统一身份认证系统的技术研究.docVIP

统一身份认证系统的技术研究 摘要：目前统一身份认证技术被广泛应用于各个领域，该技术对计算机及网络系统装备，制定操作者身份的程序所硬接的技术方法，他是应用系统安全的第一阶门槛，是全部安全的基石。本文简单地阐述了PKI体系的基本原理，并重点论述了基于PKI体系中密钥的存储与认证机制，描述了统一身份认证系统的基本结构和各组成部分的功能，以及用户登录的验证过程、密钥生成和传递的流程。 关键词：PKI 身份认证 密钥 中图分类号：TP393.08 文献标识码：A 文章编号：1007-9416（2015）05-0000-00 1引言 我们对信息安全的定义，是关系到信息系统生存的根本所在，随着军工企业的信息安全形势将会日趋紧迫。为保障信息安全，首先需要采取严格的用户身份认证措施，以防止非授权用户对信息系统的入侵，基于PKI（公钥密码体制）体系的统一身份认证系统正是适应这一需要发展起来的身份认证技术，目前已广泛应用于各行业。 2 PKI体系 2.1 PKI体系简介 PKI的定义是由斯坦福大学的研究人员Diffie和Hellman在1976年所提的[DIFF76]。而公钥的密码体系，可以使用不同的加密密钥和解密密钥。 对于公钥密码体制的产生，主要由于以下两个方面原因，一方面，在对称密钥密码体制中，密钥分配会产生一系列问题，另一方面，数字签名的需求可应用于许多需求中，人们有对纯数字的电子信息进行签名的需求，说明本信息具体是某个特定的人所对应。 PKI借取公钥密码算法技术来确立可确定的数字身份信息。通常对称密码算法中的公钥密码算法来说，也可称为非对称密码，非对称加密密钥与解密密钥不同，其中一个密钥是公开的，即公开密钥，而另一个是保密的，即为私用密钥。 2.2 PKI系统的安全特点 PKI主要依靠两大基础。第一是在权威认证机构中，PKI机构可以自行制造一个可信赖的身份，这种身份可被证实并与一个数字证书的相互联系；第二是私钥中的信息，其持有的数字证书能够所决定特定用户。 客户普遍共识到私钥的重要性，他的访问可以关系到PKI的安全性能。私钥具有私密性，公/私密钥发表后，就会涉及着如何保证私钥的安全性。 密钥（公钥/私钥）具有一定的长度，并存在于一个特定的密钥存储区内。l 024比特编码在计算机中体现出来，对于强密钥保护方案，在智能卡或USB key等特殊硬件中，通常存储密匙。 2.3 USB Key技术 对于USB Key的定义，就是我们所谓的USB接口设备，单片机或者智能卡芯片内置在接口中，设定了单项列函数在设备中，他具有密码运算的处理功能。在认证过程中，USB Key不用将密钥读到计算机的内存或发送到网络上，黑客的木马程序无法攻击用户的密钥。USB Key私钥存储区具有抗复制功能。另一方面，USB Key不需要专门的读卡器支持，给用户带来便捷。 USB Key能够存储用户的密钥。USB Key硬件有PIN密码，他可支持双因子认证。由于USB Key具有安全可靠，携带方便，简单易用的特点， USB Key存储和保护私钥功能已经成为PKI最重要的密钥管理方式。 3统一身份认证系统 统一身份认证是一种特殊认证方式，他基于目录的服务，并利用PKI/CA（公钥密码体制/认证中心）、动态口令、数字证书、智能卡和生理特征，对所期业务应用系统的用户提供统一的身份鉴别和统一用户授权的安全机制。 3.1系统结构 统一身份认证系统的组成部分，有密钥管理中心（KMC）、管理中心（CA）、证书注册审核中心（RA）、证书目录服务系统（LDAP）、加密机。 身份认证系统逻辑结构如图1所示： 管理中心（CA）是园区网认证系统的核心，负责签发管理证书。采用加密机作为系统密钥的安全存储设备及用于实现系统间的通讯加密，管理中心系统采用密钥管理系统上的数据库进行数据存储。 密钥管理中心（KMC）为管理中心提供密钥托管和加密密钥服务，采用加密机作为密钥生成设备，并作为系统密钥的安全存储设备及用于实现系统间的通讯加密。 证书注册审核中心（RA）主要提供证书申请、审核、制证等证书业务服务。 证书目录服务系统（LDAP）由主、从目录服务系统组成，设计分别运行在两台服务器上。其中，主目录服务系统接收管理中心系统的数据更新，并将更新的数据实时同步到从目录服务系统中；从目录服务系统负责对外进行信息发布，为业务应用系统提供证书信息查询服务。 3.2用户身份认证 （1）用户登录验证。统一身份认证系统中，用户加入域以后登录验证过程如下： 首先在本地计算机上安装PC安全登录系统，绑定数字证书与用户帐号的唯一关系，当用户插入USB Key登录操作系统时，会先验证USB Key中的数字证书，再通过证书与本地用户帐号的关联项，验证用户帐号的权限。 在内部园区网中部署完成身份认证系统后，通过管理中心将证书和证书吊销列表