一種新的基于ＰＫＩ的動態身份認證系統的設計

摘 要：針對現有身份認證技術存在的缺點，將PKI技術與挑戰/應答認證機制相結合，提出了一種新的基于PKI的動態身份認證系統，并具體論述了該系統的結構和認證協議，同時對此身份認證系統的安全性進行了分析，指出了優點和不足。

關鍵詞：動態身份認證； 認證令牌； PKI； 挑戰/應答認證機制； 網絡安全

中圖法分類號：TP309．08 文獻標識碼：A 文章編號：1001-3695(2006)10-0116-03

New Design of Dynamic Authentication Based on PKI

ZHANG Qiuyu1， LIANG Shuang1， WANG Huaijiang2

(1.College of Computer Communication， Lanzhou University of Technology， Lanzhou Gansu 730050， China; 2.Developing Department， Shenyang Railway Signal Factory， Shenyang Liaoning 110025， China)

Abstract:This paper analyzes the disadvantage of current authentication， draws the thoughts from PKI and challenge/response scheme， and puts forward a new design scheme， which is a scheme of dynamic authentication based on PKI. And it discusses the system architecture and authentication protocol in detail. At the same time， it analyzes security of the system and points out the excellences and disadvantages.

Key words:Dynamic Authentication; Authentication Token; PKI(Public Key Infrastructure); Challenge/Response Authentication Scheme; Network Security

身份認證是實現網絡安全的第一步，其他的安全服務都要依賴于它，一旦身份認證系統被攻破，那么系統的所有其他安全措施將形同虛設。身份認證從某種意義上來說是一種機制，這種機制用來實現安全連接建立前通信雙方身份的識別。身份認證機制[1]大致可以分為兩類：①信任第三方的認證機制，如基于PKI的公鑰證書認證機制；②待認證雙方交互認證對方身份的認證機制，即動態認證機制，如挑戰/應答認證機制。本文在充分了解公鑰證書認證機制和挑戰/應答認證機制的基礎上，將兩者結合起來，揚長避短，提出一種新的基于PKI的動態身份認證系統。

1 基于PKI的公鑰證書認證機制

PKI是一個采用非對稱密碼算法原理和技術來實現并提供安全服務的、具有通用性的安全基礎設施，它采用證書管理公鑰，通過可信第三方機構把用戶的公鑰和用戶的其他標志信息綁定在一起，實現用戶在Internet上的身份認證，從而提供安全可靠的信息處理。它能夠為所有網絡應用提供加密和數字簽名等密碼服務及所需的密鑰和證書管理體系[2]。

PKI 技術充分利用對稱密碼技術和非對稱密碼技術的優勢，采用對稱密碼技術對原始明文加密，而后再用非對稱密碼技術對此密鑰加密。這樣，兩者取長補短，相輔相成，為PKI提供方便、靈活的安全服務奠定了堅實的理論基礎。使用基于PKI的身份認證系統建立安全通信信任機制，均是在公鑰基礎上完成的，而與公鑰成對的私鑰只掌握在它們與之通信的另一方。公鑰的管理是采用公鑰證書的形式進行的。公鑰證書就是把用戶的公鑰和身份信息相結合，在結合之前由一個可信任的第三方權威機構CA來證實用戶的身份，然后由權威機構對該證書進行數字簽名，以證明其證書的有效性。使用公鑰證書建立起一套嚴密的身份認證系統，從而保證信息除發送方和接收方外不被第三者獲知，信息在傳輸過程中不被竄改，發送方通過公鑰證書驗證接收方的身份，發送方對自己發送信息不可否認。 CA對數字證書的簽名使得第三者不能偽造和竄改證書。PKI/CA安全體系通過為交易的各方發放數字證書對交易的各方進行身份標志并且在交易的過程中通過數字證書對交易的雙方進行身份驗證和簽名驗證，最終實現交易的安全需求。

基于PKI的公鑰證書認證機制是非常安全的用戶認證形式，但這種身份認證方式是靜態的，這無疑為黑客采用字典式攻擊提供了便利，因此需要一種經常變化、無法預測、一次性使用的動態口令來確保身份認證的可靠性，尤其是在網上銀行、網上證券、電子商務等數據敏感性行業，采用安全性極高的動態口令就顯得更為重要。

2 挑戰/應答認證機制

挑戰/應答認證機制[3]是一種一次性口令認證機制。每個用戶都持有相應的挑戰/應答令牌、令牌內置種子密鑰和加密算法。用戶要求登錄時，服務器隨機生成一個挑戰數(Challenge)，用戶將該挑戰數手工輸入到挑戰/應答令牌中，挑戰/應答令牌利用內置的種子密鑰和加密算法對其計算出相應的應答數(Response)。用戶將該應答數手工輸入到主機再上傳給服務器，服務器根據該用戶存儲的種子密鑰和加密算法計算出應答數并與用戶上傳的應答數進行比較。該方法可以保證很高的安全性，是一種非常可靠有效的認證方法。但該方案直接應用在網絡環境下還存在一些缺陷:需要特殊硬件(挑戰/應答令牌)的支持，增加了該方案的實現成本；用戶需多次手工輸入數據，易造成較多的輸入失誤，使用起來十分不便；用戶的身份標志直接在網絡上明文傳輸，攻擊者可很容易地截獲它，留下了安全隱患。

采用基于PKI的數字證書結合數字簽名代替用戶名口令機制實現認證，可以有效保護用戶名和口令不被竊取，且抗抵賴，但不能防止重放攻擊；如果采用挑戰/應答認證機制，可以防止重放攻擊，但不能防止假冒。為了彌補單一的認證機制存在的不足，本文將PKI證書技術與動態口令機制相結合，提出了一種基于PKI的動態的雙因素強身份認證系統。

3 基于PKI的動態身份認證系統結構和工作協議設計

3．1 基于PKI的動態身份認證系統結構（圖1）

（1）認證服務器

認證服務器主要包括控制代理模塊和認證服務器。控制代理模塊主要完成截獲用戶發向資源服務器認證的請求連接，將其轉發到認證服務模塊進行用戶的身份認證，它是實現客戶端和認證服務模塊認證連接轉發的中間環節，當用戶認證成功后為用戶建立訪問資源服務器的透明代理。使用控制代理模塊的主要目的是保證在正常傳輸信息時，實現用戶信息數據庫與認證服務器的分離，充分保證用戶信息的安全。認證服務器主要完成與客戶端的認證工作。各種用戶的身份認證信息和本地的一些安全參數信息，都存放在用戶信息數據庫中。同時，為保護用戶與認證服務器之間的通信以及實現用戶對服務器的身份認證，認證服務器和用戶分別擁有一對RSA公私密鑰對和CA機構頒發的證書，用戶可以通過使用認證服務器的公鑰加密信息來驗證服務器的身份是否合法，從而達到雙向驗證的目的。認證服務器在實際使用環境中將放置于企事業單位網絡的內部網絡，受到防火墻的訪問控制保護。

（2）認證客戶端

認證客戶端位于內部網絡和公共網絡任何待認證的用戶主機中。認證客戶端主要實現系統和客戶的管理，為終端用戶提供一個簡潔、方便的操作界面。

（3）認證令牌

每一個用戶擁有一個認證令牌，認證令牌主要用于認證服務器發送的挑戰隨機動態數字和種子值，通過一個隨機函數生成算法，計算出相應的動態口令，每個挑戰隨機數都是唯一的，并且決不重復使用。這樣就保證了每次認證過程均生成一個唯一的與認證令牌對應的不可預測的令牌碼，提供給認證客戶端。認證客戶端將此碼與用戶碼一起提交給認證服務器端，驗證用戶的身份。

3．2 初始注冊過程

假定認證服務器和客戶端均獲得由證書發放機構CA發放的用戶證書和私鑰，在用戶入網認證之前首先在認證服務器端進行注冊，管理員在認證令牌中寫入唯一的ID號、用戶客戶端認證信息以及認證服務器的公鑰，同時認證服務器在本地的用戶信息數據庫中為用戶生成注冊信息及在數據庫中保存用戶證書，這樣用戶成為網絡資源服務器的合法用戶。

3．3 認證協議設計

該認證協議在傳統的動態口令認證機制中請求/應答認證方式的基礎上，對該協議在傳輸安全性方面進行了改進，實現了客戶端和認證服務器身份的雙向認證。

在下面的認證協議中：E表示采用了客戶端的RSA私鑰進行簽名，H表示對產生的認證隨機數的MD5散列運算，M為本次待認證信息，M1=H(M)。

在初始化完成之后，如果用戶希望訪問資源服務器的資源，必須首先通過認證服務器的認證。用戶可以利用認證令牌中的認證信息向系統認證服務器證明自己的身份。客戶端與認證服務器之間需要完成如圖2所示的四個消息的交互以完成兩者之間的身份認證。

①(UserID，Psw)表示客戶端發送給認證服務器待認證的用戶名和口令；

②Rand表示認證服務器生成一個隨機數Rand，作為認證時的挑戰；

③E(ID，Rand，M1)表示客戶端發給服務器端的認證數據包；

④N3表示認證服務器發送給用戶的認證結果信息。

此認證協議的具體認證過程如下：

(1)當用戶在客戶端登錄并向資源服務器發出資源訪問請求時，系統提示用戶輸入用戶名和口令，并將輸入結果（UserID，Psw）發送給控制代理模塊。其中客戶端與控制代理之間采用安全傳輸通道SSL，控制代理模塊將該認證請求連接轉發到認證服務器，控制代理模塊和認證服務器之間采用明文傳輸TCP/IP協議。

(2)認證服務器首先驗證用戶名和口令

①如果正確，認證服務模塊和客戶端按照基于動態口令機制的認證協議進行雙向的身份認證，認證服務模塊將產生并向客戶端發送一個隨機數認證數據包作為挑戰，并保存此隨機數到數據庫中。

②如果不正確，傳回提示用戶重新輸入的信息，讓用戶端重新輸入。

（3）客戶端收到包含有隨機數的認證數據包后，判斷數據包包頭信息為認證數據包時，將該認證請求發送到認證令牌；認證令牌接收到該認證請求，系統提示用戶輸入私鑰保護口令，認證令牌將向認證服務器發起另一個認證連接，認證令牌根據種子值和挑戰隨機數，運用隨機運算法則生成認證信息并調用簽名程序，對生成的認證信息和用戶名、口令進行簽名，形成消息E(ID，Rand，M1)作為響應回送給認證服務器。

（4）認證服務器接收到E(ID，Rand，M1)消息后，由認證服務器根據用戶名在數據庫中查找口令和剛剛存儲的隨機數，并驗證簽名的正確性，再將認證結果發送給控制代理模塊，該認證過程結束。

①當用戶身份為合法用戶時，控制代理模塊為客戶端發起的資源請求連接中繼到資源服務器，從而建立客戶端和資源服務器的透明代理，客戶端此時就可以訪問資源服務器的資源了。

②如果用戶身份為非法用戶，認證失敗，同時客戶端的訪問請求連接被拒絕。

4 安全性分析

(1)用戶信息的保密性

身份認證系統中的所有重要數據，如密鑰、口令等，均是以密文形式存儲、傳輸。

(2)信息的完整性

客戶端通過數字簽名證明其身份，而數字簽名是基于強大的SHA1散列算法，可以保證得到的摘要不會透露出任何最初明文的信息。客戶端用自己的私鑰加密信息，這樣不僅解決了證明發送人身份的問題，同時還解決了文件是否被竄改的問題，從而保證了信息的完整性。

（3）防止網絡監聽

認證協議過程中，客戶端發給服務器端的（UserID，Psw）和E(ID，Rand，M1)通過SSL協議傳輸，在網絡上并不是明文的方式，所以網絡監聽攻擊是無效的。同時由于認證信息是動態變化的，因此這對攻擊者來說可利用的攻擊時間很短，根本就沒有足夠的時間進行攻擊。

（4）防止重放攻擊

由于采用了挑戰/應答認證機制，使得每次認證時認證服務器均會向客戶端發送一個唯一的隨機數，不會重復。因此，如果黑客截獲了某一次的簽名信息試圖重放，則不會認證成功；如果截獲了服務器發向客戶端的隨機數，由于沒有私鑰，也不可能正確簽名，所以也不會認證成功。

（5）防止字典攻擊

由于每次客戶端發送的數字簽名都隨著每次服務器發來的隨機數的不同而不同，因此字典式攻擊也是無效的。

（6）口令產生機制

認證服務器端的動態口令即為認證服務器發向客戶端的隨機數，而客戶端的動態口令即為認證令牌發給認證服務器的響應數，系統可以保證動態口令在兩端的產生機制完全相同。

（7）防止口令攻擊

攻擊者在知道了認證算法后，可以對用戶的口令字進行猜測。解決這個問題在用戶初始化時，要求用戶輸入長度至少為6的口令以提高抗口令攻擊的強度。同時由于認證令牌在登錄時也需要輸入口令，而這個口令是存儲在智能卡等物理設備中，并用密鑰加密存放，而且口令并不在網絡上傳輸，因此攻擊者不能從監聽到的認證報文中得到用戶的認證令牌的登錄口令。

（8）雙因素認證機制

本文采用雙因素認證機制鑒別用戶身份，即根據用戶所知道的東西——口令和認證金牌進行身份認證，只有同時擁有口令和認證令牌才能通過系統認證，而口令只有用戶自己知道，即使用戶丟失了認證令牌，也可以向管理員申請掛失，使該令牌失效。

（9）雙向身份認證機制

在大多數系統中，只能實現服務器對用戶的身份認證，而不能防止服務器假冒，本系統通過在認證服務器和客戶端分別設置RSA公私密鑰對，可以實現認證服務器和客戶端的雙向身份認證。

（10）安全性更高

本文充分利用了PKI證書認證可以防止用戶名和口令被竊取、抗抵賴、挑戰/應答認證方式可以有效防止重放攻擊的優勢，把兩者結合起來，使其相互補充、相輔相成，從而為用戶提供更強的身份認證功能。

5 結束語

本文將PKI技術與動態身份認證技術相結合，提出了一種全新的身份認證機制，克服了傳統的單一認證機制存在的不足，通過用戶私鑰和認證令牌兩個因素來實現用戶的身份認證，從而達到了較高的安全性，對身份認證技術的研究具有一定的參考價值。雖然認證服務器位于受保護的系統子網中，但是，如果攻擊者不但攻破了系統的認證服務器，且攻破了存放RSA公私密鑰對的密鑰庫，此時攻擊者就能夠偽裝服務器，騙取客戶端的信任，從而獲得客戶端的身份信息。所以如何在認證協議中有效阻止認證服務器的偽裝，仍是一個有待研究的問題。

參考文獻：

[1]汪同慶，魯軍，華晉，等.基于MD5算法和Schnorr協議的雙因素身份認證系統[J].計算機應用研究，2004，21(12):137139.

[2]劉知貴，楊立春，蒲潔，等.基于PKI 技術的數字簽名身份認證系統[J].計算機應用研究，2004，21(9):158160.

[3]張亮，張加亮.動態身份認證方案及應用[J].重慶大學學報，2004，(7):139142.

[4]CJF Cremers， S Mauw， EP de Vink. A Syntactic Criterion for Injectivity of Authentication Protocols[J]. Electronic Notes in Theoretical Computer Science， 2005，135(1):23-38.

[5]Wei Liang， Wenye Wang. On Performance Analysis of Challenge/Response Based Authentication in Wireless Networks[J]. Computer Networks， 2005，48(2):267-288.

作者簡介：

張秋余(1966-)，男，河北辛集人，副教授，主要研究方向為軟件工程、網絡與信息系統、信息安全；梁爽(1976-)，女，碩士研究生，主要研究方向為信息安全；王懷江（1974-），男，工程師，主要研究方向為通信工程、嵌入式系統。

注:本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文