分享到:

PKI中的证书撤销和OCSP协议的研究与实现

随着Internet以及电子商务的发展,人们对信息安全的需要越来越迫切。基于公钥体制的PKI(Public Key Infrastructure,即公钥基础设施)技术可以为网络上的各种应用提供机密性、完整性、身份鉴别和抗抵赖的安全保障。PKI的核心就是证书,所以对证书进行有效的管理就是PKI的一个首要任务。证书的撤销和验证就是证书管理的重要内容之一。传统的证书撤销和验证方式是利用CRL(Certificate Revocation List证书撤销列表),这种方式存在一些弊端,基于CRL的一些新的方式虽然减轻了这些弊端带来的影响,但也无法彻底解决这个问题。在这个背景下,OCSP协议作为CRL方式的补充或替代而提出,它能为用户提供在线证书状态,同时,其请求响应模式也大大减少了网络负载。TongSEC是东方通科技的PKI安全产品,TongOCSP是作者为该项目开发的一个重要组成部分,其目的就是实现OCSP协议,并为用户提供编程接口,  (本文共94页) 本文目录 | 阅读全文>>

中国科学院研究生院(软件研究所)
中国科学院研究生院(软件研究所)

PKI理论与应用技术研究

电子商务、电子政务等基于Internet的网络增值应用日新月异,这些应用对信息安全的需求也随之提升,诸如公平性、可追踪性等安全特性就是除了传统的保密性、完整性、非否认性、身份认证等基本安全要求之外的新需求。基于公钥密码技术构建的公钥基础设施(PKI)是目前公认的解决大型开放网络环境下信息安全问题最可行、最有效的办法。本文围绕着一个实际的企业级PKI系统的设计和开发,从理论和实践两个方面研究了实现安全、可靠、可扩展的PKI系统所涉及到的一些关键理论和技术问题。公平性是电子商务交易的基本要求之一,论文最后对一类重要的公平交换协议进行了深入的研究。论文取得了以下六个方面的主要成果:第一,设计并实现了一个高度模块化、可扩展的企业级PKI系统——ErcistPKI系统。在系统设计和实现的过程中,考虑到PKI作为普适性安全基础平台的特点,特别强调PKI系统自身的安全性;第二,首次在PKI系统的设计中提出了“可信密钥管理中心(TKMC)”的概...  (本文共189页) 本文目录 | 阅读全文>>

西南交通大学
西南交通大学

公钥基础设施中证书撤销机制研究

公钥密码学的广泛应用使得公钥真实性的可验证性成为必要条件。而公钥基础设施(PKI)作为当前最为全面的信息安全解决方案,是利用证书机制来传递公钥间的相互信任的。于是,随着证书应用范围的扩大,在终端用户使用证书之前撤销已经失效的证书并且使用户得到最新的证书状态信息变得越来越重要。随着PKI系统规模的扩大,证书状态信息分发成为一个尤为关键的问题。本文的主要工作是对现有的证书状态信息分发机制做了一定的改进和优化。本文的工作主要是基于三个不同的证书撤销模型。首先,基于对窗口撤销机制性能、算法和不足的分析,本文提出了一个新的模型来确定方案中消除定时器的值。该模型的优势通过一个实例得以详细说明。然后,鉴于Over-Issued CRL模型的限制和缺陷,本文提出了两种新的改进措施。该措施不但能够满足证书撤销方案的灵活性,而且在必要的情况下能够提供较为真实的证书状态信息。最后,本文引入了一个基于排队理论的证书撤销模型,它能有效的降低存储库需要处理...  (本文共95页) 本文目录 | 阅读全文>>

苏州大学
苏州大学

基于OCSP的在线证书状态验证系统的研究与应用

数字证书状态验证是PKI的核心组成部分,用于为数字证书使用者提供相关证书的撤销信息。OCSP是一种常见的数字证书状态验证机制,可以通过简单的查询向用户提供即时的数字证书状态信息。但由于OCSP在PKIX协议族中是一个比较年轻的成员,因此仍具有一定的局限性。本文首先在深入研究OCSP协议的基础上,针对目前OCSP协议存在的问题,提出了一种改进型OCSP协议,该协议对OCSP响应消息进行改进,使之包括基本类型OCSP响应和A类型OCSP响应。其次,在该改进型OCSP协议基础上,设计并实现了一个高效的在线证书状态验证系统,该系统中的改进型OCSP响应器利用CA的证书库作为响应器的信息源,为用户返回最新的证书状态信息;同时,响应器采用Hash表缓存机制、预签名技术和多线程机制,较好地提高了其性能,并能有效抵御重传攻击和拒绝服务攻击。然后,基于此验证系统,提出了其在交叉认证中的应用方案,使得响应器不仅可以检测出证书的撤销状态,实现不同信任...  (本文共94页) 本文目录 | 阅读全文>>

西安电子科技大学
西安电子科技大学

基于商密SM2算法的证书状态查询机制设计与实现

PKI系统作为提供互联网安全的底层架构,其管理的核心就是数字证书。国际上,数字证书采用的密码算法大多是RSA,然而,随着计算机运算的速度越来越快,密码产品中RSA的位数也越来越长,在提供同等安全程度的环境下,使用ECC的密钥位数比RSA短的多;与此同时,在ECC的基础上我国自主设计了一套商用密码算法SM2,随着对信息安全的日益重视,SM2的商用价值会逐步呈现,采用SM2算法生成的证书也将日益流行。因此,对SM2证书的撤销与验证将是PKI系统对证书进行管理的最重要任务。目前获取证书有效性最常用的方式是CRL(Certificate Revocation List,证书撤销列表),但这种方式有着内在的不足,单纯对它的改进仍然无法克服CRL的缺陷。随着网络交易的迅猛发展,CRL已经无法满足实时交易的需求。此时,OCSP(Online Certificate Status Protocol,在线证书状态协议)作为一种可以实时查询证书有效...  (本文共86页) 本文目录 | 阅读全文>>

中国人民解放军信息工程大学
中国人民解放军信息工程大学

PKI系统证书撤销机制的研究与实现

作为一种普适性的信息安全基础平台,公钥基础设施PKI技术已得到十余年的发展,并在电子商务、电子政务、安全信息服务等各领域得到广泛应用。权威认证机构CA和审核机构RA是PKI建设和应用的核心,承担着公钥证书颁发、撤销、更新等一系列管理工作。证书撤销机制用于实现PKI中的证书状态管理,高效的证书撤销系统是实施PKI的一个难点问题、也是一个至关重要的环节。本文在全面研究PKI理论、技术与应用的基础上,结合PKIX、PKCS等国际标准,设计了证书认证机构CA和审核机构RA管理系统,该系统采用一级根CA,一级RA的信任模型。文章规划了系统应用模型、功能模块,并给出了具体实现,系统能够颁发符合X.509国际标准的证书,可以与基于Windows、Linux系统的Web、电子邮件等安全应用无缝结合。系统经过本实验室等两个单位内部使用,验证了其标准性、稳定性、可用性,具备产品化的基础。本文重点研究和分析了证书撤销机制,对证书撤销列表CRL、分布点...  (本文共63页) 本文目录 | 阅读全文>>