（计算机应用技术专业论文）pki的实现和ca信任模型的研究.pdf

湖北工业大学硕士学位论文 摘要 随着计算机网络技术的高速发展，使得人们能以方便、迅捷的方式进行交流， 然而，由于计算机网络的开放性设计，在得益于网络技术带来种种便利的同时， 人们不得不面对日益严重的信息安全问题。p k i ( p u b l i ck e yi n f r a s t r u c t u r e 公 钥基础设施) 是目前网络安全建设的基础与核心，是电子商务安全实施的基本保 障，它提供了一个密钥和证书的管理平台，能够为所有网络应用透明地提供加密 和数字签名等密码服务及所必需的密钥和证书管理，从而有效地保证了重要信息 的机密性、完整性和用户身份的合法性。 因此基于p k i 规范的c a 安全认证系统的开发和使用，对于解决在i n t e r n e t 网上进行数据传输时遇到的传输安全问题、数据的完整性问题、身份认证问题、 交易的不可抵赖问题等具有重要的意义。 在理解p k i 概念、标准、及相关内容的基础上，本文研究和实现了一个简单 的基于j 2 e e 柜架的p k i 系统，包括证书机构c a 、客户实体端e e 。论文主要应用 ”v a 的安全体系结构，实现了证书申请、发布，撤消、数字信封和验证数字签名 功能。同时还针对c a 信任模型提出了一种改进方案。在p k i 的c a 信任模型中， 都涉及到c a 的信任及交叉认证的过程。随着整个信息安全的不断发展，交叉信任 变得越来越重要，传统的信任模型都有各自的局限性，尤其在交叉认证方面很难 实现。本文在充分研究发国内外目前c a 的信任模型，结合我国目前的一些具体情 况，提出了一种将层次结构模型和桥模型想结合的一种新的t b c a 信任模型。 t b c a 信任模型充分地利用了树型和桥的优点，舍弃了各自的缺点，在我们目前的 c a 建设中，具有一定理论和实践参考价值。文章最后对开发基于t b c a 信任模型 的p k i 系统的发展前景作了展望。 关键词：公钥基础设施，认证中心，交叉认证，t b c a 湖北工业大学硕士学位论文 a b s t r a c t w i t ht h es w i f t d e v e l o p i n g o fc o m p u t e rn e t w o r kt e c h n o l o g y , p e o p l ec a n c o m m u n i c a t ei nac o n v e n i e n ta n dr a p i dw a v h o w e v e r , b e c a u s eo ft h eo p e nd e s i g no f c o m p u t e rn e t w o r k ，w h e np e o p l ep r o f i tf r o mt h ea d v a n t a g e sb r o u g h tb yt h en e t w o r k t e c h n o l o g y , t h e yh a v et oc o n f r o n tt h ei n c r e a s i n g l ys e r i o u sp r o b l e m so ni n f o r m a t i o n s e c u r i t y t h ep k i ( p u b l i ck e yi n f r a s t r u c t u r e 、i sc u r r e n t l yt h ef o u n d a t i o na n dc o r eo ft h e n e t w o r ks e c u r i t yc o n s t r u c t i o n s ，i st h eb a s i cg u a r a n t e eo ft h es a f ee l e c t r o n i cc o m m e r c e i m p l e m e n t p k ip r o v i d e sam a n a g e m e n tp l a t f o r mo fk e y sa n dc e r t i f i c a t e si no r d e rt o t r a n s p a r e n t l yp r o v i d et h es e r v i c e so fe n c r y p t i o na n dd i g i t a ls i g n a t u r ef o ra l ln e t w o r k a p p l i c a t i o n s ，w h i c hc a ne f f e t e l yg u a r a n t e et h es e c r e t ，i n t e g r i t yo fs o m ev e r yi m p o r t a n t i n f o r m a t i o n a n dl e g i t i m a c yo fu s e r s lj d e n t i t y a sw es a i da b o v e ，i ti sc o n s t r u c t i v ea n di m p o r t a n tf o ru st oi m p l e m e n ta n du s e c e r t i f i c a t i o na u t h o r i t yb a s e do np k is p e c i f i c a t i o nt os o l v et h es e c u r i t yp r o b l e m s ，s u c ha s s e c u r i t yo fd a t at r a n s f e lt h ei n t e g r a l i t yo fa u t h e n t i c a t i o no fi d e n t i t y , t h en o n r e p u d i a t i o n o f t r a d ea n ds oo n a f t e ru n d e r s t a n d i n gt h ec o n c e p ta n ds t a n d a r do fp k ia n do t h e rc o n t e n t sa b o u ti t ， w ed e v e l o pa n dc o m p l e t ea s i m p l ep k is y s t e mb a s e do nj 2 e ef r a m e ，i n c l u d i n g c e r t i f i c a t ea u t h o r i t y ( c a ) ，c l i e n te n t i t y e n d ( e e ) t h r o u g ha p p l y i n gt h es e c u r i t y s y s t e ms t r u c t u r eo fj v a t h i sp a p e rc a r r i e so u tt h ec e r t i f i c a r ea p p l i c a t i o n i s s u a n c ea n d c a n c e l ，t h ed i g i t a le n v e l o p ea n dt h ef u n c t i o no ft e s t i n gd i g i t a ls i g n a t u r e s t h ec at r u s t m o d e li np k iu s u a l l yc o n c e r n st h ep r o g r e s so fc a t r u s t i n ga n dc r o s sa u t h e n t i c a t i n g w i t ht h ed e v e l o p m e n to fi n f o r m a t i o ns e c u r i t y , c r o s sc o n f i d e n c ei sb e c o m i n gm o r ea n d m o r ei m p o r t a n g t r a d i t i o n a lc o n f i d e n c em o d e l sl lh a v ei t s r e s p e c t i v el i m t a t i o n s e s p e c i a l l yi nc a r r y i n go u tt h ec r o s sa u t h e n t i c a t i o n a f t e rf u l l yr e s e a r c h i n gt h ec a t r u s t s m o d e l si nd o m e s t i ca n da b r o a d w ep r o p o s ea ni m p r o v e dc ai n t r u s tm o d u l ea n dt a k ea l o o ko nt h ep r o s p e c to fi t sd e v e l o p m e n t k e y w o r d s ：p u b l i ck e yi n f r a s t r u c t u r e ，c e r t i f i c a t i o na u t h o r i t y c r o s sa u t h e n t i c a t i n g ，t r e eb r i d g e - c e r t i f i c a t i o na u t h o r i t y i i 佩；l 壬工案火秀 学位论文原创性声明和使用授权说明 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师指导下，独立进行研究工作所取 得的研究成果。除文中已经标明引用的内容外，本论文不包含任何其他个人或集体已经 发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体，均己在文中以明确方 式标明。本声明的法律结果由本人承担。 学位论文作者签名：勿饭式日期：1 “年6 月厅日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，剐：学校有权保留 并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。本人授 权湖北工业大学可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以采 用影印、缩印或扫描等复制手段保存和汇编本学位论文。 学位论文作者签名办似武 日期：p 辑( 月f 如 指导教师签名 日期：b 6 年厶月( 孚日 湖北工业大学硕士学位论文 第1 章绪论 随着各种信息技术的发展，如计算机、网络和通讯技术，使得信息技术的应 用正日益普及和广泛，应用层次正在深入，应用领域从传统的、小型业务系统逐 渐向大型、关键业务系统扩展，典型的如金融业务系统、企业商务系统等。伴随 网络的普及，安全性日益成为影响网络应用的重要问题。开放、自由、国际化的 i n t e r n e t 的发展改变了政府、企业的传统工作、生产和经营的方式，使得他们能 够利用i n t e r n e t 提高工作效率、优化资源配置，以便更具竞争力。但同时又要面 对i n t e r n e t 的开放性所带来的数据安全问题的新挑战和新危险，如何保护信息资 源的安全，己成为政府、企业等的信息化建设所要考虑的重要事情之一”1 。 1 1 信息安全的基本概念 信息安全包含的内容非常广泛，包括技术上的、物理上的和人员上的安全。 通常来说信息安全要达到的几个主要目标： 机密性：确保信息不会泄漏给未经授权者： 完整性：保证数据的一致性，尤其是防止未经授权者对数据新增、修改或破 坏： 可获取性：确保合法用户可以及时地获取资源，包括信息资源、计算资源和 通信资源： 授权使用：保证资源不会被未经授权者使用或以未经授权的方式使用： 不可否认性：防止一方在事件发生后进行否认： 可审查性：对出现的网络安全问题提供调查的依据和手段。 要实现这些目标，从技术原理上来说主要是依靠通信安全和计算机系统安全。 通信安全是指对信息从一个系统传送到另一个系统时的保护。计算机系统安全是 指计算机系统内部信息的保护，包括对操作系统软件和其他一些系统或应用软件 的安全保护。1 。 1 2 安全威胁 在网络环境当中，各种信息系统都存在着许多潜在的威胁，主要可分为：系统 入侵、通信监听、口令盗取、拒绝服务攻击、否认等几个方面 湖北工业大学硕士学位论文 系统入侵：通过系统漏洞，未经授权的人员访问计算机系统并篡改系统或应 用文件、窃取机密信息或非法使用系统资源。它主要有以下几种形式：假冒、身份 攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等： 通信监听：通过监听通信信道上的通信来获取机密信息或篡改通信信道中 的数据信息： 口令盗取： 通过木马程序记录键盘敲击信息或进行内存“$ ”号的解读、网 络s n i f f e ：监听、字典和穷举法的暴力破解等手段，来非法获取用户的口令： 拒绝服务攻击：恶意的利用合理的服务请求来占用过多的服务资源，致使服 务超载，无法响应其他的请求： 否认：一方在进行完某件事情后不承认曾经发生过该事情。 1 3 安全措施 目前，针对各种安全问题，主要有下面一些具体的技术： ( 1 ) 密码学技术 密码学技术不只局限于对数据进行简单的加密处理，而是包括加密、消息摘 要、数字签名及密钥管理在内的所有涉及到密码学知识的技术。信息安全服务的 实现离不开加密技术的支持，应用加密技术不仅可以提供信息的保密性和数据完 整性，而且能够保证通信双方身份的真实性”。5 1 。 ( 2 ) 访问控制 访问控制是根据网络中主体和客体之间的访问授权关系，对访问过程做出限 制，可分为自主访问控制和强制访问控制。自主访问控制主要基于主体及其身份 来控制主体的活动，能够实施用户权限管理、访问属性( 读、写、执行) 管理等。 强制访问控制则强调对每主、客体进行密级划分，并采用敏感标识来标识主、 客体的密级。 ( 3 ) 身份认证 身份认证主要是通过标识和鉴别用户的身份，防l = 攻击者假冒合法用户获取 访问权限。对于般的计算机网络而言，主要考虑主机和节点的身份认证，至于 用，o 的身份认证可以由应用系统来实现。 ( 4 ) 安全审计 安全审计主要通过对网络上发生的各种访问情况记录日志，并对日志进行统 计分析，从而对资源的使用情况进行事后分析。审计也是发现和追踪各种事件( 如 安全问题) 的常用措施。 2 湖北工业大学硕士学位论文 ( 5 ) 安全监控 安全监控技术主要是对入侵行为的及时发现和反应，利用入侵者留下的痕迹 ( 试图登录的失败记录、异常网络流量) 来有效地发现来自外部或内部的非法入侵， 同时能够对入侵做出及时的响应，包括断开非法连接、报警等措施。安全监控技 术以探测与控制为主，起主动防御的作用。 ( 6 ) 安全漏洞检测 安全漏洞检测技术是指利用己知的攻击手段对系统进行主动的弱点扫描，以 求及时发现系统漏洞，同时给出漏洞报告，指导系统管理员采用系统软件升级或 关闭相关服务等手段避免受到这些攻击。 1 4 本论文的组织 本文首先在第一章简述了信息安全的基本概念，信息安全所面临的主要安全 威胁以及目前应付这些安全问题的主要安全措施。 第二章介绍了密码学的基础知识，重点讨论了对称加密算法和非对称加密算 法。 第三章则介绍并分析了公钥基础设施的一些内容，包括公钥基础设施的理论 基础、基本组成和一些相关的标准。 第四章对我们的c a 系统实现进行了详细的分析，包括系统的结构设计、实现 平台选择、以及实现过程。 第血章则是根据目前我们的p k i 运行情况，提出了t bc a 的信任模型在我国 运行的可能性。 湖北工业大学硕士学位论文 第2 章密码学算法分析与应用 密码学( c r y p t o l o g y ) 是研究密码系统或通信安全的一门学科，是以研究秘密 通信为目的，即研究对传输信息采取何种秘密的变换以防止第三者对信息的窃取。 密码学通常有以下的作用也可称其特征”1 ： ( 1 ) 机密性( p r i v a c y ) ，即保证通过加密( e n c r y p t i o n ) 后得到的密文 ( c i p h e r t e x t ) 在无密钥( k e y ) 解密( d e c r y p t i o n ) 时的不可读性。 ( 2 ) 鉴别( a u t h e n t i c a t i o n ) ，消息( m e s s a g e ) 的接收者应该能够确认消息的来 源：入侵者不可能伪装成他人。 ( 3 ) 完整性( i n t e g r i t y ) ，消息的接收者应该能够验证在传送过程中消息没 有被修改：入侵者不可能用假消息代替合法的原消息。 ( 4 ) 抗抵赖( n o nr e p u d i a t i o n ) ，发送者事后不可能虚假地否认他发送的消息。 现代密码学用密钥来解决关于受限制算法( r e s t r i c t e da l g o r i t h m ) 问题。( 如 果算法的保密性是基于保持算法的秘密，这种算法称为受限制算法在现代密码学 中，密钥通常用k 来表示。k 可以是很多数值里的任意值。消息( 明文) 采用m ( 或 p ) 表示，密文采用c 表示，采用某一算法所进行的密码运算用e 表示。则密码学 应用的最基本表现形式为“1 ： 加密：c - e 。( m ) 解密：m = e 。( c ) 2 1 常规加密技术 常规加密又称为对称加密或单钥加密，它是在公钥加密研制以前使用的唯一 的加密类型。用加密数据使用的密钥可以计算出用于解密数据的密钥，反之亦然。 绝大多数的对称加密算法加密密钥和解密密钥都是相同的。对称加密算法要求通 讯双方在建立安全信道之前，约定好所使用的密钥。对于好的对称加密算法，其 安全性完全决定于密钥的安全，算法本身是可以公开的，因此一旦密钥泄漏就等 于泄漏了被加密的信息。 对称算法是传统常用的算法。它最广泛使用的是d e s 算法”。 d e s ( d a t ae n c r y p t i o ns t a n d a r d ) 算法是美国政府机关为了保护信息处理中的 计算机数据而使用的一种加密方式，是一种常规密码体制的密码算法，目前已广 泛用于电子商务系统中。6 4 位d e s 的算法详细情况已在美国联邦信息处理标准 湖北工业大学硕士学位论文 ( f i p sp u b 4 6 ) 上发表。该算法输入的是6 4 比特的明文，在6 4 比特密钥的控制 下产生6 4 比特的密文；反之输入6 4 比特的密文，输出6 4 比特的明文。6 4 比特的 密钥中含有8 个比特的奇偶校验位，所以实际有效密钥长度为5 6 比特。随着研究 的发展，d e s 算法在基本不改变加密强度的条件下，发展了许多变形b e s 。 t r i p l e d e s 是d e s 算法扩展其密钥长度的一种方法，可使加密密钥长度扩展到1 2 8 比特( 1 1 2 比特有效) 或1 9 2 比特( 1 6 8 比特有效) 。其基本原理是将1 2 8 比特的 密钥分为6 4 比特的两组，对明文多次进行普通的d e s 加解密操作，从而增强加密 强度。具体实现方式不在此详细描述。 对称算法最主要的问题是：由于加解密双方都要使用相同的密钥，因此在发 送、接收数据之前，必须完成密钥的分发。因而，密钥的分发便成了该加密体系 中的最薄弱因而风险最大的环节。各种基本的手段均很难保障安全地完成此项工 作。从而，使密钥更新的周期加长，给他人破译密钥提供了机会。实际上这与传 统的保密方法差别不大。在历史战争中，破获他国情报的纪录不外是两种方式： 一种是在敌方更换“密码本”的过程中截获对方密码本：另一种是敌人密钥变动 周期太长，被长期跟踪，找出规律从而被破获。在对称算法中，尽管由于密钥强 度增强，跟踪找出规律破获密钥的机会大大减小了，但密钥分发的困难问题几乎 无法解决。如，设有n 方参与通信，若n 方都采用同一个对称密钥，一旦密钥被 破解，整个体系就会崩溃；若采用不同的对称密钥则需n ( n 1 ) 个密钥，密钥数与 参与通信人数的平方数成正比。这便使大系统密钥的管理几乎成为不可能。1 。 图2 1 对称n 解密示意图 图中：s k 为秘密密钥，s k 密钥的传递通过秘密的物理通道。 2 2 非对称加密技术 所谓非对称加密算法是指用于加密的密钥与用于解密的密钥是不同的，而且 从加密的密钥无法推导出解密的密钥。这类算法之所以被称为公钥算法是因为用 于加密的密钥是可以广泛公开的，任何人都可以得到加密密钥并用来加密信息， 湖北工业大学硕士学位论文 但是只有拥有对应解密密钥的人才能将信息解密。 在公钥体制中，加密密钥不同于解密密钥，将加密密钥公之于众，谁都可以 使用；而解密密钥只有解密人自己知道。它们分别称为p k 公开密钥( p u b l i ck e y ) 和s k 秘密密钥( s e c r e tk e y ) “1 。“。 迄今为止的所有公钥密码体系中，r s a 系统是最著名、使用最广泛的一种。r s a 公开密钥密码系统是由r r i v e s t 、a s h a m i r 和l a d l e m a h 三位教授于1 9 7 7 年提 出的。r s a 的取名就是来自于这三位发明者的姓的第一个字母。 r s a 算法对数据的加解密的过程如图2 2 所示。 1 l s a 加r s a 塑童( 丛 - 密桓块密襄( 皿m 一解密模块旦窿啦n 公刑目道 l 发方a p 髓s 珏t| 收方b 。j _ 。1 。一 一乙地的收方b 图2 2 非对称加解密示意图 图中：p k b 收方的公开密钥s k b 收方的秘密密钥。 收方b 的秘密密钥( 私钥) s k b 由b 自己保存，其相应的公开密钥( 公钥) p k b 可经公开信道送给发方h 等通信伙伴。 2 2 1r s a 算法描述 选择两个素数p 、q ： 计算n = p * q ： 计算n 的欧拉函数中( n ) = ( p - 1 ) ( q 一1 ) ： 选择整数e ，使e 与由( n ) 互质，且1 e s u b j e c t ： i s s u e r ： n o t b e f o r e ： n o t a f t e r ： s e r i a ln u m b e r ： 半写到页面中去 湖北工业大学硕士学位论文 i f ( c e r t s i s e m p t y 0 ) n oc e r t i f i c a t e se x i s t sf o r 1 用户可以通过查询证书，了解特定c n 名的已发布证书。同样，用户可以下载 c r l 。c r l 的数据定义为： 表4 - 3c r l 表的定义 字段名，字段类型 说明 c r l n u m b e rv a r c h a r ( 2 5 0 )证书序列号 i s s u e r d n v a r c h a r ( 2 5 0 )发行者名称 f i n g e r p r i n tv a r c h a r ( 2 5 0 ) 发布者签名 c a f i n g e r p r i n t v a r c h a r ( 2 5 0 )c a 签名 t h i s u p d a t e b i g i n t ( 2 0 ) 本次更新时间 n e x t u p d a t eb i g i n t ( 2 0 ) 下次更新时问 b a s e 6 4 c r lt e x tb a s e 6 4 编码x 5 0 9 证书 c r l 是由c a 定期( 例如每小时、每天或每周) 发布一个c r l ，并传送到公共资 料库。任何要求获得证书状态信息的用户需要到公共资料库上去查询。 例如， 某个用户要校验一个远程用户的数字签名，系统不仅检查证书的签名和时效性， 而月还应获得一个“当前正确的c r l ，从而判断改证书是否已被撤销。“当前正确 的”的含义可随本地策略而改变，但是它通常意味着最近发布的c r i 。 c a 可以 以一定的时间间隔( 例如每小时每天，或每周) 发布新的c r l 发布c r l 的操作协议 ( o p e r a t i o np r o t o c 0 1 ) 没有明确的规定，不同的系统可采用不同的机制来实现。 关键代码如下： i c e r t i f i c a t e s t o r e s e s s i o n l o c a ls t o r e = s t o r e h o m e c r e a t e0 ： 丰获得e j b 的h o m e 接口十 b y t e c r l = s t o r e g e t l a s t c r l ( a d m i n is t r a t o r ，is s u e r d n ) ； x 5 0 9 c r lx 5 0 9 c r l = c e r t t o o l s g e t c r l f r o m b y t e a r r a y ( c r l ) ： 胁获得c r l 列表 湖北工业大学硕士学位论文 4 3 4 申请证书注销 图4 1 4 证书吊销图 x 5 0 9 公钥证书是用来证明证书持有者身份的电子介质，它是用来绑定证书持 有者身份和其相应公钥的。通常这种绑定在已颁发证书的整个生命周期都有效， 但是，有时也会出现一个已颁发证书不再有效的情况，如果这个证书还没有到期， 就需要进行证书撤销。证书撤销的原因有很多，比如用户意识到自己的密钥已经 被窃取了，或者用户被某个机构辞退了，那么撤销他们的证书是非常有必要的。 如果客户端的原因，而导致证书无效，客户端就要向c a 申请证书无效，能在证书 自然过期之前撤销它“。 在我的e e 中，客户通过输入i s s u e r n o ( 发布者) 和s e r i a l n u m b e r ( 证书序 列号) ，向c a 申请撤销证书。在这里主要用到两个类： i c e r t i f i c a t e s t o r e s e s s i o n r e m o t es t o r e = h o m e c r e a t e0 ： 首先获得远程h o m e 接口 r e v o k e d c e r t i n f o r e v i n f o = s t o r e i s r e v o k e d ( n e w a d m i n ( a d m i n t y p ep u b l i c _ w e b u s e r ，r e q u e s t g e t r e m o t e a d d r ( ) ) ，d n ， i e w 术这个类主要判断此证书是否已经被注销，如果没有被注销向c a 申请注销术 c a 收到注销申请以后，通过数字签名判断是否是合法的申请者，如果是合法 的申请的话，就调用注销类进行注销： p u b l i c v o i dr e v o k e c e r t i f i c a t e ( a d m i n a d m i n ， c e r t i f i c a t e c e r t ， c o l l e c t i o np u b l i s h e r s ， i n tr e a s o n ) t h r o w sr e m o t e e x c e p t i o n ： 然后通过发布机制尽快发布c r l 。 如果申请者发现自己申请的证书已经被撤销，则会返回一个已被撤销证书的 相关信息，如：被撤销的时间，撤销的原因等等。 4 1 湖北工业大学硕士学位论文 第5 章p kl 的信任模型的研究 当某个系统的用户变多、通信量激增时，如果系统内只有一个c a 中心，那么 c a 中心将成为用户访问的瓶颈。为了保证系统的高效性，需要建立多个中心以分 散用户：另外，当不同系统的c a 中心的用户之问有业务来往时，比如银行系统c a 和邮政系统c a 的客户有交易，则银行系统c a 和邮政系统c a 就必须要发生联系。 这时需要建立一个完整的以认证体系，以有效地实现对数字证书的验证。这实际 上是信任模型的选择问题。 如果一个终端实体假设c a 能够建立并维持一个准确的对公钥属性的绑定，则 该实体信任该c a 。目前，有四种常用的信任模型：严格层次结构模型 ( s t r i c th i e r a r c h yo fc e r t i f i c a t i o na u t h o r i t i e sm o d e l ) 、分布式信任 结构模型( d i s t r i b u t e dt r u s ta r c h i t e c t u r em o d e l ) 、w e b 模型( w e bm o d e ) 和以 用户为中心的信任模型( u s e r - c e n t r i ct r u s tm o d e l ) “。严格地说，w e b 模型和 以用户为中心的信任模型并不是由c a 的构建方式决定，而是受实际应用的影响。 但在此，我们还是对其作以分析，因为它涉及到证书如何被最终用户使用，从而 间接影响到c a 运行时采取的策略。例如，对于将会把证书使用在十分松散的信任 环境中的用户，c a 可能不会接受其证书申请，因为这样会减弱c a 的作为公共信任 方的权威性。 5 1 传统c a 信任模型 5 1 1 层次结构模型 在层次型结构模型中，认证机构( c a ) 的严格层次结构可以被描绘为一棵倒转 的树，因此有时也称为树型结构。在这棵倒转的树上，根代表一个对整个p k i 系统 的所有实体都有特别意义的c a ，通常叫做根c a ( r o o tc a ) 。在根c a 的下面是 零层或多层中介c a ( i n t e r m e d i a t ec a ) ，也被称作子c a ( s u b o r d i n a t ec a ) ， 因为它们从属于根c a ，子c a 用中问节点表示，从中间节点可再伸出分支。与非 c a 的p k i 实体相对应的树叶通常被称作终端实体( e n de n t i t i e s ) 或被称作终端用 户( e n du s e r s ) ，可以用以下图5 一l 表示为： 4 2 湖北工业大学硕士学位论文 图5 1 层次型结构模型 在层次型结构模型中，根c a 是唯一的信任锚( t r u s ta n c h o r ) ，也就是可信 的实体，也就是认证的起点或终点，而且信任关系是从最可信的c a 建立起来的， 所以没有别的认证机构可以为根c a 颁发证书，根c a 只有自己给自己颁发一个自 签名或自颁发的证书。每个c a 都认证零个或多个直接连接在它下面的c a ，倒数第 二层的c a 认证终端实体。 根c a 作为唯一指定的信任锚，其证书必须分送给所有的证书用户。根c a 的 密钥很敏感而且一旦泄露后果严重，但由于根c a 本身很少用到，所以实际上不构 成问题。根c a 的主要工作是证明下属c a 的身份，和撤销由它颁发的下属c a 证书。 值得注意的是，在一个多层的严格层次结构中，终端实体直接被其上层的c a 认证( 也就是颁发证书) ，但是它们的信任锚唯一的是根c a 。如果是没有子c a 的深 层次结构，则对所有终端实体来说，根和证书颁发者是相同的。这种层次结构被 称作可信颁发者层次结构门( t r u s t e di s s u e rh i e r a r c h i e s ) 。 由于所有证书用户都依赖于一个公共信任锚，结果到达一个特定最终实体只 有唯一的信任路径。这个模型最大的缺点，同时也是其简单和成功的原因，即只 存在一个根c a 作为公共信任锚。在小规模的社会群体中，可以对公共根c a 达成 一致信任。有时可能出现的问题是，不能让所有各方都统一认可唯一的可信根c a 。 采用下属层次信任模型来实现我国全国范围内的互联互通是不合适的，原因 如下：首先，这个模型最大的缺点也在于它简单和成功的原因，它只存在一个根c a 作为公共的信任锚，在小规模认证的范围内可以达成一致的信任确定根c a ，但在大 范围内确定一个可信根是不容易的，也是不现实的。只在我国现存的6 0 多家c a 中找到一个大家都信任的根，以目前的技术就不大可能，况且还要考虑到以后扩 展的问题。另外从安全的角度讲，下属层次型模型不能满足全国性c a 的安全要求。 级问单个c a 的故障会影响到它的所有下级子c a ，与顶层c a 的距离越小所造成的 湖北工业大学硕士学位论文 i i 损失就越大，如果根c a 故障，将给整个体系带来灾难性的后果。 5 1 2 分布式信任模型 与严格层次结构中的所有实体都信任唯一一个c a 相反，分布式信任结构把信 任分散在两个或多个c a 上。也就是说，a 把c a l 作为他的信任锚，而b 可以把c a 2 做为他的信任锚。因为这些c a 都作为信任锚，因此相应的c a 必须是整个系统的 一个子集所构成的严格层次结构的根c a ( c a l 是包括a 在内的严格层次结构的根， c a 2 是包括b 在内的严格层次结构的根) 。 5 图5 2 分布式信任模型 如果这些严格层次结构都是可信颁发者层次结构，那么该总体结构被称作完 全同位体结构( f u l l yp e e r e da r c h i t e e t u r e ) ，因为所有的c a 实际上都是相互独 立的同位体( 在这个结构中没有子c a ) 。另一方面，如果所有的严格层次结构都是 多层结构( m u l t i l e v e lh i e r a r c h y ) ，那么最终的结构就被叫做满树结构( f u l l y t r e e da r c h i t e c t u r e ) 0 混合结构( h y b r i dt r e e da r c h i t e c t u r e ) 也是可能的( 具 有若干个可信颁发者层次结构和若干个多层树型结构) 。一般晚来，完全同位体结 构部署在某个组织内部，而满树结构和混合结构则是在原来相互独立的c a 系统之 间进行互联的结果“。 同位体根c a 的互相签发证书的过程叫交叉认证( c r o s sc e r t i f i c a r e ) 。通常 有两种不同的配置方法被用作交叉认证：网状和中心辐射。但是分布式模型的信任 路径过于复杂，当有多个信任域的时候，认证的成本就会很高，而且在信任路径 的搜索上效率也会较低。还有，这种模型不便于证书的管理，每个信任域的锚点 不仅要管理本域的证书，还要管理大量的交叉认证证书，管理太于复杂。 湖北工业大学硕士学位论文 5 1 3w e b 模型 w e b 模型是在环球网( w o r l dw i d ew e b ) 上诞生的，而且依赖于流行的浏览器， 如n a v i g a t o r 和i n t e r n e te x p l o r e r 。在这种模型中，许多c a 的公钥被预装在浏 览器上。这些公钥确定了一组浏览器用户最初信任的c a 。尽管这组根密钥可以被 用户修改，然而几乎没有普通用户对于相关安全问题能精通到可以进行这种修改 的程度。 一瓜 图5 3w e b 信任模型 埴藿 浏竖 器中的撮盘 中舟珊 初看之下，这种模型似乎与分布式信任模型相似，但从根本上讲，它更类似 于严格层次结构模型。因为实际上，浏览器厂商起到了根c a 的作用，而与被嵌入 的密钥相对应的c a 就是它所认证的c a 。当然这种认证并不是通过颁发正书实现的， 而只是物理地把c a 的密钥嵌入浏览器。 w e b 模型在方便性和简单性方面有明显的优势，但是也存在许多安全隐患。例 如，因为浏览器的用户自动地信任预安装的所有公钥，所以即使这些根c a 中有一 个是“坏的”( 例如，该c a 从没有认真核实其签发证书的实体) ，安全性也将被破 坏。a 将相信任何声称是b 的证书都是b 的合法证书，即使它实际上只是由嵌入浏 览器中的c a 签署的冒充b 的c 的公钥。所以，a 就可能无意问向c 透露机密或接 受c 伪造的数字签名。这种假冒能够成功的原因是：a 一般不知道收到的证书是由 哪一个根密钥验证的。在嵌入到其浏览器中的多个根密钥中，a 可能只认可某些 c a ，但并不了解其它c a 。然而在w e b 模型中，a 的软件平等而无任何疑问地信任 这些c a ，并接受它们中任何一个签署的证书。 当然，在其它信任模型中也可能出现类似情况。例如，在分布式信任模型中， a 或许不认可某一c a ，但是其软件在相关的交叉认证是有效的情况下，却会信任 该c a 所签署的证书。 另外一个潜在的安全隐患是没有实用的机制来撤销嵌入到浏览器中的根证 书。如果发现一个根c a 是“坏的”( 就像前面所讨论的那样) 或者与其相应的私钥 4 5 湖北工业大学硕士学位论文 被泄密了，要使全世界数百万个浏览器都有效地废止该证书的使用是不可能的， 因为无法保证该c a 的撤销消息能到达所有的浏览器，而且即使消息到达了浏览器， 浏览器也没有处理该消息的相应功能。因此，从浏览器中去除坏密钥需要全世界 的每个用户都同时采取明确的动作：否则，一些用户将是安全的而其他用户仍处于 危险之中。但是这样一个全世界范围内的同时动作是不可能实现的。 最后，该模型还缺少有效的方法在c a 和用户之间建立合适的协议，和用户共 同承担某些责任。因为，浏览器可以自由地从不同站点下载，使c a 也可以预装在 操作系统中。c a 不知道( 也无法确定) 它的用户是谁。一般用户对c a 也缺乏足够的 了解，因此不会主动与c a 直接接触。这样，所有的责任最终或许都将由用户承担。 5 1 4 以用户为中心的信任模型 在以用户为中心的信任模型中， 户的最初信任对象包括用户的朋友、 素所左右。 每个用户自己决定信任哪些证书。通常，用 家人或同事，但是否信任某证书则被许多因 著名的安全软件p r e t t yg o o dp r i r a c y ( p g p ) 所采用的信任模型即为以用户 为中心的信任模型。在p g p 中，一个用户通过担当c a ( 签署其他实体的公钥) 和其 公钥被其他人所认证来建立( 或参加) 所谓的“信任网( w e bo ft n i s t ) ”a 例如，当 a 收到一个据称属于b 的证书时，他将发现这个证书是由他不认识的d 签署的，但 是d 的证书是由他认识并且信任的c 签署的。在这种情况下，a 可以决定信任b 的 证书( 即信任从c 到d 再到b 的证书链) ，也可以决定不信任b 的证书( 认为“未知 的”b 与“已知的”c 之间的“距离太远”) 图5 4 以用户为中心的信任模型 因为要依赖于用户自身的行为和决策能力，因此以用户为中心的模型在技术 湖北工业大学硕士学位论文 水平较高和利害关系高度致的群体中是可行的，但是在一般的群体( 它的许多用 户有极少或者没有安全方面的知识或p k i 的概念) 中是不现实的。而且，这种模型 一般不适合用在贸易、金融或政府环境中。因为在这些环境下，通常希望或需要 对用户的信任实行某种控制，显然这样的信任策略在以用户为中心的模型中是不 可能实现的。 5 1 5 桥c a 信任模型 桥c a 信任模型也是解决不同信任域互联的一种信任模型，它通过指定一个证 书机构来给不同信任模型的锚c a 颁发交叉认证证书，这个证书机构就是桥c a 。而 且桥c a 信任模型对加入的信任域模型的类型没有特殊要求，只要有一个信任锚即 可“。模型如图5 5 所示。 图5 5 桥信任模型 桥c a 信任模型有许多优点，比如，证书路径较短。相同c a 数目的桥c a 信任 模型比网状信任模型具有更短的证书路径。而且在证书验证的时候，证书路径也 较容易被发现，因为用户知道他们到桥c a 的路径，从而只要确定从桥c a 到待认 证用户证书的证书路径。但是当c a 的数量足够多的时候，桥c a 的压力就会非常 之大。 5 2 国内外c a 信任模型的研究与实施情况 5 2 1 美国的桥0 a 和加拿大的层次模型的实施 ( 1 ) 美国的联邦桥以信任模型 美国代表发达国家p k i 发展的主流，在研究各联邦政府已建成的p k i 体系的 4 7 湖北工业大学硕士学位论文 基础上，于1 9 9 8 年提出桥接c a 的方案，联邦桥接c a 由联邦策略管理机构控制， 其目的是在联邦不同的p k i 域中提供可信任路径“。 图5 5 美国c a 信任模型 从图中可以看到联邦p k i 没有根c a ，取而代之的是桥c a ，这是因为只有树状 结构中的首级c a 爿称作根c a ，而在美国信任域的结构是多种多样的，联邦p k i 可 以支持分层结构、网状结构。桥c a 是联邦p k i 的核心组织，是不同信任域的桥梁， 负责为不同信任域的首级c a 颁发、更新交叉认证的证书，发布证书取消列表， 桥c a 不像网状c a 直接向用户颁发证书：也不像根c a 成为一个信任点，它不与信 任域之间建立对等信任关系，允许用户保留他们自己的原始信任点。任何结构的 p k i 都可以通过桥c a 连接起来，实现彼此间的信任，并且桥c a 将每一个单独的信 任域扩展到整个联邦p k i 体系中： ( 2 ) 加拿大的层次模型 加拿大政府p k i 体系结构由若干c a 组成，这些c a 形成树状层次结构，每个 用户的公钥和身份验证的信息都放在证书中，证书签发c a 在每个证书上签名，并 使其包含公钥的证书对外公开。任何用户都能够方便地得到其他用户的公钥，通 过公钥验证该用户的签名，辨别真伪。 湖北工业大学硕士学位论文 图5 6 加拿大c a 信任模型 加拿大政府p k i 体系结构的信任域都是树状结构，查找信任关系快捷，建立 信任关系容易，只需和相应的一级c a 进行交叉认证