基于PKI-PMI體系下的匿名認(rèn)證方案研究.pdf

1、隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展,電子商務(wù)活動越來越頻繁,尤其是網(wǎng)上購物、網(wǎng)上銀行等業(yè)務(wù)給人們生活帶來了巨大的便利,人們能夠在足不出戶的情況下,獲得自己所需要的資源和服務(wù)。但是人們在享受這些便利的同時也面臨著信息安全的問題。在電子商務(wù)活動中,服務(wù)提供者總是會要求用戶提交個人身份信息,通過認(rèn)證后才能訪問所需資源或者獲得服務(wù),然而在開放的網(wǎng)絡(luò)環(huán)境中,用戶的信息卻很有可能被非法用戶或攻擊者獲取,存在著被泄露的威脅。所以現(xiàn)在大多數(shù)用戶都希望在不提交有關(guān)個

2、人身份信息的前提下,獲取資源的訪問權(quán)限,即實現(xiàn)匿名訪問資源。
　　公鑰基礎(chǔ)設(shè)施PKI作為具有國際標(biāo)準(zhǔn)的安全機制,在電子商務(wù)活動中有著廣泛的應(yīng)用。PKI用數(shù)字證書實現(xiàn)了用戶和密鑰之間的綁定,提供了身份認(rèn)證的服務(wù)。PMI作為PKI的延伸,利用屬性證書綁定了用戶和權(quán)限關(guān)系,為用戶提供不同的訪問控制權(quán)限。在這一體系下實現(xiàn)匿名認(rèn)證具有開放性和可移植性好、與身份證書的認(rèn)證模式易于融合的優(yōu)點。對于PKI/PMI體系,由于身份綁定于證書的認(rèn)證機制

3、和結(jié)構(gòu)特點,所以將用戶的身份鑒別與合法性認(rèn)證相分離是其實現(xiàn)匿名認(rèn)證的關(guān)鍵,而這種分離通常需要引入可信第三方來實現(xiàn)。
　　本文首先概括和總結(jié)了匿名認(rèn)證的預(yù)備知識和相關(guān)技術(shù),著重介紹了PKI/PMI的體系結(jié)構(gòu),然后基于此體系提出了基于PMI屬性證書的匿名認(rèn)證方案,該方案使用標(biāo)準(zhǔn)的PKI公鑰證書和PMI屬性證書,實現(xiàn)了用戶身份認(rèn)證與合法性授權(quán)的分離,具有可證明的安全性和匿名性。方案中可信第三方由PMI屬性權(quán)威機構(gòu)AA來擔(dān)當(dāng),具有國際標(biāo)準(zhǔn)

4、和商業(yè)模式。為了避免隨著用戶規(guī)模的增加可信第三方成為系統(tǒng)效率的瓶頸,實現(xiàn)大規(guī)模系統(tǒng)的應(yīng)用,本文又提出了一個基于PMI角色模型的匿名認(rèn)證方案,用戶根據(jù)自己的需求選擇角色,根據(jù)權(quán)限-角色,角色-用戶的流程,為用戶賦予權(quán)限,方案中用戶是通過角色的身份訪問資源,與本身身份無關(guān),因而隱藏了身份信息,實現(xiàn)了匿名性。同時方案中角色分配屬性證書的有效期都比較長,并不是一次性屬性證書,用戶不會頻繁地更新屬性證書,使屬性證書申請次數(shù)下降,有效提高了用戶的認(rèn)