可信认证范文

可信认证范文（精选7篇）

可信认证 第1篇

当前, 互联网安全形势的日益严峻, 钓鱼网站、网络欺诈等网络安全事件呈现爆发式增长。据国家互联网应急中心 (CNCERT) 监测, 2013年1-4月份, 我国境内被篡改网站数量为35558个, 被植入后门的网站数量为31523个, 针对境内网站的仿冒页面有12580个。截止到2013年4月份, 中国反钓鱼网站联盟累计认定并处理钓鱼网站108415个。在这种形势下, 鉴别和防范网络钓鱼, 有效应对网络欺诈, 已经迫在眉睫。

实际上, 应对作为应对钓鱼网站、网络欺诈等安全问题的重要手段, 包含服务证书方式在内的网站可信认证服务已经受到广泛关注。国际上服务器证书的应用已经非常广泛, 全球500强企业、各大银行和电子商务网站大都使用了服务器证书, 2012年4月份的统计数据显示, 国际第三方服务器证书数量已经超过200万张, 该数据还在不断上升。而我国在服务器证书方面发展比较落后, 采用怎样的网站可信认证实现路径, 是当前首要解决的问题。

2 网站可信认证概述

从本质上看, 网站可信认证是一种以网站的身份真实性、可靠性和安全性等为审查对象, 以评价这些内容是否符合有关准则与规范为目标而进行的鉴证服务。由于对认证信息存储、保护、展示等采取的方式不同, 网站可信认证可以有多种实现模式, 但大都涉及网站主体、认证机构、互联网终端厂商和审计机构四类角色。下面对当前网站可信认证主要涉及的技术、产品和角色等进行介绍。

2.1 相关技术

公钥基础设施公钥基础设施 (PKI) 是集机构、系统 (硬件和软件) 、人员、程序、策略和协议为一体, 利用公钥概念和技术来实施和提供安全服务的、具有普适性的安全基础设施。

安全套接层 (SSL) 协议安全套接层 (SSL) 协议是美国网景公司 (Net Scape) 于1994年提出的一个关注互联网信息安全的信息加密传输协议, 其目的是为客户端 (浏览器) 到服务器端之间的信息传输构建一个加密通道, 此协议是与操作系统和Web服务器无关。网景公司在SSL协议中采用了通用的PKI加密技术。

2.2 产品类型

服务器证书 (Server Certificates) , 又称SSL证书, 是组成Web服务器的SSL安全功能的唯一的数字标识。通过相互信任的第三方组织获得, 为用户提供验证Web站点身份的手段, 并建立安全的HTTP连接。

增强验证服务器证书 (Extended Validation SSL Certificate) , 也称作EV证书, 是目前最新最可信的SSL证书。EV SSL标准由CA/Browser论坛制定, 是一个全球统一的标准, 要求所有证书颁发机构严格遵守此标准来颁发EV SSL证书。该标准意在解决目前各个数字证书颁发机构颁发SSL证书身份验证标准不统一的问题。

2.3 参与角色

网站主体主要指政府、企业等主办的各类网站, 需要依据认证机构的要求提交证明网站主体身份和属性的证明材料, 并接受认证机构的审核。

认证机构经授权或审计的第三方独立机构, 负责处理各网站主体的申请, 审核网站主体的各类信息, 对经过审核的网站发放认证信息凭证或采用特定技术手段保存相关信息, 并保证相关信息的安全性和保密性。

互联网终端厂商经授权的浏览器、即时通讯工具等互联网终端厂商, 负责根据认证机构发放的认证信息凭证或认证机构提供的认证信息查验方式验证网站信息, 并在终端上展示出来。

审计机构网站可信认证服务的规则制定者, 负责相关标准的制定和维护, 并依据标准对认证机构等其他参与方进行审计, 对其物理设备、技术和服务能力做出要求。如Web Trust认证, 是由全球两大著名注册会计师协会AICPA (美国注册会计师协会) 和CICA (加拿大注册会计师协会) 共同制定的安全审计标准, 主要对互联网服务商的系统及业务运作逻辑安全性、保密性等共计七项内容进行近乎严苛的审查和鉴证。

3 我国发展网站可信认证存在的问题

3.1 认证机构众多, 缺乏公信力

网站可信认证服务已成为当前互联网安全服务的新热点。目前, 多家第三方机构已经开展了不同形式的网站可信认证服务, 包括由中国互联网络信息中心 (CNNIC) 和北龙中网联合发起的“可信网站”验证服务、中国互联网信用评价中心推出“网站信用证”服务和中国电子商务协会数字服务中心开展的“诚信网站”认证服务。除第三方机构外, 搜索引擎、浏览器等互联网终端厂商也推出了自己的网站可信认证服务, 例如百度联盟认证体系、360可信网站认证等。

众多认证机构的参与, 加速了网站可信认证服务的全面推广, 但多样化的认证服务和个性化的网站可信标识, 也使得网站所有者和网民无所适从, 难以选择适合自己需要的、可信的网站认证服务。调查显示, 在已实施网站可信验证的网站中, 10%左右的网站实施了两种 (含两种) 以上的网站可信认证服务。重复认证不仅造成资源浪费, 而且导致具有公信力的网站可信标识缺失, 影响了社会公众对网站可信认证服务的信心, 制约着网站可信认证服务的进一步推广。

3.2 认证效率低下, 缺乏互通性

目前, 我国政府部门依据职责建立起了各领域信息基础数据库, 例如公民身份信息数库、企业工商信息数据库、网站备案信息数据库、域名注册信息数据库等。在开放性的互联网环境下, 这些数据库成为网站主体信息、属性信息的可靠来源, 是网站可信认证的基础和信任源。

然而, 由于各政府部门的分别建设和分散管理, 这些基础数据库不仅互通性差, 不同基础数据库的数据难以做到整合互通和资源共享, 而且开放度低, 各部门独立开展信息真实性查询和验证, 缺乏交互审核和比对服务, 难以做到业务中立。随着网站可信认证服务的不断推广和深入, 认证网站数量和认证内容将急剧增加。仅依靠现有基础数据库开展网站可信认证服务, 网站整体信息真实性需要逐步的完成、部分信息需要重复验证和交叉印证, 导致认证效率难以提升, 无法满足网站可信认证服务进一步发展的需要。

3.3 认证市场混乱, 缺乏规范性

经过大量的业务实践, 各网站可信认证机构根据自身业务特点、参照国际运营惯例, 从认证信息的收集、整合到认证凭证、认证标识的生成、发放和显示, 逐步形成了各具特色的服务流程和技术规范。遍布全国的30万已认证网站和以及新浪、腾讯等知名网站的成功应用案例已经初步证明了相关流程和规范的有效性。

然而, 网站可信认证的国家标准体系仍亟待建立。由于缺乏相关国家标准, 网站和网民难以对形式多样的网站可信认证服务进行比较和选择、审计机构难以对认证机构的服务和技术水平做出正确判断、监管部门难以及时发现网站可信认证工作中的服务和技术风险, 导致网站可信认证服务市场长期处于无序、自发的状态, 严重制约着网站可信认证服务的进一步推广。

3.4 国际合作不足, 缺乏通用性

在服务器证书方面, 我国一直发展比较落后, 市场规模较小。国内电子认证机构整体竞争力与国际大企业有较大差距。国际服务器证书市场基本由赛门铁克、Go Daddy和Comodo三家企业垄断, 其中赛门铁克市场份额最大。这几家企业均通过了Web Trust的审计, 并且是CA/Browser论坛的成员单位。赛门铁克以Equifax、Thawte、Veri Sign等几个品牌同时提供服务器证书服务, 整体份额超过40%。

相比之下, 国内电子认证机构目前证书数量较少, 并且由于费用高昂、过程繁琐等原因, 只有少数几家机构通过了Web Trust审计, 国内机构签发的大部分服务器证书因此未取得浏览器的信任, 用户在使用时会提示不受信任信息。由于缺乏技术支撑, 我国没有自主的浏览器内核产品, 国内一些浏览器厂商主要依靠开源内核, 在构建自主技术体系方面缺乏能力。同时, 国内认证机构和浏览器厂商均没有加入国际相关行业组织, 在整个服务器证书和网站可信认证领域没有话语权。

4 我国网站可信认证实现路径

由于我国当前服务器证书行业受多方钳制, 短期内无法发展到国际水平, 因此, 我国应基于现有力量, 开拓符合我国发展现状的网站可信认证实现路径。

4.1 依托电子认证服务业

网站可信认证业务与电子认证服务之间的关联性, 电子认证服务机构在提供网站可信认证服务方面具有天然的优势。而且自《电子签名法》颁布以来, 电子认证服务业规模不断扩大, 迄今已批准32家, 发放数字证书量超过1亿张, 行业产值24.8亿, 应用范围包括金融 (网银、证券) 、医疗 (电子病历、远程医疗) 、电子商务、电子政务 (税务、工商、招投标) 等各个领域, 在国民经济和社会活动中承担越来越重要的保障和支撑作用, 具备作为认证机构提供网站可信认证服务的能力。

4.2 联合国内互联网厂商

虽然我国各互联网终端厂商在技术实力还比不上微软、谷歌等具有国际垄断地位的厂商, 但也具备了相当的技术实力和用户。如360、腾讯、百度等, 在国内具有较高的市场占有率, 通过与国内互联网厂商联合开展网站可信认证服务, 可以充分利用其市场认可度, 快速打造统一的网站可信认证品牌, 整合国内认证市场。同时, 基于国内相关厂商的技术能力, 可以逐步形成技术升级, 与国际标准对接。

4.3 建立完善的认证体系

在政府的指导下, 发挥行业自律组织的作用, 围绕网站可信标识的授权和使用, 完善网站可信认证服务体系。建立以行业组织为审计机构, 以电子认证机构为认证机构, 以互联网厂商为终端厂商的认证体系, 以PKI体系为技术基础, 建立基于数字证书的网站可信认证服务实现机制。

在国产服务器证书不成熟的阶段, 以专用数字证书为基础, 建立基于数字签名的网站可信认证服务流程, 并开展相关服务。在国产服务器证书可广泛应用时, 积极扩展服务类型, 将服务器证书纳入网站可信认证服务体系, 并积极与国际接轨。以政府各类数据库的互联互通为基础, 构建网站可信认证公共服务平台, 推动实现认证资源和认证服务的开放共享, 力争做到一次验证, 全网通用, 全面提升风络可信验证服务的效率。

4.4 采用市场化机制运营

依托行业组织成立第三方审计机构, 充分借鉴Webtrust认证等国际安全审计标准, 制定符合我国国情的网站可信认证审计标准。坚持政府引导、社会参与、市场化运作的原则, 确立第三方认证服务机构的主体地位, 以现有认证服务优势资源为依托, 成立各方面参与的自律组织, 汇聚行业力量, 形成合力, 通过多种形式的试点工作, 打造具有公信力的网站可信标识, 建立持续推进网站可信认证工作的长效机制。

5 结束语

面对日益泛滥的假冒网站、钓鱼网站, 我国需要加强网站可信认证工作。本文介绍了网站可信认证的概况, 分析了当前我国在推进网站可信认证工作中存在的问题, 提出了适合我国现阶段发展状况的网站可信认证实现路径。

参考文献

[1]荆继武, 林瓂锵, 冯登国.PKI技术[M].北京:科学出版社, 2008.

[2]Biddle R, Oorschot P.C.van, Patrick AS, Sobey J, Whalen T.Browser interfaces and extended validation SSL certificates:an empirical study[C].In Proceedings of the 2009 ACM workshop on Cloud computing security.ACM.New York, USA.2009.

[3]CA/Browser Forum.http://www.cabforum.org/.

[4]WebTrust.www.webtrust.org/.

[5]邹伟强.浅谈网络购物中的网站认证机构[J].现代经济信息, 2012第11期.

可信认证 第2篇

可信计算的概念由可信计算组织TCG(Trusted Computing Group)提出,其目的是为了解决传统冯诺依曼机结构中存在的安全问题,主要思想是在传统的计算机中引入安全芯片可信平台模块TPM(Trusted Platform Module),以此来保障计算机终端的安全[1]。证实(Attestation)是一个系统向另一个系统提供安全属性的能力,是一个担保数据准确性的过程。通过证实,外部实体可以鉴别屏蔽区域、保护功能及信任根(Root of Trust)。平台也可以鉴别影响平台完整性(可信度)的特征描述。本地计算如何向远程终端证明其身份的安全性,又不泄露本身的安全信息。因此证明功能是可信计算的重要功能。一个可信平台应该包含三个可信任根:用于测量的根信任RTM(Root of Trust for Measurement)、用于存储的根信任RTS(Root of Trust for Storage)、用于报告的根信任RTR(Root of Trust for Reporting)[2]。可信传递是信任根对于第二组功能给出可信描述的过程。基于这种描述,一个需要访问这组功能的实体可以确定其可信度。当该实体确认了这组功能的可信度是可以接受的,可信边界从信任根扩展到了包含第二组功能的范围。

在TPM中需要一个密码身份来唯一标识TPM。背书公钥EK(Endorsement Key)就是用来唯一标识TPM,也即一个EK对应一个TPM。但是,不能用EK来进行签名。因为攻击者可能利用获得TPM的平台签名日志来进行攻击,利用身份证明密钥(AIK)来代替EK。同理,如果AIK唯一,那么平台也将面临重放攻击。因此一个平台可以拥有多个AIK密钥。这样有一个优点即使多个服务提供者串通也不能确定他们是否与同一个TPM在进行通信。

1 TCG认证机制研究

1.1 两方认证的问题

在一个TCG系统中,假设有两方A方和B方。A方拥有一个TPM。B方想与A方通信。我们把B方称作验证(VERIFIER)。A方有一个TPM和与之对应的背书公钥EK。另外,A还存有几个AIK密钥对。当A与B通信时,A希望B知道A拥有一个可信的计算机平台,即该平台包含TPM芯片。A要“说服”B与其通信。考虑到安全因素,A又不想让B知道A的身份信息。因此A用其中一个身份证明密钥AIKi来与B进行通信。这样即使B与其他方串通也不能确定他在与哪个TPM进行通信。理论上,只要使用任何一种标准的公钥证明机制就能解决上面出现的问题。公钥证明机制只要提供一对公私钥对,将私钥嵌入到TPM中。然后,A方和B方都运行证明机制。因为每个TPM都使用同一个公钥证明,所以很难区分B正在和哪个TPM通信。实际上这种方法是不可行的。

1.2 可信第三方协议

为解决公私钥对出现的问题,TCG起初采用的是可信第三方协议,可信第三方就是隐私CA。可信第三方协议大致流程是:TPM生成一个RSA密钥对EK。私密CA知道所有TPM的EK。假如TPM想要与验证方进行通信时,TPM再生成RSA密钥对AIK,并把该AIK的公钥发送给隐私CA,同时利用EK来证明AIK的身份。隐私CA将检查在其列表中是否能找到该EK。如果找到了,就对该AIK 签发一个证书并用EK加密,只有拥有该EK私钥的TPM才能解密该证书。TPM可以将证书给验证方证明自己,然后TPM就能向验证方提供可信证明[2]。隐私CA验证的过程如表1所示。

在隐私CA模型中有两种方法来检验假冒的TPM:

1)如果TPM的EK私钥被泄露,并被公布出去。则私密CA能计算出相应的该EK的公钥,并把其从可用的背书公钥中删除。

2)如果隐私CA收到多个使用同一EK认证的请求,私密CA可以直接决绝这些请求。

该模型存在一个明显的缺陷,第三方隐私CA必须参与到所有的事务中。另外,如果隐私CA和验证方串通,或者隐私CA的事务处理记录以某种方式泄露给验证方,那时验证方也能识别出TPM的具体身份[2]。

1.3 直接匿名认证协议

为解决可信第三方中的问题,TCG采用直接匿名认证协议DAA。DAA借鉴了组签名(group signature)、身份托管技术(identity escrow)和证书系统(credential system)技术。事实上该机制可以看作是不能打开签名,但是还能辨别签名真伪的组签名机制[2,3]。TCG采用对TPM的公钥颁发成员证书。这样,TPM想证实它是组织的一个成员,或者说其可信性,TPM应证明其拥有一个成员的公钥证书,并知道它的私钥。为了能使验证方检测到假冒的TPM,要求TPM透露并证明NV 的正确性,NV=ζf,其中f 是TPM 的秘密密钥,ζ是一个代数群的生成元,在该代数群中计算离散对数是不可行的。正如私密CA里一样,DAA机制中验证方有两种方法来辨别TPM的真伪:

(1) 将NV和所有已知假冒的f′进行比较;

(2) 同一NV是否申请多次。

2 直接匿名认证协议的实现与应用

2.1 直接匿名认证机制

在TCG系统中,DAA协议涉及四个实体:发布方(ISSUER)、TPM、HOST、验证方(VERIFIER),还包括两个协议:JOIN子协议和SIGN子协议。运行DAA协议时,有的计算放在HOST,其他一些涉及到TPM身份信息的计算转由TPM计算,这样可以提高DAA协议运行的效率[2]。JOIN协议是发布方(ISSUER)和TPM之间交互的协议。该协议运行成功后的结果是TPM得到一个DAA证书CeDK。在JOIN协议中,TPM 创建一个DAA私密密钥PrDK。TPM使用EK向ISSUER标识自己。如果JOIN过程成功,发布方将向TPM和HOST签发DAA证书CeDK。有了PrDK和CeDK,TPM就能用它们签名信息来证明TPM的可信。签名信息可以使用IssKEY核验[3]。SIGN 协议是VERIFIER(验证方)和TPM之间交互的协议。在该协议中VERIFIER确认一个AIK被一个合法的TPM持有,即TPM是否拥有DAA证书CeDK。在SIGN协议中,TPM将会创建一个AIK。TPM和HOST将会把AIK的公钥发送给VERIFIER。TPM和HOST还将使用PrDK和CeDK 对该AIK 的公钥签名,并发送给验证方。验证方将使用IssKEY来核验签名是否合法。如果签名合法,VERIFIER就确认了该AIK 的私钥被一个拥有CeDK 证书的TPM 持有。图1是DAA机制的简单描述。

2.2 直接匿名认证机制在可信平台中的实现

由于TPM资源有限,在运行DAA机制时要求在TPM中的运算尽量最小化,其它不涉及TPM身份信息的计算可以交给HOST来计算,利用软件来实现。当然,安全性必须得到保证,即HOST必须与TPM交互时才能够证明自己。由于HOST控制着TPM与外部的一切通信,因此只有在HOST不被损坏的情况下,才能保证TPM私密性和匿名性[3,4,5]。建立TPM平台后,ISSUER通过JOIN子协议向平台签发DAA证书。签发的DAA证书可以通过SIGN协议进行签名,证明其平台的可信性。

2.3 DAA应用

某软件公司建立了一个内部网络。为保护公司机密,公司规定只有拥有一定权限的机器才能够访问该内部网络。因此该公司为每台可访问内部网络的机器各配备一个TPM芯片,初期部署100台机器。公司决定采用DAA机制。为实现DAA机制需要ISSUER和VERIFIER。公司抽出两台机器分别作为ISSUER服务器和VERIFIER服务器。ISSUER服务器负责保管其它机器的EK证书,并负责向剩余的98台机器颁发DAA证书。当用户想访问内部网络时,只需要向ISSUER申请一次DAA证书,并向另一台服务器VERIFIER申请访问服务。VERIFIER服务器通过验证DAA证书,决定是否允许申请的主机访问内部网络。在该DAA应用中,由于DAA证书只需要申请一次,大大减轻了ISSUER服务器工作负载;而在隐私CA认证方案中,每次认证TPM都要产生不同的RSA密钥对,隐私CA很容易成为系统的性能瓶颈。因此,DAA匿名认证方案更适合于大规模用户下的身份认证。另外,在此DAA应用中,认证过程中并没有泄露TPM的隐私信息,其安全性要高于传统的基于隐私CA 的认证方案,可以在零知识证明的前提下,实现身份认证的匿名性,更好地保障用户的隐私信息。

3 结 论

可信计算的提出是为了解决现有的冯诺依曼系统的安全性不足。TCG组织从计算机终端出发来保证计算机的安全。可以用可信第三方协议和DAA协议来实现证实功能。可信第三方协议的缺点是每次都需要隐私CA的参与。DAA协议则不需要可信第三方的参与,也在一定程度上解决了可信第三方协议的效率问题。

摘要：以可信平台模块TPM为基础,研究支持可信计算的认证策略,包括简单背书公钥、隐私CA(Privacy Certification Authori-ty)、直接匿名认证DAA(Direct Anonymous Attestation)协议,并对简单背书公钥、隐私CA和直接匿名认证协议进行比较分析。最后,给出了直接匿名认证协议的整个处理流程及应用。

关键词：可信平台模块,认证协议,直接匿名认证

参考文献

[1] TCG Specification Architecture Overview. April 2004.

[2]Erine Brickell Intel Corporation,Jan Camenisch.IBM Research,Di-rect Anonymous Attestation.February 11,2004.

[3]Liqun Chen.HP Laboratories,Summary of Direct Anonymous Attesta-tion.September 2003.

[4] TPM Part I Design Principles. Specification Version 1.2. February 2005.

可信认证 第3篇

油服在信息安全方面立足长远，需建设“油服可信身份认证平台”来支撑未来油服的整体安全身份认证和可信身份管理。可信身份认证平台属于应用安全基础设施，将为各类人员、应用系统提供安全信任服务。通过CA测试系统的搭建，以及小规模的数字证书安全应用研究，油服积累了一定的CA安全应用经验。随着业务扩展和信息化建设的深入，今后油服越来越多的应用系统将依托数字证书技术实现安全保障功能，应用范围也将扩展至身份认证、加密、签名和抗抵赖等多个环节。本文主要介绍了油服可信身份认证平台系统的总体设计和详细设计方案，描述了一套正式的，具有安全域划分和良好扩展能力的基本核心CA系统的主要功能和搭建实施。

1 系统总体设计

1.1 系统逻辑结构设计

基本核心CA系统主要服务于油服内部的各种办公、生产应用系统。逻辑结构说明：RA管理员访问WEB应用服务提交用户信息，WEB应用连接RA服务，RA服务获取到用户信息和证书请求发送给CA服务。CA服务提交请求给签名服务器进行证书颁发，之后将签发好的证书返回给RA服务同时发布在主LDAP服务。RA服务将证书发送给RA管理员。

1.2 证书信任体系设计

证书总体的信任体系采用三层结构：第一层是自签名的总公司根CA，是处于离线状态的，具有总公司权威性等特性。第二层是由总公司根CA签发的油服运营CA，处于在线状态。第三层为用户证书，由油服运营子CA签发，由油服RA中心管理。

1.3 系统物理结构设计

通过将三台利旧服务器通过在接入交换机上的访问控制列表进行二层隔离，并配以相应的IP地址段，保证其正常的数据通信，同时设置网络访问策略对三台利旧服务器间的网络通信加以限制，即LDAP服务器可以被所有外部用户访问，RA服务器只能被从LDAP服务器和在线CA服务器访问，在线CA服务器只能被从LDAP服务器和RA服务器访问。离线CA服务器日常处于离线状态，工作时采用网线直连在线CA服务器。

2 系统详细设计方案

2.1 可信身份认证平台的主要功能

2.1.1 证书签发

通过CA认证系统申请、产生和分发数字证书，具有证书签发功能。

2.1.2 证书生命周期管理

通过CA认证系统实现对证书生命周期的管理，包括证书申请、证书批准、证书查询、证书下载、证书吊销以及证书更新。

2.1.3 CRL服务功能

支持证书黑名单列表(CRL)功能，能够配置指定RA的CRL下载地点及CRL发布时间。

2.1.4 目录服务功能

证书目录服务的功能支持LDAP V3规范，提供给用户进行证书查询的功能。

2.1.5 CA管理功能

具有包括对CA及RA管理员的管理、对个人账号及RA账号的管理、证书策略配置管理等功能。

2.1.6 日志与审计功能

CA认证系统可查看和统计各种日志，对所有操作人员的操作行为进行审计。

2.2 可信身份认证平台系统的搭建实施

2.2.1 系统的安装

部署安装说明：在线CA服务器上安装CA服务，QM服务，签名服务，加密代理程序以及LDAP服务;安装在线加密卡;安装SQL Server2005数据库;RA服务器上安装RA服务;KMC服务器上安装KMC服务;安装加密机;在离线CA服务器上安装离线加密卡。

2.2.2 CA基础数据源的选择

油服现有的身份管理中，AD域中的用户信息变动可通过连接器被CA中心感知，并自动同步到CA用户身份信息存储中，同时AD可为CA系统提供目录服务，用以存储数字证书及CRL证书注销列表，同时可为业务系统提供数字证书查询及CRL证书注销列表下载等服务。由于AD与LDAP的兼容性良好，未来若需要以LDAP作为统一门户、统一认证、单点登录等的目录服务，也可以实现良好的同步。

2.2.3 用户证书的主题定义

考虑到各种应用以及可扩展性，定义个人证书的主题内容如下：

主题项：

CN=用户姓名

O=COSL

OU=部门名称

2.2.4 证书审批及发放流程设计

油服CA采用集中制证的审批发放流程，由RA管理员代替用户录入证书申请信息，RA SERVER自动审批用户证书申请请求，证书申请送入CA认证中心进行签发，签发后证书返回到管理员本地，管理员将证书制入USB KEY，最后将证书分发到最终用户手中。

3 结论

随着公司业务的不断扩展和信息化建设的逐步深入，今后越来越多的信息系统将依托数字证书技术实现安全保障功能。因此，可信身份认证集成技术的研究与应用具有极为重要的意义。CA认证中心采用了数字证书的签名和认证技术，通过为设备服务器、信息系统、用户等颁发数字证书，并以证书登录的方式达到强度加固身份认证安全，从而有效地解决了目前公司大部分信息系统“用户名+密码”的弱认证安全问题，并且通过利用数字证书与公司员工实体身份一一对应，作为员工个人的唯一标识，保障了公司员工身份的可靠性和真实性。

参考文献

[1]段友祥^,相鹏^,李绪亮.基于CA技术的网络信息安全系统设计实践.计算机工程与设计^,2006(3)^:1014-1017.

[2]李拥军,周文慧.企业级CA系统以及应用策略的研究与实现.计算机工程与设计,2006(8):2728-2730.

可信认证 第4篇

随着网络通信技术的发展,信息和计算资源的共享变得越来越普遍,网络计算模式占据了越来越重要的地位。这种模式的特点是:应用程序和数据都运行和存储在服务器端,客户端甚至只剩下显示和输入设备,不进行复杂计算,用户通过终端设备使用计算中心的各种应用和计算资源。源自AT&T剑桥实验室的虚拟网络计算(Virtual Network Computing,简称VNC)作为这一模式的代表,以其真正的瘦客户技术、跨平台特性、开放代码和低带宽的需要,得到了广泛的应用。

但作为网络软件,VNC存在着严重的网络安全问题。VNC提供的对于客户的身份验证,所采用的方法是随机挑战响应。在客户端请求连接的初始化阶段,双方协商了所要使用的RFB (远程帧缓存)协议版本后,对客户的身份进行验证。这时服务器首先产生一个随机的16字节挑战并发送给客户端,客户端使用用户口令作为密钥用DES对挑战加密,并将加密后的密文作为响应返回到服务器,服务器用保存在本地的口令副本进行解密。若得到的明文与所发送的挑战相符则允许客户与服务器之间建立会话,否则断开连接。这种对客户平台进行的身份验证机制的安全性是远远不够的,如果服务器端和客户端之前的身份验证信息被攻击者截获,攻击者可以通过伪装客户端来与服务器端建立连接,同时,攻击者可以利用客户端平台配置环境存在的安全漏洞进行病毒入侵,造成数据的泄露。所以,为了保证VNC服务器端连接的是可信的客户平台,保证其数据不被泄露,传统的应用于操作系统之上的恶意程序防范技术并不能彻底阻止这些攻击。可信计算的主要思想就是在硬件平台上引入安全芯片架构,为整个PC机提供基于可信平台模块的安全保证,从而保证终端平台的可信性和安全性。

本文通过将基于可信平台模块的平台完整性度量应用于VNC客户端的远程认证中,构建了完整的VNC主机与客户端握手时进行的远程认证系统,使得VNC主机在连接时能确保连接的是一台可信的客户机,从而避免主机中的资源和服务被恶意主机篡改和窃取。

1 相关概念

1.1 TPM及其功能

可信平台模块(TPM,Trusted Platform Module)是由TCG提出的可信计算技术中的核心部件,是一种用于增强平台安全性的硬件芯片,具有密码运算和安全存储功能,同时具备防篡改特性。当前TCG已经制定了一系列TPM的相关技术规范,包括有TPM的功能模块及各种相关参数等。TPM主要由随机数生成器、密钥生成器、HMAC引擎、SHA-1引擎、易失性存储器(PCR)、非易失性存储器、密码协处理器、执行引擎和开关等组成,其组织结构如图1所示:

如图所示,TPM内部各组成部分之间以及TPM与外部设备之间使用I/O总线进行信息交互。TPM各组成部分的作用如下:

易失性存储器为TPM中的平台配置寄存器(PCR,Platform Configuration Register),主要用于存储平台配置的度量信息,易失性存储器中存储的内容在系统重启后被重置;

非易失性存储器主要用于存储TPM中需永久保存的数据,如TPM的背书密钥EK、存储根密钥SRK;

密钥生成器用于生成密钥对,可为平台TPM生成无数对密钥;

密码协处理器的功能为执行RSA相关运算,如加密、解密等,相当于RSA引擎,可用于数字签名,且能够生成密钥、存储密钥;

HMAC引擎能够判定数据或命令的正确性,可防止TPM接收错误的数据或命令;

SHA-1引擎用于执行SHA-1哈希运算,运算输出结果长度为160位。

TPM设计的主要目的为:作为平台信任链传递的起点要能够完整地度量平台配置信息、安全存储平台度量信息,并最终能安全地报告平台当前运行环境。

1.2 可信计算平台相关知识

可信计算平台是以TPM为核心,把CPU、操作系统、应用软件和网络基础设备融合为一体的完整体系结构。一个典型的PC平台上的体系结构主要可以分为三层:可信平台模块(TPM,Trusted Platform Module)、可信软件栈(TSS,Trusted Software Stack)和应用软件。

TPM是可信计算平台的核心,是一个含有密码运算部件和存储部件的芯片,与平台主板相连。TPM通过提供密钥管理和配置管理等特性,与配套的应用软件一起,主要用于完成计算平台的可靠性认证、用户身份认证和数字签名等功能。

TSS处于TPM与应用软件之间被称为可信软件栈。TSS是对可信计算平台提供支持的软件,它的设计目标是对使用TPM功能的应用程序提供一个唯一入口,并提供对TPM的同步访问。

TSS的结构可以分为内核层、系统服务层和用户程序层。内核层的核心软件是TPM设备驱动(TDD,TPM Device Drive)模块,它是直接驱动TPM的软件模块,由TPM的嵌入式操作系统所确定。

系统服务层的核心软件是TSS设备驱动库(TDDL,TSS Device Library)和TSS核心服务模块(TCS,TSS Core Service)。其中TDDL是一个提供与TPM设备驱动程序TDD进行交互的API库,以方便与TPM的交互。例如:向TPM发送数据或从TPM接收数据,查询TIPM状态等。TCS主要功能是管理TPM资源,例如,上下文管理,密钥和证书管理,时间管理,审计管理和TPM参数块产生等等。

用户程序层的核心软件是TSS服务提供模块(TSP,TSS Service Provider)。TSP给应用提供的最高层的API函数,以共享对象或动态链接库的方式被应用程序调用,使应用程序可以方便地使用TPM。

工作流程为:应用程序将数据和命令通过TSS服务提供接口发给TSP,TSP处理后通过TCS再传给TDDL。TDDL处理后传给TDD。TDD处理并驱动TPM。TPM传给的响应,反向经TDD、TDDL、TCS、TSP传给应用。有了TSS的支持,不同的应用都可以方便地使用TPM所提供的可信计算功能。

1.3 远程平台完整性认证

平台完整性认证是判断终端是否可信的关键,是对平台当前运行状态的度量验证。平台完整性认证首先需完成平台配置的完整性度量及存储,之后采用合理的认证机制进行远程认证。对完整性度量的研究包括完整性度量方式、完整性度量内容两个方面。本文平台的完整性度量方式采用信任链传递方式,从平台底层组件依次度量至上层应用组件。完整性度量的内容采用对平台组件二进制信息的度量。

信任链的传递过程从终端加电开始,首先由TPM中的可信度量根(CRTM)对BIOS进行完整性度量,若其配置信息未被篡改、完整性没有遭到破坏,则将度量权限转交给BIOS,由BIOS对下一组OS Loader (本文实验中使用的是Grub)的完整性进行度量,而后依据平台启动顺序依次对Grub的配置文件和系统上层应用进行度量监测。据此建立起的链式信任传递模式即为信任链传递机制,模型如图2所示:

二进制认证(BA,Binary Attestation)是由可信计算组织TCG提出的一种平台状态完整性证明方法,其核心在于验证平台组件的二进制度量信息。通过对比平台配置寄存器PCR中存储的完整性度量值及平台处于可信状态下的预期值来判断平台组件的完整性是否被破坏,若两者信息不一致则组件完整性被破坏,平台当前配置环境不可信,反之则可信。二进制认证方法中采用的认证方式为双方直接认证,认证模型如图3所示,其中Verifier表示验证方,Prover为证明方,repository为TPM中的存储区域。

二进制认证过程如下:

(1)验证方发送挑战信息到证明方请求验证目标平台的配置状态信息;

(2)证明方平台代理接受请求,欲收集平台TPM内的相关PCR值以及存储度量日志SML中内的相关实体信息;

(3)证明方平台获取存储的度量日志SML;

(4)证明方平台内的TPM根据代理请求获取指定PCR的值,并使用身份标识密钥AIK对PCR值进行签名;

(5)证明方平台内的TPM在自身的存储区域获取身份凭证;

(6)证明方平台代理收集到TPM的身份标识、签名过的PCR值及存储度量日志SML等信息后,返回给验证方;

(7)验证方验证目标平台的应答,并检验TPM身份凭证、PCR值、SML值,从而确定目标平台是否可信。

2 系统设计

2.1 系统设计目标

当在通过VNC客户端进行远程操作时,客户端的安全性对于远程主机是非常重要的,由于远程主机上的数据和服务往往具有机密性,只能让拥有特定权限的用户进行连接和在远程主机上操作。因此,远程主机在接到远程访问请求时必须保证访问的客户是安全可信的,传统的VNC只在连接建立时进行简单的身份认证,本文基于TPM芯片和平台完整性认证,构建了完整的VNC远程连接建立认证系统,该系统在VNC双方连接时除了进行客户端身份认证外,还会继续对远程客户平台的二进制信息进行签名,并把签名后的信息发送到服务器端,服务器端再将当前的信息与预期的可信信息进行验证,从而能从根本上对远程客户机进行可信认证,进一步加强了客户平台的安全性,有效的保护了远程服务器平台上数据和服务。

2.2 系统整体架构

VNC的连接建立过程包括握手阶段、报文初始化阶段、消息传递阶段,本文只研究VNC双方的握手阶段,具体握手阶段流程如图4所示:

(1) RFB协议版本确定阶段:连接建立开始时,server端先向client发送它所支持的RFB协议的最高版本号,此时client会发送相似的消息告诉server将要使用的协议版本。客户端不应该请求高于服务器的协议版本。如此一来就给客户和服务器端提供了一种向后兼容机制。目前发布的协议版本主要有3.3、3.7、3.8。

(2)协议版本确定后,服务器端和客户端要确定使用的安全认证类型。首先,服务器发送所支持的安全列表给客户端,客户端选择其支持的某几种安全类型并将其反馈给服务器端,如果安全类型为0,表示连接失败;安全类型为1表示不进行任何认证;安全类型为2表示使用VNC认证。服务器在确定使用哪种安全认证后会给客户端发送安全结果,然后双方进行相应的安全身份认证。

(3)在对客户端进行完安全身份认证后,服务器端接着对其进行平台完整性认证,认证开始时服务器向客户端发送认证请求,客户端在接到请求后从TPM中读取PCR中存储的平台度量信息,并对其进行签名,然后将签名后的信息发送到服务器端,服务器端在接受到信息后将其解密,并进行验证,如果与可信平台的配置信息一致则可确定该客户平台可信,并与之建立连接;反之,则不建立连接。

3 实验结果

实验中服务器端和客户端均使用Fedora 12操作系统,客户端机器中装有TPM芯片,因为平台完整性度量只在客户端进行,所以TPM芯片、Trousers软件栈、Grub-IMA等环境只在客户端中搭建,TPM及Trousers的操作如图5图:

本文中VNC客户端在向服务器端发出连接请求后,首先进行客户端身份认证,在此继续保留VNC使用的身份认证机制,在身份认证结束后服务器端继续向客户端发送平台完整性认证请求,客户端在接收到请求后将存储在PCR中的二进制信息签名,并发送给服务器端进行验证,通过对Grutb安装Grub-IMA补丁,并将要度量的组件添加到grub.conf配置文件中,在系统启动时Grub就自动将度量信息扩展到PCR中,然后在认证时对PCR中的信息签名并发送给服务器端验证,服务器端验证成功,则握手成功;验证失败,则连接断开。如图6所示:

4 结论

可信认证 第5篇

云计算在教育领域中的迁移称之为“教育云”,是未来教育信息化的基础架构,包括了教育信息化所必须的一切软硬件计算资源。这些资源经虚拟化之后,向教育机构、教育从业人员和学员提供一个良好的平台,该平台的作用就是为教育领域提供云服务。教育云通过一个统一的、多样化的平台,让教育部门、学校、老师、学生、家长及其他与教育相关的人士都能进入该平台,扮演不同的角色,在这个平台上融入教学、管理、学习、娱乐、交流等各类应用工具,让“教育真正地实现信息化”。扩展了教育深度、扩大了教育范围,促进了学习方式转变和提高学校信息化管理能力。

在此背景下,教育云平台的安全问题就显得尤为重要。当前互联网蓬勃发展,各种先进的互联网技术为人们提供了方便快捷的平台,但随着计算机技术的发展,安全问题也越来越成为了网络系统建设者重视的问题。教育云基础平台建设和运营均需要符合信息绿色安全管理的要求,从物理、网络、系统、数据及应用各个层面,建立完善可靠绿色安全保障体系,同时保障教育云虚拟化平台及管理系统的安全,对非法入侵和非法攻击等各方面安全威胁需要具有很强的防范能力。

教育云服务平台需要在内容安全、数据安全与行为安全三个层次上提供绿色安全保障。第一个层次是实现教育云内容安全,即确保教育云中用户产生内容(UGC)的合法性与健康性,为教育云中的内容管理提供强有力的技术支撑;第二个层次是实现教育云数据安全,即对教育云中存储的大量用户个人信息进行有效保护;第三个层次是实现教育云行为安全,即将个体和群体对象作为关注重点,对恶意使用教育云资源,破坏共享规则,攻击或阻碍其它用户正常使用教育云服务的行为进行有效侦测和管控。

基于数字证书的可信实名身份认证和授权技术是解决上述数据安全和行为安全的有效技术手段。本文将对该技术进行探讨,并研究其在教育云平台中的实现。

2 教育云身份认证和授权管理需求分析

2.1 风险及安全隐患

教育云服务框架内包括内外网及资源的跨网络调用,不同级别人员对应不同的操作权限,类型相对复杂,存在多种应用隐患。

(1)用户访问无有效控制,任何人拥有有效的IP地址,就可以随便访问教育云资源。

(2)教育云资源网络虽然从安全角度划分了多个区域,但各区域间缺少安全边界,访问没有进行细分控制。

(3)教育云资源平台涉及很多敏感信息(如学生及老师的身份信息等),如果不采用相关控制手段,任何人都能通过网络获取这些信息。

(4)同样的,管理用户在进入教育云平台的时候如果没有强身份认证,那么将给平台的管理带来极大的混乱的安全风险。

2.2 应用需求分析

身份鉴别和访问管理要贯穿物理安全、网络安全、主机安全、虚拟化安全直到应用安全,在每个层次都需要对用户的访问进行身份鉴别,对其访问权限和可操作内容进行有效的管理,在网络层、主机层、应用层甚至多个应用之间可以实现统一认证。

(1)采用基于国密算法的强身份认证:基于PKI技术的数字证书认证方式,持密码口令、硬件信息的认证方式。

(2)SSL隧道加密:认证阶段和数据传输阶段均支持国密算法的加解密,高强度传输链路加密,具有较高的安全性。

(3)权限策略控制:面向用户的动态授权机制,管理人员、操作人员、访问用户各有其职权,根据用户的不同身份来确定其网络接入权限,支持白名单。

(4)统一行为审计:面向用户的行为、管理员的行为和业务系统进行行为审计,结合审计设备提供接入用户行为的全方位监控、追踪审计和流量统计的解决方案。

3 身份认证和授权管理技术基础

3.1 公钥基础设施(PKI)

公钥基础设施是利用非对称技术来实现对实体身份提供身份凭证的安全基础设施。PKI最核心的内容是数字证书,包括电子认证服务机构、证书持有者,以及提供安全支撑服务的电子认证服务机构、证书发布和存储、提供证书状态查询服务器、数字签名验证服务器、时间戳服务器和证书管理服务器及其依赖的运行系统。

PKI基础设施是通过签发与管理公钥证书的方式为企业用户、经办机构提供有效身份凭证,为各类实体提供真实身份认证、信息数据加密、数据完整性和申报数据抗抵赖服务的系统。

3.2 电子认证服务机构

电子认证服务机构是作为PKI基础实施系统对外开展电子认证服务并受工信部、国家密码管理局监管、指导的第三方认证机构,按照《电子认证服务管理办法》开展电子认证业务。

3.3 SSL安全协议

SSL(Secure Socket Layer)是一种在两台机器之间提供安全通道的协议,具有保护传输数据以及识别通信机器的功能。实名认证网关也是利用这一协议来保证外网用户访问内网资源时的安全性。SSL协议实现的安全机制包括三方面:数据传输的机密性、身份验证机制和消息完整性验证。

SSL采用在通信双方之间建立加密通道的方法保证数据传输的机密性,加密通道上的数据加解密使用对称密钥算法,同时利用非对称密钥算法保证密钥本身的安全。

SSL基于数字证书采用数字签名的方法来验证网络中交易双方的身份,使用非对称密钥算法实现数字签名。

同时,为了避免网络中传输的数据被非法篡改,SSL利用基于MD5或SHA的MAC算法来保证消息的完整性。

3.4 数字签名验证技术

通过数字签名验证技术,实现基于数字证书的身份认证,对文件提供数字签名和数字签名验证功能。数字签名验证服务主要包括签名验证核心服务模块和安全管理模块。签名验证核心服务通过应用端部署的API,接收应用端发送的签名服务请求,并返回签名或验证服务结果。安全管理以B/S方式提供,管理员可以通过WEB浏览器直接对各种证书服务和系统进行集中管理和配置。数字签名验证服务器的产品架构如图1所示。

3.5 网络实名接入技术

当用户访问受控资源域中的信息时,通过网络实名接入技术进行判断是否需要进行认证,如果用户没有经过实名认证,系统会弹出登录认证的portal页面,用户使用证书进行实名接入,并经过网络实名接入控制系统进行认证,当认证通过后安全接入网关打开网络连接,允许用户访问受控资源。当用户没有经过实名认证,用户从网络链路上是无法访问到受控资源的。非实名认证用户试图接入受控网络时,网络实名接入系统将阻断其接入受控网络,并阻止其访问受控网络中的受控资源。

网络实名接入网关基于B/S架构认证,教育云的用户可直接通过Web浏览器(如IE、firefox)进行网络实名接入,用户登录时可以使用用户名口令、数字证书等认证方式。网络实名接入网关与网络实名接入控制系统之间采用TCP短连接通信协议进行身份认证与访问控制。

系统框架如图2所示。

4 身份认证和授权管理系统构架及业务流程

身份认证和授权管理系统依托第三方机构的接入认证体系,为教育云服务平台管理用户提供统一的身份标识和认证功能。从每一个用户连接到网络的时刻起,进行网络实名与用户之间的一对一映射,依据授权属性和访问控制策略对用户访问请求进行判定和控制,实现对管理用户接入和使用的监控及审计,保证合法用户正确、安全、便捷地享受教育云平台提供的服务。

4.1 系统构架

在教育云服务平台的前端部署网络实名接入网关和网络实名接入控制系统,实现从网络层的接入控制到应用层的用户身份管理等统一身份认证和授权管理的功能,主要包括集中认证管理,提供高强度的数字证书、动态口令到低安全性的静态口令等多种认证方式。集中用户管理,提供用户的全生命周期管理、用户分组管理、角色管理和身份源管理;集中证书管理,利用证书注册服务和电子密钥管理技术,结合集中用户管理,实现用户证书申请、审批、核发、更新、吊销等全生命周期的管理;集中审计管理,提供用户管理、认证和上/下线的审计信息,以及应用系统、网络设备的审计管理。另外,与应用系统内部的授权管理系统相结合,实现用户的集中授权管理,配置合理的策略规则,基于角色进行访问控制,在平台内实现对用户集中、灵活授权和访问控制管理,提高系统管理效率。

本方案设计的逻辑架构如图3所示。

4.2 系统部署

本方案将网络实名接入网关设备部署在用户接入层,识别请求接入网络的用户身份,实现网络接入控制。网络实名接入控制系统部署在应用服务域,实现身份认证和接入管理。当管理用户发起访问请求时,请求将被转发给实名接入网关,网关对用户身份进行审核认证,将认证成功的信息通过调用登陆门户的相关接口传递给应用系统,放行用户进入云平台。

4.3 业务流程

网络实名接入的工作流程包含实名认证和网络接入两个阶段,实名认证阶段是通过数字证书进行的,目的是获得终端的以太网IP,并建立一个惟一的SESSION-ID。实名认证阶段结束后,就进入了网络接入阶段。在网络接入阶段接入网关打开该终端对受控域的网络连接,允许该用户访问受控资源。网络实名接入的具体流程如图4所示。

实名认证阶段:该阶段完成后接入网关会为终端建立一个SESSION-ID来对应终端的以太网IP,该阶段包括四个步骤。

(1)管理用户使用Web浏览器请求访问教育云平台,接入网关判断该用户是否进行过认证,若是未经过实名认证的用户,接入网关将阻断其对云平台的网络连接。

(2)接入网关将管理用户浏览器重定向到登录认证Portal服务认证页面,要求用户进行认证。

(3)管理用户使用数字证书发起实名认证,Web浏览器中嵌入了证书应用的客户端接口,将客户签名提交到登录认证Portal服务。

(4)登录认证Portal服务验证客户端签名和客户证书的有效性,并到认证管理系统中检查此用户的接入策略。当认证通过后接入网关会为此用户终端建立一个唯一SESSION-ID,并记录SESSION-ID和终端以太网IP的对应。最后将SESSION-ID返回给用户终端的WEB浏览器。

在实名认证阶段采用PKI/CA技术确保安全性,将数字证书应用到网络实名接入过程中。数字证书应用组件由客户端接口和服务端接口两部分组成,分别为网络实名接入网关系统的客户端和服务器端提供相应的安全服务。

网络接入阶段:当管理用户终端接收到认证通过的结果后,再去访问教育云平台时,实名接入网关便开通网络连接让用户可以直接访问云平台。在网络接入阶段的任何时候,用户可以一直保持网络接入状态。

5 身份认证和授权管理实现方案技术特点

上述方案利用网络实名接入网关和网络实名接入控制系统相结合形成统一身份认证和授权管理系统,实现了合法用户实名访问教育云服务平台的安全保障,其中有几个技术特点。

(1)双通道身份认证方式。教育云服务平台管理系统为管理人员发放代表个人身份的数字证书,对该平台管理行为均以该证书为凭证。而学生、教师等普通用户可以通过数字证书进行认证登录,也可以通过平台登录门户利用所注册的用户名+口令登录,实现双因子双通道身份认证。当用户通过数字证书访问云平台时,网络实名接入网关和身份认证管理系统将对其身份进行审核认证,认证通过后管理用户方可访问自身权限范围内的应用和资源。

(2)证书管理及安全审计。网络实名接入网关将对管理用户的用户信息、数字证书、认证方式等进行统一集中的管理,同时,对管理用户在云平台的登录信息进行安全审计。

(3)系统授权管理。网络实名接入网关与教育云平台应用系统内的授权管理系统通过配置合理的策略规则,对登录平台的所有用户进行授权管理和访问控制,提高系统管理效率。

6 结束语

随着云技术在各行业的大范围推广使用,其用户管理及信息安全的问题也日益得到人们的重视。事实证明,实名身份认证和授权管理是针对此问题的一种行之有效的方法。本文介绍了基于数字证书的统一实名身份认证和授权技术,并通过实际的应用推广,已经实际应用到了教育部组织的教育云规模化应用示范项目中。

摘要：教育云基础平台建设和运营均需要符合信息绿色安全管理的要求,从物理、网络、系统、数据及应用各个层面,建立完善可靠绿色安全保障体系,确保教育云虚拟化平台及管理系统的安全。在安全保障的每个层次都需要对用户的访问进行身份鉴别,对其访问权限和可操作内容进行有效的管理。基于数字证书的可信实名身份认证和授权技术是保证数据安全和行为安全的有效技术手段,论文对该技术进行探讨,并研究其在教育云平台中的实现。

关键词：身份认证,授权管理,数字证书,PKI,教育云

参考文献

[1]于华,蔡海滨,刘良旭.基于LDAP和PKI的Intranet统一身份认证系统研究[J].计算机工程与设计,2006(10).

[2]刘知贵,杨立春,蒲洁,张霜.基于PKI技术的数字签名身份认证系统[J].计算机应用研究,2004(09).

可信认证 第6篇

在信息技术时代,云存储技术代表了计算机存储技术领域的最新发展趋势。存储空间容量大、携带便捷、安全系数高的数据存储产品,具有非常广泛的市场需求。存储系统在部署的过程中主要面向的是多节点、多用户、多类型网络的开放式运行环境, 系统在向用户方提供高实时性与完整性数据存储服务的同时,还要确保数据在传输过程中的安全与保密。在设计一个成熟的、具有实用效能的开放式云存储系统的过程中,必须有效地解决数据在云存储服务器集群中的可靠性与完整性验证问题。

1开放式云存储技术概述

开放式云存储技术是云计算概念的发展与更新,较之云计算系统,它的存储容量更为庞大,数据访问更为安全,其核心理念是构建一个将多种计算机网络相关技术相融合,整合各类存储资源在网络中提供用户随时进行数据存取的服务平台。开放式云存储将数据存储视为一种服务,颠覆了传统的数据存储理念。

开放式云存储系统的架构自顶向下分为四层,分别是:访问层(AL)、应用接口层(AIL)、基础管理层(BML)、最底层(SL层)。访问层定义了经过授权的用户登录云存储服务系统的方式, 为不同类型的用户提供相应的系统登录服务;应用层负责为用户提供云存储平台的接入口,实现与客户端的数据交互;基础管理层是四层架构中的核心,在与底层物理层相衔接,负责硬件设备的数据管理工作的同时,还为应用层要求的数据服务提供安全保障,例如数据加密、访问权限验证、备份冗余管理、数据恢复等; 最底层是云服务系统的物理层,集合了大量存储设备用于存储各类数据。SL层负责对这些物理位置分散的存储设备进行统一的管理与日常维护。

2开放式云存储平台上的数据完整性检查机制

云数据的完整性保护主要指的是当数据出现存储错误、意外改写的问题,通过一定的保护策略能对数据及时恢复以保证数据的长期有效性。

数据完整性检查是指用户每次从云存储系统中下载到所需文件后,云系统都会对文件进行常规性的检查,以确保用户所需信息的正确完整,从而保证云存储系统的服务质量。其实现方式为,在用户上传数据文件时首先对文件进行分割,将分割后文件块分别进行计算生成若干个校验值,将这些校验值构建成树型结构,本地计算机上仅保存根节点上的校验值,其他校验值附加在文件中一起上传。当用户下载文件时,每下载完一个文件块后立即进行一次比对,当文件下载完成时,校验工作也几乎能够同时完成。

3数据可信认证计算结构ADS

根据上文所述可知,最初的数据完整性验证主要是由用户下载到本地后再进行验证的,但这种方式显然并不适合应用在云存储系统这类的大型的数据处理系统,用户频繁的数据下载会造成巨大的通信开销。因此基于云存储服务平台上的数据完整性验证提出了由第三方代理来完成验证的方法——认证数据结构。

认证数据结构ADS是基于认证字典技术基础之上的专用于分布式系统的数据外包结构认证技术。云存储平台的提供的数据服务主要包括数据存储和数据响应两大部分,为了更好的提高系统性能,保证服务质量,通常会将数据响应服务外包给数据发布代理方来负责。这样一来数据发布代理方必须提供可靠的数据完整性验证结果以使用户能够对云平台的数据服务足够信任,认证数据结构技术由此出现。

数据认证结构模型ADS包括三个角色:可信的数据源拥有者、被提供数据服务的用户、不可信的数据响应服务代理方。当用户发出数据查询请求后,由数据响应代理方负责响应提供数据及数据完整性证明,并负责对用户的一系列数据查询、更新操作进行控制。ADS的数据查询验证过程分三步骤完成:

(1)可信的数据源所有者针对其数据集的结构利用哈希值算法生成数据结构特征值,当数据结构集有任意一处发生变化都会导致特征值的改变。

(2)通过身份验证算法验证数据响应代理方的身份合法性, 首先由数据源拥有者生成公私钥对,其中私钥会随时发生动态变化,每隔一段时间数据源方就会将改变的私钥发送给响应者,响应者通过私钥不时与数据源的公钥进行配对验证以确保响应者的身份合法。

(3)当用户提出数据查询请求后,响应者将进行一系列的数据完整性、真实性、一致性的验证,并给出现数据证明。

通过ADS的工作过程描述可以看出ADS技术发展的核心问题在于数据验证所涉及各类算法的设计架构是否合理、完善,既能提供可靠的数据验证,又能便于实现。在ADS模型架构中引入 “签名摊销”技术很好的改善了这类问题,它为数据集中每一个数据块都分配一个签名ID,再通过加密算法提取每一个ID生成整个数据集的特征值,通过对这个特征值的验证既可确保整个数据集的完整性。在完成了用户端数据验证的同时,服务器端系统上存储的数据再收到用户的访问请求时还需要服务系统能够给出数据持有性证明,即向用户证明数据源的合法持有者始终安全的持有文件所有权。ADS技术框架中针对云存储系统中的数据持有性验证提供了专用的验证方案——ADSP(验证策略,通过可信的隐藏第三方来实现数据持有性检测审查。其显著优势在于负责数据验证的第三方具备数据防篡改功能,属于可信的验证方;验证算法进一步得到了优化,在支持公开审计的同时兼顾了用户个人数据的私密性需求;并具有减少系统开销,保证系统性能的优势; 数据验证方对于用户的透明性,作为隐蔽的第三方,用户在交互时不可见,隐蔽性强可预防非法用户的恶意攻击,也简化了系统架构。ADSP的物理架构总体分为两大部分:用户端和云端,云端部分又被逻辑划分为两个区域:信任区域和不信任区域。其中数据源的持有者SSP处于不信任区域,当用户端向SSP发出数据操作请求后,SSP要先将数据源副本传送至处于可信区域的数据验证系统DPC中完成数据持久性的审计验证并得出证明传回至SSP端,由SSP端响应用户请求并将相关证明提供给用户端。与其他的数据持有性验证方式相比,ADSP模型最大的区别在于它的验证方是隐式的,基于它的隐蔽性,基本可以确保在数据验证过程中审计日志不会发生泄漏,不会受到攻击者的恶意干扰和篡改验证结果。

在ADSP模型架构中设置的数据持有性验证方是直接基于专用的硬件服务设备部署的,这类硬件服务设备由专门的生产厂商设计研发,具有很强的数据防篡改功能。由于在ADSP模型中, 数据验证的安全、可靠完全依赖于由硬件设备构成的第三验证方来进行维护,因此对这类硬件设备的安全防护能力的要求极为严格,它必须达到以下几个方面的要求,才能被认为是可靠的验证方设备。

首先对自身的安全维护要达到一个极高的标准,除生产厂商和认证方以外的任何访问者都无法对其进行查询和策略篡改;能够很好的支持加密技术,对于常用的加密算法,诸如明码加密、公钥私钥配对加密、数字签名加密、哈希树加密等算法都应预先写入到设备当中;要有便于各类系统接入的接口,并设定有专用的安全口令集用于监控接口状态,防范恶意接入;最后在设备安全受到攻击导致无法正常工作后,要能采取有效的数据保护措施最大限度的减少损失。目前市场上可应用于云存储系统的第三方验证设备主要有IBM公司开发的专用处理器系列、AMD可信硬件智能卡系列等。

4结论

综上所述,基于ADS模型架构的可信计算是云服务中对于数据安全验证技术的一次重大变革,在充满危险的网络环境中利用专用防篡改硬件设备构建安全隐秘的验证环境,最大程度的保障了数据安全,根据当前的数据安全技术发展状况来看,可以基于ADSP模型架构的数据验证计算是可信的。未来如何能够更好更全面的实现可信的安全验证计算还有待我们进一步的研究探讨。

参考文献

[1]郑文报.云存储的数据持有性检查算法研究[J].计算机研究与发展.2012.

[2]孙凤先.分布式数据存储系统的可靠性研究[J].计算机工程与应用.2013.

[3]颜廷.云存储系统中数据备份技术的研究[J].计算机应用研究.2013.

可信认证 第7篇

过去广电系统的信息传输是以公益性为主来运营的，在市场经济为主导的今天, 广电自然也应转向具有盈利性的服务方向迈进。到目前为止，广电系统只是在付费电视一个狭窄的领域内运作。付费电视需要条件接收技术（CAS）来支持, 从上世纪末开始十几年来我们只是围绕着国外开发的加解、密技术 (非对称密钥体系) 转，目前这种为付费电视应用的技术在国际上也已日趋落后, 而且根本不能适应在三网融合中的应用。

虽然公开密钥体系也早已为广电业界所熟悉, 但也只是局限在国外只在广电领域内局部采用的技术 (比如RSA等, 至于CPK-Combined Public Key体系恐怕无人关注) , 可是公钥系统在IT行业中的应用已经很普及。由于广电和工信部门之间缺乏相互的联系, 对于工信部门正在开展进行的相关技术活动广电部门也很少关注和报道, 同样工信部门对于广电系统网络公共安全的重要性也不一定十分了解，所以加强两部门双方的信息沟通对推进我国三网融合是十分必要的。

ISO/IEC JTC1/SC6 (国际信息技术标准化技术委员会系统间通信与信息交换分技术委员会第六分会) 目前正在开展未来网络标准化研究工作。未来网络是ISO/IEC在2007年SC6西安会议上成立的一个新一代网络标准制订计划，其宗旨是用全新的设计理念，用展望未来的方法，以需求为指导，大胆地设计出一套能够满足未来长远需求的新型网络体系。未来网络命名和寻址是目前产业界研究的重点和热点，是ISO/IEC JTC1/SC6研究的重要议题。根据工业信息化部科技司8月组织国内专家单位的论证评审意见，国内有关专家出席了今年9月ISO/IEC JTC/SC6在伦敦举行了关于未来网络会议的年会，中国专家在伦敦会议上报告介绍了由中国发明及使用CPK标识认证并且实现了可信连接的新技术，提出了未来互联网的新通讯理念、机制、规则、框架及新的通讯协议。在今年10月在北京召开的RSA2010信息安全国际论坛 (全球最权威的信息安全年度峰会, 首次进入中国) 上，中国专家发表了解决互联网信息安全的地址认证专题报告。

众所周知，互联网的安全是个让全球人们都头疼的大问题，全球许多专家和科学工作者为此做了大量艰苦的工作并试图找出解决的方法。最后人们逐渐达成共识，互联网的安全问题来自互联网自身的信任机制。用比喻来说明，如果有人想给你寄一封信或包裹，邮政系统不管里面是什么内容，也不管接收方是否愿意，都会把信送到接收方手里，由接收方自己来拆信、拆包来检验。网络通讯机制也是一样，会把邮件送到接收方，由接收方自己打开和检验。

大多数的互联网用户和企业都采用防病毒软件来进行病毒识别和防护，用形象的比喻，这些防病毒软件就像城墙门口站的士兵，如中国古代水浒一样，检查每一个人的脸与城墙上挂的林冲和鲁智深画像是否一样来检查每一个数据包。这种古老的比对法有先天和不可克服的缺陷。所以，美国总统信息技术顾问委员会在2005年就提出，堵漏洞和打补丁不是解决办法。

美国提出了网际安全和可信系统的概念，并提出标识认证、新的安全基础协议是首要事项和关键。但是更重要的事情是怎样实现真正的可信连接。

非常幸运的是，中国专家找到了解决办法，使用CPK加上IPv9互联网协议 (美国已放弃而被我国采用) 能够实现真正的可信连接。

其工作原理是改变了通讯规则，从现有的先通讯后验证，改为先验证后通讯，同时互联网的通讯规则也从“基于IP地址的通讯”改变为“基于ID标识的通讯”。互联网通讯协议也是具有全新报头结构的新协议, 报头中增加了标识认证，在数据传输之前实行基于标识（ID）的原始地址验证，保证和实现可信连接。

1新通讯规则的产生

基于IP的通信已发展为IPv4, IPv6，成为通信的主流 (IPv9地址容量远大于IPv6, 其可以向下兼容) ，普及到全世界范围。但是，由于当时的技术条件，IPv4、IPv6从设计就没有考虑安全机制。现在，安全问题越来越突出，危及到互联网的生存。

以互联网为主的通信网络也发生了很大变化，从单纯信息系统发展为与物联网相结合的新的网际空间，在广阔的网际空间以构建可信系统为主要目标。

为此，各国都相继开展了新一代互联网的研究，并取得了一些成果。从国际上的讨论看，看法趋于一致，认为未来网络是大家共同参与的“绿色网络”，即使有恶意活动发生，应立即能被发现，立即能被遏制。这是个很复杂的任务，确实需要解决很多相关问题。新一代互联网的建设，首先应从解决现行互联网存在的弊病入手。

互联网的安全缺陷来源于最初设计的信任机制，缺乏验证机制，不管用户是否愿意，邮件一定送达，并由接收方自己进行检验。

全球信息安全采用的筑高墙、堵漏洞、打补丁等“识别坏人”的技术路线不是一个好的解决办法，要彻底解决网络信息安全必须改变通讯机制为怀疑机制。

美国提出网际安全（Cybersecurity）及可信系统 (Trusting system) 概念，提出认证技术（Authentication Technologies）及新的安全基础通讯协议（Secure Fundamental Protocols）是实现可信系统的首要任务和关键。

为此，需要重新设计和定义通讯规则，把现有通讯体制的先通讯后验证的机制改变为先验证后通讯的可信连接机制，这要从以下两个方面入手。

(1) 寻址方式：地址的定义不应采用随机数，随机数不易被广泛辨认，只能由指定的DNS来解析，为网络垄断提供了方便；而酝酿中的与地理位置相结合的地址定名方式（如十进制实名地址），容易被辨认，不需要远程解析。

(2) 地址证明：发送方提供本地址真实性的证明（证据），接受方验证其真实性，任何一方都能验证源发地址或路由地址的真实性，以此做到可信连接，防止非法接入, 域名和ID地址一致。

2技术路线

在IPv9协议上实现了基于真实地址的可信连接路由器，实现了“先验证后通讯”的新通讯机制。主要从三个方面进行。

(1) 地址证明

地址证明与验证，属于标识鉴别的范畴。当代信息安全的核心是标识鉴别，是可信系统的“银弹”。银弹需要用新的密码技术解决，是各种公钥体制梦寐以求的难题。

公钥密码体制经历了三个发展阶段：第一个发展阶段是1976年Diffie等人提出非对称密码，第二个发展阶段是1984年Shamir等人提出基于标识的公钥体制，第三个发展阶段是2003年我国南相浩等专家提出的基于种子的组合公钥体制CPK。CPK正好能解决对超大规模地址的水平化密钥管理及互相认证。CPK的出现推动了公钥密码体制技术的进展。

CPK为每一个地址提供证明自身真实性的证据（由地址签名），任何路由器均可鉴别其地址的真伪（验证签名）。

因为发送方地址码是在数据传输之前先行到达接收方的，接收方可以在数据传输之前先行对地址进行鉴别，判断其真伪，称为“事先鉴别”。只有事先鉴别才能有效防止非法接入。

(2) 路由协议的制定

实名地址的通信协议与随机数地址的通信协议有所不同，相应协议的改造是不可避免的。由于地址鉴别系统是新增加的协议，对传输格式产生很大影响。因此要重点研究报头格式。这涉及到路由器的架构。

新设计的可信网络连接报头结构如表1所示。

(3) 可信计算环境

路由器的执行代码，均通过厂家认证，只允许执行认证过的软件，没有认证码的软件，一概不执行，使一切恶意软件无法起作用，以此保证计算环境的可信。

目前，标识认证的关键技术CPK密码体制已通过有关部门审查批准，正在申报IEEE标准，进展顺利。作为可信连接系统的“先验证后通讯”的新通讯规则及新一代路由器协议的关键技术，报头格式协议还没有进行标准化工作，如果有了格式标准，将可大大加速未来网络的建设。

摘要：随着三网融合的推进, 网络安全愈加重要, 本文简要介绍了CPA标识认证和可信连接的新技术, 提出了未来互联网通讯新理念、机制、规则、框架以及新的通讯协议。

关键词：三网融合,CAS,CPK,可信连接

参考文献

[1]Nan Xianghao.Cyber Security Technical Framework—Trusting system based on identity authentication.China electronic industry publish-ing house, 2010.8.

[2]南湘浩, 赵建国, 谢建平, 刘亚东.实现可信连接的新通讯规则及可信路由器讨论.201007.