基于PKI的证书撤销方式-计算机应用专业论文.docxVIP

北京工业大学工学硕士学位论文摘要 北京工业大学工学硕士学位论文 摘要 本论文通过对PKI技术的阐述，分析了在PKI系统中各种证书撤销方式原理、 优缺点和适应的网络环境，并设计构造了基于在线证书状态协议(OCsP)的证书 撤销系统。 随着电子商务的发展，信息安全已经成为电子贸易成长的重要因素，而支持 PKI技术已经成为信息安全中最可行的一项。PKI是一个动态的系统，它融合了 各种安全技术。涉及到的安全技术有：加密、数字签名、数据完整性机制、数字 信封、双重数字签名等。PKI的总体构架有以下几部分组成：安全策略、证书权 威机构(cA)、注册权威机构(RA)、证书存储库、PKI应用。X．509是一种证书 标准，许多PKI系统一举它来设计公钥证书。其中证书的周期分为初始化阶段、 颁发阶段和取消阶段。根据不同的应用，PKI有多种应用标准，SSL、TLs、s／MIME 和IPSEC等。利用这些标准，可以实现以下几种应用实例：VPN、安全电子邮件、 wob安全。 虽然数字证书只是PKI的组成部分之一，但它是限制或扩展安全设施整个性 能的本质部分。因此用户必须能验证证书。本文主要介绍了两种方式验证证书的 状态： 1)周期性发布证书状态信息机制，证书撤销列表(CRLs)。基于传统CRL撤 销发布机制，介绍了增量cRL、分布点cRL、重叠发布CRL、证书撤销树(CRT)、 权限撤销列表ARL、间接CRL。由于证书撤销信息在整个PKI中的传播需要一段 日寸间，这样就给攻击者留有了余地。 2)在线查询机制，如在线证书状态协议OcSP。一个OcsP响应必须经过数 字签名以保证响应是源于可信任方并且在传输过程中没有被改动。0CSP在应用 方面也存在着一定的局限性，本文对这些局限性提出了改进方案。 基于以上各种不同的证书撤销机制，本文提出了评价标准，在不同的环境给 出了可使用的方案，并以OCSP为例，提出了具体的设计方案。 【关键词】PKI：CA：X．509：CRL：oCSP 北京工业大学工学硕士论文ABSTRA|田 北京工业大学工学硕士论文 ABSTRA|田 0n the basis of an8lysing publ ic—key infrastructure(PKI)，this paper aiso presents some mechanisms of the distribution of revocation certificate information， their advantages and disadvantages， and the network environment for which they are fit．I design the certificate revocation system which bases on 0CSP， With the development of electronic eoH团’erce， in￡or!nat{on security h8s becoIfle 8 cri tical part of the burgeoning world of eleetronic transactions，a珏d the presenee of 8 supporting publ ic—key infrastrueture (PK王)廷as beco鞲}e弋he#{os之vi8毛le op乞ion for this important component． A PKI is a dynamic system， the underlying framework that makes securi ty technologies work together． It will include： Encryption： Digital Signature：Data Integrality mechanism；Digital Envelope：Double—Digital Signature．A PKI consists of the following elements：Security Policy： Certificato Authority (CA)； Registration Authority (RA)： eertificate Da{abase： pKI application， X．509 is 8 eertifiea乞e stand8r琏， 黼ny PKI system design Publie—key￡ertific8te aeeording to X．509．The period of certificat哿has three phases：}nitializat