1、隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，網(wǎng)絡(luò)安全變得越來越重要。網(wǎng)絡(luò)實(shí)體間的通信安全以正確的身份識(shí)別作為基礎(chǔ)，目前僅以對(duì)稱密碼技術(shù)作為實(shí)體身份鑒別的方式已經(jīng)不能滿足網(wǎng)絡(luò)規(guī)模日益擴(kuò)大的要求，各種分布式計(jì)算、網(wǎng)格應(yīng)用技術(shù)、電子商務(wù)、電子政務(wù)的發(fā)展都要求研究和發(fā)展以公鑰密碼技術(shù)作為基礎(chǔ)的公鑰基礎(chǔ)設(shè)施(PKI)，解決目前PKI存在的各種管理和安全問題。 本文針對(duì)目前PKI存在的用戶私鑰的安全保存問題，私鑰的可便攜性問題，以及及時(shí)有效的證書撤銷狀

2、態(tài)更新問題，提出一系列具體的在線公鑰系統(tǒng)方案，以期改善PKI的設(shè)計(jì)使之更好地推進(jìn)網(wǎng)絡(luò)安全技術(shù)的發(fā)展，同時(shí)，本文圍繞著上述主題研究相關(guān)的服務(wù)器代理簽名、解密方案，以及安全的認(rèn)證協(xié)議的研究與設(shè)計(jì)。本文主要貢獻(xiàn)和創(chuàng)新點(diǎn)如下： (1)提出了一種利用憑證服務(wù)器來安全保存和使用用戶私鑰的方法，該方法要 求服務(wù)器存儲(chǔ)用戶的私鑰信息，當(dāng)用戶需要使用其私鑰時(shí)，以在線方式通過口令認(rèn)證后下載或直接在線使用其私鑰，即使服務(wù)器被攻擊，也不會(huì)威脅到用戶私鑰的安全

3、性。本方案由于采用了用戶存儲(chǔ)設(shè)備來存儲(chǔ)信息熵大的其它認(rèn)證時(shí)所需的秘密信息，它能夠支持用戶弱口令的選擇。根據(jù)私鑰的使用方式的不同提出了三個(gè)具體協(xié)議：在線安全認(rèn)證并下載用戶私鑰的協(xié)議OCMA_Gen，在線服務(wù)器代理簽名的協(xié)議OCMA_Sig，在線服務(wù)器代理解密的協(xié)議OCMA_Dec，在隨機(jī)預(yù)言模型(Random Oracle Model)下證 明了將私鑰分解為兩部分進(jìn)行簽名的安全性，并在此基礎(chǔ)上分析了OCMA_Sig和OCMA-Dec的安全

4、性，另外，在隨機(jī)預(yù)言模型和理想密碼模型下對(duì)所提出的方案OCMA_Gen進(jìn)行了安全性證明，并實(shí)現(xiàn)了這三個(gè)方案的實(shí)驗(yàn)原型，進(jìn)一步驗(yàn)證了方案的可行性； (2)提出了一種利用在線雙服務(wù)器聯(lián)合認(rèn)證用戶的方法，該方法能夠支持用戶端弱口令的選擇，其優(yōu)點(diǎn)是雖然服務(wù)器端能驗(yàn)證用戶輸入口令的正確性，但即使是合法服務(wù)器也無法獲取用戶的登錄口令，在一臺(tái)服務(wù)器被攻擊的情況下還能夠保證系統(tǒng)的安全性，這個(gè)方案可以克服傳統(tǒng)單服務(wù)器認(rèn)證系統(tǒng)中服務(wù)器被攻擊后帶來的

5、安全威脅問題。在這種方法的基礎(chǔ)上提出了兩個(gè)通用協(xié)議----基于口令的雙服務(wù)器聯(lián)合認(rèn)證協(xié)議TSAP以及認(rèn)證及密鑰交換協(xié)議TAKE，以及一種基于TSAP認(rèn)證協(xié)議的在線雙服務(wù)器代理簽名和代理解密的方案，該方案的優(yōu)勢(shì)是用戶只需具備正確的用戶名和口令，就可以讓兩臺(tái)服務(wù)器代理使用其私鑰進(jìn)行簽名或解密，而任意單臺(tái)服務(wù)器無法獨(dú)立使用其私鑰或者得到用戶的登錄口令； (3)基于動(dòng)態(tài)口令驗(yàn)證技術(shù)提出了一種基于散列函數(shù)的強(qiáng)口令認(rèn)證協(xié)議SPAS,該協(xié)議以