基于PKI的CA系统的设计与实现

摘要

随着网络信息技术的迅速发展以及Internet的不断普及，在网络传递信息时，信息的机密性、完整性、身份鉴别和不可否认性显得越来越重要。PKI是信息安全领域一种成熟的解决方案，遵循了既定的标准，能够为所有的网络应用提供密码服务。CA是PKI的核心，是具有权威性、可信任性及公正性的第三方机构，通过CA向用户颁发公钥证书，将用户身份信息与用户所持有的公钥相互绑定，从而实现对用户身份的证明。 该课题以PKI体系中的CA认证系统为研究对象。研究了PKI的基础理论、体系结构以及PKI系列标准；分析了CA系统的目标和功能；并设计和实现了一个基于PKI的CA系统。相比于其他CA系统，该CA系统采用智能卡作为根密钥的存储和管理载体，在模块间采用SSL建立安全通信，系统访问控制采用了基于角色的访问控制模型(RBAC)，因此具有较高的安全性。针对校园网络的实际特点，该CA系统采用了一种改进的CA信任模型-环形CA信任模型，该模型能减少证书信任路径的长度和CA交叉认证的次数。 该课题使用软件工程的思想和方法对系统进行了分析和设计，并使用.NET平台和OpenSSL开源软件包实现了一个基于PKI的CA系统。该系统具有根证书下载安装、证书申请、证书颁发、证书撤销等功能，CA功能基本完善，所发布的证书遵循X.509标准，具有良好的开放性。

目录

文摘

英文文摘

声明

第一章绪论

1.1课题来源及研究背景

1.2基于PKI的CA系统的发展现状

1.2.1国外发展现状

1.2.2国内发展现状

1.3研究目的和意义

1.4论文的组织结构

第二章公钥基础设施(PKI)体系

2.1 PKI理论基础

2.1.1传统密码技术

2.1.2公钥密码技术

2.1.3单向散列函数

2.1.4数字信封

2.1.5数字签名

2.2公钥基础设施PKI

2.2.1 PKI的基本组成

2.2.2 PKI提供的服务

2.2.3 PKI系列标准

2.3基于PKI的CA认证系统

2.3.1 CA系统目标

2.3.2 CA系统功能

2.3.3 X.509数字证书

2.3.4 CA系统特点

2.4本章小结

第三章基于PKI的CA系统的研究与设计

3.1系统安全策略

3.1.1根密钥策略

3.1.2 SSL安全机制

3.1.3访问控制

3.1.4系统日志

3.2 CA信任模型

3.2.1常见信任模型

3.2.2环形CA信任模型

3.2.3环形信任模型的应用

3.3需求分析

3.3.1 UML需求建模

3.3.2系统工作流程

3.4总体设计

3.4.1系统模型

3.4.2系统功能模块

3.4.3系统实现方案

3.5详细设计

3.5.1软件体系结构

3.5.2证书申请模块设计

3.5.3资料库设计

3.5.4证书颁发模块

3.5.5证书撤销模块

3.6本章小结

第四章基于PKI的CA系统的实现

4.1系统实现环境

4.2实现技术

4.2.1.NET Framework加密库

4.2.2 OpenSSL软件包

4.3各模块的实现

4.3.1系统初始化

4.3.2根证书下载安装

4.3.3证书申请

4.3.4证书颁发

4.3.5证书撤销

4.4本章小结

第五章总结与展望

5.1总结

5.2展望

参考文献

致谢

攻读学位期间的主要研究成果