论文部分内容阅读
网络的不断发展使得信息安全成为网络应用不可缺少的技术基础,网络信息系统需要保护其真实性、保密性、完整性以及可追究性。公钥密码技术是信息安全的核心技术,它给电子商务的发展带来了光明的前景,但公钥密码技术存在密钥归属问题。PKI是基于公钥密码技术解决信息安全问题的一套完整的解决方案,它采用证书管理公钥,通过第三方的可信任机构-认证中心CA(CertificateAuthority),把用户的公钥和用户的其他标识信息(如名称、E-mail、身份证号等)捆绑在一起,形成证书链在Internet上验证用户的身份。然而PKI系统中存在大量的问题,并不能满足所有的应用需求。
DNS(Domain Name System,域名系统)是重要的互联网基础设施,通过域名解析系统将主机名映射到IP地址。实际上,DNS是Internet上的一个标准机制,用来发布和访问关于主机的各种信息,而不只是地址。主机名只是这个分布式数据库的一个索引,Internet上的任何实体标识,无论其语法和结构如何,都可以转化成域名空间中的一个名字。DNSSEC是DNS安全扩展,是由IETF提供的一系列DNS安全认证的机制,它可以解决DNS系统中的除了DOS和DDOS以外的大部分安全问题,目前已经大范围部署。在DNSSEC保证数据完整性和真实性的前提下,通过在DNS中存储身份和公钥信息,成为发布公钥信息的一种手段,可以解决公钥密码技术中的密钥归属问题。
本文在DNSSEC全面部署、DNS系统可以安全稳定运行的前提下,利用DNSSEC的信任锚点,设计一种简单、灵活的公钥发布机制,各种安全协议都能使用这些密钥信息进行实体的安全通信。该机制可以独立工作,也可以作为PKI的附加验证方式。本文在DNS服务器ZEBRA-0.2上实现对该机制的支持,同时设计一套简单客户端接口API和一个邮件客户端的应用实例。