范昊[1]2001年在《基于公钥基础结构(PKI)的Internet安全研究》文中研究表明计算机网络技术的发展,极大地推动了社会信息化进程,人们可以通过Internet很方便地进行信息交流。但是,公开便利的网络环境同时也带来网络通信安全方面的挑战。 在开放的网络环境中,公开密钥算法已成为网上电子商务和其他需要保密和验证的网络应用之基础。而广泛地公钥算法则又需要一个公钥基础结构(PKI)来公布和管理众多公开密钥。如果没有这样的一种基础结构,公钥加密的应用前景恐怕不会比传统的私钥加密宽广。 本文首先在综述Internet加密算法与安全机制的基础上,分析了适合于一般PKI系统的PKI基本特征。运用这些特征,文章对几种常用的PKI构想进行了讨论,着重对他们的结构及存在的问题作了详细的分析,并简要对问题的解决方法与系统的具体实现进行了介绍。 其次,文章在第五章分析了一般C/S模式中存在的安全性隐患,提出用密文形式传输和存储用户口令的方法,解决用户口令在传送和存储时有可能被窃听或截取的问题。同时,在结合PKI模式中CA认证、数字签名以及公开密钥与对称密钥算法技术的基础之上,提出了密文传输和存储口令机制下的用户注册和C/S、B/S模式资源访问的基本模型,以实现C/S和B/S的安全机制。 文章最后运用Java语言,实现了客户端的数字签名与加密机制和服务器端的信息解密与数据完整性验证。整个系统以演示为目的,将各种功能明显地加以区分,分步实现各阶段的功能,旨在说明数字签名与数据完整性验证的详细过程。
周淑萍[2]2008年在《基于PKI的石大校园网认证系统研究与设计》文中研究表明目前,校园网的认证大多基于用户名/口令方式,这种认证方式面临众多攻击和泄露风险,比如:网络窃听、认证信息截取/重放、病毒、黑客等。传统的口令认证方式已经无法满足大规模网络应用的安全认证需求。因此建立一套新的校园网身份认证机制对校园网的安全具有重要的意义。公钥基础设施(PKI)通过第叁方信任机构―认证中心(CA)发布证书将用户公钥和用户的身份绑定在一起,从而可以为校园网上各种应用提供机密性、完整性和身份鉴别等方面的安全保障。论文的具体研究和实现工作包括以下几个方面:本文首先对密码学技术进行了深入的研究,在密码学知识的基础上深入了解PKI相关理论。通过对公钥基础设施PKI的实体模型的研究,从分析加密算法、数字签名和研究PKI原理、CA认证机制等途径,结合学校的组织结构特点和校园网的特点为校园网设计了一个单CA多RA结构的认证中心模型。深入研究证书/CRL的格式及编码方式。利用OpenSSL编码工具对石河子大学校园网CA认证中心进行具体实现。其中包括:证书申请、证书审核、证书制作、证书注销等。在认证中心的基础上,实现校园网的认证系统。系统测试,并给出了数字证书的具体应用实例。
邓涛[3]2006年在《公钥基础设施在Internet中的应用研究》文中指出为了保证互联网上电子交易的安全性(即交易数据传输的保密性、可靠性和交易的不可抵赖性),防范交易及支付过程中的欺诈行为,必须在互联网中建立并维持一种令人信任的环境和机制。因此应用最有效的安全技术,建立电子商务安全体系结构,已成为电子商务建设中首先需要解决的问题。基于公钥基础设施PKI(Public Key Infrastructure)与CA(Certification Authority)认证技术的数字证书解决方案,现已被普遍采用。本文首先介绍了各种加密算法和数字证书,分析了PKI的体系结构及功能,研究了PKI的信息管理及互操作性问题。通过这些分析,说明了PKI应用在Internet中的重要性,并对一种简单的PKI应用(PGP)进行了讨论,重点分析了它的结构和存在的问题,简要对问题的解决方法与系统的实现进行了介绍。其次,文章分析了一般C/S模式中存在的安全性隐患,提出采用密文形式传输和存储用户口令的方法,以保证口令的机密性。同时,在PKI/CA认证、数字签名以及加密技术的基础之上,提出了密文传输和存储口令机制下的用户注册和C/S、B/S模式资源安全访问的基本模型,以实现C/S和B/S的安全机制。文章最后运用Java语言,设计实现了客户端的数字签名与加密机制和服务器端的信息解密与数据完整性验证。
邵质斌[4]2006年在《基于PKI的安全电子支付的研究》文中提出近年来,随着计算机网络的蓬勃发展,电子商务已经逐渐成为一种重要的经济模式和理念。电子支付作为发展电子商务的一个重要手段和基础得到了人们的广泛关注。电子支付的安全性问题,是电子商务的每一位参与者誓必关注的焦点。本文首先从解决电子支付的安全性问题开展讨论,论述了数据加密技术、数字签名技术、数字信封等解决安全电子支付的关键技术,并对现有的 SSL、SET 等支付协议进行了分析和比较,提出了建立一个基于 PKI 的安全电子支付模型。其次对 PKI 体系的技术、构架、服务、CA 信任模型等做出了详细的介绍,每一阶段的分析都针对安全电子支付的特点提出了 PKI 体系建设应该考虑的问题。在基于 PKI 的安全电子支付模型的设计上,首先对系统结构进行了总体设计,并给出了系统结构图。其次详细分析了电子支付的交易流程,并给出了每个交易阶段的流程图。再次详细分析了交易过程中每一个阶段的请求/应答(Req/Res)消息对,主要讨论了其中比较关键的支付交易消息对:购买初始化请求/应答(PInitReq/PInitRes)、支付授权请求/应答(Preq/Pres)、请款请求/应答(CapReq/CapRes),设计了消息产生、传递和验证的过程,以及每对消息所包含的数据包,并对数据包中所涉及的名词做了较详细的解释。最后,对电子支付涉及到的各交易方软件做了流程设计,画出了交易信息流程图。
张仕斌[5]2006年在《模糊信任模型及国家级PKI体系的研究》文中研究说明随着Internet应用技术的飞速发展,网络已经成为信息时代人们必备的工具,信息安全问题也成为人们日益关注的焦点。PKI作为目前保障开放式网络环境中网络和信息系统安全的最可行、最有效的技术,它可以随时随地方便人们同任何人秘密通信,是电子商务、电子政务广泛推行的基础,也是诸多基于网络应用的新业务、新产品安全开展的基本保证。 作为国家信息化的安全基础设施,PKI的核心是解决网络和信息系统中的信任问题,确保各种经济、军事和管理行为主体(包括组织和个人)身份的惟一性、真实性和合法性,保护网络和信息系统中各主体的利益不受侵害。目前,我国已经建立数十家CA认证中心,但各家CA机构彼此独立,成为彼此互不相连的“信任孤岛”,使各证书之间缺乏“互通性”,严重阻碍了PKI技术的应用与发展。 由于开放式网络环境中各主体之间信任关系是动态变化的,因而信任关系的评估涉及到多方面的内容:各主体之间的协作关系、信任评估所需信息的搜集、信任关系的评估及标准、以及对已有信任关系的监视和重新评估等内容。而现有的各种信任系统都缺少对信任监视和重新评估的机制。因此,在开放式网络环境中建立可靠的信任管理模型是当前PKI体系必须解决的关键问题。但由于各主体间的信任(主观信任)具有很大的主观性、模糊性、动态性,无法精确地加以描述和验证,因此必须寻求新的解决办法。 针对上述问题,本文主要进行了以下研究工作: (1) 为解决主体之间的信任(主观信任)的主观性、模糊性,研究了基于模糊理论的信任管理模型和模糊综合评判数学模型,有效解决了模糊信任的建模问题和各主体的信任向量的评判。 (2) 为解决主体之间信息安全交互的问题,提出了一种基于Agent的主观信任协作模型。该模型把主体之间进行相关任务看成是一种协作过程,即主体之间的信任也是一个信任协作过程。 (3) 为解决各主体之间信任评估的依据,提出了基于模糊聚类的信任类型动态定义机制。 (4) 在模糊信任模型、基于Agent的主观信任协作模型和基于模糊聚类的信任类型动态定义机制基础上,提出了基于主观信任协作的模糊信任评估模型,
伊卫星[6]2007年在《基于多信任机制DNA安全扩展的设计与研究》文中指出DNS协议是目前Internet上使用最为广泛的网络服务之一。但是在DNS设计之初其安全问题并未被重视,随着DNS服务被广泛的使用,由其产生的安全问题越来越影响到网络各方面的性能及其应用。为了能更有效地解决DNS所面临的安全问题,本文通过对DNS实现原理的全面分析和DNSSEC现有协议的详细研究,提出了一种综合运用多种认证方法实现DNSSEC的协议方案。本文首先分析了DNS的工作原理和DNS的安全问题,研究了以委托信任链机制和公钥认证为基础的DNSSEC相关协议,并对不同的信任机制进行深入分析和研究。在此基础上,本文设计了综合运用基于对称密钥密码体制、基于PKI以及基于授权信任的DNSSEC实施方案;依据DNSSEC相关协议对本文方案中的密钥管理方法、数据包结构、资源记录字段等进行了设计;最后模拟了DNSSEC工作过程并进行实验测试,对设计方案的效率、可行性、安全性等方面进行了详细的分析,对叁种不同的信任机制进行充分比较,对在不同环境下采用不同的信任机制给出了适时的建议。本文提出的综合运用多种认证方法实现DNSSEC的协议方案是对现有单一基于公钥认证DNSSEC方法的改进,以满足安全域名查询的效率要求和区域的差别性要求。
罗伟潮[7]2013年在《基于IPSec-VPN的数字证书认证技术的研究与实现》文中研究表明IPSec-VPN是目前VPN技术最广泛的实施方式,Femto安全网关使用IPSec-VPN作为实施数据安全的手段,为Femto基站与核心网数据通信提供安全服务。但IPSec本身的身份认证功能较弱,不足以处理Femto系统大量基站的认证接入工作。公钥基础设施PKI(Public Key Infrastructure)是一个标准化、通用的安全平台,可以弥补IPSec身份认证功能的不足,数字证书则可以解决Femto系统各网元相互间的信任问题。EAP-TLS协议提供了一种基于数字证书的双向认证方式,安全性和性能开销能较好地平衡。本文的研究课题是根据IPSec-VPN的原理,以及Femto安全网关的架构和技术特点,设计一种应用于安全网关的数字证书认证方案。该方案引入PKI作为实施身份认证的体系,遵循PKIX标准的工作流程及X.509v3的数字证书格式,采用EAP-TLS协议作为实施证书认证的流程处理,并在Femto基站与安全网关间使用IKEv2协议封装认证消息,安全网关与AAA间使用Radius协议封装认证消息来进行认证流程的消息交互,由安全网关和AAA对Femto基站的认证消息共同处理。同时,该方案根据开源软件strongswan的架构及特性,实现了证书认证的流程,以及方案相关参数的动态配置。本文首先介绍了VPN技术和IPSec协议的概念和关键技术,分析IPSec-VPN的实施方式;然后指出IPSec身份认证功能的不足,引入数字证书认证的概念,分析了PKI和证书认证的基本概念和主要标准、数字证书X.509的格式标准以及EAP-TLS协议的原理和交互流程;接着深入分析了安全网关的硬件架构和软件架构,阐述了安全网关数字证书认证方案的设计,方案使用EAP-TLS协议作认证接入的消息交互实现,通过TLS握手来生成加密使用的主密钥,并以基站到安全网关再到AAA作为方案的总体架构,同时研究了方案的具体实现,以及通过外部配置管理系统读写strongswan配置文件的方式对方案相关参数动态配置的实现;最后通过对数字证书认证功能模块的测试及分析,验证了该方案的正确性及实际应用价值。
胡杭琴[8]2006年在《企业轻量级认证中心CA的研究及应用》文中研究指明信息系统的有效运作必须以信息安全作为基础,安全已成为信息系统建设的核心问题。人们对信息安全的需要越来越迫切。为了将密码学的理论投入实际应用之中并有效地解决安全问题,人们设计了一种机制来解决公钥与实体身份之间的绑定问题,这就是PKI(即公共密钥基础设施)。PKI技术是通过由CA认证中心发布证书的方式绑定了身份与公钥的。同时PKI可以提供传输信息的机密性、完整性、身份鉴别和不可否认等的安全保障服务。近年来,国内的CA建设主要集中在行业型,区域型和商业型的认证机构,企业型的认证机构建设并没有足够的发展。然而随着企业信息化对网络的依赖性逐步增强,企业型认证机构的需求必将加大。本文立足于企业轻量级认证中心。本课题的主要任务是设计开发一个企业轻量级的认证中心(ELCA)来颁发和管理数字证书。本系统是在开放源代码Bouncy Castle加密包的基础上,在JAVA平台上遵从PKI相关标准,应用SSL、LDAP、OCSP、EJB等技术实现。系统本身采用基于角色的访问控制,采用基于证书的挑战响应式的身份认证技术,从根本上严格保证了ELCA自身的安全性和独立性。ELCA具有基本完善的CA系统结构,提供产生密钥、密钥恢复、生成证书、颁发证书、撤销证书、发布证书以及证书撤销列表(CRL)等服务。ELCA系统由认证机构模块、注册机构模块、日志功能模块和系统功能模块组成,使得整个ELCA体系清晰,结构合理。ELCA完全采用Java编写,能够在任何采用J2EE服务器的平台上运行。
陈建奇[9]2002年在《基于PKI的园区网计费认证系统的研究与实践》文中认为随着Internet的不断发展,网络安全问题已日益突出,公钥认证逐渐成为网络信息安全的主流,以ITU X.509为证书标准的公钥基础设施PKI(Public Key Infrastructure)是其代表。然而,PKI面对的是复杂的Internet环境,在技术和管理方面尚有许多没有解决的问题。要利用PKI为具体应用提供安全的解决方案,必须进行具体的研究,根据实际情况修改应用程序的配置或者实施定做。 作者参加了清华大学“校园网认证系统”的设计和实现工作。在校园网实施的PKI的基础之上,作者了解了PKI的体系结构,并通过实践分析PKI为具体应用实施安全保护的工作原理,着重研究基于PKI的授权方法,提出了几种不同的基于PKI的授权机制,同时评价了这些机制的优缺点,肯定了利用属性证书开展安全应用的地位。针对园区网计费系统的发展情况和实际的安全需求,作者在基本不修改计费系统的前提下,提出Agent技术,结合属性证书,设计了基于PKI的园区网计费认证系统。该系统很好地解决了计费系统的安全问题以及相关的授权问题。
杨勇华[10]2004年在《基于PKI规范的CA系统的设计与实现》文中提出随着计算机和通信技术的发展,计算机对于人们的生活和工作变得越来越重要,如今网上购物、电子交易、网上炒股等已经十分普及。现代计算机和信息技术在改变人们的生活方式和提高企业的生产效率的同时,也给人们留下了信息安全的隐患。 为了解决各种信息及网络安全问题,人们提出了各种不同的技术和标准。如防火墙、入侵检测系统等就是为了防止黑客入侵,保证主机系统安全的重要技术。同时由于Internet的开放性以及协议本身存在的安全缺陷,对此人们对网络的安全传输进行了大量的研究,网络传输的安全研究主要是为了保证数据在网络上传输时,不被窃听,不被篡改,即提供数据的机密性和完整性。目前针对不同的网络协议层,有了相应的安全协议标准。如IPSec协议就是通过在网络层对数据包进行加密,来保证数据传输的机密性和完整性,而SSL协议则是在传输层加密数据包来达到上述目的。 为了实现安全服务,必须要有相应的设施来提供服务。公钥基础设施(PKI,“Public Key Infrastructure”)就是信息安全基础设施的一个重要组成部分,是一种普遍适用的网络安全基础设施。目前的PKI技术通过利用公钥理论和技术,来建立提供信息安全服务的基础设施。公钥体制是目前应用最广泛的一种加密体制,在这一体制中,加密密钥与解密密钥各不相同,发送信息的人利用接收者的公钥发送加密信息,接收者再利用自己专有的私钥进行解密。这种方式既保证了信息的机密性,又能保证信息具有不可抵赖性。PKI的关键组件由数字证书认证中心CA、审核注册中心RA(Registration Authority)、密钥管理中心KM(Key Manager)等组件组成。作为提供信息安全服务的公共基础设施,PKI是目前公认的保障网络社会安全的最佳体系。如何推广PKI应用,加强系统之间、部门之间PKI体系的互通互联,已经成为目前PKI建设亟待解决的重要问题。 因此基于PKI规范的CA安全认证系统的开发和使用,对于解决在Internet网上进行数据传输时遇到的传输安全问题、数据的完整性问题、身份认证问题、交易的不可抵赖问题等具有重要的意义。 本文就是以PKI规范、PKCS协议族为基础,设计并开发了一套CA系统,系统的结构以层次结构设计。在设计和实现过程中我们使用了各种有效的方法,以尽可能的减少各系统组件的耦合性,从而提高了系统的交互性、扩展性以及可维护性。
参考文献:
[1]. 基于公钥基础结构(PKI)的Internet安全研究[D]. 范昊. 华中师范大学. 2001
[2]. 基于PKI的石大校园网认证系统研究与设计[D]. 周淑萍. 苏州大学. 2008
[3]. 公钥基础设施在Internet中的应用研究[D]. 邓涛. 国防科学技术大学. 2006
[4]. 基于PKI的安全电子支付的研究[D]. 邵质斌. 中北大学. 2006
[5]. 模糊信任模型及国家级PKI体系的研究[D]. 张仕斌. 西南交通大学. 2006
[6]. 基于多信任机制DNA安全扩展的设计与研究[D]. 伊卫星. 苏州大学. 2007
[7]. 基于IPSec-VPN的数字证书认证技术的研究与实现[D]. 罗伟潮. 华南理工大学. 2013
[8]. 企业轻量级认证中心CA的研究及应用[D]. 胡杭琴. 东南大学. 2006
[9]. 基于PKI的园区网计费认证系统的研究与实践[D]. 陈建奇. 福建师范大学. 2002
[10]. 基于PKI规范的CA系统的设计与实现[D]. 杨勇华. 浙江大学. 2004
标签:互联网技术论文; 数字证书论文; pki论文; 公钥基础设施论文; 信息安全论文; 公钥加密论文; ca认证中心论文; 公钥算法论文; 模糊理论论文; 模糊算法论文; ca中心论文; 安全证书论文; ipsec论文; 网络安全论文; 电子支付论文;