收藏
下载资源

PKI实验报告.doc

上传人:bao****ty 文档编号:144501315 上传时间:2020-09-09 格式:DOC 页数:11 大小:910KB
返回 下载 相关 举报
PKI实验报告.doc_第1页
第1页 / 共11页
PKI实验报告.doc_第2页
第2页 / 共11页
PKI实验报告.doc_第3页
第3页 / 共11页
PKI实验报告.doc_第4页
第4页 / 共11页
PKI实验报告.doc_第5页
第5页 / 共11页
点击查看更多>>
资源描述

《PKI实验报告.doc》由会员分享,可在线阅读,更多相关《PKI实验报告.doc(11页珍藏版)》请在金锄头文库上搜索。

1、 实 验 名 PKI系统设计 院 系 计算机系 专业班级 学生姓名 院 系 指导教师 时 间 2015.1.20PKI系统设计综合实验任 务 书一、 目的与要求1 任务:设计一个基本的PKI系统,实现对证书的申请、制作、签发、验证、维护等功能。2 目的:加深对PKI系统的工作原理的理解,掌握证书的申请,制作及管理过程,熟练应用与PKI相关的基本编程技术和方法,使得学生初步具有配置、研究、设计、编制和调试PKI系统的能力。3 要求:熟悉有关定义、概念和工作原理,设计出程序流程框图和数据结构,编写出完整的源程序,基本功能完善,方便易用,操作无误。4 学生要求人数:1人。二、 主要内容1 完成信息安

2、全综合实验系统中的PKI实验部分的要求。此部分为验证性实验,要求完成各个小实验的实验内容,并在实验报告中完成实验预习和思考题部分。a) 证书申请实验(必做)b) 用户申请管理实验(必做)c) 证书管理实验(必做)d) 信任管理实验(选做)e) 交叉认证实验(选做)f) 证书应用实验(必做)g) SSL应用实验(选做)2 在1的基础上,自由选择编程语言,设计并实验。PKI (Pubic Key Infrastructure)是一个用公钥密码学技术来实施和提供安全服务的安全基础设施,它是创建、管理、存储、分布和作废证书的一系列软件、硬件、人员、策略和过程的集合。PKI基于数字证书基础之上,使用户在

3、虚拟的网络环境下能够验证相互之间的身份,并提供敏感信息传输的机密性、完整性和不可否认性,为电子商务交易的安全提供了基本保障。本课程设计要求实现的PKI系统最少应包含如下组件:(1)证书认证机构 CA(Certificate Authority) CA 系统是 PKI 的核心部分,因为它管理公钥的整个生命周期。CA 的作用主要包括如下几个方面: l 发放证书,用数字签名绑定用户或系统的识别号和公钥。 l 规定证书的有效期。 l 通过发布证书废除列表(CRL)确保必要时可以废除证书。 (2)注册机构 RA(Registration Authority) RA是 CA 的组成部分,是用户向 CA 申

4、请服务的注册机构,它负责接收用户的证书申请,审核用户的身份,并为用户向 CA 提出证书请求,最后将申请的证书发放给用户。 (3)证书分发系统 CDS(Certificate Distribution System) 证书通过证书分发系统对外公开发布,用户可在此获取其它用户的证书。证书的发布可以有多种途径,比如,用户可以自己发布,或是通过目录服务器向外发布。数字证书的存储格式标准有多种,X.509 是最基本的证书存储标准格式。本次课程设计要求采用X.509 格式的数字证书,证书结构如图1所示。要求所实现PKI系统完成以下基本流程:(1) 颁发证书从使用者角度来看,证书可以分为系统证书和用户证书。

5、首先用户到 CA 的注册机构 RA 或业务受理点或通过 web 网站等提交证书申请。如果用户自己产生公私钥对,证书申请中包含了个人信息和公钥;如果由 CA 产生公私钥,则证书申请中只包含个人信息。 接着 RA 等机构对用户的信息进行审核,审核用户的相关关键资料和证书请求中是否一致,更高级别的证书需要 CA进行进一步的审核。 审核通过后,CA 为审核此用户签发证书,证书可以灌制到证书介质中,发放给用户;或者将证书发布到 LDAP 服务器上,由用户下载并安装证书。(2) 废除证书用户到 CA 的业务受理点申请废除证书,CA 审核用户的身份后,将证书吊销,并将吊销的证书加入到证书黑名单 CRL(Ce

6、rtificate Revocation List)中,CRL 是由 CA 认证中心定期发布的具有一定格式的数据文件,它包含了所有未到期的已被废除的证书(由 CA 认证中心发布)信息。CA 会临时或者定期签发证书黑名单 CRL,并将更新的 CRL 通过 LDAP目录服务器在线发布,供用户查询和下载。(3) 证书的更新当用户的私钥被泄漏或证书的有效期快到时,用户应该更新私钥。这时用户可以申请更新证书,以废除原来的证书,产生新的密钥对和新的证书。证书更新的操作步骤与申请颁发证书的类似。(4) 证书验证证书验证的内容包括三部分: 验证有效性,即证书是否在证书的有效使用期之内?证书有效性的验证是通过比

7、较当前时间与证书截止时间来进行的。 验证可用性,即证书是否已废除?证书可用性的验证是通过证书撤销机制来实现的。 验证真实性,即证书是否为可信任的 CA 认证中心签发。三、 进度计划序号设计内容完成时间备注1任务布置及资料收集第1周周一、周二2软件方案设计与制定第1周周三至周四3编程实现第1周周周五至第2周周二4程序测试与修改,撰写报告第2周周三至周五上午5报告提交,软件验收周五下午四、设计成果要求1 完成规定的实验任务,保质保量;2 完成综合实验报告,要求格式规范,内容具体而翔实,应体现自身所做的工作,注重对实验思路的归纳和对问题解决过程的总结。五、 考核方式1 平时成绩验收答辩实验报告;2

8、五级分制。 学生姓名: 指导教师:胡朝举 李莉 2015年1月12日 PKI系统设计综合实验一、 目的与要求1. 任务:设计一个基本的PKI系统,实现对证书的申请、制作、签发、验证、维护等功能。2.目的:加深对PKI系统的工作原理的理解,掌握证书的申请,制作及管理过程,熟练应用与PKI相关的基本编程技术和方法,使得学生初步具有配置、研究、设计、编制和调试PKI系统的能力。3.要求:熟悉有关定义、概念和工作原理,设计出程序流程框图和数据结构,编写出完整的源程序,基本功能完善,方便易用,操作无误。二 、验证实验1.证书申请通过对实验提供的应用程序的使用,注意到在该PKI系统中进行证书申请,需提供以

9、下信息:1) 用户名:时一个申请的用户的唯一标志,不能与其他用户已经注册的用户名重复。而且在以后获得的PKCS12文件中可以用该用户名提取出私钥。2) SubjectDN:用户主体名,是证书的主要组成信息之一,标志用户的身份信息。3) 保护私钥的密码:用于在用户获得的PKCS12文件中保护私钥。4) EMAIL地址:用户网络上的有效的联系方式,必须唯一。可以通过email方式通知用户证书已经生成。5) 证件类型和号码:用户在现实世界中的身份证明,该信息是为了让CA认证该用户身份信息的有效性。6) 出生日期:记录用户年龄,便于CA的统计或是身份管理。7) 证书用途:证书的主要组成信息之一。在填写

10、完注册信息后,日志窗口提示注册成功,没有出错信息。表明证书申请成功。2.进行证书申请管理通过对实验提供的应用程序的使用,注意到在该PKI系统中可以对注册信息进行以下的注册管理:1) 否决请求:明确告诉申请者提交的信息是不合法的,并能阻止用户使用一些相关信息(如用户名、EMAIL、SubjectDN等等)再度申请。2) 删除信息:在提交的信息明显是无用的、垃圾信息或是误提交的信息时,管理员可以将这个信息删除。3) 准予签发:在提交的信息是有效的,而且能代表申请者本身真实的身份时,管理员可以为其签发证书。3.证书管理1) 按证书状态查找证书在提供的客户端程序中按照各种状态查找证书,图3-1列出了查

11、找证书状态为活跃的查找结果,点选查找到的证书,在右边的文本框中将会出现证书的具体信息。由此可得出结论,在该PKI系统中,证书状态不仅仅是简单的有效和被撤销两种状态,还有“未激活的”(有效但不被系统认可)、“被临时撤销”(可随时恢复有效状态)以及“不属于任何人的”等等状态。这一些状态的设置在一定程度上丰富了整个系统的证书管理功能。2) 改变证书状态程序中提供的对证书的操作有激活证书、永久撤销以及临时撤销。激活证书是先查看处于未激活状态或是临时撤销的证书,认可其签发的有效性后,将其激活,表明证书已被系统认可。临时撤销的证书可以使用激活证书将其激活。永久撤销证书表明这个证书由于某种原因使得这个证书的

12、有效性不再得以保证,在选择完撤销原因后,可以将其永久撤销。3) 导出PKCS12证书通过操作,发现只有处于激活状态的证书才能被导出。首先列出处于激活状态的证书,然后点选一张证书,按【导出证书】按钮,选择保存位置保存得到的证书。在WINDOWS系统中双击得到的PKCS12文件,。点击下一步,出现所示的提示输入密码的界面,可见得到的PKCS12文件是被密码所保护的。输入注册时填入的密码,导入成功。在浏览器中的工具Internet选项内容证书,查找到导入的证书后,看到证书内容与申请时填写的身份信息一致。三、编程实现1.pki组成完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复

13、系统、证书作废系统、应用接口(API)等基本构成部分,构建PKI也将围绕着这五大系统来着手构建。 PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。一个典型、完整、有效的PKI应用系统至少应具有以下部分: 公钥密码证书管理。 黑名单的发布和管理。 密钥的备份和恢复。 自动更新密钥。 自动管理历史密钥。 支持交叉认证。 认证机构(CA):即数字证书的申请及签发机关,CA必须具备权威性的特征; 数字证书库:用于存储已签发的数字证书及公钥,用户可由此获得所需的其他用户的证书及公钥; 密钥备份及恢复系统:如果用户

14、丢失了用于解密数据的密钥,则数据将无法被解密,这将造成合法数据丢失。为避免这种情况,PKI提供备份与恢复密钥的机制。但须注意,密钥的备份与恢复必须由可信的机构来完成。并且,密钥备份与恢复只能针对解密密钥,签名私钥为确保其唯一性而不能够作备份。 证书作废系统:证书作废处理系统是PKI的一个必备的组件。与日常生活中的各种身份证件一样,证书有效期以内也可能需要作废,原因可能是密钥介质丢失或用户身份变更等。为实现这一点,PKI必须提供作废证书的一系列机制。 应用接口(API):PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务,因此一个完整的PKI必须提供良好的应用接口系统,使得各种各样的应用能够以安全、一致、可信的方式与PKI交互,确保安全网络环境的完整性和易用性。 通常来说,CA是证书的签发机构,它是PKI的核心。众所周知,构建密码服务系统的核心内容是如何实现密钥管理。公钥体制涉及到一对密钥(即私钥和公钥),私钥只由用户独立掌握,无须在网上传输,而公钥则是公开的,需要在网上传送,故公钥体制的密钥管理

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 其它相关文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号