PKI系统交叉认证技术的研究

VIP免费

3.0 陈辉 2024-11-19 7 4 5.82MB 61 页 15积分

侵权投诉

摘要

随着网络应用技术的快速发展，信息安全问题受到人们的普遍关注，如何保障

开放式网络环境中系统与数据安全又是其中的关键问题，公钥基础设施PKI的发展

为信息安全问题的解决提供了可行途径。但是，随着PKI技术的日趋成熟，各类

CA认证中心相继建立，各种潜在的问题也凸显出来，PKI的发展面临着瓶颈，其中

核心问题是解决开放式网络环境中各主体间动态信任关系与PKI相对稳定的信任模

型间的冲突。本文的主要研究目标就是通过对交叉认证技术的研究，解决信任域间

的互操作问题。

本文首先讨论了PKI基本理论知识，然后详细分析了现有PKI信任模型的特点

并通过比较得出各自在交叉认证方面的优缺点。在此基础上提出一种新的基于验证

代理的兼容性桥接信任模型，并用谓词逻辑描述该信任模型中的信任推导过程。然

后，以本文的验证代理信任模型为核心，提出基于双hash链的证书验证方案。最后

结合OpenSSL函数库，以命令行方式设计一个PKI/CA层次结构认证体系，通过测

试案例进一步分析信任模型和验证方案的性能，实验结果表明本文所提出的方案在

功能上达到了最初的设计目标。

本文的主要研究工作包括以下几个方面：

(1) 深入学习PKI基本理论知识，对现有的信任模型进行分析研究，以此为基

础提出一个新的信任模型，该信任模型域内为层次结构，域间通过桥接代理服务器

连接各信任域的验证代理服务器，能够很好解决证书格式兼容性问题，实现各个信

任域的互联互通。

(2) 证书路径处理分为两个阶段：证书路径构造和证书路径验证，这是一个非

常复杂和耗时的过程。研读关于证书信任路径处理的文献，比较各种现有认证算法

的优缺点，探讨如何高效构建信任路径的方法。在本文的信任模型基础上，提出一

个有效的证书链验证优化方案，即文中所描述的基于双hash链的验证方案，并给出

了具体的实现过程。

(3) 学习OpenSSL函数库和各种操作指令，研读源代码，运用OpenSSL命令设计

测试案例，实现各级CA证书的签发以及验证，以此证明本文所提方案的可靠性。

关键词：公钥基础设施认证中心交叉认证验证代理 OpenSSL

ABSTRACT

W i t h t h e r a p i d d e v e l o p m e n t o f n e t w o r k a p p l i c a t i o n , I n f o r m a t i o n s e c u r i t y o f

network issues is receiving increasing attention. How to protect open network system

and data security is one of the key issues. The emergence of public key cryptography

s y s t e m，i n p a r t i c u l a r p u b l i c k e y i n f r a s t r u c t u r e t e c h n o l o g y , p r o v i d e s a p o s s i b l e

solution. With the technology developed day by day, many local certificate authorities

were set up by governments and agencies. However, some potential problems appeared

a n d P K I t e c h n o l o g y i s a l s o f a c i n g m a j o r c h a l l e n g e s . T h e c o r e o f t h e c h a l l e n g e i s t o

r e s o l v e t h e c o n f l i c t s b e t w e e n t h e d y n a m i c r e l a t i o n s h i p o f t r u s t i n o p e n n e t w o r k

environment, and the stable trust management of the traditional PKI model. The purpose

of t h is pap e r is to reso l v e the intero p e r ability by researc h i n g the t e c h nology of c r o ss

certification.

First, this paper introduced the basic theoretical knowledge of PKI. Then analysed

the e x i s t i n g P KI tru s t m o d e l and got t h e a d v antage a n d t h e weakne s s b y c o mparin g .

Based on the traditional trust model, proposed a compatible trust model based on the

proxy of validation authority, and described the inference process by predicate calculus

logic. In the fifth part of this paper, an optimization strategy of certificate verification

ba s e d o n dou b l e has h cha i ns w a s pr e s en t e d. Fi n a ll y, by sim u lat ion expe rim e n t

w i t h O p e n S S L , t h e v a l i d i t y a n d f e a s i b i l i t y o f t h e s c h e m e w a s

demonstrated.

The main work of this paper includes:

(1) Study the theory of PKI in depth, and propose a new trust model after analyzing

and researching the present trust model. This kind of trust model uses the hierarchical

c o n s t r u c t i o n i n t h e s a m e d o m a i n, a n d e v e r y v a l i d a t i o n a u t h o r i t y b e t w e e n d i f f e r e n t

domains is linked to each other by a bridge proxy server to achieve the interoperability.

(2) Certification path processing consists of two phases: path construction and path

validation, which is very complex and time consuming. Research more references and

propose an optimization scheme for certificate validation.

(3) Give a test case based on OpenSSL to demonstrate the validity and feasibility

of the presented scheme.

Key Word：PKI, Certificate Authority, Cross Certification, Proxy of

Validation Authority, OpenSSL

目  录
中文摘要
ABSTRACT
第一章　绪论..........................................................................................................1
§1.1研究背景与选题意义...............................................................................1
§1.2国内外研究现状.......................................................................................2
§1.3本文的主要内容和组织结构...................................................................5
第二章　PKI理论基础..........................................................................................7
§2.1密码学基础...............................................................................................7
§2.2数字证书.................................................................................................10
§2.3 PKI组成结构.........................................................................................14
§2.3.1 PKI概述......................................................................................14
§2.3.2 PKI系统基本组件......................................................................14
§2.4目前PKI面临的关键问题......................................................................16
§2.4.1 PKI信任模型及互操作性研究..................................................16
§2.4.2 PKI系统形式化分析与研究......................................................17
第三章　PKI传统信任模型的研究....................................................................18
§3.1 基本概念................................................................................................18
§3.1.1信任域和信任锚..........................................................................18
§3.1.2 信任模型.....................................................................................18
§3.1.3 交叉认证.....................................................................................19
§3.2 PKI传统信任模型.................................................................................20
§3.2.1严格层次结构信任模型..............................................................20
§3.2.2 网状信任模型.............................................................................21
§3.2.3 信任列表结构.............................................................................22
§3.2.4以用户为中心的信任模型..........................................................24
§3.2.5桥接信任模型..............................................................................24
§3.2.6各种信任模型的比较..................................................................26
§3.3 本章小结................................................................................................27
第四章　基于验证代理的桥接信任模型............................................................28
§4.1引言.........................................................................................................28
§4.2代理验证机制.........................................................................................28
§4.2.1 DPD/DPV代理验证模式...........................................................28
§4.2.2证书验证中心VA........................................................................29
§4.3基于验证代理的兼容性桥接信任模型.................................................30

§4.3.1信任模型的设计思路..................................................................30
§4.3.2模型体系结构..............................................................................31
§4.3.3证书链验证过程..........................................................................32
§4.4信任模型形式化描述.............................................................................33
§4.4.1信任关系的谓词逻辑定义..........................................................33
§4.4.2本信任模型信任关系推导..........................................................35
§4.5 本章小结................................................................................................37
第五章 信任路径构造及验证算法研究...............................................................38
§5.1 证书路径处理........................................................................................38
§5.1.1 路径构建.....................................................................................38
§5.1.2 路径验证.....................................................................................39
§5.2 证书路径构建方法................................................................................40
§5.2.1 域内严格层次结构路径构建.....................................................40
§5.2.2域间信任路径的构建..................................................................41
§5.3 证书基本验证........................................................................................42
§5.3.1 基本信息的验证.........................................................................42
§5.3.2 传统证书的验证过程.................................................................43
§5.4 基于双hash链的层次结构证书验证方案............................................43
§5.4.1 hash链定义.................................................................................43
§5.4.2 双hash链证书验证模型的建立.................................................44
§5.4.3 双hash链模型下信任域内证书的验证.....................................45
§5.4.4 双hash链模型下域间证书的验证.............................................46
§5.4.5 安全性分析.................................................................................47
§5.5 本章小结................................................................................................48
第六章　案例测试与分析....................................................................................49
§6.1 OpenSSL的组成结构和功能................................................................49
§6.2 测试案例................................................................................................51
§6.3 实验步骤................................................................................................52
§6.3.1 实验环境的搭建.........................................................................52
§6.3.2 证书验证.....................................................................................55
§6.4 实验分析................................................................................................59
第七章　论文总结及研究展望............................................................................60
§7.1 本文工作总结........................................................................................60
§7.2 研究展望................................................................................................61
参考文献................................................................................................................62

第一章绪论

第一章　绪论

§1.1研究背景与选题意义

随着互联网技术的发展，企事业单位、政府部门的信息化建设已经与计算机网

络融为一体。传统的办公模式开始向自动化、电子化、网络化转变，越来越多地依

赖于计算机和网络支持的应用系统来完成。由于各个应用系统的建设缺乏统一的规

划，在数据存储、系统接口、开发平台等多个方面都可能各自拥有一套模式和标准

从而给用户的使用带来一定负担，同时也暴露了一些安全隐患。此外，随着信息技

术的迅猛发展，组织之间开展的合作交流越来越多，由此必然会遇到资源共享的问

题，计算机网络方便有效地解决该问题，但也产生了许多信息的安全问题。对于一

些敏感信息的加密保护和访问控制成了网络应用安全的重要内容。

为确保网上信息安全顺利地进行传输，必须在通信网络中建立并维持一种可信

任的安全机制。为解决Internet的安全问题，世界各国进行了深入研究，初步形成

了一套完整的解决方案，即目前被广泛采用的PKI技术(Public Key Infrastructure

公钥基础设施)。

PKI利用公钥密码算法构建的安全基础设施，提供应用层面的安全服务，采用

证书管理公钥，通过第三方的可信任机构——认证中心CA(Certificate

Authority)，把用户的公钥和其他标识信息捆绑在一起，在Internet上验证用户的身

份。PKI将数字证书、公钥密码学和CA集合成为一个完备的企业级网络安全架构，

可以在这个架构下实施基于身份认证的安全服务。

在PKI应用中，用户的信任主要来源于对证书的验证，这种信任是基于对颁发

证书的权威、公正、可信第三方CA本身的信任。对于简单的PKI信任模型，证书的

验证并不复杂。然而，随着PKI应用的蓬勃发展，PKI体系之间的互操作性需求日

益增大。为了实现个PKI体系之间的互联互通，必须在各个独立的CA之间实现交叉

认证。交叉认证是一种把以前无关联的CA连接在一起的有用机制，通过建立CA间

的信任关系使得一个CA信任域中的用户可以信任由另一个不同的CA信任域签发的

证书。在分布式环境中，既要保证各独立PKI信任域的安全性，还要一定程度地实

现各PKI信任域的互操作性，此外还需要考虑技术、应用策略以及法律上的许多问

题。在实际应用系统中，使用PKI是为了不同的应用目的，如电子商务、网上银行

电子政务、行业应用、地方应用，以及与国际接轨需求等，为此可能建设很多

CA。这些CA目前大部分处于“信息孤岛”的局面。但是，由于应用的深度和广度

不断加深和扩大，多个CA中心之间必然要整合起来，向社会提供广泛、便捷的服

务。

作为国家信息化的基础设施，PKI的核心是要解决网络和信息系统中的信任问

PKI 系统交叉认证技术的研究

题，确保各种经济、军事和管理行为主体身份的唯一性、真实性和合法性，保护网

络和信息系统中各种主体的安全利益。

中国作为一个网络发展大国，PKI处于刚刚起步阶段，在信息安全方面开发出

符合中国具体国情、具有自主知识产权、满足我国信息安全市场需求的安全服务平

台，对于我国电子商务和电子政务的发展，起着非常关键和重要的作用。

总结上文，目前公钥基础设施PKI技术的研究仍然是信息安全研究的热点问题

但PKI技术的大规模推广面临着一系列困难。本课题主要研究分布式PKI环境下，

中小型企业的身份认证安全体系，优化复杂的交叉认证过程，对于提高PKI信任域

之间互操作的能力和效率具有积极的学术意义，同时对于促进中小型企业间信息资

源的安全共享以及技术交流合作都有着重要的现实意义。

§1.2国内外研究现状

1. PKI发展现状

自20世纪90年代初期以来，PKI技术逐步得到了世界各国政府和企业的广泛重

视，PKI技术也从理论研究进入商业化应用阶段。IETF、ISO等机构陆续颁布了

X.509、PKIX、PKCS、S/MIME、SSL、SET、IPSec、LDAP等有关PKI应用的相关

标准；RSA、VeriSign、Entrust等公司纷纷推出了PKI服务及相关产品；一些大的厂

商，如Microsoft、Netscape、Novel、Sun等，都开始在自己的网络基础设施产品中

增加PKI功能[1]。美国、加拿大、欧盟等国家和组织也相继建立起了自己的PKI体系

银行、证券、保险、电信等行业的用户也开始接受并使用PKI技术。

美国是最早提出 PKI 概念的国家，并于 1996 年成立了美国联邦PKI 筹委会。

与PKI 相关的绝大部分标准都由美国制定，其 PKI 技术在世界上处于领先地位。

2000 年6月30 日，美国总统克林顿正式签署美国《全球及全国商业电子签名法》

给予电子签名、数字证书以法律上的保护[2]。加拿大在1993 年就已经开始了政府

PKI 体系雏形的研究工作，到 2000 年已经在PKI 体系方面获得重要的进展，已

建成的政府 PKI 体系为政府、公众和商业机构等进行电子数据交换时提供信息安

全的保障，推动了政府内部管理电子化的进程。美国与加拿大代表了发达国家

PKI 发展的主流。

欧洲在PKI 基础建设方面也成绩显著。为了解决各国PKI 之间的协同工作问

题，采取了一系列策略：如积极资助相关研究所、大学和企业研究 PKI 相关技术

资助 PKI 互操作性相关技术研究，并建立 CA 网络及其顶级CA。

亚洲，韩国是最早开发 PKI 体系的国家。韩国的认证架构主要分为三级：最

上一层是信息通讯部，中间是国家 CA 中心，最下一级是由信息通讯部指定的下

级授权认证机构。日本的 PKI 应用体系按公众和私人两大领域来划分，而且在公

众领域的市场还要进一步细分，主要分为商业、政府以及公众内务管理、电信邮

第一章绪论

政三大块。2000 年由日本、韩国、新加坡等国家发起了“亚洲 PKI 论坛”，中国也

参加了此次论坛。

随着我国信息化建设高潮的到来，在各级政府的大力推动下，我国 PKI 体

系的研究与建设有了良好的开端，培养了一大批人才队伍，具备了一定的技术基

础，PKI/CA 建设已经成为信息产业的亮点。在各级政府的支持下，CA 建设已经

成为投入热点：自 1998 年中国出现第一家CA 证书认证机构（中国电信CA 认证

中心，CTCA）以来，据不完全统计，全国已经有超过80 家CA 存在。现有 CA

主要为行业CA 和地方CA，已经开始在电子商务和面向公众服务的电子政务应

用中发挥作用。

目前全国已经建立的 CA 中，各家所依托的技术背景不同，相关厂家对标准

理解不一，实现的方法各异，各 CA 的管理规范不同，例如，对证书申请的审核、

操作、审计以及 CA 的内部管理都存在差异。上述这些因素，给不同 CA 之间互操

作带来了很大的困难。

国内的 PKI 体系派系林立，建设条件和运营应用情况差异很大。如果单纯靠

国家的行政手段来强行关闭、合并、重新布局，已经很难操作。如果任凭目前这种

没有规划和标准的PKI 建设继续下去，将会导致信息化应用不能互通的孤岛局

面越来越严重。为了保证 PKI 体系建设能够有利于信息化的应用推进而不是阻碍

信息化的进程，必须寻找能够长远解决问题的途径。

2. 交叉认证的研究现状及发展趋势

如何推广PKI应用，加强系统之间、部门之间、国家之间PKI体系的互联互通

已经成为目前PKI建设亟待解决的重要问题。要实现各PKI体系间的互联互通，最

为可行的办法是在多个独立运行的CA之间实行交叉认证，交叉认证是PKI技术中连

接两个独立的信任域的方法。通过交叉认证可以在以前没有关联的CA之间建立信

任关系，保证一个CA的用户验证另一个CA的用户证书。实现交叉认证能够扩大认

证域的信用范围，使用户在更广的范围内建立起信任关系。

交叉认证提供了一种解决CA之间互相信任的机制。从技术角度看，两个CA之

间的交叉认证就是两个CA互相为对方的根CA签发一张证书，从而使两个CA体系

内的证书可以互相验证；从业务角度看，CA间通过交叉认证可以扩展信用范围

[3]。建立交叉认证通常需要下面两个操作步骤：

一、通过签发包含另一个CA公钥的证书(交叉证书)，在两个CA之间建立信任

关系；

二、验证另一个PKI信任域中CA所签发证书的可信任性。

当信任域的数目很多时，其中最基本的问题是如何找到实体所对应的公钥。为

了找到目标实体的公钥，需要进行证书路径处理工作。这需要找到一条或多条到目

标证书的证书路径，并且要验证整条路径中每个证书，由此验证目标证书路径可靠

文档加载中……请稍候！
如果长时间未打开，您也可以点击刷新试试。

下载文档到电脑，查找使用更方便

15 积分 4人已下载

立即下载 VIP免费下载

摘要：

摘要随着网络应用技术的快速发展，信息安全问题受到人们的普遍关注，如何保障开放式网络环境中系统与数据安全又是其中的关键问题，公钥基础设施PKI的发展为信息安全问题的解决提供了可行途径。但是，随着PKI技术的日趋成熟，各类CA认证中心相继建立，各种潜在的问题也凸显出来，PKI的发展面临着瓶颈，其中核心问题是解决开放式网络环境中各主体间动态信任关系与PKI相对稳定的信任模型间的冲突。本文的主要研究目标就是通过对交叉认证技术的研究，解决信任域间的互操作问题。本文首先讨论了PKI基本理论知识，然后详细分析了现有PKI信任模型的特点并通过比较得出各自在交叉认证方面的优缺点。在此基础上提出一种新的基于验证代...

展开>> 收起<<

PKI系统交叉认证技术的研究.doc

共61页,预览7页

还剩页未读，继续阅读

PKI系统交叉认证技术的研究

相关推荐

开通VIP享超值会员特权

作者详情

相关内容

推荐作者

热门标签

举报选择: