基于椭圆曲线密码体制的网络身份认证系统研究(3)

　　KDC模块主要完成用户身份认证和票据分发等功能，包括AS请求处理子模块和TGS请求处理子模块。它与认证客户端的AS请求模块和TGS请求模块一起工作，来完成身份认证和票据分发功能；GSSAPI接口模块用于实现与代理服务器的接口，代理服务器调用GSSAPI接口模块来进行身份认证，而GSSAPI接口模块则调用Kerberos GSSAPI，用于真正实现建立安全上下文，报文保护级别协商以及对每条报文的保护。 
　　（2）代理模块。代理模块在模型中主要实现客户端应用程序通过代理客户端、代理服务器访问应用服务器的功能，通过采用Socks5协议实现。 
　　代理模块分别在客户端和应用服务器端加载一个代理软件。客户端代理接受客户端的所有请求，经处理后转发给服务器端代理。客户端代理首先与代理服务器建立一个TCP连接，通常SOCKS端口为1080，通过安全隧道，代理服务器认证并接受所有来自客户端软件的通信。若身份得以认证，则安全服务器将请求递交应用服务器，处理请求后并将结果返回安全服务器，安全服务器将此结果返回给客户端。 
　　安全代理服务器在确认客户端连接请求有效后接管连接，代为向应用服务器发出连接请求，安全代理服务器应根据应用服务器的应答，决定如何响应客户端请求，代理服务进程应当连接两个连接，客户端与代理服务进程间的连接、代理服务进程与应用服务器端的连接。为确认连接的唯一性与时效性，代理进程应当维护代理连接表或相关数据库。安全代理服务器为所有网络通信提供了一个安全隧道，在建立通道的过程中，存在用户认证的过程。用户经过认证和原始协议请求，通过GSSAPI建立的安全隧道传送。 
　　（3）加密模块。加密模块在系统中主要完成对数据的加解密处理，通过调用椭圆曲线加密算法具体实现。模型中采用ECIES加解密方案，具体实现过程采用borZoi算法库。borZoi是个免费的C++椭圆曲线加密库，含有完整的源代码，提供了定义在特征值为2的有限域上的算法，提供了加密模块。 
　　三、系统安全性分析
　　系统提供了应用层的安全解决方案，可作为网络的授权访问控制中心，提供用户到应用服务器的访问控制服务。基于椭圆曲线加密法的网络身份认证，用户可以采用较短的密钥长度来实现较高的安全性，这样既有便于用户的记忆也提高了服务器的计算速度，从而将大大缩短登录时间。在椭圆曲线密码体制中，椭圆曲线Ep（a，b）中p、a、b的任何一个数字改变就产生新椭圆曲线方程，这样既可为用户提供丰富的选择性也可以为服务器节约更广阔的存储空间，同时确保网络信息的保密性、完整性和可用性。 
　　本文通过分析椭圆曲线密码体制，建立了网络身份认证系统模型，该模型采用软硬件协同的方式，基于混合加密体制，使用速度快而安全性高的ECC算法进行加解密、签名与验证签名，对网络的信息建立起良好的保护的屏障，能够很好地抵抗重放攻击、猜测攻击、网络窃听攻击，整个网络身份认证方案简单有效。 
　　参考文献：
　　张凌杰：基于企业网身份认证系统的模型研究[J].福建电脑，2008，（5）：109～110