在線公鑰系統(tǒng)及相關安全技術研究.pdf

1、隨著計算機和網絡技術的迅速發(fā)展，網絡安全變得越來越重要。網絡實體間的通信安全以正確的身份識別作為基礎，目前僅以對稱密碼技術作為實體身份鑒別的方式已經不能滿足網絡規(guī)模日益擴大的要求，各種分布式計算、網格應用技術、電子商務、電子政務的發(fā)展都要求研究和發(fā)展以公鑰密碼技術作為基礎的公鑰基礎設施(PKI)，解決目前PKI存在的各種管理和安全問題。 本文針對目前PKI存在的用戶私鑰的安全保存問題，私鑰的可便攜性問題，以及及時有效的證書撤銷狀

2、態(tài)更新問題，提出一系列具體的在線公鑰系統(tǒng)方案，以期改善PKI的設計使之更好地推進網絡安全技術的發(fā)展，同時，本文圍繞著上述主題研究相關的服務器代理簽名、解密方案，以及安全的認證協(xié)議的研究與設計。本文主要貢獻和創(chuàng)新點如下： (1)提出了一種利用憑證服務器來安全保存和使用用戶私鑰的方法，該方法要 求服務器存儲用戶的私鑰信息，當用戶需要使用其私鑰時，以在線方式通過口令認證后下載或直接在線使用其私鑰，即使服務器被攻擊，也不會威脅到用戶私鑰的安全

3、性。本方案由于采用了用戶存儲設備來存儲信息熵大的其它認證時所需的秘密信息，它能夠支持用戶弱口令的選擇。根據(jù)私鑰的使用方式的不同提出了三個具體協(xié)議：在線安全認證并下載用戶私鑰的協(xié)議OCMA_Gen，在線服務器代理簽名的協(xié)議OCMA_Sig，在線服務器代理解密的協(xié)議OCMA_Dec，在隨機預言模型(Random Oracle Model)下證 明了將私鑰分解為兩部分進行簽名的安全性，并在此基礎上分析了OCMA_Sig和OCMA-Dec的安全

4、性，另外，在隨機預言模型和理想密碼模型下對所提出的方案OCMA_Gen進行了安全性證明，并實現(xiàn)了這三個方案的實驗原型，進一步驗證了方案的可行性； (2)提出了一種利用在線雙服務器聯(lián)合認證用戶的方法，該方法能夠支持用戶端弱口令的選擇，其優(yōu)點是雖然服務器端能驗證用戶輸入口令的正確性，但即使是合法服務器也無法獲取用戶的登錄口令，在一臺服務器被攻擊的情況下還能夠保證系統(tǒng)的安全性，這個方案可以克服傳統(tǒng)單服務器認證系統(tǒng)中服務器被攻擊后帶來的

5、安全威脅問題。在這種方法的基礎上提出了兩個通用協(xié)議----基于口令的雙服務器聯(lián)合認證協(xié)議TSAP以及認證及密鑰交換協(xié)議TAKE，以及一種基于TSAP認證協(xié)議的在線雙服務器代理簽名和代理解密的方案，該方案的優(yōu)勢是用戶只需具備正確的用戶名和口令，就可以讓兩臺服務器代理使用其私鑰進行簽名或解密，而任意單臺服務器無法獨立使用其私鑰或者得到用戶的登錄口令； (3)基于動態(tài)口令驗證技術提出了一種基于散列函數(shù)的強口令認證協(xié)議SPAS,該協(xié)議以