IBE-XKMS一个基于XML的IBE密钥管理服务体系 IBE-XKMSXML-Based IBE Key Management Service Infrastructure.pdfVIP

研究与开发 陈铁明馏，李伟1，蔡家楣1，马世龙2 (1．浙江工业大学计算机科学与技术学院杭州310023； 2．北京航空航天大学软件开发环境国家重点实验室 北京100191) 本文详细分析了基于身份的公钥加密体制(IBE)较PKI在XKMS方面的应用优势．提出了一个面向 IBE的XKMS服务体系——IBE．XKMS，阐述了系统管理、身份认证、密钥生成、密钥管理等模块 的功能架构以及系统服务的逻辑关系．设计了4类IBE密钥服务，除实现基本的XKMS密钥操作接 口外，还设计了支持零客户端安全应用开发的数字信封和数字签名等服务接口。为下一代网络开发 环境提供了一个完整的IBE密钥管理服务解决方案。本文实现了一个IBE．XKMS原型系统．并给出 现了IBE-XKMS的性能优势。 蠹荚键嘲PKI；IBE；砌。咚；XML；W西Servioe；密锈管瑗 繁琐的证书解析、证书验证等公钥信任操作设计成一套 1 引言 PKI的Web Service，客户端或服务器应用程序都可通过请 网络通信安全与数据加密需求的日益增强，使得公钥 求XKMS服务完成PKI证书操作。因而被视为下一代PKI 密码技术的应用越来越广泛，与此同时学术界在公钥技术 应用体系。 方面的研究成果层出不穷fl】，每年召开的PKC(publickey 为了避免PKI公钥证书管理的复杂化，无证书公钥技 术一直是近年来业界研究的热点．其中基于身份的公钥加 crypto龋lphy)等会议都会呈现一些公钥研究的新进展12】。公 钥基础设施(PKI)t3J是目前普遍使用的安全应用架构，密(identity-basedencryption，IBE)体制获得了广泛应用。 SSL、S／MIME、SSH等安全协议均采用PKI数字证书认证，IBE可直接将用户的ID映射为用户的公钥，由密钥管理 网络银行等在线金融系统也都基于PKI开发。显然，证书 中心(PKG)产生用户私钥，无需发布任何公钥证书，适用 管理和验证等复杂的信任处理是PKI系统应用的最大阻 于密钥集中托管的各类安全应用。鉴于IBE密钥特点，研 力。为了减轻PKI应用程序的操作复杂度，适应Web究基于XML的IBE密钥管理体系可实现更灵活、更便捷 的IBE安全服务．形成以服务为中心的下一代网络安全应 Service闱的发展趋势。业界提出了基于XML的密钥管理规 用环境。最近有学者提出基于Ⅺ瑚S实现IBE密钥管理的 范(XMLmanagementspecification。XKMS)t5l。XKMS将 key 设想[61，但到目前为止，尚未出现基于XML的IBE密钥管 +国家“973”计划基金资助项目(No．2010CB328106)，国家自然 理服务体系相关的研究成果。本文围绕IBE的特点。在分 科学基金资助项目(No，软件开发环境国家重点实 验室开放课题(No．SKLSDE一2009KF一2—01) 析XKMS的基础上．提出了一个基于XML的IBE密钥服 万方数据 电信科学2∞O笨第7鬓 务体系——IBE．XKMS。 得其ID对应的解密私钥。 IBE是一种安全、灵活、高效的集中式应