基于驗(yàn)證代理的PKI跨域橋接信任模型研究.pdf

1、隨著網(wǎng)絡(luò)應(yīng)用技術(shù)的快速發(fā)展，信息安全問題受到人們的普遍關(guān)注，如何保障開放式網(wǎng)絡(luò)環(huán)境中各個系統(tǒng)之間數(shù)據(jù)的安全通信是其中的關(guān)鍵問題，公鑰基礎(chǔ)設(shè)施PKI的發(fā)展為信息安全問題的解決提供了可行途徑。但是，隨著PKI技術(shù)的日趨成熟，各類CA認(rèn)證中心相繼建立，各種潛在的問題也凸顯出來，PKI的發(fā)展面臨著瓶頸，其中核心問題是解決開放式網(wǎng)絡(luò)環(huán)境中各主體間動態(tài)信任關(guān)系與PKI相對穩(wěn)定的信任模型間的沖突。本文的主要研究目標(biāo)就是通過對交叉認(rèn)證技術(shù)的研究，解決不

2、同信任域間的互操作問題。
　　本文在分析現(xiàn)有 PKI信任模型和跨域應(yīng)用需求的基礎(chǔ)上，提出了一個基于驗(yàn)證代理的PKI跨域橋接信任模型。該模型適用于分布式環(huán)境下用戶基于數(shù)字證書進(jìn)行跨域訪問的情形。在該模型中，用戶通過驗(yàn)證代理機(jī)構(gòu)進(jìn)行證書驗(yàn)證:在同一信任域內(nèi)由VA(Validation Authorit)完成，在不同信任域間由則進(jìn)一步借助 BVA(Bridge Validation Authority)來實(shí)現(xiàn)。對于分屬于不同信任域的兩用

3、戶間的多次頻繁交互，本文提出通過VA發(fā)放臨時證書的方式提高跨域訪問的效率，此外，模型中還提出了基于雙hash鏈的證書驗(yàn)證方案，以驗(yàn)證證書hash鏈的方式來替代原來繁瑣的證書驗(yàn)證過程，進(jìn)一步提高了系統(tǒng)效率。
　　本文的創(chuàng)新內(nèi)容在于：
　　(1)提出了一個基于驗(yàn)證代理的跨域橋接信任模型。模型中由證書驗(yàn)證代理中心VA（Validation Authority）對域內(nèi)和域間用戶提交的證書進(jìn)行驗(yàn)證，由橋接驗(yàn)證代理中心BVA（Bridg

4、e Validation Authority）負(fù)責(zé)對各個信任域內(nèi)的VA及由VA發(fā)來的證書驗(yàn)證信息進(jìn)行認(rèn)證和轉(zhuǎn)發(fā)。通過這兩類代理驗(yàn)證機(jī)構(gòu)，幫助用戶避免了證書認(rèn)證處理這個繁瑣耗時的過程，減輕了用戶的工作負(fù)擔(dān)，并且大大提高了證書認(rèn)證的效率。
　　(2)為了進(jìn)一步提高跨域訪問的效率，本文提出了“臨時證書”的概念。當(dāng)不同信任域內(nèi)的兩個用戶實(shí)體需要進(jìn)行通信時，VA可為通過驗(yàn)證的訪問請求方用戶簽發(fā)一張臨時證書。之后訪問請求方提出訪問請求時，被訪

5、問的用戶只需要驗(yàn)證訪問請求方的臨時證書是否有效，無需再進(jìn)行跨域認(rèn)證，大大加快了跨域用戶之間的訪問速度。
　　(3)為了降低VA進(jìn)行證書驗(yàn)證的計算代價，本文提出了基于雙hash鏈的證書驗(yàn)證方案。VA通過構(gòu)建兩條hash鏈來驗(yàn)證提出訪問請求得用戶是否可信。其中一條hash鏈指向認(rèn)證中心的秘密種子，確保種子傳遞的安全性，另一條指向驗(yàn)證鏈路上的每個CA證書，確保證書傳輸?shù)耐暾?。使用雙hash鏈的證書驗(yàn)證方案，有效地減少了VA對證書鏈路上