遵循X509標準的CA認證中心設計與實現

1、 萬方數據 萬方數據 萬方數據 萬方數據 作者:黃海, 白樹仁, HUANG Hai, BAI Shu-ren作者單位:湖南大學,軟件學院,湖南,長沙,410082刊名:計算技術與自動化英文刊名:COMPUTING TECHNOLOGY AND AUTOMATION年,卷(期:2008,27(1被引用次數:1次參考文獻(9條1.Carlisle Adalnssteveloyd.馮登國公開密鑰基礎設施-概念、標準和實施 20012.Information Technlogy Open system Interconnecion the Directory:Authentication Frame

2、work 19983.朱靚.葉志堅基于PKI的交叉認證技術在電子政務中的研究與應用期刊論文-福建電腦 2005(124.B.Kaliski PKCS7:CryPtographic Message Syntax Veoionl.5 19985.B.Kaliski PKCS 10:Certification Request Syntax Versionl.5 19986.A Summary of the X.500 (96 User Schema forUse with LDAPv3 20017.Internet X.509X Public Key Infrastructure LDAP v28.

3、C Adms The Simple Public-Key GSS-API Mechanism 19969.ITU2T Recommendation X.509.Information Technology2Open Systems 2000相似文獻(10條1.期刊論文江為強.陳波PKI/CA技術的起源、現狀和前景綜述-西南科技大學學報(自然科學版2003,18(4隨著網絡技術的發(fā)展,網絡安全問題越來越受關注,公開密鑰基礎設施(PKI技術為全面解決網絡安全問題提供了可行方案.各國政府先后提出了自己的PKI體系統(tǒng)結構及其工作原理.回顧了PKI/CA技術的起源,分析了PKI/CA的基本原理,闡述了P

4、KI/CA的國內外應用現狀及其應用前景,并描述了PKI領域存在的問題.目前在網上銀行、電子商務、電子政務等系統(tǒng)中越來越多的使用基于公開密鑰基礎設施PKI(PublicKeyInfrastructure的安全策略。PKI是利用公開密鑰理論和技術建立的提供安全服務的基礎設施,可以作為支持身份認證、完整性、保密性和抗否認性的技術基礎。而PKI的核心就是認證中心CA(CertificateAuthority,CA作為一個可信的第三方為所有用戶簽發(fā)身份證明證書,并負責頒發(fā)、管理和撤銷證書。根據CA和用戶之間以及各CA之間不同的信任方式構成各種PKI信任模型。CA的數量、分布、等級關系及交叉認證方式等組成

5、了CA的構建方式,CA構建方式嚴重影響著PKI信任模型的性能指標,因此CA的構建方式是影響PKI建設發(fā)展的重要因素。本文圍繞著PKI基本體系和幾種常見PKI信任模型以及各種模型中CA的構建方式展開了討論和研究?；仡櫫薖KI的發(fā)展歷史,較完整的分析了PKI體系的組成和所提供的核心服務。對嚴格層次信任模型、網狀信任模型、混合信任模型、橋CA信任模型、Web信任模型以及以用戶為中心的信任模型進行了詳細的研究和分析,總結了這幾種常見PKI信任模型的優(yōu)勢和缺點,討論了這些信任模型中由于CA構建方式不同而存在的效率和安全上的問題。歸納了CA不同的構建方式對PKI信任模型性能的影響,提出了建立新的PKI信任

6、模型時應充分考慮和著重解決的CA構建問題。分析研究了我國CA建設的現狀以及存在的問題,討論了解決這些問題的方向,同時展望了PKI建設與CA構建繼續(xù)研究的方向。本文的創(chuàng)新點主要有兩點。一是提出了一個新的PKI信任模型環(huán)形信任模型,它繼承了網狀信任模型信任安全性高、信任域擴展靈活和信任關系可傳遞等優(yōu)點,并改進了網狀信任模型在信任路徑構建較復雜、證書路徑過多過長以及信任關系處理困難等方面的問題。另一個創(chuàng)新點是提出了在各種PKI信任模型中,建立相應的CA保護機制的想法。當各種CA遭到破壞時,啟動相應的保護機制,使得該CA下的信任域繼續(xù)有效,降低了因CA遭受破壞后帶來的危害。3.期刊論文朱興榮.ZHU

7、Xing-rong數字校園PKI/CA認證體系的規(guī)劃和建設-電腦知識與技術2008,3(194.期刊論文何耀光.康汶.詹先信.溫筱群.HE Yao-guang.KANG Wen.ZHAN Xian-xing.WEN Xiao-qun基于PKI技術的CA構架設計-計算機與現代化2010(11通過分析PKI技術的基本原理及基于該技術的CA認證系統(tǒng)的功能,論證基于PKI技術所構架的CA認證系統(tǒng)是全面解決網絡信息安全問題的最佳選擇,并結合我國的管理模式和應用需求對CA認證系統(tǒng)的總體結構和邏輯結構進行設計,由此給出該系統(tǒng)的典型構架.5.外文會議Zheng Guo.Okuyama. T.Finley. M

8、.R.A New Trust Model for PKI InteroperabilityThe rapid deployment of the Internet over the last fifteen years has witnessed the birth of a number of serious security issues. In the case of e-commerce and e-government, security issues are of great concern due to the need for a high level of confident

9、iality in the information that is exchanged between business and governmental bodies as well as a high level of confidence or trust that in the processes of exchange. One approach to guaranteeing security in these cases is the public encryption key infrastructure or PKI. Basically, a PKI provides a

10、structure of trust among its users or principals. PKI has become the object of international attention and much has been done to realize national and international standards for PKI, for example X.509. There are, however, serious PKI implementation issues as different countries and different organiz

11、ations may adopt different security policies and implementations. This raises the question of interoperability between these various implementations, especially in such a way as to create a global trust domain. In this paper, the authors propose a new construct, a ring configuration of specialized C

12、ertification Authorities(CA’s called "Gateway Certification Authorities (GWCA’s," as a solution to the general PKI interoperabilityproblem. 6.期刊論文 彭軍.王忠.胡建超.Peng Jun.Wang Zhong.Hu Jiaochao 基于PKI的CA認證系統(tǒng)信任模型的研究 -網絡 安全技術與應用2010(3 在PKI體系中,CA之間的信任關系是一個極為重要的部分,建立相應的信任模型是認證系統(tǒng)中一個

13、必須解決的問題.本文通過分析PKI系統(tǒng)結構和工作原 理,并且比較了幾種常見的CA信任模型的結構特性和使用范圍,提出了一種在適用于校園網認證系統(tǒng)中的新型的CA信任模型.與常見的模型相比,這種復合 式的新模型有著更為快捷和靈活的認證路徑,更全面的安全機制,和更為方便的擴展能力,因此也更適用于目前較為復雜多變的大型網絡環(huán)境中. 7.學位論文 張志鵬 PKI互聯(lián)互通中交叉認證和橋CA的研究 2004 PKI基礎設施的發(fā)展,拓展了整個網絡世界的可信度,但是由于PKI是在不斷摸索中發(fā)展起來的,各PKI提供商和運營商的技術、產品和策略有相當的差 異,于是有必要仔細研究PKI的核心內容,并提出合理的方法來解決

14、各PKI之間相互信任的問題.國際國內眾多的CA機構,一般都采用了各自的根證書,各CA頒 發(fā)的證書不能相互信任.PKI交叉認證和橋CA交換技術就是為了解決這一問題而提出的.通過對國際經驗的研究發(fā)現,在實現信任域的擴展模式中,建立一個 起信息交換作用的BCA,來連接多個信任域,是目前最為先進的一種互聯(lián)互通技術.BCA作為一個橋梁,可以將多個不同的信任域連成一個整體,組成一個更大 范圍的信任空間.BCA與一般的CA不同,它不直接向用戶頒發(fā)證書.BCA也不象根CA一樣成為一個信任起點,它只是一個單獨的CA,它與不同的信任域之間建立 對等的信任關系,允許用戶保留他們自己的原始信任起點,通過BCA可將每一

15、個單獨的信任域擴展到一個更大的信任域中.任何結構類型的信任域都可以通 過BCA這個機構連接在一起,實現彼此之間的信任.PKI互聯(lián)互通的關鍵內容是建立橋證書中心(BCA,它是多信任域PKI體系(連接多個信任域中的核心,是 不同信任域之間的橋梁,主要負責為不同信任域的主CA頒發(fā)交叉認證的證書,建立各個信任域的證書政策與BCA的證書政策之間的一一映射關系,更新交叉 認證證書,發(fā)布交叉認證證書黑名單等.因此,CA互聯(lián)互通關鍵技術重點要解決的關鍵技術問題是策略映射問題和證書路徑問題等相關問題.該文將對目前 國際上已經得到的研究成果和相關的解決方案進行介紹、研究,并結合現在國內情況就BCA建立后的策略映射

16、問題及證書路徑問題提出自己的建議.雖然 BCA具備有多項優(yōu)勢,但存在尋找證書路徑以及驗證等復雜度高的問題,仍須謹慎解決. 8.期刊論文 佘堃.周明天 公開密鑰基礎設施(PKI核心簽證機關(CA -計算機應用1999,19(11 隨著電子商務時代的來臨,PKI技術正逐漸成為計算機網絡安全的主角.本文從PKI核心CA出發(fā),總結了國內外PKI的發(fā)展,并給出了代表性的體系結構 .建立CA和PKI是一個復雜的系統(tǒng)工程,本文最后探討了建立CA必須解決的問題. 9.學位論文 王鵬 PKI中CA認證系統(tǒng)的研究及在無線數傳系統(tǒng)中的應用 2008 PKI是一個采用非對稱密碼算法原理和技術實現并提供安全服務的、具有

17、通用性的安全基礎設施。PKI的目的就是使不同的實體可以方便地使用公鑰 技術。PKI提供了三種主要的核心服務。首先，它可以提供數據的機密性，第二，它可以實現實體的身份認證，最后，PKI還可以保證數據的完整性。本 文首先介紹了基本的PKI概念，包括與PKI相關的密碼學知識，PKI的組成和提供的核心服務，PKI的結構框架和相關的各種技術標準。 CA認證系統(tǒng)是PKI的核心組成部件，它負責為PKI中的實體頒發(fā)公鑰證書。公鑰證書是將實體的身份和公開密鑰綁定在一起的一種數據結構。本文在 對CA認證系統(tǒng)進行分析的基礎之上，利用Openssl軟件包設計和實現了一個CA認證系統(tǒng)，它具有完整的密鑰和證書管理功能，它

18、以VC+6.0為編程平臺 ，實現了包括CA認證中心操作、Openssl支持的EVP算法操作和CA擴展操作等主要證書操作功能，通過調用Openssl提供的密碼算法庫libeay32.lib實現了 根證書生成、證書請求REQ文件生成、REQ文件證書制作、CRL制作等功能：并提供了DER和PEM證書之間的編碼格式轉換、密鑰對檢驗、數字簽名及驗證和 RSA算法等功能。 無線數字傳輸系統(tǒng)又被稱為DAP系統(tǒng)，DAP是英文DIG A POINT的縮寫，意思是挖出一個無線數字節(jié)點。每個指揮節(jié)點主要由電臺、數據適配器、計算 機、全球定位儀及無線數傳軟件五部分組成。它以某超短波電臺為基礎無線通信平臺，同時也是CA認證系統(tǒng)的文件傳輸網絡平臺。