CN100347986C - 一种身份认证的方法和系统 - Google Patents
一种身份认证的方法和系统 Download PDFInfo
- Publication number
- CN100347986C CN100347986C CNB2003101114374A CN200310111437A CN100347986C CN 100347986 C CN100347986 C CN 100347986C CN B2003101114374 A CNB2003101114374 A CN B2003101114374A CN 200310111437 A CN200310111437 A CN 200310111437A CN 100347986 C CN100347986 C CN 100347986C
- Authority
- CN
- China
- Prior art keywords
- certificate
- territory
- user
- domain
- autonomous
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
本发明公开了一种身份认证的方法和系统。该系统基于网状和层次相结合的扩展PKI/CA结构,将整个公钥基础设施域划分多个自治域,在各个自治域内部采用基本的层次PKI/CA结构,每个域内都有唯一的根认证中心,根据域的大小和应用的实际需要,可以动态配置多个二级认证中心为终端用户提供各种类型的证书服务,每个域内的根认证中心为本域内所有用户的单一信任点。在各个自治域之间采用网状PKI/CA结构,只有每个自治域中的根认证中心才能和其它自治域建立信任关系。本发明避免了层次结构公钥基础设施模型的全系统单一信任点的不足;大大减少了网状公钥基础设施结构中的节点数目,降低了跨域证书路径处理的复杂性,解决了双向网状信任关系的证书路径扩展和发现过于复杂的问题。
Description
技术领域
本发明属于计算机认证和安全领域,具体涉及一种基于网状拓扑结构的认证方法和实现系统。
背景技术
人们在享受网络和计算机带来便利的同时,也品尝到了安全问题的苦涩。病毒的快速传播、电脑“黑客”的肆虐入侵、重要信息的泄密……这些问题已威胁到政府服务、金融、电信、电力等国家基础设施。为了防范这些隐患,许多新的安全技术规范不断涌现,公钥基础设施/认证中心(简称PKI/CA)技术便是其一。
认证中心(Certificate Authority,简称CA)可以对网上身份的合法性进行校验。但由于认证中心很难解决数据传输中的安全性和完整性,因此它一般都需与公钥基础设施技术一起进行应用。公钥基础设施是一种建立在公开密钥技术之上的信息安全体系结构,主要包括两方面的内容:一是数字签名,该技术可以保证所传输信息的完整性;另一内容是加密,用户在使用公开密钥法对信息进行加密后,在解密时使用的密钥无须在Internet上传输,这样就避免了密钥被人窃取后造成信息的暴露。但公钥基础设施又无法保证用户身份的确认,于是出现了PKI/CA这一完整的认证中心概念。(通用的PKI/CA系统的设计方法在一些文献上都有介绍,如《现代计算机杂志》第113期上的“PKI系统设计和实现”,以及《计算机工程》第27卷第6期上的“公钥基础设施PKI的设计”的文章都有介绍和说明。)
PKI/CA是利用公钥技术实现安全通信的一种体系,它由公开密钥密码技术、数字证书、认证中心和关于公开密钥的安全策略等基本成分共同组成的。
PKI/CA架构主要采用证书管理公钥,通过第三方的可信任机构——认证中心,把用户的公钥和用户的其他标识信息捆绑在一起,在Internet网上验证用户的身份。目前,通用的办法是采用建立在公钥基础设施基础之上的数字证书,通过把要传输的数字信息进行加密和签名,保证信息传输的机密性、真实性、完整性和不可否认性,从而保证信息的安全传输。
认证中心是公钥基础设施系统的核心,根据不同认证中心分布的拓扑结构,PKI/CA系统可以分成不同的类型。传统的PKI/CA基本结构一般有以下三种类型:单认证中心结构(图1(1))、分级层次认证中心结构(图1(2))和网状认证中心结构(图1(3))。三种基本结构都有各自的优缺点。
单认证中心结构是最基本也是最简单的公钥基础设施结构,它为公钥基础设施中所有的用户提供公钥基础设施服务(证书服务、证书状态信息等),这种结构的优点是容易实现,只需要建立一个根认证中心,所有的用户就可以实现相互认证,但是,这种结构的缺点也是显而易见的:扩展性差,难以支持大量的或者不同群体的用户,同时,单一的根认证中心信任将产生单一的用户信任点,该信任点出现故障,后果将是灾难性的。
分级层次认证中心结构是以从属认证中心关系建立的公钥基础设施结构,根认证中心为各个域的本地认证中心签发公钥证书,而本地认证中心则为本域内的用户签发证书。整个系统都信任根认证中心,这样既可以实现本地域内的证书认证,也可以实现跨域的证书认证。这种结构层次清晰,扩展性好,易于将新的认证域添加到现有的公钥基础设施系统中,由于其认证中心之间为简单的单向信任关系,因而可以容易的生成从用户证书到可信任点的简单而明确的证书路径,并且其证书路径相对较短,最长的路径等于树的深度加一。然而该结构仍然依附于一个单一的可信任点,即“根认证中心”。根认证中心安全性方面的漏洞和问题,将导致整个公钥基础设施系统安全性的削弱。
网状认证中心结构是以对等关系将各个认证中心联系在一起的公钥基础设施结构,通过相互颁发证书,各个认证中心之间建立起相互信任的关系。在这个可信任的网络结构中,每个认证中心都可以作为用户的可信任点。由于存在多个信任点,单个认证中心安全性的削弱就不会影响到整个公钥基础设施系统,从而消除分级层次认证中心结构中单一信任点的不足。然而这种双向网状信任关系同时也带来了证书路径扩展和发现的过于复杂,与层次分级结构的公钥基础设施不同,从用户证书到可信任点建立证书的路径是不确定的,因为存在多种选择,使得路径发现较为困难,一些选择可以形成正确路径,而其他选择会走入死胡同。更糟糕的是,在网状结构的公钥基础设施中可能会建立一个无止境的证书环路。对于网状的公钥基础设施,扩展有好有坏。证书路径的最大长度是公钥基础设施中的认证中心的数量加一,随着认证中心数量的增加,证书路径也随之变长,对于证书路径处理的复杂性也随之增大。
发明内容
本发明的目的在于克服现有技术缺陷,提供一种身份认证的方法和系统,以解决网状认证中心结构中存在的路径难以发现、证书路径变长和处理复杂等问题。
本发明提供的一种身份认证的方法,首先完成构建域间信任关系,将各个自治域联合构成一个统一的公钥基础设施复合域,之后,当用户A需要对用户B的证书进行认证时,用户A首先通过检查用户B的证书,判断用户B是否和自己处在同一个自治域,如果是同一个域,则是可信的;否则,用户A则通过以下两种方式之一对用户B的证书进行验证:第一种方式是通过直接向认证中心提出证书认证请求,由认证中心负责认证用户B的证书,并将认证结果返回给用户A;第二种方式是由用户A直接利用在线证书状态协议直接从本域的轻量级证书目录服务器中查询用户B所在域的根认证中心是否被本域所信任,如果两个自治域存在信任关系,那么用户B的证书是可信的,否则,用户B的证书是不可信的;
构建公钥基础设施复合域的步骤为:
(1)将整个公钥基础设施系统划分成自治域,使每个域内都只有一个根认证中心;
(2)为各认证中心建立用户证书,为各根认证中心建立用户证书和域证书,用户证书和域证书均包括证书颁发者、证书主题、公钥、证书功能、有效日期以及证书颁发签名字段,域证书还包括信任代理字段和授权内容字段;
(3)按照下述方式建立各个自治域之间的信任关系:
(3.1)简单自治域与简单自治域:两个域的根认证中心分别根据各自域的证书安全策略相互为对方签发域证书,再将域证书和域名添加到各自域的跨域证书信任数据表;
(3.2)简单自治域与复合自治域:将简单自治域与复合自治域中的任何一个简单域建立直接信任关系,简单自治域再通过该直接信任域的作用与复合域中的其他简单域建立间接信任关系;
(3.3)复合自治域与复合自治域:每个复合自治域中各选一个域,在这些域之间直接建立信任关系,双方互相交换各自跨域证书信任数据表中可传递的信任证书链,然后将这些域得到的信任证书链传递给所在复合自治域中的其它域,使各复合域中的其它简单域之间相互建立起信任关系。
实现上述方法的系统,包括认证中心服务模块、注册服务模块、证书数据库和轻量级目录证书数据库服务器,所述认证中心服务模块与用户终端以及所述注册服务模块、证书数据库和轻量级目录证书数据库服务器相连,用于根据用户不同的请求创建各种类型的用户证书,管理本自治域所有用户的证书,包括证书的吊销、验证、更新等操作;所述注册服务模块用于接受用户的证书申请,并向所述认证中心服务模块提出创建用户证书的请求,并向用户发放证书;所述证书数据库用于存放本域的所有用户证书数据和其它信任域的域信任证书数据,所述轻量级目录证书数据库服务器用于发布用户的证书和黑名单信息;其特征在于:
证书数据库增设有跨域证书信任数据表,用于存放域信任证书,该系统还包括用于跨域认证所需要的跨域认证服务模块,该模块由域认证于模块和域证书管理子模块构成,域认证子模块与域证书管理子模块相连,用于完成各个自治域的认证中心之间的身份认证过程;域证书管理子模块分别与证书数据库和轻量级目录证书数据库服务器相连,用于负责创建和维护跨域证书信任数据表,同时,通过轻量级目录证书数据库服务器发布域信任证书供本域用户在查询和验证域外用户的证书时使用。
本发明针对现有PKI/CA结构的不足,提出一种网状和层次相结合的扩展PKI/CA结构并重点实现网状结构中处于不同域的认证中心之间相互认证的方法。该扩展PKI/CA结构在整个PKI/CA域内划分多个自治域,在各个自治域内部采用基本的层次PKI/CA结构,每个域内都有唯一的根认证中心,根据域的大小和应用的实际需要,可以动态配置多个二级认证中心为终端用户提供各种类型的证书服务,每个域内的根认证中心为本域内所有用户的单一信任点。在各个自治域之间采用网状PKI/CA结构,每个自治域中,只有该域的根认证中心才能和其它自治域建立信任关系。采用本扩展PKI/CA结构,各个自治域可以动态的加入到整个PKI/CA系统中,避免了传统PKI/CA系统必须按顶级到下级的次序依次建立各级域CA中心,从而使整个系统有良好的动态可扩展性。各个自治域可以根据具体情况制定本地的证书策略,可以有选择的和其它自治域建立相互信任关系,各个自治域有相对独立的自治和灵活的证书策略管理机制。
附图说明
图1为现有的PKI/CA的体系结构示意图;
图2为基于网状和层次相结合的扩展PKI/CA系统的体系结构示意图;
图3为简单自治域和复合自治域之间信任关系构建过程图;
图4为复合自治域之间信任关系构建过程图;
图5为复合自治域之间信任关系构建流程图;
图6为根认证中心服务器结构图。
具体实施方式
下面将详细说明本扩展PKI/CA系统中的认证中心之间身份认证的认证过程。
本扩展PKI/CA系统的体系结构如图2所示,它由六个自治域(自治域A——自治域F)组成,每个域内都有唯一的根认证中心,根据域的大小和应用的实际需要,可以动态配置多个二级认证中心为终端用户提供各种类型的证书服务,如该图右侧所示自治域C中的根认证中心下设两个二级认证中心。
首先,在本PKI/CA系统中,我们在证书数据库中为根认证中心建立了两种类型的证书:用户证书和域证书。用户证书采用基于ITU定义的X.509标准公钥证书,其作用是将用户的公钥和用户的其他标识信息捆绑在一起,在Internet网上实现对用户身份的认证和鉴别,主要用于完成通用证书系统的基本功能。而域证书是在本系统中为了实现认证中心之间的相互认证而引入的一种特殊的证书,该证书扩展了X.509标准证书,增加了跨域认证所需的一些证书扩展属性,该域证书的结构如表一所示,证书数据库中用于存放域证书信息的数据表被称为跨域证书信任数据表。
证书颁发者 | 证书主题 | 信任代理字段 |
公钥 | ||
证书功能 | ||
授权内容 | ||
有效日期范围 | ||
证书颁发者的签名 |
表一
域证书的结构主要包括八个基本元素,分别是:
证书颁发者:证书的签发者的标识名。
证书主题:证书主体的标识名。
公钥:证书主体的公钥。
信任代理字段:指明是否允许该证书主体传递信任关系;该字段是一个授权信任代理标志,它表示授权认证中心是否允许被授权认证中心代理其执行认证功能,具体所代理执行的认证功能由授权内容字段指定。
证书功能:该字段描叙该证书的用途,此处的用途是域间认证。
授权内容:授权信任的内容,该区域的内容定义完全和具体应用相关,表示证书的签发者信任证书主体所签发的哪些类型的证书。
有效日期:证书有效的期限。
证书颁发者的签名:证书的签名,由签发者使用自己的私钥对证书内容进行签名。
其中信任代理字段和授权内容字段是为了实现成跨域认证而新增的证书扩展属性,
上述用户证书和域证书也可以采用其它证书标准,如PKCS12证书标准,不同的证书标准只是证书格式的标准,证书所包含的内容是一致的。
该PKI/CA系统的跨域信任关系建立比较复杂,在说明跨域信任关系的构建过程之前,我们定义以下两种类型的自治域:简单自治域和复合自治域。只有一个根认证中心的自治域,称为简单自治域。由两个或者两个以上具有相互信任关系的简单自治域构成的自治域叫做复合自治域。
由此,我们将系统中跨域信任关系分成以下三类:简单自治域之间的信任关系、简单自治域和复合自治域之间的信任关系、复合自治域之间的信任关系。下面将分别介绍这三类信任关系的构建过程。
1、简单自治域之间信任关系的构建过程
两个简单自治域之间建立相互信任关系的过程比较简单,只需要两个域的信任锚(即域根认证中心)相互为对方签发域证书,然后将域证书和域名添加到本域的跨域证书信任数据表中,这样双方就建立了相互信任的证书链。同时,建立起相互信任关系的二个或二个以上的自治域也就构成了一个复合域。
2、简单自治域和复合自治域之间信任关系的构建过程
简单自治域和复合自治域之间信任关系的建立可以分成两个步骤,首先是简单自治域与复合自治域中的任何一个简单域建立直接信任关系,然后简单自治域通过该直接信任域的作用与复合域中的其他简单域建立间接信任关系。
如图3所示,简单自治域B、C和D通过建立相互信任关系构成复合域1,下面将说明简单自治域A和该复合域1建立信任关系的过程。
首先,域A可以选择复合域中任意一个简单域来开始域间信任关系的建立过程,这里,我们选用复合域中的域B。域A和域B相互为对方签发域证书,然后将域证书和域名添加到各自的跨域证书信任数据表中,从而形成了到对方域的信任证书链,这样双方就建立了直接的信任关系(①)。由于域B之前就与域C、D之间建立起了信任关系,所以域B的跨域证书信任数据表中各有一条通向域C和域D的信任证书链,域B将此证书链信息发送给A,同时B将刚刚和域A建立的信任证书链也发送给域C和域D,此时,通过中间域B的作用,域A与域C和域D都获得了一条通向对方的信任证书链,这样,域A与域C和域D之间也建立了相互信任的关系(②③)。
在某些情况下,域A和域B建立信任关系,但域A并不希望通过域B同复合域中的其它域——例如域C——建立信任关系,也就是说域A不希望域B为其传递信任关系,这时候就需要用到上文描叙域证书中提到的信任代理字段字段,该字段指明是否允许该证书主体传递信任关系。如果域A向域B签发的域证书中的信任代理字段字段为真,那么,表示域A允许域B将域A和域B之间的信任关系传递给复合域中的其它域,否则,禁止域B传递这种信任关系。如果本例中域A向域B签发的域证书中的信任代理字段字段为假,域B就不会将域A和域B之间的信任关系传递给域C,从而域A和域C之间就不能通过域B来建立信任关系。
3、复合自治域之间信任关系的构建过程
复合自治域之间信任关系的构建过程和上一部分描叙的过程类似。如图4所示,首先,复合域2中的域A和复合域1中的域B直接建立信任关系后(①),双方互相交换各自跨域证书信任数据表中可传递的信任证书链,然后域A将从域B处得到的信任证书链传递给域E,同时域B将从域A处得到的信任证书链传递给域C和域D,从而使复合域1和复合域2中的其它简单域之间相互建立起信任关系〔②③④⑤〕。
当存在多个复合域时,其处理方式也包含在上面三种情况中,因为两个复合域之间建立信任关系以后,这两个域就合并成了一个新的复合域。
综合以上三种情况说明,下面给出建立认证中心之间信任关系的算法描述,见图5。首先域根认证中心服务器等待其它域根认证中心服务器要求建立信任关系的请求,收到请求后判断是建立直接信任关系还是建立间接信任关系,如果是建立直接连接,则判断是否满足建立信任关系的策略,如果满足则为对方签发域证书,并将域证书和域名添加到本域的跨域证书信任数据表中,随后将本地的信任证书链路表发送给对方,然后接收对方发送过来的跨域证书信任数据表,并逐条处理对方发送过来的信任条目,根据建立信任关系的策略,将满足条件的信任条目添加到本地的跨域证书信任数据表中。这样就完成了域间信任关系的构建。
完成构建域间信任关系的各个自治域将联合构成一个统一的PKI复合域,在该PKI复合域中,各个自治域的用户既能够对本域其它用户的身份进行认证,也可以实现对复合域中其它自治域的用户身份进行认证。
当自治域的用户A需要对另一用户B的证书进行认证的时候,用户A首先通过检查用户B的证书,判断用户B是否和自己处在同一个自治域,如果是同一个域,则由于同一域内所有用户共同信任同一个根CA,用户证书链都是起始于该根CA,因此彼此的证书都是可信的。如果用户B和自己不是处在同一个域,用户A则通过以下两种方式来对用户B的证书进行验证,第一种方式是通过直接向认证中心提出证书认证请求,由认证中心负责认证用户B的证书,并将认证结果返回给用户A;第二种方式是由用户A直接利用在线证书状态OCSP协议(Online Certificate Status Protocol简称OCSP协议)直接从本域的轻量级证书目录服务器中查询用户B证书的颁发者(也就是用户B所在域的根认证中心)是否被本域所信任,如果两个自治域存在信任关系,那么用户B的证书是可信的,否则,用户B的证书是不可信的。
该扩展PKI/CA系统结构的优点是:在公钥基础设施系统内划分自治域,各个自治域都有相对独立的根认证中心作为本域的单一信任点,从而避免了层次结构公钥基础设施模型的全系统单一信任点的不足;仅仅采用各个自治域的根认证中心作为网状公钥基础设施结构中的节点,大大减少了网状公钥基础设施结构中的节点数目,降低了跨域证书路径处理的复杂性。同时,在该层次和网状PKI/CA结构的实现中,通过引入了跨域信任证书和相应的跨域信任证书路径构造算法,解决了双向网状信任关系的证书路径扩展和发现过于复杂的问题。
本发明的核心内容就是各个自治域的根认证中心之间相互认证的过程和建立这种跨域信任体系的算法。自治域的根认证中心不仅作为本域内的顶级信任点来构建域内的信任关系,而且通过构建跨域信任证书路径表实现认证中心之间的信任关系。
如图6所示,本扩展PKI/CA系统可以分成一下两大部分,一部分是标准的认证中心所具备的模块,如认证中心服务模块1、注册服务模块2、证书数据库3和轻量级目录证书数据库服务器4,另一部分就是用于跨域认证所需要的模块——跨域认证服务模块5,本发明技术所要说明的就是如何扩展标准的认证中心,使其具备构建认证中心之间相互信任关系的能力。
认证中心服务模块1是PKI的核心,该模块负责管理PKI结构下的所有用户(包括各种应用程序)的证书,把用户的公钥和用户的其他信息捆绑在一起,在网上验证用户的身份,该模块负责接收验证最终用户数字证书的申请,确定是否接受最终用户数字证书的申请-证书的审批,向申请者颁发或拒绝颁发数字证书,接收、处理最终用户的数字证书更新请求,接收最终用户数字证书的查询、撤销,产生和发布证书废止列表(CertificateRevoke List简称CRL),同时承担数字证书的归档,密钥归档和历史数据归档等职能。
注册服务模块2主要接受用户的证书申请,通过审核后,向认证中心服务模块提出创建用户证书的请求,证书创建完毕后,该模块还负责向用户发放证书。
证书数据库3用于存放整个认证中心系统相关的数据,包括,用户证书、用户备份私钥,域信任证书等等
轻量级目录证书数据库服务器4用于发布用户的证书和黑名单信息,用户可通过标准的轻量级目录访问协议(Lightweight Directory AccessProtocol简称LDAP协议)查询自己或其他人的证书和下载黑名单信息。
认证中心间的身份认证是由跨域认证服务模块5负责实现,该模块可以分成两个子模块,域认证子模块和域证书管理子模块。域认证子模块负责完成认证中心之间的身份认证过程和构建跨域证书信任数据表,而域证书管理子模块负责维护跨域证书信任数据表,该数据表中存放着本地认证中心所信任的其他认证中心信息和为该认证中心所颁发的域信任域证书,这样通过构建和维护跨域证书信任数据表,就可以构建出整个系统的信任关系,从而实现认证中心之间的身份认证和信任关系的建立。
域证书管理子模块主要负责维护跨域证书信任数据表,对外提供操作接口对跨域证书信任数据表的内容进行添加、修改、删除等操作。
下面将详细介绍域认证子模块的工作流程。
1、域认证子模块在一个系统约定的服务端口监听服务请求,检查是否有其它域发出要求建立信任关系的请求,如果没有收到请求,则模块阻塞,继续监听服务请求。
2、如果收到建立域信任关系的请求,则先判断请求类型是否是直接建立信任关系的请求,如果不是,则直接转第3步,如果是,则检查是否满足建立信任关系的条件,如果满足条件,则为对方域的根认证中心颁发域信任证书,并将本域信任证书存放入证书数据库的跨域证书信任数据表中,同时通过轻量级目录证书数据库服务器向外发布。如果不满足条件,则发出拒绝消息,转最后一步。
3、将证书数据库的跨域证书信任数据表中允许传递信任关系(即Delegation字段为真)条目发送给对方,同时接收对方发送过来的信任域的证书信息。
4、对收到的信任域证书信息逐条进行处理,如果满足建立信任关系的条件,那么就为对方域的根认证中心服务器颁发域信任证书,并将该信任证书存放入证书数据库的跨域证书信任数据表中,同时通过轻量级目录证书数据库服务器向外发布。如果不满足条件,则丢弃本条信息,继续处理下一条信任域证书信息,直到处理完最后一条信息。全部处理完毕以后,域认证子模块重新进入阻塞状态,等待新的建立域信任关系的服务请求。
域之间的信任关系通常是稳定的,一旦建立,较少发生改动。一旦信任关系变更,只需要认证中心服务模块通过操作跨域认证服务模块的域证书管理子模块从证书库中删除该域证书,并且更新轻量级目录证书数据库服务器中的证书吊销列表,即可完成信任关系的解除。
我们在具有16个节点机上的集群系统上部署本PKI/CA系统,其每个节点基本配置如表二所示。
认证中心服务器机器配置 | CPU | 内存 | 硬盘 | 网卡 | 操作系统 |
双PIII 866 | 256M | 30G | 3C905B 100M | Window2000Server | |
认证中心客户端机器配置 | CPU | 内存 | 硬盘 | 网卡 | 操作系统 |
PIII 500 | 256M | 30G | 3C905B 100M | Window2000Pro |
表二
在本实现系统中我们将16个节点分成四个域,每个域有四台机器,其中一台作为本域的根认证中心服务器,另外一台作为域二级认证中心服务器,剩下两台作为本域认证中心客户机。二级认证中心和根认证中心服务器的区别是二级认证中心不具有跨域认证中心服务模块3,因此不能提供跨域认证服务,而且其初始化过程并不产生自签名证书,而是从根认证中心处获取证书。
我们基于网状和层次相结合的扩展PKI/CA系统中采用如下形式的OID格式,也就是区别名(Distinguished Name)。
cn:证书实体名
org:组织名
local:区域名
本实现系统一共由四个自治域组成,域名、本地域根认证中心的DN名、以及认证中心的职能在表三中进行了描述。
域名 | 根认证中心的DN | 根认证中心职能说明 |
edu.cn | cn=rootCA,o=CA,l=edu.cn | 为教育机构颁发证书 |
com.cn | cn=rootCA,o=CA,l=com.cn | 为商业机构颁发证书 |
gov.cn | cn=rootCA,o=CA,l=gov.cn | 为政府机构颁发证书 |
mil.cn | cn=rootCA,o=CA,l=mil.cn | 为军队机构办法证书 |
表三
结合附图,对整个系统的配置说明如下:
轻量级目录证书数据库服务器3是采用开放源代码的OpenLDAP 2.1.22稳定版本,主要提供本域所信任证书信息,包括用户证书和域证书,以及证书吊销列表供用户查询和下载使用。
证书数据库4中存放有本域认证中心服务器颁发的证书信息和跨域证书信任数据表。本实现数据库采用MySQL4.0.13版本,在数据库存放有如下几张数据表,已颁发的有效证书表,表结构如表四:
字段名 | 类型 | 说明 |
证书主题名称 | 字符型,长度255 | 主关键字 |
颁发者主题名称 | 字符型,长度255 | 非空值 |
证书序列号 | bigint unsigned长度20 | 非空值,唯一值 |
证书生效日期 | datetime类型 | 非空值 |
证书作废日期 | datetime类型 | 非空值 |
X.509证书 | BLOB类型 | 非空值 |
表四
证书吊销数据表,表结构如表五:
字段名 | 类型 | 说明 |
证书主题名称 | 字符型,长度255 | 主关键字 |
证书序列号 | bigint unsigned长度20 | 非空值,唯一值 |
证书作废日期 | datetime类型 | 非空值 |
证书作废原因 | 字符型,长度3 | 非空值 |
证书作废原因编码字段值定义如下:
000 客户私钥泄漏
001 证书主题改名
002 认证中心主动回收证书
003 证书到期
其它的原因可以根据需要加入定义。
跨域证书信任数据表,表结构类型如表六:
字段名 | 类型 | 说明 |
信任域名称 | 字符型,长度255 | 主关键字 |
域证书序列号 | bigint unsigned长度20 | 非空值,唯一值 |
颁发者主题名称 | 字符型,长度255 | 非空值 |
域证书生效日期 | datetime类型 | 非空值 |
域证书作废日期 | datetime类型 | 非空值 |
信任代理标志 | bool类型 | 非空值 |
信任代理内容 | Bit型长度16位 | 非空值,每位代表一种证书类型 |
X.509域证书 | BLOB类型 | 非空值 |
表六
跨域认证服务模块5是本PKI/CA系统实现域间信任关系构建和跨域认证的核心模块,它负责发起和接受信任关系建立的请求,建立和维护本域跨域证书信任数据表。响应域内证书用户的跨域证书认证请求。
构建根认证中心服务器的操作如下,首先在各个域根认证中心服务器上安装认证中心服务器软件,初始化本地自治域认证中心配置,然后启动跨域认证中心证书服务。假设“edu.cn”域的安全策略只允许和“com.cn”和“gov.cn”建立相互信任关系,并且不允许“com.cn”代理其信任关系,只允许“gov.cn”代理“服务器认证”和“安全电子邮件”的功能。而“gov.cn”只允许其他信任域代理“安全电子邮件”功能,那么最后在“edu.cn”域的根认证中心服务器上形成的域信任证书链路表内容如表七:
信任域 | 信任代理标志 | 信任代理内容 |
com.cn | False | —— |
gov.cn | True | “服务器认证”、“安全电子邮件” |
表七
同时,在“gov.cn”域的根认证中心服务器上形成的域信任证书链路表内容如表八
信任域 | 信任代理标志 | 信任代理内容 |
edu.cn | True | “安全电子邮件” |
表八
Claims (2)
1、一种身份认证的方法,首先完成构建域间信任关系,将各个自治域联合构成一个统一的公钥基础设施复合域,之后,当用户A需要对用户B的证书进行认证时,用户A首先通过检查用户B的证书,判断用户B是否和自己处在同一个自治域,如果是同一个域,则是可信的;否则,用户A则通过以下两种方式之一对用户B的证书进行验证:第一种方式是通过直接向认证中心提出证书认证请求,由认证中心负责认证用户B的证书,并将认证结果返回给用户A;第二种方式是由用户A直接利用在线证书状态协议直接从本域的轻量级证书目录服务器中查询用户B所在域的根认证中心是否被本域所信任,如果两个自治域存在信任关系,那么用户B的证书是可信的,否则,用户B的证书是不可信的;
构建公钥基础设施复合域的步骤为:
(1)将整个公钥基础设施系统划分成自治域,使每个域内都只有一个根认证中心;
(2)为各认证中心建立用户证书,为各根认证中心建立用户证书和域证书,用户证书和域证书均包括证书颁发者、证书主题、公钥、证书功能、有效日期以及证书颁发签名字段,域证书还包括信任代理字段和授权内容字段;
(3)按照下述方式建立各个自治域之间的信任关系:
(3.1)简单自治域与简单自治域:两个域的根认证中心分别根据各自域的证书安全策略相互为对方签发域证书,再将域证书和域名添加到各自域的跨域证书信任数据表;
(3.2)简单自治域与复合自治域:将简单自治域与复合自治域中的任何一个简单域建立直接信任关系,简单自治域再通过该直接信任域的作用与复合域中的其他简单域建立间接信任关系;
(3.3)复合自治域与复合自治域:每个复合自治域中各选一个域,在这些域之间直接建立信任关系,双方互相交换各自跨域证书信任数据表中可传递的信任证书链,然后将这些域得到的信任证书链传递给所在复合自治域中的其它域,使各复合域中的其它简单域之间相互建立起信任关系。
2、实现上述方法的系统,包括认证中心服务模块、注册服务模块、证书数据库和轻量级目录证书数据库服务器,所述认证中心服务模块与用户终端以及所述注册服务模块、证书数据库和轻量级目录证书数据库服务器相连,用于根据用户不同的请求创建各种类型的用户证书,管理本自治域所有用户的证书;所述注册服务模块用于接受用户的证书申请,并向所述认证中心服务模块提出创建用户证书的请求,并向用户发放证书;所述证书数据库用于存放本域的所有用户证书数据和其它信任域的域信任证书数据,所述轻量级目录证书数据库服务器用于发布用户的证书和黑名单信息;其特征在于:
证书数据库(3)增设有跨域证书信任数据表,用于存放域信任证书,该系统还包括用于跨域认证所需要的跨域认证服务模块(5),该模块由域认证子模块(5.1)和域证书管理子模块(5.2)构成,域认证子模块(5.1)与域证书管理子模块(5.2)相连,用于完成各个自治域的认证中心之间的身份认证过程;域证书管理子模块(5.2)分别与证书数据库(3)和轻量级目录证书数据库服务器(4)相连,用于负责创建和维护跨域证书信任数据表,同时,通过轻量级目录证书数据库服务器发布域信任证书供本域用户在查询和验证域外用户的证书时使用。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB2003101114374A CN100347986C (zh) | 2003-11-24 | 2003-11-24 | 一种身份认证的方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB2003101114374A CN100347986C (zh) | 2003-11-24 | 2003-11-24 | 一种身份认证的方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1545243A CN1545243A (zh) | 2004-11-10 |
CN100347986C true CN100347986C (zh) | 2007-11-07 |
Family
ID=34336102
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB2003101114374A Expired - Fee Related CN100347986C (zh) | 2003-11-24 | 2003-11-24 | 一种身份认证的方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN100347986C (zh) |
Families Citing this family (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4715239B2 (ja) * | 2005-03-04 | 2011-07-06 | 沖電気工業株式会社 | 無線アクセス装置、無線アクセス方法及び無線ネットワーク |
US7844816B2 (en) * | 2005-06-08 | 2010-11-30 | International Business Machines Corporation | Relying party trust anchor based public key technology framework |
US8020001B2 (en) | 2006-02-23 | 2011-09-13 | Qualcomm Incorporated | Trusted code groups |
CN100380904C (zh) * | 2006-03-10 | 2008-04-09 | 四川大学 | 网络信息系统基于家族基因的信任方法 |
KR101041543B1 (ko) * | 2006-04-21 | 2011-06-17 | 인터디지탈 테크날러지 코포레이션 | 신뢰된 컴퓨팅 무결성 측정 보고를 수행하는 장치 및 방법 |
JP2010501103A (ja) * | 2006-08-18 | 2010-01-14 | ホアウェイ・テクノロジーズ・カンパニー・リミテッド | 認証のための方法およびシステム |
CN101212465B (zh) * | 2006-12-26 | 2011-10-26 | 中兴通讯股份有限公司 | 因特网密钥交换协议第二版证书有效性验证的方法 |
CN101753605B (zh) * | 2008-12-02 | 2012-08-08 | 北大方正集团有限公司 | 一种数据验证方法及一种服务器 |
CN101534309B (zh) | 2009-04-14 | 2013-03-13 | 华为技术有限公司 | 节点注册方法、路由更新方法、通讯系统以及相关设备 |
CN102474415B (zh) * | 2009-08-12 | 2015-04-01 | 摩托罗拉移动有限责任公司 | 可配置的在线公钥基础设施(pki)管理框架 |
CN101888297A (zh) * | 2010-07-16 | 2010-11-17 | 浙江省人大常委会办公厅信息中心 | 一种基于信任的跨域认证方法 |
CN102355467B (zh) * | 2011-10-18 | 2015-07-08 | 国网电力科学研究院 | 基于信任链传递的输变电设备状态监测系统安全防护方法 |
CN103023881B (zh) * | 2012-11-26 | 2016-05-25 | 北京奇虎科技有限公司 | 数据安全性判断方法及系统 |
CN102946398B (zh) * | 2012-11-26 | 2015-09-09 | 国网信息通信有限公司 | 一种双网隔离环境下的数字证书系统 |
CN103259799B (zh) * | 2013-05-28 | 2015-10-21 | 赵建华 | 一种基于b/s架构的电子证书配号处理方法 |
CN103490881B (zh) * | 2013-09-06 | 2017-01-25 | 数安时代科技股份有限公司 | 认证服务系统、用户认证方法、认证信息处理方法及系统 |
GB2535165B (en) | 2015-02-09 | 2021-09-29 | Arm Ip Ltd | A method of establishing trust between a device and an apparatus |
CN106603461A (zh) * | 2015-10-14 | 2017-04-26 | 阿里巴巴集团控股有限公司 | 一种业务认证的方法、装置和系统 |
CN105743885B (zh) * | 2016-01-22 | 2019-09-27 | 山东大学(威海) | 基于多级服务器客户端模式的数据文件收发方法和装置 |
CN110661816B (zh) * | 2019-10-22 | 2021-11-05 | 北京印刷学院 | 一种基于区块链的跨域认证方法与电子设备 |
CN111262834B (zh) * | 2020-01-09 | 2022-03-29 | 中国信息通信研究院 | 物理实体的认证、可信解析方法、装置及系统 |
CN112132581B (zh) * | 2020-11-23 | 2021-02-19 | 中国人民解放军国防科技大学 | 基于iota的pki身份认证系统及方法 |
CN117240595A (zh) * | 2023-10-31 | 2023-12-15 | 浙江大学 | 一种支持多类信任体系的跨域身份认证方法及系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1350382A (zh) * | 2001-11-29 | 2002-05-22 | 东南大学 | 基于pki的vpn密钥交换的实现方法 |
CN1404267A (zh) * | 2002-10-01 | 2003-03-19 | 华中科技大学 | 一种安全网络传输方法及其系统 |
WO2003047161A1 (en) * | 2001-11-28 | 2003-06-05 | Telenor Asa | Method for registering and enabling pki functionalities |
-
2003
- 2003-11-24 CN CNB2003101114374A patent/CN100347986C/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2003047161A1 (en) * | 2001-11-28 | 2003-06-05 | Telenor Asa | Method for registering and enabling pki functionalities |
CN1350382A (zh) * | 2001-11-29 | 2002-05-22 | 东南大学 | 基于pki的vpn密钥交换的实现方法 |
CN1404267A (zh) * | 2002-10-01 | 2003-03-19 | 华中科技大学 | 一种安全网络传输方法及其系统 |
Non-Patent Citations (1)
Title |
---|
Web Servives身份认证与授权系统的研究与实践 王胜顺,金海.南昌大学学报,第26卷第3期 2002 * |
Also Published As
Publication number | Publication date |
---|---|
CN1545243A (zh) | 2004-11-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN100347986C (zh) | 一种身份认证的方法和系统 | |
CN106789090B (zh) | 基于区块链的公钥基础设施系统及半随机联合证书签名方法 | |
US7937584B2 (en) | Method and system for key certification | |
US7844816B2 (en) | Relying party trust anchor based public key technology framework | |
US8086842B2 (en) | Peer-to-peer contact exchange | |
US20090265548A1 (en) | Revocation of cryptographic digital certificates | |
US20050100166A1 (en) | Systems and methods for authenticating communications in a network medium | |
US20090240941A1 (en) | Method and apparatus for authenticating device in multi domain home network environment | |
US20100138907A1 (en) | Method and system for generating digital certificates and certificate signing requests | |
CN102647394B (zh) | 路由设备身份认证方法及装置 | |
CN1859096A (zh) | 一种安全认证系统及方法 | |
CN1905436A (zh) | 保证数据交换安全的方法 | |
JP2009514072A (ja) | コンピュータ資源への安全なアクセスを提供する方法 | |
CN1805341A (zh) | 跨安全域的网络认证和密钥分配方法 | |
CN1765078A (zh) | 认证方法 | |
KR20050013585A (ko) | 디바이스들간의 인증 방법 | |
AU2003202511A1 (en) | Methods for authenticating potential members invited to join a group | |
CN1640092A (zh) | 用于提供带客户授权验证的密钥管理协议的系统和方法 | |
KR20140127303A (ko) | 다중 팩터 인증 기관 | |
CN113746632B (zh) | 一种物联网系统多级身份认证方法 | |
WO2020020008A1 (zh) | 一种鉴权方法及鉴权系统 | |
CN1956376A (zh) | 一种宽带接入用户认证方法 | |
WO2008002081A1 (en) | Method and apparatus for authenticating device in multi domain home network environment | |
WO2008013656A2 (en) | Content control system and method using certificate chains | |
CN1352434A (zh) | 基于信任与授权服务的电子政务安全平台系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C17 | Cessation of patent right | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20071107 Termination date: 20101124 |