基于PKI的網(wǎng)絡(luò)云認證系統(tǒng)設(shè)計

張瑞+舒虹

摘 要： 為了提高網(wǎng)絡(luò)運行的安全性，設(shè)計了一種基于PKI的網(wǎng)絡(luò)云認證系統(tǒng)，介紹了公鑰基礎(chǔ)設(shè)施PKI的框架，詳細介紹了數(shù)字證書，給出證書制作過程。所設(shè)計系統(tǒng)主要由應(yīng)用模塊與云認證模塊兩大部分組成，通過證書中心模塊產(chǎn)生密匙對與數(shù)字證書，將其壓縮成文件，利用安全信道遞交給用戶，實現(xiàn)數(shù)字證書申請。云認證模塊通過“挑戰(zhàn)/應(yīng)答”協(xié)議完成核對認證，給出云認證協(xié)議的設(shè)計過程。實驗結(jié)果表明所設(shè)計系統(tǒng)效率和可靠性均較高。

關(guān)鍵詞： PKI； 云認證； 系統(tǒng)設(shè)計； 數(shù)字證書

中圖分類號： TN915.08?34； TP311 文獻標識碼： A 文章編號： 1004?373X（2017）23?0081?04

Abstract： In order to improve the safety of network operation， a network cloud authentication system based on PKI was designed. The framework of the public key infrastructure （PKI） is introduced. The digital certificate is introduced in detail， and its manufacturing operation is given. The system is mainly composed of application module and cloud authentication module. The secret key pairs and digital certificate are generated in the certificate center module， compressed into files， and submitted to user through the secure channel to realize the digital certificate request. The certification is checked in cloud authentication module by means of "challenge/response" protocol to give the design process of the cloud authentication protocol. The experimental results show that the designed system has high efficiency and reliability.

Keywords： PKI； cloud authentication； system design； digital certificate

當今社會處于網(wǎng)絡(luò)時代，人們的生活和工作越來越離不開網(wǎng)絡(luò)，但在使用網(wǎng)絡(luò)時往往會被盜取一些信息，被盜取信息或許包含個人隱私、企業(yè)商機甚至國家機密[1]。因此，必須設(shè)計一種有效的認證系統(tǒng)用于保證網(wǎng)絡(luò)信息安全。在對系統(tǒng)進行設(shè)計時，公鑰基礎(chǔ)設(shè)施PKI技術(shù)被廣泛應(yīng)用，該技術(shù)通過用戶身份認證等措施很好地解決了公共網(wǎng)絡(luò)環(huán)境下重要信息傳輸問題[2]。本文設(shè)計了一種基于PKI的網(wǎng)絡(luò)云認證系統(tǒng)，實驗結(jié)果表明，所設(shè)計系統(tǒng)效率和可靠性均較高。

1 公鑰基礎(chǔ)設(shè)施PKI

1.1 PKI框架介紹

公鑰基礎(chǔ)設(shè)施PKI主要由4部分組成，分別是認證庫CRL、注冊機構(gòu)RA、證書認證中心CA與PKI使用者。PKI結(jié)構(gòu)圖如圖1所示。

用于歸納證書庫CRL的服務(wù)器被稱作證書服務(wù)器，當前通常采用的是LDAP協(xié)議系統(tǒng)，它是通過C/S形式對X.500目錄進行處理的，主要負責對證書與CRL列表進行存儲與識讀。

PKI使用者主要包括兩種用戶，分別是持有證書用戶與驗證用戶，持有證書用戶也是證書的申請用戶，能夠完成證書的升級與注銷操作，通過所持證書認證自身身份；驗證用戶通常利用特定系統(tǒng)對持有證書用戶的證書進行檢驗，核對證書的真實性，只有成功完成驗證的持證用戶才可以開通指定權(quán)限[3]。

所有使用公鑰的用戶都會得到由證書認證中心CA制作的數(shù)字證書，該數(shù)字證書中持證者與公鑰一一對應(yīng)，保證持證用戶與持證用戶密鑰對等，以及用戶信息與證書認證中心之間特定關(guān)系的準確性與一致性。證書認證中心同意管理員對證書進行升級與注銷，并且定期提供CRL列表。通過注冊中心RA對數(shù)字證書進行審核，RA首先對申請用戶身份進行核對，然后對通過核對的用戶的基本信息進行收集，最后對證書進行管理。

1.2 證書的制作

證書的制作方法通常分為兩種：第一種方法為使用者自己構(gòu)建密匙對，把公鑰交到證書認證中心，經(jīng)證書認證中心審批后制成證書，寄存在證書庫中[4]；第二種方法為證書認證中心自己構(gòu)建密鑰對，通過公鑰直接制成證書，將制成的證書寄存在證書庫中，通過安全信道把私鑰交到使用者手中，并將得到的私鑰毀掉[5]。

在利用上述兩種方法制作證書的過程中必須由申請用戶本人簽字同意才能進行。由于第二種方法更加安全方便，因此本節(jié)選用該方法進行證書制作。

1.3 數(shù)字證書

PKI所發(fā)布的數(shù)字證書就是使用者身份的標識，通過非對稱加密算法對相應(yīng)的一對密鑰實行加密與解密。不同使用者只擁有一個私鑰用于簽名與加密，且這個私鑰不能被外人所用；不同使用者還擁有一個和私鑰相應(yīng)的公鑰，利用公鑰核對簽名與解密[6]。任何通過密匙完成加密的信息，必須用與其相匹配的另一個密匙完成解密。保存使用者信息與公鑰的同時，在證書認證中心令使用者簽名，將其制成使用者的數(shù)字證書。

當今，PKI技術(shù)已被應(yīng)用在不同領(lǐng)域，其中數(shù)字證書通常采用國際標準中的X.509標準，X.509標準的格式見表1。endprint

表1中，序列號是證書認證中心頒發(fā)的數(shù)字證書特定標識符；簽名算法是指利用非對稱加密算法與哈希算法進行數(shù)字證書簽發(fā)；起始日期指的是證書可以使用的開始日期；截止日期指證書可以使用的最后時間；持有者是指證書擁有者的基本信息。公鑰部分包括持有者公鑰信息與公鑰采用的算法標識符，每一簽發(fā)者和持有者都只存在惟一標識符。

2 基于PKI的網(wǎng)絡(luò)云認證系統(tǒng)設(shè)計

2.1 系統(tǒng)總體結(jié)構(gòu)

所設(shè)計的基于PKI的網(wǎng)絡(luò)云認證系統(tǒng)主要由應(yīng)用模塊與云認證模塊兩大部分組成，其中云認證系統(tǒng)主要應(yīng)用于網(wǎng)絡(luò)安全，其是以PKI技術(shù)為核心的云認證系統(tǒng)。系統(tǒng)總體結(jié)構(gòu)如圖2所示。

圖2中每個模塊都擁有不同的作用，詳細分析如下：

（1） 證書中心模塊是系統(tǒng)的基礎(chǔ)模塊，該模塊包括證書中心與注冊中心，它的作用是為能接收使用者的數(shù)字證書申請，簽發(fā)數(shù)字證書，對使用者數(shù)字證書進行升級與注銷以及管理已注銷數(shù)字證書列表。

（2） 認證模塊作為系統(tǒng)的核心，其最重要的作用是利用“挑戰(zhàn)/應(yīng)答”協(xié)議對使用者身份以及擁有的數(shù)字證書進行判定。

（3） 證書數(shù)據(jù)庫模塊作為整個系統(tǒng)的存儲模塊，主要負責將X.509證書、已注銷證書列表以及證書使用者的基本信息存儲起來。

（4） 管理員模塊的作用是對證書中心模塊進行管理，管理員的詳細職能為：處理用戶提交的關(guān)于數(shù)字證書的申請；將處理結(jié)果及時告知給用戶；對持證者以及持證者數(shù)字證書的具體信息實行查找；對所有數(shù)據(jù)進行拷貝，避免因數(shù)據(jù)丟失導(dǎo)致系統(tǒng)崩潰的后果；解決因用戶非法操作產(chǎn)生的問題，對用戶進行指導(dǎo)[7]。

用戶模塊與集成接口是瀏覽器端最主要的組成部分，其詳細作用如下：

（1） 用戶模塊能夠向證書中心模塊呈遞用戶提交的關(guān)于數(shù)字證書的申請；把數(shù)字證書拷貝到U盤中；協(xié)同認證模塊判定使用者的身份是否合法。

（2） 集成接口能夠幫助現(xiàn)有應(yīng)用系統(tǒng)順利應(yīng)用各項功能，提高整個系統(tǒng)的運行效率。

2.2 數(shù)字證書的申請

系統(tǒng)通過證書中心模塊產(chǎn)生密匙對與數(shù)字證書，將其壓縮成文件，利用安全信道遞交給用戶，數(shù)字證書申請的詳細步驟為：

（1） 申請者登錄注冊機構(gòu)的網(wǎng)址，在注冊界面中按照注冊表單要求填寫真實準確的申請信息。

（2） 通過認證機構(gòu)對填寫完注冊信息的表單進行核對，將核對成功后的申請信息傳遞到證書中心。

（3） 證書中心對接收到的申請信息進行密匙對構(gòu)建，依照證書標準要求制成X.509數(shù)字證書，把它存放到數(shù)據(jù)庫模塊中，同時把私鑰與數(shù)字證書遞交到用戶模塊[8]。

（4） 在用戶模塊與證書中心模塊間構(gòu)建安全信道，以實現(xiàn)證書文件與用戶信息的傳遞，其詳細步驟為：

① 用戶對證書認證中心同意使用的安全證書進行下載，并生成會話密匙key；

② 用戶通過證書認證中心的公鑰對會話秘鑰進行加密，把完成加密的文件遞交到證書認證中心；

③ 證書認證中心通過自身的私鑰對加密文件實行破譯，利用破譯得到的會話密匙key對用戶模塊與證書認證中心模塊進行文件傳遞，以此構(gòu)建安全信道。

（5） 用戶完成簽字后，證書認證中心將數(shù)字證書頒發(fā)給用戶，實現(xiàn)數(shù)字證書的申請。

2.3 云認證協(xié)議設(shè)計

云認證是系統(tǒng)的重要環(huán)節(jié)之一，它通過“挑戰(zhàn)/應(yīng)答”協(xié)議完成核對認證，其協(xié)議是通過用戶模塊與認證模塊之間對話實現(xiàn)的，圖3為認證協(xié)議設(shè)計過程。

依據(jù)圖3給出認證協(xié)議設(shè)計步驟：

（1） 持證者經(jīng)用戶模塊向認證模塊提交相關(guān)信息進行身份認證申請；

（2） 接到申請信息后，認證模塊立刻進行處理，隨機挑選出一個隨機數(shù)Rp傳遞給用戶模塊，將其看作“挑戰(zhàn)”；

（3） 令用戶模塊持證者對密碼進行認證，當輸入密碼正確時可以在U盤中獲取相應(yīng)的私鑰；當密碼錯誤時認證失??；

（4） 用戶模塊通過持卡者的私鑰對隨機數(shù)Rp進行加密，得到的結(jié)果是SC（Rp），把該結(jié)果與持證者的數(shù)字證書Scertc傳遞到認證模塊中進行驗證；

（5） 認證模塊對接收到的數(shù)字證書進行詳細的檢驗，檢驗內(nèi)容主要包括數(shù)字證書的完整性、真實性以及是否已經(jīng)被注銷等[9]。當數(shù)字證書成功完成檢驗時，認為該數(shù)字證書有效，通過數(shù)字證書的公鑰對SC（Rp）進行解密，解密的結(jié)果是REP。比較隨機數(shù)Rp與解密結(jié)果REP之間的對應(yīng)關(guān)系，如果二者相等，則認為該持卡者為合法用戶，反之認為該持卡者為非法用戶。

3 實驗結(jié)果分析

為了驗證本文設(shè)計的基于PKI的網(wǎng)絡(luò)云認證系統(tǒng)的有效性，需要進行相關(guān)的實驗分析。實驗將Hadoop系統(tǒng)和嵌入式系統(tǒng)作為對比進行測試。

首先對系統(tǒng)的運行效率進行測試。在80 Mb/s網(wǎng)絡(luò)下，分別采用本文系統(tǒng)、Hadoop系統(tǒng)和嵌入式系統(tǒng)對同一用戶相關(guān)信息的存儲延遲和認證時間進行比較，結(jié)果如表2所示。

分析表2可以看出，當系統(tǒng)在80 Mb/s網(wǎng)絡(luò)下運行時，采用本文系統(tǒng)對用戶信息進行存儲所需的延遲為0.52 s，明顯低于Hadoop系統(tǒng)的0.85 s和嵌入式系統(tǒng)的0.89 s，說明本文算法存儲實時性高。且本文系統(tǒng)的認證時間明顯低于Hadoop系統(tǒng)和嵌入式系統(tǒng)，說明本文系統(tǒng)認證效率高。

下面對本文系統(tǒng)的認證準確性進行驗證，針對證書簽發(fā)、申請并下載，以及管理網(wǎng)絡(luò)服務(wù)訪問兩個項目，分別通過本文系統(tǒng)、Hadoop系統(tǒng)和嵌入式系統(tǒng)對其進行認證處理，得到的結(jié)果依次見表3，表4，其中項目一代表證書簽發(fā)、申請并下載，項目二代表管理網(wǎng)絡(luò)服務(wù)訪問。

分析表3與表4可以看出，本文設(shè)計系統(tǒng)認證成功率很高，幾乎為100%，明顯高于Hadoop系統(tǒng)和嵌入式系統(tǒng)，表明本文系統(tǒng)能精確地實現(xiàn)認證，具有極高的安全性、準確性以及穩(wěn)定性，滿足系統(tǒng)使用人員的各種要求，大大提高了工作效率。

4 結(jié) 論

本文設(shè)計了一種基于PKI的網(wǎng)絡(luò)云認證系統(tǒng)，介紹了公鑰基礎(chǔ)設(shè)施PKI的框架。給出了系統(tǒng)總體結(jié)構(gòu)，其主要由應(yīng)用模塊與云認證模塊兩大部分組成。詳細介紹了數(shù)字證書申請過程和云認證協(xié)議的設(shè)計過程。實驗結(jié)果表明，所設(shè)計系統(tǒng)能精確地實現(xiàn)認證，具有極高的安全性、準確性以及穩(wěn)定性，滿足系統(tǒng)使用人員的各種要求，大大提高了工作效率。

參考文獻

[1] 崔濤.基于云服務(wù)優(yōu)選的最節(jié)能物流運輸調(diào)度系統(tǒng)的設(shè)計[J].現(xiàn)代電子技術(shù)，2016，39（20）：138?141.

[2] 李騰耀，張水平，張月玲，等.基于對等監(jiān)控網(wǎng)絡(luò)的云監(jiān)控系統(tǒng)設(shè)計與實現(xiàn)[J].計算機應(yīng)用，2015，35（12）：3378?3382.

[3] 滑翔.基于云計算技術(shù)設(shè)計網(wǎng)絡(luò)安全儲存系統(tǒng)[J].電子技術(shù)應(yīng)用，2016，42（11）：106?107.

[4] 馬曉麗，張曉蕾，陳珊.基于云平臺的智能電網(wǎng)管理系統(tǒng)分析和設(shè)計[J].電源技術(shù)，2016，40（9）：1869?1870.

[5] 李云，陳龐森，孫山林.基于近場通信認證的無線局域網(wǎng)無線接入?yún)f(xié)議的安全性設(shè)計[J].計算機應(yīng)用，2016，36（5）：1236?1245.

[6] 章靜，封利霞.基于網(wǎng)絡(luò)云計算的視知覺訓(xùn)練在弱視治療中的應(yīng)用[J].中華眼視光學(xué)與視覺科學(xué)雜志，2015，17（6）：356?359.

[7] 王杰華，劉會平，邵浩然，等.無線雙向安全認證系統(tǒng)的設(shè)計與實現(xiàn)[J].計算機工程與設(shè)計，2016，37（10）：2639?2643.

[8] 朱森，徐志軍，王金明，等.用于動態(tài)聲紋密碼認證系統(tǒng)的分類器和歸一化的比較性研究[J].通信技術(shù)，2016，49（9）：1235?1238.

[9] 魯恩銘，鄧艷.基于PKI技術(shù)的企業(yè)級云存儲出錯數(shù)據(jù)證明的研究[J].電腦知識與技術(shù)，2016，12（15）：247?249.endprint