认证方法论文

认证方法论文（精选12篇）

认证方法论文 篇1

摘要：本文提出了一种采用安全单钥管理技术, 在客户机和认证中心两端建立加密和认证协议, 将用户在客户机端输入的静态口令和认证系统自动生成的静态口令, 通过密钥元素代替表, 代替成一次一变的认证密钥, 再生成动态口令实现身份认证, 从而, 建立基于动态口令身份认证系统。

关键词：动态口令,静态口令,轻量级密码,组合单钥

0前言

随着网络应用的不断发展, 解决具有海量用户的网络快速认证技术需求迫在眉睫, 这种安全需求主要是要提高海量用户的密钥交换的速度, 使用现有技术已经不能满足处理大数据的安全需求。若使用双钥密码体制如:RSA或ECC算法, 建立安全认证协议, PKI架构建设成本较高, 认证协议效率较低, 制约了PKI技术针对海量用户的应用。基于令牌设备的动态口令认证系统提高了时效, 但是, 这类动态口令是由用户根据动态令牌显示屏上显示的动态口令, 实时输入计算机后, 由客户端再提交到网络认证中心端, 实施网络身份认证, 该认证模式容易受到“假银行”式的病毒攻击, 安全等级相对来说较低些。

为解决动态口令的安全隐患, 我们提出采用轻量级密码算法和一种安全单钥管理方法, 在客户机和认证中心两端建立加密和认证协议, 将用户在客户机端输入的静态口令和认证系统自动生成的静态口令, 通过密钥元素代替表, 代替成一次一变的认证密钥, 再生成动态口令, 实现身份认证, 从而, 建立一种基于动态口令的身份认证系统。

1 动态口令的安全架构

1.1 动态口令的客户机端安全架构

在客户端的客户机上使用USB接口的智能卡, 或者在移动终端上使用SD智能卡, 在智能卡的芯片里, 建立客户端的加密系统, 写入:轻量级密码算法、单钥组合生成算法、客户端动态口令认证协议, 且写入数据:客户端智能卡的标识和一套“密钥种子”表C的元素。

每个用户的客户端智能卡都有唯一的标识, 且两两互不相同, 每位用户都持有不同的一支基于USB接口的智能卡或SD智能卡。

1.2 动态口令的认证中心端安全架构

认证中心由认证服务器和加密卡硬件设备组成, 在认证服务器的PCI接口上插入加密卡, 在加密卡的芯片里建立认证中心端的加密系统, 写入轻量级密码算法、单钥组合生成算法、认证中心端用户的静态口令和“密钥种子”表C元素的加密和数字签名协议, 认证中心端用户的静态口令和“密钥种子”表C元素密文的解密和签名验证协议, 认证中心端动态口令认证协议, 在认证中心端认证服务器的硬盘存储区, 建立“密钥种子”数据库, 该数据库中存储每条记录的字段内容为:①用户名i、用户客户端智能卡的标识Ti、②用户的静态口令密文、③“密钥种子”表Ci元素的密文、④静态口令和“密钥种子”表Ci元素的数字签名即:静态口令和“密钥种子”表Ci元素摘要信息Gi的密文, 其中:i=1~n, n为全体云用户数量总和。

2 安全单钥管理技术

安全单钥管理技术是指:通过单钥组合生成算法来实时产生认证密钥, 解决认证系统中单钥更新的管理方法。

2.1 单钥组合生成算法

单钥组合生成算法是通过一组时间戳和随机数组成的选取参数, 来对一套“密钥种子”表C的元素进行选取, 用时间戳对“密钥种子”表C的“行”元素进行选取, 选出W行Y列的“密钥种子”表C的 (V×Y) 子表D, 再根据随机数, 对 (V×Y) 子表D的“列”元素进行选取, 选出V个元素, 将这V位元素组成一套 (V×1) “密钥种子”子表E, 其中:W=109, V=36, Y=32, 将“密钥种子”子表E的元素, 与全体静态口令元素之间, 建立一一对应关系, 生成密钥元素代替表, 再根据用户输入的静态口令和认证系统自动增添的静态口令, 从密钥元素代替表中选出对应的密钥元素, 并合成一组认证密钥。

2.2 建立密钥种子表

在密钥初始化过程中, 由认证中心端加密卡芯片里的随机数发生器, 生成一组F1字节随机数, F1=1744字节, 将F1字节的随机数组成, 一套W×Y的密钥种子表C,

其中:表C的元素为占1字节, W=109, Y=16;

密钥种子表C的组成:“年”子集、“月”子集、“日”子集、“时”子集和固定子集组成, “年”子集占10行16列, “月”子集占12行16列, “日”子集占31行16列, “时”子集占24行16列, “固定”子集占32行16列, 5个子集共占W=109行, 16列。

2.3 单钥组合生成算法的具体实施过程

2.3.1

由时间戳从“密钥种子”表C的元素中选V=36行元素, 首先, 根据时间戳从表C选出4行, 其方法是:用时间戳“年”数字中个位数的数值, 取表C中“年”对应的行数, 如:时间戳为:2013XXXXXX, 则:取表C中的第4行, ……, 用时间戳“时”数字的数值, 取表C中“时”对应的“行”, 如:时间戳为:20XXXXXX21, 则:取表C中的第74行, 再将表C的“固定”子集共32行全部选出, 共选出V=36行, 组成:36×16表C的子表D,

其中:表D的元素占1字节, 表D中第5行~第V=36行的元素与表C的第78行~第W=109行的元素完全相同;

2.3.2

根据随机数从表D中选出V=36位元素, 设:随机数为:Q1, Q2, ......, Q36, 对应随机数的数值分别为:q1, q2, ......, q36, 当Y=16时, 每位随机数为4比特十六进制数组成, 36位随机数对应的数值为:0~15之间, 用:q1, q2, ......, q36, 对表D的1~V=36行中列的元素进行选取, 即:用第1位随机数Q1的数值q1, 来选取表D第1行的第q1+1列的元素, 用第2位随机数Q2的数值q2, 来选取表D第2行的第q2+1列的元素, ......, 用第V=36位随机数Q36的数值q36, 来选取表D第V=36行的第q36+1列的元素, 共选取V=36个元素, 将选取出的这36个元素组成一个 (36×1) 的子密表E;

其中:“密钥种子”子密表E的元素占1字节, V=36。

2.3.3 建立密钥元素代替表

用户的全体静态口令由0~9或A~Z组成, 将这36个数字或字母与表E的元素建立一一对应关系, 即:将“0”对应子表E的第1行元素E1, 将“1”对应子表E的第2行元素E2, ……, 将“Z”对应子表E的第36行元素E36, 组成密钥元素代替表:

2.3.4 生成认证密钥

(1) 增添静态口令, 设:用户的静态口令的长度为:N1=6~16位, 认证密钥K占16字节 (128比特) , 由N1位静态口令从密钥元素代替表中, 选取N1组密钥元素来合成认证密钥K, 若合成的认证密钥K小于16字节, 则认证系统增添N2位静态口令, 其中:N2=Y-N1位, Y=16或32, 表C的元素占1或0.5字节, N1=6~16位, N2=0~26位。

若时间戳的“时”为偶数, 从0到9这连续的10个数字, 再从A到P这连续16个英文字母共26位口令元素中, 取N2位数字或英文字母作为增添的静态口令。若时间戳的“时”为奇数, 从A到Z这连续26个英文字母中, 取N2位英文字母作为增添的静态口令。

(2) 生成认证密钥,

设:用户输入的N1位静态口令为:R1、R2、……、RN1, 由认证系统增添的静态口令为:T1、T2、……、TN2。由静态口令:R1、R2、……、RN1, 从密钥元素代替表选出对应的N1组密钥元素“Eb1、Eb2、……、Eb N1”, 1≤b 1~b N1≤36, 将“Eb1、Eb2、……、Eb N1”合并后作为K1, Y=16, 表C的元素都占1字节, 则N1组密钥元素占6~16字节。

由认证系统自动增添的静态口令:T1、T2、……、TN2, 从密钥元素代替表选出对应的N2组密钥元素为:“Ec 1、Ec2、……、Ec N2”, 将“Ec 1、Ec 2、……、Ec N2”, 1≤c 1~c N2≤36, 合并后作为K2。Y=16, 表C的元素都占1字节, 则N2组密钥元素共占0~10字节。

将K1与K2合并成认证密钥K, 即:K=Eb1、Eb2、……、Eb N1、Ec 1、Ec 2、……、Ec N2。

举例说明, 设:N1位用户静态口令为“9、A、1、0、Z、Z”, 共6位, 根据密钥元素代替表代替后, 生成的密钥元素K1=“E10、E11、E2、E1、E36、E36”;

当时间戳中“时”为偶数时, 则认证系统增添的静态口令为:“0~9, 即:N2=16-6=10位, 根据密钥元素代替表代替后, 生成的密钥元素K2=“E1、E2、……、E10”。将K1与K2合并后生成K, 即:K=“E10、E11、E2、E1、E36、E36、E1、E2、……、E10”。当时间戳的“时”为奇数时, 则认证系统增添的静态口令为:“A~J”, 即:N2=16-6=10位, 根据密钥元素代替表代替后, 生成的密钥元素K2=“E11、E12、……、E20”。将K1与K2合并后生成K, 即:K=“E10、E11、E2、E1、E36、E36、E11、E12、……、E20”, 其中:K占16字节。

3 基于动态口令认证系统的安全协议

3.1 客户端的动态口令认证协议

当用户登录WEB服务器后, 首先, 用户输入用户名和用户的静态口令, 由连接WEB服务器的认证中心端加密系统, 产生一组时间戳和随机数, 并产生认证生命周期T, 将该组时间戳和随机数发送客户端智能卡芯片里, 在客户端智能卡芯片里, 根据时间戳和随机数组成的单钥组合生成算法, 首先, 生成密钥元素代替表, 再将用户输入的H1位用户的静态口令, 代替成H1组密钥元素并合成密钥元素K1, 将认证系统自动增添的N2位静态口令, 代替成N2组密钥元素并合成密钥元素K2, 将K1与K2合并成认证密钥K, 客户端加密系统用认证密钥K将随机数加密成密文, 得到随机数密文即:动态口令, 并与用户名和客户端智能卡的标识等3组认证参数一起发送给认证中心端。

3.2 认证中心端的动态口令认证协议

认证中心端加密系统, 在接收到客户端发送来的3组认证参数后, 首先, 计算对应的认证生命周期T, 测试T是否过期, 若过期, 则为非法用户, 返回“非法用户!”, 否则, 认证中心端的加密系统, 根据用户名和客户端智能卡的标识, 在“密钥种子”数据库中定位对应的记录, 将该记录对应的H1位静态口令密文和“密钥种子”表C元素密文, 输入加密卡芯片里, 在加密卡芯片里, 用一组固定对称密钥KK, 将该记录中的静态口令密文和“密钥种子”表C元素密文解密, 再根据根据时间戳和随机数组成的单钥组合生成算法, 对“密钥种子”表C元素进行选取, 生成密钥元素代替表, 将H1位静态口令代替成H1组密钥元素并合成K1, 将认证系统自动增添的H2位静态口令, 代替成H2组密钥元素并合成K2, 将K1和K2合并成认证密钥K, 认证中心的加密系统, 用K加密随机数生成认证中心端的动态口令, 通过对比两端的动态口令是否相同?来判断客户端的用户身份是否合法。

3.3 认证中心端用户的静态口令和“密钥种子”表C元素的加密和数字签名协议

认证中心端加密系统, 在加密卡芯片里, 用摘要算法 (如:SM3或SHA-1等) 对用户的静态口令和密钥种子表C元素进行摘要, 得到其摘要信息L1, 再用一组固定的对称密钥KK, 分别将每个用户的静态口令和“密钥种子”表C的元素加密成密文, 并将每个用户的静态口令和“密钥种子”表C元素的“摘要”信息L1进行加密, 得到每个用户的静态口令和“密表种子”表C元素的密文, 并得到每个用户的静态口令和“密表种子”表C元素摘要信息L1的密文即:每个用户静态口令和“密表种子”表C元素数字签名, 再将每个用户的用户名、客户端智能卡的标识、用户的静态口令密文、“密钥种子”表C元素的密文、用户的静态口令和“密表种子”表C元素的数字签名, 一并事先存储在认证中心端的“密钥种子”数据库中。

3.4 认证中心端用户的静态口令和“密钥种子”表C元素密文的解密和签名验证协议

认证中心端加密系统, 首先, 在“密钥种子”数据库中选出一条记录, 输入加密卡芯片里, 在加密卡芯片里, 调用固定对称密钥KK, 将该记录中用户的静态口令和“密钥种子”表C元素密文解密, 并将用户的静态口令和“密表种子”表C元素的数字签名解密, 得到用户的静态口令和“密钥种子”表C元素的明文, 并得到用户的静态口令和“密钥种子”表C元素摘要的明文L1, 再调用“摘要”算法对用户的静态口令和“密钥种子”表C元素, 进行摘要得到摘要信息L2, 通过对比L1和L2是否相同?来判别认证中心端对应用户的静态口令和“密钥种子”表C的元素是否可信、完整。

4 动态口令身份认证系统的主要优势

客户端用户的静态口令一部分由用户输入计算机, 一部分由认证系统自动产生, 通过密钥元素代替表生成认证密钥, 认证密钥生成过程都是在智能卡或加密卡的芯片里生成, 明文不出芯片, 保证两端认证密钥运行安全。

客户端“密钥种子”和单钥组合生成算法, 存放在智能卡芯片里, 保证客户端单钥组合生成算法和“密钥种子”数据的存储安全。认证中心端的单钥组合生成算法存放在加密卡芯片里, 全体用户的静态口令和“密钥种子”是以密文的形式存储, 保证认证中心端单钥组合生成算法和全体用户密钥种子的存储安全, 防止黑客通过篡改用户的各种认证参数, 来攻击认证系统。

由时间戳和随机数组成的单钥组合生成算法, 从“密钥种子”表C中选出的36组元素, 组成的子表E并由子表E元素, 与全体静态口令元素组成密钥元素代替表中的密钥元素变化量为:1636或3236, 即:2144或2180, 基本上一次一变。

用户输入计算机的静态口令虽然不变, 且认证系统自动增添的静态口令也基本不变, 但是, 经过实时产生一次一变的密钥元素表的代替, 生成的认证密钥一次一变。

用一次一变的认证密钥加密36位随机数生成随机数密文即:动态认证口令, 其中:每位十六进制的随机数占4比特, 36位十六进制随机数共占144比特, 变化量为:2144, 动态口令的变化量也为:2144, 基本上一次一变。

采用挑战/应答式认证模式, 能通过在认证中心端设置认证过程的生命周期T, 来控制用户进行身份认证的整个进程, 防止黑客利用截获的动态认证口令, 来攻击认证系统。

采用一种安全单钥管理技术建立安全协议的策略, 是基于智能卡和加密卡的芯片是可信的基础上, 认证系统中的各种安全协议, 是在智能卡芯片和加密卡芯片里完成, 都是基于“芯片级”的协议, 安全性高。

5 结束语

本方案提出在客户机端智能芯片和认证中心端加密卡芯片里, 采用轻量级密码和安全单钥管理技术来建立动态口令认证系统, 将用户输入的静态口令和认证系统增添的静态口令, 通过一次一变的密钥元素代替表代替后, 生成的认证密钥一次一变, 并产生的动态认证口令也一次一变, 保证认证系统既高效, 又安全。能满足具有海量用户的网络身份认证, 为我国未来网络的应用和发展保驾护航。

参考文献

[1]GM/T 0021-2012, 动态口令密码应用技术规范.

[2]专利申请号:200510107835.8发明名称:一种防止银行信用卡被盗用的方法发明人:胡阳.

[3]胡祥义, 徐冠宁, 杜丽萍.基于云计算的文件加密传输方法[J].网络安全技术与应用.2013.5.

[4]沈昌祥.云计算安全与等级保护[J].信息安全与通信保密.2012.

[5]冯登国.开启云计算安全时代[J].信息网络安全.2011.

[6]张云勇, 陈清金.云计算安全关键技术分析[J].电信科学.2010.

[7]冯志刚, 马超.浅谈云计算安全[J].科技风.2010.

[8]田景成.云计算与密码技术[J].信息安全与通信保密.2012

认证方法论文 篇2

腾讯微博认证之后可以成为对外的媒体，有机会获得腾讯的推荐，通过认证的人会被认为是有一定影响力的名人，你说的话就代表了大众媒体说得话了，你可以得到很多的关注的，但是微博认证是很难的了，除非你是明星或者名企。但大部分人不是，其实，可以找专业代认证的机构帮您，如美基营销，一般在2-7日内便可完成认证。可在百度搜索美基营销，在官方网站上找到联系方式，通过美基营销的工作人员认证，费用较低，且正规有保障，永久有效。

个人用户认证

腾讯微博怎么认证？先看清楚范围：传媒、财经、科技网络、文化出版、娱乐、体育、游戏、政府官员、公共名人、公务人员、公益慈善、动漫、星座、生活时尚、重大新闻当事人等领域的自然人等。

非个人用户认证：范围：政府、媒体、企业、网站、应用等官方帐号均可通过美基营销申请机构认证。

政府认证

范围：各级政府部门、公检法机关、工商税务、交通、旅游、医疗卫生、市政、团委体委街道社区等政府部门官方帐号。

媒体企业

腾讯微博怎么认证，各类报社、电视台、广播、杂志、媒体网站等官方帐号。有营业执照和公章的盈利型企业、公司及公司产品等官方帐号，均可通过美基营销申请机构认证。为更好的运营企业微博，请访问企业微博帮助页面。

认证方法论文 篇3

Linux是——套免费使用和自由传播的类Unix操作系统，它主要用于基于Intel X86系列CPU的计算机上，并以高效性和灵活性著称，具有多任务、多用户的能力。Linux之所以受到广大计算机爱好者的喜爱，主要原因有两个，一是它属于自由软件，用户不用支付任何费用就可以获得它和它的源代码，并且可以根据自己的需要对它进行必要的修改，无偿对它使用，无约束地继续传播。另一个原因是，想拥有Unix操作系统或想要学习Unix操作系统的人都可以从Linux中获益。

Red Hat是全球最大的开源技术厂家，其产品Red HatLinux也是全世界应用最广泛的Linux。Red Hat公司总部位于美国北力n利福尼亚。在全球拥有22个分部。对于Red Hat来说，开放源代码已经不只是一个软件模型，这正是Red Hat的商业模式。因为Red Hat坚信只有协作，企业才能创造出非凡质量和价值的产品。

根据Red Hat网站公开的资料显示：在Red Hat的300名工程师中，有6名来自于全世界最顶尖的10名Linux核心开发者，7名来自全球最出色10名Linux开发工具工程师。全世界，也许只有Red Hat能够把Linux和开源技术以及企业级的培训、技术支持和咨询融合得如此美妙。Red Hat的培训及认证被认为是Linux认证的标准。

Certification杂志的最新调查显示，RHCE(Red Hat认证工程师)认证被公认为总体质量最高的国际汀认证。

立足Linux，面向Internet时代。个人应用，Internet接入设备，企业解决方案，Linux具有无限广阔的空间。Linux操作系统越来越受到了大型厂商、专业公司、政府机构的关注。目前掌握Linux的专业人才在高级人才市场上炙手可热。

为什么要选择Linux认证培训?

#中国加入WTO后，知识产权保护将逐步规范，使得更多企业转向成本较低的Linux操作平台。

#Windows XP高昂的价格和升级收费政策使企业和个人用户转向自由开放的Linux操作系统；

#据IDC统计，Linux在服务器市场上的占有率超过27％，其增长率超过Windows操作系统4个百分点，同时中国人才市场也亟需Linux方面的专业人才，

#Linux领域最权威的国际认证RHCE证书，是最具含金量的国际IT职业证书之一，它能向潜在的雇主证明您在Linux方面独特的专业技能，获得更多提升和提薪的机会，

#RHCE极具挑战力的测试方式，使得确实拥有真正能力和非常聪明的人才能获得该项认证，

一、RedHat课程介绍

Red Hat考虑到学员基础水平的不同，特提供了两种课程安排：速成课程和标准课程。速成课程针对老练的系统管理员，标准课程则定位于那些缺乏经验的学员。

(一)标准课程

1、RH033RedHatLinux基础课程

通过针对从未使用过Linux或者UNIX命令行使用经验，但想进一步了解如何使用和优化他们计算机上的Red HatLinux的学习者。 2、RHl33RedHatLinux系统管理 本课程将教授Red Hat Linux系统管理的能力，通过学习将能够对现存网络上的计算机进行管理和设置。

3、RH253RedHatLinux网络及安全管理

本课程为Linux和／或UNIX系统管理员培训Red HatLinux网络服务设置及安全管理。

(二)速成课程

RH300RHCE速成课程：

本课程为培养Red Hat认证工程师而设置的短期培训班。学员应具备相应的基础，该课程将有4天的培训时间，第5天将是RHCE认证考试。

二、RH302 RHCE认证考试

RHCE(Red Hat certified Engineer)是Red Hat认证工程师的简称，始于1999年3月，是市场上第一个面向Linux的认证考试，也是公认的Linux领域最高水平的认证考试。毫无疑问，RHCE是业界公认的最难考的认证考试之一，也正因此，使它得到了应有的尊重。在Linux所拥有的市场份额下，人力资源经理会立即承认它。

Becky Nagel在他的“2002年10个最热门的认证”一文中将RHCE排在第六位。他对RHCE如此评论：“正如Hettema所说：‘在过去的5年中Linux是一个热门的认证’。但为什么RHCE会脱颖而出呢?毫无疑问，部分归因于推出它的企业：Red Hat所拥有Linux版本的最大市场份额。但我们认为认证人围的原因是因为它具有很高的测试应试者实际技能的水平，因此使该认证成为——个很难获得的认证。如果您是一位RHCE，您应该对您的能力充满信心。 ”

通过本考试的考生可获得RHCE证书。认证考试包括3个部分，在1天内考完。三个部分中两个必须在实际环境中完成。第一部分考生必须在2．5小时内完成4个实际的Linux系统故障排除测试。第二部分包括1个小时的多重选择题。第三部分为服务器安装和网络服务器配置测试，在2．5小时内完成。考试的三个部分中每一个部分满分都是100分，考生的平均成绩必须在80分以上，并且每一部分的成绩不能低于50分才能通过考试。

取得RHCE证书可以同时获得国际证书、专用标志使用权、T-shirt、贴纸等。

WiFi网络的实名认证方法探究 篇4

1 Wi Fi 网络的实名认证

1.1 Wi Fi 网络实名制

网络实名制, 又称作网络身份管理, 顾名思义, 是一种推行实施真实身份信息上网、以及在网络上注册的维护网络运行的手段。网络实名制是我国政府提出的, 为构建和谐、稳定、积极向上的网络信息社会的一种积极尝试。网络实名制的推行, 能够有效地保障网络的真实性, 保障国家以及公民们的权益, 打击各种网络谣言的散布与传播, 防止非安全性的网络活动 (例如依据公众特点所形成的虚假广告、虚假交易买卖等等) 的产生, 遏制虚拟网络对人们精神的消极影响。例如, 网络用户在使用电子商务、网上银行、交友互学, 婚姻中介等等网站时, 需要提供真实可靠的用户个人信息, 从而对用户的经济进行适当的保护, 与此同时, 对我国社交网站和各大网络行为的安全可靠度也进行了适当的保障; 用户在微博、博客、论坛、贴吧等等网络媒体上进行各种相关的评论时, 使用实名制也可以对用户以及网络进行有效的保护, 从而有利于我国网络安全等部门进行有效的相关管理与监督, 从而防止不法分子做出有损用户个人以及国家相关方面的言论与行为。因此, Wi Fi网络实名制除了可以保障用户个人的信息不被不法分子获取作为违法乱纪的依据, 在很大程度上对我国建设客观、理性、自由、有序的网络环境, 从而更好地保护我国公民们的权益等等方面拥有着极大的积极影响与引导作用。

1.2 Wi Fi 网络的实名认证

Wi Fi网络的实名认证是对网络实名制的一种实施措施 ,Wi Fi网络的实名认证能够有效的遏制近年来急剧增加的网络谣言、网络欺诈等犯罪行为, 同时, 对公民在网络上的责任感的提升也大有益处, 能够有效地净化我国的网络环境、增强我国网络的信任度、提高我国网络安全性的保障。

2 传统方法的不足

在我国传统的互联网用户身份信息实名认证管理系统中,用户身份信息的实名认证管理体系根据每一个网站的不同而有所差异, 也就是说几乎没一个网站都有自己的用户身份信息实名认证管理体系。而每一个网站对于用户的个人身份信息的保护也都是不同的, 因此, 由于一些网站比较微小, 而且用户数量不多, 网络技术不够先进, 从而导致用户的个人信息遭到泄露的现象也就不可避免。

2.1 重复的身份信息提供

当用户使用某一个网站进行相关信息的索取或者其他操作时, 网站服务器会要求用户们输入自己的个人身份 信息 ,当用户使用多个网站进行操作, 或者同一名用户访问多个系统和网站时, 就必须要进行多次的身份信息的提供与 验证、进行多次注册和管理多套登录信息, 从而大大地提高了每一个网站的冗余度, 降低了网站的认证体系服务的效率。多用户也会产生很大的不便。

2.2 身份信息的安全保障问题

由于网站服务器大多使用的是开放的管理与服务策略, 因此, 自身系统的安全性以及在应对不同的网络问题时自身的抗攻击能力不能够进行严格的限定, 从而导致用户和网站服务器之间的双向认证很难实现, 用户的个人身份信息很难得到保障。

2.3 容易发生篡改攻击

用户所发送的个人身份信息是大多网站服务器所采用的认证流程的 关键环节 。而这一 环节的正 确进行主 要由TCP/IP(Transmission Control Protocol/Internet Protocol的简写 , 中译名为传输控制协议/因特网互联协议, 又名网络通讯协议, 是Internet最基本的协议、Internet国际互联网络的基础 , 由网络层的IP协议和传输层的TCP协议组成。) 地址映射的域名解析系统所决定。因此, 这一方面如果出现问题, 那么整个网络的安全性便会受到威胁。而现实情况是此系统存在着很严重的身份标识被篡改、被攻击等等安全问题和安全隐患。在大多数敏感的网络环境下, 若想将数以万计的网络服务器认证系统的安全性和可靠性提高到百分之一百变为现实是不可能实现的。与此同时, 对于每一个网站对于黑客入侵的检测与处理的能力也是不同的, 对于一些网络安全维护水平处于初级的网站, 一旦有黑客侵入到该网站的用户信息数据库服务器, 便会造成大量的用户个人身份信息被泄露, 从而导致极其严重的后果。

3 Wi Fi 网络的实名认证方法优化

3.1 方法概括

互联网实名认证体系的核心思想是用户提供个人身份信息进行实名认证, 利用网名进行上网。用户在公安机关进行上网注册时采用真实信息, 再经过一段时间的处理之后, 经过身份审核后, 公安机关会给每一个用户发一个唯一的网名。用户可以利用这个唯一的网名在网络上进行各种信息的索取与其他网络相关操作。通过这个途径, 任何单位、组织、或者个人都无法在互联网上通过网名获取用户的真实身份信息,同时也就保障了用户的个人身份信息不被泄露。另外, 只有通过授权的国家相关机构和人员才能够对用户的身份信息进行相关查询以及获取, 并且, 在查询或者获取的过程中, 操作人员的各项网络操作都会经过严格的审计和审查。在Wi Fi网络的实名认证方法中, 实名认证体系对认证基础设施提供的安全功能进行了服务化封装, 与此同时, 也在很大程度上屏蔽了安全认证基础设施的多种具体特性。通过这 种方法 ,在相同的认证服务接口 (一个自动化系统与另一个自动化系(WEP)、Wi Fi保护接入 (WPA)、端口访问控制技术、支持用户名和手机方式的改进型Web认证、HTTP拦截、以及HTTP重定向。

3.2 体系层次

Wi Fi网络的实名认证方法体系分为4个基本层次, 分别为:

(1) 数据层

数据层是Wi Fi网络的实名认证方法体系的最底层, 是用户数据存储、管理、发送信息的调用许可通知等等的基础设施。数据层采用分片云存储的构架, 提供自动化的存储服务,将各种不同类型的信息分散的存储在分布式数据处理系统中。数据层的附属功能还有很多, 例如, 数据层可以消除服务器单点故障, 从而为系统提供连续不间断的数据存取、数据校验、以及数据备份保护等等不可或缺的功能。

(2) 基础设施层

基础设施层是游湖数据和认证信息管理、分发、调用等等的基础功能设备, 是每一个Wi Fi网络的实名认证方法体系中的重要组成部分之一。基础设施层为所有网络用户的身份管理、信任凭据管理等等都提供了基本的支撑功能。认证的基础设施包括很多, 其中最重要的是公安系统提供的各项设施、各大信誉较好的公司、企事业单位、以及网站提供的认证基础设施。

(3) 服务层

服务层位于Wi Fi网络的实名认证方法体系的中间位置。服务层将底层的基础设施所实现的各项功能封装为标准的服务接口进行统一的发布, 各类业务系统作为服务使用者, 只要利用统一的服务接口标准中所规定的响应的定义调用方法,就可以对各种实名认证服务继续调用。除此之外, Wi Fi网络的实名认证方法体系采用SOA (面向服务的体系结构是一个组件模型, 它将应用程序的不同功能单元 (称为服务) 通过这些服务之间定义良好的接口和契约联系起来。) 的服务构架, 分布式的存储在信息应用系统中, 从而同各种类型的认证基础设施进行相应的联系与互通, 通过这种方式共同构建一个能够覆盖全国范围的Wi Fi网络下的实名认证系统。

(4) 应用层

应用层是Wi Fi网络的实名认证方法体系中的最上层, 是Wi Fi网络的实名认证方法体系设计的应用系统的综合 , 也是其下三层所提供服务的最终对象。当用户在进行注册时, 每一个应用系统都要求用户必须先调用实名认证服务系统所提供的用户注册服务接口, 从而实现用户以及对应的账户信息在公安系统中的实名注册, 接下来通过提供个人的身份信息来完成在自己所需要的业务系统中的账户注册。当用户在下一次访问该网站的时候, 用户便可以只需要通过账户或者网名进行登录网站来进行对网站的访问或者其他的相应操作, 而不需要再次在互联网上提供自己的身份信息, 大大地降低了用户的个人信息被泄露的可能性。除此之外, 因为上面提高的, 在服务层会屏蔽网络应用以及特定的认证基础设施联系, 从而能够形成覆盖全网的认证体系, 因此, Wi Fi网络的实名认证方法体系可以支持不同的认证模式、认证算法的用户再通过公安系统的认证授权之后, 可以合理地对相应的业务系统进行访问。

4 结语

基于静脉识别的身份认证方法研究 篇5

首先简要介绍了身份认证技术与生物特征识别,然后指出目前应用最广泛的`生物特征身份认证方法--指纹识别的缺点和不足,在此基础上提出了一种新的生物特征身份认证方法--静脉识别.分析了静脉识别的理论依据、特点和难点,提出了一种新的图像阈值分割方法和静脉图像特征匹配方法,进行了特征匹配实验,得出了较好的实验效果.

作 者：王科俊 丁宇航 王大振  作者单位：哈尔滨工程大学自动化学院,哈尔滨,150001 刊 名：科技导报  ISTIC PKU英文刊名：SCIENCE & TECHNOLOGY REVIEW 年，卷(期)： 23(1) 分类号：X915.3 D918.9 关键词：身份认证   生物特征识别   静脉识别   阈值分割   特征匹配  

认证方法论文 篇6

从2010年12月份开始，来自长三角三省一市——江苏、浙江、安徽以及上海的企业用户，如果想去这三省一市的任何一个地区投标项目，不用再像以往一样，需要首先亲自去外地的招标公司办理当地的数字证书，然后在网上获得相关的招标信息并竞标了，现在只需要在本省或本市的电子认证机构（CA）办理一张数字证书，就可以应用在三省一市任何地方的招标项目中，“这样省却了舟车劳顿的痛苦和花费，还省却了购置和应用多个数字证书（USB Key）的烦恼。”

这一切，都得益于长三角电子认证联盟的成立以及电子认证联盟技术平台的开通。

电子认证联盟成立

2010年12月9日，在安徽黄山市，长三角电子认证联盟技术平台在安徽经信委的主办下宣布开通。工业和信息化部信息安全协调司副司长欧阳武、黄山市领导、长三角地区三省一市的经信委领导以及长三角三省一市的四家电子认证服务机构——江苏CA、浙江CA、安徽CA、上海CA的30多位代表参加了开通仪式。记者感到这次会议虽然规模不大，但规格却很高，三省一市经信委的分管领导都参加了会议，显示出政府对数字证书联盟的重视。

欧阳武副司长表示，实现CA机构发放的数字证书之间的互认是认证行业发展的必然方向，是普及和推广电子签名应用的必然要求。但证书互认提倡了多年，实现起来却困难重重，既有政策方面的原因，也有认证机构和信赖方利益方面的因素。这次长三角地区通过建立电子认证联盟的方式实现用户数字证书的跨地区互认互信，是一次很好的尝试，工业和信息化部信息安全协调司将大力支持这样的尝试。

据悉，长三角电子认证联盟的技术平台是江苏省电子商务证书认证中心（江苏CA）负责承建运营的。江苏CA的副总经理曹晖告诉记者，之所以成立这样一个联盟，也是用户需求所致。自己的公司在江苏境内颁发了几百万张数字证书，但江苏境内的用户如果想去异地投标，或者在异地有办事机构需在异地缴税，都必须在异地再办理一张数字证书，不仅应用不方便，也浪费时间和精力。此外，目前的现状是电子认证机构地方割据严重，大家都在本省发展，但由于市场有限，各自都做不大，影响了整个产业的发展。因此，成立联盟的想法得到了三省一市CA机构的一致认可。“如果用户觉得数字证书不好用，肯定不愿意用，而影响的是整个CA产业的发展，这也是造成CA公司普遍做不大，产业规模偏小的重要原因。只有强强联手，才能形成合力，共同将产业做大。”曹晖说，CA企业这一想法不仅得到了CA公司响应，也得到了各地经信委的大力支持。

江苏省经信委信息安全处周萍处长告诉记者，这是长三角电子认证联盟召开的第三次会议。每次会议解决一个重要内容，前两次会议大家讨论了联盟及技术平台的可行性，这次主要是宣布平台开通；同时，宣布四家CA机构正式签署协议，加入联盟。

以往很多联盟都是松散组织，最后都不了了之。为了将电子认证联盟做大作强，将联盟落地，联盟规定加入联盟必须签署合作协议，共同遵守联盟章程。黄山市信息办副主任曹卫东介绍，合作四方必须签署正式的协议，共同遵守章程，才能最终让联盟发挥出应有的作用，以便为用户提供更好的服务。

解决利益共享问题

四家CA机构的业务在各地都互有渗透，业务模式有很多相似之处，从某种意义上来说，彼此之间是强有力的竞争对手。要让竞争对手之间合作，如果不解决利益问题，实现双赢多赢，就很难达成合作意向。如何在不损害各自CA机构现有利益的基础上，让大家愿意合作？这是联盟需要解决的核心问题。

很久以来，一些政府机构也曾经探讨建立根CA实现数字证书互认证的做法，通过根CA对各家CA机构的数字证书进行认证。这种想法从理论上看似乎行得通，但实际情况是一直无法真正实现起来，原因何在呢？曹晖分析，最主要的原因是那些所谓的根CA，要让各CA机构将自己的用户交给他，等于是要动现有CA机构的奶酪，对市场格局重新划分。“试想哪个CA机构愿意呢？如果根CA没有得到各地CA机构的支持，就很难做起来。“说白了，那些根CA机构没有解决利益共享的问题。”曹晖说。

曹晖具备运营商技术运营的经历，他很熟悉运营商之间是如何在技术上实现不同运营商电话用户的互联互通的，也熟悉运营商之间如何通过互联互通实现利益分摊，所以他认为完全可以将这一模式引入电子认证服务领域。

“因此，我们创造性地提出了数字证书‘漫游’的概念。” 曹晖说，所谓“漫游”，就是采用移动运营商的思路：在异地对通话进行“漫游服务”，并对用户收取“漫游费用”，然后运营商共同切分“漫游蛋糕”。那么，具体到电子认证领域，就是对数字证书进行“异地漫游认证”服务，同时收取“异地漫游认证费”。“对企业用户来说，数字证书异地漫游让他们不需要再花路费去异地办理数字证书，因此，他们愿意多付一点漫游费；而对CA机构来说，只要将漫游费有效实现利益共享，他们也很愿意为其他CA机构在本地的客户服务，从而收取额外的服务费。这样，就实现了用户、CA机构以及CA机构之间的利益分配，实现了多赢。”

具体而言，对企业用户的“漫游认证”收费设想大约为200元/年。这笔“漫游费”由发证CA机构和漫游服务CA机构之间按照4:6的 比例分成。这样，如果有足够多的漫游用户，即使CA机构不再发展自己的用户，通过漫游服务也能实现很好的经济效益。

“这种模式，没有动CA机构已有的用户根基，而是寻找到了服务的新蓝海，让各地的CA机构寻找到了新的利润增长点，因此，当然得到了很多CA机构的大力支持和响应。”曹晖介绍，“目前，除了长三角的四家CA机构外，其他省市自治区的一些CA机构也有意向加入这一联盟。”

电子认证联盟

技术平台开通

据了解，长三角电子认证联盟成立后，首要的工作就是要建立一个互认证的技术平台，让各个CA机构的应用通过一定的技术标准接入该平台中，然后用户通过该平台获得数字证书的互认证。

“从技术上来说，建立这样一个公共的技术平台没有任何难度。”曹晖介绍。“只需要各家定义好连接标准，并遵守共同的标准就行了。”

安徽电子认证管理中心的技术总监高守龙介绍，自从四家CA机构同意建立联盟后，每家公司都抽调出技术人员，共同成立了技术开发小组，共同讨论系统框架、定义接口标准。最终该平台由江苏CA落地，经过半年多的努力，终于开通了。

“目前新开通的技术平台，已经将四地的招标系统连接进来，这样，四地的企业可以通过一个数字证书，参与到异地的招标项目中。”曹晖介绍，“未来的目标是，将逐渐把各家CA机构的各种应用逐步连接进系统中。如果算数量，预计连接进该平台的应用将至少达到300多个。”

按照曹晖的思路，未来这三省一市的企业用户，将可能只需要一张数字证书在此平台上轻松自助开通目的地的漫游应用，就可以应用到本地CA机构的不同应用系统中的身份和签名认证中；也可以应用在异地其他CA机构提供的不同的应用系统的身份和签名认证中。“这只是理想，未来还需要解决一些技术难题，比如，通过一张数字证书，又要进入财务系统又要进入人事系统，需要进行严格的定义和审计，所以，我们还需要从技术上解决这些难题。”他说。

电子认证联盟技术平台的运维工作目前暂时由江苏CA承担，曹晖介绍，随着越来越多的应用连接进来，未来不排除将整个技术平台独立运营，运营费由联盟成员共同分担。

可以预见，随着越来越多的应用加入这一平台，未来将可能有越来越多的其他地区的CA机构加入这一联盟，到那时，就真可能实现一张证书走遍天下的目标了，整个中国的电子认证服务市场，就真正实现了全国一盘棋！

评论

合作发展 共同壮大

长三角的电子认证服务联盟平台的开通不蒂给目前沉默的电子认证服务市场一针兴奋剂，引起众多CA机构的极大关注。众所周知，中国的电子认证服务市场虽然从理论上来说非常大，应用场景非常多，但现实情况是：获得工业和信息化部进入许可的30家 CA机构，普遍规模不大，地方割据严重，彼此之间低价倾轧，造成整个市场的混乱，其结果是，不仅伤害了用户对数字证书的使用热情，也严重伤害了CA机构的经济利益，让它们没有更多的资金进行技术开发，由此形成恶性循环。

新的联盟方式则让我们看到了建立新的市场秩序的方向：未来CA机构之间很可能不再将眼光仅仅盯在发展新客户上，不再在价格上恶性竞争，而是将眼光放在提供更好、更优质的服务上，回归电子认证“服务”的本源。这样，一方面为用户提供了优质的服务，另一方面，也让CA机构，即使只做服务，也能发展壮大，真正实现“合作发展、共同壮大”的目标。

当然，理想是好的，实现的道路也并非一帆风顺。一家CA机构的副总告诉记者，联盟的基础是各地CA机构只做本地的新用户，对那些做全国市场的CA机构、或者对那些市场相互之间有渗透的CA机构来说，如何服务好异地客户，是他们面临的新挑战。他们很可能担心自己的客户被其他CA机构抢走而造成新一轮的恶性竞争。

但曹晖认为，这些问题在未来的深入合作中都是会逐渐解决的。随着设计中的先进、公平、合理的营账系统上线运营，未来CA机构自己会权衡，是在异地发展自己的新客户合算，还是在本地维护其他CA机构的客户合算？市场这只无形的手，最终会调节好这些事情。

认证方法论文 篇7

一、用Keytool工具制作安全证书

Keytool是Java自带的一个数据证书管理工具,主要功能有制作、导入和导出证书。在命令行模式下输入如下模板代码段即可制作证书:

keytool-genkey(非对称加密)-alias User(keystore的别名)-keyalg RSA(指定加密算法)-validity 365(有效时间/单位为天)-keystore keystore(指定keystore文件名及存放目录)

(一)生成服务器端证书

在命令行模式使用命令:

keytool-genkey-v-alias tomcat-keyalg RSA-keystore D:testtomcat.keystore-validity 365

随后填写相关参数,其中参数栏“您的名字与姓氏是什么?”是必填项,并且必须是Tomcat部署主机的域名或IP如sina.com或者192.168.1.1等,在本地做开发测试时,应填入“localhost”。然后生成名为localhost_server.store的文件,其使用的加密算法为RSA,有效期为一年,并存放于D:test目录下,如图1所示。

(二)生成客户端证书

为浏览器生成证书,以便让服务器来验证它。为了能将证书顺利导入至IE和Firefox,证书格式应该是PKCS12。命令行模式下使用如下命令进行生成:

keytool-genkey-v-alias mykey-keyalg RSA-storetype PKCS12-keystore D:testmykey.p12

双击生成的mykey.p12证书文件,将证书导入浏览器,如图2所示。

二、添加服务器和客户端的证书信任

(一)让服务器信任客户端证书

由于服务器必须信任客户端证书,因此,必须把客户端证书添加为服务器的信任证书。由于不能直接将PKCS12格式的证书导入,必须先把客户端证书导出为一个单独的CER文件,使用如下命令:

keytool-export-alias mykey-keystore D:testmykey.p12-storetype PKCS12-storepass password-rfc–file D:testmykey.cer

下一步是将该文件导入到服务器的证书库,添加一个信任证书,使用如下命令:

keytool–import–v–file localhost_trust.cer–keystore localhost_server.store

具体如图3所示。

(二)让客户端信任服务器证书

由于是双向SSL认证,客户端也要验证服务器证书。因此,必须把服务器证书添加到浏览的“受信任的根证书颁发机构”。由于不能直接将Keystore格式的证书库导入,因此必须先把服务器证书导出为一个单独的CER文件,使用命令:

keytool-keystore D:tomcat.keystore-export-alias tomcat-file D:testtomcat.cer

具体如图4所示。

通过以上命令,服务器证书就被我们导出到“D:testtomcat.cer”文件了。双击tomcat.cer文件,按照提示安装证书,将证书填入到“受信任的根证书颁发机构”。

三、在Tomcat中进行配置

将Tomcat中的server.xml文件中通过查询

scheme=“https”找到相关配置段,去掉注释并替换成如下代码(路径和密码要填写正确):

四、测试

打开Tomc a t服务,在浏览器中输入ht t p s://localhost:8443/,选择证书界面弹出,选“localhost”,点击“确定”,进入Tomcat主页,地址栏后会有“锁”图标(如图5和图6红框所标),表示本次会话已经通过HTTPS验证,接下来的会话过程中所传输的信息都已经过SSL信息加密。至此完成THTTPS双向认证。

摘要：HTTPS提供加密通信及对网络服务器身份的鉴定服务,比传统的HTTP更安全。本文通过描述Keytool工具制作安全证书、添加服务器和客户端的证书信任等具体方法,完成在Tomcat中的配置和测试,实现在常用的轻量级服务器Tomcat里配置HTTPS双向认证。

关键词：身份鉴定,安全证书,HTTPS,证书信任,双向认证

参考文献

[1]李萍.浅谈TOMCAT之性能优化[J].科技情报开发与经济,2011(12):43-44.

[2]钟经伟.贯通TOMCAT开发JAVAWEB开发配置整合应用开发详解[M].北京:电子工业出版社,2008.

认证方法论文 篇8

关键词：图像认证,脆弱水印,计算全息图,高级加密标准

1 引 言

随着数字革命的到来,通信和数据处理领域都发生了巨大的变化,数字图像也在逐渐代替传统的图片形式,数字图像更容易编辑、修改和使用。例如,在新闻单位从自由记者那里购买新闻照片时,数字图像的易用性可能使得新闻单位得到的是经过修改的图像,即提供者受利益驱使,为了提高新闻价值,可能对图像内容进行了修改。这样以来,证明图像的原始真实性就变的非常重要了[1]。

图像内容认证主要有两种认证方式。一种为完全认证,在传输的每个阶段都必须认证且要求中间所有实体都是可信的;另一种为内容认证,此时可以将数字签名与图像一起传输,仅仅在接收端进行认证,这样就不必冒必须信任所有中间人的风险,提高了认证的可信度。此外,对于完全认证往往具有许多中间阶段,因此数据产生者无法对数据签注,而内容认证则可以做到这一点。

内容脆弱水印是在宿主图像经过线形或非线形转换的时候非常容易被改变或破坏的一种水印[2]。内容脆弱水印是为了认证图像的完整性,因此,设计的水印不但要能证明图像内容是否被篡改,而且,图像的部分内容被替换时,水印信息应该提供图像被伪造的证据。脆弱水印对修改的敏感性决定了其在数字图像认证中的应用,也就是说,脆弱水印是为了验证数字图像在加入水印之后是否被破坏或替换的嵌入信息。图像认证在法律、商业和新闻业中都有极高的应用价值。

本文提出了一套系统的水印认证方案:采用计算全息图水印技术验证数字图像的原始真实性,同时为了得到更好的安全性,采用了密钥加密。当用户收到一副测试图像时,可以检测图像的真实性,检测过程需要“边信息”(在这里,边信息指密钥和原始水印图像),最后使用相关系数来比较提取的水印和原始水印。文中采用了计算全息图编码技术,首先介绍生成特定模式的水印,用适当的数学公式描述加密方法,然后通过测试论证算法的安全性和水印的脆弱性。

2 基于计算全息图编码技术的内容脆弱水印

水印是用来验证数据是否被恶意修改(脆弱水印)或者保护知识产权(鲁棒水印)的,对于数字图像鉴定的脆弱水印需要考虑:二次水印;水印对正常操作的敏感性;水印的可见性。基于计算全息图编码技术的内容脆弱水印的重要特点就是内容脆弱,即对于任何改变宿主图像的可视内容的操作都可以被检测到,另外一个重要特点是水印是CGH(计算全息图),同时嵌入信息和宿主相关,这样使得水印和噪声非常类似,不容易被侦测和移除。

CGH是根据衍射原理利用计算机产生的数字全息图,并且可以数字化重构[3]。在水印算法中,我们把CGH伪装成噪声嵌入数字图像中作为水印,文中所用到的水印图像如图1所示。

在把水印图像嵌入宿主图像之前要把其转换成CGH,首先把水印图像IM(mark image)的宽度和高度分别调整为宿主图像IH(hosting image) 宽度和高度的四分之一,然后将其置入到与宿主图像尺度相同的结构中,再把修改后的水印图像变换成灰度弥漫型的傅里叶变换全息图(CGH)[2],如图2所示,我们通过这些操作模拟离轴全息术得到计算全息图。

在将CGH嵌入之前需要对宿主图像进行低通滤波,从而消除高频部分,为把CGH伪装成高频噪声做准备。低通滤波器的转移函数描述如下[2]:

undefined

其中R表示滤波范围,(xc,yc)表示滤波器中心,在本文中,(xc,yc)和宿主图像的频谱中心相对应,R表示为:undefined表示IM的行数。实验证明利用公式(1)作为转移函数对中低频率影响很小,有利于宿主图像信息的集中,对宿主图像质量几乎不产生破坏。考虑到人眼对亮度的对数反映,相对先前的变换,灰度图像的衰减比彩色图像的衰减要大,我们用衰减系数α控制水印的不可见性,计算全息图CGHMD表示为[2,3]:

undefined

加过水印的图像IW表示为[2,4]:

undefined

3 水印加密

为了防止攻击者利用傅里叶变换从加过水印的图像中提取水印,或者进而对图像篡改,在嵌入水印过程中还要引入加密算法以增强安全性[5,7]。在本文中,我们采用基于AES的加密算法,在应用中根据需要进行适当调整。在行移位运算中,行数据表示的是像素,位移向量用伪随机数产生器产生。这样做可以达到两个目的:位移向量是伪随机的,这样才可能解密;位移向量依赖于密钥,所以,只有授权的人才能提取水印。

本文用LCM(Linear Congruency Method,线形同余法)生成位移向量的伪随机数, LCM公式描述如下[6]:

undefined

为了保证鲁棒性,LCM的参数必须满足某些特性,其中m必须大于d(水印图像的行数),这个条件是必须的,但不是充分的,c不等于0, a和c是互素的,我们选择m是大于d的素数,a,c,x0由密钥给出。由此便可以根据迭代的轮数由LCM算法依次递推出每轮需要的伪随机向量。

综上所述,基于计算全息图的数字水印框架如图2所示。

4 实验测试

实验中,我们采用1 024*1 024的真彩色宿主图像和256*256的黑白水印图像。需要强调的是算法本身没有对图像的限制,调整水印图像的宽度和高度分别为宿主图像的1/4,图2给出了水印算法的详细流程。

基于计算全息图的数字水印算法不但对于整副图像十分有效,对于图像中的组成部分也同样适用。如图3所示在Lenna标准象中嵌入河南工业大学的图标,生成全息图时α=0.04,从整副图像或者部分图像中都可以重构出水印图像,尽管随着剪切部分的减小,提取的水印还是可识别的,从而证明了计算全息图水印技术能很好地从部分图像中成功提取水印。

因此,这种技术同样可以检测一副图像的某个部分是否被替换或者是修改,水印信息能够提供某个部分被篡改的证据。我们采用一副绘画cat′s home进行测试,在原始绘画中,绘画中间是一只白色的猫,绘画的右下角是一只黑色的猫,如图4(a)所示。

(1) 把原始绘画进行低通滤波;

(2) 加密水印图像图1(b)并且进行傅里叶变换生成计算全息图;

(3) 然后对绘画进行篡改,把中间的白猫和右下角的黑猫都改成灰色的猫,见图4(b);

(4) 为了对绘画中的篡改区域进行标识,我们把绘画显示的分为16块,见图4(c) ;

(5) 最后从每块中恢复水印,计算恢复出来的水印和生成的CGH水印的相关系数,结果如图4(d)所示。

很容易发现从图像块3B,3D,4D中恢复的水印比较模糊,并且计算得到的相关系数比较小(都小于0.70),可以得知这三个部分被篡改了。实际中,图像的正常抖动引起的相关系数的变化比篡改引起相关系数的变化要小的多(正常的抖动之后相关系数通常大于0.70)。

5 结 语

本文通过把计算全息图引入到数字水印中,采用基于修改后的AES算法进行加密,研究了把基于计算全息图的数字水印技术用到图像认证中的方法,这种技术不但可以用到图像认证中,也可以在数字图像水印、多媒体数据库或者数据库指纹以防止对数据的恶意篡改,而且可以在法律、商业和新闻业中对图像的鉴定。另外,剪切抵抗、几何变换和亮度/对比度的修改都会影响计算全息图的特征,该技术也可以用到这些方面的检测中去。不足之处是该方法不能有效抵抗图像压缩,JPEG压缩就能破坏水印全息图。如果能通过分析图像压缩编码的工作机理来寻找对压缩有免疫力的图像信号特征,然后将这些特征作为水印信息,在压缩编码过程中嵌入,那么这样的图像认证系统一般具有很好的可靠性,这也是我们下一步要研究改进的地方。

参考文献

[1]Chai X D,Dings D W,Wei S.Wavelet Analysis for Holo-graphic Basis Fring[A].In:Wei S.Second InternationalConference on Image and Graphics[C].Washington:[S.N.].2002:1 123-1 125.

[2]Dittmann J,Corce Ferri L,Viehauer C.Hologram Water-marks for Document Authentications[C].IEEE Int.Conf.onInformation Technology:Coding and Computing(LasVe-gas,NV,2001,(4):60-64.

[3]于美文.光全息学及其应用[M].北京:北京理工大学出版社,1999.

[4]雒江涛,郭洪,付丙瑞,等.利用傅里叶变换计算全息术实现计算机图像的全息变换[J].激光与光电子学进展,1999(S1):151-153.

[5]柴晓冬,王楠.一种新的傅里叶变换全息图的计算机生成方法[J].计算机工程与应用2005,41(19):9-11,104.

[6]胡向东,魏琴芳.应用密码学[M].北京:电子工业出版社,2006.

[7]陈家祯,郑子华,陈永力.Matlab中二元傅里叶变换计算机全息图的算法[J].福建师范大学学报:自然科学版,2003,19(3):22-25.

认证方法论文 篇9

目前研究主要集中于视频脆弱可逆水印的研究[12,13]，而对有损压缩、噪声污染等非恶意攻击鲁棒的半脆弱视频认证可逆水印的研究国内外还处于初级阶段。由于相对于脆弱认证问题，半脆弱认证可逆水印设计要求更高。Gujjunoori等人[14]在视频的中频交流非零量化DCT系数中，嵌入近似无损水印。由于使用了log函数进行近似无损嵌入，无法完全恢复原始视频信息。由于在中频交流系数中修改数据过多，嵌入水印的视频画质不够理想。曾骁等人[15]提出了一种运用哈希函数进行视频内容认证的半脆弱可逆视频水印算法。在I帧中嵌入两个水印，一个水印结合帧索引号，运用哈希函数进行内容完整性验证，另一个水印用于帧内篡改定位。通过修改DCT选定系数的LSB进行水印嵌入。

设计半脆弱视频认证可逆水印，需要结合视频有损编码同时，使其对无意攻击具有一定的鲁棒性。本文提出一种基于差值块的H.264视频可逆水印。根据H.264预测残差估计各个图像块类型，通过差值块直方图调整的方式，在平滑块中嵌入一位认证水印，而在纹理块中嵌入多位水印。在接收端通过K-means聚类算法，自适应判断块差值所属区间，实现高准确率的水印提取。通过认证的块，通过逆操作实现无损视频还原。

1 水印嵌入算法

1.1 预测残差块分类

人眼视觉系统研究表明:人眼对纹理区域噪声敏感度低，背景纹理越复杂，噪声门限也就越高。所以相对于平滑的区域，在复杂的纹理块中可以嵌入更多的水印。本算法根据图像块的复杂程度选择嵌入水印数量。对于实际图像块与H.264帧内预测块相减得到的残差，可视为当前块的纹理复杂程度。如果目标块是平滑块，则预测残差很小，接近于零;反之如果目标块是纹理复杂块，则预测残差大。由于预测残差已经在先前的H.264帧内预测中获取，故节省了大量计算开支。设经过H.264帧内预测后重构的H×W的I帧为I。将I帧分成h×w的不重叠图像块Ik,k∈[1,H/h×W/h]。对应的预测残差块为Irk。根据式(1)进行分类

式中:τr是一个自适应阈值，首先对f进行排序，然后对排序后的序列删除重复的元素，最终α1所指位置元素作为结果输出。Foreman的平滑纹理分类结果如图1中“预测残差分类”所示。

1.2 基于块差值的水印嵌入算法

基于块差值水印是一种调整块差值直方图进行可逆嵌入的方式。由于图像的块差值符合拉普拉斯状分布，即绝大多数的值都在0的附近，所以可以使用直方图修改进行无损嵌入。其嵌入过程比较简单，并且由于只需修改空域图像块的部分像素，所以能得到很好的嵌入效果。而且由于块差值是一个块整体的统计特性，所以对于有损压缩有比较强的鲁棒性。根据不相邻像素划分到A和B两个区域，当前块Ik的块差值ak可以定义为

式中:SA和SB分别是由Ik分成的两个区域A和B对应的和值。可见即使图像块中某些像素被修改，其块差值ak变化并不会很大，所以块差值具有鲁棒性。

由于半脆弱认证水印的定位要求，每一个图像块都必须嵌入认证水印。本文根据每个图像块嵌入水印数量，嵌入相应水印。由于块差值是通过A、B两区域和值间计算差值算术平均，所以可以在A、B两部分像素使用相反的操作，实现多倍强度τa的嵌入

式中:wm是十进制的待嵌入水印信息;·是往上取证函数;δ是调整方向，根据当前块差值在0值的方向，决定向左还是向右调整像素。由于半脆弱认证水印的要求，每一个图像块都必须嵌入认证水印，故水印嵌入强度τa定义为

式中:α2是一个大于1的调整系数;Ak={a1,a2，…，ak}是所有块差值的组成的向量。可见当阈值τa大于max(Ak)时，嵌入水印后各个比特区并不会重叠。由图1“直方图水印嵌入”图所示，当每个块最多能嵌入水印的数量numembedding=2 bit时，其水印嵌入后的块差值直方图分成7个不重叠的区域。随着嵌入水印的倍数提高，水印容量变大，水印的不可见性会变差，鲁棒性下降。

1.3 基于块差值的水印嵌入算法详细步骤

1)将经过H.264帧内预测后的I帧视频进行重构后，将I分成h×w的不重叠图像块Ik。

2)获取H.264预测残差块Irk，根据式(1)将图像块分为纹理块和平滑块。

3)选择适当的参数α1，根据式(2)计算每一个图像块的差值ak。

4)选择适当的参数α2，根据式(4)计算嵌入强度τa。

5)根据嵌入强度τa，调整像素避免灰度溢出。记录下灰度溢出图，并对其使用游程编码进行无损压缩。

6)对当前帧视频索引编号ID进行纠错编码，然后混合无损压缩后的灰度溢出图。结合纹理块的数量，在混合后的数据后进行补“1000…”处理，获得原始的辅助信息水印。为了提高安全性，再根据密钥key对原始水印进行置乱加密，获得辅助信息水印wmai。

7)对于空间认证水印，可采用任何现有水印信息。本文使用最高位图层作为认证信息生成认证水印wms，并使用密钥key进行置乱加密。

8)在平滑块中只嵌入空间认证水印wms，而在纹理块中嵌入wms和wmai两种水印。当每块最多能嵌入的水印数量numembedding为多bit时，将二进制水印转换成十进制，然后使用式(3)进行水印嵌入。

9)将嵌入后水印的I帧Iw进行DCT、量化和熵编码生成含水印的H.264视频流。循环直至所有I帧都嵌入水印。并将块分类结果、嵌入强度τa、每块最多能嵌入的水印数量numembedding以及灰度溢出图长度以及密钥key发送到接收端。

2 水印提取算法

含水印视频流接收后，对I帧视频进行和嵌入端相同的分块操作。接着计算每一个各个块差值。将差值块进行K-means聚类得到各块嵌入的水印信息。通过密钥进行解密水印，得到空间认证水印和辅助信息水印，这样可以实现空间和时间水印认证。最后无损恢复出原始的视频。其流程图如图1所示。

通常，在一些图像常规处理(例如有损压缩)以后，其块差值直方图会发生改变。如图1“块差值K-means聚类提取水印”图所示，经过有损压缩，原来的块差值直方图上的值会扩散到其两旁。这些值很容易造成原来不同区域产生重叠。由于处于同区的值具有高度的相似性和集中性，而不同区中的对象相似度较小，本文使用K-means聚类克服如上所述重叠问题。根据聚类结果，能够高精确性提取水印。水印信息提取和认证的详细步骤如下:

1)将接收到的I帧I'w分成h×w的不重叠图像块I'wk。然后计算每一个图像块的差值a'k。

2)根据numembedding选择不同的kc聚类中心。采用K-means聚类算法对所有的块差值a'k进行聚类。

根据a'k所在的不同区域得到对应的水印。再将得到的十进制水印wm'根据块分类结果，得到wm's以及wm'ai。

3)通过密钥key进行置乱解密，与重新提取的空间特征和帧索引进行比较，进行空间和时间认证。对于空间篡改定位图，去掉噪声引起的孤立点，得到最终的篡改定位图。

4)根据每个块嵌入的水印，进行逆操作去掉水印

根据由辅助信息wm'ai提取的灰度溢出图，对去掉水印后的图像Ik″w恢复溢出调整的灰度。

5)循环认证和恢复所有I帧视频，得到无损的原始视频。如果视频流遭到攻击，则只能近似恢复出原始视频，即提高图像画质。

3 实验结果与讨论

实验采用Container,Foreman,Hall,Stefan等标准CIF(100帧，352×288像素)测试视频。从含水印视觉效果，由于嵌入水印带来的失真不可见，本文采用峰值信噪比值(PSNR)来客观衡量图像失真。通过实验测试后，本文参数选择为numembedding=2，α1=0.1，α2=1.3。

如图2所示，使用本文算法嵌入水印后，Container,Foreman,Hall,Stefan的第一帧效果图。从主观视觉感受上而言，水印嵌入是不可见的，有很好的主观感受。如图3所示，实验中比较了原始H.264视频压缩、文献[14]水印嵌入算法和[15]水印嵌入算法的PSNR值。通过数据可见，比起其他两种方法，本文算法具有更好的视觉不可见性，和原始H.264压缩的画质十分接近。由于是无损水印，如果嵌入水印后的序列没有遭到任何攻击，则能够无损恢复到原来的图像。

当遭到恶意篡改攻击，可以实现篡改区域定位功能。图4所示在原来嵌入水印的视频中，在背景上添加了一个“B”，通过本文篡改定位功能，可以对其进行检测定位。同样，通过比较提取的水印中的视频索引号和当前解码时的索引号，可以很容易知道是否视频遭受时间域的攻击。

半脆弱认证水印不同于一般脆弱认证水印，它可以抵抗一定程度的非恶意攻击。这些非恶意攻击可能是重压缩、噪声或滤波。这些操作在视频的存储和传播中不可避免的会发生，所以必须对其具有一定的鲁棒性才能满足实际应用的要求。表1是含水印视频序列遭受非恶意攻击后的空间篡改定位误检率。实验中，原始水印嵌入时，使用QP=25进行H.264压缩。然后对此原始含水印视频序列进行QP=20、25、30的反复压缩后，然后提取其中的水印。通过表1可见，重压缩的误检率均值为0.41%。另一方面可见，重压缩随着压缩参数QP的增大，本算法的检测能力有所下降。对于一般程度的高斯噪声，本文算法篡改定位误检率为0.33%。随着图像遭到重度噪声攻击，水印提取能力会急速恶化。同样的，对于一般的椒盐噪声，定位误检率为0.86%。而对于高斯滤波而言，本文具有较好定位能力(0.00%)。可见本文算法对常规图像处理具有良好的鲁棒性。

4 小结

认证方法论文 篇10

1 县级环境监测计量认证的应用

1.1 强化领导意识, 全员参与

县级环境监测站计量认证是一个系统化的工程, 其涉及很多相关的因素, 比如监测站用房、监测设备、资金投入、设施建设等方面的硬件建设, 同时还涉及到组织结构、岗位职能、管理体系等多方面的软件建设。因此面对这样复杂的系统, 首先要获得领导的重视, 领导对监测站管理体系的建立具有重要的作用。在进行管理体系建立时, 要明确领导职能, 不仅要发挥决策性的作用, 同时要亲自参与到体系建设的每一个环节中, 通过不断的运行和调整来熟悉计量认证工作。领导要将站内的每一个员工都带入到环境监测体系中, 从管理体制、作风建设、员工福利等进行多方面进行激励与监督, 让员工为环境监测体系做好充足的准备, 从而建立高效的监测管理体系。

1.2 加强监测站设备环境建设, 改善环境条件

环境监测离不开监测仪器设备的运用, 因此要根据监测站的需要和当地实际情况配备相应的监测仪器设备, 例如仪器设备的采购、校验、物资供应等。仪器设备的采购要根据监测项目和方法进行有针对的选购。仪器设备的选购要保证仪器检测的准确度, 且相关设备之间不能有干扰的现象。对于影响设备运行的因素进行有效的控制, 在仪器的周围设立相关的警示标示, 减少设备问题对环境监测的影响。监测站内部要建立紧急事故处理程序, 防止危险物品对监测产生影响, 同时要防止设备在复杂环境中的损坏, 通过对设备的控制, 从而保证监测数据的准确性。

1.3 建立质量管理体系

为了保证监测结果准确可靠, 需要建立一套完善的质量管理体系, 从而将可能影响环境监测的各种因素进行有效控制。质量管理体系的建立, 包括质量手册、程序文件、质量计划、质量记录四方面内容的建立。质量管理体系文件应该具有符合性、可操作性和协调性, 应符合并覆盖《评审准则》条款的要求和本站的实际情况, 文件之间应相互协调, 避免产生不一致的地方。研究表明, 通过建立质量管理体系, 监测站可以更好的进行环境监测, 从而通过计量认证。在设计阶段要考虑到管理的每一个阶段和每一领域, 包括组织结构、管理职能和相关的人力、设备资源等, 同时要将质量管理体制中的各个文件、数据、计划等详细的记录。质量管理要根据环境的变化进行动态的改变, 其内容要科学的满足当时阶段的检测需求, 其记录的内容要充分的显示出管理体系中的各项信息。在实行阶段要进行有效的监督实现, 使管理可以发挥出其应有的效果。

2 县级环境检测站计量认证的流程

计量认证评审一般分为三个环节, 首先是前期的迎审准备。在迎审准备工作中, 监测站的领导要予以充分的重视, 保证各部门的思想、工作一致。通过召开相应的会议, 让监测站全体人员积极参与, 同时要明确各项工作的责任人, 并定期检查其完成情况。其次是现场评审。相关的管理人员要保持监测站内环境整洁, 仪器设备外表无灰尘, 并将档案信息进行分类, 方便评审查找。在现场设置专门的交流场所, 方便技术人员与相关专家进行沟通, 对于评审专家提出的问题要及时回答, 防止出现虚假的回答。最后是后期整改。对评审专家提出的问题要进行及时的记录和改正, 领导要根据其意见和建议修改整体计划, 并且将改动计划明确到个人。对于改进的流程指定人员进行后期跟踪, 以此检验测评是否具有效果, 同时将这个流程进行详细的记录, 在记录时要附带相关的证明材料, 并与之前的方案进行对比, 上报给评审组长进行评定。

3 结语

计量认证贯穿在整个环境监测站的管理流程中, 县级环境监测站要根据自己的实际情况进行管理体系的建设, 在满足《实验室资质认定评审准则》的基础上进行质量管理体系优化。要明确领导职能, 全员参与, 将环境监测中的每一个影响因素降到最低。加强员工的素质培养, 从其根本上规范其操作和行为, 从而更好的完善环境监测体系, 为环境管理提供更加准确、更加科学的决策依据。

摘要：随着工业生产的发展和人们生活水平的不断提高, 环境污染问题日益严重。如何在经济发展的同时做好环境保护工作, 实现经济社会的可持续发展, 是环境保护工作的重中之重。环境监测是环保工作的基础性工作, 也是做好环境保护工作最基本的手段, 做好环境监测站计量认证, 对环保工作有着至关重要的作用。建立以环境质量为目标的管理体制, 通过不断的审核形成一个有效的质量管理体系, 从而通过环境监测站的计量认证。本文对县级环境监测站如何进行计量认证进行相关的论述。

关键词：环境监测站,计量认证方法,应用探究

参考文献

[1]谭长江.三级环境监测站通过计量认证的实践及总结[J].科技传播, 2012, 17:60-61.

[2]崔家荣.对县级环境监测计量认证的思考[J].现代农业科技, 2013, 10:217-226.

认证“功夫”需修炼 篇11

国际认证是产品进入国际市场的通行证

所谓产品的国际认证，是产品进入国际市场前，必须经产品出口目的国认可的认证机构，根据该国法律、法规、指令或安规标准和合格性评估程序，在国家认可的检验机构进行检测，确认产品在使用的过程中不会产生伤害人类和受人类保护的动植物及其生存的生态环境，由该认证机构颁发认证证书或文件，授权使用他们的认证标志，取得国家产品认证标志的产品才可以进入该国的市场销售，产品认证标志是产品进入国际市场的通行证。

健康、安全、环保和节能是当代备受推崇的消费潮流，生产满足人们健康和安全要求的绿色产品已经成为业界的共识，也成为企业提高自身市场竞争力的有效手段，同时也是企业在国际市场中生存的根本，因此，产品国际认证是经理人最根本的修练。

国际认证是当前国际贸易壁垒中的绝招

在国际贸易中，传统的高关税、配额、许可证、反倾销和反补贴的贸易壁垒日益弱化，以安全、卫生、无毒和环境保护理念为依据的技术性贸易壁垒日益尖锐。一些发达国家，提高安全标准，制造各种各样技术性贸易壁垒的绝招，阻止外国产品进入他们市场，以达到保护自身国家经济利益的目的。

如某国出口美国的渔网拖轮，美国国内一个生态保护组织以海龟保护为名，认为这些海船拖网没有预留海龟逃生口，这批涉及500多万美元的渔船被禁止进入美国市场。我国2欧元以下的打火机占领欧盟95%的市场，欧盟以打火机没有防止儿童开启的安全装置CR为由，把我国浙江、广东、广西等地出口到欧盟的打火机几乎一网打尽，涉及5000万美元的贸易额。英国对蜂蜜中的氯霉的指标提高100倍，使大连出口到英国800吨蜂蜜被迫遣回。美国的《反生物恐怖法》的实施，导致我国食品企业造成严重的经济损失，尤其对于水产养殖业，至今余波未消。WEEE指令使我国出口欧盟市场机电产品成本增加5%~20%，EUP指令对中国家电行业造成的影响不会低于500亿元。据统计，我国每年受各种各样的技术性贸易壁垒的直接影响约有500亿美元 。

认证修练的“马步功”

经理人要把产品推向国际市场，首先要全面了解目的国对这种产品认证法规、指令和安规标准，必须深入研究融汇贯通，将法规、指令和安规标准的要求融入企业ISO质量保证体系中各个环节运行。马步功是基本功，基本功修练扎实，产品才能经受国际市场各种技术壁垒的风吹浪打。一些经理人为产品的认证而认证，产品要认证时，布置一批人应付认证机构，产品取得认证标志后就认为万事大吉。对产品为什么要进行认证的意义不去深入体会，对认证标准的要求不去仔细研究领会其中的奥妙，对产品国际认证对国际贸易内涵作用不去刻苦修练，把握不住产品在国际市场的发展方向，应对产品各种国际认证拿不出可靠措施，使企业踏入疲惫应对各种认证的迷雾中。

认证修练的“发力功”

在国际贸易中，同一种产品必须做同一种标志认证，即使同一种认证，各种产品使用材料不尽相同，其结构也不尽相同。经理人必须瞄准竞争对手的产品，对他们的产品进行解剖、分析并研究竞争对手的产品的安全可靠性和毒性，从认证标准的角度找出对方弱点，再与自己的产品进行比较，以改进产品。在时机成熟时候通过媒体或其他手段，发力攻克对方弱点，提出对方产品存在安全危害性，并提出自己产品的优点，提高自己的产品在市场上的竞争力，达到击败对手的目的。修练“发力功”并不是件轻而易举的事，经理人除了要精通产品认证法规、指令和安规标准外，还必须通晓组成产品主要材料的特性、技术指标、使用方法和价格，从中精选出安全性能可靠、无毒和环保性能好的材料来改进产品，还要运用各种生产工艺技术和科学管理方法来消化采用新材料所增加的成本，使产品安全性能和环保标准提高但成本不增加，这样的产品才会受到消费者的青睐。

认证修练的“绝招功”

产品进入衰退期，企业常常会对产品的缺点进行改进，采用新技术，推出功能更完整，安全性能更高的产品。从产品认证角度来说，企业的经理人必须研究产品这些新功能是否存在伤害人、动植物、环境的因素，制订防止这些安全事故发生的产品认证安规标准。采用的新材料是否已经通过无毒标准和更高的环保标准，而这些标准是否可以提升为产品认证的法规、指令，这些都是经理人需要修炼的功夫。能够制订产品认证标准的经理人已经走到产品认证修练的极点，修练成产品国际认证的绝招功，掌握产品在国际贸易中的主动权，随时可使出这招保护自己的市场份额。

中国的进出口经理人必须积极投入产品国际认证的修练，推动我国产品认证与国际标准的接轨，提高本企业制造技术水平和参与国际竞争的综合实力，降低产品在国际市场的风险。有条件的经理人必须刻苦修练产品国际认证的绝招功，才能迅速改变我国产品国际认证的被动局面，掌握国际贸易市场的主动权。

新闻链接

中国企业为何频频遭遇“技术壁垒之痛”？

从WEEE指令、RoHS指令,到EuP指令,中国企业为什么总是遭遇欧盟的“技术壁垒之痛”?有关专家指出,三波“绿色指令”既凸显了欧盟地区针对进口产品设立贸易壁垒的不良意图,也暴露出我国企业长期停留在国际产业链条末端、环保意识不强、核心技术标准缺失的重大缺陷。

有关专家此前就WEEE、RoHS两指令指出,外商投资企业是我国机电产品出口的主力军,但为其承担零部件配套的却大多是中国本土中小企业。对于跨国公司来说,对零部件进行控制就可以规避指令带来的风险,而配套厂商必须使自己的产品符合要求,这就使得指令带来的压力和影响转移到了本土中小企业身上。和RoHS指令一样,EuP指令也给那些对高质量、高等级的上游原材料以及整条生产链掌控能力不足的中国企业造成了突出的成本压力。

目前，离新指令实施还有不到半年的时间，但值得注意的是，在记者对多个相关企业采访中，大部分企业仍还不知情。很多企业抱怨，今年以来为了达到RoHS指令已疲于奔命，由此带来的成本大增，已让他们相当无奈，没想到又要迎来一个更为严格的指令，无异于雪上加霜。

认证方法论文 篇12

网络系统中主要有两种网络入侵破坏形式,分别是信息泄漏和黑客攻击。这两种破坏形式都会使整个计算机网络系统遭到严重的破坏,导致系统完全瘫痪,使重要的文件和信息数据发生泄漏或丢失,并且还会发生通过线路进行非法窃听等严重危害网络安全的行为。网络安全网络技术、密码技术、通信技术、信息论以及计算机科学等。在计算机的网络系统中,必须对系统以及硬、软件进行严密的保护,防止计算机网络系统遭受恶意的破坏。由于我国计算机网络中的认证系统还不够完善,使恶意侵犯者更加肆意猖獗。

1 Openstack概述

1.1 Openstack框架

Openstack是现阶段较流行的Iaa S方案,具有较高的扩展性,可为用户提供安全的云部署措施。截止目前,该项目版本发行已经11 个,功能也日渐完善。研究表明,因为该项目具有多种功能,所以其中含有的开源平台以及组件也很多。此外,其中的各个组件都可进行独立部署,其中包括以下六个组件。一是界面。也就是常说的Horizon。该组件可为网络用户、网络管理人员提供一些进行管理以及访问活动的界面。二是计算管理。也就是常说的Nova。该组件是控制器,是由于很多个子服务结合而成的,建立在用户需求的基础上,可对VM设备进行资源的管理。三是网络管理。即通常所说的Neutron。该组件可对无线网络中的全部资源进行管理以及划分,进而为网络中的全部租户提供一个虚拟环境。四是镜像管理。即通常所说的Glance。该组件主要功能在于保存VM设备的快照以及镜像,其中包括Swift以及简单文件这两种镜像机制。五是对象存储。即通常所说的Swift。该组件可为网络用户提供大文件、持久的对象存储,普遍用于静态数据信息的保存过程中。

1.2 Keystone身份认证机制

Keystone允许用户以及租户在其中注册,用户完成验证后可给予令牌,相关术语详见表1。其中。用户指的是通某个数字符号来表示openstack平台中某个人、服务等;租户可将一些项目、组织、账户等情况映射出来,主要由操作人员决定的;证书指的是用户进行身份认证过程中需要用到数据信息,比如登录密码、用户名、API密钥等。在身份验证过程中,为了安全起见,禁用临时身份验证令牌机制,编辑/etc/keystone/keystone-paste.ini配置文件,删除[pipeline:public_api],[pipeline:admin_api],和[pipeline:api_v3]内容。

2 身份认证协议选择方法

本文选取EAP-TTLS为例,探究满足用户需求的协议。使用的资源包括(1)STA端。本次研究选取联想台式计算机一台,参数如下:2.26GHz的CPU,8G内存,Linux Fedora 16 的系统。(2)AS端。选取联想台式计算机一台,参数如下:3.2GHz的CPU,8G内存,Ubuntu 12.00 的系统。(3)AP。选取联想台式计算机一台,参数如下:3.2GHz的CPU,8G内存,Linux Fedora16 的系统。具体步骤为:首先,对消耗的能量进行精确计算,其中包括ED、ER、ET等指标;其次,对认证需要的时间进行计算,求出均值。最后分析实验结果。本次实验结果表明,EAP-TTLS可为无线网络中的用户身份进行保护,并且实验结果表明该协议是建议在共享密钥的基础上,并非是服务证书。

3 结语

本文综合考虑无线网络的情况,全面考虑网络用户需要的安全性、偏好等情况,提出身份认证协议选取的具体方法,基于openstack平台进行验证,目的在于强化行业交流,提高无线网络的安全性。

参考文献

[1]蔡龙飞,赵慧民,方艳梅.一种公钥密码体制下指纹识别与数字水印的身份认证协议[J].中山大学学报(自然科学版),2013.

[2]张博,南淑萍,孟利军.一种改进的应对异步攻击的RFID身份认证协议[J].吉首大学学报(自然科学版),2015.