数字身份认证(共11篇)
数字身份认证 篇1
1 P2P协同工作的安全需求
“协同工作”的概念日益受到重视,其重要的原因是项目规模不断扩大,仅靠两三个人的力量已无法胜任。而要很好地实现协同工作就必须有相应的软件支持。在Office的各个组件中,已经开始加入了“协同工作”的功能,在Visual Studio.NET里也引入了相应的功能,但这些仍然是基于C/S模型的“协同工作”。P2P技术实现的协同工作是无需Server支持的,而且同样可以组合成Workgroup,在之上共享信息、提出问题、商讨解决方案等,提供更好的“协同工作”能力。
通信是协同工作得以实现的基本保障,通信的实现往往是分层的,根据国际标准化组织的开放系统互联模型的分层原则,我们认为协同工作的应用中主要成员有制作者、消费者和管理者[1]。通常,协同工作由少量制作者组成,他们是行为的发起者,而消费者数量较大,他们仅仅是被动的接受行为,管理者除负责协作系统的日常维护外,必要时可以控制整个协作系统。
本文提出利用数字水印技术,在发送的信息中嵌入与双方信息及传输内容相关的水印,可以防止第三方伪装成通信的任何一方进行欺骗行为,同时也能保证信息的完整性。
2 数字水印的认证原理
数字水印[2]是信息隐藏的一种方法,它是利用载体中的信息冗余,在不破坏或尽量少破坏原始载体的情况下,将信息隐藏其中。数字水印一般可分为:用于版权保护的鲁棒水印(Robust Watermarking)和用于防篡改的认证水印(Authentication Watermarking)。
现有的认证水印算法很多,主要包括易损水印和半易损水印两大类。易损水印[3]主要用于防止对原始信息的任何篡改,包括叠加噪声,滤波,有损压缩等等,因而可防止对原始信息的任何仿造。半易损水印[4]结合了易损水印和鲁棒水印的相似,半易损水印可以容忍一定程度的施加于嵌入了半易损水印的图像上的常见信号处理操作,如噪声叠加,有损压缩等。与易损水印相似,半易损水印具有定位篡改区域的能力。基于数字水印的认证系统通常包括三部分:水印的产生,水印的嵌入和水印的检测认证。认证水印系统的一般结构可用图1来表示。
认证水印系统首先利用一定的算法将来自宿主图像或外界的信息转变成水印信号,通过嵌入算法将其嵌入宿主图像i中,得到含有水印的图像I。其中i和I在人的知觉上没有明显差别,也就是不能损坏i的使用价值。将含有水印的图像I经过信道传输到信宿端,通过水印检测对接收到的图像进行认证,得到检测结果。检测时,要求仅仅通过可能被篡改的图像II,或者再加上水印信息w,即可判断图像II是否遭受到篡改,从而能检验其完整性,在实际应用中,往往在处理过程中,还需要使用密钥。
3 基于JXTA平台的数字水印系统认证方案
3.1 水印的嵌入与提取
由于目前数字水印的载体以图像居多,因此我们假设P2P协同工作的合法用户都具有能表明身份的图像,如徽章,印章等,而且考虑到P2P的动态性,为了加快水印处理速度,提高工作效率,我们在方案中采用直接在图像的空域嵌入水印的算法。原理如图2。
希望加入P2P协同工作的节点将协议的信息摘要作为水印信息嵌入到数字印章中,用于协作关系建立时的身份验证,采用的是对称的盲水印方案。如果直接采用对称水印技术,会存在一些问题,因为对称水印方案中水印嵌入的密钥同样用于水印检测,如果攻击者窃取了水印嵌入密钥,他就可以用该密钥来检测、甚至除去信息中的水印,为了避免这种情况的发生,我们在整个通信过程中采用非对称密钥体制予以辅助。非对称密钥体制是指通信双方不再共享相同的密钥,而是各自拥有一对密钥,一个“公钥”,在网络上公开给其他节点,一个“私钥”,对外界是保密的,私人拥有。加密和解密使用不同的密钥,所以不需要安全的信道来传送密钥,而只需要利用本地的密钥发生器(比如PGP)产生。因为有两对密钥,可以对嵌入水印的信息进行两次加密,弥补了对称水印技术方案的不足。
本算法采用非对称密钥体制,设协作的发起方,即制作者为P,其公钥为Kpv协作的接受方,即消费者为C,其公钥为Kcu,私钥为Kcv。双方的ID号可以用JXTA平台的group.getPeerID()函数获取。
1)第一步由制作者P进行处理,如图3所示:
制作者P生成一随机数a,利用自己的私钥对其签名(加密),即EKpv(a)然后用消费者C的公钥进行加密得到A,即A=EKcu(EKpv(a)),将A发送给消费者同时记录时间tp0和a。
2)第二步由消费者C进行处理,如图4所示:
消费者C收到A,利用自己的私钥进行解密,即DKcv(A),然后制作者P的公钥进行验证签名(解密)得到S,即S=DKpu(DKcvA));将s和自己的Peer ID进行Hash运算得到Q,即Q=h(s,PeerID),再对Q用消费者的私钥签名(加密),用制作者的公钥加密得到B,即B=EKpu(EKcv(Q));把B发送给制作者,并记录发送时间tco。
3)第三步由制作者进行处理,如图5所示:
制作者P收到B,并记录接收到的时间tp1,对B进行解密和验证签名,得到q,即q=DKcu(DKpv(Q)),为了不占用过多时间,必须设定一个时间的阈值,这里我们设阈值为Δtp为制作者允许的最大时间间隔,我们可以表示如下:
then(下一步操作)
else中断此次通信
4)第四步由制作者P对将要传输的协议内容(设为G)进行处理,如图6所示:
(1)计算G的MD5值,作为水印信息w;
(2)用q作为水印密钥,对水印信息,加密得到Wq;
(3)对载体图像I(在本算法中我们假设是表明用户身份的数字公章图像)作预处理,将Wq嵌入,得到IW;
(4)将IW插入到要传输的G中,得到GW,对GW进行加密得到GW*,即;
(5)将GW*发送给消费者。
5)第五步由消费者C进行处理,如图7所示:
消费者C收到GW*,对其进行解密,得到gw,即,并记录收到GW*的时间tc1,为了不浪费资源,必须根据网络情况设定一个时间的阈值,这里我们设阈值为Δtc为消费者允许的最大时间间隔,我们可以表示如下:
f(tc1-tc0≤Δtcandw=w')then(建立协作关系)
else中断此次通信
其中通过水印提取,得到Wq,利用Q从Wq中提出W,而W'则是计算所收到的文件内容的信息摘要得到。
在协议中嵌入水印的基本算法如图8所示。
先用MD5算法计算出要传输信息的信息摘要W,把贾作为水印信息,发送方产生一随机数a,用散列函数生成密钥q,用q对水印信息进行调制得到Wq,再将代嵌入到经过处理的载体图像(采用能表明用户身份的数字公章图像)上去,得到含水印的图像IW。这里的预处理是指经过某种变换域变换,如DTF,DCT和DWT变换。
双方的身份确认后,就可以进行协同工作,因为本文重在解决可信协作关系的建立问题,具体方法这里不再叙述。
3.2 水印的认证
在本算法中因为采用传输协议文件内容的信息摘要作为水印信息嵌入到数字公章图像中,它可以有效防止篡改,文件内容稍加改动,其MD5值就会与水印信息中的原值不同。协作的双方通过对提取出的水印进行检测,就可以判断出协议的内容是否被篡改了,同时可以确认对方身份。
比如多个节点之间要建立协作关系,协作的发起方向合法的协作者传送文件,对外是保密的。发起方相当于制作者P,合法协作者相当于消费者C,若有非法用户想窃取该机密文件(相当于攻击者E),他用不法手段窃取了合法协作者的私钥Kcv,伪装成合法协作者(消费者C),然后他截取了P发送过来的A,用合法协作者的私钥Kcv和发起方的公钥Kpu,可以解密得到b,但是他不知道该用于的Peer ID,因此无法获得正确的Q,设其生成Q',当P收到Q',解密得到q',然后他再用正确的ID和a进行Hash运算,显然这个值不等于q',此时,P就可以知道对方不是他要通信的对象,攻击者E伪装为合法的协作者失败。
若攻击者E想伪装成制作者P,向合法协作者提供虚假资料进行欺骗,同样,攻击者先截获合法协作者所生成的Q,直接将Q作为水印信息,但他不具备P的私钥Kpv,合法协作者C对接收到的GW解密后,计算得到的W不可能和W'相同,即合法协作者会认为信息无效,攻击者伪装成协作发起者失败。
该算法还可以防止不可否认性,即协作发起者P否认信息是由他发出的,以及否认资料是由他所提供的。因为C可以向公证机构出示P的随即数b和其ID,计算q,通过水印检测算法利用q可以把水印提取出来,从而验证传输的信息中存在与P对应的水印,这就说明随机数b确实由P生成,这样P就不能否认其之前的行为。因此协作的发起者必须对自己的行为负责,从而维护协作双方的利益。
参考文献
[1]张铁军,张玉清,战守义,张德华.Peer-to-Peer典型应用安全需求分析[J].计算机工程,2004,31(20):56-58.
[2]WANG Xian pei,YOUWenxia,WANG Quan de.A solution to electronic stamping for documents[A].Proceedings of International Sympo-sium on Future Software Technology.Wuhan,2002.
[3]Katzenbeisser S,Petitcolas F.信息隐藏技术——隐写术与水印[M].吴新秋,译.北京:人民邮电出版社,2001.
[4]宋玉杰,谭铁牛.基于脆弱性数字水印的图像完整性验证研究[J].中国图像图形学报,2003,8A(1):1-7.
数字身份认证 篇2
方法一、设置单元格格式法
这种方法适合多个单元格或整行整列操作,具体步骤如下:
步骤一、选中准备输入数字的单元格或整行整列,点击鼠标右键,选择【设置单元格格式】,如图所示:
步骤二、在【设置单元格格式】窗口中的【数字】选择卡中的【分类列表框】中选择【文本】选项,,然后点【确定】按钮,如图所示:
办公软件教程
步骤三、然后在刚才设置好格式的单元格中输入你要输入的数字就可以了,这时就不再会出现科学计数法的数字了,
excel输入数字或身份证号
,
方法二、输入英文半角单引号
如果你要输入的长串数字只是很少出现,或偶尔输入一二个,那么可以采用这种方法,也就是在数字前面输入一个单引号,但要注意这里必须是英文引号也就是半角状态下,同样可达到这上面的效果。
事件:NGN/网吧/数字身份证 篇3
4月26日到28日,国际电联(ITU)、以及信产部的电信专家、多家电信运营商和电信企业齐聚北京,共同探讨NGN(下一代网络)在中国的发展现状和未来前景。
ITU标准局局长赵厚麟给出了ITU于2004年2月最新制定的NGN定义,即“基于分组网络,能够提供电信业务;利用多种宽带能力和QoS保证的传送技术;其业务相关功能与其传送技术相独立。此外,NGN可以使用户自由接入到不同的业务提供商,并支持通用移动性。”不过该定义仍是一个构想,实现该构想的解决方案也未达成共识。
以中国电信和网通为代表的固网运营商在强调固网业务受到移动冲击的同时,将NGN形容为未来固网运营商的希望所在。目前包括中国电信在内已经在进行NGN试验的运营商仍需要解决承载网的质量问题。另一方面,NGN还面临着与NGI(下一代互联网)之间的竞争关系。中国工程院副院长邬贺铨称,NGN目前还是“一个可望而不可及的目标”,绝大部分专家将NGN的实现时间锁定在“5到10年”。(黄燕)
网吧治“黑”
自今年2月份中国10部委联合开展网吧等互联网上网服务营业场所专项整治以来,一共取缔了8600多家黑网吧。但在城乡结合部和县城、乡镇,仍存在黑网吧。近日,重庆市沙坪坝区回龙坝镇中学两名初一男生因连续通宵上网打游戏后疲惫不堪,坐在铁轨上熟睡被疾驰而过的火车轧死,此事再次引起了人们对网吧违规经营的关注。
国家工商总局日前已发出通知,要求进一步开展网吧专项整治工作。服务营业场所专项整治工作协调小组办公室决定,于4月26日至4月30日在全国开展网吧专项整治统一行动周活动。文化部部长孙家正表示:“一定要下最大的决心,以最大的气力,确保专项整治工作取得预期目标。”
取缔黑网吧将给正规的网吧连锁企业带来更广阔的生存空间,后者可对营造健康的上网环境起到积极作用。目前,中青网络家园已经在全国50多家加盟网吧企业开展名为“阳光行动”的自查行动。(唐潇霖)
北京公务员将领“数字身份证”
北京市已建立抗击非典、禽流感等专用网络,但统一的应急处理体系并未建立。据悉,今年北京市将统筹规划信息安全应急机制,整合呼叫中心、建设紧急救助服务等系统。为了更好地解决信息安全问题,北京市公务员将领到“数字身份证”,包括工商、医疗等在内的20个政府信息系统,将试点推行信息安全风险统一建设。“数字身份证”相当于公务员进入符合其身份级别的电子政务系统的“入关钥匙”,它是由基本代码、密码和其他相关的个人数字信息组成。此举有利于确认联网公务员身份,维护系统权限和签发批示的有效性,利于各系统间信息规范共享。
数字化校园统一身份认证探讨 篇4
目前, 高校数字化校园建设, 普遍是运用层次化、整体化的观点来建设信息化校园, 将校园网上的信息进行系统组织和分类, 使用户在网上能快速搜索需求的信息, 从而为师生提供网上信息交流环境;让管理人员方便地对信息进行管理;在传统校园管理基础上运用信息化手段和设备, 实现全部“数字化”, 构建“数字空间”。可以预测, 数字化校园必将大大地助推现代教育。
高校数字化校园是数字化、信息化、智能化诸项技术的统一, 是在网络和数字化信息技术基础上, 利用计算机技术、网络技术和通信技术, 对校园教学、科研、信息资源进行统一规划和管理, 在传统校园管理基础上构建数字化平台, 以便更好地为教学、科研、管理等服务。
在当今时代, 校园网建设水平是衡量高校综合办学实力的重要标志。高校教学、科研、图书管理、学生管理、办公等都与校园信息网紧密相连。各应用系统以校园网络中心系统为核心, 构成星型分布。
建设数字化校园着眼点在于:充分利用计算机信息技术, 提升高校教学、科研、图书管理、学生管理和办公管理水平, 实现高校全面信息化管理;在数字校园建设中, 使用统一接口、统一信息服务平台、统一身份认证系统大综合势在必然。尤其是建立统一身份认证系统, 对用户身份集中统一管理, 保证用户电子身份真实性、唯一性和权威性, 也大大提高数字化校园应用系统的安全性。
2 统一身份认证系统是创建优良数字化校园的必然趋势
身份认证指:判断某一用户是否为合法用户的认可过程;统一身份认证指:针对同一网络不同应用系统, 采用统一的用户电子身份, 从而确定用户的合法性。
在高校数字化校园网络中, 各应用系统的服务功能各不相同, 有些应用系统还具有较高的独立性 (如采购、财务、账务及审核系统等) , 有些应用系统需要多系统协同才能完成某特定任务 (如教学和科研系统等) 。由于上述某些应用系统彼此间具有某种特定关系, 各应用系统的建立难以遵循统一的数据标准和数据格式, 在各应用系统之间难以实现有效的数据共享, 有人将这种现象定义为“网络环境下的信息孤岛”。
对于需使用多个不同应用系统的用户来说, 若各系统各自存储管理一份不同的身份认证方式, 用户就得记忆多个不同的密码和身份, 而且用户在进入不同的应用系统时, 还需要进行多次登录, 这给用户和系统管理方面都带来不便。
随着现代信息技术的高速发展和高校校园网络提供信息服务质量的不断提升, 人们对信息安全性的要求也越来越高, 同时对用户身份认证、权限管理的要求也随之提高。这就必须打破原来各应用系统的身份认证方式, 必须产生统一、高可靠性和高安全性的身份认证及权限管理系统。该系统能完成对整个校园网用户的身份认证和权限管理, 保证各应用系统基于统一模式、集中的环境开发与升级。这样既降低了系统整体运行维护成本, 又能保证整个校园系统随平台的升级而同步升级, 方便了使用和管理, 保证了整个系统的先进性与安全性。
3 统一身份认证系统基本构思
在统一编制和信息服务平台基础上, 统一身份认证系统提供统一的用户认证、用户管理和安全保障服务, 借助一个统一的应用系统用户管理接口, 实现用户认证的集中化管理, 做到真正意义上的集中认证。
统一编制使得数字化校园有一个总入口, 可以形象地称之为“大门”。各类用户通过“大门”进入高校应用系统, 用户的信息管理采用集中式或者分布式, 对“中央用户资料数据库”进行统一管理。系统管理员可将访问权限下放到各个“级”, 通过管理权限的下放分“派”, 不必再通过统一的窗口, 就可以简化应用系统用户管理模块的设置规模, 从而能快速实现对用户资料的更新, 减少用户管理工作量。用户通过认证系统可获与其身份相对应的信息与服务。
4 统一身份认证系统服务
统一身份认证系统采用的应用模式是统一认证模式, 它是以统一身份认证服务为核心的服务模式。统一身份认证服务负责管理和分发用户的权限和身份, 为不同的应用系统提供用户和权限管理服务。通过该系统提供的用户统一的登录界面, 在完成身份认证后无须再登录就可使用所有支持统一身份认证服务的其它信息服务系统提供的服务。
5 结论
在当今数字化、信息化、智能化校园网络建设时代, 传统校园网络中各行其是的各应用系统已大大滞后校园信息化建设的发展, 如何保证用户电子身份的唯一、资源的共享和数据的安全, 显得越来越重要, 校园网络统一身份认证系统便成为数字化校园建设至关重要的一环。本文结合我院数字化校园建设实际及规划, 对统一用户管理及认证服务系统的数字化校园建设进行了实施和深一步的探讨。现今校园信息化建设正处于大力发展阶段, 随着现代技术发展与网络建设逐步深入, 校园一卡通也在迈步发展, 基于校园信息化建设的身份认证技术必将渐趋臻美。
参考文献
[1]刘锋, 吴华光.数字校园统一身份认证系统的研究.南工科技, 2005, 4.
上海市身份证开头数字大全 篇5
310101 上海市黄浦区
310102 上海市黄浦区(原南市区,已绝版)310103 上海市卢湾区 310104 上海市徐汇区 310105 上海市长宁区 310106 上海市静安区 310107 上海市普陀区 310108 上海市闸北区 310109 上海市虹口区 310110 上海市杨浦区
310111 上海市宝山区(原吴淞区,已绝版)310112 上海市闵行区 310113 上海市宝山区 310114 上海市嘉定区 310115 上海市浦东新区 310116 上海市金山区 310117 上海市松江区 310118 上海市青浦区 310119 上海市南汇区 310120 上海市奉贤区
310220 原上海市(已绝版)
数字身份认证 篇6
企业数字化学习与员工发展相结合,将会极大提高员工的学习积极性。发展企业数字化学习需要与企业人力资源政策相结合。本文以案例研究法,在深入实践调研的基础上,分析了中国电信的“大规模在线岗位技能认证”项目的设计与实施,评判其项目效果。并结合中国电信的企业背景和文化特殊性,总结其成功策略,推广其最佳实践,为其它企业的数字化学习提供借鉴与参考。
【关键词】岗位技能认证;中国电信;企业数字化学习;案例研究
【中图分类号】G420【文献标识码】B【文章编号】 1009—458x(2011)03—0016—06
中国企业e-learning发展历程从2000年开始到现在将近十年时间,大多数企业e-learning发展处于第一阶段,一些比较优秀的处于发展的第二阶段。北京大学企业与教育研究中心对我国一些企业进行问卷调查,其中一个问题为“影响贵企业e-learning发展的三项主要因素”,调查数据表明,最重要的前三项为领导重视程度、缺乏与人力资源绩效考核相结合的政策、服务器与网络速度(见表1)。
其中,73%的企业认为缺乏与人力资源绩效考核相结合的政策是发展e-learning的重要制约因素。员工学习如果能与人力资源管理结合起来实施,使得学习与绩效考核挂钩,必将提高员工参与学习的积极性。因此,企业在线学习部门需要与企业人力资源管理部门保持紧密关联。中国电信的一个有特色的“大规模在线岗位技能认证”学习项目,使在线学习与岗位技能认证进行紧密结合,努力成为在线学习与人力资源政策结合的典范,正是由于这个特色,使得中国电信的在线学习发展迅速又富有成效。
一、中国电信网上大学
中国电信学院是中国电信集团成立的企业大学,它的定位是:致力于成为中国电信领导力发展的研究支撑和培养基地;面向集团全体员工,传播企业文化、宣贯企业战略、统一员工理念、推动企业转型变革的平台;汇聚和传递最佳实践,成为成功经验快速复制和分享的知识管理平台;根据中国电信战略需要,发展员工关键能力的平台;面向内外客户,以知识共享创造价值的平台。中国电信学院由四个教研中心和两个部门组成,它们分别是:教务部、领导力教研中心、核心员工教研中心、VIP客户教研中心、在线学习教研中心、综合管理部。四个教研中心各自拥有独立的课程体系和产品。2009年12月,由中国电信学院、移动学院等几家通信行业企业大学共同成立了中国通信业企业大学委员会,主要职责是服务于整个通信行业的企业学习。
作为中国电信的e-learning平台,中国电信网上大学于2003年开始投资建设,2004年初投入使用,至今已经过多次升级。中国电信实施e-learning的主要动机分别是:提高培训覆盖率、促进绩效管理和促进知识管理。网上大学由中国电信学院在线学习教研中心管理和运营。中国电信e-learning基本情况见表2。
中国电信网上大学是中国电信学院的核心产品之一。员工登录网上大学首页之后,可以看到学院以打包形式不定期推销给员工的课程资源,包括课程、案例、文档等,并且将这些资源进行分类,如世博专辑、科学发展观专辑、学院运营专辑、财务、人力资源管理、管理创新成果等。学院用此方式将资源推送给学员的好处是,使得员工们能够在登录以后,即使不去找资源,也能够看到比较优质的资源,以使员工的学习具有针对性。网上大学首页涵盖了检索功能、通知模块以及各类品牌培训项目入口。每周都会上挂每周精选的案例,并与最新资源库连接。学院专门有人负责筛选资源,每个星期都会从各公司上传的材料里筛选出来一些精品,推荐给学员。
网上大学同期开展多个品牌培训项目,有“天翼大讲堂”、“添翼振翅”、“对话发展”和“光点·星课堂”等,以不同互联网互动学习形式,覆盖不同层级学习对象。其中“天翼大讲堂”和“对话发展”分别以大讲堂与多方互动形式,覆盖中高层管理人员;“添翼振翅”则以实时营销案例解析的形式覆盖一线营销人员;“光点·星课堂”则以小型课堂形式覆盖基层员工和管理者。目前实时互动学习平台能支持8000人以上同时在线参与学习。
网上大学目前累计有7000多门电子课件。各省公司和地市分公司都有权限上传电子课件,上传之后由所在公司的培训管理人员对课件质量进行审核,通过之后进行发布。然后,网上大学学习服务中心每周会从约400多门分公司上传的课件里面挑选优秀课件推荐给在线学习教研中心,中心再从中寻找精品课程,推荐给所有员工。网上课程分类由学院来规定,其它级别管理员没有权限。所申报课程必须在学院大类之下;如果没有对应大类,可以放在待分类中,然后由学院专业人员帮助转移;也可以申请增加分类,但新增分类在通过审核之前不被认可。学院不定期会进行课程清理和整顿工作。对课程的打分是员工自愿的。
中国电信学院认为知识管理方面最重要的运营经验是激励员工进行分享。同时,为了促进网上学习,学院也制定了相应管理政策。例如,学院制定了针对资源库的《资源管理办法》和《培训管理办法》,制定了分阶段的成套验收标准,也制定了约束供应商的《电子课件开发管理办法》,其中规定了供应商所提供的课件必须符合的logo位置、时长等标准,还有一些团队管理办法等。
二、“大规模在线岗位技能
认证”项目分析
“大规模在线岗位技能认证”项目从2007年6月开始一直持续到现在,项目由中国电信集团公司人力资源部与中国电信学院共同负责。
(一)项目提出
该项目由中国电信集团公司人力资源部与中国电信学院共同负责管理,其它参与部门包括集团公司各专业部门、直属单位,以及中国电信集团31个省公司,包括下属地市分公司。参与该项目学习的员工来源于中国电信集团31个省公司下属所有地市分公司各专业员工。截至目前共计122,837人次参与项目。
该项目选择e-learning方式的原因是:
1. 成本低、效率高。
2. 便于快速统一标准、规范流程。
3. 能够快速于在线认证基础上建设集团统一的认证试题库。
4. 便于各级公司认证流程监控及认证结果上报。
5. 由于中国电信培训管理流程已固化到在线学习平台,便于使认证体系与培训体系有效融合,促进企业绩效管理水平。
(二)项目目标
该项目设定的目标有四:
1. 改变企业传统的认证手段和模式,利用电子化手段管理企业认证流程,建立基于网络的电子认证档案,从而规范与统一全集团认证工作。
2. 利用互联网手段普及认证资格,提升员工岗位胜任能力,增强企业竞争力。
3. 有效节省时间,节约成本,提高认证效率。
4. 通过在线岗位认证机制提供一个员工个人职业生涯发展的辅助指引平台。
(三)项目战略性
e-learning项目为企业战略服务,这是企业e-learning的主要特征。项目与企业战略的结合程度高,将会对企业的绩效贡献程度大。项目按照企业战略、业务流程展开,这样既具有针对性,又容易得到企业高层、参加学习的员工的支持与配合。大规模岗位技能认证项目紧跟中国电信业务发展需求,配合员工发展实际进度,从战略角度与公司发展保持一致。
1. 目标一致性:项目目标与企业发展战略一致。岗位认证项目紧密结合企业战略、业务流程。
2. 高层参与:组织学习获得成功不可缺少的要素。中国电信的部门领导不仅公开支持项目学习,还将学习目标作为绩效目标的一部分。
3. 关联性:该项目学习内容与员工实际工作结合紧密,颇受员工重视。岗位认证结果与员工绩效直接挂钩。
4. 政策支持:为了支持该项目学习,公司内部制定了相应的政策支持措施和宣传手段。
(四) 需求分析
本项目需要专门的考试认证系统支持。在开发相应平台之前,根据业务流程、操作步骤及涉及的各种操作角色和职责范围进行了需求分析。
岗位认证操作流程的步骤和操作角色及职责范围如下表3。
(五)学习环境分析
本项目学习需要互联网及150-200Kbs以上带宽。
学员计算机硬件配置要求为:CPU为pIII500以上;RAM为128M以上;操作系统为Window98或以上版本;浏览器为IE5.5或以上版本;另外电子学习系统的用户必须安装JAVA运行环境(客户端)程序,在学员登录时,系统自动为学员的计算机检测并安装。
三、项目设计与实施
(一)设计
中国电信“大规模岗位技能认证”项目是一个持续性项目,涉及集团级、省公司、分公司、员工等多种不同层级单位的不同角色。网络平台上专门设计了一套考试系统用来支持岗位技能认证操作。为了保证认证的实施,省公司和市公司都安排有相应管理部门,不同级别管理部门的权限不同,由电信学院指定各个管理部门要认证的岗位和专业,并由各个管理部门管理题库。由直线经理对员工报名资格进行审核。由于考评与绩效相关,而直线经理是员工的直接上司,所以审核流程与人力晋升挂钩。省公司的考试既可以在线上进行也可以在线下进行。如果是在线上进行,员工必须提交个人晋升计划,如什么时间学习什么内容、理论上学到了哪个层级、能力上提高到了什么程度等。学习过程中直线经理可以随时随地进行监控。员工根据个人岗位专业和等级情况,可根据要求报考各级岗位的技能认证,原则上需要拿到下一级证书才能报考上一级认证。
认证案例库非常庞大,并与现有网上大学知识管理平台的案例库分离,它只用来考核。公司的培训管理人员在考核时看到有代表性的案例,可以把它复制到知识管理平台的案例库。
中国电信制定了全集团统一的认证标准,它同时是一个基础岗位认证模型。目前并非所有岗位都要认证。网络体系中还体现出一些跟行政考核相关的像试卷审批、认证编号管理、认证情况汇总、绩效管理等工作,供市公司管理员使用。如果直线经理出差或是近期不能上网,没法到线上审批员工报名资格的话,直线公司的行政管理人员有权代办。认证过程中,有些岗位不需要提交案例,这就反映出认证类别差异。考评员管理可以指定哪些人有考评员资格,因为考评员要参与一些主观题的批卷以及最后的结分。
阅卷则由各省按集团统一规定自行操作,认证通过比例不作限制,按规定分数线评定。学院通过网上大学试题管理保证每个员工在自动抽卷时获得同等难度和区分度的试卷。
集团级管理员可以通过认证系统非常清晰地监控各级单位认证情况,查询各级单位不同时期岗位技能认证种类以及报名人数、参加人数、通过人数和线下认证人数。
(二)学习资源支持
在本项目的“能力提升”环节,学习者可以通过认证专用课程(电子课件,由培训管理者指定,或由员工自己选学)的学习、相关辅助材料(电子案例、电子文档,由系统自动关联)的学习达到既定学习目标。网上大学提供认证专用课程资源库支持员工的岗位能力提升学习。
(三)平台与技术支持
网上大学有专门的学习服务中心,在各级管理人员的使用和员工的学习过程中,提供热线电话和电子邮箱两种方式的技术支持,电话接听时间从每天上午8:30到下午17:30,同时有24小时电子邮件支持。技术支持基本能够满足学员需求。一般来说初次参加认证的学员通常对考试时的操作问题较多,从2008年起每轮认证考试前下发考试操作电子手册,组织模拟考试,使该类问题大幅度减少。
中国电信的在线岗位技能认证体系能够很好地支持全集团岗位技能认证工作,并随着系统的硬件、软件多次优化,相关服务不断完善,基本满足该企业常规管理工作,所有功能均经大量用户使用验证其效果。尤其是自动分发试卷、自动策略组卷、自动阅卷、断电数据保护、失误操作数据保护等功能受到所有省公司的欢迎。认证试题库在多年认证后也达到一定试题和组卷策略保有量,为以后的认证考试奠定了内容基础,大大降低了专业部门编写、组织试题试卷的工作量。另外,由于平台连续多年进行大规模岗位技能认证,促使各级公司将认证相关辅导课程、资料、案例与试题等都陆续上挂网上大学,供员工在能力提升阶段学习或参考,因此,积累的大量认证用培训资源可持续供应后续员工认证时使用,并逐步形成认证专用资料库。
(四)学习支持
本项目中,系统提供支持学员学习的工具有:学习案例提交与审阅体系;在线课堂实时授课与辅导系统;专用聊天室辅导;知识社区论坛相关版块答疑。
学习支持的策略有:在认证报名阶段,由报考者直线经理对其进行资格审批,并在学习者的能力提升阶段,监控其学习进度,辅导其学习,同时对学习者提交的学习案例进行审阅;各级公司组织岗位技能认证相关在线或混合培训,由内训师专门负责在线辅导。
四、项目效果
截止到2010年3月,中国电信共进行在线认证41场,涉及8大岗位,12大专业,3个等级,超过12万人次参加认证,超过7.5万人已通过在线认证取得任职资格证书。认证证书在企业内部通行,并获得信息产业部职业技能鉴定相关机构的认可。
(一)投资回报率
通常情况下,每一轮岗位技能认证完整流程为2~3个月。通过传统培训方式完成该项目每一轮需要4~5个月。E-learning方式进行学习所节约的工作时间可详列如下。
对于学员:节约线下报名和等待审批时间3小时/人,购买教材时间4小时/人,考试申诉时间(如果有)4小时/人,总计7~11小时/人/单场考试。
对于认证管理人员:节约发布公告时间2小时/人(含线下流程时间),试卷印刷时间12小时/人,试卷分发时间24小时/人,试卷批改时间72小时/人,批改校对时间48小时/人,证书制作及印刷时间48小时/人,证书发放时间72小时/人,申诉处理时间(如果有)24小时/人,总计278~302小时/人/单场考试。
E-learning方式进行学习所节约差旅费:以122,837人次,每人节约300元差旅费计算,共计3685.1万元。
如果本项目完全采取传统培训方式,需要额外聘请师资费用:以集团内训师的授课价格,授课费用1000元/人/天,以50人/班/两天计算,122,837人共计约2457个班,聘请师资需要费用2457X1000X2=491.4万元。
本项目总计花费:380万元(系统建设费用)+50万元(截至目前的服务支持费用)+70万元(相关电子课程开发费用)=500万元。
本项目学员数量122,837人次。
因本项目是长期持续性项目,因此只能计算当前的投资回报率:截止2009年9月5日,总共已投资约500万元。
以2008年为参照计算,假定认证涉及岗位的员工(含政企客户经理、10000号客户服务代表、营业员、号百客户服务代表、企业信息化、网络监控、网络维护等岗位下的不同专业与等级)在通过认证考试取得证书后,由于知识体系得到更新、业务能力得到提升,每人每年能为企业带来10万元收入(以最低额度计算),2008年参加并通过认证考试的人次数为49156人次,则总共能为企业带来4915.6万元收入。
因此,年投资回报率应为:4915.6/500×100%=983.12%(2008年,且不计节约的工时、差旅费、培训组织及师资聘请等成本带来的收益)。
(二)项目创新
1. 技术方面
中国电信学院在进行考试下推时,系统在1台中心考试服务器、6台大区分布式考试服务器、14台省公司分布式考试服务器之间,按照下推单位自动就近就空闲选择服务器,并根据网管中心所设定的分布式考试服务器管辖范围及调度策略,将考试、试卷及考生信息自动推送到其所属的分布式考试服务器上。同时保留手动调整功能,从而实现自动负载均衡;考生登录网大进行考试时,系统将自动引导进入相应的分布式服务器参加考试。同时也可直接登录相应的分布式考试服务器进行考试。
2. 学习方法
突破了学员自己通过书本自学或面授学习的形式,引入在线课程学习、在线接受教师辅导、在线与其它同专业员工交流共同提升的形式,使学员的学习从单一方式进入了协作方式,有效提高了学员的学习积极性以及解决问题的效率。
3. 项目组织
在认证公告报名阶段:组织网上报名时间快、反馈流程短,审批简单。
在能力提升阶段:直线经理负责制的管理机制,促使直线经理真正参与到下属员工的个人能力培养与提升过程中,起到辅导与监督作用,使直线经理在企业的培训体系内发挥应有作用。
在考试阶段:在线考试的形式利于试卷保密与管理,灵活的自动策略组卷使每个员工在考试现场抽到的试题不一样,有效降低作弊几率。
在结果应用阶段:电子证书的两年有效期管理使得员工必须要参与动态认证才能保持证书的长期有效,从而使员工的知识结构得到快速更新。
总 结
2009年北京大学企业与教育研究中心组织对国内企业e-learning 项目进行评选,中国电信学院“大规模在线岗位技能认证”是其中最优秀的项目之一。具体来说本项目有以下几个特点。
其一,以岗位技能认证促进在线学习,在线学习提高岗位认证率,人力资源政策是本项目推广与实施的关键。在企业e-learning发展的第一阶段,用一定的企业政策手段去引导、驱动与检验学习是非常有必要的。从组织角度,学习的目的是为了提高组织绩效,因此,用绩效考核的方式来驱动与检验学习,其中,岗位技能认证是绩效考核的一种重要的方式。这也是本案例的特色。
其二,重视知识管理。知识管理是企业e-learning的核心,也是企业大学的核心。传统的知识管理以纸张为媒介,而e-learning方式将大大加快企业知识整理与知识传播的速度与效度。知识管理为企业实现显性知识和隐性知识共享提供新的途径,知识管理是利用集体的智慧提高企业的应变和创新能力。另外,知识管理在提高企业工作效率、避免由于企业人才流失而造成的不良影响等方面有不可或缺的作用。E-learning学习是动态的,如何将学习过程中员工的学习沉淀有效地积累下来,考验每一位企业e-learning管理者的智慧与水平。本项目具有知识社区论坛作为支撑,并且在逐年累月的扩充与不断完善试题库题库。还有,电信网上大学具有7000多门课程,形成了颇具体系与数量的知识管理库。
其三,项目的目标与企业发展战略一致,并且高层充分重视与参与。偏离企业发展战略的e-learning学习项目不能得到高层的重视与支持,因此,学习项目需要紧密结合企业战略、业务流程。高层重视与参与是组织学习获得成功不可缺少的要素。组织的领导们不仅公开支持学习,还将学习目标作为绩效目标的一部分。在本项目中,项目由中国电信集团公司人力资源部与中国电信学院共同提出,而项目的内容是各级管理者高度重视的员工岗位胜任能力建设与发展。
其四,基于Web2.0理念,充分发挥省级和地区分公司的主动参与性。Web2.0是blog、wiki、sns等应用技术的组合,但更重要的是其中共享、协作与大众化的理念,其主要特征就是用户作为共同开发者、集体智慧得到重视。在这个项目里,集团网上大学管理者充分授权,支持省级分公司、基层分公司上传优秀的课件、案例。
其五,高投资回报率。投资回报率(ROI)是收益与投资的比例。由于本项目参与人员众多以及组织得当,ROI达到980%,实属罕见,这也说明,e-learning在大型国有企业的发展具有旺盛生命力。
当然,也存在一些制约电信e-learning发展的因素,主要表现为:① 难以评估e-learning成效;② 与业务部门进行合作需要人力以及时间成本;③国内e-learning行业现状使得在部分项目的合作伙伴选择上较难达到预期目标。
党的十七大报告宣告将建设“终身学习型社会”。终身学习的理念包含全民学习、个性化学习、随时随地学习。这与e-learning 特征非常吻合。实际上,e-learning将会成为我国建立终身学习体系的主要载体。中国电信学院的项目充分说明了这一趋势,从2006年到2009年,员工进行在线学习的人数从28.5万人到39万人,年增长率分别为8.16%。E-learning学习方式占全部培训时长的比例从2006年的20%到2009年的55%。另一项调研发现,即使在金融危机下,中国电信学院的e-learning的培训量仍然保持上升,因为e-learning成本低、覆盖面广、不需要更多的师资且节约时间,而同时企业整体的培训总量基本不变。这些都是有力的证明。
参考文献
[1] William Horton,吴峰等译. 数字化学习设计[M]. 北京:教育科学出版社,2009.
[2] Mark Allen,吴峰译. 下一代企业大学[M]. 北京:世界图书出版公司,2009.
[3] TAMAR ELKELES,吴峰译. 首席学习官[M]. 北京:教育科学出版社,2010.
[4] 吴峰. 企业E-learning的未来[J]. 中国远程教育,2010,(2).
[5] 吴峰等. 企业E-learning实施与活动设计个案研究[J]. 现代远程教育研究,2010,(2):53-57.
[6] 尼克范达姆. 电子化学习实战攻略[M]. 上海:上海远东出版社,2006.
[7] 吴峰. 企业数字化学习十个主题研究[J]. 现代远程教育研究,2010,(3).
[8] 北京大学企业与教育研究中心,中国电信调研报告.
[9] 北京大学企业与教育研究中心,企业数字化学习案例.
收稿日期: 2011-01-25
作者简介:吴峰,副教授,北京大学企业与教育研究中心主任;童小平,硕士研究生。北京大学教育学院(100871)。 黄志刚,主任;夏冰,硕士,项目经理。中国电信学院在线学习教研中心(200000)。
责任编辑池塘
数字身份认证 篇7
计算机网络和信息技术的迅速发展在促进了信息化快速发展的同时也带来了诸多新的安全问题和风险。身份认证系统作为信息系统的第一道安全关卡, 是保证只有合法用户才能访问信息系统, 进行信息读写的重要措施。
传统的用户名口令认证方式实现简单、成本低, 但由于密码是静态的数据, 在验证过程中需要在计算机内存中和网络中传输, 而每次验证使用的验证信息都是相同的, 很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。因此用户名口令认证方式一种是极不安全的身份认证方式, 已无法满足当前复杂网络环境下身份认证的安全需求。随着技术的发展, 又涌现出数字证书、动态口令、智能卡、生物识别等新的身份认证技术。
目前, 数字证书技术是最成熟、最安全的身份认证解决方法。《电子签名法》的颁布实施也表明了国家对数字证书技术的大力支持。此外, 数字证书具有保密性、完整性、真实性、不可否认性等特点, 使得数字证书身份认证正在被广泛采用。
二、数字证书技术在身份认证系统中的实现
数字证书身份认证的实现需要四个部分:CA系统 (数字证书认证系统) 、身份认证系统、应用系统、客户端认证组建和USBKey。
CA系统:可使用系统自建的CA也可使用第三方CA系统, 用于完成数字证书签发和管理。
身份认证系统:身份认证系统结合数字证书加密、挑战-响应认证机制和数字签名认证机制, 对用户身份进行强认证, 并对用户登录请求进行日志管理和审计。
应用系统:只需部署配置USBKey登录页面和认证通信包, 即可由认证服务器完成对用户登录认证请求的认证和用户身份的鉴别。
客户端认证组件和USBKey:每个用户使用存有自己证书和私钥的USBKey作为身份凭证, 客户端自动安装浏览器认证组件, 与浏览器无缝结合, 登录时自动驱动USBKey。
对于互联网中的应用系统, 可采用双向身份认证技术即服务器端对用户的身份认证以及客户端对服务器的身份进行认证。这样既可以完整地解决网络应用系统中通信双方的身份认证问题, 又可以避免假冒网站或恶意服务器伪装等安全问题。双向身份认证过程如下:
(1) 客户通过客户端请求访问服务器。
(2) 认证服务器收到客户请求后, 响应请求并向未通过认证的客户发送随机数。
(3) 客户收到服务器响应, 用私钥对认证服务器端发来的随机数签名, 同时读取自己的证书并产生随机数。
(4) 客户向应服务器, 发送自己的用户证书、客户端随机数和对服务器随机数的签名给认证服务器。
(5) 认证服务器使用用户证书, 验证对服务器随机数的签名是否正确, 并验证用户证书是否可信, 通常证书是否可信需验证用户证书是否为信任CA颁发的证书、是否在有效期限内和是否被CA注销, 其中验证证书是否被CA注销需要访问CA中心提供的证书查询验证服务系统。
(6) 验证不通过则拒绝用户登录, 验证通过后服务器从客户证书中提取身份信息, 如用户名称或证书序列号等。
(7) 查询系统数据库中的用户列表, 判断用户是否为注册的合法用户, 如果是则完成服务器对客户的身份认证, 否则拒绝用户登录。
(8) 服务器响应客户身份认证的同时, 返回服务器身份证书和对客户端随机数的签名给客户端。
(9) 客户端使用服务器身份证书, 验证对客户端随机数的签名是否正确, 同时验证服务器身份证书是否可信, 其验证过程与服务器端类似。
在实际应用中, 对于那些内部网络应用系统, 可以假定服务器是可信的, 为了提高认证效率, 可以简化认证流程, 只完成第 (1) ~第 (7) 步, 服务器验证用户身份即可。
三、数字证书身份认证系统的优势
数字证书技术在身份认证系统中应用的优势体现在以下几方面: (1) 安全性高
身份认证系统通过服务器和客户端分别产生仅对一次会话有效的真随机数, 可以有效抵御网络重放攻击;
结合对数字证书的验证和对会话随机数的签名与验签, 可以有效确认用户身份的真实性;
采用高强度RSA加密算法和SHA1摘要算法实现数字签名, 可以很好地抵御暴力攻击和防止网络窃听;
实现了真正的双向身份认证, 解决了通信双方的身份认证问题。 (2) 易于部署
数字证书身份认证系统与数字系证书认证系统、应用系统在结构上相对独立, 既利于部署、管理和维护, 又利于应用系统的升级和扩展;应用系统只需部署和配置USBkey登录页面、认证通信包和认证服务器, 无需重新开发即可轻松替换原有的认证方式, 提升应用系统的安全性。
(3) 使用简单
用户数字证书和私钥存储在USBKey中可随身携带, 同时私钥不可导出, 保证了私钥的唯一性。用户使用时只需要插上USBKey, 输入口令, 无需理解复杂的CA及数字证书、数字签名概念, 也无需复杂操作即可由客户端认证组件自动完成认证。
(4) 通用性强
数字证书身份认证既支持关键信息加密以提高认证效率, 也支持SSL标准协议;既可以为单个应用系统进行认证, 也可以支持多个应用系统的统一认证和单点登录, 具有良好的通用性和可扩展性。
参考文献
[1]季鹏.张永《基于数字签名的动态身份认证系统的设计》[期刊论文]-计算机工程与设计2008 (01)
[2]吕格莉.王东.戴冀《基于数字证书技术的增强型身份认证系统》[期刊论文]-计算机应用研究2006 (08)
数字身份认证 篇8
1 相关技术介绍
1.1 数字证书
数字证书又称为数字标识 (Digital ID) , 是标志网络用户身份信息的一系列数据。它提供了一种在Internet上身份验证的方式, 是用来标志和证明网络通信双方身份的数字信息文件。通俗地讲, 数字证书就是个人或单位在Internet上的身份证明。
数字证书是由CA中心签发的, 它本身就是用户的身份和与之所持有的公钥的结合。在结合之前, 由一个可信任的认证机构 (CA) 来证实用户的身份, 然后由可信任的认证机构 (CA) 对该用户身份及对应的公钥相结合的证书进行数字签名, 用来证明证书的有效性。
一个数字证书的内容主要包括以下几部分: (1) 所有者的公钥; (2) 所有者的名字; (3) 公钥的失效期; (4) 发放机构的名称 (发放数字证书的CA) ; (5) 数字证书的序列号; (6) 发放机构的数字签名。
数字证书采用公钥密码体制中的RSA体制, 每个数字证书都拥有一对互相匹配的密钥, 即私有密钥 (私钥) 和公共密钥 (公钥) 。其中, 私钥仅为用户本人所掌握, 主要用于解密和数字签名;而公钥可以对外公开, 主要用于加密和验证签名。数字证书的加密过程是一个不可逆的过程, 即利用公钥加密后的数据只能通过相应的私钥才能进行解密。因此, 在发送数据时, 只要发送方利用接收方的公钥对要发送的数据进行加密, 就可以确保数据的保密性, 因为即使加密数据被第三方截获, 由于没有相应的私钥, 第三方也无法进行解密。而第三方要破解出私钥也是不现实的, 即使在已知公钥、明文、密文的条件下, 要推导出目前使用的1024位RSA密钥, 也需要上千年的时间[1,2]。
1.2 USBKey
USBKey是一种USB接口的硬件设备。它内置单片机或智能卡芯片, 有一定的存储空间, 可以存储用户的私钥以及数字证书。由于用户私钥保存在USBKey的密码锁中, 理论上使用任何方式都无法读取, 因此保证了身份认证中用户私钥的安全性。
每一个USBKey都具有硬件PIN码保护, PIN码和硬件构成了用户使用USBKey的两个必要因素, 即所谓“双因子认证”。用户只有同时取得了USBKey和用户PIN码, 才可以登录系统。即使用户的PIN码被泄漏, 只要用户持有的USBKey不被盗取, 合法用户的身份就不会被仿冒;而如果用户的USBKey遗失, 拾到者由于不知道用户PIN码, 也无法仿冒合法用户的身份[3]。
USBKey具有安全数据存储空间, 可以存储数字证书、密钥等秘密数据, 对该存储空间的读写操作必须通过程序实现, 用户无法直接读取, 其中用户密钥是不可导出的, 杜绝了复制用户数字证书或身份信息的可能性。
USBKey内置CPU, 可以实现加解密和签名的各种算法, 加解密运算在USBKey内进行, 保证了密钥不会出现在计算机内存中, 从而杜绝了用户密钥被黑客截取的可能性[4]。
2 方案设计
2.1 设计思想
该身份认证方案的设计思想如下:在双方进行数据通信前, 通信双方相互认证对方的身份。首先, 客户端使用自己的证书私钥对随机数进行签名发送给服务器端, 服务器端验证签名来实现对客户端的身份认证。之后, 服务器端使用自己的证书私钥对自己产生的随机数、客户端发送过来的随机数进行签名后发送给客户端, 客户端通过验证签名来实现对服务器端的身份认证。最后, 客户端将接收到的服务器端随机数进行签名后发送回服务器端, 服务器端通过比较该随机数是否是自己发送的随机数来实现身份认证过程中的抗重放攻击[5]。
2.2 身份认证过程
过程1:实现服务器端对客户端的身份认证;
(1) 客户端调用自己的USBKey产生非重复的随机数r1;
(2) 客户端使用存储在USBKey中的证书私钥 (Ka私) 对{随机数r1+服务器端身份}进行签名获得签名信息Ma;
(3) 客户端将获得的签名信息Ma发送到服务器端;
(4) 服务器端提取存储的客户端的证书公钥 (Ka公) , 使用该公钥对签名信息Ma进行验证签名同时检验服务器身份, 验证通过则证明该信息是由客户端A发送的, 该信息是完整的, 未经篡改的;否则, 拒绝该用户;
过程2:实现客户端对服务器端的身份认证;
(5) 服务器端产生非重复的随机数r2;
(6) 服务器端使用自己的证书私钥 (Kb私) 对{随机数r1+随机数r2+客户端身份}进行签名获得签名信息Mb;
(7) 服务器将签名信息Mb发送到客户端;
(8) 客户端使用服务器端的证书公钥 (Kb公) 验证签名信息Mb并验证客户端身份;验证通过则证明了服务器端的身份, 该信息是服务器端发送的, 该信息是完整的, 未经篡改的;
(9) 客户端比较自己产生的随机数r1与接收的随机数r1 以证明该次会话是自己请求的应答;
过程3:实现身份认证过程中的抗重放攻击。
(10) 客户端使用自己的证书私钥 (Ka私) 对{随机数r2}进行签名获得签名信息Mc;
(11) 客户端将签名信息发送到服务器端;
(12) 服务器端比较接收的r2与发送的r2;
该次认证的目的是通过服务器端检查发送的随机数与接收的随机数是否相同来证明是否有重放攻击, 在通信双方无法建立时钟同步的情况下, 该方法可以很好地解决重放攻击的发生。
身份认证过程流程图如图1所示。
3 方案的有效性和可行性分析
3.1 在身份认证过程的开始, 需要验证客户端用户的PIN码, 该步骤保证了登录用户必须是USBKey的合法持有者, 否则即使持有USBKey, 由于不知道用户PIN码, 也无法进行下一步操作;
3.2 基于该方案的身份认证过程, 是利用公钥密码技术实现的, 它的安全性从根本上取决于所使用私钥的安全性。服务器端私钥可以在服务器端由专业的人员通过相关的安全策略和手段来管理, 而客户端私钥由于由用户掌握, 安全性成为薄弱环节。在该身份认证方案中, 客户端用户私钥是通过USBKey产生的, 产生后即存放在USBKey中, 用户无法进行读取。同时, 客户端用户私钥的使用, 包括对传输信息的签名和验证签名都是在USBKey中进行的, 保证了用户私钥不会出现在计算机内存中, 从而杜绝了用户密钥被黑客截取的可能性, 保证了认证的安全性;
3.3 为了使用USBKey实现证书私钥的数据签名、验证签名以及其他各种加解密操作, 可以使用Crypto API的开发模式。Crypto API是微软提供的一套Win32环境下加解密和签名认证的编程接口, 以供应用程序开发人员调用。通过调用这套函数接口, 应用程序可以方便地操作USBKey来完成对数据的加解密和签名验证的功能;
3.4 在该方案中可以在身份认证的过程中, 添加会话密钥的传输, 以实现通信中的密钥分配功能。
参考文献
[1]杨波.现代密码学 (第3版) [M].北京:清华大学出版社, 2015.
[2]王育民, 刘建伟.通信网的安全理论与技术[M].西安:西安电子科技大学出版社, 2002.
[3]关振胜.公钥基础设施PKI及其应用[M].北京:电子工业出版社, 2008.
[4]李涛.网络安全概论[M].北京:电子工业出版社, 2004.
数字身份认证 篇9
关键词:数字化校园,身份认证,CSocket,DES,数据包
1. 引言
数字校园是一个包括学校教学、科研、生活、休闲等多方面的综合性系统, 对于这样一个复杂的大系统, 安全是数字化校园提供高质量服务的前提和保证, 安全体现在两个方面:其一是本身系统运行的安全, 其二是用户在使用中的安全。这两个安全的很重要的实现手段是使用者身份的认证。因此其认证系统必须统一, 否则将会出现以下问题:⑴同一用户登录不同系统需要多个账号、密码, 使用不便;⑵不同系统采用自身的一套认证和用户管理机制, 不利于学校统一管理;⑶缺乏统一管理有些用户离开学校以后, 仍然能登录校内一些业务系统。
在数字化校园统一身份认证方案中多数采用是WEB Service, 但是有的服务采用WEB Service不能发挥其最大性能。采用Socket能发挥最大性能, 比如食堂学生刷卡, 刷卡的频率很高, 采用Socket比WEB Service有效得多。
2. 身份认证方案
2.1 建设目标
目前先设想并完成身份认证方案, 为以后数字化校园管理系统的实现奠定基础。将来它的功能可以全部实现, 我们安徽科技学院就会有自己的校园一卡通认证及管理系统, 这样会提高管理效率及质量。
2.2 体系结构
学校的教务系统、财务系统、餐饮系统、机房系统、图书管理系统以及宿舍系统等都与校园信息网紧密相连。各应用系统以校园网络中心系统为核心成星型分布, 如图1所示。
统一身份认证方案的体系结构如图2所示, 由图可知统一身份认证系统的基本工作机制如下:用户通过用户名及密码认证、卡认证等多种认证方式将用户登录信息传递给各应用服务器, 应用服务器在接收到用户提交的信息后, 向认证前置机发出认证请求, 认证前置机首先确认该应用服务器的应用是否是统一身份认证系统所认可的, 如果应用服务器的应用是统一身份认证系统所认可的, 则认证前置机与后台的认证服务器进行用户认证信息确认, 在通过对用户身份认证的同时返回一个认证令牌给用户, 否则, 将直接返回失败信息。用户通过认证令牌即可访问应用系统, 并可在其他统一身份认证系统所认可的应用系统间自由切换, 无需再次认证。
另外, 需要说明的还有两点, 一是认证方式并不局限于图中所示例的两种, 在实际的使用中还包括数字签名认证、USB KEY、生物识别认证 (指纹识别认证、虹膜识别认证、人脸识别认证) 等;再者, 所有的认证工作由认证前置机完成, 而与认证相关的用户信息将存储在后台的认证服务器上, 并通过设立于不同的网段与用户、应用系统和认证前置机相隔离, 增强了安全性。
2.3 功能分析
数字化校园管理身份认证方案功能:⑴通过对在校已注册用户身份的认证提高了用户信息的安全系数;⑵通过身份认证可以对已注册用户信息访问、修改、增加和删除;⑶该方案是实现一卡通的基础, 会给高校的管理带来极大的便利。
身份认证主要是凭借注册用户的用户名以及密码进行登录, 所以系统要建立用户信息数据库.该库中包括已注册用户登录所需的用户名、密码以及与用户相对应各种信息。系统在进行数据库连接后用户就可以通过登录请求进行身份认证及相应信息的访问和修改。其中通信过程是:系统的服务器在启动后始终处于监听状态, 之后客户端发送链接请求, 在服务器监听并请求通过后就可建立相应的通信。当然一般情况下这个过程是极短暂的, 之后系统通过获取用户输入用户名、密码等数据与数据库中存放的用户信息进行查询匹配, 如果匹配成功则登录成功, 反之则失败。登录成功后, 用户即可进行相应的操作。
3. 身份认证技术要点
用户进行相应操作前都需要进行身份认证, 相关信息存储在数据库中, 通信采用CSocket串行化通信。采用数据库存储信息方便数据的增加、删除、修改查询等操作;采用CSocket串行化通信易于实现数据包等信息的传递;为了提高信息传送的安全系数, 我们采用DES加密算法对信息数据进行加密传送。
3.1 CSocket串行化通信
串行化通信使用MFC的CSocket类实现, CSocket类继承于CAsync Socket类, 是Windows Socket API的高层抽象。在实现串行化通信的过程中还用到了CSocket File类和CArchive类, CSocket类与CSocketFile类和CArchive类一起完成串行化方式的通信, 使数据的发送和接受变得更为清晰。通信流程图如图3所示:
经过上面的步骤后, 客户端和服务器端就可以用CArchive对象的Read、Write等函数在客户端与服务器端传送数据了。通讯完毕后, 销毁CArchive、CSocket File和CSocket对象, 释放内存空间。
3.2 数据包的设计
客户端和服务器端发送和接收的数据被封装在一个包中, 这个包称为数据包。数据包是计算机网络中交换数据时使用的数据的单位。设计数据包的方法有多种, 为了便于通信, 和提高程序的可维护性, 采用了变长可变的数据包格式, 数据包结构如图4所示:
在图4中, SIZE是对应数据包的总长度, TAG是用于区分数据包是用于什么目的的包, DATA是要发送的数据。
在传输字符串数据时, 字符串长度本身一般是可变的, 因此, 如果使用利用上述定义的数据包格式, 则每次都需要交换最大长度的数据, 为此, 在图4所示的数据包格式中可以添加保存实际字符串长度的字段Length。具体结构如图5所示:
在实际传送过程中, 为了安全, 在客户端把重要数据包以位为单位拆开, 然后加密, 服务器端对数据解密, 合包后就可以读出数据。
3.3 DES加密算法
DES算法加密, 快速高效, DES可临时生成, 密钥用RSA非对称加密传递。DES算法在许多领域被广泛应用, 如信用卡持卡人的PIN的加密传输, IC卡与POS间的双向认证、金融交易数据包的MAC校验等, 均用到DES算法。
DES工作的基本原理是, 其主要入口参数有三个key、data、mode。key为加密解密使用的密钥, data为加密解密的数据, mode为其工作模式。当模式为加密模式时, 明文按照64位进行分组, 形成明文组, key用于对数据加密, 当模式为解密模式时, key用于对数据解密。加密、解密函数如下所示:
3.4 连接数据库
数据库的访问采用MFC ODBC技术, 在利用MFC ODBC编程时, 涉及到CData Base类、CRecord Set类、CRecord View类和CDBException类。具体操作过程为:首先, 配置ODBC数据源, 其次, 应用程序建立与ODBC数据源的连接, 这个过程是使用CDatabase类的Open () 函数实现的, 然后, CDatabase类的指针将被传递到CRecord Set类的构造函数中, 使CRecord Set对象与原来的数据源结合起来。完成操作之后, 关闭所有记录集的连接和数据源的连接。
主要代码如下所示:
4. 结束语
数字化校园网统一身份认证, 是一个集中的用户认证和卡认证的管理系统, 为校园中不同的管理信息系统提供服务.该系统将用户信息资源统一保存到认证数据库中, 保证了信息资源的稳定、可靠、安全;完善的接口连接服务, 除此之外还有数字签名认证、USB KEY、指纹识别认证、虹膜识别认证、人脸识别认证等。身份认证是实现一卡通的基础, 在该身份认证方案的基础之上扩展到其他应用。
参考文献
[1]丁展.Visual C++游戏开发技术与实例[M].人民邮电出版社, 2005.2
[2]沈炜、徐惠.Visual C++数据库编程技术与实例[M].人民邮电出版社, 2005.2
[3]南京大学数字化校园建设规划[J]..南京大学网络信息中心, 2004.5
[4]姚毅, 徐斌, 陈俊良.基于统一身份认证的数字化校园解决方案.全国高校信息化研究会2003学术年会论文集, 2003.10
[5]李丽君, 李建文.基于校园网统一身份认证系统中数据库安全问题的研究[J].内蒙古科技与经济.2007.8
数字身份认证 篇10
近年来, 为更好地保障和改善民生、加强和创新社会管理, 各地纷纷启动“数字民政”应用平台建设, “数字民政”应用平台通过搭建统一的业务处理平台和数据库, 实现民政业务的管理监控、统计分析、决策支持、信息共享、协同工作, 一般涵盖优抚安置、救灾救济、社会福利、民间组织管理、社区建设、基层政权、社会事务、 (婚姻登记管理, 殡葬管理) 、区划地名、老龄工作等, 促进民政管理服务公开、透明, 实现民政工作在基层的扁平化延伸。
在推进“数字民政”进程中, 各地的做法不尽相同, 有的对原有系统进行有效整合、有的重新开发系统并将所有业务纳入新平台、有的对部分业务进行集成。南通为沿海城市, 民政工作信息化推进较早, 因而各地、各单位的信息化系统均已基本建成, 在建设过程中以自行建设为主, 因而数据结构、应用平台也不仅相同, 需要一个统一的平台入口来对业务及数据进行集成后共享, 建成较为完善的民政信息化基础支撑环境, 基本实现民政业务基础数据信息化、业务处理网络化、决策分析智能化、服务规范标准化、事项办理便捷化和查询监管透明化, 有效解决社会救助等民政工作的公开、公平、公正等问题, 解决基层民政部门数据信息的准确性、及时性问题, 解决与民政工作相关的财政、教育、卫生、建设等信息共享问题, 将为建设人民满意的服务型民政提供强有力的技术支持。
接入民政信息平台的终端遍布各地, 用户涵盖县区民政局、各直属单位、社区民政所、乡镇民政办, 计算机网络是一个开放的网络, 民政信息平台的数据事关国计民生, 一旦被窃取, 后果不堪设想, 因此民政信息平台的安全性必须得到保证, 提供安全的身份验证机制是系统集成面临的重要任务。
2. 利用一次性口令加强系统安全性
目前大致有三种手段可以用以身份认证:即分别利用知识、利用所有权及利用生物特征来提高系统安全保障[1]。利用所有权证明实现身份验证会产生额外的身份认证设备投资, 而且身份认证设备 (U盾, 加密狗等) 一旦损坏, 需要更换, 届时会产生额外的费用, 身份认证设备如果遗失或被非法用户截获, 同样可以通过身份认证获取平台信息, 安全性无法得到满足;同时考虑到我市“数字民政”应用平台的相当部分用户为县区乡镇民政干部, 此类人员大部分为乡镇老工作人员, 计算机操作水平都不高, 因此也很难采用过于复杂的技术来进行身份认证。基于特征证明的身份验证技术一般采用指纹识别或视网膜识别, 一般应用于专用系统, 不适宜大规模应用于分布式网络, 而且基层工作者调整岗位较为频繁, 后期维护比较麻烦。因而利用知识证明实现身份验证较适合应用于我市“数字民政”平台的用户身份认证, 因为相对来讲系统应用代价低, 操作上也更易实现。
在利用知识证明进行身份验证技术时, 最常见的形式是使用固定的用户名和密码进行身份验证, 用户凭此可以反复进入系统。这种“用户名+口令”的简易认证手段, 显然是不能满足大型信息系统安全需求, 它的安全性仅依赖于用户口令的保密性, 由于口令一般以静态数据存在, 猜测非常方便, 采用字典攻击、窥探、重放攻击、穷举尝试、窃听网络数据流等普通方式进行攻击就很容易破解系统:
●窃听网络数据流。绝大多数信息系统在实施时, 没有引入加密环节, 导致口令以及用户名等重要信息在网络进行传递时为明文, 通过对网络传输数据的窃听, 攻击者很容易分辨并提取出他所需要的用户名及口令。
●认证信息截取/重放。有的系统对口令等证信息进行简单加密, 但攻击者仍可通过窃听进行截取信息后重放以通过系统验证后非法登录;
●字典攻击。用字典中的单词作为口令, 通过某些特定软件尝试破解系统;
●穷举尝试。一类特殊的字典攻击, 设定字符串长度进行穷举尝试, 如果密码长度较短, 很容易破译;
●社交工程。伪装特定身份取得用户信任进而骗取口令;
●窥探。在用户登陆时, 通过监视器或人工窥探盗取口令;
●垃圾搜索。分析用户的废弃物并得到有效的身份认证相关信息。
上面列举的情形中, 5-7可以通过提高警惕意识、采取防范措施来加强系统安全性, 而1-4则必须采取一定的加密手段予以杜绝。一次性口令OTP (One Time Password) 技术能很好的避免上文所提到静态口令的弊端, 它的主要思路就是通过将不确定因子引进用户登录, 使得每次登陆时所产生并传输的信息都发生变化, 这样攻击者即使通过截取窃取信息, 也无法破解所需要的用户和口令信息, 登陆过程的安全性因而得到保障[2]。
在利用一次性口令实现身份认证时一般有以下几种不确定因子:
●口令系列 (S/KEY) 。该口令系列用一定的算法计算得出, 系统只记录其中一个, 当用户第n-1个登陆时, 系统验证登录用户合法性, 并计算出第n个口令继而更新自身记录, 用以验证下一次用户登陆时是否合法。但由于n不可能为无穷大, 所以攻击者可尝试使用字典攻击来进入系统;
●挑战/回答。在用户发出登陆请求后, 系统生成一个随机数并反馈至用户。用户将口令与随机数混合加密后发回服务端, 服务端进行反向运算分离出口令并进行比对以完成身份验证;
●事件同步。以挑战/回答为基础, 以单向的相关系列为挑战信息作为登录请求, 避免用户每次都录入信息, 但发现服务器端和客户端挑战系列不一致时, 需要重新同步以消除偏差;
●时间同步。采集用户登录时间作为不确定随机, 对客户端和服务端的时间精度要求高, 一般用分钟进行折中。
如图2-1所示, 完整的OTP身份验证流程如下:
(1) 用户发出登录请求;
(2) 服务器端监测到登录请求后, 生成随机数 (事先约定算法) 并反向传输回客户端;
(3) 用户在客户端输入口令及用户名, 分别进行加密, 并将密文再次传输至服务器端;
(4) 服务器端接收到密文后, 利用解密算法, 根据之前产生的原始随机数进行解密运算, 分离出客户端发送的原始口令及用户名, 并在自身存储的信息库中查找比对, 验证登陆用户合法性;
(5) 将合法用户通行, 拒绝非法用户登录请求并给出相应信息甚至视情发出警报。
结合到南通“数字民政”信息平台的实际情况, 给出其身份认证详细的实现过程如下:
可以在图中发现, 随机数 (密钥) 并没有储存在服务器端, 这是因为如果在此过程中, 同时有不止一个用户要求登录, 系统必须作出响应而生成多个密钥, 这样在进行解密运算时, 会增加鉴别工作量和系统开销, 因此将服务器端所需的密钥由客户端同步发回以供解密, 以满足系统的并发性需求。
在系统实施过程中关键过程及代码如下:
服务器端随机数 (即客户端加密所用密钥) 的产生:服务器端用当前进程号、当前时间通过算法运算得出随机数, 最后生成一个十进制16位数 (表达为2进制128位) 。服务器端的运算过程通过WebService的予以包装:
服务器端获取加密后的密码和用户名, 随后利用原始随机数进行反向运算, 解密得到客户端录入的原始口令和用户名, 最后比对自己存储的用户表或web.config文件中的相关信息[3], 以验证用户的身份是否合法进而做出相应操作。
3. 结论
“数字民政”是民政践行为民宗旨、展示对外形象的网上窗口, 身份认证是平台建设过程中的重要环节, 基于一次性口令的身份认证机制的选择和应用, 对我市“数字民政”平台建设实现信息安全具有重要的意义。本文虽然作了一些探索, 但还有很多地方可以需要进行进一步完善。比如为满足系统并发性需求, 密钥不保存在服务器端而由客户端发送密文时同步传输, 被截取的风险被放大;又比如下一步改进系统时如果能将对称加密及非对称加密技术引入, 把服务器端计算得出的随机数 (即密钥) 用客户端公开密钥进行加密, 客户端接收随机数可同时得到经过加密的对称密钥, 这样无疑会提高系统的安全性, 身份认证模块可靠性得到进一步提升。
参考文献
[1]谢希仁齐望东.密码编码学与网络安全原理与实践 (第二版) .电子工业出版社, 2001
[2]王宏健等.一次性口令身份验证系统的设计与实现.计算机应用研究, 2001, (11) :59-61
数字身份认证 篇11
身份认证技术主要分为三种 [1]。一是验证用户的个人普通信息,在软件系统中应用比较广泛,如用户名、密码、问题等。二是验证用户的私密信息,在计算机应用系统中主要指CA系统识别,如身份证、钥匙等。三是验证用户的特征信息,这种方式安全性高,如指纹识别、视网膜识别等。
统一身份认证是指对用户身份信息进行集成认证管理,用户通过系统的有效身份验证,实现对各应用系统的用户权限管理,并建立所有子系统的统一身份认证管理模式,提高系统的认证可行性和可靠性。按照不同安全等级,统一身份认证系统会采取对应的安全保障措施,如密码保护、数字验证等[2]。在集成应用系统中,统一身份认证系统建立唯一的操作端口,各子系统不需要面对安全风险,从而保障整个系统稳定运行。
数字化高校综合管理平台集成的内容主要包括统一身份认证集成、公共数据集成和应用服务集成。
统一身份认证集成采用单点登录技术,统一身份认证平台的开发在构架高校数字化管理平台中非常重要,这是因为它不但降低了与应用程序部署和用户管理相关的管理成本,而且提高了整个系统软件的安全性。
商用的认证中间件有Oracle提供的统一身份管理系统,它是基于Oracle 10g数据库和融合中间件技术构建,它是一个安全框架,并基于一个符合LDAPv3规范的目录(Oracle Internet Directory) 存储身份 信息。Oracle身份管理 利用了LDAPP(Lightweight Directory Access Protocol,即轻量级目录访问协议) 服务管理用户身份和访问控制权限,同时提供Web一次性登录功能(SSO)、网络资源供应和基于Web的委托管理来使用户和非系统管理人员能够承担特定的管理责任,并提供了一个内置的认证中心来为内联网(不面向公众的)服务颁发和部署PKI证书。基于Web的服务协议。LDAP是一个访问在线目录服务的协议。LDAP的信息是以树型结构存储的,在树根一般定义国家或域名,在其下则往往定义一个或多个组织或组织单元。LDAP目录数据库和关系数据库不同,它有优异的读性能,但写性能差,并且没有事务处理、回滚等复杂功能,不适合存储修改频繁的数据,而适合存储机构及人员信息、数字证书和安全密钥、邮件地址、网址、IP等数据。
开源的目录服务中间件有Open LDAP[3],它是一个开源的LDAP实现,这个套件包括:slapd - 独立运行的LDAP服务器端程序,slurpd - 更新复制的守护进程,libraries实现LDAP协议的接口库,管理工具和客户端。鉴于开源软件的可开发性和免费性,同时考虑可以在跨平台操作系统上部署如linux系统,本系统设计可采用Open LDAP做为统一身份认证的目录服务软件,在高校的应用集成认证中已经能够实现安全的身份认证。
统一身份认证平台构建并维护用户基本信息库(含国别、身份证号、姓名、性别、出生日期、照片、帐号(卡号)、密码(采用单向加密算法进行加密存储)与用户身份(教职工 / 学生 /校友 / 特殊访问者)),为每一个用户提供唯一的电子身份;构建并维护应用服务注册信息库,为每一项应用服务提供唯一的电子身份;构建公钥基础设施(PKI)、认证机构(CA),采用安全套接层协议(SSL),实现数字校园综合管理平台安全、可靠的统一身份认证与网上数据传输;支持Liberty ID_FF V1.2规范,支持轻量级目录访问协议 (LDAP)、活动目录(ActiveDirectory),支持跨域部署模式。
统一身份认证平台过程包括如下两个部分:
(1)统一身份管理:统一用户管理,将分布在信息门户及各个应用系统中或设备上的用户信息集中管理;统一用户权限管理,用户可以简便快捷地访问相应的应用服务与信息资源。
(2)统一认证管理:采用单点登录技术,实现用户访问信息门户及各个应用系统的统一认证;用户只要通过认证一次,即可访问相应的应用服务和信息资源。
对学校已有的应用系统进行集成。集成后的各个应用系统不需要取消原有的用户管理体系和登录方式,不影响原有系统的正常运行。其认证过程如下图:
(1)用户在访问待验证身份的第三方应用系统的页面时,应用系统 (App-URL) 自动定向 到CAS登录地址(Login-URL);
(2)通过CAS中票据授权服务TGS生成对应的服务票据ST后 ,CAS登录地址 (Login-URL) 重新定向 到应用系 统(App-URL);
(3) 应用系统收到服务票据ST后,向CAS验证地址(Validation-URL)发送请求并读取返回数据;
(4)CAS收到这个服务票据ST后进行匹配校验,校验成功则向应用系统相应页面返回用户标识(Net ID),否则拒绝请求。
通过统一门户提供的统一身份证系统的验证通过后可以实现各个系统的集成界面,其过程如下图所示:
公共数据集成采用标准的服务接口,基于信息标准,对学校已有的业务数据进行集成。集成后,可以实现各类公共数据的实时交换,原有的各应用系统不需要改造,不影响原有系统的正常运行。
应用服务集成依赖于身份认证集成和数据集成,在实现身份认证集成和数据集成后,可以将集成的应用系统中所提供的应用服务集成到信息门户中,为广大师生、管理人员提供个性化的综合信息服务。