基于PKI的智能卡双向身份认证机制的设计与实现
这是一篇关于信息安全,公钥基础设施,企业级Java Bean,轻量级目录访问协议,智能卡,认证的论文, 主要内容为通过网络进行的电子政务、电子商务、电子事务等活动由于缺少物理的接触,因而使得用电子方式验证信任关系变得至关重要。网络,特别是Internet网络的安全应用已经离不开PKI(Public Key Infrastructure)技术的支持。PKI技术能够满足网络应用中的机密性、真实性、完整性、不可否认性和存取控制等安全需求。PKI的核心是CA,保证私钥等敏感数据的安全是PKI体系安全的基础。智能卡是私钥和数字证书的最佳载体,也是密码算法的提供者,它和PKI的结合可以实现更加安全可靠的身份认证,从而提高PKI体系的整体安全性。 本文设计并实现了一个基于J2EE(Java2 Enterprise Edition)体系的高安全性、可伸缩的PKI系统,并在房地产管理系统中得到了成功的应用。论文的主要工作内容有:①以EJB(Enterprise Java Bean)实现CA(Certification Authority)服务器②以JSP(Java Server Pages)和Servlet为手段实现RA(Registration Authority)服务器③采用PAM模块方式实现基于智能卡客户端验证模块,客户需要出示有效智能卡才能通过身份验证。PAM模块以Java Applet的形式嵌入Web客户端实现和业务系统的跨平台集成。 本文对上述模块进行了详细分析,采用LDAP(Lightweight Directory AccessProtocol)服务器存放和管理数字证书,客户端通过多级别安全连接访问相应的信息。客户的密钥和证书存储在智能卡上,利用OCF(Open Card Frame Work)框架完成智能卡客户端认证功能,通过配置服务器的SSL功能实现客户对服务器的认证。 本文最后对研究的内容进行了总结,并指出系统存在的不足。在此基础上,对如何提高CA安全性和更好地利用智能卡增强系统安全性提出了自己的设想和展望。
基于智能卡的身份认证技术的研究
这是一篇关于认证,双私钥双随机数,双线性对,nonce的论文, 主要内容为计算机网络是一个开放的系统,也正由于其开放性导致计算机网络中存在相当多的安全漏洞和安全威胁,网络中的各类资源很容易被人非法访问和复制。因此对网络资源访问者的合法身份进行认证就显得非常重要,身份认证技术已经成为网络系统安全中最重要的技术之一。身份认证是一种证实用户所声称的身份是否真实的技术,结合密码学技术,许多专家和学者提出了有关身份认证的有效方案。1981年,Lamport提出了一种基于密码表的用户认证方案。此方案可以抵抗重传攻击,然而,当存储在主机的口令一旦遭到攻击者的攻击,方案将无任何安全可言,同时该方案的计算量非常大,实用性不强。为改进远程认证的效率并增强其安全性,避免对密码表的所有可能的攻击,许多基于智能卡的认证方案被提出。智能卡可以作为一种更有效的用以认证身份的个人持有物。由于智能卡具有数据处理能力,它可进行较复杂的操作,能实现系统与持卡人之间的相互认证,所以用智能卡作为用户身份标识时,采用合适的认证协议,可以使系统的安全性大大提高,它在认证系统中起到非常重要的作用。 安全可靠的身份认证方案是认证系统的核心。本文首先对智能卡的基础知识、身份认证技术及其密码学基础进行了相关的介绍,然后对一系列基于智能卡的认证方案进行分析,尤其是Manik Lal Das的双线性对身份认证方案,针对其存在时钟同步问题,易遭受伪造攻击等安全隐患,在“智能卡”方案基础上,采用双线性对和"nonce"概念,提出了双私钥双随机数认证方案DDAS。该方案在很好地解决时钟同步问题的同时,还能有效地防止伪造攻击,更加安全高效地完成交互认证。 本文采用B/S模式对DDAS进行了模拟实现。该认证系统使用Java语言编程实现,它采用目前流行的Struts框架作为web应用框架,Tomcat作为web应用服务器,客户端采用JSP表现形式,数据库使用了mysql。系统设计简练,认证灵活,实现了高强度的认证保护,在文章的最后部分,对认证模型进行了总结,并对需要改进和扩展的地方进行了说明。
甘肃联通4A统一安全管理平台的设计
这是一篇关于4A,账号,认证,授权,审计的论文, 主要内容为随着电信网络规模的逐年扩大,运营商对信息安全系统的建设愈加重视,同时传统的账号管理、网络配置、操作审计等网络维护管理方式的风险和隐患逐步显现,为了保证网络数据安全、提升业务运行维护的效率,甘肃联通迫切需要一套统一安全管理平台(后文简称为4A平台),实现对业务系统账号(Account)、认证(Authentication)、授权(Authorization)和审计(Audit)的全面和集中管理。本文依据工信部4A安全考核要求和甘肃联通基础网络安全运维需求,提出了甘肃联通4A平台设计方案。主要设计工作内容及方法包括:首先,完成了4A平台与各专业网络的互通,实现了网络资源能够统一完整地接入;其次,在省级层部署运维门户和认证模块,面向省内各资源管理网络部署堡垒机采集机,实现对纳管的“应用资源”、“系统资源”的操作访问控制和日志收集;最后,配合集团层完成网络端口、链路和IP地址的网络配置和联调,最终实现集团层与省级层之间的数据同步。甘肃联通4A平台建设需要纳入三级及三级以上网元,但现网各个专业网管(数据网管、无线网管、传输网管、核心网网管)独立组网;地市到省分网管中心的网管业务承载方式多样,一部分承载在甘肃联通信息化部IT承载网或IP承载A网,一部分通过2M链路组网;现网各专业带外网管未与生产网分离,维护风险大,第三方平台无法实现平滑无缝接入,后期新建云平台无法接入实现集中运维。因此甘肃联通4A平台的建设中需要整合接入4A平台的网元,即网管网改造。在设计实施中,本人全面梳理了省内拟建4A管理平台的业务需求、功能目标、覆盖范围和整体方案。经过资源现状调研,全面掌握了省内需纳管系统的网络拓扑、设备软硬件配置信息;完成地市网管网至兰州网管网的打通;根据工程建设目标,配合“第三方集成商”制定了资源接管所需的网络方案和接管资源侧账号密码、登录认证相关参数的配置方案;规划了4A平台接入CE路由器和IP承载B网所涉及的网络端口、链路和IP地址资源,协调完成堡垒采集机接入平台所涉及的网络端口、链路和IP地址资源配置和联调;负责实现4A平台与各专业线“资源管理网络”的网络打通实施配置和网络层联调。4A平台解决了业务支撑系统内部用户帐号管理、授权管理相关问题,并将甘肃联通应用系统、主机系统、数据库、网络设备和安全设备整合到管理平台系统中,通过该平台对业务支撑系统所有IT资源进行集中管控,提供集中的帐号管理和授权管理,提升业务支撑系统的安全性和管理能力。本设计主要的创新点是实现了分部门的精确管理,满足了甘肃联通各部门的不同规范要求;同时根据《中国联通业务支撑网4A安全技术规范》的新要求对金库式管理、支撑系统管理流程提出了新的规划。4A平台可对授权人员的运维操作进行记录、分析、展现,做到事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放,加强了内部业务操作行为监管,实现了日常运维和业务使用可视、可控、可信。4A系统在甘肃联通试运行后,从技术上保证了公司网络安全策略的实施,为甘肃联通网络安全保驾护航。
微服务架构的数据传输和鉴权安全研究
这是一篇关于微服务,微服务架构,数据加密,认证,授权的论文, 主要内容为随着企业业务复杂性的不断增加,传统软件系统正变得越来越臃肿庞大,随之而来的是越来越高的系统维护成本。微服务架构的出现,很好地解决了传统系统所面临的诸如开发周期长、难以维护等问题。然而,由于基于微服务架构的软件系统由众多的细粒度服务组成,复杂的系统内通信将有可能引入更多的安全隐患。事实上,用户对安全隐患的考虑会影响用户对微服务架构的选择及使用。因此,设计一个不但高效、而且安全的微服务架构,将有利于在企业业务系统开发中普及微服务架构,进而能够提高应用软件维护以及二次开发的效率。在微服务架构复杂的通信环境中,如何保障数据传输安全是微服务系统的设计重点之一。近些年数据安全领域提出了多种混合加密的方法。此类混合加密方法结合了对称加密算法和非对称加密算法各自的优势。然而,由于单一的混合加密算法在通信过程中无法防御中间人攻击,这些方法的安全性通常较低。针对微服务架构的特点,本文提出了一种基于混合加密的数据传输方案。该方案通过构建一个非对称加密微服务提供了对混合加密算法中传输密钥的安全性验证,以保障数据通信的正确性。进一步,为了有效提高微服务架构系统中,服务认证和授权的安全性和执行效率,本文提出了一套轻量级的认证鉴权机制。该鉴权机制主要涉及微服务架构系统中的三种访问控制场景:用户与服务的鉴权、服务与服务的鉴权和用户与第三方应用的鉴权。首先针对用户与服务的调用场景,提出了一种随机数加盐加密的安全策略;然后针对服务与服务的通信场景,提出了一种鉴于单点登录的统一认证机制;最后针对用户与第三方应用的应用场景,提出一个基于OAuth技术的鉴权方法。上述各种访问控制场景中的认证鉴权机制通过服务之间正确的认证和准确的授权,确保了微服务系统的不同微服务之间的通信安全性。最后,本文搭建了一个微服务架构系统作为实验环境,对本文提出的方法进行验证实验,并与基准的混合加密方案进行了对比。实验结果表明,在微服务架构中,本文提出的方法能够保障服务间传输数据较高的安全性,以及维持较高的通信效率。
基于微服务架构的电商平台安全机制的设计与实现
这是一篇关于微服务,认证,授权,接口安全,流量控制的论文, 主要内容为近年来,随着信息技术的快速发展,软件开发技术也在不断变化,除了传统的单体式应用结构,微服务架构在企业应用开发中已经被广泛使用,微服务正成为软件开发领域的研究热点。微服务以其灵活、分散、解耦方便、开发速度快等优点,成为大型企业应用开发的技术首选。基于微服务架构进行系统开发最基本的指导思想就是最大程度地实现功能解耦。但是从整个系统的角度来看,其在微服务架构下复杂性更高了,特别是在系统的安全性方面,将会面临更多的问题。保障系统安全,是系统应用的前提条件,因此研究微服务架构下应用的安全问题具有重要意义。论文以国内某企业的电商采购平台为项目背景,讨论了平台在采用微服务架构进行开发时,带来的新的安全隐患,进而提出了平台的安全需求,并完成了安全方案的设计与实现。首先是用户的身份认证及授权部分,由于每个服务在微服务架构下都是作为一个独立的项目开发的,因此如果所有服务都需要处理用户的身份认证和授权问题,势必会提高应用开发的难度,同时增加系统管理的复杂性。因此如何实现让用户在一次登录后就可以保持登录状态,并访问所有微服务,即实现单点登录功能,是需要解决的问题。同时对于部分接口的访问还会有数据加密,数据校验,重放攻击防护等安全性方面的需求。此外为了保证平台平稳运行,应实现对系统流量的精准控制。最后为了当系统出现问题时能及时发现并排查,还需要实现对于微服务的监控功能。因此本文针对微服务架构下平台的安全机制进行研究。基于以上平台面临的安全隐患,论文从以下几个方面完成主要功能的开发工作:(1)搭建OAuth认证服务器,用户通过认证服务器完成认证、获取令牌等操作,实现了单点登录的功能。(2)搭建API网关,所有访问微服务的请求都必须经过网关,网关完成对请求的合法性校验后,再将其转发到对应的服务,这样可以简化系统逻辑。(3)对于接口安全问题,将AES加密算法和RSA加密算法相结合,实现对数据的加解密,并使用签名机制完成数据校验,解决前后端数据的安全传输问题。同时利用时间戳、签名和缓存实现对接口重放攻击的防护。(4)利用阿里的Sentinel实现了对微服务流量的精准控制以及熔断降级操作,最后通过使用开源工具实现了对服务的有效监控,主要包括指标监控、日志监控和调用链监控三个方面。完成系统实现以后,通过功能验证及性能分析,证明了方案的可行性,可以为平台业务的稳定运行提供保障。
本文内容包括但不限于文字、数据、图表及超链接等)均来源于该信息及资料的相关主题。发布者:代码助手 ,原文地址:https://m.bishedaima.com/lunwen/45255.html
