數(shù)據(jù)庫加密系統(tǒng)中基于Ｘ．５０９證書的橢圓曲線加密身份認證機制

摘要：身份認證問題是網(wǎng)絡安全的重要研究課題，利用橢圓曲線密碼系統(tǒng)相對于其他公鑰密碼體制具有密鑰長度短、運算速度快、計算數(shù)據(jù)量小的特點，結合X.509證書構建一個新的、高效的、安全的身份認證方案。

關鍵詞：身份認證; X.509證書; 橢圓曲線; 橢圓曲線密碼系統(tǒng)

中圖分類號：TP309．2文獻標志碼：A

文章編號：1001-3695(2007)11-0109-02

計算機網(wǎng)絡與數(shù)據(jù)庫系統(tǒng)的飛速發(fā)展和廣泛應用使資源共享進入了一個嶄新的階段。數(shù)據(jù)庫系統(tǒng)作為計算機信息系統(tǒng)的核心部件，其安全問題是信息系統(tǒng)安全的一個重要方面。那么，為了保護數(shù)據(jù)庫資源，防止攻擊者對原始數(shù)據(jù)的竊取和竄改，研究設計集身份認證、訪問控制、保密傳輸和數(shù)據(jù)加密為一體的網(wǎng)絡密文數(shù)據(jù)庫系統(tǒng)是十分必要的。身份認證機制是數(shù)據(jù)庫加密系統(tǒng)安全性的第一道防線，一旦被攻破，系統(tǒng)的所有安全措施將形同虛設。本文就身份認證這一研究課題，提出了一種新的身份認證方案。

1基于X.509證書的身份認證方案

身份認證是身份識別(identification) 和身份認證(authentication)的總稱， 是查明用戶是否具有所請求資源的存儲和使用權， 即系統(tǒng)查核用戶的身份證明的過程。身份認證的關鍵是準確地將對方辨認出來， 同時還應該提供雙向認證， 即相互證明自己的身份。基于公鑰密碼技術的安全策略是目前應用較多的認證技術[1]。

在基于公鑰密碼技術的身份認證技術中， 一般都是基于X.509 證書的， 它由一個可信的第三方證書授權(CA)中心所提供。一個證書授權（CA）中心作為可信的第三方，被認為是有權為其他主體簽發(fā)證書的一個可信主體。 所以，一般認為由CA簽發(fā)的X.509 證書是可信的， 故稱該種認證技術為X.509 身份認證[2]。

該方案是雙向的強認證方案，具有相互實體認證功能[3]。這里的“強”是指不是簡單地使用口令，而是使用時間戳和基于隨機數(shù)的挑戰(zhàn)與應答。認證過程如圖1所示。

3結束語

本文在研究身份認證技術基礎上， 結合公鑰密碼機制， 提出了一種基于X.509 的ECC身份認證協(xié)議方案。本文之所以選擇ECC加密機制是因為橢圓曲線加密方法與其他加密方法相比，有以下優(yōu)點：

a)安全性能更高。加密算法的安全性能一般通過該算法的抗攻擊強度來反映。ECC與其他幾種公鑰系統(tǒng)相比，其抗攻擊性具有絕對的優(yōu)勢，如160 bit ECC與1 024 bit RSA、DSA具有相同的安全強度。

b)計算量小、處理速度快。在相同的安全強度下，筆者用160 bit ECC進行加/解密要比用1 024 bit RSA、DSA快大約10倍。同時ECC系統(tǒng)的密鑰生成速度比RSA快百倍以上。因此在相同條件下，ECC則有更高的加密性能。

c)存儲空間占用小。ECC的密鑰尺寸和系統(tǒng)參數(shù)與RSA、DSA相比要小得多。160 bit ECC與1 024 bit RSA、DSA具有相同的安全強度，210 bit ECC則與2 048 bit RSA、DSA具有相同的安全強度。這意味著它所占的存儲空間要小得多，對于加密算法在資源受限環(huán)境上(如智能卡等)的應用具有特別重要的意義[5，6]。

參考文獻：

［1］楊波.現(xiàn)代密碼學[M].北京：清華大學出版社，2003：203-207.

［2］袁暉.基于X.509證書的身份認證機制的研究［J］.大眾科技，2006（2）：174－175.

［3］孫淑玲.應用密碼學[M].北京：清華大學出版社，2004：147－170.

［4］鄒仕順，董平，蘇力萍.基于橢圓加密的新型數(shù)字簽名方案［J］.計算機應用，2005，25（11）：147－148.

[5］張險峰，秦志光，劉錦德.橢圓曲線加密系統(tǒng)的性能分析[J].電子科技大學學報，2001，30（2）：144－147.

［6］夏先智，趙毅.基于橢圓曲線加密算法技術優(yōu)勢的探討[J].計算機科學，2003，30(10)：181－183.

“本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文”