PKI的研究及其在AM在的应用.pdfVIP

南京大学2001届硕士论文 摘要 . 摘要 (TCP/IP协议簇最初只是为通过网络可靠传送数据、实现网络互连而设 计开发的。鉴于当时对网络发展及网络安全认识的局限，安全性并没被放 到很重要位置，这使得协议中存在着不少安全缺陷和安全漏洞。随着互联 网业务范围的不断扩大和应用的爆炸性增长，网络中的安全问题越来越成 为制约网络应用发展的严重威胁，并引起全社会的关注。针对这种情况， O IETF组织对原来的TCP/IP协议簇进行了安全性上的扩充和修改，旨在定义 一个安全的Internet体系结构。这个安全的Internet体系结构不仅包括了网 络层和传输层的安全协议，也包括了一些重要的网络管理和控制协议 (如 DNS,路由协议等)及密钥管理协议，从而提供一个能保证数据机密性和 完整性的数据传输环境。但是，由于相关协议的制订尚未全部完成，而且 实施的代价也比较高，所以目前解决网络安全问题的主要手段还是利用密 码技术、防火墙技术、认证中心 (CA)和公钥基础结构 (PKI)等网络安 全技术来保证现有Internet环境的安全性。 PKI系统主要利用其内部的各CA间的协同工作，为实体提供并管理数 字化的个人证书。实体借助这些数字证书和PKI系统提供的相应服务，并 和现有的密码术相结合，就能实现网络传输中数据的机密性、完整性、防 抵赖性。利用属性证书 或〔简单PKI,SPKI证书)和相应系统的配合，还能 实现基于角色的访问控制 (RBAC) 2，灯了) 本文根据对网络安全技术和公钥基础结 研究与分析，讨论PKI的 理论原理和相关技术，并提出在一个模拟环 中的一种可行实施方案，将 提供 PKI中的身鱼延书和属性证书相结合以实现用户皇业识别和梦旦控韦些， 网络信息的机密性、完整性和防抵赖性。 本文的主要成果可以归纳为如下三点: 巍赫八 南京大学2001届硕士论文 摘要 /.}系统地介绍了PKI系统结构和各组成模块功能，重点介绍密钥管 理、证书管理、证书验证三部分，并提出它们在模拟环境中的实现 方案; 工 . 提出结合己有PKI系统实现特权管理基础结构((PMI)，把它们管理 的属性和身份证书绑定用于基于角色的访问控制的框架结构，阵细 介绍在这样的系统中各部分如何协同工作，并例举在模拟环境中的 一次访问验证的操作流程;卜- l.} 鉴于PMI.PKI结合系统的验证操作步骤繁多，考虑用SPKI证书 代替属性证书用于RBAC的一种SPKI简单实现。随也是基于上述 PKI.PMI组合系统之上的。文中同样给出在模拟环境中的一次访 问操作的验证流程。 Q 鉴于篇幅所限，本文仅能给出全局的系统框架和基本实现思想。具体 实现则可以利用许多已有的成果，如LDAP.SSL等共享软件。并且，PKI