文档介绍:基于RSA算法的动态双身份认证的设计与实现
摘要:针对网络通信中相互身份认证困难的问题,提出一种基于RSA算法的动态双身份认证方案,比其他基于公钥体制的身份认证方案相比,具有安全性更高、方便简洁、认证时间少等优点,并通过VC++实现了基于该方案的系统。
关键词:密码体制;RSA算法;身份认证;公钥
1、RSA加密算法及身份认证
目前网络通信主要提供五种安全服务,即身份认证服务、访问控制服务、机密性服务、完整性服务和抗否认性服务。其中,身份认证作为安全应用系统的第一道防线,是最重要的安全服务,所有其它的安全服务都依赖于该服务,它的失败可能导致整个系统的失败。
网络应用系统中通信双方的身份认证问题,传统的做法是采用用户名加口令来验证登录用户的身份,但是由于口令在使用过程中很容易被窃取、暴力攻击和猜测,存在较大的安全隐患;另外这种认证方式只能完成单方面的身份认证,即只能解决服务器验证客户端身份的问题,无法解决客户端验证服务器身份的问题,因此不能完全满足互联网业务应用的需要。公钥加密算法的安全性主要是基于复杂的数学难题。目前比较流行的主要有两类[2]:一类是基于大整数因子分解系统,以RSA为典型代表,它是目前被研究和应用得最为广泛的公钥算法,经过长年的攻击考验,该算法已被普遍认为是目前最优秀的公钥方案之一。
2、RSA工作原理[1]如下:
(1)任意选取两个不同的大质数p和q,计算乘积r=p*q;
(2)任意选取一个大整数e,e与(p-1)*(q-1)互质,整数e用做加密密钥。注意e的选取是很容易的,例如所有大于p和q的质数都可用.;
(3)确定解密密钥d,由d*e=1 mod((p-1)*(q-1)),根据e,p和q可以容易地计算出d;
(4)公开整数r和e,但是不公开d;
(5)将明文P(假设P是一个小于r的整数)加密为密文C,计算方法为C=Pe mod r;
(6)将密文C解密为明文P,计算方法为P=cd mod r;
然而,只根据r和e(不是p和q)要计算出d是不可能的,因此,任何人都可对明文进行加密,但只有授权用户(知道d)才可对密文解密。为了保证RSA的有效性,通常找两个非常的大质数p和q。
3、基于RSA双身份认证方案的设计
为了实现信息的网络化管理,结合SQL Server2000数据库的解决方案,即将用户数字证书等有关信息存放在SQL Server数据库中。Windows2000中包括一个完整的PKI系统,文献[3]给出了具体的设计及部署的过程。
系统采用B/S/D(Browser/Server)三层体系结构,即表示层(Browser)、功能层(Web Service)和数据服务层(DataBase Service);访问数据库。对数据库的访问在Web服务器端完成,客户端通过浏览器访问Web服务器并运行其程序。
方案的实现过程
选取两个大素数p和q,并且两数的长度相等,以获取最大程度的安全性。计算两数的乘积n=p*q;随机选取加密密钥d,为满足ed=1 mod(p-1)(q-1),则d=e-1 mod((p-1)(q-1)),d和n也互素;e是公钥,d是私钥,n是公开的。两个素数p和q不再需要,可以被舍