基于PKI的证书撤销方式

基于PKI的证书撤销方式

张宏[1]2008年在《基于PKI身份认证系统的研究与实现》文中提出网络安全是信息系统的一个重要研究方向,而身份认证技术是保护网络信息资源安全的第一道大门,在安全系统中的地位极其重要。公钥基础设施PKI作为一种认证技术的安全设施,能够在开放网络环境下提供身份认证与鉴别,并能保证信息的机密性、完整性及抗否认性,目前已经成为网络信息安全认证领域中的主流技术。本文围绕一个PKI认证中心的设计和开发,对实现安全、可靠、可扩展的系统所涉及的关键理论—公钥密码体制和数字证书进行了研究,主要的工作有:(1)阐述了PKI的相关技术。对PKI的组成和标准、PKI的核心组成部分—CA的结构以及PKl的基本元素数字证书进行了详细分析。(2)研究了公钥密码体制的算法。在对密码技术分析的基础上,从对称密钥体制和公钥密码体制入手,对公钥密码体制中基于不同难题的RSA算法、DSA算法和ECC算法进行了深入地剖析和比较研究。(3)实现了3个非对称密码算法。RSA算法中给出了一种安全大素数生成的方法,并采用了Montgomery算法提高模密运算速度的方法,DSA算法中采用了在验证过程消除逆元运算的方法,在此基础上,实现了改进的RSA算法、改进的DSA算法和ECC算法。(4)设计实现了数字认证中心系统。该系统将上述算法(RSA算法、DSA算法和ECC算法)应用在认证的加密和签名过程中,并可为用户签发两种类型的证书,完整的实现了证书颁发、证书撤销、证书查询和证书更新等主要功能。本课题来源于陕西省自然科学基金(2006F50)和航空科学基金项目(06ZC31001)。

林婧丽[2]2003年在《基于PKI的证书撤销方式》文中研究表明本论文通过对PKI技术的阐述,分析了在PKI系统中各种证书撤销方式原理、优缺点和适应的网络环境,并设计构造了基于在线证书状态协议(OCSP)的证书撤销系统。随着电子商务的发展,信息安全已经成为电子贸易成长的重要因素,而支持PKI技术已经成为信息安全中最可行的一项。PKI是一个动态的系统,它融合了各种安全技术。涉及到的安全技术有:加密、数字签名、数据完整性机制、数字信封、双重数字签名等。PKI的总体构架有以下几部分组成:安全策略、证书权威机构(CA)、注册权威机构(RA)、证书存储库、PKI应用。X.509是一种证书标准,许多PKI系统一举它来设计公钥证书。其中证书的周期分为初始化阶段、颁发阶段和取消阶段。根据不同的应用,PKI有多种应用标准,SSL、TLS、S/MIME和IPSEC等。利用这些标准,可以实现以下几种应用实例:VPN、安全电子邮件、web安全。虽然数字证书只是PKI的组成部分之一,但它是限制或扩展安全设施整个性能的本质部分。因此用户必须能验证证书。本文主要介绍了两种方式验证证书的状态:1)周期性发布证书状态信息机制,证书撤销列表(CRLs)。基于传统CRL撤销发布机制,介绍了增量CRL、分布点CRL、重迭发布CRL、证书撤销树(CRT)、权限撤销列表ARL、间接CRL。由于证书撤销信息在整个PKI中的传播需要一段时间,这样就给攻击者留有了余地。2)在线查询机制,如在线证书状态协议OCSP。一个OCSP响应必须经过数字签名以保证响应是源于可信任方并且在传输过程中没有被改动。OCSP在应用方面也存在着一定的局限性,本文对这些局限性提出了改进方案。基于以上各种不同的证书撤销机制,本文提出了评价标准,在不同的环境给出了可使用的方案,并以OCSP为例,提出了具体的设计方案。

程宝宝[3]2012年在《基于PKI的小型数字认证系统的设计与实现》文中进行了进一步梳理随着信息技术的飞速发展,网络安全理论得到了广泛的应用。身份认证是网络安全的第一道屏障。实现身份认证的方法很多,但传统的、单一的认证手段暴露出了严重的安全隐患,已经不能适应信息技术高速发展的要求,因此迫切需要一种更为安全高效的认证方式。PKI以公钥密码学为基础,能保证信息的机密性、完整性与不可否认性。CA是PKI的核心组成部分,它把用户的公钥及其他标识信息捆绑在一起,为用户签发和管理数字证书。PKI作为当前网络安全认证领域中的最佳技术,已经被广泛应用于电子商务活动中。本文运用PKI技术,设计并实现了一个小型的数字认证系统。首先,本文介绍了密码学基础理论与身份认证方式,并详细阐述了PKI的相关技术;其次,通过分析具体功能需求,设计了一个简单的小型数字认证系统;最后,实现了该小型数字认证系统。该系统实现了证书生成、证书撤销、证书更新、密钥管理等功能。此外,针对信息传输过程中存在的信息窃听问题,我们借助网络安全协议SSL实现了数据的加密传输,建立了数据传输的安全通道,实现了基于数字证书的身份认证。

茹红[4]2007年在《PKI和CPK认证系统关键问题研究》文中研究指明随着全球信息化的发展,构建一个可信、安全的网络世界的需要越来越迫切。网络环境中的身份认证技术是解决这一问题的重要技术,它可以提供机密性、完整性、身份认证和抗抵赖性的安全服务。现今有叁种认证系统:公钥基础设施(PKI)、基于标识的加密系统(IBE)和组合公钥系统(CPK)。本文对PKI和CPK认证系统进行了分析并对其中的关键问题进行了研究。证书状态查询是PKI中最重要的问题之一。本文在在线证书状态协议(OCSP)的基础上给出了一种新的在线证书状态查询机制及系统的设计。在新的机制中,用户可以设置自己对公钥证书的新近时间要求,提高了系统的灵活性。文中对系统的设计和一些关键技术进行了详细的论述。在对分布式OCSP系统的研究中,介绍了一种为解决私钥泄漏问题而改进的分布式OCSP方案。CPK技术可以通过公钥因子矩阵和私钥因子矩阵,计算出用户的公钥和私钥,解决了超大规模网络中的密钥管理难题。在对CPK系统的研究中,总结了CPK技术的原理,给出了CPK系统的设计和应用方案。最后,本文对PKI和CPK系统进行了比较分析,给出了分析结果及各个系统的适用环境。

娄艳红[5]2007年在《企业信息网中数字证书系统的研究与实现》文中研究指明公钥基础设施(Public Key Infrastructure,PKI)是目前比较完善的网络安全解决方案。它可以为相应的网络应用提供身份认证,信息的机密性和完整性以及交易的不可否认性等安全服务。构架PKI体系,核心的技术就是建立功能完善的,可信的认证中心(CA),CA的建立是当前网络安全领域研究的热点之一,其实现具有重大的实用价值和社会价值。本选题的目的正是为了满足市场需求,设计了一个企业网中的数字证书系统。本文在查阅大量国内外文献的基础上,结合企业信息化建设、企业信息安全需求的具体情况,研究了企业信息网数字证书认证系统的设计和实现,建立企业网内的认证中心,给出了基于数字证书技术的自动化办公系统的安全设计方案。本文对PKI技术原理、加密技术进行了深入探讨,介绍了常用的认证方法,数字签名技术,CA认证体系以及SSL、S/MIME安全协议等,为企业数字证书系统的建立提供了理论上的支持。企业数字证书系统的设计与实现是本文的重点。数字证书系统的设计介绍了系统的特点,总体研究,总体工作流程,把系统总体设计了五个模块即证书服务器、证书注册服务器、信息发布服务器、用户身份认证服务器及应用服务器。证书服务器、证书注册服务器及信息发布服务器组成CA认证中心,是整个企业网的安全基础设施。用户端的设计主要是证书申请、证书签发及证书撤销的工作流程。数字证书系统的实现介绍了系统的用户端证书申请、签发、撤销的具体实现,包括证书功能的实现技术即微软的Certificate Enrollment Control(CEC)技术,数字证书系统界面,审批流程图和关键步骤的源码。本文还对数字证书的应用进行了探析,包括电子邮件安全发送、企业内公文安全传输方面。在论文总结中,介绍了论文完成的主要工作,说明了论文的特点和意义,同时指出了系统设计的不足,为课题的下一步研究做了准备。

徐成强[6]2006年在《基于PKI的网络安全认证技术若干问题的研究》文中研究表明公开密钥基础设施(Public Key Infrastructure,简称PKI)是网络安全建设的基础与核心。从理论上说,它采用证书管理公钥,把用户的公钥和其它信息捆绑在一起来认证用户,它是有效进行电子政务、电子商务安全实施的基本保障,对PKI进行研究将减缓网络的安全威胁,消除信息安全隐患;从实践上说,与其它认证技术相比较,PKI由于具有安全性高、理论完善、便于与电子政务和电子商务结合等优点,从而具有广泛的应用前景。 PKI利用数字证书为网络交易等提供安全保证。由于私钥泄漏等原因证书可能被提前撤销,以至于需要在使用前验证证书状态。证书中心(CA)采用证书撤销机制来发布证书状态信息,但是证书状态信息的发布在PKI中开销较大,是影响PKI大规模发展的关键因素。这成为专家、学者加大证书撤销机制研究的根源。 本文主要研究PKI证书撤销机制。对多种CRL机制进行总结,针对CRL过大的问题提出了从证书序号的编码中设置一个比特(bit)进行链化的改进方法来压缩CRL的大小。结果表明该方法有良好的压缩效果,数据量越大效果越明显。 证书撤销树(CRT)是一种具有较好应用前景的证书撤销机制,与CRL相比,CRT虽然具有客户端下载代价小、CA与LDAP服务器之间更新少的优点,但是CRT存在证书数量增加或减少时更新树的计算量大等缺点。本文提出根据证书序号的构成来构建证书撤销树。该树继承了CRT的优点,即证明一个证书的状态不需整个撤销树而只与部分相关路径节点有关,又克服了CRT更新时几乎对整个树重新构造的缺点。 本文对P2P-PKI体系模型进行了探讨,针对模型中信任级别tlevel的初始值,提出了一种确定方法,并据此值的变化实现了P2P-PKI中的证书撤销。 在实践环节,本文设计并实现了一个基于PKI的安全认证系统,此系统采用客户/服务器工作模式,合法用户认证后可以访问系统资源,从而实现了高强度的认证及保密通信。同时本系统对通信信息的密钥进行上传至可信第叁方,保证了接收方的不可否认性的实现;系统还保留了CRL和CRT两种撤销形式,以满足不同用户的查询需求,具有设计简练、安全可靠等优点。

陈福生[7]2006年在《基于P2P的分布式PKI技术研究》文中研究说明公钥基础设施(Public Key Infrastructure, PKI)能够保障网络安全,解决网络通信中的信息安全问题。目前存在集中式和分布式两种PKI技术。分布式PKI作为一种新的技术方案,较好地解决了集中式PKI中扩展性较差和单点失效问题,但分布式系统中数字证书如何分发、系统安全性如何保证,这些问题都有待研究解决。基于对等网络(Peer-to-Peer, P2P)的分布式PKI体系可以解决分布式PKI存在的问题。它采用P-Grid技术组织和管理系统中的实体,完成证书信息的搜索和传输;采用多重数字签名技术颁发证书,保证加入系统实体的安全性,并利用证书中包含的多个信任关系,形成多条信任链,加强总体信任强度;采用信任度量化实体间信任关系,建立信任模型并定义相关运算法则,通过信任度的计算验证实体是否可信,提高信任关系处理的准确性。基于P2P的分布式PKI体系支持证书申请、证书查询、证书撤销和证书验证四种操作。通过定义新的证书格式和申请流程,实现有效证书的申请;改造P-Grid搜索算法,实现证书信息的高效查询;采用新的证书撤销信息格式,使得实体能够撤销自身证书,简化整个撤销过程;利用证书的数字签名和信任度信息,综合运用信任度运算法则,完成证书的验证。分析表明,搜索算法提高了系统的性能,信任模型保证了系统的安全性,分布式体系架构使得系统具有较强的扩展能力。另外,较集中式PKI而言,系统在容错性、灵活性等方面也具备一定的优势。

王启建[8]2007年在《基于PKI技术的安全电子政务系统的设计》文中研究表明随着电子政务应用的不断深入,使得政府部门的工作方式发生了巨大的变化。电子政务给政府工作带来方便和高效率的同时,也带来许多安全问题。如何保障在信息安全的前提下提高政府部门的办事效率成为当前研究的热点问题。电子政务应用中涉及到许多的机密数据,如何保证这些数据的真实性、完整性和不可否认性是电子政务中的重要问题。而PKI技术可以很好的解决当前电子政务系统所面临的上述安全问题。本文首先对电子政务这个概念进行了阐述,并对当前国内外电子政务系统的发展现状进行了分析,并提出了当前电子政务系统中亟待解决的问题:当前的体系缺乏身份认证体系和信息的传输中的加密问题。然后对PKI技术作了详细的论述,PKI可以利用公钥技术和基于X.509证书所提供的安全服务,可建立安全域,并在其中发布密钥和证书,可以解决身份认证和信息传输中的加密问题。并分析了当前PKI系统使用的常用模型和常用的认证体系,对各种模型和体系的优缺点进行了分析和讨论。最后构建了一个安全的电子政务系统的模型并设计初步实现了电子政务系统中一个重要组成部分数字证书系统。在这一部分中详细设计了安全的电子政务体系应具备的各个层次,并讨论了各个层次在应用的可行性。包括核心层PKI/CA的建设,网络层的认证接入,和应用层的身份认证、加密传输、数字签名,接口层可信数据/服艮务的发布,及采用加密代理的方式来保证数据的存储的安全性。文章的最后设计并初步实现了一个数字证书系统,包括数字证书的申请、签发和撤销及查询,从而保证数据的安全传输。本文旨在构建一个安全的电子政务系统,在保证安全的基础上为提高政府的办事效率做出探索和努力。

杨宇[9]2009年在《基于PKI身份认证系统的研究和实现》文中研究说明随着当今网络的不断普及,网络安全已成为了一个信息系统的重要研究课题。网络安全的一个重要属性之一是真实性,而身份认证是鉴别一个身份是否真实有效的过程,基于公钥基础设施PKI数字证书认证体制,能确保网络上传输数据机密性、真实性、完整性和不可否认性,提供在开放式的网络环境下身份认证、鉴别服务,目前该体制已经逐渐成为了网络信息安全身份认证领域的热门解决方案。本文主要研究PKI技术中利用数字证书鉴别用户身份的流程和原理,并将PKI技术中证书验证,签名和角色控制,资源访问相结合,设计并实现了一个增强的基于PKI技术的身份认证系统,论文的具体研究和实现工作包括如下几个方面:1)对目前几种流行的身份认证方法进行了研究,分析了其优缺点,找出自己研究的切入点;2)介绍了PKI技术所涉及的相关理论。分析了对PKI技术所涉及的对称、非对称算法,并研究这些算法的适用性和效率,详细讨论了基于x509格式数字证书;3)着重介绍了基于数字证书的PKI认证技术。对PKI认证体系的标准和组成、PKI认证体系的核心组成部分CA的结构进行了详细的分析,详细讨论了PKI技术中用户身份鉴别的原理和用途;4)设计并实现一个的基于PKI技术的身份认证系统。该系统完全利用PKI体系的非对称体制,实现用户身份的鉴别以及信息传输过程中的机密性,完整性和不可否认性。该认证系统采用了双因子认证,Kerberos令牌协议确保对合法用户身份的鉴别;采用临时密钥会话策略保证用户身份的完整鉴别和传输的保密性,采用单点登录以及SOCK协议代理的技术,实现了对业务系统的访问无关性,采用RBAC角色与访问控制系统,对用户实施更加细粒度的访问访问控制。分析了针对课题系统的各种安全威胁,并提出了应对措施。

陈国[10]2008年在《基于PKI/PMI的统一认证授权系统的研究与设计》文中研究指明互联网加快了全球化的步伐,企业也加快了信息化建设的步伐,在信息爆炸的时代,资源共享将进一步得到加强,随之而来的信息安全问题也显得越来越重要,成为当今研究的热点。如何确认和你在互联网上通信的人是谁?如何确保非法的用户无法访问受保护的敏感信息?又如何确保合法的用户能正常的访问资源?这几个问题描述了被国外学者称为信息安全金叁角的信息的机密性,完整性,可用性等属性,也就是本文讨论的认证,授权和访问控制的问题。看看过去企业的信息系统平台,不难发现,由于业务系统的认证和授权逻辑被嵌入在系统业务中,加上不同的系统有各自的安全实施策略,导致整个信息平台存在诸多的缺陷:安全性不高,管理混乱,互操作性不好,成本投入高等。公钥基础设施(PKI)是目前网络安全建设的基础与核心,它主要目的是通过自动管理密钥和证书,提供网络在线的身份认证,为用户建立起一个安全可信的网络环境。在此基础上的授权是确保网络安全的又一重要保障,授权基础设施(PMI)正式在PKI上的延伸,PMI通过颁发属性证书的方式为解决了分布式环境下授权问题,为企业的授权提供了新的解决思路。PMI是目前安全领域的研究热点,其标准化工作正在进行中,目前,被实际应用的PMI产品还不多。本文重点讨论了PKI和PMI等基础设计的体系结构和原理,深入研究了X.509v4协议,在此基础上,扩展了PKC身份证书和属性证书;其次深入研究了访问控制框架,建立了适合于本系统的访问控制框架;深入研究了PMI的角色模型,针对传统的RBAC模型的缺陷,提出了GE-RBAC模型,引入私有权限和公有权限解决私有权限问题,采用抽象角色和单继承替代原有的多继承,简化角色层次关系,引入任务的概念弥补RBAC对动态权限的支持不足等等。此外,为提高系统的性能,采取动态缓存和静态缓存相结合的缓存设计;改进了X.509V4中证书撤销方案,提出了更加高效基于哈希链表的证书撤销方案;此外,针对删除操作可能一起的数据不一致的问题,设计了定时日志跟踪自动执行相关更新操作的方案。本文根据PKI在授权管理方面的不足,汲取了PMI在授权管理方面的优势,并结合了时下相当流行的基于角色的访问控制思想设计了一个分布式环境下的统一认证授权系统,该系统能提供在线的身份认证,权限管理和审计等服务,大大简化管理员的工作,增强了业务系统的安全性,方便系统的扩展,能够满足用户对统一安全管理的需求。

参考文献:

[1]. 基于PKI身份认证系统的研究与实现[D]. 张宏. 西北大学. 2008

[2]. 基于PKI的证书撤销方式[D]. 林婧丽. 北京工业大学. 2003

[3]. 基于PKI的小型数字认证系统的设计与实现[D]. 程宝宝. 西安电子科技大学. 2012

[4]. PKI和CPK认证系统关键问题研究[D]. 茹红. 西安电子科技大学. 2007

[5]. 企业信息网中数字证书系统的研究与实现[D]. 娄艳红. 太原理工大学. 2007

[6]. 基于PKI的网络安全认证技术若干问题的研究[D]. 徐成强. 山东大学. 2006

[7]. 基于P2P的分布式PKI技术研究[D]. 陈福生. 华中科技大学. 2006

[8]. 基于PKI技术的安全电子政务系统的设计[D]. 王启建. 曲阜师范大学. 2007

[9]. 基于PKI身份认证系统的研究和实现[D]. 杨宇. 电子科技大学. 2009

[10]. 基于PKI/PMI的统一认证授权系统的研究与设计[D]. 陈国. 广东工业大学. 2008

标签:;  ;  ;  ;  ;  ;  ;  ;  ;  

基于PKI的证书撤销方式
下载Doc文档

猜你喜欢