身份认证技术范文

身份认证技术范文（精选11篇）

身份认证技术 第1篇

随着信息网络技术的发展, 许多企业都建立了大量的应用系统。由于每个应用系统都有各自的登录界面和安全策略, 用户都需要单独进行注册后才能登录。于是, 用户需要记忆与不同系统对应的用户名和密码来进行身份认证, 这无疑增加了出错的可能性及操作的复杂度。

因此, 提出了统一身份认证的概念, 即将不同的认证方式进行整合和统一, 在多个应用系统中, 用户只需要认证身份一次, 认证后就可以访问具有相应权限的其他应用系统, 从而实现单点登录和统一身份认证。

二、单点登录的实现方式

2.1基于cookie的方式

Cookie是Web服务器通过HTTP响应在客户端浏览器中保存的信息, 可以包含任何内容, 但通常包含用户会话状态信息。目前, cookie已广泛应用于Web中, 如Microsoft的Passport单点登录服务就是借助于cookie记录来完成的。例如在同一个应用系统中, 用户在访问页面A时进行了登录, Web服务器会设置一个cookie, 并将这个cookie和页面A一起返回给用户的浏览器, 浏览器接收cookie后, 就会保存起来。

当用户再次访问页面B时, Web服务器接收到请求可以读取出用户的cookie的值, 根据cookie的值内容就可以获得用户的状态信息, 从而判断出用户是否能够访问页面B。

2.2基于票据的方式

美国麻省理工学院于1993年推出了基于票据的单点登录认证协议kerberos, 该协议的特点就是, 有一个管理用户帐号的票据认证服务器, 票据认证服务器扮演着经纪人的角色, 所有的认证都是由它完成, 并在成功认证操作之后生成的票据。

客户端在访问系统资源之前向票据认证服务器进行身份认证, 当用户通过身份认证后, 票据认证服务器为用户产生一张认证票据, 并返回给用户, 用户可以凭借这张认证票据来访问所有授权的应用服务器。

2.3基于代理的方式

基于代理agent的单点登录方法, 通过在统一认证服务器部署一个进行代理认证的“代理”程序, 当客户端向应用服务器发送登录请求时, 自动地为不同的应用程序认证用户身份, 它可以使用口令表或加密密钥来自动地将认证的负担从用户移开, 从而, 统一认证服务器充当了服务器的认证系统和客户端认证方法之间的“翻译”。

2.4基于网关的方式

基于安全网关的单点登录, 就是采用一个实现安全控制功能的Web反向代理作为用户访问部署在其后面的不同信息系统, 应用系统的关卡 (即网关) , 只有在安全网关完成身份鉴别的用户才能通过安全网关访问部署在其后面的系统。客户端在通过网关认证后获得访问服务的权限, 在访问内网其它网站时, 将不再需要重新输入用户名和密码, 由网关代替用户填写内部网站的用户名和密码, 向内部网站提交认证信息, 并将认证通过后网站返回的用户登录成功的Web页面转发给远程用户。该项技术也称“二次填表”, 以代理网关为中心, 要求对所有应用系统的身份认证和访问都必须通过代理网关实现单点登录, 容易造成代理网关的效率问题甚至导致整个系统的瘫痪。

2.5基于SAML安全断言标记语言的方式

目前主要有C/S架构系统与B/S架构系统用于实现单点登录, C/S架构系统与B/S架构系统采用不同的平台、不同的信息交互模式、而且业界厂商实现SSO方式多样, 存在各种使用场景的限制, 难以兼容, 因此很难实现统一的单点登录功能。

而在互联网的情境中, 用户期望这样的能力, 即从与一个域上的应用的交互跳转到与另一域上的另一应用的交互, 而极少关心每一特定域间的信息屏障。

在利用SAML进行单点登录的方式中, 统一身份认证服务器采用SAML安全断言标记语言作为会话令牌, 会话令牌中包括的用户凭证通常由统一身份认证服务器进行数字签名, 这样收到此会话令牌的网络站点可以确认会话令牌发行者的身份, 通过会话令牌就可以判断认证断言, 从而认证了用户端的用户身份信息。

此后, 用户再次请求登录其他网站时, 只需向其他网站出示会话令牌即可。

三、结语

根据上述对实现单点登录各种方式的分析, 可以看到各方式的优缺点, 具体如何选择实现方式应结合具体工作的实际情况, 确保统一身份认证系统的安全性、可靠性和高效性。

摘要：随着企业信息化的不断发展, 企业应用系统越来越趋于多样化和复杂化, 用户对服务质量的要求也越来越高, 统一身份认技术已成为各系统必不可少的一部分。本文通过对统一身份认技术中的单点登录的相关技术进行研究, 梳理了实现单点登录的主要方式。

关键词：统一身份认证,单点登录

参考文献

五种主流身份认证技术解析安全方案 第2篇

用户名/密码是最简单也是最常用的身份认证方法，它是基于“what you know”的验证手段，每个用户的密码是由这个用户自己设定的，只有他自己才知道，因此只要能够正确输入密码，计算机就认为他就是这个用户。

然而实际上，由于许多用户为了防止忘记密码，经常会采用容易被他人猜到的有意义的字符串作为密码，这存在着许多安全隐患，极易造成密码泄露。即使能保证用户密码不被泄漏，由于密码是静态的数据，并且在验证过程中，需要在计算机内存中和网络中传输，而每次验证过程使用的验证信息都是相同的，很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。因此用户名/密码方式是一种极不安全的身份认证方式。

IC卡认证

IC卡是一种内置了集成电路的卡片，卡片中存有与用户身份相关的数据，可以认为是不可复制的硬件。IC卡由合法用户随身携带，登录时必须将IC卡插入专用的读卡器中读取其中的信息，以验证用户的身份。IC卡认证是基于“what you have”的手段，通过IC卡硬件的不可复制性来保证用户身份不会被仿冒。

然而由于每次从IC卡中读取的数据还是静态的，通过内存扫描或网络监听等技术还是很容易能截取到用户的身份验证信息。因此，静态验证的方式还是存在着根本的安全隐患。

动态口令

动态口令技术是一种让用户的密码按照时间或使用次数不断动态变化，每个密码只使用一次的技术。它采用一种称之为动态令牌的专用硬件，密码生成芯片运行专门的密码算法，根据当前时间或使用次数生成当前密码。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机，即可实现身份的确认。

由于每次使用的密码必须由动态令牌来产生，只有合法用户才持有该硬件，所以只要密码验证通过就可以认为该用户的身份是可靠的。而动态口令技术采用一次一密的方法，也有效地保证了用户身份的安全性，

但是如果客户端硬件与服务器端程序的时间或次数不能保持良好的同步，就可能发生合法用户无法登录的问题，这使得用户的使用非常不方便。

生物特征认证

生物特征认证是指采用每个人独一无二的生物特征来验证用户身份的技术，常见的有指纹识别、虹膜识别等。从理论上说，生物特征认证是最可靠的身份认证方式，因为它直接使用人的物理特征来表示每一个人的数字身份，几乎不可能被仿冒。

不过，生物特征认证是基于生物特征识别技术的，受到现在的生物特征识别技术成熟度的影响，采用生物特征认证还具有较大的局限性：首先，生物特征识别的准确性和稳定性还有待提高；其次，由于研发投入较大而产量较小的原因，生物特征认证系统的成本非常高。

USB Key认证

基于USB Key的身份认证方式是一种方便、安全、经济的身份认证技术，它采用软硬件相结合、一次一密的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾。

USB Key是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USB Key内置的密码学算法实现对用户身份的认证。基于USB Key身份认证系统主要有两种应用模式：一是基于冲击/响应的认证模式；二是基于PKI体系的认证模式。

身份认证技术 第3篇

【关键词】校园网 统一身份认证 单点登录

一、校园网身份认证安全需求分析

（一）校园网身份认证的安全需求

中等专业学校应用系统中存在如下的使用者，领导、系统管理员、教职员工、学生等。系统管理员负责对应用系统的管理，包括用户管理、权限分配、应用系统维护等管理工作；领导包括各级部门的主管领导，他们有权访问重要信息内容，诸如财务状况以及学校的各项事务等很多敏感信息；教职员工是应用系统的信息管理者，负责信息的收集、整理和发布，执行应用系统中规定的工作流程，也可以说他们是应用系统的信息生产者；学生大多数是信息的浏览者，在某些应用系统中，学生也是信息生产者，如选课系统、图书借阅系统。这三种角色对应用系统的访问权限存在着明显的差别，他们对身份认证也有着完全不同的安全需求。

再者，中等专业学校校园网络更有着自己的特殊性：用户层次和计算机水平比较高，年龄结构相对偏轻，好奇心强，富于钻研精神和创造性，因此，网络的安全问题更为突出；校园网络环境相对开放，用户可通过有线局域网和无线局域网等多种方式接入数字校园网络，这无疑增加了安全隐患；用户基数大、数量多，对不同的应用系统具有不同的使用权限，从而在登录时对身份认证机制具有不同的安全需求；随着每年毕业生离校、新生入学，有相当大的用户流动性。

面对上述客观情况，如果对所有的校园网用户都采用强制身份认证机制（如基于数字证书的公共密钥认证机制），无疑是非常安全的一种方式，但是其实现十分复杂，对系统要求高，所需的建设和维护费用相当可观，在整个校园网范围推广应用是不适合的。若对所有的校园网用户采用简单身份认证机制（如基于口令的认证），虽有使用方便、实现简单的好处，又恐怕用户身份认证的安全性能达不到要求，特别是用户具有访问包含重要信息和敏感信息的应用系统的权限时，往往对身份认证机制有较高的安全性能要求。而如果在身份认证机制的选择上采取折中的方法，Kerberos身份认证机制似乎是一种不错的选择。Kerberos机制可以实现对于不同应用系统的统一认证，但认证过程相对复杂，用户量大时密钥管理困难，系统信息交换量大，也存在一定的缺点，而且在满足不同用户对身份认证的不同安全需求上，有点对上不足对下有余的感觉。

针对中等专业学校校园网的用户众多且对身份认证安全性能的需求存在明显区别这一具体情况，笔者提出在校园网统一身份认证服务中兼容三种不同强弱认证标准的认证机制，从而找寻到身份认证安全性能与效率及认证所需费用的平衡点。

（二）系统的设计思想

通过对校园网的服务现状分析，尤其是有关安全需求的分析，充分说明了建立校园网统一身份认证服务的必要性和可行性。以下从技术角度提出统一身份认证服务的几个设计原则：

首先，作为网络安全解决方案的一个组成部分，设计时，一方面要了解现有的系统，现有的系统是在不同的时间伴随着不同的技术背景建立起来的，有各种互异的运行平台和体系结构，而且也投入了大量的资金及人力物力，所以要保护现有的投资。现有的各应用系统往往都已经处于稳定运行期，统一身份认证系统的实现应该对各应用系统的登录认证体系冲击最小，各应用系统原有的登录流程依然可用，避免系统做大规模的变动；另一方面，系统要有可扩展性和可集成性，不仅要支持现有的应用，而且要能集成不带身份认证和用户管理的新应用系统，各应用系统之间应该是松散耦合的，且要具备灵活方便的使用模式。

统一身份认证作为网络安全体系的第一道屏障，它提供的用户认证和授权信息是其他安全应用系统所必需的重要资料。因此，作为一个中间环节，如何实现它和其他应用系统的有效集成是问题的关键所在。Web Services服务体系提供了一个有效的实现框架。由于Web服务固有的技术特点，利用Web服务体系，可以简单地实现各个系统之间的无缝整合，其完好的封装性、松散耦合、高度可集成性和简单性正适合于旧系统的整合和新系统的集成。

其次，从安全方面来考虑，由于用户登录方式的多样性，如通过不同的用户端或浏览器方式，不同角色的用户具有不同访问权限，从而需要相应安全级别的身份认证机制以适应其安全需求，所以设计时要提供某些不同安全级别的认证方式。

再次，从性能上考虑，由于LDAP服务器的特点和优势，LDAP目录服务器适合读密集型的数据，这使得读取速度比关系型数据库快一个数量级，能有效减少系统资源的消耗，提高系统的响应速度，所以可以考虑使用LDAP服务器存储用户账号信息、数字证书等数据。

二、双因素身份认证机制的实现

目前，利用证书的认证，即服务器使用证书证明自身的身份比较普通；用户端的认证如果都使用证书进行验证，系统的开销较大，费用较高。采用对称密钥作为认证的手段，代价较小，系统的安全性也可以得到基本的保障，比较适用于对认证安全需求不高的学生用户。

主要改进点：

（一）用户端使用用户的身份标识、用户的固定口令以及用户生成的随机数生成一次性口令，但是这个口令并不以明文方式传输，而是作为一次性会话密钥。服务器端同样也生成一个自己的一次性会话密钥，这两个会话密钥用来加密认证过程发送的消息，所以用户的固定口令以及一次性口令都没有在通信线路上明文传输，除了用户，任何人包括服务器都不知道用户的固定口令，因此可以很好地保护用户的固定口令。

（二）实现用户端和服务器端双向认证。一次完整的身份认证过程中，用户端和服务器都各自生成一个随机数，并各自保存。用户端把自己的随机数以服务器知道的一次性口令进行加密，传送给服务器，服务器能够解密获得用户的随机数，并把获得的随机数以用户端知道的一次性口令加密，传送给用户端。如果用户端解密得到的随机数和用户端自己保存的随机数一样，则服务器的身份得到验证。这就是用户端验证服务器身份的过程，反之服务器验证用户端身份的过程也类似。

（三）实现通信双方协商密钥。用户端和服务器可以相互交换随机数，然后把双方都知道的用户端身份标识、用户固定口令、用户端随机数、服务器随机数这四个值连接后，进行Hash函数运算。把运算结果作为用户端和服务器的临时会话密钥，从而完成了通信双方的密钥协商。

随着校园网应用资源的不断增加，在身份认证和集中认证的基础上实现单点登录功能，已经成为目前中等专业学校中应用系统的发展方向。因此统一身份认证在中等专业学校安全系统中的地位极其重要，其当前的认证强度需要得到进一步提高。■

（作者单位：江苏省江阴中等专业学校）

文摘

依托“名师工作室”的教师网络学习模式探讨

一、网络学习中存在的问题

调查中发现在拥有丰富资源和较完善的技术条件下，教师对网络学习的利用率和参与的热情并不高。教师之间实现“交互”的质量与我们试图搭建的“学习共同体”相差甚远。同时，在调查中发现，教师对于“基于网络的教师培训模式”的认同度仅为23%，基于网络的教师培训形式也受到了学校领导者的许多质疑。

二、依托“名师工作室”的网络学习策略

（一）以“事件”作为学习活动的载体。将现实中的名师工作室作为依托，借助网络将其扩展成一个学习实践共同体。名师与青年教师之间进行知识的共享需要在交流、协作和“做中学”的过程中完成。这个过程就是一个“事件”，“事件”的中心就是指导。被指导教师在实践方面通过与他人进行日常、持续和个人间的相互作用而获益。

（二）以实践性课程材料作为教师学习内容。课程材料是教师教学内容的载体，实践性课程材料是将新课程改革相关的理念嵌入到教师教学材料中，并把新课改要求的技能分布到教师每天的教学活动中。它不仅为教师提供了多种有效的教学方法，也为教师的学习和实践提供支持。

（三）学习支持。在网络学习环境下，由于个人信息素养和技术等方面的原因，学习者很容易产生孤独感和无助感而放弃继续学习。在这种情况下，学习支持成为决定学习成败的关键因素。

动态影像身份认证技术初探 第4篇

首先是认证的可靠性,这是基础。其次是使用的方便性,用户良好的体验是推广的前提。第三是低廉的成本,这是制约普及的另一个重要因素。

1. 认证可靠性。从密码认证到动态密码认证,在认证的准确性上可以说是提高了不少,电子钥匙和钥匙盘,IC卡的使用,又从技术上使认证的准确性提高了一大步,但这些方法都有一个致命的缺点,那就是密码的丢失或者遗忘,以及使用上的不方便的问题。2.使用方便性。如今大家争先恐后地进行指纹识别、虹膜识别和人脸识别等的研究,其主要原因就是因其使用的方便性,如果单从设计者的角度来说,使用密码最简单方便,但在市场定律上用户才是上帝,从使用者来说不需携带不需记忆的指纹识别、人脸识别才最方便,这也是如今各类移动设备大量研究者进入这一研究领域的原因,用户始终是正确的。但这些新兴识别方式,无一例外都受受制于如何提高其识别的准确性和可靠性的问题。3.低廉使用成本。一套新的系统,在进入市场时能否得到用户的认可,成本因素是另一关键,从目前的情况来看,无论是指纹识别还是虹膜识别,在推广时都需要另外增加特殊的检测装置,相反,随着在各种移动设备上高品质摄像头的不断普及与成本下降,人脸识别却可能因低廉的后期成本投入而抢占先机。

二、人脸动态识别技术的提出

1. 人脸动态识别技术的研究方向。在人脸识别研究的前提是人的五官的形状和位置,这种位置关系因人的骨骼和肌肉的不同而不同,而对于同一个人来说,这种位置关系通常又是相对稳定的,这正是目前人脸识别的前提,从目前的研究情况来看,研究者主要是根据人的五官的各种特征点的平面构成来进行电脑比对的,类似这种人脸静态识别,不可避免地存在着一些客观的问题,比如,如何能确定摄像头前的人是真实的人而不是一张照片。在人脸的各种表情变化时都有一个时间过程,在这个过程中就有着许多可以提取的特征,比如从自然表情到微笑表情,就涉及到脸部肌肉的拉伸而引起的五官的形状以及位置的变化,这种变化过程和变化程度虽说对每个人来说大多数相似,但也因人而异有一些微小的不同,比如五官特征点的变化的速度、加速度、变化幅度、变化方向等,这些动态特征都能做为我们判定每个人的个体差异的变量,用不同个体之间的这些不同来进行个体身份的识别,这便是进行个人身份动态识别的基础。2.人脸动态识别技术的研究方向。在大数据时代,随着计算机数据处理能力的不断提高,对动态图像的处理能力也是越来越强,像人脸动态识别才有了越来越大发展的空间。人脸动态识别技术是在人脸静态识别的研究成果基础上的一种功能的延伸,在对人脸静态图像进行特征点数据准确提取的基础上,再根据特征点的运动情况,进行个体动态规律的研究,这其中,最主要是对特征点的变化进行大量分析,最终找出最能区别个体差异的一些特征信息,进行个人身份识别,最主要是要找到所谓的“关键信息”,即每个体间差别最大的变量信息,在这些关键信息中,每个人做同一个动作时不同个体之间差别最大而对于同一个体自身每次差别最小的信息。3.人脸动态识别技术的应用在如今的网络信息时代里,安全高效是人们追求的目标,人脸动态识别技术很有可能在未来不久广泛地应用于生活的各个领域。第一,网络中个人身份的认证,在不久的未来,人们有可能通过任意终端设备的摄像头,对准自己的脸按照系统要求做一个表情,便可通过系统的认证,不用担心忘记密码和密码泄露之类的问题,让人们的生活舒心又放心。第二,在日常生活中,像各种门禁系统、签到系统等,都要求有很强的易用性,都希望不需经过烦琐的程序便能轻松准确地识别个人的身份,人脸动态识别技术可以很轻松地进行远程摄像扫描,实现简单快速识别认证。第三,动态影像识别技术,在公共安全领域中也可能发挥重要作用,人的动态表情变化特征,是一个人在长期生活中逐渐形成的,不容易发生突然改变,人脸识别为个人身份识别提供了一种轻松方便的方式,使信息时代的我们生活更加简单惬意。

摘要：个人身份认证,是信息时代人类必须攻克的一道难题,无论是在现实生活各方面还是在网络世界中,通过动态影像对用户进行身份认证及授权,都是一种既方便又快捷的方式,但如何提高认证的准确性及可靠性,是身份认证技术必须解决的重要问题。

GSP认证检查技术指导 第5篇

GSP简报 >> 2004年 >> 第3期

为了适应GSP认证组织工作下放到地方局、认证工作不断广泛和深入的形势，强化GSP认证工作的政策性、规范性和标准的统一性，及时发现和解决认证过程中存在的普遍性和突出性问题，国家局药品市场监督司会同局认证中心在5月份邀请有关GSP认证专家就认证中的相关问题进行了讨论，并于6月初举办了全国范围的GSP认证检查员认证工作研讨班。本期中对研讨的32个问题进行系统介绍，以期为各地不断广泛深入开展的GSP认证工作提供指导性意见。

1．认证检查项目的合理缺项如何确定？

合理缺项是指由于企业《药品经营许可证》经营范围限定或经营管理的实际状况等因素，使企业实际未开展或未涉及相关经营管理的工作内容，认证检查评定标准中相应的部分条款不需要进行现场检查，而形成检查项目的合理空缺。

药品批发企业：

（1）不经营中药材、中药饮片的，其合理缺项有6项：2301、2601、2602、2804、3507、4203。

（2）经营中药饮片但不开展中药饮片分装的，其合理缺项有2项：2601、2602。

（3）不经营一类精神药品、麻醉药品、医疗用毒性药品和放射性药品的，其合理缺项有6项：*2201、3302、*3512、*4108、4402、5101。

药品零售连锁企业：

（1）不经营中药材、中药饮片的，其合理缺项有12项：2301、2601、2602、2804、3507、4203、*6802、6804、*7404、*7706、7707、8110。

（2）经营中药饮片但不开展中药饮片分装的，其合理缺项有2项：2601、2602。

（3）不经营二类精神药品、麻醉药品、医疗用毒性药品的，其合理缺项有9项：*2201、3302、*3512、*4108、4402、*6802、*7404、7702、*8301。

（4）非跨地域连锁的，其合理缺项有1项：1102。

药品零售企业：

（1）不经营中药材、中药饮片的，其合理缺项有5项：6807、7508、*7707、7708、8111。

（2）不经营二类精神药品、麻醉药品、医疗用毒性药品的，其合理缺项有5项：*6801、*7007、*7402、*7703、*8301。

对企业涉及的合理缺项情况，应在检查报告中予以说明。在计算一般缺陷项目比例时，对涉及的一般项目合理缺项，应从一般项目的总数中扣除。

2．在现场检查时，对《药品经营许可证》核准的经营范围中未开展经营的，如何检查？ 企业依法领取的《药品经营许可证》上的经营范围，是药品监督管理部门根据企业申请并审核其相应条件依法批准的。如企业暂时未开展经营范围中的某一项目业务，也必须按照GSP要求，具备相应的管理制度、人员、硬件等条件。在GSP认证检查时，此类情况不得作为合理缺项处理。

3．从城乡集市贸易市场中不得购入哪些药品？

根据国家中医药管理局、国家医药管理局、卫生部、国家工商行政管理局《关于印发整顿中药材专业市场标准的通知》（国中药生字（1995）7号）第五款规定，中药材专业市场严禁

下列中成药品及有关药品进场交易：

需要经过炮制加工的中药饮片。

中成药。

化学原料药及其制剂、抗生素、生化药品、放射性药品、血清疫苗、血液制品、诊断用药和有关医疗器械。

罂粟壳，28种毒性中药材品种。

（附：28种毒性中药材品种：砒石（红砒、白砒）、砒霜、水银、生马钱子、生草乌、生白附子、生半夏、生南星、生巴豆、斑蟊、红娘虫、青娘虫、生甘遂、生狼毒、生藤黄、生千金子、闹阳花、生天仙子、雪上一支蒿、红生丹、白降丹、蟾酥、洋金花、红粉、轻粉、雄黄。）

国家重点保护的42种野生动植物药材品种（家种、家养除外）；国家法律、法规明令禁止上市的其他药品。

（附：42种国家重点保护的野生动植物药材品种：

一级：虎骨、豹骨、羚羊角、梅花鹿茸。

二级：马鹿茸、麝香、熊胆、穿山甲片、蟾酥、蛤蟆油、金钱白花蛇、乌梢蛇、蕲蛇、蛤蚧、甘草、黄连、人参、杜仲、厚朴、黄柏、血竭。

三级：川（伊）贝母、刺五加、黄芩、天冬、猪苓、龙胆（草）、防风、远志、胡黄连、肉苁蓉、秦艽、细辛、紫草、五味子、蔓荆子、诃子、山茱萸、石斛、阿魏、连翘、羌活。）

4．关于“四个记录”

企业在药品经营过程中产生的购进、验收、销售、出库复核等四项记录，是企业在上述四个业务环节中依照GSP相关要求，从事质量控制活动后用于记录活动内容及结果的原始记载。四项记录既是企业实施业务管理的重要凭证，也是验证企业质量活动有效性的必要依据。四项记录必须做到项目齐全，内容真实、完整、准确、有效、责任明确。其形式可以采用台帐、票据、凭证等书面资料，也可以为电子记录的形式。采用电子记录存储验收、出库复核记录数据的，应保留其原始凭证，不得在操作上形成事后记录、“回忆录”等错误做法。

⑴购进记录是对企业业务购进行为合法性及规范性实施有效监控和追溯的依据，由业务部门根据购进计划或合同，在确定了具体的购进活动符合要求后所作的记录。

⑵验收记录是验收员根据业务部门的通知，按照本企业验收制度和程序所规定的内容对实际到货药品质量进行现场质量检查、验收所做的记录。验收记录是企业质量检查验收的核心资料。

⑶出库复核记录是药品出库时，仓库复核人员对照业务部门的发货凭证对发货实物进行质量检查和数量、项目核对所做的记录。

⑷销售记录是业务部门对发生的实际销售情况所作的记录，其目的是对业务销售的合法性进行有效监督，并对药品的销售去向进行有效的跟踪。

5．检查项目中，哪些岗位工作人员应符合国家就业准入规定？

在中华人民共和国劳动和社会保障部2000年第6号部长令《招用技术工种从业人员规定》中明确指出，中药购销员、医药商品购销员、中药调剂员必须通过职业技能鉴定并取得职业资格证书后方可上岗。

6．体检的要求有哪些？

根据《药品管理法》及GSP要求，药品经营企业应每年定期组织在质量管理、药品验收、养护、保管、销售等直接接触药品岗位工作的人员进行健康检查，并建立健康检查档案。如发现患有精神病、传染病、皮肤病或其他可能污染药品疾病的人员，应立即调离直接接触药品和顾客的岗位。

企业应在符合规定要求的健康体检机构安排体检，并按照有关规定进行相关项目的检查，一

般进行乙肝表面抗原检测、谷丙转氨酶检测、粪便细菌培养、胸透、皮肤科等项检查；质量验收、养护人员应增加辩色力项目的检查。

7．对“企业从事质量管理工作的人员应在职在岗，不得为兼职人员”的界定。

质量管理工作因其岗位特殊、工作性质重要，应必须保证在此岗位工作的人员的相对稳定。质量管理人员应是企业正式在册职工，可保证在规定的工作时间内全日制在岗工作，履行相应职责。质量管理岗位还应专属和固定，其工作人员不得在企业内部兼职非质量管理职位或岗位的工作，也不得在本企业规定的工作时间内在其他单位兼职。

企业的质量管理工作负责人和质量管理机构负责人不可以为同一人，但仅设置质量管理员的小型零售企业除外。

8．如药监部门未组织有关岗位人员的继续教育，检查时应如何处理？

如果药品监督管理部门尚未按规定组织对企业有关岗位人员的继续教育，进行现场检查时，涉及的此类检查项目既不属于合理缺项，也不按缺陷项目处理。

9．批发企业销售药品是否必须立即开具合法票据？

应根据企业实际经营模式及合同约定的结算方式而定。如果企业需要在多次销售后累计集中结算，应在每次销售时随货附药品销售清单。

10．企业购进进口药品时，需索取哪些资料？

⑴根据2004年1月1日实施的《进口药品管理办法》（4号令）规定，药品生产、经营企业及医疗机构采购进口药品时，供货单位应当同时提供以下资料：

①《进口药品注册证》或《医药产品注册证》、《进口药品批件》复印件；

②《进口药品检验报告书》复印件或者注明“已抽取”并加盖公章的《进口药品通关单》复印件。

⑵实行批签发管理的生物制品，需要同时提供口岸所核发的批签发证明复印件。

⑶进口麻醉药品、精神药品，应当同时提供其《进口药品注册证》、《进口准许证》和《进口药品检验报告书》复印件。

目前，上述复印件均需加盖供货单位公章或企业质量管理机构原印章。

11．《进口药品注册证》到期后，口岸药检所出具的《进口药品检验报告书》是否有效？ 根据《进口药品管理办法》规定，《进口药品注册证》的有效期是指进口商申请该品种药品进口报关的法定期限，进口商应在《进口药品注册证》的有效期内向口岸药品监督管理部门提出进口药品申请，口岸药品监督管理部门接到报关申请后，按规定进行审查，符合规定的按批号核发《进口药品通关单》或通知口岸药检所抽样检查。

国药管注[1999]101号文规定：1999年10月1日后《进口药品注册证》到期的品种，按《进口药品管理办法》的规定，其注册证失效之日前签订合同，注册证失效后1个月内到岸的货物，口岸药品检验所可继续报验，超过1个月的，一律不予受理报验。

经检验合格的进口药品，可以在该批号药品的有效期内合法销售。

12．临时性的购货计划是否需要质量管理机构审核？

如果临时性购进计划中的供货单位、品种等项目未超出质量审核的范围，则不需要另行审核。

13．如何确认供货企业销售人员的合法资质？

根据药品监督管理有关法律法规，药品经营企业应对前来本单位进行药品销售、推广等业务联系的业务人员进行合法性资格审核，索取有关证明材料，并对供货方销售人员建立相应的管理档案，对其经营行为及身份的合法性实行动态的监督审核，以确保供货方业务人员业务行为的合法性和有效性，从而保证企业购进药品的合法性和质量可靠性。对不再具备合法资格的销售人员应及时采取有效措施，停止业务往来。审核的材料主要包括：

（1）供货企业证照复印件。审核《药品生产（经营）许可证》和“营业执照”核准的经营方式、经营范围与销售员的经营行为是否相符；

（2）药品销售员身份证；

（3）供货企业法定代表人授权委托书。授权委托书应加盖供货企业原印章，其法定代表人应加盖印章或签字，并明确授权经营活动范围或经营品种，标明有效期限；

药品经营企业非法人分支机构的销售人员，应持其上级法人单位的法定代表人委托授权书，或其上级法人单位的法定代表人对该企业负责人的有效授权证明及本企业负责人委托授权书。

以上原件审验后应留复印件。

如果某一供货方未向本企业派出业务人员，则不需要索取销售人员的相关资料。

14．药品经营企业与供货方签订购销合同可采取哪些方式？

药品购销合同是药品经营过程中明确购销双方责权的必要手段。根据GSP要求，无论供货方是生产厂家还是药品经营企业，企业都应与其签订有明确质量条款的购销合同，其目的就是使供销双方在经营活动中牢固树立质量意识，明确双方的质量责任，促使企业主动自觉地加强质量控制，依法规范经营，确保药品经营质量。

购销合同一般应采用标准书面合同。如采用其他的合同约定形式，如文书、传真、电话记录、电报、电信、口头约定等，应提前与供货单位签订明确质量责任的质量保证协议。质量保证协议应规定有效期限，一般按签订。

鉴于质量保证协议属于企业购销合同的范畴，签订单位需要承担相应法律责任，因此必须加盖企业公章，不能以企业质量管理机构印章替代。

15．关于验收养护室的设置

企业在每个独立区域设置的药品仓库，均应设置验收养护室。

如果本企业仓库与其非法人分支机构所属仓库设置在同一库区内，且本企业仓库的验收养护室可与非法人分支机构所属仓库共用，可不必另外设置验收养护室。

16．常温库、阴凉库、冷库是否均必须划分“五区”？

在库房内划分“五区”，是为了按药品的质量状态对其实行严格的质量控制和管理，以防止不同质量状态的药品发生混淆。划区应以有效分隔、易识别、防止不同状态药品混淆为目的，具体划分方法应与企业经营状况相适应，并结合企业硬件配置状态和具体管理模式合理确定，不要机械划分。

17．中药标本收集有何具体要求？

中药标本实为企业所经营中药材和中药饮片的样本，其作用是为验收和养护工作中便于不同品种的对照或鉴别。企业收集的样本数量应与经营品种数量相适应，重点应收集地产品、地道药材、主营品种、易掺杂使假等品种。

企业应有指定人员负责中药标本的收集与管理，以及标本的维护和更新。

18．药品经营企业的哪一类仓库需要安装符合安全用电要求的照明设备？

储存易燃、易爆、强氧化、强腐蚀性等危险品（如酒精、高锰酸钾、高浓度双氧水等）的仓库应按照有关规定安装符合安全用电要求的照明设备。

19．非法人批发企业从其上级法人企业购进药品，能否简化验收手续？

非法人企业验收人员可按其上级法人企业的随货同行凭证，对照实物进行品名、规格、批号、生产厂商以及数量的核对，并在凭证上签字。核对并签字后的随货同行凭证按验收记录要求保存。

20．易串味药品有哪些？

易串味药品是指药品成份中含有芳香类、易挥发等物质的药品，常见的有以下几类： 内服制剂：如人丹、霍香正气水（液、胶囊）、十滴水、速效救心丸、正露丸等； 外用贴膏：如狗皮膏、关节止痛膏、伤湿止痛膏、风湿膏、追风膏、骨痛膏等； 外用擦剂：如风油精、红花油、清凉油、风湿油等；

外用酊剂：如皮康王、皮炎宁酊、止痛酊、肤阴洁、洁尔阴等。

21．中药饮片的包装如何要求？

根据《药品管理法实施条例》第45条及国食药办[2003]358号文规定，从2004年7月1日起中药饮片的包装必须印有或者贴有标签。中药饮片的标签必须注明品名、规格、产地、生产企业、产品批号、生产日期，实施批准文号管理的中药饮片还必须注明批准文号。同时要求中药饮片在发运过程中必须要有包装，每件包装上必须注明品名、产地、日期、调出单位等，并附有质量合格的标志。

22．药品质量档案、药品养护档案应如何建立，各包含哪些内容？

（1）药品质量档案是企业按所经营药品建立的以该药品质量信息为主要内容的档案资料，其内容主要包括药品的基本信息、质量标准、合法性证明文件、质量状况记录等。

质量管理机构负责药品质量档案的建立及管理工作，确定并调整药品质量档案品种目录。目前按照我国药品经营企业的实际，建立质量档案的品种范围应包括：首营品种、主营品种、新经营品种、发生过质量问题的品种、药品质量不稳定的品种等。

（2）药品养护档案是企业记录药品养护信息的档案资料，其内容应包括重点养护品种及其养护记录、对库存药品根据流转情况定期进行的养护检查记录、温湿度监测记录以及对养护工作情况的定期汇总和分析等。

重点养护品种一般由质量管理机构确定，范围一般包括：主营品种、首营品种、有效期较短的品种、近期内发生过质量问题的品种及药监部门重点监控的品种等。

23．对实施委托配送的药品零售连锁企业，如何进行现场检查？

根据国家局药监市函[2002]65号文规定，对属于某一药品批发企业开办的子公司，且母子公司法定代表人为同一自然人的药品零售连锁企业，在其母公司具备配送条件并执行零售连锁企业制定的配送管理制度的情况下，允许零售连锁企业将其药品配送业务委托母公司办理。零售连锁企业经营范围超出母公司经营范围的需由零售连锁总部自行采购，不得另行委托，且零售连锁企业应具备符合GSP要求的库房和配送设施设备。药品零售连锁企业必须与药品批发企业签订委托配送协议，明确双方应承担的责任。药品的采购、仓储及配送等物流活动可以委托，其他工作如日常监督管理、质量控制、质量问题处理、门店管理等由零售连锁企业自行承担。零售连锁企业质量管理机构应对门店进货情况进行监控，防止门店超范围经营等问题的发生。

依据药品零售连锁企业GSP认证现场检查项目实施现场检查。

具体检查方法如下：

（1）0401－0901零售连锁企业的质量管理职责应独立设置，能独立完成零售连锁相关的质量管理工作，其中0802中涉及药品采购、仓贮、养护、配送的药品质量管理制度的检查考核应检查接受委托的药品批发企业。

（2）1001－1702涉及药品购进、验收、保管、养护、配送有关岗位的人员应检查接受委托的药品批发企业的相关岗位工作人员；对其他岗位的工作人员，应检查零售连锁企业。

（3）1801－2603应检查药品零售连锁企业总部的营业场所，涉及药品的验收、保管、养护、配送的设施设备应检查接受委托的药品批发企业，同时药品批发企业应单独设置便于配货活动展开的配货场所（2603）（承担委托配送的批发企业，应将批发发货区域同连锁配货、配送区域有效分开，保证相对独立，避免物流的混乱和发货的差错）。

（4）2701－3401 零售连锁企业总部应根据门店要货情况单独编制购货计划（3101）。零售连锁企业应每年对进货情况进行质量评审（3401）。

其他涉及进货的条款从零售连锁门店抽取药品到药品批发企业进行追溯检查。

（5）3501－4005 门店对委托配送的药品，如需退货（3511），可直接将药品退回被委托的批发企业（也可按企业制度规定进行管理），但退货情况应报连锁企业质量管理机构。

对门店经营中发生的不合格药品（4001—4005），应及时退回被委托的批发企业进行报损、销毁（可按企业制度规定进行管理），并将发生不合格药品的情况报零售连锁企业总部质量管理机构，药品批发企业应协助药品零售连锁企业总部对门店上报的不合格药品查明原因、分清质量责任、及时制订预防措施，对不合格药品的确认、报告有完善手续；对不合格药品定期汇总分析。

（6）4101－4209检查接受委托的药品批发企业。

（7）4301－5301检查接受委托的药品批发企业。

（8）5601－5702检查接受委托的药品批发企业协助药品零售连锁企业总部所做的销售与售后服务工作。

（9）5801－8404检查药品零售连锁企业门店。

24．零售连锁企业门店间可否互相调货？

门店间需要调货时，应经连锁企业总部同意，并履行退货和进货手续。未经批准，不得自行调货。

25．药品零售企业质量管理员兼验收员是否可行？

可以。

26．药品零售企业是否必须设置质量管理员？

应设置符合要求的质量管理员。

27．零售企业经营范围中无中药材、中药饮片，而实际经营滋补类中药材或饮片，是否属超范围经营？

现场检查时，属药食同源或当地习惯使用的滋补类品种，不按超范围经营处理。

28．零售企业销售特殊管理药品，处方管理有何具体规定?

零售企业销售二类精神药品、麻醉及医疗用毒性药品，应严格按国家有关规定，凭盖有医疗单位公章的医生处方限量供应，销售及复核人员均应在处方上签字或盖章，处方保存两年。

29．如何界定药品拆零？拆零药品销售有哪些具体要求？

药品拆零是指零售药店在销售中，药品需要拆开包装出售，而且拆开的包装已不能完整反映药品的名称、规格、用法、用量、有效期等全部内容。药品拆零销售应设有拆零专柜，并配备必要的拆零工具，如药匙、药袋等。为保证拆零药品销售过程的完整、准确、有效，拆零药品在销售期间应予以记录并保留原包装标签。

拆零记录一般应包括以下项目：拆零起止日期、品名、剂型、规格、批号、有效期、剩余数量、生产企业、质量状况、经手人等。

在实际操作中，药品拆零分为破坏最小包装单元和保留最小包装单元两种情况。破坏最小包装单元的拆零药品应集中存放于拆零药品专柜，并做好拆零记录。保留最小包装单元的拆零药品（如针剂）可集中存放于拆零药品专柜，也可存放于原品种柜台，并做好拆零记录。

30．如何理解中药饮片斗的正名正字？

正名是国家药品标准中收载的中药品种名称。对国家药品标准中未收载的品种，目前可使用地方药品标准中收载的名称。正字是根据国家语言文字规范，使用规范用字。

31．零售企业分类摆放非处方药的依据？

现阶段以非处方药专有标识分类摆放。

32．零售企业如何对陈列药品按月进行检查？

华为全面进入ICT技术认证领域 第6篇

在业界，上世纪90年代初开始的思科认证广为人知，获得思科认证曾是不少人找工作、跳槽的敲门砖。11月23日，正在向企业市场扩张的华为也向全球推出CT及ICT融合领域的技术认证体系，其体系的全面性和覆盖面之广，令人欣喜——这无疑标志着华为正式进入人才争夺市场。

全技术 多行业

据华为企业业务全球服务部副总裁涂文杰介绍，华为认证体系以技术发展及行业特点为基础，主要分三个发展方向：第一，完整的职业认证体系，聚焦IP、IT、CT各专业技术领域；第二，依托华为对行业的深刻理解，推出针对运营商、电力、政府、金融、大企业等体现行业特点的认证产品；第三，代表ICT技术发展方向的ICT多技术融合认证。

据介绍，目前业界推出的技术认证体系主要集中在IT、IP领域，而在CT领域的技术认证尚属空白。同时，随着ICT技术的不断发展，市场同样需要面向未来ICT融合理念的技术认证产品，从而满足产业发展的需要。华为认证体系不仅覆盖已有的IP以及IT领域，而且还包括CT及ICT融合技术认证，是目前惟一覆盖全技术领域的认证体系。

覆盖各层人才

华为认证解决方案部部长王晓斐认为，对于ICT人才的培养，最理想的模式是院校教育与职业培训及认证相结合。对于在校学生，将产业相关知识与技能培养前移，深化校企合作，提高学生就业质量；而在职业培训方面，则紧跟行业发展趋势，加强前沿技术及ICT技术融合的人才培养。因此，华为的策略就是以高校教育为起点，以职业认证为牵引，基于ICT人才职业发展生命周期，提供完整的能力提升解决方案。

基于这一策略，在职业培训和认证方面，华为遵循华为ADDIE开发流程，匹配ISO17024认证国际标准，以岗位素质模型为基础，在大量调研及分析的基础上，以三层进阶认证模式（工程师、高级工程师、专家），满足从新员工到技术专家的不同需求，为企业明晰员工职业发展通道，整体提高企业人力资源素质。

同时，华为针对在校学生推出教育合作计划，与院校及其他教育机构在课程、学生培训及认证领域不断加强合作。王晓斐介绍说，目前华为已与全国15所网络技术学院合作建立试点，到2015年，这一数字将超过200家，同时还将与50家院校开展定向委培合作。

尽管华为技术认证体系的推出似乎姗姗来迟，但华为培训由来已久。据王晓斐介绍，目前，累计参加华为培训的人数已经超过300万人次，培训与考试服务覆盖全球160多个国家，每天每小时有超过50名学员在全球各地接受华为的技术培训。目前，华为技术培训拥有专职讲师700余名，各类兼职讲师1000余名。培训中心在国内多地设有培训分部，并在多个国家和地区建有培训分支机构。

身份认证技术的分析与研究 第7篇

计算机网络技术发展迅速, 与之俱来的是信息安全问题。信息安全技术涉及到多个方面, 包括身份认证、访问控制、数据加密等, 而身份认证作为一切安全应用的基石, 在保护信息安全中起着举足轻重的作用[1]。层出不穷的网络犯罪, 引起了人们对网络身份的信任危机, 如何防止身份冒用等问题, 又一次成为保障网上业务开展的安全性问题, 其中首先必须解决的就是网络应用系统中通信双方的身份认证问题。

2 身份认证概述

所谓身份认证就是证实用户的真实身份与其所声称的身份是否相符, 从而确定该用户是否具有对某种资源的访问和使用权限的过程。身份认证系统由示证者或者称为申请者、验证者、可信赖者和攻击者四部分组成。

3 网络环境下主要的身份认证技术

身份认证技术的发展已经经历了相当长的时期, 根据被认证方赖以证明身份的秘密的不同, 身份认证可以通过3种基本方式或其组合方式来实现: (1) 基于秘密知识的身份认证方法, 如口令、密钥等; (2) 基于物品的身份认证方法, 如智能卡; (3) 基于生物特征的身份认证方法, 如指纹、声音、步态及虹膜等[2]。

3.1 基于秘密知识的身份认证技术

(1) 基于对称密钥体制的身份认证技术。原理:发送方和接收方在传送信息之前, 可以自己进行协商, 也可以通过第三方认证机构约定好一个密钥, 基于使用该密钥加密的数据只有用该密钥才能解密的思想。

缺陷:密钥的分发和管理存在问题, 对于一个系统来说, 有很多的用户, 因此, 系统需要产生和存储许多的密钥对;在解密时, 需要重复的计算, 由于用户过多, 会影响速度;不能防止双方的相互抵赖。

(2) 基于公钥密码体制的身份认证技术。原理:a.每个人都有一对密钥, 一个密钥公开发布, 一个密钥自己留着, 任何人都可以得到自己的公钥, 但是私钥不能给别人。b.公钥和私钥一一对应, 并且从公钥不能推出私钥。c.公钥和私钥在进行加密时也是一一对应的。

认证过程:可以对数据进行加密实现认证, 也可用密钥对数据进行数字签名来实现, 发送方就可以用自己的私钥对要发送的数据进行数字签名, 接受方就可用发送方的公钥进行解密, 如果解密后的数据与发送方发的原始数据相同, 那么就证明该发送方发过来的数据, 从而也实现了身份的认证[3]。

3.2 基于智能卡的身份认证技术

智能卡 (Smart Card) 是一种集成的带有智能的电路卡, 内置可编程的微处理器, 可存储数据, 并提供硬件保护措施和加密算法[5]。在智能卡中存储用户个性化的秘密信息, 同时在验证服务器中也存放该秘密信息, 进行认证时, 用户输入PIN (个人身份识别码) , 智能卡认证PIN成功后, 即可读出智能卡中的秘密信息, 进而利用该秘密信息与主机之间进行认证。其中, 基于USB Key的身份认证是当前比较流行的智能卡身份认证方式, 它结合了现代密码学技术、智能卡技术和USB技术, 是新一代身份认证产品[4]。具有以下特点:a.双因子认证。每一个USB Key都具有硬件PIN码保护, PIN码和硬件构成了用户使用USB Key的两个必要因素, 即所谓“双因子认证”。用户只有同时取得, 才可以登录系统。b.带有安全存储空间。c.硬件实现加密算法。USB Key内置CPU或智能卡芯片, 可以实现PKI体系中使用的数据摘要、数据加解密等各种算法。d.便于携带, 安全可靠。

3.3 基于生物特征的身份认证技术

基于生物特征识别的认证方式以人体具有的惟一的、可靠的、终生稳定的生物特征为依据, 利用计算机图像处理和模式识别技术来实现身份认证[6]。

与传统的身份认证技术相比, 基于生物特征的身份认证技术具有以下优点: (1) 不易遗忘或丢失; (2) 防伪性能好, 不易伪造或被盗; (3) “随身携带”, 方便使用。

目前, 已有的生物特征识别技术主要有指纹识别、掌纹识别、手形识别、人脸识别、声音识别和签名识别等。其中, 指纹识别是最早研究并利用的, 且是最方便、最可靠的生物识别技术之一。尽管生物学特征的身份验证机制提供了很高的安全性, 但其生物特征信息采集、认证装备的成本较高, 只适用于安全级别比较高的场所。

4 结论

综上所述, 各种身份认证技术各有优缺点, 在实际应用中, 其选择应当从系统需求和认证机制的安全性能两个方面来综合考虑, 安全性能最高的不一定是最好的。如何减少身份认证机制的计算量和通信量, 节省成本同时又能提供较高的安全性能, 是选择身份认证方案时着重要考虑的问题。

参考文献

[1]游新娥.“身份认证技术研究与分析”, 湘潭师范学院学报 (自然科学版) , 第3期.71～73页.[1]游新娥.“身份认证技术研究与分析”, 湘潭师范学院学报 (自然科学版) , 第3期.71～73页.

[2]陈康.“身份认证技术浅析”, 福建电脑, 2010年第3期, 47～48页.[2]陈康.“身份认证技术浅析”, 福建电脑, 2010年第3期, 47～48页.

[3]吕格莉, 邵自然.“网络环境下身份认证技术探析”, 现代计算机, 第247期, 53～55页.[3]吕格莉, 邵自然.“网络环境下身份认证技术探析”, 现代计算机, 第247期, 53～55页.

[4]孟渤, 孙谦.“身份认证技术的发展与应用”, 中国科技信息, 2009年6期, 146～147页.[4]孟渤, 孙谦.“身份认证技术的发展与应用”, 中国科技信息, 2009年6期, 146～147页.

[5]陈卓, 刘俊男.“多种身份认证技术在信息系统中的研究与应用”, 网络安全技术与应用, 2009.3, 53～55页.[5]陈卓, 刘俊男.“多种身份认证技术在信息系统中的研究与应用”, 网络安全技术与应用, 2009.3, 53～55页.

USB Key身份认证技术 第8篇

身份认证技术是实现身份信息保密的重要技术, 计算机及网络系统中除用户密码或软件加密身份验证方式外常用的具有较高安全性的身份认证方式有以下两种: (1) USB Key认证:USB Key身份认证技术具有安全性强, 操作简单, 技术成熟, 推广应用成本低, 操作便捷等特点。USB Key是一种USB接口的硬件设备, 具有硬件PIN码保护, 内置单片机或智能卡芯片, 有一定的存储空间, 数据可保存在密码锁中, 可保证了用户认证信息的安全性。 (2) 生物特征识别技术:生物特征识别技术是随着近年来生物技术、信息技术等的发展而产生并逐渐发展的一门新型身份认证技术, 它是利用人体生物特征的唯一性 (如指纹、声音、虹膜等) 来对身份进行识别和认证, 该技术的安全性强, 但技术含量要求高, 操作复杂、推广成本昂贵。

Usbkey是一种通过USB (通用串行总线接口) 直接与计算机相连、具有密码于是USB接口设备, Usbkey通过USB端口提供的电源来工作, 不需要额外的电源、具有密码验证功能、可靠高速的小型存储设备。USB KEY认证最早是由软件保护厂家提出来的, 它结合了现代密码学技术、智能卡技术和USB技术, USB Key认证的硬件数字加密用以保证用户只有通过插入USB Key进行身份认证后才可登入系统, 实现不同用户系统功能的使用权限的不同。

对用户登录信息的认证可以采取两种方式:可以使用客户端签名控件进行签名的方式, 也可以使用向签名验证服务器提交获取签名的方式。用户登陆系统时, 首先需要完成用户和USB Key之间的认证, 通过认证后, 构建CA签名及验证服务平台, 然后客户端使用签名控件对用户登录信息进行数字签名加密, 服务器端使用验证服务平台对用户的数字签名加密信息进行解密并验证, 这样就利用USB Key完成了用户和服务器之间的认证, 从而确定用户有无权限登陆系统及登陆系统后的角色。

USB KEY认证的签名验证流程:

(1) 用户输入PIN码, 通过控件来读取USB KEY中存储的的数字证书及私钥信息。

(2) USBKEY内置加密算法, 使用私钥, 对用户登录信息进行签名加密。

(3) 根据PKCS#7标准, 将原文和签名后的密文和自己的数字证书打包。

(4) 客户端将打包报文发送给认证服务器。

(5) 认证服务器收到报文, 根据PKCS#7格式读出打包信息。

(6) 认证服务器验证用户端所提供的数字证书的有效期、证书链, 并完成黑名单检查, 失败则放弃。

(7) 有效期、证书链和黑名单验证通过后, 认证服务器即使用用户的数字证书的公钥对用户所提供的密文进行解密。

(8) 解密后的报文和原文核对, 相同则表明接受由用户提交的数字证书所申明的身份。

USB Key认证除USB Key读写应用程序外, 还需在开发环境下对签名控件和验证开发包做开发集成。客户端通过签名控件读写USB Key中的证书和私钥, 并通过KEY中的智能芯片用私钥对用户信息加密, 客户端将原文及密文和数字证书打包发给签名认证服务器。服务器验证部分, 通过接口开发包, 将实现数字证书读取和核对数字证书有效性, 并用公钥解密出原文并核对, 从而确认客户端身份。当用户申请数字证书时, 系统利用非对称加密方法生成一对数学钥匙, 即一个公钥和一个私钥, 公钥在批准并发放证书后将列入证书, 其用于核实由相对应的私钥制作的数字签名, 并可对信息进行加密而由相应的私钥进行解密;私钥由申请者保密, 私钥用于制作数字签名, 并可对用对应的公钥加密的文件进行解密。由于私钥的重要和敏感性, 要求其存储在一个能够防止篡改和盗取的安全载体上, USB Key正好能适应这一要求, 它内部的智能芯片的卡片操作系统能实现只在芯片内部产生和使用私钥, 这样私钥就不能被复制和攻击。

这样通过验证签名信息的有效性, 只有用户拥有USB KEY并且通过用户帐号和用户口令验证才能登录系统, 即使拥有USB KEY, 如果不知道系统中的用户口令, 也无法正常登录和使用系统, 从而充分保证了用户登录信息的安全。也就是说USB KEY、用户帐号和用户口令, 缺少任何一个都无法登录和使用系统。

使用USB KEY来作为身份认证的替代方式, 极大地提升了应用系统的安全性, 解决了企业现实存在的实际问题, 具有较强的实用性。

参考文献

[1]汪国安, 杨立身.USB Key身份认证系统的设计与实现[J].河南理工大学学报, 2005.08

网络安全中身份认证技术探讨 第9篇

1.1 以口令为基础的认证方式

对于传统认证技术来说, 它所使用的主要是以口令为基础的认证方法。这种方法相对比较简单, 系统事先对每一个用户所拥有的二元组信息进行保存, 当用户进入系统内的时候, 将自己的ID以及有关PW输入进去, 系统自动将所保存的信息与用户所输入的信息进行比较, 从而对用户的身份合法性进行判断。这种认证方法所具有的有点就是:一般的系统中都对口令认证提供支持, 因此对于封闭小型系统来说, 这是一个简单可行的很好的方法。然而用户在选择口令的时候一般都是姓名或者是生日, 这种口令是很容易你破解的, 这样一来就存在很大的不安全性。口令是以明文的形式在网络中进行传输的, 所以攻击者通过搭线的方式很容易就可以获得口令。此外, 攻击者还可能会根据系统中的漏洞来获得系统中所保存的用户文件, 因此存在很大的不安全性。为了将技术安全性提高, 一般在进行保存以及传输的时候都要用密码算法来进行加密, 但这对于重传以及假冒攻击也是没有办法进行抵抗的。

1.2 以物理证件为基础的认证方式

这种方式是利用用户的某种特有东西来得以实现的。所使用的物理证件主要有智能卡以及USB Key等。利用智能卡能够对硬件进行加密, 其安全性比较高。以智能卡为基础的认证方式将用户所知以及用户所有两种方式进行了结合。在物理证件中存入用户信息, 将用户事先进行选择的某个随机数据存入到AS中, 用户在对系统资源进行访问时, 在输入ID以及口令之后, 系统先对智能卡的合法性进行判断, 然后利用智能卡来对用户身份进行鉴别, 若用户身份是合法的, 之后再将智能卡中所保存的随机数据送给AS来进行进一步认证。

2 一次性口令认证技术

2.1 技术特点以及设计思想

所谓一次性口令就是将身份代码以及某一种不能确定的因素当做是密码算法输入参数。利用算法的变换得到一个变化结果, 并且将这个结果当作是用户进行登录的口令, 在认证服务器端利用与之相同的计算方法来计算, 并且要将其与用户登录口令匹配, 如果是合法的就对其登录接受。这种一次性口令, 是不重复的, 并且是不断变化的, 另外, 用户不需要来记忆, 一个口令只能够有一次使用权利, 是拒绝重复使用的。

2.2 实现技术的方式

从目前情况来看, 一次性口令认证技术得以实现的方式主要有四种:

第一, Lamport方式, 这种方式也叫做哈希链方式。在初始化阶段的时候, 选择一个迭代数N与口令PW, 并且还要选择一个单向的散列函数F, 计算方式就是Y=Fn (PW) , 在计算出结果之后, 要将Y以及N的值全部在服务器上保存。在用户端对Y/=Fn-1 (PW) 进行计算, 然后将其向服务器提交, 在服务器中进行的计算是Z=F (Y/) , 最后服务器比较Z值与保存在服务器上的Y/。若两者的值是相等的, 就说明验证成功, 然后用Y/服务器中的Y值取代, 同时要将N值递减1。利用这种方式, 用户每次在服务器段进行登录的时候都会有不同口令。这种方案的实现是很容易的, 并且是不需要特殊硬件支持的。但是它的安全性是依靠单向散列函数来实现的, 最好是不要在分布式网络环境中使用。

第二, 时间同步方式。在这种方式中, 每一个用户都有一个相应时间同步令牌。时钟, 加密算法以及种子密钥都放置在令牌内。这种令牌依据当前的时间以及种子密钥在每一分钟内都有一个一次性口令生成。当用户对系统进行访问时, 将所生成的口令向认证服务器传送。服务器利用种子密钥的副本以及当前时间将期望输出值计算出来, 以此来验证用户, 若能够相匹配, 就能够通过登录。这种方式的关键就在要保持认证服务器及令牌时钟的同步。

第三, 挑战应答方式。在这种方式中, 每一个用户要持有相应挑战应答令牌。同样在令牌内放置有种子密钥以及加密算法。用户在对系统进行访问时, 会有一个挑战数据在服务器中随机生成, 并且将这个数据向用户发送, 用户将收到的数据输入到令牌内, 令牌再根据内部的加密算法以及种子密钥要与之相应应答数据计算出来。用户再将该应答数据向服务器上传。服务器再将相应应答数据计算出来, 将其与用户上传数据进行比较, 从而进行验证。从目前情况来看, 这是最有效的一种方式。

第四, 异或运算方式。这种方式是将一些比较简单的运算和散列运算进行相应结合, 认证双方利用这些运算方式来对双方所交换认证数据进行计算, 从而来进行验证。这种方式所具有的特点就是设计比较简单, 运算量比较小, 并且在实施时成本也较低。

3 结语

网络安全是网络运行中必须要解决的一个问题, 是保证网络正常运行的前提。在网络安全中运用身份认证技术对其安全性提高有重要作用, 能够保证网络安全运行, 促进网络技术发展。

参考文献

远程教育系统中身份认证技术的探究 第10篇

关键词：远程网络教育,身份认证,动态口令,静态口令

1 前言

如今远程网络教育已成为传统教育最有力的补充, 也成为了当今各大院校积极推进的教育方式。与传统面对面式教育方式迥然不同, 这种教育方式中教师和学生不是集中在同一区域中, 而是在地理位置上被远程空间分开, 他们通过一定方法和技术的媒介进行联系, 突破时间和空间的限制开展知识传授和学习活动。但随着教育网络应用的扩大, 其安全风险也变得更加严重和复杂, 因为对网络的依赖而受到各种的网络威胁。

为了保证只对授权合法用户提供服务, 防止非法用户获得系统服务, 系统提供服务时必须认证用户的身份。目前远程教育系统常用的认证方式是静态的口令认证。但是静态口令技术容易受到穷举、重放等多种形式的攻击, 导致在利用现代远程教育系统进行网上授课、答疑、作业批改、讨论、考试、缴费以及远程管理等过程中, 都存在很多安全隐患。其中重播攻击是指攻击者并不试图从截获的数据中恢复出有价值的信息, 而是直接将截获的数据重发, 以达到非法的目的。例如, 由于口令是静态的, 除非用户修改口令, 不然口令是维持不变的, 这样进行散列运算处理后得到的结果也是不变的, 攻击者截获了用户名和口令的散列结果后, 直接使用这些数据发起身份认证请求, 认证服务器会认为这是一个合法的认证请求, 并且由于用户名和口令的散列结果都是合法的, 攻击者就能成功地通过身份认证, 从而非法地获得系统的访问权限。

因此研究适合现代远程教育的安全系统就显得非常重要, 而身份认证则是网络安全体系的基础, 无论是数据加密、访问控制或其它网络安全技术, 都必须基于有效的身份认证。否则一旦攻击者伪造或盗用合法身份, 各种安全堡垒都形同虚设。身份认证技术是指能够对信息收发方进行真实身份鉴别的技术, 是保护网络信息资源安全的第一道大门, 它的任务是识别、验证网络信息系统中用户身份的合法性和真实性, 按授权访问系统资源, 并将非法访问者拒之门外。可见, 身份认证在安全系统中的地位极其重要, 是最基本的安全服务, 其它的安全服务都要依赖于它。

2 用户身份的确认

用户身份的确认问题, 包括学生、教师的身份确认, 不同的身份具有不同的权限, 要防止用户的冒名使用。因为缺乏安全有效的身份认证手段, 不能抵御猜测攻击, 系统易被攻破。其实在实际环境中系统的安全性威胁主要来自于未授权用户的非法或越权访问, 由于远程教育系统或数据库的密码设置简单, 很容易造成无关内部人员闯入系统内部, 更改系统设置, 进行非法的查看、编辑等操作。远程教育系统作为专用系统, 对登录用户应该进行身份认证, 以提高远程教育系统的安全性。该文就远程教育系统中身份认证技术做出探讨, 并构建出更加安全的远程教育系统中的身份验证体制, 对当前远程教育系统的安全具有重要的应用价值。

目前身份认证的常用的方式有:

1) 基于PKI (Public Key Infrastructure) 的数字证书公钥基础设施。

2) 智能卡。智能卡 (Smart Card) 是指利用存储设备记忆一些用户信息特征进行的身份认证。

3) 静态口令。静态口令是指在某一特定的时间段内没有变化、可反复多次使用的口令。因为是静态的, 不变的, 在很多情况下如果不慎被泄密, 就可能会被他人所用, 加上用户总会担心忘记密码, 所以一般使用的口令都会有一定的规律可寻, 例如:自己的电话号码、自己或家人的生日等等。如果口令是用在与资金帐户或重要信息有关的计算机应用系统中的话, 静态口令就很不安全, 一些不法分子可能通过不正当手段获取静态口令, 如窥视、欺骗、侦听、穷试等。这种方式现一般用于一些不太重要的场合。

4) 动态口令。动态口令是指每次认证时输入的口令都是变化的, 且不重复, 一次一变, 即使被别人知道了, 下次也无法再使用。它是用户身份的数字化凭证, 是信息系统鉴别用户身份合法性的依据。根据动态口令的产生和认证方法的不同, 可以分为交互方式和主动方式两类。

5) 生物特征。生物特征认证是指采用每个人独一无二的生物特征来验证用户身份的技术。

6) USB Key。认证基于USB Key的身份认证方式是近几年发展起来的一种方便、安全、经济的身份认证技术, 它采用软硬件相结合一次一密的强双因子认证模式, 很好地解决了安全性与易用性之间的矛盾。

而动态口令认证的主要实现方式是由用户端的密码令牌和应用系统端的认证服务器组成, 例如RSA公司的SecureId动态口令系统。但因需要付出很高的实现成本, 并且使用不方便, SecureId动态口令系统主要局限于一些大公司和特定行业。为了满足远程教育系统动态口令系统的应用, 本论文提出采用手机短信平台作为动态口令的交换平台, 实现基于手机、静态口令的双因子动态口令系统。用户初始以一种安全的方式向用户数据服务器提交静态口令, 进行身份注册。用户使用手机得到动态口令再次输入口令进行验证, 用户使用新口令方能获得相应的服务, 从而方便地增强远程教育系统身份认证地安全性。

3 学术构想与思路

其学术构想与思路是:

1) 分析现有的远程教育系统的模式, 整理出现在采用的口令身份认证的方式以及存在的弊端。

2) 研究与远程教育系统身份认证相关的国际和国家标准。只用充分学习相关标准, 参照其制定步骤和模式, 才能保证制定出的模式具有科学性、系统性和规范性。

3) 结合现有远程教育系统身份认证模式的弊端提出解决的方法:把单因素静态口令身份认证更改为多因素动态身份认证即基于短信的动态身份认证机制。

研究方法为在坚持和落实科学发展观的前提下, 采用理论研究与实证研究、定性与定量分析、文字叙述与图表说明相结合的方法, 对现有的认证方法进行整理分析, 制定出符合远程教育系统的更加安全的身份认证机制。

4 工作原理

工作原理可以描述为:

1) 用户使用自己的账号和静态口令登录系统。

2) 控制中心向用户数据库发送查询信息, 请求用户的认证信息。

3) 用户数据库向控制中心发送查询结果信息。控制中心收到用户的相关认证信息, 对用户进行身份验证, 如果验证通过, 则做进行下一步流程;否则, 用户不是合法用户, 控制中心中断与用户的连接。

4) 由控制中心向密码生成模块发送动态口令生成指令, 获得用户在特定服务商登录所需要的动态口令。控制中心通过安全通信模块 (实现系统和服务商的相互认证, 提供数据的加密传输和完整性保护) 向服务商发送动态口令, 服务商更新用户的口令, 向控制中心返回确认信息。

5) 控制中心收到服务商的确认信息后, 通过短信模块将用户的动态口令发送至用户手机。

6) 如果口令发送成功 (现在的移动运营商在发送短信后, 都立即会有相关短信发送成功与否的反馈提示信息) , 控制中心通知用户, 口令已经发送, 请注意接收。

7) 用户使用手机得到的动态口令, 登录到服务商处, 以此动态口令作为用户认证密码, 获得相关远程教育服务。

分析系统的构成模块如下:

5 结论

从原理上看, 本系统是一个双因子认证系统。第一个因子为用户拥有的某种实物 (手机) , 由这个实物可以生成动态口令;第二个因子是用户拥有的某种知识 (静态口令) , 通过这两个因素来提高认证系统的安全性。由于手机的普及使用, 用户可以方便的获得安全的身份认证。本动态口令系统具有较高的安全性和使用上的方便性, 实现成本低, 可与基于互联网的远程教育系统结合, 为其提供安全的用户认证服务, 替代传统远程教育系统的静态口令用户认证方式。

在研究本课题前, 我积极参与远程教育系统安全体系构建的研究, 并着重就身份认证问题大量搜集材料, 密切关注当今身份认证技术的发展及动态。网络教育正以相当迅猛的态势发展起来, 把网络作为主要教学手段和媒体的各类远程教学机构正以成倍的速度增长。但网络有其严重的脆弱性, 面临前所未有的安全威胁。该课题具有较好的应用前景。

参考文献

[1]Chellapa R, Wilson C L, Sirohey S.An human machine recognition of faces[J].Proceeding of The IEEE, 1995, 83 (5) :705-740.

[2]Zhou D L.A study of human face recognition[D].Xi'an:Northwestern Polytechnical University, 2001.

[3]Tian Y, Tan T, Wang Y H.Do singular values contain adequate information for face recognition[J].Pattern Recognition, 2003, 36.

[4]陈伏兵.人脸识别中鉴别特征抽取若干方法研究[D].中国优秀博士论文, 2006.

[5]广东省顺德市德州大厦信息网络安全解决方案.1999.5 P3, P8, P9, P14, P20.

身份认证技术 第11篇

油服在信息安全方面立足长远，需建设“油服可信身份认证平台”来支撑未来油服的整体安全身份认证和可信身份管理。可信身份认证平台属于应用安全基础设施，将为各类人员、应用系统提供安全信任服务。通过CA测试系统的搭建，以及小规模的数字证书安全应用研究，油服积累了一定的CA安全应用经验。随着业务扩展和信息化建设的深入，今后油服越来越多的应用系统将依托数字证书技术实现安全保障功能，应用范围也将扩展至身份认证、加密、签名和抗抵赖等多个环节。本文主要介绍了油服可信身份认证平台系统的总体设计和详细设计方案，描述了一套正式的，具有安全域划分和良好扩展能力的基本核心CA系统的主要功能和搭建实施。

1 系统总体设计

1.1 系统逻辑结构设计

基本核心CA系统主要服务于油服内部的各种办公、生产应用系统。逻辑结构说明：RA管理员访问WEB应用服务提交用户信息，WEB应用连接RA服务，RA服务获取到用户信息和证书请求发送给CA服务。CA服务提交请求给签名服务器进行证书颁发，之后将签发好的证书返回给RA服务同时发布在主LDAP服务。RA服务将证书发送给RA管理员。

1.2 证书信任体系设计

证书总体的信任体系采用三层结构：第一层是自签名的总公司根CA，是处于离线状态的，具有总公司权威性等特性。第二层是由总公司根CA签发的油服运营CA，处于在线状态。第三层为用户证书，由油服运营子CA签发，由油服RA中心管理。

1.3 系统物理结构设计

通过将三台利旧服务器通过在接入交换机上的访问控制列表进行二层隔离，并配以相应的IP地址段，保证其正常的数据通信，同时设置网络访问策略对三台利旧服务器间的网络通信加以限制，即LDAP服务器可以被所有外部用户访问，RA服务器只能被从LDAP服务器和在线CA服务器访问，在线CA服务器只能被从LDAP服务器和RA服务器访问。离线CA服务器日常处于离线状态，工作时采用网线直连在线CA服务器。

2 系统详细设计方案

2.1 可信身份认证平台的主要功能

2.1.1 证书签发

通过CA认证系统申请、产生和分发数字证书，具有证书签发功能。

2.1.2 证书生命周期管理

通过CA认证系统实现对证书生命周期的管理，包括证书申请、证书批准、证书查询、证书下载、证书吊销以及证书更新。

2.1.3 CRL服务功能

支持证书黑名单列表(CRL)功能，能够配置指定RA的CRL下载地点及CRL发布时间。

2.1.4 目录服务功能

证书目录服务的功能支持LDAP V3规范，提供给用户进行证书查询的功能。

2.1.5 CA管理功能

具有包括对CA及RA管理员的管理、对个人账号及RA账号的管理、证书策略配置管理等功能。

2.1.6 日志与审计功能

CA认证系统可查看和统计各种日志，对所有操作人员的操作行为进行审计。

2.2 可信身份认证平台系统的搭建实施

2.2.1 系统的安装

部署安装说明：在线CA服务器上安装CA服务，QM服务，签名服务，加密代理程序以及LDAP服务;安装在线加密卡;安装SQL Server2005数据库;RA服务器上安装RA服务;KMC服务器上安装KMC服务;安装加密机;在离线CA服务器上安装离线加密卡。

2.2.2 CA基础数据源的选择

油服现有的身份管理中，AD域中的用户信息变动可通过连接器被CA中心感知，并自动同步到CA用户身份信息存储中，同时AD可为CA系统提供目录服务，用以存储数字证书及CRL证书注销列表，同时可为业务系统提供数字证书查询及CRL证书注销列表下载等服务。由于AD与LDAP的兼容性良好，未来若需要以LDAP作为统一门户、统一认证、单点登录等的目录服务，也可以实现良好的同步。

2.2.3 用户证书的主题定义

考虑到各种应用以及可扩展性，定义个人证书的主题内容如下：

主题项：

CN=用户姓名

O=COSL

OU=部门名称

2.2.4 证书审批及发放流程设计

油服CA采用集中制证的审批发放流程，由RA管理员代替用户录入证书申请信息，RA SERVER自动审批用户证书申请请求，证书申请送入CA认证中心进行签发，签发后证书返回到管理员本地，管理员将证书制入USB KEY，最后将证书分发到最终用户手中。

3 结论

随着公司业务的不断扩展和信息化建设的逐步深入，今后越来越多的信息系统将依托数字证书技术实现安全保障功能。因此，可信身份认证集成技术的研究与应用具有极为重要的意义。CA认证中心采用了数字证书的签名和认证技术，通过为设备服务器、信息系统、用户等颁发数字证书，并以证书登录的方式达到强度加固身份认证安全，从而有效地解决了目前公司大部分信息系统“用户名+密码”的弱认证安全问题，并且通过利用数字证书与公司员工实体身份一一对应，作为员工个人的唯一标识，保障了公司员工身份的可靠性和真实性。

参考文献

[1]段友祥^,相鹏^,李绪亮.基于CA技术的网络信息安全系统设计实践.计算机工程与设计^,2006(3)^:1014-1017.

[2]李拥军,周文慧.企业级CA系统以及应用策略的研究与实现.计算机工程与设计,2006(8):2728-2730.