第一篇:陕西XX学院点对互联网专线接入与认证方案
陕西联通集团客户响应中心
内部公开 注意保密
陕西XX学院点对互联网专线
接入与认证解决方案
陕西联通集团客户响应中心
2009年11月
陕西联通集团客户响应中心
一. 客户情况与业务需求
陕西XX大学现有两个校区,总面积2003亩,其中西安校区占地面积1590亩,是学校的主校区,用于本科生和研究生教育;咸阳校区占地面积413亩,用于高等职业技术教育与继续教育;目前西安校区约有学生3000人左右。
根据客户现场调研结果,确认客户校园网组网结构如下:
ChinaNetEDU电信AAA系统H3C 8512校园服务器组H3C 8512学生区说明:客户校园网目前直接接入教育网,中国电信在客户内网为学生区提供PPPoE互联网接入(按流量计费)。
学校网络部负责人陈老师明确客户业务需求如下: 1.西安校区需以光纤方式接入联通China169
陕西联通集团客户响应中心
2.不能对校园网当前组网结构进行任何变更
3.学校出于网络安全考虑对学生上网终端固定了IP地址,应尽量避免采用DHCP技术。
4.中国联通新增网络接入服务不会导致中国电信现有网络接入服务失败或受到明显干扰
5.学生计算机能够自由选择中国联通或中国电信的网络接入服务(如两者客户端拨号程序冲突,学校可负责解决)6.学生计算机拨入China169后不影响对校园服务器组的访问
7.学生计算机之间的互访不会因拨入China169而受到影响(非必须实现)我公司客户经理要求如下: 1.客户端接入能够防止私接 2.客户端接入能够防代理
二. 网络接入方案
1.陕西XX大学客户本次有租用互联网专线的需求,但没有接入到东五路、西高新等骨干节点的特殊要求,并且今后没有双路由保护和其它SDH专线需求。2.组网示意图如下:
陕西联通集团客户响应中心
建议直接通过“光纤+光模块”的方式接入就近市话端局的IP节点,而不必经过MSTP网络来承载,避免占用不必要的网络资源。
可为客户提供以下业务种类及速率 以太网专线 N×10M ~ 100M 缺点:光纤单链路接入光缆终端无保护,没有安全保障。三. 现网认证技术分析
1.省内Radius平台下的集中认证(PPPoE方式)
在客户校园网核心H3C 8512至China169之间增加Huawei MA5200g一台,由省内Radius平台完成学生账号的鉴权,授权和计费。该方案技术成熟,运行稳定。目前Radius能够通过用户登陆唯一性限制实现防私接。防代理可通过城域网业务监控网关实现。组网方式如下图:
陕西联通集团客户响应中心
China169省内RADIUS平台EDUChinaNetBAS立PP2层Po通E认道证实现电信AAA系统H3C 8512校园服务器组H3C 8512建学生计算机学生区
但由于客户校园网内同时存在中国电信的BAS,两台BAS在同一网内会出现客户网络认证不稳定的现象。下图对这种双BAS的冲突方式进行了简化以便说明问题:
BAS ABAS B响应交换机响应广播计算机
上网计算机拨号后首先发起PPPoE广播,本次广播与用户的拨号软件没有任何关系同时也不携带用户名等认证信息,网络上的两台BAS会同时对广播响应,响应速度快的BAS会首先与拨号计算机建立连接。两台BAS的响应速度受网络速度、设备利用率等因素限制。这样带来的结果是拨号计算机连续碰到691错误,直到正确的BAS响应。所以省内Radius平台下的集中认证方式不能满足客户对于网络接入方式的需求。
陕西联通集团客户响应中心
2.省内Radius平台下的集中认证(L2TP-VPN方式)在客户校园网核心H3C 8512至China169之间增加Huawei MA5200g一台,学生上网计算机安装H3C公司的专用拨号软件,两者之间使用L2TP协议建立VPN隧道完成三层设备的传统,省内Radius平台负责完成学生账号的鉴权,授权和计费。Radius通过用户登陆唯一性限制实现防私接。防代理由H3C专用拨号软件完成。
该方式能够满足业务需求,且与电信的AAA系统不会互相干扰。但存在如下问题:
1.需要为现有的BAS增加LNS单板;
2.华为与华为3Com公司之间已无产业链关系,需要与H3C采购相关软件和维保;
3.全省Radius系统从未测试和应用过L2TP-VPN方式下的鉴权,授权和计费。
陕西联通集团客户响应中心
China169省内RADIUS平台EDUChinaNet路由可达BAS建立电信AAA系统VPN通道实现H3C 8512校园服务器组H3C 8512学生计算机安装H3C专用拨号软件学生区
3.城市热点的本地认证方式
在客户校园网核心H3C 8512至China169之间增加Dr.com 2133一台,负责完成用户的认证和授权;城市热点Dr.COM Billingware平台负责完成学生账号的管理、开通和策略配置。可以在Dr.COM Billingware平台配置用户登陆唯一性策略实现防私接。防代理由学生上网计算机安装的城市热点拨号软件完成。组网方式如下图:
陕西联通集团客户响应中心
China169城市热点Dr.COM BillingwareDr.com 2133EDUChinaNet建立电信AAA系统H3C 8512VPN通道校园服务器组H3C 8512学生计算机安装城市热点专用拨号程序学生区
四. 认证建议方案
建议采用城市热点认证方式。下对城市热点各部分的功能进行说明。
1.城市热点支持的认证方式
Dr.COM 2133 B-RAS同时支持以下认证方式: 1)WEB方式
2)专用客户端方式(使用Dr.COM 专用客户端软件)3)802.1x 4)PPPoE(此时接入服务器与用户终端需为二层交换网络)根据业务需求,建议采用专用客户端方式。2.城市热点各部分的功能
Dr.COM 2133采用的是硬件认证计费方式,用户账号资料以及各种用户策略全部内置在Dr.COM 2133 FLASH ROM中,当
陕西联通集团客户响应中心
用户发出认证请求,由Dr.COM 2133 作认证终结,账号认证和鉴权直接在Dr.COM 2133 本地完成。
Dr.COM Billingware宽带计费运营平台主要作为用户管理、策略配置和数据库管理的后台,所有策略配置、用户管理均先在ORACLE数据库完成后,再通过守护进程实时同步到Dr.COM 2133 内。当Dr.COM Billingware宽带计费运营平台与Dr.COM 2133中断通信,不会影响到Dr.COM 2133 中已存在用户的接入、认证和计费。但没有完成同步的新用户将无法认证。
Dr.COM专用客户端软件提供防代理功能,利用数据包验证封装技术,使用户登陆成功后,过滤掉代理请求。该客户端能够实现以下功能:
• 可防用户单IP方式代理;
• 可定时或实时发布系统信息广播、催费通知、显示用户时间流量等;
• 储值卡用户可显示剩余余额; • 可透过三层; • 可透过三层绑定MAC; • 针对连接进行认证; • 账号密码加密;
• 可防盗IP、MAC访问互联网;
• 静态绑定网关MAC地址,起到防止ARP干扰的作用;
陕西联通集团客户响应中心
• 兼容Linux系统; 3.网络部署要求
1)需要新增Dr.COM 2133一台
2)校园网内需要部署一台以上的专用的用户业务受理终端,用于学生办理宽带业务。
3)需要为新增用户提供Dr.COM专用客户端软件 4.用户需求满足
城市热点工程师反馈该平台能够满足客户与客户经理提出的主要业务需求。需求中“学生计算机之间的互访不会因拨入China169而受到影响”无法满足。5.缺点
1)该系统与省内Radius系统未能融合 2)需要在客户网内部署专用的业务受理终端
五. 测试方案
1.上网终端认证完成后对China169和校园服务器组的并发访问测试 测试方法:
上网终端完成网络认证前能够对校园服务器组提供的网络服务正常访问,上网终端完成网络认证后对China169和校园服务器组提供的网络服务皆能正常访问则并发访问要求满足,反之为不满足。
2.账号唯一性测试
陕西联通集团客户响应中心
测试方法:
(1)选择校园网内接入层(限学生区)任意个接入点接入测试终端;
(2)测试终端A完成网络认证,并保持接入状态不中断;(3)测试终端B至Z使用用同样的用户名/密码启动网络认证。
结果:测试终端B至Z如不能完成网络认证则判定认证系统满足账号唯一性要求,反之为不满足。3.防代理测试(1)路由器的测试
组网方式:路由器作为上网终端完成网络接入认证,同时作为测试终端的网关提供包转发。
校园网路由器测试终端测试终端
测试方法:路由器作为上网终端完成网络接入认证后,任一测试终端如不能访问访问China169,则判定防代理成功;反之,则失败。测试终端与路由器之间通过无线或有线连接方式对测试结果没有影响。(2)双网卡代理服务器的测试
陕西联通集团客户响应中心
组网方式:代理服务器安装双网卡,NC/1接入校园网,NC/2连接测试终端。连接方式见下图:
校园网NC/1NC/2代理服务器测试终端
测试方法:代理服务器启用PPPoE连接,如果测试终端不能够够访问China169,则判定防代理成功;反之,则失败。
4.单网卡自动网关探测代理方式的测试
组网方式:二层交换机接入校园网,代理服务器和测试终端与交换机连接,如下图:
校园网交换机代理服务器测试终端
测试方法:代理服务器启用PPPoE连接,测试终端启用Windows自动网关探测功能,如果测试终端不能够访问China169,则判定防代理成功;反之,则失败。
六. 后继建议
1.建议根据2008年4月30综合部会议纪要【2008】17期中城市热点的维护界面划分,征求支撑部门的意见,明确用户开通和账单获取问题。
陕西联通集团客户响应中心
2.由于Dr.COM 2133 和Dr.COM Billingware均支持标准和扩展的RADIUS协议(RFC2865、2866),故建议未来分离两者,使Dr.COM 2133作为省内RADIUS认证计费平台的接入服务器。从而充分利用和城市热点客户端的强大功能和省内Radius系统的安全性和唯一性。
3.营业系统增加相关接口,实现城市热点的联机指令功能。4.维护部门和支撑部门对VPN方式下的Radius鉴权,授权和计费进行测试,并启用相关功能。
5.逐步启用Radius系统的代理商功能,以满足部分客户群体的业务需求。
第二篇:点思考对民事诉讼中认证问题的几
对民事诉讼中认证问题的几点思考
严潇君
《最高人民法院关于民事诉讼证据的若干规定》第六十三条规定:“人民法院应当以证据能够证明的案件事实为依据依法作出裁判”。从而确立了证据裁判主义。证据问题随之成为全部诉讼活动的核心问题,民事诉讼证据也就成为认定案件事实的唯一载体,即法官仅能依据摆在眼前的“呈堂”证据作为认定案件事实的根据,而不能从其他渠道获取案件事实的相关信息,更不能因为证据不足而拒绝裁判。因此,认证问题在整个审判活动中显得尤为重要,因为认证活动是庭审过程中最关键、最实质的环节,认证质量的好坏直接影响到庭审成功与否,认证的结果往往是法院据以定案的依据,它关系到对案件事实的认定和法律的适用,关系到实体裁判公正与否,是法院裁判的“基石”。
所谓认证,是指审判组织对当事人提请质询的证据,从其合法性、真实性、关联性的角度进行审查,按照运作程序和证明标准进行分析判决,以确认证据的证明效力,进而认定案件事实的一种审判活动。它是法官行使审判权的具体体现。在民事诉讼中,审判人员应依据何种标准,采取何种方式对当事人提请质询的证据进行认证,并如何进行认证呢?本文试从以上几个方面进行探讨。
一、关于民事诉讼认证的方式
审判方式的改革,关键是落实公开审判制度,将审判工作的重点转移到法庭上来,只有搞好庭审活动,才能避免公开审判走过场。而庭审活动的核心,就是当事人举证后在法庭上质证、辩论,从而法官公开认证。认证公开是审判公开的重要组成部分。因此,认证公开对于提高审判过程的透明度,减少暗箱操作,提高庭审质量,保证司法公正,具有重要的现实意义。
在过去,我们民事诉讼中基本采用的是庭后认证的方式,不能体现审判公开原则。为落实审判公开制度,我国在审判方式改革中提出了审理案件必须要举证在当庭、质证在当庭、认证一般在当庭的工作要求,并为《人民法院五年改革纲要》所肯定,因而确立了民事诉讼中“当庭认证”的方式,同时坚持以庭上合议认证为主、庭后合议认证为辅的原则。从此结束了质证认证相脱节,庭审走过场的现象。
虽然在审判实践中,对“当庭认证”仍存有一定的争议,在具体操作中也存在一定的难度,但通过这几年的审判实践证实,“当庭认证”这一认证方式,无疑更能体现人民法院审判公开原则,对增加审判行为的透明度,调动诉辩双方的积极性,促使败诉方服判起着积极的作用。
当庭认证相较过去的庭后认证,为什么更能体现审判公开原则?因为当庭认证就是要求主持庭审的审判人员在当事人当庭举证、质证的基础上对证据当庭进行审查、判断,从而确认其是否具有证明力以及证明力的大小;并在当庭公开评判确认证据的依据,依据的法定规则和评判的结果。这使得当事人在当庭就能对自己的证据的优劣程度、证据的证明力大小、证据的充分与否有着全面而清楚的了解,使当事人对自己的诉讼行为的后果具有可预测性,更加理性的看待胜诉与败诉,从而树立司法的权威。
当然,审判人员要在庭审有限的时间内,对全案证据加以审查判断,这无疑给审判人员提出了更高的要求。因而当庭认证时必须在立足全案证据的基础上,紧紧围绕法律关系的形成和变更以及案件的某些特定证明对象审查判断证据,投入力量对关键性证据,重点予以审查判断,看能否得以认定;并注意在全面把握现象的基础上,依靠自己的经验和感悟,充分运用证据法则,本质地看问题,作出符合客观实际的判断;运用证据的共性,把握证据的个性,灵活运用一证一认或一组一认或综合认证等方法,作出综合的而又恰当的判断。
二、关于民事诉讼的认证标准
《最高人民法院关于民事诉讼证据的若干规定》第六十四条规定:“审判人员应当依照法定程序,全面、客观地审核证据,依据法律的规定,遵循法官职业道德,运用逻辑推理和日常生活经验,对证据有无证明力和证明力大小独立进行判断,并公开判断的理由和结果。”该条确立了我国民事诉讼中的法官依法
独立审查判断证据的原则,也是对法官在民事诉讼中进行认证提出的一般要求。审查核实证据是审理民事案件的重要环节,是全面判断证据、认定案件事实的前提,是认证的前提和基础。
对证据的审查主要是依据证据的“三性”原则,即审查证据的材料是否真实、合法、与案件事实有无关联性;其主要体现在对证据的可采性和可信性方面的审查认定。
民事诉讼证据的可采性审查主要从以下四个方面进行:
(一)证据的时效性审查
《最高人民法院关于民事诉讼证据的若干规定》第三十四条规定“当事人应当在举证期限内向人民法院提交证据材料,当事人在举证期限内不提交的,视为放弃举证权利。对于当事人逾期提交的证据材料,人民法院审理时不组织质证。但对方当事人同意质证的除外。当事人增加、变更诉讼请求或者提起反诉的,应当在举证期限届满前提出。”由于对当事人逾期提交的证据材料人民法院审理时可以不组织质证,故对证据的时效性审查便首当其冲,凡是当事人逾期提交的证据材料,对方当事人经法官询问后不同意质证的,该部分证据即丧失可采性,不予作为定案的依据。
(二)证据的关联性审查
所谓证据的关联性,是指证据与待证事实(当事人所主张的事实)之间有必然的联系,即以证据能够认定的事实与当事人所主张的事实(部分或全部)具有同一性。如果证据不能支持当事人所主张的事实,则该证据不具有关联性。证据的关联性审查,就是要排除那些与本案无关的证据进入实质性审查程序。审查证据的关联性不能只孤立地审查单个证据,应结合当事人提供的相关证据一并审查,才能得出正确结论。
(三)证据的客观性审查
在证据的可采性审查阶段,对证据的客观性审查只是形式审查,即只对那些明显虚假、自相矛盾不能成立的证据予以排除。
(四)证据的合法性审查
证据的合法性审查主要从证据形式和证据调取方式的合法性进行审查。
证据形式的合法性的审查,即审查证据的外在表现形式是否符合民事诉讼法第六十三条规定的七种法定证据形式,如单位证明是否有单位负责人签名并加盖单位公章等,凡证据形式不合法的,即丧失可采性。
证据调取方式的合法性的审查要对取证主体资格及证据取得的方式是否合法进行审查。根据民事诉讼法的规定,调查权的主体仅限于人民法院及诉讼代理人,当事人没有法律赋予的调查权,当事人自行调查的材料不能作为有效证据使用。但当事人对以下证据材料可以申请人民法院调查收集:一是申请调查收集的证据属于国家有关部门保存并须人民法院依职权调取的档案材料;二是涉及国家秘密、商业秘密、个人隐私的材料;三是当事人及其诉讼代理人确因客观原因不能自行收集的其他材料。当事人还可申请证人出庭作证,对于确有困难不能出庭的证人可以提交由证人签名的书面证言或者视听资料。
证据取得的方式的合法性又包括证据来源及调取证据的手段和方法必须合法,人民法院及诉讼代理人调查取证还应当遵守法定的程序。最高人民法院《关于适用〈中华人民共和国民事诉讼法〉若干问题的意见》第七十条规定:“人民法院收集调查证据,应由两人以上共同进行。调查材料要由调查人、被调查人、记录人签名或盖章。” 诉讼代理人调查取证,也应当由二人共同进行。对于非法取得的证据,不能作为认定案件事实的根据。根据法律和司法解释的规定,非法收集证据的情形有以下几种:A、伪造证据的;B、贿买、胁迫证人作证或指使他人作伪证的;C、以侵害他人合法权益或者违反法律禁止性规定的方法取得的证据。《最高人民法院关于民事诉讼证据的若干规定》并未将未经相对人同意秘密录制的谈话材料列入非法证据的范围,也是从客观出发,因为在现实生活中,在当事人自行收集证据时先经对方同意再录制谈话材料的成功率几乎为零。只有在秘密录制的情况下才有可能取得真实的证据。
同时,实践中应正确区分证据的合法性与证据的形成原因是否合法,这是二个不同的概念。在审判实践中,有的审判人员对形成原因不合法的证据一律不予采信,这是不正确的。如当事人双方未到法定婚龄
登记结婚,结婚证是不合法的,但如果以结婚证不合法为由不予采信,当事人未到法定婚龄登记结婚的事实同样无法认定。这种欠缺法律效力的证据,一般并不因为诉讼而产生,通常表现为原始物证或书证。这种证据恰恰是认定不法事实的根据,不能概以证据不合法为由不予采信。采信证据是为了认定案件事实,与案件的定性处理是两回事。在法律文书的表述上,应表述为“证据形式和调取方式合法”,而不宜笼统地表述为“证据具备合法性”,以免产生歧义。
民事诉讼证据的可信性判断主要从以下二个方面进行判断。
(一)证据的真实性的审查判断
1、一方当事人有无异议,是否举出了足以推翻的相反证据。
2、下列证据不能单独作为认定案件事实的根据:
一是未成年人所作的与其智力和年龄状况不相当的证言;
二是与一方当事人或者其代理人有利害关系的证人出具的证言;
三是存有疑点的视听资料;
四是无法与原件、原物核对的复印件、复制品;
五是无正当理由未出庭作证的证人证言。
(二)对证据的证明力的审查判断
证据的证明力,是指证据与待证事实之间的紧密联系程度。联系愈密切,证明力愈大;反之则愈小。如果法院认定的案件事实没有相应的证据支撑,则属于“证据不足”;如果当事人所主张的事实有充分的证据佐证而法院没有认定,则属于“事实不清”。人民法院认定的案件事实只能小于或等于所采信的证据能够推定的事实。故对证据的证明力的审查判断直接关系到对案件事实的认定。
根据《最高人民法院关于民事诉讼证据的若干规定》第七十条至第七十八条的规定,对证据的证明力的认定应当遵循以下规则:
1、原始证据的证明力一般大于传来证据;直接证据的证明力一般大于间接证据。
2、只有本人陈述而无相关证据佐证,对方当事人不认可的,对该当事人的陈述的证明力不予认定。
3、对合法取得的书证、物证、视听资料、勘验笔录、鉴定结论,一方当事人提出异议但没有提出足以反驳的相反证据的,应当确认其证明力。
4、国家机关、社会团体依职权制作的公文书证的证明力一般大于其他书证。
5、物证、档案、鉴定结论、勘验笔录或者经过公证、登记的书证,其证明力一般大于其他书证、视听资料和证人证言。
6、与当事人一方或双方有利害关系的证人出具的证言的证明力一般小于其他证人证言。
7、对同一事实,当事人分别举出相反证据,但都不足以推翻对方的证据的,人民法院应当根据盖然性优势的原则对证明力较大的证据予以确认。
经过审查判断后,对具备证据“三性”属性的能认定的应当庭予以认定,确定其证明力。但在具体审查判断证据的效力时,不能机械地照套某一公式。法官除了用“三性”这一认证标准去衡量证据外,还必须运用法律逻辑去审查判断证据,这不是对证据简单的处理,而是法官对诉辩双方质证所形成的感性认识上升为理性认识的复杂思维过程。因此,不能简单地凭认证标准来认证,还要结合具体案件作具体分析,只有创造性地掌握和运用认证标准,才能达到正确认证的目的。同时,对法官庭外调查取得的证据也要经过当庭出示、辨认、质证、认证等法庭调查程序。
证据对案件事实的证明效力,与认定证据的证明力是诉讼活动中不可分割的两个步骤,既有区别又有联系。二者的区别在于,认证是对单一证据的合法有效性、证明力大小的一种确认活动,而证据对案件事
实的证明效力是法官从全案起诉的事实是否存在出发,运用庭审中和庭审后所确认的证据,对整个案件事实作出全面认定,在此基础上做到对案件准确定性,对进入诉讼程序的证据之证明力大小强弱等予以采信的依据。证据对案件事实的证明效力只能在庭审后进行,是合议庭或审判委员会评议和讨论的结果。二者的联系表现在认证是证据证明效力认定的前提和基础,只有经庭审采信的证据才能够形成一个完整的证明体系,且对案件事实所作出的结论是惟一的排他的。特殊情况下,即使对诉辩双方所举证据,全部进行认证,但在庭后认定过程中,如果合议庭或审判委员会认为证据间有矛盾,不能形成证据链条,不具有惟一性和排他性,则就不予认定,即有矛盾的证据对案件事实没有证明力。
证据对案件事实的证明效力,应当在判决理由中予以载明,特别是在矛盾证据同时出现的时候,对哪些证据采信哪些不采信应当讲明观点,阐述理由,否则,难以使人信服。判决书中应充分阐明法官对证据证明效力的分析与认定理由。
三、因案而异,灵活认证
由于司法实践中缺乏统一的认证规则,各地法院在具体操作认证的程序和方式时也不尽相同。总结各地的审判实践经验,一般可遵循以下认证程序:
1、当诉辩双方举证并相互质证、辩论后,法官对于双方无异议的或者合议庭无疑问的主要证据;对于双方所举证据,另一方虽有异议,但又不能举证予以推翻的;对于一方当事人提供证据后,对方提供有力证据予以反驳,先提供证据的一方,对反驳证据表示认可的,应作出肯定式认证当庭宣布该证据可以作为定案的依据。而对该证据相抵触或相反的证据,则应当庭作出否定认证。
2、对于双方中任何一方对证据持不同意见并出示对抗依据,一时难以作出判断;或者双方就同一事实都举出证据而当庭难以鉴别,或者合议庭对证据持不同看法,存有疑问而在当庭无法查清的,则不予当庭认证,待暂时休庭后,坚持民主集中制发挥合议庭成员的作用,互相交换意见,然后再继续开庭认证,或者宣布休庭,待法庭调查核实后再重新开庭予以认证。
3、对于需要几次开庭才能审结的案件,可以在每次开庭前公布合议庭对上一次开庭时异议证据的认证结果。
4、在庭审结束前,发现认证有误的,合议庭可当庭予以纠正,在庭审结束后发现认证有误的,或者发现有新的证据可能推翻已认定证据的,合议庭可再次开庭予以纠正。
因案件千差万别,认证的方式也不能千篇一律,法官可根据案件的实际情况区别对待,灵活操作认证方式,而不必求一律。一是逐一认证,即对那些案情简单、证据较少的案件或具有较强的相对独立性的证据,可以采取“一证一质认”的认证方式,对双方当庭所举证据逐个质证后,逐个予以认证。这种认证方式能够清晰的把某一案件事实认定清楚。二是分类认证,即对案情比较复杂、证据较多的案件,可根据待证事实或证明目的对证据进行分类认证,即可以采取“一组一质认”的认证方式,对某一阶段或某一方面的几个证据,当庭举证、质证,相对集中后予以认证。三是综合认证,即案件事实错综复杂,相互交叉,层次不明的案件,各证据之间又相互牵连,可待全部证据当庭举证、质证完后,再对全案的证据综合审查判断予以统一认证。总之,每个案件都有不同的具体情况,应分别采取不同方式进行认证,不必拘泥于形式,要以有利于准确认定证据,查清整个案情为目的,因案而异,因证而异,这样,既保证了认证质量,又提高了认证效率。
当庭认定的证据,对认定案件事实具有极为重要的意义,它决定着当事人胜诉或败诉的后果。法官在认证时必须综合案情和一切有关证据进行全面的对照分析。即要考虑某项证据与案情事实的客观联系,又要考虑单个证据之间的相互联系,以及该案的全部证据材料与整个案情的客观联系等等,进行比较对照,从证据的整体上作认定。
第三篇:SKEY认证方案的分析与改进
S/KEY认证方案的分析与改进
殷松瑜,徐炜民
(上海大学 计算机工程学院,上海 200072)
摘 要:本文提出的改进S/KEY身份认证协议,使用随机数与机密信息进行异或运算,屏蔽重要信息防止机密泄露,实现了用户和服务器间的相互认证,认证服务器的计算负载并没有增加。本方案克服了传统S/KEY一次性口令认证方案不能抵抗重放攻击,小数攻击,冒充攻击,中间人攻击安全漏洞,有效地防止了连接劫持、协议破坏攻击等攻击手段,显著地增强了应用系统的安全性。关键词:S/KEY身份认证; 一次性口令; 异或; 散列函数 中图法分类号: TP393108
文献标识码: A
Analysis and Improvement of S/KEY Authentication Scheme
YIN Song-yu,XV Wei-min
(School of Engineering and Computer Science Shanghai University , Shanghai 200072)
Abstract:This paper proposes a new improved S/KEY protocol.As is described in my authentication scheme that the random number XORed by the confidential information prevents confidential information from disclosure, and a mutual authentication between the user and the server is effectively carried out , but which do not increase the overhead of authentication server.The new S/KEY solution can not only overcome the vulnerabilities of security that the traditional S/KEY one-time password protocol will not help the server to resist the replay attacks, small integer attacks, personate attacks and man-in–middle attacks, but also effectively prevent the server from connection hijacking, protocal–broken and other attacks, so the improved S/KEY protocol significantly enhances the security level of application system.Key words: S/KEY Authentication;One-Time Password;XOR;Hash fuction
是验证通信双方是否符合其所声称的身份, 防止非法用户窃取合法用户的身份,以得到不应有的授权进入系统获得不正当利益或恶意破坏系统。
传统的认证技术是输入用户名/口令的基本认证方式,这种认证最大的问题是用户名和口令都以明文的方式在不安全的网络中传输,很容易受到恶意的窃听、篡改、重放或在线猜测和离线字典攻击。安全的基于证书的数字签名技术必须以完整的CA(Certification Authority,证书授权中心)体系为基础,但目前在国内还没有法律上所公认的可信的第0 引言
计算机通信技术和网络的发展使得网络成为信息交换的主要手段,越来越多的企业将电子商务作为重要的运营模式。当企业用户在其业务活动中把自己完全展示给外部的用户和商业合作者或当通过网络获取客户的敏感数据时, 网络的安全访问控制就成了保护企业信息安全, 防止黑客恶意攻击破坏的重要手段。身份认证是确保网络系统中信息安全的门户,网络应用系统的第一道防线。身份认证的目的就三方证书授权中心。对于在不安全的网络环境中的企业来说,采用实现不太复杂,又无需第三方认证的一次性口令(One Time Password,OTP)认证技术是一种很有吸引力的的解决方案,从理论上讲,只使用一次的密码(A Single Use Password)是永远不会被破解,是最安全的密码。
本文在分析研究S/KEY一次性口令认证技术的基础上,针对S/KEY系统的缺陷[1][2][3]提出了一种新的改进方案。已有的一些改进方案[4][5][6][7]使用离散对数公钥加密技术,另外一些方案 [8]使用对称加密方法,虽然改进方案宣称无需第三方公证,但是如何管理分配加密密钥,是否最后还是依靠公钥基础设施PKI,这些都是很难解决的问题。使用加密方法增加了系统开销和实现的复杂度,这也就失去了口令认证的优点:实现方案简单,运行成本低等。而方案
[9][10][11]
虽然对S/KEY认证技术有所改进,却并没有完全解决S/KEY系统的安全问题。本文所提出的方案使用随机数与机密信息进行异或运算,屏蔽重要信息内容防止机密向外泄露,相比原来S/KEY方案认证服务器增加的运算量很小。改进方案克服了传统S/KEY一次性口令不能抵抗小数攻击,冒充攻击等安全漏洞,实现了用户和服务器间的相互认证,有效地防止了连接劫持、协议破坏攻击等攻击手段,显著地增强了应用系统的安全性。一次性口令认证技术
窃取系统口令文件、通过偷听网络连接来获取和合法用户的口令以及重放是常见的攻击方式。一次性口令系统设计的目的就是为了对付这种类型的攻击, 使用户在每次注册时使用一个以前没有使用过的口令。1.1 基本原理
OTP的主要思路是:在登录过程中加入不确定因子,使每次登录过程中生成的密码都各不相同,以提高登录过程的安全性。系统接收到登录口令以后, 以同样的算法做一个验算即可验证用户的合法性。目前有许多方法可以实现一次性口令身份认证,常用的有如下3种:(1)Lamport方案[15]。即哈希链(Hash chains)算法。在初始化阶段选取一个口令pw和一个次数n,及一个单向散列函数Hash,通过计算y= Hash n(pw),把y和n的值存到服务器上。用户端计算y'= Hash n-1(pw)的值,服务器计算 z = Hash(y')的值同服务器上相应的值y进行比较。如果z=y,则验证成功,然后用y'的值取代服务器上y的值,n的值减1。通过哈希链算法,用户每次登录到服务器端的口令都不相同。这种方案的优点是易于实现,且无须特殊硬件的支持。而缺点是用户需要进行多次Hash运算,其安全性依赖于单向散列函数Hash,而且每隔一段时间还需要重新初始化系统,服务器的额外开销很大。
(2)时间同步方案(见图1)[15]。每个系统用户都持有相应的时间同步令牌(token)。令牌内置时钟,种子密钥和加密算法。时间同步令牌根据当前时间和种子密钥可以每分钟动态生成一个一次性口令。动态口令传送到认证服务器。服务器通过其种子密钥副本和当前时间计算出所期望的输出值,对用户进行验证。如果相匹配,则登录通过。虽然该方法可以保证很高的安全性,然而技术上很难保证用户的时间同步令牌在时间上和认证服务器严格同步,因为数据在网络上传输和处理都存在一定的时间延迟,所以该方案实现时是在允许的时间误差范围内(例如多少秒)都可以通过认证,但是当时间误差超过允许值时,对正常用户的登录往往造成身份认证失败,这是时间同步方案很大的缺点,另外该方案要求有时间同步令牌这类特殊硬件的支持。
(3)质询/应答方案(Challenge/Response)(见图2)
[15]
。每个用户都持有相应的质询/应答令牌。令牌内置种子密钥和加密算法。用户需要访问系统时,服务器随机生成一个质询(Challenge),用户将该质询手工输入到质询/应答令牌中,质询/应答令牌利用内置的种子密钥和加密算法对其计算出相应的应答(Response)。用户将该应答手工输入到主机再上传给服务器。服务器根据该用户存储的种子密钥和加密算法计算出应答并和用户上传的应答进行比较,该方法可以保证很高的安全性。但该方案也有缺陷:需要特殊硬件(质询/应答令牌)的支持,增加了该方案的实现成本;用户需多次手工输入数据,易造成较多的输入失误,使用起来十分不便;用户的身份标识直接在网络上明文传输,攻击者可很容易地截获它,留下了安全隐患;没有实现用户和服务器间的相互认证,不能抵抗来自服务器端的冒充攻击;质询每次都由服务器随机生成,造成了服务器开销过大。
1.2 S/KEY一次性口令认证协议
目前在实际应用最广泛的一次性口令是S/Key认证协议,它也是质询/应答方式的一种。
S/Key一次性口令的原理是: OTP为每个用户分配一个账号,每个账号配有种子(Seed)、迭代值(Iteration)和秘密通行短语(Secret Pass Phrase,SPP)。在客户端和服务器端各安装一个OTP计算程序,用户通过客户机访问服务器时,首先向服务器传送自己的账号,服务器应答一个由与该账号对应的种子Seed和迭代值Seq组成的质询, 用户在客户端输入只有自己知道的秘密通行密语给予应答,客户机OTP计算程序使用该质询和秘密通行短语产生一个一次性口令,并以该一次性口令登录,作为对质询的应答。服务器端OTP计算程序同时也产生一次性口令,然后与所收到的一次性口令进行对比,从而完成服务器对登录用户的鉴别。每次登录成功后,迭代值递减。
但是当迭代值递减为0或秘密通行短语泄密后,则用户必须重新初始化系统。这也是S/KEY一次性口令最大的不足。1.3 单向散列函数
S/KEY认证是一种摘要认证, 主要利用了散列函数又称为哈希函数(Hash), 就是把可变输入长度申转换成固定长度输出串散列值的一种函数。S/KEY认证的安全性正是依赖于散列函数的单向、计算不可逆的特性:
(1)给定消息M很容易计算Hash(M),但是根据Hash(M)反向计算M却很难,几乎是不可能。
(2)给定M消息要找到另一消息M’, 并满足Hash(M)= Hash(M’)也是几乎不可能。
目前,著名的散列函数有MD4、MD5和SHA。SHA(Security Hash Arithmetic)是由美国国家标准和技术(NIST)提出的。SHA-1 算法允许的最大输入报文的长度不超过26
4位,输出160 比特的报文摘要。SHA-1 与MD5相似,都是从MD4 导出的,但它对强行攻击具有更大的强度,且易于实现。传统S/KEY认证系统[1] S/KEY认证系统分注册阶段和认证阶段2个阶段实现。本文使用的标志如下:U为客户端;S为服务器端;ID为用户身份标志;PW为用户口令;→为信息发送标识;//为级联运算符;⊕为异或运算符;H(x)为安全哈希函数;Hi
(x)为对x进行i次哈希运算;N为口令序列的元素个数;Seq为当前序列数(第i次认证序列数,Seq=N-i)。2.1注册过程
注册工作由客户端U与服务器端S共同参与完成,协商并保存在认证过程中将要用到的数据,要求注册工作必须在安全环境下进行。
(1)U输入ID和PW,请求注册;(2)S为U选择种子值Seed发送给U;
(3)U设置一次性口令序列的最大元素个数N,并计算口令序列的第一个口令HN(PW//Seed)传送给S;(4)S建立记录,存储ID,Seed,N,HN
(PW//Seed)。2.2认证过程
第i次认证过程如下:
步骤1 U→S:ID,认证请求;
步骤2 S→U:Seq=N-i,Seed;
步骤3 U→S:ID, HN-i(PW//Seed);
步骤4 S用收到的HN-i(PW//Seed)再做一次哈希运算
H(HN-i
(PW//Seed)),与上次认证成功后保留的H
N-(i-1)
(PW//Seed)比较,若相等,S就向U发送登
录成功消息,并保留HN-(i-1)
(PW//Seed)作为下一
次认证的验证值。
2.3 传统S/KEY认证系统的安全缺陷分析
S/KEY系统虽能有效抵御重放攻击,有一定的安全性,但是系统本身仍有很多缺陷。
S/KEY系统无法抵御冒充攻击,即冒充服务器攻击。传 统S/KEY系统是一种简单的认证协议,认证过程中只对用户 进行认证而不对服务器进行认证,并且S/KEY方案并没有提 供对传输数据的加密,Seed和Seq都是以明文形式在传输信道中传输,因此,攻击者可以欺骗用户去登录攻击者指定的假冒服务器,当用户提交认证请求时,假冒服务器可以发送事先窃听到的Seed,Seq给用户从而欺骗用户得到一次有效的登录口令,再伪装成合法用户登录服务器。
小数攻击是特别针对于口令序列类型的OTP方案的攻 击方式,S/KEY认证系统不能防御此种攻击。攻击者可以得 到系统使用的安全散列函数H(x),通过监听和篡改步骤(2)中的序列数Seq为一个小很多的数值m给用户,这样用户就会计算出Hm
(PW//Seed)给攻击者,攻击者再将Hm
(PW//Seed)哈希Seq-m次,既H
seq-m
(Hm(PW//Seed))得到Hseq
(PW//Seed)也就
是正确的口令去登录服务器,因为m< Seq,所以攻击者在成功进行一次攻击后仍可保留Hm
(PW//Seed)以后使用,只要服务器在认证时在步骤(2)中发送一个比m大的序列数攻击者就可计算出正确的口令来登录服务器。
S/KEY系统无法抵御协议破坏攻击,如果在合法用户和 服务器进行正常认证过程中攻击者成功地进行了窃听,并在 步骤(3)中,攻击者窃取到了第i次有效的口令HN-i
(PW//Seed)后将认证过程破坏或服务器崩溃,那么在系统重启后会直接恢复到认证破坏前的步骤(3),这时攻击者就可以利用协议被破坏前窃取到的有效口令登录服务器。
中间人攻击是指攻击者通过各种技术手段将自己控制的计算机非法连接到2台正常通信计算机的通信信道之间,直接即时地读取和篡改信道中的信息,而通信两端的计算机却认为彼此还在互相通信,无法察觉信息已经被转发过。这种隐蔽性攻击是对网络安全极具威胁和破坏性的一种攻击方式。S/KEY系统对于中间人攻击更显得无能为力,只要攻击者通过一定的技术手段成功建立好中间人攻击环境,则U与S之间传递的一切信息都会经过攻击者控制的计算机进行转发,攻击者只需在步骤(3)中获得一次性口令后强迫合法用户下线,再直接转发口令给S冒充合法用户登录。
连接劫持攻击最早由Bellovin[3]
提出,这种攻击方法是非法用户绕过身份确认这一关,等到合法用户通过认证成功与服务器建立连接后,设法劫取此连接先行抢入连接冒充合法用户侵入系统。
S/KEY认证系统的改进
3.1 改进思路
1)在证明对方身份之前,不给出有关信息的鉴别,不泄露有关信息,2)尽量使用简单而且安全的算法以减少认证服务器的运算量,提高效率,3)尽可能使传送的消息简短,减少相互传递的认证信息的个数,减少网络通信量,4)用户和系统之间进行相互认证,5)提供安全通信防止连接劫持的功能。3.2注册过程
注册工作与传统S/KEY方案大体相同,由U与S共同参与完成,协商并保存在认证过程中将要用到的数据,由服务器端S建立记录,存储ID,Seed,N,HN(PW//Seed),所不同的是客户端也要记住ID,Seed,并保证ID,Seed作为U和S共享秘密的安全。种子Seed的设置原本是为了客户在不同的服务器上方便使用OTP[1],在不同的服务器使用不同的Seed,这样即使客户使用同一个秘密通行短语SPP在不同的服务器上也能生成不同的OTP。在本方案中客户U记住Seed就能实现与服务器协商会话密钥(一个客户端生成的随机数),并且Seed也不需要每一次认证都传送给客户端,以减少被窃听的可能。
从安全角度考虑客户端可以用USBkey存储机密信息,而服务器端同样要保证存放客户信息的数据库的安全,防止非法窃取机密信息,特别是内部攻击。3.3认证过程
服务器端保留有一张表,每条记录包含:用户名ID,种子Seed,当前序列号Seq=N-i,上次成功登录密码PN-(i-1)
i-1=H(PW//Seed);
第i次认证过程:
步骤1 U→S:认证请求,H(ID),H(ID//Seed)⊕Ri; 步骤2 S→U:Seq⊕Ri,Pi-1⊕Ri; 步骤3 U→S: Pi⊕Ri;
步骤4 S→U:认证成功消息,保留Pi。
步骤说明:
步骤1:客户端U在每一次认证前都要产生一个随机数Ri 作为下面认证过程的会话密钥,用来屏蔽相关信息以防止泄密。为了保护客户ID,Seed信息,不传送明文,而改为发送他们的哈希函数值。
步骤2 :服务器端S在数据库中查找到ID对应的Seed,计算H(ID//Seed)⊕Ri⊕H(ID//Seed)= Ri 就可以得到随机数Ri,至此通过ID,Seed作为共享秘密由U和S协商了会话密钥Ri。为了不泄露机密信息,S发送Seq和Pi-1的加密形式,以防止被恶意攻击者窃听。
步骤3:客户端U通过计算Seq⊕Ri⊕Ri=Seq,和Pi-1⊕Ri⊕Ri= Pi-1,得到了当前序列号Seq=N-i和上次成功登录密码
PN-i
i-1以后,再计算第i次登录密码Pi=H(PW//Seed), 比较 H(Pi)和Pi-1,若相等则继续向服务器端发送加密形式的Pi;否则就中断认证过程。
步骤4: 服务器端S接受到客户端发来的登录密码加密的Pi后,计算Pi⊕Ri⊕Ri=Pi得到第i次登录密码Pi,再次计算H(Pi)并把它和自己保存的上次成功登录密码Pi-1进行比较,若相等则S向U发送登录成功消息,并用Pi替换Pi-1作为保留的值用于下一次认证,否则就中断认证过程,拒绝用户登录。3.3 改进S/KEY方案的安全性讨论
方案注册阶段在安全环境下进行,用户用USBkey 保存机密信息ID,Seed,可有效防止共享秘密信息泄漏,从而保证了会话密钥Ri的绝密性。共享秘密是确保本方案安全的基本条件之一。
在步骤(l)中,发送客户ID,Seed信息的散列值也杜绝了相关秘密的外泄。U和S通过共享秘密ID,Seed相互协商交换随机数Ri作为会话密钥,而下面认证过程的相互传递信息的机密性,都是依靠随机数Ri对传递的消息进行异或运算来防止非法窃听和篡改。
本方案还有一个确保安全性的基本条件,那就是用异或运算加密的安全性, 虽然MD5,SHA函数已被证明是不安全的[13], 而新方案采用异或运算方法对散列值值进行加密,Hash函数长度(例如MD5为128位, SHA为160位)足以保证攻击者不能通过穷举法破解有关机密信息[14]
。这里建议使用长
度更长更安全的Hash函数如SHA-224, SHA-256, SHA-384 和
SHA-512。
在步骤(2)中,S通过共享秘密解密h(ID//Seed)⊕Ri得到会话密钥Ri,使用Ri异或运算散列值Seq和Pi-1来加密,即使攻击者有进行猜测、穷举等攻击的可能,但是异或运算加密的时间很短,并且每次认证随机数都不同,因此,可以保证此过程中异或运算加密信息的安全性。
由于客户端用户用以产生OTP口令的秘密通行密语也就是真正的用户口令既不在网上传输,也不存储在服务器端及客户端的任何地方,只有使用者本人知道,因此即便在不安全的网络通信信道中秘密通行密语也不会被窃取,字典攻击、口令字猜测等常用的攻击手段对破解真正的用户口令都无能为力。OTP口令只使用一次,即使在网络传输过程中被捕获下一次也被不能被重复使用。这样一来攻击者既不能非法窃取相关客户的机密信息来构造出正确的OTP口令,又不能重放已经截获的信息来通过服务器认证,所以对于客户来说整个认证过程是安全的。
在步骤(3)中实现了客户端对服务器端的认证,因为只 有服务器端才保存有上次成功登录密码Pi-1。在步骤(4)中实现了服务器端对客户端的认证,只有客户端才能正确生成第i次登录密码PN-i
i=H(PW//Seed),因为只有客户端才知道秘密通行短语PW和种子Seed。本方案实现了客户端和服务器端的双向认证,可以抵抗来自客户端的假冒攻击和来自服务器端的假冒攻击,却不会使合法用户的合理要求得不到满足,也就是说本方案可以防止拒绝访问攻击和中间人攻击。
由于在认证的过程中客户端的机密信息:用户名ID,种子Seed,当前序列号Seq=N-i都被加密,攻击者无法窃听,当然也就不能篡改Seq,冒充服务器向用户发送一个小很多的数值m进行小数攻击。另外攻击者窃取不到第i次有效的口令HN-i(PW//Seed),即使认证过程被破坏或服务器崩溃,系统重启后会直接恢复到认证破坏前的步骤(3),这时攻击者就也不能利用协议被破坏前窃取到的有效口令登录服务器,所以协议破坏攻击对本方案不可行。步骤(4)结束后服务器端完成了对客户端的身份认证。但是攻击可能设法劫取此连接以冒充合法用户访问服务器。这样攻击者就成功地冒充用户,达到了欺骗服务器的目的。所以在本方案中当合法用户登录完成后,服务器端会定期地向客户端发出质询(Challenge),而客户端必须作出相应的应答(Response)否则就会切断该用户的已有连接。服务端向客户端发送的质询和客户应答需要另外建立一条连接,不影响原连接的客户端与服务器的正常通信,这对用户而言是透明的[10]。
为了避免被动攻击(Passive Attack)[16],每个用户登录时,只能建立一条连接,这样就能防止其他用户监听到部分口令后发动多条连接猜测后续的口令。3.4 改进S/KEY方案的实现问题
在运行效率方面,本方案主要的计算是散列函数和异或运算,而利用公私钥加密算法实现OTP,或者在有限域上用离散对数实现OTP相比,无论是硬件资源需求还是在运算复杂度上都要简单。另外生成随机数Ri的工作移到客户端上执行,和质询/应答方案(Challenge/Response)相比减少了服务器的额外开销。
通过网络安全注册可以实现如下:首先客户下载服务器的公钥用来加密一个对称加密私钥K发送给服务器,由服务器用于加密发往客户端的机密信息如种子Seed等,而客户也可以通过服务器的公钥加密发往服务器的信息,当用户重新初始化系统也可以通过网络安全注册。
S/KEY方案当迭代值递减为0或秘密通行短语泄密后, 用户需要重新初始化系统,这是S/KEY方案最大的缺点,但是从安全维护的角度来说初始化系统,同时也是在检查系统是否发生异常,是否受到攻击,是否有机密信息泄露并做好防范措施,保证系统的安全。结束语
用户身份认证是网络中保证信息安全的重要前提,一次性口令协议是简单认证中一种具有较高安全性的一类协议。本文提出了一种新的S/KEY认证方案,克服了传统的S/KEY认证的安全缺陷,有效地保护了用户身份机密信息,实现了客户端和服务端双向认证。改进协议能够较好地抵御
小数攻击、假冒攻击、协议破坏攻击等恶意破坏,实现了分布式系统的安全认证和持续用户认证,提高了S/KEY系统的安全性,并且没有增加认证服务器的计算负载。
改进S/KEY方案相对于强制认证的PKI等而言,具有实现简单、使用方便的特点,所以在很多场合都有推广意义,例如硬件资源少,运算能力有限的移动设备的远程身份认证。本方案还可以集成到其他安全解决方案中,如智能卡,指纹识别等以提高应用系统的安全防护能力。
参考文献
[1] Haller N.A one-time password system[S],(RFC2289),1998
[2] Mudge.Vulnerabilities in the S /KEY one time password system[EB/OL].http://www.xiexiebang.com
第四篇:数学与统计学院迎新方案
周口师范学院数学与统计学院
二 零 * * 级 新 生 接 待 方 案
**年数学与统计学院迎新生策划书
活动目的:在**级新生即将来临之际,根据学校关于迎新工作的相关要求,为切实落实我院迎新工作部署,展示我校良好精神风貌,确保新生顺利报到入学,一入大学就能体会到我院全体师生的温暖关怀,同时要让新生安心,让家长宽心,让学校放心,特制定**级新生迎新方案。
活动主题:“迎新生,创和谐。” 活动时间:**年9月6、7、8日
活动地点:数学与统计学院迎新大本营 学校大门口 新生宿舍 活动人员:院团总支、学生会、**级、**级全体学生干部及**级志愿者 活动对象:数学与统计学院**级全体新生及家长 活动具体开展
(一)前期准备
1、志愿者招募:由**级各班班长组织本班至少30名同学,20**级储备志愿者,9月6日之前人员名单确定。
2、迎新物品准备:
A、报到单、流程图(版面)、校园卡(宣传单)、新生名单、基本情况登记表、新生注册表、档案袋三个
B、桌子6张、凳子30个、三轮车4架、电脑2台、扩音器2个、扑克牌2副
C、帐篷3个、横幅2条、宣传板4个、指示牌2个、院旗、工作证50 D、一次性杯子若干、桶装水、签字笔、油性笔、纸、胶带等
(二)数学与统计学院迎新工作小组: 迎新秘书组:
1、负责迎新物品的购买、印制、调配和保管
2、负责解答新生及家长的疑问
3、负责迎新过程中相关问题的处理与协调,机动人员的调配
4、负责相关材料的收集、整理、宣传报道等
5、工作地点:大本营 大本营接待组:
1、负责新生入学手续的办理(工作内容包括:收取新生的通知书、准考证、照片,初审学生入学资格;填写新生基本情况登记表、报到注册表等相关表格,录入新生信息)
2、所需物品:笔、纸、相关空白表格、电脑、网卡、扫描器、新生一卡通
3、工作地点:大本营 校门口接待组:
1、负责将校车上数学与统计学院的新生迎接至大本营
2、所需物品:院牌、扩音器
3、工作地点:校门口 行李运输组:
1、负责将校门口的新生行李运送到大本营
2、负责将办好手续的新生的行李从大本营运送至学生宿舍
3、所需物品:三轮车4辆,行李看管组:
1、负责看管、转接新生行李
2、负责安排新生家长休息
3、所需物品:扑克牌两幅 凳子若干
4、工作地点:大本营后面空地行李放置处
(三)工作人员安排如下:
1、总负责人:院党总支副书记: 辅导员: 具体负责:
2、各组人员调配: 秘书组:
第一组 组长:
组员:学生会、**、**级学生干部四名 第二组:
组长:
组员:学生会、**、**级学生干部四名 大本营接待组:
第一组:组长:
组员:学生会、**、**级学生干部及志愿者三十名(以女生为主)第二组:组长:
组员:学生会、**、**级学生干部及志愿者三十名(以女生为主)校门口接待组:
第一组:组长:
组员:学生会、**、**级学生干部及志愿者十名 第二组:组长:
组员:学生会、**、**级学生干部及志愿者十名 行李运输组:
第一组:组长:
组员:学生会、**、**级学生干部及志愿者三十名(以男生为主)第二组:组长:
组员:学生会、**、**级学生干部及志愿者三十名(以男生为主)行李看管组:
第一组:组长:
组员:学生会、**、**级学生干部及志愿者四名 第二组:组长:
组员:学生会、**、**级学生干部及志愿者四名
备注:
1、第一组工作时间:9月6日上午、9月8日下午
第二组工作时间:9月6日下午、9月8日上午
9月6日上午1、2节,**级主要学生干部、**级统计班志愿者 9月6日上午3、4节,**级、**级各班班长、团支书 9月6日下午,**级统计班志愿者
2、各组组长要各负其责、尽心尽力,热烈欢迎不在排班时间的同学到场帮忙
3、迎新期间实行签到制,工作时间为6:30到19:00,分两班制7:00-13:00、13:30-19:00,半个小时的交接时间,工作人员早上6:40及中午14:00在大本营签到。同时,要求负责上午迎新的班级需在七点之前把迎新所需的物品都提前搬到大本营处并摆放好,负责下午迎新的班级需在下午收摊的时候把所有东西再搬回数学与统计学院储物室。
4、若非重要紧急事情,不允许请假,若请假需找一个志愿者代替自己工作。
5、工作人员要求:热情有礼、认真负责、耐心仔细。
(四)数学与统计学院迎新志愿者须知
一、志愿者工作时间:**年9月6日——**年9月8日
二、志愿者注意事项:
1、志愿者在未接待新生及家长时应当尽量集中做好随时接待学生及家长的准备。志愿者应当了解数学与统计学院新生所要居住的各个宿舍楼所在地。(得到通知后另行补充)
2、志愿者应当清楚新生入学手续的流程以及每一程序办理的地点和注意事项,确保新生能够顺利完成各项手续。
3、对学校的情况有大致的了解,能够向家长和到校新生介绍学校的基本情况,及时主动地为新生解答疑惑、解决困难。
4、志愿者在工作过程中,应当讲礼仪、重形象、服务热情、处事周到、有责任心、不怕吃苦、勇于展现自己、有强烈的集体荣誉感,能够善始善终,树立我院学生的良好形象。通过与新生交流,了解新生对我院的各种意见或建议,并及时向团总支学生会反映情况。
5、在迎接新生过程中,禁止向新生推销任何物品,提醒新生慎重购买各类物品,避免他们上当受骗。
(五)院领导及相关负责人联院方式
党总支副书记 电话: 2010级辅导员 20**级辅导员 20**级辅导员 **级辅导员 **级辅导员
(六)迎新工作人员联系方式
第五篇:陕西与丝路经济带沿线省区协作发展锲入点探究
陕西与丝路经济带沿线省区协作发展锲入点探究
----陕西调查(第56期 总第405期)
2015/12/9 16:33:00
原标题:科学定位 加强协作 实现共赢
----陕西与丝路经济带沿线省区协作发展锲入点探究
编者按:本报告为2015年陕西调查总队重点专题分析研究项目。
本文立足陕西,着眼西北,通过对丝路经济带沿线省区一路一带战略实施情况的调研和反思,深刻分析了陕西在丝绸之路经济带上的优势地位,探讨了沿线省区联合开发建设丝绸之路的现状和问题,旨在探索陕西与丝路经济带沿线省区协作发展的锲入点。
两年前,总书记站在全球发展的战略高度,提出了共同建设丝绸之路经济带和海上丝绸之路的伟大构想。这一战略的实施,将对陕西经济社会发展带来千载难逢的历史机遇,为陕西插上腾飞的翅膀,古老的丝绸之路将焕发新的生机和活力,在中华民族圆梦之旅的历史上写下浓墨重彩的一笔。本文从立足陕西,着眼西北,通过丝路经济带沿线省区一路一带战略实施情况的调研和反思,旨在探索陕西与丝路经济带沿线省区协作发展的锲入点。
一、“一带一路”战略出台背景
历史上,陆上丝绸之路和海上丝绸之路是我国同中亚、东南亚、南亚、西亚、东非、欧洲经贸和文化交流的大通道。张骞出使西域的创举,开辟了古代陆上丝绸之路,中国的丝绸作为最重要的载体,将中国和世界各国联系在一起,对世界各国经济社会文化的发展产生了极大的影响,有力地促进了中国和亚欧各国间政治、经济的往来和文化交流。
2008年由美国引发的次贷危机爆发以来,世界政治经济格局发生复杂深刻的变化,各国经济增速都有所放缓,一些国家经济陷入低谷,世界经济复苏势头孱弱,国际投资贸易格局和多边投资贸易规则酝酿深刻调整。面对世界经济的复杂形势和全球性经济衰退,中国经济也经历了诸多挑战,4万亿投资政策的实施确保了经济增长,但也衍生了一系列的负面效应。政府消费降温的格局逐步显现,作为拉动国民经济增长三驾马车的消费、投资和出口均出现不同程度的回落,产能过剩、国内消费乏力,出口低迷。劳动力红利逐步消失,内生增长动力不足,经济结构转型升级困难。在经济由过去30年的高速发展调整为转型、优化、提质增效的“新常态”发展模式下,如何避免落入中等收入陷阱,如何发展城市化等各种难题集中呈现在我们面前。鉴于此,2013年9月和10月,国家主席习近平分别提出建设“新丝绸之路经济带”和“21世纪海上丝绸之路”的战略构想,随后上升为国家战略。这拓展了我国和平发展的道路,有利于我国战略机遇期的保持与维护,保障中国和平发展的基础条件,加强我国与沿线国家和地区全方位、多层次互促互惠合作,有利于扩大欧亚地区市场规模和激活发展潜力,推动区域的大合作、大交流、大发展,造福各国人民,提升中国及亚太地区的国际影响力和话语权。
“一带一路”战略是对古代丝绸之路的传承和提升,获得了世界各国广泛认同,得到了全世界的支持和响应,通过国际间更紧密的合作互通,共同走出经济衰退的危险,促进共同繁荣,必将迎来全面发展新格局。
二、陕西在丝绸之路经济带上的优势地位
丝绸之路经济带战略,主要以政策沟通、设施联通、贸易畅通、资金融通、民心相通为主要内容。国家战略中希望通过新的亚欧大陆桥,向西通过新疆连接哈萨克及其中亚、西亚、中东欧等国家,依托国际大通道,以重点经贸产业园区为合作平台,共同打造若干国际经济合作走廊,打造丝绸之路经济带核心区。陕西作为古代丝绸之路起点、新亚欧路桥经济带的重要省份,向西开放的前沿位置和重要节点,建设内陆改革开放新高地等名片,使得陕西处于特殊的优势地位。丝绸之路公认的起点在西安,特别是在汉唐时期,古长安拥有辐射四方发达的交通系统,是丝绸之路东西方经贸往来的集散中心,也是当时中外经贸往来最为频繁的地区,在国家发展布局中的地位更加凸显。陕西面临着百年不遇的全面提升对外开放水平,经济转型升级、借力重振的机遇。
1、基础设施有比较优势,战略地位非常重要
作为中长期战略,基础设施互联互通是优先建设的领域。根据战略实施步骤,铁路、公路、港口、航运、航空、能源管网、电信设施等领域率先迎来发展机遇。陕西为迎合这一发展机遇,充分利用本省承东启西、连接南北的独特区位优势,把基础设施互联互通作为优先领域,建设通江达海、陆空联运、无缝衔接的对外开放大通道,加快建设“陆空数字”三条路,高速公路新增里程约1800公里,铁路新增里程约600公里,新增4条国际航线,西安国际港务区与霍尔果斯、阿拉山口和二连浩特等口岸建立了直通放行合作机制,西安港成为国家一类临时口岸。西安跨境贸易电子服务试点顺利进行,电商平台正式上线。商务西咸空港保税物流中心获批,丝绸之路经济带海关区域通关化改革取得新进展。借此,西安将发挥区位优势,着力打造交通物流中心。这些措施加快形成便捷高效的立体化综合交通运输网络,为陕西占得沿线省区的先机。
2、旅游品牌认同感较强,丝路文化优势凸显
陕西是中国文化的源头和世界文明的交流中心,与中亚文化亲缘,民俗相近。西安是四大文明古国之一,古丝绸之路起点,世界认同度高,有其得天独厚的优势。古代丝绸之路申遗成功,丝绸之路现存文化遗迹48个,陕西遗产点多达12处;在西安成立的丝绸之路研究院、丝绸之路经济带研究院、丝绸之路新大学联盟,能够更好发挥陕西历史文化优势;组建陕西丝绸之路国际文化贸易中心,举办国际文化节等,构建以西安为起点的丝绸之路旅游走廊等措施,为积极争取国家在陕建设中国文化中心打下坚实基础。陕西已在如何发挥历史文化优势,增加丝绸之路沿线国家对中华文化的认同感,充分利用、打好文化旅游这张牌,在推动与国际间的文化交流的前提下,更好开展经济领域的合作方面,做了大量尝试。
3、经济与沿线国家契合度深,合作开发前景广
在丝绸之路经济带中,中亚、西亚、东欧地区是主体构成地带,虽然其经济较为落后,但资源却丰富多样化,与我省经济互补性较强,所需的经贸合作与陕西许多优势行业契合度较深,合作潜力和空间较大,尤其在基础设施、物流运输、信息化技术、装备制造、能源开采、信息化技术、食品轻工、旱地农业等方面合作空间十分广阔。陕西的煤炭、石油和天然气开采,石油加工、炼焦及核燃料加工业,原油加工及石油制品制造,电力、热力的生产和供应业等与能源类相关的行业发展基础较好;医药制造业,汽车制造、航空航天器制造业,通信设备、计算机及其他电子设备制造业等行业发展的势头非常强劲。
陕西的相关企业,已经通过产业优势主动出击,加快培育参与和引领国际经济合作竞争,提升产业合作层次,取得较好成效。通过加强与中亚、西亚、俄罗斯等能源资源合作,加大煤炭、石油、天然气以及太阳能、风能等能源领域的合作开发力度;结合产业结构调整,电子信息、通信等高技术企业到丝绸之路沿线国家投资兴业;轻工纺织、食品加工、农业技术等企业到劳动力富集、靠近目标市场的国家扩大生产经营;钢铁、水泥等企业到资源富集、市场需求大的国家建设生产基地,释放富余产能。
4.装备制造业发展势头好,高端产品竞争能力强
在陕西第一大支柱产业——能源产业增速放缓的大背景下,陕西装备制造业的产业却逆势飞扬,2014年陕西装备制造业企业达1073家,工业总产值为352.48亿元,占到全省工业总产值的17.6%。特别是以技术创新为驱动,按照高技术含量、高附加值、高市场占有率的要求培育发展的高端装备制造业,自主创新能力明显提升,产业组织结构进一步优化,发展规模进一步扩大。航空航天、汽车、输配电设备、轨道交通、石油机械、机床工具、冶金煤炭重型装备等行业技术优势突出,掌握了一批核心技术,拥有了一批“三高”的“世界知名、国内领先”的优势产品。
在西飞公司、西航公司、航天四院、西电集团、秦川机床工具集团、宝石机械、宝石钢管、陕鼓集团、中国重型机械研究院、西安重工装备集团、中铁宝桥等一批龙头企业的带动下,陕西装备制造企业重视创新转型,改变经营理念,利用商业模式转变带来经营内涵和外延的变化,从单一的产品提供者,成为集工程设计、技术研发、设备制造、系统集成和增值服务为一体的集成服务提供商,加大了陕西高端装备制造业的对外竞争能力。
三、沿线省区联合开发建设丝绸之路现状和问题
中国大西北和中亚地区是丝绸之路经济带的紧密地带,陕西、甘肃、青海、新疆、宁夏位于古丝绸之路沿线,自古以来就是我国联系外界的重要纽带,其在文化、资源、风土、人情等方面具有天然共性,在基础设施、科技教育、金融服务、旅游、电子信息产业、设备制造、农作物、畜牧业、蔬果能源开发、日用品消费等方面合作前景很大。西北五省区加强合作,有利于助推内陆沿边地区从对外开放的边缘迈向前沿,破除开放不足的瓶颈制约,增强西北地区经济发展实力和综合竞争力。
现阶段丝绸之路经济带建设沿线省区虽然有一定沟通和尝试,但基本上处在各自为战阶段。每个省区都制定本地区发展规划体系,许多规划的提出基本上是立足于当地的发展需要,都在尽快抢夺发展制高点,谋划推进重大项目建设和投资,却忽略了省区之间联系沟通,省际之间错位发展意识较弱,同质化竞争非常严重。各省区产业优势也未能充分发挥,很大程度上限制了向西开放的速度和规模。
1、部分省区战略定位相同,建设目标雷同
各省自我定位有许多重复之处,仅经济带的起点称谓就有陕西、重庆、河南争抢:陕西提出打造丝绸之路经济带新起点,重庆呼吁国务院将其定位为丝绸之路经济带的起点,河南认为新丝绸之路经济带的起点放在郑州。
显然,由于缺乏对中亚及周边地区政治环境与市场实际的精准研判和科学定位,丝绸之路沿线省区选择了近乎雷同的功能定位和产业布局。譬如:西北五省区政府都提出建设能源中心和金融中心,并将落实措施集中为设立自贸区、保税区、论坛永久会址等,有同质化竞争倾向。就能源产业发展而言目标雷同,新疆提出加快建设国家大型油气生产加工和储备基地、大型煤炭煤电煤化工基地,陕西也提出利用经济带建设国家高端能源化工基地。
2、企业投资缺乏理性认识,无序同质化竞争严重
中亚五国资源丰富,低端到中高端产业都很缺乏,从理论上讲是中国剩余产能理想的输出国。但由于中亚人口稀少,需求和消费水平有限,加之技术落后、科技教育不发达、思想观念陈旧、政治、商业腐败比较严重,官员往往视外国投资企业尤其是中国企业为“唐僧肉”,投资环境相对恶劣。丝路沿线省份的一些企业,对中亚投资环境缺乏科学调查和判断,盲目激进投资,导致企业在外建设时,投资浪费、竞相消价、互相拆台,水土不服导致投资失败的情况时有发生。宝鸡法门寺水泥厂在塔吉克斯坦投资,年产30万吨,能满足塔国的一年需求,企业利润丰厚。但是赚钱效应吸引国内水泥企业涌入,其中一家的产能就达到了年产120万吨,远远超出了该国的总需求量,由于水泥是具有销售半径的特殊产品,本来良性运作的投资项目全线溃败。
3、缺乏有效平台和载体,实施措施效果欠佳
丝绸之路经济带战略提出至今,沿线各省区政府通过“请进来”和“走出去”推动经济带建设,举办了多场面向欧亚地区政商学界对话交流的论坛和会议、组团去中亚和中东等地区经贸考察和洽谈,但在推动经济带建设中实际作用甚微。新疆、甘肃、宁夏等省区虽举办了丝绸之路经济带国际论坛、亚欧博览会、中国-中亚合作对话等专题论坛,但论坛在形式和内容上重复,影响力和实际效果不显著,很多议题在会后很难转化为具体行动方案。论坛内容与区域发展、地方主导产业与国家战略的对接上不是很紧密,论坛所产出的社会效果和经济效果十分有限,缺乏有效平台和载体,历届论坛签约项目不少,但能落地的却寥寥无几。
四、加强丝绸之路经济带沿线省区合作的建议
如果把丝绸之路经济带建设定义为一条龙的腾飞,陕西的定位应该是龙头位置。为利于国家整体方针政策的执行,陕西必须强化引领意识,高度重视省际之间联动,主动联系、有意识的加强省际之间合作交流互动。要充分认识甘肃的“金腰带”价值、宁夏和青海的重要支点作用、新疆的核心区优势,积极协调各省区之间的分工与协作,强化互补联动,从沿线省区资源禀赋、产业特点、发展趋势出发,寻找产业发展的契合点和共振点。抓住锲入点,在整合力量的基础上,积极扩大合作,发挥各省、区不同优势,攥紧拳头,共同发力,实现共赢。
1、尽快建立省际联动机制,共谋发展
垂直与横向结合,由中央层面牵头,充分发挥统揽全局、协调各方的领导核心作用。成立丝绸之路经济带沿线省区协调联动小组,可将具体商讨事宜落实在各省、区发改委,在大的规划上互通, 出台联动机制备忘书,总体设计、统筹协调、整体推进、督促落实,提升整体竞争力;国家各部委下达的任务要通过不同部门及时与沿线省区相对应部门之间沟通,清除壁垒,提高资源配置效率,完善联动机制、促进市场深度融合,共同开发。
2、加强企业之间联系,深化区域经济合作
陕西有关部门应牵头定期组织各省区所属商会、异地商会、民营企业的学习交流活动,研究新时期发展区域经济合作的政策措施,深入推进贸易投资便利化,促进交流与合作,推动区域内互联互通,在资源、信息、管理、人才等方面实现互惠合作,共推“丝绸之路经济带”建设;轮流组织民营企业与“一带一路”沿线国家进行产业对接,共同参加各国商品展会及经贸洽谈会等,在明确各地功能定位的基础上突破行政区域限制,合力打造交通、物流、通信等基础设施,建立跨区域经济合作区,避免建设的无序混乱,推进共同发展,促进共同繁荣。
3、创建研究信息数据互联网交流平台,实现资源共享
要主动与沿线各省区建立政府间合作,商讨建设国家丝绸之路战略研究平台。按照“共建、共商、共享”的原则,立足国际化战略高度,为丝绸之路经济带建设开展前瞻性、全局性、战略性研究,为各建设主体提供全方位的服务,为决策主体提供智力支持;打造信息资源和应用共享的服务中心,建立对企业和个人开放的交流平台。以政府统计为依托,完善现有统计调查网络和平台,充分利用网络大数据和统计数据,集中整理、对外发布产业布局、市场环境、法律法规等相关信息,使沿线省区、内陆企业了解经济全球化新形势,了解不同国家经济、政治、人文情况和不同行业的需求,提供更大的平台和视野,使企业在竞争中处于有利地位,游刃有余。尽快形成政府引导为辅,企业自主投资、经营、公平竞争,商品和要素自由流动的新局面,为建设统一开放、竞争有序的市场体系做支撑。
4、传承历史文化,整合、建设文化旅游资源
文化交融和旅游联动是带动经济交流的先行者。要以丝绸之路跨国联合申遗成功为契机,与沿线省区、国家共同开展文物保护与考古研究,合作举办艺术节、电影节等活动,引导和动员民间力量开展丰富多彩的文化交流;建立专项基金,扶持沿线省区艺术家合作,创作以丝绸之路为主题的文化艺术精品,培育一批跨区具有世界影响力的文化品牌;整合旅游资源,寻找丝绸之路经济带沿线旅游资源的差异性和相关性,打破省区行政区划和旅游景区的地域限制,在更广阔的空间对沿线的旅游资源进行整体规划;与沿线省区、国家签署旅游合作联盟协议,建设以西安为起点的丝绸之路风情体验旅游走廊,联手打造国际精品旅游线路和旅游产品。
签发:孙法臣
核稿:孙卫南
点击咨询 