基于PKI的数字证书统一管理平台

摘要

随着信息时代的不断发展，人们在生活、工作及学习中都离不开网络，然而网络虽然给人们带来很大的方便，但网上活动也伴随着用户信息窃取及财产信息泄露等事件的发生，因此信息时代的主题即是安全性。当今时代网上交易等私密操作已广泛应用PKI(Public Key Infrastructure公钥基础设施)体系中的数字证书来进行加密及身份认证，进而确保其安全性。
　　 在网上进行的资金等交易中数字证书决定了用户信息及财产的安全，所以对数字证书的管理至关重要。
　　 传统PKI体系中，对于用户在网上交易中使用的数字证书，证书应用平台只会向第三方权威认证机构验证是否在CRL(Certificate RevocationList证书吊销列表)中，或验证证书最新状态是否为冻结或吊销。而当一个用户的数字证书被吊销或冻结时，证书应用平台向RA(RegisterAuthority证书注册审批中心)发出了吊销或冻结请求，而此时因为网络丢包原因以及发布吊销列表的时效性的问题，实际此证书无效，但仍可使用，所以会对用户的个人财产产生威胁。
　　 同时，现在各证书应用平台上线的系统中使用的基本都是RSA1024位的数字证书。而根据国密局最新要求，RSA1024位数字证书已存在潜在危险。
　　 另一方面，《电子签名法》规定，用户及银行的数字证书应由第三方权威认证机构签发认证。但仍有像中国四大国有银行中的中国工商银行、中国建设银行及中国农业银行未采用第三方认证机构签发数字证书，而是通过自建CA(Certificate Authority证书授权中心)和RA来签发。
　　 基于以上各原因，为了达到数字证书管理的安全性、准确性、统一性、广泛适用性，本文提出了数字证书统一管理平台（文中简称UDCMP）。此平台采用SSL（Secure Sockets Layer安全套接层）双向通道认证加密，并对证书操作进行了数字签名，且可对其验签验证何用户进行的操作，同时支持2048位RSA算法，从而保证了安全性;此系统可以部署于证书应用平台本地局域网，通过查询本地数据库状态来获知证书的最新状态，一般不会存在丢包等现象，从而保证了系统数据的准备性;此平台可以统一管理RSA1024及2048位数字证书，可以统一管理软证书及USBKEY证书，可以管理个人普通证书、企业普通证书及web服务器证书，从而保证了系统的统一性;此平台可以充当RA系统连接第三方权威机构CA，也可以充当CA自签发证书，此系统可以部署于不同的应用服务器及数据库，以满足不同的用户群体，以确保系统的广泛适用性。
　　 本文首先根据数字证书管理的现状，进行了UDCMP的需求分析，接着根据系统需求深入研究了UDCMP的设计与实现，最后进行了系统测试，确认了UDCMP达到了安全性、准确性、统一性及广泛适用性。

目录

声明

摘要

符号说明

第一章 绪论

1．1 课题的研究背景和意义

1．2 本文的主要工作及论文结构

1．2．1 本文的主要工作

1．2．2 本文章节安排

第二章 研究基础

2．1 PKI基础

2．1．1 公钥基础设施PKI

2．1．2 数字证书

2．1．3 数字证书认证中心CA

2．1．4 证书审核注册中心RA

2．1．5 证书吊销列表CRL

2．1．6 加密算法

2．1．7 RSA

2．1．8 SSL

2．1．9 HTTPS

2．1．10 数字签名验签

2．2 本章小结

第三章 UDCMP的需求分析

3．1 系统需求的总体指导思想

3．1．1 对身份认证和访问控制的需求

3．1．2 对数据传输安全性的需求

3．1．3 对数据完整性的需求

3．1．4 对交易抗抵赖性的需求

3．1．5 对数据准确性的需求

3．1．6 对统一性的需求

3．1．7 对广泛适用性的需求

3．2 UDCMP角色及权限

3．2．1 用户分类

3．2．2 证书状态

3．2．3 权限说明

3．2．4 操作审核分类

3．3 业务需求说明

3．4 本章小结

第四章 UDCMP的系统设计

4．1 设计的总体指导思想

4．2 总体设计

4．2．1 系统组成机构

4．2．2 系统有穷状态自动机

4．2．3 系统功能设计

4．3 模块设计

4．3．1 系统包图

4．3．2 业务逻辑包图

4．3．3 数据存取对象包图

4．4 数据库设计

4．4．1 数据库表结构设计

4．5 数据结构

4．5．1 错误码定义

4．6 本章小结

第五章 UDCMP的系统实现

5．1 系统实现环境

5．1．1 硬件环境

5．1．2 软件环境

5．2 框架搭建实现

5．3 自签根证书的实现

5．3 系统功能的实现

5．3．1 系统数据标识说明

5．3．2 双向SSL登录的实现

5．3．3 自签CA及第三方CA连接的实现

5．3．4 证书管理功能的实现

5．3．5 证书查询统计的实现

5．3．6 机构管理的实现

5．3．7 日志查询统计(含验证签名)的实现

5．3．8 权限管理的实现

5．3．9 C／S模式的实现

5．4 本章小结

第六章 UDCMP的系统测试

6．1 系统测试的目的

6．2 系统测试的方法

6．3 系统测试的结果

6．3．1 证书功能的测试

6．3．2 权限功能的测试

6．3．3 数据传输安全性及身份认证测试

6．3．4 数据完整性及交易抗抵赖性测试

6．3．5 数据准确性的测试

6．3．6 系统统一性的测试

6．3．7 系统广泛适用性的测试

6．4 本章小结

第七章 总结与展望

参考文献

致谢

攻读硕士期间完成的论文