论文题目: 在线公钥系统及相关安全技术研究
论文类型: 博士论文
论文专业: 计算机系统结构
作者: 虞淑瑶
导师: 宋成
关键词: 公钥,私钥,认证,认证和密钥交换,公钥基础设施,网络安全
文献来源: 中国科学院研究生院(计算技术研究所)
发表年度: 2005
论文摘要: 随着计算机和网络技术的迅速发展,网络安全变得越来越重要。网络实体间的通信安全以正确的身份识别作为基础,目前仅以对称密码技术作为实体身份鉴别的方式已经不能满足网络规模日益扩大的要求,各种分布式计算、网格应用技术、电子商务、电子政务的发展都要求研究和发展以公钥密码技术作为基础的公钥基础设施(PKI),解决目前PKI存在的各种管理和安全问题。本文针对目前PKI存在的用户私钥的安全保存问题,私钥的可便携性问题,以及及时有效的证书撤销状态更新问题,提出一系列具体的在线公钥系统方案,以期改善PKI的设计使之更好地推进网络安全技术的发展,同时,本文围绕着上述主题研究相关的服务器代理签名、解密方案,以及安全的认证协议的研究与设计。本文主要贡献和创新点如下:(1)提出了一种利用凭证服务器来安全保存和使用用户私钥的方法,该方法要求服务器存储用户的私钥信息,当用户需要使用其私钥时,以在线方式通过口令认证后下载或直接在线使用其私钥,即使服务器被攻击,也不会威胁到用户私钥的安全性。本方案由于采用了用户存储设备来存储信息熵大的其它认证时所需的秘密信息,它能够支持用户弱口令的选择。根据私钥的使用方式的不同提出了三个具体协议:在线安全认证并下载用户私钥的协议OCMA_Gen,在线服务器代理签名的协议OCMA_Sig,在线服务器代理解密的协议OCMA_Dec,在随机预言模型(Random Oracle Model)下证明了将私钥分解为两部分进行签名的安全性,并在此基础上分析了OCMA_Sig和OCMA_Dec的安全性,另外,在随机预言模型和理想密码模型下对所提出的方案OCMA_Gen进行了安全性证明,并实现了这三个方案的实验原型,进一步验证了方案的可行性;(2)提出了一种利用在线双服务器联合认证用户的方法,该方法能够支持用户端弱口令的选择,其优点是虽然服务器端能验证用户输入口令的正确性,但即使是合法服务器也无法获取用户的登录口令,在一台服务器被攻击的情况下还能够保证系统的安全性,这个方案可以克服传统单服务器认证系统中服务器被攻击后带来的安全威胁问题。在这种方法的基础上提出了两个通用协议----基于口令的双服务器联合认证协议TSAP以及认证及密钥交换协议TAKE, 以及一种基于TSAP认证协议的在线双服务器代理签名和代理解密的方案,该方案的优势是用户只需具备正确的用户名和口令,就可以让两台服务器代理使用其私钥进行签名或解密,而任意单台服务器无法独立使用其私钥或者得到用户的登录口令;(3)基于动态口令验证技术提出了一种基于散列函数的强口令认证协议SPAS,
论文目录:
声明
论文版权使用授权书
摘要
ABSTRACT
图目录
表目录
第一章 引言
1.1 公钥基础设施存在的问题
1.2 代理签名技术的研究现状和存在问题
1.3 在线公钥系统面临的困难和挑战
1.3.1 相关研究工作
1.3.2 服务器端被攻击后的安全威胁
1.3.3 设计基于散列函数的动态口令认证协议面临的困难和挑战
1.4 本文主要研究内容和贡献
1.5 论文组织结构
第二章 相关密码学技术
2.1 密码体制及相关基础知识
2.1.1 对称和非对称密码体制
2.1.2 离散对数问题
2.1.3 RSA 公钥算法
2.1.4 零知识证明
2.1.5 散列函数
2.2 公钥基础设施及相关概念介绍
2.2.1 公钥基础设施的组成
2.2.2 证书撤销状态机制
2.3 认证协议介绍
2.3.1 认证协议的分类
2.3.2 DH-EKE 协议介绍
2.3.3 认证协议的安全属性
2.3.4 认证协议存在的攻击以及对策
2.3.5 SSL 的安全性
2.4 可证明安全性理论
2.4.1 随机预言模型
2.4.2 基于口令的密钥交换协议的安全性证明
2.5 本章小结
第三章 在线私钥安全存储及代理签名/解密技术研究
3.1 相关研究
3.1.1 MacKenzie 和Reiter 的MR_GENERIC 方案
3.1.2 Boneh 等提出的mRSA 方案
3.2 算法理论基础证明
3.2.1 方案定义
3.2.2 问题定义
3.2.3 安全性证明
3.3 OCMA:基于双向认证的在线公钥方案
3.3.1 OCMA_Gen 介绍
3.3.2 OCMA_Sig 方案介绍
3.3.3 OCMA_Dec 方案介绍
3.3.4 计算开销分析
3.4 OCMA 各方案安全性分析和证明
3.4.1 安全性分析
3.4.2 OCMA_Gen 安全性证明
3.5 几个需要考虑的问题
3.6 本章小结
第四章 双服务器联合认证技术
4.1 前言
4.2 相关研究
4.2.1 已有的双服务器认证方法
4.2.2 已有的多服务器在线公钥方案
4.2.3 已有的口令强化方法
4.2.4 服务器代理签名/解密方案的相关研究
4.3 双服务器联合认证(TSAP)协议介绍
4.3.1 双服务器联合认证协议运行细节(TSAP)
4.3.2 安全及性能分析
4.3.3 TSAP 协议的应用
4.3.4 双服务器联合认证协议TSAP 特点
4.4 双服务器认证及密钥交换(TAKE)协议
4.4.1 TAKE 协议介绍
4.4.2 TAKE 协议计算开销分析
4.5 双服务器代理签名及解密方案
4.5.1 双服务器代理签名方案介绍
4.5.2 在线双服务器代理解密方案
4.6 在线服务器代理签名和解密方案的安全性和特性分析
4.6.1 服务器端被攻击带来的安全威胁
4.6.2 重放攻击
4.6.3 双服务器代理签名或解密方案特点
4.7 本章小结
第五章 利用动态口令验证技术来增强协议安全性的技术研究
5.1 问题的提出
5.2 相关工作
5.2.1 SRP(Secure Remote Password Protocol)协议
5.2.2 使用散列函数实现零知识证明的方法
5.2.3 OPKeyX 协议介绍
5.3 SPAS--安全高效的强口令认证方案
5.3.1 SPAS 方案介绍
5.3.2 SPAS 安全性分析
5.4 DV-AKE 协议
5.4.1 DV-AKE 介绍
5.4.2 DV-AKE 安全性分析
5.4.3 性能的比较
5.4.4 DV-AKE 协议安全性证明
5.5 DV-AKE 协议在网格环境中的应用
5.5.1 网格环境的公钥基础设施部署框架
5.5.2 DV-AKE 协议的应用
5.6 本章小结
第六章 论文总结和进一步工作
6.1 论文工作总结
6.2 进一步工作
6.2.1 双服务器联合认证方案的安全证明
6.2.2 DV-AKE 的原型系统的实现
6.2.3 容错多服务器认证机制的研究
参考文献
致谢
作者简历
发布时间: 2006-12-27
参考文献
- [1].Rainbow和UOV数字签名的优化与分析[D]. 谈扬.华南理工大学2015
- [2].基于多变量多项式的公钥密码方案研究[D]. 王鑫.西安电子科技大学2009
- [3].可证明安全公钥密码方案的设计与分析[D]. 张乐友.西安电子科技大学2009
- [4].数字签名算法的研究与设计[D]. 王少辉.山东大学2008
- [5].基于身份密码体制的研究与设计[D]. 任艳丽.上海交通大学2009
相关论文
- [1].PKI、IBE关键技术的研究及应用[D]. 侍伟敏.北京邮电大学2006
- [2].密钥安全相关密码体系的研究[D]. 于佳.山东大学2006
- [3].公钥密码体制中的若干算法研究[D]. 孔凡玉.山东大学2006
- [4].移动无线场景下的远程访问认证安全及其相关问题研究[D]. 叶润国.中国科学院研究生院(计算技术研究所)2005
- [5].安全计算及其应用的研究[D]. 曲亚东.中国科学院研究生院(计算技术研究所)2004
- [6].安全协议的形式化方法及其应用的研究[D]. 华东明.中国科学院研究生院(计算技术研究所)2005
- [7].网格计算中信任模型及其应用研究[D]. 王东安.中国科学院研究生院(计算技术研究所)2006
- [8].一种新型证书及其公开密钥基础设施[D]. 沙瀛.中国科学院研究生院(计算技术研究所)2002
- [9].异构无线网络互联的认证和密钥协商研究[D]. 蒋军.上海交通大学2006
- [10].关于多方安全协议的研究[D]. 张鹏.浙江大学2006