pki认证模型及其在网络环境下的应用研究

湖南大学硕士学位论文PKI认证模型及其在网络环境下的应用研究姓名：栾燕申请学位级别：硕士专业：软件工程指导教师：张继荣;肖立贤20071001PKI认证模型及其在网络环境下的应用研究作者：栾燕学位授予单位：湖南大学相似文献(10条)1.学位论文邓涛公钥基础设施在Internet中的应用研究2006为了保证互联网上电子交易的安全性(即交易数据传输的保密性、可靠性和交易的不可抵赖性)，防范交易及支付过程中的欺诈行为，必须在互联网中建立并维持一种令人信任的环境和机制。因此应用最有效的安全技术，建立电子商务安全体系结构，已成为电子商务建设中首先需要解决的问题。基于公钥基础设施PKI(PublicKeyInfrastructure)与CA(CertificationAuthority)认证技术的数字证书解决方案，现已被普遍采用。本文首先介绍了各种加密算法和数字证书，分析了PIG的体系结构及功能，研究了PKI的信息管理及互操作性问题。通过这些分析，说明了PKI应用在Intemet中的重要性，并对一种简单的PKI应用(PGP)进行了讨论，重点分析了它的结构和存在的问题，简要对问题的解决方法与系统的实现进行了介绍。其次，文章分析了一般C/S模式中存在的安全性隐患，提出采用密文形式传输和存储用户口令的方法，以保证口令的机密性。同时，在PKI/CA认证、数字签名以及加密技术的基础之上，提出了密文传输和存储口令机制下的用户注册和C/S、B/S模式资源安全访问的基本模型，以实现C/S和B/S的安全机制。文章最后运用Java语言，设计实现了客户端的数字签名与加密机制和服务器端的信息解密与数据完整性验证。2.期刊论文谭永欣.黄向农端到端安全电子邮件原理、配置与实现-职大学报2004,(4)本文讨论了互联网中安全电子邮件常用的数据保密和鉴别技术.基于对互联网中数据保密和鉴别模型的分析,提出了互联网中端到端安全电子邮件模型和实现方案.最后,给出了端以端安全电子邮件的配置方案.3.学位论文赵昭SSL协议的实现和改进2004随着互连网的不断发展和普及，基于互联网的应用系统越来越多，互联网的安全性也越来越重要。由于因特网的广泛使用，从前那种松懈的面向网络的安全性实践已经不足以保证数据的安全。其结果是，“公钥基础结构”或PKI被证实不是加密数据的可靠系统，而且商业社会也已经注意到了这一点。SSL作为互联网上普遍使用的一种安全协议，可以为互联网通信提供安全保障。自从SSL成为工业标准以后，SSL在Internet上已得到长足的应用，除了如S/HTTP,S/MIME，SSL-Telnet，SSL-SMTP，SSL-POP3等常用的协议以外，人们在开发各种电子商务和电子政务系统时也是基于SSL.正是由于SSL的重要性，所以有必要对其进行分析。SSL协议主要是使用公开密钥体制(PKI)和X.509数字证书技术保护信息传输的机密性和完整性，它不能保证信息的不可抵赖性，主要适用于点对点之间的信息传输，常用WebServer方式。SSL的主要目标是为两个通信主体提供保密、可靠的通道。它是在Internet基础上提供的一种保证机密性的安全协议，它建立在可靠的传输层之上，与应用层的具体协议无关，加密算法、通信密钥的协商以及服务器的认证都是由SSL自动完成的。在SSL的连接建立之后，应用层不需要进行任何干预，通信中的所有数据都会被SSL自动加密。它为应用层协议提供了一个类似于TCP的接口，对应用层程序的开发者来说，它是完全透明的，可以利用SSL套接来代替传统的TCP套接。使用SSL后，HTTP协议称为HTTPS，LDAP称为LDAPS。SSL协议能够满足通信的数据安全需求，但是只能够实现初步的身份认证，要实现用户的权限控制必须在其应用层增加很多额外的工作，如访问控制列表(ACL)等。而PMI(PrivilegeManagementInfrastructure)技术就是为了解决权限访问控制而产生的，可以很好的解决这一问题。授权管理基础设施PMI(PrivilegeManagementInfrastructure)是国家信息安全基础设施(NationalInformationSecurityInfrastructure，NISI)的一个重要组成部分，目标是向用户和应用程序提供授权管理服务，提供用户身份到应用授权的映射功能，提供与实际应用处理模式相对应的、与具体应用系统开发和管理无关的授权和访问控制机制，简化具体应用系统的开发与维护。PMI使用属性证书表示和容纳权限信息，通过管理证书的生命周期实现对权限生命周期的管理。属性证书的申请，签发，注销，验证流程对应着权限的申请，发放，撤消，使用和验证的过程。而且，使用属性证书进行权限管理方式使得权限的管理不必依赖某个具体的应用，而且利于权限的安全分布式应用。PMI技术属于PKI技术的扩展和延续，属性证书(AttributeCertificate)的标准是X509V4，身份证书的标准是X509V3，两种证书配合使用，可以形成一个完整的安全系统，解决目前网络应用所面临的各种安全问题。PKI证明用户是谁，而PMI证明这个用户有什么权限，能干什么，而且授权管理基础设施PMI需要公钥基础设施PKI为其提供身份认证。PMI实际提出了一个新的信息保护基础设施，能够与PKI和目录服务紧密地集成，并系统地建立起对认可用户的特定授权，对权限管理进行了系统的定义和描述，完整地提供了授权服务所需过程。建立在PKI基础上的PMI，以向用户和应用程序提供权限管理和授权服务为目标，主要负责向业务应用系统提供与应用相关的授权服务管理，提供用户身份到应用授权的映射功能，实现与实际应用处理模式相对应的、与具体应用系统开发和管理无关的访问控制机制，极大地简化应用中访问控制和权限管理系统的开发与维护，并减少管理的成本和复杂性。技术不断在提高，人们对技术的要求也不断的提高，传统的技术已经不能够适应新的市场需求了。SSL存在的问题已经开始制约它的发展，必须融入新的技术才能够获得新的活力，更好的为互联网应用提供服务。本文详细介绍了SSL技术，分析了SSL技术的缺陷，提出了使用PMI(PrivilegeManagementInfrastructure)技术对其进行改进的方案。把属性证书(AttributeCertificate)的概念引入SSL协议中。在进行身份认证的同时也进行权限认证，使底层安全通信协议同时支持X509身份证书和属性证书。本文详细的介绍了如何用Java语言实现SSL协议，并对协议本身进行了改进。最终形成一套完整的、纯Java的SSL协议改进版，可以用于网络安全应用的开发。融入了权限管理的SSL协议，不仅可以用于WEB方式的服务，也适合其他基于网络提供服务的应用系统，尤其适合那些提供跨区域服务、用户量大的系统。而采用Java语言进行开发，正是因为考虑到目前的互联网应用大多数都是基于Java平台的，有利于这种技术的推广和应用。4.学位论文苏洁基于PKI技术的Web服务安全性研究与应用2004随着Internet的迅猛发展与普及,数字化的网络进入了人们的生活,每天都有许多公司和个人在网络上进行商务活动;人们通过电子邮件和计算机网络共享文件和信息;各企业也都试图把传统的交易模式改为电子商务方式;这些都极大地促进了信息技术的发展,所有这一切正是得益于互联网络的开放性和匿名性的特征.然而,正是这些特征决定了单纯的互联网不可避免地存在信息安全隐患.为解决在Internet上信息传输的安全问题,必须在互联网中建立并维持一种令人可以信任的环境和机制.应用最有效的安全技术,建立电子商务安全体系结构,成为电子商务建设中首先需要解决的问题.世界各国在多年研究后,形成了一套完整的解决方案即公钥基础设施——PKI体系.PKI体系是为所有网络应用提供加密和数字签名等密码服务的一种密钥和证书管理体系,简单来说,PKI就是利用公钥理论和技术建立起来的提供安全服务的基础设施.PKI提供一个可扩展的,基于策略的方法,以实现身份鉴别和不可否认性.PKI必将成为所有电子商务、电子政务的基石,并且可以预见在未来安全发展前景中PKI会居于主导地位.该文针对PKI构架进行了详细的研究,在此基础上针对PKI构架在保障Web安全方面进行了深入地探讨,将PKI安全构架的思想体系及主要技术应用到Web安全上,将安全特性集成到Web服务中,以解决以往Web服务中所存在的机密信息泄漏的问题,从而解决电子商务、电子政务的信任问题,建立可信的数字商业环境和政务环境.最后,该论文给出了将PKI技术集成到网上银行Web安全服务中的一个实例.5.期刊论文刘叶飞.赵德安.单正娅.LIUYe-fei.ZHAODe-an.SHANZheng-ya电子商务安全的探讨-中国安全科学学报2006,16(2)介绍电子商务的发展规模以及可能会遇到的安全问题,分析电子商务安全的基本技术加密算法.根据对称加密算法和非对称加密算法的安全特点进行组合,从而提出电子商务交易的一般安全控制结构图,针对各个环节的优缺点,提出有效解决安全问题的方案,同时重点突出了各种相关新技术的特点;电子商务交易的发展,互联网的普及,网络上交易及其信息的安全性已经对人们的经济活动及日常生活产生了重要的影响,为此,提出的电子商务安全方案最大限度地降低了人们的风险;进一步探讨和展望电子商务的前景:随着电子商务的发展,电子交易的手段也更加多样化,安全问题也会变得重要和突出;同时,电子商务又是一个复杂的系统工程,它的安全还要依赖许多社会问题的解决.6.学位论文向亚萍微支付系统的安全、成本分析2005本文主要从微支付系统的安全和成本两方面着手进行分析,试图寻找二者的最佳平衡点,并列举了Millicent、MicroMint和PayPal三个案例举例说明.由于微支付交易中的商品价格极低,就必须保证每笔交易的低成本.一个微支付系统应该能使提供微支付商品或服务的商家不至于因交易成本过高而失去边际利润.一个微支付系统的成本主要包括固定的技术成本、存储成本、计算成本、通信成本、管理成本、异常处理成本和发行成本等许多方面.我们可以采取很多相应的措施以降低这些方面的成本.当内容、服务提供商和用户同时使用多个不同的微支付系统时,他们会遇到许多问题,造成资源的大量浪费和各种成本的增加.理论上讲有三个方法可以解决这个问题:认可现已存在的一个微支付系统,并在世界范围内推广;建立一个新的微支付系统,并在世界范围内推广;保持现有的微支付系统不变,使它们互相整合在一起.显然最后一种是最可行的方案.在该种方案里引入了一个微支付网关的概念.银行或互联网服务提供商ISP都可以作为微支付网关服务的提供者.7.学位论文徐勇基于PKI技术的CA的研究与实现2007随着网络技术的发展，特别是Internet的全球化，各种基于互联网技术的网上应用，如电子政务、电子商务等得到了迅猛发展。网络正逐步成为人们工作、生活中不可分割的一部分。由于互联网的开放性和通用性，网上的所有信息对所有人都是公开的，因此应用系统对信息的安全性提出了更高的要求。作为电子商务信息安全的关键技术和基础技术的PKI/CA技术，可以保证电子商务中信息传输的机密性、真实性、完整性和不可否认性，从而保证信息的安全传输。PKI是基于公开密钥理论和技术建立起来的安全体系，是提供信息安全服务的具有普适性的安全基础设施，是目前解决网络安全问题的最全面的方案。该体系在统一的安全认证标准和规范基础上提供在线身份认证，是CA认证、数字证书、数字签名以及相关安全应用组件模块的集合。作为一种技术体系，PKI可以作为支持认证、完整性、机密性和不可否认性的技术基础，为网络应用提供可靠的安全保障。本文所做的工作就是分析现有的加密理论和技术，搭建PKI/CA平台，为用户提供相关的服务。文中从PKI的研究背景和研究现状出发，分析现有的安全机制，并对．PKI的相关理论知识进行阐述，最后对实体CA、RA、客户端进行了功能上的设计和实现，其重点是讨论服务器端CA功能的实现，利用OpenSSL函数库中