PKI认证系统研究与设计

PKI认证系统研究与设计

王雪颖[1]2002年在《PKI认证系统研究与设计》文中研究表明电子商务需要运用密码技术解决安全问题。秘密密钥密码体制存在密钥管理的问题,而公钥密码体制在有效解决密钥管理问题的同时却又带来了公钥真实性的问题。如何将密码学的理论投入实际应用之中有效的解决安全问题,我们需要一种机制解决公钥与实体身份之间的绑定问题,这就是PKI。 PKI通过发放证书绑定实体与公钥,是电子商务活动中信任的来源和安全的基础。许多重要的安全应用基于PKI的支持建立起来,PKI使得为构建在网络上的各种应用提供认证、机密性、完整性、不可否认等安全服务成为可能,具有广阔的应用前景。 作者在研究PKI概念体系和实现技术的基础上,参考了当前主流PKI标准,以及较为成功的PKI生产厂商和开放源代码的PKI实现的技术方案,基于J2EE平台建立了一个安全、跨平台、模块化、功能较为全面并具有良好扩展性的PKI认证系统实现模型。 本文以对PKI基本理论、关键概念和技术框架的阐述为先导,详细描述了该PKI认证系统的设计思想和实现方案。

陈军[2]2006年在《基于PKI的身份认证协议的研究与实现》文中研究表明身份认证是证实一个声称的身份是否真实有效的过程,是网络安全技术的一个重要组成部分,是整个信息安全体系的基础。在身份认证这一领域中,当今世界上采用的主流技术是公钥基础设施(Public Key Infrastructure,PKI)。PKI是目前网络安全建设的基础与核心,是电子商务安全实施的基本保障。因此,对PKI技术的研究和开发成为目前信息安全领域的热点。当前的一些主要的身份认证技术有:基于口令的认证方法,挑战握手认证协议,双因子认证技术,基于生物特征识别的身份认证,基于Kerberos的认证方法,基于PKI的身份认证技术,零知识身份认证技术等。这些认证技术并非孤立,有很多认证过程同时使用了多种认证技术,互相配合,以达到更加可靠的目的。PKI技术采用证书管理公钥,通过第叁方的可信任机构——认证中心CA(Certificate Authority),把用户的公钥和用户的其他标识信息(如名称、e-mail、身份证号等)捆绑在一起,在Internet网上构建一个安全的信息基础设施平台,为电子商务、电子政务、电子事务提供良好的应用环境。PKI确保了网上数字信息传输的机密性、真实性、完整性和不可否认性。其主要使用的密码学技术有:对称密码加密、公钥加密、单向散列(Hash)算法、数字签名、数字信封以及数字证书。本文大致介绍了几种流行的身份认证方法,并重点分析了基于PKI的认证技术。本文针对现有的身份认证机制的各种弊端,如:弱认证机制、无权限控制、互操作性不好、管理混乱等,提出了一种基于PKI的统一身份认证平台机制,并设计出一种基于PKI的身份认证协议。认证协议采用了单点登录的技术,实现了与应用系统的无关性,通过对多种密码学技术的运用,保证了传输的保密性与完整性。并通过对认证协议的安全分析,保证了认证协议的安全性和可靠性。随着PKI的广泛应用,该认证协议可应用到电子政务、设备管理、数据库管理等多个方面,具有很强的实用性。

陈宽飞[3]2012年在《基于PKI的银行认证系统设计》文中认为随着internet的发展和电子商务的普及,网络信息技术在很多领域得到了普遍的应用,与此同时信息安全也成为应用中急需解决的问题,在网络的各种威胁中,身份认证、数据保密、访问控制等一系列信息安全问题比较突出。如何在开放的Internet网络环境下完整、有效地传输敏感数据成了其中的关键问题。解决这些问题过程中,PKI(公钥基础设施)技术得到了越来越多的关注和认可。本文以宁波CA中心基于PKI的宁波银行数字认证项目为实践基础,分别论述了PKI系统的体系结构、相关标准以及发展状况,在项目的需求分析与设计、开发及实施等阶段对基于PKI的银行认证系统进行深入分析研究,论述了银行应用系统在使用PKI系统过程中所遇到的问题。其中对关键节点、设计方案提出了改进措施,强化安全认证技术,并论述了在PKI认证系统开发中的两个核心即身份认证、安全传输,重点详细阐述了基于PKI技术的金融企业RA中心的设计思路及数据库构架,最后完成了基于PKI的认证系统的整体设计并在实际应用中部署实现。本系统中选用安全中间件是采用J2EE架构所开发的,系统后台采用C#开发实现,RA的系统架构与数据库设计基于数据库Oracle10i,基本实现了包括加密传输、以数字证书为身份认证介质,同时能够为银行的客户及员工提供身份认证。还能够为银行应用系统的安全提供支撑服务。在系统的设计与开发过程中,我们按照项目开发流程进行开发。在各个阶段进行过程中,我们注重文档的质量,在提高系统维护便利度的同时,也提高了基于PKI的银行认证系统的可靠性及与银行业务体系的切合度。

刘鹏[4]2006年在《一种公钥基础设施服务器的研究与实现》文中认为随着全球计算机互联网络用户覆盖范围和信息传输量的迅速发展,各类网络应用也日益增多。人们的社会活动和经济活动越来越依赖于计算机网络,因而网络的安全性已成为信息化建设的一个核心问题。以PKI(Public Key Infrastructure,公开密钥基础设施)为基础的安全认证平台是使互联网应用向商贸领域发展成为可能的必要条件,它保证了端到端的安全,主要用于支持身份认证、数据完整性保护、数据保密性、不可否认性和不可伪造性等安全服务。PKI的应用非常广泛,包括在Web服务器和浏览器之间的通讯、电子邮件、电子数据交换、在Internet上的信用卡交易和虚拟专用网等。网络安全基本模型中主要元素有可信第叁方,通信信道和通信实体,网络攻击往往发生在信道这个环节。PKI系统采用CA(Certificate Authority,证书授权中心)充当可信第叁方,基于公钥密码学的数字证书作为通信实体身份的凭证,认证通信实体和加密数据,从而确保网络安全。在对多种PKI系统实现研究和分析后,综合性能,可用性,扩展性多方面因素考虑,提出一种集中式PKI系统实现。该系统是采用客户端/服务器架构,以MySQL数据库作为证书资料库,运行在Windows和Linux或者其他类UNIX操作系统上。本系统采用C++语言作为开发工具,使用OpenSSL函数库来处理所有加密和证书相关工作。PKI系统服务器是实现PKI系统的核心部分,也是构建PKI系统的基础。其功能主要包括证书请求,证书创建,证书传递和证书撤销等证书管理功能,CRL生成,CRL发布等功能。

周淑萍[5]2008年在《基于PKI的石大校园网认证系统研究与设计》文中认为目前,校园网的认证大多基于用户名/口令方式,这种认证方式面临众多攻击和泄露风险,比如:网络窃听、认证信息截取/重放、病毒、黑客等。传统的口令认证方式已经无法满足大规模网络应用的安全认证需求。因此建立一套新的校园网身份认证机制对校园网的安全具有重要的意义。公钥基础设施(PKI)通过第叁方信任机构―认证中心(CA)发布证书将用户公钥和用户的身份绑定在一起,从而可以为校园网上各种应用提供机密性、完整性和身份鉴别等方面的安全保障。论文的具体研究和实现工作包括以下几个方面:本文首先对密码学技术进行了深入的研究,在密码学知识的基础上深入了解PKI相关理论。通过对公钥基础设施PKI的实体模型的研究,从分析加密算法、数字签名和研究PKI原理、CA认证机制等途径,结合学校的组织结构特点和校园网的特点为校园网设计了一个单CA多RA结构的认证中心模型。深入研究证书/CRL的格式及编码方式。利用OpenSSL编码工具对石河子大学校园网CA认证中心进行具体实现。其中包括:证书申请、证书审核、证书制作、证书注销等。在认证中心的基础上,实现校园网的认证系统。系统测试,并给出了数字证书的具体应用实例。

陆洁茹[6]2006年在《基于ECC的CA认证中心的研究与设计》文中研究表明本文研究和分析了PKI和椭圆曲线密码机制,设计并实现了基于ECC的CA认证中心系统。该系统提供申请、签发、验证、查询和撤销ECC/RSA数字证书等服务。同时,利用ECC安全性和计算效率高等特点,系统内部各通信终端之间使用ECC证书建立安全的通信通道,在提高系统安全性能和传输效率的同时,有效地减少了网络资源的消耗。本文首先对PKI体系的底层技术进行深入研究,重点分析了非对称密码椭圆曲线密码体制,并将它与其他密码技术进行了比较。其次,基于本系统的设计目标和功能,设计出系统总体构架,包括客户端程序、安全服务器模块、注册中心RA模块、认证中心CA模块和证书/CRL库五个部分,模块之间通过ECC证书建立安全通道进行网络传输。然后,依照数字证书和ECC密钥相关标准规定,设计出ECC密钥、PKCS#8私钥、PKCS#10证书申请、X.509证书和PKI消息的数据结构。本课题实现了一个功能完备的基于ECC的CA认证中心系统,并通过相应接口函数,将系统签发的ECC证书应用于IPSec VPN中通信双方的身份认证。最后,对原型系统以及ECC证书在IPSec VPN中的应用进行了测试,并对测试结果进行分析。目前,ECC密码体制的应用前景已经越来越广泛,但是签发管理ECC证书的成熟PKI产品却很少。本文扩展PKI支持的公钥密码算法,在CA认证中心系统中引入椭圆曲线密码体制,系统发布的ECC证书与RSA证书相比,同等安全强度下体积更小、占用带宽更少而且性能更高,更加适合未来网络安全的发展需求。

潘恒[7]2006年在《电子商务环境下基于PKI的信任问题研究》文中研究表明与传统商务相比,电子商务作为一种新的商务模式具有高效率、低成本、实现灵活等十分明显的优势。因而电子商务发展迅速,成为“十一五”期间电子信息高新技术领域国家重点支持的发展方向之一。信任作为交易活动成功与否的核心因素,对保证电子商务活动的顺利、健康发展起着关键性的作用。由于在信息领域对信任问题的研究刚刚起步,很多信任概念含糊不清,在设计信任系统时对信任机制的选用也比较混乱。因此,在电子商务环境下对信任问题的理论和应用研究具有十分重要的理论价值和现实意义。 本文首先对电子商务环境下信任理论、信任管理框架进行深入分析。在此基础上,以PKI作为实现电子商务安全的技术支撑,围绕PKI系统可信性关键因素,B2B环境下的信任问题以及B2C和C2C环境下信誉系统研究与设计等实际应用问题展开深入讨论。 本文的主要工作和创新点归纳如下: 1.整理、分析、归纳了电子商务环境下的信任基本理论,在此基础上提出了一个完备、准确的电子商务环境下的信任定义。根据该定义归纳了信任的性质,将信息领域内目前所研究的各种信任问题划分为两大范畴,并对其中的热点信任问题进行了分析。在此基础上,从技术的角度创新性地提出了一种适用于电子商务环境的信任管理框架。该框架完全符合本文所提出的信任定义,同时涵盖了信息领域现有的各种热点信任问题,可适用于B2B、B2C、C2C等不同的电子商务环境。该框架可为电子商务环境下信任问题研究提供一定的理论指导,对电子商务环境下信任系统的工程设计具有参考价值。 2.对影响PKI可信性的关键因素进行了分析,并指出私钥的安全性是保证PKI系统可信任的最关键因素。在总结现有各种私钥管理方法的基础上,提出了一种基于零知识的端实体私钥存取方案。该方案从对私钥拥有者的强身份认证和保护私钥存储机密性这两个角度出发,在确保端实体私钥存储保密性和安全性的同时,最大限度地节约了端实体身份认证过程所需的网络带宽。 3.在分析现有PKI信任模型特点的基础上,着重对PKI层次型信任模型进行了形式化研究。在此基础上,针对B2B环境中企业发生并购以及企业供应链变化这两种具体应用背景,分别提出了一种基于层次型信任模型的企业PKI整合方案和企业PKI互连方案。方案最大程度地保留了整合或互连前各PKI系统的功能,不仅实现了新旧企业PKI系统之间的平滑过度,缩短了构建新企业PKI系统的时间;而且在整合及互连过程中新证书的颁发量相对较少,因而较大地降低了建造成本。此外,新企业PKI系统建立的证书信任链唯一,信任路径长度较短,证书验证过程便捷,整体性能得到较大提高。 4.针对B2C及C2C等电子商务模式中,交易双方比较陌生,消费风险较大的情况,根据本文在第叁章提出的电子商务信任管理框架,设计出一个基于证书的面向消费者的信誉系统CORS。该系统采用分布式方式存贮各节点的信誉评价值和信誉值,从而避免了在集中

杨宇[8]2009年在《基于PKI身份认证系统的研究和实现》文中指出随着当今网络的不断普及,网络安全已成为了一个信息系统的重要研究课题。网络安全的一个重要属性之一是真实性,而身份认证是鉴别一个身份是否真实有效的过程,基于公钥基础设施PKI数字证书认证体制,能确保网络上传输数据机密性、真实性、完整性和不可否认性,提供在开放式的网络环境下身份认证、鉴别服务,目前该体制已经逐渐成为了网络信息安全身份认证领域的热门解决方案。本文主要研究PKI技术中利用数字证书鉴别用户身份的流程和原理,并将PKI技术中证书验证,签名和角色控制,资源访问相结合,设计并实现了一个增强的基于PKI技术的身份认证系统,论文的具体研究和实现工作包括如下几个方面:1)对目前几种流行的身份认证方法进行了研究,分析了其优缺点,找出自己研究的切入点;2)介绍了PKI技术所涉及的相关理论。分析了对PKI技术所涉及的对称、非对称算法,并研究这些算法的适用性和效率,详细讨论了基于x509格式数字证书;3)着重介绍了基于数字证书的PKI认证技术。对PKI认证体系的标准和组成、PKI认证体系的核心组成部分CA的结构进行了详细的分析,详细讨论了PKI技术中用户身份鉴别的原理和用途;4)设计并实现一个的基于PKI技术的身份认证系统。该系统完全利用PKI体系的非对称体制,实现用户身份的鉴别以及信息传输过程中的机密性,完整性和不可否认性。该认证系统采用了双因子认证,Kerberos令牌协议确保对合法用户身份的鉴别;采用临时密钥会话策略保证用户身份的完整鉴别和传输的保密性,采用单点登录以及SOCK协议代理的技术,实现了对业务系统的访问无关性,采用RBAC角色与访问控制系统,对用户实施更加细粒度的访问访问控制。分析了针对课题系统的各种安全威胁,并提出了应对措施。

栾燕[9]2007年在《PKI认证模型及其在网络环境下的应用研究》文中进行了进一步梳理随着计算机网络应用的普及和电子商务的发展,互联网已经成为了人们生活的一部分,由于网络的开放性,如何保障网络上信息交互的安全性,如何解决可信问题以及用户身份认证、授权问题已经成为人们关心的话题和各国政府、企业关注和研究的重要课题。公钥基础设施(Public Key Infrastructure,PKI)是目前公认的保障网络社会安全的最佳体系。PKI是基于公开密钥理论和技术建立起来的安全体系,是提供信息安全服务的具有普适性的安全基础设施。PKI作为国家信息化的基础设施,是相关技术、应用、组织、规范和法律法规的总和。PKI的核心是要解决信息网络空间中的信任问题,确定信息网络空间中各种经济、军事和管理行为主体身份的唯一性、真实性和合法性,保护信息网络空间中各种主体的安全利益。公钥密码系统所支持的安全机制包括机密性,完整性,授权和认证。但是,这些安全机制必须通过仔细规划基础设施来管理。公开密钥基础设施是各种应用程序、系统和网络安全的基础,是全局安全策略的基础。本论文的主要研究工作包括;1)在对传统PKI认证模型分析的基础上,介绍了一种新型的PKI安全认证模型的框架结构。并结合现有的国家政府体系,分析研究了适合于政府体系现状的PKI安全认证模型。2)介绍了一种网格环境下基于PKI的CA单向和双向认证方法,为CA认证提供了一种优越的可信途径,防止因为认证过于繁琐而产生的各种问题,并介绍了两个针对单向和双向认证的实例。3)给出了一种PKI在网络环境下的实际应用即文件加密平台和文件加密锁的研究开发。

姚嫚[10]2007年在《网络化远程测控系统的网络信息安全关键技术研究》文中进行了进一步梳理随着网络的快速发展,网络中的安全问题研究显得尤为重要。VPN技术是解决网络安全问题的有效方法之一。SSLVPN是VPN技术中近期兴起的新的分支。本文对网络化远程测控系统的安全性问题进行分析,搭建了适用于网络化远程测控系统的SSL VPN安全体系架构。 针对网络化远程测控系统中对于信息安全传输的要求,论文深入分析了现有的主要网络安全技术(包括加密算法、安全通信、VPN技术等),讨论了目前主流的VPN实现方式和整个VPN系统的框架构成以及工作流程,研究了SSL VPN系统,设计了适用于远程测控系统的基于SSL VPN的安全体系框架。 针对远程测控系统的身份认证需求,论文基于PKI体系结构,提出了一种将PKI认证技术应用到远程测控系统VPN网关中的方案,该方案用于加强身份认证,完善了VPN的安全。通过对集成在身份管理中的PKI系统进行设计,实现了CA管理模块的签发、管理和验证证书的功能,并把签发的证书作为远程测控系统VPN网关中身份认证的凭据,为VPN网关提供安全服务。 基于对远程测控系统安全框架的分析,设计了适用于远程测控系统的VPN网关,并对其中的远程测控系统安全模块进行设计,将信息通过安全的隧道转发给远程用户,保障测控数据的传输安全。 论文最后给出了PKI系统的应用测试结果和远程测控系统VPN网关在不同配置下的测试数据。通过测试数据分析,选择合适的加密算法,有效地保障系统的安全性。

参考文献:

[1]. PKI认证系统研究与设计[D]. 王雪颖. 电子科技大学. 2002

[2]. 基于PKI的身份认证协议的研究与实现[D]. 陈军. 北京邮电大学. 2006

[3]. 基于PKI的银行认证系统设计[D]. 陈宽飞. 电子科技大学. 2012

[4]. 一种公钥基础设施服务器的研究与实现[D]. 刘鹏. 华中科技大学. 2006

[5]. 基于PKI的石大校园网认证系统研究与设计[D]. 周淑萍. 苏州大学. 2008

[6]. 基于ECC的CA认证中心的研究与设计[D]. 陆洁茹. 苏州大学. 2006

[7]. 电子商务环境下基于PKI的信任问题研究[D]. 潘恒. 解放军信息工程大学. 2006

[8]. 基于PKI身份认证系统的研究和实现[D]. 杨宇. 电子科技大学. 2009

[9]. PKI认证模型及其在网络环境下的应用研究[D]. 栾燕. 湖南大学. 2007

[10]. 网络化远程测控系统的网络信息安全关键技术研究[D]. 姚嫚. 西北工业大学. 2007

标签:;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  

PKI认证系统研究与设计
下载Doc文档

猜你喜欢