网络实名制解决方案.pdfVIP

网 络 安 全 基于组合单钥的网络实名制解决方案 赵桂芬 李瑛 胡祥义 北京市科学技术情报研究所 北京 100044 摘要：本文提出了一种基于标识的网络身份认证技术，采用单钥密码算法、组合单钥技术和智能芯片建立网络认证协议， 采用少量认证参数完成认证，与PKI相比可提高认证中心的认证效率10倍以上，降低认证中心建设成本95%以上，且大大降 低更新维护成本，同时，解决认证中心的认证规模化难题，从而，能实现国家或地区、行业的网络实名制。 关键词：网络实名制；组合单钥；单钥密码算法；规模化认证 0引言 （1）由客户机端发出认证请求； 随着网络应用的不断发展，在网络这一虚拟社会中实行 （2）WEB服务器产生时间戳和随机数并发送给客户机 网络实名制已成为网络发展的必然趋势，各国进行了多年的 端，同时计算认证生命周期T； 探索和试验。韩国2003年在全国实施了网络实名制，社会反 （3）客户机收到时间戳和随机数后传输给客户机端的密 映良好，至今民众支持率从32.3%上升到65%。但是，韩国 码钥匙的芯片里，根据时间戳、随机数组成的单钥密钥生成 网络实名制的技术方法是基于身份证信息验证的静态口令认 算法，对“密钥种子”矩阵的元素进行选取，选出一组临时 证模式，容易受到黑客“冒名顶替”攻击。而另一些国家在 单钥密钥1，用该单钥密钥1加密随机数生成认证口令1，将 局部应用领域实施了PKI。PKI在各国实施网络身份认证的进 用户标识(如：用户号和身份证号等)、认证口令1、随机数、时 程中发挥了重要作用，但是，PKI技术较复杂，建立和维护成 间戳等进行编码，并发送给WEB服务器； 本都较高，若要实现规模化认证，需要多个CA认证中心之间 （4） WEB服务器首先计算T是否结束，若T结束，则认 交叉认证，认证效率较低。随着各国网络用户的不断增长和 证失败，若T未结束，则WEB服务器将收到的认证数据传给 网络应用领域的不断扩大，PKI将不能满足未来各国实施网 认证中心的认证服务器； 络实名制的需求。 （5）认证中心根据用户的标识找到存放在认证服务硬盘 要解决网络实名制必须在网络认证架构安全的前提下， 里该用户对应的密钥种子，再将该组密钥种子传到加密卡的 解决规模化认证和低成本的难题。随着智能芯片技术的发展， 芯片里，在芯片里将该组密钥种子解密成明文，根据单钥密 智能芯片既能保证数据的存储安全，其CPU又能完成各种运 钥生成算法从解密后的密钥种子中选出一组临时单钥密钥2， 算。所以，我们利用智能芯片和组合单钥技术，将单钥密码 用该单钥密钥2加密随机数生成认证口令2，再对比认证口令 算法用于身份认证，提出了本网络实名制解决方案。 1和2是否相同来确定用户的身份是否合法； 1建立芯片级认证系统 （6）如果用户身份认证成功，根据用户权限授权该用户 网络身份认证系统由客户端、WEB服务器端和认证中心 进入相应的工作区；如果身份认证失败，则拒绝该用户访问。 的认证服务器端组成。认证中心的认证服务器端使用标准的 PCI接口，与一块或多块加密卡结合，作为认证中心的认证服 务器端的认证硬件设备；在客户机上采用一支具有标准USB 接口的密码钥匙(即智能卡)，作为客户端的认证硬件设备。将 认证系统中的单钥密钥生成算法，预先存放在加密卡和智能 卡的芯片中，并在芯片的IP核中写入单钥密码算法(如：SM1、 图1 认证协议 DES、3DES、RC4等)。在认证过程中，单钥密钥和认证口令 3 建立组合单钥管理系统 都在芯片中生成，并在芯片中进行认证口令对比认证，在网 3.1“密钥种子”矩阵的建立 络上传输的是可以公开的认证数据(包括经过编码的用户标 采用现有的硬件随机数发生器或软件系统中的伪随机数生 识