文档介绍：中国人民解放军信息工程大学
硕士学位论文
PKI系统证书撤销机制的研究与实现
姓名:庞红玲
申请学位级别:硕士
专业:计算机软件与理论
指导教师:武东英
20050601
摘要作为一种普适性的信息安全基础甲台,公钥基础设施际跻训玫绞嗄甑姆⒄梗并在电子商务、电子政务、安全信息服务等各领域得到广泛应用。权威认证机构和审核机构是ㄉ韬陀τ玫暮诵模械W殴恐な榘浞ⅰ⒊废⒏碌取盗泄芾砉作。证书撤销机制用于实现械闹な樽刺芾恚咝У闹な槌废低呈鞘凳㏄的一个难点问题、也是一个至关重要的环节。本文在全面研究砺佟⒓际跤胗τ玫幕∩希岷螾裙时曜迹计了证书认证机构和审核机构管理系统,该系统采用一级根,⋯级的信任模型。文章规划了系统应用模型、功能模块,并给出了具体实现,系统能够颁发符合国际标准的证书,可咀与基于系统的⒌缬栌始劝踩τ梦薹旖合。系统经过本实验室等两个单位内部使用,验证了其标准性、稳定性、可用性,具备产品化的基础。本文重点研究和分析了证书撤销机制,对证书撤销列表⒎植嫉鉉、在线证书状态协议、。认证字典一哈希树燃钢种な槌废平辛肆炕析,从及时性、可扩展性、安全性、标准兼容性和实现复杂性等角度对他们比较、分析;给出了低成杓朴胗τ檬笨刹慰嫉闹な槌废乒婊颉M保谰茛骉等标准,分别设计并实现了基于完全⒃隽緾的低常以及基于客户/服务器模式的槌废低场Mü扇∠富疧煊ζ骱蠖私峁沟方式,提高响应器的正确性和及时性,并通过对已撤销证书的状态响应预签名来提高响应效率。文章深入分析了,な槌废低常低彻槟闪似渥刺煊验证的特点,基于语法给出了—低匙刺觳樾榈耐暾枋觯陨杓—涤孟低秤邢质档募壑怠本文在完成以ぷ鞯耐保隽私窈蟮难芯糠较蚝托枰=徊酵晟频模簉作。关键词:信息安全;籆疪恢な槌废信息工程大学硕畚第.
笪:垦:兰型查兰堡主主垡笙苎.,狹—畐/,,,.—:第页,瓹甶§,瑆疪,.,瑆瓵,瑆珼琌/—畐,,.,,珻
厂』—矗磊≯第一章引言§研究背景!!##!###低惩üな——即通过数字签名的方式保证信息的不可伪造和不随着缬枭涛瘛⑼弦幸滴褚约罢贤こ痰目焖俜⒄梗眯畔踩技术来保障在开放的网络环境中传输敏感信息的问题越来越受到人们的广泛重视。在这一领域中,当今世界上采用的主流技术是公钥基础设施抢妹苈胙е械墓棵苈爰际酰谪⒎诺耐缁肪持刑峁┦菁用芤约笆智┟务的统一密钥管理平台。可篡改。证书将用户身份和公钥进行捆绑,由可信的认证机构虺浞ⅲ没Щ诙訡男湃蚊籽橹ぶな椤幕灸P腿缤糽,荆鹘巧瓿上嘤Φ墓δ埽·端实体:使用低持な榈亩擞没В蛑な槎杂Φ闹魈澹海。:颁发证书的可信权威机构,各个低车腃士梢杂薪换ゲ僮如交叉认证实现证书的互操作。·:注册中请请求机构,它与在逻辑上是一个整体,执行不同的功能。按照制定的政策和管理规范对用户的申请信息进行审查,以决定是否为该用户发放证书。·证书及证书撤销列表库:发布汪书和证书撤销信息,供用户查找并验证证书。低骋览涤谟蛑械挠没Ф訡男湃危没枰H峡蒀┲な榈哪谌荩⑾信证书对应公钥蚴粜和证书主体的关系,从而完成身份认证。必须对它所发放的证书内容负责,这种责任是有严格时限的,┝艘桓指明有效期的域,以说明该证书只在指定的时削范吲内有效。仅仅依靠这种有信息倘搜妒垦畚’。第变夏证书更新交叉证书更新没芾
§研究意义§本文所做的工作效期机制并不能完全满足实际应用的需求。当证书对应的信息由于私钥保管不当等突发原因失去其真实性时,必须立即中止或暂停对该证书的使用。验证者在验证证书的有效性时不但要验证证书的有效期,还要依据一种安全的机制得到真实可信的证书状态;狙珻不仅仅是签发证书,还要负责对证书状态的更新,并采用一种安全可靠的机制使用户能够及时的得到这些可信的证书状念。证书撤销机制用于解决上述问题。在谐莆!叭现せ埂薄K5缱由涛窕肪持懈鞲鍪堤灏浞⒅な椋炊允堤宓身份信息和相应数据进行数字签名,用以捆绑该实体的公钥和身份,以证明各实体在网上身份的真实性并负责在交易中检验和管理证书。它是电子商务和网上银行交易的权威性、可信赖性及公正性的第三方机构,是电了商务的重要基础设施,是电予商务的安全保证。/管理系统的设计与实现不仅能为部署低程峁┗”U希矣兄谏钊肜斫拍睢⒈曜己陀τ檬凳嫌谥な槌废芾硎荂疪芾硐低车墓δ苤唬陨杓并实现功能对证书撤销机制的研究有很大的益处。证书验证是保证低秤行Чぷ鞯暮诵奈侍庵弧6な榈淖刺谥な榈难橹す中不能仅仅靠证书本身捌淝┓⒄咧な的信息而得到,这是证书验证过程巾最困难的问题。有些小型的低臣俣ㄖな榈淖刺谟行谀诓换岜湮N扌Ф艺8轮な榈代价可以承受,为证书设定很短的有效期并使用证书更新机制,而略去了证书状态验证的过程。但更多的低巢荒芑谡庵旨偕因为对所有证书频繁更新的工作量相当大而需要选用一种证书撤销机制来提供任一时刻用户证书的状态。证书撤销机制是系统碢系统的核心部分