摘 要:使用PKI(Public Key Infrastructure)技术,可以解决网络 中用户身份鉴别和不可抵赖性问题,但对于远端主机与代理服务器之间的相互身份认证却不 能很好地解决。本文定义了一个代理证书和运转模型,允许全部授权和部分授权并且具有独 立于签发者的特点,解决了远端主机与代理服务器的相互认证问题。提高了用户的工作效率和对私钥使用的安全性,为任务批量处理中的身份认证提供了一种全新的解决思想。
关键词:PKI;数字证书;认证;代理服务器 A Solution of Authentication between Remote Host and Proxy Serv erZHENG Xuefeng (Key Laboratory of Computer Network and Information Security of the MiNIstry
of Education,Xidian University,Xi′an,710071,China) Abstract:The problems of authentication and undeniability ca n be solved by using PKI(Public Key Infrastructure) technology, but there is sti ll not a good solution to authentication between remote host and proxy server In this paper, the problem is solved by defining a model and a proxy certificate which can be authorized completely or partly This paper provides a new idea f or the authentication in disposing a batch of tasks, improving the user′s work efficiency and the using security of private key
Keywords:PKI;digital certificate;authentication; proxy se rver1前言
传统的互联网是一个无中心、不可控的网络。为解决安全接入问题,人们采用了“口令字” 等措施,但是这些技术难以对抗有组织的集团性攻击。使用PKI技术,通过认证机制,建立 证书服务系统,通过证书绑定每个网络实体的公钥,对网络中每个实体进行身份认证,结合 权限管理,能够把互联网变成在一定的安全区域内可控、可管、安全的网络。
在公钥基础设施的基础上,PKI可以通过对数字证书进行扩展,给特定的网络实体签发属性 证书,用以表征实体的角色和属性。用于标识实体的身份证书、实体的签名私钥和表征实体 所具有权利的属性证书被保存在smartcard(智能卡)中,访问某一资源时,通过出示smart card中身份证书和属性证书就可以知道这个人是谁,并且可以知道这个人所具有的权利。
但是,当实体授权给一个代理服务器,让他代替实体完成对远端不同服务器访问的时候,远 端主机如何确认代理服务器的权利和他代表的实体身份呢?本文通过代理证书解决了远端主 机和代理服务器的相互认证问题。 2代理证书设计
2.1代理证书结构
终端实体证书(EEC)包括身份证书、签名私钥和属性证书。代理证书包括代理身份证书,代理签名私钥和代理属性证书。结构如图1所示。 代理身份证书包括代理身份证书明文、EEC对代理身份证书明文的签名、EEC身份证书。结构如图2所示。
代理签名私钥用于代理服务器对外签名。
代理属性证书表明代理者具有的属性或权利,包括代理属性证书明文、E EC对代理属性证书明文的签名、EEC身份证书,结构如图3所示。 代理属性证书依赖于代理身份证书。采用惟一标志对代理证书索引就是对代理身份证书进行 索引,同样可以通过代理身份证书索引相应的代理属性证书。
2.2代理证书特点
代理证书可以看作是终端实体证书的子证书,具有如下的特点:
(1) 代理证书由EEC签发。
(2) 代理证书不能签发一个新的EEC。
(3) 代理证书具有自己的公钥和私钥,并且其密钥对与EEC和其他代理证书的密钥对不同。
(4) 代理证书具有一个惟一标识,这个惟一的标识由签发这个代理证书的EEC名字继承而来的。实质上这个惟一标志就是代理身份证书名字。
(5) 新签发的代理证书时效不能超过签发者的时效。
2.3代理身份证书
代理证书主要指代理身份证书。代理属性证书通过代理身份证书中一个标志域来索引,可以看作是代理身份证书的一个附件。
代理身份证书必须包含的域:
发起者表明这张代理身份证书是由谁签发的,代理身份证书的发起者是一个EEC。
发起者的属性证书名字表明发起者所使用的属性证书名字。
代理身份证书名字代理身份证书的惟一标志,由发起者惟一标志继承而来。
代理属性证书名字依附于代理身份证书中属性证书名字。
有效时间表明这张证书有效的截止时间。
代理服务器标志包含代理服务器的地址和执行代理任务进程端口号。
2.4限制策略
限制策略是对代理证书进行部分授权的策略。授权给一张代理证书,允许这张代理证书拥有 实体的全部权利是危险的。如果代理服务器被攻破,入侵者就可以拥有实体的全部权利。对代理证书进行部分授权,即使服务器被攻破,入侵者只是得到实体的部分权利,降低了风险性。
代理证书的权利授予体现在代理属性证书上面。代理属性证书中包含了这张代理证书具有的 权利,他具有的权利可以是实体的全部权利或部分权利。 3代理证书运转模型
在此建立一个代理证书运转模型,表明代理证书在实际应用中如何使用。运转模型如图4所示。 运转步骤如下:
(1) 终端实体用他的EEC证书通过便携式计算机登录到代理服务器。
(2) 终端实体用他的EEC证书中签名私钥给代理服务器签发一张代理证书。代理证书包含了代理身份证书、代理签名私钥、代理属性证书。
(3) 代理服务器发出验证远端服务器身份请求。
(4) 远端服务器首先产生一个随机数,然后对随机数签名。将随机数明文、随机数签名值和远端服务器身份证书发送给代理服务器,并向代理服务器发出验证代理服务器身份请求。
(5) 代理服务器查询LDAP验证远端服务器身份证书是否有效,如果无效则退出。再验证随机数签名是否有效,如果无效则退出。并且向远端服务器出示代理身份证书明文,代理属性证 书明 文。
(6) 远端服务器验证代理服务器身份和属性。远端服务器得到代理身份证书和代理属性证书。提取出代理身份证书明文、EEC对代理身份证书明文签名值、代理属性证书明文、EEC对代 理属性证书明文签名值和EEC身份证书。查询LDAP服务器验证EEC身份证书是否有效,如果无 效则退出;用EEC签名公钥对代理身份证书和代理属性证书的签名值进行验证,如果错误则 退出。
(7) 远端服务器根据代理属性证书验证代理服务器是否有权执行代理任务,如果没有权利则退出。
(8) 验证代理身份证书中代理服务器标志是否与当前代理服务器相一致,如果不一致则退出。
(9) 执行代理任务。
(10) 退出。 4结语
论文以X.509为基础建立代理证书并且与PKI技术结合,解决了代理服务器与远端主机的相 互认证问题。用户可以授权给多个代理服务器同时代替用户执行任务,极大地提高了工作效 率而且增强了任务执行的自动化并且具有通用性、高可靠性、低复杂度等优点。可以方便地 与现有系统融合,便于现有系统扩展和在更广范围内应用。今后必将极大地促进PKI技术的 普及和应用。 参考文献 [1][美]Andrew Nash.公钥基础设施(PKI):实现和管理电子安全 [M].张玉清译北京:清华大学出版社,2002
[2]国家信息安全工程技术研究中心和国家信息安全基础设施研究中心电子政 务总体设计与技术实现[M].北京:电子工业出版社,2003
[3]RFC 3280, Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile,2002,4
[4]RFC 3281,An Internet Attribute Certificate Profile for Autho rization, 2002,4
[5]Internet Draft Draftietftlsdelegatio n00txt,TLS Delegation Protocol, 2001
