论文部分内容阅读
摘 要:数字校园身份认证体系经历了从各个信息系统独立的用户认证到统一的身份认证体系,基于PKI机制身份认证体系提供的数字签名功能,不但使身份认证更为安全和可靠,而且对用户操作具有不可否定性。利用个人智能密码钥匙作为数字证书的载体,增强数字证书的安全性,并且提供标准操作接口,扩展了基于PKI机制进行身份认证的应用范围,提高了数字证书的使用方便性。
关键词:身份认证 数字签名 公钥基础设施 数字证书
中图分类号:TP309 文献标识码:A 文章编号:1673-8454(2008)03-0035-02
以往数字校园的身份认证,都采用账号 口令的认证方式,无法实现对身份的真实性和用户活动及数据的有效性和不可否定性进行认证。采用PKI机制,通过数字证书实现身份认证,能够较好地保证身份认证的安全性,并能实现用户的数字签名,确保用户操作和数据的有效性和不可否定性。[1] 学校在建设PKI认证体系时,代表数字身份的数字证书的载体主要有三种形式,一种是数字证书文件方式,它的密钥对是由证书签发服务器产生,证书文件包含了公私密钥对,文件可以存放于硬盘、光盘等存储介质上。这种方式由于公私密钥对不是由证书持有人本身产生,私钥存在一定风险,并且证书文件可以任意拷贝,证书的保管也有一定风险。另外一种是采用PKI卡,是一种支持PKI机制的IC卡,签名密钥对在卡内产生,数字证书存放于IC卡内,这种方式有着较高的安全性,但是要进行身份认证必须有PKI卡读卡设备,从而影响了它的使用范围。[2] 还有一种就是采用智能密码钥匙,一种支持PKI机制提供USB接口的个人密码设备,公私密钥对在设备内产生,数字证书存放于密码钥匙内,同样有着较高的安全性,由于电脑和许多智能设备都支持USB接口,使用起来十分方便。
一、基于PKI机制的身份认证体系的设计
基于PKI机制的身份认证体系主要包括两个部分:数字证书认证系统和智能密码钥匙。其中数据证书认证系统为校务管理应用系统提供证书签发、证书查询、证书下载及证书认证等服务功能。智能密码钥匙为数字证书的载体,同时也提供数据加密和数字签名等功能。
数字校园应用的身份认证体系框架如图1所示。
在数字校园中,数字证书认证系统为校务管理应用提供了安全保障的基础设施。学生和教职员工持有智能密码钥匙作为使用校务管理应用系统的数字身份通行证。
其中证书注册中心负责接受证书注册请求,获取证书的签名公钥和用户主体信息,并提交给证书管理中心签发证书,同时接收并发布签发的数字证书。
证书管理中心负责证书签发和证书注销等管理功能。
证书服务中心则负责证书查询、证书下载以及证书撤销表的查询和下载。
数字证书的签发过程:
(1)智能密码钥匙内部产生签名密钥对。
(2)证书注册中心从智能密码钥匙中导出签名公钥,并和证书主体信息一起发送给证书管理中心。
(3)用证书管理中心的根证书签发数字证书。
(4)证书注册中心从证书管理中心获取数字证书装入智能密码钥匙中,并发布到证书服务中心上。
(5)持有人为其智能密码钥匙设置PIN码。
2.智能密码钥匙
智能密码钥匙是一种数字证书的载体,它支持PKI机制,并提供通用的USB接口,它的组成结构如图3所示。
智能密码钥匙能够与普通U盘一样随身携带,在电脑上即插即用,在认证过程中利用PIN码和数字证书双重认证,即使丢失,别人也无法使用,确保身份的真实性,而且认证在智能密码钥匙内部完成,认证过程不可伪造。由于证书同时存在于智能密码钥匙中,认证端可以把根证书事先下载下来进行本地保存,这样可以实现离线的身份认证。
二、身份认证在网络图书借阅中的应用
目前图书馆图书借阅管理的发展已经历两个阶段。第一阶段是在图书馆内部建设一个图书借阅信息管理系统,借阅人提交借阅证和需要借阅的书目,图书管理人员通过信息系统对图书借阅信息自动处理和管理,通过人工方式辨别借阅人的身份,无法保证图书借阅活动和数据的安全性;第二阶段利用IC卡作为电子借阅证,实现自动的身份验证,其实也是通过卡内存储的个人信息进行身份验证。这两种方式都需要到图书馆去办理借阅手续,而且对图书借阅数据没有安全性保证。采用基于PKI机制的身份认证体系,则可以实现网络图书借阅系统,借阅人可在自己的电脑上,通过网络实现图书的借阅。
要实现网络的图书借阅,主要需要解决两个方面的安全问题:
(1)借阅人的身份认证。借阅人在电脑上插入智能密码钥匙,通过证书认证体系来实现借阅人的身份认证,确保了借阅人身份的真实性。
(2)图书借阅活动的有效性和不可否定性。利用借阅人的智能密码钥匙中的签名私钥对图书借阅信息进行签名,把图书借阅信息和签名信息一起发送给图书管理中心,图书管理中心从证书认证系统中获取借阅人的证书,利用借阅人的证书对签名进行验证,确保图书借阅信息的有效性和不可否认性。
基于PKI机制的身份认证体系能够较好解决网络图书借阅中存在的安全问题,这样能够减少借阅人花费在图书馆的时间,同时也减少了图书馆管理的工作量,提高了工作效率。
三、结束语
基于PKI机制,利用数字证书进行身份认证将初步替代传统的口令认证方式,将来不仅是应用系统,并且操作系统和数据库都将使用数字证书进行身份认证,使系统具有更高的安全性。智能密码钥匙将替代用户口令,成为个人数字身份的代表。
参考文献:
[1]袁航.校园网内PKI系统的设计与实现[J].微型电脑应用,2006(6).
[2]肖红光,段斌,盛孟刚等.基于校园卡CA验证签名的设计与实现[J].计算机技术与自动化,2002(1).
关键词:身份认证 数字签名 公钥基础设施 数字证书
中图分类号:TP309 文献标识码:A 文章编号:1673-8454(2008)03-0035-02
以往数字校园的身份认证,都采用账号 口令的认证方式,无法实现对身份的真实性和用户活动及数据的有效性和不可否定性进行认证。采用PKI机制,通过数字证书实现身份认证,能够较好地保证身份认证的安全性,并能实现用户的数字签名,确保用户操作和数据的有效性和不可否定性。[1] 学校在建设PKI认证体系时,代表数字身份的数字证书的载体主要有三种形式,一种是数字证书文件方式,它的密钥对是由证书签发服务器产生,证书文件包含了公私密钥对,文件可以存放于硬盘、光盘等存储介质上。这种方式由于公私密钥对不是由证书持有人本身产生,私钥存在一定风险,并且证书文件可以任意拷贝,证书的保管也有一定风险。另外一种是采用PKI卡,是一种支持PKI机制的IC卡,签名密钥对在卡内产生,数字证书存放于IC卡内,这种方式有着较高的安全性,但是要进行身份认证必须有PKI卡读卡设备,从而影响了它的使用范围。[2] 还有一种就是采用智能密码钥匙,一种支持PKI机制提供USB接口的个人密码设备,公私密钥对在设备内产生,数字证书存放于密码钥匙内,同样有着较高的安全性,由于电脑和许多智能设备都支持USB接口,使用起来十分方便。
一、基于PKI机制的身份认证体系的设计
基于PKI机制的身份认证体系主要包括两个部分:数字证书认证系统和智能密码钥匙。其中数据证书认证系统为校务管理应用系统提供证书签发、证书查询、证书下载及证书认证等服务功能。智能密码钥匙为数字证书的载体,同时也提供数据加密和数字签名等功能。
数字校园应用的身份认证体系框架如图1所示。
在数字校园中,数字证书认证系统为校务管理应用提供了安全保障的基础设施。学生和教职员工持有智能密码钥匙作为使用校务管理应用系统的数字身份通行证。
其中证书注册中心负责接受证书注册请求,获取证书的签名公钥和用户主体信息,并提交给证书管理中心签发证书,同时接收并发布签发的数字证书。
证书管理中心负责证书签发和证书注销等管理功能。
证书服务中心则负责证书查询、证书下载以及证书撤销表的查询和下载。
数字证书的签发过程:
(1)智能密码钥匙内部产生签名密钥对。
(2)证书注册中心从智能密码钥匙中导出签名公钥,并和证书主体信息一起发送给证书管理中心。
(3)用证书管理中心的根证书签发数字证书。
(4)证书注册中心从证书管理中心获取数字证书装入智能密码钥匙中,并发布到证书服务中心上。
(5)持有人为其智能密码钥匙设置PIN码。
2.智能密码钥匙
智能密码钥匙是一种数字证书的载体,它支持PKI机制,并提供通用的USB接口,它的组成结构如图3所示。
智能密码钥匙能够与普通U盘一样随身携带,在电脑上即插即用,在认证过程中利用PIN码和数字证书双重认证,即使丢失,别人也无法使用,确保身份的真实性,而且认证在智能密码钥匙内部完成,认证过程不可伪造。由于证书同时存在于智能密码钥匙中,认证端可以把根证书事先下载下来进行本地保存,这样可以实现离线的身份认证。
二、身份认证在网络图书借阅中的应用
目前图书馆图书借阅管理的发展已经历两个阶段。第一阶段是在图书馆内部建设一个图书借阅信息管理系统,借阅人提交借阅证和需要借阅的书目,图书管理人员通过信息系统对图书借阅信息自动处理和管理,通过人工方式辨别借阅人的身份,无法保证图书借阅活动和数据的安全性;第二阶段利用IC卡作为电子借阅证,实现自动的身份验证,其实也是通过卡内存储的个人信息进行身份验证。这两种方式都需要到图书馆去办理借阅手续,而且对图书借阅数据没有安全性保证。采用基于PKI机制的身份认证体系,则可以实现网络图书借阅系统,借阅人可在自己的电脑上,通过网络实现图书的借阅。
要实现网络的图书借阅,主要需要解决两个方面的安全问题:
(1)借阅人的身份认证。借阅人在电脑上插入智能密码钥匙,通过证书认证体系来实现借阅人的身份认证,确保了借阅人身份的真实性。
(2)图书借阅活动的有效性和不可否定性。利用借阅人的智能密码钥匙中的签名私钥对图书借阅信息进行签名,把图书借阅信息和签名信息一起发送给图书管理中心,图书管理中心从证书认证系统中获取借阅人的证书,利用借阅人的证书对签名进行验证,确保图书借阅信息的有效性和不可否认性。
基于PKI机制的身份认证体系能够较好解决网络图书借阅中存在的安全问题,这样能够减少借阅人花费在图书馆的时间,同时也减少了图书馆管理的工作量,提高了工作效率。
三、结束语
基于PKI机制,利用数字证书进行身份认证将初步替代传统的口令认证方式,将来不仅是应用系统,并且操作系统和数据库都将使用数字证书进行身份认证,使系统具有更高的安全性。智能密码钥匙将替代用户口令,成为个人数字身份的代表。
参考文献:
[1]袁航.校园网内PKI系统的设计与实现[J].微型电脑应用,2006(6).
[2]肖红光,段斌,盛孟刚等.基于校园卡CA验证签名的设计与实现[J].计算机技术与自动化,2002(1).