基于数字证书的访问控制研究

  • 格式:pdf
  • 大小:304.14 KB
  • 文档页数:4
那 么应用 系 统必须 拒绝 该证 书 ; 但是 如 果 不被认 出
证书是否被撤销 : 由于 某 些 原 因 , 怀 疑 私 如
钥泄漏 或证 书 载 体 丢 失 , 书 需 要 挂 起 , 发 机 构 证 签 不对这 些证 书 的安 全 性 提 供 保 证 。检 验 证 书 的有
的项 是非 关 键 扩 展 , 可 以被 忽 视 。 因此 , 了通 则 为
己的私 有扩 展 。 2 2 证 书的验证 . 。
在 任何应 用 系统 中使 用数 字证 书 , 须要 验 证 必 证 书的有 效性 。对 证 书 有 效 性 的 验 证 一 般 包 括 以
下几 个方 面 :

用 系统 。数 字证 书 中 的每 一 扩 展 项 可 以是 关键 的 或 非关键 的 。如果 遇 到一项 不 能识 别 的关 键 扩展 ,
还包 括签 名算 法 和相关 参数 。 V3版证 书在 以前 版本 的基 础上 增 加 了扩 展 字 段 , 过扩 展域 为证 书提 供 了携 带 附加 信 息 和证 书 通
管理 的能 力 。V3版 证 书 的 扩 展 字 段 可 由多 段 组
3 基 于数字证 书的访 问控 制实现方法
可 以从 改变 证 书 内容 本身 、 增加 外 部 设施 等方
a d n KC e tn in,s ti g PM I etn p l a in wh t - l c s O c n r l c e s s c e a g fP d igP x e so etn ,s ti g a p i t i b a k l tt o t o c s — e r t n e o KC c o e i a r .At a t d a — s v n l a tg s a d d s d a t g so h h e a s h v e n g v n a e n ia v n a e ft e t r e me n a e b e ie .
络上身份 验证 的方式 , 用来证 明通 信 双方 身份 的 是 数 字信 息文件 。数 字证 书件 包 含 签发 该 证 书 的权
1 )版本 : 标示 该数 字证 书 的版 本 , 目前 身份 证 书可取值 为 0 1 2 分别 表示 X. 0 、和 , 5 9的第 1 第 2 、
和第 3个版 本 。


在 公 钥 基 础 设 施 的 应用 系统 中 , 数 字 证 书 有 效性 的验 证 只 涉 及 证 书 的完 整 性 、 效 期 和是 否 被 撤 销 等 几 个 对 有
方面 , 并不规定其具体应用 , 不能实现有效的访 问控制 , 从而造成一份有效 证书能够登陆多个应 用系统的情况 , 来安全隐 带
威 机构对 该证 书的签 名 , 通过 这个 签名 保 障证 书的
合法 性 和有效性 , 同时也保 障了证 书 中公钥 和其 他 相关 信息 的真 实 性 和完 整 性 。通 过 证 书 可 以方 便
地把 公钥传 递给一 个证 书使用 者 , 证 书 中剥离 出 从
来 的公钥 可用 于加 密 数 据或 者 验 证 对应 私 钥 的 签
Ab ta t Th ai a in o KC s rc ev l t fP d o i PKI p l a in s se o l o u n i tg iy s f lt n e o a i n o n n p i t y t m n y f c so e rt ,u e u — i a d r v c t ,n t y a c o n me o a i f r t n a o t ma e il y S n ef c u lPKC c n e t r ma y a p ia i n s s e n rn s h d n a g r F o n o ma i b u t r i . o a fe t a o at a n e n p l t y t ms a d b i g i i g d n e . r m c o
专 用 网、 全 电子 邮件 、 点 登 录 、 安 单 网页签 名 、 密 保 文件 夹 、 电子印章 等方 面 。数字 证 书具 有 高安 叫 全性 , 基于互操 作 标 准 , 提供 与操 作 系 统 无关 的各 种安全 服务 , 而它对 用户访 问权 限 的控制 却无 能 然
为力 。
可 以到秒 或 毫秒 。在 证 书 生 效 期 之 前 和 证 书 失 效 期之后 , 书 都是无 效 的 。 证 6 )主体名 : 字证 书 持 有 者 的可 识 别名 , 以 数 可 是用 户的 姓名 、 地址 等信 息 , 此字 段 必须 是 非 空 的 ,
除非 V3扩展 中定 义 了替换 名 。
T 33 P 9 中 图分 类 号
R e e r h o c s o r lBas d o s a c f Ac e c nt o s e n PKC
Zh u L b n Zh u Da i o i ig o we
( p .o n o ma i n S c rt ,Na a i .o n ie rn De t fI f r t e u iy o v lUn v fE g n e ig,W u a 4 0 3 ) hn 30 3
面来控 制证 书 的使 用 范 围 , 现访 问 控 制 , 而 防 实 从 止 一张 合法 证 书 能够 登 陆 多 个 应 用 系 统 的情 况 出
现 。
成, 每段 说 明一种 需要 注册 的扩展 类 型 和扩 展字 段
3 1 增加 证 书扩展 . X 5 9V3 书 扩展定 义 中为用 户 提供 公 开密 . 0 证 钥 和证 书 管 理 等 级 制 度 结 合 的 附 加 属 性 的 方 法 。 X 5 9V3 书格 式允 许具 体应 用环 境定 义 私有 范 . 0 证 围 为那些 应用 携带 所特 有 的信 息 。因此 , 以 自行 可 在证 书 的扩展项 中设 置关 于证 书 应用 环 境 的扩 展 ,
验证 书 的有效 性 , 且对 C 并 RL信 息 进行 实 时更 新 ,
也不 是绝对 安 全 的 。为 了保 证 证 书 的可 扩 充 性 和 互 操作 性 , 同时 由于数 字证 书在 访 问控 制 方 面 的先 天不足 , 多证 书应用 系 统并不 根 据具 体 的应 用 环 许 境 来 限制证 书 的 使用 。如 果 多 个 应 用 系 统 都使 用
在 该扩 展 中包 含 允许 使 用 该 证 书 的一 个 或 多 个 应
值 。这 些 可选 的标 准 和专 用 扩 展 主要 集 中在 密 钥 及其策 略扩 展 、 性 扩 展 、 书 路 径 约 束 扩 展 等 方 属 证
面 。根 据实 际需 要 , 个组 织 或 团体 也 可 以增加 自 各
2 )序列 号 : C 分 配给 证 书 的数 字标 识 符 , 由 A
同一 C 签发 的证 书序列号 是唯一 的 。 A

收 稿 日期 :0 0 8月 8日 , 回 日期 :0 0 9 1 21 年 修 2 1 年 月 3日 作者 简 介 : 立 兵 , , 十 . 师 . 究 方 向 :KIP 技 术 。周 大 伟 , , 士 , 师 , 究 方 向 : 码 装 备 管 理技 术 。 周 男 硕 讲 研 P / MI 男 硕 讲 研 密
效性首 先要 检 查 证 书 的序 列 号 是 否 在 证 书撤 销 列
表 ( R 中 C I) 是无效 的。

, 果 证 书 被 撤 销 , 认 为 该 证 书 如 则
同一个 P / A颁 发 的数字证 书 , KIC 就会 出现 一份合
法 的数字证 书能够登 录多个应 用 系 统 的情 况 , 显 这 然 与最小 授 权 原 则 以及 相 关 的保 密 规 定 相 冲 突 。 因此 必须采 取措 施来 控 制证 书 的使用 范 围 , 在数 字
7 )主体公 钥 信 息 : 个 字 段 包 括 用 户 的公 钥 这
和使用 此公 钥 的算法 以及 相关 参数 。
证 书提供 的身 份认证 基 础之 上 实现访 问控 制 , 限制
证 书持有 者 的涉密 范 围 。
8 )数 字签 名 : 盖证 书 的其 他所 有字 段 , 包 覆 它 含用 C A私 钥 加 密 的其 他 字 段 的散 列 码 。 该字 段
总第 25期 5
21 年第 1 01 期
计 算 机 与数 字工 程
C mp tr& Dii lEn iern o ue gt gn e ig a
Vo . 9 NO 1 13 .
14 1
基 于 数 字 证 书 的 访 问控 制 研 究
周 立兵 周大伟
403) 30 3 ( 军 工 程 大 学 信 息 安 全 系 武 汉 海
过 限制证 书 的使用 范 围而实 现访 问控制 , 须将 新 必
设置 的关 于证 书用 于环 境 的扩展 定义 为关键 扩展 。 每次 在使 用证 书 时 , 通过 OC P验证 证 书 的 在 S 有效性 之 后 , 查看 该证 书 中 自定 义 的关 于证 书用 再
于环 境 的扩展 性 , 判断所 允许 的应 用 环 境是 否包 含 本应 用系 统 , 如果 不 包 含 本 应 用 系 统 , 认 为 该 证 则
2 1 年第 1 O1 期
计算机与数字ቤተ መጻሕፍቲ ባይዱ程
3 )签 发 者 签 名 算 法 : 由对 象标 识 符 加 上 相 关 参数 组成 , 于说 明本证 书所 用 的数字 签 名算法 。 用 4 )签发 者 名 称 : 识 数 字 证 书 签 发 者 的可 识 标 别 名 ( N) 这 是必 须说 明的 。 D ,
K y W o d PKI KC,aC S o to ,PKC x e so e rs ,P Ce Sc n r 1 e tn in,PM I