基于智能卡的X.509身份認(rèn)證

文章出處：http://m.botanicstilllife.com 作者： 人氣： 發(fā)表時(shí)間：2012年02月19日

    摘 要：身份認(rèn)證中的關(guān)鍵技術(shù)是身份信息的安全存儲(chǔ)、處理和傳遞，本文提出了一種基于智能卡的 X.509身份認(rèn)證方案，設(shè)計(jì)了一套基于 X.509的身份認(rèn)證協(xié)議，將智能卡作為存儲(chǔ)身份信息的載體，密碼運(yùn)算都在智能卡內(nèi)部進(jìn)行，認(rèn)證過(guò)程安全性好。在開(kāi)放的網(wǎng)絡(luò)環(huán)境中，此方案可較好地防止中間人攻擊，驗(yàn)證用戶(hù)身份。 
    主題詞：身份認(rèn)證；智能卡；X.509協(xié)議

    1引言

    計(jì)算機(jī)網(wǎng)絡(luò)是一把“雙刃劍”，既可大大方便人們的工作、生活，又使不法分子非法竊取、篡改網(wǎng)絡(luò)信息成為可能。如何確保特定的資源被合法用戶(hù)訪問(wèn)，成為保證網(wǎng)絡(luò)和信息安全的首要條件。網(wǎng)絡(luò)身份認(rèn)證成為解決此問(wèn)題的關(guān)鍵技術(shù)，它通過(guò)雙方交換一些可信物，證實(shí)身份的正確性。許多專(zhuān)家和學(xué)者都提出了一些有效的身份認(rèn)證方法。

    口令機(jī)制通過(guò)核對(duì)用戶(hù)名和口令驗(yàn)證用戶(hù)身份，但口令易被猜測(cè)和截取?；谏锾卣鞯恼J(rèn)證機(jī)制利用用戶(hù)獨(dú)有生物特征鑒別身份，但基于此方案的設(shè)備造價(jià)高?；谥悄芸ǖ恼J(rèn)證機(jī)制是一種雙因子身份認(rèn)證方式，內(nèi)部提供硬件保護(hù)措施和加密算法，可安全存貯用戶(hù)身份信息，進(jìn)行密碼運(yùn)算，整體安全性好，且易攜帶，實(shí)現(xiàn)一卡多用，應(yīng)用較普遍?；诿艽a技術(shù)的身份認(rèn)證方法，主要是在認(rèn)證過(guò)程中提供安全的認(rèn)證協(xié)議，保證信息傳遞的安全性?；赬.509認(rèn)證協(xié)議使用較廣泛。

    2基于X.509協(xié)議的認(rèn)證機(jī)制分析

    X.509協(xié)議是一種強(qiáng)身份認(rèn)證協(xié)議，它利用公鑰密碼技術(shù)，借助可信第三方權(quán)威機(jī)構(gòu)――證書(shū)中心CA頒發(fā)的證書(shū)，辨別雙方的身份，實(shí)現(xiàn)身份認(rèn)證。

    2.1X.509身份認(rèn)證原理

    X.509認(rèn)證協(xié)議中，密碼由互不相同的公鑰和私鑰構(gòu)成，私鑰由用戶(hù)秘密保存，公鑰與用戶(hù)身份通過(guò)證書(shū)綁定，是公開(kāi)的。證書(shū)是符合X.509規(guī)范，包括用戶(hù)的身份、公鑰、頒發(fā)證書(shū)的CA的身份和CA對(duì)證書(shū)的簽名等。若通信雙方都擁有自己的證書(shū)和私鑰，當(dāng)一方要讓對(duì)方確認(rèn)自己的身份時(shí)，可用自己的私鑰簽名認(rèn)證消息，發(fā)送給對(duì)方。對(duì)方收到消息后，只需用發(fā)方的公鑰驗(yàn)證簽名，如果能正確解開(kāi)消息，則可認(rèn)為發(fā)方具有合法身份。CA對(duì)證書(shū)的簽名可確保證書(shū)的可信性，當(dāng)一方收到證書(shū)后，可通過(guò)驗(yàn)證證書(shū)上的簽名，區(qū)別真?zhèn)危乐咕W(wǎng)絡(luò)上身份假冒。在實(shí)際應(yīng)用中，還要采用一些防重放、防中間人攻擊等手段。

    2.2X.509身份認(rèn)證方式

    X.509規(guī)定了單向、雙向和三向三種認(rèn)證方式，提供不同層次的安全認(rèn)證［1］。系統(tǒng)中用到的符號(hào)及認(rèn)證過(guò)程的具體描述如下：

    （1） A、B：主體A、B的身份信息。 
    （2） PA（）、PB（）：主體A和主體B公鑰加密的信息。 
    （3） SA（）、SB（）：主體A和主體B私鑰簽名的信息。 
    （4） tA、tB：主體A、B產(chǎn)生的時(shí)間戳，為雙方檢查消息延遲的參數(shù)。
    （5） rA、rB：主體A、B發(fā)送的一次性隨機(jī)數(shù)，作為雙方檢查消息重放攻擊的參數(shù)。

    X.509認(rèn)證交換協(xié)議框圖如圖1。

    假定認(rèn)證雙方都知道對(duì)方的公鑰。單向認(rèn)證僅為①步。在雙向認(rèn)證中包括①和②兩步。三向認(rèn)證將雙向認(rèn)證的兩次的時(shí)間戳置為零或不送，而接收檢查時(shí)不檢查時(shí)間戳。第三步傳遞的數(shù)據(jù)為③。

    單向認(rèn)證通過(guò)A到B的單向通信，確認(rèn)數(shù)據(jù)是A發(fā)送的。雙向認(rèn)證增加了來(lái)自B的應(yīng)答，A可識(shí)別B已收到自己發(fā)送的消息。這兩種認(rèn)證方式加入了時(shí)間標(biāo)記，可防止攻擊者重放攻擊，但要求雙方系統(tǒng)時(shí)間同步，技術(shù)上難以達(dá)到。三向認(rèn)證協(xié)議中，雙方可以通過(guò)驗(yàn)證返回的隨機(jī)數(shù)防止重放攻擊，技術(shù)上容易實(shí)現(xiàn)。三向認(rèn)證協(xié)議安全性最好。基于X.509協(xié)議的認(rèn)證技術(shù)，利用公鑰加密算法和數(shù)字證書(shū)對(duì)認(rèn)證過(guò)程中傳遞的信息進(jìn)行驗(yàn)證和保護(hù)，私鑰不會(huì)在網(wǎng)絡(luò)上傳輸，不必在網(wǎng)上傳遞口令或指紋等敏感信息。攻擊者雙方交換的信息，可有效地保證通信雙方身份的真實(shí)性和不可抵賴(lài)性。

    3基于智能卡的X.509身份認(rèn)證方案

    3.1智能卡的特點(diǎn)及功能

    智能卡包括卡內(nèi)操作系統(tǒng) COS和算法庫(kù)兩個(gè)模塊。COS負(fù)責(zé)對(duì)所傳送的信息進(jìn)行安全性檢查和處理，防止卡與終端之間通信數(shù)據(jù)被非法竊取或篡改，保證數(shù)據(jù)正確傳輸；管理芯片內(nèi)存儲(chǔ)的各種數(shù)據(jù)；檢查接收到的命令的各項(xiàng)參數(shù)是否正確，執(zhí)行相應(yīng)操作。 [2][3]

    智能卡可根據(jù)不同需要擴(kuò)展密碼算法庫(kù)，實(shí)現(xiàn)下列密碼算法：

    1) 對(duì)稱(chēng)加密算法——DES算法、3DES算法、RC４、RC５算法； 
    2) 摘要(散列值)算法——SHA－1算法、MD5算法；
    3) 非對(duì)稱(chēng)加密算法——RSA算法、DSA算法、ECC算法。 

    本方案中COS可根據(jù)需要運(yùn)行上面密碼算法，進(jìn)行卡上的密鑰生成和信息加密、簽名、驗(yàn)證運(yùn)算。 

    3.2 智能卡安全機(jī)制分析

    智能卡芯片內(nèi)的文件分為MF、DF和EF三種。MF(主文件)是所有文件的根文件；DF文件是目錄文件；EF是基本文件，用來(lái)存儲(chǔ)具體的數(shù)據(jù)和記錄，也是COS命令所要操作的具體對(duì)象。

    每個(gè)DF或MF下有且只有一個(gè)KEY文件，在任何情況下密鑰均無(wú)法讀出。在KEY文件中可存放多個(gè)密鑰，在滿(mǎn)足KEY文件的增加、使用、修改權(quán)限時(shí)，才可增加、使用和修改密鑰。每種密鑰具有其獨(dú)立性，用于一種特定功能的密鑰不可作為它用。因此可通過(guò)KEY文件，控制智能卡中存儲(chǔ)數(shù)據(jù)的安全性。

    本設(shè)計(jì)中，EF分為密鑰、證書(shū)及識(shí)別用戶(hù)身份的 PIN碼；支持以下幾種密鑰：個(gè)人密碼(PIN)、外部認(rèn)證密鑰、內(nèi)部認(rèn)證密鑰、Crypt密鑰、PIN解鎖密鑰、PIN重裝密鑰、應(yīng)用維護(hù)密鑰等。整個(gè)系統(tǒng)，密碼運(yùn)算、口令校驗(yàn)均在智能卡內(nèi)部完成，并且進(jìn)出智能卡的信息進(jìn)行安全性的檢查和處理。 [5]

    3.3 基于智能卡的X.509身份認(rèn)證系統(tǒng)

    3.3.1基于智能卡的X.509身份認(rèn)證系統(tǒng)體系結(jié)構(gòu)

    基于智能卡的X.509身份認(rèn)證系統(tǒng)由認(rèn)證客戶(hù)端、認(rèn)證服務(wù)器、目錄服務(wù)器、密碼提供器、證書(shū)機(jī)構(gòu)組成，如圖2所示。 [4] [5]

圖2 基于智能卡的X.509身份認(rèn)證系統(tǒng)體系結(jié)構(gòu)

    證書(shū)機(jī)構(gòu)（CA）管理用戶(hù)公鑰證書(shū)。從智能卡中導(dǎo)出公鑰，結(jié)合用戶(hù)提供的身份信息，生成公鑰證書(shū)，然后將公鑰證書(shū)寫(xiě)入智能卡，發(fā)布至目錄服務(wù)器。管理證書(shū)撤銷(xiāo)列表。