城市感知網(wǎng)絡(luò)身份認(rèn)證

　　城市感知網(wǎng)絡(luò)身份認(rèn)證【1】

　　【摘要】 城市感知網(wǎng)絡(luò)由不同類(lèi)型的網(wǎng)絡(luò)綜合而成。

　　同一用戶(hù)在各類(lèi)網(wǎng)絡(luò)里具有不同的身份標(biāo)簽。

　　為了提高身份認(rèn)證的效率。

　　保證安全，避免惡意用戶(hù)危害網(wǎng)絡(luò)運(yùn)行。

　　有必要針對(duì)不同的網(wǎng)絡(luò)場(chǎng)景設(shè)計(jì)不同的身份認(rèn)證協(xié)議。

　　【關(guān)鍵詞】 城市感知網(wǎng)絡(luò) 身份認(rèn)證

　　一、城市感知網(wǎng)絡(luò)發(fā)展現(xiàn)狀

　　2008年11月IBM公司提出了智慧地球的概念，隨后衍生出了智慧城市的概念。

　　一般而言智慧城市具有如下基本特征[1]：全面透徹的感知、寬帶泛在的互聯(lián)、智能融合的應(yīng)用。

　　信息化與城市化是當(dāng)前社會(huì)發(fā)展的兩項(xiàng)重要任務(wù)。

　　二者的高度融合使得“智慧城市”這一概念被越來(lái)越多的公眾所接受。

　　建設(shè)智慧城市的平臺(tái)是基于物聯(lián)網(wǎng)與互聯(lián)網(wǎng)、云計(jì)算和大數(shù)據(jù)的信息網(wǎng)絡(luò)系統(tǒng);建設(shè)智慧城市的手段是全面感知(物聯(lián)網(wǎng))、可靠傳遞(通信網(wǎng))和智能處理[2]。

　　智慧城市具有靈敏、高效、泛在的感知能力，需要建立覆蓋城市的信息采集、信息傳輸和信息服務(wù)的感知系統(tǒng)。

　　簡(jiǎn)化后的城市感知網(wǎng)絡(luò)總體架構(gòu)自底向上可分為信息感知層、信息傳輸層和信息處理層[3]。

　　信息感知層負(fù)責(zé)從各類(lèi)傳感器或含有傳感器的智能終端中采集信息。

　　可以是各類(lèi)傳感器構(gòu)成的無(wú)線(xiàn)傳感器網(wǎng)絡(luò)，用來(lái)進(jìn)行安全監(jiān)控、環(huán)境檢測(cè)、交通流量、建筑能耗測(cè)量等應(yīng)用;也可以是用于產(chǎn)品或身份識(shí)別的RFID標(biāo)簽采集系統(tǒng);還可以由移動(dòng)智能終端采集，如智能手機(jī)的內(nèi)置溫度濕度、噪聲、光強(qiáng)、GPS、海拔、加速度、煙感檢測(cè)等傳感器。

　　信息傳輸層將感知的各類(lèi)信息通過(guò)Zigbee、藍(lán)牙、紅外、WiFi或者3G等不同的傳輸技術(shù)高效可靠地接入以IP協(xié)議為基礎(chǔ)架構(gòu)的公共數(shù)據(jù)網(wǎng)。

　　信息處理層應(yīng)用大數(shù)據(jù)分析與處理技術(shù)從中提取出相應(yīng)結(jié)果提供給智慧城市的應(yīng)用服務(wù)。

　　比如智慧交通、智慧環(huán)保、智慧公安等城市功能的需求。

　　總之城市感知網(wǎng)絡(luò)是綜合了城市現(xiàn)有的物聯(lián)網(wǎng)、互聯(lián)網(wǎng)以及無(wú)線(xiàn)通信網(wǎng)的新型網(wǎng)絡(luò)。

　　二、城市感知網(wǎng)絡(luò)身份認(rèn)證技術(shù)

　　事物總是具有兩面性。

　　新一代信息技術(shù)在智慧城市中的廣泛應(yīng)用給生活帶來(lái)便利的同時(shí)，也帶來(lái)了潛在的安全問(wèn)題。

　　若不能處理好信息安全問(wèn)題，那么信息技術(shù)運(yùn)用地越廣泛深入，智慧城市所面臨的安全威脅也就越大。

　　以城市感知網(wǎng)絡(luò)為例子：從系統(tǒng)角度看，它既然綜合了物聯(lián)網(wǎng)、互聯(lián)網(wǎng)和移動(dòng)通信網(wǎng)的優(yōu)點(diǎn)，那么它們?cè)诎踩�方面的缺陷也同樣存在并衍生出了新的安全隱患[4] [5];從網(wǎng)絡(luò)用戶(hù)角度看，同一個(gè)自然人在不同的網(wǎng)絡(luò)(物聯(lián)網(wǎng)、互聯(lián)網(wǎng)、移動(dòng)通信網(wǎng))中具有的身份標(biāo)簽不同，也就涉及到在不同網(wǎng)絡(luò)中的身份認(rèn)證的安全與效率問(wèn)題。

　　更有惡意用戶(hù)使用虛假消息簽名、拒絕服務(wù)攻擊等手段危害網(wǎng)絡(luò)的正常運(yùn)行。

　　身份認(rèn)證是實(shí)現(xiàn)信息安全的基本手段，是信息系統(tǒng)安全的先決條件。

　　如果沒(méi)有認(rèn)證安全，其它安全都是空中樓閣。

　　安全專(zhuān)家認(rèn)為：“需要從感知、傳輸?shù)榷鄠�(gè)層次來(lái)確保智慧城市居民日常生活的有序性。”

　　所以，研究城市感知網(wǎng)絡(luò)的安全問(wèn)題是智慧城市廣泛推廣的前提和關(guān)鍵，而用戶(hù)身份認(rèn)證問(wèn)題又是其中的重點(diǎn)。

　　因此，研究城市感知網(wǎng)絡(luò)用戶(hù)身份認(rèn)證問(wèn)題具有廣闊的應(yīng)用前景和重要的現(xiàn)實(shí)意義。

　　用戶(hù)在由多種不同網(wǎng)絡(luò)構(gòu)建的城市感知網(wǎng)絡(luò)覆蓋范圍中移動(dòng)時(shí)，需要針對(duì)不同的網(wǎng)絡(luò)應(yīng)用場(chǎng)景設(shè)計(jì)特定的身份認(rèn)證協(xié)議。

　　針對(duì)前面提出的城市感知網(wǎng)絡(luò)的組成(物聯(lián)網(wǎng)、互聯(lián)網(wǎng)、移動(dòng)通信網(wǎng))，作者認(rèn)為RFID標(biāo)簽批量認(rèn)證、WSN廣播認(rèn)證以及移動(dòng)IP身份認(rèn)證三個(gè)方面值得進(jìn)一步研究。

　　學(xué)校網(wǎng)絡(luò)統(tǒng)一身份認(rèn)證系統(tǒng)設(shè)計(jì)【2】

　　摘 要：隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)在校園中的普及，校園中建立了多種應(yīng)用系統(tǒng)，來(lái)實(shí)現(xiàn)對(duì)人員的管理、信息的管理，提供各種信息服務(wù)。

　　但是，由于各個(gè)系統(tǒng)豐管部門(mén)不同、面向?qū)ο蟛煌�、�?duì)學(xué)校影響的緊迫程度不同，各個(gè)系統(tǒng)是分步建成的，并不是統(tǒng)一規(guī)劃的。

　　各個(gè)系統(tǒng)建立的時(shí)間不同，在提供應(yīng)用的廠(chǎng)商不同，各個(gè)系統(tǒng)之間大都互相獨(dú)立，缺乏一個(gè)統(tǒng)一的登錄入口。

　　本文可以設(shè)計(jì)一個(gè)統(tǒng)一認(rèn)證的系統(tǒng)，通過(guò)單點(diǎn)登錄來(lái)實(shí)現(xiàn)對(duì)各個(gè)應(yīng)用系統(tǒng)的訪(fǎng)問(wèn)和使用。

　　此系統(tǒng)是基于PKI的校園網(wǎng)身份認(rèn)證系統(tǒng)。

　　關(guān)鍵詞：校園網(wǎng); 統(tǒng)一身份認(rèn)證

　　統(tǒng)一認(rèn)證系統(tǒng)是學(xué)校各個(gè)應(yīng)用系統(tǒng)的對(duì)外窗口，是整個(gè)校園網(wǎng)絡(luò)應(yīng)用的門(mén)戶(hù)。

　　它為校園網(wǎng)絡(luò)各個(gè)應(yīng)用系統(tǒng)提供一個(gè)統(tǒng)一的認(rèn)證入口，將用戶(hù)在不同應(yīng)用系統(tǒng)中設(shè)置的多個(gè)口令相統(tǒng)一，為實(shí)現(xiàn)統(tǒng)一用戶(hù)管理、將來(lái)建立統(tǒng)一信息集成系統(tǒng)打下良好的基礎(chǔ)。

　　統(tǒng)一用戶(hù)認(rèn)證設(shè)計(jì)的功能和目標(biāo)為：設(shè)計(jì)一套全校統(tǒng)一的用戶(hù)認(rèn)證系統(tǒng)，為各個(gè)應(yīng)用系統(tǒng)提供用戶(hù)身份認(rèn)證的功能。

　　這個(gè)系統(tǒng)需要實(shí)現(xiàn)校園網(wǎng)絡(luò)的單點(diǎn)登錄，用戶(hù)通過(guò)了認(rèn)證后就可以直接訪(fǎng)問(wèn)學(xué)校的應(yīng)用系統(tǒng)。

　　系統(tǒng)中認(rèn)證及漫游支撐系統(tǒng)必須穩(wěn)定、可靠、安全、高效，特別是安全問(wèn)題應(yīng)該著重考慮。

　　系統(tǒng)設(shè)計(jì)：?jiǎn)吸c(diǎn)登錄系統(tǒng)采用基于數(shù)字證書(shū)的加密和數(shù)字簽名技術(shù)，對(duì)用戶(hù)實(shí)行集中統(tǒng)一的鈴理和身份認(rèn)證，并作為各應(yīng)用系統(tǒng)的統(tǒng)一登錄入口。

　　單點(diǎn)登錄系統(tǒng)在提高系統(tǒng)安全性、降低管理成本方面有突出作用，不僅規(guī)避密碼安全風(fēng)險(xiǎn)，還簡(jiǎn)化用戶(hù)認(rèn)證的相關(guān)應(yīng)用操作。

　　校園網(wǎng)PKI系統(tǒng)是建立數(shù)字校園的堅(jiān)實(shí)基礎(chǔ)，建立適用于校園網(wǎng)的PKI系統(tǒng)模型，必須充分考慮校園網(wǎng)的特殊環(huán)境：1.通過(guò)實(shí)施單點(diǎn)登錄功能，使用戶(hù)只需一次登錄就可以根據(jù)相關(guān)的規(guī)則去訪(fǎng)問(wèn)不同的應(yīng)用系統(tǒng)，提高信息系統(tǒng)的易用性、安全性、穩(wěn)定性;2.在此基礎(chǔ)上進(jìn)一步實(shí)現(xiàn)用戶(hù)在異構(gòu)系統(tǒng)統(tǒng)一身份認(rèn)證功能;3.實(shí)現(xiàn)提供對(duì)校園內(nèi)無(wú)線(xiàn)WAP接入和無(wú)線(xiàn)射頻譬接入的統(tǒng)一認(rèn)證支持;4.采用LDAP無(wú)縫集成現(xiàn)有的應(yīng)用系統(tǒng)的統(tǒng)一用戶(hù)數(shù)據(jù)庫(kù)作為SSO應(yīng)用軟件系統(tǒng)的用戶(hù)數(shù)據(jù)庫(kù)。

　　系統(tǒng)模塊設(shè)計(jì)與實(shí)現(xiàn)之UIDP服務(wù)器的設(shè)計(jì)：用戶(hù)授權(quán)的基礎(chǔ)是對(duì)用戶(hù)的統(tǒng)一管理，對(duì)于在用戶(hù)信息庫(kù)中新注冊(cè)的用戶(hù)，通過(guò)自動(dòng)授權(quán)或手工授權(quán)方式，為用戶(hù)分配角色、對(duì)應(yīng)用系統(tǒng)的訪(fǎng)問(wèn)權(quán)限、應(yīng)用系統(tǒng)操作權(quán)限，完成對(duì)用戶(hù)的授權(quán)。

　　如果用戶(hù)在用戶(hù)信息庫(kù)中被刪除，則其相應(yīng)的授權(quán)信息也將被刪除。

　　完整的用戶(hù)授權(quán)流程如下：1.用戶(hù)信息統(tǒng)一管理，包括了用戶(hù)的注冊(cè)、用戶(hù)信息變更、用戶(hù)注銷(xiāo);2.權(quán)限管理系統(tǒng)自動(dòng)獲取新增用戶(hù)信息，并根據(jù)設(shè)置自動(dòng)分配默認(rèn)權(quán)限和用戶(hù)角色;3.用戶(hù)管理員可以基于角色調(diào)整用戶(hù)授權(quán)或直接調(diào)整單個(gè)用戶(hù)的授權(quán);4.授權(quán)信息記錄到用戶(hù)屬性證書(shū)或用戶(hù)信息庫(kù)中;5.用戶(hù)登錄到應(yīng)用系統(tǒng)，由身份認(rèn)證系統(tǒng)檢驗(yàn)用戶(hù)的權(quán)限信息并返回給應(yīng)用系統(tǒng)，滿(mǎn)足應(yīng)用系統(tǒng)的權(quán)限要求可以進(jìn)行操作，否則拒絕操作;用戶(hù)的授權(quán)信息和操作信息均被記錄到日志中，可以形成完整的用戶(hù)授權(quán)表、用戶(hù)訪(fǎng)問(wèn)統(tǒng)計(jì)表。

　　用戶(hù)信息庫(kù)數(shù)據(jù)結(jié)構(gòu)設(shè)計(jì)：定義統(tǒng)一用戶(hù)管理系統(tǒng)用戶(hù)數(shù)據(jù)庫(kù)中關(guān)于用戶(hù)信息部分的主要數(shù)據(jù)結(jié)構(gòu)，以便了解統(tǒng)一認(rèn)證系統(tǒng)所能夠提供的用戶(hù)信息。

　　用戶(hù)信息庫(kù)包含以下內(nèi)容：

　　證書(shū)認(rèn)證服務(wù)器結(jié)構(gòu)設(shè)計(jì)：安全認(rèn)證中心基礎(chǔ)設(shè)施與數(shù)字證書(shū)服務(wù)受理服務(wù)器組成如下：

　　1.CA管理中心：CA管理中心是系統(tǒng)的核心，其在安全環(huán)境中產(chǎn)生用于數(shù)字簽名的RSA公鑰對(duì)，然后產(chǎn)生自簽名的數(shù)字證書(shū)，負(fù)責(zé)為RA操作員、RA服務(wù)器、cA管理員簽發(fā)數(shù)字證書(shū)，同時(shí)接受來(lái)自RA服務(wù)器發(fā)送來(lái)的終端實(shí)體數(shù)字證書(shū)的請(qǐng)求，為終端實(shí)體簽發(fā)數(shù)字證書(shū)。

　　在校園PKI系統(tǒng)中，CA認(rèn)證中心主要由學(xué)校的網(wǎng)絡(luò)信息中心進(jìn)行維護(hù)和運(yùn)行。

　　基于前文對(duì)跨平臺(tái)需求的研究，CA管理中心為內(nèi)網(wǎng)服務(wù)器提供基于SAML的WebService認(rèn)證機(jī)制，確保正確響應(yīng)跨平臺(tái)跨系統(tǒng)的應(yīng)用系統(tǒng)的認(rèn)證請(qǐng)求。

　　2.數(shù)字證書(shū)服務(wù)受理服務(wù)器：CA網(wǎng)站是CA與用戶(hù)溝通的橋梁，CA網(wǎng)站采用Web服務(wù)器，為用戶(hù)提供網(wǎng)上申請(qǐng)證書(shū)、下載證書(shū)、掛失證書(shū)等服務(wù)。

　　3.審核機(jī)構(gòu)RA：審核機(jī)構(gòu)RA在校園PKI體系結(jié)構(gòu)中起承上啟下的作用。

　　RA服務(wù)器根據(jù)用戶(hù)提交的表單信息，產(chǎn)生標(biāo)準(zhǔn)格式的證書(shū)請(qǐng)求，通過(guò)SSL安全信道將此標(biāo)準(zhǔn)格式的證書(shū)請(qǐng)求傳送至CA服務(wù)器然后對(duì)用戶(hù)頒發(fā)證書(shū)。

　　在校園PKI系統(tǒng)中，RA的維護(hù)和運(yùn)行也由學(xué)校網(wǎng)絡(luò)信息中心負(fù)責(zé)，并通過(guò)RA服務(wù)器和RA操作員連接。

　　4.數(shù)據(jù)中心：數(shù)據(jù)中心是證書(shū)的存放地，提供根證書(shū)實(shí)體數(shù)字證書(shū)和CDL的檢索與下載服務(wù)，用戶(hù)可以通過(guò)訪(fǎng)問(wèn)數(shù)據(jù)中心獲取自己或他人以及CA的數(shù)字證書(shū)以及CRL。

　　5.CA操作員：通過(guò)SSL安全信道實(shí)現(xiàn)對(duì)CA服務(wù)器進(jìn)行全面的配置管理和操作審計(jì)功能。

　　CA操作員由學(xué)校網(wǎng)絡(luò)信息中心安排并分別為其頒發(fā)CA操作員證書(shū)。

　　6.RA操作員：通過(guò)SSL安全信道管理登錄RA。

　　負(fù)責(zé)驗(yàn)證終端實(shí)體的證書(shū)請(qǐng)求，如果驗(yàn)證成功，直接將此證書(shū)請(qǐng)求發(fā)送給CA服務(wù)器。

　　RA操作員由各院系團(tuán)支書(shū)擔(dān)任，負(fù)責(zé)相關(guān)的本院系同學(xué)的驗(yàn)證工作。

　　其中各角色的用例圖設(shè)計(jì)如下：

　　數(shù)字證書(shū)是一段包含用戶(hù)身份信息、用戶(hù)公鑰信息以及身份驗(yàn)證機(jī)構(gòu)數(shù)字簽名的數(shù)據(jù)。

　　本證書(shū)采用X509v3標(biāo)準(zhǔn)，證書(shū)中附帶用戶(hù)在各

　　個(gè)應(yīng)用系統(tǒng)中授予的權(quán)限。

　　各應(yīng)用系統(tǒng)可以直接根據(jù)證書(shū)中的授權(quán)提供給用戶(hù)響應(yīng)的服務(wù)。

　　其各個(gè)CA中心頒發(fā)的數(shù)字證書(shū)結(jié)構(gòu)如下：

　　本文以統(tǒng)一身份認(rèn)證服務(wù)為中心，通過(guò)對(duì)PKI和統(tǒng)一認(rèn)證技術(shù)的學(xué)習(xí)，針對(duì)現(xiàn)在校園網(wǎng)絡(luò)中多個(gè)應(yīng)用系統(tǒng)并行、多種接入方式并存的情況等問(wèn)題的研究。

　　最后根據(jù)對(duì)這些問(wèn)題的分析，設(shè)計(jì)出了一個(gè)基于PKI的校園網(wǎng)身份認(rèn)證系統(tǒng)。

　　該系統(tǒng)利用PKI體系的非對(duì)稱(chēng)體制，實(shí)現(xiàn)了用戶(hù)身份的鑒別以及信息傳輸過(guò)程中的機(jī)密性，完整性和不可否認(rèn)性。

　　通過(guò)實(shí)施單點(diǎn)登錄功能，使用戶(hù)只需一次登錄就可以根據(jù)相關(guān)的規(guī)則去訪(fǎng)問(wèn)不同的應(yīng)用系統(tǒng)，提高信息系統(tǒng)的易用性、安全性、穩(wěn)定性;進(jìn)一步實(shí)現(xiàn)用戶(hù)在異構(gòu)系統(tǒng)統(tǒng)一身份認(rèn)證功能;實(shí)現(xiàn)提供對(duì)校園內(nèi)無(wú)線(xiàn)WAP接入和無(wú)線(xiàn)射頻卡接入的統(tǒng)一認(rèn)證支持;目前各高校多個(gè)信息系統(tǒng)并存，將各個(gè)系統(tǒng)能夠整合歸一、建立一個(gè)學(xué)校統(tǒng)一的信息系統(tǒng)，是將來(lái)最終建設(shè)的目標(biāo)。

　　本文主要是從理論上進(jìn)行了論證，從而設(shè)計(jì)出學(xué)校網(wǎng)絡(luò)統(tǒng)一身份認(rèn)證系統(tǒng)。

　　參考文獻(xiàn)

　　[1]史偉奇，張波云，PKi安全性分析，計(jì)算機(jī)安全，2007.02

　　[2]唐潔，張?jiān)铝�，PKI研究以及在數(shù)字化校園中的應(yīng)用，計(jì)算機(jī)技術(shù)與發(fā)展，2008.08

　　[3]朱興榮，數(shù)字校園PKI/CA認(rèn)證體系的規(guī)劃和建設(shè)，網(wǎng)絡(luò)通訊及安全，2007.04

　　[4]吳向東，構(gòu)建基于PKI高校校園網(wǎng)身份認(rèn)證系統(tǒng)，通信技術(shù)，2009.06

　　[5]聶維，高校校園I網(wǎng)PKI系統(tǒng)模型研究與分析，福建電腦，2008.10

　　[6于華、蔡海濱，基于LDAP和PKI的Intranet統(tǒng)一身份認(rèn)證系統(tǒng)研究，計(jì)算機(jī)工程與設(shè)計(jì)，2006.05

【城市感知網(wǎng)絡(luò)身份認(rèn)證】相關(guān)文章：

10-05

02-09

10-09

10-05

10-10

10-08

10-13

09-14

09-20

05-27