基于PKIUSBKEY和RBAC技术身份认证应用研究.docVIP

基于PKIUSBKEY和RBAC技术身份认证应用研究 　　摘要： 在PKI（ PUBL IC Key lnfrastructure）技术广泛用于电子商务以、政务系统、大型企业应用的今天，对网上的资源进行授权服务的需求变得越来越迫切。基于角色的访问控制技术RBAC（Role_based Access Control）有效地解决企业角色权限管理的复杂性，降低权限管理开销，还能为管理员提供一个较好的安全政策的环境。USB Key作为证书的载体，增强身份证书的安全性。提出一种将PKI技术、USBKey以及RBAC技术相结合的方案，实现基于身份认证的安全访问控制，给使用者带来更方便、安全、快捷操作的用户权限系统。 　　关键词： PKI；RBAC；USBKey 　　中图分类号：TA文献标识码：A文章编号：1671－7597（2011）0320110－02 　　 　　1 背景 　　随着计算机网络技术的发展，越来越多的互联网将自己的业务交由网络来辅助完成。由于历史原因，目前使用的互联网安全性上有着先天的缺陷，而随着商业应用在互联网上的普及，安全问题引起了人们的注意。其中以加密解密和对敏感数据的保密为代表的网络安全服务更是引起了广泛的讨论。ISO制定的OSI模型定义了五类安全服务（包括身份认证服务、访问控制服务、数据保密服务、数据完整性服务、不可否认服务）和八大安全机制（包括加密机制、数字签名机制、访问控制机制、数据完整性机制、认证机制、业务流填充机制、路由控制机制、公正机制）。本文就身份认证服务和访问控制服务，展开讨论，最后就所讨论的问题给出了一个简单的系统实现。 　　2 技术介绍 　　2.1 公开密钥加密 　　2.1.1 公开密钥加密简介 　　又称“非对称加密算法”，此算法需要两个密钥，公开密钥（Public Key）及私有密钥（Private Key）。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。 　　2.1.2 公开密钥加密原理 　　公钥和私钥的产生：随意选择两个大质数p和q且p≠q，并计算N=pq。 　　随机选择一个加密密钥e与（p-1）（q-1）互质，并且e小于（p-1）（q-1）使用欧几里得算法（辗转相除法），计算解密密钥：e*d≡1（mod 　　（P-1）（q-1））（N，e）是公钥，（N，d）是私钥。此时pq需要销毁。 　　加密时，将加密信息m分成等长数据组m1 m2 m3…mi。使用c1=m1modN计算出c作为密文。 　　解密时，计算c1=m1modN，再拼接成m。 　　例如，要传送一份消息m=860223，将消息分成2部分，m1=860 m2=223。 　　取p=51，q=73。则n=pq=3723，（p-1）（q-1）=3600。随机选取e=49，解同余式方程49*d≡1（mod 3600）计算出d=1249。（3723，49）为公钥（3723，1249）为私钥。加密时c1=86049mod 3723=2135。解密时m1od 3723=860。 　　可以看到，私钥的值远远大于公钥值，并且从公钥无法推导出私钥。 　　非对称加密可用于2种目的，一种是加密信息，另外一种是信息签名。如A要将信息发送给密钥对持有者B，则A使用B的公钥对信息进行加密，此时除了B拥有私钥能解密，即使信息被截获也是不能破解信息的。B收到加密信息后使用自己的私钥解密。如B要将一份信息签名，则使用B自己的私钥加密信息，此时除了B的公钥其他密钥均解不开加密信息。当A可以使用B的公钥解密信息时，就可以认定此信息是B签名的。 　　可以看出，使用非对称加密的重点是A能够得到B的公钥。假如C谎称是B，给了A自己的公钥，那么当A使用C的公钥加密给B的机密信息时，C将有可能截获A发送给B的机密信息，并用自己的私钥解密，而B并不能解密发送给自己的信息。这就威胁到了信息的安全。 　　如何让A能够正确得到B的公钥，人们发展了公钥基础设施（Public Key Infrastructure，PKI）技术。 　　2.2 PKI技术 　　PKI是基于公开密钥理论和技术建立的安全体系，是一种以提供信息安全服务为目的的安全基础设施。主要基于非对称加密技术提供安全服务，PKI采用公钥证书形式将一个公钥储存在一个特定格式的文件中，它是PKI中的一种管理媒介。该文件采用数字签名技术保证文件内记录的信息不被篡改，从而实现公钥与公钥持有者身份的绑定。 　　一个标准的PKI应具备以下几个功能： 　　2.2.1 认证机构（Certificate Au