田　靜

（遼寧警察學(xué)院，遼寧 大連 116036）

云計(jì)算中幾種身份認(rèn)證技術(shù)的比較分析

田靜

（遼寧警察學(xué)院，遼寧 大連 116036）

身份認(rèn)證解決云計(jì)算中信息安全威脅的重要手段之一。身份認(rèn)證的本質(zhì)是根據(jù)用戶所知道的東西、擁有的東西或所具有的生物特征來確認(rèn)用戶身份?，F(xiàn)有的使用密碼技術(shù)的身份認(rèn)證技術(shù)主要由三種：基于公鑰基礎(chǔ)設(shè)施（PKI）的、基于組合公鑰（CPK）的、基于身份加密（IBE）的。文章通過幾種身份認(rèn)證技術(shù)的原理以及特點(diǎn)的對(duì)比，分析出各自的優(yōu)勢(shì)。

身份認(rèn)證技術(shù)；PKI；CPK；IBE

云計(jì)算具有龐大的用戶量，所以服務(wù)提供商必須具有同時(shí)處理多租戶的能力，保證每個(gè)用戶只能訪問自己存儲(chǔ)的數(shù)據(jù)、使用為其分配的存儲(chǔ)資源以及訪問其權(quán)限范圍內(nèi)的應(yīng)用程序。云服務(wù)提供商若想安全地提供這些服務(wù)，那么必須使用嚴(yán)格的身份認(rèn)證機(jī)制。假如服務(wù)提供商的身份認(rèn)證方面的管理機(jī)制設(shè)計(jì)不完善，或者存在安全漏洞，則惡意人員盜用用戶帳號(hào)就會(huì)變得容易，甚至可能進(jìn)一步明目張膽的竊取用戶數(shù)據(jù)。所以，身份認(rèn)證是安全云計(jì)算的基本功能和首要屏障。同時(shí)云服務(wù)提供商和消費(fèi)者對(duì)云環(huán)境中的安全問題都很關(guān)注。

云計(jì)算環(huán)境下出現(xiàn)的安全問題如：云計(jì)算的濫用惡用、資源共享產(chǎn)生的問題、竊取賬號(hào)盜用服務(wù)、數(shù)據(jù)泄漏等，因此在身份認(rèn)證、密鑰的管理方面有了更高的要求。如果想僅僅依靠管理上的控制來解決這些安全風(fēng)險(xiǎn)是比較困難的，必須采取技術(shù)的手段，而密碼學(xué)是一門經(jīng)久不衰的學(xué)科，是保障信息安全的核心手段，可以對(duì)云計(jì)算中安全問題的防護(hù)提供有效的技術(shù)保障［1］。現(xiàn)有的使用密碼技術(shù)的身份認(rèn)證技術(shù)主要有三種：基于公鑰基礎(chǔ)設(shè)施（PKI）的、基于組合公鑰（CPK）的、基于身份加密（IBE）的［2］。

1　PKI簡(jiǎn)介

PKI是基于公鑰技術(shù)實(shí)現(xiàn)電子商務(wù)安全的具有普遍性的安全基礎(chǔ)設(shè)施，能夠保障網(wǎng)絡(luò)信息間傳送的真實(shí)性、安全性、不可抵賴性和完整性［3］。它能夠提供數(shù)字簽名服務(wù)和公鑰加密，如果某個(gè)機(jī)構(gòu)采用了PKI管理證書和密鑰就可建立安全的網(wǎng)絡(luò)環(huán)境。PKI由數(shù)字證書、證書發(fā)放機(jī)構(gòu)（CA）、公開密鑰密碼技術(shù)和安全策略等組成，最終目的是管理證書和密鑰。利用PKI框架每個(gè)用戶可以擁有一對(duì)密鑰對(duì)，公鑰隨機(jī)產(chǎn)生，私鑰由權(quán)威機(jī)構(gòu)或用戶本身生成，可信第三方可以將用戶其它信息和公鑰捆綁簽名，形成數(shù)字證書，證書可以存儲(chǔ)在公開目錄庫(kù)中，目的用于用戶獲取公鑰并查詢數(shù)字證書真假。

2　IBE簡(jiǎn)介

IBE 是基于身份加密的一種體制，利用用戶身份實(shí)現(xiàn)身份認(rèn)證管理的加密算法［3］。在IBE中，用戶身份標(biāo)識(shí)由任意字符串（如用戶的郵件地址或名字等）來表示，發(fā)送通過接收方的身份信息得到公鑰信息，用戶無(wú)法自己產(chǎn)生私鑰，私鑰必須由可信第三方機(jī)構(gòu)（如私鑰生成器 PKG）生成，與PKI相比，IBE簡(jiǎn)化了公鑰證書的管理問題。

3　CPK簡(jiǎn)介

CPK是一種組合公鑰的加密算法，英文Combined Public Key的縮寫，其優(yōu)勢(shì)是利用很少的資源可以生成大規(guī)模密鑰。CPK的理論依據(jù)是 ECC 密鑰復(fù)合定理。密鑰分類共分為標(biāo)識(shí)密鑰、分割密鑰和組合密鑰三類。

3.1標(biāo)識(shí)密鑰

組合矩陣包括公鑰矩陣和私鑰矩陣。矩陣用（Ri，j）或（ri，j）表示，i=1..h，j=1..32。r是指小于n的隨機(jī)數(shù)。公鑰矩陣是公開變量，由私鑰矩陣生成，即G=（xi，j，yi，j）=Ri，j。私鑰矩陣是私密變量，（ri，j）用于生成私鑰的。

標(biāo)識(shí)ID到組合矩陣坐標(biāo)的映射利用Hash函數(shù)將標(biāo)識(shí)ID變換成YS序列來完成。

YS =Hash（ID）= w1，w2，…，w34；w字長(zhǎng)等于k比特，k值由矩陣行數(shù)h決定。w1至w32依次代表矩陣的行坐標(biāo)，w33和w34代表矩陣的分割密鑰坐標(biāo)。

標(biāo)識(shí)私鑰（isk）在密鑰管理中心（KMC）中完成計(jì)算。假設(shè)第i行對(duì)應(yīng)的行坐標(biāo)用wi表示，標(biāo)識(shí)私鑰為isk，那么私鑰通過有限域Fp的倍數(shù)加法實(shí)現(xiàn)：

公鑰計(jì)算則通過橢圓曲線E上的倍點(diǎn)加法實(shí)現(xiàn)：

3.2分割密鑰

分割密鑰只以公鑰形式存在，從分割密鑰序列（SPKi）中選取，由YS序列中的w33，w34代表。分割公鑰序列SPKi以文件形式出現(xiàn)或記錄到CPK-card。

3.3組合密鑰

標(biāo)識(shí)密鑰和分割密鑰可以復(fù)合形成組合密鑰。假設(shè)分割私鑰是ssk，實(shí)體Alice的組合私鑰cskAlice由密鑰管理中心（KMC）計(jì)算完成：cskAlice=（iskAlice +sskAlice）mod n，組合私鑰cskAlice記入CPK-card，同時(shí)刪除分割私鑰sskAlice。

組合公鑰由各簽名方計(jì)算完成：CPK Alice=IPK Alice+ SPK Alice。

CPK中系統(tǒng)安全性完成取決于密鑰，私鑰安全性類似ECC密碼本身［5］。實(shí)體私鑰間沒有線性關(guān)系，因?yàn)橐粋€(gè)私鑰對(duì)應(yīng)一個(gè)隨機(jī)數(shù)序列。用戶分發(fā)私鑰存儲(chǔ)在硬件芯片上，如果想要非法得到用戶的私鑰，只能通過解剖硬件芯片的方式，難度巨大。每個(gè)實(shí)體都有一個(gè)密鑰，更新密鑰隨機(jī)產(chǎn)生，系統(tǒng)密鑰是在相互獨(dú)立的隨機(jī)數(shù)序列上產(chǎn)生。

4　PKI、IBE與CPK對(duì)比分析

CPK的主要優(yōu)勢(shì)是占用存儲(chǔ)空間小、計(jì)算速度快、帶寬要求低。現(xiàn)對(duì)常用認(rèn)證系統(tǒng)CPK、PKI和IBE，根據(jù)各自的特點(diǎn)進(jìn)行對(duì)比，如表1所示。

表1　CPK與PKI、IBE特點(diǎn)對(duì)比

目前針對(duì)身份認(rèn)證系統(tǒng)的設(shè)計(jì)大都基于PKI技術(shù)，PKI缺點(diǎn)主要有在線運(yùn)行時(shí)證書目錄的維護(hù)量較大、認(rèn)證可靠性依靠CA認(rèn)證鏈及不能產(chǎn)生大規(guī)模公鑰等。利用PKI進(jìn)行云計(jì)算平臺(tái)的身份認(rèn)證，那么云環(huán)境中海量的用戶公鑰信息勢(shì)必會(huì)導(dǎo)致LDAP目錄庫(kù)維護(hù)量巨大，密鑰傳輸和公鑰信息獲取方面需求量變大，從而運(yùn)行成本提高。在PKI機(jī)制中，可信機(jī)構(gòu)CA由認(rèn)證鏈構(gòu)成，用戶實(shí)現(xiàn)一次身份標(biāo)識(shí)認(rèn)證需要多個(gè)CA認(rèn)證，保證多層CA間相互信任關(guān)系是PKI技術(shù)的難點(diǎn)［2］；PKI用戶的所有公鑰信息都存儲(chǔ)在LDAP目錄庫(kù)中，通過LDAP目錄提供查詢方式來完成身份證書的分發(fā)管理，用戶增數(shù)量的增多會(huì)導(dǎo)致LDAP目錄維護(hù)數(shù)量增多，這也是PKI技術(shù)的瓶頸。

IBE機(jī)制下，用戶公鑰不需要進(jìn)行分發(fā)，用戶從可信第三方機(jī)構(gòu)獲取私鑰，更換私鑰也相對(duì)PKI簡(jiǎn)單，并且不需要用戶自己保存私鑰，所以私鑰泄露的問題很容易避免，并且對(duì)于存儲(chǔ)空間的要求不高。因?yàn)樯矸輼?biāo)識(shí)認(rèn)證不是由CA認(rèn)證鏈完成，CA認(rèn)證鏈層層傳遞的問題能夠避免，所以IBE的認(rèn)證過程中所涉及的計(jì)算量不大。但是可信第三方機(jī)構(gòu)確保將私鑰安全發(fā)送給用戶是IBE技術(shù)的難點(diǎn)；如果用戶數(shù)量巨大，身份標(biāo)識(shí)認(rèn)證過程中接收方向第三方機(jī)構(gòu)證明自己的身份會(huì)變得更加復(fù)雜，同時(shí)所有用戶尋找同一個(gè)PKG進(jìn)行生成和查詢密鑰工作會(huì)變得更加繁瑣。IBE密鑰管理中部分安全機(jī)制的缺陷導(dǎo)致在規(guī)模性較大、安全性較高的軍事通信和電子政務(wù)中難以應(yīng)用。

在CPK機(jī)制中，公鑰和私鑰是通過選擇及組合公私鑰矩陣中的元素而產(chǎn)生，能夠完成大規(guī)模密鑰的生產(chǎn)及分發(fā)工作；密鑰管理中心能夠生成大規(guī)模的用戶公私鑰，在面對(duì)云環(huán)境中的海量用戶時(shí)可以實(shí)現(xiàn)大規(guī)模的密鑰分發(fā)；CPK使龐大的CA認(rèn)證管理得到了精簡(jiǎn)，從而使認(rèn)證層級(jí)減少，簡(jiǎn)單的一次操作即可完成對(duì)所有用戶公鑰的認(rèn)證，從而使所需的存儲(chǔ)空間變??；CP的用戶鑰由用戶名唯一確定，從而實(shí)現(xiàn)了認(rèn)證證書和用戶名間的一一對(duì)應(yīng)，所以非法用戶并不能通過偽造公鑰證書的方式來獲取其私鑰。

［1］ 羅俊.采用加密機(jī)制在云計(jì)算環(huán)境中進(jìn)行訪問控制［J］.信息安全與通信保密，2012（11）：44-46.

［2］ 趙小偉，王紹斌.基于標(biāo)識(shí)算法的密鑰管理體系和CPK認(rèn)證［J］.信息安全與通信保密，2007（6）：200-202.

［3］ 崔杰克.基于CPK的認(rèn)證及密鑰管理技術(shù)研究［D］.哈爾濱：哈爾濱工業(yè)大學(xué)，2010.

［4］ 南湘浩.CPK 組合公鑰體制（v8.0）［J］.信息安全與通信保密，2013，34（3）：39-44.

［5］ 南湘浩.CPK 密碼體制與網(wǎng)際安全［M］.北京：國(guó)防工業(yè)出版社，2008.

Comparative analysis of several authentication technologies in cloud computing

Identity authentication is one of the important means of information to solve security threats in cloud computing. The nature of Identity authentication is based on user what you know， have or have biological characteristics to identify the user identity. The use of existing password authentication technology is mainly composed of three types： based on public key infrastructure （PKI）， based on combined public key （CPK）， identity based encryption （IBE）. In this paper， several kinds of identity authentication technology principle and characteristics of contrast， analysis of their advantages.

Identity authentication technology；PKI；CPK；IBE

TP393.08

A

1008-1151（2016）03-0010-02

2016-02-11

2015年度遼寧警察學(xué)院科研基金項(xiàng)目“公有云計(jì)算環(huán)境下公安敏感數(shù)據(jù)的防泄漏技術(shù)研究”（2015lnpckyjjxm015）。

田靜（1982-），女，遼寧朝陽(yáng)人，遼寧警察學(xué)院職業(yè)教育部講師，碩士研究生，研究方向?yàn)閿?shù)據(jù)安全。