PKI信任模型與互操作性研究.pdf

1、隨著信息科學(xué)技術(shù)的發(fā)展,電子商務(wù)逐漸繁榮并對(duì)網(wǎng)絡(luò)安全提出了新的要求和課題,PKI(Public Key Infrastructure)是一種是以密碼學(xué)技術(shù)為基礎(chǔ),通過靈活搭配應(yīng)用各種安全機(jī)制技術(shù)建立的,解決Internet上種種安全問題的框架和遵循既定標(biāo)準(zhǔn)的密鑰管理平臺(tái).PKI采用證書進(jìn)行公鑰管理,把用戶公鑰和用戶其他標(biāo)識(shí)信息捆綁在一起,為各種安全應(yīng)用提供一個(gè)基礎(chǔ)支持.PKI技術(shù)從提出以后得到了迅速的發(fā)展和應(yīng)用,但是隨著PKI應(yīng)用范圍的

2、不斷擴(kuò)大,應(yīng)用環(huán)境也逐漸的多元化和異構(gòu)化,各CA(Certification Authority)機(jī)構(gòu)彼此獨(dú)立,各PKI之間無法互通,已經(jīng)成為阻礙PKI大規(guī)模應(yīng)用的主要障礙.因此,能夠在各個(gè)機(jī)構(gòu)已經(jīng)獨(dú)立建立的使用不同架構(gòu)和信任模型的PKI間建立互操作是當(dāng)務(wù)之急.目前的互操作模型在建立互操作前都要事先建立交叉認(rèn)證或類似的協(xié)商過程,實(shí)現(xiàn)起來復(fù)雜且效率低下.因此,提出一種基于證書驗(yàn)證代理的互操作模型.該模型引入了PKI域間的證書驗(yàn)證來實(shí)現(xiàn)域間

3、互操作性.該模型的實(shí)現(xiàn)方法是采用一個(gè)域間證書驗(yàn)證代理服務(wù)器,由服務(wù)器代替客戶端完成證書路徑的構(gòu)建和驗(yàn)證.用戶和證書驗(yàn)證代理服務(wù)器之間采用簡(jiǎn)單的請(qǐng)求-響應(yīng)模式,用戶向服務(wù)器提交驗(yàn)證請(qǐng)求,服務(wù)器處理以后給用戶返回證書是否有效的處理結(jié)果.由于不需要進(jìn)行域間CA的交叉認(rèn)證和用戶的參與,可以在PKI域之間容易的建立互操作.服務(wù)器在構(gòu)建證書路徑時(shí),根據(jù)一定的策略制定優(yōu)先級(jí),然后采用Dijkstra算法搜索出優(yōu)先級(jí)高的最短路徑.這樣可以減少證書的處理