学位论文 > 优秀研究生学位论文题录展示

PKI端系统AccessPKI的研究与实现

作 者: 杨杰
导 师: 丁伟
学 校: 东南大学
专 业: 计算机系统结构
关键词: 公钥基础设施 端系统 AccessPKI 易用性 证书管理 应用编程接口
分类号: TP393.08
类 型: 硕士论文
年 份: 2006年
下 载: 45次
引 用: 0次
阅 读: 论文下载
 

内容摘要


网络的飞速发展也带来了网络安全问题的日趋严重。使用应用密码学解决现今网络安全问题,特别是一些涉及认证、保密、完整性和无否认服务方面的问题,是一个普遍的解决思路。而基于非对称加密体制的公钥基础设施(Public Key Infrastructure:PKI)为这种思路提供了最底层、最基本的支撑技术和手段。但是,PKI的应用并不顺利。这其中的技术原因主要是对PKI的研究严重偏向于CA这类的管理实体,而忽略了应用接口的重要性,致使PKI的应用过于复杂化,从而导致应用部署的困难。由于PKI与用户的接口是PKI端系统,对此,本论文提出了通过提高PKI端系统的易用性来解决PKI应用复杂性问题的思路。经过对现有的3个PKI端系统进行研究表明,易用性低是它们的共同缺陷。而造成PKI端系统易用性低的原因主要有两个方面:证书申请流程的异步性和端系统提供的应用编程接口易用性不高。针对以上原因,本文以易用性为首要目标,设计实现了一个新的PKI端系统――AccessPKI。AccessPKI在提高PKI端系统易用性方面主要采取了两项措施。其一,优化证书请求流程,引入证书自动下载机制,简化用户与系统的交互过程。其二,对端系统提供的应用编程接口(API)进行层次划分,不同层次的接口将提供不同层次的功能抽象,从而提高应用编程接口的易用性。为提高端系统的灵活性,AccessPKI的加密机模块引入了密码学算法替换机制,为应用程序在不改变原有接口的前提下使用更强大的加密算法提供了支撑手段。针对证书管理的冗余性问题和性能瓶颈,新的端系统采用了“全终端一个物理证书库,不同用户不同逻辑证书库”的管理策略。在物理证书库的设计中,参考了嵌入式数据库的模型,使用基于文件锁的分布式同步模型来保证数据的一致性。论文最后对AccessPKI的正确性和易用性进行了验证,并与传统WindowsPKI和Open SSL进行比较。测试结果表明,AccessPKI在使用上相比WindowsPKI和Open SSL更加方便。论文结尾总结了所有的研究工作,并对PKI端系统的进一步研究进行了展望,指出引入策略控制机制将是进一步提供端系统易用性和灵活性的关键。

全文目录


摘要  4-5
ABSTRACT  5-8
第1章 绪论  8-16
  1.1 研究背景  8-12
    1.1.1 非对称密码体制  8
    1.1.2 PKI概述  8-10
    1.1.3 PKI发展现状及趋势  10-11
    1.1.4 PKI现有问题和解决方案  11-12
  1.2 PKI端系统的定义和功能  12-14
    1.2.1 PKI端系统定义  12
    1.2.2 PKI端系统功能需求  12-14
  1.3 论文结构  14-16
第2章 现有PKI端系统的研究分析  16-29
  2.1 现有PKI端系统的研究  16-21
    2.1.1 Microsoft的综合解决方案[8]  16-18
      2.1.1.1 Windows 2000 PKI中的PKI端系统  16-17
      2.1.1.2 CryptoAPI  17-18
    2.1.2 Ray Hunt基于C/S模式的方案  18-19
    2.1.3 Mozilla的PSM  19-21
      2.1.3.1 PSM的结构  19-20
      2.1.3.2 NSS(Network Security Services)  20-21
  2.2 独立应用编程接口的研究  21-24
    2.2.1 OpenSSL  21-22
    2.2.2 GSS-API  22-23
    2.2.3 Common Data Security Architecture(CDSA)  23-24
  2.3 对现有端系统的分析总结  24-27
    2.3.1 端系统的对比分析  24-25
    2.3.2 应用编程接口的对比分析  25-26
    2.3.3 研发AccessPKI的必要性  26-27
  2.4 ACCESSPKI的设计目标  27-28
    2.4.1 设计目标  27
    2.4.2 针对设计目标的解决措施  27-28
  2.5 本章小结  28-29
第3章 ACCESSPKI的功能与结构设计  29-48
  3.1 ACCESSPKI的功能设计  29
  3.2 ACCESSPKI的结构设计  29-31
    3.2.1 逻辑结构  29-30
    3.2.2 系统与外界的交互模式  30-31
  3.3 ACCESSPKI的内部模块  31-47
    3.3.1 图形用户接口GUI  31
    3.3.2 安全协议和安全传输  31-32
    3.3.3 加密机  32-34
      3.3.3.1 加密机的功能及构成  32-33
      3.3.3.2 加密函数软件实现  33-34
      3.3.3.3 加密函数的第三方支持  34
    3.3.4 证书和密钥管理服务  34-47
      3.3.4.1 证书和密钥管理的宏观方案  34-36
      3.3.4.2 证书申请流程的改进  36-40
      3.3.4.3 证书的管理  40-42
      3.3.4.4 证书和密钥的存储方案  42-44
      3.3.4.5 密钥生命期的安全保护  44-46
      3.3.4.6 PKI端系统与PKI管理实体的通信  46
      3.3.4.7 证书和密钥的关联  46-47
  3.4 本章小结  47-48
第4章 ACCESSPKI的实现和验证  48-63
  4.1 ACCESSPKI的实现  48-57
    4.1.1 AccessPKI的详细实现结构  48-49
    4.1.2 PKIProxy  49
    4.1.3 安全传输  49-51
    4.1.4 加密服务  51
      4.1.4.1 加密服务API  51
      4.1.4.2 加密服务软件实现  51
    4.1.5 证书和密钥管理服务  51-57
      4.1.5.1 证书和密钥管理服务API  52
      4.1.5.2 证书管理  52-54
      4.1.5.3 密钥管理  54-55
      4.1.5.4 通用数据存取接口  55
      4.1.5.5 本地数据库存取模块实现  55-57
  4.2 系统验证  57-62
    4.2.1 系统验证方案  57-58
    4.2.2 验证结果及结论  58-62
  4.3 本章小结  62-63
第5章 总结与展望  63-65
  5.1 总结及成果  63-64
  5.2 展望  64-65
参考文献  65-67
附录A:ACCESSPKI的API规范  67-79
致谢  79-80
作者简介  80

相似论文

  1. OpenBASE企业管理器设计与实现,TP311.52
  2. 软交换测试仪后端系统设计与开发研究,TN915.05
  3. 移动互联网中流媒体版权保护的研究,TN929.5;F204
  4. 信息服务活动中用户技术接受影响因素研究,G203
  5. 基于PKI的电子公文传输系统设计与实现,TP393.08
  6. IT环境下嵌入审计模块法在CA中的应用研究,F239.1
  7. 网页UI设计中的沟通艺术,J524
  8. 统一身份认证安全平台的分析与设计,TP393.08
  9. 网络加密邮件数据系统的分析和设计,TP393.098
  10. 基于公钥基础设施的网上书店PKI-BOOKSHOP的设计,TP393.08
  11. 基于PKI的匿名数字证书的研究与实现,TP393.08
  12. PKI在IPSec VPN中的设计与实现,TP393.08
  13. 基于PKI/CA技术的组织机构代码网上申报系统的研究与开发,TP311.52
  14. 基于公钥基础设施的公文系统设计与实现,TP311.52
  15. 宁东—山东±660kV直流工程对电网的影响分析,TM712
  16. 应用密码技术保障网上银行安全,TP393.08
  17. 基于安全传输层协议的公钥基础设施的研究与实现,TP393.08
  18. 基于ECC算法的移动支付系统研究,TP393.08
  19. 移动互联网中认证机制的研究,TN929.5
  20. 基于OPC服务器CAN总线智能节点开发系统的研究及应用,TP273
  21. 移动位置服务网关代理和应用接口的设计与实现,TN915.05

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com