互联网知识：身份认证技术的基础

通过技术手段来达到一定的版权保护目的。对于博物馆的数字资源而言，可以借助身份认证技术、防火墙技术、授权管理技术及数字水印技术等来实现。

身份认证技术主要是为了在计算机网络中确认操作者身份，以便从操作者角度保证数字资源的安全合法使用。身份认证技术已经从早期的口令技术发展到使用智能卡、动态口令、生物特征识别技术和USBkey技术等。

1.基于口令的认证

该认证是一种单因素的认证，安全性依赖于口令，是一种最常见的技术。用户在注册阶段生成初始口令，系统在其数据库中保存用户的信息列表（用户名ID＋口令PW）。当用户登录认证时，将自己的用户名和口令上传给服务器，服务器通过查询用户信息数据库来验证用户上传的认证信息是否和数据库中保存的用户列表信息相匹配。如果匹配则认为用户是合法用户，否则拒绝服务。静态口令除非用户自己更改，否则将永久保存不变。这种方式存在严重的安全问题，口令一旦泄露，用户即可被冒充。

2.基于智能卡的认证

智能卡具有硬盘加密功能，有较高的安全性。每个用户持有一张智能卡，智能卡存储用户个性化的秘密信息，同时在验证服务器中也存放该秘密信息。进行认证时，用户输入PIN（个人身份识别码），智能卡认证PIN成功后即可读出秘密信息，进而利用该信息与主机之间进行匹配，基于智能卡的认证方式是一种双因素的认证方式（PIN＋智能卡），即使PIN或智能卡被窃取，用户仍不容易被冒充。

3.基于动态口令的认证

动态口令也称为一次性口令，是根据专门的算法生成一个不可预测的随机数字组合，每个密码只能使用一次。目前用于生成动态口令的终端有硬件令牌、短信密码、手机令牌和软件令牌四种。用户只需拥有一个生成终端就好。每次认证时生成终端与服务器分别根据同样的密钥，同样的随机参数（时间、事件）和同样的算法计算认证的动态密码，从而确保密码的一致性，实现用户的认证。因每次认证时的随机参数不同，所以每次产生的动态密码也不同。由于它使用便捷，且与平台无关，随着移动互联网的发展，动态口令技术已成为身份认证技术的主流。

4.基于生物特征识别技术的认证

基于生物特征的认证方式主要是指通过人类生物特征进行身份认证的一种技术，这里的生物特征通常具有唯一性（与他人不同）、可以测量或可自动识别和验证、遗传性或终身不变等特点。目前比较成熟并大规模使用的方式主要为指纹、虹膜、人脸、掌纹、语音、步态等。识别系统对生物特征进行取样，进行特征提取，并将其转化为数字代码，进一步构成特征模板，当进行用户身份认证时，识别系统通过获取其特征与数据库中的特征模板进行比对，以确定二者是否匹配，从而决定接受或拒绝。

5.基于USBkey技术的认证

USBkey是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USBkey内置的密码算法实现对用户身份的认证。基于USBkey技术的认证采用软硬件相结合、一次一密的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾，是新一代身份认证方式。基于USBKey身份认证系统主要有两种应用模式：一是基于冲击/响应的认证模式，二是基于数字证书的认证模式。

6.防火墙（Firewall）技术

防火墙旨在在企业内部网（Intranet）和国际互联网（Internet）之间建立一种隔离，主要是在两个网络通信时执行一种访问控制，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问进行审计和控制。它是一种计算机硬件和软件的结合，由服务访问规则、验证工具、包过滤和应用网关4个部分组成。防火墙的类型主要有网络层防火墙、应用层防火墙和数据库防火墙。网络层防火墙被看作一种IP封包过滤器，运作在底层的TCP/IP协议堆栈上。应用层防火墙是在 TCP/IP堆栈的“应用层”上运作，可对应用程序的所有封包进行拦截。数据库防火墙基于主动防御机制，实现数据库的访问行为控制、危险操作阻断和可疑行为审计。三种类型的防火墙将在不同层面共同作用，起到对外来非法访问或恶意程序破坏的防范作用，不仅可以保证数据资源的安全，也可以对数据进行很好的监控。

7.授权管理技术

授权管理技术主要是对用户的使用权限进行动态分配和管理。授权管理往往与身份认证相结合，只对合法身份用户赋予权限。权限的内容根据所操作的对象而确定，比如需要对藏品数据库进行操作，则涉及添加、删除、复制、修改、查询和检索等权限。权限的分配可以根据用户的角色（等级）来确定。角色可划分为管理员和用户两大类，其中又可将管理员分为超级管理员、高级管理员和普通管理员，用户又可分为高级用户、中级用户和普通用户。总体上管理员类不仅可以对数据进行正常的操作，而且还可以对用户进行管理和权限分配。用户类只能对数据进行操作。类内之间的角色权限差异主要由等级决定，比如高级用户可以享用复制、修改、查询和检索的权限，而普通用户可能只有查询和检索的权限。如果需要对网站进行操作，则涉及浏览、查询、下载、上传和分享等权限。同样可以采用角色判定的方法为用户分配具体权限。

8.数字水印（DigitalWatermarking）技术

数字水印技术是指用信号处理的方法在声音，图像或视频等数字化多媒体数据中嵌入隐蔽的标记，这种标记通常是不可见的，只有通过专用的检测器或阅读器才能提取。隐藏的标记既不会影响原载体的使用价值，也不容易被人的知觉系统觉察或注意到。数字水印能够保护数字产品的合法拷贝和传播。嵌入数字作品中的信息必须具有以下基本特性才能被称为数字水印：（1）安全性，水印的信息应是安全的，难以篡改或伪造，此外水印信息隐藏于数据而非文件头中，文件格式的变换不应导致水印数据的丢失；（2）鲁棒性：所谓鲁棒性是指在经历多种无意或有意的信号处理过程后，数字水印仍能保持完整性或仍能被准确鉴别，可能的信号处理过程包括信道噪声、滤波、数/模与模/数转换、重采样、剪切、位移、尺度变化以及有损压缩编码等；（3）隐蔽性，水印不会引起明显的降质，并且不易被察觉。数字水印的划分有多种形式，比如按特性划分有鲁棒数字水印和易损数字水印，按水印所附载的媒体划分有音频水印、图像水印和视频水印等，按内容划分有无意义水印和有意义水印，按水印的检测过程划分有明文水印和盲水印，按水印的用途划分有票证防伪水印、版权保护水印、篡改提示水印和隐蔽标识水印，按水印的隐藏位置划分有时（空）域水印、频域水印、时/频域水印和时间/尺度域水印。数字水印技术可在藏品数字资源的版权保护中发挥巨大的作用，能为受到版权保护的资源的归属提供完全和可靠的证据。水印嵌入算法将与所有者有关的信息，如博物馆的名称、标志或其他有意义的内容，嵌入到要保护的对象中。水印提取算法在必要时对水印进行提取以进行真伪鉴别，检测非法拷贝、恶意篡改、蓄意伪造等情况。数字水印提取完全能在不影响观众对藏品资源欣赏、浏览和使用的情况下进行，给出侵权的依据。然而数字水印在实践中的广泛应用需要克服一个关键问题，即水印攻击问题。当前的一些攻击算法可以完全破坏掉图像中的水印，因此如何抵抗各类攻击算法，是数字水印实际应用之前需要解决的问题。