身份认证技术的应用(精选8篇)
一、引言
802.1x协议起源于802.11协议,后者是IEEE的无线局域网协议,制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。IEEE802LAN协议定义的局域网并不提供接入认证,只要用户能接入局域网控制设备(如LANS witch),就可以访问局域网中的设备或资源。这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。
随着移动办公及驻地网运营等应用的大规模发展,服务提供者需要对用户的接入进行控制和配置。尤其是WLAN的应用和LAN接入在电信网上大规模开展,有必要对端口加以控制以实现用户级的接入控制,802.lx就是IEEE为了解决基于端口的接入控制(Port-Based Network Access Contro1)而定义的一个标准。
二、802.1x认证体系
802.1x是一种基于端口的认证协议,是一种对用户进行认证的方法和策略。端口可以是一个物理端口,也可以是一个逻辑端口(如VLAN)。对于无线局域网来说,一个端口就是一个信道。802.1x认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持“关闭”,即只允许802.1x的认证协议报文通过。
802.1x的体系结构如图1所示。它的体系结构中包括三个部分,即请求者系统、认证系统和认证服务器系统三部分:
图1 802.1x认证的体系结构
1.请求者系统
请求者是位于局域网链路一端的实体,由连接到该链路另一端的认证系统对其进行认证。请求者通常是支持802.1x认证的用户终端设备,用户通过启动客户端软件发起802.lx认证,后文的认证请求者和客户端二者表达相同含义。
2.认证系统
认证系统对连接到链路对端的认证请求者进行认证。认证系统通常为支持802.lx协议的网络设备,它为请求者提供服务端口,该端口可以是物理端口也可以是逻辑端口,一般在用户接入设备(如LAN Switch和AP)上实现802.1x认证。后文的认证系统、认证点和接入设备三者表达相同含义。
3.认证服务器系统
认证服务器是为认证系统提供认证服务的实体,建议使用RADIUS服务器来实现认证服务器的认证和授权功能。
请求者和认证系统之间运行802.1x定义的EAPO(Extensible Authentication Protocolover LAN)协议。当认证系统工作于中继方式时,认证系统与认证服务器之间也运行EAP协议,EAP帧中封装认证数据,将该协议承载在其它高层次协议中(如RADIUS),以便穿越复杂的网络到达认证服务器;当认证系统工作于终结方式时,认证系统终结EAPoL消息,并转换为其它认证协议(如RADIUS),传递用户认证信息给认证服务器系统。
认证系统每个物理端口内部包含有受控端口和非受控端口。非受控端口始终处于双向连通状态,主要用来传递EAPoL协议帧,可随时保证接收认证请求者发出的EAPoL认证报文;受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。
三、802.1x认证流程
基于802.1x的认证系统在客户端和认证系统之间使用EAPOL格式封装EAP协议传送认证信息,认证系统与认证服务器之间通过RADIUS协议传送认证信息。由于EAP协议的可扩展性,基于EAP协议的认证系统可以使用多种不同的认证算法,如EAP-MD5,EAP-TLS,EAP-SIM,EAP-TTLS以及EAP-AKA等认证方法。
以EAP-MD5为例,描述802.1x的认证流程。EAP-MD5是一种单向认证机制,可以完成网络对用户的认证,但认证过程不支持加密密钥的生成。基于EAP-MD5的802.1x认证系统功能实体协议栈如图2所示。基于EAP-MD5的802.1x认证流程如图3所示,认证流程包括以下步骤:
图2 基于EAP-MD5的802.1x认证系统功能实体协议栈
点击查看大图
图3 基于EAP-MD5的802.1x认证流程
(1)客户端向接入设备发送一个EAPoL-Start报文,开始802.1x认证接入;
(2)接入设备向客户端发送EAP-Request/Identity报文,要求客户端将用户名送上来;
(3)客户端回应一个EAP-Response/Identity给接入设备的请求,其中包括用户名;
(4)接入设备将EAP-Response/Identity报文封装到RADIUS Access-Request报文中,发送给认证服务器;
(5)认证服务器产生一个Challenge,通过接入设备将RADIUS Access-Challenge报文发送给客户端,其中包含有EAP-Request/MD5-Challenge;
(6)接入设备通过EAP-Request/MD5-Challenge发送给客户端,要求客户端进行认证;
(7)客户端收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-Word,在EAP-Response/MD5-Challenge回应给接入设备;
(8)接入设备将Challenge,Challenged Password和用户名一起送到RADIUS服务器,由RADIUS服务器进行认证:
(9)RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功/失败报文到接入设备。如果成功,携带协商参数,以及用户的相关业务属性给用户授权。如果认证失败,则流程到此结束;
(10)如果认证通过,用户通过标准的DHCP协议(可以是DHCP Relay),通过接入设备获取规划的IP地址;
(11)如果认证通过,接入设备发起计费开始请求给RADIUS用户认证服务器;
(12)RADIUS用户认证服务器回应计费开始请求报文。用户上线完毕。
四、802.1x认证组网应用
按照不同的组网方式,802.1x认证可以采用集中式组网(汇聚层设备集中认证)、分布式组网(接入层设备分布认证)和本地认证组网。不同的组网方式下,802.1x认证系统实现的网络位置有所不同。
1.802.1x集中式组网(汇聚层设备集中认证)
802.1x集中式组网方式是将802.1x认证系统端放到网络位置较高的LAN Switch设备上,这些LAN Switch为汇聚层设备。其下挂的网络位置较低的LAN Switch只将认证报文透传给作为802.lx认证系统端的网络位置较高的LAN Switch设备,集中在该设备上进行802.1x认证处理。这种组网方式的优点在于802.1x采用集中管理方式,降低了管理和维护成本。汇聚层设备集中认证如图4所示。
图4 802.1x集中式组网(汇聚层设备集中认证)
2.802.1x分布式组网(接入层设备分布认证)
802.1x分布式组网是把802.lx认证系统端放在网络位置较低的多个LAN Switch设备上,这些LAN Switch作为接入层边缘设备。认证报文送给边缘设备,进行802.1x认证处理。这种组网方式的优点在于,它采用中/高端设备与低端设备认证相结合的方式,可满足复杂网络环境的认证。认证任务分配到众多的设备上,减轻了中心设备的负荷。接入层设备分布认证如图5所示。
图5 802.1x分布式组网(接入层设备分布认证)
802.lx分布式组网方式非常适用于受控组播等特性的应用,建议采用分布式组网对受控组播业务进行认证。如果采用集中式组网将受控组播认证设备端放在汇聚设备上,从组播服务器下行的流在到达汇聚设备之后,由于认证系统还下挂接入层设备,将无法区分最终用户,若打开该受控端口,则汇聚层端口以下的所有用户都能够访问到受控组播消息源。反之,如果采用分布式组网,则从组播服务器来的组播流到达接入层认证系统,可以实现组播成员的精确粒度控制。
3.802.1x本地认证组网
802.1x的AAA认证可以在本地进行,而不用到远端认证服务器上去认证。这种本地认证的组网方式在专线用户或小规模应用环境中非常适用。它的优点在于节约成本,不需要单独购置昂贵的服务器,但随着用户数目的增加,还需要由本地认证向RADIUS认证迁移。
五、结束语
802.1x认证系统提供了一种用户接入认证的手段,它仅关注端口的打开与关闭。对于合法用户(根据账号和密码)接入时,该端口打开,而对于非法用户接入或没有用户接入时,则使端口处于关闭状态。认证的结果在于端口状态的改变,而不涉及其它认证技术所考虑的IP地址协商和分配问题,是各种认证技术中最为简化的实现方案。
必须注意到802.1x认证技术的操作颗粒度为端口,合法用户接入端口之后,端口始终处于打开状态,此时其它用户(合法或非法)通过该端口接入时,不需认证即可访问网络资源。对于无线局域网接入而言,认证之后建立起来的信道(端口)被独占,不存在其它用户非法使用的问题。但如果802.lx认证技术应用于宽带IP城域网,就存在端口打开之后,其它用户(合法或非法)可自由接入且难以控制的问题。因此,在提出可运营、可管理要求的宽带IP城域网中如何使用该认证技术,还需要谨慎分析所适用的场合,并考虑与其它信息绑定组合认证的可能性。
802.1x EAP认证过程
1.当用户有上网需求时打开802.1X客户端程序,输入用户名和口令,发起连接请求。此时客户端程序将发出请求认证的报文给交换机,启动一次认证过程。
如下:
Frame 90(64 bytes on wire, 64 bytes captured)
Arrival Time: Nov 27, 2006 16:27:33.446030000
Time delta from previous packet: 3.105345000 seconds
Time since reference or first frame: 5.082965000 seconds
Frame Number: 90
Packet Length: 64 bytes
Capture Length: 64 bytes Ethernet II, Src: 00:e0:4c:d7:65:cd, Dst: 01:80:c2:00:00:03
Destination: 01:80:c2:00:00:03(Spanning-tree-(for-bridges)_03)
Source: 00:e0:4c:d7:65:cd(RealtekS_d7:65:cd)
Type: 802.1X Authentication(0x888e)
Trailer: A5A5A5A5A5A5A5A5A5A5A5A5A5A5A5A5...Frame check sequence: 0xa5a5a5a5(incorrect, should be 0xcc6d5b40)
802.1x Authentication
Version: 1
Type: Start(1)
Length: 0
2.交换机在收到请求认证的数据帧后,将发出一个EAP-Request/Identitybaowe请求帧要求客户端程序发送用户输入的用户名。
Frame 91(64 bytes on wire, 64 bytes captured)
Arrival Time: Nov 27, 2006 16:27:33.447236000
Time delta from previous packet: 0.001206000 seconds
Time since reference or first frame: 5.084171000 seconds
Frame Number: 91
Packet Length: 64 bytes
Capture Length: 64 bytes Ethernet II, Src: 00:03:0f:01:3a:5a, Dst: 00:e0:4c:d7:65:cd
Destination: 00:e0:4c:d7:65:cd(RealtekS_d7:65:cd)
Source: 00:03:0f:01:3a:5a(DigitalC_01:3a:5a)
Type: 802.1X Authentication(0x888e)
Trailer: A5A5A5A5A5A5A5A5A5A5A5A5A5A5A5A5...Frame check sequence: 0xa5a5a5a5(incorrect, should be 0x7d263869)
802.1x Authentication
Version: 1
Type: EAP Packet(0)
Length: 5
Extensible Authentication Protocol
Code: Request(1)
Id: 1
Length: 5
Type: Identity [RFC3748](1)
3.客户端程序响应交换机的请求,将包含用户名信息的一个EAP-Response/Identity送给交换机,交换机将客户端送来的数据帧经过封包处理后生成RADIUS Access-Request报文
送给认证服务器进行处理。
Frame 148(77 bytes on wire, 77 bytes captured)
Arrival Time: Nov 27, 2006 16:27:36.446199000
Time delta from previous packet: 2.998963000 seconds
Time since reference or first frame: 8.083134000 seconds
Frame Number: 148
Packet Length: 77 bytes
Capture Length: 77 bytes Ethernet II, Src: 00:e0:4c:d7:65:cd, Dst: 01:80:c2:00:00:03
Destination: 01:80:c2:00:00:03(Spanning-tree-(for-bridges)_03)
Source: 00:e0:4c:d7:65:cd(RealtekS_d7:65:cd)
Type: 802.1X Authentication(0x888e)
802.1x Authentication
Version: 1
Type: EAP Packet(0)
Length: 59
Extensible Authentication Protocol
Code: Response(2)
Id: 1
Length: 13
Type: Identity [RFC3748](1)
Identity(8 bytes): 03051020
4.认证服务器收到交换机转发上来的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字Challenge对它进行加密处理(MD5),通过接入设备将RADIUS Access-Challenge报文发送给客户端,其中包含有
EAP-Request/MD5-Challenge。
Frame 154(64 bytes on wire, 64 bytes captured)
Arrival Time: Nov 27, 2006 16:27:36.567003000
Time delta from previous packet: 0.120804000 seconds
Time since reference or first frame: 8.203938000 seconds
Frame Number: 154
Packet Length: 64 bytes
Capture Length: 64 bytes Ethernet II, Src: 00:03:0f:01:3a:5a, Dst: 00:e0:4c:d7:65:cd
Destination: 00:e0:4c:d7:65:cd(RealtekS_d7:65:cd)
Source: 00:03:0f:01:3a:5a(DigitalC_01:3a:5a)
Type: 802.1X Authentication(0x888e)
Trailer: A5A5A5A5A5A5A5A5A5A5A5A5A5A5A5A5...Frame check sequence: 0xa5a5a5a5(incorrect, should be 0x4ec1ac73)
802.1x Authentication
Version: 1
Type: EAP Packet(0)
Length: 22
Extensible Authentication Protocol
Code: Request(1)
Id: 2
Length: 22
Type: MD5-Challenge [RFC3748](4)
Value-Size: 16
Value: 1CBFEE2149E38D2928DABB4772D285EB
5.客户端收到EAP-Request/MD5-Challenge报文后,用该加密字对口令部分进行加密处理(MD5)给交换机发送在EAP-Response/MD5-Challenge回应,交换机将Challenge,Challenged Password和用户名一起送到RADIUS 服务器进行认证。
Frame 199(94 bytes on wire, 94 bytes captured)
Arrival Time: Nov 27, 2006 16:27:39.446161000
Time delta from previous packet: 2.879158000 seconds
Time since reference or first frame: 11.083096000 seconds
Frame Number: 199
Packet Length: 94 bytes
Capture Length: 94 bytes Ethernet II, Src: 00:e0:4c:d7:65:cd, Dst: 01:80:c2:00:00:03
Destination: 01:80:c2:00:00:03(Spanning-tree-(for-bridges)_03)
Source: 00:e0:4c:d7:65:cd(RealtekS_d7:65:cd)
Type: 802.1X Authentication(0x888e)
802.1x Authentication
Version: 1
Type: EAP Packet(0)
Length: 76
Extensible Authentication Protocol
Code: Response(2)
Id: 2
Length: 30
Type: MD5-Challenge [RFC3748](4)
Value-Size: 16
Value: CBAC378ABB609123D2BB412840AEC614
Extra data(8 bytes): ***0
6.认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比,判断用户是否合法,然后回应认证成功/失败报文到接入设备。如果认证成功,则向交换机发出打开端口的指令,允许用户的业务流通过端口访问网络。否则,保持交换机端口的关闭状态,只允许认证信息数据通过。
Frame 205(243 bytes on wire, 243 bytes captured)
Arrival Time: Nov 27, 2006 16:27:39.632706000
Time delta from previous packet: 0.186545000 seconds
Time since reference or first frame: 11.269641000 seconds
Frame Number: 205
Packet Length: 243 bytes
Capture Length: 243 bytes Ethernet II, Src: 00:03:0f:01:3a:5a, Dst: 00:e0:4c:d7:65:cd
Destination: 00:e0:4c:d7:65:cd(RealtekS_d7:65:cd)
Source: 00:03:0f:01:3a:5a(DigitalC_01:3a:5a)
Type: 802.1X Authentication(0x888e)
802.1x Authentication
Version: 1
Type: EAP Packet(0)
Length: 225
Extensible Authentication Protocol
Code: Success(3)
Id: 0
近些年, 因企业忽视网络信息安全导致商业机密泄露, 给国家造成重大经济损失的事件屡见不鲜。随着应用系统在企业内部的推广应用, 员工的网络行为安全越来越受到重视。另外, 国家相关文件要求加强信息安全保障工作, 建立完善的信息安全保障体系, 并提出了对关键信息系统实施等级保护的要求。企业根据自身实际情况, 应该提出企业自己的信息安全保障体系架构, 建立集中身份管理与统一认证平台, 实现关键和重要系统的用户身份安全认证, 提高用户身份管理效率, 保证系统访问的安全性。
2 身份认证架构设计
2.1 设计原理
通过强认证机制满足内控中用户访问信息系统的安全控制目标, 并达到等级保护明确提出的双因素认证等更高标准的合规要求;集中的流程化身份管理系统中固化了账号申请、开通、管理与定期审阅等控制措施, 在确保整体达到合规要求的同时, 提高了用户身份与账号管理工作的效率。
2.2 设计原则
信息安全技术防护需要覆盖网络、系统、应用与终端等层面;应用安全主要依托于身份管理与认证项目;网络与系统层面的安全防护主要通过安全配置规范开发与网络安全域实施等两个项目实现, 而用户终端的安全防护则主要依托于桌面安全管理项目加以提升。通俗地说, 应用安全要做到让非法用户“进不来”、“偷不走”、“赖不掉”;而身份管理与认证项目的主要目标就是确保“坏人进不来”, 并通过数字证书、审计日志实现并支持系统访问乃至业务层面的“坏事赖不掉”。而且有序的身份管理机制, 也能够帮助各应用系统自行实现的权限管理机制更好地达到“偷不走”的目标。
2.3 模块架构
(1) 身份认证系统支持平台。
(2) 兼容的应用软件和操作系统。
(3) 客户端应用程序。
(4) 各种Web服务器。
(5) 统一的管理界面。
(6) 支持各种介质。
2.4 方案选定
结合大中型企业自身业务现状, 身份认证管理员为使用者制作证书的环节交换数据量大, 需要频繁、高速的交换, 故采用C/S模式在桌面安装单点登录软件。这样可以充分发挥C/S的专用性强、交互性强、速度快等优点。对于用户登录各自系统采用B/S方式, 可以利用Microsoft Internet Exploer浏览器及时发布和获取信息。应用Microsoft IIS Web Server服务器对数据进行维护和管理, 将身份认证系统信息存在USBKey中, 支持数字签名和PKI体系, 登录系统采用USBKey硬件和PIN码相结合的形式, 充分保证身份的认证和网络行为的安全。
3 安全性分析
越来越多的应用系统被放置于网络中, 企业涉密信息的安全性受到冲击, 数字认证技术应运而生。然而, 数字身份认证系统本身的安全性也越来越重要。概括起来, 认证系统对安全的最基本要求如下:
(1) 身份鉴别 (Authentication) 。认证系统中的管理员和用户的身份需要鉴别, 只有确定操作者的真实身份才能允许其进入系统。
(2) 数据的机密 (Confidentiality) 。对敏感信息进行加密, 即时别人截获数据也无法得到其内容。
(3) 数据的完整性 (Integrity) 。数据在传输过程中是否被人截获并篡改至关重要。
(4) 不可抵赖性 (Non-Repudiation) 。操作一旦完成, 发送方不能否认他发送的信息, 接收方则不能否认他所收到的信息。
4 身份认证在企业中的应用
建立集中身份管理与统一认证平台, 实现关键和重要系统的用户身份安全认证, 提高用户身份管理效率, 保证系统访问的安全性, 包括:
(1) 建立集中的用户身份管理及统一认证服务平台。
(2) 实现身份管理与统一认证服务和应用系统的集成。
(3) 建立统一的数字证书强认证体系。
(4) 通过建设身份管理与访问控制系统 (IAM) 和公共密钥体系 (PKI) 基础设施, 提高用户身份管理效率, 保证系统访问的安全性, 并为各集成的应用系统提供。
(5) 信息系统用户使用比口令更安全易用的USBKey登录应用系统。
5 总结
身份认证技术是数字签名、身份认证、数字证明的集合, 是计算机网络中确认操作者身份的一种方法, 保证了身份的真实性和不可抵赖性。随着ERP等系统在企业内广泛应用, 系统的安全性也显得越来越重要, 建立集中身份管理与统一认证的服务平台是大势所趋。身份认证系统可以实现关键和重要系统的用户身份安全认证, 提高用户身份管理效率, 保证系统访问的安全性, 为企业各类业务数据网上运维提供了保障。
摘要:身份认证是基于公钥基础设施体系建立起来的网络安全技术, 通过对称和非对称算法及数字证书、数字签名等技术, 实现了网络行为的安全性和唯一性, 保证数据在传输过程中不被篡改;保证身份的真实性、不可伪装性和不可抵赖性。
关键词:数字证书,安全,身份认证
参考文献
[1]李晓航.认证理论及应用[M].北京:清华大学出版社, 2009.
[2]李晓航, 王宏霞, 张文芳.信息安全概论[M].北京:高等教育出版社, 2003.
[3]王群.计算机网络安全技术[M].北京:清华大学出版社, 2008.
关键词 数字水印技术 版权保护 内容认证
中图分类号:TP309 文献标识码:A
在计算机以及网络通信快速发展的新时代,数字媒体中的图像、视频、音频等功能优势凸显,随着而来的数字媒体的信息安全、知识保护与认证成为一个重要课题。因此,要在数字水印技术上进行全面运用,提升加密处理的有效方法,形成在网络环境下知识产权保护与认证来源的技术运用。
1水印技术
水印技术是一种传统加密方法的技术运用方式,是不被感知地在作品中嵌入信息的操作行为。数字水印技术具有相应的特点,其中,水印是一种不可感知的,与传统的条形码不相同,水印不会减损图像的整体美观度。同时,水印与其嵌入的作品形成密不可分的关系,在作品进行相应转换以及格式变换的情况下,也不会出现消除的现象。此外,水印技术的运用,可以为查询变换情况提供良好的帮助。从目前水印技术的运用来看,主要包括有鲁棒型水印、脆弱型水印、半脆弱性水印三种,这三种水印技术分别运用与数字图像的知识产权保护、内容图像完整性以及可信度的验证等。通过数字水印技术的运用,具有一定的保护优势。其中,水印技术不需要辅助的数据,对于处理旧文件过程中,没有多余的空间储存数据等。还能承载作品相同的变换,在作品进行转换的过程中,内容变化,水印也会发生变化。通过相应的对比,可以清晰的查看出水印的修改情况,掌握基本的内容,对于修改的痕迹有很明显的把握。从目前水印技术的应用来看,主要包括有精准认证、选择认证以及局域化认证与作品重建等方面的内容。
2精准认证的运用方法
精准认证主要运用在对作品是否有被改变的判断中,可以从两个方面进行技术运用。
2.1脆弱水印技术
从数字水印精准认证的技术分析来看,脆弱水印是指作品在发生任何形态的转换之后,形成一些不可测的标志,脆弱水印技术能从中检测到一个非常脆弱的水印。这样可以判断出是否有被改变的可能性。对于是否有修改能形成精准的判断。比如,通过使用图像的半色调进行信息隐藏,采用视频利用MPEG编码表示水印,这样,可以有效的检测到是否有被恶意修改的可能。
2.2嵌入签名技术
嵌入签名技术主要是通过对认证签名嵌入载体作品之中,可以减少一般认证签名信息丢失的风险性,在格式被转换的情况下也不会轻易的丢失信息。因此,通过嵌入签名认证技术,可以有效的确认与作品计算出的签名是否相同。在有效的避免嵌入水印的过程中对作品造成的改变,可以从认证与存放水印两个方面进行控制。为了更好的实现精准度,可以通过擦除水印来解决这些问题。
3选择认证技术的运用
选择认证技术是指在图像与音频的剪辑过程中,在少年比特的改变不会造成原作品发生改变的情况下,即使有出现相应的修改之后的比特现象,但在整个视觉与听觉中不会出现相应的改变。
3.1半脆弱水印技术
在半脆弱水印技术的运用中,主要是指能承受合理失真,但又不会被不合理失真损坏的水印。半脆弱水印能在一定程度的信号处理中,将正常的信号处理与恶意篡改的形成有效的区分,在篡改现象出现的同时,可以提供篡改的破坏量精准的位置,并帮助分析被篡改的相应类型,这样,能有效的保护好内容的真实性。主要是通过鲁棒性水印,从而使其在失真达到相应程度实效的情况下,获取半脆弱水印。
3.2嵌入式半脆弱签名技术
半脆弱水印如同它们的脆弱部分一样常常不能抵抗恶意修改,因为他们都屈从于拷贝攻击。如认证水印只嵌入到高频的DCT块的系数中,一个不合理的失真只改变了低频部分,而保持高频不变,水印自然也不会受到影响,这时系统就会错误地认为图像可以通过认证。在通过嵌入式半脆弱水印技术的运用,对块状内容中出现的被修改或者被转换的内容,可以形成水印技术的检测。这种技术具有相应的技术优势,能形成不同的水印表现,不同作品具有不同的表现,也不会引起相应的保真度的问题。
4局部认证技术的运用
局部认证作为一种基于水印的认证方法,能有效的辨别出做作品被修改的次数与相应的区域,还可以对剩余没有被修改的内容进行有效的证明。并通过对被修改内容的精准分析,可以对修改动机、失真的合理性以及相关嫌疑人进行有效的认证。可以从基于块的内容认证与基于样本的内容认证两个方面进行技术分析。其中,基于块的内容认证主要是对作品许多郴相交的时间与空间区域,进行相应的认证运用,这样,在作品被修改的过程中,就能掌握具体的被修改的区域的内容。基于样本的内容认证,主要是对块内容进行系统局域化的空间敏锐性分析,在块大小上进行相应的技术处理,减少块尺寸大小对安全问题的风险控制等。在局部认证技术应用中,对于相应的个人身份显示,比如身份证、护照、驾驶证等形成一定的局部认证,能有效的辨别出真假,并对作品形成局部的保护,形成一种无法仿制与复制的整体功能,从而有效的加强对作品真实性的保护力度。
5作品重建技术运用
通过水印可以判断一幅作品是否被修改,甚至判断出修改位置及修改方式, 同样, 我们可以通过水印将被修改的作品重建。重建有两种策略:精确重建和近似重建。其中,精确重建将作品恢复到初始的状态(即目标是重建作品的每个比特都和原作一致)。将作品简单地看做比特的集合,纠错编码(ECC)是作品传输中表示的一部分,一个作品中可以有许多不同的纠错编码,而且这些元数据可以用水印来表示。近似重建是一个和原作品有一定差别的作品,但和原作没有显著差别。 在技术重建的使用中,通过对作品重建技术的使用,能形成对作品整体功能的恢复,尤其是在被篡改的作品中,对于作品的失真性能构成很大的帮助,能有效的实现对作品的整体保护。并在重建的过程中,形成纠错编码的技术转换,在近似原作品的修复中,可以形成对目标控制的整体功能,从而为知识产权的保护提供良好的帮助。
6结语
数字水印技术与现代信息化发展有着很大的关联性,在图像处理以及内容认证方面有着很大的作用,尤其是在知识产权保护方面,通过数字水印技术与密码处理技术的有效结合,并采用智能开发技术,形成多种媒体类型的水印互操作的软件开发,能有效的对内容保护形成很大的效果,增强知识产权保护的整体力度。
参考文献
[1] 袁莉.数字水印的应用及攻击类型[J].长春师范学院学报,2005,11.
[2] 唐庆生,佘堃.基于离散小波变换的数字水印技术[J].成都信息工程学院学报,2005,01.
[3] 田震,陈高兴,李改肖,王斌.中国数字海图生产与版权保护[J].测绘科学,2005,04.
智研数据研究中心网讯:
内容提要:为了降低网上银行交易风险,中国银监会要求网上银行必须采用双因素认证方式。目前,银行主要采用USBKey作为认证工具,对交易操作进行身份认证,受此拉动,中国USBKey市场规模逐渐扩大,销售量及销售额都实现较大幅度增长。
互联网的发展,带动了信息产业的发展,同时也带来了日益严重的信息安全问题,身份认证作为信息安全防护的第一关,承担了至关重要的作用。提高身份认证水平需要从认证技术和方法着手,采用更加先进的技术和方法。
基于静态口令的认证方式是一种最常见的技术,但是存在严重的安全问题。
它是一种单因素的认证,安全性依赖于口令,口令一旦泄露,用户存在被冒充的风险。而双因素认证将两种认证方法结合起来,比单因素认证更为安全,目前广泛使用的双因素有:动态口令牌+静态密码、USBKey+静态密码、二层静态密码等。
目前,国内外不少信息系统还在使用用户名/密码的认证方法,存在较大的安全隐患,而身份认证系统可以根据信息保密要求的不同,对不同的用户通过访问控制设置不同的权限,并采用多种身份认证方式(用户名/密码方式、USBKey、动态口令、IC卡认证、生物特征认证)相结合的方法,与简单的用户名/密码的认证方式相比,安全风险得以降低。
目前,身份认证产品已被应用于网上银行、证券、工商税务、电子政务、电子商务以及其他领域,主要包括USBKey市场、OTP动态令牌市场、软件加密锁市场、智能卡市场(尤其是在EMV迁移下金融IC卡以及与金融IC卡相关的读写器市场)等。
1、USBKey市场
USBKey产品被用作客户身份认证与电子签名的数字证书和私有密钥的载体,主要用于网上银行、证券、工商税务、电子政务、电子商务以及其他领域。
(1)市场规模USBKey产品作为网上银行采用的安全保障产品,随着网上银行应用的逐步普及,市场规模正逐渐扩大。
为了降低网上银行交易风险,中国银监会要求网上银行必须采用双因素认证方式。目前,银行主要采用USBKey作为认证工具,对交易操作进行身份认证,受此拉动,中国USBKey市场规模逐渐扩大,销售量及销售额都实现较大幅度增长。据中国信息产业商会智能卡专业委员会研究显示,2013年,国内USBKey市场
销量为1.3亿支左右,市场规模约40-50亿元,到2015年将达到1.8亿支左右,市场规模约50-60亿元,销量年均复合增长率将保持在20%左右。
USBKey存储的数字证书一般均有有效期,证书到期后必须更换数字证书,否则就无法使用。另外,随着时间的推移,技术的进步,原产品也存在更新换代的需求,这将带来USBKey安全产品存量市场的更新需求。
(2)市场结构据中国信息产业商会智能卡专业委员会研究显示,2012年各领域市场份额如下图所示:
由于银行业对信息安全要求较高,随着网上银行使用范围日益扩大,越来越多的用户开始将网上银行作为其工作和生活不可或缺的金融服务手段,因此,目前银行领域USBKey市场占比最多,但随着其他领域信息安全意识的增强,其他领域市场规模也将呈现逐步增加的趋势。
(3)市场分布目前,USBKey市场主要集中在对信息安全要求较高的领域,银行是USBKey产品主要的需求方。
地域分布则重点集中在东部沿海经济较为发达,网络应用较为活跃的地区,例如华南、华东、华北地区,2012年国内个人网银用户前述三个区域占比超过60%,具体分布如下:
(4)未来发展趋势作为转账和支付工具,网上银行的快捷便利逐渐得到人们的认可。据中国金融认证中心(CFCA)发布的《2013中国电子银行调查报告》显示,中国电子银行业务连续四年呈增长趋势,其中,全国个人网银用户比例较2012年增长了1.7个百分点。在企业网银方面,2013年企业网银用户比例为63.7%,较去年增长10个百分点;与此同时,手机银行业务展现出巨大潜力。2013年全国地级及以上城市城镇人口中,个人手机银行用户比例为11.8%,较去年增长近3个百分点,连续3年呈增长趋势。但同时,“网上银行安全”也成为网上银行进一步发展的主要瓶颈。中国金融认证中心(CFCA)2012年的调查显示,有75%的非网上银行用户由于担心安全性而不愿尝试,而网上银行安全问题通常出在用户端。未来,随着技术的进步,科学知识的普及和产品的成熟,网上银行安全性将得到进一步的提升,身份认证信息安全产品市场有望继续保持较高的扩展速度。
2、OTP动态令牌市场
(1)OTP动态令牌动态令牌(One-TimePassword,简称OTP)是身份认证的另一类技术手段,主流产品是基于时间同步方式,通过每隔一段时间变换一次动态口令,产生动态数字进行“一次一密”的方式认证。此外还有事件型和挑战应答型的令牌。
由于OTP动态令牌产品具有①脱机产品,可以摆脱电脑环境操作,客户端无需安装;②拓展性好,适用于手机银行、电话银行和网上银行,多个系统可以共享一个OTP动态令牌;③OTP动态令牌对用户电脑知识要求较低,具有便于操作和维护等特点,同时在非互联网环境下也可以使用,是国内外市场广泛应用的身份认证产品之一。
(2)市场规模目前,国内工商银行、中国银行、大连银行、新韩银行等银行和百度、搜狐、淘宝、腾讯及其他一些企事业单位已经开始使用动态令牌。2012年5月,中国人民银行印发的《网上银行系统信息安全通用规范》
(JR/T0068-2012)把OTP动态令牌列为网上银行专用安全辅助设备,进一步推
动了OTP动态令牌的使用和推广。据中国信息产业商会智能卡专业委员会研究显示,考虑银行业外的其他行业需求,目前OTP动态令牌产品国内市场容量5-6亿元左右。未来,随着OTP动态令牌市场应用的逐步增加,其市场规模将进一步扩大。
USBKey、OTP动态令牌用于密码保护,均属于《网上银行系统信息安全通用规范》中规定的网上银行专用安全辅助设备,具有一定的可替代性。
另外,动态令牌产品需要安装电池以提供能源,由于电池嵌入在产品中,无法单独更换电池,到期必须整体更换,因此,OTP动态令牌存在存量市场的更新换代需求。
3、加密锁市场
(1)加密锁及工作原理加密锁(Dongle)用于软件和数据保护,是另一类软件和数据的身份认证产品,它包含一个安装在计算机USB口或并口上的硬件,及一套内容丰富的SDK开发包,包含多种编程语言的API接口库、示例、用户手册及工具软件等。加密锁基于硬件保护技术,其目的是通过对软件与数据的保护防止知识产权的非法使用。主要作用:①软件不被盗版;②保护数据不被泄露或非法使用;③简单易用的远程升级;④提供丰富的软件及数据发布模式(试用、租赁、授权、分模块销售等)。
智能卡加密锁的技术原理是:在智能卡加密锁软件保护方案中,PC端应用软件的关键的代码和数据“消失”了,被安全地移植到智能卡加密锁的硬件中保护起来。在需要使用时,应用软件可以通过功能调用引擎来操作智能卡加密锁运行硬件中的关键代码和数据并返回结果,从而依然可以完成整个软件全部的功能。由于这些代码和数据在PC端没有副本存在,因此解密者无从猜测算法或窃取数据,从而极大程度上保证了整个软件系统的安全性。简言之,智能卡加密锁提供了一套可信的解决方案,从理论上保证软件加密的安全,是目前市场的主流产品之一。
(2)加密锁市场状况加密锁市场技术已经趋于成熟,客户主要为软件公司,据中国信息产业商会智能卡专业委员会研究显示,2013年国内加密锁产品市场容量约1亿元左右,其中飞天诚信和北京深思洛克软件技术股份有限公司占据了国内市场的大部分份额。
4、IC卡及读写器市场
IC卡作为信息存储的载体,同样面临持卡人身份认证和信息安全的问题,也是信息安全业的重点关注领域及其产品应用市场。
(1)IC卡产品及其发展状况IC卡是将经过专门安全设计的CPU封装在标准尺寸卡片内的安全产品。卡内部数据和密钥受到内置的IC卡操作系统的保护,外部不可能越过COS的控制直接对卡内的数据或密钥进行操作。IC卡可以使用接触或非接触式方式通过读写器与外部系统通信。根据《国家金卡工程全国IC卡
应用(2008-2013)发展规划》,IC卡与RFID产业的创新发展、IC卡“一卡多用”、“多功能卡”的发行、电子标签应用试点、银行IC卡与行业性IC卡应用的融合发展等将是未来5年的发展重点。
(2)EMV迁移下IC卡的市场机会中国人民银行发布的《2013年支付体系运行总体情况》统计数据显示,截至2013年末,全国累计发行银行卡42.14亿张,同比增长19.23%。但目前的银行卡多数都是磁条卡,存在被复制的风险,安全性较差。2011年3月,中国人民银行发布《中国人民银行关于推进金融IC卡应用工作的意见》,决定在全国范围内正式启动银行卡芯片迁移工作,“十二五”期间将全面推进金融IC卡应用,以促进中国银行卡的产业升级和可持续发展。IC卡市场需求将迎来高速发展期,据中国信息产业商会智能卡专业委员会初步预计,金融IC卡升级带动的软硬件升级市场需求超过500亿元。
EMV迁移的目的是在金融IC卡支付系统中建立卡片和终端接口的统一标准,使得在此体系下所有的卡片和终端能够互通互用,并且该技术的采用将大大提高银行卡支付的安全性,减少欺诈行为。EMV迁移下,中国目前所采用的磁条式银行卡将迎来全面向IC卡的升级换代,IC卡产业可能迎来爆发式增长时机。
(3)IC卡技术发展趋势IC卡的“一卡多应用”是其发展的必然趋势,《国家金卡工程全国IC卡应用(2008-2013)发展规划》中指出:“要坚持以人为本,从方便企业和公众的使用出发,积极推行IC卡的一卡多用,加强协调、规范IC卡发放工作,推进IC卡全国统一、联网使用,尽量减少IC卡发行的种类”。Java是一种可以撰写跨平台应用软件的面向对象的程序设计语言,Java技术具有通用性、高效性、平台移植性和安全性等特点,可应用于个人PC、数据中心、游戏控制台、科学超级计算机、移动电话和互联网,同时拥有全球最大的开发者专业社群,是实现IC卡的“一卡多应用”的较好工具。
Java卡是Sun公司微系统为IC卡开发平台而制定的一个开放的标准,使用Java卡平台创建的IC卡上存有Javaapplet,在卡发行后也可以把applet加到卡上或修改卡上已有的applet,把数据存储在一个集成的微处理器芯片里。然后applet被下载到微处理器的内存里,由Java虚拟机来运行。Java卡使多个应用程序被安装并且各自独立地共存,每个applet都被防火墙保护以维护其完整性并防止干扰,应用程序可以动态地升级。Java卡应用是一种集合了IC卡、应用系统以及安全协议于一体的综合应用,可以方便地实现“一卡多应用”,目前欧洲流行使用Java卡,Java卡是IC卡发展的主要方向。目前国内市场上成熟的Java卡产品还较少,各家公司起步差距不大,新进入者未来发展机会较大。
事业单位工人身份女专业技术人员的退休年龄问题
事业单位工人身份的女同志,在专业技术岗位上连续工作了近二十年,退休时却要按五十周岁退休.也没有填 退休 表 根据;
女性工勤人员达到法定50周岁退休年龄时,其在专业技术或管理岗位上受聘满10年的,若工作需要,本人和单位同意,经主管部门批准,可续聘到55周岁办理退休手续。对需延退的人员,单位要在其达到法定退休年龄的前三个月,将个人申请、满10年受聘情况、单位意见及主管部门批准的相关材料报市人事局专技科备案 市委组织部、市人事局《关于南平市机关事业单位工作人员办理退休手续有关问题的通知》(南委组综〔2010〕38号)第三点:女性工勤人员受聘专业技术或管理岗位符合延退条件的退休手续。根据《福建省人事厅转发人事部关于事业单位试行人员聘用制度有关工资待遇问题的处理意见(试行)的通知》(闽人发[2005]9号)和《南平市人事局关于事业单位岗位设置管理工作若干问题的处理意见(暂行)》(南人综[2010]40号)文件规定,女性工勤人员达到法定50周岁退休年龄时,其在专业技术或管理岗位上受聘满10年的,若工作需要,本人和单位同意,经主管部门批准,可续聘到55周岁办理退休手续。对需延退的人员,单位要在其达到法定退休年龄的前三个月,将个人申请、满10年受聘情况、单位意见及主管部门批准的相关材料报市人事局专技科备案 市委组织部、市人事局《关于南平市机关事业单位工作人员办理退休手续有关问题的通知》(南委组综〔2010〕38号)第三点:女性工勤人员受聘专业技术或管理岗位符合延退条件的退休手续。根据《福建省人事厅转发人事部关于事业单位试行人员聘用制度有关工资待遇问题的处理意见(试行)的通知》(闽人发[2005]9号)和《南平市人事局关于事业单位岗位设置管理工作若干问题的处理意见(暂行)》(南人综[2010]40号)文件规定,女性工勤人员达到法定50周岁退休年龄时,其在专业技术或管理岗位上受聘满10年的,若工作需要,本人和单位同意,经主管部门批准,可续聘到55周岁办理退休手续。对需延退的人员,单位要在其达到法定退休年龄的前三个月,将个人申请、满10年受聘情况、单位意见及主管部门批准的相关材料报市人事局专技科备案
时间荏苒,在忙忙碌碌间,我即将走过充满挑战和感动的2016年,回顾一年来的工作,我在上海公司总经理宋虹老师、部门经理邹玉萍老师的正确领导、以及各部门的积极配合还有各位同事的支持协助下,严格要求自己,按照公司要求,较好地发挥了上海公司食品客服部、上海实验室食品审核部的部门职能、完成了自己的本职工作,并积极创新开拓,增加我们上海实验室报告的准确性,高效性。在上海公司日新月异发展壮大的同时,能作为这个集团里的实施者和见证者,我感到十分得荣幸和自豪。下面我来介绍一下我这一年的工作情况,我个人负责的技术工作可以分为一下几个方面。
一、食品客服部总结
在今年年初,在公司的样品量逐步扩大,而技术人员相对紧缺的环境下,我主动要求到食品客服部来协助客服人员完成前期技术方面的工作,在客服部吕冬梅老师的领导下,成绩显著。我在客服部主要负责技术支持的工作,虽然这个岗位相较后期实验室的工作来说技术性不是特别强,但是这个工作对于后期出报告的时效性有着不可言喻的关系,挑战性也很大。
技术支持主要是包含技术方案、合同评审以及技术咨询三块工作,而论起重要性,这三块对于创造公司的利益以及节省成本方面尤为突出。
首先是工商食药监抽检技术方案,针对客户需要完成的抽检任务,确定抽检品种,抽样方法,样品量,检测项目、检测依据、判定依据以及注意事项等,并积极配合新客户的任务需求,对方案的抽样类别进行大类、亚类、次亚类、细类的细化、对于生产、流通、餐饮不同抽样环节的不同抽样方法的细化,并对于检测项目是否有带入、是否有本底值、有假阳性、不能检测和判定的项目、判定依据内有限定条件的项目、抽检时容易存在不合格的项目、食药监总局的要求以及结合上海公司在CMA资质的项目继续对方案进行优化,做到滴水不漏。
在符合上述条件的前提下,今年我完成了2016年安徽省国抽、省抽;江苏省国抽、省抽;芜湖办、南京办、无锡办、南通办、宁波办、杭州办、苏州办、昆山办、上海市局、上海各区分局等办事处的前期方案编制和审核工作。其次是合同评审、这个工作是年初主任着重强调的,在客户已和我司签订委托检测合同后,对于委托协议书、项目清单的审核,我针对委托单位和付款单位的一致性、样品规格与样品量的对应性、样品量是否足够、检测方法和项目的一一对应性、检测方法、判定依据是否准确、项目是否能检测、是否存在方法偏离、需要判定的报告的标准适用性、样品等级类别是否已确认、盖章的报告的资质审核、收样章、客户签字是否齐全等等、在完成了这些工作之后,收效显著、我司在这段时间里的报告的时效性大大提高。
第三是技术咨询、由于市场不断在新陈代谢、产品的质量安全每天都是客户以及大众关心的话题,所以每天都有不同的客户以及顾客来我司咨询项目以及技术方面的问题,在我力所能及的范围内,我都知无不答、而且力求回复都是准确、快速,在我回答不了的时候我都会寻求实验室以及领导的帮助,一起完成咨询、报价等工作,我觉得在此过程中我又学到了很多东西。
二、审核人工作总结
今年下半年,由于公司人员方面的调动,我重新回到了食品审核人部门、完成下半年食品报告的审核工作。审核报告的时候,针对客服下单,分任务的准确与否,检测依据的适用性,判定标准的实施,适用范围、原始记录开具的规范性、合理性、数据的精密度、以往客户来样送检的经验等等,都有了更加深刻的认识,在处理疑难问题时,我本着准确、高效、团结的原则,做到尽可能在短时间获取有用信息,并传达各部门一起在最短时间内把报告处理得完整、正确;我已经能独立审核工商食药监的模板、以及普通食品、饲料、有机食品的报告以及处理合格不合格的信息了,并且针对实验室以及其他部门提出的问题,我能够第一时间切中要害,找出问题究竟处在哪里并且妥善解决,避免下次类似的事件再次发生。另外还积极总结食品标准的不完善的地方并和部门同事分享已经整理好的食品标准,增加审核的准确度。此外、我还参与了食药监方案的审核工作、由于新的技术支持马磊在经验上存在一些不足,我需要配合他完成下半年食药监前期方案的编制工作。
另外今年下半年我协助完成了苏州实验室扩项前的准备工作,针对典型报告以及现场实验的报告进行原始记录、文字信息、检测依据、委托书、流转单、报告的审核工作,保证公司扩项工作的顺利进行。
另一方面,今年来了很多新的审核助理,在新人工作流程培训,岗位职责描述,提升工作效率和团队协作能力上我也做的十分出色。
三、自身存在的不足
通过近1年的工作,我也发现了自身存在的很多缺点与不足。例如与同事们沟通少,学习工作的主动性不强,又容易急躁,在很多事情的处理上都不成熟,做不到统筹规划。这些都是导致工作出现错误、给同事带来麻烦的主要原因。在今后工作中,除了一如既往地听从各级领导安排,虚心向各位领导和同事学习他们对待工作的认真态度和强烈的责任心外,也应该加强与同事之间的沟通交流,通过不断学习和总结增加自己的知识面,逐步加强和丰富自己的业务知识的学习,努力提高工作水平,以至把每一项工作都做到位、做好。同时更应该加强个人修养,修正自己的行为,自觉加强学习。也希望大家在我做的不好的地方及时的加以纠正和批评,我都会虚心的接受并改正。
四、下年计划
对我个人而言,今年又是收获颇丰的一年。这一年中我个人技术方面的能力、处理部门问题的能力,各部门协调的能力又有了一个质的飞跃。我和大家一样都经历着成长、挫折、收获、成熟;不论是生活还是工作都让我重新审视了自己以往做人做事的态度和方式,得到了成长。在领导和同事们的支持和帮助下,我的各方面所得到的锻炼都使我受益匪浅。在此,我真诚的向各位领导和同事表达我深深的谢意,感谢大家在这段时间给予我的足够的宽容、鼓励和帮助。
2017年,我要认真总结经验,戒骄戒躁,努力工作,力争取得更大的工作成绩。以崭新的工作风貌、更高昂的工作热情和更敬业的工作态度投入到办公室的各项工作中。从小事抓起,从服务抓起,进一步强化自己能力以及组内人员的协调,发挥每个人的主观能动性、为整体推进公司的发展贡献自己的一份力量,为公司整体工作目标的实现发挥我应有的作用。
XXX
随着网络和信息技术的飞速发展, 社会信息化程度越来越高, 信息安全越来越受到人们的重视。便捷高效的电子政务、电子商务、其它信息服务越来越被人们接受, 网上办公、网上交易、个人信息交换等逐步普及, 但同时伴随着网络木马、病毒等恶意程序肆意泛滥, 使得人们在网上的信息处理极不安全, 网上盗窃、假冒等行为严重, 致使目前网络信息应用系统存在如下安全问题:
(1) 某些应用系统用户设置了过于简单的口令, 仅依靠用户名和口令登录系统。这种单一的弱认证登陆方式缺乏安全可靠的身份认证, 无法在传输前确认信息收发双方身份的真实性和可靠性, 无法满足对身份认证的高可靠性要求, 无法保证这些用户登录系统认证的安全性。
(2) 多系统、多账户缺乏统一的用户身份认证。对于经常发生的用户权限变更和密码丢失事件, 需要耗费系统管理员大量时间和精力去处理, 易由于误操作引起安全事故, 迫切需要一个统一管理平台进行自动管理。
由于以上问题的出现, 使得行业内部人员有机会进行越权访问或是被某些网络黑客非法入侵系统, 利用木马病毒仿冒系统平台或网站进行网络欺诈, 盗取用户名和密码, 侵入系统窃取企业、商务机密, 所以必须加强信息系统身份认证的强度。因此需要通过一种集中、统一的技术实现方式实现一个统一的身份认证安全管理平台, 有效解决当前存在的各种安全问题, 能够为目前信息系统应用环境建立起一道可靠的安全屏障。运用目前比较先进的数字身份认证技术, 基于企业内部比较完善的PKI体系建立的统一身份认证平台 (IAM) , 可以很好的解决如上信息系统存在的诸多安全问题。
2 身份认证技术浅析
2.1 身份认证技术概述
在信息技术中, 所谓"认证", 是指通过一定的验证技术, 确认系统使用者身份, 以及系统硬件的数字化代号真实性的整个过程。其中对系统使用者的验证技术过程称为"身份认证", 主要是指在计算机网络系统中确认操作者身份, 识别、验证网络信息系统中用户身份的合法性和真实性, 按授权访问系统资源, 并将非法访问者拒之门外的过程。身份认证技术是指能够对信息收发方进行真实身份鉴别的技术。它是保护计算机系统和网络信息资源安全的第一道大门, 是最基本的安全服务。
2.2 身份认证技术分类
在网络信息系统中, 对用户的身份认证手段大体可以分为口令认证, 包括静态口令、动态口令。物理认证例如各种证卡和令牌包括智能卡、加密卡、USBKey认证、手机令牌认证。生物识别认证主要包括指纹、掌纹、视网膜、面部及声音认证。
以上认证方式按照认证的强弱可分为强身份认证和弱身份认证。按照认证需要验证的条件, 可以分为单重认证和双重认证。按照认证信息划分, 可以分为静态认证和动态认证。按照认证时是否使用硬件设备, 可以分为软件认证和硬件认证。
2.3 USBKey身份认证技术优势
基于USBKey的身份认证方式就是采取了上述认证方式的一种。它是近几年发展起来的一种方便、安全、经济的身份认证技术。它采用软硬件相结合一次一密的强双重认证模式, 很好地解决了安全性与易用性之间的矛盾。USBKey是一种使用USB接口的硬件设备, 在设备内部嵌入单片机或智能卡芯片, 可以存储用户的密钥或数字证书, 利用USBKey内置的密码学算法实现对用户身份的认证。它具备了上述认证方式所具有的双重验证机制即:用户PIN码加USBKey硬件标识。用户一旦丢失USBKey只要PIN码没有被攻击者窃取, 及时注销即可。攻击者窃得密钥若没有USBKey硬件也无法通过认证。目前, 基于USBKEY身份认证系统应用模式主要是基于PKI体系的认证模式。它是与PKI相结合, 首先在USBKey中存储有CA颁发的数字证书和用户密钥, 认证用户时首先认证用户PIN码, 然后通过访问PKI体系中的CA来验证数字证书。由于USBKey具有安全可靠, 便于携带、使用方便、成本低廉的优点, 使用USBKey存储数字证书的认证方式已经成为目前以及未来的主流, 正被越来越多的用户所熟悉和使用。
3 身份认证技术在信息系统中的应用
3.1 统一身份认证平台IAM概述
统一身份认证平台就是将多个应用系统集成到一个大系统、大环境中, 基于PKI的统一身份认证管理, 利用统一身份认证平台, 能够实现单点登录、认证服务、认证转发, 可以屏蔽对受保护服务的非授权访问等功能。用户身份的鉴别可以通过USBKey强身份认证手段来实现, 正确输入个人PIN码才可进入系统。通过基于PKI系统利用最新最安全的身份认证方式, 最终实现各业务应用系统登陆使用的安全。它不仅有身份鉴别、访问控制管理功能, 还集成了网络防火墙、路由器、数据库安全管理及数据加密等技术, 实现范围控制和内容安全管理, 与入侵检测、防火墙、病毒防护等安全系统配合使用。它在简单网络认证过程中, 加上身份认证代理, 使用户不能直接访问受保护的服务, 只能通过相当于网关的统一身份认证系统访问它。实施统一身份认证访问控制, 利用多种加密设备, 进行统一认证、授权、账号管理和审计管理, 经服务器代理访问受保护服务。
3.2 统一身份认证平台的应用效果
统一身份认证安全管理平台目前已在本企业内部推广应用。实施后可以解决各个系统薄弱环节和安全隐患。尤其是加强了系统的内部控制、外部管理、信息审计, 加强了计算机账号的监管, 减少了病毒木马的侵扰, 单点登录, 降低了工作复杂度, 保证了关键业务数据在网络上传输的保密性和数据同步。发现和及时阻挡了各种非法入侵行为, 避免了出现安全故障难以追踪, 保证操作的不可否认性。安全策略符合标准流程、法案法规的管理, 保证了用户“安全、高效、协调”运行。构筑了集防护、检测、反应为一体、动态适应的身份认证安全管理平台。该平台是目前比较安全的身份认证安全平台, 应用前景广阔。
4 结束语
身份认证技术是整个信息安全体系最基础的环节, 身份安全是信息安全的基础。目前在公司内部采用的基于PKI的USBKEY身份认证技术, 能够很好的保护各信息应用系统的安全, 但是在技术上仍然存在着缺陷和不足, 相信随着网络信息安全技术的不断发展, 在不久的将来会出现更多、更安全的身份认证技术。它们必将为各种网络应用系统提供有效的安全保障。
参考文献
[1]李中献, 詹榜华, 杨义先.认证理论与技术的发展[J].电子学报, 2003
关键词:数字水印;图像认证;半脆弱水印
中图分类号:TP391.41 文献标识码:A文章编号:1007-9599 (2011) 03-0000-02
Implementation of Image Authentication Technique Based on Watermarking
Liu Pengcheng
(Yuanpei College,Shaoxing University,Shaoxing312000,China)
Abstract:Digital watermarking technique is important in the image authentication.The image embedded watermarking is secure,reliable,easy to operate,difficult to forge on authentication.Therefore,it has enormous social and economic applications.Watermarking technique for image authentication is mainly discussed in this paper.Moreover,a semi-fragile watermark algorithm is realized to detect whether the contents of the original image has malicious tampering.
Keywords:Digital watermarking;image authentication;semi-fragile watermark
一、课题研究背景和意义
图像水印技术的论述在1993年被Tirkel等人在一篇文章里首次提出来,而随后发表的一篇文章A Digital Watermark正式提出了数字水印这一术语。
1996年5月,国际第一届信息隐藏学术讨论会(IHW)在英国剑桥牛顿研究所召开,至今已成功举办了7次,数字水印在信息安全和经济上有着重要的地位,世界各国的科研机构,大学和商业集团都积极的参与或投资支持此方面的研究。
1999年在北京召开了第一届全国信息隐藏研讨会(CIHW),在中国电子学会通信学分会及北京电子技术应用研究所的组织和有关高校及科研机构的大力支持下,CIHW研讨活动至今已成功举行了九届全国会议。CIHW已成为国内最具代表性的信息隐藏及数字水印技术的专业学术交流活动。
数字水印在图像认证方面有着极其重要的意义。仅需要通过专用软件处理就可以将水印信息嵌入到图像中,认证时安全可靠,易操作,难以伪造,企业使用数字水印防伪技术后风险是零,消费者购买产品后不承担任何风险,其社会经济价值十分巨大。
二、自嵌入半脆弱水印算法
(一)水印信号的生成
Step1:对M*N像素色彩空间转换后的图像,提取Y分量得到对应的灰度图像I(x,y)。
Step 2:对灰度图像I(x,y)进行离散余弦变换,提取大小为(M/8)*(N/8)像素图像的12个低频系数作为图像特征。
Step 3:对图像特征集进行置乱操作,生成大小为(M/8)*(N/8)的待嵌入的水印w。
(二)水印信号的嵌入
Step 1:对M*N像素色彩空间转换后的图像,提取Y分量得到对应的灰度图像I(x,y)。
Step 2:对I(x,y)进行分块,分块大小为8*8像素,对每个分块矩阵进行DCT变换,得到大小为(M/ 8)*(N/ 8)个分块组成的DCT系数矩阵A(x,y)。
Step 3:在每个分块DCT系数中取出12个中频系数,使用加性原则在12个中频系数中分别嵌入一位水印。
Step 4:然后对图像分块进行IDCT变换,生成嵌入水印后的图像I’(x,y)。
(三)篡改檢测
Step 1:对M*N像素色彩空间转换后的图像,提取Y分量得到对应的灰度图像I(x,y)。
Step 2:对I(x,y)进行分块,分块大小为8*8像素,对每个分块矩阵进行DCT变换,得到大小为(M/ 8)*(N/8)个分块组成的DCT系数矩阵A(x,y)。
Step 3:在每个分块DCT系数中,取出12个中频系数。
Step 4:在每个分块DCT系数中,按照原来的算法提取大小为(M/8)*(N/8) 像素图像的12个低频系数作为图像特征,对图像特征集进行置乱操作,生成大小为(M/8)*(N/8)的待嵌入的水印w。
Step 5:对于每个DCT分块,计算其12个中频系数与对应的12位水印的相关系数NC,公式如下:
(式2-1)
Step 6:设定一个范围,对于每个DCT分块,若其NC值在此范围内,则说明该分块发生了篡改,将其用黑色标记出来,用于篡改定位。
三、性能评价与实验结果
(一)水印不可见性评价
峰值信噪比(PSNR):是把嵌入信号看作是加载到宿主图像上的噪声,观察其峰值信噪比。PSNR越大,就表示嵌入水印的图像失真越少。尽管这种方法具有局限性,但是它还是能够较好地比较水印的稳健性。PSNR的公式见式(3-1)。
(式3-1)
式中单位为dB,f为原始信号,w为水印信号,fw表示含水印图像,(m,n)表示像素点,Nf为图像总的像素数。
如图3-1所示分别显示了lena图的原始图像和嵌入水印后的图像,以及按照 (式3-1)所计算出的PSNR值。人用肉眼基本察觉不到嵌入水印前后图像的变化,从PSNR方面,35 dB左右就意味着水印几乎是不可感知的。用本文的嵌入算法算出的PSNR值为37.4657,说明水印有较好的不可见性。
(二)篡改定位准确性评价
为了验证本文算法的篡改定位准确性,使用了多种篡改操作进行实验,包括剪切操作,拼接操作,涂改操作,移位操作。
从实验结果看,本文算法可以比较准确的对以上各种篡改操作进行定位。
(三)抗JPEG压缩能力评价
本文使用质量因子80,60,40对原始图像进行JPEG压缩,然后对压缩后的图像进行篡改检测。
实验表明,对于JPEG压缩,当质量因子在60以上时,篡改检测算法对其不敏感,即有较好的抗JPEG压缩能力,认为其是合理操作。
四、结束语
本文主要研究基于水印的图像认证技术,并且实现了一种半脆弱自嵌入水印算法,用于检测原始图像的内容是否经过恶意的篡改。
使用MATLAB 7.0.1对本文的算法进行仿真实验,通过实验表明,本文算法不可见性较好,对于常规的JPEG压缩,虽然数据的变化的范围广但幅度较小,没有改变图像所表述的内容,所以不认为存在篡改,而对各种剪切,拼贴等恶意篡改操作敏感,定位较为准确。
参考文献:
[1]董刚,张良,张春田.一种半脆弱性数字图像水印算法[J].通信学报,2003,1:33-38
[2]刘振华,尹萍.信息隐藏技术及其应用[M].北京:科学出版社,2002
[3]李弼成,彭天强,彭波等.智能图像处理技术[M].北京:电子工业出版社,2004
[4]周明全,吕林涛,李军怀.网络信息安全技术[M].西安:西安电子科技大学出版社,2003
[作者简介]
【身份认证技术的应用】推荐阅读:
统一身份认证流程06-02
我的三个身份作文07-08
父亲的身份情感散文10-27
关于xx同志党员身份的证明11-06
身份证上的号码的意思11-13
有机食品的认证09-25
亮出党员身份07-14
身份关系证明10-28
身份代表制06-10
毕业生身份10-21
