首页> 正文

PKI系统证书撤销机制的研究与实现

2020-11-21阅读(921)

PKI系统证书撤销机制的研究与实现

论文摘要

作为一种普适性的信息安全基础平台,公钥基础设施PKI技术已得到十余年的发展,并在电子商务、电子政务、安全信息服务等各领域得到广泛应用。权威认证机构CA和审核机构RA是PKI建设和应用的核心,承担着公钥证书颁发、撤销、更新等一系列管理工作。证书撤销机制用于实现PKI中的证书状态管理,高效的证书撤销系统是实施PKI的一个难点问题、也是一个至关重要的环节。 本文在全面研究PKI理论、技术与应用的基础上,结合PKIX、PKCS等国际标准,设计了证书认证机构CA和审核机构RA管理系统,该系统采用一级根CA,一级RA的信任模型。文章规划了系统应用模型、功能模块,并给出了具体实现,系统能够颁发符合X.509国际标准的证书,可以与基于Windows、Linux系统的Web、电子邮件等安全应用无缝结合。系统经过本实验室等两个单位内部使用,验证了其标准性、稳定性、可用性,具备产品化的基础。 本文重点研究和分析了证书撤销机制,对证书撤销列表CRL、分布点CRL、在线证书状态协议OCSP、AD-MHT(认证字典-Merkle哈希树)等几种证书撤销机制进行了量化分析,从及时性、可扩展性、安全性、标准兼容性和实现复杂性等角度对他们比较、分析;给出了PKI系统设计与应用时可参考的证书撤销机制规划原则。同时,依据IETF的RFC3280、RFC2560等标准,分别设计并实现了基于完全CRL、增量CRL的CRL系统;以及基于客户/服务器模式的OCSP证书撤销系统。通过采取细化OCSP响应器后端结构的方式,提高OCSP响应器的正确性和及时性,并通过对已撤销证书的状态响应预签名来提高OCSP响应效率。文章深入分析了AD-MHT证书撤销系统,系统归纳了其状态响应和验证的特点,基于ASN.1语法给出了AD-MHT系统状态检查协议的完整描述,对设计AD-MHT实用系统有现实的价值。 本文在完成以上工作的同时,给出了今后的研究方向和需要进一步完善的工作。

论文目录

  • 摘要
  • Abstract
  • 第一章 引言
  • §1.1 研究背景
  • §1.2 研究意义
  • §1.3 本文所做的工作
  • §1.4 课题的难点和贡献
  • §1.5 本文的组织结构
  • 第二章 密码技术、证书及证书验证
  • §2.1 密码技术简介
  • 2.1.1 对称加密体制
  • 2.1.2 非对称加密体制
  • 2.1.3 数字签名
  • §2.2 X.509证书及其验证
  • 2.2.1 X.509证书
  • 2.2.2 证书验证
  • 第三章 CA/RA管理系统设计与实现
  • §3.1 实现工具的选择
  • §3.2 存储模式的选择与设计
  • §3.3 CA模块
  • 3.3.1 设计原则
  • 3.3.2 模块功能
  • 3.3.3 生成证书流程
  • 3.3.4 PKCS#12证书和私钥的捆绑
  • 3.3.5 CRL管理
  • §3.4 RA模块
  • 3.4.1 设计原则
  • 3.4.2 模块功能
  • 3.4.3 证书申请流程
  • 第四章 证书撤销机制研究
  • §4.1 参考模型与分类
  • 4.1.1 参考模型
  • 4.1.2 分类
  • §4.2 证书撤销列表(CRL)
  • 4.2.1 CRL数据结构
  • 4.2.2 CRL的变体
  • §4.3 在线证书状态协议(OCSP)
  • §4.4 证书撤销树(CRT)
  • 4.4.1 Merkle Hash树(MHT)
  • 4.4.2 CRT
  • §4.5 基于排队理论的证书撤销机制
  • §4.6 短周期证书
  • §4.7 XKMS系统
  • §4.8 AD-MHT证书撤销系统
  • 4.8.1 认证字典(Authenticated Dictionary)
  • 4.8.2 AD-MHT的数据结构
  • 4.8.3 AD-MHT状态响应
  • 4.8.4 撤销证书
  • 4.8.5 删除过期的证书
  • 第五章 证书撤销机制性能分析
  • §5.1 性能分析指标及环境
  • §5.2 完全CRL分析
  • §5.3 分布点CRL分析
  • §5.4 OCSP分析
  • §5.5 三种撤销方案的比较
  • §5.6 AD-MHT性能评估
  • §5.7 证书撤销机制的选择
  • 第六章 证书撤销机制的设计与实现
  • §6.1 CRL的设计与实现
  • 6.1.1 设计原则
  • 6.1.2 程序实现流程
  • §6.2 OCSP协议的设计与实现
  • 6.2.1 设计原则
  • 6.2.2 OCSP协议的实现
  • 6.2.3 OCSP协议传输机制
  • §6.3 XKMS证书验证系统模型
  • §6.4 AD-MHT状态检查协议
  • 6.4.1 设计原则
  • 6.4.2 AD-MHT请求ASN.1描述
  • 6.4.3 AD-MHT响应ASN.1描述
  • 结束语
  • 参考文献
  • 致谢
  • 在学期间发表的论文
  • 附录A:CA生成证书流程
  • 附录B:CA/RA管理系统数据库设计

    • 相关论文文献

    • [1].基于入侵容忍的证书撤销列表机制研究[J]. 计算机应用 2013(01)
    • [2].无公害农产品证书撤销公告[J]. 农产品质量与安全 2013(01)
    • [3].证书撤销机制可扩展性定量评估模型[J]. 中国新通信 2013(13)
    • [4].基于单向哈希函数的证书撤销机制[J]. 计算机应用与软件 2008(09)
    • [5].分段重复发布证书撤销方案的分析与研究[J]. 哈尔滨商业大学学报(自然科学版) 2009(05)
    • [6].一种新的证书撤销列表发布方案设计[J]. 计算机与数字工程 2012(09)
    • [7].引入动态权重的车联网节点证书撤销机制[J]. 电子技术与软件工程 2018(13)
    • [8].分段CRL的一种改进方案[J]. 计算机安全 2010(04)
    • [9].车载网中面向隐私保护的证书撤销列表部署方案[J]. 计算机应用研究 2015(09)
    • [10].基于PKI的证书撤销树方案的研究[J]. 通信技术 2009(11)
    • [11].基于P2P的数字证书撤销列表更新方案及性能分析[J]. 电子制作 2015(04)
    • [12].基于P2P技术的网格证书撤销方案研究[J]. 中国新通信 2014(10)
    • [13].基于增量CRL证书撤销机制的改进[J]. 广西师范大学学报(自然科学版) 2008(04)
    • [14].基于平衡二叉排序Hash树的证书撤销方案研究[J]. 计算机应用与软件 2008(04)
    • [15].基于局部签名Hash表的证书撤销列表方案[J]. 计算机工程 2009(01)
    • [16].PKI机制中证书撤销清单数据加速存取的研究[J]. 科技创新导报 2008(32)
    • [17].一种基于P2P共享下载模式的证书撤销机制[J]. 微型机与应用 2011(07)
    • [18].基于P2P网络的Over-Issued CRL机制研究[J]. 计算机工程与应用 2011(01)
    • [19].一种基于分段的CRL改进方案[J]. 计算机应用与软件 2009(12)
    • [20].空间信息网的分布式证书撤销机制[J]. 宇航学报 2011(08)
    • [21].一种分布式的分段增量CRL机制[J]. 计算机安全 2009(06)
    • [22].基于P2P技术的分布式PKI证书撤销列表发布[J]. 计算机与数字工程 2009(05)
    • [23].一种增强型证书撤销机制[J]. 湖北第二师范学院学报 2011(08)
    • [24].一种代理证书撤消机制在网格中的应用[J]. 武汉理工大学学报(交通科学与工程版) 2008(05)
    • [25].基于预约的证书撤销通知方案[J]. 计算机工程 2008(22)
    • [26].政府内网CA的设计与实现[J]. 信息化建设 2009(07)
    • [27].新版有机产品认证实施规则解读[J]. 认证技术 2012(05)
    • [28].一种新型在线证书状态响应方案[J]. 计算机技术与发展 2013(10)
    • [29].车载Ad Hoc网络中证书快速撤销机制研究[J]. 计算机工程与应用 2014(05)
    • [30].PKI技术的近年研究综述[J]. 密码学报 2015(06)

    标签:;  ;  

    PKI系统证书撤销机制的研究与实现
    下载Doc文档

    猜你喜欢

    © 2025 毕速过 版权所有 鄂ICP备12018319号-5