互联网亟需身份确认.docxVIP

互联网亟需身份确认 1 基础技术及认证 随着互联网的发展，客户端端程序化模式已经被许多用户熟悉，这与互联网设计的初衷相去甚远。在最初设计互联网的时候, 人们是想能够充分获取他人资源并共享自己的资源, 在网络中的用户都是平等的。但是由于最初硬件价格昂贵, 人们只能购买便宜的终端, 所有的服务都由功能强大且昂贵的服务器来提供, 这种情况一直发展至今。最近有人提出P2P思想, 想让互联网回归到它最初设计的思想, 在网络中没有服务器和客户端之分而且发展势头强劲。 无论是客户端浏览器模式还是P2P, 都存在身份认证问题。传统解决方法是用“口令字”的方式, 但是“口令字”技术难以对抗有组织的集团性攻击。使用PKI技术, 建立证书服务系统, 将证书绑定每个网络实体的公钥, 就可以对网络中每个实体进行身份认证。笔者在PKI体系结构下, 以X.509证书为基础, 提出了一种双向身份认证模型, 有效解决了网络用户身份认证问题。 2 身份认证模型的设计 这一节首先介绍PKI的体系结构, 然后再介绍身份证书的申请和签发, 最后介绍身份认证流程。 2.1 在线身份认证 PKI是“Public Key Infrastructure”的缩写, 意为“公钥基础设施”。简单地说, PKI技术就是利用公钥理论和技术建立的提供信息安全服务的基础设施。该体系在统一的安全认证标准和规范基础上提供在线身份认证。体系结构如图1所示。 (1) 查询验证服务器提供证书发布、证书状态在线查询服务; (2) 密码服务系统提供加解密、签名及签名验证服务; (3) 证书认证中心CA是证书业务服务系统的核心业务节点和基本单元, 主要提供身份证书的签发和发布服务。它是国家权威机构, 是可信的; (4) 密钥管理系统负责向CA中心提供密钥服务, 包括密钥的产生、登记、分发、注销、归档及恢复等服务; (5) 时间戳服务系统提供精确可信的时间戳, 保证处理数据在某一时间 (之前) 的存在性及相关操作的相对时间顺序, 为业务处理的抗抵赖性和可审计性提供有效支持。 2.2 携带身份信息到证书认证中心申请颁发身份证书 在PKI体系结构中, 身份证书申请主要涉及证书认证中心CA、查询验证服务器和密钥管理系统, 如图2所示。 用户携带身份信息到证书认证中心申请颁发身份证书。证书认证中心首先审核用户身份资料是否合法和准确, 审核通过之后在用户smartkey (智能卡) 中产生私钥和公钥, 将私钥存储在smartkey中, 证书认证中心利用公钥给用户颁发身份证书并将身份证书存储在smartkey里, 然后将身份证书发布到查询验证服务器和密钥管理系统。 2.3 查询验证服务器生成身份证书 对于网络中的用户甲和用户乙, 分别用他们自己的身份证书通过PC甲和PC乙登录到网络, 如图3所示。 两者需要对对方进行身份认证, 其流程如下: (1) 用户甲乙都将自己的smartkey插入PC机中; (2) 首先PC甲产生一个随机数n, 将随机数n (3) PC乙用smartkey乙中的私钥对随机数1进行签名, 然后PC乙在本地产生随机数2, 本地保留随机数n (4) PC甲接收到PC乙发送过来的签名值、smartkey乙中的身份证书ID和随机数n (5) PC甲用smartkey甲中的私钥对随机数n (6) PC乙得到PC甲发送过来的签名值和smartkey甲中的身份证书ID。PC乙根据smartkey乙中的身份证书ID到查询验证服务器上查询用户甲的身份证书。如果该身份证书有效, 利用得到的身份证书对PC甲发送过来的对随机数n (7) 双向身份认证结束, 双方进行正常通信。 3 基于pki体系的双向身份认证模型 论文根据网络最新的发展动态和身份认证的最新方式, 针对网络中的身份认证问题首次提出了基于PKI体系的双向身份认证模型, 不仅适用与现在流行的客户端浏览器模式而且也适用于下一代网络和最新的P2P思想。而且已经在实际中有所应用, 经过实践的检验, 具有高效, 稳定等特点。随着网络的发展必将会在互联网中有着更加广泛的应用。