English  简体中文
搜索   
首页 中心概况 新闻动态 科研成果 研究队伍 技术园地 公共信息 联系我们

PKI信任体系增强机制研究


2018-05-07        撰稿人: 王泽


学科专业:信息安全

研究方向:网络安全
指导教师:荆继武 研究员
 
摘要 

PKI已经成为目前网络中最重要的基础性安全服务之一。随着网络环境的日趋复杂,PKI的应用场景日趋增多,传统的PKI信任体系面临着诸多新的挑战。一方面,PKI系统无法为SSL/TLS代理,例如内容分发网络,提供信任。另一方面,已有事件说明CA机构可能错误地签发虚假证书。虚假证书削弱了PKI系统提供的信任。为了应对这些挑战,从信任的建立和增强两个方面改进现有的PKI信任体系,我们开展了以下关键技术的研究工作:

本文提出了一种面向内容分发网络的代理关系透明方案。方案为内容分发网络的代理服务器,以及内容源网站和内容分发网络间的代理关系提供了信任。在本方案中,源网站在公开的日志服务器中发布授权代理其内容的内容分发网络的信息,并产生公开可验证的代理证据。当浏览器通过HTTPS连接内容分发网络代理服务器时,代理服务器推送自己的证书和相应的代理证据。浏览器不必与内容来源网站直接通信,即可验证代理证据,并使用内容分发网络的证书建立HTTPS连接。同时,本方案允许内容分发网络和内容来源网站独立管理各自的私钥,且内容来源网站可以即时更新、撤销代理关系。

本文提出了一种基于区块链的证书透明和撤销透明方案。方案可以帮助发现虚假证书,并允许网站和CA机构一同管理网站自身的证书。方案可以增强PKI系统提供的信任。本方案中,证书由CA机构签名,由证书主体网站发布在公开的区块链中。只有发布在区块链的证书才会被浏览器验证通过。这样,虚假证书不会被真正的证书主体发布,防止了虚假证书造成的攻击。即使在攻击情形下,一旦虚假证书出现在证书区块链中,也会被网站及时发现。方案也在区块链中记录证书的撤销信息和CA机构的撤销操作,实现了撤销的透明,为全网提供了一致的证书撤销状态检查。

本文实现了上述两个方案的原型系统,并进行了性能评估。实验结果表明,方案在带宽/延迟/存储等各方面均未造成过大开销。

 

 

关键词:公钥基础设施,信任,透明,内容分发网络,区块链


评论人:          
lois.local\

中国科学院DCS中心版权所有
地址:北京市海淀区闵庄路甲89号 4号楼
联系电话:010-82546536 010-82546537
京ICP备05046059号