PKI端系统结构的研究和设计

论文题目: PKI端系统结构的研究和设计

论文类型: 硕士论文

论文专业: 计算机系统结构

作者: 李伟

导师: 丁伟

关键词: 端系统,中间层,证书

文献来源: 东南大学

发表年度: 2005

论文摘要: 从国际的发展和应用趋势来看,建立以非对称密码体制为基础的公开密钥管理框架系统(Public Key Infrastructure-PKI)是保证网络数据安全传输和网络应用可信性公认有效的解决方案。PKI主要提供身份认证、数据完整性保护、数据保密性保护和无否认等功能。PKI体系理论正在向规模化和多元化方向发展,目前已经建立了一整套国际标准,很多公司和机构也已经开发出成熟的PKI系统并得到很好的商业和科研应用。但在PKI理论发展和实际应用上,存在着不统一性和不平衡性。当今PKI的研究主要集中在对PKI服务器管理策略和证书结构实现上,对于证书在客户方的应用和管理、安全性等方面研究相对不足。目前,在证书的客户方支持上,基本上是依靠浏览器(主要是MS Internet Explorer和Netscaper Navigator)的支持,由于浏览器在证书管理方面的信息不透明性和加密算法的不可替换性,在很大程度上不能满足用户的安全需求。另一方面,由于浏览器不提供安全应用接口,因此它无法提供开发新应用的平台。基于以上需求,本文提出了PKI端系统结构的研究和设计,并且针对于PKI端系统信息安全和信任路径的构造,分别提出了中间层安全方案和基于信任(二叉)树的证书路径构建方案。安全中间层的设计思想来源于网络分层方法和SSL协议的透明接入思想,然而SSL协议面向于传输层安全,而且在PKI的应用中基本上同时需绑定HTTP协议。在本文中,将SSL协议的安全接口封装到应用层,能够直接提供应用接口,实现应用的多样性。同时,安全中间层着眼于本地信息安全,对文件存在状态做全局性管理,并依据中间件实现原理,设计了网络传输发送和接收的安全代理功能,并支持对网络数据的统一调配,同时还研究了算法的相对安全性和用户的加密算法接口。按照端系统的应用需求,并对比浏览器的证书链和复杂信任关系的证书图方案,本文详细讨论了端系统实现的基于信任(二叉)树的证书信任路径构建方式。从有效性和效率上,信任(二叉)树的构造方式避免了证书链的简单化和信任关系缺失,也免去了证书图的结构复杂以及检索和构造信任关系的最小生成树的困难。本文研究了信任(二叉)树的构造和检索方法和基于信任(二叉)树的证书路径构造算法。最后基于上述研究成果并参照现行的PKI标准和CA证书标准,设计了一个自主应用的公钥证书体系的端系统CAClient。该系统为三层结构,安全中间层向上对应用层提供封装的接口,向下提供给底层传输的是无差别的消息封包,在中间层应用安全中间件的设计思想,对系统处理的文件加以全局管理和调度。在证书管理机制上,CAClient建立了完整的客户证书的应用方案。另外,CAClient采用端到端的传输模式,系统可以发起和监听对等端的连接请求,建立多任务的对等文件传输。本文第一章简要介绍网络安全和PKI体系的技术背景,针对PKI端系统的研究提出本文的研究方向和所做的工作;第二章讨论了PKI端系统安全中间层和文件状态管理,以及用户加密接口方面的有关问题;第三章研究了信任(二叉)树的构造和检索方法,以及基于信任(二叉)树的证书路径构造算法;第四章是对CAClient系统的设计与模块的介绍,包括系统的实现方式和结构等方面;最后,在第五章是对论文所完成的工作的总结,和对未来工作的展望。

论文目录:

摘要

Abstract

第一章 概述

1.1 研究背景

1.1.1 PKI 在网络安全领域中的作用

1.1.2 PKI 的体系和发展

1.1.2.1 PKI 体系的结构

1.1.2.2 CA 服务器和CALOCK

1.1.2.3 PKI 标准化进展

1.1.2.4 PKI 的企业方案

1.1.2.5 OpenSSL 算法库

1.1.3 PKI 应用

1.1.3.1 PKI 应用领域

1.1.3.2 客户端研究和应用现状

1.2 PKI 端系统应用需求

1.2.1 PKI 客户应用局限和风险

1.2.2 PKI 端系统功能

1.3 本文研究方向

第二章 PKI 端系统信息安全方案

2.1 安全中间层方案

2.1.1 安全中间层研究

2.1.1.1 网络分层方法

2.1.1.2 构建安全中间件的主要元素

2.1.2 PKI 端系统中间层方案

2.1.3 文件状态管理

2.1.3.1 端系统文件状态分析

2.1.3.2 端系统文件状态转换

2.1.3.3 文件管理安全性研究

2.2 加密算法安全机制

2.2.1 加密算法的安全相对性

2.2.2 加密算法开放接口

2.3 本章小结

第三章PKI 端系统证书信任路径构建方案

3.1 PKI 信任模型

3.2 公钥证书信任路径

3.2.1 证书认证路径处理

3.2.2 信任路径搜索算法研究

3.2.2.1 浏览器的证书路径

3.2.2.2 混合模型的路径构造

3.3 证书信任（二叉）树搜索算法

3.3.1 证书信任（二叉）树（Trust Binary Tree）的建立

3.3.2 信任（二叉）树操作

3.3.3 基于信任（二叉）树的证书路径构造算法

3.3.4 基于信任（二叉）树的证书路径构造评价和算法评价

3.3.4.1 信任逻辑推理

3.3.4.2 基于信任（二叉）树构造评价

3.3.4.3 基于信任（二叉）树的证书路径构造算法评价

3.4 本章小结

第四章 CAClient 系统设计与模块分析

4.1 系统的总体结构

4.2 CAClient 分层模块结构

4.2.1 CAClient 应用层

4.2.1.1 应用级文件管理

4.2.1.2 系统服务

4.2.2 CAClient 安全保证层

4.2.2.1 安全保证层整体结构

4.2.2.2 加密机

4.2.2.3 加密和签名模块

4.2.2.4 SSL 实现模块

4.2.3 证书管理模块

4.2.4 传输层结构

4.3 CAClient 对等端通讯模式

4.3.1 位置发现

4.3.2 主动发送过程和被动发送过程

4.3.3 主动接收过程和被动接收过程

4.4 整体安全性分析

4.4.1 PKI 体系下的证书安全

4.4.2 信息传输安全

4.5 本章小结

第五章 总结和展望

5.1 论文总结

5.2 工作展望

参考文献

致谢

作者简介

发布时间: 2007-06-11

参考文献

• [1].基于PKI的安全电子支付的研究[D]. 邵质斌.中北大学2006
• [2].基于PKI的匿名数字证书的研究与实现[D]. 王兵.东北大学2009
• [3].PKI在医疗卫生信息系统中的应用[D]. 沈传案.山东大学2009
• [4].PKI体系中分布式密钥托管技术研究[D]. 刘德龙.山东大学2009
• [5].PKI技术在城市应急联动系统中的应用研究[D]. 郭璞.太原科技大学2008
• [6].PKI中证书撤销机制研究[D]. 李国敬.东北大学2006
• [7].基于PKI的安全文件传输系统的设计与实现[D]. 白全宾.电子科技大学2010
• [8].基于PKI的网上购物系统的设计与实现[D]. 张晓丹.国防科学技术大学2009
• [9].基于PKI和数字水印的电子印章系统设计方案[D]. 卢万.吉林大学2009
• [10].基于PKI的电子印章研究与实现[D]. 盛建忠.浙江大学2007

相关论文

• [1].PKI应用研究[D]. 王玙.西安电子科技大学2006
• [2].PKI安全接入平台研究[D]. 王娟.西安电子科技大学2007
• [3].PKI证书管理策略的研究与实现[D]. 杜广荣.东南大学2005
• [4].基于PKI的身份认证系统的研究与实现[D]. 谢颖莹.华北电力大学（北京）2007
• [5].PKI体系中CA的设计和信任模型的研究[D]. 郭东军.山东大学2007
• [6].PKI体系中密钥管理技术的研究[D]. 高志权.山东大学2007
• [7].基于PKI的身份认证协议的研究与实现[D]. 陈军.北京邮电大学2007
• [8].PKI中CA构建方式的研究[D]. 陈燕.西南交通大学2006
• [9].基于PKI的认证中心CA的研究[D]. 庄继晖.天津大学2005
• [10].PKI/CA的构建与应用[D]. 强勇军.电子科技大学2006

标签：端系统论文;  中间层论文;  证书论文;