| 【中文题名】 | 数字证书状态验证系统研究 |
| 【英文题名】 | Research on Digital Certificate Status Validation System |
| 【学科专业】 | 计算机应用技术 |
| 【论文级别】 | 硕士论文 |
| 【投稿时间】 | 2005-7-8 |
| 【中关键词】 | 公钥基础设施,数字证书,证书状态验证,在线证书状态协议,, |
| 【英关键词】 | Public Key Infrastructure (PKI),Online Certificate Status Protocol (OCSP),Digital Certificate,Certificate Status Validation, |
| 【分类导航】 | 工业技术>自动化技术、计算机技术>计算技术、计算机技术>计算机的应用>计算机网络>一般性问题 |
| 【论文摘要】 | PKI是目前公认的在大规模、开放网络环境下解决信息安全问题最可行、最有效的一种办法。PKI作为一种基础设施,它提供了一个通用的信息安全基础平台,能够有效地解决各种网络应用中的真实性、机密性、完整性、不可否认性和访问控制等安全问题。数字证书状态验证系统是PKI的一个不可或缺的组成部分,用于在PKI应用中为数字证书依赖者提供相关证书的撤销信息。本文将基于ErcistPKI项目背景,从理论和实践两方面来探讨PKI的这个核心组件:数字证书状态验证系统。
OCSP是一种比较常见的数字证书状态验证机制,它克服了CRL的及时性有限、可扩展性差和难于管理等缺点,能够通过简单的查询向用户提供实时的数字证书状态信息。这在诸如涉及到大量资金的交易或股票买卖等实时性要求较强的安全应用非常有用。本文基于OCSP机制设计了一种高度模块化的、安全高效的、可扩展的在线证书状态验证系统,并讨论系统实现中的若干问题及其解决方法,最后分析影响系统性能、可扩展性和安全性等的相关因素。 |
| 【论文题纲】 |
|
摘要 |
3-4 |
|
ABSTRACT |
4-7 |
|
第一章 绪言 |
7-17 |
|
1.1 研究背景 |
7-8 |
|
1.2 数字证书状态验证机制发展现状 |
8-15 |
|
1.3 研究内容和组织结构 |
15-17 |
|
第二章 密码学基础和PKI系统概述 |
17-33 |
|
2.1 密码学基础 |
17-23 |
|
2.1.1 加密/解密 |
17 |
|
2.1.2 对称密码体制 |
17-18 |
|
2.1.3 非对称密码体制 |
18-20 |
|
2.1.4 杂凑函数 |
20-21 |
|
2.1.5 数字签名技术 |
21-22 |
|
2.1.6 数字信封技术 |
22-23 |
|
2.2 PKI系统概述 |
23-32 |
|
2.2.1 公钥证书PKC |
23-25 |
|
2.2.2 PKI的构成 |
25-27 |
|
2.2.3 PKI的主要功能 |
27-29 |
|
2.2.4 PKI的相关标准和协议 |
29-32 |
|
2.3 本章小节 |
32-33 |
|
第三章 系统设计中使用的若干关键技术 |
33-55 |
|
3.1 OCSP协议分析 |
33-46 |
|
3.1.1 OCSP工作原理 |
33-35 |
|
3.1.2 OCSP协议消息语法 |
35-39 |
|
3.1.3 OCSP扩展 |
39-42 |
|
3.1.4 OCSP的传输机制 |
42-43 |
|
3.1.5 委托服务 |
43-46 |
|
3.2 线程池设计 |
46-53 |
|
3.2.1 线程池的技术背景 |
46 |
|
3.2.2 线程池技术提高服务器性能的原理 |
46-47 |
|
3.2.3 线程池的组成部分 |
47-51 |
|
3.2.4 优化线程池尺寸 |
51-52 |
|
3.2.5 线程池的风险及应注意的问题 |
52-53 |
|
3.3 数据库同步 |
53-54 |
|
3.3.1 数据同步模式 |
53 |
|
3.3.2 数据库复制 |
53-54 |
|
3.4 本章小结 |
54-55 |
|
第四章 基于OCSP的在线证书状态验证系统设计 |
55-63 |
|
4.1 响应器的一般模式 |
55-56 |
|
4.2 OCSP系统结构设计 |
56-58 |
|
4.3 OCSP系统实现的若干问题及其解决办法 |
58-60 |
|
4.3.1 OCSP数据库的数据新鲜性和可靠性问题 |
58-59 |
|
4.3.2 证书路径问题 |
59 |
|
4.3.3 OCSP响应的签发 |
59-60 |
|
4.4 影响系统性能和可扩展性的因素分析 |
60-61 |
|
4.4.1 多线程技术 |
60 |
|
4.4.2 响应预计算 |
60 |
|
4.4.3 缓存 |
60-61 |
|
4.4.4 使用LDAP目录作为OCSP数据库 |
61 |
|
4.5 OCSP系统的安全性分析 |
61-62 |
|
4.5.1 OCSP数据库与CA数据库的安全同步 |
61 |
|
4.5.2 OCSP系统内部网络与外部网络的隔离 |
61-62 |
|
4.5.3 拒绝服务攻击 |
62 |
|
4.5.4 重发攻击 |
62 |
|
4.6 本章小结 |
62-63 |
|
第五章 总结 |
63-65 |
|
5.1 本文的主要成果 |
63 |
|
5.2 进一步的工作 |
63-65 |
|
参考文献 |
65-68 |
|
发表文章目录 |
68-69 |
|
感谢 |
69 |
|
| 【DOI】 | LunWen.ID:2.2008.370653 |
