网络认证(精选十篇)
网络认证 篇1
关键词:无线Mesh网络,链路切换,CPK标识认证,IKEv2认证与密钥交换协议
0 引言
无线Mesh网络是从移动Ad Hoc网络中分离出来,并承袭了部分WLAN技术的一种新的网络技术,具有较高的可靠性和较低的投资成本。研究发现,无线Mesh网络是作为未来WMAN核心网最理想的方式之一,是迄今为止一种建立大规模移动Ad Hoc网络的可行性技术[1]。
无线Mesh网络呈网状网形状,按照最初预想,每一个Mesh节点都会与周围所能探测到的所有节点建立链路连接,这样就使得无线Mesh网络中两个节点之间具有多条路径可达,从而保证了无线Mesh网络较强的抗毁性与链路选择的灵活性。但是,在实际实现过程中,网状网链路会带来巨大的维护代价和管理代价,并且,会极大地降低整个Mesh网络的带宽。因此,比较常见的做法是将链路分为主链路与备份链路,正常情况下,路由计算与数据传输都基于主链路,当主链路链路质量变差或者链路断开的情况下,选择向链路质量最佳的备份链路进行切换,将备份链路启用为主链路。
切换过程的产生必然会带来新的安全隐患,所以,必须有相应的安全机制予以保障。然而,现有针对这部分切换安全性的研究很少,通常的做法是,在切换阶段重新完成一次接入认证过程,而未过多地考虑到切换的效率问题。然而,切换过程过长,会严重影响网络的通信质量,从而直接导致网络的可靠性大大降低。为了减少切换时长,本文设计了快速切换认证方案,通过预认证的方法,降低真正切换过程中切换认证的时延,保证切换过程的时效性和安全性。
1 无线Mesh网络的切换
用图1来描述切换过程,AP3维护着一条与AP2的活动链路(也称主链路),当AP3与AP2之间的链路断开或者链路质量变差的情况下,AP3就会断开与AP2节点的关联,重新选择与AP1或者AP4之间的最优链路进行切换。快速切换的目的是保障网络的鲁棒性,保持网络通畅的同时,尽可能的使网络获得大的带宽。
主/备份链路的切换需要经历三个阶段:信道信息搜集阶段,切换触发阶段和切换阶段。第一阶段信道信息搜集阶段,节点搜集周边可入网的节点的信息。为了降低切换时延,当节点正常加入网络后,就开始进行信道信息搜集,信道信息搜集阶段完成邻居节点的发现与维护过程。第二阶段切换触发阶段,节点切换产生的原因有两种:第一种情况为主链路的链路断开,节点需要寻找新的通信链路;第二种情况为发现了比主链路质量更优的链路,进行主动切换。第三阶段切换阶段,切换阶段完成节点从主链路切换到备份链路的动作。
主/备份链路的切换过程给无线Mesh网络安全提出了新的需求。首先,节点之间的邻居关系需要建立在节点相互了解与信任的基础之上,根据无线Mesh网络的链路形态,节点与邻居节点之间不存在通信链路,所以,节点与邻居节点之间的消息交互必须通过其他节点进行转发,为保证消息交互的私密性与认证的可靠性,需要进行端到端的认证与保护。其次,在切换来临之际,需要通过重认证机制来保证切换的正确性,避免网络链路变化给攻击者造成的可乘之机,同时,由于重认证机制发生在切换阶段,为缩短切换时延,在保证安全的情况下,需尽量降低重认证过程的时延。根据切换触发的情景不同,发生切换时有两种情况:链路断开时是节点向节点切换,当发现最优链路时,节点需要通过其他节点转发消息来进行切换,所以,重认证过程既要保证点到点的安全,也要保证端到端的安全。最后,在无线Mesh网络无中心、自组织的特点下实现快速切换认证,需要选择合适的基础设施,并尽量减少非对称加解密的使用,同时减少消息的传递。
2 基于预认证的无线Mesh网络快速切换认证方案设计
2.1 基于预认证的端到端的认证与加密方案
在信道信息搜集阶段完成正常入网节点与周围邻居节点的相互认证,通过在该阶段的预认证避免节点在真正切换中的身份认证,缩短切换时延,整个过程被称为邻居节点安全关联。邻居节点安全关联通过安全关联协议来实现,协议设计参照了IKEv2认证与密钥交换协议,具体的实现过程见图2。邻居节点安全关联的时机,可以选择节点成功入网之后,或者是发现新的邻居节点之时,将协议数据包的发送优先级置为最高,从而避免切换突发情况的发生。图2显示的是图1中AP3入网成功之后,与AP1建立安全关联的过程。其中(1)(2)(3)(4)为传送的协议数据包。
SA安全关联载荷,用于协商节点之间采用的认证方式、加密算法,Diffie-Hellman组等;ID是获取身份的惟一标识;N是传递的随机数用来防止重放攻击;KE传送的是Diffie-Hellman的参数值。keyT是在切换阶段用于开启切换过程的共享秘密;R是构成空口密钥的重要参数;keyid记录空口密钥的序列号;AUTH是签名载荷,是一端私钥对双方共享秘密的签名。PAP1()表示使用AP1的公钥进行加密;KSK_er()表示使用SK_er密钥进行对称加密。
第(1)(2)条消息主要完成参数与计算方式的协商,通过KE Diffie-Hellman参数的交互得到会话密钥K,通过会话密钥与随机数计算出一个主密钥SKEYSEED,SKEYSEED被进一步用来计算其他7个密钥材料:SK_d为最终的加密密钥生成资料,SK_ai和SK_ar用于后两步的切换消息的认证,SK_ei和SK_er用于后两步消息的加解密,SK_pi和SK_pr用于后两步AUTH载荷的产生。计算公式如下:
其中,prf()为散列函数或者位运算。Prf+为指定的散列算法,“|”是连接符号,SPI是数据包头中的安全索引。
第(3)(4)条消息完成身份的认证与秘密参数的传递。身份认证协议的设计以CPK标识认证为基础设施,利用对方标识获得对方身份,加密传给对方的秘密参数,利用本端的私钥加密信息形成AUTH载荷,用以证明自己的身份。CPK标识认证的使用避免了第三方的参与,减少证书的传递与验证,能很大程度上加快协议的执行速度。AUTH载荷的计算公式如下:
其中SAP3为AP3的私钥加密。H()表示对括号里的内容进行散列计算。
当AP1接收到来自AP3的消息(3)之后,首先通过Diffie-Hellman交换计算出SK_er,利用SK_er解密消息内容,第二步利用本端私钥解密keyTAP3,RAP3,第三步利用AP3公钥对AUTH载荷进行解签记为H1,再通过本端存储的信息按照AUTH构成计算本端所认同的解签内容记为H2,对比H1与H2的值,若一致则AP1通过对AP3的身份认证,若不一致则AP3的身份认证失败。消息(4)的过程与消息(3)的处理过程一致,实现的是AP3对AP1身份的认证。
在消息(3)与消息(4)的交互中,分别使用了对称加密,公钥加密与私钥签名三种加密方式,对称加密使用的密钥是前一次DIffie-Hellman交换计算的结果,不仅使消息保持了前向一致性,还在消息破解上增加了破解Diffie-Hellman参数交换的难度。公钥加密的结果一方面能够保证消息内容的安全,另外一方面还能确保消息内容到达指定的接收方,保证了消息内容端到端的可靠性。另外,私钥签名是证明身份的最佳方式。
邻居节点安全关联成功,邻居节点双方计算出共享密钥:
其中,F()表示哈希算法,“⊕”代表异或运算。
2.2 快速重认证方案
当节点之间链路断开或者发现更优链路时,意味着切换阶段的到来。在预认证的基础上,通过快速重认证,实现节点的安全快速切换。重认证方案通过重认证协议来实现。节点在与父节点链路断开或者发现更优链路的情况下都可能进行切换。图3显示了图1中节点AP3分别在链路断开与发现更优链路两种情况下的重认证过程。
链路断开情况下:
(1)链路建立数据包
(2)切换重认证请求数据包
(3)切换重认证回复数据包
发现更优链路:
(1)切换重认证请求数据包
(2)切换重认证回复数据包
(3)链路建立通知数据包
切换重认证请求数据包的构造如下:
切换重认证回复数据包的构造如下:
当AP3链路断开时,首先由AP3根据监测结果选择切换到的邻居节点为AP1,执行一系列链路协议后,AP1发送链路建立数据包,在AP3与AP1之间建立通信链路。链路建立完毕,AP3发送切换重认证请求数据包,切换重认证请求数据包内容包括由邻居节点安全关联过程中交换的切换参数keyT与Diffie-Hellman交换产生的SK_a进行散列运算得到的切换“开关”,以及新的切换参数keyT′。当AP1切换重认证请求数据包时,首先,用共享密钥key解密数据包,之后,计算keyTAP3+1与SK_ai的散列结果,与数据包中的该值做对比,若一致则切换认证通过,记录新的切换参数,发送切换回复数据包;若不一致,则认为切换重认证未通过,在一端断开与AP3的链路连接。同样,AP3收到AP1发送的切换重认证回复数据包后,通过验证切换“开关”决定是否通过重认证过程。
当AP3发现更优链路时,通过AP2与AP0的中转发送切换重认证请求数据包,过程与链路断开切换一致,当AP3与AP1互相重认证通过之后,由AP3发送链路建立通知数据包,建立AP3与AP1之间的直接链路。若重认证失败,则AP3重新选择切换对象。
在切换重认证协议设计中,为减少切换时延,遵循了几个原则,第一,将协议的交互次数降到最低。重认证协议交互次数为两次,这是设计协议的最少交互次数,交互次数的减少,必然会大大降低协议执行的时延。第二,避免对非对称加解密的使用。非对称加解密的速度远远低于对称加解密的速度,在认证过程中避免非对称加解密的使用能够大大缩短协议计算过程的时延。第三,安全性保障。切换重认证请求数据包与切换重认证回复数据包均使用邻居节点安全关联后计算得到的共享密钥key进行空口加密,共享密钥的生成建立在Diffie-Hellman交换与椭圆曲线加解密的安全之上,具有非常高的安全级别。另外,切换“开关”中,KeyT与SK_a均来自于邻居节点安全关联,具有很好的前向关联性,keyT′的使用能够有效避免重放攻击。
3 方案性能与安全性分析
基于预认证的无线Mesh网络快速切换认证方案由基于预认证的端到端认证与加密方案及快速重认证方案两部分构成。其中,基于预认证的端到端认证与加密方案是进行快速重认证方案得以实现的基础,通过预认证减少真正切换到来时的在进行身份认证与参数协商和计算的时延是关键,根据对重认证的试验统计,切换认证的过程能够降低到100μs数量级,按照传统的切换方法这个值会达到毫秒级以上。针对无线Mesh网络网状网的特征,在基于预认证的端到端认证与加密方案建立在CPK标识认证基础设施之上,这对方案整体性能的提升具有很大的意义。
首先,CPK认证机制解决了规模化的密钥管理问题,它所使用的密钥产生与存储方式可以大大节省密钥存储空间,对于一个m×n的种子密钥矩阵来说,能够产生mn次方个公私钥对,因此,CPK只需要很小的存储空间就可形成一个很大的密钥空间。其次,CPK采用离线密钥集中分发的方式,密钥的安全性能够得到极大的保障。第三,CPK机制在认证过程中,避免了第三方权威机构的参与,也避免了证书的传递及验证过程,可以大大简化协议的设计过程,同时,避免通过证书泄露相关秘密信息。最后,CPK多采用椭圆曲线的加密算法,椭圆曲线最大的优点就是在密钥长度较小的情况下能够提供其他公钥加密算法在密钥长度较大时才能达到的加密强度。
除了使用CPK标识认证机制所带来的性能提升之外,基于预认证的无线Mesh网络快速切换认证方案中协议的设计参考的是IPSec中IKEv2密钥交换协议的设计方法,IKEv2是带认证的密钥交换协议,支持端到端的认证与加密保护,并且,IKEv2是在沿用原来协议的共享策略协商的基础上,进行了全面的优化和改革,从而具备了更高的性能、更好的安全性与更低的系统耗费[2]。
4 结语
无线Mesh网络呈网状网形状,为了保证链路质量,提高网络传输率,当节点之间链路断开或者质量变差的情况下就要考虑进行快速的链路切换。本文针对链路切换过程中面对的安全问题进行了分析,给出了基于预认证的无线Mesh网络快速切换认证方案,旨在既保证切换的安全,又能以最快的速度完成切换过程,导致链路最小时间的中断或者保证链路的最佳状态。方案建立在CPK标识认证基础设施之上,具有极小的密钥存储空间需求,无需第三方参与以及证书的使用,对整个方案性能具有很大的性能提升意义。另外,方案协议的设计参照了IKEv2的设计,能在一定程度上保证协议设计的科学性与安全性。同时,协议中身份认证与密钥协商的设计,也能够体现出协议设计的独特性与创新性。
参考文献
[1]方旭明.下一代无线因特网技术:无线Mesh网络[M].北京:人民邮电出版社,2006.
[2]杨亚涛.无线多跳网络的认证、密钥协商及信任机制研究[D].北京:北京邮电大学,2009.
[3]南相浩.CPK体制与网际安全[M].北京:国防工业出版社,2008.
[4]袁美雄.无线局域网中基于预先认证的快速切换方案[J].湖南人文科技学院学报,2011,10(5):134-137.
[5]杨卫东,马建峰,杨超.无线局域网中一种快速安全的切换方法[J].西安电子科技大学学报:自然科学版,2008,6(3):474-477.
[6]彭清泉.无线网络中密钥管理与认证方法及技术研究[D].西安:西安电子科技大学,2010.
[7]高杰,杨卫东.一种WLAN环境下新的快速安全切换方法[J].计算机与网络创新生活,2009,5(13):73-76.
[8]KAUFMAN C.RFC4306 Internet key exchange(IKEv2)protocol[M].[S.I.]:The Internet Society,2005.
[9]章宇春,李继国,王志坚.互联网密钥交换协议的安全性分析与改进[EB/OL].[2007-01-05].http://www.paper.edu.cn/html/releasepaper/2007/01/43/.
[10]曹宇,祝跃飞,李勤,等.IKEv2实现方案研究[J].计算机应用研究,2005(6):74-76.
网络银行CA认证 篇2
授课班级授课形式项目教学
网络银行 CA 认证黑板、幻灯机、电脑
教学目的数字证书的概念与作用掌握个人网上银行的注册过程数字证书的申请及安装数字证书的导入及导出个人网上银行注册、使用
教学重点
数字证书的概念与作用
教学难点更新、补充、删节内容课外作业
个人网上银行注册、使用
真实的办一张网上银行卡
教学后记
授课主要内容或板书设计
项目十网络银行 CA 认证 10.1 数字证书,数字签名数字证书的含义数字证书的申请数字签名、加密电子邮件 10.2 个人网银的开通 10.3 CA 认证
课堂教学安排
教学过程导入 10 分钟主要教学内容及步骤
1.1 数字证书的含义
由于 Internet 网电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息,但同时也增加了对某些敏感或有价值的数据被滥用的风险.为了保证互联网上电子交易及支付的安全性,保密性等,防范交易及支付过程中的欺诈行为,必须在网上建立一种信任机制。这就要求参加电子商务的买方和卖方都必须拥有合法的身份,并且在网上能够有效无误的被进行验证。数字证书是一种权威性的电子文档。它提供了一种在 Internet 上验证您身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构----CA 证书授权(Certificate Authority)中心发行的,人们可以在互联网交往中用它来识别对方的身份。当然在数字证书认证的过程中,证书认证中心(CA)作为权威的、公正的、可信赖的第三方,其作用是至关重要的。数字证书也必须具有唯一性和可靠性。为了达到这一目的,需要采用很多技术来实现。通常,数字证书采用公钥体制,即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所有的私有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。公开密钥技术解决了密钥发布的管理问题,用户可以公开其公开密钥,而保留其私有密钥。数字证书颁发过程一般为:用户首先产生自己的密钥对,并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后,将执行一些必要的步骤,以确信请求确实由用户发送而来...,然后,认证中心将发给用户一个数字证书,该证书内包含用户的个人信息和他的公钥信息,同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。数字证书由独立的证书发行机构发布。数字证书各不相同,每种证书可提供不同级别的可信度。可以从证书发行机构获得您自己的数字证书。
正文申请数字证书 1 课时
1.2 数字证书的申请
以申请中国数字认证网(http://)免费证书为例。
为了建立数字证书的申请人与 CA 认证中心的信任关系,保证申请证书时信息传输的安全性,在申请数字证书前,需要下载并安装根 CA 证书。浏览器的 Internet 安全选项一定要设置成默
认的中级或以下安全级别如下图所示;停止客户端的防火墙等工具中对 ActiveX 下载安装的拦截。
→
1、下载并安装根 CA 证书、进入中国数字认证网(http://)。访问中国数字认证网首页时,如果客户端没有安装根证书,系统会提示用户自动安装。在安装过程中会显示“安全警告”和“潜在脚本冲突” 提示框,对于上述提示一定要选择“是”。根证书是 CA 认证中心给自己颁发的证书,是信任链的起始点。安装根证书意味着对这个 CA 认证中心的信任。
如果不能自动安装根证书可以采取以下方法手动安装。在中国数字认证网首页“免费证书”栏中单击“根 CA 证书”,然后选择“在文件的当前位置打开”。选择 “安装证书” 按向导提示安装,“根证书存储”。在窗口选择 “是”。
→
2、查看证书、根证书成功安装后成为“受信任的根证书颁发机构”。从浏览器的菜单中选择“工具/Internet 选项”,打开“Internet 选项”对话框。在对话框中选择“内容”选项卡,单击“证书”,选择“受信任的根证书颁发机构” 选项卡,列表中应该有相应的根证书,如下图所示,单击“查看”可以进一步查看证书的详细信息。
→
3、申请个人证书、在首页“免费证书”栏中单击“用表格申请证书”,打开如下图所示窗口,填写相应内容,在证书用途中选择“电子邮件保证证书”,填写完成后单击“提交”。
如上图所示,单击“提交”,证书申请成功后系统将会返回你的“证书序列号”,如下图所示,单击“直接安装证书”,方法同“根 CA 证书” 安装。
查看证书。从浏览器的菜单中选择“工具/Internet 选项”对话框。在对话框中选择“内容”选项卡,单击“证书”,选择“个人证书”选项卡,列表中有相应的个人证书信息,单击“查看”可以进一步查看证书详细信息。→
4、导出证书、从浏览器...的菜单中选择“工具/Internet 选项”,打开“Internet 选项”
对话框。在对话框中选择“内容”选项卡,单击“证书”,选择“个人证书”选项卡,在列表中选择所要导出的证书,如下图所示,单击“导出”。
“私钥”为用户个人所有,不能泄露给其他人,否则其他人可以用它冒充你的名义签名。如果是为了保留证书备份而复制证书,选择“是,导出私钥”,如下图所示,如果为了发送加密邮件或其他用途,不要导出私钥。如果在申请证书时没有选择“标记密钥为可导出”,则不能导出私钥。输入私钥保护密码,如果在申请证书时没有选择“启用来格密钥保护”,没有密码提示。指定要导出的文件名。单击“浏览”可选择存储目标磁盘和目录,如下图所示,单击“下一步”后按提示进行操作。
→
5、导入数字证书、特别提示:中国数字认证网提供四种类型的数字证书: “测试证书”、“免费证书”、“标准证书”和“企业证书”,使用不同的证书需要安装相应的根证书,设置“受信任的根证书颁发机构”的实质就是安装根证书。使用数字证书 1 课时
1.3 数字签名、加密电子邮件
实训内容:王华欲向张星订购 2 台电脑,张星将报价单及配置说明以数字签名电子邮件方式发送给王华;王华收到邮件后,将订单以加密邮件的方式发送给张星。说明:张星给王华发送签名邮件,要求张星已申请数字证书,并已正确安装了自己的“电子邮件保护证书”并用证书发送签名邮件(注:要使用的电子邮件地址必须与申请证书时填写的电子邮件地址一致)。
→
1、OutLook Express 发送数字签名电子邮件、从OutLook Express 主菜单中选择“工具/帐户”,单击“邮件”选项卡后选择账户,单击“属性”,如下图所示。
选择“安全”选项卡,单击“签署证书”中的“选择”,如下图所示,单击“确定”。
发送邮件时,在“新邮件”窗口选择主菜单“工具/数字签名”,收件人地址栏后面出现“签名”标志,如下图所示
输入收件人(王华)的电子邮件地址、内容并插入附件,发送邮件。阅读带数字签名的邮件。当
收件人(王华)收到邮件后,首次打开或预览带数字签名或加密的邮件时,OutLook Express 会显示帮助屏幕。如果接收有问题的安全邮件(如邮件已被篡改或发件人的数字标识已过期),则在被允许阅读邮件内容前,会看到一条安全警告,它详细说明了问题所在。根据警告中的信息,可以决定是否查看邮件。单击“数字签名标志”,可进一步查看数字签名详细信息。→
2、OutLook Express 发送加密邮件、说明:王华给...张星发送加密邮件,发送加密邮件前必须正确安装了对方(张星)的“电子邮件保护证书”,只要请对方用他的“电子邮件保护证书”给你发送一个数字签名邮件,或在相应数字认证网下载(前提是对方证书允许查询),证书会自动安装并与对方 E-mail 地址绑定。如果未能自动安装“电子邮件保护证书”,需要手工安装对方“电子邮件保护证书” 从OutLook Express 主菜单中选择。“工具/选项” 选择,“安全”选项卡,单击“数字标识”,打开“证书”窗口,如下图:
导入数字证书。单击“导入”,打开“证书导入向导”对话框,单击 “浏览”指定要导入的文件(选择对方“张星”证书的文件名)。单击“下
一步”。单击“浏览”,选择“其他人”,如下图所示,单击“下一步”,安装对方数字证书。其他人
发送邮件时,在“新邮件”窗口选择菜单“工具/加密”,收件人地址栏后面出现“加密”标志。输入对方(张星)邮件地址、邮件内容并插入附件,发送邮件。对方(张星)收到加密邮件后,显示正在阅读保护内容,“确定” 单击,显示“安全帮助”及相关的安全信息。网上银行的使用 1 课时
1.4 网上银行的注册
以中国工商银行网上银行为例,中国工商银行网上银行可以到营业网点办理注册,也可以在网上银行自助注册,下是网上银行自助注册过程。步骤一进入工商银行网上银行首页(http://.cn)如下图所示
步骤二单击“个人网上银行登录”栏目下的“注册”,显示“网上自助注册须知”,阅读后单击“注册个人网上银行”,如下图所示
步骤三显示“中国工商银行电子银行个人客户服务协议”,仔细阅读后单击“接受此协议”,输入要注册的银行卡卡号,单击“提交”。按要求填写资料,单击“提交”正确填写资料。步骤四网上银行登录。在工商银行首页,“个人网上银行登录” 单击窗口,按提示输入信息,登录成功后进入“个人网上银行”首页,显示所有可进行的操作。特别提示:进入网上银行要直接输入网址,不要使用搜索引擎。特别提示:进入网上银行要直接输入网址,不要使用搜索引擎。虚拟使用 1 课时
1.5 使用网上银行
浅析高校信息网络数据库认证技术 篇3
关键词 高校 信息网络 数据库 认证技术
中图分类号:TP3 文献标识码:A
高等教育信息化是教育事业的必然趋势,也是信息科技在社会教育实践中的应用表现。为了改变早期落后的高等教育模式,高校开始借助信息网络实现多功能改造,为师生建立高科技的专业教学平台。数据库是高校信息网络的核心支撑,其存储了大量与校内教学活动相关的数据资源,可供给师生查阅资料及学习研讨等活动。
1校园网络应用现状
校园网是为学校师生提供教学、科研和综合信息服务的宽带多媒体网络。首先,校园网应为学校教学、科研提供先进的信息化教学环境。随着社会信息科技快速发展,高校内部网络服务系统更加完善,校园网络应用也实现了多元化改进,网络运行各个方面都显现了功能特点。校园网是一个宽带,具有交互功能和专业性很强的局域网络,例如,多媒体教学软件开发平台、多媒体演示教室、教师备课系统、电子阅览室以及教学、考试资料库等,都可以在该网络上运行。其次,校园网应具有教务、行政和总务管理功能。
2校园网数据库存在的风险
基于信息科技快速发展,高校对通信网络服务质量要求越来越高,信息网在信号传输阶段的作用更加明显。为了进一步优化通信网络服务模式,必须对高校网络平台运行模式进行优化改造,但高校信息网络数据库应用依旧存在着风险隐患。首先,黑客通过B/S应用,以Web服务器为跳板,窃取数据库中数据;传统解决方案对应用访问和数据库访问协议没有任何控制能力,比如:SQL注入就是一个典型的数据库黑客攻击手段。其次,数据泄露常常发生在内部,大量的运维人员直接接触敏感数据,传统以防外为主的网络安全解决方案失去了用武之地。
3高校信息网络数据库认证技术
信息网络是现代通信科技研究的必然产物,采用高科技通信元器件组成服务网络,为广大师生建立了多功能传输平台。结合上述高校信息网数据库存在的安全隐患,应选用数据认证技术作为防护体系,严格控制数据库操作流程,把风险系数控制在最小范围。高校信息网络数据库认证技术包括:
(1)系统认证技术。数据库系统认证可及时发现潜在隐患,为校园网络控制提供科学的依据。主要技术包括:一是指系统运行安全,系统运行安全通常受到的威胁如下,一些网络不法分子通过网络,局域网等途径通过入侵电脑使系统无法正常启动,或超负荷让机子运行大量算法,并关闭cpu风扇,使cpu过热烧坏等破坏性活动;二是指系统信息安全,系统安全通常受到的威胁如下,黑客对数据库入侵,并盗取想要的资料。数据库系统的安全特性主要是针对数据而言的,包括数据独立性、数据安全性、数据完整性、并发控制、故障恢复等几个方面。
(2)身份认证技术。数据库安全认证技术作为信息网络研发的新数据资源模式,其在学校覆盖网络中依旧存在一些缺陷,影响了用户日常传输数据信号的工作效率。新时期数据库认证技术用于信息网安全防护的功能更加优越,促进了校内网络信号传递的快速升级,维持了高校信息网数据资源的最优化配置。数据库对用户身份进行认证,可避免非正常用户执行恶意操作指令,扰乱数据库系统运行的稳定性。常用身份认证技术包括:密码认证、短信认证、账号认证等,校园网可根据师生使用情况选择认证方式,核对身份无误之后允许其操控数据库资源。
(3)智能认证技术。局域网是校园网络覆盖常用技术之一,采用多功能信息服务平台完成信号传输,扩大了学校信息网服务范围。针对传统高校信息网应用存在的不足,必须要选择更加高效率的通信覆盖技术,维持数据信号传输的稳定性。智能认证技术是一种高科技方式,需要高效投入大量资金及技术条件才能建设成功。例如,指纹认证技术是比较先进的方法,对数据库设定专项服务客户群体,用户只需指纹扫描便可识别身份,这种智能技术提高了数据库的可调度性,并且在无人操作干涉下实现数据库的智能辨别,大大降低了传统数据库控制的难度。
4结论
随着校园网用户数量的大幅度增长,信息网络承受的安全風险越来越大,如何全面发挥数据库的功能特点,这是高校信息化建设急需解决的问题。对校园信息网数据库设定专业认证模式,可避免数据库违规操作产生的不利影响,提升了数据库内资源的综合利用率。
参考文献
[1] 岳淑玲.高职《网络数据库管理》课程建设方案探索与实践[J].才智,2012(20).
[2] 洪年松.基于Web技术的校园网络数据库建设的探讨[J].浙江工贸职业技术学院学报,2002(02).
[3] 牛龙平,张勇.高等院校网络数据库与Web技术的融合[J].管理信息系统,1999(02).
[4] 李也白.3~+网网络数据库管理系统功能综合评述[J].北方工业大学学报,1988(02).
网络认证 篇4
IP网络业务在全球数据通信业务上占了非常重要的地位。而由于一些数据信息对安全的要求相当高,这在客观上造成了数据信息要求具有高安全可靠性与其主要承载网络-IP网络最初没有设计相应的安全保证措施之间的矛盾。在IP网络上承载的业务越来越丰富的同时,业务提供者越来越担心其数据信息的安全性。为此,近年来业界开始关注IP网络以及所承载的业务的安全性问题,全球范围内进行了各种针对解决网络和业务安全性的研究和开发工作。其中安全认证是解决网络和业务安全的一种解决方式。各种安全认证技术和解决方案被广泛地应用于不同的网络和业务系统。
由于安全认证对网络和业务应用的重要性,在目前组建的各种规模的IP网络和业务应用系统上组建了各自的接入认证、授权和管理系统负责各自网络接入和业务访问认证、授权等相关事宜。随着公用Internet网络覆盖面的不断扩大在其上提供的业务种类和数量的快速增加,为用户带来了非常大的便利,但同时用户也为记忆各个业务系统的接入信息以及使用不同的业务网络和业务系统需要进行重复的认证和授权所苦恼。业务系统的提供者也为管理用户信息付出非常大的工作量。若可以将不同的业务系统联合起来,仅通过单点登录就可以访问或使用不同业务系统所提供的业务一时间成了业界研究的一个热点问题。
2 IP网络业务安全认证系统发展现状
目前无论是传统的IP网络业务,包括Web业务、E-mail业务、文件传送业务、IP网络上承载的传统电信业务,如Vo IP业务、多媒体会议业务还是最近几年内发展起来的即时消息业务、流媒体业务以及一些电子商务、电子政务、远程教学等应用大多采用每个业务系统组建一个认证系统或者是一个业务提供者提供的不同种类的业务共建一个业务认证系统的体系架构来实现对用户接入和访问控制的体系架构。或者是采用由各业务系统和用户共同信任的第三方组建的认证机构负责完成用户管理和认证工作。
2.1 每一个业务系统组建一个认证授权计费系统的体系架构
该类体系架构主要用于传统的Web业务、基于H.323的IP电话业务、流媒体业务系统、电子商务系统等的认证授权。
在本世纪最初的几年间,原信息产业部发布了多个IP网络上业务的技术标准,其中所规定的用户认证系统的体系架构基本上采用的是每个业务系统各自组建一个认证中心的方式来实现认证授权和计费的管理。图1为YD/T 1151-2001《新业务技术要求———多媒体信息检索》中规定的网络接入层认证体系架构。
从图1中可以看出,在标准中规定在全国范围内为接入层认证组建分层的统一的认证系统。这是一种典型的由一个运营商组建统一的一个认证系统的体系架构。
图2是YD/T 1151-2001《新业务技术要求———多媒体信息检索》中规定的网络信息层认证体系架构。
对不同种类的信息源采用不同的用户认证方式。根据信息源认证方式的不同,将信息源划分成两类。
甲类:信息源采用标准HTTP认证机制,对信息源服务器不需进行改造,用户通过IP网代理服务器访问信息源。IP网代理服务器采用用户身份状态字(Cookie)方式对用户进行身份认证;信息源采用标准HTTP协议认证方式对代理服务器进行身份认证(对用户透明)。访问此类信息源的计费信息在代理服务器上采集。
乙类:信息源采用用户身份状态字认证机制,需对信息源服务器认证模块进行统一改造以满足认证和计费的要求。用户直接访问信息源,信息源服务器对用户身份直接进行认证。访问此类信息源的计费信息在信息源上采集。
从图2以及对乙类信息源相关认证的描述可以看出,该标准中规定每一个信息源组建自己的认证系统。虽然标准中并没有规定认证系统的具体组建方式,但却明确地说明每一个信息服务器均需要进行对用户的认证工作,这是一种典型的每一个业务提供者提供一个认证系统的体系架构。
2.2 多个业务系统使用一个认证授权系统体系架构
为每一个业务系统组建一个认证授权和计费系统既费钱,管理起来也不方便,用户使用时也很麻烦。为此一些认证授权计费系统解决方案采用为一个业务提供者所提供的不同业务组建一个认证授权系统,用户只需注册一个用户名和密码就可以使用这个用户名和密码标识使用一个业务提供者所提供的不同种类的业务。而且用户登录一次就可以使用不同业务。在YD/T 1514-2006《远程教学通信平台系列标准———用户接入认证授权计费系统技术要求》中规定的认证系统的体系架构就是采用为Web业务系统、流媒体业务系统和会议业务系统组建统一的一个认证系统的体系结构,如图3所示,但在此结构中要求所有的业务系统在一个域中。
2.3 基于数字证书的认证系统体系架构
IETF安全领域的PKIX(公钥基础设施)工作组专门针对基于I-TU-T建议X.509规定了一系列基于数字证书进行身份认证的相关RFC。这些RFC主要规定了如何组建CA(认证机构)以及如何进行数字证书的签发、确认等相关的内容,在具体使用该认证系统对用户认证的体系架构如图4所示。在从图中可以看出用户或业务系统可以从用户和不同的业务系统均信任的认证机构CA申请数字证书,在用户请求访问业务系统时,业务系统请用户提交可以证明其身份的数字证书。业务系统通过证书认证机构的帮助判断数字证书的真假以及用户是否是所提交证书的真正持有者从而对用户进行认证。同样用户也可以通过同样的方式对业务系统进行认证。采用基于数字证书的认证系统可以实现双向的认证。
3 常用的认证协议简介
上面几节中介绍了几种认证系统的体系架构,在几种体系架构中均需要一些认证协议来实现认证功能。下面简单介绍目前常用的RADIUS、DIAME-TER、PKIX以及基于EAP的DHCP技术对用户进行认证的认证协议。
3.1 RADIUS
RADIUS(用户远程拨号认证服务)协议是由I-ETF制定的用于对远程拨入方式连接到IP网络时对用户进行认证的协议。该协议由IETF于1997年推出,后经两次修订,目前其标准号为RFC 2865。该协议主要以客户端/服务器的方式对作为客户端的用户进行认证,而在作为服务器的一端有包含相关信息的数据库相连,实现对用户所提交相关信息进行认证以确定用户是否可以通过认证。由于RADIUS协议本身的简单性及可扩展性,RADIUS协议被广泛应用于网络接入认证以及业务层认证。目前IETF已经开始着手扩展RADIUS协议使其可应用于如IP电话等特定的业务。同时RADIUS协议对用户连接到网络的方式并没有限制,换句话说,用不同的接入方式(如PPP协议、IEEE 802.1x协议等)连接到网络上的用户均可以使用RADIUS协议进行认证。通过扩展协议(EAP)的使用进行认证的标识符也从过去的使用用户名加密码扩展到使用数字证书作为用户标识。
3.2 DIAMETER
DIAMETER是对RADIUS协议的扩展,主要是为网络接入、移动IP等具体应用中使用的认证、授权、计费提供一个基本的框架,它可以用于本地及漫游情况下的认证、授权与计费。在由3GPP所制定的IMS系统中将DIAMETER协议作为认证、授权、计费的候选协议,但由于目前移动IP以及IMS仅在一定范围内试验或应用,并没有广泛地应用。为此DIAM-ETER协议的应用也没有大规模地采用。与RADIUS协议相比,DIAMETER协议在使用时除了RADIUS协议使用时采用的客户端、服务器外还需要网络代理、重定向代理、变换代理、中继器、DIAMETER节点等实现用户漫游认证等功能。DIAMETER协议在使用过程中需要与其他协议相互配合。
3.3 PKI
PKI(公开密钥基础设施)与RADIUS协议和DIAMETER协议不同,它并不是采用客户机/服务器方式进行,即服务器一方对客户端一方实施认证、授权和计费,而是采用组建由认证方和被认证方均信任的第三方机构(认证中心)通过向所服务的用户提供基于公开密钥加密的数字证书并管理数字证书的生成、颁发以及撤消等,并提供证书废弃列表,供基于数字证书进行认证的各方查询数字证书的有效性,由认证方和被认证方相互认证。PKI为完成认证而组建的基础设施。PKI相关的标准建议由IETF PKIX工作组制订,有关数字证书的标准由ITU-T SG17所制订的ITU-T建议书X.509所规定。
由于数字证书采用了非对称密钥加密的方式,是目前情况下安全保密领域普遍认为效果较好。而且使用广泛的加密技术,采用数字证书作为用户标识安全性保证是一个很好的选择。为此很多认证技术或协议开始扩展,以支持将数字证书作为用户标识对用户进行认证。但也应当注意到,基于PKI系统本身的组建和运营成本都较高,这样客观上增加了使用数字证书作为其标识的用户的成本,在用户选择使用认证系统时需要在安全性与使用成本之间进行权衡。
3.4 Kerberos
Kerberos是MIT大学在20世纪80年代开发的为MIT校园网和其他企业内部的网提供的一系列认证和安全措施。Kerberos的核心概念是:Ticket,Authenticator,Session Key。Kerberos安全认证通过一Kerberos密钥分发中心负责为请求提供服务的客户提供相应的认证服务,再向通过认证的客户提供包含有客户端信息的会话凭证(Ticket),客户端通过向服务器提交相应的会话凭证来使服务器端为其提供服务。
4 目前IP网络业务安全认证系统存在的问题
从上面所介绍的目前使用的安全认证系统体系架构和认证协议可以看到,无论是采用哪种体系架构,用户在使用不同业务提供者(不同管理域)的同种业务或不同类业务时均需要提交相关的认证信息进行认证。而且目前的业务系统分别采用了不同的认证协议的认证系统。这样一方面使业务提供者在维护和管理用户时需要花费较大的力气,另一方面用户在使用业务时也相当不方便。
要解决简化用户认证操作就需要有一种方式将一个认证系统对用户认证所产生的认证结果安全通知其他业务系统的认证确认的方式,同时保留目前已经组建的采用不同认证协议的认证系统。
摘要:IP网络天然的不安全性促使IP网络业务提供者采用各种安全认证技术来保证其所提供的业务的安全性。本文主要介绍IP网络业务安全认证系统发展情况及存在的相关问题。
关键词:安全认证,认证协议,RADIUS,DIAMETER,PKI
参考文献
[1]YD/T1151-2001,新业务技术要求———多媒体信息检索
网络认证 篇5
客户网络维护与服务岗位认证大纲
客户维护与服务岗位认证大纲
客户网络维护岗位认证涉及的领域包括:客户服务(35%), 业务和产品类(20%)、IP(10%),传输(10%),交换(5%), 基础数据(5%),动力环境(5%),移动(5%),IT(5%)。
一、教材介绍
(一)客户服务
1.中国电信运维„2010‟45号-关于落实下一阶段政企客户售后服务工作重点和印发相关实施办法的通知 2.《政企客户工程师售后服务指导手册》 3.沟通技巧和商务礼仪 4.售前、售中相关集团文件:
中国电信运维„2010‟61号《 关于印发《中 国电信带宽型业务售中开通实施细则》的通知 》等 5.客户端的作业规范2.0版
(二)业务和产品
1.传统业务:SDH、MSTP、ATM、FR、DDN、MPLS-VPN等
相关集团发文:中电信运维„2009‟7号关于印发中国电信带宽型出租业务开通交付工作规定的通知、中国电信运维[2008]8号国际及港澳台带宽型A 端业务开通和售后作业暂行规定、中国电信„2010‟
/ 11 中国电信
客户网络维护与服务岗位认证大纲
508号关于印发《国际及港澳台带宽型A 端业务一站服务处理流程(V3.0)》的通知、运维[2006]23号_差异化服务等
2.定制网关、全球眼、翼机通、政务及监管执法、交通物流、数字医院、总机服务、协同通信、短号码业务(4008、955)、VPDN等
(三)IP 1.计算机网络基本原理 2.DNS基本知识 3.防火墙基本原理 4.以太网技术 5.xDSL原理及应用 6.BRAS及认证知识 7.初级路由知识
(四)传输专业
1.传输基础知识 2.日常维护操作
3.接入网基础知识及PON技术原理 4.MSTP原理
(五)交换专业
话务及呼叫处理能力
(六)基础数据
1.ATM基础知识 2.帧中继基础知识
/ 11 中国电信
客户网络维护与服务岗位认证大纲
3.DDN基础知识
(七)移动
1.移动通信基础 2.CDMA 2000基本原理
(八)动力环境
暂无电子版
(九)IT 1.计算机基本知识
二、教材知识点分布及掌握要求
注:对知识点的理解程度分为掌握、熟悉、了解三个层次,依次降低。
(一)客户服务
1.中国电信运维„2010‟45号-关于落实下一阶段政企客户售后服务工作重点和印发相关实施办法的通知
1)集团级及跨省政企客户售后服务资料管理实施办法 掌握售后服务资料包括的内容 熟悉售后服务资料管理的总原则 了解各级部门职责分工
熟悉客户基本信息包括的基本项目 熟悉产品购买资料基本信息包括的内容 熟悉服务内容及标准信息包括的内容
/ 11 中国电信
客户网络维护与服务岗位认证大纲
熟悉售后服务累积资料信息包括的内容 熟悉售后服务资料的意义、用途。
2)关于对《中国电信大客户故障管理暂行规定》集团级及跨省客户故障申告和处理过程中客户信息反馈的补充规定 了解各级部门职责分工
熟悉故障处理过程的信息反馈的工作要求 熟悉故障报告和客户网络运行报告的工作要求 熟悉重大故障及危机预警通报的工作要求
3)关于对《中国电信大客户故障管理暂行规定》中疑难故障处理的补充规定 掌握疑难故障的定义 了解疑难故障处理职责分工 熟悉疑难故障处理要求
了解测试电路和路由调度优化的含义 了解测试电路和路由调度优化业务范围 熟悉开通测试电路和路由调度优化的条件 熟悉测试电路的开通、关闭、转正流程 熟悉路由调度优化电路的开通流程 了解政企客户故障的含义 掌握政企客户故障的排查的原则
掌握带宽型、VPN电路故障处理总体要求 4)集团级及跨省政企客户割接通知服务实施办法 了解各级部门职责分工
/ 11 中国电信
客户网络维护与服务岗位认证大纲
了解割接信息发布的工作要求 了解割接信息通知的工作要求 熟悉客户意见处理的工作要求
5)集团级及跨省政企客户售后服务走访(回访)实施办法 了解政企客户售后服务走访的方式和走访的意义 掌握例行走访(回访)工作要求
熟悉危机及预警客户的走访(回访)的工作要求 熟悉客户走访(回访)工作的管理的工作要求
6)集团级及跨省政企客户售后服务专项服务项目实施办法 了解项目实施职责分工 了解专项服务项目实施要求
7)集团级及跨省政企客户售后服务危机干预与服务跟踪预警实施办法 了解各级部门职责分工 了解危机事件干预的工作要求 了解售后服务跟踪预警的工作要求
了解各级危机的判断、通报、处理、善后、关闭环节的处理要求 了解预警的操作办法及要求(升降级的原则)
2.《政企客户工程师售后服务指导手册》
了解政企客户工程师的角色,以及对各角色的要求 了解政企客户工程师售后服务的主要工作 了解各项工作应做到的工作事项
/ 11 中国电信
客户网络维护与服务岗位认证大纲
了解典型问题或场景下的处理方法
3.沟通技巧、商务礼仪 了解沟通的定义和功能 了解沟通的七个要素 了解沟通的分类 了解沟通的三大阶段 了解商务礼仪
4.售前、售中集团相关文件
1)中国电信运维„2010‟61号《 关于印发《中 国电信带宽型业务售中开通实施细则》的通知 》 了解适用范围 了解可感知的售中服务 了解预警机制
2)了解首席的架构、跨域支撑的平台 5.客户端的作业规范2.0版
掌握中国电信运维面向客户需求在客户端的施工规范 掌握中国电信运维面向客户需求在客户端的维护规范 掌握中国电信运维面向客户远程服务操作规范 掌握中国电信运维面向客户需求在客户端的行为规范 掌握中国电信运维面向客户需求在客户端的语言规范
/ 11 中国电信
客户网络维护与服务岗位认证大纲
掌握中国电信运维面向客户需求在客户端的着装规范
1本教材中的客户均指“政企客户”注:○; 2 关于故障处理的详细内容可参考中国电信运维【2006】14号《中国电 ○信大客户故障管理暂行规定》(二)业务和产品
1.传统业务
内容包括:业务定义、适用范围、常见组网方案、技术指标和服务指标(发文:全业务服务标准)。常见故障现象处理方式。集团发文:
1)中电信运维„2009‟7号关于印发中国电信带宽型出租业务开通交付工作规定的通知
了解适用范围 掌握业务交付内容; 掌握开通测试内容及指标 掌握测试方法 掌握测试及竣工要求
了解交付测试报告使用说明(建议可作为实操要求)
2)中国电信运维[2008]8号国际及港澳台带宽型A 端业务开通和售后作业暂行规定和中国电信„2010‟508号关于印发《国际及港澳台带宽型A 端业务一站服务处理流程(V3.0)》的通知
掌握服务标准
/ 11 中国电信
客户网络维护与服务岗位认证大纲
了解A端业务开通、售后故障处理的特殊要求
注:服务标准表中境外故障段落的处理时限以508号文的相关要求为准。3)运维[2006]23号_差异化服务 熟悉组网原则
了解维护质量、指标要求
2.定制网关、全球眼、翼机通、政务及监管执法、交通物流、数字医院、总机服务、协同通信、短号码业务(4008、955)、VPDN。内容包括:业务定义和原理、业务功能描述、系统架构
(三)IP 1.计算机网络基本原理 了解计算机网络定义、特点
熟悉ISO/OSI网络体系结构的概念、特征、作用
了解TCP/IP协议结构,熟悉理解IP、ARP、TCP、UDP、ICMP、SNMP等各层主要协议
熟悉IP地址概念和子网规划方法 了解计算机网络拓扑和类型 2.DNS基本知识
了解DNS基本概念、基本原理和组网 3.防火墙基本原理
了解防火墙基本原理、作用、系统结构、安全控制
/ 11 中国电信
客户网络维护与服务岗位认证大纲
4.以太网技术
了解以太网基础及协议 了解LAN原理及组网 了解VLAN原理及规划方法 5.xDSL原理及应用
了解xDSL基本概念、主要技术
了解影响ADSL速率的主要因素,了解ADSL组网结构及应用。6.BRAS及认证知识
了解BRAS基本定义、系统结构和功能实现
了解RADIUS协议原理,理解AAA的基本架构和概念 7.初级路由知识
了解路由器概念与路由基本原理、主要的路由协议
(四)传输专业
1.传输基础知识 专线业务
PDH到SDH的演进、SDH基本知识 组网结构(端到端设备) 了解SDH设备的网络保护方式 了解传输性能 2.日常维护操作
熟悉常见故障的原因分析、处理方法(含SDH、MSTP)
/ 11 中国电信
客户网络维护与服务岗位认证大纲
3.接入网基础知识及PON技术原理
了解接入网基本概念、分类和能提供的业务 了解EPON的拓扑结构、常见的组网模式 4.MSTP原理
了解MSTP的定义、关键技术、MSTP业务类型 了解MSTP设备选型对应表
(五)交换专业
了解话务及呼叫处理能力
了解典型应用(话务台、4008&955)
(六)基础数据
1.ATM基础知识
了解ATM技术基本概念、业务类型 2.帧中继基础知识
了解帧中继业务、帧中继的基本功能 3.DDN基础知识
了解DDN的定义、特点、主要承载业务
(七)移动
1.移动通信基础
/ 11 中国电信
客户网络维护与服务岗位认证大纲
了解移动通信的组成、特点、分类 2.CDMA 2000基本原理
了解CDMA2000技术情况、特点和优势。 了解中国电信CDMA网络体系结构
了解移动业务品牌:天翼发展历程、天翼品牌内涵、天翼技术特点、天翼业务特点。
(八)动力环境
了解交流供电系统的分类
了解UPS系统的定义、特点、分类 了解直流供电系统的特点
熟悉通信中心机房环境条件要求(环境条件未达标时所引起的问题)
(九)IT 1.计算机基本知识
了解计算机硬件系统组成及功能 了解计算机软件系统基础
熟悉操作系统的定义、分类、常用命令
网络认证 篇6
[关键词] 校园网络管理 安全认证 应用
一、校园网络管理系统安全认证的必要性探讨
完善的网络管理系统不但可以促进网络资源的利用,而且可以进一步提高网络的使用性能,对网络用户能够进行安全的应用有着积极的指导意义。
校园网是学校比较重要的基础设施,将提供各种各样服务的服务器和终端设施与校园中用于教学的计算机集成在一起,并与Internet互联,从而为学校的教学方式现代化与管理的网络化提供了平台,同时可以提高学校的教学质量和管理水平。因为校园网具有比较开放的体系,分布范围比较广,而且还具有系统的扩充性以及资源共享性,同时各类服务资源对服务对象也需要有所识别,所以,校园网的安全问题也日渐得到人们的重视。安全认证管理是学校提高学校网络安全的有效措施。
二、校园网安全认证中存在的问题分析与对策
校园网是基于Internet协议与标准构建的一个内部网络,是一个规模较小的但也是比较复杂的Internet,通过HTTP以及Web模式来为全校师生提供网络服务。在网络建设过程中,校园网存在的最突出问题就是资源的安全性与使用的方便性处于相互比较矛盾的状态。校园网中存在着多种应用服务,且这些应用服务还处于不断增加的趋势,所以这些应用服务应该有各自的安全管理机制,例如权限管理、身份认证、页面的连贯性等。
1.对于用户身份认证来说,一般校园网都是采用用户名或者IP地址加上口令(密码)的认证,通过认证来判断和赋予用户对校园网络的访问权限。这样就使得校园网中每种应用服务都有相对应的用户名和口令。有的用户为了方便就会重复使用相同的口令,从而使得口令破解的几率增大,带来安全隐患,同时也给用户的访问过程带来不便。
2.实际应用的过程中,由于各个系统在应用过程中基于的平台不同,应用系统不同,口令和用户名的格式规定也不一样,密码长短的构成限制也不同,用户名的长短也不同,有些应用系统还要求用户对口令进行定期的更改;随着用户申请服务的增多,用户需要记忆和管理的用户名和密码也在增多,每进入一项服务都要进行认证,不仅耗费时间而且容易遗忘密码。用户为了从这比较繁琐的身份认证中解脱出来,希望对口令和用户名进行一次输入,认证后就可以访问多个应用服务[1]。
依据以上分析,为了使用户的管理进行统一化以及保证用户身份验证更加透明化,应该提出一种新型的安全机制,这种机制能为用户提供一次性的身份认证。一次性的身份认证下,对不同的服务器进行访问时不需要再进行身份认证,这样做还可以减轻管理压力。
①统一认证。这是一种简便可行的措施。统一认证的目标与系统特点为:⑴认证以用户层、维护层和管理层三个层面上的安全和操作简便为目标。⑵认证系统应提供认证过程的透明性和网站服务转换的无缝链接。⑶目前瘦客户机的概念已经深入软件体系结构设计之中,B/S结构成为流行设计趋势,BBS、E-MAIL、ftp等传统服务已经逐步转向WEB方式,统一认证也应该体现这种瘦客户机设计思想。
②为了进一步提高认证的强度,还可以借鉴规模较大的院校采用的智能卡和指纹识别相结合的技术,这样就大大增强了系统认证的安全性,从而能够一卡多用[2]。
另一方面,学校网络管理部门需要对安全认证系统的管理做总体的规划和计划,应该进行统一规划校园网内的网络,根据使用的情况以及使用规模来进行合理的分级管理,而且对校内资源的互访与共享也有很大的帮助;在满足用户访问应用需要的同时,也应该满足其管理需要,即有些用户只能访问校内的资源[3]。
三、用户上网时的认证过程
校园网使用中,只有在认证完成后才能够进行使合法用户进行访问,否则就会被拒绝上网。
1.IP认证访问。这类认证方法已比较老旧,现已很少使用了。
2.绑定账户认证。用户登陆时,只需在客户端登陆窗口输入账号和口令即可。我个人认为这是一种比较机械的认证方案。
3.用户账号+口令统一认证。其特点是方便、快捷,校园网内随处可用,一次认证即可享用多项服务。
4.使用身份智能卡认证。这一认证方法也可在校园网任意终端电脑使用,包括自己的移动设备,也是一次认证即可享受多项服务的方案。
综上所述,在学校教学中,校园网正发挥着极其重要的作用。采用合理的网络管理系统,不仅能对每一个入网用户进行相应的有效管理,还能使那些用户没有经过申请就能够直接进行接入网络进行上网的不合理现象得到相应的合理控制,使网络管理能够主动进行,同时可以对今后的网络计费、网络管理、有效防止电脑病毒传播等起到重要的积极作用。但是,也存在着相应的一些问题,需要在实际的工作中对其不断地进行完善。
【注释】
[1]谢希仁《计算机网络》[M](大连理工大学出版社 1996:62~85页)
[2]鲁士文《计算机网络原理与网络技术》[M](北京:机械工业出版社 1996:75~87页)
[3]钮立辉《浅谈校园网络的建设与管理措施》[J](《民营科技》2009.12:77页)
[作者简介:李文(1968~ ),女,陕西安康人,本科学历,实验师,主要从事经济管理实验教学与科研工作]
网络设备认证和分层授权部署 篇7
关键词:认证,授权,Tacacs+,ACS
一般而言在本地设置合理强度的密码就可以保证网络设备的安全。随着校园网络的扩大,网络设备的数量也相应增加,一个有上万个信息点的校园可能有两三百台需网管的设备。规模扩大的网络意味着管理人员的增加,以及随之带来的流动性的增加。比如学生网管,一般只能承担一个学年的工作,而且从学习的角度,应当给与其访问汇聚层、核心层设备的权限。
当管理人员工作变动时,为了确保安全必须及时更改密码口令。然而面对庞大数量的网络设备,对于基于本地的认证方法,更改所有设备的访问登入密码就成为一件可怕的事件。此外,赋予不同管理人员以不同的权限也是必须的,比如学生网管可以有查看网络配置的权限,但一般不能有更改配置的权利,除非获得特别的允许。
因此,如何方便快捷地更改网络设备的远程访问密码,以及为不同的用户设定不同的访问权限是大型网络必须完成的部署。
1 基于Tacacs+协议的认证、授权方案设计
基于Tacacs+协议的第三方认证能够实现上述要求。如图1所示,第三方认证有三个实体:用户(User)、客户机(Client)、AAA服务器(Server)。与本地认证方式不同的是,当客户机收到用户发出的Telnet请求时,不在本机上进行认证,而是向AAA服务器发出认证、授权请求,服务器通过验证用户的用户名和密码的合法性来决定是否允许用户登入客户机。因此,只要在服务器上设置、更改、删除相应的用户名和密码,就能更改全网网络设备的登入用户名和密码。
与Radius协议相比较,Tacacs+支持基于特定命令的壳式(Shell Command)授权,而Radius不支持此特性,只能提供基于访问控制列表(ACL)的授权功能。即Radius协议只能做到允许或者禁止某个用户访问某个设备,而Tacacs+能够允许某个用户执行设备的某条命令而禁止该用户执行该设备的另一条命令。
此外,在整个设计方案中本地认证、授权也是必不可少的。一种可能发生的情形是:AAA服务器不可达,无法正常的提供服务,此时本地的认证、授权就成为必要的补充。以防在此种情况下无法登入客户机。
如图2所示,当用户使用Telnet远程登入客户机时,客户机向AAA服务器发出认证请求,AAA服务器回应认证报文,要求用户输入用户名和密码。如果用户名和密码正确则允许用户登入客户机,若用户名密码错误则拒绝用户登入。如果服务器由于某种原因没有反应,没有回复报文则可以用本地认证的方式登入客户机。
一旦认证通过,当用户在客户机中输入一条命令行(CLI)命令,客户机就将该命令发往AAA授权服务器(基于Tacacs+的AAA服务器,认证和授权服务器可以分开,基于Radius的认证和授权只能在同一台)。收到客户机的授权请求后,AAA服务器将根据配置向客户机返回允许或者禁止用户执行的报文。用户的每一条CLI都将向服务器申请授权,获得允许后方能在客户机上执行。同样的,如果在登入到客户机的过程中,AAA服务器突然无法访问,那么用户的任何命令都将被拒绝,此时应重新用本地认证方式登入客户机并获得相应的权限。
2 客户机的配置
Tacacs+认证和授权以图3所示拓扑为例,AAA服务器采用Cisco的ACS作为认证、授权的软件,客户机Switch A的型号为Cisco Catalyst 3750交换机。当User A通过Telnet远程登入到Switch A时,由ACS Server A(Ip 10.0.0.1)进行认证和授权,认证的用户名和密码由服务器的设置决定。当ACS Server A无法访问时,采用本地用户“network”,密码“1234”进行登入和授权。具体配置如下:
认证的配置:
3 服务器端的配置
ACS服务器上需要设置的内容有:(1)“Network Configuration”中添加允许认证的客户机地址,如图3中Switch A的地址10.0.0.2;(2)“Shared Profile Components”中设置允许用户拥有的权限;(3)“Group Setup”中建立组,在组中添加相应的权限名;(4)“User Setup”中设置登入的用户名、密码,并指定用户所属的组名。
在“Shared Profile Components”的“Shell Command Authorization Set”菜单中,如图4所示,在客户机上的权限为只能使用“show run”的命令,若要允许show的其它命令可点选“Permit Unmatched Args”选项。图5为允许任何不匹配的命令,即没有任何的限制。
4 结束语
基于Tacacs+的认证、授权,有效地降低了网络管理的工作强度,尤其是其壳式(Shell Command)授权特性,特别适合网络设备的授权服务,能够为不同用户设置不同的命令权限,实现网络设备的分层管理。作为Cisco的私有协议,Tacacs+并不支持非Cisco的产品,有一定的局限性。因此应尽量选择统一品牌的网络设备,如若不然,也可以通过多台AAA服务器来解决,当然前提是所选的网络设备支持认证、壳式授权。
参考文献
[1]Andrew S.Tanenbaum,潘爱民,译.计算机网络[M]4版).清华大学出版社,2004.
[2]Cisco Systems,Inc.User Guide for Cisco Secure Access Control Server4.2[EB/OL].Available at http://www.cisco.com,2009.
网络认证 篇8
Kerberos身份认证机制主要体现在其用于访问网络服务的票证,其中包含认证符,经过加密的数据,同时包括加密的密码。除了输入密码或智能卡凭据外,整个身份认证过程对用户都是不可见的。Kerberos中一项重要服务是密钥分布中心,它是作为通信双方信任的第三方,身份认证的任务就是由它负责的。Kerberos中主要有两类密钥,即长期密钥和短期密钥。长期密钥通常是指密码,一般来说不会经常更改密码 ;短期密钥一般是指具体会话过程中使用的会话密码。长期密钥可能长期内保持不变,其使用是有原则的,那就是被长期密钥加密的数据不应该在网络上传输,原因很简单,一旦这些被长期密钥加密的数据包被恶意的网络监听者截获,则黑客就可能通过计算获得你用于加密的长期密钥,因为任何加密算法都不可能做到绝对保密。另一种短效密钥来加密需要进行网络传输的数据,由于这种密钥只在一段时间内有效,即使加密的数据包被黑客截获,等他把Key计算出来的时候,这个Key早就已经过期了,相对来说安全很多。
票证是Kerberos身份认证的主要组成部分,Kerberos消息用来请求和释放票证。在其身份认证中包括两种类型的票证,票证许可票证TGT和服务器票证ST。TGT是指密钥分发中心KDC在接收到请求后提供身份认证服务,验证请求者是否有资格获取票证。ST是指KDC在接收到请求后提供票证许可服务,验证请求者是否有访问对应服务或服务器的资格。票证请求内容包括以下两个即请求属性,如票据证是否可更新的和请求加密和方法。KDC仅简单提供票证许可服务,但它不保证信息准确到达目标地址。即使KDC消息进行了错误的质询,也没有任何影响,仅知道客户端密钥的人才能可以解密客户端会话密钥副本,知道服务器密钥的人可以读取票证中的信息。服务器并不存储与客户端通信的会话密钥,会话密钥是由客户端在其凭证缓存中为服务器管理的,而且在每次需要访问服务器时,都是以会话密钥向服务器提供票证,当服务器接收到来自客户端的服务票证时,服务器可以使用KDC与服务器共享的密钥来解密票证,取出会话密钥,当服务器不再需要会话密钥时,则可以丢弃它。客户端不需要在每次访问同一个服务器时返回去向KDC索要票证,因为服务票证可以重复使用。为了预防有人非法复制票证,KDC会在票证的数据结构中为服务票证设定有效期限。票证的有效期是多长,要视领域中的策略设置而定,尽管RFC建议最大的票证有效期为一天,但在有些系统的Kerberos协议功能中,默认的最长票证时间是十个小时,满足了最普通的单次登录时间长度,因为当用户注销登录后,凭证缓存中就会自动清除所有与之有关的票证,包括会话密钥。客户端 / 服务器身份认证交换包括应用服务器请求和应用服务器响应两条消息。在客户端已经请示并且从AS中接收到了TGT,请求并从TGS中接收到了服务器票证后,客户端准备发送这个服务票证给目标服务器,如果目标服务器需要用户到用户身份认证,则原来的服务票证连同目标服务器的TGT一起被拒收,客户端将发送新的一条客户端和目标服务器共享的会话密钥加密的认证符(KRB_AP_REQ)消息来包含目标服务器的TGT,并请求一个新的服务票证,并用包括目标服务器的TGT的会话密钥加密,替代原来用来加密的目标服务器的保密密钥。应用服务器响应这条消息是可选的,仅在需要进行相互身份认证时发送,如果被请求了,则目标服务器将从认证符中取出客户端计算机时间戳,并用TGS为客户端和目标服务器消息中提供的会话密钥进行加密,然后发送到客户端。大多数Windows服务是需要相互身份认证的。
发送相互身份认证消息的目的就是为了使客户端验证服务器身份。相互身份认证过程如下 :服务器通过KRB_AP_REQ消息接收服务票证和认证符 ;服务器使用它的保密密钥解密票证 ;服务器从票证中找回会话密钥 ;服务器用会话密钥解密认证符 ;服务器从认证符中解密客户端时间戳 ;服务器创建相互身份认证信息,包括客户端时间戳,并用会话密钥加密这个消息,然后以KRB_AS_REP消息形式发送给客户端 ;客户端用会话密钥解密消息,把消息中的时间戳与自己原来所发送的应用服务器请求消息中的时间戳进行比较,如果一致,则认为服务器是真实的,并开始对服务器的访问。
Kerberos V5身份认证 协议在安 装期间为所 有加入Windows Server 2003或Windows 2000域的计算机默认启用。Kerberos对域内的资源和驻留在受信任的域中的资源提供单一登录,所以一般不需要手动启用Kerberos策略,除非在此之前你手动禁用了Kerberos策略。可通过那些作为账户策略一部分的Kerberos安全设置来控制Kerberos配置的某些方面。作为管理员可以使用默认的Kerberos策略,也可以更改它以适应环境的需要。使用Kerberos V5进行成功的身份认证要求客户端和服务器计算机都必须运行Windows 2000、Windows Server2003家族或Windows XP Professional操作系统。如果客户端系统尝试向运行其他版本的Windows操作系统的服务器进行身份认证,那么将使用NTLM协议作为身份认证机制。使用Kerberos进行身份认证的计算机必须使其时间设置在5分钟内与常规时间服务同步,否则身份认证失败。运行Windows 2000、Windows Server2003家族或Windows XP Professional的计算机将使用域控制器作为网络时间服务来自动更新当前时间。Kerberos策略用于域用户账户,不存在于本地计算机策略中,主要包括强制用户登录限制,服务票证最长寿命,用户票证最长寿命,用户票证续订最长寿命,计算机时钟同步的最大容差。
摘要:Kerberos是IETF发布的一种身份认证标准协议,目前最新的版本是V5。它采用对称密钥方案,该协议应用非常广泛,特别是在Windows系统中,包括Windows系统的内部网络登录目前也主要采用的是Kerberos协议。Kerberos认证协议主要是在系统层中得到广泛的应用,本文将全面系统地介绍这种得到广泛应用的身份认证协议的工作原理以及协议体系结构。
高校校园无线网络认证系统研究 篇9
随着科技的发展,网络在社会中的普及,从有线网络到随处可以上网的无线网络,上网人数在不断增加,尤其是在校园资源有限,人数增多的情况下,网络管理人员如何将提供给广大师生优质是网络信号进行服务,避免资源浪费,除了应用网络设备之外,必须建立全方位网络管理系统,促进管理者维护网络效能策略的提高。
在校园内部,由于每年学生人数的不断增加,学生上网需要不断加大,而且上网时间较长,对于目前校园内使用的IPv4网络已经出现不能满足校园网络的需求,因此,为了能够解决此问题,适度的使用网络资源,建立一个无线的网络系统并进行无线认证是迫在眉睫。
本文通过Web based认证系统来取代原有的MAC的方式, 全校的师生只要通过输入自己的账号和密码就能上网,这样操作简单,而且即使有外来人员,也可以单独开发一个账号进行上网[1],这样方便学校对账号进行管理,学生和教师进行认证必须通过学校提供的名单进行实名认证,这样不仅仅解决上网问题,还可以对网络信息和网络资源等进行跟踪,挖掘出上网者的上网时间和模式等情况。
2无线网络的研究
目前无线网络管理主要是通过网络监控锁MAC技术及采用的EAP等认证方式,大多数使用者都是采用的MAC模式,[2]网络管理人员对其管理比较繁琐,而EAP是目前IEEE802.1X
所制定的标准,是可以加密的协议,通过RADIUS服务器来对使用者进行集中管理,使用者必须通过认证方可上网。
EAP的优点是它可以和学校的账号密码相结合,并且还可以在分校区进行跨网合作,无论是哪个校区,都可以使用无线网络,网络的服务器可以是互相连通的[3]。但是目前EAP不是普遍使用的技术,有些网卡不能支持EAP的认证方式,所以需要购买无线网卡。
本文在两种无线认证的方式为基础开发了一套以web based为基础,利用linux IPTables及LDAP的网络环境认证管理系统,进行人性化、方便操作的认证系统。
3校园WLAN系统架构
本文结合校园WLAN的实际情况,将校园内部网络欲对外连线的封包全部挡下,并转向至linux server的80端口,如图1所。使用者需要通过认证后才能上网,在网页关了方面我们使用PHP +MYSQL,硬件方面需要安装两个网卡,一个需要连接虚拟IP,另一个网卡则连接到对外的Switch上,挡虚拟Ip的封包经过ethi进入linux时,系统会因为IPTables的PREROUTING Chain锁定,而将封包挡下并转向到本机的80端口,以Web based方式让使用者进行认证,通过PHP将使用者输入的账号密码与LDAP的信息进行对比[4]。当使用者通过认证之后,PHP会在MYSQL数据库中存储信息,并更改IPTables的设定,让使用者能够上网,最后经过Source NAT连接出去。
为了维护网络资源,我们使用了一个机制,系统会根据网络管理人员所设定的时间去侦测每位上网者的连线情况,并根据ICMP的回应来判断使用者是否还在线上,如果发现某位上网者已经连续两次没有回应,此时为了避免资源的浪费,我们会将使用者自MYSQL及IPTables的名单中删除,使用者以后再次上网时,必须通过认证才能上网。
这些使用者信息我们将进行保存在mysql里面,并在下面列出几个重要设置的说明:
1)id:记录使用者的学号;
2)login_ip:使用者上网所使用的ip;
):使用者开始上网的时间;
4)checked:判断使用者是否已通过认证;
5)idle_time:闲置次数,若使用者超过两次会被强制离线。
3.1 Open LDAP的相关设置
在建立LDAP的Entry时,我们利用cn及userpassword等相关属性,如下列所示:
由于LDAP Server存储了全校师生的相关信息,而在进行认证的时候,PHP会依据使用者所输入的账号密码与LDAP Server进行对比,并传回验证成功或者失败的信息,然后根据信息去处理相应的操作。
3.2 IPTables的相关设置
在PREROUTING Chain的设置部分如下所示:
Iptables-A RPEROUTING-t nat-p tcp-j
REDIRECT—to-port 80
Iptables-A PREROUTING –t nat-p udp-j
REDIRECT—to-port 80
由于PREROUTING Chain是内部网络封包最先进来的地方,所以我们在此将尚未通过认证的使用者拦下,并转向至本机的80端口,以便进行认证操作,而使用者通过认证时,系统便会再次更改PREROUTING Chain的规则,让使用者在后续上网的部分不会因锁定而无法上网。使用者通过认证在PRE-ROUTING Chain的部分命令如下所示:
Iptables-I PREROUTING - t nat-s使用者IP/32-j
ACCEPT
上述指令将置于PREROUTING Chain的最前面,所以通过认证的IP不会受到REDIRECT设定的影响,而使用者的IP会为虚拟IP时,则通过PREROUTING Chain的设定使其转化为合法IP。认证系统的流程图如图2所示。
4结束语
本文提出校园可行的无线网络认证方式,系统设计理念上完全使用开发原始码的软件,而对于使用者来说,仅需要在第一次上网使用浏览器时,认证系统会自动将其引导相关的认证网页界面上,来进行使用者账号确认的操作。而且我们还可以利用所取得的信息来进一步分析使用者的上网行为,为以后网络管理提供数据参考。
摘要:无线网络是目前各大高校骨干网络建设后的主要建设项目之一,因为无线上网具有比传统网络连接方式很大的便利性,但是在移动认证上具有一定的挑战,也是高校校园内规划网络时主要衡量的因素,该文提出了以web-based并以使用者身份认证基础的研究,采用Linux、PHP/MYSQL、IPTables等技术,避免权限设置问题,并运用到高校的校园网络环境,为今后其他高校使用无线网络提供了方案策略。
关键词:网络认证,无线网络,IPTables
参考文献
[1]杨秀梅,郑剑.校园无线网部署方案研究[J].华东师范大学学报,2015(S1).
[2]马帅营,魏金良,阿古达木.基于细粒度标签的校园无线网弹性qos优化[J].大连民族学院学报,2015,17(5).
[3]李玉平.浅谈高校校园无线网规划与建设[J].齐齐哈尔工程学院学报,2012,6(4).
网络认证 篇10
一、攻击方法
1.“钓鱼”之一:电子邮件
诈骗分子发送以中奖、顾问、对帐为内容的邮件引诱用户在邮件中填入金融账号和密码, 或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息, 继而盗取用户资金。
2.“钓鱼”之二:
盗号木马。犯罪分子通过发送邮件或在网站中隐藏木马等方式大肆传播木马程序, 当感染木马的用户进行网上交易时, 木马程序即以键盘记录的方式获取用户账号和密码, 并发送给指定邮箱。
3.“钓鱼”之三:
网址欺骗。犯罪分子建立起域名与内容都与真正网上银行系统、网上证券交易平台极为相似的网站, 通过电子邮件、短信、QQ、BBS以及搜索引擎等各种形式引诱用户访问假冒网站, 并输入账号、密码等信息, 进而窃取用户的个人信息。
二、双向认证的解决方案
1. 双向认证机制。
认证是证实被认证对象是否属实和是否有效的一个过程, 其基本思想是通过验证被认证对象的属性来达到确认被认证对象是否真实有效的目的。
双向认证机制的原理:
设A和B是一对平等的实体, A的口令为PA, B的口令为PB, A、B共享口令PA与PB, f为单向函数, RA、RB是随机数。
(1) A请求与B通信A→B:RA
A首先选择一个随机数RA, 发送给B;
(2) B提交验证信息B→A:f (PB||RA) ||RB
B收到RA后, 产生随机数RB, 利用单向函数f对自己的口令PB和随机数RA进行加密f (PB||RA) , 并连同RB一起发送给A;
(3) A验证B:f (PB||RA) ==f* (PB||RA) ?
A利用单向函数f对自己保存的PB和RA进行加密f (PB||RA) , 并与收到的f* (PB||RA) 进行比较, 若相等, 则A确认B的身份是真实的, 否则认为B的身份是不真实的。
(4) A提交验证信息A→B:f (PA||RB)
在确认B为真实的之后, A利用单向函数f对自己的口令PA和随机数RB进行加密f (PA||RB) , 并发送给B;
(5) B验证A:f (PA||RB) ==f* (PA||RB) ?
B利用单向函数f对自己保存的PA和RB进行加密f (PA||RB) , 并与收到的f* (PA||RB) 进行比较, 若相等, 则B确认A的身份是真实的, 否则认为A的身份是不真实的。
2. 基于双向认证的防范“网络钓鱼”攻击方案。
本文根据双向认证机制的原理提出防范网络钓鱼攻击的方案, 方案分为申请注册与登录验证两个部分。
(1) 申请注册。
客户向网站服务器提出注册申请, 并提交个人信息;用户IDA与用户口令PA。网站服务器接受申请, 利用HMAC函数和服务器的种子密钥K对用户信息 (IDA、PA) 与时间戳T进行加密, 生成服务器验证口令PB=HMAC (IDA||PA||T, K) , 服务器保存 (IDA、PA、PB) , 并将PB发送给该客户。客户接受并保存服务器验证口令PB;网站服务器端保存了用户IDA、用户口令PA与服务器的口令PB;同样客户端保存了网站服务器的口令PB, 客户的个人信息用户IDA、用户口令PA。
(2) 登录验证。
登录验证流程 (如图1所示) :客户向网站服务器提出登录请求, 提交自己的ID;网站服务器验证ID合法后, 接受客户登录请求;客户发送一随机数RA, 并要求网站服务器提供验证信息;网站服务器提供验证信息f (PB||RA) ||RB, 并要求客户提供验证信息;客户经验证确认为真实网站后, 提供客户验证信息f (PA||RB) ;网站验证确认为合法用户后, 开始进入应用操作;
3. 双向认证机制的安全性分析
(1) 情况一。
假冒网站试图采用与真实网站一样的登录验证流程骗取客户信息。假冒网站无服务器验证口令PB, 客户利用PB对网站服务器的验证 (验证1) 失败, 提示“非法网站”退出, 当然也就不可能窃取客户PA。
(2) 情况二。
假设攻击者已窃取了用户IDA和PA, 试图登录真实网站。攻击者用PA不能推导出PB, PB安全保存在USB KEY, 密文传输, 无法窃取PB, 网站服务器利用PA对客户的验证 (验证2) 失败, 提示“非法客户”退出, 登录失败。
(3) 情况三。
假设攻击者已窃取了用户USB KEY和IDA, 试图登录网站。验证1通过, 验证2失败, 提示“非法客户”退出, 登录失败。
“网络钓鱼”也是“愿者上钩”, 之所以不断发生, 就是人们防范观念淡薄, 反之, 用户安全意识的提高, 严格执行的安全策略、养成良好的安全习惯能有效地降低“网络钓鱼”的风险。同时要从根本上防御“网络钓鱼”攻击还必须依靠安全技术的不断提高。
摘要:目前“网络钓鱼”攻击已成为继电脑病毒之后的最大的网络安全隐患之一。本文提出了一种基于双向认证机制防范“网络钓鱼”攻击的解决方案。
关键词:双向认证,网络钓鱼,口令认证
参考文献
【网络认证】相关文章:
网络认证技术05-29
WLAN网络认证05-27
浅谈网络认证技术09-10
认证无线电网络07-10
网络工程师认证有几种03-13
身份认证网络信息安全论文提纲11-15
思科认证下的网络工程论文04-23
面向工程教育专业认证的计算机网络课程建设09-10
校园无线网络安全及局域网认证解决方案04-17