基于ECC算法的Intranet身份认证系统设计
基于ECC算法的Intranet身份认证系统设计
赵 琦1, 王 威1, 柳增寿2
(1.北京航空航天大学 电子信息工程学院 ,北京 100083; 2.北京海泰方圆科技有限公司 , 北京 100085)
【摘 要】身份认证是保障信息安全的关键一环,是提供访问控制的第一步。本文介绍了ECC算法和身份认证的相关理论,提出一种基于ECC算法的身份认证系统方案,其适用于Intranet内联网之中,使用混合密码体制和软硬件协同的工作方式,提供高速、安全可靠的身份认证服务。
【关键词】ECC算法;PKI机制;身份认证;数字签名
【中图分类号】TP393【文献标识码】A【文章编号】1002-0802(2007)08-0210-03 The Design of Identity System on Intranet Based on ECC Algorithm
ZHAO Qi, WANG Wei, LIU Zeng-shou
(1.Beihang University, Beijing 100083,Chian; 2. Hataifangyuan Ltd, Beijing 100085, China)
【Abstract】The identity authorization is a key part of information security, and it is also the first step of access controlling. This paper introduces the ECC algorithm and the identity authorization theory, and then proposes a new identity authorization scheme based on the ECC algorithm, which can be used well in Intranet, the new scheme provides a high speed, safer and more credible service, by using mixed crypto system and the Soft-hardware co-design.
【Key words】ECC;PKI Identity; authentication; digital Signature
0 引言
随着互联网的推广,来自网络信息安全的威胁也逐渐引起了各方面的关注。身份认证是信息安全的重要组成部分,是企业信息安全的保障。
而对于企业内部的内联网络Intranet来说,具有信息量大的特点,其主要威胁来自于非授权用户的非法访问,因此它对数据完整性的要求很高。Intranet需要最快的速度提供最高的安全性。保证信息的机密性、完整性和有效性。
本文针对Intranet环境,提出一种身份认证系统方案,其核心算法采用ECC算法,在保证系统安全性的前提下,提高系统速度,采用软硬件协同的方式进行身份验证,具有安全性高、速度快、灵活性好、适用性强的特点。
1 ECC与身份认证
1.1椭圆曲线密码体制(ECC)
椭圆曲线密码体制(ECC,Elliptic Curve Cryptosystem)是1985年由N.Koblitz和https://www.360docs.net/doc/a816070528.html,ler分别独立提出。
椭圆曲线密码(ECC)是基于椭圆曲线离散对数问题密码算法的总称。一个具体的椭圆曲线密码算法总是建立在一条具体的椭圆曲线上的。
椭圆曲线的定义[1]: 椭圆曲线源自于椭圆积分,是由Weierstrass方程(维尔斯特拉斯,Karl Theodor Wilhelm Weierstrass,1815-1897), 22
13
y z a xyz a yz
++32
2
x a x z
=+
23
46
a xz a z
++,所确定的平面曲线。
在椭圆曲线中,真正具有密码实用价值的主要是基于二元域GF(2)n和素数域GF()p的椭圆曲线。
在SECI及IEEE P1363ECC[1]工作草案中,所定义的二元域上椭圆曲线用到六个参量[1]: T=(p,a,b,G,n,f)。(p,a,b 用来确定一条椭圆曲线,G为基点,n为点G的阶,h是椭圆曲线上所有的点的个数m与n相除的整数部分) 这几个参量取值的选择,直接影响了加密的安全性。p 越大越安全,但相应的计算速度会变慢,200位左右可以满足一般安全要求;
但目前对于椭圆曲线的参数取值还没有一个标准来规范。
ECC所基于的数学问题的困难性被公认是目前已知的公钥密码体制当中每位提供加强密度最高的一种体制。数学问题越难,意味着越小的密钥尺寸能产生等价的安全性。
因此,和传统的公钥密码体制RSA相比,ECC具有以下特点[2]:
(1) 安全性能更高:如表1所示, ECC和RSA相比,单位bit的安全强度更高。
收稿日期:2007-06-25。
作者简介:赵 琦(1966-),女,副教授,主要研究方向为信息安全、测控系统等;王 威(1983-),男,硕士研究生,主要研究方向为信息安全;柳增寿(1973-),男,主要研究方向为信息安全。
211
(2) 计算量小和处理速度快:密钥长度缩短使得ECC的计算量大大减小,总速度比RSA快很多。同时ECC系统的密钥生成速度比RSA快百倍。
(3) 存储空间小:在同等安全条件下,ECC所占的存储空间要小得多。
(4) 带宽要求低:但应用于短消息时,ECC带宽要求低很多。
表1 三种公钥密码体制的参数比较[3]
系统参数(比特) 公开密钥(比特) 私有密钥(比特) RSA N/a 1088 2048
DSA 2208 1024 160
ECC 481 161 160 椭圆曲线密码体制可以应用在公钥密码(如RSA)的所有应用中,如椭圆曲线加密体制(如ECES)、数字签名体制(如ECSA、ECDSA、Schnorr)、密钥交换协议(如ECKEP、Diffie-Hellman)等。
由于ECC在安全性、实现代价和应用效率上较RSA密码都有明显的优势[3],目前已经被多家国际标准组织所接受,如IEEE、ANSI、ISO、IETF、ATM 等,它们所开发的椭圆曲线标准的文档有:IEEE P1363 P1363a、ANSI X9.62 X9.63、ISO/IEC14888 等。ECC替代RSA密码,成为行业或组织的公钥密码标准的趋势已经形成,并已有国家(美国、日本、韩国和欧洲一些国家)在国家密码标准中采用ECC密码体制。
但由于椭圆曲线的参数选择很多,目前国际上还缺乏一种通用的标准,这一方面也限制了ECC的推广和应用。 1.2 身份认证与公钥密码体制
在计算机科学中,身份是授予权限的基础,也是构成某个保护域的名称系统的必要组成部分。身份认证就是将某个身份与某个实体进行绑定,是防止主动攻击的主要方法。
在身份认证系统中,起关键作用的是其中的加密体系。它的密码体制分为对称密码体制和非对称密码体制。非对称密码体制是指在加密过程中,密钥被分为一对:公开密钥(a public-key), 可以被任何人知道, 用于加密或验证签名;私钥(private-key), 只能被消息的接收者或签名者知道,用于解密或签名。这对密钥具有这样一个特点:当知道密钥对中的一个密钥时,要检测出另一个密钥,在计算上是不可能的[5]。在这个系统中,每个通信实体都有一个加密密钥和一个紧密相关的解密密钥.通信的双方只要知道对方的公钥,就可以进行安全的通信。
RSA算法是1977年提出的,旨在解决DES等对成算法的秘密密钥,在利用公开信道传输分发时的难题[4]。它是第一个比较完善的公开密钥算法,也是国际公认的比较理想的公钥密码体制。它既能用于加密也能用于数字签名。其核心算法是基于大整数幂剩余计算,其计算复杂性使得RSA公钥密码计算速度非常缓慢,在海量数据系统中难以达到实际应用的理想效果。
目前用国际上公认的对于RSA算法最有效的攻击方法有一般数域筛(NFS)方法去破译和攻击RSA算法,由于求解和攻破RSA算法是一种亚指数级别运算难度的,破解难度不高。所以RSA算法的安全性不是很高。
目前,国外广泛应用公开密钥基础设施(PKI),利用密码学理论对要传输的数字信息进行加密和签名,保证了信息传输的机密性、真实性、完整性和不可抵赖性。PKI的核心采用RSA算法进行加密运算,在电子商务领域有着广泛而成功的应用,但随着椭圆曲线算法的出现,ECC其自身不同于RSA算法的优点使其越来越受人们的关注。
2 ECC算法在Intranet身份认证中的应用设计
内联网络Intranet是在统一行政管理和安全控制管理之下,采用Internet的标准技术和应用系统建设成的网络,可以看作是一种“专用Internet”,相对于Internet强调网络的互连和通信,Intranet则更强调企业内部的信息交流和协同工作,如何在保证效率的同时,保障Intranet的安全是我们面临的一个难题。
如上节所述,公开密钥基础设施(PKI)广泛应用于Internet的电子商务与电子政务身份认证。但目前PKI机制多采用RSA算法进行加解密和签名,其算法的速度比较慢,安全级别不够,无法满足Intranet协同工作的要求。
本文依据PKI理论框架,提出一种新的模型,针对开放通信系统中的加密文件传输的实现问题提出了一种实现方法。该方法提供软硬件协同工作保障的安全,使得密钥系统的建立、传递更加可靠。
未解决系统的速度问题,本文拟采用ECC算法代替RSA 进行加解密和电子签名,设计基于PKI机制的Intranet身份认证系统。
在这个加密通信中,如果有一个入侵者H,他只能看到Ep(,)
a b、K、G、C1、C2而通过K、G求K或通过C2、G求r都是相对困难的。因此,H无法得到A、B
图1 利用ECC算法进行Intranet身份认证模型
在本文提出的模型中,假设通信的是A与B双方,A与B处在同一个Intranet中。此内联网络内部有一个密钥管理中心(KMC)。事先约定密码体制:采用混合密钥体制,即文本加解密采用对称算法AES,而密钥的传输与签名验签都采用非对称算法ECC 。
整个系统包括KMC(Key Manage Center)密钥管理中心、服务器、硬件加密设备Usb Key等部分组成(如图1)。
在PKI体制中,采用证书管理公钥,通过第三方可信任机构CA(Certificate Authority)把用户公钥和用户其他
212
标识信息捆绑在一起,在网络上验证用户身份。本模型借鉴PKI体制,每一个终端用户设备无需事先存有对方公钥信息,只需获取KMC授予的相关信息和公钥即可直接与网络中其它授权用户进行通信。
KMC作为公认的第三方机构,实现下列功能:生成密钥:生成ECC加解密密钥;储存密钥:储存各Server生成的密钥;安装密钥:安装各ECC密钥至各个电子钥匙Key中;发放公钥:储存并发放公钥。
Key(电子钥匙)是一种USB安全设备,具有存储密钥、随机生成一次性随机密钥和硬件加密功能。密钥存储在Key 中不允许导出,避免了密码运输和在公共硬件中存储带来的安全隐患。USB Key作为双因素认证终端设备,代替了原来通用的只有口令的认证方式。
图2 发送端加密、签名过程
在系统的发送端,Key插在服务器A上,利用其中的随机数生成器,生成AES密钥中密钥,将明文m加密成密文C。用Key中的ECC私钥加密AES密钥,与密文C、数字签名一起打包成数字信封(如图2)。
数字信封压缩为一个包,由发送端的服务器A发通过
开放式通信网络发送到接收端服务器B。
图3 接受端解密、验证签名过程
数字信封通过Intranet传输,传给服务器B。在接收端,将数字信封解压缩查找KMC中得到的发送端A的ECC公钥,用其解码,得到文本AES加密的密钥,将密文C解密成明文M,再将明文M进行Hash运算,比较其结果与数字信封中的数字签名S,确认文件未被篡改和丢失,保证其数据完整性(如图3)。
本模型采用软硬件协同工作的方式,适用于基于Intranet的系统机构内部的身份认证。
在信息安全中,密钥管理可以定义为密钥的产生、记录、传抄、分配、安装、存储、变更、销毁和控制过程。任何一个步骤都可能导致密码系统的泄密,而实践表明对密钥和密钥管理的攻击比对算法的攻击更加常见也更加有效。在本模型中,根密钥保存在硬件设备USB Key中,使得密钥数据绝不以任何明文形式出现在加密设备之外,还可以保护数据完整性,不可篡改,运算速度快,防止逆向工程。在硬件加密方面,USB Key以智能卡芯片为基础,内置芯片操作系,利用算法IP核,作为终端加密认证设备,直接从系统和硬件层面提供安全保护,确保关键信息特别是根密钥安全地保存在硬件设备中。
在USB Key中,由随机数发生器,生成一次性随机密钥,在各Server端生成AES加密密钥。这样基本可以做到“一次一密”,大大提高了数据加密的强度。
本模型是根据PKI进行部分修改得到,使用ECC对AES 的密钥进行加密,并使用椭圆曲线数字签名算法ESDSA。
由于ECC还无法支持标准的数字证书,在本模型中,使用类似功能的数字信封,将密文、使用ECC加密后的AES密钥和签名打包,再通过网络传输。
为了加快系统的速度,提高系统的安全性,本模型提出海量数据加密采用对称加密算法中的AES算法,替代传统的DES算法。
AES算法即高级加密标准——Rijndael算法。速度快,安全强度高,是新兴的对称密钥加密算法。
在信息安全领域,ECC算法签名以其密钥长度小、安全性能高、整个数字签名耗时小,使其在智能终端应用中有很大的发展潜力,比如掌上电脑、移动手机等中能有更好的表现。而在内联网络中,ECC算法也保证了其协同工作的实时性,使用ECC算法加密敏感性级别较高的数据(如密钥),速度上能够满足大数据量要求,而且安全性更高,能很好的保障系统的安全。
3 结语
在信息安全领域,仅靠单一技术手段构成的安全体系往往是脆弱的,软硬件协同工作是目前的流行趋势,可以提高安全性。 ECC算法是目前正在组建兴起的非对称加密算法,在很多领域开始逐渐替代传统的RSA算法。
本文通过分析ECC算法,比较了ECC算法与RSA算法,并提出用于Intranet的新模型,本模型采用软硬件协同的方式,基于混合加密体制,使用速度快而安全性高的ECC算法进行加解密、签名与验证签名,充分的和PKI体制透明的融合,对内联网内的信息建立起良好的保护的屏障。大大加快了系统加解密速度,提高了安全性,可以在安全性要求较高的企业、军队、实验室中提供Intranet的身份认证,保证信息的机密性、完整性和可用性。
参考文献
[1] IEEE P1363.Standard for Public_Key Cryptography:Working Draft
[EB/OL].http ://https://www.360docs.net/doc/a816070528.html,/, 1998-08.
[2] Schoof R. Elliptic curves over finite fields and the
computation of square roots mod p[J]. Mathematics of Computation. 1985, 44(170): 483~494
[3] Darrel Hankerson . 椭圆曲线密码学导论[M].电子工业出版社.2005
[4] 冯登国.密码学原理与实践[M].北京:电子工业出版社.2003.
[5] ANDREW NASH,WILLIAM DUANE,CELIA JOSEPH.et al..公钥基
础设施(PKI)实现和管理电子安全[M].清华大学出版社.2002.
213
统一认证系统_设计方案
基础支撑平台
第一章统一身份认证平台 一、概述 建设方案单点登录系统采用基于Liberty规范的单点登录ID-SSO系统平台实现,为数字化校园平台用户提供安全的一站式登录认证服务。为平台用户以下主要功能: 为平台用户提供“一点认证,全网通行”和“一点退出,整体退出”的安全一站式登录方便快捷的服务,同时不影响平台用户正常业务系统使用。用户一次性身份认证之后,就可以享受所有授权范围内的服务,包括无缝的身份联盟、自动跨域、跨系统访问、整体退出等。 提供多种以及多级别的认证方式,包括支持用户名/密码认证、数字证书认证、动态口令认证等等,并且通过系统标准的可扩展认证接口(如支持JAAS),可以方便灵活地扩展以支持第三方认证,包括有登录界面的第三方认证,和无登录界面的第三方认证。 系统遵循自由联盟规范的Liberty Alliance Web-Based Authentication 标准和OASIS SAML规则,系统优点在于让高校不用淘汰现有的系统,无须进行用户信息数据大集中,便能够与其无缝集成,实现单点登录从而建立一个联盟化的网络,并且具有与未来的系统的高兼容性和互操作性,为信息化平台用户带来更加方便、稳定、安全与灵活的网络环境。 单点登录场景如下图所示:
一次登录认证、自由访问授权范围内的服务 单点登录的应用,减轻了用户记住各种账号和密码的负担。通过单点登录,用户可以跨域访问各种授权的资源,为用户提供更有效的、更友好的服务;一次性认证减少了用户认证信息网络传输的频率,降低了被盗的可能性,提高了系统的整体安全性。 同时,基于联盟化单点登录系统具有标准化、开放性、良好的扩展性等优点,部署方便快捷。 二、系统技术规范 单点登录平台是基于国际联盟Liberty规范(简称“LA”)的联盟化单点登录统一认证平台。 Liberty规范是国际170多家政府结构、IT公司、大学组成的国际联盟组织针对Web 单点登录的问题提供了一套公开的、统一的身份联盟框架,为客户释放了使用专用系统、不兼容而且不向后兼容的协议的包袱。通过使用统一而又公开的 Liberty 规范,客户不再需要为部署多种专用系统和支持多种协议的集成复杂度和高成本而伤脑筋。 Liberty规范的联盟化单点登录SSO(Single Sign On)系统有以下特点: (1). 可以将现有的多种Web应用系统联盟起来,同时保障系统的独立性,提供单点 登录服务;
统一身份认证权限管理系统
统一身份认证权限管理系统 使用说明
目录 第1章统一身份认证权限管理系统 (3) 1.1 软件开发现状分析 (3) 1.2 功能定位、建设目标 (3) 1.3 系统优点 (4) 1.4 系统架构大局观 (4) 1.5物理结构图 (5) 1.6逻辑结构图 (5) 1.7 系统运行环境配置 (6) 第2章登录后台管理系统 (10) 2.1 请用"登录"不要"登陆" (10) 2.2 系统登录 (10) 第3章用户(账户)管理 (11) 3.1 申请用户(账户) (12) 3.2 用户(账户)审核 (14) 3.3 用户(账户)管理 (16) 3.4 分布式管理 (18) 第4章组织机构(部门)管理 (25) 4.1 大型业务系统 (26) 4.2 中小型业务系统 (27) 4.3 微型的业务系统 (28) 4.4 内外部组织机构 (29) 第5章角色(用户组)管理 (30) 第6章职员(员工)管理 (34) 6.1 职员(员工)管理 (34) 6.2 职员(员工)的排序顺序 (34) 6.3 职员(员工)与用户(账户)的关系 (35) 6.4 职员(员工)导出数据 (36) 6.5 职员(员工)离职处理 (37) 第7章内部通讯录 (39) 7.1 我的联系方式 (39) 7.2 内部通讯录 (40) 第8章即时通讯 (41) 8.1 发送消息 (41) 8.2 即时通讯 (43) 第9章数据字典(选项)管理 (1) 9.1 数据字典(选项)管理 (1) 9.2 数据字典(选项)明细管理 (3) 第10章系统日志管理 (4) 10.1 用户(账户)访问情况 (5) 10.2 按用户(账户)查询 (5) 10.3 按模块(菜单)查询 (6) 10.4 按日期查询 (7) 第11章模块(菜单)管理 (1) 第12章操作权限项管理 (1) 第13章用户权限管理 (4) 第14章序号(流水号)管理 (5) 第15章系统异常情况记录 (7) 第16章修改密码 (1) 第17章重新登录 (1) 第18章退出系统 (3)
远程计算机需要网络级别身份验证
远程计算机需要网络级别身份验证,而您的计算机不支持该验证……的解决方案 时间:2012-3-4 10:47:17 作者:IT课来源:IT信息课-系统组查看:5370 评论:1 内容摘要:故障:“远程计算机需要网络级别身份验证,而您的计算机不支持该验证,请联系您的系统管理员或者技术人员来获得帮助”故障症状:当您使用Windows XP“远程桌面连接”工具去连接Windows Vistas或Windows Server 2008的远程桌面、终端服务时,出现上述故... 故障:“远程计算机需要网络级别身份验证,而您的计算机不支持该验证,请联系您的系统管理员或者技术人员来获得帮助” 故障症状:当您使用Windows XP“远程桌面连接”工具去连接Windows Vistas 或Windows Server 2008的远程桌面、终端服务时,出现上述故障。 故障产生环境:远程桌面连接工具6.0以下版本,或者Windows XP Profressional SP1、SP2、SP3 解决方法: 1、请升级“远程桌面连接”工具最新6.1版本。 2、请把XP升级到最新SP3补丁包。 3、运行“regedit”打开注册表编辑器,进入 “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa”,双击右边栏中的“Security Packages”,打开“编辑多字符串”对话框,在列表框光标处增加“tspkg”字符。 4、然后定位到 “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProvider s”,双击右侧的“SecurityProviders”字符串,打开“编辑字符串”对话框,在数值末端中添加“, credssp.dll”,注意逗号后有一个英文的空格。 5、退出注册表程序,重启计算机后故障排除。 重启系统后,然后再运行mstsc查看关于信息已经显示为支持网络级别身份验证了。
设计思路=统一身份认证系统
lessoner@https://www.360docs.net/doc/a816070528.html, 统一身份认证系统 系统介绍 统一用户管理系统基于Web Service技术,提供超大型用户统一管理、统一认证、异构系统与平台单点登录、统一安全控制与审计以及统一计费与支付功能的系统平台。通过该系统,可以圆满解决政府信息孤岛问题、企业应用认证集成以及电信和互联网服务收费等问题,真正实现:一点认证、全网通行;一点管理,全网安全。 系统架构 系统功能
统一用户管理 系统提供超大型用户统一集中管理,可管理千万级用户,系统支持多种用户帐号配置、用户字段自定义配置、用户 分类分组、多种用户接口(AD, LDAP, Membership等)、用户权限安全等方面的管理。 统一认证服务 系统提供集中统一的,支持PKI、用户名/密码、B/S和C/S等多种身份认证方式,并结合系统强大的加密与安全技 术,实现高效、安全的认证服务。 统一授权管理 系统结合资源管理对用户的访问提供统一授权服务(PMI),用户身份到应用授权的映射功能,实现权限和证书的产 生、管理、存储、分发和撤销等功能,并可以大大提高管理者的效率,降低管理者的工作量。 统一资源管理 系统提供各种应用系统和各种需要保护的功能资源的统一管理功能,有效的控制和管理资源,提供资源的认证、资 源的维护、资源的产品和服务以及资源的积分、计费与结算的管理,通过该模块,可以建立分布式的全球认证服务体 系。 统一计费结算 系统特别提供统一的用户积分、网络虚拟货币、网上银行支付以及其他多种电信支付方式的管理,同时,系统还提 供灵活的计费结算方式,支持按次计费、包时段计费、组合套餐计费等多种方式,圆满
的解决了网上用户购买商品、服 务以及虚拟商品的功能,并结合系统提供的灵活的结算管理系统,提供准确、安全的费用结算、统计和分析功能。 统一安全审计 系统提供对于用户管理和认证的全面安全管理,包括:用户安全体系、用户信息加密、SSL加密安全、访问日志分 析、数据备份/恢复、网络安全防护、用户信息审计和自动用户清洗等一系列功能,全面解决系统的事前、事中和事后的 安全问题。 统一接口规范 系统提供标准的Web Service的认证服务和用户管理的SDK接口,符合SAML安全标记语言规范,方便其他各种异构操 作系统平台的应用进行SSO应用集成。 统一统计分析 通过统一的统计分析模块,我们可以分析和跟踪用户行为,了解和挖掘用户消费心理,提供详细的日、周、月和年 度报表,为管理者提供决策服务。 系统特点 1. 支持多个安全级 2. 支持多种身份验证方式 3. 完善的SSO会话管理 4. 跨域的SSO,支持SAML 5. 针对遗留应用的快捷、安全的SSO实现 6. 可插的可扩展的安全框架 7. 细粒度的访问权限控制 8. 高性能,保证整个系统的可用性 9. 个性化的SSO支持 10. 平台无关性
统一身份认证平台讲解-共38页知识分享
统一身份认证平台讲解-共38页
统一身份认证平台设计方案 1)系统总体设计 为了加强对业务系统和办公室系统的安全控管,提高信息化安全管理水平,我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。 1.1.设计思想 为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要,我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案: 内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台,通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。 提供现有统一门户系统,通过集成单点登录模块和调用统一身份认证平台服务,实现针对不同的用户登录,可以展示不同的内容。可以根据用户的关注点不同来为用户提供定制桌面的功能。 建立统一身份认证服务平台,通过使用唯一身份标识的数字证书即可登录所有应用系统,具有良好的扩展性和可集成性。
提供基于LDAP目录服务的统一账户管理平台,通过LDAP中主、从账户的映射关系,进行应用系统级的访问控制和用户生命周期维护管理功能。 用户证书保存在USB KEY中,保证证书和私钥的安全,并满足移动办公的安全需求。 1.2.平台介绍 以PKI/CA技术为核心,结合国内外先进的产品架构设计,实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能,为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。 如图所示,统一信任管理平台各组件之间是松耦合关系,相互支撑又相互独立,具体功能如下:
公安人口信息远程查询系统的身份认证系统设计
公安人口信息远程查询系统的身份认证系 统设计 张桂东 【摘要】:公安人口信息远程查询系统基于人口管理信息系统,用于实现人口信息的网络化远程检索与查询,它需要较高的安全性,国内现有的公安应用系统一般采用静态口令来实现身份认证。本文针对静态口令存在的诸多问题,基于一次一密认证机制和指纹识别技术,设计了一种安全可靠的身份认证系统。本论文的主要研究内容: 运用建模技术和JSP技术设计并实现基于B/S三层模式的公安人口信息远程查询系统,并重点论述用户登陆这一核心问题; 完成了基于指纹识别技术和一次一密认证机制的身份认证系统的设计,包括系统组成设计、认证流程设计和系统模块设计等内容,并实现了指纹识别算法和一次性口令生成算法; 在校园网环境下对部分实现的身份认证系统进行测试,并分析了身份认证系统的安全性。测试结果表明: 作者设计的身份认证系统是可行的; 同目前公安系统采用的传统静态口令登陆方式相比,作者设计的身份认证系统在安全性和可靠性方面得到了很大提高。本论文实现了在张掖市城市报警与监控系统试点建设项目中的公安人口信息远程查询系统,同时对用户登陆这一核心问题进行了分析,提出了一种安全可靠的身份认证系统设计,它结合了一次一密认证机制和指纹识别技术的优点。该研究成果作为一种安全认证模式可以应用于其他公安警种业务和电子政务,具有较高的技术价值和很广的应用价值。 【关键词】:身份认证指纹识别一次性口令远程查询公安业务 【学位授予单位】:兰州大学 【学位级别】:硕士 【学位授予年份】:2006 【分类号】:TP311.52 【目录】: ?第1章绪论8-12 ? 1.1 研究背景8-9 ? 1.2 课题来源及研究意义9 ? 1.3 研究内容和工作9-10 ? 1.4 论文组织结构10-12 ?第2章查询系统的技术背景12-16 ? 2.1 B/S三层模式12 ? 2.1.1 B/S的优势12 ? 2.1.2 B/S三层模式12 ? 2.2 JSP技术12-13 ? 2.3 建模技术13-16
几种身份认证方式的分析
几种身份认证方式的分析 信息系统中,对用户的身份认证手段也大体可以分为这三种,仅通过一个条件的符合来证明一个人的身份称之为单因子认证,由于仅使用一种条件判断用户的身份容易被仿冒,可以通过组合两种不同条件来证明一个人的身份,称之为双因子认证。 身份认证技术从是否使用硬件可以分为软件认证和硬件认证,从认证需要验证的条件来看,可以分为单因子认证和双因子认证。从认证信息来看,可以分为静态认证和动态认证。身份认证技术的发展,经历了从软件认证到硬件认证,从单因子认证到双因子认证,从静态认证到动态认证的过程。现在计算机及网络系统中常用的身份认证方式主要有以下几种: 1、用户名/密码方式 用户名/密码是最简单也是最常用的身份认证方法,它是基于“what you know”的验证手段。每个用户的密码是由这个用户自己设定的,只有他自己才知道,因此只要能够正确输入密码,计算机就认为他就是这个用户。然而实际上,由于许多用户为了防止忘记密码,经常采用诸如自己或家人的生日、电话号码等容易被他人猜测到的有意义的字符串作为密码,或者把密码抄在一个自己认为安全的地方,这都存在着许多安全隐患,极易造成密码泄露。即使能保证用户密码不被泄漏,由于密码是静态的数据,并且在验证过程中需要在计算机内存中和网络中传输,而每次验证过程使用的验证信息都是相同的,很容易驻留在计算机内存中的木马程序或网络中的监听设备截获。因此用户名/密码方式一种是极不安全的身份认证方式。可以说基本上没有任何安全性可言。 2、IC卡认证 IC卡是一种内置集成电路的卡片,卡片中存有与用户身份相关的数据, IC卡由专门的厂商通过专门的设备生产,可以认为是不可复制的硬件。IC卡由合法用户随身携带,登录时必须将IC卡插入专用的读卡器读取其中的信息,以验证用户的身份。IC卡认证是基于“what you have”的手段,通过IC卡硬件不可复制来保证用户身份不会被仿冒。然而由于每次从IC卡中读取的数据还是静态的,通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息。因此,静态验证的方式还是存在根本的安全隐患。 3、动态口令 动态口令技术是一种让用户的密码按照时间或使用次数不断动态变化,每个密码只使用一次的技术。它采用一种称之为动态令牌的专用硬件,内置电源、密码生成芯片和显示
统一身份认证系统技术方案
智慧海事一期统一身份认证系统 技术方案
目录 目录...................................................................................................................................................... I 1.总体设计 (2) 1.1设计原则 (2) 1.2设计目标 (3) 1.3设计实现 (3) 1.4系统部署 (4) 2.方案产品介绍 (6) 2.1统一认证管理系统 (6) 2.1.1系统详细架构设计 (6) 2.1.2身份认证服务设计 (7) 2.1.3授权管理服务设计 (10) 2.1.4单点登录服务设计 (13) 2.1.5身份信息共享与同步设计 (15) 2.1.6后台管理设计 (19) 2.1.7安全审计设计 (21) 2.1.8业务系统接入设计 (23) 2.2数字证书认证系统 (23) 2.2.1产品介绍 (23) 2.2.2系统框架 (24) 2.2.3软件功能清单 (25) 2.2.4技术标准 (26) 3.数字证书运行服务方案 (28) 3.1运行服务体系 (28) 3.2证书服务方案 (29) 3.2.1证书服务方案概述 (29) 3.2.2服务交付方案 (30) 3.2.3服务支持方案 (36) 3.3CA基础设施运维方案 (38) 3.3.1运维方案概述 (38) 3.3.2CA系统运行管理 (38) 3.3.3CA系统访问管理 (39) 3.3.4业务可持续性管理 (39) 3.3.5CA审计 (39)
身份证管理系统
课
题
程
目
设
计
报
告
身份证管理系统
学
号
0908***
姓
名
***
年级专业
09 电子信息工程
无 同组人员
无 学 号
指导老师
***
完成日期
2010
年 6
月
24
日
安徽师范大学物理与电子信息学院 College of Physics and Electronic Information, Anhui Normal Universi
1
一、实践的目的和要求
加深对《C 语言》课程所学知识的理解,进一步巩固 C 语言语法规则。学会编制结构清 晰、风格良好、数据结构适当的C语言程序,从而具备解决综合性实际问题的能力。
二、实践内容
在熟练掌握 C 语言的基本知识:数据类型(整形、实型、字符型、指针、数组、结 构等) ;运算类型(算术运算、逻辑运算、自增自减运算、赋值运算等) ;程序结构(顺 序结构、判断选择结构、循环结构) ;大程序的功能分解方法(即函数的使用)等。进一 步掌握各种函数的应用,包括时间函数、绘图函数,以及文件的读写操作等。
三.问题描述:
用 C 语言编写程序,实现添加,删除,查找等相关功能。
四.基本要求:
(1)具备添加、删除功能; (2)具备多种查询功能:按年龄、出生日期等; (3)具备统计功能,能统计某年龄段的人数; (4)在此基础上,可进行文件操作。
五.分析:
系统需求 一、 当前身份证信息:通过结构体 Person ID 来保存人的姓名,生日,民族,性别,地址, 身份证号等等相关信息,并且通过 input 函数来进行给当前身份初始信息输入. 二、 身份信息查询: 输入一个人名字, 在文件中查找此人, 若找到则输出此人的全部信息; 若找不到则输出查找失败的信息。 三、新信息插入 :通过 insert 实现添加功能,然后还可以按生日日期从小到大排序。 四、输出全部学生信息和全部学生成绩。 五、退出系统. 六、附加说明:系统将来完善的功能有:可以通过年龄来模糊查询,也可以通过姓名的 姓来先进行模糊查询,以便后面精确查找。 实际上未完成文件操作和根据年龄查询这两项功能, 所以这个程序的功能也相应大打 折扣,也是需要进一步改进的地方,尤其是文件操作,即对文件继续存储和读取.........
2
企业远程接入身份认证
企业远程接入动态口令身份认证解决方案 随着信息技术的迅速发展,企业应用架构不断创新,员工移动办公的需要、远程分支机构的建立等等,导致了另外一个问题的出现:企业提供服务的接入环境日趋复杂化、危险化。 企业使用了办公系统、内部邮件系统,上了财务软件、ERP,CRM等N多系统。这些应用系统可能来自不同的供应商,有基于C/S结构开发的,也有基于B/S结构开发的;应用系统有基于WINDOWS平台的,也有基于LINUX平台的;企业在不同时期,针对不同岗位采购的设备千差万别,有台式电脑、笔记本以及其它终端设备;各地的上网方式也是五花八门,有专线、VPN、ADSL,还有无线等。企业的远程分支机构、出差移动人员或合作伙伴,却需要能够安全、快速随时随地接入,保证对企业的关键应用程序和信息资源的实时访问。成功的企业接入方案将会使企业的应用系统发挥出更大的价值。 然而,传统的“用户名”+“静态密码”的身份认证方式又存在着极大的安全隐患,密码容易被窃。采用生物识别技术的身份认证,其成本偏高,且对使用环境有比较高的要求。集联信息安全技术有限公司(以下简称集联信安)针对这一现状,推出了基于电子令牌的双因素身份认证解决方案,可以有效解决企业远程接入身份认证的难题。 双因素是密码学的一个概念,第一要素指所知道的内容,即需要使用者记忆的身份认证内容,例如密码和身份证号码等。第二要素指所拥有的物品,即使用者拥有的特殊认证加强机制,例如动态密码卡(电子令牌),IC卡,磁卡等。单独来看,这两个要素中的任何一个都有问题。“所拥有的物品”可以被盗走;“所知道的内容”可以被猜出、被分享,复杂的内容可能会忘记;把这两种要素结合起来的身份认证的方法就是“双因素认证”。由于需要用户身份的双重认证,双因素认证技术可抵御非法访问者,提高认证的可靠性。 电子令牌属专用硬件,内置电源、密码生成芯片和显示屏。密码生成芯片运行专门的密码算法,根据计算要素(当前时间以及使用次数等等)生成当前密码(动态产生)并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。由于每次使用的密码必须由动态令牌来产生,只有合法用户才持有该硬件,所以只要密码验证通过,系统就可以认为该用户的身份是可靠的。而用户每次使用的密码都不相同,即使黑客截获了一次密码,也无法利用这个密码来仿冒合法用户的身份,因为下一次登录必须使用另外一个动态密码。 技术架构 无论用户登录公司的业务系统,还是网络设备都可以集中进行身份认证处理,同时支持本地访问用户和远程访问用户。 对于网络设备,只需做简单配置即可;对于应用系统,只需进行简单的改造也可以和身份认证服
高考身份证验证系统简明操作流程
高考身份证验证系统简明 操作流程 Final revision by standardization team on December 10, 2020.
高考身份证验证系统简明操作流程 高考身份证验证系统的最终使用版本与之前的培训版本有着很大的不同,去掉了电脑管理端,只留下了手持机端子系统。省招生考试院设总服务器,所有的手持机通过互联网与省级服务器连接交换数据。省去了原来电脑端的操作和数据交换,但增加了手持机通过wifi接入互联网与省级服务器数据交换的环节,比原来的操作要简单。具体操作过程请认真阅读《考务管理系统使用手册》,本操作流程只对其补充。 一、准备工作 1、考点明确一名身份证验证系统技术员负责身份证验证系统的管理、操作培训和数据处理。 2、在考点外的办公室安装一台WIFI(无线路由器)连接互联网,并使之可用。(如果在考点内,则必须远离考场,并在考试前关闭。) 3、卸载手持机上的《考生身份验证》系统。 4、删除手持机内存的“HYTPARA”文件夹。 5、将本次下发的“EIAIT V3.15.1-0509.apk”文件拷贝到手持机内。 6、从手持机上的“文件管理器”进去找到“EIAIT V3.15.1-0509.apk”文件,然后进行安装。 7、打开手持机的“设置”功能,设置WIFI选项的各参数,使手持机与互联网连接(即在WIFI名称下出现“已连接”文字)。
8、启动《考生身份验证》系统,进入其中的系统设置,按《考务管理系统使用手册》中的说明设置各种参数,并测试其已经正常工作,提交后退出。 9、进入系统的“数据下载”功能,输入本考点的用户名和密码,然后下载本考点的考场数据,然后退出。 10、进入系统的“数据库切换”界面,选中本考点的数据库(带有很多数字的那个文件)。 11、退回到系统的主界面,点“身份验证”即可进入正式身份证验证工作界面。 12、关掉手持机的声音,使之处于静音状态。准备工作完毕。 13、重复上面的3至12步骤,操作本考点的所有手持机,使所有的手持机都准备就绪。 14、在手持机的背面粘贴不干胶标签,标明机号和所要验证的考场号(如果一台手持机验证几个考场,就要标明对应的所有考场号)。 15、本考点的所有机器下载的数据都是一样的,包含本考点的所有考场数据,这并不会出现什么问题,数据上传时,系统只上传本机已经验证采集到的数据,机器之间并不会产生干扰。但是在四场考试中,每台机器只能固定验证指定的考场,绝对不能出现交叉验证情况。每台机器要指定专人使用,明确其职责。 二、考试期间验证工作 1、将所有手持机分配给指定的人员,并对其进行操作培训。
身份认证技术
身份认证技术百科名片 动态口令牌身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,身份认证技术就是为了解决这个问题,作为防护网络资产的第一道关口,身份认证有着举足轻重的作用。 身份认证方法 在真实世界,对用户的身份认证基本方法可以分为这三种:(1) 根据你所知道的信息来证明你的身份(what you know ,你知道什么) ;(2) 根据你所拥有的东西来证明你的身份(what you have ,你有什么) ;(3) 直接根据独一无二的身体特征来证明你的身份(who you are ,你是谁) ,比如指纹、面貌等。在网络世界中手段与真实世界中一致,为了达到更高的身份认证安全性,某些场景会将上面3种挑选2中混合使用,即所谓的双因素认证。 以下罗列几种常见的认证形式: 静态密码 用户的密码是由用户自己设定的。在网络登录时输入正确的密码,计算机就认为操作者就是合法用户。实际上,由于许多用户为了防止忘记密码,经常采用诸如生日、电话号码等容易被猜测的字符串作为密码,或者把密码抄在纸上放在一个自认为安全的地方,这样很容易造成密码泄漏。如果密码是静态的数据,在验证过程中需要在计算机内存中和传输过程可能会被木马程序或网络中截获。因此,静态密码机制如论是使用还是部署都非常简单,但从安全性上讲,用户名/密码方式一种是不安全的身份认证方式。它利用what you know方法。 智能卡(IC卡) 一种内置集成电路的芯片,芯片中存有与用户身份相关的数据,智能卡由专门的厂商通过专门的设备生产,是不可复制的硬件。智能卡由合法用户随身携带,登录时必须将智能卡插入专用的读卡器读取其中的信息,以验证用户的身份。智能卡认证是通过智能卡硬件不可复制来保证用户身份不会被仿冒。然而由于每次从智能卡中读取的数据是静态的,通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息,因此还是存在安全隐患。它利用what you have方法。 短信密码 短信密码以手机短信形式请求包含6位随机数的动态密码,身份认证系统以短信形式发送随机的6位密码到客户的手机上。客户在登录或者交易认证时候输入此动态密码,从而确保系统身份认证的安全性。它利用what you have方法。具有以下优点:(1)安全性由于手机与客户绑定比较紧密,短信密码生成与使用场景是物理隔绝的,因此密码在通路上被截取几率降至最低。(2)普及性只要会接收短信即可使用,大大降低短信密码技术的使用门槛,学习成本几乎为0,所以在市场接受度上面不会存在阻力。(3)易收费由于移动互联网用户天然养成了付费的习惯,这和PC时代互联网截然不同的理念,而且收费通道非常的发达,如果是网银、第三方支付、电子商务可将短信密码作为一项增值业务,每月通过SP收费不会有阻力,因此也可增加收益。(4)易维护由于短信网关技术非常成熟,大大降低短信密码系统上马的复杂度和风险,短信密码业务后期
身份认证管理系统IDM设计
身份认证管理系统(IDM)设计 身份认证管理系统(IdentityManager,简称 IDM)将分散、重复的用户数字身份进行整合,提供标准身份信息读取和查询方式, 统一化管理数字身份的生命周期,统一企业内部身份安全策略管理和权限管理, 为应用系统与此基础平台提供标准的接口, 实现统一、安全、灵活、稳定和可扩展的企业级用户身份认证管理系统。 1 系统运行平台 1.1 体系架构 系统平台的搭建采用分层的架构模式,将系统在横向维度上切分成几个部分,每个部分负责相对比较单一的职责,然后通过上层对下层的依赖和调用组成一个完整的系统。通过统一用户身份认证管理系统平台的定义,为其他子系统提供统一的用户管理、机构管理、身份认证、权限管理、用户工作平台等功能,其他子系统将没有私有的用户群、权限管理等。系统提供的功能包括:用户管理、组织机构管理、单点登录、权限管理(用户权限、数据权限)、对外接口、数据备份、用户工作平台等。 2 系统建设目标 通过本系统的建设,主要达到以下的目标:系统提供统一的用户管理、组织机构管理、身份认证、权限管理及用户工作台功能;统一的用户系统进行统一帐号创建、修改和删除,这使快速推出新的业务成为可能。公司将拥有一个提供用户全面集中管理的管理层,而不为每
个新的应用程序或服务建立分布的用户管理层。 公司各应用的用户通过一个全局唯一的用户标识及存储于服务器中的静态口令或其他方式,到认证服务器进行验证,如验证通过即可登录到公司信息门户中访问集成的各种应用;可以在系统中维护用户信息;能够根据其在公司的组织机构中的身份定制角色,根据角色分配不同的权限。 3 系统主要模块 本系统主要包含以下 5 大功能模块。① 系统设置模块:提供用户管理和组织架构管理功能。② 安全域模块:提供安全域管理和安全策略管理功能。③系统管理模块:提供资源类型定义、模块定义、角色管理、角色约束定义、用户权限管理、单次授权等功能。④ 系统工具:提供异常用户查询、导入导出工具、用户工作台、用户个人信息修改、用户注册审批、职能委托等功能。⑤ 系统日志模块:提供历史日志删除、当前登录用户、历史登录情况、用户操作日志等功能。 3.1 系统设置模块 ① 用户管理:主要用来记录用户相关信息,如:用户名、密码等,权限等是被分离出去的。提供用户的基本信息的生命周期管理,包括创建、修改、删除、冻结、激活等功能。系统增加或者删除一个用户则相应地增加或者删除一个用户的账户,每新增一个人员账户,赋予该账户一个初始化密码。要求存储用户数据时不仅支持 Oracle 数据库存储,同时支持 LDAP存储。以应对不同子系统的不同用户认证方式。
解决远程计算机身份验证
解决方法:远程计算机需要网络级别身份验证,而您的计算机不支持该 验证 故障:“远程计算机需要网络级别身份验证,而您的计算机不支持该验证,请联系您的系统管理员或者 技术人员来获得帮助” 故障症状:当您使用Windows XP“远程桌面连接”工具去连接Windows Vistas或Windows Server 2008的远程桌面、终端服务时,出现上述故障。 故障产生环境:远程桌面连接工具6.0以下版本,或者Windows XP Profressional SP1、SP2、SP3 解决方法: 1、请升级“远程桌面连接”工具最新6.1版本。 2、请把XP升级到最新SP3补丁包。 3、运行“regedit”打开注册表编辑器,进入“HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control\Lsa”,双击右边栏中的“Security Packages”,打开“编辑多字符串”对话框,在列表框光标处增加“tspkg”字符。 4、然后定位到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control \Sec urityProviders”,双击右侧的“SecurityProviders”字符串,打开“编辑字符串”对话框,在数值末端中添加“, credssp.dll”,注意逗号后有一个英文的空格。 5、退出注册表程序,重启计算机后故障排除。 重启系统后,然后再运行mstsc查看关于信息已经显示为支持网络级别身份验证了。
有些文章写win2008/Vista不能用IP访问远程桌面,只能用机器名,是不对的。都是可以的。 知识点:什么是网络级身份验证? 网络级身份验证 (NLA) 是一种新的身份验证方法,在您建立所有远程桌面连接之前完成用户身份验证, 并出现登录屏幕。这是最安全的身份验证方法,有助于保护远程计算机避免黑客或恶意软件的攻击。NLA 的优点是: 最初需要较少的远程计算机资源。验证用户之前,远程计算机使用有限的资源,而不是像以前版本那样 启动所有远程桌面连接。 它通过降低拒绝服务攻击的风险帮助提供更好的安全性。(拒绝服务攻击试图限制或阻止访问Internet。) 使用远程计算机身份验证,从而帮助防止用户连接到设置为恶意目的的远程计算机。
考生身份验证系统_标准演示流程
采集操作步骤 第一步:按【开机键】打开设备,点击设备主界面【身份验证】图标,进入程序主页面(图1_1); 第二步:长按主页面(图1_1)红色标记区域(采集模式与验证模式切换区域),进入采集主页面(图1_1),点击【信息采集】,进入采集页面(图1_3)。 第三步:采集身份证信息,将身份证至于身份证识别区域,系统自动识别刷身份证信息并且显示身份证照片和身份证号(图1_3),系统进入【指纹采集页面】(图1_3)。 第四步:采集指纹信息,进入指纹采集页面,程序默认是采集右手食指,如果切换手指,点击图1_3【左手】和【右手】部分可以循环切换手指,在指纹模块按压手指,指纹采集成功后进入面部采集信息界面(图1_4)。 第五步:采集面部信息,进入面部信息采集页面,将人脸至于相框内,点击【拍照】,再点击【使用相片】,提示【采集完成】,进行下一个考生的身份采集。 采集记录:主要是查看采集的考生身份信息。 图1_1主页面 图1_ 4面部采集页面 图1_2采集主页面 图1_3 指纹采集页面
验证操作步骤 入场验证 第一步:进入验证主页面,有两种方式 1、采集完成后,关闭程序,重新打开程序,进入程序验证主页面(图2_1); 2、长按主页面(图1_1)红色标记区域(采集模式与验证模式切换区域),进入验证主页面(图 2_1); 第二步:入场验证,点击【入场验证】进入入场验证界面(图2_2),有以下3种方式进行验证: (具体操作流程请参考验证流程图) 1、指纹验证,按手指,1:N进行指纹比对验证,然后进行人脸比对; 2、刷身份证,按手指,1:1进行指纹比对验证,然后进行人脸比对; 3、选择考生,按手指,1:1进行指纹比对验证,然后进行人脸比对; 指纹比对界面(图2_3)、人脸比对界面(图2_4) 图2_1验证主页面图2_2 入场验证界面 图2_3指纹比对界面图2_4人脸比对界面
统一身份认证与单点登录系统建设方案
福建省公安公众服务平台 统一身份认证及单点登录系统建设方案 福建公安公众服务平台建设是我省公安机关“三大战役”社会管理创新的重点项目之一;目前平台目前已经涵盖了公安厅公安门户网 站及网站群、涵盖了5+N服务大厅、政民互动等子系统;按照规划,平台还必须进一步拓展便民服务大厅增加服务项目,电子监察、微博监管等系统功能,实现集信息公开、网上办事、互动交流、监督评议 功能为一体的全省公安机关新型公众服务平台。平台涵盖的子系统众多,如每个子系统都用自己的身份认证模块,将给用户带来极大的不便;为了使平台更加方便易用,解决各子系统彼此孤立的问题,平台 必须增加统一身份认证、统一权限管理及单点登录功能。 一、建设目标 通过系统的建设解决平台用户在访问各子系统时账户、密码不统一的问题,为用户提供平台的统一入口及功能菜单;使平台更加简便易用,实现“一处登录、全网漫游”。同时,加强平台的用户资料、授权控制、安全审计方面的管理,确保用户实名注册使用,避免给群 众带来安全风险;实现平台各子系统之间资源共享、业务协同、互联 互通、上下联动;达到全省公安机关在线服务集成化、专业化的目标。 二、规划建议 统一身份认证及单点登录系统是福建公安公众服务平台的核心 基础系统;它将统一平台的以下服务功能:统一用户管理、统一身份 认证、统一授权、统一注册、统一登录、统一安全审计等功能。系统 将通过标准接口(WebService接口或客户端jar包或dll动态链接库)向各子系统提供上述各类服务;各业务子系统只要参照说明文档,做适当集成改造,即可与系统对接,实现统一身份认证及单点登录, 实现用户资源的共享,简化用户的操作。
【CN109951276A】基于TPM的嵌入式设备远程身份认证方法【专利】
(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 201910159069.1 (22)申请日 2019.03.04 (71)申请人 北京工业大学 地址 100124 北京市朝阳区平乐园100号 (72)发明人 王冠 陈憨 陈健中 周珺 (74)专利代理机构 北京思海天达知识产权代理 有限公司 11203 代理人 刘萍 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/32(2006.01) H04L 29/06(2006.01) (54)发明名称基于TPM的嵌入式设备远程身份认证方法(57)摘要基于TPM的嵌入式设备远程身份认证方法属于信息安全领域,利用的是可信计算技术,它是信息安全领域的一门新技术,具有自主免疫、全程可控可测等优点。本发明旨在利用可信计算完整性度量、密钥管理和平台绑定等优势,设计一种远程身份认证的方法。先对平台配置做可信度量,然后将度量值扩展到平台配置寄存器,把此度量值作为认证信息中的一项。TPM芯片内的背书密钥(EK)与平台身份绑定,由背书密钥(EK)产生身份认证密钥(AIK ),然后再由身份认证密钥(AIK )签名平台配置度量值,这样不但可以验证平台身份,还可以认证平台完整性。这相较于传 统的远程身份认证优势明显。权利要求书2页 说明书4页 附图1页CN 109951276 A 2019.06.28 C N 109951276 A
1.基于TPM的嵌入式设备远程认证方法,其特征在于包括以下步骤: (1).生成平台完整性信息并存储: 1.1在加载任一模块之前,通过可信平台模块TPM采用SHA1算法计算其二进制代码的散列值,并将其扩展到PCR中; (2).生成验证信息并打包发送: 2.1用可信平台模块TPM生成一对AIK公私钥对; AIK公私钥对用RSA算法产生,步骤如下: 1)随机产生两个大奇素数p和q; 2)计算n,n=p*q; 3)随机选取一个数e,e是小于且与它互素的正整数; 4)计算d, 使得 5)公钥为{e,n},私钥为{d,p,q}; 2.2把生成AIK的公钥、配置日志、平台完整性信息、哈希算法类型、背书证书和平台证书一起打包; 2.3将包做MD5转换,生成摘要m 2.4使用AIK(Attestation Identity Key)的私钥部分对产生的包摘要m进行签名,产生签名s; s=m d mod n 2.5将签名值和包一起发送给一个可信第三方Privacy CA; (3).第三方验证配置信息: 3.1可信第三方Privacy CA接收到申请请求信息之后,首先使用AIK的公钥检验签名信息是否正确; 1)获得公钥{n,e}; 2)计算m’=s e mod n 3)验证m是否等于m’,如果相等,则签名通过; 3.2读取包中的哈希算法类型; 3.3对配置日志用SHA-1取哈希值; 3.4与请求者上传的日志哈希值对比,看是否正确; (4).第三方颁发证书: 4.1若签名和哈希值都正确,则根据其中的AIK公钥部分生成一个身份密钥证书; 4.2可信第三方Privacy CA产生一个对称密钥作为会话密钥; 4.3使用会话密钥对新生成的AIK证书进行加密,产生一个对称加密密文; 4.4可信第三方Privacy CA使用发送申请请求的可信平台模块的EK公钥对该会话密钥加密,产生一个非对称密文结构;应答信息包括被加密的会话密钥,被加密的证书,以及加密算法参数; 1)首先将明文比特串分组,使得每个分组对应的十进制数小于n,即分组长度小于log2n;n=p*q. 2)然后对每个明文分组M作加密运算:c=M e(mod n); 权 利 要 求 书1/2页 2 CN 109951276 A
统一身份认证系统
1.1. 统一身份认证系统 通过统一身份认证平台,实现对应用系统的使用者进行统一管理。实现统一登陆,避免每个人需要记住不同应用系统的登陆信息,包含数字证书、电子印章和电子签名系统。 通过综合管理系统集成,实现公文交换的在线电子签章、签名。 统一身份认证系统和SSL VPN、WEB SSL VPN进行身份认证集成。 2. 技术要求 ?基于J2EE实现,支持JAAS规范的认证方式扩展 ?认证过程支持HTTPS,以保障认证过程本身的安全性 ?支持跨域的应用单点登陆 ?支持J2EE和.NET平台的应用单点登陆 ?提供统一的登陆页面确保用户体验一致 ?性能要求:50并发认证不超过3秒 ?支持联合发文:支持在Office中加盖多个电子印章,同时保证先前加 盖的印章保持有效,从而满足多个单位联合发文的要求。 ?支持联合审批:支持在Office或者网页(表单)中对选定的可识别区 域内容进行电子签名,这样可以分别对不同人员的审批意见进行单独的电 子签名。 ? Office中批量盖章:支持两种批量签章方式: ?用户端批量盖章; ?服务器端批量盖章。 ?网页表单批量签章:WEB签章提供批量表单签章功能,不需要打开单个 表单签章,一次性直接完成指定批量表单签章操作,打开某一表单时,能 正常显示签章,并验证表单完整性。 ?提供相应二次开发数据接口:与应用系统集成使用,可以控制用户只能 在应用系统中签章,不能单独在WORD/EXCEL中签章,确保只有具有权限的人才可以签章,方便二次开发。 ?满足多种应用需求:电子签章客户端软件支持MS Office、WPS、永中 Office、Adobe PDF、AutoCAD等常用应用软件环境下签章,网页签章控件 或电子签章中间件则为几乎所有基于数据库的管理信息系统提供了电子签
《身份认证系统》word版
******身份认证系统 技术方案
目录 1. 概述 (3) 1.1 前言 (3) 1.2 身份认证系统用户认证需求描述 (3) 1.3 身份认证系统认证解决之道 (5) 1.3.1 身份认证系统的模式 (5) 1.3.2 建立身份认证系统 (6) 1.3.3 证书在身份认证系统上的安全应用 (6) 2. 详细设计方案 (8) 2.1身份认证系统 (8) 2.2 产品设计原则 (8) 2.2.1认证系统的设计原则 (8) 2.2.2 网络环境设计原则 (9) 2.3 功能模块架构 (10) 2.4 身份认证系统功能简介 (12) 2.5 身份认证系统安全性分析 (13) 2.5.1本系统安全性保护的必要性 (14) 2.5.2安全性要求 (14) 2.5.3安全性设计原则 (15) 2.5.4安全性设计方案 (15) 2.6 身份认证系统应用开发接口 (17) 2.6.1身份认证系统接口函数 (17) 2.6.2 API与身份认证系统结合开发应用系统 (17) 2.7 身份认证系统使用案例 (18) 3. 系统配置 (21) 3.1 设备配置 (21)
1. 概述 1.1 前言 随着网络技术的高速发展,个人和企业将越来越多地把业务活动放到网络上,因此网络的安全问题就更加关键和重要。据统计,在全球范围内,由于信息系统的脆弱性而导致的经济损失,每年达数十亿美元,并且呈逐年上升的趋势。 利用数字证书、PKI、对称加密算法、数字签名、数字信封等加密技术,可以建立起安全程度极高的身份认证系统,确保网上信息有效、安全地进行,从而使信息除发送方和接收方外,不被其他方知悉(保密性);保证传输过程中不被篡改(完整性和一致性);发送方确信接收方不是假冒的(身份的真实性和不可伪装性);发送方不能否认自己的发送行为(不可抵赖性)。 本方案根据*****的业务流程、管理模式的实施方案,充分运用现代网络信息技术及CA认证体系,建立*****身份认证系统,并可作为公务网CA的配套系统。 1.2 身份认证系统用户认证需求描述 在***********业务发展过程中,为了更好的实现数据资源共享,充分发挥信息化对*********系统发展的促进作用,************将综合开发一套身份认证系统对目前的用户身份进行管理,为社会、相关职能部门以及各级机构提供服务。 在此系统的开发应用过程中,一个重要的任务是解决如何对应用系统用户进行身份认证从而确保数据的安全。下面将针对在此系统的开发应用中对用户身份认证所做的需求加以说明。 整个系统的逻辑结构如图1所示: