| 【中文题名】 | 入侵容忍技术在CA中的应用研究 |
| 【英文题名】 | |
| 【学科专业】 | 计算机软件与理论 |
| 【论文级别】 | 硕士论文 |
| 【投稿时间】 | 2007-9-27 |
| 【中关键词】 | 入侵容忍,CA,信息安全,PKI,数字证书,门限密码 |
| 【英关键词】 | intrusion tolerance,CA,information security,PKI,digital certificate,threshold cryptography,RSA, |
| 【分类导航】 | 工业技术>自动化技术、计算机技术>计算技术、计算机技术>计算机的应用>计算机网络>一般性问题 |
| 【论文摘要】 |
PKI(Public Key Infrastructure公钥基础设施)是目前解决信息安全问题最有效的技术。PKI基于公开密钥密码算法。在PKI系统中,CA(certificate Authority)是其信任中心。其它设备或人之间的通信和验证都依赖于CA所颁发的数字证书。数字证书也就是将一个公开密钥和身份信息绑在一起,用CA的私钥签名后得到的数据。保护私钥不泄露是整个CA安全的基础。一般来说,CA必须是一个在线的网络设备,特别是直接面向用户的CA,以便自动地提供相应的证书服务。现在,很多方案中已将上级CA(给CA发证书的CA)和根CA设计为离线方式,以保证PKI结构的安全。但用户CA基本上无法离线工作。联网设备遭遇网络攻击也是不可避免的。当一个黑客攻击一台CA成功时,攻击者就有可能获得机器内的资源,从而找到CA的私钥。这对于PKI系统来说是非常致命的。一个内部的雇员对系统的攻击也是应该预防的。当一个雇员完全控制其中一台设备时,也应该保证他没有获得CA的私钥。由于硬件错误或其他原因,包括恶意攻击,使一台或多台(<t台)设备瘫痪时,应该保证整体PKI的基本运作的正常。因此,如何保障CA系统的安全性已经... |
| 【论文题纲】 |
|
摘要 |
3-4 |
|
Abstract |
4-7 |
|
第一章 引言 |
7-11 |
|
1.1 课题背景 |
7-8 |
|
1.2 入侵容忍技术的提出 |
8-9 |
|
1.2.1 信息保护技术 |
8 |
|
1.2.2 信息保障技术 |
8-9 |
|
1.2.3 信息可生存性技术 |
9 |
|
1.3 入侵容忍技术的研究现状 |
9-10 |
|
1.4 本文主要工作 |
10-11 |
|
第二章 PKI体系结构 |
11-25 |
|
2.1 信息安全的解决方法 |
11-14 |
|
2.1.1 信息的安全属性 |
11 |
|
2.1.2 信息安全解决方法 |
11-14 |
|
2.2 PKI技术 |
14-25 |
|
2.2.1 PKI的提出 |
14-15 |
|
2.2.2 PKI的优势 |
15-16 |
|
2.2.3 数字证书 |
16-20 |
|
2.2.4 PKI的主要组成 |
20-22 |
|
2.2.5 PKI的密钥和证书管理 |
22-23 |
|
2.2.6 PKI中CA的信任模型 |
23-24 |
|
2.2.7 PKI标准的发展前景 |
24-25 |
|
第三章 基于入侵容忍技术的CA模型 |
25-31 |
|
3.1 入侵容忍的技术手段 |
25-26 |
|
3.2 AVI模型介绍 |
26-27 |
|
3.3 CA的安全性问题 |
27-28 |
|
3.4 入侵容忍的CA服务器模型 |
28-29 |
|
3.5 入侵容忍系统的安全状态分析 |
29-31 |
|
第四章 CA私钥的共享方法和基于RSA的签名方案 |
31-39 |
|
4.1 秘密共享方法 |
31-33 |
|
4.1.1 SHAMIR门限密码算法 |
31 |
|
4.1.2 秘密的重构算法 |
31-32 |
|
4.1.3 SHAMIR算法存在的问题 |
32-33 |
|
4.2 主动秘密共享算法 |
33-35 |
|
4.2.1 主动秘密共享算法的优势 |
33-34 |
|
4.2.2 主动秘密共享算法的安全模型 |
34-35 |
|
4.2.3 主动秘密共享算法总结 |
35 |
|
4.3 基于RSA算法的签名方案 |
35-39 |
|
4.3.1 RSA算法 |
35-36 |
|
4.3.2 基于RSA算法的分步签名方案 |
36-37 |
|
4.3.3 RSA分步签名算法的实现步骤 |
37-39 |
|
第五章 基于OPENSSL和VC的系统实现过程 |
39-49 |
|
5.1 开发工具的选取 |
39-40 |
|
5.2 安装配置OPENSSL |
40 |
|
5.3 利用Openssl建立CA环境 |
40-42 |
|
5.4 分步签名方案的实现 |
42-46 |
|
5.4.1 私钥的格式转换问题 |
42-43 |
|
5.4.2 私钥的分解 |
43-44 |
|
5.4.3 格式封装问题 |
44-45 |
|
5.4.4 分步签名算法的实现 |
45-46 |
|
5.5 IPSEC的配置 |
46-49 |
|
5.5.1 Win2003的IPSEC实现框架 |
46 |
|
5.5.2 Win2003的IPSEC策略配置 |
46-49 |
|
结束语 |
49-51 |
|
致谢 |
51-52 |
|
参考文献 |
52-55 |
|
攻读硕士学位期间与项目相关的研究成果 |
55 |
|
| 【DOI】 | LunWen.ID:2.2008.376117 |
