身份認證技術論文精品(七篇)

序論：寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內心深處的真相，好投稿為您帶來了七篇身份認證技術論文范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創作。

篇(1)

關鍵詞：校園網 規劃 信息化

中圖分類號：TP393.18 文獻標識碼：A 文章編號：1007-9416（2016）12-0195-01

引言

在高校校園網建設中，一個好的校園網絡接入身份系統是指能夠為廣大師生提供安全、便捷的接入服務，主要表現三個方面：1）在具有多個校區的網絡環境中，能夠提供可靠的身份認證服務；2）支持多種認證方式，如支持用戶漫游的分布認證、單點登陸認證等多種認證方式，用戶無論身處哪個校區，都可以一次接入認證后即可訪問校內多個業務系統；3）具備大量的認證用戶并發訪問認證服務器時系統查以自動調配內存資源的能力（即具備良好的負載均衡能力。隨著我國高等職業院校的快速發展，各高職院校不斷擴大招生規模，并啟動新校區建設。各院校在統籌建設新、老校區網絡建設時，也都在研究安全、可靠、負載性能好的身份認證系統。本論文以某高職院校為例，設計了一個基于“三層架構”的校園網身份認證系統，對高職院校開發校園網絡身份認證系統具有一定的參考價值。

1 校園網身份認證相關技術

1.1 Kerberosy認證

Kerberosy認證是在上世紀90年代伴隨萬維網的出現而誕生的經典身份認證技術。它提供了一種利用認證服務器（AS）實現客戶端（Client）和服務器端（Server）相互J證的經典思路；為解決一次授權即實現多服務器登陸的問題，Kerberosy認證引入了票據授權服務（TGS - Ticket Granting Service），省去了多次認證的時空開銷。因此，Kerberosy認證包括認證服務器（AS），客戶端（Client）和普通服務器（Server）、票據授權服務（TGS - Ticket Granting Service） 四個角色。

1.2 LDAP：輕量級目錄訪問協議

輕量級目錄訪問協議 ，是一種跨平臺的目錄服務技術，位于TCP/IP協議的上層，提供標準的服務接口，因此具有平臺無關性，采用樹狀模式存儲目錄信息，每一條目錄信息基于條目（Entry），條目在目錄全局中具有唯一的身份標識并包含屬性信息（一般比較精短），方便快速檢索條目信息。由于身份認證中傳遞的多數都為短文本（加密）信息，因此LDAP協議的特別適合身份認證的需求，此特性使其在各種身份認證技術中得到廣泛應用。

1.3 ICE中間件

Ice是Internet Communications Engine的簡稱，是一種面向對象的中間件平臺，支持面向對象的RPC編程，其最初的目的是為了提供類似CORBA技術的強大功能，又能消除CORBA技術的復雜性。該平臺為構建面向對象的客戶-服務器應用提供了工具、API和庫支持。ICE平臺內嵌負載均衡功能，對于分布大多個節點上的應用服務提供多種負載均衡方案，只需要通過XML配置文件即可完成負載均衡配置。配置項包括Type （負載均衡類型）、Sampling interval（負載信息收集間隙）、Number of replicas（返回給客戶端的適配器個數）。

2 基于三層架構的校園網身份認證模型

2.1 統一身份認證集成中存在的突出問題

目前，統一身份認證主要有網關模型、模型、經紀人模型等三種模型。網關模型中所有的應用系統都放在認證系統之后，雖然提高了應用系統的安全性，但也導致部分對用戶權限要求并不高的應用系統不能很好地被用戶訪問，比較典型的如各高校專門為學生下載視頻資源搭建的FTP應用。因此網關模型對用戶訪問應用系統資源具有一定的制約性。模型是用戶通過服務器訪問不同的應用系統，用戶的訪問權限由服務器控制，但用戶的登陸信息在本地存儲，存在信息泄露的危險。經紀人模型不存在前兩種模型的缺點，但需要生成電子身份標識，認證開銷比較大，對認證服務器性能要求較高。

2.2 “三層架構”統一身份認證模型的提出

本文結合某高職院校網絡實際，提出了一種基于“應用層、服務層、數據層”的三層統一身份認證模式，該模式結合了LDAP、Kerberosy認證、ICE中間件三種身份認證技術。具體模型結構如圖1所示。

應用層主要是用戶（Client）端向應用服務器（Service）發出訪問請求，應用服務器在收到后，將用戶身份信息，通過中間件認證接口發送到認證服務器層，認證服務層采用Kerberosy認證，驗證通過的用戶可獲得數據資源訪問授權，通過LDAP技術，實現用戶要訪問的數據資源目錄與LDAP目錄同步，減少用戶資源訪問等待時間。三層架構的優點顯而易見，將認服服務器與應用服務器分開，用戶不再直接訪問認證服務器，減輕了認證服務器的壓力；LADP同步技術提高了數據訪問效率，提升了用戶體驗；三層架構更容易配置。

3 結語

本文主要結合某高職院校校園網身份認證的需求，介紹了統一身份身份認證的相關技術，提出了一種基于三層架構的統一身份認證技術，包括應用層、服務層、數據層，具有邏輯結構清晰、訪問效率高、配置方便的明顯優點。通過在某高職院校校園網統統一身份認證的應用，師生反映校園網登陸等待時間減少，資源訪問更加高效，證實該方案對高職院校校園網統一身份證具有重要的參考意義。

參考文獻

[1]周蘇，王文.高職院校數字化校園的規劃及其網絡系統的設計[J].信息化建設，2015.

篇(2)

關 鍵 詞：密碼體制；RSA算法；身份認證；公鑰

1、RSA加密算法及身份認證

目前網絡通信主要提供五種安全服務，即身份認證服務、訪問控制服務、機密、完整和抗否認。其中，身份認證作為安全應用系統的第一道防線，是最重要的安全服務，所有其它的安全服務都依賴于該服務，它的失敗可能導致整個系統的失敗。

網絡應用系統中通信雙方的身份認證問題，傳統的做法是采用用戶名加口令來驗證登錄用戶的身份，但是由于口令在使用過程中很容易被竊取、暴力攻擊和猜測，存在較大的安全隱患；另外這種認證方式只能完成單方面的身份認證，即只能解決服務器驗證客戶端身份的問題，無法解決客戶端驗證服務器身份的問題，因此不能完全滿足互聯網業務應用的需要。公鑰加密算法的安全性主要是基于復雜的數學難題。目前比較流行的主要有兩類[2]：一類是基于大整數因子分解系統，以RSA為典型代表，它是目前被研究和應用得最為廣泛的公鑰算法，經過長年的攻擊考驗，該算法已被普遍認為是目前最優秀的公鑰方案之一。

2、RSA工作原理[1]如下：

（1）任意選取兩個不同的大質數p和q，計算乘積r=p*q；

（2）任意選取一個大整數e，e與(p-1)*(q-1)互質，整數e用做加密密鑰。注意e的選取是很容易的，例如所有大于p和q的質數都可用.；

（3）確定解密密鑰d，由d*e=1 mod((p-1)*(q-1))，根據e，p和q可以容易地計算出d；

（4）公開整數r和e，但是不公開d；

（5）將明文P(假設P是一個小于r的整數)加密為密文C，計算方法為C=Pe mod r；

（6）將密文C解密為明文P，計算方法為P=cd mod r；

然而，只根據r和e(不是p和q)要計算出d是不可能的，因此，任何人都可對明文進行加密，但只有授權用戶(知道d)才可對密文解密。為了保證RSA的有效性，通常找兩個非常的大質數p和q。

3、基于RSA雙身份認證方案的設計

為了實現信息的網絡化管理，系統采用VC.NET結合SQL Server2000數據庫的解決方案，即將用戶數字證書等有關信息存放在SQL Server數據庫中。Windows2000中包括一個完整的PKI系統，文獻[3]給出了具體的設計及部署的過程。

3.1方案體系結構

系統采用B/S/D(Browser/Server)三層體系結構，即表示層(Browser)、功能層(Web Service)和數據服務層(DataBase Service)；VC.NET通過ADO.NET訪問數據庫。對數據庫的訪問在Web服務器端完成，客戶端通過瀏覽器訪問Web服務器并運行其程序。

3.2 方案的實現過程

3.2.1建立數字證書

選取兩個大素數p和q，并且兩數的長度相等，以獲取最大程度的安全性。計算兩數的乘積n=p*q；隨機選取加密密鑰d，為滿足ed=1 mod(p-1)(q-1)，則d=e-1 mod((p-1)(q-1))，d和n也互素；e是公鑰，d是私鑰，n是公開的。兩個素數p和q不再需要，可以被舍棄，但決不能泄露。假設生成了用戶A的密鑰對(eA，dA)和用戶B的密鑰對(eB，dB)。

用戶將私鑰d秘密保存，公鑰e交給一個管理仲裁機構認證中心，獲得自己的數字證書，然后將數字證書保存在自己的機器上，同時認證中心將合法用戶的數字證書保存在數據庫中，以便用戶查詢。用戶當與網絡上某個用戶通信需要進行身份認證時，將自己的數字證書發送給通信的對方。對方收到數字證書后，首先通過認證中心驗證其合法性。如果是合法的，就可以從證書中獲得需要的用戶公鑰，然后利用該公鑰驗證對方的身份；如果不合法，就可以終止通信。

3.2.2進行身份認證

第一步:用戶A對用戶B的認證

第二步:用戶B對用戶A的認證

A與B相互認證過程如圖1所示：

圖1

3.3方案的實驗

3.3.1運行環境：硬件與網絡環境:服務器能運行Windows XP、Windows NT4.0+Service Pack6及以上操作系統，建議使用586或以上的計算機。

系統軟件：操作系統Windows 2000、XP及以上版本，SQL Server2000。

運行環境:Microsoft Visual C++6.0，瀏覽器使用IE5.5及以上版本。

3.3.2代碼實現：在認證過程使用的加密和解密算法相同，已利用VisualC++6.0實現，另外簽名和驗證的算法也和加密算法相同，只是每次利用的秘鑰不同，這也是利用RSA算法進行認證的優勢。

4、結 論

RSA算法自公布以來經過20多年的發展和考驗，除了其速度稍慢之外至今尚未找到其它的缺陷，因此RSA算法的應用越來越廣泛。本文設計的是一種基于RSA，并通過VC++實現了基于該方案的系統，有效解決了身份認證困難復雜的問題，對具有該加密的身份認證系統類需求的應用有一定的實用價值。

參 考 文 獻：

[1] 郭拯危，繆亮. 一種改進的RSA算法的研究與實現.河南大學學報，2006，36（1）:98~99

[2]王建兵.PKI數字證書在WEB系統中的安全應用.信息技術，2005，(1):40~44

[3]高蕾，鄭建德.基于PKI的高校安全教務管理研究.廈門大學學報，2006，5月:305~307

篇(3)

關鍵詞：化校園，portlet，門戶平臺

 

隨著高等教育的發展，智能化的數字化校園正成為眾多高校信息化推進的重要部分。論文格式。數字化校園是利用信息化手段和工具，將校園的各項資源、管理及服務流程數字化，形成校園的數字環境，使現實的校園環境憑借信息系統在時間和空間上得到延伸。

信息門戶平臺是一個面向全校師生的個性化應用集成和信息整合平臺，它為師生訪問數字化校園的應用服務和有關信息提供了方便快捷的統一入口。[1]該系統應擁有風格管理、頁面設置、日程安排、收藏夾等友好而又靈活的個性化設置功能；并通過深入的應用集成，把OA、人事、科研、教務、財務、教學測評、檔案等業務管理系統整合在一起；并提供了眾多工作、學習、生活方面的服務信息，例如：校車、校歷、校內電話黃頁、學校地圖、天氣、列車、航班等。

1 需求特點

由于信息門戶是一個統一入口，而用戶可以是擁有不同身份的人員，所以在用戶單點登錄后，無論是從操作方便還是安全方面考慮都只能針對不同的用戶，提供不同的界面，這就不得不提到信息門戶的首要特性：用戶化（Customization）。

l根據角色或者組織來提供能夠使用的功能。論文格式。比如學生可以選課，老師就不可以；

l根據角色或者組織來提供不同的界面外觀。

為了門戶適應個人的使用，用戶可以定制自己的個性化界面和內容，即個性化（Personalization）包括：

l調整頁面排版；

l再頁面中添加或者刪除頻道；

l可以定制自己喜歡的主題、顏色；

l支持不同的Client。

除此之外，為了與不同的系統集成，還應具有適應性（Adaptive）；門戶的安全性（Secured）也是基本要求。

2 portal技術概述

門戶開發技術從動態頁面制作到界面與數據庫集成，并發展至今，所實現的價值和成本也都發展到一定規模，如圖一所示。Portal技術也作為一種主流的門戶開發技術收到重視。“ Portal ”一詞在英語中解釋為“入口，大門”，中文翻譯為“門戶”。論文格式。在 Sun 的 Portlet 技術規范 JSR-168 （ Java Specification Request 168 ）中定義為： Portal 是基于 Web 的應用，通常提供個性化，單點登錄，整合不同資源的綜合信息展示平臺。

Portal 展現在最終用戶面前的是類似于 Web 網頁的 Portal 頁面，有些 Portal 主頁制作的更像是一個桌面系統的界面，更能獲得用戶的認可。

構成 Portal 頁面的是能夠建立和展現不同內容的一系列 Portlet 。 Portal 使用Portlet 作為可插拔用戶接口組件，提供信息系統的表示層。 Portlet 是部署在特定容器內用來生成動態內容的可重用 Web 組件。 Portlet 處理從Portal 傳遞來的用戶請求，動態生成輸出內容的一個片段，展現在 Portal 頁面的某個位置上。

圖一門戶發展歷程

3 門戶平臺開發流程

建立 Portal 應用系統的主要任務之一就是設計各式各樣的 Portlet 組件，實現應用系統的各種功能。雖然多數 Portal 系統會附送一些常用的 Portlet 組件，可以滿足一些公共服務需要，但跟工作事務和業務處理相關的大量Portlet 組件必須有專門人員進行細致的設計和開發。

Portlet 的設計開發有必要遵循 JSR-168 規范和 WSRP 標準，以適合各種類型的 Portal 服務器。在具體的實現上，也將會用到 WSDL 、 SOAP 和 UDDI 相關技術規范，以便同 Web 服務應用系統進行信息交互處理。

開發 Portlet 主要有兩種方法，一是借助于 Portal 產品商提供的可視化的預制開發工具，二是應用 Java 語言直接編程。預制開發工具為 Portlet 開發者提供了許多有益的幫助，如自動產生必要的配置文件，預制了程序代碼框架，提供所見即所得編輯和調試環境等等。但無論如何， Portlet 開發的重點是 Portlet 片段內容的產生和處理，主要以 JSP 為主配合 HTML 和JavaScript 等網頁開發技術，再借用 JSF ，Struts ， Hibernate 等框架來簡化開發。

針對高校情況，雖然具體略有不同，但門戶系統的開發一般按照如下步驟來實現：

•獲取相關數據、確定硬件需求：

1)評估學校用戶數

2)評估學校機器數

3)預測上網峰值用戶數

4)預測使用門戶的峰值用戶數

5)預測門戶的峰值并發用戶數

6)由同時使用門戶的峰值用戶數決定

•設計部署方案：

1)根據相關數據和硬件設計部署方案

2)操作系統、AppServer、數據庫、身份認證系統、Portal的安裝

•調研需求：

1)需要的模塊

2)需要集成的資源

3)需要集成的數據

•應用開發

•調試部署：

1)開發機調試

2)部署到服務器

4 單點登錄和權限控制

單點登錄是為了方便用戶進入多個應用系統，減少用戶多次登錄，免除用戶記憶多套用戶名和密碼的麻煩。[2]

單點登錄涉及到兩個問題，一是身份認證，二是權限控制。

身份認證是 Portal 系統提供訪問控制的第一步，即確認用戶是誰，能否進入系統。通常要求用戶提供用戶名和口令，必要時要求提供用戶的數字證書，也可以配合使用 IC 卡、指紋等驗證手段。

權限控制或授權確定一個用戶的角色和級別，從而控制用戶的訪問許可，即決定用戶能查閱哪些資料，能進行哪些操作等等。 Java EE 架構采用了基于角色的訪問控制策略（ RBAC ）。 RBAC 的基本思想是把對用戶的授權劃分成兩個分配關系，即“用戶—角色”和“角色—權限”。 RBAC 的好處是便于應用系統的開發，使得程序設計相對獨立和透明化，只是在應用系統部署使用時才通過“角色”把“用戶”和“權限”關聯起來，而且對用戶和權限的調整配置容易實施。

用戶與角色之間是多對多的關系，即一個用戶可以被分配給多個角色，多個用戶也可以分配給同一個角色。

角色與權限之間也是多對多的關系，即一個權限可以與多個角色相關，一個角色也可以包含多重權限。

在用戶管理、身份認證和權限控制方面，無論是商業的或開源的 Portal 產品多數喜歡采用 LDAP ，當然也有的支持使用數據庫。 LDAP 的好處一是它可以方便的按類別存儲任何類型的數據信息；其二，它的樹形存儲結構類似于一個企事業單位的組織架構，容易對應；三是它同應用系統接口容易，各個 LDAP 產品的接口都一致無需特別配置；四是它對數據信息的訪問安全控制方便；五是它偏向于相對固定數據信息的查詢使用，效率較高，維護也方便。LDAP與portal之間的業務關系如圖二所示。

圖二系統業務層次

5 門戶系統架構與實現

Portal Server是整個Portal系統的運行支撐環境，是一個標準的Web 應用程序，運行于J2EE Application Server 環境中。在此基礎之上形成了能夠實現的系統技術架構。

圖三系統技術架構

在高等教育創新性需求的發展下，數字化校園正在向智能化與特色化方向發展，門戶系統的開發需要適應各高校的具體情況，更加靈活與方便地提供相應用戶所需的信息才是最重要的。

參考文獻[1].茅維華;唐守國;高淑娟;白雪松;楊虹;周斌.校園信息化關鍵技術平臺之研究與實踐[J].中山大學學報(自然科學版)，2009/S1

[2].鄧志宏,蔡海濱,蔡悅華.基于數字化校園門戶的分布式身份認證系統研究[J].計算機工程與設計,2005,(08).

[3].賴維瑋.信息化門戶系統在校園數字化建設中的應用研究[J].科技廣場,2009/09

篇(4)

論文摘要：近年來，隨著郵政儲蓄多項新業務、新系統的開發、建設和上線，郵政金融信息化蓬勃發展，金融系統安全逐漸成為一個關鍵性問題。2006年，郵政金融開始啟動柜員安全認證工程，天津郵政儲蓄使用指紋技術對系統柜員身份進行認證，開創了天津銀行業領域使用生物技術防范風險的先河。

隨著金融信息化程度越來越高和計算機知識的普及、利用計算機犯罪的問題越來越突出.金融業務的安全性面陸著前所未有的嚴峻挑戰。而諸多事實警示我們，在金融安全工作中外患固應嚴陣以待內患更須防微杜漸。如何降低銀行業內部信息系統風險有效提高生產系統的安全性是目前各家金融機構普遍存在的問題。中國郵政儲蓄業務和匯兌業務在實現了電子化管理之后其業務處理能力得到了極大的發展。但是隨著信息化程度的提高也增加了系統的不安全因素，尤其是信息采集、系統訪問安全成為各項安全中的關鍵問題。一直以來郵政儲蓄采用密碼方式對系統的人員權限進行身份控制。然而密碼極容易泄露記憶麻煩、發生問題責任不清而且對于網絡黑客、別有用心的訪問者來說竊取、破譯合法訪問者的密碼比較容易由此更容易引發資金案件。因為密碼驗證方式存在一個致命的弱點二不能準確標識密碼使用者就是密碼所有者本人口提高信息系統的安全性管理是根本.技術是保障。如何利用高科技手段建立一套省時、省力而又行之有效的計算機信息管理系統.把各級管理者們從“擔心出金融案件的憂慮和煩惱‘’中解脫出來呢，近幾年來指紋技術的成熟和廠泛應用為這個想法的實現提供了可能。指紋技術除了在公安和警用等專業領域廣泛應用外逐漸應用到了民用領域派生出一系列的產品.如:指紋考勤機、指紋門禁機、指紋鎖指紋口盤等。2003年開始指紋技術在金融行業開始得到應用用來解決金融安全問題防范操作風險的發生。

郵政儲蓄指紋系統2006年吧月天津郵政儲蓄啟動柜員身份認證系統的建設.在儲蓄統版系統中使用指紋萬式對網點柜員的登陸和授權進行風險控制。

技術可行性分析

（1）應用性:與其他生物技術相比指紋技術成熟、使用簡單

(2)易用性:指紋不存在遺忘丟失情況用來驗證身份萬便、快捷:

(3)安全性真正實現‘識別人而不是識別物

(4)可實施性:提供多種授權方式解決非現場授權問題、如授權、集中授權手機短信授權等

(5)別經濟性川生價比高、一機多用(儲蓄系統與電子匯兌系統可共用)、一次投資長期受益(無需冗余大量備用設備)

(6)可擴展性:考慮到今后業務的發展為新業務接入預留了開放接口。為郵政業務擴展、新業務新產品的開發提供了增值平臺。

經濟效益可行性分析

(1)管理成本:指紋驗證身份不用攜帶任何載體。給設備管理部門減少了工作壓力。只要保證建檔指紋的真實性，把對幾千人的管理轉變為對幾十個指紋系統管理員的管理大大降低管理成本;

(2)監督功能:指紋系統的統計分析功能.方便了管理者對業務數據和人員工作情況的查詢監督實現減員增效擴大監督范圍提高效率;

(3)風險成本與潛在效益:指紋驗證身份后權責分明，避免內部資金案件風險還可為外部客戶提供指紋儲蓄等服務為郵政吸引更多客戶帶來潛在效益。

指紋系統應用

指紋系統邏輯結構包括郵政金融業務系統和指紋認證系統兩部分系統之間通過接口互相調用、通訊實現業務系統內部人員的身份認證，如圖1所示。天津郵政儲蓄指紋認證系統包括認證和管理兩大部分:認證部分實現本地和遠程的指紋身份驗證;管理部分完成指紋設備、人員信息的管理。管理系統劃分為省中心指紋管理系統、區縣指紋管理系統、網點指紋管理系統。目前，天津郵政儲蓄統一的指紋身份認證平臺，可以為多個信息系統提供人員身份確認功能，凡需要驗證身份的環節指紋中心均可以提供指紋驗證功能.真正實現了身份認證流程的一體化。此外該身份認證系統操作流程規范，對業務系統人員的指紋、身份級別等信息集中存放、操作流程一致實現了數據共享，便于統一管理。

指紋系統應用效果

至2006年年底，天津郵政儲蓄361個網點全部采用指紋系統驗證系統登陸和業務授權者身份所有儲蓄操作員、班組長、支局長實現了用指紋進行簽到/退。天津郵儲指紋系統上線至今已有1年半的時間.運行狀況良好達到預期的效果:

(1)有效杜絕了過去由于操作性風險導致的金融案件。采用指紋技術后柜員操作及授權業務只能是當事人操作完全杜絕了替代和非法授權的情況發生。

(2)由于是對本人指紋進行采集和識別，因而別人無法窺視、盜竊他人密碼，從而切斷了非正常途徑傳送密碼的可能(防止高智商作案)

(3)提高工作速度，指紋錄入及識別大約1秒這比手工輸入密碼要快。柜員和主管都不用費時定期更換密碼，也不必用其他手段來保護密碼

(4)該系統應用簡單.不用對使用者作過多要求易學易用。

篇(5)

【關鍵詞】前綴碼；AES；認證方案

隨著移動通信網絡的高速發展，移動電子商務、電子現金、手機網絡銀行等業務的興起，移動通信網絡中的各種攻擊及欺詐行為也更加猖獗和頻繁，移動信息安全的重要性與保密性也變得更加前所未有的重要。在網絡通信環境中，身份認證是網絡安全的第一道防線，高效便捷的身份認證方式是移動通信技術安全性的重要保證[1]。在網絡安全領域，廣泛使用的身份認證形式主要有證書認證[2]和口令認證[3]兩種方式?？诹钫J證是一種輕量級的認證方案，口令認證分為靜態口令[4]和動態口令[5~6]兩種，靜態口令由于存在多種安全問題已逐漸被業界淘汰，動態口令也已經很難滿足目前復雜的網絡環境。證書認證需要權威的第三方證書授權中心（CA）頒發證書，相比于口令認證方式，證書認證方式安全級別更高，能夠抵御多種攻擊及欺詐方式，但證書認證方式對通信雙方資源要求較高，更為復雜，而且需要權威的第三方認證授權中心，所以在移動通信網絡中使用傳統的證書認證方式和口令認證都不是最有效的解決方案。AES（AdvancedEncryptionStandard）是一種高級加密標準，在密碼學中一般又稱為Rijndael算法，AES算法具有非常高的安全性，但近年來依然有被攻擊的案例，例如使用Square攻擊。而新型基于前綴碼的AES算法可通過前綴碼對Square攻擊法輸入的不同明文的譯碼來改變輪子密鑰的順序，使輪子密鑰的使用順序與輸入的明文相關，從而使自身具有抵抗Square攻擊的能力，不影響算法效率的前提下，能很極大提高AES算法的安全性[7]，并且相對于其他高級加密算法，例如RSA等非對稱加密算法，基于前綴碼的AES算法更加靈活高效，更適用于移動通信網絡。綜合對比分析傳統認證方式的優缺點，本文提出了一種安全強度更高的基于前綴碼AES加密動態口令認證方案，新方案可以保障通信雙方進行安全的雙向認證，并且每次會話都通過基于前綴碼的AES算法建立新的通信信道。

1新型AES認證方案設計

1.1符號及標識

O：用戶；F：服務器；T：用戶標識；MM：口令；+：加法；：異或；H（x）：哈希函數；n：第n次認證；N：表示隨機數；Nn：第n次認證的隨機數。

1.2認證過程

（1）在注冊過程中，用戶輸入T和MM，生成隨機數N0，計算R0=H（T，MMN0），將T和R0傳送至服務器F。服務器F使用基于前綴碼的AES算法為用戶O計算分配共享密鑰KAES，同時分配另一共享密鑰KOF，用戶O保存KAES與KOF，并從此刻起，認證過程所有數據都通過共享密碼KAES加密后再傳送，收到數據都先通過KAES解密后再處理。（2）O與F計算整數g、大素數m，O保存與F的共享密鑰KOF，m，g，N0。（3）F存儲O的T、R0、KOF、m、g。（4）O進行第n次登錄過程時，O的認證數據有T，MM和Nn，F保存的對應認證數據是Rn。（5）O進行登錄時，生成隨機數XU<n，并計算：YO=gXomodm然后O用KOF加密YO得到KOF（YO），O發送T，KOF（YO）給F。O存放隨機數XO。（6）F收到O的消息后在本地數據庫查詢T所對應的共享密鑰，再用對應的共享密鑰解密KOF（YO）得到YO。然后F生成一個隨機數Xs<n，并計算：YF=gXFmodmF用KOF加密YF得到KOF（YF），并計算R=YFYO，F存儲隨機數XF。F發送R，KOF（YF）給O。（7）O收到后F返回的數據后用KOF解密得到YF，再使用YF與R做異或運算，將結果與YO比較，不等則認證失敗，終止認證登陸，相等就計算Rn=H（T，MMNn），同時生成另一個隨機數Nn+1并保存，O再用Nn+1計算：Rn+1=H（T，MMNn+1），Mn+1=H（T，Rn+1），其中Rn+1作為下一次的認證數據。用數據Rn、Rn+1和Mn+1計算α=Rn+1（Mn+1+Rn），β=Mn+1Rn。（8）O將α，β和T傳送給F。（9）F收到α，β和T后，從認證數據數據庫中取得與T相對應的Rn，然后計算：βRn=Mn+1RnRn=Mn+1，得到Mn+1，再用Rn和上式得到的Mn+1計算：α（Mn+1+Rn）=Rn+1（Mn+1+Rn）（Mn+1+Rn）=Mn+1，得到的Rn+1和T計算Mn+1′=H（T，Rn+1）。（10）F對Mn+1′與Mn+1的值進行比較，若相等，則F通過對O的身份認證，否則拒絕O登錄。同時F計算：Kn=（YF）Xomodm并將Kn作為新的會話密鑰，加密服務器和用戶之間的會話信息。（11）收到F發送的允許登錄消息后，O計算第n次的會話密鑰Kn′：Kn′=（YO）XFmodm則有：Kn=（YF）Xomodm=gXFXomodm=（YO）XFmodm=Kn′在用戶通過認證登陸服務器后，用Kn做會話密鑰建立安全通信信道與服務器通信。

2總結

新型AES認證方案結合了口令認證及前綴碼AES加密算法的優勢，不僅能夠保證服務器對用戶的身份認證，也能夠有效的實現用戶對服務器真偽的認證。通過新型AES算法加密后的會話信道能夠保證所有信息在安全環境下傳輸，并能確保傳輸信息為原始信息，有效防御中間人攻擊及欺詐攻擊，使攻擊者無法在通信過程中刪除消息、注入錯誤消息、修改消息。新型AES認證方案綜合考慮了算法及方案復雜度問題，使用靈活的異或運算來處理部分數據，大大提高了計算效率，同時又使用基于前綴碼的AES算法來保證數據安全性。新型AES認證方案每次認證產生的隨機數、認證口令和會話密鑰都不相同并且一次有效，能夠保證重要數據的新鮮性，因此對重放攻擊也有很強的抵御能力。

綜上所述，新型AES認證方案安全高效，適用于安全性要求較高的移動網絡環境中。

作者:孫浩然 單位:日照市第一中學

參考文獻

[1]戴云，范平志.入侵檢測系統研究綜述[J].計算機工程與應用，2002，38（4）：17~19.

[2]鞠宏偉，李鳳銀，禹繼國.基于RSA的證實數字簽名方案[J].計算機應用研究，2008（1）：93~95.

[3]索望.一次性口令身份認證方案的設計與實現[D].四川：四川大學（碩士學位論文），2005：29~32.

[4]王順滿，吳長奇，張笈，等.無線局域網的安全問題[J].無線電通信技術，2003（5）：19~21.

[5]LAMPORTL.PasswordAuthenticationwithInsecureCommunication[J].CommunicationsoftheACM，1981，24（11）：770~772.

篇(6)

摘要：以適應校園數字化建設的客觀需要，構建具有綜合功能的財務管理信息系統為目標，應用系統分析和相關分析方法，分析了當前及今后一個時期內高校財務信息管理在數字化校園環境支撐下出現的新的應用特點和功能擴展需求，探討了新形勢下高校財務管理信息化的規劃設計要素。

關鍵詞：數字化校園；財務管理；管理信息系統；規劃分析

財務管理是高等學校正常運行和事業發展的重要內容，也是與校園生活密不可分的基本環節。在校園數字化的進程中，無論是有關師生員工個人的財務信息，還是有關項目經費管理等對公財務信息，都是數字校園的重要資源。校園數字化建設中，應當充分重視財務管理的信息資源作用，通過系統設計將其納人數字化校園建設的總體規劃之中。

一、校園卡系統的一般功能概述校園數字化通常以校園“一卡通”系統建設作為切入點。校園卡系統作為數字校園的基礎環境和支撐平臺，其構架完全服從于數字校園建設的整體規劃，成為數字校園中有機的、重要的組成部分。校園卡系統既是數字校園的數據信息存儲、管理和處理中心，也是整個數字校園的核心引擎。在該平臺下，各相關應用系統以構件方式存在并運行其上，相關數據和信息按照數字校園規定的數據交換與共享規范在校園網絡上滿足各子系統的數據交換、數據同步與數據共享需要。

在當前的技術條件下，校園卡系統通常由一張校園卡和一張相對應的銀行卡作為使用媒介來實現系統功能。校園卡具有校內身份認證和電子消費兩類基本功能。

（1）多證合一、以卡代證：將學生證、教師工作證、醫療證、借書證、出入證等數字化為校園卡身份信息，一卡實現校內各種需要的身份認證功能。

（2）身份認證公共信息管理：通過校園卡中心數據庫，實現學生、教職工的身份檔案的數字化和網絡化，確保校園網絡信息傳遞的真實性、安全性、可靠性和完整性。

（3）基于統一身份認證的應用服務：透過校園卡的統一身份認證管理，進一步為使用者提供相應的目錄服務，即基于校園數字資源統一組織和應用集成所形成的各種校園網絡化應用服務，包括信息分級、辦公自動化數據交換、校園管理信息系統數據共享等。

（4）以卡代票、以卡代幣、刷卡消費：取代以往校內使用的各種票據，如飯票、水票、洗澡票、上機票等，以校園卡的“電子錢包”功能滿足師生員工的校內消費和費用繳納需要。

（5）校內消費資金統一歸集：通過分布于校園內各消費點的POS終端，在實現校內消費刷卡支付的同時，實現了校內資金流動的統一歸集，在技術手段上滿足了學校對下屬經營服務單位的財務監管需要。

與校園卡身份信息直接綁定的銀行卡，除了具有一般銀行卡相同的金融服務功能以外，增加了個人銀行賬戶與校園卡“電子錢包”賬戶之間的自助圈存轉賬服務功能，滿足校園卡持卡人校內消費資金自行劃轉的需要。

二、數字校園環境下財務管理信息化的應用特點

1．財務管理信息是數字校園目錄服務重要的公共數據資源。高等學校的財務管理信息，不僅是財務管理部門業務處理的自然結果，更是學校教育事業開展和日常運行中有關經濟活動的信息記錄，其中包含的對公以及對師生員工個人的校內信息資源都極其豐富，是校園數字化不可或缺的重要公共數據資源；數字校園環境中許多的應用目錄服務和相關的辦公自動化系統都離不開財務管理信息的數據資源支撐。

2．校園數字化為財務管理信息化提供了更加完備的數據管理手段。校園卡系統具備了校園數據信息存儲、管理和處理中心的功能，能夠實現基于網絡的個人身份認證，以及校內部門關聯信息的數據交換、數據同步與數據共享；所提供的管理信息更加豐富和完善。合理有效地利用校園卡信息來完善財務管理業務，應是財務管理信息化升級改造優先考慮的因素。

3．財務管理信息目錄服務以標準化和關聯信息完備的會計核算管理信息為基礎。在數字化校園環境下，財務管理方面的信息服務體現在財務信息分級目錄服務和構建基于中心數據庫的集成應用型財務管理信息系統兩方面。能否有效地實現這些信息服務功能，作為基本信息源的會計核算管理信息的有效性、完備性和可關聯性便是至關成敗的決定性因素。在這種新的管理需求下，會計核算管理信息系統應當以構建集成應用型財務綜合管理信息系統為目標，科學、合理地規劃賬目管理的科目信息和項目信息，使得每一筆賬目記錄附帶必要和有效的管理信息。

4．財務管理信息目錄服務是基于中心數據庫的集成應用型管理信息系統。與會計核算管理信息系統自成一體的封閉特征不同，基于數字化校園環境的財務綜合管理信息系統需要通過與不同管理部門之間的數據共享與數據交換（數據同步）來實現目錄服務，其邏輯關系如圖1所示。在這種方式下，需要通過Web服務方式將財務綜合管理所需的各方共享數據引入財務管理信息系統；同時也需要將相關的財務數據反饋給中心數據庫，并保持相關數據的同步。

5．集成權限管理與身份認證平臺是財務管理信息目錄服務的安全門戶。除了需要基于校園卡的統一身份認證管理以外，財務管理信息目錄服務需要強化用戶訪問的權限管理。能夠與校園卡系統平臺和財務管理信息系統進行集成，實現身份認證和權限管理雙重功能的集成身份認證環境，包括統一權限管理、身份驗證、單點登錄、密碼管理、LDAP外部認證等，應是財務管理信息目錄服務的安全門戶。6．銀校緊密合作方能形成與管理信息化服務相適應的現金流動管理模式。通過校園卡與個人銀行卡的綁定對應關系，可以方便地將師生員工的收人類現金發放自動存人個人銀行卡；涉及財務報銷的現金支付，可以實現現金的自動人卡。通過校園卡系統的“電子錢包”自助圈存功能，將個人銀行卡中的金額自主“圈人”校園卡，滿足持卡人的校內消費需要。對于學生費用的收繳，按照同樣的做法，還可通過網上銀行自主繳費的方式予以實現。在與銀行緊密合作實現這些功能的基礎上，學校財務管理將大幅度減少現金的流動和不必要的中間環節，建立起與信息化社會相適應的現金管理模式。

三、數字校園環境下財務管理信息系統的基本架構在校園卡系統信息技術平臺的支撐下，學校財務管理的功能和內涵將產生較大的擴展，除了會計核算管理系統需要隨著校園信息化的要求不斷完善外，更需要順應校園數字化的要求，按照數字校園建設總體規劃和信息標準化的要求規劃財務綜合管理功能，布局財務綜合管理信息系統與中心數據庫及相關管理信息系統的數據共享與數據交換內容，構建可實施跨部門、具有綜合管理功能的財務管理信息系統。

四、基于校園卡平臺的財務管理信息系統功能規劃在圖2所示的系統構架下，學校財務管理信息系統的外延大為擴展，形成了融合會計核算管理賬務信息和校園卡系統有用信息，通過數據交換與信息共享來共同支撐的網絡化管理信息系統。通過融合和利用來自多方面的管理信息，財務管理信息系統也由原來因具體業務而設的單一功能管理程序變成了在統一信息平臺上、以功能模塊形式構成的一體化管理信息系統。

1．基本賬務管理方面。在按會計核算規范進一步完善科目管理信息的基礎上，會計核算管理系統需要參照校園數字化標準之規定，科學合理地設置收支賬目的項目信息，使得任何一筆賬目記錄既對應相應的科目，又附帶相關的管理信息。智能憑證系統作為財務管理其他功能模塊與會計核算管理系統項目關聯的橋梁，將報賬業務之外的其他賬目自動納入核算管理賬務系統。自由報表系統用以靈活定制和輸出各種需要的管理報表。

2．發放類財務管理方面。在校園卡數據平臺的信息支持下，財務管理中涉及教師的工資、津貼、酬金發放，以及學生獎、助學金及各種補助發放，學生費用收取等業務，將改變以往依靠手工傳遞數據信息的落后方式，通過校園卡系統的數據交換、數據同步手段把相關數據直接導入管理子系統；通過與校園卡綁定的銀行卡信息將應發金額直接進入個人賬戶，準確、安全地實現對個人的現金發放業務；通過智能憑證系統將發放結果導入財務核算賬務系統，如此形成一個完整、準確、快捷的現金發放管理數據鏈。

3．財務信息方面。將校園卡系統的身份認證功能與會計核算管理系統的項目管理功能有機結合，形成基于校園網絡統一身份認證和集成權限管理的賬務信息查詢與統計功能，構成財務信息分級平臺。通過對校園卡持卡人不同角色訪問權限的控制，身份信息直接關聯到與角色相對應的財務管理項目信息，持卡人即可實時、方便地從校園網上查詢或統計其所管理項目的賬務信息或個人財務信息；通過自由定義統計表報，可對項目執行情況實時分析，滿足不同層次的管理需要。

4．綜合性財務管理方面。當前技術條件下，實現跨部門管理的綜合性財務業務主要包括聯網授權與網絡報賬、現金報銷的自動劃轉、學生網上自主繳費、校內消費網點結算與分賬、專項投資執行的一體化綜合管理等。

篇(7)

關鍵詞：電子商務安全解決之策

一移動電子商務存在的安全問題分析

移動電子商務由于利用了很多新興的設備和技術，因此帶來了很多新的安全問題。在傳統電子商務中，很多顧客和企業由于擔心因安全問題蒙受損失而一直對這種高效便捷的商務方式持觀望態度。而移動電子商務除包含大部分傳統電子商務所面臨的各種安全問題外，由于自身的移動性所帶來的一些相關特性又產生了大量全新的安全問題?？偟膩碚f，移動電子商務的安全面臨著技術、管理和法律幾個方面的挑戰，與傳統電子商務相比，其安全問題更加復雜，解決起來難度更大。

1.無線竊聽

傳統的有線網絡是利用通信電纜作為傳播介質，這些介質大部分處于地下等一些比較安全的場所，因此中間的傳輸區域相對是受控制的。而在無線通信網絡中，所有的通信內容（如移動用戶的通話信息、身份信息、位置信息、數據信息等）都是通過無線信道傳送的，無線信道是一個開放性信道，是利用無線電波進行傳播的，在無線網絡中的信號很容易受到攔截并被解碼，只要具有適當的無線接收設備就可以很容易實現無線監聽，而且很難被發現。

2.非授權訪問數據

非授權訪問是指未經授權的主體獲得了訪問網絡資源的機會，并有可能篡改信息資源。攻擊者能在服務網內竊聽、非授權訪問用戶的敏感數據。這種訪問通常是通過在不安全信道上截取正在傳輸的信息或者利用技術及產品中固有的弱點來實現。

3.假冒攻擊

在無線通信網絡中，移動站必須通過無線信道傳送其身份信息，以便于網絡控制中心以及其他移動站能夠正確鑒別它的身份。由于無線信道傳送的任何信息都可能被竊聽，當攻擊者截獲到一個合法用戶的身份信息時，他就可以利用這個身份信息來假冒該合法用戶，這就是所謂的身份假冒攻擊。另外，主動攻擊者還可以假冒網絡控制中心。如在移動通信網絡中，主動攻擊者可能假冒網絡基站來欺騙移動用戶，以此手段獲得移動用戶的身份信息，從而假冒該移動用戶身份。

4.移動終端的安全管理問題

很多用戶容易將比較機密的個人資料或商業信息存儲在移動設備當中，如PIN碼、銀行帳號甚至密碼等，原因是這些移動設備可以隨身攜帶，數據和信息便于查找。但是由于移動設備體積較小，而且沒有建筑、門鎖和看管保證的物理邊界安全，因此很容易丟失和被竊。很多用戶對他們的移動設備沒有設置密碼保護，對存儲信息沒有備份，在這種情況下丟失數據或被他人惡意盜用，都將會造成很大的損失。

二電子商務安全管理的解決之策

1.身份認證技術

信息安全的一個重要方面是保證通信雙方身份的真實性，即防止攻擊者對系統進行主動攻擊，如假冒用戶等。身份認證是防止攻擊者主動攻擊的一個重要技術，它對于開放環境別是無線通信中各種信息的安全有重要作用。認證的主要目的，第一驗證消息發送者和接收者的真偽，第二驗證消息的完整性，驗證消息在傳送或存儲過程中是否被篡改、重放或延遲等?？诹钍亲詈唵蔚纳矸菡J證技術，安全性較差，因此有一次性口令等多種技術來提高它的安全性。利用密碼技術，特別是公鑰密碼技術可以獲得安全性較高的身份認證功能。保密和認證是信息系統安全的兩個重要方面，它們是兩個不同屬性的問題，一般來說，認證不能自動提供保密，保密不能自然地提供認證功能。

2.WPKI技術

在有線通信中，電子商務交易的一個重要安全保障是PKI。PKI的系統概念、安全操作流程、密鑰、證書等同樣也適用于解決移動電子商務交易的安全問題，但在應用PKI的同時要考慮到移動通信環境的特點，并據此對PKI技術進行改進。

3.安全管理模型的建立及實施

對移動電子商務系統的管理過程是一個動態的管理過程，是一個循環反復、螺旋上升的過程，論文嘗試建立一個“閉環”管理模型，將安全管理的各個階段融入于模型之中，然后不斷連續審查整個過程，發現問題時及時更新，及時解決，以便形成越來越完善的安全系統。

制定一套完整的安全方案一套完整的安全方案是實現移動電子商務系統安全的有力保障，移動服務提供商應結合自己實際狀況，從人力、物力、財力等各方面做好部署與配置。由于

安全方案涉及到了安全理論、安全產品、網絡技術、系統技術實現等多方面專業技能，并且要求有較高的認知能力，因此可以聘請專業安全顧問公司來完成，大多安全顧問公司在做安全方案方面有著豐富的經驗，能夠制定出符合需要的合理的安全方案來。

4.制定并貫徹安全管理制度

在對系統安全方案和系統安全處理的同時，還必須制定出一套完整的安全管理制度，如外來人員網絡訪問制度、服務器機房出入管理制度、管理員網絡維護管理制度等等。以此來約束普通用戶等網絡訪問者，督促管理員很好地完成自身的工作，增強大家的網絡安全意識，防止因粗心大意或不貫徹制度而導致安全事故。尤其要注意制度的監督貫徹執行，否則就形同虛設。