远程教育系统中身份确认技术思索

远程教育经历了函授教育、广播电视教育、现代远程教育三个阶段。20世纪末期出现的双向交互式的网络教育使远程教育进入了第三个发展阶段-----现代远程教育阶段。其特点是以计算机网络技术、卫星通信技术为基础，以多媒体技术为主要手段，从而使远程教育的水平和效果达到一个前所未有的高度，并成为世界各国教育事业发展的一种新趋势。但是，在利用现代远程教育系统进行网上授课、答疑、作业批改、讨论、考试、缴费以及远程管理等过程中，都存在很多安全隐患，因此研究适合现代远程教育的安全系统就显得非常重要，而身份认证则是网络安全体系的基础，无论是数据加密、访问控制或其它网络安全技术，都必须基于有效的身份认证。否则一旦攻击者伪造或盗用合法身份，各种安全堡垒都形同虚设。本文就远程教育系统中身份认证的含义、发展趋势、以及常用的协议和方式对身份认证技术做简单的探讨。

1、身份认证技术的含义

身份认证技术是指能够对信息收发方进行真实身份鉴别的技术,是保护网络信息资源安全的第一道大门,它的任务是识别、验证网络信息系统中用户身份的合法性和真实性,按授权访问系统资源,并将非法访问者拒之门外。可见,身份认证在安全系统中的地位极其重要,是最基本的安全服务,其它的安全服务都要依赖于它。

2、用户身份认证的发展趋势

网络身份认证技术在未来的发展中应朝着高安全性、高速度、高稳定性、易用性、实用性以及认证终端小型化等方向发展。其发展趋势可从以下几个方面体现：

2.1生物认证技术

目前还没有一种生物特征认证技术的正确率能达到百分之百。如何通过提高硬件水平和改进识别算法来提高识别的正确率将是未来的研究热点。

2.2多因素认证

有效地结合各种单因素认证技术，可以提高身份认证的安全性能。基于Web的口令认证与手机短信确认相结合双因素认证已在应用中；多种生物特征的多数据融合与识别技术也将是未来的研究方向。

2.3属性认证技术

属性认证技术主要是把基于属性证书的授权方案和认证技术相结合的认证授权方式，可以解决完全分布式的网络环境中身份认证与细粒度的权限分配问题。

3、常用的协议

身份认证是通过身份认证协议来实现的。身份认证协议是一种特殊的通信协议，它定义了所有参与认证服务的通信方在身份认证过程中需要交换的所有信息的格式和这些消息发生的次序以及消息的语义。从目前来看，大多数身份认证协议是基于密码学原理的。常用的身份认证协议有：

3.1SET协议

安全数据交换协议SET（SecureElectronicTransferprotocol）是一种以信用卡为基础的，在Internet上交易的付款协议，是授权业务信息传输的安全标准，它采用RSA密码算法，利用公钥体系对通信双方进行认证，用DES等标准加密算法对信息加密传输，并用散列函数算法来鉴别信息的完整性。SET协议是目前国际上通用的网上支付标准。

3.2SSL协议

安全套接口层协议SSL（SecureSocketsLayer）是由Netscape开发的，SSL可插入到Internet应用协议中，成为运行于InternetTCP/IP网络层协议之上的一个全新应用协议层，可用于保护正常运行于TCP上的任何应用协议，如HTTP，FTP，SMTP和Telnet的通信。SSL保证了Internet上浏览器/服务器会话中三大安全中心内容：机密性、完整性、认证性[1]。

3.3Kerberos协议

Kerberos协议是80年代由MIT开发的一种网络认证协议，它允许一台计算机通过交换加密消息在整个非安全网络上与另一台计算机互相证明身份。一旦身份得到验证，Kerberos协议给这两台计算机提供密钥，以进行安全通讯对话。所以它适合在一个物理网络并不是很安全的环境下使用。

4、身份认证常用的方式

身份认证的基本方法就是由被认证方提交该主体独有的并且难以伪造的信息来表明自己的身份。常用的方式有：

4.1基于PKI(PublicKeyInfrastructure)的数字证书

公钥基础设施PKI是利用公钥密码理论和技术建立的提供安全服务的基础设施。PKI的简单定义是指一系列基础服务，这些服务主要用来支持以公开密钥为基础的数字签名和加密技术的广泛应用[2]。PKI技术是信息安全技术的核心。由于现代远程教育是一种非面对面的、是通过网络进行的教学活动，因而使得电子方式验证信任关系显得至关重要，而PKI技术恰好是一种适合这种活动的密码技术，它能够有效地解决现代远程教育中的保密性、真实性、完整性、不可否认性、访问可控性等安全问题。PKI的部件包括数字证书、签署这些证书的认证机构（CA）、登记机构（RA）、存储和这些证书的电子目录以及证书路径等等，其中数字证书是其核心部件。数字证书（DigitalID）是一种权威性的电子文档。它提供了一种在Internet上验证身份的方式，其作用类似于日常生活中的身份证[3]。它是由一个权威机构——CA证书授权(CertificateAuth-ority)中心发行的，人们可以在互联网交往中用它来识别对方的身份。当然在数字证书认证的过程中，证书认证中心（CA）作为权威的、公正的、可信赖的第三方，其作用是至关重要的。数字证书的格式一般采用的是X.509国际标准。目前的数字证书类型主要包括：个人数字证书、单位数字证书、单位员工数字证书、服务器证书、VPN证书、WAP证书、代码签名证书和表单签名证书。

4.2智能卡

智能卡(SmartCard)是指利用存储设备记忆一些用户信息特征进行的身份认证。它是一个带有微处理器和存储器等微型集成电路芯片的、具有标准规格的卡片。智能卡必须遵循一套标准，ISO7816是其中最重要的一个。ISO7816标准规定了智能卡的外形、厚度、触点位置、电信号、协议等。智能卡根据装载芯片类型的不同、信息通讯方式的不同，又可以分为存储式卡片和微处理器卡片以及接触式卡片、非接触式卡片和双界面卡片等。

4.3静态口令

静态口令是指在某一特定的时间段内没有变化、可反复多次使用的口令。因为是静态的，不变的，在很多情况下如果不慎被泄密，就可能会被他人所用，加上用户总会担心忘记密码，所以一般使用的口令都会有一定的规律可寻，例如：自己的电话号码、自己或家人的生日等等。如果口令是用在与资金帐户或重要信息有关的计算机应用系统中的话，静态口令就很不安全，一些不法分子可能通过不正当手段获取静态口令，如窥视、欺骗、侦听、穷试等。这种方式现一般用于一些不太重要的场合。

4.4动态口令

动态口令是指每次认证时输入的口令都是变化的，且不重复，一次一变，即使被别人知道了，下次也无法再使用。它是用户身份的数字化凭证，是信息系统鉴别用户身份合法性的依据。根据动态口令的产生和认证方法的不同，可以分为交互方式和主动方式两类。

4.5生物特征

生物特征认证是指采用每个人独一无二的生物特征来验证用户身份的技术。常见的生物特征有指纹、虹膜、掌纹、静脉、语音、步态等。从理论上说，生物特征认证是最可靠的身份认证方式，因为它直接使用人的物理特征来表示每一个人的数字身份，不同的人具有相同生物特征的可能性可忽略不计，因此几乎不可能被仿冒。

4.6USBKey认证

基于USBKey的身份认证方式是近几年发展起来的一种方便、安全、经济的身份认证技术，它采用软硬件相结合一次一密的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USBKey内置的密码学算法实现对用户身份的认证。基于USBKey的身份认证系统主要有两种应用模式：一是基于冲击/响应的认证模式，二是基于PKI体系的认证模式。

身份认证技术在远程教育系统中的应用随着远程教育的发展也在逐步的推广，但目前也存在一些单靠身份认证技术还不能解决的安全问题，如：对客户端学生“代考”的作弊行为，因为考生完全可以把自己的口令等交给其他人，以代替自己进行考试。对于这样的问题目前还只能采用其它的方式加以杜绝，如采用特殊的监视设备结合身份识别对考生实时监控等等。当然，随着科技的发展，身份认证技术在远程教育应用中的不断改进，远程教育系统的安全问题将得到更加完善，相信有了安全防护体系的远程教育网络将如虎添翼，在教学领域发挥越来越大的作用。