基于椭圆曲线密码体制的网络身份认证系统研究的论文.docVIP

　　基于椭圆曲线密码体制的网络身份认证系统研究的论文 [摘 要] 本文介绍了椭圆曲线密码体制和身份认证的相关理论，设计了基于椭圆曲线密码体制的网络身份认证系统，给出了系统的总体结构，探讨了认证模块、代理模块、加密模块的实现方法，并且对系统的安全性进行了分析。 　　[关键词] 椭圆曲线 加密 网络 身份认证 　　 　　随着互联网和信息技术的不断发展，电子贸易和网上交易已经逐渐成为企业发展的新趋势，越来越多的人通过网络进行商务活动，同时也为企业创造了高效率和高效益的商务环境，其发展前景十分诱人，但有的黑客假冒合法用户的身份在网上进行非法操作，使合法用户或社会蒙受巨大的损失。身份认证是身份识别( identification)和身份认证(authentication)的总称，是查明用户是否具有所请求资源的存储和使用权，即系统查核用户的身份证明的过程。身份认证的关键是准确地将对方辨认出来，同时还应该提供双向认证，即相互证明自己的身份。身份认证是信息系统的第一道关卡，一旦身份认证系统被攻破，那么系统的所有安全措施将形同虚设。传统的口令鉴别方案通过核对登录用户的二元信息(id,p时，#e应包含大的素因子，如#e=2n,4n，其中的n是大素数，且m不取合数。随机选取e上一阶为n的点作为基点； 　　(4)选择以基点生成循环子域h∈gf(q)上实现ecc，|h|是#e的最大素因子。 　　2.描述一个利用椭圆曲线进行加密通信的过程 　　(1)用户a选定一条椭圆曲线ep(a,b)，并取椭圆曲线上一点作为基点g，选择一个私有密钥k，并生成公开密钥k=kg； 　　(2)用户a将ep(a,b)和点k,g传给用户b； 　　(3)用户b接到信息后，将待传输的明文编码到ep(a,b)上一点m，并产生一个随机整数r(r ②认证服务器。认证服务器模块主要包括kdc模块、gssapi接口模块kerberos gssapi模块以及其他辅助模块。 　　kdc模块主要完成用户身份认证和票据分发等功能，包括as请求处理子模块和tgs请求处理子模块。它与认证客户端的as请求模块和tgs请求模块一起工作，来完成身份认证和票据分发功能；gssapi接口模块用于实现与代理服务器的接口，代理服务器调用gssapi接口模块来进行身份认证，而gssapi接口模块则调用kerberos gssapi，用于真正实现建立安全上下文，报文保护级别协商以及对每条报文的保护。 　　(2)代理模块。代理模块在模型中主要实现客户端应用程序通过代理客户端、代理服务器访问应用服务器的功能，通过采用socks5协议实现。 　　代理模块分别在客户端和应用服务器端加载一个代理软件。客户端代理接受客户端的所有请求，经处理后转发给服务器端代理。客户端代理首先与代理服务器建立一个tcp连接，通常socks端口为1080，通过安全隧道，代理服务器认证并接受所有来自客户端软件的通信。若身份得以认证，则安全服务器将请求递交应用服务器，处理请求后并将结果返回安全服务器，安全服务器将此结果返回给客户端。 　　安全代理服务器在确认客户端连接请求有效后接管连接，代为向应用服务器发出连接请求，安全代理服务器应根据应用服务器的应答，决定如何响应客户端请求，代理服务进程应当连接两个连接，客户端与代理服务进程间的连接、代理服务进程与应用服务器端的连接。为确认连接的唯一性与时效性，代理进程应当维护代理连接表或相关数据库。安全代理服务器为所有网络通信提供了一个安全隧道，在建立通道的过程中，存在用户认证的过程。用户经过认证和原始协议请求，通过gssapi建立的安全隧道传送。 　　(3)加密模块。加密模块在系统中主要完成对数据的加解密处理，通过调用椭圆曲线加密算法具体实现。模型中采用ecies加解密方案，具体实现过程采用borzoi算法库。borzoi是个免费的c++椭圆曲线加密库，含有完整的源代码，提供了定义在特征值为2的有限域上的算法，提供了加密模块。 　　三、系统安全性分析 　　系统提供了应用层的安全解决方案，可作为网络的授权访问控制中心，提供用户到应用服务器的访问控制服务。基于椭圆曲线加密法的网络身份认证，用户可以采用较短的密钥长度来实现较高的安全性，这样既有便于用户的记忆也提高了服务器的计算速度，从而将大大缩短登录时间。在椭圆曲线密码体制中，椭圆曲线ep(a,b)中p、a、b的任何一个数字改变就产生新椭圆曲线方程，这样既可为用户提供丰富的选择性也可以为服务器节约更广阔的存储空间，同时确保网络信息的保密性、完整性和可用性。 　　本文通过分析椭圆曲线密码体制，建立了网络身份认证系统模型，该模型采用软硬件协同的方式，基于混合加密体制，使用速度快而安全性高的ecc算法进行加解密、签名与验证签名，对网络的信息建立