基于USBKEY安全认证网关设计.docVIP

基于USBKEY安全认证网关设计 　　[摘要]在分析SSL等认证网关不足的基础上，提出一个基于USB KEY的安全认证网关的设计方案，然后给出其身份认证协议，并对其安全性进行分析。 　　[关键词]USB KEY 认证网关 PKI SSL 　　中图分类号：TP3 文献标识码：A 文章编号：1671－7597（2009）0720048－02 　　 　　 　　一、引言 　　 　　随着网络应用的普及，网络安全越来越受到人们的重视，网络身份认证作为网络安全的重要组成部分，一直是受关注的热点。 　　安全认证网关是一个认证服务器，对受保护网络提供身份认证支持，对于网络外的访问者进行统一的身份认证。传统的基于用户名和口令的认证方式过于简单，极易被窃取，已经远远不能满足实际安全需求，为了提高认证的安全性，现在的认证网关一般采用PKI（公钥基础设施）体系，使用数字证书的方式对用户身份进行认证。 　　在PKI框架下，安全认证网关需要相应认证协议支持来完成用户的认证，现在比较常见的认证协议是SSL协议，但是SSL是一种基于端到端的安全协议，与具体应用绑定紧密，对于多种应用支持作得不好。另外一种方式是采用IPSEC协议，在IP层做工作来完成对上层应用的支持，这种方式需要在操作系统内核层加入代码，实现复杂，容易造成系统不稳定。 　　本文提出了一种在应用层实现，在不与应用程序绑定的情况下，透明地实现对多应用地支持，并基于USB KEY进一步保障了用户身份的真实性。 　　 　　二、USB KEY技术分析 　　 　　用户的数字证书和私钥等机密信息可以以文件的形式存储在磁盘上，但为了安全起见，证书和私钥一般存放于物理载体中，最常见的载体便是USB KEY。 　　一个典型的USB KEY的内部结构如图1所示： 　　USB KEY内部主要分为两大部分：智能卡芯片和USB芯片。智能卡芯片是USB KEY的核心，通过内置卡内操作系统来完成卡内资源的管理，其一方面实现了证书、密钥的安全存储，另一方面还实现了多种加解密算法。USB芯片负责完成智能卡芯片与用户主机通讯，是核心的智能卡芯片与用户主机沟通的桥梁。 　　使用USB KEY有以下好处： 　　1．实现了双因子认证。用户只有同时拥有USB KEY以及知道其PIN码才能使用USB KEY。 　　2．密钥不出卡。USB KEY当中自带了各种密码算法，在密钥不出卡的前提下，能够进行各种基于密钥的加解密运算，防止了密钥的泄漏。 　　3．加解密速度快。在USB KEY当中，基于硬件实现了加解密算法，相对于软件实现方式，其加解密速度更快。 　　 　　三、安全认证网关的技术方案 　　 　　（一）安全认证网关体系结构 　　 　　如图2所示，安全认证网关位于受保护的企业网络出口处，负责对访问本网络企业服务的用户进行认证。防火墙位于认证网关之外，负责对一些基于网络的攻击进行过滤。用户终端装有终端认证代理程序，启动终端认证代理程序，并插入USB KEY才能够与安全认证网关进行通信。 　　LDAP（轻量级目录服务器）上存放了用户证书，安全认证网关通过检索LDAP可以获取用户证书，利用CRL（证书撤销列表），对用户证书的有效性进行验证。 　　网络内部的WEB服务器、EMAIL服务器、办公自动化服务器等应用均位于安全认证网关之后，安全认证网关通过规则库来判断对哪些应用提供身份认证服务。 　　 　　（二）认证证书的颁发 　　为了提高认证的安全性，安全认证网关基于PKI体系架构，通过证书对用户进行认证。系统通过CA（证书中心）为参与认证的各实体颁发证书，证书和密钥分发情况如下： 　　认证网关：拥有网关证书和网关私钥，同时为了验证用户证书的颁布者，其还要拥有CA根证书； 　　USB KEY：拥有用户证书和用户私钥和CA的根证书； 　　LDAP：存放系统所有的证书以及CRL列表。 　　 　　（三）安全认证规则 　　对于受保护网络来说，并不是所有服务都需要认证的，比如企业或政府部门中对外服务的网站系统等，在认证网关上可以配置对网络中的哪些服务进行身份认证防护，对服务的区分可以通过提供服务器的IP地址和服务开放的端口进行，所以安全认证规则通过IP+端口进行。对于未配置的端口，采取放过的措施。 　　四、安全身份认证协议 　　安全认证网关的核心是身份认证协议，身份认证协议的安全性与易用性直接影响到了安全认证网关的安全性和可用性。SSL和IPSEC协议虽然在安全性上强度较高，但是其易用性不足。本系统的身份认证协议充分考虑了其易用性，采用了挑战应答的方式进行了协议流程的设计，协议流程如图3所示。 　　具体步骤如下： 　　1．客户端程序连接服务器的端口，请求访问服务。 　　2．安全认