卡器蜂鸣, 蜂鸣函数为RFBeep, 不再使用或应用程序退出前调用Close Comm关闭端口。其中智能卡的五种接口原型为:

(1) Long Open Comm (long l Port, long l Baud Rate) 打开端口;

(2) long RFBeep (HANDLE h Port, int type) 发卡器蜂鸣提示;

(3) long Find Card (HANDLE h Port, long*l Card SNR) 智能卡寻卡操作;

(4) long Manage Oem Phone Card (HANDLE h Port, Phone Oem Info*p Info) 智能卡读写操作;

(5) long Close Comm (HANDLE h Port) 关闭端口。

3 结束语

本文提出了一种采用指纹识别和对口令混沌加密的强双因子身份认证与智能卡身份认证技术相结合的体系, 用于取代传统口令或者射频卡的身份认证方式。采用指纹模板的比对并取出登录人对应的登录次数作为混沌序列的初始值, 从安全性和健壮性上满足要求。通过工程实现和实践检验, 该身份认证体系采用生物特征识别技术与对口令混沌加密技术用来创建监狱亲情电话系统平台中以人为源头的信任链, 使用智能卡技术用来进行外拨用户信任关系的传递, 很好的解决了监狱亲情电话系统中用户真实身份的确认。

参考文献

[1]郑丽, 董渊, 张瑞丰.C++语言程序设计 (第三版) .北京:清华大学出版社.2003.

[2]Lamport L.Password Authentication with Insecure Communication.Communications of the ACM.1981.

[3]陈锋, 覃征.基于指纹识别基于指纹识别与PKI的电子政务身份认证体系.计算机工程与设计.2007.

[4]刘新.用c++语言实现对口令的混沌加密.计算机安全.2006.

[5]Sun H M、An Efficient Remote User Authentication Scheme Using Smart Cards.IEEE Trans on Consumer Electronics.2000.

条码技术在物流信息系统中的应用 篇2

[关键词] 物流系统条码技术自动识别第三方物流

一、什么是条码技术

条码（bar code）是利用光电扫描阅读设备来实现数据输入计算机的一种代码。它是用一组按一定编码规则排列的条、空符号，用以表示一定的字符、数字及符号组成的标记，如图1所示。

条码的分类方法有许多种，主要依据条码的编码结构和条码的性质来决定。例如：按条码的长度来分，可分为定长和非定长条码；按排列方式分，可分为连续型和非连续型条码等。

条码(BAR CODE）技术主要包括:条码编码原理及规则标准、条码译码技术、光电技术、印刷技术、扫描技术、通信技术、计算机技术等。

二、条码技术与物流系统的关系

1.物流系统分析。物流即物质实体从供给者向需求者的物理性移动。因此，物流既存在于流通领域，也存在于生产领域，可以说是无处不在，无孔不入。

物流活动的当事人涉及到物流服务的需求方和物流服务的提供方。物流服务的需求方通常是指生产方和消费方，即产品流通过程的起点和终点，又称为物流的第一方和第二方。物流服务的提供方则是为物流的第一方和第二方提供产品在二者之间进行有效移动各环节所发生的一切服务，因此又称为第三方物流。本文的重点是从第三方物流方面讨论物流企业的物流信息管理系统。

2.条码与物流的关系。条码技术是最基本的物流管理手段之一，它极大地提高了数据采集和信息处理的速度，提高了物流效率，并为管理的科学化和现代化做出了很大的贡献。

条码技术为我们提供了一种对物流中的物品进行标识和描述的方法，它能将物流对象的有关信息通过条形码（可以是一维或多维）的方式记录下来，形成各种货物有别的“身份证”，再利用扫描仪对条码的扫描，可准确识别物流对象的信息。物流过程不论是在储存、搬运、销售或是配送，通过条码技术都能够快速提高物流效率和物流的准确性。条码是实现POS系统、EDI、电子商务、供应链管理的技术基础，是物流管理现代化、提高企业管理水平和竞争能力的重要技术手段。

三、基于条码技术的物流信息系统的功能设计

通过对物流企业的需求分析，设计出针对第三方物流企业的基于条码技术的物流管理信息系统的各项功能，如图2第三方物流信息系统的功能结构图。条码最主要应用于仓储管理系统和配送管理系统中，主要介绍一下这两方面的功能。

1.条码应用于仓储管理系统中。在仓储管理系统中，利用条码技术，无论仓库中的商品流向哪里，只要对商品包装上的条码进行扫描，就可自动记录下物品的流动情况，随时掌握库存物品情况。条码技术与信息处理技术的结合，使我们能够合理地、有效地利用仓库空间，优化仓库作业，并保证正确的进货、验收、盘点和出货，快捷地为客户提供优质的服务。

仓库管理系统引入条码技术后对仓库的到货检验、入库、出库、调拨、移库移位、库存盘点等各个作业环节的数据都可以进行自动化的数据采集，保证仓库管理各个作业环节数据输入的效率和准确性，确保企业及时准确地掌握库存的真实数据，合理保持和控制企业库存。通过科学的编码，还可方便地进行物品的批次、保质期等方面进行管理。

2.条码应用于配送管理系统中。在配送货物过程中，首先订货信息利用计算机网络传输到仓储中心，然后通过打印机打印，以条形码及拣货单的形式输出（条码分别记录预拣选的商品的编码和出货地编号）。仓储中心的操作人员将条码贴在集装箱的侧面，并将拣货单放入集装箱内。在拣货过程中，集装箱一旦达到指定的货架前，自动扫描装置会立即读出条码的内容，并自动进行分货。工作人员根据拣货单的要求，将拣选好的货物放入集装箱内，待作业结束后，只要按一下“结束”钮，装有货物的集装箱便会顺序的向下一个货架移动。等到全部作业结束后，相关人员利用自动分拣系统将贴有条码的集装箱运往指定的出货口，转入发运工序。因此在配送系统中运用条码技术，极大的提高了配送的运行效率和运行速度。

四、总结与展望

总之，条码技术是在计算机技术与信息技术基础上发展起来的一门集编码、印刷、识别、数据采集和处理于一身的新兴技术；是现代物流管理、提高企业管理水平和竞争能力的重要技术手段之一。

对于条码在物流中的应用在此仅讨论了一小部分，对于大多数问题和关键技术,还是需要我们进一步研究和探讨的新的课题。

信息系统中的认证技术 篇3

1 身份认证系统简介

身份认证技术是在计算机网络中确认操作者身份的过程而产生的有效解决方法。计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的, 计算机只能识别用户的数字身份, 所有对用户的授权也是针对用户数字身份的授权。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者, 也就是说保证操作者的物理身份与数字身份相对应, 身份认证技术就是为了解决这个问题。作为防护网络资产的第一道关口, 身份认证有着举足轻重的作用, 对用户的身份认证基本方法可以分为三种: (1) 基于信息秘密的身份认证; (2) 基于信任物体的身份认证; (3) 基于生物特征的身份认证。

近些年来, 企事业单位的信息化程度进一步提高, 伴随而来的是对于计算机信息安全的担忧, 而身份认证技术作为计算机信息安全的大门, 起着相当重要的作用。因此, 在企事业单位中推进身份认证机制, 对计算机信息起到了有效的保护作用。在以往的信息安全防护中, 由于各个电脑可能是不同的权限需要不同的密码, 使用者必须熟记多个账户名和密码并需要重复登录才能完成操作, 相当繁琐。为了简化登录同时提高计算机信息安全防护的能力, 可以采用用户身份认证技术, 通过在企事业单位建设的数字办公网中加入身份认证技术, 将原有的计算机网络资源整合成一套统一完整的系统, 从而使用户身份认证技术在这一统一的系统简化登录、提高效率和信息安全防护水平方面做出贡献。

2 用户身份认证技术在计算机信息安全中的应用

目前, 计算机及网络常用的身份认证方式主要如下: (1) 用户名+密码的登录方式, 这种方式是最简单也是最常用的方法; (2) 通过IC卡认证的方式; (3) 使用动态口令卡进行身份认证的方式; (4) 生物特征认证的方式: (5) USB Key认证认证的方式。以上这些都是身份认证中较常采用的方式。

基于PHP的用户身份认证将会通过Web Service来使其能够通过网络进行使用, 即将原来的各个分散的登录系统与数据库进行链接, 使其能够统一认证、管理和授权。采用这种身份认证技术的优点如下: (1) 基于原有的认证系统进行二次开发, 使其能够将原来分散的管理进行统一、集中、有效的管理, 这种在原来的系统上进行开发的方式不但能够大幅降低开发成本而且在原来的系统进行开发能够减少修改原有系统造成的影响。 (2) 在登陆系统中只需要认证一次, 在进行不同的权限的系统操作时不需用再次登陆。 (3) 将原先各个分散独立的系统整合成一个统一的数据库。 (4) 这种整合后的认证系统在整合性和扩展性方面具有良好的性能, 在兼容性方面, 能够对原有的业务和原有的用户数据库进行良好的整合, 在以后如果需要增加新的功能, 只需要将现在的身份认证的集成集中导入即可。 (5) 在设计身份认证技术时, 其应用设计灵活, 该身份认证系统要能以多种方式加以运用。

3 通过使用PHP作为基础程序来设计互联网身份认证系统

基于PHP用户身份认证系统按照保障计算机信息安全的原则, 将原有的身份认证系统进行整合, 建立起统一的身份认证系统, 通过使用PHP技术来设计用户身份认证系统。管理对Web页面和应用程序的安全访问是一个常见问题, 管理者希望允许哪些受信任的用户访问数据, 同时防止未经授权的用户获得数据的访问权。大多数情况下, 基于数据库的身份验证是此类问题的解决方案。

身份验证系统包含一个访问控制列表 (ACL) , 该列表可列出用户凭证并将其匹配到指定的系统权限。凭证通常是一个用户名/口令对, 凭证可以将用户链接到系统权限。系统权限允许帐户访问或修改数据, 以及执行子系统或子例行程序, 帐户可以是用户、组或系统。如何在基于PHP的Web应用程序中实现身份验证、如何设计和实现身份验证数据库模型, 以及在基于浏览器的应用程序中计划和管理用户交互的过程如下:从Web页获得凭证, 并根据ACL对其进行验证。无论浏览器是否接受Cookie, 它们都可让使用者正常工作。基本HTTP/HTTPS和摘要HTTP方法都针对领域进行验证 (而不使用Cookie) , 而会话管理至少需要写入一个会话ID Cookie。当使用者将会话ID作为URL的一部分发送时, URL重写会带来一些安全风险, 因为某些用户即时消息会URL发送给其他人, 这样其他人就可以劫持授权, 以访问或泄漏机密数据。URL重写的替代方法是, 将会话ID置于呈现的Web页面中作为隐藏域, 尽管这会带来某些漏洞, 但比将会话附加到URL的风险小。PHP验证脚本接收用户名和口令的名称/值对, 然后脚本将该名称/值对与ACL中存储的数据进行比较。构建身份管理数据模型可以很简单, 也可以很复杂, 最简单的模型是一个包含应用程序ACL的表, 更有效的身份验证解决方案应该支持捕获和挖掘用户交互, 这不同于为单个事件调用的Web页面列表。较大的模型可让使用者根据对模块的运行时调用来跟踪已定义模块的版本, 实现模型的具体细节视使用者的目标而异。如果ACL存储在数据库中, 则意味着最初登录和后续连接时需要执行不同的身份验证。最初登录时, 将连接到数据库, 并从数据库表中读取用户名和加密口令值;然后, 将结果与已提交的明文用户名和加密口令进行比较;执行后续Web请求时, 将连接到数据库, 读取会话ID, 然后将结果与已提交的会话ID进行比较。

本文就用户身份认证系统在计算机信息安全中应用的必要性进行了阐述, 依据身份认证技术原理, 采用PHP脚本语言自动提供动态验证码为用户校验账号和密码, 进而实现了用户身份认证技术在计算机信息安全中的应用。

参考文献

信息系统中的认证技术 篇4

根据江苏电力公司桌面标准化管控推广实施要求，结合无锡供电公司自身运行管理实际，无锡供电公司选择在辖属某生产基地试点实施了网络接入认证工作的具体实施，认证技术主要是基于IEEE802.1X技术，采用国网桌面标准化管控系统的自带功能，使用windows自带radius认证服务器软件进行认证。2.802.1X认证技术基本原理

IEEE 802.1x是IEEE为了解决基于端口的接入控制而定义的标准, 被称为基于端口的访问控制协议 (Port basenetwork access control protocol) [1]。

802.1x是基于Client/Server的访问控制和认证协议, 它应用于交换式以太网环境时, 要求客户和与其直接相连的设备都支持802.1x；而应用于共享式以太网环境时, 还应对用户名、密码等关键信息进行加密传输。802.1x的体系结构包括三部分:客户端SupplicanSystem、认证者系统Authenticator System、认证服务系统Authentication Sever System。

客户端是位于局域网段一端的一个实体, 一般为一个用户终端设备, 用户通过启动客户端软件发起802.1x认证。认证系统通常指那些支持802.1协议的网络设备 (如交换机) , 其对应不同用户的端口被分为两个逻辑端口：受控端口和非受控端口。非受控端口用于传递EAPOL协议帧, 它始终处于双向连通状态, 以保证客户端始终能够发出认证请求或接受认证服务信息；受控端口只有在认证通过后才打开, 传送正常网络数据。认证服务器系统的主要功能是通过检验客户端发送来的用户名和口令等身份标识来判别用户是否有权使用网络系统提供的网络服务, 并根据认证结果完成对认证系统端口的管理。

基本的认证过程为:客户端通过内部的PAE (端口访问实体) 发出认证请求，认证系统PAE将用户信息和请求参数等作为一系列请求消息流发送至认证服务器。认证服务器收到消息后，首先由认证服务器PAE处理相关的连接建立请求，再由认证服务器查询控制信息数据库，完成用户身份鉴定，并根据授权规则对通过认证的用户进行授权。

3. 基础信息

该生产基地是无锡供电公司最主要的集中办公基地之一，多个公司主要单位部门在此办公，桌面台帐使用数在几百台左右，部门级服务器几十台左右、还有其他一些网络设备，如硬盘录像机、门禁控制器、网络打印机和某些自动化设备。部分办公室因计算机数量超出网络端口数量，安装有集线器HUB设备，主要是Dlink产品（无法远程管理）。

4. 实施过程

4.1. 实施准备

4.1.1. 统计不能进行认证的设备

两类情况：a.由于像网络打印机、硬盘录像机、门禁控制器等设备无法安装国网桌面管控客户端，因此对其所连接的交换机端口需要进行认证排除；b.还有像业务应用服务器，经技术测试因为可能同业务应用有软件冲突，且不是桌面终端，也确定无需认证，对上述设备所连接的交换机端口也需要进行认证排除。

可以按照如下表格对上述两类设备进行统计：不使用网络接入认证的设备清单

4.1.2. 对交换机的信息进行统计

按照如下表格对交换机的信息进行统计；该基地网络接入认证交换机设备清单

4.1.3. 准备支持802.1X功能的IOS

根据资料显示和多次同国网信通公司技术人员的沟通，同时经实际测试发现，

以上三个版本的IOS均能支持802.1X功能；

4.1.4. 交换机的配置

每一台交换机都需要如下配置方能够支持802.1x认证，具体代码如下：

全局配置：

4.1.5. 桌面管控软件安装

每一台要求接入网络的计算机必须安装国网标准化客户端软件而且正确注册，才能顺利接入网络。无锡公司重点对该生产基地用户桌面进行逐一认证和清查。

4.1.6. 小范围的测试

在方案实施前，进行了小范围的测试，测试了某部门的一台3550交换机（连了6台计算机，均安装了客户端并进行了注册），对交换机的IOS进行了更新和相应配置，认证实施后，桌面均能通过认证且正常上网，没有安装客户端的计算机接入网络后无法正常使用网络。

4.2. 升级交换机IOS

判断是否需要升级IOS的交换机，只要远程登陆到交换机后，如果交换机上能够支持上节"交换机配置"中的命令则不需要升级IOS，否则要需要升级；根据这个判断准则，我们检查了所有交换机，发现3台2950交换机、1台3550交换机和1台3560交换机需要升级，并在实施前利用晚间时间对其进行升级。

4.3. 交换机配置

升级完成后，我们在实施过程中对交换机进行了配置，根据实施前收集的统计资料仅对相应端口配置了802.1x认证，对连接了网络打印机、服务器等需要排除认证的端口未进行配置。

4.4. 实施后的情况

按照如上步骤进行实施，实施前该基地个桌面已经成功安装注册标准化管控系统客户端。实施过程主要包括上述的交换机配置，用时70分钟左右，大部分桌面计算机在实施后都经历了约十几秒的重新认证时间，随即能通过认证重新使用网络，但还是出现了7台桌面不能上网的情况，虽然安装了国网桌面管控客户端软件，但是在实施后任务栏中没有了图标，因此无法上网（经过会同省公司、信通公司联合技术分析，初步认为这些客户端没有接受SEP服务器中设置管控系统为例外的策略，使得SEP管控系统进程作为病毒去除了）。

4.5. 不能上网情况的解决办法

对于上述不能上网的情况，仅需要在接入交换机上关闭802.1x功能（在全局模式下输入no dot1x system-auth-control命令），不能上网的计算机就能够重新上网，及时更新sep防病毒软件的病毒库，然后再安装桌面客户端软件，接入交换机上启用802.1x功能后，原来不能上网的计算机就能够通过认证正常使用网络。

5. 问题和建议

5.1. cisco交换机接入认证存在的问题

目前无锡供电公司某生产基地使用的全部是cisco交换机，cisco交换机在支持802.1x协议上有两种模式，一种是单用户模式，一种是多用户模式，两种模式的特点具体说明如下：1）单用户模式：cisco交换机默认端口下启用该模式，如果启用了该模式，当端口下级联了hub，假设hub下连接了6个用户，则其中只要一个用户认证通过可以使用网络，其他用户则不能使用网络；由于该生产基地桌面众多，区域计量中心计算机比例高，布线较老，多出办公室人在使用hub，无法做到交换机端口与桌面一一对应，如启用单用户模式则将影响很多桌面的正常使用。2）多用户模式：如果启用了该模式，当端口下级联了hub，假设hub下连接了6个用户，则其中只要一个用户认证通过可以使用网络，其他用户不需认证也可以使用网络。目前采用这一模式，这一模式的不足在于无法有效管控用户私接hub，关于这一点没有对用户进行明确告知。由于该生产基地桌面众多，布线较老，多出办公室人在使用hub，无法做到交换机端口与桌面一一对应，如启用单用户模式则将影响很多桌面的正常使用。

5.2. 核心网络问题

公司目前核心交换机6509 CPU利用率增加明显，最高可达50%，主要是如下图一个进程的利用率增加了，厂商工程师初步解释可能与大量安装桌面管控软件和使用网络认证接入功能有关。

6. 结束语

无锡供电公司在该生产基地实施网络接入认证，结合国网桌面管控终端软件的安装，较好的实现了网络准入，有利于现有信息网络的可控管理，无锡供电公司下一步准备在此基础上在全公司范围内继续实施网络接入认证。

摘要：实现对网络认证接入安全控制一直以来都是网络管理的一个重点, 本文主要探讨了目前针对网络接入认证技术中较为流行的802.1技术, 根据无锡供电公司网络结构和IP接入的实际情况, 结合江苏省电力公司桌面标准化管控推广应用试点, 提出了应用于实际的技术方案, 并给出了方案实施的主要过程和实施效果以及相关建议。

关键词：802.1X,桌面管控

参考文献

[1]陈玲, 王斐, 夏暄.《基于IEEE 802.1x和EAP-TLS的无线局域网认证和密钥管理的研究与实现》[J].计算机应用与软件, 2008, 25 (11) :265-267.

[2]王昌旭, 周振柳, 许榕生.《网络接入安全控制研究》[J].计算机应用与软件, 2008, 25 (11) :123-125.

[3]孟敏, 周临震.《基于RADIUS协议的校园网AAA系统研究》[J].盐城工学院学报 (自然科学版) , 2008, 21 (12) :17-21.

[4]龙昱瑄.《基于活动目录的802.1x认证接入技术》[J].计算机工程与科学, 2008, 30 (5) :26-28.

[5]范晓宁, 刘伟科, 林泽东.《基于802.1x的校园网认证计费系统的设计与实现》[J].计算机安全, 2007, 11:35-37.

信息系统中的认证技术 篇5

1身份认证系统简介

身份认证技术是确认操作人员身份的解决办法,在计算机网络中确认产生。计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,因此对用户的授权也是对用户数字身份的授权。怎样才能保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,身份认证技术就是为了解决这个问题。作为防护网络资产的第一道关口,身份认证有着举足轻重的作用,对用户的身份认证基本方法可以分为三种:

(1)基于信息秘密的身份认证;

(2)基于信任物体的身份认证;

(3)基于生物特征的身份认证。

近些年来,企事业单位的信息化程度进一步提高,伴随而来的是对于计算机信息安全的担忧,而身份认证技术作为计算机信息安全的大门,起着相当重要的作用。因此,在企事业单位中推进身份护作用。在以往的信息安全防护中,由于认证机制,对计算机信息起到了有效的保护,各个电脑可能是不同的权限需要不同的密码并需要重复登录才能完成操作,相当繁琐,所以使用者必须熟记多个账户名和密码。为了简化登录同时提高计算机信息安全防护的能力,可以采用用户身份认证技术,通过在企事业单位建设的数字办公网中加入身份认证技术,将原有的计算机网络资源整合成一套统一完整的系统,从而使系统简化登录、提高效率和提高安全防护功能。

2用户身份认证技术在计算机信息安全中的应用

如今计算机及网络常用的身份认证方式主要如下:

(1)用户名+密码的登录方式,这种方式是最简单也是最常用的方法;

(2)通过IC卡认证的方式;

(3)使用动态口令卡进行身份认证的方式;

(4)生物特征认证的方式:

(5)USB Key认证认证的方式。

以上5种方式都是身份认证中较常采用的方式。

基于PHP的用户身份认证将会通过Web Service来使其能够通过网络进行使用,即将原来的各个分散的登录系统与数据库进行链接,使其能够统一认证、管理和授权。采用这种身份认证技术的优点如下:

(1)基于原有的认证系统进行二次开发,使其能够将原来分散的管理进行统一、集中、有效的管理,这种在原来的系统上进行开发的方式不但能够大幅降低开发成本而且在原来的系统进行开发能够减少修改原有系统造成的影响。

(2)在登陆系统中只需要认证一次,在进行不同的权限的系统操作时不需用再次登陆。

(3)将原先各个分散独立的系统整合成一个统一的数据库。

(4)这种整合后的认证系统在整合性和扩展性方面具有良好的性能,在兼容性方面,能够对原有的业务和原有的用户数据库进行良好的整合,在以后如果需要增加新的功能,只需要将现在的身份认证的集成集中导入即可。

(5)在设计身份认证技术时,其应用设计灵活,该身份认证系统要能以多种方式加以运用。

3用PHP作为基础程序来设计互联网身份认证系统

PHP与ASP、CGI等技术的比较现有的Web后台程序,大都采用下列技术编写

(1)采用Perl、C等语言编写的CGI程序;

(2)一些专门的解决方案,例如ASP和PHP;

(3)用Web服务器自带的应用程序接口API,例如ISAPI,NSAPI。ISAPI和NSAPI等应用程序接口,由于它们是与Web服务器紧密集成,因而执行效率非常快,在PHP等后台编程技术出现前它们得到了一定程度的使用,但它们的编写复杂,有一定难度,而且开发所需时间较长、稳定性差;ISAPI一般只能用在IIS中才能最大限度地发挥它的作用,而NSAPI只能用在Netscape Server中。正是这些缺点目前并未广泛地使用它们开发Web后台程序。所以这里重点比较CGI、ASP和PHP的优缺点。利用Perl编写的CGI程序具有许多优点,例如,编程简单、适应系统多、稳定性极高、系统安全性能好。

基于PHP用户身份认证系统按照保障计算机信息安全的原则,将原有的身份认证系统进行整合,建立起统一的身份认证系统,通过使用PHP技术来设计用户身份认证系统。管理对Web页面和应用程序的安全访问是一个常见问题,管理者希望允许哪些受信任的用户访问数据,同时防止未经授权的用户获得数据的访问权。大多数情况下,基于数据库的身份验证是此类问题的解决方案。

4结束语

本文笔者就用户身份认证系统在计算机信息安全中应用的必要性进行了阐述,依据身份认证技术原理,采用PHP作为基础程序来设计互联网身份认证系统,从而而实现了用户身份认证技术在计算机信息安全中的应用,使用户的信息得到保护,大大提高了企业的网络安全性。本文对有关计算机信息安全的保护有一定的作用,希望对相关行业等提供借鉴,如有不当之处,希望相关专业人士指正。

参考文献

[1]刘建良.浅谈网络安全身份认证技术的研究分析[J].数字技术与应用,2012(11).

[2]吴一非.主流身份认证技术在关键涉密环境中的适用性分析[J].软件产业与工程,2016(03).

[3]吕格莉,邵自然.网络环境下身份认证技术探析[J].现代计算机,2006(11).

信息系统中的认证技术 篇6

关键词：认证计费,带宽控制,WinPcap开发

广域网接入认证计费系统要对网络用户进行认证、授权、计费以及流量控制等运营管理需求的功能。目前此类认证计费技术主要有以下三种:PPPo E+Radius、DHCP+WEB+Radius、以及802.1X+Radius三种方式。因为802.1X认证方式具有安全可靠、简洁高效等优点而被广泛使用[1]。本系统在802.1X协议提供的功能基础上, 结合Win Pcap的网络底层访问技术, 避免了IP地址盗用、ARP地址欺骗等各类安全隐患。

1 认证计费系统解决方法的现状

公司目前应用的认证计费系统就是采用网络底层访问技术, 利用Win Pcap这个分组捕获库完成了防NAT代理等多种功能。Win Pcap是一个免费的分组捕获库, 用它可以在Windows操作平台上来实现对底层包的截取过滤。它是独立于主机协议 (如TCP/IP) 而发送和接收原始数据报, 从而监听网络上传输的数据包。利用此编程技术, IP地址盗用、带宽控制等问题也得到了很好地解决。

2 认证计费系统中关键技术的分析与解决

2.1 IP地址盗用

目前防止IP地址盗用的方法有许多, 如静态路由技术、交换机控制技术等[2]。本系统中则采用了IP地址绑定技术。IP地址是可以随时更换, 而网卡上的MAC地址则是唯一固定不变的、用户无法更改的。因此, 通过IP地址和MAC地址在路由器和交换机上的绑定可以有效地避免IP地址被盗用, 加强网络的安全性[3]。

在本系统中采用了IP地址与MAC地址自动绑定的方法。首先由网管中心给每一台计算机分配一个IP地址, 首次使用该地址时, 由客户端程序将查询到的本机IP地址和MAC地址一起发送给管理服务器, 服务器自动进行记录。用户要首先运行客户端程序进行验证, 成功后则允许用户接入到Internet, 此后每隔一段时间客户端程序都要把相关信息发送给服务器, 如果服务器检测出有不符的信息, 则会中断客户机的internet连接。

2.2 NAT代理

造成网费收入流失最主要的原因就是NAT代理技术的使用, 即多人利用同一IP地址访问网络。这一技术实现时要使用双网卡或是多IP地址, 因此, 如果能够检测到双网卡或多IP地址则有使用该技术的嫌疑, 可中断此连接。

为达到这一功能, 系统利用Win Pcap捕获数据包进行分析处理。程序中主要使用了可以获得适合的网络接口的列表:Libpcap中的pcap_findalldevs () 函数。它返回一个pcap_if结构的列表, 根据此列表就可以判断出每个网络接口的信息。若有多于两个网卡或IP地址的情况, 则反馈给相关功能模块, 从而禁止网络功能。

2.3 ARP地址欺骗

TCP/IP网络依据IP地址进行数据包转发, IP地址用来确定网络上的主机地址, 是个三层协议地址, 而当IP包被送到数据链路层时, 则需要使用物理地址来识别主机或节点。因此, 主机在发送数据前需要知道下一跳IP地址的物理地址。ARP的作用就是获取与IP地址相对应的主机MAC地址。查询获得后, 主机就会将IP地址到硬件MAC地址之间的映射存放到本机的一个可以动态刷新的ARP高速缓存中。在发送报文前, 主机先在ARP高速缓存中查找是否有目标IP地址对应的目的MAC地址。但是这个映射主机并不会检查结果的合法性, 而ARP欺骗正是利用了ARP协议的这种机制。

2.4 带宽控制

局域网建立初期出口带宽各为100M, 因为没有对用户带宽进行限制, 不少用户经常抱怨网速太慢。经分析统计, 网络的带宽主要为Bit Torrent、HTTP、e Donkey、Win Media、Real、FTP等应用程序所占用。这些应用当然可以通过路由器或交换机的关闭一部分端口来实现, 但随着技术的不断发展, 各种软件使用了动态端口甚至HTTP协议来躲避端口的检测, 无法进行限制, 缺乏灵活性。

针对这种状况, 加之网络各类应用层出不穷, 如果靠检测各类应用是无法跟上技术发展的。一方面, 考虑到普通用户使用网络的情况, 我们采用取了简便有效的方法:即限定每个IP地址的流量, 而不管用户使用什么应用协议。计算机网络数据的输出模型如图2所示。

流量控制可以通过决定包是否加入排队、抛弃或是延迟从而达到限率、优先级控制以及限流的目的。客户端向服务器提供客户信息, 服务器端则完成带宽分配、流量控制的任务。在Linux2.2及以上的版本内核里, 可以利用iprouter命令集提供的tc命令完成带宽分配。

参考文献

[1]周俊杰.校园网中三种常用认证计费技术的对比分析[J].网络安全技术与应用, 2009, (9) :47-49.[1]周俊杰.校园网中三种常用认证计费技术的对比分析[J].网络安全技术与应用, 2009, (9) :47-49.

[2]吴军强.校园网中IP地址防盗技术研究[J].嘉兴学院学报, 2008, 20 (3) :66-70.[2]吴军强.校园网中IP地址防盗技术研究[J].嘉兴学院学报, 2008, 20 (3) :66-70.

信息系统中的认证技术 篇7

关键词：说话人识别,生存证明,防录音假冒

1 前言

12333个人社保查询电话是国家重要的民生服务平台, 不仅推进了人力资源和社会保证电话咨询服务系统的建设, 而且有助于畅通人力资源社会保障部门和社会公众的沟通渠道。个人通过12333社保查询电话可以及时了解到养老保险、医疗保险、工伤保险、生育保险、失业保险等信息。同时, 社保工作人员可以通过电脑软件, 实时处理多个来电, 并兼具留言解答、短信回复、文件传真等功能, 极大提高了社保服务效率和质量。但目前12333平台对于咨询来电的话者身份认证缺乏有效的手段, 这使得个人社保缴费等隐私信息的查询得不到有效的保护, 同时也使得12333平台难以为社会公众提供更多社保相关的自助服务。

在社保业务中, 非常重要的一块工作是关于老年人养老保险领取的生存证明。目前, 离退休人员需要到社保单位现场出示相关证件或证明, 才能够领取本人的养老金。这一方式存在以下一些问题: (1) 越来越多的老年人随孩子异地居住, 每年都需要至少一次返回户籍所在地进行生存证明, 这给老年人带来了极大的不方便, 尤其当老年人身体不好或住院治疗时; (2) 现场生存证明给社保单位工作人员带来极大的工作压力, 不仅需要核对老年人的身份信息, 而且还要提供人性化的老年人服务和应对现场突发情况; (3) 现有生存证明方式较单一, 靠身份证照片核实误差较大; (4) 即使采取指纹认证的方式, 但由于老年人的指纹难以采集, 实际使用效果不好; (5) 由于目前户籍制度还不完善, 存在一个人有多个养老金账户的情况, 现有认证方式难以解决; (6) 现有社保生存证明的措施, 缺乏远程便捷高效的身份认证手段。随着12333电话咨询平台在全国的建设越来越完善, 基于电话的远程说话人认证成为解决上述问题的一种有效的方法。

说话人识别是生物识别的一种, 是一项根据语音波形中反映说话人生理和行为特征的语音参数, 来识别语音话者身份的技术。由于每个人的发声器官 (舌、牙齿、喉头、肺、鼻腔) 在尺寸和形态方面不尽相同, 因此说话人识别也就成为一种鉴别语音话者身份的识别手段。说话人识别技术相对于其他生物识别技术, 在远程身份认证上有着得天独厚的优势。将说话人识别技术应用到12333社保电话咨询服务系统中, 为现有系统提供了一种鉴别来电话者身份的手段, 提高了个人社保隐私信息的安全性, 并能够让老年人不离开家门就可以进行生存证明, 从而节省老年人的时间和金钱成本和社保单位的人员业务管理成本。

GMM-UBM (Gaussian Mixture ModelUniversal Background Model) 系统已经广泛应用于说话人识别系统中, 并在实际应用中取得了较好的识别效果。但在信道复杂的情况下, GMM-UBM系统的识别率明显下降, 其主要原因是在于训练和识别语音的不匹配导致的。在不匹配的因素中, 信道差异占据了极大的比重。为了消除信道差异的影响, 在前段声学特征领域, 可以采用特征映射 (Feature Mapping) 的方法;在说话人模型领域, 可以采用说话人合成 (Speaker Model Synthesis) 、联合因子分析 (Joint Factor Analysis, JFA) 和扰动属性映射 (Nuisance Attribute Projection, NAP) 。JFA方法由于与GMM-UBM系统结合紧密, 在理论上也更为完备, 已成为目前主流说话人识别系统采用的算法, 并在近几年的NIST评测中, 取得了优异的性能。

在12333电话咨询平台中使用说话人认证技术, 需要解决利用录音来假冒身份的问题。本文提出了一种防录音假冒的说话人认证方式:通过让用户跟读系统指定文本的方式, 将说话人识别与语音识别结合起来, 对录音同时进行身份和内容验证。由于跟读文本的随机性, 这种方式可以有效的防止录音假冒的发生。结合防录音假冒技术, 本文提出一种与现有12333电话咨询系统相结合的远程说话人采集和验证的解决方案和业务流程。

本文安排如下:第2节介绍说话人识别系统;第3节介绍防录音假冒方法;第4节介绍说话人识别系统在12333电话咨询系统中的应用解决方案;第5节介绍实验背景和结果分析;第6节总结全文。

2 说话人识别系统

2.1 简介

说话人识别系统是以说话人的语音作为输入, 用训练得到的特定人说话人模型来识别待测语音的话者身份。说话人识别系统一般包括两个步骤:说话人建模 (Speaker Modeling) 和说话人验证 (Speaker Verification) 。典型的说话人识别系统如图1所示。

2.2 高斯混合模型-通用背景模型

说话人模型与UBM本质上都是高斯混合模型, 可以用C个高斯函数的加权和表示如下:

其中, mi, ∑i分别代表第i个高斯混合的均值和方差参数, 代表第i个高斯混合的权重, C为高斯混合的个数。

在GMM-UBM系统里, 首先在大量的说话人语音数据上通过EM算法训练得到UBM;其次说话人模型是用该人的语音在UBM上通过最大后验概率准则 (Maximum A Posteriori, MAP) 自适应得到;最后, 将测试语音在说话人模型和UBM上的似然分差作为判决依据。

在GMM-UBM系统中, UBM作为一种说话人的发音共性分布描述, 结合MAP自适应算法, 可以使得用较少的说话人建模语音就能得到高精度的说话人模型。

2.3 联合因子分析

JFA的基本假设是将说话人高斯混合模型的均值超向量所在的空间划分为三个子空间:本征音空间、本征信道空间和残差空间。所谓均值超向量, 即是把一个高斯模型各混合的均值向量按照混合索引依次拼接形成的一个超大维度的矢量。一个说话人的超向量可以表示如下:

其中, 是说话人s的高斯混合模型均值超向量, 是UBM的均值超向量, U是维本征信道空间载荷矩阵, V是维本征音空间载荷矩阵, D是维对角残差空间载荷矩阵, F是特征维数, C是高斯混合模型的混合个数, Ru是本征信道空间因子数, Rv是本征音空间因子数。一般而言。

基于JFA的说话人识别系统主要有三个步骤: (1) 利用大量说话人语音数据事先估计出本征信道空间、本征音空间和残差空间矩阵; (2) 训练说话人模型; (3) 对测试语音进行说话人验证。

JFA算法通过移除说话人均值超向量在本征信道空间的影响, 来消除信道差异的干扰。同时, JFA在建立说话人模型时需要估计的参数明显减少 (本征音空间维数要远小于均值超向量的维数) , 更适用于训练数据相对不足的情况。

2.4 说话人分数归一化

分数归一化是指通过估计特定信道下的假冒者语音在分数域上的得分分布 (通常是单高斯分布) , 来对该信道下的测试语音的得分做归一化处理, 以此减少信道差异对分数数值的影响。本文采用的方法是TNorm:首先给定一组假冒者的说话人模型, 在说话人验证的时候, 用测试语音在这些假冒者说话人模型上的得分估计出均值和标准方差, 然后按照公式 (3) 来对说话人模型的得分进行归一化处理。

其中X是测试语音, λ是说话人模型, μ和σ是估计得到的均值和标准方差, 为X在模型λ上的似然分, 是归一化后的得分。

分数归一化的另一个好处是使得单一系统判决阈值在说话人验证时更加通用。但如果使用的假冒语音与实际测试语音存在较大的差异, 分数归一化反而会降低系统的性能。

3 防录音假冒方案

为了防止用事先录好的语音来假冒他人访问12333电话咨询平台, 本系统采用让待认证人跟读指定文本的方式, 将说话人识别和语音识别结合起来, 既识别语音的身份, 又识别语音的内容, 从而防止非法录音的假冒。

为了保证说话人识别系统的性能, 跟读文本采用固定文本加随机文本的形式: (1) 固定文本可以选用4-7个汉字 (如4字成语、7字成语) 。这些固定文本由于被大众所熟知, 因而很容易跟读; (2) 随机文本如采用3-6个随机数字的形式, 方便待认证人跟读。在说话人建模过程中, 需要参保人跟读3段系统提示文本, 建模平均耗时在15秒左右;在说话人验证阶段, 参保人只需跟读一段系统提示文本即可完成身份验证, 平均耗时在5秒左右。基于防录音假冒的v说话人采集和验证流程如图2所示。

4 社保说话人系统

4.1 说话人识别服务应用架构

说话人识别服务的主要交互对象为12333呼叫中心整合系统 (CCI) 、人工座席系统与后台管理系统。同时, 说话人识别服务也涉及到了数据库服务器之间的数据通信。搭建中的应用体系架构如图3所示。

4.2 说话人识别系统网络部署图

参保人拨打12333接入社保信息服务平台后, 首先进入自助语音服务流程并根据系统提示预留语音, 然后IVR服务器将采集到的参保人单人语音, 通过调用说话人识别服务器提供的接口函数与说话人识别服务器进行交互。说话人识别服务器将建模或识别的结果反馈给IVR服务器以便进行相应的流程控制。12333平台说话人识别系统网络部署如图4所示。

4.3 远程说话人身份认证业务流程

由于现有12333业务流程没有身份认证环节, 为了将说话人系统与IVR现有业务流程更好地结合在一起, 本文在现有IVR流程基础上, 提出了基于说话人建模和说话人验证的业务流程。参保人在IVR的语音提示下, 完成相应的建模或验证操作。对于社保信息查图5:说话人建模业务流程询业务和养老保险生存证明, 在本系统中采用同样的说话人建模和验证流程。

4.3.1 说话人建模流程

说话人建模流程采用第3节中的防录音假冒的方法, 其业务流程如图5所示。建模时需使用者跟读3遍系统提示, 每条提示文本为4字固定文本加4字随机数字串, 总的建模录音时长大致为15秒。

4.3.2 说话人验证流程

说话人验证流程如图6所示, 需要用户跟读至少一遍系统提示文本, 若一次通过, 验证录音时长大致为5秒;若3次通过, 总录音时长大致为15秒。

5 实验结果与分析

5.1 系统参数

实验中语音数据的采样率为8KHz, 采样精度为16bit。说话人识别系统的前端处理使用的语音帧长为20毫秒, 帧移是10毫秒, 预加重系数为0.97, 窗函数为哈明窗 (Hamming Window) , 每帧语音使用的FFT大小为256, 截止频率为200Hz~3800Hz, Mel滤波器组的个数为30, 经过RASTA[11]滤波得到12维的MFCC, 与一阶、二阶差分系数构成36维的特征。最后, 由倒谱均值减 (Cepstral Mean Subtraction, CMS) [12]和倒谱方差归一化 (Cepstral Variance Normalization, CVN) [13]对特征进行归一化处理。

5.2 开发数据集说明

实验中使用的说话人识别系统是基于JFA的GMM-UBM架构, 其中, UBM是用男女各1, 000位说话人的语音数据训练得到的, 总量近100个小时。JFA的V矩阵由男女各500位说话人的语音训练得到, 每位说话人6-8段话, 每段话2分钟。JFA的U矩阵是由男女各500位说话人的语音训练得到, 每位说话人6-8段话, 每段话2分钟, 并且覆盖固话、GSM、CDMA、WCDMA、TD-SCDMA等信道。JFA的D矩阵由男女各300位说话人的语音训练得到, 每位说话人6-8段话, 每段话2分钟。TNorm中的假冒者模型由男女各300位说话人的语音训练得到。上述使用到的各语音数据库的人员之间有小部分的重叠。实验中UBM的混合数为1, 024, V矩阵的秩为300, U矩阵的秩为50。

5.3 测试数据集说明

测试语音由男女各300位说话人按照4.3节业务流程采集得到, 其中, 每人3段建模语音, 3段验证语音。每个人的建模语音均来自同一个信道, 但验证语音不一定为同一信道。对每个说话人模型, 随机选择同性别的10位说话人的验证语音进行闯入测试。这样, 自识别的次数为1, 800次, 闯入识别的次数为18, 000次。

5.4 结果与分析

实验对比了4个系统, 分别是GMM-U B M, G M M-U B M-T N o r m, G M M-U B M-JFA, GMM-UBM-JFA-TNorm, 其测试结果如表1所示。

由于验证语音与建模语音存在一定的信道差异, 这在一定程度上影响了GMM-UBM系统的性能, 而JFA算法极大的提高了说话人识别系统的信道鲁棒性, 相对于GMM-UBM系统来说, EER相对下降了43.84%, 而加入TNorm算法, 进一步降低了系统的EER。

6 总结

身份认证系统的信息存储分析 篇8

关键词：身份认证,信息存储,目录

1 引言 (Introduction)

随着网络技术应用的逐渐普及, 各种应用系统逐渐增多, 校园网应用系统[1]在提供更高层次服务同时, 对于用户身份认证, 用户服务权限的要求相应的提高, 原来每个服务系统各自为政的身份认证方式难以达到这个要求。如何进行用户身份信息的存储管理, 才能实现用户身份认证的可靠性、独立性和安全性?

用户注册信息的存储采用基于LDAP协议的规划设计, 通过基于LDAP协议目录服务的Sun One Directory Server的目录进行存储, 继承了Solaris操作系统的桌面化批量管理和目录的安全可靠等各方面的优点。认证信息存储模块的各种规划与设计, 为用户统一身份认证[2]系统的访问效率性、安全可靠性、可扩展性等方面都提供了有力的保障。

2 认证信息目录存储分析 ( A u t h e n t i c a t i o ninformation of directory stores analysis)

认证信息存储模块的主要包含内容:目录信息树设计、属性和对象类设计、结构设计、目录安全机制的设计、目录结构规划、Sun One Directory Server目录存储。

2.1 LDAP协议目录

LDAP[3]就是轻量级目录访问协议的意思, 是由美国Michigan大学研发的一种新的信息目录访问协议, 目录服务中的目录对象可以代表管理系统中的资源信息、组织信息和人员信息等, LDAP几乎可以存储所有类型的数据:NIS映射、电子邮件地址、联系人信息列表、DNS信息和电话等信息。LDAP中的目录由一个个条目组成, 每个条目类似于关系数据库中的表记录, 所有条目是具有别名DN的属性集合。LDAP协议集还规定了所有DN的存取控制方法、搜索格式、复制方法、命名方法等。

目录与一般的关系数据库是有区别的, 它并不是表达复杂的对象联系, 也不是处理频繁的数据更新及。相反的, 在对目录的操作请求过程中, 更新请求频率是远远低于查找请求频率的, 因此, 目录一般都要针对查找进行优化, 以存储大量相对静态的数据, 以便适合系统对用户注册信息的频繁读取、查找等操作。目录一般按层次采用树状模型, 它能使存储在里面的信息以一个有序的整体呈现在用户面前, 从而在一定程度上简化了网络资源和网络信息的集中管理。

在起初选择用户注册信息存储方式时, 对比目录存储和关系型数据库存储的优缺点, 总结LDAP目录存储在一下几个方面具有更大优势:首先是读写操作方面, 在LDAP中的数据处理主要是进行“读/查询”操作, 所以一般存放相对变化不大的数据信息, 同时对读操作进行了优化处理;而关系型数据库在设计上必须读写兼顾, 因为关系型数据库中存在着大量数据的更新操作;其次是扩展性方面, LDAP可以根据新的需要和应用进行扩展, 而关系型数据库中的基本数据类型很难扩展;再次, 在性能方面, 一个大型LDAP系统对目录整体的访问需要在每秒几千个到几万个查询, 并且这些查询通常比关系型数据库的处理简单的多, 而一个大型关系型数据库系统每秒大概能处理几百个查询事务。因为系统的开源特性使然, 存在一定的不稳定性, 所以, LDAP对该系统并非最佳选择, 结合如上优点, 本文采用目录结构存储用户注册信息, 提出如下三种解决方案:

Windows平台下的目录服务, 活动目录 (ActiveDirectory) 是Windows 2000 Server及其更高版本的集成服务, 是Windows 2000网络中目录服务的实现方式, 使一种网络服务, 它存储网络资源的信息并使得用户和应用程序能访问这些资源, 该目录服务基于Windows系统下。虽然, 功能强大, 设计完善, 但是因为Windows易于被攻击, 其安全性能稍差;GNU/Linux平台下的OpenLDAP目录服务, OpenLDAP目录服务是开放源代码, 易于理解系统架构技术细节, 也能在社区及时同核心开发人员取得联系, 是一种灵活支持所有授权方式的产品, 而且被默认集成到了RedhatLinux下, 带有OpenLDAP安装软件。

因为其开源的特性, 存在一定的不稳定性, 所以, 该产品并非最佳选择;Solaris平台下的目录服务, Sun ONEDirectory Server是功能强大且具伸缩性的分布式目录服务其, 它基于符合工业标准的轻型目录访问协议。是构建集中化与分布式数据库的基础, 这样建立的数据库可用于内部网, 也可跨越外联网从而实现与商业合作伙伴共享数据资源, 其性能优越, 稳定性高, 适合为企业级用户服务。

本文中的系统完成之后将用于校园网用户注册信息的存储, 需要在安全性、稳定性、可靠性等各方面提出更高要求, 综合考虑之后, 本文选择第三种方案。因为, Solaris操作系统在稳定性、安全性等方面是经得住考验的, 为企业级用户提供的目录服务经过了商业的考验更加可靠和稳定。

2.2 目录结构规划

为了使系统的目录服务能更加灵活、更加可靠地完成用户认证信息的存储, 必须重新规划目录的结构。一般的系统采用以服务为辅助的方式进行设计, 先开发存储, 再开发应用。上一代目录以服务为基础, 而新的目录将以信息为基础。

LDAP把语法、匹配规则、属性类型和对象类等统称为Schema。这些系统Schema都在LDAP标准中进行了规定, 而且在不同的应用领域也定义各自不同的Schema, 用户在应用时可以根据需要自定义Schema。RFC2798定义了一个名为Inetorgperson的LDAP对象类以及一组该对象类可用的属性, 这些属性都是目录服务中经常用到的一个人的常用信息。如:Given Name (名字) 、Department Number (部门编号) 、Telephone Number (电话号码) 、Mail (邮件) 、Uid (用户标识号) 。根据实际应用, 标准的属性只是为记录用户信息的典型的目录服务而提供的, 而已有的属性所能表示的信息是不够的, 如果想要要将其扩展到满足广泛的对基础信息的管理, 就需要对LDAP的schema进行一些补充设计。

要想存储和管理各应用系统的用户名和密码, 唯一用于区分用户身份的节点就是OU, 通过判断OU=Student、OU=Teacher或者OU=VIP来判断是学生、教师或者其他身份, 至于用户在各个系统中的身份、角色、权限, 完全由应用系统中存储的该用户的信息来决定。

Sun One Directory Server目录在节点上的设置有个很大的优点, 默认情况下, 目录本身就定义了100多个节点, 可以根据自己的需要随意扩充, 本文就采用了使用SN表示学号, GiverName表示身份证号, 这样就可以根据用户对目录节点的需要, 适当的进行增加节点数量, 以此满足了用户对系统扩充的需要。

2.3 目录安全机制

LDAP与关系数据库很重要的一个区别就在于LDAP提供了强有力的安全模型。它的安全模型主要通过安全通道、访问控制和身份认证等来实现。LDAP的访问控制机制非常丰富而灵活, 它是通过访问控制列表ACL实现的, 而关系数据库系统通常采用基于角色或者用户组进行权限控制。

LDAP的安全认证可以通过RFC2246来实现, RFC2246定义了TLS, 它使用X.509证书向上层提供安全的数据传输, 对传输层数据进行加密。为了使系统具有完备的安全机制, 同时又能适用于分布式环境, 应该使用在传输层进行数据完整性和数据私密性保护, 因此身份认证平台认证系统采用基于公钥体制的TLS认证方式比较好。

2.4 Sun One Directory Server目录存储

Sun One Directory Server的目录服务采用LDAP协议, LDAP协议的查询效率很高, 即使是上百万用户, 查询速度也极快;目录采用节点结构, Sun目录本身已经自定义了100多个节点, 便于用户系统的使用和扩充;该目录服务, 作为一个整体来讲更具优势, 它采用分布式结构, 更加开放, 形成的客户资料全部由用户系统自己掌握, 增加了安全性;在项目实施过程中, Sun One Directory Server给人印象最深的就是开放性, 它在管理上的伸缩性优于其他同类产品。

系统的Sun One Directory Server安装在Solaris9.0操作系统上, 从服务器选择、操作系统选择、目录存储软件选择完全采用Sun公司的产品, 在系统稳定性, 安全性, 可靠性上都得到了最大限度的保障。

当服务器端solaris版本安装完毕之后, 建议安装一个Windows版本的客户端, 便于远程管理, Windows版本的客户端安装相对简单, 这样可以通过客户端连接对目录服务进行操作。

Sun One Directory Server功能十分强大, 在目录存储方面, 很多管理都可以在客户端完成, 下面针对各个不同功能介绍如下:Tasks选择下, 可以启动、停止、重启DirectoryServer;可以直接采用Sun One提供的备份、恢复工具完成对目录的备份恢复工作, 安全、可靠、方便、简单;关于LDIF的导入、导出可以用于批量用户的导入。

LDIF即为LDAP Data Interchange Format, 它是以文本的形式描述目录信息树中各个条目的详细信息。信息的许多操作如数据导入、导出、添加、修改、拷贝等都是基于LDIF文件进行的, 所以LDAP是目录树信息交换的基础。

3 结论 (Conclusion)

通过上述LDIF可以得知, 日常维护过程中, 可以通过导出目录服务的LDIF来实现目录的备份和恢复工作。本文批量导入用户的方法, 就是采用将用户根据上述节点要求, 用自己开发的程序, 将用户相关信息写成LDIF能够识别的格式, 然后采用LDIF导入, 即实现了用户的批量导入, 同样道理, Sun One Directory Server可以实现用户的批量导出。

通过这样的存储, 基本上能保证各种统一身份认证系统的可扩展性、访问效率、安全可靠性等各方面要求, 是一种比较行之有效的管理模式。

参考文献

[1]任河, 李杰.资源访问控制与统一身份认证技术的研究[J].机电产品开发与创新, 2004 (6) :9-11.

[2]李冰, 袁野.LDAP目录服务在统一身份认证系统中的应用[J].信息技术, 2005 (1) :68-71.