身份認證技術論文范例6篇

前言：中文期刊網精心挑選了身份認證技術論文范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

身份認證技術論文范文1

關鍵詞：身份認證；UEB Key；PKI體系；認證設計

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)23-930-02

Design Research of Authentication Client Based on USB Key under PKI System

ZHOU Hua-xiang

(Changsha Commerce & Tourism College, Changsha 410004, China)

Abstract: Due to universality and opening of the Internet，there're many hidden troubles of information security in the network, so, identity authentication has becomed the necessary measure to ensure the security. This paper compared and analyzed the relative merits of common classes of identity authentication, and on the basis of analysis, the authentication principle and its characteristics, and the authentication processing were also discussed, and after that, the identifying technology of USB Key with PKI system was designed from software and hardware detaily. All these design work and theory analysis is significative for enhance the security of the identifying authentication.

Key words: Identity authentication; USB Key; PKI System; Technology design

1 引言

當前，隨著計算機技術的飛速發展，利用因特網高科技手段進行經濟商業犯罪的現象已經屢見不鮮了，因此，如何采用更加安全的數據保護及加密技術，成為當前計算機工作者的研究熱點與重點。但是很多身份認證技術由于本身算法的漏洞而不穩定或可靠，使得很多不法之徒有機可乘。因此，發展更加安全的數據加密算法和身份認證技術，是關系到社會經濟穩定繁榮發展的關鍵，如何采用與設計更加安全的身份認證技術，成為當前計算機安全工作的重點。

現今，計算機及網絡系統中最常用到的身份認證技術主要有以下幾種：1）用戶名密碼方式認證；2）IC卡認證；3）動態口令認證；4）生物特征認證。

上述幾種身份認證方式，或認證方式過于簡單，或認證成本過高，或使用方法繁瑣，在推廣應用上都存在一定的限制因素；USB Key認證技術是一種方便、安全、經濟的身份認證技術，它采用軟硬件相結合、一次一密的強雙因子認證模式，很好地解決了安全性與易用性之間的矛盾。

2 相關原理概述

2.1 PKI體系概述

PKI(Public Key Infrastructure)是一個用公鑰密碼體制來實現并提供安全服務的具有通用性的安全基礎設施，具有可信任的權威認證機構CA，在公鑰加密技術基礎上實現證書的產生、管理、存檔、發放以及證書作廢管理等功能，并包括實現這些功能的硬件、軟件、人力資源、相關政策和操作規范以及為PKI 體系中的各成員提供全部的安全服務。如實現通信中各實體的身份認證、數據保密性、數字完整性以及不可否認等。PKI必須具有認證機構CA、證書庫、密鑰備份及恢復系統、證書作廢處理系統、PKI 應用接口系統等主要組成部分。

2.2 USB Key認證原理

每個USB Key硬件都具有用戶PIN碼，以實現雙因子認證功能。USB Key內置單向散列算法(MD5) ，預先在USB Key和服務器中存儲一個證明用戶身份的密鑰，當需要在網絡上驗證用戶身份時，先由客戶端向服務器發出一個驗證請求。服務器接到此請求后生成一個隨機數并通過網絡傳輸給客戶端，客戶端將收到的隨機數提供給插在客戶端上的USB Key，由USB Key使用該隨機數與存儲在USB Key中的密鑰進行帶密鑰的單向散列運算（HMACMD5）并得到一個結果作為認證證據傳送給服務器，與此同時，服務器使用該隨機數與存儲在服務器數據庫中的該客戶密鑰進行HMAC- MD5運算，如果服務器的運算結果與客戶端傳回的響應結果相同，則認為客戶端是一個合法用戶。

3 基于PKI體系的USB Key認證客戶端的設計

3.1 總體設計

本方案基于USB接口，采用高性能的智能卡進行設計，把智能卡固有的安全性能和USB總線的即插即用、總線供電等優點結合起來，集二者之所長，研制出一種攜帶方便的PKI客戶端設備，集數據加密和數據存儲兩大功能為一體，在硬件級安全的基礎上完成身份認證、密鑰管理、證書存儲等功能。其系統結構框圖如圖1所示。

由圖1的結構可以發現，本論文研究的客戶端硬件模塊由智能卡和USB 讀卡器組成，采用智能卡芯片作為私鑰安全管理的載體，它包括私鑰的安全生成、存儲和使用。智能卡芯片中含有CPU ，可以通過運算來產生公私密鑰對，而且還含有一定的存儲空間，可以存儲私鑰和其它用戶資料。USB 讀卡器的主要功能是完成智能卡與主機的通信。

由于智能卡的存儲空間畢竟有限，對于需要進行密碼運算的大文件，無法一次完全導入智能卡設備中，為此，我們將一部分密碼運算的功能放在主機端的軟件模塊，以提高運算速度。

總體的設計思路是私鑰的密碼運算必須在智能卡中進行，而將一部分有可能對大文件進行的運算放在主機上來完成。這樣既保證了私鑰的生成、保存的高度安全性，又利用了主機容量大、運算快的優勢。

3.2 系統硬件設計

3.2.1 智能卡芯片的設計

智能卡芯片是USB KEY的核心，采用一個高性能的處理器芯片，除了含有一個MCU 外，還集成有專門進行密碼算法的協處理器，通過它可以提高密碼運算的速度。在軟件結構上，我們內置了一個卡內操作系統(COS) 以管理智能卡的所有軟硬件資源。COS 分為四個模塊:傳輸層模塊、文件管理層模塊、安全控制模塊和算法庫。

從整個安全策略、用戶的方便性、產品的創新性等幾點出發，客戶端的智能卡芯片中需要實現簽名、解密、RSA 密鑰對的產生、私鑰的保存及證書的驗證等主要功能。

驗證別人的證書，需要通過信任錨來完成。信任錨就是根CA 的公鑰。通過它，我們可以驗證在一個PKI 系統中所有的證書。由于主機的不安全性，如果將信任錨存儲在主機端，很容易被黑客替換成一個假的信任錨，這樣用戶就無法驗證別人證書的真偽。出于這樣的考慮，我們將信任錨存儲在智能卡中，由于智能卡芯片的硬件特性，駐留在里面的程序具有不可修改性，這樣就使數據(私鑰) 的保存和使用達到了硬件的安全級別，大大提高了PKI 系統的安全。

3.2.2 USB芯片的設計

由于用戶需要通過駐留在主機上的用戶程序來使用存儲在智能卡中的私鑰，為了使用的方便，我們將硬件模塊設計成一個目前流行的USB KEY模型，即通過USB 接口來實現主機軟件程序與智能卡的通訊。

USB 接口的設計由一個USB 芯片來實現。它主要有兩個功能，一是通過USB 協議完成與主機的通信；二是完成與智能卡的通訊。由于智能卡與外界的信息交換遵循ISO781623協議，所以USB 芯片的CPU 必須模擬一個781623 協議來實現兩者的通訊。

考慮到用戶在使用客戶端時的不安全性，如:在用戶使用完USB KEY時，可能忘記將它從主機上拔下來，這時如果遠程黑客通過駐留主機的木馬程序獲得了用戶的PIN ，就會在用戶無察覺的情況下，利用USB KEY來對任意的文件進行任意次的簽名，從而對合法用戶造成很大損失。為此，我們在USB 芯片上設計了一個按鍵，每次USB 芯片檢測到簽名操作的命令，便要求用戶手工按鍵，然后再將命令發送到智能卡里，由智能卡完成簽名運算。這樣合法用戶便可以控制簽名次數，將風險降到最低水平。

3.2.3 時間芯片的設計

無論證書還是私鑰，都有一定的生存期，過期后必須申請新的證書和私鑰。要求PKI 用戶以手工操作的方式來定期更新自己的證書是不現實的，用戶往往忘記自己證書過期的時間，常在認證失敗時才發現問題。為此，我們在USB 芯片上加載了一個時間芯片，用它來識別證書和私鑰過期的時間。

3.3 系統軟件設計

系統的軟件設計采用Client/Server模式，一個標準的服務流程為：客戶機提出請求，通過USB接口傳輸給USB接口控制器，USB接口控制器通過模擬7816協議來和智能卡進行通信，智能卡的片上操作系統COS收到該請求后，進行命令解釋，調度相應的功能模塊進行處理，然后將運算結果返回給USB接口控制器，最終傳遞給客戶機的應用程序，完成一次服務請求。

軟件程序的流程圖如圖2所示。

4 結束語

USB認證設備體積小巧、功能強大、價格低廉，可提供極高安全等級的認證和加密功能，有力地促進了PKI系統的實施，同時，它也可廣泛應用于要求個人身份認證、識別、數據加密、安全存儲等領域，應用前景廣泛。目前，對于身份認證技術的研究方興未艾，很多新的認證方式與認證技術正在出現，為人們的數據安全提供更加可靠的安全認證與保護。

展望將來，除了對基于PKI體系的USB Key認證方式繼續探討新的數據加密算法外，其他新的認證模式也正在興起，如基于生物特征的生物認證技術，以及目前處于研究熱潮的基于線上手寫簽名的身份認證技術，這些都將是安全性極高的認證手段。

參考文獻：

[1] 胡道元,閔京華.網絡安全[M].北京:清華大學出版社,2004.

[2] 蔡金清,萬振凱.統一口令網絡認證系統的分析與實現[J].天津:工業大學學報,2004,23(3):74-76.

[3] 關振勝.公鑰基礎設施PKI與認證機構CA[M].北京:電子工業出版社,2002.

身份認證技術論文范文2

［論文關鍵詞］ 電子商務　信息安全　信息安全技術　數字認證　安全協議

［論文摘 要］電子商務是新興商務形式，信息安全的保障是電子商務實施的前提。本文針對電子商務活動中存在的信息安全隱患問題，實施保障電子商務信息安全的數據加密技術、身份驗證技術、防火墻技術等技術性措施，完善電子商務發展的內外部環境，促進我國電子商務可持續發展。

隨著網絡的發展，電子商務的迅速崛起，使網絡成為國際競爭的新戰場。然而，由于網絡技術本身的缺陷，使得網絡社會的脆性大大增加，一旦計算機網絡受到攻擊不能正常運作時，整個社會就會陷入危機。所以，構筑安全的電子商務信息環境，愈來愈受到國際社會的高度關注。

一、電子商務中的信息安全技術

電子商務的信息安全在很大程度上依賴于技術的完善，包括密碼、鑒別、訪問控制、信息流控制、數據保護、軟件保護、病毒檢測及清除、內容分類識別和過濾、網絡隱患掃描、系統安全監測報警與審計等技術。

1.防火墻技術。防火墻主要是加強網絡之間的訪問控制， 防止外部網絡用戶以非法手段通過外部網絡進入內部網絡。

2.加密技術。數據加密就是按照確定的密碼算法將敏感的明文數據變換成難以識別的密文數據，當需要時可使用不同的密鑰將密文數據還原成明文數據。

3.數字簽名技術。數字簽名技術是將摘要用發送者的私鑰加密，與原文一起傳送給接收者，接收者只有用發送者的公鑰才能解密被加密的摘要。

4.數字時間戳技術。時間戳是一個經加密后形成的憑證文檔，包括需加時間戳的文件的摘要、DTS 收到文件的日期與時間和DIS 數字簽名，用戶首先將需要加時間的文件用HASH編碼加密形成摘要，然后將該摘要發送到DTS，DTS 在加入了收到文件摘要的日期和時間信息后再對該文件加密，然后送回用戶。

二、電子商務安全防范措施

網絡安全是電子商務的基礎。網絡安全防范技術可以從數據的加密(解密)算法、安全的網絡協議、網絡防火墻、完善的安全管理制度、硬件的加密和物理保護、安全監聽系統和防病毒軟件等領域來進行考慮和完善。

1.防火墻技術

用過Internet，企業可以從異地取回重要數據，同時又要面對 Internet 帶來的數據安全的新挑戰和新危險:即客戶、推銷商、移動用戶、異地員工和內部員工的安全訪問;以及保護企業的機密信息不受黑客和工業間諜的入侵。因此，企業必須加筑安全的“壕溝”，而這個“壕溝”就是防火墻.防火墻系統決定了哪些內容服務可以被外界訪問;外界的哪些人可以訪問內部的服務以及哪些外部服務可以被內部人員訪問。防火墻必須只允許授權的數據通過，而且防火墻本身必須能夠免于滲透。

2. VPN技術

虛擬專用網簡稱VPN，指將物理上分布在不同地點的網絡通過公用骨干網聯接而形成邏輯上的虛擬“私”網，依靠IPS或 NSP在安全隧道、用戶認證和訪問控制等相關技術的控制下達到與專用網絡類同的安全性能，從而實現基于 Internet 安全傳輸重要信息的效應。目前VPN 主要采用四項技術來保證安全， 這四項技術分別是隧道技術、加解密技術、密鑰管理技術、使用者與設備身份認證技術。

3.數字簽名技術

為了保證數據和交易的安全、防止欺騙，確認交易雙方的真實身份，電子商務必須采用加密技術。數字簽名就是基于加密技術的，它的作用就是用來確定用戶是否是真實的。數字簽名就是通過一個單向哈希函數對要傳送的報文進行處理而得到的用以認證報文是否發生改變的一個字母數字串。發送者用自己的私鑰把數據加密后傳送給接收者，接收者用發送者的公鑰解開數據后，就可確認消息來自于誰，同時也是對發送者發送的信息真實性的一個證明，發送者對所發信息不可抵賴，從而實現信息的有效性和不可否認性。

三、電子商務的安全認證體系

隨著計算機的發展和社會的進步，通過網絡進行的電子商務活動當今社會越來越頻繁，身份認證是一個不得不解決的重要問題，它將直接關系到電子商務活動能否高效而有序地進行。認證體系在電子商務中至關重要，它是用戶獲得訪問權限的關鍵步驟?，F代密碼的兩個最重要的分支就是加密和認證。加密目的就是防止敵方獲得機密信息。認證則是為了防止敵方的主動攻擊，包括驗證信息真偽及防止信息在通信過程被篡改刪除、插入、偽造及重放等。認證主要包括三個方面:消息認證、身份認證和數字簽名。

身份認證一般是通過對被認證對象(人或事)的一個或多個參數進行驗證。從而確定被認證對象是否名實相符或有效。這要求要驗證的參數與被認證對象之間應存在嚴格的對應關系，最好是惟一對應的。身份認證是安全系統中的第一道關卡。

數字證書是在互聯網通信中標志通信各方身份信息的一系列數據。提供了一種 Internet 上驗證用戶身份的方式，其作用類似于司機的駕駛執照或身份證。它是由一個權威機構CA機構，又稱為證書授權(Certificate Authority)中心發行的，人們可以在網上用它識別彼此的身份。

四、結束語

安全實際上就是一種風險管理。任何技術手段都不能保證100%的安全。但是，安全技術可以降低系統遭到破壞、攻擊的風險。因此，為進一步促進電子商務體系的完善和行業的健康快速發展，必須在實際運用中解決電子商務中出現的各類問題，使電子商務系統相對更安全。電子商務的安全運行必須從多方面入手，僅在技術角度防范是遠遠不夠的，還必須完善電子商務立法，以規范飛速發展的電子商務現實中存在的各類問題，從而引導和促進我國電子商務快速健康發展。

參考文獻

[1] 勞幗齡.電子商務的安全技術[M].北京:中國水利水電出版社，2005.

[2] 趙泉.網絡安全與電子商務[M].北京:清華大學出版社，2005.

身份認證技術論文范文3

關鍵詞：醫學院校，數字化校園，信息平臺，整合

現代高校的發展離不開信息技術，特別是隨著各高校學生人數急劇增加，新教學樓、新教室的不斷擴建，教學方式的多樣化等一系列因素使學校對多媒體、網絡教學、辦公應用系統等信息化技術依賴越來越大，數字化校園建設已經成為各高校信息化建設的重要任務之一。醫學院校在發展過程中也面臨著同樣的問題，需要對學校的教學、科研、管理等信息資源進行全面的整合，以實現統一的管理。

一、數字化校園的涵義及意義

在傳統觀念中數字化校園一直被認為只是由一個一卡通系統和多個應用系統組成，例如各種辦公系統、多媒體教學系統、人事系統和財務系統等。但由于各個系統中的信息，數據保存格式以及操作人員的權限設置都不一致，并且各系統由于開發商的不同很難做到統一的接口，系統間通訊困難，對于整個校園來講只是一個個“信息孤島”，造成大量冗余、錯誤的信息，因此這樣的“數字化校園”只是一個狹義的概念，并不能完全發揮信息化的優勢。而數字化校園真正的涵義是指以校園網絡為基礎，利用計算機、各種通訊手段對學校里各種辦公系統、多媒體教學系統進行統一的信息化管理，包括統一的身份認證、權限控制、教學資源管理以及對人事、財務、后勤等信息系統的統一管理等。數字化校園在時間和空間上都超越傳統意義上的校園，它是一個基于先進的信息化技術的虛擬校園，使現實的校園環境得到延伸[1]。

數字化校園的建設對于高校的管理和發展具有重要意義。首先，數字化校園是一個虛擬化的校園，它超越了時間和空間上的局限，使學校的跨地域業務得到有效開展，對學校建立創新型的教學模式，開放式的教育環境，多層次的管理方法都具有相當重要的意義。其次，數字化校園以網絡通訊為基礎，通過計算機處理大量的信息，使學校教工把一些查詢、統計、計算等工作交給計算機來完成，大大降低了工作量，提高了工作效率。再者，數字化校園成功解決了學?！靶畔⒐聧u”的問題。數字化校園的成功實施，能把學校里各個分散的系統整合，實現數據的統一管理，避免出現數據的重復檢索、錄入。例如圖書館的圖書借閱系統，里面的人員信息不需要重新錄入，可以直接從人事處數據庫中調用，有效解決了數據的不一致問題。

二、國內外相關課題的研究現狀

“數字化”這個概念最先是由美國前副總統戈爾于1998年在美國加利福尼亞科學中心發表的題為《數字地球---21世紀認識地球的方式》（The Digital Earth:Understanding in our planet in the 21st Century）的報告中首次提到的，他提出了數字化地球的概念，此后，“數字化”名詞在全球流行開來，各行各業如數字化城市、數字化校園、數字化圖書館等名詞接二連三被提出。

近年來，校園數字化建設已經成為世界各國高校重點研究的課題之一。

在國外，英國信息教育技術走在前列。1998年1月英國啟動了全國學習網，利用網絡的高速優勢把學校、科研機構、圖書館等網站連為一體，為網絡教育開辟了途徑。2002年，英國全國學習網的網絡連接所有家庭、社區、學校、醫院、社會服務以及大眾媒體轉播系統、單位，基本能滿足學校教育、家庭教育、職業教育、終身教育和社會經濟發展的需求。

國內大學信息化基礎建設方面，在90年代初，建成校園網并通過CERNET建設與國際互聯網連接的大學總數不過10所左右。到1999年，已經有500余所大學建設了結構先進、功能完備的校園網絡。2002年，北京大學和香港大學共同啟動了亞洲地區第一個國際性的高等教育信息化研究項目，對亞洲地區各國高校信息化建設、發展的最新動態和信息，進行研究。

現階段醫學院校信息化建設所面臨的主要問題有：一是學校以醫學專業為主，信息化意識不強，缺乏專業的信息化建設人才隊伍；二是信息化建設各自為政，存在重復建設現象；三是信息化建設進程緩慢，沒有建立網上自動辦公系統和智能化決策支持系統。

三、數字化校園建設目標

醫學院校數字化建設的總體目標是建成一個適合學校校情的數字化校園模型，即“統一平臺+統一門戶+多應用系統”的建設模式，從而實現校內教學、管理、科研的全面信息化、網絡化。免費論文，整合。

1.統一平臺是指一個高性能的、負載均衡的、可擴展易維護的、高安全的應用軟件、硬件以及數據庫平臺。其中包括統一信息門戶平臺、統一身份認證平臺和統一公共數據平臺三大基礎平臺。

2.統一門戶是指要建成一個統一的、開放的、能提供信息共享并能提供多種應用服務的高效穩定的門戶中心。

3.多應用系統指為滿足各種教學、管理、科研等日常業務的需要而提供的各種信息化軟件、工具等，如教務系統、人事管理系統、財務系統、科研管理系統、學生管理系統等，這些系統從統一的數據庫平臺調用數據，共享規范標準格式的數據，提供統一的接口程序。

通過數字化校園的標準建設，集成現有的應用系統，在新需求下開發新的應用系統，從而實現校園的信息共享和傳遞，最終構建一個集教學、科研、管理、活動為一體的信息化環境，實現學校教育過程的全面信息化，從根本上提高教學質量、科研水平和管理水平。免費論文，整合。

四、數字化校園建設內容

數字化校園的建設是在現有網絡基礎設施的基礎上對校內所有信息化資源（包括各種應用系統、數據庫資源、認證系統等）進行全面整合的過程。數字化校園建設的各個環節必須互相緊扣，有計劃、有步驟地實施，確保各個環節協調發展。醫學院校的數字化校園建設可以結合自身特點，發展幾項特色項目，如虛擬實驗室、虛擬醫院、虛擬手術臺等。

數字化校園的總體架構設計包括基礎設施建設、統一身份認證平臺、應用系統建設

1、基礎設施建設

基礎設施建設包括基礎網絡平臺、弱電系統和IDC數據中心建設，是建設好數字化校園的基本保證，為數字校園提供最底層的網絡、硬件支持。

（1）基礎網絡平臺、弱電系統

（2）IDC數據中心

IDC數據中心是由一系列的硬件、軟件、相關網絡組成的整體，它作為全校數據流轉與交換的中心，主要包括主機系統、存儲系統、網絡系統、安全系統等硬件設備和數據庫系統、應用服務器、目錄服務器數據匯聚設備。

2、統一身份認證平臺

在數字化校園中，各個系統之間經常需要相互協作才能完成一項任務。但對于同一個用戶來說，如果不同的系統都要不同的登錄信息，并且要重復登錄，這就給用戶帶來極大的不便，也給系統加重了負擔。而所謂的統一身份認證就是對校內各個不同的應用系統采用統一的身份認證系統，為各應用系統的集成奠定基礎。

目前高校身份認證管理存在以下問題：

（1）由于目前校內各個系統都是分散管理，因此就難以統一管理用戶的賬號，這就難免會對一些賬號信息進行重復管理，增加管理成本。免費論文，整合。

（2）賬號的使用沒有落實到實名，一個賬號存在多人使用的現象，在出現安全事故時難以明確責任，因此在安全管理上存在漏洞。免費論文，整合。

（3）不同應用系統之間的認證模式和規范不同，安全等級劃分標準也不同，不便于全校的安全管理。免費論文，整合。

（4）一個用戶如要使用多個應用系統，就必須記憶多套賬號信息，并需重復登錄，給用戶的操作帶來極大的不變[2]。免費論文，整合。

3、應用系統建設

應用系統主要有一卡通系統、數字圖書館、教學系統、學工系統、人事系統、財務系統、精品課程等。

（1）一卡通系統

一卡通是數字化校園建設的重要內容，是校內各系統連接的樞紐。校園一卡通以校園網為基礎，集成各種計算機網絡設備、數據終端，以IC卡為載體實現校園管理的信息化。系統建成以后，將取代以前校內的各種卡證（如借書證、飯卡、工作證、學生證等），真正實現校內工作、學習、生活的“一卡通”。

（2）數字圖書館

數字圖書館是數字化校園的重要組成部分，它是指運用數字技術和信息技術把處于不同地理位置的信息資源進行整合存儲，并通過網絡向廣大讀者提供多媒體信息資源的虛擬化圖書館。數字圖書館不受地域空間的限制，能最大限度地共享各地信息資源。

（3）教學系統

教學系統主要有教務管理系統，它管理的對象主要有學生信息、教師信息、管理人員信息以及教學資源信息（如教室、多媒體等）。而它主要實現的功能有：排課、選課、考試安排、教學測評等[3]。

身份認證技術論文范文4

關鍵詞：安全技術環境；安全技術結構；異構網絡安全威脅

中圖分類號：TP202 文獻標識碼：A 文章編號：1007-9599 （2012） 17-0000-02

隨著信息技術的不斷發展，用戶對傳感器節點感知數據的安全與精準提出了高的要求，這就必須結合計算機網與無線傳感器網，共同完成網絡的協同工作。但在無線傳感器網絡的應用中，信息的安全問題顯得尤為重要。為此，對于計算機網和無線傳感器網，兩者之間必須借助安全技術對數據進行傳輸。在這一方面，針對傳感器網絡最有有效的研究項目包括有智能塵埃、Smart-Its、Mote、靈巧傳感器網絡、網絡中心站、SenWeb以及行為習性監控等。但面對無線傳感器網和計算機網兩種形式，兩個異構網絡之間的融合較為困難，且在安全技術的研究中，有效的實踐和運用更為缺乏。

1 異構融合網絡

1.1 網絡的安全需求

（1）真實性：指消息的認證問題。某些時候，網絡會受到攻擊，且這些信息是虛假的，由于這種現象的影響，接收者須通過身份認證對正確的節點處發送過來的消息進行確認。

（2）機密性：在融合網絡中，實現敏感數據的傳輸與存儲問題。對于信息的獲取，只有經授權的人才有一定的權利，通過物理通信信號進行消息的截獲是不可行的。

（3）時效性：數據具有一定的時效性，對于最新收到的包的產生情況，網絡節點可進行準確的判斷。

（4）完整性：對于接收者所收到的信息不受到替換、篡改的確保，只能通過數據的完整性來實現，如果數據遭受篡改，接收者可以及時發現此問題。

1.2 網絡安全的威脅

就節點特性以及拓撲結構而言，無線傳感器網絡較為特殊，在異構融合網絡中，該網絡是最為脆弱的，一般來說，針對無線傳感器網絡的協議層，攻擊者發起攻擊非常的簡單，物理篡改與擁塞攻擊在物理層中出現；非公平競爭、耗盡攻擊碰撞攻擊的威脅出現在鏈路層；HELLO泛洪攻擊、選擇性的轉發、蟲洞攻擊、偽造確認、黑洞攻擊、匯聚節點攻擊為網絡層的攻擊；失步攻擊與泛洪攻擊發生在傳輸層等。

2 異構融合網絡的安全

網絡建立以及數據傳輸的整個階段中，主要的安全保障都可以通過提出的異構融合網絡安全技術來實現。這使得數據的身份的認證機制得到了強化，滿足了傳感器網絡節能的要求，這樣一來，數據傳輸的機密性就變得更高，而面對各協議層的攻擊，所表現的防御能力非常的優越。

2.1 實現環境

異構融合網絡安全技術包括計算機網端、虛網絡、無線傳感器，且三個部分必須具備特定的環境，形成的全網系結構才是非常安全的。在層次型路由協議中，無線傳感器網端進行了有效運用；CPK密鑰管理分發機制的運用，通過現場接觸的方式，使得所有傳感器節點都能夠對自身的全網公鑰矩陣和身份標識進行獲??；當初始化工作在傳感器網絡拓撲中完成時，節點等待并進入本地簇內；為了促使之間的互聯，通過WSNover TCP/IP協議就可以達成；IPSee安全體系協議在計算機網端得到使用。

2.2 異構融合網絡技術的實現

（1）WSNS ee安全體系

簇頭在有效的通信半徑內，會對身份認證包進行廣播，其中包括簇頭身份標識和包內允許存放的節點入簇信息標識。為了避免惡意節點的偽裝，簇頭可借助私鑰簽名進行加密，確保身份認證包的安全和可靠。

簇頭對身份認證包進行加密，而之后的身份認證包用L表示；節點入簇的信息標識用則通過S表示；另外，針對簇頭節點，其身份標識為I；簇頭節點的私鑰為KsinkSSK。

當“身份認證包”被普通節點接收后，在公鑰矩陣中會對簇頭身份標識進行使用組合出簇頭節點的公鑰，“身份認證包”解密：

R={S，I}（ KsinkSSK）（ KsinPSK）

上列公式中，解密結果為R；加密前節點入簇的信息標識為S；簇頭節點的私鑰為KsinkSSK；簇頭節點的公鑰為KsinPSK。一般來說，一方面，存在有接收到的簇頭，另一方面，存在有解密出的簇頭，如果兩者的身份標識一致，就成功實現了身份認證，如果不成功，就將該包丟棄。

針對簇頭，有效完成安全初始化后，接收節點的入簇。普通節點對簇頭進行“節點人簇包”的發送促使入簇的完成。節點身份標識與節點入簇信息在“節點入簇包”中存放。為有效避免惡意節點入簇，就要保證普通節點身份具有一定的合法性。就普通節點而言，其通過私鑰簽名加密“節點人簇包”進行實現：

L={P，I}（KnodeSSK）

普通節點對節點入簇包進行了加密，之后的節點入簇包借助L表示；而針對節點入簇信息，其加密之后用P表示；節點身份標識以及私鑰分別用I和KnodeSSK表示。

針對簇頭節點，當節點人簇包接收后，通過普通節點身份標識，在公鑰矩陣中組合出普通節點的公鑰，而“節點入簇包”的解密為：

節點入簇包的解密結果用R表示；針對節點入簇信息而言，其加密前的信息通過P表示；而節點的身份標識在公式中用為I指示；普通節點的公鑰為KnodePSK；簇頭節點的私鑰為KnodeSSK。

當成功解密后，接收到的普通節點與解密出的普通節點的身份標識一致，就說明身份認證得到成功實現，節點入簇，反之該包丟棄。

（2）虛網絡及計算機網絡端

多個虛節點共同組成虛網絡，來自各簇頭節點的數據由虛節點進行接收，之后轉至計算機網端。虛節點作為一體機具備了計算機、傳感器節點，所以一般不會在各通信協議層發生攻擊或威脅該節點的現象，通過IPSec機制的使用，計算機網端會安全可靠的進行數據的傳輸。

3 結束語

計算機網與無線傳感器網的異構融合最為一種重要手段實現著對信息的獲取，而安全可靠的傳輸信息數據，即是該技術廣泛應用的重要因素。本為主要通過對安全融合模型、的研究實現思路的提出，對各部分關鍵技術的進一步發展提供了參考。

參考文獻：

[1]王偉超.無線傳感器網與計算機網融合的安全路由機制研究[D].武漢：通信指揮學院碩士學位論文，2009：55-75.

[2]孫利民，李建中，陳渝，等.無線傳感器網絡[M].清華大學出版社，2008.

身份認證技術論文范文5

論文摘要：隨著信息化步伐的不斷加快，計算機網絡給人們帶來了很大的便捷，但是與此同時也給人們帶來了很大的隱患。計算機網絡安全已經受到了人們的高度重視，人們也已經對其提出了很多防范策略，并且得到了很好的好評。

隨著網絡的日益發展以及計算機網絡安全問題的不斷出現，對網絡安全防范粗略的研究必然成為必然趨勢。計算機網絡技術普遍的使用，使得人們在學習和工作中享受計算機網絡帶來的便捷的同時被越來越多的安全隱患所傷害。因此，計算機網絡安全防范策略的研究和實施是網絡化發展的必然趨勢。

1 計算機網絡安全存在的問題

1.1 計算機病毒較多

計算機病毒是一種人為編制的特殊程序代碼，可將自己附著在其他程序代碼上以便傳播，可自我復制、隱藏和潛伏，并帶有破壞數據、文件或系統的特殊功能。當前，計算機病毒是危害計算機網絡安全最普遍的一種方法，同時其危害是非常大的，尤其是一些通過網絡傳播的流行性病毒，這些病毒不僅危害性大，而且傳播速度非?？?，傳播形式多樣，因此，要想徹底清除這些病毒是很困難的，因此，網絡安全存在著巨大的隱患。

1.2 盜用IP地址

盜用IP地址現象非常普遍，這不僅影響了網絡的正常運行，而且一般被盜用的地址權限都很高，因而也給用戶造成了較大的經濟損失。盜用IP地址就是指運用那些沒有經過授權的IP地址，從而使得通過網上資源或隱藏身份進行破壞網絡的行為的目的得以實現。目前，網絡上經常會發生盜用IP地址，這不僅嚴重侵害了合法使用網絡人員的合法權益，而且還導致網絡安全和網絡正常工作受到負面影響。

1.3 攻擊者對網絡進行非法訪問和破壞

網絡可分為內網和外網，網絡受到攻擊也分為來自外部的非法訪問和網絡攻擊以及來自內部的非法訪問和網絡攻擊。無論是哪種網絡攻擊都要經過三個步驟：搜集信息-目標的選擇、實施攻擊-上傳攻擊程序、下載用戶數據。

1.4 垃圾郵件和病毒郵件泛濫

電子郵件系統是辦公自動化系統的基本需求，隨著信息化的快速發展，郵件系統的功能和技術已經非常成熟，但是也避免不了垃圾郵件和病毒郵件的傳送。垃圾郵件和病毒郵件是全球問題，2011年初，俄羅斯在全球垃圾郵件市場上的份額增長了4%-5%。垃圾郵件和病毒郵件是破壞網絡營銷環境的罪魁之一，垃圾郵件影響了用戶網上購物的信心，從而進一步危害到了電子商務網站的發展。垃圾郵件和病毒郵件對人們的影響不僅表現在時間上，而且也影響了安全。垃圾郵件和病毒郵件占用了大量的網絡資源。使得正常的業務運作變得緩慢。另外，垃圾郵件與一些病毒和入侵等關系越來越密切，其已經成為黑客發動攻擊的重要平臺。

2 計算機網絡安全的防范策略

2.1 計算機病毒的安全與防范技術

在網絡環境下，防范計算機病毒僅采用單一的方法來進行已經無任何意義，要想徹底清除網絡病毒，必須選擇與網絡適合的全方位防病毒產品。如果對互聯網而言，除了需要網關的防病毒軟件，還必須對上網計算機的安全進行強化；如果在防范內部局域網病毒時需要一個具有服務器操作系統平臺的防病毒軟件，這是遠遠不夠的，還需要針對各種桌面操作系統的防病毒軟件；如果在網絡內部使用電子郵件進行信息交換時，為了識別出隱藏在電子郵件和附件中的病毒，還需要增加一套基于郵件服務器平臺的郵件防病毒軟件。由此可見，要想徹底的清除病毒，是需要使用全方位的防病毒產品進行配合。另外，在管理方面，要打擊盜版，因為盜版軟件很容易染上病毒，訪問可靠的網站，在下載電子郵件附件時要先進行病毒掃描，確保無病毒后進行下載，最重要的是要對數據庫數據隨時進行備份。

2.2 身份認證技術

系統對用戶身份證明的核查的過程就是身份認證，就是對用戶是否具有它所請求資源的存儲使用權進行查明。用戶向系統出示自己的身份證明的過程就是所謂的身份識別。一般情況下，將身份認證和身份識別統稱為身份認證。隨著黑客或木馬程序從網上截獲密碼的事件越來越多，用戶關鍵信息被竊情況越來越多，用戶已經越來越認識到身份認證這一技術的重要性。身份認證技術可以用于解決用戶的物理身份和數字身份的一致性問題，給其他安全技術提供權限管理的依據。對于身份認證系統而言，合法用戶的身份是否易于被其他人冒充，這是最重要的技術指標。用戶身份如果被其他不法分子冒充，不僅會對合法用戶的利益產生損害，而且還會對其他用戶的利益甚至整個系統都產生危害。由此可知，身份認證不僅是授權控制的基礎，而且還是整個信息安全體系的基礎。身份認證技術有以下幾種：基于口令的認證技術、給予密鑰的認證鑒別技術、基于智能卡和智能密碼鑰匙 (UsBKEY)的認證技術、基于生物特征識別的認證技術。對于生物識別技術而言，其核心就是如何獲取這些生物特征，并將之轉換為數字信息、存儲于計算機中，并且完成驗證與識別個人身份是需要利用可靠的匹配算法來進行的。

2.3 入侵檢測技術

入侵檢測就是對網絡入侵行為進行檢測，入侵檢測技術屬于一種積極主動地安全保護技術，它對內部攻擊、外部攻擊以及誤操作都提供了實時保護。入侵檢測一般采用誤用檢測技術和異常監測技術。1）誤用檢測技術。這種檢測技術是假設所有的入侵者的活動都能夠表達為征或模式，對已知的入侵行為進行分析并且把相應的特征模型建立出來，這樣就把對入侵行為的檢測變成對特征模型匹配的搜索，如果與已知的入侵特征匹配，就斷定是攻擊，否則，便不是。對已知的攻擊，誤用入侵檢測技術檢測準確度較高，但是對已知攻擊的變體或者是一些新型的攻擊的檢測準確度則不高。因此，要想保證系統檢測能力的完備性是需要不斷的升級模型才行。目前，在絕大多數的商業化入侵檢測系統中，基本上都是采用這種檢測技術構建。2）異常檢測技術。異常檢測技術假設所有入侵者活動都與正常用戶的活動不同，分析正常用戶的活動并且構建模型，把所有不同于正常模型的用戶活動狀態的數量統計出來，如果此活動與統計規律不相符，則表示可以是入侵行為。這種技術彌補了誤用檢測技術的不足，它能夠檢測到未知的入侵。但是，在許多環境中，建立正常用戶活動模式的特征輪廓以及對活動的異常性進行報警的閾值的確定都是比較困難的，另外，不是所有的非法入侵活動都在統計規律上表示異常。今后對入侵檢測技術的研究主要放在對異常監測技術方面。

另外，計算機網絡安全防范策略還包括一些被動防范策略。被動式防范策略主要包括隱藏IP地址、關閉端口、更換管理員賬戶等，本文只對以上三種進行分析。1）隱藏IP地址。在網絡安全方面，IP地址的作用是非常大的，如果IP地址被攻擊者盜用，他就可以向這個IP發動各種進攻。用服務器能夠實現IP地址的隱藏，服務器使用后，其他用戶只能對服務器IP地址進行探測，而根本檢測不到用戶的IP地址，也就是說，隱藏IP地址的目的實現了，用戶上網安全得到了很好的保護；2）關閉不必要的端口。一般情況下，黑客要想攻擊你的計算機，首先對你的計算機端口進行掃描，如果安裝了端口監視程序，這會有警告提示。另外，還可以通過關閉不必要的端口來解決此問題；3）更換管理員賬戶。管理員賬戶的權限最高，如果這個賬戶被攻擊，那么危害將會很大。而截獲管理員賬戶的密碼又是黑客入侵常用的手段之一，因此，要對管理員賬戶進行重新配置。

3 結束語

計算機網絡給人們帶來便捷的同時也帶了隱患，要想是計算機網絡發揮出其更大的作用，人們必須對這些隱患采取一定的措施來進行防止。引起計算機網絡安全問題的因素不同，所采取的防范策略也不同，因此，防范策略的實施和運用也不要盲目，否則不僅沒有緩解網絡安全問題，反而使得網絡安全問題更加嚴重，人們受到更大的危害。

參考文獻

[1] 林敏，李哲宇.影響計算機網絡安全的因素探討[J].科技資訊，2007，(20).

[2] 胡瑞卿，田杰榮.關于網絡安全防護的幾點思考[J].電腦知識與技術，2008(16).

[3] 王建軍，李世英.計算機網絡安全問題的分析與探討[J].赤峰學院學報:自然科學版，2009(1).

[4] 華建軍.計算機網絡安全問題探究[J].科技信息，2007(9).

身份認證技術論文范文6

【關鍵詞】流量識別；行為管理；單點登陸；IP/MAC綁定

一、前言

按照摩爾定律，IT產業已遠超我們想象的速度在發展著。計算機從單機走向聯網，人們對網絡的需求也從原來的工作為主，逐步轉向了電子商務、流媒體、大型游戲的等為代表的多媒體娛樂活動。相應的網絡基礎環境也發生了極大的變化：網絡拓撲日益復雜，網絡安全日益嚴峻，用戶需求不斷提高，應用熱點越來越多變。而反觀以TCP/IP協議為主的計算機網絡，設計就是一個盡力而為的網絡，決定了它本身就是一個不安全、低可靠性（靠TCP協議保證），并且可管理性較差的網絡。黑客攻擊、網絡病毒、網絡偵聽、木馬后門、拒絕服務（DDoS）等信息安全問題；網絡服務阻塞、鏈路擁塞失效、其他硬件故障等可靠性問題；網絡權限（AAA）控制、網絡監控、數據統計等管理問題都日益嚴重。

本文對網絡行為管理系統的現狀進行了調研，根據企業戰略和業務支撐系統的發展遠景，提出了網絡行為管理系統的技術框架和功能設計，并對所涉及的具體需進行研究、分析，旨在深入根據實際的應用需求提出一個合理的系統方案，使得系統能夠適用于實際需求，成為高效可靠的系統，進一步提升信息化管理水平。

二、系統設計基本概況

本論文的研究目標是規劃設計一套網絡行為管理系統，期望能在將來的企業選型開發和設計中起到一定的啟示作用。從其功能特性出發，我們需要了解系統實現的原理以及其涉及到的核心技術，并且指出了此類產品中存在的問題及其今后的發展方向，重點在于內容識別、流量識別、流量控制的實現，因此，如何提高識別的準確率，是研究最為廣泛并且最有難度的一個課題，以此作為我們選擇和定制此類產品的標準，同時配合此類產品獨立開發一個支撐平臺與之配套。

整個網絡行為管理系統功能上分成四部分，具體拓撲結構如圖1所示：

1.硬件平臺：采用國內主流廠商的硬件平臺，透明方式串聯接入網絡，具置位于核心交換機與出口防火墻之間。硬件平臺主要進行內容識別、流量識別、流量控制的實現、用戶IP/MAC的識別、用戶認證以及策略的制定與實現。

2.數據中心：包括網管服務器、數據庫、存儲，記錄各種應用行為，存儲硬件平臺提供監控、審計數據，并保存所有的系統日志。

3.支撐平臺：提供人機接口界面，并通過此界面管理硬件平臺、數據中心服務器、認證服務器、DHCP服務器；進行用戶/用戶組的管理，權限分配，并負責對數據中心、認證服務器、DHCP服務器、硬件平臺的用戶數據實時同步；權限定制與分發，根據不同用戶、不同部門、不同使用范圍差異化的進行網絡使用權限劃分。數據分析功能，對數據中心存儲數據進行統計、查詢、排序、審計等，獲得網絡活動狀況的當前、歷史情況。

4.DHCP服務器（認證）：與數據中心數據庫保持數據同步，同時控制DHCP服務進行IP地址自動分配，滿足基于IP地址的用戶終端設備管理，同時可以管理用戶，實施ip/mac的綁定。

三、系統實現功能

網絡行為管理系統建設規劃需要考慮的兩個首要問題。

首先，對于未來網絡行為管理系統的建設，所面臨的首要問題是如何滿足日益增長、日益變化的網絡應用狀況，以及滿足對產品性能及分析能力的需求，特別是對于企業的內部網絡來說，更注重網絡記賬和網絡控制功能。隨著網絡應用的逐漸增多，以及加密技術的不斷進步，如何從海量數據中迅速而準確的識別各種應用數據，是一個很大的挑戰。因此基于網絡行為的、針對復雜應用的語義分析等技術也會逐漸被引入到網絡行為管理產品中。

其次，網絡行為管理系統具有較高的網絡適應能力，適應各種網絡拓撲環境新系統的部署不能更改原有網絡的架構，不能破壞用戶的網絡基礎設施規劃，也不能影響到其他設備的性能，要做到無縫接入。因此，做到靈活接入是網絡行為管理設備必須要做到的。

網絡行為管理系統的設計實現功能主要包括訪問控制、身份認證、監控審計、帶寬流量管理、權限管理、IP和MAC管理、終端管理、查詢統計。

1.訪問控制

主要實現網頁行為過濾、搜索關鍵字過濾、發帖關鍵字過濾、文件類型過濾、應用控制、反釣魚網站功能、反釣魚網站功能、加密管理、郵件管理。

2.身份認證

現今大多數企業的身份認證仍舊采用靜態的用戶名、明文密碼認證方式，在身份認證過程中與認證設備交換的數據消息為明文方式，未進行DES等加密算法或者RSA散列算法的處理，導致的直接后果是用戶名、口令等敏感數據很容易被截獲和泄露。因此一套安全、穩定的身份認證對于一個成熟的企業網絡是必不可少的，同時兼顧效率。

整個認證的流程如圖2所示。

3.監控審計

訪問控制功能主要決定了用戶能做什么，而用戶進行相關操作后，系統需要提供全面的、靈活的監控審計功能。

4.帶寬流量管理

具體有以下幾種的分配方式：主流業務優先分配，設置服務下限；非業務流量設置上限；基于用User/Group的流量分配；基于協議分類的流量分配；根據時間段進行分配：在不同的時間段對不同的業務類型進行調整，從而實現帶寬資源利用率的最大化。

在實際使用中以上諸多流量分配方式混合應用。

5.權限管理

上網行為管理需要提供3A功能，可以通過用戶帳號、IP、MAC的綁定功能，通過身份認證來實現對用戶的互聯網準入控制，防止未授權的人員使用單位網絡。對于外來人員的互聯網使用需求，可以通過額外的流程準入，提高網絡使用的便捷性。

6.IP和MAC管理

IP地址是計算機的身份標識，是進行網絡路由的門牌號碼。在IP地址管理的基礎上，需要增加MAC地址的管理。MAC地址是指的計算機網卡上內置的硬件信息，相對IP地址不容易更改，更重要的是可以建立IP地址與MAC地址的對應關系表，形成IP+MAC的記錄項，這樣當其中的任何一樣放生改變時，即可認為有非法用戶進入系統。

7.終端管理

分成兩部分，包括用戶管理和PC管理。

用戶管理：現有的OA系統已經有了自己的用戶信息庫，而上網行為管理系統也有自己的用戶信息庫，兩者并不相同。因此我們的支撐平臺要建立一套用戶信息庫，主要內容來自于OA系統，并同步給上網行為管理系統設備，保證兩邊的數據一致性。

終端管理：因為我們的網絡管理系統主要管理的是我們設備，當然最直接的就是pc終端。如何很好的對pc終端進行管理是衡量這個系統是否有效、是否有價值的一個標準。

8.查詢統計

管理員可以通過數據中心的內容檢索工具，從海量日志中進行實時查詢、審計所需的日志記錄，并生成，詳細的報表和圖形化統計結果，并且支持導出功能，以及電子郵件轉發方便日常管理。

四、系統實現方式

網絡行為管理系統由支撐平臺（網絡管理系統）、硬件平臺）、DHCP服務平臺、數據中心四大部分組成。其中，支撐平臺包含了我的工作、信息查詢、報表統計、系統維護；上網行為管理系統主要是根據需求和要求進行設備的采購；DHCP服務平臺采用windows2003自帶的DHCP服務，可以采用集群的方式。

支撐平臺網絡管理系統分別通過UDP客戶端和Webservice客戶端向兩者發送用戶和IP/MAC信息，以完成信息的三者同步。

1.硬件平臺的實現

上網行為管理系統目前在市場上有很多成熟的產品，目前不僅國外的有，國內做的好的也不少，比如深信服的AC產品、天易成上網行為管理系統、瑞星的RAC上網行為管理系統等。同時這些產品都支持二次開發，而且性能上都很不錯。

經過對各廠家多款設備全方面的比較，在實際系統實現中采用了深信服AC系列產品，利用其自帶的流量識別算法，已經實現了訪問控制、監察審計、帶寬管理功能。

2.數據中心平臺的實現

數據中心服務器采用Windows平臺，運行IBM DB2數據庫。此部分數據庫包含兩部分內容：硬件平臺的日志記錄，以及支撐平臺的所有數據記錄。

3.DHCP服務平臺的實現

DHCP服務實現主要包括兩方面，包括DHCP服務的配置和WEBSERVICE服務程序的編寫。DHCP服務配置我們采用成熟的WINDOWS2003自帶的DHCP服務，通過安裝微軟DHCP服務組件來實現。DHCP服務由服務器來負責，服務器會為用戶接入提供DHCP的IP和MAC綁定設置。DHCP服務器提供的數據同步采用webservice服務方式。另外用JAVA開發一個WEBSERVICE接受數據并同時以命令方式操控DHCP服務。

4.支撐平臺的實現

為了實現網絡行為管理系統在前面所寫的諸多功能，在系統外端需要有一個支撐平臺來支撐整個網絡行為管理系統的運行。這一段主要來講如何開發一個支撐平臺，通過此平臺可以協助網絡行為管理系統的正常運行。我們把此支撐平臺稱為網絡管理平臺。

網絡管理平臺主要功能包括用戶信息維護、權限分配、設備信息維護，IP/MAC信息管理，后臺接口、查詢統計等功能。其中，支撐平臺（網絡管理系統）和上網行為管理中的人員數據同步的主要流程如圖3所示。