【正文】 本科畢業(yè)論文 1 1 引言 論文的選題背景 近年來，對著 Inter 的迅速崛起，互聯(lián)網已經進入了人們工作學習的各個方便，不僅僅是各個大中小企業(yè)對員工的信息 管理，還有各個購物網站，資料網站還有各種方便人們交流生活的平臺的信息管理，如何在不影響用戶方便性的同時保證用戶信息的安全性是一個重大的挑戰(zhàn)， PKI 數(shù)字證書的設計與實現(xiàn)為信息的安全性帶來了生機。 但是在管理著用這種方法對龐大的用戶信息進行管理的時候出新了一個新的問題，就是操作的復雜性。 PKI 技術在保證安全的同時也為用戶設計了重重的關卡，比如錄入用戶信息，審核用戶信息，證書制作，密鑰生成等工作。為了信息安全又不用重復操作，就需要把證書頒發(fā)系統(tǒng)與身份管理系統(tǒng)相結合，管理者運用某種權限使得證書可以自動完成復雜的 錄入、審核、制證等操作。于是身份管理與數(shù)字證書信息同步系統(tǒng)應運而生。 論文的研究意義 該系統(tǒng)并不是每個用戶都可以自動創(chuàng)建證書，而必須是擁有某種權限的人才可以，即擁有足夠權限的數(shù)字證書登錄的時候才可以自動創(chuàng)建證書，并且可以根據(jù)數(shù)字證書里面的信息判斷證書的類型等相關屬性，這樣便可以有法則的安全的創(chuàng)建并管理用戶。 目前，這種技術不僅僅運用在各大中小企業(yè)、各大網站等民用的信息管理系統(tǒng)中，在政府軍用機關也運用相關技術。在完成身份管理與數(shù)字證書信息同步系統(tǒng)后，發(fā)現(xiàn)里面的原理知識很嚴密， PKI 這種安全的基礎 設施有待繼承和研究，河北工業(yè)大學 20xx 屆本科畢業(yè)論文 2 希望以此論文顯示我的研究成果，與各位相關學者們進行討論，推動該技術的更新與發(fā)展。 論文的內容安排 經過了半個多學期的研究之后，有一定的成果，下面就以論文的形式展示出來，一下詳細介紹一下論文的大概內容安排。 該論文第一章是引言；第二章主要講述身份管理與數(shù)字證書同步系統(tǒng)所遇到的相關技術和算法；第三章會結合身份管理與數(shù)字證書同步系統(tǒng)，來更加完美的展示這種同步技術；第四章是對本系統(tǒng)進行測試，用實際總結該系統(tǒng)優(yōu)缺點；最后總結了一下經驗教訓，確定自己今后在這個課題上的研究方向。 2 相 關技術簡介與研究意義 PKI 什么是 PKI PKI 是 public key Infrastructure 的縮寫，廣義來講就是用公開密鑰的概念和技術來實施和提供安全服務的具有普適性的安全基礎設施，也就是說任何以公鑰技術為基礎的設施都叫 PKI，即沒有好的非對稱算法和好的密鑰管理就不可能提供完善的安全服務，也就不是 PKI。這個說法也就說明了 PKI 必須具有密鑰管理功能。 綜上所述，即 PKI 是用公鑰概念和技術實施的，支持公開密鑰的管理并提供真實性、保密性、完整性以及可追究性安全服 務的具有普適性的安全基礎設施。 PKI 的技術的研究內容 PKI 在公開密碼學的基礎上，主要解決密鑰認證的問題。 PKI 的核心技術就是圍河北工業(yè)大學 20xx 屆本科畢業(yè)論文 3 繞數(shù)字證書的申請、頒發(fā)、使用與撤銷等整個生命周期展開的。證書撤銷是最容易被忽視但也是 PKI 很重要的一部分，是安全基礎設施必須提供的一項服務。 PKI 的研究對象包括：數(shù)字證書、頒發(fā)數(shù)字證書的證書認證中心、證書持有者、證書使用者、證書注冊機構、證書存儲和查詢服務器、證書狀態(tài)查詢服務器和證書驗證服務器等。 PKI 最基本的組件是證書認證中心（ CA）、證書持有者和依賴方。證書持有者是指公鑰對應私鑰的持有者。依賴方是指使用其他人證書來進行加密通信、身份鑒別、數(shù)字簽名驗證等安全操作的實體。 PKI 的輔助組件有注冊機構（ registration authority， RA）、資料庫 (repository）系統(tǒng)、密鑰管理系統(tǒng) (key management system）、OCSP（ online certificate status protocol）服務器、 CRL Issuer 等。輔助組建不是必須的，只是在某種情況下用來更加完善 PKI 系統(tǒng)，使其更好的完成服務。 另外，為了更好的發(fā)展 PKI 基 礎設施， PKI 域之間的互聯(lián)是建設一個沒有漏洞的范圍大的網絡應用的關鍵。在 PKI 互聯(lián)過程中， PKI 關鍵設備之間， PKI 末端用戶之間，網絡應用與 PKI 系統(tǒng)之間的相互操作與接口技術是 PKI 發(fā)展的重要保證。 PKI 優(yōu)點 PKI 具有強大的生命力，以公鑰密碼技術為靈魂，以數(shù)字證書為核心。憑借自己的優(yōu)勢已經漸漸滲入網絡的各個層面。 PKI 的優(yōu)勢主要表現(xiàn)在一下幾個方面。 （ 1）采用公開密鑰技術； （ 2）保護機密性； （ 3）采用數(shù)字證書的方式進行服務； （ 4）提供證書撤銷機制； （ 5）具有特別高的互連的 能力 河北工業(yè)大學 20xx 屆本科畢業(yè)論文 4 PKI 的意義 PKI 的意義在于人們日常生活中，最常見的例子，電子商務，現(xiàn)在網購逐漸增多，而 PKI 提供的任意三方可驗證服務提供了一個更加公平的平臺，這樣的方式使得電子商務變得更加民主和和諧。 另外， PKI 支持很多以前無法實現(xiàn)的服務。比如， PKI 保證下載文件不被黑客篡改，可以保證護照等證件的真實性。但是 PKI 技術并沒有發(fā)展的很迅速，或許正式因為其重大的意義和扎實的基礎才才發(fā)展的如此緩慢。 PKI 是無可替代的。 中國商用 PKI 系統(tǒng)體系 《證書認證系統(tǒng)密碼及其相關技術規(guī)范》是由中華人 民共各國國家密碼管理局頒布的標準，主要是指導公眾服務證書認證系統(tǒng)的建設和檢測評估。 該規(guī)范的組件有證書管理系統(tǒng)和證書 /CRL 簽發(fā)系統(tǒng)（證書的簽發(fā)、證書撤銷和CRL 簽發(fā)，即 CA）、用戶注冊管理系統(tǒng)和遠程用戶注冊管理系統(tǒng)（ RA）、證書 /CRL存儲發(fā)布系統(tǒng)和證書 /CRL 查詢系統(tǒng)（資料庫）、密鑰安全中心（ KMC）和安全管理系統(tǒng)（系統(tǒng)審計和安全防護）。 CA 證書認證中心 什么是 CA CA 是負責公鑰的歸屬的組件，且其技術手段也是非?？煽康?。 CA 通過數(shù)字證書的方式為用戶提供公鑰證明。因為 CA 是 PKI 系統(tǒng)中被通信的雙方信任的實體，故被稱為可信第三方（ trusted third party,TTP），也因此其簽名認證是不可否認的。 CA 的工作過程 CA 作為可信第三方，就必須讓信任實體擁有追究自己責任的能力。用戶將自己的身份信息和公鑰發(fā)送給 CA，由 CA 驗證并簽名，給該用戶頒發(fā)數(shù)字證書，證書中就綁河北工業(yè)大學 20xx 屆本科畢業(yè)論文 5 定了公鑰數(shù)據(jù)和該用戶的信息并和 CA 的簽名，并且還有 CA 的名稱，這樣便可以方便其他用戶找到 CA 簽名的驗證公鑰。 那么依賴方是如何進行驗證的呢？每一個 CA 都有一對自己的公私鑰，公鑰可以用另一個 CA 簽名 后發(fā)布，也可以通過廣播、電視或者紅頭文件來公告 CA 的公鑰，其私鑰對每一個數(shù)字證書進行數(shù)字簽名， CA 實現(xiàn)公鑰獲取數(shù)據(jù)起源的鑒別，保證數(shù)據(jù)完整性和非否認性。當然，如果用戶因為信任了證書而導致了損失，證書可作為有效的證據(jù)來追究簽名 CA 的責任。 中國商用 PKI 系統(tǒng)結構圖如圖 21所示： 證 書 / C R L 存 儲發(fā) 布 系 統(tǒng)證 書 / C R L 簽 發(fā)系 統(tǒng)密 鑰 管 理 中 心證 書 管 理 系 統(tǒng) 安 全 管 理 系 統(tǒng)遠 程 用 戶 注 冊管 理 系 統(tǒng)證 書 / C R L 查 詢系 統(tǒng)用 戶 注 冊 系 統(tǒng) 圖 21 中國商用 PKI 系統(tǒng)結構圖 RA 注冊機構 什么是 RA RA 是證書注冊機構，是 CA 與用戶之間的接口。正如其名，它 的作用是在 CA 證書進行簽名前進行審核以確保證書上面內容的有效性。從而使得 PKI 系統(tǒng)更加安全。 河北工業(yè)大學 20xx 屆本科畢業(yè)論文 6 另外，為了與用戶更好的交互，完善 PKI 系統(tǒng)的功能， RA 注冊機構也會對用戶身份信息進行管理，以及安全的數(shù)字證書的下載、發(fā)放等功能。 RA 的工作過程 驗證者提交公鑰和自己的身份信息后， RA 首先要檢測申請者擁有相應的私鑰，另外還要對密鑰的安全強度（密鑰長度、密鑰的使用期密鑰種子）、密鑰托管和恢復、算法等進行審核；然后， RA 系統(tǒng)要進行對申請著身份的驗證，確定申請者就是證書所標識的試題，或者申請者有足夠的權限來 代替其他的申請者，還要檢查申請者身份信息中的各個方面的內容（姓名等）進行檢查。然后， RA 檢查申請者希望證書可能希望在證書上面附加的其他內容，另外還要檢測用戶的繳費情況、合同簽訂、犯罪記錄等；最后還要獲取申請者的聯(lián)系電話、郵編地址等信息，以方便 PKI 系統(tǒng)可以回訪用戶。在上述一系列的審核中有大量的人工參與，不僅僅是 RA 系統(tǒng)自動完成，所以RA 系統(tǒng)必須提供一個友好的交互頁面。 RA 的意義 為了使 PKI 系統(tǒng)的建設保證網絡信息以及網絡通訊的安全，保證網絡數(shù)據(jù)以及用戶信息的保密性、完整性和不可抵賴性， RA 是 不可或缺的一部分。 RA 不僅僅可以直接與用戶進行交互，管理用戶信息以及證書等相關業(yè)務，在后期的維護以及其對用戶信息的審核都有著重要的作用。 KMC 什么是 KMC KMC 是密鑰管理中心（也稱密鑰托管中心），有生成管理密鑰的功能，它可以通過加密機或者加密卡來生成密鑰，另外支持安全網絡通道傳輸數(shù)據(jù)。它是第三方可信任機構，一個 KMC 可以為多個 CA 進行服務。 KMC 的工作過程 KMC 負責密鑰的管理和存儲，其內部的加密機（加密卡）可生成密鑰對，并且河北工業(yè)大學 20xx 屆本科畢業(yè)論文 7 把備用密鑰對存在數(shù)據(jù)庫中。 KMC 中 主要包括三個數(shù)據(jù)庫、加密卡和通訊密鑰對。三個數(shù)據(jù)庫分別是備用密鑰數(shù)據(jù)庫、在用密鑰數(shù)據(jù)庫和歷史密鑰數(shù)據(jù)庫。備用密鑰數(shù)據(jù)庫是存儲加密機新生成密鑰（暫時沒有被分配），在用密鑰數(shù)據(jù)庫存儲的是正在使用中的密鑰，歷史數(shù)據(jù)庫存儲的是因過期等其他原因現(xiàn)在不再使用的密鑰。加密卡用來生成新的密鑰，通訊密鑰對用來與 CA 進行安全通信。 KMC 的大概工作過程就是：解析 CA 發(fā)來的申請密鑰信息，然后從備用數(shù)據(jù)庫中取出密鑰，并且將申請人信息與密鑰保存在在用數(shù)據(jù)庫中，然后構成返回信息，最后通過網絡安全通道傳送給 CA。 此外， KMC 還涉及密鑰 恢復、密鑰撤銷等功能，其過程與申請密鑰類似。 KMC 研究的意義 KMC 的出現(xiàn)似的 PKI 系統(tǒng)更加完整和安全，為保護用戶的隱私和保證相關政府部門的監(jiān)聽權做出了突出貢獻。 數(shù)字證書 什么是數(shù)字證書 數(shù)字證書由證書內容、簽名算法和簽名結果組成，數(shù)字證書為了證明公鑰的所屬而存在。數(shù)字證書的內容一般包括版本號、證書主體、主體公鑰信息、簽發(fā)者、序列號、有效期等合理性信息。 數(shù)字證書的描述方法 大多數(shù)數(shù)字證書的描述使用 ，它是一種既簡單，有沒有歧義的內 容描述語言。在 PKI 系統(tǒng)中關于目錄、名字、證書和通信的諸多方面使用到了 語言。 河北工業(yè)大學 20xx 屆本科畢業(yè)論文 8 標準 簡介 標準是 ITUT 設計的 PKI 標準，踏實為了解決 目錄中的身份鑒別和訪問控制問題而設置的。 最基本的組件有 CA、證書持有者、依賴方和資料庫。 標準也只是為 目錄來服務的。其定義了證書和 CRL 的數(shù)據(jù)格式。 數(shù)字證書 X． 509 是用 來描述證書信息的。 PKI 中廣泛使用 證書格式。那么 下面就用 來描述 證書的整體結構。證書分為三大部分：證書內容（ tb