摘 要

随着网络越来越深入人们的生活并且发挥着重要作用，网络中的信息安全迫切需要得到保障。作为网络安全的第一道屏障，身份认证系统可以通过验证访问者的身份来限制用户的权限，这样可以排除犯罪分子窃取信息资源的行为。数字证书作为身份验证的一个方法面临的主要问题是如何实现有效的跨CA认证。

本文主要围绕基于PKI数字证书和Kerberos的跨域信任技术展开，首先介绍了对称加密和非对称加密技术，这是保证信息安全的基础。然后讲解了PKI的基本组成部分，包括CA认证中心、RA注册中心、证书库等。随后讲述了PKI信任模型，验证过程既是根据信任模型的证书链追溯到根证书为止，并且详细介绍了数字签名技术。同时还讲解了基于Kerberos的票据验证过程。最后根据PKI技术设计了一个基于CA数字证书的跨域身份认证系统来实现对不同CA颁发的数字证书的认证。

关键词：信息安全 Kerberos 公钥基础设施PKI 跨域身份认证

Abstract

As more and more people participate in network activities, the information security in the network is urgently needed to be guaranteed. As the first barrier to network security, the identity authentication system can limit the user's authority by verifying the identity of the visitor, which can exclude the behavior of criminals stealing information resources.As a method of authentication,the main problem faced by a digital certificate is how to achieve effectively cross-CA authentication.

This paper mainly focuses on the cross-domain trust technology based on PKI digital certificate and Kerberos. Firstly, we introduce symmetric encryption and asymmetric encryption technology, which is the basis for ensuring information security. And then explain the basic components of PKI, including CA certification center, RA registration center, certificate library and so on. Then the PKI trust model is described. The verification process is based on the certificate chain of the trust model traced back to the root certificate, and the digital signature technology is introduced in detail. We also explain the Kerberos-based ticket validation process. Finally, a cross-domain authentication system based on CA digital certificate is designed according to PKI technology to achieve the authentication of digital certificates issued by different CA.

Key words: Information security Kerberos Public key infrastructure PKI Cross domain authentication

目录

摘要 I

Abstract II

第1章 绪论 4

1.1 研究背景和意义 4

1.2 国内外研究现状 5

1.3 课题研究内容 5

1.4 本文的组织结构 6

第2章 PKI技术基础 7

2.1 PKI基本组成部分 7

2.1.1 认证机构CA 7

2.1.2 注册机构RA 7

2.1.3 证书库CR 8

2.1.4 终端实体 8

2.2 PKI信任模型 9

2.2.1 根CA信任模型 9

2.2.2 交叉认证信任模型 10

2.2.3 桥CA信任模型 11

2.3 PKI基本技术 12

2.3.1 密码技术 12

2.3.2 数字证书体系 17

第3章 跨域信任技术 19

3.1 基于CA数字证书的跨域信任技术 19

3.2 基于Kerberos的跨域信任技术 19

3.2.1 域内访问 19

3.2.2 域间访问 20

第4章 基于PKI跨域身份认证系统的设计 21

4.1 系统需求 21

4.2 开发工具介绍 22

4.2.1 Java 22

4.2.2 Tomcat 22

4.2.3 Keytool 22

4.3跨域身份认证系统的总体架构 23

4.3.1 桥CA认证模块 23

4.3.2 各独立PKI域模块 25

第5章 总结 29

参考文献 30

致 谢 31

第1章 绪论

1.1 研究背景和意义

21世纪是信息时代，随着网络的飞速发展，我们身边出现了各种各样的电脑和手机应用，如淘宝、微信、各式各样的邮箱等。网络拉近了我们彼此的距离，让生活更加方便，但同时也产生了许多漏洞导致各种安全方面的问题^[1]。如我们在网购时可能进入钓鱼网站，造成财务损失。这类事情在网络中频繁上演，因此怎样保证网络安全需要我们认真思考。

我们知道网络是各种资源的载体，为了对这些不计其数的资源进行管理，计算机系统被分成不同的域。在进行网络访问时，我们经常会进行跨域访问。同时网络是开放和分布式的，世界上任意一个地方的任何人都可以接入网络，接入网络后就成为网络的一个终端，并能够与网络上的其他终端相连^[2]。这就造成不法之徒通过非法入侵、身份伪装等手段对信息进行窃取、篡改、伪造对网络造成破坏成为可能^[3]。因此利用安全措施来对网络信息进行保护对于网络安全来说至关重要。

目前网络信息主要面临的问题是如何保证信息的机密、完整、真实以及不可抵赖性,这需要我们在交换信息之前在信息交换的双方之间建立起信任关系^[4]。作为网络安全的第一道防线，对终端实体身份的准确识别和验证对于一个系统的安全性起了重要的作用。所谓身份认证是指终端实体对网络进行访问时，声明自己的身份，如向系统输入账号和密码后，系统对输入信息进行验证来确认访问终端实体的身份，防止假冒。目前，在实际用于中经常使用的身份认证技术主要有：密码验证、拥有物验证以及生物特征验证等。对应的认证参数分别为：口令、密钥、智能卡、指纹、视网膜等^[5]。在通过身份验证后,访问终端实体将会被授权访问权限。