PKI端系統(tǒng)AccessPKI的研究與實現(xiàn).pdf

1、網(wǎng)絡(luò)的飛速發(fā)展也帶來了網(wǎng)絡(luò)安全問題的日趨嚴重。使用應(yīng)用密碼學(xué)解決現(xiàn)今網(wǎng)絡(luò)安全問題，特別是一些涉及認證、保密、完整性和無否認服務(wù)方面的問題，是一個普遍的解決思路。而基于非對稱加密體制的公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure：PKI)為這種思路提供了最底層、最基本的支撐技術(shù)和手段。但是，PKI的應(yīng)用并不順利。這其中的技術(shù)原因主要是對PKI的研究嚴重偏向于CA這類的管理實體，而忽略了應(yīng)用接口的重要性，致使PKI的應(yīng)用

2、過于復(fù)雜化，從而導(dǎo)致應(yīng)用部署的困難。由于PKI與用戶的接口是PKI端系統(tǒng)，對此，本論文提出了通過提高PKI端系統(tǒng)的易用性來解決。PKI應(yīng)用復(fù)雜性問題的思路。 經(jīng)過對現(xiàn)有的3個PKI端系統(tǒng)進行研究表明，易用性低是它們的共同缺陷。而造成PKI端系統(tǒng)易用性低的原因主要有兩個方面：證書申請流程的異步性和端系統(tǒng)提供的應(yīng)用編程接口易用性不高。針對以上原因，本文以易用性為首要目標，設(shè)計實現(xiàn)了一個新的PKI端系統(tǒng)--AecessPKI。

3、 AccessPKI在提高PKI端系統(tǒng)易用性方面主要采取了兩項措施。其一，優(yōu)化證書請求流程，引入證書自動下載機制，簡化用戶與系統(tǒng)的交互過程。其二，對端系統(tǒng)提供的應(yīng)用編程接口(API)進行層次劃分，不同層次的接口將提供不同層次的功能抽象，從而提高應(yīng)用編程接口的易用性。為提高端系統(tǒng)的靈活性，AceessPKI的加密機模塊引入了密碼學(xué)算法替換機制，為應(yīng)用程序在不改變原有接口的前提下使用更強大的加密算法提供了支撐手段。針對證書管理的冗余性問題和

4、性能瓶頸，新的端系統(tǒng)采用了“全終端一個物理證書庫，不同用戶不同邏輯證書庫”的管理策略。在物理證書庫的設(shè)計中，參考了嵌入式數(shù)據(jù)庫的模型，使用基于文件鎖的分布式同步模型來保證數(shù)據(jù)的一致性。 論文最后對AccessPKI的正確性和易用性進行了驗證，并與傳統(tǒng)WindowsPKl和Open SSL進行比較。測試結(jié)果表明，AccessPKI在使用上相比WindowsPKI和Open SSL更加方便。論文結(jié)尾總結(jié)了所有的研究工作，并對PKI端