【摘要】：隨著互聯(lián)網(wǎng)的普及,安全套接層協(xié)議(Secure Sockets Layer,SSL)和傳輸層安全協(xié)議(Transport Layer Security,TLS)被越來(lái)越廣泛應(yīng)用于各種互聯(lián)網(wǎng)的安全場(chǎng)景中。對(duì)于SSL/TLS服務(wù),一個(gè)重大的安全隱患是證書認(rèn)證機(jī)構(gòu)(Certification Authority,CA)可能被攻擊或者進(jìn)行惡意的操作。如果依賴證書的客戶端所信任的CA簽發(fā)了含虛假信息、并可被成功驗(yàn)證的數(shù)字證書,那么攻擊者很容易進(jìn)行一次中間人攻擊,目前也發(fā)生了一些由于CA被攻擊所造成的安全事件,所以對(duì)CA的數(shù)字證書操作行為進(jìn)行審計(jì)是非常必要的。現(xiàn)有的方案如Certificate Transparency(CT)使用中心化的服務(wù)器完成審計(jì),依然存在某單點(diǎn)服務(wù)器被攻擊或者作惡的風(fēng)險(xiǎn)。一些去中心化的解決方案仍然未能較好地解決惡意節(jié)點(diǎn)造成的拜占庭錯(cuò)誤而導(dǎo)致審計(jì)過(guò)程被攻擊的問(wèn)題。區(qū)塊鏈?zhǔn)且环N可以在去中心化網(wǎng)絡(luò)環(huán)境中構(gòu)建一條永遠(yuǎn)增加的記錄的分布式數(shù)據(jù)庫(kù),具有去中心化、公開透明、不可篡改等特點(diǎn)。本文基于區(qū)塊鏈技術(shù)構(gòu)建了一種去中心化安全認(rèn)證的解決方案,解決中心化服務(wù)的數(shù)字證書分發(fā)方案存在的安全隱患。開展的工作主要有:1.為解決數(shù)字證書分發(fā)過(guò)程中由于過(guò)度依賴中心化服務(wù)器而帶來(lái)的安全風(fēng)險(xiǎn),本文設(shè)計(jì)了一種基于區(qū)塊鏈的數(shù)字證書審計(jì)系統(tǒng)架構(gòu)。架構(gòu)中區(qū)塊鏈用于存儲(chǔ)CA操作數(shù)字證書的記錄,并由CA通過(guò)共識(shí)機(jī)制進(jìn)行維護(hù),PKI體系中各個(gè)節(jié)點(diǎn)均可對(duì)記錄進(jìn)行安全審計(jì),可解決CA證書分發(fā)過(guò)于中心化的問(wèn)題,有效防御惡意攻擊。2.為了保證數(shù)字證書審計(jì)數(shù)據(jù)的不可篡改性、可追溯性和查詢效率,本文提出了基于默克爾樹的雙鏈存儲(chǔ)結(jié)構(gòu)。CA操作數(shù)字證書的記錄通過(guò)默克爾樹進(jìn)行驗(yàn)證,通過(guò)區(qū)塊鏈的鏈?zhǔn)浇Y(jié)構(gòu)保證其可追溯性;采用了證書分發(fā)鏈和證書撤銷鏈雙鏈分離的結(jié)構(gòu)設(shè)計(jì),并基于壓縮前綴樹對(duì)默克爾樹結(jié)構(gòu)進(jìn)行了優(yōu)化,提高了數(shù)字證書審計(jì)數(shù)據(jù)的查詢效率。3.為了保證CA網(wǎng)絡(luò)中存在一定惡意節(jié)點(diǎn)的情況下數(shù)字證書審計(jì)的安全性,本文提出了基于節(jié)點(diǎn)貢獻(xiàn)度的拜占庭容錯(cuò)共識(shí)機(jī)制。針對(duì)比特幣等數(shù)字貨幣采用的共識(shí)機(jī)制消耗能源且時(shí)間效率較低并不適合數(shù)字證書審計(jì)場(chǎng)景的問(wèn)題,本文采用了基于實(shí)用拜占庭容錯(cuò)算法(PBFT)的共識(shí)機(jī)制,并對(duì)其一致性算法和視圖切換協(xié)議進(jìn)行優(yōu)化,降低了通信時(shí)間復(fù)雜度。同時(shí)提出基于節(jié)點(diǎn)貢獻(xiàn)度的PBFT主節(jié)點(diǎn)選舉機(jī)制和消息認(rèn)證機(jī)制優(yōu)化算法,提高對(duì)拜占庭錯(cuò)誤節(jié)點(diǎn)的容忍度。4.基于設(shè)計(jì)方案實(shí)現(xiàn)了一個(gè)原型系統(tǒng)。實(shí)驗(yàn)結(jié)果表明系統(tǒng)耗時(shí)可以達(dá)到現(xiàn)實(shí)場(chǎng)景中可用的標(biāo)準(zhǔn);存儲(chǔ)空間的增加在可接受的范圍內(nèi),同時(shí)相比已有方案,區(qū)塊鏈查詢效率有一定的提升;共識(shí)機(jī)制相比PBFT算法,可以支持更多非正常節(jié)點(diǎn)的拜占庭容錯(cuò),并在相同非正常節(jié)點(diǎn)時(shí)有更高的系統(tǒng)吞吐量。
【圖文】：

邐焌正方Ｂ逡逑圖２．１數(shù)字證書的工作原理逡逑如圖２．１所示，數(shù)字證書的工作原理如下：逡逑１．示證方Ａ首先提交自己的認(rèn)證資料，，向ＣＡ申請(qǐng)數(shù)字證書。逡逑９逡逑

玩正方Ａ邐焌正方Ｂ逡逑圖２．１數(shù)字證書的工作原理逡逑如圖２．１所示，數(shù)字證書的工作原理如下：逡逑１．示證方Ａ首先提交自己的認(rèn)證資料，向ＣＡ申請(qǐng)數(shù)字證書。逡逑９逡逑
【學(xué)位授予單位】：中國(guó)科學(xué)技術(shù)大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2019
【分類號(hào)】：TP393.08;TP311.13

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 馬圣東;;基于數(shù)字證書的網(wǎng)絡(luò)可信身份服務(wù)體系研究[J];網(wǎng)絡(luò)空間安全;2018年07期

2 ;關(guān)于進(jìn)一步提高商標(biāo)數(shù)字證書申請(qǐng)便利化的公告[J];中華商標(biāo);2018年02期

3 李新征;趙長(zhǎng)林;;當(dāng)心黑客利用數(shù)字證書的漏洞[J];網(wǎng)絡(luò)安全和信息化;2016年04期

4 孟薇薇;;北京市順義區(qū)強(qiáng)化數(shù)字證書管理[J];中國(guó)社會(huì)保障;2017年07期

5 陳廣濤;;網(wǎng)上交易平臺(tái)實(shí)現(xiàn)多CA的互聯(lián)互通的嘗試[J];建筑市場(chǎng)與招標(biāo)投標(biāo);2017年05期

6 馮旗;;數(shù)字證書在網(wǎng)絡(luò)安全中的應(yīng)用[J];科技尚品;2015年07期

7 周琳;;網(wǎng)絡(luò)安全控制中數(shù)字證書技術(shù)的作用分析[J];電子世界;2016年21期

8 教父;;管理好系統(tǒng)中的數(shù)字證書[J];電腦迷;2015年07期

9 樊婭奇;;探索基層央行數(shù)字證書管理新模式[J];金融科技時(shí)代;2015年11期

10 王兵;;使用匿名數(shù)字證書提高網(wǎng)絡(luò)傳輸中文件的安全性[J];計(jì)算機(jī)光盤軟件與應(yīng)用;2014年02期

相關(guān)會(huì)議論文 前10條

1 寧紅宙;;數(shù)字證書應(yīng)用安全風(fēng)險(xiǎn)與等級(jí)問(wèn)題研究[A];2018第七屆全國(guó)安全等級(jí)保護(hù)技術(shù)大會(huì)論文集[C];2018年

2 李琳;;電子招投標(biāo)系統(tǒng)數(shù)字證書兼容互認(rèn)的探索與研究[A];創(chuàng)新之路——全國(guó)建筑市場(chǎng)與招標(biāo)投標(biāo)“筑龍杯”創(chuàng)新之路征文大賽優(yōu)秀論文集[C];2017年

3 劉順利;洪曉光;安定;;數(shù)字證書在網(wǎng)上申報(bào)中的應(yīng)用[A];第二十屆全國(guó)數(shù)據(jù)庫(kù)學(xué)術(shù)會(huì)議論文集（技術(shù)報(bào)告篇）[C];2003年

4 何俠;;淺談銷售企業(yè)電子商務(wù)平臺(tái)的建立[A];海南省通信學(xué)會(huì)論文集（二○○二年）[C];2002年

5 吳海明;;“一證通”技術(shù)解決方案[A];2005中國(guó)電子政務(wù)與信息安全論壇會(huì)議資料[C];2005年

6 梁宵;耿方;杜悅琨;張駿溫;;基于實(shí)名數(shù)字證書的視頻證據(jù)采集方案[A];中國(guó)計(jì)算機(jī)用戶協(xié)會(huì)網(wǎng)絡(luò)應(yīng)用分會(huì)2018年第二十二屆網(wǎng)絡(luò)新技術(shù)與應(yīng)用年會(huì)論文集[C];2018年

7 劉剛;梁野;李毅松;馬驍;王文;李勃;陳貴鳳;;數(shù)字證書技術(shù)在電力二次系統(tǒng)中的實(shí)現(xiàn)及應(yīng)用[A];2006電力系統(tǒng)自動(dòng)化學(xué)術(shù)交流研討大會(huì)論文集[C];2006年

8 鄭建軍;;電子招投標(biāo)CA數(shù)字證書體系簡(jiǎn)述及面臨的問(wèn)題與建議[A];創(chuàng)新之路——全國(guó)建筑市場(chǎng)與招標(biāo)投標(biāo)“筑龍杯”創(chuàng)新之路征文大賽優(yōu)秀論文集[C];2017年

9 金龍;劉海燕;;基于OpenSSL的CA系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[A];2008通信理論與技術(shù)新進(jìn)展——第十三屆全國(guó)青年通信學(xué)術(shù)會(huì)議論文集（上）[C];2008年

10 張彥榮;楊峰;袁艷芳;;一種基于數(shù)字證書的UKey身份認(rèn)證系統(tǒng)實(shí)現(xiàn)[A];數(shù)字中國(guó) 能源互聯(lián)——2018電力行業(yè)信息化年會(huì)論文集[C];2018年

相關(guān)重要報(bào)紙文章 前10條

1 記者 范杰玉;有“數(shù)字證書”，出門可不帶身份證[N];南京日?qǐng)?bào);2019年

2 記者 楊召奎;商標(biāo)數(shù)字證書發(fā)放規(guī)則進(jìn)行三方面調(diào)整[N];工人日?qǐng)?bào);2018年

3 記者 段金柱 通訊員 林宇熙;福州行政審批：全國(guó)率先實(shí)現(xiàn)全流程應(yīng)用電子證照[N];福建日?qǐng)?bào);2017年

4 記者 黃瑩 通訊員 沈雁 章學(xué)飛;浙江百萬(wàn)企業(yè)獲數(shù)字證書[N];浙江日?qǐng)?bào);2017年

5 武小芳 李杰強(qiáng);數(shù)字證書為互聯(lián)網(wǎng)應(yīng)用構(gòu)筑安全防線[N];人民郵電;2017年

6 本報(bào)首席記者 張懿;走通“智慧城市”建設(shè)重要一環(huán)[N];文匯報(bào);2017年

7 記者 顏偉　通訊員 陳蓉;數(shù)字證書讓企業(yè)得實(shí)惠[N];中國(guó)工商報(bào);2013年

8 曹開彬;基于數(shù)字證書的CRM系統(tǒng)[N];中國(guó)計(jì)算機(jī)報(bào);2000年

9 記者 王少玲;西安 參與電子競(jìng)價(jià)須辦理CA數(shù)字證書[N];政府采購(gòu)信息報(bào);2011年

10 記者 張守帥;全省累計(jì)發(fā)放數(shù)字證書8萬(wàn)張[N];四川日?qǐng)?bào);2011年

相關(guān)博士學(xué)位論文 前5條

1 史偉民;郵資機(jī)郵資安全關(guān)鍵技術(shù)研究[D];浙江工業(yè)大學(xué);2011年

2 廖振松;虛擬組織中自動(dòng)信任協(xié)商研究[D];華中科技大學(xué);2008年

3 楊圣洪;物聯(lián)網(wǎng)數(shù)據(jù)處理的研究與實(shí)現(xiàn)[D];國(guó)防科學(xué)技術(shù)大學(xué);2013年

4 周曉斌;電子政務(wù)電子認(rèn)證關(guān)鍵技術(shù)研究[D];華南理工大學(xué);2012年

5 雷建云;多域環(huán)境下基于證書和信任的訪問(wèn)控制研究[D];華中科技大學(xué);2010年

相關(guān)碩士學(xué)位論文 前10條

1 胡逸飛;基于區(qū)塊鏈的數(shù)字證書審計(jì)技術(shù)研究[D];中國(guó)科學(xué)技術(shù)大學(xué);2019年

2 李驥龍;基于USB-Key身份認(rèn)證與訪問(wèn)控制系統(tǒng)的研究與實(shí)現(xiàn)[D];哈爾濱工程大學(xué);2018年

3 陳旭;面向大規(guī)模網(wǎng)絡(luò)的數(shù)字證書有效性測(cè)量與分析方法研究[D];新疆大學(xué);2018年

4 黃強(qiáng);基于IBE和插件的郵件加密研究和開發(fā)[D];武漢理工大學(xué);2015年

5 羅玉震;基于公開密鑰基礎(chǔ)設(shè)施的專用數(shù)字證書服務(wù)[D];北京工業(yè)大學(xué);2003年

6 張弛;大型零售企業(yè)硬件數(shù)字證書管理系統(tǒng)研究與實(shí)現(xiàn)[D];西安電子科技大學(xué);2009年

7 王洪座;公安數(shù)字證書考勤系統(tǒng)的研究和實(shí)現(xiàn)[D];電子科技大學(xué);2014年

8 關(guān)龍;基于數(shù)字證書的遠(yuǎn)程移動(dòng)支付系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D];東北大學(xué);2011年

9 陳菊花;數(shù)字證書解析和頒發(fā)軟件的設(shè)計(jì)與實(shí)現(xiàn)[D];華中科技大學(xué);2008年

10 時(shí)陽(yáng);基于數(shù)字證書的企業(yè)統(tǒng)一身份認(rèn)證系統(tǒng)[D];山東大學(xué);2012年

本文編號(hào)：2703713