基于分布式交叉认证的证书验证代理的研究与设计

摘要

本文在分析了当前分布式PKI环境下证书验证存在的问题后，提出了一种证书验证代理服务器的方案，由该服务器来执行复杂的证书路径构建和证书路径验证的工作，从而将客户端从复杂的证书验证工作中解放出来，形成真正的“瘦”客户端。本文的研究推动了PKI应用向便携式设备的发展，并解决了在基于分布式交叉认证的PKI混合信任模型下，如何构建跨信任域的证书路径以及如何进行路径验证的问题，此外，本文采用SCVP协议作为客户端与服务器之间的交互规范。论文的具体研究和实现工作包括如下几个方面： 深入学习PKI的理论知识，对现有PKI信任模型进行分析、研究，最终选择了一种最具有现实意义和实现价值的PKI信任模型。该模型在域内为严格的层次模型，域间为网状模型。 分析了当前证书验证的模式，针对目前存在的“胖”客户端的问题，提出了构建证书验证代理服务器的方案，并在OpenSSL函数库的基础上实现了该服务器。 深入研究了SCVP协议，以该协议作为客户端和服务器之间的交互规范。 针对本文所选的PKI信任模型，提出了一种路径构建算法，即在域内为前向路径构建，域间为基于深度优先搜索的反向路径构建。 深入研究了RFC3280，实现了证书路径的验证算法。 对路径构建的过程提出了优化方案，将部分路径验证工作结合到路径构建中去，从而使所构建的路径更加倾向于有效，提高了证书验证代理服务器的效率。 依据本文选择的PKI信任模型，给出了一个测试案例，采用LDAP目录服务器作为证书和CRL库，并给出了在几种典型情况下服务器的运行结果。测试结果表明本文所实现的证书验证代理服务器在功能上达到了最初的设计目标。

目录

文摘

英文文摘

声明

第一章绪论

1.1研究背景

1.2国内外研究现状

1.3论文内容与相关工作

1.4论文特色和贡献

1.5论文组织结构

第二章PKI概述

2.1 PKI的概念、组成及功能

2.1.1 PKI的概念

2.1.2 PKI的组成功能

2.2 PKI的应用

2.2.1 Web安全

2.2.2虚拟专用网VPN

2.2.3 S/MIME

2.3数字证书

2.3.1 X.509v3证书格式

2.3.2证书扩展域

2.4 OpenSSL开放源代码工具包介绍

第三章PKI信任模型及分布式交叉认证

3.1基本概念

3.1.1信任

3.1.2信任域

3.1.3信任锚

3.2基本的信任模型

3.2.1下属层次模型

3.2.2对等模型

3.2.3网状模型

3.3基于分布式交叉认证的复杂信任模型

3.3.1桥CA模型

3.3.2混合信任模型

第四章证书验证代理服务器的总体设计

4.1传统的证书验证模式

4.2 OCSP服务器模式

4.3证书验证代理服务器

4.3.1 DPD/DPV模式与SCVP协议

4.3.2服务器框架模型

4.3.3服务器处理流程

第五章客户端与服务器的SCVP交互设计

5.1客户端与服务器的交互

5.1.1 SCVP协议简介

5.1.2验证策略

5.1.3基于HTTP的交互

5.2 SCVP请求数据结构

5.2.1 SCVP_REQUEST

5.2.2 SCVP_QUERY

5.2.3 SCVP_VAL_POL

5.2.4客户端处理流程

5.3 SCVP响应数据结构

5.3.1 SCVP_RESPONSE

5.3.2 SCVP_CERT_REPLY

5.4安全性考虑

第六章路径构建模块与验证模块的研究与设计

6.1基本概念

6.1.1证书路径

6.1.2路径构建

6.1.3路径验证

6.2候选证书的获取

6.2.1 LDAP协议简介

6.2.2 LDAP系统架构

6.2.3获取证书

6.3证书路径构建算法

6.3.1域内路径构建算法

6.3.2域间路径构建算法

6.3.3路径构建需解决的问题

6.4证书路径验证算法

6.4.1初始化

6.4.2中间证书处理

6.4.3下一证书预处理

6.4.4最后的处理

6.5证书路径构建的优化方案

第七章证书验证代理服务器的功能测试

7.1测试案例

7.2测试环境的搭建

7.3测试步骤与结果

7.4测试结论

第八章结束语

8.1论文总结

8.2展望

附录

参考文献

作者在攻读硕士学位期间参加的科研项目及公开发表的论文

致谢