现代远程教育系统中的身份认证研究与设计

1、现代远程教育系统中的身份认证研究与设计宫业芹（日照广播电视大学， 山东日照 276826）摘要：基于Internet的现代远程教育系统已成为全国高校开展远程教育的主要手段，远程教育系统的安全问题是一个备受关注的研究领域。其中，身份认证是远程教育系统安全的第一道屏障，通过某种形式的身份验证机制来证明用户的身份,然后才能实现对不同用户的访问控制。本文就现代远程教育系统中的身份认证进行分析研究，并提出了一个基于PKI安全的身份认证设计方案。关键词：现代远程教育系统；身份认证；PKI；CA；数字签名中图分类号：TP393 文献标识码:AStudy and Design of Identity Auth

2、entication in Modern Distance Education SystemGong Ye qin(RiZhao Radio and TV University ShanDong RiZhao 276826)Abstract: Internet-based Modern Distance Education System has become the primary means of distance education of the countries colleges and universities.The safety of Distance Education Sys

3、tem is a concern of the reseach,where Identity Authentication is the first security barrier of the Distance Education System,through some form of Identity Authentication to prove the identity of the user,then we can realize the access control of different users. In this paper,I analyze the Identity

4、Authentication of Modern Distance Education System and proposed a design system of the Identity Authentication based on PKI security.Keywords:Modern Modern Distance Education System;Identity Authentication; Public Key Infrastructure; Certificate Authority; Digital Signature远程教育经历了早期的面授教育和广播电视教育时期，如今

5、已经走进了一个崭新的发展阶段现代远程教育阶段。现代远程教育以现代通信技术、计算机技术、网络技术和多媒体技术等为基础，使计算机的交互性、网络的公布性和多媒体信息的综合性相结合，为人们提供远程教育信息服务。随着当前国内因特网建设和宽带接入网等方面的迅速发展以及网络多媒体技术的不断进步，基于因特网的现代远程教育系统已成为全国高校开展远程教育的主要手段。现代远程教育系统是一个基于Internet/Intranet的网络化学习解决方案，一般包括：在线学习和管理系统、课件制作系统、在线同步音视频课堂、在线考试系统、交费系统等。它突破了传统“面授”教学的局限，为求知者提供了时间分散、自由安排学习、资源共享、

6、地域广阔、交互式的学习创新方式。但是，远程教育系统还很不完善，还存在许多技术问题需要进一步研究和探讨，安全技术就是关键技术之一，其中身份认证技术是网络安全和信息系统安全的第一道屏障，它是在信息安全时代备受关注的一个研究领域。身份认证一般包括两个方面的含义：一个是识别，另一个是验证。所谓识别是指对系统中的每一个合法用户都有识别能力。要保证其有效性，必须保证任意两个不同的用户都不能具有相同的标识符。所谓验证是指系统对访问者自称身份进行验证，以防假冒。标识信息一般是公开的，而验证信息必须是秘密的。身份认证的方式多种多样，本文就现代远程教育系统中的身份认证技术进行分析研究，并提出了一个基于PKI安全的

7、身份认证设计方案。 1、 身份认证的方式通常有三种方式来验证主体身份：一是只有该主体了解的秘密，如口令、秘钥；二是主体携带的物品，如智能卡；三是该主体独一无二的特征或能力，如脸像、虹膜、指纹、掌纹、声音等。1.1基于口令的传统认证方式这种认证方式很简单，系统事先保存每个用户的标识和口令，进入系统时，用户输入标识和口令，系统根据保存的用户信息和用户输入信息比较，从而判断用户身份的合法性。基于口令的认证方式是传统的身份认证方式，依赖于口令，口令一旦泄露，用户即可被冒充。口令认证方式有两种：一种是静态口令，另一种是动态口令。1） 静态口令静态口令是指某一特定时间段内没有变化，可反复多次使用的口令。2

8、） 动态口令动态口令是指每次认证时输入的口令都是变化的且不重复，一次一变，即使被别人知道了，下次也无法使用。1.2基于物理证件的认证方式1）智能卡（Smart Card）智能卡认证方式是指利用存储设备记忆一些用户信息进行身份认证。智能卡具有硬盘加密功能，有较高的安全性，每个用户持有一张智能卡，智能卡存储用户个性化的秘密信息，同时在验证服务器中也存放该秘密信息。进行认证时，用户输入PIN（个人身份识别码），智能卡认证PIN，成功后即可读出秘密信息。基于智能卡的认证方式是一种双因子的认证方式（PIN+智能卡），其中之一被窃取，用户仍不会被冒充。2） USB Key认证基于USB Key认证是近几年

9、发展起来的一种方便、安全、经济的身份认证技术，它采用软硬件相结合一次一密的强双因子认证模式，很好地解决了安全性和易用性之间的矛盾。USB Key是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的秘钥或数字证书，利用USB Key内置的密码算法实现对用户身份的认证。基于USB Key认证系统主要有两种应用模式：一是基于冲击/响应的认证模式，二是基于PKI系统的认证模式。1.3基于生物特征的认证方式通过计算机与光学、声学、生物传感器和生物统计学原理等高科技手段密切结合，利用人体固有的生理特性，（如指纹、脸象、红膜等）和行为特征（如笔迹、声音、步态等）来进行个人身份的鉴定。由于人体

10、特征具有人体所固有的不可复制的唯一性，这一生物密钥无法复制，失窃或被遗忘，利用生物特征身份认证技术进行身份认定，安全、可靠、准确。而常见的口令、IC卡、条纹码、磁卡或钥匙则存在着丢失、遗忘、复制及被盗用诸多不利因素。因此采用生物"钥匙"，您可以不必携带大串的钥匙，也不用费心去记或更换密码。而系统管理员更不必因忘记密码而束手无策。生物特征身份认证技术产品均借助于现代计算机技术实现，配合电脑和安全、监控、管理系统整合，实现自动化管理。1.4基于PKI体系的数字认证技术PKI(Public Key Infrastructure)即公钥基础设施，是一种遵循既定标准的密钥管理平台，它

11、能够为所有网络应用提供加密和数字签名，是信息安全技术的核心。基于PKI体系的数字认证技术，主要结合基于公钥密码理论的数字签名以及散列函数来实现身份认证。1）数字证书（Digital ID）数字证书是由权威机构CA（Certificate Authority）证书授权中心发行的，能提供在Internet上进行身份认证的一种电子文档，人们可以在互联网交往中用它来证明自己的身份和识别对方的身份。其作用类似于日常生活中的身份证。当然证书认证中心CA作为权威的、公正的、可信赖的第三方，其作用是至关重要的。数字证书的格式一般采用的是X.509国际标准。目前数字证书类型主要包括个人数字证书、单位数字证书、单

12、位员工数字证书、服务器证书、VPN证书、WAP证书等。数字证书至少包含证书拥有者的姓名、公钥、证书的序列号、证书的有效时间、签发证书的CA机构名称和CA机构的签名等信息，以标识他的身份。2）数字摘要与散列函数数字摘要是指通过单向Hash函数，将需加密的明文“摘要”成一串固定长度的散列值，不同的明文摘要成的密文其结果总是不相同，同样的明文其摘要必定一致，并且由摘要不能反推明文。数字摘要将原本可变的很长的消息明文进行压缩变成与消息明文惟一映射的符号序列，使得在此基础上进行数字签名非常高效快捷。3）数字签名（Digitai Signature） 数字签名是将摘要用发送者的私钥加密，与原文一起传送给接

13、收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中都要用到数字签名技术。2、 基于PKI的现代远程教育系统中安全机制与身份认证设计2.1远程教育系统对安全性的要求为了保证现代远程教育的各种应用得以顺利进行实施，远程教育系统的安全服务应提供以下安全机制功能：1） 信息的保密性机制不向非授权用户泄露信息内容（如：不向非授权学生泄露教学内容及试卷内容等）。2）信息的源发性鉴别可使授权的收信人对数字签名进行核实以可靠地确定发信人的身份。3） 信息的完整性机制可使授权的收信人确定信息在传输过程中未受非法修改。4） 信息来源不可否认性机制可使通信双

14、方对信息发送人的身份进行认证。而实现上述安全机制，主要依赖密码技术，常用的一类密码技术是PKI体系中的非对称密钥密码技术，其加密解密双方拥有不相同的密钥，远程教育系统中用户用他的密钥对信息进行签名，得到的数字签名可由持有他的公开密钥的人进行验证，而签名者的公开密钥是否可信，则可由第三方证书授权机构CA来证实。2.2基于PKI的现代远程教育系统中身份认证系统设计BrowserInternetWeb ServerCA ServerDatabase Server用户图1基于PKI的现代远程教育系统 用户CA服务器RA服务器档案服务器图2身份认证系统实现图InternetCA操作员 RA操作员安全服务

15、器基于PKI的现代远程教育系统中身份认证系统设计方案如图2所示，主要包括证书机构CA服务器、注册机构RA服务器、档案服务器，人员包括用户、CA操作员、RA操作员。1）身份认证系统组成部分用户用户指的是教育系统中的学生和教师。用户使用浏览器访问安全服务器，申请数字证书，之后到登记中心注册,出示有效证件。认证中心为用户发行证书以后,用户根据登记中心发来的邮件服务器上下载自己的数字证书。CA服务器该方案第一层是证书机构CA，它由学校教务处的信息服务中心负责建立和维护。它的服务对象是学校的所有学生、教师。它首先产生自身的私钥和公钥,然后生成数字证书,并且将数字证书传输给安全服务器。CA还负责为操作员、

16、安全服务器以及登记中心服务器生成数字证书。CA服务器是整个结构中最为重要的部分,存有CA的私钥以及发行证书的脚本文件。一般情况下,将CA服务器与其他服务器隔离,来确保认证中心的安全。RA服务器为了方便证书申请的审批和管理，在学校各个系还建立了证书注册机构(Registration Authority 简称RA)。它是用户和CA的接口，负责学生、教师的证书申请，验证申请信息的正确性。RA服务器面向登记中心操作员,在CA体系结构中起承上启下的作用,一方面向CA转发安全服务器传输过来的证书申请请求,另一方面向安全服务器转发CA颁发的数字证书和证书撤消列表。档案服务器建立一个档案服务器，以方便用户查找

17、信息；对于CA颁发的数字证书同样可以存放在档案服务器中档案服务器。安全服务器安全服务器面向普通用户,负责提供证书申请、浏览、证书撤消列表以及证书下载(包括用户、CA)等服务。安全服务器与用户的的通信采取SSL的方式(不需要对用户进行身份认证),来防止其他人通过窃听得到明文。操作员操作员主要包含两大类,一类是RA操作员,一类是CA操作员。RA操作员使用浏览器访问登记中心服务器,他的人数可以根据实际情况而定。CA操作员负责颁发用户的数字证书以及撤消证书。CA操作员的身份特别,是整个系统的核心,必须是最可信的人才能担任。2）身份认证系统的实现用户申请用户向设在学校各系的RA提交证书申请，用户填写个人

18、信息，包括用户的姓名、班级、通信地址、电子信箱等,浏览器生成私钥和公钥对,将私钥保存客户端特定文件中,并且要求用口令保护私钥,同时将公钥和个人信息提交给安全服务器。安全服务器将用户的申请信息传送给登记中心服务器。注册机构审核注册机构RA首先查询用户的证书请求信息，显示请求内容；根据请求信息，验证请求者的身份；检查请求信息是否完整和正确，如正确，则进行下一步，否则，退回请求；对请求分配一个标识名，并对请求信息、数字公钥和标识名进行签名；将签名过的上述信息提交给CA服务器。CA发行证书CA操作员向用户发送一封电子邮件,通知用户证书已经发行成功,并且把用户的证书序列号告诉用户到指定的网址去下载自己的

19、数字证书。用户获取数字证书用户使用证书申请时的浏览器到指定的网址,键入自己的证书序列号,服务器要求用户必须使用申请证书时的浏览器,因为浏览器需要用该证书相应的私钥去验证数字证书。只有保存了相应私钥的浏览器才能成功下载用户的数字证书。利用上述PKI方案，教师和学生之间就可以利用对方的公钥进行保密通信了。3、 结束语身份认证技术在现代远程教育系统中占有非常重要的地位，它是远程教育顺利进行的有力保证。但目前单靠一种身份认证技术还不能完全解决安全问题，如果保密信息被窃取，非法用户照样可以登录系统。目前，基于生物特征识别技术的身份方式准确性高，且很难被冒充，但成本昂贵，技术要求很高，仅适用于保密程度很高的场合，不容易普及。未来的身份认证技术将向多因素认证和生物特征识别技术发展。随着科