王鵬程+謝昆鵬

摘 要： 當(dāng)前的身份管理認(rèn)證技術(shù)存在風(fēng)險高、數(shù)據(jù)庫儲存效率低、認(rèn)證錯誤率高等弊端。因此，提出一種云電子身份管理認(rèn)證系統(tǒng)，系統(tǒng)主要由認(rèn)證服務(wù)器、系統(tǒng)服務(wù)器與云訪問服務(wù)器組成。認(rèn)證服務(wù)器中的控制代理模塊截取用戶對資源服務(wù)器請求認(rèn)證的數(shù)據(jù)信息，并將數(shù)據(jù)信息發(fā)送到認(rèn)證服務(wù)模塊進(jìn)行身份認(rèn)證。用戶進(jìn)入到信息數(shù)據(jù)庫中后，通過系統(tǒng)服務(wù)器中的RSA模塊，對用戶所需文件進(jìn)行加密解密處理，依靠用戶私鑰和認(rèn)證令牌實(shí)現(xiàn)身份認(rèn)證，將數(shù)據(jù)信息上傳到云訪問服務(wù)器進(jìn)行存儲和傳遞，完成整個云電子身份管理與認(rèn)證。給出RSA模塊中的部分功能函數(shù)和文件加密解密流程圖，以及RSA模塊進(jìn)行身份認(rèn)證過程中的大數(shù)乘法和大數(shù)模冪運(yùn)算過程。實(shí)驗(yàn)結(jié)果表明，提出身份管理和認(rèn)證系統(tǒng)耗能低、認(rèn)證效率高，具有較高的數(shù)據(jù)處理精度。

關(guān)鍵詞： 身份管理； 身份認(rèn)證； RSA模塊； 安全性

中圖分類號： TN99?34 文獻(xiàn)標(biāo)識碼： A 文章編號： 1004?373X（2016）24?0022?04

Optimization improvement of key technology of cloud electronic identity management and authentication system

WANG Pengcheng， XIE Kunpeng

（Henan Institute of Finance， Zhengzhou 450000， China）

Abstract： There are high risk， low efficiency of database storage， high authentication error rate in the current identity management authentication technology. Therefore， a cloud electronic authentication management system is proposed. This system is mainly composed of authentication server， system server and cloud access server. The control agent module in the authentication server intercepts the data information that the user requests for authentication by resource server， and sends the data information to the certification service module. When the user enters into the information database， the files required by the user are encrypted and decrypted by the RSA system server module. The identity authentication relies on the user′s private key and authentication token. The data information is uploaded to the cloud access server for storage and transmission to complete the entire cloud electronic identity management and authentication. Partial functions， flow charts of file encryption and decryption in RSA module， as well as the power operation process of large numbers multiplication and large mathematical model in the verification process of RSA module are given in this paper. The experimental results shows that proposed identity management and authentication system has low energy consumption， high efficiency and high precision of data processing.

Keywords： identity management； identity authentication； RSA module； security

0 引 言

隨著電子信息技術(shù)的不斷發(fā)展，公共網(wǎng)絡(luò)服務(wù)、事務(wù)查詢等功能越來越多地出現(xiàn)在電子信息系統(tǒng)上。它可以為跨互聯(lián)網(wǎng)的用戶們提供安全快速的身份認(rèn)證服務(wù)。電子信息系統(tǒng)給人們的生活帶來便捷，但隨之也存在電子信息技術(shù)安全性方面的問題[1?3]。其中的重要部分便是身份安全問題。構(gòu)建一個安全性優(yōu)良的電子身份信息管理和認(rèn)證系統(tǒng)是目前相關(guān)專業(yè)人員的重點(diǎn)研究方向[4?6]。

目前的身份驗(yàn)證方法都存在一些不足。如文獻(xiàn)[7]提出了OPEN ID身份信息處理系統(tǒng)，具體過程為讓用戶事先在網(wǎng)站上注冊個人信息，并且任何網(wǎng)站都可以使用OPEN ID進(jìn)行登錄，對用戶身份進(jìn)行認(rèn)證。因?yàn)榫W(wǎng)站質(zhì)量參差不齊，導(dǎo)致OPEN ID技術(shù)不穩(wěn)定，安全風(fēng)險也很大。文獻(xiàn)[8]提出單點(diǎn)登錄法，當(dāng)用戶訪問任意的服務(wù)器，只要登錄過一次，通過其中的安全認(rèn)證，那么下次用戶再訪問其他資源的時候則無需再次認(rèn)證登錄。其缺點(diǎn)為安全性能太低，中央數(shù)據(jù)庫的管理代價較高。還會產(chǎn)生第三方服務(wù)器跨域問題。文獻(xiàn)[9]采用了OITF聯(lián)合身份管理系統(tǒng)，這種管理系統(tǒng)可以為多個應(yīng)用系統(tǒng)進(jìn)行身份認(rèn)證，實(shí)現(xiàn)了跨域的單點(diǎn)登錄與身份管理。但由于身份安全級別的不同，安全認(rèn)證的需求也不同，在多個應(yīng)用系統(tǒng)中，要想使用統(tǒng)一的認(rèn)證體系需要大量的開銷，極大地提高了成本。為了解決以上方法中存在的問題，本文設(shè)計(jì)了一種云電子身份管理認(rèn)證系統(tǒng)。

1 云電子身份管理與認(rèn)證系統(tǒng)設(shè)計(jì)

1.1 系統(tǒng)結(jié)構(gòu)

云電子身份管理認(rèn)證系統(tǒng)主要將數(shù)據(jù)庫中的用戶個人信息與各個應(yīng)用系統(tǒng)的數(shù)據(jù)通過身份認(rèn)證系統(tǒng)，來進(jìn)行統(tǒng)一的管理、認(rèn)證。首先，認(rèn)證服務(wù)器將會對用戶的身份進(jìn)行確認(rèn)，認(rèn)證服務(wù)器中的控制代理模塊截取用戶對資源服務(wù)器請求認(rèn)證的數(shù)據(jù)信息，并將數(shù)據(jù)信息發(fā)送到認(rèn)證服務(wù)模塊進(jìn)行用戶身份認(rèn)證。用戶進(jìn)入到信息數(shù)據(jù)庫中后，需要通過系統(tǒng)服務(wù)器中的核心模塊，也就是RSA模塊對用戶所需文件進(jìn)行加密解密處理，最終將數(shù)據(jù)信息上傳到云訪問服務(wù)器中，以完成整個電子身份認(rèn)證管理過程。云電子身份管理與認(rèn)證系統(tǒng)結(jié)構(gòu)如圖1所示。

（1） 認(rèn)證服務(wù)器。認(rèn)證服務(wù)器含有控制代理模塊與認(rèn)證服務(wù)模塊。其中，控制代理模塊截取用戶對資源服務(wù)器請求認(rèn)證的數(shù)據(jù)信息，并將數(shù)據(jù)信息發(fā)送到認(rèn)證服務(wù)模塊進(jìn)行身份認(rèn)證。認(rèn)證服務(wù)器為身份認(rèn)證系統(tǒng)與認(rèn)證服務(wù)模塊之間必不可少的一環(huán)。為了在服務(wù)器交換數(shù)據(jù)信息時，用戶數(shù)據(jù)和認(rèn)證服務(wù)器保持完全分離，需要使用控制代理模塊，它可以保護(hù)用戶個人信息的安全。而認(rèn)證服務(wù)器在客戶端完成相應(yīng)的身份信息認(rèn)證工作。在后臺的信息數(shù)據(jù)庫里存儲了大量的用戶個人信息數(shù)據(jù)。為了保護(hù)用戶的個人信息安全，用戶與認(rèn)證服務(wù)器各擁有一個RSA密鑰，RSA密鑰可以實(shí)現(xiàn)用戶與客戶端的互相驗(yàn)證，用戶可以根據(jù)認(rèn)證服務(wù)器的公鑰信息判斷驗(yàn)證服務(wù)器身份是否合法。

（2） 認(rèn)證客戶端。在每個公共網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)的未認(rèn)證的用戶主機(jī)里都有一個認(rèn)證客戶端，其是身份驗(yàn)證系統(tǒng)的操作界面。

（3） 認(rèn)證令牌。認(rèn)證令牌是在進(jìn)行身份認(rèn)證時隨機(jī)生成的動態(tài)數(shù)字，經(jīng)過函數(shù)計(jì)算能夠得到動態(tài)口令。身份驗(yàn)證系統(tǒng)會將得到的動態(tài)口令與用戶的ID信息進(jìn)行對比查詢，提交到認(rèn)證模塊的服務(wù)器中，以此來驗(yàn)證用戶的身份。在身份驗(yàn)證系統(tǒng)中，每一位用戶都會得到一個認(rèn)證令牌。

1.2 系統(tǒng)服務(wù)器結(jié)構(gòu)設(shè)計(jì)

認(rèn)證模塊、系統(tǒng)管理模塊、用戶模塊、RSA管理模塊以及數(shù)據(jù)庫管理模塊組成了完整的系統(tǒng)服務(wù)器。系統(tǒng)服務(wù)器依靠模塊化的部件，確保身份認(rèn)證系統(tǒng)更具有擴(kuò)展性、安全性。系統(tǒng)服務(wù)器構(gòu)造如圖2所示。

整個系統(tǒng)服務(wù)器的基礎(chǔ)模塊為RSA模塊，其可進(jìn)行RSA加密或解密，實(shí)現(xiàn)大數(shù)運(yùn)算，根據(jù)其他模塊的需要來進(jìn)行計(jì)劃調(diào)度。同樣可以進(jìn)行計(jì)劃調(diào)度的還有數(shù)據(jù)庫管理模塊，它對用戶數(shù)據(jù)進(jìn)行處理。用戶進(jìn)入到信息數(shù)據(jù)庫中后，通過系統(tǒng)服務(wù)器中的RSA模塊，對用戶所需文件進(jìn)行加密解密處理，依靠用戶私鑰和認(rèn)證令牌實(shí)現(xiàn)身份認(rèn)證，將數(shù)據(jù)信息上傳到云訪問服務(wù)器中進(jìn)行存儲和傳遞。系統(tǒng)管理模塊為身份認(rèn)證系統(tǒng)的核心，可對其他模塊進(jìn)行協(xié)調(diào)并加載服務(wù)。

1.3 云訪問服務(wù)器

云訪問服務(wù)器給用戶提供存儲和共享數(shù)據(jù)信息，并進(jìn)行數(shù)據(jù)傳輸功能。云訪問服務(wù)器的工作效率對于身份管理與認(rèn)證系統(tǒng)有著很大的影響。云訪問服務(wù)器的結(jié)構(gòu)圖如圖3所示。

由圖3可見，云訪問服務(wù)器分為用戶注冊、用戶登錄、添加刪除好友、文件上傳、文件下載和文件共享6個模塊。依靠云系統(tǒng)的龐大容量來滿足身份認(rèn)證系統(tǒng)的擴(kuò)展需求。數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行加密后即可儲存在云系統(tǒng)中，進(jìn)行過加密處理的文件除了用戶本人以外，無法被讀取，從而保證了整個身份認(rèn)證系統(tǒng)的保密性、安全性。

2 身份管理與認(rèn)證系統(tǒng)的軟件設(shè)計(jì)

2.1 RSA模塊功能設(shè)計(jì)

RSA模塊是云電子身份管理認(rèn)證系統(tǒng)的核心模塊之一，其可以運(yùn)算RSA算法，還可以對文件進(jìn)行加密解密處理。RSA的性能影響著系統(tǒng)的性能，因?yàn)樵谏矸蒡?yàn)證系統(tǒng)中，基本上所有的函數(shù)運(yùn)算都需要RSA模塊來完成。下面為RSA模塊中的部分功能函數(shù)：

Clargent函數(shù)的功能為可以將大數(shù)進(jìn)行計(jì)算，比如基本的加減乘除、模冪與位移的運(yùn)算等。內(nèi)存中大數(shù)的構(gòu)造即為Clargent函數(shù)：

enum LIMIT{LENGTH = 0xFF}；

unsigned long _len；

unsigned long _data[LENGTH]；

其中：len是大數(shù)的總長度，大數(shù)的最大長度即為len×32=8 192 b，Data為總長度中每一位的具體數(shù)值。進(jìn)行運(yùn)算設(shè)計(jì)時，將2×32作為基底，以左邊代表低位，右邊代表高位。

下列函數(shù)都與大素數(shù)相關(guān)：

InitSmallPrimes代表素數(shù)測試模塊所用的初始化小素數(shù)表；

SmallPrimeTest代表對產(chǎn)生的大數(shù)p進(jìn)行的小素數(shù)檢驗(yàn)，檢驗(yàn)通過后再對大數(shù)p進(jìn)行RabinMiller測試；

RabinMillerTest代表對產(chǎn)生的大數(shù)p進(jìn)行RabinMiller測試，若測試通過則認(rèn)為大數(shù)p為素數(shù)；

下列是與密匙相關(guān)的一些函數(shù)：

GetCommonDivisor代表獲取到兩個大數(shù)的最大公約數(shù)；GetE代表生成私匙（n，e）；GetD代表生成公匙（n，d）；RSAEncrypt代表將數(shù)據(jù)進(jìn)行RSA加密處理；RSADecrypt代表將數(shù)據(jù)進(jìn)行RSA解密處理。

為了讓文件與數(shù)據(jù)的相互轉(zhuǎn)換變得更加簡單，RSA模塊在文件加密處理時將文件作為大數(shù)來運(yùn)算。一般文件的大小基本都比理論上大數(shù)的總長度大，所以在進(jìn)行文件轉(zhuǎn)換時需將文件分段處理，對文件進(jìn)行分段加密處理，最后再連接成一個完整的文件。解密過程同加密過程完全相反。

下面是文件的解密流程，如圖4所示。由圖4可知，需進(jìn)行加密解密處理的文件共兩個，其中，Encode text代表將對文件進(jìn)行加密處理；Decode text代表將對文件進(jìn)行解密處理。

2.2 RSA模塊進(jìn)行大數(shù)乘法過程

為了實(shí)現(xiàn)大數(shù)和unsigned long類型的乘法，RSA模塊需要先列出一個函數(shù)式，然后依據(jù)函數(shù)式來反復(fù)調(diào)用這一模塊。設(shè)A為位數(shù)是m的大數(shù)，設(shè)B為unsigned long類型數(shù)，則最后大數(shù)A*B的運(yùn)算過程為：

（1） 設(shè)C0=0，i=0

（2） 則可得Ri=Ai*B+Ci

（3） 如果 Ri>0xFFFFFFFF，Ci+1=Ri/0xFFFFFFFF，Ri=Ri&0xFFFFFFFF

（4） 如果Ri<0xFFFFFFFF，Ci+1=0

（5） 如果i≥m，則結(jié)束

（6） i=i+1，重復(fù)步驟2

2.3 RSA模塊進(jìn)行大數(shù)模冪運(yùn)算過程

在RSA模塊進(jìn)行電子身份認(rèn)證運(yùn)算過程中，私鑰與公鑰的值確定后，若想完成身份驗(yàn)證并簽名，無論再進(jìn)行發(fā)送還是接收都只需再運(yùn)算一次，這種運(yùn)算的過程稱之為模冪運(yùn)算。構(gòu)成模冪運(yùn)算的為模乘運(yùn)算，因?yàn)樵赗SA模塊中，大數(shù)位通常大于512 b，大數(shù)模冪的運(yùn)算量則會很大。若想提高運(yùn)算速度，需要簡化模冪算法，如下為簡化的大數(shù)模冪運(yùn)算過程：

為了求得D=C15%N，因?yàn)閍*b%n=（a%n）*（b% n）%n，那么可以得出：

C1=C*C%N=C2%N

C2=C1*C%N=C3%N

C3=C2*C2%N=C6%N

C4=C3*C%N=C7%N

C5=C4*C4%N=C14%N

C6=C5*C%N=C15%N

故可以將模冪運(yùn)算e=15分解為6個模乘運(yùn)算。通過分析上述函數(shù)式的規(guī)律可以得出e為任意值時，使用函數(shù)算法計(jì)算出D=Ce%N：

D=1

While e≥0

If （e非偶數(shù)）

D=D*C%N

D=D*D%N

e=e-1

If （e非奇數(shù)）

D=D*D%N

e=e/2

最終回到D

根據(jù)結(jié)果進(jìn)行分析得知，D乘C的具體時間通過檢驗(yàn)e的二進(jìn)制各位數(shù)得出，并且在檢驗(yàn)過程中，由左至右的檢測比較簡單，如下：

D=1

For i=n to 0

D=D*D%N

If e[i]=1

D=D*C%N

最終回到D

3 實(shí)驗(yàn)分析

作為客戶端與服務(wù)器之間重要的數(shù)據(jù)傳輸設(shè)備，身份認(rèn)證系統(tǒng)需要向用戶提供訪問代理服務(wù)。用戶是否能安全地登錄客戶端，對身份驗(yàn)證系統(tǒng)有很高的要求，實(shí)驗(yàn)對本文設(shè)計(jì)的云電子身份管理認(rèn)證系統(tǒng)進(jìn)行測試，驗(yàn)證其性能。

3.1 測試準(zhǔn)備

在實(shí)驗(yàn)中本文采用了Avalanche 測試工具，其可模擬出大量的用戶對本文設(shè)計(jì)的身份管理與認(rèn)證系統(tǒng)進(jìn)行訪問，進(jìn)而得出具體的實(shí)驗(yàn)結(jié)果。為了避免客戶端和身份認(rèn)證服務(wù)器在實(shí)驗(yàn)身份認(rèn)證過程中讀取的數(shù)據(jù)不同，采用Ethereal 抓包工具來抓取動態(tài)數(shù)據(jù)包，再對數(shù)據(jù)包進(jìn)行解析。

3.2 測試結(jié)果

為了驗(yàn)證本文提出方法的有效性，在各種不同條件下進(jìn)行了多次測試，測試的結(jié)果如表1所示。通過表1可以得知：當(dāng)最大并發(fā)數(shù)達(dá)到2 000，2 500，3 000時，本文設(shè)計(jì)的身份管理和認(rèn)證系統(tǒng)CPU 消耗的最大值并未超過系統(tǒng)合理運(yùn)行所要求的最大限度，當(dāng)并發(fā)數(shù)達(dá)到很大的數(shù)值時，系統(tǒng)依舊可以正常運(yùn)作；本文的身份管理和認(rèn)證系統(tǒng)對于用戶要求響應(yīng)的時間在220 ms左右，具有較高的認(rèn)證效率；在測試過程中，當(dāng)并發(fā)數(shù)值達(dá)到很大時，本文身份管理和認(rèn)證系統(tǒng)對于數(shù)據(jù)處理的正確率也在99%以上。在身份認(rèn)證系統(tǒng)中，由于系統(tǒng)軟件部分的運(yùn)算速度有限，所以在對文件進(jìn)行讀取和加密解密的過程中，對于函數(shù)式的運(yùn)算性能要求十分苛刻。下面對本文提出的身份認(rèn)證系統(tǒng)的文件加密解密運(yùn)算執(zhí)行時間進(jìn)行性能檢測，結(jié)果如表2所示。

由圖5可知，對不同大小的文件分別進(jìn)行加密和解密測試后的驗(yàn)證結(jié)果顯示出文件的大小與文件加密解密的時間成正比，并且文件加密解密的所用時間都是ms級，非常微小。故本文提出的身份認(rèn)證系統(tǒng)可以滿足用戶進(jìn)行高效率身份認(rèn)證的需求。

4 結(jié) 論

本文提出一種云電子身份管理認(rèn)證系統(tǒng)，系統(tǒng)主要由認(rèn)證服務(wù)器、系統(tǒng)服務(wù)器與云訪問服務(wù)器組成。實(shí)驗(yàn)結(jié)果表明，提出身份管理和認(rèn)證系統(tǒng)耗能低、認(rèn)證效率高，具有較高的數(shù)據(jù)處理精度。

參考文獻(xiàn)

[1] 王群，李馥娟，錢煥延.云計(jì)算身份認(rèn)證模型研究[J].電子技術(shù)應(yīng)用，2015，41（2）：135?138.

[2] 朱莉蓉，陳寧江，何佩聰，等.基于動態(tài)信任管理的云用戶行為認(rèn)證服務(wù)系統(tǒng)[J].廣西大學(xué)學(xué)報（自然科學(xué)版），2015，40（6）：1485?1493.

[3] 王文清，柴麗娜，陳萍，等.Shibboleth與CALIS統(tǒng)一認(rèn)證云服務(wù)中心的跨域認(rèn)證集成模式[J].國家圖書館學(xué)刊，2015，24（4）：45?50.

[4] 李丙戌，吳禮發(fā)，周振吉，等.基于信任的云計(jì)算身份管理模型設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)科學(xué)，2014，41（10）：144?148.

[5] 王雷，王平建，向繼.云存儲環(huán)境中的統(tǒng)一認(rèn)證技術(shù)[J].中國科學(xué)院大學(xué)學(xué)報，2015，32（5）：682?688.

[6] 葉丹.云智能生活中的身份安全[J].五金科技，2014，42（5）：82?85.

[7] 王崇霞，丁顏，劉倩，等.云計(jì)算環(huán)境的聯(lián)盟身份認(rèn)證方案設(shè)計(jì)[J].應(yīng)用科學(xué)學(xué)報，2015，33（2）：215?222.

[8] 陳志杰，黃昆，鮮明.云存儲環(huán)境下基于生物特征的訪問控制機(jī)制研究[J].計(jì)算機(jī)科學(xué)，2014，41（z2）：250?251.

[9] 何亨，夏薇，李鵬，等.對等云存儲系統(tǒng)中抗Sybil攻擊的準(zhǔn)入控制機(jī)制[J].中國科技論文，2015，10（2）：150?158.