云電子身份管理與認證系統中的關鍵技術優化改進

王鵬程+謝昆鵬

摘 要： 當前的身份管理認證技術存在風險高、數據庫儲存效率低、認證錯誤率高等弊端。因此，提出一種云電子身份管理認證系統，系統主要由認證服務器、系統服務器與云訪問服務器組成。認證服務器中的控制代理模塊截取用戶對資源服務器請求認證的數據信息，并將數據信息發送到認證服務模塊進行身份認證。用戶進入到信息數據庫中后，通過系統服務器中的RSA模塊，對用戶所需文件進行加密解密處理，依靠用戶私鑰和認證令牌實現身份認證，將數據信息上傳到云訪問服務器進行存儲和傳遞，完成整個云電子身份管理與認證。給出RSA模塊中的部分功能函數和文件加密解密流程圖，以及RSA模塊進行身份認證過程中的大數乘法和大數模冪運算過程。實驗結果表明，提出身份管理和認證系統耗能低、認證效率高，具有較高的數據處理精度。

關鍵詞： 身份管理； 身份認證； RSA模塊； 安全性

中圖分類號： TN99?34 文獻標識碼： A 文章編號： 1004?373X（2016）24?0022?04

Optimization improvement of key technology of cloud electronic identity management and authentication system

WANG Pengcheng， XIE Kunpeng

（Henan Institute of Finance， Zhengzhou 450000， China）

Abstract： There are high risk， low efficiency of database storage， high authentication error rate in the current identity management authentication technology. Therefore， a cloud electronic authentication management system is proposed. This system is mainly composed of authentication server， system server and cloud access server. The control agent module in the authentication server intercepts the data information that the user requests for authentication by resource server， and sends the data information to the certification service module. When the user enters into the information database， the files required by the user are encrypted and decrypted by the RSA system server module. The identity authentication relies on the user′s private key and authentication token. The data information is uploaded to the cloud access server for storage and transmission to complete the entire cloud electronic identity management and authentication. Partial functions， flow charts of file encryption and decryption in RSA module， as well as the power operation process of large numbers multiplication and large mathematical model in the verification process of RSA module are given in this paper. The experimental results shows that proposed identity management and authentication system has low energy consumption， high efficiency and high precision of data processing.

Keywords： identity management； identity authentication； RSA module； security

0 引 言

隨著電子信息技術的不斷發展，公共網絡服務、事務查詢等功能越來越多地出現在電子信息系統上。它可以為跨互聯網的用戶們提供安全快速的身份認證服務。電子信息系統給人們的生活帶來便捷，但隨之也存在電子信息技術安全性方面的問題[1?3]。其中的重要部分便是身份安全問題。構建一個安全性優良的電子身份信息管理和認證系統是目前相關專業人員的重點研究方向[4?6]。

目前的身份驗證方法都存在一些不足。如文獻[7]提出了OPEN ID身份信息處理系統，具體過程為讓用戶事先在網站上注冊個人信息，并且任何網站都可以使用OPEN ID進行登錄，對用戶身份進行認證。因為網站質量參差不齊，導致OPEN ID技術不穩定，安全風險也很大。文獻[8]提出單點登錄法，當用戶訪問任意的服務器，只要登錄過一次，通過其中的安全認證，那么下次用戶再訪問其他資源的時候則無需再次認證登錄。其缺點為安全性能太低，中央數據庫的管理代價較高。還會產生第三方服務器跨域問題。文獻[9]采用了OITF聯合身份管理系統，這種管理系統可以為多個應用系統進行身份認證，實現了跨域的單點登錄與身份管理。但由于身份安全級別的不同，安全認證的需求也不同，在多個應用系統中，要想使用統一的認證體系需要大量的開銷，極大地提高了成本。為了解決以上方法中存在的問題，本文設計了一種云電子身份管理認證系統。

1 云電子身份管理與認證系統設計

1.1 系統結構

云電子身份管理認證系統主要將數據庫中的用戶個人信息與各個應用系統的數據通過身份認證系統，來進行統一的管理、認證。首先，認證服務器將會對用戶的身份進行確認，認證服務器中的控制代理模塊截取用戶對資源服務器請求認證的數據信息，并將數據信息發送到認證服務模塊進行用戶身份認證。用戶進入到信息數據庫中后，需要通過系統服務器中的核心模塊，也就是RSA模塊對用戶所需文件進行加密解密處理，最終將數據信息上傳到云訪問服務器中，以完成整個電子身份認證管理過程。云電子身份管理與認證系統結構如圖1所示。

（1） 認證服務器。認證服務器含有控制代理模塊與認證服務模塊。其中，控制代理模塊截取用戶對資源服務器請求認證的數據信息，并將數據信息發送到認證服務模塊進行身份認證。認證服務器為身份認證系統與認證服務模塊之間必不可少的一環。為了在服務器交換數據信息時，用戶數據和認證服務器保持完全分離，需要使用控制代理模塊，它可以保護用戶個人信息的安全。而認證服務器在客戶端完成相應的身份信息認證工作。在后臺的信息數據庫里存儲了大量的用戶個人信息數據。為了保護用戶的個人信息安全，用戶與認證服務器各擁有一個RSA密鑰，RSA密鑰可以實現用戶與客戶端的互相驗證，用戶可以根據認證服務器的公鑰信息判斷驗證服務器身份是否合法。

（2） 認證客戶端。在每個公共網絡與內部網絡的未認證的用戶主機里都有一個認證客戶端，其是身份驗證系統的操作界面。

（3） 認證令牌。認證令牌是在進行身份認證時隨機生成的動態數字，經過函數計算能夠得到動態口令。身份驗證系統會將得到的動態口令與用戶的ID信息進行對比查詢，提交到認證模塊的服務器中，以此來驗證用戶的身份。在身份驗證系統中，每一位用戶都會得到一個認證令牌。

1.2 系統服務器結構設計

認證模塊、系統管理模塊、用戶模塊、RSA管理模塊以及數據庫管理模塊組成了完整的系統服務器。系統服務器依靠模塊化的部件，確保身份認證系統更具有擴展性、安全性。系統服務器構造如圖2所示。

整個系統服務器的基礎模塊為RSA模塊，其可進行RSA加密或解密，實現大數運算，根據其他模塊的需要來進行計劃調度。同樣可以進行計劃調度的還有數據庫管理模塊，它對用戶數據進行處理。用戶進入到信息數據庫中后，通過系統服務器中的RSA模塊，對用戶所需文件進行加密解密處理，依靠用戶私鑰和認證令牌實現身份認證，將數據信息上傳到云訪問服務器中進行存儲和傳遞。系統管理模塊為身份認證系統的核心，可對其他模塊進行協調并加載服務。

1.3 云訪問服務器

云訪問服務器給用戶提供存儲和共享數據信息，并進行數據傳輸功能。云訪問服務器的工作效率對于身份管理與認證系統有著很大的影響。云訪問服務器的結構圖如圖3所示。

由圖3可見，云訪問服務器分為用戶注冊、用戶登錄、添加刪除好友、文件上傳、文件下載和文件共享6個模塊。依靠云系統的龐大容量來滿足身份認證系統的擴展需求。數據庫中的數據進行加密后即可儲存在云系統中，進行過加密處理的文件除了用戶本人以外，無法被讀取，從而保證了整個身份認證系統的保密性、安全性。

2 身份管理與認證系統的軟件設計

2.1 RSA模塊功能設計

RSA模塊是云電子身份管理認證系統的核心模塊之一，其可以運算RSA算法，還可以對文件進行加密解密處理。RSA的性能影響著系統的性能，因為在身份驗證系統中，基本上所有的函數運算都需要RSA模塊來完成。下面為RSA模塊中的部分功能函數：

Clargent函數的功能為可以將大數進行計算，比如基本的加減乘除、模冪與位移的運算等。內存中大數的構造即為Clargent函數：

enum LIMIT{LENGTH = 0xFF}；

unsigned long _len；

unsigned long _data[LENGTH]；

其中：len是大數的總長度，大數的最大長度即為len×32=8 192 b，Data為總長度中每一位的具體數值。進行運算設計時，將2×32作為基底，以左邊代表低位，右邊代表高位。

下列函數都與大素數相關：

InitSmallPrimes代表素數測試模塊所用的初始化小素數表；

SmallPrimeTest代表對產生的大數p進行的小素數檢驗，檢驗通過后再對大數p進行RabinMiller測試；

RabinMillerTest代表對產生的大數p進行RabinMiller測試，若測試通過則認為大數p為素數；

下列是與密匙相關的一些函數：

GetCommonDivisor代表獲取到兩個大數的最大公約數；GetE代表生成私匙（n，e）；GetD代表生成公匙（n，d）；RSAEncrypt代表將數據進行RSA加密處理；RSADecrypt代表將數據進行RSA解密處理。

為了讓文件與數據的相互轉換變得更加簡單，RSA模塊在文件加密處理時將文件作為大數來運算。一般文件的大小基本都比理論上大數的總長度大，所以在進行文件轉換時需將文件分段處理，對文件進行分段加密處理，最后再連接成一個完整的文件。解密過程同加密過程完全相反。

下面是文件的解密流程，如圖4所示。由圖4可知，需進行加密解密處理的文件共兩個，其中，Encode text代表將對文件進行加密處理；Decode text代表將對文件進行解密處理。

2.2 RSA模塊進行大數乘法過程

為了實現大數和unsigned long類型的乘法，RSA模塊需要先列出一個函數式，然后依據函數式來反復調用這一模塊。設A為位數是m的大數，設B為unsigned long類型數，則最后大數A*B的運算過程為：

（1） 設C0=0，i=0

（2） 則可得Ri=Ai*B+Ci

（3） 如果 Ri>0xFFFFFFFF，Ci+1=Ri/0xFFFFFFFF，Ri=Ri&0xFFFFFFFF

（4） 如果Ri<0xFFFFFFFF，Ci+1=0

（5） 如果i≥m，則結束

（6） i=i+1，重復步驟2

2.3 RSA模塊進行大數模冪運算過程

在RSA模塊進行電子身份認證運算過程中，私鑰與公鑰的值確定后，若想完成身份驗證并簽名，無論再進行發送還是接收都只需再運算一次，這種運算的過程稱之為模冪運算。構成模冪運算的為模乘運算，因為在RSA模塊中，大數位通常大于512 b，大數模冪的運算量則會很大。若想提高運算速度，需要簡化模冪算法，如下為簡化的大數模冪運算過程：

為了求得D=C15%N，因為a*b%n=（a%n）*（b% n）%n，那么可以得出：

C1=C*C%N=C2%N

C2=C1*C%N=C3%N

C3=C2*C2%N=C6%N

C4=C3*C%N=C7%N

C5=C4*C4%N=C14%N

C6=C5*C%N=C15%N

故可以將模冪運算e=15分解為6個模乘運算。通過分析上述函數式的規律可以得出e為任意值時，使用函數算法計算出D=Ce%N：

D=1

While e≥0

If （e非偶數）

D=D*C%N

D=D*D%N

e=e-1

If （e非奇數）

D=D*D%N

e=e/2

最終回到D

根據結果進行分析得知，D乘C的具體時間通過檢驗e的二進制各位數得出，并且在檢驗過程中，由左至右的檢測比較簡單，如下：

D=1

For i=n to 0

D=D*D%N

If e[i]=1

D=D*C%N

最終回到D

3 實驗分析

作為客戶端與服務器之間重要的數據傳輸設備，身份認證系統需要向用戶提供訪問代理服務。用戶是否能安全地登錄客戶端，對身份驗證系統有很高的要求，實驗對本文設計的云電子身份管理認證系統進行測試，驗證其性能。

3.1 測試準備

在實驗中本文采用了Avalanche 測試工具，其可模擬出大量的用戶對本文設計的身份管理與認證系統進行訪問，進而得出具體的實驗結果。為了避免客戶端和身份認證服務器在實驗身份認證過程中讀取的數據不同，采用Ethereal 抓包工具來抓取動態數據包，再對數據包進行解析。

3.2 測試結果

為了驗證本文提出方法的有效性，在各種不同條件下進行了多次測試，測試的結果如表1所示。通過表1可以得知：當最大并發數達到2 000，2 500，3 000時，本文設計的身份管理和認證系統CPU 消耗的最大值并未超過系統合理運行所要求的最大限度，當并發數達到很大的數值時，系統依舊可以正常運作；本文的身份管理和認證系統對于用戶要求響應的時間在220 ms左右，具有較高的認證效率；在測試過程中，當并發數值達到很大時，本文身份管理和認證系統對于數據處理的正確率也在99%以上。在身份認證系統中，由于系統軟件部分的運算速度有限，所以在對文件進行讀取和加密解密的過程中，對于函數式的運算性能要求十分苛刻。下面對本文提出的身份認證系統的文件加密解密運算執行時間進行性能檢測，結果如表2所示。

由圖5可知，對不同大小的文件分別進行加密和解密測試后的驗證結果顯示出文件的大小與文件加密解密的時間成正比，并且文件加密解密的所用時間都是ms級，非常微小。故本文提出的身份認證系統可以滿足用戶進行高效率身份認證的需求。

4 結 論

本文提出一種云電子身份管理認證系統，系統主要由認證服務器、系統服務器與云訪問服務器組成。實驗結果表明，提出身份管理和認證系統耗能低、認證效率高，具有較高的數據處理精度。

參考文獻

[1] 王群，李馥娟，錢煥延.云計算身份認證模型研究[J].電子技術應用，2015，41（2）：135?138.

[2] 朱莉蓉，陳寧江，何佩聰，等.基于動態信任管理的云用戶行為認證服務系統[J].廣西大學學報（自然科學版），2015，40（6）：1485?1493.

[3] 王文清，柴麗娜，陳萍，等.Shibboleth與CALIS統一認證云服務中心的跨域認證集成模式[J].國家圖書館學刊，2015，24（4）：45?50.

[4] 李丙戌，吳禮發，周振吉，等.基于信任的云計算身份管理模型設計與實現[J].計算機科學，2014，41（10）：144?148.

[5] 王雷，王平建，向繼.云存儲環境中的統一認證技術[J].中國科學院大學學報，2015，32（5）：682?688.

[6] 葉丹.云智能生活中的身份安全[J].五金科技，2014，42（5）：82?85.

[7] 王崇霞，丁顏，劉倩，等.云計算環境的聯盟身份認證方案設計[J].應用科學學報，2015，33（2）：215?222.

[8] 陳志杰，黃昆，鮮明.云存儲環境下基于生物特征的訪問控制機制研究[J].計算機科學，2014，41（z2）：250?251.

[9] 何亨，夏薇，李鵬，等.對等云存儲系統中抗Sybil攻擊的準入控制機制[J].中國科技論文，2015，10（2）：150?158.