【文章內(nèi)容簡介】 用示范。 目前美歐在身份管理技術(shù)和產(chǎn)品研發(fā)方面具有優(yōu)勢，我國在此方面還處于跟隨階段，缺乏相關(guān)的實施和嘗試。鑒于身份管理的基礎(chǔ)性和重要性，建議政府通過科技支撐計劃等，支持研究機(jī)構(gòu)、企業(yè)等開展相關(guān)技術(shù)研究和產(chǎn)品研發(fā)，支持建設(shè)應(yīng)用示范系統(tǒng)，著 力推進(jìn)在電子政務(wù)、電子商務(wù)等方面的應(yīng)用示范，探討解決不同身份管理系統(tǒng)之間互聯(lián)互通問題，在技術(shù)成熟時可以建立國家性身份管理平臺，確保關(guān)系國家民生的關(guān)鍵身份信息把握在國家而不是國外企業(yè)手中。 第三，積極參與國際標(biāo)準(zhǔn)制定，掌握話語權(quán)。 身份管理關(guān)系到未來網(wǎng)絡(luò)架構(gòu)，美國、歐盟等發(fā)達(dá)國家和地區(qū)都在爭奪技術(shù)、標(biāo)準(zhǔn)方面話語權(quán)，目前有大量組織也在對身份管理標(biāo)準(zhǔn)進(jìn)行研究，如自由聯(lián)盟、 OpenID、 OASIS、 W3C、 ITUT、 ETSI、3GPP、 ATIS 和 IETF 等，但還沒有形成統(tǒng)一標(biāo)準(zhǔn)。建議我國統(tǒng)籌協(xié)調(diào)研究、產(chǎn)業(yè)等各方 面資源，有計劃開展身份管理系列標(biāo)準(zhǔn)研究工作，同時組織國內(nèi)力量積極向國際組織提交議案，爭取設(shè)立由我國主導(dǎo)的研究議題，增強(qiáng)我國在身份管理標(biāo)準(zhǔn)化工作中的話語權(quán)與主導(dǎo)權(quán)。 第四，加強(qiáng)網(wǎng)絡(luò)用戶隱私信息保護(hù)。 網(wǎng)絡(luò)空間用戶相關(guān)信息被收集，會產(chǎn)生一系列問題，包括這些信息應(yīng)該存儲在哪里，所有權(quán)應(yīng)當(dāng)歸屬于誰，誰有權(quán)利控制使用這些信息，誰應(yīng)當(dāng)對用戶信息的使用承擔(dān)責(zé)任等等。這些問題直接涉及到廣大用戶的個人權(quán)益。當(dāng)前，網(wǎng)絡(luò)上個人信息泄密現(xiàn)象非常嚴(yán)重，用戶隱私信息面臨威脅。因此，有必要加強(qiáng)網(wǎng)絡(luò)空間用戶隱私保護(hù)，出臺相關(guān)的法律法規(guī)和標(biāo)準(zhǔn) 規(guī)范，對用戶隱私信息收集、使用以及泄露應(yīng)當(dāng)承擔(dān)的法律責(zé)任等內(nèi)容予以明確和規(guī)范。 （二） 電子商務(wù)平臺可信身份 —— 開門之匙 每個人在生活中都會接觸到身份認(rèn)證，最常見的就是用鑰匙開門 。 在互聯(lián)網(wǎng)世界中，身份認(rèn)證也有個廣泛的應(yīng)用，如登錄論壇、在線購物、網(wǎng)銀轉(zhuǎn)賬等等。大多數(shù)時候，我們使用用戶名 /密碼的方式完成了身份認(rèn)證，并獲得訪問權(quán)限，然而在一些對安全較高的場合，用戶名 /密碼方式就無法滿足需要了，這個時候，就需要使用可信身份認(rèn)證了。 可信身份就一次次的提上議題，只有在可信的身份前提下才能更好的在電子商務(wù)平臺進(jìn)行一系列的 操作。 更易于形成品牌的電子商務(wù)交易平臺的提供者在人10 們的 信任 中有著至關(guān)重要的作用 ,可以通過技術(shù)的利用 ,通過認(rèn)證方式的完備 ,通過信任評價體系的完善 ,通過有效的支付保證 ,促進(jìn)誠信的互聯(lián)網(wǎng)文化的形成。 電子商務(wù)平臺可信身份的管理監(jiān)控是為了更好的保障消費者用戶財產(chǎn)、信息、身份的安全，讓擁有可信的身份下條件才能訪問和使用電子商務(wù)平臺。 可以信賴的身份是交易安全的保證，現(xiàn)由于用戶名和密碼方式無法應(yīng)對日益猖獗的在線欺詐犯罪行為 ,各種身份認(rèn)證技術(shù)紛紛登場 ,身份認(rèn)證技術(shù)是解決目前網(wǎng)上身份盜竊和在線欺詐的唯一有效手段。它是安全 系統(tǒng)中的第一道關(guān)卡 ,用戶在訪問電子商務(wù)平臺安全系統(tǒng)和支付款等操作之前 ,首先經(jīng)過身份認(rèn)證系統(tǒng)識別。 （三） 可信身份 管理 的 研究前景 隨 著 Inter 和計算機(jī)網(wǎng)絡(luò)技術(shù)的蓬勃發(fā)展，人類正在進(jìn)入以網(wǎng)絡(luò)為主的信息時代，傳統(tǒng)的貿(mào)易正在向電子商務(wù)發(fā)展。目前，電子商務(wù)已成為各行各業(yè)擴(kuò)展業(yè)務(wù)的有力方式，且發(fā)展前景十分誘人。然而，互聯(lián)網(wǎng)絡(luò)的開放性和匿名性的特征使電子商務(wù)的安全問題變得越來越突出，諸如信息的泄露或篡改，欺騙，抵賴等問題。 為了使基于 Inter 的電子交易與傳統(tǒng)交易一樣安全可靠，必須建立一個安全、便捷的電子商 務(wù)應(yīng)用環(huán)境，保證整個商務(wù)活動中信息的安全性。而數(shù)據(jù)加密技術(shù)則構(gòu)成了電子商務(wù)安全的基礎(chǔ)，可以說，沒有數(shù)據(jù)加密技術(shù)，就沒有電子商務(wù)地安全。 可信身份在當(dāng)今體現(xiàn)電子化飛速發(fā)展社會的尤為重要，操作者的物理身份與數(shù)字身份相對應(yīng)，身份認(rèn)證就是為了解決這個問題，作為防護(hù)網(wǎng)絡(luò)資產(chǎn)的第一道關(guān)口，可信身份認(rèn)證有著舉足輕重的作用。不同的身份做不同的事情，相互的關(guān)聯(lián)和限制，從而大大的提高安全性。可 信身份是以制度為基礎(chǔ)的，正是通過它，在不熟悉的個體間才會產(chǎn)生信任，所以良好的可信身份對電子商務(wù)平臺的可信性有很大的影響。 由于商務(wù)網(wǎng)絡(luò)環(huán) 境大量地充斥著風(fēng)險、不確定性而又需要相互依賴且愈加復(fù)雜，電子商務(wù)信任問題已成為決定網(wǎng)上交易成功與否的關(guān)鍵因素。電子商務(wù)信任問題之所以顯得重要，是因為電子商務(wù)自身所具有的特征決定了其面臨的不確定性和風(fēng)險性與傳統(tǒng)商務(wù)相比，表現(xiàn)為程度更高、范圍更廣、情況更復(fù)雜。 基于USBKey+ID+口令可以實時的保障用戶財產(chǎn)信息安全，同時也是 最常用的一種技術(shù)，用戶輸入自己的口令，計算機(jī)驗證并給予用戶相應(yīng)的權(quán)限。 在這些交易前提下必11 須保證買賣雙方身份的可信性，只有在可信的身份環(huán)境下大家才能更放心的進(jìn)行交易。從而保障了消費者用戶的財 產(chǎn)、信息的安全。 12 四、 身份認(rèn)證 USBKey 管理的設(shè)計 安全認(rèn)證的目的有兩個：一是驗證信息發(fā)送者的真實性，即不是冒充的；二是驗證信息的完整性，即驗證信息在傳送或存儲過程中未被竄改、重放等。 USBKey身份認(rèn)證技術(shù)是近年來快速發(fā)展的一門身份認(rèn)證、識別技術(shù)，與傳統(tǒng)的用戶名加口令的認(rèn)證方式比較，其安全性和保障性更強(qiáng)，與生物認(rèn)證技術(shù)相比較， USBKey認(rèn)證技術(shù)操作簡單，技術(shù)成熟，推廣應(yīng)用成本低，顯示了良好的發(fā)展前景，基于可信身份權(quán)限管理則應(yīng)運而生。安全認(rèn)證主要是對這個 實體的身份進(jìn)行鑒別和確認(rèn)，以確認(rèn)當(dāng)事人是否名符其實，當(dāng)前交易是否有效。 （一）開發(fā)背景 目前一般的認(rèn)證都是以“用戶 ID+口令”來進(jìn)行用戶的身份認(rèn)證 ,其中必然應(yīng)用了密碼技術(shù)。這種方法具有明顯缺陷：一是難以記憶；二是容易被黑客破譯。 USBKey 授權(quán)管理工具 系統(tǒng)，極大的提高保護(hù)用戶的信息財產(chǎn)安全性。 USBKey是結(jié)合了現(xiàn)代密碼學(xué)技術(shù)、智能卡技術(shù)和 USB 技術(shù)的新一代身份認(rèn)證產(chǎn)品，是一種的秘密數(shù)據(jù)存儲設(shè)備。 由于 USBKey 具有安全可靠、攜帶方便、成本低廉的優(yōu)點，加上 PKI 的保護(hù)機(jī)制，使用 USBKey 認(rèn)證方式已經(jīng)成為 目前主要認(rèn)證模式。 （二）系統(tǒng)分析 1．需求分析 對 USBKey 的管理，目前最主要的需求有兩個部分，一是 USB Key 管理，另一個就是日志審計。對 USB Key 管理的用戶是操作員，對 Key 進(jìn)行初始化，修改 用戶 PIN 碼，修改用戶名，注冊，注銷，解鎖等，都是針對 USBKey 的操作。日志審計是為了規(guī)范操作員的操作，對操作員的各項操作進(jìn)行審計，記錄，查詢功能。每個人都該為自己所做的操作負(fù)責(zé)，所以在做完事情之后都要留下記錄，以便核查責(zé)任。 2．功能分析 為了保證數(shù)據(jù)系統(tǒng)的安全性和準(zhǔn)確性，設(shè)置了三種用戶角色：普通用戶； 操作員用戶；審計員用戶。 操作員用戶可以在現(xiàn)有的 USBKey 設(shè)置基礎(chǔ)上，對 USBKey 基本信息進(jìn)行管理，另外還可以查詢 Key 的各項信息。具體功能如下： 13 ,即 USBKey 初始化的過程，需要記錄 初始化 Key 時間、用戶名、設(shè)定密碼 、單位信息 等； ， 即 修改當(dāng)前設(shè)置的 USBKey 的用戶名； PIN 碼，即是修改當(dāng)前 USBKey 用戶 PIN 碼 ； ，也就是授權(quán)，操作員對使用的 USBKey 用戶設(shè)置權(quán)限， 用戶身份被確認(rèn)合法后，賦予該用戶進(jìn)行文件和數(shù)據(jù)等操作的權(quán)限 ； ，對當(dāng)前 USBKey 用戶的注銷； ，輸入 PIN 碼連續(xù) 輸入 三次失敗 則 USBKey 鎖定，輸入管理員 PIN 碼，解鎖用戶 USBKey；需要記錄解鎖時間 、 操作結(jié)果； ,即修改登錄用戶 密碼。 （三）系統(tǒng)設(shè)計 1．繪制用例圖設(shè)計系統(tǒng)功能 USBKey 管理工具，將飛天 Key 分為普通用戶、操作員、審計員三種角色。 注冊過的 USBKey 才能在單機(jī)客戶端使用；使用管理工具的角色分為兩種：admin 是操作員，默認(rèn)密碼 1234567a，密碼可更改，用來管理 USBKey； auditor是審計員，默認(rèn)密碼 1234567a，密碼可 更改，用來審計 admin 的所有操作 是否合乎規(guī)范 。 ：只能 在 客戶端 登錄 ； ：能夠進(jìn)行策略管理、日志審計、系統(tǒng)卸載等； ：審計操作員的操作日志。 本系統(tǒng)需要對用戶身份進(jìn)行驗證，驗證通過后是操作員還是審計員，根據(jù)用戶角色判斷用戶可以使用系統(tǒng)中相應(yīng)的操作功能。另外，對操作員的操作進(jìn)行審計規(guī)范化。系統(tǒng)流程圖如 41和 42所示： 圖 41 USBKey 授權(quán) 管理工具流程圖 14 圖 42 單機(jī)版 系統(tǒng)流程圖 2． 開發(fā)工具和開發(fā)技術(shù)的選擇 本系統(tǒng)的設(shè) 計是在 Windows XP 中文版操作系統(tǒng)環(huán)境下，使用 Visual Studio 20xx 英文版和 BCGControlBar 類庫下用 MFC 界面的單文檔向?qū)?開發(fā)成功的。 Visual C++是一種可視化的、面向?qū)ο蠛驼{(diào)用事件驅(qū)動方式的結(jié)構(gòu)化高級程序設(shè)計，可以開發(fā) Windows 環(huán)境下應(yīng)用程序。 BCGSoft BCGControlBar 是基于 MFC 的界面擴(kuò)展類庫，它提供了豐富多彩的類庫供開發(fā)用戶界面使用。這套類庫的核心使用了專有技術(shù)，從而可以實現(xiàn)復(fù)雜以及其它地方?jīng)]有的功能，比如完全可定制的工具欄和菜單、自動隱藏 控制條、開分離的頁面窗口、復(fù)雜的 Dock 容器、換膚功能、高級的編輯器等等。應(yīng)用程序向?qū)Э梢宰?其 生成類似 Visual Studio .NET 開發(fā)環(huán)境、 Visio 或 MsOffice20xx、Office 及 20xxOffice XP 風(fēng)格的界面。數(shù)據(jù)庫采用的是 Micorsoft 的 Access 20xx數(shù)據(jù)庫。 3．系統(tǒng)的運行環(huán)境 系統(tǒng)可以直接在 Win9 Win20xx、 WinXP、 Win7 環(huán)境下運行。 注意，系統(tǒng)運行時，不必手工設(shè)置 ODBC 數(shù)據(jù)源，只需要將“ ” 、飛天和 BCG 動態(tài)鏈接庫 復(fù)制到與系 統(tǒng)的可執(zhí)行文件“ ”同一目錄下 運行 exe 即可。 4． 系統(tǒng)開發(fā)的難點和技巧 15 系統(tǒng)中，數(shù)據(jù)顯示和操作主要運用到列表控件、樹空間。 MFC 的 CListCtrl類、 TreeCtrl 類提供了對列表控件和樹控件的封裝，還有 USBKey 的枚舉 和 Access數(shù)據(jù)庫的運用 。下面簡單介紹下使用該類的成員函數(shù)實現(xiàn)對列表控件和樹控件的常用操作。 （ 1）刷新、刪除列表控件的列 ； （ 2）樹控件的響應(yīng) ； （ 3） 驅(qū)動的注冊和拔除、飛天 誠信 USBKey 的枚舉 ； （ 4） Access 數(shù)據(jù)庫的記錄如何插入、查詢、修改語句的運用。 （四）數(shù)據(jù)庫分析與設(shè)計 1．?dāng)?shù)據(jù)庫分析 USBKey 授權(quán)管理工具主要就是對權(quán)限進(jìn)行分配，不同的權(quán)限可以做不同的事情，其系統(tǒng)就是對身份的認(rèn)證，授權(quán)可信身份，且為單機(jī)使用。后臺數(shù)據(jù)庫系統(tǒng)設(shè)計采用的是 Micorsoft 的 Access 20xx 數(shù)據(jù)庫系統(tǒng)。 2．?dāng)?shù)據(jù)庫概念設(shè)計 數(shù)據(jù)庫需要存儲的主要是兩方面的內(nèi)容， USBKey 的操作日志信息和用戶信息。為了維護(hù)數(shù)據(jù)的完整性和準(zhǔn)確性，將 USBKKey 中實體的用戶信息、用戶操作日志信息、 USBKey 信息提取出來，用單獨的表來存儲這些信息。 用戶操作日志信息實體記錄了管理員 操作的信息，其 ER 圖如圖 43 所示。 圖 43 操作信息實體 ER 圖 UserInfor 用戶信息記錄關(guān)于用戶的的信息，其中 ER 圖如圖 44 所示。 16 圖 44 UserInfo 實體 ER 圖 USBKey 信息記錄關(guān)于 UEBKey 的信息，其中 ER圖如圖 45所示。 圖 45 USBKey 實體 ER 圖 此外，系統(tǒng)還需要對登錄用戶進(jìn)行管理，就需要一個登錄用戶表管理用戶信息，登錄用戶實體的 ER 圖如圖 46 所示。 圖 46 登錄用戶實體 ER 圖 3．?dāng)?shù)據(jù)庫邏輯結(jié)構(gòu)設(shè)計 根據(jù) 前面設(shè)計的 ER圖， 可以創(chuàng)建的相關(guān)的邏輯結(jié)構(gòu)，本系統(tǒng)數(shù)據(jù)庫創(chuàng)建了4 個表，下面分別介紹 數(shù)據(jù)庫各表的結(jié)構(gòu) 。 17 RptLog 表 用于記錄操作員的操作日志信息， 包含操作用戶、 USBKey 序列號、操作類型、操作結(jié)果、操作時間等信息， 該表的邏輯結(jié)構(gòu)如表 41 所示。 表 41 RptLog 數(shù)據(jù)表字段描述 字段名 描述 類型 說明 OptUser 操作用戶 文本 admin SerialNum USBKey 序列號 文本 OptKind 操作類型 數(shù)字 OptDesc 操作結(jié)果 文本 OptTime 操作時間 日期 /時間 USBKey 表用于記錄 USB Key 的信息， 包含硬件廠商、產(chǎn)品型號、序列號、固件版本、軟件版本等信息， 該表的邏輯結(jié)構(gòu)如表 42所示。 表 42 USBKey 數(shù)據(jù)表字段描述 字段名 描述 類型 說明 Company 硬件廠商 文本 ModelNum 產(chǎn)品型號 文本 USB Key 唯一標(biāo)識 SerialNum1 序列號 文本 Firmware 固件版本 文本 Hardware 軟