基于RFC2025的PKI内部通信安全实现研究.pdfVIP

·132· 第二十次全国计算机安全学术交流会论文 基于RFC2025的PKI内部通信安全实现 李安怀 高 能 林憬锵 荆继武 中国科学院研究生院信息安全国家重点实验室 摘要：公钥基础设施(PKI)是解决网络安全的重要技术之一，一套完整的PKI系统常由多 个模块组成，如何在复杂的网络环境中保证这些模块之间的通信安全，RFC2025已 经提出了一个通用的解决方案，本文就是介绍实际应用中的一种具体实现方案。该 方案在设计上对原协议进行了一些约定和扩展，实现上使用面向对象方法和回调函 数，使用土缓存密钥，减少协商次数。这样实现、使用都比较方便，而且保证安 全，提高效率。 关键词：PKI通信安全R1=C2025密钥 特点进行总结，设计上对原协议进行一些约定，功能 1、引言 上进行扩展，实现上采用面向对象方法和回调函数， 使用上缓存密钥，减少协商次数，安全上定时更新密 随着Internet的飞速发展，各种网上活动日益增 钥。结果简化实现，易于维护，提高效率和安全性。 多，为了保证其安全性和合法性，公钥基础设施PKI 作为一种通用的解决方案被提出来了。PKI系统通常 2、标准协议介绍 由多个物理上松散分布的功能模块组成，主要的功 能模块有： 公钥密码算法操作严重消耗资源，而且效率很低【31， ◆CA：负责策略制定，证书的签发、更新和撤 通常的方法是使用公钥算法协商出对称密钥，再用该 销，RA的创建和管理 对称密钥保护后续通信安全[21。PKI系统内部通信量 ◆RA：负责用户身份的验证和注册，发布证书 很大，其安全性也只能通过对称算法来保证。关键就 和CRL 是如何产生、分发、保存和使用对称加密参数和加密 ◆KMC：负责密钥的生成、存储、分发、备份、更 密钥。RFC2025解决了产生和分发这两个问题，但没 新、撤销、归档和恢复等全过程的管理 有说明如何保存与使用。 ◆目录服务器：存放证书和证书撤销列表，便 RFC2025对密钥协商过程中使用的密码算法和 于终端用户获取 消息格式进行了明确说明，其说明与实际使用机制 ◆审计中心：负责日志的收集、归档、审计等工作 和应用环境无关，保证了通用性和兼容性。密码算法 如何保证这些功能模块之间的通信安全，也就 包括机密性算法、完整性算法、哈希算法和公钥加解 成为一个关注的热点。 密算法。它定义的密钥协商协议类似网络连接的“三 RFC2025为对等实体间的通信安全提供了一个次握手”：请求者发送请求消息SPKM—REQ，响应者 ．通用．的．解决方案．，它定望工=企协议．以保证通信杰 回应消。皂型KM—REP-TI，请求者再发送确认消息 全性，但是，作为一个通用框架，它并没有涉及具体 SPKM-REP一1T。若中间发生错误，都会错误消息 实现过程和实现细节。本文对具体实现过程和实现 SPKM—ERROR，以通知对方协商失败，不再进行后 大会论文 ·J33· 续操作。 · 都颁发有证书。为了减少协商过程中通信数据量，所 在此协议中，密钥协商和身份认证同时进行，身 有服务程序证书都预先存放在数据库中，密钥协商时 份认证采用“挑战一响应”机制，并且双向认证，这就 直接从数据库中读取，而无需通过