基于驗證代理的PKI跨域橋接信任模型研究.pdf

1、隨著網絡應用技術的快速發(fā)展，信息安全問題受到人們的普遍關注，如何保障開放式網絡環(huán)境中各個系統(tǒng)之間數據的安全通信是其中的關鍵問題，公鑰基礎設施PKI的發(fā)展為信息安全問題的解決提供了可行途徑。但是，隨著PKI技術的日趨成熟，各類CA認證中心相繼建立，各種潛在的問題也凸顯出來，PKI的發(fā)展面臨著瓶頸，其中核心問題是解決開放式網絡環(huán)境中各主體間動態(tài)信任關系與PKI相對穩(wěn)定的信任模型間的沖突。本文的主要研究目標就是通過對交叉認證技術的研究，解決不

2、同信任域間的互操作問題。
　　本文在分析現有 PKI信任模型和跨域應用需求的基礎上，提出了一個基于驗證代理的PKI跨域橋接信任模型。該模型適用于分布式環(huán)境下用戶基于數字證書進行跨域訪問的情形。在該模型中，用戶通過驗證代理機構進行證書驗證:在同一信任域內由VA(Validation Authorit)完成，在不同信任域間由則進一步借助 BVA(Bridge Validation Authority)來實現。對于分屬于不同信任域的兩用

3、戶間的多次頻繁交互，本文提出通過VA發(fā)放臨時證書的方式提高跨域訪問的效率，此外，模型中還提出了基于雙hash鏈的證書驗證方案，以驗證證書hash鏈的方式來替代原來繁瑣的證書驗證過程，進一步提高了系統(tǒng)效率。
　　本文的創(chuàng)新內容在于：
　　(1)提出了一個基于驗證代理的跨域橋接信任模型。模型中由證書驗證代理中心VA（Validation Authority）對域內和域間用戶提交的證書進行驗證，由橋接驗證代理中心BVA（Bridg

4、e Validation Authority）負責對各個信任域內的VA及由VA發(fā)來的證書驗證信息進行認證和轉發(fā)。通過這兩類代理驗證機構，幫助用戶避免了證書認證處理這個繁瑣耗時的過程，減輕了用戶的工作負擔，并且大大提高了證書認證的效率。
　　(2)為了進一步提高跨域訪問的效率，本文提出了“臨時證書”的概念。當不同信任域內的兩個用戶實體需要進行通信時，VA可為通過驗證的訪問請求方用戶簽發(fā)一張臨時證書。之后訪問請求方提出訪問請求時，被訪

5、問的用戶只需要驗證訪問請求方的臨時證書是否有效，無需再進行跨域認證，大大加快了跨域用戶之間的訪問速度。
　　(3)為了降低VA進行證書驗證的計算代價，本文提出了基于雙hash鏈的證書驗證方案。VA通過構建兩條hash鏈來驗證提出訪問請求得用戶是否可信。其中一條hash鏈指向認證中心的秘密種子，確保種子傳遞的安全性，另一條指向驗證鏈路上的每個CA證書，確保證書傳輸的完整性。使用雙hash鏈的證書驗證方案，有效地減少了VA對證書鏈路上