• <tr id="yyy80"></tr>
  • <sup id="yyy80"></sup>
  • <tfoot id="yyy80"><noscript id="yyy80"></noscript></tfoot>
  • 99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

    高校數(shù)字證書統(tǒng)一身份認(rèn)證系統(tǒng)分析與應(yīng)用

    2015-03-19 08:55:29黃海軍
    關(guān)鍵詞:數(shù)字證書口令校園網(wǎng)

    黃海軍

    (云南工商學(xué)院 云南 651700)

    0 引言

    傳統(tǒng)的高校校園網(wǎng)系統(tǒng)應(yīng)用中,普遍采用的身份認(rèn)證方式為“用戶名+靜態(tài)密碼”進行驗證;管理員在用戶進行相關(guān)應(yīng)用操作前,在應(yīng)用服務(wù)器中建立一個文件,該文件存儲了使用者的用戶名信息,并將對應(yīng)的密碼、應(yīng)用權(quán)限與用戶名進行了綁定,當(dāng)用戶對應(yīng)用進行操作時,應(yīng)用服務(wù)器要求使用者提交“用戶名+靜態(tài)密碼”,應(yīng)用服務(wù)器在收到認(rèn)證信息后,將認(rèn)證信息與存儲在服務(wù)器中的用戶信息進行比對,以確認(rèn)該訪問者是否為合法用戶,擁有哪些訪問權(quán)限;認(rèn)證之后,根據(jù)認(rèn)證結(jié)果進行對應(yīng)的下一步操作。

    1 傳統(tǒng)的口令式身份認(rèn)證優(yōu)點及缺陷

    傳統(tǒng)的口令式身份認(rèn)證的優(yōu)點是:一般常用的操作系統(tǒng)都能提供對口令認(rèn)證的支持,對一些小規(guī)模的、封閉的內(nèi)部系統(tǒng)來說,采用口令式認(rèn)證是一種低成本的解決方案;但是,口令式的身份認(rèn)證方式主要存在以下幾種缺陷:

    使用時泄密:靜態(tài)密碼在使用時,可能在輸入過程中被窺視,也可能被“鍵盤鉤子”等木馬程序竊取。

    傳輸過程泄密:在系統(tǒng)網(wǎng)絡(luò)中,口令文件是以明文方式傳輸?shù)?,易在傳輸過程中被欄截,并分析破解。

    密碼特征化泄密:許多用戶的密碼設(shè)置常用容易記憶的字段,如用戶的出生日期、電話號碼、姓名縮寫等。

    密碼通用性泄密:為防止遺忘密碼或者在多種應(yīng)用中將密碼字段混淆,用戶可能在多種應(yīng)用系統(tǒng)(如:校園網(wǎng)系統(tǒng)、電子郵件系統(tǒng)、網(wǎng)上銀行)中使用同一組靜態(tài)密碼;一旦有其中一個系統(tǒng)出現(xiàn)泄密,其他應(yīng)用系統(tǒng)的賬號也就存在危險。

    可被暴力攻擊破解:不少用戶的靜態(tài)口令設(shè)置簡單,且長時間使用不進行更改,讓黑客使用窮舉式暴力破解提供了可能。

    在高校校園網(wǎng)內(nèi)自建CA認(rèn)證中心,能夠充分滿足校園網(wǎng)系統(tǒng)的身份認(rèn)證需求,提供足夠的安全認(rèn)證支持,還可以節(jié)約成本、便于管理和進行擴展。從長遠(yuǎn)來看,自建CA的成本遠(yuǎn)低于第三方CA提供相應(yīng)服務(wù)的成本。

    高校校園網(wǎng)是網(wǎng)絡(luò)辦公系統(tǒng)中很有代表性的一種,有明確的可信任的應(yīng)用范圍和基本確定的使用者范圍,校園網(wǎng)自建的認(rèn)證中心就是該校園網(wǎng)系統(tǒng)的權(quán)威數(shù)字認(rèn)證中心。近幾年國內(nèi)教育界在這一領(lǐng)域的發(fā)展非常迅速,現(xiàn)在已經(jīng)有很多高校都開始設(shè)計并建立了自己的數(shù)字證書認(rèn)證中心,使得該技術(shù)逐漸走向成熟。在構(gòu)建適合校園的數(shù)字證書認(rèn)證系統(tǒng)時,系統(tǒng)的體系結(jié)構(gòu)是要重點考慮的。校園網(wǎng)是獨立的主體,其客戶和服務(wù)群體基本上都信任學(xué)校權(quán)威中心,身份確認(rèn)及授權(quán)均可最終由權(quán)威中心仲裁。在校園網(wǎng)系統(tǒng)中引入數(shù)字證書身份認(rèn)證系統(tǒng),能夠解決當(dāng)前校園網(wǎng)系統(tǒng)中面臨的應(yīng)用安全性、完整性和保密性問題,還能提供應(yīng)用的強身份認(rèn)證及操作的不可否認(rèn)性。校園網(wǎng)身份認(rèn)證系統(tǒng)是建立數(shù)字化校園的堅實基礎(chǔ),建立適用于校園網(wǎng)的身份認(rèn)證系統(tǒng)模型,必須充分考慮校園網(wǎng)的特殊環(huán)境及特殊需求。

    2 數(shù)字證書在校園網(wǎng)中的應(yīng)用

    云南工商學(xué)院目前使用的應(yīng)用系統(tǒng)通常有:OA系統(tǒng)、教學(xué)系統(tǒng)、財務(wù)系統(tǒng)、門戶系統(tǒng)、人事系統(tǒng)、學(xué)生工作管理、綜合教務(wù)、郵件系統(tǒng)、圖書管理等應(yīng)用系統(tǒng)。目前校園網(wǎng)系統(tǒng)釆用的為B/S模式,為了實現(xiàn)基于數(shù)字證書身份認(rèn)證功能在原有學(xué)院校園網(wǎng)系統(tǒng)中的應(yīng)用,需要進行如下改造:

    (1)在中心機房端,添加一臺物理獨立的服務(wù)器,將CA系統(tǒng)與校園網(wǎng)應(yīng)用系統(tǒng)設(shè)為物理獨立,作為身份認(rèn)證系統(tǒng)的信任基礎(chǔ)。

    (2)在中心機房端,添加一臺服務(wù)器,用于存放 LDAP目錄服務(wù)系統(tǒng),CA將用戶的證書過期列表(CRL)添加到LDAP中,供身份認(rèn)證網(wǎng)關(guān)進行身份認(rèn)證時查詢。

    (3)對目前存放用戶身份、口令等信息的服務(wù)器進行改造,添加統(tǒng)一用戶管理系統(tǒng),完成數(shù)字證書與原賬號的映像關(guān)系綁定,供身份認(rèn)證網(wǎng)關(guān)進行身份認(rèn)證時查詢。

    (4)添加身份認(rèn)證網(wǎng)關(guān)設(shè)備,網(wǎng)關(guān)與RA、LDAP、統(tǒng)一用戶管理系統(tǒng)直接連接,同時再對網(wǎng)關(guān)進行注冊配置,添加如下信息:

    ①應(yīng)用登錄頁面的地址、端口等;

    ②網(wǎng)關(guān)需要向系統(tǒng)傳遞的信息進行認(rèn)證。

    (5)添加密碼機,對在各系統(tǒng)之間傳輸?shù)臄?shù)據(jù)、信息等進行加密,確保數(shù)據(jù)傳輸?shù)陌踩?/p>

    3 數(shù)字證書的獲得

    學(xué)院外語系新招聘英語專業(yè)教師李某為例,為了能讓其使用校園網(wǎng)系統(tǒng)開展對應(yīng)的業(yè)務(wù),需要為李某申請數(shù)字證書,讓她獲得登錄校園網(wǎng)應(yīng)用的唯一身份標(biāo)識。

    管理員首先通過統(tǒng)一用戶管理系統(tǒng),為李某釆集其原始信息,如:姓名、專業(yè)、身份、郵件地址等。

    李某到本系的注冊中心(RA)提出數(shù)字證書申請,待審核通過后,RA將申請發(fā)送至CA。

    管理員登陸CA,對RA發(fā)送的數(shù)字證書申請作出回應(yīng),為申請者頒發(fā)數(shù)字證書,將用戶的證書文件交給李某;同時,將李某的證書信息添加到證書注銷列表(CRL)中,并將李某的證書公鑰也添加到LDAP目錄服務(wù)系統(tǒng)中。

    李某此時即獲得了她在工商學(xué)院校園網(wǎng)中的業(yè)務(wù)身份,也是其唯一的應(yīng)用身份標(biāo)識。

    4 數(shù)字證書統(tǒng)一身份驗證

    李某在獲得數(shù)字證書后,進入教學(xué)管理系統(tǒng),修改學(xué)生考試成績,流程如下:

    打開教學(xué)管理系統(tǒng)入口頁面,應(yīng)用服務(wù)器端檢測后發(fā)現(xiàn),李某并未進行登錄隨后對其訪問請求進行重定向到身份認(rèn)證網(wǎng)關(guān),并要求李某出示她的數(shù)字證;身份認(rèn)證網(wǎng)關(guān)在LDAP目錄系統(tǒng)的支持下,完成對李某證書有效性的驗證,驗證通過后,身份認(rèn)證網(wǎng)關(guān)從統(tǒng)一用戶管理系統(tǒng)中獲取她的賬號、權(quán)限、屬性信息等資料,并將驗證結(jié)果返回教學(xué)管理系統(tǒng),同時給李某發(fā)放本次訪問的 Token;李某重新登錄教學(xué)管理系統(tǒng),教學(xué)管理系統(tǒng)又將用戶所帶的 Token重定向到認(rèn)證網(wǎng)關(guān),網(wǎng)關(guān)又對Token進行驗證,判定用戶是否已經(jīng)通過身份認(rèn)證,并且具備訪問該應(yīng)用系統(tǒng)的權(quán)限,身份認(rèn)證網(wǎng)關(guān)將判定信息返回至教學(xué)管理系統(tǒng),而后,李某便能登錄教學(xué)管理系統(tǒng)進行操作;并且在此次驗證后,李某還能直接訪問其權(quán)限允許的各應(yīng)用系統(tǒng),不再需要進行登錄驗證。

    為用戶以及信息系統(tǒng)服務(wù)器頒發(fā)數(shù)字證書,PKI/CA中心承擔(dān)起核對和驗證各網(wǎng)絡(luò)用戶方身份;頒發(fā)、維護和管理數(shù)字證書,提供數(shù)字證書及CRL查詢服務(wù)?;跀?shù)字證書建立統(tǒng)一身份認(rèn)證系統(tǒng),用于財務(wù)系統(tǒng)、郵件系統(tǒng)、科研管理系統(tǒng)等校園核心應(yīng)用系統(tǒng)用戶進行系統(tǒng)登錄時的強身份認(rèn)證、單點登錄、應(yīng)用級訪問控制等應(yīng)用安全加固功能。

    5 總結(jié)

    在高校校園網(wǎng)中建立一套安全防護系統(tǒng)為用戶提供統(tǒng)一、安全的身份認(rèn)證服務(wù),并實現(xiàn)教學(xué)系統(tǒng)、人事系統(tǒng)、財務(wù)系統(tǒng)、綜合教務(wù)、多媒體資源、網(wǎng)絡(luò)教學(xué)、學(xué)生工作管理、郵件系統(tǒng)、ERP系統(tǒng)等業(yè)務(wù)系統(tǒng)單點登錄,讓用戶使用安全的身份登錄一次后就可以根據(jù)相關(guān)的策略訪問業(yè)務(wù)系統(tǒng)資源,不需要重新輸入業(yè)務(wù)系統(tǒng)用戶名/密碼等信息。并且業(yè)務(wù)系統(tǒng)都是獨立部署,并且運行在不同的平臺上。因此,數(shù)字證書驗證系統(tǒng)確保高校校園網(wǎng)系統(tǒng)能夠獨立運行的前提下解決統(tǒng)一身份認(rèn)證、單點登錄的問題。

    [1]黃劍飛.LDAP在校園網(wǎng)統(tǒng)一身份認(rèn)證中的應(yīng)用[D].江工業(yè)大學(xué).2009.

    [2]常潘.沈富可.于 LDAP的校園網(wǎng)統(tǒng)一身份認(rèn)證的實現(xiàn)[J].算機工程.2007.

    [3]段海新.校園網(wǎng)安全問題分析與對策[f].中國教育網(wǎng)絡(luò).2005.

    [4]查貴庭,彭其軍,羅國富.校園網(wǎng)安全威脅及安全系統(tǒng)構(gòu)建[J].計算機應(yīng)用研究.2005.

    [5]開澄.計算機密碼學(xué)——計算機網(wǎng)絡(luò)中的數(shù)據(jù)保密與安全[M].第二版.清華大學(xué)出版社.2007.

    [6]湯彬,胡浩民,向玨良.基于PK1身份認(rèn)證技術(shù)的研究與實現(xiàn)[J].自動化儀表.2008.

    [7]楊宇.基于PKI身份認(rèn)證系統(tǒng)的研究和實現(xiàn)[D].成都:電子科技大學(xué).2009.

    [8]關(guān)振勝.公鑰基礎(chǔ)設(shè)施PKI與認(rèn)證機構(gòu)CA.電子工業(yè)出版社.2002.

    [9]唐玲.數(shù)字證書系統(tǒng)的設(shè)計研究[D].合肥工業(yè)大學(xué).2004.

    [10]楊波,王常吉,段海新.基于PKI/PMI的校園網(wǎng)安全單一登錄設(shè)計[J].計算機工程與應(yīng)用.2004.

    猜你喜歡
    數(shù)字證書口令校園網(wǎng)
    數(shù)字化校園網(wǎng)建設(shè)及運行的幾點思考
    甘肅教育(2020年18期)2020-10-28 09:05:54
    高矮胖瘦
    試論最大匹配算法在校園網(wǎng)信息提取中的應(yīng)用
    電子制作(2019年10期)2019-06-17 11:45:26
    口 令
    好玩的“反口令”游戲
    NAT技術(shù)在校園網(wǎng)中的應(yīng)用
    電子制作(2017年8期)2017-06-05 09:36:15
    當(dāng)心黑客利用數(shù)字證書的漏洞
    SNMP服務(wù)弱口令安全漏洞防范
    基于數(shù)字證書的軍事信息系統(tǒng)安全防護方案
    管理好系統(tǒng)中的數(shù)字證書
    電腦迷(2015年7期)2015-05-30 04:50:35
    南京市| 车致| 仲巴县| 镇远县| 成都市| 蓬安县| 罗城| 上虞市| 昌江| 宜昌市| 孟州市| 九寨沟县| 玉门市| 阜康市| 西宁市| 阿克| 永宁县| 栖霞市| 酉阳| 饶河县| 伊金霍洛旗| 延边| 江安县| 鄂托克旗| 新干县| 孝昌县| 灵川县| 永嘉县| 壶关县| 宁德市| 聊城市| 新绛县| 霍州市| 桃园市| 清镇市| 京山县| 太仆寺旗| 阳原县| 剑川县| 无棣县| 晋宁县|