摘要:信息安全是一个永久的话题,由于互联网的开放性,使得在网络交易中数据保密和身份认证等安全需求日益迫切。作为信息安全基础设施之一的公钥基础设施(PKI),能对开放性网络及应用型系统提供身份认证与鉴别,使信息具备真实性、完整性、机密性和不可否认性。本文所涉及的关键理论是公钥密码体制和数字证书,以此设计并实现了一个基于PKI技术的身份认证系统。
关键词:PKI技术;身份认证;数字证书
1 引言
目前,能够实现用户身份认证的技术多种多样,常用的有动态口令、静态口令、生物识别技术和PKI技术等。这些种类繁多的身份认证技术,各有其优势,但前三种技术或多或少存在着不可忽视的安全隐患,原因是由于口令强度、口令验证或是信息泄露所致。其次由于存在高额成本的代价,使得信息的完整性和机密性仍无法得以保障。PKI技术以公钥技术为基础,以数字证书为媒介,与前三种技术相比较,其优势在于既能实现用户身份认证,又能保证互联网上所传输数据的安全性。
2 身份认证
身份认证是现代密码学发展的重要分支,其过程主要是核实某个被认证的对象属实与否或有效与否。被认证对象通常可以用数字签名或口令进行表示,也可以采用如声音、指纹、视网膜等生理特征来表示。在通信前,双方彼此确认身份,以保证通信的安全,这便是身份认证的作用。
对于鉴别或认证过程中所需的身份和相关信任,PKI可以进行有效创建,并管理基于公/私密钥的加密。PKI技术可以帮助企业极大地改进其安全特性,在开放网络上实现现实世界里的安全机制。成熟的数据加密技术使信封和专门的信使退出了历史舞台,并保证其内容只有接收方才能读取;手写签名和印章也逐渐在人们的工作和生活中被能保证信息安全的数字签名所取代。数字签名不仅能保证信息来源于某个具体对象(实体),而且能保证信息在传输过程中没有被修改过。
数字签名技术是一种基于公钥密码学的强认证技术,它给每个参与交易的实体分配一对签名密钥,让这些实体自己掌握用于签名的私钥,因为私钥不会在网络上传输,只有签名者自己知道签名私钥,从而保证其安全性。因此只要私钥具备安全性,就能对产生该签名的声称者进行有效的身份验证,从而保证交互双方身份的真实性。
3 基于PKI的身份认证系统
PKI技术中最为基础的技术有:数字文摘、数字签名和数字信封。一个完整的PKI系统必须具有以下几个必不可少的功能模块:认证中心、密钥管理中心、目录服务器、注册审批机构、证书下载中心和证书应用产品。
认证中心(CA),作为数字证书的申请及签发机关,必须具备的特征是权威性。认证中心是PKI技术的核心部分,PKI技术中的两大主要功能,证书管理功能和证书撤销信息管理功能,则是依靠认证中心来实现。可见,认证中心的核心功能就是发放和管理数字证书。
密钥管理中心(KMC)是对用户的加密密钥进行管理的机构。作为用于解密数据的密钥,若用户不慎将其遗失,后果无疑是数据无法被解密,合法数据将面临丢失的局面。为防止这种情况的发生,可以对密钥进行备份,但须注意以下两个问题,首先是密钥的备份与恢复必须选择可信任的机构去完成,这才能确保密钥不会在备份或恢复的过程中出现遗失或泄露;其次,无论是备份还是恢复的密钥,都只能针对解密密钥而言,目的是保证签名私钥的唯一
性,因此不能对签名私钥进行备份。PKI对密钥进行备份与恢复的模块即密钥管理中心,它是整个PKI体系的基础,是信任服务系统的重要组成。
期刊文章分类查询,尽在期刊图书馆
3.1 密钥管理中心初始化流
3.2 用户密钥对产生流程
密钥管理中心会生成用户的加密密钥并对其进行管理,在双密钥对证书中,该加密密钥主要针对用户的重要信息进行安全加密。
3.3 用户密钥对备份流程
用户密钥的加密、保存及备份由密钥管理中心负责,流程是:用户密钥经过加密保存,然后备份到密钥备份数据库中,再定期备份至磁盘设备。
3.4 用户密钥对恢复流程
当需要对密钥进行恢复时,可以这样完成:首先由认证中心提交恢复申请,然后由密钥管理系统将对应的密钥安全地传送给申请者。
3.5 用户密钥对使用流程
用户的加密证书申请经审批后,首先会在本地生成通信密钥对,然后将通信公钥提交给认证中心;其次认证中心产生主密钥对,这一过程通过密钥管理中心完成,随后密钥服务器将对主密钥对进行解密,并制作用于封闭用户加密密钥的数字信封;接下来由认证中心签发用户加密证书,并将数字信封提交给用户,用户通常会用IC卡或USBKey来存储加密证书和私钥;最后用户将用于通信加密的密钥进行销毁。
3.6 用户密钥对撤销与更新流程
身份验证结束后,用户便可撤销用户密钥。当用户需要更新密钥时,必须先撤销原始密钥,然后重新生成用户密钥。
目录服务器(LDAP)是PKI系统中用于存储和发布用户证书信息的功能模块,管理者只需对目录服务器进行相应地管理,整个PKI系统的证书就能得到管理。相应地,用户在使用证书时,只要能访问到目录服务器,证书业务就能得以顺利开展。
目录服务器的部署通常采用主从模式,一个主目录服务器和多个镜像目录服务器。PKI系统中的所有证书信息和CRL信息,都存储在主目录服务器内;而由多台服务器组成的镜像目录服务系统,则是完成对主目录服务器上数据的整体拷贝。功能上,由镜像目录服务系统以负载均衡的方式对外提供服务,而主目录服务器并不直接为证书用户提供证书服务。
证书下载中心在PKI系统中充当了窗口的角色,它是PKI与外部用户联系的一个窗口。用户通过这一窗口,可以方便地获得一些PKI的相关服务。数字证书应用产品包括:证书应用工具包,SSl安全传输产品和时间戳服务器等。为了方便用户对证书的使用,配合数字证书的推广,PKI系统应该具备丰富的数字证书应用产品。
4 结论
组成一个CA认证机构的部分主要有CA服务器、RA服务器、LDAP服务器、安全服务器以及数据库服务器,其中RA是CA重要的组成部分。负责证书签发管理的CA服务器是整个PKI系统的核心。首先由CA负责生成自己的公私密钥对,并产生自签名的根证书,然后生成数字证书,对象是认证中心操作员、安全服务器、注册服务器RA等。CA的初始建设完成后,接下来就是为子CA认证机构和用户提供数字证书的签发、更新和撤销等服务。RA服务器主要面向的对象是业务受理操作员,他们的职责是登记并对用户的注册申请和证书撤销申请信息进行审核,并向CA服务器和LDAP服务器传递相关信息。一个典型的PKI系统应该提供如下功能:(1)接收验证用户数字证书的申请;(2)确定是否接受用户数字证书的申请,即证书的审批;(3)向申请者颁发(或拒绝颁发)数字证书;(4)接收、处理用户的数字证书更新请求;(5)接收用户数字证书的查询、撤销;(6)产生和发布证书的有效期;(7)数字证书的归档;(8)密钥归档;(9)历史数据归档。
参考文献:
[1]周晓斌,许勇,张凌.一种开放式PKI身份认证模型的研究[J].国防科技大学学报,2013,35(01):169-174.
论文作者:赵捷
论文发表刊物:《文化时代》2019年17期
论文发表时间:2020/1/16
标签:密钥论文; 用户论文; 服务器论文; 证书论文; 数字证书论文; 技术论文; 身份认证论文; 《文化时代》2019年17期论文;