分离映射机制下公钥基础设施的部署与实现

摘要

随着互联网的飞速发展，网络在信息传输中扮演的角色越来越重要，然而现有互联网在体系结构上存在着无法弥补的先天缺陷。基于此，身份与位置分离技术成为当前互联网领域研究的热点之一，身份与位置分离为网络的可扩展性、移动性和安全性提供了一个很好的基础。 然而，新的网络体系架构的成熟离不开其他技术的支持，新体系下需要完善的安全设计，如何将现有技术与新网络体系架构结合成为关键。现有网络中的公钥基础设施为网络用户提供数字证书以证明其身份及其所拥有的公钥，在安全性需求很高的电子商务、保密通信中有着广泛应用。因此，各种安全通信技术在新网络中的应用都要求在新网络体系下部署合理高效的公钥基础设施。 本文主要研究公钥基础设施在新型网络体系下的部署并加以实现。首先，本文简要介绍了分离映射网络的组成结构及其与现有网络机制不同的特点并介绍了目前比较成熟的公钥基础设施相关标准。其次，针对高安全性、实用性和可扩展性方面的需求提出一种新网络下的统一部署方案并对公钥基础设施的核心模块加以设计实现。第三，将该体系下部署的数字证书应用到IPSec VPN中进行测试，解决了现有新网络体系下的IPSec研究中数字证书的应用还处于手工配置阶段的问题。 在此部署方案中主要有以下特点：1）在新网络中的接入路由器上以业务受理点的方式部署身份审核机构，解决了数字证书申请的繁琐并将业务受理点的管理工作纳入在新网络环境下中扮演关键角色的接入路由器中即保障了安全性又减少了投入。2）采用在全网中部署二级CA体系的策略，即保障了数字证书分发覆盖全网的能力又可以减少认证时多级CA所带来的繁琐。3）充分考虑到认证中心需要极高安全性的要求，采用现有技术手段及访问控制策略，保障认证中心的可靠运行。 通过本文的研究，公钥基础设施能够高效的在新网络环境下运行，为其他安全通信技术在新网络下的应用打下良好基础，从而大大推动分离映射网络走向成熟和大规模应用。

目录

文摘

英文文摘

声明

致谢

1 绪论

1.1 研究背景与意义

1.1.1 研究背景

1.1.2 选题意义

1.2 国内外研究现状

1.2.1 分离映射发展现状

1.2.2 PKI发展现状

1.3 论文主要工作与结构

2 分离映射网络及PKI理论基础

2.1 分离映射网络

2.1.1 分离映射网络体系架构

2.1.2 分离映射网络通信流程

2.1.3 分离映射网络体系特点

2.2 公钥基础设施简介

2.2.1 PKI和非对称密码技术

2.2.2 PKI相关标准

2.2.3 PKI体系结构标准—PKIX

2.2.4 PKI在实际中的应用

2.3 本章小结

3 公钥基础设施总体部署策略

3.1 公钥基础设施总体结构规划

3.1.1 分离映射网络中公钥基础设施总体架构

3.1.2 基于树状信任模型的二级CA架构

3.1.3 注册审核中心与业务受理点

3.1.4 数字证书格式的选择

3.2 数字证书申请流程

3.3 本章小结

4 公钥基础设施核心功能模块的设计与实现

4.1 OpenSSL库

4.2 注册中心

4.3 认证中心

4.3.1 认证中心初始化

4.3.2.证书签发

4.3.3 证书撤销列表生成

4.3.4 数据库存储

4.4 业务受理点

4.4.1 SSL工作流程

4.4.2 服务器配置

4.4.3 PHP页面实现

4.5 本章小结

5 公钥基础设施在IPSec中的应用

5.1 技术背景

5.2 签名验证技术

5.3 测试环境和测试结果

6 总结与展望

参考文献

作者简历