在线客服

MSN

演示
演示
后台演示
开发说明
我们专门研究网站加密狗(锁)、网络加密狗(锁)及其相关系统开发。
适用性
适合于所有网站,包括php,asp,.net,jsp等各种类型的网站用于硬件加密认证。
①会员、VIP登陆
②后台管理员登陆
③企业OA系统登陆
④各类缴费系统
⑤Shopex,Ecshop,CS-Cart,WordPress等各种建站系统
⑥贵金属交易平台
⑦代理商数据权限控制
⑧......
等等各种相关运用。
信息产业部网站备案号:
浙ICP备10205343号-6
 
首页 系统介绍 技术优势 成功案例 试用 下载 帮助 价格 付款方式 联系我们
 
达网U盾 网站安全 >

采用USB-KEY认证方式的安全平台设计

1 引言
PⅪ(Public Key IrIf蕊tructure)即公开密钥基础设施,是上世纪八十年代由美国学者提出来的概念,从本质上看,PKI就是多个认证机构相互合作以满足任意规模应用的、底层的基础技术.公钥体制是目前应用最广泛的一种加密体制,在这一体制中,加密密钥与解密密钥各不相同,信息发送者利用接收者的公钥发送加密信息,接收者再利用自己专有的私钥进行解密.这种方式既保证了信息的机密性和不可抵赖性,又能保证密钥传递的安全性.目前,公钥体制已广泛应用于cA认证、数字签名等重要领域.
为了适应web的分级管理需求,加强身份认证和访问控制,本文在对PI(I体制进行分析的基础上,设计并实现了一套基于PKI的网络资源安全平台,并通过应用目前较为流行的usB—KEY进一步提高了整个系统的安全性能.
2 PKI体系与功能
PKI是一种密钥管理平台,它能够为网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理.一个典型的PKI系统应该包括PKI策略、软硬件系统、认证中心cA、注册机构RA、证书签发系统和PKI应用等基本部分。


PKI策略是包含如何在实践中增强和支持安全策略的操作过程的详细文档,它建立和定义了组织信息安全方面的指导方针。同时也定义了密码系统使用的处理方法和原则;软硬件系统是Pl(I系统运行所需的所有软件、硬件的集合。主要包括认证服务器、目录服务器、PⅪ平台等;认证中心cA是PKI的信任基础。它负责管理密钥和数字证书的整个生命周期,其作用包括:发放证书、规定证书的有效期和通过发布证书废除列表(cRL)确保必要时可以废除证书;注册机构RA是PKI信任体系的重要组成部分,是用户和认证中心cA之间的一个接口,主要完成收集用户信息、确认用户身份的功能;证书签发系统负责证书的发放。可以通过用户自己,也可以通过目录服务,目录服务器可以是一个组织中现有的,也可以是PKI方案中提供的.

3 USB—KEY技术要点
随着web应用的不断成熟,起初作为数字签名载体的智能卡以及读卡器逐渐开始被usB—Key产品所替代,后者除能实现智能卡的所有功能之外,还利用usB技术将智能卡、读卡器的功能集于一身.不仅如此,支持热插拔、易携带的特点也成为其迅速占领市场的重要因素.UsB—KEY能够应用于PKI系统当中,用户私有密钥以及第三方认证机构所颁发的数字证书的存储可以在usB—KEY上实现.


usB—I(EY是一种usB接口的硬件设备,形状与常见的u盘很相似,它内置了cPu、存储器、芯片操作系统(c0S),可以存储用户的密钥或数字证书。利用usB—KEY内置的密码算法实现对用户身份的认证.每一个uSB—KEY都具有硬件PIN码保护,PIN码和硬件构成了用户使用usB—KEY的两个必要因素,用户只有同时取得了usB—KEY和用户PIN码,才可以登录系统.即使用户的PIN码被泄漏,只要用户持有的uSB—KEY不被盗取,合法用户的身份就不会被仿冒;如果用户的usB—KEY遗失,拾到者由于不知道用户PIN码,也无法仿冒合法用户的身份.
usB—KEY具有安全数据存储空间,可以存储数字证书、密钥等秘密数据,对该存储空间的读写操作必须通过程序实现,用户无法直接读取,其中的用户密钥是不可导出的,这就杜绝了复制用户数字证书或身份信息的可能性.usB—KEY可以实现加解密和签名的各种算法,加解密运算在usB—KEY内进行,保证了密钥不会出现在计算机内存中,从而杜绝了用户密钥被黑客截取的可能性.

4实施方案
4.1系统概述
本文利用PKI体系的相关技术,构建一个供拥有uSB—KEY的合法用户通过内网或互联网访问内部网络资源的安全平台.平台要求实现用户的和服务器的双向认证、密钥磋商、用户访问权限管理,保证信息传输的保密性、完整性、不可否认性.这个网络安全平台的服务器端分为两个部分,访问控制服务器和证书管理服务器.访问控制服务器是直接与客户端交换数据的服务器,负责的是与客户端完成密钥磋商,实现加密传输,控制客户端的访问权限.证书管理服务器负责包括访问控制服务器在内的所有用户的证书生成和证书颁发,证书采用x.509v3格式,并且在连接的时候负责用户的身份鉴定.
在安全平台中,访问控制程序运行在访问控制服务器上,而所有的客户端必须通过使用一个与之匹配的uSB—KEY才能够实现系统的正常登陆.每个usB—KEY中存储有代表该机合法持有人的证书和私钥,在整个安全平台中,只有证书管理服务器可以对usB—KEY内的数据进行改写.而usB—KEY内的私钥信息不能够被其他程序随意读取.同时,在对usB—KEY的数据进行操作之前还必需要对其PIN码进行验证,这样的设置使得这个网络平台的安全性得到了很大的保障.

4.2平台工作原理

本安全平台的认证协议设计思想来自SSL/TLS协议。但不是纯粹的将两者简单的加在一起,而是在理解了SSL/TLS协议的设计思想之后根据USB—l(EY的安全功能和实际情况之后设计的.其认证协议过程如图3所示.

①客户端uSB—KEY生成一个随机数Rl,取这个随机数RlUSB一Ⅺ灌的ID信息摘要H1,用DES加密算法以R1为密钥将Hl加密,然后用usB—KEY中的私钥加密Rl,并在前头加上uSB一ⅪN的ID发送给访问控制服务器;
②访问控制服务器将用户发来的数据直接转发给证书管理服务器;
③证书服务器收到数据之后,先根据这个ID在证书数据库里面找这个ID所对应的证书,然后用证书里所包含的公钥解密被客户端私钥加密过的RI,然后用这个R1通过DES算法解密得到H1.验证通过后,证书服务器会生成一个新随机数R2,以客户机的公钥对R2进行加密,加上服务器ID摘要H2,用Des加密算法以R1为密钥进行加密,并通过访问服务器传回客户机;
④客户机以R1为密钥解出经过客户机公钥加密的R2,之后再通过其私钥解出R2.
⑤客户机最终以R2为密钥与服务器进行通信.

4.2平台整体结构
该网络安全平台安全性能好,易于设置,便于管理,可以应用在些对网络安全要求比较高的地方,其网络拓朴图如图4所示.


5结论
本文以PKI技术为基础,构建了一套网络资源安全平台,并应用了使用usB—KEY的身份认证方式于其中,采用一次一密的强双因子认证模式。很好地解决了身份认证的安全可靠问题.
该平台在实际使用中取得了比较好的效果,大大提高了网络平台的安全性能.
本文作者创新点:应用usB~KEY的身份认证方式于Pl(I的网络安全平台当中,更好的解决了Pl(I平台巾的密钥安全问题.
 
 
  本网站由『i85纯静态优化建站系统』制作
网站加密狗 加密锁 网页加密狗 OA系统加密 网站安全登陆 验证登陆 加密狗 Sitemap - 达网版权所有