身份认证技术论文范文

身份认证技术论文篇1

内容摘要：验证身份与鉴别签名是日常生活中经常会遇到的，鉴别假身份证、鉴别假签名是一项技术要求非常高的工作。由于互联网的出现、信息安全技术的不断完善，例如RSA技术、PKI公钥基础设施、CA认证机构等，为简化鉴别手段、鉴别方法以及鉴别过程提供了有力保证。

关键词：数字身份数字签名RSAPKICA

日常生活中人们到商场购物，付款方式一般有两种：采用现金结算或采用银行卡结算。2006年1月4日和1月5日某媒体连续刊登了两篇报道，题目分别为《刷卡签名商家有责辨真伪》、《银行卡被盗刷商家没过错》。这两篇报道代表两个完全对立的观点，但是阐述的内容都具有相当的说服力。这就提出两个问题，第一，当银行卡被盗刷的情况下，由此产生的损失到底应该由“卡”的所有者承担，还是应该由收款的商家承担？第二，能否避免这种损失的发生？笔者对两个问题的回答是：在现有的法制环境、技术手段下，无法准确的判断损失、无法准确的分清责任，也就无法准确的判罚；采用新的安全技术能够避免这种损失，一旦出现被盗刷的情况，可以依法判罚。

传统身份识别、签名识别存在的缺陷

在现有金融支付平台上使用银行卡时，支付过程如下：在银行提供的联网POS机上刷卡，由客户输入密码，密码验证通过后POS机打印银行转账单据，客户在转账单据上签名，客户出示有效身份证明（如身份证），收款员验证客户签名及身份证明，收款员打印销售发票，至此整个支付过程结束。其中收款员验证客户签名及身份证明是非常关键的一个环节，本文所提出的问题就是针对这个环节。

该媒体两篇报道中支持卡所有者的观点认为，使用手写签名是银行卡不被盗刷的基本保障。这样可以鉴别刷卡人是否为卡的所有者。在中国银联颁发的《收单规范》中要求收单商户必须仔细核对签名，以防银行卡被盗刷。因此从卡的所有者角度出发，收单商户有责任对刷卡人的真实身份进行确认，对签名的真伪进行鉴别。如果收单商户不对刷卡人的手写签名进行鉴别，将意味着银行卡所有者的安全大门完全失去了最基本的设防。这种情况是任何合法交易对象，无论是收单商户、还是合法卡的所有者所不愿意看到的，将导致拥有银行卡的用户不再敢使用刷卡的方式消费，也意味着商户将失去一部份客户。

而站在收单商户的立场认为，银行卡被盗刷商家没有过错。商家无权干涉持卡者的消费方式，涉及的银行与银联也没有义务对POS机操作员进行培训，重要的是法院则认为刷卡过程中是否应该对签名进行鉴别、核对，相关法律法规没有做出特别规定，也就是说没有法律依据。所以据此，如果客户的银行卡丢失后没有及时挂失造成的损失，收单商户没有责任。

刷卡是一种非常方便的支付方式，但是要得到人们的认可、在生活中得以推广，必须有一个安全的支付环境和支付工具，使得卡的所有者、收单商户、银行三方的利益都得到充分的保护。

笔者认为，在目前的技术条件下，要求POS机操作员仅仅依靠身份证来识别刷卡人的真实身份，同时要鉴别刷卡人签名时的笔迹是一项非常困难的工作。因为，一方面现在使用的身份证技术含量低，容易伪造；另一方面鉴别签名笔迹是一项技术性非常强的工作，一般人无法胜任，只有行业内的专家才能准确的鉴别，然而在实际工作中不可能为每一台POS机配备一名这样的技术专家。

那么是否能够找到一种在身份鉴别、签名鉴别上都非常方便、快捷、安全、实用的技术，这一问题就是本文论述的核心：RSA非对称加密解密技术应用模型。

RSA加密解密算法论述

RSA是一个非对称加密解密算法，由加密解密算法、公共参数、一对存在数学关系的公钥和私钥构成，其中算法、公共参数、公钥是可以公开的，私钥必须秘密保存。RSA的核心在于，加密时使用私钥，而解密时则使用公钥。

例如：用户甲拥有公共参数PN=14803，公钥PK=151，私钥SK=8871。现有明文PM=1234。

用户甲使用私钥SK对明文PM进行加密得到密文SM。

SM=PMSKMOD(PN)=12348871MDO(14803)=13960用户甲将自己的公共参数PN，公钥PK，以及密文SM发送给用户乙。用户乙进行解密计算得到明文PM。

PM=SMPKMOD(PN)=13960151MDO(14803)=1234

RSA用作数字签名

作为签名必须具备两个特性：防篡改，除签名者以外的其他人对签过名的内容做的任何改动都将被发现；抗抵赖，签名者无法抵赖自己签名的内容。

每一个RSA的用户都将拥有一对公钥和私钥。使用私钥对明文进行加密的过程可以被看作是签名的过程，形成的密文可以被看作是签名。当密文被改动以后就无法使用公钥恢复出明文，这一点体现出作为签名的防篡改特性；使用公钥对密文进行解密的过程可以被看作是验证签名的过程，使用公钥对密文进行解密恢复出明文，因为公钥来自于签名的一方（即用私钥加密生成密文的一方）。因此，签名一方无法否认自己的公钥，抵赖使用自己公钥解密后恢复出的明文，这一点体现出作为签名的抗抵赖特性。

RSA用作数字身份

身份是一个人的社会属性，用于证明拥有者存在的真实性，例如身份证、驾驶证、军官证、护照等。作为身份证明，它必须是一个不会被伪造的，如果被伪造则能够通过鉴别来发现。

将RSA技术应用于身份证明。当一个人获得一对密钥后，为了使利用私钥进行的签名具有法律效力，为了使自己公开的公钥、公共参数能够作为身份被鉴别，一般通过第三方认证来实现。用户要将自己的公钥、公共参数提交给认证中心，申请并注册公钥证书，如果使用过程中有人对用户的公钥证书产生质疑，需要验证持有者身份，可以向认证中心提出认证请求，以确认公钥证书持有者身份的真实性以及公钥证书的有效性。因此，可以把这个公钥证书看作持有者的一个数字身份证。

数字身份、数字签名在线鉴别模型

公钥证书在使用过程中可能会涉及到两个主体，拥有者与持有者。拥有者是公钥证书真正的所有者，而持有者则可能是一个公钥证书及私钥的盗用者。目前，认证机构的认证平台一般是建立在PKI公钥基础设施之上。当收到对某一个公钥证书的认证请求时，认证完成后出具的认证结果仅能够证明公钥证书本身的真实性、与之相关的数字签名的不可抵赖性，却无法证明持有者就是拥有者。RSA的使用则要求私钥必须秘密保存，一旦泄露只能及时挂失，如果在挂失之前被盗用，所产生的损失只能由拥有者自己承担，这种情况与银行卡被盗刷是相同的。尽管数字身份、数字签名、数字认证都是非常新的技术手段，但是就目前的认证方式、认证过程以及认证结果来看，依然没有解决公钥证书和私钥被盗用的问题。

本文针对公钥证书、私钥被盗用的问题设计出“数字身份、数字签名在线鉴别”模型。

传统的数字认证过程中，被认证的公钥证书与持有公钥证书的实体即证书的持有者之间没有任何关联，即使被认证的公钥证书是真实的、有效的，也不能证明持有者就是拥有者，这样就为盗用者提供了可乘之机。因此，必须对鉴别模型重新设计。

传统的RSA应用模型

用户甲可以自己生成非对称密钥对，也可以选择由认证中心生成；向认证机构提交公钥和公共参数申请并注册公钥证书；用户甲使用私钥对明文进行加密，形成具有签名效用的密文，通常要采用HASH函数进行压缩；用户甲将公钥证书以及经过数字签名的密文发送给用户乙；用户乙使用用户甲的公钥鉴别密文的数字签名；如果用户乙对用户甲的公钥证书产生质疑，可以提交用户甲的公钥证书给认证中心进行认证，认证中心对提交的公钥证书的真实性、有效性进行认证，并将认证结果返回用户乙。由于数字身份与数字签名的特殊性，提供认证服务的机构不应该是一个商业化的机构，而应该是具有政府职能的部门，例如：颁发身份证的公安局、颁发驾照的交管局、颁发护照的外交部等。在笔者设计的模型中，公安局替代传统的认证中心；针对被认证的公钥证书与持有者缺乏直接的关联，在认证结果的信息中，笔者设计增加所有者的详细信息资料，从而可以通过认证结果来鉴别持有者的真实身份。

改造后的RSA应用模型

由公安局为用户甲颁发一个公钥；用户甲自己选择公共参数，并生成私钥；用户甲将公钥、公共参数及个人的详细资料（居住地址、传统身份证号、联系电话、照片、指纹等）提交给公安局，申请并注册数字身份证（即公钥证书），数字身份证的鉴别编号由公钥和公共参数组合而成；用户甲使用私钥对明文进行加密，形成具有签名效用的密文；用户甲将签字密文、数字身份证发送给用户乙；用户乙使用用户甲的公钥鉴别密文的数字签名，并恢复密文为明文；如果用户乙对用户甲的公钥证书产生质疑，可以提交用户甲的公钥证书给认证中心进行认证，认证中心可以根据不同认证的级别返回不同的认证结果。

在新的模型中，认证将分为三级认证。一级认证，返回所有者的身份证号、住址、联系电话；二级认证，在一级认证基础之上附加返回所有者的照片；三级认证，在二级认证基础之上附加返回所有者的指纹。

具体选择哪一种级别认证，取决于应用的性质。如果是签署网络协议可以采用一级认证，如果是在线支付可以选择二级或三级认证。这样可以通过认证的结果（联系电话、照片、指纹）来鉴别持有者与所有者身份是否相符。

RSA在刷卡中的应用

目前，在我国网络技术、通讯技术已经非常发达，接入互联网也已经非常普及，可以充分利用这些技术优化、改造现有的银行卡刷卡流程，解决银行卡被盗以后，在刷卡时对持有者的身份进行有效的鉴别。

传统的刷卡流程中，用户必须在POS机上输入口令，出示身份证，在转账单据上手写签名。在新的刷卡流程中要求收款机必须与互联网相连，在输入口令环节可以改成输入私钥，对付款数据进行加密（数字签名），在身份验证环节可以增加数字身份的验证，客户提交公钥证书，收款员在联网计算机上将客户的公钥证书提交给公安局的认证服务器，在得到认证结果以后对持卡人的身份进行鉴别，然后再对数字签名进行鉴别。

身份认证技术论文篇2

关键词：身份认证技术　分析　比较　运用

随着网络时代的到来，人们可以通过网络得到各种各样的信息。但由于网络的开放性，它正面临着如计算机病毒、人为的恶意攻击、网络软件的漏洞和“后门”、非授权访问等安全威胁。因此，网络安全越来越受到重视。作为网络安全的第一道防线，亦即是最重要的一道防线，身份认证技术受到普遍关注。

一、基于秘密信息的身份认证方法

1、口令核对

口令核对是系统为每一个合法用户建立一个用户名/口令对，当用户登录系统或使用某项功能时，提示用户输入自己的用户名和口令，系统通过核对用户输入的用户名、口令与系统内已有的合法用户的用户名/口令对（这些用户名/口令对在系统内是加密存储的）是否匹配，如与某一项用户名/口令对匹配，则该用户的身份得到了认证。

缺点：其安全性仅仅基于用户口令的保密性，而用户口令一般较短且是静态数据，容易猜测，且易被攻击，采用窥探、字典攻击、穷举尝试、网络数据流窃听、重放攻击等很容易攻破该认证系统。

2、单向认证

如果通信的双方只需要一方被另一方鉴别身份，这样的认证过程就是一种单向认证，即前面所述口令核对法就算是一种单向认证，只是这咱简单的单向认证还没有与密?分发相结合。

与密?分发相结合的单向认证主要有两类方案：一类采用对密?加密体制，需要一个可信赖的第三方???通常称为kdc（密?分发中心）或as （认证服务器），同这个第三方来实现通信双方的身份认证和密?分发如des算法，优点运算量小、速度快、安全度高，但其密?的秘密分发难度大；另一类采用非对称密?加密体制，加密和解密使用不同的密?sk，无需第三方参与，典型的公?加密算法有rsa。认证优点能适应网络的开放性要求，密?管理简单，并且可方便地实现数字签名和身份认证等功能，是目前电子商务等技术的核心基础。其缺点是算法复杂。

3、双向认证

双向认证中，通信双方需要互相鉴别各自的身分，然后交换会话密?，典型方案是needham/schroeder协议。优点保密性高但会遇到消息重放攻击。

4、身份的零知识证明

通常的身份认证都要求传输口令或身份信息，但如果能够不传输这些信息身份也得到认证就好了。零知识证明就是这样一种技术：被认证方a掌握某些秘密信息，a想设法让认证方b相信他确实掌握那些信息，但又不想让认证方b知道那些信息。

如著名的feige-fiat-shamir零知识身份认证协议的一个简化方案。

假设可信赖仲裁选定一个随机模数n,n为两个大素乘积，实际中至少为512位或长达1024位。仲裁方产生随机数v，使x2＝v mod n,即v为模n的剩余，且有v－1mod n存在。以v作为证明者的公?，而后计算最小的整数s:s=sqrt(v-1)mod n作为被认证方的私?。实施身份证明的协议如下：被认证方a取随机数r,这里r<m,计算x=r2 mod m,把x送给认证方b；若b=1,则a将y=rs送给b；若b=0,则b验证x=r2 mod m,从而证实a知道sqrt(x);若b=1,则b验证x=y2.v mod m,从而证实a知道s。

这是一轮鉴定，a和b可将此协议重复t次，直到a相信b知道s为止。

二、基于物理安全性的身份认证方法

尽管前面提到的身份认证方法在原理上有很多不同，但他们有一个共同的特点，就是只依赖于用户知道的某个秘密的信息。与此对照，另一类身份认证方案是依赖于用户特有的某些生物学信息或用户持有的硬件。

基于生物学的方案包括基于指纹识别的身份认证、基于声音识别身份认证以及基于虹膜识别的身份认证等技术。该技术采用计算机的强大功能和网络技术进行图像处理和模式识别，具有很好的安全性、可靠性和有效性，与传统的身份确认手段相比，无疑产生了质的飞跃。近几年来，全球的生物识别技术已从研究阶段转向应用阶段，对该技术的研究和应用如火如茶，前景十分广阔。

三、身份认证的应用

1、kerberos是mit为分布式网络设计的可信第三方认证协议。网络上的kerberos服务起着可信仲裁者的作用，它可提供安全的网络认证，允许个人访问网络中不同的机器。kerberos基于对称密码技术（采用des进行数据加密，但也可用其他算法替代），它与网络上的每个实体分别共享一个不同的密?，是否知道该密?便是身份的证明。其设计目标是通过密?系统为客户/服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意地读取、修改和插入数据。

kerberos也存在一些问题： kerberos服务服务器的损坏将使得整个安全系统无法工作；as在传输用户与tgs间的会话密?时是以用户密?加密的，而用户密?是由用户口令生成的，因此可能受到口令猜测的攻击；kerberos 使用了时间戳，因此存在时间同步问题；要将kerberos用于某一应用系统，则该系统的客户端和服务器端软件都要作一定的修改。

2、http中的身份认证

http提供了一个基于口令的基本认证方法，目前，所有的web服务器都可以通过“基本身份认证”支持访问控制。当用户请求某个页面或运行某个cgi程序时，被访问访问对象所在目录下有访问控制文件（如ncsa用.haaccess文件）规定那些用户可以访问该目录，web服务器读取该访问控制文件，从中获得访问控制信息并要求客户提交用户名和口令对经过一定的编码（一般是base64方式），付给服务方，在检验了用户身份和口令后，服务方才发送回所请求的页面或执行egi程序。所以，http采用的是一种明文传输的口令核对方式（传输过程中尽管进行了编码，但并没有加密），缺少安全性。用户可以先把使用ssi建立加密信道后再采用基本身份认证方式进行身份认证，而是基于ip地址的身份认证。

3、ip中的身份认证

ip协议由于在网络层，无法理解更高层的信息，所以ip协议中的身份认证实际不可能是基于用户的身份认证，而是基于ip地址的身份认证。

四、身份认证技术讨论

在计算机网络中身份认证还有其他实现途径，如数字签名技术。传送的报文用数字签名来证明其真实性，简单实例就是直接利用rsa算法和发送方的秘密密?。

由于数字签名有一项功能是保证信息发出者的身份真实性，即信息确实是所声称的签名人签名的，别人不能仿造，这和身份认证的情形有些相似；身份认证的核心是要确认某人确实是他所声称的身份。那么，我想应该能借用数字签名机制实现身份认证，但这可能有一个困难，如果不预先进行密?分发（即使是公?，也要有一个机制将真实的公?信息传递给每一个用户）。可能数字签名也无从实现。

五、结语

在实际应用中，认证方案的选择应当从系统需求和认证机制的安全性能两个方面来综合考虑，安全性能最高的不一定是最好的。如何减少身份认证机制和信息认证机制中的计算量和通信量，而同时又能提供较高的安全性能，也是信息安全领域的研究人员进一步需要研究的课题。

参考文献：

［1］美d.e.r.丹宁.密码学与数据安全，科学出版社.1991.11

身份认证技术论文篇3

[关键词] 电子商务 信息认证 身份认证 数字签名

随着通信网络技术的快速发展，电子商务给人们的工作和生活带来了新的尝试和便利，也带来了一些问题,由于网络本身的开放性，使电子商务面临种种风险，也由此提出了安全控制要求。客户认证是保证电子商务交易安全的一项重要技术，主要包括身份认证和信息认证。身份认证用于鉴别用户身份，而信息认证用于保证通信双方的不可抵赖性和信息的完整性。在某此情况下，信息认证显得比信息保密更为重要。

一、身份认证

身份认证是通过身份识别技术及其他附加程序对用户的身份进行确认的全部过程。要在网上使交易安全、成功，首先要能够确认对方的身份。电子商务环境对身份识别技术的基本要求有： 1.身份的认证必须数字化；2.安全、健康，对人的身体不会造成伤害；3.快速、方便、易使用；4.性能价格比高，适合普及推广。用于身份认证的技术较多，最常用的是密码，使用身份标识码加密码来进行安全防范，如用户口令；还有使用物理载体的方式，例如使用证件、钥匙、各种卡等有形的载体来识别身份；另外还有生物特征身份识别方式，使用指纹、面像、视网膜、DNA、语音等特征来识别身份。

二、信息认证

信息认证的目的是防止信息被篡改、伪造，或信息接收方事后否认。确保电子商务的安全、可靠、一致性十分重要。信息认证技术是电子商务系统中的重要组成部分。由于网络上的信息是容易修改、复制的，通过电子数据方式达成的交易文件是不能被否认的，因此确保电子交易的信息都必须是不可否认的、不可被修改的，否则网上的交易就没有严肃和公正性。为实现这一目标，除了采用身份认证起到确保网上交易者身份的真实可信外，信息认证就用来确保交流的信息完整、不可抵赖性，以及信息访问的权限控制。

信息认证主要有两种方式：信息加密和数字签名。而实现这些技术都要应用数据加密技术。

1.加密技术

加密技术是保证电子商务安全的重要手段，它包括私钥加密和公钥加密。私钥加密又称对称密钥加密，即信息的发送方和接收方用一个密钥去加密和解密数据，目前常用的私钥加密算法包括DES和IDEA等。对称加密技术的最大优势是加密或解密速度快，适合于对大数据量进行加密，但密钥管理困难。公钥密钥加密，又称非对称密钥加密系统，它需要两个密钥——公开密钥(Public-Key)和私有密钥（Private-Key）。如果用公开对密钥进行加密，只有用对应的私有密钥才能进行解密；如果用私有密钥对数据进行加密，那么只有用对应的公开才能解密。非对称加密常用的算法是RSA。RSA算法利用两个足够大的质数与被加密原文相乘生产的积来加密或解密。这两个质数无论是用哪一个与被加密的原文相乘(模乘)，即对原文件加密，均可由另一个质数再相乘来进行解密。但是求解几乎是不可能的。非对称加密算法的保密性比较好，消除了最终用户交换密钥的需要，但加密和解密花费时间长、速度慢，不适合对文件加密而只适用于对少量数据进行加密。

信息发送方采用对称来加密信息，然后将对称密钥用接收方的公开密钥来加密，这部分称为数字信封(Digital Envelope)。之后，再分别和密文一起发送给接收方。接收方先用自己的私钥打开数字信封，得到对称密钥，然后使用对称密钥解开信息。

2.数字签名技术

对信息进行加密只解决了电子商务安全的第一个问题，而要防止他人破坏传输的数据，还要确定发送信息人的身份，这就需要采取另外一种手段——数字签名。数字签名采用了双重加密的方法来实现防伪、防抵赖。

把HASH函数和公钥算法结合起来，可以在提供数据完整性的同时，也可以保证数据的真实性。完整性保证传输的数据没有被修改，而真实性则保证是由确定的合法者产生的HASH。把这两种机制结合起来就可以产生所谓的数字签名（Digital Signature）。将报文按双方约定的HASH算法计算得到一个固定位数的报文摘要(Mes-sage Digest)值。只要改动报文的任何一位，重新计算出的报文摘要就会与原先值不符。然后把该报文的摘要值用发送者的私人密钥加密，将该密文同原报文一起发送给接收者，所产生的报文即称数字签名。

在电子商务的发展过程中，数字签名技术也有所发展，以适应不同的需要。数字时间戳就是一种变种的应用。在交易文件中，时间是十分重要的信息，在书面合同中，文件签署的日期和签名一样均是十分重要的防止文件被和篡改的关键内容。时间戳是一个经过加密后形成的凭证文档，它包括三个部分：需加时间戳的文件的摘要，DTS收到文件的日期和时间及DTS的数字签名。

3.认证机构

在电子交易中，无论是数字签字的签别还是数字时间戳服务都不是仅靠交易的双方自己能完成的，需要一个具有权威性和公正性的第三方来帮助实现。认证中心CA就是承担网上安全电子交易的认证服务、签发数字证书、确认用户身份的服务机构。认证中心通常是企业性的服务机构，具有半官方的身份，主要任务是受理数字证书的申请、签发及对数字证书的管理。通过认证机构来认证买卖双方的身份和信息，是保证电子商务交易安全的重要措施。

身份认证技术论文篇4

论文摘要:本文针对电子商务安全的要求，分析了电子商务中常用的安全技术,并阐述了数据加密技术、认证技术和电子商务的安全交易标准在电子商务安全中的应用。

所谓电子商务(Electronic Commerce) 是利用计算机技术、网络技术和远程通信技术, 实现整个商务(买卖)过程中的电子化、数字化和网络化。目前，因特网上影响交易最大的阻力就是交易安全问题, 据最新的中国互联网发展统计报告显示, 在被调查的人群中只有2.8%的人对网络的安全性是感到很满意的, 因此，电子商务的发展必须重视安全问题。

一、电子商务安全的要求

1、信息的保密性：指信息在存储、传输和处理过程中，不被他人窃取。

2、信息的完整性：指确保收到的信息就是对方发送的信息，信息在存储中不被篡改和破坏，保持与原发送信息的一致性。

3、 信息的不可否认性：指信息的发送方不可否认已经发送的信息，接收方也不可否认已经收到的信息。

4、 交易者身份的真实性：指交易双方的身份是真实的，不是假冒的。

5、 系统的可靠性：指计算机及网络系统的硬件和软件工作的可靠性。

在电子商务所需的几种安全性要求中，以保密性、完整性和不可否认性最为关键。电子商务安全性要求的实现涉及到以下多种安全技术的应用。

二、数据加密技术

将明文数据进行某种变换，使其成为不可理解的形式，这个过程就是加密，这种不可理解的形式称为密文。解密是加密的逆过程，即将密文还原成明文。

（一）对称密钥加密与DES算法

对称加密算法是指文件加密和解密使用一个相同秘密密钥，也叫会话密钥。目前世界上较为通用的对称加密算法有RC4和DES。这种加密算法的计算速度非常快，因此被广泛应用于对大量数据的加密过程。

最具代表的对称密钥加密算法是美国国家标准局于1977年公布的由IBM公司提出DES (Data Encrypuon Standard)加密算法。

（二）非对称密钥加密与RSA算法

为了克服对称加密技术存在的密钥管理和分发上的问题，1976年产生了密钥管理更为简化的非对称密钥密码体系，也称公钥密码体系(PublicKeyCrypt-system)，用的最多是RSA算法，它是以三位发明者（Rivest、Shamir、Adleman）姓名的第一个字母组合而成的。

在实践中，为了保证电子商务系统的安全、可靠以及使用效率，一般可以采用由RSA和DES相结合实现的综合保密系统。

三、认证技术

认证技术是保证电子商务交易安全的一项重要技术。主要包括身份认证和信息认证。前者用于鉴别用户身份，后者用于保证通信双方的不可抵赖性以及信息的完整性

（一）身份认证

用户身份认证三种常用基本方式

1、口令方式

这种身份认证方法操作十分简单，但最不安全，因为其安全性仅仅基于用户口令的保密性，而用户口令一般较短且容易猜测，不能抵御口令猜测攻击，整个系统的安全容易受到威胁。

2、标记方式

访问系统资源时，用户必须持有合法的随身携带的物理介质(如存储有用户个性化数据的智能卡等)用于身份识别，访问系统资源。

3、人体生物学特征方式

某些人体生物学特征，如指纹、声音、DNA图案、视网膜扫描图案等等，这种方案一般造价较高，适用于保密程度很高的场合。

加密技术解决信息的保密性问题，对于信息的完整性则可以用信息认证方面的技术加以解决。在某些情况下，信息认证显得比信息保密更为重要。

（二）数字摘要

数字摘要，也称为安全Hash编码法，简称SHA或MD5 ，是用来保证信息完整性的一项技术。它是由Ron Rivest发明的一种单向加密算法，其加密结果是不能解密的。类似于人类的“指纹”，因此我们把这一串摘要而成的密文称之为数字指纹，可以通过数字指纹鉴别其明文的真伪。

（三）数字签名

数字签名建立在公钥加密体制基础上，是公钥加密技术的另一类应用。它把公钥加密技术和数字摘要结合起来，形成了实用的数字签名技术。

它的作用:确认当事人的身份，起到了签名或盖章的作用；能够鉴别信息自签发后到收到为止是否被篡改。

（四）数字时间戳

在电子交易中，时间和签名同等重要。数字时间戳技术是数字签名技术一种变种的应用，是由DTS服务机构提供的电子商务安全服务项目，专门用于证明信息的发送时间。包括三个部分：需加时间戳的文件的数字摘要；DTS机构收到文件摘要的日期和时间； DTS机构的数字签名。

（五）认证中心

认证中心：（Certificate Authority，简称CA），也称之为电子商务认证中心，是承担网上安全电子交易认证服务，能签发数字证书，确认用户身份的、与具体交易行为无关的第三方权威机构。认证中心通常是企业性的服务机构，主要任务是受理证书的申请、签发和管理数字证书。其核心是公共密钥基础设（PKI）。

我国现有的安全认证体系(CA)在金融CA方面，根证书由中国人民银行管理，根认证管理一般是脱机管理；品牌认证中心采用“统一品牌、联合建设”的方针进行。在非金融CA方面，最初主要由中国电信负责建设。

（六）数字证书

数字证书就是标志网络用户身份信息的一系列数据，用于证明某一主体（如个人用户、服务器等）的身份以及其公钥的合法性的一种权威性的电子文档，由权威公正的第三方机构，即CA中心签发。

以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交易实体身份的真实性，签名信息的不可否认性，从而保障网络应用的安全性。

四、电子商务的安全交易标准

（一）安全套接层协议

SSL (secure sockets layer)是由Netscape Communication公司是由设计开发的，其目的是通过在收发双方建立安全通道来提高应用程序间交换数据的安全性，从而实现浏览器和服务器（通常是Web服务器）之间的安全通信。

目前Microsoft和Netscape的浏览器都支持SSL，很多Web服务器也支持SSL。SSL是一种利用公共密钥技术的工业标准，已经广泛用于Internet。

（二）安全电子交易协议

SET (Secure Electronic Transaction)它是由VISA和MasterCard两大信用卡公司发起，会同IBM、Microsoft等信息产业巨头于1997年6月正式制定的用于因特网事务处理的一种标准。采用DES、RC4等对称加密体制加密要传输的信息，并用数字摘要和数字签名技术来鉴别信息的真伪及其完整性，目前已经被广为认可而成了事实上的国际通用的网上支付标准，其交易形态将成为未来电子商务的规范。

五、总结

网络应用以安全为本，只有充分掌握有关电子商务的技术，才能使电子商务更好的为我们服务。然而，如何利用这些技术仍是今后一段时间内需要深入研究的课题。

参考文献:

[1] 万守付，电子商务基础（第二版），人民邮电出版社，2006年6月第2版

身份认证技术论文篇5

［论文关键词］ 电子商务　信息安全　信息安全技术　数字认证　安全协议

［论文摘 要］电子商务是新兴商务形式，信息安全的保障是电子商务实施的前提。本文针对电子商务活动中存在的信息安全隐患问题，实施保障电子商务信息安全的数据加密技术、身份验证技术、防火墙技术等技术性措施，完善电子商务发展的内外部环境，促进我国电子商务可持续发展。

随着网络的发展，电子商务的迅速崛起，使网络成为国际竞争的新战场。然而，由于网络技术本身的缺陷，使得网络社会的脆性大大增加，一旦计算机网络受到攻击不能正常运作时，整个社会就会陷入危机。所以，构筑安全的电子商务信息环境，愈来愈受到国际社会的高度关注。

一、电子商务中的信息安全技术

电子商务的信息安全在很大程度上依赖于技术的完善，包括密码、鉴别、访问控制、信息流控制、数据保护、软件保护、病毒检测及清除、内容分类识别和过滤、网络隐患扫描、系统安全监测报警与审计等技术。

1.防火墙技术。防火墙主要是加强网络之间的访问控制， 防止外部网络用户以非法手段通过外部网络进入内部网络。

2.加密技术。数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据，当需要时可使用不同的密钥将密文数据还原成明文数据。

3.数字签名技术。数字签名技术是将摘要用发送者的私钥加密，与原文一起传送给接收者，接收者只有用发送者的公钥才能解密被加密的摘要。

4.数字时间戳技术。时间戳是一个经加密后形成的凭证文档，包括需加时间戳的文件的摘要、DTS 收到文件的日期与时间和DIS 数字签名，用户首先将需要加时间的文件用HASH编码加密形成摘要，然后将该摘要发送到DTS，DTS 在加入了收到文件摘要的日期和时间信息后再对该文件加密，然后送回用户。

二、电子商务安全防范措施

网络安全是电子商务的基础。网络安全防范技术可以从数据的加密(解密)算法、安全的网络协议、网络防火墙、完善的安全管理制度、硬件的加密和物理保护、安全监听系统和防病毒软件等领域来进行考虑和完善。

1.防火墙技术

用过Internet，企业可以从异地取回重要数据，同时又要面对 Internet 带来的数据安全的新挑战和新危险:即客户、推销商、移动用户、异地员工和内部员工的安全访问;以及保护企业的机密信息不受黑客和工业间谍的入侵。因此，企业必须加筑安全的“壕沟”，而这个“壕沟”就是防火墙.防火墙系统决定了哪些内容服务可以被外界访问;外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过，而且防火墙本身必须能够免于渗透。

2. VPN技术

虚拟专用网简称VPN，指将物理上分布在不同地点的网络通过公用骨干网联接而形成逻辑上的虚拟“私”网，依靠IPS或 NSP在安全隧道、用户认证和访问控制等相关技术的控制下达到与专用网络类同的安全性能，从而实现基于 Internet 安全传输重要信息的效应。目前VPN 主要采用四项技术来保证安全， 这四项技术分别是隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。

3.数字签名技术

为了保证数据和交易的安全、防止欺骗，确认交易双方的真实身份，电子商务必须采用加密技术。数字签名就是基于加密技术的，它的作用就是用来确定用户是否是真实的。数字签名就是通过一个单向哈希函数对要传送的报文进行处理而得到的用以认证报文是否发生改变的一个字母数字串。发送者用自己的私钥把数据加密后传送给接收者，接收者用发送者的公钥解开数据后，就可确认消息来自于谁，同时也是对发送者发送的信息真实性的一个证明，发送者对所发信息不可抵赖，从而实现信息的有效性和不可否认性。

三、电子商务的安全认证体系

随着计算机的发展和社会的进步，通过网络进行的电子商务活动当今社会越来越频繁，身份认证是一个不得不解决的重要问题，它将直接关系到电子商务活动能否高效而有序地进行。认证体系在电子商务中至关重要，它是用户获得访问权限的关键步骤。现代密码的两个最重要的分支就是加密和认证。加密目的就是防止敌方获得机密信息。认证则是为了防止敌方的主动攻击，包括验证信息真伪及防止信息在通信过程被篡改删除、插入、伪造及重放等。认证主要包括三个方面:消息认证、身份认证和数字签名。

身份认证一般是通过对被认证对象(人或事)的一个或多个参数进行验证。从而确定被认证对象是否名实相符或有效。这要求要验证的参数与被认证对象之间应存在严格的对应关系，最好是惟一对应的。身份认证是安全系统中的第一道关卡。

数字证书是在互联网通信中标志通信各方身份信息的一系列数据。提供了一种 Internet 上验证用户身份的方式，其作用类似于司机的驾驶执照或身份证。它是由一个权威机构CA机构，又称为证书授权(Certificate Authority)中心发行的，人们可以在网上用它识别彼此的身份。

四、结束语

安全实际上就是一种风险管理。任何技术手段都不能保证100%的安全。但是，安全技术可以降低系统遭到破坏、攻击的风险。因此，为进一步促进电子商务体系的完善和行业的健康快速发展，必须在实际运用中解决电子商务中出现的各类问题，使电子商务系统相对更安全。电子商务的安全运行必须从多方面入手，仅在技术角度防范是远远不够的，还必须完善电子商务立法，以规范飞速发展的电子商务现实中存在的各类问题，从而引导和促进我国电子商务快速健康发展。

参考文献

[1] 劳帼龄.电子商务的安全技术[M].北京:中国水利水电出版社，2005.

[2] 赵泉.网络安全与电子商务[M].北京:清华大学出版社，2005.

[3] 肖和阳，卢嫣.电子商务安全技术[M].长沙:国防科技大学出版社，2005.

身份认证技术论文篇6

关键词：计算机网络 安全漏洞 防范 措施

中图分类号：TP393 文献标识码：A 文章编号：1007-9416(2012)06-0190-01

由于计算机网络的发展以及随着出现的计算机网络问题，人们也越来越重视计算机网络安全问题，对于网络安全问题及防范措施的研究就成为必然趋势。计算机网络技术的普遍使用，人们在享受其带来的便利和快捷的同时，也逐渐认识到网络存在的安全问题，所以，研究计算机网络安全漏洞防范措施势在必行。

本文主要阐述目前计算机网络安全存在的漏洞问题，并且就如何对这些网络安全漏洞防范进行了探究分析，并且有针对性地提出了一些防范策略，在一定程度上保障了计算网络不受安全隐患的侵犯，保证了计算机网络环境的洁净与安全。

1、计算机网络存在的安全漏洞分析

1.1 IP地址的盗用

IP地址被盗用是一种比较普遍的现象，它影响了网络的正常运行，由于一般被盗的地址的权限都比较高，因而，也给用户造成了比较大的经济损失。盗用IP地址就是使用那些没有授权的地址，使用这些地址可以隐藏自己身份，也可以利用网络资源对网路进行破坏。就目前而言，盗用IP地址还是经常发生，不仅侵犯了网络使用人员的合法权益，而且也影响了网络安全，导致网络不能正常工作[1]。

1.2 存在较多的计算机病毒

人们进行人为的编制，用来破坏计算机网络安全的特殊程序代码，被称为计算机病毒，这些病毒可以将自己依附在其他程序代码上进行传播，人们对此难以察觉，在传播过程中，这些病毒能够自我复制，可以隐藏和潜伏，并且破坏数据和文件。目前，人们常常利用计算机病毒区侵害计算机网络，而且其具有比较大的危害性，由于在网路上比较流行的计算机病毒，不仅仅危害比较大，而且传播速度快，传播的方式也多种多样，善于伪装自己，要想彻底清除这些病毒非常困难，它们严重影响了计算机网络安全[2]。

1.3 网络协议的安全漏洞

TCP/IP协议的目标是要保证通讯畅通，保证正确的传输，并且通过来回确认来保证数据的完整性。但是对于源地址的鉴别，TCP/IP没有内在的控制机制来支持，也就是证实IP的来源，此为TCP/IP漏洞的根本所在。针对这个漏洞，网络黑客通过侦听的方式对数据进行截获，检查分析数据，进而推测出TCP的系列号，对传输路由进行修改，达到破坏数据的目的。

2、计算机网络安全的防范策略

2.1 身份认证技术

身份认证就是系统对用户身份证明的核查的过程，查明用户是否具有它所请求资源的存储使用权。其中身份识别比较重要，其就是对系统出示自己的身份证明的过程。一般情况下，身份认证包括身份认证和身份识别。由于目前黑客或者木马程序经常从网络上截获密码，用户关键信息被窃取的情况也随之增多，用户因此越来越觉得身份认证技术的重要性。身份认证技术可以解决用户的物理身份和数字身份的一致性问题，提供给其他安全技术权限管理的依据。在身份认证系统中，最主要的一点就是合法的身份是否容易被不法用户所冒充。一旦被其他用户所冒充，不但会对合法用户利益产生损害，还且会对与之有联系的用户受到牵连，乃至整个系统遭到破坏，由此可见，身份认证技术不仅仅是权限控制的基础，而且是它是这个信息安全系统的基础[3]。身份认证技术有以下几种：基于口令的认证技术、给予密钥的认证鉴别技术、基于智能卡和智能密码钥匙(USBKEY)的认证技术和基于生物特征识别的认证技术。

2.2 病毒的安全与防范技术

我们可以采用多层的病毒防卫体系来避免病毒入侵，也就是在每台PC机上安装单机版反病毒软件，在网关上安装基于服务器的反病毒软件。由于计算机病毒在网络中存储、传播、感染各不相同，而且传播形式也多种多样，所以在构建网路病毒防护系统时，要有针对性地采用全方位的企业防毒软件，采用防杀相结合的策略。

2.3 入侵检测技术

对网络入侵行为进行检测，即入侵检测，它是一种积极主动的安全防护技术，对内外攻击以及错误的操作都可以提供实时保护。该技术主要有误用检测技术和异常监测技术两种。

(1)误用检测技术。误用检测技术又称特征检测，它针对已知的入侵行为进行分析，并建立相应的特征模型，这样我们就可以把检测入侵行为转变成搜索特征模型匹配，若匹配特征模型，则就说明是攻击，若不匹配就说明不是。再者，这种技术检测的精确度高，但是对已知入侵的变种和一些未知的入侵，其检测精确度不高。因此，我们只要不断升级模型才可能保证系统检测能力的精确性和完备性。目前，对于大部分的商业化入侵检测系统中，大多数都是用这种误用检测技术来进行构建的[4]。

(2)异常检测技术。异常检测(Anomaly detection)的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为，这种技术弥补了误用检测技术的不足，它能够检测到未知的入侵。例如向银行系统的服务器更改存钱信息，当服务器错误没有接收到新的数据，这时要发出异常事件使数据恢复为原来的数据，表示没存上。

3、结语

计算机网络不仅给人们带来了方便，而且也给人们带了隐患，若要想使计算机网络发挥出它应有的作用，我们就必须这些问题和漏洞采用相应的防范措施，由于引起计算机网路安全问题的原因不同，因此对此采取的防范策略也不同，因此，因此，防范策略的实施和运用也不要盲目，否则不仅没有缓解网络安全问题，反而使得网络安全问题更加严重，人们受到更大的危害。

参考文献

[1]耿仲华.浅谈计算机网络安全漏洞及对策[J].电脑知识与技术,2010,06(36):102-103.

[2]朱秀锋.浅谈计算机校园网络安全漏洞及防范措施[J].中国科教创新导刊,2011(20):182-183.

[3]张杨.浅析计算机的安全漏洞与防范策略[J].城市建设理论研究（电子版）,2011(16):12-13.

身份认证技术论文篇7

[关键字] 身份认证 电子商务 加密

电子商务是一种依托现代信息技术和网络技术，集金融电子化、管理信息化、商贸信息网络化为一体，旨在实现物流、资金流与信息流和谐统一的新型贸易方式。安全保证是电子商务开展的首要前提。身份认证技术在信息安全中处于非常重要的地位，是其他安全机制的基础。只有实现了有效的身份鉴别，才能保证访问控制、安全审计、入侵防范等安全机制的有效实施。随着电子商务建设的发展，黑客入侵电子商务体系的事件频频发生，账户被盗用的事件屡见不鲜，使得电子商务的进一步发展面临巨大的挑战，采用完善的身份认证技术是解决这些问题的关键。

身份识别是指用户向系统出示自己身份证明的过程。身份鉴别是系统查核用户的身份证明的过程，实质上是查明用户是否具有他所请求资源的存储和使用权。人们通常把这两项工作统称为身份认证。本文对常见的身份鉴别机制进行了探讨，并对它们的安全性进行分析研究。

一、数字证书

根据联合国《电子签字示范法》第一条，“证书”系指可证实签字人与签字生成证据有联系的某一数据电文或其他记录。在交易支付的过程中，参与各方为了证实自己的身份，需到第三方即认证中心去认证。数字证书就是认证中心为交易各方颁发的身份凭证，它是一个经CA数字签名的、包含证书申请者个人信息及其公开密钥的文件。基于公开密钥体制(PKI)的数字证书是用来确认安全电子商务交易双方身份的工具，由于它由证书管理中心作了数字签名，因此任何第三方都无法修改证书的内容。任何交易双方只有申请到相应的数字证书，才能参加安全电子商务的网上交易。常用的数字证书有:个人凭证;企业(服务器)凭证;软件（开发者)凭证。

二、数字信封

数字信封技术综合了私密密钥加密技术和公开密钥加密技术的优点，它使用私密密钥对信息进行加密，使用接收方提供的公开密钥对私密密钥进行加密，接收方收到信息后，首先利用自己的私钥对对方的私密密钥进行解密，再用解密后的发送方私密密钥对密文进行解密。简单地说：数字信封技术是使用私密密钥加密技术对要发送的信息进行加密、使用公开密钥加密技术对私钥进行加密的一种加密技术，它较好地保证了数据传输的安全性。

三、数字时间戳

交易文件中，时间是十分重要的信息。在书面合同中，文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。在电子交易中，同样需对交易文件的日期和时间信息采取安全措施，而数字时间戳服务就能提供电子文件发表时间的安全保护。数字时间戳服务(DTS)是网上安全服务项目,由专门的机构提供。时间戳是一个经加密后形成的凭证文档，它包括3个部分:需加时间戳的文件的摘要;DTS收到文件的日期和时间;DTS的数字签名。时间戳产生的过程为：用户首先将需要加时间戳的文件用HASH编码加密形成摘要，然后将该摘要发送到DTS，DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密，然后送回用户。

四、智能卡

智能卡是一种智能集成电路卡，不但提供读写数据和存储数据的能力，还具有对数据进行处理的能力，可以实现对数据的加密解密，能进行数字签名和验证数字签名，其存储器部分具有外部不可读特性。智能卡在电子商务系统中有无法比拟的优势。首先，私人密钥和电子证书是保存于智能卡的不允许外读的存储单元中，而且可对智能卡的使用设置个人密码，从而鉴别持卡人是否为该卡的合法使用者；同时，可以承担对信息的加密解密、签名及对签名的验证等事务，减轻了客户端系统的负担。当需要对加密解密算法进行改动或替换时只需要对智能卡进行相应的改动而无需对客户端系统进行升级。采用智能卡，使身份识别更有效、安全，智能卡技术将成为用户接入和用户身份认证的首选技术。

五、数字摘要

数字摘要是采用单向Hash 函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码，并在传输信息时将之加入文件一同送给接收方，接收方收到文件后，用相同的方法进行变换运算，若得到的结果与发送来的摘要码相同，则可断定文件未被篡改，反之亦然。

六、数字签名

数据签名技术能够保证:信息除发送方和接收方外不被其他人窃取；信息在传输过程中不被篡改；接受方能够确认发送方身份；发送方对于自已的信息不能抵赖。当前在Internet电子商务系统中广泛采用的是RSA公开密钥加密体制的数字签名技术。数字签名采用了公开密钥密码体制,即利用一对相互匹配的不对称密钥实现加密和解密,同时用于签名和核准签名。

七、认证中心

在电子商务系统中无论是数字时间戳服务，还是数字凭证的发放都需要有一个具有权威性和公正性的第三方认证机构来承担。CA中心是公正的第三方，它为建立身份认证过程的权威性框架奠定了基础，为交易的参与方提供了安全策略。它为网上交易构筑了一个互相信任的环境，结束了网上身份认证、公钥分发及信息安全等一系列问题。由此可见，CA是保证电子商务安全的关键。CA中心对含有公钥的证书进行数字签名，使证书无法伪造。每个用户可以获得CA中心的公开密钥(CA根证书），验证任何一张数字证书的数字签名，从而确定证书是否是CA中心签发、数字证书是否合法。

身份认证技术是网络安全中的一个重要环节，建立强有力的身份鉴别体系已成为保障电子商务系统安全的关键技术之一。身份认证技术必将在电子商务活动中发挥着越来越重要的作用。

参考文献:

身份认证技术论文篇8

关键词: 网络 安全 VPN 加密技术 防火墙技术

近年来，计算机网络技术不断发展，网络应用逐渐普及，网络已成为一个无处不在、无所不用的工具。越来越多的计算机用户足不出户则可访问到全球网络系统丰富的信息资源，经济、文化、军事和社会活动也强烈依赖于网络，一个网络化的社会已呈现在我们面前。

然而，随着网络应用的不断增多，网络安全问题也越来越突出，由于计算机网络联接形式的多样性、终端分布的不均匀性、网络的开放性和网络资源的共享性等因素，致使计算机网络容易遭受病毒、黑客、恶意软件和其它不轨行为的攻击。为确保信息的安全与畅通，研究计算机网络的安全与防范措施已迫在眉捷。本人结合实际经验，谈一谈网络安全与防范技术。

一、目前信息系统技术安全的研究

1.信息安全现状分析

随着信息化进程的深入，信息安全己经引起人们的重视，但依然存在不少问题。一是安全技术保障体系尚不完善，许多企业、单位花了大量的金钱购买了信息安全设备，但是技术保障不成体系，达不到预想的目标；二是应急反应体系没有经常化、制度化；三是企业、单位信息安全的标准、制度建设滞后。

对于网络安全管理情况的调查：调查表明，近年来，使用单位对信息网络安全管理工作的重视程度普遍提高，80%的被调查单位有专职或兼职的安全管理人员，12%的单位建立了安全组织，有2%的单位请信息安全服务企业提供专业化的安全服务。调查表明，认为单位信息网络安全防护能力“较高”和“一般”的比较多，分别占44%。但是，被调查单位也普遍反映用户安全观念薄弱、安全管理员缺乏培训、安全经费投入不足和安全产品不能满足要求等问题，也说明目前安全管理水平和社会化服务的程度还比较低。

2.企业信息安全防范的任务

信息安全的任务是多方面的，根据当前信息安全的现状，制定信息安全防范的任务主要是:

从安全技术上，进行全面的安全漏洞检测和分析，针对检测和分析的结果制定防范措施和完整的解决方案;正确配置防火墙、网络防病毒软件、入侵检测系统、建立安全认证系统等安全系统。

从安全管理上，建立和完善安全管理规范和机制，切实加强和落实安全管理制度，增强安全防范意识。

信息安全防范要确保以下几方面的安全。网络安全:保障各种网络资源(资源、实体、载体)稳定可靠地运行、受控合法地使用。信息安全:保障存储、传输、应用的机密性(Confidentiality)、完整性(Integrity)、抗否认性(non-Repudiation),可用性(Availability)。其他安全:病毒防治、预防内部犯罪。

二、信息系统常见技术安全漏洞与技术安全隐患

每个系统都有漏洞，不论你在系统安全性上投入多少财力，攻击者仍然可以发现一些可利用的特征和配置缺陷。发现一个已知的漏洞，远比发现一个未知漏洞要容易的多，这就意味着:多数攻击者所利用的都是常见的漏洞。这样的话，采用适当的工具，就能在黑客利用这些常见漏洞之前，查出网络的薄弱之处。漏洞大体上分为以下几大类:

(1)权限攻击。攻击者无须一个账号登录到本地直接获得远程系统的管理员权限，通常通过攻击以root身份执行的有缺陷的系统守护进程来完成。漏洞的绝大部分来源于缓冲区溢出，少部分来自守护进程本身的逻辑缺陷。

(2)读取受限文件。攻击者通过利用某些漏洞，读取系统中他应该没有权限的文件，这些文件通常是安全相关的。这些漏洞的存在可能是文件设置权限不正确，或者是特权进程对文件的不正确处理和意外dumpcore使受限文件的一部份dump到了core文件中。

(3)拒绝服务。攻击者利用这类漏洞，无须登录即可对系统发起拒绝服务攻击，使系统或相关的应用程序崩溃或失去响应能力。这类漏洞通常是系统本身或其守护进程有缺陷或设置不正确造成的。

(4)口令恢复。因为采用了很弱的口令加密方式，使攻击者可以很容易的分析出口令的加密方法，从而使攻击者通过某种方法得到密码后还原出明文来。

(5)服务器信息泄露。利用这类漏洞，攻击者可以收集到对于进一步攻击系统有用的信息。这类漏洞的产生主要是因为系统程序有缺陷，一般是对错误的不正确处理。

漏洞的存在是个客观事实，但漏洞只能以一定的方式被利用，每个漏洞都要求攻击处于网络空间一个特定的位置，因此按攻击的位置划分，可能的攻击方式分为以下四类:物理接触、主机模式、客户机模式、中间人方式。

三、信息系统的安全防范措施

1.防火墙技术

防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互联环境之中，尤其以接入Internet网络为甚。

防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。

防火墙是网络安全的屏障:一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。防火墙可以强化网络安全策略:通过以防火墙为中心的安全方案配置，能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。对网络存取和访问进行监控审计:如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。防止内部信息的外泄:通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。除了安全作用，有的防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN，将企事业单位在地域上分布在全世界各地的LAN或专用子网，有机地联成一个整体。不仅省去了专用通信线路，而且为信息共享提供了技术保障。

防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型，但总体来讲可分为二大类:分组过滤、应用。

2.入侵检测技术

IETF将一个入侵检测系统分为四个组件：事件产生器(EventGenerators)；事件分析器(EventAnalyzers)；响应单元(ResponseUnits)和事件数据库(EventDataBases)。事件产生器的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。事件分析器分析得到的数据，并产生分析结果。响应单元则是对分析结果做出反应的功能单元，它可以做出切断连接、改变文件属性等强烈反应，也可以只是简单的报警。

根据检测对象的不同，入侵检测系统可分为主机型和网络型。基于主机的监测。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源，当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。这种系统经常运行在被监测的系统之上，用以监测系统上正在运行的进程是否合法。最近出现的一种ID(IntrusionDetection)：位于操作系统的内核之中并监测系统的最底层行为。所有这些系统最近已经可以被用于多种平台。网络型入侵检测。它的数据源是网络上的数据包。往往将一台机子的网卡设于混杂模式(PromiseMode)，对所有本网段内的数据包并进行信息收集，并进行判断。

对各种事件进行分析，从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上，入侵检测分为两类：一种基于标志(CSignature-Based)，另一种基于异常情况(Abnormally-Based)。

3.认证中心（CA）与数字证书

互联网的发展和信息技术的普及给人们的工作和生活带来了前所未有的便利。然而，由于互联网所具有的广泛性和开放性，决定了互联网不可避免地存在着信息安全隐患。为了防范信息安全风险，许多新的安全技术和规范不断涌现，PKI(PublicKeyInfrastructure，公开密钥基础设施)即是其中一员。

PKI是在公开密钥理论和技术基础上发展起来的一种综合安全平台，能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理，从而达到保证网上传递信息的安全、真实、完整和不可抵赖的目的。利用PKI可以方便地建立和维护一个可信的网络计算环境，从而使得人们在这个无法直接相互面对的环境里，能够确认彼此的身份和所交换的信息，能够安全地从事商务活动。目前，PKI技术己趋于成熟，其应用已覆盖了从安全电子邮件、虚拟专用网络(VPN),Web交互安全到电子商务、电子政务、电子事务安全的众多领域，许多企业和个人已经从PKI技术的使用中获得了巨大的收益。

在PKI体系中，CA(CertificateAuthority，认证中心)和数字证书是密不可分的两个部分。认证中心又叫CA中心，它是负责产生、分配并管理数字证书的可信赖的第三方权威机构。认证中心是PKI安全体系的核心环节，因此又称作PKI/CA。认证中心通常采用多层次的分级结构，上级认证中心负责签发和管理下级认证中心的证书，最下一级的认证中心直接面向最终用户。

数字证书，又叫“数字身份证”、“数字ID”，是由认证中心发放并经认证中心数字签名的，包含公开密钥拥有者以及公开密钥相关信息的一种电子文件，可以用来证明数字证书持有者的真实身份。

4.身份认证

身份认证是指计算机及网络系统确认操作者身份的过程。我们熟悉的如防火墙、入侵检测、VPN、安全网关、安全目录等，与身份认证系统有什么区别和联系呢？我们从这些安全产品实现的功能来分析就明白了：防火墙保证了未经授权的用户无法访问相应的端口或使用相应的协议；入侵检测系统能够发现未经授权用户攻击系统的企图；VPN在公共网络上建立一个经过加密的虚拟的专用通道供经过授权的用户使用；安全网关保证了用户无法进入未经授权的网段，安全目录保证了授权用户能够对存储在系统中的资源迅速定位和访问。

从木桶理论来看，这些安全产品就是组成木桶的一块块木板，则整个系统的安全性取决于最短的一块木板。这些模块在不同的层次上阻止了未经授权的用户访问系统，这些授权的对象都是用户的数字身份。而身份认证模块就相当于木桶的桶底，由它来保证物理身份和数字身份的统一，如果桶底是漏的，那桶壁上的木板再长也没有用。因此，身份认证是整个信息安全体系最基础的环节，身份安全是信息安全的基础。

目前常见的身份认证方式主要有三种，第一种是使用用户名加口令的方式，这时是最常见的，但这也是最原始、最不安全的身份确认方式，非常容易由于外部泄漏等原因或通过口令猜测、线路窃听、重放攻击等手段导致合法用户身份被伪造;第二种是生物特征识别技术(包括指纹、声音、手迹、虹膜等)，该技术以人体唯一的生物特征为依据，具有很好的安全性和有效性，但实现的技术复杂，技术不成熟，实施成本昂贵，在应用推广中不具有现实意义；第三种也是现在电子政务和电子商务领域最流行的身份认证方式――基于USBKey的身份认证。

四、结语

随着计算机技术和通信技术的发展，信息系统将日益成为企业的重要信息交换手段。因此，认清信息系统的脆弱性和潜在威胁，采取必要的安全策略，对于保障信息系统的安全性将十分重要。同时，信息系统技术目前正处于蓬勃发展的阶段，新技术层出不穷，其中也不可避免的存在一些漏洞，因此，进行信息系统安全防范要不断追踪新技术的应用情况，及时升级、完善自身的防御措施。

参考文献 ：

[1]贾晶，陈元，王丽娜编著，信息系统的安全与保密，第一版，1999.01，清华大学出版社

[2]EricMaiwald，Wi1liEducation,SecurityPlanning&DisasterRecovery,2003, Posts&TelecommunicationsPress,PP.86-94

[3]程胜利，谈冉，熊文龙，程煌，计算机病毒及其防治技术，2004.09，清华大学出版社

[4]张小磊，计算机病毒诊断与防治，2003，中国环境科学出版社

[5]东软集团有限公司，NetEye防火墙使用指南3.0，1-3

[6]段钢，加密与解密，第二版，2004.01，电子工业出版社

[7]张剑，网络安全防御系统的设计与实现，电子科技大学硕士学位论文，2001.01

[8]黑客防线2005精华奉献本上、下册，人民邮电出版社，2005

[9]陆浪如，信息安全评估标准的研究与信息安全系统的设计，信息工程大学军事学博士学位论文，2001.06