PKI系统交叉认证技术的研究

VIP免费
3.0 陈辉 2024-11-19 6 4 5.82MB 61 页 15积分
侵权投诉
随着网络应用技术的快速发展,信息安全问题受到人们的普遍关注,如何保障
开放式网络环境中系统与数据安全又是其中的关键问题,公钥基础设施PKI的发展
为信息安全问题的解决提供了可行途径。但是,随着PKI技术的日趋成熟,各类
CA认证中心相继建立,各种潜在的问题也凸显出来,PKI的发展面临着瓶颈,其中
核心问题是解决开放式网络环境中各主体间动态信任关系与PKI相对稳定的信任模
型间的冲突。本文的主要研究目标就是通过对交叉认证技术的研究,解决信任域间
的互操作问题。
本文首先讨论了PKI基本理论知识,然后详细分析了现有PKI信任模型的特点
并通过比较得出各自在交叉认证方面的优缺点。在此基础上提出一种新的基于验证
代理的兼容性桥接信任模型,并用谓词逻辑描述该信任模型中的信任推导过程。然
后,以本文的验证代理信任模型为核心,提出基于双hash链的证书验证方案。最后
结合OpenSSL函数库,以命令行方式设计一个PKI/CA层次结构认证体系,通过测
试案例进一步分析信任模型和验证方案的性能,实验结果表明本文所提出的方案在
功能上达到了最初的设计目标。
本文的主要研究工作包括以下几个方面:
(1) 深入学习PKI基本理论知识,对现有的信任模型进行分析研究,以此为基
础提出一个新的信任模型,该信任模型域内为层次结构,域间通过桥接代理服务器
连接各信任域的验证代理服务器,能够很好解决证书格式兼容性问题,实现各个信
任域的互联互通。
(2) 证书路径处理分为两个阶段:证书路径构造和证书路径验证,这是一个非
常复杂和耗时的过程。研读关于证书信任路径处理的文献,比较各种现有认证算法
的优缺点,探讨如何高效构建信任路径的方法。在本文的信任模型基础上,提出一
个有效的证书链验证优化方案,即文中所描述的基于双hash链的验证方案,并给出
了具体的实现过程。
(3) 学习OpenSSL函数库和各种操作指令,研读源代码,运用OpenSSL命令设计
测试案例,实现各级CA证书的签发以及验证,以此证明本文所提方案的可靠性。
关键词:公钥基础设施 认证中心 交叉认证 验证代理 OpenSSL
ABSTRACT
W i t h t h e r a p i d d e v e l o p m e n t o f n e t w o r k a p p l i c a t i o n , I n f o r m a t i o n s e c u r i t y o f
network issues is receiving increasing attention. How to protect open network system
and data security is one of the key issues. The emergence of public key cryptography
s y s t e mi n p a r t i c u l a r p u b l i c k e y i n f r a s t r u c t u r e t e c h n o l o g y , p r o v i d e s a p o s s i b l e
solution. With the technology developed day by day, many local certificate authorities
were set up by governments and agencies. However, some potential problems appeared
a n d P K I t e c h n o l o g y i s a l s o f a c i n g m a j o r c h a l l e n g e s . T h e c o r e o f t h e c h a l l e n g e i s t o
r e s o l v e t h e c o n f l i c t s b e t w e e n t h e d y n a m i c r e l a t i o n s h i p o f t r u s t i n o p e n n e t w o r k
environment, and the stable trust management of the traditional PKI model. The purpose
of t h is pap e r is to reso l v e the intero p e r ability by researc h i n g the t e c h nology of c r o ss
certification.
First, this paper introduced the basic theoretical knowledge of PKI. Then analysed
the e x i s t i n g P KI tru s t m o d e l and got t h e a d v antage a n d t h e weakne s s b y c o mparin g .
Based on the traditional trust model, proposed a compatible trust model based on the
proxy of validation authority, and described the inference process by predicate calculus
logic. In the fifth part of this paper, an optimization strategy of certificate verification
ba s e d o n dou b l e has h cha i ns w a s pr e s en t e d. Fi n a ll y, by sim u lat ion expe rim e n t
w i t h O p e n S S L , t h e v a l i d i t y a n d f e a s i b i l i t y o f t h e s c h e m e w a s
demonstrated.
The main work of this paper includes:
(1) Study the theory of PKI in depth, and propose a new trust model after analyzing
and researching the present trust model. This kind of trust model uses the hierarchical
c o n s t r u c t i o n i n t h e s a m e d o m a i n, a n d e v e r y v a l i d a t i o n a u t h o r i t y b e t w e e n d i f f e r e n t
domains is linked to each other by a bridge proxy server to achieve the interoperability.
(2) Certification path processing consists of two phases: path construction and path
validation, which is very complex and time consuming. Research more references and
propose an optimization scheme for certificate validation.
(3) Give a test case based on OpenSSL to demonstrate the validity and feasibility
of the presented scheme.
Key WordPKI, Certificate Authority, Cross Certification, Proxy of
Validation Authority, OpenSSL
中文摘要
ABSTRACT
第一章 ..........................................................................................................1
§1.1研究背景意义...............................................................................1
§1.2研究现.......................................................................................2
§1.3本文的主要内容和组织结构...................................................................5
章 PKI理论基础..........................................................................................7
§2.1码学基础...............................................................................................7
§2.2证书.................................................................................................10
§2.3 PKI成结构.........................................................................................14
§2.3.1 PKI......................................................................................14
§2.3.2 PKI系统基本组件......................................................................14
§2.4PKI面临的关键问题......................................................................16
§2.4.1 PKI信任模型及互操作性研究..................................................16
§2.4.2 PKI系统式化分析与研究......................................................17
章 PKI统信任模型的研究....................................................................18
§3.1 基本概念................................................................................................18
§3.1.1信任域和信任..........................................................................18
§3.1.2 信任模型.....................................................................................18
§3.1.3 交叉认证.....................................................................................19
§3.2 PKI统信任模型.................................................................................20
§3.2.1格层次结构信任模型..............................................................20
§3.2.2 信任模型.............................................................................21
§3.2.3 信任表结构.............................................................................22
§3.2.4以用为中心的信任模型..........................................................24
§3.2.5桥接信任模型..............................................................................24
§3.2.6各种信任模型的比较..................................................................26
§3.3 本章................................................................................................27
章 基于验证代理的桥接信任模型............................................................28
§4.1引言.........................................................................................................28
§4.2代理验证机制.........................................................................................28
§4.2.1 DPD/DPV代理验证模式...........................................................28
§4.2.2证书验证中心VA........................................................................29
§4.3基于验证代理的兼容性桥接信任模型.................................................30
§4.3.1信任模型的设计..................................................................30
§4.3.2模型体系结构..............................................................................31
§4.3.3证书链验证过程..........................................................................32
§4.4信任模型式化描述.............................................................................33
§4.4.1信任关系的谓词逻辑定..........................................................33
§4.4.2本信任模型信任关系推导..........................................................35
§4.5 本章................................................................................................37
信任路径构造及验证算法研究...............................................................38
§5.1 证书路径处理........................................................................................38
§5.1.1 路径构建.....................................................................................38
§5.1.2 路径验证.....................................................................................39
§5.2 证书路径构建方法................................................................................40
§5.2.1 域内格层次结构路径构建.....................................................40
§5.2.2域间信任路径的构建..................................................................41
§5.3 证书基本验证........................................................................................42
§5.3.1 基本信息的验证.........................................................................42
§5.3.2 统证书的验证过程.................................................................43
§5.4 基于双hash链的层次结构证书验证方案............................................43
§5.4.1 hash链定.................................................................................43
§5.4.2 hash链证书验证模型的建立.................................................44
§5.4.3 hash链模型下信任域内证书的验证.....................................45
§5.4.4 hash链模型下域间证书的验证.............................................46
§5.4.5 安全性分析.................................................................................47
§5.5 本章................................................................................................48
章 案例测试与分析....................................................................................49
§6.1 OpenSSL成结构和功能................................................................49
§6.2 测试案例................................................................................................51
§6.3 实验步................................................................................................52
§6.3.1 实验环境的.........................................................................52
§6.3.2 证书验证.....................................................................................55
§6.4 实验分析................................................................................................59
章 论文结及研究展............................................................................60
§7.1 本文工作........................................................................................60
§7.2 研究展................................................................................................61
参考文献................................................................................................................62
第一章
第一章 绪论
§1.1研究背景意义
随着互联网技术的发展,企事业单位、政府部门的信息化建设已经与计算
为一体。统的公模式开始向自动化、电子网络化转变越多地依
于计算和网络支持的应用系统来成。于各个应用系统的建设缺统一的
,在数据存储、系统接口、开发平台等多个方面可能各自有一模式和标
从而给用使来一定负担时也暴露了一安全隐患。此,随着信息技
术的迅猛发展,组织之间开展的合作交流越越多会遇共享的问
题,计算网络方便有效解决该问题,但也产生许多信息的安全问题。对于一
些敏感信息的加密访控制成了网络应用安全的要内容。
保网上信息安全顺利地进行传输必须在通信网络中建立并维持一种可信
任的安全机制。为解决Internet的安全问题,世界进行了深入研究,初步
套完整的解决方案,即目前被广泛采PKI(Public Key Infrastructure
公钥基础设施)
PKI用公钥码算法构建的安全基础设施,提供应用层面的安全服务,
证书理公钥,通过第方的可信任——认证中心CA(Certificate
Authority)的公钥和其标识信息捆绑在一,在Internet上验证用
PKI证书公钥码学和CA合成为一个完备企业级网络安全构,
可以在这个构下实施基于身份认证的安全服务。
PKI应用中,用的信任主要来源于对证书的验证,这种信任是基于对
证书的权威、正、可信第CA的信任。对于简单PKI信任模型,证书的
验证并复杂。然,随着PKI应用的蓬勃发展,PKI体系间的互操作性需求
益增大。为了实现个PKI体系间的互联互通,必须在各个立的CA间实现交叉
认证。交叉认证是一种前无关联的CA连接在一的有用机制,通过建立CA
的信任关系使得一个CA信任域中的用可以信任由另一个不同CA信任域签发的
证书。在分式环境中,要保证各PKI信任域的安全性,要一定程度地
现各PKI信任域的互操作性,此外还需考虑技术应用策略以及法上的许多
题。在实应用系统中,使PKI是为了不同的应用目的,如电子商网上
电子政应用、地方应用,以及与国际轨需求等,为此可能建设很
CA。这CA前大部分处于信息孤岛”面。但是,于应用的深广度
不断加深和扩大CA中心然要来,向社会提供广泛、便捷的服
务。
作为国家信息化的基础设施,PKI的核心是要解决网络和信息系统中的信任问
1
PKI 系统交叉认证技术的研究
题,保各种经济、军事理行为主体身份一性、真实性和合法性,保
络和信息系统中各种主体的安全利益
作为一个网络发展大国PKI处于刚刚起步阶段,在信息安全方面开发出
合中具体国情、具有自主知识产权、满足我国信息安全市场需求的安全服务
,对于我国电子商务和电子政务的发展,着非常关键和要的作用。
结上文,目公钥基础设施PKI技术的研究然是信息安全研究的点问题
PKI技术的大规模推广面临着一系列困难。本题主要研究分PKI环境下,
企业身份认证安全体系,优化复杂的交叉认证过程,对于提高PKI信任域
间互操作的能和效具有积极的学术意义时对于进中企业间信息
源的安全共享以及技术交合作有着要的现实意义
§1.2研究现
1. PKI发展现
20世纪90代初以来,PKI技术步得到了世界国政府企业广泛重
PKI技术也理论研究进入商业化应用阶段。IETFISO等机陆续颁布
X.509PKIXPKCSS/MIMESSLSETIPSecLDAP有关PKI应用的相关
准;RSAVeriSignEntrust司纷纷推出了PKI服务及相关产品;些大
,如MicrosoftNetscapeNovelSun在自的网络基础设施产品
增加PKI功能[1]美国、加拿大、欧盟等国家组织也相继建立了自PKI体系
券、险、电的用也开接受并使PKI技术。
美国PKI 国家,并于 1996 成立了PKI 筹委会
PKI 相关的绝大部分标准都由美国制定,其 PKI 技术在上处于地位
2000 630 日,美国总克林顿正式签署美国及全国商业电子
予电子名、证书以法上的保[2]加拿大1993 已经政府
PKI 体系的研究工作,到 2000 年已经PKI 体系方面要的进展,
建成的政府 PKI 体系为政府、商业机进行电子数据交时提供信息安
PKI 发展的主
欧洲PKI 基础建设方面也成为了解决各PKI 间的协同工作问
题,采取了一系列策略:如积极资助相关研究所、大学和企业研究 PKI 相关技术
资助 PKI 互操作性相关技术研究,并建立 CA 网络及其CA
亚洲韩国是最开发 PKI 体系的国家韩国的认证构主要分为级:最
上一层是信息讯部,中间国家 CA 中心,最下一级是信息讯部指定的
授权认证构。日本的 PKI 应用体系人两大领域来分,而且在公
众领域的市场还要进一步细分,主要分为商业、政府以及公内务、电
2
摘要:

摘要随着网络应用技术的快速发展,信息安全问题受到人们的普遍关注,如何保障开放式网络环境中系统与数据安全又是其中的关键问题,公钥基础设施PKI的发展为信息安全问题的解决提供了可行途径。但是,随着PKI技术的日趋成熟,各类CA认证中心相继建立,各种潜在的问题也凸显出来,PKI的发展面临着瓶颈,其中核心问题是解决开放式网络环境中各主体间动态信任关系与PKI相对稳定的信任模型间的冲突。本文的主要研究目标就是通过对交叉认证技术的研究,解决信任域间的互操作问题。本文首先讨论了PKI基本理论知识,然后详细分析了现有PKI信任模型的特点并通过比较得出各自在交叉认证方面的优缺点。在此基础上提出一种新的基于验证代...

展开>> 收起<<
PKI系统交叉认证技术的研究.doc

共61页,预览7页

还剩页未读, 继续阅读

作者:陈辉 分类:高等教育资料 价格:15积分 属性:61 页 大小:5.82MB 格式:DOC 时间:2024-11-19

开通VIP享超值会员特权

  • 多端同步记录
  • 高速下载文档
  • 免费文档工具
  • 分享文档赚钱
  • 每日登录抽奖
  • 优质衍生服务
/ 61
客服
关注