基于PKI-PMI體系下的匿名認(rèn)證方案研究.pdf

1、隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展,電子商務(wù)活動(dòng)越來(lái)越頻繁,尤其是網(wǎng)上購(gòu)物、網(wǎng)上銀行等業(yè)務(wù)給人們生活帶來(lái)了巨大的便利,人們能夠在足不出戶(hù)的情況下,獲得自己所需要的資源和服務(wù)。但是人們?cè)谙硎苓@些便利的同時(shí)也面臨著信息安全的問(wèn)題。在電子商務(wù)活動(dòng)中,服務(wù)提供者總是會(huì)要求用戶(hù)提交個(gè)人身份信息,通過(guò)認(rèn)證后才能訪問(wèn)所需資源或者獲得服務(wù),然而在開(kāi)放的網(wǎng)絡(luò)環(huán)境中,用戶(hù)的信息卻很有可能被非法用戶(hù)或攻擊者獲取,存在著被泄露的威脅。所以現(xiàn)在大多數(shù)用戶(hù)都希望在不提交有關(guān)個(gè)

2、人身份信息的前提下,獲取資源的訪問(wèn)權(quán)限,即實(shí)現(xiàn)匿名訪問(wèn)資源。
　　公鑰基礎(chǔ)設(shè)施PKI作為具有國(guó)際標(biāo)準(zhǔn)的安全機(jī)制,在電子商務(wù)活動(dòng)中有著廣泛的應(yīng)用。PKI用數(shù)字證書(shū)實(shí)現(xiàn)了用戶(hù)和密鑰之間的綁定,提供了身份認(rèn)證的服務(wù)。PMI作為PKI的延伸,利用屬性證書(shū)綁定了用戶(hù)和權(quán)限關(guān)系,為用戶(hù)提供不同的訪問(wèn)控制權(quán)限。在這一體系下實(shí)現(xiàn)匿名認(rèn)證具有開(kāi)放性和可移植性好、與身份證書(shū)的認(rèn)證模式易于融合的優(yōu)點(diǎn)。對(duì)于PKI/PMI體系,由于身份綁定于證書(shū)的認(rèn)證機(jī)制

3、和結(jié)構(gòu)特點(diǎn),所以將用戶(hù)的身份鑒別與合法性認(rèn)證相分離是其實(shí)現(xiàn)匿名認(rèn)證的關(guān)鍵,而這種分離通常需要引入可信第三方來(lái)實(shí)現(xiàn)。
　　本文首先概括和總結(jié)了匿名認(rèn)證的預(yù)備知識(shí)和相關(guān)技術(shù),著重介紹了PKI/PMI的體系結(jié)構(gòu),然后基于此體系提出了基于PMI屬性證書(shū)的匿名認(rèn)證方案,該方案使用標(biāo)準(zhǔn)的PKI公鑰證書(shū)和PMI屬性證書(shū),實(shí)現(xiàn)了用戶(hù)身份認(rèn)證與合法性授權(quán)的分離,具有可證明的安全性和匿名性。方案中可信第三方由PMI屬性權(quán)威機(jī)構(gòu)AA來(lái)?yè)?dān)當(dāng),具有國(guó)際標(biāo)準(zhǔn)

4、和商業(yè)模式。為了避免隨著用戶(hù)規(guī)模的增加可信第三方成為系統(tǒng)效率的瓶頸,實(shí)現(xiàn)大規(guī)模系統(tǒng)的應(yīng)用,本文又提出了一個(gè)基于PMI角色模型的匿名認(rèn)證方案,用戶(hù)根據(jù)自己的需求選擇角色,根據(jù)權(quán)限-角色,角色-用戶(hù)的流程,為用戶(hù)賦予權(quán)限,方案中用戶(hù)是通過(guò)角色的身份訪問(wèn)資源,與本身身份無(wú)關(guān),因而隱藏了身份信息,實(shí)現(xiàn)了匿名性。同時(shí)方案中角色分配屬性證書(shū)的有效期都比較長(zhǎng),并不是一次性屬性證書(shū),用戶(hù)不會(huì)頻繁地更新屬性證書(shū),使屬性證書(shū)申請(qǐng)次數(shù)下降,有效提高了用戶(hù)的認(rèn)