基于PKI的網絡云認證系統設計

張瑞+舒虹

摘 要： 為了提高網絡運行的安全性，設計了一種基于PKI的網絡云認證系統，介紹了公鑰基礎設施PKI的框架，詳細介紹了數字證書，給出證書制作過程。所設計系統主要由應用模塊與云認證模塊兩大部分組成，通過證書中心模塊產生密匙對與數字證書，將其壓縮成文件，利用安全信道遞交給用戶，實現數字證書申請。云認證模塊通過“挑戰/應答”協議完成核對認證，給出云認證協議的設計過程。實驗結果表明所設計系統效率和可靠性均較高。

關鍵詞： PKI； 云認證； 系統設計； 數字證書

中圖分類號： TN915.08?34； TP311 文獻標識碼： A 文章編號： 1004?373X（2017）23?0081?04

Abstract： In order to improve the safety of network operation， a network cloud authentication system based on PKI was designed. The framework of the public key infrastructure （PKI） is introduced. The digital certificate is introduced in detail， and its manufacturing operation is given. The system is mainly composed of application module and cloud authentication module. The secret key pairs and digital certificate are generated in the certificate center module， compressed into files， and submitted to user through the secure channel to realize the digital certificate request. The certification is checked in cloud authentication module by means of "challenge/response" protocol to give the design process of the cloud authentication protocol. The experimental results show that the designed system has high efficiency and reliability.

Keywords： PKI； cloud authentication； system design； digital certificate

當今社會處于網絡時代，人們的生活和工作越來越離不開網絡，但在使用網絡時往往會被盜取一些信息，被盜取信息或許包含個人隱私、企業商機甚至國家機密[1]。因此，必須設計一種有效的認證系統用于保證網絡信息安全。在對系統進行設計時，公鑰基礎設施PKI技術被廣泛應用，該技術通過用戶身份認證等措施很好地解決了公共網絡環境下重要信息傳輸問題[2]。本文設計了一種基于PKI的網絡云認證系統，實驗結果表明，所設計系統效率和可靠性均較高。

1 公鑰基礎設施PKI

1.1 PKI框架介紹

公鑰基礎設施PKI主要由4部分組成，分別是認證庫CRL、注冊機構RA、證書認證中心CA與PKI使用者。PKI結構圖如圖1所示。

用于歸納證書庫CRL的服務器被稱作證書服務器，當前通常采用的是LDAP協議系統，它是通過C/S形式對X.500目錄進行處理的，主要負責對證書與CRL列表進行存儲與識讀。

PKI使用者主要包括兩種用戶，分別是持有證書用戶與驗證用戶，持有證書用戶也是證書的申請用戶，能夠完成證書的升級與注銷操作，通過所持證書認證自身身份；驗證用戶通常利用特定系統對持有證書用戶的證書進行檢驗，核對證書的真實性，只有成功完成驗證的持證用戶才可以開通指定權限[3]。

所有使用公鑰的用戶都會得到由證書認證中心CA制作的數字證書，該數字證書中持證者與公鑰一一對應，保證持證用戶與持證用戶密鑰對等，以及用戶信息與證書認證中心之間特定關系的準確性與一致性。證書認證中心同意管理員對證書進行升級與注銷，并且定期提供CRL列表。通過注冊中心RA對數字證書進行審核，RA首先對申請用戶身份進行核對，然后對通過核對的用戶的基本信息進行收集，最后對證書進行管理。

1.2 證書的制作

證書的制作方法通常分為兩種：第一種方法為使用者自己構建密匙對，把公鑰交到證書認證中心，經證書認證中心審批后制成證書，寄存在證書庫中[4]；第二種方法為證書認證中心自己構建密鑰對，通過公鑰直接制成證書，將制成的證書寄存在證書庫中，通過安全信道把私鑰交到使用者手中，并將得到的私鑰毀掉[5]。

在利用上述兩種方法制作證書的過程中必須由申請用戶本人簽字同意才能進行。由于第二種方法更加安全方便，因此本節選用該方法進行證書制作。

1.3 數字證書

PKI所發布的數字證書就是使用者身份的標識，通過非對稱加密算法對相應的一對密鑰實行加密與解密。不同使用者只擁有一個私鑰用于簽名與加密，且這個私鑰不能被外人所用；不同使用者還擁有一個和私鑰相應的公鑰，利用公鑰核對簽名與解密[6]。任何通過密匙完成加密的信息，必須用與其相匹配的另一個密匙完成解密。保存使用者信息與公鑰的同時，在證書認證中心令使用者簽名，將其制成使用者的數字證書。

當今，PKI技術已被應用在不同領域，其中數字證書通常采用國際標準中的X.509標準，X.509標準的格式見表1。endprint

表1中，序列號是證書認證中心頒發的數字證書特定標識符；簽名算法是指利用非對稱加密算法與哈希算法進行數字證書簽發；起始日期指的是證書可以使用的開始日期；截止日期指證書可以使用的最后時間；持有者是指證書擁有者的基本信息。公鑰部分包括持有者公鑰信息與公鑰采用的算法標識符，每一簽發者和持有者都只存在惟一標識符。

2 基于PKI的網絡云認證系統設計

2.1 系統總體結構

所設計的基于PKI的網絡云認證系統主要由應用模塊與云認證模塊兩大部分組成，其中云認證系統主要應用于網絡安全，其是以PKI技術為核心的云認證系統。系統總體結構如圖2所示。

圖2中每個模塊都擁有不同的作用，詳細分析如下：

（1） 證書中心模塊是系統的基礎模塊，該模塊包括證書中心與注冊中心，它的作用是為能接收使用者的數字證書申請，簽發數字證書，對使用者數字證書進行升級與注銷以及管理已注銷數字證書列表。

（2） 認證模塊作為系統的核心，其最重要的作用是利用“挑戰/應答”協議對使用者身份以及擁有的數字證書進行判定。

（3） 證書數據庫模塊作為整個系統的存儲模塊，主要負責將X.509證書、已注銷證書列表以及證書使用者的基本信息存儲起來。

（4） 管理員模塊的作用是對證書中心模塊進行管理，管理員的詳細職能為：處理用戶提交的關于數字證書的申請；將處理結果及時告知給用戶；對持證者以及持證者數字證書的具體信息實行查找；對所有數據進行拷貝，避免因數據丟失導致系統崩潰的后果；解決因用戶非法操作產生的問題，對用戶進行指導[7]。

用戶模塊與集成接口是瀏覽器端最主要的組成部分，其詳細作用如下：

（1） 用戶模塊能夠向證書中心模塊呈遞用戶提交的關于數字證書的申請；把數字證書拷貝到U盤中；協同認證模塊判定使用者的身份是否合法。

（2） 集成接口能夠幫助現有應用系統順利應用各項功能，提高整個系統的運行效率。

2.2 數字證書的申請

系統通過證書中心模塊產生密匙對與數字證書，將其壓縮成文件，利用安全信道遞交給用戶，數字證書申請的詳細步驟為：

（1） 申請者登錄注冊機構的網址，在注冊界面中按照注冊表單要求填寫真實準確的申請信息。

（2） 通過認證機構對填寫完注冊信息的表單進行核對，將核對成功后的申請信息傳遞到證書中心。

（3） 證書中心對接收到的申請信息進行密匙對構建，依照證書標準要求制成X.509數字證書，把它存放到數據庫模塊中，同時把私鑰與數字證書遞交到用戶模塊[8]。

（4） 在用戶模塊與證書中心模塊間構建安全信道，以實現證書文件與用戶信息的傳遞，其詳細步驟為：

① 用戶對證書認證中心同意使用的安全證書進行下載，并生成會話密匙key；

② 用戶通過證書認證中心的公鑰對會話秘鑰進行加密，把完成加密的文件遞交到證書認證中心；

③ 證書認證中心通過自身的私鑰對加密文件實行破譯，利用破譯得到的會話密匙key對用戶模塊與證書認證中心模塊進行文件傳遞，以此構建安全信道。

（5） 用戶完成簽字后，證書認證中心將數字證書頒發給用戶，實現數字證書的申請。

2.3 云認證協議設計

云認證是系統的重要環節之一，它通過“挑戰/應答”協議完成核對認證，其協議是通過用戶模塊與認證模塊之間對話實現的，圖3為認證協議設計過程。

依據圖3給出認證協議設計步驟：

（1） 持證者經用戶模塊向認證模塊提交相關信息進行身份認證申請；

（2） 接到申請信息后，認證模塊立刻進行處理，隨機挑選出一個隨機數Rp傳遞給用戶模塊，將其看作“挑戰”；

（3） 令用戶模塊持證者對密碼進行認證，當輸入密碼正確時可以在U盤中獲取相應的私鑰；當密碼錯誤時認證失敗；

（4） 用戶模塊通過持卡者的私鑰對隨機數Rp進行加密，得到的結果是SC（Rp），把該結果與持證者的數字證書Scertc傳遞到認證模塊中進行驗證；

（5） 認證模塊對接收到的數字證書進行詳細的檢驗，檢驗內容主要包括數字證書的完整性、真實性以及是否已經被注銷等[9]。當數字證書成功完成檢驗時，認為該數字證書有效，通過數字證書的公鑰對SC（Rp）進行解密，解密的結果是REP。比較隨機數Rp與解密結果REP之間的對應關系，如果二者相等，則認為該持卡者為合法用戶，反之認為該持卡者為非法用戶。

3 實驗結果分析

為了驗證本文設計的基于PKI的網絡云認證系統的有效性，需要進行相關的實驗分析。實驗將Hadoop系統和嵌入式系統作為對比進行測試。

首先對系統的運行效率進行測試。在80 Mb/s網絡下，分別采用本文系統、Hadoop系統和嵌入式系統對同一用戶相關信息的存儲延遲和認證時間進行比較，結果如表2所示。

分析表2可以看出，當系統在80 Mb/s網絡下運行時，采用本文系統對用戶信息進行存儲所需的延遲為0.52 s，明顯低于Hadoop系統的0.85 s和嵌入式系統的0.89 s，說明本文算法存儲實時性高。且本文系統的認證時間明顯低于Hadoop系統和嵌入式系統，說明本文系統認證效率高。

下面對本文系統的認證準確性進行驗證，針對證書簽發、申請并下載，以及管理網絡服務訪問兩個項目，分別通過本文系統、Hadoop系統和嵌入式系統對其進行認證處理，得到的結果依次見表3，表4，其中項目一代表證書簽發、申請并下載，項目二代表管理網絡服務訪問。

分析表3與表4可以看出，本文設計系統認證成功率很高，幾乎為100%，明顯高于Hadoop系統和嵌入式系統，表明本文系統能精確地實現認證，具有極高的安全性、準確性以及穩定性，滿足系統使用人員的各種要求，大大提高了工作效率。

4 結 論

本文設計了一種基于PKI的網絡云認證系統，介紹了公鑰基礎設施PKI的框架。給出了系統總體結構，其主要由應用模塊與云認證模塊兩大部分組成。詳細介紹了數字證書申請過程和云認證協議的設計過程。實驗結果表明，所設計系統能精確地實現認證，具有極高的安全性、準確性以及穩定性，滿足系統使用人員的各種要求，大大提高了工作效率。

參考文獻

[1] 崔濤.基于云服務優選的最節能物流運輸調度系統的設計[J].現代電子技術，2016，39（20）：138?141.

[2] 李騰耀，張水平，張月玲，等.基于對等監控網絡的云監控系統設計與實現[J].計算機應用，2015，35（12）：3378?3382.

[3] 滑翔.基于云計算技術設計網絡安全儲存系統[J].電子技術應用，2016，42（11）：106?107.

[4] 馬曉麗，張曉蕾，陳珊.基于云平臺的智能電網管理系統分析和設計[J].電源技術，2016，40（9）：1869?1870.

[5] 李云，陳龐森，孫山林.基于近場通信認證的無線局域網無線接入協議的安全性設計[J].計算機應用，2016，36（5）：1236?1245.

[6] 章靜，封利霞.基于網絡云計算的視知覺訓練在弱視治療中的應用[J].中華眼視光學與視覺科學雜志，2015，17（6）：356?359.

[7] 王杰華，劉會平，邵浩然，等.無線雙向安全認證系統的設計與實現[J].計算機工程與設計，2016，37（10）：2639?2643.

[8] 朱森，徐志軍，王金明，等.用于動態聲紋密碼認證系統的分類器和歸一化的比較性研究[J].通信技術，2016，49（9）：1235?1238.

[9] 魯恩銘，鄧艷.基于PKI技術的企業級云存儲出錯數據證明的研究[J].電腦知識與技術，2016，12（15）：247?249.endprint