证书安全管理机制

2024-10-30

证书安全管理机制(精选3篇)

证书安全管理机制 篇1

引言:在实际的网络管理中, 为了实现网络访问和数据传输的安全性, 经常使用证书来实现安全认证和加密操作。因此对于网络管理员来说, 就需要对证书管理机制进行深入了解和掌握, 对于实现网络的安全管理是很有意义的。

在实际的网络管理中, 为了实现网络访问和数据传输的安全性, 经常使用证书来实现安全认证和加密操作。因此对于网络管理员来说, 就需要对证书管理机制进行深入了解和掌握, 对于实现网络的安全管理是很有意义的。

企业CA的部署

以部署企业CA为例, 在域中某台Windows Server2012服务器上打开服务器管理器, 点击“安装角色和功能”项, 在角色列表中选择“Active Directory证书服务”项, 在“下一步”窗口中的“角色服务”列表中选择“证书颁发机构”和“证书颁发机构Web注册”项即可, 点击安装按钮, 点击“配置目标服务器上的Active Directory证书服务”链接, 在AD CS窗口中点击“下一步”按钮, 选择上述两个角色服务项, 在指定CA的设置类型窗口中选择“企业CA”项, 之后选择“根CA”项, 在指定私钥类型窗口中选择“创建新的私钥”项, 这是因为若要生成证书并将其颁发给客户端, CA必须具有自己的私钥。接下来根据需要修改CA的名称, 其余选项采取默认值, 点击配置按钮, 执行配置操作。

使用证书实现安全访问

当客户端登录到域环境之后, 运行“mmc”程序, 在控制台中点击“文件”、“添加/删除管理单元”项, 在打开窗口中选择“证书”项, 点击添加按钮。在左侧选择“证书-当前用户”、“受信任的根证书颁发机构”项, 在右侧可以看到上述企业CA名称。使用证书可以实现安全认证和数据的加密传输。例如可以保证用户安全的访问目标网站。在域中某Web服务器上打开IIS管理器, 在左侧选择服务器名称, 在中部的“IIS”栏中双击“服务器证书”项, 在弹出界面右侧点击“创建域证书”链接, 在“向导”界面 (如图1所示) 中输入证书的通用名称 (要和域名保持一致) , 组织等信息。

点击“下一步”按钮, 在“联机证书颁发机构”窗口中点击“选择”按钮, 选择上述CA证书服务器, 点击“确定”按钮完成选择操作, 在“好记名称”栏中为本证书指定一个易于记忆的名称, 点击“完成”按钮, 就完成了证书的创建操作, 该证书是由域的证书颁发机构颁发的。当创建了所需的证书后, 在IIS管理器中选择目标站点, 在右侧点击“绑定”选项, 在打开窗口 (如图2所示) 中点击“添加”按钮, 在“类型”列表中选择“HTTPS”选项, 在“SSL证书”列表中选择上述对应的证书, 即可为该网站绑定证书。

当客户端打开“https://www.xxx.com”之类的网站时, 就可以实现安全访问。如果想简化操作, 直接打开“www.xxx.com”之类的名称, 如果可以实现与上述相同的安全访问的话, 可以在服务器上新建一个文件夹 (例如“c:quickweb”等) 。在IIS管理器左侧选择“网站”选项, 在右侧点击“添加网站”链接, 输入网站名称 (例如“Quick”等) , 在“物理路径”栏中点击“浏览”按钮, 选择上述文件夹。在“IP地址”列表中选择合适的IP, 点击“确定”按钮, 添加该网站。

打开“添加角色和功能”向导, 在角色列表中依次打开“Web服务器”、“常见HTTP功能”项, 确保选择其中的“HTTP重定向”项, 之后安装该组件。重新启动IIS服务, 在IIS管理器左侧选择“Quick”站点, 在右侧双击“HTTP重定向”项, 选择“将请求重定向到此目标”项, 输入“https://www.xxx.com”, 选择“将所有请求重定向到确切的目标”和“将所有请求重定向到此目录中的内容”项, 点击“应用”链接保存配置信息。这样, 客户端只需输入“www.xxx.com”, 就可以以HTTPS方式访问网站了。因为在域环境中, 客户端是信任CA的。

实现证书的注册代理

在活动目录环境中, 使用注册代理可以让指定的用户来帮助其他用户申请证书, 降低管理员的工作压力。在CA服务器上打开证书颁发机构窗口, 在左侧选择“证书模版”项, 在空白处点击右键, 在弹出菜单中点击“新建”、“要颁发的证书模版”项, 在弹出窗口中选择“注册代理”项, 点击“确定”按钮保存配置信息。

在客户端执行“mmc”程序, 在控制台中点击“文件”、“添加/删除管理单元”项, 添加针对用户账户的证书项目。在左侧选择“个人”、“证书”项, 在其右键菜单上点击“所有任务”、“申请新证书”项, 在向导界面中的请求证书窗口中选择“注册代理”选项, 点击“注册”按钮完成注册操作。这样, 该客户端用户就可以帮助别的用户申请证书, 方法是在上述菜单中依次点击“所有任务”、“高级操作”、“注册代表”选项, 点击“下一步”按钮, 在选择注册代理证书窗口中点击“浏览”按钮, 选择上述申请的证书, 在“下一步”中列出所有的可用证书模版, 从中选择为用户申请的证书模版, 在“下一步”窗口中点击“浏览”按钮, 添加目标域账户名。点击“注册”按钮, 就针对该账户申请了特定模版的证书。点击“下一位用户”, 可以继续为别的用户申请证书。当选择“个人”、“证书”选项, 就可以显示为指定的账户申请到的证书。

使用联机响应, 检测证书状态

使用OSCP连机响应功能, 可以检测证书的状态。在CA服务器上打开证书颁发机构窗口, 在左侧的“证书模版”项的右键菜单中点击“管理”项, 在证书模版管理控制台中双击“OCSP响应签名”模版, 在其属性窗口中的“安全”面板中点击“添加”按钮, 在弹出窗口中点击“对象类型”按钮, 选择“计算机”项。之后搜索并导入目标主机名 (例如“Web Server”) , 将其添加进来。选择该计算机账户, 在权限列表中的“允许”列中选择“注册”项, 点击确定按钮保存配置信息。在左侧选择“证书模版”项, 在空白处点击右键, 在弹出菜单中点击“新建”、“要颁发的证书模版”项, 选择“OCSP响应签名”模版, 将其添加进来。

在Web Server服务器上添加Active Directory活动目录证书角色, 并只选择“联机响应程序”项, 其余均不选择, 之后执行安装操作。打开联机响应程序管理窗口, 在左侧的“吊销配置”项的右键菜单上点击“添加吊销配置”项, 在向导界面中输入其名称, 选择“现有企业的CA证书”项, 在“下一步”窗口中选择“浏览Active Directory中发布的CA证书”项, 点击“浏览”按钮, 选择CA中发布的证书。点击“下一步”按钮, 选择“自动选择签名证书”和“自动注册OCSP签名证书”项, 点击“完成”按钮, 执行所需的配置操作。在CA服务器上打开证书颁发机构窗口, 在根节点的属性窗口中“扩展”面板中的“选择扩展”列表名中选择“颁发机构信息访问 (AIA) ”项, 点击“添加”按钮, 在打开窗口 (如图3) 中的“位置”栏中输入联机响应程序的位置, 例如“http://webserver.xxx.com/ocsp”。点击“确定”按钮, 选择“包括在联机证书状态协议扩展中”项。点击“应用”按钮, 按照提示重启AD证书服务。

在客户端上打开MMC控制台, 添加针对用户账户的证书管理单元, 打开“证书”、“个人”项, 可以按照上述方法, 来申请一张证书。之后选择该证书, 在其右键菜单上点击“所有任务”、“导出”项, 注意不要导出其私钥信息, 将其导出为独立的文件 (例如“new.cer”) 。当需要对该证书进行验证, 可以在CMD窗口中执行“certutil-url new.cer”命令, 在URL检索工具窗口中选择“OCSP (来自AIA) ”项, 点击“检索”按钮, 就会通过联机响应程序来检索该证书的状态。

管理多域名证书

在某些情况下需要在多个域名上绑定单张证书。例如, 在内网中访问Web服务器使用一个域名, 在外网上访问时需要另外一个域名等。对于普通的服务器来说, 实现起来并不那么简单。例如在访问量较大的场景中, 使用单台Web服务器无法满足要求, 需要使用多台Web服务器组成负载均衡群集, 使用单一的域名为客户端提供服务。为保证连接的安全性, 需要为其配置证书。但这两台Web服务器的全名是不同的。这样, 就需要为对外的域名和这两台主机的全名绑定证书, 即该证书中包含三个域名。

在Web Server1中执行“mmc”命令, 在控制台中点击“文件”、“添加/删除管理单元”项添加证书项目。在左侧选择“个人”、“证书”项, 在其右键菜单上依次点击“所有任务”、“高级操作”、“创建自定义请求”项, 在向导界面中选择“Active Directory注册策略”项, 在“下一步”窗口的“模版”列表中选择“Web服务器”项, 点击“下一步”按钮, 在证书信息窗口中打开Web服务器证书模版的属性窗口 (如图4所示) , 在“常规”面板中输入其名称。

在“使用者”面板的“类型”列表中选择“公用名”项, 在“值”栏中输入上述对外提供服务的域名。在“备用名称”栏中的“类型”列中选择“DNS”项, 在“值”栏中依次输入需要绑定的域名, 例如“www.xxx.com”, “Web Server.xxx.com”, “Web Server2.xxx.com”等, 添加到列表中。在“私钥”面板中打开“密钥用法”项, 在其中点击“密钥选项”项, 选择“使私钥可以导出”项, 允许导出私钥信息。点击“下一步”按钮, 点击“浏览”按钮, 将其导出为独立的文件。

打开导出的文件, 复制其内容, 在浏览器中访问CA证书颁发网址 (例如“http://CAserver.xxx.com/certsrv”) , 在弹出页面中点击“申请证书”链接, 之后点击“高级证书申请”链接, 在打开页面中点击“使用base64编码的CMC或PKCS#10文件提交一个证书, 或使用base64编码的PKCS#7续订证书申请”链接, 在打开页面中的“保存的申请”栏中粘贴申请文件内容, 在“证书模板”列表中选择“Web服务器”模板。点击“提交”按钮, 在证书已颁发页面中点击“下载证书”, 将证书文件下载到本地。

在IIS管理器中打开“服务器证书”项, 点击右侧的“完成证书申请”项。在打开窗口中点击“浏览”按钮, 选择上述下载的证书, 输入其名称, 这里为“www.xxx.com”。选择该证书, 点击“查看”项, 在其属性窗口中的“详细信息”面板中选择“使用者内用名称”项, 可以看到其中包含的所有域名信息。之后将其和目标网站进行捆绑。在证书的右键菜单上点击“导出”项, 设置导出路径和名称, 设置密码后得到“.pfx”的文件。在另外一台Web服务器上打开IIS管理器, 在其中的服务器证书窗口中点击“导入”项, 选择上述导出的文件, 输入密码, 即可将其导入, 然后将其和目标网站绑定即可。

证书安全管理机制 篇2

道路交通安全保证书

一是公司对因工作需要外出办事的人员,实行统一派车制度,职工不得驾驶私有机动车办公事,不允许驾驶公车办私车,对违反规定者,发生交通事故由交通管理部门处理,公司不承担任何责任;二是公司专职驾驶员要认真学习《交通安全法》等法律法规。坚持出车前、行驶中、收车后的车辆检查,不开带病车,不酒后驾车,不无证驾车,不肇事逃逸,开文明车。自觉遵守单位的交通安全管理和日常管理;

三是公司根据职工居住地区分布情况,配发了班车,因此,凡职工驾驶车辆、骑摩托车和自行车上下班者,属个人行为,如发生交通事故,公司不承担任何责任;

四是根据钻二质安[20xx]4号和钻二[20xx]1号文《关于转发关于禁止一线钻井职工在队期间回家的通知的通知》的文件规定,钻井队职工在队上班和下班休息期间禁止回家,换班时职工必须统一乘坐公司安排的换班车,禁止驾车、骑摩托车和自车倒班,否则,发生交通事故公司不承担任何责任。

道路安全保证书

农村道路交通安全管理保证书

一、工作目标

全市各地建立常态化农村道路交通安全管理队伍,各乡镇农村道路交通安全管理工作实现经费保障到位、人员落实、制度健全、机制完善、管理有序、考核逗硬;农村道路交通安全设施进一步完善,农村群众交通安全常识进一步普及,交通安全法制意识进一步增强;各类交通违法行为明显减少,一般交通事故明显下降,较大交通事故有效遏制,重大交通事故得到杜绝。

二、工作措施

(一)人力、财力、物力保障到位。

各地要把农村道路交通安全管理工作纳入重要议事日程,加大对乡镇交管办的工作支持和资金投入力度,人力、财力、物力保障到位,保障乡镇交管办工作正常开展。

1.管理工作机制明确。农村道路交通安全管理工作实行县级政府负总责,乡镇政府主责主抓,主要领导统筹协调,分管领导具体负责,相关部门各司其职。

2.乡镇交管力量充实到位。乡镇交管办要以乡镇公安派出所为依托开展农村道路交通安全管理工作,凡专职管理人员不足3人的乡镇,要根据辖区人口、道路、车辆及驾驶人数量等实际情况,尽快将管理人员配齐。

3.配齐工作装备。各地要为乡镇交管办安排专门办公场所,配置必要的办公设备和执勤执法装备,保障工作正常开展。

4.落实专门劝导人员。村委会干部要负责对辖区机动车、驾驶人及车主的交通安全教育、提醒和劝导,各村应根据实际情况,配备交通安全劝导员。

(二)完善管理工作配套制度。各地要按照全市道路交通安全综合整治攻坚年行动要求,对近年来制定的农村道路交通安全管理工作相关工作制度进行清理,并认真修订、充实和完善,为相关工作的开展打牢基础。

(三)建立联席会议制度。各地要建立道路交通安全工作局际联席会议制度,明确相关职能部门的职责和任务,定期召开农村交通安全管理工作联席会议,总结阶段性工作,分析存在的问题,提出改进措施,并督促抓好落实。

(四)完善交通安全宣传教育制度。各地要制订符合当地农村实际的交通安全宣传教育计划,完善交通安全宣传教育制度,组织开展经常性的交通安全宣传教育活动,不断提高村民的交通安全意识和自学遵守交通法规的意识。

(五)强化相关职能部门监管责任。各地道路交通安全局际联席会议要按照各级政府的工作部署和要求,牵头组织相关职能部门加强工作检查和业务指导,每月向本级政府上报一次农村道路交通安全管理工作情况。

(六)加强乡镇交管办工作人员业务培训指导。各地要把辖区所有乡镇交管办分解到承担相关职能的部门,实行部门定点联系和业务工作指导,不断提高乡镇交管办工作人员管理能力和工作水平。

(七)加强农村道路交通违法整治。各地要建立由乡镇牵头的农村道路交通安全综合整治制度,适时开展由派出所、交警中队和乡镇交管办工作人员参与的农村道路交通安全整治活动,重点查纠客车、校车、面包车、拖拉机、低速汽车、摩托车、电动自行车等交通违法行为,并开展交通安全宣传教育。公安派出所要按照省公安厅《四川省农村公安派出所参与道路交通安全工作规定(试行)》(川公交〔20xx〕93号)要求,认真履行交通安全管理工作职责,并确定一名民警经常参与当地交管办开展的交通违法行为查纠活动。

(八)加强交通安全隐患排查整治。各地要组织相关职能部门,定期对农村道路交通安全隐患进行全面深入排查,建立隐患台账,制定整治计划和完成时间表,加大财力投入,实施安保工程,逐步完善交通标志、标线等交通设施。

(九)落实农村道路管理养护职责。各地要切实履行本辖区农村公路建设、管理和养护主体职责,按照相关规定投入养护资金和日常管理补助,按照分级管理原则,明确目标任务,落实工作责任,完善考核机制,确保管理和养护落实。

(十)大力发展农村客运。各地要贯彻落实国家有关农村客运政策性补贴制度,制定发展农村客运总体规划,积极引导农村客运实行公司化、公交化和片区化经营。要合理设置农村客运站点,根据农村群众出行特点安排好车次和线路,保障群众平安出行。

(十一)强化摩托车交通安全管理。各地要进一步强化农村摩托车交通安全管理工作,加强摩托车驾驶人的交通安全教育,有关部门要加强管理和违法查处,要完善惠民政策,落实便民措施,大力推行带牌销售和下乡服务等便民服务制度,消除摩托车无牌无证现象。

(十二)实行考评考核管理工作机制。各地要把农村道路交

驾驶员道路交通安全承诺书

夏季将至,第二钻井公司结合自身实际,在制度、措施、行动上精心组织、超前部署,全面加强夏季行车安全。驾驶员在签订夏季安全行车保证书之前,该公司对驾驶员进行了夏季行车安全教育,并着重提出五点注意事项,一是出车前,要按照一日三检、《车辆巡回检查》、《车辆保养》等制度,对车辆进行认真检查,发现问题立即整改,杜绝开带病的车。二是夏季气温偏高,要注意轮胎的维护保养,尤其是轮胎气压,应稍低于标准气压,且左右轮胎气压一致,以防爆胎、跑偏。三是行车途中遇到下雨,会引起视线不清、视距变短,驾驶员要控制车速;夜间下雨行车,为防止开前大灯形成眩目的光幕,应关闭大灯,使用防雾灯。四是车辆通过积水区后,不要急于加速行驶,应先慢行试踩刹车,这样可以确认刹车是否良好,也可以将附在刹车关键部位上的水份排除。五是驾驶员要保持充足的睡眠,杜绝疲劳驾驶车辆。

证书安全管理机制 篇3

网格是构筑在互联网上的一组新兴技术, 它将高速互联网、高性能计算机、大型数据库、传感器、远程设备等融为一体, 为用户提供更多的资源、功能和交互性。

目前Globus是网格技术的典型代表和事实上的规范。GSI是Globus的安全基础构件工具包, 是一种集成现有安全技术来解决网格环境中安全问题的安全体系。GSI采用PKI技术和SSL协议。由于网格的分布式特性, 用户和资源可能位于不同的认证域中, 因此, 如何解决多个认证域间的相互认证至关重要。这些不同的域可能采用了不同的认证机制, 主要分为两种, 一种采用公钥基础设施 (PKI) ;另一种采用Kerberos协议。这两种机制并不兼容, 因此, 网格中的用户访问不同类型认证域中的资源时, 需要将它的证书转换为资源所在域中的证书格式。

1 Kerberos认证机制

Kerberos协议是基于对称密码体制实现认证的典型协议。一个完整服务的Kerberos协议环境中应包括用户C、应用服务器S、Kerberos分发中心KDC, KDC由认证服务器AS和票据授权服务器TGS组成。认证过程中身份认证的任务集中在身份认证服务器 (AS) 上执行, AS中保存了所有用户的口令。

Kerberos协议交互过程如图1所示。

(1) 用户C向AS提交身份信息, 用于申请Tickettgs, 通过Tickettgs可以访问TGS;

(2) AS验证C的访问权限后, 查询用户C与AS的共享密钥Kc, 将生成的票据Tickettgs以及C与TGS的会话密钥Kc, tgs用Kc加密后发回给用户C;

(3) 用户C将接收到的消息通过Kc解密, 得到Kc, tgs, 用户将Tickettgs、个人信息以及应用服务器的ID发给TGS;

(4) TGS实现对C的认证后, 将服务授权证TicketS及会话密钥KC, S用Kc, tgs加密后发回给用户C;

(5) 用户C将获得的TicketS连同个人信息发送给应用服务器S;

(6) 服务器S对信息认证后, 给用户提供相应的服务。

2 PKI认证机制

一个PKI系统主要包括终端实体 (End Entity, EE) 、认证机构 (Certification Authority, CA) 、证书库 (Certificate Repository, CR) 、证书撤销列表 (Certificate Revocation List, CRL) 库、注册机构 (Registration Authority, RA) 和及数字证书 (X.509 V3) , 如图2所示。

2.1 终端实体 (EE)

终端实体即持有PKI证书的用户, 是证书的主体。在PKI系统中, 终端实体是使用PKI所提供服务或功能的主体的统称。

2.2 认证机构 (CA)

认证机构是一个可信的权威机构, 是证书的签发者。CA和RA一起负责终端实体身份的真实性。CA签发和管理证书的域叫做信任域, 它可能跨越多个组织、公司或部门。CA的主要操作包括证书的签发、更新和撤销。

(1) 证书签发

CA创建一个数字证书并使用自己的私钥对其签名。公私钥对一般由用户生成, 用户向CA提交证书签发请求。在CA中建立RA后, CA把证书的验证以及一些其他的管理功能委托给RA。用户的请求通过验证后, CA创建并签发数字证书。

(2) 证书更新

每个证书都有有效期, 当证书过期后, 需要为持有该证书的实体签发一个新的证书。

(3) 证书撤销

证书的有效期表明它过期的时间, 通常情况下, 由于私钥泄露、用户调动等原因, 证书需要在过期之前就撤销。需要撤销证书时, CA发布证书的撤销信息。用户通过该信息确定证书的状态。

2.3 证书库 (CR)

证书库存储着证书和CRL中已经撤销的证书, 它对PKI系统不是必需的, 但是它能给PKI系统的使用和管理带来很大便利。证书库可以作为目录 (Directory) 实现并通过LDAP协议 (Lightweight Directory Access Protocol) 访问。证书库使得CRL发布系统的设计更加简单, 而且, LDAP的简便性和灵活性提高了证书库的可用性。

2.4 注册机构 (RA)

RA是PKI中可选的部分, 作为CA的下级服务器被CA所信任, 尽管注册的功能可以直接由CA来实现, 但当PKI域内的实体用户数量很大并且在地理上很分散时, 就有必要建立单独的RA来实现注册功能, 负责对终端用户的注册管理, RA并不具备签发证书或CRL的功能。

2.5 X.509证书

X.509证书是PKI最常用的证书格式, 广泛用于支持PKI的协议和应用程序中, 如SSL、S/MINE、SET等。X.509证书通过CA的签名实现用户的身份和公钥的绑定, X.509证书主要包括证书版本、证书序列号、公钥信息、签发者ID、持有者ID、有效期、扩展项等内容。

3 Kerberos票据与X.509证书转换机制

PKI机制的扩展性强, 适合在大范围、开放式网格环境中进行认证, 因此, GSI中采用了PKI机制, 而Kerberos机制采用对称密码体制, 效率较高, 应用非常广泛。PKI与Kerberos并不兼容, 因此, 实现Kerberos票据与X.509证书的转换变得非常重要, 目前已有KX.509协议可以把Kerberos票据转换为X.509证书。

KX.509协议由美国密歇根大学开发, 它对现有的Kerberos协议进行扩充, 在KDC中增加了一个KCA (Kerberized Certificate Authority) , 使得用户可以通过Kerberos票据得到X.509证书, Kerberos域中的用户先向TGS申请访问KCA的票据, 在客户端生成公私钥对, 把公钥以及访问KCA的票据发送给KCA。KCA验证用户的身份, 通过验证后, 为用户签发临时X.509证书, 证书的有效期一般不超过Kerberos票据的有效期。用户通过证书与PKI域中的资源交互。KCA和PKI域中的CA相互签发证书, 建立交叉认证。KX.509协议流程如图3所示。

(1) 用户C向认证服务器申请访问票据授权服务器TGS的票据Tickettgs;

(2) AS认证用户C的身份信息, 通过认证后, 生成用户C和TGS的共享密钥KC, TGS, 并为用户C签发Tickettgs, Tickettgs中包含用户的ID、有效期等, 用TGS和AS的共享密钥Ktgs加密;

其中Tickettgs=EKtgsc[Ec, tgs, IDC, IDtgs, Lifetime1]

Kc表示用户C和AS的共享密钥;

Ktgs表示TGS和AS的共享密钥。

(3) 用户C通过Tickettgs向TGS申请访问KCA的票据;

其中作为认证码, 表明消息发送者知道C和TGS之间的共享密钥KC, TGS;

(4) TGS验证Tickettgs的有效性以及用户C的身份信息, 通过验证后, 由Tickettgs得到C和TGS之间的共享密钥KC, TGS。然后生成用户C和KCA的共享密钥KC, KCA, 并为用户C签发Ticketkca, Tickettgs中包含用户C的ID、有效期等, 用TGS和KCA的共享密钥KTGS, KCA加密;

其中

KTGS, KCA表示TGS和KCA的共享密钥。

(5) 用户C生成公私钥对, 向KCA发送自己的身份信息和公钥KC', 通过Ticketkca向KCA请求签发X.509证书, 作为认证码, 既可以表明消息发送者知道C和K CA之间的共享密钥K C, K CA, 又可以防止公钥K C’被篡改;

其中KC'表示C的公钥。

(6) K CA验证T icketkca的有效性以及用户C的身份信息, 通过验证后, 由T icketkca得到C和KCA之间的共享密钥KC, T G S, 为用户C签发X.509证书, 然后用KC, T G S加密, 既可以表明证书由K CA签发, 又可以防止证书被篡改;

其中Cer (C) 表示K CA为C签发的X.509证书, 包含了证书签发者、持有者、持有者的公钥、有效期等信息。

(7) 用户通过X.509证书Cer (C) 访问应用服务器。

KX.509的过程对用户是透明的, 用户只需要输入Kerberos口令, 其他的工作由KX.509模块完成。但KX.509并不是完全自动的, 管理员需要修改客户机系统中的一些文件, 为了运行K X.509的可执行文件, 需要设置若干环境变量。K X.509方案只能提供把K erberos票据转换为X.509证书的功能, 而不能把X.509证书转换为K erberos票据。

4 一种K erberos票据与X.509证书双向转换方案T G SCA

在K X.509方案中, T G S和K CA是相互独立的, 用户向T G S申请到访问K CA的票据后, 才可以通过该票据向K CA申请签发证书。由于访问T G S和访问K CA是有序的, K CA只能提供将K erberos票据转换为X.509证书的功能, 而不能提供将X.509证书转换为K erberos票据的功能。

4.1 T G SCA方案介绍

借鉴K X.509方案中在K DC中增加K C A的思想, 对K erberos认证机制的T G S进行扩充, 使它同时具有CA的功能, 从而提出了一种T G SCA认证方案。该方案中的T G S既具有传统T G S的功能, 又具有CA的功能, 它既可以为用户签发X.509证书, 也可以为自己签发X.509证书。T G S的私钥妥善保管起来, 域内所有的用户都知道T G S的公钥。T G S之间通过自签证书建立交叉认证, 也可以与PKI域中的CA建立交叉认证。T G S与本域的每个用户和服务器都共享对称密钥, K erberos域中用户访问K erberos域中资源时, 仍然使用对称密钥进行交互。当K erberos域中的用户访问PKI域中的资源时, T G S先验证用户的票据, 通过验证后, T G S发挥CA的功能, 为用户签发X.509证书;PKI域中的用户访问K erberos域中的资源时, T G S先发挥作为CA的功能, 对用户进行认证, 通过认证后, 再发挥作为T G S的功能, 为用户签发K erberos票据。T G SCA方案的结构如图4所示。

4.2 T G SCA方案分析

本文对K X.509方案进行改进, 提出了一种新的认证方案, 具有以下特点:

(1) K DC中的T G S具有CA的功能, 既可以实现从K erberos票据到X.509证书的转换, 又可以实现从X.509证书到K erberos票据的转换, T G S和CA可以通过交叉认证建立信任关系, 从而把PKI域和K erberos域无缝集成为一个大的认证域;

(2) K erberos域之间认证时, 本地T G S与远程T G S通过各自的公钥证书而不是共享的对称密钥来建立信任关系, 减少了共享密钥的数量, 提高了K erberos域间认证的安全性和可扩展性。

5 总结

当前的网格认证方案多是解决P K I域之间的认证, 对P K I域和K erberos域之间认证的解决方案只能把其中的一种认证机制转换为另一种。本文提出一种T G SCA方案, 使得T G S具有CA的功能, T G S既可以和其他T G S之间通过交叉认证建立信任关系, 提高了K erberos域间认证的安全性和可扩展性, 又可以和P K I域中的CA建立交叉认证, 实现了K erberos票据与X.509证书的相互转换, 能够更好地适应网格环境的需要。

摘要:本文分析了网格认证的特点, 描述了将Kerberos票据转换为x.509证书的KX.509方案的认证过程, 总结了该方案的不足, 并给出了一种支持双向转换的TGSCA方案。

关键词:网格,Kerberos协议,公钥基础设施,KX.509协议,TGSCA方案

参考文献

[1]I.Foster, C.Kesselman.The Grid2:Blueprint for a New Computing Infrastructure.Morgan Kaufmann.2004.

[2]I.Cervesato, A.D.Jaggard.Spedifying Kerberos5 Cross-realm authentication.January2005.

[3]Russ Housley, Tim Polk.Planning for PKI:Best Practices Guide for Deploying Public Key Infrastructure[M].John Wiley&Sons.2001.

上一篇:相关血流感染下一篇:知识型员工的激励分析