數據庫加密系統中基于Ｘ．５０９證書的橢圓曲線加密身份認證機制

摘要：身份認證問題是網絡安全的重要研究課題，利用橢圓曲線密碼系統相對于其他公鑰密碼體制具有密鑰長度短、運算速度快、計算數據量小的特點，結合X.509證書構建一個新的、高效的、安全的身份認證方案。

關鍵詞：身份認證; X.509證書; 橢圓曲線; 橢圓曲線密碼系統

中圖分類號：TP309．2文獻標志碼：A

文章編號：1001-3695(2007)11-0109-02

計算機網絡與數據庫系統的飛速發展和廣泛應用使資源共享進入了一個嶄新的階段。數據庫系統作為計算機信息系統的核心部件，其安全問題是信息系統安全的一個重要方面。那么，為了保護數據庫資源，防止攻擊者對原始數據的竊取和竄改，研究設計集身份認證、訪問控制、保密傳輸和數據加密為一體的網絡密文數據庫系統是十分必要的。身份認證機制是數據庫加密系統安全性的第一道防線，一旦被攻破，系統的所有安全措施將形同虛設。本文就身份認證這一研究課題，提出了一種新的身份認證方案。

1基于X.509證書的身份認證方案

身份認證是身份識別(identification) 和身份認證(authentication)的總稱， 是查明用戶是否具有所請求資源的存儲和使用權， 即系統查核用戶的身份證明的過程。身份認證的關鍵是準確地將對方辨認出來， 同時還應該提供雙向認證， 即相互證明自己的身份。基于公鑰密碼技術的安全策略是目前應用較多的認證技術[1]。

在基于公鑰密碼技術的身份認證技術中， 一般都是基于X.509 證書的， 它由一個可信的第三方證書授權(CA)中心所提供。一個證書授權（CA）中心作為可信的第三方，被認為是有權為其他主體簽發證書的一個可信主體。 所以，一般認為由CA簽發的X.509 證書是可信的， 故稱該種認證技術為X.509 身份認證[2]。

該方案是雙向的強認證方案，具有相互實體認證功能[3]。這里的“強”是指不是簡單地使用口令，而是使用時間戳和基于隨機數的挑戰與應答。認證過程如圖1所示。

3結束語

本文在研究身份認證技術基礎上， 結合公鑰密碼機制， 提出了一種基于X.509 的ECC身份認證協議方案。本文之所以選擇ECC加密機制是因為橢圓曲線加密方法與其他加密方法相比，有以下優點：

a)安全性能更高。加密算法的安全性能一般通過該算法的抗攻擊強度來反映。ECC與其他幾種公鑰系統相比，其抗攻擊性具有絕對的優勢，如160 bit ECC與1 024 bit RSA、DSA具有相同的安全強度。

b)計算量小、處理速度快。在相同的安全強度下，筆者用160 bit ECC進行加/解密要比用1 024 bit RSA、DSA快大約10倍。同時ECC系統的密鑰生成速度比RSA快百倍以上。因此在相同條件下，ECC則有更高的加密性能。

c)存儲空間占用小。ECC的密鑰尺寸和系統參數與RSA、DSA相比要小得多。160 bit ECC與1 024 bit RSA、DSA具有相同的安全強度，210 bit ECC則與2 048 bit RSA、DSA具有相同的安全強度。這意味著它所占的存儲空間要小得多，對于加密算法在資源受限環境上(如智能卡等)的應用具有特別重要的意義[5，6]。

參考文獻：

［1］楊波.現代密碼學[M].北京：清華大學出版社，2003：203-207.

［2］袁暉.基于X.509證書的身份認證機制的研究［J］.大眾科技，2006（2）：174－175.

［3］孫淑玲.應用密碼學[M].北京：清華大學出版社，2004：147－170.

［4］鄒仕順，董平，蘇力萍.基于橢圓加密的新型數字簽名方案［J］.計算機應用，2005，25（11）：147－148.

[5］張險峰，秦志光，劉錦德.橢圓曲線加密系統的性能分析[J].電子科技大學學報，2001，30（2）：144－147.

［6］夏先智，趙毅.基于橢圓曲線加密算法技術優勢的探討[J].計算機科學，2003，30(10)：181－183.

“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文”