（计算机应用技术专业论文）pki域间证书验证的研究.pdf

摘要 摘要 p 是目前公认的保障网络安全的重要技术之一。当处于不同p 信任域的 实体，通过验证对方证书的有效性来建立信任时，需要进行证书路径处理的工 作。证书路径处理由证书路径构建和证书路径验证组成。当前公开发表的证书 路径构建算法主要有动态路径检测、a t v 和证书路径表，这些算法均不能进行 多路径处理，也没有对路径构建进行优化。 本文针对网状信任模型与桥c a 信任模型进行域间证书验证，给出了这两种 信任模型下的证书路径构建算法。算法采用分支限界的思想，使用证书路径树 来表示证书路径信息，可以找到满足条件的最短证书路径，还可以解决多路径 处理和回路检测的问题。 在网状信任模型中，对于更新周期不同的证书，本文采用了相应的处理方 案。其中，对于更新周期长的证书，为了解决在路径处理时，取回证书和c i 也、 进行签名、状态的验证的耗时问题，先进行证书拓扑发现，再进行证书路径的 构建；对于更新频繁的证书，在路径构建的过程中进行证书拓扑发现，只发现 必要的拓扑信息，不必发现全部信任域的证书拓扑结构。 本文给出了p 域间证书验证系统的体系结构，并针对网状信任模型与桥 c a 信任模型的不同特点，采用了剪枝、优先级排序以及缓存机制来提高证书路 径处理的效率。 关键词：证书验证，证书路径构建，证书路径树，信任模型 a b s t r a c t a b s t r a c t p i so n eo ft l l er c 沁g i l i z e di m p o r t a n tt e c h n o l o g yt 0e n s u r en 咖o r ks e c 嘶够 e n t i t i e si nd i 丘毫r e m 仃u s td o m a i l l sv a l i d a ：c ee a c ho t h e rc e r t i f i c a 主e sv a l i d i t yt 0e s t a b l i s h 仃u s t ，l h a tf e q l l i r e sc c n i 矗c 越j 咖p 砒p r o c e s s i l l g ，c e n 洒c a t i o np a 士hp j 协s s i n gc 衄s i s t s o f 铆op h a s c s ：c e n i f i 训o np 础碰；m l c t i o na n dc e n i f i c a l i o np 础v a l i d a t i o l ls 锄e o ft h cp u b l i s h e dc e r t i f i c a t i o np a mc o m 缸咖o na l g o r i t h l n ss u c h 弱d ) ，i l a l i l i cp a 也 d c t e r m i n _ a l i o i l ，a i 、c 硎f i c 砒i o np a m 切【b l ec a nn o tp r o c e s sm 幽p l ep a n l s ，d on o t o p t i l i l i z ec c n i f i c 甜o np a mc o n 删o r l t h i sp a p c rv “i 出【钯s 硎丘c a ：t ec r o s s 仇i s td o i i l a i ni nm e s ht r l l s tm o d e i 卸d b r i d g ec a 饥l s tm o d e l ，p r e s e n t sc e n i f i c a t i o np a t hc o n 删0 na l g o m i l i n s b a s e d t l l et l l o o r yo fb r a n c h & b o u n d ，a i g o r i m m su c e r t i f i c a t i o np a t h 仃e et or 印r e s e n t 硎i f i c 缸i o np a n li i 曲咖a t i o n c e m f i c a t i o np a t l lc o 删咖c t i o na l g o r i t sc 姐s e a r c h 廿1 es h o r t e s tc e r t i f i c a t i o np a ma i l dc 趾p r o c e s sm u l t i p l ep a t h sa n dd e t e c tl o o p s i nm e s h 仇l s tm o d e l ，也i sp 印e re m p l o y sd i 丘b r e n tp a 血p r o c e s s i n gm e m o d a c c o r d i i l gt 0d i 虢r e n c eo fc e n i f i c a t e su p 伊a d ec ) ，c l e f o fc e n i f i c a ：t c sn l a tl l a v el o n g u p d a l i n gc y c l e ，t os o l v e 血】e c 0 璐l 姗血gp r o b l e mo f 蚓晒e v i i l gc e n i f i c a t e sa 1 1 dc r l s ， v a l i d a 血l gs i 粤i a n 】r e s 锄ds t a t c ，“l l s e st 1 1 ef o l l 0 、析n gm e t l l o d ：d i s c o v c 血gc e n i f i c a t e s t o p o l o g ) ，f i r s t l y 也饥c o n s t r i l c t i i l gc e n i f i c a t i o np a _ i h f o r 丘鹎u c n t l yu p d a t e d c e n i f i c a t e s ，“u s e st l l ef o l l o w i i 坞m e 血o d ：d i s c o v e r i n gc c n i f i c a l e st o p o l o g yi nn l e c o u r o fc e n i f i c a t i o np a 血c o l l s 棚l c t i o i l ，d i s c o v e r i n g 出eu s e f i l lt o p o l o g yi n f o r i l l a t i o n b l l t t l l e r c i s n e e d t od i s c o v e r 伽1 t o p o l o g y i n f b n n a t i o n 缸仇l s t d o n l a i l l s t h i sp a p e r 雕s e m s 血ea r c l l i t e 咖eo fm ec e r t i f i c a t cv a l i d a t i o n s ) ，s t e m a c c o r d i n gt ot i i ec h a 删m r i s t i c so fm e s h 仇l s tm c h d c la i l db r i d g ec a 饥l s ti n o d e l ， p r i l n i n g ，p l u 幽ga i l dc a c h em e c h a i l i 锄u db yt h i ss y s t e mt oi m p r o v e 也e e 伍c i e n c yo f n l ec e n i f i c a t i o np a 也p r o c e s s i i 培 k e y w o r d s ：c e r t i 矗c a t cv a l i d a t i o n ，c e n i f i c a t i o np a mc o n s 劬】c t i o n ，c e r t i f i c a t i o np a m 臼， n l l s tm o d e l i i 南开大学学位论文版权使用授权书 本人完全了解南开大学关于收集、保存、使用学位论文的规定，同意如下各项内容： 按照学校要求提交学位论文的印刷本和电子版本；学校有权保存学位论文的印刷本和电子 版，并采用影印、缩印、扫描、数字化或其它手段保存论文；学校有权提供目录检索以及 提供本学位论文全文或者部分的阅览服务；学校有权按有关规定向国家有关部门或者机构 送交论文的复印件和电子版；在不以赢利为目的的前提下，学校可以适当复制论文的部分 或全部内容用于学术活动。 靴论麓器乌确厶o 年6 月i 自 经指导教师同意，本学位论文属于保密，在年解密后适用 本授权书。 指导教师签名：学位论文作者签名： 解密时间：年月日 各密级的最长保密年限及书写格式规定如下： 南开大学学位论文原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师指导下，进行 研究工作所取得的成果。除文中已经注明引用的内容外，本学位论文 的研究成果不包含任何他人创作的、已公开发表或者没有公开发表的 作品的内容。对本论文所涉及的研究工作做出贡献的其他个人和集 体，均已在文中以明确方式标明。本学位论文原创性声明的法律责任 由本人承担。 学位论文作者签名：崔甜 2 。d 6 年 月 日 第一章引言 第一章引言 第一节研究背景 近年来，随着互联网的蓬勃发展，网络安全越来越受到重视。学术界和有关 厂商经过多年的研究之后，形成了一套完整的解决方案，即公钥基础设施( p u b l i c k e yh 丘a s i r u 咖e ，p ) 。p 是基于公钥理论和技术建立起来的安全体系，是提 供信息安全服务的具有通用性的安全基础设施“1 ，许多安全协议m s c c 、s 心佃偃、 t l s 使用p 砌技术【2 j 。 p 信任域间通过以下两种方式建立联系：p 之间颁发交叉证书来建立联 系；使用桥c a 与不同p 之间颁发交叉证书来建立连接。两种方式下在安全可 靠地使用证书之前都需要验证目标证书的有效性，这需要进行证书路径处理工 作。证书路径处理由两个过程组成：证书路径构建和证书路径验证四，即建立目 标证书和认证方信任锚之间的一条或多条证书路径，并且验证路径中的每个证 书，由此判定目标证书的有效性。证书路径处理是不同的p 鼬信任域建立信任进 而实现互操作的基础。 证书路径构建是耗时的过程，这就使得任何优化措施都是有价值的。1 。证书 路径构建的过程没有标准化，很少有文献涉及证书路径构建的具体过程1 3 】。现有 的一些证书路径构建算法比如动态证书路径检测【4 1 、a 1 嘲、证书路径表【6 】都存 在着一些不足：动态证书路径检测仅适用于完全网信任模型，而实际应用中大 多为部分网信任模型；a t v 和证书路径表不能处理多路径；这三种算法都没有 考虑在证书路径构建的过程中进行证书路径验证，这样可以提高证书路径处理 的效率。 第二节论文研究内容 第一，介绍了现有的证书路径构建算法。比较了几种p 基本信任模型。介 绍了代理路径发现与验证的特点及其原理。 第二，本文针对网状信任模型与桥c a 信任模型进行域间证书验证，给出了 第一章引言 这两种信任模型下的证书路径构建算法。算法采用分支限界的思想，使用证书 路径树来表示证书路径信息阴，可以找到满足条件的最短证书路径，还可以解决 多路径处理和回路检测的问题。 第三，在网状信任模型中，对于更新周期不同的证书，本文采用了相应的 处理方案。其中，对于更新周期长的证书，为了解决在路径处理时，取回证书 和c r l 、进行签名、状态的验证的耗时问题，先进行证书拓扑发现，再进行证 书路径的构建：对于更新频繁的证书，在路径构建的过程中进行证书拓扑发现， 只发现必要的拓扑信息，不必发现全部信任域的证书拓扑结构。 第四，本文给出了p 域间证书验证系统的体系结构，并针对网状信任模型 与桥c a 信任模型的不同特点，采用剪枝、优先级排序【3 1 以及缓存机制嘲来提高证 书路径处理的效率。 第三节论文结构 本文分为七个部分，具体结构为：第一章介绍了论文的研究意义、论文研 究内容及论文结构；第二章介绍了证书路径处理研究现状；第三章介绍了证书 验证基本概念、p 信任模型、x 5 0 9 证书、代理路径发现与验证；第四章介绍 了系统设计目标、系统的组成及其各部分功能、系统开发及运行环境；第五章 是优化的证书路径处理方案概述，介绍了优化方案的主要思想、优化方案的关 键要素；第六章是优化的证书路径处理方案的实现，包括严格层次信任模型证 书路径的构建、网状信任模型证书路径的构建、桥c a 信任模型证书路径的构建、 证书路径构建算法总结、证书路径验证、系统测试。第七章是论文的总结与展 望。 2 第二章证书路径处理研究现状 第二章证书路径处理研究现状 作为提供信息安全服务的公共基础设施，p 是目前公认的保障网络安全的 最佳体系【l l 。我国目前在金融、政府、电信等部门己经建立了3 0 多家c a 认证 中心。如何推广p 应用，加强系统之间、部门之间、国家之间p 体系的互 联，己经成为目前p 建设亟待解决的重要问题。建立这种联系的方案有以下 两种：p 之间颁发交叉证书来建立联系；使用桥c a 与不同p 之问颁发交叉 证书来建立连接。其中最基本的问题如何验证目标证书的有效性。这需要进行 证书路径处理工作，即找到一条或多条到目标证书的证书路径，并且验证路径 中的每个证书，由此判定目标证书的有效性进而实现安全通信。 第一节基本概念 信任：如果实体a 认为实体b 会严格地按照a 对它的期望那样行动，我们 就说a 信任b 1 9 1 。从这个定义可以看出，信任涉及假设、期望和行为，这意味着 信任是不可能被定量测量的，信任是与风险相联系的。在p 中，我们可以把 这个定义具体化为1 1 0 】：如果一个实体认为c a 能够建立并维持一个准确的对公 钥属性的绑定，则它信任该c a 。 信任模型：所谓信任模型，就是提供用户( 包括人和设备) 双方相互信任机制 的框架，是p 系统整个网络结构的基础。 p 的信任模型主要阐述并解决如下的三个问题： ( 1 ) 一个实体能够信任的证书是怎样被确定的? ( 2 ) 这种信任是怎样被建立的? ( 3 ) 在一定的环境下，这种信任在什么情形下能够被限制或控制? 信任域：信任域是指公共控制下或者服从于一组公共策略的系统集。识别 信任域及其边界对构建p 很重要。因为使用其它信任域中的c a 签发的证书 通常比使用本信任域的c a 签发的证书要复杂得多。在同一信任域内，用严格层 次结构信任模型来构建c a 非常合适。 信任锚：在信任模型中，当可以确定一个实体身份或者有一个足够可信的 第二章证书路径处理研究现状 身份签发者证明该实体的身份时，才能作出信任该实体身份的决定，这个可信 的身份签发者称为信任锚。 交叉认证：交叉认证建立在信任模型之上，它是一种把以前无关的c a 连 接在一起的机制，从而使得不同信任域之间可以实现安全通信。这一般是通过 c a 间相互颁发交叉证书实现。交叉认证可以是单向的，也可以是双向的，其目 的是扩展信任。 交叉认证即可用于层次关系，也可用于对等关系，不同的团体对此的理解 也不尽相同，论文中术语“交叉认证”是指“对等交叉认证”，即交叉认证的两 个c a 原来没有从属关系，在地位上是平等的。不同信任域实体在进行交叉认证 时，需要建立一条连接两者的证书路径。 当前使用的p 应用程序大都不能处理含交叉证书的证书路径，只有当应 用程序普遍支持交叉证书时，依赖于交叉证书的信任模型才会得到广泛的应用。 交叉证书；一个认证机构可以是另一个认证机构颁发的证书的主体，则该 证书称为交叉证书1 9 】。 在分布式环境中，查找用于建立交叉认证关系的交叉证书需要访问对应信 任域的资料库。x 5 0 9 及p k 工作组已经为认证机构和交叉证书定义了目录对 象，交叉证书存储于名为c r o s s c e r 赶i c a t cp a 打的目录属性中。c r 0 船c 硎矗c a t ep a i r 包括了为建立交叉关系而颁发的两份证书。其中的正向元素( f o n v a r de l e m e n t ) 用 于保存另一c a 颁发给本c a 的证书，可以用于构建正向证书路径；反向元素 ( r e v e r s ee l e m e m ) 用于保存本c a 颁发给另一c a 的证书，可以用于构建反向证 书路径。 证书路径：证书路径是指当一个实体需要认证另一个实体时，构成两个实 体之间完整的证书链。证书链由一系列的证书组成x l ，m ，其中第一个证书x i 是自签名证书，是验证方的信任锚，而最后一个证书k 是被验证方的证书。对 于i _ 1 ，2 ，n - l 序列而言，证书x l 中的主体( s u b j e c t ) 就是证书x - + l 中的证书颁 发者( i s s u e r ) ，这样的证书链长度为n 。它可以起始于认证方的根c a 而终止于 被认证方的证书( 即目标证书) ，反之亦然。以最简单的层次模型为例，如图2 1 所示，x 可以直接信任c a l ，但x 和y 的发证中心不同时，可以通过以下证 书链实现对y 的认证：c a l c a 3 。其中 c a l 表示由证书权威机构c a l 颁发另一证书权威机构c a 3 的证书。 4 第二章证书路径处理研究现状 图2 1 证书路径的概念 证书路径处理：在安全可靠地使用证书之前，必须对其进行验证。要验证 这样一个证书，就必须事先建立从目标证书到认证方信任锚之间的一条或多条 候选的证书信任路径，并且路径中的每一个证书都需要被验证，这个过程称为 证书路径处理。 由此可见，证书路径处理由两个过程组成：从目录服务中获取证书并且构 建证书路径；验证路径中每个证书的完整性及其相关的策略是否正确。证书路 径处理的最终目标是一个实体确认能否信任他将要使用的另一个实体的证书中 的公钥。 证书路径构建：证书路径构建就是聚集从用户证书到目标证书之间形成完 整证书路径所需的所有证书。证书路径构造的原则是使得路径尽量短，即路径 中所含的证书个数尽量少。 证书路径验证：证书路径构建完成之后，还需要验证路径中的每个证书， 以确认证书中公钥是否可以被信任。 第二节研究现状 第二章证书路径处理研究现状 2 2 1 动态路径检测 a l e ) ( a n d r e 在文献【4 】中提出了动态证书路径检测( d y n a i i l i cp a c hd e 妊栅【l i n a t i o n ) 方案。动态路径检测适合于企业级应用，实施简单而无需添加额外的服务器。 这种方案在客户端存储从信任锚到颁发客户端证书的c a 的本地信任路径。当要 验证用户证书时，客户端通过l d a p 访问目录服务器获得证书，并找到和本地 信任路径有交点的证书路径，最后由客户端验证整个证书路径。这种方法实施 的前提是必须满足以下策略约束条件： ( 1 ) c a 只能对其直接下属的c a 或用户实体办法证书； ( 2 ) 只有根c a 才能够给其它p 层次结构信任域的根c a 颁发交叉证书； ( 3 ) 同一个p 日层次结构信任域中的c a 不允许相互交叉认证，无论是垂直 的还是水平方向的； ( 4 ) 根c a 间的信任关系不能传递，而是必须进行直接交叉认证。 该方法的证书路径构建算法如下： ( 1 ) 从证书库( r e p o s i t o 啪中获取被验证用户的证书； ( 2 ) 检查该证书颁发者的可区分名d n ； ( 3 ) 获取该颁发者的证书； ( 4 ) 如果该c a 证书是自签证书并且不属于本地信任链，则 如果找到了本地根c a 给其颁发的交叉证书，则将其加入到信任路径中， 路经构建成功完成并返回； 如果没有发现这样的交叉证书，则路径构建是失败并返回相应消息； ( 5 ) 否则，该c a 的证书加入到路径中； ( 6 ) 返回到步骤( 2 ) ，直到： 检索到一张属于本地信任链的交叉证书，构建成功完成并返回；或 不可能找到这样一张证书，则路径构建是失败并返回相应消息。 该证书路径构建算法是基于完全网状信任模型，考虑的信任关系过于简单， 实际应用中的信任模型大都为部分网状模型以及桥c a 信任模型。在证书路径处 理中交叉证书的数目随着信任域的增加以平方的速度增加，同时在证书路径处 理中客户端与目录服务器之间的网络流量非常高，对网络的带宽及可用性要求 比较高。 6 第二章证书路径处理研究现状 2 2 2a t v 0 m a rb a ：t a r f i 在文献嘲中提出了a t v ( a m s 胁v e r s i n g 锄dv a l i d a t i o n ) 证书路径 构建算法。a t v 证书路径构建是模仿蚂蚁觅食的方法。侦察员被派出觅食，当 它找到食物就返回蚁群，把消息通知给抢夺者。该方法如下： ( 1 ) 侦察员从证书库中取回目标证书。 但) 检查目标证书的状态，如果证书无效，证书路径构建结束，返回认证方 “目标证书不可信”的消息。 ( 3 ) 从证书中抽取d n ，确定证书的颁发者。 “) 侦察员移向证书的颁发者。 ( 5 ) 抢夺者移向先前侦察员的位置。 ( 6 ) 抢夺者查看该位置还有那些连接。 如果有连接，抢夺者移向下一位置。 如果没有连接，抢夺者留在原地。 ( 7 ) 侦察员和抢夺者通信检测合适的路径。( 合适的路径在证书路径构建前被 定义，例如限制策略集等) 。 ( 8 ) 如果侦察员的当前位置是合适的位置，则 侦察员检查证书是否自签。 如果是自签则返回认证方消息“目标证书正确”。 该证书加进路径中。 算法结束。 ( 9 1 如果侦察员的当前位置不是合适的位置，侦察员移到抢夺者占有的合适 的位置。 n o ) 路径加上新证书，算法转到3 。 该算法只考虑了在多条路径中搜索一条路径的情况，但没有考虑多路径处 理的问题。另外该算法没有在证书路径的构建过程中进行证书路径验证从而优 化证书路径处理。 2 2 3 证书路径表 该算法1 6 】把p 系统中的每一个证书当作图的一个顶点，按照图的宽度优先 搜索算法思想搜索用户证书，构造证书路径。 7 第二章证书路径处理研究现状 假设实体a 试图验证实体b ( 即目标证书) 公钥的有效性，就要先构造从a 到b 的证书路径。先设计一个证书路径表用以存放证书。 ( 1 ) 以a 为起始节点，作为父节点存入证书路径表的第一行中，按图的宽度 优先搜索算法搜索所有与a 相连接的除父节点之外的节点，并把这些节点作为 子节点存入证书路径表的下一行中，如果其中的某个节点为b ，则路径构造完 成，算法结束；否则，进入( 1 ) 。 ( 2 ) 从证书路径表的当前行中删除为终端实体的节点和没有子节点的节点 ( 叶子) ；从上一行中删除那些被删除了所有子节点的节点，并依次向上删除；对 于当前行中留下来的节点( 既非终端实体节点又非叶子节点) ，分别以这些节点为 起始点搜索所有与之相连接的除父节点之外的节点，并作为子节点依次存入证 书路径表中当前行的下一行，直到其中的某个节点为b ，路径构造完成，算法结 束；如果搜索完所有节点没有发现为的节点，则输出路径构建失败信息，表示 不存在从实体到实体之间的证书路径。否则，返回( 1 ) 。 对于所有留在表中的节点，删除不相邻的相同节点之间的节点，合并相邻 的相同节点，把所剩下的节点按表的行顺序排列，即为证书路径。 该算法没有充分利用证书扩展域中的策略及相关约束属性来优化证书路径 构建过程，而且不能解决多路径处理的问题l l ”。 8 第三章证书验证相关技术 第三章证书验证相关技术 第一节p i ( i 信任模型 下面对常见的基于x 5 0 9v 3 证书的信任模型进行简要的介绍和分析，这些 信任模型包括【1 2 】： ( 1 ) 严格层次信任模型。 ( 2 ) 网状信任模型。 ( 3 ) 桥c a 信任模型。 ( 4 ) 混合信任模型。 3 1 1 严格层次型信任模型 严格层次信任模型是一个以主从c a 关系建立的树型结构。树根代表p k i 域内的根c a ，是信任的起始点。系统中所有的实体( 终端实体和所有的子c a ) 都以根c a 的公钥作为他们的信任锚。根c a 通常不直接为终端实体颁发证书， 而只为子c a 颁发证书【1 3 】。在根c a 的下面是零层或多层子c a ，子c a 是所在 实体集合的根。非c a 的p 实体相对应的树叶通常被称作终端实体。严格层 次信任模型如图3 1 所示： 图3 1 严格层次信任模型 9 第三章证书验证相关技术 基于严格层次信任模型的p 体系由于其简单的结构和单向的信任关系， 具有以下优点【1 4 】： ( 1 ) 增加新的认证域容易。该信任域可以直接加到根c a 下面，也可以加到 某个子c a 下。 ( 2 ) 证书路径由于其单向性，容易扩展，可生成从终端用户证书到信任锚的 简单明确的信任路径。在这种模型中，认证方( r e l y i n gp a 啊) 只需验证从根c a 到 目标证书的这条路径就可以了，不需要建立从根结点到认证方的路径。 ( 3 ) 由于它是建立在一个比较严格的层次机制之上，建立的信任关系可信度 高。 严格层次信任模型由于整个p 融体系信任单个的c a ，也具有其局限性： ( 1 ) 由于所有的信任都集中在根c a ，一旦该c a 出现故障，将带来灾难性的 后果。 ( 2 ) 此模型中要求参与的各方都信任根c a 。一旦应用范围扩大，就很难让各 方达成一致来信任一个根c a ，因而，此模型只适用于业务相对独立的、层次状 的机构，从而导致应用范围受到限制。 3 1 2 网状信任模型 网状信任模型中没有一个所有用户都唯一信任的根c a ，每个实体都将自己 的发证c a 作为信任的起点，各c a 之间通过颁发交叉证书进行交叉认证，从 而扩展信任关系，最终形成一种网状结构。在该模型中，c a 之间没有上下属关 系，而是通过交叉证书联系在一起。如果没有命名空间的限制，那么任何c a 都 可对其他的c a 发证，所以这种结构非常适合表示动态变化的组织结构，但是在 构建证书路径时，很难在网中确定个c a 是否是另一个c a 的适当的证书颁发 者。很长的跨越多结点的证书路径被认为是不可信的。显然在这个模型中证书 路径的构建比严格层次信任模型复杂得多，需要对不同c a 发布的证书进行反复 的比较，要建立一条从目标证书开始到认证方所在域的完整的信任路径，每一 个认证方还需要建立自己到信任锚的路径。其中的回路一定要检测出来并丢弃 掉，对可能存在的多路径要用验证项进行过滤。 l o 第三章证书验证相关技术 图3 2 网状信任模型 网状信任模型的优点： ( 1 ) 具有更好的灵活性。因为存在多个信任锚，单个c a 安全性的削弱不会 影响到整个p 。 ( 2 ) 从安全性较弱的c a 中恢复相对容易，并且它只影响数量较少的用户。 ( 3 ) 增加新的认证域更为容易。只需新的根c a 在网中至少向一个c a 发放交 叉证书，用户不需要改变信任锚。 ( 4 ) 由于信任关系可以传递，从而减少颁发的证书个数，使证书管理更加简 单容易，能够很好地应用到企业之间。 网状信任模型的缺点： 信任路径的发现比较困难。从终端用户证书到信任锚建立证书的路径是不 确定的，因为存在多种选择，使得信任路径的发现比较困难。在网状信任模型 的p 中可能会生成证书回路。 3 1 3 混合信任模型 混合信任模型是将层次模型和网状模型混合而成的，即各独立p 信任域 的根c a 之间通过相互颁发交叉证书，可以进行交叉认证。该模型中的每个参 与者均可选择信任哪些其它域的c a 。该模型每个p 域均可制定与管理本域的 证书策略与约束。域间的交叉认证比较复杂，交叉证书的数量可能会比较大， 但是可以通过一些优化措施来简化这一过程。 第三章证书验证相关技术 3 1 4 桥c a 信任模型 图3 3 混合信任模型 桥c a 代表一个中心级的交叉认证机构，它可以连接不同的p 粗体系，这 种结构已被美国联邦p ( f b c a ) 所采用。不同于网状模型中的c a ，桥c a 与不 同的信任域建立对等的信任关系，允许用户保持原有的信任锚，使得来自不同信 任域的用户通过指定信任级别的桥c a 相互作用。正如我们在网络中所使用的 唧一样，任何结构类型的p 都可以通过桥c a 连接在一起，实现彼此之 间的信任，每一个单独的信任域都可以通过桥c a 扩展到整个p 体系中。 图3 4 桥c a 信任模型 1 2 第三章证书验证相关技术 桥c a 模型的优点有： ( 1 ) 证书路径比较容易构建。桥c a 在单一的、已知的核心上连接多个p 。 用户知道他们到桥c a 的路径，从而只需要确定从桥c a 到用户证书的证书路 径。 ( 2 ) 证书路径较短。桥c a 架构的p k i 比起具有相同数量c a 的随机网状结构 p k i ，具有更短的可信任路径。 该模型的缺点主要有： ( 1 ) 桥c a 最大的局限就是选择一个为各p 信任域用户均信任的桥c a 比 较困难，因此较难在商业上广泛应用。美国联邦桥c a 虽然是成功的，但那毕竟 是国家意志的体现。 ( 2 ) 证书路径的有效发现和确认仍然不很理想。因为基于桥c a 模型的p 磁 系统可能会包括部分的网状模型，这就要求所有的用户能开发和确认复杂的证 书路径。 3 1 5 现有信任模型总结 在以上的多种信任模型中，同一域内采用层次结构是最好的，而在域间的 认证，中等规模的是网状模式比较实用，非常大的模式下桥式为最佳的选择， 但是如果采用桥式的话，需要一个与所有域都交叉认证的中心一桥c a 。这个中 心的选取要得到大家的认可，要有一个大家都信任的第三方来承担，在技术上 讲，这也许并不是一件难事，但在实施上，使得已有的域来服从桥c a 的调遣可 能会是很困难的( 美国的联邦p 是桥c a 的应用，但它是国家行为的体现) ，更 不要提国家间的认证服务。也就是说桥c a 难以满足各个信任域间的对等性要 求。桥c a 模型并且要对现存的每个域的目录服务器进行改造，加入桥c a 所需 的b o a r d e rd s a ( b o a r d e rd i r e c t o r ys e i c ea g e m ) ，花费将是很大的l ”】。 第二节x 5 0 9 证书 3 2 1x 。5 0 9 证书格式 文献网定义了证书的格式，其中，证书基本域包括以下具体的证书项： 第三章证书验证相关技术 版本号f v e r s i o nn 衄b e r ) ：证明在特定版本的证书中定义的格式和允许出现 的内容，现在的值可以为o 、1 、2 、3 ，也为将来的版本进行了预定义； 系列号( s e r i a ln 眦b e r ) ：序列号指定了由特定c a 分配给证书的唯一数字型 标识符。证书被吊销时，实际上就是将此证书的序列号放入由c a 签发的c r l 中； 签名( s i 驴a t t 聃) ：标识用于证书签名的散列函数类型和签名算法类型，此标 识符须向国际知名标准化组织( 如i s o ) 注册； 颁发者( i s s u e r ) ：用于标识签发证书的认证机构的x 5 0 0d n 名字，包括国 家、省市、地区、组织机构、单位部门和通用名； 有效期( v 砒i d i t y ) ：定义证书有效的开始日期和终止日期； 主体( s u b j e c t ) ：指定证书持有者的x 5 0 0 d n 名字，包括国家、省市、地区、 组织机构、单位部门和通用名，还可包含锄a i l 地址等个人信息； 主体公钥信息( s u b j e c t p u b l i c k e y i n f o ) ：包含证书验证的主体的公钥，同时还 标识了可以使用的公钥算法； 颁发者唯一标识符( i s s u 训n i q l l e i d 锄f i e r ) ：此域用在当同一个x 5 0 0 名字 用于多个认证机构时，用比特字符串来唯一标识签发者的x 5 0 0 名字。该域在 v 2 、v 3 版中可用，可选； 主体唯一标识符( s u b j e c t u 证q u e i d e n t i f i 盯) ：此域用在当同一个x 5 0 0 名字用 于多个证书持有者时，用比特字符串来唯一标识证书持有者的x 5 0 0 名字。该 域在v 2 、v 3 版中可用，可选。 证书扩展使得在证书中可以加入其它附加信息。x 5 0 9 定义了标准扩展，不 同组织可以根据需要自行定义证书的私有扩展。每个扩展域包含三个字段，分 别是扩展类型、扩展值和关键标志( c r i t i c a lf l a 曲。其中，当关键标志被置为真o h e ) 时，表明该扩展必须被处理，否则可以忽略。 下面简单介绍与论文相关的几个标准证书扩展： 密钥扩展：包含c a 和用户密钥的相关信息，同时包含密钥如何使用的限 制，具体包括： ( 1 ) 认证机构密钥标识符( a l 曲o d t yk e yi d e m i f i e r ，a 斛) ：用于指定认证机构 所拥有的多个公钥中的哪一个将用于证书签名的验证。这就使得认证机构使用 多个密钥，并允许指定验证用户证书时应该使用哪一个公钥。 ( 2 ) 主体密钥标识符( s l l b j e c tk e yi d 枷f i e f ，s k i ) ：用法同上。 1 4 第三章证书验证相关技术 ( 3 ) 密钥用途张e y u s 赡e ) ：定义了公钥的用途，包含下列设置选项： k e ，c e f t s i 弘：用于验证证书的签名，只用于c a 证书中# c r l s i 鼬：用于验证证书吊销列表的c a 签名； n o n - r e p u d i a t i o n ：用于提供不可否认服务； d i g i t a l s i 朗a n l r e ：用于数字签名； k e y e n c i p h e r m 朗t ：用于对其他密钥或安全相关内容进行加密； d a 协e n c i p h c 肋e n t ：用于对用户数据进行加密； k e y a g r e e m e n t ：用于商定或者建立进一步操作将要用到的密钥。 ( 4 ) 扩展密钥应用( e x t 眦d e dl 沁yu s a g e ) ；用于为密钥设定额外的应用信息， 它定义为密钥应用标识符列表。任何组织都可以定义特定的密钥应用信息和相 应标识符，如微软添加了包换如下说明的对象标识符：智能卡登录应用、客户 认证应用、安全邮件应用。 策略扩展：策略扩展允许对证书的应用策略进行说明和限制，包括以下两 项扩展： ( 1 ) 证书策略：x 5 0 9 中定义证书策略如下：“一组表明了证书对于具有共同 安全需求的特定群体和( 或) 一类应用程序适用性的指定规则”。该扩展包含了一 个标识c a 颁发证书时使用的证书策略的o i d 列表，放在p 0 1 i c y i d e n t i 五e f 字 段中，可用于证书路径的验证。 ( 2 ) 策略映射：只在c a 证书中有效，用于不同策略域中策略机构定义的证 书策略( 由策略标识符标识) 之间建立一致性，该扩展包含一个证书策略标识符对 的列表。 主体和颁发者信息扩展：这些扩展支持使用证书主体或证书颁发者的别名。 它包括如下具体扩展： ( 1 ) 主体别名( s u b j e c ta l t 锄t i v en 锄e ) ：用于标识证书主体的不同名称形式 的列表。如果该扩展标记为关键扩展，那么主体字段可以包含空名称并在主体 别名列表中至少有一个必须为证书用户所理解和处理的名称。任何不能识别的 名称可以被忽略。如果主体名字段为空，则该扩展必须标记为关键扩展。 ( 2 ) 颁发者别名( i s s u e fa l t e m a t i v cn 锄e ) ：用法同主体别名。 ( 3 ) 主体目录属性( s u 巧e c t d i r t o r y a 缸b u t e s ) ：是非关键扩展，包含用于证书 主体的目录属性。 证书路径约束扩展：该扩展用于证书路径处理，包含以下扩展项： 第三章证书验证相关技术 ( 1 ) 基本约束( b a s i cc o n 咖i d 呦：p k 规定该扩展必须为关键扩展，包含 c a 和p a t l l l e n c o n g 瞳a i m s 字段。如果c a 字段为t r u e ，则该实体有权颁发证 书，且p 甜也e 1 1 c o n s 仃a i n t s 字段置为证书路径中允许在该证书之后的可以出现的 最大c a 证书数。 ( 2 ) 名称约束( n 锄ec o 璐俩n 招) ：该扩展定义了后继证书主体名和主体别名 必须遵循的命名空间。 ( 3 ) 策略约束( p o l i c yc o n s 缸a i n t s ) ：该扩展允许颁发者使用 r c q u n e x p l i c 御o l i c y 字段表明证书路径中的后继证书必须包含可接受的策略标 识符，使用h l h i b i t p o l i c y m a p p i i l g 字段允许颁发者禁止使用证书路径中后继证书 的不同策略之间的映射。当策略约束是个空序列时，c a 不能颁发证书， r c q u i r e e x p l i c i t p o l i c y 或1 l l i b 御o l i c y m a p p i n g 中的一个必须被指定。 ( 4 ) 禁止任何策略约束( h l l l i b “a n yp o l i c yc o n s 仃a i n t s ) ：该扩展允许排除 a n y p o l i c y 策略标识符的使用。 3 2 2 证书存储 证书和证书撤销信息一般是被发布到资料库里。这里的资料库是个一般 意义上的概念，用来指任何逻辑上集中的数据库，它可以在需要的时候存储或 分发信息。 目前，在企业环境中，资料库一般是基于轻量级目录访问协议q d a p ) 的目 录服务器。但是资料库也能基于以下方式建立： ( 1 ) 在线证书服务协议( 0 c s p ) 1 6 i 响应，其只能支持证书撤销状态信息查询。 ( 2 ) 域名服务器n s ) ，支持按照文献f 】刀的证书和证书撤销信息。 ( 3 ) w e b 服务器，包含依照文献l l7 j 的证书和证书撤销信息，可以通过超文 本传输协议( 哪) 访问。 ( 4 ) 基于文件传输协议( f t p ) 的服务器，包含依照文献【9 】的证书和证书 撤销信息。由此，我们看出，客户端可以通过多种访问协议从资料库里查询信 息。资料库的位置可以用不同方式和客户端取得联系：客户端系统初始化时自 动读入一个配置文件，配置文件指定l d a p 的网络地址( i p ) 或d n s 名字；在撤 销时，客户端可以从证书的证书撤销信息中得到直接得到资料库的信息。 x 5 0 9 在目录服务器中定义了几种不同的证书属性，用以存储不同的证书， 1 6 第三章证书验证相关技术 常用的证书属性有以下几种： ( 1 ) 用户证书属性，在这类属性中存储用户证书。 ( 2 ) c a 证书属性，在这类属性中存储自我颁发的证书和与该c a 相同域的c a 颁发给该c a 的证书。 ( 3 ) 交叉证书属性( c f o s e n i f j c a t e 喇r ) ，此属性有两个元素组成： i s s u e d t o t h i s c a 和i s s u e d b y l h i s c a 。在x 5 0 9 中定义，i s s u e d t 0 1 h s c a 保存除了 自颁发证书以外所有的给此c a 签发的证书；i s s u e d b y l l l i s c a 包含了由此c a 颁 发的证书的子集。如果该c a 给其他c a 颁发了证书，并且该c a 不是证书主体 c a 的严格层次信任模型的上级，那么该c a 将此证书存储在i s 吼l e d b y l l l i s c a 中，这个元素项是可选的。 第三节代理路径发现与验证 3 3 1 传统的p l ( i 客户端 客户端 证书路径邑 证书 2 叫竺j 有效香 路径r _ ， p 日客户端 证书处理 司证书路径 l d a p 应用 - - - - - - - - h 是否 证书i 过期否l 让巾恹忿态 c r l s 。 验证 是，否l 一， 3 5 传统的p l 【i 客户端 如图3 5 【l8 1 所示在传统的p 系统中，由客户端执行证书路径构建和证书路 径验证的工作，这就使得p 斑系统应用的效率和对用户的透明性比较低。此外， 由于客户端的证书状态检测工作依赖于c r l ，会带来一些问题：第一是c r l 的 1 7 第三章证书验证相关技术 规模性。在大规模的网络环境中，c r l 的大小正比于该c a 域的终端实体数目、 证书的生命期和证书撤销的概率。而撤销信息必须在已颁证书的整个生命期里 存在，这就可能导致在某些c a 域内c r l 的发布变得非常庞大。第二是c r l 所 含撤销信息的及时性。因为c r l 是定期发布的，而撤销请求的到达是随机的， 从接收撤销请求到下一个c r l 发布之间的时延所带来的状态不一致性会严重影 响由p 融框架提供的x 5 0 9 证书服务的质量。为解决这两个问题，一方面，可 以对c r l 的分发机制进行改进；另一方面，可以采用在0 c s p 来对证书的有效性 进行验证【。 3 3 2o c s p 服务器 i e t f 工作组为了简化客户端的证书状态检测过程，开发了在线证书状态协 议o c s p 。借助该协议，p 客户端通过验证认证机构v a ( v a l i d a t i a u m o r i t y ) 来 完成证书状态的检查。c a 委托o c s p 服务器来提供对证书状态的签名信息。 o c s p 是一种请求响应协议。使用o c s p 协议，用户向在线的证书状态响应服务 器发送证书状态检验的请求，服务器端则会把证书状态信息签名后返