在線公鑰系統(tǒng)及相關(guān)安全技術(shù)研究.pdf

1、隨著計算機和網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，網(wǎng)絡(luò)安全變得越來越重要。網(wǎng)絡(luò)實體間的通信安全以正確的身份識別作為基礎(chǔ)，目前僅以對稱密碼技術(shù)作為實體身份鑒別的方式已經(jīng)不能滿足網(wǎng)絡(luò)規(guī)模日益擴大的要求，各種分布式計算、網(wǎng)格應(yīng)用技術(shù)、電子商務(wù)、電子政務(wù)的發(fā)展都要求研究和發(fā)展以公鑰密碼技術(shù)作為基礎(chǔ)的公鑰基礎(chǔ)設(shè)施(PKI)，解決目前PKI存在的各種管理和安全問題。 本文針對目前PKI存在的用戶私鑰的安全保存問題，私鑰的可便攜性問題，以及及時有效的證書撤銷狀

2、態(tài)更新問題，提出一系列具體的在線公鑰系統(tǒng)方案，以期改善PKI的設(shè)計使之更好地推進網(wǎng)絡(luò)安全技術(shù)的發(fā)展，同時，本文圍繞著上述主題研究相關(guān)的服務(wù)器代理簽名、解密方案，以及安全的認證協(xié)議的研究與設(shè)計。本文主要貢獻和創(chuàng)新點如下： (1)提出了一種利用憑證服務(wù)器來安全保存和使用用戶私鑰的方法，該方法要 求服務(wù)器存儲用戶的私鑰信息，當(dāng)用戶需要使用其私鑰時，以在線方式通過口令認證后下載或直接在線使用其私鑰，即使服務(wù)器被攻擊，也不會威脅到用戶私鑰的安全

3、性。本方案由于采用了用戶存儲設(shè)備來存儲信息熵大的其它認證時所需的秘密信息，它能夠支持用戶弱口令的選擇。根據(jù)私鑰的使用方式的不同提出了三個具體協(xié)議：在線安全認證并下載用戶私鑰的協(xié)議OCMA_Gen，在線服務(wù)器代理簽名的協(xié)議OCMA_Sig，在線服務(wù)器代理解密的協(xié)議OCMA_Dec，在隨機預(yù)言模型(Random Oracle Model)下證 明了將私鑰分解為兩部分進行簽名的安全性，并在此基礎(chǔ)上分析了OCMA_Sig和OCMA-Dec的安全

4、性，另外，在隨機預(yù)言模型和理想密碼模型下對所提出的方案OCMA_Gen進行了安全性證明，并實現(xiàn)了這三個方案的實驗原型，進一步驗證了方案的可行性； (2)提出了一種利用在線雙服務(wù)器聯(lián)合認證用戶的方法，該方法能夠支持用戶端弱口令的選擇，其優(yōu)點是雖然服務(wù)器端能驗證用戶輸入口令的正確性，但即使是合法服務(wù)器也無法獲取用戶的登錄口令，在一臺服務(wù)器被攻擊的情況下還能夠保證系統(tǒng)的安全性，這個方案可以克服傳統(tǒng)單服務(wù)器認證系統(tǒng)中服務(wù)器被攻擊后帶來的

5、安全威脅問題。在這種方法的基礎(chǔ)上提出了兩個通用協(xié)議----基于口令的雙服務(wù)器聯(lián)合認證協(xié)議TSAP以及認證及密鑰交換協(xié)議TAKE，以及一種基于TSAP認證協(xié)議的在線雙服務(wù)器代理簽名和代理解密的方案，該方案的優(yōu)勢是用戶只需具備正確的用戶名和口令，就可以讓兩臺服務(wù)器代理使用其私鑰進行簽名或解密，而任意單臺服務(wù)器無法獨立使用其私鑰或者得到用戶的登錄口令； (3)基于動態(tài)口令驗證技術(shù)提出了一種基于散列函數(shù)的強口令認證協(xié)議SPAS,該協(xié)議以