张仕斌[1]2006年在《模糊信任模型及国家级PKI体系的研究》文中研究指明随着Internet应用技术的飞速发展,网络已经成为信息时代人们必备的工具,信息安全问题也成为人们日益关注的焦点。PKI作为目前保障开放式网络环境中网络和信息系统安全的最可行、最有效的技术,它可以随时随地方便人们同任何人秘密通信,是电子商务、电子政务广泛推行的基础,也是诸多基于网络应用的新业务、新产品安全开展的基本保证。 作为国家信息化的安全基础设施,PKI的核心是解决网络和信息系统中的信任问题,确保各种经济、军事和管理行为主体(包括组织和个人)身份的惟一性、真实性和合法性,保护网络和信息系统中各主体的利益不受侵害。目前,我国已经建立数十家CA认证中心,但各家CA机构彼此独立,成为彼此互不相连的“信任孤岛”,使各证书之间缺乏“互通性”,严重阻碍了PKI技术的应用与发展。 由于开放式网络环境中各主体之间信任关系是动态变化的,因而信任关系的评估涉及到多方面的内容:各主体之间的协作关系、信任评估所需信息的搜集、信任关系的评估及标准、以及对已有信任关系的监视和重新评估等内容。而现有的各种信任系统都缺少对信任监视和重新评估的机制。因此,在开放式网络环境中建立可靠的信任管理模型是当前PKI体系必须解决的关键问题。但由于各主体间的信任(主观信任)具有很大的主观性、模糊性、动态性,无法精确地加以描述和验证,因此必须寻求新的解决办法。 针对上述问题,本文主要进行了以下研究工作: (1) 为解决主体之间的信任(主观信任)的主观性、模糊性,研究了基于模糊理论的信任管理模型和模糊综合评判数学模型,有效解决了模糊信任的建模问题和各主体的信任向量的评判。 (2) 为解决主体之间信息安全交互的问题,提出了一种基于Agent的主观信任协作模型。该模型把主体之间进行相关任务看成是一种协作过程,即主体之间的信任也是一个信任协作过程。 (3) 为解决各主体之间信任评估的依据,提出了基于模糊聚类的信任类型动态定义机制。 (4) 在模糊信任模型、基于Agent的主观信任协作模型和基于模糊聚类的信任类型动态定义机制基础上,提出了基于主观信任协作的模糊信任评估模型,
魏佳[2]2006年在《基于PKI的数字证书应用研究》文中提出本文主要研究的是基于PKI机制的数字证书应用,面向网络信息安全应用领域。通过对信息安全模型进行分层,明确各层的特点和任务,然后在高层次的基础上对数字证书应用进行研究。本文侧重研究了两个具有实际意义的应用方案,时间戳服务系统和安全FORM表单,通过对数字证书的应用来提高网络信息安全度,并简化应用协议。时间戳服务系统为用户提供时间戳服务,以此来提高网络信息的抗抵赖性,增强网络信息安全。通过在时间戳服务系统中引入数字证书,简化了时间戳形成的协议,简化了系统的设计工作,提高了系统的工作性能,并通过数字证书使系统中的用户身份识别过程简化明了。数字证书与时间戳服体系的结合,使时间戳融入PKI体系,增强PKI体系的健壮性。安全FORM表单是对现有HTTP协议中的FORM表单系统进行改进,通过增加应用层协议并引入数字证书,使得FORM表单数据从网络传输到网络存储都具备非常可靠的安全性和方便的身份识别功能,非常适用于目前各种基于HTTP协议的网络安全应用。通过以上两种数字证书应用方案,总结出数字证书应用中的各种技术,推动PKI技术的发展,增进社会网络信息化安全建设。
刘远航[3]2004年在《PKI实现与应用中的一些问题》文中进行了进一步梳理随着计算机应用对社会生活各方面的渗透,利用计算机进行各种信息处理已越来越成为一种趋势。由于这些信息多涉及到国家的军事、政治、经济秘密以及一些个人隐私,所以计算机安全越来越受重视。计算机安全涉及加密、认证、访问控制、入侵检测等多个方面。作为信息安全基础的公钥基础设施(PKI)已经成为当今计算机安全领域研究的热点问题。本文专注于对公钥基础设施的一些关键的技术问题进行研究,为公钥基础设施的开发和部署提供理论基础。本文所做的主要工作包括以下五个部分:首先,总结了PKI的体系结构,讨论了PKI的信任模型,并对各种模型的优、缺点进行了评价。总结了PKI信任域之间互操作的七种模式以及域间交叉认证应该遵循的基本原则。提出了一个典型的基于桥接交叉认证模式的桥CA系统(CNBCA)的设计。其次,针对PKI的证书机制、证书注销的模式等PKI的重要技术问题进行了论述。文中给出了一种双证书的具体实现,结合该双证书机制以及属性证书、Cookie技术对SSL协议的安全性进行了改进,提出一种改进的TLS协议ETLS,改进后的协议安全性更高,具有良好的访问控制特性以及抗DOS攻击能力。第叁,给出了一种高效的证书注销发布算法ECIA。根据该算法给出了关于CRL查询引起的网络负载的计算方法。应用该算法可以在对系统构造影响最小的情况下,降低PKI系统的尖峰负载,提高PKI系统的可用性。第四,将PKI技术与基于生物特征的认证技术进行结合,设计了一个基于生物特征认证技术的PKI系统的框架BPKI,大大提高了PKI系统终端访问控制的安全性。第五,给出无线PKI(WPKI)领域中的无线小证书(Mini-Cert)一种格式及其业务管理流程。同时应用该种格式的无线小证书对一个实际的WPKI系统WSCA进
金凤[4]2003年在《基于多平台的证书功能库的设计实现及基本的PKI框架的构建》文中指出信息技术的发展和推广,为人类开辟了一个崭新的生活空间,它正对世界范围内的经济、政治、科教及社会发展各方面产生重大的影响。一方面,信息技术与政府管理、金融、公共服务、教育、医疗和传统商务的结合带来了一个巨大的新市场;另一方面,信息化在带来高效率和友好服务的同时,也带来了威胁、风险和责任,网上信息被窃、被篡改、被破坏的事件时有发生,各种网络攻击程序的广泛传播更使人们忧心忡忡。因此,如何在网络空间中建立信任和安全,在安全和信任的基础上将网络建成文明、健康、有序的生存空间,充分发挥网络的优势,推动社会经济和文化的发展,已成为当前各国、各信息行业关注的焦点。 目前在网络空间中能提供信任和安全服务的基础设施就是本文将要讨论的公开密钥基础设施(PKI)。基础设施的目的就是,通过遵循需要的原则,使不同的实体可以方便地使用基础设施提供的服务。作为安全基础设施就是为整个“组织”提供安全的基本框架,可以被“组织”中任何需要安全的对象使用。PKI技术通过为网络提供认证、不可否认、加密解密和密钥管理等服务保证了网络的安全性。国外已经开始了PKI的应用,也有多家厂商进行了PKI的开发。我国作为网络大国,发展自己的PKI技术是非常必要的,通过对该技术进行研究,开发我们自己的PKI产品已经刻不容缓。 本文详细描述了本人在这方面所作的工作,即自主开发适用于多种平台的证书功能库并以此证书功能库为基础构建基本的PKI框架。本文的创新点是在证书功能库中实现了多种的证书处理功能,如产生和验证证书请求、产生和验证证书、对私钥进行加密存储和证书撤消等功能,支持多种证书格式的处理包括适用于因特网的X.509v3证书格式和适用于无线领域的WTLS证书格式,提供了多种API接口,使该功能库可以作为一个功能组件嵌入到不同的应用中。在对基本PKI框架进行详细分析的基础上,使用本文所实现的证书功能库实际构建了一个简单的PKI系统实现证书的申请、管理和发布功能。最后对本文实际的工作,给出了各自的评价和改进意见,对实施PKI的所面临的各种问题进行了更为深入的讨论。 本文建立了一个证书功能库和PKI系统的原型,经测试可以成功运行。
王贵智[5]2008年在《基于安全COS的智能卡认证研究与实现》文中研究指明随着开放式网络的发展和安全问题的突出,PKI(Public Key Infrastructure,公共密钥基础设施)网络安全体系被广泛应用。PKI体系中的身份认证主要是通过数字证书进行的。而数字证书以及终端用户私钥的安全性又是影响整个PKI体系的关键问题之一。与此同时,智能卡作为一种便捷、安全、可靠的新型安全设备飞速发展起来。由于其先天的特点,智能卡在安全领域,特别是在身份认证应用中有着不可替代的优势。因此,把具有独立计算能力、带有特定操作系统的智能卡应用于PKI体系中,作为证书和私钥的生成、管理设备将大大提高系统的安全性。本文从以上观点出发,结合项目情况,进行了以下的工作:首先,介绍了信息安全和PKI体系、身份认证等基础知识;接着,在叙述COS(Chip OperatingSystem,片内操作系统)设计原则的基础上,遵照智能卡ISO/IEC7816国际标准,设计并实现了安全COS;进而,结合COS的安全体系结构,重点研究了RSA算法在智能卡中的实现、智能卡在基于PKI的IPSec VPN中的部署等问题,阐述了智能卡认证的应用实现。
樊彦博[6]2012年在《基于PKI和数字水印的电子签章系统的研究与实现》文中进行了进一步梳理随着计算机网络的高速发展,互联网技术在各个领域中的应用日益普及,特别是随着办公自动化(Office Automation,OA)技术在电子政务和电子商务中大量应用,电子文档已经逐渐替代了传统的纸质文档成为最主要的信息传输媒介。但由于互联网具有开放性和广泛性等特点,使得电子文档在使用过程中存在的安全问题也日益突出。在复杂的网络环境下如何有效保证电子文档在传输过程中的真实性、完整性、保密性和不可否认性成为制约办公自动化技术在电子政务和电子商务中进一步发展的瓶颈,所以在OA领域中如何有效保证数字信息安全成为了当前研究的一个热点和难点。本文对公钥基础设施(Public Key Infrastructure, PKI)和数字水印技术进行了深入的分析和研究,以密码学为基础的公钥基础设施是目前公认的解决数字信息安全的可行方案,它通过数字证书与数字签名技术来对电子文档提供身份认证、数据传输安全以及发送方不可否认等服务。本文设计的电子签章系统则是采用以PKI技术为基础的安全体系来对电子文档进行有效保护,但是电子签章系统作为在OA领域中应用十分广泛的软件产品,在保证电子文档真实性、完整性、保密性和不可否认性的同时,还需要对软件系统本身提供版权保护,所以本文采用数字水印技术来对解决系统版权保护的问题,防止签章图像被非法伪造,以保障授权用户的正常使用。本论文的主要研究内容和成果有:(1)提出了一种将PKI体系、数字水印技术、USBKey智能设备等软硬件技术相结合的多重身份认证的电子签章系统模型。以该模型为基础,设计并实现了一个整体安全性高的电子签章系统,保证了授权用户的安全使用。(2)提出了采用基于GIF图像的数字水印技术方案,文章介绍了Gif-Shuffle算法,并结合实际应用需求提出了对该算法的改进方案,最后详细阐述了改进的Gif-Shuffle算法在电子签章系统中的应用过程,防止签章图像被非法伪造。(3)研发了骑缝盖章、关键字盖章等功能模块,这些功能在电子签章系统中的应用,极大地丰富了系统的使用范畴。
齐玉国[7]2004年在《一个开放源码的PKI实现与企业应用》文中提出公钥基础设施(Public Key Infrastructure,PKI)是目前非常完善的网络安全解决方案。它可以为各种网络应用提供身份认证、信息的机密性和完整性以及交易的不可否认性等安全服务。PKI已广泛应用于金融、电子政务等对安全要求较高的环境中。 但由于数字签名在很多国家仍不具备法律效力(中国政府的《电子签章条例》已起草完毕),导致PKI在电子商务及企业应用中未得到普及,这也成为制约电子商务发展的重要因素。可以肯定,随着电子签章相关立法工作的完成,PKI在电子商务和企业应用中将得到迅速发展。 目前,在企业内部建立CA(Certificate Authority,证书认证中心)还存在困难,这主要包括:一是缺乏针对企业环境设计的PKI产品,二是大部分企业不具备使用和维护PKI系统的专业人员,叁是公共CA为保障CA的安全性所付出的成本,是大部分企业无法承受的。 本文分析了企业自建CA的必要性及可行性。在此基础上,设计了一个开放源码的PKI系统:myCA,并完成了myCA系统的软件框架,实现了系统的主要功能,试图为企业应用PKI技术提供一套基于开放源码的解决方案。本文主要阐述了该系统的设计思想、系统结构和系统特点,并结合该系统探讨了如何在企业条件下为CA构建一个足够安全的运行环境以及如何隐藏使用PKI系统的复杂性以满足普及应用的要求。
杨颖[8]2014年在《移动身份认证服务系统在NFC手机支付中的研究》文中进行了进一步梳理随着互联网技术的发展以及通信信息应用手段的日趋丰富,移动通信已经成为当下通信技术发展的热点和趋势。越来越多的人接受通过移动设备进行购物或者消费,移动设备作为一种方便的购物设备更容易被用户所接受。然而,移动通信技术在推动技术发展的同时,仍面临着很大的障碍——安全问题。如何保证用户在网络消费中的权益不受到伤害,以及保证用户身份的私密性,保护完整性和不可抵赖性是目前需要深入解决的话题。本文首先分析了目前电子商务中存在的安全问题,并介绍了现代解决各种安全问题的身份认证的技术,其中主要介绍了PKI技术,并针对移动身份认证体制中存在的安全问题,设计了一种将PKI技术与智能卡验证技术相结合的认证方案,以统一接口的验证方式,支持多种业务的接入。在此认证系统中,本文主要采用了RSA非对称加解密算法,将用户的私钥保存在手机的SIM卡中,公钥保存在认证服务器中来实现用户身份的验证以及数据的加解密。该方案可以解决数据完整性问题,不可否认性问题,以及密钥的保存,生成,与客户端数据的传输等安全问题,在客户端,只需要手机SIM卡的支持,就可以完成用户私密信息的存储,包括用户身份证号,以及私钥的存储,以及密钥对的生成问题等。关于NFC手机支付,本文首先分析了国内外NFC手机支付的发展现状,并介绍了NFC技术的工作原理、手机支付系统实现的构架。在分析了NFC手机支付实现方案之后,并与移动身份认证结合,提出一种NFC移动身份认证技术系统的原型。最后,结合公共自行车租赁系统项目的实现,说明移动身份认证服务方案在NFC手机支付中的具体应用。
杨帆[9]2004年在《基于PKI技术的CA系统集成方案的研究》文中研究指明随着网络技术和信息技术的发展与应用,电力行业信息化得到不断普及。但由于多方面的原因,数字电力系统的安全性受到极大的威胁。因此必须采用具有十分可靠的安全保密技术来保证数据交换的安全性,防止信息被窃取。数字证书恰好能够解决这些问题,它就像通行证一样时刻伴随在交换过程中。为了在技术上解决电力行业中信息安全的问题,本文提出了将PKI技术应用于数字证书认证机构,并通过采用开源代码库openssl来设计系统,建立了一个认证机构CA。论文首先详细介绍了公钥基础设施技术的中的两个重要内容密钥和数字证书,对现代密码学常用的叁种密码算法作了介绍和比较,对称密钥密码算法,非对称密钥密码算法和单向散列函数算法,然后在密码学的基础上详细介绍了公钥基础设施技术的架构。通过在“新会市电力工业局数字电力系统”课题中遇到的问题,架构了一个公钥基础设施模型,根据功能需要具体设计了系统的组成。本文又分析了目前存在的两种主流加密库的优、缺点后,选择了openssl来进行设计,提出了一种基于PKI技术的认证机构CA实现方案。该系统能够提供身份认证、访问控制、数据传输加密和安全管理等服务,加强了电力信息系统的信息安全防护。在论文的最后展望了PKI这个未来的信息安全技术。openssl是一个功能强大的信息安全解决方案,PKI技术是电力信息化中信息安全技术不可或缺的支柱,并在不断完善和成熟中,因此本文的研究工作具有一定的理论意义和应用前景。
吴波[10]2008年在《基于PKI的统一认证与授权系统的研究与实现》文中提出随着信息化建设进程不断开展,电子政务作为经济与社会信息化的重要条件,在世界范围内发展迅速,政府各部门的政务应用系统也应运而生。电子政务内网门户是面向政府公务员办公的访问入口,并且需要集成许多各个职能部门提供的Web应用系统,这些系统各自拥有不同的身份认证和授权模块,并且开发平台和部署位置都不一致,这给政务一体化工作带来极大的因难。建立一种统一认证与授权系统,实现用户和应用服务的集中管理,成为急需解决的问题。本文的研究内容是建立在一个电子政务内网门户项目的背景之上,针对当前电子政务现状,通过身份认证技术、单点登录模型和访问控制机制的分析与研究,设计一种基于PKI的统一认证与授权系统,在身份认证和会话维持方面,使用基于数字证书的挑战/应答方式对用户进行身份认证,利用加密的会话Cookie维持中心认证服务器同客户端的会话;在服务授权和访问管理方面,政务内网中的应用系统及其提供的服务在中心认证服务器注册,由其集中管理,并结合基于经纪人的Kerberos模型和基于角色的访问控制机制进行授权,由中心认证服务器生成服务票据,用户通过服务票据访问Web应用系统;最后本文对设计的统一认证与授权系统的安全性也进行了简要的分析。在统一认证与授权系统的实现上,系统使用JavaEE(Java Enterprise Edition)为开发平台,以LDAP(Light Directory Access Protocol,轻量目录访问协议)目录服务器为数字证书的存储体建立CA(Certification Authority,认证机构)中心,独立提供应用服务器和用户数字证书的查询服务,以实现不同政务内网门户认证中心间的交叉认证;并对涉及到系统服务中的关键问题进行分析与设计。在系统集成方面,对于原有应用系统通过使用重定向的方式对其进行改造与集成,而对于新建系统通过使用安全Web Service同内网门户集成以进行单点登录和授权访问。本文通过对统一认证与授权系统的设计与实现,解决了用户信息无法统一,授权管理复杂以及资源难于共享的问题,对以后电子政务的建设有一定的现实的意义。
参考文献:
[1]. 模糊信任模型及国家级PKI体系的研究[D]. 张仕斌. 西南交通大学. 2006
[2]. 基于PKI的数字证书应用研究[D]. 魏佳. 四川大学. 2006
[3]. PKI实现与应用中的一些问题[D]. 刘远航. 吉林大学. 2004
[4]. 基于多平台的证书功能库的设计实现及基本的PKI框架的构建[D]. 金凤. 浙江工业大学. 2003
[5]. 基于安全COS的智能卡认证研究与实现[D]. 王贵智. 北京交通大学. 2008
[6]. 基于PKI和数字水印的电子签章系统的研究与实现[D]. 樊彦博. 南京信息工程大学. 2012
[7]. 一个开放源码的PKI实现与企业应用[D]. 齐玉国. 河海大学. 2004
[8]. 移动身份认证服务系统在NFC手机支付中的研究[D]. 杨颖. 北京邮电大学. 2014
[9]. 基于PKI技术的CA系统集成方案的研究[D]. 杨帆. 华中科技大学. 2004
[10]. 基于PKI的统一认证与授权系统的研究与实现[D]. 吴波. 武汉理工大学. 2008
标签:互联网技术论文; 数字证书论文; pki论文; 身份认证技术论文; 信息安全论文; ca认证中心论文; 模糊理论论文; 用户研究论文; 网络模型论文; ca中心论文; 模糊算法论文; 安全证书论文; 用户分析论文; 功能分析论文; 信息发展论文; 网络安全论文; 电子签名论文;