第一篇:基于802.1x认证技术的应用分析
基于802.1x认证技术的应用分析
一、引言
802.1x协议起源于802.11协议,后者是IEEE的无线局域网协议,制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。IEEE802LAN协议定义的局域网并不提供接入认证,只要用户能接入局域网控制设备(如LANS witch),就可以访问局域网中的设备或资源。这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。
随着移动办公及驻地网运营等应用的大规模发展,服务提供者需要对用户的接入进行控制和配置。尤其是WLAN的应用和LAN接入在电信网上大规模开展,有必要对端口加以控制以实现用户级的接入控制,802.lx就是IEEE为了解决基于端口的接入控制(Port-Based Network Access Contro1)而定义的一个标准。
二、802.1x认证体系
802.1x是一种基于端口的认证协议,是一种对用户进行认证的方法和策略。端口可以是一个物理端口,也可以是一个逻辑端口(如VLAN)。对于无线局域网来说,一个端口就是一个信道。802.1x认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持“关闭”,即只允许802.1x的认证协议报文通过。
802.1x的体系结构如图1所示。它的体系结构中包括三个部分,即请求者系统、认证系统和认证服务器系统三部分:
图1 802.1x认证的体系结构
1.请求者系统
请求者是位于局域网链路一端的实体,由连接到该链路另一端的认证系统对其进行认证。请求者通常是支持802.1x认证的用户终端设备,用户通过启动客户端软件发起802.lx认证,后文的认证请求者和客户端二者表达相同含义。
2.认证系统
认证系统对连接到链路对端的认证请求者进行认证。认证系统通常为支持802.lx协议的网络设备,它为请求者提供服务端口,该端口可以是物理端口也可以是逻辑端口,一般在用户接入设备(如LAN Switch和AP)上实现802.1x认证。后文的认证系统、认证点和接入设备三者表达相同含义。
3.认证服务器系统
认证服务器是为认证系统提供认证服务的实体,建议使用RADIUS服务器来实现认证服务器的认证和授权功能。
请求者和认证系统之间运行802.1x定义的EAPO(Extensible Authentication Protocolover LAN)协议。当认证系统工作于中继方式时,认证系统与认证服务器之间也运行EAP协议,EAP帧中封装认证数据,将该协议承载在其它高层次协议中(如RADIUS),以便穿越复杂的网络到达认证服务器;当认证系统工作于终结方式时,认证系统终结EAPoL消息,并转换为其它认证协议(如RADIUS),传递用户认证信息给认证服务器系统。
认证系统每个物理端口内部包含有受控端口和非受控端口。非受控端口始终处于双向连通状态,主要用来传递EAPoL协议帧,可随时保证接收认证请求者发出的EAPoL认证报文;受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。
三、802.1x认证流程
基于802.1x的认证系统在客户端和认证系统之间使用EAPOL格式封装EAP协议传送认证信息,认证系统与认证服务器之间通过RADIUS协议传送认证信息。由于EAP协议的可扩展性,基于EAP协议的认证系统可以使用多种不同的认证算法,如EAP-MD5,EAP-TLS,EAP-SIM,EAP-TTLS以及EAP-AKA等认证方法。
以EAP-MD5为例,描述802.1x的认证流程。EAP-MD5是一种单向认证机制,可以完成网络对用户的认证,但认证过程不支持加密密钥的生成。基于EAP-MD5的802.1x认证系统功能实体协议栈如图2所示。基于EAP-MD5的802.1x认证流程如图3所示,认证流程包括以下步骤:
图2 基于EAP-MD5的802.1x认证系统功能实体协议栈
点击查看大图
图3 基于EAP-MD5的802.1x认证流程
(1)客户端向接入设备发送一个EAPoL-Start报文,开始802.1x认证接入;
(2)接入设备向客户端发送EAP-Request/Identity报文,要求客户端将用户名送上来;
(3)客户端回应一个EAP-Response/Identity给接入设备的请求,其中包括用户名;
(4)接入设备将EAP-Response/Identity报文封装到RADIUS Access-Request报文中,发送给认证服务器;
(5)认证服务器产生一个Challenge,通过接入设备将RADIUS Access-Challenge报文发送给客户端,其中包含有EAP-Request/MD5-Challenge;
(6)接入设备通过EAP-Request/MD5-Challenge发送给客户端,要求客户端进行认证;
(7)客户端收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-Word,在EAP-Response/MD5-Challenge回应给接入设备;
(8)接入设备将Challenge,Challenged Password和用户名一起送到RADIUS服务器,由RADIUS服务器进行认证:
(9)RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功/失败报文到接入设备。如果成功,携带协商参数,以及用户的相关业务属性给用户授权。如果认证失败,则流程到此结束;
(10)如果认证通过,用户通过标准的DHCP协议(可以是DHCP Relay),通过接入设备获取规划的IP地址;
(11)如果认证通过,接入设备发起计费开始请求给RADIUS用户认证服务器;
(12)RADIUS用户认证服务器回应计费开始请求报文。用户上线完毕。
四、802.1x认证组网应用
按照不同的组网方式,802.1x认证可以采用集中式组网(汇聚层设备集中认证)、分布式组网(接入层设备分布认证)和本地认证组网。不同的组网方式下,802.1x认证系统实现的网络位置有所不同。
1.802.1x集中式组网(汇聚层设备集中认证)
802.1x集中式组网方式是将802.1x认证系统端放到网络位置较高的LAN Switch设备上,这些LAN Switch为汇聚层设备。其下挂的网络位置较低的LAN Switch只将认证报文透传给作为802.lx认证系统端的网络位置较高的LAN Switch设备,集中在该设备上进行802.1x认证处理。这种组网方式的优点在于802.1x采用集中管理方式,降低了管理和维护成本。汇聚层设备集中认证如图4所示。
图4 802.1x集中式组网(汇聚层设备集中认证)
2.802.1x分布式组网(接入层设备分布认证)
802.1x分布式组网是把802.lx认证系统端放在网络位置较低的多个LAN Switch设备上,这些LAN Switch作为接入层边缘设备。认证报文送给边缘设备,进行802.1x认证处理。这种组网方式的优点在于,它采用中/高端设备与低端设备认证相结合的方式,可满足复杂网络环境的认证。认证任务分配到众多的设备上,减轻了中心设备的负荷。接入层设备分布认证如图5所示。
图5 802.1x分布式组网(接入层设备分布认证)
802.lx分布式组网方式非常适用于受控组播等特性的应用,建议采用分布式组网对受控组播业务进行认证。如果采用集中式组网将受控组播认证设备端放在汇聚设备上,从组播服务器下行的流在到达汇聚设备之后,由于认证系统还下挂接入层设备,将无法区分最终用户,若打开该受控端口,则汇聚层端口以下的所有用户都能够访问到受控组播消息源。反之,如果采用分布式组网,则从组播服务器来的组播流到达接入层认证系统,可以实现组播成员的精确粒度控制。
3.802.1x本地认证组网
802.1x的AAA认证可以在本地进行,而不用到远端认证服务器上去认证。这种本地认证的组网方式在专线用户或小规模应用环境中非常适用。它的优点在于节约成本,不需要单独购置昂贵的服务器,但随着用户数目的增加,还需要由本地认证向RADIUS认证迁移。
五、结束语
802.1x认证系统提供了一种用户接入认证的手段,它仅关注端口的打开与关闭。对于合法用户(根据账号和密码)接入时,该端口打开,而对于非法用户接入或没有用户接入时,则使端口处于关闭状态。认证的结果在于端口状态的改变,而不涉及其它认证技术所考虑的IP地址协商和分配问题,是各种认证技术中最为简化的实现方案。
必须注意到802.1x认证技术的操作颗粒度为端口,合法用户接入端口之后,端口始终处于打开状态,此时其它用户(合法或非法)通过该端口接入时,不需认证即可访问网络资源。对于无线局域网接入而言,认证之后建立起来的信道(端口)被独占,不存在其它用户非法使用的问题。但如果802.lx认证技术应用于宽带IP城域网,就存在端口打开之后,其它用户(合法或非法)可自由接入且难以控制的问题。因此,在提出可运营、可管理要求的宽带IP城域网中如何使用该认证技术,还需要谨慎分析所适用的场合,并考虑与其它信息绑定组合认证的可能性。
802.1x EAP认证过程
1.当用户有上网需求时打开802.1X客户端程序,输入用户名和口令,发起连接请求。此时客户端程序将发出请求认证的报文给交换机,启动一次认证过程。
如下:
Frame 90(64 bytes on wire, 64 bytes captured)
Arrival Time: Nov 27, 2006 16:27:33.446030000
Time delta from previous packet: 3.105345000 seconds
Time since reference or first frame: 5.082965000 seconds
Frame Number: 90
Packet Length: 64 bytes
Capture Length: 64 bytes Ethernet II, Src: 00:e0:4c:d7:65:cd, Dst: 01:80:c2:00:00:03
Destination: 01:80:c2:00:00:03(Spanning-tree-(for-bridges)_03)
Source: 00:e0:4c:d7:65:cd(RealtekS_d7:65:cd)
Type: 802.1X Authentication(0x888e)
Trailer: A5A5A5A5A5A5A5A5A5A5A5A5A5A5A5A5...Frame check sequence: 0xa5a5a5a5(incorrect, should be 0xcc6d5b40)
802.1x Authentication
Version: 1
Type: Start(1)
Length: 0
2.交换机在收到请求认证的数据帧后,将发出一个EAP-Request/Identitybaowe请求帧要求客户端程序发送用户输入的用户名。
Frame 91(64 bytes on wire, 64 bytes captured)
Arrival Time: Nov 27, 2006 16:27:33.447236000
Time delta from previous packet: 0.001206000 seconds
Time since reference or first frame: 5.084171000 seconds
Frame Number: 91
Packet Length: 64 bytes
Capture Length: 64 bytes Ethernet II, Src: 00:03:0f:01:3a:5a, Dst: 00:e0:4c:d7:65:cd
Destination: 00:e0:4c:d7:65:cd(RealtekS_d7:65:cd)
Source: 00:03:0f:01:3a:5a(DigitalC_01:3a:5a)
Type: 802.1X Authentication(0x888e)
Trailer: A5A5A5A5A5A5A5A5A5A5A5A5A5A5A5A5...Frame check sequence: 0xa5a5a5a5(incorrect, should be 0x7d263869)
802.1x Authentication
Version: 1
Type: EAP Packet(0)
Length: 5
Extensible Authentication Protocol
Code: Request(1)
Id: 1
Length: 5
Type: Identity [RFC3748](1)
3.客户端程序响应交换机的请求,将包含用户名信息的一个EAP-Response/Identity送给交换机,交换机将客户端送来的数据帧经过封包处理后生成RADIUS Access-Request报文
送给认证服务器进行处理。
Frame 148(77 bytes on wire, 77 bytes captured)
Arrival Time: Nov 27, 2006 16:27:36.446199000
Time delta from previous packet: 2.998963000 seconds
Time since reference or first frame: 8.083134000 seconds
Frame Number: 148
Packet Length: 77 bytes
Capture Length: 77 bytes Ethernet II, Src: 00:e0:4c:d7:65:cd, Dst: 01:80:c2:00:00:03
Destination: 01:80:c2:00:00:03(Spanning-tree-(for-bridges)_03)
Source: 00:e0:4c:d7:65:cd(RealtekS_d7:65:cd)
Type: 802.1X Authentication(0x888e)
802.1x Authentication
Version: 1
Type: EAP Packet(0)
Length: 59
Extensible Authentication Protocol
Code: Response(2)
Id: 1
Length: 13
Type: Identity [RFC3748](1)
Identity(8 bytes): 03051020
4.认证服务器收到交换机转发上来的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字Challenge对它进行加密处理(MD5),通过接入设备将RADIUS Access-Challenge报文发送给客户端,其中包含有
EAP-Request/MD5-Challenge。
Frame 154(64 bytes on wire, 64 bytes captured)
Arrival Time: Nov 27, 2006 16:27:36.567003000
Time delta from previous packet: 0.120804000 seconds
Time since reference or first frame: 8.203938000 seconds
Frame Number: 154
Packet Length: 64 bytes
Capture Length: 64 bytes Ethernet II, Src: 00:03:0f:01:3a:5a, Dst: 00:e0:4c:d7:65:cd
Destination: 00:e0:4c:d7:65:cd(RealtekS_d7:65:cd)
Source: 00:03:0f:01:3a:5a(DigitalC_01:3a:5a)
Type: 802.1X Authentication(0x888e)
Trailer: A5A5A5A5A5A5A5A5A5A5A5A5A5A5A5A5...Frame check sequence: 0xa5a5a5a5(incorrect, should be 0x4ec1ac73)
802.1x Authentication
Version: 1
Type: EAP Packet(0)
Length: 22
Extensible Authentication Protocol
Code: Request(1)
Id: 2
Length: 22
Type: MD5-Challenge [RFC3748](4)
Value-Size: 16
Value: 1CBFEE2149E38D2928DABB4772D285EB
5.客户端收到EAP-Request/MD5-Challenge报文后,用该加密字对口令部分进行加密处理(MD5)给交换机发送在EAP-Response/MD5-Challenge回应,交换机将Challenge,Challenged Password和用户名一起送到RADIUS 服务器进行认证。
Frame 199(94 bytes on wire, 94 bytes captured)
Arrival Time: Nov 27, 2006 16:27:39.446161000
Time delta from previous packet: 2.879158000 seconds
Time since reference or first frame: 11.083096000 seconds
Frame Number: 199
Packet Length: 94 bytes
Capture Length: 94 bytes Ethernet II, Src: 00:e0:4c:d7:65:cd, Dst: 01:80:c2:00:00:03
Destination: 01:80:c2:00:00:03(Spanning-tree-(for-bridges)_03)
Source: 00:e0:4c:d7:65:cd(RealtekS_d7:65:cd)
Type: 802.1X Authentication(0x888e)
802.1x Authentication
Version: 1
Type: EAP Packet(0)
Length: 76
Extensible Authentication Protocol
Code: Response(2)
Id: 2
Length: 30
Type: MD5-Challenge [RFC3748](4)
Value-Size: 16
Value: CBAC378ABB609123D2BB412840AEC614
Extra data(8 bytes): ***0
6.认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比,判断用户是否合法,然后回应认证成功/失败报文到接入设备。如果认证成功,则向交换机发出打开端口的指令,允许用户的业务流通过端口访问网络。否则,保持交换机端口的关闭状态,只允许认证信息数据通过。
Frame 205(243 bytes on wire, 243 bytes captured)
Arrival Time: Nov 27, 2006 16:27:39.632706000
Time delta from previous packet: 0.186545000 seconds
Time since reference or first frame: 11.269641000 seconds
Frame Number: 205
Packet Length: 243 bytes
Capture Length: 243 bytes Ethernet II, Src: 00:03:0f:01:3a:5a, Dst: 00:e0:4c:d7:65:cd
Destination: 00:e0:4c:d7:65:cd(RealtekS_d7:65:cd)
Source: 00:03:0f:01:3a:5a(DigitalC_01:3a:5a)
Type: 802.1X Authentication(0x888e)
802.1x Authentication
Version: 1
Type: EAP Packet(0)
Length: 225
Extensible Authentication Protocol
Code: Success(3)
Id: 0
Length: 4
第二篇:流式细胞仪分析技术及应用(课件)
流式细胞仪分析技术及应用-------温医细胞生物学技术
流式细胞仪分析技术及应用
第一节 概述
第二节 数据的显示与分析
第三节 流式细胞仪技术要求
一、工作原理
一、参数
一、免疫检测样品制备
二、散射光的测定
二、数据显示方式
二、免疫分析中常用的荧光染料与标记染色
三、荧光测量
三、设门分析技术
三、免疫胶乳颗粒的应用
四、细胞分选原理
四、流式细胞技术的质量控制
第四节 流式细胞仪技术的要求
第五节、流式细胞仪的科研应用
第六节
流式细胞术在临床检测中的主要应用 流式细胞术(flow cytometry, FCM)亦称荧光激活细胞分选器(fluorescence-activated cell sorting, FACS):是一种集激光技术、电子物理技术、光电测量技术、电子计算机以及细胞荧光化学技术、单克隆抗体技术为一体的新型高科技仪器。/是对于处在快速直线流动状态中的细胞或生物颗粒进行多参数、快速的定量分析和分选的技术。/广泛应用于基础研究和临床实践各个方面,包括细胞生物学、肿瘤学、血液学、免疫学、药理学、遗传学及临床检验学等。
流式细胞术发展史
1930年Caspersson和Thorell开始致力于细胞计数的研究
1934年Moldaven最早设想细胞检测自动化,用光电仪记录流过一根毛细管的细胞 1940年Coons提出结合荧光素的抗体去标记细胞内的特定蛋白 1949年Wallace Coulter申请了在悬液中计数粒子的方法的专利 1950年Caspersson用显微UV-VIS检测细胞
1953年Croslannd-Taylor应用分层鞘流原理,成功设计红细胞光学自动计数器 1969年Van Dilla及其同事在Los Alamos, NM发明第一台荧光检测细胞计 1972年Herzenberg研制出细胞分选器
1975年Kohler等提出单克隆抗体技术,为细胞研究提供大量的特异免疫试剂
目前国内主要流式细胞仪厂家:Beckton Dickinson(BD)公司;BACKMAN COULTER公司
流式细胞术的特点:最大的特点是能在保持细胞及细胞器或微粒的结构及功能不被破坏的状态下,通过荧光探针的协助,从分子水平上获取多种信号对细胞进行定量分析或纯化分选。细胞不被破坏,测量快速、大量、准确、灵敏、定量
主要特点 :1.单个细胞水平分析;2.多参数分析(同时多种荧光素标记)水平分析;3.灵敏度高;4.可分析大量细胞;5.速度快: 5000-10000个细胞/秒;6.统计学意义:提供细胞群体的均值和分布情况;7.分选感兴趣的细胞:血细胞、骨髓、组织培养细胞等。
第一节 概述
流式细胞仪是测量染色细胞标记物荧光强度的细胞分析仪,是在单个细胞分析和分选基础上发展起来的对细胞的物理或化学性质(如大小、内部结构、DNA、RNA、蛋白质、抗原等)进行快速测量并可分类收集的高技术。分为三大类:(1)类为台式机(临床型):仪器的光路调节系统固定,自动化程度高,操作简便,易学易掌握。(2)类为大型机(科研型)特点:分辨率高,可快速将所感兴趣的细胞分选出来,并可以将单个细胞或指定个数的细胞分选到特定的培养孔或培养板上,同时可选配多种波长和类型的激光器,适于更广泛更灵活的科学研究应用。(3)类为新型流式细胞仪:15 个参数同时分析。高速分选速度达到50,000 个/秒,并可进行遥控分选,能够满足多种科学研究的要求。流式细胞仪常检测的细胞特性 细胞组成 细胞功能
一、工作原理 大小
细胞表面/胞浆/核--特异性抗原
①采用激光作为激发光源,保证其具有更好的单色性与激发 粒度
细胞活性
效率;②利用荧光染料与单克隆抗体技术结合的标记技术,DNA, RNA含量
胞内细胞因子
保证检测的灵敏度和特异性;③用计算机系统对流动的单细 蛋白质含量
激素结合位点
胞悬液中单个细胞的多个参数信号进行数据处理分析,保证 钙离子, PH值, 膜电位 酶活性
了检测速度与统计分析精确性。概括为三个系统结构:(1)液流系统:由样本和鞘液组成。鞘液(PBS或生理盐水):主要作用是包裹样本流的周围,样品流在鞘液的环包下形成流体力学聚焦,包裹的细胞排列成单行,以每秒5000个-10000个细胞,每秒10米速度流动室喷出,保证每个细胞通过激光照射区的时间相等,从而得到准确的细胞荧光信息。鞘液在整个系统运行中流速是不变的。改变样本的进样速率开关,可提高采样分析的速度。
(2)光学系统:大多采用氩离子气体激光器。每个细胞所携带荧光物质被激发出的荧光信号强弱,与被照射 流式细胞仪分析技术及应用-------温医细胞生物学技术 的时间和激发光的强度有关,因此细胞必须达到足够的光照强度。激光光束在达到流动室前,先经过透镜形成光斑,这种椭圆形光斑激光能量分布属正态分布,为保证样品中细胞受到的光照强度一致。激光光束与细胞液流呈90°角方向照射,细胞产生散射光和荧光。
主要光学原件是滤光片,主要分成3 类:
1、长通滤片:(LP):LP500滤片允许500μm 以上光通过,而500μm 以下光吸收或返回。
2、短通滤片(SP):与长通滤片相反,如SP500 滤片允许500μm 以下光通过,500μm 以上光吸收或返回。
3、带通滤片(BP):带通滤片可允许相当窄的一波长范围内光通过,一般滤片上有两个数,一个为允许通过波长的中心值,另一为允许通过光的波段范围。如BP500 表示其允许通过波长范围为75μm-525μm。
(3)数据处理系统
流式细胞仪与显微镜的区别
区别
流式细胞仪
显微镜
光源
激光
自然光、灯光 对象
细胞、生物粒子
细胞、组织等 承载工具 鞘液及流动室
载玻片 检测信号 光学信号
形态及染色 放大方式 PMT、放大电路 目镜×物镜、光学放大 统计
计算机,>5000 人工,200 结果
多参数,综合分析 简单,单参数
二、散射光的测定
散射光信号不依赖任何样品的制备技术(如染色),因此称为细胞的物理参数。(波长与激光相同。)主要分为: ①前向散射光(0°散射)FSC:激光束照射细胞时,光以相对轴较小角度(0.5°~10°)向前方散射的讯号用于检测细胞等粒子的表面属性,信号强弱与细胞体积大小成正比。
②侧向散射光(90°散射)SSC:激光束照射细胞时,光以90°角散射的讯号,用于检测细胞内精细结构和颗粒属性,即细胞膜、胞质、核膜结构性质。
目前采用FSC(表示细胞大小)SSC(表示细胞内颗粒的复杂程度)这两个参数组合,检测FSC与SSC信号通过计算机处理,可得到FSC-SSC图,可区分裂解红细胞处理后外周血白细胞中淋巴细胞、单核细胞和中性粒细胞三个细胞群体,或在未进行裂解红细胞处理的全血样品中找出血小板和红细胞等细胞群体。
三、荧光信号(FL)测量
当激光光束与细胞正交时,一般产生两种荧光信号:
①一种是细胞自发荧光:细胞自身在激光照射下,发出微弱荧光信号;
②另一种是经过特异荧光素标记细胞后,受激发照射得到的荧光信号,由于 90o 方向的散射光信号较弱,容易分离出荧光信号,因此此方向上放置必要的光学元件(滤光片、双色分光镜等),可以获取荧光信号。
通过收集两种以上不同波长的荧光信号FL1、FL2进行检测和定量分析,就能了解所研究细胞参数的存在与定量,反映生物颗粒表面和内部的各种情况。
常配置的激光器波长为488nm。
633nm激光管常用染料有APC、APC-Cy
荧光信号的宽度(如FL2-W)常用来区分双联体细胞,由于DNA 样本极易聚集,当两个G1 期细胞粘连在一起时,其测量到的DNA 荧光信号(FL2-A)与G2M 期细胞相等,这样得到的测量数据G2M 期细胞比率会增高,影响测量准确性。通过设”门”(gate)方法,将双联体细胞排除。其原理是双联体细胞所得到的荧光宽度信号(FL2-W)要比单个G2M 细胞大,因此设”门”后才能得到真正的DNA 含量分布曲线和细胞周期。不过通过荧光强度的高度峰和面积峰也可做同样分析。
四、细胞分选原理(图示见上)
通过流式细胞仪进行细胞分选主要是在对具有某种特征的细胞需进一步培养和研究时进行的。快速精度分选纯度90%-99%,且细胞活性不受影响。
1、细胞分选时,液流在驱动力作用下断成高度均一的液滴。在喷嘴下几毫米处,液滴从液流断开。
2、从颗粒被检测到液滴断开的时间由Accudrop技术直接计算。
3、符合分选条件的颗粒一旦被检测到,包含该颗粒的液滴断开时,液滴被充电。断开后的液滴仍然带电,带电的液 流式细胞仪分析技术及应用-------温医细胞生物学技术
滴通过被充电的偏转板。受到静电吸引或排斥,带电液滴将向左或右偏转。未带电的液滴不偏转而流入废液槽。检测指标:阳性百分率、绝对计数、平均荧光强度
(二)FCM 分选指标
分选速度:单位时间内分选的细胞数量。与悬液中细胞的含量成正比。一般要求分选速度至少达5 000个/秒左右,以保证被分选细胞的生物学活性不受影响。
分选纯度:被分选出的细胞所占的百分比,分选纯度与仪器的精密度直接相关,与实验设计的选择密切相关,可达到99%。
分选收获率:实际收获的分选细胞与设定通过测量点的分选细胞之间的比率。与纯度成反比。
分选得率:从一群体细胞悬液中分辨出目的细胞的总量,再经分选后得到目的细胞的实际得率。与分选速度成反比。第二节 数据的显示与分析
常用数据显示方式:单参数直方图、双参数散点图、二维等高图、假三维等高图、三参数散点图、设门分析技术
目前FCM 数据存贮的方式:采用列表排队方式。目前FCM 所采用的都是多参数指标,荧光参数标记物如是4 个,采用list mode 方式可大量地节约内存和磁盘容量。当一个细胞被测4 个参数,那么获取10000 个细胞,所占容量为4×10000 个(字或双字)。同时当只检测1 个参数时(如DNA),可灵活的关闭其它3 个参数,节省3/4 的空间数据的显示通常有一维直方图、二维点图、等高线图、密度图等几种。
一、参数
FSC:反映颗粒的大小。SSC:反映颗粒的内部结构复杂程度。FL:反映颗粒被染上的荧光数量多少。
二、数据显示方式
(一)单参数直方图---------由一维参数(散射光或荧光)与颗粒计数(COUNT)构成,反映同样散射光或荧光强度的颗粒数量的多少。横坐标表示荧光信号或散射光信号相对强度(FSC、SSC、FL1、FL2)四个参数的任何一个值。其单位是信道,横坐标可以是线性的,也可以是对数的,纵坐标一般是细胞数。
(二)双参数直方图---------双参数直方图:纵轴和横轴分别代表被测量细胞的两个测量参数,根据这两个参数就可以确定细胞在图上的表达位置。双参数信号通常采用对数信号,最常用的是点密图,在图中,每个点代表一个细胞,点图利用颗粒密度反映同样散射光或荧光强度的颗粒数量的多少。常用的表达方法有二维点图,等高线图,二维密度图。在二维图中,任选FSC、SSC、FL1、FL2 中二个参数作为X 轴、Y轴,在二维图上每个点代表一个细胞,可以区分细胞性质不同的群体;X 坐标为该细胞一参数的相对含量,而Y 坐标为该细胞另一参数的含量。在双参数图形中可以将各细胞亚群区分开,同时可获得细胞相关的重要信息。
(三)二维等高图---------由类似地图上的等高线组成,其本质也是双参数直方图。等高图上每一条连续曲线上具有相同的细胞相对或绝对数,即“等高”。曲线层次越高(越里面的线)所代表的细胞数愈多。等高线越密集则表示细胞数变化率越大。
(四)三参数直方图---------在三维图中,任选FSC、SSC、FL1、FL2 中二个参数作为X 轴、Y轴,Z轴为细胞数,构成三维图。
(五)流式细胞仪的多参数分析---------多参数分析:当细胞标记了多色荧光,被激发光激发后,得到的荧光信号和散射光信号可根据需要进行组合分析。
三、设门分析技术
Gate设置:指在某一张选定参数的直方图上,根据该图的细胞群分布选定其中想要分析的特定细胞群,并要求该样本所有其他参数组合的直方图只体现这群细胞的分布情况。
FCM的分辨率:分辨率是衡量FCM测量精度的指标,通常用变异系数CV表示。一般要求CV<8,最好CV<3。第四节 流式细胞仪技术的要求
一、免疫检测样品制备
细胞样品制备要求:
1、单细胞悬液;
2、细胞最适密度0.5×106-1.5×106个/ml;
3、荧光染色后尽量洗净细胞外多余染料,减少荧光本底;
4、双染色时尽量选择发射光谱不接近的荧光色素,产生易区别的两种荧光颜色;
5、如果细胞分选后继续培养,细胞样品制备和上机应该无菌操作。外周血淋巴细胞样品的制备:分离单个核细胞
培养细胞的样品制备:蛋白酶消化-----机械吹打-----使贴壁细胞脱落-----洗涤-----尼龙网过滤 新鲜实体组织单细胞悬液的三种制备:
单细胞悬液的保存: 流式细胞仪分析技术及应用-------温医细胞生物学技术
机械法(金属网引起细胞破碎)
深低温保存法(一年)酶处理法(选择最适宜消化酶)
乙醇或甲醇保存法(2周)化学试剂处理法(导致细胞成活率降低)
甲醛或多聚甲醛保存法(2月)表面活性剂处理法 注意事项:
1、新鲜组织标本应及时进行处理保存;
2、根据实验目的选择最隹的固定方法;
3、酶学法要注意条件的选择和影响因素,要注意酶的溶剂,消化时间、pH 值、浓度等方面对酶消化法的影响。
4、需注意不同组织,选择相应的方法;如富于细胞的组织——淋巴肉瘤、视神经母细胞瘤、脑瘤、未分化瘤、髓样癌以及一些软组织肉瘤等,不一定采用酶学法或化学法;往往用单纯的机械法就可以获得大量高质量的单分散细胞;
5、在使用酶学方法时,要重视酶的选用,如含有大量结缔组织的肿瘤——食管癌、乳腺癌、皮肤癌等,选用胶原酶较好。
二、常用的荧光染料与标记染色 适用条件: ①有较高的量子产额和消光系数;②荧光强度与光量子产额之间的关系由下式表示:F=Q(I-eεCL)F 表示荧光强度,Q 表示光量子产额,I 表示激发光强度,£表示消化系数,C 表示染液浓度,L 表示溶液厚度。③对488nm的激发光波长有较强的吸收;④发射光波长与激发光波长间有较大的波长差;⑤易与标记单抗结合而不影响抗体的特异性 荧光素发射荧光的基本原理:荧光素受到一定波度(激发波长)的激光激发后,其原子核外的电子由于吸收了激光的能量,由原本运动处于基础态轨道跃迁到激发态轨道上运动,然后当电子由激发态重新回到基础态时,释放出能量并发射出一定波长(发射波长)的荧光。
1、要选择正确的激光器:不同荧光素用不同的激发光波长的激发光来激发:
FITC 和PE 等的激发波长均为488nm,用产生可见光的氩离子激光器;APC 和PC5 等的激发波长在红光范围,需使用发射630nm 波长红光的氦-氖激光器。
2、各种荧光素的发射波长也十分重要,据此可以确定其检测所需光电倍增管性质; 如FITC,被激光激发后发射绿光,检测时要使用第一光电倍增管(即PMT1);PE 则发射橙色光,需用第二光电倍增管(即PMT2);PC5 和PerCP 等,发射的是深红色光,这时需选择第三甚至第四光电倍增管(即PMT3 或PMT4),等等
常用的几类荧光染料
(二)免疫荧光标记
名称染料激发发射光溶解性对PH敏感特点荧光染料与细胞成分的四种结合方波长或荧光性式
结构亲和式
颜色
嵌入结合 共价键结合 异硫氰酸荧FITC488绿 易敏感易溶于水,与抗体结光素合不影响特异性52
5荧光标记抗体特异性结合 得州红Texas 568红 不易不敏感稳定,偶联后量子产免疫荧光标记方法
red额低615直标:干扰少,但需购买多种单抗
藻红蛋白PE488橙间标:步骤多,干扰多,不需标记多种575抗体
易不敏感具较多发光基团,消藻青蛋白PC488红组合标记
光系数和量子产额高
别藻青蛋白APC633红 670 能量传递复PEcy5488红易不敏感减少交叉,成本高 合染料670
三、免疫胶乳颗粒技术的应用-----液相芯片技术
是把微小的乳胶微球分别染成上百种不同的荧光色,把针对不同检测物的乳胶微球混合后再加入待标本,在悬液中与微粒进行特异性地结合,经激光照射后不同待测特产生不同颜色,并可进行定量分析。因检测速度极快,所以又有“液相芯片”之称。流式细胞仪分析技术及应用-------温医细胞生物学技术
四、流式细胞技术的质量控制
(一)单细胞悬液制备的质控
(二)免疫荧光染色的质控 适当的制备方式(不同标本来源外周血、骨髓、培养细胞等)
温度 试剂选择
pH 样品处理(蛋白质浓度、缓冲液、细胞条件、活性、自发荧光等)
染料浓度 实体组织来源标本用机械法
固定剂 温度25~37℃,pH7.0~7.2
(三)仪器操作的质控
光路与流路校正: 确保激光光路与样品流处于正交状态,减少变异(CV)。PMT(光电倍增管)校准: 保证样品检测时仪器处于最佳灵敏度工作状态。绝对计数校准: 保证计数的准确性。
(四)免疫检测的质控
同型对照:即免疫荧光标记中的阴性对照,选用相同源性的未标记单抗作为对照调整和设置电压,以保证特异性。全程质量控制:与待测标本一起标记和检测,结果达靶值,提示本次实验结果可靠。第五节、流式细胞仪的科研应用
1、细胞表型分析
2、胞内蛋白的检测
3、细胞周期和DNA倍体分析
4、流式标准小球定量
5、分选
6、细胞内钙离子测量
第六节、流式细胞术的临床应用
1、细胞周期和DNA含量分析
2、细胞凋亡的检测和分析
3、血小板及血小板活化的FCM 分析
4、造血干细胞(CD34+细胞)的检测
5、白血病和淋巴瘤免疫分型
6、网织红细胞分析
7、残余白血病检测
8、淋巴细胞亚群分析
9、肿瘤耐药基因分析
10、AIDS病检测中的应用
11、自身免疫病相关HLA抗原分析
12、移植免疫中的应用
1、DNA 含量分析检测原理:DNA 含量常和某种细胞周期相关蛋白同时检测,来分析细胞处于某一特定周期阶段。恶变肿瘤细胞一般多出现异倍体,有很多研究证明DNA 含量分析对人肿瘤的诊断预后有很高的价值。荧光染料和细胞 DNA 分子特异性结合具有一定的量效关系: ① DNA 含量多少与荧光染料的结合成正比;
② 荧光强度与DNA 分子结合荧光素多少成正比;
③ 荧光脉冲与直方图的通道值成正比。因此,FCM-DNA 定量分析1 个细胞增殖群时,可将二倍体DNA 含量分布组方图分为三部分:
即G0/
1、S、G2M ;G0/1和G2M 细胞峰的DNA 分布均为正态分布,S 期可以认为是一个加宽的正态分布。在癌组织DNA 直方图上,异倍体峰前总可以见到1 个或大或小的二倍体峰位的G0/1 细胞峰。另外,显微图象分析仪做异倍体检测时,都采用组织中淋巴细胞做对照。
在同一个肿瘤的不同区域、或原发肿瘤和继发、或转移灶、或随肿瘤病程发展、或经治疗的肿瘤灶,其DNA 倍性可能有所变化,这种倍体类型的差异,称为DNA 倍体异质性。DNA分析的临床意义
DNA分析诊断肿瘤:----DNA非整倍体细胞峰-----突出的四倍体细胞峰
DNA倍体分析:结合临床病理的形态学诊断,对一些恶性肿瘤进行早期诊断,跟踪随访和早期治疗,大大提高一些肿瘤的治愈率和生存率。尤其对一些细胞抽吸物、体液、组织液的脱落细胞的分析,意义尤为重要。增殖状态分析:反映了肿瘤的生长速度和侵袭性 FCM在肿瘤早期诊断和鉴别诊断中的作用
DNA非整倍体的出现可能是癌前病变发生早期癌变的一个重要标志 在病理形态学不能做出诊断前可提供确切诊断信息 DNA非整倍体的交界瘤应按恶性对待
形态学表现良性的肿瘤出现非整倍体提示恶变可能 DNA指数可作为判断间叶组织肿瘤良恶性的辅助指标 细胞凋亡------(1)、早期细胞凋亡的流式细胞术检测:半胱氨酸蛋白酶3(caspases-3)
-------(2)晚期细胞凋亡的流式细胞术检测:DNA 含量分析法:目前检测凋亡细胞DNA 断裂的方法中,最常用、最简便的就是DNA 含量分析;DNA 直方图上显示在G0/1 峰前出现一个DNA 含量减少的亚二倍体或称亚G0/1 峰,又称凋亡细胞峰
第三篇:数控车工技术应用分析
数控车工技术应用分析
【摘要】本文对数控车工技术的关健技术,应用优势和不足进行了阐述,并探究了数控车工技术在数控机床中的具体应用,对于推动数控车工技术的发展,对于实现其有效应用具有积极的意义。
【关键词】数控车工技术;关键技术;优势不足;数控机床
在现代工业生产中,数控车工技术是不可或缺的关键技术手段之一,数控车工技术集自动化、数字化、柔性化合和敏捷化为一体,应用优势明显,采用这种技术能够保障生产加工产品零件有效实现,即使是复杂的零件也能够实现有效的加工处理。
一、数控车工技术概述
数控车工技术指的是借助于数字化控制系统在数控机床上完成零件整体加工的技术手段,数控车工技术能够有效地完善大量加工难度较大的零件加工,能够保障零件加工的精确度和准确性。数控车工技术主要分为数控机床加工工艺和数控编程技术两种类型。
二、数控车工的关键技术
数控车工的关键技术包括三种,第一,自适应控制技术,这种技术能够实现自动化设备检测,能够根据设备情况自动调整相关系统参数,从而有效改善数控系统的运行状态。第二,专家技术。这种技术是采用数字化手段将专家经验与车床切削加工的一般规律和特殊情况输入到相关数据系统中,构建完善的加工工艺参数系统,智能化专家系统,为数控系统开展工作提供相关参数。专家技术能够有效提升数控机械设备的编程效率和质量,能够有效提升加工工作效率。第三,故障自诊断技术。这种技术能够为数控机械设备的维修工作提供相关信息指导。故障自诊断技术主要包括维护决策信息集成系统和智能诊断系统,这种技术能够实现对相关设备进行故障检测,故障诊断,安全保障等多种应用。
三、数控车工的技术应用优势及不足
数控车工技术应用优势是明显的,第一,这种技术用的效率很高。借助于数控车工技术开展工作,能够实现数字化的加工控制,能够有效提升零件互换的速度,并能够实现对复杂曲面零件的快速加工处理,能够显著提升加工工作的效率和质量。第二,这种技术应用的劳动强度小。借助于数控车工技术开展零件加工工作,在整个过程中都是通过数控自动系统开展工作的。这项工作的自动化控制水平高,作为操作人员不需要做强度大的工作,只需要密切监视数控设备的运行状况,适时做好相关参数的调整,就能有效完成加工任务,工作强度小是数控车工技术的重要应用优势。第三,这种技术应用的适应能力强。数控车工技术主要是通过数控加工系统进行操作,完成加工任务的。在整个过程中,数控加工系统都能实现自动化操作,并能能够根据需要调整系统的部分参数,从而有效改善机械设备的运行状态,这种技术应用的适应能力是非常强的。第四,这种技术应用的准确度很高。数控车工技术通过数控系统开展工作,能够根据需要优化传动设备装置,这样,可以有效减少加工过程中的人为误差问题,能够有效提升系统设备加工工作的准确度。
数控车工技术有诸多应用优势,这种技术能够有效提升加工工作的任务量,能够有效提升生产加工工作的质量和效率。但借助于这种手段进行零件加工,企业在购置设备中,需要拖人大量的资金,这对于一些小型企业而言是难以承受的。另外,借助于数控车工技术加工形状较为复杂的零件时,需要做大量的手工编程工作,这项工作对操作人员及维修人员的编程能力水平要求很高。但目前,相关高素养的技术人员较为缺乏,这就制约了数控车工技术的有效应用。
四、数控车工技术在数控机床中的应用
(一)数控机床
数控机床是建立在数控系统的基础上的,是以数控车工技术应用为本的,发展到今天,其数控系统控制功能已经相当强大。数控机床已经可以借助于数控系统开展多种工作,能够实现多种功能,其中主要功能是切削和特种加工。数控机床在发展中,能够实现与多种现代化技术的的不断融合,其功能正在不断拓展,目前,已经能够满足多样化,复杂化加工工作的需要,并能够实现对相关零件短周期,高精度的生产加工。
(二)数控机床的选择
在加工工作中,进行数控机床的优化选择是提升加工工作质量和效率的保障。在选择数控机床的时候,企业要能够基于加工工作的需要选择简易型、超精密性的数控机床,有条件的企业也可以选择全功能型的机床。企业要能够根据加工工作的精度要求进行机床的合理化选择。一般而言,简易型的数控机床能够满足简单车工和铣工的操作要求,简易型机床的分别率能够达到0.01mm,而超精密型机床的分别率更高,能够满足更为精密加工工作的需要。在具体的选择中,企业要根据自己工作的需要进行数控机床的合理购置。
(三)数控机床的结构
数控机床是有程序介质、数控系统、伺服驱动、机床主体四部分组织的。程序介质在运行过程中,首先会接收到工作指令,然后根据指令记录加工要求,并能够将相关要求信息自动传送到数控装置信息系统中,根据相关指令要求开展加工控制。数控系统是机床的核心组织,数控系统接收到由程序介质传到的相关指令要求后,会通过相关软件对相关信息进行进一步处理,然后把相关信息发送出去。伺服驱动,这个系统主要是接受数控系统的相关信息,然后根据相关信息进行系统驱动,设置相应的加工速度和加工方向。机床主体主要是机床的构造,机床是有滚珠丝杠构成的,这种构造结构简单,性能良好,能够满足不同加工工作的需要。
总之,数控车工技术的技术含量高,在工业生产中发挥着重要的价值,数控车工技术目前在我国制作业中已经得到了广泛的应用,这种应用有效的提升力我国制作业的生产效率和水平,提升了行业竞争力。我国要大力发展数控车工技术,作为政府要加大技术研发和创新的支持力度,以不断提升我国制作业的技术水平。作为相关企业,也要能够认识到数控车工技术应用的重要作用,要能够积极借助于这种技术实现生产创新,工作创新,能够借助于数控车工技术不断推动企业向更高端发展。目前,数控车工技术在应用发展中还存一些不足和问题,我们要重视这些问题,能够加大人力物力方面的投入,积极进行技术创新,真正推动数控车工技术向高速、高精、高效化化方向发展,以有效的技术创新,促进我国经济的快速发展。
参考文献:
[1]于娟.数控车工技术的应用实践探析[J].企业技术开发,2016(17)
[2]杨永利.分析数控车工技术的应用实践探析[J].黑龙江科技信息,2015(33)
第四篇:身份认证技术
身份认证技术百科名片
动态口令牌身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,身份认证技术就是为了解决这个问题,作为防护网络资产的第一道关口,身份认证有着举足轻重的作用。
身份认证方法
在真实世界,对用户的身份认证基本方法可以分为这三种:(1)根据你所知道的信息来证明你的身份(what you know,你知道什么);(2)根据你所拥有的东西来证明你的身份(what you have,你有什么);(3)直接根据独一无二的身体特征来证明你的身份(who you are,你是谁),比如指纹、面貌等。在网络世界中手段与真实世界中一致,为了达到更高的身份认证安全性,某些场景会将上面3种挑选2中混合使用,即所谓的双因素认证。
以下罗列几种常见的认证形式:
静态密码
用户的密码是由用户自己设定的。在网络登录时输入正确的密码,计算机就认为操作者就是合法用户。实际上,由于许多用户为了防止忘记密码,经常采用诸如生日、电话号码等容易被猜测的字符串作为密码,或者把密码抄在纸上放在一个自认为安全的地方,这样很容易造成密码泄漏。如果密码是静态的数据,在验证过程中 需要在计算机内存中和传输过程可能会被木马程序或网络中截获。因此,静态密码机制如论是使用还是部署都非常简单,但从安全性上讲,用户名/密码方式一种是不安全的身份认证方式。它利用what you know方法。
智能卡(IC卡)
一种内置集成电路的芯片,芯片中存有与用户身份相关的数据,智能卡由专门的厂商通过专门的设备生产,是不可复制的硬件。智能卡由合法用户随身携带,登录时必须将智能卡插入专用的读卡器读取其中的信息,以验证用户的身份。智能卡认证是通过智能卡硬件不可复制来保证用户身份不会被仿冒。然而由于每次从智能卡中读取的数据是静态的,通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息,因此还是存在安全隐患。它利用what you have方法。
短信密码
短信密码以手机短信形式请求包含6位随机数的动态密码,身份认证系统以短信形式发送随机的6位密码到客户的手机上。客户在登录或者交易认证时候输入此动态密码,从而确保系统身份认证的安全性。它利用what you have方法。具有以下优点:(1)安全性由于手机与客户绑定比较紧密,短信密码生成与使用场景是物理隔绝的,因此密码在通路上被截取几率降至最低。(2)普及性只要会接收短信即可使用,大大降低短信密码技术的使用门槛,学习成本几乎为0,所以在市场接受度上面不会存在阻力。
(3)易收费由于移动互联网用户天然养成了付费的习惯,这和PC时代互联网截然不同的理念,而且收费通道非常的发达,如果是网银、第三方支付、电子商务可将短信密码作为一项增值业务,每月通过SP收费不会有阻力,因此也可增加收益。(4)易维护 由于短信网关技术非常成熟,大大降低短信密码系统上马的复杂度和风险,短信密码业务后期
客服成本低,稳定的系统在提升安全同时也营造良好的口碑效应,这也是目前银行也大量采纳这项技术很重要的原因。
动态口令牌
目前最为安全的身份认证方式,也利用what you have方法,也是一种动态密码。动态口令牌是客户手持用来生成动态密码的终端,主流的是基于时间同步方式的,每60秒变换一次动态口令,口令一次有效,它产生6位动态数字进行一次一密的方式认证。由于它使用起来非常便捷,85%以上的世界500强企业运用它保护登录安全,广泛应用在VPN、网上银行、电子政务、电子商务等领域。
USB KEY
基于USB Key的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USB Key是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的密码算法实现对用户身份的认证。基于USB Key身份认证系统主要有两种应用模式:一是基于冲击/响应的认证模式,二是基于PKI体系的认证模式,目前运用在电子政务、网上银行。
OCL
OCL可以提供身份认证的数字签名
数字签名又称电子加密,可以区分真实数据与伪造、被篡改过的数据。这对于网络数据传输,特别是电子商务是极其重要的,一般要采用一种称为摘要的技术,摘要技术主要是采用 HASH 函数(HASH(哈希)函数提供了这样一种计算过程:输入一个长度不固定的字符串,返回一串定长度的字符串,又称 HASH 值)将一段长的报文通过函数变换,转换为一段定长的报文,即摘要。身份识别是指用户向系统出示自己身份证明的过程,主要使用约定口令、智能卡和用户指纹、视网膜和声音等生理特征。数字证明机制提供利用公开密钥进行验证的方法。
生物识别技术
运用who you are方法,通过可测量的身体或行为等生物特征进行身份认证的一种技术。生物特征是指唯一的可以测量或可自动识别和验证的生理特征或行为方式。生物特征分为身体特征和行为特征两类。身体特征包括:指纹、视网膜、虹膜、掌型、脸型、人体气味、手的血管和DNA等;行为特征包括:签名、语音、行走步态等。目前部分学者将视网膜识别、虹膜识别和指纹识别等归为高级生物识别技术;将掌型识别、脸型识别、语音识别和签名识别等归为次级生物识别技术;将血管纹理识别、人体气味识别、DNA识别等归为“深奥的”生物识别技术,指纹识别技术目前应用广泛的领域有门禁系统、微型支付等。Infogo身份认证
网络安全准入设备制造商,联合国内专业网络安全准入实验室,推出安全身份认证准入控制系统。
双因素身份认证
所谓双因素就是将两种认证方法结合起来,进一步加强认证的安全性,目前使用最为广泛的双因素有:动态口令牌 + 静态密码USB KEY + 静态密码二层静态密码 等等。
第五篇:计算机网络应用基础教案-4.2认证技术
4.2认证技术
教学内容: 认证技术。
教学目的:掌握常用的认证技术。教学重难点:认证技术的各种方法。教学课时:2课时 教学过程:
一、引入。
认证是指核实真实身份的过程,是防止主动攻击的重要技术。
二、消息认证
消息认证是指通过对消息或者消息有关的信息进行加密或签名变换进行的认证,目的是为了防止传输和存储的消息被有意无意的篡改,包括消息内容认证(即消息完整性认证)、消息的源和宿认证(即身份认证)、及消息的序号和操作时间认证等。它在票据防伪中具有重要应用(如税务的金税系统和银行的支付密码器)。
消息认证所用的摘要算法与一般的对称或非对称加密算法不同,它并不用于防止信息被窃取,而是用于证明原文的完整性和准确性,也就是说,消息认证主要用于防止信息被篡改。
实现方法:使用MAC(消息认证码)的消息认证 使用hash算法的消息认证。
三、数字签名
数字签名,就是只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。
保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。
数字签名是个加密的过程,数字签名验证是个解密的过程。
数字签名了的文件的完整性是很容易验证的(不需要骑缝章,骑缝签名,也不需要笔迹专家),而且数字签名具有不可抵赖性(不需要笔迹专家来验证)。
方法:
基于公钥的数字签名 基于消息摘要的数字签名 基于私钥的数字签名
四、身份认证技术
身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,身份认证技术就是为了解决这个问题,作为防护网络资产的第一道关口,身份认证有着举足轻重的作用。
常用身份认证技术:
密码认证,用户的密码是由用户自己设定的。在网络登录时输入正确的密码,计算机就认为操作者就是合法用户。实际上,由于许多用户为了防止忘记密码,经常采用诸如生日、电话号码等容易被猜测的字符串作为密码,或者把密码抄在纸上放在一个自认为安全的地方,这样很容易造成密码泄漏。如果密码是静态的数据,在验证过程中 需要在计算机内存中和传输过程可能会被木马程序或网络中截获。因此,静态密码机制无论是使用还是部署都非常简单,但从安全性上讲,用户名/密码方式一种是不安全的身份认证方式。
IC卡认证,一种内置集成电路的芯片,芯片中存有与用户身份相关的数据,智能卡由专门的厂商通过专门的设备生产,是不可复制的硬件。智能卡由合法用户随身携带,登录时必须将智能卡插入专用的读卡器读取其中的信息,以验证用户的身份。
智能卡认证是通过智能卡硬件不可复制来保证用户身份不会被仿冒。然而由于每次从智能卡中读取的数据是静态的,通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息,因此还是存在安全隐患。
个人特征认证,通过可测量的身体或行为等生物特征进行身份认证的一种技术。生物特征是指唯一的可以测量或可自动识别和验证的生理特征或行为方式。生物特征分为身体特征和行为特征两类。身体特征包括:声纹(d-ear)、指纹、掌型、视网膜、虹膜、人体气味、脸型、手的血管和DNA等;行为特征包括:签名、语音、行走步态等。目前部分学者将视网膜识别、虹膜识别和指纹识别等归为高级生物识别技术;将掌型识别、脸型识别、语音识别和签名识别等归为次级生物识别技术;将血管纹理识别、人体气味识别、DNA识别等归为“深奥的”生物识别技术,指纹识别技术目前应用广泛的领域有门禁系统、微型支付等。
五、总结。
六、网络作业(在线作业)。
点击咨询 