认证应用(精选十篇)
认证应用 篇1
目前, 具有国际统一资质的焊接人员, 才是制造企业中的合格人才, 然而为了保障焊接制造企业的产品质量, 还需要对焊接制造企业实行质量管理体系的认证。
国际标准化组织和欧洲标准化组织都制定了焊接企业的认证标准, 即ISO3834。我国等同采用了ISO3834标准, 标准号为:GB/T12467。欧洲焊接联合会 (EWF) 还根据EN45011、EN45012和EA-6-02文件制定了EWF-483号文件, 并成立相应组织机构, 通过在成员国内授权一家国家焊接企业认证机构来实施焊接制造企业认证项目。为使我国焊接制造企业获得国际认证, 提高企业的国际竞争力, 中国焊接培训与资格认证委员会 (CANB) 拟借鉴EWF运做体系, 建立起我国自己的认证体系 (ANBCC) 。从1999年开始, 哈尔滨焊接技术培训中心 (WTIHarbin) 通过与德国杜伊斯堡焊接培训研究所 (SLV Duisburg) 合作, 在我国开展焊接企业认证的活动。
国际资质认证的企业数量近年呈现快速增长趋势, 同时获得认证企业的市场销售额普遍提高。
鉴于欧洲焊接联合会 (EWF) 要求成员国的认证工作的标准化、规范化, 本系统严格按照国际标准对焊接企业规定的要求和规范的评审流程制作开发, 细化了评审问题, 规范了评审流程, 为评审员的评审工作提供了方便。
2 需求分析与实现功能
认证评审工作的不断推广和发展, 越来越多的企业认识到国际资质的认证对企业发展的重要性, 同时评审员的评审工作步骤与方式等细节问题也要有统一规范的标准, 《焊接企业资格认证系统》根据德国《按照EN729-2焊接技术质量要求进行焊接认证的问卷》编写开发, 为评审工作提供了正确的工作流程, 而且数字化档案也需要这种科学的备份方式, 以便于后期的统计、比较和查询等工作的进行。
经过参考和比较国外焊接企业资格认证软件的模式, 本系统在严格遵照标准和评审流程的基础上, 建立简洁直观的人机界面。在评审过程中开启软件视窗, 点击评审问卷和输入少量数字化内容即可在评审结束时完成录入工作, 同时提供相关标准供评审员评审过程中参考。在确认录入工作结束后生成评审验收汇总表, 方便评审内容的汇总与横纵向比较。
比较的目的在于使评审员明确评审侧重点和提前注意评审过程中可能遇到的问题。
同时系统从评审员工作的需求出发, 增强了评审数据的精确度、完整性、时间性、灵活性、安全性等性能:
精确度:逐项对应输入各项数据, 要求符合本系统的输入格式, 便于查询与反向调用。
完整性:根据评审过程提示录入内容, 确保数据完整。
时间性:录入过程中需要输入评审时间, 便于后期查询与比较。
灵活性:同一评审数据可导入不同版本软件。
安全性:评审版本不同与数据库加密实现评审数据的安全性。
3 功能简介
3.1 权限管理
软件登陆权限分为两种:其一, 适用于评审员工作使用, 具有录入、查询、打印等功能, 但不具备修改功能;其二, 适用于管理员使用, 除上述功能外还具备系统与数据库维护功能。
3.2 认证项目
根据ISO3834、DIN6700和DIN18800三种不同的认证类别选择认证项目, 根据导航窗体提示完成企业自然信息录入。在评审信息录入过程中, 可根据每页问卷标签上的评审要素选择评审项通过下拉式菜单完成评审项, 即无关、满足要求、部分满足要求, 可接受 (观察项) 、部分满足要求, 不可接受 (改进项) 和不满足要求 (不合格项) , 其对应的分值分别为0~4。当评审得分为3分或者4分的时候, 评审员需要注明理由和提出建议。
3.3 查询修改
查询界面左侧导航窗体显示认证企业的名称及认证企业数量, 点击企业名称可在右边的“单位基本信息检索”中看到认证企业的基本信息概况, 需查看和修改各项详细内容需点击右上方的“修改申请表”“修改概况表”“修改文件评审”“修改现场评审”和“查看&修改评审验收结果汇总表”按钮。
由于录入企业较多, 通过导航窗体寻找企业名称不是很方便, 因此设置了查询文本框, 该查询方式为模糊查询, 输入关键字即可。
3.4 评审结果汇总表
其功能是汇总整个评审过程中的信息, 方便统计与查看。此表包括此次评审总分和每个要素的得分情况、评审中不符合项及需改进项的缘由、评审最终结论、评审员建议和企业认证编号等内容。
3.5 导入数据
主要功能是将其它计算机上的企业评审信息保存到同一台计算机上, 为管理员统一管理和查询提供方便。
3.6 帮助系统
包括相关标准、使用帮助和关于版本。“相关标准”收录国际认证标准80余条, 格式为Microsoft Office Word和Adobe PDF文档, 供评审员评审过程中参考;“使用帮助”为本软件的使用说明, 格式为CHM文档, 附有评审范本;“关于版本”收录软件版本信息。
4 系统可靠性
4.1 规定的时间
软件可靠性只是体现在其运行阶段, 所以将“运行时间”作为“规定的时间”的度量。“运行时间”包括软件系统运行后工作与挂起的累计时间。由于软件运行的环境与程序路径选取的随机性, 软件的失效为随机事件, 所以运行时间属于随机变量。
本软件自2004年初步开发结束至今, 记录评审企业342家, 其中包括若干家多次复审的企业。目前“规定的时间”已使超过1600个小时。此其间做过数次大规模的完善升级工作, 版本由1.1.1升级到1.6.2, 那么就是说本软件系统可靠性的概率为1200小时无故障。当然上述提到运行时间为随机变量, 而且本软件的运行时间与整个系统细节调整升级都要比上面的数据要长和频繁。
4.2 规定的环境条件
环境条件指软件的运行环境。它涉及软件系统运行时所需的各种支持要素, 如支持硬件、操作系统、其它支持软件、输入数据格式和范围以及操作规程等。在不同的环境条件下软件的可靠性均是可以保障的。
4.3 规定的功能
软件可靠性还与规定的任务和功能有关。由于要完成的任务不同, 软件的运行剖面会有所区别, 则调用的子模块就不同 (即程序路径选择不同) , 其可靠性也就可能不同。所以要准确度量软件系统的可靠性必须首先明确它的任务和功能。
综上所述, 本软件经过评审员四年多的使用, 出现过的系统漏洞与不合理之处都已从软件的实用性角度出发作了修改和调整;在满足软件实用性的同时也从实时性的角度考虑不断对程序与界面的细节方面进行升级, 保证软件的界面更简明, 运行更流畅。
总结
认证应用 篇2
一、引言
802.1x协议起源于802.11协议,后者是IEEE的无线局域网协议,制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。IEEE802LAN协议定义的局域网并不提供接入认证,只要用户能接入局域网控制设备(如LANS witch),就可以访问局域网中的设备或资源。这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。
随着移动办公及驻地网运营等应用的大规模发展,服务提供者需要对用户的接入进行控制和配置。尤其是WLAN的应用和LAN接入在电信网上大规模开展,有必要对端口加以控制以实现用户级的接入控制,802.lx就是IEEE为了解决基于端口的接入控制(Port-Based Network Access Contro1)而定义的一个标准。
二、802.1x认证体系
802.1x是一种基于端口的认证协议,是一种对用户进行认证的方法和策略。端口可以是一个物理端口,也可以是一个逻辑端口(如VLAN)。对于无线局域网来说,一个端口就是一个信道。802.1x认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持“关闭”,即只允许802.1x的认证协议报文通过。
802.1x的体系结构如图1所示。它的体系结构中包括三个部分,即请求者系统、认证系统和认证服务器系统三部分:
图1 802.1x认证的体系结构
1.请求者系统
请求者是位于局域网链路一端的实体,由连接到该链路另一端的认证系统对其进行认证。请求者通常是支持802.1x认证的用户终端设备,用户通过启动客户端软件发起802.lx认证,后文的认证请求者和客户端二者表达相同含义。
2.认证系统
认证系统对连接到链路对端的认证请求者进行认证。认证系统通常为支持802.lx协议的网络设备,它为请求者提供服务端口,该端口可以是物理端口也可以是逻辑端口,一般在用户接入设备(如LAN Switch和AP)上实现802.1x认证。后文的认证系统、认证点和接入设备三者表达相同含义。
3.认证服务器系统
认证服务器是为认证系统提供认证服务的实体,建议使用RADIUS服务器来实现认证服务器的认证和授权功能。
请求者和认证系统之间运行802.1x定义的EAPO(Extensible Authentication Protocolover LAN)协议。当认证系统工作于中继方式时,认证系统与认证服务器之间也运行EAP协议,EAP帧中封装认证数据,将该协议承载在其它高层次协议中(如RADIUS),以便穿越复杂的网络到达认证服务器;当认证系统工作于终结方式时,认证系统终结EAPoL消息,并转换为其它认证协议(如RADIUS),传递用户认证信息给认证服务器系统。
认证系统每个物理端口内部包含有受控端口和非受控端口。非受控端口始终处于双向连通状态,主要用来传递EAPoL协议帧,可随时保证接收认证请求者发出的EAPoL认证报文;受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。
三、802.1x认证流程
基于802.1x的认证系统在客户端和认证系统之间使用EAPOL格式封装EAP协议传送认证信息,认证系统与认证服务器之间通过RADIUS协议传送认证信息。由于EAP协议的可扩展性,基于EAP协议的认证系统可以使用多种不同的认证算法,如EAP-MD5,EAP-TLS,EAP-SIM,EAP-TTLS以及EAP-AKA等认证方法。
以EAP-MD5为例,描述802.1x的认证流程。EAP-MD5是一种单向认证机制,可以完成网络对用户的认证,但认证过程不支持加密密钥的生成。基于EAP-MD5的802.1x认证系统功能实体协议栈如图2所示。基于EAP-MD5的802.1x认证流程如图3所示,认证流程包括以下步骤:
图2 基于EAP-MD5的802.1x认证系统功能实体协议栈
点击查看大图
图3 基于EAP-MD5的802.1x认证流程
(1)客户端向接入设备发送一个EAPoL-Start报文,开始802.1x认证接入;
(2)接入设备向客户端发送EAP-Request/Identity报文,要求客户端将用户名送上来;
(3)客户端回应一个EAP-Response/Identity给接入设备的请求,其中包括用户名;
(4)接入设备将EAP-Response/Identity报文封装到RADIUS Access-Request报文中,发送给认证服务器;
(5)认证服务器产生一个Challenge,通过接入设备将RADIUS Access-Challenge报文发送给客户端,其中包含有EAP-Request/MD5-Challenge;
(6)接入设备通过EAP-Request/MD5-Challenge发送给客户端,要求客户端进行认证;
(7)客户端收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-Word,在EAP-Response/MD5-Challenge回应给接入设备;
(8)接入设备将Challenge,Challenged Password和用户名一起送到RADIUS服务器,由RADIUS服务器进行认证:
(9)RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功/失败报文到接入设备。如果成功,携带协商参数,以及用户的相关业务属性给用户授权。如果认证失败,则流程到此结束;
(10)如果认证通过,用户通过标准的DHCP协议(可以是DHCP Relay),通过接入设备获取规划的IP地址;
(11)如果认证通过,接入设备发起计费开始请求给RADIUS用户认证服务器;
(12)RADIUS用户认证服务器回应计费开始请求报文。用户上线完毕。
四、802.1x认证组网应用
按照不同的组网方式,802.1x认证可以采用集中式组网(汇聚层设备集中认证)、分布式组网(接入层设备分布认证)和本地认证组网。不同的组网方式下,802.1x认证系统实现的网络位置有所不同。
1.802.1x集中式组网(汇聚层设备集中认证)
802.1x集中式组网方式是将802.1x认证系统端放到网络位置较高的LAN Switch设备上,这些LAN Switch为汇聚层设备。其下挂的网络位置较低的LAN Switch只将认证报文透传给作为802.lx认证系统端的网络位置较高的LAN Switch设备,集中在该设备上进行802.1x认证处理。这种组网方式的优点在于802.1x采用集中管理方式,降低了管理和维护成本。汇聚层设备集中认证如图4所示。
图4 802.1x集中式组网(汇聚层设备集中认证)
2.802.1x分布式组网(接入层设备分布认证)
802.1x分布式组网是把802.lx认证系统端放在网络位置较低的多个LAN Switch设备上,这些LAN Switch作为接入层边缘设备。认证报文送给边缘设备,进行802.1x认证处理。这种组网方式的优点在于,它采用中/高端设备与低端设备认证相结合的方式,可满足复杂网络环境的认证。认证任务分配到众多的设备上,减轻了中心设备的负荷。接入层设备分布认证如图5所示。
图5 802.1x分布式组网(接入层设备分布认证)
802.lx分布式组网方式非常适用于受控组播等特性的应用,建议采用分布式组网对受控组播业务进行认证。如果采用集中式组网将受控组播认证设备端放在汇聚设备上,从组播服务器下行的流在到达汇聚设备之后,由于认证系统还下挂接入层设备,将无法区分最终用户,若打开该受控端口,则汇聚层端口以下的所有用户都能够访问到受控组播消息源。反之,如果采用分布式组网,则从组播服务器来的组播流到达接入层认证系统,可以实现组播成员的精确粒度控制。
3.802.1x本地认证组网
802.1x的AAA认证可以在本地进行,而不用到远端认证服务器上去认证。这种本地认证的组网方式在专线用户或小规模应用环境中非常适用。它的优点在于节约成本,不需要单独购置昂贵的服务器,但随着用户数目的增加,还需要由本地认证向RADIUS认证迁移。
五、结束语
802.1x认证系统提供了一种用户接入认证的手段,它仅关注端口的打开与关闭。对于合法用户(根据账号和密码)接入时,该端口打开,而对于非法用户接入或没有用户接入时,则使端口处于关闭状态。认证的结果在于端口状态的改变,而不涉及其它认证技术所考虑的IP地址协商和分配问题,是各种认证技术中最为简化的实现方案。
必须注意到802.1x认证技术的操作颗粒度为端口,合法用户接入端口之后,端口始终处于打开状态,此时其它用户(合法或非法)通过该端口接入时,不需认证即可访问网络资源。对于无线局域网接入而言,认证之后建立起来的信道(端口)被独占,不存在其它用户非法使用的问题。但如果802.lx认证技术应用于宽带IP城域网,就存在端口打开之后,其它用户(合法或非法)可自由接入且难以控制的问题。因此,在提出可运营、可管理要求的宽带IP城域网中如何使用该认证技术,还需要谨慎分析所适用的场合,并考虑与其它信息绑定组合认证的可能性。
802.1x EAP认证过程
1.当用户有上网需求时打开802.1X客户端程序,输入用户名和口令,发起连接请求。此时客户端程序将发出请求认证的报文给交换机,启动一次认证过程。
如下:
Frame 90(64 bytes on wire, 64 bytes captured)
Arrival Time: Nov 27, 2006 16:27:33.446030000
Time delta from previous packet: 3.105345000 seconds
Time since reference or first frame: 5.082965000 seconds
Frame Number: 90
Packet Length: 64 bytes
Capture Length: 64 bytes Ethernet II, Src: 00:e0:4c:d7:65:cd, Dst: 01:80:c2:00:00:03
Destination: 01:80:c2:00:00:03(Spanning-tree-(for-bridges)_03)
Source: 00:e0:4c:d7:65:cd(RealtekS_d7:65:cd)
Type: 802.1X Authentication(0x888e)
Trailer: A5A5A5A5A5A5A5A5A5A5A5A5A5A5A5A5...Frame check sequence: 0xa5a5a5a5(incorrect, should be 0xcc6d5b40)
802.1x Authentication
Version: 1
Type: Start(1)
Length: 0
2.交换机在收到请求认证的数据帧后,将发出一个EAP-Request/Identitybaowe请求帧要求客户端程序发送用户输入的用户名。
Frame 91(64 bytes on wire, 64 bytes captured)
Arrival Time: Nov 27, 2006 16:27:33.447236000
Time delta from previous packet: 0.001206000 seconds
Time since reference or first frame: 5.084171000 seconds
Frame Number: 91
Packet Length: 64 bytes
Capture Length: 64 bytes Ethernet II, Src: 00:03:0f:01:3a:5a, Dst: 00:e0:4c:d7:65:cd
Destination: 00:e0:4c:d7:65:cd(RealtekS_d7:65:cd)
Source: 00:03:0f:01:3a:5a(DigitalC_01:3a:5a)
Type: 802.1X Authentication(0x888e)
Trailer: A5A5A5A5A5A5A5A5A5A5A5A5A5A5A5A5...Frame check sequence: 0xa5a5a5a5(incorrect, should be 0x7d263869)
802.1x Authentication
Version: 1
Type: EAP Packet(0)
Length: 5
Extensible Authentication Protocol
Code: Request(1)
Id: 1
Length: 5
Type: Identity [RFC3748](1)
3.客户端程序响应交换机的请求,将包含用户名信息的一个EAP-Response/Identity送给交换机,交换机将客户端送来的数据帧经过封包处理后生成RADIUS Access-Request报文
送给认证服务器进行处理。
Frame 148(77 bytes on wire, 77 bytes captured)
Arrival Time: Nov 27, 2006 16:27:36.446199000
Time delta from previous packet: 2.998963000 seconds
Time since reference or first frame: 8.083134000 seconds
Frame Number: 148
Packet Length: 77 bytes
Capture Length: 77 bytes Ethernet II, Src: 00:e0:4c:d7:65:cd, Dst: 01:80:c2:00:00:03
Destination: 01:80:c2:00:00:03(Spanning-tree-(for-bridges)_03)
Source: 00:e0:4c:d7:65:cd(RealtekS_d7:65:cd)
Type: 802.1X Authentication(0x888e)
802.1x Authentication
Version: 1
Type: EAP Packet(0)
Length: 59
Extensible Authentication Protocol
Code: Response(2)
Id: 1
Length: 13
Type: Identity [RFC3748](1)
Identity(8 bytes): 03051020
4.认证服务器收到交换机转发上来的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字Challenge对它进行加密处理(MD5),通过接入设备将RADIUS Access-Challenge报文发送给客户端,其中包含有
EAP-Request/MD5-Challenge。
Frame 154(64 bytes on wire, 64 bytes captured)
Arrival Time: Nov 27, 2006 16:27:36.567003000
Time delta from previous packet: 0.120804000 seconds
Time since reference or first frame: 8.203938000 seconds
Frame Number: 154
Packet Length: 64 bytes
Capture Length: 64 bytes Ethernet II, Src: 00:03:0f:01:3a:5a, Dst: 00:e0:4c:d7:65:cd
Destination: 00:e0:4c:d7:65:cd(RealtekS_d7:65:cd)
Source: 00:03:0f:01:3a:5a(DigitalC_01:3a:5a)
Type: 802.1X Authentication(0x888e)
Trailer: A5A5A5A5A5A5A5A5A5A5A5A5A5A5A5A5...Frame check sequence: 0xa5a5a5a5(incorrect, should be 0x4ec1ac73)
802.1x Authentication
Version: 1
Type: EAP Packet(0)
Length: 22
Extensible Authentication Protocol
Code: Request(1)
Id: 2
Length: 22
Type: MD5-Challenge [RFC3748](4)
Value-Size: 16
Value: 1CBFEE2149E38D2928DABB4772D285EB
5.客户端收到EAP-Request/MD5-Challenge报文后,用该加密字对口令部分进行加密处理(MD5)给交换机发送在EAP-Response/MD5-Challenge回应,交换机将Challenge,Challenged Password和用户名一起送到RADIUS 服务器进行认证。
Frame 199(94 bytes on wire, 94 bytes captured)
Arrival Time: Nov 27, 2006 16:27:39.446161000
Time delta from previous packet: 2.879158000 seconds
Time since reference or first frame: 11.083096000 seconds
Frame Number: 199
Packet Length: 94 bytes
Capture Length: 94 bytes Ethernet II, Src: 00:e0:4c:d7:65:cd, Dst: 01:80:c2:00:00:03
Destination: 01:80:c2:00:00:03(Spanning-tree-(for-bridges)_03)
Source: 00:e0:4c:d7:65:cd(RealtekS_d7:65:cd)
Type: 802.1X Authentication(0x888e)
802.1x Authentication
Version: 1
Type: EAP Packet(0)
Length: 76
Extensible Authentication Protocol
Code: Response(2)
Id: 2
Length: 30
Type: MD5-Challenge [RFC3748](4)
Value-Size: 16
Value: CBAC378ABB609123D2BB412840AEC614
Extra data(8 bytes): ***0
6.认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比,判断用户是否合法,然后回应认证成功/失败报文到接入设备。如果认证成功,则向交换机发出打开端口的指令,允许用户的业务流通过端口访问网络。否则,保持交换机端口的关闭状态,只允许认证信息数据通过。
Frame 205(243 bytes on wire, 243 bytes captured)
Arrival Time: Nov 27, 2006 16:27:39.632706000
Time delta from previous packet: 0.186545000 seconds
Time since reference or first frame: 11.269641000 seconds
Frame Number: 205
Packet Length: 243 bytes
Capture Length: 243 bytes Ethernet II, Src: 00:03:0f:01:3a:5a, Dst: 00:e0:4c:d7:65:cd
Destination: 00:e0:4c:d7:65:cd(RealtekS_d7:65:cd)
Source: 00:03:0f:01:3a:5a(DigitalC_01:3a:5a)
Type: 802.1X Authentication(0x888e)
802.1x Authentication
Version: 1
Type: EAP Packet(0)
Length: 225
Extensible Authentication Protocol
Code: Success(3)
Id: 0
认证应用 篇3
关键词:社区网;Portal认证;动态IP地址分配
引言
吐哈油田社区网已建设多年,主要用于员工家庭上网,为了实现对居民上网的认证计费,目前现网采用了802.1X认证方式进行部署。认证过程由客户端发起,接入交换机的物理端口对报文严格控制,启用802.1X认证,默认情况下只允许认证报文通过,只有在认证通过的状态下才打开,用于传递网络资源和服务。如果认证通过,用户才能访问互联网资源和内网服务资源。
一、社区网现状
现有802.1X认证需要安装需要特定客户端软件,运维管理复杂。社区网共涉及近万户居民,如果采用采用802.1X认证方式,需要对每个用户终端安装维护认证客户端软件,日常维护工作量巨大。
面对用户多终端上网的趋势,802.1X认证无法对移动终端如手机、IPAD进行认证,用户体验感差。目前居民家中不仅部署台式电脑,像智能手机、平板电脑等终端应用也越来越普遍,传统的802.1X认证方式无法满足智能移动终端的认证需求。
由于上述原因,当前采用的802.1X认证方式难以满足不断发展的用户移动终端接入和管理员维护管理需求。
二、认证方式与部署模式选择
(一)认证方式选择
目前,业界主要采用PPPOE、802.1X、Portal这三种认证方式,下面就这三种认证方式的原理和主要优缺点进行比较。
1、PPPoE认证方式。通过PPPoE(Point-to-Point Protocol over Ethernet)协议,服务提供商可以在以太网上实现PPP协议的主要功能,包括采用各种灵活的方式管理用户。
PPPoE(Point-to-Point Protocol over Ethernet)协议允许通过一个连接客户的简单以太网桥启动一个PPP对话。
第一章PPP协议和Ethernet技术本质上存在差异,PPP协议需要被再次封装到以太帧中,所以封装效率很低
第二章PPPoE在发现阶段会产生大量的广播流量,对网络性能产生很大的影响
第三章组播业务开展困难,而视频业务大部分是基于组播的
第四章需要运营商提供客户终端软件,维护工作量过大
第五章PPPoE认证一般需要外置BAS,认证完成后,业务数据流也必须经过BAS设备,容易造成单点瓶颈和故障,而且该设备通常非常昂贵。
2、802.1x认证方式。是一种client/server 模式的访问控制和认证协议,主要的应用环境是局域网的接入控制、身份认证,往往做为校园网、WLAN的接入控制手段。802.1x是基于端口的访问控制机制。用户或设备在认证前,交换机端口处于受控状态,此时只允许EAPOL协议(扩展局域网认证协议)通讯数据通过;认证通过后,端口处于非受控状态,此时用户的所有网络通讯数据都可以通过。802.1x实际上为每个用户建立一个逻辑的链路,端口的逻辑状态是只对该用户有效,不同用户的端口逻辑状态不相互影响。802 .1x认证过程就是EAPOL协议交互。
缺点:需特定客户端软件,用户交换机需要升级,IP地址分配、网络安全、计费均存在问题。
3、Portal认证方式。Portal认证的基本过程是:客户机首先通过DHCP协议获取到IP地址(也可以使用靜态IP地址),但是客户使用获取到的IP地址并不能登上Internet,在认证通过前只能访问特定的IP地址,这个地址通常是PORTAL服务器的IP地址。采用Portal认证的接入设备必须具备这个能力。一般通过修改接入设备的访问控制表(ACL)可以做到。
用户登录到Portal Server后,可以浏览上面的内容,比如广告、新闻等免费信息,同时用户还可以在网页上输入用户名和密码,它们会被WEB客户端应用程序传给 Portal Server,再由Portal Server与NAS之间交互来实现用户的认证。
优点:不需要特殊的客户端软件,降低网络维护工作量,用户体验好。
缺点:对于设备的要求较高,建网成本高;用户连接性差,易用性不够好。
综合对比三种主要认证方式,可以发现Portal认证方式可以满足居民的移动终端如平板电脑、智能手机等认证需求;并且Portal认证方式不需要安装客户端,通过Web界面进行认证,日常管理维护简单,可以满足社区网当前认证需求。因此,建议在社区网中使用Portal认证方式。
(二)部署模式选择。在Portal认证方式的部署中,根据BAS设备(即Portal认证网关设备)部署数量和位置的不同可以分为集中式部署模式和分布式部署模式两类,下面就这两种部署模式的优劣进行比较。
集中式部署就是将全网所有的认证流程集中在一台BAS设备上进行Portal认证。因此对BAS设备的性能和可靠性要求非常高,一旦BAS设备出现故障将会导致全网所有用户认证过程中断。
分布式部署就是将认证所需的BAS设备上分布式部署在各个汇聚节点上,分别对各个园区进行Portal认证,因此BAS设备的性能要求稍低。该部署模式中,每台BAS设备只需负责所在园区的认证流程,影响范围有限。
吐哈油田社区网涉及到近20000名用户,如果采用集中式部署方式,对认证网关设备性能和可靠性要求极高。目前业界支持20000名用户Portal认证的设备必须为高端机箱式设备,即使采用机箱式设备也基本上达到了该设备认证数量的极限。随着后续接入用户的增多,还需要更换为更高端的认证网关,后期投资大;另外,采用集中式部署影响范围广,一旦认证网关出现故障,将造成全网用户的认证中断。因此,在综合对比以上两种部署模式后,建议采用分布式部署模式。
三、优化设计方案
(一)组网架构。在社区网中采用Portal认证方式的组网架构如下图所示:
1、现在部分家庭中部署了家庭宽带路由器用于实现多终端上网的需求,家庭宽带路由器上行接口和下行接口都接在LAN口上,DHCP服务设置关闭,简单讲,就是将家庭宽带路由器作为二层设备来使用,接入层交换机不做802.1x认证,只做普通报文转发。
2、社区网网关仍然设置在汇聚层的S6500交换机上,通过启用DHCP服务对终端进行规划的IP地址的分配。在本方案中,需要在汇聚交换机上各旁挂1台S5800交换机作为Portal认证网关,用于小区内的用户认证。
3、针对鄯善园区近4000名用户的认证接入需求,采用和哈密园区相同的分布式认证方式,所有用户的Portal认证网关均部署在本地。在鄯善园区的每个汇聚节点部署1台S5800交换机设备,在鄯善园区共需部署5台。在鄯善园区,所有用户的上网认证都需要经过部署在哈密园区的Portal服务器和综合认证系统,实现鄯善、哈密两个园区统一的认证接入。
(二)认证流程。吐哈油田社区网采用Portal认证方式:用户通过IE访问需要授权的网络资源,首先认证过程经过S5800网关设备;S5800网关发现用户还没有通过认证则强制到Portal服务器;Portal 服务器将WEB页面强推给用户,提示用户需要进行认证,用户在WEB页面中输入用户名密码并提交认证;S5800网关将用户认证信息转换为Radius报文发送到现有综合认证系统进行认证。
(三)IP地址规划。在终端接入IP地址分配中,主要分为静态IP地址和动态IP地址两类。在本方案中,如果配置静态IP地址,涉及终端数量非常多,需要提前对每个终端进行规划,后期管理维护工作量巨大。如果配置动态IP地址,只需在每个汇聚节点的三层网关配置DHCP功能即可,满足用户在不同区域接入的移动上网需求。因此,建议采用动态IP地址分配方式。
(四)高可靠性設计。吐哈油田社区网现有综合认证系统中,采用自研软件进行认证、授权及计费工作。本方案将由H3C iMC UAM用户接入管理组件实现用户身份认证与现有认证系统进行有效融合实现对用户上网认证计费的有效管理。
(五)用户接入管理。本方案支持多终端接入,即同一个用户名允许有多个终端同时上网。无论是台式电脑、平板电脑还是智能手机,只要在允许的数量范围内,都可以同时上网,满足家庭用户多终端的上网需求。每个用户名下可同时接入终端的数量可以在管理界面进行设置,在满足居民上网体验的同时做到可控可管,有效防止个别用户对网络资源的过度占用。
(六)方案可行性分析。在设备投资方面:充分利用现网6500汇聚交换机、各楼层交换机、家用无线路由器及综合认证系统。只需在每个汇聚交换机旁挂1台盒式交换机S5800作为本区域的Portal认证网关,另外在核心交换机上旁挂服务器作为Portal服务器,Portal服务器运行UAM用户接入管理软件。
在方案可靠性方面:增设备与现有设备及认证系统可以实现良好的兼容。现网部署的6500交换机与新增S5800交换机均为H3C品牌系列产品,并且新旧设备之间均通过标准网络技术进行互通,因此在硬件设备层面具有良好的兼容性;综合认证系统与新增S5800交换机采用标准Radius报文进行通信,新增S5800交换机和现有综合认证系统均支持该报文,因此在兼容性方面均有良好的可行性。
四、方案优点总结
对现有802.1x认证方式进行替换,采用Portal认证方式主要具备以下几方面优点:
管理维护简单 :采用Portal认证方式不需要安装客户端软件,通过网页即可实现认证。管理员不再需要逐一为每个上网用户安装和升级客户端软件,极大减轻管理难度。
部署简单:本方案在实施部署中,不需要对现有网络架构进行变更,只需在每个汇聚节点旁挂一台Portal认证网关,实施工作量较小。
用户体验感好:采用Portal认证方式,通过网页方式对用户终端进行认证,因此可以实现对智能手机、平板电脑等移动终端的认证,可以满足用户不断变化的终端认证需求,整体上网体验可以得到保障。
数字认证在医院的应用 篇4
关键词:HIS,数字认证,电子处方,电子签名法,医生工作站
本文导读>>
我国在电子签名实施后,为数字认证应用提供了法律依据。目前数字证书在各行业得到了应用,由于医疗行业信息化的应用起步较晚在数字认证方面的应用也较少。本文数字认证只是在门诊电子处方中得以引用,应用面窄。但是,在门诊的成功实施可为未来在全院的实施打好基础。
数字证书,通俗地讲,是在网络中识别用户身份合法性的唯一电子标识。它就像我们日常生活中使用的居民身份证一样,在网络中代表了用户的合法身份。通常情况下,持有合法的数字证书的用户,系统才会允许使用网络中的资源,从而达到安全管理的目的。
安全认证网关主要具有两大功能,
一是通过某种特定的算法对传输的数据进行加密;二是对使用加密证书加密的信息进行解密并对证书进行合法性验证。
安全认证网关可以有效保护医院门诊电子处方服务器的信息资源,安全认证结合数字证书,能够在运行这些应用服务器的前端设置一道屏障,只有持有权威认证中心颁发的数字证书的用户才能访问这些应用服务器。
数字证书在医院的应用过程中采用了多种技术使项目得以顺利实施,但是在实施过程中有些细节问题还要特别注意。首先,在数字认证启用时,发现有相当部分客户端的数字证书认证被绕过去的情况,经过研究发现实际数据库连接采用了双链路机制,由于常用链路被安全认证网关拦截了,则备用链路起了作用,直接就绕过数字证书认证了。后来将两条链路都配置到了安全认证网关上,就解决了此问题。其次,实施前期,部分门诊客户端上安装了客户端认证工具,由于配置问题而使安全服务不能启动,因此就在管理员用户下删除了配置错误的认证客户端工具,然后又重新安装了配置好的认证客户端工具,但安全服务依旧不能启动。后来发现原因,由于正式系统都是在域环境下,在门诊客户端的管理员用户下做的任何配置操作都不会影响到域用户。于是在域用户下删除和安装认证客户端工具,就解决了此问题。
在实施数字认证系统时,要从它复杂的软硬环境下考虑,同时要对一些不确定的因素进行前瞻性的考虑,前期做好准备把可能发生的情况都考虑到,这样才能降低实施风险,使数字认证系统得以顺利实施。
同等的法律效力,它的颁布实施为数字认证和电子签名技术在网络安全领域内的普及应用提供了法律依据。卫生部于2006年11月27日讨论通过了《处方管理办法》,自2007年5月1日起施行,办法中规定打印的处方应具有法律认可的签名,并将打印的纸质处方与计算机传递处方同时收存备查。这就为我们提供了在医院实施数字签名的依据。
目前医院在实施的医生工作站系统中,为使电子处方的合法性得到认可,采取了各种各样的形式。有的是给每一个医生工作站配备了打印机,医生在计算机中录入处方后并打印出来签名或盖印章;有的则采用医生在计算机中录入处方后同时再手写一份纸质的处方;还有的则采取了医生在计算机中录入处方后直接在药房处打印处方的方式。从以上几种方式中我们可以看出医院在设备上进行了相应的投入,这不仅增加了医院的成本,同时打印机出问题时还会影响医生的正常接诊;让医生录入计算机的同时再写纸质处方,这不仅增加了医生的劳动强度,还降低了医生接诊的效率。在药房中直接打印处方方式,虽然解决了以上两种方式的缺点,但是该处方又违背了卫生部的《处方管理办法》中关于签名合法性的认定。为此采用数字认证的方法就可以解决以上电子处方中的问题。
1 数字认证的内容
数字证书的基础是RSA算法,RSA算法是不对称算法,它的密钥有两个:一个为私钥,一个为公钥,私钥是保密的,公钥是可以公开的,为了保证更加可靠的安全性,私钥和公钥的长度都达到了1024位。在进行加解密操作时,公钥用于加密,私钥用于解密;在进行签名验签操作时,公钥为用户验签,私钥用于签名。
使用RSA算法进行加密时,容易受到中间人攻击,因为为了确认使用密钥的人的身份合法性,因此在RSA密钥上绑定了密钥使用者身份信息,称为数字证书。
数字证书是一个经数字证书认证中心(CA)数字签名的信息,其包含公开密钥拥有者的信息以及公开密钥的数据文件。数字证书认证中心(CA)的数字签名可以确保证书信息的真实性,用户公钥信息可以保证数字信息传输的完整性,用户的数字签名可以保证数字信息的不可否认性。数字证书的功能主要包括:身份验证、信息传输安全、信息保密性(存储与交易)、信息完整性、交易的不可否认性。数字证书在进行身份认证时(也称为数字认证),使用了各类的加解密算法,多种安全协议以保证认证方的身份唯一性、合法性,从而保证了用户必须对在认证完毕后的各种行为负责。
数字证书是各类终端实体和最终用户在网上进行信息交流的身份证明,在电子交易的各个环节,交易的各方都需验证对方数字证书的有效性,从而解决相互间的信任问题。数字证书认证中心(CA)作为权威的、可信赖的、公正的第三方机构,专门负责为各种认证需求提供数字证书服务。图1是数字证书认证的原理流程图。
2 技术实现方案
新疆维吾尔自治区人民医院是一所集医疗、教学、科研、预防、保健和社区卫生服务为一体的大型综合性“三级甲等医院”,医院门诊年诊疗150.4万余人次,年出院病人7.85万余人次。在新疆维吾尔自治区人民医院门诊工作站实现数字认证,可以为医院在方方面面带来好处。但是在具体实施中,医院的软硬件等各种环境都必须加以考虑:首先要保证门诊医生站工作的不间断性,为了不耽误诊病,门诊工作站必须保证一天24小时内不间断服务,因此无法做到在真实环境中测试,还必须保障在使用数字证书时的平滑切割;其次门诊工作站上的门诊软件是C/S模式的,因此面临维护系统更新的繁杂性问题,同时,在使用数字证书认证时,门诊医生站需要安装相关的数字证书认证的客户端工具,这同样也面临相应的维护问题;还有在实施后医生需要持有数字证书给病人看病,众多的医生中难免会有数字证书损坏或丢失,都会影响医生的正常工作,采取应急措施是必须要考虑的。当然,肯定还会出现很多不可预见的问题,为避免不利情况的发生,我们实施前采取细节上的详细测试,做到不放过任何一个细节,经过努力最终得以顺利实施。
现将新疆自治区人民医院的技术实现方案做如下说明,图2为设想中的拓扑图。
该拓扑图着重强调的是综合数据库和安全认证网关的关系,由于门诊工作站的相关业务软件是基于数据库的C/S结构,因此,安全认证网关保护的即是Server端,即综合数据库。如需考虑最大的安全性,安全认证网关应当直接挡在综合数据库的前面,如图3所示:
没有这样做的原因有两个:(1)在门诊工作站中还存在其他的软件系统,这些软件系统需要连接综合数据库;(2)防止认证设备损坏而影响门诊医生登录系统,如果认证设备损坏,我们只需要调整相应的参数,让门诊医生使用原有的用户名密码方式登录就可以了,等到认证设备修复后再启用数字认证,这样就可以保证门诊医生的不间断工作。
门诊医生站的数字认证工作原理为:门诊医生站登录后,采用了两种认证方法并存的认证方式,一种是普通用户名密码的认证方式;一种是数字证书认证方式。首先验证用户名和密码,进而对数字证书进行认证。两种认证方式都通过后,最终用户才可以登录系统,原理如图4:
对图4客户端就绪状态需要做一下说明:在门诊医生站主机上,安装了相应的认证客户端工具,在不使用门诊医生站的时候,该认证客户端工具提供的服务是关闭的,目的是为了不影响其它C/S应用,只有在使用数字证书登录门诊医生站时,认证客户端工具所提供的服务才会开启(如果认证客户端工具没有安装或认证客户端工具被病毒木马破坏,都会造成服务器无法开启,从而不能提供数字证书认证服务,最终使得用户无法登录门诊系统),这里加入了4秒等待时间,这样可以让认证客户端工具服务开启完全,不至于影响后续的数字证书认证。在最终用户看来,会以为加了数字证书认证后,系统变慢了。还需要说明的是,用户在认证通过后,网络中所传输的数据都被加密了,加密速率为80兆,用户不会感受到网络变慢的情况。
由于不能随意在正式系统上进行测试,则部署了测试环境以模拟正式环境,经过开发人员和应用人员的详细、反复测试,及时发现并解决了问题。为解决门诊医生忘记带数字证书或丢失数字证书等现象,还采取专门申请应急证书(也称为临时证书)来解决此问题。
3 总结
这里采取了多种技术方式和管理方式以保证数字证书认证能够按要求进行工作。但实际在项目进行实施过程中,还是发生了许多意想不到的问题:
首先,在登录门诊医生软件系统时,时常会发生数字证书认证被绕过去的情况,经过研究发现实际数据连接采用了备用链路机制,由于常用链路被安全认证网关拦截了,则备用链路起了作用,直接就绕过数字证书认证了。后来将备用链路也配置到了安全认证网关上,类似问题就再也没有出现。
其次,实施前期,在部分门诊医生站客户端上安装了认证客户端工具,由于配置问题而使安全服务不能启动,因此我们就在管理员用户下删除了配置错误的认证客户端工具,然后又重新安装了配置好的认证客户端工具,但是安全服务依旧不能启动。后来发现原因,由于正式系统都是在域环境下,在门诊客户端的管理员用户下做的任何配置操作都不会影响到域用户。于是我们在域用户下删除和安装认证客户端工具,就没有任何问题。
总之,在实施像新疆维吾尔自治区人民医院这样规模的数字认证系统时,要从它复杂的软硬件环境下考虑,同时要对一些不确定的因素进行前瞻性的考虑,前期做好准备,把可能发生的情况都考虑到,这样才能降低实施风险,使数字认证系统得以顺利实施。
参考文献
[1]Bruce Schneier.应用密码学[M].吴世忠,译.北京:机械工业出版社,2000.
[2]梁志伟,等.医院电子签名和信息加密系统解决方案与应用[J].医学信息,2007,20(6):901-906.
[3]卫生部2002,医院信息系统基本功能规范[S].
[4]范开州,等.基于ASP技术的通用电子病历的研究[J].中国医疗设备,2008(3):30-32.
[5]李庆祯,等.Windows2000系统管理技术[M].北京:电子工业出版社,2000.
[6]周文杰.医院信息网络系统安全[J].中国医疗设备,2008(2):30-31.
[7]王群,等.局域网一点通(第3版)[M].北京:人民邮电出版社,2004.
认证应用 篇5
一、短信验证码服务具体应用功能:
手机短信验证码服务应用范围广泛,比如:网站用户注册、用户安全认证、手机号验证、手机注册开通服务、网站产品、订单发货、促销提醒、网站客户留言、在线支付短信提醒、其他一些可以通过手机短信来认证的应用
二、时效性与自动化的工作方式:
短信/验证码接口可实现以上应用功能的全天候、全自动化运行。只要有用户进行注册、验证、认证等操作,系统将自动触发验证码的发送。
三、接口申请/接入步骤:
1、接口提供方提供相应的接口文件和接入说明,同时提供全程的技术支持,有问题可以协助解决。
2、用户接入网站或APP应用,正式使用。
三、具体应用案例:
认证应用 篇6
关键词:教育认证系统教育信息化教育电子身份认证
中图分类号:TP393 文献标识码:B 文章编号:1673-8454(2009)09-0016-05
一、背景
1.教育认证系统是教育信息化建设的重要组成
(1)教育信息化必须遵循国家信息安全密码保障的总体要求
随着国民经济和社会信息化进程的全面加快,国民经济和社会活动对信息和信息系统的依赖性越来越大,由此而产生的信息安全问题对国家安全的影响日益增加、日显突出,国家信息安全面临着新的挑战。党中央、国务院高度重视信息安全工作,提出了“积极防御、综合防范”的信息安全管理方针,明确了加强信息安全保障工作的总体要求和主要原则。
教育信息化建设作为国家信息化建设的重要组成部分,必须遵循国家信息安全密码保障的总体要求,切实加强信息安全保障工作。根据教育信息化建设的实际需求与具体特点,贯彻“积极防御、综合防范”方针,急需建立以密码技术为基础,以解决网络应用中身份认证、授权管理和责任认定为主要内容的教育电子身份认证体系,保障教育应用系统安全可靠运行。
(2)教育信息化建设对教育电子身份认证提出了迫切的需求
随着教育信息化建设的发展,各类应用系统的安全风险问题日益突出,主要表现在物理安全、网络安全、系统安全与应用安全等方面,其中应用安全是解决应用系统安全风险的关键。
应用安全风险主要是指因应用软件本身在安全设计与实现上的不足与漏洞,造成应用系统的数据泄漏、外部侵入、不可控、越权操作等安全问题。总体上说,应用安全风险主要包括以下几个方面(但不限于):
1)人员身份认证的安全。大多数教育信息化应用系统采用口令登录的方式,认证强度不高,用户口令容易被截获或破译,导致系统被非法用户侵入;
2)操作的审计安全。因为口令验证的脆弱性,采用口令的登录方式,直接导致系统日志无法有效地与操作人员的身份进行绑定,系统日志不具有不可抵赖性;日志大多仍以明文方式存在,可能被恶意篡改,系统的审计缺乏有力的安全保障;
3)数据存储的安全。大多数教育信息化应用系统以数据库系统作为主要的数据存储与处理的环境,敏感数据以明文方式存储。一方面,内部的数据库管理员可以任意操作(查询、导出、删除、修改或破坏)这类数据;另一方面,可能因数据库系统的安全漏洞或其他的安全漏洞,外部的攻击者可以获得数据库管理员权限;
4)数据处理的安全。一些教育信息化应用系统虽然采用了加密等方法对敏感信息进行保护,但采用的是软加密算法或不安全的密码算法,在安全性与安全强度上仍存在风险;
5)数据传输的安全。各类教育信息化应用系统一般通过电子邮件、FTP等方式以明文传输数据,攻击者可能在网络上截获数据,甚至伪造有关数据,获取不法利益;
6)应用系统可控性安全。当前教育信息化中的各种应用系统,易受外部的攻击或病毒感染,使系统不可用。
针对上述应用安全风险,有效的防范措施就是采用密码技术、国产密码算法与产品,从总体上设计与实现应用系统的安全模型,在应用层上降低应用安全的风险。
国内信息安全体系建设的实践证明,以商用密码技术为基础的教育电子身份认证能有效解决上述教育信息化应用系统与教育信息资源的机密性、完整性、可用性、可控性及不可抵赖性问题。使用教育电子身份认证技术对应用系统与数据进行安全保护,既是解决教育信息安全最有效和最先进的技术,也是最经济、最可靠的方式。因此,推动以商用密码技术为核心的教育电子身份认证服务体系的建设,是教育信息化建设的重要内容,也是保障教育信息资源安全,确保实现教育信息化建设整体战略目标的基础。
2.教育电子认证的应用需求特点
(1)教育行业管理体系具有一定的特殊性
教育行业管理体系既存在纵向管理也存在交叉管理,既有行业的“垂直行政管理”和“松散业务管理”特色,又有“直接经营管理”(类似“现代企业的管理模式”)的各类学校与教育机构。
(2)教育管理与应用系统对电子认证服务需求的多样性
教育行业不同的教育管理主体与教育业务活动主体,正在使用不同的教育管理与应用系统,而不同的应用系统对教育电子身份认证服务有不同的应用需求。因此,对教育电子身份认证服务的功能需求、应用方式,以及教育认证系统的构建方式等方面具有明显的多样性需求。
(3)教育行业不同地区与单位的信息化应用水平参差不齐
就全国而言,不同地区、不同学校、不同教育机构的信息化建设的投入不同,发展速度也不尽相同,差异较大。因此,信息化应用水平也就参差不齐。
上述这种信息化应用水平的差异性,决定了教育电子身份认证服务的应用需求也必然存在较大的差异,也必然要求教育电子身份认证服务能很好地适应这种差异性的应用需求,满足不同地区、不同教育管理部门、不同学校或不同教育机构的教育管理与应用系统的实际需要。
(4)教育行业用户分布特点要求采用新型的电子证书业务服务方式
教育电子身份认证服务的用户是各级教育行政管理部门、各级各类学校以及教育机构,还包括众多的教育行政管理人员与教职员工,分布范围极广,从中心城市到普通乡镇,直到非常偏远的山区与农村。教育电子身份认证服务的基础是电子证书业务。如何为分布在全国各地不同地区的用户提供方便、快捷的电子证书制作等业务,是推广教育电子身份认证服务的关键。传统的设立物理受理点的方式,根本无法满足偏远地区的用户申请证书的需要。因此,有必要采用新的电子证书业务服务方式,突破证书业务申请的时间、空间的限制,解决偏远地区教育行业用户证书申请难的问题。
(5)应用需求的特殊性要求必须采用新型的教育电子身份认证服务系统
综上所述,教育管理与应用系统的需求与特殊性决定了教育电子身份认证服务必须具有以下特点:
1)灵活的教育电子身份认证服务系统的构建模式
根据教育信息化的实际应用需要,教育电子身份认证服务系统的构建,需按照“教育密码应用规范”确立的统一的技术平台、体系结构与技术路线,采用灵活的系统构建模式。
依据教育管理与应用系统的实际需要与教育电子身份认证服务系统的总体规划,采用“成熟一个、建设一个”的构建机制,建设教育电子身份认证服务系统,以满足各级教育行政管理部门、各级各类学校与教育机构的不同应用需求、不同建设规模、不同建设进度、不同信息化应用水平、不同经济条件、不同投资规模、不同网络环境、以及不同建设时期系统升级特点等教育管理与应用系统需求特点的需要。
2)面向教育管理与应用系统的可扩展的功能体系
教育电子身份认证服务实现的功能体系,必须紧密结合教育管理与应用系统的需求,不仅可以“安全、有序”地实现现有的教育电子身份认证服务的功能,还具有“安全、有序”地扩展其功能的能力,不断拓宽电子认证应用服务领域。
3)整合商用密码产品定点生产单位与应用开发商的业务体系
构建教育电子身份认证服务系统时,一方面需要与有实力的商用密码产品生产定点单位密切配合,面向教育管理与应用系统,不断开发新的教育电子身份认证服务与商用密码产品;同时,也需要与有实力的教育管理与应用系统开发商或系统集成商合作,有效地将教育电子身份认证服务集成到各类教育管理系统中,推动教育电子身份认证服务的发展。
4)采用网络优势的全程在线业务申请服务体系
通过互联网,为教育行业用户提供不受时间、空间限制的在线证书业务申请方式,只需具备上网条件(目前大多数教育机构已通过各种方式接入到互联网),用户(单位与个人用户)甚至可以足不出户就能完成证书业务的申请;同时,在内部业务处理过程中,通过网络实现有关申请信息与业务处理过程信息的共享与交换,避免繁琐的手工重复录入等操作,提供流程化、实时在线的业务处理与管理功能,提高业务处理的速度与管理效率。总而言之,利用网络的优势,为用户提供实时、在线、便捷的证书服务业务,为教育电子身份认证服务的推广应用奠定基础。
二、部署教育认证系统的总体指导思想
部署教育认证系统应遵循“统一规划、分步实施、试点先行、应用为重”的总体指导思想。
1.统一规划
部署教育行业认证系统是一项复杂的系统工程,必须考虑教育行业的特殊性,必须考虑各地、各级各类学校的资源条件与经济条件的差异性,必须考虑各部门、各单位与各级各类学校规模的差别,必须考虑部署时间的不一致性,同时,必须考虑最终形成全行业统一证书认证与服务的完整体系。因此,必须制定统一的教育认证系统建设与部署规划,建立相关标准与管理规范,采用统一的技术平台,确保全行业认证系统的融合与互通,避免“各自为政,盲目投资”,降低整个教育认证系统建设的成本。
2.分步实施
考虑到各级教育管理机构、各级各类学校的教育管理信息化应用建设水平不一,对教育认证系统的应用范围和应用需求不同,对教育认证系统需求的紧迫性不同。因此,必须采取分步实施,分级投资原则。在教育部部署“一级教育证书认证系统”,为各级教育管理机构、各级各类学校自主部署的二级教育认证系统签发认证机构证书。各级教育管理机构、各级各类学校可根据自身的业务需要,向“一级教育证书认证系统”申请认证机构证书,独立建设本单位的教育认证系统,不受其他机构或单位是否建有认证系统的限制。这样,满足了教育认证系统“分布式部署,成熟一个、部署一个”的灵活部署要求。
3.试点先行
按照教育管理信息化应用系统的建设试点工程的指导原则,为降低系统建设风险,保证系统应用成熟、稳定与可靠,采取“先试点、后推广”模式。在试点中不断完善与丰富教育认证系统,促进教育认证系统与其他业务系统的融合与互通,为全行业推广教育认证系统积累经验。
4.应用为重
部署教育认证系统的目的是提升教育信息化的安全水平。只有通过在各类业务系统中集成与应用教育电子身份认证服务,才能充分发挥教育电子身份认证服务对教育信息化建设与应用的安全保障作用,同时,也才能促进教育电子身份认证服务业务的发展,不断拓展与丰富教育电子身份认证服务的内容。
为推动教育电子身份认证服务在教育信息化应用系统的应用,需不断加强基于教育认证系统的支撑服务系统建设,为教育电子身份认证服务与其他业务系统的集成与融合提供“支撑桥梁性产品”,为各类业务系统提供“可用、易用、实用”的密码应用支撑服务。
三、教育认证系统的建设
1.建设模式概述
根据部署教育认证系统“统一规划、分步实施、试点先行、应用为重”的总体指导思想,教育认证系统的部署总体上分为“一级认证中心建设、省级试点建设与全面推广建设”三个阶段。
2.一级认证中心建设
教育认证系统采用了国家密码主管部门批准的新型“二级签发、三层服务”证书认证服务体系。在“二级签发、三层服务”体系中,“中央级教育电子身份认证服务中心”(亦称为一级认证中心)的建设是教育行业认证体系建设的基础。一级认证中心的建设内容主要包括“一级教育证书认证系统”、“全国教育证书服务系统”与“中央教育电子证书签发系统”的建设。
“一级教育证书认证系统”是教育行业认证系统的根系统,负责为各二级认证系统签发认证机构证书。
“全国教育证书服务系统”负责所有教育电子证书的存储与面向全国教育行业提供证书服务,是各级教育管理机构与各级各类学校根据自身业务需要而独立建设的教育认证系统所签发证书的汇集点。
“中央教育电子证书签发系统”负责为教育部机关、教育行业性应用(例如,教育卡、教育公文交换等)的机构、个人、设备等实体提供证书签发服务。
一级认证中心由教育部负责组织实施,目前,已完成系统建设,并向国家密码主管部门申请验收。
3.省级试点建设
新型的认证服务体系,实质上就是教育电子身份认证与教育业务系统相结合的密码应用服务体系,需要通过在教育信息化实际应用中试行,验证密码应用技术规范中的“教育电子身份认证服务”与“应用系统”有机集成与融合的技术、方法与路线,确实满足教育信息化实际应用对教育电子身份认证服务的需求,探索“教育电子身份认证服务与应用系统的集成与融合”的经验;同时,经过较大范围内的试点,探讨新的业务与服务模式,摸索经验,产生示范效应,为逐步实现教育电子身份认证服务与教育管理与应用系统的集成与结合奠定基础。
教育电子身份认证服务中心省级分中心是整个教育电子身份认证服务体系中承上启下的重要环节,以省级分中心建设为主要内容的省级试点建设是教育认证系统建设与试点的关键与重点。
4.系统推广建设
在省级试点成功的基础上,总结教育认证系统的建设、运营服务与应用经验,按照教育电子身份认证服务发展与推广的总体规划与具体部署,采用“政府引导、市场运作、行业管理”的应用推广模式,逐步有序地在全国各级教育行政管理部门、各级各类学校与教育机构进行推广。
通过政府引导,确立了“教育认证系统”的行业统筹安排与权威性,统一规划系统建设,为行业用户提供整体的教育电子身份认证服务与运营,确保系统建设与运营的稳妥、有序地进行。
在“政府引导”的总原则下,采用“市场运作”的运营模式,由各建设单位负责组织筹备资金,引进社会资本进行投资建设“教育认证系统”,加快服务系统建设的进度,促进教育电子身份认证服务的推广与应用,确保教育电子身份认证服务的健康发展。
根据不同地区、不同应用、不同单位(教育管理部门、学校、教育机构)自身的实际应用需求建设的“教育认证系统”,采用行业的技术标准规范与统一的技术体系平台,实现教育电子身份认证服务的“行业统一管理”。
(1)“集中建设、集中运营”的推广模式
由运营“一级认证中心”的机构(以下简称为“一级认证中心”)负责组织社会资本对需要建设“教育认证系统”的某一地区或某一单位(即管理部门、学校、教育机构)进行投资、由项目承建单位进行建设,并由一级认证中心统一负责教育电子身份认证服务的业务推广与应用。一级认证中心为负责该地区管辖范围的各类教育单位(即管理部门、学校、教育机构)与个人发放教育电子证书,并提供认证服务。
(2)“集中建设、自主运营”的推广模式
由一级认证中心负责组织社会资本对需要建设“教育认证系统”的某一地区或某一单位(即管理部门、学校、教育机构)进行投资、由项目承建单位进行建设,某地区根据本地区管辖范围的各类教育单位(即教育管理部门、学校、教育机构)的实际需要,划分相应的系统资源,由各教育单位自主运营,负责本单位(即教育管理部门、学校、教育机构)的教育电子身份认证服务的业务推广与个性化应用。
(3)“代建托管、自主运营”的推广模式
对于建设条件暂不成熟、但应用又迫切需要教育电子身份认证服务的教育地区或单位(即教育管理部门、学校、教育机构),可以委托一级认证中心,组织社会资本进行投资、由项目承建单位进行代建“教育认证系统”,并托管到上级“教育认证系统”,而委托单位仅需负责本单位的教育电子身份认证服务的业务推广与应用集成。这样,有效解决了教育电子身份认证服务的迫切需求与系统建设条件暂不具备的矛盾。
(4)“自主建设、自主运营”的推广模式
对于建设条件已经成熟、且应用又迫切需要教育电子身份认证服务的某一地区或某一单位(即教育管理部门、学校、教育机构),根据本地区或本单位自身的教育管理与应用系统的需要,采用教育行业的统一平台与选择的商用密码产品,项目承建单位与一级认证中心共同负责提供建设、应用与运营等方面的咨询与技术支持服务,建设本单位的“教育认证系统”,满足各地区或各单位(即教育管理部门、学校、教育机构)“自主建设、自主管理、自主运营、自主应用”的需要。
四、教育电子身份认证服务的应用
1.教育电子身份认证服务概述
教育电子身份认证服务主要包括(但不限于)数据加密/解密服务、数据签名/验证服务、数据安全传输服务、身份验证服务等服务内容。
(1)数据加密/解密服务
基于教育认证系统的密码服务接口,为教育信息化业务应用系统提供数据加密、数据解密等服务,保障业务应用系统敏感信息的机密性。
(2)数据签名/签名验证服务
基于教育认证系统的密码服务接口,为教育信息化业务应用系统提供数据签名、数据签名验证等服务,保障业务应用系统相关数据的完整性。
(3)数据安全传输服务
基于教育认证系统的密码服务接口,综合采用数字签名、数据加密等技术,实现数据通过网络传输的安全管理,为教育信息化业务应用系统提供数据安全传输服务,保证数据在传输过程中机密性、完整性与不可否认性。
(4)身份验证服务
基于教育电子身份证书,为教育信息化业务应用系统提供安全身份验证服务。
(5)权限管理服务
基于教育认证系统的密码服务接口,为教育信息化业务应用系统提供授权管理服务,提供用户身份到应用授权的映射功能,提供与实际应用处理模式相对应的、与具体应用系统开发和管理无关的授权访问控制机制,简化具体应用系统的开发与维护,提高系统的整体安全性。
根据教育信息化业务应用系统的安全保障的需要,不断开发、应用推广新的教育电子身份认证服务,扩充教育电子身份认证服务的功能与内容,为各类教育信息化业务应用系统集成电子认证服务提供有效、及时、专业的技术支撑服务,实现教育电子身份认证服务与教育信息化业务应用系统的集成与融合。
2.教育电子身份认证的典型应用
根据教育信息化应用的需求,在教育认证系统的基础上,综合采用数据加密、数据签名等安全服务,解决教育电子校务、数据资源管理以及其他教育行业性应用等业务应用系统的机密性、完整性、可用性、可控性与不可抵赖性等问题。下面以可信学生数据系统为例,具体说明教育电子身份认证服务在教育信息化应用系统中的应用。
(1)系统概述
可信学生数据系统实现可信学生数据采集与生成、可信学生数据库建立、为服务对象(用户或应用系统)提供可信学生数据服务功能。
可信学生数据系统的核心功能是采集并生成可信学生数据,具体包括原始数据采集、可信学生数据生成、可信学生数据存储三个环节。
原始数据采集是指从现有的各类教育信息化应用系统中采集、抽取可信学生数据的原始数据或者由相关的信息责任人录入原始数据。
可信学生数据生成是指根据可信学生数据的组织与格式的要求,对原始数据进行加工、处理,生成统一格式的可信学生数据。
可信学生数据存储是指将生成的可信学生数据安全存储在数据库系统中。
同时,可信学生数据系统可为用户或应用系统提供可信学生数据服务,包括可信学生数据查询、可信学生数据验证、可信学生数据下载等等。
可信学生数据系统的体系结构如图1所示。
(2)教育电子身份认证应用需求分析
可信学生数据系统对教育电子身份认证应用需求主要包括(但不限于):
1)原始数据的完整性与机密性需求。原始数据采集过程中,可信学生数据系统必须能确认原始数据的完整性,对于原始数据中的敏感信息,必须能保证其机密性;
2)提供原始数据的不可否认性需求。可信学生数据系统必须确认原始数据提供者提供原始数据的操作,操作者不能否认自己提供的数据或曾执行过的操作;
3)可信学生数据的完整性和机密性需求。可信学生数据系统必须能保证存储在系统中的可信学生数据的完整性,对于可信学生数据中的敏感信息,必须能保证其机密性;
4)数据服务结果的完整性与机密性需求。可信学生数据系统为服务对象提供可信学生数据服务时,必须保证提供的数据服务结果的完整性,并保证其中敏感信息的机密性;
5)系统的可用性需求。系统提供的各项服务功能,必须能稳定可靠地运行,执行正确的业务流程,并产生可信的、真实的、正确的处理结果;
6)系统的可控性需求。系统能有效确认用户(服务对象)的身份,控制用户(服务对象)的行为,防止合法用户的越权操作以及非法用户入侵系统,滥用或破坏系统的资源;
7)系统日志管理的安全性需求。系统必须保证所有日志的生成、查询、归档、审计等功能的安全性;
8)数据传输的完整性与机密性需求。主要包括可信学生数据系统与原始数据提供者之间、可信学生数据系统与服务对象之间的数据传输的完整性与机密性需求。
(3)教育电子身份认证应用需求实现
基于教育认证系统提供的教育电子身份认证服务,可信学生数据系统对教育电子身份认证应用需求实现说明如下。
1)原始数据的完整性与机密性。通过教育电子身份认证服务的数据加密服务,原始数据提供者对原始数据中的敏感信息进行加密;通过教育电子身份认证服务的数字签名服务,对原始数据进行签名;
2)提供原始数据的不可否认性。通过教育电子身份认证服务的数字签名服务,原始数据提供者对原始数据进行签名;通过教育电子身份认证服务的数字签名验证服务,可信学生数据系统对原始数据的签名进行验证;
3)可信学生数据的完整性和机密性。通过教育电子身份认证服务的数据加密服务,可信学生数据系统对可信学生数据中的敏感信息进行加密;通过教育电子身份认证服务的数字签名服务,对可信学生数据进行签名;
4)可信学生数据服务结果的完整性与机密性。通过教育电子身份认证服务的数据加密服务,可信学生数据系统对可信个人服务结果中的敏感信息进行加密;通过教育电子身份认证服务的数字签名服务,对可信个人服务结果进行签名;
5)系统的可用性。通过教育电子身份认证服务的数字签名服务,对系统的功能模块与系统配置数据进行签名,加载系统功能模块和读取系统配置参数时,通过教育电子身份认证服务的数字签名验证服务,对其签名进行验证,确保功能模块与相关配置数据的完整性,保证各项功能的执行与处理流程的正确性与可信性;
6)系统的可控性。通过教育电子身份认证服务的身份验证服务,实现系统的用户的身份验证;通过教育电子身份认证服务的权限管理服务,实现系统的访问控制以及权限管理;
7)系统日志管理的安全性。通过教育电子身份认证服务的数字签名服务,对系统日志进行签名;
8)数据传输的完整性与机密性。通过教育电子身份认证服务的数据安全传输服务,实现可信学生数据系统与原始数据提供者之间、可信学生数据系统与服务对象之间的数据安全传输。
五、结束语
浅析GSP认证贯穿课程教学的应用 篇7
面临药品经营企业快速发展的机遇以及GSP认证制度的强行执行,《药品经营质量管理规范》课程为学生将来走上工作岗位奠定基础,满足行业对高素质人才的要求[1]。《药品经营质量管理规范》是一门理论性很强的学科,在实际的教学过程中,学生反映法规条款多内容琐碎,课程理论性太强,课堂教学不够生动,学起来枯燥乏味,兴趣不浓。但《药品经营质量管理规范》是药品经营与管理专业必修的一门专业课,是药品在流通过程中保证药品符合质量标准的一整套管理标准和规程。那么如何激发学生的学习兴趣,提高学生经营管理的实践能力,结合课程用途,将做好以下几个方面的改进。
1 以就业为导向,GSP认证贯穿教学
从市场需求以及高职医药专业学生就业形势来看,大部分学生的就业流向于药品流通领域。我们所培养的药品经营与管理专业学生,其就业目标定位就是医药经营、医药外贸及医药管理等单位从事医药商品的购销、调储、检测及质量控制等工作。故而我们在实际教学过程中,应该以市场为导向,加强理论与实践的结合。现有《药品经营质量管理规范》的教学,主要是从机构与人员、设施设备、质量管理体系文件、购进管理、药品验收入库、存储与养护、出库与运输管理、销售和售后服务、GSP认证等方面进行讲授。
在教学中我们确立以通过GSP认证为教学目标,《药品经营质量管理规范》实际应用性很强,教学中通过实践与理论的结合,使学生在药品经营实践中学习理论知识应用理论知识。教学内容需要跟紧时代的脚步,关注医药经济的发展满足了我们药品经营与管理专业学生知识的拓展,增强专业人才培养的适应性和跟踪管理发展趋势的能力,满足人才市场发展和经济社会发展的需求。
2 不同教学方法的应用,提高教学质量
2.1 PBL教学法在《药品经营质量管理规范》教学中的应用
PBL即基于问题的学习 (problem-based learning) , 简称pbl, 也称作问题式学习。是加拿大麦克玛斯特大学医学院首创的一种新的教学模式, 是一种借由讨论的主题来建构与自己的主题相关知识的过程, 是一种以学生为主体教师为辅导协助者的教学模式[2]。在《药品经营质量管理规范》教学中应用PBL教学法通过学生的相互合作来解决真正的问题。例如老师给出一药店向一医药营销公司进货20箱, 验货时发现20箱药品损坏2箱破损一箱如何处理, 学生通过小组讨论, 资料查阅, 活动汇报, 解决问题后的反思等, 教师通过提问问题, 启发学生整合知识解决问题的能力。对学生将来进入工作解决遇到实际问题打好基础。
2.2 实训基地仿真的教学环境在《药品经营质量管理规范》教学中的应用
《药品经营质量管理规范》主要应用于药品批发企业、批发连锁企业、药店零售, 校内外的实训基地给学生提供了一个很好的学习场所。书本理论知识过于空洞乏味在模拟药店可以实际操作给学生看药品如何成列, 如何养护, 企业部门分类。校外的药店, 实训基地更多的给予学生观察发现现实工作中应该如何实施《药品经营质量管理规范》。
在仿真的教学环境中,将学生分组要求组长给予每个同学进行定岗,有总经理、质量管理部门、购进部门、采购部门、仓储部门、养护部门、销售部门、法律部门、财务部门等,运用在GSP认证中各部门的任务配合最终通过GSP认证。在这过程中各部门有主导有配合,根据每个小组认证时拿出的资料进行评比,形成了小组成绩及学生个人成绩汇总成每个学生的平时成绩,有合作、有竞争增加了学生的学习兴趣。
2.3 案例教学法在《药品经营质量管理规范》教学中的应用
案例分析教学法是近几年常用教学法之一,最初是在美国哈佛大学医学院和法学院开始运用。《药品经营质量管理规范》课程教学中应用近年来药品在药品批发企业、药店连锁企业经营过程中的案例分析,使学生自己去分析问题,应用理论知识解决问题,同时还培养了学生自主解决问题的能力。
3 新鲜教学模式的构建
3.1 课堂教学模式
教学模式的不断发展,是课程改革的原动力。从原来只注重教到现在的更注重学,发生了颠覆性的改变,以学生为主体,在教学活动中要以学生所吸收知识多少为根本。《药品经营质量管理规范》教学中根据课程应用多种教学模式交叉。有巴特勒学习模式,即设置情境、激发动机、组织教学、应用新知、检测评价、巩固练习、拓展与迁移。同时也运用抛锚式的教学模式,以问题为引导课堂的开始。
3.2 实践教学模式的构建
实践教学是高职教育的亮点也是特色,在《药品经营质量管理规范》课程教学中以项目为划分,将理论课时与实践课时进行1:1的比例分配。方法一:在实践实训中我们将带领学生到市区药店以及医药营销公司进行实地调研。方法二:学校将联系一家GSP认证公司,以学生实践的方式加入某公司GSP认证工作,在工作的同时真正领会到《药品经营质量管理规范》的细节。
4 讨论
药品经营企业在经营过程中严格执行药品经营质量管理的各项规章制度,不仅可以有效地保证药品的质量, 保证经营活动的正常开展[3]。这就意味着《药品经营质量管理规范》这门课程的重要性,教学改革的迫切性。而以GSP认证为主线贯穿教学过程,促使在教学改革中,教师应首先改变传统的教学观念,即教学就是“讲课”,就是把书本知识传递给学生[4]。《药品经营质量管理规范》课程教学的改革会随着药品经营领域的发展,教学方法的不断的创新而改变,本文所提出的以GSP认证为任务,利用我校海王星辰健康药房进行小组教学结合各种教学方法,增加学生兴趣、明确教学目标、提高教学质量的思路是结合从事《药品经营质量管理规范》教学过程中的一点教学体会与心得。
摘要:目的:课程《药品经营质量管理规范》是高职药品经营与管理专业的一门必修课。如何改变传统枯燥的光理论教学, 提高课堂的教学质量是老师一直致力研究的方向。方法:班级进行小组教学模式以通过GSP认证为主线, 应用不同的教学方法结合我校海王星辰健康药房、医药营销公司仿真教学环境, 从完善硬件设施、软件设施方面结合理论讲述课程。结果与结论:课堂教学目的明确、任务鲜明、课程知识实用、提高课堂的教学质量。
关键词:GSP认证,课程,教学应用
参考文献
[1]万春艳, 单海艳, 白玉华.药品经营质量管理规范 (GSP) 实用教程[M].北京:化学工业出版社, 2012:1.
[2]王亚男, 杨胜祥.高职高专院校药学专业《药事管理学》教学改革探讨[J].华商, 2002 (6) :92.
[3]何晓敏.药店经营管理与实行GSP的点滴体会[J].海峡药学, 2009 (8) :218-219.
认证应用 篇8
对于金融行业,如果局域网非法接入问题不能有效的解决,其内部网络则处于一个不可控状态下。有些不法分子可以通过网内接口接入,盗用其他人的合法身份,进行非法活动,而网管人员却没有及时有效的发现和阻断。一旦出现这样的情况,其后果是相当严重的。正是在这种情况下,我们为某银行开发了一套静脉生物认证系统,为该银行的内部金融系统增加了安全性,解决了非法接入的问题。
1 RADIUS相关技术介绍
1.1 RADIUS技术说明
RADIUS(Remote Authentication Dial In User Service)远程用户拨号认证服务,是网络远程接入设备的客户和包含用户认证与配置信息的服务器之间信息交换的标准客户/服务器式。它包含有关用户的专门简档,如:用户名、静脉生物特征、接入口令、接入权限等。这是保持远程接入网络的集中认证、授权、计费和审查等得到接受的标准。
RADIUS是一项被大部分远程访问、路由器和VPN厂商所采用,用于对远程访问用户机型集中网络鉴别的标准化通信协议。RADIUS使用客户/服务器模式,网络访问设备作为RADIUS服务器的客户端,例如Cisco交换机(NAS)。RADIUS服务器负责接收用户的连接请求、对用户进行鉴别,然后将所有客户端所需的配置信息传回,以便为用户提供服务。RADIUS服务器支持PPP、PAP、CHAP、UNIX登陆,以及其它鉴别机制。RADIUS协议具有良好的扩展性,可以在不干扰现有协议实施的情况下增添新的属性。
RADIUS是一种在网络接入服务器(Network Access Server)和共享认证服务器间传输认证、授权和配置信息的协议。RADIUS使用UDP作为其传输协议。
1.2 静脉技术技术说明
静脉特征是每个人唯一的特征,具有以下的特点:
1)高安全性,静脉信息数身体内部信息,难以被盗取,它不会像指纹那样有残留信息,而且每个人的静脉信息难于雷同,常年不变。
2)高让你整精度,手掌静脉数多,复杂并相互交叉,保证搞认证精度。
3)高包容性,手掌是谁都可以随时作为身份认证的部位,而且是非接触认证,清洁卫生。
1.3 本系统的技术特点
1)基于IEEE802.1X协议的“网络链路层”认证机制;
2)采用MS-CHAP v2协议的PEAP认证方式;
3)由Cisco ACS委托第三方的Radius进行安全认证;
4)最终的认证结果,由手掌静脉生物识别认证决定;
5)有Cisco ACS管理网络设备资源;
6)ACS与Radius之间通讯,须通过CA认证
具体的说,系统由申请者、Cisco ACS网络设备资源管理平台、Radius认证、服务器、手掌静脉生物识别认证组成,基于IEEE802.1X协议的“网络链路层”认证机制,是一种基于用户静脉生物特征和ID来进行交换机端口通讯的身份认证,称为基于端口的访问控制协议”。提供基于端口监听的网络接入控制技术,在网络设备的物理接入层对接入设备进行认证和控制。根据用户手掌静脉生物特征,通过802.1X协议PEAP方式的MS-CHAP v2协议,当Cisco ACS接收802.1X的EAP接入网认证请求,委托第三方的Radius(ACS与Radius之间须CA认证通过,才能进行通信)服务认证,并根据“手掌静脉认证服务”认证结果,决定该端口是否打开,是否对Cisco交换机下发VLAN策略;对于非法用户接入或者没有用户接入时,则该端口处于关闭状态。接入认证通过之后,IP数据包在二层普通MAC帧上传送,认证后的数据流和没有认证的数据流完全一样,这是由于认证行为仅在用户接入时刻进行,认证通过后不再进行合法性检查。当用户断网后,如果需要再次连网,则需要进行二次认证。
本系统使用MS-CHAP v2协议的PEAP方式,进行密码、手掌静脉生物识别认证。
1.4 系统的802.1X的认证过程(PEAP方式)(注:AP为Cisco交换机)
1)创建一个连接后,AP发送一个EAP-Request/Identity消息给客户端。
2)客户端恢复一个EAP-Response/Identity消息,包含客户端的标志。
3)AP把这个消息传递给Cisco ACS,ACS转发给Radius服务器。从现在开始,逻辑通信就从Radius服务器到客户端了,AP,AC,ACS是一个中介设备。
4)Radius服务器发送一个EAP-Request/Start PEAP消息给客户端。
5)客户端和Radius服务器发送一系列的TLS消息通过协商简历的隧道。Radius服务器发送一个整数链让Cisco ACS认证。最后,Radius服务器已经认证了Cisco ACS。两端都决定使用的加密信息。在PEAP TLS隧道创建后,采用MS-CHAPV2认证。
6)Radius服务器发送一个EAP-Request/Identity消息。.
7)客户端发送一个EAP-Response/Identity消息,消息包含用户名。
8)Radius服务器发送4个EAP-Request/MS-CHAP-V2挑战消息,包含挑战字符串。以便传输静脉数据。
9)客户端恢复4个EAP-Response/MS-CHAP-V2恢复消息,包含对这个挑战的应答和4个自己的挑战。发送静脉数据。
10)向Palm Server请求静脉认证。
11)向Palm Server响应Radius服务器请求,并告知认证结果。
12)Radius服务器EAP-Request/MS-CHAP-V2成功的消息,之处客户端的回应是正确的,并包含客户端的挑战字符串。
13)客户端回应一个EAP-Response/MS-CHAP-V2的ACK消息,指示Radius服务器的回应消息是正确的。
14)Radius服务器发送一个EAP-Success消息。
15)Cisco ACS接收到第三方Radius代理服务器,回应的认证结果Radius包的EAP-Success消息,以此管理待接入的终端设备网络资源。给交换机发送相应的VLAN策略,决定是否开放相应的网络端口。
1.5 系统认证过程时序图(如图1)
图1为系统认证过程时序图。
2 系统架构
2.1 系统的总体结构(如图2)
2.1.1 客户端
主要由用户操作界面、802.1X通讯、静脉数据采集等模块组成。
1)用户操作界面,提供了用户进行操作的人性化操作界面;
2)802.1X通讯,主要功能是,封装802.1X协议客户端和服务端服务,可发送和接收EAP包,已经发送静脉数据;
3)“PALM驱动”用于驱动,手掌静脉传感器;
4)“PALM静脉采集服务“主要功能是,通过驱动程序,控制静脉数据采集器,读取用户的静脉数据。并将静脉数据按照一定格式进行打包,以便发送。
2.1.2 思科交换机
网络设备,可以进行底层的802.1X通讯,并根据一定的VLAN策略,进行网络端口的控制。
2.1.3 思科ACS
网络设备资源管理平台,并设置第三方的Radius服务认证。
2.1.4 Radius服务
Radius服务主要功能是,接收由Cisco ACS转发过来的Radius数据包以及静脉数据,进行Radius服务接入认证,并接收静脉数据,申请“静脉服务”进行静脉生物识别认证,最后,根据静脉生物识别认证结果(成功与否),向Cisco ACS发送Radius数据包,告知是否认证通过;由Cisco ACS决定该端口是否打开,是否对Cisco交换机下发VLAN策略。
2.1.5 静脉认证服务
静脉认证服务,由“管理系统”、“静脉认证服务”等模块组成。
管理系统,主要功能是注册用户个人信息及用户生物特征信息,以及用户权限、用户日志、用户报表等功能。
静脉认证服务主要功能是,接收Radius服务转发过来的静脉数据,进行静脉生物识别认证,并将认证结果,告知Radius服务器。
2.2 系统体系结构(如图3)
静脉采集设备连接到用户使用的PC上,PC再通过网络连接到思科交换机,思科交换机跟思科ACS等连接一起,并且由思科ACS进行统一的网络管理,同时银行的业务系统也连接到了这个网络上面。思科ACS也跟RADUIS服务器通过网络连接在一起,以便需要时,调用RADUIS服务器中的服务。静脉数据认证服务器跟RADUIS连接,以便RADIUS调用器服务,进行静脉数据的认证。
3 系统实现
客户端:
初始界面大概如图4所示。
用户需要先输入用户名和密码,然后把手掌放在静脉数据采集器上,点击“读取静脉数据”按键,如果读取正确,给出相应提示。当输入完用户名和密码,以及成功读取了静脉数据之后,就可以点击“登录”,开始进行认证了。
客户端读取静脉数据,是通过调用静脉采集器厂家提供的驱动来实现的,比较简单。客户端比较难的是802.1X通讯部分,系统使用了supplicant来实现。
首先需要对EAP通讯进行初始化,例如:
建立连接后,交换机会发送EAP请求,客户端就需要进行EAP响应,如下所示:
取得交换机发过来的数据后,需要对数据包进行解析处理,如下所示:
RADIUS我们使用的是freeradius,通过一定设置、修改,使思科ACS能调用其服务,而且在调用前,进行相应的CA认证。同时RADIUS服务也能调用静脉数据认证服务。
静脉数据认证服务,使用SQL SERVER2005来存储每个用户的用户名、密码、静脉数据、权限等数据。这里的程序功能主要就是对用户名、密码、静脉数据等,进行对比,并根据用户的权限设置,把相应结果返回给调用者。
4 结束语
本系统已经上线根据用户的反映,系统运行稳定,效果很好。起到了预期的安全认证作用。大大增加了用户的内部金融业务系统的安全性。
摘要:内网安全已经成为各大中型企业用户极为关注的问题。为了解决内网的安全问题,将RADIUS技术与静脉生物技术相结合,设计了一套高安全性的静脉生物认证系统。
关键词:网络安全,生物认证,RADIUS,静脉
参考文献
[1]National Institute of Standards and Technology.Advanced Encryption Standard(AES).Federal Information Processing Standards Publica tion 197[S].2001.
[2]Wayman J L.Fundamentals of biometric authentication technologies[J].Int.J.Image Graph,2001,1(1):93-113.
[3]IETF RFC 2058-Remote Authentication Dial In User Service(Radius)[S].January 1997.
[4]IETF RFC 2059-Radius Accounting[S].January 1997.
基于PKICA跨域认证平台的应用 篇9
公钥基础设施(PKI)是为电子政务、电子商务提供安全的,遵循标准的利用公钥密码技术,具有广泛的通用性;靠非对称密码算法技术和原理提供安全服务,为网络应用提供所需要的证书和密码管理。PKI系统主要包含五个方面,分别是应用接口(API)、密钥备份及恢复系统、权威认证机构(CA)、证书作废系统和数字证书库。公钥基础设施(PKI)的优点主要是具有支持可追究服务,为原发数据提供了更高级别的担保,更好地保护弱势个体;具有保护机密性,为相互认识的实体之间及陌生的用户之间都可以提供保密支持;没有安全验证服务在线的限制,能为更广阔的用户提供服务;应用领域不受具体应用的限制,具有极强的互联能力。
2 PKI体系存在的问题
2.1 在密钥管理方面
PKI的问题主要集中在认证中心及用户密钥管理上。如果认证机构和用户的私钥丢失或失密将会产生严重的信任问题。因此,认证机构和用户的私钥管理尤为重要,一旦私钥丢失或失密将会导致由该认证机构及下游组织所组成的信任体系的崩溃。
2.2 在法律法规方面
在全世界范围内,PKI的相关法律发建设都有待加强,许多国家已经赋予了数字签名和手工签名同等的法律地位。特别是在我国,目前尚无完善的有关PKI技术应用的相应的立法,认证中心和密钥托管中心本身的法律地位、建立程序、业务运作规则等都需要立法予以明确。
2.3 在相关配套服务方面
面对黑客的四处活动,我国的PKI行业还面临另外一个问题:当用户利用遭受严重的损失时,没有一种有效的赔付机制来理赔和保险,而这正是国内认证机构在建立信誉时面临的问题。而在国外,认证机构的赔付机制大多依靠保险,但目前中国没有这一险种。
2.4 在技术规范方面
在我国,认证中心的建设没有统一标准,各自为战,造成大量的重复建设。当前,国内的PKI产品与服务市场正进入诸侯割据的时代。各认证机构发放的证书在相互兼容、互通互用方面也存在很多问题。
2.5 在安全管理方面
PKI本身一种信息安全机制,其目的是在虚拟世界里建立起一种信任机制,因此作为提供PKI服务的认证机构本身必须满足一定的安全条件,才能真正建立起可信的网络应用环境。所以,必须有一套规范来对认证机构的安全性进行必要的评估和管理,以保证认证机构的可信性。除此之外,各认证机构向用户提供PKI服务时,规范尚未统一,且服务规章也不健全,因此,必须要有有关部门对PKI行业进行统一的监管,并在竞争的同时加强合作。
2.6 在用户认识方面
用户是PKI应用的宿主,用户对PKI的认识程度与水平直接影响着我国PKI行业的发展。大部分用户对PKI这一新技术了解的比较少,所以就谈不上应用了。因此,我国的PKI行业必须花大力气去培育用户群体。
3 PKI技术在HIS中的运用分析
3.1 开发工具分析
本文中PKI系统的操作系统为Windows XP,相关信息和证书的存储工具为SQL Server2000数据库,开发工具为Open SSL软件包和VC++6.0。用C语言编写的Open SSL软件包具有优秀的跨平台性能,可在多个平台上安装使用,如VMS、Windows、Mac、Linux等,具有广泛的适用性。Open SSL可以提供多种功能,如大数运算、数字证书和CRL操作、大量加密算法、SSL协议实现、非对称算法密钥生成、摘要算法等。
3.2 密钥对生成技术分析
密钥对产生的方法主要有两种:(1)集中式产生:先由PKI的密钥管理中心的系统产生密钥对,然后交由CA的证书管理模块完成数字证书的制作,最后把证书和私钥交给用户:(2)分布式产生:先通过外部的硬、软件,用户在本地产生并存储密钥对,然后将用户信息和公钥并传给CA,由CA为用户签发数字证书,最后将用户证书安装在本地使用。这两种方法比较而言,集中式应用更为广泛。
3.3 CA私钥备份技术分析
管理私钥是PKI系统中的一大难点,是一项长期、细致、复杂的工作。私钥参与了CA所有的操作,因此在私钥的使用和传输过程中,其安全性非常重要。所以为了避免因私钥丢失对用户和系统带来安全隐患,一般PKI系统都含有私钥备份环节。本文对CA私钥的备份选用Shamir门限方案。Shamir门限方案是一种基于多项式的Lagrange插值公式的门限方案,体现的是一种秘密共享的思想。将Shamir门限方案应用到CA的私钥安全管理上,将CA私钥分别保存到5个影子服务器中。当CA私钥的遗失时,由影子服务器处获得私钥影子,恢复CA私钥。
3.4 时间戳技术分析
HIS系统中一个重要的问题是可能存在篡改信息的时间顺序。涉及到医疗责任的人员可能篡改医嘱和病历内容,用自己的证书再次签名,对以前的问题文档进行替换。为了避免出现篡改信息的时间顺序,在签名时就附加上一个被第三方和法律认可的时间戳,证明了电子文件内容完整性及产生的时间,解决了电子文件的时间和内容被篡改的问题。使用时间戳技术时应遵循时间戳协议。此协议包括用户、验证者、时间戳服务器三方。
参考文献
[1]冯素梅.PKI网络安全认证技术分析与研究[J].信息与电脑(理论版),2010(03):12-14.
[2]United States General Accounting Office.Advances and Re-maining Challenges to Adoption of Public Key Infrastructure Technology.Washington,D.C.:GAO,2001:74.
[3]高志宏.医院信息系统的安全与保密[J].医院管理论坛,2008(10):34
[4]United States General Accounting Office.Status of Federal Public Key Infrastructure Activities at Major Federal Departments and Agencies.Washington,D.C.:GAO,2003:7.
[5]Carlisle Adams,Steve Lloyd.Understanding PKI.Second Edition.Boston:Addison-Wesley,2002:28.
[6]曹炳华,孟凡涛.三网融合中一体化身份认证机制研究[J].信息网络安全,2012,(03):49-51.
运营商统一移动认证方案与应用 篇10
随着移动互联网应用的丰富,为了便于用户免于申请和记忆众多的帐号,应用系统逐渐采用大型SP帐号、手机号码或者email等作为账号信息。例如,大众点评网可以使用QQ帐号登录认证;而国外的很多网站也可以使用Facebook、Google的帐号进行登录。但是由于各地区流行应用的多样性,目前,还没有一个能登录不同应用的统一账号及其认证方式。
FIDO联盟提出了UAF(无密码指纹认证)与U2F(第二因子认证)认证解决方案,全球较大的SP包括阿里巴巴、Google等等都表示支持FIDO方案,但这只是一种认证技术的标准,只有全球SP都采用这种方案,才能够实现FIDO登录全球SP。
2015年,GSMA在个人数据项目中提出Mobile Connect(移动互联,以下简称MC)业务,旨在提供一个具有全球一致性和互操作性的移动互联网认证服务,并支持其在运营商市场的部署。该业务主要以运营商手机号为认证帐号、以手机为认证载体、在全球运营商联盟内实现认证系统的互联、向全球用户提供可分不同安全级别的并且体验一致的移动手机认证业务。欧洲多数运营商已经在其全球业务中开展Mobile Connect的试验与业务发布。
2 Mobile Connect方案
图1为Mobile Connect的技术方案,它主要分为手机本地验证、在线认证与互联模型三部分。
本地验证是指在移动终端上完成的用户验证认证。本地验证方式包括:(1)Click OK,即没有任何本地验证,在收到终端弹出认证请求确认消息时,用户直接点击“确认”即可;(2)本地认证密码,也称为个人码(Personal Code),即在终端弹出的认证请求确认消息需要用户输入本地验证码。本地验证码在终端侧完成验证,不会发送到平台。
Mobile Connect也不排除其他本地认证方案,比如FIDO提出的生物特征本地认证方式,如通过终端指纹验证等。GSMA也正在与FIDO合作,进一步完善丰富本地认证方式。
在线认证是指在认证平台侧完成的用户身份验证。在线认证方式可以选择多种认证方案,实现不同安全级别的认证。运营商可以采用USSD(非结构化补充数据业务)方案,也可以采用基于卡应用的各种认证方案。不同的在线认证方案提供基本一致的客户体验,不同的安全等级。应用或用户可以根据自己对安全等级的需求,决定采用哪种认证方案。表一描述了GSMA定义的四种不同的安全等级,并给出相应的认证方法示例。
注:因子主要有分类,(1)用户所拥有的,如手机、令牌;(2)用户所知道的,如密码、验证码;(3)用户自身特征,如指纹、虹膜等。
互联模型是指SP与不同运营商MC系统进行对接的模型。不同运营商的认证系统通过路由发现模块进行互联,该模块主要根据电话号码、IP地址来发现其归属运营商认证系统的URL。该模块可以由运营商进行管理维护,也可以由大的SP进行管理,还可以由第三方进行管理,从而形成三种不同的互联模型。
(1)MNO管理路由发现
各运营商认证系统实现路由发现的模块,各运营商认证系统彼此互联形成互信的联盟。其中A运营商签约SP1,B运营商的用户(B-EU,表示B的End User)也可以使用Mobile Connect登录SP1,A运营商收到B-EU的认证请求,会发现其属于B运营商,并将该认证请求转至B运营商。
该方案可以实现SP与运营商联盟之间的一点对接,全部互联。而且就像其他通信漫游业务一样,运营商之间的这种合作机制较为成熟,易于操作。这种方式非常适合中国市场,联盟的运营商数量不多于三个,且彼此实力相当。
(2)第三方管理路由发现
这种互联模型中,路由发现由非SP、非MNO的第三方进行管理。第三方可以是政府也可以是其他商业机构。例如,国际地区之间互通时可以通过政府的路由中心互联进行。GSMA在欧洲范围内推广这一方案。该模型中,互联的中心平台完成与各个运营商系统对接,SP仅需要与互联的中心平台完成一点对接即可接入所有运营商。
(3)SP管理路由发现
大型SP有能力自己完成路由发现的管理,与各个运营商完成对接。
3 全球应用推广
2016年7月在上海MWC大会上,中国的三家运营商与国外运营商联合演示了Mobile Connect业务。中国电信的号簿助手业务作为开放的互联网业务,采用运营商路由发现模型与各运营商认证系统对接,实现了各个运营商的用户通过点击“Mobile Connect”按钮,就可以直接登录号簿助手应用。
GSMA聚焦推动运营商Mobile Connect部署:互联的认证服务、统一开放的应用接口、一致的业务名称。全球已有22个国家的42家运营商在部署,如:Orange在西班牙、摩洛哥、法国等地部署了MC服务;Telenor在北欧、马来西亚、巴基斯担、孟加拉、泰国、印度、缅甸等地推进MC业务;Telefonica在西班牙等地部署MC业务。目前,全球运营商的移动认证服务注册用户数2千万。
4 运营商的机遇与挑战
Mobile Connect作为一种全球统一认证的方案为用户、SP与运营商都带来了好处。用户无须记忆不同应用的多个密码可以实现快速安全登录认证,且仅需携带手机便可实现多个Ukey功能。SP增加了一种全球用户体验一致的应用认证手段,路由发现简化了SP和多MNO合作时的系列问题,减少了系统接口、业务接口、协议等;无须用户逐一注册,应用与MC合作即可获得全球运营商的用户数。而运营商的各种转型业务从而也可以跨过运营商网间壁垒,具备为他网用户提供服务的能力,获得了进一步向海外更多用户开放的空间。同时,运营商参与到认证环节中,在与互联网商的竞争与合作中,形成合力,提高用户粘性,提升产业链的话语权与控制力。但是,Mobile Connect作为全球运营商推广的统一的移动认证业务也面临着各种挑战。
(1)政策与法规
全球可互通的认证跨不过法律法规这道坎。身份是否允许外传,是否国外认证过的用户国内就能够承认?这些都需要仔细研究。GSMA成立了相应的隐私保护与政策研究工作组,中电信已经申请加入,中移动中联通也表态加入。三个运营商都表示需要推动明确和遵循国家相关电子签名法、隐私保护法规(工信部2013年24、25号令等),GSMA也会内部协调法务和隐私方面专家指导中国运营商。同时对于SP的需求,也要进行分级,不同的安全级别对应不同的隐私法规区别要求。
(2)用户体验
GSMA提供Mobile Connect统一的Logo设计和业务入口Button,以及主要用户使用流程。但是,实际上用户对于运营商的标识已经深入人心,此外,短信验证码也已经是市场认可的,用户高度接受的认证方式,如何将用户迁移到Mobile Connect?Mobile Connect的Logo与业务体验获得市场认可,需要的不仅仅是时间,更是各方市场努力。
(3)互联网商的竞争
许多互联网商已经在认证开放平台这方面精耕多年,如腾讯、百度、Google、Facebook等。全球运营商联合推出业务体验一致的移动认证方案正是为了更好地参与到移动认证领域中。然而,如何有效地争取客户,扩大业务规模,使其品牌真正立足于用户心中,需要做好产品的规划和策略。GSMA建议暂时先建立两类产品架构,MC1(1factor,对应Lo A2的Click OK)和MC2(2 factors,对应Lo A 3的Enter PIN)。针对银行、政务等应用开展Lo A4的基于用户卡的卡盾认证服务。从认证切入,后续还可以结合网络信息进一步开展多维度属性验证等业务。
参考文献
[1] FIDO联盟https://FIDOalliance.org/specifications/overview/
【认证应用】相关文章:
CAXC认证考试AutoCAD机械设计应用工程师考试样题04-23
认证咨询方案(三体系认证)07-23
3C认证强制性认证实施规则08-07
学历学位认证介绍及学历学位认证流程07-18
保健食品GMP认证是强制性认证06-18
【私教三大认证】PFT体适能训练课程认证04-20
医疗器械FDA认证及FDA认证注册流程08-07