统一身份认证系统的技术研究
开篇:润墨网以专业的文秘视角,为您筛选了一篇统一身份认证系统的技术研究范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:目前统一身份认证技术被广泛应用于各个领域,该技术对计算机及网络系统装备,制定操作者身份的程序所硬接的技术方法,他是应用系统安全的第一阶门槛,是全部安全的基石。本文简单地阐述了PKI体系的基本原理,并重点论述了基于PKI体系中密钥的存储与认证机制,描述了统一身份认证系统的基本结构和各组成部分的功能,以及用户登录的验证过程、密钥生成和传递的流程。
关键词:PKI 身份认证 密钥
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2015)05-0000-00
1引言
我们对信息安全的定义,是关系到信息系统生存的根本所在,随着军工企业的信息安全形势将会日趋紧迫。为保障信息安全,首先需要采取严格的用户身份认证措施,以防止非授权用户对信息系统的入侵,基于PKI(公钥密码体制)体系的统一身份认证系统正是适应这一需要发展起来的身份认证技术,目前已广泛应用于各行业。
2 PKI体系
2.1 PKI体系简介
PKI的定义是由斯坦福大学的研究人员Diffie和Hellman在1976年所提的[DIFF76]。而公钥的密码体系,可以使用不同的加密密钥和解密密钥。
对于公钥密码体制的产生,主要由于以下两个方面原因,一方面,在对称密钥密码体制中,密钥分配会产生一系列问题,另一方面,数字签名的需求可应用于许多需求中,人们有对纯数字的电子信息进行签名的需求,说明本信息具体是某个特定的人所对应。
PKI借取公钥密码算法技术来确立可确定的数字身份信息。通常对称密码算法中的公钥密码算法来说,也可称为非对称密码,非对称加密密钥与解密密钥不同,其中一个密钥是公开的,即公开密钥,而另一个是保密的,即为私用密钥。
2.2 PKI系统的安全特点
PKI主要依靠两大基础。第一是在权威认证机构中,PKI机构可以自行制造一个可信赖的身份,这种身份可被证实并与一个数字证书的相互联系;第二是私钥中的信息,其持有的数字证书能够所决定特定用户。
客户普遍共识到私钥的重要性,他的访问可以关系到PKI的安全性能。私钥具有私密性,公/私密钥发表后,就会涉及着如何保证私钥的安全性。
密钥(公钥/私钥)具有一定的长度,并存在于一个特定的密钥存储区内。l 024比特编码在计算机中体现出来,对于强密钥保护方案,在智能卡或USB key等特殊硬件中,通常存储密匙。
2.3 USB Key技术
对于USB Key的定义,就是我们所谓的USB接口设备,单片机或者智能卡芯片内置在接口中,设定了单项列函数在设备中,他具有密码运算的处理功能。在认证过程中,USB Key不用将密钥读到计算机的内存或发送到网络上,黑客的木马程序无法攻击用户的密钥。USB Key私钥存储区具有抗复制功能。另一方面,USB Key不需要专门的读卡器支持,给用户带来便捷。
USB Key能够存储用户的密钥。USB Key硬件有PIN密码,他可支持双因子认证。由于USB Key具有安全可靠,携带方便,简单易用的特点, USB Key存储和保护私钥功能已经成为PKI最重要的密钥管理方式。
3统一身份认证系统
统一身份认证是一种特殊认证方式,他基于目录的服务,并利用PKI/CA(公钥密码体制/认证中心)、动态口令、数字证书、智能卡和生理特征,对所期业务应用系统的用户提供统一的身份鉴别和统一用户授权的安全机制。
3.1系统结构
统一身份认证系统的组成部分,有密钥管理中心(KMC)、管理中心(CA)、证书注册审核中心(RA)、证书目录服务系统(LDAP)、加密机。
身份认证系统逻辑结构如图1所示:
管理中心(CA)是园区网认证系统的核心,负责签发管理证书。采用加密机作为系统密钥的安全存储设备及用于实现系统间的通讯加密,管理中心系统采用密钥管理系统上的数据库进行数据存储。
密钥管理中心(KMC)为管理中心提供密钥托管和加密密钥服务,采用加密机作为密钥生成设备,并作为系统密钥的安全存储设备及用于实现系统间的通讯加密。
证书注册审核中心(RA)主要提供证书申请、审核、制证等证书业务服务。
证书目录服务系统(LDAP)由主、从目录服务系统组成,设计分别运行在两台服务器上。其中,主目录服务系统接收管理中心系统的数据更新,并将更新的数据实时同步到从目录服务系统中;从目录服务系统负责对外进行信息,为业务应用系统提供证书信息查询服务。
3.2用户身份认证
(1)用户登录验证。统一身份认证系统中,用户加入域以后登录验证过程如下:
首先在本地计算机上安装PC安全登录系统,绑定数字证书与用户帐号的唯一关系,当用户插入USB Key登录操作系统时,会先验证USB Key中的数字证书,再通过证书与本地用户帐号的关联项,验证用户帐号的权限。
在内部园区网中部署完成身份认证系统后,通过管理中心将证书和证书吊销列表(CRL)到Active Directory服务器。在域控制器中正确配置证书的信任链,并设置组策略来指定智能卡的使用策略;
然后,由管理员选择“域控制器”证书模版,为每台域控制器签发证书,在域控制器证书中绑定域控制器的计算机名、GUID、CRL点等信息;
最后,在客户端安装USB Key驱动以及USB Key管理软件,通过CA服务器的申请页面,用户可以在管理员的配合下,选择“智能卡登录”证书模版自主申请并下载智能卡登录证书,智能卡登录证书会绑定用户的登录名、CRL点等信息。
这样,用户就可以使用USB Key登录到域,由域控制器验证用户证书的有效性,如果用户证书被域控制器信任并有效,则允许登录,否则拒绝。
在Windows域中部署数字认证中心(CA)的同时,域控制器会通过组策略机制刷新域内所有客户机的组策略,将智能卡证书的信任信息复制到客户机,这样客户机在无法连接到域控制器时,也可以使用智能卡证书登录本机。用户登录AD域验证如图2所示:
用户登录过程中证书链的验证可以采用工具软件进行测试,以判断验证是否成功,验证过程如图3所示:
(2)密钥生成及传递。用户密钥生成及传递叙述:
①终端可对将用于可生成签名成为注册证书。终端程序只为其使用该密钥对的构造CKP#01的证书需要,发送后的证书注册审核中心,存储于系统服务器之中;②证书注册审核中心系统服务器验证用户可将证书用户发送至服务器中,请求发送给管理中心系统服务器的信息可注册与中心内部,从而给服务器管理中编辑获得密匙,并可得到真实有效的指令;③管理中心系统服务器向密钥管理中心请求来生成用户加密密钥对,之前验证该证书请求中的签名,最后该请求通过使用加密机进行签名,且使用密钥管理系统公钥进行加密;④密钥管理中心接到请求后,通过加密机解密该请求信息,并使用管理中心系统公钥验证该请求,验证通过后,密钥管理系统生成加密密钥和一个密钥ID。并保存私钥KeyA。⑤KeyC是密钥管理系统构造临时对称密钥,加密私钥KeyA――KeyB,使用用户签名证书中的公钥加密对称密钥之后,KeyC――KeyD。并最终在密钥管理中心给管理中心系统之后,返回KeyB―到―KeyD及其相应公钥。⑥管理中心系统即可签发用户签名证书,管理中心系统服务器将给证书注册审核中心系统服务器回馈加密证书、签名证书、KeyB和KeyD。⑦客户端回馈给证书注册审核中心系统服务器,并返回加密证书、签名证书、KeyB、KeyD。⑧客户端使用签名证书私钥解密KeyD得到KeyC,然后使用KeyC解密KeyB得到KeyA,KeyA即用户加密证书私钥。客户端安装加密证书私钥及加密证书、签名证书。⑨ PKI系统可进行日志记录及证书处理,日志记录过程包括证书的签发时间,证书的所有者以及证书请求。
图4给出了用户身份认证密钥生成及传递过程。
4结语
在系统框架中,PKI提供了一个可信的安全体系,为应用系统提供兼具完整性和保密性以及不可否认性的安全基础设施。由于PKI体系在开放网络中的安全性、灵活性的优势能力,PKI将被广泛地应用于各类应用系统领域。
参考文献
[1] 谢希仁.计算机网络(第2版).北京:电子工业出版社,1999,4.
[2] 赖建华,汪宏伟.PKI体系私钥保护机制研究.福州:情报探索,2006,1.
[3] [美]Andrew Nash等著,张玉清等译. 公钥基础设施(PKI)实现和管理电子安全.北京:清华大学出版社,2002,12.