身份認證技術論文范文

時間:2023-04-05 15:25:54

導語:如何才能寫好一篇身份認證技術論文,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

身份認證技術論文

篇1

隨著網絡的不斷普及和電子商務的迅猛發展,電子商務這種商務活動新模式已經逐漸改變了人們的經濟活動方式、工作方式和生活本論文由整理提供方式,越來越多的人們開始接受并喜愛網上購物,可是,電子商務發展的瓶頸——安全問題依然是制約人們進行電子商務交易的最大問題,因此,安全問題是電子商務的核心問題,是實現和保證電子商務順利進行的關鍵所在。校園電子商務是電子商務在校園環境下的具體應用與實現,其安全性也同樣是其發展所不容忽視的關鍵問題,因此應當著重研究。

1校園電子商務概述

1.1校園電子商務的概念。

校園電子商務是電子商務在校園這個特定環境下的具體應用,它是指在校園范圍內利用校園網絡基礎、計算機硬件、軟件和安全通信手段構建的滿足于校本論文由整理提供園內單位、企業和個人進行商務、工作、學習、生活各方面活動需要的一個高可用性、伸縮性和安全性的計算機系統。

1.2校園電子商務的特點。

相對于一般電子商務,校園電子商務具有客戶群本論文由整理提供穩定、網絡環境優良、物流配送方便、信用機制良好、服務性大于盈利性等特點,這些特點也是校園開展電子商務的優勢所在。與傳統校園商務活動相比,校園電子商務的特點有:交易不受時間空間限制、快捷方便、交易成本較低。

2校園電子商務的安全問題

2.1校園電子商務安全的內容。

校園電子商務安全內容從整體上可分為兩大部分:校園網絡安全和校園支付交易安全。校園網絡安全內容主要包括:計算機網絡設備安全、計算機網絡系統安全、數據庫安全等。校園支付交易安全的內容涉及傳統校園商務活動在校園網應用時所產生的各種安全問題,如網上交易信息、網上支付以及配送服務等。

2.2校園電子商務安全威脅。

校園電子商務安全威脅同樣來自網絡安全威脅與交易安全威脅。然而,網絡安全與交易安全并不是孤立的,而是密不可分且相輔相成的,網絡安全是基礎,是交易安全的保障。校園網也是一個開放性的網絡,它也面臨許許多多的安全威脅,比如:身份竊取、非本論文由整理提供授權訪問、冒充合法用戶、數據竊取、破壞數據的完整性、拒絕服務、交易否認、數據流分析、旁路控制、干擾系統正常運行、病毒與惡意攻擊、內部人員的不規范使用和惡意破壞等。校園網的開放性也使得基于它的交易活動的安全性受到嚴重的威脅,網上交易面臨的威脅可以歸納為:信息泄露、篡改信息、假冒和交易抵賴。信息泄露是非法用戶通過各種技術手段盜取或截獲交易信息致使信息的機密性遭到破壞;篡改信息是非法用戶對交易信息插入、刪除或修改,破壞信息的完整性;假冒是非法用戶冒充合法交易者以偽造交易信息;交易抵賴是交易雙方一方或否認交易行為,交易抵賴也是校園電子商務安全面臨的主要威脅之一。

2.3校園電子商務安全的基本安全需求。

通過對校園電子商務安全威脅的分析,可以本論文由整理提供看出校園電子商務安全的基本要求是保證交易對象的身份真實性、交易信息的保密性和完整性、交易信息的有效性和交易信息的不可否認性。通過對校園電子商務系統的整體規劃可以提高其安全需求。

3校園電子商務安全解決方案

3.1校園電子商務安全體系結構。

校園電子商務安全是一個復雜的系統工程,因此要從系統的角度對其進行整體的規劃。根據校園電子商務的安全需求,通過對校園人文環境、網絡環境、應用系統及管理等各方面的統籌考慮和規劃,再結合的電子商務的安全技術,總結校園電子商務安全體系本論文由整理提供結構,如圖所示:

上述安全體系結構中,人文環境層包括現有的電子商務法律法規以及校園電子商務特有的校園信息文化,它們綜合構成了校園電子商務建設的大環境;基礎設施層包括校園網、虛擬專網VPN和認證中心;邏輯實體層包括校園一卡通、支付網關、認證服務器和本論文由整理提供交易服務器;安全機制層包括加密技術、認證技術以及安全協議等電子商務安全機制;應用系統層即校園電子商務平臺,包括網上交易、支付和配送服務等。

針對上述安全體系結構,具體的方案有:

(1)營造良好校園人文環境。加強大學生本論文由整理提供的道德教育,培養校園電子商務參與者們的信息文化知識與素養、增強高校師生的法律意識和道德觀念,共

同營造良好的校園電子商務人文環境,防止人為惡意攻擊和破壞。

(2)建立良好網上支付環境。目前我國高校大都建立了校園一卡通工程,校園電子商務系統可以采用一卡通或校園電子帳戶作為網上支付的載體而不需要與銀行等金融系統互聯,由學校結算中心專門處理與金融機構的業務,可以大大提高校園網上支付的安全性。

(3)建立統一身份認證系統。建立校園統一身份認證系統可以為校園電子商務系統提供安全認證的功能。

(4)組織物流配送團隊。校園師生居住地點相對集中,一般來說就在學校內部或校園附近,只需要很少的人員就可以解決物流配送問題,而本論文由整理提供不需要委托第三方物流公司,在校園內建立一個物流配送團隊就可以準確及時的完成配送服務。

3.2校園網絡安全對策。

保障校園網絡安全的主要措施有:

(1)防火墻技術。利用防火墻技術來實現校園局域網的安全性,以解決訪問控制問題,使只有授權的校園合法用戶才能對校園網的資源進行訪問本論文由整理提供,防止來自外部互聯網對內部網絡的破壞。

(2)病毒防治技術。在任何網絡環境下,計算機病毒都具有不可估量的威脅性和破壞力,校園網雖然是局域網,可是免不了計算機病毒的威脅,因此,加強病毒防治是保障校園網絡安全的重要環節。

(3)VPN技術。目前,我國高校大都已經建立了校園一卡通工程,如果能利用VPN技術建立校園一卡通專網就能大大提高校園信息安全、保證數據的本論文由整理提供安全傳輸。有效保證了網絡的安全性和穩定性且易于維護和改進。

3.3交易信息安全對策。

針對校園電子商務中交易信息安全問題,可以用電子商務的安全機制來解決,例如數據加密技術、認證技術和安全協議技術等。通過數據加密,可以保證信息的機密性;通過采用數字摘要、數字簽名、數字信封、數字時間戳和數字證書等安全機制來解本論文由整理提供決信息的完整性和不可否認性的問題;通過安全協議方法,建立安全信息傳輸通道來保證電子商務交易過程和數據的安全。

(1)數據加密技術。加密技術是電子商務中最基本的信息安全防范措施,其原理是利用一定的加密算法來保證數據的機密,主要有對稱加密和非對稱加密。對稱加密是常規的以口令為基礎的技術,加密運算與解密運算使用同樣的密鑰。不對稱加密,即加密密鑰不同于解密密鑰,加密密鑰公之于眾,而解密密鑰不公開。

(2)認證技術。認證技術是保證電子商務交易安全的一項重要技術,它是網上交易支付的前提,負責對交易各方的身份進行確認。在校園電子商務本論文由整理提供中,網上交易認證可以通過校園統一身份認證系統(例如校園一卡通系統)來進行對交易各方的身份認證。

(3)安全協議技術。目前,電子商務發展較成熟和實用的安全協議是SET和SSL協議。通過對SSL與SET兩種協議的比較和校園電子商務的需求分析,校園電子商務更適合采用SSL協議。SSL位于傳輸層與應用層之間,能夠更好地封裝應用層數據,不用改變位于應用層的應用程序,對用戶是透明的。而且SSL只需要通過一次“握手”過程就可以建立客戶與服務器之間的一條安全通信通道,保證傳輸數據的安全。

3.4基于一卡通的校園電子商務。

目前,我國高校校園網建設和校園一卡通工程建設逐步完善,使用校園一卡通進行校園電子商務的網上支付可以增強校園電子商務的支付安全,可以避免或降低了使用銀行卡支付所出現的卡號被盜的風險等。同時,使用校園一卡通作為校園電子支付載體的安全保障有:

(1)校園網是一個內部網絡,它自身已經屏蔽了絕大多數來自公網的黑客攻擊及病毒入侵,由于有防火墻及反病毒軟件等安全防范設施,來自外部網絡人員的破壞可能性很小。同時,校園一卡通中心有著良好的安全機制,使得使用校園一卡通在校內進行網上支付被盜取賬號密碼等信息的可能性微乎其微。超級秘書網

(2)校園一卡通具有統一身份認證系統,能夠對參與交易的各方進行身份認證,各方的交易活動受到統一的審計和監控,統一身份認證能夠保證網上工作環境的安全可靠。校園網絡管理中對不同角色的用戶享有不同級別的授權,使其網上活動受到其身份的限制,有效防止一些惡意事情的發生。同時,由于校內人員身份單一,多為學生,交易中一旦發生糾紛,身份容易確認,糾紛就容易解決。

4結束語

開展校園電子商務是推進校園信息化建設的重要內容,隨著我國校園信息化建設的不斷深入,目前已有許多高校開展了校園電子商務,它極大的方便了校園內師生員工的工作、學習、生活??墒桥c此同時,安全問題成為制約校園電子商務發展的障礙。因此,如何建立一個安全、便捷的校園電子商務應用環境,讓師生能夠方便可靠的進行校園在線交易和網上支本論文由整理提供付,是當前校園電子商務發展要著重研究的關鍵問題。

篇2

論文關鍵詞:一卡通系統,校園

 

1、引言

現如今的校園是一個信息時代的校園,信息化已經成為一個重要標志,因此,信息化校園也就離不開信息化的管理。在這個日新月異的時代,提高管理水平和工作效率便離成功近了一步。校園信息化建設,便是有力推進校園管理和教學水平發揮的關鍵一步。管理信息化水平成為衡量學??傮w水平的重要指標之一。隨著計算機技術和網絡技術的迅速發展,一卡通系統已經走入了絕大部分校園,為每一個人帶來全新、方便的現代化生活,而院校管理將日趨簡化,工作效率將逐步提高。

2、一卡通系統的需求分析

從業務上來說,校園一卡通系統利用智能非接觸式IC卡的功能強大和能夠脫機交易等優點,在校園網的支持下,可在校內一卡通行畢業論文怎么寫,具有支付交易、身份識別、個人信息查詢等功能。在學校內實現電子錢包的支付交易功能。校園卡可作為電子錢包使用,可在學校各校區內現金交易點進行支付交易,逐漸免去現金流通。為校內使用證件的各種應用提供身份認證的功能,實現校園管理功能。校園卡可記錄個人的各類基本檔案,校園卡系統可共享身份信息、黑(白)名單庫等信息資源。因此,校園卡可驗證持卡人的身份,實現圖書借閱,門禁考勤、停車場等身份認證,從而代替以前的各種證件,使學校管理更加規范期刊網。

從功能上來說,校園一卡通主要具有儲蓄、取款、消費、身份認證、個人信息查詢等功能,其應用覆蓋校區綜合消費系統,包括收、繳費及各類款項支取,校內各類小額消費;以及信息查詢系統,包括身份認證,管理信息查詢及統計分析等。

3、一卡通系統的功能

一卡通系統使用端主要功能是利用智能非接觸式的IC卡,以卡代幣,通過校園卡內電子錢包,持卡人可以在所有校區內任意消費網點以卡結算,實現電子化貨幣數字化結算。實現各校區內餐廳、醫療、小賣部、超市、商場所有消費場所一卡通用。校園卡可在表面印有持卡人身份標識在校內以卡代證,作為持卡人身份證明,如學生證、教師證、工作證身份證件使用。以及身份識別、圖書管理、電腦上機、門禁等領域的貫通使用,數據共享,一卡貫通。

一卡通系統的管理端主要管理以下功能:

(1)系統初始:包括系統的注冊、單位名稱的初始、人員信息的導入等

(2)發卡、充值:對單位人員進行發卡、充值,并實現補卡、掛失、解掛、修正錯誤等

(3)補助:補助報表的生成、審核、下發補助等

(4)人員管理:對人員資料的管理、人員結算、人員查詢,人員消費設備的管理等

(5)報表管理:實現各種報表畢業論文怎么寫,用于財務對帳、入帳等;

(6)結算管理:操作員、收銀員結算、業主結算等

(7)查詢管理:主要用于用戶查詢,可以查詢消費明細;用于管理者查詢可以查詢整個系統的消費、管理等狀況

(8)權限管理:所有權限都由管理員分配,每個操作員根據自身的情況,可以設置不同的管理權限。

(9)水控管理:用于管理公共澡堂、公寓的出水管理

(10)消費管理:用于食堂、小賣部等刷卡消費管理

(11)第三方系統接入:用于教務、圖書館、機房等子系統的接入;如教務子系統在教學活動中的信息收集、管理。并可以輔助完成教學計劃制定,課程安排,學生選課,成績管理等教學活動。

4、展望

校園信息化建設是一項基礎性和長期性的工作,因此,沒有一所學校能夠一步到位地實現所有項目的信息化建設。校園一卡通項目中的各項內容相互聯系而又互不干擾,學??梢砸驊约旱男枨筮x擇先投入某些項目的建設,幾年后再逐步完善其他項目的建設,當學校新增一個項目的時候并無需再為學生辦理新卡片,而只需在原有的卡片上寫入新的程序即可,既避免了購置新卡片而造成的資源浪費,又可以讓學生享受到學校后勤高效、方便的管理服務。一卡通系統必將給我們帶來全新的學習、生活和工作模式。

參考文獻:

[1]何冠星。淺談基于一卡通系統的校園信息化建設。新西部,2009(6)

[2]史岳鵬,費曉飛。校園一卡通系統的需求分析研究。鄭州牧業工程高等專科學校學報。2008(11)

篇3

【關鍵詞】PKI;數字簽名算法;加密解密

一、PKI系統基本組成

PKI是一個以公鑰密碼技術為基礎,數字證書為媒介,結合對稱加密和非對稱加密技術,將個人的信息和公鑰綁在一起的系統。其主要目的是通過管理密鑰和證書,為用戶建立一個安全、可信的網絡應用環境,使用戶可以在網絡上方便地使用加密和數字簽名技術,在Internet上驗證通信雙方身份,從而保證了互聯網上所傳輸信息的真實性、完整性、機密性和不可否認性。完整的PKI系統包括一個RA中心、CA中心、用戶終端系統EE、證書/CRL資料庫和秘鑰管理系統。

二、PKI系統提供的服務

PKI作為安全基礎設施,主要提供的服務有保密、身份認證服務、驗證信息完整以及電子商務中的不可抵賴。

1.保密

所謂保密就是提供信息的保密,包括存儲文件和傳輸信息的保密性,所有需要保密的信息都加密,這樣即使被攻擊者獲取到也只是密文形式,攻擊者沒有解密密鑰,無法得到信息的真實內容,從而實現了對信息的保護。PKI提供了保密,并且這個服務對于所有用戶都是透明的。

2.身份認證服務

PKI的認證服務在ITU-TX.509標準中定義為強鑒別服務,即采用公開密鑰技術、數字簽名技術和安全的認證協議進行強鑒別的服務。

3.完整

完整就是保證數據在保存或傳輸過程中沒有被非法篡改,PKI體系中采用對信息的信息摘要進行數字簽名的方式驗證信息的完整性。

4.不可抵賴

不可抵賴是對參與者對做過某件事提供一個不可抵賴的證據。在PKI體系中,發送方的數字簽名就是不可抵賴的證據。

三、基于PKI的數字簽名的實現

基于PKI的數字簽名,用戶首先向PKI的RA中心注冊自己的信息,RA審核用戶信息,審核通過則向CA中心發起證書申請請求,CA中心為用戶生成秘鑰對,私鑰私密保存好,公鑰和用戶信息打包并用CA私鑰進行數字簽名,形成數字證書并在CA服務器的證書列表,用戶到證書列表查看并下載證書。

假設用戶A要向用戶B發送信息M,用戶A首先對信息進行哈希函數h運算得到M的信息摘要hA,再用自己的私鑰DA對hA進行加密得到數字簽名Sig(hA)。將明文M、數字簽名Sig(hA)以及A的證書CertA組成信息包,用B的公鑰EB加密得到密文C并傳送給B。其中數字簽名與信息原文一起保存,私鑰DA只有用戶A擁有,因此別人不可能偽造A的數字簽名;又由于B的私鑰只有B擁有,所以只有B可以解密該信息包,這樣就保證了信息的保密性。

四、基于PKI體系結構的數字簽名安全性分析

從基于PKI數字簽名的實現過程和驗證過程中我們知道,數字簽名的安全性取決于以下幾點:

1.CA服務器確實安全可靠,用戶的證書不會被篡改。CA服務器的安全性主要包括物理安全和系統安全。所謂物理安全是指CA服務器放置在物理環境安全的地方,不會有水、火、蟲害、灰塵等的危害;系統安全是指服務器系統的安全,可以由計算機安全技術與防火墻技術實現。

2.用戶私鑰確實被妥善管理,沒有被篡改或泄露。現在采用的技術是USB Key或智能卡存儲用戶私鑰,并由用戶用口令方式保護私鑰,而且實現了私鑰不出卡,要用私鑰必須插卡,從技術實現了私鑰不會被篡改和泄露。

3.數字簽名方案的安全性好。基于PKI公鑰加密技術的數字簽名是建立在一些難解的數學難題的基礎上,其中基于RSA算法的簽名方案應用最多。RSA算法是基于大數分解的困難性,目前當模數達到1024位時,分解其因子幾乎是不可能的,未來十年內也是安全的。但是由于RSA算法保存了指數運算的特性,RSA不能抵御假冒攻擊,就算攻擊者不能破解密鑰,也可進行假冒攻擊實現消息破譯和騙取用戶簽名。

六、總結

在電子商務交易的過程中,PKI系統是降低電子商務交易風險的一種常用且有效的方法,本文介紹了PKI系統的組成,PKI系統提供的服務,分析了基于PKI通信的安全性,其安全主要通過數字證書和數字簽名來實現,而數字簽名的安全性則主要依賴于簽名方案,在研究和分析現有數字簽名方案的基礎上提出了改進的新方案,即添加隨機因子和時間戳的RSA簽名方案,新方案增加了通信雙方交互次數,雖然系統效率有所降低,但提高了方案的安全性,并且新方案既可保證信息的保密性、完整性,又使得通信雙方都具備了不可抵賴性,具有很高安全性和較強的實用意義。

參考文獻

[1]劉穎.基于身份的數字簽名的研究[D].西安電子科技大學碩士學位論文,2006,1.

[2]段保護.一種改進的基于時間戳的數字簽名方案[D].長沙理工大學碩士學位論文,2009,3.

[3]陳昕.基于一次性口令的身份認證系統研究及實現[D].南京信息工程大學碩士學位論文,2009,5.

[4]潘恒.電子商務環境下基于PKI的信任問題研究[D].信息工程大學博士學位論文,2006,10.

[5]張寧.電子商務安全性分析[D].北京郵電大學碩士研究生學位論文,2007,3.

[6]任曉東.基于PKI的認證中心研究與實現[D].西南交通大學碩士學位論文,2008,5.

篇4

關鍵詞 安全 CA認證中心 身份認證 數字證書 PKI

中圖分類號:D63 文獻標識碼:A

1CA認證概述

隨著Internet的發展,電子商務的興起,經常需要在開放網絡環境中不明身份的實體之間通信,安全問題也因此日益突出。為確保網上電子商務交易的順利進行,必須在通信網絡中建立并維持一種可信任的安全環境和機制。一個完整的電子商務系統主要包括商家、支付系統和認證機構,而認證機構是整個電子商務系統的關鍵。認證機構主要通過發放數字證書來識別網上參與交易各方的身份,并通過加密證書對傳輸的數據進行加密,從而保證信息的安全性、完整性和交易的不可抵賴性。

為了解決在Internet上開展電子商務的安全問題,切實保障網上交易和支付的安全,世界各國在經過多年研究后,初步形成了一套完整的解決方案,其中最重要的內容就是建立一套完整的電子商務安全認證體系。電子商務安全認證體系的核心機構就是認證中心(CA)。認證中心作為一個權威、公正、可信的第三方機構,它的建設是電子商務最重要的基礎設施之一,也是電子商務大規模發展的根本保證。

所謂CA(Certificate Authority)認證中心,它是采用PKI(Public key Infrastructure)公開密鑰基礎架構技術,專門提供網絡身份認證服務,負責簽發和管理數字證書,且具有權威性和公正性的第三方信任機構,它的作用就像我們現實生活中頒發證件的公司,如護照辦理機構。目前國內的CA認證中心主要分為區域性CA認證中心和行業性CA認證中心兩大類。

一個典型的CA系統包括安全服務器、注冊機構RA、CA服務器、LDAP目錄服務器和數據庫服務器等。

2CA認證技術在電子政務上的應用

網絡認證技術是網絡安全技術的重要組成部分之一。其基本思想是通過驗證被認證對象的屬性來達到確認被認證對象是否真實有效的目的,被認證對象的屬性可以是口令、數字簽名或者像指紋、聲音、視網膜這樣的生理特征。以下介紹CA認證系統的有關技術及其典型應用。

2.1公鑰基礎設施PKI

公鑰基礎設施PKI(Public Key Infrastructure)又叫公鑰體系,是一種利用公鑰加密技術為電子商務的開展提供一套安全基礎平臺的技術和規范,從廣義上講,所有提供公鑰加密和數字簽名服務的系統,都可以叫做PKI系統。PKI的主要目的是通過自動管理密鑰和數字證書,來為用戶建立起一個安全的網絡運行環境,使用戶可以在多種應用環境下方便地使用加密和數字簽名技術,從而保證網上數據的機密性、完整性、有效性。PKI由公開密鑰加密技術、數字證書、認證機構CA及相關的安全策略等基本成分共同組成。一個典型、完整、有效的PKI應用系統至少應包含如下幾個部分:(1)CA認證機構,(2)X.500目錄服務器,(3)具有高強度密碼算法(如SSL)的安全www服務器,(4)Web安全通信平臺,(5)自行開發的安全應用系統,綜上所述,在PKI中最重要的核心部分就是認證機構CA。

CA身份認證系統基于PKI理論體系構建,由認證服務器、管理服務器、客戶端安全認證組件和SecurSecureKey(USB智能卡)組成,支持B/S結構和C/S結構的應用系統。系統中每一個用戶發一個SecurSecureKey,其中存儲有代表用戶身份的數字證書和私鑰文件,用戶在登錄系統時,插上SecurSecureKey,通過安全加密通訊信道與遠程身份認證服務器通訊,由認證服務器完成對用戶身份的認證,并得到當前用戶的身份以及系統的授權信息。

(1)用戶在計算機USB接口上插入包含自己證書和私鑰的SecurSecureKey,訪問系統登錄頁面。

(2)服務器接受登錄請求,并產生一個臨時隨機數,發送到客戶端。

(3)用戶輸入SecurSecureKey訪問口令,點擊“登錄”按鈕。

(4)客戶端對服務器發來的隨機數以及用戶的身份信息利用SecurSecureKey硬件進行加密,并對加密結果做數字簽名,將結果發送到服務器。

(5)應用服務器接收到客戶端發來的數據后,執行驗證過程。

(6)應用服務器根據認證服務器的返回結果決定登錄是否成功。

2.2系統功能特點

(1)安全有效的身份認證

(2)易于操作和使用

(3)自動檢測并加密指定關鍵信息

2.3 CA認證技術在電子政務中應用

在某區電子政務的一站式訪問系統中,網上申請駕照、網上申請準生證等模塊,都用到了基于CA認證技術實現身份認證的技術。

(1)基于CA認證技術實現身份認證的前提條件

首先要有認證中心CA實施的支持,即交易各方能夠申請到自己的數字證書,能夠從認證中心獲得證書庫信息和證書撤銷列表,并對其進行有效性和完整性驗證,交易各方面都能夠支持系統所需的加密算法,摘要算法等。

(2)建立通信模型

在傳輸文件前,首先進行身份認證和密鑰協商、身份認證,一是驗證對方的證書是否有效,即證書是否過期,是否已被撤銷等;二是要評估當前用戶,在文件傳輸中的訪問權限。

(3)加載數字證書身份認證模塊的程序設計

對于安全認證系統來說,在程序設計中加載數字證書,來實現其通信各方面的身份認證和發送者行為的時候無法否認性,在如下方案中采用了安全套接層(SSL)傳輸方式。

加載數字證書的身份認證模塊:

①創建會話連接使用的協議。

②申請SSL會話的環境CTX。

③SSL使用TCP協議,需要把SSL attach捆綁到已經連接的套接層上。

④SSL握手協議。

⑤握手成功后,得到對方的數字證書,與從認證中心CA獲得的數字證書比較。兩個證書如果不同,斷開連接請求,結束會話;如果相同,對方的身份得到確認。

⑥通訊結束后,需要釋放前面申請的SSL資源。

(4)系統安全認證分析(單向認證)

①通信身份的認證

通信過程開始時,服務器向瀏覽器發送自己的數字證書,瀏覽器從認證中心CA獲取數字證書,瀏覽器使用認證中心CA系統的公開密鑰解開服務器的數字證書,從而得到服務器的身份和公開密鑰,二者進行比較后,確認服務器是否為真,完成身份認證。

②不可否認性

通信過程中,信息的摘要要是使用發送方自己的私有密鑰進行簽字的,除發送者自己以外,其他人無法知道簽名者的私有密鑰,所以確定了發送的行為無法再事后否認。

3結論

篇5

[關鍵詞]電子資源;資源共享;知識產權;版權保護

從“維普的著作權侵權案”到“百度的MP3版權門”[1~2],從“萬方學位論文侵權案”[3~4]到“訊雷的版權認領”[5~6],再到“中國知網學位論文版權征集”,一次又一次地給我們敲響了警鐘。當前數字資源、電子資源或者說虛擬資源的版權問題仍然存在著不少問題。作者、出版社、數據服務商、圖書館、讀者之間是一個知識傳遞的鏈條,在這一傳遞過程中,版權會以不同形式出現。如何解決電子資源的版權糾紛,是目前電子資源面臨的一個比較棘手的問題,這一問題同時牽扯到電子資源服務商、出版社、圖書館和作者四方面權益,因此值得大家關注。

1 電子資源版權模式

電子資源版權模式主要由授權方式和實現技術兩部分組成,其常見的幾類如下。

1.1 電子圖書

1.1.1方正Apabi教參電子圖書版權模式。

(1)授權方式。方正Apabi教參電子圖書以分成的方式取得出版單位的授權,與出版社簽訂電子版權使用協議,作者授權由出版單位負責解決和處理。這種版權解決方式商業化氣氛更濃[7]。

(2)實現技術。方正Apabi教參電子圖書以數字版權保護(DRM)技術為核心,在保護作者、出版社、發行者、圖書館和讀者共同利益的基礎上,為整個過程中的各個角色提供所需軟件。出版社可以很方便地制作和出版電子書,讀者可以通過互聯網買書、借還書、在本地機器上閱讀。

1.1.2 書生之家版權模式。

(1)授權方式。書生之家從出版社和作者兩個方面入手,同時取得出版單位和作者的授權。一般是通過為出版單位提供有關服務來換取授權[7]。

(2)實現技術。采用書生數字圖書館系統相關技術,通過專門的閱讀器進行控制,版權保護方面也采取DRM技術,防止了文獻被復制、篡改和二次傳播的可能。

1.1.3 超星數字圖書館版權模式。

(1)授權方式。超星數字圖書館通過征集作者授權的方式獲取有關授權,預先使用并預留適當比例的版稅,如果作者有異議,與作者商談并取得作者授權;如果作者不同意,支付已使用版稅并將其作品撤除。同時,還委托版權保護中心代收代轉一部分版稅。目前已有部分作者及出版社與超星公司簽約,但仍然存在相當大的版權隱患[7]。

(2)實現技術。采用超星PDG技術和數字版權保護(DRM)技術,通過有關技術限制打印、傳播和永久下載。

1.2 學位論文

1.2.1 萬方學位論文版權模式。

(1)授權方式。萬方的學位論文數據庫是受中國科學技術信息研究所(以下簡稱“中信所”)委托進行加工、建設和對圖書館提供館藏服務的,由中信所與授予單位合作取得論文的使用權。這種授權是中信所與學校之間的授權,與具體的作者關系不大,存在很大的弊端。萬方的“學位論文侵權案”就是這個弊端造成的。

為了彌補這一漏洞,萬方數據公司目前又增加了直接授權模式,以期更好地規范和解決博、碩士論文的相關使用授權,具體內容為征集作者授權,并給作者、導師和授予單位一定的版權費用,作為對以上授權模式的補充。

(2)實現技術。大部分數據是通過掃描后加工而成,可通過OCR進行識別,部分具有雙悉技術,此外還有一部分數據是由作者直接提交的電子版本。所有數據都加工為PDF格式,需要IP認證和身份認證,資源需要PDF專用閱覽器打開。

1.2.2中國知網版權模式。

(1)授權方式。學位論文采取與作者直接簽約的方式,并支付作者、導師及相關單位有關報酬,由作者提交電子版,并有作者的電子出版授權書。

(2)實現技術。所有數據都制成中國知網學位論文專用格式,需要用中國知網專用的CAJ閱讀器打開,用戶認證方式有多種,包括IP地址認證方式、個人賬號認證方式、包庫方式,等等。

1.3 期刊論文

目前提供期刊論文全文服務的電子資源服務商主要有三家:中國知網、萬方數據和重慶維普,其版權處理模式基本相同,只是采用的技術不同而已。

(1)授權方式。與出版社采取簽訂電子版權協議的方式,與作者之間采取由出版社在向作者發錄稿通知時預先聲明的方式,如果不愿意被收錄的論文作者要進行說明,否則按默認處理,即授權被有關數據庫收錄。同時,出版社可與多個電子資源服務商同時簽訂電子版授權協議。

(2)實現技術。電子資源服務商從出版社得到資源的電子版后,利用自己的加工系統對電子資源進行加工制成自己專用的電子文檔,然后通過自己的平臺進行。從中國知網、萬方數據和重慶維普國內三家有名的電子資源服務商來看,一般不采用DRM技術,只是通過身份認證和IP地址來限制最終的使用者。

2 比較分析

電子資源的版權授權模式和實現技術可以通過表1進行匯總和比較,從中可以看出電子資源的版權模式有三種變化趨勢。

(1)授權方式由出版單位授權逐漸向作者授權轉變。萬方的學位論文版權糾紛,更加促進了這一過程的轉變。對于新出版的電子資源要做到從源頭處理好相關版權,對于已經出版的版權關系不明確的或者根本就沒有授權的電子資源通過版權認領的方式獲取授權。

(2)資源文件由掃描版向真正的電子版轉變。真正的電子版具有三方面的特點:一是電子資源的質量得到了提高,如資源頁面沒有污點、放大后字體不失真等;二是可以對電子版的文件進行重新排版,以更好地適應讀者的計算機閱讀方式;三是可以在電子文件中直接嵌入有關技術,并與相關的身份認證技術相結合,以便更好地保護電子資源的版權。

(3)身份認證技術由簡單的密碼認證、IP認證向數字證書認證技術轉變。隨著計算機技術和網絡技術的發展,簡單的密碼認證和IP認證技術已經不能保障電子資源數據庫的安全,極易造成電子資源被非法用戶訪問和使用,使合法用戶的權益得不到保障,使電子資源的版權得不到保護。隨著數字證書認證技術的出現和完善,這些非法用戶必將被擋在系統之外,電子資源的版權也會得到很好的保護。

3 電子資源版權保護中應注意的問題及建議

3.1 應注意的問題

3.1.1目前,絕大多數期刊出版社只與電子資源服務商之間簽署授權的協議,忽視或者模糊著作權所有者一些應有的合法權益。出版社一般不與作者簽署正規授權協議,只是通過錄稿通知的相關附加條款或者在出版物上一些聲明進行約定,作者處于極為被動的地位,主要表現在兩個方面:第一,在錄稿通知上加入一條數據庫收錄的聲明,以此來獲得電子版的使用權;其二就是在期刊的某一個位置上進行聲明,如“本刊已被××數據庫所收錄,您的文章如果不想被收錄請與出版社聯系”等聲明。這種現象應引起我們的思考。另外,期刊電子資源存在的隱性版權問題還有很多,如無DRM保護,電子文檔可以無限次數的復制、無限次數的傳遞。

3.1.2《中華人民共和國著作權法》是從1991年6月1日開始實施的,2001年10月進行了修訂,在第二章第一節第十二條中加入了信息網絡傳播權[8],第一次把電子資源網絡傳播權的保護正式寫入法律。如何對待和妥善處理2001年10月《著作權法》修訂前的電子資源版權問題,需要電子資源服務商高度重視。目前不少電子資源服務商都采取版權認領的方式進行處理,重新與作者簽訂有關版權授權協議。

3.1.3版權歸屬不明確,包括多作者版權劃分和作者與所屬機構之間的版權劃分兩種情況,這兩種情況也極易造成版權的糾紛。如萬方學位論文,是學校提交給國家學位論文法定收藏單位中信所的,而中信所只具有收藏的權限和部分特定用戶使用的權限。中信所只在與學校簽署共建中國學位論文數據庫協議的條件下,就把其權限擴大到商業化范疇,這是不妥的,易造成一些技術和成果資料的流失。

3.1.4文獻收藏、特定用戶有限利用與商業化使用之間界限不明確。如萬方的“學位論文訴訟案”,就是這種界限不明確造成的。

3.1.5使用權授予多個電子資源服務商,造成資源的重復性加工和浪費。目前的電子資源大部分由出版社把使用權授予多個電子資源服務商,各服務商對資源進行各自不同的加工,讀者使用電子資源時必須使用電子資源服務商專用的閱覽器。

3.2 電子資源版權保護的一些建議

電子資源版權保護不僅僅是技術層面的保護,而是一個涉及多方面的保護體系,這一體系主要包括以下幾個方面。

3.2.1在法律保護中,國家要有相關的法律制度和條約予以保障。這方面制度的制定是一個循序漸進的過程,隨著電子資源應用的日益廣泛,這方面的保障制度應逐漸完善。

3.2.2提高與電子資源有關的參與者對版權的認知程度。電子資源的參與者主要包括作者、出版社、電子資源服務商以及最終的讀者,只有這些參與者認知程度提高了,版權保護才能很好地貫徹和執行。同時,參與者認知程度的提高是一個循序漸進的過程,各參與者之間要互相理解和配合。

3.2.3從技術上加強對電子資源版權的保護。主要依靠計算機技術和網絡技術對電子資源的使用范圍、讀者、使用時間、使用方式等加以限制,也就是現在都在采用的DRM技術,主要包括數字證書認證技術、IP地址限制技術、電子資源加工技術等。隨著計算機技術的發展,對電子資源在技術上的保護應該不存在什么問題。

3.2.4對電子資源的傳播存儲形式也需制定一定的規范和標準,不能任由電子資源服務商各自為政、自定標準。建議國家相關部門制定電子資源傳播存儲強制性行業標準,由出版社或者出版社委托的單位完成電子資源的標準化加工,然后出售其電子資源。此時電子資源服務商的作用就相當于紙質圖書的書商,只起到一個中介作用。

3.2.5對2001年10月《著作權法》修訂前的電子資源版權問題,出版社和電子資源服務商要雙管齊下,盡可能與作者簽署授權協議,對暫時無法取得聯系的,可以繼續采用版權認領方式進行。

3.2.6建議電子資源版權可以借鑒成熟的專利知識保護體系進行保護。專利制度是以技術的公開換取法律上對技術的保護,電子資源可以借鑒這一成熟模式對其版權進行保護,即以資源的公開換取法律上對資源的保護。

4 結 語

總之,各種電子資源版權糾紛的出現并不是一些孤立、偶然的事件,而是一種新事物的出現與現有制度以及人們認知相對滯后的矛盾造成的。主要體現在:一是有關法律制度不完善或者不健全,對出現的一些特殊情況不能妥善處理;二是電子資源服務商本身存在的一些問題,造成一些版權上的疏忽;三是用戶對版權的認識上不到位,出現的一些侵權行為。相信隨著法律制度的逐步完善健全,作者、出版社、電子資源服務商、圖書館、讀者等參與者在版權方面的法律意識逐漸提高,電子資源的版權問題會得到合理妥善的解決。

[參考文獻]

[1] 柳華芳.百度版權門是中國互聯網的拐點[EB/OL].[2008-06-18].blog.chinabyte.com/blog/fanggege/archive/2008/06/18/86133.html.

[2] 陸建平.百度深陷版權門:莫當炮灰 和平解決[EB/OL]. [2008-12-05].tech.163.com/05/1018/09/20B9SUVR000915HL.html.

[3] 何春中.誰在吞噬我們嘔心瀝血的學位論文[N].中國青年報,2008-11-27(6).

[4] 何春中.學位論文的著作權保護何去何從[N].中國青年報,2008-11-27(6).

[5] 抽身“版權門”?迅雷舉辦“版權認領” [EB/OL].[2008-12-05].publish.it168.com/2007/0427/20070427045101.shtml.

[6] 迅雷支持正版 版權認領對策[EB/OL].[2008-12-05].xunlei.limxyz.com/copyright.htm.

篇6

1.

本課題所涉及的問題在國內(外)的研究現狀綜述

1.1.課題背景簡介

隨著WWW應用領域的不斷拓展,人們已不滿足于只用Web服務器瀏覽和靜態的信息,人們需要通過它發表意見、查詢數據甚至進行網上購物。原來的靜態Web頁面已經滿足不了用戶對信息服務的動態性、交互性的要求。這就迫切需要實現Web與數據庫的交互。

Web與數據庫這兩者結合意味Web數據庫將存儲和管理大量重要數據,然兒一但它們被盜用或篡改,可能會帶來巨大的政治和經濟損失?;趶V域網的Web數據庫訪問會帶來很大的安全問題。首先是數據庫的非法訪問;另一方面數據通過網絡傳輸,可能被截取、篡改。還有黑客的攻擊可能使系統癱瘓。

在動態Web不斷發展的今天,人們對其依賴性也越來越強,但由于其開放性,在設計時對與信息的保密和系統的安全考慮不完備,及人們對保護數據庫的安全意識薄弱,造成現在數據庫攻擊與破壞事件層出不窮,給人們的日常生活和經濟活動造成了很大麻煩。因此,研究網絡環境下的Web數據庫系統的安全保障已經成為了重要的課題。

1.2.課題發展現狀

目前Web技術與數據庫管理系統(DBMS)相互融合的研究已成為熱點研究方向之一。但是由于Internet本身并沒有提供任何安全機制,所以Web數據庫系統對于外界攻擊的防衛能力顯得十分脆弱,以至Web數據庫被攻擊事件屢有發生。

1.2.1.Web數據庫系統的產生與發展

隨著互聯網Internet的不斷發展,以及網上信息呈幾何級數的增加,同時由于傳統的數據庫管理系統中的數據庫資源不能被Web直接訪問,影響了數據庫資源的共享。如何將分布在Internet上的大量信息有效的管理起來,如何使現有的數據庫中的信息到Internet上,而且使的信息具有交互性、動態性和實時性,也就是將Web技術和數據庫技術想結合,開發動態的Web數據庫應用,成為當今Web技術研究的熱點所在。數據庫技術適于對大量的數據進行組織管理,Web技術擁有較好的信息途徑,這兩種技術天然的互補性決定其相互融合成為技術發展的必然趨勢。

1.2.2.Web數據庫應用系統安全威脅分析

為了讓數據庫能為處于網絡上的用戶服務而暴露在網絡中,網絡上的任何用戶都可以訪問這個數據庫,這種情況下對數據庫訪問的控制只能通過用戶控制既用戶名/密碼來進行。任何知道密碼的擁護都可以訪問,這增加了密碼保護管理的難度,同時用戶名/密碼通過Internet傳輸很容易被人竊取。

其次,數據應用放讀取的數據是通過Web傳輸,而這些數據缺乏有效的安全措施保護,從而可能被截取、篡改。

另外,Web數據庫中存儲著大量的數據信息,往往成為信息系統的關鍵,這就需要數據庫及數據庫所在的計算機能夠安全運行。數據庫放在Internet中很容易受到黑客的各種攻擊。

隨著網絡信息系統的應用,數據庫遠程訪問的安全問題日益突出。這個問題可采用網絡傳輸加密,用戶身份認證等安全措施解決。但由于日前的主

審計

用戶

Web數據庫服務器

備份

圖1數據庫安全模型

流數據的網絡傳輸部分都由數據庫廠家來完成,恰恰缺少這些安全措施,因此上述安全技術在普通的數據庫系統中難以直接應用。另外利用操作系統和數據庫管理系統提供的安全保護功能是常用的數據庫安全解決方案。但是Internet本身并沒有提供任何安全機制,只要Web站點和Internet連通,就可能被任何人訪問。

Web數據庫受到的威脅大致包括泄漏、竊取、竄改、冒充、延遲、重傳、遺失、越權存取數據、否認已收送數據及侵犯隱私權等。

1.2.3.數據庫安全結構模型

Web數據庫安全威脅涉及許多方面,我們認為安全措施應綜合考慮,具體可以采用下列技術措施:(1)安裝防火墻;(2)身份認證和數據完整性認證服務;(3)對機密敏感的數據進行加密存儲和傳輸;(4)訪問控制機制;(5)安全審計和監視追蹤技術;(6)數據庫備份與故障恢復。Web數據庫安全模型見圖5。

1.3.文獻綜述

文獻一:竇麗華,蔣慶華,等.基于Web的信息系統安全研究.北京理工大學學報.2002.6,22(3):361-363.

摘要:研究基于Web的信息系統的安全問題及如何充分并合理地利用操作系統、Web服務器和數據庫管理系統所提供的安全設置,以有效地保證信息系統的安全性.利用應用程序所具有的靈活性,可以彌補操作系統、Web服務器和數據庫管理系統的安全漏洞,結合某單位業務信息系統的案例,分別從操作系統、Web服務器、數據庫管理系統、應用程序4個方面對安全問題進行分析,同時給出了建議.

文獻二:曾愛林.基于Web的網絡數據安全體系的建立與完善.湘潭師范學院學報.2004.6,26(2):69-72.

摘要:隨著Web數據庫的應用越來越廣泛,Web數據庫的安全問題日益突出.本文從介紹幾種流行的Web數據庫訪問技術出發,針對Web數據庫的安全問題,建立一個Web數據庫安全體系的初步模型,并指出安全問題應以預防為主,應該在構建Web數據庫服務器時,及時進行漏洞檢測、風險評估,根據檢測結果,有意識地加強數據庫服務器某方面的防范措施.

文獻三:王惠琴,李明,王燕.基于Web的數據庫安全管理技術與實現.2001.4.27

(3):61-67.

摘要:隨著

Internet/Intranet

技術的發展和普及,Web數據庫已逐步取代基于傳統的

Client/Server

模式的數據庫系統,因此對于基于Web的數據庫安全管理技術的研究具有實際意義.介紹了目前常用的幾種Web數據庫的連接技術,并結合ASP技術對如何利用防火墻、身份認證、授權控制、監視跟蹤、存儲過程、審計、備份與故障恢復等技術來實現數據庫的安全管理進行了詳細的闡述.

文獻四:王燕,李明,王惠琴.Web數據庫的連接技術及安全控制.計算機工程與應用.2001.2,P126-128.

摘要:隨著

Internet/Intranet

技術的發展和普及,Web

數據庫必將逐步取代基于傳統的

Client/Server

模式的數據庫系統.對于數據庫與Web技術融合的研究具有實際意義.文章就目前常用的幾種Web數據庫的連接技術進行對比分析,并對利用ASP技術實現Web與數據庫的連接和Web數據庫系統的安全控制進行了詳細闡述.

文獻五:吳春明,鄭志強.基于Web數據庫加密研究.西南農業大學學報.2004.4,26(2):121-126.

摘要:計算機和網絡技術的廣泛應用,給信息安全提出了更高的要求,在信息系統開發設計過程中,安全性能總是被放在首要的位置,成為信息系統生存的關鍵.數據庫是基于WEB信息系統的核心組成部分,面臨來自外部和內部的雙重威脅,對其進行加密處理,是進行數據保護的有效手段.文章提出了一種基于JCE的WEB數據庫加密模型,并對模型進行了行為分析及安全性分析.

文獻六:帥兵.Web數據庫系統開發技術研究.安徽機電學院學報.2001.6,16(2):29-32.

摘要:利用Web服務器的信息服務能力和數據庫服務器的數據管理能力來構造信息服務系統已成為人們關注的熱點,其開發技術的關鍵是數據庫網關的實現.介紹了目前采用的傳統Web數據庫解決方案中數據庫網關實現幾種技術:CGI、IDC、ASP、JDBC,并分析了其缺點,提出了一種的新的Web數據庫解決方案.

文獻七:徐鋒,呂建.Web安全中的信任管理研究與進展.軟件學報.2002.13.(11):2058-2064.

摘要:信任管理是當前

Web

安全研究的熱點.介紹了信任管理思想的出現,給出了信任管理的概念和模型,并概述了幾個典型的信任管理系統和信任度評估模型.討論了當前研究存在的問題以及今后的研究方向.

文獻八:韓效鵬,官法明,等.關于Web數據庫安全性問題探討.勝利油田師范專科學校學報.2004.12.18(4)83-85.

摘要:按照DBMS對數據庫安全管理的思想,在基于Windows環境的Web數據庫應用中,安全控制問題主要包括如何有效地對通過頁面訪問的數據庫中的數據進行保護,實現數據庫級別的分權限訪問等.在實施過程中,可使用用戶身份認證、授權控制、使用日志監視數據庫、參數化存儲過程等安全管理技術來構筑管理信息系統的安全體系.

文獻九:楊成,王恒山,張乾宇.Web數據庫在線維護方法研究.

上海理工大學學報.2003.6.27(4):40-43.

摘要:本文討論了結合互聯網數據中心(IDC)的服務器托管形式下對網站Web數據庫在線維護的形式和內容.并以上海理工大學管理學院學院網站為例,介紹了如何利用JSP動態網頁編程語言和JavaBeans來方便、快捷地實現對學院網站Web數據庫在線維護功能.

文獻十:賀紅,徐寶文.Web信息系統的安全隱患與網絡管理員對策.計算機工程與應用.2005.18,P151-153.

摘要:基于Web的信息系統安全性體系大致分為網絡系統、操作系統、Web服務器及應用程序和Web數據庫等多個層次,該文分別闡述了造成各層次安全隱患的主要原因,以及從網絡管理員的角度出發,在各安全層次上消除和減少安全隱患的實用性安全對策.

2.設計(論文)要解決的問題和擬采用的研究方法(論文框架)

2.1.Web數據庫應用系統要解決的問題

2.1.1.用戶身份認證

基于Web的數據庫應用系統中包含大量的敏感數據和機密數據,為保證系統數據在存儲時和網絡傳輸時不被未經授權的用戶訪問或解讀,可以利用用戶名來標明用戶身份,經系統鑒別用戶的合法性后,再利用口令進一步核實用戶身份。為保證口令的安全性,在口令的提交過程中,可以利用安全套接字協議(SSL),通過使用公共密鑰和對稱性加密提供非公開通信、身份驗證和消息集成。

2.1.2.授權控制

經身份認證的合法用戶根據自己的權限來訪問系統,因此用戶的授權管理機制甚為重要,其嚴密性將直接影響整個系統的安全性。在該安全體系中,可以利用Windows

NT的NTFS和DBMS的用戶角色在不同層次分別對用戶權限進行限制。

2.1.3.監視跟蹤

日志系統具有綜合數據記錄功能和自動分類檢索能力。完整的日志不僅要包括用戶的各項操作,而且還要包括網絡中數據接受的正確性、有效性及合法性的檢查結果,為日后網絡安全分析提供可靠的依據。

2.1.4.存儲過程

在基于Web的數據庫應用系統中,可通過建立參數化的存儲過程實現數據庫的訪問,這通常是增強Web安全的一個最佳方案。

2.1.5.輸出數據HTML編碼

輸出數據HTML編碼是指在將任何數據返回給用戶前應采用HTML編碼,以防止跨站點的腳本攻擊。因為攻擊一旦破壞了數據庫,便可向記錄中輸入腳本,次腳本隨后返回給用戶并在瀏覽器中執行。通過HTML編碼,可將大數腳本命令自動轉換為無害文本。

2.1.6.中間件技術

隨著網絡數據庫朝分布式方向的深入發展,加上Internet上異構數據庫的普遍存在,上述單獨的數據庫管理系統的安全管理能力越發顯示出它的局限性。因此需要有在邏輯層次位于DBMS之上能覆蓋具體差異、邏輯功能上能同意管理、同時可與用戶進行交互的中間件部分。

最基本的中間件技術有通用網關接口(CGI)、Internet數據庫連接器(IDC),Microsoft最近開發的ActiveXDataObject技術(ADO),它提供了高效率的ODBC數據庫或OLE-DB數據庫來源的鏈接功能。

基于數據庫訪問數據庫的原理如圖1所示。

2.2.研究方法

本課題采用以文獻資料法和比較研究法相結合,以文章的全面性,系統性,專業性為目標,讓讀者清楚的知道Web數據庫的含義,發展現狀,以及如何更好的保證Web數據庫的安全。

3.本課題需要重點研究的、關鍵的問題及解決的思路

本課題主要討論Web數據庫產生與發展和存在的安全性問題,重點研究Web數據庫保護的具體方法。以縱向且全面的方式分析Web數據庫的安全問題。

主要涉及內容:

1對身份認證的加密方法

2如何安全地設置Web和數據庫權限

3如何更好地對CGI應用程序進行編程

Web瀏覽器

Web服務器

中間件

Web數據庫

圖2基于中間件技術訪問數據庫

論文研究內容確定

安全解決方案的研究

研究工作總結,形成論文

Web數據庫安全性分析

文獻檢索

課題調研

4.完成本課題所必須的工作條件(如工具書、實驗設備或實驗環境條件、某類市場調研、計算機輔助設計條件等等)及解決的辦法

4.1.具備一定的實驗設備和實驗條件:

有專業知識作為基礎,有文獻資源豐富的網站,擁有自己的電腦及為實驗提供的機房,并有專業的老師進行輔導。

4.2.參考文獻:

[1].

許龍飛.基于Web的數據庫技術與應用.現代計算機,2000(2):14-15.

[2].

王國榮,朱琳杰,王偉.Active

Server

Pages&數據庫.北京:人民郵電出版社,1999:139-269.

[3].

道焰,朱世挺等.CGI技術及其安全性研究

[J].計算機系統應用,1997

(12).

[4].

周世雄編.IIS4.0超級網站速成.青島:青島出版社,1999:33-299.

[5].

蔡丹媚利用ASP輕松實現Web的動態交互訪問.計算機應用研究,1999

(2):62-63.

[6].

Arman

Danesh,Wes

Tatters著,陳卓,張知一等譯.Java

Script

1.1開發指南.清華大學出版社,1998.

[7].

宵金秀,馮沃輝,盧國旺.中文Dreamweaver3網頁設計大制作.北京:中國民航出版社,2000.5:117-130.

[8].Palo

Alto.Overview

of

Control

Network.CA

94304.

[9].張國祥.基于Apache的Web安全技術的應用研究[J].武漢理工大學學報,2004,(3).

[10].Java

2

Platform

[M].Enterprise

Edition

By

Anne

Thomas.

[11].刑春曉,潘泉,張洪才.通用Web數據庫系統體系結構研究[J].計算機工程與應用,1999.9:35(9):90-93.

[12].

[美]

Curt

Jang,Jeff

Chow

著,周志英等譯.Web網和INTRANET上的信息出版技術.電子工業出版社,1997.

[13].Gunnit

S.Khunrana等,Web數據庫的建立與管理.機械工業出版社,1997.

[14].羅明宇,等.計算機網絡安全技術[J].計算機科學,2000,(10):55-58.

[15].王英凱.證券交易系統中的數據庫安全性[J].蘭州大學學報,35:531-533.

[16].張少敏,王保義.基于Web的MIS中的數據庫安全性策略[J].華北電力技術,2002,P45-90.

[17].羅昌隆,李玲娟.基于Web的數據庫訪問技術[J].南京郵電學院學報,2001.7,P30-32.

[18].呂峰,劉曉東等.基于Web的網絡數據庫安全系統研究[J].武漢工業學院學報,2003.6,P51-54.

[19].程萬軍

張霞

劉積仁.基于擴展客體層次結構的安全數據庫策略模型[J].軟件學報,2002.9,P40-42.

[20].李建中.日新月異的數據庫研究領域——數據庫技術的回顧與展望[J].黑龍江大學自然科學學報,2002,19(2):43-52.

5.設計(論文)完成進度計劃

第1—3周:課題調研、資料收集,完成開題報告

第4—6周:結合課題開展畢業實習

第7—11周:實驗研究

第12—13周:完成論文初稿

第14—16周:完成論文終稿并答辯

6.指導教師審閱意見

指導教師(簽字):

7.教研室主任意見

教研室主任(簽字):

系(簽章)

篇7

【 關鍵詞 】 SQL語言;數據庫;數據安全

1 前言

作為信息系統建設過程中的核心部分,數據庫不僅是服務于業務系統的正常運轉,而且由于數據庫是儲存數據與信息的載體,所以對于各行各業的業務發展也起到了至關重要的失去作用。因此無論是小到企業、單位,大到政府、國家,數據庫的安全性保障與控制都勢在必行。一方面,由于數據庫需要對外提供數據與信息,因此在數據進行訪問與存取時需要保障安全性;另一方面,數據在存儲與傳輸的過程中,可能被篡改或丟失,這一方面也需要保障安全性。因此在數據庫的系統的實施過程中,相應的安全措施也成為衡量其優良重要的性能指標。

2 SQL語言在數據庫安全方面的應用

如圖1所示,數據庫的安全控制一般包括幾項內容。

身份認證:驗證用戶是否具有連接到SQL Server數據庫的資格。

操作權控制 & 文件操作:驗證用戶是否具備相應的操作對象與操作類型的權限。

數據庫的加密存儲與冗余:即對數據庫庫進行加密處理,以及數據的備份策略。

1) 身份認證:對于非法用戶的控制。

對于非法進行數據連接和訪問的用戶,一般采取的策略即系統保護機制,通過設置系統賬號和密碼進行主動保護,另一方面,可通過強認證方式,例如通過數字證書,通過用戶的簽名、指紋、聲音、虹膜等用戶特有的特征來進行用戶的驗證。

2) 操作權限控制、文件操作:SQL語言對于數據庫存取的控制。

SQL標準語言能夠支持數據庫的自動存取控制,一般是通過授權語句 Grant 和收權語句 Revoke來實現的。

a) 用戶權限的設置

在進行用戶權限設置時,涉及到兩大內容:可操作的數據本身及可進行哪些操作,即操作的對象和類型。在對用戶進行制受權時,就是定義所授權的用戶可以對哪些數據進行何種操作。如表1所示即為用戶權限設置的方法。

從表1可見,對于數據庫中的表、視圖和列,賦予的可進行的操作有查詢(Select)、插入(Insert)、更新(Update)、刪除(Delete)以及其總和All Privilege。授予TABLE本身的操作權限有修改和索引。 授予數據庫的操作權限是創建表,而且對這個表空間有使用(存儲)的權限,并能夠在系統中創建新的數據庫。

b) SQL語言中授權與收權語句的具體使用方法

授權語句(Grant),其主要功能是將某個數據對象的操作權限分配給某個用戶。

語法如下:

GRANT 權限1[,權限2,…] [on對象類型 對象名稱] TO 用戶1[,用戶2,…]

[WITH GRANT OPTION]

在授權語句的最后[With Grant Option]選項的功能是設置允許進行權限的轉移,即被指定的用戶可以將此權限轉交給其它的用戶。

對于數據對象的訪問權限控制,能夠很好的對數據庫的使用人員進行控制,分級分組進行管理,有利于保障。以下為授權請問的使用舉例。

例1:將學生基本表(Students)中的“name”的修改、查詢功能分配給用戶u1。則語句的使用方法為:

GRANT UPDATE(name),SELECT ON TABLE students TO u1。

例2:將表student, score的插入、刪除、修改操作權限分配給用戶u1和u2。則語句使用方法為:

GRANT ALL PRIVILIGES ON TABLE student,score TO u1,u2。

例3:將表score的查詢功能分配給數據庫中的全部用戶。

GRANT SELECT ON TABLE score TO PUBLIC;

例4:將在Mydatabase數據庫中建立表的功能分配給u2。

GRANT CREATETAB ON DATABASE mydatabase TO u2。

例5:將Students的查詢功能分配給u3,并允許用戶u3能夠進行權限的轉移。

GRANT SELECT ON TABLE students TO u3 WITH GRANT OPTION。

例6:用戶u3將查詢students表的權限轉移給用戶u4。

GRANT SELECT ON TABLE students TO u4;

收權語句(Revoke),其主要功能是把已經授權的信息全部撤銷。

語法如下:

REVOKE 權限1[,權限2,…] [ON對象類型對象名] FROM 用戶1[,用戶2,…]。

例7:將用戶u1修改student表中列 name的權限取消。

REVOKE UPDATE (name) ON TABLE students FROM u1。

例8:將用戶u3查詢students表的權限取消。

REVOKE SELECT ON TABLE students FROM u3。

3) 數據加密。

數據加密的目的是為了保障數據在存儲、傳送過程中的完整性、機密性、可用性。對于如銀行、保險、政府、軍工等行業的數據庫中存儲的數據,保密級別要求較高,除了嚴格的身份認證與授權認證方式外,數據加密技術也必不可少。數據加密的一般方法即將源數據加密為無法直接進行訪問或識別的數據,即所謂的明文加密為密文,在不知道加密算法的前提下,用戶是無法獲取到真實的數據的。主流加密的方法有幾種。

替換法:將源數據中的每一個字符逐一轉換成為密文。

轉換法:對于源數據中的字符進行順序調換。

由于這兩種方法單獨使用時都存在一定的局限性,因此一般會結合這兩種方式,來提高數據的安全性。

3 結束語

多年來,數據庫的安全一直是一個沒有完全解決的問題。一方面是由于數據庫系統的日益復雜,在確保其查詢、修改、添加、統計等功能能夠便捷使用的前提下,無法兼顧其安全;另一方面由于數據庫能夠給管理員最大的權限,因此對于人為的數據泄漏沒有很好的解決方法,對于其安全性也帶來了極大的挑戰。本文通過對于SQL語言在數據庫安全方面的應用,細化其權限分配,以期能夠盡量地避免某一個用戶占用數據庫的大部分權限,減少數據庫的安全風險。同時通過強身份認證與相應的加密手段,加強數據的保護。

參考文獻

[1] [美]Robert Sheldon 著,黃開枝等譯.SQL 實用教程[M].北京:清華大學出版社,2004(34-50).

[2] [美]Alex Kriegel、Boris M.Tnukhnov著, 陳冰等譯.SQL寶典[M].北京:電子工業出版社,2003(19-30).

[3] 張勇.高安全的數據庫管理系統保護技術研究[D].華中科技大學博士學位論文, 2003.

[4] 程萬暈.多級安全數據庫管理系統的研究與實現[D].東北大學博士學位論文, 2003.

[5] 彭湃,戴一奇,李武軍.網絡密文數據庫的設計[J].清華大學學報(自然科學版),2001(1), 92-95.

作者簡介:

篇8

    在企業的管理信息系統中有眾多的企業文件在流轉,其中肯定有重要性文件,有的甚至涉及到企業的發展前途,如果這些信息在通用過網絡傳送時被競爭對手或不法分子竊聽、泄密、篡改或偽造,將會嚴重威脅企業的發展,所以,中小企業電子信息安全技術的研究具有重要意義。

    一、中小企業的信息化建設意義

    在這個網絡信息時代,企業的信息化進程不斷發展,信息成了企業成敗的關鍵,也是管理水平提高的重要途徑。如今企業的商務活動,基本上都采用電子商務的形式進行,企業的生產運作、運輸和銷售各個方面都運用到了信息化技術。如通過網絡收集一些關于原材料的質量,價格,出產地等信息來建立一個原材料信息系統,這個信息系統對原材料的采購有很大的作用。通過對數據的分析,可以得到跟多的采購建議和對策,實現企業電子信息化水準。有關調查顯示,百分之八十二的中小企業對網站的應還處于宣傳企業形象,產品和服務信息,收集客戶資料這一階段,而電子商務這樣關系到交易的應用還不到四分之一,這說明企業還未充分開發和利用商業渠道信息。中小企業信息化時代已經到來,企業應該加快信息化的建設。

    二、電子信息安全技術闡述

    1、電子信息中的加密技術

    加密技術能夠使數據的傳送更為安全和完整,加密技術分為對稱和非對稱加密兩種。其中對稱加密通常通過序列密碼或者分組機密來實現,包括明文、密鑰、加密算法以及解密算法等五個基本組成成分。非對稱加密與對稱加密有所不同,非對稱加密需要公開密鑰和私有密鑰兩個密鑰,公開密鑰和私有密鑰必須配對使用,用公開密鑰進行的加密,只有其對應的私有密匙才能解密。用私有密鑰進行的加密,也只有用其相應的公開密鑰才能解密。

    加密技術對傳送的電子信息能夠起到保密的作用。在發送電子信息時,發送人用加密密鑰或算法對所發的信息加密后將其發出,如果在傳輸過程中有人竊取信息,他只能得到密文,密文是無法理解的。接受著可以利用解密密鑰將密文解密,恢復成明文。

    2、防火墻技術

    隨著網絡技術的發展,一些郵件炸彈,病毒木馬和網上黑客等對網絡的安全也造成了很大的威脅。企業的信息化使其網絡也遭到同樣的威脅,企業電子信息的安全也難以得到保證。針對網絡不安全這種狀況,最初采取的一種保護措施就是防火墻。在我們的個人電腦中防火墻也起到了很大的作用,它可以阻止非黑客的入侵,電腦信息的篡改等。

    3、認證技術

    消息認證和身份認證是認證技術的兩種形式,消息認證主要用于確保信息的完整性和抗否認性,用戶通過消息認證來確認信息的真假和是否被第三方修改或偽造。身份認證使用與鑒別用戶的身份的,包括識別和驗證兩個步驟。明確和區分訪問者身份是識別,確認訪問者身份叫驗證。用戶在訪問一些非公開的資源時必須通過身份認證。比如訪問高校的查分系統時,必須要經過學號和密碼的驗證才能訪問。高校圖書館的一些資源要校園網才能進行訪問,非校園網的不能進入,除非付費申請一個合格的訪問身份。

    三、中小企業中電子信息的主要安全要素

    1、信息的機密性

    在今天這個網絡時代,信息的機密性工作似乎變得不那么容易了,但信息直接代表著企業的商業機密,如何保護企業信息不被竊取,篡改,濫用以及破壞,如何利用互聯網進行信息傳遞又能確保信息安全性已成為各中小企業必須解決的重要問題。

    2、信息的有效性

    隨著電子信息技術的發展,各中小企業都利用電子形式進行信息傳遞,信息的有效性直接關系的企業的經濟利益,也是個企業貿易順利進行的前提條件。所以要排除各種網絡故障、硬件故障,對這些網絡故障帶來的潛在威脅加以控制和預防,從而確保傳遞信息的有效性。

    3、信息的完整性

    企業交易各方的經營策略嚴重受到交易方的信息的完整性影響,所以保持交易各方的信息的完整性是非常重要對交易各方都是非常重要的。在對信息的處理過程中要預防對信息的隨意生成、修改,在傳送過程中要防止信息的丟失,保持信息的完整性是企業之間進行交易的基礎。

    四、解決中小企業中電子信息安全問題的策略

    1、構建中小企業電子信息安全管理體制

    解決信息安全問題除了使用安全技術以外,還應該建立一套完善的電子信息安全管理制度,以確保信息安全管理的順利進行。在一般中小企業中,最初建立的相關信息管理制度在很大程度上制約著一個信息系統的安全。如果安全管理制度出了問題,那么圍繞著這一制度來選擇和使用安全管理技術及手段將無法正常進行,信息的安全性就得不到保證。完善,嚴格的電子信息安全管理制度對信息系統的安全影響很大。在企業信息系統中,如果沒有嚴格完善的信息安全管理制度,電子信息安全技術和相關的安全工具是不可能發揮應有的作用的。

    2、利用企業的網絡條件來提供信息安全服務

    很多企業的多個二級單位都在系統內通過廣域網被聯通, 局域網在各單位都全部建成,企業應該利用這種良好的網絡條件來為企業提供良好的信息安全服務。通過企業這一網絡平臺技術標準,安全公告和安全法規,提供信息安全軟件下載,安全設備選型,提供在線信息安全教育和培訓,同時為企業員工提供一個交流經驗的場所。

    3、定期對安全防護軟件系統進行評估、改進

    隨著企業的發展,企業的信息化應用和信息技術也不斷發展,人們對信息安全問題的認識是隨著技術的發展而不斷提高的,在電子信息安全問題不斷被發現的同時,解決信息安全問題的安全防護軟件系統也應該不斷的改進,定期對系統進行評估。

    總之,各中小企業電子星系安全技術包含著技術和管理,以及制度等因素,隨著信息技術的不斷發展,不僅中小企業辦公室逐漸趨向辦公自動化,而且還確保了企業電子信息安全。

    參考文獻:

    [1]溫正衛;信息安全技術在電子政務系統中的應用[J];軟件導刊,2010

    [2]閆兵;企業信息安全概述及防范[J];科學咨訊,2010

篇9

論文摘要:隨著計算機網絡技術的越加廣泛的應用,人們無論是從日常的生活起居還是工作娛樂無處不充斥著計算機的影子,更重要的是計算機網絡已經成為人們進行管理、交易的不可或缺的橋梁,但是與此同時對于計算機網絡應用的安全性方面的要求也越來越高。該文從當前計算機發展所存在的威脅入手,論述了計算機網絡安全認證體系的發展與完善以及其具有的功能,以達到計算機網絡能夠更好地為人們服務的目的。

1 計算機網絡發展存在的威脅

目前計算機網絡的現狀是面臨著多方面的攻擊與威脅。第一種威脅的表現形式為偽裝,指的就是威脅源在特定時刻裝扮成另一個實體的形式,并借助這個實體的權利進行操控;第二種威脅的表現形式為非法連接,指的是威脅源利用非法的手段建立一個合法的身份, 再通過將網絡實體與網絡源兩者之間建立非法的連接一達到最終的目的;第三種威脅的表現形式為非法授權訪問,指的就是威脅源采用一定的手段破壞訪問并控制服務,最終實現了越權訪問;第四種威脅的表現形式為拒絕服務,指的是通過一定手段的利用阻止合法的網絡用戶或者擁有其他合法權限的用戶使用某項服務;第五種威脅的表現形式為信息泄露,指的是沒有經過授權的實體通過某種特定手段獲取到信息后造成的某些信息的泄露;最后一種威脅的表現形式為無效的信息流,即為對正確的信息序列進行非法修改、刪除的操作,使之成為無效信息的非法手段。上述種種威脅的形成原因大多數是人為造成的, 威脅源可以來自于用戶,也可以來自于部分程序,也可以來自于某些潛在的威脅等。所以加強對于計算機網絡安全的管理和研究的目的就是最大限度地消除這些威脅。

2 計算機網絡安全認證體系的完善

首先表現為安全服務系統的建立。

第一,身份認證。身份認證作為訪問控制的基礎,是解決主動攻擊威脅的重要防御措施之一。因為驗證身份的方式一般采用網絡進行的模式而不是直接參與,而且常規驗證身份的方式在網絡上也不是十分地適用,同時大量的黑客還會隨時隨地以冒名頂替的身份向網絡滲透, 所以網絡環境下的身份認證特別復雜,而“身份認證如果想要做到準確無誤地對來訪者進行辨別, 同時還必須提供雙向的認證”1,必須采用高強度的密碼技術來進行身份認證的建立與完善。

第二,訪問控制。進行訪問控制是為了達到控制不同的用戶對信息資源的訪問權限的目的,實質上是針對越權使用資源的一種防御措施。而訪問控制的種類亦可從方式上分為自主式訪問控制和強制式訪問控制兩類。實現的機制可以是通過對訪問屬性控制的訪問控制表的控制, 也可以是根據安全標簽、用戶分類以及資源分檔等三類控制實現的多級控制。

第三,數據保密。數據保密是為了防止信息泄露所采取的防御措施。數據加密是最為常見的確保通信安全的手段, 但是隨著計算機網絡技術的迅猛發展,傳統的加密方法不斷地被用戶以及黑客們破譯,所以不得不加強對更高強度的加密算法的研究, 以實現最終的數據保密的目的。

第四,數據完整性。所謂的數據完整性是針對那些非法篡改信息、文件及業務流等威脅而采取的較為有效的防范措施。實質上就是保護網上所傳輸的數據防以免其被修改、替換、刪除、插入或重發, 從而全面保護合法用戶在接收和使用該數據時的真實性與完整性。

其次表現為安全機制的發展與完善

在經過了對于計算機網絡的安全認證提的創建之后,完善與健全與安全服務有關的安全機制也是必不可少的。第一方面是安全服務方面的安全機制的發展,具體表現為加密機機制、認證交換機制、數字簽名機制、數據完整性機制、訪問控制機制、路由控制機制等多個方面;第二方面是對于與管理有關的安全機制的健全,主要包含有安全審核機制、安全標記機制以及安全恢復機制等三個方面。

1989年,為了實現開放系統的互聯網環境下對于信息安全的要求, 國際標準化組織ISO/TC97的技術委員會專門制訂了對于計算機網絡安全與管理ISO7498- 2的國際標準。這一標準的建立不僅實現了對于OSI參考模型之間的安全通信所必須的安全服務和安全機制的開建,同時也建立了“開放系統互聯標準的安全體系結構框架”2, 為網絡安全與管理的系統研究奠定了堅實的基礎。同時也開創了網絡安全的保證需要進行認證的先河。 轉貼于

3 計算機網絡當前的管理功能

針對計算機網絡的管理一共可分為兩類:第一類指的是計算機網絡應用的程序、用戶帳號以及存取權限的管理, 屬性上歸類為與軟件有關的計算機網絡管理問題;第二類指的是針對組成計算機網絡的硬件方面的管理,主要包括有對工作站、路由器、網卡、服務器、網橋和集線器等多方面、多角度的管理。在應用計算機網絡進行管理時需要遵循以下原則: 一是不能因為管理信息而帶來的通信量增加而增加網絡的通信量;而是注意不應增加被管理設備上的協議進行系統處理時的額外開銷, 從而導致削弱設備的主要功能的現象發生。而當前的計算機網絡管理的功能主要表現為以下幾個方面:

1) 對于故障的管理。故障管理指的是對網絡中出現的問題或者故障進行檢測、隔離和糾正的過程。通過對故障管理技術的使用,可以使得網絡管理者在最快的時間內確定問題和故障點,以達到最終排除問題故障的目的。而故障管理的過程主要包括發現問題、分離問題、找出故障的原因三個方面,所以,想要保證計算機網絡管理的安全,應該在盡可能地情況下,盡量地保證故障的排除。

2) 配置管理。配置管理是在進行計算機網絡管理的過程中發現并進行設置網絡設備的過程。配置管理的主要功能指的是通過快速提供設備的配置數據從而實現快速的訪問的目的,同時在一定程度上行加強管理人員對于網絡的整體制, 可以采用正在使用中的配置數據與存儲于系統中的數據相比較的方式發現問題,進而根據需要盡可能地修改配置。對于計算機網絡的配置管理主要包括有獲取關于目前網絡配置的信息,提供遠程修改設備配置的手段和存儲數據以及維護最新的設備清單并據此產生報告等三方面的內容。

3) 安全管理。安全管理指的是對于計算機網絡中的信息的訪問過程進行控制的一種管理模式。“功能主要包含為支持身份鑒別和規定身份鑒別過程的兩個方面?!?隨著計算機網絡的規模越來越龐大,其復雜程度和精細程度也越來越高,為了保證計算機網絡功能的良好運行, 確保其提供給客戶滿意的服務,亟須使用計算機網絡管理系統進行全方位自動化的管理。計算機網絡的管理系統通過對管理、監視和控制計算機網絡三方面的功能的控制, 即實現了對計算機網絡進行管理的目的,所以說計算機網絡管理系統的應用對于計算機網絡功能的正常運行及發揮具有極其重要的決定作用。

4 結束語

據資料顯示:目前有55% 的企業網站缺乏安全戰略的考慮,僅僅依靠一些簡單的措施來進行防護,這樣的做法既無法實現對網絡安全的保障, 同時又會對網絡的服務性能產生一定的影響。所以應加大發展計算機網絡安全與管理的投入力度。只有從根本上加強了網絡與信息安全管理的意識, 同時不斷地改進和發展網絡安全的保密技術, 才能防患于未然,減少不必要的損失。

參考文獻

[1] 趙怡.基于視頻技術的交通管理系統的研究與設計[D].復旦大學,2009.

[2] 李凌.民航機場安檢信息管理系統開發與實施[D].西南交通大學,2009.

[3] 王健.計算機網絡的安全技術[J].寧夏機械,2009(4).

[4] 宋華平.計算機網絡安全與防范[J].機電信息,2010(12).

[5] 劉君.計算機網絡安全分析及其對策[J].科技風,2010(9).

[6] 倪汝鷹.企業網絡安全管理維護之探析[J].現代企業教育,2010(10).

篇10

【論文關鍵詞】soa web服務 數字教育資源 一站式 協同 

【論文摘 要】充分利用網絡共享優質教育資源,是當前教育數字化深入發展需要解決的關鍵問題之一。本文對分布式數字教育資源協同的需求進行了分析,提出了soa環境下數字教育資源協同共享框架模型(mersca),論述了系統的主要架構和關鍵技術實現。希望在對現有各資源站點改動最小的基礎上解決資源的共享和增值應用問題,創新數字教育資源公共服務模式,提高資源的利用效率。 

 

一、引言 

數字教育通過實現教育從環境、資源到應用的數字化,使現實校園環境憑借信息系統在時間和空間上得到延伸[1]。soa(service oriented architecture,面向服務架構)是為解決分布式互聯網環境下的資源共享和重用而提出的一種新型軟件系統架構,它允許不同系統能夠進行無縫通信和異構資源共享。 

傳統的網絡教育資源使用模式降低了遠程教育系統中的資源通用性能力,造成了大量資源浪費。建設開放共享的數字教育公共服務體系是國家實施現代遠程教育工程的核心組成部分,也是《國家中長期科學和技術發展規劃綱要(2006-2020年)》的重要主題[2]。soa(面向服務架構)為數字教育服務體系建設提供了最佳支持,為構建開放的數字教育公共服務支撐平臺,建立新型的面向數字教育的公共服務機制,國家支持實施了“數字化學習港與終身學習社會的建設與示范”、“數字教育公共服務示范工程”等多項重大項目,目前已經初步建立了“奧鵬”、“弘成”和“知金”三個覆蓋全國的網絡教育公共服務體系[3]。 

在分布式教育資源服務的集成應用中,信息的交互、共享和數據的安全訪問是關鍵內容[4]。設計一個全局的資源協同和訪問框架來屏蔽資源平臺差異,實現分布式資源的共享,以支持優質教育資源增值應用,構建開放和便捷的資源整合服務,成為soa環境下教育資源數字化建設需要解決的首要問題。 

本文在對分布式環境下數字教育資源協同的需求進行分析的基礎上,設計了soa環境下數字教育資源協同共享框架模型(mersca, model of e-learning resources sharing andcoordination architecture),然后從協同數字教育資源一站式訪問和數字教育資源服務基于序關系的協同兩個方面討論了mersca實現的關鍵技術。實踐研究表明,mersca模型是分布式數字教育資源協同共享系統建構中一種可行和實用的方案。 

二、分布式數字教育資源協同需求分析 

數字教育要達到的重要目標是信息共享和應用集成,需要經過一個長期的建設和完善過程[5],涵蓋資源建設、資源集成、知識處理、平臺接入和運行、質量監控和資源評價等多個方面,所以在建設之初就應融入基于全局觀點、具有可擴展性和新技術兼容等多個方面的考量。 

soa環境下數字教育資源協同共享框架及實現涉及資源協同的可擴展性、資源訪問的便捷性、用戶身份的管理以及認證、授權、加密等多項技術,框架的整體設計應滿足以下目標: 

(1)靈活性 

數字教育服務架構通過通用性的服務接口調用來實現資源的跨域整合,個體原子服務獨立于實現平臺,具有松耦合、可擴展等特點,它們往往在不同時期由不同廠商開發,設計方法和開發技術也有所不同,各自擁有獨立的用戶認證體系,也因此導致了目前各個系統的用戶數據分散,不能統一管理,難以共享數據的現狀[6]。數字教育資源一站式協同架構需要從整體上靈活地鑒別用戶,為這些多類型的安全服務提供基于整體訪問的跨域安全集成,提供統一訪問入口,從而提高優質資源整合的敏捷性。 

(2)信任遷移 

面向服務的思想使得資源應用逐漸趨向于分布式和相互合作的形式,用戶的身份和授權也不再局限于某一特定的信任域。當資源來源于多個安全域,為保證資源交互活動安全,每次訪問都需要對用戶進行身份和權限準入確認,降低了資源使用效率[7]。因此需要一種信任遷移機制,能夠提供一個整體的、運行時身份驗證盡可能少的安全信息共享方案。資源訪問主體只需要在某個安全域中進行一次身份認證,就可以訪問其被授權的當前安全域其他資源或被當前安全域信任的其他域中的資源,不必通過多次身份驗證操作來獲得授權。 

(3)可伸縮 

模型應當能夠提供開放式體系結構,實現可擴展的安全訪問機制,框架應當將信息系統所面對的教育企業或機構從整體應用的角度統一對待,保持通過增加資源使服務價值產生線性增長的能力。當有新的應用需要部署或增加時,不需要對應用程序本身進行大量修改,通過考量安全方案規劃技術發展因素,使新的安全技術和規范可以很方便地融入[8]。 

三、數字教育資源一站式協同 

架構模型(mersca) 

soa環境下數字教育資源協同共享框架模型結構如圖1所示。mersca采用層次結構建模方法,從數字教育資源服務中協同資源一站式訪問與基于序關系的動態協同兩個核心技術構建資源的安全整合,把握用戶對于教學設計邏輯和資源訪問等個性化需求,在進行異構數字教育資源協同架構規劃中兼顧目前和未來的發展。mersca模型從下至上分為資源管理層、通信層、資源組合層、資源協同層和應用層。 

(1)資源管理層 

我國教育數字化建設中的一個重要組成部分就是網絡教育資源開發。為促進網絡教育資源建設,國家投入了大量的人力、物力和財力,目前已經建立起了媒體素材、在線題庫、網絡課件、網上教學案例、網絡課程等多種類型的數字教育資源[9]。 

在mersca中,資源管理層從分布式的優質教育資源中提取類型資源共性,參照已定義好的統一接口標準,將資源屬性對應于標準屬性用xml格式字符串描述出來,形成統一的資源描述規范和服務接口。同時通過wsdl協議描述數字教育資源的服務,實現標準的接口綁定和異構資源的服務封裝,并進行注冊和功能分類的集中管理,在對現有各資源站點改動最小的基礎上解決資源的共享和增值應用問題。資源管理層為通信層和資源服務組合層提供了資源的預處理功能,通過服務接口對外提供教育資源服務。 

(2)通信層 

通信層使用基于xml的soap協議(simple object access protocol,簡單對象訪問協議)對教育資源交互信息進行描述。應用程序之間基于soap進行相互溝通時,不需要知道彼此是在哪一種操作平臺上操作或是各自如何實現等細節信息。soap代表了一套資源如何呈現與延伸的共享規則,它是一個獨立的信息,可以獨自運作在不同的操作系統上面,并可以使用各種不同的通訊方式來傳輸,例如smtp、mime,或是http等。 

無論基于.net技術開發的教育資源系統,還是應用java技術開發的教育資源系統,通過soap協議,系統之間能夠相互進行溝通和資源共享,資源系統之間的平臺架構和實現細節是彼此透明的。 

(3)教育資源服務組合層 

資源組合層基于bpel4ws業務流,在web服務組合引擎所提供的質量控制、消息路由、信息管理、事務管理和流程管理等功能的支持下進行資源服務集成。通過可視化編排方式,資源組合層將不同的教育資源原子服務依據教學設計者設定的邏輯組合在一起,屏蔽底層信息基礎設施的變遷,合理地安排這些服務的運行順序,以形成大粒度的、具有內部流程邏輯的教育資源整合,充分發揮優質教育資源服務的潛力,形成“1+1>2”的服務資源集成增值效果。 

bpel4ws基于xml schema、xpath及xslt等規范,提供了一套標準化語法對業務流程所綁定的web服務交互特性及控制邏輯進行描述。通過對業務流程中教育服務資源的交互行為建模,bpel4ws以可視化和有序的方式協調它們之間的交互活動達成教育資源服務的組合應用目標。 

(4)教育資源協同層 

異構數字教育資源服務的協同應用過程涉及處于不同計算域下的多個資源提供者,當用戶訪問分布式的多域數字教育資源時,就會涉及安全邊界跨越問題,需要登陸不同系統,接受多次安全身份驗證,安全與訪問效率都無法得到保證。 

安全聲明標記語言saml是信息標準化促進組織(oasis)為產生和交換使用者認證而制定的一項標準規范,它基于xml架構在不同的在線應用場景中決定請求者、請求內容以及是否有授權提出需求等,同時為交易的雙方提供交換授權和確認的機制,達到可轉移的信任。安全協同層基于saml實現用戶在多個資源提供者之間身份和安全信息的遷移,通過數字加密和簽名技術保證系統消息之間的保密性。用戶只需在網絡中主動地進行一次身份認證登陸,不需再次登陸就能夠在達成信任關系的成員單位之間無縫地訪問授權資源。資源安全協同層所采用的一站式訪問形式減少了認證次數,同時也降低了用戶訪問資源時的時間成本。 

(5)應用層 

應用層是系統功能和使用者交互的接口,提供安全管理入口、資源展示、資源新聞、知識宣傳等功能。e-learning學習信息門戶是應用層信息資源集成界面與終端使用者之間進行信息交互的橋梁,它通過一站式服務為學習者提供分布式數字教育資源集成服務中的核心業務。學習者通過信息門戶模塊進入學習環境,依據自身的需要和意愿選擇合適的學習資源,來完成通過多個安全域中的分布式資源整合而形成的系列課程學習。 

四、mersca模型的關鍵技術實現 

依托國家“十一五”科技支撐計劃課題“數字教育公共服務示范工程”,mersca模型已在實踐應用環境中得到成功實施。mersca通過分布式的數字教育資源服務整合來凝聚分布于網絡中的各種教育資源,實現了教育資源的共享和協同,并提供安全方便的資源訪問模式。mersca的成功實施依賴于協同數字教育資源一站式訪問和資源服務基于序關系的協同兩個關鍵技術。 

 

1.協同教育資源的一站式訪問 

協同資源一站式訪問技術通過使用saml安全信牌確保可移植的信任遷移,在分布式的教育資源提供者之間共享用戶身份驗證信息和授權信息,同時又保證資源提供者對資源的控制權。saml安全信牌由身份認證權威生成,它的生命周期也由身份認證權威來管理。完整的一站式訪問安全認證實現過程如圖2所示,主要由六個步驟組成: 

(1)學習者向身份認證權威的soap安全agent提交身份驗證信息,請求確認身份的合法性; 

(2)在確認學習者身份為合法后,身份認證權威為學習者創建含有saml合法性判決標識文件的安全信牌,并將該信牌返回給學習者; 

(3)學習者在教學設計業務流程邏輯的引導下,通過點擊目標資源地址的url來試圖訪問某個協同學習資源,同時將合法性標識文件作為url的一部分發送給資源站點,然后被重新定向到資源提供者; 

(4)學習資源提供者的soap安全agent收到步驟(3)傳遞來的信息,從合法性標識文件中解析出身份認證權威的地址信息,然后向身份認證權威的soap安全agent發送包含合法性標識文件的saml請求; 

(5)身份認證權威的soap安全agent收到saml請求后,從請求中包含的合法性引用信息找到相關認證,然后將認證信息封裝在soap包中,以saml響應方式傳送給資源提供者; 

(6)資源提供者的soap安全agent檢查學習者安全信牌信息,如果檢查成功則將學習者重新定向到數字學習資源所在的url,并將所需資源發送到學習者瀏覽器,否則將拒絕用戶訪問。 

在步驟(2)~(6)中,由于在重定位url后附有與學習者認證相關的安全信息,可采用簽名和加密的方式來保障認證信息的機密性和完整性。為確保發送方和接收方身份的真實性,步驟(4)和(5)中資源提供者和身份認證權威需要進行雙向認證,它們在傳輸身份聲明的過程中對學習者是透明的。 

協同資源一站式訪問的實現讓學習者在訪問不同的服務資源時避免身份重復認證,節省了學習者的學習時間,提高了系統資源的服務效率。 

2. 資源服務基于序關系的協同 

資源服務基于序關系的協同技術將分布式環境下的教育資源服務看作獨立的功能模塊,通過bpel4ws(web服務業務流程執行語言)流程活動綁定這些資源模塊,通過結構化業務流程活動來定義資源服務活動之間基于序的邏輯關系,實現數字教育資源協同,組成大粒度增值應用服務。bpel4ws流程引擎為業務流程所綁定的資源提供了控制與管理支持。教育資源設計者可以方便地依據教學設計思想采取可視化的方式編排資源協同關系,更方便地適應學習者的個性化學習需求。 

圖3展示了一個基于bpel4ws的簡易資源協同實例,bpel4ws業務該流程通過三個基本活動分別綁定了由不同提供者提供的“c語言基本知識和測試服務”、“c語言高階知識服務”和“c語言基本知識鞏固服務” 分布式資源,基于教學設計序邏輯組成“c語言知識集成服務”組合服務。當e-learning學習門戶接收到學習者的服務請求時,組合服務資源主要協同過程描述如下: 

(1)流程“receive”協同服務接口接收開始信息啟動業務流程,啟動一個資源協同實例; 

(2)“c語言基本知識和測試服務”通過基礎知識服務接口為學習者提供c語言基礎知識學習資源,通過測試接口對學習者進行知識測試; 

(3)“c語言基本知識和測試服務”將測試結果得分提交給bpel4ws學習流程; 

(4)bpel4ws流程對學習者的學習績效進行邏輯判決; 

(5)當學習者得分小于60時,學習流程引導學習者進入“知識鞏固服務”,進行知識鞏固;當學習者得分大于60時,學習流程將引導學習者進行高階知識學習; 

(6)學習者知識學習結束,學習流程通過“reply”協同服務輸出接口發送終止信息終止業務流程,結束學習過程。 

五、結論與展望 

屏蔽資源平臺差異、構建便捷的一站式數字教育資源整合服務是開放環境下數字教育服務建設需要解決的核心問題之一。本文提出了一種面向soa環境的數字教育資源一站式協同架構模型mersca,mersca采用分層結構,通過對數字教育資源的服務包裝,實現了資源的共享和可重用;通過基于saml的安全信息共享技術,實現了一站式訪問;通過bpel4ws綁定,實現數字教育資源基于教學設計思想的增值協同。mersca具有良好的擴展性、集成性以及與平臺無關等特點,適用于數字教育資源跨部門協同應用中的信息共享和資源整合。模型的實現過程證明,該方案具有可行性和實用性。這些特點在筆者參與的國家科技支撐計劃課題“數字教育公共服務示范工程”實踐應用中得到了證明。未來的工作將主要集中在業務流程級別安全性的設計與實現方面,以便提供一個更完善的數字教育資源集成服務安全體系。

 

參考文獻: 

[1] 余勝泉. 從知識傳遞到認知建構、再到情境認知——三代移動學習的發展與展望[j]. 中國電化教育,2007,(6):07-19. 

[2] 馮琳,郝丹. 現代教育服務業與數字化學習港——第十五次“中國遠程教育學術圓桌”綜述[j]. 中國遠程教育,2007,(9):05-17. 

[3] 楊宗凱. 數字教育服務體系和環境的構建[j]. 中國遠程教育,2007,(10):57-58. 

[4] 鐘志賢,王覓,林安琪. 論遠程學習者的資源管理[j]. 遠程教育雜志,2008,(6):48-52. 

[5] 羅勇為. 基于生態學視角的基礎教育信息化可持續發展研究[j].中國遠程教育,2010,(6):22-26. 

[6] shang chao wang,liu qing tang,etc.requirement driven learning management architecture based on bpel [j].journal of donghua university,2010,(02): 263- 267. 

[7] 楊宏宇,孫宇超,姜德全. 基于saml和pmi的授權管理模型[j].吉林大學學報,2008,(6):1321-1325.