SCEP协议分析及其关键实现技术I华中科技大学计算机学院李兴瑜
SCEP简单证书登记协议分析参与者之间流动的数据,协}义的安全性将来,cA自
sCEP(simDlecertificateEnr011被破坏。为了避免“中问人”攻击,必须1)}
中请:mentProtoc01)协议是verisign公司为对端实体的公钥和身份进行鉴别。scEP提
2)每cisco系统开发的证书登记解决方案。目供了两种的鉴别方法:手1:鉴别和基于
前广泛应用j二PKIclient和cA实现。I)re。shareseclet的鉴别c的审批;SCEP尽量使用现有的技术,如PKCS#7和(1)手工鉴别:3)向PKcs#10等,用一种可以升级的方式向网端实体提交登记请求,并等待,直到证书的答络设备安全地颁发数字证书。CA操作员通过internet以外的可靠方法4)拦实体(Entity)确认端实体的身份。书的更莉scEP中有三种实体:端实体(End(2)基于pre—sharesecret的鉴别:5){Entny,如IPsEC客户),数字证.}5认证cAserVer为每一个的端实体颁发一6)产中心(cA)和审核授权部门(Registry个唯一的sharesecret。这个sharese一审杉ALlthoritv.RA)。cret对应该端实体的登记请求,并阻只有RA{端实体(EndEntity)该端实体知道这个sharesecret。当端实发放和管端实体足指在证书的subjectname域体向cA提交登记清求时,cA要求端实体所产生酐或者在X.jO9v3扩展版本中提交它的password(即preshare端实体足su0jectAltName域中定义名字的实体。端secret)。端实体把它的pre—sharesePKCs#7j实体由以下三个要素唯一标识:完整规范cret填进PKcS:肆10属性域,再经过PKcs#7体除了移的域名,IP地址和序列号。的包装,加密发给CA。CA提取pre_ShareCA颁发自端实体必须能够产生非对称密钥,并secret并与CA保存的比较,从而鉴别端图l有存储空间保存它的私钥。如果端实体没实体的身份。统由RA、有足够的空问保存它的证书,那么当证书数字证书认证中心(CA)模块、诅颁发后,端实体应具有从CA查询它自己证CA是证书的签发机构,它是PKI的核库模块希书的能/J。所有的ScEP客户的密钥对任何心。cA中心作为网络中受信任的第三方,个系统雕时候都唯一对应着一个su0jectname。这专门解决公钥体系中的合法性问题。务,由cA叫做certificaname唯一性。要求在scEPcA为每个使用公开密钥体系的用户理等各巧客户名字和密钥对问建立唯一的映射。任(如人、服务器等)发放一个数字证书,用…,何时候~旦名字发生改变,或者密钥对发于证明该用户的身份以及公开密钥的合法L竺。.—P生更改,现有的证书应该被撤销。性。从技术上说,证书的作用就是绑定用住实际应用中,即使端实体和cA使用广的身份以及其与公钥的匹配关系。而cA加密的方式进行通信,仍然可能被所谓的正是确苞这种绑定关系的机构。同时,为L兰:~卜“中间人’’(maninthemiddle)攻击。由了保证数字证忙不被攻击者伪造和篡改,千tt中间人”1]r以窃取并操纵存s(、FP{力、议CA将对数字证书进行数字签名。归纳起
日I№nros洲够l2蚴2 万方数据