《电力市场运营系统中身份认证与访问控制的研究.pdf》由会员分享,可在线阅读,更多相关《电力市场运营系统中身份认证与访问控制的研究.pdf(56页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、华北电力大学(保定)硕士学位论文电力市场运营系统中身份认证与访问控制的研究姓名:刘元慧申请学位级别:硕士专业:计算机应用技术指导教师:王保义20081225华北电力大学硕士学位论文摘要摘要电力市场运营系统在保证电网安全、稳定、经济运行方面起到了重要的作用。为了保证电力市场运营系统中重要信息的安全,必须加强身份认证和访问控制机制。在身份认证方面,本文给出了一种新的用户和服务器间的双向交叉认证模型,该模型除了可以完成用户和服务器之间的双向交叉认证外,双方还可以协商产生协商密钥用来对通信的内容进行加密。访问控制方面,本文设计了一个基于角色和可信度的动态访问控制模型,该模型中用户的权限可以根据其可信度
2、而动态调整。在保证层次关系稳定方面,本文将角色进行抽象和具体的分离。经分析这些模型能很好的保证用户及服务器信息的安全,同时还能在方便修改角色权限的基础上保证角色层次的稳定。关键词:电力市场运营系统,双向交叉身份认证,R B A C,动态访问控制,可信度,角色层次A BS T R A C TP o w e rm a r k e to p e r a t i n gs y s t e mp l a y sa ni m p o r t a n tr o l ei ne n s u r i n gt h es a f e l y,s t a b l ya n de c o n o m i c a l
3、l yr u n n i n g I d e n t i t ya u t h e n t i c a t i o na n da c c e s sc o n t r o lm u s tb ee n h a n c e di no r d e rt op r o t e c tt h es e c u r i t yo ft h ei m p o r t a n ti n f o r m a t i o ni np o w e rm a r k e to p e r a t i n gs y s t e m I nt h ea s p e c to fi d e n t i t ya u
4、t h e n t i c a t i o n,an e wm u t u a lc r o s s i n ga u t h e n t i c a t i o nm o d e lb e t w e e nu s e ra n ds e r v e ri sg i v e ni nt h i sp a p e r T h em o d e ln o to n l yc a i lr e a l i z et h em u t u a lc r o s s i n ga u t h e n t i c a t i o nb e t w e e nu s e ra n ds e r v e r
5、,a l s oC a np r o d u c et h es e c r e tk e yb e t w e e nt h e mt oe n c r y p tt h ec o m m u n i c a t i n gi n f o r m a t i o n I nt h ea s p e c to fa c c e s sc o n t r o l,an e wr o l e a n d c r e d i b i l i t yb a s e dd y n a m i ca c c e s sc o n t r o lm o d e li sd e s i g n e di nt
6、 h i sp a p e r U s e r Sa u t h o r i t yc a nb ea d j u s t e dd y n a m i c a l l ya c c o r d i n gt ot h ec r e d i b i l i t y I nt h ea s p e c to fe n s u r i n gs t a b i l i t yo fh i e r a r c h yr e l a t i o n s h i p,t h er o l ei ss e p a r a t e di n t oa b s t r a c tp a r ta n dc o
7、 n c r e t ep a r t A f t e ra n a l y z i n gw ec a nf i n dt h a tt h e s em o d e l sc a np r o t e c ti n f o r m a t i o no fu s e ra n ds e r v e rs e c u r i t y a n da l s oc a ne n s u r et h es t a b i l i t yo fr o l eh i e r a r c h yi nt h eb a s eo fa m e n d i n gr o l e Sa u t h o r
8、i t yc o n v e n i e n t l y L i uY u a n h u i(C o m p u t e rA p p l i c a t i o nT e c h n o l o g y)D i r e c t e db yp r o f W a n gB a o y iK E YW O R D S:p o w e rm a r k e to p e r a t i n gs y s t e m,m u t u a lc r o s s i n ga u t h e n t i c a t i o n,R B A C,d y n a m i ca c c e s sc o
9、n t r o l,c r e d i b i l i t y,r o l eh i e r a r c h y华北电力大学硕士学位论文摘要摘要电力市场运营系统在保证电网安全、稳定、经济运行方面起到了重要的作用。为了保证电力市场运营系统中重要信息的安全,必须加强身份认证和访问控制机制。在身份认证方面,本文给出了一种新的用户和服务器间的双向交叉认证模型,该模型除了可以完成用户和服务器之间的双向交叉认证外,双方还可以协商产生协商密钥用来对通信的内容进行加密。访问控制方面,本文设计了一个基于角色和可信度的动态访问控制模型,该模型中用户的权限可以根据其可信度而动态调整。在保证层次关系稳定方面,本文将角
10、色进行抽象和具体的分离。经分析这些模型能很好的保证用户及服务器信息的安全,同时还能在方便修改角色权限的基础上保证角色层次的稳定。关键词:电力市场运营系统,双向交叉身份认证,R B A C,动态访问控制,可信度,角色层次A BS T R A C TP o w e rm a r k e to p e r a t i n gs y s t e mp l a y sa ni m p o r t a n tr o l ei ne n s u r i n gt h es a f e l y,s t a b l ya n de c o n o m i c a l l yr u n n i n g I d e
11、 n t i t ya u t h e n t i c a t i o na n da c c e s sc o n t r o lm u s tb ee n h a n c e di no r d e rt op r o t e c tt h es e c u r i t yo ft h ei m p o r t a n ti n f o r m a t i o ni np o w e rm a r k e to p e r a t i n gs y s t e m I nt h ea s p e c to fi d e n t i t ya u t h e n t i c a t i o
12、n,an e wm u t u a lc r o s s i n ga u t h e n t i c a t i o nm o d e lb e t w e e nu s e ra n ds e r v e ri sg i v e ni nt h i sp a p e r T h em o d e ln o to n l yc a i lr e a l i z et h em u t u a lc r o s s i n ga u t h e n t i c a t i o nb e t w e e nu s e ra n ds e r v e r,a l s oC a np r o d u
13、 c et h es e c r e tk e yb e t w e e nt h e mt oe n c r y p tt h ec o m m u n i c a t i n gi n f o r m a t i o n I nt h ea s p e c to fa c c e s sc o n t r o l,an e wr o l e a n d c r e d i b i l i t yb a s e dd y n a m i ca c c e s sc o n t r o lm o d e li sd e s i g n e di nt h i sp a p e r U s e
14、r Sa u t h o r i t yc a nb ea d j u s t e dd y n a m i c a l l ya c c o r d i n gt ot h ec r e d i b i l i t y I nt h ea s p e c to fe n s u r i n gs t a b i l i t yo fh i e r a r c h yr e l a t i o n s h i p,t h er o l ei ss e p a r a t e di n t oa b s t r a c tp a r ta n dc o n c r e t ep a r t A
15、f t e ra n a l y z i n gw ec a nf i n dt h a tt h e s em o d e l sc a np r o t e c ti n f o r m a t i o no fu s e ra n ds e r v e rs e c u r i t y a n da l s oc a ne n s u r et h es t a b i l i t yo fr o l eh i e r a r c h yi nt h eb a s eo fa m e n d i n gr o l e Sa u t h o r i t yc o n v e n i e n
16、 t l y L i uY u a n h u i(C o m p u t e rA p p l i c a t i o nT e c h n o l o g y)D i r e c t e db yp r o f W a n gB a o y iK E YW O R D S:p o w e rm a r k e to p e r a t i n gs y s t e m,m u t u a lc r o s s i n ga u t h e n t i c a t i o n,R B A C,d y n a m i ca c c e s sc o n t r o l,c r e d i b
17、i l i t y,r o l eh i e r a r c h y声明尸明本人郑重声明:此处所提交的硕士学位论文电力信息系统中单一登录和访问控制方法的研究,是本人在华北电力大学攻读硕士学位期间,在导师指导下进行的研究工作和取得的研究成果。据本人所知,除了文中特别加以标注和致谢之处外,论文中不包含其他人已经发表或撰写过的研究成果,也不包含为获得华北电力大学或其他教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。学位论文作者签名:匐型蒸;日期:超生:!皇!兰上关于学位论文使用授权的说明本人完全了解华北电力大学有关保留、使用学位论文
18、的规定,即:学校有权保管、并向有关部门送交学位论文的原件与复印件;学校可以采用影印、缩印或其它复制手段复制并保存学位论文;学校可允许学位论文被查阅或借阅;学校可以学术交流为目的,复制赠送和交换学位论文;同意学校可以用不同方式在不同媒体上发表、传播学位论文的全部或部分内容。(涉密的学位论文在解密后遵守此规定)作者签名:导师签名:日期:垄竺:!兰!竺日期:华北电力人学硕十学位论文1 1 研究工作的背景和意义第一章引言随着我国电力行业信息现代化进程的加快,基于计算机网络的各种电力应用也随之发展起来,如竞价上网、负荷预测、实时调度等等。众多的网络应用带来了计算机网络开放的问题。网络不丌放不行,特别是一
19、个运营性的应用网络,不开放意味着无法为客户提供更好的网络服务。可是,一旦敞丌网络大门,在网络资源优势得以充分发挥、网络技术得到发展、应用同渐广泛、服务质量和效率大大提高的同时,网络安全问题也显得日益突出了。近年来,电力市场的建立成为了我国社会主义市场经济发展的必然要求,电力系统需要打破垄断,实行厂网分离,进行市场化运营。而电力企业的商业化运营,需要涉及到电力系统安全稳定和经济运行的理论、技术,以及电力企业经济利益最大化等相关的市场经济的理论。因此需要电力专业理论、技术、市场经济理论与信息技术相结合,构建稳定持续发展的电力市场及其技术支持系统。电力市场运营系统是支持电力市场运营的计算机、数据网络
20、与通信设备、各种技术标准和应用软件的有机组合。系统的设计按照“厂网分开、竞价上网”的原则,按照独立电厂市场化、并适当兼顾供电侧的市场模式设计,完成电力市场各参与方的数据申报和处理、合同管理、期货交易管理、市场预测、发电计划和竞价、安全校核、市场即时信息的发布和接收、考核和结算等功能。系统以电力调度交易中心为中心点,覆盖面向供电局、发电厂。由于电力市场运营系统是电力市场正常运行的基础,因此保证电力市场运营系统的安全就变得至关重要。目前我国电力工业正在实行电力市场的改革,东北和华东区域电力市场也正在进行发电侧竞价上网的试运行。然而国内外对于已经有的和正在建设中的电力市场运营系统,人们关注的焦点是系
21、统的功能,对系统的安全性则重视不够。电力市场运营系统能否安全的运行关系到整个电力市场能否正常的运作,关系到电力交易中各方的切身利益。所以对于电力市场运营系统中网络信息安全的研究就变的至关重要1 2 J。在电子商务迅速发展的今天,为了保证电子商务的安全运行,采用了许多种安全措施,其中公钥基础设施P K I(P u b l i cK e yI n f r a s t r u c t u r e s),就是在公钥加密技术的基础上实现数字证书的产生、管理、存储、发放以及作废而必需的全部硬件、软件、人力资源、相关政策和操作程序以及为P K I 体系中的成员提供的安全服务的全部。由于数字证书可以保证证书持
22、有人身份的真实性,P K I 的功能就是绑定证书持有者华北电力大学硕+学位论文的身份和相关的密钥对,进而利用数字证书及相关的各种服务实现通信中各实体的身份认证、完整性、不可否认性和保密性。P K I 中的X 5 0 9 公钥证书可以很好的解决网络环境中服务器与用户之I、日J 的身份认证问题,但是在整个认证过程中,客户与服务器之间无法协商产生协商密钥。为了实现服务器和用户之间的认证,就需要采用双向交叉认证技术;为了实现对资源的访问控制,就需要用到权限管理基础设施P M I(P r i v i l e g eM a n a g e m e n tI n f r a s t r u c t u r
23、e s)。P M I 以P K I 为基础,采用基于属性证书A C(A t t r i b u t eC e r t i f i c a t e)的授权模式,对资源的访问授权由资源的管理者来进行控制分配。资源管理者通过授权管理服务系统为资源使用者分配资源访问权限,并加以签名,应用系统核验资源使用者的访问权限,实现安全访问资源的目的。P M I 能实现安全访问资源的目的,但P M I 对用户权限的控制是静态的,不能根据用户登录所隐含的信息来动态调整用户的权限,为了实现该目的,就需要采用动态访问控制技术。电力市场运营系统的安全是一个比较复杂的问题,涉及安全技术和安全管理两大范畴。就安全技术而言,它
24、又涵盖了现代通信技术、计算机技术、网络技术、密码技术等,是一项跨学科的综合性信息系统工程。由于电力交易作为一种特殊的电子商务形式,根据电力市场的特点,可以借鉴电子商务中采用的安全措施。目前来说,对于电力市场运营系统的安全性研究还没有形成一个完善的理论体系结构,各种安全解决方案不能很好的进行融合,建立一个适合电力市场稳定运行的安全体系结构,这是电力市场运营系统安全性研究必然的发展方向I l】。1 2 国内外研究现状目前相关文献就电力市场运营系统的安全问题进行了研究 3 1 0 J。身份认证方面,文献 3】指出了电力市场运营系统的安全需求和面临的安全威胁,并给出了基于公钥技术的身份认证及数据加密传
25、输流程。该模型基本思想是:用户登录时插入自己的证书I C 卡并输入用户名和密码,服务器用根证书验证用户证书及用户名,成功后再用用户的数字证书和服务器进行握手,再次成功后验证用户权限,之后用户即可以进行相关操作。从该思路可以看出,该模型自始自终都是服务器在验证用户,而用户并没有验证服务器是否是真实的。文献【5】基于公钥技术和相关的安全标准,提出了电力数字证书服务系统P C S S的总体架构,并介绍了其在电力业务服务器身份认证中的应用。该模型能实现客户端和服务器间的双向认证,但是要使用该模型,需要客户端和服务器端都安装P C S S安全平台或者需要与P C S S 安全平台进行通信,这与P K I
26、 很相似。文献【6】给出了基于P K I P M I 的身份认证和访问控制方式。文中基于A g e n t 技术设计了专用的认证访问智能代理,该代理接收用户提交的公钥证书并实现对用户身2华北电力大学硕士学位论文份的认证,认证通过后需要将A C 传递给权限解析代理,然后由权限解析代理确定用户的权限。不难发现,该身份认证模型同样只是考虑了服务器对用户的认证而未考虑用户对服务器的认证。目前文献中的双向认证系统以应用于分布式系统或P 2 P 系统中为主。文献【1 1 1 4】分别给出了自己的双向认证方案。但文献【1 1】未考虑客户及服务器的数字证书是否有效的问题,而文献【1 2 1 将客户认证服务器和
27、服务器认证客户分成了两个独立的过程,不能很好的解决冒充问题。文献【13】给出了一个基于B A N 逻辑的身份认证模型,该模型能透明安全地实现身份认证,但该模型比较适用于动态分布式系统。文献【1 4】给出了一个买卖双方之间通过移动电子商务进行交易之前的身份认证模型,该模型是以移动电子商务为基础的,不能很好的应用到电力市场运营系统中。因此有必要结合电力市场运营系统自身的特点设计一个客户端和服务器端之间的双向交叉认证模型。访问控制方面,文献【1 5 1 7】明确指出,必须确保电力市场的可靠性,加强其访问控制。目前常用的访问控制方式有:基于动态代理和控制中心的访问控制方式【1 8】、基于工作流任务实例
28、变迁的动态访问控制模型【l9 1、基于属性的访问控制方式f 2 0 1、基于域的访问控制方式【2 1 1、基于角色的访问控制等方式,其目标就是保障合法用户能够访问授权范围内的业务应用和市场信息【l 引,保障用户私有信息的安全,同时拒绝非法用户进入系统。基于角色的访问控制(R B A C)口2】模型通过引入角色将用户和权限从逻辑上分离开来,通过对用户角色和角色一权限进行管理,大大降低了授权管理的复杂度。文献 1 8】通过引入动态代理和控制中心的方式来实现安全的访问控制,通过动态代理实现应用逻辑与权限管理的分离。客户端对应用服务的访问首先被动态代理截获,由动态代理将访问发送到控制中心,控制中心将客
29、户端的用户身份信息、待访问的应用服务及业务方法发送到权限管理服务,由权限管理服务对用户身份进行校验。如果用户具有访问权限,控制中心则将访问请求发送到相应的应用服务,并将执行结果返回动态代理,由动态代理将结果送回客户端。但这些访问控制方式存在的一个缺点是:用户的权限一旦设定,其权限是静态的,不能根据用户通过认证时的行为来动态改变用户可执行的权限,只要用户登录系统就能在其权限范围内进行任何操作。若非法用户登录系统,则会造成敏感信息的泄漏。为了解决该问题,文献 2 3 1 和 2 4 1 分别给出了自己的基于可信度的访问控制方法。文献 2 3 1 是将身份认证和访问控制有效地结合起来。通过建立主体可
30、信度计算方法,实时检测主体的可信度变化,当它下降到某个设定的值时,采用一次性口令方法对主体的身份进行重新认证,能否通过一次性口令认证就反映了该用户身份的3华北电力入学硕+学位论文可信性。该模型的缺点是当用户的可信度较低时则需要根据用户的可信度对其访问权限进行重复认证,这样用户在重复认证时很容易发现何种操作能提高自己的可信度,进而反复进行此种操作直至获得需要的可信度,然后访问系统。文献 2 4 1 是利用审计模块来监控系统的报警信息,当产生警告信息时审计模块根据可信度下降规则来调整主体的可信度,从而达到限制其权限的目的。该模型能很好的发现并控制主体的行为,但是系统的工作量比较大,并且该模型并未考
31、虑主体之前访问系统时的可信度对本次访问的影响。上述基于可信度的访问控制方法能够动态调整用户的可信度,但是没有考虑用户登录系统时的可疑行为及上次登录系统时的可信度对该次可信度的影响,因此有必要设计一种既能充分考虑用户登录行为对其可信度的影响又能考虑用户上次的可信度对该次其可信度影响的动态访问控制方法。1 3 研究工作的内容和组织结构针对电力市场运营系统中主要的存在的安全威胁,如中间人攻击、冒充、泄密等,本文主要进行以下几个方面的研究工作:(1)研究P K l 的数字认证理论,使用公钥证书及对随机数加密来验证用户和服务器身份的真实性,防止冒充及中间人攻击;使用共享密钥的协商生成技术来保证双方通信过
32、程中传输信息的安全。(2)研究R B A C 模型中的角色层次关系,针对改变角色之间继承关系时其层次结构不稳定这一问题,将角色分离为角色能力和角色身份,用户之间通过角色身分进行继承,通过改变角色能力改变用户的权限,从而增强角色层次的稳定,同时方便角色权限的修改。(3)研究R B A C 访问控制模型,针对电力市场运营系统中目前用户权限的静态性,提出了一种基于角色和可信度的动态访问控制模型,根据用户在进行认证过程中的隐含信息来动态调整用户的权限,保证用户可疑时系统及合法用户敏感信息的安全。本文共分五章,内容安排如下:第一章:引言。介绍选题背景和意义、国内外研究现状、论文内容和本文所做工作,并描述
33、论文的组织。第二章:相关知识。主要介绍电力市场运营系统的安全技术、身份认证技术及传统的访问控制技术。第三章:首先简要介绍双向身份认证模型,然后在分析目前电力市场运营系统中身份认证存在的问题的基础上,给出动态双向交叉认证模型并对该模型进行安全4华北电力大学硕士学位论文性分析。第四章:首先简要介绍R B A C 模型,然后在分析目前电力市场运营系统中用户敏感信息保护存在的问题的基础上,给出动态访问控制模型并对该模型中可信度计算算法进行了m a t l a b 仿真及严格的理论证明。同时为了保证角色层次关系的稳定,还对角色之间的继承关系进行了一定的改进。第五章:结论和展望。对所做工作进行总结,并给出
34、需要继续研究的问题。华北电力人学硕十学位论文第二章电力市场运营系统的相关安全技术2 1 电力市场运营系统及其安全技术2 1 1 电力市场运营系统国务院2 0 0 2 0 4 l l 批准并实施了电力体制改革方案。具体任务为:实施厂网分开,重组发电和电网企业竞价上网,建立电力市场运行规则和政府监管体制,初步建立竞争、丌放的区域电力市场,实行新的电价机制等。其目的是打破行业垄断,建立起规范、公正和高效的电力市场体系。电力市场主体主要包括:发电企业、输电企业、供电企业及用户。交易机构为:区域电力调度交易中心(包括:区域电力调度中心、区域电力交易中心和省、自治区、直辖市电力调度机构)。电力市场交易机构
35、负责电力调度、电力市场交易、计量结算。电力市场按空间可划分为:国家市场、大区市场、省级市场、地区市场;按类型可划分为:发电市场、输电市场、配电市场、售电市场f JJ。电力市场的最终目的是按一定的市场规则,组织发电企业竞价上网,输配电企业按合同提供输配电服务,对发供用电量进行实时计量,并按合同进行考核和结算,保障市场中各成员间的利益分配。电力市场运营系统是支持电力市场运营的计算机、数据网络与通信设备、各种技术标准和应用软件的有机组合。电力市场的特点要求其技术支持系统的基本结构应能紧密结合电力市场的实际情况,不但要满足现时电力市场各种运营模式、竞价模式和结算模式变化的需要,具有良好的适应性,同时还
36、要适应于将来区域性电力市场运营、电力体制深化改革和电力市场的进一步发展的需要1 25 1。2 1。2 电力市场运营系统的安全技术电力市场运营系统所面临的安全威胁主要是网络中数据信息的安全威胁,包括数据存储、数据传输、数据处理的安全。网络安全是个动态的过程,即使有着良好安全措施的网络随着时间的变化面临的网络安全威胁也会发生变化。以下从身份认证和访问控制两个方面对电力市场运营系统的安全威胁进行分析:(1)身份认证仅依靠用户I D 和口令的认证很不安全,容易被猜测或者盗取,会带来很大的安全风险。为此,动态口令认证、C A 第三方认证等被认为是先进的认证方式。但是目前电力系统普遍采用的P K I 技术
37、往往只强调服务器对用户的认证而忽略了用户6华北电力大学硕士学位论文对服务器的认证,容易产生服务器假冒的安全威胁。因此,应该在充分利用现有的P K I 基础设施的基础上,加强用户与服务器之间的双向认证。(2)访问控制访问控韦t (A c c e s sC o n t r 0 1)是信息安全保障机制的核心内容之一,是由系统维护的、对每一个访问系统资源和数据进行仲裁的过程,它决定访问请求时被允许还是被拒绝。访问控制的一般概念是针对越权使用资源的防御措施。用户只能根据自己的权限大小来访问系统资源,不得越权访问。电力市场运营系统现用的访问控制技术能够防止非法用户登录、浏览、操作或者关闭系统以及合法用户对
38、系统资源的非法使用和操作。但是,网络威胁是动态变化的,现有的技术并不能保证能检测出所有的未知的威胁,因此有必要设计一种权限可以动念变化的访问控制技术,通过分析用户登录系统的行为,计算其可信度,当用户行为与常规行为不太一致时动态调整其权限。2。2 身份认证技术2 2 1 身份认证基本原理身份认证是指被认证对象向系统出示自己身份证明的过程,通常是获得系统服务所必需的第一道关卡【26 1。身份认证需要证实的是实体本身,而不是消息认证那样证实其合法性、完整性。身份认证的过程一般会涉及到两方面的内容:识别和验证。识别,就是要对系统中的每个合法注册的用户具有识别能力,要保证识别的有效性,必须保证任何两个不
39、同的用户都不能具有相同的标识符。验证是指访问者声明自己的身份后,系统还必须对它声称的身份进行验证。一个身份认证系统一般由三方组成:一方是出示证件的人,称作示证者,又称作申请者,提出某种要求;另一方为验证方,检验示证者提出的证件的正确性和合法性,决定是否满足其要求;第三方是攻击者,可以窃听和伪装示证者骗取验证者的信任。认证系统在必要时会有第四方,即可信赖者,参与调节纠纷。身份认证系统一般应该满足以下要求1 2 7】:(1)验证者F 确识别合法示证者的概率极大化;(2)不具有可传递性。验证者B 不可能重用示证者A 提供给他的信息来伪装示证者A 而成功地骗取其他人的验证,从而得到信任;(3)攻击者伪
40、装示证者骗取验证者成功的概率要小到可以忽略的程度,特别是要能抵抗已知密文攻击,即能抵抗攻击者和验证者多次通信下伪装示证者欺骗验证者:(4)计算有效性,为实现身份证明所需要的计算量要小;7华北电力大学硕十学位论文(5)通信有效性,为实现身份证明所需通信次数和数据量要小:(6)秘密参数能安全存储;(7)交互识别,有些应用中要求双方能相互进行身份认证:(8)第三方的实时参与,如在线公钥检索服务;(9)第三方的可信赖性;(1 0)可证明安全性。(7)(1O)是部分身份识别系统提出的要求。身份认证技术是信息安全理论与技术的一个重要方面,它是网络安全的第一道防线,用于限制非法用户访问受限的网络资源,是一切
41、安全机制的基础。这也就使之成为黑客攻击的主要目标。因此使用一个强健有效的身份认证机制对于系统的网络安全有着非同寻常的意义。目前常用的身份认证方式有三种:用户名和口令方式、基于K e r b e r o s 认证的方式和基于P K I 的X 5 0 9 证书方式。下面分别介绍这三种认证方式。2 2 2 用户名和口令这是一种最常用的方式,是用于H t t p 基本身份验证和简要身份验证的技术。用户名是用户登录时用来向计算机或者网络系统证明自己的唯一的标识符,通常是由易于记忆的字符组成。用户名和口令一起用于对用户进行验证,并要像口令一样保管。口令是与用户名组合在一起提供给计算机或网络系统进行验证时的
42、关键机密信息。随着需要身份验证场所数量的增加,用户通常选择在多个场所重用相同的1:3令,使得身份验证中关键部分口令的缺陷问题更加恶化。计算机技术的发展已经导致了个人口令技术的弱化。这些弱化的技术就是口令问题的症结所在。在数字化环境中,一些有恶意的认证使用更快速、功能强大的计算机和应用系统试图干扰人们的计算机系统,因此,我们需要更小心的构建、使用和存储口令。为了口令的安全,必须遵循以下5 个基本原则:(1)口令必须是可记忆的,如果必须将口令写下来,那写下来的记录必须妥善保管:(2)不同系统使用的口令尽量是不同的:(3)口令不能太短;(4)口令必须包含字母、数字及其它字符,增大口令的空间;(5)口
43、令必须定期改变。显然,口令不能以明文方式在网上传送,即使经加密处理,若每次认证都传送R华北电力大学硕士学位论文相同的信息,则容易受截获重放攻击。因此产生了动态口令、一次性口令等基于口令的身份认证方式。随着计算机网络系统的发展,出现了更多的对安全系统进行攻击的技巧,因此也产生了更强的认证技术。2 2 3K e r b e r o s 认证方式1 9 8 3 年,在麻省理工学院(M I T)开始的研究项目中开发出来一种学院环境中的边界安全模型,该安全模型命名为K e r b e r o s。K e r b e r o s 是为T C P I P 网络设计的可信的第三方鉴别协议,网络上的K e r
44、b e r o s 服务起着可信仲裁者的作用。K e r b e r o s5 已经成为目前的标准。本部分分别介绍K e r b e r o s 协议及工作原理,并分析其安全性。(1)K e r b e r o s 协议及工作原理【2 8】在目前的K e r b e r o s 标准协议中,协议如下:T r e n t、A l i c e 和B o b 中的每人各共享一密钥。A l i c e 产生一会话密钥用于和B o b通信:A l i c e 将她的名字A 与B o b 的名字B 发送给T r e n t:A、B:T r e n t 产生一消息,该消息由时间标记T、使用寿命L、随机会话密
45、钥K和A l i c e 的名字构成。他用与B o b 共享的密钥加密消息,然后取时间标记、使用寿命、会话密钥和B o b 的名字,并且用他与A l i c e 共享的密钥加密,然后把这两个加密消息发给A l i c e:E A(7,L,K,B),E 8(丁,L,K,A)。A l i c e 用她的名字和时间标记产生消息,并用K 对它进行加密,然后将它发送给B o b。A l i c e 把从T r e n t 那里得来的用B o b 的密钥加密的消息发送给B o b:E K(彳,丁),岛(丁,L,K,A)。B o b 用K 对时间标记加1 的消息进行加密,并将它发送给A l i c e:瓯(
46、丁+1)。K e r b e r o sV 5 认证协议如图2 1 所示。a s:身份认证服务器(a u t h e n t i c a t i o ns e r v e r)T G S-票据发放服务器(t i c k e tg r a n t i n gs e r v e r)图2 1K e r b e r o s 协议工作原理协议描述中用到的符号如表2 1 所示。9华北电力人学硕十学位论文表2 1K e r b e r o s 认证协议中的符号C客户端的主体(p r i n c i p a l)S服务器端的土体(p r i n c i p a l)a d d r客户端的l P 地址r i
47、f e该t i c k e t 的生存期刀临时值,一个随机数串K Xx 的密钥K。x 和Y 的会话密钥C,z 向Y 申请服务所片;j 的t i c k e t a b c K x用x 的密钥加密a b c 后的结果4x 发出的认证符具体步骤如下:c l i e n t 向a s 申请身份认证票据(t i c k e tg r a n t i n gt i c k e t,T G T),即疋埘(其中T G S为票据发放服务器t i c k e tg r a n t i n gs e r v e r)。c l i e n t 向a s 发送的消息有代表自己的p r i n c i p a l“C”
48、,代表所申请服务的p r i n c i p a l“t g s”和随机数串“r l”0a s 发送T G T 和会话密钥K。给c l i e n t。a s 收到c l i e n t 在第步发送的消息后,由p r i n c i p a l“t g s 知道c l i e n t 提出申请T G T。在验证数据库中存在p r i n c i p l e“C”后,它首先生成能够证明c l i e n t 身份的t i c k e t 瓦。和一个随机的会话密钥蜒。c l i e n t 向T G S 申请访问s e r v e r 的票据,即Z。c l i e n t 在收到第步a s 发回的
49、消息后,首先用自己的密钥丘解密,鼬,门)丘,得到疋,鼬和刀,然后将这个 与第发出的玎相比较,如不同则说明有错:如相同,则把疋,社和 I,衿 K 黔保存在证书的c a c h e 文件中,并产生认证符么,。T G S 发送 乃。)K。和会话密钥以。给c l i e n t。T G S 收到c l i e n t 第步发送的消息后,首先用自己的密钥k 解密 T o 够 得到瓦,秘,进一步可以从疋懈中得到K c,肾,然后便可以解密出4。然后,它将彳。中的C 和范围与疋。中的C 和范围相比较,看它们是否一致。如果不一致,则说明有错;否则说明彳,是用髟。加密的。如果4 中的时间戳不是最近的,说明有可能是
50、重放攻击;如果彳,中的三元组(c,S,t i m e s t a m p)是最近见到的,也说明有可能是重放攻击:如果不是最近见到过的,T G S 会把这个三元组记录下来,作为以后比较用。除此之外,T G S 还会检查。是否超过了它的生存期。如果这些检查都通过,T G S 就相信c l i e n t 知道疋,。,那么c l i e n t 就是f。c l i e n t 将。提交给s e r v e r。c l i e n t 收到T G S 第步发送的消息后的处理与第步基本相同,只不过将解密密钥由K c 换成群舾,加密密钥由K c 脾换成K。(2)K e r b e r o s 的安全性分析