淺述基于身份標(biāo)識(shí)加密的身份認(rèn)證方案

戴文博 池曉金

摘 要 目前，我國處在經(jīng)濟(jì)快速發(fā)展的新時(shí)代，在大規(guī)模通信節(jié)點(diǎn)的網(wǎng)絡(luò)中，網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)量大、設(shè)備種類多，傳統(tǒng)的PKI密碼體系存在證書管理困難與資源浪費(fèi)的問題。文章設(shè)計(jì)了基于身份標(biāo)識(shí)加密的節(jié)點(diǎn)雙向認(rèn)證方案。利用基于身份的密碼加密對通信節(jié)點(diǎn)進(jìn)行雙向的身份認(rèn)證，解決了PKI體系中的數(shù)字證書管理問題;采用密鑰分割的方法解決了基于身份密碼體制所存在的密鑰托管問題。同時(shí)，在認(rèn)證協(xié)議中引入隨機(jī)因子、時(shí)間戳、散列運(yùn)算等防范各種網(wǎng)絡(luò)攻擊。最后，對加密算法的安全性和效率以及認(rèn)證協(xié)議的安全性進(jìn)行了分析，證明了認(rèn)證方案是安全可靠的。

關(guān)鍵詞 節(jié)點(diǎn)身份認(rèn)證;基于身份的密碼體制;密鑰托管;加密

引言

隨著Internet的迅猛發(fā)展，信息安全也越來越受到人們的重視，要真正實(shí)現(xiàn)互聯(lián)網(wǎng)上交易與信息傳輸?shù)陌踩?，就必須滿足機(jī)密性、真實(shí)性、完整性、不可抵賴性4大要求。公鑰密碼技術(shù)是能夠滿足以上四大要求的統(tǒng)一技術(shù)框架。PKI（PublicKeyInfrastructure）的中文名稱為公鑰基礎(chǔ)設(shè)施，它是一種公鑰密碼技術(shù)，經(jīng)過了數(shù)十年的研究和發(fā)展，已在諸多領(lǐng)域獲得廣泛應(yīng)用。目前的網(wǎng)上銀行、網(wǎng)上證券以及電子商務(wù)等都依賴于PKI技術(shù)。在PKI技術(shù)中，由于每個(gè)用戶需要事先申請數(shù)字證書，用戶使用復(fù)雜，后臺(tái)管理也異常煩瑣，這樣PKI技術(shù)在某些領(lǐng)域的應(yīng)用受到了很大的局限性。IBE（Identity-BasedEncryption）的中文名稱為基于身份的加密，也是一種公鑰密碼技術(shù)，它直接利用用戶的唯一身份標(biāo)識(shí)作為公鑰，不采用數(shù)字證書的概念，用戶使用和后臺(tái)管理都很簡單，有廣泛的應(yīng)用前景。

1身份認(rèn)證過程描述

身份認(rèn)證模塊分為兩步，密鑰產(chǎn)生和信息處理。系統(tǒng)使用對稱密碼算法，加解密使用相同的密鑰。如果使用已協(xié)商好的密鑰，每一位用戶的證書需要密鑰加密進(jìn)行備份，因此，用戶和數(shù)據(jù)庫需要很大的存儲(chǔ)空間進(jìn)行密鑰管理。密鑰只能用于加解密，信息本身并沒有任何意義，這些將造成信息的冗余和空間的浪費(fèi)。為了解決這一問題，本文提出使用密鑰信息作為密鑰生成參數(shù)。一方面，這將使信息本身具有意義，節(jié)省認(rèn)證信息存儲(chǔ)空間。另一方面，密鑰信息和數(shù)據(jù)驗(yàn)證形式更靈活，密鑰可以隨時(shí)生成，無須存儲(chǔ)，保證系統(tǒng)的安全性。在密鑰生成部分，考慮到認(rèn)證的時(shí)效性，將使用文件的有效期作為一部分輸入?yún)?shù)。一旦信息超出有效期，密鑰也將失效，不能正確解密數(shù)據(jù)，驗(yàn)證將失敗。同時(shí)，用戶的ID卡號(hào)作為密鑰參數(shù)之一，保證密鑰數(shù)據(jù)不能由第三方計(jì)算得出。密鑰的自動(dòng)生成降低了風(fēng)險(xiǎn)，增強(qiáng)了系統(tǒng)的安全性。系統(tǒng)對文件特征信息、持卡人的身份信息和編號(hào)通過哈希函數(shù)計(jì)算，其單向性和防碰撞的唯一性保證數(shù)據(jù)信息難以偽造和竊取[1]。

2身份標(biāo)識(shí)加密的身份認(rèn)證方案

2.1 節(jié)點(diǎn)雙向認(rèn)證協(xié)議的安全性對比分析

①重放攻擊：方案通過設(shè)置挑戰(zhàn)隨機(jī)數(shù)和時(shí)間戳來防止重放攻擊，每次認(rèn)證過程由雙方產(chǎn)生隨機(jī)數(shù)進(jìn)行身份確認(rèn)，每條消息均附有時(shí)間戳，使每一次在信道中傳輸?shù)南⒍疾幌嗤?，攻擊者不能通過截獲歷史消息進(jìn)行重放實(shí)現(xiàn)非法認(rèn)證。②拒絕服務(wù)攻擊：攻擊者為了破壞網(wǎng)絡(luò)的服務(wù)，可以選擇對認(rèn)證服務(wù)器或者認(rèn)證者發(fā)動(dòng)拒絕服務(wù)攻擊，耗費(fèi)網(wǎng)絡(luò)資源。如果發(fā)生對認(rèn)證者的拒絕服務(wù)攻擊，認(rèn)證者在收到申請者發(fā)送的消息時(shí)，首先會(huì)檢查消息中認(rèn)證者的隨機(jī)數(shù)與自己之前發(fā)送的是否一致，若不一致，則丟棄該分組，這在一定程度上可以抵抗對認(rèn)證節(jié)點(diǎn)的拒絕服務(wù)攻擊。③雙向身份認(rèn)證：雙向身份認(rèn)證可以有效防范中間人攻擊。認(rèn)證過程通過對雙方產(chǎn)生的隨機(jī)數(shù)的識(shí)別與利用雙方身份標(biāo)識(shí)進(jìn)行加密的技術(shù)結(jié)合，實(shí)現(xiàn)相互間身份的認(rèn)證，可防范會(huì)話劫持。④消息完整性鑒別：通過對消息內(nèi)容進(jìn)行散列運(yùn)算生成校驗(yàn)碼，對消息內(nèi)容的完整性進(jìn)行鑒別，可以有效鑒別消息是否受到破壞、篡改或失真。對散列值利用基于身份密碼進(jìn)行加密，保護(hù)完整性校驗(yàn)信息的安全性，提高可靠度。⑤完善的加密機(jī)制：認(rèn)證過程消息由基于身份的加密機(jī)制進(jìn)行加密保護(hù)，有效保護(hù)了傳輸信息的安全性，防止受到劫獲與竊聽。同時(shí)，基于節(jié)點(diǎn)身份的加密與解密過程也具有對節(jié)點(diǎn)身份的認(rèn)證作用，與認(rèn)證內(nèi)容相互補(bǔ)充。

2.2 服務(wù)器認(rèn)證

第1步：客戶在移動(dòng)設(shè)備的二維碼生成界面輸入用戶姓名和密碼，執(zhí)行對稱密鑰加密?？蛻艚K端的二維碼系統(tǒng)發(fā)送加密信息給二維碼服務(wù)器進(jìn)行確認(rèn)。第2步：二維碼服務(wù)器對加密信息進(jìn)行解密，對地址信息、用戶名和密碼進(jìn)行哈希運(yùn)算。第3步：在二維碼數(shù)據(jù)庫中使用用戶名作為搜索條件，通過使用上一步得出的動(dòng)態(tài)密鑰可以解密得到密碼。第4步：如果上一步中得出的密碼是正確的，移動(dòng)終端將具有定長的信息地址、用戶姓名和密碼，執(zhí)行算法就可以產(chǎn)生相應(yīng)的動(dòng)態(tài)密鑰，否則，認(rèn)證失敗。第5步：移動(dòng)終端生成的動(dòng)態(tài)密鑰用于解析用戶訪問號(hào)碼以及在移動(dòng)終端對存儲(chǔ)的文件進(jìn)行加密的其他信息。第6步：移動(dòng)終端對IMSI、用戶訪問移動(dòng)終端的用戶號(hào)和系統(tǒng)時(shí)間進(jìn)行哈希值計(jì)算，生成固定長度的摘要值，得到一個(gè)新的動(dòng)態(tài)密鑰。第7步：在對二維碼信息進(jìn)行2次對稱加密之后用戶移動(dòng)終端將生成新的動(dòng)態(tài)密鑰，用戶將得到新的二維碼，將其發(fā)送給服務(wù)器。第8步：服務(wù)器將對收到的新的二維碼執(zhí)行解碼和解密操作，驗(yàn)證信息的準(zhǔn)確性。如果信息是一致的，驗(yàn)證通過，否則，請求失敗[2]。

3結(jié)束語

本文對Waters的基于身份加密算法進(jìn)行了改進(jìn)，解決了基于身份密碼的密鑰托管問題，并利用改進(jìn)的IBE算法設(shè)計(jì)了網(wǎng)絡(luò)通信設(shè)備節(jié)點(diǎn)的雙向認(rèn)證方案。認(rèn)證方案以加密為基礎(chǔ)實(shí)現(xiàn)節(jié)點(diǎn)的身份認(rèn)證，實(shí)現(xiàn)了通信設(shè)備節(jié)點(diǎn)間的雙向認(rèn)證，利用隨機(jī)因子與散列值防范各種網(wǎng)絡(luò)攻擊。與傳統(tǒng)節(jié)點(diǎn)認(rèn)證方案相比，本文方案免去了數(shù)字證書的管理，直接以節(jié)點(diǎn)身份作為公鑰，節(jié)約了管理成本，提高了使用效率。同時(shí)，本文方案將IBE體制融合入認(rèn)證協(xié)議中，從算法和協(xié)議兩方面保證了認(rèn)證的安全性，與其他基于身份的密碼相比，在保證安全性的同時(shí)最大限度地保證認(rèn)證的效率與通信流量的控制。在下一步工作中，還需要進(jìn)一步改進(jìn)加密方案，提高解密的效率;對認(rèn)證協(xié)議優(yōu)化，不斷提高方案的運(yùn)行效率。

參考文獻(xiàn)

[1] 黎妹紅，韓磊.身份認(rèn)證技術(shù)及應(yīng)用[M].北京：北京郵電大學(xué)出版社，

2012：77.

[2] 楊浩淼，邱樂德.基于身份的公鑰密碼體制的研究[M].成都：電子科技大學(xué)出版社，2012：31.