身份認證技術論文精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的身份認證技術論文主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：身份認證技術論文范文

【Abstract】With the rapid development of information technology， colleges expect the verification of candidate information can be more reliable， scientific and unified.. However，the lack of human resource， low information verification efficiency and instead of someone else in examination frequency， make the examination process is difficult to realize optimization. To overcome these drawbacks， the article takes the two-dimensional code as the information transmission interface， analyzes and designs the network architecture， logical structure and physical deployment of dimensional code authentication platform， provides a useful and practical reference for college to realize authentication informatization .

【P鍵詞】二維碼；高校；身份認證

【Keywords】two-dimensional code ； university； identity authentication

【中圖分類號】C39 【文獻標志碼】A 【文章編號】1673-1069（2017）04-0166-03

1 引言

高校作為人才的培養(yǎng)基地，一直以來都扮演著科教興國的重要角色，考試制度也順理成章的成為了檢閱人才的必備標桿。然而，社會上的不誠信現(xiàn)象屢見不鮮，加之社會信用體系不完善，客觀上助長了不誠信風氣。大學生作弊現(xiàn)象，代考現(xiàn)象日益加劇，使得考試成績的真實性每況愈下，經(jīng)調(diào)查，

60. 4%的大學生想過考試作弊，39. 1% 的大學生自述曾有過作弊經(jīng)歷。這種弄虛作假的行為嚴重威脅著國家政策的施行，也使得高校教育策略岌岌可危。為糾正各類教育考試中考生代考、作弊等行為，進一步加強考試環(huán)境的綜合治理，我們引入二維碼技術來進行考生身份認證。通過掃描二維碼將考生最新信息呈現(xiàn)給監(jiān)考教師，防止了考生準考證信息因磨損失真、不完全、容易被篡改等現(xiàn)象而引起代考行為的發(fā)生，保證了信息的統(tǒng)一化、可靠化、科學化管理，實現(xiàn)了考生信息的動態(tài)更新。系統(tǒng)采用各種最新技術來提高用戶體驗，保證信息的安全性，一定程度上實現(xiàn)了功能和體驗的雙贏[1]。

2 二維碼技術的發(fā)展

二維碼是20世紀90年代興起的一種新技術，它是以某種特定的幾何圖形按一定規(guī)律在平面上分布組成黑白相間的圖形來記錄數(shù)據(jù)符號信息的技術。和一維碼相比較，二維碼不但具有存儲容量大、信息密度大（在一個不大的圖形內(nèi)可存儲數(shù)字、英文、漢字、指紋、聲音和圖片等信息）、 采集速度快、制作成本低、糾錯能力強、安全性高等特點，還成功彌補了一維碼只能包含字母與數(shù)字的缺陷。它可以從水平軸X軸和縱軸Y軸即橫向和垂直兩個方向對信息進行存儲和處理，這樣既提高了條碼信息存儲量又加速了信息的處理速度等優(yōu)點，也正是這些優(yōu)勢使得它廣泛流行于各國各行業(yè)中。

我國對二維碼技術的研究開始于1993年，截至目前，條碼標準體系還尚顯單薄，具有自主知識產(chǎn)權和核心研發(fā)技術體系還很少，二維碼的推廣和發(fā)展受到了一定阻礙。但是隨著我國通信網(wǎng)絡的升級、智能手機的普及和民眾意識的轉變，二維碼的應用前景也漸漸明朗起來，在消化國外先進技術文化的基礎上，制定了一系列二維碼標準：如GB/T17172-1997《四一七條碼》，GB/T18284-2000《快速響應矩陣碼》，《二維碼網(wǎng)格矩陣碼（GM）》，《二維碼緊密矩陣碼（CM）》等，并已在我國的汽車行業(yè)自動化生產(chǎn)線、醫(yī)療急救服務卡、涉外專利案件收費、珠寶玉石飾品管理及銀行匯票上得到了應用。國內(nèi)多家IT企業(yè)如阿里巴巴、騰訊、百度、新浪等對二維碼的試水，以及中國電信、中國聯(lián)通、中國移動等電信巨頭在二維碼手機應用領域的介入都充分顯示了二維碼應用在我國強勁的發(fā)展勢頭，我國也在不斷投入資源，鼓勵摸索前進，積極研究和開辟新的應用和領域。

通過文獻梳理和調(diào)查國內(nèi)外關于二維碼技術的應用，我們發(fā)現(xiàn)高校對二維碼技術的應用仍處于啟蒙階段，同時，師生證件繁多、不易保管、信息不完整、易損壞、易仿制、丟失使得信息的傳遞存在極大的風險。鑒于二維碼的特點和應用，廣大師生已在日常生活中對其有了初步了解。開發(fā)基于二維碼技術的高校考生身份認證系統(tǒng)，生成包含高校師生身份認證名片，能夠在極大程度上推動高校信息化發(fā)展，確保信息的完整、真實、易用，做到誠信考試，有效規(guī)避代考作弊等行為[2]。

第2篇：身份認證技術論文范文

論文摘要：隨著移動存儲設備的廣泛應用，由其引發(fā)的信息泄漏等安全問題日益受到關注。針對目前移動存儲安全解決方案中利用用戶名和密碼進行身份認證的不足，本文提出了基于智能卡技術的安全管理方案。該方案將指紋特征作為判定移動存儲設備持有者身份的依據(jù)，同時通過智能卡技術實現(xiàn)了移動存儲設備與接入終端間的雙向認證，從源頭上杜絕了移動存儲設備帶來的安全隱患。

1引言

移動存儲設備因其體積小、容量大、使用靈活而應用廣泛，但其本身的“匿名性”給設備安全管理帶來了巨大挑戰(zhàn)，身份認證難、信息易泄露、常攜帶病毒等問題一直困擾著用戶和計算機系統(tǒng)安全人員。

在移動存儲的安全管理上應基于兩個層面：首先是移動存儲設備對用戶的身份認證，以確保移動存儲設備持有者身份的合法性；其次是移動存儲設備與接入終端間的雙向認證。目前，移動存儲的安全管理往往是基于用戶名和口令的身份認證方案，容易受到非法用戶“假冒身份”的攻擊，同時系統(tǒng)中所保存的口令表的安全性也難以保障，因此該方案存在較大的安全隱患。少數(shù)采用生物特征識別的安全方案也僅僅做到了第一個層面的身份認證，仍無法解決對移動存儲設備本身的身份認證以及移動存儲設備對接入終端的身份認證。然而，移動存儲設備和接入終端間雙向認證的必要性是顯而易見的，只有被終端信任的移動存儲設備才允許接入；同時，當終端也被移動存儲設備信任時，移動存儲設備和終端才能獲得彼此間相互讀寫的操作權限。只有實現(xiàn)上述的雙向認證，才能有效地在源頭杜絕移動存儲設備帶來的安全隱患。

本文描述了一種移動存儲安全管理方案，針對U盤和移動硬盤等移動存儲設備，基于智能卡技術，結合指紋識別模塊，解決了設備持有者的身份認證以及設備與接人終端間的雙向認證問題，并將設備持有者的指紋作為實名訪問信息記人審計系統(tǒng)，進一步完善了移動存儲的安全管理方案。

2基于指紋識別的用戶身份認證

指紋識別技術主要涉及指紋圖像采集、指紋圖像處理、特征提取、數(shù)據(jù)保存、特征值的比對和匹配等過程，典型的指紋識別系統(tǒng)如圖1所示。

指紋識別系統(tǒng)

指紋圖像預處理的目的是去除指紋圖像中的噪音，將其轉化為一幅清晰的點線圖，便于提取正確的指紋特征。預處理影響指紋識別的效果，具有重要的意義。它分四步進行，即灰度濾波、二值化、二值去噪和細化。圖像細化后，采用細節(jié)點模板提取出指紋圖像的脊線末梢和脊線分支點的位置，將指紋認證問題轉化成為點模式匹配問題。

如圖2所示，移動存儲設備采用兼容多種設備接口的控制芯片、安全控制閃存芯片、大容量用戶標準Flash構成硬件基礎，以智能卡控制芯片為控制中心，結合指紋識別模塊，實現(xiàn)對設備持有者的身份認證；同時，結合大容量普通閃存存儲結構，實現(xiàn)數(shù)據(jù)存儲低層管理和數(shù)據(jù)存儲加密。

3基于智能卡技術的雙向認證

為加強系統(tǒng)認證安全性與可信性，在移動存儲設備內(nèi)集成智能卡模塊，使之具備計笄能力，從而實現(xiàn)移動存儲設備與終端之問的雙向認證。移動存儲設備的身份文件存放于智能卡模塊中。身份文件是指存儲著移動存儲設備各項物理特征信息的私密文件，由于這些物理特征信息與個體緊密相聯(lián)，所以可以起到唯一鑒別該移動存儲設備的作用。

智能卡模塊提供對終端的認證，只有通過認證的終端才能訪問身份文件和移動存儲設備中的數(shù)據(jù)。將現(xiàn)有移動存儲設備硬件結構進行改造，在其中分別加人指紋處理模塊與智能卡模塊后的硬件結構如圖3所示。

智能卡模塊內(nèi)置CPU、存儲器、加解密算法協(xié)處理器、隨機數(shù)發(fā)生器等硬件單元，及芯片操作系統(tǒng)(COS)、芯片文件系統(tǒng)等多個功能模塊。其內(nèi)部具有安全數(shù)據(jù)存儲空間，用于存放移動存儲設備的身份文件。對該存儲空間的讀寫受身份認證機制保護，只有通過認證的用戶和終端才能對其進行訪問，并且操作必須通過定制的應用程序實現(xiàn)，用戶無法直接讀取。支持指紋認證的智能卡文件系統(tǒng)如圖4所示。

對終端的身份認證方式有多種，本方案采用沖擊一響應的認證方式_7]。需要驗證終端身份時，終端向智能卡模塊發(fā)送驗證請求，智能卡模塊接到此請求后產(chǎn)生一組隨機數(shù)發(fā)送給終端(稱為沖擊)。終端收到隨機數(shù)后，使用終端認證軟件內(nèi)置的密鑰對該隨機數(shù)進行一次三重DES加密運算，并將得到的結果作為認證依據(jù)傳給智能卡模塊(稱為響應)，與此同時，智能卡模塊也使用該隨機數(shù)與內(nèi)置的密鑰進行相同的密碼運算，若運算結果與終端傳回的響應結果相同，則通過認證。這種認證方式以對稱密碼為基礎，特點是實現(xiàn)簡單，運算速度快，安全性高，比較適合對移動存儲設備的認證。

在終端通過認證，取得移動存儲設備信任的前提下，終端通過智能卡模塊讀取移動存儲設備身份文件，對移動存儲設備進行準入認證。只有在雙向認證通過的情況下，移動存儲設備才能接入可信終端，進而在授權服務器分發(fā)的安全策略下與可信域終端進行正常的讀寫操作。

4移動存儲安全管理系統(tǒng)設計

在采用智能卡技術的基礎上，加入移動存儲安全管理系統(tǒng)，提供對移動存儲設備的接人控制，將認證體系擴展至計算機USB總線。

安全管理系統(tǒng)的認證體系示意圖如圖5所示。各終端首先需要加入某個信任域，在此之后可對移動存儲設備提供基于所在信任域的接入認證，如果終端沒有通過信任域認證，則不允許任何移動存儲設備接入。

授權認證服務器位于各信任域的公共區(qū)域中，為各信任域的終端提供移動存儲設備授權認證服務。它將設備授權給某個信任域后，該設備便成為該區(qū)域中的授權設備，可在該區(qū)域中任意一臺終端上使用；在其他區(qū)域使用時將被認為是未授權的，接入將被拒絕。隔離區(qū)中的終端與授權認證服務器不能通過網(wǎng)絡相連，從而保證了被隔離的終端不能夠使用移動存儲設備，防止安全隱患向外擴散。這種把安全域細分成不同信任域的整體設計可以最大限度地防止安全實體內(nèi)敏感數(shù)據(jù)的任意傳播，大大降低信息向外非法泄露的可能性。

終端移動設備認證軟件部署在網(wǎng)絡系統(tǒng)中的各臺終端上，實時監(jiān)測終端上所有USB接口，探測接人的移動存儲設備。發(fā)現(xiàn)設備后，認證軟件將與接入設備進行相互認證，并與認證服務器通信，對設備進行認證，通過認證的設備被認為是當前信任域的授權設備，否則將被認為是未授權的。根據(jù)認證結果，允許或禁止移動設備接入。

4．1授權流程描述

服務器端授權軟件運行時，探測出所有連接到授權服務器上的移動存儲設備，并將結果報告給管理員。管理員指定需要授權的設備，填寫好授權區(qū)域、授權日期、授權人、授權有效期并錄入用戶指紋信息后，授權軟件開始對該移動存儲設備進行授權。

(1)獲取該設備的各項物理信息，這些信息具有特征標識，可以唯一地標識該設備；

(2)將收集到的物理信息和管理員輸入的授權區(qū)域、授權日期、授權人、授權有效期等信息以一定格式排列，并注入隨機字符，采用三重DES運算，生成身份文件；

(3)設置移動存儲設備中指紋模塊的指紋信息；

(4)將智能卡模塊中的認證密鑰設成與終端事先約定好的密鑰；

(5)將(3)中生成的身份文件存入智能卡模塊中的安全數(shù)據(jù)存儲空間。

4．2認證流程描述

圖6是移動存儲設備管理系統(tǒng)完成認證的整個流程，其步驟如下：

(1)終端認證軟件判斷當前終端所處區(qū)域，如果處于信任域中，掃描各USB端口狀態(tài)，判斷是否有新設備接人；如果處于隔離區(qū)，則拒絕任何USB移動設備接入。

(2)如果探測到新設備接入，智能卡CPU調(diào)用指紋處理模塊，接收并驗證用戶指紋。

(3)如果指紋認證通過，則終端向USB存儲設備發(fā)送認證請求；否則禁用該USB存儲設備。

(4)如果沒有收到USB存儲設備的智能卡模塊發(fā)來的隨機數(shù)，證明該設備是不符合系統(tǒng)硬件設計要求的，拒絕接入；如果收到隨機數(shù)，則進行沖擊一響應認證。如果沒有通過認證，證明該終端為非信任終端，智能卡模塊拒絕該設備接人終端。

(5)終端讀取智能卡模塊存儲的身份文件，并讀取該設備的各項物理信息，將身份文件、物理信息及終端所處的信任域信息發(fā)送至認證服務器進行認證。

(6)服務器認證軟件接收到終端發(fā)送來的信息后，將標識文件解密，得到授權區(qū)域、授權日期、授權人、授權有效期等信息。

①將解密得到的物理信息與終端發(fā)來的物理信息作比對，如果不相符，證明該標識文件是被復制或偽造的，向終端發(fā)送未通過認證的指令。

②如果①中認證通過，將解密得到的信任域信息與終端發(fā)來的信任域信息作比對，如果不相符，證明該移動存儲設備處于非授權區(qū)域中，向終端發(fā)送未通過認證的指令。

③如果②中認證通過，將解密得到的授權有效期與當前日期做比較，如果當前日期處于有效期內(nèi)，向終端發(fā)送通過認證的指令；如果當前日期處于有效期外，向終端發(fā)送未通過認證的指令。

(7)終端接收認證服務器發(fā)來的指令，對USB設備執(zhí)行允許或禁止接入的操作。如果USB設備被允許接入，則智能卡模塊將設備持有者指紋提交給認證服務器，作為已授權訪問記錄記入日志中。

(8)轉至(2)繼續(xù)探測新設備。

5安全性分析

本方案通過在移動存儲設備中加入指紋識別模塊和智能卡模塊，更安全可靠地解決了設備持有者身份認證問題以及移動存儲設備的“匿名性”問題，通過引入身份文件，實現(xiàn)了移動存儲設備的實名制認證。結合智能卡的相關技術，本方案從根本上解決了移動存儲設備與接入終端問的雙向認證問題，構建了雙方互信的安全傳輸環(huán)境。

基于信任域的劃分對設備進行授權管理，使整個系統(tǒng)能夠同時對終端和移動存儲設備提供接人控制，有效地阻止了安全威脅的傳播。在方案的具體實現(xiàn)上，有如下安全性考慮：

(1)移動存儲設備采用指紋識別的方式認證設備持有者身份，確保其身份的合法性；采用三重DES對稱加密的方式對終端進行認證，確保終端為運行認證軟件的合法授權終端，有效地避免了強力破解的可能性。

(2)移動存儲設備的物理信息各不相同，身份文件也是唯一確定的。身份文件采用三重DES加密的方式，加解密過程全部在服務器端認證軟件中完成，密鑰不出服務器，避免了密碼被截獲的可能性。身份文件存儲于智能卡模塊中的安全數(shù)據(jù)存儲區(qū)，受智能卡模塊軟硬件的雙重保護。方案保證了身份文件的唯一性、抗復制性和抗偽造性，任何非授權設備都無法通過破譯、復制、偽造等人侵手段冒名成為授權設備。

(3)認證服務器與隔離區(qū)中的終端相互隔離，只能被信任域中的終端訪問，保證了認證服務器的安全。

(4)雙向認證通過后，被授權的移動存儲設備將設備持有者的指紋記入授權服務器的訪問日志中，以便日后能夠準確地確定安全事故責任人。

綜上所述，通過指紋識別技術、智能卡技術、密碼學技術、芯片技術和嵌入式系統(tǒng)設計技術實現(xiàn)了安全可信的移動存儲。

第3篇：身份認證技術論文范文

[關鍵詞]網(wǎng)絡考試系統(tǒng)：防舞弊；綜合機制

[中圖分類號]G40-057　[文獻標識碼]A　[論文編號]1009-8097(2012)05-0102-06引言

考試是高校學生學業(yè)成績考核的主要手段，是對教師教學質(zhì)量和學生學習效果的一種檢驗方式，在提高教學質(zhì)量，提升人才培養(yǎng)水平等方面發(fā)揮重要作用。傳統(tǒng)考試多以紙筆考試為主，普遍存在教師閱卷工作量大、考試組織效率低、試卷無法長期保存等問題。為解決這些問題，網(wǎng)絡考試系統(tǒng)應運而生。網(wǎng)絡考試系統(tǒng)是一種運用計算機網(wǎng)絡技術支持某個學科進行實時考試的計算機系統(tǒng)，能夠對考試全過程實施管理與控制，并通過自動組卷、自動改卷減輕教師的工作量，極大提高考試的組織效率。網(wǎng)絡考試憑借其高效、靈活、適應性強等優(yōu)點，己逐漸成為傳統(tǒng)考試的有效補充。但是，隨著網(wǎng)絡考試的實施，針對網(wǎng)絡考試系統(tǒng)的舞弊行為屢禁不止，這不僅影響考試結果的真實性，也使考試的公平性受到質(zhì)疑，嚴重地敗壞網(wǎng)絡考試的聲譽。因此，要使網(wǎng)絡考試得到普遍認可，必須有效地解決網(wǎng)絡考試系統(tǒng)的防舞弊問題，保障考試公平。一　網(wǎng)絡考試防舞弊的基本思路和主要環(huán)節(jié)

1　防舞弊的基本思路

考試舞弊行為是指考生采取不正當手段，非法獲取高于自己實際水平分數(shù)的種種違紀活動。發(fā)生考試舞弊究其原因有三：一是作弊考生應考動機不純，對優(yōu)秀考試成績極度渴望而采取不正當手段，另外，別人作弊我不作弊很吃虧的心理擴大了舞弊考生的數(shù)量；二是監(jiān)考失職，考場紀律不嚴；三是考場規(guī)章制度和技術保障機制有疏漏，讓舞弊者有機可乘。由此可見，為了有效防止考試舞弊行為，一方面要加強考試誠信教育，讓考生知道舞弊的危害，從主觀上杜絕舞弊行為；另一方面應該嚴肅考試紀律，建立完善的考場規(guī)章制度和防舞弊技術機制，使個別舞弊企圖不得施展。

近年來，國內(nèi)學者在網(wǎng)絡考試防舞弊技術領域取得一些成果。胡世清等采用Silverlight技術，通過改變試卷呈現(xiàn)方式與答題方式實現(xiàn)防舞弊。李益騏討論了身份認證與防范入侵措施、ASP腳本安全隱患的解決方案和試題庫加密算法。李美滿使用數(shù)據(jù)加密、數(shù)字簽名技術解決題庫收發(fā)雙方相互認證和防止泄密問題。徐巧枝等介紹了基于監(jiān)控和數(shù)字隱藏的防舞弊技術。付細楚等提出一種基于數(shù)據(jù)加密、數(shù)字簽名技術的考試成績多級安全保護模式。曾華軍等使用特殊的考試網(wǎng)關實現(xiàn)半封閉考試環(huán)境的安全機制。這些研究成果從不同視角和側重點研究考試防舞弊技術機制，為網(wǎng)絡考試系統(tǒng)的研制提供了寶貴經(jīng)驗。然而，網(wǎng)絡考試中間環(huán)節(jié)很多，運作流程復雜，單一技術手段難以防范各種舞弊行為。只有建立綜合防舞弊技術機制，運用多種技術手段對考試各環(huán)節(jié)進行全局的、系統(tǒng)的監(jiān)控與管理，才能收到良好的防范效果。

從哲學的角度看，時間、地點、人物和事件構成人類活動的四個要素。與之相對應，網(wǎng)絡考試的實施過程也具有四個要素，即時間、位置、人員和行為：時間指人員使用計算機訪問網(wǎng)絡考試系統(tǒng)的時間；位置指人員使用的計算機的位置，可以用IP地址描述；人員指網(wǎng)絡考試涉及的人，包括考務員、監(jiān)考員、教師和考生；行為指人員對網(wǎng)絡考試系統(tǒng)實施的動作集合。對于具體的一次網(wǎng)絡考試來說，其實施過程各要素都有明確的取值范圍，其防舞弊的實質(zhì)內(nèi)容就是將實施過程各要素限制在允許的范圍之內(nèi)。針對實施過程各要素設計綜合防舞弊技術機制，有助于人們跳出被動式、亡羊補牢式的慣性思維，準確把握網(wǎng)絡考試防舞弊的基本方向。

2　防舞弊的主要環(huán)節(jié)

正式、嚴肅的網(wǎng)絡考試包括考前管理、考時管理和考后管理三個主要環(huán)節(jié)，各環(huán)節(jié)的工作內(nèi)容和防舞弊任務均不相同：①考前管理環(huán)節(jié)，其工作內(nèi)容包括生成考場名單、安排監(jiān)考教師和自動組卷等，其防舞弊任務是確保試題機密，考前試題外泄是對考試的最大干擾，必須采取措施堵住漏洞，使任何人都不可能獲悉試題；②考時管理環(huán)節(jié)，其工作內(nèi)容包括考生在線考試和教師實時監(jiān)考等，其防舞弊任務是防止考生的現(xiàn)場舞弊行為，例如攜帶電子資料入考場、請人代考、偷窺答案、傳遞試題答案、考試過后泄露試題等；③考后管理環(huán)節(jié)，其工作內(nèi)容包括保存原始答卷、自動評分、成績查詢等，其防舞弊任務是防止原始答卷和考試成績被篡改。二　綜合防舞弊網(wǎng)絡考試系統(tǒng)的設計

網(wǎng)絡考試系統(tǒng)采用B/S和C/S混合的分布式系統(tǒng)結構(見圖1)，其中試題服務器用于存放題庫、考生試題、考生答卷、考試成績等信息。在考試前、后階段，考務員、教師和考生通過Web瀏覽器使用網(wǎng)絡考試系統(tǒng)。網(wǎng)絡考試以開設考場的形式，在全封閉的局域網(wǎng)環(huán)境中進行。每個考場配備1臺教師機(教師監(jiān)考專用計算機)用于運行監(jiān)考軟件，配備多臺考生機(考生考試專用計算機)用于運行考生端軟件。教師機從試題服務器下載試題后，考場與外部網(wǎng)絡的連接被斷開?？荚嚱Y束后，考場與外部網(wǎng)絡被重新連接，由教師機向試題服務器上傳考生答卷?？荚嚻陂g，考生機只能與教師機進行數(shù)據(jù)通信，考生無法從外部網(wǎng)絡得到任何信息。

2　網(wǎng)絡考試系統(tǒng)的綜合防舞弊技術機制

網(wǎng)絡考試系統(tǒng)的防舞弊問題本質(zhì)上是一個網(wǎng)絡系統(tǒng)信息安全問題，許多防舞弊任務可以對應到ISO定義的安全服務。網(wǎng)絡系統(tǒng)信息安全標準IS07498-2定義了五類安全服務(見表1)，也稱為安全防護措施。

網(wǎng)絡考試系統(tǒng)并不需要提供所有的ISO安全服務，例如對大多數(shù)網(wǎng)絡考試而言，“抗抵賴服務”不是必需的。但網(wǎng)絡考試中還存在一些ISO安全服務不能涵蓋的特殊安全問題，例如防止現(xiàn)場舞弊行為、試題服務器上的試題保密等。

網(wǎng)絡考試系統(tǒng)的綜合防舞弊技術機制擴展了ISO安全服務模型，具體包括7項防舞弊措施(見表2)。

第4篇：身份認證技術論文范文

關鍵詞： UnionID； 微信； OAuth； 服務門戶

中圖分類號：TP391 文獻標志碼：A 文章編號：1006-8228（2015）11-19-03

Abstract： Universities to provide the digital campus services based on Wechat public numbers， the intention is to provide convenient and individualized service for students， but is the result of various departments have created their own public numbers， a large number of and unrelated each other， let students at a loss. Through the UnionID mechanism， combined with OAuth authorization， interoperability between multiple public numbers can be achieved， that is： "once registration， unlimited roaming； once development， multiple applying"， and a Wechat platform based "service portal" can be created to facilitate students to obtain the latest digital services， which provides a new way for the development of Wechat platform in universities.

Key words： UnionID； Wechat； OAuth； service portal

0 引言

隨著近年來我國信息化建設快速的從PC互聯(lián)網(wǎng)服務向移動互聯(lián)網(wǎng)演進，對高校信息化服務的方式與方法提出了更高的要求。

因此，高校在進行數(shù)字化校園改建或擴建之時，紛紛提出了建設集約化“服務廣場”、“服務中心”[5]的理念，同時制定了向移動互聯(lián)網(wǎng)遷移的建設目標，提出利用移動終端作為移動數(shù)字應用服務的載體，在廣大師生群體中推廣。

隨著微信作為最大的移動IM平臺的迅速崛起，以及微信公眾號的推出和功能的不斷完善，利用微信公眾號向廣大師生提供服務，迅速成為高校移動應用服務的熱點，實踐證明也大受學生歡迎。但隨著高校眾多公眾號的紛紛申請上線，隨之帶來的問題就是各項服務被分割至各個公眾號內(nèi)，學生為了使用相關服務不得不去一一添加眾多公眾號，并且逐一進行身份認證，這嚴重違背了原本以方便服務師生為目的開發(fā)初衷，也與學校建設“服務門戶”的理念相背離。

1 目前存在的問題

以微信公眾平臺為代表的lightAPP[4]類型的高校移動數(shù)字應用的快速崛起，反映出其模式貼合了廣大師生對方便快捷的移動互聯(lián)網(wǎng)應用服務的需求[1]。但是經(jīng)過一段時間的開發(fā)推廣，我們發(fā)現(xiàn)傳統(tǒng)的微信應用模式有幾大弊端。

隨著微信公眾號申請認證部門的不斷增加，學校里的公眾號數(shù)目也在同步劇增。以我校為例，僅進行過騰訊官方認證的公眾號就有22個之多，尚不包括數(shù)目眾多的由各二級學院、學生社團所申請認證的微信號。傳統(tǒng)的開發(fā)模式是基于各自申請的公眾號基礎上開發(fā)相關功能，造成各項服務被割裂在各自封閉的公眾帳號內(nèi)，學生必須關注相關帳號方才能使用相關服務，造成相當不便。

由于大部份高校存在著多種身份認證體系，有傳統(tǒng)的一卡通帳號認證、學號密碼認證、業(yè)務系統(tǒng)密碼認證，也有近幾年興起的SSO認證、手機號+短信密碼認證等，各個公眾號帳號的認證方式也隨之多樣化，造成了學生每關注一個公眾帳號均必須認證一次，非常繁瑣。

2 利用UnionID機制解決問題

建立起一套“一次關注、單點綁定、全網(wǎng)漫游”的用戶認證及組件共享機制，實現(xiàn)學校師生關注并綁定任意一個公眾號，通過“微服務”平臺鏈接即可SSO免登錄進入并獲取其他所有關聯(lián)公眾號的信息服務，對于解決困擾目前高校微信開發(fā)所面臨的窘境顯得尤為必要。

2.1 基于微信UnionID的學校微平臺技術架構

以我校為例，為了徹底解決微信公眾平臺開發(fā)的無序、混亂的情況，以學校數(shù)字化校園數(shù)據(jù)中心及統(tǒng)一身份認證為核心，結合微信的UnionID機制，構建起面向全校微信公眾號的微信服務平臺。

其整體技術架構如圖1所示。

通過獲取用戶基本信息接口，開發(fā)者可通過OpenID來獲取用戶基本信息，如果開發(fā)者擁有多個公眾號，可通過UnionID機制在多公眾號之間進行用戶帳號互通。只要是同一個微信開放平臺帳號下的公眾號，用戶的UnionID是惟一的。換句話說，同一用戶，對同一個微信開放平臺帳號下的不同應用，UnionID是相同的。

而傳統(tǒng)微信開發(fā)中的OpenID機制，每個微信用戶對應每個公眾號只有惟一的OpenID，所以不同微信公眾號之間是無法共享用戶的基本信息，而UnionID機制，則完美的解決了這個問題。

2.2 UnionID開發(fā)過程及實現(xiàn)

進行基于微信UnionID機制開發(fā)必須經(jīng)過以下兩步。

第一步，注冊微信開放平臺http：///，并在管理界面綁定相關公眾帳號。

第二步，調(diào)用微信高級接口中的“獲取用戶基本信息”接口[2]，獲得相關信息。

以我校“杭州科技職業(yè)技術學院圖書館”、“杭州科技職業(yè)技術學院”兩個微信號為例，對同一用戶的信息進行獲取對比。接口調(diào)用返回值如下：

經(jīng)過仔細比對，對同一用戶在不同公眾帳號下的openid是不一樣的，而unionid卻是一致的，這為打通全校公眾帳號，實現(xiàn)帳號漫游打下了基礎。

2.3 結合OAuth授權機制[3]，實現(xiàn)基于微信的服務門戶

通過 UnionID打通多個多眾號之間帳戶信息，當用戶在提供“服務門戶”的公眾號中，點擊非關注公眾號提供的功能組件頁面，如果第三方公眾號已經(jīng)認證并開通了網(wǎng)頁授權認證接口，即OAuth機制，在登錄未關注公眾號的功能組件頁時，會出現(xiàn)相關的應用授權界面。其在微信上的顯示界面如圖2所示。

若用戶同意授權，則第三方公眾號即可在取得網(wǎng)頁access_token的同時，也同步獲取到了用戶的unionid。通過unionid，用微信提供的官方接口，就可獲得用戶的基本信息，完成使用第三方功能組件前的用戶身份認證及基本信息獲取。

通過UnionID機制和OAuth授權機制，結合學校數(shù)據(jù)中心及統(tǒng)一身份認證建設，即可實現(xiàn)集成其他各公眾帳號功能組件的微信服務集成門戶。其最終展現(xiàn)結果如圖3所示。

3 結束語

本文介紹了微信UnionID機制的原理及開發(fā)流程，通過實例介紹并對比了傳統(tǒng)微信公眾號開發(fā)所使用的OpenID機制與UnionID機制的區(qū)別及不同。以我校微信服務集成門戶建設為例，介紹了通過UnionID機制并集成OAuth授權機制，來完成基于微信的服務集成門戶的建設。關于UnionID機制的應用，本文僅研究了在微信公眾號開發(fā)方面的應用。未來將進一步研究如何將UnionID機制與高校數(shù)字化校園數(shù)據(jù)中心建設及校園門戶建設相整合，進一步擴展其應用的領域和范圍。更多功能及優(yōu)化將在今后作進一步研究。

參考文獻（References）：

[1] 白浩，郝晶晶.微信公眾平臺在高校教育領域中的應用研究[J].

中國教育信息化，2013.4：78

[2] 謝遠超.微信公眾號信息服務平臺的設計與實現(xiàn)[D].中山大

學碩士學位論文，2014.

[3] 易偉.微信公眾平臺服務號開發(fā)：揭秘九大高級接口[J].機械

工業(yè)出版社，2014.

[4] 盧勝男.基于微信公眾平臺的微型移動課程的設計與研究[D].

上海師范大學碩士學位論文，2014.

第5篇：身份認證技術論文范文

關鍵詞： WPKI技術；PKI技術；移動支付平臺；移動電子商務；無線網(wǎng)絡安全

引言

隨著手機、PDA（個人數(shù)字助理）及掌上電腦等無線終端的廣泛普及，移動電子商務已經(jīng)成為一種重要的電子商務模式。而隨著移動業(yè)務的不斷發(fā)展和廣泛普及，移動支付安全問題無疑成為制約其進一步發(fā)展的瓶頸。國內(nèi)目前的解決支付安全問題方案多種多樣，但大體可以分為： 定向支付、預付費支付、微支付、EMV支付、錢包支付、端到端安全支付等等形式。這些支付模式的共同特點是直接面向具體的業(yè)務，適應能力不強，不適合統(tǒng)一的支付模式[1]。

目前國際上很多國家都在研究WPKI技術，WPKI領域的主流體系主要有如下幾種：1、WAP Forum制定的WAP PKI；2、日本NTT的I—Mode安全體系；3、美國PALM公司的安全體系[2]。這些組織的WPKI體系均有自己完整的協(xié)議體系，并且已經(jīng)在無線數(shù)據(jù)業(yè)務中得到了實際的應用。國內(nèi)的一些廠商也在著手WPKI的研究和開發(fā)，但在技術實現(xiàn)和應用方面仍面臨著許多問題。

本論文提出使用ECC橢圓加密曲線算法和CA認證為基礎的WPKI移動支付平臺來保證支付的安全性，經(jīng)論證可以確保移動支付的安全。通過對WPKI系統(tǒng)模型的構建和改進，我們從理論上分析得出WPKI技術可以很好地解決移動支付中存在的安全性問題、并可以有力的保證移動電子商務的支付安全。

1.PKI和WPKI

1.1 PKI

PKI是利用公鑰技術實現(xiàn)電子商務安全的一種體系，是一種基礎設施，網(wǎng)絡通訊、網(wǎng)上交易是利用它來保證安全的。PKI由公開密鑰密碼技術、數(shù)字證書、證書發(fā)放機構和關于公開密鑰的安全策略等基本成分共同組成。從某種意義上講，PKI包含了安全認證系統(tǒng)，即CA/RA系統(tǒng)是PKI不可缺少的組成部分。

1.2 WPKI

WPKI即“無線公開密鑰體系”，它是將互聯(lián)網(wǎng)電子商務中PKI安全機制引入到無線網(wǎng)絡環(huán)境中的一套遵循既定標準的密鑰及證書管理平臺體系，用它來管理在移動網(wǎng)絡環(huán)境中使用的公開密鑰和數(shù)字證書，有效建立安全和值得信賴的無線網(wǎng)絡環(huán)境，其基本上是在無線環(huán)境上的PKI應用的擴展。

1.3 兩者關鍵技術的對比

2.WPKI系統(tǒng)認證過程

2.1 WPKI認證過程概述

我們提出的WPKI技術采用的是ECC橢圓曲線加密算法作為其加密技術、采用的證書是壓縮的x.509標準證書，認證過程涉及移動終端用戶、WPKI證書、認證中心以及移動數(shù)據(jù)提供商。

無線終端通過注冊機構向證書中心申請數(shù)字證書，證書中心經(jīng)過審核用戶身份后簽發(fā)數(shù)字證書給用戶，用戶將證書、私鑰存放在UIM卡中，無線終端在無線網(wǎng)絡上進行電子商務操作時利用數(shù)字證書保證端對端的安全。服務提供商則通過驗證用戶證書確定用戶身份，并提供給用戶相應的服務，從而實現(xiàn)電子商務在無線網(wǎng)絡上的安全運行。

2.2 WPKI系統(tǒng)認證詳細過程

2.2.1 ECC橢圓曲線加密算法

橢圓曲線密碼體制是由Neal Koblitz和Victor Miller在1985年分別獨立提出的，由于其所基于的數(shù)學問題的困難性被公認是目前已知的公鑰密碼體制當中每位提供加密強度最高的一種體制。數(shù)學解答越難的橢圓曲線離散對數(shù)問題（ECDLP）意味著越小的密鑰尺寸能產(chǎn)生等價的安全性。

橢圓曲線公鑰系統(tǒng)是代替RSA的強有力的競爭者。橢圓曲線加密方法與RSA方法相比，有以下的優(yōu)點：

（1）安全性能更高，如160位ECC與1024位RSA、DSA有相同的安全強度。

（2）計算量小，處理速度快。在私鑰的處理速度上，ECC遠比RSA、DSA快得多。

（3）存儲空間占用小，ECC的密鑰尺寸和系統(tǒng)參數(shù)與RSA、DSA相比要小得多，所以占用的存儲空間小得多。

（4）帶寬要求低使得ECC具有廣泛的應用前景。

2.2.2 x.509證書標準

X.509是被廣泛使用的數(shù)字證書標準，是由國際電聯(lián)電信委員會為單點登錄和授權管理基礎設施制定的PKI標準[3]。X.509定義了（但不僅限于）公鑰證書、證書吊銷清單、屬性證書和證書路徑驗證算法等證書標準。X.509系統(tǒng)中，CA簽發(fā)的證書依照X.500的管理，綁定了一個唯一甄別名，可以包含多個字段和值，還可以支持別名。

2.2.3 WPKI系統(tǒng)構成要素

類似于PKI系統(tǒng)的建設，一個完整的WPKI系統(tǒng)的構建也將圍繞著以下五大系統(tǒng)進行。

證書簽發(fā)機關（CA）：CA即數(shù)字證書的申請及簽發(fā)機關，CA必須具備權威性的特征。

數(shù)字證書庫：用于存儲已簽發(fā)的數(shù)字證書及公鑰，用戶可由此獲得所需的其他用戶的證書及公鑰。

密鑰備份及恢復系統(tǒng)：為避免用戶丟失解密數(shù)據(jù)的密鑰，WPKI提供備份與恢復密鑰的機制。但密鑰的備份與恢復必須由可信的機構來完成。

證書作廢系統(tǒng)：證書作廢處理系統(tǒng)是WPKI的一個必備的組件。與日常生活中的各種身份證件一樣，證書有效期以內(nèi)也可能需要作廢，如是密鑰介質(zhì)丟失或用戶身份變更等。

應用接口：一個完整的WPKI必須提供良好的應用接口系統(tǒng)，使各種各樣的應用能夠以安全、一致、可信的方式與WPKI交互，確保安全網(wǎng)絡環(huán)境的完整性和易用性。

2.2.4 移動終端一次安全交易過程

移動終端用戶通過移動終端瀏覽網(wǎng)上信息，對于滿意的商品或者服務進行購買。在購買支付的過程中，會涉及用戶信息的交互，我們提出的WPKI系統(tǒng)主要是保證信息交互過程中的安性。通過ECC橢圓曲線加密算法傳遞交互信息、第三方認證中心提供信息認證，從而防止信息盜用和信息欺詐等的發(fā)生。如下圖，描述的就是WPKI認證的全過程：

當移動終端用戶在網(wǎng)上瀏覽到服務供應商提供的服務或商品并決定購買支付時，移動終端用戶會向證書中心申請數(shù)字證書，證書認證中心也會簽發(fā)數(shù)字證書給移動終端同時它也會驗證證書、確認用戶，并將確認結果發(fā)給服務提供商，通過用戶終端UIM卡提供的證書中的私鑰信息與證書確認作對比，服務提供商可以確認用戶的真實身份。如果確認真實，則為用戶提供服務，即用戶完成了一次支付過程；如果確認用戶信息為假或者無法確認用戶信息，則不為用戶提供任何服務。同時，在信息交互傳遞的過程中，WPKI系統(tǒng)采用了ECC橢圓加密算法來對傳輸過程進行加密，從而保證傳輸過程中信息不被非法用戶竊取或者監(jiān)聽利用。

3.WPKI系統(tǒng)分析

3.1 WPKI技術特性

3.1.1 大大縮短移動終端加密時間

WPKI采用優(yōu)化的ECC橢圓曲線加密和壓縮的X.509數(shù)字證書。ECC使用較短的密鑰就可以達到和RSA算法相同的加密強度。但由于智能卡受CPU處理能力和RAM大小的限制，因而采用一種運算量小同時能提供高加密強度的公鑰密碼體制對在智能卡上實現(xiàn)數(shù)字簽名應用是至關重要的。ECC在這方面有很大優(yōu)勢，ECC可以簡化移動終端對支付過程中的加密處理過程，縮短加密時間。

3.1.2 技術的實現(xiàn)過程嚴密遵循既定標準

用WPKI來管理在移動網(wǎng)絡環(huán)境中使用的公開密鑰和數(shù)字證書，能有效地建立一個安全和值得信賴的無線網(wǎng)絡環(huán)境。WPKI是在無線環(huán)境下為各種應用提供安全環(huán)境的，基于PKI標準的認證系統(tǒng)，在不同的無線平臺上可能有不同的構建形式。RA系統(tǒng)是與移動接口打交道的系統(tǒng)接口，負責接受終端用戶提出的證書請求并提供登陸和信息填報接口。在用戶填寫完畢后還負責將信息匯總傳遞給RA管理員。管理員在審核信息真實性的同時必須與HLR/VLR中的用戶身份識別信息相結合以決定是否受理該請求，如果接受則生成證書申請請求并傳遞給CA系統(tǒng)，否則返回錯誤信息給用戶。

3.1.3 采用WTLS證書和移動證書標識

在WPKI機制下，數(shù)字證書非常重要。目前主要的數(shù)字證書解決方案有以下兩種：

（1）采用WTLS證書。WTLS證書的功能與X.509證書相同，但更小更簡化，以利于在資源受限的手持終端中處理。但所有證書必須含有與密鑰交換算法相一致的密鑰。除非特別指定，簽名算法必須與證書中密鑰的算法相同。

（2）采用移動證書標識。將一個標準的X.509證書與移動證書標識一一對應，并且在移動終端中嵌入移動證書標識，用戶每次只需要將自己的移動證書標識與簽名數(shù)據(jù)一起提交給對方，對方再根據(jù)移動證書標識檢索相應的數(shù)字證書即可。

3.1.4 采用三種身份認證方式

WPKI需要進行通信雙方的身份認證，其提供了以下三種認證方式：

（1）第一種認證方式是WPKI中最簡單的一種，在這種認證中，移動客戶和服務器的證書都是可選的，因此在WAP設備和WAP網(wǎng)關之間是不需要認證的。這種工作方式可以保證通信過程中消息的機密性和完整性。

（2）第二種認證方式提供了移動設備對網(wǎng)關進行認證的功能，在這種模式下，對網(wǎng)關服務器的認證是強制性的，而對移動設備是不認證的，所以只是WAP設備對WAP網(wǎng)關的單向認證。

（3）第三種認證方式與Sign Text方式類似，WAP設備和WAP網(wǎng)關雙方都對對方的身份進行認證，不同之處是客戶端在WTLS對自身的認證時加入“挑戰(zhàn)”簽名字符串。

3.2 WPKI安全技術特性及其分析

3.2.1 數(shù)字證書的交換

在WPKI機制下，數(shù)字證書非常重要，但是由于無線信道和移動終端得限制，如何安全、便捷地交換用戶的數(shù)字證書，是WPKI所必須解決的問題。WPKI技術對此的解決方案是：當網(wǎng)關或者服務器擁有了證書一段時間后，那么出了證書以外還應該包括一對在證書時間內(nèi)有效的密鑰，但是不同于簡單地發(fā)放一個一定期限的證書。而是可以發(fā)放一個新的短時間的證書，或者說可能是在一年的每一天發(fā)放一個24小時證書，那么服務器或者網(wǎng)關就使用那個短時間的證書來與客戶建立會話。

3.2.2 身份認證的實現(xiàn)

WPKI提供了三種身份認證方式。在無線支付領域，身份認證極其重要。身份認證可以保證信息的正確性、防止信息泄露和丟失、增加移動支付的安全。以WAP設備和WAP網(wǎng)關雙方是否需要認證分為三種認證方式，有效地確保了一種支付的安全。

4.結語

通過以上對WPKI系統(tǒng)模型的構建和改進，我們從理論上分析得出WPKI技術可以很好地解決移動支付中存在的安全性問題、并可以有力的保證移動電子商務的支付安全。通過對比WPKI和PKI技術特性和對WPKI技術深入的分析，模擬了移動終端一次安全交易的全過程，分析了WPKI技術在此交易過程中如何保證交易安全性。由此提出了WPKI有助于解決移動支付領域存在的安全性問題，同時此問題的解決必將帶來移動支付領域的進一步發(fā)展。本論文研究的意義在于深入剖析WPKI技術特性以及如何保證移動支付安全性，為日后研究保證移動電子商務相關支付系統(tǒng)的安全性打下基礎。

[參考文獻]

[1]陳曉勤.移動支付改變生活：電信運營商的移動支付探索與實踐【M】.北京：人民郵電出版社，2008年11月.

[2]張巍，李濤，劉曉潔，等.認證中心CA的功能及其實現(xiàn)技術【J】.計算機工程與設計，2003（9）：1134-1137.

[3]馮登國.公開密鑰基礎設施【M】.北京：人民郵電出版社，2001年1月.

[4]呂福春.WPKI技術模型研究探討【J】.福建工程學院.2008年第12期.

[5]徐曉寧 吳宇紅.WPKI關鍵技術的設計與實現(xiàn)【J】.西安電子科技大學.2005年1月.

[6]肖德琴.電子商務安全保密技術與應用【M】.廣州：華南理工大學出版社，2003.

[7]Carlisle Adams，Steve Lloyd.馮國登譯.公開密鑰基礎設施-概念、標準和實施【M】，北京：人民郵電出版社.2001.

[8]謝冬青 冷健.PKI原理與技術【M】.北京：清華大學出版社，2004.

第6篇：身份認證技術論文范文

論文摘要：介紹了數(shù)字圖書館門戶的概念，敘述了華中師范大學數(shù)字圖書館門戶的設計與構建過程，并提出了下一步的建設規(guī)劃。

1數(shù)字圖書館門戶概述

1．1數(shù)字圖書館門戶的概念

關于什么是數(shù)字圖書館門戶已經(jīng)有了很多種解釋，總的說來，數(shù)字圖書館門戶就是信息資源與服務體系的集成系統(tǒng)，它使得用戶可以通過一個界面友好的接口去無縫地訪問圖書館所有的信息資源和服務。數(shù)字圖書館門戶包括數(shù)字圖書館門戶網(wǎng)站和門戶構建平臺，圖書館工作人員通過數(shù)字圖書館門戶構建平臺?？梢苑奖?、快捷地構建個性化的門戶服務網(wǎng)站系統(tǒng)，以全方位、個性化的方式向用戶提供綜合信息服務。門戶的關鍵特性包括：集成能力、個性化能力和定制能力。

1．2數(shù)字圖書館門戶的系統(tǒng)結構

數(shù)字圖書館門戶的系統(tǒng)結構由表示層、應用層、協(xié)議層、數(shù)據(jù)層組成。

(1)表示層。用戶看到的門戶的直接界面，一般是基于Web的界面，如數(shù)字圖書館門戶網(wǎng)站。

(2)應用層。由一些不同類型的應用軟件組成，通常包括用戶身份認證系統(tǒng)、基于門戶的搜索引擎、資源及權限管理、個性化定制、虛擬咨詢等。應用層提供數(shù)字圖書館門戶的所有服務，如統(tǒng)一資源檢索、虛擬參考咨詢、電子期刊導航、重點學科導航等。

(3)協(xié)議層。負責應用層與客戶端及應用層與服務器之間的標準通信，如Z39．50，HTYP，OAI，OpenURL，ILP(1nterlibraryLoanProtoco1)等。

(4)數(shù)據(jù)層。包含門戶內(nèi)部可以容納的所有信息資源及外部資源的導航和鏈接，如電子期刊、電子圖書、數(shù)據(jù)庫、全文資料、圖像、音頻、視頻、遠程信息資源等。

l-3國內(nèi)外數(shù)字圖書館門戶的發(fā)展

國外數(shù)字圖書館建設起步早、起點高、發(fā)展快，早已形成規(guī)模，并產(chǎn)生了巨大的社會效益和經(jīng)濟效益。國際上對數(shù)字圖書館門戶的研究從20世紀90年代末開始，包括美國研究圖書館協(xié)會學術門戶項目(ARLScholarPortaI)、美國國家科學數(shù)字圖書館(NSDL)門戶項目、美國國會圖書館門戶項目以及康奈爾大學、波士頓大學圖書館門戶項目等。我國數(shù)字圖書館建設起步晚、起點不高．但發(fā)展較快，門戶技術在數(shù)字圖書館建設中的應用日益廣泛。如廈門大學的知識資源港、北京航空航天大學利用TRS建立的門戶、清華大學圖書館以MetLib+SFX+EMS為基礎的數(shù)字圖書館整體解決方案，北京師范大學圖書館以MetLib和SFX為人口構建的數(shù)字圖書館等。

2華中師范大學數(shù)字圖書館門戶建設需求分析

華中師范大學圖書館網(wǎng)站幾經(jīng)改版，每次都有新的面貌，但還是存在一些不足，主要表現(xiàn)在以下幾個方面：一是沒有統(tǒng)一的身份認證，無法對用戶訪問資源進行權限管理；二是沒有數(shù)據(jù)庫支持，無法實現(xiàn)站內(nèi)全文檢索；三是欄目設置不夠合理、簡潔；四是缺少資源導航及統(tǒng)一檢索，國內(nèi)外電子資源數(shù)量較多，但各種資源只是零散地存在著，每種資源都有自己的檢索界面和檢索方式，在電子資源組織管理方面還沒有規(guī)范化和標準化。

鑒于以上這些不足之處，我們需要建立數(shù)字圖書館門戶，實現(xiàn)基本的Web服務功能，嵌入全文搜索引擎，采用統(tǒng)一身份認證系統(tǒng)，以讀者閱覽證作為用戶身份標志(匯文系統(tǒng)中有完整的用戶信息)，處理好數(shù)字圖書館門戶網(wǎng)站與重點學科導航、電子期刊導航、統(tǒng)一檢索等系統(tǒng)的關系，真正實現(xiàn)“一站式”服務。

3華中師范大學數(shù)字圖書館門戶建設的實施

3．1網(wǎng)絡環(huán)境

良好的網(wǎng)絡環(huán)境是構建數(shù)字圖書館的第一要素，它能保障信息的暢通與數(shù)據(jù)的安全。華中師范大學圖書館擁有較先進的網(wǎng)絡系統(tǒng)和服務器系統(tǒng)，有效地保障了數(shù)字圖書館的信息環(huán)境需求。

華中師范大學數(shù)字圖書館門戶建設是數(shù)字圖書館一期工程的一部分，數(shù)字圖書館一期工程網(wǎng)絡平臺建設根據(jù)數(shù)字校園“網(wǎng)絡中心負責運營，圖書館負責資源組織”的布局思路，所需服務器、存儲設備和交換機全部部署在學校的網(wǎng)絡中心，包括8臺PC服務器和和l臺光纖存儲服務器。光纖存儲服務器上有6TB空間供數(shù)字圖書館使用。

3．2軟件平臺

通過項目招標，我們選用了TRS平臺及產(chǎn)品來構建華中師范大學數(shù)字圖書館，具體模塊包括TRSserver(TRSCluster)．TRSAdmin，TRSIDS，TRS Dprocessor，TRS W CM，TRS CDS，TRS Gateway，TRS W AS，TRSInforadar，TRsVRD，cAus統(tǒng)一檢索系統(tǒng)、cAus數(shù)字版權保護和CALIS教學參考系統(tǒng)。TRS數(shù)字圖書館軟件服務平臺從功能角度劃分為四大部分，包括數(shù)據(jù)加工、存儲、管理與檢索互動服務。

3-3數(shù)字圖書館門戶網(wǎng)站的頁面設計

數(shù)字圖書館門戶網(wǎng)站與其他類型的門戶網(wǎng)站，如商業(yè)門戶網(wǎng)站、新聞門戶網(wǎng)站等有很大的不同，其建設要突出數(shù)字圖書館的特點，即信息服務和數(shù)字資源建設。在頁面設計上要體現(xiàn)出高校圖書館博學、高雅的氣氛；在內(nèi)容結構上必須簡潔明了．導航清晰，便于瀏覽。華中師范大學數(shù)字圖書館門戶網(wǎng)站將身份認證與注冊、統(tǒng)一檢索、電子資源導航、學科導航、站內(nèi)搜索、咨詢臺、教學參考置于首頁的主體部分。門戶首頁布局見圖I。

3．4數(shù)字圖書館門戶的功能

華巾師范大學圖書館現(xiàn)有網(wǎng)站基本上是一個靜態(tài)的網(wǎng)站，沒有數(shù)據(jù)庫支持，我們構建了一個完整的數(shù)字圖書館門戶，提供以下的服務功能。

(1)應用集成。在門戶中集成統(tǒng)一檢索、電子期刊導航、重點學科導航、虛擬參考咨詢等多種服務系統(tǒng)。圖書館門戶還進一步與數(shù)字校園門戶集成，實現(xiàn)了與數(shù)字校園門戶統(tǒng)一身份登錄的集成，通過數(shù)字校園門戶系統(tǒng)登錄的用戶可直接訪問數(shù)字圖書館系統(tǒng)資源，數(shù)字校園與數(shù)字圖書館之間通過數(shù)字校園數(shù)據(jù)交換系統(tǒng)實現(xiàn)用戶信息的同步訪問。門戶還通過與圖書館匯文系統(tǒng)進行集成．實現(xiàn)了數(shù)字圖書館用戶直接訪問匯文系統(tǒng)中我的圖書館、圖書借閱等功能。

(2)資源導航。數(shù)字圖書館門戶尤其注重資源整合與導航的能力，注重提供完善和精選的信息資源，用戶能通過門戶強大的導航功能方便快捷地獲取需要的信息。華中師范大學圖書館的電子期刊導航系統(tǒng)對館藏中外文數(shù)據(jù)庫中的電子期刊進行管理，建立導航庫，實現(xiàn)了電子期刊的檢索、瀏覽和直接訪問。重點學科導航系統(tǒng)包括科學社會主義、中國近現(xiàn)代史、漢語言文字學。此外，我們還建立了特色數(shù)據(jù)庫(中國農(nóng)村問題研究文獻數(shù)據(jù)庫)和華中師范大學博碩士學位論文庫。

(3)全文檢索。數(shù)字圖書館門戶可以實現(xiàn)網(wǎng)站的全文檢索，用戶輸入檢索詞后，檢索結果返回網(wǎng)站數(shù)據(jù)庫中包含檢索詞的任意字段的信息。

(4)個性化服務。數(shù)字圖書館門戶提供用戶注冊的功能，為注冊用戶提供個性化服務。用戶通過身份認證登錄門戶后，可進入個性化頁面修改個人信息、添加日志、查詢匯文系統(tǒng)中的個人信息、定制人圖書館，如定制數(shù)據(jù)庫列表、電子期刊列表、網(wǎng)絡資源等。

(5)統(tǒng)一身份認證。采用TRSIDS統(tǒng)一身份管理系統(tǒng)，集成TRSWCM，TRSCDS，TRSDpaper，匯文系統(tǒng)，CALLS統(tǒng)一檢索系統(tǒng)等，實現(xiàn)數(shù)字圖書館的一站式身份管理。在門戶和門戶巾的各類資源及應用巾．實現(xiàn)統(tǒng)一認證和單點登錄。若用戶沒有經(jīng)過統(tǒng)一認證，則用戶在訪問其他專用系統(tǒng)時(如OPAC、參考咨詢、統(tǒng)一檢索等)都需要分別登錄。而用戶在門戶通過統(tǒng)一認證登錄后，不僅能直接看到自己在各個應用中的個性化信息，還能直接進入這些系統(tǒng)，無需再次登錄。采用用戶認證的方式可以限制非法用戶對授權資源的訪問．從而有效地保護相關資源擁有者的合法權益，也便于更好地為不同的用戶提供不同級別的內(nèi)容和服務。

(6)網(wǎng)站管理。采用TRSWCM內(nèi)容管理協(xié)作平臺，為門戶網(wǎng)站提供整體解決方案，構成一個完整的數(shù)據(jù)信息采集、加工、的系統(tǒng)應用平臺，實現(xiàn)網(wǎng)站信息的分布式采集、分級編輯、審核和。工作人員能通過基于瀏覽器工作界面的TRSWCM內(nèi)容管理平臺的采編模塊，直接進行稿件的、查詢、處理等管理工作。TRSWCM內(nèi)容管理平臺的模塊則實時地將采編模塊處理過的信息按照模版規(guī)則生成網(wǎng)站的頁面文件系統(tǒng)，然后上傳到Web服務器上，實現(xiàn)網(wǎng)站信息的更新。

(7)虛擬參考咨詢。采用TRS虛擬參考咨詢系統(tǒng)，實現(xiàn)虛擬參考咨詢服務。用戶可以通過各種方式(檢索知識庫，Email，Web表單，在線實時交流等)進行咨詢，系統(tǒng)可以對咨詢活動進行統(tǒng)一管理、存檔，最終納入一個可供檢索的知識庫。用戶可以在客戶端實現(xiàn)咨詢問題的提交、實時咨詢、信息的瀏覽檢索和個人信息的管理等。咨詢員和超級管理員可以通過管理端進行咨詢處理、資料管理和系統(tǒng)設置。此系統(tǒng)底層采用TRS數(shù)據(jù)庫，提供FAQ及FAQ的全文檢索。

(8)統(tǒng)一檢索。采用CALLS統(tǒng)一檢索系統(tǒng)提供中外文數(shù)據(jù)庫一站式檢索服務。該系統(tǒng)針對異構數(shù)字資源，能夠通過多種方式整合盡可能多的電子資源數(shù)據(jù)庫，可以把用戶一次提交的檢索請求同時發(fā)往選定的多個資源庫，為用戶提供一種更好的整合檢索服務，從而提高資源的利用率和用戶的檢索效率。

第7篇：身份認證技術論文范文

關鍵詞:無線網(wǎng)絡;網(wǎng)絡安全

中圖分類號：TN711 文獻標識碼：A 文章編號：

前言

伴隨著因特網(wǎng)蓬勃發(fā)展的步伐，另一種聯(lián)網(wǎng)的方式已經(jīng)悄悄茁壯成長，這就是無線網(wǎng)絡。無線通信一直是人們夢寐以求的技術。借助無線網(wǎng)絡技術，我們終于可以擺脫那些煩人的電纜和網(wǎng)線，無論何時何地，都可以輕松地接入互聯(lián)網(wǎng)。但是由于標準、可靠性、安全性等原因，無線網(wǎng)絡至今不能象有線網(wǎng)絡那樣普及。特別是安全性和有線網(wǎng)絡還存在很大距離。為了適應無線網(wǎng)絡發(fā)展的需要，各種安全技術也應運而生。其中許多技術都是借鑒了成熟的有線網(wǎng)絡安全技術，并針對無線環(huán)境進行了優(yōu)化。

一、無線網(wǎng)絡安全發(fā)展概況

無線網(wǎng)絡802.11 公布之后，迅速成為事實標準。遺憾的是，從它的誕生開始，其安全協(xié)議WEP 就受到人們的質(zhì)疑。美國加州大學伯克利分校的Borisov，Goldberg 和Wagner 最早指出了WEP 協(xié)議中存在的設計失誤，接下來信息安全研究人員發(fā)表了大量論文詳細討論了WEP 協(xié)議中的安全缺陷，并與工程技術人員協(xié)作，在實驗中破譯了經(jīng)WEP 協(xié)議加密的無線傳輸數(shù)據(jù)?，F(xiàn)在，能夠截獲無線傳輸數(shù)據(jù)的硬件設備己經(jīng)能夠在市場上買到，能夠對所截獲數(shù)據(jù)進行解密的黑客軟件也已經(jīng)能夠在因特網(wǎng)上下載。WEP 不安全已經(jīng)成一個廣為人知的事情，人們期待WEP 在安全性方面有質(zhì)的變化，新的增強的無線網(wǎng)絡安全標準應運而生。我國從2001 年開始著手制定無線網(wǎng)絡安全標準，經(jīng)過西安電子科技大學、西安郵電學院、西電捷通無線網(wǎng)絡通信有限公司等院校和企業(yè)的聯(lián)合攻關，歷時兩年多制定了無線認證和保密基礎設施WAPI，并成為國家標準，于2003 年12 月執(zhí)行。WAPI 使用公鑰技術，在可信第三方存在的條件下，由其驗證移動終端和接入點是否持有合法的證書，以期完成雙向認證、接入控制、會話密鑰生成等目標，達到安全通信的目的。WAPI 在基本結構上由移動終端、接入點和認證服務單元三部分組成，類似于802.11 工作組制定的安全草案中的基本認證結構。同時我國的密碼算法一般是不公開的，WAPI 標準雖然是公開的，然而對其安全性的討論在學術界和工程界目前還沒有展開。增強的安全草案也是歷經(jīng)兩年多時間定下了基本的安全框架。其間每個月至少召開一次會議，會議的文檔可以從互聯(lián)網(wǎng)上下載，從中可以看到一些有趣的現(xiàn)象，例如AES-OCB 算法，開始工作組決定使用該算法作為無線網(wǎng)絡未來的安全算法，一年后提議另外一種算法CCMP作為候選，AES-OSB 作為缺省，半年后又提議CCMP 作為缺省，AES-OCB 作為候選，又過了幾個月，干脆把AES-OCB 算法完全刪除，只使用CCMP 算法作為缺省的未來無線網(wǎng)絡的算法。

二、無線網(wǎng)絡中的不安全因素

無線網(wǎng)絡除了具有有線網(wǎng)絡所存在的不安全因素外, 還存在許多其他不安全因素。

1、信息篡改

信息篡改是指攻擊者將竊聽到的信息進行修改( 如刪除或替代部分或全部信息) 之后再將信息傳給原本的接受者, 其目的有兩種: 惡意破壞合法用戶的通信內(nèi)容, 阻止合法用戶建立通信鏈接; 將修改的消息傳給接收者, 企圖欺騙接受者相信修改后的消息。信息篡改攻擊對物理網(wǎng)絡中的信令傳輸構成很大的威脅。

2、服務后抵賴

服務后抵賴是指交易雙方中的一方在交易完成后否認其參與了此次交易。這種威脅在電子商務中常見。

3、無線竊聽

在無線網(wǎng)絡中所有的通信內(nèi)容都是通過無線信道傳送的, 任何具有適當無線設備的人均可通過竊聽無線信道而獲得所需信息。對于無線局域網(wǎng)其通信內(nèi)容更容易被竊聽, 因為它們都工作在全球統(tǒng)一公開的工業(yè)、科學和醫(yī)療頻帶, 雖然無線局域網(wǎng)通信設備的發(fā)射功率不是很高, 通信距離有限, 但實驗證明通過高增益天線在其規(guī)定的通信距離外仍可有效的竊聽。

4、假冒攻擊

某個實體家裝成另外一個實體訪問無線網(wǎng)絡, 即所謂的假冒攻擊。這是侵入某個安全防線的最為通用的方法。在無線網(wǎng)絡中, 移動站與網(wǎng)絡控制中心及其他移動站之間不存在任何固定的哦物理鏈接, 移動站必須通過無線信道傳輸其身份信息, 身份信息在無線信道中傳輸時可能被竊聽, 當攻擊者截獲一合法用戶的身份信息時, 可利用該用戶的身份侵入網(wǎng)絡, 這就是所謂的身份假冒攻擊。在所謂不同的無線網(wǎng)絡中, 身份假冒攻擊的目標不同, 在移動通信網(wǎng)絡中, 其工作頻帶是收費的, 移動用戶必須付費才能通話, 攻擊者假冒合法用戶主要是逃避付費。而無線局域網(wǎng)中, 工作頻帶是免費的, 網(wǎng)絡資源和信息是不公開的、收費的, 只有合法用戶才能訪問這些信息攻擊者假冒合法用戶主要是非法訪問網(wǎng)絡資源。

5、重傳攻擊

重傳攻擊是指攻擊者將竊聽到的有效信息經(jīng)過一段時間后, 在傳給信息的接受者。其目的是利用曾經(jīng)有效的信息在改變了的情形下達到同樣的目的。值得一提的是無線移動設備還存在失竊的威脅, 移動設備的功能不斷增強, 它不僅是一個通信工具, 還存儲著一些用戶信息, 防止移動設備中秘密信息的失竊也是很重要的。

三、無線網(wǎng)絡中的安全機制

無線網(wǎng)絡中的安全業(yè)務都需要相應的安全機制來保證, 用加密技術實現(xiàn)保密性業(yè)務, 通過訪問控制實現(xiàn)身份認證業(yè)務, 用消息認證機制實現(xiàn)完整性業(yè)務, 用數(shù)字簽名技術實現(xiàn)不可否認性業(yè)務。

1、加密機制

保密性業(yè)務是通過加密技術實現(xiàn)的, 加密是一種最基本的安全機制, 加密過程如圖1 所示:

當加密密鑰不等于解密密鑰, 即系統(tǒng)中每個用戶擁有兩個密鑰( 公開密鑰和秘密密鑰) , 則稱其為非對稱密碼系統(tǒng)或公鑰密碼系統(tǒng)。任何人都可用一個用戶的公開密鑰將信息加密后傳給該用戶, 只有該用戶才能用其秘密密鑰解密, 其他人因不知道秘密密鑰而不能解密。公鑰密碼算法復雜, 因而不適合資源受限的無線通信設備, 但由于其不需要通信雙方共享任何秘密, 在密鑰管理方面有很大的優(yōu)越性。

2、消息認證機制

完整檢測技術用于提供消息認證, 防止消息被篡改。典型的完整性檢測技術是消息認證碼, 其工作原理如圖2所示。

3、身份認證機制

身份認證技術提供通信雙方的身份認證, 以防身份假冒。它通過檢測證明方擁有什么或知道什么來確認證明方的身份是否合法。密碼學中的身份認證主要基于驗證明方是否知道某個秘密( 如證明方與驗證方之間共享的秘密密鑰, 或證明方自己的私有密鑰) , 基于共享秘密的身份認證方案建立在運算簡單的單密鑰密碼算法和雜湊函數(shù)基礎上, 適合無線通信網(wǎng)絡中的身份認證。

4、不可否認機制

數(shù)字簽名用于提供不可否認性的安全機制, 防止抵賴。數(shù)字簽名有以下優(yōu)點: 采用電子形式, 容易在網(wǎng)絡中傳輸; 只有知道秘密密鑰的人才能生成簽名, 因而很難偽造;可以對整個消急進行簽名, 簽名后消息不可更改。數(shù)字簽名大多基于公鑰密碼技術, 在公鑰密碼系統(tǒng)中, 用戶的公開密鑰向所有人公開, 秘密密鑰只有自己知道, 用戶用自己的秘密密鑰對消急或消息的雜湊值簽名,然后將消息及簽名一起傳給驗證方, 驗證方利用簽名者的公開密鑰就可以鑒別簽名的真?zhèn)?。因只有簽名者知道自己的秘密密鑰, 只有他才能形成數(shù)字簽名, 故簽名者一旦對某個消息簽名就無法抵賴。

結束語

可以預見，隨著無線網(wǎng)絡安全事件的不斷出現(xiàn)，能否為用戶提供優(yōu)質(zhì)的安全服務， 將成為無線網(wǎng)絡運營商在商業(yè)競爭中能否取勝的關鍵。基于安全服務的整體安全解決方案，將成為未來

網(wǎng)絡信息安全的主流發(fā)展方向。

參考文獻

第8篇：身份認證技術論文范文

[關鍵詞]環(huán)境建設；資源建設；身份認證；單點登錄

[中圖分類號]G40-057　[文獻標識碼]A　[論文編號]1009―8097(2011)09―0067―03

近年來隨著高等教育規(guī)模的不斷擴大，各高校在教育技術上的投入也在不斷加大。這些教育投入有兩個方向：一是在教學的信息化硬件環(huán)境方面；二是在建設網(wǎng)絡教學平臺及平臺中運行的軟件資源方面。但目前在高校的教育技術部門中，這兩個方面的投入不管在資金上，還是在人員安排上，都是兩個獨立運作的部分。在其建設內(nèi)容上相互之間基本不存在交集，在具體工作中也很少合作與配合。相反，二者在教育技術投入的分配方面還會存在一定的競爭。隨著教育技術信息化建設的不斷深入，這種矛盾會日漸突出，成為了制約教育技術全面建設的一個關鍵性瓶頸?！叭绾瓮黄七@個瓶頸，使教育技術中的環(huán)境建設與資源建設能夠相互促進、協(xié)調(diào)發(fā)展”這是擺在所有高校教育技術工作者面前的一個時代課題，需要采用一種創(chuàng)新式的發(fā)展思路來思考這種關系。

一　教學環(huán)境建設遇到了滯后教學需求的困境

目前在高校的教育技術環(huán)境建設中，普遍存在著只注重硬件環(huán)境方面建設而忽略資源環(huán)境建設的問題。校方主要關心的是建設了多少間多媒體課室；裝了多少臺投影機；是否實現(xiàn)了無線網(wǎng)絡通信等面上的問題。但這表面上的建設工作成果并不能代表環(huán)境建設質(zhì)量的全部內(nèi)涵，其實我們應該更多地以“教學的需求是不是得到了滿足”作為建設成果的標準。要看這種環(huán)境上的改變是否解決了師生在教學過程中所遇到的障礙，是否更有利于信息化教學的開展。換句話來說，就是教學需求是環(huán)境建設的根本出發(fā)點。應該說我們已經(jīng)走過了教學信息化的最初階段(教學內(nèi)容數(shù)字化的階段)，一些基本的多媒體設備設施(如投影機、計算機、展臺、DVD機等)已經(jīng)成熟和完善。新一代的學科教師也都具備了較高的信息素養(yǎng)，他們會對所使用的教學條件在教育技術應用方面提出更高的要求。

1　教學需要的是易用好用的教學環(huán)境，功能性并不是唯一的需求

教師們希望這些多媒體設備可以方便使用，用起來得心應手，多媒體課室環(huán)境建設中的中央控制系統(tǒng)就是很好的例子。一個優(yōu)秀的中控系統(tǒng)除了性能良好和質(zhì)量過關外，更多應該體現(xiàn)出其產(chǎn)品設計上的人性化。教師是設備的直接使用者，所以中控的面板設計不能太過繁雜。教師在上課過程中，可通過桌面控制面板對投影機、電動幕、計算機、功放、DVD機、錄音卡座、展臺等進行控制切換。通過簡單的操作就可以方便直觀地實現(xiàn)多媒體教學，把教師從疲于應付眾多電教設備的狀態(tài)中解放出來，把精力集中到課程教學過程中去。這既是教師所期望的，也應該是教學環(huán)境建設者的初衷。

2　教學環(huán)境應該與教學資源緊密地連接在一起

教師需要把備課準備的教學內(nèi)容無縫地連接到課堂教學，中間不能存在太多的信息中轉和傳播上的阻隔。例如在實際教學中，常常會出現(xiàn)教師因為u盤在多媒體教學中讀不出來而影響了當天課程的情況。如果在多媒體教室中計算機上為教師提供網(wǎng)絡u盤的功能，也許會減少這種情況的發(fā)生。網(wǎng)絡u盤可以通過基于B／S架構的資源管理平臺捆綁在講臺計算機的登錄界面上，教師登錄后電腦的桌面上會馬上顯示出屬于自己的教學資源。這些資源是教師利用自己的帳號通過IE瀏覽器在家里和辦公室上傳到學校的資源服務器中來的。授課時，同樣通過該賬號登錄操作系統(tǒng)實現(xiàn)的單點登錄，直接訪問到自己帳號下的資源。這種訪問是直接推到教師面前的，避免了使用u盤攜帶課件所帶來頻繁的拷貝、刪除、病毒、故障等麻煩。這種網(wǎng)絡u盤的功能，形式上只是一種功能比較單一的網(wǎng)絡小應用，但通過它與教學硬件環(huán)境實現(xiàn)的功能捆綁卻能為教師解決了教學信息“最后一米”的傳輸難題，為其掃清了教學資源應用中的障礙。

二　把資源建設直接推送到教學應用環(huán)境中去

從資源建設的角度思考，也同樣地離不開環(huán)境建設的配合與支持。目前的網(wǎng)絡教學資源開發(fā)建設已經(jīng)結束了從空白起步的初級階段，國內(nèi)外已經(jīng)開發(fā)出了一定的數(shù)量的具有相當技術水平的可以滿足教學需求的教學平臺和各學科的教學資源?，F(xiàn)在資源建設的重點應該轉變成教學資源應用的問題。把已經(jīng)建設好教學資源應用到教學第一線去，在應用中進一步完善系統(tǒng)的教學功能，是目前階段的資源建設的重點。下面從兩個應用的實例來看這種綜合性建設的優(yōu)勢。

教育技術資源建設中所開發(fā)的資源錄制平臺，可以實現(xiàn)對多個教室的遠程集中錄制的設置和控制功能，對任意教室的視頻及計算機的VGA畫面進行預覽，手動控制云臺，手動錄制或者自動錄制，實現(xiàn)跨教學樓、跨校區(qū)的分區(qū)域、分級錄制管理。其導播功能允許通過遠程來操作完成控制，在任何情況下都可以不在現(xiàn)場操作，也不需增加任何硬件輔助來實現(xiàn)就可以實現(xiàn)多個錄制課室的混合編輯。而不需要集中在一起，大大提高了采編播的靈活性和綜合效率。這樣的錄制平臺就是資源開發(fā)與環(huán)境硬件綜合建設的成果。直接利用多媒體課室中的攝像設備，只要在建設環(huán)境的安防監(jiān)控子系統(tǒng)的設計中預留出這方面應用和相關的音視頻接口，只需要添加部分較專業(yè)的攝錄像設備(攝像機、云臺、通信線路等)，就可以為教學資源的積累提供最佳的音頻制作環(huán)境，還原出比專業(yè)的演播室更真實的教學效果，同時也節(jié)省了在轉播室中專門組織錄制的成本。這種效果是在教學環(huán)境與資源建設相互配合的條件下實現(xiàn)的，可見兩個系統(tǒng)的建設是一個綜合性工程。

前面提到的網(wǎng)絡u盤的應用就是推送教學應用到環(huán)境中去的一個很好的例子。把網(wǎng)絡教學平臺推送到教學環(huán)境的第一線會產(chǎn)生意想不到的教學效果，從環(huán)境建設與資源應用兩個方面同時推動信息化建設的發(fā)展。具體的做法是對網(wǎng)絡教學平臺采用單點登錄，把網(wǎng)絡教學平臺與多媒體課室的中央控制單元整合到該單點登錄的界面中來，當教師打開多媒體課室設備的同時，其教學計算機上就會自動把完成登錄的網(wǎng)絡教學平臺的Web界面并在客戶端軟件中顯示出來。備課用的多媒體課件、錄制的精品課程、網(wǎng)絡上收集的各種與課程相關的資源……都會分門別類地“推送”到任課教師的面前，極大地方便教師的使用。為網(wǎng)絡資源教學應用跨過“最后一米”的距離。只有方便了教師的使用，讓他們在實際的教學中充分體驗了教學平臺的功能，讓他們真正體會到通過教學系統(tǒng)可以實現(xiàn)與學生之間暢通的網(wǎng)絡溝通，才可能讓他們自發(fā)地投入到這場教學改革的實際應用中來，并且在無意識間

帶動了他們身邊的教師和學生，通過這些教學系統(tǒng)參與到教學資源的建設中來，進一步豐富網(wǎng)絡上的教學資源。從基礎上推動了教學環(huán)境建設，提升了環(huán)境與資源兩者整合度，這種教學活動的轉變就可以良性地循環(huán)起來，即互為發(fā)展的動力又互為展示的舞臺。

三　引進創(chuàng)新思維，應用新技術促進環(huán)境與資源建設協(xié)調(diào)發(fā)展

教學環(huán)境的建設與教學資源的建設在系統(tǒng)化綜合性的指導思想下進行可以發(fā)揮出更高的建設效率，同時產(chǎn)生更佳的建設效果。分析其中的幾個主要的環(huán)節(jié)可以找出有兩個技術從中扮演了關鍵性的角色。一個是環(huán)境建設中用到的身份認證技術，另一個是資源建設中的單點登錄技術(SSO)。

1　身份認證技術

目前比較成熟的身份認證技術主要有密碼認證、PIN碼認證、智能卡、生物識別、CHAP認證、雙因素認證等多種認證體系。不同安全級別的認證方法有很大區(qū)別，安全性是認證方式的最重要的考慮因素，但并不是全部。根據(jù)不同的應用場景，還需要綜合關注其兼容性、方便性，以及使用成本等因素。正如在高校的教學環(huán)境中的身份認證的安全性就不是唯一重要考慮要素。因為過高的安全性一定會犧牲系統(tǒng)使用的方便性和提高系統(tǒng)的復雜度，這樣一方面會讓教師在使用教學系統(tǒng)時因為繁瑣的身份認證程序，影響到其使用這套系統(tǒng)的用戶體驗，從而降低了他進一步使用后臺支撐的資源平臺的熱情，所以系統(tǒng)身份認證的便利性是方案制訂的一個重要原則。而且這種趨勢隨著IT產(chǎn)品普及導致的設備成本降低而越趨明顯。在安防方面的設計要求降低了，同時教學系統(tǒng)的開放度也比以前有了很大的提高，在教學環(huán)境中如果有太多太復雜的身份認證會使系統(tǒng)的使用效果大打折扣。簡單的密碼認證雖然安全級別不高，但因為不用隨身攜帶卡片和鑰匙，可以減少教師上課前打不開系統(tǒng)的事故發(fā)生機率。但這種方法也存在忘記密碼和過于簡單容易被他人盜用的弊端。智能卡方式安全度較高，但容易丟失和忘記攜帶，從而存在較大的引發(fā)教學事故的風險。相比老一代的接觸式IC卡，射頻技術的智能卡更方便，系統(tǒng)可靠性更強，是目前智能卡應用的主流，但成本相對較高。生物識別技術盡管其安全度較高，不用記密碼和攜帶卡片，但由于過于復雜的結構和個人生物信息的隱私性，也很難在教學系統(tǒng)推廣應用。考慮到教學系統(tǒng)追求便易性的特點，像手機信息、藍牙連接、WIFI、汽車中的無匙進入技術、語音識別等都可以成為主流的身份認證技術，在未來的教學環(huán)境中得到應用。

2　使用統(tǒng)一的教學環(huán)境與教學資源SSO

從前面提到的幾個實例中我們看到了另一種技術的應用前景，那就是單點登錄技術(SSO)。單點登錄基本定義是：用戶只需登錄一次，即可通過單點登錄系統(tǒng)訪問后臺的多個應用系統(tǒng)，無需重新登錄后臺的各個應用系統(tǒng)。如圖1所示，SS0架構的系統(tǒng)可以實現(xiàn)B／S和C／S中的不同登錄方式達到同樣的登錄效果，只要做過一次的身份認證就可以穿行于系統(tǒng)中的各個功能模塊中，無需重復登錄卻可以保證登錄的有效性和安全性，為日后系統(tǒng)的擴展預留了接口。這種類型的SSO目前在市場在已經(jīng)有很多成熟的應用，主要是實現(xiàn)門戶網(wǎng)站、電子郵件、論壇和各種網(wǎng)絡應用之間的單點登錄。這與這里提到的SSO有所不同，教學環(huán)境系統(tǒng)中SSO的入口是放在打開和登錄多媒體教學系統(tǒng)，也就是以多媒體中控平臺的硬件作為SSO的入口，而不是普通環(huán)境中只是針對軟件子系統(tǒng)的SSO，大多數(shù)情況下所使用的主登錄環(huán)境是一個純粹的硬件系統(tǒng)平臺，目前使用這種軟硬件混合SSO方式的計設還比較少見。具體的身份驗證方式就是上文所提到的密碼認證、智能卡認證、生物認證等多種方式，不管是哪一種方式，通過了SSO服務器認證后的用戶就可以了自由地訪問校園網(wǎng)上的教學平臺和其中的教學資源了。

第9篇：身份認證技術論文范文

論文摘 要:對于圖書館服務而言，VPN正在得到廣泛的推廣與應用，既能夠為圖書館之間的資源共享提供網(wǎng)絡傳輸途徑，又可以為遠程異地用戶提供資源服務，本文在介紹虛擬專用網(wǎng)技術的基礎上，給出了基于VPN的圖書館資源遠程訪問解決方案。

圖書館在使用過程中由于涉及到版權保護，容易導致異地用戶或者外網(wǎng)用戶無法對其資源進行訪問。為了解決此問題，一個典型的遠程訪問技術VPN(虛擬專用網(wǎng))正在被越來越廣泛的使用。本文在介紹虛擬專用網(wǎng)技術的基礎上，給出了基于VPN的圖書館資源遠程訪問解決方案。

1 VPN技術簡介

VPN即虛擬專用網(wǎng)，SSL VPN是VPN的一種。其實現(xiàn)軟件既可以安裝在現(xiàn)有服務器上也可以固化在專業(yè)的硬件上。基于虛擬專用網(wǎng)的圖書館數(shù)字資源訪問技術優(yōu)勢集中體現(xiàn)在以下幾個方面:

虛擬專用網(wǎng)的簡單性。SSL VPN是最簡單的一種解決遠程用戶訪問圖書館的形式。原因在于SSL協(xié)議是內(nèi)嵌于用戶瀏覽器中的，因此就舍去了客戶端上安裝軟件的步驟，用戶只需連接Internet，就能通過網(wǎng)頁訪問圖書館資源。因此，通過VPN就可以在外網(wǎng)用戶和圖書館之間的建立一條專用的數(shù)據(jù)傳輸通道，客戶對資源的任何訪問均需進行安全的身份驗證。

虛擬專用網(wǎng)的安全性。采取SSL VPN，攻擊者難以偵測出系統(tǒng)網(wǎng)絡設置，攻擊機會就會降低許多。通過SSL VPN進行連接，還能夠在很大程度上低于病毒的侵害，保證了圖書館信息系統(tǒng)的安全運行。

保護敏感的數(shù)據(jù)。結合不同用戶的身份，賦予其相應的訪問權限。通過用戶劃分，降低客戶端的維護工作量，保護了敏感數(shù)據(jù)，同時也實現(xiàn)虛擬專用網(wǎng)在圖書館應用的快速部署。

擴展性強。隨著網(wǎng)絡的擴張，虛擬專用網(wǎng)可以實現(xiàn)靈活的擴展。如果圖書館需要添加新的用戶或新的子網(wǎng)，只需在VPN服務器上對已有網(wǎng)絡軟件配置進行相應的修改即可。

2 基于VPN的遠程訪問模式設計

2.1 SSL VPN 的具體部署方案

圖書館的SSL VPN所部署的位置是內(nèi)網(wǎng)的防火墻后面，結合具體的安全控制策略，為那些位置分散的用戶架設從公網(wǎng)進入圖書館內(nèi)網(wǎng)信息資源的訪問途徑。通常采取的方式為:對圖書館內(nèi)網(wǎng)的信息資源服務器進行設置，使之為位于外部網(wǎng)絡的用戶提供虛擬地址，當位于外網(wǎng)的用戶根據(jù)所提供的虛擬URL對圖書館內(nèi)網(wǎng)資源進行訪問時，由SSL VPN網(wǎng)關獲取來自用戶發(fā)起的連接，同時為遠程客戶與服務器之間建立加密、解密的隧道，同時采取一定的訪問控制策略，通過對用戶信息進行認證后，向不同的應用服務器進行映射。

結合圖書館用戶的實際情況，(大部分圖書館用戶均屬于公網(wǎng)用戶)，在本文的設計中，以思科公司的產(chǎn)品應用為例，選擇CiscoASA5510設備，利用其SSL VPN功能，布署于公網(wǎng)和策略分流交換機之間。具體的做法是:以思科CiscoASA 5510服務器實現(xiàn)Web VPN功能，用戶身份的驗證由Radius Server服務器實現(xiàn)，處于外網(wǎng)的用戶通過所在的網(wǎng)絡服務商接入互聯(lián)網(wǎng)，之后向WebVPN服務器發(fā)出身份驗證的請求，身份驗證通過以后，就可以對圖書館內(nèi)網(wǎng)的圖書資源進行訪問。思科CiscoASA 5510服務器的外網(wǎng)接口與因特網(wǎng)相連，為此接口配置公網(wǎng)的IP地址，位于圖書館外網(wǎng)的用戶可以通過公網(wǎng)地址對其進行訪問，服務器的內(nèi)網(wǎng)接口連接策略分流交換機，為此接口配置圖書館內(nèi)網(wǎng)IP地址，使之可以和 Radius Server服務器進行通訊，實現(xiàn)用戶身份的驗證，用戶通過驗證之后，就會被分配一個圖書館內(nèi)網(wǎng)的IP地址，就可以對圖書館資源服務器群進行訪問了。

2.2 SSL VPN的主要配置過程

以思科ASA5510內(nèi)置的SSL VPN功能構建基于網(wǎng)絡的虛擬專用網(wǎng)服務器，需要設置的內(nèi)容包括DNS、網(wǎng)關和SSL VPN的接口地址等，在初始化設置之后，為共享圖書資源，還需要配置SSL VPN設備，下面對幾個關鍵的配置進行介紹。 轉貼于

2.2.1 用戶認證服務器的添加

因為只能允許一些特定的注冊用戶作為合法的外網(wǎng)用戶，所以，為了對用戶進行身份的確認，必須提供用戶名和密碼。圖書館遠程訪問的權限包括SSL VPN的使用期限和用戶的并發(fā)數(shù)。本文所選取的思科ASA5510服務器能夠兼容多種身份認證協(xié)議，系統(tǒng)的管理員可以結合單位內(nèi)部的認證服務器進行認證，也可以使用SSL VPN 內(nèi)部的自建帳號進行認證，本文推薦采用的認證協(xié)議是Radius， 進行如下配置:

#啟用radius協(xié)議認證

#配置radius服務器的使用的key和IP 地址

#應用于內(nèi)網(wǎng)口，配置VPN組使用radius協(xié)議

2.2.2 增設內(nèi)網(wǎng)資源和訪問資源

在系統(tǒng)的資源管理中增設Web資源或APP資源。例如，在”姓名”一欄中寫入用戶專屬的名字，例如”圖書館資源網(wǎng)”;在”描述”一欄中寫入描述內(nèi)容;在”地址”一欄中寫入訪問網(wǎng)站的主機域名或是IP地址。然后執(zhí)行”Everything under this Url”和“Auto-allow Bookmark”，執(zhí)行完畢后，對學術期刊網(wǎng)的遠程訪問設置進行保存。

2.2.3 用戶角色管理的設置

這一步驟的主要內(nèi)容是為用戶建立不同訪問權限的角色，并將這些角色與圖書資源進行關聯(lián)。這樣，就能讓不同角色的用戶在成功登陸SSL之后，能夠對相應角色所具有權限的圖書館資源進行訪問。因為本文所選擇的身份認證是Radius協(xié)議，所以由radius服務器來完成用戶的建立和管理，此時思科ASA5510并不需要對本地用戶進行建立，用戶管理的工作量顯著降低了。

2.2.4 外網(wǎng)用戶的訪問

因為圖書館內(nèi)網(wǎng)的ASA5510服務器與公網(wǎng)相連，所以對外提供Web VPN的地址就是外網(wǎng)口的 IP 地址。具有用戶身份的外網(wǎng)用戶在連接到因特網(wǎng)之后，輸入圖書館內(nèi)網(wǎng)地址就會接收到圖書館 SSL VPN的界面，用戶根據(jù)提示輸入ID和密碼，結果服務器認證后，就能夠得到圖書館內(nèi)網(wǎng)的 IP地址以對圖書館資源進行訪問。

3 結語

虛擬專用網(wǎng)是目前網(wǎng)絡應用發(fā)展的趨勢，隨著信息技術的發(fā)展和寬帶應用的普及，人們對網(wǎng)絡依賴的日益增強，虛擬專用網(wǎng)應用也將變得更加廣泛。對于圖書館服務而言，VPN正在得到廣泛的推廣與應用，既能夠為圖書館之間的資源共享提供網(wǎng)絡傳輸途徑，又可以為遠程異地用戶提供資源服務，提高了圖書館資源利用效率，必將成為未來圖書館的發(fā)展方向。

參考文獻

[1] 張穎.利用VPN技術實現(xiàn)圖書館信息資源遠程訪問[J].情報探索，2008(7)69～70.

[2] 徐忻.利用開源軟件實現(xiàn)基于SSLVPN的圖書館遠程訪問[J].現(xiàn)代情報，2009(4)160-163.