基于移动终端和PKI技术的第三方身份认证服务系统

发布时间：2020-02-18 04:30

【摘要】：身份认证是互联网安全领域中一个十分重要的组成部分,在互联网中用户的身份信息都是用一组特定的数据来表示的,由于计算机只能识别用户的数字身份,因此身份认证的目的就是保证用户的物理身份和数字身份相对应,确保在网络通信中用户身份的有效性和用户行为的不可抵赖性。目前常见的身份认证方式包括静态口令、短信密码和USB KEY等,不过它们在使用过程中分别存在着一些问题:静态口令安全性差容易被暴力破解或者被木马截获口令;短信密码是服务端单方面向用户发送的验证消息,缺乏用户对该消息的确认凭证,在一些需要保存用户凭证的应用场景中难以发挥作用;USB KEY安全性高、应用范围广泛,但是其终端适用性差而且需要安装客户端程序。这些问题的存在降低了网络身份认证的适用性、有效性和可靠性,使得网络应用无法很好地满足人们对互联网安全方面的需求,成为了制约互联网发展的瓶颈。针对上述问题,本文对网络应用中常见的身份认证方式进行了深入分析,并以某数字证书认证中心的实际项目为背景,在对密码学、公钥基础设施(Public Key Infrastructure,简称PKI)等相关技术研究的基础上,设计并实现了一个基于移动终端和PKI技术的第三方身份认证服务系统,名为移动安全网关系统(Mobile Security Gate Way,简称MSGW)。该系统采用智能移动终端设备代替传统的USB KEY,方便了用户的使用并且满足了未来移动应用的需求,而且采用了Web Service技术对外提供服务接口,实现了系统的跨平台应用。此外系统采用了基于椭圆曲线算法(Elliptic Curves Cryptography,简称ECC)的国家商用密码SM2算法,提升了加密运算的强度和效率并且降低了网络通信的损耗,使得系统在无线网络环境中的应用更具有优势。论文主要分析了MSGW的系统架构并对其中核心模块的设计与实现进行了详细的阐述。最后,本文介绍了MSGW的测试情况以及运行实例的演示情况,验证了系统可行性和有效性。与其他同类系统相比,本文的研究工作主要有以下特点1)本文提出的身份认证系统基于移动终端和PKI技术实现,利用移动终端与用户之间的物理绑定关系加强了身份认证的可靠性,同时采用了Android应用程序,使得系统可以在手机、平板电脑和机顶盒等不同种类的移动设备中发挥作用,提高了系统的实用性。2)本文在Android应用程序中通过软件方式实现了PKI相关的加密运算功能,不需要在移动终端上加装特殊的加密硬件或者在PC上安装配套的应用程序。经过测试验证,软件方式满足项目对加密速度和加密强度的需求,同时提高了系统的适应性和灵活性,降低了推广的难度。3)本文提出的身份认证系统在提供Android应用程序的基础上,还开放Web Service接口作为公共服务,允许现有的移动应用程序整合系统提供的身份认证功能。即使是非Android应用程序也可以通过无线网络访问接口实现身份的认证,扩展了系统的应用范围;4)本文在系统中实现了我国最新推出的商用密码SM2算法,SM2算法是在ECC算法的基础上演变而来。经过测试验证,在保证与RSA算法同等强度的前提下,SM2算法使用的密钥长度更短、算法复杂度更小,因此在移动应用中SM2算法能有效的降低运算、存储和通信的损耗,比RSA算法更具有优势。
【学位授予单位】：上海交通大学
【学位级别】：硕士
【学位授予年份】：2014
【分类号】：TP393.08

【参考文献】