身份認證技術(shù)論文范文

時間:2023-04-05 15:25:54

導語:如何才能寫好一篇身份認證技術(shù)論文,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

身份認證技術(shù)論文

篇1

隨著網(wǎng)絡(luò)的不斷普及和電子商務的迅猛發(fā)展,電子商務這種商務活動新模式已經(jīng)逐漸改變了人們的經(jīng)濟活動方式、工作方式和生活本論文由整理提供方式,越來越多的人們開始接受并喜愛網(wǎng)上購物,可是,電子商務發(fā)展的瓶頸——安全問題依然是制約人們進行電子商務交易的最大問題,因此,安全問題是電子商務的核心問題,是實現(xiàn)和保證電子商務順利進行的關(guān)鍵所在。校園電子商務是電子商務在校園環(huán)境下的具體應用與實現(xiàn),其安全性也同樣是其發(fā)展所不容忽視的關(guān)鍵問題,因此應當著重研究。

1校園電子商務概述

1.1校園電子商務的概念。

校園電子商務是電子商務在校園這個特定環(huán)境下的具體應用,它是指在校園范圍內(nèi)利用校園網(wǎng)絡(luò)基礎(chǔ)、計算機硬件、軟件和安全通信手段構(gòu)建的滿足于校本論文由整理提供園內(nèi)單位、企業(yè)和個人進行商務、工作、學習、生活各方面活動需要的一個高可用性、伸縮性和安全性的計算機系統(tǒng)。

1.2校園電子商務的特點。

相對于一般電子商務,校園電子商務具有客戶群本論文由整理提供穩(wěn)定、網(wǎng)絡(luò)環(huán)境優(yōu)良、物流配送方便、信用機制良好、服務性大于盈利性等特點,這些特點也是校園開展電子商務的優(yōu)勢所在。與傳統(tǒng)校園商務活動相比,校園電子商務的特點有:交易不受時間空間限制、快捷方便、交易成本較低。

2校園電子商務的安全問題

2.1校園電子商務安全的內(nèi)容。

校園電子商務安全內(nèi)容從整體上可分為兩大部分:校園網(wǎng)絡(luò)安全和校園支付交易安全。校園網(wǎng)絡(luò)安全內(nèi)容主要包括:計算機網(wǎng)絡(luò)設(shè)備安全、計算機網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫安全等。校園支付交易安全的內(nèi)容涉及傳統(tǒng)校園商務活動在校園網(wǎng)應用時所產(chǎn)生的各種安全問題,如網(wǎng)上交易信息、網(wǎng)上支付以及配送服務等。

2.2校園電子商務安全威脅。

校園電子商務安全威脅同樣來自網(wǎng)絡(luò)安全威脅與交易安全威脅。然而,網(wǎng)絡(luò)安全與交易安全并不是孤立的,而是密不可分且相輔相成的,網(wǎng)絡(luò)安全是基礎(chǔ),是交易安全的保障。校園網(wǎng)也是一個開放性的網(wǎng)絡(luò),它也面臨許許多多的安全威脅,比如:身份竊取、非本論文由整理提供授權(quán)訪問、冒充合法用戶、數(shù)據(jù)竊取、破壞數(shù)據(jù)的完整性、拒絕服務、交易否認、數(shù)據(jù)流分析、旁路控制、干擾系統(tǒng)正常運行、病毒與惡意攻擊、內(nèi)部人員的不規(guī)范使用和惡意破壞等。校園網(wǎng)的開放性也使得基于它的交易活動的安全性受到嚴重的威脅,網(wǎng)上交易面臨的威脅可以歸納為:信息泄露、篡改信息、假冒和交易抵賴。信息泄露是非法用戶通過各種技術(shù)手段盜取或截獲交易信息致使信息的機密性遭到破壞;篡改信息是非法用戶對交易信息插入、刪除或修改,破壞信息的完整性;假冒是非法用戶冒充合法交易者以偽造交易信息;交易抵賴是交易雙方一方或否認交易行為,交易抵賴也是校園電子商務安全面臨的主要威脅之一。

2.3校園電子商務安全的基本安全需求。

通過對校園電子商務安全威脅的分析,可以本論文由整理提供看出校園電子商務安全的基本要求是保證交易對象的身份真實性、交易信息的保密性和完整性、交易信息的有效性和交易信息的不可否認性。通過對校園電子商務系統(tǒng)的整體規(guī)劃可以提高其安全需求。

3校園電子商務安全解決方案

3.1校園電子商務安全體系結(jié)構(gòu)。

校園電子商務安全是一個復雜的系統(tǒng)工程,因此要從系統(tǒng)的角度對其進行整體的規(guī)劃。根據(jù)校園電子商務的安全需求,通過對校園人文環(huán)境、網(wǎng)絡(luò)環(huán)境、應用系統(tǒng)及管理等各方面的統(tǒng)籌考慮和規(guī)劃,再結(jié)合的電子商務的安全技術(shù),總結(jié)校園電子商務安全體系本論文由整理提供結(jié)構(gòu),如圖所示:

上述安全體系結(jié)構(gòu)中,人文環(huán)境層包括現(xiàn)有的電子商務法律法規(guī)以及校園電子商務特有的校園信息文化,它們綜合構(gòu)成了校園電子商務建設(shè)的大環(huán)境;基礎(chǔ)設(shè)施層包括校園網(wǎng)、虛擬專網(wǎng)VPN和認證中心;邏輯實體層包括校園一卡通、支付網(wǎng)關(guān)、認證服務器和本論文由整理提供交易服務器;安全機制層包括加密技術(shù)、認證技術(shù)以及安全協(xié)議等電子商務安全機制;應用系統(tǒng)層即校園電子商務平臺,包括網(wǎng)上交易、支付和配送服務等。

針對上述安全體系結(jié)構(gòu),具體的方案有:

(1)營造良好校園人文環(huán)境。加強大學生本論文由整理提供的道德教育,培養(yǎng)校園電子商務參與者們的信息文化知識與素養(yǎng)、增強高校師生的法律意識和道德觀念,共

同營造良好的校園電子商務人文環(huán)境,防止人為惡意攻擊和破壞。

(2)建立良好網(wǎng)上支付環(huán)境。目前我國高校大都建立了校園一卡通工程,校園電子商務系統(tǒng)可以采用一卡通或校園電子帳戶作為網(wǎng)上支付的載體而不需要與銀行等金融系統(tǒng)互聯(lián),由學校結(jié)算中心專門處理與金融機構(gòu)的業(yè)務,可以大大提高校園網(wǎng)上支付的安全性。

(3)建立統(tǒng)一身份認證系統(tǒng)。建立校園統(tǒng)一身份認證系統(tǒng)可以為校園電子商務系統(tǒng)提供安全認證的功能。

(4)組織物流配送團隊。校園師生居住地點相對集中,一般來說就在學校內(nèi)部或校園附近,只需要很少的人員就可以解決物流配送問題,而本論文由整理提供不需要委托第三方物流公司,在校園內(nèi)建立一個物流配送團隊就可以準確及時的完成配送服務。

3.2校園網(wǎng)絡(luò)安全對策。

保障校園網(wǎng)絡(luò)安全的主要措施有:

(1)防火墻技術(shù)。利用防火墻技術(shù)來實現(xiàn)校園局域網(wǎng)的安全性,以解決訪問控制問題,使只有授權(quán)的校園合法用戶才能對校園網(wǎng)的資源進行訪問本論文由整理提供,防止來自外部互聯(lián)網(wǎng)對內(nèi)部網(wǎng)絡(luò)的破壞。

(2)病毒防治技術(shù)。在任何網(wǎng)絡(luò)環(huán)境下,計算機病毒都具有不可估量的威脅性和破壞力,校園網(wǎng)雖然是局域網(wǎng),可是免不了計算機病毒的威脅,因此,加強病毒防治是保障校園網(wǎng)絡(luò)安全的重要環(huán)節(jié)。

(3)VPN技術(shù)。目前,我國高校大都已經(jīng)建立了校園一卡通工程,如果能利用VPN技術(shù)建立校園一卡通專網(wǎng)就能大大提高校園信息安全、保證數(shù)據(jù)的本論文由整理提供安全傳輸。有效保證了網(wǎng)絡(luò)的安全性和穩(wěn)定性且易于維護和改進。

3.3交易信息安全對策。

針對校園電子商務中交易信息安全問題,可以用電子商務的安全機制來解決,例如數(shù)據(jù)加密技術(shù)、認證技術(shù)和安全協(xié)議技術(shù)等。通過數(shù)據(jù)加密,可以保證信息的機密性;通過采用數(shù)字摘要、數(shù)字簽名、數(shù)字信封、數(shù)字時間戳和數(shù)字證書等安全機制來解本論文由整理提供決信息的完整性和不可否認性的問題;通過安全協(xié)議方法,建立安全信息傳輸通道來保證電子商務交易過程和數(shù)據(jù)的安全。

(1)數(shù)據(jù)加密技術(shù)。加密技術(shù)是電子商務中最基本的信息安全防范措施,其原理是利用一定的加密算法來保證數(shù)據(jù)的機密,主要有對稱加密和非對稱加密。對稱加密是常規(guī)的以口令為基礎(chǔ)的技術(shù),加密運算與解密運算使用同樣的密鑰。不對稱加密,即加密密鑰不同于解密密鑰,加密密鑰公之于眾,而解密密鑰不公開。

(2)認證技術(shù)。認證技術(shù)是保證電子商務交易安全的一項重要技術(shù),它是網(wǎng)上交易支付的前提,負責對交易各方的身份進行確認。在校園電子商務本論文由整理提供中,網(wǎng)上交易認證可以通過校園統(tǒng)一身份認證系統(tǒng)(例如校園一卡通系統(tǒng))來進行對交易各方的身份認證。

(3)安全協(xié)議技術(shù)。目前,電子商務發(fā)展較成熟和實用的安全協(xié)議是SET和SSL協(xié)議。通過對SSL與SET兩種協(xié)議的比較和校園電子商務的需求分析,校園電子商務更適合采用SSL協(xié)議。SSL位于傳輸層與應用層之間,能夠更好地封裝應用層數(shù)據(jù),不用改變位于應用層的應用程序,對用戶是透明的。而且SSL只需要通過一次“握手”過程就可以建立客戶與服務器之間的一條安全通信通道,保證傳輸數(shù)據(jù)的安全。

3.4基于一卡通的校園電子商務。

目前,我國高校校園網(wǎng)建設(shè)和校園一卡通工程建設(shè)逐步完善,使用校園一卡通進行校園電子商務的網(wǎng)上支付可以增強校園電子商務的支付安全,可以避免或降低了使用銀行卡支付所出現(xiàn)的卡號被盜的風險等。同時,使用校園一卡通作為校園電子支付載體的安全保障有:

(1)校園網(wǎng)是一個內(nèi)部網(wǎng)絡(luò),它自身已經(jīng)屏蔽了絕大多數(shù)來自公網(wǎng)的黑客攻擊及病毒入侵,由于有防火墻及反病毒軟件等安全防范設(shè)施,來自外部網(wǎng)絡(luò)人員的破壞可能性很小。同時,校園一卡通中心有著良好的安全機制,使得使用校園一卡通在校內(nèi)進行網(wǎng)上支付被盜取賬號密碼等信息的可能性微乎其微。超級秘書網(wǎng)

(2)校園一卡通具有統(tǒng)一身份認證系統(tǒng),能夠?qū)⑴c交易的各方進行身份認證,各方的交易活動受到統(tǒng)一的審計和監(jiān)控,統(tǒng)一身份認證能夠保證網(wǎng)上工作環(huán)境的安全可靠。校園網(wǎng)絡(luò)管理中對不同角色的用戶享有不同級別的授權(quán),使其網(wǎng)上活動受到其身份的限制,有效防止一些惡意事情的發(fā)生。同時,由于校內(nèi)人員身份單一,多為學生,交易中一旦發(fā)生糾紛,身份容易確認,糾紛就容易解決。

4結(jié)束語

開展校園電子商務是推進校園信息化建設(shè)的重要內(nèi)容,隨著我國校園信息化建設(shè)的不斷深入,目前已有許多高校開展了校園電子商務,它極大的方便了校園內(nèi)師生員工的工作、學習、生活。可是與此同時,安全問題成為制約校園電子商務發(fā)展的障礙。因此,如何建立一個安全、便捷的校園電子商務應用環(huán)境,讓師生能夠方便可靠的進行校園在線交易和網(wǎng)上支本論文由整理提供付,是當前校園電子商務發(fā)展要著重研究的關(guān)鍵問題。

篇2

論文關(guān)鍵詞:一卡通系統(tǒng),校園

 

1、引言

現(xiàn)如今的校園是一個信息時代的校園,信息化已經(jīng)成為一個重要標志,因此,信息化校園也就離不開信息化的管理。在這個日新月異的時代,提高管理水平和工作效率便離成功近了一步。校園信息化建設(shè),便是有力推進校園管理和教學水平發(fā)揮的關(guān)鍵一步。管理信息化水平成為衡量學??傮w水平的重要指標之一。隨著計算機技術(shù)和網(wǎng)絡(luò)技術(shù)的迅速發(fā)展,一卡通系統(tǒng)已經(jīng)走入了絕大部分校園,為每一個人帶來全新、方便的現(xiàn)代化生活,而院校管理將日趨簡化,工作效率將逐步提高。

2、一卡通系統(tǒng)的需求分析

從業(yè)務上來說,校園一卡通系統(tǒng)利用智能非接觸式IC卡的功能強大和能夠脫機交易等優(yōu)點,在校園網(wǎng)的支持下,可在校內(nèi)一卡通行畢業(yè)論文怎么寫,具有支付交易、身份識別、個人信息查詢等功能。在學校內(nèi)實現(xiàn)電子錢包的支付交易功能。校園卡可作為電子錢包使用,可在學校各校區(qū)內(nèi)現(xiàn)金交易點進行支付交易,逐漸免去現(xiàn)金流通。為校內(nèi)使用證件的各種應用提供身份認證的功能,實現(xiàn)校園管理功能。校園卡可記錄個人的各類基本檔案,校園卡系統(tǒng)可共享身份信息、黑(白)名單庫等信息資源。因此,校園卡可驗證持卡人的身份,實現(xiàn)圖書借閱,門禁考勤、停車場等身份認證,從而代替以前的各種證件,使學校管理更加規(guī)范期刊網(wǎng)。

從功能上來說,校園一卡通主要具有儲蓄、取款、消費、身份認證、個人信息查詢等功能,其應用覆蓋校區(qū)綜合消費系統(tǒng),包括收、繳費及各類款項支取,校內(nèi)各類小額消費;以及信息查詢系統(tǒng),包括身份認證,管理信息查詢及統(tǒng)計分析等。

3、一卡通系統(tǒng)的功能

一卡通系統(tǒng)使用端主要功能是利用智能非接觸式的IC卡,以卡代幣,通過校園卡內(nèi)電子錢包,持卡人可以在所有校區(qū)內(nèi)任意消費網(wǎng)點以卡結(jié)算,實現(xiàn)電子化貨幣數(shù)字化結(jié)算。實現(xiàn)各校區(qū)內(nèi)餐廳、醫(yī)療、小賣部、超市、商場所有消費場所一卡通用。校園卡可在表面印有持卡人身份標識在校內(nèi)以卡代證,作為持卡人身份證明,如學生證、教師證、工作證身份證件使用。以及身份識別、圖書管理、電腦上機、門禁等領(lǐng)域的貫通使用,數(shù)據(jù)共享,一卡貫通。

一卡通系統(tǒng)的管理端主要管理以下功能:

(1)系統(tǒng)初始:包括系統(tǒng)的注冊、單位名稱的初始、人員信息的導入等

(2)發(fā)卡、充值:對單位人員進行發(fā)卡、充值,并實現(xiàn)補卡、掛失、解掛、修正錯誤等

(3)補助:補助報表的生成、審核、下發(fā)補助等

(4)人員管理:對人員資料的管理、人員結(jié)算、人員查詢,人員消費設(shè)備的管理等

(5)報表管理:實現(xiàn)各種報表畢業(yè)論文怎么寫,用于財務對帳、入帳等;

(6)結(jié)算管理:操作員、收銀員結(jié)算、業(yè)主結(jié)算等

(7)查詢管理:主要用于用戶查詢,可以查詢消費明細;用于管理者查詢可以查詢整個系統(tǒng)的消費、管理等狀況

(8)權(quán)限管理:所有權(quán)限都由管理員分配,每個操作員根據(jù)自身的情況,可以設(shè)置不同的管理權(quán)限。

(9)水控管理:用于管理公共澡堂、公寓的出水管理

(10)消費管理:用于食堂、小賣部等刷卡消費管理

(11)第三方系統(tǒng)接入:用于教務、圖書館、機房等子系統(tǒng)的接入;如教務子系統(tǒng)在教學活動中的信息收集、管理。并可以輔助完成教學計劃制定,課程安排,學生選課,成績管理等教學活動。

4、展望

校園信息化建設(shè)是一項基礎(chǔ)性和長期性的工作,因此,沒有一所學校能夠一步到位地實現(xiàn)所有項目的信息化建設(shè)。校園一卡通項目中的各項內(nèi)容相互聯(lián)系而又互不干擾,學??梢砸驊约旱男枨筮x擇先投入某些項目的建設(shè),幾年后再逐步完善其他項目的建設(shè),當學校新增一個項目的時候并無需再為學生辦理新卡片,而只需在原有的卡片上寫入新的程序即可,既避免了購置新卡片而造成的資源浪費,又可以讓學生享受到學校后勤高效、方便的管理服務。一卡通系統(tǒng)必將給我們帶來全新的學習、生活和工作模式。

參考文獻:

[1]何冠星。淺談基于一卡通系統(tǒng)的校園信息化建設(shè)。新西部,2009(6)

[2]史岳鵬,費曉飛。校園一卡通系統(tǒng)的需求分析研究。鄭州牧業(yè)工程高等??茖W校學報。2008(11)

篇3

【關(guān)鍵詞】PKI;數(shù)字簽名算法;加密解密

一、PKI系統(tǒng)基本組成

PKI是一個以公鑰密碼技術(shù)為基礎(chǔ),數(shù)字證書為媒介,結(jié)合對稱加密和非對稱加密技術(shù),將個人的信息和公鑰綁在一起的系統(tǒng)。其主要目的是通過管理密鑰和證書,為用戶建立一個安全、可信的網(wǎng)絡(luò)應用環(huán)境,使用戶可以在網(wǎng)絡(luò)上方便地使用加密和數(shù)字簽名技術(shù),在Internet上驗證通信雙方身份,從而保證了互聯(lián)網(wǎng)上所傳輸信息的真實性、完整性、機密性和不可否認性。完整的PKI系統(tǒng)包括一個RA中心、CA中心、用戶終端系統(tǒng)EE、證書/CRL資料庫和秘鑰管理系統(tǒng)。

二、PKI系統(tǒng)提供的服務

PKI作為安全基礎(chǔ)設(shè)施,主要提供的服務有保密、身份認證服務、驗證信息完整以及電子商務中的不可抵賴。

1.保密

所謂保密就是提供信息的保密,包括存儲文件和傳輸信息的保密性,所有需要保密的信息都加密,這樣即使被攻擊者獲取到也只是密文形式,攻擊者沒有解密密鑰,無法得到信息的真實內(nèi)容,從而實現(xiàn)了對信息的保護。PKI提供了保密,并且這個服務對于所有用戶都是透明的。

2.身份認證服務

PKI的認證服務在ITU-TX.509標準中定義為強鑒別服務,即采用公開密鑰技術(shù)、數(shù)字簽名技術(shù)和安全的認證協(xié)議進行強鑒別的服務。

3.完整

完整就是保證數(shù)據(jù)在保存或傳輸過程中沒有被非法篡改,PKI體系中采用對信息的信息摘要進行數(shù)字簽名的方式驗證信息的完整性。

4.不可抵賴

不可抵賴是對參與者對做過某件事提供一個不可抵賴的證據(jù)。在PKI體系中,發(fā)送方的數(shù)字簽名就是不可抵賴的證據(jù)。

三、基于PKI的數(shù)字簽名的實現(xiàn)

基于PKI的數(shù)字簽名,用戶首先向PKI的RA中心注冊自己的信息,RA審核用戶信息,審核通過則向CA中心發(fā)起證書申請請求,CA中心為用戶生成秘鑰對,私鑰私密保存好,公鑰和用戶信息打包并用CA私鑰進行數(shù)字簽名,形成數(shù)字證書并在CA服務器的證書列表,用戶到證書列表查看并下載證書。

假設(shè)用戶A要向用戶B發(fā)送信息M,用戶A首先對信息進行哈希函數(shù)h運算得到M的信息摘要hA,再用自己的私鑰DA對hA進行加密得到數(shù)字簽名Sig(hA)。將明文M、數(shù)字簽名Sig(hA)以及A的證書CertA組成信息包,用B的公鑰EB加密得到密文C并傳送給B。其中數(shù)字簽名與信息原文一起保存,私鑰DA只有用戶A擁有,因此別人不可能偽造A的數(shù)字簽名;又由于B的私鑰只有B擁有,所以只有B可以解密該信息包,這樣就保證了信息的保密性。

四、基于PKI體系結(jié)構(gòu)的數(shù)字簽名安全性分析

從基于PKI數(shù)字簽名的實現(xiàn)過程和驗證過程中我們知道,數(shù)字簽名的安全性取決于以下幾點:

1.CA服務器確實安全可靠,用戶的證書不會被篡改。CA服務器的安全性主要包括物理安全和系統(tǒng)安全。所謂物理安全是指CA服務器放置在物理環(huán)境安全的地方,不會有水、火、蟲害、灰塵等的危害;系統(tǒng)安全是指服務器系統(tǒng)的安全,可以由計算機安全技術(shù)與防火墻技術(shù)實現(xiàn)。

2.用戶私鑰確實被妥善管理,沒有被篡改或泄露。現(xiàn)在采用的技術(shù)是USB Key或智能卡存儲用戶私鑰,并由用戶用口令方式保護私鑰,而且實現(xiàn)了私鑰不出卡,要用私鑰必須插卡,從技術(shù)實現(xiàn)了私鑰不會被篡改和泄露。

3.數(shù)字簽名方案的安全性好。基于PKI公鑰加密技術(shù)的數(shù)字簽名是建立在一些難解的數(shù)學難題的基礎(chǔ)上,其中基于RSA算法的簽名方案應用最多。RSA算法是基于大數(shù)分解的困難性,目前當模數(shù)達到1024位時,分解其因子幾乎是不可能的,未來十年內(nèi)也是安全的。但是由于RSA算法保存了指數(shù)運算的特性,RSA不能抵御假冒攻擊,就算攻擊者不能破解密鑰,也可進行假冒攻擊實現(xiàn)消息破譯和騙取用戶簽名。

六、總結(jié)

在電子商務交易的過程中,PKI系統(tǒng)是降低電子商務交易風險的一種常用且有效的方法,本文介紹了PKI系統(tǒng)的組成,PKI系統(tǒng)提供的服務,分析了基于PKI通信的安全性,其安全主要通過數(shù)字證書和數(shù)字簽名來實現(xiàn),而數(shù)字簽名的安全性則主要依賴于簽名方案,在研究和分析現(xiàn)有數(shù)字簽名方案的基礎(chǔ)上提出了改進的新方案,即添加隨機因子和時間戳的RSA簽名方案,新方案增加了通信雙方交互次數(shù),雖然系統(tǒng)效率有所降低,但提高了方案的安全性,并且新方案既可保證信息的保密性、完整性,又使得通信雙方都具備了不可抵賴性,具有很高安全性和較強的實用意義。

參考文獻

[1]劉穎.基于身份的數(shù)字簽名的研究[D].西安電子科技大學碩士學位論文,2006,1.

[2]段保護.一種改進的基于時間戳的數(shù)字簽名方案[D].長沙理工大學碩士學位論文,2009,3.

[3]陳昕.基于一次性口令的身份認證系統(tǒng)研究及實現(xiàn)[D].南京信息工程大學碩士學位論文,2009,5.

[4]潘恒.電子商務環(huán)境下基于PKI的信任問題研究[D].信息工程大學博士學位論文,2006,10.

[5]張寧.電子商務安全性分析[D].北京郵電大學碩士研究生學位論文,2007,3.

[6]任曉東.基于PKI的認證中心研究與實現(xiàn)[D].西南交通大學碩士學位論文,2008,5.

篇4

關(guān)鍵詞 安全 CA認證中心 身份認證 數(shù)字證書 PKI

中圖分類號:D63 文獻標識碼:A

1CA認證概述

隨著Internet的發(fā)展,電子商務的興起,經(jīng)常需要在開放網(wǎng)絡(luò)環(huán)境中不明身份的實體之間通信,安全問題也因此日益突出。為確保網(wǎng)上電子商務交易的順利進行,必須在通信網(wǎng)絡(luò)中建立并維持一種可信任的安全環(huán)境和機制。一個完整的電子商務系統(tǒng)主要包括商家、支付系統(tǒng)和認證機構(gòu),而認證機構(gòu)是整個電子商務系統(tǒng)的關(guān)鍵。認證機構(gòu)主要通過發(fā)放數(shù)字證書來識別網(wǎng)上參與交易各方的身份,并通過加密證書對傳輸?shù)臄?shù)據(jù)進行加密,從而保證信息的安全性、完整性和交易的不可抵賴性。

為了解決在Internet上開展電子商務的安全問題,切實保障網(wǎng)上交易和支付的安全,世界各國在經(jīng)過多年研究后,初步形成了一套完整的解決方案,其中最重要的內(nèi)容就是建立一套完整的電子商務安全認證體系。電子商務安全認證體系的核心機構(gòu)就是認證中心(CA)。認證中心作為一個權(quán)威、公正、可信的第三方機構(gòu),它的建設(shè)是電子商務最重要的基礎(chǔ)設(shè)施之一,也是電子商務大規(guī)模發(fā)展的根本保證。

所謂CA(Certificate Authority)認證中心,它是采用PKI(Public key Infrastructure)公開密鑰基礎(chǔ)架構(gòu)技術(shù),專門提供網(wǎng)絡(luò)身份認證服務,負責簽發(fā)和管理數(shù)字證書,且具有權(quán)威性和公正性的第三方信任機構(gòu),它的作用就像我們現(xiàn)實生活中頒發(fā)證件的公司,如護照辦理機構(gòu)。目前國內(nèi)的CA認證中心主要分為區(qū)域性CA認證中心和行業(yè)性CA認證中心兩大類。

一個典型的CA系統(tǒng)包括安全服務器、注冊機構(gòu)RA、CA服務器、LDAP目錄服務器和數(shù)據(jù)庫服務器等。

2CA認證技術(shù)在電子政務上的應用

網(wǎng)絡(luò)認證技術(shù)是網(wǎng)絡(luò)安全技術(shù)的重要組成部分之一。其基本思想是通過驗證被認證對象的屬性來達到確認被認證對象是否真實有效的目的,被認證對象的屬性可以是口令、數(shù)字簽名或者像指紋、聲音、視網(wǎng)膜這樣的生理特征。以下介紹CA認證系統(tǒng)的有關(guān)技術(shù)及其典型應用。

2.1公鑰基礎(chǔ)設(shè)施PKI

公鑰基礎(chǔ)設(shè)施PKI(Public Key Infrastructure)又叫公鑰體系,是一種利用公鑰加密技術(shù)為電子商務的開展提供一套安全基礎(chǔ)平臺的技術(shù)和規(guī)范,從廣義上講,所有提供公鑰加密和數(shù)字簽名服務的系統(tǒng),都可以叫做PKI系統(tǒng)。PKI的主要目的是通過自動管理密鑰和數(shù)字證書,來為用戶建立起一個安全的網(wǎng)絡(luò)運行環(huán)境,使用戶可以在多種應用環(huán)境下方便地使用加密和數(shù)字簽名技術(shù),從而保證網(wǎng)上數(shù)據(jù)的機密性、完整性、有效性。PKI由公開密鑰加密技術(shù)、數(shù)字證書、認證機構(gòu)CA及相關(guān)的安全策略等基本成分共同組成。一個典型、完整、有效的PKI應用系統(tǒng)至少應包含如下幾個部分:(1)CA認證機構(gòu),(2)X.500目錄服務器,(3)具有高強度密碼算法(如SSL)的安全www服務器,(4)Web安全通信平臺,(5)自行開發(fā)的安全應用系統(tǒng),綜上所述,在PKI中最重要的核心部分就是認證機構(gòu)CA。

CA身份認證系統(tǒng)基于PKI理論體系構(gòu)建,由認證服務器、管理服務器、客戶端安全認證組件和SecurSecureKey(USB智能卡)組成,支持B/S結(jié)構(gòu)和C/S結(jié)構(gòu)的應用系統(tǒng)。系統(tǒng)中每一個用戶發(fā)一個SecurSecureKey,其中存儲有代表用戶身份的數(shù)字證書和私鑰文件,用戶在登錄系統(tǒng)時,插上SecurSecureKey,通過安全加密通訊信道與遠程身份認證服務器通訊,由認證服務器完成對用戶身份的認證,并得到當前用戶的身份以及系統(tǒng)的授權(quán)信息。

(1)用戶在計算機USB接口上插入包含自己證書和私鑰的SecurSecureKey,訪問系統(tǒng)登錄頁面。

(2)服務器接受登錄請求,并產(chǎn)生一個臨時隨機數(shù),發(fā)送到客戶端。

(3)用戶輸入SecurSecureKey訪問口令,點擊“登錄”按鈕。

(4)客戶端對服務器發(fā)來的隨機數(shù)以及用戶的身份信息利用SecurSecureKey硬件進行加密,并對加密結(jié)果做數(shù)字簽名,將結(jié)果發(fā)送到服務器。

(5)應用服務器接收到客戶端發(fā)來的數(shù)據(jù)后,執(zhí)行驗證過程。

(6)應用服務器根據(jù)認證服務器的返回結(jié)果決定登錄是否成功。

2.2系統(tǒng)功能特點

(1)安全有效的身份認證

(2)易于操作和使用

(3)自動檢測并加密指定關(guān)鍵信息

2.3 CA認證技術(shù)在電子政務中應用

在某區(qū)電子政務的一站式訪問系統(tǒng)中,網(wǎng)上申請駕照、網(wǎng)上申請準生證等模塊,都用到了基于CA認證技術(shù)實現(xiàn)身份認證的技術(shù)。

(1)基于CA認證技術(shù)實現(xiàn)身份認證的前提條件

首先要有認證中心CA實施的支持,即交易各方能夠申請到自己的數(shù)字證書,能夠從認證中心獲得證書庫信息和證書撤銷列表,并對其進行有效性和完整性驗證,交易各方面都能夠支持系統(tǒng)所需的加密算法,摘要算法等。

(2)建立通信模型

在傳輸文件前,首先進行身份認證和密鑰協(xié)商、身份認證,一是驗證對方的證書是否有效,即證書是否過期,是否已被撤銷等;二是要評估當前用戶,在文件傳輸中的訪問權(quán)限。

(3)加載數(shù)字證書身份認證模塊的程序設(shè)計

對于安全認證系統(tǒng)來說,在程序設(shè)計中加載數(shù)字證書,來實現(xiàn)其通信各方面的身份認證和發(fā)送者行為的時候無法否認性,在如下方案中采用了安全套接層(SSL)傳輸方式。

加載數(shù)字證書的身份認證模塊:

①創(chuàng)建會話連接使用的協(xié)議。

②申請SSL會話的環(huán)境CTX。

③SSL使用TCP協(xié)議,需要把SSL attach捆綁到已經(jīng)連接的套接層上。

④SSL握手協(xié)議。

⑤握手成功后,得到對方的數(shù)字證書,與從認證中心CA獲得的數(shù)字證書比較。兩個證書如果不同,斷開連接請求,結(jié)束會話;如果相同,對方的身份得到確認。

⑥通訊結(jié)束后,需要釋放前面申請的SSL資源。

(4)系統(tǒng)安全認證分析(單向認證)

①通信身份的認證

通信過程開始時,服務器向瀏覽器發(fā)送自己的數(shù)字證書,瀏覽器從認證中心CA獲取數(shù)字證書,瀏覽器使用認證中心CA系統(tǒng)的公開密鑰解開服務器的數(shù)字證書,從而得到服務器的身份和公開密鑰,二者進行比較后,確認服務器是否為真,完成身份認證。

②不可否認性

通信過程中,信息的摘要要是使用發(fā)送方自己的私有密鑰進行簽字的,除發(fā)送者自己以外,其他人無法知道簽名者的私有密鑰,所以確定了發(fā)送的行為無法再事后否認。

3結(jié)論

篇5

[關(guān)鍵詞]電子資源;資源共享;知識產(chǎn)權(quán);版權(quán)保護

從“維普的著作權(quán)侵權(quán)案”到“百度的MP3版權(quán)門”[1~2],從“萬方學位論文侵權(quán)案”[3~4]到“訊雷的版權(quán)認領(lǐng)”[5~6],再到“中國知網(wǎng)學位論文版權(quán)征集”,一次又一次地給我們敲響了警鐘。當前數(shù)字資源、電子資源或者說虛擬資源的版權(quán)問題仍然存在著不少問題。作者、出版社、數(shù)據(jù)服務商、圖書館、讀者之間是一個知識傳遞的鏈條,在這一傳遞過程中,版權(quán)會以不同形式出現(xiàn)。如何解決電子資源的版權(quán)糾紛,是目前電子資源面臨的一個比較棘手的問題,這一問題同時牽扯到電子資源服務商、出版社、圖書館和作者四方面權(quán)益,因此值得大家關(guān)注。

1 電子資源版權(quán)模式

電子資源版權(quán)模式主要由授權(quán)方式和實現(xiàn)技術(shù)兩部分組成,其常見的幾類如下。

1.1 電子圖書

1.1.1方正Apabi教參電子圖書版權(quán)模式。

(1)授權(quán)方式。方正Apabi教參電子圖書以分成的方式取得出版單位的授權(quán),與出版社簽訂電子版權(quán)使用協(xié)議,作者授權(quán)由出版單位負責解決和處理。這種版權(quán)解決方式商業(yè)化氣氛更濃[7]。

(2)實現(xiàn)技術(shù)。方正Apabi教參電子圖書以數(shù)字版權(quán)保護(DRM)技術(shù)為核心,在保護作者、出版社、發(fā)行者、圖書館和讀者共同利益的基礎(chǔ)上,為整個過程中的各個角色提供所需軟件。出版社可以很方便地制作和出版電子書,讀者可以通過互聯(lián)網(wǎng)買書、借還書、在本地機器上閱讀。

1.1.2 書生之家版權(quán)模式。

(1)授權(quán)方式。書生之家從出版社和作者兩個方面入手,同時取得出版單位和作者的授權(quán)。一般是通過為出版單位提供有關(guān)服務來換取授權(quán)[7]。

(2)實現(xiàn)技術(shù)。采用書生數(shù)字圖書館系統(tǒng)相關(guān)技術(shù),通過專門的閱讀器進行控制,版權(quán)保護方面也采取DRM技術(shù),防止了文獻被復制、篡改和二次傳播的可能。

1.1.3 超星數(shù)字圖書館版權(quán)模式。

(1)授權(quán)方式。超星數(shù)字圖書館通過征集作者授權(quán)的方式獲取有關(guān)授權(quán),預先使用并預留適當比例的版稅,如果作者有異議,與作者商談并取得作者授權(quán);如果作者不同意,支付已使用版稅并將其作品撤除。同時,還委托版權(quán)保護中心代收代轉(zhuǎn)一部分版稅。目前已有部分作者及出版社與超星公司簽約,但仍然存在相當大的版權(quán)隱患[7]。

(2)實現(xiàn)技術(shù)。采用超星PDG技術(shù)和數(shù)字版權(quán)保護(DRM)技術(shù),通過有關(guān)技術(shù)限制打印、傳播和永久下載。

1.2 學位論文

1.2.1 萬方學位論文版權(quán)模式。

(1)授權(quán)方式。萬方的學位論文數(shù)據(jù)庫是受中國科學技術(shù)信息研究所(以下簡稱“中信所”)委托進行加工、建設(shè)和對圖書館提供館藏服務的,由中信所與授予單位合作取得論文的使用權(quán)。這種授權(quán)是中信所與學校之間的授權(quán),與具體的作者關(guān)系不大,存在很大的弊端。萬方的“學位論文侵權(quán)案”就是這個弊端造成的。

為了彌補這一漏洞,萬方數(shù)據(jù)公司目前又增加了直接授權(quán)模式,以期更好地規(guī)范和解決博、碩士論文的相關(guān)使用授權(quán),具體內(nèi)容為征集作者授權(quán),并給作者、導師和授予單位一定的版權(quán)費用,作為對以上授權(quán)模式的補充。

(2)實現(xiàn)技術(shù)。大部分數(shù)據(jù)是通過掃描后加工而成,可通過OCR進行識別,部分具有雙悉技術(shù),此外還有一部分數(shù)據(jù)是由作者直接提交的電子版本。所有數(shù)據(jù)都加工為PDF格式,需要IP認證和身份認證,資源需要PDF專用閱覽器打開。

1.2.2中國知網(wǎng)版權(quán)模式。

(1)授權(quán)方式。學位論文采取與作者直接簽約的方式,并支付作者、導師及相關(guān)單位有關(guān)報酬,由作者提交電子版,并有作者的電子出版授權(quán)書。

(2)實現(xiàn)技術(shù)。所有數(shù)據(jù)都制成中國知網(wǎng)學位論文專用格式,需要用中國知網(wǎng)專用的CAJ閱讀器打開,用戶認證方式有多種,包括IP地址認證方式、個人賬號認證方式、包庫方式,等等。

1.3 期刊論文

目前提供期刊論文全文服務的電子資源服務商主要有三家:中國知網(wǎng)、萬方數(shù)據(jù)和重慶維普,其版權(quán)處理模式基本相同,只是采用的技術(shù)不同而已。

(1)授權(quán)方式。與出版社采取簽訂電子版權(quán)協(xié)議的方式,與作者之間采取由出版社在向作者發(fā)錄稿通知時預先聲明的方式,如果不愿意被收錄的論文作者要進行說明,否則按默認處理,即授權(quán)被有關(guān)數(shù)據(jù)庫收錄。同時,出版社可與多個電子資源服務商同時簽訂電子版授權(quán)協(xié)議。

(2)實現(xiàn)技術(shù)。電子資源服務商從出版社得到資源的電子版后,利用自己的加工系統(tǒng)對電子資源進行加工制成自己專用的電子文檔,然后通過自己的平臺進行。從中國知網(wǎng)、萬方數(shù)據(jù)和重慶維普國內(nèi)三家有名的電子資源服務商來看,一般不采用DRM技術(shù),只是通過身份認證和IP地址來限制最終的使用者。

2 比較分析

電子資源的版權(quán)授權(quán)模式和實現(xiàn)技術(shù)可以通過表1進行匯總和比較,從中可以看出電子資源的版權(quán)模式有三種變化趨勢。

(1)授權(quán)方式由出版單位授權(quán)逐漸向作者授權(quán)轉(zhuǎn)變。萬方的學位論文版權(quán)糾紛,更加促進了這一過程的轉(zhuǎn)變。對于新出版的電子資源要做到從源頭處理好相關(guān)版權(quán),對于已經(jīng)出版的版權(quán)關(guān)系不明確的或者根本就沒有授權(quán)的電子資源通過版權(quán)認領(lǐng)的方式獲取授權(quán)。

(2)資源文件由掃描版向真正的電子版轉(zhuǎn)變。真正的電子版具有三方面的特點:一是電子資源的質(zhì)量得到了提高,如資源頁面沒有污點、放大后字體不失真等;二是可以對電子版的文件進行重新排版,以更好地適應讀者的計算機閱讀方式;三是可以在電子文件中直接嵌入有關(guān)技術(shù),并與相關(guān)的身份認證技術(shù)相結(jié)合,以便更好地保護電子資源的版權(quán)。

(3)身份認證技術(shù)由簡單的密碼認證、IP認證向數(shù)字證書認證技術(shù)轉(zhuǎn)變。隨著計算機技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展,簡單的密碼認證和IP認證技術(shù)已經(jīng)不能保障電子資源數(shù)據(jù)庫的安全,極易造成電子資源被非法用戶訪問和使用,使合法用戶的權(quán)益得不到保障,使電子資源的版權(quán)得不到保護。隨著數(shù)字證書認證技術(shù)的出現(xiàn)和完善,這些非法用戶必將被擋在系統(tǒng)之外,電子資源的版權(quán)也會得到很好的保護。

3 電子資源版權(quán)保護中應注意的問題及建議

3.1 應注意的問題

3.1.1目前,絕大多數(shù)期刊出版社只與電子資源服務商之間簽署授權(quán)的協(xié)議,忽視或者模糊著作權(quán)所有者一些應有的合法權(quán)益。出版社一般不與作者簽署正規(guī)授權(quán)協(xié)議,只是通過錄稿通知的相關(guān)附加條款或者在出版物上一些聲明進行約定,作者處于極為被動的地位,主要表現(xiàn)在兩個方面:第一,在錄稿通知上加入一條數(shù)據(jù)庫收錄的聲明,以此來獲得電子版的使用權(quán);其二就是在期刊的某一個位置上進行聲明,如“本刊已被××數(shù)據(jù)庫所收錄,您的文章如果不想被收錄請與出版社聯(lián)系”等聲明。這種現(xiàn)象應引起我們的思考。另外,期刊電子資源存在的隱性版權(quán)問題還有很多,如無DRM保護,電子文檔可以無限次數(shù)的復制、無限次數(shù)的傳遞。

3.1.2《中華人民共和國著作權(quán)法》是從1991年6月1日開始實施的,2001年10月進行了修訂,在第二章第一節(jié)第十二條中加入了信息網(wǎng)絡(luò)傳播權(quán)[8],第一次把電子資源網(wǎng)絡(luò)傳播權(quán)的保護正式寫入法律。如何對待和妥善處理2001年10月《著作權(quán)法》修訂前的電子資源版權(quán)問題,需要電子資源服務商高度重視。目前不少電子資源服務商都采取版權(quán)認領(lǐng)的方式進行處理,重新與作者簽訂有關(guān)版權(quán)授權(quán)協(xié)議。

3.1.3版權(quán)歸屬不明確,包括多作者版權(quán)劃分和作者與所屬機構(gòu)之間的版權(quán)劃分兩種情況,這兩種情況也極易造成版權(quán)的糾紛。如萬方學位論文,是學校提交給國家學位論文法定收藏單位中信所的,而中信所只具有收藏的權(quán)限和部分特定用戶使用的權(quán)限。中信所只在與學校簽署共建中國學位論文數(shù)據(jù)庫協(xié)議的條件下,就把其權(quán)限擴大到商業(yè)化范疇,這是不妥的,易造成一些技術(shù)和成果資料的流失。

3.1.4文獻收藏、特定用戶有限利用與商業(yè)化使用之間界限不明確。如萬方的“學位論文訴訟案”,就是這種界限不明確造成的。

3.1.5使用權(quán)授予多個電子資源服務商,造成資源的重復性加工和浪費。目前的電子資源大部分由出版社把使用權(quán)授予多個電子資源服務商,各服務商對資源進行各自不同的加工,讀者使用電子資源時必須使用電子資源服務商專用的閱覽器。

3.2 電子資源版權(quán)保護的一些建議

電子資源版權(quán)保護不僅僅是技術(shù)層面的保護,而是一個涉及多方面的保護體系,這一體系主要包括以下幾個方面。

3.2.1在法律保護中,國家要有相關(guān)的法律制度和條約予以保障。這方面制度的制定是一個循序漸進的過程,隨著電子資源應用的日益廣泛,這方面的保障制度應逐漸完善。

3.2.2提高與電子資源有關(guān)的參與者對版權(quán)的認知程度。電子資源的參與者主要包括作者、出版社、電子資源服務商以及最終的讀者,只有這些參與者認知程度提高了,版權(quán)保護才能很好地貫徹和執(zhí)行。同時,參與者認知程度的提高是一個循序漸進的過程,各參與者之間要互相理解和配合。

3.2.3從技術(shù)上加強對電子資源版權(quán)的保護。主要依靠計算機技術(shù)和網(wǎng)絡(luò)技術(shù)對電子資源的使用范圍、讀者、使用時間、使用方式等加以限制,也就是現(xiàn)在都在采用的DRM技術(shù),主要包括數(shù)字證書認證技術(shù)、IP地址限制技術(shù)、電子資源加工技術(shù)等。隨著計算機技術(shù)的發(fā)展,對電子資源在技術(shù)上的保護應該不存在什么問題。

3.2.4對電子資源的傳播存儲形式也需制定一定的規(guī)范和標準,不能任由電子資源服務商各自為政、自定標準。建議國家相關(guān)部門制定電子資源傳播存儲強制性行業(yè)標準,由出版社或者出版社委托的單位完成電子資源的標準化加工,然后出售其電子資源。此時電子資源服務商的作用就相當于紙質(zhì)圖書的書商,只起到一個中介作用。

3.2.5對2001年10月《著作權(quán)法》修訂前的電子資源版權(quán)問題,出版社和電子資源服務商要雙管齊下,盡可能與作者簽署授權(quán)協(xié)議,對暫時無法取得聯(lián)系的,可以繼續(xù)采用版權(quán)認領(lǐng)方式進行。

3.2.6建議電子資源版權(quán)可以借鑒成熟的專利知識保護體系進行保護。專利制度是以技術(shù)的公開換取法律上對技術(shù)的保護,電子資源可以借鑒這一成熟模式對其版權(quán)進行保護,即以資源的公開換取法律上對資源的保護。

4 結(jié) 語

總之,各種電子資源版權(quán)糾紛的出現(xiàn)并不是一些孤立、偶然的事件,而是一種新事物的出現(xiàn)與現(xiàn)有制度以及人們認知相對滯后的矛盾造成的。主要體現(xiàn)在:一是有關(guān)法律制度不完善或者不健全,對出現(xiàn)的一些特殊情況不能妥善處理;二是電子資源服務商本身存在的一些問題,造成一些版權(quán)上的疏忽;三是用戶對版權(quán)的認識上不到位,出現(xiàn)的一些侵權(quán)行為。相信隨著法律制度的逐步完善健全,作者、出版社、電子資源服務商、圖書館、讀者等參與者在版權(quán)方面的法律意識逐漸提高,電子資源的版權(quán)問題會得到合理妥善的解決。

[參考文獻]

[1] 柳華芳.百度版權(quán)門是中國互聯(lián)網(wǎng)的拐點[EB/OL].[2008-06-18].blog.chinabyte.com/blog/fanggege/archive/2008/06/18/86133.html.

[2] 陸建平.百度深陷版權(quán)門:莫當炮灰 和平解決[EB/OL]. [2008-12-05].tech.163.com/05/1018/09/20B9SUVR000915HL.html.

[3] 何春中.誰在吞噬我們嘔心瀝血的學位論文[N].中國青年報,2008-11-27(6).

[4] 何春中.學位論文的著作權(quán)保護何去何從[N].中國青年報,2008-11-27(6).

[5] 抽身“版權(quán)門”?迅雷舉辦“版權(quán)認領(lǐng)” [EB/OL].[2008-12-05].publish.it168.com/2007/0427/20070427045101.shtml.

[6] 迅雷支持正版 版權(quán)認領(lǐng)對策[EB/OL].[2008-12-05].xunlei.limxyz.com/copyright.htm.

篇6

1.

本課題所涉及的問題在國內(nèi)(外)的研究現(xiàn)狀綜述

1.1.課題背景簡介

隨著WWW應用領(lǐng)域的不斷拓展,人們已不滿足于只用Web服務器瀏覽和靜態(tài)的信息,人們需要通過它發(fā)表意見、查詢數(shù)據(jù)甚至進行網(wǎng)上購物。原來的靜態(tài)Web頁面已經(jīng)滿足不了用戶對信息服務的動態(tài)性、交互性的要求。這就迫切需要實現(xiàn)Web與數(shù)據(jù)庫的交互。

Web與數(shù)據(jù)庫這兩者結(jié)合意味Web數(shù)據(jù)庫將存儲和管理大量重要數(shù)據(jù),然兒一但它們被盜用或篡改,可能會帶來巨大的政治和經(jīng)濟損失?;趶V域網(wǎng)的Web數(shù)據(jù)庫訪問會帶來很大的安全問題。首先是數(shù)據(jù)庫的非法訪問;另一方面數(shù)據(jù)通過網(wǎng)絡(luò)傳輸,可能被截取、篡改。還有黑客的攻擊可能使系統(tǒng)癱瘓。

在動態(tài)Web不斷發(fā)展的今天,人們對其依賴性也越來越強,但由于其開放性,在設(shè)計時對與信息的保密和系統(tǒng)的安全考慮不完備,及人們對保護數(shù)據(jù)庫的安全意識薄弱,造成現(xiàn)在數(shù)據(jù)庫攻擊與破壞事件層出不窮,給人們的日常生活和經(jīng)濟活動造成了很大麻煩。因此,研究網(wǎng)絡(luò)環(huán)境下的Web數(shù)據(jù)庫系統(tǒng)的安全保障已經(jīng)成為了重要的課題。

1.2.課題發(fā)展現(xiàn)狀

目前Web技術(shù)與數(shù)據(jù)庫管理系統(tǒng)(DBMS)相互融合的研究已成為熱點研究方向之一。但是由于Internet本身并沒有提供任何安全機制,所以Web數(shù)據(jù)庫系統(tǒng)對于外界攻擊的防衛(wèi)能力顯得十分脆弱,以至Web數(shù)據(jù)庫被攻擊事件屢有發(fā)生。

1.2.1.Web數(shù)據(jù)庫系統(tǒng)的產(chǎn)生與發(fā)展

隨著互聯(lián)網(wǎng)Internet的不斷發(fā)展,以及網(wǎng)上信息呈幾何級數(shù)的增加,同時由于傳統(tǒng)的數(shù)據(jù)庫管理系統(tǒng)中的數(shù)據(jù)庫資源不能被Web直接訪問,影響了數(shù)據(jù)庫資源的共享。如何將分布在Internet上的大量信息有效的管理起來,如何使現(xiàn)有的數(shù)據(jù)庫中的信息到Internet上,而且使的信息具有交互性、動態(tài)性和實時性,也就是將Web技術(shù)和數(shù)據(jù)庫技術(shù)想結(jié)合,開發(fā)動態(tài)的Web數(shù)據(jù)庫應用,成為當今Web技術(shù)研究的熱點所在。數(shù)據(jù)庫技術(shù)適于對大量的數(shù)據(jù)進行組織管理,Web技術(shù)擁有較好的信息途徑,這兩種技術(shù)天然的互補性決定其相互融合成為技術(shù)發(fā)展的必然趨勢。

1.2.2.Web數(shù)據(jù)庫應用系統(tǒng)安全威脅分析

為了讓數(shù)據(jù)庫能為處于網(wǎng)絡(luò)上的用戶服務而暴露在網(wǎng)絡(luò)中,網(wǎng)絡(luò)上的任何用戶都可以訪問這個數(shù)據(jù)庫,這種情況下對數(shù)據(jù)庫訪問的控制只能通過用戶控制既用戶名/密碼來進行。任何知道密碼的擁護都可以訪問,這增加了密碼保護管理的難度,同時用戶名/密碼通過Internet傳輸很容易被人竊取。

其次,數(shù)據(jù)應用放讀取的數(shù)據(jù)是通過Web傳輸,而這些數(shù)據(jù)缺乏有效的安全措施保護,從而可能被截取、篡改。

另外,Web數(shù)據(jù)庫中存儲著大量的數(shù)據(jù)信息,往往成為信息系統(tǒng)的關(guān)鍵,這就需要數(shù)據(jù)庫及數(shù)據(jù)庫所在的計算機能夠安全運行。數(shù)據(jù)庫放在Internet中很容易受到黑客的各種攻擊。

隨著網(wǎng)絡(luò)信息系統(tǒng)的應用,數(shù)據(jù)庫遠程訪問的安全問題日益突出。這個問題可采用網(wǎng)絡(luò)傳輸加密,用戶身份認證等安全措施解決。但由于日前的主

審計

數(shù)

用戶

據(jù)

Web數(shù)據(jù)庫服務器

備份

圖1數(shù)據(jù)庫安全模型

流數(shù)據(jù)的網(wǎng)絡(luò)傳輸部分都由數(shù)據(jù)庫廠家來完成,恰恰缺少這些安全措施,因此上述安全技術(shù)在普通的數(shù)據(jù)庫系統(tǒng)中難以直接應用。另外利用操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)提供的安全保護功能是常用的數(shù)據(jù)庫安全解決方案。但是Internet本身并沒有提供任何安全機制,只要Web站點和Internet連通,就可能被任何人訪問。

Web數(shù)據(jù)庫受到的威脅大致包括泄漏、竊取、竄改、冒充、延遲、重傳、遺失、越權(quán)存取數(shù)據(jù)、否認已收送數(shù)據(jù)及侵犯隱私權(quán)等。

1.2.3.數(shù)據(jù)庫安全結(jié)構(gòu)模型

Web數(shù)據(jù)庫安全威脅涉及許多方面,我們認為安全措施應綜合考慮,具體可以采用下列技術(shù)措施:(1)安裝防火墻;(2)身份認證和數(shù)據(jù)完整性認證服務;(3)對機密敏感的數(shù)據(jù)進行加密存儲和傳輸;(4)訪問控制機制;(5)安全審計和監(jiān)視追蹤技術(shù);(6)數(shù)據(jù)庫備份與故障恢復。Web數(shù)據(jù)庫安全模型見圖5。

1.3.文獻綜述

文獻一:竇麗華,蔣慶華,等.基于Web的信息系統(tǒng)安全研究.北京理工大學學報.2002.6,22(3):361-363.

摘要:研究基于Web的信息系統(tǒng)的安全問題及如何充分并合理地利用操作系統(tǒng)、Web服務器和數(shù)據(jù)庫管理系統(tǒng)所提供的安全設(shè)置,以有效地保證信息系統(tǒng)的安全性.利用應用程序所具有的靈活性,可以彌補操作系統(tǒng)、Web服務器和數(shù)據(jù)庫管理系統(tǒng)的安全漏洞,結(jié)合某單位業(yè)務信息系統(tǒng)的案例,分別從操作系統(tǒng)、Web服務器、數(shù)據(jù)庫管理系統(tǒng)、應用程序4個方面對安全問題進行分析,同時給出了建議.

文獻二:曾愛林.基于Web的網(wǎng)絡(luò)數(shù)據(jù)安全體系的建立與完善.湘潭師范學院學報.2004.6,26(2):69-72.

摘要:隨著Web數(shù)據(jù)庫的應用越來越廣泛,Web數(shù)據(jù)庫的安全問題日益突出.本文從介紹幾種流行的Web數(shù)據(jù)庫訪問技術(shù)出發(fā),針對Web數(shù)據(jù)庫的安全問題,建立一個Web數(shù)據(jù)庫安全體系的初步模型,并指出安全問題應以預防為主,應該在構(gòu)建Web數(shù)據(jù)庫服務器時,及時進行漏洞檢測、風險評估,根據(jù)檢測結(jié)果,有意識地加強數(shù)據(jù)庫服務器某方面的防范措施.

文獻三:王惠琴,李明,王燕.基于Web的數(shù)據(jù)庫安全管理技術(shù)與實現(xiàn).2001.4.27

(3):61-67.

摘要:隨著

Internet/Intranet

技術(shù)的發(fā)展和普及,Web數(shù)據(jù)庫已逐步取代基于傳統(tǒng)的

Client/Server

模式的數(shù)據(jù)庫系統(tǒng),因此對于基于Web的數(shù)據(jù)庫安全管理技術(shù)的研究具有實際意義.介紹了目前常用的幾種Web數(shù)據(jù)庫的連接技術(shù),并結(jié)合ASP技術(shù)對如何利用防火墻、身份認證、授權(quán)控制、監(jiān)視跟蹤、存儲過程、審計、備份與故障恢復等技術(shù)來實現(xiàn)數(shù)據(jù)庫的安全管理進行了詳細的闡述.

文獻四:王燕,李明,王惠琴.Web數(shù)據(jù)庫的連接技術(shù)及安全控制.計算機工程與應用.2001.2,P126-128.

摘要:隨著

Internet/Intranet

技術(shù)的發(fā)展和普及,Web

數(shù)據(jù)庫必將逐步取代基于傳統(tǒng)的

Client/Server

模式的數(shù)據(jù)庫系統(tǒng).對于數(shù)據(jù)庫與Web技術(shù)融合的研究具有實際意義.文章就目前常用的幾種Web數(shù)據(jù)庫的連接技術(shù)進行對比分析,并對利用ASP技術(shù)實現(xiàn)Web與數(shù)據(jù)庫的連接和Web數(shù)據(jù)庫系統(tǒng)的安全控制進行了詳細闡述.

文獻五:吳春明,鄭志強.基于Web數(shù)據(jù)庫加密研究.西南農(nóng)業(yè)大學學報.2004.4,26(2):121-126.

摘要:計算機和網(wǎng)絡(luò)技術(shù)的廣泛應用,給信息安全提出了更高的要求,在信息系統(tǒng)開發(fā)設(shè)計過程中,安全性能總是被放在首要的位置,成為信息系統(tǒng)生存的關(guān)鍵.數(shù)據(jù)庫是基于WEB信息系統(tǒng)的核心組成部分,面臨來自外部和內(nèi)部的雙重威脅,對其進行加密處理,是進行數(shù)據(jù)保護的有效手段.文章提出了一種基于JCE的WEB數(shù)據(jù)庫加密模型,并對模型進行了行為分析及安全性分析.

文獻六:帥兵.Web數(shù)據(jù)庫系統(tǒng)開發(fā)技術(shù)研究.安徽機電學院學報.2001.6,16(2):29-32.

摘要:利用Web服務器的信息服務能力和數(shù)據(jù)庫服務器的數(shù)據(jù)管理能力來構(gòu)造信息服務系統(tǒng)已成為人們關(guān)注的熱點,其開發(fā)技術(shù)的關(guān)鍵是數(shù)據(jù)庫網(wǎng)關(guān)的實現(xiàn).介紹了目前采用的傳統(tǒng)Web數(shù)據(jù)庫解決方案中數(shù)據(jù)庫網(wǎng)關(guān)實現(xiàn)幾種技術(shù):CGI、IDC、ASP、JDBC,并分析了其缺點,提出了一種的新的Web數(shù)據(jù)庫解決方案.

文獻七:徐鋒,呂建.Web安全中的信任管理研究與進展.軟件學報.2002.13.(11):2058-2064.

摘要:信任管理是當前

Web

安全研究的熱點.介紹了信任管理思想的出現(xiàn),給出了信任管理的概念和模型,并概述了幾個典型的信任管理系統(tǒng)和信任度評估模型.討論了當前研究存在的問題以及今后的研究方向.

文獻八:韓效鵬,官法明,等.關(guān)于Web數(shù)據(jù)庫安全性問題探討.勝利油田師范??茖W校學報.2004.12.18(4)83-85.

摘要:按照DBMS對數(shù)據(jù)庫安全管理的思想,在基于Windows環(huán)境的Web數(shù)據(jù)庫應用中,安全控制問題主要包括如何有效地對通過頁面訪問的數(shù)據(jù)庫中的數(shù)據(jù)進行保護,實現(xiàn)數(shù)據(jù)庫級別的分權(quán)限訪問等.在實施過程中,可使用用戶身份認證、授權(quán)控制、使用日志監(jiān)視數(shù)據(jù)庫、參數(shù)化存儲過程等安全管理技術(shù)來構(gòu)筑管理信息系統(tǒng)的安全體系.

文獻九:楊成,王恒山,張乾宇.Web數(shù)據(jù)庫在線維護方法研究.

上海理工大學學報.2003.6.27(4):40-43.

摘要:本文討論了結(jié)合互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)的服務器托管形式下對網(wǎng)站W(wǎng)eb數(shù)據(jù)庫在線維護的形式和內(nèi)容.并以上海理工大學管理學院學院網(wǎng)站為例,介紹了如何利用JSP動態(tài)網(wǎng)頁編程語言和JavaBeans來方便、快捷地實現(xiàn)對學院網(wǎng)站W(wǎng)eb數(shù)據(jù)庫在線維護功能.

文獻十:賀紅,徐寶文.Web信息系統(tǒng)的安全隱患與網(wǎng)絡(luò)管理員對策.計算機工程與應用.2005.18,P151-153.

摘要:基于Web的信息系統(tǒng)安全性體系大致分為網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)、Web服務器及應用程序和Web數(shù)據(jù)庫等多個層次,該文分別闡述了造成各層次安全隱患的主要原因,以及從網(wǎng)絡(luò)管理員的角度出發(fā),在各安全層次上消除和減少安全隱患的實用性安全對策.

2.設(shè)計(論文)要解決的問題和擬采用的研究方法(論文框架)

2.1.Web數(shù)據(jù)庫應用系統(tǒng)要解決的問題

2.1.1.用戶身份認證

基于Web的數(shù)據(jù)庫應用系統(tǒng)中包含大量的敏感數(shù)據(jù)和機密數(shù)據(jù),為保證系統(tǒng)數(shù)據(jù)在存儲時和網(wǎng)絡(luò)傳輸時不被未經(jīng)授權(quán)的用戶訪問或解讀,可以利用用戶名來標明用戶身份,經(jīng)系統(tǒng)鑒別用戶的合法性后,再利用口令進一步核實用戶身份。為保證口令的安全性,在口令的提交過程中,可以利用安全套接字協(xié)議(SSL),通過使用公共密鑰和對稱性加密提供非公開通信、身份驗證和消息集成。

2.1.2.授權(quán)控制

經(jīng)身份認證的合法用戶根據(jù)自己的權(quán)限來訪問系統(tǒng),因此用戶的授權(quán)管理機制甚為重要,其嚴密性將直接影響整個系統(tǒng)的安全性。在該安全體系中,可以利用Windows

NT的NTFS和DBMS的用戶角色在不同層次分別對用戶權(quán)限進行限制。

2.1.3.監(jiān)視跟蹤

日志系統(tǒng)具有綜合數(shù)據(jù)記錄功能和自動分類檢索能力。完整的日志不僅要包括用戶的各項操作,而且還要包括網(wǎng)絡(luò)中數(shù)據(jù)接受的正確性、有效性及合法性的檢查結(jié)果,為日后網(wǎng)絡(luò)安全分析提供可靠的依據(jù)。

2.1.4.存儲過程

在基于Web的數(shù)據(jù)庫應用系統(tǒng)中,可通過建立參數(shù)化的存儲過程實現(xiàn)數(shù)據(jù)庫的訪問,這通常是增強Web安全的一個最佳方案。

2.1.5.輸出數(shù)據(jù)HTML編碼

輸出數(shù)據(jù)HTML編碼是指在將任何數(shù)據(jù)返回給用戶前應采用HTML編碼,以防止跨站點的腳本攻擊。因為攻擊一旦破壞了數(shù)據(jù)庫,便可向記錄中輸入腳本,次腳本隨后返回給用戶并在瀏覽器中執(zhí)行。通過HTML編碼,可將大數(shù)腳本命令自動轉(zhuǎn)換為無害文本。

2.1.6.中間件技術(shù)

隨著網(wǎng)絡(luò)數(shù)據(jù)庫朝分布式方向的深入發(fā)展,加上Internet上異構(gòu)數(shù)據(jù)庫的普遍存在,上述單獨的數(shù)據(jù)庫管理系統(tǒng)的安全管理能力越發(fā)顯示出它的局限性。因此需要有在邏輯層次位于DBMS之上能覆蓋具體差異、邏輯功能上能同意管理、同時可與用戶進行交互的中間件部分。

最基本的中間件技術(shù)有通用網(wǎng)關(guān)接口(CGI)、Internet數(shù)據(jù)庫連接器(IDC),Microsoft最近開發(fā)的ActiveXDataObject技術(shù)(ADO),它提供了高效率的ODBC數(shù)據(jù)庫或OLE-DB數(shù)據(jù)庫來源的鏈接功能。

基于數(shù)據(jù)庫訪問數(shù)據(jù)庫的原理如圖1所示。

2.2.研究方法

本課題采用以文獻資料法和比較研究法相結(jié)合,以文章的全面性,系統(tǒng)性,專業(yè)性為目標,讓讀者清楚的知道Web數(shù)據(jù)庫的含義,發(fā)展現(xiàn)狀,以及如何更好的保證Web數(shù)據(jù)庫的安全。

3.本課題需要重點研究的、關(guān)鍵的問題及解決的思路

本課題主要討論Web數(shù)據(jù)庫產(chǎn)生與發(fā)展和存在的安全性問題,重點研究Web數(shù)據(jù)庫保護的具體方法。以縱向且全面的方式分析Web數(shù)據(jù)庫的安全問題。

主要涉及內(nèi)容:

1對身份認證的加密方法

2如何安全地設(shè)置Web和數(shù)據(jù)庫權(quán)限

3如何更好地對CGI應用程序進行編程

Web瀏覽器

Web服務器

中間件

Web數(shù)據(jù)庫

圖2基于中間件技術(shù)訪問數(shù)據(jù)庫

論文研究內(nèi)容確定

安全解決方案的研究

研究工作總結(jié),形成論文

Web數(shù)據(jù)庫安全性分析

文獻檢索

課題調(diào)研

4.完成本課題所必須的工作條件(如工具書、實驗設(shè)備或?qū)嶒灜h(huán)境條件、某類市場調(diào)研、計算機輔助設(shè)計條件等等)及解決的辦法

4.1.具備一定的實驗設(shè)備和實驗條件:

有專業(yè)知識作為基礎(chǔ),有文獻資源豐富的網(wǎng)站,擁有自己的電腦及為實驗提供的機房,并有專業(yè)的老師進行輔導。

4.2.參考文獻:

[1].

許龍飛.基于Web的數(shù)據(jù)庫技術(shù)與應用.現(xiàn)代計算機,2000(2):14-15.

[2].

王國榮,朱琳杰,王偉.Active

Server

Pages&數(shù)據(jù)庫.北京:人民郵電出版社,1999:139-269.

[3].

道焰,朱世挺等.CGI技術(shù)及其安全性研究

[J].計算機系統(tǒng)應用,1997

(12).

[4].

周世雄編.IIS4.0超級網(wǎng)站速成.青島:青島出版社,1999:33-299.

[5].

蔡丹媚利用ASP輕松實現(xiàn)Web的動態(tài)交互訪問.計算機應用研究,1999

(2):62-63.

[6].

Arman

Danesh,Wes

Tatters著,陳卓,張知一等譯.Java

Script

1.1開發(fā)指南.清華大學出版社,1998.

[7].

宵金秀,馮沃輝,盧國旺.中文Dreamweaver3網(wǎng)頁設(shè)計大制作.北京:中國民航出版社,2000.5:117-130.

[8].Palo

Alto.Overview

of

Control

Network.CA

94304.

[9].張國祥.基于Apache的Web安全技術(shù)的應用研究[J].武漢理工大學學報,2004,(3).

[10].Java

2

Platform

[M].Enterprise

Edition

By

Anne

Thomas.

[11].刑春曉,潘泉,張洪才.通用Web數(shù)據(jù)庫系統(tǒng)體系結(jié)構(gòu)研究[J].計算機工程與應用,1999.9:35(9):90-93.

[12].

[美]

Curt

Jang,Jeff

Chow

著,周志英等譯.Web網(wǎng)和INTRANET上的信息出版技術(shù).電子工業(yè)出版社,1997.

[13].Gunnit

S.Khunrana等,Web數(shù)據(jù)庫的建立與管理.機械工業(yè)出版社,1997.

[14].羅明宇,等.計算機網(wǎng)絡(luò)安全技術(shù)[J].計算機科學,2000,(10):55-58.

[15].王英凱.證券交易系統(tǒng)中的數(shù)據(jù)庫安全性[J].蘭州大學學報,35:531-533.

[16].張少敏,王保義.基于Web的MIS中的數(shù)據(jù)庫安全性策略[J].華北電力技術(shù),2002,P45-90.

[17].羅昌隆,李玲娟.基于Web的數(shù)據(jù)庫訪問技術(shù)[J].南京郵電學院學報,2001.7,P30-32.

[18].呂峰,劉曉東等.基于Web的網(wǎng)絡(luò)數(shù)據(jù)庫安全系統(tǒng)研究[J].武漢工業(yè)學院學報,2003.6,P51-54.

[19].程萬軍

張霞

劉積仁.基于擴展客體層次結(jié)構(gòu)的安全數(shù)據(jù)庫策略模型[J].軟件學報,2002.9,P40-42.

[20].李建中.日新月異的數(shù)據(jù)庫研究領(lǐng)域——數(shù)據(jù)庫技術(shù)的回顧與展望[J].黑龍江大學自然科學學報,2002,19(2):43-52.

5.設(shè)計(論文)完成進度計劃

第1—3周:課題調(diào)研、資料收集,完成開題報告

第4—6周:結(jié)合課題開展畢業(yè)實習

第7—11周:實驗研究

第12—13周:完成論文初稿

第14—16周:完成論文終稿并答辯

6.指導教師審閱意見

指導教師(簽字):

7.教研室主任意見

教研室主任(簽字):

系(簽章)

篇7

【 關(guān)鍵詞 】 SQL語言;數(shù)據(jù)庫;數(shù)據(jù)安全

1 前言

作為信息系統(tǒng)建設(shè)過程中的核心部分,數(shù)據(jù)庫不僅是服務于業(yè)務系統(tǒng)的正常運轉(zhuǎn),而且由于數(shù)據(jù)庫是儲存數(shù)據(jù)與信息的載體,所以對于各行各業(yè)的業(yè)務發(fā)展也起到了至關(guān)重要的失去作用。因此無論是小到企業(yè)、單位,大到政府、國家,數(shù)據(jù)庫的安全性保障與控制都勢在必行。一方面,由于數(shù)據(jù)庫需要對外提供數(shù)據(jù)與信息,因此在數(shù)據(jù)進行訪問與存取時需要保障安全性;另一方面,數(shù)據(jù)在存儲與傳輸?shù)倪^程中,可能被篡改或丟失,這一方面也需要保障安全性。因此在數(shù)據(jù)庫的系統(tǒng)的實施過程中,相應的安全措施也成為衡量其優(yōu)良重要的性能指標。

2 SQL語言在數(shù)據(jù)庫安全方面的應用

如圖1所示,數(shù)據(jù)庫的安全控制一般包括幾項內(nèi)容。

身份認證:驗證用戶是否具有連接到SQL Server數(shù)據(jù)庫的資格。

操作權(quán)控制 & 文件操作:驗證用戶是否具備相應的操作對象與操作類型的權(quán)限。

數(shù)據(jù)庫的加密存儲與冗余:即對數(shù)據(jù)庫庫進行加密處理,以及數(shù)據(jù)的備份策略。

1) 身份認證:對于非法用戶的控制。

對于非法進行數(shù)據(jù)連接和訪問的用戶,一般采取的策略即系統(tǒng)保護機制,通過設(shè)置系統(tǒng)賬號和密碼進行主動保護,另一方面,可通過強認證方式,例如通過數(shù)字證書,通過用戶的簽名、指紋、聲音、虹膜等用戶特有的特征來進行用戶的驗證。

2) 操作權(quán)限控制、文件操作:SQL語言對于數(shù)據(jù)庫存取的控制。

SQL標準語言能夠支持數(shù)據(jù)庫的自動存取控制,一般是通過授權(quán)語句 Grant 和收權(quán)語句 Revoke來實現(xiàn)的。

a) 用戶權(quán)限的設(shè)置

在進行用戶權(quán)限設(shè)置時,涉及到兩大內(nèi)容:可操作的數(shù)據(jù)本身及可進行哪些操作,即操作的對象和類型。在對用戶進行制受權(quán)時,就是定義所授權(quán)的用戶可以對哪些數(shù)據(jù)進行何種操作。如表1所示即為用戶權(quán)限設(shè)置的方法。

從表1可見,對于數(shù)據(jù)庫中的表、視圖和列,賦予的可進行的操作有查詢(Select)、插入(Insert)、更新(Update)、刪除(Delete)以及其總和All Privilege。授予TABLE本身的操作權(quán)限有修改和索引。 授予數(shù)據(jù)庫的操作權(quán)限是創(chuàng)建表,而且對這個表空間有使用(存儲)的權(quán)限,并能夠在系統(tǒng)中創(chuàng)建新的數(shù)據(jù)庫。

b) SQL語言中授權(quán)與收權(quán)語句的具體使用方法

授權(quán)語句(Grant),其主要功能是將某個數(shù)據(jù)對象的操作權(quán)限分配給某個用戶。

語法如下:

GRANT 權(quán)限1[,權(quán)限2,…] [on對象類型 對象名稱] TO 用戶1[,用戶2,…]

[WITH GRANT OPTION]

在授權(quán)語句的最后[With Grant Option]選項的功能是設(shè)置允許進行權(quán)限的轉(zhuǎn)移,即被指定的用戶可以將此權(quán)限轉(zhuǎn)交給其它的用戶。

對于數(shù)據(jù)對象的訪問權(quán)限控制,能夠很好的對數(shù)據(jù)庫的使用人員進行控制,分級分組進行管理,有利于保障。以下為授權(quán)請問的使用舉例。

例1:將學生基本表(Students)中的“name”的修改、查詢功能分配給用戶u1。則語句的使用方法為:

GRANT UPDATE(name),SELECT ON TABLE students TO u1。

例2:將表student, score的插入、刪除、修改操作權(quán)限分配給用戶u1和u2。則語句使用方法為:

GRANT ALL PRIVILIGES ON TABLE student,score TO u1,u2。

例3:將表score的查詢功能分配給數(shù)據(jù)庫中的全部用戶。

GRANT SELECT ON TABLE score TO PUBLIC;

例4:將在Mydatabase數(shù)據(jù)庫中建立表的功能分配給u2。

GRANT CREATETAB ON DATABASE mydatabase TO u2。

例5:將Students的查詢功能分配給u3,并允許用戶u3能夠進行權(quán)限的轉(zhuǎn)移。

GRANT SELECT ON TABLE students TO u3 WITH GRANT OPTION。

例6:用戶u3將查詢students表的權(quán)限轉(zhuǎn)移給用戶u4。

GRANT SELECT ON TABLE students TO u4;

收權(quán)語句(Revoke),其主要功能是把已經(jīng)授權(quán)的信息全部撤銷。

語法如下:

REVOKE 權(quán)限1[,權(quán)限2,…] [ON對象類型對象名] FROM 用戶1[,用戶2,…]。

例7:將用戶u1修改student表中列 name的權(quán)限取消。

REVOKE UPDATE (name) ON TABLE students FROM u1。

例8:將用戶u3查詢students表的權(quán)限取消。

REVOKE SELECT ON TABLE students FROM u3。

3) 數(shù)據(jù)加密。

數(shù)據(jù)加密的目的是為了保障數(shù)據(jù)在存儲、傳送過程中的完整性、機密性、可用性。對于如銀行、保險、政府、軍工等行業(yè)的數(shù)據(jù)庫中存儲的數(shù)據(jù),保密級別要求較高,除了嚴格的身份認證與授權(quán)認證方式外,數(shù)據(jù)加密技術(shù)也必不可少。數(shù)據(jù)加密的一般方法即將源數(shù)據(jù)加密為無法直接進行訪問或識別的數(shù)據(jù),即所謂的明文加密為密文,在不知道加密算法的前提下,用戶是無法獲取到真實的數(shù)據(jù)的。主流加密的方法有幾種。

替換法:將源數(shù)據(jù)中的每一個字符逐一轉(zhuǎn)換成為密文。

轉(zhuǎn)換法:對于源數(shù)據(jù)中的字符進行順序調(diào)換。

由于這兩種方法單獨使用時都存在一定的局限性,因此一般會結(jié)合這兩種方式,來提高數(shù)據(jù)的安全性。

3 結(jié)束語

多年來,數(shù)據(jù)庫的安全一直是一個沒有完全解決的問題。一方面是由于數(shù)據(jù)庫系統(tǒng)的日益復雜,在確保其查詢、修改、添加、統(tǒng)計等功能能夠便捷使用的前提下,無法兼顧其安全;另一方面由于數(shù)據(jù)庫能夠給管理員最大的權(quán)限,因此對于人為的數(shù)據(jù)泄漏沒有很好的解決方法,對于其安全性也帶來了極大的挑戰(zhàn)。本文通過對于SQL語言在數(shù)據(jù)庫安全方面的應用,細化其權(quán)限分配,以期能夠盡量地避免某一個用戶占用數(shù)據(jù)庫的大部分權(quán)限,減少數(shù)據(jù)庫的安全風險。同時通過強身份認證與相應的加密手段,加強數(shù)據(jù)的保護。

參考文獻

[1] [美]Robert Sheldon 著,黃開枝等譯.SQL 實用教程[M].北京:清華大學出版社,2004(34-50).

[2] [美]Alex Kriegel、Boris M.Tnukhnov著, 陳冰等譯.SQL寶典[M].北京:電子工業(yè)出版社,2003(19-30).

[3] 張勇.高安全的數(shù)據(jù)庫管理系統(tǒng)保護技術(shù)研究[D].華中科技大學博士學位論文, 2003.

[4] 程萬暈.多級安全數(shù)據(jù)庫管理系統(tǒng)的研究與實現(xiàn)[D].東北大學博士學位論文, 2003.

[5] 彭湃,戴一奇,李武軍.網(wǎng)絡(luò)密文數(shù)據(jù)庫的設(shè)計[J].清華大學學報(自然科學版),2001(1), 92-95.

作者簡介:

篇8

    在企業(yè)的管理信息系統(tǒng)中有眾多的企業(yè)文件在流轉(zhuǎn),其中肯定有重要性文件,有的甚至涉及到企業(yè)的發(fā)展前途,如果這些信息在通用過網(wǎng)絡(luò)傳送時被競爭對手或不法分子竊聽、泄密、篡改或偽造,將會嚴重威脅企業(yè)的發(fā)展,所以,中小企業(yè)電子信息安全技術(shù)的研究具有重要意義。

    一、中小企業(yè)的信息化建設(shè)意義

    在這個網(wǎng)絡(luò)信息時代,企業(yè)的信息化進程不斷發(fā)展,信息成了企業(yè)成敗的關(guān)鍵,也是管理水平提高的重要途徑。如今企業(yè)的商務活動,基本上都采用電子商務的形式進行,企業(yè)的生產(chǎn)運作、運輸和銷售各個方面都運用到了信息化技術(shù)。如通過網(wǎng)絡(luò)收集一些關(guān)于原材料的質(zhì)量,價格,出產(chǎn)地等信息來建立一個原材料信息系統(tǒng),這個信息系統(tǒng)對原材料的采購有很大的作用。通過對數(shù)據(jù)的分析,可以得到跟多的采購建議和對策,實現(xiàn)企業(yè)電子信息化水準。有關(guān)調(diào)查顯示,百分之八十二的中小企業(yè)對網(wǎng)站的應還處于宣傳企業(yè)形象,產(chǎn)品和服務信息,收集客戶資料這一階段,而電子商務這樣關(guān)系到交易的應用還不到四分之一,這說明企業(yè)還未充分開發(fā)和利用商業(yè)渠道信息。中小企業(yè)信息化時代已經(jīng)到來,企業(yè)應該加快信息化的建設(shè)。

    二、電子信息安全技術(shù)闡述

    1、電子信息中的加密技術(shù)

    加密技術(shù)能夠使數(shù)據(jù)的傳送更為安全和完整,加密技術(shù)分為對稱和非對稱加密兩種。其中對稱加密通常通過序列密碼或者分組機密來實現(xiàn),包括明文、密鑰、加密算法以及解密算法等五個基本組成成分。非對稱加密與對稱加密有所不同,非對稱加密需要公開密鑰和私有密鑰兩個密鑰,公開密鑰和私有密鑰必須配對使用,用公開密鑰進行的加密,只有其對應的私有密匙才能解密。用私有密鑰進行的加密,也只有用其相應的公開密鑰才能解密。

    加密技術(shù)對傳送的電子信息能夠起到保密的作用。在發(fā)送電子信息時,發(fā)送人用加密密鑰或算法對所發(fā)的信息加密后將其發(fā)出,如果在傳輸過程中有人竊取信息,他只能得到密文,密文是無法理解的。接受著可以利用解密密鑰將密文解密,恢復成明文。

    2、防火墻技術(shù)

    隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,一些郵件炸彈,病毒木馬和網(wǎng)上黑客等對網(wǎng)絡(luò)的安全也造成了很大的威脅。企業(yè)的信息化使其網(wǎng)絡(luò)也遭到同樣的威脅,企業(yè)電子信息的安全也難以得到保證。針對網(wǎng)絡(luò)不安全這種狀況,最初采取的一種保護措施就是防火墻。在我們的個人電腦中防火墻也起到了很大的作用,它可以阻止非黑客的入侵,電腦信息的篡改等。

    3、認證技術(shù)

    消息認證和身份認證是認證技術(shù)的兩種形式,消息認證主要用于確保信息的完整性和抗否認性,用戶通過消息認證來確認信息的真假和是否被第三方修改或偽造。身份認證使用與鑒別用戶的身份的,包括識別和驗證兩個步驟。明確和區(qū)分訪問者身份是識別,確認訪問者身份叫驗證。用戶在訪問一些非公開的資源時必須通過身份認證。比如訪問高校的查分系統(tǒng)時,必須要經(jīng)過學號和密碼的驗證才能訪問。高校圖書館的一些資源要校園網(wǎng)才能進行訪問,非校園網(wǎng)的不能進入,除非付費申請一個合格的訪問身份。

    三、中小企業(yè)中電子信息的主要安全要素

    1、信息的機密性

    在今天這個網(wǎng)絡(luò)時代,信息的機密性工作似乎變得不那么容易了,但信息直接代表著企業(yè)的商業(yè)機密,如何保護企業(yè)信息不被竊取,篡改,濫用以及破壞,如何利用互聯(lián)網(wǎng)進行信息傳遞又能確保信息安全性已成為各中小企業(yè)必須解決的重要問題。

    2、信息的有效性

    隨著電子信息技術(shù)的發(fā)展,各中小企業(yè)都利用電子形式進行信息傳遞,信息的有效性直接關(guān)系的企業(yè)的經(jīng)濟利益,也是個企業(yè)貿(mào)易順利進行的前提條件。所以要排除各種網(wǎng)絡(luò)故障、硬件故障,對這些網(wǎng)絡(luò)故障帶來的潛在威脅加以控制和預防,從而確保傳遞信息的有效性。

    3、信息的完整性

    企業(yè)交易各方的經(jīng)營策略嚴重受到交易方的信息的完整性影響,所以保持交易各方的信息的完整性是非常重要對交易各方都是非常重要的。在對信息的處理過程中要預防對信息的隨意生成、修改,在傳送過程中要防止信息的丟失,保持信息的完整性是企業(yè)之間進行交易的基礎(chǔ)。

    四、解決中小企業(yè)中電子信息安全問題的策略

    1、構(gòu)建中小企業(yè)電子信息安全管理體制

    解決信息安全問題除了使用安全技術(shù)以外,還應該建立一套完善的電子信息安全管理制度,以確保信息安全管理的順利進行。在一般中小企業(yè)中,最初建立的相關(guān)信息管理制度在很大程度上制約著一個信息系統(tǒng)的安全。如果安全管理制度出了問題,那么圍繞著這一制度來選擇和使用安全管理技術(shù)及手段將無法正常進行,信息的安全性就得不到保證。完善,嚴格的電子信息安全管理制度對信息系統(tǒng)的安全影響很大。在企業(yè)信息系統(tǒng)中,如果沒有嚴格完善的信息安全管理制度,電子信息安全技術(shù)和相關(guān)的安全工具是不可能發(fā)揮應有的作用的。

    2、利用企業(yè)的網(wǎng)絡(luò)條件來提供信息安全服務

    很多企業(yè)的多個二級單位都在系統(tǒng)內(nèi)通過廣域網(wǎng)被聯(lián)通, 局域網(wǎng)在各單位都全部建成,企業(yè)應該利用這種良好的網(wǎng)絡(luò)條件來為企業(yè)提供良好的信息安全服務。通過企業(yè)這一網(wǎng)絡(luò)平臺技術(shù)標準,安全公告和安全法規(guī),提供信息安全軟件下載,安全設(shè)備選型,提供在線信息安全教育和培訓,同時為企業(yè)員工提供一個交流經(jīng)驗的場所。

    3、定期對安全防護軟件系統(tǒng)進行評估、改進

    隨著企業(yè)的發(fā)展,企業(yè)的信息化應用和信息技術(shù)也不斷發(fā)展,人們對信息安全問題的認識是隨著技術(shù)的發(fā)展而不斷提高的,在電子信息安全問題不斷被發(fā)現(xiàn)的同時,解決信息安全問題的安全防護軟件系統(tǒng)也應該不斷的改進,定期對系統(tǒng)進行評估。

    總之,各中小企業(yè)電子星系安全技術(shù)包含著技術(shù)和管理,以及制度等因素,隨著信息技術(shù)的不斷發(fā)展,不僅中小企業(yè)辦公室逐漸趨向辦公自動化,而且還確保了企業(yè)電子信息安全。

    參考文獻:

    [1]溫正衛(wèi);信息安全技術(shù)在電子政務系統(tǒng)中的應用[J];軟件導刊,2010

    [2]閆兵;企業(yè)信息安全概述及防范[J];科學咨訊,2010

篇9

論文摘要:隨著計算機網(wǎng)絡(luò)技術(shù)的越加廣泛的應用,人們無論是從日常的生活起居還是工作娛樂無處不充斥著計算機的影子,更重要的是計算機網(wǎng)絡(luò)已經(jīng)成為人們進行管理、交易的不可或缺的橋梁,但是與此同時對于計算機網(wǎng)絡(luò)應用的安全性方面的要求也越來越高。該文從當前計算機發(fā)展所存在的威脅入手,論述了計算機網(wǎng)絡(luò)安全認證體系的發(fā)展與完善以及其具有的功能,以達到計算機網(wǎng)絡(luò)能夠更好地為人們服務的目的。

1 計算機網(wǎng)絡(luò)發(fā)展存在的威脅

目前計算機網(wǎng)絡(luò)的現(xiàn)狀是面臨著多方面的攻擊與威脅。第一種威脅的表現(xiàn)形式為偽裝,指的就是威脅源在特定時刻裝扮成另一個實體的形式,并借助這個實體的權(quán)利進行操控;第二種威脅的表現(xiàn)形式為非法連接,指的是威脅源利用非法的手段建立一個合法的身份, 再通過將網(wǎng)絡(luò)實體與網(wǎng)絡(luò)源兩者之間建立非法的連接一達到最終的目的;第三種威脅的表現(xiàn)形式為非法授權(quán)訪問,指的就是威脅源采用一定的手段破壞訪問并控制服務,最終實現(xiàn)了越權(quán)訪問;第四種威脅的表現(xiàn)形式為拒絕服務,指的是通過一定手段的利用阻止合法的網(wǎng)絡(luò)用戶或者擁有其他合法權(quán)限的用戶使用某項服務;第五種威脅的表現(xiàn)形式為信息泄露,指的是沒有經(jīng)過授權(quán)的實體通過某種特定手段獲取到信息后造成的某些信息的泄露;最后一種威脅的表現(xiàn)形式為無效的信息流,即為對正確的信息序列進行非法修改、刪除的操作,使之成為無效信息的非法手段。上述種種威脅的形成原因大多數(shù)是人為造成的, 威脅源可以來自于用戶,也可以來自于部分程序,也可以來自于某些潛在的威脅等。所以加強對于計算機網(wǎng)絡(luò)安全的管理和研究的目的就是最大限度地消除這些威脅。

2 計算機網(wǎng)絡(luò)安全認證體系的完善

首先表現(xiàn)為安全服務系統(tǒng)的建立。

第一,身份認證。身份認證作為訪問控制的基礎(chǔ),是解決主動攻擊威脅的重要防御措施之一。因為驗證身份的方式一般采用網(wǎng)絡(luò)進行的模式而不是直接參與,而且常規(guī)驗證身份的方式在網(wǎng)絡(luò)上也不是十分地適用,同時大量的黑客還會隨時隨地以冒名頂替的身份向網(wǎng)絡(luò)滲透, 所以網(wǎng)絡(luò)環(huán)境下的身份認證特別復雜,而“身份認證如果想要做到準確無誤地對來訪者進行辨別, 同時還必須提供雙向的認證”1,必須采用高強度的密碼技術(shù)來進行身份認證的建立與完善。

第二,訪問控制。進行訪問控制是為了達到控制不同的用戶對信息資源的訪問權(quán)限的目的,實質(zhì)上是針對越權(quán)使用資源的一種防御措施。而訪問控制的種類亦可從方式上分為自主式訪問控制和強制式訪問控制兩類。實現(xiàn)的機制可以是通過對訪問屬性控制的訪問控制表的控制, 也可以是根據(jù)安全標簽、用戶分類以及資源分檔等三類控制實現(xiàn)的多級控制。

第三,數(shù)據(jù)保密。數(shù)據(jù)保密是為了防止信息泄露所采取的防御措施。數(shù)據(jù)加密是最為常見的確保通信安全的手段, 但是隨著計算機網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展,傳統(tǒng)的加密方法不斷地被用戶以及黑客們破譯,所以不得不加強對更高強度的加密算法的研究, 以實現(xiàn)最終的數(shù)據(jù)保密的目的。

第四,數(shù)據(jù)完整性。所謂的數(shù)據(jù)完整性是針對那些非法篡改信息、文件及業(yè)務流等威脅而采取的較為有效的防范措施。實質(zhì)上就是保護網(wǎng)上所傳輸?shù)臄?shù)據(jù)防以免其被修改、替換、刪除、插入或重發(fā), 從而全面保護合法用戶在接收和使用該數(shù)據(jù)時的真實性與完整性。

其次表現(xiàn)為安全機制的發(fā)展與完善

在經(jīng)過了對于計算機網(wǎng)絡(luò)的安全認證提的創(chuàng)建之后,完善與健全與安全服務有關(guān)的安全機制也是必不可少的。第一方面是安全服務方面的安全機制的發(fā)展,具體表現(xiàn)為加密機機制、認證交換機制、數(shù)字簽名機制、數(shù)據(jù)完整性機制、訪問控制機制、路由控制機制等多個方面;第二方面是對于與管理有關(guān)的安全機制的健全,主要包含有安全審核機制、安全標記機制以及安全恢復機制等三個方面。

1989年,為了實現(xiàn)開放系統(tǒng)的互聯(lián)網(wǎng)環(huán)境下對于信息安全的要求, 國際標準化組織ISO/TC97的技術(shù)委員會專門制訂了對于計算機網(wǎng)絡(luò)安全與管理ISO7498- 2的國際標準。這一標準的建立不僅實現(xiàn)了對于OSI參考模型之間的安全通信所必須的安全服務和安全機制的開建,同時也建立了“開放系統(tǒng)互聯(lián)標準的安全體系結(jié)構(gòu)框架”2, 為網(wǎng)絡(luò)安全與管理的系統(tǒng)研究奠定了堅實的基礎(chǔ)。同時也開創(chuàng)了網(wǎng)絡(luò)安全的保證需要進行認證的先河。 轉(zhuǎn)貼于

3 計算機網(wǎng)絡(luò)當前的管理功能

針對計算機網(wǎng)絡(luò)的管理一共可分為兩類:第一類指的是計算機網(wǎng)絡(luò)應用的程序、用戶帳號以及存取權(quán)限的管理, 屬性上歸類為與軟件有關(guān)的計算機網(wǎng)絡(luò)管理問題;第二類指的是針對組成計算機網(wǎng)絡(luò)的硬件方面的管理,主要包括有對工作站、路由器、網(wǎng)卡、服務器、網(wǎng)橋和集線器等多方面、多角度的管理。在應用計算機網(wǎng)絡(luò)進行管理時需要遵循以下原則: 一是不能因為管理信息而帶來的通信量增加而增加網(wǎng)絡(luò)的通信量;而是注意不應增加被管理設(shè)備上的協(xié)議進行系統(tǒng)處理時的額外開銷, 從而導致削弱設(shè)備的主要功能的現(xiàn)象發(fā)生。而當前的計算機網(wǎng)絡(luò)管理的功能主要表現(xiàn)為以下幾個方面:

1) 對于故障的管理。故障管理指的是對網(wǎng)絡(luò)中出現(xiàn)的問題或者故障進行檢測、隔離和糾正的過程。通過對故障管理技術(shù)的使用,可以使得網(wǎng)絡(luò)管理者在最快的時間內(nèi)確定問題和故障點,以達到最終排除問題故障的目的。而故障管理的過程主要包括發(fā)現(xiàn)問題、分離問題、找出故障的原因三個方面,所以,想要保證計算機網(wǎng)絡(luò)管理的安全,應該在盡可能地情況下,盡量地保證故障的排除。

2) 配置管理。配置管理是在進行計算機網(wǎng)絡(luò)管理的過程中發(fā)現(xiàn)并進行設(shè)置網(wǎng)絡(luò)設(shè)備的過程。配置管理的主要功能指的是通過快速提供設(shè)備的配置數(shù)據(jù)從而實現(xiàn)快速的訪問的目的,同時在一定程度上行加強管理人員對于網(wǎng)絡(luò)的整體制, 可以采用正在使用中的配置數(shù)據(jù)與存儲于系統(tǒng)中的數(shù)據(jù)相比較的方式發(fā)現(xiàn)問題,進而根據(jù)需要盡可能地修改配置。對于計算機網(wǎng)絡(luò)的配置管理主要包括有獲取關(guān)于目前網(wǎng)絡(luò)配置的信息,提供遠程修改設(shè)備配置的手段和存儲數(shù)據(jù)以及維護最新的設(shè)備清單并據(jù)此產(chǎn)生報告等三方面的內(nèi)容。

3) 安全管理。安全管理指的是對于計算機網(wǎng)絡(luò)中的信息的訪問過程進行控制的一種管理模式?!肮δ苤饕瑸橹С稚矸蓁b別和規(guī)定身份鑒別過程的兩個方面。”3隨著計算機網(wǎng)絡(luò)的規(guī)模越來越龐大,其復雜程度和精細程度也越來越高,為了保證計算機網(wǎng)絡(luò)功能的良好運行, 確保其提供給客戶滿意的服務,亟須使用計算機網(wǎng)絡(luò)管理系統(tǒng)進行全方位自動化的管理。計算機網(wǎng)絡(luò)的管理系統(tǒng)通過對管理、監(jiān)視和控制計算機網(wǎng)絡(luò)三方面的功能的控制, 即實現(xiàn)了對計算機網(wǎng)絡(luò)進行管理的目的,所以說計算機網(wǎng)絡(luò)管理系統(tǒng)的應用對于計算機網(wǎng)絡(luò)功能的正常運行及發(fā)揮具有極其重要的決定作用。

4 結(jié)束語

據(jù)資料顯示:目前有55% 的企業(yè)網(wǎng)站缺乏安全戰(zhàn)略的考慮,僅僅依靠一些簡單的措施來進行防護,這樣的做法既無法實現(xiàn)對網(wǎng)絡(luò)安全的保障, 同時又會對網(wǎng)絡(luò)的服務性能產(chǎn)生一定的影響。所以應加大發(fā)展計算機網(wǎng)絡(luò)安全與管理的投入力度。只有從根本上加強了網(wǎng)絡(luò)與信息安全管理的意識, 同時不斷地改進和發(fā)展網(wǎng)絡(luò)安全的保密技術(shù), 才能防患于未然,減少不必要的損失。

參考文獻

[1] 趙怡.基于視頻技術(shù)的交通管理系統(tǒng)的研究與設(shè)計[D].復旦大學,2009.

[2] 李凌.民航機場安檢信息管理系統(tǒng)開發(fā)與實施[D].西南交通大學,2009.

[3] 王健.計算機網(wǎng)絡(luò)的安全技術(shù)[J].寧夏機械,2009(4).

[4] 宋華平.計算機網(wǎng)絡(luò)安全與防范[J].機電信息,2010(12).

[5] 劉君.計算機網(wǎng)絡(luò)安全分析及其對策[J].科技風,2010(9).

[6] 倪汝鷹.企業(yè)網(wǎng)絡(luò)安全管理維護之探析[J].現(xiàn)代企業(yè)教育,2010(10).

篇10

【論文關(guān)鍵詞】soa web服務 數(shù)字教育資源 一站式 協(xié)同 

【論文摘 要】充分利用網(wǎng)絡(luò)共享優(yōu)質(zhì)教育資源,是當前教育數(shù)字化深入發(fā)展需要解決的關(guān)鍵問題之一。本文對分布式數(shù)字教育資源協(xié)同的需求進行了分析,提出了soa環(huán)境下數(shù)字教育資源協(xié)同共享框架模型(mersca),論述了系統(tǒng)的主要架構(gòu)和關(guān)鍵技術(shù)實現(xiàn)。希望在對現(xiàn)有各資源站點改動最小的基礎(chǔ)上解決資源的共享和增值應用問題,創(chuàng)新數(shù)字教育資源公共服務模式,提高資源的利用效率。 

 

一、引言 

數(shù)字教育通過實現(xiàn)教育從環(huán)境、資源到應用的數(shù)字化,使現(xiàn)實校園環(huán)境憑借信息系統(tǒng)在時間和空間上得到延伸[1]。soa(service oriented architecture,面向服務架構(gòu))是為解決分布式互聯(lián)網(wǎng)環(huán)境下的資源共享和重用而提出的一種新型軟件系統(tǒng)架構(gòu),它允許不同系統(tǒng)能夠進行無縫通信和異構(gòu)資源共享。 

傳統(tǒng)的網(wǎng)絡(luò)教育資源使用模式降低了遠程教育系統(tǒng)中的資源通用性能力,造成了大量資源浪費。建設(shè)開放共享的數(shù)字教育公共服務體系是國家實施現(xiàn)代遠程教育工程的核心組成部分,也是《國家中長期科學和技術(shù)發(fā)展規(guī)劃綱要(2006-2020年)》的重要主題[2]。soa(面向服務架構(gòu))為數(shù)字教育服務體系建設(shè)提供了最佳支持,為構(gòu)建開放的數(shù)字教育公共服務支撐平臺,建立新型的面向數(shù)字教育的公共服務機制,國家支持實施了“數(shù)字化學習港與終身學習社會的建設(shè)與示范”、“數(shù)字教育公共服務示范工程”等多項重大項目,目前已經(jīng)初步建立了“奧鵬”、“弘成”和“知金”三個覆蓋全國的網(wǎng)絡(luò)教育公共服務體系[3]。 

在分布式教育資源服務的集成應用中,信息的交互、共享和數(shù)據(jù)的安全訪問是關(guān)鍵內(nèi)容[4]。設(shè)計一個全局的資源協(xié)同和訪問框架來屏蔽資源平臺差異,實現(xiàn)分布式資源的共享,以支持優(yōu)質(zhì)教育資源增值應用,構(gòu)建開放和便捷的資源整合服務,成為soa環(huán)境下教育資源數(shù)字化建設(shè)需要解決的首要問題。 

本文在對分布式環(huán)境下數(shù)字教育資源協(xié)同的需求進行分析的基礎(chǔ)上,設(shè)計了soa環(huán)境下數(shù)字教育資源協(xié)同共享框架模型(mersca, model of e-learning resources sharing andcoordination architecture),然后從協(xié)同數(shù)字教育資源一站式訪問和數(shù)字教育資源服務基于序關(guān)系的協(xié)同兩個方面討論了mersca實現(xiàn)的關(guān)鍵技術(shù)。實踐研究表明,mersca模型是分布式數(shù)字教育資源協(xié)同共享系統(tǒng)建構(gòu)中一種可行和實用的方案。 

二、分布式數(shù)字教育資源協(xié)同需求分析 

數(shù)字教育要達到的重要目標是信息共享和應用集成,需要經(jīng)過一個長期的建設(shè)和完善過程[5],涵蓋資源建設(shè)、資源集成、知識處理、平臺接入和運行、質(zhì)量監(jiān)控和資源評價等多個方面,所以在建設(shè)之初就應融入基于全局觀點、具有可擴展性和新技術(shù)兼容等多個方面的考量。 

soa環(huán)境下數(shù)字教育資源協(xié)同共享框架及實現(xiàn)涉及資源協(xié)同的可擴展性、資源訪問的便捷性、用戶身份的管理以及認證、授權(quán)、加密等多項技術(shù),框架的整體設(shè)計應滿足以下目標: 

(1)靈活性 

數(shù)字教育服務架構(gòu)通過通用性的服務接口調(diào)用來實現(xiàn)資源的跨域整合,個體原子服務獨立于實現(xiàn)平臺,具有松耦合、可擴展等特點,它們往往在不同時期由不同廠商開發(fā),設(shè)計方法和開發(fā)技術(shù)也有所不同,各自擁有獨立的用戶認證體系,也因此導致了目前各個系統(tǒng)的用戶數(shù)據(jù)分散,不能統(tǒng)一管理,難以共享數(shù)據(jù)的現(xiàn)狀[6]。數(shù)字教育資源一站式協(xié)同架構(gòu)需要從整體上靈活地鑒別用戶,為這些多類型的安全服務提供基于整體訪問的跨域安全集成,提供統(tǒng)一訪問入口,從而提高優(yōu)質(zhì)資源整合的敏捷性。 

(2)信任遷移 

面向服務的思想使得資源應用逐漸趨向于分布式和相互合作的形式,用戶的身份和授權(quán)也不再局限于某一特定的信任域。當資源來源于多個安全域,為保證資源交互活動安全,每次訪問都需要對用戶進行身份和權(quán)限準入確認,降低了資源使用效率[7]。因此需要一種信任遷移機制,能夠提供一個整體的、運行時身份驗證盡可能少的安全信息共享方案。資源訪問主體只需要在某個安全域中進行一次身份認證,就可以訪問其被授權(quán)的當前安全域其他資源或被當前安全域信任的其他域中的資源,不必通過多次身份驗證操作來獲得授權(quán)。 

(3)可伸縮 

模型應當能夠提供開放式體系結(jié)構(gòu),實現(xiàn)可擴展的安全訪問機制,框架應當將信息系統(tǒng)所面對的教育企業(yè)或機構(gòu)從整體應用的角度統(tǒng)一對待,保持通過增加資源使服務價值產(chǎn)生線性增長的能力。當有新的應用需要部署或增加時,不需要對應用程序本身進行大量修改,通過考量安全方案規(guī)劃技術(shù)發(fā)展因素,使新的安全技術(shù)和規(guī)范可以很方便地融入[8]。 

三、數(shù)字教育資源一站式協(xié)同 

架構(gòu)模型(mersca) 

soa環(huán)境下數(shù)字教育資源協(xié)同共享框架模型結(jié)構(gòu)如圖1所示。mersca采用層次結(jié)構(gòu)建模方法,從數(shù)字教育資源服務中協(xié)同資源一站式訪問與基于序關(guān)系的動態(tài)協(xié)同兩個核心技術(shù)構(gòu)建資源的安全整合,把握用戶對于教學設(shè)計邏輯和資源訪問等個性化需求,在進行異構(gòu)數(shù)字教育資源協(xié)同架構(gòu)規(guī)劃中兼顧目前和未來的發(fā)展。mersca模型從下至上分為資源管理層、通信層、資源組合層、資源協(xié)同層和應用層。 

(1)資源管理層 

我國教育數(shù)字化建設(shè)中的一個重要組成部分就是網(wǎng)絡(luò)教育資源開發(fā)。為促進網(wǎng)絡(luò)教育資源建設(shè),國家投入了大量的人力、物力和財力,目前已經(jīng)建立起了媒體素材、在線題庫、網(wǎng)絡(luò)課件、網(wǎng)上教學案例、網(wǎng)絡(luò)課程等多種類型的數(shù)字教育資源[9]。 

在mersca中,資源管理層從分布式的優(yōu)質(zhì)教育資源中提取類型資源共性,參照已定義好的統(tǒng)一接口標準,將資源屬性對應于標準屬性用xml格式字符串描述出來,形成統(tǒng)一的資源描述規(guī)范和服務接口。同時通過wsdl協(xié)議描述數(shù)字教育資源的服務,實現(xiàn)標準的接口綁定和異構(gòu)資源的服務封裝,并進行注冊和功能分類的集中管理,在對現(xiàn)有各資源站點改動最小的基礎(chǔ)上解決資源的共享和增值應用問題。資源管理層為通信層和資源服務組合層提供了資源的預處理功能,通過服務接口對外提供教育資源服務。 

(2)通信層 

通信層使用基于xml的soap協(xié)議(simple object access protocol,簡單對象訪問協(xié)議)對教育資源交互信息進行描述。應用程序之間基于soap進行相互溝通時,不需要知道彼此是在哪一種操作平臺上操作或是各自如何實現(xiàn)等細節(jié)信息。soap代表了一套資源如何呈現(xiàn)與延伸的共享規(guī)則,它是一個獨立的信息,可以獨自運作在不同的操作系統(tǒng)上面,并可以使用各種不同的通訊方式來傳輸,例如smtp、mime,或是http等。 

無論基于.net技術(shù)開發(fā)的教育資源系統(tǒng),還是應用java技術(shù)開發(fā)的教育資源系統(tǒng),通過soap協(xié)議,系統(tǒng)之間能夠相互進行溝通和資源共享,資源系統(tǒng)之間的平臺架構(gòu)和實現(xiàn)細節(jié)是彼此透明的。 

(3)教育資源服務組合層 

資源組合層基于bpel4ws業(yè)務流,在web服務組合引擎所提供的質(zhì)量控制、消息路由、信息管理、事務管理和流程管理等功能的支持下進行資源服務集成。通過可視化編排方式,資源組合層將不同的教育資源原子服務依據(jù)教學設(shè)計者設(shè)定的邏輯組合在一起,屏蔽底層信息基礎(chǔ)設(shè)施的變遷,合理地安排這些服務的運行順序,以形成大粒度的、具有內(nèi)部流程邏輯的教育資源整合,充分發(fā)揮優(yōu)質(zhì)教育資源服務的潛力,形成“1+1>2”的服務資源集成增值效果。 

bpel4ws基于xml schema、xpath及xslt等規(guī)范,提供了一套標準化語法對業(yè)務流程所綁定的web服務交互特性及控制邏輯進行描述。通過對業(yè)務流程中教育服務資源的交互行為建模,bpel4ws以可視化和有序的方式協(xié)調(diào)它們之間的交互活動達成教育資源服務的組合應用目標。 

(4)教育資源協(xié)同層 

異構(gòu)數(shù)字教育資源服務的協(xié)同應用過程涉及處于不同計算域下的多個資源提供者,當用戶訪問分布式的多域數(shù)字教育資源時,就會涉及安全邊界跨越問題,需要登陸不同系統(tǒng),接受多次安全身份驗證,安全與訪問效率都無法得到保證。 

安全聲明標記語言saml是信息標準化促進組織(oasis)為產(chǎn)生和交換使用者認證而制定的一項標準規(guī)范,它基于xml架構(gòu)在不同的在線應用場景中決定請求者、請求內(nèi)容以及是否有授權(quán)提出需求等,同時為交易的雙方提供交換授權(quán)和確認的機制,達到可轉(zhuǎn)移的信任。安全協(xié)同層基于saml實現(xiàn)用戶在多個資源提供者之間身份和安全信息的遷移,通過數(shù)字加密和簽名技術(shù)保證系統(tǒng)消息之間的保密性。用戶只需在網(wǎng)絡(luò)中主動地進行一次身份認證登陸,不需再次登陸就能夠在達成信任關(guān)系的成員單位之間無縫地訪問授權(quán)資源。資源安全協(xié)同層所采用的一站式訪問形式減少了認證次數(shù),同時也降低了用戶訪問資源時的時間成本。 

(5)應用層 

應用層是系統(tǒng)功能和使用者交互的接口,提供安全管理入口、資源展示、資源新聞、知識宣傳等功能。e-learning學習信息門戶是應用層信息資源集成界面與終端使用者之間進行信息交互的橋梁,它通過一站式服務為學習者提供分布式數(shù)字教育資源集成服務中的核心業(yè)務。學習者通過信息門戶模塊進入學習環(huán)境,依據(jù)自身的需要和意愿選擇合適的學習資源,來完成通過多個安全域中的分布式資源整合而形成的系列課程學習。 

四、mersca模型的關(guān)鍵技術(shù)實現(xiàn) 

依托國家“十一五”科技支撐計劃課題“數(shù)字教育公共服務示范工程”,mersca模型已在實踐應用環(huán)境中得到成功實施。mersca通過分布式的數(shù)字教育資源服務整合來凝聚分布于網(wǎng)絡(luò)中的各種教育資源,實現(xiàn)了教育資源的共享和協(xié)同,并提供安全方便的資源訪問模式。mersca的成功實施依賴于協(xié)同數(shù)字教育資源一站式訪問和資源服務基于序關(guān)系的協(xié)同兩個關(guān)鍵技術(shù)。 

 

1.協(xié)同教育資源的一站式訪問 

協(xié)同資源一站式訪問技術(shù)通過使用saml安全信牌確??梢浦驳男湃芜w移,在分布式的教育資源提供者之間共享用戶身份驗證信息和授權(quán)信息,同時又保證資源提供者對資源的控制權(quán)。saml安全信牌由身份認證權(quán)威生成,它的生命周期也由身份認證權(quán)威來管理。完整的一站式訪問安全認證實現(xiàn)過程如圖2所示,主要由六個步驟組成: 

(1)學習者向身份認證權(quán)威的soap安全agent提交身份驗證信息,請求確認身份的合法性; 

(2)在確認學習者身份為合法后,身份認證權(quán)威為學習者創(chuàng)建含有saml合法性判決標識文件的安全信牌,并將該信牌返回給學習者; 

(3)學習者在教學設(shè)計業(yè)務流程邏輯的引導下,通過點擊目標資源地址的url來試圖訪問某個協(xié)同學習資源,同時將合法性標識文件作為url的一部分發(fā)送給資源站點,然后被重新定向到資源提供者; 

(4)學習資源提供者的soap安全agent收到步驟(3)傳遞來的信息,從合法性標識文件中解析出身份認證權(quán)威的地址信息,然后向身份認證權(quán)威的soap安全agent發(fā)送包含合法性標識文件的saml請求; 

(5)身份認證權(quán)威的soap安全agent收到saml請求后,從請求中包含的合法性引用信息找到相關(guān)認證,然后將認證信息封裝在soap包中,以saml響應方式傳送給資源提供者; 

(6)資源提供者的soap安全agent檢查學習者安全信牌信息,如果檢查成功則將學習者重新定向到數(shù)字學習資源所在的url,并將所需資源發(fā)送到學習者瀏覽器,否則將拒絕用戶訪問。 

在步驟(2)~(6)中,由于在重定位url后附有與學習者認證相關(guān)的安全信息,可采用簽名和加密的方式來保障認證信息的機密性和完整性。為確保發(fā)送方和接收方身份的真實性,步驟(4)和(5)中資源提供者和身份認證權(quán)威需要進行雙向認證,它們在傳輸身份聲明的過程中對學習者是透明的。 

協(xié)同資源一站式訪問的實現(xiàn)讓學習者在訪問不同的服務資源時避免身份重復認證,節(jié)省了學習者的學習時間,提高了系統(tǒng)資源的服務效率。 

2. 資源服務基于序關(guān)系的協(xié)同 

資源服務基于序關(guān)系的協(xié)同技術(shù)將分布式環(huán)境下的教育資源服務看作獨立的功能模塊,通過bpel4ws(web服務業(yè)務流程執(zhí)行語言)流程活動綁定這些資源模塊,通過結(jié)構(gòu)化業(yè)務流程活動來定義資源服務活動之間基于序的邏輯關(guān)系,實現(xiàn)數(shù)字教育資源協(xié)同,組成大粒度增值應用服務。bpel4ws流程引擎為業(yè)務流程所綁定的資源提供了控制與管理支持。教育資源設(shè)計者可以方便地依據(jù)教學設(shè)計思想采取可視化的方式編排資源協(xié)同關(guān)系,更方便地適應學習者的個性化學習需求。 

圖3展示了一個基于bpel4ws的簡易資源協(xié)同實例,bpel4ws業(yè)務該流程通過三個基本活動分別綁定了由不同提供者提供的“c語言基本知識和測試服務”、“c語言高階知識服務”和“c語言基本知識鞏固服務” 分布式資源,基于教學設(shè)計序邏輯組成“c語言知識集成服務”組合服務。當e-learning學習門戶接收到學習者的服務請求時,組合服務資源主要協(xié)同過程描述如下: 

(1)流程“receive”協(xié)同服務接口接收開始信息啟動業(yè)務流程,啟動一個資源協(xié)同實例; 

(2)“c語言基本知識和測試服務”通過基礎(chǔ)知識服務接口為學習者提供c語言基礎(chǔ)知識學習資源,通過測試接口對學習者進行知識測試; 

(3)“c語言基本知識和測試服務”將測試結(jié)果得分提交給bpel4ws學習流程; 

(4)bpel4ws流程對學習者的學習績效進行邏輯判決; 

(5)當學習者得分小于60時,學習流程引導學習者進入“知識鞏固服務”,進行知識鞏固;當學習者得分大于60時,學習流程將引導學習者進行高階知識學習; 

(6)學習者知識學習結(jié)束,學習流程通過“reply”協(xié)同服務輸出接口發(fā)送終止信息終止業(yè)務流程,結(jié)束學習過程。 

五、結(jié)論與展望 

屏蔽資源平臺差異、構(gòu)建便捷的一站式數(shù)字教育資源整合服務是開放環(huán)境下數(shù)字教育服務建設(shè)需要解決的核心問題之一。本文提出了一種面向soa環(huán)境的數(shù)字教育資源一站式協(xié)同架構(gòu)模型mersca,mersca采用分層結(jié)構(gòu),通過對數(shù)字教育資源的服務包裝,實現(xiàn)了資源的共享和可重用;通過基于saml的安全信息共享技術(shù),實現(xiàn)了一站式訪問;通過bpel4ws綁定,實現(xiàn)數(shù)字教育資源基于教學設(shè)計思想的增值協(xié)同。mersca具有良好的擴展性、集成性以及與平臺無關(guān)等特點,適用于數(shù)字教育資源跨部門協(xié)同應用中的信息共享和資源整合。模型的實現(xiàn)過程證明,該方案具有可行性和實用性。這些特點在筆者參與的國家科技支撐計劃課題“數(shù)字教育公共服務示范工程”實踐應用中得到了證明。未來的工作將主要集中在業(yè)務流程級別安全性的設(shè)計與實現(xiàn)方面,以便提供一個更完善的數(shù)字教育資源集成服務安全體系。

 

參考文獻: 

[1] 余勝泉. 從知識傳遞到認知建構(gòu)、再到情境認知——三代移動學習的發(fā)展與展望[j]. 中國電化教育,2007,(6):07-19. 

[2] 馮琳,郝丹. 現(xiàn)代教育服務業(yè)與數(shù)字化學習港——第十五次“中國遠程教育學術(shù)圓桌”綜述[j]. 中國遠程教育,2007,(9):05-17. 

[3] 楊宗凱. 數(shù)字教育服務體系和環(huán)境的構(gòu)建[j]. 中國遠程教育,2007,(10):57-58. 

[4] 鐘志賢,王覓,林安琪. 論遠程學習者的資源管理[j]. 遠程教育雜志,2008,(6):48-52. 

[5] 羅勇為. 基于生態(tài)學視角的基礎(chǔ)教育信息化可持續(xù)發(fā)展研究[j].中國遠程教育,2010,(6):22-26. 

[6] shang chao wang,liu qing tang,etc.requirement driven learning management architecture based on bpel [j].journal of donghua university,2010,(02): 263- 267. 

[7] 楊宏宇,孫宇超,姜德全. 基于saml和pmi的授權(quán)管理模型[j].吉林大學學報,2008,(6):1321-1325.