一種雙簽名數字證書的認證實現方案

杜 爽

(吉林農業大學工程技術學院 長春 130118)

1 引言

為解決各行業業務系統管理控制檢查中發現的應用賬號授權泛濫、賬號管理不嚴、缺少事后稽核、密碼保護不足及多次登錄問題，有必要將多種業務系統集成在統一的認證、鑒權系統中，以便實現安全的登錄控制管理。

為實現上述功能，達到較高的安全性，賬號所有者的身份認證技術是關鍵。在較多的認證實踐中，數字證書認證技術被認為是能夠有效實現身份鑒別的認證技術，基于數據證書認證可以實現訪問控制、安全登錄及安全審計等技術問題。但在利用數字證書實現單點登錄系統的實踐過程中，我們也發現某些特定的高敏感系統往往需要一種更高級別的驗證保護。

2 基于數字證書的身份認證原理

2.1 數字證書的定義

數字證書是由權威公正的第三方機構CA中心簽發的，以數字證書為核心的加密技術可以對網絡上進行傳輸的信息加解密、數字簽名和身份驗證。采用數字證書的可以保障網絡應用的機密性、完整性、可用性及安全性[1]。

2.2 數字證書認證系統構成

數字證書認證系統主要由注冊機構(RA)、認證機構(CA)、密鑰管理中心(KMC)構成。

·RA：主要負責接受證書申請、管理證書需求人的申請信息及審核申請人的真實身份，具體執行證書受理服務。

·CA：負責向身份符合的用戶制作對應權限證書、制定證書有效期以及執行CA系統整體策略，并對系統進行管理和維護[2]。

·KMC：用于對用戶的數字證書中的公鑰、私鑰的托管和維護。KMC可產生數字證書所對應的私鑰，當發生用戶數字證書私鑰丟失或毀壞的情況，可通過安全的管理措施予以恢復。

2.3 常規認證系統流程

證書申請。首先用戶向RA注冊機構發出申請，RA保存用戶的注冊申請信息留用。

人工審核。注冊機構操作員核對用戶信息并批準申請后，通過注冊機構管理柜員授權。

證書頒發。注冊機構RA向簽發機構CA傳遞用戶申請，證書中包含關于用戶及簽署CA的各種信息，具體包括可辨別用戶身份的惟一標識信息、證書持有者的公鑰、證書廢止期限等。

獲得證書。證書生成完畢后，簽發機構CA將證書輸出至目錄服務器及用戶。

證書使用。數字證書申請者獲得證書后，可通過自行下載等方式將證書存入各類物理介質中，需身份鑒權操作時提供證書即可[3，4]。

3 金庫模式雙簽名數字證書認證方式

3.1 金庫模式雙證書鑒權概述

銀行業金庫模式是一種雙驗證模式，該模式要求兩名金庫管庫員要同開庫、同進庫、同在庫、同出庫、同鎖庫。參考金庫模式，本文提出了雙簽名認證協議模式，支持使用數字證書鑒權方式下登錄特定敏感系統時必須同時提供兩人數字證書的形式，實現了類似銀行金庫模式的雙重“鑰匙”證明，有效地加強了通過數字證書鑒權認證登錄方式的安全性。

3.2 雙簽名數字證書鑒權實現方式

為實現本方式，本文提出了由負責接收鑒權需求的認證Web門戶、負責驗證用戶證書真實性及相應用戶權限的鑒權中心、證書管理中心及負責生成聯合證書的聯合授權中心。

如圖1所示，提案的鑒權實現方式如下。

·初始鑒權：用戶1向認證Web門戶發送登錄請求(步驟1)，認證門戶將身份驗證信息發送至鑒權中心(步驟 2)。

·當鑒權中心發現權限信息不足時，向門戶發出權限不足但可補充授權信息(步驟3)，門戶轉達補充授權需求(步驟 4)。

·授權補充：用戶1提供聯合授權人用戶2，信息至認證Web門戶(步驟5)。

·聯合授權：認證Web門戶發送至聯合授權中心(步驟7)，聯合授權中心向用戶2發出用戶1的請求(步驟8)，用戶2同意本次聯合鑒權需求(步驟9)。

·聯合后新證書下發：聯合鑒權中心向用戶證書中心發出提取證書信息請求(步驟10)，并由聯合鑒權中心生成本次聯合證書，通知認證Web門戶授權成功信息(步驟 11)。

圖1 雙簽名數字證書鑒權實現過程

·向鑒權中心發送本次聯合證書，用于記錄及鑒權審查(步驟 12)。

·鑒權中心完成本次鑒權(步驟13)利用本次聯合證書，用戶進行登錄，認證門戶跳轉界面至用戶所需服務界面(步驟14)。

4 結束語

本文提出的雙簽名認證提案能夠有效地滿足針對特定敏感系統的提高鑒權認證強度的需求。將特定系統的鑒權登錄強化至兩人同時確認當次訪問的程度，有效降低了單一工作人員利用自身證書存在的高風險信息泄密的可能性。

下一階段研究雙證書合并的實現協議及程序模擬實現工作。

1 洪琳，李展.數字簽名、數字信封和數字證書.計算機應用，2000(2)

2 趙維武，王維.數字證書驗證系統的設計與實現.實驗技術與管理，2008(1)

3 田文春，韋崗.基于數字證書的樹型結構安全多播方案.電子與信息學報，2002(12)

4 YD/T 1614-2007.公眾IP網絡安全要求-基于數字證書的訪問控制，2007