基于加权信任列表路径搜索的交叉认证的研究与设计

摘要

本文研究分析了交叉认证技术中的信任模型、路径构造与路径验证，提出了一种针对域内为层次结构、域间为网状结构的混合模型下的交叉认证设计，它通过出示默认证书链，并使用加权信任列表来构造路径，不仅能解决传统的直接交叉认证，还能实现自动搜索验证路径的交叉认证，与传统搜索方式相比提高了效率。结合本课题的研究，设计并实现了一个CA交叉认证原型系统，并给出了在原型系统下进行交叉认证的测试结果与分析。鉴于当前交叉认证不能普遍推广、支持交叉认证的应用太少，论文最后还给出了一种在PKIX环境下支持交叉认证的IPSecVPN应用程序接口设计。论文的具体研究和实现工作包括如下几个方面： (>)对现有信任模型的优缺点分析、研究与选择。 (>)交叉证书的生成、解析与验证。设计的原型系统交叉证书生成模块提供了两种交叉认证方式，前者是基于协商后的直接交叉认证，后者是通过路径搜索的自动交叉认证 。(>)交叉证书的发布存取与目录服务。设计了原型系统LDAP发布接口、存储的LDAP目录树结构以及证书的发布流程、 (>)交叉认证的路径构造与路径验证。路径构造算法通过出示默认证书链以及搜索加权信任列表来生成包含交叉证书的证书链，并给出了原型系统实现的具体处理流程。 (>)支持交叉认证的IPSecVPN应用程序接口设计。通过分析IKE协商机制，基于构造本地信任列表的方法来设计应用程序接口。 (>)原型系统测试和基于原型系统PKIX环境的tPSecVPN测试。本论文研究内容来源于江苏省自然科学基金项目(项目编号：BK2004039)。

目录

文摘

英文文摘

苏州大学学位论文独创性声明及使用授权声明

第一章绪论

第二章交叉认证信任模型研究与选择

第三章交叉证书/CRL格式分析与编码规则

第四章交叉证书生成模块与分析验证模块

第五章交叉证书的发布存取与目录服务

第六章交叉认证中的路径构造与路径验证算法

第七章IPsce VPN应用程序接口设计及CASC测试

第八章结束语

附录1 PKIX系列协议

附录2 PKIHeader数据结构

附录3 PKIBody数据结构

附录4 CertReqMessage数据结构

附录5 CertRepMessage数据结构

附录6 CASC系统调用OpenSSL主要库函数说明

参考文献

作者在攻读硕士学位期间参加的科研项目

作者在攻读硕士学位期间公开发表的论文

致 谢