艾风[1]2004年在《目录服务与在线证书状态验证系统研究》文中认为基于公钥密码技术构建的公钥基础设施(PKI)是目前公认的解决大型开放网络环境下信息安全问题最可行、最有效的办法。以实用的企业级PKI系统的设计与开发为背景,从理论和实际应用两个方面探讨PKI系统的两个核心组件:目录服务和在线证书状态验证系统。 随着互联网的发展,目录服务的应用越来越广泛。本文总结了目录服务的标准—X.500与轻型目录访问协议(LDAP);通过对LDAP目录协议模型、信息模型、命名模型、分布式模型、功能模型、安全模型的详细分析,较为深入地阐述了LDAP目录服务;接着给出了目录服务设计的要点,叙述了一个安全高效的PKI系统的目录服务设计方案;然后解决了目录服务的本地化问题。 在线证书状态协议(OCSP)容许客户通过简单的查询获得实时的证书状态信息,目前在PKI实现中,OCSP已经成为证书撤销列表(CRL)的替代或补充机制,以克服基于CRL机制的延时性、可扩展性差、难于管理等缺陷。基于OCSP机制及其扩展(OCSP-X),本文提出了一种安全高效、可扩展的在线证书状态验证系统,此系统除了能提供基本的在线证书状态查询服务外,还能支持证书历史状态查询、委托路径验证和委托路径查找服务;然后本文探讨了提高此系统性能与可扩展性的因素,并给出了关于系统安全性的一些考虑。
李明[2]2009年在《基于LDAP的在线证书状态验证实现技术研究》文中指出公钥基础设施PKI以非对称加密技术为基础,为网络信息安全提供保障。PKI以数字证书为密钥管理工具,终端实体之间进行通信之前必须要验证使用的数字证书是否已经被撤销,即验证证书当前状态的有效性。目录服务作为一种特殊的数据服务,它的应用为互联网中的数据资源提供了分布式的存储与发布方式。本文比较深入地阐述了LDAP目录服务,详细分析了LDAP目录协议的信息模型、分布式模型、功能模型和安全模型;介绍了LDAP目录服务在PKI中的应用。在线证书状态协议(OCSP)允许客户通过简单的查询获得实时的证书状态信息,目前在大部分PKI的实现中,OCSP已经成为证书撤销列表(CRL)的替代或补充机制,克服了基于CRL机制的延时、可扩展性差、难于管理等缺陷。但是,OCSP的每个响应都必须签名,如果OCSP用户请求过多,响应器需要做大量的签名运算,这将影响到响应产生的及时性,从而降低证书撤销验证的服务性能。基于LDAP目录服务机制,本文提出一种OCSP实现模型。新模型使用LDAP目录数据库存储OCSP响应器中的证书撤销数据,同时记录实体间证书验证关系;响应器为服务的实体提前收集验证证书的撤销信息,提前准备签名,部分减少了OCSP响应器对撤销数据库的搜索范围和签名时间。实验结果表明,这一方法降低了OCSP平均响应时间,提高了响应器的性能。
吴毓毅[3]2005年在《数字证书状态验证系统研究》文中指出PKI是目前公认的在大规模、开放网络环境下解决信息安全问题最可行、最有效的一种办法。PKI作为一种基础设施,它提供了一个通用的信息安全基础平台,能够有效地解决各种网络应用中的真实性、机密性、完整性、不可否认性和访问控制等安全问题。数字证书状态验证系统是PKI的一个不可或缺的组成部分,用于在PKI应用中为数字证书依赖者提供相关证书的撤销信息。本文将基于ErcistPKI项目背景,从理论和实践两方面来探讨PKI的这个核心组件:数字证书状态验证系统。 OCSP是一种比较常见的数字证书状态验证机制,它克服了CRL的及时性有限、可扩展性差和难于管理等缺点,能够通过简单的查询向用户提供实时的数字证书状态信息。这在诸如涉及到大量资金的交易或股票买卖等实时性要求较强的安全应用非常有用。本文基于OCSP机制设计了一种高度模块化的、安全高效的、可扩展的在线证书状态验证系统,并讨论系统实现中的若干问题及其解决方法,最后分析影响系统性能、可扩展性和安全性等的相关因素。
张茜[4]2008年在《基于OCSP的在线证书状态验证系统的研究与应用》文中指出数字证书状态验证是PKI的核心组成部分,用于为数字证书使用者提供相关证书的撤销信息。OCSP是一种常见的数字证书状态验证机制,可以通过简单的查询向用户提供即时的数字证书状态信息。但由于OCSP在PKIX协议族中是一个比较年轻的成员,因此仍具有一定的局限性。本文首先在深入研究OCSP协议的基础上,针对目前OCSP协议存在的问题,提出了一种改进型OCSP协议,该协议对OCSP响应消息进行改进,使之包括基本类型OCSP响应和A类型OCSP响应。其次,在该改进型OCSP协议基础上,设计并实现了一个高效的在线证书状态验证系统,该系统中的改进型OCSP响应器利用CA的证书库作为响应器的信息源,为用户返回最新的证书状态信息;同时,响应器采用Hash表缓存机制、预签名技术和多线程机制,较好地提高了其性能,并能有效抵御重传攻击和拒绝服务攻击。然后,基于此验证系统,提出了其在交叉认证中的应用方案,使得响应器不仅可以检测出证书的撤销状态,实现不同信任域间的证书状态查询,同时还能建立证书路径并验证其有效性,从而解决了交叉认证中构建跨信任域的证书路径难的问题。最后,分别对基于改进型OCSP的在线证书状态验证系统及其在交叉认证中的应用进行测试,并对测试结果进行分析。本文设计的高性能OCSP系统降低了平均响应时间,确保了响应数据的正确性和即时性,对于促进电子商务乃至电子政务的发展有着重要意义。同时本文实现的该系统在交叉认证中的应用方案,进一步完善了OCSP响应器的功能,减轻了客户端的负担,对数字证书的研究具有一定的实用价值。
周永彬[5]2003年在《PKI理论与应用技术研究》文中研究说明电子商务、电子政务等基于Internet的网络增值应用日新月异,这些应用对信息安全的需求也随之提升,诸如公平性、可追踪性等安全特性就是除了传统的保密性、完整性、非否认性、身份认证等基本安全要求之外的新需求。基于公钥密码技术构建的公钥基础设施(PKI)是目前公认的解决大型开放网络环境下信息安全问题最可行、最有效的办法。本文围绕着一个实际的企业级PKI系统的设计和开发,从理论和实践两个方面研究了实现安全、可靠、可扩展的PKI系统所涉及到的一些关键理论和技术问题。公平性是电子商务交易的基本要求之一,论文最后对一类重要的公平交换协议进行了深入的研究。论文取得了以下六个方面的主要成果:第一,设计并实现了一个高度模块化、可扩展的企业级PKI系统——ErcistPKI系统。在系统设计和实现的过程中,考虑到PKI作为普适性安全基础平台的特点,特别强调PKI系统自身的安全性;第二,首次在PKI系统的设计中提出了“可信密钥管理中心(TKMC)”的概念,这一独特设计大大地强化了密钥管理功能的实施,为PKI向密钥管理基础设施(KMI)的平滑过渡提供了良好的技术准备;第叁,对证书状态验证机制进行了深入研究,设计了证书状态模拟系统,以指导PKI系统和应用的部署和实施;在此基础上,基于时间约束首次给出了认证字典的一种新的分类方法;第四,对OCSP协议进行了形式化分析,设计和实现了一种高效、可扩展的OCSP系统;第五,分析了WPKI工作环境对设计安全基础平台提出的特殊要求,结合无线移动设备的具体特点,基于可交换杂凑函数和动态Merkle杂凑树设计出了一种适用于WPKI环境的高效证书状态查询机制;第六,对一类公平交换协议进行了深入的研究,从设计公平交换协议的密码基础结构出发,提出了一种新型的基于RSA密码体制的高效CEMBS;在此工作的基础上,设计了一种基于RSA密码体制的最优化公平交换协议。
王岳宏[6]2005年在《基于LDAP和XKMS的PKI系统的研究与实现》文中研究指明随着信息技术的发展和网络应用的日益普及,计算机网络安全已经成为必须面对和解决的问题。公钥基础设施PKI是目前保证网络信息安全的主流解决方案,但它在技术上仍存在一些不足,诸如系统之间互操作性差,客户端部署应用复杂等问题严重的影响了PKI技术的广泛应用。 本论文深入的研究和分析了XKMS及其相关知识,XKMS是W3C所发布的XML安全标准之一,它提供了一个通用的PKI接口,可以将很多原来由客户端完成的复杂的PKI操作交由服务器来完成,在解决PKI系统互操作性问题的同时还可以降低PKI应用复杂性。本论文设计并实现了一个基于LDAP和XKMS的PKI原型系统,同时以Java语言实现了一个可以提供实现XKMS服务的API工具包。本论文重点论述了系统中的XKMS服务器和LDAP目录服务器的设计与实现,对其安全性和运行效率等关键问题进行了分析并给出了解决方案。改进了证书撤销状态验证机制,并重新定义了目录数据结构以更好支持XKMS服务的实现,同时以严格的访问控制和SSL协议来保证LDAP目录服务的安全性,实现了LDAP SSL连接池来提高目录服务的访问效率。采用WebService技术对外发布XKMS服务,从而把PKI的复杂性从客户端转移到XKMS服务端,屏蔽了PKI底层的实现过程。XKMS服务采用同步消息的传输模式,以SSL协议保证消息传递的安全性,以两阶段请求协议来防止拒绝服务攻击。最后以叁个典型场景——证书查询、证书验证及两阶段请求协议证书验证对XKMS服务进行应用分析。 本论文所实现的XKMS服务可以直接为基于XML数字签名和XML加密的应用程序提供安全方便的密钥/证书服务,同时可以降低PKI客户端部署应用复杂性,为XKMS的实际推广应用提供了借鉴参考。
徐海琛, 魏柏丛[7]2002年在《PKI证书的撤销与验证》文中研究指明随着电子商务公司越来越多地使用数字证书 (由认证中心签发的电子身份证 )来保证在线交易的安全性 ,这一行为引发了对另一种安全性的需要 ,即对数字证书的有效性进行验证。因此 ,CA认证的一个重要操作就是验证用户的证书是否被撤销或者挂起。证书的撤销采用证书撤销列表 ,而用于验证证书状态的机制一般使用轻型目录存取协议或者在线证书状态协议。简要介绍了证书撤销列表以及基于轻型目录存取协议的目录服务机制 ,而重点讨论了基于在线证书状态协议的目录服务 ,并例举了一个在线证书状态协议的实际应用。
陈水霞[8]2010年在《PKI中证书撤销机制分析与研究》文中进行了进一步梳理PKI系统中CA通过数字证书把用户的公钥和用户的其他实体身份信息捆绑在一起,供网上验证用户的身份。在用户的数字证书自然失效前,由于用户的密钥泄露、某些身份信息变更等原因,证书必须被撤销。那么CA必须把还处在有效期内但已被撤销的证书信息发布出来,这就是PKI系统中的证书撤销机制。证书撤销机制是PKI系统中容易被忽视但却很重要的一个部分,证书撤销机制设计的好与坏直接影响到PKI的规模扩展。本文的主要工作包括:(1)本文对证书撤销列表CRL及各种改进方案、在线证书状态协议OCSP、证书撤销树CRT、2-3证书撤销树从性能、及时性、可扩展性、安全性及标准兼容性等方面进行了详细分析,指出了各自的优缺点。(2)对于2-3证书撤销树的改进—ECRT。2-3证书撤销树中,对于没有撤销证书的响应,包括结点Cminor和Cmajor的路径,而这两个结点的路径有重复的部分。在ECRT中,采用路径优化,去掉两个路径中重复的部分,结合摘要再利用,ECRT响应更新,减小服务器响应给用户的数据包尺寸。(3)改进了OCSP响应器对于用户验证请求的响应速度。OCSP的传统后台查询是将所查询的证书序列号与证书撤销库中的证书序列号一一比较的过程,而证书撤销库中的证书序列号是无序的,制约了OCSP响应器对于用户验证请求的响应速度。针对这种情况,本文提出了基于证书撤销Hash表的查询,并且对于已经撤销的证书产生预签名,提高了OCSP响应器对于用户验证请求的响应速度。(4)开发了一个小型的CA系统,包括证书申请、证书审核、证书制作、证书撤销、证书状态验证模块。证书撤销模块和证书状态验证模块实现了ECRT和证书撤销Hash表。
王海娇[9]2008年在《LDAP服务器关键技术研究》文中进行了进一步梳理LDAP协议是Internet中用于数据查询访问的重要协议,在PKI基础设施中,LDAP用于证书和CRL的查询与下载,具有广泛而重要的应用。本文对LDAP服务的关键技术做了研究,共分为两个部分:实现了数字证书在LDAP服务器中的存储、查询和下载;对证书吊销算法进行了的研究。在数字证书存储部分,设计了一种元数据管理方法管理元数据证书,提高了数字证书的查询效率。在数字证书吊销阶段,设计了一种方法,就是基于加窗机制的over-issued CRL综合模型方法,通过分析加以证明了该方法的优点。最后,对LDAP服务器在电力系统的应用做了研究,研究表明可以帮助交易方在网络交易时查询更方便,更安全。
姚一兆[10]2009年在《数字证书认证系统的设计与实现》文中认为本论文研究并介绍了数字证书认证系统的研究背景和研究意义,分析并提出了公开密钥体制、统一身份认证技术、异步消息和队列处理技术、集中式生产、分布式服务、业务流程自定义、引擎调度监控、灵活的证书编码格式、私钥分割技术、安全的通讯机制、证书业务模板自定义技术、RA、CA、KMC之间松耦合技术等一系列关键技术,以解决数字证书认证系统在设计与实现过程中可能遇到的技术障碍。本论文在对数字证书认证系统的关键技术研究的基础上,对数字证书认证系统的总体体系结构、逻辑结构和拓扑结构做出详细设计,并对数字证书签发系统、数字证书审核注册系统、密钥管理系统、数字证书查询验证系统等数字证书认证系统中的主要组成部分的功能、系统描述、体系结构、系统配置等作出详细设计,并设计了数字证书的结构与管理方式。本论文在对数字证书认证系统做出详细设计后,对其实现进行了分析和讨论,并对系统角色初始化、典型工作流程、信息录入、证书审核、证书下载、自签根证书、证书签发、证书注销、证书更新、证书暂停、证书暂停恢复、密钥生成、密钥更新、密钥分发、密钥撤销、密钥恢复、证书发布、证书及状态查询、证书在线验证等工作流程进行了设计和实现。本论文在系统设计、系统实现的基础上对系统设计和实现的成果进行了验证,从系统初始化到对数字证书签发系统、数字证书审核注册系统、密钥管理系统等数字证书认证系统的主要组成部分的系统功能与性能进行了详细的测试与验证。本论文最后对本次研究成果进行了总结,分析了存在的问题并对今后的研究工作进行了展望。
参考文献:
[1]. 目录服务与在线证书状态验证系统研究[D]. 艾风. 中国科学院研究生院(软件研究所). 2004
[2]. 基于LDAP的在线证书状态验证实现技术研究[D]. 李明. 沈阳航空工业学院. 2009
[3]. 数字证书状态验证系统研究[D]. 吴毓毅. 中国科学院研究生院(软件研究所). 2005
[4]. 基于OCSP的在线证书状态验证系统的研究与应用[D]. 张茜. 苏州大学. 2008
[5]. PKI理论与应用技术研究[D]. 周永彬. 中国科学院研究生院(软件研究所). 2003
[6]. 基于LDAP和XKMS的PKI系统的研究与实现[D]. 王岳宏. 大连理工大学. 2005
[7]. PKI证书的撤销与验证[J]. 徐海琛, 魏柏丛. 计算机应用研究. 2002
[8]. PKI中证书撤销机制分析与研究[D]. 陈水霞. 太原理工大学. 2010
[9]. LDAP服务器关键技术研究[D]. 王海娇. 华北电力大学(河北). 2008
[10]. 数字证书认证系统的设计与实现[D]. 姚一兆. 上海交通大学. 2009
标签:互联网技术论文; 数字证书论文; ldap论文; 用户研究论文; 信息安全论文; 安全证书论文; 技术协议论文; 用户分析论文; pki论文;