引論:我們為您整理了13篇身份認證技術論文范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
篇1
0 引 言
隨著互聯網的不斷壯大,越來越多的企業將自身的應用搬上網絡,它們為企業爭取了更多的客戶,把握了更多的商機,獲取了更多的利潤。然而由于現有的應用系統開發模式及結構存在很大差異,這就使得企業與企業之間,企業內部部門之間的交互和協作變得越來越復雜。隨著Web Services[1]技術的發展和廣泛應用,其高效集成性、松散松散耦合性和實現簡單等特點使得互操作和集成問題從層次上被簡化。
Web Services是一套標準協議,它規定了應用程序如何在Web上實現互操作性,你可以使用任何一種編程語言,在任何一種平臺上編寫 Web Services。現在普遍應用的是通過HTTP請求發送SOAP[2] 消息,然后接收HTTP應答中包含的消息。由于SOAP消息是通過HTTP方式進行,所以其可以穿越大多數的防火墻,進行數據交換。
對于SOAP消息的機密性和完整性,普遍的做法是使用加密和簽名,采用非對稱秘鑰理論,通過加密來保障消息的機密性,通過簽名來保障消息的完整性;對于完善的用戶身份認證機制,PKI[3]系統提供了有力的保障,它能夠為用戶頒發公私鑰證書,通過公鑰來明確用戶的身份,用戶在發送了簽名過的SOAP消息時,己經表明了自己的身份,也無法抵賴,而且PKI系統與非對稱秘鑰理論完美的結合,通過私鑰來對消息進行加密,通過公鑰來對消息進行簽名。有效地保障Web Services的安全。
1 WebServices的體系結構
Web Services體系結構是面向對象分析與設計的一種合理發展,同時也是電子商務解決方案中,面向體系結構、設計、實現與部署而采用的組件化的合理選擇。這兩種方式在復雜的大型系統中經受住了考驗。和面向對象系統一樣,封裝、消息傳遞、動態綁定、服務描述和查詢也是Web Services中的基本概念,而且, Web Services另外一個基本概念就是:所有東西都是服務,這些服務一個API供網絡中的其他服務使用,并且封裝了實現細節。
Web Services的體系結構是基于Web Services服務提供者、Web Services服務請求者、Web Services服務注冊的不同操作來建立的。具體的Web Services體系結構模型如圖1-1所示。
(1) Web服務提供者:Web服務的擁有者,它為其它服務和用戶提供服務功能,服務提供者在實現服務之后可以服務,并且響應對于服務的調用請求;
(2) Web服務請求者:Web服務的使用者,它可以利用服務注冊查找服務;
(3) Web服務注冊:它的作用是將服務請求者與合適的服務提供者綁定在一起;
這三種不同的角色通過(publish )、查找(find )、綁定( bind )三種操作提供完整的Web Services功能。論文參考。Web Services是由服務描述所表達的接口,其接口的實現即為服務。服務和服務描述是支持Web服務的基本工件。服務在本質上是軟件模塊,它由服務提供者提供,部署在網絡可訪問的平臺上。[4]
圖1-1 Web Services體系結構示意圖
2基于PKI的Web Services安全模型設計
2.1 整體框架圖
Web Services在異構的分布式的環境下,對客戶的身份認證就比較困難,當你去調用一個企業的Web Services時,這個企業Web Services可能又會去調用另一個企業Web Services如何在這種跨域的環境下實現Web Services的身份認證,
PKI公鑰基礎設施能夠使計算機用戶在無需事先協商的情況下,互相驗證對方的身份[5],這對于Web Services下的身份認證提供了解決方法。我們的Web Services身份認證模型就是基于PKI完成的,如圖2-1所示。客戶端和服務器端都通過PKI系統來獲取對方的公鑰證書,通過PKI系統來檢驗公鑰證書的有效性,并通過公鑰證書來驗證對方的身份。
圖2-1基于PKI的Web Services身份認證模型
2.2系統設計
下面我們來具體介紹一下基于PKI的Web Services身份認證模型的運行流程。首先,我們做一些假設:
符號C表示Web Services的客戶端;符號S表示Web Services的服務器端;符號M表示明文的SOAP消息;符號Dx(M)表示使用用戶x的私鑰對SOAP消息進行簽名后的結果;符號Ex(M)表示使用用戶x的公鑰對SOAP消息進行加密后的結果。我們的Web Services身份認證流程是這樣的:首先,我們的Web Services身份認證模型捕獲客戶端的SOAP請求消息M;接著,我們從PKI系統中獲取服務器端的公鑰Es,并用服務器端的公鑰對SOAP消息進行加密,得到加密后的SOAP消息,Es(M);然后,我們使用客戶端的私鑰Dc,對SOAP消息進行簽名,得到簽名后的SOAP消息,Dc(Es(M));最后,我們將加密和簽名的SOAP消息發送到Internet上。如圖2-2所示。
圖2-2發送SOAP請求消息
而在服務器端,我們的Web Services身份認證模型接收到客戶短發送過來的加密、簽名過的SOAP消息。首先,我們去PKI系統獲取客戶端的公鑰Ec,并用客戶端的公鑰對SOAP消息進行簽名驗證,確認這個SOAP消息確實是這個客戶發送過來的,并得到SOAP消息Ec(Dc(Es(M))) =Es(M);接著,我們使用服務器端的私鑰Ds,對SOAP消息進行解密,得到明文SOAP消息Ds(Es(M))=M,最后,我們把這個明文SOAP消息發送給Web Services服務器,由Web Services服務器進行處理。如圖2-3所示。同樣地,如果需要的話,我們可以對Web Services處理過的SOAP應答消息做同樣地安全處理。論文參考。
圖2-3接收SOAP請求消息
3 結束語
隨著Web Services的廣泛使用,其明文傳輸消息的缺點制約了Web Services在企業級應用中的發展。論文參考。作為企業應用,必須保證的安全性有:消息的機密性,完整性,身份認證和權限控制,企業級的Web Services應用也必須要滿足以上四點安全保障。而PKI是目前公認的解決大規模、分布式開放網絡環境下信息安全問題最可行、有效的方法, 利用PKI技術可以方便地建立和維護一個可信的網絡計算環境,保證Web Services有效、安全地進行。
參考文獻:
[1] 胡方霞,曾一,高旻.Web Services 技術應用與探討[J].計算機科學,2007,43(3):75-77.
[2] Pullen M J, Bruntlon R.Using Web services to integrate heterogeneous simulations in a gridenvironment[J]. Future Generation Computer Systems, 2004(9):98一99.
[3] Stefanos GritzalisPublic key infrastructure research and applications[ J].International Journal of Information Security Archive, 2006,5(1):1-2
[4] Bret Hartman,Donald J.Filnn.楊碩譯.全面掌握Web服務安全性.清華大學出版社.2004
篇2
Authentication Technology Research Overview
Zhang Yao
(Harbin Normal University,Computer Science and Information Engineering College,Harbin150025,China)
Abstract:Authentication technology is capable of sending and receiving side of information technology to identify the true identity,is to identify,verify that the network information system in the legitimacy and authenticity of the user identity,according to mandate access to system resources,and shut out illegal visitors.This article discusses the field of information security authentication technology status and development trend,for further improving the work has a certain theoretical significance.
Keywords:Information security;Authentication;Biometrics;
Combination of certification;Solutions;Performance analysis
網絡認證技術是網絡安全技術的重要組成部分之一。認證指的是證實被認證對象是否屬實和是否有效的一個過程,常常被用于通信雙方互相確認身份,以保證通信的安全。認證技術一般包括兩個方面的內容,分別是身份認證和信息認證。身份認證主要是通過對用戶身份的鑒別來實現對用戶權限的識別,限制低權限或者非法用戶的入侵。信息認證主要是用于驗證信息是否完整。本論文的研究主要偏重于對身份認證技術及其分析。主要側重以下幾個方面做分析。
一、身份認證的方法分析
身份認證主要是通過分析被認證者的身份、權限等相關的信息。除了認證者本人,任何其他人都無法進行仿造或者偽造身份。如果經過認證,被認證者擁有相關的權限和秘密,那么他就獲得了認證。身份認證的主要依據就是被認證方用于證明身份所用有的秘密。每個被認證者所擁有的身份認證秘密不同。常見的身份認證有兩種,第一種是基于物理安全性的身份認證方法。第二種是基于秘密信息的身份認證方法。
(一) 基于物理安全的身份認證方法
不同的身份認證方法基于不同的理論,但這些認證方法的共同點就是依據用戶知道的秘密信息。和這種認證方法相對照,另外一種利用用戶的特殊信息或者硬件信息來進行身份認證的。比如說從生物學角度考慮,利用聲音識別進行身份驗證,利用指紋進行身份驗證,利用人眼的虹膜進行身份驗證等。從硬件的角度考慮,常用的認證方法有通過智能卡來進行驗證,只有認證者擁有正確的卡,才可以被認證。當然,這種方法也有優缺點,這種智能卡可以有效的阻止和避免人為亂猜口令導致的密碼被破解,但也存在著只認卡不認人的缺陷,一旦智能卡因丟失被其他人撿到,則很容易被盜取身份。為防止出現這種情況,現在一般采用智能卡和口令結合的方式,比如現在最常用的銀行卡就是這種。
(二)基于秘密信息的身份認證方法
常見的有以下幾個方式:
1.通過進行用戶口令認證來核對身份信息,在剛建立系統的時候,系統已經預先為具有合法權限的用戶設定了用戶口令和密碼。當用戶通過登錄界面登錄時,登錄界面顯示用戶名和密碼輸入。客戶輸入用戶名和密碼以后,系統會對輸入的賬戶和密碼與系統原有的密碼進行核對如果完全一致,則認為是合法用戶,用戶身份得到認證。否則,就提示賬戶名或者密碼錯誤。用戶身份得不到認證。
2.單項認證,所謂單項認證,就是進行通信的雙方中,只有一方需要進行身份認證。上面所闡述的口令核對法本質上也是一種單項認證。只是這種認證方法還比較低級,沒有進行相應的密鑰分發操作。常見的涉及到密鑰分發操作的認證方案有兩類。分別是對稱密鑰加密方案和非對稱密鑰加密方案。對稱密鑰加密方案是指依靠第三方來進行認證,第三方就是一個統一的密鑰分發中心。通信雙方的密鑰分發和身份認證都要通過第三方來實現。另一種沒有第三方參與的加密體制成為非對稱密鑰加密體制。
3.雙向認證。雙向認證,是指需要通信雙方相互認證才可以實現雙方通信,通信雙方必須相互鑒別彼此的身份,并且經雙方驗證正確以后,才可以實現雙方的通信。在雙向認證中,最典型的就是Needham/Schroeder協議。
[1]Needham/Schroeder Protocol[1978]
AKDC:IDA||IDB||N1
KDCA:EKa[Ks||IDB||N1||EKb[Ks||IDA]]
AB:EKb[Ks||IDA]
BA:EKs[N2]
AB:EKs[f(N2)]
(其中f(N2)為N2的某一個函數,其他符號約定同上。)
4.身份的零知識證明通常在進行身份認證時,需要進行身份信息或者口令的傳輸。要想不傳輸這些信息就可以進行身份認證,就需要采用身份的零知識證明技術。所謂零知識證明就是指在進行用戶身份認證時,不需要傳輸相關的信息。這種認證機制就是當被認證的甲方為了讓認證方乙方確信自己的身份和權限但同時又不讓乙方得到自己的秘密信息而采用的一種機制。這種認證方法可以非常有效的防治第三方竊取信息。
二、身份認證的應用
(一)Kerberos認證服務
Kerberos是一種基于Needham和Schroeder[1978]模型的第三方認證服務Kerberos可信任的第三方就是Kerberos認證服務器。它通過把網絡劃分成不同的安全區域,并且在每個區域設立自己的安全服務器來實現相應的安全策略。在這些區域的認證具體實現過程如下:Kerberos通過向客戶和服務提供票和通信雙方的對話密鑰來證明自己的身份權限。其中Kerberos認證服務器負責簽發初始票,也就是客戶第一次得到的票。其他票都是由發票服務器負責簽發。同一個票可以在該票過期之前反復使用。當客戶需要讓服務方提供服務的時候,不但要自己生成僅可以使用一次的證,而且需要向服務方發送由發票服務器分發的。這兩個需要同時發送。
(二)HTTP中的身份認證
HTTP中的身份認證現在主要由三個常用的版本。分別是HTTP協議目前已經有了三個版本HTTP0.9、HTTP 1.0和HTTP 1.1,其中HTTP 0.9功能簡單,主要用來實現最基本的請求協議和回答協議。HTTP 1.0是目前應用比較廣泛的一個版本,它的功能相對來說非常完善。而且,通過Web服務器,就可以實現身份認證來實現訪問和控制。如果用戶向某個頁面發出請求或者運行某個CGI程序時,將會有訪問控制文件告訴用戶哪些可以訪問,哪些不可以訪問,訪問對象文件通常存在于訪問對象所在的目錄下面的。通過服務器讀取訪問控制文件,從而獲得相應的訪問控制信息。并且要求客戶通過輸入用戶名和口令進行身份驗證。通過訪問控制文件,Web服務器獲得相應的控制信息,用戶根據要求輸入用戶名和口令,如果經過編碼并且驗證以后,如果身份合法,服務方才發送回所請求的頁面或執行CGI程序。HTTP 1.1新增加的很多的報頭域。如果進行身份認證,不是以明文的方式進行傳遞口令,而是把口令進行散列變換,把口令轉化以后對它的摘要進行傳送。通過這種認證機制,可以避免攻擊者通過某種攻擊手段來獲取口令。即使經過多次攻擊,也無法進行破譯。即使是這樣,仍然不能保證摘要認證的足夠安全。和普通的認證方法一樣,這種方法也可能受到中間者的攻擊。要想更進一步確保口令安全,最好就是把HTTP的安全認證方式與Kerberos服務方式充分結合起來。
(三)IP中的身份認證
IP中的身份認證IP協議出于網絡層,因此不能獲取更高層的信息,IP中的身份認證無法通過基于用戶的身份認證來實現。主要是通過用戶所在IP地址的身份認證來實現。IP層的認證機構既要確保信息在傳遞過程中的數據完整性,又要確保通過數據組抱頭傳遞的信息的安全性。IPSec就是IP安全協議的簡稱,主要功能就是維護網絡層的安全和網絡成以下層的安全。通常情況下,它提供兩種安全機制。第一種是認證機制,通過這種認證機制,可以確保數據接收方能夠識別發送方的身份是否合法。而且還可以發現信息在傳輸過程中是否被惡意篡改;第二種是加密機制,通過對傳輸數據進行數據編碼來實現數據的加密機制。從而可以保證在信息的傳遞過程中,不會被他人竊取。IPSec的認證報頭(Authentication Header AH)協議定義了認證的應用方法,封裝安全負載(Encapsu-lating Security Payload,ESP)協議定義了加密和可選認證的應用方法。應用到具體的通信中去,需要根據實際情況選擇不同的加密機制和加密手段。AH和ESP都可以提供認證服務,相比較而言,AH提供的認證服務要強于ESP。
三、身份認證技術討論
身份認證技術討論,在前面幾部分內容中,對身份認證技術進行了理論分析和總結,并對他們的原理、機制和優缺點進行了比較。這里將根據自己的理解,深入考慮通過其他途徑來實現身份認證。數字簽名首先要保證身份驗證者信息的真實性,就是要確保信息不能偽造,這種方法非常類似于身份認證。身份認證的主要目的是要確保被認證者的身份和權限符合。因此,這里考慮通過數字簽名來實現身份認證。這里的技術難點就是必須要預先進行分發密鑰。如果不能提前進行密鑰分發,就不可能實現數字簽名。綜上可以看出,身份認證在整個安全要求中是首先要解決的技術問題。
參考文獻:
[1]William Stallings,孟慶樹等.密碼編碼學與網絡安全――原理與實踐(第四版)[M].電子工業出版社,2006,11
[2]袁德明.計算機網絡安全[M].電子工業出版社,2007,6
[3]楊英鵬.計算機網絡原理與實踐[M].電子工業出版社,2007,9
篇3
SSL 是Security Socket Layer 的縮寫,稱為安全套接字,該協議是由Netscape 公司設計開發。使用SSL 可以對通訊內容進行加密,以防止監聽通訊內容,主要用于提高應用程序之間的數據的傳輸安全。SSL協議分為三個子協議:
(1)握手協議,用于協商客戶端和服務器之間會話的安全參數,完成客戶端和服務器的認證。
(2)記錄協議,用于交換應用數據,所有的傳輸數據都被封裝在記錄中,主要完成分組和組合,壓縮和解壓縮,以及消息認證和加密等功能。
(3)警告協議:用來為對等實體傳遞SSL的相關警告。
SSL協議的實現有Netscape開發的商用SSL包,還有在業界產生巨大影響的Open SSL軟件包。目前在國內的金融系統中,廣泛使用OPENSSL軟件包進行應用開發。
網上銀行因為考慮易用性,大部分采用單向SSL認證.單向認證 SSL 協議不需要客戶擁有 CA 證書。X509數字證書是SSL的重要環節,CA證書的任務就是確保客戶和服務器之間的會話,并且保證使用的密鑰是正確的。缺少了這個重要的環節,SSL中間人攻擊也就難免了。
現在的網上銀行因為考慮易用性,大部分采用單向SSL認證,這正是SSL中間人攻擊的理論依據。
對于SSL中間人攻擊,以CAIN工具軟件為例:
首先在SNIFFER窗口中進行一次本網段的掃描探測
很快找到所有當前跟在同一網段內的活動主機IP地址與其MAC地址的對應關系。今天我們要欺騙演示的實驗對象是192.168.121.199,這是另一臺的筆記本電腦IP地址。
獲取到IP地址與MAC地址的對應關系后,繼續到ARP的子窗口中,選擇添加欺騙主機在窗口左邊選中當前網絡的網關IP地址就是192.168.121.129,窗口右邊選中我們要欺騙的IP地址192.168.121.199,選中后直接確定生效。畢業論文,SSL協議。畢業論文,SSL協議。
然后在ARP-HTTPS的選擇樹中添加一個當前我們需要偽裝的HTTPS站點,選擇確定后CAIN會自動把這個站點的證書文件下載回來備用。畢業論文,SSL協議。
一切準備就緒后,就可以點擊CAIN工具欄中的ARP模式開始工作了。畢業論文,SSL協議。CAIN軟件在后臺采用第一章的ARP欺騙攻擊的方式將被欺騙主機與 HTTPS網站間的通訊切斷,在中間插入我們偽造的證書給被欺騙主機,同時偽裝成為中間人代替它與HTTPS站點通訊。CAIN在其中把所有的通訊數據包 進行加密解密再加密傳遞的過程,當然所有原始的訪問行為在這一過程中都被我們獲取到了。
對于被欺騙主機在實際打開IE訪問中,感覺不到任何異常本地顯示依然是安全的SSL128位加密,只是不知道所有的訪問行為在CAIN中都可以VIEW的方式來查看到了。
在VIEW的窗口中我們可以查看到所有通訊的訪問原始記錄,包括此臺筆記本的登陸帳號與口令信息。
網上銀行存在的攻擊風險歸其原因是SSL協議使用不健全導致,安全的解決方案建立以PKI技術為基礎的CA認證系統,加入已經在運行的可靠的CA。 CA體系建立或加入時,通過對網上交易系統的二次開發,將數字證書認證功能嵌入到整個網上交易過程中去,這將實現基于數字證書的身份認證、通信安全、數據安全和交易安全。
篇4
網絡環境的復雜性、多變性以及信息系統的脆弱性,決定了網絡安全威脅的客觀存在。當前,隨著計算機技術的飛速發展,利用因特網高科技手段進行經濟商業犯罪的現象已經屢見不鮮了,因此,如何采用更加安全的數據保護及加密技術,成為當前計算機工作者的研究熱點與重點。網絡安全技術,尤其是網絡信息的安全,關系到網民、企業甚至是國家的信息安全。因此,發展更加安全的網絡安全技術,是關系到社會經濟穩定繁榮發展的關鍵,成為當前計算機安全工作的重點。
2.網絡信息安全的風險來源
影響計算機網絡安全的因索很多,既有自然因素,也有人為因素,其中人為因素危害較大,歸結起來豐要以下幾個方面:
(1)病毒感染
從“蠕蟲”病毒開始到cih、愛蟲病毒,病毒一直是計算機系統安全最直接的威脅。病毒依靠網絡迅速傳播,它很容易地通過服務器以軟件下載、郵件接收等方式進入網絡,竊取網絡信息,造成很人的損失。
(2)來自網絡外部的攻擊
這是指來自局域網外部的惡意攻擊,例如:有選擇地破壞網絡信息的有效性和完整性;偽裝為合法用戶進入網絡并占用大量資源;修改網絡數據、竊取、破譯機密信息、破壞軟件執行;在中間站點攔截和讀取絕密信息等。
(3)來自網絡內部的攻擊
在局域網內部,一些非法用戶冒用合法用戶的口令以合法身份登陸網站后。竊取機密信息,破壞信息內容,造成應用系統無法運行。
(4)系統的漏洞及“后門”
操作系統及網絡軟件不可能是百分之百的無缺陷、無漏洞的。編程人員有時會在軟件中留有漏洞。一旦這個疏漏被不法分子所知,就會借這個薄弱環節對整個網絡系統進行攻擊,大部分的黑客入侵網絡事件就是由系統的“漏洞” 和“后門”所造成的。
3.網絡信息安全的防護策略
現在網絡信息安全的防護措施必不可少。從技術上來說,計算機網絡安全主要由防病毒、入侵檢測等多個安全組件組成,就此對我們常用的幾項防護技術分別進行分析。
3.1防火墻技術
防火墻(ifrewal1)是指設置在不同網絡或網絡安全域之間的系列部件的組合,它越來越多地應用于專用網絡與公用網絡的互聯環境之中,尤其以接入internet網絡為甚。不同網絡或網絡安拿域之間信息都會經過它的過濾,防火墻就會根據自身的安全政策控制(允許、拒絕、監測)出入網絡的信息流,而且它本身也具有較強的抗攻擊能力,不會被病毒控制。防火墻可以阻j網絡中的黑客來訪問你的機器,防止他們篡改、拷貝、毀壞你的重要信息。它為網絡信息的安全提供了很好的服務,為我們更安全地使用網絡提供了很好的保障。
“防火墻”技術是指假設被保護網絡具有明確定義的邊界和服務而采取的一種安全保障技術,它通過監測、限制和更改通過“防火墻”的數據流,一方面盡可能地對外部網絡屏蔽被保護網絡的信息、結構,實現對內部網絡的保護,以防“人放火”;另一方面對內屏蔽外部某些危險站點,防止“引火燒身”。因而,比較適合于相對獨立、與外部網絡互聯單一、明確并且網絡服務種類相對集中的統一互聯網絡系統。防火墻可對網絡存取和訪問進行監控審計,如果所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網絡使用情況的統計數據。
通過利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。除了安全作用,有的防火墻還支持具有internet服務特性的企業內部網絡技術體系vpn。vpn,可以將分部在世界各地的lan或專用電子網有機地聯成一個整體。這樣一方面省去了專用通信線路,也達到了信息共享的目的。
3.2數據加密技術
數據加密技術是網絡中最藎木的安傘技術,主要是通過對網絡傳輸的信息進行數據加密來保障其安全性。加密是對網絡上傳輸數據的訪問權加強限制的一種技術。原始數據(也稱為明文,plaintext)被加密設備(硬件或軟件)和密鑰加密而產生的經過編碼的數據稱為密文(ciphertext)。解密是加密的反向處理,是將密文還原為原始明文,但解秘者必須利用相同類型的加密設備和密鑰,才能對密文進行解密。
3.3入侵檢測技術
入侵檢測系統(intrusiondetectionsystem,ids)是從多種計算機系統及網絡系統中收集信息,再通過這些信息分析,對計算機和網絡資源的惡意使用行為進行識別的網絡信息安全系統。入侵檢測系統具有多方面的功能:威懾、檢測、響應、損失情況評估、攻擊預測和起訴支持等。入侵檢測技術是為保證計算機信息系統安全而設計與配置的一種能夠及時發現并報告系統中朱授權或異常現象的技術,是一種用于檢測計算機網絡中違反安全策略行為的技術。
3.4病毒防護
可采用如下的方法或措施:
(1)合理設置殺毒軟什,如果安裝的殺毒軟什具備掃描電郵件的功能,盡量將這些功能傘部打開;
(2)定期檢查敏感文件;
(3)采取必要的病毒檢測和監控措施;
(4)對新購的硬盤、軟盤、軟件等資源,使用前應先用病毒測試軟件檢查已知病毒,硬盤可以使用低級格式化(dos中的format格式化可以去抻軟盤中的病毒,但不能清除硬盤引導的病毒);
(5)慎重對待郵件附件,如果收到郵件中有可執行文件(如.exe、.com等)或者帶有“宏”的文殺一遍,確認沒有病毒后再打開;
(6)及時升級郵件程序和操作系統,以修補所有已知的安全漏洞。
3.5身份認證技術
身份認證(authentication)是系統核查用戶身份證明的過程,其實質是查明用戶是否具仃它所請求資源的存儲使用權。身份識別(identificaiion)是指用戶向系統出示自己的身份證明的過程。這兩項上作通常被稱為身份認證。
身份認證至少應包括驗證協議和授權協議。網絡中的各種應用和計算機系統都需要通過身份認證來確認合法性,然后確定它的個人數據和特定權限。對于身份認證系統來說,合法用戶的身份是否易于被別人冒充足它最重要的技術指標。用戶身份被冒充不儀可能損害用戶自身的利益,也可能損害其他用戶的利益或整個系統。因此,身份認證是授權控制的基礎。只有有效的身份認證,才能保證訪問控制、安全審計、入侵防范等安全機制的有效實施。
篇5
一、電子商務中的信息安全技術
電子商務的信息安全在很大程度上依賴于技術的完善,包括密碼、鑒別、訪問控制、信息流控制、數據保護、軟件保護、病毒檢測及清除、內容分類識別和過濾、網絡隱患掃描、系統安全監測報警與審計等技術。
1.防火墻技術。防火墻主要是加強網絡之間的訪問控制, 防止外部網絡用戶以非法手段通過外部網絡進入內部網絡。
2.加密技術。數據加密就是按照確定的密碼算法將敏感的明文數據變換成難以識別的密文數據,當需要時可使用不同的密鑰將密文數據還原成明文數據。
3.數字簽名技術。數字簽名技術是將摘要用發送者的私鑰加密,與原文一起傳送給接收者,接收者只有用發送者的公鑰才能解密被加密的摘要。
4.數字時間戳技術。時間戳是一個經加密后形成的憑證文檔,包括需加時間戳的文件的摘要、dts 收到文件的日期與時間和dis 數字簽名,用戶首先將需要加時間的文件用hash編碼加密形成摘要,然后將該摘要發送到dts,dts 在加入了收到文件摘要的日期和時間信息后再對該文件加密,然后送回用戶。
二、電子商務安全防范措施
網絡安全是電子商務的基礎。網絡安全防范技術可以從數據的加密(解密)算法、安全的網絡協議、網絡防火墻、完善的安全管理制度、硬件的加密和物理保護、安全監聽系統和防病毒軟件等領域來進行考慮和完善。
1.防火墻技術
用過internet,企業可以從異地取回重要數據,同時又要面對 internet 帶來的數據安全的新挑戰和新危險:即客戶、推銷商、移動用戶、異地員工和內部員工的安全訪問;以及保護企業的機密信息不受黑客和工業間諜的入侵。因此,企業必須加筑安全的“壕溝”,而這個“壕溝”就是防火墻.防火墻系統決定了哪些內容服務可以被外界訪問;外界的哪些人可以訪問內部的服務以及哪些外部服務可以被內部人員訪問。防火墻必須只允許授權的數據通過,而且防火墻本身必須能夠免于滲透。
2. vpn技術
虛擬專用網簡稱vpn,指將物理上分布在不同地點的網絡通過公用骨干網聯接而形成邏輯上的虛擬“私”網,依靠ips或 nsp在安全隧道、用戶認證和訪問控制等相關技術的控制下達到與專用網絡類同的安全性能,從而實現基于 internet 安全傳輸重要信息的效應。目前vpn 主要采用四項技術來保證安全, 這四項技術分別是隧道技術、加解密技術、密鑰管理技術、使用者與設備身份認證技術。
3.數字簽名技術
為了保證數據和交易的安全、防止欺騙,確認交易雙方的真實身份,電子商務必須采用加密技術。數字簽名就是基于加密技術的,它的作用就是用來確定用戶是否是真實的。數字簽名就是通過一個單向哈希函數對要傳送的報文進行處理而得到的用以認證報文是否發生改變的一個字母數字串。發送者用自己的私鑰把數據加密后傳送給接收者,接收者用發送者的公鑰解開數據后,就可確認消息來自于誰,同時也是對發送者發送的信息真實性的一個證明,發送者對所發信息不可抵賴,從而實現信息的有效性和不可否認性。
三、電子商務的安全認證體系
隨著計算機的發展和社會的進步,通過網絡進行的電子商務活動當今社會越來越頻繁,身份認證是一個不得不解決的重要問題,它將直接關系到電子商務活動能否高效而有序地進行。認證體系在電子商務中至關重要,它是用戶獲得訪問權限的關鍵步驟。現代密碼的兩個最重要的分支就是加密和認證。加密目的就是防止敵方獲得機密信息。認證則是為了防止敵方的主動攻擊,包括驗證信息真偽及防止信息在通信過程被篡改刪除、插入、偽造及重放等。認證主要包括三個方面:消息認證、身份認證和數字簽名。
身份認證一般是通過對被認證對象(人或事)的一個或多個參數進行驗證。從而確定被認證對象是否名實相符或有效。這要求要驗證的參數與被認證對象之間應存在嚴格的對應關系,最好是惟一對應的。身份認證是安全系統中的第一道關卡。
數字證書是在互聯網通信中標志通信各方身份信息的一系列數據。提供了一種 internet 上驗證用戶身份的方式,其作用類似于司機的駕駛執照或身份證。它是由一個權威機構ca機構,又稱為證書授權(certificate authority)中心發行的,人們可以在網上用它識別彼此的身份。
四、結束語
安全實際上就是一種風險管理。任何技術手段都不能保證100%的安全。但是,安全技術可以降低系統遭到破壞、攻擊的風險。因此,為進一步促進電子商務體系的完善和行業的健康快速發展,必須在實際運用中解決電子商務中出現的各類問題,使電子商務系統相對更安全。電子商務的安全運行必須從多方面入手,僅在技術角度防范是遠遠不夠的,還必須完善電子商務立法,以規范飛速發展的電子商務現實中存在的各類問題,從而引導和促進我國電子商務快速健康發展。
參考文獻:
[1] 勞幗齡.電子商務的安全技術[m].北京:中國水利水電出版社,2005.
篇6
1引言
移動存儲設備因其體積小、容量大、使用靈活而應用廣泛,但其本身的“匿名性”給設備安全管理帶來了巨大挑戰,身份認證難、信息易泄露、常攜帶病毒等問題一直困擾著用戶和計算機系統安全人員。
在移動存儲的安全管理上應基于兩個層面:首先是移動存儲設備對用戶的身份認證,以確保移動存儲設備持有者身份的合法性;其次是移動存儲設備與接入終端間的雙向認證。目前,移動存儲的安全管理往往是基于用戶名和口令的身份認證方案,容易受到非法用戶“假冒身份”的攻擊,同時系統中所保存的口令表的安全性也難以保障,因此該方案存在較大的安全隱患。少數采用生物特征識別的安全方案也僅僅做到了第一個層面的身份認證,仍無法解決對移動存儲設備本身的身份認證以及移動存儲設備對接入終端的身份認證。然而,移動存儲設備和接入終端間雙向認證的必要性是顯而易見的,只有被終端信任的移動存儲設備才允許接入;同時,當終端也被移動存儲設備信任時,移動存儲設備和終端才能獲得彼此間相互讀寫的操作權限。只有實現上述的雙向認證,才能有效地在源頭杜絕移動存儲設備帶來的安全隱患。
本文描述了一種移動存儲安全管理方案,針對U盤和移動硬盤等移動存儲設備,基于智能卡技術,結合指紋識別模塊,解決了設備持有者的身份認證以及設備與接人終端間的雙向認證問題,并將設備持有者的指紋作為實名訪問信息記人審計系統,進一步完善了移動存儲的安全管理方案。
2基于指紋識別的用戶身份認證
指紋識別技術主要涉及指紋圖像采集、指紋圖像處理、特征提取、數據保存、特征值的比對和匹配等過程,典型的指紋識別系統如圖1所示。
圖1指紋識別系統
指紋圖像預處理的目的是去除指紋圖像中的噪音,將其轉化為一幅清晰的點線圖,便于提取正確的指紋特征。預處理影響指紋識別的效果,具有重要的意義。它分四步進行,即灰度濾波、二值化、二值去噪和細化。圖像細化后,采用細節點模板提取出指紋圖像的脊線末梢和脊線分支點的位置,將指紋認證問題轉化成為點模式匹配問題。
如圖2所示,移動存儲設備采用兼容多種設備接口的控制芯片、安全控制閃存芯片、大容量用戶標準Flash構成硬件基礎,以智能卡控制芯片為控制中心,結合指紋識別模塊,實現對設備持有者的身份認證;同時,結合大容量普通閃存存儲結構,實現數據存儲低層管理和數據存儲加密。
3基于智能卡技術的雙向認證
為加強系統認證安全性與可信性,在移動存儲設備內集成智能卡模塊,使之具備計笄能力,從而實現移動存儲設備與終端之問的雙向認證。移動存儲設備的身份文件存放于智能卡模塊中。身份文件是指存儲著移動存儲設備各項物理特征信息的私密文件,由于這些物理特征信息與個體緊密相聯,所以可以起到唯一鑒別該移動存儲設備的作用。
智能卡模塊提供對終端的認證,只有通過認證的終端才能訪問身份文件和移動存儲設備中的數據。將現有移動存儲設備硬件結構進行改造,在其中分別加人指紋處理模塊與智能卡模塊后的硬件結構如圖3所示。
智能卡模塊內置CPU、存儲器、加解密算法協處理器、隨機數發生器等硬件單元,及芯片操作系統(COS)、芯片文件系統等多個功能模塊。其內部具有安全數據存儲空間,用于存放移動存儲設備的身份文件。對該存儲空間的讀寫受身份認證機制保護,只有通過認證的用戶和終端才能對其進行訪問,并且操作必須通過定制的應用程序實現,用戶無法直接讀取。支持指紋認證的智能卡文件系統如圖4所示。
對終端的身份認證方式有多種,本方案采用沖擊一響應的認證方式_7]。需要驗證終端身份時,終端向智能卡模塊發送驗證請求,智能卡模塊接到此請求后產生一組隨機數發送給終端(稱為沖擊)。終端收到隨機數后,使用終端認證軟件內置的密鑰對該隨機數進行一次三重DES加密運算,并將得到的結果作為認證依據傳給智能卡模塊(稱為響應),與此同時,智能卡模塊也使用該隨機數與內置的密鑰進行相同的密碼運算,若運算結果與終端傳回的響應結果相同,則通過認證。這種認證方式以對稱密碼為基礎,特點是實現簡單,運算速度快,安全性高,比較適合對移動存儲設備的認證。
在終端通過認證,取得移動存儲設備信任的前提下,終端通過智能卡模塊讀取移動存儲設備身份文件,對移動存儲設備進行準入認證。只有在雙向認證通過的情況下,移動存儲設備才能接入可信終端,進而在授權服務器分發的安全策略下與可信域終端進行正常的讀寫操作。
4移動存儲安全管理系統設計
在采用智能卡技術的基礎上,加入移動存儲安全管理系統,提供對移動存儲設備的接人控制,將認證體系擴展至計算機USB總線。
安全管理系統的認證體系示意圖如圖5所示。各終端首先需要加入某個信任域,在此之后可對移動存儲設備提供基于所在信任域的接入認證,如果終端沒有通過信任域認證,則不允許任何移動存儲設備接入。
授權認證服務器位于各信任域的公共區域中,為各信任域的終端提供移動存儲設備授權認證服務。它將設備授權給某個信任域后,該設備便成為該區域中的授權設備,可在該區域中任意一臺終端上使用;在其他區域使用時將被認為是未授權的,接入將被拒絕。隔離區中的終端與授權認證服務器不能通過網絡相連,從而保證了被隔離的終端不能夠使用移動存儲設備,防止安全隱患向外擴散。這種把安全域細分成不同信任域的整體設計可以最大限度地防止安全實體內敏感數據的任意傳播,大大降低涉密信息向外非法泄露的可能性。
終端移動設備認證軟件部署在網絡系統中的各臺終端上,實時監測終端上所有USB接口,探測接人的移動存儲設備。發現設備后,認證軟件將與接入設備進行相互認證,并與認證服務器通信,對設備進行認證,通過認證的設備被認為是當前信任域的授權設備,否則將被認為是未授權的。根據認證結果,允許或禁止移動設備接入。
4.1授權流程描述
服務器端授權軟件運行時,探測出所有連接到授權服務器上的移動存儲設備,并將結果報告給管理員。管理員指定需要授權的設備,填寫好授權區域、授權日期、授權人、授權有效期并錄入用戶指紋信息后,授權軟件開始對該移動存儲設備進行授權。
(1)獲取該設備的各項物理信息,這些信息具有特征標識,可以唯一地標識該設備;
(2)將收集到的物理信息和管理員輸入的授權區域、授權日期、授權人、授權有效期等信息以一定格式排列,并注入隨機字符,采用三重DES運算,生成身份文件;
(3)設置移動存儲設備中指紋模塊的指紋信息;
(4)將智能卡模塊中的認證密鑰設成與終端事先約定好的密鑰;
(5)將(3)中生成的身份文件存入智能卡模塊中的安全數據存儲空間。
4.2認證流程描述
圖6是移動存儲設備管理系統完成認證的整個流程,其步驟如下:
(1)終端認證軟件判斷當前終端所處區域,如果處于信任域中,掃描各USB端口狀態,判斷是否有新設備接人;如果處于隔離區,則拒絕任何USB移動設備接入。
(2)如果探測到新設備接入,智能卡CPU調用指紋處理模塊,接收并驗證用戶指紋。
(3)如果指紋認證通過,則終端向USB存儲設備發送認證請求;否則禁用該USB存儲設備。
(4)如果沒有收到USB存儲設備的智能卡模塊發來的隨機數,證明該設備是不符合系統硬件設計要求的,拒絕接入;如果收到隨機數,則進行沖擊一響應認證。如果沒有通過認證,證明該終端為非信任終端,智能卡模塊拒絕該設備接人終端。
(5)終端讀取智能卡模塊存儲的身份文件,并讀取該設備的各項物理信息,將身份文件、物理信息及終端所處的信任域信息發送至認證服務器進行認證。
(6)服務器認證軟件接收到終端發送來的信息后,將標識文件解密,得到授權區域、授權日期、授權人、授權有效期等信息。
①將解密得到的物理信息與終端發來的物理信息作比對,如果不相符,證明該標識文件是被復制或偽造的,向終端發送未通過認證的指令。
②如果①中認證通過,將解密得到的信任域信息與終端發來的信任域信息作比對,如果不相符,證明該移動存儲設備處于非授權區域中,向終端發送未通過認證的指令。
③如果②中認證通過,將解密得到的授權有效期與當前日期做比較,如果當前日期處于有效期內,向終端發送通過認證的指令;如果當前日期處于有效期外,向終端發送未通過認證的指令。
(7)終端接收認證服務器發來的指令,對USB設備執行允許或禁止接入的操作。如果USB設備被允許接入,則智能卡模塊將設備持有者指紋提交給認證服務器,作為已授權訪問記錄記入日志中。
(8)轉至(2)繼續探測新設備。
5安全性分析
本方案通過在移動存儲設備中加入指紋識別模塊和智能卡模塊,更安全可靠地解決了設備持有者身份認證問題以及移動存儲設備的“匿名性”問題,通過引入身份文件,實現了移動存儲設備的實名制認證。結合智能卡的相關技術,本方案從根本上解決了移動存儲設備與接入終端問的雙向認證問題,構建了雙方互信的安全傳輸環境。
基于信任域的劃分對設備進行授權管理,使整個系統能夠同時對終端和移動存儲設備提供接人控制,有效地阻止了安全威脅的傳播。在方案的具體實現上,有如下安全性考慮:
(1)移動存儲設備采用指紋識別的方式認證設備持有者身份,確保其身份的合法性;采用三重DES對稱加密的方式對終端進行認證,確保終端為運行認證軟件的合法授權終端,有效地避免了強力破解的可能性。
(2)移動存儲設備的物理信息各不相同,身份文件也是唯一確定的。身份文件采用三重DES加密的方式,加解密過 程全部在服務器端認證軟件中完成,密鑰不出服務器,避
免了密碼被截獲的可能性。身份文件存儲于智能卡模塊中的安全數據存儲區,受智能卡模塊軟硬件的雙重保護。方案保證了身份文件的唯一性、抗復制性和抗偽造性,任何非授權設備都無法通過破譯、復制、偽造等人侵手段冒名成為授權設備。
(3)認證服務器與隔離區中的終端相互隔離,只能被信任域中的終端訪問,保證了認證服務器的安全。
(4)雙向認證通過后,被授權的移動存儲設備將設備持有者的指紋記入授權服務器的訪問日志中,以便日后能夠準確地確定安全事故責任人。
篇7
一、電子商務安全的要求
1、信息的保密性:指信息在存儲、傳輸和處理過程中,不被他人竊取。
2、信息的完整性:指確保收到的信息就是對方發送的信息,信息在存儲中不被篡改和破壞,保持與原發送信息的一致性。
3、 信息的不可否認性:指信息的發送方不可否認已經發送的信息,接收方也不可否認已經收到的信息。
4、 交易者身份的真實性:指交易雙方的身份是真實的,不是假冒的。
5、 系統的可靠性:指計算機及網絡系統的硬件和軟件工作的可靠性。
在電子商務所需的幾種安全性要求中,以保密性、完整性和不可否認性最為關鍵。電子商務安全性要求的實現涉及到以下多種安全技術的應用。
二、數據加密技術
將明文數據進行某種變換,使其成為不可理解的形式,這個過程就是加密,這種不可理解的形式稱為密文。解密是加密的逆過程,即將密文還原成明文。
(一)對稱密鑰加密與DES算法
對稱加密算法是指文件加密和解密使用一個相同秘密密鑰,也叫會話密鑰。目前世界上較為通用的對稱加密算法有RC4和DES。這種加密算法的計算速度非常快,因此被廣泛應用于對大量數據的加密過程。
最具代表的對稱密鑰加密算法是美國國家標準局于1977年公布的由IBM公司提出DES (Data Encrypuon Standard)加密算法。
(二)非對稱密鑰加密與RSA算法
為了克服對稱加密技術存在的密鑰管理和分發上的問題,1976年產生了密鑰管理更為簡化的非對稱密鑰密碼體系,也稱公鑰密碼體系(PublicKeyCrypt-system),用的最多是RSA算法,它是以三位發明者(Rivest、Shamir、Adleman)姓名的第一個字母組合而成的。
在實踐中,為了保證電子商務系統的安全、可靠以及使用效率,一般可以采用由RSA和DES相結合實現的綜合保密系統。
三、認證技術
認證技術是保證電子商務交易安全的一項重要技術。主要包括身份認證和信息認證。前者用于鑒別用戶身份,后者用于保證通信雙方的不可抵賴性以及信息的完整性
(一)身份認證
用戶身份認證三種常用基本方式
1、口令方式
這種身份認證方法操作十分簡單,但最不安全,因為其安全性僅僅基于用戶口令的保密性,而用戶口令一般較短且容易猜測,不能抵御口令猜測攻擊,整個系統的安全容易受到威脅。
2、標記方式
訪問系統資源時,用戶必須持有合法的隨身攜帶的物理介質(如存儲有用戶個性化數據的智能卡等)用于身份識別,訪問系統資源。
3、人體生物學特征方式
某些人體生物學特征,如指紋、聲音、DNA圖案、視網膜掃描圖案等等,這種方案一般造價較高,適用于保密程度很高的場合。
加密技術解決信息的保密性問題,對于信息的完整性則可以用信息認證方面的技術加以解決。在某些情況下,信息認證顯得比信息保密更為重要。
(二)數字摘要
數字摘要,也稱為安全Hash編碼法,簡稱SHA或MD5 ,是用來保證信息完整性的一項技術。它是由Ron Rivest發明的一種單向加密算法,其加密結果是不能解密的。類似于人類的“指紋”,因此我們把這一串摘要而成的密文稱之為數字指紋,可以通過數字指紋鑒別其明文的真偽。
(三)數字簽名
數字簽名建立在公鑰加密體制基礎上,是公鑰加密技術的另一類應用。它把公鑰加密技術和數字摘要結合起來,形成了實用的數字簽名技術。
它的作用:確認當事人的身份,起到了簽名或蓋章的作用;能夠鑒別信息自簽發后到收到為止是否被篡改。
(四)數字時間戳
在電子交易中,時間和簽名同等重要。數字時間戳技術是數字簽名技術一種變種的應用,是由DTS服務機構提供的電子商務安全服務項目,專門用于證明信息的發送時間。包括三個部分:需加時間戳的文件的數字摘要;DTS機構收到文件摘要的日期和時間; DTS機構的數字簽名。
(五)認證中心
認證中心:(Certificate Authority,簡稱CA),也稱之為電子商務認證中心,是承擔網上安全電子交易認證服務,能簽發數字證書,確認用戶身份的、與具體交易行為無關的第三方權威機構。認證中心通常是企業性的服務機構,主要任務是受理證書的申請、簽發和管理數字證書。其核心是公共密鑰基礎設(PKI)。
我國現有的安全認證體系(CA)在金融CA方面,根證書由中國人民銀行管理,根認證管理一般是脫機管理;品牌認證中心采用“統一品牌、聯合建設”的方針進行。在非金融CA方面,最初主要由中國電信負責建設。
(六)數字證書
數字證書就是標志網絡用戶身份信息的一系列數據,用于證明某一主體(如個人用戶、服務器等)的身份以及其公鑰的合法性的一種權威性的電子文檔,由權威公正的第三方機構,即CA中心簽發。
以數字證書為核心的加密技術可以對網絡上傳輸的信息進行加密和解密、數字簽名和簽名驗證,確保網上傳遞信息的機密性、完整性,以及交易實體身份的真實性,簽名信息的不可否認性,從而保障網絡應用的安全性。
四、電子商務的安全交易標準
(一)安全套接層協議
SSL (secure sockets layer)是由Netscape Communication公司是由設計開發的,其目的是通過在收發雙方建立安全通道來提高應用程序間交換數據的安全性,從而實現瀏覽器和服務器(通常是Web服務器)之間的安全通信。
目前Microsoft和Netscape的瀏覽器都支持SSL,很多Web服務器也支持SSL。SSL是一種利用公共密鑰技術的工業標準,已經廣泛用于Internet。
(二)安全電子交易協議
SET (Secure Electronic Transaction)它是由VISA和MasterCard兩大信用卡公司發起,會同IBM、Microsoft等信息產業巨頭于1997年6月正式制定的用于因特網事務處理的一種標準。采用DES、RC4等對稱加密體制加密要傳輸的信息,并用數字摘要和數字簽名技術來鑒別信息的真偽及其完整性,目前已經被廣為認可而成了事實上的國際通用的網上支付標準,其交易形態將成為未來電子商務的規范。
五、總結
網絡應用以安全為本,只有充分掌握有關電子商務的技術,才能使電子商務更好的為我們服務。然而,如何利用這些技術仍是今后一段時間內需要深入研究的課題。
篇8
文章編號:1004-373X(2010)04-122-03
Research on Integration of Library Management System
Based on Campus Portal Platform
DAI Ying
(Network Information Center,Chang′an University,Xi′an,710064,China)
Abstract:Integrated library management system is focus of the work in building a digital campus,which is based on the portal platform and included uniform identity authentication integration,data integration and information sharing portal integration.Three major areas of the integrated objectives and methods are described,and the realization of practical technology solutions to access remote digital resources for which enable the staff to live in out of school through uniform identity authentication to visit it,which provide a reference for someone who engaged in this domain research work in other colleges and universities.
Keywords:campus portal platform;library management system;uniform identity authentication;integrated information portal;sharing of data integration;remote digital resource
0 引 言
校園門戶平臺是基于計算機網絡技術的一種管理平臺,它以一種全新的信息服務形式向高校內各種不同類型的群體提供個性化的服務。它將學校從環境(包括網絡、設備、教室等)、資源(諸如圖書、講義、課件等)到活動(包括教、學、管理、服務、辦公等)逐步數字化,形成一個數字空間,通過設立統一的用戶管理、統一的資源管理及統一的權限控制,學校建設成一個超越時間、空間的數字化校園[1]。
高校圖書館將為高校教學、科研提供文獻信息保障的學術性機構,在高校和社會上占有重要地位,尤其在數字化校園建設蓬勃發展的今天,圖書館以豐富的文獻信息資源、多樣的載體服務形式,進一步奠定和加強了其作為學校信息資源中心的地位[2]。因此,基于校園門戶平臺圖書館管理系統的集成工作成為當前數字化校園建設工作中的重要組成部分。在此針對我校圖書館管理系統在門戶平臺中的集成與功能實現方面進行相關的研究與探索,希望能對大家有所啟示。
1 我校圖書館管理系統概述以及其集成工作的必要性
我校圖書館文獻資源豐富、載體形式多樣、專業特色明顯,除擁有大量館藏圖書、期刊合訂本、中外文現刊外,還擁有超星、北大方正等20多萬種電子圖書,同時還提供給讀者萬方數據資源、中國期刊網、中文科技期刊數據庫、EI(工程索引)、UMI(美國博碩士論文全文數據庫)、ASCE(美國土木工程師協會數據庫)、OSA(劍橋科學文摘)等20種國內外著名中外文數據庫系統。
圖書館管理系統架構為B/S+C/S結構,其操作系統版本為Linux AS 4.0,數據庫版本為Oracle 9.2.0.4,業務系統開發語言:B/S部分為 PHP,C/S部分為 VB和VC,其Web網絡環境基于校園網,數據庫網絡環境為圖書館內網。由于其Web網絡環境基于校園網,因此外網用戶無法登錄該系統了解本人書刊借閱情況,影響其及時辦理書刊的預約、續借等手續;同時也無法進入中外文數據庫及電子圖書資源庫享用豐富的遠程數字資源,這對于居住在校園外或出差在外的教職工的工作生活造成一些困擾和不便。基于校園門戶平臺的圖書館管理系統的集成研究將著手解決諸如此類的問題,以期數字化校園建設工作更好地服務于廣大教職員工。
2 圖書館管理系統集成內容
基于門戶平臺的圖書館管理系統集成包括統一身份認證集成、共享數據集成和信息門戶集成三部分。
(1) 統一身份認證集成。通過確定統一身份認證系統的用戶權威身份信息,建立起統一的認證平臺,實現圖書館系統嵌入學校信息門戶中,通過單點登錄直接進入。屆時用戶通過統一身份認證帳號(校內教職工工資編號/學生學號)登錄信息門戶后,無需輸入圖書館系統帳號、密碼便可直接進入圖書館系統進行相關業務系統的使用。有效避免了用戶輸入不同訪問網址,記憶不同用戶名及密碼所帶來的不便和困擾[3]。
(2) 共享數據集成。共享數據集成是圖書館系統集成的核心所在,其集成目標為:實現公共數據庫自動從圖書館系統中抽取相關個人信息,并通過數據集成工具集成到公共數據庫中,使公共數據庫平臺成為全校范圍內惟一全面的數據源;數據集成后,提供個人圖書館信息門戶上的展現或供其他業務部門使用[4]。如圖1所示。
圖1 共享數據集成過程圖示
圖書館系統開放公共數據庫需要的源視圖讀權限,集成方式在抽取范圍上采用增量抽取;周期上采用定時同步,周期為一天;其采集方式通過數據集成平臺實現[5]。
(3) 信息門戶集成。基于圖書館系統實現統一身份認證及共享數據集成的基礎上,通過信息門戶為廣大師生提供統一的、個性化的圖書信息查詢服務。其集成方式通過開發單獨的Portlet在信息門戶上直接展現個人圖書借閱情況,預約圖書流轉信息以及圖書超期預警與罰款通知等[6]。
信息門戶集成的優點集中體現在基于共享數據集成實現的基礎上。因此它可以不完全依賴于圖書館系統本身,一旦圖書館數據庫發生故障,門戶上依然能夠滿足用戶個人圖書館歷史記錄的查詢需求,將其所帶來的不利因素降到最低點。個人圖書借閱信息展示截圖如圖2所示。
圖2 個人圖書借閱信息展示截圖
3 統一身份認證及校內遠程數字資源訪問功能實現方式
3.1 統一身份認證實現方式
圖書館管理系統Web查詢部分是基于PHP開發的,因此集成方式采用“PHP客戶端”集成方式。由開發人員提供PHP認證頭,圖書館管理系統據此修改其登錄模塊。認證頭程序主要校驗Cookie,判斷當前用戶是否已通過統一身份認證并在有效的會話期內,如通過驗證,則實現單點登錄[7]。單點登錄后,圖書館管理系統從統一身份認證中獲取用戶的基本信息(登錄名)。為保證用戶登錄號碼與統一身份認證平臺中的用戶一致,需要提供給圖書館系統認證程序接口,其具體實現步驟如下:
(1) 拷貝圖書館系統集成開發包,解開其中有關統一身份認證接口的相關程序,并放到相應的目錄下;
(2) 配置客戶端參數,更新client.properties中的參數:
ids.UserName=connetusername
ids.Password=connectpassword
IdentityManager.Proxy=IdentityManager:tcp-p 58000-h yourserverip
(3) 配置PHP
修改php.ini ,加入如下配置:
extensiondir = /***/***/lib
extension=libIdstarPhp.so
(4) 啟動 Apache
在啟動 apache前需要設置庫的加載路徑,如下:
export LDLIBRARYPATH=/***/***/lib
apachectl start
3.2 圖書館校內遠程數字資源訪問功能實現
圖書館校內遠程資源訪問功能實現是建立在統一身份認證集成基礎上,屬統一身份認證集成的一部分。長期以來居住在校外或出差在外的外網用戶無法在家中或外地遠程訪問學校圖書館中外文數據庫及電子圖書資源庫等校內遠程數字資源,給工作、生活帶來一定程度的不便,同時在某種程度上也造成資源的閑置與浪費。校園門戶系統的統一身份認證集成和訪問設置則實現了這部分用戶對于圖書館校內遠程數字資源的訪問[8,9]。圖書館校內資源遠程訪問流程圖如圖3所示。
圖3 圖書館校內資源遠程訪問流程圖
用戶通過配置服務器地址在校外訪問門戶網站,通過統一身份認證后進入信息門戶展示平臺,訪問校內資源;信息門戶平臺上設置中外文數據庫及電子圖書資源庫等校內遠程數字資源欄目,并提供完成遠程訪問所需要的批處理腳本文件,用戶解壓下載下來的批處理文件,雙擊其中的enableProxy.bat文件,完成該地址的設置;服務器根據用戶組的不同,分配相應的校內地址,使用戶直接進入校內遠程訪問資源欄目,點擊訪問所需的校內遠程數字資源;雙擊下載的disenableProxy.bat,即可取消該地址的設置,正常訪問門戶系統[10]。
4 結 語
基于校園門戶平臺圖書館管理系統的集成研究,在實現用戶統一身份認證的基礎上,方便了教職工及學生對圖書館管理系統的使用,尤其是圖書館遠程數字資源訪問功能的實現,給居住或出差在外的教職工的工作、學習、生活帶來很大的便利。同時,還考慮在門戶平臺上增加若干控件,方便用戶自行訂制相關個性化服務,如將有關新書報道、預約圖書、欠費預警及圖書超期罰款等信息以短消息形式即時在個人門戶上顯示,以期更好地服務于廣大師生。
參考文獻
[1]林三洲.數字化校園建設漫談[J].湖北經濟學院學報:人文社會科學版,2007,4(3):153-154.
[2]沈煜,裴艷慧.信息時代高校圖書館的作用和發展[J].晉圖學刊,2007(3):57-59.
[3]賀超波,陳啟買,歐陽輝.數字化校園門戶平臺統一身份認證的實現[J].現代計算機,2008(12):25-28.
[4]孫月洪.數據交換在數字化校園中的作用與實現[J].辦公自動化,2009(1):35-37.
[5]鄧英.數字化校園建設中公共數據整合方案研究[J].電腦知識與技術,2008(2):589-591.
[6]宮衛濤,馬自衛.數字圖書館門戶集成技術及其實現[J].現代圖書情報技術,2007(11): 23-27.
[7]張沖,武超,楊要科.校園網統身份認證系統的設計與實現[J].中原工學院學報,2008,19(4):68-71.
篇9
本文著錄格式:[1]馬萌,王全成,康乃林.Internet密鑰IKE協議安全性分析[J].軟件,2013,34(7):112-114
0 引言
在開放性的網絡體系中,進行秘密、敏感信息傳遞時,首先要求通信雙方擁有共享密鑰,才能夠按照安全性需求對數據進行機密性、完整性和身份認證保護。為了應對Internet密鑰交換協議面臨的復雜多樣的網絡威脅和攻擊手段,本文詳細分析了IKE協議的基本思想和主要存在的四個方面的安全缺陷,為采取更加有效的信息安全技術和方法,堵塞可能的安全漏洞和隱患提供幫助,從而滿足日益增長的網絡安全應用要求。
1 IKE協議的基本思想
IKE協議吸取ISAKMP協議、OAKLEY協議和SKEME協議各自的特點組合而成[1],同時還重新定義了兩種密鑰交換方式[1]。
一次典型的IKE密鑰協商交換可描述如下(第一階段采用主模式和公鑰簽名身份驗證):
(1)SA載荷交換,協商認證算法、加密算法等,交換Cookies對;(2)KE載荷,Nonce載荷交換,提供計算共享密鑰的有關參數信息。(3)通信雙方分別計算共享密鑰參數。(4)通信雙方進行身份驗證,構建IKE SA;(5)進行IPSec SA載荷和選擇符信息交換,協商IPSec SA的驗證算法、加密算法,計算IPSec SA密鑰參數,構建IPSec SA。
由上可知,IKE 協議在兩個通信實體間之間實現密鑰協商的過程實際上分為2個階段。第一階段構建IKE SA,第二階段構建IPSec SA。
在第一階段,使用主模式或者積極模式,建立IKE SA,為通信實體之間建成安全的通信信道,為第二階段的密鑰協商提供安全保護服務。
第二階段,使用快速模式,依托第一階段創建的IKE SA通信信道,構建IPSec SA,為通信雙方之間的數據傳輸提供機密性、完整性和可靠。
兩個階段的IKE協商相對增加了系統的初始開銷,但是由于第一階段協商建立的SA可以為第二階段建立多個SA提供保護,從而簡化了第二階段的協商過程,結合第二階段SA協商總體數量較多的實際,仍然是節約了系統的資源。
在第一階段,當需要對協商雙方提供身份保護時使用主模式相對安全一些,而積極模式實現起來簡單一些,卻無法提供身份保護服務;第二階段使用的快速模式,在一個IKE SA的保護下可以同時進行多個協商;新組模式允許通信雙方根據安全性要求協商私有Oakley組,但新組模式既不屬于第一階段也不屬于第二階段,且必須在第一階段完成后方可進行。
2 IKE協議的交互流程
第一階段主模式或積極模式中,都支持數字簽名、預共享密鑰和公鑰加密等身份認證方法。不同的身份認證方式,身份認證的原理不同,傳遞的密鑰協商交換消息也有所不同。其中,數字簽名認證是利用公鑰加解密原理,由通信雙方生成數字簽名信息,再由另一方對數字簽名信息進行解密、比較,實現對通信雙方的身份認證;預共享密鑰認證是利用對稱密鑰加解密原理,由通信雙方利用私鑰對認證內容計算hash值,再將hash值發送給對方進行解密、比較,完成身份認證;公鑰加密認證仍然是利用了公鑰加解密原理,與數字簽名認證不同的是,由通信雙方利用對方的公鑰分別加密身份識別負載和當前時間負載的數據部分,然后根據對方返回的結果以確定對方的身份。公鑰加密認證方式有兩種,區別在于加解密的次數不同。
下面,我們以數字簽名為例,說明2個階段的具體協商流程。
2.1第一階段密鑰生成
3 IKE 協議的安全缺陷
目前針對IKE協議的安全性分析結果非常多,已發現的安全問題和隱患也非常多,歸納起來主要有以下幾類。
3.1 拒絕服務(DoS)攻擊
拒絕服務(DoS)攻擊是一種針對某些服務可用性的攻擊,是一種通過耗盡CPU、內存、帶寬以及磁盤空間等系統資源,來阻止或削弱對網絡、系統或應用程序的授權使用的行為[2]。更加形象直觀的解釋,是指攻擊者產生大量的請求數據包發往目標主機,迫使目標主機陷入對這些請求數據包的無效處理之中,從而消耗目標主機的內存、計算資源和網絡帶寬等有限資源,使目標主機正常響應速度降低或者徹底處于癱瘓狀態。DoS攻擊是目前黑客常用的攻擊方式之一。在Internet密鑰交換協議中,由于響應方要占用CPU和內存等進行大量的密集的模冪等復雜運算,而其存儲和計算能力是有限的,鑒于這一瓶頸問題的制約,極易遭到DoS攻擊。
雖然Internet密鑰交換協議采用了Cookie機制,可在一定程度上防止DoS攻擊,但Cookie數據的隨機性又極大的制約了其作用的發揮[3]。同時,更有分析認為Internet密鑰交換協議的Cookie機制會導致更加嚴重的DoS攻擊。因為協議規定Internet密鑰交換的響應方必須對已經驗證過的合法Cookie建立SA請求予以響應,攻擊者可以利用這一規定,直接復制以前的ISAKMP消息,不更改其Cookie數值并發送給響應方,而響應者需要大量CPU時間的運算后才能判別出發起者是非法的,從而無法從根本上防止DoS攻擊。
3.2 中間人攻擊
中間人攻擊是指通信實體在通信時,第三方攻擊者非法介入其中并與通信雙方建立會話密鑰,作為真實的通信實體間消息通信的中轉站,從而共享通信實體雙方的秘密信息。中間人攻擊的方法主要是對消息進行篡改、竊聽,重定向消息以及重放舊消息等[4],是一種攻擊性很強的攻擊方式,屬于主動攻擊方式的一種[5]。
圖3.1詳細描述了中間人攻擊[6],當Initiator與Responder進行D-H算法密鑰交換時,Initiator計算并發送公鑰X,Attacker竊取X,并假冒Responder發送公鑰Z給Initiator,從而完成一次D-H密鑰交換,雙方之間共享了一個密鑰。同理,Attacker和Responder之間也可以共享一個密鑰。這樣,當真正的通信雙方進行信息交換時,所有數據都經由Attacker中轉,而不會被發覺。
IKE協議的身份驗證機制可以有效防止中間人攻擊,但仍有一些缺陷。
3.3 身份隱藏保護缺陷
IKE協議第一階段有兩種模式、四種認證方式,其中一個主要目的就是要能夠提供發起方和響應方的身份隱藏保護功能,但是在積極模式下的數字簽名認證和預共享密鑰認證,以及主模式下的數字簽名認證都無法提供身份隱藏保護。例如,在第一階段主模式協商的數字簽名認證方式中,一個主動攻擊者就可以偽裝響應方的地址并與發起方協商D-H公開值,從而獲得發起方的身份信息[7]。
一般來說,在無法同時保護通信雙方身份的情況下,要優先考慮隱藏發起方的身份。因為絕大多數的響應方在IKE交換中都是作為服務的一方,而服務器的身份信息一般是公共的,所以可以認為保護發起方的身份要比保護響應方的身份要更為重要[8]。
3.4 其它安全缺陷
除了以上的安全缺陷外,IKE機制還存在一些其它的問題,如難以抗重放攻擊、新組模式定義多余等。
重放攻擊是指攻擊者采取網絡數據包提取等技術手段,對發起方和接收方之間的通信數據進行竊聽或者截取,獲得通信雙方之間的任意消息,然后將該消息重新發送給接收方,從而消耗網絡資源,甚至癱瘓通信網絡。在整個Internet密鑰交換過程當中,通信雙方都需要保存部分交換信息用來記錄數據交換情況,同時,當Cookies對建立以后,數據狀態信息可以用來表示數據交換狀態。此時,第三方攻擊者利用網上截獲的正常數據包進行重新發送,或者攻擊者截獲Cookies對后偽造假消息,由于該Cookies對是真實的,通信實體雙方仍然會對偽造的假消息進行處理,甚至再次解密消息,或者由于無法正常解密,從而發現消息不真實。這樣會使系統被迫處理大量無效的操作,降低處理效率,浪費大量系統計算和存儲資源。
4 結論
本文詳細分析了IKE協議的基本思想和主要存在的四個方面的安全缺陷,認為必須深入分析Internet密鑰交換協議面臨的復雜多樣的網絡威脅和攻擊手段,采取更加有效的信息安全技術和方法,不斷改進Internet密鑰交換協議,堵塞可能的安全漏洞和隱患,從而滿足日益增長的網絡安全應用要求。
參考文獻
[1] D.Harkins,D. Carrel.Internet key exchange. RFC 2409,Nov 1998.
[2] William Stallings,Lawrie Brown.計算機安全原理與實踐.北京:機械工業出版社,2008:166~180.
[3] 黃永鋒.IKE協議改進及其實現框架[碩士論文].鎮江:江蘇大學.2005.
[4]張紅旗.信息網絡安全.北京:清華大學出版社,2002:106~107.
[5]William Stallings著.網絡安全要素——應用與標準.北京:人民郵電出版社,2000.
篇10
1 研究背景
近年來,全球的數據網絡正以令人驚奇的速度發展,為信息的交流和經濟的發展提供了高效的工具和便利的平臺。隨著電力建設的飛速發展,電力自動化數據網絡也迅速擴大,正在向全面覆蓋所有的電力企業邁進,電力系統數字化已是大勢所趨。電力調度自動化系統、配電自動化系統、電量計費系統、電力市場技術支持系統及交易系統、電力客戶服務中心系統、變電站自動化系統、發電廠監控系統、MIS 系統等,無一不是以高速的數據傳輸與交換為基本手段而建設的。電力自動化數據通信網絡利用因特網、無線網等的工具和平臺,在提高數據傳輸效率、減少開發維護工作量的同時,也帶來了新的問題,這就是內部機密信息在網絡上的泄密、以及被攻擊破壞等。
隨著計算機運算性能的提高,通信技術的不斷發展,電力通信協議也在不斷的改進,以適應通信數據類別、流量和實時性的要求。IEC60870規約系列規定了電力遠動、繼電保護數據、電能計費等多個方面的通信協議,甚至出現了104網絡通信規約,以適應網絡RTU在電力系統中的應用。各項信息安全技術也開始得到廣泛的應用,但是仍然是以以下觀點為基礎開展的,電力數據網絡的信息安全研究應該有所突破:
(1)電力通信網絡的兩個隔離。物理隔離作為國家的明文規定是建立在網絡條件不如人意,網絡威脅依然嚴重的情況下的,需要看到電力信息系統的開放性將是主流方向,基礎研究應該突破這個框架開展一些前瞻性的工作。(2)重點防護監控系統,對通信數據網絡的信息安全重視不足。雖然通信網絡的安全威脅相比而言較小,但是由于電力通信對實時性和可靠性的要求,使得通信數據網絡與電力監控系統的信息安全同等重要。(3)認為電力自動化通信沒有安全問題,或者認為還不值得深入研究,電力信息使得任何安全研究都不能不重視其實時性的要求,因此自動化通信的信息安全研究開展不多,還需要進行大量的研究。
2 電力系統無線通信對于信息安全的需求
電力自動化管理系統無線網絡中傳輸的數據非常混雜,從加密的技術角度來區分,可分為實時數據和非實時數據兩類。
2.1 實時數據的數據特點
無線網絡中傳輸的實時數據,其通信規約對時間的要求很嚴格,不允許較大的傳輸延遲;另一方面,實時數據的數據量相對較小,且數據流量比較穩定。主要包括:
(1)下行數據。包括遙控、遙調和保護裝置及其他自動裝置的整定值信息等。這類數據與設備狀態相關,直接影響到電網的安全運行。安全要求和實時要求都很高。(2)上行數據。包括遙信、重要遙測、事件順序記錄(SOE)信息等。這類數據是電網穩定運行的判據,也是調度決策的依據,實時性要求很高。管理數據。如負荷管理、停電計劃等管理信息系統(MIS)的重要管理數據。這類數據對保密性有一定要求。實時數據其數據流量穩定且時效性快,但是要求實時性高、可靠性高,其保密性和數據完整性的要求也高,因此對實時數據加密必須慎之又慎。
2.2 非實時數據的數據特點
無線網絡中傳輸的非實時數據,其數據量一般較大,但時效性不高,可以允許一定的傳輸延遲。它主要包括電力設備的維護日志、電力用戶的電能質量信息等。非實時數據實時性要求不高,但是對數據完整性和保密性有一定的要求,在數據加密中要注意選擇合適的算法。
3 電力自動化系統的安全漏洞及解決方案
電力自動化應用系統,不論是電力負荷管理系統、電能量管理系統或是其它的應用系統,它的網絡結構框圖都可以歸納成圖1所示。
3.1 中心站的安全隱患及解決方法
應用系統都有一個中心站,它包括前置機、服務器等硬件設備及配套的管理軟件,它負責接收各個子站上傳的數據并通過管理軟件對數據進行分析、歸納和管理;另一方面,它也維護各個子站正常運行,并以下發命令的方式對子站進行操作管理;而且中心站還是本應用系統與其它的電力自動化應用系統進行數據共享和管理的一個數據接口。一般來說,中心站和子站之間以及中心站和其它應用系統之間的數據傳輸都是通過有線傳輸(如光纖)進行的。
中心站既是內部通信子站數據集中的一個節點,也是應用系統與外部進行數據收發的一個接口。只要攻擊者侵入了該節點,整個系統的數據就相當于暴露在了入侵者的面前。而且一旦中心站出現了故障,即使其它的通信子站均運行正常,整個系統也無法正常工作了。正由于它的重要性和脆弱性,因此對于中心站就更是要進行重點防護。防火墻就是一種有效的網絡安全保護措施,它可以按照用戶事先規定好的方案控制信息的流入和流出,監督和控制使用者的操作。防火墻大量的應用于企業中,它可以作為不同網絡或網絡安全域之間的信息的出入口,能根據企業的安全策略控制出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,它能有效地監控內部網和 Internet之間的任何活動,保證內部網絡的安全。
防火墻的目的是在內部、外部兩個網絡之間建立一個安全控制點,通過允許、拒絕或重新定向經過防火墻的數據流,實現對進、出內部網絡的服務和訪問的審計和控制。一般的防火墻都可以達到以下目的:一是可以限制他人進入內部網絡,過濾掉不安全服務和非法用戶;二是防止入侵者接近你的防御設施;三是限定用戶訪問特殊站點;四是為監視Internet安全提供方便。由于防火墻假設了網絡邊界和服務,因此更適合于相對獨立的網絡,例如Intranet 等種類相對集中的網絡。防火墻正在成為控制對網絡系統訪問的非常流行的方法。事實上,在Internet上的Web網站中,超過三分之一的Web網站都是由某種形式的防火墻加以保護,這是對黑客防范最嚴,安全性較強的一種方式,任何關鍵性的服務器,都建議放在防火墻之后。可見,防火墻處于可信網絡和不可信網絡邊界的位置,是可信網絡和不可信網絡數據交換的“門戶”,用來防止未經授權的通信進出被保護的內部網絡,通過邊界控制強化內部網絡的安全策略,其性能、可用性、可靠性、安全性等指標在很大程度上決定了網絡的傳輸效率和傳輸安全。防火墻是網絡安全策略的有機組成部分,它通過控制和監測網絡之間的信息交換和訪問行為來實現對網絡安全的有效管理,從總體上來看,防火墻的基本功能有兩個:一是隔離,使內部網絡不與外部網絡進行物理直接連接;二是訪問控制,是進出內部網絡的數據包按照安全策略有選擇地轉發。圍繞這兩個基本功能,大量與安全有關的網絡技術和安全技術被綜合進防火墻設備中,使防火墻地功能不斷擴展,性能不斷提高。概括地說,功能較完善的防火墻采用了以下安全技術:
3.1.1 多級的過濾控制技術
一般采用了三級過濾措施,并輔以鑒別手段。在分組過濾一級,能過濾掉所有的源路由分組和假冒的IP源地址;在應用級網關一級,能利用FTP、SMTP等各種網關,控制和監測Internet提供的所有通用服務;在電路網關一級,實現內部主機與外部站點的透明連接,并對服務的通行實行嚴格控制。
3.1.2 網絡地址轉換技術(NAT)
利用NAT技術能透明地對所有內部地址作轉換,使外部網絡無法了解內部網絡的拓撲信息,同時允許內部網絡使用自己編的IP地址和專用網絡,防火墻能詳盡記錄每一個主機的通信,確保每個分組送往正確的地址。
3.1.3 用戶鑒別與加密
為了降低防火墻產品在Telnet、FTP等服務和遠程管理上的安全風險,鑒別功能必不可少,防火墻采用一次性使用的口令字系統來作為用戶的鑒別手段,并實現了對郵件的加密。
3.1.4 審計和告警
對網絡事件進行審計,如果發現入侵行為將以發出郵件、聲響等多種方式報警。為了加強自動化應用系統的安全水平,需要在系統與其它網絡的接口之間設置一套防火墻設備。這樣既能防止外來的訪問者攻擊系統,竊取或者篡改系統數據;同時也能防止內部數據未經允許流向外部網絡。如圖1所示,在公網通信中,除了自動化系統與其它應用系統的接口外,子站采集自終端的數據要發送到中心站,也要通過 Internet網絡進行傳輸,這就給攻擊者提供了一個侵入的端口。因此要在這兩處均安裝防火墻設備,來保證系統的安全運行。在專網通信中,由于整個通信網絡是一個相對獨立的網絡,因此中心站了通信子站之間就不必加裝防火墻了。
3.2 無線終端的安全防護手段
無論是哪種無線網絡,都有若干數量的無線終端,它們是通信系統的最基本的組成結構,通過通信子站與中心站進行通信。因為無線終端的數據眾多,也使它們往往成為系統安全漏洞所在。對于應用系統而言,保護系統信息安全與保護系統業務正常是同等重要的。保護系統信息安全首先必須保證信息訪問的安全性,要讓不該看到信息的人不能看到,不該操作信息的人不能操作。這方面,一是要依靠身份認證技術來給信息的訪問加上一把鎖,二是要通過適當的訪問控制模型顯式地準許或限制訪問能力及范圍。這就引出了兩種信息安全技術:身份認證技術及訪問控制技術。通過這兩種技術手段,就能有效的解決以上的兩個安全問題。對于自動化應用系統來說,系統內的終端用戶只是采集電力用戶數據并上傳給服務器,并不存在越權訪問系統信息的問題。因此采用身份認證技術就足以解決無線終端的信息保護問題了。
身份認證是指被認證對象向系統出示自己身份證明的過程,通常是獲得系統服務所必須的第一道關卡。身份認證需要證實的是實體本身,而不是象消息認證那樣證實其合法性、完整性。身份認證的過程一般會涉及到兩方面的內容識別和驗證。識別,就是要對系統中的每個合法注冊的用戶具有識別能力,要保證識別的有效性,必須保證任意兩個不同的用戶都不能具有相同的標識符。驗證是指訪問者聲明自己的身份后,系統還必須對它聲稱的身份進行驗證。標識符可以是非秘密的,而驗證信息必須是秘密的。
身份認證系統有兩方認證和三方認證兩種形式兩方認證系統由被認證對象和認證方組成,被認證對象出示證件,提出操作要求,認證方檢驗被認證對象所提供證件的合法性和有效性三方認證系統除了被認證對象和認證方外,還有一個仲裁者,由雙方都信任的人充當仲裁和調節。建立一個身份認證系統的應滿足的是:1)可識別率最大化:認證方正確識別合法被認證對象身份的概率最大化;2)可欺騙率最小化:攻擊者偽裝被認證對象欺騙認證方的成功率最小化;3)不可傳遞性:認證方不可以用被認證對象提供的信息來偽裝被認證對象;4)計算有效性:實現身份認證所需的計算量要小;5)安全存儲:實現身份認證所需的參數能夠安全的存儲;6)第三方可信賴性:在三方認證的系統中,第三方必須是雙方都信任的人或組織或可信安全性身份認證系統所使用的算法的安全性是可證明和可信任的。
電力自動化系統內部使用身份認證技術,在每一個無線終端的實體上增加了一道安全防護,如圖2 所示。在進行數據傳輸之前,驗證對方是否是系統內的合法用戶。可以防止入侵者偽裝成內部用戶,獲取系統數據。
3.3 保護系統信息安全的常用方案-算法加密
除了以上的信息安全技術之外,算法加密技術是一種被普遍應用的安全技術。它在發送方將要發送的數據根據一定的算法進行加密,變成不可識別的密文;而在接收方通過對應的解密算法再將密文轉化為明文。從而保證數據在傳輸過程中的保密性。
4 結論
該文研究了電力自動化無線通信系統中的信息安全問題。隨著電力自動化無線通信技術的快速發展,對網絡信息安全的要求也不斷提高。無線通信技術有著其自身的特點,要求的安全解決方案也與其他不同。需要既保證無線信道的帶寬,又要有效地提高系統的安全防護強度。
參考文獻
[1] 孫毅,唐良瑞,杜丹.配電自動化中的通信網解決方案[J].燕山大學學報,2004,5(28):423-426.
篇11
一、網上銀行身份認證設備存在的問題
1.靜態密碼技術。銀行登錄方式分兩種,一種是采用“卡號+密碼”的方式登錄,此類技術代表為網上個人銀行大眾版,卡號、密碼的保管非常重要,如果卡號和密碼不慎被他人取得,他人即可通過網上銀行大眾版通過轉賬、網上支付卡轉賬等方式竊取客戶賬戶資金。另一種是采用“用戶名+登錄密碼”的方式登錄,此種方式較為安全,在安全設計上有考慮到用戶的需要,既滿足了用戶查詢相關信息的需要,又保證了用戶資料的安全,同時把查詢和支付、轉賬等業務分開,增加安全系數。
2.動態口令卡、動態口令牌、手機動態口令。電子口令卡是指以矩陣形式印有若干字符串的卡片,每個字符串對應一個唯一的坐標。使用電子銀行口令卡會存在卡片丟失或被窺視、拍照、復印等非技術風險;動態口令牌是一種內置電源、密碼生成芯片和顯示屏、根據專門的算法每隔一定時間自動更新動態口令的專用硬件。2011年1月以來,國內多省市發生以“E令卡網上銀行升級”為名,通過手機短信和制作克隆網站實施詐騙的案件。手機動態口令是利用手機作為隨機密碼生成或者接受終端,用戶在登錄應用系統時候,輸入手機上的生成或者接收到的密碼不停變化的隨機密碼,但是手機的缺點是容易被監聽,被犯罪分子截取密碼。
3.證書用戶。目前網上銀行應用最普遍的基于PKI體系的數字簽名產品是USBKEY,它是一種USB接口的硬件設備,內置國密安全芯片,有一定的存儲空間,可以存儲用戶的私鑰以及數字證書,利用USB Key內置的公鑰算法實現對用戶身份的認證。第一代USBKEY產品解決了用戶私有信息的傳輸安全問題,有效預防了基于釣魚網站的詐騙事件的發生。但是在交換操作方面還存在隱患,當用戶長時間插入USBKEY時,黑客可以通過木馬截獲PIN碼,遠程控制,冒用客戶的USB Key進行身份認證,發生騙簽事件。
二、網上銀行身份認證方案及防范措施
1.認證方案。在現在的三種認證方案中,可以說沒有哪一種是絕對的安全。在網銀發展的初期,以市場推廣為主要訴求,以方便性和高性價比來滿足市場初期需要,對系統需求和身份認證機制的安全性放在第二位來考慮,因此首先出現的是基于靜態密碼的大眾版網上銀行。然而隨著利用釣魚網站進行詐騙事件的逐漸增多,國內眾多商業銀行的身份認證產品開始轉向推廣更加安全的USBKEY電子簽名設備。但是隨著騙簽事件的增多,網上銀行何去何從?借鑒國內最好的網上第三方支付“支付寶”的身份認證解決方案,本人認為在現階段,網上銀行應該使用USBKEY+手機短信檢驗碼的認證方式,每一筆網上交易需要登錄密碼+支付密碼+U盾+U盾密碼+手機短信檢驗碼完成,非常安全。在未來的網上銀行身份認證發展中,可能會用到指紋液晶KEY方案,用指紋液晶KEY登陸網銀是在KEY上進行指紋認證以代替從電腦鍵盤輸入PIN碼,并在KEY上顯示交易信息,從物理上徹底杜絕黑客攻擊的途徑,從而有效防止網站釣魚、遠程挾持、信息篡改、騙簽等安全隱患。
2.防范措施。銀行應該增強服務意識,出現問題后,不要總是把問題都推到用戶身上,應該多想想銀行本身的問題,應該多做一些事情服務好用戶。例如對于USB Key騙簽事件,銀行應該在用戶進行每一筆網上交易中給予適當的提示,在需要插入USB Key時,彈出對話框提示用戶插入,在完成交易后,馬上彈出一個對話框,提示用戶已經完成交易,請及時拔走USB Key,這樣做相信騙簽事件發生的機率會很低。目前廣大網民對電子支付和網上銀行市場的認知程度還很有限,銀行在對用戶進行網上銀行安全的宣傳、推廣和教育上應承擔相應責任。例如本人作為工商銀行U盾客戶已經有6年時間,在撰寫本論文時查閱大量資料,發現原來工商銀行早在2008年就已經提供USBKEY+手機動態檢驗碼的認證方式,但是本人及周圍對網上銀行安全性要求較高的用戶都不知情。首先應該選擇一種安全的支付方式,寧愿多支付安全成本,保證資金安全,也不選擇安全性不好的支付方式,同時應該增強網上支付安全意識,培養良好的網上支付習慣。
篇12
1 引言
隨著校園網絡建設的不斷發展,越來越多的高校都在進行數字化校園的建設。利用先進的信息化手段和工具,實現從環境、資源到活動的數字化,學校各部門、院系陸續建設了各種業務應用系統,如教務管理、人事管理、學籍管理、科研管理等等。其中不乏很多基于Web提供公共服務的系統,由于這些系統相互獨立,用戶在使用每個應用系統之前都必須進行相應的系統身份認證,為此用戶必須記住每一個系統的用戶名和密碼,這給用戶帶來諸多不便。特別是隨著系統的增多,出錯的可能性就會增加,用戶信息受到非法截獲和破壞的可能性也會增大,安全性就會相應降低。而且,用戶每訪問一個不同的應用系統,便需要重新登陸一次,嚴重影響了用戶的體驗同時不利于統一管理。
鑒于此,單點登錄技術應運而生,它是一套身份認證機制,用來實施在多個獨立的應用系統中,用戶只需要登錄一次就可以訪問所有相互信任的應用系統,無需再次登錄,避免了應用系統的重復開發和數據同步更新問題,便于系統之間的資源共享,促進網絡的應用和發展。對所有應用系統的訪問,都必須從一個單點進行登錄認證。成功通過認證的用戶可以訪問到所有的Web應用系統,切換時不受限制,增強了用戶體驗;本文介紹了單點登錄的認證機制,分析了單點登錄的實現模式,最后結合實踐實現了一套簡單高效的單點登錄系統。
2 SSO的認證機制
單點登錄(Single Sign On),簡稱為SSO,是目前比較流行的企業業務整合的解決方案之一。SSO的定義是在多個應用系統中,用戶只需要登錄一次就可以訪問所有相互信任的應用系統。它包括可以將這次主要的登錄映射到其他應用中用于同一個用戶的登錄的機制。SSO體系結構如圖1所示。
當用戶第一次訪問應用系統1的時候,因為還沒有登錄,會被引導到認證系統中進行登錄;根據用戶提供的登錄信息,認證系統進行身份效驗,如果通過效驗,應該返回給用戶一個認證的憑據――ticket;用戶再訪問別的應用的時候就會將這個ticket帶上,作為自己認證的憑據,應用系統接受到請求之后會把ticket送到認證系統進行效驗,檢查ticket的合法性。如果通過效驗,用戶就可以在不用再次登錄的情況下訪問應用系統2和應用系統3了。
3 SSO現有技術
目前市場上出現了眾多的SSO產品,例如Microsoft公司.net中的Passport, IBM WebSphere Portal Server, BEA的WebLogic,Netegrity SiteMinder,Oracle9 iAS Portal Server等。雖然每個SSO產品的實現機制都不盡相同,但這些產品的實現機制都遵循一種通用的模式。它由三個主要部分組成:入口檢查單元、身份認證單元和用戶憑證存儲單元。
WebSphere通過Cookie記錄認證信息,WebLogic則是通過Session共享認證信息。Cookie是一種客戶端機制,它存儲的內容主要包括:名字、值、過期時間、路徑和域,路徑與域結合在一起就構成了Cookie的作用范圍,因此用Cookie方式可實現SSO,但域名必須相同; Session是一種服務器端機制,當客戶端訪問服務器時,服務器為客戶端創建一個惟一的Session ID,以使在整個交互過程中始終保持狀態,而交互的信息則可由應用自行指定,因此用Session方式實現SSO,不能在多個瀏覽器之間實現單點登錄,但卻可以跨域。
4 系統設計與實現
本文在研究SSO技術的基礎上,采用登錄時自動生成在所有系統的驗證標志實現了一個簡單高效的單點登錄系統。目前我校在數字化校園建設的基礎上實現了本科學分制系統、研究生信息管理系統、選課系統、工會會員管理系統、研究生信息管理系統、二級學院信息管理系統、學分制信息交流平臺等一系列基于Web的信息系統,登錄用戶名都是采用校園一卡通的方式,用戶登錄不同系統每次都要輸入用戶名和密碼信息進行驗證,給用戶造成不便。由于LDAP查詢效率高,可以進行訪問控制以及含有豐富的API與各種應用系統對接,安裝管理維護也很簡單,所以校園網的單點登錄基于LDAP來實現。
實現方法為:將各個子系統的登錄頁面放置于框架頁面中,在框架的頁面隱藏其他子系統的登錄頁面,當點擊“登錄”時觸發JS事件把當前的用戶名/密碼提交到其他子系統的登陸頁面中。這樣一次登錄,其他所有系統也就登錄了。框架頁面如圖2所示:
首先在系統入口輸入用戶名、密碼進行登錄,從客戶端發送的認證請求通過統一身份認證接口到達LDAP服務器,LDAP服務器在目錄信息樹中查詢是否為合法身份,進行身份認證和根據身份授予相應的權限,通過統一身份認證接口返回給客戶端。成功登錄后,可以直接單擊相應子系統鏈接直接進入子系統,不需要再次輸入登錄信息,帶來了更好的用戶體驗。
主要代碼如下:
1) 系統入口端
if(!username.equals("")&&!pwd.equals("")){//表單輸入不為空
Cert cert = new Cert();
UserLogin userLogin = new UserLogin();
userLogin.setUid(username);
userLogin.setPassword(pwd);
userInfo=cert.checkUserInfo("", 6002, 5000, "210.35.207.160", "portal", "210.35.207.160", userLogin, 0);//以上對客戶端輸入進行統一身份認證
if(userInfo!=null){//用戶存在的話
getUid=userInfo.getUid();//得到一卡通號
session.setAttribute("username",getUid);//將用戶名放入Session
session.setAttribute("pwd",pwd); //將密碼放入Session
}}
研究生管理//單擊觸發JS事件將用戶名密碼提交到其他子系統中
function submit_to(url,target){
pageForm.action=url;
pageForm.target=target;
pageForm.submit();}
//提交表單的JS事件
2) 其他子系統端
String username=request.getParameter("username");
String pwd=request.getParameter("pwd");
loginform.username.value="";
loginform.password.value="";
loginform.submit();
5 結束語
本文在研究了單點登錄技術及其實現模式的基礎上,實現了一套簡單高效的單點登錄系統。使用戶只進行一次登錄認證,便能在所有應用系統之間自由穿行,而不需要進行多次身份認證,建立了一種更安全的登錄方式,將多個系統獨立的用戶管理融合為統一用戶管理。此方法幾乎可以不要修改過多的代碼,而且可以用于所有的多系統情況,可以跨平臺,跨服務器。簡單高效。缺點是登錄完后,如果沒有在各個子系統切換,那使用SESSION的子系統可能會發生超時現象。可以在其他子系統包含文件中用IFRAME的方式包含其他子系統的更新在線狀態的頁面來解決,也可考慮基于Cookie的方式,這個有待于進一步研究。
參考文獻:
[1] 曾琴濤.基于Java平臺的Web應用系統單點登陸方案研究與實現[D].中國地質大學碩士學位論文,2008
[2] 皮曉東.單點登錄的研究與實現[J].計算機應用與軟件,2007(6).
篇13
一、技術應用背景
目前國內大部分地區220KV和110KV變電站都已實現無人值班技術,進入了由集控中心統一監控階段。一個集控中心一般監控7~10個變電站,變電站站內開關和刀閘操作都通過集控中心遙控操作。在運行監控特別是拉閘限電期間,集控中心的遙控操作非常頻繁,夏季期間平均每天要通過遙控操作拉限電100多條次。在這些頻繁操作中,目前集控中心監控系統采用“用戶ID+密碼”的方式進行用戶身份認證和權限控制。每一步操作都需要輸入操作人用戶名、監護人用戶名及相應密碼,一方面這些步驟需要花費較多時間,使得調度指令執行不及時,且容易分散操作注意力;另一方面由于經常操作,密碼比較簡單,操作人員相互之間都知道,密碼失去保密作用,容易發生操作人冒名監護人進行單人操作。這不但使集控中心監控系統存在安全隱患,更主要的是將對供電安全產生嚴重的安全威脅。為解決“用戶ID+密碼”認證方式所出現的弊端,故提出將指紋識別技術應用于集控中心監控系統,以實現用戶對變電站設備進行控制前的身份認證。
二、指紋識別技術研究
每個人的指紋圖案、斷點和交叉點各不相同,呈現唯一性且終生不變。據此,我們就可以把一個人同他的指紋對應起來,通過他的指紋和預先保存的指紋數據進行比較,就可以驗證他的真實身份,這就是指紋識別技術。指紋識別技術可稱為人體密碼,是模式識別領域中使用最早的,也是最為成熟的生物鑒定技術,它是集傳感器技術、生物技術、電子技術、數字圖像處理、模式識別于一體的高新技術。
(一)指紋識別方案設計
在用戶登入電力監控系統前,首先集取集控中心操作人員指紋,本系統采用光電傳感器作為指紋取像設備,并通過USB接口與監控系統服務器連接。指紋的圖形及其他相關特征集取下來后傳送至指紋采集程序中,經過運算及統計,在所采集圖形中找出該指紋具有所謂“人人不同且終身不變的特性”的相關特征點,并將之數位化。其次在進行遙控操作時,當系統需要認證操作人用戶身份時,可調用該指紋的數位化數據,并經運算、驗證其與指紋數據庫中的比對資料的相似程度,達到一定程度以上的統計相似度,即認為通過驗證。然后通過同樣的方法再驗證監護人的指紋信息。只有操作用戶和其監護人的指紋驗證均通過,且不為同一人時,遙控操作程序才能繼續執行。
(二)識別算法設計
在指紋識別過程中,我們把識別算法設計為3個步驟:圖像預處、指紋特征提取和指紋比對。采集的指紋圖像容易受到各種因素的影響而使圖像質量變差,比如手指按壓的方向和力度、皮膚的干濕程度、傳感器的特征差異等。因此,指紋識別算法首先要對指紋圖象進行預處理,以把有用的前景信息和背景區分開。在區分指紋的指紋區域和非指紋區域的指紋圖像分割方法中,采用了基于塊的指紋圖像分割方法,這個算法將指紋圖像分割成大小固定的小塊,根據每一小塊的特性確定該塊是前景(指紋區)還是背景(非指紋區)。
經過研究分析,我們采用的識別算法為方差法進行圖像分割。指紋圖像的前景區域由指紋脊線和谷線組成,指紋脊線和谷線是黑白相間的紋理,因此方差比較大,而背景區域的灰度變化不大,因此方差比較小。基于這一特征,利用圖像的局部方差對指紋圖像進行分割,首先將指紋圖像分成w*w的小塊,計算每一塊圖像的平均灰度值,
aveg(k,l)=■,k=1,…,M;l=1,…,N;
其中g(i,j)是第(k,l)塊中第i行第J列像素的灰度值。M,N是指紋圖像行塊數和列塊數;再計算每一塊圖像的灰度方差:
var(k,l)=■,k=1,…,M;l=1,…,N;
對于每一塊圖像,當var(k,l)大于閡值T1時,將其設為前景,否則設為背景;最后用3*3鄰域進行平滑,去除孤立圖像塊。然后采用基于塊方向圖計算的方向濾波;接著利用動態閥值法進行二值化處理,以把指紋灰度圖像轉化為僅用0、1表示的二值圖像。對二值化后的二值圖像進行細化可得到骨架圖象。接下來的特征提取階段采用模板匹配的方法獲取細節特征點(端點、分叉點)的位置、方向和類型信息。最后特征匹配則采用基于細節特征點匹配的算法。其識別算法流程圖如圖1所示:
圖1指紋識別算法流程
三、監控系統身份認證設計與實現
(一)數據庫安全設計
通過兩個方面實現數據庫系統信息安全:一是數據庫管理系統本身提供的用戶名口令識別、使用權限控制、審計等管理措施;另一個就是靠應用程序設置的控制管理。作為數據庫用戶,最關心數據資料的安全,特別是用戶權限問題。監控系統數據庫安全管理主要分為以下幾種:
1.用戶權限。不同類型的用戶授予不同的數據管理權限。一般將權限分為3類:數據庫登陸權限、資源管理權限和數據庫管理權限。
2.數據分類。同一類權限的用戶,對數據庫中數據管理和使用的范圍是不同的。DBMS提供了將數據分類的功能,即建立視圖,管理員把用戶可查詢的數據邏輯上歸并起來,簡稱一個或多個視圖,并賦予名稱,再把該視圖的查詢權限授予該用戶,也可以授予多個用戶。這種數據分類可以進行得很細,其最小粒度是數據庫二維表中一個交叉的元素。
3.審計功能。有兩種方式,即用戶審計和系統審計。用戶審計時,DBMS的審計系統記下所有對自己表或視圖進行訪問的企圖,包括成功的和不成功的,以及每次操作的用戶名、時間、操作代碼等信息。這些信息一般都被記錄在數據字典(或叫系統表)里,利用這些信息用戶可以進行審計分析。系統審計由系統管理員進行,其審計內容主要是系統一級命令和數據庫客體的使用情況。
(二)身份認證方式設計
身份認證方式可設計為以下兩類,認證方式可以是下面的任意一種,默認首選為指紋認證。
1.基于知識的方法來確定身份,如口令或PIN,這種身份認證方法的安全性僅僅基于用戶口令或PIN的保密性。
2.基于他或她的獨一無二的生理學的行為特征來確定身份即生物認證,如指紋認證。
(三)指紋識別身份認證的功能實現
1.需實現的功能。指紋識別功能與監控系統功能充分結合,利用監控系統數據庫統一管理指紋信息,以實現以下功能:(1)能通過指紋識別出用戶,并根據該用戶所屬的用戶權限分配數據庫操作權限;(2)指紋登記記錄直接寫入監控系統數據庫,維護監控系統數據庫時即可同時維護指紋庫,不再需要單獨維護指紋庫;(3)所有監控系統的操作身份認證均可通過指紋認證,并詳細記錄操作日志;(4)讀取操作人員指紋信息后與數據庫中的建檔信息進行比對,比對正確后再次讀取監護人指紋信息,只有操作用戶和其監護人的指紋驗證均通過,且不為同一人時,遙控操作才能繼續,從而確保控制操作安全。
2.指紋識別功能實現。基于集控中心ON2000系統開發的指紋采集接口程序利用C++語言在SDK集成開發境下開發。SDK軟件包為軟件開發提供了一個集成的設計開發環境,它有一個包括工程管理、源代碼開發和基于JTAG調試功能的圖形界面(GUI)。本數據庫指紋身份認證系統實現以下功能:
(1)指紋圖像獲取。通過USB接口的指紋采集儀采集活體指紋圖像。根據上面對指紋圖像采集的分析,采用平面捺印指紋,以提高設別速度。采集的界面如圖2所示:
圖2指紋采集界面
(2)指紋保存。采集的指紋信息保存在監控系統的應用數據庫中,做到了監控系統數據庫統一管理和維護。同時將指紋圖像進行了壓縮,大容量的指紋數據庫經過JPEG壓縮后存儲,以減少存儲空間。數據庫中的用戶權限分配數據見表1:
表1用戶權限分配數據表
(3)記錄操作日志。集控中心監控系統數據庫操作自動調用指紋身份認證程序,同時保留密碼輸入窗口,只有在指紋身份認證失敗時,才可進入密碼輸入窗口。通過指紋身份認證進行的所有操作等同與通過密碼身份認證的操作,并在監控系統應用數據庫中記錄詳細的操作日志。操作日志記錄所有用戶的操作信息,對數據進行自動分類和自動檢索。審計跟蹤用戶的活動,給管理員提供分析的依據。
(4)用戶權限驗證。根據指紋識別系統獲取的用戶信息,完成對運行人員的身份認證,確保在集控中心監控系統中操作人員為合法的運行值班人員,通過權限驗證判斷值班人員是否具備需要的權限,以及確保值班人員只能具備已經分配的功能權限。
四、結語該
該系統的實施有效防止單人違規操作、防止非授權人員進行惡意破壞操作,對電網安全運行提供技術保障,受到了用戶的一致好評文章將指紋識別技術應用于集控中心監控系統,以實現用戶對變電站設備進行控制前的身份認證。同時大大提高集控中心變電運行值班人員的工作效率,縮短遙控操作時間,特別在緊急限電時發揮了積極作用。
參考文獻
[1]戴平陽.指紋識別技術研究進展[J].廈門大學學報(自然科學版),2002,41(6).
