田　靜

（遼寧警察學院，遼寧 大連 116036）

云計算中幾種身份認證技術(shù)的比較分析

田靜

（遼寧警察學院，遼寧 大連 116036）

身份認證解決云計算中信息安全威脅的重要手段之一。身份認證的本質(zhì)是根據(jù)用戶所知道的東西、擁有的東西或所具有的生物特征來確認用戶身份?，F(xiàn)有的使用密碼技術(shù)的身份認證技術(shù)主要由三種：基于公鑰基礎(chǔ)設(shè)施（PKI）的、基于組合公鑰（CPK）的、基于身份加密（IBE）的。文章通過幾種身份認證技術(shù)的原理以及特點的對比，分析出各自的優(yōu)勢。

身份認證技術(shù)；PKI；CPK；IBE

云計算具有龐大的用戶量，所以服務提供商必須具有同時處理多租戶的能力，保證每個用戶只能訪問自己存儲的數(shù)據(jù)、使用為其分配的存儲資源以及訪問其權(quán)限范圍內(nèi)的應用程序。云服務提供商若想安全地提供這些服務，那么必須使用嚴格的身份認證機制。假如服務提供商的身份認證方面的管理機制設(shè)計不完善，或者存在安全漏洞，則惡意人員盜用用戶帳號就會變得容易，甚至可能進一步明目張膽的竊取用戶數(shù)據(jù)。所以，身份認證是安全云計算的基本功能和首要屏障。同時云服務提供商和消費者對云環(huán)境中的安全問題都很關(guān)注。

云計算環(huán)境下出現(xiàn)的安全問題如：云計算的濫用惡用、資源共享產(chǎn)生的問題、竊取賬號盜用服務、數(shù)據(jù)泄漏等，因此在身份認證、密鑰的管理方面有了更高的要求。如果想僅僅依靠管理上的控制來解決這些安全風險是比較困難的，必須采取技術(shù)的手段，而密碼學是一門經(jīng)久不衰的學科，是保障信息安全的核心手段，可以對云計算中安全問題的防護提供有效的技術(shù)保障［1］?，F(xiàn)有的使用密碼技術(shù)的身份認證技術(shù)主要有三種：基于公鑰基礎(chǔ)設(shè)施（PKI）的、基于組合公鑰（CPK）的、基于身份加密（IBE）的［2］。

1　PKI簡介

PKI是基于公鑰技術(shù)實現(xiàn)電子商務安全的具有普遍性的安全基礎(chǔ)設(shè)施，能夠保障網(wǎng)絡(luò)信息間傳送的真實性、安全性、不可抵賴性和完整性［3］。它能夠提供數(shù)字簽名服務和公鑰加密，如果某個機構(gòu)采用了PKI管理證書和密鑰就可建立安全的網(wǎng)絡(luò)環(huán)境。PKI由數(shù)字證書、證書發(fā)放機構(gòu)（CA）、公開密鑰密碼技術(shù)和安全策略等組成，最終目的是管理證書和密鑰。利用PKI框架每個用戶可以擁有一對密鑰對，公鑰隨機產(chǎn)生，私鑰由權(quán)威機構(gòu)或用戶本身生成，可信第三方可以將用戶其它信息和公鑰捆綁簽名，形成數(shù)字證書，證書可以存儲在公開目錄庫中，目的用于用戶獲取公鑰并查詢數(shù)字證書真假。

2　IBE簡介

IBE 是基于身份加密的一種體制，利用用戶身份實現(xiàn)身份認證管理的加密算法［3］。在IBE中，用戶身份標識由任意字符串（如用戶的郵件地址或名字等）來表示，發(fā)送通過接收方的身份信息得到公鑰信息，用戶無法自己產(chǎn)生私鑰，私鑰必須由可信第三方機構(gòu)（如私鑰生成器 PKG）生成，與PKI相比，IBE簡化了公鑰證書的管理問題。

3　CPK簡介

CPK是一種組合公鑰的加密算法，英文Combined Public Key的縮寫，其優(yōu)勢是利用很少的資源可以生成大規(guī)模密鑰。CPK的理論依據(jù)是 ECC 密鑰復合定理。密鑰分類共分為標識密鑰、分割密鑰和組合密鑰三類。

3.1標識密鑰

組合矩陣包括公鑰矩陣和私鑰矩陣。矩陣用（Ri，j）或（ri，j）表示，i=1..h，j=1..32。r是指小于n的隨機數(shù)。公鑰矩陣是公開變量，由私鑰矩陣生成，即G=（xi，j，yi，j）=Ri，j。私鑰矩陣是私密變量，（ri，j）用于生成私鑰的。

標識ID到組合矩陣坐標的映射利用Hash函數(shù)將標識ID變換成YS序列來完成。

YS =Hash（ID）= w1，w2，…，w34；w字長等于k比特，k值由矩陣行數(shù)h決定。w1至w32依次代表矩陣的行坐標，w33和w34代表矩陣的分割密鑰坐標。

標識私鑰（isk）在密鑰管理中心（KMC）中完成計算。假設(shè)第i行對應的行坐標用wi表示，標識私鑰為isk，那么私鑰通過有限域Fp的倍數(shù)加法實現(xiàn)：

公鑰計算則通過橢圓曲線E上的倍點加法實現(xiàn)：

3.2分割密鑰

分割密鑰只以公鑰形式存在，從分割密鑰序列（SPKi）中選取，由YS序列中的w33，w34代表。分割公鑰序列SPKi以文件形式出現(xiàn)或記錄到CPK-card。

3.3組合密鑰

標識密鑰和分割密鑰可以復合形成組合密鑰。假設(shè)分割私鑰是ssk，實體Alice的組合私鑰cskAlice由密鑰管理中心（KMC）計算完成：cskAlice=（iskAlice +sskAlice）mod n，組合私鑰cskAlice記入CPK-card，同時刪除分割私鑰sskAlice。

組合公鑰由各簽名方計算完成：CPK Alice=IPK Alice+ SPK Alice。

CPK中系統(tǒng)安全性完成取決于密鑰，私鑰安全性類似ECC密碼本身［5］。實體私鑰間沒有線性關(guān)系，因為一個私鑰對應一個隨機數(shù)序列。用戶分發(fā)私鑰存儲在硬件芯片上，如果想要非法得到用戶的私鑰，只能通過解剖硬件芯片的方式，難度巨大。每個實體都有一個密鑰，更新密鑰隨機產(chǎn)生，系統(tǒng)密鑰是在相互獨立的隨機數(shù)序列上產(chǎn)生。

4　PKI、IBE與CPK對比分析

CPK的主要優(yōu)勢是占用存儲空間小、計算速度快、帶寬要求低。現(xiàn)對常用認證系統(tǒng)CPK、PKI和IBE，根據(jù)各自的特點進行對比，如表1所示。

表1　CPK與PKI、IBE特點對比

目前針對身份認證系統(tǒng)的設(shè)計大都基于PKI技術(shù)，PKI缺點主要有在線運行時證書目錄的維護量較大、認證可靠性依靠CA認證鏈及不能產(chǎn)生大規(guī)模公鑰等。利用PKI進行云計算平臺的身份認證，那么云環(huán)境中海量的用戶公鑰信息勢必會導致LDAP目錄庫維護量巨大，密鑰傳輸和公鑰信息獲取方面需求量變大，從而運行成本提高。在PKI機制中，可信機構(gòu)CA由認證鏈構(gòu)成，用戶實現(xiàn)一次身份標識認證需要多個CA認證，保證多層CA間相互信任關(guān)系是PKI技術(shù)的難點［2］；PKI用戶的所有公鑰信息都存儲在LDAP目錄庫中，通過LDAP目錄提供查詢方式來完成身份證書的分發(fā)管理，用戶增數(shù)量的增多會導致LDAP目錄維護數(shù)量增多，這也是PKI技術(shù)的瓶頸。

IBE機制下，用戶公鑰不需要進行分發(fā)，用戶從可信第三方機構(gòu)獲取私鑰，更換私鑰也相對PKI簡單，并且不需要用戶自己保存私鑰，所以私鑰泄露的問題很容易避免，并且對于存儲空間的要求不高。因為身份標識認證不是由CA認證鏈完成，CA認證鏈層層傳遞的問題能夠避免，所以IBE的認證過程中所涉及的計算量不大。但是可信第三方機構(gòu)確保將私鑰安全發(fā)送給用戶是IBE技術(shù)的難點；如果用戶數(shù)量巨大，身份標識認證過程中接收方向第三方機構(gòu)證明自己的身份會變得更加復雜，同時所有用戶尋找同一個PKG進行生成和查詢密鑰工作會變得更加繁瑣。IBE密鑰管理中部分安全機制的缺陷導致在規(guī)模性較大、安全性較高的軍事通信和電子政務中難以應用。

在CPK機制中，公鑰和私鑰是通過選擇及組合公私鑰矩陣中的元素而產(chǎn)生，能夠完成大規(guī)模密鑰的生產(chǎn)及分發(fā)工作；密鑰管理中心能夠生成大規(guī)模的用戶公私鑰，在面對云環(huán)境中的海量用戶時可以實現(xiàn)大規(guī)模的密鑰分發(fā)；CPK使龐大的CA認證管理得到了精簡，從而使認證層級減少，簡單的一次操作即可完成對所有用戶公鑰的認證，從而使所需的存儲空間變?。籆P的用戶鑰由用戶名唯一確定，從而實現(xiàn)了認證證書和用戶名間的一一對應，所以非法用戶并不能通過偽造公鑰證書的方式來獲取其私鑰。

［1］ 羅俊.采用加密機制在云計算環(huán)境中進行訪問控制［J］.信息安全與通信保密，2012（11）：44-46.

［2］ 趙小偉，王紹斌.基于標識算法的密鑰管理體系和CPK認證［J］.信息安全與通信保密，2007（6）：200-202.

［3］ 崔杰克.基于CPK的認證及密鑰管理技術(shù)研究［D］.哈爾濱：哈爾濱工業(yè)大學，2010.

［4］ 南湘浩.CPK 組合公鑰體制（v8.0）［J］.信息安全與通信保密，2013，34（3）：39-44.

［5］ 南湘浩.CPK 密碼體制與網(wǎng)際安全［M］.北京：國防工業(yè)出版社，2008.

Comparative analysis of several authentication technologies in cloud computing

Identity authentication is one of the important means of information to solve security threats in cloud computing. The nature of Identity authentication is based on user what you know， have or have biological characteristics to identify the user identity. The use of existing password authentication technology is mainly composed of three types： based on public key infrastructure （PKI）， based on combined public key （CPK）， identity based encryption （IBE）. In this paper， several kinds of identity authentication technology principle and characteristics of contrast， analysis of their advantages.

Identity authentication technology；PKI；CPK；IBE

TP393.08

A

1008-1151（2016）03-0010-02

2016-02-11

2015年度遼寧警察學院科研基金項目“公有云計算環(huán)境下公安敏感數(shù)據(jù)的防泄漏技術(shù)研究”（2015lnpckyjjxm015）。

田靜（1982-），女，遼寧朝陽人，遼寧警察學院職業(yè)教育部講師，碩士研究生，研究方向為數(shù)據(jù)安全。