一种新基于PKI动态身份认证系统设计.docVIP

一种新的基于PKI的动态身份认证系统的设计 　　摘 要：针对现有身份认证技术存在的缺点，将PKI技术与挑战/应答认证机制相结合，提出了一种新的基于PKI的动态身份认证系统，并具体论述了该系统的结构和认证协议，同时对此身份认证系统的安全性进行了分析，指出了优点和不足。 　　关键词：动态身份认证； 认证令牌； PKI； 挑战/应答认证机制； 网络安全 　　中图法分类号：TP309．08 文献标识码：A 文章编号：1001-3695(2006)10-0116-03 　　New Design of Dynamic Authentication Based on PKI 　　ZHANG Qiu??yu??1, LIANG Shuang??1, WANG Huai??jiang??2 　　(1.College of Computer Communication, Lanzhou University of Technology, Lanzhou Gansu 730050, China; 2.Developing Department, Shenyang Railway Signal Factory, Shenyang Liaoning 110025, China) 　　Abstract:This paper analyzes the disadvantage of current authentication, draws the thoughts from PKI and challenge/response scheme, and puts forward a new design scheme, which is a scheme of dynamic authentication based on PKI. And it discusses the system architecture and authentication protocol in detail. At the same time, it analyzes security of the system and points out the excellences and disadvantages. 　　Key words:Dynamic Authentication; Authentication Token; PKI(Public Key Infrastructure); Challenge/Response Authentication Scheme; Network Security 　　 　　身份认证是实现网络安全的第一步，其他的安全服务都要依赖于它，一旦身份认证系统被攻破，那么系统的所有其他安全措施将形同虚设。身份认证从某种意义上来说是一种机制，这种机制用来实现安全连接建立前通信双方身份的识别。身份认证机制[1]大致可以分为两类：①信任第三方的认证机制，如基于PKI的公钥证书认证机制；②待认证双方交互认证对方身份的认证机制，即动态认证机制，如挑战/应答认证机制。本文在充分了解公钥证书认证机制和挑战/应答认证机制的基础上，将两者结合起来，扬长避短，提出一种新的基于PKI的动态身份认证系统。 　　 　　1 基于PKI的公钥证书认证机制 　　 　　PKI是一个采用非对称密码算法原理和技术来实现并提供安全服务的、具有通用性的安全基础设施，它采用证书管理公钥，通过可信第三方机构把用户的公钥和用户的其他标志信息绑定在一起，实现用户在Internet上的身份认证，从而提供安全可靠的信息处理。它能够为所有网络应用提供加密和数字签名等密码服务及所需的密钥和证书管理体系[2]。 　　PKI 技术充分利用对称密码技术和非对称密码技术的优势，采用对称密码技术对原始明文加密，而后再用非对称密码技术对此密钥加密。这样，两者取长补短，相辅相成，为PKI提供方便、灵活的安全服务奠定了坚实的理论基础。使用基于PKI的身份认证系统建立安全通信信任机制，均是在公钥基础上完成的，而与公钥成对的私钥只掌握在它们与之通信的另一方。公钥的管理是采用公钥证书的形式进行的。公钥证书就是把用户的公钥和身份信息相结合，在结合之前由一个可信任的第三方权威机构CA来证实用户的身份,然后由权威机构对该证书进行数字签名，以证明其证书的有效性。使用公钥证书建立起一套严密的身份认证系统，从而保证信息除发送方和接收方外不被第三者获知，信息在传输过程中不被窜改，发送方通过公钥证书验证接收方的身份，发送方对自己发送信息不可否认。 CA对数字证书的签名使得第三者不能伪造和窜改证书。PKI/CA安全体系通过为交易的各方发放数字证书对交易的各方进行身份标志并且在交易的过程中通过数字证书对交易的双