導(dǎo)語(yǔ):在身份認(rèn)證技術(shù)論文的撰寫旅程中,學(xué)習(xí)并吸收他人佳作的精髓是一條寶貴的路徑�,好期刊匯集了九篇優(yōu)秀范文,愿這些內(nèi)容能夠啟發(fā)您的創(chuàng)作靈感����,引領(lǐng)您探索更多的創(chuàng)作可能。
第1篇
關(guān)鍵詞:身份認(rèn)證 手機(jī) 數(shù)字證書 藍(lán)牙傳輸協(xié)議
中圖分類號(hào):TP39文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-3973 (2010) 05-044-02
1前 言
隨著信息與計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展,人類已經(jīng)迎來了信息時(shí)代����。互連網(wǎng)的發(fā)展大大的改變了人們的生活。然而隨著這些新技術(shù)的日益普及,爆發(fā)出來的信息安全問題也越來越突出��。在享受互連網(wǎng)帶給人們便捷的同時(shí),這把雙刃劍也讓人們感受到了嚴(yán)峻的考驗(yàn)��。大量的通過計(jì)算機(jī)網(wǎng)絡(luò)所實(shí)施的犯罪行為,讓人們防不勝防。人們有必要對(duì)采用更為安全的技術(shù)手段來保護(hù)自己的敏感信息和交易不被未經(jīng)過授權(quán)的他人截獲和盜取���。其中最重要的一個(gè)措施就是采用身份認(rèn)證技術(shù)�。
2 常見身份認(rèn)證方式分析
身份認(rèn)證的范圍較廣,沒有統(tǒng)一的分類方法,根據(jù)身份認(rèn)證的發(fā)展情況和認(rèn)證方式的不同可以大致分為以下幾類:
2.1用戶名+口令的認(rèn)證方式
這是最簡(jiǎn)單,最容易實(shí)現(xiàn)的認(rèn)證技術(shù),其優(yōu)點(diǎn)在于操作簡(jiǎn)單,不需要任何附加設(shè)施,且成本低速度快。但是其缺點(diǎn)是安全性差,屬于單因子軟件認(rèn)證的方式�����。抗猜測(cè)攻擊性差,系統(tǒng)保存的是口令的明文形式,一旦被攻破,系統(tǒng)將受大極大威脅����。這種認(rèn)證方式屬于弱認(rèn)證方式���。
2.2 依靠生物特征識(shí)別的認(rèn)證方式
生物特征識(shí)別的認(rèn)證方式,是為了進(jìn)行身份識(shí)別而采用自動(dòng)化技術(shù)測(cè)量人的生物特征,并將該特征與數(shù)據(jù)庫(kù)的特征數(shù)據(jù)進(jìn)行比較,從而完成身份識(shí)別的方式���。因?yàn)椴煌娜司哂械南嗤纳锾卣鞯目赡苄允强梢院雎圆挥?jì)的����。所以從理論上來說,生物特征識(shí)別方式是最可靠的身份識(shí)別方式。它是以人的唯一的,可靠的,穩(wěn)定的特征為依據(jù)的����。目前比較成熟的可用于計(jì)算機(jī)系統(tǒng)的生物特征識(shí)別技術(shù)有:
(1)指紋身份認(rèn)證技術(shù)���。通過分析指紋的全局或者局部特征,抽取詳盡的特征值來確認(rèn)身份;
(2) 聲紋身份識(shí)別技術(shù)。也稱語(yǔ)音身份識(shí)別技術(shù);
(3)虹膜身份認(rèn)證技術(shù)���。虹膜是人眼瞳孔和眼白之間的環(huán)壯組織�。是人眼的可視部分。是最可靠的人體終身身份標(biāo)識(shí)����。虹膜識(shí)別在采集和精準(zhǔn)度方式具有明顯的優(yōu)勢(shì);
(4)簽名身份認(rèn)證技術(shù)��。是將人的手寫速度,筆順,壓力和圖象等人的個(gè)性化特征進(jìn)行比對(duì)��。是全新的生物特征認(rèn)證技術(shù)����。它不用記憶,方便,易為人接受���?����?捎糜谟?jì)算機(jī)登錄,信息網(wǎng)如網(wǎng),信用卡簽字等等�。
生物特征識(shí)別的認(rèn)證方式,雖然具有,不易遺忘丟失,防偽性能好,隨是隨地可用,不易偽造或者被盜等優(yōu)點(diǎn)��。但是它還有一系列暫時(shí)不能克服的缺點(diǎn)���。表現(xiàn)在;技術(shù)不完全成熟,生物識(shí)別的準(zhǔn)確性和穩(wěn)定性急待提高。研發(fā)成本高,產(chǎn)量小和識(shí)別設(shè)備成本高,現(xiàn)階段難以推廣和大規(guī)模應(yīng)用,對(duì)識(shí)別正確率沒有確切的結(jié)論,難以做到真正的唯一性,和安全性���。
2.3基于Kerberos的認(rèn)證方式
Kerberos是一種秘密密鑰網(wǎng)絡(luò)認(rèn)證協(xié)議��。是由美國(guó)麻省理工學(xué)院(MIT)開發(fā)的一項(xiàng)身份認(rèn)證技術(shù)��。它的思路對(duì)后來的身份認(rèn)證研究產(chǎn)生了很大的影響�����。它使用了數(shù)據(jù)加密標(biāo)準(zhǔn)DES(Data Encryption Standard)加密算法來進(jìn)行加密和認(rèn)證�。Kerberos 設(shè)計(jì)的主要目的是解決在分布網(wǎng)絡(luò)環(huán)境下,服務(wù)器如何對(duì)使用某臺(tái)工作站接入的用戶進(jìn)行身份認(rèn)證�。Kerberos的安全不依賴于用戶登錄的主機(jī),而是依賴于幾個(gè)認(rèn)證服務(wù)器���。分別是:認(rèn)證服務(wù)器(AS),用于驗(yàn)證用戶登錄時(shí)的身份��。票據(jù)發(fā)放服務(wù)器(TGS),發(fā)放身份許可證明�。服務(wù)提供服務(wù)器(Server),客戶請(qǐng)求工作的執(zhí)行者��。
如下圖所示:
基于Kerberos認(rèn)證方式的缺點(diǎn):
(1) 它是以對(duì)稱的DES加密算法為基礎(chǔ),這使得在密鑰的交換,保存,管理上存在著較大的安全隱患。
(2)Kerberos不能有效的防止字典攻擊�。并且防止口令猜測(cè)攻擊的能力是很弱的���。因?yàn)镵erberos的協(xié)議模型未對(duì)口令提供額外的保護(hù)。黑客或者攻擊者可以收集大量的許可證,通過有些計(jì)算和密鑰分析,進(jìn)行口令猜測(cè)��。倘若用戶選擇的口令不強(qiáng),則容易被攻破�����。
(3)Kerberos協(xié)議最初設(shè)計(jì)是用來提供認(rèn)證和密鑰交換的。不能用它來進(jìn)行數(shù)字簽名,沒有提供不可抵賴性的機(jī)制���。
(4)在分布式系統(tǒng)中,認(rèn)證中心錯(cuò)終復(fù)雜,域間的會(huì)話密鑰太多,給密鑰的管理,分配帶來麻煩�����。
2.4基于PKI的身份認(rèn)證方式
PKI(Pubic Key Infrastructure)公鑰基礎(chǔ)設(shè)施是一種遵循一定標(biāo)準(zhǔn)的密鑰管理平臺(tái)�����。能夠?yàn)槟壳八械木W(wǎng)絡(luò)應(yīng)用透明的提供采用加密和數(shù)字簽名等密碼服務(wù)所必需的密鑰管理和證書管理����。它是現(xiàn)代電子商務(wù)和信息安全系統(tǒng)的主要技術(shù)之一。PKI做為新發(fā)展的安全技術(shù)和安全服務(wù)規(guī)范���。不僅能確保網(wǎng)絡(luò)數(shù)據(jù)的機(jī)密性,完整性,可用性,同時(shí)也可以解決通信雙方身份的真實(shí)性問題����?���;赑KI的數(shù)字證書認(rèn)證方式可以有效的保護(hù)用戶的身份安全和數(shù)據(jù)安全��。在基于證書的安全通信中,數(shù)字證書是證明用戶身份合法和提供合法公鑰的憑證����。是建立保密通信的基礎(chǔ)���。因此數(shù)字證書的存儲(chǔ)與管理顯得非常重要�����。本文正是在PKI體系的基礎(chǔ)上利用手機(jī)做為數(shù)字證書的載體,來實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證����。
3基于手機(jī)的身份認(rèn)證方式
基于手機(jī)的身份認(rèn)證是基于PKI的身份認(rèn)證方式的一種改進(jìn)或者說發(fā)展。為了更方便的說明這種認(rèn)證方式的意義以及原理,特從以下幾個(gè)方面進(jìn)行分析���。
3.1現(xiàn)實(shí)需求分析
基于PKI的身份認(rèn)證方式是現(xiàn)階段公認(rèn)的保障信息網(wǎng)絡(luò)社會(huì)安全的最佳體系,是信息安全的核心�����。數(shù)字證書的權(quán)威性和不可否任是PKI體系的基礎(chǔ)���。目前,國(guó)內(nèi)外通常的做法是利用USBKey 做為數(shù)字證書的載體�����。例如中國(guó)建設(shè)銀行使用的網(wǎng)銀盾,中國(guó)工商銀行推出的U盾等。他們都是將數(shù)字證書存儲(chǔ)在USB Key中����。其優(yōu)點(diǎn)是較為安全可靠����。但其缺點(diǎn)是管理較為麻煩,攜帶起來容易丟失���。另外由于其工作原理是將數(shù)字證書固化在U盤里,證書不能實(shí)現(xiàn)遠(yuǎn)距離更新,實(shí)際使用起來,還是比較麻煩。目前很多公司和機(jī)構(gòu)都開始研究下一代的證書存儲(chǔ)工具�。本論文正是在這樣一個(gè)現(xiàn)狀探索性采用人們常用的手機(jī)來作為數(shù)字證書的存儲(chǔ)和管理工具。并以此展開思考和研究��。
3.2理論基礎(chǔ)
PKI(Public Key Infrastructure )公鑰基礎(chǔ)設(shè)施,它是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺(tái),它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供數(shù)據(jù)加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書管理體系一種重要的身份認(rèn)證技術(shù)�。是簡(jiǎn)單來說,PKI就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施�。PKI技術(shù)是信息安全技術(shù)的核心,也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)�����。PKI以公鑰密碼技術(shù)為基礎(chǔ),數(shù)字證書為媒介,結(jié)合對(duì)稱加密和非對(duì)稱加密技術(shù),將個(gè)人的標(biāo)識(shí)信息與各自的公鑰綁在一起,其主要目的是通過管理密鑰和證書,為用戶建立起一個(gè)安全��、可信的網(wǎng)絡(luò)運(yùn)行環(huán)境,使用戶可以在多種應(yīng)用環(huán)境下方便地使用加密和數(shù)字簽名技術(shù)在客戶端上驗(yàn)證用戶的身份,從而保證了互聯(lián)網(wǎng)上所傳輸信息的真實(shí)性、完整性����、機(jī)密性和不可否認(rèn)性�。
3.3 研究方案及系統(tǒng)組成
計(jì)算機(jī)要能準(zhǔn)確認(rèn)證用戶的身份,必須能準(zhǔn)確的識(shí)別用戶手機(jī)中的數(shù)字證書����。其中將數(shù)字證書從手機(jī)中導(dǎo)入到計(jì)算機(jī)上中是借助藍(lán)牙技術(shù)(也可以是紅外技術(shù))提供的數(shù)據(jù)傳輸通道���。并且因?yàn)閿?shù)字證書是通過藍(lán)牙技術(shù)無線傳輸?shù)?必須給這個(gè)通道加密,防止被非法用戶竊取���。系統(tǒng)組成如下圖所示:
3.4關(guān)鍵問題及其解決方案
3.4.1系統(tǒng)中的關(guān)鍵問題
基于手機(jī)的身份認(rèn)證是依賴于手機(jī)這個(gè)載體,以數(shù)字證書為媒介,最終需要保證計(jì)算機(jī)對(duì)手機(jī)中的數(shù)字證書準(zhǔn)確識(shí)別�。并且整個(gè)信息交換不被非授權(quán)的第三方截獲�。因此整個(gè)系統(tǒng)有以下兩個(gè)關(guān)鍵問題�����。
(1)數(shù)字證書在手機(jī)中的安全性問題����。數(shù)字證書是存放在手機(jī)的SD卡上的,要保證數(shù)字證書能方便的寫入到SD卡中,并使其具有加密功能,在遺失,被盜的情況下仍能確保數(shù)字證書不被非法利用��。
(2)計(jì)算機(jī)要識(shí)別手機(jī)上的數(shù)字證書,或者說信息要在手機(jī)和計(jì)算機(jī)之間安全傳遞,必須有一個(gè)安全的通道����。雖然可以借助他們本身都帶有的藍(lán)牙功能,并且藍(lán)牙具有抗干擾性強(qiáng),成本低的特點(diǎn)���。但是仍不能保證信息傳遞的絕對(duì)安全�����。還需要設(shè)計(jì)一傳輸協(xié)議來給他們之間的信息傳遞提供一個(gè)安全通道����。
3.4.2關(guān)鍵問題的解決方案
(1)對(duì)于數(shù)字證書在手機(jī)中安全存儲(chǔ)的問題,可以考慮采用加密SD卡的方法����。Sandisk 公司近期研發(fā)了一種稱為TrustedFlash 的新技術(shù),可以在SD,Micro SD卡上實(shí)現(xiàn)加密�����。
a.安全加密:根據(jù)需要,可設(shè)定不同的加密方式和權(quán)限,支持采用AES,DESB和3DES的對(duì)稱密鑰身份驗(yàn)證及基于X�。509證書鏈的RSAC非對(duì)稱密鑰身份驗(yàn)證。
b.支持?jǐn)?shù)字版權(quán)管理(DRM):可在支持硬件加密技術(shù)的不同主機(jī)間實(shí)現(xiàn)移動(dòng)����。
c.具有硬件加密技術(shù)的主機(jī)向下兼容常規(guī)的存儲(chǔ)卡,而硬件加密卡在非保護(hù)區(qū)域也可作為常規(guī)卡使用���。
d.主機(jī)(如手機(jī))只需要升級(jí)軟件來支持硬件加密技術(shù),不需要增加和更改硬件�。主要應(yīng)用于數(shù)據(jù)安全存取,身份認(rèn)證及移動(dòng)電子商務(wù)。
(2) 對(duì)于傳輸通道的設(shè)計(jì)��?��?梢越梃b當(dāng)前的密碼協(xié)議SSL協(xié)議�����。SSL即安全套接字層(Secure Socket Layer)��。它是網(wǎng)景公司(Netscape)開發(fā)的,主要應(yīng)用于保障Internet上數(shù)據(jù)傳輸之安全����。SSL協(xié)議可以分為兩層:SSL記錄協(xié)議和SSL握手協(xié)議���。提供主要服務(wù)有:①認(rèn)證用戶和服務(wù)器,確保數(shù)據(jù)發(fā)送到正確的客戶機(jī)和服務(wù)器;②加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊取;③維護(hù)數(shù)據(jù)的完整性,確保數(shù)據(jù)在傳輸過程中不被改變。認(rèn)證工作流程為:1)客戶端(C)向服務(wù)器(S)發(fā)送一個(gè)會(huì)話請(qǐng)求信息“你好”2)服務(wù)器根據(jù)客戶的信息確定是否需要生成新的主密鑰,如需要?jiǎng)t服務(wù)器在響應(yīng)客戶的“你好”信息時(shí)將包含生成主密鑰所需的信息;3)客戶根據(jù)收到的服務(wù)器響應(yīng)信息,產(chǎn)生一個(gè)主密鑰,并用服務(wù)器的公開密鑰加密后傳給服務(wù)器;4)服務(wù)器恢復(fù)該主密鑰,并返回給客戶一個(gè)用主密鑰認(rèn)證的信息,以此讓客戶認(rèn)證服務(wù)器��。同樣手機(jī)和計(jì)算機(jī)之間的通信過程和上面相似。只是SSL是同過有線連接傳遞數(shù)據(jù),而本系統(tǒng)是通過藍(lán)牙技術(shù)無線傳遞,其工作原理完全相同����。
4小結(jié)與展望
本文開頭闡述了常見的身份認(rèn)證的方式,并分析了它們的優(yōu)缺點(diǎn)�����。 目的是為了說明基于手機(jī)的身份認(rèn)證在整個(gè)身份認(rèn)證體系中所在的位置�。隨著手機(jī)業(yè)務(wù)的不斷發(fā)展?��,F(xiàn)在的手機(jī)已經(jīng)不僅是局限于傳統(tǒng)的通話業(yè)務(wù)。越來越多的智能手機(jī)投入市場(chǎng)。它們大多可以安裝小型的操作系統(tǒng)具有較強(qiáng)的處理能力,如Symbian ���、Windows mobile����、Linux等手機(jī)操作系統(tǒng)。這就為基于手機(jī)的身份認(rèn)證提供了很好的工具和平臺(tái)���?��?梢灶A(yù)見USBKEY的功能將會(huì)被手機(jī)取代?��;谑謾C(jī)的身份認(rèn)證技術(shù)將能更好的服務(wù)于人民的生活�。
參考文獻(xiàn):
[1]馮國(guó)柱. PKI關(guān)鍵技術(shù)研究及其應(yīng)用[D].長(zhǎng)沙:國(guó)防科學(xué)技術(shù)大學(xué),2006.
[2]趙小沫. 基于SSL的數(shù)據(jù)庫(kù)安全研究及實(shí)現(xiàn)[D]. 武漢:武漢理工大學(xué),2009.
第2篇
論文摘要:本文針對(duì)電子商務(wù)安全的要求,分析了電子商務(wù)中常用的安全技術(shù),并闡述了數(shù)據(jù)加密技術(shù)����、認(rèn)證技術(shù)和電子商務(wù)的安全交易標(biāo)準(zhǔn)在電子商務(wù)安全中的應(yīng)用����。
所謂電子商務(wù)(Electronic Commerce) 是利用計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)和遠(yuǎn)程通信技術(shù), 實(shí)現(xiàn)整個(gè)商務(wù)(買賣)過程中的電子化����、數(shù)字化和網(wǎng)絡(luò)化。目前,因特網(wǎng)上影響交易最大的阻力就是交易安全問題, 據(jù)最新的中國(guó)互聯(lián)網(wǎng)發(fā)展統(tǒng)計(jì)報(bào)告顯示, 在被調(diào)查的人群中只有2.8%的人對(duì)網(wǎng)絡(luò)的安全性是感到很滿意的, 因此,電子商務(wù)的發(fā)展必須重視安全問題�。
一�、電子商務(wù)安全的要求
1、信息的保密性:指信息在存儲(chǔ)����、傳輸和處理過程中,不被他人竊取。
2����、信息的完整性:指確保收到的信息就是對(duì)方發(fā)送的信息,信息在存儲(chǔ)中不被篡改和破壞,保持與原發(fā)送信息的一致性。
3�、 信息的不可否認(rèn)性:指信息的發(fā)送方不可否認(rèn)已經(jīng)發(fā)送的信息,接收方也不可否認(rèn)已經(jīng)收到的信息�。
4、 交易者身份的真實(shí)性:指交易雙方的身份是真實(shí)的,不是假冒的����。
5�、 系統(tǒng)的可靠性:指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)的硬件和軟件工作的可靠性。
在電子商務(wù)所需的幾種安全性要求中,以保密性���、完整性和不可否認(rèn)性最為關(guān)鍵����。電子商務(wù)安全性要求的實(shí)現(xiàn)涉及到以下多種安全技術(shù)的應(yīng)用�。
二���、數(shù)據(jù)加密技術(shù)
將明文數(shù)據(jù)進(jìn)行某種變換,使其成為不可理解的形式,這個(gè)過程就是加密,這種不可理解的形式稱為密文。解密是加密的逆過程,即將密文還原成明文�。
(一)對(duì)稱密鑰加密與DES算法
對(duì)稱加密算法是指文件加密和解密使用一個(gè)相同秘密密鑰,也叫會(huì)話密鑰�。目前世界上較為通用的對(duì)稱加密算法有RC4和DES�。這種加密算法的計(jì)算速度非???因此被廣泛應(yīng)用于對(duì)大量數(shù)據(jù)的加密過程。
最具代表的對(duì)稱密鑰加密算法是美國(guó)國(guó)家標(biāo)準(zhǔn)局于1977年公布的由IBM公司提出DES (Data Encrypuon Standard)加密算法�。
(二)非對(duì)稱密鑰加密與RSA算法
為了克服對(duì)稱加密技術(shù)存在的密鑰管理和分發(fā)上的問題,1976年產(chǎn)生了密鑰管理更為簡(jiǎn)化的非對(duì)稱密鑰密碼體系,也稱公鑰密碼體系(PublicKeyCrypt-system),用的最多是RSA算法,它是以三位發(fā)明者(Rivest、Shamir�、Adleman)姓名的第一個(gè)字母組合而成的����。
在實(shí)踐中,為了保證電子商務(wù)系統(tǒng)的安全�、可靠以及使用效率,一般可以采用由RSA和DES相結(jié)合實(shí)現(xiàn)的綜合保密系統(tǒng)����。
三、認(rèn)證技術(shù)
認(rèn)證技術(shù)是保證電子商務(wù)交易安全的一項(xiàng)重要技術(shù)����。主要包括身份認(rèn)證和信息認(rèn)證����。前者用于鑒別用戶身份,后者用于保證通信雙方的不可抵賴性以及信息的完整性
(一)身份認(rèn)證
用戶身份認(rèn)證三種常用基本方式
1����、口令方式
這種身份認(rèn)證方法操作十分簡(jiǎn)單,但最不安全,因?yàn)槠浒踩詢H僅基于用戶口令的保密性,而用戶口令一般較短且容易猜測(cè),不能抵御口令猜測(cè)攻擊,整個(gè)系統(tǒng)的安全容易受到威脅���。
2、標(biāo)記方式
訪問系統(tǒng)資源時(shí),用戶必須持有合法的隨身攜帶的物理介質(zhì)(如存儲(chǔ)有用戶個(gè)性化數(shù)據(jù)的智能卡等)用于身份識(shí)別,訪問系統(tǒng)資源���。
3、人體生物學(xué)特征方式
某些人體生物學(xué)特征,如指紋、聲音����、DNA圖案���、視網(wǎng)膜掃描圖案等等,這種方案一般造價(jià)較高,適用于保密程度很高的場(chǎng)合���。
加密技術(shù)解決信息的保密性問題,對(duì)于信息的完整性則可以用信息認(rèn)證方面的技術(shù)加以解決���。在某些情況下,信息認(rèn)證顯得比信息保密更為重要����。
(二)數(shù)字摘要
數(shù)字摘要,也稱為安全Hash編碼法,簡(jiǎn)稱SHA或MD5 ,是用來保證信息完整性的一項(xiàng)技術(shù)。它是由Ron Rivest發(fā)明的一種單向加密算法,其加密結(jié)果是不能解密的�。類似于人類的“指紋”,因此我們把這一串摘要而成的密文稱之為數(shù)字指紋,可以通過數(shù)字指紋鑒別其明文的真?zhèn)巍?/p>
(三)數(shù)字簽名
數(shù)字簽名建立在公鑰加密體制基礎(chǔ)上,是公鑰加密技術(shù)的另一類應(yīng)用。它把公鑰加密技術(shù)和數(shù)字摘要結(jié)合起來,形成了實(shí)用的數(shù)字簽名技術(shù)。
它的作用:確認(rèn)當(dāng)事人的身份,起到了簽名或蓋章的作用;能夠鑒別信息自簽發(fā)后到收到為止是否被篡改����。
(四)數(shù)字時(shí)間戳
在電子交易中,時(shí)間和簽名同等重要�。數(shù)字時(shí)間戳技術(shù)是數(shù)字簽名技術(shù)一種變種的應(yīng)用,是由DTS服務(wù)機(jī)構(gòu)提供的電子商務(wù)安全服務(wù)項(xiàng)目,專門用于證明信息的發(fā)送時(shí)間���。包括三個(gè)部分:需加時(shí)間戳的文件的數(shù)字摘要;DTS機(jī)構(gòu)收到文件摘要的日期和時(shí)間; DTS機(jī)構(gòu)的數(shù)字簽名。
(五)認(rèn)證中心
認(rèn)證中心:(Certificate Authority,簡(jiǎn)稱CA),也稱之為電子商務(wù)認(rèn)證中心,是承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù),能簽發(fā)數(shù)字證書,確認(rèn)用戶身份的�、與具體交易行為無關(guān)的第三方權(quán)威機(jī)構(gòu)���。認(rèn)證中心通常是企業(yè)性的服務(wù)機(jī)構(gòu),主要任務(wù)是受理證書的申請(qǐng)�、簽發(fā)和管理數(shù)字證書。其核心是公共密鑰基礎(chǔ)設(shè)(PKI)����。
我國(guó)現(xiàn)有的安全認(rèn)證體系(CA)在金融CA方面,根證書由中國(guó)人民銀行管理,根認(rèn)證管理一般是脫機(jī)管理;品牌認(rèn)證中心采用“統(tǒng)一品牌���、聯(lián)合建設(shè)”的方針進(jìn)行�。在非金融CA方面,最初主要由中國(guó)電信負(fù)責(zé)建設(shè)。
(六)數(shù)字證書
數(shù)字證書就是標(biāo)志網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù),用于證明某一主體(如個(gè)人用戶���、服務(wù)器等)的身份以及其公鑰的合法性的一種權(quán)威性的電子文檔,由權(quán)威公正的第三方機(jī)構(gòu),即CA中心簽發(fā)。
以數(shù)字證書為核心的加密技術(shù)可以對(duì)網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密和解密、數(shù)字簽名和簽名驗(yàn)證,確保網(wǎng)上傳遞信息的機(jī)密性�、完整性,以及交易實(shí)體身份的真實(shí)性,簽名信息的不可否認(rèn)性,從而保障網(wǎng)絡(luò)應(yīng)用的安全性�。
四����、電子商務(wù)的安全交易標(biāo)準(zhǔn)
(一)安全套接層協(xié)議
SSL (secure sockets layer)是由Netscape Communication公司是由設(shè)計(jì)開發(fā)的,其目的是通過在收發(fā)雙方建立安全通道來提高應(yīng)用程序間交換數(shù)據(jù)的安全性,從而實(shí)現(xiàn)瀏覽器和服務(wù)器(通常是Web服務(wù)器)之間的安全通信。
目前Microsoft和Netscape的瀏覽器都支持SSL,很多Web服務(wù)器也支持SSL�。SSL是一種利用公共密鑰技術(shù)的工業(yè)標(biāo)準(zhǔn),已經(jīng)廣泛用于Internet���。
(二)安全電子交易協(xié)議
(Secure Electronic Transaction)它是由VISA和MasterCard兩大信用卡公司發(fā)起,會(huì)同IBM���、Microsoft等信息產(chǎn)業(yè)巨頭于1997年6月正式制定的用于因特網(wǎng)事務(wù)處理的一種標(biāo)準(zhǔn)����。采用DES、RC4等對(duì)稱加密體制加密要傳輸?shù)男畔?并用數(shù)字摘要和數(shù)字簽名技術(shù)來鑒別信息的真?zhèn)渭捌渫暾?目前已經(jīng)被廣為認(rèn)可而成了事實(shí)上的國(guó)際通用的網(wǎng)上支付標(biāo)準(zhǔn),其交易形態(tài)將成為未來電子商務(wù)的規(guī)范�。
五����、總結(jié)
網(wǎng)絡(luò)應(yīng)用以安全為本,只有充分掌握有關(guān)電子商務(wù)的技術(shù),才能使電子商務(wù)更好的為我們服務(wù)����。然而,如何利用這些技術(shù)仍是今后一段時(shí)間內(nèi)需要深入研究的課題����。
參考文獻(xiàn):
[1] 萬守付,電子商務(wù)基礎(chǔ)(第二版),人民郵電出版社,2006年6月第2版
第3篇
論文摘要:針對(duì)一般網(wǎng)絡(luò)應(yīng)用系統(tǒng)的特征,融合了數(shù)據(jù)加密、身份認(rèn)證和訪問控制三種安全技術(shù)和機(jī)制���,并充分考慮了系統(tǒng)安全性需求與可用性����、成本之間的平衡�,提出了一個(gè)以信息資源傳輸和存儲(chǔ)安全保護(hù),身份認(rèn)證安全管理和資源訪問安全控制為基本要素的網(wǎng)絡(luò)應(yīng)用系統(tǒng)信息安全模型����,為加強(qiáng)中小型企業(yè)網(wǎng)絡(luò)應(yīng)用系統(tǒng)安全性提供了一個(gè)比較簡(jiǎn)單可行的方案���。
0引言
由于網(wǎng)絡(luò)環(huán)境的特殊性���,每一個(gè)投人使用的網(wǎng)絡(luò)應(yīng)用系統(tǒng)都不可避免地面臨安全的威脅���,因此����,必須采取相應(yīng)的安全措施。國(guó)內(nèi)在信息安全方面已做了很多相關(guān)研究����,但大多是單獨(dú)考慮資源保護(hù)或身份認(rèn)證等某一方面�,而對(duì)如何構(gòu)建一個(gè)相對(duì)完善且通用的網(wǎng)絡(luò)應(yīng)用系統(tǒng)信息安全解決方案研究不多���。本文在ISO提出的安全服務(wù)框架下���,融合了數(shù)據(jù)加密���、身份認(rèn)證和訪問控制三種安全技術(shù)和機(jī)制,并充分考慮了系統(tǒng)安全性需求與可用性���、成本等特性之間的平衡,提出了一個(gè)以信息資源傳輸和存儲(chǔ)安全保護(hù)���、身份認(rèn)證安全管理和資源訪問安全控制為基本要素的網(wǎng)絡(luò)應(yīng)用系統(tǒng)信息安全模型����,為加強(qiáng)中小型企業(yè)網(wǎng)絡(luò)應(yīng)用系統(tǒng)安全性提供了一個(gè)比較簡(jiǎn)單可行的方案。
1網(wǎng)絡(luò)應(yīng)用系統(tǒng)信息安全模型設(shè)計(jì)
1.1信息安全模型總體設(shè)想
本文提出的網(wǎng)絡(luò)應(yīng)用系統(tǒng)信息安全模型主要基于三個(gè)要素:信息資源傳輸和存儲(chǔ)安全保護(hù)����,身份認(rèn)證安全管理以及用戶對(duì)資源訪問的安全控制。整個(gè)信息安全模型如圖1所示����。模型利用過濾器來區(qū)分敏感數(shù)據(jù)與非敏感數(shù)據(jù)���,對(duì)于非敏感數(shù)據(jù)直接以明文形式進(jìn)人信息資源層處理����,而對(duì)敏感數(shù)據(jù)則采用加密傳輸通道進(jìn)行傳輸����,且需要經(jīng)過身份認(rèn)證層與訪問控制層的控制后才能進(jìn)人信息資源層�。這樣的設(shè)計(jì)在保證了信息傳輸和存儲(chǔ)較高的安全性的同時(shí)�,減少了身份認(rèn)證層與訪問控制層的系統(tǒng)開銷���,大大提高了系統(tǒng)的運(yùn)行效率����。而在信息資源層,則是通過備份機(jī)制�、事務(wù)日志和使用常用加密算法對(duì)數(shù)據(jù)庫(kù)中數(shù)據(jù)進(jìn)行處理,來保障信息傳輸和存儲(chǔ)的安全。
1.2身份認(rèn)證層的設(shè)計(jì)
身份認(rèn)證層主要包括兩部分:用戶身份認(rèn)證和用戶注冊(cè)信息管理����,采用了基于改進(jìn)的挑戰(zhàn)/應(yīng)答式動(dòng)態(tài)口令認(rèn)證機(jī)制�。
目前使用比較普遍的是挑戰(zhàn)/應(yīng)答式動(dòng)態(tài)口令認(rèn)證機(jī)制���,每次認(rèn)證時(shí)服務(wù)器端都給客戶端發(fā)送一個(gè)不同的“挑戰(zhàn)”字串���,客戶端收到這個(gè)字串后����,作出相應(yīng)的”應(yīng)答”���。但是���,標(biāo)準(zhǔn)的挑戰(zhàn)/應(yīng)答動(dòng)態(tài)口令認(rèn)證機(jī)制具有攻擊者截獲隨機(jī)數(shù)從而假冒服務(wù)器和用戶�,以及口令以明文形式存放在數(shù)據(jù)庫(kù)中易受攻擊兩個(gè)缺點(diǎn)�。在本模型采用的改進(jìn)的挑戰(zhàn)/應(yīng)答式動(dòng)態(tài)口令認(rèn)證機(jī)制中�,通過1.4節(jié)中論述的敏感數(shù)據(jù)加密通道對(duì)隨機(jī)數(shù)進(jìn)行加密傳輸解決了上述第一個(gè)問題;通過在客戶端將用戶口令經(jīng)M DS算法散列運(yùn)算并保存在服務(wù)器端數(shù)據(jù)庫(kù)解決了上述第二個(gè)問題����,使得服務(wù)器在認(rèn)證時(shí)只需要比對(duì)客戶端處理后傳來的加密字符串即可�。方案的具體流程如下:
1)服務(wù)器端口令的保存當(dāng)用戶在服務(wù)器端錄人注冊(cè)信息時(shí)���,將用戶的密碼進(jìn)行K次M DS散列運(yùn)算放在數(shù)據(jù)庫(kù)中。
2)用戶請(qǐng)求登錄服務(wù)器端開始執(zhí)行口令驗(yàn)證:當(dāng)用戶請(qǐng)求登錄服務(wù)器時(shí)����,Web服務(wù)器在送出登錄頁(yè)面的同時(shí)產(chǎn)生一個(gè)隨機(jī)數(shù)并將其通過敏感數(shù)據(jù)加密傳輸通道發(fā)給客戶端。
3)客戶端M DS口令的生成客戶端首先重復(fù)調(diào)用與服務(wù)器端同樣的MDS運(yùn)算K次����,得到與保存在服務(wù)器端數(shù)據(jù)庫(kù)中的口令一致的消息摘要�。然后,將從服務(wù)器傳來的隨機(jī)數(shù)與該口令相加后再調(diào)用客戶端的M DS散列運(yùn)算函數(shù)���,將結(jié)果(M DS口令)通過敏感數(shù)據(jù)加密傳輸通道傳送給服務(wù)器。
4)服務(wù)器端對(duì)MDS口令的驗(yàn)證服務(wù)器端收到客戶端傳來的用戶名和MDS口令后����,通過查詢數(shù)據(jù)庫(kù),將已存儲(chǔ)的經(jīng)過K次M DS散列運(yùn)算的口令與隨機(jī)數(shù)相加后同樣進(jìn)行M DS散列運(yùn)算����,并比較兩個(gè)結(jié)果是否相同���,如相同則通過驗(yàn)證����,否則拒絕請(qǐng)求�。整個(gè)用戶口令的生成和驗(yàn)證過程如圖2所示���。
1.3基于RBAC的訪問控制層的設(shè)計(jì)
訪問控制層主要包括兩部分:權(quán)限驗(yàn)證與授權(quán)和資源限制訪問���,采用了基于角色的訪問控制機(jī)制����。在RBAC中引人角色的概念主要是為了分離用戶和訪間權(quán)限的直接聯(lián)系�,根據(jù)組織中不同崗位及其職能�,一個(gè)角色可以擁有多項(xiàng)權(quán)限�,可以被賦予多個(gè)用戶;而一個(gè)權(quán)限也可以分配給多個(gè)角色����。在這里����,約束機(jī)制對(duì)角色和權(quán)限分配來說非常重要�,本模型設(shè)計(jì)的約束機(jī)制主要包括以下幾方面:一是限制一個(gè)角色可以支持的最大用戶容量。如超級(jí)管理員這個(gè)角色對(duì)于應(yīng)用系統(tǒng)非常重要,只允許授權(quán)給一個(gè)用戶�,該角色的用戶容量就是1。二是設(shè)置互斥角色�。即不允許將互相排斥的角色授權(quán)給同一個(gè)用戶���。如客戶類的角色和管理員類的角色是互斥的���。三是設(shè)置互斥功能權(quán)限�。即不允許將互相排斥的功能權(quán)限授權(quán)給同一個(gè)角色�。如客戶類角色查看自己銀行賬戶余額信息的權(quán)限與修改自己賬戶余額的權(quán)限就是互斥的���。
數(shù)據(jù)庫(kù)結(jié)構(gòu)設(shè)計(jì)是實(shí)現(xiàn)RBAC的重要環(huán)節(jié)����,良好的數(shù)據(jù)庫(kù)結(jié)構(gòu)設(shè)計(jì)本身就可以表述RBAC的要求�。具體設(shè)計(jì)如下:
1)用戶信息表(User_info)保存用戶基本信息。其字段有用戶ID ( User ID )����、用戶名稱(Username )���、密碼(Passw )、用戶類型( Kind )。定義表中的Kind數(shù)據(jù)項(xiàng)與Role表中Kind數(shù)據(jù)項(xiàng)具有相同的形式����。將用戶進(jìn)行分類后����,當(dāng)分配給用戶角色時(shí)可以指定用戶只能被分派到與其Kind屬性相同的角色����,這樣就可以實(shí)現(xiàn)角色的互斥約束�。
2)角色信息表(Role )、保存各個(gè)等級(jí)的角色定義信息。其字段有角色I(xiàn)D ( Role_ID )����、角色名稱(Rolename )、角色種類( Kind)和角色描述(Role_ Desc ) o Kind數(shù)據(jù)項(xiàng)代表指定角色集合中的類別�。
3)用戶/角色關(guān)系信息表(User_Role)保存用戶和角色的對(duì)應(yīng)關(guān)系�,其字段有用戶ID和角色I(xiàn)D�。當(dāng)向User_Role表中添加數(shù)據(jù)即給用戶分配角色時(shí)���,要求User_ info表中要分配角色的用戶數(shù)據(jù)元組中的Kind數(shù)據(jù)項(xiàng)與Role表中相應(yīng)角色的元組Kind數(shù)據(jù)項(xiàng)相同�,以實(shí)現(xiàn)一定尺度上的角色互斥,避免用戶被賦予兩個(gè)不能同時(shí)擁有的角色類型�。
4)權(quán)限信息表(Permission)保存系統(tǒng)中規(guī)定的對(duì)系統(tǒng)信息資源所有操作權(quán)限集合。其字段有權(quán)限ID ( Per_ID )�,操作許可(Per)�,資源ID( Pro_ID)和權(quán)限描述(Per Desc )。
5)角色/權(quán)限信息表(Role_ Per)保存各個(gè)角色應(yīng)擁有權(quán)限的集合���。其字段有角色I(xiàn)D和權(quán)限ID�。
6)系統(tǒng)信息資源秘密級(jí)別表(SecretLevel)保存規(guī)定的系統(tǒng)信息資源的秘密級(jí)別����。其字段有資源ID,密級(jí)ID ( SecrLev_ID)和密級(jí)信息描述(Secr_Desc )。在客戶端和服務(wù)器端傳輸數(shù)據(jù)和存儲(chǔ)的過程中���,通過查詢?cè)摫砜梢耘袛嗄男┬畔①Y源為敏感數(shù)據(jù)���,從而決定對(duì)其實(shí)施相應(yīng)的安全技術(shù)和機(jī)制�。
7)角色繼承關(guān)系表(Role_ Heir)存放表述各種角色之間繼承關(guān)系的信息�。其字段有角色I(xiàn)D,被繼承角色I(xiàn)D ( H_Role_ID )�。角色繼承關(guān)系可以是一對(duì)一����,一對(duì)多或多對(duì)多的,通過遍歷整個(gè)角色繼承關(guān)系表,就可以知道所有的角色繼承關(guān)系�。
8)權(quán)限互斤表(MutexPer)保存表述角色對(duì)應(yīng)權(quán)限互斥關(guān)系的信息����,其字段有權(quán)限ID和互斥權(quán)限ID�。
1.4敏感數(shù)據(jù)加密傳輸通道的設(shè)計(jì)
設(shè)計(jì)敏感數(shù)據(jù)加密傳輸通道的目的是保障敏感信息在傳輸過程中的保密性與完整性�。針對(duì)中小型企業(yè)網(wǎng)絡(luò)應(yīng)用系統(tǒng)的特點(diǎn),在充分對(duì)比各種數(shù)據(jù)加密傳輸解決方案的基礎(chǔ)上����,從成本和效果兩方面出發(fā)�,我們選擇3DES加密算法對(duì)敏感數(shù)據(jù)進(jìn)行加密����。同時(shí)又結(jié)合了RSA算法對(duì)密鑰進(jìn)行傳輸�,從而解決了對(duì)稱加密算法缺乏非對(duì)稱加密算法}/}/公鑰的安全性這個(gè)問題。具體工作流程如下:
1)服務(wù)器端由RSA加密算法生成公鑰KSpub和私鑰KSpriv;
2)服務(wù)器端將公鑰KSpub傳送給客戶端;
3)客戶端接收公鑰KSpub,然后由3DES加密算法生成對(duì)稱密鑰Ksym���,用KSpub加密Ksym ;
4)客戶端將加密后的Ksym傳送給服務(wù)器端;
5)服務(wù)器端用KSpriv解密得到Ksym ;
6)敏感數(shù)據(jù)加密傳輸通道建立成功�,服務(wù)器端和客戶端以Ksym作為密鑰對(duì)敏感數(shù)據(jù)加/解密并傳輸。
1.5安全審計(jì)部分的設(shè)計(jì)
本模型中的安全審計(jì)記錄內(nèi)容包括三個(gè)方面:一是用戶信息���,包括用戶名���、用戶IP地址等;二是用戶行為信息���,包括用戶訪問系統(tǒng)敏感資源的內(nèi)容、訪問系統(tǒng)資源的方式等;三是時(shí)間信息�,包括用戶登錄和注銷的時(shí)間���、特定行為發(fā)生的時(shí)間等�。值得注意的是�����,安全審計(jì)跟蹤不僅要記錄一般用戶的行為�����,同時(shí)也要記錄系統(tǒng)管理員的行為�����。
第4篇
【關(guān)鍵詞】虛擬專用網(wǎng) 數(shù)字證書 身份認(rèn)證 校園網(wǎng)
虛擬專用網(wǎng)(VPN)是信息安全基礎(chǔ)設(shè)施的一個(gè)重要組成部分�����,是一種普遍適用的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施�����。目前���,一些企業(yè)在架構(gòu)VPN時(shí)都會(huì)利用防火墻和訪問控制技術(shù)來提高VPN的安全性�����,但存在不少的安全隱患���。因此針對(duì)現(xiàn)有VPN系統(tǒng)無法滿足校園網(wǎng)安全使用的問題���,深入分析��、研究了VPN系統(tǒng)中的關(guān)鍵技術(shù)和主要功能���,構(gòu)建了一種基于PKI的校園網(wǎng)VPN系統(tǒng)的體系架構(gòu)��。
1 系統(tǒng)框架設(shè)計(jì)及系統(tǒng)功能模塊描述
1.1 系統(tǒng)框架設(shè)計(jì)
VPN系統(tǒng)需要解決的首要問題是網(wǎng)絡(luò)上的用戶與設(shè)備都需要確定性的身份認(rèn)證��。錯(cuò)誤的身份認(rèn)證�����。不管其他安全設(shè)施有多嚴(yán)密。將導(dǎo)致整個(gè)VPN的失效���, IPSec本身的因?yàn)樗纳矸菡J(rèn)證規(guī)模較小���、比較固定的VPN上是可行的��,把PKI技術(shù)引進(jìn)VPN中是為了網(wǎng)絡(luò)的可擴(kuò)展性和保證最大限度的安全���,CA為每個(gè)新用戶或設(shè)備核發(fā)一張身份數(shù)字證書�����,利用CA強(qiáng)大的管理功能�����,證書的發(fā)放�����、維護(hù)和撤銷等管理極其容易���,借助CA���,VPN的安全擴(kuò)展得到了很大的加強(qiáng)��。傳統(tǒng)的VPN系統(tǒng)中���,設(shè)備的身份是由其IP地址來標(biāo)識(shí)的���。IP地址也可能隨著服務(wù)商或地點(diǎn)的改變而改變���,借助CA提供的交叉認(rèn)證�����,無論用戶走到哪兒���,該用戶的數(shù)字證書卻不會(huì)改變可以隨時(shí)跟蹤該數(shù)字證書的有效性。本人提出將PKI證書身份認(rèn)證技術(shù)應(yīng)用在校園網(wǎng)IPSec-VPN網(wǎng)關(guān)中�����,以此來解決VPN的身份認(rèn)證��。
1.2 系統(tǒng)功能模塊描述
從軟件結(jié)構(gòu)上分VPN網(wǎng)關(guān)系統(tǒng)分為應(yīng)用層模塊和內(nèi)核層模塊���,SAD手工注入接口模塊和密鑰管理程序模塊為運(yùn)行在應(yīng)用層的軟件模塊���。IPSEC處理模塊、CA模塊和防火墻模塊為運(yùn)行在內(nèi)核層的軟件模塊���。
2 VPN系統(tǒng)分析
2.1 系統(tǒng)的需求分析
師生們?cè)絹碓蕉嗟刈叱鲂@�����。他們也可能需要用到校園內(nèi)部專用網(wǎng)絡(luò)資源���。這是因?yàn)殡S著我校的發(fā)展、項(xiàng)目的合作以及文化的交流越來越頻繁���,通過校園網(wǎng)VPN網(wǎng)統(tǒng)在公共網(wǎng)絡(luò)中建立的可保密、控制授權(quán)��、鑒別的臨時(shí)安全虛擬連接�����,它是一條穿越相當(dāng)混亂的公用網(wǎng)絡(luò)的安全隧道�����,是高校內(nèi)部網(wǎng)的擴(kuò)展�����,采用通道加密技術(shù)的VPN系統(tǒng)��,通過基礎(chǔ)公網(wǎng)為使用高校提供安全的網(wǎng)絡(luò)互聯(lián)服務(wù)。這樣師生們很方便的訪問我校內(nèi)網(wǎng)的網(wǎng)絡(luò)資源�����,而且相對(duì)專用網(wǎng)���、校園網(wǎng)VPN系統(tǒng)大大降低成本���;相對(duì)Internet通信,VPN系統(tǒng)又具有相當(dāng)高的安全性���。密鑰基礎(chǔ)設(shè)施PKI是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺(tái)���,能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)以及所必須的密鑰和證書管理體系���,這正好能彌補(bǔ)VPN的IPSec在身份認(rèn)證方面的缺點(diǎn)�����。
2.2 流程分析設(shè)計(jì)
(1)將PKI的認(rèn)證���、機(jī)密性和完整性協(xié)議定義為PKI專用數(shù)據(jù)��,并把它們置于DOI字段中,同時(shí)加載證書字段�����,生成帶PKI性能的IKE載荷��。
(2)IKE進(jìn)行野蠻模式或者主模式交換,互換證書�����,建立IKE SA��。
(3)雙方用公鑰檢查CA和證書中的身份信息在證書上的數(shù)字簽名�����。
(4)用公開密鑰加密算法驗(yàn)證機(jī)密性。
(5)用數(shù)字簽名算法驗(yàn)證完整性。
(6)協(xié)商一致后��,生成具體的SA��。
IPSec與PKI結(jié)合后���,在密鑰交換過程中��,通過交換證書的方式交換了公鑰和身份信息���,驗(yàn)證數(shù)字簽名�����、機(jī)密性和完整性��,從而充分的保證了信息來源的可信度���、完整性等���,同時(shí)�����,IPSec配置文件中實(shí)現(xiàn)與多數(shù)用戶的通信,只需少數(shù)的CA證書即可�����。
3 VPN系統(tǒng)的實(shí)現(xiàn)
3.1 IPSec內(nèi)核處理模塊實(shí)現(xiàn)
(1)為每種網(wǎng)絡(luò)協(xié)議(IPv4�����,IPv6等)定義一套鉤子函數(shù)(IPv4定義了5個(gè)鉤子函數(shù))���。在數(shù)據(jù)涉及流過協(xié)議棧的幾個(gè)關(guān)鍵點(diǎn)這些鉤子函數(shù)被調(diào)用。在這幾個(gè)點(diǎn)中�����,協(xié)議棧將把數(shù)據(jù)報(bào)及鉤子函數(shù)標(biāo)號(hào)作為參數(shù)調(diào)用Netfilter框架。
(2)內(nèi)核的任何模塊注冊(cè)每種協(xié)議的一個(gè)或多個(gè)鉤子��,實(shí)現(xiàn)掛接���,這樣當(dāng)傳遞給Netfilter框架某個(gè)數(shù)據(jù)包時(shí)�����,內(nèi)核能檢測(cè)是否有任何模塊對(duì)該協(xié)議和鉤子函數(shù)進(jìn)行了注冊(cè)�����。如果注冊(cè)了��,則調(diào)用該模塊的注冊(cè)時(shí)使用的回調(diào)函數(shù)��,這樣這些模塊就有機(jī)會(huì)檢查(可能還會(huì)修改)該數(shù)據(jù)包���、丟棄該數(shù)據(jù)包及指示Netfzlter將該數(shù)據(jù)包傳入用戶空間的隊(duì)列���。
(3)那些排隊(duì)的數(shù)據(jù)包是被傳遞給用戶空間的異步地進(jìn)行處理���。一個(gè)用戶進(jìn)程能檢查數(shù)據(jù)包�����,修改數(shù)據(jù)包�����,甚至可以重新將該數(shù)據(jù)包通過離開內(nèi)核的同一個(gè)鉤子函數(shù)中注入到內(nèi)核中��。
3.2 CA系統(tǒng)功能模塊實(shí)現(xiàn)
根據(jù)我校校區(qū)的分布,在這里PKI系統(tǒng)采用單CA多RA的系統(tǒng)結(jié)構(gòu)�����,這種結(jié)構(gòu)是單CA的改進(jìn),其中RA承擔(dān)了CA的部分任務(wù)��,減輕了CA的負(fù)擔(dān)�����,隨著校園規(guī)模和校園網(wǎng)的進(jìn)一步擴(kuò)大,如果經(jīng)費(fèi)允許���,我們將建立層次CA�����,學(xué)校一個(gè)根CA�����,考慮到系統(tǒng)的安全性��,CA服務(wù)器、RA服務(wù)器、Ldap服務(wù)器放置在北校區(qū)的防火墻后面��,由于我校已購(gòu)置日立的磁盤陣列,實(shí)際的數(shù)據(jù)庫(kù)系統(tǒng)采用磁盤陣列實(shí)現(xiàn)���。
CA服務(wù)器負(fù)責(zé)制作證書��,簽發(fā)證書作廢表��,審核證書申請(qǐng)���,管理和維護(hù)中心CA系統(tǒng)��,提供加密服務(wù),保護(hù)存儲(chǔ)密鑰和密鑰管理等等功能��,整個(gè)系統(tǒng)基于windows系統(tǒng)���,采用Java平臺(tái)���,并利用OpenSSL函數(shù)庫(kù)和命令行工具而本論文并不討論與之相關(guān)的加密�����、解密和密鑰存儲(chǔ)���,證書策略等。
4 結(jié)語(yǔ)
本文從互聯(lián)網(wǎng)的發(fā)展說明VPN技術(shù)產(chǎn)生的背景和意義��,再對(duì)VPN的相關(guān)技術(shù)、協(xié)議進(jìn)行研究與分析��。在此基礎(chǔ)上���,結(jié)合校園網(wǎng)絡(luò)的實(shí)際情況�����,提出了一個(gè)基于PKI校園網(wǎng)VPN系統(tǒng)的實(shí)現(xiàn)方案以利用VPN安全技術(shù)突破校園專用網(wǎng)的區(qū)域性限制來解決校園網(wǎng)存在的一些問題���。同時(shí)根據(jù)提出的方案給出了一個(gè)校園網(wǎng)VPN實(shí)現(xiàn)的實(shí)例,并對(duì)該實(shí)現(xiàn)過程進(jìn)行了檢驗(yàn)和分析�����,在一定程度上驗(yàn)證了所提方案的有效性�����。
參考文獻(xiàn)
[1]錢愛增.PKI與VPN技術(shù)在校園網(wǎng)內(nèi)部資源安全問題中的應(yīng)用研究[J].中國(guó)教育信息�����,2008(9):77-80.
[2]馮登國(guó)�����,李丹.當(dāng)前我國(guó)PKI/PMI標(biāo)準(zhǔn)的制訂與應(yīng)用[J].信息網(wǎng)絡(luò)安全���,2005:16-17.
第5篇
論文摘要:隨著我國(guó)信息技術(shù)的不斷發(fā)展,對(duì)中小企業(yè)電子信息安全的保護(hù)問題也成為人們關(guān)注的焦點(diǎn)。本文以電子信息安全為主體,介紹中小企業(yè)信息化建設(shè),對(duì)電子信息安全技術(shù)進(jìn)行概述,提出主要的安全要素,找出解決中小企業(yè)中電子信息安全問題的策略���。
在企業(yè)的管理信息系統(tǒng)中有眾多的企業(yè)文件在流轉(zhuǎn),其中肯定有重要性文件,有的甚至涉及到企業(yè)的發(fā)展前途,如果這些信息在通用過網(wǎng)絡(luò)傳送時(shí)被競(jìng)爭(zhēng)對(duì)手或不法分子竊聽、泄密�����、篡改或偽造,將會(huì)嚴(yán)重威脅企業(yè)的發(fā)展,所以,中小企業(yè)電子信息安全技術(shù)的研究具有重要意義。
一、中小企業(yè)的信息化建設(shè)意義
在這個(gè)網(wǎng)絡(luò)信息時(shí)代,企業(yè)的信息化進(jìn)程不斷發(fā)展,信息成了企業(yè)成敗的關(guān)鍵,也是管理水平提高的重要途徑�����。如今企業(yè)的商務(wù)活動(dòng),基本上都采用電子商務(wù)的形式進(jìn)行,企業(yè)的生產(chǎn)運(yùn)作���、運(yùn)輸和銷售各個(gè)方面都運(yùn)用到了信息化技術(shù)���。如通過網(wǎng)絡(luò)收集一些關(guān)于原材料的質(zhì)量,價(jià)格,出產(chǎn)地等信息來建立一個(gè)原材料信息系統(tǒng),這個(gè)信息系統(tǒng)對(duì)原材料的采購(gòu)有很大的作用�����。通過對(duì)數(shù)據(jù)的分析,可以得到跟多的采購(gòu)建議和對(duì)策,實(shí)現(xiàn)企業(yè)電子信息化水準(zhǔn)�����。有關(guān)調(diào)查顯示,百分之八十二的中小企業(yè)對(duì)網(wǎng)站的應(yīng)還處于宣傳企業(yè)形象,產(chǎn)品和服務(wù)信息,收集客戶資料這一階段,而電子商務(wù)這樣關(guān)系到交易的應(yīng)用還不到四分之一,這說明企業(yè)還未充分開發(fā)和利用商業(yè)渠道信息。中小企業(yè)信息化時(shí)代已經(jīng)到來,企業(yè)應(yīng)該加快信息化的建設(shè)��。
二、電子信息安全技術(shù)闡述
1�����、電子信息中的加密技術(shù)
加密技術(shù)能夠使數(shù)據(jù)的傳送更為安全和完整,加密技術(shù)分為對(duì)稱和非對(duì)稱加密兩種�����。其中對(duì)稱加密通常通過序列密碼或者分組機(jī)密來實(shí)現(xiàn),包括明文、密鑰�����、加密算法以及解密算法等五個(gè)基本組成成分��。非對(duì)稱加密與對(duì)稱加密有所不同,非對(duì)稱加密需要公開密鑰和私有密鑰兩個(gè)密鑰,公開密鑰和私有密鑰必須配對(duì)使用,用公開密鑰進(jìn)行的加密,只有其對(duì)應(yīng)的私有密匙才能解密。用私有密鑰進(jìn)行的加密,也只有用其相應(yīng)的公開密鑰才能解密��。
加密技術(shù)對(duì)傳送的電子信息能夠起到保密的作用�����。在發(fā)送電子信息時(shí),發(fā)送人用加密密鑰或算法對(duì)所發(fā)的信息加密后將其發(fā)出,如果在傳輸過程中有人竊取信息,他只能得到密文,密文是無法理解的。接受著可以利用解密密鑰將密文解密,恢復(fù)成明文�����。
2�����、防火墻技術(shù)
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,一些郵件炸彈,病毒木馬和網(wǎng)上黑客等對(duì)網(wǎng)絡(luò)的安全也造成了很大的威脅��。企業(yè)的信息化使其網(wǎng)絡(luò)也遭到同樣的威脅,企業(yè)電子信息的安全也難以得到保證�����。針對(duì)網(wǎng)絡(luò)不安全這種狀況,最初采取的一種保護(hù)措施就是防火墻��。在我們的個(gè)人電腦中防火墻也起到了很大的作用,它可以阻止非黑客的入侵,電腦信息的篡改等��。
3��、認(rèn)證技術(shù)
消息認(rèn)證和身份認(rèn)證是認(rèn)證技術(shù)的兩種形式,消息認(rèn)證主要用于確保信息的完整性和抗否認(rèn)性,用戶通過消息認(rèn)證來確認(rèn)信息的真假和是否被第三方修改或偽造���。身份認(rèn)證使用與鑒別用戶的身份的,包括識(shí)別和驗(yàn)證兩個(gè)步驟��。明確和區(qū)分訪問者身份是識(shí)別,確認(rèn)訪問者身份叫驗(yàn)證���。用戶在訪問一些非公開的資源時(shí)必須通過身份認(rèn)證���。比如訪問高校的查分系統(tǒng)時(shí),必須要經(jīng)過學(xué)號(hào)和密碼的驗(yàn)證才能訪問��。高校圖書館的一些資源要校園網(wǎng)才能進(jìn)行訪問,非校園網(wǎng)的不能進(jìn)入,除非付費(fèi)申請(qǐng)一個(gè)合格的訪問身份��。
三��、中小企業(yè)中電子信息的主要安全要素
1�����、信息的機(jī)密性
在今天這個(gè)網(wǎng)絡(luò)時(shí)代,信息的機(jī)密性工作似乎變得不那么容易了,但信息直接代表著企業(yè)的商業(yè)機(jī)密,如何保護(hù)企業(yè)信息不被竊取,篡改,濫用以及破壞,如何利用互聯(lián)網(wǎng)進(jìn)行信息傳遞又能確保信息安全性已成為各中小企業(yè)必須解決的重要問題。
2�����、信息的有效性
隨著電子信息技術(shù)的發(fā)展,各中小企業(yè)都利用電子形式進(jìn)行信息傳遞,信息的有效性直接關(guān)系的企業(yè)的經(jīng)濟(jì)利益,也是個(gè)企業(yè)貿(mào)易順利進(jìn)行的前提條件�����。所以要排除各種網(wǎng)絡(luò)故障���、硬件故障,對(duì)這些網(wǎng)絡(luò)故障帶來的潛在威脅加以控制和預(yù)防,從而確保傳遞信息的有效性��。
3�����、信息的完整性
企業(yè)交易各方的經(jīng)營(yíng)策略嚴(yán)重受到交易方的信息的完整性影響,所以保持交易各方的信息的完整性是非常重要對(duì)交易各方都是非常重要的�����。在對(duì)信息的處理過程中要預(yù)防對(duì)信息的隨意生成��、修改,在傳送過程中要防止信息的丟失,保持信息的完整性是企業(yè)之間進(jìn)行交易的基礎(chǔ)。
四���、解決中小企業(yè)中電子信息安全問題的策略
1��、構(gòu)建中小企業(yè)電子信息安全管理體制
解決信息安全問題除了使用安全技術(shù)以外,還應(yīng)該建立一套完善的電子信息安全管理制度,以確保信息安全管理的順利進(jìn)行。在一般中小企業(yè)中,最初建立的相關(guān)信息管理制度在很大程度上制約著一個(gè)信息系統(tǒng)的安全��。如果安全管理制度出了問題,那么圍繞著這一制度來選擇和使用安全管理技術(shù)及手段將無法正常進(jìn)行,信息的安全性就得不到保證。完善,嚴(yán)格的電子信息安全管理制度對(duì)信息系統(tǒng)的安全影響很大���。在企業(yè)信息系統(tǒng)中,如果沒有嚴(yán)格完善的信息安全管理制度,電子信息安全技術(shù)和相關(guān)的安全工具是不可能發(fā)揮應(yīng)有的作用的��。
2、利用企業(yè)的網(wǎng)絡(luò)條件來提供信息安全服務(wù)
很多企業(yè)的多個(gè)二級(jí)單位都在系統(tǒng)內(nèi)通過廣域網(wǎng)被聯(lián)通, 局域網(wǎng)在各單位都全部建成,企業(yè)應(yīng)該利用這種良好的網(wǎng)絡(luò)條件來為企業(yè)提供良好的信息安全服務(wù)��。通過企業(yè)這一網(wǎng)絡(luò)平臺(tái)技術(shù)標(biāo)準(zhǔn),安全公告和安全法規(guī),提供信息安全軟件下載,安全設(shè)備選型,提供在線信息安全教育和培訓(xùn),同時(shí)為企業(yè)員工提供一個(gè)交流經(jīng)驗(yàn)的場(chǎng)所��。
3�����、定期對(duì)安全防護(hù)軟件系統(tǒng)進(jìn)行評(píng)估�����、改進(jìn)
隨著企業(yè)的發(fā)展,企業(yè)的信息化應(yīng)用和信息技術(shù)也不斷發(fā)展,人們對(duì)信息安全問題的認(rèn)識(shí)是隨著技術(shù)的發(fā)展而不斷提高的,在電子信息安全問題不斷被發(fā)現(xiàn)的同時(shí),解決信息安全問題的安全防護(hù)軟件系統(tǒng)也應(yīng)該不斷的改進(jìn),定期對(duì)系統(tǒng)進(jìn)行評(píng)估�����。
總之,各中小企業(yè)電子星系安全技術(shù)包含著技術(shù)和管理,以及制度等因素,隨著信息技術(shù)的不斷發(fā)展,不僅中小企業(yè)辦公室逐漸趨向辦公自動(dòng)化,而且還確保了企業(yè)電子信息安全�����。
參考文獻(xiàn):
[1]溫正衛(wèi);信息安全技術(shù)在電子政務(wù)系統(tǒng)中的應(yīng)用[J];軟件導(dǎo)刊,2010
閆兵;企業(yè)信息安全概述及防范[J];科學(xué)咨訊,2010
第6篇
論文摘要:身份和身份管理已成為移動(dòng)報(bào)務(wù)中很重要的組成部分。比起集中式的身份管理���,移動(dòng)領(lǐng)域巾采刀的聯(lián)合身份管理能使月戶更方便、更快捷地使用到個(gè)性化的移動(dòng)服務(wù)���,但又不失安全性�����。本文基于身份聯(lián)合框架���,探討和研究了聯(lián)合身份管理及并在移動(dòng)服務(wù)中的應(yīng)用���。
引言
隨著當(dāng)今移動(dòng)通信技術(shù)的發(fā)展,例如基于分組交換的移動(dòng)網(wǎng)絡(luò)的發(fā)展���、擁有彩屏和X日TML瀏覽器的移動(dòng)設(shè)備的出現(xiàn)���,商家可以為用戶提供相對(duì)于有線網(wǎng)絡(luò)來說更方便�����、更自由的移動(dòng)服務(wù)�����。在這些服務(wù)中�����,用戶身份是一個(gè)很重要的組成部分��,商家只有在獲得有效的��、經(jīng)過認(rèn)證的用戶身份后,才能為該用戶提供個(gè)性化的移動(dòng)服務(wù)�����?�?墒乾F(xiàn)今這些服務(wù)并不像人們所想象得那樣迅速發(fā)展�����,其中有四個(gè)主要原因:
——用戶和商家之間不能建立相互信任的關(guān)系��。一方面商家希望獲得用戶更多的身份信息以方便其提供更有效的服務(wù).而另一方面用戶又不愿意自己的隱私得不到有效的保障��。
——各個(gè)商家的用戶身份管理處于相互獨(dú)立的狀態(tài),這樣用戶就需要記住自己在不同服務(wù)處不同的用戶名和密碼�����。
——由于自身體積大小的限制移動(dòng)設(shè)備通常使用小型的鍵盤和屏幕.這些硬件上的限制使得用戶在使用服務(wù)時(shí)輸入用戶名和密碼并不是那么的方便�����。各個(gè)商家在建立有效的身份管理機(jī)制上投入了大量的時(shí)間和財(cái)力.從而影響了這些服務(wù)的及時(shí)部署和最終的利潤(rùn)��。
建立一個(gè)有效的身份管理架構(gòu)可以很好地解決上面出現(xiàn)的問題���。在這個(gè)架構(gòu)中��,各個(gè)商家基于某個(gè)協(xié)議建立起廣泛的相互信任關(guān)系:一個(gè)商家做出的關(guān)于用戶身份的認(rèn)證聲明將被其它商家所信任。這樣就為用戶提供了一個(gè)無縫化的服務(wù)環(huán)境.用戶只需單次登錄.然后點(diǎn)擊就可以輕松獲得各種個(gè)性化的移動(dòng)服務(wù)��。
現(xiàn)有的身份管理架構(gòu)可以分為兩種:集中式的身份管理和聯(lián)合的身份管理��。其中集中式的身份管理以微軟的Passport機(jī)制為代表���,它是一種Web服務(wù)它將用戶的網(wǎng)絡(luò)身份和相關(guān)信息存放在大型數(shù)據(jù)庫(kù)中實(shí)行集中式的管理所以注冊(cè)了Passport的用戶可以采用Passport關(guān)聯(lián)的應(yīng)用程序在Internet上任何位置進(jìn)行驗(yàn)證���,PassPort驗(yàn)證票證也可以被解碼到cookie中��,以便實(shí)現(xiàn)單一登錄而無需重復(fù)登錄���。
但是它的缺點(diǎn)也是顯而易見的,由于身份管理是集中式的,所以單點(diǎn)故障很可能導(dǎo)致認(rèn)證癱瘓��。而且,最關(guān)鍵的問題在于Passport只能在相似的平臺(tái)中部署���,雖然多數(shù)線上消費(fèi)者使用WindowsPC連接互聯(lián)網(wǎng)���,但他們的數(shù)字身份卻是由IsP或是移動(dòng)服務(wù)商所頒發(fā)而這一領(lǐng)域又多屬于Unix/Linux系統(tǒng)的市場(chǎng)���。此外�����,從手機(jī)、PDA或其它非Windows平臺(tái)訪問網(wǎng)絡(luò)的情況也越來越普及因此以平臺(tái)無關(guān)的方式來進(jìn)行身份管理越發(fā)重要���。
聯(lián)合身份管理
1.身份聯(lián)合框架
2002年7月���,由諾基亞���、SUN、Intel、HP以及GM等160多家公司和組織組成的自由聯(lián)盟(LibertyAlliance)提出了身份聯(lián)合框架(ldentityFederationFrameworkID一FF}���。該框架基于身份聯(lián)合來實(shí)現(xiàn)身份管理���,并制定了一系列的開放性的規(guī)范和標(biāo)準(zhǔn)來實(shí)現(xiàn)以下幾個(gè)目的
(1)用戶可以選擇性地將其在不同服務(wù)商處的帳戶連接起來�����。
(2)用戶在其中一個(gè)帳戶處經(jīng)過身份認(rèn)證后就可以連接到其它帳戶而不用重新登錄從而實(shí)現(xiàn)了單點(diǎn)登錄���。
(3)當(dāng)用戶在其中一個(gè)帳戶處退出登錄后��,在其它帳戶處也會(huì)注銷其登錄會(huì)話信息從而實(shí)現(xiàn)了單點(diǎn)退出��。
(4)在固定設(shè)備和移動(dòng)設(shè)備上都能實(shí)現(xiàn)身份的聯(lián)合�����。該框架中.由于用戶的網(wǎng)絡(luò)數(shù)字身份信息是保存在不同的地方.所以解決了集中式身份管理中存在的單點(diǎn)故障問題�����。而且該框架是以SOAP和SAML為基礎(chǔ)的開放性的架構(gòu).如圖1所示,所以它與具體部署平臺(tái)和實(shí)現(xiàn)語(yǔ)言無關(guān)�����。
2.參與角色和架構(gòu)組件
在一個(gè)典型的身份管理商業(yè)系統(tǒng)中.通常包含三種角色:用戶(Use:)、服務(wù)提供者(ServieeProvider��,以下簡(jiǎn)稱sp)和身份提供者(一dentityprovider.以下簡(jiǎn)稱ldP)。其中SP是指提供Web服務(wù)的商業(yè)性或是非盈利性組織Idp是提供身份認(rèn)證服務(wù)的特殊的SP它管理用戶的身份信息.并為其它SP提供認(rèn)證聲明�����。在身份聯(lián)合框架中��,Webserviee��、metadata&sehemas和Webredirection三個(gè)架構(gòu)組件將這三個(gè)角色聯(lián)系在一起��。如圖2所示���。
圖2中.ldP和SP之間使用Web服務(wù)的方式進(jìn)行相互通信���,使用Web重定向方式在用戶設(shè)備上為用戶提供服務(wù).而metadataschemas指定Idp和Sp之間交互各種信息的一套元數(shù)據(jù)和數(shù)據(jù)格式��。
3.信任圈模型
信任圈模型構(gòu)成了聯(lián)合身份管理的基礎(chǔ)�����。擁有商業(yè)聯(lián)系的一個(gè)或是多個(gè)IdP和一組SP,通過某種約定共同構(gòu)建成一個(gè)認(rèn)證域也稱為信任圈(CirefeofTrust).如圖3所示�����。在這個(gè)信任圈中l(wèi)dP做出的認(rèn)證聲明被所有與其聯(lián)合的SP所信任��。用戶可以選擇將其在ldP處的帳戶和在SP處的帳戶之間建立連接,這樣.用戶下一次在IdP處通過身份認(rèn)證后��,就可以在信任圈中無縫地���、安全地使用sP提供的個(gè)性化服務(wù)��。
聯(lián)合身份管理在移動(dòng)服務(wù)中的應(yīng)用
基于自由聯(lián)盟提出的開放式的聯(lián)合身份管理架構(gòu).移動(dòng)運(yùn)營(yíng)商和服務(wù)提供商可以按照某種商業(yè)協(xié)議共同組成一個(gè)信任圈��。在這個(gè)信任圈中服務(wù)提供商完全信任移動(dòng)運(yùn)營(yíng)商提供的身份認(rèn)證聲明��,并且可以從運(yùn)營(yíng)商處獲得用戶身份信息Web服務(wù),從而使服務(wù)提供商和移動(dòng)運(yùn)營(yíng)商聯(lián)合起來共同為客戶提供個(gè)性化的移動(dòng)月民務(wù)�����。
在聯(lián)合身份管理架構(gòu)中.有兩種設(shè)備可以用于訪問移動(dòng)服務(wù):普通的瀏覽器客戶端和LECP���。
1.普通瀏覽器客戶端
用戶使用普通手機(jī)瀏覽器直接訪問移動(dòng)服務(wù)的優(yōu)點(diǎn)在于它對(duì)現(xiàn)今存在的客戶端軟件和網(wǎng)絡(luò)設(shè)備不需要做任何的改變���。但是在這種情況下,服務(wù)提供者就無法得知能為該用戶提供身份認(rèn)證的身份服務(wù)者到底是誰(shuí)�����。在實(shí)際情況中,服務(wù)提供者會(huì)向用戶提供一個(gè)列表讓用戶從中選擇其身份提供者���。但是由于移動(dòng)設(shè)備的小鍵盤和小屏幕�����,這種選擇往往會(huì)使用戶喪失耐心�����。所以這種模式適用于在信任圈內(nèi)只有一個(gè)ldP時(shí)使用���。
2.LEC/LECP
LEC/LECP(Liberty一enabledCli一ento:Proxy)是指支持自由聯(lián)盟架構(gòu)的客戶端或是器�����。它擁有用戶在訪問SP時(shí)所希望使用的ldP的相關(guān)信息,或是知道如何獲得這些信息��。LEC/LECP可以是PC機(jī)���、機(jī)頂盒���、移動(dòng)設(shè)備或是像WAP網(wǎng)關(guān)和日TTP服務(wù)器之類的網(wǎng)絡(luò)設(shè)備��。
圖4顯示了在無線領(lǐng)域中基于Libertv的認(rèn)證架構(gòu)的一種實(shí)現(xiàn)方法���。在圖中運(yùn)營(yíng)商在作為身份提供者的同時(shí)還擁有一個(gè)LECP的四AP網(wǎng)關(guān)或是盯TP服務(wù)器��,而服務(wù)商也在它的服務(wù)中添加了對(duì)Liberty協(xié)議的支持�����。當(dāng)用戶通過點(diǎn)擊訪問服務(wù)商的URL時(shí),用戶的手機(jī)首先將會(huì)與運(yùn)營(yíng)商的網(wǎng)關(guān)建立會(huì)話然后再連接到服務(wù)處(圖4中的第1���、2步}:服務(wù)商能從HTTP請(qǐng)求中識(shí)別出網(wǎng)關(guān)是LEC網(wǎng)關(guān).并向運(yùn)營(yíng)商處的身份提供者發(fā)出一個(gè)認(rèn)證用戶身份的請(qǐng)求(圖4中的第3�����、4步)運(yùn)營(yíng)商在認(rèn)證完用戶的身份后將返回給服務(wù)商認(rèn)證聲明(圖4中的第5��、6步);此時(shí)服務(wù)商就可以根據(jù)該認(rèn)證聲明為用戶提供相應(yīng)的服務(wù)(圖4中的第7.8步)�����。
運(yùn)營(yíng)商可以以不同的方式認(rèn)證用戶身份.比如WPKI���、用戶名加密碼或是電話號(hào)碼。其中使用電話號(hào)碼是最簡(jiǎn)單的認(rèn)證方式��,因?yàn)檫\(yùn)營(yíng)商可以在網(wǎng)關(guān)處自動(dòng)地認(rèn)證用戶的身份。
服務(wù)商或許還需要更多的與用戶身份相關(guān)的個(gè)人信息���,例如用戶的在線配置信息���、個(gè)人購(gòu)物喜好或是購(gòu)物記錄���、移動(dòng)用戶的當(dāng)前位置信息和日志記錄等等以便于服務(wù)商向用戶提供更好的個(gè)性化服務(wù)���。此時(shí),服務(wù)商也可以以WebServiee的方式通過LEC網(wǎng)關(guān)向運(yùn)營(yíng)商請(qǐng)求用戶的相關(guān)屬性信息���,如圖5所示���。
在圖5中���,運(yùn)營(yíng)商處的發(fā)現(xiàn)服務(wù)將向移動(dòng)服務(wù)商提供可以獲取用戶屬性的地址��,然后服務(wù)商從該地址訪問屬性Web服務(wù)運(yùn)營(yíng)商的屬性Web服務(wù)提供者將根據(jù)用戶的設(shè)定檢查該服務(wù)商是否擁有訪問并使用這些屬性的授權(quán)檢查通過后就以Web月及務(wù)的方式為移動(dòng)服務(wù)商提供這些屬性��。
由此可見�����,在移動(dòng)領(lǐng)域中引合身份管理后服務(wù)提供者和運(yùn)營(yíng)商共同構(gòu)成了一個(gè)信任圈在這個(gè)信任圈中.用戶既可以方便地向服務(wù)商提供自己的身份���,又可以完全掌控自己的個(gè)人信息從而可以授權(quán)特定的服務(wù)商使用特定的個(gè)人屬性信息��。而且最主要的是整個(gè)認(rèn)證過程對(duì)用戶來說是透明的在用戶看來就好像是“只是點(diǎn)擊就得到了個(gè)性化的移動(dòng)服務(wù)”��,整個(gè)過程是無縫的不會(huì)經(jīng)常被輸入用戶名和密碼的提示所打斷。
3.聯(lián)合身份管理的評(píng)價(jià)
通過上面聯(lián)合身份管理在移動(dòng)服務(wù)中的應(yīng)用的研究討論���,我們可以很明顯地看到.聯(lián)合身份管理將給移動(dòng)服務(wù)中的各個(gè)參與方所帶來的好處:
——對(duì)于用戶來說可以更快更方便地訪問到個(gè)性化的服務(wù).又不失匿名性和隱私而且對(duì)于自己的網(wǎng)絡(luò)身份信息和屬性擁有完全的控制權(quán):
——對(duì)于服務(wù)提供商來說,減少在訪問管理架構(gòu)上的花費(fèi)提高操作過程效率.而且服務(wù)的快速部署可以適應(yīng)多變的市場(chǎng)瓣求��,在竟?fàn)幹袚尩孟葯C(jī);
——對(duì)于移動(dòng)運(yùn)營(yíng)商來說��,增加了新的收入渠道他們可為服務(wù)提供商提供身份服務(wù)還可以將一些重要的信息(例如移動(dòng)用戶的位置和在線狀態(tài))出售給服務(wù)提供商���。
第7篇
關(guān)鍵詞 共享域 省中心 系統(tǒng)整合 CALIS
1��、引言
中國(guó)高等教育文獻(xiàn)保障系統(tǒng)(CALLS)自1998年正式啟動(dòng)以來��,已初步建成分布式中國(guó)高等教育數(shù)字圖書館系統(tǒng)�����,目前正進(jìn)入第三期的發(fā)展階段���。CALLS的三期建設(shè)是基于云計(jì)算、Web2.0、SOA�����、社會(huì)網(wǎng)絡(luò)SNS/OpenSocial��、知識(shí)網(wǎng)絡(luò)等核心技術(shù)���,面向高校館開展數(shù)據(jù)/知識(shí)服務(wù)���、軟件租用服務(wù)(SaaS)�����、接口服務(wù)(OpenAPI)��、業(yè)務(wù)支撐服務(wù)以及技術(shù)支持服務(wù)�����、培訓(xùn)服務(wù)。其建設(shè)目標(biāo)是為成員館提供標(biāo)準(zhǔn)化���、低成本、自適應(yīng)�����、可擴(kuò)展的數(shù)字圖書館統(tǒng)一服務(wù)和集成平臺(tái),這些館通過彼此互聯(lián)�����,構(gòu)成全國(guó)高校數(shù)字圖書館三級(jí)共建和共享服務(wù)��,以及多館服務(wù)協(xié)作的聯(lián)合體系,共同為高校師生提供全方位的文獻(xiàn)服務(wù)���、咨詢服務(wù)��、電子商務(wù)和個(gè)性化服務(wù)��。
如何擴(kuò)大CALLS各個(gè)系統(tǒng)在成員館中應(yīng)用的廣度和深度,一直是CALLS中心與成員館雙方面臨的難題��。在大多數(shù)應(yīng)用實(shí)踐中,CALLS提供的各種系統(tǒng)作為單獨(dú)的應(yīng)用���,湮沒在高校圖書館眾多系統(tǒng)之中,其使用效率具有很大的提升空間。因此��,CA-LIS三期致力于提供軟件租用服務(wù)��、接口服務(wù)等�����,并重新設(shè)計(jì)了單點(diǎn)登錄模塊���,旨在實(shí)現(xiàn)CALIS應(yīng)用系統(tǒng)與成員館管理系統(tǒng)之間的深度整合。重慶大學(xué)圖書館自2006年開始���,自行研發(fā)了具有圖書館2.0理念的圖書館系統(tǒng)�����,以用戶為核心重新設(shè)計(jì)了B/S的系統(tǒng)架構(gòu),構(gòu)建了以館員為主導(dǎo)的圖書館全面管理系統(tǒng)ADLIB2��、以讀者為主導(dǎo)的SNS知識(shí)服務(wù)社區(qū)和圖書館知識(shí)搜索LKS三大系統(tǒng)��,突現(xiàn)服務(wù)的個(gè)性化和管理的人性化���。CALIS系統(tǒng)與重慶大學(xué)圖書館系統(tǒng)均屬于自主研發(fā)��,雙方對(duì)于技術(shù)的掌控較深�����,因此具備了深度整合的基礎(chǔ)���,雙方自2010年6月起�����,就需求設(shè)計(jì)�����、接口調(diào)試���、安全控制進(jìn)行了整合實(shí)踐�����,并于9月通過多次聯(lián)調(diào)后,實(shí)現(xiàn)初步的整合��。從系統(tǒng)整合的效果看��,大大提升了圖書館的文獻(xiàn)共享水平�����,具有進(jìn)一步推廣應(yīng)用的價(jià)值。
2���、CALLS三期共享域與成員館集成模式
2.1 CALIS共享域
CALIS共享域是指按區(qū)域�����、學(xué)科,或共同興趣組成的圖書館聯(lián)盟�����,彼此協(xié)作��,共享資源�����、服務(wù)。它有兩種類型:(1)實(shí)體共享域:是指部署云平臺(tái)的共享域���,為成員館提供各種云服務(wù)��,如SaaS等��。(2)虛擬共享域:是無需部署云平臺(tái)的共享域�����。圖書館按學(xué)科或服務(wù)組成聯(lián)盟�����,在服務(wù)和數(shù)據(jù)層面實(shí)現(xiàn)共享。各成員館與共享域的關(guān)系如圖1所示�����。
CALIS利用云計(jì)算技術(shù)構(gòu)建了共享域云服務(wù)平臺(tái),部署在各個(gè)省中心�����、園區(qū)中心和其他共享域中心,為成員館提供各類軟件租用服務(wù)(包括統(tǒng)一認(rèn)證�����、館際互借與文獻(xiàn)傳遞、參考咨詢���、特色庫(kù)、學(xué)位論文�����、云盤等)���。各高校圖書館可以免費(fèi)租用CALIS各級(jí)云服務(wù)來實(shí)現(xiàn)本館服務(wù)與云服務(wù)的整合��,利用該共享域云平臺(tái)形成完整的圖書館服務(wù)�����,無需購(gòu)買和建立本地系統(tǒng)�����,也不必進(jìn)行系統(tǒng)維護(hù)�����,就能獲得全局性的整合服務(wù)和規(guī)模效應(yīng)��,不僅實(shí)現(xiàn)了最大程度的資源共享��,也能更專注于業(yè)務(wù)管理和信息服務(wù)���。
2.2 系統(tǒng)部署和集成模式
目前,CALIS對(duì)于高校圖書館的系統(tǒng)部署和集成模式主要有以下4種:
(1)模式1:純本地模式(無認(rèn)證集成)��?��;谶@種服務(wù)模式下的圖書館也就是原本地版��,且不支持共享域中的本館認(rèn)證�����,僅維持其現(xiàn)有服務(wù)形態(tài)��;
(2)模式2:純租用模式���。基于這種服務(wù)模式下的圖書館沒有屬于其自身的本地系統(tǒng)��,所有資源全部在共享域平臺(tái)中進(jìn)行租用��,最大程度上實(shí)現(xiàn)了資源的共享�����,但也就無法從本館進(jìn)行統(tǒng)一認(rèn)證登陸��;
(3)模式3:純本地模式(支持認(rèn)證集成)�����?��;谶@種服務(wù)模式下的圖書館雖然所有的系統(tǒng)和硬件軟件都由其自己負(fù)責(zé)建立和維護(hù),但因其與CALIS共享域平臺(tái)做了對(duì)接��,故可采用從本館或CALLS統(tǒng)一認(rèn)證中心兩種不同的方式登陸平臺(tái),其館際互借系統(tǒng)雖然是原本地版���,但支持本館認(rèn)證,基本上實(shí)現(xiàn)了最大程度的資源共享���;
(4)模式4:本地+租用模式(支持認(rèn)證集成)���?��;谶@種服務(wù)模式下的圖書館將本館的統(tǒng)一認(rèn)證和CALLS統(tǒng)一認(rèn)證做了集成�����,可選擇采用從本館或CALLS統(tǒng)一認(rèn)證中心兩種不同的方式登陸平臺(tái)��,其共享域統(tǒng)一認(rèn)證和館際互借系統(tǒng)是租用的�����。其中��,對(duì)共享域統(tǒng)一認(rèn)證的租用是作為中介而存在的�����。
3��、重慶市共享域與重慶大學(xué)圖書館-的系統(tǒng)整合實(shí)踐
重慶文獻(xiàn)信息服務(wù)中心結(jié)合CALLS三期建設(shè)目標(biāo)與已有的建設(shè)成果���,在重慶市大學(xué)城資源共享平臺(tái)“網(wǎng)上圖書館”的基礎(chǔ)上�����,建立或完善重慶市文獻(xiàn)信息保障系統(tǒng),力求將CALLS重慶中心建設(shè)成為面向重慶市各級(jí)各類高校圖書館和讀者的資源整合中心�����、信息服務(wù)中心��、技術(shù)支持中心以及宣傳培訓(xùn)中心��,并將CALLS各項(xiàng)信息服務(wù)推廣到重慶市15所本科院校和部分高職學(xué)院���。
3.1 重慶市共享域的建設(shè)
重慶文獻(xiàn)信息服務(wù)中心于2010年7月初確定了重慶市共享域和重慶大學(xué)圖書館的集成方案,9月初完成重慶市共享域平臺(tái)安裝和調(diào)試�����。目前���,重慶大學(xué)�����、重慶師范大學(xué)���、重慶科技學(xué)院�����、重慶工商大學(xué)、重慶交通學(xué)院已經(jīng)加入到共享域中���,且陸續(xù)開通UAS���、ILL租用服務(wù)���。為了便于與CALLS的其他應(yīng)用系統(tǒng)進(jìn)行對(duì)接�����,以及各個(gè)應(yīng)用系統(tǒng)在重慶市其他高校圖書館的推廣應(yīng)用,重慶文獻(xiàn)信息服務(wù)中心的系統(tǒng)總體框架采用CALLS系統(tǒng)建設(shè)的總體架構(gòu)�����。該系統(tǒng)共分為6層:基礎(chǔ)設(shè)施層���、數(shù)據(jù)資源服務(wù)層�����、公共基礎(chǔ)服務(wù)層��、業(yè)務(wù)邏輯服務(wù)層�����、用戶界面與終端層��,通過數(shù)字圖書館技術(shù)標(biāo)準(zhǔn)與規(guī)范��、系統(tǒng)運(yùn)行維護(hù)體系�����、系統(tǒng)安全管理系統(tǒng)來實(shí)現(xiàn)對(duì)于讀者的各類型文獻(xiàn)共享服務(wù)���。
各個(gè)業(yè)務(wù)子系統(tǒng)也統(tǒng)一安裝部署在重慶文獻(xiàn)信息服務(wù)中心�����,各個(gè)成員館主要通過云計(jì)算方式使用重慶市共享域中心的各種CALIS文獻(xiàn)服務(wù)。CA-LIS共享域中心的應(yīng)用系統(tǒng)軟件由共享平臺(tái)管理�����、館際互借與文獻(xiàn)傳遞系統(tǒng)等7個(gè)部分組成�����,它們的系統(tǒng)功能分別是:
(1)共享平臺(tái)管理:共享域中心對(duì)各個(gè)租用館進(jìn)行管理�����;為各租用館提供與本館所租用的其他系統(tǒng)之間統(tǒng)一的用戶身份認(rèn)證��、統(tǒng)一的用戶管理和單點(diǎn)登錄服務(wù),能與本館的本地統(tǒng)一認(rèn)證系統(tǒng)實(shí)現(xiàn)聯(lián)合認(rèn)證�����,能與CAMS全國(guó)認(rèn)證中心系統(tǒng)集成��,實(shí)現(xiàn)聯(lián)合認(rèn)證��。
(2)館際互借與文獻(xiàn)傳遞系統(tǒng):館際互借與文獻(xiàn)傳遞服務(wù)(ILL讀者網(wǎng)關(guān)子系統(tǒng)���、館際互借事務(wù)處理子系統(tǒng));各個(gè)租用館之間以及租用館與其他圖書館
之間都能彼此進(jìn)行館際互借與文獻(xiàn)傳遞業(yè)務(wù)�����,實(shí)現(xiàn)館館結(jié)算�����、館與讀者結(jié)算���。
(3)虛擬參考咨詢系統(tǒng):參考咨詢服務(wù)(實(shí)時(shí)咨詢、非實(shí)時(shí)咨詢��、知識(shí)庫(kù)查詢,知識(shí)庫(kù)編目和管理���、咨詢員管理�����、專家管理等)��;能與CALLS參考咨詢服務(wù)中心系統(tǒng)集成��,能與CALLS數(shù)據(jù)交換平臺(tái)實(shí)現(xiàn)知識(shí)庫(kù)數(shù)據(jù)的交換和共享。
(4)通用特色數(shù)據(jù)庫(kù)管理系統(tǒng):各類資源的特色資源編目��、管理��,支持14種元數(shù)據(jù)類型(圖書�����、古籍�����、圖片、音頻�����、視頻�����、家譜、期刊等)�����,新數(shù)據(jù)類型的添加��、擴(kuò)展,數(shù)據(jù)上傳�����、管理和��,與CALIS特色庫(kù)服務(wù)中心系統(tǒng)集成��,與CALIS數(shù)據(jù)交換平臺(tái)數(shù)據(jù)交換�����、共享。
(5)教學(xué)參考信息管理系統(tǒng):提供本館相關(guān)的教學(xué)信息和教參書的編目與管理���,支持教參書與本館OPAC和電子書的關(guān)聯(lián)���,與CALIS教參服務(wù)中心數(shù)據(jù)庫(kù)系統(tǒng)集成��,與CALIS數(shù)據(jù)交換平臺(tái)實(shí)現(xiàn)數(shù)據(jù)交換和共享�����。
(6)數(shù)據(jù)共享服務(wù)管理系統(tǒng)(即云盤系統(tǒng)):提供各類文件資源的上傳�����、下載���、分發(fā)、共享�����、管理等功能���,提供個(gè)人云盤和機(jī)構(gòu)公共云盤服務(wù)�����,與館際互借與文獻(xiàn)傳遞系統(tǒng)集成和共享���。
(7)學(xué)位論文信息提交和管理系統(tǒng):提供面向本校的學(xué)位論文的提交��、審核��、編目和管理��,具有SaaS管理和服務(wù)功能�����,與CALIS學(xué)位論文服務(wù)中心系統(tǒng)集成���,與CALLS數(shù)據(jù)交換平臺(tái)實(shí)現(xiàn)數(shù)據(jù)交換和共享���。
3.2重慶大學(xué)圖書館系統(tǒng)改造
重慶大學(xué)圖書館于2007年10月8日正式啟用了基于面向服務(wù)的系統(tǒng)架構(gòu)的圖書館系統(tǒng),整體采用B/s運(yùn)行模式�����。重慶大學(xué)現(xiàn)代圖書館管理系統(tǒng)(ADLIB2)以用戶(讀者和館員)為核心��,包含基于館員的圖書館管理系統(tǒng)�����、基于讀者的知識(shí)服務(wù)系統(tǒng)和圖書館知識(shí)搜索�����,系統(tǒng)采用J2EE���、FLEX、AJAX等新技術(shù)構(gòu)建。為了更好地讓ADLIB2系統(tǒng)和CA-LIS共享域進(jìn)行整合,重慶大學(xué)圖書館對(duì)本館LIB2.0系統(tǒng)進(jìn)行了改造���,包括統(tǒng)一認(rèn)證系統(tǒng)�����、知識(shí)服務(wù)系統(tǒng)LKS�����、SNS系統(tǒng)�����、門戶頁(yè)面以及編目系統(tǒng)��。
重慶大學(xué)圖書館對(duì)本館系統(tǒng)的改造包括:
統(tǒng)一認(rèn)證系統(tǒng):支持CALLS聯(lián)合認(rèn)證���,實(shí)現(xiàn)讀者在重慶大學(xué)圖書館、重慶市共享域���、CALLS中心的全網(wǎng)漫游�����;
知識(shí)服務(wù)系統(tǒng)LKS:與CALLS的eduChina/E讀和CCC進(jìn)行集成�����,以實(shí)現(xiàn)eduChina的一鍵搜索�����;
SNS系統(tǒng):開發(fā)API和iGoogle小應(yīng)用��,與CA-LIS個(gè)性化門戶系統(tǒng)(iGoogle Server)進(jìn)行集成��,以實(shí)現(xiàn)CALLS個(gè)性化門戶(iGoogle)與重慶大學(xué)圖書館“我的書齋”SNS�����、知識(shí)檢索平臺(tái)LKS、集成管理系統(tǒng)ADLIB2.0之間的無縫集成��;
門戶頁(yè)面:在主頁(yè)上增加相關(guān)的菜單和鏈接��,如館際互借�����、參考咨詢、個(gè)性化門戶�����、外文期刊網(wǎng)等��,并支持CALLS的聯(lián)合認(rèn)證��;
編目系統(tǒng):基于新的WS接口將重慶大學(xué)圖書館的編目系統(tǒng)與CALLS聯(lián)機(jī)編目系統(tǒng)進(jìn)行集成,以便上傳和下載MARC數(shù)據(jù)���,實(shí)現(xiàn)整個(gè)共享域平臺(tái)內(nèi)成員館的聯(lián)合編目���。
3.3 系統(tǒng)整合實(shí)踐
隨著重慶市共享域平臺(tái)安裝調(diào)試工作的結(jié)束以及重慶大學(xué)圖書館系統(tǒng)改造工作的完成���,2010年9月���,重慶中心共享域與重慶大學(xué)圖書館ADLIB2系統(tǒng)進(jìn)行了整合�����。事實(shí)證明���,整合以后的主頁(yè)平臺(tái)運(yùn)行穩(wěn)定���、使用效果良好,受到了讀者的普遍歡迎,在真正意義上實(shí)現(xiàn)了文獻(xiàn)共享、數(shù)據(jù)共享��、知識(shí)共享、設(shè)備共享、軟件共享以及人力共享��。
3.3.1 整合模式
在CALLS三期重慶文獻(xiàn)信息服務(wù)中心的建設(shè)中��,其業(yè)務(wù)模式主要以CALLS中心提供的各項(xiàng)文獻(xiàn)服務(wù)為核心,重點(diǎn)將各個(gè)應(yīng)用系統(tǒng)納入重慶中心的業(yè)務(wù)流程中,在此基礎(chǔ)上進(jìn)行推廣應(yīng)用�����,實(shí)現(xiàn)與其他成員館的協(xié)作。
重慶大學(xué)在與CALLS三期重慶中心共享域做系統(tǒng)整合的時(shí)候是采用的模式4��;本地+租用模式�����,支持聯(lián)合認(rèn)證��。如圖2所示。
具體來說��,就是把本地服務(wù)器上重慶大學(xué)圖書館的“我的書齋”SNS�����、知識(shí)檢索平臺(tái)LKS、集成管理系統(tǒng)ADLIB2.0與在共享域平臺(tái)中所租用的重慶市共享域的館際互借��、統(tǒng)一認(rèn)證和CALLS管理中心的eduChina��、E讀(Global���、Local)、個(gè)性化門戶(iGoogle)、統(tǒng)一認(rèn)證中心整合在一起。
3.3.2 數(shù)據(jù)集成
數(shù)據(jù)集成是為了實(shí)現(xiàn)讀者在重慶大學(xué)圖書館與CALIS中心之間的雙向訪問和互動(dòng)��,主要工作在以下三個(gè)方面展開:(1)將重慶大學(xué)圖書館的MARC數(shù)據(jù)和電子書目次上傳到CALIS的系統(tǒng)共享平臺(tái),以實(shí)現(xiàn)eduChina的一鍵搜索;(2)將本館的動(dòng)態(tài)館藏接口與CALIS共享域平臺(tái)對(duì)接,以即時(shí)揭示本館的館藏書目在架狀態(tài)�����;(3)開通了在eduChina��、CCC中的Local服務(wù)��,使共享域中的其他用戶能在CA-LIS中心檢索本館��、本市的文獻(xiàn)及館藏信息���。
3.3.3
訪問流程
重慶文獻(xiàn)信息服務(wù)中心與重慶大學(xué)圖書館的系統(tǒng)整合后�����,讀者進(jìn)行數(shù)據(jù)訪問的流程有以下兩種:一是讀者先訪問eduChina���,再進(jìn)入重慶大學(xué)圖書館門戶���。若需要用戶登錄的話,則引導(dǎo)讀者到重慶大學(xué)圖書館登錄�����,成功后自動(dòng)返回eduChina并處于已登錄狀態(tài)��;已登錄用戶進(jìn)入重慶大學(xué)圖書館(門戶、OPAC)���,仍處于已登錄狀態(tài)�����。具體流程如圖3所示�����,二是讀者先訪問重慶大學(xué)圖書館門戶��,再進(jìn)入eduChina��、重慶市共享域中的ILL租用版���。若在重慶大學(xué)圖書館已登錄�����,進(jìn)入eduChina時(shí)則自動(dòng)處于已登錄狀態(tài)���,并可正式進(jìn)入ILL租用版。具體流程如圖4所示。
3.3.4 開放的iGoogle組件研發(fā)
重慶大學(xué)圖書館在與重慶中心共享域整合的同時(shí)�����,還開發(fā)了18個(gè)iGoogle插件���,以實(shí)現(xiàn)CALIS個(gè)性化門戶(iGoogle)與重慶大學(xué)圖書館主頁(yè)系統(tǒng)的集成��。
其中11個(gè)不需要身份認(rèn)證的iGoogle插件是:通知公告�����、最新書評(píng)、最新微博���、最新相片��、最新求助���、熱門期刊�����、熱門電子書���、最熱數(shù)字資源���、文獻(xiàn)檢索��、借閱排行��、FAQ���。9個(gè)需要身份認(rèn)證的iGoogle插件是:我回復(fù)的問題���、最新解決問題���、我已借圖書、我預(yù)約圖書�����、我的推薦列表、電子訂單推薦���、我的賬號(hào)���、我的藏書架���、館員咨詢。
4�����、結(jié)論與展望
第8篇
論文摘要:針對(duì)網(wǎng)上交易安全內(nèi)容及電子交易系統(tǒng)身份認(rèn)證方式���,提出客戶端網(wǎng)上交易安全防范策略��,借此提高網(wǎng)上交易安全性���,保護(hù)大眾客戶的財(cái)產(chǎn)不受損失�����。
1 引言
隨著中國(guó)股市的崛起���,極大地激發(fā)了人們的投資熱情。目前��,中國(guó)股民開戶數(shù)已達(dá)1.4億多戶��。中國(guó)股市的繁榮直接帶動(dòng)了網(wǎng)上交易的蓬勃發(fā)展�����,它以其方便��、快捷等特點(diǎn)受到廣大股民的喜愛�����。同時(shí)�����,隨著銀行業(yè)��、保險(xiǎn)業(yè)電子化進(jìn)程不斷深化和完善,網(wǎng)上交易已悄然走進(jìn)千家萬戶���。然而網(wǎng)上交易在給人們帶來方便的同時(shí)�����,也給大家?guī)砹税踩[患��,網(wǎng)上交易犯罪數(shù)量不斷攀升�����,給國(guó)家及個(gè)人財(cái)富帶來極大的風(fēng)險(xiǎn)。有鑒于此��,本文從分析網(wǎng)上交易過程入手��,幫助大眾用戶防范其交易風(fēng)險(xiǎn)���。
2 網(wǎng)上交易安全內(nèi)容
網(wǎng)上交易安全問題主要包括三方面的內(nèi)容:Web服務(wù)器及其數(shù)據(jù)的安全��、Web服務(wù)器和用戶之間傳遞的信息的安全以及終端用戶的計(jì)算機(jī)及其他連入Internet的設(shè)備的安全��。Web服務(wù)器及其數(shù)據(jù)的安全問題主要包括:保證服務(wù)器能夠持續(xù)穩(wěn)定運(yùn)行��;保證只有經(jīng)過授權(quán)才能修改服務(wù)器上的信息��;保證能夠把數(shù)據(jù)發(fā)送給指定的接受者。Web服務(wù)器和用戶之間傳遞的信息的安全問題主要包括:確保用戶提供給Web服務(wù)器的信息如用戶名��、密碼��、財(cái)務(wù)信息��、訪問的網(wǎng)頁(yè)名等不被第三方所閱讀���、修改和破壞;保護(hù)用戶和服務(wù)器之間的鏈路���,使得攻擊者不能輕易地破壞該鏈路��。終端用戶的計(jì)算機(jī)及其他連入Internet的設(shè)備的安全問題主要包括:用戶需要使用Web瀏覽器和安全計(jì)算平臺(tái)上的軟件��,必須保證這種平臺(tái)不會(huì)被病毒感染或被惡意程序破壞���;用戶需要保護(hù)自己的私人信息�����,確保它們無論是在自己的計(jì)算機(jī)上還是通過在線服務(wù)時(shí)都不會(huì)遭到破壞��。
通過對(duì)網(wǎng)上交易攻擊難度的評(píng)估���,以及對(duì)近年來網(wǎng)上電子交易案件分析���,可發(fā)現(xiàn)直接攻擊Web服務(wù)器端或Web服務(wù)器和用戶之間連接的案例并不多見��,技術(shù)難度也較高���。因此,攻擊者往往把目光盯上了疏于保護(hù)的用戶的桌面電腦上�����,通過種植木馬病毒等方式,竊取用戶的用戶名�����、口令、賬號(hào)及數(shù)字證書�����,進(jìn)而冒充用戶進(jìn)行電子交易��,達(dá)到竊取資金的目的�����。下圖為網(wǎng)上交易攻擊手段難易度評(píng)估圖���,從圖中可以看出網(wǎng)上交易安全防范最薄弱的環(huán)節(jié)——客戶端的攻擊�����。在此就客戶端對(duì)網(wǎng)上攻擊的防范手段做以分析��,寄予幫助大眾客戶能夠安全的使用網(wǎng)上交易���,真正享受到網(wǎng)上交易帶來的好處�����。
3 電子交易系統(tǒng)身份認(rèn)證方式
電子交易系統(tǒng)身份認(rèn)證方式主要分為靜態(tài)口令���、動(dòng)態(tài)口令���、數(shù)字證書���、生物認(rèn)證等四種主要方式。
靜態(tài)口令是由用戶自行設(shè)定的口令���,一般情況下,用戶不會(huì)在一個(gè)相對(duì)短的時(shí)間間隔內(nèi)頻繁地更換自己的口令�����,因此這種口令基本上是靜態(tài)方式��;動(dòng)態(tài)口令是由特定手持終端設(shè)備生成的���,根據(jù)某種加密算法�����,產(chǎn)生一個(gè)隨某一個(gè)不斷變化的參數(shù)(例如時(shí)間,事件等)不停地�����、沒有重復(fù)變化的一種口令��。動(dòng)態(tài)口令令牌是用戶每隔一分鐘變換一次口令��,攻擊者沒有辦法推測(cè)出用戶的下一次登錄口令;數(shù)字證書則是由證書認(rèn)證機(jī)構(gòu)(CA)對(duì)證書申請(qǐng)者真實(shí)身份驗(yàn)證之后��,用CA的根證書對(duì)申請(qǐng)人的一些基本信息以及申請(qǐng)人的公鑰進(jìn)行簽名(相當(dāng)于加蓋發(fā)證書機(jī)構(gòu)的公章)后形成的一個(gè)數(shù)字文件���,能夠保證用戶在網(wǎng)上傳送信息的安全�����,防止其他人對(duì)信息的竊取或篡改�����;生物認(rèn)證是通過人體的唯一生物特征對(duì)身份進(jìn)行識(shí)別的方法��,如指紋認(rèn)證��、掌紋認(rèn)證���、面容認(rèn)證�����、聲音認(rèn)證�����、虹膜認(rèn)證��、視網(wǎng)膜認(rèn)證等,目前指紋認(rèn)證運(yùn)用最為廣泛�����。
靜態(tài)口令��、動(dòng)態(tài)口令��、數(shù)字證書���、生物認(rèn)證四種認(rèn)證方式的安全程度是有差異的,通常情況下���,生物認(rèn)證安全性最高�����,數(shù)字證書��、動(dòng)態(tài)口令次之�����,靜態(tài)口令安全性最差。然而靜態(tài)口令對(duì)軟�����、硬件環(huán)境要求不高��,管理和使用也比較方便和容易��,因此,在我國(guó)大部分客戶都使用靜態(tài)口令���。
4 客戶端網(wǎng)上交易安全防范手段
(1)妥善保管好相應(yīng)的認(rèn)證信息���。不要在網(wǎng)吧等公共場(chǎng)所使用網(wǎng)銀等敏感的網(wǎng)上交易系統(tǒng)�����,不要輕易相信陌生的電話或者短信、郵件��,泄漏個(gè)人資料�����。靜態(tài)口令應(yīng)牢記腦中��,動(dòng)態(tài)口令要謹(jǐn)慎保管�����,以免丟失特定的動(dòng)態(tài)口令令牌。數(shù)字證書不要存儲(chǔ)在硬盤文件夾上���,而應(yīng)存儲(chǔ)在IC卡或USBKey中�����,一旦使用完畢立即從電腦上拔除�����。
(2)及時(shí)升級(jí)操作系統(tǒng)安全補(bǔ)丁和更新防病毒軟件�����。避免攻擊者利用操作系統(tǒng)相關(guān)漏洞進(jìn)行攻擊���,并在網(wǎng)上交易時(shí)打開防毒軟件和個(gè)人防火墻,保護(hù)個(gè)人資料��。
(3)謹(jǐn)防進(jìn)入釣魚網(wǎng)站���。在登錄網(wǎng)上交易系統(tǒng)時(shí)應(yīng)留意核對(duì)所登錄的網(wǎng)址是否相符��,謹(jǐn)防攻擊者惡意模仿相應(yīng)網(wǎng)站,騙取賬戶和密碼等信息���。
(4)選擇好的密碼�����。好的密碼很難被猜出�����,應(yīng)注意字符���、數(shù)字及標(biāo)點(diǎn)符號(hào)�����、控制符號(hào)組合�����,大小寫組合��,并且避免使用如生日�����、電話號(hào)碼等容易猜測(cè)的組合��,同時(shí)將網(wǎng)上銀行登錄密碼和對(duì)外支付的密碼設(shè)置成不同的密碼并定期更新���。
(5)不隨意下載網(wǎng)上可執(zhí)行程序和圖片��。原則上只下載和使用經(jīng)過代碼簽名的可執(zhí)行程序���,以免被木馬病毒感染���。
(6)充分利用銀行提供的增值服務(wù)?��,F(xiàn)在大多數(shù)銀行都提供了交易的短信和郵件提醒�����,可以充分利用銀行的貼心服務(wù),及時(shí)掌握自己的賬戶變動(dòng)情況��。
5 結(jié)束語(yǔ)
安全是相對(duì)的安全,沒有絕對(duì)的安全��,是系統(tǒng)就一定有漏洞�����,對(duì)于銀行系統(tǒng)來說也是如此���。只要我們不斷加強(qiáng)自身的防范意識(shí)�����,努力做好桌面客戶端認(rèn)證信息保密工作,再加上銀行不斷升級(jí)的安全服務(wù)�����,就會(huì)把損失降到最低�����,從而真正享受到網(wǎng)上交易給你帶來的實(shí)惠���。
參考文獻(xiàn):
[1]孟祥瑞. 網(wǎng)上支付與電子銀行[M]. 華東理工大學(xué)出版社,2005.
第9篇
作者:上超望 劉清堂 楊宗凱 趙呈領(lǐng)
【論文關(guān)鍵詞】SOA Web服務(wù) 數(shù)字教育資源 一站式 協(xié)同
【論文摘 要】充分利用網(wǎng)絡(luò)共享優(yōu)質(zhì)教育資源,是當(dāng)前教育數(shù)字化深入發(fā)展需要解決的關(guān)鍵問題之一�����。本文對(duì)分布式數(shù)字教育資源協(xié)同的需求進(jìn)行了分析,提出了SOA環(huán)境下數(shù)字教育資源協(xié)同共享框架模型(MERSCA)�����,論述了系統(tǒng)的主要架構(gòu)和關(guān)鍵技術(shù)實(shí)現(xiàn)�����。希望在對(duì)現(xiàn)有各資源站點(diǎn)改動(dòng)最小的基礎(chǔ)上解決資源的共享和增值應(yīng)用問題,創(chuàng)新數(shù)字教育資源公共服務(wù)模式���,提高資源的利用效率�����。
一�����、引言
數(shù)字教育通過實(shí)現(xiàn)教育從環(huán)境、資源到應(yīng)用的數(shù)字化���,使現(xiàn)實(shí)校園環(huán)境憑借信息系統(tǒng)在時(shí)間和空間上得到延伸[1]��。SOA(Service Oriented Architecture��,面向服務(wù)架構(gòu))是為解決分布式互聯(lián)網(wǎng)環(huán)境下的資源共享和重用而提出的一種新型軟件系統(tǒng)架構(gòu)��,它允許不同系統(tǒng)能夠進(jìn)行無縫通信和異構(gòu)資源共享���。
傳統(tǒng)的網(wǎng)絡(luò)教育資源使用模式降低了遠(yuǎn)程教育系統(tǒng)中的資源通用性能力���,造成了大量資源浪費(fèi)。建設(shè)開放共享的數(shù)字教育公共服務(wù)體系是國(guó)家實(shí)施現(xiàn)代遠(yuǎn)程教育工程的核心組成部分�����,也是《國(guó)家中長(zhǎng)期科學(xué)和技術(shù)發(fā)展規(guī)劃綱要(2006-2020年)》的重要主題[2]�����。SOA(面向服務(wù)架構(gòu))為數(shù)字教育服務(wù)體系建設(shè)提供了最佳支持��,為構(gòu)建開放的數(shù)字教育公共服務(wù)支撐平臺(tái)���,建立新型的面向數(shù)字教育的公共服務(wù)機(jī)制,國(guó)家支持實(shí)施了“數(shù)字化學(xué)習(xí)港與終身學(xué)習(xí)社會(huì)的建設(shè)與示范”��、“數(shù)字教育公共服務(wù)示范工程”等多項(xiàng)重大項(xiàng)目��,目前已經(jīng)初步建立了“奧鵬”�����、“弘成”和“知金”三個(gè)覆蓋全國(guó)的網(wǎng)絡(luò)教育公共服務(wù)體系[3]��。
在分布式教育資源服務(wù)的集成應(yīng)用中��,信息的交互��、共享和數(shù)據(jù)的安全訪問是關(guān)鍵內(nèi)容[4]��。設(shè)計(jì)一個(gè)全局的資源協(xié)同和訪問框架來屏蔽資源平臺(tái)差異�����,實(shí)現(xiàn)分布式資源的共享,以支持優(yōu)質(zhì)教育資源增值應(yīng)用�����,構(gòu)建開放和便捷的資源整合服務(wù)���,成為SOA環(huán)境下教育資源數(shù)字化建設(shè)需要解決的首要問題��。
本文在對(duì)分布式環(huán)境下數(shù)字教育資源協(xié)同的需求進(jìn)行分析的基礎(chǔ)上���,設(shè)計(jì)了SOA環(huán)境下數(shù)字教育資源協(xié)同共享框架模型(MERSCA��, Model of E-learning Resources Sharing andCoordination Architecture)��,然后從協(xié)同數(shù)字教育資源一站式訪問和數(shù)字教育資源服務(wù)基于序關(guān)系的協(xié)同兩個(gè)方面討論了MERSCA實(shí)現(xiàn)的關(guān)鍵技術(shù)。實(shí)踐研究表明�����,MERSCA模型是分布式數(shù)字教育資源協(xié)同共享系統(tǒng)建構(gòu)中一種可行和實(shí)用的方案�����。
二、分布式數(shù)字教育資源協(xié)同需求分析
數(shù)字教育要達(dá)到的重要目標(biāo)是信息共享和應(yīng)用集成���,需要經(jīng)過一個(gè)長(zhǎng)期的建設(shè)和完善過程[5]��,涵蓋資源建設(shè)、資源集成��、知識(shí)處理�����、平臺(tái)接入和運(yùn)行��、質(zhì)量監(jiān)控和資源評(píng)價(jià)等多個(gè)方面�����,所以在建設(shè)之初就應(yīng)融入基于全局觀點(diǎn)���、具有可擴(kuò)展性和新技術(shù)兼容等多個(gè)方面的考量。
SOA環(huán)境下數(shù)字教育資源協(xié)同共享框架及實(shí)現(xiàn)涉及資源協(xié)同的可擴(kuò)展性�����、資源訪問的便捷性���、用戶身份的管理以及認(rèn)證�����、授權(quán)��、加密等多項(xiàng)技術(shù)���,框架的整體設(shè)計(jì)應(yīng)滿足以下目標(biāo):
(1)靈活性
數(shù)字教育服務(wù)架構(gòu)通過通用性的服務(wù)接口調(diào)用來實(shí)現(xiàn)資源的跨域整合�����,個(gè)體原子服務(wù)獨(dú)立于實(shí)現(xiàn)平臺(tái)�����,具有松耦合、可擴(kuò)展等特點(diǎn)���,它們往往在不同時(shí)期由不同廠商開發(fā)���,設(shè)計(jì)方法和開發(fā)技術(shù)也有所不同,各自擁有獨(dú)立的用戶認(rèn)證體系���,也因此導(dǎo)致了目前各個(gè)系統(tǒng)的用戶數(shù)據(jù)分散�����,不能統(tǒng)一管理��,難以共享數(shù)據(jù)的現(xiàn)狀[6]。數(shù)字教育資源一站式協(xié)同架構(gòu)需要從整體上靈活地鑒別用戶���,為這些多類型的安全服務(wù)提供基于整體訪問的跨域安全集成��,提供統(tǒng)一訪問入口���,從而提高優(yōu)質(zhì)資源整合的敏捷性��。
(2)信任遷移
面向服務(wù)的思想使得資源應(yīng)用逐漸趨向于分布式和相互合作的形式��,用戶的身份和授權(quán)也不再局限于某一特定的信任域��。當(dāng)資源來源于多個(gè)安全域��,為保證資源交互活動(dòng)安全�����,每次訪問都需要對(duì)用戶進(jìn)行身份和權(quán)限準(zhǔn)入確認(rèn)���,降低了資源使用效率[7]���。因此需要一種信任遷移機(jī)制,能夠提供一個(gè)整體的、運(yùn)行時(shí)身份驗(yàn)證盡可能少的安全信息共享方案���。資源訪問主體只需要在某個(gè)安全域中進(jìn)行一次身份認(rèn)證���,就可以訪問其被授權(quán)的當(dāng)前安全域其他資源或被當(dāng)前安全域信任的其他域中的資源���,不必通過多次身份驗(yàn)證操作來獲得授權(quán)���。
(3)可伸縮
模型應(yīng)當(dāng)能夠提供開放式體系結(jié)構(gòu)��,實(shí)現(xiàn)可擴(kuò)展的安全訪問機(jī)制,框架應(yīng)當(dāng)將信息系統(tǒng)所面對(duì)的教育企業(yè)或機(jī)構(gòu)從整體應(yīng)用的角度統(tǒng)一對(duì)待�����,保持通過增加資源使服務(wù)價(jià)值產(chǎn)生線性增長(zhǎng)的能力。當(dāng)有新的應(yīng)用需要部署或增加時(shí)���,不需要對(duì)應(yīng)用程序本身進(jìn)行大量修改���,通過考量安全方案規(guī)劃技術(shù)發(fā)展因素,使新的安全技術(shù)和規(guī)范可以很方便地融入[8]�����。
三���、數(shù)字教育資源一站式協(xié)同
架構(gòu)模型(MERSCA)
SOA環(huán)境下數(shù)字教育資源協(xié)同共享框架模型結(jié)構(gòu)如圖1所示�����。MERSCA采用層次結(jié)構(gòu)建模方法,從數(shù)字教育資源服務(wù)中協(xié)同資源一站式訪問與基于序關(guān)系的動(dòng)態(tài)協(xié)同兩個(gè)核心技術(shù)構(gòu)建資源的安全整合�����,把握用戶對(duì)于教學(xué)設(shè)計(jì)邏輯和資源訪問等個(gè)性化需求,在進(jìn)行異構(gòu)數(shù)字教育資源協(xié)同架構(gòu)規(guī)劃中兼顧目前和未來的發(fā)展��。MERSCA模型從下至上分為資源管理層��、通信層���、資源組合層、資源協(xié)同層和應(yīng)用層。
(1)資源管理層
我國(guó)教育數(shù)字化建設(shè)中的一個(gè)重要組成部分就是網(wǎng)絡(luò)教育資源開發(fā)���。為促進(jìn)網(wǎng)絡(luò)教育資源建設(shè)��,國(guó)家投入了大量的人力���、物力和財(cái)力,目前已經(jīng)建立起了媒體素材、在線題庫(kù)、網(wǎng)絡(luò)課件��、網(wǎng)上教學(xué)案例��、網(wǎng)絡(luò)課程等多種類型的數(shù)字教育資源[9]���。
在MERSCA中�����,資源管理層從分布式的優(yōu)質(zhì)教育資源中提取類型資源共性���,參照已定義好的統(tǒng)一接口標(biāo)準(zhǔn)�����,將資源屬性對(duì)應(yīng)于標(biāo)準(zhǔn)屬性用XML格式字符串描述出來��,形成統(tǒng)一的資源描述規(guī)范和服務(wù)接口。同時(shí)通過WSDL協(xié)議描述數(shù)字教育資源的服務(wù)���,實(shí)現(xiàn)標(biāo)準(zhǔn)的接口綁定和異構(gòu)資源的服務(wù)封裝���,并進(jìn)行注冊(cè)和功能分類的集中管理,在對(duì)現(xiàn)有各資源站點(diǎn)改動(dòng)最小的基礎(chǔ)上解決資源的共享和增值應(yīng)用問題�����。資源管理層為通信層和資源服務(wù)組合層提供了資源的預(yù)處理功能,通過服務(wù)接口對(duì)外提供教育資源服務(wù)���。
(2)通信層
通信層使用基于XML的SOAP協(xié)議(Simple Object Access Protocol���,簡(jiǎn)單對(duì)象訪問協(xié)議)對(duì)教育資源交互信息進(jìn)行描述��。應(yīng)用程序之間基于SOAP進(jìn)行相互溝通時(shí)�����,不需要知道彼此是在哪一種操作平臺(tái)上操作或是各自如何實(shí)現(xiàn)等細(xì)節(jié)信息���。SOAP代表了一套資源如何呈現(xiàn)與延伸的共享規(guī)則�����,它是一個(gè)獨(dú)立的信息,可以獨(dú)自運(yùn)作在不同的操作系統(tǒng)上面�����,并可以使用各種不同的通訊方式來傳輸��,例如SMTP���、MIME,或是HTTP等��。
無論基于.net技術(shù)開發(fā)的教育資源系統(tǒng)���,還是應(yīng)用java技術(shù)開發(fā)的教育資源系統(tǒng),通過SOAP協(xié)議���,系統(tǒng)之間能夠相互進(jìn)行溝通和資源共享���,資源系統(tǒng)之間的平臺(tái)架構(gòu)和實(shí)現(xiàn)細(xì)節(jié)是彼此透明的。
(3)教育資源服務(wù)組合層
資源組合層基于BPEL4WS業(yè)務(wù)流�����,在Web服務(wù)組合引擎所提供的質(zhì)量控制、消息路由��、信息管理��、事務(wù)管理和流程管理等功能的支持下進(jìn)行資源服務(wù)集成。通過可視化編排方式�����,資源組合層將不同的教育資源原子服務(wù)依據(jù)教學(xué)設(shè)計(jì)者設(shè)定的邏輯組合在一起�����,屏蔽底層信息基礎(chǔ)設(shè)施的變遷,合理地安排這些服務(wù)的運(yùn)行順序���,以形成大粒度的���、具有內(nèi)部流程邏輯的教育資源整合,充分發(fā)揮優(yōu)質(zhì)教育資源服務(wù)的潛力�����,形成“1+1>2”的服務(wù)資源集成增值效果���。
BPEL4WS基于XML Schema��、XPath及XSLT等規(guī)范��,提供了一套標(biāo)準(zhǔn)化語(yǔ)法對(duì)業(yè)務(wù)流程所綁定的Web服務(wù)交互特性及控制邏輯進(jìn)行描述���。通過對(duì)業(yè)務(wù)流程中教育服務(wù)資源的交互行為建模,BPEL4WS以可視化和有序的方式協(xié)調(diào)它們之間的交互活動(dòng)達(dá)成教育資源服務(wù)的組合應(yīng)用目標(biāo)���。
(4)教育資源協(xié)同層
異構(gòu)數(shù)字教育資源服務(wù)的協(xié)同應(yīng)用過程涉及處于不同計(jì)算域下的多個(gè)資源提供者��,當(dāng)用戶訪問分布式的多域數(shù)字教育資源時(shí)��,就會(huì)涉及安全邊界跨越問題�����,需要登陸不同系統(tǒng)��,接受多次安全身份驗(yàn)證�����,安全與訪問效率都無法得到保證��。
安全聲明標(biāo)記語(yǔ)言SAML是信息標(biāo)準(zhǔn)化促進(jìn)組織(OASIS)為產(chǎn)生和交換使用者認(rèn)證而制定的一項(xiàng)標(biāo)準(zhǔn)規(guī)范,它基于XML架構(gòu)在不同的在線應(yīng)用場(chǎng)景中決定請(qǐng)求者�����、請(qǐng)求內(nèi)容以及是否有授權(quán)提出需求等��,同時(shí)為交易的雙方提供交換授權(quán)和確認(rèn)的機(jī)制,達(dá)到可轉(zhuǎn)移的信任�����。安全協(xié)同層基于SAML實(shí)現(xiàn)用戶在多個(gè)資源提供者之間身份和安全信息的遷移��,通過數(shù)字加密和簽名技術(shù)保證系統(tǒng)消息之間的保密性���。用戶只需在網(wǎng)絡(luò)中主動(dòng)地進(jìn)行一次身份認(rèn)證登陸,不需再次登陸就能夠在達(dá)成信任關(guān)系的成員單位之間無縫地訪問授權(quán)資源��。資源安全協(xié)同層所采用的一站式訪問形式減少了認(rèn)證次數(shù)��,同時(shí)也降低了用戶訪問資源時(shí)的時(shí)間成本��。
(5)應(yīng)用層
應(yīng)用層是系統(tǒng)功能和使用者交互的接口,提供安全管理入口���、資源展示�����、資源新聞���、知識(shí)宣傳等功能���。E-learning學(xué)習(xí)信息門戶是應(yīng)用層信息資源集成界面與終端使用者之間進(jìn)行信息交互的橋梁�����,它通過一站式服務(wù)為學(xué)習(xí)者提供分布式數(shù)字教育資源集成服務(wù)中的核心業(yè)務(wù)��。學(xué)習(xí)者通過信息門戶模塊進(jìn)入學(xué)習(xí)環(huán)境,依據(jù)自身的需要和意愿選擇合適的學(xué)習(xí)資源��,來完成通過多個(gè)安全域中的分布式資源整合而形成的系列課程學(xué)習(xí)。
四��、MERSCA模型的關(guān)鍵技術(shù)實(shí)現(xiàn)
依托國(guó)家“十一五”科技支撐計(jì)劃課題“數(shù)字教育公共服務(wù)示范工程”��,MERSCA模型已在實(shí)踐應(yīng)用環(huán)境中得到成功實(shí)施�����。MERSCA通過分布式的數(shù)字教育資源服務(wù)整合來凝聚分布于網(wǎng)絡(luò)中的各種教育資源�����,實(shí)現(xiàn)了教育資源的共享和協(xié)同�����,并提供安全方便的資源訪問模式�����。MERSCA的成功實(shí)施依賴于協(xié)同數(shù)字教育資源一站式訪問和資源服務(wù)基于序關(guān)系的協(xié)同兩個(gè)關(guān)鍵技術(shù)���。
1.協(xié)同教育資源的一站式訪問
協(xié)同資源一站式訪問技術(shù)通過使用SAML安全信牌確?����?梢浦驳男湃芜w移,在分布式的教育資源提供者之間共享用戶身份驗(yàn)證信息和授權(quán)信息��,同時(shí)又保證資源提供者對(duì)資源的控制權(quán)���。SAML安全信牌由身份認(rèn)證權(quán)威生成���,它的生命周期也由身份認(rèn)證權(quán)威來管理�����。完整的一站式訪問安全認(rèn)證實(shí)現(xiàn)過程如圖2所示�����,主要由六個(gè)步驟組成:
(1)學(xué)習(xí)者向身份認(rèn)證權(quán)威的SOAP安全Agent提交身份驗(yàn)證信息���,請(qǐng)求確認(rèn)身份的合法性���;
(2)在確認(rèn)學(xué)習(xí)者身份為合法后���,身份認(rèn)證權(quán)威為學(xué)習(xí)者創(chuàng)建含有SAML合法性判決標(biāo)識(shí)文件的安全信牌,并將該信牌返回給學(xué)習(xí)者���;
(3)學(xué)習(xí)者在教學(xué)設(shè)計(jì)業(yè)務(wù)流程邏輯的引導(dǎo)下,通過點(diǎn)擊目標(biāo)資源地址的URL來試圖訪問某個(gè)協(xié)同學(xué)習(xí)資源�����,同時(shí)將合法性標(biāo)識(shí)文件作為URL的一部分發(fā)送給資源站點(diǎn)��,然后被重新定向到資源提供者�����;
(4)學(xué)習(xí)資源提供者的SOAP安全Agent收到步驟(3)傳遞來的信息�����,從合法性標(biāo)識(shí)文件中解析出身份認(rèn)證權(quán)威的地址信息�����,然后向身份認(rèn)證權(quán)威的SOAP安全Agent發(fā)送包含合法性標(biāo)識(shí)文件的SAML請(qǐng)求�����;
(5)身份認(rèn)證權(quán)威的SOAP安全Agent收到SAML請(qǐng)求后�����,從請(qǐng)求中包含的合法性引用信息找到相關(guān)認(rèn)證��,然后將認(rèn)證信息封裝在SOAP包中���,以SAML響應(yīng)方式傳送給資源提供者�����;
(6)資源提供者的SOAP安全Agent檢查學(xué)習(xí)者安全信牌信息���,如果檢查成功則將學(xué)習(xí)者重新定向到數(shù)字學(xué)習(xí)資源所在的URL,并將所需資源發(fā)送到學(xué)習(xí)者瀏覽器�����,否則將拒絕用戶訪問��。
在步驟(2)~(6)中��,由于在重定位URL后附有與學(xué)習(xí)者認(rèn)證相關(guān)的安全信息�����,可采用簽名和加密的方式來保障認(rèn)證信息的機(jī)密性和完整性。為確保發(fā)送方和接收方身份的真實(shí)性�����,步驟(4)和(5)中資源提供者和身份認(rèn)證權(quán)威需要進(jìn)行雙向認(rèn)證��,它們?cè)趥鬏斏矸萋暶鞯倪^程中對(duì)學(xué)習(xí)者是透明的���。
協(xié)同資源一站式訪問的實(shí)現(xiàn)讓學(xué)習(xí)者在訪問不同的服務(wù)資源時(shí)避免身份重復(fù)認(rèn)證�����,節(jié)省了學(xué)習(xí)者的學(xué)習(xí)時(shí)間��,提高了系統(tǒng)資源的服務(wù)效率��。
2. 資源服務(wù)基于序關(guān)系的協(xié)同
資源服務(wù)基于序關(guān)系的協(xié)同技術(shù)將分布式環(huán)境下的教育資源服務(wù)看作獨(dú)立的功能模塊���,通過BPEL4WS(Web服務(wù)業(yè)務(wù)流程執(zhí)行語(yǔ)言)流程活動(dòng)綁定這些資源模塊�����,通過結(jié)構(gòu)化業(yè)務(wù)流程活動(dòng)來定義資源服務(wù)活動(dòng)之間基于序的邏輯關(guān)系���,實(shí)現(xiàn)數(shù)字教育資源協(xié)同,組成大粒度增值應(yīng)用服務(wù)��。BPEL4WS流程引擎為業(yè)務(wù)流程所綁定的資源提供了控制與管理支持��。教育資源設(shè)計(jì)者可以方便地依據(jù)教學(xué)設(shè)計(jì)思想采取可視化的方式編排資源協(xié)同關(guān)系��,更方便地適應(yīng)學(xué)習(xí)者的個(gè)性化學(xué)習(xí)需求���。
圖3展示了一個(gè)基于BPEL4WS的簡(jiǎn)易資源協(xié)同實(shí)例��,BPEL4WS業(yè)務(wù)該流程通過三個(gè)基本活動(dòng)分別綁定了由不同提供者提供的“C語(yǔ)言基本知識(shí)和測(cè)試服務(wù)”��、“C語(yǔ)言高階知識(shí)服務(wù)”和“C語(yǔ)言基本知識(shí)鞏固服務(wù)” 分布式資源��,基于教學(xué)設(shè)計(jì)序邏輯組成“C語(yǔ)言知識(shí)集成服務(wù)”組合服務(wù)���。當(dāng)E-learning學(xué)習(xí)門戶接收到學(xué)習(xí)者的服務(wù)請(qǐng)求時(shí)�����,組合服務(wù)資源主要協(xié)同過程描述如下:
(1)流程“Receive”協(xié)同服務(wù)接口接收開始信息啟動(dòng)業(yè)務(wù)流程���,啟動(dòng)一個(gè)資源協(xié)同實(shí)例���;
(2)“C語(yǔ)言基本知識(shí)和測(cè)試服務(wù)”通過基礎(chǔ)知識(shí)服務(wù)接口為學(xué)習(xí)者提供C語(yǔ)言基礎(chǔ)知識(shí)學(xué)習(xí)資源,通過測(cè)試接口對(duì)學(xué)習(xí)者進(jìn)行知識(shí)測(cè)試���;
(3)“C語(yǔ)言基本知識(shí)和測(cè)試服務(wù)”將測(cè)試結(jié)果得分提交給BPEL4WS學(xué)習(xí)流程���;
(4)BPEL4WS流程對(duì)學(xué)習(xí)者的學(xué)習(xí)績(jī)效進(jìn)行邏輯判決;
(5)當(dāng)學(xué)習(xí)者得分小于60時(shí)�����,學(xué)習(xí)流程引導(dǎo)學(xué)習(xí)者進(jìn)入“知識(shí)鞏固服務(wù)”,進(jìn)行知識(shí)鞏固���;當(dāng)學(xué)習(xí)者得分大于60時(shí)���,學(xué)習(xí)流程將引導(dǎo)學(xué)習(xí)者進(jìn)行高階知識(shí)學(xué)習(xí)���;
(6)學(xué)習(xí)者知識(shí)學(xué)習(xí)結(jié)束��,學(xué)習(xí)流程通過“Reply”協(xié)同服務(wù)輸出接口發(fā)送終止信息終止業(yè)務(wù)流程�����,結(jié)束學(xué)習(xí)過程���。
五�����、結(jié)論與展望
屏蔽資源平臺(tái)差異���、構(gòu)建便捷的一站式數(shù)字教育資源整合服務(wù)是開放環(huán)境下數(shù)字教育服務(wù)建設(shè)需要解決的核心問題之一�����。本文提出了一種面向SOA環(huán)境的數(shù)字教育資源一站式協(xié)同架構(gòu)模型MERSCA��,MERSCA采用分層結(jié)構(gòu)�����,通過對(duì)數(shù)字教育資源的服務(wù)包裝���,實(shí)現(xiàn)了資源的共享和可重用���;通過基于SAML的安全信息共享技術(shù)���,實(shí)現(xiàn)了一站式訪問;通過BPEL4WS綁定��,實(shí)現(xiàn)數(shù)字教育資源基于教學(xué)設(shè)計(jì)思想的增值協(xié)同��。MERSCA具有良好的擴(kuò)展性�����、集成性以及與平臺(tái)無關(guān)等特點(diǎn)�����,適用于數(shù)字教育資源跨部門協(xié)同應(yīng)用中的信息共享和資源整合�����。模型的實(shí)現(xiàn)過程證明�����,該方案具有可行性和實(shí)用性���。這些特點(diǎn)在筆者參與的國(guó)家科技支撐計(jì)劃課題“數(shù)字教育公共服務(wù)示范工程”實(shí)踐應(yīng)用中得到了證明。未來的工作將主要集中在業(yè)務(wù)流程級(jí)別安全性的設(shè)計(jì)與實(shí)現(xiàn)方面��,以便提供一個(gè)更完善的數(shù)字教育資源集成服務(wù)安全體系��。
參考文獻(xiàn)
[1] 余勝泉. 從知識(shí)傳遞到認(rèn)知建構(gòu)���、再到情境認(rèn)知——三代移動(dòng)學(xué)習(xí)的發(fā)展與展望[J]. 中國(guó)電化教育��,2007���,(6):07-19.
[2] 馮琳,郝丹. 現(xiàn)代教育服務(wù)業(yè)與數(shù)字化學(xué)習(xí)港——第十五次“中國(guó)遠(yuǎn)程教育學(xué)術(shù)圓桌”綜述[J]. 中國(guó)遠(yuǎn)程教育��,2007�����,(9):05-17.
[3] 楊宗凱. 數(shù)字教育服務(wù)體系和環(huán)境的構(gòu)建[J]. 中國(guó)遠(yuǎn)程教育��,2007�����,(10):57-58.
[4] 鐘志賢,王覓�����,林安琪. 論遠(yuǎn)程學(xué)習(xí)者的資源管理[J]. 遠(yuǎn)程教育雜志��,2008���,(6):48-52.
[5] 羅勇為. 基于生態(tài)學(xué)視角的基礎(chǔ)教育信息化可持續(xù)發(fā)展研究[J].中國(guó)遠(yuǎn)程教育,2010��,(6):22-26.
[6] Shang Chao wang�����,Liu Qing tang,etc.Requirement Driven Learning Management Architecture Based on BPEL [J].Journal of DongHua University�����,2010�����,(02): 263- 267.
[7] 楊宏宇��,孫宇超�����,姜德全. 基于SAML和PMI的授權(quán)管理模型[J].吉林大學(xué)學(xué)報(bào)�����,2008���,(6):1321-1325.
