基于XML的密钥管理的研究与实现.pdf
《基于XML的密钥管理的研究与实现.pdf》由会员分享,可在线阅读,更多相关《基于XML的密钥管理的研究与实现.pdf(8页珍藏版)》请在三一文库上搜索。
1、张剑青刘旭东怀进鹏:基于XML 的密钥管理的研究与实现 基于 XML的密钥管理的研究与实现 ? 张剑青刘旭东怀进鹏 ( 北京航空航天大学计算机科学与工程系北京 100083) () 摘 要公钥基础设施PKI 在应用的难易程度和灵活性方面都有一定的局限性,影响了 PKI 技术的实际应用推广。 本文提出了一种基于XML 的密钥管理机制, 通过基于 XML 的 XKMS 消息,把客户端应用程序对密钥和证书的处理委托给信任服务,从而降低 PKI 的应用难度, 提高应用程序 获取 PKI 安全 服务的灵活性。 关键词安全PKI XML XKMS XKeySec Research and Implemen
2、tation of an XML-Based Key Management ZHANG Jian-Qing LIU Xu-Dong HUAI Jin-Peng Abstract Public Key Infrastructure (PKI) has some limitations in the convenience of implementation and flexibility . These prevent the PKI technology from being spread and used widely. This article proposes an XML-based
3、key management mechanism. By the XML-based XKMS messages, it delegates the keys and certificates process to Trust Service, thus the implementation of PKI application will become easier and the way that the applications obtain the PKI security service will be more flexible. Key WordsSecurity PKI XML
4、XKMS XKeySec 1. 引言 当前 ,基于 Web 的分布式 应用 (如电子商 务与 电子政 务)得到 了快速 的发展 。与 此同时 , 可扩展标记语言(eXtensible Markup Language , 简称 XML) 作为 一种 异构平台之间 进 行数据交 换和互操作 的技术 也已经成为Web 应用的 首选 基础 架构 ,而 安全 性则是 Web 应用 得以 实施 的必要条件 ,是 Internet 上信息 传输 的机密性 、真 实性 、完整 性和 不可否认 性的基本 保证。 公钥基础设施 (Public Key Infrastructure , 简称 PKI) 是目前保 证
5、 Web 应用 安全 性的 主流 技 术, 满足 了 Web 应用的基本 安全需求 。但是 ,目前国内外PKI 产品 的 互操作 性较差、 应用 部署 难度 高、 系统维护缺乏足够的灵活性 、开销 大, 国内PKI 的建设 也相对比较 滞后 。这 些问题 制约了 PKI 产品 的应用, 成为 PKI 得以 普遍 推广的 瓶颈 之一。 同时 ,有 关 XML 的安全标 准(如 XML 签字 1 和加密2)将 传统 密码技术与 XML 技术有 机地结合 在一 起,解决 了 XML数据 存储 与传输 过程 中 的安全 性问题 。 XML安全 机制的实 现依赖 于 PKI 的部署 与应用, 同时也为
6、PKI 技术提 供了新 的发展 方向。 基于 这一背景 ,2000 年 11 月 VeriSign 、Microsoft和 webMethod 共同提出了一种基于 XML的密钥管理机制:XML密钥管理 规范 (XML Key Management Specification , 简称 XKMS) 3 ,并于 2001 年 3 月提交 W3C 成为 候选标 准 提案。 本文 分析了 XKMS 的工 作原理和 内容 ,讨论 了 XKMS 自身 的安全 性问题 ,设计实现了 一个基于 XKMS 的密钥管理系 统(XML Key Security , 简称 XKeySec) ,并给出了应用实 例。 2
7、. XKMS 密钥管理 2.1 工作原理 ?本文 得到 了国家 863 计划(2001AA144150) 和国家自然 科学基 金(60073006)的部分 资助 。张剑青 ,男,1976 年生,硕士 研究 生,主要 研究方 向为电子商 务与 网络 安全 。刘旭东 ,男,1965 年生 ,副教授 ,硕士导师 , 主要研究方 向计算机应用与系统结构,怀进鹏 ,男,1962 年生 ,教授 ,博士导师 ,主要 研究 领域 为计算机 PDF created with pdfFactory trial version 张剑青刘旭东怀进鹏:基于XML 的密钥管理的研究与实现 XKMS 将传统 PKI 的两
8、层 应用 模式转化 为三层 (如图 1 所示 ),在 PKI 用户与 PKI 提供 者之间 加入 信任服务 (Trust Service)中间 层。它利 用 XML语法描述 密钥和证书信息,通过 XKMS 消息 将客户端对密钥和证书的操作部分 或全部 地委托给基于Web 的信任服务,从而 向客户端 屏蔽 了底层 PKI 实现的 复杂 性4。 XKMS结 构上 由客户端和信任服务两 部分 组成。其 中客户端 向应用程序提 供 接口 ,生 成并发送 XKMS 请求,同时 接收 并解析 XKMS 应答,向应用程序提 供请求结果;信任服务 是基于 WSDL 的 Web 服务 5 ,它根据 XKMS请求
9、的内容,利用本 地数据 或者 通过与 PKI 提供者 进行交互 ,获得 相应的密钥 /证书, 并将结 果以 XKMS 应答的 形式返回 给客户端 ;客 户端与信任服务之间 的消息 按照 SOAP 协议 进行传输 ,而信任服务与PKI 之间 的交互则 按 照 PKI 提供者规 定的 协议 标准进行。 2.2 XKMS 规范 XKMS 由密钥信息服务规范 (XML Key Information Service Specification,简称 X-KISS) 和密钥 注册 服务 规范(XML Key Registration Service Specification,简称 X-KRSS) 两大
10、部分 组成,包含 6 种密钥服务,每种服务 均由 一组请 求/应答消息 组成。 2.2.1 X-KISS X-KISS 向公钥和证书 使用者提 供密钥 /证书信息服务,任意 Web 实体都可以获得 该项 服务。 X-KISS 由定位服务与 确认服务 组 成。 1)定位服务:获得 用户 指定的密钥 或证书,但不 给出有 关密钥 绑定信息的有 效性 声明 。 2)确认服务: 获得 详细说明 公钥 及其 它数据 (如名字或 一组 扩充属 性)的状态声明 ,以 确认该公钥 /证书的有 效性, 并补充 部分 公钥 /证书信息。 2.2.2 X-KRSS X-KRSS 向公钥 /证书 持有者提供 密钥 /
11、证书管理服务,欲获得 该项 服务的 Web 实体需要 经过信任服务的 认证。 X-KRSS的主要内 容包括 密钥 注册(证书 申请 ) 、密钥 吊销 (证书 吊 销申请 ) 、密钥 恢复 和密钥 更新 四个部分 ,这里重点介绍 前 三种。 1)密钥 注册 :分为 客户端和服务端两种。 a)客户端 注册 :密钥对 由客户端 生成;密钥 信息 需要 进行 XML 签字 ,并发送证 明客户 身份的消息 鉴别 码; 信任服务 验 证 XML 软件与理 论、协同工作处理 、电子商 务及网络 安全 。 图 1 XKMS的工作原理 PKI PKI 提供者 1 密钥 / 证书 使 用者 公钥 私 钥 密钥 /
12、 证书 持 有者 信任服务 XKMS 客户端 信任服务 XML 基于 ASN.1的协议 PKI提供者 2证书 /CRL库 PKI提 供者 N PDF created with pdfFactory trial version 张剑青刘旭东怀进鹏:基于XML 的密钥管理的研究与实现 签字 ,保存客户 身 份鉴别 码,完成 密钥 注册及 证书 颁发,返回注册 结果。b)服务端 注册 :密钥对 由信任服务 生成;客户端与信任服务的处理基本相同,但在应 答中包 括生成的密钥对, 并使用预共享密钥 加密私钥。 2)密钥 吊销: 请求中包括待吊 销密钥的信息和客户身份鉴别 码。 信任服务 完成 验 证后
13、, 吊销该密钥 及证书。 3)密钥 恢复 : 客户端 需要 事先 以带外方式(out-of-band) 从信任服务 获得 恢复 授权代 码; 请求中包括待恢复 密钥信息 以及恢复 授权代 码 的消息 鉴别 码,用于 身份认证。信任 服务 完成 验证后 ,返回 密钥对。 2.3 XKMS 消息的安全性 XKMS 消息 涉及 到密钥信息的 交换 ,因此必 须 在 XKMS 客户端与信任服务之间 建立安 全信道,以保 证双方身份 的真实性 、应答消息的 完整 性。 另外为 了保证 X-KRSS消息 中公 钥信息的 完整 性和 私钥信息的机密性,还需要 对消息 中 的敏感元素 进行加密或签字 。 2.
14、3.1 安全信道 安全 信道主要是为 了保证应 答消息的 真实性 、完整 性,当前主要 有 3 种建立方 式:XML 签字 、传输 层安全 (如 SSL、TLS 等)和网络层 安全 (如 IPSec)3。 1)XML 签字 :客户端 以带 外方式获得 信任服务证书;信任服务对应 答消息进 行 XML 签字 ;客户端 则 使用该证书进 行验证。 2)传输 层与网络层 :此时 客户端 需要 具备 一定的PKI 处理 能力 ,这可以 由客户端的 下层平台 (如 Web 浏览器 或者 支持 IPSec 的操作 系统)来完成 ,也可以 通过 默认的 PKI , 由客户端与信任服务建立 SSL(或 IPS
15、ec)安全 信道。 对客户端而 言, 使用 XKMS 客户端 软件包, 只是安 装了一种PKI 工具集,但却可以 通过信任服务与多种不同 的 PKI 进行交互 ,仍然 不失灵活性。 另外由于这个 过程对应用程序是透明的, 因 此降低 了应用程序的 开发难度。 2.3.2 密钥信息元素的安全性 X-KRSS 的 3 种请 求中的密钥信息 具有较高 的完整 性要求 ,因此 XKMS定义了专门 的 元素 对其进行 XML 签字 ,密钥 则 采用 带外方式获得 的预共享密钥。在客户端注册 时还需使 用生成的私钥进 行签字 ,以证明 客户端 确实拥有该密钥对。 当进行服务端密钥 注册 时,信任 服务 返
16、回 的私钥信息 元素 需要 进行 XML 加密,密钥 也是 通过 带外方式获得 的预共享密钥。 另外在注册及吊 销 请求中,还包括 证明客户 身份鉴别 码。 3 XKeySec 的设计与实现 XKeySec 是我们 设计实现的基于XKMS的 密钥管理系 统, 它由客户端和信任服务两部分 组 成,总体结构如 图 2 所示 6 。 客户端 组件以 类库 (软 件 包 )方 式安 装 在客 户端 平台 ,信任服务 则是 Web 上 的一 个 单独 实 体,是一种 由 WSDL 描述 的 Web Service,体现 了 “ 软件转化 为服务 ”的思想 ;包括 Web Service 访问入 口、信任
17、服务 功能 单元和 PKI 操作 单元 三 个 基 本 部 分 ; 客 户 端 和 信 任 服 务 使 用 SOAP/HTTP 协议 作为 XKMS 消息的 传输 协议; 系统安全 信道采用 XML 签字 ,以 客户端 导入 信 任服务证书的方式保 证应 答 消息的 完整 性和 真 实性。 信任服务 客户端应用程序 XKeySec客户端 信任服务功能单元 Web Service 访问入口 PKI操作单元 其他 PKI提供者 图 2 XKeySec 总体结构 PDF created with pdfFactory trial version 张剑青刘旭东怀进鹏:基于XML 的密钥管理的研究与实
18、现 设计过程 中,强调 软件的 重用性 、可扩展 性和 开放性,按照 功 能需求 进行模块划分。在 实现 上,本 着自主开发和 已有产品 相结合 的原则,注重 核心 模块的设计与实现。 3.1 客户端 3.1.1 功能与结构 XKeySec 客户端的 主要 功能包括 :XKMS消息的 生成和解析 ,提 供构建和 访问消息 的接口; 发送和接收 XKMS 消息 ; 与指定的信任服务 建立安全 信道,在本系 统主要是 完成 对应 答消息的 验证。 根据以上 功能分析,我们 给出客户端的结构 6 (图 3)。 3.1.2 组成 n消息对象: XKMS 消息的 内存映像 ,分为 请求 消息对 象和应
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 XML 密钥 管理 研究 实现
链接地址:https://www.31doc.com/p-5508460.html