网络身份认证(共12篇)
网络身份认证 篇1
1、网络安全的概述
国际标准化组织将计算机安全定义为为数据处理系统建立和采取的技术和管理的安全保护, 保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露。计算机安全的内容应包括两方面即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护, 免于破坏、丢失等。逻辑安全包括信息完整性、保密性和可用性保密性指高级别信息仅在授权情况下流向低级别的客体完整性指信息不会被非授权修改, 信息保持一致性等可用性指合法用户的正常请求能及时、正确、安全地得到服务或回应。网络系统的安全涉及到平台的各个方面。按照网络的层模型, 网络安全体现在信息系统的以下几个层次物理层、链路层、网络层、操作系统、应用平台和应用系统。
2、网络安全应具备的功能
安全的网络系统一般应具备以下功能: (1) 访间控制 (2) 检查安全漏洞 (3) 攻击监控 (4) 加密通信信息 (5) 认证 (6) 备份和恢复 (7) 多层防御 (8) 隐藏内部信息 (9) 设立安全监控中心。
3、网络安全体系结构
按照现在通行的观点, 网络安全涉及到三个方面的内容网络硬件、网络操作系统即对于网络硬件的操作与控制、网络中的应用系统。若要实现网络的整体安全, 考虑上述三方面的安全问题也就足够了, 但事实上, 这种分析和归纳是不完整和不全面的, 因为无论是网络本身还是操作系统与应用程序, 它们最终都是要由人来操作和使用的, 所以还有一个重要的安全问题就是用户的安全性。目前, 五层次的网络系统安全体系理论已得到了国际网络安全界的广泛承认和支持。按照该理论, 在考虑网络安全问题过程中, 应该主要考虑以下五个方面的问题: (1) 网络层的安全性 (网络层安全性问题的核心在于网络是否得到控制, 每一个用户都会拥有一个独立的地址, 这一地址能够大致表明用户的来源所在地和来源系统。) (2) 系统的安全性 (主要考虑的问题有两个一是病毒对于网络的威胁;二是黑客对于网络的破坏和侵入。) (3) 用户的安全性 (用户的安全性问题, 所要考虑的问题是是否只有那些真正被授权的用户才能够使用系统中的资源和数据) (4) 应用程序安全性 (涉及两个方面的问题一是应用程序对数据的合法权限, 二是应用程序对用户的合法权限数据的安全性数据的安全性问题所要回答的问题是机密数据是否还处于机密状态。) (5) 数据的安全性 (数据的安全性问题所要回答的是:机密数据是否还处于机密状态。)
4、身份认证技术
从上述网络安全概念上可以看出, 认证技术是网络安全的重要手段, 用户认证系统主要是通过数字认证技术, 确认合法用户的身份, 从而提供相应的服务。
4.1 身份认证的基本步骤
决定真实的身份包括如下步骤:第一个步骤要给实体赋予身份, 并绑定身份, 决定身份的表现方式。目前, 可采用如下方式完成身份的赋予和表示 (1) 系统管理员为用户提供账号和口令 (2) 网络管理员为每台机器赋予IP地址 (3) 分配对称密钥的方法 (4) 分配公钥、私钥的方法 (5) 产生公钥的证书授权方法 (6) 安全人员建立名字和指纹序列的联系。可靠的身份认证, 是保护网络系统受到诸如伪装和内部人员修改攻击等破坏的第一步。第二个步骤通信和鉴证对实体的访问请求, 必须鉴证它的身份, 认证的基本模式可分为三类 (1) 用户到主机。 (2) 点对点认证。认证双方通过认证协议, 互相通信, 获得对方的认证信息, 完成身份认证工作。 (3) 第三方的认证。由充分信任的第三方提供认证信息。
使用安全的通信协议与认证服务器进行通信认证可采用的机制, 应分成简单和加密两种类型。简单性的认证机制, 通过比较被认证实体提供的信息和本地存储的对应信息而基于加密的认证机制, 则建立在加密协议对数据的加密处理的基础上。通信双方可能持有公共的密钥通常存储在硬件的令牌里从而实现挑战应答的协议, 完成认证。其它机制, 可以只是基于公钥和公钥同公钥证书之间的对应关系我们可分别举例如下:身份是本地定义的名字, 所有可能参与通信的对象的名字都在本地的一个把它们的身份同其公钥联系起来的可信的数据库当中使用所存储的公钥验证数字签名, 就可以实现身份的鉴别。
4.2 身份认证的基本方法
4.2.1 单因素认证方法
单因素认证方法, 通常采用如下形式当用户需要访问系统资源时, 系统提示用户输入用户名和口令系统采用加密方式或明文方式将用户名和口令传送到认证中心, 并和认证中心保存的用户信息进行比对。
4.2.2 双因素认证方法
在对安全性要求较高的网络系统中已经广泛采取了多种不同形式的双因素认证力一法。在实现方式上通常是将口令认证和其他认证方法相结合、目前流行的认证方式有以下几种类型: (1) 生物识别认证方法 (生物识别方法是利用操作人员的身体生物特征作为在网络上识别身份的要素。) (2) 智能卡识别方法 (每个系统用户都持有一张智能卡, 卡内存放系统预置的电子证书用户需要访问系统时需要将智能卡插人到终端的智能卡读写器中认证中心不仅要核对用户的口令, 同时要核对智能卡是否和登录用户的信息一致而且可以用智能卡对用户卜传的信息进行加密处理, 保证信息在网络传输的安全性。) (3) 时间同步动态口令 (每个系统用户都持有一只时间同步动态口令计算器。计算器内置时钟, 种子密钥和加密算法。) (4) 挑战、应答动态口令 (每个系统用户都持有一只挑战应答动态口令计算器, 计算器内置科子密钥和加密算法, 用户需要访问系统时, 认证系统首先提示输人用户名和静态口令。认证通过后系统在下传一个中心认证系统随机生成的挑战数, 通常为一个数字串, 用户将该挑战数输人到挑战应答计算器中, 挑战应答计算器利用内置的种子密钥和加密算法计算出相应的应答数, 通常也是一个数字串, 用户将该数宇串作为应答数上给认证中心。)
摘要:本文系统介绍了计算机网络安全的完整概念和内容, 详细分析了网络安全的体系结构, 并深入探讨了身份认证的基本方法及其实现。
关键词:网络安全,系统安全,用户安全,身份认证
参考文献
[1].Andrew S.Tanenbaum计算机网络[M].潘爱民译.北京:清华大学出版社2004
[2].康丽军.网络安全中的身份认证机制[J].山西:太原重型机械学院学报;2004 (01)
[3].曲毅.网络安全中身份认证技术的研究[J]淮海工学院学报;2001, (01)
[4].张彩莱.网络安全中身份认证[J]网络安全技术与应用;2001, (04)
[5].李春林、王丽芳.基于身份认证技术安全体系的研究[J]微电子学与计算机;2005, (04)
网络身份认证 篇2
授课班级授课形式项目教学
网络银行 CA 认证黑板、幻灯机、电脑
教学目的数字证书的概念与作用掌握个人网上银行的注册过程数字证书的申请及安装数字证书的导入及导出个人网上银行注册、使用
教学重点
数字证书的概念与作用
教学难点更新、补充、删节内容课外作业
个人网上银行注册、使用
真实的办一张网上银行卡
教学后记
授课主要内容或板书设计
项目十网络银行 CA 认证 10.1 数字证书,数字签名数字证书的含义数字证书的申请数字签名、加密电子邮件 10.2 个人网银的开通 10.3 CA 认证
课堂教学安排
教学过程导入 10 分钟主要教学内容及步骤
1.1 数字证书的含义
由于 Internet 网电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息,但同时也增加了对某些敏感或有价值的数据被滥用的风险.为了保证互联网上电子交易及支付的安全性,保密性等,防范交易及支付过程中的欺诈行为,必须在网上建立一种信任机制。这就要求参加电子商务的买方和卖方都必须拥有合法的身份,并且在网上能够有效无误的被进行验证。数字证书是一种权威性的电子文档。它提供了一种在 Internet 上验证您身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构----CA 证书授权(Certificate Authority)中心发行的,人们可以在互联网交往中用它来识别对方的身份。当然在数字证书认证的过程中,证书认证中心(CA)作为权威的、公正的、可信赖的第三方,其作用是至关重要的。数字证书也必须具有唯一性和可靠性。为了达到这一目的,需要采用很多技术来实现。通常,数字证书采用公钥体制,即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所有的私有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。公开密钥技术解决了密钥发布的管理问题,用户可以公开其公开密钥,而保留其私有密钥。数字证书颁发过程一般为:用户首先产生自己的密钥对,并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后,将执行一些必要的步骤,以确信请求确实由用户发送而来...,然后,认证中心将发给用户一个数字证书,该证书内包含用户的个人信息和他的公钥信息,同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。数字证书由独立的证书发行机构发布。数字证书各不相同,每种证书可提供不同级别的可信度。可以从证书发行机构获得您自己的数字证书。
正文申请数字证书 1 课时
1.2 数字证书的申请
以申请中国数字认证网(http://)免费证书为例。
为了建立数字证书的申请人与 CA 认证中心的信任关系,保证申请证书时信息传输的安全性,在申请数字证书前,需要下载并安装根 CA 证书。浏览器的 Internet 安全选项一定要设置成默
认的中级或以下安全级别如下图所示;停止客户端的防火墙等工具中对 ActiveX 下载安装的拦截。
→
1、下载并安装根 CA 证书、进入中国数字认证网(http://)。访问中国数字认证网首页时,如果客户端没有安装根证书,系统会提示用户自动安装。在安装过程中会显示“安全警告”和“潜在脚本冲突” 提示框,对于上述提示一定要选择“是”。根证书是 CA 认证中心给自己颁发的证书,是信任链的起始点。安装根证书意味着对这个 CA 认证中心的信任。
如果不能自动安装根证书可以采取以下方法手动安装。在中国数字认证网首页“免费证书”栏中单击“根 CA 证书”,然后选择“在文件的当前位置打开”。选择 “安装证书” 按向导提示安装,“根证书存储”。在窗口选择 “是”。
→
2、查看证书、根证书成功安装后成为“受信任的根证书颁发机构”。从浏览器的菜单中选择“工具/Internet 选项”,打开“Internet 选项”对话框。在对话框中选择“内容”选项卡,单击“证书”,选择“受信任的根证书颁发机构” 选项卡,列表中应该有相应的根证书,如下图所示,单击“查看”可以进一步查看证书的详细信息。
→
3、申请个人证书、在首页“免费证书”栏中单击“用表格申请证书”,打开如下图所示窗口,填写相应内容,在证书用途中选择“电子邮件保证证书”,填写完成后单击“提交”。
如上图所示,单击“提交”,证书申请成功后系统将会返回你的“证书序列号”,如下图所示,单击“直接安装证书”,方法同“根 CA 证书” 安装。
查看证书。从浏览器的菜单中选择“工具/Internet 选项”对话框。在对话框中选择“内容”选项卡,单击“证书”,选择“个人证书”选项卡,列表中有相应的个人证书信息,单击“查看”可以进一步查看证书详细信息。→
4、导出证书、从浏览器...的菜单中选择“工具/Internet 选项”,打开“Internet 选项”
对话框。在对话框中选择“内容”选项卡,单击“证书”,选择“个人证书”选项卡,在列表中选择所要导出的证书,如下图所示,单击“导出”。
“私钥”为用户个人所有,不能泄露给其他人,否则其他人可以用它冒充你的名义签名。如果是为了保留证书备份而复制证书,选择“是,导出私钥”,如下图所示,如果为了发送加密邮件或其他用途,不要导出私钥。如果在申请证书时没有选择“标记密钥为可导出”,则不能导出私钥。输入私钥保护密码,如果在申请证书时没有选择“启用来格密钥保护”,没有密码提示。指定要导出的文件名。单击“浏览”可选择存储目标磁盘和目录,如下图所示,单击“下一步”后按提示进行操作。
→
5、导入数字证书、特别提示:中国数字认证网提供四种类型的数字证书: “测试证书”、“免费证书”、“标准证书”和“企业证书”,使用不同的证书需要安装相应的根证书,设置“受信任的根证书颁发机构”的实质就是安装根证书。使用数字证书 1 课时
1.3 数字签名、加密电子邮件
实训内容:王华欲向张星订购 2 台电脑,张星将报价单及配置说明以数字签名电子邮件方式发送给王华;王华收到邮件后,将订单以加密邮件的方式发送给张星。说明:张星给王华发送签名邮件,要求张星已申请数字证书,并已正确安装了自己的“电子邮件保护证书”并用证书发送签名邮件(注:要使用的电子邮件地址必须与申请证书时填写的电子邮件地址一致)。
→
1、OutLook Express 发送数字签名电子邮件、从OutLook Express 主菜单中选择“工具/帐户”,单击“邮件”选项卡后选择账户,单击“属性”,如下图所示。
选择“安全”选项卡,单击“签署证书”中的“选择”,如下图所示,单击“确定”。
发送邮件时,在“新邮件”窗口选择主菜单“工具/数字签名”,收件人地址栏后面出现“签名”标志,如下图所示
输入收件人(王华)的电子邮件地址、内容并插入附件,发送邮件。阅读带数字签名的邮件。当
收件人(王华)收到邮件后,首次打开或预览带数字签名或加密的邮件时,OutLook Express 会显示帮助屏幕。如果接收有问题的安全邮件(如邮件已被篡改或发件人的数字标识已过期),则在被允许阅读邮件内容前,会看到一条安全警告,它详细说明了问题所在。根据警告中的信息,可以决定是否查看邮件。单击“数字签名标志”,可进一步查看数字签名详细信息。→
2、OutLook Express 发送加密邮件、说明:王华给...张星发送加密邮件,发送加密邮件前必须正确安装了对方(张星)的“电子邮件保护证书”,只要请对方用他的“电子邮件保护证书”给你发送一个数字签名邮件,或在相应数字认证网下载(前提是对方证书允许查询),证书会自动安装并与对方 E-mail 地址绑定。如果未能自动安装“电子邮件保护证书”,需要手工安装对方“电子邮件保护证书” 从OutLook Express 主菜单中选择。“工具/选项” 选择,“安全”选项卡,单击“数字标识”,打开“证书”窗口,如下图:
导入数字证书。单击“导入”,打开“证书导入向导”对话框,单击 “浏览”指定要导入的文件(选择对方“张星”证书的文件名)。单击“下
一步”。单击“浏览”,选择“其他人”,如下图所示,单击“下一步”,安装对方数字证书。其他人
发送邮件时,在“新邮件”窗口选择菜单“工具/加密”,收件人地址栏后面出现“加密”标志。输入对方(张星)邮件地址、邮件内容并插入附件,发送邮件。对方(张星)收到加密邮件后,显示正在阅读保护内容,“确定” 单击,显示“安全帮助”及相关的安全信息。网上银行的使用 1 课时
1.4 网上银行的注册
以中国工商银行网上银行为例,中国工商银行网上银行可以到营业网点办理注册,也可以在网上银行自助注册,下是网上银行自助注册过程。步骤一进入工商银行网上银行首页(http://.cn)如下图所示
步骤二单击“个人网上银行登录”栏目下的“注册”,显示“网上自助注册须知”,阅读后单击“注册个人网上银行”,如下图所示
步骤三显示“中国工商银行电子银行个人客户服务协议”,仔细阅读后单击“接受此协议”,输入要注册的银行卡卡号,单击“提交”。按要求填写资料,单击“提交”正确填写资料。步骤四网上银行登录。在工商银行首页,“个人网上银行登录” 单击窗口,按提示输入信息,登录成功后进入“个人网上银行”首页,显示所有可进行的操作。特别提示:进入网上银行要直接输入网址,不要使用搜索引擎。特别提示:进入网上银行要直接输入网址,不要使用搜索引擎。虚拟使用 1 课时
1.5 使用网上银行
网络上的身份和权力 篇3
许多新闻事件发生后,社交网络上就会很快出现或“被发现”当事人的账号。这些账号有真有假,有的伪造账号还能轻而易举地通过社交网站的用户实名制验证环节。更具迷惑性的是,伪造账号者往往非常用心地包装自己,按照想要塑造、对应的人物角色而发言、发图、互动,甚至通盘接收被伪造方的社会关系和声望。作为受害者,被伪造一方要想夺回账号,制止伪造账号的不恰当表现,有时却变得十分困难,因为他(她)们无法证明他(她)就是他(她)自己。
上段说的是,一种非常纯粹的虚假身份塑造。真实的用户、账号有没有在自我包装、塑造乃至编造呢?“虚拟的现实世界已经赋予术语‘整容’崭新的含义”,只要你愿意,你可以证明你就是那个你想要塑造出的形象所反映的你自己。
全球传媒研究专家、加拿大国家级日报《国家邮报》前总编辑、欧洲工商学院高级研究员马修·弗雷泽和美国康奈尔大学S.C.约翰逊管理研究院院长苏米特拉·杜塔合著的《社交网络改变世界》一书中,将“身份多元化”确定为社交网络对现实社会产生的第一项影响。所谓身份多元化,就是指社交网络上,身份是多层面而分散的、可捏造而易变的、可协商而意外的,有时还带有欺骗性。
身份多元化现象,所冲击的是界定现实身份的社会体系、观念体系—既然是冲击,就会发生冲撞和倾覆。也正因为此,现实社会中的组织、掌握权力的个体和群体,总是试图控制已经超出其控制范围的多元身份,一种对策即是网络实名制。
毫无疑问,身份多元化现象总是带有这样或者那样的问题,但社交网络上的用户们并不乐意因问题的存在而接受某种类似于网络实名制的管控。这是因为,通过多元化的身份,包括那些纯粹是塑造出、编造出而真实性存疑的身份,有助于通过更多的弱联系获得更多、联结更广的社会联系,从而积累社会资本。
多元化的、大量的身份,对于用户来说,也由此带来两个关键问题:如何退出?如何保障隐私?社交网络被称为web2.0,但早在web1.0时代,互联网用户就不得不面临网络记录清除的难题;而在web2.0时代,要想让自己不愿意使之存在的记录“消失”,是几乎不可能做到的事情。更棘手的是,那些包含了不实描述等信息的身份,一旦生成,也就无法绝迹。
企业等用人单位而今越来越频繁地使用搜索引擎在网页记录、社交网络平台网站上,对求职者进行更多了解,后者必须要为自己过去的“自我展示”付出名誉风险,可能会因此失去工作机会,正如美国网络比喻顾问安迪·比尔所说的,“要在谷歌上建立自己的信誉……你始终都在被别人搜索,不管你是否意识得到。”很显然,这种情况只能促使人们在开启身份多元化的进程时,就注重形象包装的精度及长期性。而对于“自我展示”带来的风险,《社交网络改变世界》一书认为,等到web2.0一代人成长为公司领导层,企业界将改变现有的识别和评价人才的标准,HR们将懂得将多元身份分开评价。
在马修·弗雷泽和苏米特拉·杜塔看来,社交网络对现实社会的第二项影响,则是“地位民主化”。“社会地位是确定控制权的一个特征,它与权力联系在一起”,社交网络的最突出作用就体现为“社会资本向网络世界的转移”。名声、利益在网络时代之前,在社会各领域内都需要经过专业人士的把关;社交网络已经部分改变了这种把关关系,并且还将继续推动专业人士权力的弱化。
理解这一点并不难,很多领域的专业人士都在热衷谈论,受到粉丝热烈追捧的选秀歌手、畅销书、卖座大片其实并不值得追捧、并不应该流行和畅销。这种反击姿态,源于话语权、把关权所流失而激发出的不满。按照《社交网络改变世界》书中就此作出的分析,追捧“可爱的傻瓜”、讨厌“有能力的怪人”其实正是包括专业人士在内,大众的选择倾向。比如,在各类组织中,员工喜欢选择和那些能分享自己价值观、态度和思考方式或者显示不出任何能力的人合作,借此来与“有能力的怪人”抗衡。
“有能力的怪人”的专业价值,就体现在对社会和经济事物的专业化评论、评级、排名。社交网络解构了“怪人”们的上述权力,而通过在线用户评论的方式提供“群体智慧”。
社交网络对现实社会的第三项影响,即是“权力分散化”。社交网络体现出的权力运作关系,呈现普遍性、广泛性、协作执行的特点,想一想一些专家、“砖家”在发表“雷语”后遭到的网民“围剿”,即可明白这一点。“权力分散化”对现有的权力关系形成了挑战,尽管后者总是试图将部分网民、消费者、业余爱好者的意见整合到权力秩序中,来提高公共组织、企业、社会组织的运作活力,但这种努力显然是徒劳的。“可爱的傻瓜”和“有能力的怪人”某种程度上是根本不兼容的。
马修·弗雷泽和苏米特拉·杜塔就此发出提醒,无论是政府,还是企业以及方方面面的社会组织,都有必要顺应web2.0、社交网络带来的“权力分散化”变化趋势,克服“概念上的阻力”、“风险管理”习惯、“恐惧因素”,自下而上重组权力关系。
城市感知网络身份认证研究 篇4
2008年11月IBM公司提出了智慧地球的概念, 随后衍生出了智慧城市的概念。一般而言智慧城市具有如下基本特征[1]:全面透彻的感知、宽带泛在的互联、智能融合的应用。信息化与城市化是当前社会发展的两项重要任务。二者的高度融合使得“智慧城市”这一概念被越来越多的公众所接受。
建设智慧城市的平台是基于物联网与互联网、云计算和大数据的信息网络系统;建设智慧城市的手段是全面感知 (物联网) 、可靠传递 (通信网) 和智能处理[2]。
智慧城市具有灵敏、高效、泛在的感知能力, 需要建立覆盖城市的信息采集、信息传输和信息服务的感知系统。简化后的城市感知网络总体架构自底向上可分为信息感知层、信息传输层和信息处理层[3]。
信息感知层负责从各类传感器或含有传感器的智能终端中采集信息。可以是各类传感器构成的无线传感器网络, 用来进行安全监控、环境检测、交通流量、建筑能耗测量等应用;也可以是用于产品或身份识别的RFID标签采集系统;还可以由移动智能终端采集, 如智能手机的内置温度湿度、噪声、光强、GPS、海拔、加速度、烟感检测等传感器。
信息传输层将感知的各类信息通过Zigbee、蓝牙、红外、Wi Fi或者3G等不同的传输技术高效可靠地接入以IP协议为基础架构的公共数据网。信息处理层应用大数据分析与处理技术从中提取出相应结果提供给智慧城市的应用服务。比如智慧交通、智慧环保、智慧公安等城市功能的需求。总之城市感知网络是综合了城市现有的物联网、互联网以及无线通信网的新型网络。
二、城市感知网络身份认证技术
事物总是具有两面性。新一代信息技术在智慧城市中的广泛应用给生活带来便利的同时, 也带来了潜在的安全问题。若不能处理好信息安全问题, 那么信息技术运用地越广泛深入, 智慧城市所面临的安全威胁也就越大。
以城市感知网络为例子:从系统角度看, 它既然综合了物联网、互联网和移动通信网的优点, 那么它们在安全方面的缺陷也同样存在并衍生出了新的安全隐患[4,5];从网络用户角度看, 同一个自然人在不同的网络 (物联网、互联网、移动通信网) 中具有的身份标签不同, 也就涉及到在不同网络中的身份认证的安全与效率问题。
更有恶意用户使用虚假消息签名、拒绝服务攻击等手段危害网络的正常运行。身份认证是实现信息安全的基本手段, 是信息系统安全的先决条件。如果没有认证安全, 其它安全都是空中楼阁。
安全专家认为:“需要从感知、传输等多个层次来确保智慧城市居民日常生活的有序性。”
所以, 研究城市感知网络的安全问题是智慧城市广泛推广的前提和关键, 而用户身份认证问题又是其中的重点。因此, 研究城市感知网络用户身份认证问题具有广阔的应用前景和重要的现实意义。
用户在由多种不同网络构建的城市感知网络覆盖范围中移动时, 需要针对不同的网络应用场景设计特定的身份认证协议。针对前面提出的城市感知网络的组成 (物联网、互联网、移动通信网) , 作者认为RFID标签批量认证、WSN广播认证以及移动IP身份认证三个方面值得进一步研究。
参考文献
[1]BM公司.智慧的城市在中国[R].2008.
[2]李德仁, 邵振峰, 杨小敏.从数字城市到智慧城市的理论与实践[J].地理空间信息, 2011, 9 (6) :1-5.
[3]袁远明.智慧城市信息系统关键技术研究[D].武汉:武汉大学, 2012.
[4]Nicholas D.Lane.Shane B.Eisenman.Mirco Musolesi.Urban Sensing Systems:Opportunistic or Participatory?[C]Proceedings of the 9th workshop on Mobile computing systems and applications2008:11-16.
5.思科网络工程师认证 篇5
培训内容:
详细讲解CISCO交换机、路由器的配置、操作与管理等,《CCNA网络工程师》认证 CISCO高级路由及配置(BSCI)、扩展IP的使用;多层交换网络技术;
安全远程访问ISCW;网络优化ONT等,可考 CCNA CCNP等
培训目标:
理论加实践教学模式,学院拥有多名理论知识过硬、实践经验丰富思科认证讲师,使每位学员在顺利通过思科考试同时,加强动手操作能力,学院承诺确保学员通过 考试
学员就业方向:
客户服务工程师,网络工程师,系统工程师,系统集成工程师,网络管理工程师,研发工程师,网络技术总监,系统集成总经理等
联系方式
联系人:赵老师
地址:上海市黄浦区西藏中路120号4楼(上海市工人文化宫)电话:***021-63612601
QQ:***0219
网络支付新规来了 抓紧实名认证 篇6
去年12月,央行发布《非银行支付机构网络支付业务管理办法》(以下简称《办法》)。《办法》要求,2016年7月1日起,支付机构为客户开立支付账户的,应对客户实行实名制管理。如果用户身份验证未达到规定标准,会影响支付账户部分功能的使用。
非实名账户功能将受限
支付账户实名制早已开始推进。早在2012年央行发布《办法(征求意见稿)》时便提出,拟要求互联网支付账户实名制。但当时更多是企业的自发行为,而非硬性要求。此后,支付宝等机构开始逐步推荐账户实名制,推出实名认证才能领取打车优惠等措施。
多位支付机构人士表示,实名认证后,账户安全保障更高,当忘记账户密码时,实名账户可通过核对重要信息找回密码,并可享受平台多样金融服务。实名认证方式包括绑定银行卡、上传身份证照片、购买火车票和机票等。
近日,网上有说法称,“7月1日前未补全身份信息的支付宝账户可能遭冻结。”对此,支付宝方面辟谣称,账户余额不会被冻结,也会不消失,只要用户继续完善身份信息,就能随时使用账户余额。
京东金融人士也表示,如果不进行实名信息认证,用户的个人账户不会被冻结,更不会影响余额。但会影响平台内部分功能的使用,例如快捷支付、余额支付、红包提现等,用户只要完善个人信息实名认证后,即可继续使用这些功能。
百度钱包人士介绍,在7月1日后,没有实名认证的用户将无法正常使用转账和快捷支付服务,通过百度钱包转账及使用百度糯米、Uber等进行快捷付款等都将受影响。
目前,在QQ中发放红包需要实名验证;在微信支付上,如果从未绑定过银行卡的账号单笔单日单月转账限额为1000元,其他暂无过多限制。
腾讯支付基础平台与金融应用线副总经理郑浩剑表示:“财付通不希望通过强制性手段使用户完成实名制,而是将丰富的支付场景与创新的技术手段相结合,打造舒适的用户实名体验。”
实名制将成支付机构分水岭
中国支付清算协会近期发布的《中国支付清算行业运行报告(2016)》指出,截至2015年底,非银行支付机构开立的个人支付账户26.30亿个,完成实名认证的支付账户共有13.46亿个,占总支付账户总量的51.07%。
这意味着,仍有近半数的个人支付账户未完成实名认证。
“早期支付机构为了发展用户,注册相对简单,单凭手机号码等就可以,大多未进行实名认证。”一位资深支付机构人士介绍说。
另有机构人士表示,实名比例增长缓慢是由于新增用户大幅增长,其间实名制要求并不严格所致。
央行《办法》要求,根据用户是否面对面方式以及外部合法安全渠道验证方式的种类,将个人支付账户分为三类:I类支付账户的账户余额仅可用于消费和转账,余额付款交易自账户开立起累计不超过1000元;II类支付账户余额仅可用于消费和转账但余额付款交易年累计不超过10万元;III类支付账户余额不仅可以用于消费、转账,还可以购买投资理财等金融类产品,其账户的余额付款交易年累计不超过20万元。
落实账户实名制对支付机构也有更多益处。上述支付机构人士说,尽管目前支付机构看似处在同一起跑线上,但央行接下来对支付机构将会进行分级管理,实名账户的比例或是重要考量因素之一,这将会影响到支付机构清算的灵活性、为用户提供交易类型的多样性等。比如III类账户就可以进行货币兑换、购买证券、信托等业务。一定程度上高等级实名账户的数量和比例将会奠定支付机构布局上述业务的基础。
助力网络安全再升级
近年来,伴随着网络支付方式不断创新,不少违法犯罪分子通过木马病毒、电信诈骗等方式窃取个人金融信息并实施诈骗。
央行相关负责人此前表示,首先,只有实行实名制,才能更好地保护账户所有人的资金安全,才能从法律制度上保护消费者的财产权利,明确债权债务关系。
其次,账户实名制是经济金融活动和管理的基础,账户是资金出入的起点与终点,只有落实支付账户实名制,才能维护正常的经济金融秩序,从而切实落实反洗钱、反恐怖融资要求,防范和遏制违法犯罪活动。
最后,坚持账户实名制将有利于支付机构在了解自己客户的基础上,有针对性地改善服务质量,更好地服务于账户所有者,为提升和改善经营管理水平奠定基础。
支付宝方面也分析指出,实名并完善身份信息,对用户来说有不少好处,比如转账付款时,可以轻松校验收款方实名信息,转账就不容易转错人。另外,找回密码也更方便了,当用户忘记账户密码时,系统可以核对多重信息,让用户安全快速找回密码,并将别有用心之人挡在外面。
网络身份认证 篇7
关键词:身份认证系统,简单用户与口令,动态口令
1 引言
互联网建立至今, 仅仅几十年的发展光景, 但它的发展速度却是任何时代产业技术无法相提并论的。计算机网络的应用已渗透到社会的各领域, 随之产生的网络安全问题备受关注。
作为网络安全的防火墙技术、入侵检测系统、会话加密、虚拟专用网 (VPN) 和数字证书等技术都是基于内部网络设计的, 然而网络内部的用户却不一定都是合法、安全的, 所以网络安全身份认证系统应运而生。网络身份认证是通过一定的技术手段, 强制要求用户登录网络时提供有效且惟一的身份信息, 身份信息在认证服务器中需进行校验, 合法的通过验证, 可访问网络资源, 不合法的身份信息, 将被阻断网络, 限制非法用户访问网络资源, 并有效地防止数据被修改。
2 网络身份认证系统工作过程
网络身份认证系统其目的是为了有效鉴别身份, 防止非法用户访问应用系统资源, 是网络安全体系中的第一道屏障。在身份认证系统 (如图1) 中有四个关键对象, 分别为:待认证主机、认证服务器、应用系统服务器、交换网络。
备注:1是网络中待认证的主机;2是认证服务器;3是应用系统服务器;4是交换网络
主机通过网络向认证服务器发出请求, 认证服务器查询身份认证信息的真伪, 对主机作出应答。当身份认证为真时, 开放相应的应用系统;认证失败时, 断开网络连接。
3 简单的“用户名/口令”网络身份认证存在的问题
在当前网络环境下, 用户名/口令进行身份认证被认为是一种最容易实现的认证方案, 该认证手段简单, 易行, 被广泛的应用于B/S架构下应用账号、邮件系统以及操作系统的登录中。其认证过程简单、速度快、成本低, 对网络带宽的要求也不高, 优势是显而易见的。
但这种认证方式的安全性比较差, 口令明文, 不能提供数据的加密传输, 很容易被窃听, 更不可能实现用户业务行为的不可否认性等。另外普通用户往往愿意使用特殊、有意义的数字及字母来设置口令密码, 这样的口令极易破解, 一旦口令被恶意破解, 用户的身份将在网络中被冒用, 既带来了安全隐患, 又可能造成经济损失, 甚至破解口令者冒用合法用户的身份去做违法的行为。
4 动态口令网络身份认证系统的设计与实现
动态口令的网络身份认证系统是为了解决上述简单用户名、静态口令的缺陷而设计的, 其工作原理是用动态口令代替静态口令, 在客户端登录过程中加入转换密文, 从而得到认证所采用的动态口令。再将动态口令及用户名向认证服务器发出请求, 认证服务器接收到用户的认证数据后, 以预存的算法去解密, 判定认证数据的真假, 进而实现对用户身份的认证。
4.1 动态口令网络身份认证的优势
(1) 安全性:口令具有一次性, 随时间、处理事件等因素的变化口令在不断的变化, 具有无法重复使用、口令经过加密算法随机产生, 具有无法破解等优点。 (2) 方便性:动态口令采用口令卡形式存放, 不需要强制记忆口令, 所有信息都显示于口令卡之上。 (3) 无法否认性:口令是经过登录时间、所需完成业务事件、动态密钥三个元素共同决定的, 并通过MD5、HASH Algorithm生成不可逆的动态口令, 有效地解决了电子商务中引发的网络不诚信问题, 用户的业务行为具有不可否认性。
4.2 动态口令网络身份认证系统的设计实现
动态口令的网络身份认证系统根据软、硬件划分可由三个部分组成:口令卡;身份认证服务器;认证代理函数接口。
⑴动态口令卡。动态口令卡是产生口令的装置, 为了携带方便, 往往设计的小巧灵便。口令卡内预装了认证服务器端的私钥和客户端的公钥以及MD5或HASH算法, 根据认证服务器返回的应答和加密算法以时间为参数来产生一次性动态口令。⑵身份认证服务器。身份认证服务器是网络身份认证系统的核心, 它一般存放在网络机房中, 用户的所有信息数据经MD5或HASH算法存储于认证服务器中, 提供全面的认证、授权、审计服务等。再通过网络二层的DOT1X协议与应用服务器联动, 经过身份认证服务器验证, 合法的用户再与应用服务器相连, 完成相应的业务事件响应。⑶认证代理函数接口。认证代理是软件来实现的, 其实就是一些接口函数。认证服务接口函数 (API) 提供了客户服务器与认证服务器的软件接口, 客户服务器通过对它的调用而得到认证服务器提供的认证服务。
5 结束语
动态口令网络身份认证系统实现了动态身份的认证, 彻底解决了网络环境下用户身份认证安全与方便的矛盾。动态口令身份认证系统的应用前景乐观, 将会在银行、网上购物、电子商务、内部网络身份识别、机要审计等场合得到广泛应用。
参考文献
[1]王同洋, 李敏, 吴俊军.基于多因素的网络身份认证[J].计算机应用与软件.2005, 22 (6) .
[2]刘海燕, 蔡红柳, 金龙.基于USBKey的网络身份认证与管理技术研究[J].通信市场.2009 (7) .
用C#实现网络版指纹身份认证 篇8
在网络化时代的今天, 每个人都拥有大量的认证密码, 比如开机密码、邮箱密码、银行密码、论坛密码等。 这些都是传统的安全系统所采用的方式, 随着社会的发展, 其安全性越来越脆弱, 而生活随时都需要进行个人身份的确认和权限的认定。
指纹特征是人终身不变的特征之一, 而且不同人的指纹特征相同的可能性几乎为零, 人体指纹含有天然的密码信息, 其具有作为密码信息必须具备的条件。因此指纹识别技术作为一种可靠的生物识别技术, 受到了人们的重视, 尽管人们已近对自动识别技术作了深入广泛的研究, 指纹识别技术也获得了不少应用。
主要阐述如何在实际编程中使用指纹身份特征模式进行身份验证, 从而降低用户名密码被猜测出的风险, 提高程序的安全性, 增强对敏感数据的保护。
2 编程思路
系统采用VS2008进行开发和设计, 以SQL Server2005作为后台数据库, 使用U.are.U4000指纹输入设备进行指纹采集工作, 通过特征码比对即可判定用户身份和权限。
系统的框架图, 如图1所示, 分为5层, 最下层为指纹采集器, 通过驱动程序、Active控件、C# 程序访问网络数据库。
3 数据库设计
系统涉及到的数据库包含两张表: 用户表和指纹表。用户表主要存储用户登录名、密码、 部门等信息, 指纹表主要存储用户表ID、手指标识、指纹特征码等信息。
主要的表结构如表1, 表2所示。其中用户表和指纹表是1: N关系。
4 程序设计
4.1登录事件
将Biokey.ocx引入程序中, 再将AxInterop.ZKFPEngXCon- trol.dll、Interop.ZKFPEngXControl.dll添加至引用中 , 如图2, 图3所示。
具体实现的主要代码如下:
通过CreateFPCacheDB () 方法创建指纹识别高速缓冲空间, 进行1: N识别时必须首先调用该函数得到指纹识别缓冲空间句柄。
当手指被按压后触发axZKFPEngX2_OnCapture事件, 程序将访问SQL Server数据库读取指纹, 然后与当前输入的指纹进行比较。如果发现比对成功即显示用户名和权限。如发 现没有比对成功则显示比对失败。
变量str_template存放当前用户的当前指纹, 通过Get- TemplateAsString () 方法将当前职位读取给str_template, 再将指纹库中的所有指纹一一通过axZKFPEngX2.VerFingerFromStr()函数一一比对, 如果结果为真说明比对成功, 读取当前指纹特征码的用户名信息, 跳出循环; 如果比对全部为假则提示指纹识别失败, 有可能输入的指纹信息不完整, 需要重新录入指纹比对。
4.2后台维护模块
针对指纹的维护, 还应该有指纹输入的模块, 在用户管理界面中, 双击某一用户指纹信息, 弹出指纹维护界面, 如图4所示。
指纹输入比较简单, 需要用户按压3次即可完成指纹特征码的采集, 然后将采集后的指纹特征码保存至数据表中即可。
窗体的构造函数传入ID为用户ID, 用于识别当前用户, 关键代码如下:
在采集特征码的同时需要比对采集质量, 只有符合质量要求的特征码才算合格。
5 结语
网络身份认证 篇9
网络系统中主要有两种网络入侵破坏形式,分别是信息泄漏和黑客攻击。这两种破坏形式都会使整个计算机网络系统遭到严重的破坏,导致系统完全瘫痪,使重要的文件和信息数据发生泄漏或丢失,并且还会发生通过线路进行非法窃听等严重危害网络安全的行为。网络安全网络技术、密码技术、通信技术、信息论以及计算机科学等。在计算机的网络系统中,必须对系统以及硬、软件进行严密的保护,防止计算机网络系统遭受恶意的破坏。由于我国计算机网络中的认证系统还不够完善,使恶意侵犯者更加肆意猖獗。
1 Openstack概述
1.1 Openstack框架
Openstack是现阶段较流行的Iaa S方案,具有较高的扩展性,可为用户提供安全的云部署措施。截止目前,该项目版本发行已经11 个,功能也日渐完善。研究表明,因为该项目具有多种功能,所以其中含有的开源平台以及组件也很多。此外,其中的各个组件都可进行独立部署,其中包括以下六个组件。一是界面。也就是常说的Horizon。该组件可为网络用户、网络管理人员提供一些进行管理以及访问活动的界面。二是计算管理。也就是常说的Nova。该组件是控制器,是由于很多个子服务结合而成的,建立在用户需求的基础上,可对VM设备进行资源的管理。三是网络管理。即通常所说的Neutron。该组件可对无线网络中的全部资源进行管理以及划分,进而为网络中的全部租户提供一个虚拟环境。四是镜像管理。即通常所说的Glance。该组件主要功能在于保存VM设备的快照以及镜像,其中包括Swift以及简单文件这两种镜像机制。五是对象存储。即通常所说的Swift。该组件可为网络用户提供大文件、持久的对象存储,普遍用于静态数据信息的保存过程中。
1.2 Keystone身份认证机制
Keystone允许用户以及租户在其中注册,用户完成验证后可给予令牌,相关术语详见表1。其中。用户指的是通某个数字符号来表示openstack平台中某个人、服务等;租户可将一些项目、组织、账户等情况映射出来,主要由操作人员决定的;证书指的是用户进行身份认证过程中需要用到数据信息,比如登录密码、用户名、API密钥等。在身份验证过程中,为了安全起见,禁用临时身份验证令牌机制,编辑/etc/keystone/keystone-paste.ini配置文件,删除[pipeline:public_api],[pipeline:admin_api],和[pipeline:api_v3]内容。
2 身份认证协议选择方法
本文选取EAP-TTLS为例,探究满足用户需求的协议。使用的资源包括(1)STA端。本次研究选取联想台式计算机一台,参数如下:2.26GHz的CPU,8G内存,Linux Fedora 16 的系统。(2)AS端。选取联想台式计算机一台,参数如下:3.2GHz的CPU,8G内存,Ubuntu 12.00 的系统。(3)AP。选取联想台式计算机一台,参数如下:3.2GHz的CPU,8G内存,Linux Fedora16 的系统。具体步骤为:首先,对消耗的能量进行精确计算,其中包括ED、ER、ET等指标;其次,对认证需要的时间进行计算,求出均值。最后分析实验结果。本次实验结果表明,EAP-TTLS可为无线网络中的用户身份进行保护,并且实验结果表明该协议是建议在共享密钥的基础上,并非是服务证书。
3 结语
本文综合考虑无线网络的情况,全面考虑网络用户需要的安全性、偏好等情况,提出身份认证协议选取的具体方法,基于openstack平台进行验证,目的在于强化行业交流,提高无线网络的安全性。
参考文献
[1]蔡龙飞,赵慧民,方艳梅.一种公钥密码体制下指纹识别与数字水印的身份认证协议[J].中山大学学报(自然科学版),2013.
[2]张博,南淑萍,孟利军.一种改进的应对异步攻击的RFID身份认证协议[J].吉首大学学报(自然科学版),2015.
网络身份认证 篇10
一、椭圆曲线密码体制
椭圆曲线加密法ECC(Elliptic Curve Cryptography)是一种公钥加密技术,以椭圆曲线理论为基础,利用有限域上椭圆曲线的点构成的Abel群离散对数难解性,实现加密、解密和数字签名,将椭圆曲线中的加法运算与离散对数中的模乘运算相对应,就可以建立基于椭圆曲线的对应密码体制。椭圆曲线是由下列韦尔斯特拉斯Weierstrass方程所确定的平面曲线:
椭圆曲线加密算法以其密钥长度小、安全性能高、整个数字签名耗时小,使其在智能终端应用中有很大的发展潜力,比如掌上电脑、移动手机等都能有更好的表现。而在网络中,ECC算法也保证了其协同工作的实时性,使用ECC算法加密敏感性级别较高的数据(如密钥),速度上能够满足大数据量要求,而且安全性高,能很好地保障系统的安全。
由于椭圆曲线密码体制的安全性只与椭圆曲线的安全性有关,而椭圆曲线安全性是由ECDLP求解的困难性决定的,因此,为了保证ECDLP是难解的,在选取椭圆曲线的时候除了选择合适的参数(a,b),使得相应的Weierstrass方程满足非超奇异椭圆曲线的要求外,还要选取合适的有限域GF(q),使得q满足#E能被一大素数(≥30位的整数)整除,或q本身就是一个大素数。安全的椭圆曲线也就是能抵抗各种已有攻击算法攻击的椭圆曲线。
1. 选取安全椭圆曲线时应该遵循的一些原则
(1)E选用非超奇异椭圆曲线,而不选取奇异椭圆曲线、超椭圆曲线以及反常椭圆曲线;
(2)#E不能整除qk-1,1≤k≤20;
(3)当q=P为素数时,#E应为素数,随机选取椭圆曲线上的一点作为基点;当q=2m时,#E应包含大的素因子,如#E=2n,4n,其中的n是大素数,且m不取合数。随机选取E上一阶为n的点作为基点;
(4)选择以基点生成循环子域H∈GF(q)上实现ECC,|H|是#E的最大素因子。
2. 描述一个利用椭圆曲线进行加密通信的过程
(1)用户A选定一条椭圆曲线Ep(a,b),并取椭圆曲线上一点作为基点G,选择一个私有密钥k,并生成公开密钥K=k G;
(2)用户A将Ep(a,b)和点K,G传给用户B;
(3)用户B接到信息后,将待传输的明文编码到Ep(a,b)上一点M,并产生一个随机整数r(r
(4)用户B将C1、C2传给用户A;
(5)用户A接到信息后,计算C1-k C2,结果就是点M。
因为C1-k C2=M+r K-k(r G)=M+r K-r(k G)=M,再对点M进行解码就可以得到明文。
在这个加密通信中,如果有一个入侵H,他只能看到Ep(a,b)、K、G、C1、C2而通过K、G求k或通过C1、C2求r都是相对困难的。因此H无法得到A、B间传送的明文信息。基于椭圆曲线的密码体制如图1所示。
二、基于椭圆曲线密码体制的网络身份认证系统
由于网络具有信息量大的特点,其主要威胁来自于非授权用户的非法访问,因此它对数据完整性的要求很高,需要最快的速度提供最高的安全性,保证信息的机密性、完整性和有效性。网络身份认证是依靠用户账号、口令或者生物特征等信息来实现的,这些认证方法在某种程度上存在着安全隐患,如账号、口令或指纹特征信息在存储、传输过程中可能被截取、被篡改等。在身份认证系统中,起关键作用的是其中的加密体系。本文设计的身份认证系统中,用户首先要通过认证模块进行注册,注册成功后,获得经过系统认证中心C A签名的公钥和私钥。用户公钥和CA的公钥都是公开信息,用户的私钥只有用户本人知道,由用户自己保存。
1. 系统的总体结构
假设通信的是A与B双方,A与B处在同一个网络中,文本加解密采用对称算法AES,而密钥的传输与签名验签都采用非对称算法ECC。系统由服务器和客户端两部分组成,如图2所示,服务器端包括代理服务器、认证服务器、应用服务器;客户端包括代理客户端、认证客户端。代理客户端和代理服务器共同完成代理功能,认证客户端和认证服务器共同完成身份认证功能。
系统模型主要工作流程如下:
(1)将用户信息存放在系统数据库中;
(2)客户端应用程序通过客户端代理向认证模块请求申请登录认证;
(3)认证模块检查用户身份并完成认证过程,向客户端发放应用服务器的Ticket;
(4)客户端向安全代理服务器请求获取访问策略数据;
(5)安全代理服务器读取访问控制表中对应的策略控制记录,确定用户是否有权限访问相应的应用服务器资源;
(6)确定用户有权访问后,连接到相应的应用服务器;
(7)客户端与应用服务器间建立起了一条加密通道,双方通过此通道来交换数据。
2. 系统功能模块及实现
(1)认证模块。认证模块主要实现身份认证、密钥分发等功能,采用基于公钥密码体制的改进Kerberos认证协议来对用户进行身份认证,是模型的核心部分。
认证模块由认证客户端模块、认证服务器端模块组成。当客户端代理接到来自客户端的任意请求时,先判断是否为客户端代理启动后接收到的第一个请求,如果是,则客户端代理必须先去认证服务器进行身份认证。
(1)认证客户端。认证客户端主要包括六个模块,分别为:A S请求模块、TGS请求模块、GSSAPI接口模块、Kerberos GSSAPI模块、票据列出模块、票据销毁模块。
AS请求模块主要功能是用户获取TGS的票据TGT。当用户进行身份认证时,AS请求模块被调用,从AS服务器中获取TGT。AS请求模块包括获取Ticket模块和报错子模块。通过调用ECC加密模块,对每条信息进行必要的安全处理;TGS请求模块主要用于获得应用服务器的票据。在调用TGS请求之前,客户端必须己经得到TGT,以便用TGT向TG服务器证明自己的身份。GSSAPI接口模块用于实现与客户端代理的接口,客户端代理调用GSSAPI接口模块来进行身份认证;Kerberos GSSAPI模块被GSSAPI接口模块调用,真正实现建立安全上下文,报文保护级别协商以及对每条报文的保护。通过调用Kerberos GSSAPI模块,用户获得与代理服务器进行加密通信的会话密钥。票据列出模块用于列出保留在缓存中的主要实体名和当前所有活动票据的内容。票据销毁模块用于销毁所有的票据,以防止他人窃取票据,当用户断开与服务器的连接时,系统会调用该模块来销毁用户的票据。
(2)认证服务器。认证服务器模块主要包括KDC模块、GSSAPI接口模块Kerberos GSSAPI模块以及其他辅助模块。
KDC模块主要完成用户身份认证和票据分发等功能,包括AS请求处理子模块和TGS请求处理子模块。它与认证客户端的AS请求模块和TGS请求模块一起工作,来完成身份认证和票据分发功能;GSSAPI接口模块用于实现与代理服务器的接口,代理服务器调用GSSAPI接口模块来进行身份认证,而GSSAPI接口模块则调用Kerberos GSSAPI,用于真正实现建立安全上下文,报文保护级别协商以及对每条报文的保护。
(2)代理模块。代理模块在模型中主要实现客户端应用程序通过代理客户端、代理服务器访问应用服务器的功能,通过采用Socks5协议实现。
代理模块分别在客户端和应用服务器端加载一个代理软件。客户端代理接受客户端的所有请求,经处理后转发给服务器端代理。客户端代理首先与代理服务器建立一个TCP连接,通常SOCKS端口为1080,通过安全隧道,代理服务器认证并接受所有来自客户端软件的通信。若身份得以认证,则安全服务器将请求递交应用服务器,处理请求后并将结果返回安全服务器,安全服务器将此结果返回给客户端。
安全代理服务器在确认客户端连接请求有效后接管连接,代为向应用服务器发出连接请求,安全代理服务器应根据应用服务器的应答,决定如何响应客户端请求,代理服务进程应当连接两个连接,客户端与代理服务进程间的连接、代理服务进程与应用服务器端的连接。为确认连接的唯一性与时效性,代理进程应当维护代理连接表或相关数据库。安全代理服务器为所有网络通信提供了一个安全隧道,在建立通道的过程中,存在用户认证的过程。用户经过认证和原始协议请求,通过GSSAPI建立的安全隧道传送。
(3)加密模块。加密模块在系统中主要完成对数据的加解密处理,通过调用椭圆曲线加密算法具体实现。模型中采用ECIES加解密方案,具体实现过程采用bor Zoi算法库。bor Zoi是个免费的C++椭圆曲线加密库,含有完整的源代码,提供了定义在特征值为2的有限域上的算法,提供了加密模块。
三、系统安全性分析
系统提供了应用层的安全解决方案,可作为网络的授权访问控制中心,提供用户到应用服务器的访问控制服务。基于椭圆曲线加密法的网络身份认证,用户可以采用较短的密钥长度来实现较高的安全性,这样既有便于用户的记忆也提高了服务器的计算速度,从而将大大缩短登录时间。在椭圆曲线密码体制中,椭圆曲线Ep(a,b)中p、a、b的任何一个数字改变就产生新椭圆曲线方程,这样既可为用户提供丰富的选择性也可以为服务器节约更广阔的存储空间,同时确保网络信息的保密性、完整性和可用性。
本文通过分析椭圆曲线密码体制,建立了网络身份认证系统模型,该模型采用软硬件协同的方式,基于混合加密体制,使用速度快而安全性高的ECC算法进行加解密、签名与验证签名,对网络的信息建立起良好的保护的屏障,能够很好地抵抗重放攻击、猜测攻击、网络窃听攻击,整个网络身份认证方案简单有效。
参考文献
网络身份认证 篇11
H3C公司副总裁江梅坤先生介绍,之所以推出该认证项目,是因为H3C发现,近年来,随着以云计算、移动互联网、物联网等为代表的战略性新兴产业的新兴起,大量数据中心建设及改造项目的不断出现,对数据中中心网络建设的高级人才提出了旺盛的需求。传统的数据中心认证项目大多关注计算、存储、选址等设计,很少关注数据中心网络规划、设计、建设、运维,而传统的IP网络认证对数据中心的相关系统知识是一片空白,H3C作为网络界的主流领导厂商,推出这一认证既是满足数据中心网络对高级人才的需求,也是厂商的责任所在。该认证项目将对国内数据中心网络的建设者、维护者以及数据中心网络工程技术人员非常有帮助。
据悉,在H3CSE-Data Center认证培训课程中,学员将主要学习理解大中型数据中心的主要需求和常用技术,掌握如何运用这些技术设计和构建高速、可靠、安全的数据中心网络。考试则分为笔试与实际操作两部分,重点考察考生对数据中心网络知识结构的掌握,对各项技术、特性的深入理解和运用能力,以及考生在工程规范、设备操作、协议配置、功能部署等方面的实践技能。通过认证的网络技术人员能掌握包括机房基础设施建设、路由、交换、安全等部署数据中心网络所需的全方位的理论知识和操作技能,可以胜任大中型数据中心网络的架构设计、建设和管理工作。
H3C公司全球技术服务部副总裁李林先生介绍,与其他数据中心认证项目不同的是,这个认证是数据中心网络方面的认证,主要关注数据中心网络的建设;在网络技术之外,更强调工程师对数据中心需求的理解,以及围绕这些需求的实践应用能力的提升,因此除了有针对性的强化授课内容之外,H3C还提供了大量的实验设备和丰富的实验安排,在考试中也同样侧重于能力考查。
网络身份认证 篇12
关键词:身份认证,一键登录,安全风险,OpenID协议,OAuth协议
一键登录指采用同一个用户名、密码访问不同的网站, 实现网络上统一的身份认证。早在2011年, 腾讯QQ登录功能就向第三方网站开放。通过“QQ登录”, 用户可以使用已有的QQ账号、密码登录第三方网站, 不需要重新注册账号。由于QQ用户的数量庞大, 直接给第三方网站带来大量新用户。同时, 用户可以将第三方网站分享的信息同步到QQ空间, 传播不同网站的内容, 提升网站的访问量和用户数[1]。
一键登录为不同应用系统提供统一的登录界面, 用户不必记住繁杂的账号以及口令, 减少了用户登录失败的可能性;通过把认证功能和账号管理功能集成起来, 管理员可以很容易对所有系统的访问权限进行操作而不破坏一致性, 既降低了维护用户权限的复杂性, 也在某种程度上也提升了安全性。然而一键登录用到的协议和认证技术, 在身份认证的实现过程中还是存在一些安全风险。
1 一键登录的相关协议
一键登录主要用到两种开放应用协议:Open ID和OAuth, 其作用是为开放平台提供规范、简洁、安全的通信、授权和管理机制。Open ID侧重的是认证, 即:“用户是谁”;OAuth关注的是授权, 即:“用户能做什么”。一般联合起来使用, Open ID实现某个原有的账号登录新的应用系统, OAuth实现从旧账号系统中导入数据进入新应用系统, 或者授权新的应用访问旧系统的某些资料 (非用户名、密码等敏感信息) [2]。
例如:使用QQ号码登录人人网, 需要Open ID协议;将QQ空间更新同步到人人网、或者授权人人网能够访问QQ好友列表, 则用OAuth协议实现。
2 一键登录的安全风险
一键登录在应用中常见的攻击手段有如下几种[3]:
2.1 中间人攻击
中间人攻击顾名思义就是发生在通信对象之间的攻击, 即通信过程以及通信数据遭到第三方的监视、截取和控制。攻击者通过模仿身份提供者, 如使用DNS欺骗、ARP欺骗等, 篡改发现过程或者伪造XRDS文档进行中间人攻击。模仿身份提供者, 发布其Associations, 或自行决定在无状态的模式;篡改发现过程, 可以取代模仿, 指定任何身份提供者;伪造XRDS文档, 就会对发现过程的返回信息造成威胁。
2.2 重放攻击
重放攻击, 是指攻击者发送一个目的主机已经接收过的数据包来达到欺骗系统的目的, 破坏身份认证的正确性。攻击者在网络监听或者其他方式盗取认证凭据, 再把它重新发给服务器, 达到盗取账号的目的。
2.3 网络钓鱼
Open ID认证流程的关键环节依赖于用户所发送的URL标识, 而这又依赖于网络地址映射的域名解析系统, 而这种解析系统也存在安全隐患, 就是存在修改URL篡改攻击, 模仿真正的网站而伪造相似的地址, 即网络钓鱼。
2.4 网络窃听
攻击者可以从没被检查的随机序中截取一个成功的认证声明并重用, 即通过截获数据包窃取信息。在两个环节上信息可能被窃取:一是, 初始验证时浏览器将Open ID URL与密码发送给服务器途中可能被窃取;二是, Cookie内容可能被窃取。
3 针对重放攻击的改进
3.1 改进思路
重放攻击不能被防止, 但从理论上说可以降低其风险, 从主机的唯一性入手, 即利用MAC地址的唯一性来加强对重放攻击的防范。在数据通信时, IP地址负责表示计算机的网络层地址, 网络层设备 (如路由器) 根据IP地址来进行操作;MAC地址负责表示计算机的数据链路层地址, 数据链路层设备 (如交换机) 根据MAC地址来进行操作。IP和MAC地址这种映射关系由ARP (Address Resolution Protocol, 地址解析协议) 协议完成。而IP地址与MAC地址是成对出现的, 所有访问网络的主机都拥有IP地址, 而MAC地址是网卡在出厂的时候就已经设定好的, 这样的配置时IP地址与MAC地址形成一种对应关系, 它们一起能确定一个唯一的主机。
由于攻击者在网络监听或者其他方式盗取认证凭据, 再把它重新发给服务器, 所以盗取的账号所在的本机Mac地址和IP地址必然与用户本身的不同。从这个角度进行改进:在用户登录成功后, 服务器记录下账号登录所在的Mac地址和IP地址, 用户访问第三方应用时, 第三方应用若检测到用户的Mac地址和IP地址与登录时的不同, 则检测到账号受到重放攻击, 并可采取下一步的防范措施。
3.2 具体实验过程
本实验在实现一键登录的基础上, 当用户访问服务时, 设计了对Mac地址和IP地址的记录及检测[4]。设计共有三个角色:用户 (在这里指浏览器) 、身份提供者、服务提供者。其中, 【广外统一身份认证服务器】作为身份提供者, 服务提供者包括【百度】 (Baidu) 、【一起走】 (Yiqizou) 、【餐厅网】 (Canting) 。过程如下:
1) 用户希望访问【百度】这个服务, 但是【百度】检测到用户未登录, 故弹出提示框提示用户登录。
2) 【百度】上显示用户未登录, 并提供登录链接。
3) 进入【广外认证】登录界面。
4) 登录成功后, 检测并记录用户的Mac地址和IP地址, 用户可以访问【百度】。
5) 当用户继续访问百度, 校对访问【百度】的Mac与IP是否与登录时的一致, 如一致可以继续访问, 否则拒绝服务。 (校验Mac与IP)
6) 【百度】检测到用户登录后, 请求授权。
7) 授权成功后则可使用【百度】的各种服务。
8) 若继续访问【一起走】以及【餐厅网】, 则都检测到用户已登录, 无需再登录就可正常访问网站。 (实现一键登录)
4 总结
本文提出的改进是在身份验证过程添加一个步骤, 也就是检测再登录的用户, 其IP地址与MAC地址的值是否与前一次登录时的相符。如果检测的结果时相符的, 可以认为安全, 服务器正常赋予用户权限。如果检测的结果是不相同的, 则表示怀疑, 服务器拒绝赋予权限。这样, 改进后的一键登录流程从一定程度上降低了重放攻击的风险。
参考文献
[1]腾讯科技.腾讯开放QQ面板, 用户一键直达第三方应用[EB/OL].http://tech.qq.com/a/20130614/013691.htm, 2013-6-14.
[2]desert3.OAuth、OAuth与Open ID区别和联系[EB/OL].http://desert3.iteye.com/blog/1701626, 2012-10-19.
[3]刘为, 郝梅.利用Open ID和OAuth进行安全授权及风险防范的分析[J].武汉商业服务学院学报, 2011, 25 (5) :90-93.
【网络身份认证】推荐阅读:
网络安全与身份认证09-26
网络个人身份识别技术06-12
Windows 启用网络身份验证功能07-29
网络密码认证安全研究08-01
网络工程师认证07-14
数字身份认证05-29
身份认证协议06-30
USBkey身份认证07-19
身份认证方案论文09-09
计算机身份认证系统07-23