身份认证系统LedCA的校园网安全解决方案分析
- 作者:admin 来源:网络 日期:2009-2-19 23:13:16
⑵证书Web对外发布模块
该模块接受来自注册管理模块的调用请求,向Web证书发布数据库中发布用户的证书和最新的CRL信息;接受用户从浏览器上发出的查询证书或下载证书的请求,并返回相应的结果给用户。该模块主要是基于证书数据库的Web页面开发,实现语言可以用ASP、PHP等。其中证书的传递有两种方式,一是通过SSL安全连接的Web页下载;另一种是通过安全电子邮件。
⑶注册管理模块
该模块运行于Window平台,提供管理员向CA服务器申请证书,以及向Web对外服务器发布证书。该模块可以用VisualC++、Delphi等高级语言实现,主要进行证书数据库的查询管理等编程。模块具体操作有:
·管理员填写用户的基本资料之后,向CA服务器提交证书申请,如果申请成功,CA服务器返回X.509证书、PKCS12证书以及PKCS12证书访问密码。
·向Web对外服务器发布用户的X.509证书。
·将用户的PKCS12证书写入磁盘,并打印出用户的PKCS12证书访问密码。
·向CA服务器提交证书撤销申请,如果申请成功,CA服务器返回最新的CRL。并向Web服务器发布最新的CRL。
·管理员填写用户的基本资料之后,向CA服务器提交证书申请,如果申请成功,CA服务器返回X.509证书、PKCS12证书以及PKCS12证书访问密码。
·向Web对外服务器发布用户的X.509证书。
·将用户的PKCS12证书写入磁盘,并打印出用户的PKCS12证书访问密码。
·向CA服务器提交证书撤销申请,如果申请成功,CA服务器返回最新的CRL。
·向Web对外服务器发布最新的CRL。
⑷密钥备份和恢复以及证书撤销模块
系统所签发的所有证书相关内容及私钥密码都安全保存在数据库中,无论对于密码丢失还是私钥文件的缺失等问题,都可以根据数据库相关记录进行恢复。对于撤销的证书一是及时更新证书库相关证书记录状态,二是产生吊销证书列表提供最新撤销信息。同时密钥文件的管理(备份和恢复)可以通过管理LDAP来实现。
3.2.2用户使用流程
在该方案中,一个用户在登录校园网前,必须申请办理数字证书用户申请。步骤如下:1、注册机构审核。2、CA发行证书。3、注册机构证书转发。4、用户证书获取。用户证书获取后,由网络管理派发申请用户一个实体密码鉴别器(USB-KEY)及一个IP地址,同时得到一个密码信封,内含实体密码鉴别器的序列号和密码,这样用户业务申请成功。需要上网时,用户插上实体密码鉴别器,启动登录程序,输入实体密码鉴别器的序列号和密码,然后由接入认证交换机和信任与授权服务支撑平台对用户进行基于数字证书的认证,认证通过后用户就可以享受校园网服务;未通过,则禁止用户接入。用户正常上网期间,由接入认证交换机定期向实体密码鉴别器发送证书请求,并对实体密码鉴别器上传的证书做验证,确保用户上网的合法性。
用户证书撤销流程步骤如下:1、用户向注册机构操作员发送一封签名加密的邮件,声明自己自愿撤消证书。2、这册机构同意证书撤消,操作员键入用户的序列号,对请求进行数字签名。3、CA查询证书撤消请求列表,选出其中的一个,验证操作员的数字签名,如果正确的话,则同意用户的证书撤消申请,同时更新CRL列表,然后将CRL以多种格式输出。4、注册机构转发证书撤消列表。操作员导入CRL,以多种不同的格式将CRL公布于众。
3.2.3LedCA扩展到属性认证系统LedAA
LedAA系统的总体设计思想是在LedCA系统中增加PMI模块,结合LedCA和PMI的优点,实现一个较为完善的安全认证系统。在系统中,LedCA用于实现基于身份的强认证、加密、数字签名等功能,PMI则用于实现基于属性的访问控制功能。增加PMI后的系统结构如图。
用户在使用需要访问权限的网络资源之前必须按顺序向注册中心服务器申请身份证书和属性证书。注册中心服务器经过验证后将用户请求转发给属性证书服务器或基本证书服务器;证书服务器签发完证书后,将证书存储到证书目录服务器上,并用Email通知用户证书下载地址;用户接收到Email后就可以到指定的地址领取证书,并将证书存储在客户机相应的应用程序中。
当用户通过客户机向资源服务器请求资源时,如果用户请求的资源需要特定的访问权限,则资源服务器会要求用户提供属性证书,必要的时候要求提供身份证书;客户机的应用程序在收到资源服务器的证书请求后,将存储在特定位置的证书发送给服务器;资源服务器检查用户提供的证书,并根据其访问控制策略检验该用户是否具有对该资源的访问权,检验通过后授予用户相应资源的访问权限。
4结束语
基于身份认证系统LedCA的校园网安全应用解决方案,能够较好地实现身份认证、安全传输、不可否认性、数据完整性和用户定位等功能,经过实践检验,被证明是建设可信任的校园网环境的有效途径。具备身份认证和属性认证的安全系统具有非常广泛的应用前景,系统通过身份认证保证数据的完整性、保密性和不可否认性。通过属性认证实现用户权限的分配,确定其对资源的访问范围和权力。这在电子政务和电子商务甚至Intranet办公、远程教育等网络应用中都具有很好的发展前景。http://www.dxlww.net代写论文网
代写论文联系方式
联系QQ:904272800
联系信箱:904272800@qq.com
代写论文导航
客户、写手申请单
最新论文
热点论文
