脚本巴巴 www.jiaoben88.com

PKI技术在移动身份认证中的应用

发布时间:2014-09-25 21:57:20编辑:脚本巴巴
数字证书在网络世界中唯一标识身份,运用证书管理机构签发的证书绑定PKI技术确保数据在互联网上传播的安全。移动身份认证为远程移动业务的身份认证和信息交换提供安全保障,可以保证数据在传输过程中的保密性、可靠性以及信息的完整性和不可抵赖性。

  信息技术的发展,为移动办公业务提供了新的发展空间,在互联网Internet、定位服务(LBS)、现代计算机等技术的支持下,通过移动身份认证,移动客户端可以在任何时间任意地点处理将日常事务,所处理相关的信息和业务与常规事务并没有什么区别。

  移动业务处理主要依赖于事务处理系统的安全保障,事务处理系统提供用户访问通道,用户进行身份验证之后进入事务处理模块,从而可以完成事务处理平台的所有服务[1]。

  身份认证技术依赖的互信任关系依赖于第三方认证机构认证中心(CA)以满足移动身份认证的安全需求。信息交换之前,双方通过CA获取对方的数字证书,识别证书并建立连接。数字证书作为一种有效的网络身份认证技术,可以充分核实用户身份和权限。数字证书拥有者可以将证书传递给他人、通信系统及其他需要身份认证的网络站点以证实自己的身份,随后与对方建立一种可信的、加密的通信关系[2]。

  1 相关算法

  1.1 身份认证技术

  被认证技术的真实性以及被认证人的权限是认证技术的核心,用户认证过程就是用户向服务器提供身份证明,并被核实的过程[3]。通常在信息传递的过程中使用用户名、密码的方式进行认证身份认证和简单数据加密。

  1.2 数字证书

  数字证书签发机构作为被信赖的第三方机构,可以保证证书真实可靠,使用者身份信息、公钥、证书有效期等完整的数字证书数据,是所有移动终端用户在互联网上完成身份证明的保证,它们被写入专有的存储介质中,以保证不背恶意篡改和非法获取[4]。移动身份认证的使用范围很广,随着移动终端的普及,应用范围包括各级政府政务处理、企事业单位日常办公业务、学校等机构的工作信息处理都包含在其中,处理途径包括多个领域,操作内容包括日常应用与办公、信息定期发布、事务处理系统内部事务处理、远程在线交流等。

  1.3 认证方案

  认证中心(CA)是数字证书的签发机构,CA具有固定的级别,各个CA认证机构之间进行互相验证,从而建立互信任的关系。CA主要负责数字证书的管理,包括证书的认证、审核、证书内容管理、证书有效时间管理以及证书的颁发、更新、撤销和归档等。移动身份认证在现有的PKI/PMI标准基础上,结合数字证书,构建了一个PKI/CA互信任体系[6],客户端和服务器在进行连接时,首先进行身份验证,双方都通过被信任的认证中心获取证明,客户端用户连接服务器之前先发送请求,服务器端接受客户端发送的证书,服务器端验证对方公钥的数字签名,交换加密私钥,确认证书有效性,完成连接。

  1.4 认证机制[7]

  用户使用系统时,只需要安装客户端程序,当该客户端通过验证成为合法用户时,用户可以安全地使用网络。

  1.5 数字证书应用

  在应用服务器之前要安装认证服务器,认证服务器主要负责信息解密和身份认证。设备在安装时,完成如下工作:1) 设备在网络注册时,将设备身份数据和与其绑定的U盘的身份数据加密存放在系统的设备认证服务器中;2)在设备认证服务器和终端设备中存放相同的设备认证密码算法软件。

  1.6 数字证书应用平台和应用系统接口

  系统通过身份认证和PKI技术进行安全保护,在服务器端的应用层和传输层之间添加一个传输通道,用于保护数据和程序在传输过程中不会丢失,数据在传输过程中添加了数字签名。当客户端发送请求,服务器端须进行身份验证,通过验证数字证书的合法性,在客户端和服务器端建立数据传送通道,对数据进行加密,添加数字签名,以保证传输过程中的安全。数字证书与对称、非对称加密算法的结合,可以保证数据加密和用户授权确认作为一套完整严密的身份认证系统,从而确保:1) 信息的发送方和接受方之见传输的消息不会被非法读取;2) 传输过程中信息不会丢失,也不能被人为篡改3)信息的发送方可以确认接收方的身份4) 信息的发送方必须承认发送的消息。

  2 系统应用分析

  移动办公安全体系的安全认证需求有:1)验证客户端用户身份;2)对信息资源的授权进行访问。

  2.1 客户端身份认证

  认证服务器在接收认证请求时,对该申请进行认证鉴定。服务器端运行如下:(1)将服务器端公钥装载入文件系统;(2)初始化随机数产生程序,以便在首次网络连接时不用进行等待;(3)连接监听端口;(4)监听到连接请求,将产生的时问戳和随机数发送到客户端;(5)接收客户端数字证书;(6)验证客户端数字证书签名;(7)通过认证转入应用服务,否则拒绝服务。客户端签名认证程序要做以下事情:(1)读入用户私钥,并对其进行解密;(2)服务器连接;(3)从服务器端取得待签名的数据;(4)对获得的数据进行签名;(5)将签名结果返回给服务器端。验证流程如图2所示。

  2.2 证书授予过程

  在这个模块中,认证中心设置在服务端,在服务端进行认证,客户端作为用户,是发出申请的一方,数字认证证书包括“姓名,身份证号,公钥,密钥,参数,签证日期,证书有效期,认证编号”。

  2.3 证书撤消过程

  根据用户信息撤消证书,返回用户证书已撤消信息。用户通过查询证书状态,可以立刻看到撤消的证书情况。CA建立撤销列表,告知用户数字证书的有效性。撤销列表中包含的数字证书,是所有还在有效使用期,但是被数字证书注册审批机构(Registration Authority,RA)撤销的。证书撤销过程:(1) 证书拥有者向RA提出请求,申请撤销;(2) RA对撤销请求进行审核;(3) 若申请通过审核,则RA将撤销内容发送给CA;(4) CA签发机构修改证书状态,并建立新的撤销列表。

  3 模块实现

  系统实现了认证服务器的建立,证书的签发与管理,证书的验证以及服务器端的实现,并在网络信息系统上进行了实际的应用。在该应用中,认证服务器产生证书存储在的特定区域,当客户端要访问系统时,服务器端首先检测客户端的的证书,如果证书有效,则转到系统中,此时的数据传输都在服务器端启用通道中进行,从而保证传输的数据的安全。

  移动用户使用数字证书进行身份验证,在这个过程中,移动终端和事务处理系统进行双向验证:事务处理系统根据收到的数字证书,给予终端用户相应的权限,建立一个安全通道,进行访问控制。在数字证书管理界面填入相应的内容,点击提交生成相应的数字证书:

  证书只是第一次使用时需要导入,证书内容保存在服务器,下次在此计算机登录时不用再导入。当更换了计算机时需要重新导入证书。在新的计算机导入证书后,原计算机原来导入的证书自动失效,在原计算机不能再登录(除非再重新导入证书)。导入的证书内容并不保存的你的电脑上,不必担心证书会从电脑上泄露。证书文件可以下载到的U盘里,便于随身携带和保管。证书文件只允许下载一次,数字证书一旦丢失,就不能保证有效性,用户必须重新注册,用户注册后,丢失的证书自动生效,新证书成为唯一有效的身份认证。

  4 结论

  安全性漏洞是移动办公业务发展的主要障碍,逐渐成熟的PKI技术将成为重要的网络安全保障。PKI能有效解决网络环境下的身份认证问题,而使用数字证书则能有效防止身份冒充,为了保障身份认证的安全,将PKI技术与数字证书想结合,对信息传播和数据传输的安全提供有力保障,将数字证书发展到移动平台,保证了安全性和可操作性的同时并不改变事务处理系统的事务内容和事务处理方式。随着移动终端技术的发展以及数字证书的广泛应用为移动办公平台的身份认证技术发展打下了良好的应用基础。 (下转第5436页)

  参考文献:

  [1] 陆剑江.通用模式的移动办公平台设计方案研究[J].计算机工程与设计,2006,27(4):695-697.

  [2] 胡颖.公开密钥加密体系和数字签名技术的研究[J].计算机光盘软件与应用,2013,16(11):298.

  [3] 林明星.数据加密技术的具体应用[J].软件,2014,35(1): 100.

  [4] 赵鑫锐.浅议数字证书在网络安全中的应用[J].计算机光盘软件与应用, 2014,7(1): 175.

  [5] 彭丽,李光明.移动办公业务在行业内的应用分析[J].办公自动化, 2014 (3).

  [6] 王健.基于 PKI 的数字证书统一管理平台[D].太原:太原理工大学, 2013.

  [7] 傅喆,栗青霞,王换换.一种改进的双向认证的动态密码[J].电子科技, 2014,27(1): 150-152.

上一篇:基于无线网络的校园网构建策略
下一篇:无线校园网络的安全与应对策略

相关文章