身份认证技术论文范文1
关键词 身份认证 PKI IBC
中图分类号:TP393.08 文献标识码:A
身份认证是一个系统安全最为重要的问题。只有在通过安全的身份认证基础上,才可能进行安全可靠地传递信息和共享网络资源。用户和系统一般是通过三种方法来证明他们的身份,即用户所知道的、用户所拥有的和用户的特征。身份认证根据其实现方式的不同可以分为三类,即单向认证(One-Way Authentication)、双向认证(Two-Way Authentication)和信任的第三方认证(Trusted Third-Party Authentication)。每一种实现方式又根据所基于的密码体制不同采用对称密码或非对称密码来实现。下面重点分析和讨论非对称密码体制下基于PKI(Public Key Infrastructure,公钥基础设施)和基于IBC(Identity-Based Cryptography,基于身份的密码技术)的身份认证技术。
1 基于PKI的认证技术
PKI是指用公钥的概念和技术来实施和提供安全服务的具有普适性的安全基础设施。在PKI中,通过CA认证中心将用户的身份标识信息(用户名称、身份证号等)与其公钥绑定到一起,从而可以实现网络环境中身份认证的功能。PKI提供一系列支持公钥密码的应用(加密、解密、签名与验证等)。其所能支持的安全服务功能主要有:身份认证、数据完整性验证、数据机密性以及不可抵赖性等。PKI的目标就是通过借助公钥密码学的理论基础,管理密钥的生成、存储以及公钥证书的安全性等,为各种网络应用提供全面的安全服务,从而能够有效地实现用户身份的认证性和数据的机密性、完整性、有效性等。一个完整的PKI系统,其逻辑结构如图1所示。
2 基于IBC的认证技术
基于身份的公钥密码技术IBC(Identity-Based Cryptography)是Shamir首次提出的,与基于PKI和数字证书等认证方案不同,IBC认证技术的核心思想是系统中不再使用证书,而是通过三种密钥,即系统主密钥、用户公钥和私钥,即可完成认证。用户的公钥是通过提取用户的身份信息,如姓名、IP地址、邮箱地址等生成的,私钥可由称为私钥生成器PKG(Private Key Generator)的可信第三方计算得到并通过安全信道传送给用户。这种身份认证思想实现了公钥与认证实体身份进行绑定,使得认证双方在不需交换公钥的情况下即可完成认证,简化了传统公钥密码系统中密钥管理及其带来的成本开销问题。IBC密码技术可以广泛的应用在云计算、物联网、电子商务、电子政务等领域。在国外,IBC技术被广泛用于世界五百强企业的加密电子邮件。IBC在美国的电子商务领域已经成为销售终端POS(Point of Sale)和清算中心间保护信用卡信息的主流技术之一。一个简单的IBC系统结构如图2所示。
3 基于PKI与基于IBC认证的比较
基于PKI和基于IBC的认证虽然都是基于公钥密码体制下的认证技术,但是两者在很多方面具有很大的差异。基于IBC的认证方案和基于PKI的认证方案相比有几个显著的特点:无证书、基于身份的密码机制、密钥使用和管理的便捷性。两者在很多方面还存在很大的差异,具体差异对比如表1所示。
参考文献
身份认证技术论文范文2
关键词:时间同步;动态口令;电子商务
0 前言
计算机技术的发展和网络的普及,使得电子商务应运而生,电子商务是指交易当事人或参与人利用现代信息技术和互联网所进行的各类商业活动,包括货物贸易、服务贸易和知识产权贸易等。随着互联网的迅猛发展,加上多媒体与通讯条件的逐渐成熟,电子商务活动越来越普遍。
1 我国电子商务发展现状
网络购物是互联网作为网民实用性工具的重要体现,随着我国整体网络购物环境的改善,网络购物市场的增长趋势明显。目前的网络购物用户人数已经达到6329万人,有25.0%的网民青睐网上购物,跻身十大网络应用之列。而近半年我国网络购物变化情况如下表:
比较国外的发展状况,韩国网民的网络购物比例为57.3%,美国为66%。均高于我国网络购物的使用率,我国应着力推动电子商务的发展。
根据中国互联网发展信息中心的最新有关互联网的发展状况调查报告,网民不愿意进行电子商务交易的主要原因为担心交易安全问题。调查显示只有25.1%的网民表示对电子商务交易安全的可信,而74.9%的网民则表示不可信。因此迫切需要解决电子商务交易中的安全问题。
2 身份认证技术
电子商务交易过程中的安全性问题体现在很多的方面,比如物理网络的安全、计算机的安全、密码的安全等。这里我们最关心的莫过于交易过程中身份认证的密码安全。电子商务的身份认证采用最多的就是静态口令的“用户名+密码”的方式,这是最为传统的方式,现在很多领域还在沿用。用户名是用户的惟一标识,而密码则是用来保障登录的用户是其本人。但是,在木马和病毒横行无忌的今天,这种基于静态口令的身份认证技术已经暴露出了许多弊端。因此,产生了动态口令身份认证技术。
动态口令(dynamic password)也称一次性口令(one-time password)。动态口令是变动的口令,其变动来源于产生口令的运算因子是变化的。动态口令的产生因子一般都采用双运算因子(two factors):其一,为用户的私有密钥。它是代表用户身份的识别码,是固定不变的。其二,为变动因子。正是变动因子的不断变化,才产生了不断变动的动态口令。采用不同的变动因子,形成了不同的动态口令认证技术:基于时间同步(time synchronous)认证技术、基于事件同步(event synchronous)认证技术和挑战/应答方式的非同(challenge/response asynchronous)认证技术。在其他许多文献中对后两种动态认证技术做出了深入的分析,而对于第一种认证技术讨论和使用的不是很多。因此,本文重点讨论基于时间同步的动态口令身份认证技术。
3 时间同步
在通信领域,时间同步是指各网络节点设备、应用系统的时钟使用同一时间参考基准———协调世界时(utc),通过某种方式使其时钟的时刻和时间间隔与utc同步。
网络时间协议ntp是用于互联网中时间同步的标准互联网协议。在通常的环境下,ntp提供的时间精确度在wan上为数十毫秒,在lan上则为亚毫秒级或者更高。在专用的时间服务器上,则精确度更高。ntp支持三种时间传送模式:多播模式、客户/服务器模式和对称模式。时间同步过程本文不再赘述。
4 基于时间同步的动态口令身份认证技术
基于时间同步认证技术是把时间作为变动因子,一般以60秒作为变化单位。用户在进行电子商务交易过程中,需要进行身份认证并访问身份认证系统时,整个过程如下图所示:
(1)用户端首先向应用服务器提出认证申请。用户端提出申请的主要目的是要与应用服务器进行时间同步。此时应用服务器应该安装相应的ntp服务器端软件,并且当用户端提出申请后,服务器端应该以插件的形式在用户端安装相应的ntp客户端软件。当用户提出认证申请后,双方使用ntp协议进行时间同步。即使在广域网的环境下,ntp的时间同步精度也能够达到数十毫秒,完全可以满足动态口令身份认证的要求。需要说明的是,应用服务器与认证服务器之间也必须进行时间同步,这样才能保证用户端与认证服务器的时间同步。
(2)用户端根据当前时间连同用户信息(如用户id,输入的口令等)生成的动态口令传送到应用服务器,应用服务器请求认证服务器对客户的身份的合法性和真实性进行认证。
(3)认证服务器调用客户信息,产生与客户信息和时间相关的随机序列,并与客户输入的口令进行比对,判别客户身份的合法性和真实性。
(4)认证服务器将认证结果报告给应用服务器。
(5)应用服务器根据客户身份的合法性和真实性反馈给客户终端,并决定可以提供服务或拒绝服务。
5 结语
本文论述的这种基于时间同步的动态口令身份认证技术的优点为:动态口令一次性使用;操作简单;单向数据传输,只需用户向服务器发送口令数据,而服务器无需向用户回传数据;可以防止重放攻击,所谓重放攻击就是指网络黑客截获客户端传输给服务器的网络数据包后,到其它网络终端上重新向服务器发出该网络数据包从而获得服务器的认证。而时间交流中加入了系统时间信息,通过重放后传输到服务器的数据包由于时间差距而不能得到认证。而且整个认证过程只需与服务器交流一个来回,比服务器主动式交流认证具有更高的运行效率。但由于每个客户端都必须和服务器保持一致的系统时间才能确保时间交流认证正确,所以网络中要维护一台时间服务器。
本方法主要的缺点是用户端需要和应用服务器端进行时间同步,而且若数据传输的时间延迟超过允许值时,可能会对合法用户的登录造成身份认证失败。但是通过反复同步可以解决以上问题。
参考文献
[1]贺鹏,李菁.网络时间同步算法研究与实现[j].计算机应用,2003,(2):15-17.
[2]http://nic.com.cn 中国互联网信息中心第22次中国互联网发展状况调查报告.
[3]蔺聪,黑霞丽.基于动态口令的电子商务身份认证技术[j].计算机安全,2008,(5):58-59.
[4]应文兰,李爱平,徐立云.网络化制造系统动态身份认证的研究与现[j].2008,(6):1293-1294
[5]左英,殷建平.电子商务平台的安全体系研究[j].计算机安全,2008,(2)
身份认证技术论文范文3
关键词:USB-Key;数字图书馆;统一认证
中图分类号:TP393文献标识码:A 文章编号:1009-3044(2009)34-9777-02
The Identification Technique of Digital Library Based on An USB-Key
HUANG Xing-yan, ZHAN Lin
(Anhui University of Science and Technology,Huainan 232001,China)
Abstract: The certification way based on USB-Key is a kind of convenient,safe,reliable identity certification technology ,There is only one key in encrypt process.The safely reliable problem of certification has been well solved.This paper introduce a Internet security appliance using USB-Key,it helps the appliance developing its safe problem.
Key words: USB-Key; digital library; unified attestation
无论数字图书馆技术如何发展,从简单的图书馆网站到未来泛在的综合性数字图书馆,用户在使用数字图书馆资源之前都需要进行登录。只有当数字图书馆接受了一名合法用户的登录后,才能依照权限的设定为其提供相应的信息资源进行查询、浏览、下载等服务。网络环境的复杂使得合法用户在登录数字图书馆的过程中存在严重的安全隐患。如何保证合法用户的登录信息不被盗取、合法身份不被冒用成为一个很重要的安全问题。
1 数字图书馆的运营
数字图书馆是运用当代信息技术,对数字信息资源进行采集、整理和储存,并向所有连接网络的用户提供,为一定的社会政治、经济服务的文化教育机构以及这种机构的组合。数字图书馆建设是以统一的标准和规范为基础,以数字化的各种信息为底层,以分布式海量资源库群为支撑,以智能检索技术为手段,以电子商务为管理方式,以宽带高速网络为传输通道,将丰富多彩的多媒体信息传递到千家万户;这个丰富的多媒体信息平台则包含了数字文化平台、数字教育平台、数字新闻平台、数字商务平台、数字娱乐平台和数字情报中心,从这个意义上看,数字图书馆是以支持全国范围内的文化娱乐、教育科研和情报咨询为主的多功能大型知识库。数字图书馆的最终目的就是采用现代高新技术,为用户提供对网上这个大型知识库的有效访问和利用功能,而且不受时空限制。它涵盖了信息资源的生命全过程(生产、加工、存储、检索、传递、保护、利用、归档、剔除)。
2 网络环境对数字图书馆登录认证提出了新的要求
2.1 数字图书馆的运营模式
从20世纪60年代开始至今,与数字图书馆相关的技术发展突飞猛进:功能日渐强大的个人计算机价格却日渐低廉,与此相适应,电子存储成本也飞速下降;随着高速网络的日益普及,访问数字图书馆也更方便;对信息检索,元数据描述,文本转换,页面描述语言乃至用户界面设计等技术都逐步发展成熟。但对于数字图书馆的商务系统以及信息传输的安全机制,一般数字图书馆仍是采用“会员名+密码”的身份认证方式。读者通过购买读书卡(或预付一定的费用)、下载专用的阅览器、注册为会员,登录时输入自己的用户名和密码,即可阅读下载所需资料的方法,读者阅读的费用已包含在支付过的读书卡费或会员预付费中,读书卡有使用期限,到期后可续费。
2.2 现行论证模式存在的风险
这样的读书卡形同借书证,操作较简单,方便经常阅读的读者。很明显,这种身份认证方法操作十分简单,但同时又最不安全。因为其安全性仅仅基于用户口令的保密性,而用户口令一船较短且容易猜测,因此这种方案不能抵御口令猜测攻击。其次,口令的明文传输使得系统攻击者很容易通过搭线窃听方法获取用户口令。最后,由于系统保存的是口令的明文形式,一方面要求系统管理员是可信赖的,另一方面,一旦攻击者能够访问口令表,整个系统的安全性就受到了威胁。口令方案对重传攻击也毫无抵抗能力。
数字图书馆的计费方式要么按阅读和下载的数量付费,要么采用包月制。用户名与密码被黑客攻破后,不是读者受损失,就是数字图书馆运营商受损失。
为了实现身份认证过程和数字信息流通过程的安全保密,在“用户与各资源站点”之间建立一个统一的安全认证平台,并将USB-Key的身份认证技术应用于该认证平台之中。
3 USB-Key在数字图书馆身份认证中的应用
3.1 建立统一认证平台
数字图书馆不是指某一具体的图书馆电子资源,它是将分布在各地各类型的数字化馆藏集中起来统一进行调度管理。数字图书馆一般是由电子图书、电子期刊、电子音像资源、随书光盘以及其他多媒体等信息资源组成(如图1所示)。
由于数字资源的供应商各自使用的系统不同,每一供应商都有各自的登录认证系统,当读者从不同资源站点下载所需资源时,必须要通过多个信息资源供应商的登录认证系统,取得信息资源供应商的信任后才能获得所需资源。而且由于每个服务器的登录认证系统不尽相同,这样不停的登录认证再获取所需数字资源的方式,不仅给读者带来了不便,同时也不利于将先进的认证技术应用于数字图书馆各数据厂商的认证系统中。
现代数字图书馆要求其拥有一个统一资源检索平台。这样,虽然解决了读者在每一种资源中登录、论证、检索的问题,但未解决认证中的安全性问题。因此,建立一个统一的安全认证网关,采用USB-Key进行身份验证,就可极大地提高数字图书馆的论证安全性、可靠性,有效地保护了读者和运营商的利益(如图2所示)。
3.2采用USB-Key进行身份验证
3.2.1 USB-Key技术
USB-Key的身份认证方式是近几年发展起来的,一种方便、安全、可靠的身份认证技术。它采用一次一密的强双因子认证模式,很好地解决了身份认证的安全可靠问题,并提供了USB接口与现今的电脑通用连接。和单钥的动态密码锁不同的是,USB Key采用双钥(公钥)加密的认证模式,USB Key是一种USB接口的硬件设备,外形跟普通的U盘差不多。它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥算法实现对用户身份的认证。由于用户私钥保存在密码锁中,理论上使用任何方式都无法读取,因此保证了用户认证的安全性。
同时,USB Key的硬件和PIN码构成了可以使用证书的两个必要因素。如果用户PIN码被泄漏,只要保存好USB Key的硬件就可以保护自己的证书不被盗用,如果用户的USB Key丢失,获得者由于不知道该硬件的PIN码,也无法盗用用户存在USB Key中的证书。
USB Key的一个最重要的优点就是成本低廉。一些单片机芯片USB Key的成本可以低于10元,很利于大规模普及应用,不过单片机芯片USB Key虽然成本低廉,但是芯片容易被黑客硬件复制。而智能卡芯片的USB Key就不容易被硬件复制,不过带来的是较高的成本,一般智能卡芯片的USB Key的价格都要高于30元。随着芯片技术的发展和生产数量的不断增大,USB的成本会不断下降到一个合理的价位。
3.2.2 USB-Key身份认证流程
1)USB Key内置密钥为S2,认证密钥为S1,认证密钥的加密密钥为S3,认证密钥的解密密钥为K,将K存储于USB Key内。
2)当读者登录数字图书馆认证系统的时候,首先通过USB Key向系统提出申请认证,在电脑上插入USB Key并输入PIN码。用户输入正确的口令认证方可继续,当输入错误口令超过一定次数,用户密码将被锁住,此时必须由管理员来解锁用户密码。
3)认证系统接收到用户的认证申请,由认证服务器产生一随机数(简称C),并将其传给客户端的USB Key。
4)USB Key以(C,S2)为参数,进行HASH(C,S2)运算,将运算结果与认证密钥的解密密钥K一同传送给认证服务器。
5)为了防止攻击者攻击认证的主机,本系统将认证密钥进行了加密存储(即将S1变成S3),认证服务器接收到运算结果及解密密钥K后,首先利用K对S3进行解密,将其变成S1,再以(C,S1)为参数,进行HASH(C,S1)运算。
6)如果HASH(C,S2)=HASH(C,S1),也就说明S2=S1得到认证,即用户身份被成功认证。
7)用户身份被认证后,用户就可以在各资源站点获取所需资源。认证过程如图3所示。
4 结论
由于USB-Key具有安全可靠、便于携带、使用方便、成本低廉的优点,加上PKI体系完善的数据保护机制,使用USB-Key存储数字证书的认证方式已经成为目前主要的认证模式。采用USB-Key进行身份认证,不仅是将先进的认证技术应用到了数字图书馆中,在提高了整个系统安全性的同时,也极大地保护了广大读者的利益,使读者能够更放心地使用数字图书馆的各类资源。同时也保护了数字图书馆运营商的利益,保证其资源不被非法使用。
参考文献:
[1] 汪国安,杨立身.USB Key身份认证系统的设计与实现[J].河南理工大学学报,2005.
[2] 孙立芳.浅谈基于USB Key的身份认证技术及其应用[J].当代经理人,2006.
身份认证技术论文范文4
关键词:数字身份 电子商务 RSA 数字合同
计算机网络迅速普及,各种网络应用应运而生。电子商务、电子政务等新兴技术正在从概念向实务转变。摆在所有愿意并准备应用此类技术进行交易、进行消费的机构和个人都首先会向自己提出这样的问题--我为什么要相信他?我如何让他相信我?这也是本文论述的主要内容:在计算机网络环境中进行交易时,应用“数字身份”技术向对方展示一个“真实的我”;通过“数字身份认证”看到一个“真实的他”;当出现纠纷时能够得到公正的裁决。
身份与身份认证
传统公民身份分为生物身份与社会身份两大类。生物身份是公民与生俱来的(基本唯一的)一种物质,例如:指纹、巩膜、相貌、DNA、手写签字笔迹......等。社会身份则是某些专门组织颁发给公民,在一定范围内唯一并被承认的一种证件,例如:工作证由所在单位颁发并承认、借书证由图书馆颁发并承认、驾驶证由交管部门颁发并承认、公民身份证由公安机关颁发并被社会承认......等。为保证社会身份的可鉴别性及唯一性,即公民与其拥有的社会身份之间一一对应,常在社会身份中融入一些公民的生物身份(公民照片、公民签字等)。
传统的企业身份指由工商管理部门颁发给正式注册登记企业的营业执照,其中注册登记编号等是区分企业的唯一标识。
“身份认证”是用来区分公民身份、企业身份真实性、有效性的一种手段,同时也是保障公民权利、保护企业利益、维护社会安定的一种手段。身份认证的有效性是建立在身份的真实性与唯一性的基础之上。认证方式一般采用出示公民社会身份证件,或提取公民生物身份物质,出示企业注册登记证书等。具有法律效力的身份认证与鉴别则由相关的政府机构或授权专业机构承担。
数字身份
在网络环境下进行交易,安全的数据交换必须满足以下几个条件:保密性,在传递过程中数据文件内容不会被窃取;完整性,接收方收到的数据与发送方发送的数据必须完全一致;抗抵赖,发送方无法否认他发送给接收方的数据文件;防篡改,接收方无法对来自发送方的数据文件作任何修改。其中,抗抵赖是保证鉴别数据来源的有效性(谁发的);防篡改是保证鉴别交换数据的真实性(发的什么)。抗抵赖、防篡改也是电子商务系统中交换交易信息必须具备的基本功能。
“数字身份”是网络环境下用于表明数据交换方身份的一项计算机技术。“数字签名”则是“数字身份”的具体应用。它起到日常生活中交换双方使用传统介质进行文件交换时,被交换文件上手写签名的作用。因此,在数据文件上进行“签名”必须保证数据文件与文件上的(数字)“签名”是一个密不可分的整体。
“数字签名”是用于区分、鉴别和确认数据文件所有者的身份。如果这种“签名”被法律所承认,具有法律效力,那么,当出现交易纠纷时,经过“签名”的数据文件就可以作为司法机关依法裁决时最重要的、具有直接证明作用的“物证”之一。由此可见“数字签名”技术的应用将为电子商务的健康发展提供最基本的安全保证。
数字身份的法律效力
数字身份(以下特指“数字签名”)是计算机网络环境下以数字的形式表示一个社会主体(个人或企业)的身份。这种身份的表示方式是否像我们所期望的那样,能够真实、有效地鉴别数据交换另一方的身份,并以此作为得到法律认可的、具有法律效力的一种“物证”。要解释清楚这个问题,我们先来分析一下“数字身份”是如何应用的,具体说经过“数字签名”后的“物证”(数据文件),能否满足现行的法律、法规、司法程序、物证技术中所要求的“物证”这一概念、是否具备作为“物证”必须具有的特性。“数字签名”是一项新兴的计算机技术。在我国现行的法律、法规中对它的定义和使用还没有明确解释,因此,笔者只是从应用的角度对它做一些探讨性质的分析与研究。
根据“数字签名”应用的领域,按照目前物证技术分类。因为,经过数字签名的文件是存储在计算机中的资料,但是其主要作用却是为鉴别内容真伪、鉴别所有者身份提供证据。
经数字签名后的文件如果可以作为物证。通过这个签名就应该能够认定签名者的真实身份;认定签名后文件内容的有效性;满足“物证”的同一认定。
著名的RSA数学模型对以上问题可以给出基本肯定的答案。
使用RSA模型,每个社会主体可以拥有具有唯一性的,由私钥、公钥组成的一对密钥。私钥用于对数据文件进行“签名”,公钥则用于“身份认证”。所有者的私钥必须秘密保存,其拥有的公钥和加解密算法却可以完全公开,任何人都可以得到。
关于“数字身份”的唯一性。由于“数字身份”(签名用的加密私钥、浏览和认证用的解密公钥)的颁发是一种人为的行为,只要规范颁发过程、严格执行颁发程序、辅以其它措施,数字身份的唯一性可以得到保证(例如:现行的公民身份证号的颁发过程)。
数字身份颁发、认证、鉴别
RSA“密钥”加密可以用于“签名”,可以表示“身份”。那么,由谁来颁发“密钥”,由谁来认证“身份”,又由谁来鉴别“签名”。
颁发身份。如果“数字身份”技术从法律上得到认可,RSA密钥将可以用作确认签名者的真实身份、可以作为物证在案件的举证过程当中所使用。那么,“数字签名”(RSA密钥)将是社会主体具有法律效力的一种“数字身份”。由于这种身份是外界通过人为的手段添加到社会主体之上,为了确保这种“身份”的法律效力,RSA密钥生成、管理工具的开发可以市场化,但是RSA密钥颁发、管理过程必须是一种政府行为。颁发机构必须是一种非盈利的政府机构,或授权机构。例如:可以考虑,个人“数字身份”由公安部门颁发并管理;企业“数字身份”由工商部门颁发并管理等。由于这种密钥是社会主体的一种身份,并且具有法律效力,颁发机构在颁发过程结束后应不出系统地立即销毁颁发给社会主体的“私钥”。该“私钥”只能由社会主体自己秘密保管。颁发机构将社会主体的“公钥”以及相关资料传送给认证机构,供身份认证所使用。
认证身份。当需要确定签名者的真实身份时,应该通过认证机构进行身份认证。该机构将对所有的认证请求进行处理,提供相应的认证内容,即提供被认证主体的详细资料,保证被认证主体RSA公钥本身的真实性、有效性。
鉴别身份。在网络环境下发生金融案件,出现交易纠纷时,我们做的第一件事就是搜集物证,以此确定案件的性质、作为依法裁决的证据。其中“数字身份”的鉴别、“数字签名”的鉴别是非常关键的环节。由于“数字身份”的特殊性,鉴别身份的难度不在于“公钥”本身。因为“公钥”的真假非常容易鉴别,其难度在于对将作为物证的文件进行签名的签名过程。这种问题主要出现在一方的“私钥”被另一方攻破时。为了防止出现这种情况,可以采取双向签名、第三方网上公证等措施达到降低案件发生后身份鉴别的难度。
RSA“数字身份(签名)”应用模型(见附图)
该模型模拟网上签订交易合同的主要环节。并假设由甲方开始起草合同并签字,最终得到经双方确认并签字的“生效合同”。
进行交易的甲乙双方从颁发机构获取各自的“数字身份”(公钥和私钥);颁发机构将甲乙的公钥、供认证用的资料传送至认证机构;甲乙双方可以向认证机构提供认证用补充资料;双方相互交换各自的公钥给对方,该项工作必须在交易开始之前独立完成;交易开始后甲乙双方可以随时向认证机构提出认证对方公钥(对方数字身份)的请求,认证机构将根据被认证方允许提供的资料向认证请求方提交认证结果;甲方起草合同并签字(用自己的私钥进行加密),生成“甲签密文”。同时用自己的公钥进行加密,生成“公证密文”。该密文将作为“甲签密文”的副本提交给公证机构;乙方收到“甲签密文”后可以用公钥甲解密并浏览合同内容,确认无误后在“甲签密文”上签字(用自己的私钥乙进行再加密),生成“双签密文”(该密文是一个生效合同)。同时用自己的公钥对“甲签密文”进行再加密,生成“公证密文”。该密文将作为“双签密文”的副本提交给公证机构;甲方收到“双签密文”后可以用公钥乙进行解密浏览;经双方最后确认无误,同时向公证机构提出确认请求。得到公证机构的答复后,交易电子合同正式生效。
当发生合同纠纷时,司法机关将根据事实进行裁决。拥有鉴别权的机构将对三项主要事实进行鉴别:数字身份鉴别,鉴别合同双方使用“数字身份”(数字签名)的真实性、有效性,主要依据来自于颁发机构颁发的公钥甲、公钥乙,认证机构正式注册的公钥甲、公钥乙,及其在认证机构正式登记各自相关的“数字身份”资料;数字合同鉴别,鉴别数字合同的真实性、有效性,主要依据是甲方签过字的合同“甲签密文”、乙方签过字的合同“双签密文”、最主要的是双方使用各自公钥进行RSA加密后提交给公证机构并被其保留的“公证密文”;当事双方在整个交易中进行的认证过程、签字过程等。
“数字身份”、“数字身份认证”是规范网络交易、提高网络交易安全性的一项新兴技术。我们应尽快开展相关技术的研究、应用与普及。以此推动电子商务在我国的发展。愿我国的网络应用能够在一个净化的环境当中健康发展。
参考资料:
1.唐 毅,妨碍电子商务发展的因素分析,《商业研究》,2002,06上半月版
2.王玉婧,中国电子商务的发展与对策,《商业研究》,2002,03上半月版
3.董玉杰,论公开密钥技术在电子商务中的应用,《商业研究》,2002,02上半月版
身份认证技术论文范文5
[论文摘 要]电子商务是新兴商务形式,信息安全的保障是电子商务实施的前提。本文针对电子商务活动中存在的信息安全隐患问题,实施保障电子商务信息安全的数据加密技术、身份验证技术、防火墙技术等技术性措施,完善电子商务发展的内外部环境,促进我国电子商务可持续发展。
随着网络的发展,电子商务的迅速崛起,使网络成为国际竞争的新战场。然而,由于网络技术本身的缺陷,使得网络社会的脆性大大增加,一旦计算机网络受到攻击不能正常运作时,整个社会就会陷入危机。所以,构筑安全的电子商务信息环境,愈来愈受到国际社会的高度关注。
一、电子商务中的信息安全技术
电子商务的信息安全在很大程度上依赖于技术的完善,包括密码、鉴别、访问控制、信息流控制、数据保护、软件保护、病毒检测及清除、内容分类识别和过滤、网络隐患扫描、系统安全监测报警与审计等技术。
1.防火墙技术。防火墙主要是加强网络之间的访问控制, 防止外部网络用户以非法手段通过外部网络进入内部网络。
2.加密技术。数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据,当需要时可使用不同的密钥将密文数据还原成明文数据。
3.数字签名技术。数字签名技术是将摘要用发送者的私钥加密,与原文一起传送给接收者,接收者只有用发送者的公钥才能解密被加密的摘要。
4.数字时间戳技术。时间戳是一个经加密后形成的凭证文档,包括需加时间戳的文件的摘要、dts 收到文件的日期与时间和dis 数字签名,用户首先将需要加时间的文件用hash编码加密形成摘要,然后将该摘要发送到dts,dts 在加入了收到文件摘要的日期和时间信息后再对该文件加密,然后送回用户。wWw.133229.CoM
二、电子商务安全防范措施
网络安全是电子商务的基础。网络安全防范技术可以从数据的加密(解密)算法、安全的网络协议、网络防火墙、完善的安全管理制度、硬件的加密和物理保护、安全监听系统和防病毒软件等领域来进行考虑和完善。
1.防火墙技术
用过internet,企业可以从异地取回重要数据,同时又要面对 internet 带来的数据安全的新挑战和新危险:即客户、推销商、移动用户、异地员工和内部员工的安全访问;以及保护企业的机密信息不受黑客和工业间谍的入侵。因此,企业必须加筑安全的“壕沟”,而这个“壕沟”就是防火墙.防火墙系统决定了哪些内容服务可以被外界访问;外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过,而且防火墙本身必须能够免于渗透。
2. vpn技术
虚拟专用网简称vpn,指将物理上分布在不同地点的网络通过公用骨干网联接而形成逻辑上的虚拟“私”网,依靠ips或 nsp在安全隧道、用户认证和访问控制等相关技术的控制下达到与专用网络类同的安全性能,从而实现基于 internet 安全传输重要信息的效应。目前vpn 主要采用四项技术来保证安全, 这四项技术分别是隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。
3.数字签名技术
为了保证数据和交易的安全、防止欺骗,确认交易双方的真实身份,电子商务必须采用加密技术。数字签名就是基于加密技术的,它的作用就是用来确定用户是否是真实的。数字签名就是通过一个单向哈希函数对要传送的报文进行处理而得到的用以认证报文是否发生改变的一个字母数字串。发送者用自己的私钥把数据加密后传送给接收者,接收者用发送者的公钥解开数据后,就可确认消息来自于谁,同时也是对发送者发送的信息真实性的一个证明,发送者对所发信息不可抵赖,从而实现信息的有效性和不可否认性。
三、电子商务的安全认证体系
随着计算机的发展和社会的进步,通过网络进行的电子商务活动当今社会越来越频繁,身份认证是一个不得不解决的重要问题,它将直接关系到电子商务活动能否高效而有序地进行。认证体系在电子商务中至关重要,它是用户获得访问权限的关键步骤。现代密码的两个最重要的分支就是加密和认证。加密目的就是防止敌方获得机密信息。认证则是为了防止敌方的主动攻击,包括验证信息真伪及防止信息在通信过程被篡改删除、插入、伪造及重放等。认证主要包括三个方面:消息认证、身份认证和数字签名。
身份认证一般是通过对被认证对象(人或事)的一个或多个参数进行验证。从而确定被认证对象是否名实相符或有效。这要求要验证的参数与被认证对象之间应存在严格的对应关系,最好是惟一对应的。身份认证是安全系统中的第一道关卡。
数字证书是在互联网通信中标志通信各方身份信息的一系列数据。提供了一种 internet 上验证用户身份的方式,其作用类似于司机的驾驶执照或身份证。它是由一个权威机构ca机构,又称为证书授权(certificate authority)中心发行的,人们可以在网上用它识别彼此的身份。
四、结束语
安全实际上就是一种风险管理。任何技术手段都不能保证100%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。因此,为进一步促进电子商务体系的完善和行业的健康快速发展,必须在实际运用中解决电子商务中出现的各类问题,使电子商务系统相对更安全。电子商务的安全运行必须从多方面入手,仅在技术角度防范是远远不够的,还必须完善电子商务立法,以规范飞速发展的电子商务现实中存在的各类问题,从而引导和促进我国电子商务快速健康发展。
参考文献:
[1] 劳帼龄.电子商务的安全技术[m].北京:中国水利水电出版社,2005.
[2] 赵泉.网络安全与电子商务[m].北京:清华大学出版社,2005.
身份认证技术论文范文6
关键字:数字证书;信息安全技术;研究讨论
在交通运输部中国海事局近期推广的“海事协同管理平台”中,除了账号密码验证登录以外,还加入了数字证书验证系统。每一名海事执法人员在“海事系统管理平台”中都有其独一无二的数字证书,并与其账号绑定。通过通过数字证书验证登录,不但操作简便,而且安全性也有了很大的提高,受到了广大海事执法人员的一直好评。作者就以数字证书为核心的信息安全技术进行简要的分析研究。
1关于数字证书的特征分析
在社会环境的影响下、科学水平的变化下,第三方证书的授权按中心(CA)签发了数字证书,其主要的作用需要通过因特网得以体现,其作为是数字信息的一种文件,是被用来证明和标志网络通信双方的身份。从数字证书定义中可以看出,其是权威性电子文档的一种,无论是公共密匙文件的内容,还是公共密匙的持有者身份信息都属于文档内容的范畴。在互联网中,我们可以借助数字证书的作用对身份进行验证。“公匙体质”是数字证书工作的基本原理,简单讲就是在信息认证、加密解密以及数字签名等过程中需要利用到相互配对的密匙。另外,私有密匙和公共密匙是“公匙体质”的主要划分,其中私有密匙是包括在个人用户的领域,用户可以读自己私有的传递信息进行签名或解密,在这样的操作下信心传输的完整性、安全性和准确性是可以得到保障的;公开的密匙则是由多人或一组共享,主要作用是认证和加密信息。
1.1唯一性
根据用户身份和需求的不同,数字证书可以进行不同网络资源的权限设置,即是用户只有在申请通过以后,才可以正常的使用经过设置后的网络密匙,这样一来唯一性的数字证书便得到了保证。
1.2方便性
数字证书无论是在开通、申请,还是在使用等环节都能体现出方便性,用户即使不具备任何的专业性知识,依然可以掌握它。并且后期维护数字证书的工作具有难度低,量小的优点,因而不需要特别专业的人也能够对其应用自如。现如今,其广泛被使用在网上办公、发送电子邮件以及网上交易等活动中。
1.3安全性
信息安全技术若是将数字证书作为核心,其能够有效的对网络信息进行认证、加密以及数字签名等操作,即使是在传输信息的过程中出现丢失或恶意拦截的现象,用户依然可以借助数字证书的作用保证他们不会盗用信息,这样也讲过安全的信传输过程提高了。
2关于数字证书在信息安全技术中的重要性
2.1基础设施的授权管理
在PKI的支撑下可以安全、稳定的进行基础设施授权管理(PMI)操作,其能够从应用系统中将授权管理的功能分离出来,向网络提供管理和访问控制的权限,并能够进一步开发和维护权限管理系统以及简化访问控制的工作。另外,属性证书是PMI权限设置和授权结果的凭证,用户访问资源的权限可以通过属性证书中相关内容的作用被相关的网络信息安全平台控制,而用户系统应用的控制又可以通过业务系统中相关权限的策略被应用该系统控制。
2.2公匙基础设施
公匙基础设施(PKI)作为网络密匙管理平台的一种,是遵循既定标准形成的,在PKI的作用下,用户可以实现数字签名、信息加密等内容。对于一些大型的电子政务和电子商务来讲,数字证书的注销、申请、换证和认证等内容都包括在PKI中。
2.3应用数字证书的子系统
为了将数字证书在信息安全技术中的核心作用发挥出来,就需要间数字证书的一个应用平台建立起来,也就是应用子系统,其能够完成对网络信息的认证、加密以及数字签名等内容。一般情况下,我们将数字证书应用的子系统分成两个部分进行研究,分别是应用系统和平台接口以及整体框架。
(1)应用数字证书的整体框架
总是将应用服务区域、客户区域以及服务区域等三部分归纳到数字证书应用的体系框架范畴。服务区域主机被认证权限控制以后,数字信息的权限、加密以及认证等内容也会被控制,此时在客户区域内的信息就可以借助服务器的作用被安全的在应用服务区域中传输。对于存在宝贵数据资源的数据信息在传输过程中需要通过服务器的作用,将所有的重要信息都在安全网络的环境下进行保护。我们有专门的一个系统的以数字证书作为核心的信息安全技术控制的机制,首先需要做的是在客户端安全程序的作用下将申请用户的身份信息记录到认证系统中,待请求查询通过以后就可以使用,随后需要通过上下文身份认证信息的随机码签字系统来验证用户的有效信息,由于有大量的英文字母和数字存在于数字证书中,因而有效认证用户身份信息的工作必须通过数字证书的作用来实现。在数字证书中能够将128位身份验证码生成,并且每一个验证码都具有显著差异性,即是生成的这也个密码不但是唯一的,而且的复杂的,这样才能够使在网络传输过程中数据信息的保密性和安全性能获得保证。
(2)数字证书应用系统和平台接口
在信息安全技术中存在的数字证书能够将一个开发性的接口提供给应用程序中的服务器端口和客户端口,其接口的形式主要有四类,分别是COM、JAVA、WINDOWS以及DLL。对于数字证书用用系统和平台之间的接口而言,主要有几个方面的功能得以实现,如:验证签名、查询数字证书状态、加密数据信息、数字签名以及用户身份认证等。
3总结
总的来讲,以数字证书为核心的安全信息技术其主要是通过认证、加密以及签字等内容来实现的,从而使准确性、安全性和完整性的互联网信息传输的工作得到保证。另外,由于使用者不需要熟练掌握任何的操作技能和专业性知识就能够良好的控制操作流程,可见,其具有维护简单、操作难度小等有点,这样一来以数字证书作为核心的安全信息技术也能够取得更广阔的发展前景。文章主要是通过对数字证书在信息安全技术中应用方面的研究,研究的内容涉及到多个方面,如:建立实施数字证书的应用子系统、公匙基础设施以及授权管理的基础设施等,其目的是为了向日后同行业者的相关研究提供有效理论依据。
参考文献:
[1]李燕.关于数字证书为核心的信息安全技术研究[J].计算机光盘软件与应用,2012,07:11-12.
[2]刘志坚.出版业CA系统的研究与开发[D].北方工业大学,2015.
[3]李宏建.无线Mesh网络安全关键技术研究[D].国防科学技术大学,2011.
[4]曹亚南.基于证书的ERP系统用户分级控制研究[D].大连海事大学,2013.
