• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      基于USBKEY的安全認證網(wǎng)關(guān)的設(shè)計

      2009-09-29 08:58:18張亞利
      新媒體研究 2009年14期

      郭 麗 張亞利

      [摘要]在分析SSL等認證網(wǎng)關(guān)不足的基礎(chǔ)上,提出一個基于USB KEY的安全認證網(wǎng)關(guān)的設(shè)計方案,然后給出其身份認證協(xié)議,并對其安全性進行分析。

      [關(guān)鍵詞]USB KEY 認證網(wǎng)關(guān) PKI SSL

      中圖分類號:TP3 文獻標識碼:A 文章編號:1671-7597(2009)0720048-02

      一、引言

      隨著網(wǎng)絡(luò)應(yīng)用的普及,網(wǎng)絡(luò)安全越來越受到人們的重視,網(wǎng)絡(luò)身份認證作為網(wǎng)絡(luò)安全的重要組成部分,一直是受關(guān)注的熱點。

      安全認證網(wǎng)關(guān)是一個認證服務(wù)器,對受保護網(wǎng)絡(luò)提供身份認證支持,對于網(wǎng)絡(luò)外的訪問者進行統(tǒng)一的身份認證。傳統(tǒng)的基于用戶名和口令的認證方式過于簡單,極易被竊取,已經(jīng)遠遠不能滿足實際安全需求,為了提高認證的安全性,現(xiàn)在的認證網(wǎng)關(guān)一般采用PKI(公鑰基礎(chǔ)設(shè)施)體系,使用數(shù)字證書的方式對用戶身份進行認證。

      在PKI框架下,安全認證網(wǎng)關(guān)需要相應(yīng)認證協(xié)議支持來完成用戶的認證,現(xiàn)在比較常見的認證協(xié)議是SSL協(xié)議,但是SSL是一種基于端到端的安全協(xié)議,與具體應(yīng)用綁定緊密,對于多種應(yīng)用支持作得不好。另外一種方式是采用IPSEC協(xié)議,在IP層做工作來完成對上層應(yīng)用的支持,這種方式需要在操作系統(tǒng)內(nèi)核層加入代碼,實現(xiàn)復(fù)雜,容易造成系統(tǒng)不穩(wěn)定。

      本文提出了一種在應(yīng)用層實現(xiàn),在不與應(yīng)用程序綁定的情況下,透明地實現(xiàn)對多應(yīng)用地支持,并基于USB KEY進一步保障了用戶身份的真實性。

      二、USB KEY技術(shù)分析

      用戶的數(shù)字證書和私鑰等機密信息可以以文件的形式存儲在磁盤上,但為了安全起見,證書和私鑰一般存放于物理載體中,最常見的載體便是USB KEY。

      一個典型的USB KEY的內(nèi)部結(jié)構(gòu)如圖1所示:

      USB KEY內(nèi)部主要分為兩大部分:智能卡芯片和USB芯片。智能卡芯片是USB KEY的核心,通過內(nèi)置卡內(nèi)操作系統(tǒng)來完成卡內(nèi)資源的管理,其一方面實現(xiàn)了證書、密鑰的安全存儲,另一方面還實現(xiàn)了多種加解密算法。USB芯片負責(zé)完成智能卡芯片與用戶主機通訊,是核心的智能卡芯片與用戶主機溝通的橋梁。

      使用USB KEY有以下好處:

      1.實現(xiàn)了雙因子認證。用戶只有同時擁有USB KEY以及知道其PIN碼才能使用USB KEY。

      2.密鑰不出卡。USB KEY當(dāng)中自帶了各種密碼算法,在密鑰不出卡的前提下,能夠進行各種基于密鑰的加解密運算,防止了密鑰的泄漏。

      3.加解密速度快。在USB KEY當(dāng)中,基于硬件實現(xiàn)了加解密算法,相對于軟件實現(xiàn)方式,其加解密速度更快。

      三、安全認證網(wǎng)關(guān)的技術(shù)方案

      (一)安全認證網(wǎng)關(guān)體系結(jié)構(gòu)

      如圖2所示,安全認證網(wǎng)關(guān)位于受保護的企業(yè)網(wǎng)絡(luò)出口處,負責(zé)對訪問本網(wǎng)絡(luò)企業(yè)服務(wù)的用戶進行認證。防火墻位于認證網(wǎng)關(guān)之外,負責(zé)對一些基于網(wǎng)絡(luò)的攻擊進行過濾。用戶終端裝有終端認證代理程序,啟動終端認證代理程序,并插入USB KEY才能夠與安全認證網(wǎng)關(guān)進行通信。

      LDAP(輕量級目錄服務(wù)器)上存放了用戶證書,安全認證網(wǎng)關(guān)通過檢索LDAP可以獲取用戶證書,利用CRL(證書撤銷列表),對用戶證書的有效性進行驗證。

      網(wǎng)絡(luò)內(nèi)部的WEB服務(wù)器、EMAIL服務(wù)器、辦公自動化服務(wù)器等應(yīng)用均位于安全認證網(wǎng)關(guān)之后,安全認證網(wǎng)關(guān)通過規(guī)則庫來判斷對哪些應(yīng)用提供身份認證服務(wù)。

      (二)認證證書的頒發(fā)

      為了提高認證的安全性,安全認證網(wǎng)關(guān)基于PKI體系架構(gòu),通過證書對用戶進行認證。系統(tǒng)通過CA(證書中心)為參與認證的各實體頒發(fā)證書,證書和密鑰分發(fā)情況如下:

      認證網(wǎng)關(guān):擁有網(wǎng)關(guān)證書和網(wǎng)關(guān)私鑰,同時為了驗證用戶證書的頒布者,其還要擁有CA根證書;

      USB KEY:擁有用戶證書和用戶私鑰和CA的根證書;

      LDAP:存放系統(tǒng)所有的證書以及CRL列表。

      (三)安全認證規(guī)則

      對于受保護網(wǎng)絡(luò)來說,并不是所有服務(wù)都需要認證的,比如企業(yè)或政府部門中對外服務(wù)的網(wǎng)站系統(tǒng)等,在認證網(wǎng)關(guān)上可以配置對網(wǎng)絡(luò)中的哪些服務(wù)進行身份認證防護,對服務(wù)的區(qū)分可以通過提供服務(wù)器的IP地址和服務(wù)開放的端口進行,所以安全認證規(guī)則通過IP+端口進行。對于未配置的端口,采取放過的措施。

      四、安全身份認證協(xié)議

      安全認證網(wǎng)關(guān)的核心是身份認證協(xié)議,身份認證協(xié)議的安全性與易用性直接影響到了安全認證網(wǎng)關(guān)的安全性和可用性。SSL和IPSEC協(xié)議雖然在安全性上強度較高,但是其易用性不足。本系統(tǒng)的身份認證協(xié)議充分考慮了其易用性,采用了挑戰(zhàn)應(yīng)答的方式進行了協(xié)議流程的設(shè)計,協(xié)議流程如圖3所示。

      具體步驟如下:

      1.客戶端程序連接服務(wù)器的端口,請求訪問服務(wù)。

      2.安全認證網(wǎng)關(guān)捕獲客戶端程序?qū)Ψ?wù)器受保護端口的請求,并阻塞該請求。然后安全認證網(wǎng)關(guān)向安全認證客戶端發(fā)起挑戰(zhàn)消息。該消息中包含的是一個隨機數(shù)。

      3.安全認證客戶端收該隨機數(shù)后,將轉(zhuǎn)發(fā)該隨機數(shù)給USBKEY。

      4.USBKEY利用其私鑰將該隨機數(shù)進行加密,并將加密后的密文返回給安全認證客戶端。

      5.安全認證客戶端將USBKEY中返回的消息,連同客戶端的ID標識發(fā)送給認證網(wǎng)關(guān)。

      6.認證網(wǎng)關(guān)收到該消息后,根據(jù)客戶端的ID從LDAP上查詢用戶證書,將證書中的用戶公鑰提取出來,利用公鑰將該消息解密,如果解密得到的消息中的隨機數(shù)與之前其產(chǎn)生的隨機數(shù)相同,則認為用戶合法,否則認為用戶非法。

      7.如果判斷用戶合法,則放開第2步中阻塞的用戶請求,否則拒絕用戶的請求。

      上述協(xié)議通過采用挑戰(zhàn)應(yīng)用的方式,不傳遞用戶私鑰即可完成認證,有效地防止的常用的攻擊,下面通過對常用的攻擊形式進行分析,來說明本協(xié)議的安全性。

      1.密鑰嗅探。通過對用戶發(fā)送數(shù)據(jù)包的監(jiān)測,解析出其中的密碼。這從理論上是不可行的,因為在本協(xié)議中,用戶并沒有將其密鑰直接發(fā)送到認證網(wǎng)關(guān)進行認證,而是發(fā)送的加密后的隨機數(shù)消息,根據(jù)公鑰密碼算法理論,攻擊者是不可能破解出來密鑰的。

      2.重放攻擊。即對以前用戶認證的消息包進行重放,使安全網(wǎng)關(guān)接受該用戶。但這也是無法做到的,因為用戶每次發(fā)送的消息都是根據(jù)網(wǎng)關(guān)的隨機數(shù)加密而來的,而隨機數(shù)會以很低的概率重復(fù)的,攻擊者得到的以前消息在之后的認證中是不能使用的。

      3.在客戶端植入木馬程序,盜取用戶的私鑰。從上面協(xié)議可以看出,用戶的私鑰放在USB KEY中,USB KEY只返回給安全認證客戶端加密后的消息,并沒有返回其私鑰,而USB KEY中的私鑰從硬件設(shè)計上是不出USB KEY的,所以木馬程序也無法獲取用戶的私鑰。

      4.USB KEY丟失。USB KEY實現(xiàn)的雙因子認證,除了擁有USB KEY多點,還需要知道PIN碼才能打開,所以即使KEY丟失了,攻擊者也無法使用該用戶登錄。

      通過以上分析,可以看出該協(xié)議能夠抵擋常見的攻擊,具有一定的安全性,在協(xié)議的易用性上,相對于SSL、IPSEC協(xié)議要簡單許多,其完全可以在操作系統(tǒng)應(yīng)用層工作,便于實現(xiàn),另外認證客戶端并沒有和具體的應(yīng)用客戶端程序相綁定,是獨立客戶端,可以方便地用于多種客戶端的場合。

      五、結(jié)論

      本文針對于SSL、IPSEC等認證網(wǎng)關(guān)的缺點,提出了基于USBKEY的認證網(wǎng)關(guān)的技術(shù)方案,給出了其身份認證協(xié)議,并對其進行安全性進行了分析。該協(xié)議不但具有一定的安全性,使用用起來也比較簡單,具有一定的實用價值。

      參考文獻:

      [1]關(guān)振勝,公鑰基礎(chǔ)設(shè)施PKI與認證機構(gòu)CA[M].北京:電子工業(yè)出版社,2002.

      [2]卿斯?jié)h,認證協(xié)議兩種形式化分析方法的比較,軟件學(xué)報[J].2004,14.

      [3]李中獻、詹榜華、楊義先,認證理論與技術(shù)發(fā)[J].展.電子學(xué)報,1999,7.

      [4]趙戰(zhàn)生、馮登國、戴英伙、荊繼武,信息安全技術(shù)淺談[M].北京:科學(xué)出版社,1999.

      作者簡介:

      郭麗(1981-),女,漢族,河南南陽人,學(xué)士學(xué)位,河南省工業(yè)設(shè)計學(xué)校,助教;張亞利(1981-),女,漢族,河南焦作人,學(xué)士學(xué)位,河南省工業(yè)設(shè)計學(xué)校,助教。

      九龙城区| 乳源| 怀安县| 抚松县| 柯坪县| 贵南县| 樟树市| 沂南县| 思南县| 山丹县| 宣武区| 乌拉特后旗| 雷波县| 拉萨市| 读书| 宁晋县| 报价| 泾源县| 曲水县| 云林县| 五峰| 根河市| 锦州市| 武乡县| 哈密市| 赫章县| 通榆县| 昌江| 南城县| 高淳县| 鄯善县| 乐清市| 邮箱| 松潘县| 金溪县| 梓潼县| 七台河市| 南康市| 哈密市| 库伦旗| 缙云县|