《一种基于基因证书的身份鉴别方法.doc》由会员分享,可在线阅读,更多相关《一种基于基因证书的身份鉴别方法.doc(10页珍藏版)》请在三一文库上搜索。
1、一种基于基因证书的身份鉴别方法Gene certificate-based method for user authentication SUN Fei-xian1, WANG Wen-qi1, ZHENG Qiu-sheng1, ZENG Jin-quan2, XIA Bing1 (1. School of Computer Science, Zhongyuan University of Technology, Zhengzhou 450007, China;2.School of Computer Science, Sichuan University, Chengdu 610065,
2、China) Abstract:Inspired by the principle of inheritance of mankind, this paper presented a gene certificate-based method for user authentication (GCUA). According to the architecture of opening network services, considered network entities to be family-members, and regarded a real network as a netw
3、ork-family. Then, through gene-assignment and gene-signature,assigned each network-family member a gene-certificate. Finally, authenticated network users through analyzing their gene codes. By GCUA, the problem of ambiguity of X.509 certificates was overcome, and solved the deficiency of high commun
4、ication traffic of PKI-based techniques to a certain degree. Experiment results show that the proposed method is a good solution to network user authentication. Key words:network security;user authentication;gene certificate 0 引言 身份鉴别是保证计算机网络与信息系统安全的重要措施之一。现行的身份鉴别方法主要包括口令、公钥证书、基于生物特征的技术等,但都存在这样或那样的问
5、题1,2:基于口令的身份鉴别方法中,短口令易被猜测,长口令难以记忆,明文口令易被截获,密文口令难逃脱字典式攻击,静态口令不安全,动态口令难实现;基于X.509证书的身份鉴别方法因PKI机制自身的缺陷,存在证书主体信息不明确、通信量大、实现复杂、使用和维护成本高等不足;而基于生物特征(如指纹)的鉴别技术无法识别网络设备的身份。 免疫计算3,4、DNA计算5,6是智能计算领域继神经网络、模糊控制和进化计算之后新的研究热点,这些生物计算技术的出现预示着生命科学与IT技术有相互融合的趋势。针对传统数字证书认证技术中证书主体信息不明确、通信量大等问题,本文借鉴生物基因技术,提出了一种基于基因证书的身份鉴
6、别方法(gene certificate-based method for user authentication, GCUA)。给出了相关概念的定义,描述了具体的实现算法,进行了理论分析和对比实验。 1 实现方法 1.1 相关概念 定义1 网络家族F是由家族成员m构成的集合,形式化定义F=m | m = (gene-certificate, inheritance-password)。其中:gene-certificate和inheritance-password分别表示家族成员m的基因证书和遗传密码。 家族成员m可以是家长、子女或访客。其中,家长代表网络管理员,并负责管理自己的子女和访客;
7、子女表示网络对外提供的具体服务;网络用户描述为访客。家族成员m惟一的基因证书标志了m的数字身份,m的遗传密码用于加密和数字签名。 定义2 定义家族成员m的基因证书gene-certificate =(version, name, type, description, family-gene, member-gene, extension, signature-id, signature)。家族基因family-gene用来标志m所在的子网,成员基因member-gene用于区别同一子网的不同成员。设m, pF,且p是m的家长,m的基因genem=m.gene-certificate.famil
8、y-gene+m.gene-certificate.member-gene,m.gene-certificate.family-gene=genep。 1.2 具体实现 1.2.1 构造网络家族图谱 依据开放式的网络服务架构及网络拓扑,GCUA将整个网络看做是由始祖网络演化而成,将实际的子网类比成子网络家族,并依据定义1和2将网络管理员、一般用户及网络对外提供具体的服务分别转换为家长、访客和子女,进而构造真实网络的家族图谱,如图1所示。 从图1可知,网络家族演化图谱树的构造包括根节点(始祖网络的家长)和叶节点(始祖网络的子女、访客以及子网络家族成员等)的生成,实现算法形式化描述如下: 算法1
9、构造始祖网络家长 输入始祖网络家长的名字、签名算法标志符等信息; 输出 构造成功返回“真”,否则返回“假”; a)初始化网络家族演化图谱树T为空; b)创建新节点n,nF; c)置n.gene-certificate.family-gene为空; /依据定义2 d)生成公钥对,令n.gene-certificate.member-gene=kpub,n.inheritance-password=kpri; e)生成始祖网络家长的自签名基因证书; f)将节点n插入到T; g)结束。 网络家族成员m生成时,要向其家长p申请注册,由p指派其家族基因、成员基因,并生成其基因证书,算法如下: 算法2 构
10、造网络家族其他成员 输入 m、p、签名算法标志符; 输出构造成功返回“真”,否则返回“假”; a)p审核m的注册申请; b)若审核通过则: 创建新节点n,nF; n.gene-certificate. family-gene=genep; n.gene-certificate.member-gene=kpub; n.inheritance-password=kpri; c)生成m的基因证书; d)将节点n插入到T; e)结束。 1.2.2 构造基因证书 由前述说明可知,家族成员m的基因证书是其身份的象征,基因证书的构造算法描述如下: 算法3 构造基因证书 输入 m的名字、类型、描述等信息;/依
11、照定义2 输出 构造成功返回“真”,否则返回“假”; a)设置基因证书版本以及m的名字、类型、描述; b)依据算法1、2生成m的家族基因和成员基因; d)m.gene-certificate.signature=Ep.inheritance-password (h); e)结束。 1.2.3 鉴别用户身份流程 假定成员m和子女c的家长分别是p和q, mF,Dk(s)表示用密钥k解密信息s。m访问c时, q通过检验m基因证书上签名信息的完整性以及m所属网络家族的合法性鉴别m的身份,实现流程如图2所示。 从图2可以看出,基于基因证书的身份鉴别过程包括以下两个阶段: a)自身合法性鉴别。通过重新计算
12、并比对m基因证书上的签名信息,判定m所持基因证书的原始性和完整性; b)家族合法性鉴别。家族合法性鉴别是一个循环过程,方法是验证m的父亲、m父亲的父亲,直至网络始祖自身的合法性。若m所有祖先自身均合法,则其家族血统合法,进而保证了m基因证书来源的真实性。 不难看出,GCUA中m身份合法的充分必要条件是m自身以及m所在的家族均合法。 2 理论分析与对比实验 2.1 理论分析 GCUA中的每个成员m都有自己秘密的遗传密码inheri-tance-password和成员基因member-gene。由算法1、2知member-gene和inheritance-password构成一对非对称密钥,公钥加
13、密算法的强壮性保证了GCUA的安全。GCUA的安全性体现在:a)GCUA不涉及用户登录密码的传输问题,网络监听、口令猜测等攻击对该方法无效;b)成员m的基因证书是经过数字签名的,从而能保证基因证书的原始性和完整性,即便基因证书被仿冒,也能够轻易地识别出来; c)与基于X.509证书的身份鉴别技术相比,GCUA的基因证书包含了网络用户的名字、类型、详细描述、出身及来历(属于哪个子网及具体的某个成员)等详尽的身份信息,克服了数字证书主体信息不明确(如对于一本“张三”的X.509证书,因存在重名现象,无法断定究竟是哪个“张三”,更不知其来自何方)的安全缺陷;d)GCUA用家族基因能确保家族成员的纯正
14、血统,使之免受病毒、网络入侵等外来抗原的侵袭。 在效率方面,与传统基于X.509证书的身份鉴别技术相比,GCUA运行效率有所提高,原因是:a)传统CA不仅负责签发和管理数字证书,而且要负责证书状态查询,致使CA成为PKI的严重瓶颈,而GCUA的子网络家族是一个规模不大的子网,系统负载明显降低;b)GCUA对数据加/解密的次数更少,身份鉴别效率更高;c)由上述网络家族成员构造算法可知,成员m产生时,只用向所在的子网络家族的家长注册即可,不像PKI那样先去RA注册,由CA生成证书后再由RA发放等,因此证书生成过程中的通信次数明显减少。 综上所述,GCUA家族成员基因证书的惟一性保证了身份鉴别的可行
15、性,基因证书的原始性和完整性鉴别机制保证了鉴别结果的正确性,家族成员基因的遗传性适应了真实网络环境中用户继承权限的实际。同时,基因指派、数据加密、数字签名、基因证书构造等机制保障了GCUA的安全性和效率。因此,基于基因证书的身份鉴别方法不仅理论上可行,且具有安全、高效等特点。 2.2对比实验 为验证GCUA的有效性,笔者对其中的网络家族构造、基因指派、基因证书生成、身份鉴别等进行了对比实验,并进行了综合分析。 为了增加实验结果的说服力,本文构造了由三个子网组成的网络家族图谱。每个子网络家族三台机器,在线申请注册家族成员,注册和基因指派等信息通过安全信道传输,成员基因member-gene和遗传
16、密码inheritance-password用ECC算法产生。 图3描述了GCUA中基因证书与X.509V3数字证书生成速度(不包括通信时间)的对比情况,每组实验结果都是20次实验的平均值。 从图3的实验结果可以看出,GCUA中基因证书的生成速度较X.509 V3证书快,其原因在于GCUA基因证书的格式更简洁。图4给出了GCUA与基于X.509 V3证书的身份鉴别方法在鉴别速度方面的对比结果。其中,曲线GCUA1和GCUA2分别表示被认证的成员m与其访问的子女c在相同和不同的子网时的身份鉴别时间。 从图4的实验结果可知,GCUA方法的身份鉴别速度较快。曲线GCUA2波动大的原因是m到c的距离长
17、短不一,与前述身份鉴别算法吻合。上述实验结果表明GCUA是可行的,且具有基因证书生成速度快、身份认证效率高等特点,为网络信息系统鉴别用户的数字身份提供了一种有效的新途径。 3 结束语 受人体“生物密码”各不相同且绝对不可伪造等事实启发,同时吸取了PKI机制的优点,本文提出了一种基于基因证书的身份鉴别方法GCUA。与传统基于X.509证书的身份简介技术相比,GCUA不仅安全地守住了计算机网络的入口,而且解决了X.509证书认证效率低、证书主体信息不明确等缺陷。同时,基因证书能确定网络用户的名字、类型、详细描述、出身和来历等详尽的身份信息,为网络信任体系中的取证和责任认定工作提供了有力保障。理论分析和实验结果表明GCUA是网络信息系统鉴别用户数字身份的一种有效新方法。 基于基因证书的身份鉴别方法是基于基因证书的网络信任体系研究课题的一个重要组成部分,下一步将研究基因加密、基因签名以及基于基因证书的计算机取证等技术,进而探索基因证书、通信过程安全保障及入侵者责任认定等新方案。