第一篇：統(tǒng)一身份認證(CAS)簡單說明與設(shè)計方案

統(tǒng)一身份認證（CAS）簡單說明與設(shè)計方案（轉(zhuǎn)）

1.單點登錄概述

所謂單點登錄（SSO），只當(dāng)企業(yè)用戶同時訪問多個不同（類型的）應(yīng)用時，他們只需要提供自身的用戶憑證信息（比如用戶名/密碼）一次，僅僅一次。SSO解決方案（比如，CAS）負責(zé)統(tǒng)一認證用戶，如果需要，SSO也可以完成用戶的授權(quán)處理?？梢钥闯?，當(dāng)企業(yè)用戶在不同的應(yīng)用間切換時，他們不用再重復(fù)地輸入自身的用戶憑證了。在實施SSO后，所用的認證操作都將交給SSO認證中心。現(xiàn)有的SSO解決方案非常多，比如微軟的MSN Passport便是典型的SSO解決方案，各Java EE容器都提供了自身的專有SSO能力。

2.CAS的總體架構(gòu)

1.CAS簡介

CAS（中央認證服務(wù)）是建立在非常開放的協(xié)議之上的企業(yè)級SSO解決方案。誕生于2001年，在2002年發(fā)布了CAS2.0協(xié)議，這一新的協(xié)議提供了Proxy（代理）能力，此時的CAS2.0支持多層SSO能力。到2005年，CAS成為了JA-SIG旗下的重要子項目。由于CAS2.0版本的可擴展能力不是非常完美，而且他的架構(gòu)設(shè)計也不是很卓越，為了使得CAS能夠適用于更多場合，JA-SIG打算開發(fā)出同時遵循CAS1.0和CAS2.0協(xié)議的CAS3.X版本。

現(xiàn)在的CAS3全面擁抱Spring技術(shù)，比如Spring DI容器和AOP技術(shù)、Spring Web MVC、Spring Web Flow、Spring Ldap Template等。

通常，CAS3由兩部分內(nèi)容構(gòu)成：CAS3服務(wù)器和CAS客戶端。由于CAS2.0協(xié)議借助于XML數(shù)據(jù)結(jié)構(gòu)與客戶進行交互，因此開發(fā)者可以使用各種語言編寫的CAS3客戶與服務(wù)器進行通信。CAS3服務(wù)器采用純Java開發(fā)而成，它要求目標(biāo)運行環(huán)境實現(xiàn)了Servlet2.4+規(guī)范、提供Java SE 1.4+支持。如果宿主CAS3服務(wù)器的目標(biāo)Java EE容器僅僅實現(xiàn)了Servlet2.3-規(guī)范，則在對CAS3服務(wù)器進行少量的改造后，CAS3也能運行其中。

運行時，CAS3服務(wù)器僅僅是一個簡單的Web應(yīng)用，使用者只需要將cas.war直接丟到目標(biāo)Java EE容器后，即完成了CAS3的部署。

2.CAS詞匯概念

TGC(ticket-granting cookie)---------受權(quán)的票據(jù)證明

KDC(Key Distribution Center)----------密鑰發(fā)放中心

Service ticket(ST)---------服務(wù)票據(jù)，由 KDC 的 TGS 發(fā)放。任何一臺 Workstation 都需要擁有一張有效的 Service Ticket 才能訪問域內(nèi)部的應(yīng)用(Applications)。如果能正確接收 Service Ticket，說明在 CASClient-CASServer 之間的信任關(guān)系已經(jīng)被正確建立起來，通常為一張數(shù)字加密的證書

Ticket Granting tieckt(TGT)---------票據(jù)授權(quán)票據(jù)，由 KDC 的 AS 發(fā)放。即獲取這樣一張票據(jù)后，以后申請各種其他服務(wù)票據(jù)(ST)便不必再向 KDC 提交身份認證信息(準(zhǔn)確術(shù)語是 Credentials)。

authentication service(AS)---------認證用服務(wù)，索取 Crendential，發(fā)放 TGT

ticket-granting service(TGS)---------票據(jù)授權(quán)服務(wù)，索取 TGT，發(fā)放 ST

3.CAS工作原理

CAS的單點登錄的認證過程，所用應(yīng)用服務(wù)器受到應(yīng)用請求后，檢查ST和TGT，如果沒有或不對，轉(zhuǎn)到CAS認證服務(wù)器登錄頁面，通過安全認證后得到ST和TGT，再重新定向到相關(guān)應(yīng)用服務(wù)器，在回話生命周期之內(nèi)如果再定向到別的應(yīng)用，將出示ST和TGT進行認證，注意，取得TGT的過程是通過SSL安全協(xié)議的。

如果通俗形象地說就是：相當(dāng)于用戶要去游樂場，首先要在門口檢查用戶的身份(即 CHECK 用戶的 ID 和 PASS), 如果用戶通過驗證，游樂場的門衛(wèi)(AS)即提供給用戶一張門卡(TGT)。

這張卡片的用處就是告訴游樂場的各個場所，用戶是通過正門進來，而不是后門偷爬進來的，并且也是獲取進入場所一把鑰匙。

現(xiàn)在用戶有張卡，但是這對用戶來不重要，因為用戶來游樂場不是為了拿這張卡的而是為了游覽游樂項目，這時用戶摩天樓，并想游玩。

這時摩天輪的服務(wù)員(client)攔下用戶，向用戶要求摩天輪的(ST)票據(jù)，用戶說用戶只有一個門卡(TGT), 那用戶只要把 TGT 放在一旁的票據(jù)授權(quán)機(TGS)上刷一下。

票據(jù)授權(quán)機(TGS)就根據(jù)用戶現(xiàn)在所在的摩天輪，給用戶一張摩天輪的票據(jù)(ST), 這樣用戶有了摩天輪的票據(jù)，現(xiàn)在用戶可以暢通無阻的進入摩天輪里游玩了。

當(dāng)然如果用戶玩完摩天輪后，想去游樂園的咖啡廳休息下，那用戶一樣只要帶著那張門卡(TGT).到相應(yīng)的咖啡廳的票據(jù)授權(quán)機(TGS)刷一下，得到咖啡廳的票據(jù)(ST)就可以進入咖啡廳

當(dāng)用戶離開游樂場后，想用這張 TGT 去刷打的回家的費用，對不起，用戶的 TGT 已經(jīng)過期了，在用戶離開游樂場那刻開始，用戶的 TGT 就已經(jīng)銷毀了。

3.CAS的實現(xiàn)原理

由于CAS是基于Cookie的服務(wù)，所以它使用了Spring CookieGenerator來生成相應(yīng)Cookie，下面的代碼段摘自與CAS服務(wù)器的WEB-INF/中的cas-server.xml配置文件。

class=“org.springframework.web.util.CookieGenerator”>

一旦用戶登錄到CAS服務(wù)器后，可以借助于URL為/cas/logout的地址退出，并且這種logout結(jié)果將導(dǎo)致瀏覽器中已存儲的Cookie被銷毀掉，即銷毀CAS與當(dāng)前用戶間已建立的信任關(guān)系（Web SSO會話）。

1.AuthenticationHandler認證處理器

瀏覽項目的web.xml，可以發(fā)現(xiàn)如下內(nèi)容：

contextConfigLocation

/WEB-INF/applicationContext.xml,/WEB-INF/deployerConfigContext-acegi.xml

org.jasig.cas.web.init.SafeContextLoaderListener

SafeContextLoaderListener實現(xiàn)了SafeContextListener，它借助于ContextLoader-Listener裝載Spring DI容器。這樣做的原因是因為Spring在通過

ContextLoaderLitener啟動時可能出現(xiàn)異常，造成整個CAS不能正常啟動，經(jīng)過SafeContextLoaderListener，則在異常發(fā)生時，CAS服務(wù)器也可以啟動。在deployerConfigContext.xml中，可以看到只定義了一個Bean：

class=“org.jasig.cas.authentication.AuthenticationManagerImpl”>

SimpleTestUsernamePasswordAuthenticationHandler的作用是如果用戶名與密碼輸入一樣，則通過系統(tǒng)認證。這個是開發(fā)過程中常用的一個handler，但是在開發(fā)完畢后應(yīng)該除去。

AuthenticationManagerImpl負責(zé)認證用戶，比如一個admin/admin用戶是否合法就是它來驗證的。AuthenticationManagerImpl對象會借助于他引用的credentialsToPr-incipalResolvers和authenticationHandlers集合完成用戶的認證工作。Authentication-Handlers負責(zé)完成用戶認證，而

credentialsToPrincipalResolvers負責(zé)構(gòu)建認證結(jié)果。其中，并不是authenticationHandlers的全部集合都參與到用戶認證中，一旦某個AuthenticationHandler成功完成用戶的認證，則認證進程就到此為止，進而轉(zhuǎn)到credenti-alsToPrincipalResolvers來構(gòu)建認證結(jié)果。credentialsToPrincipalResolvers的過程也類似于此。

2.CAS的時序圖

來自:

第二篇：統(tǒng)一身份認證系統(tǒng)數(shù)字化校園建設(shè)方案

益教教育科技有限公司——數(shù)字化校園建設(shè)方案

統(tǒng)一身份認證系統(tǒng)數(shù)字化校園建設(shè)方案

在數(shù)字化校園統(tǒng)一綜合管理平臺普及前，校園網(wǎng)各個應(yīng)用系統(tǒng)相互獨立存在，登錄不同的應(yīng)用系統(tǒng)都要設(shè)置登錄密碼并進行驗證，造成應(yīng)用系統(tǒng)認證資源的浪費，電子身份信息的重復(fù)、造假等弊端。多個應(yīng)用系統(tǒng)重復(fù)認證的弊端日益顯露，數(shù)字化校園建設(shè)方案的不斷完善，單點登錄技術(shù)應(yīng)運而生，建設(shè)安全有序的數(shù)字化校園統(tǒng)一身份認證系統(tǒng)得到重視。安全有序的數(shù)字化校園統(tǒng)一身份認證系統(tǒng)通過集中身份認證，實現(xiàn)用戶只需一次登錄認證，就可訪問所有相互信任的應(yīng)用系統(tǒng)，實現(xiàn)對所有被授權(quán)的應(yīng)用系統(tǒng)的無縫訪問，保證了用戶電子身份信息的唯一性、真實性、權(quán)威性。

數(shù)字化校園建設(shè)方案統(tǒng)一身份認證系統(tǒng)的工作機制

用戶通過用戶名及密碼認證等多種認證方式將用戶登錄信息傳遞給各應(yīng)用服務(wù)器。應(yīng)用服務(wù)器在接收到用戶提交的信息后。向認證前置機發(fā)出認證請求。認證前置機首先確認該應(yīng)用服務(wù)器的應(yīng)用是否是統(tǒng)一身份認證系統(tǒng)所認可的。如果應(yīng)用服務(wù)器的應(yīng)用是統(tǒng)一身份認證系統(tǒng)所認可的，則認證前置機與后臺的認證服務(wù)器進行用戶認證信息確認。在通過對用戶身份認證的同時返回一個認證令牌給用戶；否則，將直接返回失敗信息，用戶通過認證令牌即可訪

益教教育科技有限公司——數(shù)字化校園建設(shè)方案

問應(yīng)用系統(tǒng)，并可在其他統(tǒng)一身份認證系統(tǒng)所認可的應(yīng)用系統(tǒng)間自由切換，無需再次認證。

數(shù)字化校園建設(shè)方案管理身份認證方案功能：

(1)通過對在校已注冊用戶身份的認證提高了用戶信息的安全系數(shù)。

(2)通過身份認證可以對已注冊用戶信息訪問、修改、增加和刪除。

(3)該方案是實現(xiàn)一卡通的基礎(chǔ)．會給高校的管理帶來極大的便利。

以安全有序為目的建設(shè)的浙江大學(xué)統(tǒng)一身份認證系統(tǒng)

數(shù)字化校園建設(shè)方案統(tǒng)一身份認證系統(tǒng)建設(shè)目的在于構(gòu)建浙江大學(xué)統(tǒng)一的數(shù)字身份管理與服務(wù)中心，保障學(xué)校信息資源的有序應(yīng)用，確保學(xué)校信息資源和服務(wù)的安全。統(tǒng)一身份認證系統(tǒng)由身份數(shù)據(jù)庫、身份管理與數(shù)據(jù)服務(wù)、資源管理與訪問控制、PKI基礎(chǔ)設(shè)施、電子簽章及其應(yīng)用等組成，能夠向全校范圍內(nèi)所有部門、信息系統(tǒng)提供用戶身份數(shù)據(jù)服務(wù)，能夠為網(wǎng)上審批、網(wǎng)上支付等應(yīng)用服務(wù)提供數(shù)字證書認證，能夠為學(xué)校整合現(xiàn)有的各種應(yīng)用系統(tǒng)提供支撐，能夠滿足師生“單點登錄、多點漫游”的需求。

目前可用浙江大學(xué)數(shù)字化校園統(tǒng)一身份認證系統(tǒng)登錄的網(wǎng)站和系統(tǒng)有29個，包括校級OA、益教教育科技有限公司——數(shù)字化校園建設(shè)方案

部門學(xué)院OA、浙大辦公網(wǎng)、科研管理系統(tǒng)（人文社科版）、科研管理系統(tǒng)（科技版）、計財查詢系統(tǒng)、專業(yè)技術(shù)職務(wù)聘任系統(tǒng)、教職工數(shù)據(jù)服務(wù)系統(tǒng)、現(xiàn)代教務(wù)管理系統(tǒng)、本科教學(xué)課程中心、設(shè)備資產(chǎn)管理系統(tǒng)、消防信息管理系統(tǒng)、郵件系統(tǒng)、網(wǎng)絡(luò)學(xué)術(shù)創(chuàng)新門戶、網(wǎng)絡(luò)存儲、個人主頁系統(tǒng)、學(xué)生數(shù)據(jù)中心、校園卡綜合服務(wù)、學(xué)生一站式服務(wù)中心、電子離校單系統(tǒng)、學(xué)生公寓網(wǎng)、出國出境、車輛年檢用校印、法律事務(wù)辦理、會議室管理系統(tǒng)、部門公章申請審核、電子簽名章申請審核、電子印章管理系統(tǒng)、浙大校歷。

第三篇：《知行統(tǒng)一與體驗成功》設(shè)計方案

《知行統(tǒng)一與體驗成功》教學(xué)設(shè)計方案

[教學(xué)內(nèi)容] 《知行統(tǒng)一與體驗成功》是高等教育出版社教材《哲學(xué)與人生》第三單元的第七課?！墩軐W(xué)與人生》這門課程，把哲學(xué)與人生結(jié)合起來，用哲學(xué)的基本觀點來指導(dǎo)學(xué)生樹立正確的人生觀、世界觀和價值觀。第三單元的核心內(nèi)容是“以馬克思主義的認識論為指導(dǎo)不斷提高人生發(fā)展的能力”。《知行統(tǒng)一與體驗成功》這節(jié)課側(cè)重點是“如何在知行統(tǒng)一中提高人生發(fā)展的各種能力”，著重闡述辯證唯物主義的知行統(tǒng)一觀，引導(dǎo)學(xué)生在知行統(tǒng)一中體驗成功。因此，本課在本章節(jié)和這門課程的學(xué)習(xí)中占有重要地位，學(xué)習(xí)本課為學(xué)生今后的健康成長發(fā)展奠定了基礎(chǔ)。

[教學(xué)目標(biāo)] 認知目標(biāo)：了解實踐和認識的辯證關(guān)系，理解提高人生發(fā)展能力必須做到知行統(tǒng)一。

情感態(tài)度觀念目標(biāo)： 增強學(xué)生對知行統(tǒng)一哲學(xué)原理的認同，使得中職學(xué)生注重實踐，善于總結(jié)，努力學(xué)習(xí)，崇尚在知行統(tǒng)一的過程中提高人生發(fā)展的能力。

運用目標(biāo)： 通過教學(xué)，幫助學(xué)生在學(xué)習(xí)與生活的實踐中，不斷探索、及時總結(jié)人生發(fā)展過程中成功和失敗的經(jīng)驗教訓(xùn)。學(xué)會以馬克思主義的認識論為指導(dǎo)，不斷提高人生發(fā)展的能力。

[教材重點、難點和關(guān)鍵點] 重點：1.辯證唯物主義知行統(tǒng)一觀的基本觀點和方法。

2.在知行統(tǒng)一中體驗成功。難點和關(guān)鍵點：1.正確對待成功和失敗

2.在知行統(tǒng)一中體驗成功。

[學(xué)情分析]

通過前面知識的學(xué)習(xí)，學(xué)生基本上具備了一定分析問題、理解問題的能力，為學(xué)生學(xué)好本課奠定了理論基礎(chǔ)。

從學(xué)生自身情況來看，中等職業(yè)學(xué)校學(xué)生中考成績不夠理想，基礎(chǔ)知識薄弱，但同學(xué)們思維活躍，求知欲旺盛，愛游戲，愛玩愛唱，在遇到困難的時候不能做到勇敢地去面對。本課的教學(xué)對培養(yǎng)學(xué)生正確認識事物，掌握科學(xué)思維方法，勇于實踐，在知行統(tǒng)一中體驗成功很有幫助。應(yīng)在課堂上充分調(diào)動學(xué)生的學(xué)習(xí)積極性，激發(fā)來自學(xué)生主體的學(xué)習(xí)動力。[教學(xué)方法] 根據(jù)本課的重點內(nèi)容和學(xué)生的實際情況，堅持德育課“貼近實際、貼近生活、貼近學(xué)生”的原則，采用啟發(fā)式學(xué)習(xí)模式，借助計算機多媒體手段，選擇貼近學(xué)生生活實際的多種資源，采取合作探究、情境討論、案例教學(xué)、漫畫分析、設(shè)問啟發(fā)等多種教學(xué)方法，充分調(diào)動學(xué)生參與，激發(fā)學(xué)生的學(xué)習(xí)熱情，使學(xué)生真正成為學(xué)習(xí)的主體。

[教學(xué)環(huán)境設(shè)計及資源準(zhǔn)備] 多媒體教室，多媒體課件，投影儀

[教學(xué)過程及時間分配]

第一課時

（一）導(dǎo)入新課（3分鐘）播放歌曲: 《真心英雄》

在我心中 曾經(jīng)有一個夢，要用歌聲讓你忘了所有的痛，燦爛星空 誰是真的英雄平凡的人們給我最多感動，再沒有恨 也沒有了痛，但愿人間處處都有愛的影蹤 用我們的歌 換你真心笑容，祝福你的人生從此與眾不同 把握生命里的每一分鐘，全力以赴我們心中的夢 不經(jīng)歷風(fēng)雨 怎么見彩虹，沒有人能隨隨便便成功

設(shè)問：“ 不經(jīng)歷風(fēng)雨，怎么見彩虹”人生道路上必然會遇到失敗和挫折，我們應(yīng)該怎樣提高人生發(fā)展能力，實現(xiàn)人生的成功呢？

以歌曲為切入點，設(shè)置感人情境，調(diào)動學(xué)生參與課堂的興趣，引導(dǎo)學(xué)生在欣賞之余思考歌曲的內(nèi)涵并討論問題，歸納出：人生發(fā)展不可能時時處處都順心如意，當(dāng)遭遇失敗挫折或陷入低谷時，我們應(yīng)該像歌曲中表達的那樣，客觀看待成敗，認真總結(jié)得失，在此基礎(chǔ)上知行統(tǒng)一、勇于實踐，就一定會取得人生道路上的成功。以此導(dǎo)入新課的學(xué)習(xí)。

（二）新課教學(xué)：（30分鐘）

一、堅持實踐和認識的統(tǒng)一 1.實踐是認識的基礎(chǔ)，實踐出真知

以小學(xué)課本中學(xué)過的一個故事引入：某寺廟重修，眾僧人劃船打撈被洪水沖走的廟門石獸。在廟前的河里找了半天沒找到，于是又順流而下尋出十余里，仍未果。當(dāng)?shù)匾晃活H受尊敬的“老學(xué)究”恰好經(jīng)過，他見眾僧忙活半天徒勞無獲，笑道：石獸掉在河中一定會陷于泥沙之中，而且越陷越深，不可能順流而下。眾僧聽后頗為折服，準(zhǔn)備下河挖泥。一老河工聞之卻不以為然，他建議眾僧應(yīng)該順流而上再找找，眾人皆笑。老河工解釋說：流水沖擊石獸，會慢慢地在石獸迎水的一面形成沙坑，并逐漸使石獸“倒擲其中”，如此日復(fù)一日的反復(fù)，必定引導(dǎo)石獸“逆水而上”!眾人聽了老河工的話，將信將疑，但最后還是按照老河工的方法順流向上尋找，果不然，僧侶們在河的上游處找到了石獸。

通過師生共同解讀，幫助學(xué)生理解實踐是認識的基礎(chǔ)，實踐出真知，實踐是認識的唯一源泉；實踐的發(fā)展推動認識的發(fā)展。

由于該問題理論性較強，學(xué)生理解起來有一定的難度，因此該部分內(nèi)容以老師講解為主，充分發(fā)揮老師的指導(dǎo)作用。

2.在實踐基礎(chǔ)上形成的正確認識能更好地指導(dǎo)實踐

永動機是一類想象中的不需外界輸入能源、能量或在僅有一個熱源的條件下便能夠不斷運動并且對外做功的機械。歷史上人們曾經(jīng)熱衷于研制各種類型的永動機，其中包括達芬奇、焦耳這樣的學(xué)術(shù)大家，另外包括一些希望以永動機出名和獲利的騙子。在熱力學(xué)體系建立后，人們通過嚴謹?shù)倪壿嬜C明了永動機是違反熱力學(xué)基本原理的設(shè)想，從此之后就少有永動機的研究者了。

通過典型事例，幫助學(xué)生理解認識是在實踐中產(chǎn)生和發(fā)展起來的，又要回到實踐中去指導(dǎo)實踐，在實踐基礎(chǔ)上形成的正確認識能有效地指導(dǎo)實踐。說明在實踐基礎(chǔ)上形成的正確認識能更好地指導(dǎo)實踐，以此幫助學(xué)生明確實踐與認識的關(guān)系。同時強調(diào)反對兩種片面看法，堅持知行統(tǒng)一。3.認識是在實踐基礎(chǔ)上不斷反復(fù)、不斷深化的過程

利用教材第66頁毛澤東的名言及“從輸羊血到輸人血”事例引導(dǎo)學(xué)生認識人們對事物的正確認識往往需要經(jīng)過從實踐到認識、再從認識到實踐的多次反復(fù)才能完成。

老師從事例出發(fā)，通過對材料的分析、講解，引發(fā)推動學(xué)生思考、歸納出辯證唯物論的知行統(tǒng)一觀：實踐、認識、再實踐、再認識，這種形式，循環(huán)往復(fù)以至無窮，而從實踐和認識之每一循環(huán)的內(nèi)容過程，都比較地進到了高一級的程度。同時利用圖片形象顯示認識發(fā)展的過程，加深印象。

4.實踐和認識是辯證的統(tǒng)一，認識與實踐相結(jié)合是馬克思主義的一個基本原則 以教材第67頁漫畫及漁夫的故事為背景，設(shè)置問題引導(dǎo)學(xué)生思考，回答問題得出結(jié)論。

材料1：教材第67頁漫畫 問題：你贊同誰的觀點？為什么？

材料2：有個漁夫有著一流的捕魚技術(shù)，被人們稱為“漁王”?？墒钱?dāng)他年老時卻十分苦惱，因為他三個兒子的捕魚技術(shù)都很糟糕。老漁夫一直不明白為什么自己從孩子小時侯起就手把手地、一點一滴地將所有自己常年積累的經(jīng)驗教給了兒子，可是最終他們的捕魚技術(shù)竟然比不上技術(shù)比自己差的那些漁夫的兒子。

問題：漁夫的兒子們?yōu)槭裁醇夹g(shù)反而比不上別人？

通過這一組材料，師生共同討論設(shè)置問題，說明不能割裂實踐和認識兩者之間的關(guān)系。馬克思主義認識與實踐相統(tǒng)一的基本原則要求我們，既要積極參加社會實踐，又要在實踐中不斷總結(jié)反思，提高認識水平。

二、在知行統(tǒng)一中提高人生發(fā)展能力

1.提高人生發(fā)展的能力對實現(xiàn)成功人生具有重要作用

聯(lián)系學(xué)生專業(yè)拓展關(guān)于能力的知識，引發(fā)學(xué)生興趣。

2.人生發(fā)展的各種能力是在實踐和認識循環(huán)往復(fù)的過程中不斷鍛煉提高的結(jié)合教材第69頁“藍領(lǐng)專家”孔祥瑞事例，閱讀材料，思考、討論。

問題：說說孔祥瑞是如何在知行統(tǒng)一中不斷提高人生發(fā)展能力的？

結(jié)論：人生發(fā)展的各種能力是在實踐和認識循環(huán)往復(fù)中不斷鍛煉提高的。只有在實踐中不斷學(xué)習(xí)，做到知行統(tǒng)一，才能不斷提高，走向成功。

（三）課堂小結(jié)：（2分鐘）

讓學(xué)生自己總結(jié)這節(jié)課所學(xué)的內(nèi)容，檢驗學(xué)生對本節(jié)課的掌握情況，進一步培養(yǎng)學(xué)生的概括能力、口頭表達能力和反思能力。

（四）課堂探究：（10分鐘）

結(jié)合課本76頁材料大學(xué)生“回爐”材料和圖片引導(dǎo)學(xué)生思考，近幾年，在我國南方某些職業(yè)技術(shù)學(xué)校悄然出現(xiàn)了一些大學(xué)生回爐的現(xiàn)象，學(xué)有所成的大學(xué)生也要回爐，這是為什么？讓我們來關(guān)注思考：大學(xué)生回爐的原因？

在大學(xué)生們掀起回爐高潮的同時，各大學(xué)校卻在積極的搭建平臺，鼓勵學(xué)生融入社會，參與實踐，你如何看待這一現(xiàn)象？你有類似的經(jīng)歷嗎？

結(jié)論:只有參加社會實踐，才能真正理解書本知識；如果只讀書不實踐，就有可能出現(xiàn)眼高手低的理想化，片面化的；就會成為死讀書，讀死書的書呆子。名言：所以我們在知識的海洋里不僅要采蜜，更要學(xué)會釀蜜。

（五）布置作業(yè)：

每個中職學(xué)生幾乎都有自己崇拜的偶像，我們看到的通常是這些名人、明星成功時的輝煌，但未必了解他們艱苦奮斗的過去。請認真查找你的偶像的成長資料，了解他們的成長歷程，并結(jié)合本節(jié)課所學(xué)知識分析他或她取得成功的原因，并說一說從中受到的啟發(fā)。

[教學(xué)反思]

在教學(xué)過程中，運用多種教學(xué)方法和多媒體教學(xué)手段，充分發(fā)揮學(xué)生主體作用，做到了師生互動，生生互動，為學(xué)生參與教學(xué)活動創(chuàng)造了良好的環(huán)境，大部分學(xué)生積極參與，努力思考，能很好的完成學(xué)習(xí)任務(wù)。并且通過評價激勵學(xué)生，幫助他們自信地投入學(xué)習(xí)，進而自信地步入社會。

選取有說服力又通俗易懂的材料，從分析材料入手，提升哲學(xué)理論，再從理論回歸到生活實踐，指導(dǎo)學(xué)生在理解理論的基礎(chǔ)上找出與生活的契合點，從而掌握知行統(tǒng)一觀的基本觀點和方法。

個別內(nèi)容的節(jié)奏把握不到位，可以多留一些空間給學(xué)生。還應(yīng)加大課堂內(nèi)

容與學(xué)生專業(yè)的契合度，進一步引起學(xué)生們的共鳴。

[板書設(shè)計]

一、堅持實踐和認識的統(tǒng)一 1．實踐是認識的基礎(chǔ)

2．認識指導(dǎo)實踐

3．認識不斷反復(fù)、不斷深化 4．實踐和認識辯證的統(tǒng)一

二、在知行統(tǒng)一中提高人生發(fā)展能力1．對實現(xiàn)成功人生具有重要作用

2．在實踐和認識循環(huán)往復(fù)的過程中不

斷提高的

3．提高人生發(fā)展的能力需要做到知行統(tǒng)一

第四篇：教學(xué)設(shè)計方案與信息技術(shù)運用說明

教學(xué)設(shè)計方案與信息技術(shù)運用說明：

①(看flash)通過看、想這一過程，喚起學(xué)生頭腦中對四邊形的已有認知，有利于加強對知識的理解和對平行四邊形和梯形特征的掌握。②三年級上期第三單元《四邊形》中，學(xué)生已經(jīng)初步認識平行四邊形，在頭腦中已初步建立了平行四邊形的表象，本節(jié)課引導(dǎo)學(xué)生通過自主探究平行四邊形的特征，從而知道怎樣的四邊形叫做平行四邊形。③(看flash)形象的說明了平行四邊形容易變形。

④讓學(xué)生感受數(shù)學(xué)就在我們的身邊，拉近了數(shù)學(xué)與生活的距離。⑤(看flash)學(xué)生通過自主探索，用自己喜歡的方式表示長方形、正方形、平行四邊形、四邊形之間的關(guān)系，結(jié)合展臺展示并加以說明，培養(yǎng)學(xué)生運用多種方法解決問題的能力，學(xué)生的口頭表達能力和動手操作能力也得到訓(xùn)練。在分類的基礎(chǔ)上，對照平行四邊形的概念加以總結(jié)，順勢導(dǎo)入對幾者關(guān)系的總結(jié)，得出長方形是特殊的平行四邊形，正方形是特殊的長方形，一般四邊形都屬于四邊形。

⑥ 鞏固所學(xué)知識，讓學(xué)生體驗成功感，培養(yǎng)學(xué)生分析、判斷能力和空間想像能力。

⑦ 學(xué)生經(jīng)過動手實踐、合作交流、反饋練習(xí)，本節(jié)課的教學(xué)目標(biāo)已基本達到，再引導(dǎo)學(xué)生將以前所學(xué)的零碎的、不完整的、模糊的信息通過看書討論，進行整理歸納，使之上升為理性的、完整的真知，學(xué)生能清晰明了地正確理解、掌握新的知識。通過總結(jié)評價 , 幫助學(xué)生梳理知識脈絡(luò)，反思自己的學(xué)習(xí)過程，領(lǐng)會學(xué)習(xí)方法，獲得數(shù)學(xué)學(xué)習(xí)經(jīng)驗。

第五篇：基于USB_Key的PKI身份認證技術(shù)的分析與改進

基于USB Key的PKI身份認證技術(shù)的分析與改進

摘要：在當(dāng)今數(shù)字世界中，身份認證技術(shù)是各種安全技術(shù)的基礎(chǔ)。USB Key技術(shù)是現(xiàn)在比較流行的基于PKI的強身份認證技術(shù)，特別是在網(wǎng)上銀行等金融領(lǐng)域。研究了USB Key的典型使用流程，分析了這些流程中的安全威脅，最后著重提出了針對這些風(fēng)險的安全解決方案，這些方案都是在具體項目得以實施應(yīng)用，對目前的USB Key使用和開發(fā)具有很好的實用和借鑒意義。

關(guān)鍵詞：USB智能密碼鑰匙；公鑰密碼基礎(chǔ)設(shè)施；身份認證；數(shù)字簽名；網(wǎng)上銀行

中圖分類號：TP393.08 文獻標(biāo)識碼：A

Analysis and improvement of PKI identity authentication technology based on USB Key Abstract: Now in digital world, all of security technologies are based on digital identity authentication technology.And the USB Key technology is one of the most popular technologies, which is a strong authentication technology and based on PKI, especially in Internet banking filed.The typical usage flows are researched, the security threats are analyzed.At the last, the solutions are proposed corresponding to these threats, which is applied in practical projects and have great practical and economic value.Key words: USB Key;PKI;Identity authentication;Digital signature;Internet banking 1引言

隨著互聯(lián)網(wǎng)和電子商務(wù)的發(fā)展，USB Key作為網(wǎng)絡(luò)用戶身份識別和數(shù)據(jù)保護的“電子鑰匙”，正在被越來越多的用戶所認識和使用。

USB Key[1,2,3]這個概念最早是由加密鎖廠家提出來的，加密鎖是用來防止軟件盜版的硬件產(chǎn)品，用于識別用戶身份。與此同時，隨著PKI[45,6]應(yīng)用的興起，數(shù)字證書[45,6]作為確認用戶身份和保護用戶數(shù)據(jù)有效手段越來越被人們所接受。然而數(shù)字證書實質(zhì)上表現(xiàn)為帶有用戶信息和密鑰的一個數(shù)據(jù)文件，如何保護數(shù)字證書本身又成為PKI體系中最薄弱的環(huán)節(jié)，專門用于存儲秘密信息的USB Key就很自然的成為數(shù)字證書的最佳載體。利用USB Key來保存數(shù)字證書和用戶私鑰。

每一個USB Key都帶有PIN碼保護，這樣USB Key的硬件和PIN碼構(gòu)成了可以使用證書的兩個必要因子，也就是所謂的雙因素認證[7]。

隨著智能卡[8]技術(shù)的發(fā)展，智能卡運算能力不斷提高，帶有智能卡芯片的USB Key可以通過內(nèi)置的智能卡芯片在Key內(nèi)部硬件實現(xiàn)DES/3DES、RSA加解密運算，并支持Key內(nèi)生成RSA密鑰對，杜絕了密鑰在客戶端內(nèi)存中出現(xiàn)的可能性，大大提高了安全性。

這樣，基于智能卡技術(shù)和PKI技術(shù)的發(fā)展形成了目前廣泛使用的USB Key身份認證產(chǎn)品。USB Key 基本功能包括：高質(zhì)量隨機數(shù)生成，公/私密鑰對產(chǎn)生，數(shù)字證書下載存儲，哈希運算，數(shù)字簽名/驗證，對稱加/解密，非對稱加/解密等功能。

USB Key是目前所有身份認證技術(shù)中認證強度最高的技術(shù)，但是使用過程中的漏洞會大大削弱這種優(yōu)勢，其安全形勢也不用樂觀。USB Key的使用流程

網(wǎng)銀[9]（Internet Banking，網(wǎng)上銀行）等金融領(lǐng)域是目前USB Key應(yīng)用最廣泛最成熟的領(lǐng)域，下面主要以網(wǎng)銀案例來介紹USB Key的使用流程，以時序圖形式說明。2.1 首次登錄流程

用戶1.0 插入USB KeyUSB Key客戶端網(wǎng)銀服務(wù)器1.1 虛擬光盤自動運行1.2 客戶端啟動并進入登錄界面1.3 與服務(wù)器建立單向SSL安全通道1.4 與客戶端建立單向SSL安全通道1.5 提示用戶輸入相關(guān)信息進行用戶綁定1.6 用戶輸入身份證號和授權(quán)碼1.7 提取相關(guān)序號1.8 設(shè)備序號和數(shù)字證書序號1.9 發(fā)送用戶信息到服務(wù)器1.10 驗證用戶信息如果成功，則綁定用戶身份證號、USB Key序號及數(shù)字證書序號1.11 返回綁定結(jié)果1.12 提示用戶登錄成功或失敗

圖1 首次登錄流程圖

2.2 普通登錄流程

用戶2.0 插入USB KeyUSB Key客戶端網(wǎng)銀服務(wù)器2.1 虛擬光盤自動運行2.2 客戶端啟動并進入登錄界面2.3 與服務(wù)器建立單向SSL安全通道2.4 與客戶端建立單向SSL安全通道2.5 提示用戶輸入口令2.6 用戶輸入口令2.7 驗證用戶口令指令2.8 返回驗證結(jié)果2.10 提取相關(guān)序號2.11 設(shè)備序號和數(shù)字證書序號2.9 驗證失敗則提示用戶，否則繼續(xù)2.12 發(fā)送用戶信息到服務(wù)器2.13 驗證用戶信息2.14 返回驗證結(jié)果2.15 提示用戶登錄成功或失敗

圖2 普通登錄流程圖 2.3 客戶端認證和轉(zhuǎn)賬流程

用戶USB Key3.0 用戶登錄成功后，轉(zhuǎn)賬客戶端網(wǎng)銀服務(wù)器3.1 與服務(wù)器建立雙向SSL安全通道3.2 SSL簽名請求3.3 SSL簽名3.4 與客戶端建立雙向SSL安全通道3.5 建立失敗則提示用戶，否則繼續(xù)3.6 提示用戶輸入轉(zhuǎn)賬信息3.7 輸入轉(zhuǎn)入賬號和金額3.8 提交轉(zhuǎn)賬請求3.10 返回請求結(jié)果3.11 提示用戶輸入USB Key口令3.12 輸入用戶口令3.13 簽名請求3.14 簽名值3.15 提交交易簽名3.9 驗證表單3.16 驗證簽名3.17 返回驗證結(jié)果3.18 返回交易結(jié)果

圖3 客戶端認證和轉(zhuǎn)賬流程圖 USB Key安全性分析及改進方案

3.1 安全風(fēng)險[10][11]

目前USB Key安全風(fēng)險有：

USB Key 口令（密碼）明文傳輸，可能被USB監(jiān)聽工具截獲；

有的網(wǎng)銀系統(tǒng)USB Key只做身份認證，不進行交易簽名；或者USB Key簽名請求沒有校驗和客戶確認機制，客戶在使用網(wǎng)銀進行資金操作時，其用戶私鑰存在被他人遠程非法調(diào)用并進行交易的可能；

USB Key主控密鑰管理不善，存在泄露風(fēng)險，不法分子可遠程調(diào)用USB Key進行非法交易簽名，進而盜取用戶資金。3.2 安全需求：

加強用戶交易授權(quán)認證。在使用USB Key進行交易授權(quán)認證時，應(yīng)增加客戶交易確認手段，如增加向客戶發(fā)送含有待確認交易信息的短信等第二渠道認證方式，或使用帶有確認按鍵或顯示屏的USB Key。

嚴格USB Key密鑰安全管理。要采用加密手段保存和傳輸USB Key的口令（密碼），嚴格USB Key主控密鑰、傳輸密鑰等安全管理，防止不法分子獲取USB Key訪問控制權(quán)，非法調(diào)用或修改用戶私鑰。

加強網(wǎng)上銀行客戶端的安全保護。在保護鍵盤輸入、防通信明文竊取、防黑客程序跟蹤、防內(nèi)存數(shù)據(jù)截獲、防截取屏幕信息、防“釣魚”欺騙、防交易數(shù)據(jù)篡改等多方面對網(wǎng)上銀行系統(tǒng)及客戶端采取技術(shù)加固措施。

3.3 安全改進措施 3.3.1 用戶口令安全

用戶口令的輸入主要有兩種：PC端輸入和USB Key端輸入。

PC端輸入包括使用PC鍵盤和虛擬軟鍵盤，PC鍵盤輸入相對比較容易攔截監(jiān)聽到，而軟鍵盤布局隨機排列且不易被攔截到。PC端輸入方式口令驗證過程的安全性主要靠動態(tài)密鑰加密用戶口令數(shù)據(jù)。

另外，USB Key配備數(shù)字全鍵盤或可以輸入數(shù)字的按鍵，用戶口令（包括修改）的輸入全部在設(shè)備上完成，用戶口令不會出現(xiàn)在USB通信中，所以從根本上防止口令被攔截或破解。同時，由于用戶口令在設(shè)備上輸入，外界無法直接向設(shè)備發(fā)送校驗口令指令，有效防止通過遠程惡意發(fā)送校驗口令指令導(dǎo)致設(shè)備鎖死。

3.3.2 密鑰對安全

用戶密鑰對是在申請證書時在設(shè)備內(nèi)部隨機產(chǎn)生的，而不是事先存在或?qū)氲摹?/p>

用戶私鑰存放于芯片特殊保護區(qū)域，外面無法對其直接操作，并且通過各種手段都無法讀出或替換，防止用戶私鑰被導(dǎo)出、讀出或替換，保證用戶私鑰數(shù)據(jù)的安全。

所有用戶私鑰的操作都由用戶口令來控制，需用戶口令驗證通過后才能進行數(shù)字簽名操作，在操作完成后重置驗證口令標(biāo)志，防止私鑰操作被遠程劫持。同時，加密私鑰操作指令的會話密鑰都是一次一密，有效防止簽名指令重發(fā)攻擊。3.3.3 數(shù)據(jù)通信安全

設(shè)備和主機的通信數(shù)據(jù)很容易被USB監(jiān)控軟件（如：Bushound）獲取，保護通信數(shù)據(jù)的安全，防止敏感信息泄露就顯得至關(guān)重要。

基本思路：數(shù)據(jù)通信安全就是要保護主機和設(shè)備通信數(shù)據(jù)，防止數(shù)據(jù)被截取或篡改。保護通信數(shù)據(jù)的密鑰是動態(tài)會話密鑰，而不是單純的靜態(tài)密鑰，這樣即使某一段數(shù)據(jù)被攔截并破解，只要及時協(xié)商一個新的會話密鑰，即可防止后面的通信被破解。并且，比如簽名等比較敏感的指令數(shù)據(jù)的會話密鑰都會用一次協(xié)商一次（一次一密）。協(xié)商基本流程，如圖4所示。

主機設(shè)備

1、在設(shè)備初始化/格式化時隨機產(chǎn)生一個專門用于協(xié)商會話密鑰RSA密鑰對（K）2.“發(fā)起協(xié)商”會話密鑰，并攜帶主機產(chǎn)生的8字節(jié)隨機數(shù)(Rh)3.返回設(shè)備隨機數(shù)（Rd）和RSA密鑰對公鑰(Kpub)4.組裝會話密鑰，并用公鑰（Kpub）加密會話密鑰5.“協(xié)商”會話密鑰指令，攜帶加密的會話密鑰6.用私鑰（Kpri）解密出會話密鑰7.返回協(xié)商結(jié)果8.加密通信數(shù)據(jù)

圖 4 安全通信的基本流程

1、會話密鑰對生成。專門用于協(xié)商會話密鑰的RSA密鑰對（以下簡稱會話密鑰對）在設(shè)備初始化/格式化時生成，這個密鑰對與用戶的密鑰對毫無關(guān)系，僅用于會話密鑰的協(xié)商，即使這個密鑰對被破解也不會影響到用戶的密鑰對。會話密鑰對隨機產(chǎn)生，每個設(shè)備都不相同，并且同一個設(shè)備每一次格式化的密鑰對也不相同。這些措施的目的就是要保障即使一個設(shè)備通信被破解也不會影響到別的設(shè)備，并且可以防止通信重放攻擊。

2、發(fā)起協(xié)商。協(xié)商會話密鑰的過程由主機（應(yīng)用）發(fā)起。主機發(fā)送“發(fā)起協(xié)商” 指令，該指令同時攜帶主機隨機產(chǎn)生的8字節(jié)隨機數(shù)（Rh）.指令形式如：發(fā)起協(xié)商指令頭+主機產(chǎn)生的8字節(jié)隨機數(shù)（Rh）。

3、返回設(shè)備隨機數(shù)和會話密鑰對公鑰。當(dāng)設(shè)備收到發(fā)起協(xié)商指令后，設(shè)備首先保存主機產(chǎn)生的8字節(jié)隨機數(shù)（Rh），同時設(shè)備也產(chǎn)生8字節(jié)的隨機數(shù)（Rd）。最后設(shè)備返回隨機數(shù)（Rd）和會話密鑰對公鑰。指令響應(yīng)形式：設(shè)備產(chǎn)生的8字節(jié)隨機數(shù)（Rd）+會話密鑰對公鑰（Kpub）。

4、組裝會話密鑰。當(dāng)主機收到發(fā)起協(xié)商指令返回后，主機保存設(shè)備產(chǎn)生的8字節(jié)隨機數(shù)（Rd）和會話密鑰公鑰（Kpub）。接著，主機開始組裝會話密鑰，組裝完成后用會話密鑰公鑰（Kpub）加密會話密鑰。組裝過程，如圖 5 所示：

設(shè)備 8字節(jié)隨機數(shù)（Rd)主機 8 字節(jié)隨機數(shù)（Rh）設(shè)備右半 4 字節(jié)隨機數(shù)主機左半 4 字節(jié)隨機數(shù)設(shè)備左半4字節(jié)隨機數(shù)主機右半4字節(jié)隨機數(shù)RSA 公鑰加密會話密鑰公鑰（Kpub）會話密鑰密文

圖 5 組裝會話密鑰

5、協(xié)商。主機組裝完會話密鑰并加密后，通過“協(xié)商”指令發(fā)送到設(shè)備，指令形式如：協(xié)商指令頭+會話密鑰密文。

6、設(shè)備解密會話密鑰。當(dāng)設(shè)備收到“協(xié)商指令” 發(fā)送過來的會話密鑰密文后，設(shè)備使用會話密鑰對的私鑰（Kpri）解密出會話密鑰（SK）。由于在“發(fā)起協(xié)商” 指令中設(shè)備已經(jīng)獲得了主機產(chǎn)生的隨機數(shù)，所以設(shè)備也會自己組裝會話密鑰（SK’），然后設(shè)備比較（SK）和（SK’）是否一致。最后返回協(xié)商結(jié)果給主機，如圖6所示。會話密鑰密文8字節(jié)設(shè)備隨機數(shù)(Rd)8字節(jié)主機隨機數(shù)(Rh)會話密鑰對私鑰（Kpri）RSA私鑰解密會話密鑰(SK)設(shè)備右半4字節(jié)隨機數(shù)主機左半4字節(jié)隨機數(shù)設(shè)備左半4字節(jié)隨機數(shù)(Rd)主機右半4字節(jié)隨機數(shù)(Rd)比較返回失敗相同？更新當(dāng)前會話密鑰返回成功圖 6 解密會話密鑰

7、返回協(xié)商結(jié)果，返回協(xié)商結(jié)果成功或失敗。

8、加密通信。會話密鑰協(xié)商成功后，主機和設(shè)備就可以使用剛剛協(xié)商的會話密鑰來加密通信。一些敏感指令（比如：簽名，驗證用戶口令）需要會話密鑰動態(tài)變化，一次一密。3.3.4 交易簽名安全

交易簽名是對敏感交易數(shù)據(jù)進行簽名。在簽名運算之前，交易數(shù)據(jù)（TLV格式）先送到USB Key設(shè)備上顯示，用戶確認后在設(shè)備內(nèi)部進行簽名，防止非法程序?qū)λ灁?shù)據(jù)進行篡改。同時，由于內(nèi)部數(shù)據(jù)簽名之前進行數(shù)據(jù)填充，有效防止利用非交易簽名來偽造交易簽名。

簽名數(shù)據(jù)數(shù)據(jù)檢查USB Key內(nèi)部符合交易數(shù)據(jù)格式（預(yù)定義TLV格式）是交易數(shù)據(jù)確認（設(shè)備LCD顯示）數(shù)據(jù)填充否對填充后數(shù)據(jù)做哈希運算從設(shè)備上驗證用戶口令對數(shù)據(jù)哈希值做簽名運算簽名值

圖 7 數(shù)據(jù)簽名流程

從圖 7 可以看到，明文數(shù)據(jù)進入設(shè)備后，設(shè)備首先檢查數(shù)據(jù)是否是預(yù)定義格式的簽名數(shù)據(jù)，如果不是的話，將不在設(shè)備上顯示，驗證用戶口令后直接簽名，返回簽名值；如果符合交易數(shù)據(jù)格式化的話，首先在設(shè)備上顯示交易內(nèi)容，待用戶確認后，對交易數(shù)據(jù)進行特別的內(nèi)部填充，接著對填充后的數(shù)據(jù)進行哈希運算獲取哈希值，待在設(shè)備上驗證用戶口令后，對數(shù)據(jù)進行簽名并返回簽名值。整個流程數(shù)據(jù)從進入設(shè)備到簽名，從未出過設(shè)備。

由于交易簽名數(shù)據(jù)會在設(shè)備內(nèi)部填充，而非交易簽名數(shù)據(jù)（比如：SSL安全通道簽名）不會被填充，外界也無法模擬這個填充過程，所以利用非交易簽名來偽造交易簽名就無法實現(xiàn)。

同時可以發(fā)現(xiàn)，圖中的除了數(shù)據(jù)填充外，其他過程都是標(biāo)準(zhǔn)處理流程，所以下面主要介紹一下數(shù)據(jù)填充。

數(shù)據(jù)填充的目的是防止交易簽名的偽造，交易數(shù)據(jù)的填充過程，在設(shè)備外面無法完成，因為填充的數(shù)據(jù)是保密的。數(shù)據(jù)的填充方式如：填充值+交易簽名數(shù)據(jù)。

填充的關(guān)鍵是填充的數(shù)據(jù)值。填充數(shù)據(jù)是在設(shè)備初始化/格式化時寫入設(shè)備的，根據(jù)設(shè)備序號來派生的，因而每個設(shè)備的填充值都不一樣；并且派生密鑰存在控制卡中，由銀行管理員來設(shè)置別人無法獲取，因而無法得到填充值。

填充值寫入設(shè)備安全機制，如圖8所示：

簽名填充值寫入及授權(quán)使用<>設(shè)置填充值派生主密鑰銀行管理員<><>控制卡<>寫入簽名填充值<>操作員設(shè)備

圖 8 填充值寫入設(shè)備機制

填充值是在設(shè)備格式化時寫入的，此時設(shè)備和控制卡之間經(jīng)過雙向認證（遵循 GP 2.1.1 SCP01規(guī)范）已建立安全通道，所以填充值明文不會出現(xiàn)在主機內(nèi)存中，格式化程序也無法獲取。結(jié)論

我們生活的現(xiàn)實世界是一個真實的物理世界，每個人都擁有獨一無二的物理身份。而今我們也生活在數(shù)字世界中，一切信息都是由一組特定的數(shù)據(jù)表示，當(dāng)然也包括用戶的身份信息。而計算機只能識別用戶的數(shù)字身份，所以計算機給用戶的授權(quán)也是針對用戶數(shù)字身份進行的。保證訪問者的數(shù)字身份與物理身份相對應(yīng)，就是身份認證管理系統(tǒng)所需要解決的問題。為了保護信息安全，現(xiàn)在有身份認證、授權(quán)管理控制、日志審計、防火墻等安全技術(shù)。其中身份認證是其他技術(shù)的基礎(chǔ)。如果用戶身份被非法冒用，那么用戶的權(quán)限也被非法使用，安全審計等就失去意義。本文通過研究當(dāng)前最流行的基于PKI的USB Key身份認證技術(shù)，總結(jié)出目前USB Key使用或部署中的一些安全威脅；最后針對這些安全威脅，對每個具體的安全點都提出了實用的安全解決方案，這些方案都在項目或產(chǎn)品中得到應(yīng)用和檢驗，具體很好的使用價值和經(jīng)濟價值。

參考文獻：

[1]蘇正榮.簡析USB Key的工作原理及應(yīng)用[J].中國金融電腦, 2009,(05)[2]楊帆.USB KEY體系研究與技術(shù)實現(xiàn)[D]武漢大學(xué), 2004 [3]劉紅明.基于SSX45安全芯片的USB Key設(shè)計與實現(xiàn)[D]上海交通大學(xué), 2009.[4]Carlisle Adams, Steve Lloyd, Understanding PKI: Concepts, Standards, and Deployment Considerations[M], Addison-Wesley Professional, 2 edition ,November 16, 2002 [5]Jianying Zhou, Meng-Chow Kang,Feng Bao, Hwee-Hwa Pang, Applied Public Key Infrastructure[M], 2005 [6]關(guān)振勝,公鑰基礎(chǔ)設(shè)施PKI與認證機構(gòu)CA[M], 2002 [7]吳永英,鄧路,肖道舉,陳曉蘇.一種基于USB Key的雙因子身份認證與密鑰交換協(xié)議[J]計算機工程與科學(xué), 2007,(05)[8]張鑫,李方偉,潘春蘭.一種增強的基于智能卡的遠程身份鑒別方案[J]計算機應(yīng)用, 2009,(04)[9]程宇賢.網(wǎng)上銀行身份認證系統(tǒng)的安全性研究[D]上海交通大學(xué), 2010 [10]張軼輝,王昭順,USB密碼鑰匙漏洞分析及防御策略的研究 [J],航空計算技術(shù),2007 [11]張錕,顏學(xué)龍.USB KEY的體系結(jié)構(gòu)分析及安全策略研究[J]安防科技, 2009,(02)